网络交易安全篇1
金属交易通过网络平台进行,当网络受到攻击时,容易导致数据丢失和资产流失,提出一种基于攻击检测的金属交易网络安全防御模型。首先分析了金属交易网络安全防御机制,进行网络攻击的数据信息特征提取,通过时频分析方法进行攻击检测,实现网络安全防御和主动检测。仿真结果表明,采用该模型进行网络攻击检测,对病毒和攻击数据的准确检测概率较高,虚警概率较低,提高了网络安全性能。
关键词:
网络安全;攻击检测;时频分析
随着网络技术在金属交易平台中的应用,许多交易处理都是通过网络平台实施,对金属交易网络平台的安全评估和安全防御成为保障交易双方和用户的信息和资源安全的重要保障。网络攻击者通过窃取金属交易网络平台中的数据信息,进行数据纂改,实现网络攻击的目的。需要对金属交易网络安全防御模型进行优化设计,提高网络安全性能[1]。当前,对网络攻击信号的特征提取和检测算法主要有基于时频分析的网络攻击检测算法、采用经验模态分解的攻击检测方法、基于小波分析的网络攻击检测算法和基于谱特征提取的网络攻击检测算法等[2,3],上述方法通过构建网络攻击信号的特征提取模型,然后进行时频特征、小波包分解特征和高阶谱特征等,实现对信号的检测和参量估计,达到网络攻击拦截的目的。但是,上述方法在进行网络攻击检测中,存在计算量大,性能不好的问题。对此提出一种基于攻击检测的金属交易网络安全防御模型,实现网络安全防御和主动检测。
1金属交易网络安全防御机制与模型构建
首先分析金属交易网络安全防御机制,金属交易网络在遭到病毒入侵和网络攻击是,主要是通过下面几个方面进行网络安全防御的:web浏览器。主要包括金属交易网络用户的操作界面和金属交易网络显示界面。金属交易网络数据库的数据、图表均以网页的形式传给客户端浏览器进行浏览。金属交易网络的安全认证中心。当用户登录时,在客户端和web服务器之间建立SSL安全套接层,所有信息在SSL的加密通道中传输,防止在传输过程中的机密信息被窃取。用户身份认证web服务。主要用于金属交易网络的资金结算和信息加中,tokeniD包括用户登录时间、ip地址、随机数,采用mD5进行加密方式。金属交易网络的web服务。为金属交易网络系统提供的各种服务,每次调webservices时,均需要对相关权限进行检验,提高数据库系统的安全性。综上分析,得到金属交易网络的角色等级关系示意图如图1所示。
2网络攻击信息特征提取与攻击检测算法设计
根据上述描述的金属交易网络安全防御机制,采用攻击检测方法进行网络安全检测和防御。
3仿真实验与结果分析
为了测试本文算法在实现金属交易网络安全防御和攻击检测中的性能,进行仿真实验。实验中,采用Hash表构建金属交易网络的网络攻击信号波形,Hash表的访问速率与链路速率相匹配,金属交易网络攻击数据采用的是KDDCup2015病毒数据库,交易网络攻击的相位信息系数μ0=0.001,θ2=0.45π,攻击的相位信息初始值选为θ1=-0.3π,即1024Hz。根据上述仿真环境和参数设定,进行网络攻击检测,得到检测到的网络攻击信号波形如图2所示。对上述攻击信号通过时频分析方法进行特征提取,实现攻击检测,达到网络安全防御的目的,为了对比性能,采用本文方法和传统方法,以准确检测概率为测试指标,得到结果如图3所示。从图可见,采用本文方法进行网络攻击检测,准确检测概率较高,性能较好。
4结语
本文提出一种基于攻击检测的金属交易网络安全防御模型。首先分析了金属交易网络安全防御机制,进行网络攻击的数据信息特征提取,通过时频分析方法进行攻击检测,实现网络安全防御和主动检测。仿真结果表明,采用该模型进行网络攻击检测,对病毒和攻击数据的准确检测概率较高,虚警概率较低,提高了网络安全性能。
参考文献
[1]张海山.基于云存储视频监控系统的研究[J].电子设计工程,2015,(10):169.
[2]刘桂辛.改进的自适应卡尔曼滤波算法[J].电子设计工程,2016,(02):48-51.
网络交易安全篇2
关键词:网络交易;风险;安全策略
中图分类号:tp393文献标识码:a文章编号:1009-3044(2011)27-6645-03
analysisonnetworktransactionRiskandSecurityStrategies
GaoZhan
(SichuanCollegeofarchitecturaltechnology,DepartmentofComputerengineering,Deyang618000,China)
abstract:withtherapiddevelopmentofe-commerce,networktransactionsconstantlychallengethetraditionalface-to-facetransactions,andalsochangeourlife.Butthesecuritiesinthetransactionalwaysmakethepartiesbeintroublewithsomekindsofsecurity,anditisregardedasthebottleneckofdevelopmentofe-commerce.Varioussecuritystrategiesareusedtochangethesesituationswhicharecooperatedwitheachotherforthenetworktransactionescort.
Keywords:networktransactions;risk;securitystrategies
1绪言
随着互联网技术的飞速发展,网络交易这种全新的交易模式已经被越来越多人所接受,逐渐成为人们消费的重要渠道,改变着我们的生活。
2011年1月6日,中国最大的网络交易平台淘宝网公布了2010年网购数据:2010年其注册用户达到3.7亿,在线商品达到8亿件,平均每分钟售出4.8万件商品,单日交易额峰值达到19.5亿元,每位用户平均交易笔数比2009年增加了35%,而最近一个月内超过5笔交易的用户达到1350万人。
不难看出,网络的价值早已不再局限于设计之初的两大功能――即时通信和资源共享,而是渗透到生活的方方面面。然而伴随网络交易数量的激增,各种安全问题也层出不穷,直接影响到其快速稳定发展的步伐。
2交易风险
网络交易中,风险主要来自以下方面:
2.1物理层面
主要是指计算机网络设备、设施可能存在风险,原因可能是多方面的,诸如来自火灾、地震等环境事故;也可能是硬件遭到人为盗抢、毁坏;还可能利用电磁泄漏或搭线窃听等方式截获机密信息,或对信息流向、流量、通信频度和长度等参数的分析,探测有用信息;通过在存储介质建立隐蔽隧道等方式窃取敏感信息等等。
2.2网络传输
相比物理方面,来自网络的风险在网络交易中占的比重要大的多。在交易的多个环节当中,都会存在不同的安全隐患。
1)数据。在网络交易过程中,为了完成交易,会通过网络发送一些非常重要的数据,包括个人的身份信息、交易账户名称、密码等等,这些信息一旦泄露,必然会造成巨大的损失,甚至可能导致身边亲朋好友的财产也受到威胁。
2)身份。由于网络交易和现实交易最大的区别就在于交易的对象和物品都不是真实可见的,只能通过图片、文字之类的资料了解相关信息,因此如果无法确认对方身份,很有可能遭遇骗局。现在出现的很多鱼网站,也正是利用这一点,通过种种手段诱骗消费者,将其原本的交易对象偷梁换柱,浑然不觉中蒙受损失。
3)抵赖。交易一旦完成,就等同于交易双方建立了一种契约关系。此时,商家如果否认和消费者之间曾经发生过交易,而消费者也无法完成举证,其权益必然会受到侵害。
4)完整性。攻击者若截获了网络上传输的信息,即使无法破译其内容,也可以通过篡改其内容(如修改消息次序、时间,注入伪造消息等),使信息失去真实性和完整性。
5)非授权访问。未经许可就使用网络或计算机资源被称为非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息等。
2.3支付流程
传统交易过程中,一般情况下都是买家先看货,满意之后双方一手交钱一手交货。在网络交易过程中,主导权更偏向于商家。多数时候,消费者通过虚拟信息了解商品之后,需要先支付全款,商家再通过快递或物流将商品发往消费者。除了前面提到的商家收到钱却否认交易的情况外,消费者在收到购买的商品之后,若发现质量问题,或者商品与网上描述严重不符,钱已经付了,想要退款已属不易,再要追偿就更是难上加难。
除此之外,系统安全漏洞、自身管理漏洞、缺乏应用安全知识等诸多问题也往往会加剧网络交易的风险。
3安全策略
在电子商务发展中,如何保证在开放的网络平台上交易的安全性,即如何构筑一个安全交易模型,已成为了最重要的问题。一个安全的电子交易模型,主要包括5个方面:数据保密、对象认证、数据完整性、不可否认性和访问控制。基于该需求,多种安全技术被广泛应用到交易的各个环节,以达到有效加强网络交易可靠性的目的。其中主要包括:
3.1数据加密
在数据加密过程中,使用最广泛的两种算法是“对称加密算法(加密密钥和解密密钥相同)”和“公开秘钥算法(加密密钥和解密密钥完全不同)”,分别以DeS(DataencryptionStandard)算法和RSa算法为代表。
1)DeS算法的原理是将输入的明文分成的64位的数据组进行加密,密钥长度为64位(有效密钥长度为56位),通过初试变换、16轮的迭代变换和末置换,最后生成长度为64位的密文。DeS算法的密钥数量为256个,若想破解只能使用暴力方式(穷举法),因此安全系数很高。
2)RSa算法是1977年由美国麻省理工学院的三位教授RonRivest、adiShamirh和Lenadleman开发的,RSa取名来自三者的名字。RSa算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。RSa是目前最有影响力的公开秘钥算法,它能够抵抗到目前为止已知的所有密码攻击,已被国际标准化组织推荐为公钥数据加密标准。
3)混合加密体系
DeS算法和RSa算法都有其各自的优缺点,RSa算法安全性更强,但加密解密速度较慢;而DeS算法安全性稍弱,但速度更快。因此,目前解决网络中信息传输安全的普遍方法,是结合两者的特点,生成混合加密体系,使用DeS算法加密传输的数据,使用RSa算法来为DeS算法的密钥进行加密。这样,既保证了加密速度,又兼顾了DeS算法中密钥的保存和管理,可谓一举两得。
3.2数字签名
数字签名是公开秘钥算法在网络安全中的典型应用,在iSo7498-2标准中定义为:“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。其实现过程为,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。
通过数字签名,接收方能够核实发送方对报文签名的真实性,发送方事后无法抵赖对报文的签名,接收方无法伪造对报文的签名。数字签名技术是在网络系统虚拟环境中确认身份的重要技术,作用等同于现实过程中的“亲笔签字”,在技术和法律上均有保证。
3.3报文鉴别
报文鉴别是指在两个通信者之间建立通信联系后,每个通信者对收到信息进行验证,以保证所收到信息的真实性的过程。在网络交易过程中,从计算效率角度考虑,很多报文不需要加密,但要求保证其是由确认的发送方产生的,内容没有被篡改过,同时是按与发送时的相同顺序收到的。
目前,经常采用报文摘要算法来完成报文鉴别,报文摘要一般是采用散列函数(也称哈希函数)来实现,使用最为广泛的是mD5算法。mD5算法将整个文件当作一个大文本信息,通过其不可逆的字符串变换算法,产生了这个唯一的mD5信息摘要。在以后传播这个文件的过程中,无论文件的内容发生了任何形式的改变(包括人为修改,如植进木马病毒,或者下载过程中由于线路不稳定引起的传输错误等),只要对这个文件重新计算mD5时就会发现信息摘要不相同,由此可以确定所得到的只是一个不正确的文件。
3.4SSL协议
安全套接层协议(SecureSocketLayer,简称SSL)是由网景(netscape)公司推出的一种安全通信协议,也是国际上最早应用于电子商务的一种安全协议,它能够对信用卡和个人信息提供有效的保护,被广泛地用于web浏览器与服务器之间的身份认证和加密数据传输。在SSL协议中,采用了公开密钥和对称密钥两种加密方法,同时使用了X.509数字证书技术,有助于提高应用程序之间数据的安全系数。SSL协议提供的服务主要有:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器上。
2)加密数据以防止数据中途被窃取。
3)维护数据的完整性,确保数据在传输过程中不被改动。
由于早期的SSL协议仅提供商家对消费者的认证,而不支持消费者对商家的认证,因而其并不利于消费者。随着电子商务的发展,很多中小型公司也参与进来,他们的信誉程度参差不齐,在电子支付过程中的单一认证问题就显得越发突出。
3.5Set协议
安全电子交易协议(Secureelectronictransaction,简称Set)是由Visa和masterCard两大信用卡组织联合netscape,microsoft等公司,于1997年推出的一种以信用卡为基础的电子商务交易安全协议。Set协议采用公开秘钥算法和X.509数字证书技术,在保留对客户信用卡认证的前提下增加了对商家身份的认证,规范了整个商务活动的流程,采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性、协调性和集成性。其主要功能如下:
1)防止数据被非法用户窃取,保证信息在互联网上安全传输。
2)使用双签名技术保证电子商务参与者信息的相互隔离。消费者的资料加密后通过商家到达银行,但是商家看不到的帐户和密码信息。
3)解决多方认证问题。不仅对客户的信用卡认证,而且要对在线商家认证,实现三者间的相互认证。
4)保证网上交易的实时性,使所有的支付过程都是在线的。
5)提供一个开放式的标准,规范协议和消息格式,使不同厂家开发的软件具有兼容性和互操作功能,可在不同的软硬件平台上执行。
3.6第三方支付
所谓第三方支付,是指具备一定实力和信誉的独立机构通过与各大银行签约,提供与银行支付结算系统接口的交易支付平台。在使用第三方支付平台的交易中,消费者选购商品后,通过其提供的账户支付货款给第三方账户,第三方支付平台将客户已经付款的消息通知商家,并要求商家在规定时间内发货;消费者确认收货后,通知第三方付款给商家,再由其将款项转至商家账户。第三方支付的出现有效的降低了网络交易中的支付风险,有效保障消费者的利益。
第三方支付通常具有以下特点:
1)第三方支付平台整合了多种银行卡支付方式,在交易结算中与银行对接,使网上购物更加快捷、便利。
2)较之SSL、Set等支付协议,第三方支付平台的支付操作更加简单而易于接受。
3)第三方支付平台本身往往依附于大型的网上交易网站,以与其合作的银行的信用作为信用依托,能够较好地突破网上交易中的信用问题。
以淘宝网为例,其使用的第三方支付产品“支付宝”,为交易双方提供“代收代付的中介服务”和“第三方担保”。“实名认证”是支付宝的一大特色服务,注册者需要提供在有效期内证件和固定电话登记,能同时核实会员身份信息和银行账户信息,这就等同于一张“互联网身份证”,在一定程度上提高了交易双方身份的真实性。在交易过程中,消费者如果付款给支付宝,商家却故意不发货,消费者可以申请退款,如果商家不进行相应说明,在一定时间后款项将自动由支付宝退还给消费者。消费者收到货品,如果不满意,也可与商家协商申请退款。交易完成后,消费者还可根据对交易整体的满意度进行评价,其他消费者能看到这些评价,这对提高商家的诚信起到了积极的作用。可见,第三方支付还是能够比较有效的约束网络交易中商家的行为,使消费者和商家在交易过程中尽量处于一个相对平衡的位置。
3.7提高个人防范意识
归根结底,人是网络交易的真正主体,即便交易过程中软、硬件的防护措施做得再好,如果交易者本身缺乏相应安全意识,之前的各种努力都可能付诸东流。因此,在网络交易中应该尽力做到:
1)不要轻易泄露自己的账户和密码,输入重要信息时防止他人窥视。
2)安装最新版本的杀毒软件和防火墙,注意升级病毒库,定期对自己的计算机进行扫描,确保其处于安全状态。
3)上网时打开杀毒软件的实时监控功能,不要随便访问来历不明的网址,打开来历不明的邮件附件。
4)不要随便接受并运行来历不明的人发送的文件或程序,下载资源后后养成先查毒再执行的习惯。
5)交易时看清交易地址再输入重要数据,不要被钓鱼网站套取重要资料。
参考文献:
[1]石淑华,池瑞楠.计算机网络安全技术[m].2版.北京:人民邮电出版社,2008.
[2]石志国,薛为民,尹浩.计算机网络安全教程[m].2版.北京:清华大学出版社,2011.
网络交易安全篇3
关键词:网络交易安全;民商法保护;相关性分析
在人们的日常生活中,使用互联网技术可以更加便捷的进行消费购物,其已经成为当今社会最为重要和普遍的一种交易方式。但网络技术在我国起的步时间并不算太长,加之不太成熟的技术方面等问题,使其还存在很大的漏洞,给网络环境造成一定的破坏,使网络交易频繁出现安全问题。
1网络交易的特点
网络交易作为当前最流行的交易方式,省去了双方交谈的时间,只需利用网络平台来完成这个交易过程。交易中介是较为常用的第三方认证,它的作用是使交易双方能够保证一定的公平性和安全性。淘宝网作为现在最大的电子交易平台,其会对买家个人进行验证其身份信息,完成身份认证的步骤。淘宝网上的货品由卖家进行陈列,买家可以自由在平台中对自己感兴趣的货物加以挑选,当确认已选货品后,将该物品拍下,卖家要接受该订单需要通过淘宝平台来对买家的身份进行确认,然后进行下一步操作。买家通过网上银行对已拍物品进行网络付款,待付款成功后,卖家会收到相应的付款信息,此时卖家将买家所拍物品进行打包,再通过快递公司发送至买家地址,待买家收到物品再回到网络平台确认收货,才算彻底完成这笔网络交易。通过这一连串的交易程序可以看出,网络交易中面临的潜在风险主要有两点:第一是账户安全;第二是支付安全。淘宝网和其他类似类似交易平台在网络交易中具有两个方面的安全保障;第一是用户设置的登陆密码;第二是付款时的支付密码。就这方面的安全性来看,淘宝网目前的交易方式还是比较安全的,除了淘宝网以外,国内还有很多大型交易平台,如京东和天猫等,这些电子商务平台的安全设置大多相同,其安全性能还是值得用户信赖的。随着不断发展的社会经济,还有很多新型事物出现在了网络交易中,第一是蚂蚁花呗;第二是京东白条;第三是微信支付等各种交易方式,使网络交易还面临着一定的风险和考验。
2网络交易安全性问题目前的情况
随着不断发展的科技技术,社会电子信息技术也有了飞跃式的提高,人们的生活节奏越来越快,网络交易确实方便了大众的生活。只要是使用电子信息技术的用户,手机就能为其出门解决所有问题,吃穿用住都可以通过手机上的网络交易来进行操作,所以,现代人们的生活已经离不开网络交易。通过网络交易省去了不方便出门采购物品的人们,并省去了大部分时间,带给人们的便利是有目共睹的。但是,网络技术不断发展的今天,网络交易的次数和金额规模也在日益扩大。其中,由于网络技术的漏洞可能被一些非法分子利用,采取不法手段来对用户的个人信息加以窃取,或是通过非法手段获取用户的银行信息和信用卡信息,并划走其中的资产,给用户带来巨大的经济损失。经过分析可以得知,两个主要原因是产生这些问题的关键:第一是有限的消费者知情权;第二是不同的交易方式。
(一)有限的消费者知情权所致
网络交易的优势是其不受空间和时间的限制,支持所有用户的使用,就算是用户想要购买国外其他网站的物品,也能通过一些软件来实现。同时,电子交易平台的货品上传,商家也能通过一些软件来自动上传,具有很大的商家选择权和消费者空间。这些使很多物品的安全性和真实性难以保障,仅仅依靠商家所展示的图片和买家的评价很难正确的判断商品的所有信息。
(二)不同的交易方式所致
网络交易的特点主要有两点:第一是开放性;第二是虚拟性。电子商务平台的货品信息可以由商家使用软件进行上传,买家在浏览和选择产品,已经在对已拍下产品进行交易的途中,很可能被一些不法分子加以干涉,比如不法分子冒充说是该电子平台的商家,对于买家已经付款的信息没有收到显示,需要买家再次对其进行确认或是再次付款等行骗手段,待到买家相信以后,这些非法分子会直接发送网络链接给买家,如果买家一旦点击进入,其个人信息将可能被盗取,严重情况还将使个人面临银行资产被盗取的可能。
3民商法对网络交易的保护方式
我国民商法包含有两种:第一是民法;第二是商法。其中民法又分为两大法:第一是财产法;第二是人身法。商法是对商业活动的规范行为,以及商业关系的改进所定制的法律法规。目前,大多数国家的民商法的系统都较为完善,并对网络交易的真实性和安全性具有一定的管理范围。在民商法中,目前的商品交易行为是十分适合相关法律行为的。民商法对于交易双方的真实存在性是有明确规定的,一旦认定较大的意见差别出现在双方的交易过程中,民商法可以对该交易进行判定,使该交易属于无效,并能对其进行撤销处理。对于民商法中的可信原则和公开原则,在网络交易中应该按照规定严格遵守。要有效保护交易行为,可信原则和公开原则是其中的重要方法,要对其法律法规的行为进行表示,相关事业单位需要采取相应的形式。例如房产变更不动产,以及变更其相关产权等,这些保护都需要通过民商法来执行。另外,在网络交易中,严格主义也是民商法用于约束商家的重要手段。
目前,社会上出现了很多网络诈骗行为,这种新型犯罪即产生于网络交易中。要对这些犯罪分子的实际行为加以追踪并不容易,因为其使用了信息技术手段,使其相当隐秘,造成了很大的安全隐患,威胁整个网络交易行为,所以,民商法应当对网络交易行为争取更大的保护,并严惩犯罪分子。在网络交易平台中,网络交易体现的是交易双方的真实意愿,要对对方的真实情况加以确认,很多时候会使用信用等级来进行,而很多大型交易平台在注册时直接采取的是实名政策。这些手段都是为了使网络交易的安全性得到一定的保证,也是民商法律行为的其中一种,可以使网络交易进行的更加顺利。
4网络交易安全性未来的发展
交易双方的平等是民法的主体,双方的法律地位应是平等的,但由于情况较为特殊的网络交易,很多交易双方在进行网络交易时,出现的个人信息并不完全,很多都只能看到姓名,但若对其根本加以追究,其教育行为是属于两位民事主体个人之间的网络交易,所以,对于网络交易民事主体的地位应当明确的在法律中加规定,用户电子身份由平台对其进行确认,并规定其法律责任。
5结束语
总的来说,电子商品平台变得越来越多,所产生的网络交易也越加频繁,民商法需要对其定制具有针对性的管理法规,才能更好的维持市场秩序。在未来的发展中,网络交易必定会更加迅猛,其中产生的安全问题和信用问题都是值得民商法考虑的范围,要保证其绝对的安全性,应当对相关法律规定加以完善,而当前社会较为常见的网络安全漏洞,应当尽快进行整改,对于介入的不法分子进行严厉打击,才能保证人们可以安全的进行网络交易。
参考文献
[1]柳正.论商法的交易安全保护[J].法制博览,2016,11:100-102.
[2]张世伟.民商法对交易安全的保护探析[J].法制与经济,2015,19:119-120.
网络交易安全篇4
关键词:网上交易;证券;安全;身份认证;Soa
中图分类号:tp393文献标识码:a文章编号:1009-3044(2011)25-6092-03
随着网络技术的发展,人们的生活发生了翻天覆地的变化,证券交易的形式也随之发生了改变。当今社会,网络交易已成为其最主要的交易模式。网络交易有着方便、快捷、实时性强、无须等候等优点,然而,危及网上证券交易安全的病毒、木马、钓鱼、窃取、篡改等攻击手段层出不穷。大部分网上证券交易用户的防范意识不高,对于可能盗取用户口令的攻击手段没有任何防范能力,严重影响了整个证券交易体系的安全。在交易当中,一旦网络安全问题发生,轻则造成个人的直接经济损失,重则对行业造成毁灭性打击,甚至还会对整个社会秩序产生连锁的负面影响。因此,网络证券交易的安全性一直以来都是人们高度关注的问题。
为了保障网络证券交易的安全,科研工作者们针对这一问题展开了大量研究,获得了卓有成效的进展。迄今为止,在密码保护、身份认证、日志审计等各个方面都已形成了成熟的技术和标准;同时,也能够见到一些安全保障系统范例,例如:辽宁证券网上交易系统[1]、基于pKi技术的网上证券信息系统[2]、兴安证券网上交易系统[3]等等。然而,我们综合比较这些解决方案后发现:这些系统或多或少都存在一些不足。这些系统或者只针对网络交易安全的某一个方面使用了某一种核心技术;或者虽然涉及到了多个保护环节,但防护力度较为分散;或者系统的扩展性不强,难以根据实际需要进行更新和改进。
证券交易行业需要的是能够保障交易安全并且具有商业价值的完善系统。针对这一需求,我们开发了这套“基于面向服务架构(Soa)的网络证券交易安全系统”。本系统主要有以下四大优势:在技术上,我们使用了多种先进成果相辅相成的方法,多角度全方位地保障网络交易的各个方面;在功能上,根据保护内容的不同,将系统分为客户防御、身份认证和日志审计三个主要部分,层次清晰合理;在性能指标上,我们的系统完全能够满足商业环境中大量数据并况下的时效性和稳定性;在系统构架上,我们根据面向服务构架(Soa)的要求,设计出了一套各模块单元之间耦合度低、便于升级和维护的系统,系统中的三个主要部分都可以作为独立的部件进行技术更新或移植到其他平台,具有较强的实用价值和商业价值。
1背景
1.1网络证券交易的安全
网络证券交易作为一种“网络交易”形式,它的安全问题与其他类型网络交易相比,有许多相似性,但也具有自身鲜明的特点。总体来说,包括了以下几个基本的安全问题[4]:
1)保证证券交易系统运行的安全,即保证证券交易系统在信息处理和传输时的安全。这一问题主要侧重于保证系统正常稳定地运行,避免因为系统的崩溃或损坏而对系统内存贮、处理和传输的信息造成破坏和损失,同时要避免因故障而引起的信息泄露。
2)保证证券交易信息系统的安全。这包括用户身份认证和授权,用户存取权限的控制,交易行为的可追溯和抗抵抗,资金的异常阻止,二次鉴别,计算机病毒防治和数据传输加密等等。
3)保证证券交易内容的安全。这主要侧重于保证交易信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为,本质上是保护用户的利益和隐私。
1.2保障网络交易安全的对策
针对网络证券交易安全问题,一个能够保障安全并投入商业使用的系统,应具有保密性、正确性和完整性、身份的确定性、不可抵赖性四个基本特点。为满足这些特点,目前系统一般采取如下几种对策[5]:
1)安装防火墙,防止黑客入侵及攻击;
2)安装防病毒软件;
3)采用身份认证和数字签名支持第三方Ca认证体系,确保网上委托身份识别的安全性;
4)使用128位强加密算法和数字签名,确保委托数据的安全,防止数据在传输过程中被截获修改;
5)网上委托站点和券商交易系统相互独立,有明确的接口,访问券商交易系统的接口转换程序由券商编制,源代码由券商保管;
6)在internet与证券公司网络的网关上采用并口隔离技术。并口通信使用的是专用协议,而不是通用的tCp/ip协议,其优越性在于既能完成正常数据交换功能,又能非常有效地隔离一切来自internet上的对证券公司网络的攻击;
7)所有与委托有关的程序全部在券商的营业场所内运行,电信局方面只运行与行情有关的程序。
8)交易数据处理的可监控和防抵赖。
9)行情主站和委托主站自动互为备份,确保在系统和线路出现故障或大行情突然来临时,不会因并发量过大而导致通道堵塞,不影响客户的交易。
在重点分析了以上几种对策的安全性、可行性和适用性之后,我们决定同时采用上述1、2、3、4、8方案。这些方法不仅代表了计算机网络安全方面的先进技术,同时也适于系统的实现和投入商用;为了能使整体功能进一步强化,除上述方法之外,我们还增加了反逆向分析技术、拥有自主产权的SSL加密技术、基于数据挖掘的监控预警等多种技术手段,将系统的功能划分为“防盗取口令”、“防非法登录”、“预警与日志审计”三个清晰的层面,构建起可靠的“三重防护”模式;除此之外,针对用户的习惯和操作环境特点,在保障安全级别不降低的前提下,我们将一些安全策略的选择权交给用户,实现了系统的灵活性,这也是我们的一大创新。
1.3面向服务体系构架(Soa)
面向服务的体系结构(Service-orientedarchitecture,缩写为Soa)是一个组件模型,它将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起来[6]。接口是采用中立的方式进行定义的,它应该独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的服务可以一种统一和通用的方式进行交互。这种体系结构,与传统的面向对象模型不同,它的各个模块之间是松耦合的。松耦合保障了各个模块之间的相对独立性,模块内部的修整对外不会造成使用的变化。
Soa具有平台无关、低耦合、可以按模块分别实施等特点,比较适合部件功能划分清晰,同时需要频繁更新的系统。对于我们所研究的证券交易安全系统来说,根据商业使用的反馈进行系统版本的升级、部件的更新是很普遍的,而且,各个部件也都可以作为独立的标准化产品推向市场,因此,采用这种设计方式是非常合理的。
以下几个小节将详细地介绍我们开发的系统。其中第3小节从整体设计出发,展示了系统的整体构架;第4小节将以系统的“身份认证”模块为例,详细介绍了这一子平台的特点;第5节系统测试,通过实验数据证明我们系统的可靠性;第6小节总结了这一系统的研究意义和经验,希望我们的工作能够为后继的研究者们提供一些参考价值,最后一部分是参考文献。
4系统测试
我们对实现后的系统进行了测试。在目前的实验结果中,系统单台设备平均处理能力不低于500笔/秒;单台设备峰值处理能力不低于1500笔/秒;周边应用客户端认证响应延时
5结论
网上证券交易的安全性一直是人们关注的话题,也是金融行业不可或缺的一部分。我们针对金融行业交易安全开发的这一套系统,涵盖了网络交易过程中最容易发生问题的各个方面,采用了多种先进反入侵技术集成、多种认证方式集成、多种系统保护机制集成的方法,功能完善;建立了合理的系统构架,模块之间耦合度低,安全性强,便于维护和移植;投入测试之后结果良好,可投入商业使用。
科技发展日新月异,诚然,我们的系统也存在许多可以进步的地方。我们仍不断追求着更安全、用户使用更便捷、处理速度更快的网络证券交易安全系统。在今后的研究工作中,我们还将不断研究加密、认证、日志审计的核心技术,随时进行系统的更新和完善。同时,也正如其他同行提出的,“证券业网上交易系统安全体系的建立,不是某个环节或者单一层面的问题,而是从设施、技术到管理的,整个经营运作体系的方案”,我们所做的工作,只是在保障网络金融交易安全道路上的一小步,希望这项工作能够为行业的发展和稳定提供一些帮助,也为其他研究者提供借鉴参考。
参考文献:
[1]王淑清,齐景嘉.兴安证券网上交易安全方案[J].金融理论与教学,2006(1).
[2]杨童.基于pKi技术的网上证券信息系统的安全解决方案[J].电脑知识与技术,2009(7).
[3]王淑清,齐景嘉.兴安证券网上交易安全方案[J].金融理论与数学,2006(1).
[4]戴宗坤,罗万伯,唐三平,等.信息系统安全[m].北京:金城出版社,2002.
[5]姚前,陈舜,谢立.综合安全管理监控技术在网上证券交易中的应用[J].计算机应用研究,2005,22(4).
[6]毛新生.Soa原理・方法・实践[m].北京:电子工业出版社,2007.
[7]尉永青,刘培德.电子商务环境下主要的身份认证方式分析[J].商场现代化,2005(7).
网络交易安全篇5
摘要:近年来,随着电子商务的快速发展,互联网对社会经济生活的渗透日益增强,网络购物成为了一种新型的生活模式和经济增长方式。与此同时,普通食品的经营也借助网络平台快速地发展起来。网络食品的产生,迎合了人们高频率、快节奏的生活需求,但网络食品在满足人们需求的同时,也带来了诸多食品问题。因而如何维护网络食品安全和网购消费者的合法利益等问题也接踵而至。本文聚焦《中华人民共和国食品安全法》,通过对网络食品安全进行详尽的分析和探讨,针对市场监管过程中存在的问题,从食品质量、法律健全、消费者维权等方面进行了研究分析,从而为网络食品安全的监管问题提出相应的对策。
网络交易安全篇6
[关键词]电子商务信息安全网络安全交易安全技术保障
电子商务是利用互联网络进行的商务活动。电子商务有多种定义,但内涵大致相同,即电子商务是利用电子数据交换、电子邮件、电子资金转账等方式及互联网的主要技术在个人、企业和国家之间进行的网上广告及交易活动,内容包括商品及其订购信息、资金及其支付信息、安全及其认证信息等方面。信息安全是指利用网络管理控制和技术措施,防止网络本身及网上传输的信息财产被故意的或偶然的非授权泄漏、更改、破坏,或使网上传输的信息被非法系统辨认、控制。电子商务信息安全的具体表现有:窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。随着互联网的快速扩张和电子商务的迅猛发展,电子商务系统的安全性已受到计算机病毒、网络黑客、计算机系统自身防御性脆弱等方面的严峻挑战。
一、我国电子商务发展及其信息安全现状
我国电子商务始于20上世纪90年代,政府主导相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐。目前,我国电子商务的广度和深度空前扩展,已经深入国民经济和日常生活的各个方面。艾瑞市场咨询公司最新的调查数据显示:截至2006年底,中国网络购物市场总用户数达到4310万人,B2C和C2C总交易额分别为82亿元和230亿元。然而,据中国互联网络信息中心(CnniC)的一份最新调研显示,只有约15%的网民平时有网上购物的习惯,而不选择网络购物的原因主要由于对网站不信任、怕受骗,担心商品质量问题和售后服务,质疑其安全性等。
电子商务自从诞生之日起,安全问题就像幽灵一样如影随形而至,成为制约其进一步发展的重要瓶颈。电子商务系统的安全是与计算机安全尤其是计算机网络安全密切相关的,综合当前电子商务所面临的网络安全现状不容乐观。公安部公布了2006年全国信息网络安全调查结果,结果显示,半数以上的被调查单位发生过信息网络安全事件,病毒或木马程序感染率达84%,目前,全国已有8成左右的单位安装了防火墙和病毒查杀系统。对数据统计分析,2005年5月至2006年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
二、电子商务安全威胁的主要方面
电子商务的一个重要技术特征是利用it技术来传输和处理商业信息。因此,从整体而言,电子商务安全有计算机网络安全和商务交易安全两个方面。计算机网络安全是商务交易安全的基础;商务交易安全是电子商务安全的主要内容。
计算机网络安全的内容主要包括:计算机网络设备安全、计算机网络系统安全。网络设备安全是指保护计算机主机硬件和物理线路的安全,保证其自身的可靠性和为系统提供基本安全前提;设备安全风险来自硬件器件与部件失效、老化、损害,自然雷击、静电、电磁场干扰等多方面,有人为因素还有自然灾害所引起的故障。例如,2006年12月26日,我国台湾附近海域发生强烈地震,造成中美海缆等6条国际海底通信光缆发生中断,使附近国家和地区的国际和地区性通信受到严重影响,给有关企业和个人造成巨大影响和严重经济损失。网络系统安全是指保护用户计算机、网络服务器等网络资源上的软件系统能正常工作,网络通信及其网络操作能安全、正常完成。网络系统安全风险来自系统的结构设计缺陷、网络安全配置缺陷、系统存在的安全漏洞、恶意的网络攻击和病毒侵入等多方面。网络系统安全是计算机网络安全的主要方面。计算机网络安全的特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全是指商务活动在公开网络上进行时的安全,其实质是在计算机网络安全的基础上,保障商务过程顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性,核心内容是电子商务信息的安全。一般情况下,我们可以把电子商务安全归结为电子商务信息的安全。目前,电子商务主要存在的安全威胁有:
1.身份仿冒
攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。主要表现有:冒充他人身份、冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户、使用欺诈邮件和虚假网页设计设骗。近年来随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒已经成为电子商务应用的主要威胁之一。
2.未经授权的访问
未经授权而不能接入系统的人通过一定手段对认证性进行攻击,假冒合法人接入系统,实现对文件进行篡改、窃取机密信息、非法使用资源等。一般采取伪装或利用系统的薄弱环节(如绕过检测控制)、收集情报(如口令)等方式实现。
3.服务拒绝
攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯,扰乱正常的资讯通道。包括:虚开网站和商店、伪造用户,对特定计算机大规模访问等,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应。
4.恶意程序侵入
任何系统都可能是有漏洞的,漏洞的存在给恶意程序侵入提供了可乘之机。恶意程序是所有含有特殊目的、非法进入计算机系统、并待机运行,能给系统或者网络带来严重干扰和破坏的程序的总称。一般可以分为独立运行类(细菌和蠕虫)和需要宿主类(病毒和特洛依木马)。恶意程序是网络安全的重要天敌,具有防不胜防的重大破坏性。例如:网络蠕虫是一种可以不断复制自己并在网络中传播的程序,蠕虫的不断蜕变并在网络上的传播,可能导致网络阻塞,致使网络瘫痪,使各种基于网络的电子商务等应用系统失效。
5.交易抵赖和修改
有些用户企图对自己在网络上发出的有效交易信息刻意抵赖,安全的电子商务系统应该有措施避免交易抵赖。为保证交易双方的商业利益、维护交易的严肃和公正,电子商务的交易文件也应该是不可修改的。
6.其他安全威胁
电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题:网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。
三、电子商务安全的技术保障机制
电子商务安全包括网络安全和交易安全。因此,电子商务安全技术主要有计算机网络安全技术和商务交易安全技术两方面的保障机制。
1.计算机网络安全技术
网络安全技术伴随着网络的诞生就出现,如今已出现了日新月异的变化。Vpn安全隧道、防火墙和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。目前,主要的网络安全保障技术有:
(1)Vpn安全隧道,Vpn即虚拟专用网(Virtualprivatenetwork),是一条穿过混乱的公用网络的安全、稳定的隧道。Vpn架构中采用了多种安全机制,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
(2)防火墙技术,防火墙是企业内部网络和外网之间的一套安全屏障。防火墙能根据企业的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
(3)病毒防护和入侵检测技术,病毒防护技术可降低病毒和恶意代码攻击风险,并防止有害软件通过服务器或网络执行和传播。入侵检测系统则能够帮助网络系统快速发现攻击的发生,扩展系统管理员的安全管理能力,从而提高信息安全基础结构的完整性。
2.商务交易安全技术
商务交易安全是为了实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。它是电子商务交易过程中最核心和最关键的安全问题。目前,主要的商务交易安全保障技术有:
(1)数据加密技术,加密一般是利用密码算法把可懂的信息变成不可懂的信息。利用各种复杂的加密算法,通过对网络中传输的信息进行数据加密,用很小的代价即可为信息提供相当大的安全保护。
(2)数字签名技术,数字签名是通过密码算法对数据进行加、解密变换实现的。应用广泛的数字签名方法主要有三种,即:RSa签名、DSS签名和Hash签名。这三种算法可单独使用,也可综合在一起使用。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。
(3)安全协议技术,使用Set和SSi等安全协议能有效地保障交易安全。Set即安全电子交易(Secureelectronictransaction)的简称,Set提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,已成为目前公认的信用卡/借记卡的网上交易的国际安全标准。SSL即安全套接层(SecureSocketsLayer)协议的简称,主要用于提高应用程序之间数据的安全系数。
网络交易安全篇7
摘要:随着互联网发展与普及,网络逐步改变着人们的生活。在信息逐渐丰富、快速的网络环境下,消费者的消费观念也发生了很大的变化,近几年网上购物成为一种时尚潮流,电子商务经济得到迅速发展,受到消费者的普遍关注,表现出一片大好的发展趋势。但是,电子商务的发展也不是一帆风顺的,其中一个主要问题就是交易安全问题,网络安全是电子商务贸易往来最基本的保障。本文主要分析网络安全对现代电子商务的影响。
关键词:网络安全;电子商务;影响
随着计算机技术的发展和网络的普及,商业运行模式在网络环境下发生了很大的改变,一种新的商业运行模式——电子商务被催生。电子商务是运用网络技术、通讯技术、计算机技术等先进技术进行的贸易行为。目前越来越多的贸易往来利用网络进行,电子商务安全问题越来越受到人们的关注,用户在电子商务贸易往来中最关心的话题就是安全问题,网络安全成为电子商务进一步发展的关键因素。
1、电子商务中网络安全的重要性分析
电子商务是在网络环境下运行,其具有网络信息所共有的开放性和资源共享性特点,交易双方可以通过网络互相访问对方的计算机,在此过程中容易被不法分子侵入,造成信息泄露和破坏,威胁电子商务交易的安全进行,网络安全问题是电子商务首先要解决的问题,网络安全不仅对电子商务发展具有重要的意义,而且对于计算机发展、网络发展以及社会稳定等都有较大的意义。
1.1计算机安全问题
计算机的运行需要在网络环境下进行数据传输,网络安全是计算机信息安全的最好保障,网络中不安全因素对电子商务具有很大的威胁,电子商务本身是虚拟交易,存在较大的安全隐患,如果网络不安全会给交易双方带来较大的损失。而相对安全的网络可以确保网络数据与信息不被不法分子篡改、窃取,保障网络运行环境的稳定安全。
1.2促进社会稳定发展
计算机网络技术的普及使电子商务、电子政务、网上银行等业务越来越普及,已经成为人们生活中不可或缺的一部分。同时网络也成为各种各样犯罪事件的主要应用工具,从这方面来说给国家和社会稳定带来一定的威胁,而网络安全能够保障网络数据信息的安全性,阻碍网络犯罪事件的发生,促进社会稳定发展。
1.3网络安全防范
一般情况下,网络安全的防范措施是网络安全技术,以此来保障网络运行环境的安全,但是仍然有较多不法分子专门利用网络安全技术中的漏洞对网络发起攻击,设备平台危害网络安全,严重威胁电子商务交易的发展。所以说网络安全防范技术对网络安全有着重要的意义,必须确保安全问题及时解决。
2、电子商务运行中存在的主要网络安全隐患
据有关数据统计,网络安全的主要隐患是黑客和病毒,我国95%的网络管理中心曾遭受黑客的攻击,另外还有一些其他的安全隐患,我国的网络安全问题越来越突出,网络安全已经成为阻碍电子商务发展的主要因素。
2.1网络自身安全隐患
威胁网络安全的首要因素是网络自身的安全性,众所周知网络系统软件、设备、技术等都时刻在发生变化,网络自身存在较多的问题与不足,而且有些网络系统由于自身设计、管理方面存在的缺陷,导致网络系统软件和设备功能不齐全,存在较多的漏洞,这种安全隐患给电子商务的运行带来很大的安全隐患。另外,由于网络信息数据大多存放于网络数据库中,为不同商户提供共同的享用权利。但是网络设计、管理等在使用过程中存在一定的安全性问题,在使用过程中一些非法用户能够避开安全内核,非法盗取网络数据和信息资源,给网络用户带来较大的安全隐患。
2.2数据信息传输过程中的安全隐患
现代电子商务普遍存在的安全隐患是传输路径的安全隐患,事实上不存在绝对安全的网络传输途径,在网络运行中或多或少都存在一些安全隐患。同时在网络传输过程中无论采用哪种信息传输途径与路线,信息传输过程中网络状态不够优良的情况下,都会存在网络连接不够好的问题,甚至会导致网络传输的中断,这样就容易危害商务活动相关数据的完整性,从而影响整个电子商务活动的正常进行。
2.3网络管理方面的安全隐患
在电子商务运行过程中来自网络管理方面的安全隐患是其最直接、最普遍的安全隐患,网络稳定运行的保障就是有良好的网络管理技术与措施,其中网络安全问题是网络管理的核心内容。电子商务在运行过程中,如果用户对各种信息技术、网络技术、设备安全等进行科学、合理的管理,就能够有效的控制。预防安全隐患的发生。同时如果用户在使用过程中没有对网络进行合理的管理,网络就会存在较多的问题,从而影响网络运行环境。而且网络资源一般都是有各种网络技术、设备、服务器、终端等组成,网络中不可避免的存在安全隐患,如果再不用心管理,肯定会出现安全问题。随着网络技术的发展,网络覆盖范围越来越广,网络安全显得尤为重要,网络安全已经成为网络管理中关键问题。
2.4交易过程中的安全隐患
电子商务交易是在网络环境下进行的虚拟交易,它依托网络环境的稳定、安全运行,交易中存在安全隐患也是不可避免的。在现实交易中尚存在一定的交易安全隐患,电子商务交易安全隐患更加普遍,比如在电子商务交易过程中,购买双方已经进行接货、定货协议,但是确迟不发货,甚至还有些商家在交易过程中因为价格问题不承认原有的交易,这些问题都对电子商务的正常开展具有很大的阻碍。
2.5黑客、病毒攻击
网络黑客是网络运行中最常见的一种安全隐患,网络黑客专门非法进入他人网站,他们一般具有较高的网络技术能力,能够迅速破坏电子商务网站的防护技术,进而篡改网站内部信息,盗取用户账户、密码,挪用用户资金,严重影响电子商务的安全运行。电脑病毒也是一种比较普遍的网络安全运行隐患,病毒的传输速度非常快,在互联网的普及下,为新病毒提供了强大的媒介。很多新型病毒能够直接借助网络进行快速传播,会给用户造成严重的经济损失。
2.6其他网络安全隐患
网络安全隐患有很多类型,除了以上类型之外还有一些因为网络管理人员监管不力、渎职自盗、程序共享等带来的网络矛盾和冲突,这些也是威胁网络安全的重要因素,制约着现代电子商务的稳定、安全运行。不管是何种类型的网络安全隐患都必须给予高度的重视,采取积极有效的措施,做好安全防范工作,保障电子商务活动的稳定开展。
3、电子商务安全运行的措施
电子商务安全隐患是其在运行中必须解决的问题,我们必须采取积极的措施解决电子商务安全问题,为电子商务的发展提供良好的运行环境。电子商务用户也应该采取积极的措施加强网络运行管理,加强技术投入,预防安全问题的出现。
3.1加强电子商务安全管理工作
电子商务安全隐患归根到底还是人的问题,即管理问题。具有关资料显示,网络安全中最主要的人为因素是信息安全威胁。但是在实际网络安全运行管理过程中人们往往只关注技术方面的安全隐患,注重技术管理,对人的管理不够重视,对网络安全中人为因素造成的安全隐患只是简单的提起,并没有做详细点的分析与处理,导致网络安全管理工作滞后于网络技术的发展。实际上,不管是从技术上还是从人为的操作汇总都应该由人来设计、配置、组织、管理、调整、维修等,建立一个综合性的网络管理团队,提高网络安全管理能力,为网络安全运行提供一个良好的内部环境。
3.2提高网络防范技术的应用
1)防火墙技术
电子商务运行依赖于资源共享,而防火墙技术能够保障网络用户访问公用网络时具有最低风险,而且又能保护网络免遭袭击。网络运行中所有专用网、内部网、外部网、公用网之间的连接都经过防火墙的检查和认证,数据的传输与通信只有在授权的条件下才能进行,有力的保障了网络环境的安全。
2)信息加密技术
信息加密技术是一种主动的信息安全防范意识,它主要利用加密算法将网络信息明文转化成无意义的密文,防治非法用户理解原始数据,使数据具有保密性。在电子商务中信息加密技术是其他安全技术的基础条件,加密技术包括对称加密和非对称加密,这两种加密技术具有各自的优点,但是在实际运行中,为了充分发挥加密技术的优点,往往会把这两种技术结合使用,确保网络的安全运行。
3)反病毒技术
这种技术是基于病毒入侵隐患而建立,防病毒技术种类也比较多,比如病毒检测、病毒预防、病毒消除等。反病毒技术的具体实施措施是对网络服务器的文件进行实时扫描和检测,一旦发现病毒立刻清理。近几年,很多网络运行专家不断推出新的病毒防范产品,这些产品能够在互联网技术下监视网络传输中的数据,准确辨别数据所携带的病毒,防治病毒的入侵,从而有效提高网络安全。
3.3加强安全防范意识
对于无处不在的安全隐患,除了要加强网络管理与网络技术之外,普通网民也要提高网络安全防范意识。在电子商务安全防范下,做好计算机安全防护工作,养成良好的上网习惯,掌握一些技术的网络安全防范知识,对于不安全的网站尽量不要访问,同时也不下载不安全的网络软件,减少电脑被病毒入侵的几率。同时在电脑中安装杀毒软件和防火墙,养成经常扫描电脑的习惯,这样能够最大限度的防治电脑被病毒、黑客等攻击,建立良好的网络运行环境。
结语
随着网络技术的发展与普及,电子商务的发展越来越受到重视,而网络安全与电子商务有着密不可分的关系,网络安全是电子商务运行的保障。电子商务安全隐患的种类有很多,在实际运行中我们不能对这些安全隐患掉以轻心,必须重视他们,采用积极有效的措施解决安全隐患问题。加强网络安全运行的管理工作,提高网络安全技术,为电子商务发展提供良好的运行环境,保证电子商务交易安全进行,促进电子商务交易的发展。
参考文献:
[1]谢.网络安全对现代电子商务的影响及对策研究[J].中国商贸,2010(19):110-111.
[2]徐卫红,刘婷.网络安全对电子商务发展的影响和策略[J].成功(教育版),2010(3):273-274.
[3]蒲天银,秦拯,饶正婵.网络安全对现代电子商务的影响及对策研究[J].商场现代化,2008(35):160-161.
[4]周二鹏.网络安全对电子商务的影响及对策[J].大观周刊,2011(37):141-142.
[5]闫涛.论电子商务网络安全的设计与实现[J].科技视界,2013(27):82-83.
网络交易安全篇8
在电子商务产业不断开拓与探索的进程中,计算机网络安全技术的应用在其中起着至关重要的作用,只有对网络环境进行一个系统的、全面的、科学的管理,才能构建一个可靠的网络防护屏障,进而使得电子商务产业的网络系统得到有效地保护和发展。
1电子商务中的计算机网络安全技术
在电子商务交易中,自然少不了计算机网络的支持与运用,与此同时,在极为复杂的网络环境下,电子商务的网络运行系统在交易中就存在着很多潜在的威胁,只有对电子商务中的计算机网络安全技术有一定的了解和掌握,才能更加有助于网络安全技术在电子商务中的应用。电子商务网络安全分为两大部分,分别是计算机网络安全和商务交易安全。计算机网络安全指的是计算机系统内部网络环境的安全性能,主要包括计算机网络设备安全、计算机网络系统安全等几个重要组织的安全性,其主要是以计算机网络自身的安全性为目标;商务安全则是以传统商务网络为中心,从internet在电子商务中应用中的安全问题展开研究,在计算机网络安全的基础上,进而保障电子商务交易的顺利进行,同时又实现了电子商务的保密性、完整性等特征。
2电子商务网络存在的安全问题
根据对电子商务的了解,其发展以及交易主要是通过计算机网络实现的,那么这其中就存在着很多的安全问题,尤其是在电子商务这个极其多元化的网络环境下,必定会在网络系统中埋下诸多安全隐患。
(1)病毒入侵
对于整个电子商务网络系统而言,最具有威胁性的就是病毒。由于其工作性质的限制,所以与外环境的接触机率较大,在信息资源处于半封闭半公开的状态下,很容易给病毒带来可乘之机,一旦病毒侵入整个网络系统,计算机中的所有功能以及大量数据将会遭受巨大破坏,病毒的繁殖和复制能力非常迅速,在短时间内,就可以造成整个网络系统瘫痪,互联网资源自动被侵蚀,最终导致电子商务网络环境崩溃的重大后果。
(2)信息盗用
当网络环境在实现资源传输或者共享的过程中,如果没有对信息采取加密等保护手段进行信息维护的话,那么传输的信息就会以明文的方式展现给大家,一些不法分子利用这一疏漏,可能会在数据经过的路线上对信息进行拦截或者提取,之后通过研究得出有价值的资源,严重的情况下,可以泄露个人信息、账户、密码等重要信息,对个人和企业带来难以估量的损失。
(3)信息篡改
在电子商务进行交易的过程中,交易双方必须要保证个人信息真实有效,并且提供完整的个人资料,这样双方利益都会受到良好的保护,以免权益遭受侵害。如果在交易过程中,不慎将个人信息泄露,不法分子就会对信息进行掌握,在盗取用户资料后,通过技术手段会对信息进行破解、修改,致使信息不真实,之后不法分子会将信息重新放置到传输地点,从而导致决策者判断失误,最终造成重大的经济损失。
3计算机网络安全技术在电子商务中的应用
为了保证电子商务产业能够正常的发展和运作,同时也为了电子商务网络环境得到改善和提高,就要采取一些必要的手段或者是方式方法对整个网络环境实施有效的管理,促使安全隐患在网络安全技术的控制下得以缓解和消除。
(1)安装防火墙
使用计算的人都知道,计算机保护系统中通常都要设立防火墙对干扰因素进行拦截或者是清除,防火墙同样也适用于电子商务网络安全系统的建立和保护。由于防火墙具有很强的识别能力和区域划分能力,所以不仅可以为电子商务网路系统提供有力保障,而且通过对数据的有效侦察、过滤、筛选,可以使得整个互联网交易过程更加安全可靠。很多大型企业使用的都是独立的网络系统,利用防火墙就必须与独立的外部网络系统相连接,同时要求网络服务的集中统一性,因此在实现信息传输的过程中就对企业网络实行了保护。
(2)个人身份认证
个人身份认证就是指在进行信息交易或者提取时,为了保证交易中参数或者数据的真实性和完整性,对于交易的个人实行的一种检测手段,通过身份对比、验证,对持有信息人进行核实,防止不法分子对用户资料进行盗取、修改甚至是伪造。目前,最常用的身份认证方式有指纹识别、人体扫描识别等,这些识别方法主要是利用个人特征,通过系统数据对比的方法进行身份验证的,具有很高的识别性以及可操作性。电子商务交易采用这种身份认证的方式,可以大大增强信息的安全性,而且有利于网络系统对于信息的保存和提取,在某种程度上推动了电子商务网络市场的发展与开拓。
网络交易安全篇9
是一项系统工程,涉及硬件、软件、防火墙、网络监控、身份认证、通信加密、灾难恢复、安全扫描等多个安全要素。而网络金融安全问题关乎我国的经济安全甚至国家安全。因此,必须站在更高的层面审视网络金融安全问题。
一、网络金融概念特点
(一)概念
网络金融,又称电子金融(e-finance),是一种通过个人电脑、通信终端或其他智能设备,借助国际互联网和通信技术无境域限制的联结客户与金融机构,以实现及时获取经济金融信息、享受网上金融服务、开展网上金融交易的金融活动。网络金融包括在线银行、网上保险、网上证券、网上期货、网上支付、网上结算等金融业务。
网络金融安全,是指金融网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务畅通快捷。网络金融安全包括系统安全和信息安全两个部分,系统安全主要指网络设备的硬件、操作系统以及应用软件的安全,信息安全主要指各种信息的存储、传输和访问的安全。
(二)特点
世界第一家网络银行——美国安全第一网络银行(SFnB)自1995年10月18日开业以来,国际金融界掀起了一股网络银行浪潮。这一金融创新正彻底颠覆了金融业和金融市场的业态,银行由实体化向虚拟化发展,金融服务的时空界限不再明显。与传统金融相比,网络金融具有以下一些特点:
1、虚拟化。网络金融市场是一个信息市场,同时也是一个虚拟化的市场。网络金融虚拟化主要表现在金融实务虚拟化、服务机构虚拟化、交易过程虚拟化和交易货币虚拟化。
2、无界性。网络金融的无界性主要是指金融活动无时空局限,打破传统的金融服务时间、境域、空间、方式等限制。网络经营企业只要开通网络金融业务,世界各地的上网用户皆可能在任一时间、任一地点、以任一方式成为其客户,并以商家愿意接受的任一电子货币支付,交易地域模糊性给计量造成困难。
3、低成本。虚拟形态的网络银行交易成本远小于物理形态的金融机构经营成本,而且服务效率得到提高、服务质量没有降低。这是网络金融得以出现并迅速发展的最主要原因。
4、加密性。传统金融下交易过程依赖于物理设置和现场办公,而网络金融下交易过程采取技术上加密算法或认证系统的变更或认证来实现。
5、信用性。电子货币和网络金融的发展,使得一些电子商务公司等非金融机构涉足短期电子商业信贷、中介支付、投资理财顾问等金融或准金融业务,而金融交易信息传输保存的安全性、客户个人信息、交易信息和财务信息的保护日益受到公众的关注。无疑,人的信用价值以及游戏规则的固化是网络金融快速发展基石。
二、网络金融安全现状
网络金融安全伴随着网上交易的整个过程。主要有两个方面:一是来自金融机构内部,网络系统自身的安全以及自身的管理水平和内控能力。如由于软硬件配置不匹配、系统设计不合理、运行不稳定等形成的安全隐患;二是来自于金融机构外部,取决于选择的开发商、供应商、咨询或评估公司的水平,以及其他各种外来因素如黑客攻击、自然灾害侵袭等所造成的安全问题。
有关调查表明,目前国内80%的网站都存在安全隐患,其中有20%网站的安全问题还十分严重。安全问题已日益成为困扰网上金融交易的最大问题,影响我国网上金融业务的健康发展。网络金融活动中的安全隐患,主要表现在:
1、金融装备落后。我国金融电子设备的核心技术大部分都是从国外进口的,国产化率低、创新自主知识产权少,在金融电子化过程中,整个金融系统内的操作平台,以及电子支付系统等核心技术,都对国外技术的依赖性越来越大,由于平台软件源代码末公开,导致我国金融安全的基础相当薄弱。因计算机硬件故障造成系统停机、磁盘列阵破坏等事件,成为网络金融业务的安全隐患。
2、网络系统漏洞。互联网本身固有的技术体制存在缺陷。基于远程通信的便利,互联网并未考虑安全性问题,因而基于信任主机之间的通信而设计的tCp/ip协议缺乏安全机制,建立在互联网络为基础的金融网络系统存在安全漏洞,防毒软件功能不强,造成网络运行不稳定,被病毒入侵、被黑客攻击,轻者数据毁坏丢失,重者烧毁硬件。目前全球的黑 客攻击事件,40%是针对金融系统的,我国则高达60%以上。3、交易系统缺陷。按照我国有关规定,金融机构的网上业务要达到三级安全标准,但目前大多数金融机构的安全状况都未达到这一要求,其自行开发、应用的网上交易系统大多未经过权威部门的检测认证,存在安全控制技术落后、安全防范措施不到位、抗攻击能力不强、响应滞后、访
问授权混乱、客户地址及邮箱等资源保护不力等情况。出现系统虚假信息泛滥;账户密码被黑客破译,数据资料、交易指令被篡改,资金被盗取,股票、债券、基金等金融资产被盗卖;信息传递的私密性、真实性、完整性、不可否认性缺乏保障等等现象。
4、交易监管滞后。由于网络金融交易的不透明、虚拟性、开放性,增大了交易者之间身份确认、交易真实性验证、信用评价方面的信息不对称,决定了网上支付和结算系统全球化,提高了信用风险程度。目前,我国网络金融运作监管经验不足、手段不全、技术落后、分业网上监管职责界定不清、内控制度不健全、网上业务定期内部审计流于形式,出现了网上业务运作中密码控制不严、软件控制功能薄弱、授权机制执行不力等问题。
5、协同机制缺乏。各银行网络系统各自为政,各行间信息隔绝,缺乏沟通协作。有的商业银行将其银行网络系统拓扑结构、建设实施方案等作为绝密材料被保存,行业间数据资源共享是一道屏障,造成资源资金浪费,延误了整个金融业的发展。 6、应急预案缺失。除上述种种因素外,金融机构未对停电、暴力犯罪等人为因素以及地震等自然灾害等突发性不确定事件的发生制定切实可行的应急预案,在一定程度上影响着网络金融的运行安全。
三、网络金融安全对策
1、加快立法进程。我国网络金融立法滞后,网络金融安全立法更是一片空白。由于网络金融安全关乎我国的经济安全甚至国家安全,因此,网络金融安全立法进程刻不容缓,国家应高度重视,拟成立网络金融安全管理机构,研究制定金融安全政策和标准,规范、指导和约束网络金融的安全发展,应充分借鉴英美的成功经验,参照英美颁布实施的《电子通信法案》、《数字签名法》等法律,在制定出适合我国国情的电子签名法后,加快电子证书法、加密法等网络金融安全法律法规的出台,打造网络金融规范化、法制化环境,明确商家、消费者、第三方支付系统的权利、义务,规范市场参与者的资格、行为、责任,打击网络金融犯罪,保护金融机构及交易当事人的合法权益,保障网络金融业健康、规范、有序地发展。
2、强化技术防范。网络金融安全防范中,技术防范是关键。金融企业应制定全面周密的软硬件装备升级换代方案,即时引进和应用符合国家安全标准具有较高安全系数的金融电子化软件平台和金融电子设备核心技术,保证计算机应用软件的不断升级,维护网络系统健康运行。要配备性能良好的内外网络防火墙、病毒防御与杀毒软件,定期升级,严格网络登录口(下转第235页)(上接第233页)令管理等。要采用数字证书等较高级别的网络加密技术,设置交易中的客户身份认证和交易密码。此外,要进一步加大投入,网络信息安全产品,研发网络安全系统、语音鉴别系统、电子转账系统、智能卡识别系统、管理信息系统等,提高金融装备国产化水平,夯实金融安全基础。
3、加紧人才培养。网络金融机构要培养一批既掌握计算机枝术、网络技术、通信技术,又掌握金融实务和管理知识的复合型高级技术人才和管理人才。从国家层面讲,要积极培养政治过硬、技术全面、业务精湛、作风扎实的金融执法队伍,提高金融执法人员素质,严厉惩治金融犯罪和违法、违规活动。从企业层面讲,要通过不间断的全员培训培养教育,让全体从业人员全面了解网络技术安全缺陷,充分认识潜在的网络安全隐患危害性,掌握必要的软件系统安全技术、数据信息安全技术、病毒防治技术等。要通过改善硬件设施和办公条件,提高从业人员素质,提高员工业务水平,尽可能减少操作失误带来的麻烦,保证网络金融企业的经济稳定运行和持续发展。
4、加强内部控制。网络金融机构要参照相关的法规条例,制定各项安全管理制度,包括业务操作规程、计算机网络、数据库、病毒防治、密钥等安全管理制度。要加强人员变动管理,及时注销、移交和变更原有的密钥等信息资料。要建立数据备份中心,实现数据可追溯性。
5、加强预警监控。掌控网络金融风险重在预警评估与防范。网络金融机构,要建立网络金融风险预警机制,专人监控业务运行,加工处理数据,研究数据指标,制定网络金融风险应急处理预案,发现指标逼近预警线,果断采取风险防范措施以应对。
6、加强监管合作。面对网络金融市场高度国际化,大部分金融交易依赖于电子网络,网络银行资金日趋庞大和资金流动速度加快,但由于网络技术发展存在先天性缺陷——技术漏洞,使得网络安全成为制约网络金融发展的最大障碍。我国金融管理机构有必要适时同外国金融监管当局开展广泛的国际合作,沟通信息,打击犯罪,规范业务合作的程序,交换网络监管措施,创造网络金融活动的准则。
参考文献
[1]赵艳.网络金融监管的难点及对策探究[J].学理论,2011(1).
网络交易安全篇10
[关键词]互联网;电子商务;系统安全;数据安全;网络系统
一、前言
近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。
从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。
二、电子商务网站的安全控制
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。
(一)系统安全
在电子商务中,网络安全一般包括以下两个方面:
1.信息保密的安全
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的安全
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:
网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLan技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的ip信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、iC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用ipSeC核心协议,具有加密、认证双重功能,是在ip层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(Vpn),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、weB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。
系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(iC卡、pCmCia安全pC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(iC卡、pCmCiapC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、weB信息服务系统、Ftp服务系统等)采用基于应用开发安全软件,如安全邮件系统、weB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
(二)数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。
数据库安全——大中型企业一般采用具有一定安全级别的SYBaSe或oRaCLe大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的安全
网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。
交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的Set(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构ViSa及masterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由netSCape公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为www应用安全标准。
交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。
交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是pKi技术。
pKi的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的Ca认证技术。Ca(Certificationauthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由Ca签发的网络用户电子身份证明—证书,任何相信该Ca的人,按照第三方信任原则,都应当相信持有证明的该用户。Ca也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的Ca是至关重要的,这不仅与密码学有关系,而且与整个pKi系统的构架和模型有关。此外,灵活也是Ca能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的Ca产品兼容。在不久的将来,pKi技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。
三、目前信息安全的研究方向
从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。
目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、Dna密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
四、结束语
电子商务是以互联网为活动平台的电子交易,它是继电子贸易(eDi)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。
参考文献
[1]佚名.解析电子商务安全[eB/oL].http://www.it386.cn/it386/dnwl/,2006-07-25.
[2]佚名.网络构建与维护[eB/oL].http://www.chinaec-index.com/second/network.php,2006-07-16.
[3]洪国彬.电子商务安全与管理[m].北京:电子工业出版社,2006.