掃碼下載APP
及時接收最新考試資訊及
備考信息
安卓版本:8.7.50 蘋果版本:8.7.50
開發(fā)者:北京正保會計科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
內(nèi)容摘要:在互聯(lián)網(wǎng)應(yīng)用日漸豐富的背景下,電子商務(wù)具有巨大的發(fā)展前景,金融企業(yè)開發(fā)了很多基于互聯(lián)網(wǎng)的業(yè)務(wù),而很多金融業(yè)務(wù)在網(wǎng)絡(luò)化的支持下提升了服務(wù)效能的同時也會面臨突出的安全問題。本文結(jié)合互聯(lián)網(wǎng)金融業(yè)務(wù)的特點(diǎn),在闡述了電子商務(wù)中網(wǎng)絡(luò)安全的具體問題之后,從安全協(xié)議的配置和安全技術(shù)的采用兩大方面給出應(yīng)用方案建議。
隨著信息技術(shù)的發(fā)展,電子商務(wù)成為當(dāng)今商務(wù)活動的新模式。許多企業(yè)開始通過英特網(wǎng)進(jìn)行商務(wù)活動,電子商務(wù)也具有了廣闊的發(fā)展前景,但是與此同時,其安全問題也變得日益突出。目前,網(wǎng)上金融服務(wù)面臨著和很多普通互聯(lián)網(wǎng)服務(wù)相同的安全威脅,如信息監(jiān)聽、解密、盜取賬號、拒絕服務(wù)等。利用一些思維方法和相關(guān)技術(shù)建立一個安全的電子商務(wù)使用環(huán)境,對商務(wù)傳輸和交換的信息提供必要的加密和防護(hù),已經(jīng)成為用戶和業(yè)界關(guān)注的問題。其特征是針對計算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題,以保證計算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。為了保證電子商務(wù)整個交易活動的安全順利的進(jìn)行,電子商務(wù)系統(tǒng)必須具備幾個安全要素:網(wǎng)絡(luò)電子商務(wù)信息的保密性、完整性、一致性、可用性和抗否認(rèn)性。
電子商務(wù)網(wǎng)絡(luò)安全面臨的威脅
(一)黑客攻擊
網(wǎng)絡(luò)中總是存在各種安全漏洞,因此黑客的攻擊行為是威脅電子商務(wù)安全的一大隱患。黑客攻擊網(wǎng)絡(luò)的目的通常是擾亂系統(tǒng)正常運(yùn)行或者竊取重要的商業(yè)機(jī)密,其慣用的攻擊手段為:竊聽,即黑客通過截獲通訊信道上的重要數(shù)據(jù)并破譯來達(dá)到竊取用戶機(jī)密的目的;重發(fā)攻擊,黑客為達(dá)到影響系統(tǒng)正常運(yùn)行的目的,而將竊聽得到的數(shù)據(jù)經(jīng)過篡改之后重新發(fā)回服務(wù)器或者數(shù)據(jù)庫用戶;迂回攻擊,黑客掌握電子商務(wù)數(shù)據(jù)庫系統(tǒng)的安全漏洞之后,繞過數(shù)據(jù)庫系統(tǒng)而直接訪問機(jī)密數(shù)據(jù);假冒攻擊,黑客先是采取發(fā)送大量無意義的報文而堵塞服務(wù)器和客戶終端的通訊端口以后,再通過假冒該客戶或者該服務(wù)器的方法來非法操作數(shù)據(jù)庫系統(tǒng);越權(quán)攻擊,黑客屬于一個合法用戶,但是其通過某種手段使自己去訪問沒有得到授權(quán)的數(shù)據(jù)。
(二)系統(tǒng)漏洞
電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)入侵者能夠根據(jù)系統(tǒng)本身的安全漏洞得到系統(tǒng)的數(shù)據(jù)操作權(quán)限。而漏洞產(chǎn)生的原因往往是管理系統(tǒng)沒有及時打補(bǔ)丁或者在安全方面的設(shè)置中總是選擇默認(rèn)設(shè)置。此外,如果由于安全檢查措施級別太低,或者審核機(jī)制應(yīng)用不當(dāng)、軟件存在的風(fēng)險以及管理風(fēng)險等,都會使系統(tǒng)形成安全漏洞,從而給破壞者以入侵的機(jī)會。
電子商務(wù)網(wǎng)絡(luò)安全的解決方案
(一)電子商務(wù)安全協(xié)議
安全協(xié)議的確立和完善是安全系統(tǒng)走上規(guī)范化、標(biāo)準(zhǔn)化道路的基本因素。一個較為完善的電子商務(wù)系統(tǒng),應(yīng)該滿足電子商務(wù)的安全需求,實(shí)現(xiàn)加密機(jī)制、驗(yàn)證機(jī)制和保護(hù)機(jī)制等功能。目前,已開發(fā)和應(yīng)用的協(xié)議有:IPv6、安全套接層協(xié)議、安全HTTP協(xié)議和安全電子交易協(xié)議等。本部分著重論述其中安全電子交易協(xié)議的具體實(shí)現(xiàn)機(jī)制。
安全電子交易協(xié)議簡稱SET,是一種基于信息流的安全協(xié)議,其目的是保證用戶、商家和銀行之間在開放的網(wǎng)絡(luò)環(huán)境之下進(jìn)行安全可靠的信用卡交易。它的出現(xiàn),使從前只能在銀行之間進(jìn)行的電子貨幣交易行為范圍擴(kuò)展到了普通用戶的個人電腦領(lǐng)域。SET的技術(shù)核心是認(rèn)證與加密,包括公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。以加密技術(shù)為核心,結(jié)合其他技術(shù)體制,滿足用戶在電子商務(wù)交易中的保密性、完整性和不可抵賴性等安全需求。基于SET安全協(xié)議的網(wǎng)絡(luò)電子商務(wù)交易流程,幾乎完全等同于現(xiàn)實(shí)物理世界的交易過程,唯一的不同點(diǎn)是交易發(fā)生環(huán)境為因特網(wǎng)。
SET的主要安全措施為:
電子數(shù)字簽名技術(shù)。這種方式結(jié)合了私鑰和公鑰體制,采用安全性高、管理方便的RSA算法,交易數(shù)據(jù)的發(fā)出者先將數(shù)據(jù)用私鑰加密,而數(shù)據(jù)抵達(dá)接收方后,用發(fā)送者的公鑰對數(shù)據(jù)進(jìn)行解密還原。一個私鑰嚴(yán)格關(guān)聯(lián)著一個公鑰,因此,數(shù)據(jù)發(fā)出者的信息只能被相應(yīng)的接收者收到。這種方式的發(fā)送方無法抵賴自己曾經(jīng)發(fā)出過的交易數(shù)據(jù)信息。
電子信封技術(shù)。交易信息數(shù)據(jù)的發(fā)出者將所發(fā)的信息用DES加密,然后再使用接收者的公鑰把DES的對稱密鑰加密,這個過程叫做給信息加了電子數(shù)字信封。隨后,交易信息的發(fā)出者將DES加密交易數(shù)據(jù)和電子信封本身一起發(fā)給交易數(shù)據(jù)的信息接收者。對方收到這些數(shù)據(jù)之后,用其自己的公鑰打開電子信封,還原出發(fā)送者的DES對稱密鑰,接著用這個對稱密鑰去還原交易數(shù)據(jù)。這就確保了只有用交易信息接收者的密鑰才可以查看電子信封,因此接收者的身份就可以確定。
SET協(xié)議的目標(biāo)是解決交易環(huán)節(jié)中各個參與者(用戶、商家和銀行)之間使用信用卡支付的安全問題。它應(yīng)用于電子交易環(huán)節(jié),可以有效地保證商務(wù)數(shù)據(jù)的保密性、一致性、完整性和不可抵賴性。
(二)電子商務(wù)安全技術(shù)
電子商務(wù)安全技術(shù)包括備份技術(shù)、密碼技術(shù)、認(rèn)證技術(shù)以及訪問控制技術(shù)等。
1.備份技術(shù)。所謂數(shù)據(jù)庫備份與恢復(fù)方案,目的是在數(shù)據(jù)庫系統(tǒng)故障并且短時間內(nèi)難以恢復(fù)時,用存儲在備份介質(zhì)中的數(shù)據(jù)將數(shù)據(jù)庫還原到備份時的狀態(tài)。數(shù)據(jù)備份根據(jù)數(shù)據(jù)庫管理系統(tǒng)類型的不同, 有多種備份實(shí)施計劃。比如對SQL Server而言,有數(shù)據(jù)庫備份、事務(wù)日志備份、增量備份和文件及文件組備份。電子商務(wù)信息系統(tǒng)的數(shù)據(jù)庫管理系統(tǒng)中必須建立詳細(xì)的備份與恢復(fù)策略??梢园央娮由虅?wù)數(shù)據(jù)庫的故障或障礙分為以下三類:系統(tǒng)故障、事務(wù)故障以及介質(zhì)故障。當(dāng)發(fā)生某種類型的故障時,為了把企業(yè)的損失減少到最低,必須在最短的時間內(nèi)恢復(fù)數(shù)據(jù),因此,根據(jù)企業(yè)的實(shí)際情況和數(shù)據(jù)類型與特點(diǎn),制定出一套合理而經(jīng)濟(jì)的備份和恢復(fù)策略是必要的。
2.認(rèn)證技術(shù)。認(rèn)證技術(shù)可以阻止不擁有系統(tǒng)授權(quán)的用戶非法破壞敏感機(jī)密的數(shù)據(jù),是數(shù)據(jù)庫管理系統(tǒng)為防止各種假冒攻擊安全策略??诹畹淖R別是數(shù)據(jù)庫管理系統(tǒng)進(jìn)行身份認(rèn)證的一種方式,每個具體用戶都被系統(tǒng)事先分配一個固定的用戶名與密碼,電子商務(wù)系統(tǒng)的許多數(shù)據(jù)具有開放性特征,因此必須對每個訪問系統(tǒng)的用戶的身份進(jìn)行認(rèn)證。在用戶對敏感關(guān)鍵的數(shù)據(jù)進(jìn)行存取時,必須在客戶與數(shù)據(jù)庫管理系統(tǒng)之間進(jìn)行身份認(rèn)證。
3.訪問控制技術(shù)。訪問控制方案有三種,分別叫做自主存取控制(DAC)、強(qiáng)制存取控制(MAC)和基于角色的存取控制(RBAC)。當(dāng)用戶對數(shù)據(jù)庫進(jìn)行訪問時,系統(tǒng)會根據(jù)用戶的級別與權(quán)限來判定此操作是允許的或者禁止的,從而達(dá)到保護(hù)敏感數(shù)據(jù)不被泄露或者篡改的目的。在數(shù)據(jù)庫管理系統(tǒng)中,不同的用戶擁有不同的權(quán)限。因此必須保證某個用戶只能訪問或者存取與自己權(quán)限相應(yīng)的數(shù)據(jù)范圍。用戶所擁有的權(quán)限包括兩方面的內(nèi)容:一是用戶可以訪問數(shù)據(jù)庫中什么樣的數(shù)據(jù)對象,二是用戶可以對這些數(shù)據(jù)對象進(jìn)行什么樣的操作。
4.審計技術(shù)。這種有效機(jī)制可以在最大程度上保證數(shù)據(jù)庫管理系統(tǒng)的信息安全。有兩種審計方式:用戶審計和系統(tǒng)審計。用戶啟用審計功能將在數(shù)據(jù)字典中記錄每個用戶操作數(shù)據(jù)庫的全部細(xì)節(jié),包括用戶名稱,操作類型等等;而系統(tǒng)審計則由DBA來進(jìn)行。審計技術(shù)是數(shù)據(jù)庫管理系統(tǒng)對相關(guān)用戶的所有操作過程進(jìn)行監(jiān)視的一種安全方案,該安全方案的具體做法是在審計日志記錄中存放各用戶對數(shù)據(jù)庫施加的動作,包括用戶的修改、查詢和刪除等操作。
5.加密技術(shù)。數(shù)據(jù)庫管理系統(tǒng)的加密以字段為最小單位進(jìn)行,加密和解密通常是通過對稱密碼機(jī)制的密鑰來實(shí)現(xiàn)。數(shù)據(jù)加密時,數(shù)據(jù)庫管理系統(tǒng)把明文數(shù)據(jù)經(jīng)過密鑰轉(zhuǎn)換為密文數(shù)據(jù),數(shù)據(jù)庫中數(shù)據(jù)的存儲狀態(tài)都是密文數(shù)據(jù),而在得到權(quán)限的用戶查詢時,再將密文數(shù)據(jù)取出并解密,從而恢復(fù)明文數(shù)據(jù)。使數(shù)據(jù)庫的安全性得到進(jìn)一步提升。電子商務(wù)系統(tǒng)中的一些商業(yè)機(jī)密數(shù)據(jù)是不允許普通用戶進(jìn)行隨意訪問的。加密方案的目的是控制以上這些機(jī)密數(shù)據(jù)只能被得到相應(yīng)授權(quán)的特定人群所訪問和存取。
結(jié)論
電子商務(wù)的安全是信息安全中的一個重要部分。作為一個內(nèi)涵和外延都是很有廣度與深度的課題,涉及技術(shù)、管理等諸多層次,任何信息安全技術(shù)不是萬能的,因此,為使電子商務(wù)能更好地服務(wù)于社會,需要技術(shù)與管理人員不斷深入解決面臨的實(shí)際問題。
參考文獻(xiàn):
1.王文琴.電子商務(wù)概論.電子工業(yè)出版社,2005
2.劉靜.淺談電子商務(wù)安全策略.長沙大學(xué)學(xué)報,2005
安卓版本:8.7.50 蘋果版本:8.7.50
開發(fā)者:北京正保會計科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
官方公眾號
微信掃一掃
官方視頻號
微信掃一掃
官方抖音號
抖音掃一掃
Copyright © 2000 - odtgfuq.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號