电子商务安全风险及对策浅析

1、电子商务安全风险及对策浅析学生：余静娴指导教师：阳国华摘 要：随着近年来，网络通信和信息技术快速发展和日益融合,网络在全球迅速普及，促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题，阐述了电子商务安全体系及安全技术和对策浅析。关键词：电子商务；安全技术；运用；安全体系；防火墙前言所谓电子商务是指商务活动的电子化实现，即通过电子化手段来实现传统的商务活动。其优点：电子商务可以降低商家的运营成本，提高其利润率；可以扩大商品销路，建立企业和企业之间的联系渠道，为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就

2、显得越来越突出，安全的电子支付是实现电子商务的关键环节，而不安全的电子支付不能真正实现电子商务。一、 电子商务网络及本身存在的安全隐患问题目前，我国的电子商务存在普遍的窃取信息现象，不利于电子商务数据信息的安全管理。我们从两个典型案例说起：案例一：淘宝“错价门”。互联网上从来不乏标价1元的商品。近日，淘宝网上大量商品标价1元，引发网民争先恐后哄抢，但是之后许多订单被淘宝网取消。随后，淘宝网发布公告称，此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称：“服务器可能被攻击，已联系技术紧急处理。 案例一简析：目前，我国电子商务领域安全问题日益凸显，比如，支付

3、宝或者网银被盗现象频频发生，给用户造成越来越多的损失，这些现象对网络交易和电子商务提出了警示。然而，监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题，严格执法、积极介入，彻查一些严重影响互联网电子商务安全的恶性事件，切实保护消费者权益，维护我国电子商务健康有序的发展。案例二：黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站被黑客入侵的案例，国内的电子商务网站近两年也发生过类似事件。浙江义乌一些大型批发网站曾经遭到黑客近一个月的轮番攻击，网站图片几乎都不能显示，每天流失订单金额达上百万元。阿里巴巴网站也曾确认受到不明身份的网络黑客

4、攻击，这些黑客采取多种手段攻击了阿里巴巴在我国大陆和美国的服务器，企图破坏阿里巴巴全球速卖通台的正常运营。随着国内移动互联网的发展，移动电子商务也将迅速发展并给人们带来更大便利，但是由此也将带来更多的安全隐患。黑客针对无线网络的窃听能获取用户的通信内容、侵犯用户的隐私权。案例二简析：黑客攻击可以是多层次、多方面、多种形式的。攻击电子商务平台，黑客可以轻松赚取巨大的、实实在在的经济利益。比如：窃取某个电子商务企业的用户资料，贩卖用户的个人信息；破解用户个人账号密码，可以冒充他人购物，并把商品货物发给自己。黑客有可能受经济利益驱使，也有可能是同业者暗箱操作打击竞争对手。攻击电子商务企业后台系统的往

5、往是专业的黑客团队，要想防范其入侵，难度颇大。尤其是对于一些中小型电子商务网站而言，比如数量庞大的团购网站，对抗黑客入侵更是有些力不从心。如果大量电子商务企业后台系统的安全得不到保障，我国整个电子商务的发展也将面临极大威胁。从上述两个案例可以看出，网络安全入侵者可以利用电子商务路由器或者网关截获数据信息，并且他们经过多次反复的窃取信息，便可以有效的找出电子商务贸易的一般规律或者贸易格式，从而造成电子商务网上交易的不安全，甚至造成网络相关数据信息的丢失和泄露，引发一系列的不可估量的严重后果。当网络入侵者截获他们需要的有用信息，掌握了电子商务规律，他们通过破译方法或手段，将电子商务信息进行随意的篡

6、改，将改过的信息交给交易方，这样会影响电子商务交易秩序的混乱，导致部分企业破产崩溃。伪造身份冒充合法的交易者参与交易，对电子商务协议进行攻击。恶意破坏删节通信信息中的数据，取消用户订单，生成虚假信息。协议参与方对交易进行抵赖，否认交易结果以及交易方在多次交易的表现不诚实，服务低劣等各种问问题。总之，电子商务网路有待提高。二电子商务安全体系组成（一） 物理安全电子商务物理安全主要是指为了保护电子商务系统安全可靠的运行，确保在交易，处理，传输过程中不受人为或自然灾害危害，而对计算机，网络设备，设施，环镜采取的安全的措施。主要包括：物理位置的选择，防盗窃防破坏，防雷击，静电等。目的主要使存放计算机网

7、络设备的机房，电子商务系统的的设备和存储设备的介质等免受物理环境自然灾害及人为操作等各种威胁所产生的攻击。物理安全是防护电子商务系统安全的最底层，缺乏物理安全，其他任何措施都是无意义的。（二）网络安全网络安全为电子商务在网络环境下的安全运行提供支持。一方面，确保网络设备的安全运行，提供有效的网络服务；另一方面，确保在网上传输数据的保密性，完整性和可用性等。包括：网络结构，访问控制，入侵防范，恶意代码防范等。重要信息系统的网络安全要求对网络边界的访问控制做出更为严格的要求，禁止远程拨号访问，不允许数据带通用协议通用。网络安全审计应着眼于系统全局，做出集中审计分析，以便得到更多的综合信息。主要网络

8、设备应对同一用户选择两种或两种以上组合的鉴别信息至少应有一种是不可伪造的，以加强对网络设备的防护。（三）主机安全主机系统安全是包括服务器，终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。保障主机系统安全的措施包括：身份鉴别，安全标记，访问控制，恶意代码防范，剩余信息和资源控制等。终端/工作站是带外设的台式机与笔记本计算机，服务器则包括应用程序网络WEB文件与通信等服务器。主机系统是构成电子商务系统的主要部分，其上承载着各种应用。因此，主机系统安全是保护电子商务系统安全的中坚力量。（四）应用安全通过网络，主机系统的安全防范，应用安全成为电子商务系统整体防御的最后一道防线。在应用层

9、面运行着电子商务系统基于网络的运用以及特定业务的应用。基于网络的运用是形成其他应用的基础，包括信息发送Web浏览器等可以说是基本的应用。应用安全系统主要涉及的技术包括身份鉴别安全标记访问控制资源控制保密性抗抵性软件容错等。（五）数据安全及备份恢复电子商务系统处理的各种数据在维持系统正常运行着起着至关重要的作用。一旦数据遭到破坏，都会在一定程度上造成影响，从而危害到系统的正常运行三、电子商务安全技术为了保障电子商务系统的的基本安全，下面一系列安全技术用于保障电子商务活动的安全，可信。（一）数据加密技术加密技术是解决网络信息安全问题的技术核心，通过数据加密技术，可以很大程度上提高数据传输的安全性，

10、保证传输数据的完整性。数据加密技术主要分为对称密码加密和公钥密码加密。数据加密按不同应用分为数据传输加密和数据存储加密。常用的数据加密算法有很多种。古典密码算法有替代加密，置换加密，常用的对称加密算法包括DES和AES，常用的非对称加密算法包括RSA，ECC等。目前在数据通信中使用最普遍的算法有AES算法，RSA算法和ECC等。公钥密码加密技术可用于对消息进行数字签名。（二） 数据完整性技术数据的完整性就是防止非法篡改信息，如修改，复制，插入，删除等。在交易过程中，要确保通信双方接收到的数据和从数据源发出的数据完全一致，数据在传输和存储的过程中不能被篡改。保障数据完整性最常用的技术是通过散列函

11、数和数字签名技术实现数据完整性保护。任何原始数据的改变都会在相同的计算条件下产生不同的MAC。这样，在传输和存储数据时，附带上该消息的MAC通过验证该消息的MAC是否改变，来高效的，准确地判断原始数据是否改变，从而保证数据的完整性。目前国际采用的算法有SHA-1,MD-5.（3） 认证技术常见的认证包括2类：对实体身份的认证和对数据来源的真实性的认证。进行验证的方法主要有2类：基于口令的身份验证，基于公钥密码学技术的身份验证，而对数据来源的真实性的认证主要采用基于公钥密码学技术的身份认证。信息系统中应确保口令信息在通信通道传输中和在存储期间的安全，避免被入侵者从磁盘数据文件中窃取或从通信通道截

12、获。最常用的办法就是加“盐”的单向散列函数对口令进行处理。基于公钥密码学技术的数字证书认证体系又称为PKI,PKI系统中有一个或多个权威的CA机构进行数字证书签发和管理。由于数据证书带有CA机构的签名，其真实性易于验证。此外，签名也可作为发送者发送信息和接收者接受信息的不可否认证据，防止实体对信息的抵赖。CA认证机构既能实现单向验证，既能用于实体身份的信任，又能用于通信数据的信任。（四）防抵赖技术不可否认性是电子商务，电子政务等系统中必须要解决的问题之一，不可抵赖服务就是防止通信中的任何一方试图对已发生的特定事件或行为的欺诈性抵赖，为此，不可抵赖服务提供不可抵赖证据的产生，收集和维护机制，用于

13、对日后可能产生的法律纠纷进行仲裁。基本的不可抵赖服务包括：1发送方不可否认（Non-Repudiation of Origin,NRO）：为消息接收提供发送信息的证据，防止发送信息方试图否认曾经发送过消息。证据的提供者就是信息发送者。2接收方不可否认（Non-Repudiation of Receipt,NRR）：为发送信息方提供消息已接受的证据，防止接收方试图否认曾经受到的信息。证据的提供者是信息接受方。（五）访问控制技术访问控制是指用户身份及其归属的的某组来限制用户对信息项的访问，或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器的，目录，文件等网络资源的访问。访问控制

14、的功能主要有：防止非法的主体进入受保护的系统的资源；允许合法用户访问受保护的系统资源；防止合法的用户对受保护的系统资源进行非授权的访问。目前主要应用的的访问控制类型有自主访问控制和强制访问控制两大类。自主访问控制是指用户有权对自身所创建的访问对象（文件，数据表等）进行访问，并可将对这些对象的访问权限。强制访问控制是指由系统（通过专门设置的系统安全员）对用户所创建的对象进行系统的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。（六）其他信息安全技术除了以上几类最基本的信息安全技术以外，常用的安全技术还包括：

15、安全审计与取证技术；安全扫描技术；反病毒反木马技术；入侵检测技术；防火墙技术；容错和数据备份技术容灾技术；信息隐藏技术；量子密码技术；DNA安全技术；电磁泄露防范技术。四、对策浅析第一防火墙技术，防火墙技术包括网络级防火墙、应用级网关、电路级网和规则检查防火墙，防火墙使用得当可以很大程度的提高网络安全性，企业从而不但可以大大降低由于网络攻击而造成的损失，而且还可以提高自己的信誉。但防火墙技术作为一种被动的防卫技术，在其保护网络安全方面有其局限性防火墙不能防范不经由防火墙的攻击，不能防范人为因素的攻击，不能防止由于口令泄露或用户错误操作而造成的威胁，同时防火墙也不能防止带有病毒的软件或文件的传输。第二加密技术，加密技术作为一种主动的防卫手段，目的是防止信息的非授权泄密，贸易各方可以根据需要在信息交换的各阶段使用。加密技术在网络应用中一般采用两种加密形式：对称密钥和公开密钥，贸易各方可以结合具体应用环境和系统选择使用。 第三认证和识别，要确保电子商务的交易安全，仅仅有加密技术是不够的，全面的保护还要认证和识别的，确保参与加密对话的人确实是其本人。认证系统使发送的消息具有被验证的能力，使接收者或第三者能够识别和确认消息的真伪。第四网络病毒防治，由于网络的迅速发展，