电子商务信息安全技术
- 格式:docx
- 大小:10.61 KB
- 文档页数:6
电子商务信息安全技术
一、电子商务信息安全问题
由于Internet 本身的开放性,使电子商务系统面临着各种各样的安全威胁。
目前,电子商务主要存在的安全隐患有以下几个方面。
(一)身份冒充问题攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。
主要表现有:冒充他人身份;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户等。
(二)网络信息安全问题主要表现在攻击者在网络的传输信道上,通过物理或逻辑的手段,进行信息截获、篡改、删除、插入。
截获,攻击者可能通过分析网络物理线路传输时的各种特征,截获机密信息或有用信息,如消费者的账号、密码等。
篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个信息或信息的某些部分;插入,即在信息中插入一些信息,让收方读不懂或接受错误的信息。
(三)拒绝服务问题
攻击者使合法接入的信息、业务或其他资源受阻。
主要表现为散布虚假资讯,扰乱正常的资讯通道。
包括:虚开网站和商店,给用户发电子邮件,收订货单;伪造大量用户,发电子邮件,穷
尽商家资源,使合法用户不能正常访问网络资源,使有严格时间
要求的服务不能及时得到响应。
(四)交易双方抵赖问题
某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
女口:发布者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订
货单不承认;商家卖出的商品质量差但不承认原有的交易。
在网
络世界里谁为交易双方的纠纷进行公证、仲裁。
(五)计算机系统安全问题
计算机系统是进行电子商务的基本设备,如果不注意安全问题,它一样会威胁到电子商务的信息安全。
计算机设备本身存在
物理损坏,数据丢失,信息泄露等问题。
计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。
同时,计算机系统存
在工作人员管理的问题,如果职责不清,权限不明同样会影响计算机系统的安全。
二、电子商务安全机制
(一)加密和隐藏机制
加密使信息改变,攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中,使攻击者无法
发现,不仅实现了信息的保密,也保护了通信本身。
(二)认证机制
网络安全的基本机制,网络设备之间应互相认证对方身份,
以保证正确的操作权力赋予和数据的存取控制。
网络也必须认证
用户的身份,以保证正确的用户进行正确的操作并进行正确的审计。
(三)审计机制
审计是防止内部犯罪和事故后调查取证的基础,通过对一些
重要的事件进行记录,从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。
审计信息应具有防止非法删除和修改的措施。
(四)完整性保护机制
用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法篡改。
完整性的另一用途是提供不可抵赖服务,当信息
源的完整性可以被验证却无法模仿时,收到信息的一方可以认定信息的发送者,数字签名就可以提供这种手段。
(五)权力控制和存取控制机制
主机系统必备的安全手段,系统根据正确的认证,赋予某用户适当的操作权力,使其不能进行越权的操作。
该机制一般采用角色管理办法,针对系统需要定义各种角色,如经理、会计等,然后对他们赋予不同的执行权利。
(六)业务填充机制
在业务闲时发送无用的随机数据,增加攻击者通过通信流量获得信息的困难。
同时,也增加了密码通信的破译难度。
发送的随机数据应具有良好模拟性能,能够以假乱真。
三、电子商务安全关键技术安全问题是电子商务的核心,为了满足安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全技术保证整个电子商务过程的安全与完整,并实
现交易的防抵赖性等,综合起来主要有以下几种技术。
(一)防火墙技术现有的防火墙技术包括两大类:数据包过滤和代理服务技术。
其中最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。
由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保证了专用私有网的安全。
将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。
防火墙技术的局限性主要在于:防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击:防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。
(二)虚拟专网技术(VPN)
VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。
VPN具投资小、易管理、适应性强等优点。
VPN可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全连接,并保证数据的安全传输,以此达到在公共的Internet 上或企业局域网之间实现完全的电子交易的目的。
(三)数据加密技术
(五)电子商务安全协议不同交易协议的复杂性、开销、安全性各不相同,同时不同的应用环境对协议目标的要求也不尽相同。
目前比较成熟的协议有:1bill 协议,是由J.D.Tygar 等设计和开发的关于数字商品的电子商务协议,该协议假定了一个可信赖的第三方,
将商品的传送和支付链接到一个原子事务中。
2. 匿名原子交易协
议,由J.D.Tygar 首次提出,具有匿名性和原子性,对著名的数字现金协议进行了补充和修改,改进了传统的分布式系统中常用的两阶段提交,引入了除客户、商家和银行之外的独立第四方一交易日志( Transactionlog )以取代两阶段提交协议中的协调者
(Coordinator )。
3.安全电子交易协议SET由VISA公司和MasterCard公司联合开发设计。
SET用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,它可以对交易各方进行认证,防止商家欺诈。
SET协
议开销较大,客户、商家、银行都要安装相应软件。
4. 安全套接字层协议SSL,是目前使用最广泛的电子商务协议,它由Netscape 公司于1996 年设计开发。
它位于运输层和应用层之间,能很好地封装应用层数据,不用改变位于应用层的应用程序,对用户透明。
然而,
SSL并不专为支持电子商务而设计,只支持双
方认证,只能保证传送信息传送过程中不因被截而泄密,不能防止商家利用获取的信用卡号进行欺诈。
5.JEPI
( JointElectronicPaymentInitiative ),是为了解决众多协议间的不兼容性而提出来的,是现有HTTP协议的扩展,在普遍HTTP 协议之上增加了PEP(ProtocolExtensionProtocol )和UPP (UniversalPaymentPreamble )两层结构,其目的不是提出一种新的电子支付手段,而是在允许多种支付系统并存的情况下,帮助商家和顾客双方选取一个合适的支付系统。
四、结束语
信息安全是电子商务发展的基础,随着电子商务的发展,通过各种网络的交易手段也会更加多样化,安全问题变得更加突出。
为了解决好这个问题,必须有安全技术作保障。
目前,防火墙技术、网络扫描技术,数据加密技术和计算系统安全技术发挥着重要的作用,此外,需要完善法律制度、管理制度和诚信制度,保证电子商务信息安全,加快电子商务的发展。