电子商务安全威胁分析

电子商务安全威胁分析

网上交易风险电子商务是现代经济和互联网技术发展的必然产物，改变了传统的商业模式。随着互联网在我国的迅猛发展,电子商务逐渐成为一种人们进行商务活动的新模式。然而网上交易面临种种风险,易受到黑客、病毒和木马等攻击,严重时造成交易双方的经济损失。显然安全问题已经成为制约其发展的重要因素,如何建立一个安全而便捷的电子商务应用环境,保证整个业务活动中信息的安全性,使基于互联网的交易方式与传统方式一样安全可靠,已经成为十分关心的问题。一、安全分析1、机系统的漏洞入侵系统近些年来在我国针对电子商务影响较大、发生率较高的安全方面的威胁事件大致可以分为:网络蠕虫、木马、病毒和拒绝服务攻击。(1)网络蠕虫是一种可以不断自我复制并在互联网上传播的程序,主要利用互联网上计算机系统的漏洞入侵系统。此类蠕虫有红色代码、尼姆亚、熊猫烧香及求职信等。网络蠕虫传播的速度异常快,甚至几小时传遍整个互联网。轻则出现网络堵塞,如果与黑客技术相结合,潜在的威胁和损失更大。(2)木马是一种隐藏在计算机系统的恶意程序。常常潜伏于计算机系统,而且隐蔽性很强,接受外界控制指令,一般以控制为主。大多数黑客在入侵时会将木马植入其中。(3)拒绝服务攻击是在互联网上控制多台计算机专对某一个特定的计算机进行大规模访问,占用大量的资源(包括磁盘空间、内存、进程甚至网络带宽等),降低系统性能,使得正常应用服务无法使用,分布式拒绝服务攻击是目前黑客经常采用而难以防范的攻击手段。2、交易安全性分析由于电子商务面临的安全威胁,因此对安全的要求:机密性、完整性、认证性和不可抵赖性。(1)机密性:保护商业秘密是保障电子商务应用的基础。(2)完整性:交易的数据信息是在传输过程中不会发生丢失、重复、篡改或者改变传送顺序。(3)认证性:交易是在虚拟的网络环境中发生的,如何完成交易双方的身份的确认。(4)不可抵赖性:交易一旦成功,是不能够否认的。要求电子交易过程中通信的各环节都必须不可否认,均无法推脱其责任。二、电子商务安全技术1、利用现代信息技术,维护网中的系统和网络网络安全涉及的内容很多:操作系统安全、防火墙技术、虚拟专用网VPN技术以及漏洞检测技术等。操作系统安全:目前计算机操作系统漏,如:微软的Windows系列操作系统,造成病毒木马以及恶意代码网上任意肆虐。防火墙技术:主要应用于专用网和公网之间的安全连接,根据事先制定的策略对对数据包进行过滤、分析和审计。虚拟专用网VPN:VPN通过的创建加密隧道在公网中传播,虚拟专用网安VPN全性高,目前被大多数电子商务公司采用。2、信息加密的算法在电子商务中安全问题的解决主要依赖于密码技术,主要有三种技术:信息加密技术、安全认证技术和数字签名技术。信息加密是对传输中的数据流加密,目前常用的有对称加密技术和非对称加密技术:对称加密是加密和解密都用同一个密钥,如IBM公司的DES算法;非对称加密是加密和解密运用密钥不同,是一对密钥(公钥和私钥)配对使用,公钥加密的数据必须有对应的私钥才能解密,反之亦然,如:RSA、DSS等算法。3、第三者冒名顶替的预防仅仅实现数据加密是不够的,还需要用户的认证和识别,其主要目的识别和证明双方真实身份,防止第三者冒名顶替。认证的主要方法:双重认证、数字证书和智能卡。为了保证交易正常进行,防止抵赖的发生,数字签名解决否认、伪造、篡改、和冒充等问题。目前数字签名采用较多的是公钥加密技术,数字签名算法有:Hash签名,DSS签名、RSA签名等。三、网络安全技术在实施网络安全防范时,首先保证主机本身安全,及时更新补丁,减少系统漏洞。其次,定期对网络进行扫描分析,及时发现存在的安全隐患,客观评估网络风险等级。根据扫描的结果及时修复网络安全漏洞和系统中的配置,在黑客和病毒攻击前进行防范。再次安装防火墙和入侵检测系统,对数据包进行过滤,设置全方位的安全策略。随着攻击工具与手法的日趋多样,单纯的防火墙无法满足对安全的要求,需要在此基础上建立纵深的入侵检测系统对网络、系统的运行状况进行监视,尽早发现各种攻击企图、攻击行为或者攻击结果。接着,从路由器到用户各级建立完善安全访问控制措施,加强授权管理和认证。最后,充分利用先进的数据存储技术加强数据备份和恢复措施,留有备份链路、备份设备和带宽来应对故障以及拒绝服务攻击。在信息安全方面:(1)基于Web方式应用的B2C可使用数字证书技术和SSL安全通信协议,对于简单的B2C不必为每个用户发放证书,可采用简单易行的SSL单向认证技术。(2)对于B2B在信息安全上要求严格、安全的身份认证技术;涉及商业机密加密传输;用数字签名技术保证合同和交易的完整性和不可抵赖性。系统认证的可采用安全性高、管理严格的公共密钥技术体系PKI,需要到第三方数字证书授权中心CA申请数字证书,证书包含证书的拥有者的基本信息和公钥,最常用的证书格式为X.509。通常企业用户的认证通过服务器CA证书和IC卡结合来实现。在基于Web方式应用的B2B系统采用依赖证书技术SSL/TLS协议实现安全通讯,依赖证书技术S/MIME协议实现安全的电子邮件。(3)建立严格保密制度,加强数字证书和密钥管理。四、我国电子商