网络交易安全精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络交易安全主题范文,仅供参考,欢迎阅读并收藏。
第1篇:网络交易安全范文
关键词:电子商务;计算机;网络安全
一、电子商务网络的安全隐患
1.计算机电脑病毒。随着互联网的发展,病毒利用互联网,传播速度大大加快,它侵入网络,破坏资源,成为了电子商务中计算机网络的严重安全威胁。
2.窃取信息。在电子商务中主要表现为交易信息的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。
3.窜改资料。电子商务交易非常重视信息的真实性和完整性的问题。交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。
4.假冒。通过假冒交易平台,用有利的条件吸引用户到平台进行消费,骗取支付款项。由于在虚拟的网络平台,用户一般难以判断
二、电子商务交易中的网络安全技术
1.电子商务交易中的安全措施
在早期的电子交易中,曾采用过一些简易的安全措施,包括:部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。另行确认(Order Confirmation):即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。此外还有其它一些方法,这些方法均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
2.主要的协议标准有:
近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。
安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,以完成需要的安全交易操作。
安全交易技术协议(STT,Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。
安全电子交易协议(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET公告,并于1997年5月底了SET Specification Version 1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。
3.主要的安全技术有:
虚拟专用网(VPN):这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。
数字认证:数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。随着商家在电子商务中越来越多地使用加密技术,人们都希望有一个可信的第三方,以便对有关数据进行数字认证。
目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,Java JDK1.1也能够支持几种单向Hash算法。另外,S/MIME协议已经有了很大的进展,可以被集成到产品中,以便用户能够对通过Email发送的信息进行签名和认证。同时,商家也可以使用PGP(Pretty Good Privacy)技术,它允许利用可信的第三方对密钥进行控制。可见,数字认证技术将具有广阔的应用前景,它将直接影响电子商务的发展。
加密技术:保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在,一些专用密钥加密(如3DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而,这些技术的广泛使用却不是一件容易的事情。
电子商务认证中心(CA,Certificate Authority):实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。
为了推动电子商务的发展,首先是要确定网上参与交易的各方(例如持卡消费户、商户、收单银行的支付网关等)的身份,相应的数字证书(DC:Digital Certificate)就是代表他们身份的,数字证书是由权威的、公正的认证机构管理的。各级认证机构按照根认证中心(Root CA)、品牌认证中心(Brand CA)以及持卡人、商户或收单银行(Acquirer)的支付网关认证中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按层次结构建立的。
电子商务安全认证中心(CA)的基本功能是:生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。对数字证书和数字签名进行验证。对数字证书进行管理,重点是证书的撤消管理,同时追求实施自动管理(非手工管理)。建立应用接口,特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。
第一代CA是由SETCO公司(由Visa & MasterCard组建)建立的,以SET协议为基础,服务于BC电子商务模式的层次性结构。
由于BB电子商务模式的发展,要求CA的支付接口能够兼容支持BB与BC的模式,即同时支持网上购物、网上银行、网上交易与供应链管理等职能,要求安全认证协议透明、简单、成熟(即标准化),这样就产生了以公钥基础设施(PKI)为技术基础的平面与层次结构混合型的第二代CA体系。
建立在PKI技术基础上的第二代安全认证体系与支付应用接口所使用的主要标准有:由Internet特别工作组颁发的标准:LDAP(轻型目录访问协议)、S/MIME(安全电子邮件协议)、TLC(传输层安全套接层传输协议)、CAT(通用认证技术,Common Authentication Technology)和GSS-API(通用安全服务接口)等。
由国际标准化组织(ISO)或国际电信联盟(ITU)批准颁发的标准为9594-8/X.509(数字证书格式标准)。
第2篇:网络交易安全范文
摘 要 电子货币是金融电子化的产物,融储蓄、信贷和非现金结算等多种功能为一体,在电子商务活动中占有极其重要的地位,并已成为了网络银行的主要交易形式。由于网络银行依托Internet的特点和网络的不安全因素,电子货币在其交易过程中不可避免地存在风险,从网络安全的角度对现存问题进行研究并提出对策,才能保证网络银行中电子货币的安全交易。
关键词 电子货币 网络银行 网络安全
从1998年招商银行开通网络银行服务后,全国性的商业银行纷纷开通了网络银行业务,网上支付和银行卡支付已经成为目前我国电子支付的主流。2009年全国的支付总量约为1130万亿,其中300万亿元通过各商业银行支付系统完成,127万亿元由银联银行卡系统进行,电子货币将成为未来货币发展的主要趋势,而网络银行也将成为今后电子货币交易的主要平台。
一、 电子货币与网络银行的概念和特点
(一) 电子货币的概念
电子货币(Electronic Money)是以金融电子化网络为基础,以商用电子化机具和各类交易卡为媒介,以电子计算机技术和通信技术为手段,以电子数据(二进制数据)形式存储在银行的计算机系统中,并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。
目前,我国流行的电子货币主要有四种类型:
(1)储值卡型电子货币
一般以磁卡或IC卡形式出现,其发行主体除了商业银行之外,还有电信部门、IC企业、商业零售企业、政府机关和学校等。
(2)信用卡应用型电子货币
指商业银行、信用卡公司等发行主体发行的贷记卡或准贷记卡,可在发行主体规定的信用额度内贷款消费,之后于规定时间还款。
(3)存款利用型电子货币
主要有借记卡、电子支票等,用于对银行存款以电子化方式支取现金、转帐结算、划拨资金等。
(4)现金模拟型电子货币
一种是基于Internet网络环境使用的、将代表货币价值的二进制数据保管在微机终端硬盘内的电子现金;一种是将货币价值保存在IC卡内并可脱离银行支付系统流通的电子钱包。
(二) 电子货币的特点
电子货币可以在互联网上或通过其他电子通信方式进行支付,没有物理形态,为持有者的金融信用。现阶段,电子货币与实体货币之间以1:1的比率兑换,具备价值尺度和流通手段的基本职能,还有价值保存、储藏手段、支付手段、世界货币等职能。
具体而言,电子货币具有以下特点:
(1)依托电子计算机进行储存、支付和流通
电子货币以二进制数据的形式存在,离不开电子计算机,电子货币的普及和计算机技术的发展,促进了网络银行的诞生。
(2)可广泛应用于生产、交换、分配和消费领域
电子货币虽然不具有实物形态,但仍然具备货币的基本职能,能够在社会生产的各个领域发挥支付和流通手段的职能。
(3)融储蓄、信贷和非现金结算等多种功能为一体
货币电子化使多功能一体化得以实现,也使传统银行业务的办理更加便捷。
(4)电子货币具有使用简便、安全、迅速、可靠的特征
随着网络安全技术的提高,在大额支付领域,电子货币比传统货币更加便捷和安全。
(5)以银行卡(磁卡、智能卡)为媒体
电子货币的无形化使其必须以银行卡等为载体,这也成为电子货币区别于传统货币的一大特点。
(三) 网络银行的概念
网络银行又称网上银行、在线银行,是指银行利用Internet技术,通过Internet向客户提供开户、销户、查询、对账、行内转账、跨行转账、信贷、网上证券、投资理财等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。
网络银行业务可以分为信息服务、中间服务和全面服务三种,目前,我国网络银行的服务种类已经涉及到了各个领域。虽然美国网络银行的业务量占银行业务量的比例已接近50%,而我国尚不足1%,但随着我国电子货币的普及和网络的发展,网络银行的发展前景极为广阔。
(四) 网络银行的特点
银行是金融系统中的重要机构,而网络银行是金融电子化的产物,也是电子货币的主要交易场所,是传统银行与网络信息技术相结合的结果,与传统银行相比,具有与众不同的特点:
(1)电子化交易,无纸化经营
电子支票、电子汇票和电子收据代替纸质票据,电子现金、电子钱包、电子信用卡等电子货币代替纸币,交易业务通过数据通信网络进行,使无纸化交易在网络银行成为现实。
(2)便捷、高效的全方位服务
网上银行是在Internet上的虚拟银行柜台,又被称为“3A银行”,能够在任何时间(Anytime)、任何地点(Anywhere)、以任何方式(Anyway)为客户提供金融服务,使用户享受到不受时间、空间限制的全方位服务。
(3)降低成本,保证正常经营
现在零售交易上使用的现金,其成本大概是1.7%左右,而电子货币是0.6%左右。网络银行采用了虚拟现实信息处理技术,又可以在保证原有业务量不降低的前提下,减少营业点的数量,从而使银行的经营成本大大减少。
(4)简单易学,方便沟通
网络的普及使网上交易简单易学,而E-mail的通信方式也便于客户与银行之间以及银行内部的沟通。
二、 网络银行的电子货币交易模式及问题
电子货币是近年来日益流行的新兴货币形式,在网络购物、投资理财等领域发挥了传统货币不可比拟的重大作用。电子货币之所以能够基本上取代纸币在货币交易系统中流通,一方面由于信息时代对货币交易效率的要求,另一方面也由于电子货币便捷、易携带和安全等优点。
(一)现行的电子货币交易模式
网络银行作为电子货币的主要交易场所,其交易模式是网银用户和银行机构普遍关心的问题。目前,我国网络银行普遍使用SSL加密技术标准,在技术层面上可以保证数据在传输过程中的安全问题。
虽然各商业银行的安全认证工具不同,但总体而言,包括密码、文件数字证书、动态口令卡、动态手机口令、移动口令牌和移动数字证书等认证介质。密码是安全系数最低的认证工具,移动数字证书则是最安全的认证工具,其他认证工具的安全系数基本在80%以上,结合使用能保证基本的安全交易。
(二)网络银行的安全交易问题
CNNIC的调查结果显示,不愿意开通网络银行的银行客户中,有76%是出于安全考虑;开通网络银行的网络用户中,有16%对网络银行表示不满意;33%的网购用户不愿意选择网银支付货款。可见,网上银行的安全性没有因为其便捷性而被忽视,反而成为了阻碍网络银行发展的一大问题。
目前,网络银行存在的安全性问题主要包括以下几个方面:
1.对实体的威胁和攻击
各种自然灾害、人为破坏以及媒体的失窃和丢失,即针对银行等金融机构计算机及其外部设备和网络的威胁和攻击。
2.对银行信息的威胁和攻击
这包括信息泄漏和信息破坏。信息泄漏是指偶然或故意地获得目标系统中的信息,尤其是敏感信息而造成泄漏事件;信息破坏是指由于偶然事故或人为破坏,使信息的正确性、完整性和可用性受到破坏。
3.计算机犯罪
计算机犯罪是指破坏或者盗窃计算机及其部件或者利用计算机进行贪污、盗窃、侵犯个人隐私等行为,相对于传统犯罪而言,增长率高,损失更严重。
4.计算机病毒
犯罪分子通过计算机病毒入侵网银用户以非法获取个人隐私等,严重危及网银用户的安全。
三、 网络银行的安全交易对策
网络银行的安全涉及到网络平台的各个方面,按照OSI的七层网络模型,网络安全也包括物理层、链路层、网络层、操作系统、应用平台和应用系统安全等多个方面。虽然OSI只提供了一种抽象模型,但该模型能够提供五种安全服务:
(1) 鉴别
证明通讯双方的身份与其申明的身份相一致,这是使用网银的第一道防线。
(2) 访问控制
对不同的信息和用户设定不同的权限,保证只允许经授权的用户访问经授权的资源,这是对网银用户资料的安全保障。
(3) 数据机密性
保证通讯内容不被他人捕获,不会泄露敏感的信息,这是对通讯过程的保护。
(4) 数据完整性
保证信息在传输过程中不会被他人篡改,也就是电子货币在交易过程中不会出现问题。
(5) 不可否认性
证明一条信息已经被发送和接受,发送方和接受方都有能力证明接收和发送的操作确实发生了,并且能够确定对方的身份。
为了保证网络银行的安全性,必须在不同层次上采取不同的安全技术来保证系统的安全性能,目前被普遍采用的是网络层安全协议中的安全套接字协议(SSL)和安全电子交易标准(SET)。SSL为客户/服务器会话提供了服务器确认、客户确认、完整性和机密性等一系列安全服务。
除此之外,网络层安全技术还包括最广泛使用的防火墙技术,设立多重防火墙,一方面可以分隔互联网与交易服务器,防止互联网用户的非法入侵;另一方面可以分割交易服务器与银行内部网,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
在应用层上,信息认证技术是确认交易双方真实性和传输数据准确性的保证,网络银行已经采取了基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码等技术,尤其是中行为了防止诈骗推出的手机认证服务,更是为身份认证提供了重重保障。
在除网络层和应用层的其他层次上,网络安全技术也不可忽视,总而言之,网络安全是多层次的,要真正应对网络银行电子交易过程中的安全威胁,就要制定多层次、多体系的安全体系,实行24小时实时安全监控,随时进行系统漏洞扫描和实时入侵检测。
四、 结论
虽然采用电子货币支付很便捷,但由于电子货币的交易在网络中主要表现为数据的存储和传输,任何一个环节出错,都会影响数据的真实性和准确性,进而影响电子货币的安全交易。
从金融机构角度来说,电子货币自身的缺陷和交易过程的风险性不容忽视,尤其是其对金融系统安全的影响,需要金融监管部门的重视,更呼唤金融监管体系的完善。
从银行角度来说,继续扩大网络银行业务,发挥电子货币交易的巨大作用,但要注意从交易的每个环节采取严密的安全保护措施,使用高安全级的Web应用服务器,建议严密的安全控制体系,全程监控,多重认证。
从个人角度来说,要正确认识电子货币,运用辩证的观点看待这一新型货币,既不能因为电子货币的便捷性而否定现金在交易中的作用,也不能因为电子货币的风险性而彻底抵制电子货币的交易。在享受便捷的同时,也要重视电子货币的安全问题,设置安全可靠的密码,保护好其他认证工具,保证所有的交易都在安全可靠的网站进行,不随意泄露个人信息。
参考文献:
[1][美]玛丽•J•克罗宁.互联网上的银行与金融.经济科学出版社.2002.1.
[2]William Stallings著,白国强等译.网络安全基础――应用与标准.清华大学出版社.2007.7.
第3篇:网络交易安全范文
关键词:电子商务信息安全数据加密数字签名
一、引言
随着信息技术和计算机网络的迅猛发展,基于Internet的电子商务也随之而生,并在近年来获得了巨大的发展。电子商务作为一种全新的商业应用形式,改变了传统商务的运作模式,极大地提高了商务效率,降低了交易的成本。然而,由于互联网开放性的特点,安全问题也自始至终制约着电子商务的发展。因此,建立一个安全可靠的电子商务应用环境,已经成为影响到电子商务发展的关键性课题。
二、电子商务面临的安全问题
1.信息泄漏。在电子商务中主要表现为商业机密的泄露,包括两个方面:一是交易双方进行交易的内容被第三方窃取;二是交易一方提供给另一方使用的文件被第三方非法使用。
2.信息被篡改。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或被多次使用,这样就使信息失去了真实性和完整性。
3.身份识别。身份识别在电子商务中涉及两个方面的问题:一是如果不进行身份识别,第三方就有可能假冒交易一方的身份,破坏交易、败坏被假冒一方的信誉或盗取交易成果;二是不可抵赖性,交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。进行身份识别就是防止电子商务活动中的假冒行为和交易被否认的行为。
4.信息破坏。一是网络传输的可靠性,网络的硬件或软件可能会出现问题而导致交易信息丢失与谬误;二是恶意破坏,计算机网络本身遭到一些恶意程序的破坏,例如病毒破坏、黑客入侵等。
三、电子商务的安全要素
1.有效性。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对一切潜在的威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。
2.机密性。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。解决数据机密性的一般方法是采用加密手段。
3.完整性。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方的差异。此外,数据传输过程中的丢失、重复或传送的次序差异也会导致贸易各方的不同。因此,要预防对随意生成、修改和删除,同时要防止数据传送过程中的丢失和重复并保证传送次序的统一。
4.不可抵赖性。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在交易进行时,交易各方必须附带含有自身特征、无法由别人复制的信息,以保证交易后发生纠纷时有所对证。
四、电子商务采用的主要安全技术手段
1.防火墙技术。防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。所有来自Internet的传输信息或发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。实现防火墙技术的主要途径有:分组过滤和服务。分组过滤:这是一种基于路由器的防火墙。它是在网间的路由器中按网络安全策略设置一张访问表或黑名单,即借助数据分组中的IP地址确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过。防火墙的职责就是根据访问表(或黑名单)对进出路由器的分组进行检查和过滤。这种防火墙简单易行,但不能完全有效地防范非法攻击。目前,80%的防火墙都是采用这种技术。服务:是一种基于服务的防火墙,它的安全性高,增加了身份认证与审计跟踪功能,但速度较慢。所谓审计跟踪是对网络系统资源的使用情况提供一个完备的记录,以便对网络进行完全监督和控制。通过不断收集与积累有关出入网络的完全事件记录,并有选择地对其中的一些进行审计跟踪,发现可能的非法行为并提供有力的证据,然后以秘密的方式向网上的防火墙发出有关信息如黑名单等。防火墙虽然能对外部网络的功击实施有效的防护,但对网络内部信息传输的安全却无能为力,实现电子商务的安全还需要一些保障动态安全的技术。
2.数据加密技术。在电子商务中,数据加密技术是其他安全技术的基础,也是最主要的安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。
(1)对称加密。对称加密又称为私钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。比较著名的对称加密算法是:美国国家标准局提出的DES(DataEncryptionStandard,数据加密标准)。对称加密方式存在的一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。
(2)非对称加密。非对称加密又称为公钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,通信双方各具有两把密钥,即一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密。同样地,用私钥加密的数据只能用对应的公钥解密。RSA(即Rivest,ShamirAdleman)算法是非对称加密领域内最为著名的算法。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开,得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把私有密钥对加密后的信息进行解密。贸易方甲只能用其私有密钥解密由其公开密钥加密后的任何信息。为了充分发挥对称和非对称加密体制各自的优点,在实际应用中通常将这两种加密体制结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。
3.数字签名技术。仅有加密技术还不足以保证商务信息传递的安全,在确保信息完整性方面,数字签名技术占据着不可替代的位置。目前数字签名的应用主要有数字摘要、数字签名和数字时间戳技术。
(1)数字摘要。数字摘要是对一条原始信息进行单向哈希(Hash)函数变换运算得到的一个长度一定的摘要信息。该摘要与原始信息一一对应,即不同的原始信息必然得到一个不同的摘要。若信息的完整性遭到破坏,信息就无法通过原始摘要信息的验证,成为无效信息,信息接收者便可以选择不再信任该信息。
(2)数字签名。数字签名实际上是运用公私钥加密技术使信息具有不可抵赖性,其具体过程为:文件的发送方从文件中生成一个数字摘要,用自己的私钥对这个数字摘要进行加密,从而形成数字签名。这个被加密的数字签名文件作为附件和原始文件一起发送给接收者。接收方收到信息后就用发送方的公开密钥对摘要进行解密,如果解出了正确的摘要,即该摘要可以确认原始文件没有被更改过。那么说明这个信息确实为发送者发出的。于是实现了对原始文件的鉴别和不可抵赖性。
(3)数字时间戳。数字时间戳技术或DTS是对数字文件或交易信息进行日期签署的一项第三方服务。本质上数字时间戳技术与数字签名技术如出一辙。加盖数字时间戳后的信息不能进行伪造、篡改和抵赖,并为信息提供了可靠的时间信息以备查用。
五、小结
本文分析了目前电子商务领域所使用的安全技术:防火墙技术,数据加密技术,数字签名技术,以及安全协议,指出了它们使用范围及其优缺点。但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
[1]谢红燕:电子商务的安全问题及对策研究[J].哈尔滨商业大学学报(自然科学版),2007,(3):350-358
[2]彭禹皓兰波晓玲:电子商务的安全性探讨[J].集团经济研究,2007,(232):216-217
第4篇:网络交易安全范文
关键词:计算机 网络 安全 兴趣
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到前所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文将对计算机信息网络安全存在的问题进行深入剖析,并提出相应的安全防范措施。如何培养出创新人才是当今社会的新要求,也是教学研究的重要课题。
一、计算机网络是培养学生创新能力的关键
学生学习,要有正确的学习动力和浓厚的学习兴趣,这样学习有主动性和积极性,只有产生了兴趣,才会有动机,才能结出丰硕的成果,因此计算机网络课程具有灵活性、实践性、综合设计性较强的课程,在教学中进行教学设计,注重激发学生创新思维,以培养学生的创新能力。
二、计算机网络应注意哪些不安全因素
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面:
1.计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。在使用互联网时应注意以下几项不可靠的安全性。
(1))网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
(2)网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
(3)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。
2.操作系统存在的安全问题
操作系统是一个支撑软件,是计算机程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不可靠安全性,是计算机系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
(1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
第5篇:网络交易安全范文
关键词:安全协议;协议分析;协议设计;性能分析
0 引言
安全协议理论与技术是信息安全的基础和核心内容之一也是信息安全领域最复杂的研究和应用难题。安全协议融合了计算机网络和密码学两大应用。教学实践表明,计算机网络原理课程教学碰到的最大问题在于网络结构和协议的抽象性无法使学生彻底理解和掌握网络协议的工作流程;密码学课程的教学则容易陷入密码算法的理论学习而使学生无法体会密码技术的实际应用。因此,有效开展安全协议设计和分析的教学实践不仅可作为信息安全的入门基础,还可成为计算机网络和密码学课程内容相结合的深化教学。
1 安全协议的教学现状
近几年,信息安全作为一个计算机相关专业在国内兴起,对信息安全的产、学、研一体化发展起到较大推动作用,使我国的信息安全技术突飞猛进,取得了长足的发展。但是,由于信息安全是一个新兴的方向,专业基础课程的教学方面尚无太多的积累,还处于不断的摸索和改革之中。概括地讲,目前关于安全协议的教学存在如下几个问题:
(1)安全协议的教学定位不明确
当前,有关信息安全的教材层出不穷,普遍被认同的教学内容主要包括:密码学、密钥管理、访问控制、防火墙、入侵检测、信息安全模型与管理,以及信息安全相关法律等。安全协议渗透在密码学、密钥管理、访问控制等教学内容中,提出作为独立课程者甚少。纵使学生理解密码学基础知识,也难以系统掌握安全协议的原理与技术。
(2)缺乏通俗易懂的安全协议教材
目前为止,面向信息安全专业的安全协议教材仅出现过两本。一为中科院信息安全国家重点实验室撰写的《安全协议理论与技术》,全面介绍安全协议的形式化分析理论和方法;另一本为国内信息安全专家卿斯汉编著的《安全协议》,主要内容包含了作者多年来从事安全协议的研究成果。两本教材的共同点是内容相对集中在较高的学术研究水平上,主要围绕形式化理论分析技术,忽视了作为大学教材的通读性特点。因此,针对安全协议的设计和分析,尚无适合基础教学的教程。
(3)安全协议教学的实用性不强
众多高校开展安全协议相关内容教学,通常以详细介绍流行的安全协议实例为主,如讲解SSL、SET、PKI协议等原理和流程,尚未给出实现安全协议的工程方法及安全协议设计的要点等实践方法。这使学生停留在安全协议理论模型的认识上,无法掌握实现安全协议的相关技术。
因此,基于安全协议课程的重要性和教学现状,有必要寻求一种综合教学实践方法,倡导学生自主设计安全协议、灵活运用理论和工程相结合的方法分析安全协议,帮助学生快速掌握安全协议的基本原理与应用技术。
2 安全协议的综合教学实践方法
鉴于安全协议的设计和分析两个关键教学内容和目标的融合,综合教学和实践框架。型库。根据各个安全协议的标准设计,提炼和总结安全协议设计的一般方法,并作为设计规则归入安全协议设计方法集以传授给学生;同时,在标准协议的基础上,由教师简化协议模型,设计完成特定安全功能的安全协议需求,供安全协议设计时参考,并在此基础上构建安全协议自主设计命题库。
从自主设计题库中选取安全协议设计需求,在通用的安全协议设计方法指导下,学生开始自主设计安全协议。当然,有必要时需在安全协议设计之前开展相关的密码学预备知识讲解。
学生在完成安全协议的设计雏形后,开始学习运用各种形式化分析方法,如模态逻辑、代数系统等,对自己设计的安全协议进行安全性逻辑分析,找到安全不足之处,并反馈回协议设计阶段重新修改协议模型,直到在形式化分析工具的支持下,安全协议满足预定的安全需求时得到最终的协议设计框架。
针对自主设计的安全协议,进一步利用现有的密码开发工具包,包括开源的密码库如openssl、cryptlib等(或自主开发密码包),开发和实现已设计的安全协议,并在相应的网络环境中运行和测试安全协议。
安全性分析对安全协议至关重要,而协议执行的性能和稳定性分析在工程实践上是必要的。因此,学生需配套学习网络协议分析的方法,主要通过协议分析工具如著名的sniffer等,在安全协议的测试平台上对协议运行状态进行数据抓包分析,并运用基于网络原理的各种分析和统计方法,给出自主设计的安全协议执行性能分析报告。若安全协议在执行性能和稳定性方面无法满足现实的应用,则重新回到协议设计阶段修正安全协议设计。
通过安全协议设计和分析的综合实践过程,最终得到符合设计要求的安全协议集。鉴于教学积累考虑,可将自主设计的安全协议模型添加到安全协议自主设计命题库,以备后续教学实践。
3 综合教学方法的特点
(1)发挥学生的学习自觉性
以自主设计命题的形式引导学生学习安全协议的设计和分析技术,可充分调动学生的自主思维和相关知识的学习积极性。如安全协议的设计过程利于学生学习一般的协议设计方法;协议的分析过程帮助学生理解和掌握形式化分析技术;协议的测试和性能分析则培养学生利用密码技术开发安全协议的工程设计能力。
(2)支持学生的学习协作性
安全协议综合实践的过程既可指定学生单独完成,也可让学生分组合作,共同完成协议的设计和分析任务。如四个学生可分别担任协议设计、安全分析、实现和测试、性能分析四项工作,以此锻炼学生的自主研究和项目协作能力。
(3)知识点的综合和交叉
自主安全协议设计和分析过程包括标准模型简化、协议设计、形式化分析技术、密码库开发和调用技术,及网络协议分析等技术,可充分体现安全协议技术涵盖知识面的综合性,使学生全面认识信息安全的实施过程。
第6篇:网络交易安全范文
关键词:意识形态安全;网络;安全教育
随着网络信息技术的迅猛发展,网络空间已经成为一个与国家意识形态安全息息相关的特殊场域。根据相关调查数据显示,截止2020年3月,中国网民数量约为9.04亿,互联网的普及率达到了64.5%。庞大在中国的网民群体中,大学生已经成为主力军,成为网络空间环境中的最主要群体。数据显示,在9亿多网民中,按照年龄结构来看,20-29岁的人群占了21.5%;按职业结构来看,学生群体所占比例达到了26.9%。上述数据突显以下两个重要问题:一是网络空间意识形态安全已经成为国家安全必不可少的组成部分;二是大学生作为网络空间中的主体,一方面其价值观念的形成深受网络空间信息、观念等环境因素的影响;另一方面,大学生在网络空间中的言行举止,又对网络空间环境进行着重构。因此,对大学生进行网络意识形态安全教育一方面是加强国家安全教育的必然举措,另一方面也有利于充分发挥大学生的主观能动性,塑造一个有利于国家意识形态安全的网络空间环境。本文在分析网络意识形态安全内涵的基础上,针对当前高校网络意识形态安全教育当中存在的问题,提出相应的对策建议。
一、网络意识形态安全的内涵
清晰的概念界定是科学研究的前提和基础,要厘清网络意识形态安全的内涵,首先必须理解和把握“意识形态”和“意识形态安全”的本质。意识形态,从其本质来看,可以概括为是一种观念的集合。每一个社会群体由于其特定的历史文化特征以及特定的社会经济条件,会形成一套完整的对人与人之间、人与社会群体之间、人与自然之间的种种认识观念和价值观念,意识形态就可以看作是这种观念的集合。在政治领域和社会文化领域,意识形态有其特定的功能。具体而言,意识形态主要为一个国家的社会政治制度、秩序提供思想观念层面的合法性阐释和支持。正是意识形态所具有的这一重要作用和功能,使其成为国家安全的重要组成部分。自然禀赋、制度体系以及文化观念,是构成现代民族国家的三要素。文化观念从国家构成的角度来看,就是指意识形态。自然禀赋是国家的物质基础,制度体系为国家的正常运转提供了规则和秩序,而意识形态则是将一个国家不同群体粘合起来,形成关于统一国家认同的“黏合剂”。因此,意识形态安全,从宏观上来讲就是一个国家的社会群体对于国家、民族能够形成稳定的文化价值认同;从中观角度来讲就是对政党制度、发展道路等等制度、文化、法律等等具体观念、制度能够形成相对统一的认同;从微观角度来看,就是在面对具体境遇和观念冲击时,有相对稳定的立场和清醒的判断。意识形态因其往往涉及思想观念、价值的特性,其安全往往有着自身的脆弱性,极易受到外界舆论场域、观念和具体事件的冲击和威胁。随着互联网在社会各领域的延伸,人们客观上已经进入了一个虚拟网络空间和现实社会空间叠加的时代。在这样一个时代背景下,现实社会中的事件、观点和价值观念往往能够借助网络空间迅速传播、发酵,从而在网络空间形成一定的舆论场;同样的,网络空间当中形成的舆论场,因其所引起的巨大传播效应,又反过来对现实社会形成客观的积极或消极的影响。如上所述,特定价值观念通过网络,对现实社会生活中人们意识形态的形成和发展发挥着非常巨大的影响力。这就揭示了网络意识形态安全的内涵,即网络空间价值观念等构成的网络空间环境,不会对网络空间中和现实社会生活中的主体的主流意识形态价值观的形成和培养构成威胁;反之,则可以说网络意识形态处于不安全状态。
二、当前高校网络意识形态安全教育存在的问题
一方面,进入大学阶段学习的大学生,因其年龄特点和知识层次特点,在摆脱中学阶段应试教育导向下的填鸭式知识学习阶段后,进入到了一个知识的自由探索阶段。通过对日常生活的观察,体验,理论知识的学习,以及网络世界的遨游,在此过程中,思想教育是否发挥了实效,个体自身科学理性思维是否形成等因素,决定了大学生认知自己、他人、社会以及国家的认知结构和特点,也决定了大学生以什么样的价值观念去认知发生在自己身边和所处社会空间中的事情。另一方面,接受了高等教育的大学生群体,在整个社会结构当中,属于拥有高级知识和技能的特殊群体,从社会经济发展层面来看,其掌握的知识和技能对整个社会的发展具有举足轻重的作用,也是社会发展的核心骨干力量之一;从社会进步角度来看,拥有相对较高素质的大学生群体,其所展现出的价值观、理想信念等,在推动社会文化价值观念进步方面都有着重要的作用;从社会主义事业的历史发展来看,大学生群体所形成的意识形态结构特点,则关系着我们事业的成败。正是基于上述两点,高校思想政治教育工作的重中之重就是对学生进行意识形态安全教育,具体来说,就是培养学生对中国特色社会主义的道路自信、理论自信、制度自信和文化自信。长期以来,高校思政教育课通过教育理念改革、教学方法改革、考核方式改革等多种多样的方式,力图强化学生对当前中国特色社会主义事业的总体认同感,也取得了令人瞩目的成效。但随着网络信息技术的快速发展,以及大学生成为网络空间主体这一客观事实,大学生已不再是过去被关在象牙塔中“两耳不闻窗外事,一心只读圣贤书”的群体,而是与校园围墙之外的社会时刻发生联系,积极参与社会事务的讨论,甚至是治理的年轻群体。与已经发生巨大现实变化相比,高校意识形态安全教育已经出现诸多局限性,影响着高校意识形态教育的实效性。具体表现为以下几个方面:第一,忽视网络空间意识形态安全教育。当前高校对学生的意识形态安全教育仍然主要通过思政课程来完成,即主要通过课堂思政理论课的教学来培养学生主流意识形态价值观念的形成。然而,课堂教育有其难以逾越的局限性,如课堂教学时间总是有限的,即使一趟课达到了非常理想的教学效果。但在离开课堂后,学生更多是被网络空间中的世界所包围。极有可能发生的是,刚刚在课堂上初步构建起的主流意识形态,转眼就会被网络空间中的热点事件以及围绕这一事件所形成的舆论场结构。从当前国内大多数高校意识形态教育的模式来看,只有极少数注意到了网络空间意识形态教育的重要性。第二,缺乏网络空间意识形态安全教育的措施、手段。随着网络空间对大学生群体思想价值观念的形成所发挥的作用和影响越来越大,越来越多的高校开始重视对大学生的网络空间意识形态安全教育的重要性。但通过什么样的方式和手段,才能在网络空间达到相对良好的意识形态安全教育效果,绝大多数的高校并没有清晰的认知。第三,对学生安全意识教育相对滞后。网络时代,各种各样的信息充斥网络空间的各个角落,成为网络空间环境的一部分。在这其中,不乏大量的谣言、抱有特定目的的价值观宣传以及网络营销宣传等,涉世不深的人生阶段特征以及信息的不对称,使身处网络包围中的大学生难以辨别信息真假,很容易受到错误的引导。这就需要高校加强对学生的网络安全意识教育。但在实践当中,受限于诸多主观、客观因素,高校此方面工作的开展和实效都难以尽如人意。
第7篇:网络交易安全范文
[关键词]应用视角;计算机;网络安全;技术创新
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2017)04-0123-01
1 当前我国计算机网络安全隐患分析
1.1 计算机病毒
在利用计算机进行学习和工作的过程中,经常出现对计算机运行造成干扰的程序,这些程序就是计算机病毒,对计算机的正常使用会造成比较大的影响。一般情况下,计算机病毒具有较大的破坏性以及传染性,会使得计算机中的其他程序也受到影响,从而使其在原本的破坏程度上持续增大,计算机病毒还具有一定的潜伏性,它的潜伏时间一般比较长,在计算机中的程序出现一定的故障之后,病毒就会爆发出来。当前,我国计算机网络技术中存在的病毒主要有木马病毒、脚本病毒、蠕虫病毒以及间谍病毒。从一定程度上来说,木马病毒具有诱骗性,它能够在用户疏于防范的情况下,通过用户自身的操作窃取相关的私人信息。脚本病毒是通过网页脚本对计算机进行攻击的一种病毒,它主要是利用用户打开的网页进行漏洞攻击,从而对计算机的程序进行控制,达到攻击计算机网络终端的目的。间谍病毒顾名思义存在一定程度的间谍的性质,它能够对用户点开的链接和网页进行挟持,使得用户在自行操作的时候不能控制整个系统,从而使得病毒进行扩散,增加网页链接的点击量。计算机病毒的扩散范围越来越广,对网络用户的计算机体验和网络安全都存在较大的威胁。
1.2 操作系统的问题
操作系统在计算机网络技术中是非常重要的,只有保证操作系统的稳定性才能使得计算机能够正常运行。在计算机的操作系统运行的过程中,经常会出现需要更新的项目,而这些项目的扩展性比较强,虽然能够在短时间内对计算机的功能进行改进,但是经过长时间的计算机使用之后,就会给操作系统带来比较大的安全隐患,从而使得计算机在运行过程中出现问题。
1.3 黑客攻击
目前,我国计算机网络技术的增强虽然能够给用户提供更好的服务,但同时黑客又能利用高技术对计算机网络系统进行破坏。一般来说,黑客攻击技术主要可以分为一下几种:第一是利用性攻击,黑客能够利用计算机网络中的病毒控制网络系统,然后对用户的电脑终端进行攻击,使其不能够自主运作。第二,是利用虚假信息对计算机进行攻击,黑客可以侵入计算机系统,给用户发送代用病毒等虚假信息,待用户将信息点开,病毒就会暴露出来并且会大规模地扩散。第三是拒绝服务式攻击,黑客能够在用户进行计算机操作的过程中,利用大数据流量使得计算机系统不受控制地点开一些无用并且会耗费大量网络流量的网址和链接,从而使得计算机在承受能力不足的情况下产生网络系统瘫患。
2 我国计算机网络信息安全科技发展现状
2.1 信息安全形势比较严峻
虽然我国建立了相关的网络信息安全部门,并且部门中的管理人员比较多,但是这并不能从实质上解决当前的计算机网络安全问题。在计算机网络的应用过程中,对技术的的需求是比较迫切的,但是当前我国的信息安全形势还是比较严峻的,在这种形势下,国家网络信息安全领导小组要率领相关部门发挥一定的作用,加强对网络系统的监督管理力度,从而加强网络安全信息技术的应用。在信息网络技术如此严峻的情形下,技术的创新对信息安全是有一定的作用的,但是同时随着新技术的开发与应用,其中存在的技术问题也是会对计算机产生影响的。
2.2 计算机信息安全技术和创新取得重要突破
近年来,在科学技术不断进步的情况下,我国信息安全技术取得了较大的突破,同时信息技术的创新也在不断的进行,并且取得了一定的成果。国家信息化领导小组在对计算机网络技术和系统进行监督管理的过程中践行了国家科学技术发展纲要,并且对国家信息化发展战略也有了一定程度的实施。在进行计算机网络技g的应用过程中,也遵循了相关的信息安全产业规划和措施,使得计算机网络信息安全得到了一定的保障。
3 计算机网络安全技术创新保障
3.1 网络建设基础建设促进经营管理信息化
在利用计算机网络技术进行办公的过程中,需要保障单位全员个人信息的安全,这样才能保证企业内部发展的可靠性。因此,就需要建设网络建设基础,使得信息和数据的安全性能得到有效的保障。另外,体育人才资源数据以及赛事数据都是可以通过网络建设基础建设进行实时传递的。在之前的事业单位中,经常会有员工在不经意间浏览一些不安全的网页,导致员工的个人信息甚至单位和企业的经营状况和财务数据等信息遭到泄露,给企业的经营发展带来了较大的损失。
3.2 计算机网络信息安全能力
对于计算机网络技术来说,要保障其技术的创新,就需要保证最基础的计算机网络信息安全能力。计算机网络信息的安全能力对国家信息安全也有着重要的作用,在当前形势下,要加强计算机网络技术的安全就需要建立针对性较强的网络信息安全筹划系统,加强国家相关部门的投入,从而使得我国的计算机网络技术安全性能得到保障。在进行技术创新的过程中,首先要对网络信息安全防御技术进行研究和开发,建立相关的网络信息安全平台,并且针对国家的相关要求对信息技术的使用进行有效的监督和管理。在进行技术创新的过程中,要对计算机网络信息安全能力记性检测,并且在现有的基础上进行技术安全提升。
3.3 加强信息保障保密技术的研究和开发
计算机网络系统的安全性能是保证信息的保密性的有效保障,也是进行计算机网络技术创新的基础。当前,我国在信息管控以及信息交换的管理过程中都有相应的技术作为基础的保障,但是就目前的技术来说,还是不能提供有效的保障的。相关的管理部门在进行技术的创新时,首先要加强对信息保障保密技术的研究和开发,国家要培育一批有竞争力的信息安全产业,并且对基础软件产品提供信息技术保障,从而加快计算机网络技术的创新步伐。
4 计算机网络安全技术创新与应用
4.1 计算机网络安全技术的应用
在应用视角下,要加强计算机网络安全技术的应用就需要从根本出发,首先要建立完善的网络管理平台。相关的网络管理部门要派专业地管理人员对网络系统进行严格的管理,保证计算机网络安全技术的有效应用。在对计算机进行应用的过程中要采用安全级别较高的计算机操作系统,这样能够加强计算机网络安全系统在应用过程中的安全性能,从而增强计算机网络的保密性能。为了保障计算机网络系统在应用过程中不会出现过多的漏洞,就需要对系统的部分功能进行限制,使得病毒和黑客不会利用系统漏洞侵入计算机内部,从而加强其应用性能。
4.2 计算机网络安全技术的创新
计算机网络安全技术的创新是持续不断的,人们在应用计算机的过程中就会经常性的对系统进行修缮,这种行为算得上是技术创新的一种,但是相对来说属于比较基础的类型。总的来说,对计算机网络技术进行创新要建立在完整的计算机网络结构上,然后才能够利用新技术在原有的基础上对其进行改进,从而达到计算机网络系统的创新。
5 结语
综上所述,在当代社会的发展过程中,计算机网络技术的发展是迅速的。在对计算机进行应用的过程中,需要针对现有的病毒、黑客以及系统本身的问题进行改进,只有将计算机网络系统中存在的问题进行较好的解决,才能保证其在应用过程中的有效性,然后进行技术创新,从而提升我国的计算机网络系统的安全性。
第8篇:网络交易安全范文
[关键词] 电子商务 信息安全 网络安全 交易安全 技术保障
电子商务是利用互联网络进行的商务活动。电子商务有多种定义,但内涵大致相同,即电子商务是利用电子数据交换、电子邮件、电子资金转账等方式及互联网的主要技术在个人、企业和国家之间进行的网上广告及交易活动,内容包括商品及其订购信息、资金及其支付信息、安全及其认证信息等方面。信息安全是指利用网络管理控制和技术措施,防止网络本身及网上传输的信息财产被故意的或偶然的非授权泄漏、更改、破坏,或使网上传输的信息被非法系统辨认、控制。电子商务信息安全的具体表现有:窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。随着互联网的快速扩张和电子商务的迅猛发展,电子商务系统的安全性已受到计算机病毒、网络黑客、计算机系统自身防御性脆弱等方面的严峻挑战。
一、我国电子商务发展及其信息安全现状
我国电子商务始于20上世纪90年代,政府主导相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐。目前,我国电子商务的广度和深度空前扩展,已经深入国民经济和日常生活的各个方面。艾瑞市场咨询公司最新的调查数据显示:截至2006年底,中国网络购物市场总用户数达到 4310万人,B2C和C2C总交易额分别为82亿元和230亿元。然而,据中国互联网络信息中心(CNNIC)的一份最新调研显示,只有约15%的网民平时有网上购物的习惯,而不选择网络购物的原因主要由于对网站不信任、怕受骗,担心商品质量问题和售后服务,质疑其安全性等。
电子商务自从诞生之日起,安全问题就像幽灵一样如影随形而至,成为制约其进一步发展的重要瓶颈。电子商务系统的安全是与计算机安全尤其是计算机网络安全密切相关的,综合当前电子商务所面临的网络安全现状不容乐观。公安部公布了2006 年全国信息网络安全调查结果,结果显示,半数以上的被调查单位发生过信息网络安全事件,病毒或木马程序感染率达84%,目前,全国已有8成左右的单位安装了防火墙和病毒查杀系统。对数据统计分析,2005年5月至2006年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
二、电子商务安全威胁的主要方面
电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,从整体而言,电子商务安全有计算机网络安全和商务交易安全两个方面。计算机网络安全是商务交易安全的基础;商务交易安全是电子商务安全的主要内容。
计算机网络安全的内容主要包括:计算机网络设备安全、计算机网络系统安全。网络设备安全是指保护计算机主机硬件和物理线路的安全, 保证其自身的可靠性和为系统提供基本安全前提;设备安全风险来自硬件器件与部件失效、老化、损害,自然雷击、静电、电磁场干扰等多方面,有人为因素还有自然灾害所引起的故障。例如,2006年12月26日,我国台湾附近海域发生强烈地震,造成中美海缆等6条国际海底通信光缆发生中断,使附近国家和地区的国际和地区性通信受到严重影响,给有关企业和个人造成巨大影响和严重经济损失。网络系统安全是指保护用户计算机、网络服务器等网络资源上的软件系统能正常工作,网络通信及其网络操作能安全、正常完成。网络系统安全风险来自系统的结构设计缺陷、网络安全配置缺陷、系统存在的安全漏洞、恶意的网络攻击和病毒侵入等多方面。网络系统安全是计算机网络安全的主要方面。计算机网络安全的特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全是指商务活动在公开网络上进行时的安全,其实质是在计算机网络安全的基础上,保障商务过程顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性,核心内容是电子商务信息的安全。一般情况下,我们可以把电子商务安全归结为电子商务信息的安全。目前,电子商务主要存在的安全威胁有:
1.身份仿冒
攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。主要表现有:冒充他人身份、冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户、使用欺诈邮件和虚假网页设计设骗。近年来随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒已经成为电子商务应用的主要威胁之一。
2.未经授权的访问
未经授权而不能接入系统的人通过一定手段对认证性进行攻击, 假冒合法人接入系统,实现对文件进行篡改、窃取机密信息、非法使用资源等。一般采取伪 装或利用系统的薄弱环节(如绕过检测控制)、收集情报(如口令)等方式实现。
3.服务拒绝
攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯,扰乱正常的资讯通道。包括:虚开网站和商店、伪造用户,对特定计算机大规模访问等,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应。
4.恶意程序侵入
任何系统都可能是有漏洞的,漏洞的存在给恶意程序侵入提供了可乘之机。恶意程序是所有含有特殊目的、非法进入计算机系统、并待机运行,能给系统或者网络带来严重干扰和破坏的程序的总称。一般可以分为独立运行类(细菌和蠕虫)和需要宿主类(病毒和特洛依木马)。恶意程序是网络安全的重要天敌,具有防不胜防的重大破坏性。例如:网络蠕虫是一种可以不断复制自己并在网络中传播的程序,蠕虫的不断蜕变并在网络上的传播,可能导致网络阻塞,致使网络瘫痪,使各种基于网络的电子商务等应用系统失效。
5.交易抵赖和修改
有些用户企图对自己在网络上发出的有效交易信息刻意抵赖,安全的电子商务系统应该有措施避免交易抵赖。为保证交易双方的商业利益、维护交易的严肃和公正,电子商务的交易文件也应该是不可修改的。
6.其他安全威胁
电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题:网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。
三、电子商务安全的技术保障机制
电子商务安全包括网络安全和交易安全。因此,电子商务安全技术主要有计算机网络安全技术和商务交易安全技术两方面的保障机制。
1.计算机网络安全技术
网络安全技术伴随着网络的诞生就出现,如今已出现了日新月异的变化。VPN安全隧道、防火墙和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。目前,主要的网络安全保障技术有:
(1)VPN安全隧道,VPN即虚拟专用网(Virtual Private Network),是一条穿过混乱的公用网络的安全、稳定的隧道。 VPN架构中采用了多种安全机制,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
(2)防火墙技术,防火墙是企业内部网络和外网之间的一套安全屏障。防火墙能根据企业的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
(3)病毒防护和入侵检测技术, 病毒防护技术可降低病毒和恶意代码攻击风险,并防止有害软件通过服务器或网络执行和传播。入侵检测系统则能够帮助网络系统快速发现攻击的发生,扩展系统管理员的安全管理能力,从而提高信息安全基础结构的完整性。
2.商务交易安全技术
商务交易安全是为了实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。它是电子商务交易过程中最核心和最关键的安全问题。目前,主要的商务交易安全保障技术有:
(1)数据加密技术, 加密一般是利用密码算法把可懂的信息变成不可懂的信息。利用各种复杂的加密算法,通过对网络中传输的信息进行数据加密,用很小的代价即可为信息提供相当大的安全保护。
(2)数字签名技术,数字签名是通过密码算法对数据进行加、解密变换实现的。应用广泛的数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。这三种算法可单独使用,也可综合在一起使用。在电子商务安全服务中的源鉴别、完整、不可否认服务中,都要用到数字签名技术。
(3)安全协议技术,使用SET和SSI等安全协议能有效地保障交易安全。SET即安全电子交易(Secure Electronic Transaction)的简称,SET 提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,已成为目前公认的信用卡/借记卡的网上交易的国际安全标准。SSL即安全套接层(Secure Sockets Layer)协议的简称,主要用于提高应用程序之间数据的安全系数。
四、结束语
电子商务的安全威胁既有来自恶意攻击、防范疏漏,还可能来自管理松散、操作疏忽等方面。因此,保障电子商务安全是一项综合工程。除了主要从技术上提高防范和保障机制外,还需要单位完善网络系统管理体制,人员加强信息安全意识。另外,电子商务实践要求有透明、和谐的交易秩序和环境保障,为此还需要政府建立和完善相应的法律体系。
参考文献:
[1]王云峰:信息安全技术及策略 [J].广东广播电视大学学报,2006,(1):101-104
[2]殷凤琴赵喜清王新钢:我国电子商务安全问题的表现来源和对策[J].商场现代化,2007年6月(上旬刊)总第505期:90-91
[3]刘明珍:电子商务中的信息安全技术[J].湖南人文科技学院学报,2006,(6):89-93
[4]肖质红:电子商务的安全问题和系统建设[J].集团经济研究,2006年9下旬刊(总第207期):250
第9篇:网络交易安全范文
[摘要]Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心和关键问题。
[关键词]电子商务安全网络安全商务安全
2003年对中国来说是个多事之秋,先是SARS肆虐后接高温威胁。但对电子商务来说,却未必不是好事:更多的企业、个人及其他各种组织,甚至包括政府都在积极地推动电子商务的发展,越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动,现在主要是指在Internet上完成的电子商务。
Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全性始终是电子商务的核心和关键问题。
电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
一、网络安全问题
一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。
二、计算机网络安全体系
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。
对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。
互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来的几年中成为重点,如身份认证,授权检查,数据安全,通信安全等将对电子商务安全产生决定性影响。
三、商务安全要求
作为一个成功的电子商务系统,首先要消除客户对交易过程中安全问题的担心才能够吸引用户通过WEB购买产品和服务。使用者担心在网络上传输的信用卡及个人资料被截取,或者是不幸遇到“黑店”,信用卡资料被不正当运用;而特约商店也担心收到的是被盗用的信用卡号码,或是交易不认账,还有可能因网络不稳定或是应用软件设计不良导致被黑客侵入所引发的损失。由于在消费者、特约商店甚至与金融单位之间,权责关系还未彻底理清,以及每一家电子商场或商店的支付系统所使用的安全控管都不尽相同,于是造成使用者有无所适从的感觉,因担忧而犹豫不前。因些,电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点。
用户对于安全的需求主要包括以下几下方面:
1.信息的保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户被人知悉,就可能被盗用;定货和付款信息被竞争对手获悉,就可能丧失商机。因此在电子商务中的信息一般都有加密的要求。
2.交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。因此,要使交易能够成功,首先要想办法确认对方的身份。对商家而言,要考虑客户端是否是骗子,而客户也会担心网上的商店是否是黑店。因此,能方便而可靠地确认对方身份是交易的前提。
3.交易的不可否认性。交易一旦达成,是不能被否认的,否则必然会损害一方的利益。因此电子交易过程中通信的各个环节都必须是不可否认的。主要包括:源点不可否认:信息发送者事后无法否认其发送了信息。接收不可否认:信息接收方无法否认其收到了信息。回执不可否认:发送责任回执的各个环节均无法推脱其应负的责任。
4.交易内容的完整性。交易的文件是不可以被修改的,否则必然会损害交易的严肃性和公平性。
5.访问控制。不同访问用户在一个交易系统中的身份和职能是不同的,任何合法用户只能访问系统中授权和指定的资源,非法用户将拒绝访问系统资源。
四、电子商务安全交易标准
近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。主要的协议标准有:
1.安全超文本传输协议(S—HTTP):依靠对密钥的加密,保障Web站点间的交易信息传输的安全性。
2.安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE浏览器,以完成需要的安全交易操作。
3.安全交易技术协议(STT,SecureTransactionTechnology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在InternetExplorer中采用这一技术。
4.安全电子交易协议(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET2.0预计今年,它增加了一些附加的交易要求。这个版本是向后兼容的,符合SET1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。
所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。
五、商务安全的关键CA认证
怎样解决电子商务安全问题呢?国际通行的做法是采用CA安全认证系统。CA是CertificateAuthority的缩写,是证书授权的意思。在电子商务系统中,所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门:一是审核授权部门,它负责对证书申请者进行资格审查,决定是否同意给该申请者发放证书,并承担因审核错误引起的一切后果,因此它应由能够承担这些责任的机构担任;另一个是证书操作部门,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。
CA体系主要解决几大问题:
1.解决网络身份证的认证以保证交易各方身份是真实的;
2.解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改;
3.解决交易的不可抵赖性以保证对方在网上说的话是真实的。
需要注意的是,CA认证中心并不是安全机构,而是一个发放”身份证”的机构,相当于身份的”公证处”。因此,企业开展电子商务不仅要依托于CA认证机构,还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。好的IT厂商,会让用户在部署安全策略时少走许多弯路。在选择外援时,用户为了节省成本,避免损失,应该把握几个基本原则:
1.要知道自己究竟需要什么;
2.要了解厂商的信誉;
3.要了解厂商推荐的安全产品;
4.用户要有一双”火眼金睛”,对项目的实施效果能够正确加以评估。有了这些基本的安全思路,用户可以少走许多弯路。
六、相应法律法规
电子商务要健康有序地发展,就像传统商务一样,也必须有相应的法律法规作后盾。商务过程中不可避免地会产生一些矛盾,电子商务也一样。在电子商务中,合同的意义和作用没有发生改变,但其形式却发生了极大的变化,
1.订立合同的双方或多方是互不见面的。所有的买方和卖方在虚拟市场上运作,其信用依靠密码的辨认或认证机构的认证。
2.传统合同的口头形式在贸易上常常表现为店堂交易,并将商家所开具的发票作为合同的依据。而在电子商务中标的额较小、关系简单的交易没有具体的合同形式,表现为直接通过网络订购、付款,例如利用网络直接购买软件。
3.表示合同生效的传统签字盖章方式被数字签名所代替。
电子商务合同形式的变化,对于世界各国都带来了一系列法律新问题。电子商务作为一种新的贸易形式,与现存的合同法发生矛盾是非常容易理解的事情。但对于法律法规来说,就有一个怎样修改并发展现存合同法,以适应新的贸易形式的问题。
七、小结
在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下特点:强大的加密保证;使用者和数据的识别和鉴别;存储和加密数据的保密;连网交易和支付的可靠;方便的密钥管理;数据的完整、防止抵赖。电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
参考文献:
[1]《电子商务基础》尚建成主编高等教育出版社出版2000.9
