探析电子商务安全问题及防范策略,为健全安全系统提供技术参考

2024-08-05
来源:网络整理

《电商在线支付安全问题探讨-.doc》由会员分享,可在线阅读,更多相关《电商在线支付安全问题探讨-.doc(7页珍藏版)》请到人人文库搜索。

电子商务中的安全问题及防范探索 摘要:通过分析电子商务安全问题产生的原因以及电子商务对安全环境的要求,提出了电子商务的安全防范策略,并进一步阐述和分析了当前解决电子商务安全的主要技术,为建立和完善电子商务安全体系提供技术参考。 关键词:电子商务 安全技术 安全协议 电子商务的发展将全球商业企业推向了一场真正的商业革命,其中起起伏伏,安全问题是关键。电子商务系统是一个平台上涉及信息、资金和物质交易的综合交易系统,其安全对象是一个开放的、复杂的、人员频繁移动的、与社会系统紧密耦合的系统,由商业组织本身(包括营销系统、支付系统、配送系统等)和信息技术系统组成。系统的安全目标和安全策略由组织的性质和需求决定。 一、电子商务中的安全问题 1、电子商务安全问题的出现。 (1)网络交易主体虚拟化带来的安全问题:在电子商务环境中,任何人都可以不经注册而借助计算机网络发送或接收网络信息,通过一定的程序与他人达成交易。虚拟主体的存在对电子商务交易的安全构成了严重威胁。(2)发布虚假信息带来的安全问题:当用户以合法身份进入系统时,买卖双方都可能在网上发布虚假的供求信息,或用过期信息冒充现行信息,以骗取对方钱财或货物。

(3)信用等级低带来的安全问题:信用等级低的买家带来的安全问题:信用等级低的买家可能恶意透支或使用伪造的信用卡骗取卖家商品或拖延付款,卖家需要承担风险。信用等级低的买家带来的安全问题:卖家不能按质、按量、按时交付消费者购买的商品,或不能全面履行与团购者签订的合同,给买家带来风险。信用等级低的买卖双方都有可能否认合同。 (4)网络欺诈的存在带来的安全问题:电子交易活动中频繁发生用户欺诈行为是网络骗子常用的伎俩。利用电子商务实施诈骗已成为一种新型的犯罪活动。目前,这种网络欺诈也已成为一个国际性问题。 (5)电子合同取代书面合同过程中带来的安全问题:在网络交易中,交易双方的一切信息都以电子形式保存在计算机硬盘或其他电子介质上。 这些记录不仅容易被擦除、删除、复制和丢失,而且如果没有记录工具(计算机)就不能作为证据独立存在,这就带来很多安全问题。(6)网上电子支付过程引发的安全问题:电子商务的网上支付是通过信用卡支付、虚拟银行的电子资金划拨来完成的,这个过程的实现涉及到网上银行与网上交易客户之间的协议、网上银行与网站的合作协议以及安全问题等。(7)产品交付过程引发的安全问题:有形商品网上交易中的物流配送环节引发的一些特殊问题以及无形信息产品在交付过程中的权利转移、退货、完成交付等引发的安全问题。

(8)网上消费者维权带来的安全问题:网上市场的虚拟性、开放性以及网上购物的便捷性,使消费者保护问题凸显。例如,质量问题、退款、维修困难等。(9)恶意网络攻击者的破坏活动带来的安全问题:包括系统渗透、违反授权原则、植入、通信监听、通信干扰、中断、拒绝服务、拒绝等。2、电子商务对安全环境的要求。(1)确保信息安全要求包括有效性、机密性、完整性、真实性/不可否认性/认证等;(2)确保授权的合法性;(3)确保交易者身份的确定性;(4)确保内网的严密性。 2.电子商务的安全防范策略电子商务安全防范策略经过几十年的探索,已经从最初的商务信息的保密性发展到商务信息的完整性、可用性、可控性和不可否认性,进而发展成为“攻、防、测、控、管、评”等诸多方面的基础理论和实现技术。目前,电子商务安全领域已经形成了九大核心技术,即:密码技术、身份认证技术、访问控制技术、防火墙技术、安全内核技术、网络防病毒技术、信息泄露防范技术、网络安全漏洞扫描技术、入侵检测技术。1.电子商务的主要安全技术。(1)加密技术。加密技术解决了传输信息的保密性问题,可分为对称加密和非对称加密。对称加密是传统的信息认证方式,交换信息的双方约定一个或一组密码,建立双方共享的密钥。

通信甲方用私钥对要发送的信息进行加密后发送给乙方,乙方用同样的私钥对信息进行解密,获得甲方传输的信息。对称加密主要采用的加密算法有DES数据加密标准、三重DES、IDEA、AES(高级加密算法)等,其最大优点是加解密速度快,适合加密大量数据,但密钥管理困难。非对称加密又称公钥加密,采用一个向社会公开的公钥和一个只有生成密钥对的交易方才能控制的私钥,分别完成加密和解密操作。例如,交易甲方生成一对密钥,将其中一个作为公钥公开给其他交易方;获得​​公钥的交易乙方使用该密钥对信息进行加密后发送给甲方;甲方再用自己保留的另一个私钥对加密信息进行解密。公钥密码学是密码技术的核心。 采用的算法主要有RSA算法、DSS/DSA算法和ECC算法,优点是机制灵活,但是加解密速度较慢。(2)数字签名。数字签名解决了防止他人破坏传输文件和如何确定发送者身份的问题。数字签名和书面文件签名具有相同的功能,它代表的是文件的特征,如果文件发生变化,数字签名的值也会改变,不同的文件会得到不同的数字签名。数字签名采用双重加密方式,通过以下过程:A.将发送的文件用SHA编码加密,生成数字摘要;B.发送者用自己的私钥对摘要进行加密,形成数字签名;C.将原文和加密后的摘要同时发送给对方;D.对方用发送者的公钥解密该摘要,同时将收到的文件用SHA编码加密,生成另一个摘要; E.接收方将解密后的摘要与接收文件重新加密后生成的摘要进行比对,最终达到防伪、防否认的目的。(3)数字时间戳。数字时间戳服务提供了电子文件发布时间的记录。

互联网资讯
阅读原文
分享