電子商務網絡安全

電子商務網絡安全面臨的威脅

黑客攻擊

網絡中總是存在各種安全漏洞,因此黑客的攻擊行為是威脅電子商務安全的一大隱患。黑客攻擊網絡的目的通常是擾亂系統正常運行或者竊取重要的商業機密,其慣用的攻擊手段為:竊聽,即黑客通過截獲通訊信道上的重要數據并破譯來達到竊取用戶機密的目的;重發攻擊,黑客為達到影響系統正常運行的目的,而將竊聽得到的數據經過篡改之后重新發回服務器或者數據庫用戶;迂回攻擊,黑客掌握電子商務數據庫系統的安全漏洞之后,繞過數據庫系統而直接訪問機密數據;假冒攻擊,黑客先是采取發送大量無意義的報文而堵塞服務器和客戶終端的通訊端口以后,再通過假冒該客戶或者該服務器的方法來非法操作數據庫系統;越權攻擊,黑客屬于一個合法用戶,但是其通過某種手段使自己去訪問沒有得到授權的數據。

系統漏洞

電子商務系統的網絡入侵者能夠根據系統本身的安全漏洞得到系統的數據操作權限。而漏洞產生的原因往往是管理系統沒有及時打補丁或者在安全方面的設置中總是選擇默認設置。此外,如果由于安全檢查措施級別太低,或者審核機制應用不當、軟件存在的風險以及管理風險等,都會使系統形成安全漏洞,從而給破壞者以入侵的機會。

電子商務網絡安全的解決方案

電子商務安全協議

安全協議的確立和完善是安全系統走上規范化、標準化道路的基本因素。一個較為完善的電子商務系統,應該滿足電子商務的安全需求,實現加密機制、驗證機制和保護機制等功能。目前,已開發和應用的協議有:IPv6、安全套接層協議、安全HTTP協議和安全電子交易協議等。本部分著重論述其中安全電子交易協議的具體實現機制。

安全電子交易協議簡稱SET,是一種基于信息流的安全協議,其目的是保證用戶、商家和銀行之間在開放的網絡環境之下進行安全可靠的信用卡交易。它的出現,使從前只能在銀行之間進行的電子貨幣交易行為范圍擴展到了普通用戶的個人電腦領域。SET的技術核心是認證與加密,包括公開密匙加密、電子數字簽名、電子信封、電子安全證書等。以加密技術為核心,結合其他技術體制,滿足用戶在電子商務交易中的保密性、完整性和不可抵賴性等安全需求。基于SET安全協議的網絡電子商務交易流程,幾乎完全等同于現實物理世界的交易過程,唯一的不同點是交易發生環境為因特網。

SET的主要安全措施為:

電子數字簽名技術。這種方式結合了私鑰和公鑰體制,采用安全性高、管理方便的RSA算法,交易數據的發出者先將數據用私鑰加密,而數據抵達接收方后,用發送者的公鑰對數據進行解密還原。一個私鑰嚴格關聯著一個公鑰,因此,數據發出者的信息只能被相應的接收者收到。這種方式的發送方無法抵賴自己曾經發出過的交易數據信息。

電子信封技術。交易信息數據的發出者將所發的信息用DES加密,然后再使用接收者的公鑰把DES的對稱密鑰加密,這個過程叫做給信息加了電子數字信封。隨后,交易信息的發出者將DES加密交易數據和電子信封本身一起發給交易數據的信息接收者。對方收到這些數據之后,用其自己的公鑰打開電子信封,還原出發送者的DES對稱密鑰,接著用這個對稱密鑰去還原交易數據。這就確保了只有用交易信息接收者的密鑰才可以查看電子信封,因此接收者的身份就可以確定。

SET協議的目標是解決交易環節中各個參與者之間使用信用卡支付的安全問題。它應用于電子交易環節,可以有效地保證商務數據的保密性、一致性、完整性和不可抵賴性。

電子商務安全技術

電子商務安全技術包括備份技術、密碼技術、認證技術以及訪問控制技術等。

1.備份技術。所謂數據庫備份與恢復方案,目的是在數據庫系統故障并且短時間內難以恢復時,用存儲在備份介質中的數據將數據庫還原到備份時的狀態。數據備份根據數據庫管理系統類型的不同,有多種備份實施計劃。比如對SQLServer而言,有數據庫備份、事務日志備份、增量備份和文件及文件組備份。電子商務信息系統的數據庫管理系統中必須建立詳細的備份與恢復策略。可以把電子商務數據庫的故障或障礙分為以下三類:系統故障、事務故障以及介質故障。當發生某種類型的故障時,為了把企業的損失減少到最低,必須在最短的時間內恢復數據,因此,根據企業的實際情況和數據類型與特點,制定出一套合理而經濟的備份和恢復策略是必要的。

2.認證技術。認證技術可以阻止不擁有系統授權的用戶非法破壞敏感機密的數據,是數據庫管理系統為防止各種假冒攻擊安全策略。口令的識別是數據庫管理系統進行身份認證的一種方式,每個具體用戶都被系統事先分配一個固定的用戶名與密碼,電子商務系統的許多數據具有開放性特征,因此必須對每個訪問系統的用戶的身份進行認證。在用戶對敏感關鍵的數據進行存取時,必須在客戶與數據庫管理系統之間進行身份認證。

3.訪問控制技術。訪問控制方案有三種,分別叫做自主存取控制、強制存取控制和基于角色的存取控制。當用戶對數據庫進行訪問時,系統會根據用戶的級別與權限來判定此操作是允許的或者禁止的,從而達到保護敏感數據不被泄露或者篡改的目的。在數據庫管理系統中,不同的用戶擁有不同的權限。因此必須保證某個用戶只能訪問或者存取與自己權限相應的數據范圍。用戶所擁有的權限包括兩方面的內容:一是用戶可以訪問數據庫中什么樣的數據對象,二是用戶可以對這些數據對象進行什么樣的操作。

4.審計技術。這種有效機制可以在最大程度上保證數據庫管理系統的信息安全。有兩種審計方式:用戶審計和系統審計。用戶啟用審計功能將在數據字典中記錄每個用戶操作數據庫的全部細節,包括用戶名稱,操作類型等等;而系統審計則由DBA來進行。審計技術是數據庫管理系統對相關用戶的所有操作過程進行監視的一種安全方案,該安全方案的具體做法是在審計日志記錄中存放各用戶對數據庫施加的動作,包括用戶的修改、查詢和刪除等操作。

5.加密技術。數據庫管理系統的加密以字段為最小單位進行,加密和解密通常是通過對稱密碼機制的密鑰來實現。數據加密時,數據庫管理系統把明文數據經過密鑰轉換為密文數據,數據庫中數據的存儲狀態都是密文數據,而在得到權限的用戶查詢時,再將密文數據取出并解密,從而恢復明文數據。使數據庫的安全性得到進一步提升。電子商務系統中的一些商業機密數據是不允許普通用戶進行隨意訪問的。加密方案的目的是控制以上這些機密數據只能被得到相應授權的特定人群所訪問和存取。

結論

電子商務的安全是信息安全中的一個重要部分。作為一個內涵和外延都是很有廣度與深度的課題,涉及技術、管理等諸多層次,任何信息安全技術不是萬能的,因此,為使電子商務能更好地服務于社會,需要技術與管理人員不斷深入解決面臨的實際問題。

隨著信息技術的發展,電子商務成為當今商務活動的新模式。許多企業開始通過英特網進行商務活動,電子商務也具有了廣闊的發展前景,但是與此同時,其安全問題也變得日益突出。目前,網上金融服務面臨著和很多普通互聯網服務相同的安全威脅,如信息****、解密、****賬號、拒絕服務等。利用一些思維方法和相關技術建立一個安全的電子商務使用環境,對商務