電子商務(wù)網(wǎng)絡(luò)安全

電子商務(wù)網(wǎng)絡(luò)安全

電子商務(wù)網(wǎng)絡(luò)安全面臨的威脅

黑客攻擊

網(wǎng)絡(luò)中總是存在各種安全漏洞,因此黑客的攻擊行為是威脅電子商務(wù)安全的一大隱患。黑客攻擊網(wǎng)絡(luò)的目的通常是擾亂系統(tǒng)正常運(yùn)行或者竊取重要的商業(yè)機(jī)密,其慣用的攻擊手段為:竊聽,即黑客通過截獲通訊信道上的重要數(shù)據(jù)并破譯來達(dá)到竊取用戶機(jī)密的目的;重發(fā)攻擊,黑客為達(dá)到影響系統(tǒng)正常運(yùn)行的目的,而將竊聽得到的數(shù)據(jù)經(jīng)過篡改之后重新發(fā)回服務(wù)器或者數(shù)據(jù)庫用戶;迂回攻擊,黑客掌握電子商務(wù)數(shù)據(jù)庫系統(tǒng)的安全漏洞之后,繞過數(shù)據(jù)庫系統(tǒng)而直接訪問機(jī)密數(shù)據(jù);假冒攻擊,黑客先是采取發(fā)送大量無意義的報文而堵塞服務(wù)器和客戶終端的通訊端口以后,再通過假冒該客戶或者該服務(wù)器的方法來非法操作數(shù)據(jù)庫系統(tǒng);越權(quán)攻擊,黑客屬于一個合法用戶,但是其通過某種手段使自己去訪問沒有得到授權(quán)的數(shù)據(jù)。

系統(tǒng)漏洞

電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)入侵者能夠根據(jù)系統(tǒng)本身的安全漏洞得到系統(tǒng)的數(shù)據(jù)操作權(quán)限。而漏洞產(chǎn)生的原因往往是管理系統(tǒng)沒有及時打補(bǔ)丁或者在安全方面的設(shè)置中總是選擇默認(rèn)設(shè)置。此外,如果由于安全檢查措施級別太低,或者審核機(jī)制應(yīng)用不當(dāng)、軟件存在的風(fēng)險以及管理風(fēng)險等,都會使系統(tǒng)形成安全漏洞,從而給破壞者以入侵的機(jī)會。

電子商務(wù)網(wǎng)絡(luò)安全的解決方案

電子商務(wù)安全協(xié)議

安全協(xié)議的確立和完善是安全系統(tǒng)走上規(guī)范化、標(biāo)準(zhǔn)化道路的基本因素。一個較為完善的電子商務(wù)系統(tǒng),應(yīng)該滿足電子商務(wù)的安全需求,實現(xiàn)加密機(jī)制、驗證機(jī)制和保護(hù)機(jī)制等功能。目前,已開發(fā)和應(yīng)用的協(xié)議有:IPv6、安全套接層協(xié)議、安全HTTP協(xié)議和安全電子交易協(xié)議等。本部分著重論述其中安全電子交易協(xié)議的具體實現(xiàn)機(jī)制。

安全電子交易協(xié)議簡稱SET,是一種基于信息流的安全協(xié)議,其目的是保證用戶、商家和銀行之間在開放的網(wǎng)絡(luò)環(huán)境之下進(jìn)行安全可靠的信用卡交易。它的出現(xiàn),使從前只能在銀行之間進(jìn)行的電子貨幣交易行為范圍擴(kuò)展到了普通用戶的個人電腦領(lǐng)域。SET的技術(shù)核心是認(rèn)證與加密,包括公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。以加密技術(shù)為核心,結(jié)合其他技術(shù)體制,滿足用戶在電子商務(wù)交易中的保密性、完整性和不可抵賴性等安全需求。基于SET安全協(xié)議的網(wǎng)絡(luò)電子商務(wù)交易流程,幾乎完全等同于現(xiàn)實物理世界的交易過程,唯一的不同點是交易發(fā)生環(huán)境為因特網(wǎng)。

SET的主要安全措施為:

電子數(shù)字簽名技術(shù)。這種方式結(jié)合了私鑰和公鑰體制,采用安全性高、管理方便的RSA算法,交易數(shù)據(jù)的發(fā)出者先將數(shù)據(jù)用私鑰加密,而數(shù)據(jù)抵達(dá)接收方后,用發(fā)送者的公鑰對數(shù)據(jù)進(jìn)行解密還原。一個私鑰嚴(yán)格關(guān)聯(lián)著一個公鑰,因此,數(shù)據(jù)發(fā)出者的信息只能被相應(yīng)的接收者收到。這種方式的發(fā)送方無法抵賴自己曾經(jīng)發(fā)出過的交易數(shù)據(jù)信息。

電子信封技術(shù)。交易信息數(shù)據(jù)的發(fā)出者將所發(fā)的信息用DES加密,然后再使用接收者的公鑰把DES的對稱密鑰加密,這個過程叫做給信息加了電子數(shù)字信封。隨后,交易信息的發(fā)出者將DES加密交易數(shù)據(jù)和電子信封本身一起發(fā)給交易數(shù)據(jù)的信息接收者。對方收到這些數(shù)據(jù)之后,用其自己的公鑰打開電子信封,還原出發(fā)送者的DES對稱密鑰,接著用這個對稱密鑰去還原交易數(shù)據(jù)。這就確保了只有用交易信息接收者的密鑰才可以查看電子信封,因此接收者的身份就可以確定。

SET協(xié)議的目標(biāo)是解決交易環(huán)節(jié)中各個參與者之間使用信用卡支付的安全問題。它應(yīng)用于電子交易環(huán)節(jié),可以有效地保證商務(wù)數(shù)據(jù)的保密性、一致性、完整性和不可抵賴性。

電子商務(wù)安全技術(shù)

電子商務(wù)安全技術(shù)包括備份技術(shù)、密碼技術(shù)、認(rèn)證技術(shù)以及訪問控制技術(shù)等。

1.備份技術(shù)。所謂數(shù)據(jù)庫備份與恢復(fù)方案,目的是在數(shù)據(jù)庫系統(tǒng)故障并且短時間內(nèi)難以恢復(fù)時,用存儲在備份介質(zhì)中的數(shù)據(jù)將數(shù)據(jù)庫還原到備份時的狀態(tài)。數(shù)據(jù)備份根據(jù)數(shù)據(jù)庫管理系統(tǒng)類型的不同,有多種備份實施計劃。比如對SQLServer而言,有數(shù)據(jù)庫備份、事務(wù)日志備份、增量備份和文件及文件組備份。電子商務(wù)信息系統(tǒng)的數(shù)據(jù)庫管理系統(tǒng)中必須建立詳細(xì)的備份與恢復(fù)策略?？梢园央娮由虅?wù)數(shù)據(jù)庫的故障或障礙分為以下三類:系統(tǒng)故障、事務(wù)故障以及介質(zhì)故障。當(dāng)發(fā)生某種類型的故障時,為了把企業(yè)的損失減少到最低,必須在最短的時間內(nèi)恢復(fù)數(shù)據(jù),因此,根據(jù)企業(yè)的實際情況和數(shù)據(jù)類型與特點,制定出一套合理而經(jīng)濟(jì)的備份和恢復(fù)策略是必要的。

2.認(rèn)證技術(shù)。認(rèn)證技術(shù)可以阻止不擁有系統(tǒng)授權(quán)的用戶非法破壞敏感機(jī)密的數(shù)據(jù),是數(shù)據(jù)庫管理系統(tǒng)為防止各種假冒攻擊安全策略?？诹畹淖R別是數(shù)據(jù)庫管理系統(tǒng)進(jìn)行身份認(rèn)證的一種方式,每個具體用戶都被系統(tǒng)事先分配一個固定的用戶名與密碼,電子商務(wù)系統(tǒng)的許多數(shù)據(jù)具有開放性特征,因此必須對每個訪問系統(tǒng)的用戶的身份進(jìn)行認(rèn)證。在用戶對敏感關(guān)鍵的數(shù)據(jù)進(jìn)行存取時,必須在客戶與數(shù)據(jù)庫管理系統(tǒng)之間進(jìn)行身份認(rèn)證。

3.訪問控制技術(shù)。訪問控制方案有三種,分別叫做自主存取控制、強(qiáng)制存取控制和基于角色的存取控制。當(dāng)用戶對數(shù)據(jù)庫進(jìn)行訪問時,系統(tǒng)會根據(jù)用戶的級別與權(quán)限來判定此操作是允許的或者禁止的,從而達(dá)到保護(hù)敏感數(shù)據(jù)不被泄露或者篡改的目的。在數(shù)據(jù)庫管理系統(tǒng)中,不同的用戶擁有不同的權(quán)限。因此必須保證某個用戶只能訪問或者存取與自己權(quán)限相應(yīng)的數(shù)據(jù)范圍。用戶所擁有的權(quán)限包括兩方面的內(nèi)容:一是用戶可以訪問數(shù)據(jù)庫中什么樣的數(shù)據(jù)對象,二是用戶可以對這些數(shù)據(jù)對象進(jìn)行什么樣的操作。

4.審計技術(shù)。這種有效機(jī)制可以在最大程度上保證數(shù)據(jù)庫管理系統(tǒng)的信息安全。有兩種審計方式:用戶審計和系統(tǒng)審計。用戶啟用審計功能將在數(shù)據(jù)字典中記錄每個用戶操作數(shù)據(jù)庫的全部細(xì)節(jié),包括用戶名稱,操作類型等等;而系統(tǒng)審計則由DBA來進(jìn)行。審計技術(shù)是數(shù)據(jù)庫管理系統(tǒng)對相關(guān)用戶的所有操作過程進(jìn)行監(jiān)視的一種安全方案,該安全方案的具體做法是在審計日志記錄中存放各用戶對數(shù)據(jù)庫施加的動作,包括用戶的修改、查詢和刪除等操作。

5.加密技術(shù)。數(shù)據(jù)庫管理系統(tǒng)的加密以字段為最小單位進(jìn)行,加密和解密通常是通過對稱密碼機(jī)制的密鑰來實現(xiàn)。數(shù)據(jù)加密時,數(shù)據(jù)庫管理系統(tǒng)把明文數(shù)據(jù)經(jīng)過密鑰轉(zhuǎn)換為密文數(shù)據(jù),數(shù)據(jù)庫中數(shù)據(jù)的存儲狀態(tài)都是密文數(shù)據(jù),而在得到權(quán)限的用戶查詢時,再將密文數(shù)據(jù)取出并解密,從而恢復(fù)明文數(shù)據(jù)。使數(shù)據(jù)庫的安全性得到進(jìn)一步提升。電子商務(wù)系統(tǒng)中的一些商業(yè)機(jī)密數(shù)據(jù)是不允許普通用戶進(jìn)行隨意訪問的。加密方案的目的是控制以上這些機(jī)密數(shù)據(jù)只能被得到相應(yīng)授權(quán)的特定人群所訪問和存取。

結(jié)論

電子商務(wù)的安全是信息安全中的一個重要部分。作為一個內(nèi)涵和外延都是很有廣度與深度的課題,涉及技術(shù)、管理等諸多層次,任何信息安全技術(shù)不是萬能的,因此,為使電子商務(wù)能更好地服務(wù)于社會,需要技術(shù)與管理人員不斷深入解決面臨的實際問題。

隨著信息技術(shù)的發(fā)展,電子商務(wù)成為當(dāng)今商務(wù)活動的新模式。許多企業(yè)開始通過英特網(wǎng)進(jìn)行商務(wù)活動,電子商務(wù)也具有了廣闊的發(fā)展前景,但是與此同時,其安全問題也變得日益突出。目前,網(wǎng)上金融服務(wù)面臨著和很多普通互聯(lián)網(wǎng)服務(wù)相同的安全威脅,如信息****、解密、****賬號、拒絕服務(wù)等。利用一些思維方法和相關(guān)技術(shù)建立一個安全的電子商務(wù)使用環(huán)境,對商務(wù)