- 相關推薦
電子商務及其安全技術.
[摘要] 電子商務的安全性是影響其成敗的一個關鍵因素。本文討論了電子商務應用中所存在的題目,繼而對電子商務的安全性技術進行了分析,提出了一些相應措施。[關鍵詞] 網絡安全交易安全安全技術安全措施
一、引言
電子商務的發展遠景十分誘人,而其安全題目也變得越來越突出,如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為商家和用戶都十分關心的話題。
二、電子商務存在的安全題目
1.計算機網絡安全
(1)潛伏的安全隱患。未進行操縱系統相關安全配置。不論采用什么操縱系統,在缺省安裝的條件下都會存在一些安全題目,只有專門針對操縱系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。
(2)未進行CGI程序代碼審計。網站或軟件供給商專門開發的一些CGI程序,很多存在嚴重的CGI題目,對于電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重后果。
(3)安全產品使用不當。由于一些網絡安全設備本身的題目或使用題目,這些產品并沒有起到應有的作用。很多廠商的產品對配置職員的技術背景要求很高,超出對普通網管職員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但系統改動,在改動相關安全產品的設置時,很輕易產生很多安全題目。
(4)缺少嚴格的網絡安全治理制度
網絡安全最重要的還是要思想上高度重視,網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。
2.商務交易安全
(1)竊取信息。由于未采用加密措施,信息在網絡上以明文形式傳送,進侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
(2)篡改信息。當進侵者把握了信息的格式和規律后,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然后再發向目的地。
(3)假冒。由于把握了數據的格式,并可以篡改通過的信息,攻擊者可以冒充正當用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
(4)惡意破壞。由于攻擊者可以接進網絡,則可能對網絡中的信息進行修改,把握網上的機要信息,甚至可以潛進網絡內部,其后果是非常嚴重的。
三、電子商務安全技術
1.加密技術
(1)對稱加密/對稱密鑰加密/專用密鑰加密
該方法對信息的加密和解密都使用相同的密鑰。使用對稱加密方法將簡化加密的處理,每個貿易方都不必彼此研究和交換專用的加密算法而是采用相同的加密算法并只交換共享的專用密鑰。假如進行通訊的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密/公然密鑰加密
這種加密體系中,密鑰被分解為一對。這對密鑰中的任何一把都可作為公然密鑰通過非保密方式向他人公然,而另一把則作為專用密鑰加以保存。公然密鑰用于對機密性的加密,專用密鑰則用于對加密信息的解密。專用密鑰只能由天生密鑰對的貿易方把握,公然密鑰可廣泛發布,但它只對應于天生該密鑰的貿易方。
(3)數字摘要
該方法亦稱安全Hash編碼法或MD5。采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文,即數字指紋,它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這摘要便可成為驗證實文是否是“真身”的“指紋”了。
(4)數字簽名
信息是由簽名者發送的;信息在傳輸過程中未曾作過任何修改。這樣數字簽名就可用來防止電子信息因易被修改而有人作偽;或冒用別人名義發送信息;或發出(收到)信件后又加以否認等情況發生。
(5)數字時間戳
它是一個經加密后形成的憑證文檔,包括三個部分:需加時間戳的文件的摘要;DTS收到文件的日期和時間;DTS的數字簽名。
(6)數字憑證
數字憑證又稱為數字證書,是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。在網上的電子交易中,如雙方出示了各自的數字憑證,并用它來進行交易操縱,那么雙方都可不必為對方身份的真偽擔心。它包含:憑證擁有者的姓名; 憑證擁有者的公共密鑰;公共密鑰的有效期;頒發數字憑證的單位;數字憑證的序列號;頒發數字憑證單位的數字簽名。
數字憑證有三種類型:個人憑證,企業(服務器)憑證, 軟件(開發者)憑證。
2.Internet電子郵件的安全協議
(1)PEM:是增強Internet電子郵件隱秘性的標準草案,它在Internet電子郵件的標準格式上增加了加密、鑒別和密鑰治理的功能,答應使用公然密鑰和專用密鑰的加密方式,并能夠支持多種加密工具。對于每個電子郵件報文可以在報文頭中規定特定的加密算法、數字鑒別算法、散列功能等安全措施。
(2)S/MIME:是在RFC1521所描述的多功能Internet電子郵件擴充報文基礎上添加數字簽名和加密技術的一種協議,目的是在MIME上定義安全服務措施的實施方式。
(3)PEM-MIME:是將PEM和MIME兩者的特性進行了結合。
3.Internet主要的安全協議
(1)SSL:是向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施。該協議通過在應用程序進行數據交換前交換SSL初始握手信息來實現有關安全特性的審查。在SSL握手信息中采用了DES、MD5等加密技術來實現機密性和數據完整性,并采用X.509的數字證書實現鑒別。
(2)S-HTTP:是對HTTP擴充安全特性、增加了報文的安全性,它是基于SSL技術的。該協議向WWW的應用提供完整性、鑒別、不可抵賴性及機密性等安全措施。
(3)STT: STT將認證和解密在瀏覽器中分離開,用以進步安全控制能力。
(4)SET:主要文件是SET業務描述、SET程序員指南和SET協議描述。SET 1.0版己經公布并可應用于任何銀行支付服務。它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。
SET規范明確的主要目標是保障付款安全,確定應用之互通性,并使全球市場接受。 4.UN/EDIFACT的安全
UN/EDIFACT報文是唯一的國際通用的EDI標準。利用Internet進行EDI己成為人們日益關注的領域,保證EDI的安全成為主要解決的題目。
5.虛擬專用網(VPN)
它可以在兩個系統之間建立安全的信道(或隧道),用于電子數據交換。它與信用卡交易和客戶發送訂單交易不同,由于在VPN中,雙方的數據通訊量要大得多,而且通訊的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術,只要通訊的雙方默認即可,沒有必要為所有的VPN進行同一的加密和認證。
6.數字認證
用電子方式證實信息發送者和接收者的身份、文件的完整性(如一張發票未被修改過),甚至數據媒體的有效性(如錄音、照片等)。目前,數字認證一般都通過單向Hash函數來實現,它可以驗證交易雙方數據的完整性,
7.認證中心(CA)
CA的基本功能是:
天生和保管符合安全認證協議要求的公共和私有密鑰、數字證書及其數字簽名。
對數字證書和數字簽名進行驗證。
對數字證書進行治理,重點是證書的撤消治理,同時追求實施自動治理。
建立應用接口,特別是支付接口。CA是否具有支付接口是能否支持電子商務的關鍵。
8.防火墻技術
防火墻具有以下五大基本功能:(1)過濾進、出網絡的數據;(2)治理進、出網絡的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內容和活動;(5)對網絡攻擊進行檢測和告警。
目前的防火墻主要有兩種類型。其一是包過濾型防火墻,其二是應用級防火墻。
9.進侵檢測
進侵檢測技術是防火墻技術的公道補充,其主要內容有:進侵手段與技術、分布式進侵檢測技術、智能進侵檢測技術以及集成安全防御方案等。
四、電子商務網站安全體系與安全措施
一個全方位的計算機網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和治理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全治理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,并增加了審核信息的數目,利用這些審核信息可以跟蹤進侵者。
1.采取特殊措施以保證電子商務之可靠性、可用性及安全性
使用容錯計算機系統或創造高可用性的計算機環境,以確保信息系統保持可用及不中斷動作。災難復原計劃提供一套程序與設備來重建被中斷的計算與通訊服務。當組織利用企業內部網或因特網時,防火墻和進侵偵測系統協助防衛專用網絡避免未授權者的存取。加密是一種廣泛使用的技術來確保因特網上傳輸的安全。數字證書可確認使用者的身份,提供了電子交易更進一步的保護。
2.實施網絡安全防范措施
首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;
其次要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析,找出可能存在的安全隱患,并及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火墻,加強授權治理和認證;利用RAID5等數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網絡上傳輸的敏感信息要進行強度的數據加密;安裝防病毒軟件,加強內部網的整體防病毒措施;建立具體的安全審計日志,以便檢測并跟蹤進侵攻擊等。
3.電子商務交易中的安全措施
在早期的電子交易中,曾采用過安全措施有:部分告知;另行確認;在線服務等。這些方法均有一定的局限性,且操縱麻煩,不能實現真正的安全可靠性。近年來,針對電子交易安全的要求,IT業界與金融行業一起,推出不少有效的安全交易標準和技術,正如上述所列的九種技術。
另外,還可以選擇一些加密產品和系統。如:PGP for Group Wise、File Lock Series、Point`n Crypt World、PrivaSuite、Crypt。可以實現加密、簽名和認證。訪問控制類產品。如:SunScreen、WebST安全平臺、HP Preaesidium 授權服務器、NetKey網絡安全認證系統、Cisco NetRanger等。這些產品的功能可以提供對口令字的治理和控制功能;防止進侵者對口令字的探測;監測用戶對某一分區或域的存取;提供系統主體對客體訪問權限的控制。
五、小結
電子商務對計算機網絡安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數計算機網絡更高,因此電子商務安全應作為安全工程,而不是解決方案來實施。
【電子商務及其安全技術.】相關文章:
PKI技術及其在電子商務中的應用研究03-21
探析電子商務的安全問題及其防范03-18
淺談電子商務信息安全及安全技術11-28
電子商務中技術安全運用綜述11-30
淺談安全技術在電子商務中的應用03-27
EDA技術及其應用03-19
淺談移動電子商務及其發展03-01
電子商務對物流及其管理的影響03-19