登陆注册
6203100000005

第5章 电子商务安全的主要内容

1.3.1电子商务安全的特点

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:网络安全和商务交易安全。

网络安全的内容包括:网络设备安全、网络系统安全、数据库安全等。其特征是针对网络本身可能存在的安全问题,实施网络安全增强方案,以保证网络自身的安全为目标。

电子商务安全具有如下四项特点:

1.电子商务安全是一个系统概念

电子商务安全问题不仅仅是个技术性的问题,更重要的是管理问题,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起。

2.电子商务安全是相对的

房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑玻璃的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不能追求一个永远也攻不破的安全系统,安全与管理始终是联系在一起的。也就是说,安全是相对的,而不是绝对的,要想以后的网站永远不受攻击、不出安全问题是不可能的。

3.电子商务安全是有代价的

现在无论是国外的B2B还是B2C,都要考虑到安全的代价和成本问题。如果只注重速度,就必定会以牺牲安全来作为代价;如果要考虑到安全,速度就得慢一点。当然这与电子商务的具体应用有关,如果不直接牵涉到支付等敏感问题,对安全的要求就可以低一些;如果牵涉到支付问题,对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时也要考虑到这些因素。

4.电子商务安全是发展的、动态的

今天安全,明天就不一定安全,因为网络的攻防是此消彼长、“道高一尺,魔高一丈”的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性很强,需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。

1.3.2电子商务安全的技术基础

电子商务安全基础包括基础知识和基础理论、基础设施和基础技术。安全问题不仅仅是技术方面的问题,它还涉及心理、社会环境和法律等方面。下面从电子商务的基础技术、服务及体系方面给出一个简要框架,以明确电子商务安全这门学科涉及的知识范畴。

电子商务安全是信息安全的上层应用,它包括的技术范围比较广,主要分为密码技术、网络安全技术和PKI数字认证技术三大类。

1.密码技术

现代社会对信息安全的需求大部分可以通过密码技术来实现。密码技术是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。

加密技术是实现信息保密性的一种重要手段。利用加密技术可以达到对电子商务安全的需求,保证商务交易的机密性、完整性、真实性和不可否认性等。通常,信息加密的途径是通过密码技术实现的,密码技术是保护信息的保密性、完整性、可用性的有力手段,它可以在一种潜在不安全的环境中保证通信及存储数据的安全,密码技术还可以有效地用于报文认证、数字签名等,以防止种种电子欺骗。可以说,加密技术是认证技术及其他许多安全技术的基础,也是信息安全的核心技术。

签名认证技术是保证信息的真实性的一种重要手段。其目的有两个:一是验证信息的发送者是不是冒充的;二是验证信息的完整性,即验证信息在传送或存储过程中未被篡改等。密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。其中分配和存储是最棘手的问题。

密钥管理不仅影响系统的安全性,而且涉及系统的可靠性、有效性和经济性。当然,密钥管理过程中也不可能避免物理上、人事上、规程上等一些问题。在用密码技术保护的现代信息系统的安全性主要取决于对密钥的保护,而不是对算法或硬件本身的保护,即密码算法的安全性完全寓于密钥之中。

2.网络安全技术

网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全技术所涉及的方面比较广,如操作系统安全、防火墙技术、虚拟专用网VPN技术、各种反“黑客”技术和漏洞检测技术等各种网络安全防范技术。当前在电子商务领域应用最广泛的是防火墙技术、虚拟专用网技术和入侵检测技术。

(1)防火墙技术。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵。而目前防止的措施主要是靠防火墙技术完成。网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略进行检查,从而决定网络之间的通信是否被允许。其中,被保护的网络称为内部网络或私有网络,而另一方则被称为外部网络或公用网络。防火墙能有效地控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。

(2)虚拟专用网技术。虚拟专用网(VPN)技术是一种在公用互联网络上构造企业专用网络的技术。通过VPN技术,可以实现企业不同网络的组件和资源之间的相互连接,它能够利用Internet或其他公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。

(3)入侵检测技术。入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。它通过对计算机系统进行监视,提供实时的入侵监测,并采取相应的防护手段。它的目的在于监测可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非授权行为。

3.PKI数字认证技术

PKI是公钥基础设施Public Key Infrastructure的英文缩写,PKI技术是普适性的安全基础设施,是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行、证券等提供一整套安全基础平台。

PKI的核心元素是数字证书,其核心执行者是认证机构。有关数字证书服务的应用实施是广泛开展电子商务的基本前提,电子商务的深入开展离不开数字证书技术和认证机构的正确督导。

认证技术是信息安全理论与技术的一个重要方面,也是电子商务安全的主要实现技术。采用认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求,较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。

认证技术主要涉及身份认证和报文认证两方面的内容。身份认证用于鉴别用户身份,报文认证用于保证通信双方的不可抵赖性和信息的完整性。在某些情况下,信息认证显得比信息保密更为重要。例如,在很多情况下用户并不要求购物信息保密,而只需要确认网上商店不是假冒的(这就需要身份认证),确保自己与网上商店交换的信息未被第三方修改或伪造,并且网上商家不能赖账(这就需要报文认证);商家也是如此。从概念上讲,信息的保密与信息的认证是有区别的。加密保护只能防止被动攻击,而认证保护可以防止主动攻击。被动攻击的主要方法就是截收信息;主动攻击的最大特点是对信息进行有意的修改,使其推翻原来的意义。主动攻击比被动攻击更复杂,手段也比较多,它比被动攻击的危害更大,后果也特别严重。

目前,在电子商务中广泛使用的认证方法和手段主要有数字签名、数字摘要、数字证书、CA安全认证体系,以及其他一些身份认证技术和报文认证技术等。

1.3.3电子商务的安全架构

电子商务的发展是技术发展的体现,是人类需求多样化的体现。确保电子商务的健康持续发展,需要一套完善的电子商务安全架构,以保障电子商务交易各个环节的安全稳定。电子商务建立在信息通过技术的基础上,但又不是孤立地依赖于信息通信技术,在电子商务交易开展的过程中,还需要环境提供相应的保障。因此,电子商务安全架构应该是一个涵盖技术因素,管理因素等在内的一个综合体系。

电子商务安全,涉及人(people)、过程(procedure)及技术(technology)三种因素,包括保护(protect)、检测(detect)、反应(react)及恢复(restore)四个环节。

1.三种因素

(1)人员因素。

首先,电子商务不是电子设备之间独立进行的交易行为,电子商务交易的主体仍然是人。既然人作为一种实体在电子商务交易过程中存在,则其必然对电子商务的安全产生重要的影响。源于人这种因素的安全问题包括员工无意中泄露系统的密码、对企业心怀不满的员工对系统的恶意攻击等。可以通过人员培训、教育等措施来降低人为因素带来的安全隐患。

(2)过程因素。

电子商务中实施交易,这些交易过程的实现体现为对电子商务系统的操作过程,如系统登录,数据库更新等。在这些过程中,应该有严格的制度来规范各种操作行为,从制度上避免各种不规范行为的发生,杜绝系统安全隐患。

(3)技术因素。

信息通信技术是电子商务实现的基础,技术因素对电子商务安全的影响最为直接,不恰当的系统设计、不正确的参数配置等技术问题都会成为电子商务系统安全的直接隐患。因此,在开展电子商务交易的过程中,首先要从技术上保障系统的安全可靠。

在电子商务安全所涉及的这三种因素中,人和过程的因素是与管理相关的,因此,这三种因素又可以分成管理与技术两个层面,正如人们常说:信息系统的安全,三分靠技术,七分靠管理。在日常的电子商务系统运转,业务开展过程中,既要重视技术的因素,也要重视人、过程等管理因素。

2.四个环节

电子商务安全包括保护(Protect)、检测(Detect)、反应(React)及恢复(Restore)四个环节,简称为PDRR。

(1)保护。保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,如在安全策略中规定不允许外部用户访问内部的Web服务器,就可以在防火墙的规则中加入一条,禁止所有外部用户到内部Web服务器的连接请示。一旦这条规则生效,它就会持续有效,除非我们改变了这条规则,这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。

(2)检测。检测就是实时监控系统的安全状态,它是实时保护的一种策略,主要满足一种动态安全的需求。因为网络安全技术在发展的同时,“黑客”技术也在不断发展,因此网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护了,这种想法是错误的,因为安全保护是基本,检测是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。

(3)反应。反应就是当攻击正在发生时,能够及时做出响应,如向管理员报告,或者自动阻断连接等,防止攻击进一步发生,将安全事件的影响降低到最小范围。反应是整个安全架构中的重要组成部分,因为即使你的网络构筑是相当安全,攻击或非法事件也是不可避免,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击的结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。

(4)恢复。当入侵发生后,对系统造成了一定的破坏,如网络不能正常工作,系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,这对电子商务交易的正常开展至关重要。因此恢复在电子商务安全的整体架构中也是不可缺少的一个组成部分。恢复是最终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。

安全架构既涉及了与电子商务安全相关的各种因素,又指出了确保电子商务系统安全的各个环节,对构建安全的电子商务环境具有重要意义。针对该框架中的各种因素及环节,目前市场上已具备相应的产品及规范、标准等,充分利用这些已有成果并动态追踪安全形势的发展,将是电子商务持续健康发展的关键所在。

同类推荐
  • 中小学生最想知道的世界著名建筑

    中小学生最想知道的世界著名建筑

    本丛书是专为21世纪中国青少年学生量身定做的一套全方位素质教育图书。全系列精品图书涵盖青少年学生成长过程中不可或缺的文理知识,图文并茂的结构框架将引领广大的中国学生收获最权威系统的科学知识,饱览最浩瀚精彩的历史画卷,探索奥妙神秘的大干世界,收获无限精彩的智慧人生。本书详细介绍了世界各地的著名建筑,帮助中小学生了解建筑背后的文化、历史知识。进而扩大视野,培养其审美能力。本文分10个章节,共介绍了35处著名建筑。
  • 广告策划与品牌管理

    广告策划与品牌管理

    本书包含认知广告、设计广告战略、分析消费者广告心理、广告创意策划、创造广告文案、广告媒体选择与投放、广告预算与效果评估、品牌管理等十个任务。
  • 世界经典智破奇案故事

    世界经典智破奇案故事

    侦破故事不论是民间流传还是真有其事,都代表人们不平则鸣的心声。在侦破故事中,忠诚与奸诈、勇敢与怯弱、正义与邪恶、公理与私刑、智慧与愚昧、文明与落后、真善美与假丑恶,形成了鲜明的对比、激烈的矛盾经过冲突、斗争、较量,一切表现得淋漓尽致, 使我们不得不对邪恶产生深深地憎恨,对正义产生不懈地追求。
  • 哈姆雷特

    哈姆雷特

    《哈姆雷特》是戏剧之王莎士比亚的巅峰之作。《哈姆雷特》讲述了丹麦国王的合法继承人哈姆雷特,其父王被杀,母后被迫改嫁,王位也被篡夺。他经历了艰苦的磨难,最后终于在父亲鬼魂的提示下,查明事实真相,替父亲报了仇。而他自己却在仇人设下的圈套中与其同归于尽。《哈姆雷特》的整个故事渗透着属于莎士比亚那个时代的精神,是莎士比亚人文主义和对现实生活批判精神的最深刻的表达。本书还收录了莎士比亚另外两本经典剧《麦克白》和《罗密欧与朱丽叶》。
  • 无声的课外老师:课堂学习中遇到问题怎么办

    无声的课外老师:课堂学习中遇到问题怎么办

    “百年大计,教育为本。”教育,是立国之本,是民族兴旺的标记。一个国家有没有发展潜力,看的是教育;这个国家富不富强,看的也是教育。教育的对象是学生,所以,让学生受到良好的教育,是国家富强、民族兴旺的根本
热门推荐
  • 异能人联盟

    异能人联盟

    拥有透视眼的霍天祥感觉到全天下的美女正在脱着衣服等待着他一样而霍天祥的5位老婆同样有异能,霍天祥就带着自己的老婆开始了异能之路,一切激情都在《异能人联盟》中请大家多支持!!!!!!
  • 璀璨流年童梦远

    璀璨流年童梦远

    那年懵懂无知,他的笑容深深印在我的脑海里。后来当我爱了,他消失在人海。她说:“你别傻了,你爱他只会患得患失,他给不了你幸福,更不会让你快乐。”她说:“世界的男人千千万,你干嘛非要在一棵树上吊死?”他曾说:“以后不管发生什么,都不要说分手。”你虽不是我所想象中喜欢的样子,可是我偏偏喜欢你;世界上的人千千万,可他们都不是你。无论什么事情我都不会怪你怨你,可相识七年,你却竟不知我是怎么样的人,我真的怪你。人生其实就是一次又一次的离别,而我们不得不学会放弃告别。所有的原谅,都只是因为不想失去。
  • 狐作妃为:冒牌王妃复仇记

    狐作妃为:冒牌王妃复仇记

    邪王的小萌妃,她是一只待修成精的,阴差阳错之间救下奄奄一息的他,从而落下不解之缘。他是紫云国的战神六王爷,生性薄凉,淡情邪魅如他,却不曾想过。
  • 逃离大脑

    逃离大脑

    “每个人的心灵都深锁着一个恶魔。”我想,我们的大脑可能仅仅只是‘他’的燃料,封锁‘他’的监狱根本没有门,‘他’需要将自己造的机器加满燃料,然后就能破开这监狱的墙一飞冲天。
  • 风落归巢

    风落归巢

    她叫凤曦妤,是太子太傅的嫡女,身为官家子女,逃不过进入后宫的命运。嘉盛四十一年,皇帝考虑太子无子,为太子选秀,充盈后府,故事就从这里开始……
  • 重生祸世妖姬

    重生祸世妖姬

    【我的名字,陈乔易,我是一名女巫】【喜欢公平交易】【只要你能付的起代价,我可以帮你做任何事情】【别不相信命运,你我的相见,便是命运的一手安排】【命运........】
  • The Antiquities of the Jews

    The Antiquities of the Jews

    本书为公版书,为不受著作权法限制的作家、艺术家及其它人士发布的作品,供广大读者阅读交流。
  • 梦世仙神

    梦世仙神

    远古传说,原本世间万物和平共处的仙霄大陆之中,因两位仙者为情所困,恩怨纠缠数千万年,将原来的仙霄大陆分为现在的圣魔两大陆。“任你何方势力,都不在我眼中;任你如何强大屹立,都逃不过我的掌心。只知路远,不为天地,不为世界,不为完美,不为武道,只为己心!谁曾料到,如此逆遇,洪荒之劫,化我妖心,永恒万主,成就仙神之位!我是仙,也是神,是这个世界巅峰的存在,是这个世界不可能有的存在,可我却一直真实地存在于这个世界。”封印异天书的那天,仙神者就是这么说的。仙神之名:冰炎风
  • 暗武纵横

    暗武纵横

    带着游戏人物技能穿越异界,一代游戏王在DNF比赛后离奇穿越异界,且看游戏技能对异界神魔的冲击。
  • 绝品透视高手

    绝品透视高手

    李小东因祸得福,大梦初醒获得透视眼的能力,从此之后,赌石,刮彩票,窥美女,看病,泡妞儿等等一路无阻,快意恩仇,潇洒人生,走向人生巅峰。