第三章电子商务安全技术。
3.1 电子商务安全技术概述。
电子商务是一个机遇和挑战共存的新领域,这种挑战在很大程度上**于对可使用的安全技术的信赖。在开放的网络(如internet)上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要因素之一。
在今天,实现和管理一个安全的电子商务环境是一项困难的工作。企业必须提供一个更细粒度的防火墙方法。企业的安全结构框架内必须包括数字签名、以及其他认证和授权的方法的使用。
实现了安全就等于实现了电子商务,因为用户、客户、以及公司都想要保证他们的数据的安全性,不被未授权用户破坏和误用。因此,在运行一个电子商务时,你就必须重视认证和授权。为实现电子商务,你必须建立一条"信任链",并使每个人都知道它。
安全是制约电子商务发展的瓶颈。从安全体系来看,最重要的就是认证,人和人要认证身份,机器和机器要认证身份,以及攻击性的问题,协议的双方不能随意的终止合同。
然而,由于企业时间和资金的关系,必须提供一个快速,但又安全性高的电子商务解决方案。这就意味着你必须将现有的应用程序集成到一个安全的环境中去,但有不必改变原有的程序。电子商务的一个基本功能就是它能使公司员工或者客户通过互联网得到公司的资源。
随着新的商业事务不断出现,许多企业都发现他们现有的安全结构已不能满足需要。网络安全的要求已不仅仅是用户账户管理和限制在内部网和外部网之间的电子邮件或网络业务,它现在要求一个更复杂的系统,能控制更细粒度的访问,并且这个系统必须易于管理,以保护各种安全性威胁。
对于安全性必须采取系统的方法。安全性的解决方案中的一个问题是它的复杂度和成本。实际上,使用安全性解决方案的限制常有以下这些:
安全性过于复杂。
安全措施难以实现。
整个安全性的成本不断升高。
安全性的问题阻碍了电子商务的发展。
电子商务安全解决方案的框架,是将信息技术安全性的规则作为其整个结构框架的一部分,而并不是仅仅包括用于解决个别问题的毫无关联性的产品。主要包括如下内容:
全面的安全性策略,他们的定义、处理、以及实现,和他们的集中式控制。
安全的边界服务,通过使用防火墙或是虚拟专用网(vpn)和可移植**的安全性解决方案来连接计算机网络。
实时侵入探测系统(ids)和集中式ids关联性,以及病毒免疫。
一个公钥基础结构,用于识别和处理身份。
提供一系列应用编程接口的工具箱,用于在软件中实现特定的安全性。
电子商务安全性的实现,取决于不使用它的危险性和使用它得到的利益之间的权衡。企业在电子商务中实现安全性的决定包括一系列的决定和政策,而不仅仅是"是"与"否"的二元选择。在各种各样的安全机制中,使用哪一种,以及使用到什么程度,取决于企业的商业应用程序的性质以及其所投入的商业价值。
通常,企业在安全技术上的投资,和企业管理和维护这些技术的花费,要少于其对电子商务的期望效益。
电子商务的一个重要技术特征是利用it技术来传输和处理商业信息。因此,电子商务安全从整体上大致可分为两大部分:计算机网络安全和电子商务交易安全。
计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
电子商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。作为近年来最活跃的internet应用,电子商务与普通联网应用系统明显不同,一是交易过程涉及多方交叉认证;二是涉及金额巨大;三是要为每一次网上交易提供类似合同的行为依据,否则无法解决可能发生的法律纠纷。为此,要保证交易过程中数据**可靠,传输安全、不被篡改并且能为交易各方的行为提供无以抵赖的证据。
目前成熟的做法是:通过数字证书和安全检查技术解决各方身份的交叉确认;通过数字签名技术验证数据的完整性、**的可靠性,并为交易各方行为提供不可抵赖的证据;通过加密技术确保数据在传递过程中的保密性。针对这些技术的具体应用,有许多不同的安全协议和整体解决方案。
计算机网络安全与电子商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,电子商务交易安全就犹如空中楼阁,无从谈起。没有电子商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
3.1.1 电子商务网络安全技术。
由于internet tcp/ip网络平台及其应用(电子邮件,文件传输系统)的最初设计主要集中考虑解决异构计算机、异构操作系统与异构通信网络的互连、互通与互操作性,而没有考虑解决信息的保密安全问题。这致使各种各样的“黑客”(hacker)泛滥,一些心术不正者、恶作剧者滥用信息,利用internet从事非法活动等等。这些都对电子商务的安全构成严重威胁。
虽然internet技术能够使企业采用新的战略和快速建立高效电子商务模式,但也大大增加了宝贵的企业信息、关键业务应用系统和客户隐秘信息向外暴露的风险。恶意袭击经常破坏电子商务站点,而这些袭击**不明,形式多样--包括破坏性病毒、伪造交易、分布式阻断服务等。任何这类袭击都有可能中断企业的服务、暴露企业的机密信息、破坏公众对电子商务的信心,并对实施电子商务的企业带来毁灭性打击。
无论是与**链连接、向合作伙伴提供远程数据库的访问,还是运营某个电子商务站点,或是跨越地理位置开展协作,企业电子商务是否成功取决于企业以安全方式来执行任务的能力。
由于internet的开放性和共享性,给电子商务的发展带来了极大的安全隐患,解决安全性和保密性的问题,是在internet上开展电子商务的首要任务。
在internet上的电子商务应用,必须保证存储信息的安全性,并对网络内部实行规范化管理。一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
这些网络安全技术主要包括如下内容:
使用访问控制权限机制实现数据的访问控制。
对日志以及敏感数据和信息进行加密存储。
当使用www服务器支持电子商务活动时,注意数据的备份和恢复,并采用防火墙技术(有些专家建议直接采用物理分割www服务器和内部网络的连接)保护内部网络的安全性。
良好的用户管理机制,向授权用户提供利用internet/intranet访问关键业务信息的权限,同时阻止未经授权的用户的访问。
提供全面实时的病毒防护和防恶意**保护,主动截获潜伏于电子邮件以及远程或本地文件中的病毒。
防止恶意袭击,保护与internet连接的系统不受恶意**的破坏。其功能包括实时的袭击干预、自动探测、阻止和通知各类恶意袭击的内容。
实时入侵探测,保证网络周边的安全性。
未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。
3.1.2 电子商务交易安全技术。
当许多传统的商务方式应用在internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。由于电子商务的形式多种多样,涉及的安全问题各不相同,但在internet上的电子商务交易过程中,最核心和最关键的问题就是商务交易的安全性。
电子商务的安全要素一般来说商务安全中普遍存在着以下几种安全隐患:
窃取信息 :由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
篡改信息: 当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或者网关上都可以做此类工作。
假冒: 由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
恶意破坏 :由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网络中的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
因此,电子商务的安全交易主要保证以下几个方面的安全要素:
有效性:电子商务以电子形式取代了纸张,那么,如何保证这种电子形式的**信息的有效性则是开展电子商务的前提。电子商务作为**的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。
因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证**数据在确定的时刻、确定的地点是有效的。
信息保密性:电子商务作为**的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面**都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。
电子商务是建立在一个较为开放的网络环境上的(尤其internet是更为开放的网络),维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。在数据传输过程和存储过程中采用加密技术,使数据不被别人窃取、泄露、篡改和破坏。
以加密实现的通讯层次来区分,加密可以在通讯的三个不同的层次来实现,即链路加密、节点加密、端到端加密。
交易中的商务信息均有保密的要求: 如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。
交易者身份的确定性/鉴别:电子商务可能直接关系到**双方的商业交易,如何确定要进行交易的**方正是进行交易所期望的**方这一问题则是保证电子商务顺利进行的关键。在传统的纸面**中,**双方通过在交易合同、契约或**单据等书面文件上手写签名或印章来鉴别**伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行**双。
方的鉴别已是不可能的。网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是**,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。
因此能方便而可靠地确认对方身份是交易的前提。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
电子商务安全技术
复习要点。第一章电子商务安全概述 重点 1 电子商务安全问题。2 电子商务安全构成。3 电子商务安全特点。4 电子商务安全需求。5 电子商务安全技术体系。第二章电子商务安全管理。1 我国的信息安全管理机构。2 信息安全管理原则 重点 3 信息安全管理制度。第三章信息安全技术 重点 1.概念 加密 解...
电子商务安全技术
电子商务安全技术 课程教学设计。一 课程特点 电子商务安全技术 课程是电子商务专业的专业课程。该课程的目标是要求学生在掌握基本概念和理论的基础上,结合实际问题,在电子商务的实施中应用有关技术为具体商务过程的实现提供安全保障。该课程内容非常庞杂且综合性强,包括信息加密技术 计算机网络安全技术 电子支付...
电子商务安全技术
第4章电子安全技术。4.1 数字加密技术。加密的概念 加密就是用基于数学算法的程序和加密的密钥对信息进行编码,生成别人难以理解的符号。加密的几个重要概念 明文p 也称信源m 密钥k 密文c 加密e 解密d 密钥k的所有可能的取值范围叫做密钥空间 加密算法 解密算法。被动攻击和主动攻击 被动攻击是指通...