電子商務(wù)安全建議
前言:本站為你精心整理了電子商務(wù)安全建議范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢。
隨著信息技術(shù)的發(fā)展,架構(gòu)于互聯(lián)網(wǎng)網(wǎng)絡(luò)的商務(wù)活動(dòng)即電子商務(wù)得以普及,使經(jīng)濟(jì)全球化呈加速發(fā)展之勢(shì),而經(jīng)濟(jì)全球化又刺激著電子商務(wù)加速發(fā)展。其涉及的領(lǐng)域從銀行、外貿(mào)、證券市場(chǎng)到貼近我們每個(gè)人的日常購物,一場(chǎng)生活和技術(shù)的重大變革正在發(fā)生。
電子商務(wù)面臨的安全風(fēng)險(xiǎn)
電子商務(wù)的優(yōu)勢(shì)是明顯的,但電子商務(wù)安全性問題卻日益突出。
任何在Internet上開展業(yè)務(wù)的機(jī)構(gòu)都必須采取積極的步驟,確保系統(tǒng)有足夠的安全措施防止機(jī)密信息泄露和非法侵入所造成的損失。但I(xiàn)nternet本身就是基于開放思想設(shè)計(jì)并逐步發(fā)展起來的。要想在Internet上實(shí)現(xiàn)絕對(duì)安全是困難的。Internet上實(shí)現(xiàn)電子商務(wù)面臨的風(fēng)險(xiǎn)主要來自機(jī)密關(guān)鍵數(shù)據(jù)安全及電子交易安全兩方面,具體到技術(shù)細(xì)節(jié)包含以下四個(gè)方面。
(1)數(shù)據(jù)的私有性和安全性。如果不采用特別的保護(hù)措施,包括電子郵件等在Internet中開放傳輸?shù)臄?shù)據(jù)都可能被第三者監(jiān)視和閱讀。考慮到巨大的傳輸量和難以計(jì)數(shù)的傳輸途徑,想任意竊聽一組數(shù)據(jù)傳輸是不可能,但是一些設(shè)置在Web服務(wù)器的黑客程序卻可以查找和收集特定類型的數(shù)據(jù)。這些數(shù)據(jù)包括信用卡、存款的帳號(hào)和相應(yīng)的口令。同時(shí)因?yàn)镮nternet的開放性設(shè)計(jì),數(shù)據(jù)私有性和安全性還包括數(shù)據(jù)傳輸之外的問題,例如連入Internet的數(shù)據(jù)存儲(chǔ)網(wǎng)絡(luò)驅(qū)動(dòng)器的安全性,所以任何存儲(chǔ)在Web服務(wù)器上的數(shù)據(jù)必須采取保護(hù)措施。
(2)數(shù)據(jù)的完整性。由于Internet的開放體系,如果具備了特定的知識(shí)和工具完全可以更改傳輸中的數(shù)據(jù)。同時(shí)要采取適當(dāng)?shù)拇嫒≡L問控制,以保證數(shù)據(jù)存取系統(tǒng)的安全。在電子商務(wù)中務(wù)必保存數(shù)據(jù)最初的格式和內(nèi)容。
(3)認(rèn)證電子商務(wù)的具體實(shí)現(xiàn)中,首先要確認(rèn)當(dāng)前的通訊、交易和存取要求是合法的。例如Internet中的計(jì)算機(jī)系統(tǒng)的身份是由其IP地址確認(rèn)的。黑客通過IP欺騙,使用虛假的IP地址,從而達(dá)到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發(fā)匿名郵件,或者使用不真實(shí)的郵件用戶名。因此,在電子商務(wù)中必須建立嚴(yán)格的身份認(rèn)證機(jī)制以確保參加交易各方的身份真實(shí)有效。
(4)不可否認(rèn)性。不可否認(rèn)主要包含數(shù)據(jù)的原始記錄和發(fā)送記
錄,確認(rèn)數(shù)據(jù)已經(jīng)完成發(fā)送和接收,防止接收用戶更改原始記錄,防止用戶在已經(jīng)收到數(shù)據(jù)以后否認(rèn)收到數(shù)據(jù),并拖延自己的下一步工作。為了保證交易過程的可操作性,必須采取可靠的方法確保交易過程的真實(shí)性,保證參加電子交易的各方承認(rèn)交易過程的合法性。
在我們把銀行的內(nèi)部網(wǎng)絡(luò)接入Internet以后,相應(yīng)地增加了許多可以訪問銀行內(nèi)部網(wǎng)絡(luò)的節(jié)點(diǎn)。從理論上講從世界各個(gè)地方都可以實(shí)現(xiàn)對(duì)銀行內(nèi)部網(wǎng)絡(luò)的訪問,這對(duì)銀行計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)和系統(tǒng)的安全性提出了更高的要求。這就需要我們采取嚴(yán)密的訪問控制,禁止非法訪問。電子商務(wù)中威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素有:破壞、更改或者盜竊數(shù)據(jù);公開機(jī)密信息;計(jì)算機(jī)系統(tǒng)崩潰;公共形象(如主頁)被污損等。造成這些損失的因素有:黑客,公司內(nèi)部職員,電子商務(wù)軟件中的Bug,商業(yè)間諜等。
電子商務(wù)面臨的上述問題主要是由對(duì)系統(tǒng)的非法入侵造成的。首先是網(wǎng)絡(luò)黑客,他們通過發(fā)現(xiàn)Web服務(wù)器、操作系統(tǒng)或者主頁部件在配置方面的漏洞,攻擊網(wǎng)絡(luò)系統(tǒng)。其次是內(nèi)部侵入,這主要是由企業(yè)IT部門的員工造成的,保護(hù)網(wǎng)絡(luò)的物理安全(如主控機(jī)房)及嚴(yán)格的口令管理制度是防范該類問題的關(guān)鍵。還有惡意代碼(如計(jì)算機(jī)病毒),它們?cè)谄髽I(yè)的傳播會(huì)給電子商務(wù)系統(tǒng)造成嚴(yán)重的損失。另外值得關(guān)注的是計(jì)算機(jī)系統(tǒng)本身的問題,例如由于電源造成的系統(tǒng)宕機(jī),以及廣域網(wǎng)絡(luò)的通訊,這些都會(huì)直接造成服務(wù)的突然中止,影響電子商務(wù)的形象。我們還應(yīng)關(guān)注系統(tǒng)管理方面的問題,有時(shí)電子商務(wù)出現(xiàn)的問題既非黑客也非系統(tǒng)本身的毛病,而是源于對(duì)敏感數(shù)據(jù)處理不善或者是安全系統(tǒng)(如防火墻)的不正確配置。用戶的身份認(rèn)證是計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)工作,數(shù)字簽名加密等技術(shù)在這里可以充分起到作用。
保障電子商務(wù)系統(tǒng)安全的對(duì)策
(1)用戶識(shí)別文件和口令。許多互聯(lián)網(wǎng)研究機(jī)構(gòu)都將私有性和保密性列為電子商務(wù)的首要問題。用戶識(shí)別文件和口令在Internet之前的大型主機(jī)時(shí)代,就已經(jīng)是安全的有效實(shí)現(xiàn)方法。在電子商務(wù)中,可以采用限制錯(cuò)誤登錄的次數(shù)、跟蹤錯(cuò)誤訪問的辦法,保護(hù)用戶識(shí)別文件和口令的安全。
(2)數(shù)據(jù)加密。開放的Internet本身并不提供安全的傳輸路徑,所以在電子商務(wù)中必須采用數(shù)據(jù)加密,保證帳戶和交易數(shù)據(jù)的安全。超文本安全傳輸協(xié)議S-HTTP和安全套接層協(xié)議SSL是在Web端與瀏覽器端實(shí)現(xiàn)加密的應(yīng)用技術(shù),這兩種技術(shù)使得數(shù)據(jù)對(duì)于沒有密鑰的人是毫無用處的,并且易于在商業(yè)領(lǐng)域應(yīng)用。
(3)認(rèn)證授權(quán)和數(shù)字認(rèn)證CA是認(rèn)證授權(quán)中心(CertficateAuthority)的簡稱,它和數(shù)字認(rèn)證(DigitalCertificate)一起在電子商務(wù)的身份認(rèn)證、不可否認(rèn)性、數(shù)據(jù)私有加密鑰管理方面起著主要的作用。CA是交易雙方都信任的第三方機(jī)構(gòu),由它來證明參加交易各方的身份。在交易過程中CA將自己的數(shù)字簽名附在所有的傳送消息和公共密鑰上。數(shù)字認(rèn)證指的是附有CA簽名的消息。參加交易方都必須信任CA,CA在交易前確認(rèn)所有各方的身份,可見CA的主要任務(wù)在于管理而不是技術(shù)。CA在電子商務(wù)中,起著法律仲裁的作用,其工作相當(dāng)于確定用戶的數(shù)字簽名能否得到法律的認(rèn)可。但是只有在CA擁有了仲裁權(quán)以后,這種認(rèn)證才有法律效應(yīng)。在電子商務(wù)的發(fā)展過程中,CA的重要作用正在日益顯現(xiàn)。
認(rèn)證中心與加密技術(shù)相結(jié)合產(chǎn)生了一種完全適合電子商務(wù)的加密技術(shù)安全電子交易SET。安全套接層SSL加密方法僅僅是實(shí)現(xiàn)了傳輸加密和數(shù)據(jù)完整性,相當(dāng)于在兩臺(tái)計(jì)算機(jī)之間建立一個(gè)安全的通道。而電子商務(wù)的要求則更高一點(diǎn)。例如用戶通過與商家連網(wǎng),進(jìn)行支付和交易時(shí),商家不應(yīng)該知道用戶的帳戶等信息,顯然SSL協(xié)議不能防止商家的欺詐。另外SSL協(xié)議也不保證交易各方身份的真實(shí)性和不可否認(rèn)性。SET的架構(gòu)是通過幾個(gè)成員所共同組成的,各個(gè)成員可以很好地模擬實(shí)際電子商務(wù)操作的角色,這些成員分別是電子錢包(ElectronicWallet)、商戶服務(wù)器(MerchantServer)、支付網(wǎng)關(guān)(PaymentGateway)和認(rèn)證中心(CertificationAuthority)。
SET通過認(rèn)證中心和認(rèn)證簽名確認(rèn)交易各方的真實(shí)身份,利用數(shù)字簽名保證交易的不可否認(rèn)性。SET的技術(shù)特點(diǎn)還有:①對(duì)訂單信息和支付信息進(jìn)行雙重簽名,這樣商家只能得到訂單信息,銀行只知道支付信息;②采用信息摘要技術(shù)保證了交易的完整性;③采用公鑰體系和密鑰體系結(jié)合進(jìn)行加密,而SSL只采用了公鑰體系。
SET已經(jīng)成為國際公認(rèn)的Internet電子商務(wù)的安全標(biāo)準(zhǔn),非常詳細(xì)地反映了電子交易各方之間存在的各種關(guān)系。目前,一些廠商有專門的軟件產(chǎn)品與SET的各個(gè)角色相對(duì)應(yīng)。
(4)虛擬專用網(wǎng)(VPN)虛擬專用網(wǎng)是利用Internet公用網(wǎng)絡(luò),通過隧道協(xié)議和安全方法傳輸企業(yè)專用數(shù)據(jù)的技術(shù)。虛擬專用網(wǎng)在傳送數(shù)據(jù)前將其加密,在接收端進(jìn)行解密,它的特點(diǎn)是不僅加密數(shù)據(jù),而且加密接收雙方的網(wǎng)絡(luò)地址。同時(shí)VPN的用戶驗(yàn)證方法也提供了更高一級(jí)的遠(yuǎn)程訪問安全性。
(5)路由器和防火墻。路由器是在Internet上確定數(shù)據(jù)包下一個(gè)網(wǎng)絡(luò)傳輸?shù)刂返木W(wǎng)絡(luò)設(shè)備,可能是專用的硬件設(shè)備,也可能是一個(gè)軟件。防火墻是企業(yè)專用網(wǎng)和Internet公共網(wǎng)的連接點(diǎn),控制來往的數(shù)據(jù)流,對(duì)受到的攻擊進(jìn)行登錄、報(bào)告、報(bào)警。如果路由器和防火墻配置得當(dāng),可以有效防范非法用戶。
(6)實(shí)施規(guī)劃和方法。實(shí)施規(guī)劃是在整個(gè)企業(yè)范圍內(nèi),對(duì)內(nèi)、外部用戶訪問數(shù)據(jù)文件進(jìn)行限制,確定企業(yè)計(jì)算機(jī)系統(tǒng)的拓樸結(jié)構(gòu)及關(guān)鍵數(shù)據(jù)的放置。在企業(yè)級(jí)的系統(tǒng)中,從硬件到軟件,從操作系統(tǒng)到數(shù)據(jù)庫,涉及各種各樣的系統(tǒng)。應(yīng)用的復(fù)雜性也在不斷增加,問題也越來越多。如不同操作系統(tǒng)之間的資源共享,公共密鑰的集中管理等。對(duì)于這種情況可以采取管理器/器的結(jié)構(gòu)對(duì)系統(tǒng)安全進(jìn)行統(tǒng)一管理。在這種模式下,只要更改系統(tǒng)的配置要求就可以適應(yīng)系統(tǒng)結(jié)構(gòu)、規(guī)模的變化,從而實(shí)現(xiàn)了系統(tǒng)安全的統(tǒng)一管理。
