前言：本站為你精心整理了電子商務(wù)安全范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢(xún)。

摘要:隨著電子信息技術(shù)的迅速普及和廣泛應(yīng)用,電子商務(wù)以其快捷、便利等優(yōu)點(diǎn)越來(lái)越受到社會(huì)的認(rèn)可。電子商務(wù)的發(fā)展前景十分誘人,但商業(yè)信息的安全依然是電子商務(wù)的首要問(wèn)題。本文從實(shí)現(xiàn)電子商務(wù)安全性的基本框架出發(fā),對(duì)電子商務(wù)中的各種安全技術(shù)進(jìn)行了分析,以探討一種有效、安全的實(shí)現(xiàn)電子商務(wù)的途徑。

關(guān)鍵詞:電子商務(wù);身份認(rèn)證;防火墻

一、有關(guān)電子商務(wù)的安全性要求

1.對(duì)電子商務(wù)活動(dòng)安全性的要求:

(1)服務(wù)的有效性要求。電子商務(wù)系統(tǒng)應(yīng)能防止服務(wù)失敗情況的發(fā)生,預(yù)防由于網(wǎng)絡(luò)故障和病毒發(fā)作等因素產(chǎn)生的系統(tǒng)停止服務(wù)等情況,保證交易數(shù)據(jù)能準(zhǔn)確快速的傳送。

(2)交易信息的保密性要求。電子商務(wù)系統(tǒng)應(yīng)對(duì)用戶所傳送的信息進(jìn)行有效的加密,防止因信息被截取破譯,同時(shí)要防止信息被越權(quán)訪問(wèn)。

(3)數(shù)據(jù)完整性要求。數(shù)字完整性是指在數(shù)據(jù)處理過(guò)程中,原來(lái)數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務(wù)交易的嚴(yán)肅和公正,交易的文件是不可被修改的,否則必然會(huì)損害一方的商業(yè)利益。

(4)身份認(rèn)證的要求。電子商務(wù)系統(tǒng)應(yīng)提供安全有效的身份認(rèn)證機(jī)制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時(shí)提供法律依據(jù)。

2.電子商務(wù)的主要安全要素

(1)信息真實(shí)性、有效性。電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

(2)信息機(jī)密性。電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

(3)信息完整性。電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

(4)信息可靠性、可鑒別性和不可抵賴(lài)性?？煽啃砸蠹词悄鼙ＷC合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴(lài)行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在internet上每個(gè)人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴(lài);接收方在接收數(shù)據(jù)后也不能抵賴(lài)。

二、電子商務(wù)采用的主要安全技術(shù)

1.網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供一個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個(gè)安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤(pán)和數(shù)據(jù)加密、病毒防護(hù)措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒(méi)有全面的安全策略,那么防火墻就形同虛設(shè)。

2.通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過(guò)加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書(shū),證書(shū)包括一個(gè)公鑰,由一家可信證書(shū)授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書(shū)的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份,而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)(下載可以在訪問(wèn)之前或訪問(wèn)時(shí))。驗(yàn)證此證書(shū)是合法的服務(wù)器證書(shū)通過(guò)后利用該證書(shū)對(duì)稱(chēng)加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱(chēng)算法及密鑰,然后用此對(duì)稱(chēng)算法加密傳輸?shù)拿魑?。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。

3.應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹＠?緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)像這些問(wèn)題一樣的錯(cuò)誤。

4.用戶的認(rèn)證管理

(1)身份認(rèn)證。電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書(shū)與IC卡相結(jié)合實(shí)現(xiàn)。CA證書(shū)用來(lái)認(rèn)證服務(wù)器的身份,IC卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒(méi)有提供交易功能,所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。

(2)CA證書(shū)。要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書(shū)進(jìn)行驗(yàn)證,這份數(shù)字證書(shū)就是CA證書(shū),它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書(shū),并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)的管理。CA中心一般是社會(huì)公認(rèn)的可靠組織,它對(duì)個(gè)人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書(shū),證書(shū)分為服務(wù)器證書(shū)和個(gè)人證書(shū)。建立SSL安全鏈接不需要一定有個(gè)人證書(shū),實(shí)際上不驗(yàn)證客戶的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)。

(3)安全套接層SSL協(xié)議。安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

SSL通過(guò)數(shù)字簽名和數(shù)字證書(shū)來(lái)實(shí)行身份驗(yàn)證,數(shù)字證書(shū)是從認(rèn)證機(jī)構(gòu)(CA,CertificateAuthority)獲得的,通常包含有唯一標(biāo)識(shí)證書(shū)所有者的名稱(chēng)、唯一標(biāo)識(shí)證書(shū)者的名稱(chēng)、證書(shū)所有者的公開(kāi)密鑰、證書(shū)者的數(shù)字簽名、證書(shū)的有效期及證書(shū)的序列號(hào)等。在用數(shù)字證書(shū)對(duì)雙方的身份驗(yàn)證后,雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如Ht2tp、Ftp、Telnet等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩?。SSL協(xié)議握手流程由兩個(gè)階段組成:服務(wù)器認(rèn)證和用戶認(rèn)證。

三、電子商務(wù)安全需要進(jìn)一步完善的配套措施

電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式,尤其對(duì)發(fā)展中的中國(guó)來(lái)說(shuō),發(fā)展電子商務(wù),就必須從以下幾個(gè)方面來(lái)完善配套措施:

(1)突破關(guān)鍵技術(shù)受制于人的瓶頸。

(2)我國(guó)應(yīng)盡快對(duì)電子商務(wù)的有關(guān)細(xì)則進(jìn)行立法。

(3)大力開(kāi)發(fā)大型商務(wù)網(wǎng)站,發(fā)展與之相配套的物流公司。

(4)為了確保系統(tǒng)的安全性,除了采用技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。

(5)建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢(xún)。

(6)對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份,且對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù),數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對(duì)的,而不是絕對(duì)的。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類(lèi)問(wèn)題,使電子商務(wù)系統(tǒng)相對(duì)更安全。

參考文獻(xiàn):

[1]吳洋.電子商務(wù)安全方法研究[D].天津:天津大學(xué),2006.

[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005(6).

[3]成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評(píng)估[J].計(jì)算機(jī)工程,2003(2).

[4]甘悅.淺議電子商務(wù)信息安全體系的構(gòu)建[J].西北成人教育學(xué)報(bào),2007(2).

[5]周明,黃元江,李建設(shè).電子商務(wù)中的安全技術(shù)研究[J].株洲工學(xué)院學(xué)報(bào),2005(1).

[6]張娟.電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究[J].甘肅科技縱橫,2005(4).

[7]趙乃真.電子商務(wù)技術(shù)與應(yīng)用[M].北京:中國(guó)鐵道出版社,2003.

[8]常連定,趙剛.我國(guó)電子商務(wù)發(fā)展存在的問(wèn)題及應(yīng)對(duì)策略[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì),2005(10).

[9]劉延煥,王華慶.金融干部網(wǎng)上銀行知識(shí)讀本[M].北京:中國(guó)金融出版社,2005

本文關(guān)鍵詞：電子商務(wù)身份認(rèn)證防火墻