计算机网络安全与反黑客技术课程论文—— 电子商务网络安全
电子商务网络安全
摘要:介绍了电子商务技术的发展,网络交易安全是电子商务发展的核心和关键问题,目前主要采用的电子商务安全防伪技术有:数据加密技术;认证技术;和安全认证协议。
关键词:电子商务 计算机网络安全措施 商务交易安全措施 存在问题及对策
引 言
电子商务实际是基于物联网站开展的各种商务活动,由于Internet本身具有开放性,且具有不直接对面性,其资金流转具有计算机处理性和网络传输性,使得交易的安全成为了电子商务发展的核心和关键问题。为了确保在交易过程中信息有效、真实、可靠且保密,所以电子商务在网络安全技术方面就显得尤为重要。本文将概述是目前有关电子商务网络安全技术介绍以及对策,所面临的问题。[ 6 ]
1 电子商务的概念
电子商务(Electronic Commerce),是指实现整个贸易活动的电子化。从涵盖范围方面可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易;从技术方面可以定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。
电子商务涵盖的业务包括:信息交换、售前售后服务(如提供产品和服务的细节、产品使用技 术指南、回答顾客意见)、销售、电子支付(如使用电子资金转帐、信用卡、电子支票、电子现金)、运输(包括商品的发送管理和运输跟踪,以及可以电子化传送的产品的实际发送)、组建虚拟企业(组建一个物理上不存在的企业,集中一批独立中小公司的权限,提供比任何单独公司多得多的产品和 服务)、公司和贸易伙伴可以共同拥有和运营共享的商业方法等。 [ 1,]
由于电子商务是在因特网等网络上进行的,因此网络是电子商务最基本的构架。电子商务还强调要使系统的软件和硬件、参加交易的买方和卖方、银行或金融机构、厂商、企业和所有合作伙伴,都要在Intranet、Extranet、Internet中密切结合起来,共同从事在网络计算机环境下的商业电子化应用。Intranet是整个交易的基础,通过Intranet的建立和完善,解决好内容管理(Content Management)和协同及信息(Collaboration and Meaging)问题。在此基础上才能顺利扩展Intranet,最后扩展到 1
Internet,完成真正意义上的电子商务。[ 9 ]
2 计算机网络安全措施 计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。
(一)保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:
(1)全面规划网络平台的安全策略。
(2)制定网络安全的管理措施。
(3)使用防火墙。
(4)尽可能记录网络上的一切活动。
(5)注意对网络设备的物理保护。
(6)检验网络平台系统的脆弱性。
(7)建立可靠的识别和鉴别机制。
(二)保护应用安全。
保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
(三)保护系统安全。
保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:
(1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。
(2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。 [ 3]
3电子商务交易安全措施 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。
各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务
安全协议等。
(一)加密技术。
加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。
(1)对称加密。
对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
(2)非对称加密。
非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。[15 ]
(二)认证技术。
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。
(1)数字签名。
数字签名也称电子标签,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开钥密算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。
(2)数字证书。
数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。[20 ]
(三)电子商务的安全协议。
除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。
(1)安全套接层协议SSL。
SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一
次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。
(2)安全电子交易协议SET。
SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。
SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。
4电子商务面临的问题及对策
问题:
(1)电子商务的安全性问题。其仍是影响电子商务发展的主要因素。然而,在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的重要因素之一。因此,有一部分人或公司因担心安全问题而不愿意采用电子商务,成为电子商务发展中的重要障碍。
(2)电子商务管理问题。这个管理的概念应该涵盖商务管理、技术管理、服务管理等多方面。另外电子商务平台的前后端相一致也是非常重要的。前台的WEB平台直接面向消费者的,是电子商务的门面。而后台的内部经营管理体系则是完成电子商务的必要条件,它关系到前台所承接的业务最终能不能得到很好的实现,决定电子商务公司最终能不能盈利。
(3)电子商务的搜索问题。目前在互联网上至少几十亿网页需要建立索引,而就目前的搜索引擎来讲,显然还不能对所有的网页建立索引,仍然接近一半不能索引。
(4)电子商务的税务问题。由于电子商务的交易活动是在没有固定场所的国际信息网络环境下进行,造成国家难以控制和收取电子商务的税金。
(5)电子商务的标准问题。我们面对无国界、全球性的贸易活动,需要在电子商务易活动中建立相关的,统一的国际性标准,以解决电子商务活动的相互操作问题。
(6)电子商务的费用支出问题。由于金融手段的落后,信用制度不健全,我们喜欢现金交易,没有使用信用卡的习惯。安全的支付手段是电子商务发展的基本条件。
(7)电子商务的合同法律问题。如何保证电子商务活动中合同的有效性及电子印章和电子签名
的有效性,是保证电子商务正常发展的重要因素之一。
对策:
(1)做好电子商务的发展规划和宏观指导。要求政策制定者对市场的变化保持高度的敏感,加强研究,适时制定鼓励电子商务发展的政策。如行业协会等应充分发挥自己联系政府和企业的纽带作用,做好企业与政府部门的信息沟通,协助政府做好产业发展规划。
(2)加强基础设施建设。要构建一个值得信赖并能够保证信息的完整性和安全性的多层次的开放的网路体系,加强基础网路的建设,改善国内用户环境。
(3)加强电子商务宣传和人才培养。充分利用各种途径和手段培养、引进并合理使用好一批素质较高、层次合理、专业配套的网路、计算机及经营管理的专业人才,是我国电子商务建设成功的根本保证。
(4)加强政府的示范和引导,开展电子商务示范工程,通过实施政府信息化,提高政府工作效率和透明度,促进政府与社会的沟通。有针对性地扶持重点行业、企业开展电子商务,通过试点总结经验加以推广。采取积极措施,鼓励和支持更多的传统企业,企业的产品和服务贸易活动电子化。
(5)商务部要加强规划和指导,以保障电子商务的健康稳定发展电子商务的主要动力。
总之,21世纪是信息化的时代,信息服务业成为它的主导产业,在全球信息化大势驱动下,世界各国的电子商务不断的发现问题和解决问题,不断地改进和完善,电子商务必将成为各个国家和各大公司争夺的焦。 [ 4 ]
小结
网络安全对电子商务尤为重要,网络安全是电子商务发展的关键,没有网络安全的保障,电子商务是很难又快又准的进行的。只有更好的利用网络,在网络安全的前提下才能更好的进行电子商务的交易。
参考文献:
[1]张娟,电子商务网络安全技术探究[D],2005,(04)
[2]贾伟,网络与电子商务安全[J], 国防工业出版社,2009
[3] 宋西军,计算机网络安全技术[J],北京大学, 2009
[4] 刘远生,网络安全实用教程[J],人民邮电, 2011
[5] 宋梦华,电子商务与网络安全[J],对外经济贸易 2011
[6] 章学拯,网络安全与电子商务[J], 2010
[7] 陈朝荣,电子商务技术,中国财经经济[J],2011
[8] 宋宜昌,余勇昌,网络安全与信息加密技术浅析[J],中国数据通信2009
[9] 周曙东.电子商务概论[J],2008
[10] 洪涛,电子商务盈利模式案例,[J],经济管理,2011
[11] 柴跃延,我国电子商务发展战略与对策[J],清华大学,2009
[12] 蒋志培,网络与电子商务法[J],华中科技大学, 2009
[13] 曾强,王潼,电子商务的现状与未来[J].经济,2010,(11)
[14] 劳帼龄,电子商务法律法规[J],清华大学,2010,(02 )
[15] 严晓红,NGN离我们有多远?[J],现代有线传输,2011,(01)
[16] 周建良,卢菊红,电子商务使用教程,[J],海洋,2011,(01)
[17] 赵卫东,电子商务模式 [J],现代有线传输,2011,(02)
[18] 李琪,第九届全国高校电子商务教育与学术研讨大会暨第三届网商与电子商务生态学术研讨会论文集 [D],浙江大学,2010,(01)
[19] 杨天剑,吕延杰,电子商务系统分析与设计[D],北京邮电大学,2010,(01)
[20] (美国)(Behrouz A.Forouzan)福罗赞,密码学与网络安全[J],清华大学,2009,(01)
