电子商务安全风险及对策浅析

电子商务平安风险及对策浅析学生：余静娴指导老师：阳国华摘要：随着近年来，网络﹑通信和信息技术快速发展和日益融合,网络在全球快速普及，促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等平安问题，阐述了电子商务平安体系及平安技术和对策浅析。关键词：电子商务；平安技术；运用；平安体系；防火墙前言所谓电子商务是指商务活动的电子化实现，即通过电子化手段来实现传统的商务活动。其优点：电子商务可以降低商家的运营成本，提高其利润率；可以扩大商品销路，建立企业和企业之间的联系渠道，为客户供应不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出，平安的电子支付是实现电子商务的关键环节，而担心全的电子支付不能真正实现电子商务。电子商务网络及本身存在的平安隐患问题目前，我国的电子商务存在普遍的窃取信息现象，不利于电子商务数据信息的平安管理。我们从两个典型案例说起：案例一：淘宝“错价门”。互联网上从来不乏标价1元的商品。近日，淘宝网上大量商品标价1元，引发网民争先恐后哄抢，但是之后很多订单被淘宝网取消。随后，淘宝网发布公告称，此次事务为第三方软件“团购宝”交易异样所致。部分网民和商户询问“团购宝”客服得到自动回复称：“服务器可能被攻击，已联系技术紧急处理。案例一简析：目前，我国电子商务领域平安问题日益凸显，比如，支付宝或者网银被盗现象频频发生，给用户造成越来越多的损失，这些现象对网络交易和电子商务提出了警示。然而，监管不力导致消费者权益难以爱护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的平安问题，严格执法、主动介入，彻查一些严峻影响互联网电子商务平安的恶性事务，切实爱护消费者权益，维护我国电子商务健康有序的发展。案例二：黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站被黑客入侵的案例，国内的电子商务网站近两年也发生过类似事务。浙江义乌一些大型批发网站曾经遭到黑客近一个月的轮番攻击，网站图片几乎都不能显示，每天流失订单金额达上百万元。阿里巴巴网站也曾确认受到不明身份的网络黑客攻击，这些黑客实行多种手段攻击了阿里巴巴在我国大陆和美国的服务器，企图破坏阿里巴巴全球速卖通台的正常运营。随着国内移动互联网的发展，移动电子商务也将快速发展并给人们带来更大便利，但是由此也将带来更多的平安隐患。黑客针对无线网络的窃听能获得用户的通信内容、侵扰用户的隐私权。案例二简析：黑客攻击可以是多层次、多方面、多种形式的。攻击电子商务平台，黑客可以轻松赚取巨大的、实实在在的经济利益。比如：窃取某个电子商务企业的用户资料，贩卖用户的个人信息；破解用户个人账号密码，可以冒充他人购物，并把商品货物发给自己。黑客有可能受经济利益驱使，也有可能是同业者暗箱操作打击竞争对手。攻击电子商务企业后台系统的往往是专业的黑客团队，要想防范其入侵，难度颇大。尤其是对于一些中小型电子商务网站而言，比如数量浩大的团购网站，对抗黑客入侵更是有些力不从心。假如大量电子商务企业后台系统的平安得不到保障，我国整个电子商务的发展也将面临极大威逼。从上述两个案例可以看出，网络平安入侵者可以利用电子商务路由器或者网关截获数据信息，并且他们经过多次反复的窃取信息，便可以有效的找出电子商务贸易的一般规律或者贸易格式，从而造成电子商务网上交易的担心全，甚至造成网络相关数据信息的丢失和泄露，引发一系列的﹑不行估量的严峻后果。当网络入侵者截获他们须要的有用信息，驾驭了电子商务规律，他们通过破译方法或手段，将电子商务信息进行随意的篡改，将改过的信息交给交易方，这样会影响电子商务交易秩序的混乱，导致部分企业破产崩溃。伪造身份冒充合法的交易者参加交易，对电子商务协议进行攻击。恶意破坏删节通信信息中的数据，取消用户订单，生成虚假信息。协议参加方对交易进行抵赖，否认交易结果以及交易方在多次交易的表现不诚恳，服务低劣等各种问问题。总之，电子商务网路有待提高。二﹑电子商务平安体系组成（一）物理平安电子商务物理平安主要是指为了爱护电子商务系统平安牢靠的运行，确保在交易，处理，传输过程中不受人为或自然灾难危害，而对计算机，网络设备，设施，环镜实行的平安的措施。主要包括：物理位置的选择，防盗窃防破坏，防雷击，静电等。目的主要使存放计算机﹑网络设备的机房，电子商务系统的的设备和存储设备的介质等免受物理环境﹑自然灾难及人为操作等各种威逼所产生的攻击。物理平安是防护电子商务系统平安的最底层，缺乏物理平安，其他任何措施都是无意义的。（二）网络平安网络平安为电子商务在网络环境下的平安运行供应支持。一方面，确保网络设备的平安运行，供应有效的网络服务；另一方面，确保在网上传输数据的保密性，完整性和可用性等。包括：网络结构，访问限制，入侵防范，恶意代码防范等。重要信息系统的网络平安要求对网络边界的访问限制做出更为严格的要求，禁止远程拨号访问，不允许数据带通用协议通用。网络平安审计应着眼于系统全局，做出集中审计分析，以便得到更多的综合信息。主要网络设备应对同一用户选择两种或两种以上组合的鉴别信息至少应有一种是不行伪造的，以加强对网络设备的防护。（三）主机平安主机系统平安是包括服务器，终端/工作站等在内的计算机设备在操作系统及数据库系统层面的平安。保障主机系统平安的措施包括：身份鉴别，平安标记，访问限制，恶意代码防范，剩余信息和资源限制等。终端/工作站是带外设的台式机与笔记本计算机，服务器则包括应用程序﹑网络﹑WEB﹑文件与通信等服务器。主机系统是构成电子商务系统的主要部分，其上承载着各种应用。因此，主机系统平安是爱护电子商务系统平安的中坚力气。（四）应用平安通过网络，主机系统的平安防范，应用平安成为电子商务系统整体防卫的最终一道防线。在应用层面运行着电子商务系统基于网络的运用以及特定业务的应用。基于网络的运用是形成其他应用的基础，包括信息发送﹑Web阅读器等可以说是基本的应用。应用平安系统主要涉及的技术包括身份鉴别﹑平安标记﹑访问限制﹑资源限制﹑保密性﹑抗抵性﹑软件容错等。（五）数据平安及备份复原电子商务系统处理的各种数据在维持系统正常运行着起着至关重要的作用。一旦数据遭到破坏，都会在肯定程度上造成影响，从而危害到系统的正常运行三、电子商务平安技术为了保障电子商务系统的的基本平安，下面一系列平安技术用于保障电子商务活动的平安，可信。（一）数据加密技术加密技术是解决网络信息平安问题的技术核心，通过数据加密技术，可以很大程度上提高数据传输的平安性，保证传输数据的完整性。数据加密技术主要分为对称密码加密和公钥密码加密。数据加密按不同应用分为数据传输加密和数据存储加密。常用的数据加密算法有很多种。古典密码算法有替代加密，置换加密，常用的对称加密算法包括DES和AES，常用的非对称加密算法包括RSA，ECC等。目前在数据通信中运用最普遍的算法有AES算法，RSA算法和ECC等。公钥密码加密技术可用于对消息进行数字签名。（二）数据完整性技术数据的完整性就是防止非法篡改信息，如修改，复制，插入，删除等。在交易过程中，要确保通信双方接收到的数据和从数据源发出的数据完全一样，数据在传输和存储的过程中不能被篡改。保障数据完整性最常用的技术是通过散列函数和数字签名技术实现数据完整性爱护。任何原始数据的变更都会在相同的计算条件下产生不同的MAC。这样，在传输和存储数据时，附带上该消息的MAC通过验证该消息的MAC是否变更，来高效的，精确地推断原始数据是否变更，从而保证数据的完整性。目前国际采纳的算法有SHA-1,MD-5.认证技术常见的认证包括2类：对实体身份的认证和对数据来源的真实性的认证。进行验证的方法主要有2类：基于口令的身份验证，基于公钥密码学技术的身份验证，而对数据来源的真实性的认证主要采纳基于公钥密码学技术的身份认证。信息系统中应确保口令信息在通信通道传输中和在存储期间的平安，避开被入侵者从磁盘数据文件中窃取或从通信通道截获。最常用的方法就是加“盐”的单向散列函数对口令进行处理。基于公钥密码学技术的数字证书认证体系又称为PKI,PKI系统中有一个或多个权威的CA机构进行数字证书签发和管理。由于数据证书带有CA机构的签名，其真实性易于验证。此外，签名也可作为发送者发送信息和接收者接受信息的不行否认证据，防止实体对信息的抵赖。CA认证机构既能实现单向验证，既能用于实体身份的信任，又能用于通信数据的信任。（四）防抵赖技术不行否认性是电子商务，电子政务等系统中必须要解决的问题之一，不行抵赖服务就是防止通信中的任何一方试图对已发生的特定事务或行为的欺诈性抵赖，为此，不行抵赖服务供应不行抵赖证据的产生，收集和维护机制，用于对日后可能产生的法律纠纷进行仲裁。基本的不行抵赖服务包括：1﹑发送方不行否认（Non-RepudiationofOrigin,NRO）：为消息接收供应发送信息的证据，防止发送信息方试图否认曾经发送过消息。证据的供应者就是信息发送者。2﹑接收方不行否认（Non-RepudiationofReceipt,NRR）：为发送信息方供应消息已接受的证据，防止接收方试图否认曾经受到的信息。证据的供应者是信息接受方。（五）访问限制技术访问限制是指用户身份及其归属的的某组来限制用户对信息项的访问，或限制对某些限制功能的运用。访问限制通常用于系统管理员限制用户对服务器的，书目，文件等网络资源的访问。访问限制的功能主要有：防止非法的主体进入受爱护的系统的资源；允许合法用户访问受爱护的系统资源；防止合法的用户对受爱护的系统资源进行非授权的访问。目前主要应用的的访问限制类型有自主访问限制和强制访问限制两大类。自主访问限制是指用户有权对自身所创建的访问对象（文件，数据表等）进行访问，并可将对这些对象的访问权限。强制访问限制是指由系统（通过特地设置的系统平安员）对用户所创建的对象进行系统的强制性限制，依据规定的规则确定哪些用户可以对哪些对象进行什么操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。（六）其他信息平安技术除了以上几类最基本的信息平安技术以外，常用的平安技术还包括：平安审计与取证技术；平安扫描技术；反病毒反木马技术；入侵检测技术；防火墙技术；容错和数据备份技术﹑容灾技术；信息隐藏技术；量子密码技术；DNA平安技术；电磁泄露防范技术。四、对策浅析第一﹑防火墙技术，防火墙技术包括网络级防火墙、应用级网关、电路级网和规则检查防火墙，防火墙运用得当可以很大程度的提高网络平安性，企业从而不但可以大大降低由于网络攻击而造成的损失，而且还可以提高自己的信誉。但防火墙技术作为一种被动的防卫技术，在其爱护网络平安方面有其局限性防火墙不能防范不经由防火墙的攻击，不能防范人为因素的攻击，不能防止由于口令泄露或用户错误操作而造成的威逼，同时防火墙也不能防止带有病毒的软件或文件的传输。其次﹑加密技术，加密技术作为一种主动的防卫手段，目的是防止信息的非授权泄密，贸易各方可以依据须要在信息交换的各阶段运用。加密技术在网络应用中一般采纳两种加密形式：对称密钥和公开密钥，贸易各方可以结合详细应用环境和系统选择运用。第三﹑认证和识别，要确保电子商务的交易平安，仅仅有加密技术是不够的，全面的爱护还要认证和识别的，确保参加加密对话的人的确是其本人。认证系统使发送的消息具有被验证的实力，使接收者或第三者能够识别和确认消息的真伪。第四﹑网络病毒防治，由于网络的快速发展，网上病毒也越来越多，它给计算机系统造成了不行弥补的损失和巨大的破坏力，