网络交易安全
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络交易安全范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络交易安全范文第1篇
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)27-6645-03
Analysis on Network Transaction Risk and Security Strategies
GAO Zhan
(Sichuan College of Architectural Technology, Department of Computer Engineering,Deyang 618000, China)
Abstract: With the rapid development of e-commerce, network transactions constantly challenge the traditional face-to-face transactions, and also change our life. But the securities in the transaction always make the parties be in trouble with some kinds of security, and it is regarded as the bottleneck of development of e-commerce. Various security strategies are used to change these situations which are cooperated with each other for the network transaction escort.
Key words: network transactions;risk;security strategies
1 绪言
随着互联网技术的飞速发展,网络交易这种全新的交易模式已经被越来越多人所接受,逐渐成为人们消费的重要渠道,改变着我们的生活。
2011年1月6日,中国最大的网络交易平台淘宝网公布了2010年网购数据:2010年其注册用户达到3.7亿,在线商品达到8亿件,平均每分钟售出4.8万件商品,单日交易额峰值达到19.5亿元,每位用户平均交易笔数比2009年增加了35%,而最近一个月内超过5笔交易的用户达到1350万人。
不难看出,网络的价值早已不再局限于设计之初的两大功能――即时通信和资源共享,而是渗透到生活的方方面面。然而伴随网络交易数量的激增,各种安全问题也层出不穷,直接影响到其快速稳定发展的步伐。
2 交易风险
网络交易中,风险主要来自以下方面:
2.1 物理层面
主要是指计算机网络设备、设施可能存在风险,原因可能是多方面的,诸如来自火灾、地震等环境事故;也可能是硬件遭到人为盗抢、毁坏;还可能利用电磁泄漏或搭线窃听等方式截获机密信息,或对信息流向、流量、通信频度和长度等参数的分析,探测有用信息;通过在存储介质建立隐蔽隧道等方式窃取敏感信息等等。
2.2 网络传输
相比物理方面,来自网络的风险在网络交易中占的比重要大的多。在交易的多个环节当中,都会存在不同的安全隐患。
1)数据。在网络交易过程中,为了完成交易,会通过网络发送一些非常重要的数据,包括个人的身份信息、交易账户名称、密码等等,这些信息一旦泄露,必然会造成巨大的损失,甚至可能导致身边亲朋好友的财产也受到威胁。
2)身份。由于网络交易和现实交易最大的区别就在于交易的对象和物品都不是真实可见的,只能通过图片、文字之类的资料了解相关信息,因此如果无法确认对方身份,很有可能遭遇骗局。现在出现的很多鱼网站,也正是利用这一点,通过种种手段诱骗消费者,将其原本的交易对象偷梁换柱,浑然不觉中蒙受损失。
3)抵赖。交易一旦完成,就等同于交易双方建立了一种契约关系。此时,商家如果否认和消费者之间曾经发生过交易,而消费者也无法完成举证,其权益必然会受到侵害。
4)完整性。攻击者若截获了网络上传输的信息,即使无法破译其内容,也可以通过篡改其内容(如修改消息次序、时间,注入伪造消息等),使信息失去真实性和完整性。
5)非授权访问。未经许可就使用网络或计算机资源被称为非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息等。
2.3 支付流程
传统交易过程中,一般情况下都是买家先看货,满意之后双方一手交钱一手交货。在网络交易过程中,主导权更偏向于商家。多数时候,消费者通过虚拟信息了解商品之后,需要先支付全款,商家再通过快递或物流将商品发往消费者。除了前面提到的商家收到钱却否认交易的情况外,消费者在收到购买的商品之后,若发现质量问题,或者商品与网上描述严重不符,钱已经付了,想要退款已属不易,再要追偿就更是难上加难。
除此之外,系统安全漏洞、自身管理漏洞、缺乏应用安全知识等诸多问题也往往会加剧网络交易的风险。
3 安全策略
在电子商务发展中,如何保证在开放的网络平台上交易的安全性,即如何构筑一个安全交易模型,已成为了最重要的问题。一个安全的电子交易模型,主要包括5个方面:数据保密、对象认证、数据完整性、不可否认性和访问控制。基于该需求,多种安全技术被广泛应用到交易的各个环节,以达到有效加强网络交易可靠性的目的。其中主要包括:
3.1 数据加密
在数据加密过程中,使用最广泛的两种算法是“对称加密算法(加密密钥和解密密钥相同)”和“公开秘钥算法(加密密钥和解密密钥完全不同)”,分别以DES(Data Encryption Standard)算法和RSA算法为代表。
1)DES算法的原理是将输入的明文分成的64位的数据组进行加密,密钥长度为64位(有效密钥长度为56位),通过初试变换、16轮的迭代变换和末置换,最后生成长度为64位的密文。DES算法的密钥数量为256个,若想破解只能使用暴力方式(穷举法),因此安全系数很高。
2)RSA算法是1977年由美国麻省理工学院的三位教授Ron Rivest、Adi Shamirh和LenAdleman开发的,RSA取名来自三者的名字。RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。RSA是目前最有影响力的公开秘钥算法,它能够抵抗到目前为止已知的所有密码攻击,已被国际标准化组织推荐为公钥数据加密标准。
3)混合加密体系
DES算法和RSA算法都有其各自的优缺点,RSA算法安全性更强,但加密解密速度较慢;而DES算法安全性稍弱,但速度更快。因此,目前解决网络中信息传输安全的普遍方法,是结合两者的特点,生成混合加密体系,使用DES算法加密传输的数据,使用RSA算法来为DES算法的密钥进行加密。这样,既保证了加密速度,又兼顾了DES算法中密钥的保存和管理,可谓一举两得。
3.2 数字签名
数字签名是公开秘钥算法在网络安全中的典型应用,在ISO7498-2标准中定义为:“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。其实现过程为,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。
通过数字签名,接收方能够核实发送方对报文签名的真实性,发送方事后无法抵赖对报文的签名,接收方无法伪造对报文的签名。数字签名技术是在网络系统虚拟环境中确认身份的重要技术,作用等同于现实过程中的“亲笔签字”,在技术和法律上均有保证。
3.3 报文鉴别
报文鉴别是指在两个通信者之间建立通信联系后,每个通信者对收到信息进行验证,以保证所收到信息的真实性的过程。在网络交易过程中,从计算效率角度考虑,很多报文不需要加密,但要求保证其是由确认的发送方产生的,内容没有被篡改过,同时是按与发送时的相同顺序收到的。
目前,经常采用报文摘要算法来完成报文鉴别,报文摘要一般是采用散列函数(也称哈希函数)来实现,使用最为广泛的是MD5算法。MD5算法将整个文件当作一个大文本信息,通过其不可逆的字符串变换算法,产生了这个唯一的MD5信息摘要。在以后传播这个文件的过程中,无论文件的内容发生了任何形式的改变(包括人为修改,如植进木马病毒,或者下载过程中由于线路不稳定引起的传输错误等),只要对这个文件重新计算MD5时就会发现信息摘要不相同,由此可以确定所得到的只是一个不正确的文件。
3.4 SSL协议
安全套接层协议(Secure Socket Layer,简称SSL)是由网景(Netscape)公司推出的一种安全通信协议,也是国际上最早应用于电子商务的一种安全协议,它能够对信用卡和个人信息提供有效的保护,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。在SSL协议中,采用了公开密钥和对称密钥两种加密方法,同时使用了X.509数字证书技术,有助于提高应用程序之间数据的安全系数。SSL协议提供的服务主要有:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器上。
2)加密数据以防止数据中途被窃取。
3)维护数据的完整性,确保数据在传输过程中不被改动。
由于早期的SSL协议仅提供商家对消费者的认证,而不支持消费者对商家的认证,因而其并不利于消费者。随着电子商务的发展,很多中小型公司也参与进来,他们的信誉程度参差不齐,在电子支付过程中的单一认证问题就显得越发突出。
3.5 SET协议
安全电子交易协议(Secure Electronic Transaction,简称SET)是由Visa和MasterCard两大信用卡组织联合Netscape,Microsoft等公司,于1997年推出的一种以信用卡为基础的电子商务交易安全协议。SET协议采用公开秘钥算法和X.509数字证书技术,在保留对客户信用卡认证的前提下增加了对商家身份的认证,规范了整个商务活动的流程,采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性、协调性和集成性。其主要功能如下:
1)防止数据被非法用户窃取,保证信息在互联网上安全传输。
2)使用双签名技术保证电子商务参与者信息的相互隔离。消费者的资料加密后通过商家到达银行,但是商家看不到的帐户和密码信息。
3)解决多方认证问题。不仅对客户的信用卡认证,而且要对在线商家认证,实现三者间的相互认证。
4)保证网上交易的实时性,使所有的支付过程都是在线的。
5)提供一个开放式的标准,规范协议和消息格式,使不同厂家开发的软件具有兼容性和互操作功能,可在不同的软硬件平台上执行。
3.6 第三方支付
所谓第三方支付,是指具备一定实力和信誉的独立机构通过与各大银行签约,提供与银行支付结算系统接口的交易支付平台。在使用第三方支付平台的交易中,消费者选购商品后,通过其提供的账户支付货款给第三方账户,第三方支付平台将客户已经付款的消息通知商家,并要求商家在规定时间内发货;消费者确认收货后,通知第三方付款给商家,再由其将款项转至商家账户。第三方支付的出现有效的降低了网络交易中的支付风险,有效保障消费者的利益。
第三方支付通常具有以下特点:
1)第三方支付平台整合了多种银行卡支付方式,在交易结算中与银行对接,使网上购物更加快捷、便利。
2)较之SSL、SET等支付协议,第三方支付平台的支付操作更加简单而易于接受。
3)第三方支付平台本身往往依附于大型的网上交易网站,以与其合作的银行的信用作为信用依托,能够较好地突破网上交易中的信用问题。
以淘宝网为例,其使用的第三方支付产品“支付宝”,为交易双方提供“代收代付的中介服务”和“第三方担保”。“实名认证”是支付宝的一大特色服务,注册者需要提供在有效期内证件和固定电话登记,能同时核实会员身份信息和银行账户信息,这就等同于一张“互联网身份证”,在一定程度上提高了交易双方身份的真实性。在交易过程中,消费者如果付款给支付宝,商家却故意不发货,消费者可以申请退款,如果商家不进行相应说明,在一定时间后款项将自动由支付宝退还给消费者。消费者收到货品,如果不满意,也可与商家协商申请退款。交易完成后,消费者还可根据对交易整体的满意度进行评价,其他消费者能看到这些评价,这对提高商家的诚信起到了积极的作用。可见,第三方支付还是能够比较有效的约束网络交易中商家的行为,使消费者和商家在交易过程中尽量处于一个相对平衡的位置。
3.7 提高个人防范意识
归根结底,人是网络交易的真正主体,即便交易过程中软、硬件的防护措施做得再好,如果交易者本身缺乏相应安全意识,之前的各种努力都可能付诸东流。因此,在网络交易中应该尽力做到:
1)不要轻易泄露自己的账户和密码,输入重要信息时防止他人窥视。
2)安装最新版本的杀毒软件和防火墙,注意升级病毒库,定期对自己的计算机进行扫描,确保其处于安全状态。
3)上网时打开杀毒软件的实时监控功能,不要随便访问来历不明的网址,打开来历不明的邮件附件。
4)不要随便接受并运行来历不明的人发送的文件或程序,下载资源后后养成先查毒再执行的习惯。
5)交易时看清交易地址再输入重要数据,不要被钓鱼网站套取重要资料。
参考文献:
[1] 石淑华,池瑞楠.计算机网络安全技术[M].2版.北京:人民邮电出版社,2008.
[2] 石志国,薛为民,尹浩.计算机网络安全教程[M].2版.北京:清华大学出版社,2011.
网络交易安全范文第2篇
关键词:网络交易安全;民商法保护;相关性分析
在人们的日常生活中,使用互联网技术可以更加便捷的进行消费购物,其已经成为当今社会最为重要和普遍的一种交易方式。但网络技术在我国起的步时间并不算太长,加之不太成熟的技术方面等问题,使其还存在很大的漏洞,给网络环境造成一定的破坏,使网络交易频繁出现安全问题。
1 网络交易的特点
网络交易作为当前最流行的交易方式,省去了双方交谈的时间,只需利用网络平台来完成这个交易过程。交易中介是较为常用的第三方认证,它的作用是使交易双方能够保证一定的公平性和安全性。淘宝网作为现在最大的电子交易平台,其会对买家个人进行验证其身份信息,完成身份认证的步骤。淘宝网上的货品由卖家进行陈列,买家可以自由在平台中对自己感兴趣的货物加以挑选,当确认已选货品后,将该物品拍下,卖家要接受该订单需要通过淘宝平台来对买家的身份进行确认,然后进行下一步操作。买家通过网上银行对已拍物品进行网络付款,待付款成功后,卖家会收到相应的付款信息,此时卖家将买家所拍物品进行打包,再通过快递公司发送至买家地址,待买家收到物品再回到网络平台确认收货,才算彻底完成这笔网络交易。通过这一连串的交易程序可以看出,网络交易中面临的潜在风险主要有两点:第一是账户安全;第二是支付安全。淘宝网和其他类似类似交易平台在网络交易中具有两个方面的安全保障;第一是用户设置的登陆密码;第二是付款时的支付密码。就这方面的安全性来看,淘宝网目前的交易方式还是比较安全的,除了淘宝网以外,国内还有很多大型交易平台,如京东和天猫等,这些电子商务平台的安全设置大多相同,其安全性能还是值得用户信赖的。随着不断发展的社会经济,还有很多新型事物出现在了网络交易中,第一是蚂蚁花呗;第二是京东白条;第三是微信支付等各种交易方式,使网络交易还面临着一定的风险和考验。
2 网络交易安全性问题目前的情况
随着不断发展的科技技术,社会电子信息技术也有了飞跃式的提高,人们的生活节奏越来越快,网络交易确实方便了大众的生活。只要是使用电子信息技术的用户,手机就能为其出门解决所有问题,吃穿用住都可以通过手机上的网络交易来进行操作,所以,现代人们的生活已经离不开网络交易。通过网络交易省去了不方便出门采购物品的人们,并省去了大部分时间,带给人们的便利是有目共睹的。但是,网络技术不断发展的今天,网络交易的次数和金额规模也在日益扩大。其中,由于网络技术的漏洞可能被一些非法分子利用,采取不法手段来对用户的个人信息加以窃取,或是通过非法手段获取用户的银行信息和信用卡信息,并划走其中的资产,给用户带来巨大的经济损失。经过分析可以得知,两个主要原因是产生这些问题的关键:第一是有限的消费者知情权;第二是不同的交易方式。
(一)有限的消费者知情权所致
网络交易的优势是其不受空间和时间的限制,支持所有用户的使用,就算是用户想要购买国外其他网站的物品,也能通过一些软件来实现。同时,电子交易平台的货品上传,商家也能通过一些软件来自动上传,具有很大的商家选择权和消费者空间。这些使很多物品的安全性和真实性难以保障,仅仅依靠商家所展示的图片和买家的评价很难正确的判断商品的所有信息。
(二)不同的交易方式所致
网络交易的特点主要有两点:第一是开放性;第二是虚拟性。电子商务平台的货品信息可以由商家使用软件进行上传,买家在浏览和选择产品,已经在对已拍下产品进行交易的途中,很可能被一些不法分子加以干涉,比如不法分子冒充说是该电子平台的商家,对于买家已经付款的信息没有收到显示,需要买家再次对其进行确认或是再次付款等行骗手段,待到买家相信以后,这些非法分子会直接发送网络链接给买家,如果买家一旦点击进入,其个人信息将可能被盗取,严重情况还将使个人面临银行资产被盗取的可能。
3 民商法对网络交易的保护方式
我国民商法包含有两种:第一是民法;第二是商法。其中民法又分为两大法:第一是财产法;第二是人身法。商法是对商业活动的规范行为,以及商业关系的改进所定制的法律法规。目前,大多数国家的民商法的系统都较为完善,并对网络交易的真实性和安全性具有一定的管理范围。在民商法中,目前的商品交易行为是十分适合相关法律行为的。民商法对于交易双方的真实存在性是有明确规定的,一旦认定较大的意见差别出现在双方的交易过程中,民商法可以对该交易进行判定,使该交易属于无效,并能对其进行撤销处理。对于民商法中的可信原则和公开原则,在网络交易中应该按照规定严格遵守。要有效保护交易行为,可信原则和公开原则是其中的重要方法,要对其法律法规的行为进行表示,相关事业单位需要采取相应的形式。例如房产变更不动产,以及变更其相关产权等,这些保护都需要通过民商法来执行。另外,在网络交易中,严格主义也是民商法用于约束商家的重要手段。
目前,社会上出现了很多网络诈骗行为,这种新型犯罪即产生于网络交易中。要对这些犯罪分子的实际行为加以追踪并不容易,因为其使用了信息技术手段,使其相当隐秘,造成了很大的安全隐患,威胁整个网络交易行为,所以,民商法应当对网络交易行为争取更大的保护,并严惩犯罪分子。在网络交易平台中,网络交易体现的是交易双方的真实意愿,要对对方的真实情况加以确认,很多时候会使用信用等级来进行,而很多大型交易平台在注册时直接采取的是实名政策。这些手段都是为了使网络交易的安全性得到一定的保证,也是民商法律行为的其中一种,可以使网络交易进行的更加顺利。
4 网络交易安全性未来的发展
交易双方的平等是民法的主体,双方的法律地位应是平等的,但由于情况较为特殊的网络交易,很多交易双方在进行网络交易时,出现的个人信息并不完全,很多都只能看到姓名,但若对其根本加以追究,其教育行为是属于两位民事主体个人之间的网络交易,所以,对于网络交易民事主体的地位应当明确的在法律中加规定,用户电子身份由平台对其进行确认,并规定其法律责任。
5 结束语
总的来说,电子商品平台变得越来越多,所产生的网络交易也越加频繁,民商法需要对其定制具有针对性的管理法规,才能更好的维持市场秩序。在未来的发展中,网络交易必定会更加迅猛,其中产生的安全问题和信用问题都是值得民商法考虑的范围,要保证其绝对的安全性,应当对相关法律规定加以完善,而当前社会较为常见的网络安全漏洞,应当尽快进行整改,对于介入的不法分子进行严厉打击,才能保证人们可以安全的进行网络交易。
参考文献
[1]柳正.论商法的交易安全保护[J].法制博览,2016,11:100-102.
[2]张世伟.民商法对交易安全的保护探析[J].法制与经济,2015,19:119-120.
网络交易安全范文第3篇
[摘要]随着互联网的全面普及,基于互联网的电子商务应运而生,近年来获得了巨大的发展。作为一种全新的商务模式,它对企业管理水平、信息传递技术都提出了更高要求,其中电子商务网站的安全控制显得尤为重要。本文从电子商务网站的建立开始,对安全问题作一个基本的探讨,重点阐述了电子商务系统中的系统安全、数据安全、网络交易平台的安全。只有安全、可靠的交易网络,才能保证交易信息安全、迅速地传递,才能保证数据库服务器的正常运行。
[关键词]互联网;电子商务;系统安全;数据安全;网络系统
一、前言
近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。
从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。
二、电子商务网站的安全控制
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。
(一)系统安全
在电子商务中,网络安全一般包括以下两个方面:
1.信息保密的安全
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的安全
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:
网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。
系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIAPC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
(二)数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。
数据库安全——大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的安全
网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。
交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准。
交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。
交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。
PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(CertificationAuthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。
三、目前信息安全的研究方向
从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。
目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
四、结束语
电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。
参考文献:
[1]佚名.解析电子商务安全[EB/OL].
[2]佚名.网络构建与维护[EB/OL].,2006-07-16.
[3]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.
网络交易安全范文第4篇
[论文摘要]:如何让学生注意计算机网络操作系统存在的问题。
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到前所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文将对计算机信息网络安全存在的问题进行深入剖析,并提出相应的安全防范措施。如何培养出创新人才是当今社会的新要求,也是教学研究的重要课题。
一、计算机网络是培养学生创新能力的关键
学生学习,要有正确的学习动力和浓厚的学习兴趣,这样学习有主动性和积极性,只有产生了兴趣,才会有动机,才能结出丰硕的成果,因此计算机网络课程具有灵活性、实践性、综合设计性较强的课程,在教学中进行教学设计,注重激发学生创新思维,以培养学生的创新能力。
二、计算机网络应注意哪些不安全因素
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面:
1.计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。在使用互联网时应注意以下几项不可靠的安全性。
(1))网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
(2)网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
(3)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。
2.操作系统存在的安全问题
操作系统是一个支撑软件,是计算机程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不可靠安全性,是计算机系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
(1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
(2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。像这些远程调用、文件传输,如果生产厂家或个人在上面安装间谍程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
(3)操作系统有守护进程的防护功能,它是系统的一些进程,总是在等待某些事件的出现。所谓的守护进程,就是监控病毒的监控软件,当有病毒出现就会被捕捉到。但是有些进程是一些病毒,碰到特定的情况它就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时它可能不起作用,可是在某些条件下发生后,它才发生作用。如果操作系统守护进程被人为地破坏掉就会出现这种不良的安全隐患。
(5))在课堂上,学生与教师相互交流时,操作系统提供远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行,远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全问题。尽管操作系统的漏洞可以通过版本的不断升级来克服,但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间,一个小小的漏洞就足以使你的整个网络瘫痪掉。
计算机教学本来就是一个寓教于乐,上机实践的活动过程,所以培养学生的兴趣只是一个起点,如何保持学生的兴趣,是个漫长过程。计算机教师如何影响学生,帮助学生分析其优势和存在的问题,帮助他们循序渐进,逐步走向成功,并让这种成功的感觉一直激励他们,期间有着许多环节。因此教师应该充分发挥自身的作用,在处理课堂教学时,针对教材的特点,精心设计自己的教学过程,充分考虑每个教学环节,把知识性和趣味性融为一体,从而有效地调动学生学习的积极性。在组织每一课堂教学时,可设计来调节课堂气氛,这种设置的时机没有一定的模式,教师可视具体情况灵活确定。
参考文献:
[1] 张千里.网络安全新技术[M].北京:人民邮电出版社,2003.
网络交易安全范文第5篇
【关键词】移动社交网络;信息安全保护;无线加密技术;WPA;WPA2
随着人类文明和科技进步,我们已步入互联网时代。大数据、云计算、智能化等新一代信息技术的发展,正以空前的力量和效率,掀起一场影响全人类的深层变革,改变了人们的生活方式,提供了前所未有的思维模式。移动社交网络已成为生活中不可或缺的一部分,它丰富了人们的物质和精神生活,同时移动社交网络中用户信息安全问题也成为当今社会的一个焦点,越来越受到人们的关注,饱受广大网民诟病。
1移动社交网络用户信息安全问题现状分析
当今社会移动社交网络(MobileSocialNetwork)已成为社交网络的主流,移动社交网络虽然是一种虚拟的社交媒体,但为用户提供了分享信息、交流思想、沟通情感的平台。近年来,随着4G技术以及无线网络技术的发展及智能移动终端的广泛使用,移动社交网络得到高速发展。然而,移动社交网络在给用户提供便捷高效的服务的同时也面临着极大地安全挑战。据第38次《中国互联网络发展状况统计报告》(2016.7)显示,截止2016年6月,我国网民规模已达7.1亿,互联网普及率达到51.7%,手机上网主导地位强化,手机网民规模达到6.56亿,网民中手机上网的人群占比为92.5%,中国网站总数为454万个[1]。另据有关资料显示,2015年有95.9%的手机网民遇到过手机信息安全事件,手机网民中会主动查看手机软件隐私权限的用户仅占35.8%,44.7%的用户会在不确认公共Wi-Fi是否安全的情况下直接连接,58.9%的手机网民没有听说过伪基站,26.4%的用户在遭遇手机信息安全事件后不会采取任何措施进行处理[2]。由上述情况来看,人们在日常生活中或多或少都遇到过因个人信息泄露导致的诸如骚扰诈骗短信或电话、非正常链接、恶意软件攻击、病毒木马入侵等信息安全事件,但因受影响程度的不同,人们的处理态度和方式也不一样。因大多数未造成直接的经济损失,加上举报程序复杂且操作成本高,人们担心花费时间和精力得不偿失,半数以上的人选择不理睬的态度,从而怂恿了不法分子的猖獗,这也是导致诈骗信息不断的主要原因。除非造成了重大经济损失或出现人身伤亡事故,如徐玉玉事件,才会引起高度关注。总的来看,各类信息安全事件在数量上将呈上升趋势;在内容上花样百出、不断翻新;在手段上隐蔽性更强、欺骗性更大。移动社交网络中用户的信息安全正成为移动互联网时代突出的社会问题。
2移动社交网络中的信息安全问题原因探究
移动社交网络中用户个人信息安全形势仍较严峻,主要有以下原因:(1)用户信息安全意识淡薄。目前仍有一部分网民在个人信息安全方面没有采取任何防护措施。由于许多网站的隐私设置比较繁琐,很多用户都没有进行隐私设置;有一些用户习惯于用一个ID注册多个账号,甚至用同样的密码;有的用户使用与自己相关的个人信息等纯数字来设置密码,很容易被破译;有的随意安装未知来源的社交应用软件,导致移动终端和个人信息遭到泄露;还有部分用户不会使用终端系统的隐私控制功能,不能及时更新系统;随意开启GPS功能,导致位置信息泄露[3]。(2)信息安全保护技术还存在漏洞。在智能终端设备上安装第三方社交软件,通过这种第三方软件进行注册和认证,会把用户的信息及使用数据进行记录在移动终端设备上,通过用户的操作从而窃取用户的身份标识。然后通过截获的用户信息进一步的窃取其相关用户的信息[4]。(3)网络企业安全管理职责缺失。企业在运营过程中掌握大量用户个人信息资料,是用户信息安全保护的义务主体和第一责任人。但部分移动社交网络运营机构不重视用户信息的安全保护,缺乏制度建设,没有完全履行保护用户信息安全的职责。不进行技术创新,缺乏有效防范信息安全风险的解决方案;没有投入充足的经费建设专业安全管理团队,没有良好的应急能力。(4)个人信息安全法律体系滞后。由于互联网技术是新兴产业,近十年来发展异常迅猛,尤其是在个人信息安全方面存在法律缺失。我国目前尚未出台一部完整独立的《个人信息保护法》,而散落在其他法律条款中的规定,也无法完整的反映并保证用户的信息安全。此外,现成的法律体系主要表现为个人信息安全受到侵害时的一种补救机制,缺乏事前警示作用。
3移动社交网络中的信息安全保护原理
为了保护用户数据,无线网络从WEP加密技术逐步改进成为今天应用最广泛的WPA无线加密技术,它有两种标准,下面进行介绍:
3.1WPA加密技术
WPA全称是Wi-FiProtectedAccess,它作为一种系统,能够保护无线网络(Wi-Fi)的安全。Wi-Fi联盟(TheWi-FiAl-liance)这个组织建立并确定了WPA,WPA最重要的部分就在TKIP和IEEE802.1X。TKIP相当于包含在WEP密码的一层“外壳”,它的密钥长度是128位,解决了WEP密钥短的问题。IEEE802.1X:①发出连接上网请求;②发出请求数据帧;③经过一系列处理将用户的信息发到服务器;④比较传送来的与数据库中的信息有何不同;⑤将对应的口令进行加密处理;⑥将加密后的口令传给客户端;⑦对上一部分的信息进行加密整理;⑧检查处理加密过的信息。
3.2WPA2加密技术
WPA2是WiFi联盟新通过的协议标准的认证形式,其中Michael算法被更加安全的CCMP所取代、而AES算法取代了RC4加密算法。WPA2支持安全性更高的算法AES;但与WPA不同的是,WPA2支持802.11g及以上的无线网卡。
3.3WPA与WPA2的公式区别
WPA=IEEE802.11idraft3=IEEE802.1X/EAP+WEP(选择性项目)/TKIPWPA2=IEEE802.11i=IEEE802.1X/EAP+WEP(选择性目)/TKIP/CCMP
3.4WPA技术的四个优势
WPA会不断一直的迭代密钥,增加其密钥长度,从而增加安全级别。WPA所采用的有效的保障机制,让其可以应用在不同种类的网卡。WPA使公共场所和学术办公地安全地设置无线网络,不必担心信息安全问题。WPA实现“一户一密”。即每一个用户都使用分配给自己的密码。
4移动社交网络用户信息安全保护对策
保障移动社交网络用户信息安全,需从用户个人、网络企业、国家立法三个层面多维度应对。具体措施如下:(1)提高用户信息安全素养,加强风险防范意识。信息安全素养是指个人在当今网络环境下对信息安全的理解与认知,以及应对信息安全问题所反映出来的综合能力[5]。增强信息安全意识,学习信息安全知识,有助于人们了解网络犯罪和病毒攻击的特征,提高识别风险的能力。同时遵守信息伦理道德,不受骗,不骗人,从自身做起,做一个遵纪守法的文明网民,营创风清气正的社交网络环境。(2)提高网络安全保护技术,加强信息安全监管。未来网络安全攻守双方将以新型技术漏洞为核心进行长期博弈。因此,提高技术壁垒,减少技术漏洞是保障信息安全的基础,要加强互联网技术和安全防护技术的深度融合,不断创新,从源头上保证个人信息安全。魔高一尺,道高一丈,要让黑客在红客面前无机可乘,无计可施。(3)提高运营管理水平,完善行业自律机制。社交网络企业作为信息安全体系的主导因素,有义务在技术、制度、管理等方面提升综合能力,承担相应责任。社交网络企业要深刻意识到用户信息安全的重要性,切实履行保护用户信息安全的职责,建设专业安全管理团队,建立完备的隐私控制策略。在与第三方共享数据时要建立行业自律机制,遵守自律公约,保证用户个人信息的隐私和安全。(4)健全信息安全法律体系,加大安全事件执法力度。加快成立专门的国家级个人信息安全管理部门,与时俱进,同步的完善信息安全法律体系。实行信息安全事件责任追究,做到有法可依,违法必究,对重大信息安全事件加大打击力度,以高压态势整肃信息安全环境,促进移动社交网络的繁荣和健康发展。
参考文献
[1]CNNIC:2016年7月第38次中国互联网络发展状况统计报告.
[2]CNNIC:2015年中国手机网民网络安全状况报告.
[3]王娜,许大辰.移动社交网络中个人信息保护现状的调查与分析———从用户行为习惯视角出发.情报杂志,2015,1.
[4]刘建伟,李为宇,孙钰.社交网络安全问题及其解决方案.中国科学技术大学学报.
