关于电子商务存在的安全隐患及解决方案
摘要:本文简单阐述了目前电子商务中普遍存在的安全隐患,结合电子商务的主要安全要素,提出几点解决方案。
关键词:电子商务;安全隐患;加密
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 20-0000-01
Dangers and the Solution about E-Commerce
Wang Shuguo,Ran Chongfu
(Scientific and Technological Information Institute of Wanzhou District,Chongqing City,Chongqing404100,China)
Abstract:This paper describes the current security risks prevalent in e-commerce and make a few solutions with the main elements of e-commerce security.
Keywords:E-commerce;Security risks;Encryption
案例一:2006年8月14日,金山毒霸反病毒监测中心及时截获了利用系统高危漏洞进行传播的恶性蠕虫病毒--魔鬼波。作为IRCBot系列病毒的新变种,该病毒主要利用MS06-040漏洞进行主动传播,强势攻击互联网,造成系统崩溃,网络瘫痪,并通过IRC聊天频道接受黑客的控制。
案例二:某大学校园网在使用过程中出现以下几个问题:第一,由于IP地址及用户账号的盗用,从而造成局域网IP地址冲突不断,用户无法正常上网;第二,由于一些同学在使用过程中大量下载,造成宽带资源大量被占用,从而影响了正常的教学和科研工作;第三,由于对网络访问权限难以控制,从而造成大量的色情、暴力、反动信息充斥在校园网上,成为重大隐患。
一、电子商务中存在的安全问题
由上述案例中可以得出,目前电子商务环境中存在的安全问题主要有以下几点:
(一)网络攻击。例一的安全事件就是由于网络安全受到攻击所致。目前互联网上常见的攻击类型主要分为四类:中断、介入、篡改、假造。中断是指系统的部分主件早到破坏或使其不能发挥作用;介入则是指未经授权者授权取得系统的资源,其中的未授权者可以是一台计算机、一个人或一组程序,例如,在电子商务中,有的企业或个人会采取非法手段利用某些软件窃取竞争对手在网络上传送的机密数据,从而能够打击对手;篡改是指系统资源被未经授权的人所取得、乃至篡改内容,例如近期常见的团购网站被黑事件就是黑客利用网站漏洞,窃取并篡改用户数据,从而对企业和用户造成了巨大的经济损失;假造是指未经授权人授权将假造数据放入系统中,从而对数据真实性造成供给,例如在网络上假造身份证明文件以冒充他人。
(二)网络安全隐患。上述案例二中存在的主要问题就是网络安全隐患问题。网络安全隐患主要表现在以下几个方面:
1.开放性:开放性是Internet最大的优势,也是电子商务能够快速发展的重要因素之一,但是高开放性的背后也存在着很多问题。当用户甲在访问乙的计算机时,如果用户甲没有采用适当的安全防护措施,用户乙也可以方便的访问用户甲的计算机,而互联网上连接的计算机又是如此之多,这样很容易造成安全隐患。
2.传输协议:目前通用的传输协议是TCP/IP协议,而这种协议本身却没有任何的安全措施来防止其信息被窃取。因而这就要求用户在使用电子商务活动时,一定要采取有效严密的措施对信息进行加密,防止信息泄露。
3.信息电子化:与传统的商务经营活动相比,电子商务的电子信息化具有缺乏可信度的缺点,因为电子信息是否正确完整很难由信息本身来鉴别,此外电子信息还存在着难以确认信息的发出者以及信息是否正确无误的被对方接收到的问题。
二、针对电子商务安全问题的解决方案
针对以上问题,可以从电子商务的安全要素方面提出几点解决方案。
(一)电子商务的安全要素。电子商务是一个复杂的系统问题,在使用电子商务中主要涉及信息的保密、完整、有效和信息的不可抵赖性这个几个方面的安全要素。信息的保密性主要是指信息在传输和存储过程中不被他人窃取;信息的完整性是指数据在输入、输出和传输过程中,防止数据被非授权建立、修改和破坏;信息的有效性是指电子商务是以电子形式取代了纸张形式,必须保证这种电子形式贸易的有效性;信息的不可抵赖性,由于电子商务交易不像传统交易行为存在“白字黑字”,因而必须要确定要进行交易的贸易方正是进行交易所期望的贸易这一问题。
(二)由电子商务的安全要素提出以下几点对策。
1.防火墙技术。防火墙是应用最为广泛的一种安全手段,也是针对网络攻击最有效的安全手段。目前常用的防火墙技术主要有数据包过滤防火墙和应用级网关防火墙。数据包过滤的优点是速度快,实现方便,价格低,易于维护,对网络性能的影响较小。然而它的缺点也极为明显,首先,没有用户的使用记录,因而也无法发现黑客的攻击记录,极易受到黑客的攻击,安全性能较差。其次,由于操作系统环境下用的服务协议类型也不同,故其兼容性较差。应用级防火墙的安全性能相对较高,但是它会降低访问速度,并且由于应用级网关需要针对一个特定的Internet安装相应的代理服务器软件,这使得用户需要花费较多的时间来等待新服务软件的安装。
2.数据加密技术。这是目前电子商务安全交易的主要安全措施,目的是隐藏数据信息,将明文伪装成密文,使机密性数据在传递过程中可以不被非法用户截取和破译。目前,电子商务通信中常用的有私有密钥加密法和公开密钥加密法。私有密钥加密法的优点主要是运算量小,加密速度快,在专用网络中由于通信方相对固定所以应用效果较好,但是私有密钥加密法由于算法公开,因而其安全性完全依赖于对私有密钥的保护,所以密钥使用一段时间后就需要更换,并且管理复杂,代价高昂。而公开密钥加密法则正好弥补了私有密钥加密法的缺陷,它的优点是能在没有安全措施的媒体上通信双方交换信息,不需共享通用密钥,用于解密的私钥不需发往任何地方,公钥在传递与发布过程中即使被截获,由于没有与公钥相匹配的私钥,截获公钥也没有意义。并且由于密钥的保存量比起私人密钥加密要少的多,因而管理起来也相对方便不少,唯一的缺点就是加解密速度相对慢一些。
3.安全认证技术。数字加密技术只是解决了传送信息的保密问题,而如何确定发信人的身份还需要采取另一种手段--安全认证技术。目前被广泛采用的PKI(Public Key Infrastructure公钥基础设施)体系结构就是采用采用证书管理公钥,通过第三方可信机构CA,把用户的公钥和用户的其他标识信息(如名称、邮件地址、身份证号等)捆绑在一起,在Internet上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,从而可以在网上实现密钥的自动管理,保证了网上数据的机密性和完整性。
参考文献:
[1]王东霞.电子商务概论及实训[M].北京:科学出版社,2008
[2]杨顺勇,倪庆萍,苑荣.电子商务(第二版)[M].上海:复旦大学出版社,2008
上一篇:美国谋求网络电磁空间霸权
下一篇:移动互联网安全研究