论文部分内容阅读
摘要: 电子商务日益发展给世界经济带来重要增长点,但电子商务网站的安全是一个不可忽略的问题,从网站的安全措施入手,深入探讨网络条件下商务网站的安全威胁及应该采取的安全技术及安全管理策略。
关键词: 电子商务;信息;加密;协议
中图分类号:TP393文献标识码:A文章编号:1671-7597(2011)0620174-01
随着互联网技术的应用以及网上用户的增加,给电子商务的发展带来了商机与活力,并成为推动新世纪世界经济增长的重要动力。随之而来的电子商务网站的安全成为了必须要面对的重大问题。电子商务网站可靠运行并开展有效的电子商务活动是消除网站用户顾虑、扩大用户群的关键所在。
电子商务是建立在网络基础上的,是通过计算机的操作实现的,因此,在探讨电子商务网站的安全问题和安全管理时,需要把计算机网站安全和电子商务活动安全结合起来考虑。
1 电子商务安全概述
首先,电子商务活动离不开电子商务服务器、客户机以及连接服务器与客户机的通信线路。因此保证电子商务安全就要保证电子商务服务器的安全、客户机的安全及通信线路的安全。
再次,进行电子商务活动,包括的主要环节有:商家建立电子商务网站,客户上网浏览选择,客户下订单、支付,商家对客户订单的确认、处理,商家向客户发货、售后服务等。保证电子商务活动的每个环节的安全,也就能保证整个电子商务活动的安全。
一般而言,这些环节中的安全问题主要包括:信息的准确、不被篡改,商家及客户身份的谁,客户的敏感信息不被泄露、盗用等。因此,电子商务的安全,就是企业信息的安全,就是客户交易的安全,是网上交易各方相互信任的基点。
电子商务安全措施主要分为物理安全措施和逻辑安全措施。为了能更有效地保证电子商务的安全,应该制定切实可行的安全策略。安全策略一般应包括以下内容:
1)认证:对交易各方的身份的确认。
2)访问控制:设置不同的人具有不同的访问权限。
3)保密:对于敏感信息及商业秘密信息限制读取的范围。
4)数据的完整性:限制对数据的修改权限。
5)审计:对操作的人、事及时间进行记录和审查。
2 威胁电子商务网站安全的主要表现
对网络进行的攻击和破坏所采取的手段多种多样,然而大多数还是利用系统本身的漏洞进行攻击,其最主要的威胁表现在以下几个方面:
1)系统侵入,即未授权用户通过非法手段侵入到系统内部,实现对系统资源的占领、对用户信息的窃取、篡改和非法使用。
2)监听扫描,即通过某种软件对网络主机进行信息扫描或者是信息监视,以提取重要信息,通过分析,获得有价值的数据。
3)身份仿冒,即利用用户身份认证密码在登录时以明文的方式在网络上进行传输的缺陷,将其截获,进而可以对用户的身份进行仿冒,使身份认证机制被攻破。
4)信息重发,即攻击者在截获网络上的相关信息后,并不将其破译,而是把这些数据再次发向有关的服务器,以实现其恶意的目的。
3 电子商务网站的安全技术
在选择电子商务网站的安全措施时,应综合考虑网站所面临的安全威胁、采取安全措施应付出的代价及所保护数据信息的价值等因素。电子商务网站所应用的安全技术有如下几种:
1)数字签名。数字签名通过数字通信网络传递贸易合同这样即快捷又方便,但这就出现了合同真实性的问题,为了解决这个问题应运而生了数字签名。数字签名是公开密钥加密技术的应用之一。数字签名应保证:① 接收者可核实发送者对报文的签名;② 接收者不能伪造报文的签名;③ 发送者不能抵赖报文的签名。
2)加密技术。加密技术是网站采取的主要安全技术。目前,加密技术分为两类:一类为对称加密。对称加密方法是指信息的加密解密都使用相同的密钥。使用方不必相互研究和交换专用的加密算法,是采用相同的加密算法,只交换共享的专用密钥。对称加密技术存在着使用双方之间确保密钥安全交换问题以及互相鉴别对方的问题。另一类为非对称加密。非对称加密体系中,密钥被分解为一对。这对密钥中的任何一把都可以作为公开密钥向其他人公开,而另一把则作为专用密钥加以保存。公开密钥用于加密,专用密钥用于解密。
3)E-mail安全协议。E-mail是商务信息传输的重要手段,而它却没有很强的安全防范措施,Internet工程任务组为扩充E-mail的安全性能制定了三个规范。① PEM。PEM是增强E-mail隐秘性的标准规范。② S/MIME。S/MIME是在RFC1521所描述的多功能E-mail扩充报文基础上添加数字签名和加密技术的一种协议。S/MIME是在MIME上定义安全服务措施。③ MOSS。MOSS是结合PEM和MIME两者的特性,制定了E-mail的安全措施。
4)其他的因特网安全协议。① 安全套接层(SSL)。SSL用以保障在因特网上数据传输之安全,利用数据加密技术,确保数据在网络上之传输过程中不会被截取及窃听。② 安全的超文本传输协议(S-HTTP)。安全的超文本传输协议是一种面向安全信息通信的协议,可以和HTTP结合起来使用。安全的超文本传输协议能与HTTP共存并易于HTTP应用程序相整合。③ 安全电子交易规范(SET)。安全电子交易规范是为基于信用卡进行电子化交易时提供实现安全保障的规则。安全电子交易规范采用公开密钥加密和数字证书对消费者和商家进行验证,确保交易数据的安全性、完整性和交易的不可抵赖性,特别是保证可不会将持卡人的账户信息泄露给商家。
5)防火墙技术防火墙并不是真正的一堵墙,它是一类防范措施的总称,是一种有效的网络安全模型,是机构总体安全策略的一部分,它阻挡对内、对外的非法访问和不安全的数据传递,在内部网与外部网之间的界面上构造一个保护层,并强制所有的链接都必须经过此保护层,在此进行检查和链接。只有被授权的通信才能通过此保护层,从而保护内部网与外网的访问。防火墙技术已经成为实现网络安全策略的最有效工具之一,并被广泛地用到Internet上。防火墙(FireWall)大体上可分为两种:第一种是基于包过滤,第二种是基于代理服务。第一种防火墙对用户完全透明,速度较快;第二种防火墙则是通过代理服务器建立连接,它可以有更多的身份验证和日志功能。
随着计算机网络和通信技术的发展,电子商务网站已经成为重要的商务交易平台,交易量以及交易范围日益扩大,成为了当下商务发展趋势。因此,注意到网络的脆弱性和潜在的威胁,采取强有力的安全策略,是保障电子商务安全的重要手段。
参考文献:
[1]李天侠等,《电子商务网站建设与维护》,中国铁道出版社.
[2]李琪等,《电子商务概论》,高等教育出版社.
关键词: 电子商务;信息;加密;协议
中图分类号:TP393文献标识码:A文章编号:1671-7597(2011)0620174-01
随着互联网技术的应用以及网上用户的增加,给电子商务的发展带来了商机与活力,并成为推动新世纪世界经济增长的重要动力。随之而来的电子商务网站的安全成为了必须要面对的重大问题。电子商务网站可靠运行并开展有效的电子商务活动是消除网站用户顾虑、扩大用户群的关键所在。
电子商务是建立在网络基础上的,是通过计算机的操作实现的,因此,在探讨电子商务网站的安全问题和安全管理时,需要把计算机网站安全和电子商务活动安全结合起来考虑。
1 电子商务安全概述
首先,电子商务活动离不开电子商务服务器、客户机以及连接服务器与客户机的通信线路。因此保证电子商务安全就要保证电子商务服务器的安全、客户机的安全及通信线路的安全。
再次,进行电子商务活动,包括的主要环节有:商家建立电子商务网站,客户上网浏览选择,客户下订单、支付,商家对客户订单的确认、处理,商家向客户发货、售后服务等。保证电子商务活动的每个环节的安全,也就能保证整个电子商务活动的安全。
一般而言,这些环节中的安全问题主要包括:信息的准确、不被篡改,商家及客户身份的谁,客户的敏感信息不被泄露、盗用等。因此,电子商务的安全,就是企业信息的安全,就是客户交易的安全,是网上交易各方相互信任的基点。
电子商务安全措施主要分为物理安全措施和逻辑安全措施。为了能更有效地保证电子商务的安全,应该制定切实可行的安全策略。安全策略一般应包括以下内容:
1)认证:对交易各方的身份的确认。
2)访问控制:设置不同的人具有不同的访问权限。
3)保密:对于敏感信息及商业秘密信息限制读取的范围。
4)数据的完整性:限制对数据的修改权限。
5)审计:对操作的人、事及时间进行记录和审查。
2 威胁电子商务网站安全的主要表现
对网络进行的攻击和破坏所采取的手段多种多样,然而大多数还是利用系统本身的漏洞进行攻击,其最主要的威胁表现在以下几个方面:
1)系统侵入,即未授权用户通过非法手段侵入到系统内部,实现对系统资源的占领、对用户信息的窃取、篡改和非法使用。
2)监听扫描,即通过某种软件对网络主机进行信息扫描或者是信息监视,以提取重要信息,通过分析,获得有价值的数据。
3)身份仿冒,即利用用户身份认证密码在登录时以明文的方式在网络上进行传输的缺陷,将其截获,进而可以对用户的身份进行仿冒,使身份认证机制被攻破。
4)信息重发,即攻击者在截获网络上的相关信息后,并不将其破译,而是把这些数据再次发向有关的服务器,以实现其恶意的目的。
3 电子商务网站的安全技术
在选择电子商务网站的安全措施时,应综合考虑网站所面临的安全威胁、采取安全措施应付出的代价及所保护数据信息的价值等因素。电子商务网站所应用的安全技术有如下几种:
1)数字签名。数字签名通过数字通信网络传递贸易合同这样即快捷又方便,但这就出现了合同真实性的问题,为了解决这个问题应运而生了数字签名。数字签名是公开密钥加密技术的应用之一。数字签名应保证:① 接收者可核实发送者对报文的签名;② 接收者不能伪造报文的签名;③ 发送者不能抵赖报文的签名。
2)加密技术。加密技术是网站采取的主要安全技术。目前,加密技术分为两类:一类为对称加密。对称加密方法是指信息的加密解密都使用相同的密钥。使用方不必相互研究和交换专用的加密算法,是采用相同的加密算法,只交换共享的专用密钥。对称加密技术存在着使用双方之间确保密钥安全交换问题以及互相鉴别对方的问题。另一类为非对称加密。非对称加密体系中,密钥被分解为一对。这对密钥中的任何一把都可以作为公开密钥向其他人公开,而另一把则作为专用密钥加以保存。公开密钥用于加密,专用密钥用于解密。
3)E-mail安全协议。E-mail是商务信息传输的重要手段,而它却没有很强的安全防范措施,Internet工程任务组为扩充E-mail的安全性能制定了三个规范。① PEM。PEM是增强E-mail隐秘性的标准规范。② S/MIME。S/MIME是在RFC1521所描述的多功能E-mail扩充报文基础上添加数字签名和加密技术的一种协议。S/MIME是在MIME上定义安全服务措施。③ MOSS。MOSS是结合PEM和MIME两者的特性,制定了E-mail的安全措施。
4)其他的因特网安全协议。① 安全套接层(SSL)。SSL用以保障在因特网上数据传输之安全,利用数据加密技术,确保数据在网络上之传输过程中不会被截取及窃听。② 安全的超文本传输协议(S-HTTP)。安全的超文本传输协议是一种面向安全信息通信的协议,可以和HTTP结合起来使用。安全的超文本传输协议能与HTTP共存并易于HTTP应用程序相整合。③ 安全电子交易规范(SET)。安全电子交易规范是为基于信用卡进行电子化交易时提供实现安全保障的规则。安全电子交易规范采用公开密钥加密和数字证书对消费者和商家进行验证,确保交易数据的安全性、完整性和交易的不可抵赖性,特别是保证可不会将持卡人的账户信息泄露给商家。
5)防火墙技术防火墙并不是真正的一堵墙,它是一类防范措施的总称,是一种有效的网络安全模型,是机构总体安全策略的一部分,它阻挡对内、对外的非法访问和不安全的数据传递,在内部网与外部网之间的界面上构造一个保护层,并强制所有的链接都必须经过此保护层,在此进行检查和链接。只有被授权的通信才能通过此保护层,从而保护内部网与外网的访问。防火墙技术已经成为实现网络安全策略的最有效工具之一,并被广泛地用到Internet上。防火墙(FireWall)大体上可分为两种:第一种是基于包过滤,第二种是基于代理服务。第一种防火墙对用户完全透明,速度较快;第二种防火墙则是通过代理服务器建立连接,它可以有更多的身份验证和日志功能。
随着计算机网络和通信技术的发展,电子商务网站已经成为重要的商务交易平台,交易量以及交易范围日益扩大,成为了当下商务发展趋势。因此,注意到网络的脆弱性和潜在的威胁,采取强有力的安全策略,是保障电子商务安全的重要手段。
参考文献:
[1]李天侠等,《电子商务网站建设与维护》,中国铁道出版社.
[2]李琪等,《电子商务概论》,高等教育出版社.