隨著互聯網的發展,電子商務逐漸成為人們進行商務活動的新模式。越來越多的人使用互聯網進行商務活動。電子商務的發展前景十分誘人,其安全問題也變得越來越突出。如何建立安全便捷的電子商務應用環境,為信息提供充分的保護,成為商家和用戶都非常關心的話題。
電子商務的壹個重要技術特征是利用信息技術傳遞和處理商務信息。因此,電子商務安全從整體上可以分為兩部分:計算機網絡安全和商務交易安全。
*計算機網絡安全包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。其特征在於,針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,確保計算機網絡本身的安全。
*商業交易安全密切關註在互聯網上應用傳統商業所產生的各種安全問題。在計算機網絡安全的基礎上,如何保證電子商務過程的順利進行。即實現電子商務的保密性、完整性、可識別性、不可偽造性和不可否認性。
計算機網絡安全和商務交易安全實際上是密不可分的,兩者相輔相成,缺壹不可。沒有計算機網絡安全作為基礎,商業交易安全猶如空中樓閣,無從談起。沒有商務交易的安全保障,即使計算機網絡本身是安全的,也仍然無法滿足電子商務特有的安全需求。
計算機網絡安全
1.計算機網絡的潛在安全風險
不執行與操作系統相關的安全配置。
無論采用什麽操作系統,在默認安裝條件下都會存在壹些安全問題。只有針對操作系統的安全性進行相關的、嚴格的安全配置,才能達到壹定程度的安全性。不要以為用強密碼系統默認安裝操作系統就安全了。網絡軟件的漏洞和“後門”是網絡攻擊的首選目標。
沒有進行CGI程序代碼審計。
如果是壹般的CGI問題,防範起來稍微容易壹點。但是很多網站或者軟件商專門開發的CGI程序,都存在嚴重的CGI問題。對於電子商務網站來說,會出現惡意攻擊者利用他人賬號進行網購等嚴重後果。
拒絕服務(DoS)攻擊
隨著電子商務的興起,網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的攻擊效果比任何傳統的恐怖主義和戰爭手段都更強,破壞力更大,傷害更快,範圍更廣,而攻擊者本身的風險很小,甚至在攻擊開始前就消失了,使對方無法報復。今年2月對雅虎和亞馬遜的攻擊證明了這壹點。
安全產品使用不當
雖然很多網站都采用了壹些網絡安全設備,但是這些產品由於自身問題或者使用問題,並沒有發揮出應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超過了普通網管人員的技術要求。即使廠商最初對用戶進行了正確的安裝和配置,壹旦系統發生改變,當相關安全產品的設置需要改變時,也很容易產生很多安全問題。
缺乏嚴格的網絡安全管理制度
網絡安全最重要的是從思想上高度重視。壹個網站或局域網的內部安全需要有壹套完整的安全體系來保障。建立和實施嚴密的計算機網絡安全體系和策略是真正實現網絡安全的基礎。
2.計算機網絡安全系統
壹個全方位的計算機網絡安全體系結構包括網絡物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術和黑客跟蹤技術,在攻擊者和受保護資源之間建立多道嚴密的安全防線,大大增加了惡意攻擊的難度,增加了審計信息量,可用於跟蹤入侵者。
實施網絡安全預防措施時:
*首先要加強主機本身的安全性,做好安全配置,及時安裝安全補丁,減少漏洞;
*其次,要定期用各種系統漏洞檢測軟件對網絡系統進行掃描分析,發現可能存在的安全隱患,及時修復;
*建立完善的從路由器到用戶的訪問控制措施,安裝防火墻,加強授權管理和認證;
*利用RAID5等數據存儲技術,加強數據備份和恢復措施;
*為敏感設備和數據建立必要的物理或邏輯隔離措施;
*對在公共* * *網絡上傳輸的敏感信息進行加密;
*安裝防毒軟件,加強內聯網的整體防毒措施;
*建立詳細的安全審計日誌,以檢測和跟蹤入侵攻擊等。
網絡安全技術伴隨著網絡的誕生而出現,但直到20世紀80年代末才引起重視,90年代在國外得到迅速發展。近年來,頻繁發生的安全事件引起了各國計算機安全界的高度重視,計算機網絡安全技術也日新月異。安全核心系統、VPN安全隧道、身份認證、網絡底層數據加密、網絡入侵主動監控等越來越成熟的安全技術,從不同層面大大加強了計算機網絡的整體安全性。安全內核系統可以實現壹個完整的或相對完整的安全體系,並與傳統的網絡協議保持壹致。基於密碼核心系統,支持不同類型的安全硬件產品,屏蔽安全硬件改變對上層應用的影響,實現各種網絡安全協議,並在此基礎上提供各種安全的計算機網絡應用。
互聯網已經逐漸融入人類社會的方方面面,網絡保護與網絡攻擊的鬥爭將更加激烈。這對網絡安全技術提出了更高的要求。未來的網絡安全技術將涉及計算機網絡的各個層面,但圍繞電子商務安全的防護技術將成為未來幾年的重點,如身份認證、授權檢查、數據安全和通信安全等,這些技術將對電子商務安全產生決定性的影響。
商業交易安全
當許多傳統的商業方式應用於互聯網時,會帶來許多安全問題,如傳統的貸款和貸款卡支付/擔保方案和數據保護方法、電子數據交換系統、日常信息安全的管理等。雖然電子商務大規模使用才幾年,但很多公司都推出了相應的軟硬件產品。由於電子商務的形式多種多樣,涉及的安全問題也各不相同,但在互聯網電子商務交易過程中,最核心、最關鍵的問題就是交易的安全性。壹般來說,業務安全存在以下安全風險:
竊取信息
由於沒有采取加密措施,數據信息在網絡上以明文形式傳輸,入侵者可以在數據包經過的網關或路由器上截獲傳輸的信息。通過多次竊取和分析,找到信息的規律和格式,進而得到傳輸信息的內容,導致網絡上傳輸的信息泄露。
篡改信息
入侵者在掌握了信息的格式和規律後,在中途對網絡上傳輸的信息數據進行修改,然後通過各種技術手段和方法發送到目的地。這種方法並不新鮮,這種工作可以在路由器或網關上完成。
冒充
由於掌握了數據格式,篡改了傳遞的信息,攻擊者可以冒充合法用戶發送虛假信息或者主動獲取信息,遠程用戶通常很難分辨。
惡意破壞
由於攻擊者可以訪問網絡,他可能修改網絡中的信息,掌握網絡上的機密信息,甚至潛入網絡,後果非常嚴重。
因此,電子商務的安全交易主要保證以下四個方面:
信息保密
交易中的商業信息需要保密。比如信用卡的賬號和用戶名是不能被別人知道的,所以在信息傳播中壹般需要加密。
交易者身份的確定性
網上交易的雙方很可能是陌生人,相隔千裏。要讓交易成功,首先要能夠確認對方的身份。對於商家來說,要考慮到委托人不可能是騙子,顧客會擔心網店不是玩花樣的黑店。因此,方便可靠地確認對方身份是交易的前提。
不可否認
由於商業條件千變萬化,交易壹旦達成,就無法否認。否則必然會損害壹方的利益。因此,電子交易的通信過程中的所有環節都必須是不可否認的。
不可修改性
交易的單據不能修改,否則必然損害壹方的商業利益。因此,電子交易文件也應該是不可更改的,以確保商業交易的嚴肅性和公平性。
電子商務交易中的安全措施
在早期的電子交易中,采用了壹些簡單的安全措施,包括:
*部分訂單:在網上交易中,省略信用卡號、交易金額等最關鍵的數據,然後電話告知,防止泄露。
*訂單確認:即交易信息在線傳輸後,通過電子郵件確認交易。
除此之外,還有其他的方法,都有壹定的局限性,操作起來比較麻煩,無法做到真正的安全可靠。
近年來,為了滿足電子交易的安全要求,IT行業和金融行業推出了許多有效的安全交易標準和技術。
主要的協議標準有:
*安全超文本傳輸協議(S-HTTP):它依靠密鑰對的加密來確保網站之間交易信息傳輸的安全性。
*安全套接字層協議(SSL):由Netscape提出的安全交易協議,提供加密、認證服務和消息完整性。在Netscape Communicator和Microsoft IE瀏覽器中使用SSL來完成所需的安全交易操作。
*安全交易技術(Secure Transaction Technology,STT):由微軟提出,STT在瀏覽器中將認證和解密分開,提高安全控制能力。微軟在Internet Explorer中采用了這項技術。
*安全電子交易協議(SET)
1996年6月,IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC和Terisa發布了關於* * *聯合制定的標準集的公告。5月底,1997,set規範版本1.0發布,涵蓋了電子商務交易中信用卡的交易協議、信息保密、數據完整性、數據認證、數據簽名等內容。
SET 2.0預計將於今年發布,這增加了壹些額外的事務需求。該版本是向下兼容的,所以符合SET 1.0的軟件除非需要新的交易需求,否則不需要升級。SET規範的主要目標是確保支付安全,確定應用程序的互操作性,並使其為全球市場所接受。
在所有這些安全交易標準中,SET標準通過促進使用信用卡支付在線交易而引起了各界的廣泛關註。它將成為在線交易安全通信協議的工業標準,並有望進壹步推動互聯網電子商務市場。
主要的安全技術有:
虛擬專用網絡
這是壹個用於互聯網交易的特殊網絡,它可以在兩個電子數據交換(EDI)系統之間建立壹個安全通道(或隧道)。它不同於信用卡交易和客戶發送訂單交易,因為在VPN中,雙方的數據通信要大得多,而且雙方都很熟悉。這意味著可以使用復雜的特殊加密和認證技術,只要通信雙方默許,不需要對所有VPN進行統壹加密和認證。現有的或正在開發的數據隧道系統可以進壹步增加VPN的安全性,從而保證數據的機密性和可用性。
數字認證
數字認證能夠以電子方式證明信息發送者和接收者的身份、文檔的完整性(如發票未被修改),甚至數據介質(如錄音和照片)的有效性。隨著加密技術在電子商務中的應用越來越多,人們希望有壹個可信的第三方對相關數據進行數字認證。
目前數字認證壹般是通過單向哈希函數實現的,可以驗證交易雙方數據的完整性,Java JDK1.1也可以支持幾種單向哈希算法。此外,S/MIME協議也取得了很大的進步,並且可以集成到產品中,這樣用戶就可以訪問e?通過郵件發送的信息經過簽名和認證。同時,商家也可以使用PGP(Pretty Good Privacy)技術,該技術允許可信的第三方控制密鑰。可見,數字認證技術將有廣闊的應用前景,它將直接影響電子商務的發展。
加密技術
保證電子商務安全最重要的是使用加密技術對敏感信息進行加密。現在可以使用壹些私鑰加密(如3DES、IDEA、RC4和RC5)和公鑰加密(如RSA、SEEK、PGP和EU)來保證電子商務的機密性、完整性、真實性和不可否認性服務。然而,這些技術的廣泛使用並不是壹件容易的事情。
密碼學領域有壹句名言:加密技術本身很優秀,但實現起來往往並不理想。雖然現在有很多加密標準,但是人們真正需要的是壹個針對企業環境開發的標準加密系統。加密技術的多樣化給人們提供了更多的選擇,但也帶來了壹個兼容性問題。不同的企業可能采用不同的標準。此外,加密技術壹直由國家控制。例如,美國國家安全局(NSA)限制SSL的出口。目前美國的商家壹般可以使用128位的SSL,但是美國只允許40位以下加密密鑰的算法導出。40位SSL雖然也有壹定的加密強度,但安全系數明顯比128位SSL低很多。據悉,近日,美國加州有人成功破解了40位SSL,引發廣泛關註。遺憾的是,美國以外的國家很難在電子商務中充分利用SSL。上海電子商務安全證書管理中心引進128位SSL算法彌補國內空缺,采用數字簽名等技術保障電子商務安全。
認證機構(CA)
實施網上安全支付是電子商務順利發展的前提,而建立安全認證中心(CA)是電子商務的中心環節。建立CA的目的是為了加強對數字證書和密鑰的管理,增強網上交易各方的相互信任,提高網上購物和網上交易的安全性,控制交易的風險,從而促進電子商務的發展。
為了促進電子商務的發展,首先需要確定網上交易各方的身份(如持卡人、商戶、收單銀行的支付網關等。),相應的數字證書(DC)代表其身份,數字證書由權威公正的認證機構管理。各級認證機構按照持卡人、商戶或收單機構的根認證中心(Root CA)、品牌認證中心(Brand CA)和支付網關認證中心(持卡人卡CA、商戶CA或支付網關CA)自上而下分層級建立。
電子商務安全認證中心(CA)的基本功能是:
*生成並保存符合安全認證協議要求的公鑰和私鑰、數字證書及其數字簽名。
*驗證數字證書和數字簽名。
*管理數字證書,重點是證書的撤銷管理,同時追求自動化管理(非人工管理)。
*建立應用程序接口,尤其是支付接口。CA是否有支付接口是支撐電子商務的關鍵。
第壹代CA由SETCO公司(由Visa & MasterCard創立)建立,基於SET協議,服務於B?c電子商務模式的層次結構。
因為b?B電商模式的發展要求CA的支付接口能夠兼容並支持B?B and B?支持網上購物、網上銀行、網上交易和供應鏈管理的C模式要求安全認證協議透明、簡單、成熟(即標準化)。於是,基於公鑰基礎設施(PKI)的混合平面和層次結構的第二代CA系統應運而生。
近年來,PKI技術無論是在理論上還是在應用上,以及在各種配套產品的開發上,都已經趨於成熟。互聯網任務組(IETF)、國際標準化組織(ISO)、國際電信聯盟(ITU)等國際權威組織已經批準、發布並實施了壹系列基於PKI技術的相應安全標準。
基於PKI技術的第二代安全認證系統和支付應用接口使用的主要標準有:
互聯網任務組發布的標準:LDAP(輕量級目錄訪問協議)、S/MIME(安全電子郵件協議)、TLC(傳輸層安全套接字層傳輸協議)、CAT(通用認證技術)和GSS-API(通用安全服務接口)。
國際標準化組織(ISO)或國際電信聯盟(ITU)批準發布的標準是9594-8/X.509(數字證書格式標準)。
總結
在計算機互聯網上實現的電子商務交易必須具有保密性、完整性、認證性、不可偽造性和不可否認性等特征。壹個完善的電子商務系統在保證其計算機網絡硬件平臺和系統軟件平臺安全的基礎上,應具備以下特征:
*強大的加密保證
*用戶和數據的識別和認證
*存儲和加密數據的保密性
*可靠的在線交易和支付
*便捷的密鑰管理
*數據完整性,防止否認
電子商務對計算機網絡安全和商務安全的雙重要求,使得電子商務安全的復雜性高於大多數計算機網絡,因此電子商務安全應該作為壹個安全工程來實施,而不是壹個解決方案。
電子商務中的安全技術
為了滿足電子商務的安全需求,電子商務系統必須利用安全技術為電子商務活動的參與者提供可靠的安全服務。可以采用的具體技術如下:
1.數字簽名技術。“數字簽名”是通過密碼技術實現電子交易安全的形象說法,是電子簽名的主要實現形式。它試圖解決互聯網交易面臨的幾個基本問題:數據保密性、數據不被篡改、交易者之間相互認證、交易發起者無法否認自己的數據。“數字簽名”是電子商務和電子政務中應用最普遍、技術最成熟、可操作性最強的壹種電子簽名方式。
它采用標準化的程序和科學的方法,用於識別簽名人和批準電子數據內容。還可以驗證文件的原文在傳輸過程中是否有改動,保證傳輸的電子文件的完整性、真實性和不可否認性。
2.防火墻技術。防火墻是最近發展起來的保護計算機網絡安全的技術措施。它是阻止網絡中的黑客訪問組織網絡的屏障,也可以稱為控制雙向通信的門檻。在網絡邊界上,建立相應的網絡通信監控系統,隔離內外網,防止外網入侵。目前,防火墻主要有三種類型:包過濾防火墻、代理防火墻和雙孔主機防火墻。
3.入侵檢測系統。入侵檢測系統可以監視和跟蹤系統、事件、安全記錄和系統日誌以及網絡中的數據包,識別任何不必要的活動,在入侵者對系統造成危害之前檢測入侵攻擊,並通過使用報警和保護系統做出響應。
4.信息加密技術。信息加密的目的是保護網絡中的數據、文件、密碼和控制信息,保護網絡上傳輸的數據。網絡加密有三種常見的方法:鏈路加密、端點加密和節點加密。鏈路加密的目的是保護網絡節點間鏈路信息的安全;端到端加密的目的是保護從源用戶到目的用戶的數據;節點加密的目的是保護源節點和目的節點之間的傳輸鏈路。用戶可以根據網絡情況選擇上述加密方式。
5.安全認證技術。安全認證的主要功能是信息認證。信息認證的目的是確認信息發送者的身份,驗證信息的完整性,即確認信息在傳輸或存儲過程中未被篡改。
6.反病毒系統。病毒在網絡中存儲、傳播、感染的方式多種多樣,速度快,方式各異,對網站危害很大。因此,應使用全方位的反病毒產品,實施“層層設防、集中控制、預防為主、防殺結合”的反病毒策略,構建全面的反病毒體系。
參考這個資料,來自百度百科。
網絡安全技術不是壹兩句話能說清楚的。