电子商务安全与防范摘要:通过对电子商务领域存在的安全问题的剖析,分析与电子商务有关的安全威胁、安全要求以及安全标准等,通过查阅相关文献,总结出如何解决电子商务的安全问题,从安全技术、法律政策保障和管理制度等方面着手对国家、企业以及个人多角度提出相关建议,来保证电子商务健康持续稳定的发展。
关键词:电子商务;威胁;安全要素;防范措施;安全技术;法律保障一、背景电子商务即EC(Electronic Commerce),简单讲就是利用先进的电子技术进行商务活动的总称。
现代电子商务是基于Internet技术的新型的商务活动,是21世纪市场经济商务运行的主要模式。
Internet具有全球性、开放性、不受时间和空间限制的特点,给电子商务带来种种便利的同时,也带来了种种不安全因素。
所以实现电子商务的关键是要保证电子商务过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。
显而易见,研究如何在电子商务过程中保护交易双方安全的问题就变得非常的重要了。
二、安全问题(一)面临的主要威胁电子商务面临的主要威胁包括:系统的中断、信息的截获和窃取、信息的篡改、信息的伪造以及信息抵赖。
1、系统的中断:是针对可用性进行的攻击。
在此过程中,系统资源变得易损失、不可得或不可用。
造成原因有网络故障、操作错误、应用程序错误、硬件故障、系统软件错误以及计算机病毒等恶意攻击。
2、信息的截获和窃取:是针对机密性进行的攻击。
是指某些非授权实体获得对资源的存取权。
该威胁会造成账号、密码或商业机密泄露等问题。
3、信息的篡改:是针对完整性进行的攻击。
具体包括篡改、插入和删除,即对原有信息进行非法操作,破坏其完整性。
4、信息的伪造:是针对身份认证机制进行的攻击。
有效身份认证是电子商务交易顺利进行的关键。
5、交易抵赖:当贸易一方发现交易行为对自己不利或当利益刺激到一定程度时,就有可能否认电子交易行为。
(二)安全要素针对电子商务在当前面临的主要威胁,权威机构提出了电子商务安全的基本要素,即机密性、完整性、可用性、可认证性和抗抵赖性。
1、机密性是指保证信息为授权者想用而不泄露给未授权者。
2、完整性是指保证只有被授权的各方能够修改计算机系统的有价值的内容和传输的信息,修改包括对信息的写、改变状态、删除、创建、时延和重放。
3、可用性是指保证信息和信息系统随时为授权者提供服务,而不会出现非授权者滥用却对授权者拒绝服务的情况。
4、可认证性是指提供对通信中对等实体和数据来源的鉴别。
5、抗抵赖性是指防止参与某与通信交换的任何一方事后否认本次通信或通信的内容。
(三)安全构架电子商务的发展是技术发展的体现,是人类需求多样化的体现。
确保电子商务的健康持续发展,需要一套完整的电子商务安全框架,来保证各个环节的安全稳定。
电子商务安全涉及到人、过程和技术3种因素,包括保护、检测、反应、恢复4个环节。
在电子商务涉及的3种因素中,人和过程的因素是与管理相关的,所以这三种因素又可分为管理和技术两个层面。
正如人们常说的:信息系统的安全,三分靠技术,七分靠管理。
所以在日常的电子商务系统运转、业务开展过程中,不仅要注重技术的因素,也要注重人、过程等因素。
在电子商务安全涉及的4个环节中,保护是指采用一些网络安全产品、工具和技术保护网络系统、数据和用户。
检测是指实时监控系统的安全状态。
反应是指当攻击发生时,系统能及时的做出响应,防止攻击进一步的发生,使安全事件的影响降至最小范围。
恢复是指当入侵发生,对系统已经造成一定的破坏后,采用一套机制进行及时的恢复系统的工作。
(四)安全标准既然在全球范围内进行电子商务,那么制定并遵守一些相关协议就显得极其重要了,就目前而言,在电子商务领域的主要的协议有:1、安全套接字层(SSL)该协议为基于TCP/IP的客户/服务器应用程序提供了客户端和服务端的鉴别、数据完整性和信息机密性等安全措施,该协议主要使用公开密钥体制和X.509数字证书技术。
在电子交易中被用来安全传送信用卡号码。
但是它是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,而电子商务往往是由用户、网站、银行三家协作完成, SSL协议并不能协调各方间的安全传输和信任关系。
2、安全电子交易规范(SET)该协议为基于信用卡进行电子化交易的应用提供了实现安全措施的规则。
主要应用于保障网上购物信息的安全性。
由于它提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,具有保证不将消费者银行卡号暴露给商家等优点,但也无法解决电子商务中所有的问题。
三、防范措施要保证电子商务能够顺利的展开,必须充分考虑各种因素以及解决问题的多项可行性对策,而考虑到电子商务涉及到人、过程和技术三个因素,所以针对电子商务面临的安全问题,我们的对策主要从以下个方面进行:(1)安全技术(2)法律保障与政策(3)管理制度(一)安全技术1、访问控制访问控制是指对网络中的某些资源的访问进行控制,只有被授权的用户才有资格并有可能去访问有关的数据或程序。
它的主要任务是保证资源不被非法使用和非法访问。
常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。
2、加密技术加密技术是认证技术及其他许多安全技术的基础。
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
密钥加密技术的密码体制分为对称密钥体制和公用密钥体制。
分别采用对称加密(私人密钥加密)和非对称加密(公开密钥加密)技术。
对称加密以DES算法为典型代表,非对称加密通常以RSA算法为代表。
3、防火墙技术防火墙就是一个受到保护联接到互联网上的计算机免受入侵的硬件或软件程序。
防火墙可以过滤进出网站的信息,确保其符合一定标准,否则就不允许其进入网络,从而达到保护高安全等级的子网、防止墙外黑客的攻击、限制入侵蔓延等目的。
但是,防火墙不能阻止来自用户网络内部的攻击。
4、入侵检测技术入侵检测是通过监控网络与系统的状态、行为以及系统的使用情况,来检测用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图,在发现入侵后,及时采取相应的措施来阻止入侵活动的进一步破坏,包括切断网络连接、记录事件和报警等。
入侵检测不仅可以检测外部入侵,而且对内部的滥用行为也有很好的检测能力。
5、虚拟专用网(VPN)虚拟专用网技术是一种在公用互联网络上构造专用网络的技术。
将物理上分布在不同地点的专用网络,通过公共网络构造成逻辑上的虚拟子网,进行安全的通信。
通过“通道”或“数据封装”,用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。
VPN可以在你与商业合作伙伴或者顾客之间架设一条安全的网络“隧道”,不仅实施方便,且费用也较低。
6、认证技术认证技术提供了一种安全可靠的验证交易各方身份真实性的验证机制。
安全认证技术主要有:(1)数字摘要技术,通过验证收到的明文是否被篡改来保证数据的完整性和有效性。
(2)数字签名技术,能实现对原始报文的鉴别和不可否认性,同时还能阻止伪造签名。
(3)数字时间戳技术,用于提供电子文件发表时间的安全保护。
(4)数字凭证技术,又称为数字证书,负责用电子手段来证实用户的身份和对网络资源访问的权限。
(5)认证中心,负责审核用户的真实身份并对此提供证明,从而缓解了可信第三方的系统瓶颈问题。
7、防范病毒与蠕虫病毒和蠕虫是电子商务企业面临的一个很重要的安全威胁。
防范病毒要遵循以下原则:不使用.doc尽量使用RTF复文本格式保存文档;不使用.xls而用CSV保存excel文件;及时杀毒;定期备份文件;使用邮件查毒工具;阻止接收和发送可执行代码;谨慎对待垃圾邮件;使用物理上隔离开的PC访问网络;不使用杂志封面上附带的光盘。
另介绍两个有关防病毒知识的网站: 和www.interpol.int (二)法律保障与政策因为电子商务的交易涉及到商户、银行、电信、公证和消费者多方的利益,而在全球,尤其是在我国,有关电子商务的立法都未正式实施,或者说,已存在的相关法律都只是涉及了一个大概,并没有详细的规范,然而在电子商务中,各方利益冲突的现象并不少见,所以法律保障和相关政策的实施对电子商务的安全进行尤为重要。
1、网页链接的法律问题:包括文字、图像、视框链接等。
为了避免这类问题,我们在构建网站,创建链接的时候,应事先取得所有权人的同意与授权,需保留其中版权的信息,应该直接链接至原网站。
而对于被链接的一方,则应该加强自身的法律维权意识,在发布相关信息的时候,应学会使用数字签名等技术来从根本上杜绝版权侵犯问题。
2、网上契约效力问题:包括电子文档存在的契约和通过网络双击同意订立的合同方式。
我们可以充分利用契约明确双方的权利与义务,对定型化契约,注意遵循诚实守信、等价有偿的原则。
3、网络经营合法性问题:对涉及公众利益或经营者必须取得有关部门的许可才可经营的行业,应经过一定形式的审批和许可才可入网。
法律相关部门应本着一切为消费者着想的心理去监管。
(三)管理制度为了保证电子商务的安全实施,我们可以从国家、企业、个人三个角度建立良好的支撑环境。
随着技术的不断发展,我们可以研制发明新的认证技术,如我们可以通过指纹或者眼角纹识别技术来确定身份。
此外各国还可以根据国家、地区的划分来建立一个全球范围内的诚信系统,对商家和消费者进行的各次交易进行诚信评判,并实行相应的奖惩制度。
如多次出现诚信问题的商户将考虑一段时间内不许入网的惩罚。
对国家而言,应该鼓励电子商务领域的国际合作,努力培养电子商务领域的专业人才,同时也不能为了促进电子商务的快速发展,一味的放任不管,应该对其中出现的问题坚决的抵制和规范,要不断地完善电子商务领域相关的法律法规,从而保证电子商务健康的发展。
对企业而言,要安装一个性能卓越可靠的物理防盗设备,购置一套报警系统,定期设置浏览器的安全标签,制订危机应对预案。
为了保证电子商务的安全进行,企业必须为顾客提供多种交易方式,同时要制订隐私政策。
该政策要向用户保证用户向网站提供的信息都将是安全的,不会出售给第三方,企业要与用户建立充分的信任。
当企业不幸成为了黑客或者病毒的牺牲品的时候,不应该封锁信息,正确的做法是通知用户,防止更严重的后果。
为了避免出现内部威胁,企业应该严格审查求职申请表,把信息的访问权限只提供给需要的人,当雇员离开企业后,应立即取消其账号。
对个人而言,要时刻保持警惕。
当进行电子交易的时候,要明确自己的信用卡信息是否会遭到滥用,要熟知各个网站的隐私政策,不要等遇到了问题才去寻求帮助。
另外,坚决不做违法犯法的事,遇到违法行为要及时报警,要把维护电子商务安全作为个人的义务与责任。