電子商務的安全是一個複雜系統工程,僅從技術角度防範是遠遠不夠的,還必須完善電子商務方面的立法,以規範飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。那麼,下面是由小編為大家分享電子商務安全問題及技術防範措施,歡迎大家閱讀瀏覽。
一、電子商務存在的安全性問題
(一)電子商務安全的主要問題
1.網路協議安全性問題:由於TCP/IP本身的開放性, 企業 和使用者在電子交易過程中的資料是以資料包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開資料包攔截,甚至對資料包進行和假冒。
2.使用者資訊保安性問題:目前最主要的電子商務形式是/S(Browser/Server)結構的電子商務網站,使用者使用瀏覽器登入網路進行交易,由於使用者在登入時使用的可能是公共 計算 機,那麼如果這些計算機中有惡意木馬程式或病毒,這些使用者的登入資訊如使用者名稱、口令可能會有丟失的危險。
3.電子商務網站的安全性問題:有些企業建立的電子商務網站本身在設計製作時就會有一些安全隱患,伺服器作業系統本身也會有漏洞,不法攻擊者如果進入電子商務網站,大量使用者資訊及交易資訊將被竊取。
(二)電子商務安全問題的具體表現
1.資訊竊取、篡改與破壞。電子的交易資訊在網路上傳輸的過程中,可能會被他人非法、刪除或重放,從而使資訊失去了真實性和完整性。包括網路硬體和軟體的問題而導致資訊傳遞的丟失與謬誤;以及一些惡意程式的破壞而導致電子商務資訊遭到破壞。
2.身份假冒。如果不進行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易,敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。
3.誠信安全問題。電子商務的線上支付形式有電子支票、電子錢包、電子現金、信用卡支付等。但是採用這幾種支付方式,都要求消費者先付款,然後商家再發貨。因此,誠信安全也是影響電子商務快速 發展 的一個重要問題。
4.交易抵賴。電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些使用者可能對自己發出的資訊進行惡意的否認,以推卸自己應承擔的責任。交易抵賴包括多個方面,如發信者事後否認曾經發送過某條資訊或內容,收信者事後否認曾經收到過某條訊息或內容,購買者做了定貨單不承認,商家賣出的商品因價格差而不承認原有的交易等。
5.病毒感染。各種新型病毒及其變種迅速增加,不少新病毒直接利用網路作為自己的傳播途徑。我國計算機病毒主要就是蠕蟲等病毒在網上的猖獗傳播。蠕蟲主要是利用系統的漏洞進行自動傳播複製,由於傳播過程中產生巨大的掃描或其他攻擊流量,從而使網路流量急劇上升,造成網路訪問速度變慢甚至癱瘓。
6.黑客。黑客指的.是一些以獲得對其他人的計算機或者網路的訪問權為樂的計算機愛好者。而其他一些被稱為“破壞者(cracker)”的黑客則懷有惡意,他們會摧毀整個計算機系統,竊取或者損害保密資料,網頁,甚至最終導致業務的中斷。一些業餘水平的黑客只會在網上尋找黑客工具,在不瞭解這些工具的工作方式和它們的後果的情況下使用這些工具。
7.特洛伊木馬程式。特洛伊木馬程式簡稱特洛伊,是破壞性碼的傳輸工具。特洛伊表面上看起來是無害的或者有用的軟體程式,例如計算機遊戲,但是它們實際上是“偽裝的敵人”。特洛伊可以刪除資料,將自身的複本傳送給電子郵件地址簿中的收件人,以及開啟計算機進行其他攻擊。只有通過磁碟,從網際網路上下載檔案,或者開啟某個電子郵件附件,將特洛伊木馬程式複製到一個系統,才可能感染特洛伊。無論是特洛伊還是病毒並不能通過電子郵件本身傳播——它們只可能通過電子郵件附件傳播。
8.惡意破壞程式。網站提供一些軟體應用(例如ActiveX和JavaApplet),由於這些應用非常便於下載和執行,從而提供了一種造成損害的新工具。惡意破壞程式是指會導致不同程度的破壞的軟體應用或者Java小程式。一個惡意破壞程式可能只會損壞一個檔案,也可能損壞大部分計算機系統。
9.網路攻擊。目前已經出現的各種型別的網路攻擊通常被分為三類:探測式攻擊,訪問攻擊和拒絕服務(DoS)攻擊。探測式攻擊實際上是資訊採集活動,黑客們通過這種攻擊蒐集網路資料,用於以後進一步攻擊網路。通常,軟體工具(例如探測器和掃描器)被用於瞭解網路資源情況,尋找目標網路、主機和應用中的潛在漏洞。例如一種專門用於破解密碼的軟體,這種軟體是為網路管理員而設計的,管理員可以利用它們來幫助那些忘記密碼的員工,或者發現那些沒有告訴任何人自己的密碼就離開了公司的員工的密碼。但這種軟體如果被錯誤的人使用,就將成為一種非常危險的武器。訪問攻擊用於發現身份認證服務、檔案傳輸協議(FTP)功能等網路領域的漏洞,以訪問電子郵件帳號、資料庫和其他保密資訊。DoS攻擊可以防止使用者對於部分或者全部計算機系統的訪問。它們的實現方法通常是:向某個連線到企業網路或者網際網路的裝置傳送大量的雜亂的或者無法控制的資料,從而讓正常的訪問無法到達該主機。更惡毒的是分散式拒絕服務攻擊(DDoS),在這種攻擊中攻擊者將會危及多個裝置或者主機的安全。
二、電子商務安全技術措施
電子商務的安全性策略可分為兩大部分:一部分是計算機網路安全,第二部分是商務交易安全。電子商務中的安全性技術主要有以下幾種:
1.資料加密技術。對資料進行加密是電子商務系統最基本的資訊安全防範措施。其原理是利用加密演算法將資訊明文轉換成按一定加密規則生成的密文後進行傳輸,從而保證資料的保密性。使用資料加密技術可以解決資訊本身的保密性要求。資料加密技術可分為對稱金鑰加密和非對稱金鑰加密。
對稱金鑰加密(SecretKeyEncryption)。對稱金鑰加密也叫祕密/專用金鑰加密,即傳送和接收資料的雙方必須使用相同的金鑰對明文進行加密和解密運算。它的優點是加密、解密速度快,適合於對大量資料進行加密,能夠保證資料的機密性和完整性;缺點是當用戶數量大時,分配和管理金鑰就相當困難。目前常用的對稱加密演算法有:美國國家標準局提出DES演算法、由瑞士聯邦理工學院的IDEA演算法等。
非對稱金鑰加密(PublicKeyEncryption)。非對稱金鑰加密也叫公開金鑰加密,它主要指每個人都有一對唯一對應的金鑰:公開金鑰(簡稱公鑰)和私人金鑰(簡稱私鑰)公鑰對外公開,私鑰由個人祕密儲存,用其中一把金鑰來加密,就只能用另一把金鑰來解密。非對稱金鑰加密演算法的優點是易於分配和管理,缺點是演算法複雜,加密速度慢。一般用公鑰來進行加密,用私鑰來進行簽名;同時私鑰用來解密,公鑰用來驗證簽名。演算法的加密強度主要取決於選定的金鑰長度。目前常用的非對稱加密演算法有:麻省理工學院的RSA演算法、美國國家標準和技術協會的SHA演算法等。
複雜加密技術。由於上述兩種加密技術各有長短,目前比較普遍的做法是將兩種技術進行整合。 lwlmpageLWLM編輯。 向解密後得到明文。
2.數字簽名技術。數字簽名是通過特定密碼運算生成一系列符號及碼組成 電子 密碼進行簽名,來替書籤名或印章,對於這種電子式的簽名還可進行技術驗證,其驗證的準確度是一般手工簽名和圖章的驗證所無法比擬的。數字簽名技術可以保證資訊傳送的完整性和不可抵賴性。
3.認證機構和數字證書。所謂CA認證機構,它是採用PKI(Public Key Infrastructure)公開金鑰基礎架構技術,利用數字證書、非對稱和對稱加密演算法、數字簽名、數字信封等加密技術,建立起安全程度極高的加解密和身份認證系統,確保電子交易有效、安全地進行,從而使資訊除傳送方和接收方外,不被其他方知悉(保密性);保證傳輸過程中不被篡改(完整性和一致性);傳送方確信接收方不是假冒的;傳送方不能否認自己的傳送行為(不可抵賴性)。電子商務安全性的解決,大大地推動了電子商務的 發展 。在電子交易中,無論是數字時間戳服務還是數字證書的發放,都不是靠交易雙方自己能完成的,而需要有一個具有權威性和公正性的第三方來完成。CA認證機構作為權威的、可信賴的、公正的第三方機構,提供 網路 身份認證服務,專門負責發放並管理所有參與網上交易的實體所需的數字證書。
4.安全認證協議。目前電子商務中經常使用的有安全套接層SSL(Secure Sockets Layer)協議和安全電子交易SET(Secure Electronic Transaction)協議兩種安全認證協議。
安全套接層(SSL)協議。SSL協議是Netscape公司在網路傳輸層之上提供的一種基於RSA和保密金鑰的用於瀏覽器和Web伺服器之間的安全連線技術。SSL協議是一個保證任何安裝了安全套接層的客戶和伺服器間事務安全的協議,該協議向基於TCP/IP的客戶/伺服器應用程式提供了客戶端和伺服器的鑑別、資料完整性及資訊機密性等安全措施。目的是為使用者提供Internet和 企業 內聯網的安全通訊服務。SSL協議在應用層收發資料前,協商加密演算法,連線金鑰並認證通訊雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明載入任何高層應用協議(如HTTP、FTP、TELNET等)以保證應用層資料傳輸的安全性。SSL協議握手流程由兩個階段組成:伺服器認證和使用者認證。SSL採用了公開金鑰和專有金鑰兩種加密:在建立連線過程中採用公開金鑰;在會話過程中使用專有金鑰。加密的型別和強度則在兩端之間建立連線的過程中判斷決定。它保證了客戶和伺服器間事務的安全性。
安全電子交易(SET)協議。SET協議是針對開放網路上安全、有效的銀行卡交易,由維薩(Visa)公司和萬事達(Mastercard)公司聯合研製的,為Internet上卡支付交易提供高層的安全和反欺詐保證。由於它得到了IBM、HP、Microsoft等很多大公司的支援,已成為事實上的 工業 標準,目前已獲得IETF標準的認可。這是一個為Internet上進行線上交易而設立的一個開放的、以電子貨幣為基礎的電子付款規範。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證,這對於需要支付貨幣的交易來講是至關重要的。SET將建立一種能在Internet上安全使用銀行卡購物的標準。安全電子交易規範是一種為基於信用卡而進行的電子交易提供安全措施的規則,SET協議保證了電子交易的機密性、資料完整性、身份的合法性和防抵賴性,且SET協議採用了雙重簽名來保證各參與方資訊的相互隔離,使商家只能看到持卡人的訂購資料,而銀行只能取得持卡人的信用卡資訊。所以它是一種能廣泛應用於Internet上的安全電子付款協議,它能夠將普遍應用的信用卡的使用場所從目前的商店擴充套件到消費者家裡,擴充套件到消費者個人 計算 機中。
5.其他安全技術。電子商務安全中,常用的方法還有網路中採用防火牆技術、虛擬專用網(VPN)技術、防病毒保護等。如果單純依靠某個單項電子商務安全技術是不夠的,還必須與其他安全措施綜合使用才能為使用者提供更為可靠的電子商務安全基石。
