電子商務(wù)安全問(wèn)題及技術(shù)防范措施

　　電子商務(wù)的安全是一個(gè)復雜系統工程，僅從技術(shù)角度防范是遠遠不夠的，還必須完善電子商務(wù)方面的立法，以規范飛速發(fā)展的電子商務(wù)現實(shí)中存在的各類(lèi)問(wèn)題，從而引導和促進(jìn)我國電子商務(wù)快速健康發(fā)展。那么，下面是由小編為大家分享電子商務(wù)安全問(wèn)題及技術(shù)防范措施，歡迎大家閱讀瀏覽。

　　一、電子商務(wù)存在的安全性問(wèn)題

　　(一)電子商務(wù)安全的主要問(wèn)題

　　1.網(wǎng)絡(luò )協(xié)議安全性問(wèn)題：由于TCP/IP本身的開(kāi)放性， 企業(yè) 和用戶(hù)在電子交易過(guò)程中的數據是以數據包的形式來(lái)傳送的，惡意攻擊者很容易對某個(gè)電子商務(wù)網(wǎng)站展開(kāi)數據包攔截，甚至對數據包進(jìn)行和假冒。

　　2.用戶(hù)信息安全性問(wèn)題：目前最主要的電子商務(wù)形式是/S(Browser/Server)結構的電子商務(wù)網(wǎng)站，用戶(hù)使用瀏覽器登錄網(wǎng)絡(luò )進(jìn)行交易，由于用戶(hù)在登錄時(shí)使用的可能是公共 計算 機，那么如果這些計算機中有惡意木馬程序或病毒，這些用戶(hù)的登錄信息如用戶(hù)名、口令可能會(huì )有丟失的危險。

　　3.電子商務(wù)網(wǎng)站的安全性問(wèn)題：有些企業(yè)建立的電子商務(wù)網(wǎng)站本身在設計制作時(shí)就會(huì )有一些安全隱患，服務(wù)器操作系統本身也會(huì )有漏洞，不法攻擊者如果進(jìn)入電子商務(wù)網(wǎng)站，大量用戶(hù)信息及交易信息將被竊取。

　　(二)電子商務(wù)安全問(wèn)題的具體表現

　　1.信息竊取、篡改與破壞。電子的交易信息在網(wǎng)絡(luò )上傳輸的過(guò)程中，可能會(huì )被他人非法、刪除或重放，從而使信息失去了真實(shí)性和完整性。包括網(wǎng)絡(luò )硬件和軟件的問(wèn)題而導致信息傳遞的丟失與謬誤;以及一些惡意程序的破壞而導致電子商務(wù)信息遭到破壞。

　　2.身份假冒。如果不進(jìn)行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易，敗壞被假冒一方的聲譽(yù)或盜竊被假冒一方的交易成果等。

　　3.誠信安全問(wèn)題。電子商務(wù)的在線(xiàn)支付形式有電子支票、電子錢(qián)包、電子現金、信用卡支付等。但是采用這幾種支付方式，都要求消費者先付款，然后商家再發(fā)貨。因此，誠信安全也是影響電子商務(wù)快速 發(fā)展 的一個(gè)重要問(wèn)題。

　　4.交易抵賴(lài)。電子商務(wù)的交易應該同傳統的交易一樣具有不可抵賴(lài)性。有些用戶(hù)可能對自己發(fā)出的信息進(jìn)行惡意的否認，以推卸自己應承擔的責任。交易抵賴(lài)包括多個(gè)方面，如發(fā)信者事后否認曾經(jīng)發(fā)送過(guò)某條信息或內容，收信者事后否認曾經(jīng)收到過(guò)某條消息或內容，購買(mǎi)者做了定貨單不承認，商家賣(mài)出的商品因價(jià)格差而不承認原有的交易等。

　　5.病毒感染。各種新型病毒及其變種迅速增加，不少新病毒直接利用網(wǎng)絡(luò )作為自己的傳播途徑。我國計算機病毒主要就是蠕蟲(chóng)等病毒在網(wǎng)上的猖獗傳播。蠕蟲(chóng)主要是利用系統的漏洞進(jìn)行自動(dòng)傳播復制，由于傳播過(guò)程中產(chǎn)生巨大的掃描或其他攻擊流量，從而使網(wǎng)絡(luò )流量急劇上升，造成網(wǎng)絡(luò )訪(fǎng)問(wèn)速度變慢甚至癱瘓。

　　6.黑客。黑客指的是一些以獲得對其他人的計算機或者網(wǎng)絡(luò )的訪(fǎng)問(wèn)權為樂(lè )的計算機愛(ài)好者。而其他一些被稱(chēng)為“破壞者(cracker)”的黑客則懷有惡意，他們會(huì )摧毀整個(gè)計算機系統，竊取或者損害保密數據，網(wǎng)頁(yè)，甚至最終導致業(yè)務(wù)的中斷。一些業(yè)余水平的黑客只會(huì )在網(wǎng)上尋找黑客工具，在不了解這些工具的工作方式和它們的后果的情況下使用這些工具。

　　7.特洛伊木馬程序。特洛伊木馬程序簡(jiǎn)稱(chēng)特洛伊，是破壞性碼的傳輸工具。特洛伊表面上看起來(lái)是無(wú)害的或者有用的軟件程序，例如計算機游戲，但是它們實(shí)際上是“偽裝的敵人”。特洛伊可以刪除數據，將自身的復本發(fā)送給電子郵件地址簿中的收件人，以及開(kāi)啟計算機進(jìn)行其他攻擊。只有通過(guò)磁盤(pán)，從互聯(lián)網(wǎng)上下載文件，或者打開(kāi)某個(gè)電子郵件附件，將特洛伊木馬程序復制到一個(gè)系統，才可能感染特洛伊。無(wú)論是特洛伊還是病毒并不能通過(guò)電子郵件本身傳播——它們只可能通過(guò)電子郵件附件傳播。

　　8.惡意破壞程序。網(wǎng)站提供一些軟件應用(例如ActiveX和JavaApplet)，由于這些應用非常便于下載和運行，從而提供了一種造成損害的新工具。惡意破壞程序是指會(huì )導致不同程度的破壞的軟件應用或者Java小程序。一個(gè)惡意破壞程序可能只會(huì )損壞一個(gè)文件，也可能損壞大部分計算機系統。

　　9.網(wǎng)絡(luò )攻擊。目前已經(jīng)出現的各種類(lèi)型的網(wǎng)絡(luò )攻擊通常被分為三類(lèi)：探測式攻擊，訪(fǎng)問(wèn)攻擊和拒絕服務(wù)(DoS)攻擊。探測式攻擊實(shí)際上是信息采集活動(dòng)，黑客們通過(guò)這種攻擊搜集網(wǎng)絡(luò )數據，用于以后進(jìn)一步攻擊網(wǎng)絡(luò )。通常，軟件工具(例如探測器和掃描器)被用于了解網(wǎng)絡(luò )資源情況，尋找目標網(wǎng)絡(luò )、主機和應用中的潛在漏洞。例如一種專(zhuān)門(mén)用于破解密碼的軟件，這種軟件是為網(wǎng)絡(luò )管理員而設計的，管理員可以利用它們來(lái)幫助那些忘記密碼的員工，或者發(fā)現那些沒(méi)有告訴任何人自己的密碼就離開(kāi)了公司的員工的密碼。但這種軟件如果被錯誤的人使用，就將成為一種非常危險的武器。訪(fǎng)問(wèn)攻擊用于發(fā)現身份認證服務(wù)、文件傳輸協(xié)議(FTP)功能等網(wǎng)絡(luò )領(lǐng)域的漏洞，以訪(fǎng)問(wèn)電子郵件帳號、數據庫和其他保密信息。DoS攻擊可以防止用戶(hù)對于部分或者全部計算機系統的訪(fǎng)問(wèn)。它們的實(shí)現方法通常是：向某個(gè)連接到企業(yè)網(wǎng)絡(luò )或者互聯(lián)網(wǎng)的設備發(fā)送大量的雜亂的或者無(wú)法控制的數據，從而讓正常的訪(fǎng)問(wèn)無(wú)法到達該主機。更惡毒的是分布式拒絕服務(wù)攻擊(DDoS)，在這種攻擊中攻擊者將會(huì )危及多個(gè)設備或者主機的安全。

　　二、電子商務(wù)安全技術(shù)措施

　　電子商務(wù)的安全性策略可分為兩大部分：一部分是計算機網(wǎng)絡(luò )安全，第二部分是商務(wù)交易安全。電子商務(wù)中的安全性技術(shù)主要有以下幾種：

　　1.數據加密技術(shù)。對數據進(jìn)行加密是電子商務(wù)系統最基本的信息安全防范措施。其原理是利用加密算法將信息明文轉換成按一定加密規則生成的密文后進(jìn)行傳輸，從而保證數據的保密性。使用數據加密技術(shù)可以解決信息本身的保密性要求。數據加密技術(shù)可分為對稱(chēng)密鑰加密和非對稱(chēng)密鑰加密。

　　對稱(chēng)密鑰加密(SecretKeyEncryption)。對稱(chēng)密鑰加密也叫秘密/專(zhuān)用密鑰加密，即發(fā)送和接收數據的雙方必須使用相同的密鑰對明文進(jìn)行加密和解密運算。它的優(yōu)點(diǎn)是加密、解密速度快，適合于對大量數據進(jìn)行加密，能夠保證數據的機密性和完整性;缺點(diǎn)是當用戶(hù)數量大時(shí)，分配和管理密鑰就相當困難。目前常用的對稱(chēng)加密算法有：美國國家標準局提出DES算法、由瑞士聯(lián)邦理工學(xué)院的IDEA算法等。

　　非對稱(chēng)密鑰加密(PublicKeyEncryption)。非對稱(chēng)密鑰加密也叫公開(kāi)密鑰加密，它主要指每個(gè)人都有一對唯一對應的密鑰：公開(kāi)密鑰(簡(jiǎn)稱(chēng)公鑰)和私人密鑰(簡(jiǎn)稱(chēng)私鑰)公鑰對外公開(kāi)，私鑰由個(gè)人秘密保存，用其中一把密鑰來(lái)加密，就只能用另一把密鑰來(lái)解密。非對稱(chēng)密鑰加密算法的優(yōu)點(diǎn)是易于分配和管理，缺點(diǎn)是算法復雜，加密速度慢。一般用公鑰來(lái)進(jìn)行加密，用私鑰來(lái)進(jìn)行簽名;同時(shí)私鑰用來(lái)解密，公鑰用來(lái)驗證簽名。算法的加密強度主要取決于選定的密鑰長(cháng)度。目前常用的非對稱(chēng)加密算法有：麻省理工學(xué)院的RSA算法、美國國家標準和技術(shù)協(xié)會(huì )的SHA算法等。

　　復雜加密技術(shù)。由于上述兩種加密技術(shù)各有長(cháng)短，目前比較普遍的做法是將兩種技術(shù)進(jìn)行集成。 lwlmpageLWLM編輯。 向解密后得到明文。

　　2.數字簽名技術(shù)。數字簽名是通過(guò)特定密碼運算生成一系列符號及碼組成 電子 密碼進(jìn)行簽名，來(lái)替書(shū)簽名或印章，對于這種電子式的簽名還可進(jìn)行技術(shù)驗證，其驗證的準確度是一般手工簽名和圖章的驗證所無(wú)法比擬的。數字簽名技術(shù)可以保證信息傳送的完整性和不可抵賴(lài)性。

　　3.認證機構和數字證書(shū)。所謂CA認證機構，它是采用PKI(Public Key Infrastructure)公開(kāi)密鑰基礎架構技術(shù)，利用數字證書(shū)、非對稱(chēng)和對稱(chēng)加密算法、數字簽名、數字信封等加密技術(shù)，建立起安全程度極高的加解密和身份認證系統，確保電子交易有效、安全地進(jìn)行，從而使信息除發(fā)送方和接收方外，不被其他方知悉(保密性);保證傳輸過(guò)程中不被篡改(完整性和一致性);發(fā)送方確信接收方不是假冒的;發(fā)送方不能否認自己的發(fā)送行為(不可抵賴(lài)性)。電子商務(wù)安全性的解決，大大地推動(dòng)了電子商務(wù)的 發(fā)展 。在電子交易中，無(wú)論是數字時(shí)間戳服務(wù)還是數字證書(shū)的發(fā)放，都不是靠交易雙方自己能完成的，而需要有一個(gè)具有權威性和公正性的第三方來(lái)完成。CA認證機構作為權威的、可信賴(lài)的、公正的第三方機構，提供 網(wǎng)絡(luò ) 身份認證服務(wù)，專(zhuān)門(mén)負責發(fā)放并管理所有參與網(wǎng)上交易的實(shí)體所需的數字證書(shū)。

　　4.安全認證協(xié)議。目前電子商務(wù)中經(jīng)常使用的有安全套接層SSL(Secure Sockets Layer)協(xié)議和安全電子交易SET(Secure Electronic Transaction)協(xié)議兩種安全認證協(xié)議。

　　安全套接層(SSL)協(xié)議。SSL協(xié)議是Netscape公司在網(wǎng)絡(luò )傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。SSL協(xié)議是一個(gè)保證任何安裝了安全套接層的客戶(hù)和服務(wù)器間事務(wù)安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶(hù)/服務(wù)器應用程序提供了客戶(hù)端和服務(wù)器的鑒別、數據完整性及信息機密性等安全措施。目的是為用戶(hù)提供Internet和 企業(yè) 內聯(lián)網(wǎng)的安全通信服務(wù)。SSL協(xié)議在應用層收發(fā)數據前，協(xié)商加密算法，連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協(xié)議(如HTTP、FTP、TELNET等)以保證應用層數據傳輸的安全性。SSL協(xié)議握手流程由兩個(gè)階段組成：服務(wù)器認證和用戶(hù)認證。SSL采用了公開(kāi)密鑰和專(zhuān)有密鑰兩種加密：在建立連接過(guò)程中采用公開(kāi)密鑰;在會(huì )話(huà)過(guò)程中使用專(zhuān)有密鑰。加密的類(lèi)型和強度則在兩端之間建立連接的過(guò)程中判斷決定。它保證了客戶(hù)和服務(wù)器間事務(wù)的安全性。

　　安全電子交易(SET)協(xié)議。SET協(xié)議是針對開(kāi)放網(wǎng)絡(luò )上安全、有效的銀行卡交易，由維薩(Visa)公司和萬(wàn)事達(Mastercard)公司聯(lián)合研制的，為Internet上卡支付交易提供高層的安全和反欺詐保證。由于它得到了IBM、HP、Microsoft等很多大公司的支持，已成為事實(shí)上的 工業(yè) 標準，目前已獲得IETF標準的認可。這是一個(gè)為Internet上進(jìn)行在線(xiàn)交易而設立的一個(gè)開(kāi)放的、以電子貨幣為基礎的電子付款規范。SET在保留對客戶(hù)信用卡認證的前提下，又增加了對商家身份的認證，這對于需要支付貨幣的交易來(lái)講是至關(guān)重要的。SET將建立一種能在Internet上安全使用銀行卡購物的標準。安全電子交易規范是一種為基于信用卡而進(jìn)行的電子交易提供安全措施的規則，SET協(xié)議保證了電子交易的機密性、數據完整性、身份的合法性和防抵賴(lài)性，且SET協(xié)議采用了雙重簽名來(lái)保證各參與方信息的相互隔離，使商家只能看到持卡人的訂購數據，而銀行只能取得持卡人的信用卡信息。所以它是一種能廣泛應用于Internet上的安全電子付款協(xié)議，它能夠將普遍應用的信用卡的使用場(chǎng)所從目前的商店擴展到消費者家里，擴展到消費者個(gè)人 計算 機中。

　　5.其他安全技術(shù)。電子商務(wù)安全中，常用的方法還有網(wǎng)絡(luò )中采用防火墻技術(shù)、虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)、防病毒保護等。如果單純依靠某個(gè)單項電子商務(wù)安全技術(shù)是不夠的，還必須與其他安全措施綜合使用才能為用戶(hù)提供更為可靠的電子商務(wù)安全基石。

【電子商務(wù)安全問(wèn)題及技術(shù)防范措施】相關(guān)文章：

資產(chǎn)評估的風(fēng)險及防范措施05-24

企業(yè)采購風(fēng)險防范措施01-20

關(guān)于電子商務(wù)中網(wǎng)絡(luò )技術(shù)的應用03-29

意大利留學(xué)安全問(wèn)題03-29

小微金融風(fēng)險防范措施08-07

貨代常見(jiàn)法律風(fēng)險及防范措施12-11

無(wú)單放貨風(fēng)險防范措施03-30

網(wǎng)絡(luò )攻擊的常見(jiàn)手法及其防范措施01-23

電力檢修施工安全問(wèn)題及措施01-31