引論:我們?yōu)槟砹?篇電子商務(wù)信息安全研究范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
電子商務(wù)信息安全研究:電子商務(wù)信息安全技術(shù)研究
[摘要] 文章主要從技術(shù)角度闡述了電子商務(wù)信息安全問題,詳細(xì)說明了電子商務(wù)信息存在的問題,并提出了相應(yīng)的技術(shù)解決方案。
[關(guān)鍵詞] 電子商務(wù)信息安全數(shù)據(jù)加密網(wǎng)絡(luò)安全
一、電子商務(wù)信息安全問題
由于Internet本身的開放性,使電子商務(wù)系統(tǒng)面臨著各種各樣的安全威脅。目前,電子商務(wù)主要存在的安全隱患有以下幾個方面。
1.身份冒充問題
攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易,進(jìn)行信息欺詐與信息破壞,從而獲得非法利益。主要表現(xiàn)有:冒充他人身份;冒充他人消費(fèi)、栽贓;冒充主機(jī)欺騙合法主機(jī)及合法用戶等。
2.網(wǎng)絡(luò)信息安全問題
主要表現(xiàn)在攻擊者在網(wǎng)絡(luò)的傳輸信道上,通過物理或邏輯的手段,進(jìn)行信息截獲、篡改、刪除、插入。截獲,攻擊者可能通過分析網(wǎng)絡(luò)物理線路傳輸時(shí)的各種特征,截獲機(jī)密信息或有用信息,如消費(fèi)者的賬號、密碼等。篡改,即改變信息流的次序,更改信息的內(nèi)容;刪除,即刪除某個信息或信息的某些部分;插入,即在信息中插入一些信息,讓收方讀不懂或接受錯誤的信息。
3.拒絕服務(wù)問題
攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。主要表現(xiàn)為散布虛假資訊,擾亂正常的資訊通道。包括:虛開網(wǎng)站和商店,給用戶發(fā)電子郵件,收訂貨單;偽造大量用戶,發(fā)電子郵件,窮盡商家資源,使合法用戶不能正常訪問網(wǎng)絡(luò)資源,使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。
4.交易雙方抵賴問題
某些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。如:者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認(rèn)曾經(jīng)收到過某條信息或內(nèi)容;購買者做了訂貨單不承認(rèn);商家賣出的商品質(zhì)量差但不承認(rèn)原有的交易。在網(wǎng)絡(luò)世界里誰為交易雙方的糾紛進(jìn)行公證、仲裁。
5.計(jì)算機(jī)系統(tǒng)安全問題
計(jì)算機(jī)系統(tǒng)是進(jìn)行電子商務(wù)的基本設(shè)備,如果不注意安全問題,它一樣會威脅到電子商務(wù)的信息安全。計(jì)算機(jī)設(shè)備本身存在物理損壞,數(shù)據(jù)丟失,信息泄露等問題。計(jì)算機(jī)系統(tǒng)也經(jīng)常會遭受非法的入侵攻擊以及計(jì)算機(jī)病毒的破壞。同時(shí),計(jì)算機(jī)系統(tǒng)存在工作人員管理的問題,如果職責(zé)不清,權(quán)限不明同樣會影響計(jì)算機(jī)系統(tǒng)的安全。
二、電子商務(wù)安全機(jī)制
1.加密和隱藏機(jī)制
加密使信息改變,攻擊者無法讀懂信息的內(nèi)容從而保護(hù)信息;而隱藏則是將有用的信息隱藏在其他信息中,使攻擊者無法發(fā)現(xiàn),不僅實(shí)現(xiàn)了信息的保密,也保護(hù)了通信本身。
2.認(rèn)證機(jī)制
網(wǎng)絡(luò)安全的基本機(jī)制,網(wǎng)絡(luò)設(shè)備之間應(yīng)互相認(rèn)證對方身份,以保障正確的操作權(quán)力賦予和數(shù)據(jù)的存取控制。網(wǎng)絡(luò)也必須認(rèn)證用戶的身份,以保障正確的用戶進(jìn)行正確的操作并進(jìn)行正確的審計(jì)。
3.審計(jì)機(jī)制
審計(jì)是防止內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ),通過對一些重要的事件進(jìn)行記錄,從而在系統(tǒng)發(fā)現(xiàn)錯誤或受到攻擊時(shí)能定位錯誤和找到攻擊成功的原因。審計(jì)信息應(yīng)具有防止非法刪除和修改的措施。
4.完整性保護(hù)機(jī)制
用于防止非法篡改,利用密碼理論的完整性保護(hù)能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務(wù),當(dāng)信息源的完整性可以被驗(yàn)證卻無法模仿時(shí),收到信息的一方可以認(rèn)定信息的發(fā)送者,數(shù)字簽名就可以提供這種手段。
5.權(quán)力控制和存取控制機(jī)制
主機(jī)系統(tǒng)必備的安全手段,系統(tǒng)根據(jù)正確的認(rèn)證,賦予某用戶適當(dāng)?shù)牟僮鳈?quán)力,使其不能進(jìn)行越權(quán)的操作。該機(jī)制一般采用角色管理辦法,針對系統(tǒng)需要定義各種角色,如經(jīng)理、會計(jì)等,然后對他們賦予不同的執(zhí)行權(quán)利。
6.業(yè)務(wù)填充機(jī)制
在業(yè)務(wù)閑時(shí)發(fā)送無用的隨機(jī)數(shù)據(jù),增加攻擊者通過通信流量獲得信息的困難。同時(shí),也增加了密碼通信的破譯難度。發(fā)送的隨機(jī)數(shù)據(jù)應(yīng)具有良好模擬性能,能夠以假亂真。
三、電子商務(wù)安全關(guān)鍵技術(shù)
安全問題是電子商務(wù)的核心,為了滿足安全服務(wù)方面的要求,除了網(wǎng)絡(luò)本身運(yùn)行的安全外,電子商務(wù)系統(tǒng)還必須利用各種安全技術(shù)保障整個電子商務(wù)過程的安全與完整,并實(shí)現(xiàn)交易的防抵賴性等,綜合起來主要有以下幾種技術(shù)。
1.防火墻技術(shù)
現(xiàn)有的防火墻技術(shù)包括兩大類:數(shù)據(jù)包過濾和服務(wù)技術(shù)。其中最簡單和最常用的是包過濾防火墻,它檢查接受到的每個數(shù)據(jù)包的頭,以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過濾,所以可以有效地避免對其進(jìn)行的有意或無意的攻擊,從而保障了專用私有網(wǎng)的安全。將包過濾防火墻與服務(wù)器結(jié)合起來使用是解決網(wǎng)絡(luò)安全問題的一種非常有效的策略。防火墻技術(shù)的局限性主要在于:防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊,不能防止網(wǎng)絡(luò)內(nèi)部用戶對于網(wǎng)絡(luò)的攻擊;防火墻不能保障數(shù)據(jù)的秘密性,也不能保障網(wǎng)絡(luò)不受病毒的攻擊,它只能有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受主動攻擊和入侵。
2.虛擬專網(wǎng)技術(shù)(VPN)
VPN的實(shí)現(xiàn)過程使用了安全隧道技術(shù)、信息加密技術(shù)、用戶認(rèn)證技術(shù)、訪問控制技術(shù)等。VPN具投資小、易管理、適應(yīng)性強(qiáng)等優(yōu)點(diǎn)。VPN可幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)之間建立可信的安全連接,并保障數(shù)據(jù)的安全傳輸,以此達(dá)到在公共的Internet上或企業(yè)局域網(wǎng)之間實(shí)現(xiàn)的電子交易的目的。
3.數(shù)據(jù)加密技術(shù)
加密技術(shù)是保障電子商務(wù)系統(tǒng)安全所采用的最基本的安全措施,它用于滿足電子商務(wù)對保密性的需求。加密技術(shù)分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類。如果進(jìn)行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露,可通過常規(guī)密鑰密碼體系的方法加密機(jī)密信息,并隨報(bào)文發(fā)送報(bào)文摘要和報(bào)文散列值,以保障報(bào)文的機(jī)密性和完整性。目前常用的常規(guī)密鑰密碼體系的算法有:數(shù)據(jù)加密標(biāo)準(zhǔn)DES、三重DES、國際數(shù)據(jù)加密算法IDEA等,其中DES使用最普遍,被ISO采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)。在公開密鑰密碼體系中,加密密鑰是公開信息,而解密密鑰是需要保護(hù)的,加密算法和解密算法也都是公開的。典型的公開密鑰密碼體系有
:基于數(shù)論中大數(shù)分解的RSA體系、基于NP理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中,常規(guī)密鑰密碼體系的特點(diǎn)是加密速度快、效率高,被廣泛用于大量數(shù)據(jù)的加密,但該方法的致命缺點(diǎn)是密鑰的傳輸易被截獲,難以安全管理大量的密鑰,因此大范圍應(yīng)用存在一定問題。而公開密鑰密碼體系很好地解決了上述不足,保密性能也優(yōu)于常規(guī)密鑰密碼體系,但公開密鑰密碼體系復(fù)雜,加密速度不夠理想。目前電子商務(wù)實(shí)際運(yùn)用中常將兩者結(jié)合使用。
4.安全認(rèn)證技術(shù)
安全認(rèn)證技術(shù)主要有:(1)數(shù)字摘要技術(shù),可以驗(yàn)證通過網(wǎng)絡(luò)傳輸收到的明文是否被篡改,從而保障數(shù)據(jù)的完整性和有效性。(2)數(shù)字簽名技術(shù),能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別和不可否認(rèn)性,同時(shí)還能阻止偽造簽名。(3)數(shù)字時(shí)間戳技術(shù),用于提供電子文件發(fā)表時(shí)間的安全保護(hù)。(4)數(shù)字憑證技術(shù),又稱為數(shù)字證書,負(fù)責(zé)用電子手段來證實(shí)用戶的身份和對網(wǎng)絡(luò)資源訪問的權(quán)限。(5)認(rèn)證中心,負(fù)責(zé)審核用戶的真實(shí)身份并對此提供證明,而不介入具體的認(rèn)證過程,從而緩解了可信第三方的系統(tǒng)瓶頸問題,而且只須管理每個用戶的一個公開密鑰,大大降低了密鑰管理的復(fù)雜性,這些優(yōu)點(diǎn)使得非對稱密鑰認(rèn)證系統(tǒng)可用于用戶眾多的大規(guī)模網(wǎng)絡(luò)系統(tǒng)。(6)智能卡技術(shù),它不但提供讀寫數(shù)據(jù)和存儲數(shù)據(jù)的能力,而且還具有對數(shù)據(jù)進(jìn)行處理的能力,可以實(shí)現(xiàn)對數(shù)據(jù)的加密和解密,能進(jìn)行數(shù)字簽名和驗(yàn)證數(shù)字簽名,其存儲器部分具有外部不可讀特性。采用智能卡,可使身份識別更有效、安全,但它僅僅為身份識別提供一個硬件基礎(chǔ),如果要使身份認(rèn)證更安全,還需要與安全協(xié)議的配合。
5.電子商務(wù)安全協(xié)議
不同交易協(xié)議的復(fù)雜性、開銷、安全性各不相同,同時(shí)不同的應(yīng)用環(huán)境對協(xié)議目標(biāo)的要求也不盡相同。目前比較成熟的協(xié)議有:(1)Netbill協(xié)議,是由J.D.Tygar等設(shè)計(jì)和開發(fā)的關(guān)于數(shù)字商品的電子商務(wù)協(xié)議,該協(xié)議假定了一個可信賴的第三方,將商品的傳送和支付鏈接到一個原子事務(wù)中。(2)匿名原子交易協(xié)議,由J.D.Tygar首次提出,具有匿名性和原子性,對著名的數(shù)字現(xiàn)金協(xié)議進(jìn)行了補(bǔ)充和修改,改進(jìn)了傳統(tǒng)的分布式系統(tǒng)中常用的兩階段提交,引入了除客戶、商家和銀行之外的獨(dú)立第四方一交易日志(Transaction log)以取代兩階段提交協(xié)議中的協(xié)調(diào)者(Coordinator)。(3)安全電子交易協(xié)議SET,由VISA公司和MasterCard公司聯(lián)合開發(fā)設(shè)計(jì)。SET用于劃分與界定電子商務(wù)活動中消費(fèi)者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利義務(wù)關(guān)系,它可以對交易各方進(jìn)行認(rèn)證,防止商家欺詐。SET協(xié)議開銷較大,客戶、商家、銀行都要安裝相應(yīng)軟件。(4)安全套接字層協(xié)議SSL,是目前使用最廣泛的電子商務(wù)協(xié)議,它由Netscape公司于1996年設(shè)計(jì)開發(fā)。它位于運(yùn)輸層和應(yīng)用層之間,能很好地封裝應(yīng)用層數(shù)據(jù),不用改變位于應(yīng)用層的應(yīng)用程序,對用戶透明。然而,SSL并不專為支持電子商務(wù)而設(shè)計(jì),只支持雙方認(rèn)證,只能保障傳送信息傳送過程中不因被截而泄密,不能防止商家利用獲取的信用卡號進(jìn)行欺詐。(5)JEPI(Joint Electronic Payment Initiative),是為了解決眾多協(xié)議間的不兼容性而提出來的,是現(xiàn)有HTTP協(xié)議的擴(kuò)展,在普遍HTTP協(xié)議之上增加了PEP(Protocol Extension Protocol)和UPP(Universal Payment Preamble)兩層結(jié)構(gòu),其目的不是提出一種新的電子支付手段,而是在允許多種支付系統(tǒng)并存的情況下,幫助商家和顧客雙方選取一個合適的支付系統(tǒng)。
四、結(jié)束語
信息安全是電子商務(wù)發(fā)展的基礎(chǔ),隨著電子商務(wù)的發(fā)展,通過各種網(wǎng)絡(luò)的交易手段也會更加多樣化,安全問題變得更加突出。為了解決好這個問題,必須有安全技術(shù)作保障。目前,防火墻技術(shù)、網(wǎng)絡(luò)掃描技術(shù),數(shù)據(jù)加密技術(shù)和計(jì)算系統(tǒng)安全技術(shù)發(fā)揮著重要的作用,此外,需要完善法律制度、管理制度和誠信制度,保障電子商務(wù)信息安全,加快電子商務(wù)的發(fā)展。
電子商務(wù)信息安全研究:電子商務(wù)信息安全風(fēng)險(xiǎn)與防范策略研究
摘要:電子商務(wù)的廣泛應(yīng)用,凸顯了其應(yīng)用環(huán)境不夠完善,相應(yīng)的法規(guī)、標(biāo)準(zhǔn)、技術(shù)都存在較大問題,通過電子商務(wù)信息安全方案的問題,著重探討了中國電子商務(wù)發(fā)展的防范措施。
關(guān)鍵詞:電子商務(wù); 信息安全;運(yùn)行環(huán)境;黑客;防火墻
電子商務(wù)在網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展日益迅猛的當(dāng)下,應(yīng)用越來越廣泛,這種基于Internet進(jìn)行的各種商務(wù)活動模式以其特有的開放性讓商務(wù)活動相比較以往更加高效快捷。In-ternet 是一個開放的、全球性的、無控制機(jī)構(gòu)的網(wǎng)絡(luò),計(jì)算機(jī)網(wǎng)絡(luò)自身的特點(diǎn)決定了網(wǎng)絡(luò)不安全,網(wǎng)絡(luò)服務(wù)一般都是通過各種各樣的協(xié)議完成的,因此網(wǎng)絡(luò)協(xié)議的安全性是網(wǎng)絡(luò)安全的重要方面,Internet 的數(shù)據(jù)傳輸是基于 TCP/IP操作系統(tǒng)來支持的,TCP/IP 協(xié)議本身存在著一定的缺陷。
1電子商務(wù)所面臨的信息安全威脅
1.1 安全環(huán)境惡化
由于在計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)方面發(fā)展較為遲緩,我國在很多硬件核心設(shè)備方面依然以進(jìn)口采購為主要渠道,不能自主生產(chǎn)也意味著不能自主控制,除了生產(chǎn)技術(shù)、維護(hù)技術(shù)也相應(yīng)依靠國外引進(jìn),這也就讓國內(nèi)的電子商務(wù)無法看到眼前的威脅以及自身軟件的應(yīng)付能力。
1.2平臺的自然物理威脅
由于電子商務(wù)通過網(wǎng)絡(luò)傳輸進(jìn)行,因此諸如電磁輻射干擾以及網(wǎng)絡(luò)設(shè)備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預(yù)測,而這些威脅將直接影響信息安全。此外,人為破壞商務(wù)系統(tǒng)硬件,篡改刪除信息內(nèi)容等行為,也會給企業(yè)造成損失。
1.3黑客入侵
在諸多威脅中,病毒是最不可控制的,其主要作用是損壞計(jì)算機(jī)文件,且具有繁殖功能。配合越來越便捷的網(wǎng)絡(luò)環(huán)境,計(jì)算機(jī)病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性,本地計(jì)算機(jī)所記錄的登錄信息都會被木馬程序篡改,從而造成信息之外的文件和資金遭竊。
2電子商務(wù)信息安全的防范處理方法
2.1針對病毒的技術(shù)
作為電子商務(wù)安全的較大威脅,對于計(jì)算機(jī)病毒的防范是重中之重。對于病毒,處理態(tài)度應(yīng)該以預(yù)防為主,查殺為輔。因?yàn)椴《镜念A(yù)防工作在技術(shù)層面上比查殺要更為簡單。多種預(yù)防措施的并行應(yīng)用很重要,比如對全新計(jì)算機(jī)硬件、軟件進(jìn)行的檢測;利用病毒查殺軟件對文件進(jìn)行實(shí)時(shí)的掃描;定期進(jìn)行相關(guān)數(shù)據(jù)備份;服務(wù)器啟動采取硬盤啟動;相應(yīng)網(wǎng)絡(luò)目錄和文件設(shè)置相應(yīng)的訪問權(quán)限等等。同時(shí)在病毒感染時(shí)保障文件的及時(shí)隔離。在計(jì)算機(jī)系統(tǒng)感染病毒的情況下,及時(shí)時(shí)間清除病毒文件并及時(shí)恢復(fù)系統(tǒng)。
2.2防火墻應(yīng)用
防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng),對內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。目前的防火墻分為兩大類:一類是簡單的包過濾技術(shù),它是在網(wǎng)絡(luò)層對數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的 TCP 端口和 TCP 鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器,可針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告
2.3數(shù)據(jù)加密技術(shù)的引入
加密技術(shù)是保障電子商務(wù)安全采用的主要安全措施。加密過程就是根據(jù)一定的算法,將可理解的數(shù)據(jù)(明文)與一串?dāng)?shù)字(密鑰)相結(jié)合,從而產(chǎn)生不可理解的密文的過程,主要加密技術(shù)是:對稱加密技術(shù)和非對稱加密技術(shù)。
2.4認(rèn)證系統(tǒng)
網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個人或組織的真實(shí)身份。傳統(tǒng)的對稱密鑰算法具有加密強(qiáng)度高、運(yùn)算速度快的優(yōu)點(diǎn),但密鑰的傳遞與管理問題限制了它的應(yīng)用。為解決此問題,20 世紀(jì) 70 年代密碼界出現(xiàn)了公開密鑰算法,該算法使用一對密鑰即一個私鑰和一個公鑰,其對應(yīng)關(guān)系是的,公鑰對外公開,私鑰個人秘密保存。一般用公鑰來進(jìn)行加密,用私鑰來進(jìn)行簽名;同時(shí)私鑰用來解密,公鑰用來驗(yàn)證簽名。
2.5其他注意事項(xiàng)
(1)機(jī)密性是指信息在存儲或傳輸過程中不被他人竊取或泄漏,滿足電子商務(wù)交易中信息保密性的安全需求,避免敏感信息泄漏的威脅。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。
(2)商務(wù)信息的完整性,只讀特性以及修改授權(quán)問題是電子商務(wù)信息需要攻克的一大難關(guān)。信息在傳輸過程中必須保持原內(nèi)容,不能因技術(shù)、環(huán)境以及刻意原因而輕易被更改。
(3)交易誠信問題也存在于隔空交易當(dāng)中,電子商務(wù)信息在傳輸當(dāng)中,保障傳輸速度和內(nèi)容真實(shí)的情況下,交易方不能對已完成的交易操作產(chǎn)生反悔,一旦因商務(wù)平臺外的問題而取消或質(zhì)疑交易操作,對方的利益將蒙受損失。
3結(jié)語
要想保障電子商務(wù)的信息安全,需要對計(jì)算機(jī)硬件、網(wǎng)絡(luò)訪問以及被訪問、文件輸出和接收,以及電子商務(wù)平臺等多環(huán)節(jié)進(jìn)行的控制和監(jiān)測。在此基礎(chǔ)上,不但要開發(fā)出有效網(wǎng)絡(luò)安全軟件并自主掌控核心技術(shù),也要相關(guān)的安全法律法規(guī)和物理安全機(jī)制相配合,并在技術(shù)層面上加大對相關(guān)科研機(jī)構(gòu)和科研氛圍的投入,才能保障電子商務(wù)保持現(xiàn)有的發(fā)展速度,并更加更加健康的應(yīng)用到我們的企業(yè)商務(wù)活動中。
電子商務(wù)信息安全研究:電子商務(wù)信息安全研究論文
【摘要】電子商務(wù)是新興商務(wù)形式,信息安全的保障是電子商務(wù)實(shí)施的前提。本文針對電子商務(wù)活動中存在的信息安全隱患問題,實(shí)施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、身份驗(yàn)證技術(shù)、防火墻技術(shù)等技術(shù)性措施,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境,促進(jìn)我國電子商務(wù)可持續(xù)發(fā)展。
【關(guān)鍵詞】電子商務(wù);信息安全;信息技術(shù)
電子商務(wù)概念源于英文ElectronicCommerce,簡寫EC。美國《商業(yè)周刊》認(rèn)為,Internet已經(jīng)成為"有史以來最激動人心的生意場"。電子商務(wù)介入世界經(jīng)濟(jì)活動并成為其中主角是必然的發(fā)展趨勢。據(jù)統(tǒng)計(jì)1998年全球電子商務(wù)交易額為1020億美元,2003年電子商務(wù)交易額達(dá)到1.3萬億美元,約占世界貿(mào)易總額的1/4,到2005年將達(dá)到2~3萬億美元。由于大量的信息在網(wǎng)上傳遞,大量的資金在網(wǎng)上劃撥流動,這就要求網(wǎng)上信息必須具有高度的性和的保密性。但是出于各種目的的網(wǎng)絡(luò)入侵和攻擊也越來越頻繁,脆弱的網(wǎng)絡(luò)和不成熟的電子商務(wù)增強(qiáng)了人們的防范心理。從這點(diǎn)上來看,信息安全問題是保障電子商務(wù)的生命線。
1、電子商務(wù)信息的安全要素
1.1機(jī)密性
傳統(tǒng)的貿(mào)易大多是通過書信或者的通信渠道來發(fā)送商業(yè)文檔,雖然速度和效率都不高,但卻能達(dá)到保密的目的,而電子商務(wù)是在開放的網(wǎng)絡(luò)環(huán)境下進(jìn)行的,因此要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取,所以保障電子商務(wù)信息的機(jī)密性就變得非常重要。
1.2完整性
電子商務(wù)極大地簡化了傳統(tǒng)貿(mào)易過程,減少了認(rèn)為的干預(yù),同時(shí)也伴隨著貿(mào)易各方商業(yè)信息的完整、同一問題。由于數(shù)據(jù)錄入時(shí)合法或非法的行為,可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異。信息在傳輸?shù)倪^程中也有可能造成信息的丟失、重復(fù)或次序的差異。因此要預(yù)防對信息的各種非法操作,保障數(shù)據(jù)在傳送的過程中完整性。
1.3認(rèn)證性
網(wǎng)絡(luò)環(huán)境是一個虛擬的環(huán)境,而電子商務(wù)就是在這個虛擬平臺上進(jìn)行的,貿(mào)易雙方一般都不見面,需要一些技術(shù)和策略來進(jìn)行身份確認(rèn)。當(dāng)個人或?qū)嶓w聲稱身份時(shí),電子商務(wù)服務(wù)需要提供一種方式來進(jìn)行身份認(rèn)證。
1.4有效性
在交易的過程中貿(mào)易雙方需要確定很多信息,電子商務(wù)以電子形式取代了紙張來確認(rèn)這此信息,保障謝謝信息的有效性是開展電子商務(wù)的前提。因此要對網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保障貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)是有效的。
2、電子商務(wù)安全中存在的問題
電子商務(wù)是實(shí)現(xiàn)整個貿(mào)易過程中各階段貿(mào)易活動的電子化。公眾是電子商務(wù)的對象,信息技術(shù)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ),電子商務(wù)實(shí)施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和性。因此電子商務(wù)活動中的信息安全問題主要體現(xiàn)在以下幾個方面。
2.1計(jì)算機(jī)網(wǎng)絡(luò)的安全
2.1.1安全協(xié)議問題
隨著經(jīng)濟(jì)和信息全球化的時(shí)代到來,但安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對制約了國際性的商務(wù)活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
2.1.2信息的安全問題
非法用戶在網(wǎng)絡(luò)的傳輸上,通過不正當(dāng)手段,非法攔截會話數(shù)據(jù)獲得合法用戶的有效信息,最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密或者是非法用戶對截獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實(shí)性和完整性,導(dǎo)致合法用戶無法正常交易,還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送,惡意攻擊對方的網(wǎng)絡(luò)硬件和軟件。
2.1.3防病毒問題
電腦病毒問世十多年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟(jì)損失。
2.1.4服務(wù)器的安全問題。
電子商務(wù)服務(wù)器是電子商務(wù)的核心,安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息,并且服務(wù)器上的數(shù)據(jù)庫里有企業(yè)的一些保密數(shù)據(jù),如價(jià)格、成本等,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果也是非常嚴(yán)重的。目前服務(wù)器的安全問題尚無有效措施予以阻止。主要表現(xiàn)在:非法用戶向網(wǎng)絡(luò)或主機(jī)發(fā)送大量非法或無效的請求,使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡(luò)服務(wù),利用操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全漏洞,通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請求,使網(wǎng)絡(luò)應(yīng)用服務(wù)器崩潰而停止服務(wù)。
2.2電子商務(wù)交易的安全
2.2.1身份的不確定問題
由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段竊取合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易,從中獲得非法收入。主要表現(xiàn)有:冒充他人身份;冒充他人消費(fèi)、栽贓、冒充主機(jī)欺騙合法主機(jī)及合法用戶等。
2.2.2交易的抵賴問題
電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。如自己應(yīng)承擔(dān)的責(zé)任如:者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認(rèn)曾經(jīng)收到過某條信息或內(nèi)容;購買者做了訂貨單不承認(rèn),商家賣出的商品質(zhì)量差但不承認(rèn)原有的交易。在網(wǎng)絡(luò)世界為交易雙方的糾紛進(jìn)行公證、仲裁。
2.2.3交易的修改問題
交易文件是不可修改的,否則必然會影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保障商務(wù)交易的嚴(yán)肅和公正。
2.3其他方面的安全
電子商務(wù)安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題:網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問題,急需為電子商務(wù)提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導(dǎo)致泄露信息等均可構(gòu)成不同程度后果的威脅。
3、保障電子商務(wù)信息安全措施
3.1數(shù)據(jù)加密策略
加密技術(shù)是電子商務(wù)的最基本措施,最初主要用與保障數(shù)據(jù)在存儲和傳輸過程中的保密性。隨著電子商務(wù)的發(fā)展,對數(shù)據(jù)完整性以及身份鑒定技術(shù)提出了新的要求,數(shù)字簽名、身份認(rèn)證就是為了適應(yīng)這種需要在密碼學(xué)中派生出來的新技術(shù)和新應(yīng)用。加密技術(shù)是一種主動的信息安全防范策略,利用一定的加密算法.將明文轉(zhuǎn)換成毫無意義的密文。阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。
比較廣泛使用的加密技術(shù)有兩種:一是對稱密鑰加密體制,一是非對稱密鑰加密體制。它們的區(qū)別在于密鑰的類型不同。
3.1.1對稱密鑰加密體制
對稱密鑰加密,又稱私鑰加密(SecretKeyEncryption),即數(shù)據(jù)加密和解密采用的都是同一個密鑰,因而其安全性依賴于所持有密鑰的安全性,其較大的優(yōu)點(diǎn)就是速度快,適合于對大數(shù)據(jù)量進(jìn)行加密,但其較大的缺點(diǎn)是在大量用戶的情況下密鑰答理復(fù)雜,而且無法完成身份認(rèn)證等功能,不便于應(yīng)用于網(wǎng)絡(luò)開放的環(huán)境中。
3.1.2非對稱密鑰加密體制
非對稱密鑰加密體制,又稱公鑰加密(PublicKeyEncryp2tion),數(shù)據(jù)加密和解密采用不同的密鑰,需要使用一對密鑰來分別完成加密和解密操作。在非對稱密鑰加密體制中密鑰被分解為一對。這對鑰中的在何一把都可作為公開密鑰,加密密鑰,通過非保密方式向他人公開。而另一把則作為私用密鑰加以保存。私用密鑰只能由數(shù)據(jù)的接受者掌握。
利用公鑰體系可以方便地實(shí)現(xiàn)對用戶的身份認(rèn)證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸?shù)男畔⑦M(jìn)行加密,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進(jìn)行解密,如果能夠解開,說明信息確實(shí)為該用戶所發(fā)送,這樣就方便地實(shí)現(xiàn)了對信息發(fā)送方身份的鑒別和認(rèn)證。
通常在實(shí)際應(yīng)用中將公鑰密碼體系和數(shù)字簽名算法結(jié)合使用.在保障數(shù)據(jù)傳輸完整性的同時(shí)完成對用戶的身份認(rèn)證。
3.2防火墻技術(shù)
現(xiàn)有的防火墻技術(shù)包括兩大類:數(shù)據(jù)包過濾和服務(wù)技術(shù)。其中,最簡單和最常用的是包過濾防火墻,它檢查接受到的每個數(shù)據(jù)包的頭,以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過濾,所以可以有效地避兔對其進(jìn)行的有意或無意的攻擊,從而保障了專用私有網(wǎng)的安全。將包過濾防火墻與服務(wù)器結(jié)合起來使用是解決網(wǎng)絡(luò)安全問題的一種非常有效的策略。防火墻技術(shù)的局限性主要在于:(1)防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊,不能防止網(wǎng)絡(luò)內(nèi)部用戶對于網(wǎng)絡(luò)的攻擊。(2)防火墻不能保障數(shù)據(jù)的秘密性,也不能保障網(wǎng)絡(luò)不受病毒的攻擊,它只能有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受主動攻擊和入侵。
3.3身份驗(yàn)證技術(shù)
3.3.1認(rèn)證系統(tǒng)
網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個人或組織的真實(shí)身份。數(shù)字證書的頒發(fā)機(jī)構(gòu)叫做CertificateAuthority,通常簡稱為CA。要建立安全的電子商務(wù)系統(tǒng),首先必須建立一個穩(wěn)固、健全的CA,否則,一切網(wǎng)上的交易都沒有安全保障。
3.3.2SSL協(xié)議
SSL協(xié)議(SecureSocket,Layer,安全套接層)主要目的是解決TCP/IP協(xié)議不能確認(rèn)用戶身份的問題,在Socket上使用非對稱的加密技術(shù),以保障網(wǎng)絡(luò)通信服務(wù)的安全性。SSL協(xié)議易于實(shí)現(xiàn)。SSL協(xié)議還是最值得信賴的協(xié)議。但是由于SSL協(xié)議當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的,所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方的安全傳輸和信任關(guān)系。
3.3.3SET協(xié)議
SET(SecureElectronicTransaction)安全電子交易協(xié)議是用于Internet上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。主要應(yīng)用于B/C模式中保障支付信息的安全性。SET協(xié)議提供對消費(fèi)者、商戶和銀行的認(rèn)證,協(xié)議本身比較復(fù)雜,設(shè)計(jì)比較嚴(yán)格,安全性高,確保電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性,特別是保障了不會將持卡人的信用卡號泄露給商戶。其核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。它的交易規(guī)范成為了未來電子商務(wù)發(fā)展的方向。
3.4保障電子商務(wù)信息安全的環(huán)境性措施
目前,基于Internet的電子商務(wù)應(yīng)用還不成熟,許多內(nèi)外部環(huán)境還不夠完善,相應(yīng)的法律、法規(guī),相關(guān)的標(biāo)準(zhǔn)還都沒有建立,跨部門、跨地區(qū)的協(xié)調(diào)存在較大問題。
3.4.1構(gòu)造我國完善的電子商務(wù)體系
積極參與國際合作,融合國際電子商務(wù)框架,構(gòu)造適合中國國情的電子商務(wù)體系。作為一個主權(quán)國家,為了維護(hù)國家的利益和經(jīng)濟(jì)安全,在電子商務(wù)相關(guān)技術(shù)方面注重自主知識產(chǎn)權(quán)技術(shù)的開發(fā),不能全部依賴進(jìn)口。因此,必須加大投資力度,重點(diǎn)支持電子商務(wù)技術(shù)的研發(fā)工作。
3.4.2加強(qiáng)法律法規(guī)建設(shè)
針對利用信息高科技和信息系統(tǒng)等新型犯罪,政府部門應(yīng)盡快組織力量,結(jié)合電子商務(wù)的客觀需要,對現(xiàn)有的與電子商務(wù)相關(guān)的法律法規(guī),利用法律與犯罪作斗爭是人類歷來的做法。如:《中華人民共和國刑法》、《全國人大常委會關(guān)于互聯(lián)網(wǎng)安全的決定》、《合同法》、《著作權(quán)法》等進(jìn)行修改。在這些法律中,可以適當(dāng)增加對網(wǎng)絡(luò)犯罪處罰的條款,增加對網(wǎng)絡(luò)作品著作權(quán)保護(hù)的條款;對電子商務(wù)發(fā)展中急需解決的有關(guān)問題,如:在電子支付、稅收管理,安全認(rèn)證、網(wǎng)絡(luò)與信息安全、知識產(chǎn)權(quán)保護(hù)、消費(fèi)者權(quán)益保護(hù)等可由相關(guān)主管部門先制定部門規(guī)章,必要時(shí),由國務(wù)院行政法規(guī),再按程序上升為法律。
3.4.3加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè),推動企業(yè)信息化進(jìn)程加強(qiáng)相關(guān)領(lǐng)域應(yīng)用基礎(chǔ)對應(yīng)的技術(shù)科學(xué)研究及應(yīng)用研究是在信息領(lǐng)域及信息安全領(lǐng)域取得"創(chuàng)新"和"可持續(xù)發(fā)展"的直接動力。信息基礎(chǔ)設(shè)施是電子商務(wù)發(fā)展的物質(zhì)基礎(chǔ)和載體。發(fā)展信息基礎(chǔ)設(shè)施需要多種學(xué)科和人才的支持、政府和業(yè)界的共同努力,尤其是政府的大力投資和宏觀調(diào)控。
3.4.4加快銀行、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)建立企業(yè)到企業(yè)(BtoB)、企業(yè)到客戶(BtoC)的商務(wù)溝通,實(shí)現(xiàn)網(wǎng)上資金流動,解決目前有形商品交易環(huán)節(jié)中的流通困難。
電子商務(wù)信息安全研究:基于計(jì)算機(jī)安全技術(shù)下的電子商務(wù)信息安全研究
摘要:近年來電子商務(wù)在國內(nèi)外有了突飛猛進(jìn)的發(fā)展,但是在電子商務(wù)飛速發(fā)展的今天,安全問題仍是制約電子商務(wù)發(fā)展的瓶頸。電子商務(wù)安全問題是個系統(tǒng)的概念,本文主要從技術(shù)角度闡述了電子商務(wù)信息安全問題,并提出了相應(yīng)的技術(shù)解決方案。
關(guān)鍵詞:電子商務(wù);安全;計(jì)算機(jī)技術(shù)
一、電子商務(wù)安全問題基本范疇
電子商務(wù)的安全性體現(xiàn)在網(wǎng)絡(luò)安全、信息加密技術(shù)以及交易的安全。電子商務(wù)交易安全緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題,計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全實(shí)際上是密不可分的,兩者相輔相成,缺一不可。由于在互聯(lián)網(wǎng)設(shè)計(jì)之初,只考慮方便性、開放性,使得互聯(lián)網(wǎng)絡(luò)極易受到黑客的攻擊或有組織的群體的入侵,使得網(wǎng)絡(luò)信息系統(tǒng)遭到破壞,信息泄露。因此,電子商務(wù)中的安全隱患大致有四種:1.信息的截獲和竊取;2.信息的篡改;3.信息的假冒;4.交易抵賴。
二、計(jì)算機(jī)技術(shù)下的電子商務(wù)信息安全防范機(jī)制
(一)數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),確保數(shù)據(jù)保密性的一種技術(shù)。數(shù)據(jù)加密及相關(guān)技術(shù)應(yīng)用可有效解決電子商務(wù)安全中交易信息的完整性、不可抵賴性和交易身份確定性。加密和解密過程中使用的密鑰分別稱為加密密鑰和解密密鑰,按加密密鑰與解密密鑰的對稱性可分為對稱型和不對稱型加密。結(jié)構(gòu)完整的數(shù)據(jù)加密系統(tǒng)必須具有認(rèn)證機(jī)構(gòu)(CA)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口(API)等基本構(gòu)成部分。
(二)身份識別技術(shù)
在網(wǎng)絡(luò)交易中如果不進(jìn)行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等,進(jìn)行身份識別后,交易雙方就可防止相互猜疑的情況。報(bào)文摘要技術(shù)與數(shù)據(jù)加密技術(shù)結(jié)合產(chǎn)生了數(shù)字簽名技術(shù),其應(yīng)用原理是發(fā)送方將報(bào)文摘要X用自己的私鑰加密,并將加密后的報(bào)文摘要(即數(shù)字簽名)同原文一起發(fā)送給接收方,接收方用發(fā)送方的公鑰解密數(shù)字簽名,并對接收到的報(bào)文利用對應(yīng)的同樣算法生成報(bào)文摘要Y,比較X和Y,若二者相同,說明信息完整且發(fā)送者身份是真實(shí)的,否則說明信息被修改或不是該發(fā)送者發(fā)送的。由于發(fā)送者的私鑰無法仿冒,同時(shí)發(fā)送者也不能否認(rèn)用自己的私鑰加密發(fā)送的信息,所以報(bào)文摘要和數(shù)字簽名技術(shù)能夠保障電子商務(wù)交易中信息的完整性和不可抵賴性。
(三)安全協(xié)議
前文說闡述加密技術(shù)僅僅提出了一種解決問題的安全框架模式,實(shí)際應(yīng)用中,針對不同的網(wǎng)絡(luò)應(yīng)用,又有不同的商業(yè)實(shí)現(xiàn)標(biāo)準(zhǔn),其中比較有名的就是由Visa、Master Card和IBM等聯(lián)合推出的安全電子交易協(xié)議(SET)和由Netscape、Verisign等推出的安全套接層協(xié)議(SSL)。
1.SET安全協(xié)議
SET安全協(xié)議是應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn),這就是“安全電子交易”(簡稱SET)。它采用公鑰密碼體制和X。509數(shù)字證書標(biāo)準(zhǔn),主要應(yīng)用于保障網(wǎng)上購物信息的安全性。由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保了交易數(shù)據(jù)的安全性、完整性和交易的不可否認(rèn)性,特別是保障不將消費(fèi)者銀行卡號暴露給商家等優(yōu)點(diǎn),因此它成為了目前公認(rèn)的信用卡和借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。
2.SSL安全協(xié)議
SSL安全協(xié)議最初是由NetscapeCommunication公司設(shè)計(jì)開發(fā)的,又叫”安全套接層協(xié)議”,主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全系數(shù)。SSL安全套接層協(xié)議主要是使用公開密鑰體制和X。509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性,SSL協(xié)議的整個概念可以被總結(jié)為:一個保障任何安裝了安全套接字的客戶和服務(wù)器間事務(wù)安全的協(xié)議,它涉及所有TCP/IP應(yīng)用程序。目前SSL已經(jīng)被眾多廠家和用戶使用,已經(jīng)成為通信底層協(xié)議的實(shí)際標(biāo)準(zhǔn)。
(四)網(wǎng)絡(luò)安全掃描技術(shù)
安全掃描技術(shù)是對網(wǎng)絡(luò)的各個環(huán)節(jié)提供的分析結(jié)果,并為系統(tǒng)管理員提供性和安全性分析報(bào)告等。包括端口掃描技術(shù)和漏洞掃描技術(shù)等。
(五)病毒防范技術(shù)
計(jì)算機(jī)病毒實(shí)際上就是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害計(jì)算機(jī)系統(tǒng)的功能程序。病毒經(jīng)過系統(tǒng)穿透或違反授權(quán)攻擊成功后,攻擊者通常要在系統(tǒng)中植入木馬或邏輯炸彈等程序,為以后攻擊系統(tǒng)、網(wǎng)絡(luò)提供方便條件。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測,工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。
(六)防火墻技術(shù)
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。
目前的防火墻分為兩大類,一類是簡單的分組過濾技術(shù),作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。另一類是應(yīng)用服務(wù)器,其顯著的優(yōu)點(diǎn)是“阻隔”了網(wǎng)絡(luò)通信流,通過對每種應(yīng)用服務(wù)編制專門的程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。通過應(yīng)用防火墻技術(shù),可以做到通過過濾不安全的服務(wù),極大地提高網(wǎng)絡(luò)安全和減少網(wǎng)絡(luò)中主機(jī)的風(fēng)險(xiǎn)。但防火墻是一種基于網(wǎng)絡(luò)邊界的被動安全技術(shù),對內(nèi)部未授權(quán)訪問難以有效控制,因此較適合于內(nèi)部網(wǎng)絡(luò)相對獨(dú)立,且與外部網(wǎng)絡(luò)的互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對集中的網(wǎng)絡(luò)。
三、結(jié)語
計(jì)算機(jī)安全技術(shù)是實(shí)現(xiàn)電子商務(wù)交易安全的基本手段,基于數(shù)據(jù)加密技術(shù)的相關(guān)應(yīng)用技術(shù)、身份識別技術(shù)、安全協(xié)議、安全掃描技術(shù)、病毒防范技術(shù)等實(shí)現(xiàn)了電子商務(wù)交易安全中信息的保密性、完整性、不可抵賴性和身份的確定性,規(guī)范了電子商務(wù)活動的各參與方和各種安全技術(shù)的運(yùn)用。此外,需要完善法律制度、管理制度和誠信制度來保障電子商務(wù)信息安全以及推動電子商務(wù)的健康、持續(xù)發(fā)展。
