电子商务安全.doc

大学文献信息检索论文题目： 电子商务安全与相关技术保障 姓 名：专 业：班 级：学 号：2009年01月电子商务安全与相关技术保障【摘要】 从电子商务安全的重要意义出发，对电子商务安全进行了简要分析,论述了电子商务安全威胁的各种来源和表现，以及最终可能导致对电子商务网站的影响 .提出电子商务安全不仅仅是技术问题，更是一个关系到电子商务是否能够顺利发展的关键问题 .着重阐述了电子商务安全所涉及的主要技术与管理保障、解决方案. 【关键词】 电子商务 安全保障 SET协议 认证 安全技术【分类号】TP309【英文题目】E一Commerce Safety and Related Technological Management and Guarantee【Abstract】： The paper expounds the importance of e-commerce safety,from viewpoint of e - commerce, analyzes briefly the e - commerce security,the origins manifestations of threats to e-commerce safety,and analyses major technologies,management guarantee and solution schemens concerning e-commerce safety【Keywords】e - commerce safety guarantee SET protocol authentication security technology1电子商务安全概述商务活动曾经历过实物交换、金币交换和近百年的纸币交换等变革，现在正走向电子商务时期.70年代己出现过电子数据交换EDI和电子资金转移EFT方式，可以说，它们是电子商务的祖师.到了80年代末90年代初，因特网的商业化，更促进了电子商务的发展，把传统的商务活动统统搬在网上进行，包括广告、订货、付款、客户服务及货物递交、售前和售后服务，以及市场调查分析、财务核计和生产安排等.电子商务比以往的传统商务更优越，更适应于快节奏的信息时代，发展前景不可估量.风起云涌的电子商务正掀起经济领域一次新的革命，宣告着网络经济时一代的到来.这个时一代的标志是:Web站点与公司的后端数据库系统相连接.这种充分集成的e - busness系统的实施与推广，将改变传统的生产、经营方式，改变现有的服务和消费模式，实现信息流、资金流、物流三要素齐全的有机组合，给社会带来历史性变革.由十这种新的完整的电子商务系统可以将内部网与Internet连接，使小至本企业的产品库存、购发货、帐款收支等商务运转，大至国家的政治、经济机密都将面临网上黑客与病毒的考验.因此，安全问题便成了电子商务生死枚关的首要问题. 据统计，在全球，平均20s就发生一次网上入侵事件，有近80%的公司在网络上至少要被大规模入侵一次;并日黑客一旦找到系统的薄弱环节，所有用户都将遭殃.根据美国FBI的调查，美国何年因为网络安全造成的经济损失超过170亿美元;75%的公司报告财政损失是由于计算机系统的安全问题造成的;超过50%的安全威胁来自内部;只有17%的公司愿息报告黑客入侵，其他的由十担心负面影响而未声张;59%的损失可以定量估算，平均何个组织损失40. 2万美儿.今年3, 4月间，中国国内电子商务网站已经出现多次被攻击的现象，又一次提醒电子商务的从业人们:安全问题，非同小可，隐患息识，必须加强.目前，中国的网民正以何年两番的数字急增，电子商务网站正以何日平均新诞生2家的速度急剧扩张.然而，与之相对照，根据CNNIC(中国互联网络信息中心)2000/1的统计报告，截止1999年底，只有8. 79%的人通过网络商店购买商品和服务.网民们为何对网络购买不踊跃？上述CNNIC同一统计报告显示，在电子商务方面，用户最关心的”一项中，有52. 26%的人选择了发易的安全可靠性”;在目前网上购物最大问题”一项中有36. 54%选择了公全性得不到保障”.可见，网上交易的安全性已成为制约电子商务发展的主要因素之一.这个问题不解决，就象有人所指出的:电子商务势必成为水中月，雾中花”.电子商务的含义电子商务源于英文Electronic Commerce，简写为EC，指的是利用简单、快捷、低成本的电子通信方式，从洽谈、签约、交货到付款整个过程中，买卖双方不见面地直接在全球电信网络上进行的商贸活动。它利用的是TCP/IP 公众网络和技术，可以利用的电子通信方式有多种，目前主要是由EDI(电子数据交换Electronic Data Interchange)和Internet(因特网)来完成的。随着Internet的日益发展，电子商务真正的发展将是建立在Internet技术上的，所以也有人把电子商务简称为IC(Internet Commerce)。由于Internet本身的开放性、虚拟性，使网上交易面临了种种危险，因此发展的核心和关键问题是交易的安全性。2电子商务安全的基本问题众所周知，电子商务的必然载体是网络，这就使得它的安全问题与生俱来.网络的资源共享性、开放性、可匿名性给安全问题带来了极大的隐患.使得它受威胁、受攻击的可能性大大增加.高潮刚刚过去的Y2K事件、近一时一期日益猖撅的黑客事件造成的各大网站的瘫痪，以及毛骨惊然的信用片失窃事件等等，都在有志十从事网上交易的企业和个人中产生了非常消极的影响.在开放的网络上如何安全、秘密地进行有关商务数据的传输成为电子商务业必需解决的一大问题.一般而言，电子商务的安全包括用户方和提供产品服务方的安全，双方信息都要保密，用户帐号不能被第三方获知，而提供产品或服务方的定货和付款信息等商业秘密也不能为竟争对手所知，否则就可能丧失商机.此外，商务活动一旦达成，相关信息未经双方协定，不可更改、不能否认，这些都是电子商务安全控制的内在要求.此外，确定Internet上用户及商户的身份验证，保护Internet上的交易，保护站点及企业网抵抗黑客攻击等等，也是电子商务安全的应有之义.为保障交易各方的合法权益，安全前提下的电子商务必须满足以下基本要求:授权合法性.安全管理人员能够控制用户的权限，分配或终止用户的访问、操作、接入等权利，被授权用户的访问不能被拒绝.不可抵赖性.信息的发送方不能抵赖曾发送的信息，不能否认自己的行为.保密性.信息的发送和接收是在安全、保密的通道进行，交易的参与方在信息交换过程中没有被窃听或其它泄密的危险.非参与方不能获取交易的信息.身份的真实性.交易方的身份不能被假冒或伪装.可以有效鉴别确定交易方的身份.信息的完整性.信息接收方可以验证收到的信息是否完整一致，是否被人纂改.3电子商务安全威胁及后果电子商务网站与其它网络系统一样，其运行的网络协议如TCP/IP, IPX/SPX, NETBEUA等并非令为安全通讯而设计，因此，可能存在的安全威胁来自以下方面:系统的漏洞和后门”.目前流行的许多操作系统均存在网络安全漏洞，如Unix服务器、NT服务器，这些漏洞恰恰是黑客进行攻击的首选目标.此外，软件的后门”本是软件公司设计编程人员为了自便而设置，一般不为外人所知，但一旦后门”洞开，后果不堪设想.如微软公司的Windows产品就存在严重的此类问题.防火墙的安全性.防火墙产品自身是否安全、是否设置错误，需要经过检验.来自内部网用户的安全威胁.如同事、被解雇的职员，受信任的顾客、咨询顾问等所有能进入系统的人.此外，一些无息的行为，如丢失口令、疏忽大息、非法操作等都可能对网络造成极大破坏.缺乏有效的手段，监视、评估网络系统的安全性.采用TCP/IP协议族，本身缺乏安全性.应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑不周，如果系统设置错误，则很容易造成损失. WEB程序的安全性.电子商务网站必须开发和使用多种CGI程序，程序员或由于缺乏安全编程知识，或由十疏忽，极易造成安全问题.数据库的安全性.与操作系统一样，许多数据库都存在不同程度的安全问题.攻击者一使用纂改、删除、插入等手段，对传输文件进行攻击，以破坏信息的准确性和完整性.各种各样的作伪.如伪造电子邮件，假冒他人身份消费、栽赃、发布命令、调阅密件案，不承认已做过的交易、抵赖等.根据各种安全问题的性质和对网络的危害等级，上述安全威胁最终可能导致的对电子商务网站的影响主要包括以下几方面:主机系统入侵.这是最严重的安全问题.恶意攻击者、黑客或竟争对手可利用多种已公布或未公布的安全漏洞，入侵网站主机并力图获得不同程度甚至最高级别的控制权，一旦得逞，他们可以为所欲为，如窃取、纂改系统数据和用户信息，删除文件数据，或以该主机作为攻击其它主机的跳台，等等.信息泄露.对于主要从事商业行为、需要保持商业机密的电子商务而言，这也是一个绝对不可忽视的问题.信息泄露表现在二方面:一是信息在网络的传输过程中被截获.攻击者一可能通过互联网、公共电话网、搭线或在电磁波辐射范围内安装截收装置等方式，截获传输的机密信息;或通过对信息流量和流向、通讯频度和长度等参数的分析，推出有用信息，如消费者一的银行帐号、密码等.二是利用WEB程序或网络数据库的缺陷，通过多种技术手段，绕过网站系统、WEB程序或网络数据库的安全限制，直接从网站中获取机密信息.拒绝服务.拒绝服务是目前为止尚无有效措施子以阻止的攻击方法.进行拒绝服务攻击几乎不需要任何高深的黑客技术，并且攻击工具极易从互联网上获得.拒绝服务攻击也有两类:一是向网络或主机发送大量非法或无效的请求，使其消耗可用资源却无法继续提供正常的网络服务.二是利用操作系统、软件、网络协议、网络服务等的安全漏洞，通过网站发送特制的数据请求，使网络应用服务器崩溃而停止服务.今年2月Yahoo, Amazon, Hotmail, CNN, Buy. com等大型电子商务网站就受到此类攻击.4电子商务安全主要技术保障4.1电子商务中对安全的威胁和保证安全是矛和盾的关系在电子商务开展初期，人们已经把重点放在安全问题的解决上.人们已从Internet的无秩序发展的教训中充分认识到安全的重要性.目前国际国内都有不少较成熟、规范的安全解决方案，其技术已基本上能满足电子商务对安全的要求.4.2身份验证技术身份识别是指用户向系统出不自己的身份证明过程.身份认证是系统查核用户的身份证明的过程.人们常把这两项工作统称为身份验证(或身份鉴别)，是判明和确认通信双方真实身份的两个重要环节.最简单的方法是输入User ID和Password但是最不安全的.身份认证是安全系统最重要且最困难的工作.目前普遍采用一次性口令、SecurID(称为智能加密片”，是制造商为用户提供的数字证明片，它显示的号码是由时日、密码、加密算法等三项确定，作为用户向系统出不的身份证明.下文还将涉及)等.4.3防火墙技术防火墙”是一种形象的说法，其实它是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关(scurity gateway)，从而保护内部网免受非法用户的侵入.所谓防火墙就是一个把互联网与内部网隔开的屏障.防火墙有二类，标准防火墙和双家网关.标准防火墙系统包括一个UNIX工作站，该工作站的两端各接一个路由器进行缓冲.其中一个路由器的接口是外部世界，即公用网;另一个则联接内部网.标准防火墙使用令门的软件，并要求较高的管理水平，而且在信息管理传输上有一定的延迟.双家网关(dual home gateway)则是标准防火墙的扩充，又称堡垒主机(bation host)或应用层网关(applicationslayer gateway)，它是一个单个的系统，但却能同时一完成标准防火墙的所有功能.随着防火墙技术的进步，双家网关的基础上又演化出两种防火墙配置，一种是隐蔽主机网关，另一种是隐蔽智能网关(隐蔽子网).隐蔽主机网关是当前一种常见的防火墙配置.顾名思义，这种配置一方面将路由器进行隐蔽，另一方面在互联网和内部网之间安装堡垒主机.主机装在内部网上，通过路由器的配置，使该堡垒主机成为内部网与互联网进行通信的唯一系统.目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关，,已将网关隐藏在公共系统之后使其免遭直接攻击.隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时一阻止了外部未授权访问者-对令用网络的非法访问.一般来说，这种防火墙是最不容易被破坏的.4.4数据加密技术与防火墙配合使用的安全技术还有数据加密技术，是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一.随着信息技术的发展，网络安全与信息保密日益引起人们的关注.目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展.按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种.数据传输加密技术.目的是对传输中的数据流加密，常用的方针有线路加密和端-端加密两种.前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护.后者一则指信息由发送者一端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，被将自动重组、解密，成为可读数据.数据存储加密技术.目的是防止在存储环节上的数据失密，可分为密文存储和存取控制两种.前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者一则对用户资格、格限加以审查和限制，防止非法用户存取数据或合法越权存取数据. 数据完整性鉴别技术.目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证，达到保密的要求，一般包括口令、密钥、身份、数据等项的鉴别，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护. 密钥管理技术.为了数据使用的方便，数据加密在许多场合集中表现为密钥的应用，因此密钥往往是保密与窃密的主要对象.密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等.密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施.4.5智能卡技术 与数据加密技术紧密相关的另一项技术则是智能卡技术.所谓智能卡就是密钥的一种媒本，一般就像信用片一样，由授权用户所持有并由该用户赋与它一个口令或密码字.该密码与内部网络服务器上注册的密码一致.当口令与身份特征共同使用时一，智能片的保密性能还是相当有效的.4.6反病毒技术 由十在网络环境下，计算机病毒具有不可估量的威胁性和破坏力，因此计算机病毒的防范也是网络安全性建设中重要的一环.网络反病毒技术也得到了相应的发展. 网络反病毒技术包括: 预防病毒技术.它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏.这类技术是:加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡)等. 检测病毒技术.它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等.