浅谈电子商务的安全问题及技术防范

1、    浅谈电子商务的安全问题及技术防范    蒋萍摘要：电子商务的安全是一个复杂系统工程，需要从技术角度和立法等方面加以保障，以规范电子商务存在的各类问题。文章讨论了电子商务应用中所存在的安全问题，对电子商务的安全性技术进行了分析。关键词：电子商务；安全问题；网络协议安全性；信息安全中图分类号：tp309文献标识码：a文章编号：1009-2374（2009）07-0053-03一、电子商务存在的安全性问题（一）电子商务安全的主要问题1网络协议安全性问题：由于tcp/ip本身的开放性，企业和用户在电子交易过程中的数据是以数据包的形式来传送的，恶意攻击者很

2、容易对某个电子商务网站展开数据包拦截，甚至对数据包进行修改和假冒。2用户信息安全性问题：目前最主要的电子商务形式是基于b/s（browser/server）结构的电子商务网站，用户使用浏览器登录网络进行交易，由于用户在登录时使用的可能是公共计算机，那么如果这些计算机中有恶意木马程序或病毒，这些用户的登录信息如用户名、口令可能会有丢失的危险。3电子商务网站的安全性问题：有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患，服务器操作系统本身也会有漏洞，不法攻击者如果进入电子商务网站，大量用户信息及交易信息将被窃取。（二）电子商务安全问题的具体表现1信息窃取、篡改与破坏。电子的交易信息在网

3、络上传输的过程中，可能会被他人非法修改、删除或重放，从而使信息失去了真实性和完整性。包括网络硬件和软件的问题而导致信息传递的丢失与谬误；以及一些恶意程序的破坏而导致电子商务信息遭到破坏。2身份假冒。如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易，败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。3诚信安全问题。电子商务的在线支付形式有电子支票、电子钱包、电子现金、信用卡支付等。但是采用这几种支付方式，都要求消费者先付款，然后商家再发货。因此，诚信安全也是影响电子商务快速发展的一个重要问题。4交易抵赖。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信

4、息进行恶意的否认，以推卸自己应承担的责任。交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容，收信者事后否认曾经收到过某条消息或内容，购买者做了定货单不承认，商家卖出的商品因价格差而不承认原有的交易等。5病毒感染。各种新型病毒及其变种迅速增加，不少新病毒直接利用网络作为自己的传播途径。我国计算机病毒主要就是蠕虫等病毒在网上的猖獗传播。蠕虫主要是利用系统的漏洞进行自动传播复制，由于传播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪。6黑客。黑客指的是一些以获得对其他人的计算机或者网络的访问权为乐的计算机爱好者。而其他一些被称为“破坏者（cra

5、cker）”的黑客则怀有恶意，他们会摧毁整个计算机系统，窃取或者损害保密数据，修改网页，甚至最终导致业务的中断。一些业余水平的黑客只会在网上寻找黑客工具，在不了解这些工具的工作方式和它们的后果的情况下使用这些工具。7特洛伊木马程序。特洛伊木马程序简称特洛伊，是破坏性代码的传输工具。特洛伊表面上看起来是无害的或者有用的软件程序，例如计算机游戏，但是它们实际上是“伪装的敌人”。特洛伊可以删除数据，将自身的复本发送给电子邮件地址簿中的收件人，以及开启计算机进行其他攻击。只有通过磁盘，从互联网上下载文件，或者打开某个电子邮件附件，将特洛伊木马程序复制到一个系统，才可能感染特洛伊。无论是特洛伊还是病毒并

6、不能通过电子邮件本身传播它们只可能通过电子邮件附件传播。8恶意破坏程序。网站提供一些软件应用（例如activex和java applet），由于这些应用非常便于下载和运行，从而提供了一种造成损害的新工具。恶意破坏程序是指会导致不同程度的破坏的软件应用或者java小程序。一个恶意破坏程序可能只会损坏一个文件，也可能损坏大部分计算机系统。9网络攻击。目前已经出现的各种类型的网络攻击通常被分为三类：探测式攻击，访问攻击和拒绝服务（dos）攻击。探测式攻击实际上是信息采集活动，黑客们通过这种攻击搜集网络数据，用于以后进一步攻击网络。通常，软件工具（例如探测器和扫描器）被用于了解网络资源情况，寻找目标网

7、络、主机和应用中的潜在漏洞。例如一种专门用于破解密码的软件，这种软件是为网络管理员而设计的，管理员可以利用它们来帮助那些忘记密码的员工，或者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但这种软件如果被错误的人使用，就将成为一种非常危险的武器。访问攻击用于发现身份认证服务、文件传输协议（ftp）功能等网络领域的漏洞，以访问电子邮件帐号、数据库和其他保密信息。dos攻击可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是：向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数据，从而让正常的访问无法到达该主机。更恶毒的是分布式拒绝服务攻击（ddos），在这

8、种攻击中攻击者将会危及多个设备或者主机的安全。二、电子商务安全技术措施电子商务的安全性策略可分为两大部分：一部分是计算机网络安全，第二部分是商务交易安全。电子商务中的安全性技术主要有以下几种：1数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措施。其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输，从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。对称密钥加密（secret key encryption）。对称密钥加密也叫秘密/专用密钥加密，即发送和接收数据的双方必须使用相同的密钥对明文进行加密

9、和解密运算。它的优点是加密、解密速度快，适合于对大量数据进行加密，能够保证数据的机密性和完整性；缺点是当用户数量大时，分配和管理密钥就相当困难。目前常用的对称加密算法有：美国国家标准局提出des算法、由瑞士联邦理工学院的idea算法等。非对称密钥加密（public key encryption）。非对称密钥加密也叫公开密钥加密，它主要指每个人都有一对唯一对应的密钥：公开密钥（简称公钥）和私人密钥（简称私钥）公钥对外公开，私钥由个人秘密保存，用其中一把密钥来加密，就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理，缺点是算法复杂，加密速度慢。一般用公钥来进行加密，用私钥来进行签名；同时私钥用来解密，公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。目前常用的非对称加密算法有：麻省理工学院的rsa算法、美国国家标准和技术协