電子商務(wù)安全風(fēng)險(xiǎn)及對(duì)策淺析.doc

精品文檔電子商務(wù)安全風(fēng)險(xiǎn)及對(duì)策淺析學(xué)生：余靜嫻指導(dǎo)教師：陽國華摘 要：隨著近年來，網(wǎng)絡(luò)通信和信息技術(shù)快速發(fā)展和日益融合,網(wǎng)絡(luò)在全球迅速普及，促進(jìn)電子商務(wù)的蓬勃發(fā)展。本文認(rèn)為電子商務(wù)發(fā)展中存在支付交易、信息及數(shù)據(jù)泄露、篡改、偽造和詐騙等安全問題，闡述了電子商務(wù)安全體系及安全技術(shù)和對(duì)策淺析。關(guān)鍵詞：電子商務(wù)；安全技術(shù)；運(yùn)用；安全體系；防火墻前言所謂電子商務(wù)是指商務(wù)活動(dòng)的電子化實(shí)現(xiàn)，即通過電子化手段來實(shí)現(xiàn)傳統(tǒng)的商務(wù)活動(dòng)。其優(yōu)點(diǎn)：電子商務(wù)可以降低商家的運(yùn)營成本，提高其利潤率；可以擴(kuò)大商品銷路，建立企業(yè)和企業(yè)之間的聯(lián)系渠道，為客戶提供不間斷的產(chǎn)品信息查詢和訂單處理等服務(wù)。但是作為電子商務(wù)重要組成部分的支付問題就顯得越來越突出，安全的電子支付是實(shí)現(xiàn)電子商務(wù)的關(guān)鍵環(huán)節(jié)，而不安全的電子支付不能真正實(shí)現(xiàn)電子商務(wù)。一、 電子商務(wù)網(wǎng)絡(luò)及本身存在的安全隱患問題目前，我國的電子商務(wù)存在普遍的竊取信息現(xiàn)象，不利于電子商務(wù)數(shù)據(jù)信息的安全管理。我們從兩個(gè)典型案例說起：案例一：淘寶“錯(cuò)價(jià)門”?；ヂ?lián)網(wǎng)上從來不乏標(biāo)價(jià)1元的商品。近日，淘寶網(wǎng)上大量商品標(biāo)價(jià)1元，引發(fā)網(wǎng)民爭先恐后哄搶，但是之后許多訂單被淘寶網(wǎng)取消。隨后，淘寶網(wǎng)發(fā)布公告稱，此次事件為第三方軟件“團(tuán)購寶”交易異常所致。部分網(wǎng)民和商戶詢問“團(tuán)購寶”客服得到自動(dòng)回復(fù)稱：“服務(wù)器可能被攻擊，已聯(lián)系技術(shù)緊急處理。 案例一簡析：目前，我國電子商務(wù)領(lǐng)域安全問題日益凸顯，比如，支付寶或者網(wǎng)銀被盜現(xiàn)象頻頻發(fā)生，給用戶造成越來越多的損失，這些現(xiàn)象對(duì)網(wǎng)絡(luò)交易和電子商務(wù)提出了警示。然而，監(jiān)管不力導(dǎo)致消費(fèi)者權(quán)益難以保護(hù)。公安機(jī)關(guān)和電信管理機(jī)關(guān)、電子商務(wù)管理機(jī)關(guān)應(yīng)當(dāng)高度重視電子商務(wù)暴露的安全問題，嚴(yán)格執(zhí)法、積極介入，徹查一些嚴(yán)重影響互聯(lián)網(wǎng)電子商務(wù)安全的惡性事件，切實(shí)保護(hù)消費(fèi)者權(quán)益，維護(hù)我國電子商務(wù)健康有序的發(fā)展。案例二：黑客攻擊電子商務(wù)網(wǎng)站。國外幾年前就曾經(jīng)發(fā)生過電子商務(wù)網(wǎng)站被黑客入侵的案例，國內(nèi)的電子商務(wù)網(wǎng)站近兩年也發(fā)生過類似事件。浙江義烏一些大型批發(fā)網(wǎng)站曾經(jīng)遭到黑客近一個(gè)月的輪番攻擊，網(wǎng)站圖片幾乎都不能顯示，每天流失訂單金額達(dá)上百萬元。阿里巴巴網(wǎng)站也曾確認(rèn)受到不明身份的網(wǎng)絡(luò)黑客攻擊，這些黑客采取多種手段攻擊了阿里巴巴在我國大陸和美國的服務(wù)器，企圖破壞阿里巴巴全球速賣通臺(tái)的正常運(yùn)營。隨著國內(nèi)移動(dòng)互聯(lián)網(wǎng)的發(fā)展，移動(dòng)電子商務(wù)也將迅速發(fā)展并給人們帶來更大便利，但是由此也將帶來更多的安全隱患。黑客針對(duì)無線網(wǎng)絡(luò)的竊聽能獲取用戶的通信內(nèi)容、侵犯用戶的隱私權(quán)。案例二簡析：黑客攻擊可以是多層次、多方面、多種形式的。攻擊電子商務(wù)平臺(tái)，黑客可以輕松賺取巨大的、實(shí)實(shí)在在的經(jīng)濟(jì)利益。比如：竊取某個(gè)電子商務(wù)企業(yè)的用戶資料，販賣用戶的個(gè)人信息；破解用戶個(gè)人賬號(hào)密碼，可以冒充他人購物，并把商品貨物發(fā)給自己。黑客有可能受經(jīng)濟(jì)利益驅(qū)使，也有可能是同業(yè)者暗箱操作打擊競爭對(duì)手。攻擊電子商務(wù)企業(yè)后臺(tái)系統(tǒng)的往往是專業(yè)的黑客團(tuán)隊(duì)，要想防范其入侵，難度頗大。尤其是對(duì)于一些中小型電子商務(wù)網(wǎng)站而言，比如數(shù)量龐大的團(tuán)購網(wǎng)站，對(duì)抗黑客入侵更是有些力不從心。如果大量電子商務(wù)企業(yè)后臺(tái)系統(tǒng)的安全得不到保障，我國整個(gè)電子商務(wù)的發(fā)展也將面臨極大威脅。從上述兩個(gè)案例可以看出，網(wǎng)絡(luò)安全入侵者可以利用電子商務(wù)路由器或者網(wǎng)關(guān)截獲數(shù)據(jù)信息，并且他們經(jīng)過多次反復(fù)的竊取信息，便可以有效的找出電子商務(wù)貿(mào)易的一般規(guī)律或者貿(mào)易格式，從而造成電子商務(wù)網(wǎng)上交易的不安全，甚至造成網(wǎng)絡(luò)相關(guān)數(shù)據(jù)信息的丟失和泄露，引發(fā)一系列的不可估量的嚴(yán)重后果。當(dāng)網(wǎng)絡(luò)入侵者截獲他們需要的有用信息，掌握了電子商務(wù)規(guī)律，他們通過破譯方法或手段，將電子商務(wù)信息進(jìn)行隨意的篡改，將改過的信息交給交易方，這樣會(huì)影響電子商務(wù)交易秩序的混亂，導(dǎo)致部分企業(yè)破產(chǎn)崩潰。偽造身份冒充合法的交易者參與交易，對(duì)電子商務(wù)協(xié)議進(jìn)行攻擊。惡意破壞刪節(jié)通信信息中的數(shù)據(jù)，取消用戶訂單，生成虛假信息。協(xié)議參與方對(duì)交易進(jìn)行抵賴，否認(rèn)交易結(jié)果以及交易方在多次交易的表現(xiàn)不誠實(shí)，服務(wù)低劣等各種問問題?？傊?，電子商務(wù)網(wǎng)路有待提高。二電子商務(wù)安全體系組成（一） 物理安全電子商務(wù)物理安全主要是指為了保護(hù)電子商務(wù)系統(tǒng)安全可靠的運(yùn)行，確保在交易，處理，傳輸過程中不受人為或自然災(zāi)害危害，而對(duì)計(jì)算機(jī)，網(wǎng)絡(luò)設(shè)備，設(shè)施，環(huán)鏡采取的安全的措施。主要包括：物理位置的選擇，防盜竊防破壞，防雷擊，靜電等。目的主要使存放計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的機(jī)房，電子商務(wù)系統(tǒng)的的設(shè)備和存儲(chǔ)設(shè)備的介質(zhì)等免受物理環(huán)境自然災(zāi)害及人為操作等各種威脅所產(chǎn)生的攻擊。物理安全是防護(hù)電子商務(wù)系統(tǒng)安全的最底層，缺乏物理安全，其他任何措施都是無意義的。（二）網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全為電子商務(wù)在網(wǎng)絡(luò)環(huán)境下的安全運(yùn)行提供支持。一方面，確保網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)；另一方面，確保在網(wǎng)上傳輸數(shù)據(jù)的保密性，完整性和可用性等。包括：網(wǎng)絡(luò)結(jié)構(gòu)，訪問控制，入侵防范，惡意代碼防范等。重要信息系統(tǒng)的網(wǎng)絡(luò)安全要求對(duì)網(wǎng)絡(luò)邊界的訪問控制做出更為嚴(yán)格的要求，禁止遠(yuǎn)程撥號(hào)訪問，不允許數(shù)據(jù)帶通用協(xié)議通用。網(wǎng)絡(luò)安全審計(jì)應(yīng)著眼于系統(tǒng)全局，做出集中審計(jì)分析，以便得到更多的綜合信息。主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別信息至少應(yīng)有一種是不可偽造的，以加強(qiáng)對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)。（三）主機(jī)安全主機(jī)系統(tǒng)安全是包括服務(wù)器，終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。保障主機(jī)系統(tǒng)安全的措施包括：身份鑒別，安全標(biāo)記，訪問控制，惡意代碼防范，剩余信息和資源控制等。終端/工作站是帶外設(shè)的臺(tái)式機(jī)與筆記本計(jì)算機(jī)，服務(wù)器則包括應(yīng)用程序網(wǎng)絡(luò)WEB文件與通信等服務(wù)器。主機(jī)系統(tǒng)是構(gòu)成電子商務(wù)系統(tǒng)的主要部分，其上承載著各種應(yīng)用。因此，主機(jī)系統(tǒng)安全是保護(hù)電子商務(wù)系統(tǒng)安全的中堅(jiān)力量。（四）應(yīng)用安全通過網(wǎng)絡(luò)，主機(jī)系統(tǒng)的安全防范，應(yīng)用安全成為電子商務(wù)系統(tǒng)整體防御的最后一道防線。在應(yīng)用層面運(yùn)行著電子商務(wù)系統(tǒng)基于網(wǎng)絡(luò)的運(yùn)用以及特定業(yè)務(wù)的應(yīng)用。基于網(wǎng)絡(luò)的運(yùn)用是形成其他應(yīng)用的基礎(chǔ)，包括信息發(fā)送Web瀏覽器等可以說是基本的應(yīng)用。應(yīng)用安全系統(tǒng)主要涉及的技術(shù)包括身份鑒別安全標(biāo)記訪問控制資源控制保密性抗抵性軟件容錯(cuò)等。（五）數(shù)據(jù)安全及備份恢復(fù)電子商務(wù)系統(tǒng)處理的各種數(shù)據(jù)在維持系統(tǒng)正常運(yùn)行著起著至關(guān)重要的作用。一旦數(shù)據(jù)遭到破壞，都會(huì)在一定程度上造成影響，從而危害到系統(tǒng)的正常運(yùn)行三、電子商務(wù)安全技術(shù)為了保障電子商務(wù)系統(tǒng)的的基本安全，下面一系列安全技術(shù)用于保障電子商務(wù)活動(dòng)的安全，可信。（一）數(shù)據(jù)加密技術(shù)加密技術(shù)是解決網(wǎng)絡(luò)信息安全問題的技術(shù)核心，通過數(shù)據(jù)加密技術(shù)，可以很大程度上提高數(shù)據(jù)傳輸?shù)陌踩?，保證傳輸數(shù)據(jù)的完整性。數(shù)據(jù)加密技術(shù)主要分為對(duì)稱密碼加密和公鑰密碼加密。數(shù)據(jù)加密按不同應(yīng)用分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲(chǔ)加密。常用的數(shù)據(jù)加密算法有很多種。古典密碼算法有替代加密，置換加密，常用的對(duì)稱加密算法包括DES和AES，常用的非對(duì)稱加密算法包括RSA，ECC等。目前在數(shù)據(jù)通信中使用最普遍的算法有AES算法，RSA算法和ECC等。公鑰密碼加密技術(shù)可用于對(duì)消息進(jìn)行數(shù)字簽名。（二） 數(shù)據(jù)完整性技術(shù)數(shù)據(jù)的完整性就是防止非法篡改信息，如修改，復(fù)制，插入，刪除等。在交易過程中，要確保通信雙方接收到的數(shù)據(jù)和從數(shù)據(jù)源發(fā)出的數(shù)據(jù)完全一致，數(shù)據(jù)在傳輸和存儲(chǔ)的過程中不能被篡改。保障數(shù)據(jù)完整性最常用的技術(shù)是通過散列函數(shù)和數(shù)字簽名技術(shù)實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)。任何原始數(shù)據(jù)的改變都會(huì)在相同的計(jì)算條件下產(chǎn)生不同的MAC。這樣，在傳輸和存儲(chǔ)數(shù)據(jù)時(shí)，附帶上該消息的MAC通過驗(yàn)證該消息的MAC是否改變，來高效的，準(zhǔn)確地判斷原始數(shù)據(jù)是否改變，從而保證數(shù)據(jù)的完整性。目前國際采用的算法有SHA-1,MD-5.（3） 認(rèn)證技術(shù)常見的認(rèn)證包括2類：對(duì)實(shí)體身份的認(rèn)證和對(duì)數(shù)據(jù)來源的真實(shí)性的認(rèn)證。進(jìn)行驗(yàn)證的方法主要有2類：基于口令的身份驗(yàn)證，基于公鑰密碼學(xué)技術(shù)的身份驗(yàn)證，而對(duì)數(shù)據(jù)來源的真實(shí)性的認(rèn)證主要采用基于公鑰密碼學(xué)技術(shù)的身份認(rèn)證。信息系統(tǒng)中應(yīng)確保口令信息在通信通道傳輸中和在存儲(chǔ)期間的安全，避免被入侵者從磁盤數(shù)據(jù)文件中竊取或從通信通道截獲。最常用的辦法就是加“鹽”的單向散列函數(shù)對(duì)口令進(jìn)行處理。基于公鑰密碼學(xué)技術(shù)的數(shù)字證書認(rèn)證體系又稱為PKI,PKI系統(tǒng)中有一個(gè)或多個(gè)權(quán)威的CA機(jī)構(gòu)進(jìn)行數(shù)字證書簽發(fā)和管理。由于數(shù)據(jù)證書帶有CA機(jī)構(gòu)的簽名，其真實(shí)性易于驗(yàn)證。此外，簽名也可作為發(fā)送者發(fā)送信息和接收者接受信息的不可否認(rèn)證據(jù)，防止實(shí)體對(duì)信息的抵賴。CA認(rèn)證機(jī)構(gòu)既能實(shí)現(xiàn)單向驗(yàn)證，既能用于實(shí)體身份的信任，又能用于通信數(shù)據(jù)的信任。（四）防抵賴技術(shù)不可否認(rèn)性是電子商務(wù)，電子政務(wù)等系統(tǒng)中必須要解決的問題之一，不可抵賴服務(wù)就是防止通信中的任何一方試圖對(duì)已發(fā)生的特定事件或行為的欺詐性抵賴，為此，不可抵賴服務(wù)提供不可抵賴證據(jù)的產(chǎn)生，收集和維護(hù)機(jī)制，用于對(duì)日后可能產(chǎn)生的法律糾紛進(jìn)行仲裁?；镜牟豢傻仲嚪?wù)包括：1發(fā)送方不可否認(rèn)（Non-Repudiation of Origin,NRO）：為消息接收提供發(fā)送信息的證據(jù)，防止發(fā)送信息方試圖否認(rèn)曾經(jīng)發(fā)送過消息。證據(jù)的提供者就是信息發(fā)送者。2接收方不可否認(rèn)（Non-Repudiation of Receipt,NRR）：為發(fā)送信息方提供消息已接受的證據(jù)，防止接收方試圖否認(rèn)曾經(jīng)受到的信息。證據(jù)的提供者是信息接受方。（五）訪問控制技術(shù)訪問控制是指用戶身份及其歸屬的的某組來限制用戶對(duì)信息項(xiàng)的訪問，或限制對(duì)某些控制功能的使用。訪問控制通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器的，目錄，文件等網(wǎng)絡(luò)資源的訪問。訪問控制的功能主要有：防止非法的主體進(jìn)入受保護(hù)的系統(tǒng)的資源；允許合法用戶訪問受保護(hù)的系統(tǒng)資源；防止合法的用戶對(duì)受保護(hù)的系統(tǒng)資源進(jìn)行非授權(quán)的訪問。目前主要應(yīng)用的的訪問控制類型有自主訪問控制和強(qiáng)制訪問控制兩大類。自主訪問控制是指用戶有權(quán)對(duì)自身所創(chuàng)建的訪問對(duì)象（文件，數(shù)據(jù)表等）進(jìn)行訪問，并可將對(duì)這些對(duì)象的訪問權(quán)限。強(qiáng)制訪問控制是指由系統(tǒng)（通過專門設(shè)置的系統(tǒng)安全員）對(duì)用戶所創(chuàng)建的對(duì)象進(jìn)行系統(tǒng)的強(qiáng)制性控制，按照規(guī)定的規(guī)則決定哪些用戶可以對(duì)哪些對(duì)象進(jìn)行什么操作系統(tǒng)類型的訪問，即使是創(chuàng)建者用戶，在創(chuàng)建一個(gè)對(duì)象后，也可能無權(quán)訪問該對(duì)象。（六）其他信息安全技術(shù)除了以上幾類最基本的信息安全技術(shù)以外，常用的安全技術(shù)還包括：安全審計(jì)與取證技術(shù)；安全掃描技術(shù)；反病毒反木馬技術(shù)；入侵檢測技術(shù)；防火墻技術(shù)；容錯(cuò)和數(shù)據(jù)備份技術(shù)容災(zāi)技術(shù)；信息隱藏技術(shù)；量子密碼技術(shù)；DNA安全技術(shù)；電磁泄露防范技術(shù)。四、對(duì)策淺析第一防火墻技術(shù)，防火墻技術(shù)包括網(wǎng)絡(luò)級(jí)防火墻、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)和規(guī)則檢查防火墻，防火墻使用得當(dāng)可以很大程度的提高網(wǎng)絡(luò)安全性，企業(yè)從而不但可以大大降低由于網(wǎng)絡(luò)攻擊而造成的損失，而且還可以提高自己的信譽(yù)。但防火墻技術(shù)作為一種被動(dòng)的防衛(wèi)技術(shù)，在其保護(hù)網(wǎng)絡(luò)安全方面有其局限性防火墻不能防范不經(jīng)由防火墻的攻擊，不能防范人為因素的攻擊，不能防止由于口令泄露或用戶錯(cuò)誤操作而造成的威脅，同時(shí)防火墻也不能防止帶有病毒的軟件或文件的傳輸。第二加密技術(shù)，加密技術(shù)作為一種主動(dòng)的防衛(wèi)手段，目的是防止信息的非授權(quán)泄密，貿(mào)易各方可以根據(jù)需要在信息交換的各階段使用。加密技術(shù)在網(wǎng)絡(luò)應(yīng)用中一般采用兩種加密形式：對(duì)稱密鑰和公開密鑰，貿(mào)易各方可以結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)選擇使用。 第三認(rèn)證和識(shí)別，要確保電子商務(wù)的交易安全，僅僅有加密技術(shù)是不夠的，全面的保護(hù)還要認(rèn)證和識(shí)別的，確保參與加密對(duì)話的人確實(shí)是其本人。認(rèn)證系統(tǒng)使發(fā)送的消息具有被驗(yàn)證的能力，使接收者或第三者能夠識(shí)別和確認(rèn)消息的真?zhèn)?。第四網(wǎng)絡(luò)病毒防治，由于網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)