欢迎来到天天文库
浏览记录
ID:23069460
大小:55.50 KB
页数:7页
时间:2018-11-03
《电子商务信息 安全风险分析与防范策略 》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、电子商务信息 安全风险分析与防范策略[摘要]该文首先分析了电子商务系统在安全方面的需求,介绍了相关核心技术。然后提出了相关的防范策略,具体分析各种电子交易模式以及这些模式如何克服电子商务系统在信息安全方面的脆弱性。 [关键词]电子商务安全风险协议防范 一、引言 Intemet的迅速发展使电子商务应运而生,对电子商务可以有狭义和广义两种理解:作为在线销售的电子商务;作为现有业务扩展的电子商务。电子商务具有许多优势,譬如高效率、低成本;同时,电子商务也会提供各种各样的机会,因为中小型公司和太公司站在相同的起跑线上但迄今为止,真正开始实施电子商
2、务的企业还不多,绝大多数企业还在持观望态度,电子商务通远远谈不上普及。这其中的原因主要有以下三个点:(1)人的因素;(2)立法问题;(3)安全问题。其中信息安全问题可以说是电子商务活动的最大障碍,电子商务信息安全是制约电子商务建设与发展的首要问题和核心问题。 二、电子商务对信息安全的需求和风险分析 信息安全的目的是:保护一个系统不会受到未经授权的访问,使系统的正常工作不会被非法干预,同所有计算机系统一样,电子商务系统安全必须具有保密性、完整性及可用性三个特征。 1.保密性(Confidentiality) 保密性是指计算机系统的资源应该
3、仅能由授权团体读取。对电子商务系统来说,它意味着系统所提供的服务应满足:(1)私有交易不会被其他人截获及读取;(2)如果可能,应确保交易的匿名性,使交易不会被追踪,任何人无法利用“发生交易”这样一个事实本身来达到别的目的。 2.完整性(Integrity) 完整性指资源只能由授权实体修改。电子商务系统的完整性要求它提供的服务应满足:(1)消息完整性,指通信过程中接收到的消息确实是实际发送的消息,不可能在传输过程中被篡改,也不可能是一条伪造的消息;(2)身份认证(Authendcation),通信的双方应能确定对方的身份,知道对方确实是他所自称的那一
4、位。在这里,确定的意思并不完全意味着确实知道对方的身份,因有时由于交易匿名性的需要,不能确知对方的准确身份,但应能做到知道自己是在与一个可靠的对象通信。端否认性(Non-repudiation):一旦事务结束,有关各方都不能否认自己参与过这次事务。 3.可用性(Availability) 可用性指一旦用户得到访问某一资源的极限,该资源就应该能够随时为他使用,而不应该将其保护起来使用户的合法权益受到损害。在电子商务系统中,提高系统可用性有时还意味着用户仅需经一次登录就可以访问任何其他有权访问的资源,避免对访问不同的服务使用不同的登录过程。 4.风险
5、分析 针对电子商务系统进行的攻击实际上就是试图破坏上述三大信息安全特征,进一步细分。电子商务的风险有以下4类: (1)中断(干扰),包括拒绝服务(DenialofServices)、删除数据。 (2)修改,如修改传输信息、修改可执行代码等。 (3)伪造,如冒充颐客或服务器进行交易、特洛伊木马等。 (4)截取,如设置网络窃听器、监视网上数据流、从数据包中获取敏感信息等。 三、电子商务信息安全的防范策略 1.通用技术 用于保证信息安全的技术通常有:加密、数字签名、身份认证、访问控制、审计以及相关方面的管理。此外,信息安全还将会影响到
6、系统的许多组成部分,包括那些并不直接同安全相关联的成分。各种通用的安全技术,如加密技术算法(保密密钥、公开密钥)、公开密钥系统基础设施(PKI)、各种认证技术(一次性口令、Kerberos、CA)、网络系统各层安全协议(SSL、TLS、IPSEC、PPTP、VPN)、防火墙及保密网关技术等。2.电子支付协议 在现实生活中,人们一般有3种支付方式:现金、支票及卡,同样,电子支付协议也可分为这3种模式。事实上,它的目标就是使用电子手段来实现日常所进行的交易。一个有效的可能成功的电子支付系统必须被广泛认可,该系统必须保证有关各方不易受到欺骗;此外最为重要的
7、一点是必须方便易行。 (1)基于卡的支付协议 基于卡的支付模式有:明文发送信用卡号码;经保密路径发送信用卡号码;通过第三方进行交易。 上述几种方案是在web商务的早期就采用的,对安全性、可靠性以及抗否认性等方面并没有过多的考虑,支付过程实际上还是非在线的,商家在检验信用卡时往往通过专门的网络同信用卡授权机构联系。这一过程如图1所示。 图1经安全Web服务进行的交易 web交易的发展迫切需要新的支付模式,现在的支付模式大致结构如图2。 在安全电子支付协议中,客户浏览Web页面通过常规HTTP协议进行,当需要进行支付时,浏览器启动-支付模块(通
8、常称为电子钱包E-wallet)处理支付协议。 (2)基于支票的支付协议 支票模型模拟了现
此文档下载收益归作者所有