电子商务网络安全机制浅析.doc

电子商务网络安全机制浅析1.电子商务信息安全现状近年来，电子商务的发展非常迅速，电子商务不仅能够降低成本，增大交易机遇，简化交易流通过程，提升生产力，还可能改进物流和资金流、物品流、信息流的情况与体系。尽管，电子商务发展迅速，但是成交量在整体交易量中所占百分比依旧很低,网络安全是其发展的关键。网络上的贸易是一种非面对面交易，买卖双方对彼此情况都不是很了解，无法确保交易的安全。所以，贸易安全在电子商务的发展中相当关键。换句话说，如果没有网络安全,电子商务根本发展不起来。1.1国内外电子商务安全现状电子商务成长领域最大和最老练的国家是美国。据美国的权威杂志表露，从事电商的企业担当着相当大的危机。其中，前者的黑客攻击速度是后者的两倍高，而且，感染病毒、恶意代码的几率高出9%,被非法入侵的几率高出10%，被欺骗的概率比普通企业高2.2倍。电子商务在中国起步较晚，但发展速度是惊人的，巨大的市场潜力，开发区是一个全球电子商务。但是，近几年来，我国发生的和网络有关的电子商务金融犯罪多达200起，造成重大的经济损失。由于网络信息同享和易于分散的特征，它在处理、保存、传输和利用上有严重的脆弱性，很容易被干扰、乱用、泄漏和丢失，甚至被败露、盗取、改动、假冒和破坏，还可能遭到病毒感染，因此，在开放的网络上办理贸易，怎么保障传递数据的安全是电子商务成长的最主要的要素之一。1.2我国电子商务存在的安全问题电子商务安全是一个庞大的体系工程，其完成取决于逐步完善和解决的很多技术问题。假工行钓鱼事件表露，一些非法分子利用手机短信给用户发消息，提示用户办理的电子密码器已失效。如果用户安全防范意识不强，就有可能让不法分子获取用户的账号和密码，从而盗取卡里的财产。 所以一个完整的安全机制是保证数据安全的前提，也是其安全发展的必然趋势。要保证电子商务网络安全，务必有全面的解决方案，才能全面地应对各式各样的威胁和进攻。因此，规避电子商务的安全风险，加强网络安全管理和制定相关的法规将对网络的安全、高效运行将起重要作用。2. 电子商务的安全隐患2.1信息的截获和获得在电子商务中是贸易信息的败露，包含两类贸易：两边进行交易的实质被第三方盗取；买卖一方供给另一方利用的文件被第三方不正当利用。因为不使用加密设备或使用纯文本的数据报文，入侵者通过在数据网关或路由器的数据包截取传递的信息。通过对信息流，分析流程，沟通的频率和长度，推断出有用的信息，导致信息传输泄漏。一些银行内部人员非法出售买方的银行卡信息和征信报告，分子利用个人征信报告这些详细信息来编排出最有可能的6位数密码，从而盗取用户银行卡里的财产，给用户造成一定的财产损失。 2.2 信息被篡改电子商务贸易过程当中最重视信息的完整性和真实性，当入侵者掌管了信息的规律和格式后，通过各种不同的技巧和策略，改变网络中的数据信息，损坏信息的真实性，然后再发回目的地。这种方法很普通的，做这种工作可以在路由器或网关上完成。2.3 假冒他人身份假冒他人身份是用户未进行身份认证，被第三方冒充后，第三方通过电话和邮箱修改用户的信用卡信息并领取新卡进行套现。如果手机卡丢失，别人就可以利用手机卡办理一些增值业务，如开通QQ会员，皇冠充值，还可以盗取淘宝和支付宝账号和密码。而经过身份认证后就可以避免这些安全隐患，从而保证电子商务的安全。2.4 恶意破坏信息一是网络信息传递有可靠性，如果网络的硬件和软件呈现问题可能致使信息丢失；二是恶意破坏，即网络自身遭到恶意程序的破坏，如网络病毒，黑客入侵。“裸奔路由”让网上购物再次遭到钓鱼台骗局。根据公安部网络犯罪统计，涉及网络诈骗犯罪的占52%，报告的最多的是网络欺诈，网络钓鱼诈骗。二零一三年360互联网安全中心获取新的钓鱼网站2210000个，与二零一二年的870000相比增加了152.1%，平均每天拦截新的钓鱼网站约6050个。3.电子商务的网络安全技术电子商务的安全大部分依赖于技能的完善，包含密码，身份认证，访问控制，信息流控制，数据保护，软件保护，病毒的检测和清除，内容分类和过滤，网络漏洞扫描器，系统的安全监控与审计技术。为了保证其安全，能够选用各种不同的网络安全技术和协议，为其贸易行为提供不同程度的安全保障。3.1安装高性能的防火墙防火墙是一种访问网络的机构，防止网络黑客的屏障。在网络界限上创建相应的网络通讯监控体系，保证计算机网络的安全。防火墙的安全控制技术有包过滤，状态检测，代理服务，因此，防火墙技术主要有分组过滤和代理服务两大类。分组过滤型防火墙是基于路由器的防火墙。它是按照网络安全对策建立一张访问黑名单，哪一种类型的信息不准经过防火墙，来保障网络体系的安全。这类防火墙操作简单，并不能完全避免不正当进攻。现在大部分防火墙都利用这种技术。代理服务型防火墙是以代理服务为基础的防火墙。其安全级别高，加强了信息的身份认证和审计跟踪。这类防火墙收到客户申请后会检验信息的合法性，并将内部体系与外部分隔开，在外部只可看见代理服务防火墙并看不见任何在内部的资源，进而保障了电子商务的安全。3.2数字加密技术防火墙技术是被动防御技术，难以对电子商务中的不安全因素进行有效的防御。因此，为确保交易的安全，我们应该借用现代密码学的帮助。数据加密技术有对称密钥加密技术和非对称密钥加密技术两大类，对称密钥加密技术在发送方和接收方利用共同的密钥，对数据利用共同的密钥进行加密和解密，如DES加密算法。在非对称密钥技术，数据加密和解密使用不同的密钥，但有两个键之间有一定的关系：使用的密钥进行加密，使用另一个密钥解密，。如RSA加密算法。现在许多机构运用PKI（公钥基础设施）的缩写，即公共密钥系统的技术实现加密和签名系统建设完成，更有效地解决上述难题。基于互联网的充分利用，实现资源共享，在一个安全的在线交易和信息中实现信息的传输。3.3数字签名技术但是，加密技术并不能够确保企业信息的安全，保证信息的完整性，数字签名技术占有不可替代的地位。当前数字签名的利用主要有数字摘要、数字签名和数字时间戳技术。利用单向hash函数从一条信息中获得一定的长度信息。摘要与原始信息是对应的一一即不同的原始信息会获得一个不同的抽象。若信息的完整性受到损坏，信息就没法经过原始摘要信息的考证，成为失效信息，信息接收者就可以选取再也不信赖该信息。数字签名是一个非对称加密和数字技术的结合。主要方法是：（1）散列消息发送者的消息文本生成一个128位的哈希值，并使用加密密钥，形成一个数字签名；（2）数字签名作为邮件附件和消息发送的收件人，邮件收件人的第一个原始消息是收到的128比特的散列值；（3）公共密钥利用发送方邮件的数字签名解密后，假如两个哈希值相同，用户就可以证实数字签名是发送方。数字时间戳或DTS是一项对贸易信息和数字文件进行日期签订的第三方服务。事实上数字时间戳与数字签名技术千篇一律。该技术不能被伪造，篡改或否认，并为信息提供可靠的信息中使用的时间。3.4数字认证技术跟着因特网的成长和社会的进步,网络电子商务活动在当代社会更加普遍,身份认证是一个必须解决的重要问题，这是与电子商务活动直接相关的可高效有序进行的标准。认证系统是电子商务的重要，它是用户接入的关键步骤。当代密码的两大类重要的分支结构是加密和认证。加密是防备敌方获取机密消息。认证则是为了避免敌方的主动进攻，包含考证信息真假及避免信息在通信过程中被改动减少、插入、造假及重放等。数字认证又称为鉴别或确认，它利用认证目标的一个或多个参数的真实性与有效性来考证被认证目标是不是一种有效的进程，以确保数据的有效，防止攻击者伪造篡改。一般来说，用人的生理参数来保障电子商务的安全。如人的指纹认证，虹膜识别。但目前这种技术存在实现困难、成本较高的缺点。目前，网络通信中的参数有一个密码、身份证、 钥匙和随机数，想要达到基于公钥密码算法的身份认证需求，很有必要创建一种信任和信任考证机制，即每一个网络上的实体务必有一个可以被考证的数字标记，这就是数字证书（digital Certificate ）。 基于公钥密码体制的数字证书，将用户的公钥和用户自身的属性（如姓名，单位，等等）结合在一起。这意味着，应该有一个专门的在线信托机构负责每个实体的身份审查，并颁发数字证书，这种机制是CA（证书颁发机构）。CA的私有密钥的所有用户的属性和用户的公钥证书的数字签名，形成用户的数字证书。证书是证实用户正当身份和供给用户正当公钥的字据，是成立保密通信的根蒂。作为网络的主要功能的可信证书管理设施的管理和维护，它提供了多种的证书服务，包括：证书签发的证书，更新恢复等。电子商务安全对因特网安全与商务安全提出了两重请求，其繁杂水准比大多半计算机网络都高。在电子商务的建立过程当中涉及到很多安全技术来由，定制安全技术条例和施行安全技术措施不但能够推进安全技术的成长，同时也推进安全的电子商务体制的构成。固然，每一个安全技术都不可能供应永久和十足的安全，由于网络在转变，应用在转变，侵略和败坏的把戏也在转变，唯有技能的不断进步才是真实的安全保证。4.电子商务系统的网络安全协议及法律法规电子商务的安全问题涉及到电子商务的多个环节和加入贸易的方方面面，电子商务的安全是一个系统工程和社会问题，按照电子商务的安全请求，要保证其机密性，完整性，认证性和不可抵赖性等。（1）机密性。电子商务作为交易的一种技术措施，它的信息是代表着小我、企业或我国的贸易秘密。商业秘密的保护是电子商务综合应用的重要保证。（2）完整性。电子商务削减了交易过程，缩小了人工要素，同样也带来维持贸易各方交易信息的完整和统一的问题。因为数据输入时的五一过失或欺骗作为，能够致使交易各方信息的悬殊。况且，数据传递过程当中信息的遗失、信息反复或信息传递的顺序不同也会致使交易各方信息的差别。（3）认证性。由于电子商务网络的特殊贸易系统，企业或个人的交易通常发生在网络虚拟，所以对个人或商业实体识别是电子商务的关键。（4）不可抵赖性。电子商务与贸易商品交易双方直接相关，确定如何进行贸易交换是预期贸易的创始人，这是保障电子商务顺利完成的关键。在电子商务的形式的缺席下，在交易中不存在识别手写署名和盖章的人。于是，在贸易信息的传递过程当中为介入贸易的个人、企业或国家供给牢靠的标记。不可抵赖性可以通过发送信息到一个数字签名得到。4.1 电子商务系统的网络安全协议4.1.1 安全套接协议(Secure Sockets Layer，SSL)SSL是由Netscape Communication公司一九九四年策划建设的，用于确保应用程序数据的安全。所有的SSL的系数进行了总结：保证安全的事件之间的任何安装SSL客户端和服务器的协议，这个协议向基于TCP/IP的客户、服务器应用程序供应了客户端与服务的辨别、数据完整性及信息机密性等安全策略。十多年来，许多大型的网站服务早就默认利用SSL加密数据，但是，近期由来自芬兰的公司科诺康和谷歌的研究人员发现了SSL“心脏出血”的漏洞,不得不再次引发我们对网络安全的深思熟虑。“心脏出血”事件被称为因特网史上最为严重的网络安全漏洞之一，覆盖了大约64%的网站、服务，可能导致用户的通讯信息、密码、银行卡的泄露。360石晓虹将SSL漏洞称为网络弹劾，不管电脑有多么的安全，只要网站使用了存在漏洞的SSL协议，用户登录该网站时就存在安全威胁。国家互联网的紧急行动中心主任王明华说，最近网上已经出现了针对这个漏洞的进攻代码，对其漏洞的进攻可能是增强趋势，对网站和用户的威胁可能进一步扩大。专家建议，网站服务商一定要及时下载更新SSL协议，并采用多种专用防护平台和设备以确保服务器的安全。用户最好等到各大安全公司和网站宣布已经完全解决了这个漏洞后再修改账户和密码。4.1.2 安全电子交易(Secure Electronic Transactions，SET) SET是为在线买卖建立的一个公开的、基于电子货币的电子支付体系。SET是在浏览器中将认证和解密分隔开，用来提升安全控制能力。SET协议是用于最有代表性的协议，在电子支付中保障支付信息的机密性、商家和用户的正当身份和可操作性。4.1.3 安全超文本传输协议(S-HTTP) S-HTTP协议描述了一种对S-HTTP HTTP标准的加密工具的数据传输的机制，保证网站之间的信息交换的安全。该协议对网络提供完备的，使用认证，不能否认和保密的安全策略，提高了报文的安全。4.2 电子商务系统的法律法规电子商务实践需要一种透明，交易与环境保护的和谐秩序，因此必须建立和完善相应的法律制度。在电子商务消费者的个人信息和隐私很脆弱。在电子商务的实际行为中，生产商为了降低生产成本,抓住低消费者的心理，非法获取和利用消费者的个人信息和机密，很大程度地损害了消费者的合法权益主要是隐私权。建议在有关法律法规中规定如下基本原则：（1）依法收集和使用个人信息。（2）最小的原则：一个使用消费者个人信息的收集运营商的合法目的，应以实现其目的的前提下，收取的最低和个人信息的使用。（3）向消费者解释和通知的原则：在收集和使用个人信息的运营商，应解释为收集和使用目的的消费者，在收集和使用，消费者应该了解的情况。（4）保证消费者个人信息安全的原则。5.电子商务系统的安全评价方法5.1 国内外电子商务体系的安全评价准则电子商务信息安全评价标准是一种技术性法律法规。在这个地区，如果没有这个标准，相关的立法，执法会脱落，最终将给国家信息安全带来严重的后果。America TCSEC：该准则是America国防部于1985年制订的，为计算机安全产品的评价供给了尝试和方式，引导信息安全产品的创建和利用。它将被分为4个方面的安全性（安全政策，责任，安全和文件）和7个层次的安全（从高到低阶A，B3, B2,B1，C2，C1和,D级）。 欧洲ITSEC：1991年，欧美四国(英、法、德、荷)提出了信息技术安全评价标准(ITSEC)，ITSEC初次提出了信息安全的保密性、完整性、可用性，把对可信计算机的看法提升到可信信息技术的高度上来了解。它定义了雷（不符合质量水平）的类（形式验证）的7和10的安全功能的安全级别。美国联邦政府的贝氏体IJFC在1993年，美国公布的联邦信息技术安全准则评价（FC）。该准则的目标是提供安全标准的更新版本，同样的安全投资，但俱乐部有许多弊端，是一个过渡的标准，然后结合质量标准的安全评估的发展。公共标准MJJCC：1993年六月，美国、加拿大和欧洲国家同意，通用准则（CC）单汇票和提升其国际标准。CC的目标是创造一个安全的所有国家都能承担共同的信息安全产品和系统的评价标准，国家与国家之间相互认可协议，确定水平的身份是相互接受的，这可以使最基本的安全机制，在任何一个地方的CC标准，获得进入国际市场的通行证，不需要进一步的评估，该国的使用只需测试和国家的主权和安全功能，从而大大节约开支的评价和对市场快速。国内主要是等同采用国际标准。公安部把持制订、国家质量技术监督局公布的中华人民共和国国家标准GB17895-1999己经正式颁布并实施。该标准将信息系统安全分为5个品级：自助保护级、体系审计保护级、安全标记保护级、结构化保护级和访问考证保护级。安全评价指标主要有身份认证、访问控制、加密、审计，该指数涵盖了不同层次的安全要求。我们的网络安全设备制造商参照相应的国际标准和国外的同时，特别注意满足我国信息安全的需要，提供一系列符合标准和设备的安全要求。5.2 建立电子商务安全评价体系电子商务系统是一个复杂的系统，包括硬件和软件，外部和内部因素，又有许多方面是相互制约的。因此，电子商务系统的安全评估系统的开发应遵循以下原则：（1）符合国家有关信息安全法律法规；（2）满足用户和信息系统的安全环境要求；（3）拥有便利的操作性，方便施行； 电子商务系统安全评价体系:防雷策略防水防火策略网络通信技术系统安全物理安全防病毒技术防黑客技术安全审计技术服务器备份系统操作日志恢复日志加密技术访问控制技术审计跟踪技术操作系统数据库访问控制措施用户身份鉴别应用软件防破坏技术数据库异地备份防盗策略网络技术安全总结 文章简单分析了我国电子商务网络安全近况以及面临的安全威胁，分析了相应的安全技术，指出了技术的应用范围和特点，以及面临安全漏洞时所采取的协议、安全制度和法律法规。但是，仅仅一个电子商务安全体制并不能确保电子商务网络的真正安全。只有坚持研究和开发具有自主的知识产权的网络安全产品，改善我国的电子商务网络安全现状，为电子商务筑起一道“安全屏障”。