第一篇:电子商务安全问题论文
摘要: 通过分析电子商务安全问题产生原因及电子商务对安全环境的要求,提出电子商务的安全防范策略,并对当前解决电子商务安全的主要技术进行了进一步的阐述和分析,为建立健全电子商务安全系统提供技术性参考。
关键词: 电子商务 安全技术 安全协议
电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。
一、电子商务的安全问题
1.电子商务安全问题的产生。(1)在线交易主体虚拟化带来的安全问题:在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全受到严重威胁。(2)虚假信息的发布带来的安全问题:当用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。(3)过低的信用度带来的安全问题:①低信用度的买方带来的安全问题:低信用度的买方,可能存恶意透支或使用伪造的信用卡骗取卖方货物或存在拖延货款行为,卖方需要为此承担风险。②低信用度的买方带来的安全问题:卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。③低信用度的买卖双方都存在抵赖的情况。(4)网络欺诈的存在带来的安全问题:在电子交易活动中频繁欺诈用户这是网络骗子们常用的骗术,利用电子商务进行欺诈已经成为一种新型犯罪活动,目前这种网上欺诈也已经成为国际性的难题。(5)电子合同取代书面合同过程中带来的安全问题:在在线交易情形下,交易双方的所有信息都是以电子化的形式存储于计算机硬盘或其他电子介质中,这些记录不仅容易被涂擦、删改、复制、遗失,而且不能脱离其记录工具(计算机)而作为证据独立存在。由此而引发诸多方面的安全问题(6)网上电子支付过程带来的安全问题:完电子商务的网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。(7)产品交付过程带来的安全问题:有形货物的在线交易中物流配送环节引发的一些特殊问题及无形的信息产品在交付中对于其权利的移转、退货、交付的完成等带来的安全问题。(8)网络消费者维权时引发的安全问题:在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。比如质量问题,退赔、修理困难问题等。(9)网络恶意攻击者的破坏活动带来的安全问题:包括系统穿透、违反授权原则、植入、通信监听、通信干扰、中断、拒绝服务、否认等。
2.电子商务对安全环境的要求。(1)确保信息的安全要求包括有效性、机密性、完整性、可靠性/不可抵赖性/鉴别等;(2)确保授权合法性;(3)确保交易者身份的确定性;(4)确保内部网的严密性。
二、电子商务的安全防范策略
经过数十年的探索,电子商务安全防范策略从最初的商务信息保密性发展到商务信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。目前,电子商务安全领域已经形成了9大核心技术,它们是:密码技术、身份验证技术、访问控制技术、防火墙技术、安全内核技术、网络反病毒技术、信息泄露防治技术、网络安全漏洞扫描技术、入侵检测技术。
1.电子商务的主要安全技术。(1)加密技术。加密技术解决了传送信息的保密问题,可分对称加密和非对称加密。对称加密是一种传统的信息认证方法,通过信息交换的双方共同约定一个口令或一组密码,建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方,乙方用相同的私钥解密后获得甲方传递的信息。对称加密采用的主要加密算法有DES数据加密标准、三重DES,IDEA,和AES(高级加密算法)等。其最大优势是加/解密速度快, 适合于对大数据量进行加密,但密钥管理困难。非对称加密又称公开密钥加密,它使用一把公开发布的公开密钥和一把只能由生成密钥对的贸易方掌握的私用密钥来分别完成加密和解密操作。如贸易的甲方生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易的方乙使用该密钥对信息进行加密后发送给甲方;甲方再用自己保存的另一把私用密钥对加密信息进行解密。公钥密码技术是密码技术核心,主要采用的算法有RSA算法、DSS/DSA算法和ECC算法。优点是机制灵活,但加密和解密速度慢。(2)数字签名。数字签名解决了而防止他人对传输的文件进行破坏,以及如何确定发信人的身份的问题。数字签名与书面文件签名有相同功效,它代表了文件的特征,文件如果发生改变,数字签字的值也将发生变化,不同的文件将得到不同的数字签字。数字签名是采用双重加密的方法,通过流程:A、被发送文件用 SHA编码加密产生128 bit的数字摘要;B、发送方用自己的私用密钥对摘要再加密,形成数字签名;C、将原文和加密的摘要同时传给对方;D、对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要;E、将解密后的摘要和收到的文件在接收方重新加密产生的摘要互对比。最终实现了防伪、防抵赖。
(3)数字时间戳。数字时间戳服务提供了对电子文件发表时间的安全保护,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。时间戳形成的流程为:①用户将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS;②DTS在加人了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。数字时间戳是由认证单位DTS来加的,以DTS收到文件的时间为依据。
(4)数字证书。数字证书是由CA认证中心签发的,用电子手段来证实一个用户的身份和对网络资源的访问权限的凭证。CA认证中心是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。数字证书为电子签名相关各方提供真实、可靠验证的公众服务,解决电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全,从根本上保障电子商务交易活动顺利进行。在网上的电子交易中,如双方出示了各自的数字证书,就可用它来进行安全交易操作了。
(5)防火墙技术。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,它可以阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出,是最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。防火墙有两个基本准则:一是未被允许的就是禁止的;二是未被禁止的就是允许的。基于该准则, 防火墙应转发所有信息流, 然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境, 可为用户提供更多的服务。
2.电子商务安全协议技术。电子商务安全协议主要有:安全套接层协议SSL和安全电子交易SET协议。此外,还有pCT(专用通信技术),它只是对SSL进行少量的改进。SSL协议是向基于TCp/Ip的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等的安全措施。它包括“SSL 记录协议”和“ SSL 握手协议”。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MDS等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。SSL协议已成为事实上的工业标准而被广泛应用。通常还采用“SSL+表单签名”的模式使得SSL在电子商务的应用中确保信息的真实性、完整性和保密性的基础上进一步提高电子商务的安全保障。
SET协议是Mastercard公司和Visa公司联合开发的一种应用于因特网环境下,以信用卡为基础的安全电子支付协议。它可以对交易各方进行认证,可防止商家欺诈,进行安全交易,它给出了一套电子交易的过程规范而成为目前公认的信用卡的网上交易的国际标准。
3.构建电子商务安全控制的框架和制订电子商务标准及法律法规。通过安全的控制和电子商务标准的推行,有利于解决电子商务的安全性和可靠性问题。
电子商务给企业、消费者和社会所带来的收益是不可估量的。特别是电子商务以其高效、低成本的优势,必将成为新兴的商业运作模式,推动着全球经济的快速发展。而商务信息的安全问题始终是电子商务的核心,是阻碍电子商务广泛应用的最大问题。电子商务的安全问题是能够通过综合运用各类电子商务安全技术,并不断改进和完善,加之建立健全电子商务的安全机制和相应的法律法规,推行电子商务的国际化标准而得以解决。
参考文献:
[1](美)埃弗雷姆.特白思戴维.金,杰李等著王理平张晓峰译:电子商务 管理新视角(第2版)[M].电子工业出版社,2005年9月
[2]杨坚争著:电子商务基础与应用(第五版)[M].西安电子科技大学出版社,2007年7月
第二篇:06电子商务的安全问题
电子商务的安全问题
一、选择题
1、在电子商务信息安全要求中,信息在传输过程中或存储中不被他人窃取指的是(B)。A、信息的保密性
B、信息的完成性
C、信息的不可否认性
D、交易者身份的真实性
2、加密和解密密钥不同的密码体制称为()。
A、DES密码体制
B、公开秘钥密码体制 C、通用秘钥密码体制
D、凯撒密码体制
3、加密后的内容称为()。
A、密钥
B、算法 C、密文
D、明文
4、用户识别方法不包括()。
A、根据用户知道什么来判断
B、根据用户拥有什么来判断 C、根据用户地址来判断
D、根据用户是什么来判断
5、一下身份认证技术中,属于生物特征识别技术的有()。
A、数字签名识别法
B、指纹识别法
C、语音识别法
D、头盖骨的轮廓识别法
6、触发电子商务安全问题的原因有()。
A、黑客的攻击
B、管理的欠缺 C、网络的缺陷
D、软件的漏洞
7、不属于病毒防范制度的内容是()。
A、为自己的电脑安装防病毒软件
B、不打开陌生地址的电子邮件 C、认真执行病毒定期清理制度
D、高度警惕网络陷阱
8、下面属于不安全口令的有()。A、使用用户名作为口令
B、使用自己或者亲友的生日作为口令 C、使用学号或者身份证号码等作为口令 D、使用常用的英文单词作为口令
9、在使用数字证书来为邮件签名之前,还应该为电子邮件地址申请()。A、密码
B、密钥 C、数字标识
D、账号
10、计算机病毒是指()。
A、具有破坏作用的特制程序
B、带细菌的磁盘 C、已经损坏的磁盘D、优良程序
11、对称密码技术中DES是()。
A、Data Encryption Standard
B、Data End System C、Data Encryption System
D、Data End Standard
12、()协议是用于开放网络进行信用卡电子支付的安全协议。
A、SSL
B、TCP/IP C、SET
D、HTTP
13、CA认证中心主要承担电子商务中的交易认证、()、身份审核等服务。A、伏路把关
B、数据加密 C、证书签发
D、信息传递
14、属于非对称加密算法的有()算法。
A、RSA
B、Rivest Code C、DES
D、AES
15、防火墙可以抵御的安全威胁有()。A、不经由防火墙的攻击
B、受到病毒感染的软件或文件的传输 C、来自内部的攻击 D、内部信息的外泄
16、以下关于防火墙的说法错误的是()。
A、包过滤型防火墙在网络层工作,其处理对象是数据包。
B、应用网关型防火墙在应用层工作,而代理服务器型防火墙却在最高层共工作,这是它们的不同点。
C、包过滤型防火墙、应用网关型防火墙和代理服务器型防火墙的防范方式与侧重点不同。D、包过滤型防火墙通常安装在路由器上,而应用网关型防火墙和代理服务器型防火墙大多是基于主机的。
17、在保密制度里,信息的安全级别不包括()。
A、绝密级
B、机密级 C、秘密级
D、保密级
18、数字指纹也叫()。
A、数字签名
B、消息摘要
C、消息验证
D、数字摘要
19、目前最安全的身份认证机制是()。
A、一次口令机制
B、双因素法
C、基于智能卡的用户身份认证
D、身份认证的单因素法
20、身份认证的主要目标包括:确保交易者是交易者本人、避免与超过权限的交易者进行交易和()。
A、可信性
B、访问控制
C、完整性
D、保密性
二、填空题
1、互联网的安全隐患主要表现在、、、四个方面。
2、电子商务面临的主要安全隐患有、、、、对交易行为进行的抵赖和身份识别六个方面。
3、一个功能较为完整的防火墙基本组成包括、、和。
4、防火墙的类型有、、和。
5、加密算法的代表为算法。
6、不对称加密算法的代表为算法。
7、有效的身份认证的三个基础因素是、和。
8、动态口令是应用最广的一种身份识别方式,一般是长度为的字符串,由数字、字母、、等组成。
9、生物特征分为和两类。
10、访问控制的要素有、、、和。
11、目前主要的访问控制类型有3种:、、。
12、和是电子商务安全协议是在电子商务活动中比较常用的安全协议。
13、SSL协议提供的安全连接具有的3个基本特点分别是:、和。
14、现行Web浏览器普遍将和相结合,从而实现安全通信。
15、SSL记录协议为SSL连接提供了和服务。
三、简答题&论述题
1、简述电子商务面临的主要安全隐患问题。
答: 电子商务需要借助网络,而网络的开放性,会存在以下安全隐患:(1)对合法用户身份的仿冒。(2)网络传输数据的保密性。(3)网络传输数据的完整性。(4)利用网络数据恶意攻击网络硬件和软间,从而导致商务佶息传递的丢失、破坏。(5)商业诈和故意抵赖。
2、防火墙的基本概念。
答:
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障
3、简述防火墙的功能。
4、简述防火墙的局限性。
5、列举身份认证的方法。
6、短信密码认证方法具有哪些优点?
7、访问控制的定义。
8、简述访问控制的原理。
9、自主访问控制的最大的特点是什么?
10、简述SET协议采用的数据加密模型的特点。
四、案例题
案例一:360安全浏览器
360安全浏览器(360SE)是互联网上好用和安全的新一代浏览器,和360安全卫士、360杀毒等软件产品一同成为360安全中心的系列产品。木马已经取代病毒成为当前互联网上最大的威胁,90%的木马用挂马网站通过普通浏览器入侵,每天有200万用户访问挂马网站中毒。360安全浏览器拥有全国最大的恶意网址库,采用恶意网址拦截技术,可自动拦截挂马、欺诈、网银仿冒等恶意网址。独创沙箱技术,在隔离模式即使访问木马也不会受感染。除了在安全方面的特性,360安全浏览器在速度、资源占用、防假死不崩溃等基础特性上表现同样优异,在功能方面拥有翻译、截图、鼠标手势、广告过滤等几十种实用功能,在外观上设计典雅精致,是很多网民使用浏览器的选择之一。360安全浏览器在网络安全方面具有以下特点:
1.智能拦截钓鱼网站和恶意网站,开心上网安全无忧; 2.智能检测网页中恶意代码,防止木马自动下载;
3.集成全国最大的恶意网址库,网站好坏大家共同监督评价; 4.即时扫描下载文件,放心下载安全无忧;
5.内建深受好评的360安全卫士流行木马查杀功能,即时扫描下载文件; 6.木马特征库每日更新,查杀能力媲美收费级安全软件;
7.采用“沙箱”技术,真正做到百毒不侵(木马与病毒会被拦截在沙箱中无法释放威力); 8.将网页程序的执行与真实计算机系统完全隔离,使得网页上任何木马病毒都无法感染计算机系统;
9.颠覆传统安全软件“滞后查杀”的现状,所有已知未知木马均无法穿透沙箱,确保安全。
请分析案例回答以下问题:
(1)分析360安全浏览器主要解决网络安全隐患中的哪一类问题。(2)浅谈电子商务中网络客户端方面应该注意的安全问题。
案例二:泄密案例
受害者:HBGary Federal公司(2011年2月)
随着为美国政府和500强企业提供信息安全技术服务的HBGary Federal公司CEO的黯然辞职,人们骤然醒悟,云时代保障企业信息资产安全的核心问题不是技术,而是人,不是部门职能,而是安全意识!企业门户大开的原因不是没有高价安全技术,而是缺乏一道“人力防火墙”。2011年2月6日,在美式橄榄球超级碗决赛之夜,HBGary Federal公司创始人Greg Hoglund尝试登录Google企业邮箱的时候,发现密码被人修改了,这位以研究“rootkit”而著称的安全业内资深人士立刻意识到了事态的严重性:作为一家为美国政府和500强企业提供安全技术防护的企业,自身被黑客攻陷了!更为糟糕的是,HBGary Federal企业邮箱里有涉及包括美商会、美国司法部、美洲银行和WikiLeak的大量异常敏感的甚至是见不得光的“商业机密”。
对HBgary Federal公司实施攻击的黑客组织“匿名者”随后将战利品——6万多封电子邮件在互联网上公布,直接导致HBgary Federal公司CEO Aaron Barr引咎辞职,由于此次信息泄露涉及多家公司甚至政府部门的“社交网络渗透”、“商业间谍”、“数据窃取”、“打击WikiLeak”计划,HBGary公司的员工还纷纷接到恐吓电话,整个公司几乎一夜间被黑客攻击彻底击垮。
失窃/受影响的资产:60000封机密电子邮件、公司主管的社交媒体账户和客户信息。安全公司HBGary Federal宣布打算披露关于离经叛道的Anonymous黑客组织的信息后不久,这家公司就遭到了Anonymous组织成员的攻击。Anonymous成员通过一个不堪一击的前端Web应用程序,攻入了HBGary的内容管理系统(CMS)数据库,窃取了大量登录信息。之后,他们得以利用这些登录信息,闯入了这家公司的多位主管的电子邮件、Twitter和LinkedIn账户。他们还完全通过HBGary Federal的安全漏洞,得以进入HBGary的电子邮件目录,随后公开抛售邮件信息。
汲取的经验教训:这次攻击事件再一次证明,SQL注入攻击仍是黑客潜入数据库系统的首要手段;Anonymous成员最初正是采用了这种方法,得以闯入HBGary Federal的系统。但要是存储在受影响的数据库里面的登录信息使用比MD5更强大的方法生成散列,这起攻击的后果恐怕也不至于这么严重。不过更令人窘迫的是这个事实:公司主管们使用的密码很简单,登录信息重复使用于许多账户。
请结合案例谈谈对该事件的看法,并说说今后该如何做。
第三篇:电子商务的安全问题
电子商务的安全问题
摘要:
由于电子商务是建立在开放的、自由的Intemet平台上的,其安全的脆弱性阻碍了电子商务的发展。因此,要发展电子商务就必须解决安全问题,就必须要能保证电子商务的机密性、完整性、有效性、真实性以及不可否认性。电子商务安全交易中在线支付问题是最核
心、最关键的问题。本文从电子商务的安全问题入手,通过对多种安全技术的综合介绍和详细分析,有针对性地提出了相应的安全策略。提供了解决企业电子商务网站安全问题的有效 办法,以保障电子商务活动的安全进行。
目 录
一、引言...........................................................................................................................................1
二、电子商务中存在的安全问题...................................................................................................1
(一)、电子商务中网络安全的问题.....................................................................................1 网络信息泄漏..............................................................................................................1 文件信息篡改..............................................................................................................1 信息伪造......................................................................................................................1 信用威胁......................................................................................................................2 计算机病毒..................................................................................................................2
(二)、电子商务交易中安全问题.........................................................................................2 消费者、销售商和银行的利益更不易保护.............................................................2 安全面临的严重问题也是制约发展的关键因素.....................................................2 电子商务的支付结算问题.........................................................................................2 电子商务商家信誉的问题.........................................................................................2
三、电子商务网络安全问题解决对策...........................................................................................3
(一)电子商务网上支付安全对策.......................................................................................3
(二)安全管理过程监督.......................................................................................................3 加强全过程的安全管理..............................................................................................3 建立动态的闭环管理流程.........................................................................................4
(三)法律上的安全保障.......................................................................................................4 有关电子商务交易各方合法身份证的法律..............................................................4 有关保护交易者介人及交易数据的法律..................................................................4 有关电子商务中电子合同合法性及如何进行认证的法律......................................4 有关网络知识产权保护的法律..................................................................................4 参考文献...........................................................................................................................5
一、引言
随着在Internet全球性的推广,电子商务即被公认为是未来IT业最有潜力的新的增长点。但是随着Internet的高速发展,其开放性、国际性和自由性在增加电子商务应用自由度的同时,我们也正受到日益严重的来自网络的安全威胁,如黑客的侵袭、网络的数据盗窃、病毒的传播等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
二、电子商务中存在的安全问题
(一)、电子商务中网络安全的问题 网络信息泄漏
在电子商务中表现为商业机密的泄漏,主要表现在:
交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。如果没有采用加密措施或加密强度不够,或是交易双方进行交易的内容被攻击者窃取,或者是交易一方提供给另一方使用的文件被攻击者非法使用。 文件信息篡改
在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据在中途篡改,如修改消息次序、时间,注入伪造消息等,然后再发向目的地,破坏数据的真实性和完整性。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。 信息伪造
由于掌握了数据的格式,并可以篡改通过的信息,如果不进行身份识别,攻击者就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。主要有这样几种情况:第一、虚开网站和商店,给用户发电子邮件,收订货单;第二、给伪造的用户发恶意的电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;第三、伪造用户,发大量的电子邮件,窃取商家的
商品信息和用户信用等信息。 信用威胁
交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。 计算机病毒
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
(二)、电子商务交易中安全问题
消费者、销售商和银行的利益更不易保护
电子商务领域为欺诈提供了保护伞。它特殊的运行模式可以使欺诈行为人将其欺诈行为掩盖得惟天衣无缝,而被侵害者却无可奈何。他可以直接侵害消费者的公平交易权,因为消费者是根本看不到自己所要购买商品的实物,只能在网站上浏览销售商为该商品所做的信息数据。电子商务对消费者的隐私权也提出了新的考验。因特网技术使得对个人信息的收集、储存、处理和销售有着前所未有的能力和规模,在线消费者的信息随时都有被收集和扩散的危险,只要在网上用个人信箱发信,你的信箱就基本上是公开的了,个人资料也就很容易被窃取,使得消费者购非所需。
安全面临的严重问题也是制约发展的关键因素
保障电子商务活动的安全,一直是电子商务研究的核心领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。网络产品本身就隐藏着不安全隐患,加之受技术、人为等因素的影响,不安全因素更显突出。如:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等。若安全问题解决不好将对整个电子商务市场带来了巨大的损失。 电子商务的支付结算问题
电子商务的核心内容是信息的互相沟通和交流,交易双方通过Internet进行交流,洽谈确认,最后才能发生交易,进行支付结算,一般都要求先汇款再送货。但从整个电子商务网络的发展来看,将来要在网络上直接进行交易,就需要通过银行的信用卡等各种方式来完成交易,以及在国际贸易中通过与金融网络的连接来支付和收费。 电子商务商家信誉的问题
电子商务依其特有的经营模式对商家的信誉提出了更高的要求。因为电子商务的基石就是诚信、信誉。他不象传统的交易方式,消费者可到实地观察、挑选自己的商品,其完全凭借的是商家的信誉度,有信誉就有顾客这是对电子商务的真实写照。当传统的购物方式引发的各种纠分还在“3.15”消费者权益日频频曝光的环境下,消费者如何信任互不照面的网上交易?这个问题不解决电子商务就很难做大做强,这对我们也提出了新的挑战。
三、电子商务网络安全问题解决对策
(一)电子商务网上支付安全对策
由于引起电子商务安全问题的因素很多,所以解决安全问题也应从不同方面来考虑,提供不同的应对策略:
安全技术策略:为了确保通信的安全性,必须采取必要的措施加以防范。在通信连接方面,可以使用防火墙、代理服务器、虚拟专用网络(VPN)等技术;在鉴别和认证方面,可以采取加密和认证技术。
做好自身电脑的日常安全维护,注意以下几点: a.是经常给电脑系统升级
b.是安装杀毒软件、防火墙,经常升级和杀毒
c.在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒
d.尽量不要在公共电脑上使用自己的有关资金的账户和密码,五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。
e.在登录支付资金时,应注意:一是确认该网是否是官方网站,二是仔细核对该网的域名是否正确,注意小写“1”与“L”、“0”与“O”等情况,三保证良好的上网习惯,收藏常用的网址,减少网上链接。
电子商务网上支付实际上就是落实到网上银行转账结算的交易。为了防止了黑客木马程序和网上钓鱼的攻击,使用数字证书才是保障网银安全的较好办法。但是,证书尽可能不采用所谓“文件证书”,即下载到浏览器硬盘上的证书,因为,此种证书易被黑客用木马程序窃取。目前,各银行的应用实践证明:只有将数字证书装入UBKey中,才是确保安全的好办法。
2、法律保障。由于电子商务各项活动首先是一种商品的交易,因此安全问题应当通过相关法律加以保护,必须保证电子合同和数字签名的法律地位、签约双方对电子合同的认可、电子合同的不可否认或修改,确保电子合同能够得以实施。
3、完善的管理策略。由于电子商务交易系统是一个人机高度综合的系统,除了网络的安全之外,管理人员的管理也是非常重要的,而且是起决定性作用的因素。因此,对整个系统的管理权限的分配和监督、管理人员的培训和考核、道德和业务水平的培养都必须制定出一套完整的规章制度,以利于培养管理人员敬业爱岗的精神.(二)安全管理过程监督 加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。
2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查。
3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系
统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:
1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。
2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
(三)法律上的安全保障
在法律上,最子商务不同于传统商务在纸面上完成交易,有据可查的特点,电子交易如何认证,电子欺诈如何避免和惩治不仅是技术问题,同时也要涉及到法律领域,电子商务就像在现实世界之外又建立了一个虚拟世界,在这个虚拟世界里,更需要完善的法律体系来维持秩序。目前多个国家和地区已经开始行动制定电子商务法律法规。这就需要在企业和企业之间、政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。其主要涉及的法律要素有: 有关电子商务交易各方合法身份证的法律
电子身份认证中心是电子商务中的核心角色,它担负着保证电子商务公正、安全进行的任务。因而必须由国家法律来规定CA中心的设立程序和资格以及必须承担的法律义务和责任,同时要由法律规定对CA中心进行监管的部门、监管方法以及违规后的处罚措施。 有关保护交易者介人及交易数据的法律
本着最小限度收集个人数据、最大限度保护个人隐私的原则来制定法律,以消除人们对泄露个人隐私以及重要个人信息的担扰,从而吸引更多的人上网参与电子商务。 有关电子商务中电子合同合法性及如何进行认证的法律
需要制定有关法律对电子合同的法律效力、数字签名、电子商务凭证的合法性予以确认;需要对电子商务作证、电子支付数据的伪造、变更、涂销做出相应的法律规定。 有关网络知识产权保护的法律
网络对知识产权的保护提出了新的挑战,因此在研究技术保护措施时,还必须建立适当的法律框架,以便侦测仿冒或欺诈行为,并在上述行为以生时提供有效的法律援助。
参考文献
[1]钟 诚.电子商务安全.重庆大学出版社.2004.6 [2]杨坚争.电子商务基础与运用 2008.5 [3]陈 进.电子商务金融与安全.清华出版社 2000 [4]冯登国.网络安全原理与技术.北京.科学出版社.2003 [5]邵晓薇 王维民 电子商务网站网上交易系统 人民邮电出版社 2000.6
第四篇:电子商务安全问题典型案例
案例一:
淘宝“错价门”引发争议
互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。”这起“错价门”事件发生至今已有两周,导致“错价门”的真实原因依然是个谜,但与此同时,这一事件暴露出来的我国电子商务安全问题不容小觑。在此次“错价门”事件中,消费者与商家完成交易,成功付款下了订单,买卖双方之间形成了合同关系。作为第三方交易平台的淘宝网关闭交易,这种行为本身是否合法?蒋苏华认为,按照我国现行法律法规,淘宝网的行为涉嫌侵犯了消费者的自由交易权,损害了消费者的合法权益,应赔礼道歉并赔偿消费者的相应损失。
总结:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。
案例二:
黑客热衷攻击重点目标
国外几年前就曾经发生过电子商务网站被黑客入侵的案例,国内的电子商务网站近两年也发生过类似事件。浙江义乌一些大型批发网站曾经遭到黑客近一个月的轮番攻击,网站图片几乎都不能显示,每天流失订单金额达上百万元。阿里巴巴网站也曾确认受到不明身份的网络黑客攻击,这些黑客采取多种手段攻击了阿里巴巴在我国大陆和美国的服务器,企图破坏阿里巴巴全球速卖通台的正常运营。随着国内移动互联网的发展,移动电子商务也将迅速发展并给人们带来更大便利,但是由此也将带来更多的安全隐患。黑客针对无线网络的窃听能获取用户的通信内容、侵犯用户的隐私权。
总结:黑客攻击可以是多层次、多方面、多种形式的。攻击电子商务平台,黑客可以轻松赚取巨大的、实实在在的经济利益。比如:窃取某个电子商务企业的用户资料,贩卖用户的个人信息;破解用户个人账号密码,可以冒充他人购物,并把商品货物发给自己。黑客有可能受经济利益驱使,也有可能是同业者暗箱操作打击竞争对手。攻击电子商务企业后台系统的往往是专业的黑客团队,要想防范其入侵,难度颇大。尤其是对于一些中小型电子商务网站而言,比如数量庞大的团购网站,对抗黑客入侵更是有些力不从心。如果大量电子商务企业后台系统的安全得不到保障,我国整个电子商务的发展也将面临极大威胁。
第五篇:电子商务网站论文 论电子商务的安全问题及应对措施
《网站建设与管理》课程论文
浅谈电子商务网站的安全问题及应对措施
浅析电子商务网站的安全问题及应对措施
[摘 要] 随着Internet的飞速发展,电子商务已经成了企业网络营销的主要手段,它的高效率为企业带来了巨大的方便,越来越多的企业投入巨大的人力、物力进行电子商务网站建设,运用电子商务网站与供应商或客户建立关系,以最快的速度相互沟通,从而提高企业在市场中的竞争力。而电子商务网站的安全是电子商务网站可靠运行并有效开展电子商务活动的基础和保证,安全问题不容忽视。本文分析了电子商务网站主要存在的一些安全问题,并从技术和管理的角度阐述了相应的应对措施。
[关键字]电子商务;网站;安全技术;安全管理
随着互联网的不断普及与发展,企业在互联网上建立自己的网站,不仅可以向世界展示自己的企业风采,使企业能够在公众知名度上有一定的提升,更能通过网站进行企业的内部管理和开展电子商务活动。因此,如何提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务网站建设与管理中的重要一环,值得重视。
二、电子商务网站的主要安全问题
(一)网站访问的安全问题
网站要实现其电子商务的功能,前提是具有可访问性。因此,网站的访问安全是要最先考虑的问题。互联网的开放性提供了企业一个良好的经营平台,但也给病毒提供了很好的传播平台。互联网上病毒无处不在,计算机病毒是具有破坏功能的可以自我复制的程序,它利用自身的隐蔽性和传播性,在互联网上横行肆意,悄无声息的窃取电子商务活动中的信息,或者是破坏系统或数据,造成网站瘫痪。
目前,任何电子商务网站本身和绝大多是的应用软件都是有漏洞的,漏洞是在硬件、软件、协议的具体实现、具体使用或系统安全策略上存在的缺陷,可以使攻击者能在未授权的情况下访问或破坏系统。漏洞已成为攻击网站的首选目标,使得企业会造成巨大的损失。
(二)交易数据信息的安全问题
在我国,电子商务交易中遭遇信用卡被盗用、信息资料丢失等现象时有发生。据不完全统计,有70%以上的企业和个人表示,出于安全考虑,目前暂不会在网上进行购物或交易。可以说,交易信息的安全问题是目前电子商务发展道路上最大阻碍。在面对面的贸易过程中,交易都是通过信件或其他可靠的通信渠道来发送商业报文,进而达到保守机密的目的。但是电子商务网站上,却很难保证这一点,主要原因来自网站外部和网站内部两方面的威胁。
1.来自网站外部的威胁。网络黑客、入侵者、计算机病毒在互联中的泛滥是危害电子 1 《网站建设与管理》课程论文
浅谈电子商务网站的安全问题及应对措施
商务网站安全的重要因素。而电子商务网站都建立自己的数据库来存储和管理各种重要的业务数据信息,如客户的银行账号、密码、用户名还有订单号等;还有商家的协议、合同、银行的指令和认证等,这使得用户交易信息的安全更加得不到保障。一旦攻击者窃取了电子商务网站的数据库,就可以获得他们想要的信息,甚至篡改、删除对网站至关重要的信息,破坏数据的准确性和完整性。
2.来自于网站内部用户的安全威胁。近年来,相比网站外部的威胁而言,网站内部的安全问题更为严峻。网站的员工疏忽或故意泄露信息,使得攻击者可以毫不费力的篡改、窃取网站用户的资料等内部机密;网站员工私自安装非法软件、游戏以及访问不安全的网站等导致网站被恶意入侵;网站员工对机密数据的非法操作。这些都能引发网站的严重安全危机。
(三)交易的安全问题
电子商务网站的交易过程,是借助于虚拟的网络平台来实现的。在这个平台上,交易双方不需要会面,因此交易双方的身份具有不确定性,在交易过程中,有可能出现交易抵赖、非同步交易等情况,直接破坏了电子商务网站交易的安全。
三、解决电子商务网站安全问题的应对措施
任何的安全应对措施都不能保证网站百分百的安全,但是企业树立自身的安全意识,充分利用各种安全技术,在攻击者和受保护对象间建立起多道安全防线可以降低网站的安全风险。因此解决电子商务网站的安全问题需从技术和管理两个方面入手,具体的应对措施有:
(一)安全技术方面
1.防火墙技术
防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙技术是目前电子商务网站安全防范技术中发展较为成熟的一种,对于已知的攻击模式有很好的防御作用,它为网站建立起一道安全屏障,强化了网络安全策略,加强了网络存取和访问的监控审计,有效的防止了内部信息外泄。
2.防病毒技术
计算机病毒是具有自我复制和传播能力的可以引起计算机和网络故障的程序。而计算机病毒的防范是建立网站安全的重要一环。常用的防病毒技术有:(1)反病毒扫描:通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其它能表示有某种病毒存在的代码段。(2)完整性检查:通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作并做些什么事情时才能起作用,而网站可能在完整性检查程序开始检测病毒之前已感染了病毒,潜伏的病毒也可以避开检查。(3)行为封锁:行为封锁的目的是防止病毒的破坏。这种技术试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。
3.漏洞扫描技术
《网站建设与管理》课程论文
浅谈电子商务网站的安全问题及应对措施
漏洞扫描技术最典型的网络漏洞扫描器。它是一个漏洞和风险评估工具,用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式:(1)外部扫描:通过远程检测目标主机TCP/IP 不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息,例如:是否能用匿名登录、是否有可写的FTP 目录、是否能用TELNET等。然后与漏洞扫描系统提供的漏洞库进行匹配,满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功,则可视为漏洞存在。(2)内部扫描:漏洞扫描器以root 身份登录目标主机,记录系统配置的各项主要参数,将之与安全配置标准库进行比较和匹配,凡不满足者即视为漏洞。
4.入侵检测技术
防火墙只是一种隔离控制技术,一旦入侵者进入了系统,他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。而入侵检测技术是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全技术。它是网站的第二道安全门。为了保护电子商务网站的安全,以防火墙为主的静态防护已经不能满足现在网站的需求,在防火墙之上加入入侵检测系统,可以增强网站安全。
5.安全认证技术
安全认证技术,可以确认交易方不是冒名,确认得到的信息是来自声称方,保证信息的完整和真实性未被人篡改。它对重要的信息采用密码技术进行加密,使它成为一种不可理解的密文。接收方收到密文后再对它进行解密,将密文还原成原来可理解的形式。目前,普遍采用的技术有:SSL安全协议、数字摘要、数字时间戳、数字证书等。
6.数据备份与恢复技术
任何的安全防御技术都不是百分百的安全,对于重要的数据要做到及时备份,这样才能在发生系统硬件故障、软件错误、人为失误、计算机病毒或自然灾害等破坏数据完整时起到数据的保护和恢复作用,将损失降到最低。
(二)管理措施方面
网站安全问题不仅是技术性问题,还是管理方面的问题。电子商务网站的安全无论采用多么高级的安全技术,网站安全问题仍时常会发生,因此还需加强电子商务网站安全管理。它包括网站员工的管理、设备管理、应急措施以及网站的日常维护和管理。保证员工不泄露密码或是将网站的机密随意发布,不访问非法网站,不轻易下载和安装程序,对员工进行业务培训,提高操作水平;对于网站的设备能做到防火、防盗、防磁、防水以及故障排除,并能实时的进行数据备份与恢复,保证电子商务网站的继续运行或紧急恢复。
四、结束语
计算机技术与网络技术的发展,使得电子商务不断进步,电子交易的手段更加多样化,安全问题就更加突出和重要。电子商务网站的安全是一个复杂的工程,不仅安全技术需要提高,还要加强网站安全管理,所以必须综合运用这些安全措施。随着我国对电子商务重视程度的加深,电子商务网站必将会逐步走上健康、安全、有保障的发展道路。
《网站建设与管理》课程论文
浅谈电子商务网站的安全问题及应对措施
参考文献:
[1] 陈兵,网络安全与电子商务[M],北京:北京大学出版社,2006。[2] 李大军,电子商务[M],北京:清华大学出版社,2002。
[3] 孙博,电子商务网站管理与维护[M],北京:北京邮电大学出版社,2008。[4] 管有庆,王晓军,电子商务安全技术[M],北京:北京邮电大学出版社,2006。[5] 刘晓宇,电子商务网站的安全分析[J],天津职业院校联合学报,2008(2):12-15。