电子商务源于英文ELECTRONIC
COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。随着电子商务的普及,人们已经习惯于网上购物,网上
银行和电子支付等新兴事物,然而 *** 安全始终是制约电子商务发展的一个主要瓶颈。
一、电子商务的身份认证
在
电子商务活动中,由于所有的个人和交易信息要在一个开放的 *** (如Internet)进行传输和交换,故我们需要身份认证技术去验证客户的身份。身份认证
一般基于客户拥有什么(如令牌,智能卡或者ID卡),客户知道什么(如静态密码),客户有什么特征(如指纹,虹膜和脑电波等)。国内外常见身份认证技术包
括:用户名/密码方式 、IC卡认证、USB
Key认证和生物特征认证等。随着 *** 和黑客技术的发展,用户名/密码方式认证已经被证明是不安全的。由于静态的密码方案不能抵御重放攻击,字典攻击且密
码容易忘记,
所以其安全性是很低的,不能满足电子商务中身份认证的要求。目前国内外的一些较成熟的身份认证技术,基本上是用硬件来实现的(如IC卡和USB
Key认证技术等)。
二、各种身份认证技术的比较
1.
静态的用户名和口令方案。在众多的身份认证方案中,静态的用户名和口令方案至今仍是使用最广泛的方案,特别是针对那些安全性要求不强的应用场合,如论
坛,BBS和电子信箱。目前公司和个人受到 *** 攻击的主要原因是静态密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词、姓名或者其他简
单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。最近一次全国性安全事件发生在2011年12月。当时CSDN的安全系统
遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。黑客在获取了CSDN的用户登录名和密码后,再用这个密码尝试登录注册邮箱,如果成功则利用很
多网站常用的密码取回功能得到了该用户的其他关联网站的账号和密码。总而言之,静态密码身份认证方案的优点是实施成本低,不需要购置特殊的设备,用户体验
性好,但其安全性较低。
2.
客户证书USBKey(U盾)方案。从技术角度看,客户证书USBKey是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024
位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。目前国内几大商业银行,如工商银行、农业银行
和交通银行等都采用了USBKey方案。 *** 黑客即使知道了客户的登录密码和支付密码,但如果没有USBKey在手,黑客还是不能够从你的帐户转出一分
钱。故这种身份认证方式可以很好地避免账号、密码被盗等可能出现的风险。USBKey方案的优点是安全性很强,但由于涉及到了硬件故其成本较高,且
USBKey使用前需要先安装驱动。对于一些常常出差或者需要在不同机器上使用USBKey的客户来说,由于计算机各种操作系统(如Windows和
Linux)和硬件(各种不同品牌机器)的差异性,可能在安装时会遇到一些兼容性问题,这大大减低了用户的体验满意度。
3.
短信认证方案。目前一些大型电子商务网站往往采取“静态密码+短信认证”方案。该类系统使用数字物理噪声源产生完全随机变化的动态(验证)密码,并通过无
线通信方式将该动态密码发送到用户的无线通信终端(寻呼机或移动 *** 等)
上。譬如支付宝网站在用户支付小额金额时只需输入支付密码,但额度如果超过一定额度(如200元),则支付宝网站向用户手机(注册时登记的号码)发一条验
证短信,然后用户在网站上输入6位的手机验证码和支付密码后才能完成付款。采用这种身份认证方式的优点是既保证了小额支付的快捷性,又保证了大额支付的安
全性。但由于该认证系统的实时性和稳定性在很大的程度上依赖于无线通信网的状态,当 *** 出现拥塞时将导致验证密码传输会有较大的时延,甚至将使系统无法正
常完成身份认证过程,而且由于短信的发送会产生大量的短信费用,对中小型电子商务网站来说仍然是不小的开销。
4.
动态口令认证方案。动态口令又称为一次性口令OTP(One-Time-Password),其特点是用户根据服务商提供的动态口令令牌的显示数字来输入
动态口令,而且每个登录服务器的口令只使用一次,窃听者无法用窃听到的登录口令来做下一次登录,同时利用单向散列函数(如
Sha-1算法等)的不可逆性,防止窃听者从窃听到的登录口令推出下一次登录口令。中国银行就是采用了动态口令认证方案。该方案的特点使用简单,用户无须
安装任何驱动,操作时只需输入当前显示的6位动态口令即可。其不足之处是安全性没有USBKey强,如在2011年上半年,全国各地出现了多起中国银行动
态口令泄露安全事件。黑客们首先设计了多个钓鱼网站,然后引诱中银用户输入登录密码和动态口令。动态口令虽然为一次性口令,但其在60秒之内是可反复使用
的。故黑客得到了用户的登录密码和动态口令之后,只要在1分钟内登录进真正的中银系统后就可以完成转账等窃取用户资金的操作了。
再参考http://wenku.baidu.com/view/6f54036925c52cc58bd6be2f.html 你就完全知道了
现在最多使用的是CA和数字证书两种技术
在互联网上的电子商务交易过程中,最核心和关键的向题就是交易的安全性,由于Internet本身的开放性;使网上交易面临着种种危险:使用者担心在 *** 上传输信用卡及个人资料被截取;或是不幸遇到“黑店”,信用卡资料不被运用;另一方面,特约商店也担心收到的是被盗用的信用卡号码,或是交易不认帐等等。还有可能因 *** 不稳定(假设网路断线了),或是应用软件设计不良导致被黑客侵入所引发的损失,在消费者、特约商店、甚至与金融单位之间,究竟权责如何理清?再者,每一家电子商场或商店的支付系统所使用的安全控管都不尽相同,也造成使用者有无所适从之感。一般说来电子商务安全中普遍存在着以下几种安全隐患:
◆ 窃取信息
由于未采用加密措施,调制解调器之间的信息以明文形式传送,入侵者使用相同的调制解调器就可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
◆ 篡改信息
当人侵者掌握了信息的格式和规律之后,通过各种方式,在原 *** 的调制解调器之间增加两个相同类型的调制解调器,将通过的数据在中间修改,然后发向另一端。这种 *** 并不新鲜,在一个路由器或者网关上都可以做这种工作
◆ 假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户及送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
◆ 恶意玻坏
由于攻击者可以接入 *** ,则可能对 *** 中的信息进行修改,掌握网上的机要信息,甚至可以潜入两边的 *** 内部,其后果是非常严重的。
因此,电子商务的安全交易主要保证以下四个方面:
(1)、信息保密 *** 易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此次信息传播中一般均有加密的要求。
(2)、交易者身份的确定性。
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
(3)、不可否认性
由于商情的千变万亿,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能只认收到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。
(4)、不可修改性
交易的文件是不可被修改的,加上例所举的订购黄金。收单方在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货方可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
3、 电子商务中的安全措施
在早期的电子交易中,曾采用过一些简易的安全措施。包括:
(1)、部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用 *** 告之,以访泄密。
(2)、另行确认(Order Confirmation):即当在网上传输交易信息之后,应再用电子邮件对交易作确认,才认为有效;
除了以上两种,还有其它一些 *** ,这些 *** 均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
近年来,针电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准。主要有:
(l)、安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
(2)、安 *** 接层协议(SSL:Secure Sockets Layer):由Netscape公司提出的安全交易协议, 提供加密、认证服务和报文完整性。SSL被用于Netscape Communicator 和 Microsoft IE 浏览器,用以完成需要的安全交易操作。
(3)、安全交易技术协议(STT:Secure Transaction Technology) :由Microsoft 公司提出,STT 将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft 在 Internet Explorer 中采用这一技术。
(4)、安全电子交易协议(SET: Secure Electronic Transaction):1996年6月,由IBM 、MasterCard International 、Visa International 、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa 共同制定的标准 SET正式公告,并于 1997年5月底发布了SET Specification Version 1.0 ,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。关于 SET 的具体情况,将会在下文中详细介绍。
所有这些安全交易标准中、“安全电子交易” SET(Secure Electronic Transaction)标准以推广利用信用卡支付网上交易而广受各界瞩目,它将成为网上交易安全通讯协定的产业标准,有望进一步推动Internet 上电子商业市场
一、电子商务存在的安全问题编辑本段电子商务简单的说就是利用Internet进行的交易活动,电子商务:"电子"+"商务",从电子商务的定义可以了解电子商务的安全也就相应的分为两个方面的安全:一方面是"电子"方面的安全,就是电子商务的开展必须利用Internet来进行,而Internet本身也属于计算机 *** ,所以电子商务的之一个方面的安全就是计算机 *** 的安全,它包括计算机 *** 硬件的安全与计算机 *** 软件的安全,计算机 *** 存在着很多安全威胁,也就给电子商务带来了安全威胁;另一方面是"商务"方面的安全,是把传统的商务活动在Internet上开展时,由干Internet存着很多安全隐患给电子商务带来了安全威胁,简称为"商务交易安全威胁"。这两个方面的安全威胁也就给电子商务带来了很多安全问题:
(一)计算机 *** 安全威胁
电子商务包含"三流":信息流、资金流、物流,"三流"中以信息流为核心为最重要,电子商务正是通过信息流为带动资金流、物流的完成。电子商务跟传统商务的最重要的区别就是以计算机 *** 来传递信息,促进信息流的完成。计算机 *** 的安全必将影响电子商务中的"信息流"的传递,势必影响电子商务的开展。计算机 *** 存在以下安全威胁:
1.黑客攻击
黑客攻击是指黑客非法进入 *** ,非法使用 *** 资源。随着互联网的发展,黑客攻击也是经常发生,防不胜防,黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、窃取信息等进行相关危害活动。2003年,仅美国国防部的"五角大楼"就受到了了230万次对其 *** 的尝试性攻击。从这里可以看出,目前黑客攻击已成为了电子商务中计算机 *** 的重要安全威胁。
2.计算机病毒的攻击
病毒是能够破坏计算机系统正常进行,具有传染性的一段程序。随着互联网的发展,病毒利用互联网,使得病毒的传播速度大大加快,它侵入 *** ,破坏资源,成为了电子商务中计算机 *** 的又一重要安全威胁。
3.拒绝服务攻击
拒绝服务攻击(DoS)是一种破坏性的攻击,它是一个用户采用某种手段故意占用大量的 *** 资源,使系统没有剩余资源为其他用户提供服务的攻击。目前具有代表性的拒绝服务攻击手段包括SYNflood、ICMPflood、UDPflood等。随着互联网的发展,拒绝服务攻击成为了 *** 安全中的重要威胁。
(二)商务交易安全威胁
把传统的商务活动在Internet上进行,由于Internet本身的特点,存在着很多安全威胁,给电子商务带来了安全问题。Internet的产生源于计算机资源共享的需求,具有很好的开放性,但正是由子它的开放性,使它产生了更严重的安全问题。Internet存在以下安全隐患:
1.开放性
开放性和资源共享是Internet更大的特点,但它的问题却不容忽视的。正是这种开放性给电子商务带来了安全威胁。
2.缺乏安全机制的传输协议
TCP/IP协议是建立在可信的环境之下,缺乏相应的安全机制,这种基于地址的协议本身就会泄露口令,根本没有考虑安全问题;TCP/IP协议是完全公开的,其远程访问的功能使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等这些性质使 *** 更加不安全。
3.软件系统的漏洞
随着软件系统规模的不断增大,系统中的安全漏洞或"后门"也不可避免的存在。如cookie程序、JAVA应用程序、IE浏览器等这些软件与程序都有可能给我们开展电子商务带来安全威胁。
4.信息电子化
电子化信息的固有弱点就是缺乏可信度,电子信息是否正确完整是很难由信息本身鉴别的,而且在Internet传递电子信息,存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。
(三)计算机 *** 安全威胁与商务交易安全威胁给电子商务带来的安全问题
1.信息泄露
在电子商务中表现为商业机密的泄露,以上计算机 *** 安全威胁与Internet的安全隐患可能使得电子商务中的信息泄漏,主要包括两个方面:(1)交易一方进行交易的内容被第三方窃取。(2)交易一方提供给另一方使用的文件第三方非法使用。
2.篡改
正是由于以上计算机 *** 安全威胁与Internet的安全隐患,电子的交易信息在 *** 上传输的过程中,可能被他人非法地修改、删除或重放(指只能使用一次的信息被多次使用),这样就使信息失去了真实性和完整性。
3.身份识别
正是由于电子商务交易中交易两方通过 *** 来完成交易,双方互不见面、互不认识,计算机 *** 的安全威胁与Internet的安全隐患,也可能使得电子商务交易中出现身交易身份伪造的问题。
4.信息破坏
计算机 *** 本身容易遭到一些恶意程序的破坏,如计算机病毒、特洛伊木马程序、逻辑炸弹等,导致电子商务中的信息在传递过程被破坏。
5.破坏信息的有效性
电子商务中的交易过程中是以电子化的信息代替纸面信息,这些信息我们也必须保证它的时间的有效与本身信息的有效,必须能确认该信息确是由交易一方签发的,计算机 *** 安全威胁与Internet的安全隐患,使得我们很难保证电子商务中的信息有效性。
6.泄露个人隐私
隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人就必须提供个人信息,计算机 *** 安全威胁与Internet的安全隐患有可能导致个人信息泄露,破坏到个人隐私。
二、电子商务的安全要求编辑本段正是由于电子商务的开展过程中存在着很多安全问题,我们要使得电子商务正常有序的进行,就必须保证电子商务的安全,解决以上的安全问题,营造一个安全的电子商务环境,那么这样一个安全的电子商务环境又有哪些安全要求,成为我们解决电子商务存在的安全问题接下来要解决的问题:
(一)信息的保密性
交易中的商务信息一般都有保密的要求,信息内容不能随便被他人获取,尤其是涉及到一些商业机密及有支付等敏感信息时,信息的保密性就显得更为重要了。
(二)信息的完整性
信息的完整性包括电子商务中的信息不被篡改、不被遗漏。
(三)通信的不可抵赖、不可否认
在电子商务活动中一条信息被发送或被接收后,应该通过一定的方式,保证信息的各方有足够的证据证明接收或发送的操作已经发生。
(四)交易各方身份的认证
要使网上交易成功,参与交易的人首先要能确认对方的身份,确定对方的真实身份与对方所声称的是否一致。
(五)信息的有效性
电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。
(六)个人隐私权的保护
电子商务中是否可以保护个人隐私权,势必影响到个人消者者参与电子商务的积极性。
三、电子商务的安全对策编辑本段要营造一个满足电子商务安全要求的电子商务环境,就相应的要解决两个方面安全威胁:一是计算机 *** 的安全威胁,二是商务交易的安全威胁,所带来的电子商务的安全问题。我们营造安全的电子商务环境的对策主要有:
(一)利用电子商务安全技术
1.计算机 *** 安全技术
电子商务中利用的重要工具计算机 *** ,存在着很多的安全威胁,计算机 *** 的建立足我们开展电子商务的基础,我们要保证电子商务的安全,首先就要保证计算机 *** 的安全。
(1)防火墙技术
防火墙是指隔离在本地 *** 与外界之间的一道防御设施,是这一类防范措施的总称。它能够限制他人进入内部 *** ,过滤掉不安全服务和非法用户:允许内部网的一部分主机被外部网访问,另一部分被保护起来;限定内部网的用户对互联网上特殊站点的访问;为监视互联网安全提供方便。对手我们营造安全的电子商务环境目前最安全的 *** 就是利用双防火墙双服务器方式。
(2)入侵检测系统(IDS)
防火墙虽然很好,但是防火墙也有很多的不足,比如防火墙不能防范不经由防火墙的攻击、防火墙不能防范新的 *** 安全问题。为了弥补防火墙的不足,我们可以利用入侵检测系统,来保证计算机 *** 的安全。入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机 *** 或计算机系统中的若干关键点收集信息并对其进行分析,从中发现 *** 或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软件与硬件的组合就是入侵检测系统(Intrusion Detection System,简称IDS)。
(3)虚拟专用网(VPN)技术
虚拟专用网VPN(Virtual Private Network)是一门 *** 新技术。顾名思义,虚拟专用网不是真的专用 *** ,它利用不可靠的公用联 *** 作为信息传输媒介,通过附加的安全隧道,用户认证和访问控制等技术实现与专用 *** 相类似的安全功能,从而实现对重要信息的安全传输。利用虚拟专用网技术,我们可以营造一个相对安全的 *** 。
(4)病毒防治技术
电子商务中的计算机 *** 不断受到病毒攻击的危害,为了把计算机病毒的危害减小到更低,我们可以从以下几方面从入手:一是高度重视计算机病毒;二是安装计算机病毒防治软件,不断更新病毒库。
2.商务交易安全技术
为了营造一个安全的电子商务环境,我们一定要保证传统的商务活动在互联网上进行的安全,我们就应该建立一个电子商务的安全体系。
(1)基本加密技术
将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。解密是加密的逆过程,即将密文还原成明文。采用密码技术对信息进行加密,是最常用的安全手段。在电子商务中,获得广泛应用的现代加密技术有以下两种:对称加密体制和非对称加密体制。基本加密技术是电子商务安全体系的基础,也是安全认证手段和安全协议的基础,利用它可以保证电子商务中信息的保密性。
(2)安全认证手段
利用基本加密技术还只能保证电子商务中信息的保密性,为了营造安全的电子商务环境,我们还必须保证电子商务中的信息的完整性,通信的不可抵赖、不可否认,交易各方身份的认证,信息的有效性,这就得利用以基本加密技术为基础开发的安全认证手段:
①利用数字信封技术保证电子商务中信息的保密性。
②利用以Hash函数为核心的数字摘要技术来保证电子商务中信息的完整性。
③建立CA认证体系给电子商务交易各方发放数字证书,保证电子商务中交易各方身份的认证。在电子商务中,为了使众多的认证机构CA(Certification Authority)具有一个开放的标准,使以之间能够互联、互相认证,实现安全的CA管理,这就需要建立公钥基础设施(Public Key Infrastructure,简称PKI)。
④利用数字时间戳来保证电子商务中信息的有效性。
⑤利用数字签名技术来保证电子商务中的通信的不可抵赖、不可否认,信息的有效性。
(3)安全协议
要保证电子商务环境的安全,必须把安全认证手段跟安全协议配合起来建立电子商务安全解决方案。目前电子商务中有两种安全认证协议被广泛使用,即安 *** 接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。
(二)制定电子商务安全管理制度
电子商务安全管理制度是用文字形式对各项安全要求所做的规定,这些制度应该包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。
(三)加强诚信教育,建立社会诚信体系
电子商务中的很多安全问题比如交易的抵赖、否认、个人隐私权的破坏,说到底还是人的诚信问题,为了促进电子商务更好的发展,打消消费者对于电子商务的安全顾虑,我们应该加强诚信教育,建立社会诚信体系。
说得虽然是好不过,真得要实际上做好这一切都是有一定难度的,所以没有风显的交易是不存在得
安全威胁
1、信息截获及窃取
在没有加密措施或加密强度较弱的情况下,攻击者可以利用互联网、公共 *** 网、搭线、电池波辐射范围内安装截收装置等 *** ,在数据包通过的网关和路由器上截获数据,获取机密信息,也可以通过对信息流量和流向、通信频度和长度等参数进行分析,推断出需要的信息,例如银行帐号、密码及企业机密等信息。
2、信息篡改
当蓄意攻击者掌握了 *** 信息格式后,通过 *** 技术手段对 *** 中传输的报文进行欺骗、拦截和修改后发往目的地,这样就破坏了传输信息的完整性。这种方式主要表现为:篡改授权,使信息变成某个未经授权的人所取得;删除部分消息;修改消息中的部分信息,让接收方对接收的信息不能很好的识别或者接收到一个错误消息。
3、信息假冒
当攻击者掌握 *** 信息数据规律或解密商务信息以后,可以假冒合法用户或发送假冒信息来欺骗其他用户。主要表现为:伪造电子邮件;假冒他人身份。
4、交易抵赖
这种方式主要表现为:发送消息者否认发送过某些信息;接收消息者否认收到过某些信息;交易中下了订单但是不承认;接收到订单后由于某些原因而不承认本次交易。
防范措施
1、法律措施
在电子商务中, *** 的虚拟性、流动性、隐匿性对交易安全及消费者权益保护提出了更多的挑战,因此制定相应的法律法规来约束互联网用户的行为是电子商务的基础。目前制定的有关法律法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息 *** 国际互联网管理暂行规定》、《中华人民共和国计算机信息 *** 国际互联 *** 安全保护管理办法》、《电子签名法》等,它们直接约束了计算机安全和电子商务的安全。
2、管理措施
要保证电子商务的安全,行之有效的管理也是必不可少的。电子商务的安全管理是一项复杂的任务,包括了人事管理、密钥管理、软件管理、设备管理、场地管理等多个方面。
用防火墙防止攻击效果比较好,不过传统防火墙已经不能满足现在的要求了,各大厂商都推出下一代防火墙的概念。梭子鱼,天融信,深信服都有相关产品。。。。
(一)计算机 *** 安全威胁
电子商务包含"三流":信息流、资金流、物流,"三流"中以信息流为核心为最重要,电子商务正是通过信息流为带动资金流、物流的完成。电子商务跟传统商务的最重要的区别就是以计算机 *** 来传递信息,促进信息流的完成。计算机 *** 的安全必将影响电子商务中的"信息流"的传递,势必影响电子商务的开展。计算机 *** 存在以下安全威胁:
1、黑客攻击
黑客攻击是指黑客非法进入 *** ,非法使用 *** 资源。随着互联网的发展,黑客攻击也是经常发生,防不胜防,黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、窃取信息等进行相关危害活动。2003年,仅美国国防部的"五角大楼"就受到了了230万次对其 *** 的尝试性攻击。从这里可以看出,目前黑客攻击已成为了电子商务中计算机 *** 的重要安全威胁。
2、计算机病毒的攻击
病毒是能够破坏计算机系统正常进行,具有传染性的一段程序。随着互联网的发展,病毒利用互联网,使得病毒的传播速度大大加快,它侵入 *** ,破坏资源,成为了电子商务中计算机 *** 的又一重要安全威胁。
3、拒绝服务攻击
拒绝服务攻击(DoS)是一种破坏性的攻击,它是一个用户采用某种手段故意占用大量的 *** 资源,使系统没有剩余资源为其他用户提供服务的攻击。目前具有代表性的拒绝服务攻击手段包括SYNflood、ICMPflood、UDPflood等。随着互联网的发展,拒绝服务攻击成为了 *** 安全中的重要威胁。
(二)商务交易安全威胁
把传统的商务活动在Internet上进行,由于Internet本身的特点,存在着很多安全威胁,给电子商务带来了安全问题。Internet的产生源于计算机资源共享的需求,具有很好的开放性,但正是由子它的开放性,使它产生了更严重的安全问题。Internet存在以下安全隐患:
1、开放性
开放性和资源共享是Internet更大的特点,但它的问题却不容忽视的。正是这种开放性给电子商务带来了安全威胁。
2、缺乏安全机制的传输协议
TCP/IP协议是建立在可信的环境之下,缺乏相应的安全机制,这种基于地址的协议本身就会泄露口令,根本没有考虑安全问题;TCP/IP协议是完全公开的,其远程访问的功能使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等这些性质使 *** 更加不安全。
3、软件系统的漏洞
随着软件系统规模的不断增大,系统中的安全漏洞或"后门"也不可避免的存在。如cookie程序、JAVA应用程序、IE浏览器等这些软件与程序都有可能给我们开展电子商务带来安全威胁。
4、信息电子化
电子化信息的固有弱点就是缺乏可信度,电子信息是否正确完整是很难由信息本身鉴别的,而且在Internet传递电子信息,存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。
(三)计算机 *** 安全威胁与商务交易安全威胁给电子商务带来的安全问题
1、信息泄露
在电子商务中表现为商业机密的泄露,以上计算机 *** 安全威胁与Internet的安全隐患可能使得电子商务中的信息泄漏,主要包括两个方面:(1)交易一方进行交易的内容被第三方窃取。(2)交易一方提供给另一方使用的文件第三方非法使用。
2、篡改
正是由于以上计算机 *** 安全威胁与Internet的安全隐患,电子的交易信息在 *** 上传输的过程中,可能被他人非法地修改、删除或重放(指只能使用一次的信息被多次使用),这样就使信息失去了真实性和完整性。
3、身份识别
正是由于电子商务交易中交易两方通过 *** 来完成交易,双方互不见面、互不认识,计算机 *** 的安全威胁与Internet的安全隐患,也可能使得电子商务交易中出现身交易身份伪造的问题。
4、信息破坏
计算机 *** 本身容易遭到一些恶意程序的破坏,如计算机病毒、特洛伊木马程序、逻辑炸弹等,导致电子商务中的信息在传递过程被破坏。
5、破坏信息的有效性
电子商务中的交易过程中是以电子化的信息代替纸面信息,这些信息我们也必须保证它的时间的有效与本身信息的有效,必须能确认该信息确是由交易一方签发的,计算机 *** 安全威胁与Internet的安全隐患,使得我们很难保证电子商务中的信息有效性。
6、泄露个人隐私
隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人就必须提供个人信息,计算机 *** 安全威胁与Internet的安全隐患有可能导致个人信息泄露,破坏到个人隐私。
电子商务中的 *** 安全问题:
防火墙技术:防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强 *** 之间的访问控制,防止外部 *** 进入内部 *** ;
加密技术:数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据;
数字签名技术:数字签名(DigitalSignature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整 *** 、不可否认服务中都要用到数字签名技术;
数字时间戳技术:在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。
电子商务中存在以下安全威胁:
1.黑客攻击
黑客攻击是指黑客非法进入 *** ,非法使用 *** 资源。随着互联网的发展,黑客攻击也是经常发生,防不胜防,黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、窃取信息等进行相关危害活动。2003年,仅美国国防部的"五角大楼"就受到了了230万次对其 *** 的尝试性攻击。从这里可以看出,目前黑客攻击已成为了电子商务中计算机 *** 的重要安全威胁。
2.计算机病毒的攻击
病毒是能够破坏计算机系统正常进行,具有传染性的一段程序。随着互联网的发展,病毒利用互联网,使得病毒的传播速度大大加快,它侵入 *** ,破坏资源,成为了电子商务中计算机 *** 的又一重要安全威胁。
3.拒绝服务攻击
拒绝服务攻击(DoS)是一种破坏性的攻击,它是一个用户采用某种手段故意占用大量的 *** 资源,使系统没有剩余资源为其他用户提供服务的攻击。目前具有代表性的拒绝服务攻击手段包括SYNflood、ICMPflood、UDPflood等。随着互联网的发展,拒绝服务攻击成为了 *** 安全中的重要威胁。
电子商务是互联网应用的重要趋势之一,也是国际金融贸易中越来越重要的经营模式之一,以后会逐渐地成为我们经济生活中一个重要的部分,安全是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的话题,下面将就电子商务发展中的几个热点问题,谈谈个人的看法。 一、怎么看待安全与发展的关系 谈到安全与发展两者之间的关系时,许多人都会认为安全更重要,而实际上在信息化发展的过程中,发展自始至终都应是放在之一位的,因为没有发展安全就无从谈起,没有发展就是更大的不安全。 从国内外的情况来看,电子商务发展的速度太快,致使其安全技术和安全管理跟不上,这是一个越来越突出的问题。电子商务的快速发展需要业界,特别是信息安全业快速地作出反应,否则安全方面的问题将会制约它的发展。现在不仅仅是发展中国家,就连美国这样的发达国家,电子商务在很多领域还是没有像其它传统的商务那样发达,一个重要的原因就是安全问题。这就需要信息安全业的同行作出不懈的努力,不要因为安全问题而制约了电子商务的发展。 二、如何看待电子商务的安全问题 在正确看待电子商务的安全问题时,有几个观念值得注意: 其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。 其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。 其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时也要考虑到这些因素。 其四,安全是发展的、动态的。今天安全明天就不一定很安全,因为 *** 的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。 三、社会上对电子商务的需求有哪些 电子商务是用电子化的方式实现传统商务的模式或者说对传统商务的革命,它的发展需要以下几个必备的条件。 其一,对电子商务的发展要有广泛的认同。无论是现在的银行、证券也好还是传统的物物交换,社会认同是交易得以实现的基础。对电子商务的发展也必须有广泛的认同。 其二,电子商务的交易模式不能被假冒。也就是说必须要有足够的安全保障。 其三,能真正节省开支。人类从最原始的物物交换到一般等价物、到信用体制等等都是在不断地降低交易成本,如果我们引进电子商务不但不能减少成本,反而会使成本增加,就不会得到社会的认同。 其四,要求方便易用,这一点十分重要。目前我国电子商务发展的发展过程中最致命就是使用不方便。 其五,要能满足社会大众的商业心态。它可以是“实名制”也可以是“隐名”的(当然现在也正讨论怎么使存款“实名制”),原来的金融体系或经济体系的优势就在于既可以是“实名”的也可以是“隐名”的,所以发展电子商务时也要考虑这个问题,否则用户就没有选择,其发展就会受到阻碍。 社会对电子商务安全的需求简单归纳起来主要有以下几点: 1.信息要求真实和完整。因为无论中国人还是外国人,都会觉得“隔山买牛”是一件心里没底的事情,因此都希望电子商务上的信息是真实的、完整的。 2.所有交易不能够抵赖,否则,生意就没法做了。这不但需要用道德和法律进行约束,更需要相关技术进行保障。如果总是发生扯皮或纠纷,再好的电子商务也会因此而黄掉。 3.支付和交易必须是安全而可靠的。目前,如何保障支付和交易的安全可靠是一个全球性问题,电子商务要有大的发展,就必须管好这些瓶颈。 4.用户或商家的身份在 *** 上能够被准确地识别。如果不能准确识别交易双方的身份,发生纠纷时就无法进行有效的仲裁。 5.能够保护个人隐私。对个人隐私的保护现在越来越受到重视,以前我们可能不太看重这个问题。越是开放,越是信息化,个人隐私越重要。 四、对电子商务现状的看法 现在,电子商务网站的经营很热闹,但其实也很艰难。根据我们了解的情况,我国的电子商务虽然收益不佳的现状有望改观,但技术和管理方面的问题还依然存在,安全隐患仍令人担忧。 从技术上看:首先是数据传输的速度太慢;第二是没有安全、可靠的结账方式,这严重制约着电子商务的发展;第三是IT技术的发展速度太快,商务模式的形成和人们使用习惯的养成都需要一定的时间,虽然技术不断发展,但社会对技术的认同是有阶段的,这使得用户和经营者都难以消化,难以跟上这种快速发展的步伐;第四是难以及时处理用户的有关问题,开通一个网站,如果一段时间以后用户的反馈多了, *** 的速度就会慢下来,这也许是线路本身的问题,但也存在技术处理的问题,目前尚没有解决的良策。第五是在安全保障上,难以防范现在的 *** 犯罪,特别是黑客的攻击。 从管理上看,存在的主要问题有:1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多;2)电子商务网站的经营收益远低于预期,使有 *** 泡沫之虞;3)缺乏能适应中国国情的市场技巧。现在的电子商务网站动作的市场方式基本上是照搬美国的,在造势上不无奢华,但在收效上却无殷实,不充分考虑中国人的商业行为和方式,恐怕是难以成功的。4)网站运营成本太高。由于运行成本居高不下,再好的商业模式也不堪重负。5)收费困难。除BtoB稍好一点外,BtoC电子商务一直没有找到方便可行的收费方式。 从安全上看,电子商务的隐患,令人担忧,主要表现在: 1. *** 信息安全在全球还没有形成一个完整的体系,我国也不例外。虽然有关电子商务安全的产品数量不少,但真正通过认证的却相当少。近两年,有将近20家有关电子商务安全的产品申请认证,但最后通过的非常少,这主要是因为不少安全措施是从网上“down”下来的,另外,不少电子商务安全技术的厂商对 *** 技术很熟悉,但是对安全技术普通了解得较少,因而他们很难开发出真正实用的、安全性足用的安全技术和产品。 2.安全技术的强度普遍不够。国外有关电子商务的安全技术,虽然其结构或加密技术等都不错,但这种算法(无论是对称的还是非对称的)受到了外国密码政策的限制,因此强度普遍不够。这种技术用在B-to-C方面还勉强可行,但用在B-to-B上就显然不够。 3.电子商务网站的安全管理存在很大隐患,普遍难以经受黑客的攻击。这个问题应当引起高度重视,国内电子商务网站被攻击的事件较少并不表示是牢不可破,而是网站本身很小,没有多少可攻的价值。 4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域,这些因素的存在必将影响我国电子商务进一步的发展。 五、关于面向社会服务的CA中心 现在大家都在关注CA中心,从国外的发展看,认证应该是第三方的, *** 干预更好少一些,只需作些必要的引导。在我国,更大的问题是多人过早地把CA认证看作是一种产业,把它当作生意来做,而过少地考虑到应该担负的责任。其实,面向社会服务的CA中心必须达到一定的要求。首先要看建设单位是否具备管理能力,以及责任和义务是否很明确,一旦证书出了问题,各方的责任是否清楚;其次是看技术能力和运行条件,CA要为社会服务,能否保证安全可信,运转有效;这需要专门的技术能力和安全完整的网上认证技术体系。比如在炒股票时,如果认证的周期太长,别人已经成交了,你这里还堵着,那肯定不行。第三是看是否有足够的财力支持。没有数千万乃至上亿的投入,是无法面向社会提供可信赖的CA服务。第四是看整个CA系统和设施是否安全。总之,CA中心能否提供安全可靠的服务,不能仅凭自身的宣传,而是要通过“国家信息安全认证”。到目前为止已经通过认证的只有一家,还有其它几家也正在审查之中。主要的问题不在于能否发出证书,而在于能否保障证书的使用者的利益。 六、如何看待电子商务网站受到的攻击 刚才我们提到过黑客的问题,黑客的威力到底有多大? 目前,我国网站所受到黑客的攻击,还不能与美国的相提并论,因为我们的用户数、规模和级别还是处在很初级的阶段。如果遇到类似于DDOS的攻击时应该引起注意,但不必很惊慌,因为在目前的情况下,一个电子商务网站停一两天所受的损失不是很大,毕竟业务量和交易额都还不大。从以往遭遇过的攻击中我们可以得到以下几点启示: 1.纯技术难以防范原始攻击方式。如果我们按照西方人的思维方式去思考,不断的追求和更新安全技术,防火墙可以做得非常强,但如果黑客不去窃取信息或数据,而只是去阻塞网站,这种非常野蛮的攻击方式用单纯的技术是很难解决的,而要靠管理或其它的 *** 去防范。美国电子商务网站遭受那么大规模的攻击,虽然有技术方面的原因,但总的看来还是一个管理的问题,这里的管理包括网站的经营者要如何防止自己的网站被攻击,上网的用户如何保证自己的机器不会无辜地被别人利用,现在网上的安全补丁很多,但很少有人真正用它或不知道怎么去用。所以,在信息化发展的初期,管理比技术显得更为重要。 2.病毒比一般攻击更可怕。现在的病毒(包括恶性代码)破坏性越来越大。现在电子商务上的交易都是非时间敏感性的项目,所以时效性并不太突出,可怕的是病毒对数据的破坏。 3.从目前的情况看,危及电子商务的首先是病毒或恶意代码;然后是内部人员滥用计算资源,对此国外强调的比较多,国内强调的比较少,随着技术人员流动性增大,道德也有待提高;第三是黑客攻击;第四是用户数据的泄漏;第五是假冒的交易。 七、关于电子商务需要的安全技术与产品 目前,国内市场需要较大的 *** 安全产品还是防火墙,从国内外采购的数量来看,防火墙均居于首位的;其次是通信保密设备;第三是现在电子商务里面应用最多的客户机服务器中的安全模式;第四是局域网或广域网上的安全技术;第五是web安全技术;第六是灾难恢复技术,从银行和金融界的一些情况看,大家对这方面的重视还不够,普遍的电子商务网站对灾难恢复考虑得都不是很好,这也是迫切需要的。 八、制约我国电子商务发展的主要因素 制约我国电子商务的因素主要有:其一是商业信息化程度太低;其二是交易过程不规范;其三是信用制度不健全;其四是技术发展太快,没有一定的稳定过程;其五是出现问题后客户去找谁负责。由于有关电子商务的立法和管理刚刚开始,有人开玩笑说“电子商务目前是个‘三无’行业:无法可依、无安全可言、无规可循”,当然这只有一定的道理,我国 *** 对电子商务的管理已经报上议事日程,各个部门都在抓紧制定推进电子商务的政策。 九、加快电子商务发展的建议 对电子商务发展的建议简单地讲是“两高一低”,即:1)不断提高服务的安全性,否则会制约电子商务的发展;成为发展的瓶颈;2)提高通讯的速度,否则电子商务就成了纯粹的电子广告而无法将商场搬到里面,许多东西我们无法看到,也更谈不上交易;3)降低成本,这不仅仅是降低硬件成本,特别是要降低通讯成本。因为电子商务发展的目的本来就是为了降低交易成本,交易成本反而高了就不正常。许多人都认为花那么大的投入去搞电子商务还不如去面对面地谈生意,打个 *** 许多货就发过来了,用不着去识别身份什么的。 电子商务安全管理的基本趋势似乎可用:“谁经营、谁负责”六个字来概括,也可以说是谁管理谁负责。这就强调业界要自律,要对安全问题承担责任。
以上回答你满意么?
因担心俄乌冲突引发的近期针对欧洲卫星网络发起的攻击可能很快蔓延到美国本土,政府机构已经向卫星通信网络运营商发出了“潜在威胁”预警。在美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)本周联合发布的一份公告中,其敦促卫星通讯(SATCOM)网络提供商和基础设施组织加强安全防御。若被入侵,或...
黑莓威胁情报(BlackBerry Threat Intelligence)团队刚刚发出警报 —— 一款自 2021 年 8 月存续至今的 LokiLocker 勒索软件,正在互联网上传播肆虐。据悉,该恶意软件采用了 AES + RSA 的加密方案,若用户拒绝在指定期限内支付赎金,它就会擦除其 PC...
根据FBI的年度互联网犯罪报告,2021年人们因互联网犯罪而损失了超69亿美元,这比2020年猛增了20多亿美元。该报告于周二发布,包含了向美联邦执法机构的互联网犯罪投诉中心报告的最普遍的互联网诈骗信息 资料图 据FBI介绍称,2021年共有847,376起互联网犯罪投诉,虽然比2020年只增加了...
一场在全球范围性欺诈行为被发现,它利用151个恶意Android应用程序,下载量达1050万次,在未经用户同意和知情的情况下将用户拉入付费订阅服务。 名为“Ultimams”的付费短信诈骗活动据信于2021年5月开始,涉及的应用程序涵盖范围广泛,包括输入法、二维码扫描仪、视频和照片编辑器、垃圾邮件拦...
适用于桌面 PC 和笔记本的 Chrome 稳定版将新增“Privacy Guide”功能,它将帮助该网络浏览器的用户理解和实施隐私、安全和在线安全设置。虽然 Chrome 浏览器一直有大部分的这些设置,但现在 Google 声称隐私和安全控制应该更容易理解。 图片链接:https://static...
据外媒报道,许多公司都在使用微软的Power App平台,由于默认安全设置较弱,所以这意味着3800万份记录的敏感数据向公众公开了好几个月。Upguard进行的调查显示,Power App用户中有相当多的人没有保护自己的数据库。 进一步的调查显示,这个问题是由薄弱的默认安全设置造成的,如果用户不采...