起重學(xué)院
下載手機(jī)APP
當(dāng)前位置: 首頁(yè) ? 起重學(xué)院 ? 電子商務(wù) ? 正文

電子商務(wù)安全問題與解決策略簡(jiǎn)析

來(lái)源:中國(guó)起重機(jī)械網(wǎng)
|
|
|
       電子商務(wù)是以互聯(lián)網(wǎng)作為交易平臺(tái)進(jìn)行交易,因此安全問題已經(jīng)成為電子商務(wù)發(fā)展的主要問題?,F(xiàn)今電子商務(wù)發(fā)展過程中存在哪些安全威脅呢?相應(yīng)的技術(shù)解決辦法是什么呢?
 
       電子商務(wù)安全的主要特性
  
       1.機(jī)密性
  電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。
  2.完整性
  電子商務(wù)簡(jiǎn)化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。要預(yù)防對(duì)信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。
  3.可靠性
  在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。這也就是人們常說的“白紙黑字”。在無(wú)紙化的電子商務(wù)方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已不可能,因此,要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。
  4.有效性
  電子商務(wù)以電子形式取代了紙張,那么如何保證這種電子形式貿(mào)易信息的有效性則是開展電子商務(wù)的前提。
  5.可靠性
傳統(tǒng)的交易是面對(duì)面的,比較容易保證建立交易雙方的信任關(guān)系和交易過程的安全性;而電子商務(wù)活動(dòng)中的交易行為是通過網(wǎng)絡(luò)進(jìn)行的,買賣雙方互不見面,因而缺乏傳統(tǒng)交易中的信任感和安全感。
       美國(guó)密執(zhí)安大學(xué)一個(gè)調(diào)查機(jī)構(gòu)通過對(duì)23000名因特網(wǎng)用戶的調(diào)查顯示,超過60%的人由于電子商務(wù)的安全問題而不愿進(jìn)行網(wǎng)上購(gòu)物。任何個(gè)人、企業(yè)或商業(yè)機(jī)構(gòu)以及銀行都不會(huì)通過一個(gè)不安全的網(wǎng)絡(luò)進(jìn)行商務(wù)交易,這樣會(huì)導(dǎo)致商業(yè)機(jī)密信息或個(gè)人隱私的泄露,從而導(dǎo)致巨大的利益損失。
根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的“中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告”,在電子商務(wù)方面,52.26%的用戶最關(guān)心的是交易的安全可靠性。由此可見,電子商務(wù)中的網(wǎng)絡(luò)安全和交易安全問題是實(shí)現(xiàn)電子商務(wù)的關(guān)鍵之所在。
  
       引起電子商務(wù)的不安全因素
  
       商務(wù)信息的存儲(chǔ)依靠計(jì)算機(jī)的數(shù)據(jù)庫(kù)技術(shù)來(lái)實(shí)現(xiàn),信息傳輸?shù)闹饕緩绞腔ヂ?lián)網(wǎng)。所以,電子商務(wù)的不安全因素也正是以計(jì)算機(jī)的數(shù)據(jù)庫(kù)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的安全漏洞為主要目標(biāo),構(gòu)成了威脅電子商務(wù)活動(dòng)的主要原因,成為不法分子入侵的主要途徑。
  1.?dāng)?shù)據(jù)庫(kù)面臨的安全問題
  實(shí)現(xiàn)電子商務(wù)的企業(yè),大都建立用來(lái)存儲(chǔ)和管理各種業(yè)務(wù)數(shù)據(jù)的核心數(shù)據(jù)庫(kù)。對(duì)于大多合法用戶來(lái)說,這個(gè)核心數(shù)據(jù)庫(kù)是存儲(chǔ)關(guān)鍵信息的一種非常便捷的方式,而從攻擊者的角度來(lái)看,直接破解這個(gè)數(shù)據(jù)庫(kù)所帶來(lái)的利益要比在網(wǎng)絡(luò)中嗅探數(shù)據(jù)帶來(lái)的利益打得多。通過破解數(shù)據(jù)庫(kù),就可以只在一個(gè)點(diǎn)上訪問到準(zhǔn)確的數(shù)據(jù)信息。攻擊者一旦竊取到數(shù)據(jù)庫(kù)的訪問權(quán),就可以通過數(shù)據(jù)庫(kù)的查詢命令方便的獲取想要的信息,如信用卡號(hào)、客戶資料、報(bào)價(jià)單、價(jià)目表等機(jī)密商業(yè)信息。電子商務(wù)在數(shù)據(jù)庫(kù)中所面臨的安全問題表現(xiàn)在非法入侵者對(duì)數(shù)據(jù)庫(kù)的攻擊,電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中,可能被他人非法的修改,刪除或重放(指只能使用一次的信息被多次使用),從而使信息失去了真實(shí)性和完整性。
  2.網(wǎng)絡(luò)通信面臨的安全問題
  電子商務(wù)在網(wǎng)絡(luò)通信中所面臨的安全問題主要體現(xiàn)在以下幾個(gè)方面:交易的內(nèi)容被第三方竊??;電子交易信息在網(wǎng)上傳輸過程中,可能被他人非法修改、刪除或重放。網(wǎng)絡(luò)傳輸?shù)目煽啃允苡布O(shè)備或軟件的缺陷的限制,使信息傳輸過程得不到保障;信息的存儲(chǔ)和傳輸受到惡意破壞的威脅,如病毒威脅,信息破壞。包括網(wǎng)絡(luò)硬件和軟件的問題而導(dǎo)致信息傳遞的丟失與謬誤;以及一些惡意程序的破壞而導(dǎo)致電子商務(wù)信息遭到破壞。
  
       電子商務(wù)中的安全防范技術(shù)
  
      為了滿足電子商務(wù)的安全要求,電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù),具體可采用的技術(shù)有:
  1.?dāng)?shù)字簽名技術(shù)
  “數(shù)字簽名”是通過密碼技術(shù)實(shí)現(xiàn)電子交易安全的形象說法,是電子簽名的主要實(shí)現(xiàn)形式。它力圖解決互聯(lián)網(wǎng)交易面臨的幾個(gè)根本問題:數(shù)據(jù)保密、數(shù)據(jù)不被篡改、交易方能互相驗(yàn)證身份、交易發(fā)起方對(duì)自己的數(shù)據(jù)不能否認(rèn)。“數(shù)字簽名”是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟、可操作性最強(qiáng)的一種電子簽名方法。它采用了規(guī)范化的程序和科學(xué)化的方法,用于鑒定簽名人的身份以及對(duì)一項(xiàng)電子數(shù)據(jù)內(nèi)容的認(rèn)可。它還能驗(yàn)證出文件的原文在傳輸過程中有無(wú)變動(dòng),確保傳輸電子文件的完整性、真實(shí)性和不可抵賴性。
  2.防火墻技術(shù)
  防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障,也可稱之為控制進(jìn)/出兩個(gè)方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò),以阻檔外部網(wǎng)絡(luò)的侵入。目前的防火墻主要有以下三種類型:包過濾防火墻、代理防火墻、雙穴主機(jī)防火墻。
  3.入侵檢測(cè)系統(tǒng)
  入侵檢測(cè)系統(tǒng)能夠監(jiān)視和跟蹤系統(tǒng)、事件、安全記錄和系統(tǒng)日志,以及網(wǎng)絡(luò)中的數(shù)據(jù)包,識(shí)別出任何不希望有的活動(dòng),在入侵者對(duì)系統(tǒng)發(fā)生危害前,檢測(cè)到入侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)進(jìn)行報(bào)警、阻斷等響應(yīng)。
  4.信息加密技術(shù)
  信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全;端--端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù);節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。
  5.安全認(rèn)證技術(shù)
  安全認(rèn)證的主要作用是進(jìn)行信息認(rèn)證,信息認(rèn)證的目的就是要確認(rèn)信息發(fā)送者的身份,驗(yàn)證信息的完整性,即確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改過。
  6.防病毒系統(tǒng)
  病毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的途徑多、速度快、方式各異,對(duì)網(wǎng)站的危害較大。因此,應(yīng)利用全方位防病毒產(chǎn)品,實(shí)施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的防病毒策略,構(gòu)建全面的防病毒體系。
  
       主要的安全技術(shù)

       1.虛擬專用網(wǎng)(VPN)
       這是用于Internet交易的一種專用網(wǎng)絡(luò),它可以在兩個(gè)系統(tǒng)之間建立安全的信道(或隧道),用于電子數(shù)據(jù)交換(EDI)。它與信用卡交易和客戶發(fā)送訂單交易不同,因?yàn)樵赩PN中,雙方的數(shù)據(jù)通信量要大得多,而且通信的雙方彼此都很熟悉。這意味著可以使用復(fù)雜的專用加密和認(rèn)證技術(shù),只要通信的雙方默認(rèn)即可,沒有必要為所有的VPN進(jìn)行統(tǒng)一的加密和認(rèn)證。現(xiàn)有的或正在開發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進(jìn)一步增加VPN的安全性,因而能夠保證數(shù)據(jù)的保密性和可用性。
  2.?dāng)?shù)字認(rèn)證
       數(shù)字認(rèn)證可用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性(如一個(gè)發(fā)票未被修改過),甚至數(shù)據(jù)媒體的有效性(如錄音、照片等)。隨著商家在電子商務(wù)中越來(lái)越多地使用加密技術(shù),人們都希望有一個(gè)可信的第三方,以便對(duì)有關(guān)數(shù)據(jù)進(jìn)行數(shù)字認(rèn)證。
目前,數(shù)字認(rèn)證一般都通過單向Hash函數(shù)來(lái)實(shí)現(xiàn),它可以驗(yàn)證交易雙方數(shù)據(jù)的完整性,Java JDK1.1也能夠支持幾種單向Hash算法。另外,S/MIME協(xié)議已經(jīng)有了很大的進(jìn)展,可以被集成到產(chǎn)品中,以便用戶能夠?qū)νㄟ^Email發(fā)送的信息進(jìn)行簽名和認(rèn)證。同時(shí),商家也可以使用PGP(Pretty Good Privacy)技術(shù),它允許利用可信的第三方對(duì)密鑰進(jìn)行控制。可見,數(shù)字認(rèn)證技術(shù)將具有廣闊的應(yīng)用前景,它將直接影響電子商務(wù)的發(fā)展。
  3.加密技術(shù)
       保證電子商務(wù)安全的最重要的一點(diǎn)就是使用加密技術(shù)對(duì)敏感的信息進(jìn)行加密。現(xiàn)在,一些專用密鑰加密(如3DES、IDEA、RC4和RC5)和公鑰加密(如RSA、SEEK、PGP和EU)可用來(lái)保證電子商務(wù)的保密性、完整性、真實(shí)性和非否認(rèn)服務(wù)。然而,這些技術(shù)的廣泛使用卻不是一件容易的事情。
       密碼學(xué)界有一句名言:“加密技術(shù)本身都很優(yōu)秀,但是它們實(shí)現(xiàn)起來(lái)卻往往很不理想。”現(xiàn)在雖然有多種加密標(biāo)準(zhǔn),但人們真正需要的是針對(duì)企業(yè)環(huán)境開發(fā)的標(biāo)準(zhǔn)加密系統(tǒng)。加密技術(shù)的多樣化為人們提供了更多的選擇余地,但也同時(shí)帶來(lái)了一個(gè)兼容性問題,不同的商家可能會(huì)采用不同的標(biāo)準(zhǔn)。另外,加密技術(shù)向來(lái)是由國(guó)家控制的,例如SSL的出口受到美國(guó)國(guó)家安全局(NSA)的限制。
       目前,美國(guó)的商家一般都可以使用128位的SSL,但美國(guó)只允許加密密鑰為40位以下的算法出口。雖然40位的SSL也具有一定的加密強(qiáng)度,但它的安全系數(shù)顯然比128位的SSL要低得多。據(jù)報(bào)載,最近美國(guó)加州已經(jīng)有人成功地破譯了40位的SSL,這已引起了人們的廣泛關(guān)注。美國(guó)以外的國(guó)家很難真正在電子商務(wù)中充分利用SSL,這不能不說是一種遺憾。上海市電子商務(wù)安全證書管理中心推出128位SSL的算法,彌補(bǔ)國(guó)內(nèi)的空缺,并采用數(shù)字簽名等技術(shù)確保電子商務(wù)的安全。
  
       展望
  
       安全是電子商務(wù)生存和發(fā)展的命脈,隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展,安全技術(shù)平臺(tái)和安全管理策略將不斷發(fā)展和改進(jìn)提高。電子商務(wù)網(wǎng)站的設(shè)計(jì)人員必須在精心的安全分析、風(fēng)險(xiǎn)評(píng)估、商業(yè)需求分析和網(wǎng)站運(yùn)行效率分析的基礎(chǔ)上,才能制定出整體的安全解決方案。
  消費(fèi)者的個(gè)人資料必須保密,還必須確認(rèn)與之交易的實(shí)體不是冒牌貨。要贏得消費(fèi)者的信賴,安全解決方案必須確保消費(fèi)者的個(gè)人資料嚴(yán)格保密,無(wú)論是在存貯、發(fā)送和使用時(shí)。此外,安全解決方案還必須保證與消費(fèi)者進(jìn)行交易的完整性。
  對(duì)于企業(yè)方面,主要存在兩個(gè)問題。第一,確認(rèn)用戶的身份,界定用戶的權(quán)限,確保用戶只能執(zhí)行權(quán)限內(nèi)的行為;第二,保護(hù)企業(yè)資產(chǎn)免受惡意攻擊,如病毒、拒絕服務(wù)攻擊,以及資料被盜竊和損壞。
?

移動(dòng)版:電子商務(wù)安全問題與解決策略簡(jiǎn)析

?