电子商务安全现状及对策探讨

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
黑客 攻击电子商务系统的手段可以大致归纳为以下 5
种[ 4 ] 中断:采取破坏硬件 线路或文件系统等,攻击系统的可用性 窃取: 采取搭线 电磁窃取和分析业务流量等获取有用情
报 攻击系统的机密性 篡改:结合其他手段修改秘密文件或核心内容 攻击内容的
完整性 伪造: 采取伪造假身份注入系统 假冒合法人接入系统
2.电子商务安全的现状 作为对互联网的应用 电子商务正如雨后春笋般蓬勃发 展 但由于技术不完善和管理不到位 安全隐患还很凸出 2.1 基础技术相对薄弱 国外有关电子商务的安全技术 其结构或加密算法等都不 错 但由于受到本国密码政策的限制 公开的算法对于他们来 说几乎不能保密了 潜在安全隐患极大 比较遗憾的是我国至 今还没有自己研发成功的较为成熟的算法 2.2 体系结构不完整 电子商务安全以前大都担当着 救火队 的角色 头痛 医头 脚痛医脚 这种 治标不治本 的做法 问题总是 层出不穷 近年来 人们已经开始着手从体系结构来解决问 题 应当说在理论上已取得了明显进展 但到实践运用还有需 要更大的努力 2.3 支持产品不过硬 目前,市场上有关电子商务安全的产品数量不少 但真正通 过认证的相当少 主要是因为不少安全措施是从网上 移植 来 的 另外 不少电子商务安全技术的厂商对网络技术很熟悉 但 对安全技术普遍了解得不够 很难开发出真正实用的 足够的安 全技术和产品[3] 目前构成我国信息基础设施的网络 硬件 软 件等产品几乎完全建立在以美国为首的少数几个发达国家的核心 信息技术之上 2 . 4 多种 威胁 纷杂交织 频频发生 电子商务面临的安全威胁主要来源于三个方面 一是非人 为 自然力造成的数据丢失 设备失效 线路阻断 二是人 为但属于操作人员无意的失误造成的数据丢失 三是来自外部 和内部人员的恶意攻击和入侵 最后一种是当前电子商务所面 临的最大威胁 极大地影响了电子商务的顺利发展 因此它是 电子商务安全对策最需要解决的问题
破坏消息的接受和发送 攻击系统的真实性 轰炸: 采取施放电子邮件炸弹等 攻击系统的健壮性
3.必须确立的电子商务安全理念 第一 安全是一个系统的概念 安全问题不仅仅是个技术 性的问题 更重要的还在于管理 它与法律 道德和人的因素紧 密地联系在一起 只有全面协调地发展 才能建立一个安全的电 子商务系统 第二 安全是相对的 必须认识到 没有也不可能有一 项永远攻不破的安全技术 那种妄想系统以后永远不受攻击 不 出安全问题是很难的 是不现实的 第三 安全是有成本和代价的 在电子商务系统中 安 全和速度是一对利益矛盾共同体 如果只注重速度就必定要以牺 牲安全来作为代价 根据不同的具体应用 如果不直接牵涉到支 付等敏感问题 对安全的要求可以低一些 否则对安全的要求就 要高一些 作为一个经营者和安全技术的研发者 都应该综合考 虑这两个因素 第四 安全是发展的 动态的 道高一尺 魔高一 丈 今天安全明天就不一定很安全 安全技术具有很强的敏感 性 竞争性和对抗性 需要不断地检查 评估和调整相应的安全 策略 一定要记住,没有一蹴而就的安全,也没有一劳永逸的安 全 第五 出现问题很难找到负责人 有人戏说 电子商 务目前是个 三无 行业 无法可依 无安全可言 无规可循 可见电子商务机遇与挑战并存 潜在风险极大 值得高兴的事 我国政府已把电子商务的管理提到议事日程上来 开始了有关的 立法和政策制定 相关的支持技术也不断发展完善[3]
5.2 电子商务安全的实现技术 网络安全中所包括的安全技术众多 在电子商务中主要应 用了网络隔离 数据加密和身份认证等技术 5.2.1 网络隔离 根据功能 保密和安全要求的不同将网络进行分段隔离 细化安全控制体系 将攻击和入侵造成的威胁分别限制在较小的 子网内 从而提高网络整体的安全水平 路由器 虚拟局域网 V L A N 防火墙是当前采用的主要的网络分段手段[ 4 ] 防火墙根据网络安全水平和可信任关系将网络划分成一些相 对独立的子网 依据既定的安全策略对两侧间的通信进行检查控 制 允许特定的用户与数据包穿过 同时隔断非法用户及数据 包 从而保护高安全等级的子网 防止 墙 外黑客的攻击 限 制入侵蔓延等目的 但防火墙并不是万能的 它在很多方面存在 弱点 比如,它无法防止来自防火墙内部攻击 对各种已识别攻 击类型的防御有赖于正确的配置 对各种最新攻击类型的防御 取决于防火墙知识库更新的速度和相应的配置更新的速度 同 时 防火墙的使用常常会引起网络安全管理的松懈 5.2.2 数据加密技术与数字签名 数据加密技术思想是在加密密钥 Ke 的控制下按照加密算法 E 对要保护的数据 即明文 M 加密成密文 C 记为 C E M K e 解密是在解密密钥 K d 的控制下按照解密算法 D 对密文以进行反变换后还原为明文 M 记为 M D C K d 根据密钥性质的不同 可分为传统密码体制和公开密 码体制两大类型 传统密码体制采用对称加密算法 加密解密 用一个密钥 即 Ke Kd 对称加密算法最常用的一种方式资 料加密标准 D E S 而公开钥密码体制采用非对称加密算 法 使用一对密钥即一个私钥和一个公钥 其对应关系是唯一 的 公钥对外公开 私钥个人秘密保存 一般用公钥来进行 加密 用私钥来进行签名 同时私钥用来解密 公钥用来验 证签名 非对称加密算法常见的有 R S A D S A 等 数字签名就是信息发送者用其私钥对从所传报文中提出的特
万方数据
科技资讯 SCIENCE & TECHNOLOGY INFORMATION
201
电子商务安全现状及对策探讨
作者: 作者单位: 刊名:
英文刊名: 年,卷(期): 引用次数:
杨爱民 四川大学计算机学院,四川,成都,610065
科技资讯 SCIENCE & TECHNOLOGY INFORMATION 2006,(6) 4次
科技资讯 2006 NO.6
SCIENCE & TECHNOLOGY INFORMATION
征数据或称数字指纹进行算法解密运运算操作 得到发信者对 该数字指纹的签名函数 H(m 签名函数 H m 从技术上标识 了发信者对该电文的数字指纹的责任 因为发信者的私钥只有他 本人才有 所以他一旦完成了签名便保证了发信人无法抵赖曾发 过该信息 即不可抵赖性 经验无误的签名电文同时也确保信 息报文在经签名后被篡改 即完整性 当信息接收者收到报文 后 就可以用发送者的公钥对数字签名的真实性进行验证
并提出电
1.引言 随着Internet的迅猛发展,电子商务作为一种崭新的商务活 动模式,受到了全世界 全社会的广泛关注和吸纳 它深刻影响 和改变着人们的生活方式 更显著地提高了整个社会的经济运行 效率 电子商务在国外,尤其是一些发达国家,已经是一种常用的 交易方式 已趋完善 而在我国正逐步崛起 发展前景十分广阔 电子商务是在互联网上使用单位或个人秘密进行的端对端的 交易,交易双方都面临着不同的安全威胁 因此确保电子商务像 传统方法一样安全可靠是广泛 持久地开展电子商务活动的基础 和关键 文章在分析电子商务安全现状基础上 阐发了电子商务活 动中应确立的一些安全理念和应了解掌握的基本要求 对此着 重探讨了电子商务安全解决方案和其实现技术
200 科技资讯 SCIENCE & TECHNOLOGY INFORMATION 万方数据
学 术 论 坛
[1] 5 电子商务安全解决方案及实现技术 电子商务安全需要确立综合防范的思路 从技术 管理
法律等方面综合思考 才能够建立一个完整的网络交易安全体 系 这里是着重从技术方面来进行分析
5.1 电子商务安全解决方案 电子商务安全解决完整方案分为四个层次[2]: 基础设备安 全 终端设备安全 网络设备安全 系统设备安全 采用安全技 术实现基础或终端设备与网络或系统的交互 一般地 基础安全 设备包括加密卡 身份识别卡等 终端安全设备包括传真密码 机 电话密码机等 系统安全设备包括安全服务器 安全加密件 金融加密机等 网络安全设备包括安全路由器 防火墙以及安全 协议等 安全技术主要有身份认证技术 访问控制技术 加密技 术 智能卡技术 虚拟专用网络技术以及 PKI 技术等 现行电子 商务实现的解决方案一般如下图 1 所示
科技资讯 2006 NO.6 SCIENCE & TECHNOLOGY INFORMATIONຫໍສະໝຸດ Baidu
学 术 论 坛
电子商务安全现状及对策探讨
杨爱民 四川大学计算机学院 四川成都 610065
摘 要:电子商务安全是电子商务活动的基础和关键 文章首先研究电子商务安全的现状和电子交易中通常面临的威胁 子商务中必须确立的安全理念和电子商务安全的基本要求 最后探讨了电子商务安全解决方案及其实现技术 关键词 电子商务安全 网络隔离 数据加密 身份认证 SSL 协议 SET 协议 中图分类号 TP393 文献标识码 A
4.电子商务安全的基本要求 第一 确定贸易伙伴身份的真实性 第二 确保信息的保密性 如怎样保证用户的信用号不被 窃取 如何保证货源定单等信息不被竞争对手获悉等 第三 保证电子定单等信息的真实性(未被冒充)以及在传输 过程中未被篡改 第四 保证电子定单等信息的不可否认性 即交易的任何 一方在未经对方同意的情况下都不能出尔反尔 第五 在交易双方发生纠纷时能得到合理的仲裁和解决
6.结束语 电子商务安全技术是具有很强对抗性的敏感技术 在看到 其将不断遇到来自方方面面的新的威胁的同时 更要看到其大 幅度提高社会经济效率的主导作用 在注重安全的基础上大力 发展电子商务 国内重点要努力在一些基础性 关键性技术上 取得突破 不断提高安全保障能力 为电子商务发展创建良好 的安全环境
参考资料 [1]李涛.网络安全概论[M].北京:电子工业出版社 2004. [2]葛秀慧,田浩,王凌云等.计算机网络安全管理[M]. 北京: 清华大学出版社,2003. [3]张斌.电子商务中的信息安全 [J].晋中师范高等专科学校 学报,2003,20(2): 131 ̄. [4]王晓斌,吴志红.网络安全与电子商务[J].沈阳航空工业学 院学报,2003,20(2):32 ̄34.
算法的加密强度主要取决于选定的密钥长度 5.2.3 身份认证技术 主要利用 R S A 算法在密钥自动管理 数字签名 身份识 别等方面的特性 建立的一个为用户的公开密钥提供担保的可 信的第三方认证系统 称之为 C A C A 为用户发放电子证书 用户之间利用证书来保证安全性和双方身份的合法性 5.2.4 SSL 协议和 SET 协议 SSL协议是Netscape公司在网络传输层之上提供的一种基于 RSA 和加密密钥的用于浏览器和 Web 服务器之间的安全连接技 术 它在应用层收发数据前 协商加密算法 连接密钥并认证通 信双方 从而为应用层提供了安全的传输通道 在该通道上可透 明加载任何高层应用协议以保证应用层数据传输的安全性 SSL 协议独立于应用层协议 且被大部分的浏览器和 Web 服务器所 内置 便于在电子交易中应用 因此 在电子交易中被用来安全 传送信用卡号码 国际著名的 CyberCash 信用卡支付系统就支 持这种简单加密模式 IBM等公司也提供了这种简单加密模式的 支付系统 但 SSL 协议它是一个面向连接的协议 在涉及多方的电子 交易中 只能提供交易中客户与服务器间的双方认证 而电子 商务往往是用户 网站 银行三家协作完成 S S L 协议并不 能协调各方间的安全传输和信任关系 因此 为了实现更加完 善的电子交易 制订发布了 S E T 协议 SET协议是目前唯一保证信用卡信息能安全可靠地通过因特 网传输的新协议 它为在 Internet 上进行安全的电子商务活动 提供了一个开放的标准 为 Internet 上支付交易提供高层的安 全和反欺诈保证 SET 协议为基于信用卡进行电子交易的应用 提供了安全措施 保证了电子交易的机密性 数据完整性 身 份的合法性和抗否认性 S E T 是专门为电子商务而设计的协 议 它在很多方面优于 SSL 协议 但也存在不能解决电子商务 所遇到的全部问题
相关文档
最新文档