企业电子商务安全策略研究和综合应用
2012-04-29史晶娜
史晶娜
[摘要]随着电子商务发展,电子商务逐渐变成中国经济活动之一。电子商务安全问题不仅涉及到信息安全问题,还涉及到国家的经济安全、金融安全。本文在明确企业电子商务的安全问题和要求下,研究具体安全策略并应用与电子商务上。
[关键词]电子商务;安全问题;策略研究
伴随着互联网的快速发展,电子商务的广阔前景吸引了全球的关注,电子商务的网络效应优势也更加突出。作为发展中国家的中国,在互联网发展方面与发达国家的差距较小,为中国实现超越式发展提供了契机。中国电子商务的发展环境不断得到改善,但电子商务的安全问题是制约我国电子商务实现跨越式发展的瓶颈问题。
一、电子商务安全问题及要求
所谓电子商务安全是指综合运用各种安全技术和设施保护电子商务中交易各方的安全,保证商务活动顺利进行。人们从面对面的交易作业变成虚拟的网上互不见面的操作,没有国界、没有时间限制,可以充分利用互联网工具和资源的同时,也可以进行攻击和破坏。
常见的电子商务安全问题包括:
1.在网络的传输过程中信息被截获
攻击者可以通过因特网、公用电话网、搭线等截获传输的机密信息,或通过对信息流量和流向、通信频度和长度参数的分析,推断出有用信息、如银行账号密码等。
2.传输的文件被恶意篡改
攻击者可以通过篡改、删除和插入三方面来破坏信息的完整性。
3.假冒他人身份
主要包括冒充他人身份,如冒充上级发布指令;冒充他人消费,栽赃;冒充主机欺骗合法主机及合法用户;接管合法用户,欺骗系统,占用合法用户的资源等。
4.抵赖交易信息
主要表现在收(发)信者时候否认曾经接收(发送)过某些信息;购买者不承认确定了订货单;商家违约等。
针对以上安全问题,为了保证交易各方的合法权益,电子商务安全必须满足5项基本要求,即授权合法性、不可抵赖性、保密性、身份的真实性与信息的完整性。
二、企业电子商务安全策略
要保护自己的电子商务资产,所有的组织都要有一个明确的安全策略,即明确描述对所需保护的资产、保护的原因、谁负责保护、哪些行为可接受、哪些行为不可接收的书面描述。安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容,该策略不是一成不变的,公司的安全负责人员必须定期修改安全策略。
虽然现实中没有绝对的安全,但企业可以构造一道屏障来阻止绝大多数的威胁和侵害。制定全面的安全策略必须包含对安全问题的多方面考虑因素。安全策略一般包括以下内容:
认证:谁想访问企业的电子商务网站?
访问控制:允许谁登录电子商务网站并访问它?
保密:谁有权利查看特定的信息?
数据完整性:允许谁修改数据,不允许谁修改数据?
审计跟踪:在何时由何人导致了何事?
三、完善的企业电子商务安全体系策略综合应用
企业的电子商务安全实际上关注的是内容按照从客户机到电子商务服务器的交易处理链进行组织,因此这条链条上必须保护的资产包括客户机、从通信信道上传输的信息、服务器。
1.客户机的安全
客户机应该不受载入软件和数据的安全威胁,尤其是注意以动态网页形式从网上传来的活动内容所带来的安全威胁。客户机面临的另一种威胁是伪装成合法网站的服务器。用户和客户机受骗向非法网站提供敏感信息的案例很多。
在客户机的安全方面最需关注的是网页窃听器,网页上会有某些广告主(从第三方服务器)发出的图片,但是图片小得肉眼看不见。当网络访问者载入此页面时,网页窃听器也从第三方网站发来,在访问者的计算机里放置一个小程序,以跟踪和偷窥客户机的上网行为等内容。
2.通信信道的安全
互联网发展到今天,其不安全状态与最初相比没有太大改观。在互联网上传递信息,从起始节点到目标节点之间的路径是随机选择的,每次所用的路径都可以不同。由于用户根本无法控制传输路径,也不知道信息包经过的节点,所以某个中间节点都可能会读取信息、加以篡改或伪造信息。在互联网上传递信息都会受到对安全、完整和亟需的侵犯。主要解决方法是使用电子商务安全中的加密技术,包括各种加密算法、数字签名和安全协议等。
3.服务器的安全
对于企图破坏或非法获取信息的人来说,企业的服务器有很多弱点可被利用。其中一个入口是WWW服务器及其软件,其他入口包括任何有数据的后台程序,如数据库和数据库服务器。电子商务系统以数据库存储用户数据,并可从WWW服务器所连的数据库中搜索产品信息。数据库中除了产品信息外,还可能保存有价值的信息或隐私信息,一旦被更改或泄露则会给公司带来无法弥补的损失。数据库的安全是通过权限实施的,如果有人得到用户的认证信息,就能伪造成合法的数据库用户来下载保密的信息。现在大多数大型数据库都是用基于用户名和口令的安全措施,一旦用户获准访问数据库,就可以查看数据库中的相关内容。其后果是十分严重的。
总之,我国目前的电子商务安全形势不容乐观,随着电子商务的发展,将会有更多的问题出现。我国企业应重视自身的安全问题,同时国家方面也会加大研发电子商务安全技术,健全电子商务安全体系,不断完善电子商务安全法律法规,构建有中国特色的电子商务安全体系,为推动我国电子商务整体发展加足马力,使中国真正进入安全的电子商务全新时代。
参考文献:
[1]沈昌祥,左晓栋.《信息安全》.浙江大学出版社.2007年10月
[2]肖德琴,周权.《电子商务安全》.高等教育出版社.2009年9月第1版
[3]杨坚争,赵雯,杨立钒.《电子商务安全与电子支付》.机械工业出版社.2007年3月
[4]余潇枫,潘一禾,王江丽著.《非传统安全概论》.浙江人民出版社.2006年第1版
