电子商务交易安全问题.docx
- 文档编号:9574533
- 上传时间:2023-05-20
- 格式:DOCX
- 页数:10
- 大小:22.76KB
电子商务交易安全问题.docx
《电子商务交易安全问题.docx》由会员分享,可在线阅读,更多相关《电子商务交易安全问题.docx(10页珍藏版)》请在冰点文库上搜索。
电子商务交易安全问题
电子商务交易安全问题
摘要:
电子商务是新兴商务形式,它有很大的发展前途,而随之而来的安全问题也越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。
本文针对电子商务活动中存在的信息安全问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
关键词:
电子商务;安全;加密;
1.电子商务交易安全问题的产生
电子商务是基于Internet的环境开展的,它消除了传统商务交易中存在的时空、空间等条件的限制,因此得到迅速的发展。
电子商务依托Internet网络,其通讯协议TCP/IP及源代码的开放和共享,使得电子商务在开放、共享的环境中开展,但是电子商务中的一些信息是不能共享的。
比如个人隐私、商业机密等,这就出现了矛盾,尽管如此,每天都有成千上万种交易在Internet上进行,这自然给某些别有用心的人提供机会,比如在Internet上进行恶意攻击、窃取商业机密、冒用他人的信用卡、篡改名单等犯罪行为时有发生,在经受损失的同时,人们对电子商务的安全提供了警惕,安全已经成为电子商务和发展的关键问题。
电子商务是Internet网上开展的商务活动,从逻辑上看可以分成低层的物理系统和上层的业务逻辑系统,其中物理安全是指系统设备及相关设施的物理保护以免于被破坏和丢失;逻辑安全是指信息的可用性、完整性和保密性三要素。
因此,电子商务系统的安全措施也相应地分成两个层次,一个是保障低层的物理系统,也就是计算机网络系统的安全;另一是保障上层业务逻辑系统的安全,也就是保障商务活动在网上的顺利开展。
第一层安全措施是安全电子商务系统的基础,它保障了人们进行网上交易的虚拟场所的安全;第二层安全措施是安全电子商务的前提,它提供了网上交易不同于传统交易的交易规则,保障了网上交易的安全,这两个方面的安全措施缺一不可,共同为安全电子商务活动的开展保驾护航。
1.1.电子商务交易的安全威胁
电子商务交易中,比较容易受到以下的安全威胁,这些安全威胁经常都会对电子商务造成非常严重的后果,计算机病毒的侵袭、黑客非法侵入,线路窃听等很容易使重要数据在传递过程中泄露、威胁电子商务交易的安全,一般来说电子商务安全中普遍存在着以下几种安全隐患:
一是交易信息窃取与篡改、即网络交易中用明文传输的数据被非法入侵者截获并破译之后,进行非法篡改、删除或插入,使信息的完整性遭受破坏;二是信息的假冒,即网络非法攻击通过假冒合法用户或者模拟虚假信息来实施诈骗行为;三是恶意破坏,由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的重要信息,甚至可以潜入网络内部,其后果是非常严重的;四是交易抵赖,交易抵赖包括多个方面,购买者做了订单不承认;商家卖出的商品因价格差异而不承认原有的交易。
各种外界的物理性干扰,如通信线路质量较差,地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。
1.2.电子商务的安全需求
电子商务交易过程有以下的安全需求,分别是信息的保密性7完整性和不可否认性,电子商务信息的保密性,指的是信息不泄露给非授权用户,实体或过程或供其利用的特性。
电子商务信息的完整性,指的是数据XX不能进行改变的特性,即信息在存储或传输过程中保持不被修改,不被破坏和丢失的特性。
电子商务的不可否认性,指的是避免发生交易中的某一方在进行某种交易行为之后,否认自己曾经进行过商务行为;或某一方否认自己曾经接收到对方发出的交易信息,电子商务的有效性,指贸易数据在确定的时刻,确定的地点是有效的。
电子商务的真实性是指接收方可以确信信息来自发信者,而不是第三者冒名发送;发送方可以确信接收方的身份是真实后,而不至于发往与交易无关的第三方。
2.电子商务中存在的安全问题
2.1.网络安全问题
网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题,网络安全就是如何保证网上储存和传输的信息的安全性,网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁,网络安全所遭受到的攻击可以分为以下几种。
2.1.1.病毒
病毒是由一些不正直的程序员所编写的计算机程序,它采用了独特的设计,可以在受到某个事件收发时,复制自身,并感染计算机,如果在病毒可以通过某个外界来源进入网络时,网络才会感染病毒。
当网络上的一台计算机被感染时,网络上的其他计算机就非常有可能感染到这种病毒,在网络环境下,病毒可以按指数增长模式进行传染,病毒侵入计算机网络,可以导致计算机效率急剧下降,系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
2.1.2.特洛伊木马程序
特洛伊木马程序是破坏性代码的传输工具,特洛伊表面上看起来是无害的或者有用的软件程序。
例如计算机游戏,但是它们实际上是伪装的敌人,特洛伊可以删除数据,将自身的副本发送给电子邮件地址簿中的收件人,以及开启计算机进行其他攻击,只有通过磁盘从互联网上下载文件或者打开某个电子邮件附件,将特洛伊木马程序复制到一个系统,才可能感染特洛伊,无论是特洛伊还是病毒并不能通过电子邮件本身传播,它们可能通过电子邮件附件传播。
2.1.3.恶意破坏程序
网站会提供一些软件应用的开发而变得更加活泼,这些应用可以实现动画和其他一些特殊效果,从而使网站更具有吸引力和互动性,但是由于这些应用非常便于下载和进行,从而提供了一种造成损害的新工具,恶意破坏程序是指会导致不同程序破坏的软件应用或者java小程序,一个恶意破坏程序可能只会损坏一个文件,也可能损坏大部分计算机系统。
2.1.4.攻击
目前已经各种类型的网络攻击,它们通常被分为三大类:
探测或攻击、访问攻击和拒绝服务攻击。
探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网络;访问攻击用于发现身份证服务、文件传输协议功能等网络领域的漏洞。
以访问电子邮件账号、数据库和其他保密信息;DOS攻击可以防止用户对于部分或者全部计算机系统的访问,它们的实现方法通常是:
向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数据,从而让正常的访问无法达到该主机,更恶意的分布式拒绝服务攻击(DDOS),在这种攻击下攻击者将会危及到各个设备或者主机的安全。
2.1.5.数据阻截
通过任何类型的网络进行数据传输者可能会被XX的一方截获,犯罪分子可能会窃听通信信息,甚至更改被传输的数据分组,犯罪分子可以利用不同的方法来阻截数据
2.1.6.社会活动
社会活动是一种越来越流行的通过非技术手段获取保密的网络安全信息手段。
2.1.7.垃圾信件
垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为,垃圾信件通常是无害的,但是它可能会浪费接受者的时间和存储空间带来很多麻烦。
2.2.商务安全问题
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性备受关注,网络所固有的开放性与资源共享导致网上交易的安全性受到严重威胁,所以在电子商务交易中,保证交易数据的安全是电子商务系统的关键
3.电子商务交易的安全技术
3.1.加密技术
互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也更加激烈,这就对安全技术提出了更高的要求,安全技术是电子商务安全体系中的基本策略,是伴随着安全问题的诞生而出现的,安全技术极大地从不同层次加强了计算机网络的整体安全性,要加强电子商务的安全,需要企业本身采取更为严格的管理措施,需要国家建立健全的法律制度,更需要有科学的先进的安全技术、安全问题是电子商务发展的核心关键问题,安全技术是解决安全问题保证电子商务健康有序发展的关键因素。
加密技术是电子商务的最基本技术,是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。
3.1.1.对称密钥加密
采用相同的加密算法,并且加密和解密都使用相同的密钥,如果进行的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文摘要和报文散列值,来保证报文的机密性和完整性。
密钥安全交换是关系到对称加密有效性的最核心环节。
目前最常用的对称加密算法有DES、AES、IDEA、3DES等,其中DES使用最常用,被国际标准化组织采用作为数据加密的标准。
3.1.2.非对称密钥加密(RSA)
非对称加密不同于对称加密其密钥被分为公开密钥和私有密钥,密钥对生成后,公开密钥对外公开,而私有密钥则保存在密钥发布方手里,任何得到公开密钥的用户都可以使用密钥信息发送给该公开密钥的发布者,而发布者在得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。
目前,常用的非对称加密算法有RSA算法、背包算法、Rabin算法、概率加密算法,其中RSA算法是最常用的。
该算法已被国际标准化组织的数据加密技术分委员会推荐为非对称密钥数据加密标准。
在对称和非对称两类加密方法中,但该方法的致命缺点是密钥的传输与交换也面临着安全问题。
密钥易被截取,而且,若和大量用户进行通信,难以安全管理大量的密钥时,因此,对称加密大范围应用存在一定问题,而非对称密钥则相反。
其优点是解决了对称加密中密钥数量过多难管理和费用高的不足,也不必担心传输中和有密钥的泄露,保密性能优于对称加密技术,但非对称的缺点是加密算法复杂,加密速度不很理想。
目前,电子商务中常常有两者结合使用。
3.2.身份认证技术
目前电子商务交易中仅加密技术不足以保证交易安全,身份认证技术是保证电子商务安全的另一重要技术手段、身份认证的实现包括数字签名技术、数字证书技术、数字摘要、数字信封、数字时间戳等。
3.2.1.数字签字技术
对信息加密只解决了信息、传输过程中的保密问题,而防止他人对传输的信息进行了篡改和破坏,保证信息的完整性以及保证信息发送信息的不可抵赖性,需要采用其他的手段,这一手段就是数字签名,数字签名技术即进行身份认证的技术,在数字文档上的数字签名类似于纸张上的手写签名,是不可伪造的,接受者能够验证文档确实来自签名后,并且签名后文档没有被修改时,从而保证信息的真实性和完整性。
目前的数字签名是建立在公开密钥体制基础上,它是公用密钥技术的另一类应用,数字签名与书面文件签名有相同之处,采用数字签名也能确认以下两点:
信息是由签名者发后到收到为止未作任何修改,数字签名方法主要有三种,即RSA签名,DSS签名和HSSh签名这三种算法可单独使用,也可综合在一起使用。
3.2.2.数字认证技术
在公开密钥体制中,私钥只有信息发送者知道,而与之匹配的公钥是公开,它能保证传输信息的保密性,但没有解决公钥的分发方式,数字签名保证了信息是由签发者发送的以及信息自签发后到收到为止未曾作过任何修饰,但不能保证签名身份的真实性,因此需要有一种措施就是数字证书。
数字证书是一般由具有权威性、可信任性的第三方机构即认证机构CA所颁发,数字后本是公开密钥体制中的密钥管理媒介,并将公钥和实体身份信息绑在一起,并包含认证机构的数字签名证书在电子商务用于公钥的分发、传递、证明电子商务实体身份与公钥相匹配。
3.2.3.数字摘要
数字摘要是采用单向HASH函数对文件中若干重要元素进行某种交换运算得到固定长度的摘要码,并在传输信息时,将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行交换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。
3.2.4.数字信封
数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容,在数字信封中,信息发送方采用对称密钥用接收方的公开密钥来加密之后,将它的信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息,这种技术的安全性相当高。
3.2.5.数字时间戳
交易文件中,时间是十分重要的信息,在书面合同中,文件签署的日期和签名一样均是十分重要的,是防止文件被伪造和篡改的关键性内容,而在电子交易中,同样需要对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护,数字时间戳服务是网络安全服务项目,由专门的机构提供。
3.3.防火墙技术
3.3.1.防火墙的概述
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多的应用于网络与公共网络的互联环境中,大型网络系统与Internet互联的交换和访问行为来实现对网络安全的有效管理。
其基本功能为:
首先防火墙是网络安全的屏障,网络内部和外部之间的所有通信,全部必须以过防火墙,其次防火墙右以强化网络安全策略,所以实施安全策略所需求的安全功能;第三网络存取和访问进行监控审计,只有经过授权的通信业务才能通过防火墙进行,第四防止内部信息的外泄。
防火墙主要用来提供服务控制,因此能够提供以下4类控制服务:
(1)确定可进出服务器的互联网的服务类型,防火墙可根据IP地址和TCP端口号来过滤通讯号。
(2)方式控制:
对稳定的服务请求,控制其他进出防火墙的方向,这些操作具有方向性,方向控制就是用来确定进出的访问。
(3)请求控制:
根据请求访问的用户来确定是否提供这服务。
(4)行为控制:
控制如何使用特定的服务,如何从电子邮件中过滤垃圾邮件也可限制外部访问,使它们只能访问本地WEB服务器中的部分信息。
防火墙能控制外部网络和内部网络的信息交流,能提供接入控制和审查跟踪,禁止互联网中XX的计算机侵入由防火墙保护的内部网络的计算机系统。
因此,防火墙具有这样的局限性,防火墙外不设内;防火墙难于管理和配量,易造成安全漏洞;很难为用户在防火墙内外提供一致的安全策略,防火墙只实现粗粒度的访问控制。
A、防火墙的分类
最常用的防火墙有过滤防火墙和代理防火墙。
(1)包过滤防火墙,包过滤一般是基于源地址和目的地址,应用或协议以及每个人IP包的端口来做出通过与否的判断的,包过滤的优点是不能改动应用程序,一个过滤路由器能协助保护能力有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
(2)代理防火墙,代理防火墙是针对包过滤的缺点而引入的防火墙技术,它的优点是内置了专门为了提高安全性而编制的Rroxy应用程序,能够透彻地理解相关服务的明令,对来往的数据它进行安全化处理,安全,不允许数据包通过防火墙,避免了数据驱动式攻击的发生,控制内部流量和外部流量。
B、防火墙的缺陷
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有一些缺陷和不足,有些缺陷目前甚至无法解决。
(1)限制有用的网络服务:
防火墙为了提高被保护网络的安全、限制或关闭了很多有用但存在安全缺陷的网络服务,
(2)无法防护内部网络用户的攻击:
目前防火墙只提供对外部网络用户攻击的防护。
4.结束语
当前,我国社会信息化正以一日千里的速度前进,对网络与信息安全的需求日益增大,与其他领域不同,网络与信息安全问题必须依靠我国自己的力量来解决,虽然目前电子商务的安全技术有很多突破,但仍有许多未解决的问题。
比如:
没有解决电子商务安全问题的完整方案和模型;大多数电子商务系统都是封闭以后,支持一些特定的协议和机制;不能充分保证客户的匿名性和隐私;非对称关系限制了用户问的直接交易;大多数系统都限制为两方,很少考虑各方交易,缺少完善健全的安全规范政策等等。
而且随着电子交易手段多样化发展,安全问题也会日益突出,所以探讨电子商务的安全技术问题是十分必要的,只要我们合理运用这些安全技术,是能够系统有效的保障计算机安全的。
5.致谢
建立顾客关系管理系统首先应当寻找到合适的顾客,明确顾客标准,进而与他们建立稳定的关系。
同时,虽然顾客关系管理在企业留住老顾客和培育顾客信任方面发挥重要作用,但是当企业发展与顾客定位不一致时,或者当老顾客背离企业时,顾客关系管理应为企业的顾客服务提供决策支持,帮助企业妥善处理好因顾客背离为企业带来的负面影响,这样才能使顾客关系管理的效用价值最大化。
由此看来,顾客关系管理的实施伴随着管理方法和业务流程的改变,需要企业领导者和员工的共同努力。
它给企业带来的不仅仅是一种新的管理系统,更重要的是一种先进的管理思想和管理方法,它将推动企业进入一个崭新的营销时代。
在本次毕业论文的制作过程中,感谢指导老师的悉心指点,让我在论文的理论构架与逻辑结构方面受益非浅。
6.参考文献
[1]吕何新,《电子商务概论》.重庆:
重庆大学出版社,2002
[2]韩宝明,《电子商务支付与安全》.北京:
人民邮电出版社,2001
[3]欧阳锋,《电子商务技术》.北京:
中国财政经济出版社,2002
[4]许榕生,《电子商务安全与保密》.北京:
中国电子出版社,2001
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 交易 安全问题