电子商务安全问题分析论文

2022-04-21

随着Internet的迅猛发展,电子商务作为现代信息技术和传统商务活动相结合的产物.已经逐渐成为人们进行商务活动的新模式,受到了全世界、全社会的广泛关注。以下是小编精心整理的《电子商务安全问题分析论文(精选3篇)》仅供参考,希望能够帮助到大家。

电子商务安全问题分析论文 篇1:

电子商务安全问题及对策分析

电子商务是通过Internet技术与传统的电子票据交换(Electronic data interchange,EDI)、电子资金转账(Electronic funds transfer,EFT)等技术相结合而发展起来的一种新兴的商务交易模式。它借用先进的计算机网络通信技术和WEB数据库技术、以电子信息交换为手段实现各种商业处理及交易逻辑进行各种经济活动。相关调查数据显示,中国电子商务交易额在2006年已突破1万亿元,近三年,中国电子商务交易额保持了50%~60%的增长速度。电子商务基于Internet技术的网络协议设计上较多地考虑了共享、互联、互通等,忽视了对安全和保密的关注,其使用和管理上更是以民间自治、自愿合作等为原则,其安全问题先天不足。如何在网上保证交易的公正性和安全性、保证交易方身份的真实性、保证传递信息的完整性以及交易的不可抵赖性,成为电子商务蓬勃发展的关键所在。

一、电子商务安全性的要求

1.有效性。电子商务交易在网络上以电子形式取代了传统交易形式下的纸质,这样保证贸易信息的有效性就成为电子商务的前提,直接关系到个人、企业或国家的经济利益和声誉。

2.机密性。电子商务建立在一个开放的网络环境上,维护商业机密就成为电子商务推广应用的重要保障。

3.完整性。完整性指数据信息未经授权不能进行改变的特性,要预防对信息的随意生成、修改、伪造、插入和删除,同时也防止数据传输过程中的丢失、乱序和重复。

4.可靠性。可靠性指在遇到自然灾害、硬件故障、软件错误、计算机病毒等情况下,仍能确保系统安全、可靠运行。

5.不可抵赖性。传统交易中,交易各方通过“白纸黑字”预防抵赖行为的发生。在无纸化的电子交易方式下,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使信息发送者在发送数据后不能抵赖,接受方接受数据后也不能否认。

6.交易审查能力。依据在交易过程中信息传输机密性和完整性的要求,应对数据审查的结果进行记录。

二、电子商务安全对策

1.发展安全技术

(1)加密技术。加密技术是认证技术和其他许多安全技术的基础。其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。加密技术包括对称机制和非对称机制。常用的对称加密算法有DES、三层DES和IDEA等,非对称加密通常以RSA算法为代表。

(2)防火墙技术。防火墙是指一种将内部网和外部网分开的方法,实际上是一种隔离技术。具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙能防范来自企业外部的攻击,对企业内部却无能为力。

(3)入侵检测技术。入侵检测是通过监控网络与系统运行情况,来检测用户的越权使用以及系统外部的入侵企图,保证资源不被非法使用和非法访问。若发现入侵,会及时反应,包括切断网络连接,记录事件和报警等。

(4)数字(Digital Envelope)信封。数字信封采用对称加密技术和非对称加密技术来保证只有规定的接收方才能阅读到信中的内容,从而有效地提高信息的保密性。

(5)虚拟专用网。虚拟专用网(VirtualPrivateNetwork,VPN)技术是一种在公用互联网络上构造专用网络的技术。VPN具体实现是采用隧道技术,将企业内的数据封装在隧道中进行传输。这种通道是Internet上的一种专用通道,可保证数据在外部网上的企业之间安全地传输。

(6)认证技术。认证技术提供了一种安全可靠的验证交易各方身份真实性的验证机制。安全认证技术主要有:①数字摘要技术。也称安全Hash编码法(SHA)。该编码可以将需加密的明文摘要成一串密文,不同的明文摘要成密文,其结果总不相同,相同的明文摘要则一致。因此解决了电子商务交易中信息的完整性问题。②数字签名技术。在基于Internet的电子商务中,对常规手写签名做法用数字签名作为模拟。数字签名的技术保证是加密,实践表明采用非对称加密算法要比对称加密算法更容易实现。③数字时间戳技术。由专门机构提供数字时间戳服务(DTS),在文件摘要上加入日期和时间信息后加密(数字签名)。可以解决电子文件发表时间被伪造和篡改的问题。④数字凭证技术。又称为数字证书,是一个经证书认证机构(CA)数字签名的包含用户身份和对网络资源访问的权限。它是电子商务主体在数字世界的身份证明,不可能被假冒。贸易伙伴间可以使用数字证书来交换公开密钥,起到标识贸易方的作用。⑤认证中心(Certificate Authority,CA)是网上各方都信任的机构,主要负责产生、分配并管理所有参与网上交易的个体所需的身份认证数字证书,各级CA认证机构的存在组成了整个电子商务的信任链。认证中心,负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题。

(7)电子商务安全协议。电子商务安全协议主要有:SSL(安全套接层)协议、SET(安全电子交易)协议、安全的超文本传输协议(S-HTTP)。SSL协议适用于点对点的信息传输,通过在浏览器软件和WWW服务器建立一条安全通道,实现在Internet中传输保密文件。该协议成本低,较易实行,但不严密,主要用于购物网站的交易;SET协议是在开放网络环境中的卡支付安全协议,它采用公钥密码体系和X.509数字证书标准。该协议较复杂,成本高,仅适用于卡支付;安全的超文本传输协议(S-HTTP)向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。

电子商务交易安全技术并不限于以上所提到的,在现实中,常常将各种技术结合起来使用,以最大限度地提高电子交易的安全性,实现电子交易的基本安全控制要求。

2.健全信用体系,完善法律保障

电子商务交易方涉及个人、企业、政府,市场容量巨大,仅依靠安全技术无法完全解决其安全问题,还需要建立和完善信用体系及电子商务的法律法规体系,才能有效规范电子商务中的安全隐患。随着国家信用体系的建立,《电子政务法》、《电子交易法》、《个人信息保护法》等相关法律的出台和完善,电子商务发展所需的信用体系、支付体系、认证体系三大体系将更加完善,也会进一步健全我国电子商务发展的法律法规环境,为电子商务的快速发展保驾护航。

3.加强安全管理

首先,必须加强基础设施的安全管理,重视设备的物理安全;同时要对电子商务安全交易系统经常进行检测和维护,确保把电子商务系统安全风险控制在最低限度。其次,要加强相关人员的管理。据调查发现,内部人员对系统和信息的破坏比外部人员更频繁。所以要对电子商务活动相关人员进行安全技术教育和培训,提高人员的道德和业务水平,并通过合理分工,把整个系统管理的权限分散,通过加强监督,确保电子商务系统管理的安全、高效。

(作者单位:中原工学院经济管理学院)

作者:桑继耀

电子商务安全问题分析论文 篇2:

基于电子商务的安全问题分析及其安全策略探讨

随着Internet的迅猛发展,电子商务作为现代信息技术和传统商务活动相结合的产物.已经逐渐成为人们进行商务活动的新模式,受到了全世界、全社会的广泛关注。如今,电子商务魅力的日漸显露,虚拟企业、虚拟银行、网络营销、网上购物、网上支付、网络广告等一大批前所未闻的新词汇正在为人们所熟悉和认同,越来越多的人们通过Internet进行商务活动,因此电子商务的安全问题也变得越来越突出。

作者:张洪

电子商务安全问题分析论文 篇3:

从“5.19断网事件”分析电子商务网站的安全问题

[摘 要]本文首先回顾了2009年的“5·19 断网事件”,详细分析了该事件发生的背景、起因和攻击的实施步骤等,最后提出了防范此类事件的安全措施。

[关键词]电子商务 DDoS 网络安全 DNS 断网事件

随着网络技术的发展,电子商务和电子政务等信息化工程也日益完善,然而从安全的角度来看,电子商务网站所面临的网络安全问题却始终如挥之不去的梦魇。DDoS(Distributed Deny of Service-分布式拒绝服务攻击)攻击是一种很难被彻底解决的电子商务网站安全问题,其危害较大,往往可造成网站访问延时甚至瘫痪。中国最近一次大的DDoS攻击事件发生在2009 年5月19 日。当天晚上受暴风影音软件存在的设计缺陷以及免费智能DNS软件DNSPod的不健壮性影响,黑客通过僵尸网络控制下的DDoS攻击,致使我国江苏、安徽、广西、海南、甘肃、浙江等省在内的23 个省出现罕见的断网故障,即“5·19 断网事件”。

一、“5·19 断网事件”事件回顾

“5·19 断网事件”是综合了多种因素后产生的结果,其起因是一私人游戏服务器(简称私服)的所有者攻击竞争对手的游戏服务器未果,转而攻击为对手的游戏服务器提供免费动态DNS解析服务的DNSPod网站(www.dnspod.cn),其具体实施步骤可归纳如下:

1.如下图所示,攻击者通过控制互联网上大量的傀儡机(被僵尸网络控制的计算机)向DNSPod服务器发起DDoS攻击,使DNSPod服务器无法为正常用户提供域名解析(域名转换成IP地址)服务,直至瘫痪。

2.暴风影音网站(baofeng.com)的域名解析使用的也是DNSPod服务器,当DNSPod服务器被攻击瘫痪后,根据域名解析的递归机制,所有客户端对“*.baofeng.com” 网站的解析请求将被转向DNSPod服务器的上一级DNS服务器(即电信运营商的DNS服务器)。

3.暴风影音为了获得更高的广告点击率,在后台暗藏了机关——安装了暴风影音客户端软件的计算机在启动时会自动链接到暴风影音网站(*.baofeng.com)。而当暴风影音软件在得不到DNS响应(DNSPod服务器已瘫痪)时,会不断发送DNS解析请求报文(每分钟100 次以上)到电信运营商的DNS服务器。由于使用暴风影音软件的用户数量巨大,致使最终到达电信运营商的DNS服务器的流量高达10GB/s左右。

4.虽然电信运营商的DNS服务器进行了分布式部署,但大部分省份的DNS递归服务器仍无法承受如此巨大数量的域名解析请求报文,导致服务器CPU和内存资源耗尽,最终这些DNS服务器处于瘫痪状态。

5.由于DNS服务器的作用是把域名翻译成IP地址,故电信DNS服务器瘫痪后,除直接使用IP地址外(一般用户很少直接记忆IP地址),绝大多数互联网用户的DNS域名解析请求得不到响应,从而产生断网现象。

二、“5·19 断网事件”事件剖析

1. 从本质上来说“5·19 断网事件”未发生断网,网络本身是畅通无阻的,大面积中断的是DNS服务,故该事件的准确表述应为“5·19 DNS服务中断事件”。这一事件再次告戒我们:在互联网中越是由最基础服务的安全产生的威胁,其影响力越大,范围越广。作为互联网基础服务的DNS,每天有海量的域名解析信息产生,其个体的安全性已经直接影响着互联网的安全。

2.该事件最初是由两位私服拥有者的互相攻击造成的,但他们主观上没有破坏全国性网络的意图。而之所以造成如此大的影响,其中暴风影音扮演着非常重要的中间人角色。正由于暴风影音软件的“流氓化”行为,无意间绑架了大量的安装该软件的用户,使他们成为了发动对电信DNS服务器攻击的傀儡机。从此事件中我们看到除了各大软件商必须自律之外,相应职能部门也应该加强对流氓软件或功能的管理和监督。

3. DDoS攻击已成为目前互联网上黑客经常采用的攻击手段。DDoS 原理很简单,就是利用网络掌控并集结尽量多的傀儡机来攻击目标机以期达到比单机大得多杀伤力,其危害极大且难以防御。目前为止网络业界并没有可以彻底消除DDoS攻击的措施,提高硬件设施性能也只能做到降低攻击程度的级别。

三、对此类事件的安全防范方法

1.相应职能部门加强对各种流氓软件的监督和管理,消除软件后门存在的安全隐患。

2.DNS清洗服务。“5·19 断网事件”中,当电信运营商得知DNSPod服务器被攻陷后,立即进行了清洗服务。根据域名解析体系中的缓存机制,大量递归域名解析服务器中的解析记录一般至少要保存24 小时,也就是说即使是错误的信息也需要在24小时之后才能够被系统自动删除。DNS清洗服务可以解决DNS缓存带来的域名错误查询问题。

3.DNS服务器的冗余备份。冗余备份是DNS服务器安全管理中采用的一种较为普遍的方法。为了保障DNS服务的可靠性,我们可以采用多机备份方案以提高系统的抗攻击能力。

4.对软件漏洞的管理。软件漏洞主要包括操作系统的漏洞和DNS应用软件的漏洞。针对利用漏洞的攻击,最有效的防范方法是升级到最新的版本,并及时安装补丁程序。

5.加强对DDoS攻击的防范。

四、结束语

“5·19 断网事件”已经平息,发起DDoS攻击的黑客已经被抓获,暴风影音公司也及时推出了新版绿色软件,但由此事件引发的针对DNS服务的安全问题还时时在警示着我们:未来互联网的安全不容乐观,尤其像DNS这类基础服务的安全问题更应引起重视。只有一个健康安全的网络,才能让电子商务活动蓬勃发展。

参考文献:

[1]何小波.DDoS攻击防御新思考.商场现代化,2009年3月下旬刊,123-124页

[2]何培源.电子商务网站安全中的DDoS攻防博弈.物流科技,2009年第1期,34-39页

作者:季杭蕾 叶晰