时间:2023-08-28 16:54:39
导语:在电子商务安全对策的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
一、安全的重要性以及存在的安全问题及其原因
计算机网络之所以存在着脆弱性,主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等。此外,信息安全处在初期发展阶段,缺少网络环境下用于产品评价的安全性准则和评价工具。系统管理人员的安全意识和安全管理培训等也相对缺乏。在系统安全受到威胁时,缺少应有的完整的安全管理方法、步骤和安全对策,如事故通报、风险评估、改正安全缺陷、评估损失、相应的补救恢复措施等。
根据攻击能力的组织结构程度和使用的手段,可以将威胁归纳为四种基本类型:无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。一般来讲,对外部威胁,安全性强调防御;对内部威胁,安全性强调威慑。
1.病毒。病毒是由一些不正直的程序员所编写的计算机程序,它采用了独特的设计,可以在受到某个事件触发时,复制自身,并感染计算机。如果在病毒可以通过某个外界来源进入网络时(大多数是通过某个受到感染的磁盘或者某个从互联网上下载的文件),网络才会感染病毒。当网络上的一台计算机被感染时,网络上的其他计算机就非常有可能感染到这种病毒。2.特洛伊木马程序。特洛伊木马程序,是破坏性代码的传输工具。特洛伊表面上看起来是无害的或者有用的软件程序,例如计算机游戏,但是它们实际上是伪装的敌人。特洛伊可以删除数据,将自身的副本发送给电子邮件地址簿中的收件人,以及开启计算机进行其他攻击。只有通过磁盘,从互联网上下载文件,或者打开某个电子邮件附件,将特洛伊木马程序复制到一个系统,才可能感染特洛伊。无论是特洛伊还是病毒并不能通过电子邮件本身传播――它们只可能通过电子邮件附件传播。3.恶意破坏程序。网站会提供一些软件应用(例如ActiveX和Java Applet)的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果,从而使网站更具有吸引力和互动性。但是,由于这些应用非常便于下载和运行,从而提供了一种造成损害的新工具。恶意破坏程序是指会导致不同程度破坏的软件应用或者Java小程序。一个恶意破坏程序可能只会损坏一个文件,也可能损坏大部分计算机系统。4.攻击。目前已经出现了各种类型的网络攻击,它们通常被分为三类:探测式攻击,访问攻击和拒绝服务(DoS)攻击。(1)探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网。(2)访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件账号、数据库和其他保密信息。(3)DoS攻击可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是:向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数据,从而让正常的访问无法到达该主机。更恶毒的是分布式拒绝服务攻击(DDoS),在这种攻击中攻击者将会危及到多个设备或者主机的安全。5.数据阻截。通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息,甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。6.社会活动。社会活动是一种越来越流行的通过非技术手段获取保密的网络安全信息的手段。7.垃圾信件。垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的,但是它可能会浪费接收者的时间和存储空间,带来很多麻烦。
二、技术保障策略
1.加密。加密方法多种多样,在网络信息中一般是利用信息变换规则把明文的信息变成密文的信息。既可对传输信息加密,也可对存储信息加密,把计算机数据变成一堆乱七八糟的数据,攻击者即使得到经过加密的信息,也不过是一串毫无意义的字符。加密可以有效地对抗截收、非法访问等威胁。2.数字签名。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议,使得收发数据的双方能够满足两个条件:接受方能够鉴别发送方宣称的身份;发送方以后不能否认他发送过数据这一事实。数据签名一般采用不对称加密技术,发送方对整个明文进行加密变换,得到一个值,将其作为签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方身份是真实的。3.鉴别。鉴别的目的是验明用户或信息的正身。对实体声称的身份进行惟一识别,以便验证其访问请求,或保证信息来源以验证消息的完整性,有效地对抗冒充、非法访问、重演等威胁。按照鉴别对象的不同,鉴别技术可以分为消息鉴别和通信双方相互鉴别;按照鉴别内容不同,鉴别技术可以分为用户身份鉴别和消息内容鉴别。鉴别的方法很多:利用鉴别码验证消息的完整性;利用通行字、密钥、访问控制机制等鉴别用户身份,防止冒充、非法访问;当今最佳的鉴别方法是数字签名。4.访问控制。访问控制的目的是防止非法访问。访问控制是采取各种措施保证系统资源不被非法访问和使用。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。5.防火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公共网络的互联环境中。大型网络系统与Internet互联的第一道屏障就是防火墙。防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,其基本功能为:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
总之,随着时间的推移,越来越多的新技术将用于进一步地提高业务和通信的效率。如果企业始终站在这种新型技术的前列,并能够防御最新的安全威胁和攻击,网络所带来的好处必然将远远超过它所带来的风险。
参考文献:
关键词:电子商务;信息安全;风险评估;对策
基金项目:郑州科技学院大学生创新创业训练计划项目:电子商务信息安全风险评估关键技术及应用(编号:DCY2019007)
1.引言
电子商务是以互联网为基础,以商城消费者产品物流为构成要素进行的电子商务活动。当电子商务相关部门或人员在进行项目开发时,拥有一套信息安全风险评估系统可以帮助其采用科学合理的方法对潜在威胁进行分析并保证经济系统的安全。所以将信息安全技术与现代化新兴技术结合,将为我们打造一个更加优质的网络环境。
2.电子商务系统中存在的信息安全问题及现状
一般来说,电子商务的信息安全是指在电子商务交易的过程中双方使用各种技术和法律手段等确保交易不会因为意外,恶意或者披露这些不利要求而受到损害的信息安全。在21世纪初叶,我国金融系统中的计算机犯罪率一直在不断地增加,我国金融网络信息安全形势非常严峻,需要加强改善。下面就电子商务网络中的信息安全问题做一个简要介绍,主要涉及以下几个方面:
(1)由于编写的电子商务系统软件可以使用不同的形式,因此在实际应用过程中难以避免的会留下安全漏洞。例如,网络操作系统本身会存在一些安全问题,例如非法访问I/0,这些不完全的调解和混乱的访问控制会造成数据库安全漏洞,而这些漏洞严重影响了电子商务系统的信息安全性.特别是在设开始设计之前就没有考虑TCP/IP通信协议的安全性,这一切都表明当前的电子商务系统网络软件中有一些可以避免或不可避免的安全漏洞。此外信息共享处理带来也存在风险。在信息的传递过程中,需要不断地对信息源进行加工和重现,截取有用信息,不可避免会出现信息转化方面的风险。尤其是在当下“社交+商务”的模式下,一条消息可能瞬间在社交网站上转载数万次或者更多,一旦在信息转载中出现误差,影响非常大,风险应当给予重视。
(2)随着网络技术的广泛应用,计算机病毒带来的问题越来越广泛,压缩文件,电子邮件已经成为计算机病毒传播的主要途径,因为这些病毒的种类非常多样化,破坏性极强,使得计算机病毒的传播速度大大加快了。近年来,新病毒种类的数量迅速增加,互联网为这些病毒的传播提供了良好的媒介。这些病毒可以通过网络大量传播任何粗心大意都会造成无法弥补的经济损失。此外还有信息传递过程所带来的风险。信息是一种重要的资源,良好的流动性能實现信息价值的最大化,但是在信息的传递过程中需要经过许多路径,而在这过程中往往存在一些不安全因素,给信息安全带来一定的风险。
(3)当前的黑客攻击,除了计算机病毒的传播外,黑容的恶意行为也越来越猖狂。特洛伊木马使黑容可以使用计算机病毒从而变得更加有目的性,使得计算机记录的登录信息被特洛伊木马程序恶意篡改,导致很多重要信息、文件,甚至是金钱被盗。
(4)由人为因素造成的电子商务公司的安全问题,大部分保密工作是通过员工的操作来进行的,这就需要员工具有很好的保密性,责任心和责任感等道德素质。如果员工的责任心不强,态度不正确,就容易被别人利用,让无关人员随意进出房间或向他人泄露机密信息,可以让罪犯废除重要信息。如果工作人员缺乏良好的职业道德,可能会非法超出授权范围更改或删除他人的信息,而且还可以利用所学专业知识和工作位置来窃取用户密码和标识符,进行非法出售。
3.电子商务信息安全风险评估存在的问题
经过大量的数据收集与分析不难发现对信息安全风险评估是当前科研工作中噬待解决的问题。目前,国内也有一些关于信息安全风险评估的研究和应用,但是这些研究都只是简单的分析,包括常用的具有风险的风险评估工具。评估矩阵,问卷,风险评估矩阵与问卷方法,专家系统相结合。对于更深层次的探究还需进一步努力。此外,网络信息安全风险评估方法常用定量因子分析方法,时间序列模型,决策树方法和回归模型进行。风险评估方法,定性分析主要包括逻辑分析,Delphi方法,因子分析方法,历史比较方法等。其中,定量和定性评估方法相结合,是由模糊层次分析法,基于D-S证据理论等的评估方法组成。同时网络信息安全风险评估还存在一定问题,例如随着网络的发展,我国从开始的2G迈向4G现在又率先进入5G时代。其中也出现了各种问题,网民数量的增加需要迫切提高他们对信息安全的警惕意识。
3.1欠缺对电子商务信息安全风险评估的认识
当前,许多相关人员对电子商务信息系统面临着巨大的挑战的现状并未有足够的意识,缺少信息安全风险评估经验。因此他们没有重视信息安全风险评估的重要性,其原因如下。第一,公司或单位的风险评估尚未通过标准检验,培训标准,信息安全风险评估工作的研究尚未得到系统的相关理论,方法和技术工具,这是由于一些信息安全评估工作相关领导层和工作人员对信息评估风险评估的重要性的认识不足,因此自然而然不将此类风险评估工作包括在当前的信息安全系统框架中。第二,尽管有许多部门将信息安全工作置于地位重要,但受到人力、物力,财力等方面的限制,社会制度的制约,政策法规的欠缺使得信息安全系统的信息安全风险评估工作无法得到应有的重视。
3.2缺乏信息安全风险评估方面的专业技术人才
首先,信息安全风险评估的技术内容要求非常高,它要求员工具有很高的技术水平,现在很多公司都将通用信息用作风险评估技术人员。其次,信息安全风险评估是一项集综合性,专业性于一体的工作,不仅涉及公司的所有业务信息,也涉及人力,物力和财力的方方面面,因此需要各部门之间相互配合,现在大多数公司仅依靠信息部门,独立的参与信息安全风险评估毫无争议他们要想完成信息安全风险评估工作是非常艰难的。综上所述,培养信息安全风险评估专业技术人员是今后信息技术方面发展的方向。
3.3风险评估工具相对缺乏
当前,除专家系统外,其他分析工具相对来说都比较简易,除此之外还缺乏实用的理论基础。此外,这种信息风险评估工具在应用中的发展呈现的现状。表明国内和外部失衡,在中国相对落后。可见解决信息安全问题的关键在于有成熟的风险评估工具。
4.防范电子商务信息安全及风险的建议
4.1增强电子商务信息安全和风险评估的意识
大多数信息的传输和处理,与人是密不可分的。特别是掌握人员的重要信息和核心业务,人员的个人因素,管理因素和环境存在风险。主要包括人员的技术能力,监控管理,安全性。特别需要做好监督审计公司的工作,确保信息安全风险管理融入实践,充分发挥内部监督作用,促进社会责任认可和实施信息安全风险管理工作。电子商务公司必须对工人进行必要的信息安全知识教育培訓,了解与之相关的法律法规,做好对客户关键信息的隐秘保护。不随意查看和泄露客户购买信息。
企业应该加大力度保障网络通信操作时信息的机密性和完整性,加强密钥管理,提高应对网络攻击能力,采取措施避免越权或滥用,消除用户在交易中的风险。在信息安全风险控制中必须由内到外地保护内部系统环境、网络边界、骨干网安全。为网络信息系统建立完善的管理系统,并提供全面的安全保障。运用端到端策略。对于移动电子商务中用户终端设备种类繁多,安全环境复杂难以控制的问题,必须做好数据传输中的重要环节中的身份鉴定。通过人脸识别、指纹识别等技术有效提高用户访问身份鉴别能力,极大地提高账户的安全性,确保数据传输的安全性,确保交易的真实有效。
4.2提供专业的技术培训,提高专业人员的技能
认真选择第三方合作伙伴,增强信息管理水平,加强绩效监督管理。树立合理的企业内部组织结构和有效资金保障,培养员工信息安全意识,创造良好信息安全工作氛围,加强信息安全专业技术人员对信息安全风险评估的意识和能力,通过大量的实验发现可以通过下列方法培训相关人员:第一,定期开展信息安全风险评估工作,将公司员工集合共同学习相关资料以提升他们对信息安全的意识弥补存在的缺陷。第二,对信息安全部门的员工进行专门的技术培训和指导,可通过模拟分析来提升技术;第三,公司应增加对技术资源的投入,聘请经验丰富的专家学者组成第三方评估机构,引进风险评估设备。以备不时之需;第四,公司应对技术人员进行标准化认证培训,执行职业资格准入制度,提高技术人员的门槛,纳入信息安全风险评估,技术人员的全面质量保证评估。以上这些方法只是单纯就培训方式对于具体的实施以及可能遇到的问题依然需要研究。
4.3提升对信息安全防范技术的研究和应用
为移动数据库存储的数据进行加密以防止泄漏,采用不同的加密方法来保护数据安全,进行身份认证,数据恢复,数据加密存储,物理隔离,防火墙,网络,网络设备,网络入侵检测,网络漏洞扫描,网络设备备份,网络管理,专线,实现网络管理等一系列技术手段,从而提高数据库的安全性。同时提高认识到物理设施的重要性,定期维护物理设施。为了监测信息安全和实施评估系统,我们要保证基本硬件和芯片的独立在建立独立于信息安全的评估体系中,国内外统一组织重要的信息安全技术研究,建立创新的电子商务信息安全与评估体系。
论文摘要:随着网络技术的广泛应用,网上购物的日益普及我国电子商务安全的问题日益严重。首先,分析了电子商务安全的现状,其次,着重对电子商务存在的问题及其原因进行深入地探索并指出了电子商务安全的需求,最后给出相应的解决方案。
随着网络技术的广泛应用,我国电子商务的安全问题也日益突出。根据“2010年上半年,计算机病毒和互联网安全报告疫情”的数据表明,2010年上半年,计算机病毒,木马的数量依然保持快速增长,新病毒不断出现,一些“老”的病毒推出了众多变种。2010年上半年计算机病毒,木马数量迅速增加,超出了近五年病毒数量的总和。在日益增多的电子商务安全问题面前,需要我们采取新措施来进行防范。
一、电子商务的安全现状
目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。因为篇幅问题,本文只侧重于计算机网络安全问题的描述和解决对于其他方面的问题不作详细的分析。与以往相比电子商务安全呈现出以下特点:
(一)木马病毒爆炸性增长,变种数量的快速增加
据统计,仅2009年上半年挂载木马网页数量累计达2.9亿个,共有11.2亿人次网民访问挂载木马,2010年元旦三天就新增电脑病毒50万。病毒的数量不仅增速变快,智能型,病毒变种更新速度快是本年度病毒的又一个特征。总体而言,目前的新木马不多,更多的是它的变种,因为目前反病毒软件的升级速度越来越快,病毒存活时间越来越短,因此,今天的病毒投放者不再投放单一的病毒,而是通过病毒下载器来进行病毒投放,可以自动从指定的网址上下载新病毒,并进行自动更新,永远也无法斩尽杀绝所有的病毒。同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多,电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。
(二)网络病毒传播方式的变化
过去,传播病毒通过网络进行。目前,通过移动存储介质传播的案例显著增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于u盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行u盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他u盘。与往年相比,今年通过网络浏览或下载该病毒的比例在下降。不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。
(三)网络病毒给电子商务造成的损失继续增加
调查显示,浏览器配置被修改,损坏或丢失数据,系统的使用受限,网络无法使用,密码被盗造成都给电子商务造成严重的破坏后果。2006年“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播,攫取非法经济利益,给被感染的用户带来重大损失。继“熊猫烧香”之后,复合型病毒大量出现,如:仇英、艾妮等病毒。同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
二、电子商务的安全问题及存在原因
1.对合法用户的身份冒充。以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
2.对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
3.对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。
4.拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。
5.对发出的信息予以否认.某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
6.信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输人虚假银行资料使卖方不能提款i用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
7.电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,cih病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。
三、电子商务的安全需求
电子商务威胁的出现导致了对电子商务安全的需求,主要包括有效性、完整性、不可抵赖性、匿名性。
1.有效性。保证信息的有效性是开展电子商务的前提,一旦签订交易,这项交易就应得到保护以防止被篡改或伪造。
2.完整性。贸易双方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易双方信息的完整性是电子商务的基础。
3.不可抵赖性。交易一旦达成,原发送方在发送数据后就不能抵赖,接收方接到数据后也不能抵赖。
4.匿名性。电子商务系统应确保交易的匿名性,防止交易过程被跟踪,保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体。
四、电子商务安全防治措施及安全举措
防范电子商务网络犯罪是一个系统工程,不仅需要人们提高防范电子商务网络犯罪的意识,加强防范电子商务网络犯罪的制度建设,而且.还需要技术上不断更新和完善,为此,需要做好以下几方面的工作。
1.加强教育和宣传,提高公众电子商务的安全意识。信息安全意识是指人们在上网的过程中,对信息安全重要性的认识水平,发现影响网络安全行为的敏锐性,维护网络安全的主动性。强化上网人员的信息安全意识,就是要让上网人员认识到,网络信息安全是电子商务正常而高效运转的基础,是保障企业、公民和国家利益的重要前提,从而牢同树立网上交易,安全第一的思想。主要采取以下措施:一是通过大众媒体,普及电子商务的安全知识,提高用户的认识。二是积极组织研讨会和培训课程,培养电子商务网络营销安全管理人才。
2.采用多重网络技术,保证网络信息安全。目前,常用的电子商务安全技术,主要包括:防火墙,物理隔离,vpn(虚拟专用网)。防火墙是实现内部网与外部网安全和入侵隔离的常规技术。使用防火墙,一方面是抵御来自外界的攻击。另一方面是为了防止在服务器内部部分未经授权的用户攻击。因此,电子商务内外网与互联网之间要设置防火墙。网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,发现任何安全隐患及时更改,做到有备无患。企业上网必须实行内外网划分和内外网的物理隔离。要运用vpn新技术,为使用者提了一种通过公用网络,安全地对食业网络进行远程访问,同时又能保证企业的系统安全。包括操作系统、数据库和服务器(如web服务器、e-maii。服务器)的安全。
3.运用密码技术,强化通信安全。应围绕数字证书应用,为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。目前要加强身份认证、数据完整性、数据加密、数字签名等工作。对于电子商务中的各种敏感数据进行数据加密处理,并且在数据传输中采用加密传输,以防止攻击者窃密。电子商务信息交换中的各种信息,必须通过身份认证来确认其合法性,然后确定这个用户的个人数据和特定权限。“在涉及多个对等实体间的交互认征时,应采用基于pki技术,借助第三方(ca)颁发的数字证书数字签名来确认彼此身份。”为了从根本上保证我国网络的安全,我同安全产品的应用应建立在国内自主研发的产品基础上,国外的先进技术可以参考,但不能完全照搬。政府应该鼓励和扶植一批企业加快数字安全技术的研究,以提高我国信息企业的技术和管理水平,促进我同电子商务安全建设。
4.加强技术管理,努力做到使用安全。首先是在内部严格控制企业内部人员对网络共享资源的随意使用。在内网中,除有特殊需要不要轻易开放共享目录,对有经常交换信息要求的用户,在共享时应该加密,即只有通过密码的认证才允许访问数据。二是对涉及秘密信息的用户主机,使用者在应用过程中应该做到尽可能少开放一些不常用的网络服务,同时封闭一些不用的端口。并对服务器中的数据库进行安全备份。三是切实保证媒体安全。包括媒体数据的安全及媒体本身的安全。要防止系统信息在物理空间上的扩散。为了防止系统中的信息在物理空间上的扩散,应在物理上采取一定的防护措施,如进行一定的电磁屏蔽,减少或干扰扩散出去的空间信号。这样做,对确保企业电子商务安全将发挥重要作用。
5.健全法律,严格执法。目前我国在电子商务法律法规方面还有很多缺失,不能有效地保护公众的合法权益,给一些犯罪分子带来了可乘之机。我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布《个人隐私保护法》、《商业秘密保护法》、《数据库振兴法》、《信息网络安全法》、《电子凭证(票据)法》、《网上知识产权法》等一系列法律,使电子商务安全管理走上法制化轨道。使网络控制、信息控制、信息资源管理和防止泄密有法可依,并得到技术上的支撑。健全电子商务安全标准认证和质量检测机制,由国家主管部门组织制定有关电子商务安全条例规定,并发挥职能部门的监管作用。通过建立电子商务安全法规体系,规范和维持网络的正常运行。
参考文献:
[1]许宁宁.电子商务安全的现状与趋势[j].中国电子商务,2010,(1).
[2]濮小金.电子商务安全的政策选择[j].全国商情经济理论研究,2009,(3).
[关键词] 电子商务网站 源码设计 数据库安全
网站数据库作为信息的聚集体,是电子商务网站运营的基础,通常保存着重要的商业数据和客户信息,这些信息安全性至关重要,关系到企业兴衰成败。然而,在实际应用中,一些企业网站数据库里一些商业数据却被攻击者窃取后公布于众、公司商业网站中的产品价格又被恶意修改等等类似的案例比比皆是,数据的安全性和企业的自身利益受到了严重的威胁。笔者就电子商务网站源码设计中容易出现安全问题进行分析,并提出解决的对策。
一、电子商务网站源码设计中常见的安全问题
1.代码设计中命名设计的安全问题
对网站文档名、网站目录名、数据库名及数据表文档名、数据表中字段元素进行命名设计时,因设计人员在工作中的一些习惯,使用与中文意义相对应的英文或拼音方式直接命名,爱把数据库放在Data或Database等目录下,对数据库的命名通常采用Data、Database等,对数据表的命名常以User、Admin、Product等命名,对数据表中敏感字段的命名也常采用Username、Password、Pwd、Price等方式命名。这样的命名易猜测,从而易泄露重要数据信息,易暴露网站数据库的存储位置,使得网站的数据易被非法窃取。
2.数据库连接的代码安全问题
下面是一个ASP连接远程SQL数据库的简单例子:
此例暴露了使用这种数据库连接文件的两大安全问题。一方面,将服务器的地址(server=202.108.32.94)、数据库用户的用户名及口令(uid=sa;pwd=PASSWORD;)、数据库文件名及文件存储路径(database=/data/database.mdb)直接存放在数据库连接文件中,一旦这些连接文件中的内容外泄,网站数据库能被攻击者恶意下载或篡改;另一方面,在源代码编写时,直接使用数据库管理系统提供的默认账号Sa,使得攻击者能利用这个漏洞,通过构建特殊的用户权限,直接操纵数据库系统管理软件,危及网站数据库的安全。
3.使用SQL语句导致的安全问题
SQL语句导致的注入漏洞存在于任何使用SQL语句的网站中,注入漏洞可以说是2004年以来影响最大的漏洞,它利用了程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。攻击者可以通过在正常数据库查询代码的后面添加特殊字符的方法,根据程序返回的结果,获得数据库中的表名、字段名,达到探测数据库信息或提升权限等目的。一般情况下,注入点较多出现在各个网站的提供输入注册信息或查询和操作数据库的页面。例如,一般程序设计人员通过下列select语句进行查找:(select * from users where userid=’“&userid&”’and pwd=’“&pasword&”’)。针对本语句,我们只要构造一个特殊的用户名和密码,如aa’or’1’=’1,这样,select语句将变成(select * from Users where use rid=’aa’or’1’=’1’and pwd=’“&pasword&”’)。由于有or运算符和“1=1”恒成立的条件,使得数据库的所有记录都满足此条件而实现登录。同理,还可以通过update语句、insert语句等进行SQL注入攻击。
二、解决电子商务网站源码设计中常见安全问题的对策
1.采用非常规命名法
针对网站文档名、网站目录名、数据库及数据表文档名、数据字段名、数据库连接文件名、后台管理员用户名等关系到网站数据库安全的命名,不使用系统默认的或者有特殊含义容易被猜测到的命名,尽量使用无规则的英文字母。例如,对于网上书店的数据库文件不要简单地命名“bookshop.mdb”,而是要以非常规的名字命名,如用“jxgn.mdb”。这样,对于一些通过猜测的方式得到数据库相关信息的非法访问起到了有效地阻止作用。
2.防止数据库被下载
通常有3种方法。方法一,在数据库文件名后面加上#号,例如name#.mdb,这样IIS就以为是在请求该目录中默认的文件名,例如index.asp,如果IIS找不到就会发出403禁止浏览目录的错误警告;方法二,在IIS中是把数据库所在的目录设为不可读,这样就可以防止被下载;方法三,在数据库连接文件中使用ODBC 数据源,攻击者即使获得了建立数据库链接的源代码,也无法从源代码中看到数据库的名字和存放路径。
3.防止SQL语句导致的注入漏洞
第一,完善管理权限。不在程序中使用较高权限访问数据库,例如,不使用Sa身份访问SQL数据库,尽量使用Windows 2000身份验证模式进行SQL Server的身份验证。
第二,保持良好的程序开发习惯。编写数据库查询程序时,利用两个单引号来标注任何输入的变量给SQL程序。或采用使用replace函数屏蔽单引号的方法, 针对类似于(select * from users Where userid=’“& Userid&”’ and PWd=’“&Password&”’)的select语句使用replace函数替换为:(select * from users where userid=’replace(request.form(“userid”),’,“)&’and pwd=’replace(request.form(“password”),’,”)&’。
第三,隐藏核心代码。不使用SQL语句直接访问数据库,而是使用存储过程或XML Web Service可以较好地保护核心程序代码和数据库结构不至外泄。
三、结束语
电子商务网站的数据库的安全性问题是近年来倍受关注的问题,确保其安全是一个系统工程。现仅从电子商务网站源码设计的角度,讨论了存在的安全问题,通过对这些问题的分析,将有助于加强网站开发人员的安全意识,减少开发过程给网站数据库带来的安全隐患。
参考文献:
关键词:电子商务 网上交易 安全问题 安全技术 对策
随着电子商务的高速发展,网上犯罪屡屡发生,网购骗局层出不穷。比如在Internet上进行恶意攻击、窃取商业机密、冒用他人的信用卡、篡改名单等犯罪行为时有发生,人们对电子商务的安全提高了警惕,安全问题已经成为电子商务发展的关键问题。
一、电子商务交易中存在的安全问题
1.网络系统存在的安全隐患。网络系统和应用软件中通常都会存在一些BUG,别有用心的人利用这些漏洞向买卖双方的电脑发起进攻,导致某个程序或网络丧失功能。如:计算机病毒的侵袭、黑客非法入侵、线路窃听等很容易使重要数据在传递过程中泄露,威胁电子商务交易的安全。
2.交易信息存在的安全隐患。(1)是网络交易中用明文传输的数据被非法入侵者截获并破译之后,进行非法篡改、删除或插入,使信息的完整性遭受破坏;(2)是网络非法攻击通过假冒合法用户或者模拟虚假信息来实施诈骗行为;(3)是交易抵赖,包括多个方面,如:购买者下了订单不承认,商家卖出的商品因价格差异而不承认原有的交易等。
3.信用方面存在的危机。在电子商务交易中存在的信用问题主要表现在以下几个方面: (1)是来自买方的信用问题,对于消费者来说,可能在网络上利用信用卡进行恶意透支,或者使用伪造的信用卡来骗取卖方的货物;(2)是来自卖方的信用问题,卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全根据合同来履行合同内容,造成买方权益的损害。
4.支付结算方面存在的安全隐患。电子商务交易的核心内容是信息沟通和交流,交易双方通过Internet进行洽谈、支付结算。从交易的结算方式看,已经可以通过支付宝、网上银行、QQ钱包和微信钱包等多种方式来完成结算。但存在大量的虚假网站,骗取钱财。
5.物流配送服务方面存在的安全隐患。主要表现为: (1)是当消费者在网上购买的商品在运输过程中出现损毁时,网站、产品供应商、快递公司之间互相推诿,推卸责任,导致消费者无法获得赔偿; (2)是快递公司规定不按商品的价值,只按运输费用的几倍赔偿; (3)是快递公司自行规定消费者签字后再验货,验货发现商品缺失或损坏,又以其已签字为由拒不承担赔偿责任。
二、解决电子商务交易安全问题的对策
1.加强计算机网络安全应采取的措施
(1)使用防火墙技术:防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。因此,买卖双方都应很好地使用这一技术,保障网络的安全运行。
(2)使用反病毒技术:计算机病毒的防范是网络安全性建设中重要的一环,在网络环境下,病毒传播扩散加快,仅用单机版杀毒软件已经很难彻底清除网络病毒,必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,并且定期或不定期更新病毒库,使网络免受病毒侵袭。
2.加强网上交易活动顺利完成应采取的措施
(1)“看好自己的钱包”:涉及网络支付结算的系统安全包含下述一些措施:一是对要安装的软件,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞;二是上网购物时尽量选择大型、知名度比较高的网站,如天猫、京东等,不上一些小型网站,尤其是虚假网站,避免网站挂有病毒、木马等造成中毒;三是尽量不要在公共电脑上使用自己的有关资金的账户和密码。
(2)网上购物时也得“纵横驰骋”:选好信誉度高的商家和质量好的货,是保证买方心满意足的前提。一是尽量与现实世界中信誉良好的公司所设电子商店,或与网络世界中商誉良好的电子商店进行交易;二是避免与未提供足以辨识和确认身份资料的电子商店进行交易;三是不可单纯从网站设计外观来判断其可靠性、真实性,应先确定网址是否正确,以免进错电子商店,被“钓鱼”了;四是消费时应注意查询网站以往的消费记录及评价。
(3)物流服务方面应该“眼观六路,耳听八方”:网上交易的一个重要环节是发货和收货,这些都得通过物流公司来实现。目前市场上物流企业众多,买卖双方都要选择服务好、信誉高的物流企业。卖方发货时尽量做到保价,避免遭受重大的损失;买方收货时要先验货再签字,防止收到“意外”之货。
关键词:电子商务;计算机网络;网络安全
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 06-0000-01
Computer Network Security Analysis and Countermeasures in E-commerce
Li Dong
(Hubei Vocational College of BIO-Technology,Wuhan430070,Chian)
Abstract:With the development of computer network,E-commerce faces some opportunities,but also faces some challenges,particularly in computer network security,to the development of electronic commerce posed a grave threat,which requires the enterprises measures to strengthen security technology and management.This paper analyzes the security of computer networks,electronic commerce issues,and proposed countermeasures.
Keywords:Electronic commerce;Computer network;Network security
计算机网络的出现及快速发展,为社会带来了巨大的贡献。然而,当前电子商务的发展仍存在一定的问题,尤其是随网络而来的安全问题,对电子商务的发展造成了严重的影响。因此,企业应逐渐消除其安全问题,加强网络安全管理,促进电子商务的持续发展。
一、电子商务中的计算机网络安全分析
(一)网络黑客的侵犯。网络黑客指的是在网络中利用个人所掌握的技术来非法地进入其他网站的行为人,一般说来,网络黑客都具有高超的网络技术,能够破解一些电子商务网站设置的技术防护。近年来,很多网络黑客破坏网站,篡改网站的内容信息,甚至盗取了企业、商户的账户密码及资金,严重影响了电子商务的正常运转。
(二)电子商务网站的管理不力。多数电子商务企业都没有树立较高的警惕性,缺乏对网络安全的有效管理。还有一些企业盲目地崇拜各种安全产品,它们认为安装入侵监测系统或者防火墙等安全产品,就足以确保网站的安全性,所以,缺乏有效的技术防范,从而使得外来入侵者有了机会。
(三)电子商务网络的安全问题。网络自身带有共享性和开放性的特点,它的设计原则为不要由于局部损坏使信息传输受到影响,这样一来,就形成了网站安全隐患。特别是一些电子商务企业,其技术不达标,而且网站安全管理手段相对落后,使网络安全增加了大量隐患。
(四)电子商务软件的漏洞。一些软件开发商由于缺乏成熟的技术,导致电子商务软件技中存在一定的安全漏洞,这样一来,就易于被外来的入侵者攻破防护,给电子商务企业带来了巨大的经济损失。还有一些企业购买并安装了相关病毒防护软件,然而,缺乏对软件及时更新及升级的重视,从而导致防护软件丧失了自身的防护功能。
(五)人为管理相对滞后。一些电子商务企业缺乏对企业安全管理的重视,也不注重安全技术上的投入,管理人员的管理与配备也不合理;也有一些企业的制度缺失,或者没有真正落实这些制度,或者管理不到位;还有一些企业的管理人员为了满足自身的利益,蓄意地利用网络来对外泄露企业的商务秘密。
二、强化电子商务中计算机网络安全的对策
(一)制定电子商务安全规划。电子商务贸易方式具有诸多的优点,如效率高和成本低等等,若能够完全排除其中的安全问题,那么,电子商务形式的发展优势一定的巨大的。所以,电子商务企业应该提高对计算机网络安全的重视程度,从企业发展总体战略的高度来看待安全问题。可聘请专业人士来制定企业安全防范的合理规划,同时,在监控机制、人员配备、技术防范、技术投入、安全管理以及人员管理等方面进行精心规划,并选择科学周密的安全防范方案。
(二)加大电子安全的技术投入及管理投入。企业要加大计算机网络安全的资金投入,以购置各种必要的技术防范设备以及防护软件,并注重这些软件的升级与更新,同时加大技术的改造与设备的更新和投入。此外,还应大力引进安全管理的专业人才,加强岗位培训,不断提升这些人才的技术水平,并适度地优化其待遇,以确保网络安全管理队伍的稳定性。
(三)强化安全技术管理。应该重视电子商务的网站建设、软件升级和系统维护,加强管理网站服务器,在日常工作中,做好安全备份。另外,还应制定安全防范预案,这样一来,如果出现了安全问题,才能尽快得以解决,从而防止出现经济损失。还应建立服务器恢复系统,从而一旦遭遇安全攻击,引发网站篡改等危害性事件之后,以确保能够在最短的时间使系统恢复正常状态,也使网站恢复正常的功能。企业还需注意的是,要采用权威的、知名的病毒防护软件,从而确保其可以正常升级、启动,以及有效发挥其防护功能。
(四)强化电子商务企业的自身管理。安全作为企业的生命线,必须引起企业的高度重视,企业应该教育员工在工作中从安全出发,具有较强的安全意识以及敏锐性,彻底消除安全工作中的侥幸心理。安全技术作为电子商务企业一个重要的防范屏障,其有效发挥作用离不开严密的管理,也就是说,只有建立有效、完善的安全防范管理系统,才能够保障企业的安全。
(五)提高对电子商务疫情信息的重视程度。各个企业应进行行业联合,进而组成企业联盟。特别是在电子商务的安全信息上,应做到互通有无,对于安全疫情与有关信息要及时通报。企业应注重网络安全领域中病毒的疫情预报,从而在每个时期都能有针对性地对其进行重点防范,此外,还应时刻关注本行业协会的安全通报,对已经出现的安全事件做到引以为戒,加强重点管理,一定要避免出现相同的安全事件。此外,还需注意的是在电子商务中,信誉度是企业维护客户市场的一个重要因素,所以,企业还要注重客源市场的稳定性,加强自身网络的安全。
三、结束语
综上所述,电子商务中的网络安全问题是不容忽视的,相关企业必须提高重视程度、加强制度建设,并强化落实安全管理。有效运用计算机网络,并消除其中存在的各种弊端,推动计算机网络技术的进步,促进电子商务的发展。
参考文献:
[1]孙敬武,李雅静,刘波,张翠.身份认证方式的选择与电子商务安全需求分析[J].河北省科学院学报,2009,3
[2]黄学翔,童军,乐群.Internet上的数据安全传输和身份鉴别[J].电脑知识与技术(学术交流),2007,1
[3]万绪江,班显秀,刘小东,万朔.网络安全的防御方法和可行性研究[J].电脑编程技巧与维护,2010,8
关键词:校园;电子商务;安全;解决方案
中图分类号:G647文献标识码:A
引言
随着网络的不断普及和电子商务的迅猛发展,电子商务这种商务活动新模式已逐渐改变了人们的经济活动方式、工作方式和生活方式,越来越多的人们开始接受并喜爱网上购物,可是,电子商务发展的瓶颈――安全问题仍然是制约人们进行电子商务交易的最大问题,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在学校环境下的具体应用与实现,其安全性也同样是其发展所不容忽视的关键问题。
一、校园电子商务概述
(一)校园电子商务的概念。校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用学校的网络基础、计算机硬件、软件和安全通信手段构建的满足于校园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的商务系统。
(二)校园电子商务的特点。相对于一般电子商务,校园电子商务具有客户群稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统学校商务活动相比,校园电子商务的优点有:交易不受时间空间限制、快捷方便、交易成本较低。
二、校园电子商务的安全问题
(一)校园电子商务安全的内容。校园电子商务安全内容从整体上可分为两大部分:学校网络安全和学校支付交易安全。学校网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。学校支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。
(二)校园电子商务安全威胁。校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。网络安全与交易安全并不是孤立的,而是密不可分相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,例如:身份窃取、非授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露指非法用户通过各种技术手段盗取或截获交易信息致使交易信息的机密性遭到破坏;篡改信息指非法用户对交易信息插入、删除或修改,破坏交易信息的完整性;假冒指非法用户冒充合法交易者以伪造交易信息;交易抵赖指交易方否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。
(三)校园电子商务基本安全需求。通过对学校电子商务安全威胁的分析,可以看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。
三、校园电子商务安全解决方案
(一)校园电子商务安全体系结构。校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对学校人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合电子商务的安全技术,总结出校园电子商务安全体系结构。
在校园电子商务安全体系结构中,人文环境层包括现有的电子商务法律法规以及学校电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。针对上述安全体系结构,具体的方案有:
1、营造良好的校园人文环境。加强大学生的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。
2、建立良好的网上支付环境。目前,我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子账户作为网上支付的载体,而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。
3、建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。
4、组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确、及时地完成配送服务。
(二)校园网络安全对策。保障校园网络安全的主要措施有:
1、防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问,防止来自外部互联网对内部网络的破坏。
2、病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是也免不了计算机病毒的威胁。因此,加强病毒防治是保障校园网络安全的重要环节。
3、VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网,就能大大提高校园信息安全、保证数据的安全传输,有效地保证网络的安全性和稳定性,且易于维护和改进。
(三)交易信息安全对策。针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。
1、数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。
2、认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务中,网上交易认证可以通过校园统一身份认证系统(如校园一卡通系统)来进行对交易各方的身份认证。
3、安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。
(四)基于一卡通的校园电子商务。目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:
1、校园网。它是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。
2、校园一卡通。它具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。
四、结束语
开展校园电子商务是推进校园信息化建设的重要内容,随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,它极大地方便了校园内师生员工的工作、学习、生活。可是与此同时,安全问题成为制约校园电子商务发展的障碍。因此,如何建立一个安全、便捷的校园电子商务应用环境,让师生能够方便可靠地进行校园在线交易和网上支付,是当前校园电子商务发展应着重研究的关键问题。
(作者单位:1.陕西理工学院;2.重庆大学经济与工商管理学院)
主要参考文献:
[1]李洪心.电子商务安全[M].大连:东北财经大学出版社,2008.
[2]杨坚争,赵雯,杨立钒.电子商务安全与电子支付[M].北京:机械工业出版社,2008.
[3]刘克强.电子交易与支付[M].北京:人民邮电出版社,2007.
[4]Charlie Kaufman,Radia Perlman,MikeSpeciner著,许剑卓等译.网络安全-公众世界中的秘密通信[M].北京:电子工业出版社,2004.
[5]张红霞,宋德昌.校园电子商务如何建设[J].信息系统工程,2005.7.
[6]朱乾锋.浅谈“一卡通”技术[J].科技创新导报,2009.9.
[7]丁学君.电子商务中的信息安全问题及其对策[J].计算机安全,2009.2.
[8]余绍军,彭银香.电子商务安全与数据加密技术浅析[J].中国管理信息化(综合版),2007.4.
[9]王俊杰.电子商务安全问题及其应对策略[J].特区经济,2007.7.
[10]秦昌友.浅析电子商务的安全技术[J].苏南科技开发,2007.8.
[关键词] 网络安全 事件 安全对策
随着网络时代的到来,越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。在国家计算机网络应急技术处理协调中心(CNCERT/CC)2005处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为电子商务的所有参与者十分关心的话题。
一、电子商务中的主要网络安全事件分析
归纳起来,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,网页篡改、网络仿冒(Phishing),逐步成为影响电子商务应用与发展的主要威胁。
1.网页篡改
网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.网络仿冒(Phishing)
网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等,随后利用骗得的账号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。
3.网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
4.拒绝服务攻击(Dos)
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
5.特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界联接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
二、解决电子商务中网络安全问题的对策研究
随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。
1.进一步完善法律与政策依据 充分发挥应急响应组织的作用
我国目前对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。要制定有关管理规定,为网络安全事件的有效处理提供法律和政策依据。
互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织,在我国,CNCERT/CC是国家级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系;同时,CNCERT/CC还是国际应急响应与安全小组论坛(FIRST,Forum of Incident Response and Security Teams)等国际机构的成员。应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平,能有效减少各类的网络事件的出现;通过聚集相关科研力量,研究相关技术手段,以及如何建立新的电子交易的信任体系,为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。
2.从网络安全架构整体上保障电子商务的应用发展
网络安全事件研究中看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。
安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。
三、结论
Internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,解决好电子商务应用与发展的网络安全问题必将对保障和促进电子商务的快速发展起到良好的推动作用。
参考文献:
[1]CNCERT/CC.2005年上半年网络安全工作报告
[2]李 卫:计算机网络安全与管理.北京:清华大学出版社,2000
[3]李海泉:计算机网络安全与加密技术.北京:科学出版社,2001
论文摘要:随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网土购物、商户之间的网交易和在线电子支付以及各种商务活动和相关的综合服务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推厂,然而由于互联网的开放性,网络安全问题日益成为制约电子商务发展的一个关键性问题。
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全,胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:
1、网络信息安全方面
(l)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2、电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二、电子商务中的网络信息安全对策
1、电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和工nternet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介人,主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外,还可将网络系统中易感染病毒的文件属性、权限加以限制,断绝病毒人侵的渠道,从而达预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以土保护措施可为系统数据安全提供双保险。
三、电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:
1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠哇和为系统提供基础性作用的安全机制。
2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。
3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。
4.电子商务网络安全的立法保障。结合我国实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。
购物车(0)