随着Internet和电子商务的广泛应用,人们的生产和生活方式也在发生着深刻的改变,电子商务在现代商务活动中正变得日趋重要,因而人们对网络尤其是电子商务的应用安全关注越来越高。但由于Internet自身的开放性使得电子商务应用面临着严峻的安全挑战。本文采用了定性和定量相结合的方式,使用统计、文献、比较、归纳等多种研究方法,借助管理学中的相关理论对当前电子商务平台发展常见问题及解决方案作了探讨。
《电子商务》创刊于1997年,由中国科学技术协会主管,中国电子学会和中国信息产业商会主办。国内刊号cn:11-4499/TN;国际刊号ISSN:1009-6108,邮代号:2—266。创刊宗旨:促进电子商务在中国的发展,为我国经济的信息化、现代化服务。是国家商务信息化发展的典藏荟萃、企业新经济模式的决策参考、电子商务人员的顾问。
1.电子商务平台常见安全缺陷分析
随着电子商务的飞速发展,企业电子商务平台也在快速更新,但电子商务的发展受到许多因素的制约,如社会认同、交易成本、物流配送、信用与法律问题、安全问题等。在这些问题当中,安全问题是一个核心问题。电子商务基于开放的互连网,大量的信息在网上传递,大量的资金在网上划拨流动,必然面临各种安全风险,诸如信息泄露或篡改、欺骗、抵赖等。电子商务系统的关键是保证交易数据和交易过程的安全。电子商务的安全性包括保密性、认证性、接人控制、完整性、不可否认性和匿名性等方面。网络安全就是如何保证网络上存储和传输的信息的安全性。但是由于在互联网络设计之初,只考虑方便性、开放性,使得互联网络非常脆弱。极易受到黑客的攻击或有组织的群体人侵。也会由于系统内部人员的不规范使用和恶意破坏,使得网络信息系统遭到破坏,信息泄露。概括起来,电子商务面临的安全威胁主要有:
1.1 TCP/IP网络协议安全性问题
目前,TCP/IP协议是目前大多数企业的基本网络协议,但由于TCP/IP本身的开放性特点,企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒,从而给企业带来难以估量的损失,因此该缺陷要采取果断举措。
1.2 用户信息安全性问题
目前大多数企业采用的最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,企业员工使用浏览器登录网络进行交易,由于他们在登录时使用的可能是公共计算机,如网吧、办公室的计算机等情况,那么如果这些计算机中有恶意木马程序或病毒,他们的登录信息如用户名、口令可能会有丢失的危险,进而对企业造成严重的损失。因此用户信息安全性问题,成为迫不及待要解决的问题。
1.3 电子商务网站的安全性问题
目前大部分企业建立的电子商务网站本身在设计制作时就会有一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取,给企业和用户造成难以估量的损失。所以,针对企业网站的安全性实施必要的措施是不可不进行的举措。
2.企业电子商务平台缺陷解决方案
2.1针对企业协议安全性问题解决方案
2.1.1虚拟专网技术
增设虚拟专网技术(VPN技术)是解决企业协议安全性问题的一个有效途径。虚拟专用网是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN 是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN 可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN 架构中采用了多种安全机制,如隧道技术( Tunneling )、加解密技术( Encryption )、密钥管理技术、身份认证技术( Authentication )等,通过上述的各项网络安全技术,确保资料在公众网络中传输时的安全性。
2.1.2 网路扫描技术
解决企业网络层安全问题,首先要清楚网络中存在的安全隐患和脆弱点的范围,面对大型网络的复杂性和不断变化的情况依靠网络管理员的技术和经验寻找安全漏洞。做出风险评估显然是不现实的。因此需要找出一种能寻找网络安全漏洞、评估并提出修改建议的网络安全扫描工具。
2.2针对企业用户信息安全性问题解决方案
2.2.1防火墙技术
通过增设防火墙技术能很好地解决这一问题,"防火墙"是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( security gateway), 从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常这局域网或城域网)隔开的屏障。
2.2.2数据完整性鉴别技术
该技术的目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证, 达到保密的要求, 一般包括口令、密钥、身份 、数据等项的鉴别, 系统通过对比验证对象输入的特征值是否符合预先设定的参数, 实现对数据的安全保护。这种鉴别技术主要应用于大型的数据库管理系统中,因为一个单位的数据通常是一个单位的命脉,所以保护好公司数据库的安全通常是一个单位网管、甚至到一把手的最重要的责任。数据库系统会根据不同用户设置不同访问权限,并对其身份及权限的完整性进行严格识别。
2.2.3安全电子交易协议技术
在电子交易中,通常采用适当的电子交易协议,如安全套阶层协议(Secure Socket Layer,SSL)、安全电子交易协议(Secure Electronic Transaction,SET)、安全超文本传输协议、 安全交易技术协议等。
该技术是由VISA和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系,给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。
2.2.4 系统扫描技术
对操作系统这一层次需要功能全面、智能化的检测,以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布及时下载补丁来进行防范。同时要经常对关键数据和文件进行备份和妥善保存,随时留意系统文件的变化。系统扫描器是基于主机的一种领先的安全评估系统。系统扫描器通过对内部网络安全弱点的全面分析协助企业进行安全风险管理。区别于静态的安全策略,系统扫描工具对主机进行真正预防潜在安全风险问题的设置。其中包括易猜出的密码、用户权限、文件系统进入权、服务器设置以及其他含有攻击隐患的可疑点。
2.3针对电子商务网站的安全性问题解决方案
2.3.1 入侵检测系统
通过增设入侵检测系统能很好地解决这一问题,IDS是继防火墙之后的第二道安全门,它在不影响网络性能的情况下依照一定的安全策略,对网络的运行状况进行监测,通过收集并分析计算机系统及网络介质上的各种有用信息,从而针对外部攻击、内部攻击和误操作等做出响应,为交易双方提供安全保护。
入侵检测系统的基本模型CIDF (Common Intrusion Detection Framework)模型将IDS需要分析的数据统称为事件(Event)。它既可以是网络中的数据包,也可以是从系统日志或其他途径得到的信息。事件产生器(Event Generators)从入侵检测系统之外的计算机环境中收集事件,并向系统的其他部分提出此事件;事件分析器(Event Analyzers)分析得到的事件数据并将产生的分析结果传送给其他组件;响应单元(Response Units):根据分析结果做出响应并据此采取相应的措施如杀死相关进程、复位网络会话连接、以及修改文件权限等;事件数据库(Event Databases):存储和管理事件数据,以备系统需要的时候使用。
入侵检测系统中的异常入侵检测可以为所监测的系统建立一个正常使用情况的数值模型,当系统运行时的数值与所定义的正常情况的数值有偏差时,它会做出决策判断。如在电子商务交易过程中当用户名与密码多次登录不符时应对本活动进行安全检测。异常入侵检测的核心就是要构造异常活动集并从中发现入侵性活动子集。误用入侵检测可以采用"IF条件THEN动作"这种带有因果关系的结构使用由专家制定的规则来表示攻击行为,并在此基础上从审计事件中找出入侵。
2.3.2 访问控制技术
除了计算机网络硬设备之外.网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者必须具备安全的控制策略和保护机制防止非法入侵者攻破设防而非法获取资源。因此,授权策略和机制的安全性显得特别重要。保护可以从物理隔离、时间隔离、密码隔离几个方面加以考虑一般可以采用防火墙和VPN等访问控制技术来加强防范。有效的安全策略和充分的安全检测与保护措施是保护电子沟通和电子商务交易的唯一方法。信息安全技术所涉及的方面比较广泛,如操作系统安全、防火墙技术、虚拟专用网技术、各种反黑客技术和漏洞检测技术等各种网络安全防范技术。只有综合采用各种相关的技术手段,才能有效地提高系统的安全性保证电子商务的健康发展。另外在实际系统中,可以采用数字摘要、数字信封、数字签名、数字时间戳、数字证书、认证中心、智能卡等技术手段来提高网站的安全性。
[1]《电子商务概论》(第2版)李洪心编著;21世纪全国应用型本科电子商务与信息管理系列实用规划教材;北京大学出版社;2010年1月印刷;
[2]《电子商务安全保密技术与应用》肖德琴主编;21世纪电子商务系列教材;华南理工大学出版社;2008年8月印刷;
[3]《电子商务安全方法研究》吴洋 天津大学 2006;
[4]《电子商务信息安全策略研究》李艳 甘肃科技 2005;
[5]《电子商务安全技术》肖和阳 卢嫣 国防科技大学出版社 2005;
[6]《电子商务安全》祝凌曦 北京交通大学出版社 2006。