第一篇:06電子商務(wù)的安全問題
電子商務(wù)的安全問題
一、選擇題
1、在電子商務(wù)信息安全要求中,信息在傳輸過程中或存儲中不被他人竊取指的是(B)。A、信息的保密性
B、信息的完成性
C、信息的不可否認性
D、交易者身份的真實性
2、加密和解密密鑰不同的密碼體制稱為()。
A、DES密碼體制
B、公開秘鑰密碼體制 C、通用秘鑰密碼體制
D、凱撒密碼體制
3、加密后的內(nèi)容稱為()。
A、密鑰
B、算法 C、密文
D、明文
4、用戶識別方法不包括()。
A、根據(jù)用戶知道什么來判斷
B、根據(jù)用戶擁有什么來判斷 C、根據(jù)用戶地址來判斷
D、根據(jù)用戶是什么來判斷
5、一下身份認證技術(shù)中,屬于生物特征識別技術(shù)的有()。
A、數(shù)字簽名識別法
B、指紋識別法
C、語音識別法
D、頭蓋骨的輪廓識別法
6、觸發(fā)電子商務(wù)安全問題的原因有()。
A、黑客的攻擊
B、管理的欠缺 C、網(wǎng)絡(luò)的缺陷
D、軟件的漏洞
7、不屬于病毒防范制度的內(nèi)容是()。
A、為自己的電腦安裝防病毒軟件
B、不打開陌生地址的電子郵件 C、認真執(zhí)行病毒定期清理制度
D、高度警惕網(wǎng)絡(luò)陷阱
8、下面屬于不安全口令的有()。A、使用用戶名作為口令
B、使用自己或者親友的生日作為口令 C、使用學(xué)號或者身份證號碼等作為口令 D、使用常用的英文單詞作為口令
9、在使用數(shù)字證書來為郵件簽名之前,還應(yīng)該為電子郵件地址申請()。A、密碼
B、密鑰 C、數(shù)字標識
D、賬號
10、計算機病毒是指()。
A、具有破壞作用的特制程序
B、帶細菌的磁盤 C、已經(jīng)損壞的磁盤D、優(yōu)良程序
11、對稱密碼技術(shù)中DES是()。
A、Data Encryption Standard
B、Data End System C、Data Encryption System
D、Data End Standard
12、()協(xié)議是用于開放網(wǎng)絡(luò)進行信用卡電子支付的安全協(xié)議。
A、SSL
B、TCP/IP C、SET
D、HTTP
13、CA認證中心主要承擔(dān)電子商務(wù)中的交易認證、()、身份審核等服務(wù)。A、伏路把關(guān)
B、數(shù)據(jù)加密 C、證書簽發(fā)
D、信息傳遞
14、屬于非對稱加密算法的有()算法。
A、RSA
B、Rivest Code C、DES
D、AES
15、防火墻可以抵御的安全威脅有()。A、不經(jīng)由防火墻的攻擊
B、受到病毒感染的軟件或文件的傳輸 C、來自內(nèi)部的攻擊 D、內(nèi)部信息的外泄
16、以下關(guān)于防火墻的說法錯誤的是()。
A、包過濾型防火墻在網(wǎng)絡(luò)層工作,其處理對象是數(shù)據(jù)包。
B、應(yīng)用網(wǎng)關(guān)型防火墻在應(yīng)用層工作,而代理服務(wù)器型防火墻卻在最高層共工作,這是它們的不同點。
C、包過濾型防火墻、應(yīng)用網(wǎng)關(guān)型防火墻和代理服務(wù)器型防火墻的防范方式與側(cè)重點不同。D、包過濾型防火墻通常安裝在路由器上,而應(yīng)用網(wǎng)關(guān)型防火墻和代理服務(wù)器型防火墻大多是基于主機的。
17、在保密制度里,信息的安全級別不包括()。
A、絕密級
B、機密級 C、秘密級
D、保密級
18、數(shù)字指紋也叫()。
A、數(shù)字簽名
B、消息摘要
C、消息驗證
D、數(shù)字摘要
19、目前最安全的身份認證機制是()。
A、一次口令機制
B、雙因素法
C、基于智能卡的用戶身份認證
D、身份認證的單因素法
20、身份認證的主要目標包括:確保交易者是交易者本人、避免與超過權(quán)限的交易者進行交易和()。
A、可信性
B、訪問控制
C、完整性
D、保密性
二、填空題
1、互聯(lián)網(wǎng)的安全隱患主要表現(xiàn)在、、、四個方面。
2、電子商務(wù)面臨的主要安全隱患有、、、、對交易行為進行的抵賴和身份識別六個方面。
3、一個功能較為完整的防火墻基本組成包括、、和。
4、防火墻的類型有、、和。
5、加密算法的代表為算法。
6、不對稱加密算法的代表為算法。
7、有效的身份認證的三個基礎(chǔ)因素是、和。
8、動態(tài)口令是應(yīng)用最廣的一種身份識別方式,一般是長度為的字符串,由數(shù)字、字母、、等組成。
9、生物特征分為和兩類。
10、訪問控制的要素有、、、和。
11、目前主要的訪問控制類型有3種:、、。
12、和是電子商務(wù)安全協(xié)議是在電子商務(wù)活動中比較常用的安全協(xié)議。
13、SSL協(xié)議提供的安全連接具有的3個基本特點分別是:、和。
14、現(xiàn)行Web瀏覽器普遍將和相結(jié)合,從而實現(xiàn)安全通信。
15、SSL記錄協(xié)議為SSL連接提供了和服務(wù)。
三、簡答題&論述題
1、簡述電子商務(wù)面臨的主要安全隱患問題。
答: 電子商務(wù)需要借助網(wǎng)絡(luò),而網(wǎng)絡(luò)的開放性,會存在以下安全隱患:(1)對合法用戶身份的仿冒。(2)網(wǎng)絡(luò)傳輸數(shù)據(jù)的保密性。(3)網(wǎng)絡(luò)傳輸數(shù)據(jù)的完整性。(4)利用網(wǎng)絡(luò)數(shù)據(jù)惡意攻擊網(wǎng)絡(luò)硬件和軟間,從而導(dǎo)致商務(wù)佶息傳遞的丟失、破壞。(5)商業(yè)詐和故意抵賴。
2、防火墻的基本概念。
答:
防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障
3、簡述防火墻的功能。
4、簡述防火墻的局限性。
5、列舉身份認證的方法。
6、短信密碼認證方法具有哪些優(yōu)點?
7、訪問控制的定義。
8、簡述訪問控制的原理。
9、自主訪問控制的最大的特點是什么?
10、簡述SET協(xié)議采用的數(shù)據(jù)加密模型的特點。
四、案例題
案例一:360安全瀏覽器
360安全瀏覽器(360SE)是互聯(lián)網(wǎng)上好用和安全的新一代瀏覽器,和360安全衛(wèi)士、360殺毒等軟件產(chǎn)品一同成為360安全中心的系列產(chǎn)品。木馬已經(jīng)取代病毒成為當(dāng)前互聯(lián)網(wǎng)上最大的威脅,90%的木馬用掛馬網(wǎng)站通過普通瀏覽器入侵,每天有200萬用戶訪問掛馬網(wǎng)站中毒。360安全瀏覽器擁有全國最大的惡意網(wǎng)址庫,采用惡意網(wǎng)址攔截技術(shù),可自動攔截掛馬、欺詐、網(wǎng)銀仿冒等惡意網(wǎng)址。獨創(chuàng)沙箱技術(shù),在隔離模式即使訪問木馬也不會受感染。除了在安全方面的特性,360安全瀏覽器在速度、資源占用、防假死不崩潰等基礎(chǔ)特性上表現(xiàn)同樣優(yōu)異,在功能方面擁有翻譯、截圖、鼠標手勢、廣告過濾等幾十種實用功能,在外觀上設(shè)計典雅精致,是很多網(wǎng)民使用瀏覽器的選擇之一。360安全瀏覽器在網(wǎng)絡(luò)安全方面具有以下特點:
1.智能攔截釣魚網(wǎng)站和惡意網(wǎng)站,開心上網(wǎng)安全無憂; 2.智能檢測網(wǎng)頁中惡意代碼,防止木馬自動下載;
3.集成全國最大的惡意網(wǎng)址庫,網(wǎng)站好壞大家共同監(jiān)督評價; 4.即時掃描下載文件,放心下載安全無憂;
5.內(nèi)建深受好評的360安全衛(wèi)士流行木馬查殺功能,即時掃描下載文件; 6.木馬特征庫每日更新,查殺能力媲美收費級安全軟件;
7.采用“沙箱”技術(shù),真正做到百毒不侵(木馬與病毒會被攔截在沙箱中無法釋放威力); 8.將網(wǎng)頁程序的執(zhí)行與真實計算機系統(tǒng)完全隔離,使得網(wǎng)頁上任何木馬病毒都無法感染計算機系統(tǒng);
9.顛覆傳統(tǒng)安全軟件“滯后查殺”的現(xiàn)狀,所有已知未知木馬均無法穿透沙箱,確保安全。
請分析案例回答以下問題:
(1)分析360安全瀏覽器主要解決網(wǎng)絡(luò)安全隱患中的哪一類問題。(2)淺談電子商務(wù)中網(wǎng)絡(luò)客戶端方面應(yīng)該注意的安全問題。
案例二:泄密案例
受害者:HBGary Federal公司(2011年2月)
隨著為美國政府和500強企業(yè)提供信息安全技術(shù)服務(wù)的HBGary Federal公司CEO的黯然辭職,人們驟然醒悟,云時代保障企業(yè)信息資產(chǎn)安全的核心問題不是技術(shù),而是人,不是部門職能,而是安全意識!企業(yè)門戶大開的原因不是沒有高價安全技術(shù),而是缺乏一道“人力防火墻”。2011年2月6日,在美式橄欖球超級碗決賽之夜,HBGary Federal公司創(chuàng)始人Greg Hoglund嘗試登錄Google企業(yè)郵箱的時候,發(fā)現(xiàn)密碼被人修改了,這位以研究“rootkit”而著稱的安全業(yè)內(nèi)資深人士立刻意識到了事態(tài)的嚴重性:作為一家為美國政府和500強企業(yè)提供安全技術(shù)防護的企業(yè),自身被黑客攻陷了!更為糟糕的是,HBGary Federal企業(yè)郵箱里有涉及包括美商會、美國司法部、美洲銀行和WikiLeak的大量異常敏感的甚至是見不得光的“商業(yè)機密”。
對HBgary Federal公司實施攻擊的黑客組織“匿名者”隨后將戰(zhàn)利品——6萬多封電子郵件在互聯(lián)網(wǎng)上公布,直接導(dǎo)致HBgary Federal公司CEO Aaron Barr引咎辭職,由于此次信息泄露涉及多家公司甚至政府部門的“社交網(wǎng)絡(luò)滲透”、“商業(yè)間諜”、“數(shù)據(jù)竊取”、“打擊WikiLeak”計劃,HBGary公司的員工還紛紛接到恐嚇電話,整個公司幾乎一夜間被黑客攻擊徹底擊垮。
失竊/受影響的資產(chǎn):60000封機密電子郵件、公司主管的社交媒體賬戶和客戶信息。安全公司HBGary Federal宣布打算披露關(guān)于離經(jīng)叛道的Anonymous黑客組織的信息后不久,這家公司就遭到了Anonymous組織成員的攻擊。Anonymous成員通過一個不堪一擊的前端Web應(yīng)用程序,攻入了HBGary的內(nèi)容管理系統(tǒng)(CMS)數(shù)據(jù)庫,竊取了大量登錄信息。之后,他們得以利用這些登錄信息,闖入了這家公司的多位主管的電子郵件、Twitter和LinkedIn賬戶。他們還完全通過HBGary Federal的安全漏洞,得以進入HBGary的電子郵件目錄,隨后公開拋售郵件信息。
汲取的經(jīng)驗教訓(xùn):這次攻擊事件再一次證明,SQL注入攻擊仍是黑客潛入數(shù)據(jù)庫系統(tǒng)的首要手段;Anonymous成員最初正是采用了這種方法,得以闖入HBGary Federal的系統(tǒng)。但要是存儲在受影響的數(shù)據(jù)庫里面的登錄信息使用比MD5更強大的方法生成散列,這起攻擊的后果恐怕也不至于這么嚴重。不過更令人窘迫的是這個事實:公司主管們使用的密碼很簡單,登錄信息重復(fù)使用于許多賬戶。
請結(jié)合案例談?wù)剬υ撌录目捶ǎ⒄f說今后該如何做。
第二篇:電子商務(wù)安全問題論文
摘要: 通過分析電子商務(wù)安全問題產(chǎn)生原因及電子商務(wù)對安全環(huán)境的要求,提出電子商務(wù)的安全防范策略,并對當(dāng)前解決電子商務(wù)安全的主要技術(shù)進行了進一步的闡述和分析,為建立健全電子商務(wù)安全系統(tǒng)提供技術(shù)性參考。
關(guān)鍵詞: 電子商務(wù) 安全技術(shù) 安全協(xié)議
電子商務(wù)的發(fā)展已將全球的商務(wù)企業(yè)都推進到一場真的商業(yè)革命大潮中,潮起潮落,安全問題是關(guān)鍵。電子商務(wù)系統(tǒng)是活動在Internet平臺上的一個涉及信息、資金和物資交易的綜合交易系統(tǒng),其安全對象是一個開放的、人在其中頻繁活動的、與社會系統(tǒng)緊密耦合的復(fù)雜系統(tǒng),它是由商業(yè)組織本身(包括營銷系統(tǒng)、支付系統(tǒng)、配送系統(tǒng)等)與信息技術(shù)系統(tǒng)復(fù)合構(gòu)成的。系統(tǒng)的安全目標與安全策略,是由組織的性質(zhì)與需求所決定的。
一、電子商務(wù)的安全問題
1.電子商務(wù)安全問題的產(chǎn)生。(1)在線交易主體虛擬化帶來的安全問題:在電子商務(wù)環(huán)境下,任何人不經(jīng)登記就可以借助計算機網(wǎng)絡(luò)發(fā)出或接受網(wǎng)絡(luò)信息,并通過一定程序與其他人達成交易。虛擬主體的存在使電子商務(wù)交易安全受到嚴重威脅。(2)虛假信息的發(fā)布帶來的安全問題:當(dāng)用戶以合法身份進入系統(tǒng)后,買賣雙方都可能在網(wǎng)絡(luò)上發(fā)布虛假的供求信息,或以過期的信息冒充現(xiàn)在的信息,以騙取對方的錢款或貨物。(3)過低的信用度帶來的安全問題:①低信用度的買方帶來的安全問題:低信用度的買方,可能存惡意透支或使用偽造的信用卡騙取賣方貨物或存在拖延貨款行為,賣方需要為此承擔(dān)風(fēng)險。②低信用度的買方帶來的安全問題:賣方不能按質(zhì)、按量、按時寄送消費者購買的貨物,或者不能完全履行與集團購買者簽訂的合同,造成買方的風(fēng)險。③低信用度的買賣雙方都存在抵賴的情況。(4)網(wǎng)絡(luò)欺詐的存在帶來的安全問題:在電子交易活動中頻繁欺詐用戶這是網(wǎng)絡(luò)騙子們常用的騙術(shù),利用電子商務(wù)進行欺詐已經(jīng)成為一種新型犯罪活動,目前這種網(wǎng)上欺詐也已經(jīng)成為國際性的難題。(5)電子合同取代書面合同過程中帶來的安全問題:在在線交易情形下,交易雙方的所有信息都是以電子化的形式存儲于計算機硬盤或其他電子介質(zhì)中,這些記錄不僅容易被涂擦、刪改、復(fù)制、遺失,而且不能脫離其記錄工具(計算機)而作為證據(jù)獨立存在。由此而引發(fā)諸多方面的安全問題(6)網(wǎng)上電子支付過程帶來的安全問題:完電子商務(wù)的網(wǎng)上支付通過信用卡支付和虛擬銀行的電子資金劃撥來完成。而實現(xiàn)這一過程涉及網(wǎng)絡(luò)銀行與網(wǎng)絡(luò)交易客戶之間的協(xié)議、網(wǎng)絡(luò)銀行與網(wǎng)站之間的合作協(xié)議以及安全保障問題。(7)產(chǎn)品交付過程帶來的安全問題:有形貨物的在線交易中物流配送環(huán)節(jié)引發(fā)的一些特殊問題及無形的信息產(chǎn)品在交付中對于其權(quán)利的移轉(zhuǎn)、退貨、交付的完成等帶來的安全問題。(8)網(wǎng)絡(luò)消費者維權(quán)時引發(fā)的安全問題:在線市場的虛擬性和開放性以及網(wǎng)上購物的便捷性都使消費者保護成為突出的問題。比如質(zhì)量問題,退賠、修理困難問題等。(9)網(wǎng)絡(luò)惡意攻擊者的破壞活動帶來的安全問題:包括系統(tǒng)穿透、違反授權(quán)原則、植入、通信監(jiān)聽、通信干擾、中斷、拒絕服務(wù)、否認等。
2.電子商務(wù)對安全環(huán)境的要求。(1)確保信息的安全要求包括有效性、機密性、完整性、可靠性/不可抵賴性/鑒別等;(2)確保授權(quán)合法性;(3)確保交易者身份的確定性;(4)確保內(nèi)部網(wǎng)的嚴密性。
二、電子商務(wù)的安全防范策略
經(jīng)過數(shù)十年的探索,電子商務(wù)安全防范策略從最初的商務(wù)信息保密性發(fā)展到商務(wù)信息的完整性、可用性、可控性和不可否認性,進而又發(fā)展為“攻、防、測、控、管、評”等多方面的基礎(chǔ)理論和實施技術(shù)。目前,電子商務(wù)安全領(lǐng)域已經(jīng)形成了9大核心技術(shù),它們是:密碼技術(shù)、身份驗證技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、安全內(nèi)核技術(shù)、網(wǎng)絡(luò)反病毒技術(shù)、信息泄露防治技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)、入侵檢測技術(shù)。
1.電子商務(wù)的主要安全技術(shù)。(1)加密技術(shù)。加密技術(shù)解決了傳送信息的保密問題,可分對稱加密和非對稱加密。對稱加密是一種傳統(tǒng)的信息認證方法,通過信息交換的雙方共同約定一個口令或一組密碼,建立一個通信雙方共享的密鑰。通信的甲方將要發(fā)送的信息用私鑰加密后傳給乙方,乙方用相同的私鑰解密后獲得甲方傳遞的信息。對稱加密采用的主要加密算法有DES數(shù)據(jù)加密標準、三重DES,IDEA,和AES(高級加密算法)等。其最大優(yōu)勢是加/解密速度快, 適合于對大數(shù)據(jù)量進行加密,但密鑰管理困難。非對稱加密又稱公開密鑰加密,它使用一把公開發(fā)布的公開密鑰和一把只能由生成密鑰對的貿(mào)易方掌握的私用密鑰來分別完成加密和解密操作。如貿(mào)易的甲方生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易的方乙使用該密鑰對信息進行加密后發(fā)送給甲方;甲方再用自己保存的另一把私用密鑰對加密信息進行解密。公鑰密碼技術(shù)是密碼技術(shù)核心,主要采用的算法有RSA算法、DSS/DSA算法和ECC算法。優(yōu)點是機制靈活,但加密和解密速度慢。(2)數(shù)字簽名。數(shù)字簽名解決了而防止他人對傳輸?shù)奈募M行破壞,以及如何確定發(fā)信人的身份的問題。數(shù)字簽名與書面文件簽名有相同功效,它代表了文件的特征,文件如果發(fā)生改變,數(shù)字簽字的值也將發(fā)生變化,不同的文件將得到不同的數(shù)字簽字。數(shù)字簽名是采用雙重加密的方法,通過流程:A、被發(fā)送文件用 SHA編碼加密產(chǎn)生128 bit的數(shù)字摘要;B、發(fā)送方用自己的私用密鑰對摘要再加密,形成數(shù)字簽名;C、將原文和加密的摘要同時傳給對方;D、對方用發(fā)送方的公共密鑰對摘要解密,同時對收到的文件用SHA編碼加密產(chǎn)生又一摘要;E、將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要互對比。最終實現(xiàn)了防偽、防抵賴。
(3)數(shù)字時間戳。數(shù)字時間戳服務(wù)提供了對電子文件發(fā)表時間的安全保護,由專門的機構(gòu)提供。時間戳是一個經(jīng)加密后形成的憑證文檔,它包括需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數(shù)字簽字三個部分。時間戳形成的流程為:①用戶將需要加時間戳的文件用HASH編碼加密形成摘要,然后將該摘要發(fā)送到DTS;②DTS在加人了收到文件摘要的日期和時間信息后再對該文件加密(數(shù)字簽名),然后送回用戶。數(shù)字時間戳是由認證單位DTS來加的,以DTS收到文件的時間為依據(jù)。
(4)數(shù)字證書。數(shù)字證書是由CA認證中心簽發(fā)的,用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限的憑證。CA認證中心是承擔(dān)網(wǎng)上安全電子交易認證服務(wù)、能簽發(fā)數(shù)字證書、并能確認用戶身份的服務(wù)機構(gòu)。數(shù)字證書為電子簽名相關(guān)各方提供真實、可靠驗證的公眾服務(wù),解決電子商務(wù)活動中交易參與各方身份、資信的認定,維護交易活動的安全,從根本上保障電子商務(wù)交易活動順利進行。在網(wǎng)上的電子交易中,如雙方出示了各自的數(shù)字證書,就可用它來進行安全交易操作了。
(5)防火墻技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù),它可以阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出,是最適合于相對獨立的與外部網(wǎng)絡(luò)互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對集中的單一網(wǎng)絡(luò)。防火墻有兩個基本準則:一是未被允許的就是禁止的;二是未被禁止的就是允許的。基于該準則, 防火墻應(yīng)轉(zhuǎn)發(fā)所有信息流, 然后逐項屏蔽可能有害的服務(wù)。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境, 可為用戶提供更多的服務(wù)。
2.電子商務(wù)安全協(xié)議技術(shù)。電子商務(wù)安全協(xié)議主要有:安全套接層協(xié)議SSL和安全電子交易SET協(xié)議。此外,還有pCT(專用通信技術(shù)),它只是對SSL進行少量的改進。SSL協(xié)議是向基于TCp/Ip的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機密性等的安全措施。它包括“SSL 記錄協(xié)議”和“ SSL 握手協(xié)議”。該協(xié)議通過在應(yīng)用程序進行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的審查。在SSL握手信息中采用了DES、MDS等加密技術(shù)來實現(xiàn)機密性和數(shù)據(jù)完整性,并采用X.509的數(shù)字證書實現(xiàn)鑒別。SSL協(xié)議已成為事實上的工業(yè)標準而被廣泛應(yīng)用。通常還采用“SSL+表單簽名”的模式使得SSL在電子商務(wù)的應(yīng)用中確保信息的真實性、完整性和保密性的基礎(chǔ)上進一步提高電子商務(wù)的安全保障。
SET協(xié)議是Mastercard公司和Visa公司聯(lián)合開發(fā)的一種應(yīng)用于因特網(wǎng)環(huán)境下,以信用卡為基礎(chǔ)的安全電子支付協(xié)議。它可以對交易各方進行認證,可防止商家欺詐,進行安全交易,它給出了一套電子交易的過程規(guī)范而成為目前公認的信用卡的網(wǎng)上交易的國際標準。
3.構(gòu)建電子商務(wù)安全控制的框架和制訂電子商務(wù)標準及法律法規(guī)。通過安全的控制和電子商務(wù)標準的推行,有利于解決電子商務(wù)的安全性和可靠性問題。
電子商務(wù)給企業(yè)、消費者和社會所帶來的收益是不可估量的。特別是電子商務(wù)以其高效、低成本的優(yōu)勢,必將成為新興的商業(yè)運作模式,推動著全球經(jīng)濟的快速發(fā)展。而商務(wù)信息的安全問題始終是電子商務(wù)的核心,是阻礙電子商務(wù)廣泛應(yīng)用的最大問題。電子商務(wù)的安全問題是能夠通過綜合運用各類電子商務(wù)安全技術(shù),并不斷改進和完善,加之建立健全電子商務(wù)的安全機制和相應(yīng)的法律法規(guī),推行電子商務(wù)的國際化標準而得以解決。
參考文獻:
[1](美)埃弗雷姆.特白思戴維.金,杰李等著王理平張曉峰譯:電子商務(wù) 管理新視角(第2版)[M].電子工業(yè)出版社,2005年9月
[2]楊堅爭著:電子商務(wù)基礎(chǔ)與應(yīng)用(第五版)[M].西安電子科技大學(xué)出版社,2007年7月
第三篇:電子商務(wù)安全問題典型案例
案例一:
淘寶“錯價門”引發(fā)爭議
互聯(lián)網(wǎng)上從來不乏標價1元的商品。近日,淘寶網(wǎng)上大量商品標價1元,引發(fā)網(wǎng)民爭先恐后哄搶,但是之后許多訂單被淘寶網(wǎng)取消。隨后,淘寶網(wǎng)發(fā)布公告稱,此次事件為第三方軟件“團購寶”交易異常所致。部分網(wǎng)民和商戶詢問“團購寶”客服得到自動回復(fù)稱:“服務(wù)器可能被攻擊,已聯(lián)系技術(shù)緊急處理。”這起“錯價門”事件發(fā)生至今已有兩周,導(dǎo)致“錯價門”的真實原因依然是個謎,但與此同時,這一事件暴露出來的我國電子商務(wù)安全問題不容小覷。在此次“錯價門”事件中,消費者與商家完成交易,成功付款下了訂單,買賣雙方之間形成了合同關(guān)系。作為第三方交易平臺的淘寶網(wǎng)關(guān)閉交易,這種行為本身是否合法?蔣蘇華認為,按照我國現(xiàn)行法律法規(guī),淘寶網(wǎng)的行為涉嫌侵犯了消費者的自由交易權(quán),損害了消費者的合法權(quán)益,應(yīng)賠禮道歉并賠償消費者的相應(yīng)損失。
總結(jié):目前,我國電子商務(wù)領(lǐng)域安全問題日益凸顯,比如,支付寶或者網(wǎng)銀被盜現(xiàn)象頻頻發(fā)生,給用戶造成越來越多的損失,這些現(xiàn)象對網(wǎng)絡(luò)交易和電子商務(wù)提出了警示。然而,監(jiān)管不力導(dǎo)致消費者權(quán)益難以保護。公安機關(guān)和電信管理機關(guān)、電子商務(wù)管理機關(guān)應(yīng)當(dāng)高度重視電子商務(wù)暴露的安全問題,嚴格執(zhí)法、積極介入,徹查一些嚴重影響互聯(lián)網(wǎng)電子商務(wù)安全的惡性事件,切實保護消費者權(quán)益,維護我國電子商務(wù)健康有序的發(fā)展。
案例二:
黑客熱衷攻擊重點目標
國外幾年前就曾經(jīng)發(fā)生過電子商務(wù)網(wǎng)站被黑客入侵的案例,國內(nèi)的電子商務(wù)網(wǎng)站近兩年也發(fā)生過類似事件。浙江義烏一些大型批發(fā)網(wǎng)站曾經(jīng)遭到黑客近一個月的輪番攻擊,網(wǎng)站圖片幾乎都不能顯示,每天流失訂單金額達上百萬元。阿里巴巴網(wǎng)站也曾確認受到不明身份的網(wǎng)絡(luò)黑客攻擊,這些黑客采取多種手段攻擊了阿里巴巴在我國大陸和美國的服務(wù)器,企圖破壞阿里巴巴全球速賣通臺的正常運營。隨著國內(nèi)移動互聯(lián)網(wǎng)的發(fā)展,移動電子商務(wù)也將迅速發(fā)展并給人們帶來更大便利,但是由此也將帶來更多的安全隱患。黑客針對無線網(wǎng)絡(luò)的竊聽能獲取用戶的通信內(nèi)容、侵犯用戶的隱私權(quán)。
總結(jié):黑客攻擊可以是多層次、多方面、多種形式的。攻擊電子商務(wù)平臺,黑客可以輕松賺取巨大的、實實在在的經(jīng)濟利益。比如:竊取某個電子商務(wù)企業(yè)的用戶資料,販賣用戶的個人信息;破解用戶個人賬號密碼,可以冒充他人購物,并把商品貨物發(fā)給自己。黑客有可能受經(jīng)濟利益驅(qū)使,也有可能是同業(yè)者暗箱操作打擊競爭對手。攻擊電子商務(wù)企業(yè)后臺系統(tǒng)的往往是專業(yè)的黑客團隊,要想防范其入侵,難度頗大。尤其是對于一些中小型電子商務(wù)網(wǎng)站而言,比如數(shù)量龐大的團購網(wǎng)站,對抗黑客入侵更是有些力不從心。如果大量電子商務(wù)企業(yè)后臺系統(tǒng)的安全得不到保障,我國整個電子商務(wù)的發(fā)展也將面臨極大威脅。
第四篇:電子商務(wù)的安全問題
電子商務(wù)的安全問題
摘要:
由于電子商務(wù)是建立在開放的、自由的Intemet平臺上的,其安全的脆弱性阻礙了電子商務(wù)的發(fā)展。因此,要發(fā)展電子商務(wù)就必須解決安全問題,就必須要能保證電子商務(wù)的機密性、完整性、有效性、真實性以及不可否認性。電子商務(wù)安全交易中在線支付問題是最核
心、最關(guān)鍵的問題。本文從電子商務(wù)的安全問題入手,通過對多種安全技術(shù)的綜合介紹和詳細分析,有針對性地提出了相應(yīng)的安全策略。提供了解決企業(yè)電子商務(wù)網(wǎng)站安全問題的有效 辦法,以保障電子商務(wù)活動的安全進行。
目 錄
一、引言...........................................................................................................................................1
二、電子商務(wù)中存在的安全問題...................................................................................................1
(一)、電子商務(wù)中網(wǎng)絡(luò)安全的問題.....................................................................................1 ??網(wǎng)絡(luò)信息泄漏..............................................................................................................1 ??文件信息篡改..............................................................................................................1 ??信息偽造......................................................................................................................1 ??信用威脅......................................................................................................................2 ??計算機病毒..................................................................................................................2
(二)、電子商務(wù)交易中安全問題.........................................................................................2 ??消費者、銷售商和銀行的利益更不易保護.............................................................2 ??安全面臨的嚴重問題也是制約發(fā)展的關(guān)鍵因素.....................................................2 ??電子商務(wù)的支付結(jié)算問題.........................................................................................2 ??電子商務(wù)商家信譽的問題.........................................................................................2
三、電子商務(wù)網(wǎng)絡(luò)安全問題解決對策...........................................................................................3
(一)電子商務(wù)網(wǎng)上支付安全對策.......................................................................................3
(二)安全管理過程監(jiān)督.......................................................................................................3 ??加強全過程的安全管理..............................................................................................3 ?? 建立動態(tài)的閉環(huán)管理流程.........................................................................................4
(三)法律上的安全保障.......................................................................................................4 ??有關(guān)電子商務(wù)交易各方合法身份證的法律..............................................................4 ??有關(guān)保護交易者介人及交易數(shù)據(jù)的法律..................................................................4 ??有關(guān)電子商務(wù)中電子合同合法性及如何進行認證的法律......................................4 ??有關(guān)網(wǎng)絡(luò)知識產(chǎn)權(quán)保護的法律..................................................................................4 參考文獻...........................................................................................................................5
一、引言
隨著在Internet全球性的推廣,電子商務(wù)即被公認為是未來IT業(yè)最有潛力的新的增長點。但是隨著Internet的高速發(fā)展,其開放性、國際性和自由性在增加電子商務(wù)應(yīng)用自由度的同時,我們也正受到日益嚴重的來自網(wǎng)絡(luò)的安全威脅,如黑客的侵襲、網(wǎng)絡(luò)的數(shù)據(jù)盜竊、病毒的傳播等。如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境,對信息提供足夠的保護,已經(jīng)成為影響到電子商務(wù)健康發(fā)展的關(guān)鍵性課題。
二、電子商務(wù)中存在的安全問題
(一)、電子商務(wù)中網(wǎng)絡(luò)安全的問題 ? 網(wǎng)絡(luò)信息泄漏
在電子商務(wù)中表現(xiàn)為商業(yè)機密的泄漏,主要表現(xiàn)在:
交易雙方進行交易的內(nèi)容被第三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。攻擊者主要通過截獲和竊取的方式造成信息泄漏。如果沒有采用加密措施或加密強度不夠,或是交易雙方進行交易的內(nèi)容被攻擊者竊取,或者是交易一方提供給另一方使用的文件被攻擊者非法使用。? 文件信息篡改
在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實性和完整性的問題。當(dāng)攻擊者掌握了信息的格式和規(guī)律后,通過各種技術(shù)手段和方法,將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在中途篡改,如修改消息次序、時間,注入偽造消息等,然后再發(fā)向目的地,破壞數(shù)據(jù)的真實性和完整性。對企業(yè)網(wǎng)站而言,網(wǎng)頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業(yè)形象與信譽造成嚴重損害。? 信息偽造
由于掌握了數(shù)據(jù)的格式,并可以篡改通過的信息,如果不進行身份識別,攻擊者就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等。主要有這樣幾種情況:第一、虛開網(wǎng)站和商店,給用戶發(fā)電子郵件,收訂貨單;第二、給偽造的用戶發(fā)惡意的電子郵件,窮盡商家資源,使合法用戶不能正常訪問網(wǎng)絡(luò)資源,使有嚴格時間要求的服務(wù)不能及時得到響應(yīng);第三、偽造用戶,發(fā)大量的電子郵件,竊取商家的
商品信息和用戶信用等信息。? 信用威脅
交易者否認參加過交易,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款;用戶付款后,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失。? 計算機病毒
電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟損失。
(二)、電子商務(wù)交易中安全問題
? 消費者、銷售商和銀行的利益更不易保護
電子商務(wù)領(lǐng)域為欺詐提供了保護傘。它特殊的運行模式可以使欺詐行為人將其欺詐行為掩蓋得惟天衣無縫,而被侵害者卻無可奈何。他可以直接侵害消費者的公平交易權(quán),因為消費者是根本看不到自己所要購買商品的實物,只能在網(wǎng)站上瀏覽銷售商為該商品所做的信息數(shù)據(jù)。電子商務(wù)對消費者的隱私權(quán)也提出了新的考驗。因特網(wǎng)技術(shù)使得對個人信息的收集、儲存、處理和銷售有著前所未有的能力和規(guī)模,在線消費者的信息隨時都有被收集和擴散的危險,只要在網(wǎng)上用個人信箱發(fā)信,你的信箱就基本上是公開的了,個人資料也就很容易被竊取,使得消費者購非所需。
? 安全面臨的嚴重問題也是制約發(fā)展的關(guān)鍵因素
保障電子商務(wù)活動的安全,一直是電子商務(wù)研究的核心領(lǐng)域。作為一個安全的電子商務(wù)系統(tǒng),首先必須具有一個安全、可靠的通信網(wǎng)絡(luò),以保證交易信息安全、迅速地傳遞;其次必須保證數(shù)據(jù)庫服務(wù)器絕對安全,防止黑客闖入網(wǎng)絡(luò)盜取信息。網(wǎng)絡(luò)產(chǎn)品本身就隱藏著不安全隱患,加之受技術(shù)、人為等因素的影響,不安全因素更顯突出。如:非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、病毒與惡意攻擊、線路竊聽等。若安全問題解決不好將對整個電子商務(wù)市場帶來了巨大的損失。? 電子商務(wù)的支付結(jié)算問題
電子商務(wù)的核心內(nèi)容是信息的互相溝通和交流,交易雙方通過Internet進行交流,洽談確認,最后才能發(fā)生交易,進行支付結(jié)算,一般都要求先匯款再送貨。但從整個電子商務(wù)網(wǎng)絡(luò)的發(fā)展來看,將來要在網(wǎng)絡(luò)上直接進行交易,就需要通過銀行的信用卡等各種方式來完成交易,以及在國際貿(mào)易中通過與金融網(wǎng)絡(luò)的連接來支付和收費。? 電子商務(wù)商家信譽的問題
電子商務(wù)依其特有的經(jīng)營模式對商家的信譽提出了更高的要求。因為電子商務(wù)的基石就是誠信、信譽。他不象傳統(tǒng)的交易方式,消費者可到實地觀察、挑選自己的商品,其完全憑借的是商家的信譽度,有信譽就有顧客這是對電子商務(wù)的真實寫照。當(dāng)傳統(tǒng)的購物方式引發(fā)的各種糾分還在“3.15”消費者權(quán)益日頻頻曝光的環(huán)境下,消費者如何信任互不照面的網(wǎng)上交易?這個問題不解決電子商務(wù)就很難做大做強,這對我們也提出了新的挑戰(zhàn)。
三、電子商務(wù)網(wǎng)絡(luò)安全問題解決對策
(一)電子商務(wù)網(wǎng)上支付安全對策
由于引起電子商務(wù)安全問題的因素很多,所以解決安全問題也應(yīng)從不同方面來考慮,提供不同的應(yīng)對策略:
? 安全技術(shù)策略:為了確保通信的安全性,必須采取必要的措施加以防范。在通信連接方面,可以使用防火墻、代理服務(wù)器、虛擬專用網(wǎng)絡(luò)(VPN)等技術(shù);在鑒別和認證方面,可以采取加密和認證技術(shù)。
做好自身電腦的日常安全維護,注意以下幾點: a.是經(jīng)常給電腦系統(tǒng)升級
b.是安裝殺毒軟件、防火墻,經(jīng)常升級和殺毒
c.在平時上網(wǎng)是盡量不上一些小型網(wǎng)站,選大型網(wǎng)站,知名度比較高的網(wǎng)站,避免網(wǎng)站掛有病毒、木馬造成中毒
d.盡量不要在公共電腦上使用自己的有關(guān)資金的賬戶和密碼,五有條件的情況下,在初裝系統(tǒng)后確認電腦安全的后,給自己的電腦做上備份,在使用資金賬戶前做一次系統(tǒng)恢復(fù)。
e.在登錄支付資金時,應(yīng)注意:一是確認該網(wǎng)是否是官方網(wǎng)站,二是仔細核對該網(wǎng)的域名是否正確,注意小寫“1”與“L”、“0”與“O”等情況,三保證良好的上網(wǎng)習(xí)慣,收藏常用的網(wǎng)址,減少網(wǎng)上鏈接。
電子商務(wù)網(wǎng)上支付實際上就是落實到網(wǎng)上銀行轉(zhuǎn)賬結(jié)算的交易。為了防止了黑客木馬程序和網(wǎng)上釣魚的攻擊,使用數(shù)字證書才是保障網(wǎng)銀安全的較好辦法。但是,證書盡可能不采用所謂“文件證書”,即下載到瀏覽器硬盤上的證書,因為,此種證書易被黑客用木馬程序竊取。目前,各銀行的應(yīng)用實踐證明:只有將數(shù)字證書裝入UBKey中,才是確保安全的好辦法。
2、法律保障。由于電子商務(wù)各項活動首先是一種商品的交易,因此安全問題應(yīng)當(dāng)通過相關(guān)法律加以保護,必須保證電子合同和數(shù)字簽名的法律地位、簽約雙方對電子合同的認可、電子合同的不可否認或修改,確保電子合同能夠得以實施。
3、完善的管理策略。由于電子商務(wù)交易系統(tǒng)是一個人機高度綜合的系統(tǒng),除了網(wǎng)絡(luò)的安全之外,管理人員的管理也是非常重要的,而且是起決定性作用的因素。因此,對整個系統(tǒng)的管理權(quán)限的分配和監(jiān)督、管理人員的培訓(xùn)和考核、道德和業(yè)務(wù)水平的培養(yǎng)都必須制定出一套完整的規(guī)章制度,以利于培養(yǎng)管理人員敬業(yè)愛崗的精神.(二)安全管理過程監(jiān)督 ? 加強全過程的安全管理
1)網(wǎng)絡(luò)規(guī)劃階段,就要加強對信息安全建設(shè)和管理的規(guī)劃。信息安全建設(shè)需要投入一定的人力、物力、財力。要根據(jù)狀況實事求是地確定網(wǎng)絡(luò)的安全總體目標和階段目標、分段實施、降低投資風(fēng)險。
2)工程建設(shè)階段,建設(shè)管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設(shè)各個階段工作的重要內(nèi)容,要加強對開發(fā)(實施)人員、版本控制的管理,要加強對開發(fā)環(huán)境、用戶路由設(shè)置、關(guān)鍵代碼的檢查。
3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構(gòu),明確職責(zé),理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內(nèi)部用戶帳號和密碼,進入系
統(tǒng)內(nèi)部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網(wǎng)的操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)運行維護過程的安全管理。(4)要建立應(yīng)急預(yù)察體系,建立網(wǎng)絡(luò)安全維護日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時便于跟蹤查詢,還要定期檢查日志,以便及時發(fā)現(xiàn)潛在的安全威脅。?
建立動態(tài)的閉環(huán)管理流程
網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中,可能發(fā)現(xiàn)新的安全漏洞,因此需要建立動態(tài)的、閉環(huán)的管理流程。要在整體安全策略的控制和指導(dǎo)下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網(wǎng)絡(luò)存在的安全問題和安全隱患,據(jù)此制定安全建設(shè)規(guī)劃和加固方案,綜合應(yīng)用各種安全防護產(chǎn)品(如防火墻、身份認證等手段),將系統(tǒng)調(diào)整到相對安全的狀態(tài)。并要注意以下兩點:
1)對于一個企業(yè)而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據(jù)這個策略制定詳細的流程、規(guī)章制度、標準和安全建設(shè)規(guī)劃、方案,保證這些系列策略規(guī)范在整個企業(yè)范圍內(nèi)貫徹實施,從而保護企業(yè)的投資和信息資源安全。
2)要制定完善的、符合企業(yè)實際的信息安全策略,就須先對企業(yè)信息網(wǎng)的安全狀況進行評估,即對信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進行評估,讓企業(yè)對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導(dǎo)信息安全的建設(shè)和管理工作。
(三)法律上的安全保障
在法律上,最子商務(wù)不同于傳統(tǒng)商務(wù)在紙面上完成交易,有據(jù)可查的特點,電子交易如何認證,電子欺詐如何避免和懲治不僅是技術(shù)問題,同時也要涉及到法律領(lǐng)域,電子商務(wù)就像在現(xiàn)實世界之外又建立了一個虛擬世界,在這個虛擬世界里,更需要完善的法律體系來維持秩序。目前多個國家和地區(qū)已經(jīng)開始行動制定電子商務(wù)法律法規(guī)。這就需要在企業(yè)和企業(yè)之間、政府和企業(yè)之間、企業(yè)和消費者之間、政府和政府之間明確各自需要遵守的法律義務(wù)和責(zé)任。其主要涉及的法律要素有: ? 有關(guān)電子商務(wù)交易各方合法身份證的法律
電子身份認證中心是電子商務(wù)中的核心角色,它擔(dān)負著保證電子商務(wù)公正、安全進行的任務(wù)。因而必須由國家法律來規(guī)定CA中心的設(shè)立程序和資格以及必須承擔(dān)的法律義務(wù)和責(zé)任,同時要由法律規(guī)定對CA中心進行監(jiān)管的部門、監(jiān)管方法以及違規(guī)后的處罰措施。? 有關(guān)保護交易者介人及交易數(shù)據(jù)的法律
本著最小限度收集個人數(shù)據(jù)、最大限度保護個人隱私的原則來制定法律,以消除人們對泄露個人隱私以及重要個人信息的擔(dān)擾,從而吸引更多的人上網(wǎng)參與電子商務(wù)。? 有關(guān)電子商務(wù)中電子合同合法性及如何進行認證的法律
需要制定有關(guān)法律對電子合同的法律效力、數(shù)字簽名、電子商務(wù)憑證的合法性予以確認;需要對電子商務(wù)作證、電子支付數(shù)據(jù)的偽造、變更、涂銷做出相應(yīng)的法律規(guī)定。? 有關(guān)網(wǎng)絡(luò)知識產(chǎn)權(quán)保護的法律
網(wǎng)絡(luò)對知識產(chǎn)權(quán)的保護提出了新的挑戰(zhàn),因此在研究技術(shù)保護措施時,還必須建立適當(dāng)?shù)姆煽蚣埽员銈蓽y仿冒或欺詐行為,并在上述行為以生時提供有效的法律援助。
參考文獻
[1]鐘 誠.電子商務(wù)安全.重慶大學(xué)出版社.2004.6 [2]楊堅爭.電子商務(wù)基礎(chǔ)與運用 2008.5 [3]陳 進.電子商務(wù)金融與安全.清華出版社 2000 [4]馮登國.網(wǎng)絡(luò)安全原理與技術(shù).北京.科學(xué)出版社.2003 [5]邵曉薇 王維民 電子商務(wù)網(wǎng)站網(wǎng)上交易系統(tǒng) 人民郵電出版社 2000.6
第五篇:電子商務(wù)發(fā)展中存在的安全問題
:我所了解的電子商務(wù)發(fā)展中存在的安全問題。
可以說在電子商務(wù)的系統(tǒng)里面沒有安全保證的系統(tǒng)一定是一個豆腐渣工程,沒有人敢用,安全問題非常重要。
怎么看待電子商務(wù)的安全問題?安全不是一個純技術(shù)的概念,沒有絕對的安全。安全是有成本和代價的,要采取安全措施不光會帶來不方便的地方,可能會帶來成本和代價。在安全是發(fā)展的、動態(tài)的。包括病毒、攻擊措施,不可能一蹴而就。1:程序安全
程序安全中的問題主要包括程序漏洞和惡意代碼,眾所周知,程序開發(fā)中的微小需錯誤都可能造成很大的安全問題,所以不安全編程引發(fā)的問題就會被一些惡意的攻擊者所利用從而改變程序的執(zhí)行流程,譬如:緩沖區(qū)溢出不完全輸入驗證以及“檢查時刻到使用時刻”錯誤惡意代碼是以破壞為目的的一類程序,例如病毒 蠕蟲 特洛伊木馬 隱蔽通道分析 因此人們對如何保證軟件質(zhì)量預(yù)防程序漏洞或惡意代碼應(yīng)當(dāng)引起極大的關(guān)注。2:操作系統(tǒng)安全
隨著電子商務(wù)運行環(huán)境通過網(wǎng)絡(luò)訪問共享資源的未知用戶的增加,如何提供驗證機制是一個很重要的問題 3:數(shù)據(jù)庫安全
當(dāng)前越來越多的應(yīng)用系統(tǒng)依靠數(shù)據(jù)庫管理系統(tǒng)來管理和保護大量的共享數(shù)據(jù),數(shù)據(jù)庫管理系統(tǒng)也成為計算機信息系統(tǒng)的核心部件,因此他的安全問題也變得越來越重要。4:網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全是信息系統(tǒng)安全的基礎(chǔ),它可以通過采用各種技術(shù)和管理措施來防御各種網(wǎng)絡(luò)攻擊,保證網(wǎng)絡(luò)系統(tǒng)正常運行,并確保網(wǎng)絡(luò)數(shù)據(jù)的可用性,完整性和保密性。隨著INTERNET的發(fā)展,網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大的方便,通過INTERNET 進行的各種電子商務(wù)業(yè)務(wù)也日益增多,但是由于INTERNET的開放性,電子商務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)機密均成為攻擊者的目標,因此網(wǎng)絡(luò)安全問題也成為各種網(wǎng)絡(luò)服務(wù)和應(yīng)用能否進一步發(fā)展的關(guān)鍵問題之一。二:電子商務(wù)過程中遇到安全問題的解決方法。1:關(guān)于程序安全。
編程人員可以使用對緩沖區(qū)溢出攻擊具有抵抗力的標準庫來防御緩沖區(qū)溢出攻擊。采用數(shù)字簽名阻止漏洞被攻擊者利用,采用軟件工程控制等等方法來保護程序的安全。2:關(guān)于操作系統(tǒng)安全。
可以通過自主訪問控制,強制訪問控制給予角色訪問控制等辦法來控制訪問權(quán)限 3:關(guān)于數(shù)據(jù)庫安全。
可以采用數(shù)據(jù)庫訪問控制,完整性約束,推理控制和秘密通道數(shù)據(jù)庫加密以及數(shù)據(jù)庫用戶管理來保護數(shù)據(jù)庫的安全。4:關(guān)于網(wǎng)絡(luò)安全。
防火墻是一種用來保護本地系統(tǒng)的設(shè)備,以防止網(wǎng)絡(luò)攻擊破壞系統(tǒng)或網(wǎng)絡(luò),另外虛擬私有網(wǎng)絡(luò)和入侵監(jiān)測系統(tǒng)能夠阻止部分網(wǎng)絡(luò)攻擊但是要想全面防范,則還需要在網(wǎng)絡(luò)服務(wù)或應(yīng)用程序開發(fā)階段就要開始仔細考慮安全因素這樣才能減少程序漏洞,不要隨意相信用戶輸入的任何數(shù)據(jù)對所有輸入數(shù)據(jù)進行檢查,此外最小特權(quán)原則也是有效的安全策略,系統(tǒng)管理員可以只賦予服務(wù)器上的程序所需要的最低權(quán)限,僅允許其訪問完成任務(wù)所必需的資源。三:電子商務(wù)安全對策
商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題,在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過程的順利進行。即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。一個全方位的計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術(shù)、身份認證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù),在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,并增加了審核信息的數(shù)量,利用這些審核信息可以跟蹤入侵者。這里我們具體要了解的是商務(wù)交易安全及安全措施。商務(wù)交易安全:
當(dāng)許多傳統(tǒng)的商務(wù)方式應(yīng)用在Internet上時,便會帶來許多源于安全方面的問題,如傳統(tǒng)的貸款和借款卡支付/保證方案及數(shù)據(jù)保護方法、電子數(shù)據(jù)交換系統(tǒng)、對日常信息安全的管理等。電子商務(wù)的大規(guī)模使用雖然只有幾年時間,但不少公司都已經(jīng)推出了相應(yīng)的軟、硬件產(chǎn)品。由于電子商務(wù)的形式多種多樣,涉及的安全問題各不相同,但在Internet上的電子商務(wù)交易過程中,最核心和最關(guān)鍵的問題就是交易的安全性。一般來說商務(wù)安全中普遍存在著以下幾種安全隱患:
1竊取信息
由于未采用加密措施,數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規(guī)律和格式,進而得到傳輸信息的內(nèi)容,造成網(wǎng)上傳輸信息泄密。2篡改信息
當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過各種技術(shù)手段和方法,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改,然后再發(fā)向目的地。這種方法并不新鮮,在路由器或網(wǎng)關(guān)上都可以做此類工作。
3假冒
由于掌握了數(shù)據(jù)的格式,并可以篡改通過的信息,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
4惡意破壞
由于攻擊者可以接入網(wǎng)絡(luò),則可能對網(wǎng)絡(luò)中的信息進行修改,掌握網(wǎng)上的機要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,其后果是非常嚴重的。
因此,電子商務(wù)的安全交易主要保證以下四個方面:
5信息保密性
交易中的商務(wù)信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉,因此在信息傳播中一般均有加密的要求。
6交易者身份的確定性
網(wǎng)上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔(dān)心網(wǎng)上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
7不可否認性
由于商情的千變?nèi)f化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認的。
8不可修改性
交易的文件是不可被修改的,否則也必然會損害一方的商業(yè)利益。因此電子交易文件也要能做到不可修改,以保障商務(wù)交易的嚴肅和公正。安全措施:
在早期的電子交易中,曾采用過一些簡易的安全措施,包括:
部分告知(Partial Order):即在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)如信用卡號碼及成交數(shù)額等略去,然后再用電話告之,以防泄密。
另行確認(Order Confirmation):即當(dāng)在網(wǎng)上傳輸交易信息后,再用電子郵件對交易做確認,才認為有效。
此外還有其它一些方法,這些方法均有一定的局限性,且操作麻煩,不能實現(xiàn)真正的安全可靠性。
近年來,針對電子交易安全的要求,IT業(yè)界與金融行業(yè)一起,推出不少有效的安全交易標準和技術(shù)。
主要的協(xié)議標準有:
安全超文本傳輸協(xié)議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸?shù)陌踩浴?/p>
安全套接層協(xié)議(SSL):由Netscape公司提出的安全交易協(xié)議,提供加密、認證服務(wù)和報文的完整性。SSL被用于Netscape Communicator和Microsoft IE瀏覽器,以完成需要的安全交易操作。
安全交易技術(shù)協(xié)議(STT,Secure Transaction Technology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在Internet Explorer中采用這一技術(shù)。
安全電子交易協(xié)議(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標準SET發(fā)布公告,并于1997年5月底發(fā)布了SET Specification Version 1.0,它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認證、數(shù)據(jù)簽名等。SET 2.0預(yù)計今年發(fā)布,它增加了一些附加的交易要求。這個版本是向后兼容的,因此符合SET 1.0的軟件并不必要跟著升級,除非它需要新的交易要求。SET規(guī)范明確的主要目標是保障付款安全,確定應(yīng)用之互通性,并使全球市場接受。所有這些安全交易標準中,SET標準以推廣利用信用卡支付網(wǎng)上交易,而廣受各界矚目,它將成為網(wǎng)上交易安全通信協(xié)議的工業(yè)標準,有望進一步推動Internet電子商務(wù)市場。
主要的安全技術(shù)有: 虛擬專用網(wǎng)(VPN)
這是用于Internet交易的一種專用網(wǎng)絡(luò),它可以在兩個系統(tǒng)之間建立安全的信道(或隧道),用于電子數(shù)據(jù)交換(EDI)。它與信用卡交易和客戶發(fā)送訂單交易不同,因為在VPN中,雙方的數(shù)據(jù)通信量要大得多,而且通信的雙方彼此都很熟悉。這意味著可以使用復(fù)雜的專用加密和認證技術(shù),只要通信的雙方默認即可,沒有必要為所有的VPN進行統(tǒng)一的加密和認證。現(xiàn)有的或正在開發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進一步增加VPN的安全性,因而能夠保證數(shù)據(jù)的保密性和可用性。
數(shù)字認證
數(shù)字認證可用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性(如一個發(fā)票未被修改過),甚至數(shù)據(jù)媒體的有效性(如錄音、照片等)。隨著商家在電子商務(wù)中越來越多地使用加密技術(shù),人們都希望有一個可信的第三方,以便對有關(guān)數(shù)據(jù)進行數(shù)字認證。
目前,數(shù)字認證一般都通過單向Hash函數(shù)來實現(xiàn),它可以驗證交易雙方數(shù)據(jù)的完整性,Java JDK1.1也能夠支持幾種單向Hash算法。另外,S/MIME協(xié)議已經(jīng)有了很大的進展,可以被集成到產(chǎn)品中,以便用戶能夠?qū)νㄟ^E mail發(fā)送的信息進行簽名和認證。同時,商家也可以使用PGP(Pretty Good Privacy)技術(shù),它允許利用可信的第三方對密鑰進行控制。可見,數(shù)字認證技術(shù)將具有廣闊的應(yīng)用前景,它將直接影響電子商務(wù)的發(fā)展。
加密技術(shù)
保證電子商務(wù)安全的最重要的一點就是使用加密技術(shù)對敏感的信息進行加密。現(xiàn)在,一些專用密鑰加密(如3DES、IDEA、RC4和RC5)和公鑰加密(如RSA、SEEK、PGP和EU)可用來保證電子商務(wù)的保密性、完整性、真實性和非否認服務(wù)。然而,這些技術(shù)的廣泛使用卻不是一件容易的事情。密碼學(xué)界有一句名言:加密技術(shù)本身都很優(yōu)秀,但是它們實現(xiàn)起來卻往往很不理想。現(xiàn)在雖然有多種加密標準,但人們真正需要的是針對企業(yè)環(huán)境開發(fā)的標準加密系統(tǒng)。加密技術(shù)的多樣化為人們提供了更多的選擇余地,但也同時帶來了一個兼容性問題,不同的商家可能會采用不同的標準。另外,加密技術(shù)向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制。目前,美國的商家一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的算法出口。雖然40位的SSL也具有一定的加密強度,但它的安全系數(shù)顯然比128位的SSL要低得多。據(jù)報載,最近美國加州已經(jīng)有人成功地破譯了40位的SSL,這已引起了人們的廣泛關(guān)注。美國以外的國家很難真正在電子商務(wù)中充分利用SSL,這不能不說是一種遺憾。上海市電子商務(wù)安全證書管理中心推出128 位 SSL的算法,彌補國內(nèi)的空缺,并采用數(shù)字簽名等技術(shù)確保電子商務(wù)的安全。電子商務(wù)認證中心(CA,Certificate Authority)
實行網(wǎng)上安全支付是順利開展電子商務(wù)的前提,建立安全的認證中心(CA)則是電子商務(wù)的中心環(huán)節(jié)。建立CA的目的是加強數(shù)字證書和密鑰的管理工作,增強網(wǎng)上交易各方的相互信任,提高網(wǎng)上購物和網(wǎng)上交易的安全,控制交易的風(fēng)險,從而推動電子商務(wù)的發(fā)展。為了推動電子商務(wù)的發(fā)展,首先是要確定網(wǎng)上參與交易的各方(例如持卡消費戶、商戶、收單銀行的支付網(wǎng)關(guān)等)的身份,相應(yīng)的數(shù)字證書(DC:Digital Certificate)就是代表他們身份的,數(shù)字證書是由權(quán)威的、公正的認證機構(gòu)管理的。各級認證機構(gòu)按照根認證中心(Root CA)、品牌認證中心(Brand CA)以及持卡人、商戶或收單銀行(Acquirer)的支付網(wǎng)關(guān)認證中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按層次結(jié)構(gòu)建立的。電子商務(wù)安全認證中心(CA)的基本功能是:
生成和保管符合安全認證協(xié)議要求的公共和私有密鑰、數(shù)字證書及其數(shù)字簽名。對數(shù)字證書和數(shù)字簽名進行驗證。對數(shù)字證書進行管理,重點是證書的撤消管理,同時追求實施自動管理(非手工管理)。
建立應(yīng)用接口,特別是支付接口。CA是否具有支付接口是能否支持電子商務(wù)的關(guān)鍵。
第一代CA是由SETCO公司(由Visa & MasterCard組建)建立的,以SET協(xié)議為基礎(chǔ),服務(wù)于B C電子商務(wù)模式的層次性結(jié)構(gòu)。
由于B B電子商務(wù)模式的發(fā)展,要求CA的支付接口能夠兼容支持B B與B C的模式,即同時支持網(wǎng)上購物、網(wǎng)上銀行、網(wǎng)上交易與供應(yīng)鏈管理等職能,要求安全認證協(xié)議透明、簡單、成熟(即標準化),這樣就產(chǎn)生了以公鑰基礎(chǔ)設(shè)施(PKI)為技術(shù)基礎(chǔ)的平面與層次結(jié)構(gòu)混合型的第二代CA體系。
近年來,PKI技術(shù)無論在理論上還是應(yīng)用上以及開發(fā)各種配套產(chǎn)品上,都已經(jīng)走向成熟,以PKI技術(shù)為基礎(chǔ)的一系列相應(yīng)的安全標準已經(jīng)由Internet特別工作組(IETF)、國際標準化組織(ISO)和國際電信聯(lián)盟(ITU)等國際權(quán)威機構(gòu)批準頒發(fā)實施。
建立在PKI技術(shù)基礎(chǔ)上的第二代安全認證體系與支付應(yīng)用接口所使用的主要標準有:
由Internet特別工作組頒發(fā)的標準:LDAP(輕型目錄訪問協(xié)議)、S/MIME(安全電子郵件協(xié)議)、TLC(傳輸層安全套接層傳輸協(xié)議)、CAT(通用認證技術(shù),Common Authentication Technology)和GSS-API(通用安全服務(wù)接口)等。
由國際標準化組織(ISO)或國際電信聯(lián)盟(ITU)批準頒發(fā)的標準為9594-8/X.509(數(shù)字證書格式標準)。
在計算機互聯(lián)網(wǎng)絡(luò)上實現(xiàn)的電子商務(wù)交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務(wù)系統(tǒng)在保證其計算機網(wǎng)絡(luò)硬件平臺和系統(tǒng)軟件平臺安全的基礎(chǔ)上,應(yīng)該還具備以下特點: 強大的加密保證
使用者和數(shù)據(jù)的識別和鑒別 存儲和加密數(shù)據(jù)的保密 聯(lián)網(wǎng)交易和支付的可靠 方便的密鑰管理
數(shù)據(jù)的完整、防止抵賴
電子商務(wù)對計算機網(wǎng)絡(luò)安全與商務(wù)安全的雙重要求,使電子商務(wù)安全的復(fù)雜程度比大多數(shù)計算機網(wǎng)絡(luò)更高,因此電子商務(wù)安全應(yīng)作為安全工程,而不是解決方案來實施。
四:關(guān)于《中華人民共和國電子簽名法》
該法所涉及的技術(shù)問題是電子簽名問題。電子簽名也稱作“數(shù)字簽名”,是指用符號及代碼組成電子密碼進行“簽名”來代替書寫簽名或印章,它采用規(guī)范化的程序和科學(xué)化的方法,用于鑒定簽名人的身份以及對一項數(shù)據(jù)電文內(nèi)容信息的認可。所謂電子簽名,是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù),通俗地說,也就是通過密碼技術(shù)對電子文件所進行的電子形式的簽名。電子簽名運用一定的加密技術(shù),將簽名人信息轉(zhuǎn)化為加密狀態(tài),并在需要時進行解密還原。電子文件在經(jīng)過電子簽名后,就可以用來識別簽名人的身份以及文件內(nèi)容是否是簽名人所認可的原本內(nèi)容。目前制約因素主要有:國內(nèi)電子簽名的軟硬件普遍不過硬,國內(nèi)真正有實力的認證企業(yè)屈指可數(shù),其中很多沒有任何國家資質(zhì),只是在行業(yè)和go-vern-ment內(nèi)部使用,而且國內(nèi)直接提供電子簽名技術(shù)的企業(yè)更是鳳毛麟角;其次,認證標準有待互聯(lián)互通,在目前情況下,電子簽名認證采用的技術(shù)標準不止一個,這也會在很大程度上影響電子簽名的普及應(yīng)用。
除了法律和技術(shù)問題之外,電子簽名或許還要面對“心理”門檻。一位有多次網(wǎng)上購物經(jīng)歷的張老師,她對中國經(jīng)濟時報記者說,大宗交易我不敢信任電子簽名,而像百元左右的小宗交易,又覺得不需要電子簽名。電子商務(wù)的法律完善集中以下領(lǐng)域:數(shù)據(jù)與隱私權(quán)保護、電子合同、電子支付、電子商務(wù)的消費者保護、信息安全、電子商務(wù)稅收、知識產(chǎn)權(quán)問題、相關(guān)程序法律問題。目前的法律主要解決了信息流方面的問題,包括電子簽名、電子合同、電子記錄的法律效力,但是對于信息流的知識產(chǎn)權(quán)、信息監(jiān)管以及資金流的電子支付、電子發(fā)票、網(wǎng)上證券、網(wǎng)上銀行與物流方面的所有權(quán)憑證的轉(zhuǎn)移等沒有涉及。我國《電子簽名法》明確和規(guī)范了以下幾個方面的問題: 1.明確了電子簽名的法律效力。
2.明確了電子簽名所需要的技術(shù)和法理條件。3.對電子商務(wù)認證機構(gòu)和行為做了規(guī)定。
4.明確了電子商務(wù)交易雙方和認證機構(gòu)在電子簽名活動中的權(quán)利、義務(wù)和行為規(guī)范。5.明確了“技術(shù)中立”原則。
6.增加了有關(guān)go-vern-ment監(jiān)管部門法律責(zé)任的條款。
隨著這部法律的出臺和實施,電子簽名將獲得與傳統(tǒng)手寫簽名和蓋章同等的法律效力,意味著在網(wǎng)上通行有了“身份證”。專家認為,這部法律將對我國電子商務(wù)、電子政務(wù)的發(fā)展起到極其重要的促進作用。這部法律規(guī)定,可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。盡管開始實施的《電子簽名法》只是我國電子商務(wù)歷程中一部從局部入手的法律,但是它的誕生卻是我國在信息化領(lǐng)域探索法治管理的一個良好開端。這部法律將建立良好的網(wǎng)絡(luò)信用機制和高效的網(wǎng)上交易途徑,對我國電子商務(wù)的發(fā)展以及網(wǎng)絡(luò)經(jīng)濟繁榮起到極其重要的促進作用。《電子簽名法》實施后將對我國電子商務(wù)的發(fā)展起到極其重要的促進作用。在我國網(wǎng)絡(luò)信用與數(shù)據(jù)電文法律效力保障缺乏的情況下,《電子簽名法》的實施,使網(wǎng)上數(shù)據(jù)電文獲得法律效力保障,這在很大程度上消除了網(wǎng)絡(luò)信用危機,加強了電子商務(wù)的安全性,使得電子簽名與傳統(tǒng)手寫簽名和蓋章有同等的法律效力。另外一個好處就是降低成本,提高效率。《電子簽名法》的出臺為我國電子商務(wù)發(fā)展提供了基本的法律保障,它解決了電子簽名的法律效力這一基本問題,并對電子商務(wù)認證機構(gòu)、電子簽名的安全性、簽名人的行為規(guī)范、電子交易中的糾紛認定等一系列問題做出了明確的規(guī)定。有了《電子簽名法》的相關(guān)規(guī)定,電子商務(wù)發(fā)展中的許多問題就有了解決的依據(jù),真正的網(wǎng)上交易將會逐步發(fā)展起來,制約電子商務(wù)發(fā)展的一些問題也會在發(fā)展中逐步解決,我國電子商務(wù)將會很快走出無法可依、盲目無序的狀態(tài)。電子簽名法的通過,標志著我國首部“真正意義上的信息化法律”已正式誕生,已經(jīng)于2005年4月1日起施行。
點擊咨詢 