电子商务安全风险及对策浅析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子商务安全风险及对策浅析
学生:余静娴
指导教师:阳国华
摘要:随着近年来,网络﹑通信和信息技术快速发展和日益融合,网络在全球迅速普及,促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题,阐述了电子商务安全体系及安全技术和对策浅析。
关键词:电子商务;安全技术;运用;安全体系;防火墙
前言
所谓电子商务是指商务活动的电子化实现,即通过电子化手段来实现传统的商务活动。其优点:电子商务可以降低商家的运营成本,提高其利润率;可以扩大商品销路,建立企业和企业之间的联系渠道,为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出,安全的电子支付是实现电子商务的关键环节,而不安全的电子支付不能真正实现电子商务。
一、电子商务网络及本身存在的安全隐患问题
目前,我国的电子商务存在普遍的窃取信息现象,不利于电子商务数据信息的安全管理。我们从两个典型案例说起:
案例一:淘宝“错价门”。互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。
案例一简析:目前,我国电子商务领域安全问题日益凸显,比如,支付宝
或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。
案例二:黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站被黑客入侵的案例,国内的电子商务网站近两年也发生过类似事件。浙江义乌一些大型批发网站曾经遭到黑客近一个月的轮番攻击,网站图片几乎都不能显示,每天流失订单金额达上百万元。阿里巴巴网站也曾确认受到不明身份的网络黑客攻击,这些黑客采取多种手段攻击了阿里巴巴在我国大陆和美国的服务器,企图破坏阿里巴巴全球速卖通台的正常运营。随着国内移动互联网的发展,移动电子商务也将迅速发展并给人们带来更大便利,但是由此也将带来更多的安全隐患。黑客针对无线网络的窃听能获取用户的通信内容、侵犯用户的隐私权。
案例二简析:黑客攻击可以是多层次、多方面、多种形式的。攻击电子商务平台,黑客可以轻松赚取巨大的、实实在在的经济利益。比如:窃取某个电子商务企业的用户资料,贩卖用户的个人信息;破解用户个人账号密码,可以冒充他人购物,并把商品货物发给自己。黑客有可能受经济利益驱使,也有可能是同业者暗箱操作打击竞争对手。攻击电子商务企业后台系统的往往是专业的黑客团队,要想防范其入侵,难度颇大。尤其是对于一些中小型电子商务网站而言,比如数量庞大的团购网站,对抗黑客入侵更是有些力不从心。如果大量电子商务企业后台系统的安全得不到保障,我国整个电子商务的发展也将面临极大威胁。
从上述两个案例可以看出,网络安全入侵者可以利用电子商务路由器或者网关截获数据信息,并且他们经过多次反复的窃取信息,便可以有效的找出电子商务贸易的一般规律或者贸易格式,从而造成电子商务网上交易的不安全,甚至造成网络相关数据信息的丢失和泄露,引发一系列的﹑不可估量的严重后果。当网络入侵者截获他们需要的有用信息,掌握了电子商务规律,他们通过破译方法或手段,将电子商务信息进行随意的篡改,将改过的信息交给交易方,这样会影响电子商务交易秩序的混乱,导致部分企业破产崩溃。伪造身份冒充合法的交易者参与交易,对电子商务协议进行攻击。恶意破坏删节通信信息中的数据,取消用户订单,生成虚假信息。协议参与方对交易进行抵赖,否认交易结果以及交易方在多次交易的表现不诚实,服务低劣等各种问问题。总之,电子商务网路有待提高。
二﹑电子商务安全体系组成
(一)物理安全
电子商务物理安全主要是指为了保护电子商务系统安全可靠的运行,确保在交易,处理,传输过程中不受人为或自然灾害危害,而对计算机,网络设备,设施,环镜采取的安全的措施。主要包括:物理位置的选择,防盗窃防破坏,防雷击,静电等。
目的主要使存放计算机﹑网络设备的机房,电子商务系统的的设备和存储设备的介质等免受物理环境﹑自然灾害及人为操作等各种威胁所产生的攻击。物理安全是防护电子商务系统安全的最底层,缺乏物理安全,其他任何措施都是无意义的。
(二)网络安全
网络安全为电子商务在网络环境下的安全运行提供支持。一方面,确保网络设备的安全运行,提供有效的网络服务;另一方面,确保在网上传输数据的保密性,完整性和可用性等。包括:网络结构,访问控制,入侵防范,恶意代码防范等。
重要信息系统的网络安全要求对网络边界的访问控制做出更为严格的要求,禁止远程拨号访问,不允许数据带通用协议通用。网络安全审计应着眼于系统全局,做出集中审计分析,以便得到更多的综合信息。主要网络设备应对同一用户选择两种或两种以上组合的鉴别信息至少应有一种是不可伪造的,以加强对网络设备的防护。
(三)主机安全
主机系统安全是包括服务器,终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。保障主机系统安全的措施包括:身份鉴别,安全标记,访问控制,恶意代码防范,剩余信息和资源控制等。
终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序﹑网络﹑WEB﹑文件与通信等服务器。主机系统是构成电子商务系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护电子商务系统安全的中坚力量。
(四)应用安全
通过网络,主机系统的安全防范,应用安全成为电子商务系统整体防御的最后一道防线。在应用层面运行着电子商务系统基于网络的运用以及特定业务的应用。基于网络的运用是形成其他应用的基础,包括信息发送