论文部分内容阅读
摘要:在电子商务的交易活动中,安全问题非常重要。该文针对目前电子商务交易中存在的安全隐患进行了分析,然后给出了几种提高电子商务交易安全性的技术。
关键词:电子商务;网络;安全技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)24-5872-02
1 概述
电子商务(Elecronic Commerce)通常是指在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于Browser/Server模式(浏览器/服务器模式)应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式[1]。随着互联网技术的快速发展,基于网络平台的电子商务也得到了快速的发展。与此同时,如何保障电子商务交易的安全性也越来越重要。如果在交易的过程中被病毒或者黑客攻击,将会给用户带来巨大的损失。因此,解决电子商务的安全问题刻不容缓。
2 电子商务存在的安全隐患
由于互联网的开放性和对资源的共享性,致使电子商务交易活动中存在以下几个主要方面的安全隐患:
1) 身份识别
由于现在网络交易活动大多采用用户名和密码的方式进行身份认证,黑客攻击者利用非法手段盗用用户的身份信息后,与他人进行交易从中获取非法利益。
2) 信息监听与泄露
由于电子商务活动涉及商业机密,当信息没有加密的情况下在网络进行传播的过程中,有些心怀叵测的人利用特殊的工具,就可以将传播的信息截获、监听,获取关键信息,导致信息泄露。就算数据信息进行了加密处理,但是加密手段单一也会导致攻击者因容易破译密码而得到敏感信息,导致信息泄露。
3) 信息破坏与篡改
电子商务交易过程中要保证信息的真实性和完整性。数据信息在网上传输的过种中,可能被非法者恶意篡改、删除或重复使用,从而使信息失去了真实性和完整性。另外,网络本身也会受到病毒程序的破坏而使信息出错或丢失。
4) 抵赖
交易双方对本次交易进行恶意否认以获取不当利益。
5) 交易过程中所使用设备的安全性
当信息正在传输时,由于互联网采用的是TCP/IP协议,这个协议没有采用任何安全措施来保护网络中所传输的内容不被获取。它采用的是数据包交换原理,每个数据包在网络上都可以经由不同的路由算法由路由器经不同的网络传输到目的机上去,在传输的过程中数据包是透明的,因此在这个过程中数据信息可能会出错或丢失。同时,计算机网络硬件像交换机等有可能因出现故障也会导致信息出错或丢失。而我们所采用的操作系统如UNIX,由于它是开源的,所以也很容易被黑客利用漏洞而窃取用户信息。
6) 交易平台的内部安全性
所有员工的权限级别一样,对一些商业机密信息都可以浏览,做不到较高一级的保密性。
3 电子商务可采用的安全技术
根据以上对电子商务交易活动中存在的安全隐患的分析,可以采用以下方法来提高交易平台的安全性:
1) 加强设备的安全性
认真选购符合要求的网络硬件设备。对一些关键的设备的管理如服务器、路由器等要落实到个人进行严格管理。对操作系统要定期更新,不断增加安全补丁。
2) 电子商务的安全协议[2]
可以采用SSL 和SET协议来保证电子商务交易的安全性。SSL 协议又称“安全套接层协议”,它是一种安全通信协议,是指通信双方在通信前约定使用的一种协议方法。SET 协议也称为“安全电子交易”,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。SSL协议可以在交易双方建立一条秘密通道用来传输信息,再对要传送的信息采用加密技术将会更加安全。但是它不能对交易双方的身份进行认证。而采用SET 协议对软硬件的环境要求太高,使交易成本增大。但是它却可以较大程度地避免交易双方的欺诈行为。
3) 对数据进行加密
对数据进行加密是电子商务采用的最主要的安全技术方法。加密技术是对数据信息按照某种算法进行重新编码,隐藏起真实信息的内容将明文转化为无意义的密文,使非法用户即使监听或截获到数据信息也无法获取正确信息的一种技术手段。把明文转化为密文的过程我们称之为加密,反之为解密。加密和解密所要遵循的规则称之为密码算法。在这两个转换的过种中,由加密者和解密者使用的加解密可变参数叫做密钥[3]。对于合法的交易方,可以利用这个密钥对密文进行解密得到正确的数据信息。目前,根据密钥不同可以将加密技术分为:对称密钥加密体制和非对称密钥加密体制。对称密钥加密体制,加解密所使用的密钥相同或能从一个得到另一个,这样一来就不需要交换加密算法,只要知道密钥就可正常交易。对称密钥加密体制的主要优点就是加密解密速度很快, 当有大量的数据信息进行加密时可以采用,但是密钥的安全保存是个问题。非对称密钥加密体制加解密所使用的密钥不同,也不能从一个得到另一个,因而安全性提高了但速度变慢了。
4) 身份认证技术
对数据进行加密并不能完全保证电子商务交易的安全,身份认证技术是保障电子商务交易活动安全的一项关键技术,主要有数字签名、数字证书、数字时间戳等。数字签名就是通过加密技术形成发送者的数字签名,然后将其作为信息的一部分发给接收者,接收者再通过解密技术对其进行解密。如果数字签名相同,就认为是发送者发送的,从而有效地避免了信息被伪造或篡改,保证了信息的安全性。数字证书,就是用电子手段来证明一个用户身份是否合法及确定其对网络资源的访问权限。数字时间戳可以提供信息的发送时间,它和数字签名一样是为了防止信息被伪造或篡改。
5) 防火墙技术[4]
网络防火墙技术是一种用来加强网络之间访问控制和防止外部网络用户以非法手段进入内部网络、访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。其最主要目的是防止外部网络与被保护的内部网络进行非法的通信。对于电子商务平台的管理都来说可以在路由器上进行设置或直接购买功能全面的防火墙设备,对于后者来说交易平台的安全性将更有保证。
6) 入侵检测
入侵检测技术[5]就是在计算机网络系统中设置一些关键点来收集信息。将采集到的这些信息进行分析,从分析的结果判断出网络中是否有不符合安全策略的行为或是否已经遭到了攻击,如果发现有入侵,会及时做出处理,比如报警等,最大限度地保护数据信息的安全。
7) 加强交易平台的安全管理
将一些牵涉到商业机密的关键数据设定密码保护。提高这些数据的访问权限。
4 结束语
电子商务将会随着互联网的快速发展而成为未来最重要的经营手段,如何保障电子商务交易活动的安全是一个复杂的问题,企业在使用电子商务平台时要采取一系列的安全技术进行防范,只有这样才能保证电子商务交易的安全性,也只有这样才能让电子商务更好更快的发展起来。
参考文献:
[1] [DB/OL].http://baike.baidu.com/view/757.htm.
[2] 蘭宜生.电子商务基础教程[M].2版.北京:清华大学出版社,2007.
[3] 韩基龙.电子商务安全问题浅析[J].经济视角,2008.
[4] 兰宜生.电子商务基础教程[M].北京:清华大学出版社,2003.
[5] 管有庆,王晓军,董小燕.电子商务安全技术[M].北京:北京邮电大学出版社,2005.
关键词:电子商务;网络;安全技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)24-5872-02
1 概述
电子商务(Elecronic Commerce)通常是指在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于Browser/Server模式(浏览器/服务器模式)应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式[1]。随着互联网技术的快速发展,基于网络平台的电子商务也得到了快速的发展。与此同时,如何保障电子商务交易的安全性也越来越重要。如果在交易的过程中被病毒或者黑客攻击,将会给用户带来巨大的损失。因此,解决电子商务的安全问题刻不容缓。
2 电子商务存在的安全隐患
由于互联网的开放性和对资源的共享性,致使电子商务交易活动中存在以下几个主要方面的安全隐患:
1) 身份识别
由于现在网络交易活动大多采用用户名和密码的方式进行身份认证,黑客攻击者利用非法手段盗用用户的身份信息后,与他人进行交易从中获取非法利益。
2) 信息监听与泄露
由于电子商务活动涉及商业机密,当信息没有加密的情况下在网络进行传播的过程中,有些心怀叵测的人利用特殊的工具,就可以将传播的信息截获、监听,获取关键信息,导致信息泄露。就算数据信息进行了加密处理,但是加密手段单一也会导致攻击者因容易破译密码而得到敏感信息,导致信息泄露。
3) 信息破坏与篡改
电子商务交易过程中要保证信息的真实性和完整性。数据信息在网上传输的过种中,可能被非法者恶意篡改、删除或重复使用,从而使信息失去了真实性和完整性。另外,网络本身也会受到病毒程序的破坏而使信息出错或丢失。
4) 抵赖
交易双方对本次交易进行恶意否认以获取不当利益。
5) 交易过程中所使用设备的安全性
当信息正在传输时,由于互联网采用的是TCP/IP协议,这个协议没有采用任何安全措施来保护网络中所传输的内容不被获取。它采用的是数据包交换原理,每个数据包在网络上都可以经由不同的路由算法由路由器经不同的网络传输到目的机上去,在传输的过程中数据包是透明的,因此在这个过程中数据信息可能会出错或丢失。同时,计算机网络硬件像交换机等有可能因出现故障也会导致信息出错或丢失。而我们所采用的操作系统如UNIX,由于它是开源的,所以也很容易被黑客利用漏洞而窃取用户信息。
6) 交易平台的内部安全性
所有员工的权限级别一样,对一些商业机密信息都可以浏览,做不到较高一级的保密性。
3 电子商务可采用的安全技术
根据以上对电子商务交易活动中存在的安全隐患的分析,可以采用以下方法来提高交易平台的安全性:
1) 加强设备的安全性
认真选购符合要求的网络硬件设备。对一些关键的设备的管理如服务器、路由器等要落实到个人进行严格管理。对操作系统要定期更新,不断增加安全补丁。
2) 电子商务的安全协议[2]
可以采用SSL 和SET协议来保证电子商务交易的安全性。SSL 协议又称“安全套接层协议”,它是一种安全通信协议,是指通信双方在通信前约定使用的一种协议方法。SET 协议也称为“安全电子交易”,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。SSL协议可以在交易双方建立一条秘密通道用来传输信息,再对要传送的信息采用加密技术将会更加安全。但是它不能对交易双方的身份进行认证。而采用SET 协议对软硬件的环境要求太高,使交易成本增大。但是它却可以较大程度地避免交易双方的欺诈行为。
3) 对数据进行加密
对数据进行加密是电子商务采用的最主要的安全技术方法。加密技术是对数据信息按照某种算法进行重新编码,隐藏起真实信息的内容将明文转化为无意义的密文,使非法用户即使监听或截获到数据信息也无法获取正确信息的一种技术手段。把明文转化为密文的过程我们称之为加密,反之为解密。加密和解密所要遵循的规则称之为密码算法。在这两个转换的过种中,由加密者和解密者使用的加解密可变参数叫做密钥[3]。对于合法的交易方,可以利用这个密钥对密文进行解密得到正确的数据信息。目前,根据密钥不同可以将加密技术分为:对称密钥加密体制和非对称密钥加密体制。对称密钥加密体制,加解密所使用的密钥相同或能从一个得到另一个,这样一来就不需要交换加密算法,只要知道密钥就可正常交易。对称密钥加密体制的主要优点就是加密解密速度很快, 当有大量的数据信息进行加密时可以采用,但是密钥的安全保存是个问题。非对称密钥加密体制加解密所使用的密钥不同,也不能从一个得到另一个,因而安全性提高了但速度变慢了。
4) 身份认证技术
对数据进行加密并不能完全保证电子商务交易的安全,身份认证技术是保障电子商务交易活动安全的一项关键技术,主要有数字签名、数字证书、数字时间戳等。数字签名就是通过加密技术形成发送者的数字签名,然后将其作为信息的一部分发给接收者,接收者再通过解密技术对其进行解密。如果数字签名相同,就认为是发送者发送的,从而有效地避免了信息被伪造或篡改,保证了信息的安全性。数字证书,就是用电子手段来证明一个用户身份是否合法及确定其对网络资源的访问权限。数字时间戳可以提供信息的发送时间,它和数字签名一样是为了防止信息被伪造或篡改。
5) 防火墙技术[4]
网络防火墙技术是一种用来加强网络之间访问控制和防止外部网络用户以非法手段进入内部网络、访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。其最主要目的是防止外部网络与被保护的内部网络进行非法的通信。对于电子商务平台的管理都来说可以在路由器上进行设置或直接购买功能全面的防火墙设备,对于后者来说交易平台的安全性将更有保证。
6) 入侵检测
入侵检测技术[5]就是在计算机网络系统中设置一些关键点来收集信息。将采集到的这些信息进行分析,从分析的结果判断出网络中是否有不符合安全策略的行为或是否已经遭到了攻击,如果发现有入侵,会及时做出处理,比如报警等,最大限度地保护数据信息的安全。
7) 加强交易平台的安全管理
将一些牵涉到商业机密的关键数据设定密码保护。提高这些数据的访问权限。
4 结束语
电子商务将会随着互联网的快速发展而成为未来最重要的经营手段,如何保障电子商务交易活动的安全是一个复杂的问题,企业在使用电子商务平台时要采取一系列的安全技术进行防范,只有这样才能保证电子商务交易的安全性,也只有这样才能让电子商务更好更快的发展起来。
参考文献:
[1] [DB/OL].http://baike.baidu.com/view/757.htm.
[2] 蘭宜生.电子商务基础教程[M].2版.北京:清华大学出版社,2007.
[3] 韩基龙.电子商务安全问题浅析[J].经济视角,2008.
[4] 兰宜生.电子商务基础教程[M].北京:清华大学出版社,2003.
[5] 管有庆,王晓军,董小燕.电子商务安全技术[M].北京:北京邮电大学出版社,2005.