文档介绍:绪论
的发展,电子商务已经逐渐成为人们进行商务活动的新模式。进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。
计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
第一章网络的安全性
网络安全性可以大致分为四个相互交织的部分:保密、鉴别、抗抵赖性以及完整性控制。保密是指保护信息不被未授权者访问,这是保护网络安全方面人们最常想到的方法。鉴别是指在传输敏感信息或进行事务处理之前先确认对方的身份。抗抵赖性主要是与数字签名有关。完整性是指保护信息不能被他人访问修改。
加密技术
当前,加密技术大致可以分为三类:密钥加密、公开密钥加密和单向函数。密钥加密使用单一的密钥加密、解密信息。公开密钥使用两个密钥,一个用于加密,另一个用于解密。单向函数是对信息进行加密以便产生原始信息的一个“签名”,该签名在以后用于证明它的权威性。
在网络安全应用领域中,可以利用加密技术将要传输给对方的信息首先进行加密,这样即使在传输过程中,传输报文被其他人获得,但由于获得者对得到的传输信息不了解,这样就保证了传输信息的安全。
鉴别协议
鉴别是验证通信对象是原定的还是冒名顶替者的技术。验证远程实体是不是一个恶意的入侵者十分困难,并需要基于密码学的复杂协议。另外,鉴别和授权是有区别的。鉴别关心的是是否在与一个特定的进程进行通信。授权关心的是允许此进程做什么。
鉴别现在主要包括以下几种鉴别形式:(1)基于共享秘密密钥的鉴别;(2)使用密钥分发中心的鉴别;(3)使用Kerberos的鉴别;(4)使用公开密钥加密算法的鉴别。
数字签名
许多法律、财务以及其它文件的真实性和可靠性,最终还是由授权者的亲笔签名存在与否来确定。复印件是无效的。如果要用计算机化的报文代替文件的传送,就必须找到解决这些问题的办法。
设计这样一个代替亲笔签名的方案是十分困难的。从根本上说,这样一个系统必须有以下几个性质:(1)接收方能够验证发送方所宣称的身份;(2)发送方以后不能否认报文是他发送的;(3)接收方自己不能伪造该报文。
当前,数字签名技术大致分为两种:采用秘密密钥的数字签名和采用公开密钥的数字签名。
未进行操作系统相关安全配置
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“***”是进行网络攻击的首选目标。
未进行CGI程序代码审计
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
拒绝服务(DoS,Denial of Service)攻击
随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。
安全产品使用不当
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。