序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁����,我們?yōu)槟x了8篇的電子商務(wù)安全事件樣本����,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀����。
第1篇
一、私有密鑰加密法
(一)含義
私有密鑰加密,指在計算機網(wǎng)絡(luò)上甲����、乙兩用戶之間進行通信時,發(fā)送方甲為了保護要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進行加密而形成密文M并發(fā)送給接收方乙,接收方乙用同樣的一把密鑰A對收到的密文M進行解密,得到明文信息,從而完成密文通信目的的方法。這種信息加密傳輸方式,就稱為私有密鑰加密法����。此加密法的一個最大特點是,信息發(fā)送方與信息接收方均需采用同樣的密鑰,具有對稱性,所以私有密鑰加密又稱為對稱密鑰加密����。
(二)應(yīng)用原理
具體到電子商務(wù),很多環(huán)節(jié)要用到私有密鑰加密法����。例如,在兩個商務(wù)實體或兩個銀行之間進行資金的支付結(jié)算時,涉及大量的資金流信息的傳輸與交換����。這里以發(fā)送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應(yīng)用私有密鑰加密法的過程:銀行甲借助專業(yè)私有密鑰加密算法生成私有密鑰A,并且復(fù)制一份密鑰A借助一個安全可靠通道(如采用數(shù)字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網(wǎng)絡(luò)通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文����。這樣銀行乙就知道銀行甲的資金轉(zhuǎn)賬通知單的內(nèi)容,結(jié)束通信����。
(三)常用算法
世界上一些專業(yè)組織機構(gòu)研發(fā)了許多種私有密鑰加密算法,比較著名的有DES(DataEncryptionStandard,數(shù)據(jù)加密標(biāo)準(zhǔn))算法及其各種變形����、國際數(shù)據(jù)加密算法IDEA等。DES算法由美國國家標(biāo)準(zhǔn)局提出,1977年公布實施,是目前廣泛采用的私有密鑰加密算法之一,主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬、軍事定點通信等領(lǐng)域,比如電子支票的加密傳送����。經(jīng)過20多年的使用,已經(jīng)發(fā)現(xiàn)DES很多不足之處,隨著計算機技術(shù)進步,對DES的破解方法也日趨有效,所以更安全的高級加密標(biāo)準(zhǔn)AES(AdvancedEncryptionStandard,先進加密標(biāo)準(zhǔn))將會替代DES成為新一代加密標(biāo)準(zhǔn)����。
(四)優(yōu)缺點
私有密鑰加密法的主要優(yōu)點是運算量小,加解密速度快,由于加解密應(yīng)用同一把密鑰而應(yīng)用簡單。在專用網(wǎng)絡(luò)中由于通信各方相對固定、所以應(yīng)用效果較好。但是,私有密鑰加密技術(shù)也存在著以下一些問題:一是分發(fā)不易。由于算法公開,其安全性完全依賴于對私有密鑰的保護����。因此,密鑰使用一段時間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對的,通過電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問題����。二是管理復(fù)雜,代價高昂����。私有密鑰密碼體制用于公眾通信網(wǎng)時,每對通信對象的密鑰不同,必須由不被第三者知道的方式,事先通知對方����。隨著通信對象的增加,公眾通信網(wǎng)上的密碼使用者必須保存所有通信對象的大量的密鑰����。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題����。三是難以進行用戶身份的認定。采用私有密鑰加密法實現(xiàn)信息傳輸,只是解決了數(shù)據(jù)的機密性問題,并不能認證信息發(fā)送者的身份����。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發(fā)送偽造信息����。在電子商務(wù)中,有可能存在欺騙,別有用心者可能冒用別人的名義發(fā)送資金轉(zhuǎn)賬指令����。因此,必須經(jīng)常更換密鑰,以確保系統(tǒng)安全。四是采用私有密鑰加密法的系統(tǒng)比較脆弱,較易遭到不同密碼分析的攻擊����。五是它僅能用于對數(shù)據(jù)進行加解密處理,提供數(shù)據(jù)的機密性,不能用于數(shù)字簽名。
二����、公開密鑰加密法
(一)定義與應(yīng)用原理
公開密鑰加密法是針對私有密鑰加密法的缺陷而提出來的。是電子商務(wù)應(yīng)用的核心密碼技術(shù)����。所謂公開密鑰加密,就是指在計算機網(wǎng)絡(luò)上甲、乙兩用戶之間進行通信時,發(fā)送方甲為了保護要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進行加密而形成密文M并發(fā)送給接收方乙,接收方乙用另一把密鑰B對收到的密文M進行解密,得到明文信息完密文通信目的的方法����。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對網(wǎng)絡(luò)上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法����。與私有(對稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對稱,所以公開私有密鑰加密法又稱為非對稱密鑰加密法����。公開密鑰加密法的應(yīng)用原理是:借助密鑰生成程序生產(chǎn)密鑰A與密鑰B,這兩把密鑰在數(shù)學(xué)上相關(guān),對稱作密鑰對����。用密鑰對其中任何一個密鑰加密時,可以用另一個密鑰解密,而且只能用此密鑰對其中的另一個密鑰解密����。在實際應(yīng)用中,某商家可以把生成的密鑰A與密鑰B做一個約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網(wǎng)絡(luò)公開散發(fā)出去,誰都可以獲取一把并能應(yīng)用,屬于公開的共享密鑰,叫做公開密鑰。如果一個人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個人的消息����。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對密文進行解密,而且非法用戶幾乎不可能從公鑰推導(dǎo)出私鑰。存在下面兩種應(yīng)用情況:一是任何一個收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發(fā)送給這個商家,那么這些加密信息就只能被這個商家的私人密鑰A解密����。實現(xiàn)保密性。二是商家利用自己的私人密鑰A對要發(fā)送的信息進行加密進成密文信息,發(fā)送給商業(yè)合作伙伴,那么這個加密信息就只能被公開密鑰B解密����。這樣,由于只能應(yīng)用公開密鑰B解密,根據(jù)數(shù)學(xué)相關(guān)關(guān)系可以斷定密文的形成一定是運用了私人密鑰A進行加密的結(jié)果,而私人密鑰A只有商家擁有,由此可以斷定網(wǎng)上收到的密文一定是擁有私人密鑰A的商家發(fā)送的。
(二)應(yīng)用過程
具體到電子商務(wù),很多環(huán)節(jié)要用到公開密鑰加密法,例如在網(wǎng)絡(luò)銀行客戶與銀行進行資金的支付結(jié)算操作時,就涉及大量的資金流信息的安全傳輸與交換����。以客戶甲與乙網(wǎng)絡(luò)銀行的資金信息傳輸為例,來描述應(yīng)用公開密鑰加密法在兩種情況下的使用過程����。首先,網(wǎng)絡(luò)銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B,私人密鑰A由網(wǎng)絡(luò)銀行乙自己獨自保存,而公開密鑰B已經(jīng)通過網(wǎng)絡(luò)某種應(yīng)用形式(如數(shù)字證書)分發(fā)給網(wǎng)絡(luò)銀行的眾多客戶,當(dāng)然客戶甲也擁有一把網(wǎng)絡(luò)銀行乙的公開密鑰B����。
1.客戶甲傳送一“支付通知”給網(wǎng)絡(luò)銀行乙,要求
“支付通知”在傳送中是密文,并且只能由網(wǎng)絡(luò)銀行乙解密知曉,從而實現(xiàn)了定點保密通信?���?蛻艏桌毛@得的公開密鑰B在本地對“支付通知”明文進行加密,形成“支付通知”密文,通過網(wǎng)絡(luò)將密文傳輸給網(wǎng)絡(luò)銀行乙。網(wǎng)絡(luò)銀行乙收到“支付通知”密文后,發(fā)現(xiàn)只能用自己的私人密鑰A進行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內(nèi)容,的確是發(fā)給自己的����。
2.網(wǎng)絡(luò)銀行乙在按照收到的“支付通知”指令完成支付轉(zhuǎn)賬服務(wù)后,必須回送客戶甲“支付確認”,客戶甲在收到“支付確認”后,斷定只能是網(wǎng)絡(luò)銀行乙發(fā)來的,而不是別人假冒的,將來可作支付憑證,從而實現(xiàn)對網(wǎng)絡(luò)銀行業(yè)務(wù)行為的認證,網(wǎng)絡(luò)銀行不能隨意否認或抵賴。網(wǎng)絡(luò)用戶乙在按照客戶甲的要求完成相關(guān)資金轉(zhuǎn)賬后,準(zhǔn)備一個“支付確認”明文,在本地利用自己的私人密鑰A對“支付確認”明文進行加密,形成“支付確認”密文,通過網(wǎng)絡(luò)將密文傳輸給客戶甲����。客戶甲收到“支付確認”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發(fā)現(xiàn)只能用獲得的網(wǎng)絡(luò)銀行乙的公開密鑰B進行解密,形成“支付確認”明文,由于公開密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網(wǎng)絡(luò)銀行乙所有,因此客戶甲斷定這個“支付確認”只能是網(wǎng)絡(luò)銀行乙發(fā)來的,不是別人假冒的,可作支付完成的憑證����。
(三)算法
當(dāng)前最著名、應(yīng)用最廣泛的公開密鑰系統(tǒng)是RSA(取自三個創(chuàng)始人的名字的第一個字母)算法����,RSA算法是第一個能同時用于加密和數(shù)字簽名的算法����,也易于理解和操作����。目前電子商務(wù)中大多數(shù)使用公開密鑰加密法進行加解密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法。RSA算法是基于大數(shù)的因子分解����,而大數(shù)的因子分解是數(shù)學(xué)上的一個難題����,其難度隨著模數(shù)n的位數(shù)加多而提高,網(wǎng)絡(luò)交易安全隨之提高����。(四)優(yōu)缺點優(yōu)點是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發(fā)往任何地方,公鑰在傳遞與過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。能夠解決信息的否認與抵賴問題,身份認證較為方便����。密鑰分配簡單,公開密鑰可以像電話號碼一樣,告訴每一個網(wǎng)絡(luò)成員,商業(yè)伙伴需要好好保管的只是一個私人密鑰。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便����。最大的缺陷就在于它的加解密速度慢����。
第2篇
本文通過對不同電子商務(wù)強度的公司做網(wǎng)絡(luò)安全投資回報計算,進而在經(jīng)濟性的基礎(chǔ)上����,對采用各種主要措施來加強網(wǎng)絡(luò)安全技術(shù)防范進行評價,從而幫助企業(yè)在投資網(wǎng)絡(luò)安全上做有效選擇,此研究無論從理論上還是實踐上都具有重要的現(xiàn)實意義����。
[關(guān)鍵詞] 投資 網(wǎng)絡(luò)安全 經(jīng)濟性
筆者所在公司的計算機網(wǎng)絡(luò)經(jīng)常會遇到各種各樣的安全問題,主要包括病毒感染����、惡意攻擊和疏忽大意。公司內(nèi)部建立了一個局域網(wǎng)����,有400多臺電腦通過一個服務(wù)器與外網(wǎng)連接,同時����,公司有自己的OA系統(tǒng)和正式對外信息的網(wǎng)站,這些都對網(wǎng)絡(luò)系統(tǒng)的安全性提出了較高要求����。
幾年來����,我在管理公司整個網(wǎng)絡(luò)系統(tǒng)安全的過程中����,在為地稅系統(tǒng)做安全服務(wù)時,參照研究了國內(nèi)外一些主要從事電子商務(wù)網(wǎng)站的經(jīng)驗(主要是阿里巴巴網(wǎng)站和CISCO公司)����,并根據(jù)本企業(yè)實際情況和經(jīng)常發(fā)生的安全問題,采取了一些較為適用的安全防范措施����。在不斷的選用和比較中����,我對投資網(wǎng)絡(luò)安全所帶來的經(jīng)濟回報有了一定的認識。
事實上����,許多企業(yè)都愿意采用一個相對通用的方案來評價在網(wǎng)絡(luò)安全活動和過程中的投資行為,一般是由一個專門的部門用多年時間來搜集數(shù)據(jù)����,然后幫助企業(yè)形成一個結(jié)構(gòu)良好的通用的投資回報分析報告����。處理這些通用數(shù)據(jù)需要一些步驟����,如下所示:
1.分析潛在經(jīng)濟影響
2.明確電子商務(wù)強度
3.檢驗安全成本
4.計算一個通用的安全投資回報
一、分析潛在經(jīng)濟影響
對于病毒和入侵����,企業(yè)一般面臨三種類型的經(jīng)濟性影響――直接性經(jīng)濟影響、短期性經(jīng)濟影響和長期性經(jīng)濟影響����。據(jù)國家公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示,2005年5月~2006年5月間����,有54%的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件,其中����,感染計算機病毒、蠕蟲和木馬程序的安全事件為84%����,遭到端口掃描或網(wǎng)絡(luò)攻擊的占36%����,垃圾郵件占35%����。未修補和防范軟件漏洞仍然是導(dǎo)致安全事件發(fā)生的最突出原因,占發(fā)生安全事件總數(shù)的73%����。
對于一個以網(wǎng)絡(luò)為支撐的、單一業(yè)務(wù)的企業(yè)����,惡意攻擊給其帶來的經(jīng)濟性影響如表1所示。
表 1
來源: 《公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局》
在提交公司的調(diào)研報告上����,我參照研究了《計算機經(jīng)濟》上的數(shù)據(jù)����,如表2所示。如果針對惡意攻擊����,企業(yè)沒有采用足夠的安全防護����,那些能夠預(yù)測到發(fā)生的平均經(jīng)濟影響����。可以看出����,對電子商務(wù)技術(shù)依賴的越多,惡意攻擊所帶來的負面經(jīng)濟影響就越大(表中節(jié)點數(shù)是指連接到網(wǎng)絡(luò)上的設(shè)備)����。
表2
來源:《計算機經(jīng)濟》
表中的結(jié)果是過去五年的歷史數(shù)據(jù)所做的平均值,主要包括清除被惡意代碼感染系統(tǒng)的成本����,黑客攻擊和入侵的恢復(fù)成本,收入損失和員工生產(chǎn)率降低����。我公司屬于低強度電子商務(wù)公司,有500個節(jié)點����,從2005年����、2006年兩年的各種安全技術(shù)����、設(shè)備的使用對比中發(fā)現(xiàn):惡意攻擊給我公司帶來的經(jīng)濟影響要相對小于表2提供的數(shù)據(jù),但如果算上短期經(jīng)濟影響����,基本符合了數(shù)值取向。阿里巴巴網(wǎng)站算是一家高強度電子商務(wù)公司����,由于其具備網(wǎng)上實時交易的特性,所以它的安全等級要求極高����,而根據(jù)該公司曾提及的蠕蟲病毒等網(wǎng)絡(luò)攻擊給其帶來的損失來看,要遠大于表2提供數(shù)據(jù)����。
二����、明確電子商務(wù)的強度
在明確一家企業(yè)電子商務(wù)強度的時候����,需要考慮的����、能支持該公司電子商務(wù)強度的因素如下:
1.信息系統(tǒng)員工崗位是否多樣化
2.是否有合適的電子商務(wù)軟件
3.是否有自己的網(wǎng)站、有多條互聯(lián)網(wǎng)接入
4.是否用信息技術(shù)支持電子通信
5.是否有基于網(wǎng)絡(luò)的B2B����、B2C交易
6.是否通過網(wǎng)站進行電子數(shù)據(jù)交換
7.是否支持通過直接撥號與供應(yīng)商、消費者進行電子數(shù)據(jù)交換
三����、安全成本有哪些
花費在安全方面的IT預(yù)算很難確定標(biāo)準(zhǔn)。近來大部分的研究表明����,多數(shù)企業(yè)在安全方面花費不足2%的IT預(yù)算。在企業(yè)內(nèi)����,系統(tǒng)的可用性、數(shù)據(jù)的完整性和保密性都極度重要,國內(nèi)有些專家呼吁����,企業(yè)應(yīng)花費其IT預(yù)算總額的5%用于安全。
事實上����,安全方面的預(yù)算支出常常是一個經(jīng)驗值,通過一些基礎(chǔ)數(shù)據(jù)����,逐步摸索出一個相對經(jīng)濟的安全防范成本。安全防范的成本可以被劃分為許多子類����,而且不同的企業(yè)差異也很大。
四����、計算一個通用的安全投資回報
當(dāng)要計算安全投資回報時,一定要考慮使用一些變量����。首先應(yīng)該考慮的是耗費在安全方面的資金量。其次����,明確當(dāng)前的威脅水平����,或者至少是知道當(dāng)前的威脅大概什么樣����。最后����,還有法律、法規(guī)和安全的要求����,這需要不同類型的組織采取一些有效措施來保護信息免受攻擊。為達到合法����、合規(guī)的目的,這些組織就需要花費成本����,也許會超過平衡點,以此來幫助企業(yè)告知當(dāng)前威脅水平(這點����,我們企業(yè)經(jīng)常會接到哈爾濱市網(wǎng)絡(luò)安全管理局定期的網(wǎng)絡(luò)病毒報告)����。
在電子商務(wù)企業(yè)中����,惡意攻擊對潛在的經(jīng)濟影響是相當(dāng)大的,這也增加企業(yè)對安全產(chǎn)品和相關(guān)人員的需求����。
五、總結(jié)
如果能夠相對清晰地計算你的投資回報����,這將有利于你在網(wǎng)絡(luò)安全方面做正確的決定,將擁有一個安全的基礎(chǔ)來進行信息共享����,可以通過電子商務(wù)來增加你的收入,可以通過提高人員效率來增加企業(yè)利潤����。
參考文獻:
[1]張寬海:《電子商務(wù)概論》,機械工業(yè)出版社,2003年
[2]丘曉理:《部屬安全的無線局域網(wǎng)絡(luò)》,摘自《計算機世界――技術(shù)與應(yīng)用》����,2006年第37期
第3篇
隨著現(xiàn)代計算機網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展����,電子商務(wù)得到了越來越廣泛的應(yīng)用����,越來越多的企業(yè)和個人用戶依賴于電子商務(wù)的高效和快捷而進行著各種商務(wù)活動����。電子商務(wù)順利開展的核心和關(guān)鍵問題是保證交易的安全性,這是網(wǎng)上交易的基礎(chǔ)����。電子商務(wù)是以計算機和開放的網(wǎng)絡(luò)為基礎(chǔ)載體的,大量重要的身份信息����、金融信息、交易信息都需要在網(wǎng)上進行電子的傳輸����,電子商務(wù)安全支付問題成為大家共同關(guān)心的問題。伴隨著各種移動終端和無線網(wǎng)絡(luò)的不斷發(fā)展和完善����,移動支付在不僅是一個重要的機遇����,同時也帶來了一個重大的挑戰(zhàn)����。
2電子商務(wù)及信息安全現(xiàn)狀
近年來,電子商務(wù)開始了蓬勃地發(fā)展����,但電子商務(wù)安全隱患嚴(yán)重地影響了電子商務(wù)的進行。信息安全問題成為制約我國電子商務(wù)發(fā)展的重要因素還是����,因此,必須從技術(shù)上為電子商務(wù)交易活動提供機密性����、完整性、真實性和抗抵賴性等安全保障����。我們將從電子商務(wù)和信息安全兩個方面分別進行討論。
2.1 電子商務(wù)發(fā)展現(xiàn)狀
依據(jù)國家互聯(lián)網(wǎng)中心(CNNIC)的最新報告����,2013年網(wǎng)絡(luò)購物市場繼續(xù)快速向前發(fā)展����,交易金額達到1.85萬億元����,較2012年增長40.9%。2013年網(wǎng)絡(luò)零售市場交易總額占社會消費品零售總額的7.9%����。
截至2013年12月����,我國網(wǎng)絡(luò)購物用戶規(guī)模達到3.02億,較上年增加5987萬����,增長率為24.7%,使用率從42.9%提升至48.9%����。網(wǎng)購用戶規(guī)模的快速擴張為網(wǎng)購市場的發(fā)展奠定良好的用戶基礎(chǔ),釋放著巨大的市場潛力����。
2.2 信息安全現(xiàn)狀
近年來����,雖然安全軟件逐漸普及����、防范能力不斷加強,但新的病毒����、詐騙手段和騷擾手段不斷涌現(xiàn),安全軟件防范難度加大����,安全事件發(fā)生概率仍然較高。整體上來講����,我國信息安全環(huán)境仍不容樂觀,有74.1%的網(wǎng)民在過去半年內(nèi)遇到過安全事件����,總?cè)藬?shù)達4.38億。
電腦網(wǎng)上購物發(fā)生安全問題的網(wǎng)民數(shù)占整體電腦上網(wǎng)人數(shù)的4.0%,影響人口達2010.6萬人����。電腦網(wǎng)上購物發(fā)生安全事故較多的是遇到欺詐信息,在網(wǎng)購安全事故發(fā)生人群中的發(fā)生比例達75.0%����;其次為假冒網(wǎng)站/詐騙網(wǎng)站,比例為60.7%����;其它方面,個人信息泄露比例達42.9%����、賬號密碼被盜比例達23.8%、中病毒和木馬的情況為22.6%����。
網(wǎng)購時發(fā)生這些安全事件����,不僅給購物者造成損失,同時也影響電子商務(wù)的健康發(fā)展����。
3電子支付安全
在電子商務(wù)的交易完成后����,如何保證交易的任何一方無法否認已發(fā)生的交易����。這些安全問題將在很大程度上限制電子商務(wù)的進一步發(fā)展,因此如何保證Internet 網(wǎng)上信息傳輸?shù)陌踩?���,已成為發(fā)展電子商務(wù)的重要環(huán)節(jié)。電子支付涉及到大量資金流的轉(zhuǎn)移以及個人隱私或商業(yè)機密����,而這種支付是發(fā)生在開放性程度非常高的互聯(lián)網(wǎng)上,必須從技術(shù)上為電子商務(wù)交易活動提供機密性����、完整性、真實性和抗抵賴性等安全保降����。因此,要對網(wǎng)上安全電子支付提出以下的要求:
(1)交易數(shù)據(jù)的保密性����。保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶����、實體或過程����,或供其利用的特性。即����,防止信息泄漏給非授權(quán)個人或?qū)嶓w,信息只為授權(quán)用戶使用的特性����。電子支付過程主要處理與金融數(shù)據(jù)有關(guān)的信息, 數(shù)據(jù)處理量大����,且每筆數(shù)據(jù)都會影響到一定的經(jīng)濟利益,因此����,交易過程中產(chǎn)生的與支付有關(guān)的數(shù)據(jù)應(yīng)該被嚴(yán)格保密����, 除交易雙方以及被授權(quán)第三方外����,必須保護支付交易的私密性����,同時要防止信息被越權(quán)訪問。
(2)交易數(shù)據(jù)的完整性����。完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性。即網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除����、修改、偽造����、亂序、重放����、插入等破壞和丟失的特性。交易數(shù)據(jù)在網(wǎng)絡(luò)上傳輸過程中的完整性和有效性����,即發(fā)送方發(fā)出的數(shù)據(jù)與接收方收到數(shù)據(jù)應(yīng)該是相同的����、未經(jīng)更改的����。
(3)交易數(shù)據(jù)的不可抵賴性。不可抵賴性也稱作不可否認性����,在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中,確信參與者的真實同一性����。即,所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾����。利用信息源證據(jù)可以防止發(fā)信方不真實地否認已發(fā)送信息,利用遞交接收證據(jù)可以防止收信方事后否認已經(jīng)接收的信息����。
電子商務(wù)交易過程是雙方或者是多方的,其中一方抵賴自己的交易都會給另一方帶來利益損失����,因此必須保證交易雙方在交易后都無法否認和抵賴。
4電子商務(wù)支付安全中主流技術(shù)
電子支付中交易信息的安全在很大程度上依賴于網(wǎng)絡(luò)信息安全技術(shù)的完善����,電子商務(wù)安全是信息安全的上層應(yīng)用, 它包括的技術(shù)范圍比較廣����, 主要分為數(shù)據(jù)加密技術(shù)和身份認證技術(shù)兩大類。
4.1數(shù)據(jù)加密技術(shù)
加密技術(shù)是保證電子商務(wù)中采用的主要安全措施����, 交易雙方可根據(jù)需要在信息交換階段使用。在一個加密過程中有兩個基本元素: 算法和密鑰����。加密過程就是根據(jù)一定的算法, 將可理解的數(shù)據(jù)(明文) 與一串?dāng)?shù)字( 密鑰) 相結(jié)合����, 從而產(chǎn)生不可理解的密文的過程, 主要加密技術(shù)是對稱密文加密和非對稱加密
(1)對稱密文加密����。對稱密鑰加密又稱為秘密密鑰加密����, 即收發(fā)雙方采用相同的密鑰來進行加密和解密����, 對稱密鑰加密的最大優(yōu)點是加解密速度快, 適合于進行大量數(shù)據(jù)加密����, 但也存在密鑰管理、困難以及無法進行身份鑒別的缺點����。
(2)非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密����, 每個用戶有一對密鑰:一個用于加密, 一個用于解密����, 兩把密鑰實際上是兩個很大的質(zhì)數(shù), 加解密過程����。其中����, 加密密鑰(公鑰) 可以在網(wǎng)絡(luò)服務(wù)器����、報刊等場合公開����, 而解密密鑰(私鑰) 則屬用戶的私有密鑰, 由公開的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實現(xiàn)的����。與對稱密鑰加密相比, 采用非對稱密鑰加密方式密鑰管理較方便����, 且保密性比較強, 但加解密實現(xiàn)速度比較慢����, 不適用于通信負荷較重的應(yīng)用。
數(shù)據(jù)加密技術(shù)是信息安全的基礎(chǔ)����,加密的主要目的是防止信息的非授權(quán)泄露����、保證交易信息的保密性����、完整性和不可抵賴性的要求。
4.2主流身份認證方式
身份認證技術(shù)是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程所應(yīng)用的技術(shù)手段����。如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者,也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng)����。
(1)用戶名口令。針對盜取密碼的惡意軟件越來越多
(2)動態(tài)口令����。動態(tài)口令也稱動態(tài)密碼,是根據(jù)專門的算法每隔一定時間生成一個與時間相關(guān)的隨機密碼����。用戶進行認證時候,除輸入賬號和靜態(tài)口令之外����,必須要求輸入動態(tài)口令����。通過“動態(tài)密碼”登錄的用戶沒有電子簽名����,這樣也就沒有具有法律效力的認證材料。因此����,“動態(tài)密碼”它只適用于金額小的交易����,對于金額大、使用頻繁的用戶����,其安全性存在一定的風(fēng)險。
(3)數(shù)字證書����。數(shù)字證書是由權(quán)威公正的第三方機構(gòu)(即CA中心)簽發(fā)的證書。它的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密����、數(shù)字簽名和簽名驗證����,確保網(wǎng)上傳遞信息的機密性����、完整性。為解決這些Internet 的安全問題����,世界各國對其進行了多年的研究,初步形成了一套完 整的Internet 安全解決方案����,即被廣泛采用的PKI 技術(shù)(Public Key Infrastructure-公鑰基礎(chǔ)設(shè)施)。公鑰基礎(chǔ)設(shè)施PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范����。采用基于PKI 結(jié)構(gòu)結(jié)合數(shù)字證書,通過把要傳輸?shù)臄?shù)字信息進行加密����,保證信息傳輸?shù)谋C苄浴⑼暾?���,簽名保證身份的真實性和抗抵賴����。
(4)生物特征識別����。生物識別技術(shù)主要是指通過人類生物特征進行身份認證的一種技術(shù)。由于人的生物特征具有唯一性和穩(wěn)定性的特點����,并且可隨身攜帶、不易被盜����、不易被偽造����、不易丟失,所以生物特征識別成為目前最安全的身份認證技術(shù)����。但是,生物特征識別通常需要昂貴的專用設(shè)備����、受使用環(huán)境限制等缺點����,在電子支付中較少采用����。
每一種身份認證方式都有其優(yōu)勢也存在一定的局限性。動態(tài)密碼以方便便捷且與平臺無關(guān)性����,通過電腦、手機����、IPAD都可以使用等優(yōu)點在網(wǎng)銀、網(wǎng)游����、電信領(lǐng)域成為電子支付重要的身份認證方式,主流產(chǎn)生形式有手機短信����、硬件令牌、手機令牌等����?���;跀?shù)字證書的身份認證是電子支付中最安全解決方案����。但是,需要專用的硬件和客戶支持����,使用不如動態(tài)密碼方便快捷,一般用于大額電子交易����。
5電子商務(wù)發(fā)展趨勢
依據(jù)CNNIC報告,2014年電子商務(wù)類應(yīng)用整體行業(yè)發(fā)展態(tài)勢良好����,手機支付是亮點����。隨著線上與線下渠道的打通及多類移動應(yīng)用的服務(wù)帶動,手機支付呈現(xiàn)爆發(fā)式增長����,手機網(wǎng)上支付����、手機網(wǎng)絡(luò)購物����、手機網(wǎng)上銀行和手機網(wǎng)上預(yù)訂應(yīng)用網(wǎng)民規(guī)模年增長速度均超過100%。手機網(wǎng)絡(luò)購物在移動端商務(wù)市場發(fā)展迅速����,用戶規(guī)模達到1.44億,使用率從13.2%提升到28.9%����。
截至2014年6月,我國手機網(wǎng)民規(guī)模達5.27億����,較2013年底增加2699萬人,網(wǎng)民中使用手機上網(wǎng)的人群占比進一步提升����,由2013年的81.0%提升至83.4%,手機網(wǎng)民規(guī)模首次超越傳統(tǒng)PC網(wǎng)民規(guī)模����。
隨著移動電子商務(wù)的普及和發(fā)展����,移動支付業(yè)務(wù)受到了越來越多的關(guān)注����,而其安全性更是成為大眾關(guān)注的焦點。由于移動終端種類繁雜����、使用環(huán)境也更為復(fù)雜、基于數(shù)字證書的身份認證和數(shù)字簽名技術(shù)兼容性和成熟度遠不及PC平臺����,并且移動終端本身的安全性問題也給動態(tài)口令等身份認證方式帶來了新的安全問題和挑戰(zhàn)。
第4篇
[關(guān)鍵詞] 電子商務(wù) 靜態(tài)密碼 網(wǎng)絡(luò)安全 客戶證書 動態(tài)密碼
電子商務(wù)源于英文ELECTRONIC COMMERCE����,指的是利用簡單、快捷����、低成本的電子通訊方式����,買賣雙方不謀面地進行各種商貿(mào)活動����。隨著電子商務(wù)的普及����,人們已經(jīng)習(xí)慣于網(wǎng)上購物,網(wǎng)上銀行和電子支付等新興事物����,然而網(wǎng)絡(luò)安全始終是制約電子商務(wù)發(fā)展的一個主要瓶頸。
一����、電子商務(wù)的身份認證
在電子商務(wù)活動中,由于所有的個人和交易信息要在一個開放的網(wǎng)絡(luò)(如Internet)進行傳輸和交換����,故我們需要身份認證技術(shù)去驗證客戶的身份。身份認證一般基于客戶擁有什么(如令牌����,智能卡或者ID卡),客戶知道什么(如靜態(tài)密碼)����,客戶有什么特征(如指紋����,虹膜和腦電波等)����。國內(nèi)外常見身份認證技術(shù)包括:用戶名/密碼方式 、IC卡認證����、USB Key認證和生物特征認證等。隨著網(wǎng)絡(luò)和黑客技術(shù)的發(fā)展����,用戶名/密碼方式認證已經(jīng)被證明是不安全的。由于靜態(tài)的密碼方案不能抵御重放攻擊����,字典攻擊且密碼容易忘記, 所以其安全性是很低的����,不能滿足電子商務(wù)中身份認證的要求。目前國內(nèi)外的一些較成熟的身份認證技術(shù),基本上是用硬件來實現(xiàn)的(如IC卡和USB Key認證技術(shù)等)����。
二����、各種身份認證技術(shù)的比較
1. 靜態(tài)的用戶名和口令方案。在眾多的身份認證方案中����,靜態(tài)的用戶名和口令方案至今仍是使用最廣泛的方案,特別是針對那些安全性要求不強的應(yīng)用場合����,如論壇,BBS和電子信箱����。目前公司和個人受到網(wǎng)絡(luò)攻擊的主要原因是靜態(tài)密碼政策管理不善。大多數(shù)用戶使用的密碼都是字典中可查到的普通單詞����、姓名或者其他簡單的密碼。有86%的用戶在所有網(wǎng)站上使用的都是同一個密碼或者有限的幾個密碼����。最近一次全國性安全事件發(fā)生在2011年12月����。當(dāng)時CSDN的安全系統(tǒng)遭到黑客攻擊����,600萬用戶的登錄名、密碼及郵箱遭到泄漏����。黑客在獲取了CSDN的用戶登錄名和密碼后,再用這個密碼嘗試登錄注冊郵箱����,如果成功則利用很多網(wǎng)站常用的密碼取回功能得到了該用戶的其他關(guān)聯(lián)網(wǎng)站的賬號和密碼?���?偠灾o態(tài)密碼身份認證方案的優(yōu)點是實施成本低����,不需要購置特殊的設(shè)備,用戶體驗性好����,但其安全性較低����。
2. 客戶證書USBKey(U盾)方案����。從技術(shù)角度看����,客戶證書USBKey是用于網(wǎng)上銀行電子簽名和數(shù)字認證的工具,它內(nèi)置微型智能卡處理器����,采用1024位非對稱密鑰算法對網(wǎng)上數(shù)據(jù)進行加密、解密和數(shù)字簽名����,確保網(wǎng)上交易的保密性、真實性����、完整性和不可否認性。目前國內(nèi)幾大商業(yè)銀行����,如工商銀行����、農(nóng)業(yè)銀行和交通銀行等都采用了USBKey方案����。網(wǎng)絡(luò)黑客即使知道了客戶的登錄密碼和支付密碼,但如果沒有USBKey在手����,黑客還是不能夠從你的帳戶轉(zhuǎn)出一分錢。故這種身份認證方式可以很好地避免賬號����、密碼被盜等可能出現(xiàn)的風(fēng)險。USBKey方案的優(yōu)點是安全性很強����,但由于涉及到了硬件故其成本較高,且USBKey使用前需要先安裝驅(qū)動����。對于一些常常出差或者需要在不同機器上使用USBKey的客戶來說,由于計算機各種操作系統(tǒng)(如Windows和Linux)和硬件(各種不同品牌機器)的差異性����,可能在安裝時會遇到一些兼容性問題����,這大大減低了用戶的體驗滿意度����。
3.短信認證方案。目前一些大型電子商務(wù)網(wǎng)站往往采取“靜態(tài)密碼+短信認證”方案����。該類系統(tǒng)使用數(shù)字物理噪聲源產(chǎn)生完全隨機變化的動態(tài)(驗證)密碼,并通過無線通信方式將該動態(tài)密碼發(fā)送到用戶的無線通信終端(尋呼機或移動電話等) 上����。譬如支付寶網(wǎng)站在用戶支付小額金額時只需輸入支付密碼,但額度如果超過一定額度(如200元)����,則支付寶網(wǎng)站向用戶手機(注冊時登記的號碼)發(fā)一條驗證短信,然后用戶在網(wǎng)站上輸入6位的手機驗證碼和支付密碼后才能完成付款����。采用這種身份認證方式的優(yōu)點是既保證了小額支付的快捷性,又保證了大額支付的安全性����。但由于該認證系統(tǒng)的實時性和穩(wěn)定性在很大的程度上依賴于無線通信網(wǎng)的狀態(tài)����,當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時將導(dǎo)致驗證密碼傳輸會有較大的時延,甚至將使系統(tǒng)無法正常完成身份認證過程����,而且由于短信的發(fā)送會產(chǎn)生大量的短信費用,對中小型電子商務(wù)網(wǎng)站來說仍然是不小的開銷����。
4.動態(tài)口令認證方案。動態(tài)口令又稱為一次性口令OTP(One-Time-Password)����,其特點是用戶根據(jù)服務(wù)商提供的動態(tài)口令令牌的顯示數(shù)字來輸入動態(tài)口令,而且每個登錄服務(wù)器的口令只使用一次����,竊聽者無法用竊聽到的登錄口令來做下一次登錄,同時利用單向散列函數(shù)(如 Sha-1算法等)的不可逆性����,防止竊聽者從竊聽到的登錄口令推出下一次登錄口令。中國銀行就是采用了動態(tài)口令認證方案����。該方案的特點使用簡單����,用戶無須安裝任何驅(qū)動����,操作時只需輸入當(dāng)前顯示的6位動態(tài)口令即可。其不足之處是安全性沒有USBKey強����,如在2011年上半年,全國各地出現(xiàn)了多起中國銀行動態(tài)口令泄露安全事件����。黑客們首先設(shè)計了多個釣魚網(wǎng)站����,然后引誘中銀用戶輸入登錄密碼和動態(tài)口令。動態(tài)口令雖然為一次性口令����,但其在60秒之內(nèi)是可反復(fù)使用的。故黑客得到了用戶的登錄密碼和動態(tài)口令之后����,只要在1分鐘內(nèi)登錄進真正的中銀系統(tǒng)后就可以完成轉(zhuǎn)賬等竊取用戶資金的操作了����。
三����、結(jié)束語
作為一種商務(wù)活動過程,電子商務(wù)將帶來一場史無前例的革命����,而電子商務(wù)網(wǎng)站的安全性問題也越來越受到人們的重視,其身份認證也已從最初的邏輯認證發(fā)展到物理認證最終將達到生物認證����,希望在不久的將來安全可靠的電子商務(wù)會將人類真正帶入信息社會。
第5篇
[關(guān)鍵詞] 電子商務(wù) 加密技術(shù) 數(shù)字簽名
一����、引言
隨著Internet的發(fā)展,電子商務(wù)已經(jīng)逐漸成為人們進行商務(wù)活動的新模式����。越來越多的人通過Internet進行商務(wù)活動。電子商務(wù)的一個重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息。電子商務(wù)安全問題是電子商務(wù)發(fā)展中的一個主要障礙����。電子商務(wù)安全技術(shù)的應(yīng)用為建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境,對商家和客戶的信息提供足夠的保護,起著關(guān)鍵性的作用����。
二、電子商務(wù)面臨的安全問題
1.信息的截獲和竊取
由于未采用加密措施,信息在網(wǎng)絡(luò)上以明文形式傳送,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息����。通過多次竊取和分析,可以找到信息的規(guī)律和格式,進而得到傳輸信息的內(nèi)容,造成網(wǎng)上傳輸信息泄密。
2.篡改信息
當(dāng)入侵者掌握了信息的格式和規(guī)律后����,通過各種技術(shù)手段和方法,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改����,然后再發(fā)向目的地。
3.信息假冒
由于掌握了數(shù)據(jù)的格式����,并可以篡改通過的信息����,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息����,而遠端用戶通常很難分辨����。
4.交易抵賴
交易抵賴包括多個方面,如發(fā)信者事后否認曾經(jīng)發(fā)送過某條信息或內(nèi)容����;收信者事后否認曾經(jīng)收到過某條消息或內(nèi)容;購買者做了訂單不承認����;商家賣出的商品因價格差而不承認原有的交易等。
5.惡意破壞
由于攻擊者可以接入網(wǎng)絡(luò)����,則可能對網(wǎng)絡(luò)中的信息進行修改,掌握網(wǎng)上的機要信息����,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,其后果是非常嚴(yán)重的����。
三����、電子商務(wù)安全技術(shù)
1.密碼技術(shù)
密碼技術(shù)是信息安全的核心技術(shù)����。對信息安全的需求大部分可以通過密碼技術(shù)來實現(xiàn)。密碼技術(shù)包括加密����、簽名認證和密鑰管理技術(shù)等。
(1)加密技術(shù)����。數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容,通過這樣的途徑來達到保護數(shù)據(jù)不被非法人竊取、閱讀的目的����。加密技術(shù)通常分為兩大類:“對稱式”和“非對稱式”。加密技術(shù)是保證電子商務(wù)安全的重要手段����,許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。
(2)數(shù)字簽名����。在電子商務(wù)安全系統(tǒng)中,數(shù)字簽名技術(shù)占有重要的地位。在電子商務(wù)安全服務(wù)中的源鑒別����、完整、不可否認服務(wù)中,都要用到數(shù)字簽名技術(shù)����。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來確定用戶是否是真實的。目前,數(shù)字簽名一般都通過單向Hash函數(shù)來實現(xiàn),它可以驗證交易雙方數(shù)據(jù)的完整性����。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。數(shù)字簽名技術(shù)將具有廣闊的應(yīng)用前景,它將直接影響電子商務(wù)的發(fā)展����。
(3)密鑰管理技術(shù)。密鑰管理包括密鑰的產(chǎn)生����、存儲、裝入����、分配����、保護����、丟失、銷毀以及保密等內(nèi)容����。其中分配和存儲是最棘手的問題。密鑰管理不僅影響系統(tǒng)的安全性����,而且涉及系統(tǒng)的可靠性、有效性和經(jīng)濟性����。在用密碼技術(shù)保護的現(xiàn)代信息系統(tǒng)的安全性主要取決于對密鑰的保護。密鑰管理技術(shù)主要包括:對稱密鑰管理;公開密鑰管理����,第三方托管技術(shù)。
2.網(wǎng)絡(luò)安全技術(shù)
(1)防火墻技術(shù)����。防火墻可以根據(jù)網(wǎng)絡(luò)安全水平和可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對獨立的子網(wǎng)����,兩側(cè)間的通信受到防火墻的檢查控制����;可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過����,同時將安全策略不允許的用戶與數(shù)據(jù)包隔斷,達到保護高安全等級的子網(wǎng)����、防止墻外黑客的攻擊、限制入侵蔓延等目的����。防火墻具有以下五大基本功能:過濾進、出網(wǎng)絡(luò)的數(shù)據(jù);管理進����、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止行為����;記錄通過防火墻的信息內(nèi)容和活動����;對網(wǎng)絡(luò)攻擊進行檢測和告警����。目前的防火墻主要有兩種類型。其一是包過濾型防火墻����,其二是應(yīng)用級防火墻。
(2)虛擬專用網(wǎng)VPN技術(shù)����。虛擬專用網(wǎng)VPN是一種特殊的網(wǎng)絡(luò),它采用一種叫做“通道”或“數(shù)據(jù)封裝”的系統(tǒng)����,用公共網(wǎng)絡(luò)及其協(xié)議向貿(mào)易伙伴、顧客����、供應(yīng)商和雇員發(fā)送敏感的數(shù)據(jù)。這種通道是Internet上的一種專用通道����,可保證數(shù)據(jù)在外部網(wǎng)上的企業(yè)之間安全地傳輸����。在VPN中����,只要通信的雙方默認即可,沒有必要為所有的VPN進行統(tǒng)一的加密和認證?���,F(xiàn)有的或正在開發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進一步增加VPN的安全性����,因而能夠保證數(shù)據(jù)的保密性和可用性。VPN實現(xiàn)的關(guān)鍵技術(shù)是隧道技術(shù)����、加密技術(shù)和QoS(服務(wù)質(zhì)量)技術(shù)。
(3)入侵檢測技術(shù)����。入侵檢測技術(shù)是防火墻技術(shù)的合理補充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊����,擴展了系統(tǒng)管理員的安全管理能力����,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性����。其最重要的價值之一是它能提供事后統(tǒng)計分析,所有安全事件或?qū)徲嬍录男畔⒍紝⒈挥涗浽跀?shù)據(jù)庫中����,通過從各個角度對這些事件進行分析歸類,可以總結(jié)出被保護網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢����,及時發(fā)現(xiàn)網(wǎng)絡(luò)或主機中存在的問題或漏洞,并可歸納出相應(yīng)的解決方案����。入侵檢測的主要方法有:靜態(tài)配置分析,異常性檢測方法����、基于行為的檢測方法及幾種方法的組合。
(4)安全交易協(xié)議����。除了各種安全控制技術(shù)之外����,電子商務(wù)的運行還需要一套完整的安全交易協(xié)議����。不同交易協(xié)議的復(fù)雜性、開銷����、安全性各不同。同時����,不同的應(yīng)用環(huán)境對協(xié)議目標(biāo)的要求也不盡相同����。目前,比較成熟的協(xié)議有安全套接層協(xié)議(SSL)和安全電子交易協(xié)議(SET)����。
三、小結(jié)
用于保護電子商務(wù)的安全控制技術(shù)很多����,并非把這些技術(shù)簡單地組合就可以得到安全����。但是通過合理應(yīng)用安全控制技術(shù)����,并進行有機結(jié)合,就可從技術(shù)上實現(xiàn)系統(tǒng)����、有效的電子商務(wù)安全。
參考文獻:
[1]張立克:電子商務(wù)及其安全保障技術(shù)[J].水利電力機械,2007,29(2):69~74
[2]祝凌曦:電子商務(wù)安全[D].北京:清華大學(xué)出版社,2006
第6篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 電子商務(wù)
隨著互聯(lián)網(wǎng)的快速發(fā)展����,電子商務(wù)已經(jīng)逐漸成為人們進行商務(wù)活動的新模式。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第27次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》統(tǒng)計����,中小企業(yè)互聯(lián)網(wǎng)接入比例達92.7%,規(guī)模較大的企業(yè)互聯(lián)網(wǎng)接入比例更是接近100%����。43%的中國企業(yè)擁有獨立網(wǎng)站或在電子商務(wù)平臺建立網(wǎng)店;57.2%的企業(yè)利用互聯(lián)網(wǎng)與客戶溝通����,為客戶提供咨詢服務(wù)����;中小企業(yè)電子商務(wù)/網(wǎng)絡(luò)營銷應(yīng)用水平為42.1%����。可以說����,電子商務(wù)已經(jīng)深入國民經(jīng)濟和人們?nèi)粘I畹母鱾€方面。但其安全問題也越來越突出����,知名安全企業(yè)RSA執(zhí)行主席亞瑟?科維洛的一份中國報告稱,2.17億中國用戶遭受木馬攻擊����,1.21億用戶賬戶或密碼曾被盜����。如何建立一個安全便捷的電子商務(wù)環(huán)境,是擺在電子商務(wù)眾多商家和買家面前的一個難題����。
一����、網(wǎng)絡(luò)安全問題主要有以下幾種
1����、特羅伊木馬
特羅伊木馬,簡稱木馬����。在近期,黑客開始利用人性的弱點開始發(fā)起行動����,他們往往利用免費破解軟件、誘惑視頻播放器����、免費外掛軟件以及網(wǎng)絡(luò)傳送文件等捆綁木馬。木馬在用戶安裝破解軟件����、播放器及外掛時,在運行安裝程序的時候隱藏在計算機系統(tǒng)����,隱蔽的與外界連接����,接受外界的指令����。被植入木馬的電腦系統(tǒng)所有文件將會被黑客獲得,在用戶登陸電子商務(wù)網(wǎng)站輸入用戶名密碼及行進支付的時候的賬號及密碼會被木馬竊取發(fā)送給黑客����。而且系統(tǒng)也會被黑客所控制,被利用作為攻擊其它系統(tǒng)的攻擊源����。據(jù)360安全中心統(tǒng)計,今年上半年����,國內(nèi)新增木馬病毒樣本4.48億個(以惡意程序的文件指紋數(shù)量計算),平均每秒出現(xiàn)29個新木馬����,是去年同期的4.46倍����,受攻擊的電腦數(shù)量日均則達到452.5萬臺����。
2����、釣魚網(wǎng)站
又稱網(wǎng)絡(luò)仿冒、網(wǎng)絡(luò)欺詐等����。是一種網(wǎng)絡(luò)欺詐行為,一般通常偽裝成為銀行網(wǎng)站����,黑客等不法份子利用郵件、QQ����、群發(fā)短信等手段,利用中獎信息����、網(wǎng)站升級、客戶服務(wù)等信息����,在其中提供偽裝的鏈接使其鏈接到釣魚網(wǎng)站����。一般來說����,釣魚網(wǎng)站和真實網(wǎng)站界面完全一致,在要求用戶登陸的過程中竊取用戶的信用卡號����、賬戶名、密碼等信息����。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)聯(lián)合國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)最新的《2009年中國網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查報告》顯示,2009年有超過九成網(wǎng)民遇到過網(wǎng)絡(luò)釣魚����,在遭遇過網(wǎng)絡(luò)釣魚事件中的網(wǎng)民中,4500萬網(wǎng)民蒙受了損失����,直接經(jīng)濟損失已經(jīng)達到了76億元。
3����、分布式拒絕服務(wù)(DDoS)
分布式拒絕服務(wù)攻擊就是黑客利用其在互聯(lián)網(wǎng)上控制的很多計算機,同時向某一電子商務(wù)網(wǎng)站服務(wù)器發(fā)送數(shù)據(jù)包����,達到妨害其網(wǎng)絡(luò)與系統(tǒng)之間的正常服務(wù),讓用戶不能得到正常服務(wù)����。近年,DDoS呈轉(zhuǎn)嫁及流量攻擊等特點����。2010年騰訊業(yè)務(wù)受到多次攻擊就是因為某些小網(wǎng)站受到攻擊后,惡意的將網(wǎng)站域名指向騰訊所致����。另一方面,DDoS的攻擊流量越來越大����,針對“456 游戲”網(wǎng)站的攻擊流量峰值甚至超過100Gbps。
4����、網(wǎng)站首頁篡改
網(wǎng)站首頁篡改是指開展電子商務(wù)企業(yè)網(wǎng)站的首頁被黑客等不法份子修改為他們提供的首頁����。在首頁被篡改后����,對電子商務(wù)這樣需要與用戶通過網(wǎng)站進行溝通的企業(yè)來說,就意味著電子商務(wù)將無商可務(wù)����。尤其對具有攻擊性質(zhì)的篡改,用戶賬戶信息被盜竊����,丑化企業(yè)的信息等,都是對企業(yè)形象信譽的嚴(yán)重損害����。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT)監(jiān)測,2010 年中國大陸有近3.5萬個網(wǎng)站被黑客篡改����。
二、網(wǎng)絡(luò)安全趨勢預(yù)測
1����、網(wǎng)絡(luò)購物將是攻擊的首選
伴隨著電子商務(wù)市場的蓬勃發(fā)展����,這個領(lǐng)域必然是黑客攻擊的重點����。 在過去的一年����,針對電子商務(wù)的攻擊給眾多企業(yè)及用戶帶來嚴(yán)重損失,電子商務(wù)平臺提供者及眾多安全軟硬件制造商在努力的幫助他們減少損失����,從目前看效果并不理想,網(wǎng)絡(luò)騙術(shù)正在不停翻新����,黑客正在編寫著新的網(wǎng)購木馬。
2����、針對大型虛擬社交網(wǎng)絡(luò)的攻擊不斷加強
以QQ社區(qū)為代表的網(wǎng)絡(luò)社區(qū),人數(shù)眾多����,普遍支持分享鏈接����。此鏈接很容易被用來傳遞不良信息����,比如指向釣魚網(wǎng)站的鏈接。而且社區(qū)人數(shù)眾多����,只要社區(qū)系統(tǒng)被黑客發(fā)現(xiàn)漏洞,那么龐大的用戶群的相關(guān)信息及權(quán)益得不到保障����。
三、對策
隨著網(wǎng)絡(luò)應(yīng)用日益普及及其開放性的特點����,網(wǎng)絡(luò)安全事件又不斷出現(xiàn),電子商務(wù)的安全問題日益突出����,怎么樣才能有效保護電子商務(wù)的正常開展?我國政府主管部門����、互聯(lián)網(wǎng)企業(yè)及普通用戶都應(yīng)重視互聯(lián)網(wǎng)安全問題����,上下聯(lián)動����,發(fā)揮各自的作用,共同提供互聯(lián)網(wǎng)安全的水平����。
1����、加強網(wǎng)絡(luò)安全立法工作
國家應(yīng)提高對網(wǎng)絡(luò)安全的重視,加強高層次立法����,加大網(wǎng)絡(luò)犯罪懲治,量刑力度����,形成有效震懾,增加其犯罪成本����。
2����、進一步加大網(wǎng)絡(luò)安全行政監(jiān)管力度
抓好《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法》等網(wǎng)絡(luò)安全相關(guān)政策文件的落實����。對容易照到攻擊的金融、證券等重要聯(lián)網(wǎng)信息系統(tǒng)主管部門應(yīng)加強網(wǎng)絡(luò)安全管理和保障工作����。
3、加強網(wǎng)絡(luò)身份認證服務(wù)體系
迅速蓬勃發(fā)展的電子商務(wù)����,和傳統(tǒng)的商務(wù)行為不同。電子商務(wù)進行的是無紙貿(mào)易����,交易雙方基本不見面,通過網(wǎng)絡(luò)虛擬平成整個交易����,其信用及身份的認證僅僅依靠提供服務(wù)平臺的密碼認證。由于平臺的多樣性及密碼的虛擬性����,決定信用體系存在較大的疑問����。國家應(yīng)牽頭依托合法電子商務(wù)認證服務(wù)機構(gòu)����,形成覆蓋全國的網(wǎng)絡(luò)身份認證服務(wù)體系。
4����、加強網(wǎng)絡(luò)安全防范意識
對于我們普通網(wǎng)民,我們要提高對網(wǎng)絡(luò)安全對電子商務(wù)威脅的認識及加強網(wǎng)絡(luò)安全防護的意識����。做好個人計算機的安全防護����,養(yǎng)成良好的上網(wǎng)習(xí)慣,學(xué)習(xí)一些基本的網(wǎng)絡(luò)安全知識����,不訪問一些不確定安全性的網(wǎng)站,不下載無法確定安全性的軟件����,電腦中安裝殺毒軟件和防火墻����,經(jīng)常掃描自己的電腦����。
參考文獻:
[1]CNNIC、CNCERT.2009年中國網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查報告
第7篇
論文摘 要:隨著電子商務(wù)時代的到來����,電子商務(wù)安全問題越來越受到關(guān)注。特別是近年來的威脅網(wǎng)絡(luò)安全事件成出不窮����,成為阻礙電子商務(wù)發(fā)展的一個大問題。對電子商務(wù)安全面臨的的威脅進行研究分析����,提出電子商務(wù)安全策略的總體原則及使用的主要技術(shù)。
電子商務(wù)安全策略是對企業(yè)的核心資產(chǎn)進行全面系統(tǒng)的保護����,不斷的更新企業(yè)系統(tǒng)的安全防護,找出企業(yè)系統(tǒng)的潛在威脅和漏洞����,識別����,控制����,消除存在安全風(fēng)險的活動。電子商務(wù)安全是相對的����,不是絕對的,不能認為存在永遠不被攻破的系統(tǒng)����,當(dāng)然無論是何種模式的電子商務(wù)網(wǎng)站都要考慮到為了系統(tǒng)安全所要付出的代價和消耗的成本。作為一個安全系統(tǒng)的使用者����,必須應(yīng)該綜合考慮各方因素合理使用電子商務(wù)安全策略技術(shù)����,作為系統(tǒng)的研發(fā)設(shè)計者,也必須在設(shè)計的同時考慮到成本與代價的因素����。在這個網(wǎng)絡(luò)攻防此消彼長的時代����,更應(yīng)該根據(jù)安全問題的不斷出現(xiàn)來檢查����,評估和調(diào)整相應(yīng)的安全策略,采用適合當(dāng)前的技術(shù)手段����,來達到提升整體安全的目的。電子商務(wù)所帶來的巨大商機背后同樣隱藏著日益嚴(yán)重的電子商務(wù)安全問題����,不僅為企業(yè)機構(gòu)帶來了巨大的經(jīng)濟損失,更使社會經(jīng)濟的安全受到威脅����。
1 電子商務(wù)面臨的安全威脅
在電子商務(wù)運作的大環(huán)境中,時時刻刻面臨著安全威脅����,這不僅僅設(shè)計技術(shù)問題,更重要的是管理上的漏洞����,而且與人們的行為模式有著密不可分的聯(lián)系����。電子商務(wù)面臨的安全威脅可以分為以下幾類:
1.1 信息內(nèi)容被截取竊取
這一類的威脅發(fā)生主要由于信息傳遞過程中加密措施或安全級別不夠����,或者通過對互聯(lián)網(wǎng),電話網(wǎng)中信息流量和流向等參數(shù)的分析來竊取有用信息����。
1.2 中途篡改信息
主要破壞信息的完整性,通過更改����、刪除、插入等手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M行中途篡改����,并將篡改后的虛假信息發(fā)往接受端。
1.3 身份假冒
建立與銷售者服務(wù)器名稱相似的假冒服務(wù)器����、冒充銷售者����、建立虛假訂單進行交易����。
1.4 交易抵賴
比如商家對賣出的商品因價格原因不承認原有交易����,購買者因簽訂了訂單卻事后否認。
1.5同行業(yè)者惡意競爭
同行業(yè)者利用購買者名義進行商品交易����,暗中了解買賣流程、庫存狀況����、物流狀況。
1.6 電子商務(wù)系統(tǒng)安全性被破壞
不法分子利用非法手段進入系統(tǒng)����,改變用戶信息、銷毀訂單信息����、生成虛假信息等。
2 電子商務(wù)安全策略原則
電子商務(wù)安全策略是在現(xiàn)有情況,實現(xiàn)投入的成本與效率之間的平衡����,減少電子商務(wù)安全所面臨的威脅。據(jù)電子商務(wù)網(wǎng)絡(luò)環(huán)境的不同����,采用不同的安全技術(shù)來制定安全策略。在制定安全策略時應(yīng)遵循以下總體原則:
2.1 共存原則
是指影響網(wǎng)絡(luò)安全的問題是與整個網(wǎng)絡(luò)的運作生命周期同時存在����,所以在設(shè)計安全體系結(jié)構(gòu)時應(yīng)考慮與網(wǎng)絡(luò)安全需求一致。如果不在網(wǎng)站設(shè)計開始階段考慮安全對策����,等網(wǎng)站建設(shè)好后在修改會耗費更大的人力物力。
2.2 靈活性原則
安全策略要能隨著網(wǎng)絡(luò)性能及安全威脅的變化而變化����,要及時的適應(yīng)系統(tǒng)和修改。
2.3 風(fēng)險與代價相互平衡的分析原則
任何一個網(wǎng)絡(luò)����,很難達到絕對沒有安全威脅。對一個網(wǎng)絡(luò)要進行實際分析����,并且對網(wǎng)絡(luò)面臨的威脅以及可能遇到的風(fēng)險要進行定量與定性的綜合分析����,制定規(guī)范的措施����,并確定本系統(tǒng)的安全范疇����,使花費在網(wǎng)絡(luò)安全的成本與在安全保護下的信息的價值平衡。
2.4 易使用性原則
安全策略的實施由人工完成����,如果實施過程過于復(fù)雜,對于人的要求過高����,對本身的安全性也是一種降低。
2.5 綜合性原則
一個好的安全策略在設(shè)計時往往采用是多種方法綜合應(yīng)用的結(jié)果����,以系統(tǒng)工程的觀點,方法分析網(wǎng)絡(luò)安全問題����,才可能獲得有效可行的措施����。
2.6 多層保護原則
任何單一的安全保護措施都不是能獨當(dāng)一面����,絕對安全的,應(yīng)該建立一個多層的互補系統(tǒng)����,那么當(dāng)一層被攻破時,其它保護層仍然可以安全的保護信息����。 轉(zhuǎn)貼于
3 電子商務(wù)安全策略主要技術(shù)
3.1 防火墻技術(shù)
防火墻技術(shù)是一種保護本地網(wǎng)絡(luò),并對外部網(wǎng)絡(luò)攻擊進行抵制的重要網(wǎng)絡(luò)安全技術(shù)之一����,是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施����。總體可以分為:數(shù)據(jù)包過濾型防火墻����、應(yīng)用級網(wǎng)關(guān)型防火墻����、服務(wù)型防火墻等幾類����。防火墻具有5種基本功能:
(1)抵擋外部攻擊����;
(2)防止信息泄露;
(3)控制管理網(wǎng)絡(luò)存取和訪問����;
(4)VPN虛擬專用網(wǎng)功能;
(5)自身抗攻擊能力����。
防火墻的安全策略有兩種情形:
(1)違背允許的訪問服務(wù)都是被禁止的;
(2)未被禁止的訪問服務(wù)都是被允許的����。
多數(shù)防火墻是在兩者之間采取折中策略,在安全的情況之下提高訪問效率。
3.2 加密技術(shù)
加密技術(shù)是對傳輸?shù)男畔⒁阅撤N方法進行偽裝并隱藏其內(nèi)容,而達到不被第三方所獲取其真實內(nèi)容的一種方法����。在電子商務(wù)過程中����,采用加密技術(shù)將信息隱藏起來����,再將隱藏的信息傳輸出去,這樣即使信息在傳輸?shù)倪^程中被竊取����,非法截獲者也無法了解信息內(nèi)容,進而保證了信息在交換過程中安全性����、真實性����、能夠有效的為安全策略提供幫助����。
3.3 數(shù)字簽名技術(shù)
是指在對文件進行加密的基礎(chǔ)上,為了防止有人對傳輸過程中的文件進行更改破壞以及確定發(fā)信人的身份所采取的手段����。在電子商務(wù)安全中占有特別重要的地位����,能夠解決貿(mào)易過程中的身份認證、內(nèi)容完整性����、不可抵賴等問題。數(shù)字簽名過程:發(fā)送方首先將原文通過Hash算法生成摘要����,并用發(fā)送者的私鑰進行加密生成數(shù)字簽名發(fā)送給接受方,接收方用發(fā)送者的公鑰進行解密����,得到發(fā)送方的報文摘要����,最后接收方將收到的原文用Hash算法生成其摘要����,與發(fā)送方的摘要進行比對。
3.4 數(shù)字證書技術(shù)
數(shù)字證書是網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)����,由第三方公正機構(gòu)頒發(fā),以數(shù)字證書為依據(jù)的信息加密技術(shù)可以確保網(wǎng)上傳輸信息的的保密性����、完整性和交易的真實性、不可否認性����,為電子商務(wù)的安全提供保障。標(biāo)準(zhǔn)的數(shù)字證書包含:版本號����,簽名算法,序列號,頒發(fā)者姓名����,有效日期,主體公鑰信息����,頒發(fā)者唯一標(biāo)識符,主體唯一標(biāo)示符等內(nèi)容����。一個合理的安全策略離不開數(shù)字證書的支持。
3.5 安全協(xié)議技術(shù)
安全協(xié)議能夠為交易過程中的信息傳輸提供強而有力的保障����。目前通用的為電子商務(wù)安全策略提供的協(xié)議主要有電子商務(wù)支付安全協(xié)議、通信安全協(xié)議����、郵件安全協(xié)議三類����。用于電子商務(wù)的主要安全協(xié)議包括:通訊安全的SSL協(xié)議(Secure Socket Layer),信用卡安全的SET協(xié)議(Secure Electronic Transaction)����,商業(yè)貿(mào)易安全的超文本傳輸協(xié)議(S-HTTP)����,InternetEDI電子數(shù)據(jù)交換協(xié)議以及電子郵件安全協(xié)議S/MIME和PEM等����。
4 結(jié)論
在電子商務(wù)飛速發(fā)展的過程中,電子商務(wù)安全所占的比重越發(fā)重要����。研究電子商務(wù)安全策略,意在于減少由電子商務(wù)安全威脅帶給人們電子商務(wù)交易上的疑慮����,以推動電子商務(wù)前進的步伐。解除這種疑慮的方法����,依賴著安全策略原則的制定和主要技術(shù)的不斷開發(fā)與完善。
參考文獻
[1]田沛. 淺談電子商務(wù)安全發(fā)展戰(zhàn)略[J]. 知識經(jīng)濟����, 2010, (2).
[2]如先姑力阿布都熱西提. 計算機網(wǎng)絡(luò)安全對策的研究[J]. 科技信息(學(xué)術(shù)研究)����, 2008����, (10).
[3]陳偉. 電子商務(wù)安全策略初探[J].才智����, 2009,(11).
第8篇
安全防范
“網(wǎng)絡(luò)安全問題一直存在����。”艾瑞咨詢行業(yè)研究部部門經(jīng)理王芳對《中國聯(lián)合商報》記者表示����。
IBM最新消息稱,根據(jù)它在全球各地的3700個管理安全服務(wù)客戶提供的數(shù)據(jù)����,在過去的四個月里,安全事件的數(shù)量從每天18億次增加到了25億次����。在過去的120天里����,網(wǎng)絡(luò)中和基于網(wǎng)絡(luò)的安全攻擊事件增長了30%����;訪問IBM虛擬安全操作中心的用戶數(shù)量增長了40%����。
“主要因為網(wǎng)絡(luò)安全的考慮,企業(yè)間進行電子采購顧慮很多����。不管是電子資金流、信息流����、還是電子物流,其中資金安全顧慮最高����。”王芳表示����。由于從事電子采購的采購量通常很大,因此涉及企業(yè)的資金流一般也都比較大����,現(xiàn)在網(wǎng)絡(luò)安全問題一直存在����,不管大企業(yè)還是中小企業(yè)對于資金安全的顧慮是最高的����。
“因為傳統(tǒng)的商務(wù)流程里,不太習(xí)慣沒有見到采購方����,甚至沒有看到商品的情況下,去完成采購的相關(guān)交付����。”王芳解釋����,對于電子采購的安全擔(dān)憂還部分受到傳統(tǒng)交易方式的影響。此外����,還有一點很重要――信用保障體系有待完善。
信用保障
信用是電子商務(wù)企業(yè)發(fā)展不可或缺的主要競爭力����。雖然電子采購價格相對便宜,大多數(shù)的企業(yè)還都是在信用的前提下去選擇價格����。
國外的電子采購無論從交易額還是交易比例絕大部分都要比國內(nèi)高?���!昂艽蟪潭壬鲜且驗閲馄髽I(yè)的信用體系,包括整個支付和物流的社會信用環(huán)境相對比較成熟����。”王芳分析����,只有通過成熟的市場主體為市場提供面向個人和企業(yè)、覆蓋社會領(lǐng)域各個方面的信用服務(wù)����,才能真正創(chuàng)造一種適應(yīng)并規(guī)范信用交易發(fā)展的市場環(huán)境,電子商務(wù)領(lǐng)域尤其如此����。而國內(nèi)來說����,信用保障體系不夠完善����,加上認證費用較高,很多企業(yè)經(jīng)常通過自己的銷售額等一些簡單數(shù)據(jù)來證明自己的信用條件����,這里就存在很大風(fēng)險,而且這種風(fēng)險目前更多的由采購方來承擔(dān)����。
此外,國外企業(yè)對于信息化的接受程度����,包括企業(yè)內(nèi)部的信息化建設(shè)都已經(jīng)相對完善,這都影響到信用保障的建設(shè)問題����。
資質(zhì)認證
電子采購環(huán)節(jié)上,是信譽核心還是價格核心����?“信譽和價格必需要有一個平衡點����,這就需要資質(zhì)認證”����。王芳對《中國聯(lián)合商報》記者分析����。
