如何理解电子商务安全

如何理解电子商务安全 如何理解电子商务安全 摘要:安全是制约电子商务发展的主要瓶颈。组建电子商务安全实验室,有利于拓展专业的研究范围,有利于加深学生对电子商务安全的理解,掌握基本的网络信息安全技术。 关键词:电子商务安全 实验室建设 Abstract:Security restriction development electronic commerce.Constructing security laboratory widen field ofprofession research deepen students'cognition electronic commerce security.It students master security tech-nology internet information.http://www.51lunwen.com/ecommerce/ words:electronic commerce security;laboratory construction 电子商务是一种新的商务形式,其电子化和安全性是两个明显的特征。作为一种经济、管理、计算机和信息等学科的交叉领域,其专业课程的实验实训对于学生的知识结构的丰富、专业技能的培养起着很重要的促进作用。目前,由于电子商务安全课程还没有受到经管类专业教学人员的足够重视及其特殊的专业交叉性,在不少高校的经管类专业暂时还没开设相关的实验课程。对于某些高校而言,结合电子商务安全与认证这门课程和现有的实验室软硬件环境,组建一个电子商务安全实验室,开展一些电子商务安全的实验教学是很必要的。本文就电子商务安全课程特点进行讨论,探索一个有效实用的电子商务安全实验室解决。 1电子商务安全安全性是电子商务发展的瓶颈之一。对于电子商务而言,使用网络进行询价、下单、成交、结算等活动涉及商业秘密、公众隐私,特别是有关信息卡密码、帐号等敏感信息,一旦泄密将会给企业或个人造成巨大损失。另外操作人员本身安全意识不强也会导致操作系统安全配置不当导致易受到攻击。当前全球性的“黑客”和“计算机病毒”问是网络安全所面临的最大挑战,由此产生的电子商务交易和信息的不安全性制约着电子商务的发展。学习先进的网络安全技术对于电子商务专业的学生来说至关重要。电子商务安全实验室及其开设的实验课程对于学生的理论学习和实验实践是个很好的补充。电子商务安全是网络信息安全的一部分,国内外现有不少信息安全和电子商务安全的研究部门,各自的侧重点不同。有的侧重于政府的管理与法律法规建设,有的侧重于防火墙与入侵检测,有的侧重于防病毒和系统安全,有的侧重于密码学与CA认证管理等等。基于现有的软硬件环境,有侧重点的在经管类专业设置电子商务安全实验室是可行的,也是行之有效的。 2基于电子商务安全的实验教学基于电子商务安全的实验教学的重点是:在实验教学中,加深学生对电子商务安全技术的了解,使其掌握一定的信息安全方面的技能。具体来说,通过电子商务实验室的建设,通过硬件和软件技术的配置,可以选择以下几个方面进行实验教学,并设立相关的实验课程: 2.1了解电子商务安全隐患,容易受到攻击的环节。Internet的开放性和共享性使网络信息安全存在着先天不足。在最开始设计Internet的时候就缺乏对它安全性的总体构想与设计,因此所用的TCP/IP(最基本的网络)是建立在可信的环境下,缺乏安全机制。基于TCP/IP协议的HTTP(超文本传输协议)、FTP(文件传输协议)、SMTP和POP3(电子邮件传输协议)、TEL-NET(远程登陆协议)等等都没有安全机制方面的设计。这些协议在网络中传输着没有加密的用户名和口令信息,而攻击者通过监听工具可以监听到网络的状态、数据流动和未加密的明文信息,进而获得其他用户的口令而登陆到别人的目标主机。连接主机之间基于互相信任的原则使网络更加不安全,网络中某台机器伪装成另一台机器,破坏两台机器间通信链路上的正常数据并可能插入和修改数据,主要有IP地址欺骗。除了网络监听和欺骗这两种攻击方式以外,基于口令认证的系统容易受到口令攻击,服务器容易受到拒绝服务攻击和因为软件BUG导致的缓冲区溢出攻击。计算机系统还容易受到病毒程序,后门程序,木马程序等的攻击,导致用户隐私信息的泄露,比较典型的“网银杀手”这个病毒窃取用户网络银行帐号及其密码。归纳起来,电子商务活动中容易受到攻击的环节是通信信道、主机系统、程序代码漏洞和计算机系统等。基于以上攻击,一般采取的安全措施有对通信信道的数据进行加密,进行服务器身份认证,安装防火墙和入侵检测系统,安装杀毒软件等等。 2.2了解信息传输的安全性、有效性和完整性。保证电子商务安全的最重要的一点就是使用密码术在通信信道上对数据进行加密。一般会使用四种密码学技术:单相散列函数、对称加密机制,非对称加密机制和数字签名。单向散列函数是一种单向的映射函数,它将以任意长度的消息M映射成一个比较短且长度固定的数值--消息摘要。对称密码体制使用单一的密钥加密和解密数据。它常用于加密一般数据。加密数据用的密钥又称会话密钥。非对称密钥体制又称为公开密钥体制。公开密钥体制中,每个人使用一对密钥。即一个公开密钥和一个私有密钥。公开密钥是可以公开的,但私有密钥仅对用户可用,从来不在网络中传输。通常它只用来加密小量数据(如会话密钥等),或者在通信中起着传递会话密钥的作用。公开密钥算法和单向散列函数的结合,提供了数字签名。数字签名通过用某个人的私钥加密某个指定的消息摘要从而把这个人的身份信息与指定的消息绑定在一起,要验证某个消息确实是某个人签发的,则把消息和数字签名一起发送给接收方,接收方用发送者的公钥解密数字签名得到消息摘要,然后把随同发送 过来的消息经过相同的单向散列函数得到新的消息摘要,把这两个消息摘要作比较,相同则认为是合法的发送方签发的消息,值得信赖。否则,消息已被篡改或者是伪造的。综上所述,加密保证信息传输的安全性,签名保证信息的完整性,真实性和不可否认性。 2.3了解网站设计代码的安全性。现阶段国内的大部分动态网站都是采用后台脚本+数据库服务器+网络服务器的架构。SQL(结构查询语言)是其最基本的数据库技术,但这些网站大部分都由于种种原因遭受不同程度的SQL注入攻击。SQL注入攻击由于其广泛性、易学性、难捕捉性已经成为互联网上主流的黑客攻击方式。网页设计和网站建设这门专业课程介绍了网页设计和网站设计的基本技术,但一个功能完善的网站的前提是保证它的安全性。作为电子商务专业的学生而言,从最开始的代码阶段使其了解并掌握代码的安全性,能起着事半功倍的效果。 2.4了解系统设计的安全性,包括CA系统、防火墙、S/MIME、SSL和SET协议。防火墙是计算机硬件与软件的结合,使Internet与Intranet之间建立一个安全网关,从而保护内部网络免受非法用户的侵入。入侵检测系统是一种较新的动态安全技术,该系统监视并处理网络信号,在可能的情况下,主动阻止入侵者试图控制系统及网络资源。这两个技术都是为了保证网络系统和主机安全而进行安全保护的。CA(证授权)是身份认证的第三方机构,通过发放数字证书,计算机系统使用证书的公钥和私钥进行加密和签名,保证信息的安全性,还可以进行身份认证和完整性、不可否认性检验。S/MIME(安全电子邮件协议)保护电子邮件的安全。SET协议(安全电子交易协议)是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SSL协议(Secure Socket Layer,安全套接层)是由网景公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议,提供点到点的安全。 3电子商务实验室建设 3.1实验室硬件和软件环境基于B/S模式(浏览器/服务器模式)的电子商务专业实验模拟软件是现阶段经管类实验室的主要软件构成部分。此类实验室一般把实验软件安装到Web Server上,而学生通过客户端浏览器进行实验。实验室通过光纤宽带接入方便学生上网查找资料。电子商务安全实验室最经济方便的方案就是增加实验室的软件构成,除了已有的Web Server、SQL Server等软件以外,可以选择配置SNIFFER网络分析工具、CA证书服务、.NET软件框架、电子邮件服务器、网络防火墙软件和入侵检测软件等。改变那种通过代理服务器作为互联网接入点,使用集线器级连的网络连接方式,而选择使用路由器+交换机+HUB的方式,实验室拥有互联网独立IP地址。适当添加CA认证服务器,IC卡安全令牌读卡器等硬件设备,进行计算机硬件系统的升级。 3.2实验项目设计实验项目设计是电子商务实验室建设的重要环节,其基本原则是结合电子商务概论、网络支付、网络技术基础、网站设计和电子商务安全与认证这几门课程开展实验课程的设计。结合实际进行多层次研究,最好选择可视和可操作处理,避免出现书本上有,但无法实验而且学生又感觉很模糊的部分。充分发挥互联网和局域网资源共享的特点,发挥多媒体、软件模拟仿真的特点,激发学生通过自主、合作、创造的方式来学习。 3.2.1网络技术基础方面实验安排:实验安排SNIFFER软件对局域网信息的监视,包括对明文信息中用户和口令的监测,对TCP和UDP数据包的检测,对未加密网页的检测。具体对象选择网页中的用户名/口令和电子邮件协议(SMTP/POP3)在网络中传递的明文信息和用户名/口令信息。 3.2.2密码学基础方面实验安排:通过实验对网页或其他信息进行加密、签名,加深学生对密码学技术的了解和掌握。具体对象选择加密网页或加密XML文档,可以就.NET框架里的网络服务的加密、签名、认证和令牌做详细介绍。 3.2.3结合网页设计课程。具体实验对基于SQL SERVER和ACCESS数据库的网站后台程序的SQL注入攻击及其防御,了解代码的安全性和防范措施。 3.2.4对整个电子商务系统的设计进行安全性分析,实验组建局域网CA系统和防火墙,模拟入侵检测。 3.2.5在基于CA证书授权服务的基础之上,模拟实现S/MIME安全电子邮件协议、SET安全电子交换协议和SSL安全套接字协议的处理过程。S/MIME选择OUTLOOK的加密签名邮件,SSL选择通过证书的加密网页进行实验。SET协议模拟信用卡和网上商店及网络银行的操作流程。 电子商务安全涉及的技术比较繁多,本文就一些常用的技术进行介绍和讨论。难免有些片面或不足之处。对电子商务实验室进行构思与设计,对电子商务安全的实验进行教材和实验指导书的编写,其目的是为了更好的解决“教与学”的关系,拓宽学生的知识层次,提高其专业技能,促进电子商务行业的健康发展。 参考文献: [1]李琪,张秦,严建援.电子商务概论[M].人民邮电出版社,2004. [2]全面掌握Web服务安全性[M].清华大学出版社,2004. [3]施奈尔.应用密码学:协议、算法与C源程序[M].机械工业出版社,2001. [4]徐陋,姚国祥.SQL注入攻击全面预防办法及其应用[J].微计算机信息. [5]廖咸真.电子商务网站建设[M].重庆大学出版社.2004. [6]梁晋,等.电子商务核心技术—安全电子交易协议的理论与设计[M].西安电子科技大学出版社,2000.loadBody(Part part)方法需要用到的类为:javax.mail.internet.