前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇电子商务安全对策范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
一、引言
随着INTERNET技术不断进步,网络已经深入社会的各个领域,电子商务已经成为人们进行商务活动的一种模式,越来越多的人通过Internet进行商务活动。然而,随着网络规模不断扩大,信息资源结构越加复杂,人们在充分享受互联网带来极大便利的同时,如何建立一个安全便捷的电子商务应用环境、对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。通过这一技术特征很容易知道,电子商务的安全问题从整体上看实际上包含两大问题:计算机网络安全问题和商务交易安全问题,由于交易过程中还是涉及到网络,因此,最终的问题还是网络安全问题。计算机网络安全的内容包括:计算机网络设备安全、计算机网络信息安全等。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等,达到商务活动的目的。
二、现代电子商务安全中存在的安全隐患
电子商务随着计算机网络技术的发展而诞生,其各方面的技术本身还不很完善。综合分析,在商务活动中还存在很多安全隐患,其表现形式无非如下几种类型。
1.网络系统软件自身及数据库设计中的安全问题
一方面,网络系统软件自身安全与否直接关系网络安全,网络系统软件的安全功能较少或不全,以及系统设计时的疏忽或考虑不周而留下的“破绽”,都等于给危害网络安全的因素留下许多“后门”。另一方面,信息数据是存放在数据库中的,供不同的用户来共享。数据库设计过程中本身也有它的安全性和危险性,如授权用户超出了他们的访问权限进行更改活动;非法用户绕过安全内核,窃取、篡改信息资源等。
2.传输线路的安全与质量问题
从安全的角度来说,没有绝对安全的通信线路。同时,无论采用何种传输线路,当线路的通信质量不好时,将直接影响连网效果,严重的时候甚至导致网络中断,这就会严重地危害通信数据的完整性。
3.网络管理问题
三分技术,七分管理,说明了管理有网络中的重要性,网络安全问题实质上首先是个管理问题,然后才是技术问题。一方面,用户要对各种安全设备进行合理操作,否则,再好的设备也不会安全。另一方面,网络又由各种服务器、工作站、终端等群集组成,所以整个网络天然地继承了它们各自的安全隐患。随着计算机网络应用的深入,网络覆盖面越来越大,网络上信息的安全性越来越重要,网络安全管理也将成为网络管理中的重要领域。
4.交易抵赖
这是一个纯商务活动中的安全问题,现实世界这种现象也普遍存在,例如购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。
5.其他威胁网络安全的典型因素
计算机黑客、内部人员监守自盗、部分对整体的安全威胁、程序共享造成的冲突、计算机病毒等都是威胁网络安全的重要因素。
通过上述分析,可以得知电子商务安全的任务是解决好如下一些问题:身份认证(持卡者、商家、银行);有效性;机密性;完整性;抗抵赖性。
三、电子商务安全策略分析
1.网络防范技术
(1)反病毒技术。反病毒技术包括病毒预防、病毒检测、病毒消除三种。具体实现方法是对网络服务器中的文件进行频繁地扫描和监测,传统的防病毒软件对因特网上不断出现的新型病毒,传统的反病毒软件显得苍白无力,为此,许多网络安全专家和计算机公司纷纷推出新的病毒防范产品,这些产品能够及时监视通过因特网传入计算机的数据,正确判断数据携带的病毒并将病毒杀除,有效地防止病毒从因特网感染到计算机上。
(2)防火墙技术。防火墙是上广泛应用的一种安全措施,是指设在不同网络或网络安全设备之间的一系列部件的组合。它是不同网络或网络安全域之问信息的唯一出入口,能根据网络的安全政策控制允许、拒绝、监测出人网络的信息流,且本身具有较强的抗攻击能力。从某种意义上来说,防火墙实际上代表了一个网络的访问原则,确定哪些类型的信息允许通过防火墙,哪些类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的信息进行检查,确定是否通行。
(3)加密技术。加密技术是一种主动的防御技术,其基本思想是通过对数据进行加密变换,将其转换成非法入侵者无法识别的字符来保障网络安全。目前主要存在两种加密技术;一种是对称加密,其实现算法是AES,另一种是非对称加密,算法主要是RAR。加密技术是非常重要的安全技术,可以确保信息的保密性和完整性,而且是消息摘要、数字签名等安全技术的技术基础。
(4)入侵检测技术。入侵检测技术对系统资源的非授权使用做出及时地判断、记录和报警,检测系统中违背系统安全性规则或者威胁到系统安全的活动。检测时通过对系统中用户行为或者系统行为的可疑程度进行评估,并根据评价结果来鉴别系统中行为的正常性,帮助管理员进行安全管理或对系统所受到的攻击采取相应的对策。
(5)虚拟专用网(VPN)技术。虚拟专用网技术是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对公司内部网的扩展,通过它可以帮助远程用户,公司分支机构、商业伙伴及供应商同公司的内部网络建立可信的安全连接,并保证数据的安全传输。VPN实现的两个关系技术是隧道技术和加密技术。
2.SET协议:安全电子交易
针对电子商务目前存在的很多技术缺陷,VISA和MasterCard两大信用卡公司于1997年5月联合推出的电子交易规范SET协议。SET能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。
SET规范为在Internet上进行安全的电子商务提供了一个开放的标准,SET综合使用私用密钥加密和公用密钥加密的电子认证技术,其认证过程使用RSA和DES算法,因此,可以为电子商务提供很强的安全保护。
SET规范是目前电子商务中最重要的协议,SET得到了美国IT企业的支持,如GTE、IBM、Microsoft、Netscape、RSA、SAIC、Terisa 和VeriSign。
3.安全管理
前面电子商务安全隐患中已经提出过,网络安全问题归根结底还是属于人的问题,即管理问题,一些资料显示,网络安全中人为因素是最重要的信息安全威胁。另据统计,已识别的信息安全缺陷中有很多是由人为因素引起的。但是,人们往往关注技术方面的研究,并取得了显著的成果,而对人为因素的研究甚少。即使对信息安全中的人的因素进行研究那也只是作为一个影响因素进行简单的分类,并没有对其进行深层次的分析。事实上,无论技术发展如何完善,它也离不开人的操作还需要人来设计、制造、配置、组织、管理、维修、训练和调整等,怎样组建一批强有力的网络管理队伍显得极为重要。
四、结束语
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。网络技术不断向前发展,网络安全的研究任务任重道远,怎样创建一个干净、良好的网络环境,为电子商务的发展提供高效的平台基础将是今后相当长一段时间内研究的课题。
参考文献:
[1]张 稼 叶毓峰:电子商务中安全问题分析[J].广东科技,2007.04.总第166期46
[2]闫海英 黄 波:网络安全现状分析及应对策略探讨[J].计算机科学,2008vol.35NO.4A321~322
[3]隆文超:电子商务安全技术研究[J].商场现代化,2008年1月(中旬刊)总第527期191~192
关键词:电子商务;安全;对策
1.电子商务的概念
到目前为止,电子商务还没有一个明确、概括性的定义,而是不同行业领域的人们按照自己的理解为电子商务加上的各种解释。比如欧洲议会给出的定义:电子商务是通过电子方式进行的商务活动,它通过电子方式处理和传递数据;美国权威学者瑞维-卡拉科塔和安德鲁-惠斯顿认为:电子商务是一种现代商业方法,这种方法通过改善产品和服务质量、提高服务传递速度,满足政府组织、厂商和消费者的最低成本的需求;而在IT行业则普遍认同:电子商务是利用现有的计算机硬件设备、软件设备和网络基础设施,通过一定的协议连接起来的电子网络环境进行各种各样商务活动的方式。
从以上定义可以得出,电子商务归根结底是商务的电子化:从广义方面讲,电子商务是指通过电子手段建立一个新的经济秩序,它不仅涉及电子技术和商业交易本身,而且涉及到诸如政治、金融、税务、法律等社会其他方面;从狭义方面讲,电子商务是指各种具有商业活动能力和需要的实体(政府机构、金融机构等)利用计算机网络和先进的数字化传媒技术进行的各项商贸活动。
2.电子商务的安全现状
世界各国对电子商务安全问题的研究非常重视,美国政府很早就致力于研究密码技术,韩国一些公司也建立联盟,力图制定电子商务的标准。我国于1995年起发展电子商务安全产业,其信息安全研究经历了通信保密、计算机数据保护两个发展阶段,市场也从小到大逐步发展起来,虽已初具规模但仍不成熟。近年来,我国因特网用户激增,至今已超过130万,而不少企业更是拥有自己的独立网站,网络交易热潮随之而来。根据CNNIC的《中国互联网络热点调查报告》中显示:网上购物大军达到2000万人,在全体互联网网民中,有过购物经历的网民占近20%的比例。因为Internet自身的开放性,安全事故和黑客事件时有发生,据公安部的资料,利用计算机网络进行的各类违法行为在中国以每年30% 的速度递增,更有媒介报道,中国95%的与Internet相连的网络管理中心遭到过境内外黑客的攻击或侵入,由此可见,安全隐患已成为电子商务发展的严重阻碍。
3.电子商务的安全隐患
3.1信息窃取
在信息传送的过程中,如果信息没有采用加密措施或加密强度不够,攻击者就有可能通过互联网等物理或逻辑的手段,对传输的信息进行非法的截取和监听,或通过对信息流量和流向等参数的分析,推出有用信息,典型手段如:“虚拟盗窃”―从Internet上窃取消费者的银行账号。而表现在电子商务中的信息泄露则是商业机密的泄露,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。
3.2信息篡改
网络上的服务器可以被任意一台连网的计算机攻击,所以当攻击者熟悉了网络信息格式后,就可以通过一些技术手段和方法对正在传输中的信息进行修改,从而破坏信息的完整性,使数据包不能达到预期的目标。
3.3假冒他人身份
由于电子商务的实现需要借助于虚拟的网络平台,而在这个交易平台上,双方是不需要见面的,所以这就带来了交易双方身份的不确定性。如果没有进行身份识别而进行交易,那攻击者就可以通过非法手段轻易窃取合法用户的身份资料,仿冒其身份与他人交易,这样既获取了非法收入,又损害了合法用户的交易信誉。
3.4交易抵赖
传统的交易方式是通过手写签名和印章来完成交易,而电子商务则是通过网络来完成,这就容易造成交易抵赖。交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息、收信者事后否认曾经收到过某方面的消息,或是购买者做了定货单不承认,商家因价格差异而否认原有的交易等。
3.5电脑病毒
各种电脑病毒的问世,给电子商务的安全蒙上了厚重的阴影,不少病毒直接以互联网为载体大肆传播,造成了严重的经济损失。据台湾“中央社”报道,趋势科技全球防毒研究暨支持中心公布的报告指出,今年第一季度台湾总共有3443.6986万次计算机遭受病毒感染的案例。这个数量已接近去年全台湾总感染数量,与去年同期比较,增幅增加高达297%。
4.电子商务安全问题的解决方案
4.1防火墙技术
防火墙是一种将内部网和公众网分开的方法,它监管网络数据的进出,对未经授权的访问和数据传递进行筛选与屏蔽,不许外部网络用户以非法手段进入内部网络,从而保证了内部网络数据和计算机的安全。防火墙技术主要有包过滤、服务、状态监控等技术。在电子商务中,防火墙的主要功能是防止黑客利用不安全的服务对传输数据和信息进行攻击,对网络实施检查并监管网络的进行状态。
4.2数字摘要技术
通过使用单向散列函数(HASH)将需要加密的明文“摘要”成一个固定长度(128bit)的密文。该密文有固定的长度,同明文是一一对应的,其优势在于:对于任意一个x进行HASH运算后,都有唯一一个Y值与之对应;对于任何一个Y值,想通过逆运算得出X值都是行不通的。在传输信息的时候将之加入文件一同发给对方,对方接到文件后,可以用相同的方法进行运算,若得到结果与发送的摘要码相同,则表明安全,反之,则说明被篡改过。这也是电子商务领域经常用到的一种安全认证技术。
4.3身份认证技术
一般来说,可以通过CA中心的认证来确保用户的真实身份。CA中心是一个电子认证机构,为交易的当事人进行信任担保,数字证书就是其通过的一项重要认证。数字证书是指用电子手段来证实一个用户的身份和对网络资源进行访问的权限,它是一个数字标识,可实现身份的鉴别认证。由于电子商务中的交易一般不会面对面的进行,所以对交易双方身份的认定就成为保障电子商务交易的前提,当前数字证书的广泛运用正说明了这个问题。
4.4病毒防范技术
电子商务的发展,一方面提高了交易效率,另一方面也为计算机病毒的传播创造了条件。计算机病毒具有不可估量的破坏力和威胁性,所以加强计算机病毒的防治工作势在必行。为防范病毒,可采取一下措施:(1)安装防病毒软件,加强内部网的整体防毒措施;(2)加强数据备份和恢复措施,做到有备无患;(3)对敏感的设备和数据要建立必要的物理或逻辑隔离措施等,防患于未然。
4.5加强电子商务法律体系的建设
从法律层面入手维护电子商务安全问题尤为重要。当前我国在电子商务法律法规方面还有很多缺失,虽然早在2005年就正式颁布实施了《电子签名法》,但成效有限,一些犯罪分子仍钻了法律的空子,损害了公众的合法利益。所以我国立法部门要立足于国情,并吸取和借鉴外国立法的先进经验,加快我国的立法进程,早日使我国的电子商务安全管理走上法制化轨道。
5.总结
电子商务的发展无可限量,与此同时安全问题将始终与之相伴,为进一步促进我国电子商务的健康有序发展,必须有效运用技术和法律这两个有力的工具,去解决在实际应用中出现的各种问题,为我国电子商务又好又快的发展保驾护航。
参考文献:
[1 ] 陆川. 电子商务概论[M]. 北京:对外经济贸易大学出版社,2007
[2 ] 赵全. 网络安全与电子商务[M]. 北京:清华大学出版社,2005
[3 ] 蔡雯. 我国电子商务安全现状及防范对策探讨[J]. 商场现代化,2008(7):53
[关键词] 电子商务 安全 对策
基于Internet开展的电子商务己逐渐成为人们进行商务活动的新模式,电子商务的发展前景十分诱人。但安全问题是制约其发展的重要因素,是关系到电子商务系统能否成功运行的最为重要的问题。如何建立一个安全、便捷的电子商务应用环境,保证整个商务活动中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样安全可靠,已经成为大家十分关心的问题。
一、电子商务的安全现状和存在的问题
1.网络统存在的安全隐患
Internet为人类交换信息,促进科学、技术、文化、教育、生产的发展,提高现代人的生活质量提供了极大的便利,但同时对国家、单位和个人的信息安全带来极大的威胁。由于网络的全球性、开放性、无缝连接性、共享性、动态性发展,使得任何人都可以自由地接入Internet,其中有善者,也有恶者。恶者会采用各种攻击手段进行破坏活动。他们对网络系统的主要威胁有:
(1)系统穿透:未经授权而不能接入系统的人通过一定手段对认证性进行攻击,假冒合法人接入系统,实现对文件进行篡改和窃取机密信息。非法使用资源等。一般采取伪装或利用系统的薄弱环节、收集情报等方式实现。
(2)违反授权原则:一个授权进入系统做某件事的合法用户,它在系统中做未经授权的其他事情,威胁系统的安全。
(3)植入:一般在系统穿透或违反授权攻击成功之后,入侵者为了为以后的攻击提供方便,常常在系统中植入一种能力,如向系统中注入病毒、后门、特洛尹木马等来破坏系统工作。
(4)通信监视:这是在通信过程中从信道进行搭线窃听的方式。软硬件皆可以实现,硬件通过无线电和电磁泄漏等来截获信息,软件则是利用信息在网络上传输的特点对流过本机的信息流进行截获和分析。
(5)通信窜扰:攻击者对通信数据或通信过程进行干预,对完整性进行攻击,篡改系统中数据的内容,修正消息次序、时间,注入伪造消息。
(6)中断:对可用性行攻击,破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作,破坏信息和网络资源。
(7)拒绝服务:指的是系统由于被破坏者攻击而拒绝给合法的用产提供正常的服务。例如在WINNT的早先版本的115服务器中就有bug,破坏者可以利用它将大量垃圾信息发往某个特定的端口,使服务器因为处理这些请求而占用大量资源,从而不能处理合法用户的正常请求。
(8)否认:一个实体进行某种通信或交易活动,稍后否认曾进行过这一活动。
2.电子商务系统的安全问题
由于因特网早期构建时并未考虑到以后的商业应用,因此使用了TCP/IP协议及源码开放与共享策略,为后来的商业应用带来了一系列的安全隐患。在电子商务过程中,买卖双方是通过网络来联系,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方都面临安全威胁。
(1)卖方面临的安全威胁主要有:
①中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据、解除用户订单或生成虚假订单。
②竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。
③客户资料被竞争者获悉。
④被他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。
⑤买方提交订单后不付款。
⑥虚假订单。
(2)买方面临的安全威胁主要有:
①虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,而假冒的合法客户却被要求付款或返还商品。
②付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将订单和钱转发给执行部门,因而使客户不能收到商品。
③机密性丧失:客户有可能将秘密的个人数据或自己的身份数据发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。
④拒绝服务:攻击者可能向销售商的服务器发送大量的虚假订单来挤占它的资源,从而使合法用户不能得到正常的服务。
二、防范电子商务安全问题的对策
电子商务的安全问题涉及到电子商务的各个环节和参加交易的各个方面,解决电子商务的安全问题是一个系统工程和社会问题,需全社会的参与。我们可以从以下几个方面对电子商务安全问题进行防范:
1.构建电子商务信息安全技术框架体系
在电子商务的交易中,电子商务的安全性主要是网络安全和交易信息的安全。而网络安全是指网络操作系统对抗网络攻击、病毒,使网络系统连续稳定的运行,常用的保护措施有防火墙技术。交易信息的安全是指保护交易双方的不被破坏、不泄密和交易双方身份的确认,可以用信息加密技术、数字证书和认证技术、SSL安全协议、SET等技术来保护。
2.积极推进电子商务立法
我国政府要加强对电子商务的研究,要加快立法进程,健全电子商务法律体系,建立规范电子商务的灵活法律框架,使电子商务实现公开、合理、合法化。这样不仅可保障进行电子商务各方面的利益,而且还可保障电子商务的顺利进行。
综上所述,由于在电子商务的交易过程中,安全问题涉及到电子商务的各个环节和参加交易的各个方面,因此需要采取不同的对策来解决。另外,交易过程除涉及交易双方外,还涉及到网上银行、认证中心和法律等各方面的问题,因此电子商务安全问题的解决是一个系统工程。
参考文献:
【关键词】电子商务 互联网 网络安全
近十年来,伴随着计算机网络技术的快速发展,我们的日常生活发生了翻天覆地的变化。日常办公也好,生活习惯也罢,或多或少都受到了计算机网络技术的影响。在这其中,电子商务领域的变化尤为明显。宏观上,因为有了互联网的存在,国际贸易体系通过计算机网络平台变得简单快捷;微观上,淘宝、京东商城等专业的网购商店让我们的生活变得更丰富多彩。但是,由于计算机网络系统自身存在的安全漏洞,也给那些不法之徒提供了可乘之机,让原本处在高速发展时期的电子商务进程受到了一定的影响。下面,我们就从计算机网络安全的角度来探讨一下电子商务存在的安全隐患及其对策分析。
一、电子商务交易安全隐患
电子商务的最初应用是在金融系统里。银行系统的改造,首先开启了我们利用电子商务的先河。一张小小的银行卡,消除了我们出门的时候携带大量现金的不安定因素,也减少了我们利用支票进行现金转账的繁琐程序。到了后来,随着互联网信息技术的高速发展,网络银行系统更是将银行卡都省略和简化了。需要进行商品物流交易的时候,只需要简单的登录网站,输入密码之后就完成了此次交易。但是,由于这些电子信息也都是基于计算机网络系统产生的,而计算机网络系统自身存在的一些系统漏洞,因此也给那些想不劳而获的人以可乘之机。当前电子商务交易面临的安全隐患主要体现在哪些方面呢?
1、面临计算机电脑病毒的威胁
计算机病毒指编制者在计算机程序中插入破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码[3]。随着计算机技术的不断发展以及互联网的普及,计算机病毒入侵网络、破坏资源的速度大大加快,电子商务环境受到了严重威胁。目前,很多不法之徒采用“病毒侵入”来进行信息搜集,利用家用电脑个人防病毒信息的不完善,把被伪装的电子邮件或者是图片、视频等信息发给陌生人,只要是不经意打开,其病毒就自行在电脑上发作,从而把电脑上记录的个人信息全部发送回去,严重威胁电子商务交易安全。
2、交易信息容易被窃取
电子商务交易信息的窃取主要是指交易双方的交易信息被第三方窃取,或者是交易一方提供给另一方使用的文件被第三方非法使用[1]这一类的威胁发生主要是因为信息传递过程中加密措施或安全级别不够。攻击者可以通过公共电话网、互联网、搭线、电磁波辐射范围内安装截收装置,或在数据包通过的路由器和网关上截获数据等方式入侵,通过多次窃取和分析,找到信息的规律和格式,进而得到传输信息的内容,获取机密信息。
3、交易资料容易被篡改
电子商务交易非常重视信息的真实性和完整性的问题。交易信息在网络上传输的过程中,当攻击者解密了商务信息或掌握了网络信息数据规律以后,可以通过各种手段和技术方法对传输的信息进行中途修改,并将篡改后的虚假信息发往接受端,而远端的用户通常是很难分辨的。这样就使信息失去了真实性和完整性。这种方法并不新鲜,在路由器或者网关上都可以实现。
4、假冒交易身份
电子商务的网络交易中,经常出现建立与销售者服务器名称相似的假冒服务器,冒充销售者建立虚假订单进行交易。通过假冒交易平台,用有利的条件吸引用户到平台进行消费,骗取支付款项。由于是在虚拟的网络平台,用户一般难以判断。不法之徒使用最多的手法是采用“钓鱼网站”来进行信息欺诈,也就是说复制一个跟类似真正的网购网站,或者是模仿银行网站,通过虚假的消费信息或者是银行信息宣传,从而达到侵害消费者个人利益的目的。因此,在电子商务交易中必须要进行双方的身份识别,只有这样,才不会给第三方有假冒交易的机会。
当然,因为互联网技术的发展十分迅速,基于电子商务系统的网络经济金融犯罪也将不仅仅局限于上述的几个层面。随着互联网发展的不断深化,电子商务活动日益广泛,网络交易所带来的安全隐患不断出现,交易安全问题成为决定制约电子商务发展的瓶颈。所以,加强对电子商务安全性问题的探索和研究不但有利于电子商务本身的健康发展,而且具有很现实的社会意义。
二、电子商务交易网络安全策略分析
计算机网络安全技术的特点就是较为先进,但是其不足之处就是目前所采用的所有计算机安全技术措施,都是基于被动的情况出现的。通俗点说就是这些看起来已经是全方位的保障措施,是计算机网络安全技术研究人员根据实际的案例研究出来的对策。属于“矛与盾的抗衡”中的盾的一方。那么随着计算机网络安全技术的发展,如何为电子商务系统提供安全上的保障呢?
第一,加强个人信息身份认证研究。
我们知道,电子商务的核心是商务而不是电子,电子是商务一个组成部分和实际体现部分,但是其主要目的还是需要完成商务这个环节。商务的消费主体是消费者自身,而消费者的个人金融信息的主体依旧是消费者自身。目前市面上所有的基于电子商务安全性能考虑的产品,无论是软件还是硬件,都主要在针对电子产品进行安全性的保护,比如我们最常见的电脑杀毒软件、电脑防火墙、U盾等等。根本没有对这个最为关键的消费主体采取任何形式的确认。任何一个计算机网络系统都是有其自身的缺陷的,就连大名鼎鼎的微软系统也在不定期的补丁程序来弥补自身的漏洞缺陷,我们应该清楚、清醒地认识到,这样单纯的对电子系统进行保护是片面的,一旦不法之徒利用系统漏洞窃取了消费者的个人信息,那么号称最为完善的安全信息保障也是形同虚设而已。
要是我们加强了个人信息身份认证则不同了。它首先通过在电子商务交易过程中检验被认证对象在金融系统,交易平台上留下的个人信息是否一致、是否正确,来检验被认证对象是否是真实的消费主体。此类型的认证安全系数较高,主要体现形式为生理信息验证,如指纹(或者是掌纹以及唇纹)验证、虹膜验证等形式。但是目前这种认证形式所需要的成本较高,且信息采集受到一定的硬件环境影响较大。如果在这方面加大科研力度,降低验证成本或者是减少信息采集所需要的硬件环境影像的话,那么势必将开启个人信息身份验证以及电子商务信息安全领域的一个全新时代。
第二,加强口令信息的第三方验证研究。
目前计算机网络安全技术采用的电子商务安全保障措施其实也是一种口令式的信息安全保障措施,但是要么是基于消费主体与金融机构之间,要么是基于消费主体与交易平台之间,或者是基于金融机构与交易平台之间的两方口令信息验证。如果我们能通过第三方来对上述几个主体的信息进行验证的话,那就能从几个不同的角度对所有参与方的利益进行全方位的保障。这就意味着第三方存在的主要任务就是验证所有参与此次电子商务交易的主体的信息。但是目前这种认证形式所需要参与的部门较多,且信息采集受到交易各方基于自身信息保密的角度出发,而信息透明度的程度不高,造成的信息不完善影响较大。如果政府职能部门也能够提供一个可以让所有电子商务交易各方认可的平台机构,那么将在极大的程度上满足消费者以及商家的需求。目前,众多的网购平台推出的信用保障体系应该能算的上是这样一个第三方验证研究平台的雏形,唯一的不同点是这个所谓的第三方验证平台的角色,其实是由网购平台来担当的。如果说计算机网络安全技术研究人员能够利用安全技术的更新把这个方式分离的话,也可以算是又向终极目标前进了一步。
第三,拓展“云”技术研究方式。
目前,最为尖端的计算机网络技术莫属“云”技术了。云技术的最大特点就是利用计算机网络技术,将用户提交的庞大的计算机网络信息通过多部服务器的分析之后再反馈给用户。通过此项技术,用户可以在很短的时间内将海量的信息上传到服务器,也可以将海量的信息下载到运行终端。那么,如果我们将云技术运用到电子商务的网络安全技术保障环节,将会出现什么样的情况呢?消费者在进行电子商务交易之前把网站的信息上传到一个云服务器中,首先检测网站的真实性,然后再把交易信息上传到另外一个云服务器中,继续检测交易信息的准确性;于此同时,交易平台也将消费者的信息上传到一个云服务器中,首先检测消费者的个人消费能力,然后再把消费者的个人信息上传到另外一个云服务器中,继续检测消费者消费的真实性;另外一个方面,金融机构也将消费者的个人信息上传到一个云服务器中,检测消费者的个人信息是否准确,然后将交易平台的信息上传到另外一个云服务器中,继续检测交易平台的安全性及稳定性。在这些信息全部反馈到各方之后,由消费者来确定此次电子商务的交易是否操作。这个过程听起来十分的繁琐,但是基于庞大的云计算而言,这样的信息检索过程也就是在数秒钟之内就能全部完成。
虽然有学者对云技术的整体发展还保留着一些看法,认为云技术过于虚拟化,但是我们应该清楚的认识到,整个计算机网络的主体就是依托于这种虚拟层面之中的,二者既是相辅相成的关系,也是相互依赖的关系。目前,我国的云技术研究已经取得了一定的成果,只要计算机网络安全技术研究人员能够加大这方面的研究力度和角度,最大化的让云计算为电子商务安全系统服务,那么不久的将来,我们势必将迎来一个全新的电子商务交易新环境。
第四,继续加强软、硬件的技术革新工作。
就目前的计算机网络技术手段而言,短期内能确保电子商务最行之有效的方法是加强计算机软、硬件的安全系数。那么,我们的计算机网络安全技术研究人员就应该继续从这个方面入手,一边巩固科研成果,一边研制更为先进的计算机网络安全技术产品。对于杀毒软件的升级、防病毒防火墙的改进、U盾系统的换代产品研究等等课题是重点内容。多从实际案例中寻找突破口,多从真实的电子商务交易角度出发研究安全技术产品的新功能,最大化的确保消费者个人信息的安全性和稳定性。
综上所述,高速发展的互联网技术给我们的生活带来了诸多的变化,也让我们的电子商务有了一个蓬勃的发展。但是基于安全角度考虑,目前电子商务的改进之路还很漫长,既有软件革新方面的,也有硬件提升方面的;既有单纯的技术层面的,也有复杂的社会层面的;既有从商业角度出发的,也有从政府角度考虑的。建立、健全一个完善的、和谐的电子商务环境,不仅仅是我们普通消费者的需求,也是政府在宏观调控上需要考量的,同时也是需要我们计算机网络安全技术人员继续努力的。我们有理由相信,随着科技的进步,在不久的将来,我们将迎来一个电子商务新时代的到来。
参考文献:
[1]肖满梅,罗蓝娥:电子商务及其安全技术问题 湖南科技学
院学报 2006.27
[2]丰洪才,管华,陈珂:电子商务的关键技术及其安全性分析
湖北武汉工业学报 2004.2
[关键词]大数据;电子商务;安全;信息
[中图分类号]TP39308[文献标识码]A[文章编号]2095-3283(2017)01-0104-03
[作者简介]王星(1992-),女,硕士研究生,研究方向:ERP与电子商务;周影(1981-),女,安徽淮北人,讲师,硕士,研究方向:图像处理、密码学。
[基金项目]华侨大学研究生科研创新能力培育计划资助项目(项目编号:1511307004)。一、大数据概述
1大数据的概念
麦肯锡(美国名列前茅的咨询公司)是最早研究大数据的,在其报告 Big data: The next frontier for innovation, competition,and productivity中给出了大数据的定义,研究者把它翻译成:“大数据指的是大小超出常规的数据库工具获取、存储、管理和分析能力的数据集”。而亚马逊的大数据科学家John Rauser 给出了一简短的定义:“大数据是任何超过了一台计算机处理能力的数据量”。微软公司全球资深副总裁、微软亚太研发集团主席张亚勤博士在一次接受记者采访时也给出了他的定义“对大量、动态、能持续的数据,通过运用新系统、新工具、新模型的挖掘,从而获得具有洞察力和新价值的东西。”[1]从当今时代大数据的发展趋势来看,大数据就是收集海量信息,整合在一起,然后在正确的时间、正确的地点、发生有价值的化学反应,生成新的、可以为人类创造更大价值的信息。
2大数据的特征
大数据又称海量数据,业界把大数据的特征用4个V来总结[2],如图1所示:
(1)Volume是指数据量大,数据量从TB级别迅速跃升到EB级别(1PB=210TB, 1EB=210PB)。据统计,目前已经有不少大企业的数据量已经达到EB级别。为了更形象地理解数据量的大小,可以把数据分成三个等级,“小数据”,“中数据”和“大数据”。
(2)Value是指数据的可用价值密度低,以音频数据为例,几千字几万字的音频数据,可能其中只有一句或一个词有可用价值。
(3)Variety是数据的表现形式繁多,以前的数据大多都是以文本的形式存在,而现在不仅是文本型,更多的是图片、音频、视频动画等多类型数据,表现形式丰富多彩。
(4)Velocity是指数据处理的速度快,这是大数据与传统数据挖掘相比最为显著的特征。由于数据处理遵循“1秒定律”,因而能够在最短的时间内从各类型的数据中以最快的速度获取最有价值的信息。
3大数据所带来的价值
由于计算机通信技术快速发展,智能终端普遍运用,信息爆炸性膨胀,导致数据无处不在,无时不在。各行各业甚至我们自身都在不断地生产、积累、消费着各式各样的数据。
对于生产和服务企业而言,消费者的日常生活,如网上购物记录、网站浏览记录,甚至线下消费记录,都被数据敏感的企业收集起来,以便于了解消费者的生活习惯,了解与消费者相关人的信息情况,这样企业就可以生产或提供更好的、满足消费者需求的产品和服务,还可以挖掘更多的潜在客户,用最低的成本获取最大的利润。
对于商家而言,例如亚马逊巨型网上超市,他们会仔细检测客户注册登录后的消费信息,然后充分使用客户数据。这样当客户再次登录消费时,他们就可以为客户提出一些购买建议与购买方案。有时他们也会向客户发送有针对性的邮件,比如在顾客注册时填写的生日、结婚纪念日、父母生日等一些比较重要的日子,提前发送节日问候,然后给出节日优惠活动,以便吸引客户购买更多的商品。
对于消费者而言,大数据可以给生活带来意想不到的便捷。去过海底捞火锅店的消费者可以感受到大数据的价值所在。海底捞的服务让人觉得他们比你还要了解自己。因为海底捞的员工必须尽可能地去掌握顾客的所有相关数据信息,以便在顾客一进店的时候,服务人员便能了解到关于该顾客的所有信息,然后提供最满意的服务。
二、大数据环境下电子商务的安全问题
1电子商务及其交易模式
所谓电子商务,百度百科给出这样的定义,电子商务是以信息网络技术为手段,以商品交换为中心的商务活动。相比传统商业而言,电子商务交易使得各个交易环节电子化、信息化和网络化。电子商务最基本的网络购物流程见图2:
a顾客需要在开户银行开通网上银行业务,获得电子钱包,存储电子现金;
b顾客通过在网上浏览商家的产品服务信息,然后在网站上注册账户,填写信息,注册成功后就可以选购自己想要的产品和服务,填写订单;
c商家收到订单后,通过支付网关把支付请求发送给商家银行;
d支付网关向商家银行发出支付请求;
e商家银行和顾客的开户银行通过金融网络进行结算,把顾客的购物款划拨给商家。
为方便理解和分析问题,我们将此流程图简化为以下模型:
左边的B/C就是商家服务器端,中介机构就是电子商务交易环节所涉及到的支付中心、支付网关、客户的开户银行和商家银行等除了消费者和企业之外的服务性机构。S是指消费者服务器。具体来说,B/C就是B/S和C/S的整合,B/S是Browser/Server的缩写,在这个结构下用户界面完全通过WWW浏览器实现,虽然有一部分事务逻辑在前端实现,但是主要事务逻辑还是在服务器端实现,并且浏览器通过Web Server 同数据库进行数据交互。C/S在客户端主要完成数据处理、数据表示和用户接口功能等,在服务器端主要完成DBMS(数据库管理系统)的核心功能。总的来说就是用户从客户端经过互联网向服务器端请求信息响应,并反馈处理结果。中介机构包括的内容更加广泛,例如线下银行的后台操作,网上金融机构的支付业务,还有支付网关、认证中心等。而S就代表着消费者在服务器端进行的商家网站的浏览,选购产品和服务,并完成支付货款等。
2大数据环境下电子商务的安全隐患
(1)信息存储问题
由于海量数据的存储必须通过云计算,也就是商家的私有信息以及商家搜集到的客户个人信息都交由第三方存储机构,其实就是电子外包[3]。企业把自己的数据中心资源移至云端,云计算运营商向企业提供服务,虽然降低了企业的运营成本,简化了企业的运营流程,但由于云服务提供商的信誉和口碑问题,使得如今的电子商务发展受到制约。有的是不敢尝试使用云计算服务,有的是云计算运营商信誉有问题,导致商家数据资源泄露。
(2)信息泄露问题
在电子商务交易的各个环节中都存在着信息泄露的风险。由于商家开始重视数据的价值,有的为了节省信息搜集的费用成本,但是又必须准确获得自己所需的数据资源,从而盗取其他商家搜集的信息,或买卖客户信息,如2012年“一号店”员工内外勾结,泄露消费者个人信息[4],2014年圣诞节12306网上购票系统有接近13万用户的信息被泄露等。
(3)云系统安全问题
大数据的出现,必然会伴随着云计算的使用。由于云计算的数据和服务外包跨域共享、虚拟化和多租户的特点,使得云计算面临着前所未有的安全挑战,例如信任关系的建立,管理和维护更加不易,服务授权和访问控制更加复杂,不良信息的云缓冲[5]。由于虚拟化数据资源分布在相同的物理资源上,给恶意用户提供了方便,他们借助共享资源实施通道攻击。
(4)信息传输安全问题
虽然通信信道的安全问题一直都是个难题,计算机技术也在寻求不同的创新。而海量信息的传递,给传输信道带来了新的压力和挑战[6],例如从信息源端到中介机构之间的信道安全,在中介机构之间的信息传输,以及从中介机构到消费者浏览器之间的信道安全等,如何保证信息能够准确、完整、及时有效地发送给正确的接收方,如何保证发送方和接受方的身份的不可抵赖性,信息是否扰篡改,是否截获窃听,又是否非正常中断,这些都是大数据时代需要解决的问题。
三、大数据环境下解决电子商务安全问题的对策
1解决信息存储安全问题的策略
选择正确的云存储平台。由于海量数据的存储对服务器的性能要求很高,进行分析的服务器性能通常要求会更高,传统的服务器很难满足,随着计算机技术的发展,云服务器⒒崾亲罾硐氲难瘛T品务器是伴随着大数据的存在而存在的,它可以很好地解决海量数据所需要的存储和分析需求。总之,云服务器容量大、耗能低、性能稳定,可以满足信息存储和分析的性能需求[7]。
2解决信息泄露问题的策略
首先,消费者要有高度的信息保护意识,在智能设备和互联网普及的社会生活中,我们尽量保护好个人信息,防止个人信息被滥用,例如不要使用来历不明的公共WiFi,也不要轻易扫描二维码,更不要在公众场合,比如商店、餐厅等连接公共WiFi的时候使用电子邮箱、网络银行进行转账支付等服务。
其次,商家要管理好自己的大数据。商家要对消费者负责,保护消费者的个人信息,而不是出售消费者的个人信息以谋取即时的利益。商家要想使自己的企业走得更远,发展得更好,就要勇于接受大数据的挑战,勇于创新,用完善的技术、可持续的发展战略运营好自己获得的大数据,享受大数据带来的便捷。
第三,完善电子商务法律法规,监管部门加强网络市场监管。监管部门要加强用户个人信息质量管理,对消费者进行宣传教育,加强消费者的自我保护意识。可采取广告、视频、在线教育,或定期开展宣传教育等方式宣传和普及电子商务法律法规。
3解决云系统安全问题的策略
从法律层面来说,完善相关法律法规,解决云服务提供商的责任与义务问题,并从法律的高度规定用户数据与隐私保护的重要性。
从监管层面来说,加大对云计算相关业务的准入、审查和退出等管理力度,建立规范化监管机制。
从技术方面来说,由于云计算服务降低了互联网业务的开发和应用门槛,并为信息提供了更加便捷、低廉的传播渠道,因此必须建设配套、强有力的技术管控手段,例如业务开发审计系统、违法有害信息发现和过滤系统、日志留存系统等[8]。
4解决信息传输安全问题的策略
互联网的信息通道是开放不设防,并且是可以截取的,如果这些的信息在传输的过程中不加以保护,那么就很有可能被第三方非法用户获取,所以必须对这些信息进行加密处理[9],也就是伪装起来,让非法用户获得后很难直接使用,由于解密需要花费很长的时间,这样信息的时效性就没有了,从而保护了信息。现如今的加密技术主要是对称加密和非对称加密两种,对称加密由于密钥短,加解密就方便快捷,但保密度没有非对称加密技术高。非对称加密的密钥更加复杂,需要更多的时间来解密。对称加密和非对称加密各有优缺点,通常将二者结合起来使用。
[参考文献]
[1]董晓婷 大数据的定义特征及其应用分析[J] 硅谷,2013(11):120,60
[2]肯尼思・内尔・丘基尔 大数据的挑战和局限[J] 新营销,2013(9):12
[3]李炜 大数据的挑战最终是战略问题[N] 科技日报,2013-12-25(011)
[4]郑淑蓉,吕庆华 中国电子商务20年演进[J] 商业经济与理,2013(11):5-16
[5]严霄凤,张德馨 大数据研究[J] 计算机技术与发展,2013(4):168-172
[6]段学有 面对大数据的挑战[N] 中国信息报,2014-05-19(003)
[7]王树西,李安渝 大数据与云计算环境下的电子商务安全研究[A] 中国信息经济学会,2013