前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用研究范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
摘要:計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展促使電子商務(wù)應(yīng)用得到迅速發(fā)展,而電子商務(wù)在為用戶提供更廣闊的交易平臺(tái)。同時(shí),其網(wǎng)絡(luò)安全問題日益凸顯,因此保障電子商務(wù)網(wǎng)絡(luò)安全運(yùn)行十分重要。本文針對(duì)B/S架構(gòu)的電子商務(wù)網(wǎng)絡(luò)安全問題進(jìn)行了研究,具體從數(shù)據(jù)信息、網(wǎng)絡(luò)邊界、用戶計(jì)算機(jī)、電子商務(wù)網(wǎng)站及服務(wù)器四個(gè)方面分析了電子商務(wù)應(yīng)用中存在的安全隱患,并從數(shù)據(jù)信息安全防護(hù)技術(shù)、網(wǎng)絡(luò)邊界訪問控制技術(shù)及入侵防御技術(shù)、網(wǎng)站及服務(wù)器安全防護(hù)技術(shù)、計(jì)算機(jī)病毒防范技術(shù)四個(gè)方面提出了電子商務(wù)網(wǎng)絡(luò)安全技術(shù)防護(hù)措施。最后,提出了從技術(shù)、管理制度、人員素質(zhì)等多個(gè)方面考慮,構(gòu)建電子商務(wù)網(wǎng)絡(luò)安全體系的必要性。
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);電子商務(wù);網(wǎng)絡(luò)安全
0引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)逐漸滲透到各個(gè)領(lǐng)域,人們的生活方式發(fā)生了翻天覆地的變化,尤其是電子商務(wù)的發(fā)展,為人們提供了更加便捷的交易平臺(tái),打破了以往交易在時(shí)間和空間上的限制,其用戶群體在不斷地?cái)U(kuò)大,這個(gè)給電子商務(wù)帶來了巨大的發(fā)展空間。然而,由于互聯(lián)網(wǎng)具有互動(dòng)性、開放性及應(yīng)用廣泛性等特點(diǎn)[1],其日漸顯露的安全問題也給電子商務(wù)的運(yùn)營(yíng)及發(fā)展帶來了威脅。如何構(gòu)建一個(gè)安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境,促進(jìn)電子商務(wù)健康穩(wěn)定的發(fā)展,成為目前電子商務(wù)領(lǐng)域亟待解決的問題。
1電子商務(wù)的網(wǎng)絡(luò)安全隱患
電子商務(wù)是一種采用計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù),基于瀏覽器/服務(wù)器的應(yīng)用方式,實(shí)現(xiàn)消費(fèi)者網(wǎng)上購(gòu)物及買賣雙方的網(wǎng)上交易和在線電子支付等商務(wù)活動(dòng)的新型的商業(yè)運(yùn)營(yíng)模式。隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)的安全性成為制約電子商務(wù)持續(xù)發(fā)展的重要因素,因此確保計(jì)算機(jī)網(wǎng)絡(luò)的安全性是電子商務(wù)長(zhǎng)期穩(wěn)定運(yùn)行、健康發(fā)展的首要前提條件。目前情況分析,電子商務(wù)所面臨的網(wǎng)絡(luò)安全隱患眾多[2][3],歸結(jié)起來主要體現(xiàn)在數(shù)據(jù)信息、網(wǎng)絡(luò)、用戶計(jì)算機(jī)、網(wǎng)站及服務(wù)器安全等方面。
1.1數(shù)據(jù)信息安全隱患
電子商務(wù)運(yùn)行過程中,若網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)未采用任何加密措施,即數(shù)據(jù)信息以明文方式在網(wǎng)絡(luò)中傳送,很容易在傳送的過程中被截獲,使用戶的信息被竊取和篡改,有的甚至遭到攻擊者冒充合法用戶發(fā)送假冒信息欺騙合法主機(jī)及用戶,嚴(yán)重侵害了合法用戶的權(quán)益。因此難以保證數(shù)據(jù)信息的完整性、正確性及保密性。
1.2網(wǎng)絡(luò)邊界安全隱患
電子商務(wù)系統(tǒng)依賴于網(wǎng)絡(luò)與外部進(jìn)行數(shù)據(jù)的交換,在這一過程中若保護(hù)不當(dāng)就給攻擊者留下了可乘之機(jī),攻擊者會(huì)通過某種途徑獲得對(duì)系統(tǒng)的訪問權(quán),從而為系統(tǒng)的安全性留下了隱患。攻擊者進(jìn)行網(wǎng)絡(luò)攻擊的實(shí)質(zhì)就是利用系統(tǒng)自身存在的安全漏洞,通過使用網(wǎng)絡(luò)命令和專用軟件進(jìn)入對(duì)方網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊。目前在網(wǎng)絡(luò)安全技術(shù)中典型的網(wǎng)絡(luò)攻擊手段主要有拒絕服務(wù)攻擊(Dos/DDos)、欺騙類攻擊、控制類攻擊、探測(cè)類攻擊以及漏洞類攻擊等[4]。拒絕服務(wù)攻擊的目的是破壞系統(tǒng)的正常運(yùn)行,最終導(dǎo)致網(wǎng)絡(luò)連接堵塞,或者使服務(wù)器系統(tǒng)的相關(guān)服務(wù)崩潰,系統(tǒng)資源耗盡,進(jìn)而導(dǎo)致系統(tǒng)無法正常運(yùn)行。典型的拒絕服務(wù)攻擊為同步洪流、LAND攻擊、Ping洪流、死亡之Ping;欺騙類攻擊是以不同的方式通過偽造假信息來實(shí)施欺騙攻擊,典型的欺騙類攻擊為Arp欺騙、DNS欺騙、IP地址欺騙;控制類攻擊表現(xiàn)為通過某種方式獲得對(duì)機(jī)器的控制權(quán)進(jìn)而攻擊,最常見的為緩沖區(qū)溢出攻擊、木馬攻擊、口令入侵等;探測(cè)類攻擊通過搜集目標(biāo)系統(tǒng)的網(wǎng)絡(luò)安全缺陷等相關(guān)信息,為以后的入侵提供幫助。漏洞類攻擊是根據(jù)網(wǎng)絡(luò)體系中存在的各種漏洞進(jìn)行攻擊。隨著網(wǎng)絡(luò)攻擊形式的不斷變化,網(wǎng)絡(luò)攻擊趨于采取多種攻擊手段相結(jié)合的形式進(jìn)行攻擊,其形式更加多樣化。
1.3電子商務(wù)網(wǎng)站及服務(wù)器安全隱患
一些電子商務(wù)網(wǎng)站在初期設(shè)計(jì)制作時(shí),缺乏對(duì)網(wǎng)站整體安全性的考慮,存在一些安全漏洞,如SQL注入漏洞、上傳漏洞、跨站注入漏洞等[5][6],攻擊者利用這些漏洞進(jìn)入電子商務(wù)網(wǎng)站,將會(huì)導(dǎo)致大量用戶及交易信息泄露的風(fēng)險(xiǎn),其造成的損失是無法估計(jì)的。另外,網(wǎng)站服務(wù)器是保證網(wǎng)站能夠安全運(yùn)行的前提條件之一,若服務(wù)器系統(tǒng)本身存在漏洞,往往會(huì)被病毒利用侵入并攻擊,將會(huì)給網(wǎng)站的安全運(yùn)行帶來大量的安全隱患。如若用戶賬號(hào)和權(quán)限設(shè)置不當(dāng),未設(shè)置安全的密碼策略,同樣也會(huì)給入侵者留下攻擊的途徑,最終導(dǎo)致服務(wù)器系統(tǒng)的崩潰和信息的泄漏等安全隱患。
1.4用戶計(jì)算機(jī)安全隱患
在電子商務(wù)交易過程中,由于商家和客戶的交易操作都是通過使用電腦瀏覽器在網(wǎng)絡(luò)上進(jìn)行的,這些用戶在操作時(shí)使用的計(jì)算機(jī)可能是個(gè)人、網(wǎng)吧、辦公室的計(jì)算機(jī),如果計(jì)算機(jī)中存在病毒和木馬,可能會(huì)導(dǎo)致用戶的登錄和交易信息如登錄用戶名和密碼、銀行賬號(hào)和密碼等泄露或丟失的危險(xiǎn)。
2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用
2.1數(shù)據(jù)信息安全防護(hù)技術(shù)
2.1.1數(shù)據(jù)加密技術(shù)
加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)中的核心技術(shù),同時(shí)也是電子商務(wù)采取的主要安全保密措施,用來保護(hù)數(shù)據(jù)在傳輸過程中不被竊聽或修改。信息在加密過程中典型的加密技術(shù)為對(duì)稱加密和非對(duì)稱加密[7][8]。對(duì)稱加密采用了對(duì)稱密碼編碼技術(shù),即在文件加密和解密過程中使用同一密鑰,此方法也叫做對(duì)稱加密算法。該算法的典型代表為數(shù)據(jù)加密標(biāo)準(zhǔn)(DES,DataEncryptionStandard)。對(duì)稱加密算法的流程。發(fā)送方使用加密算法利用密鑰K對(duì)要發(fā)送的明文進(jìn)行加密,然后將密文通過網(wǎng)絡(luò)傳輸給接收方。接收方在接收了發(fā)送方發(fā)來的密文之后,利用密鑰K使用解密算法進(jìn)行解密,最終獲取明文。與對(duì)稱加密算法不同,非對(duì)稱加密算法中涉及兩個(gè)密鑰,即:公開密鑰(publickey)和私有密鑰(privatekey)。公開密鑰與私有密鑰成對(duì)出現(xiàn),共同完成數(shù)據(jù)的加密和解密工作。若數(shù)據(jù)加密時(shí)使用的是公開密鑰,則需要使用對(duì)應(yīng)的私有密鑰進(jìn)行解密,反之亦然。由于加密和解密過程中使用兩個(gè)相對(duì)應(yīng)的不同的密鑰,因此該算法稱為非對(duì)稱加密算法。非對(duì)稱加密算法的典型代表為RSA(RivestShamirAdleman)算法。非對(duì)稱加密算法的流程。發(fā)送方使用加密算法利用密鑰對(duì)中的公鑰對(duì)發(fā)送方發(fā)來的明文進(jìn)行加密形成密文,然后將加密后的密文通過網(wǎng)絡(luò)傳輸送達(dá)接收方。當(dāng)接收方接收了發(fā)送方發(fā)來的密文之后,利用密鑰對(duì)中公鑰對(duì)應(yīng)的私鑰使用解密算法進(jìn)行解密,接收方最終獲取明文信息。對(duì)稱加密算法與非對(duì)稱加密算法二者在應(yīng)用中各有優(yōu)勢(shì),對(duì)稱加密算法密鑰較短,加密處理簡(jiǎn)單快捷且破譯困難;非對(duì)稱加密算法密鑰管理簡(jiǎn)單,方便實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證。在實(shí)際應(yīng)用中,多采用二者相結(jié)合的方式。
2.1.2認(rèn)證技術(shù)
(1)數(shù)字簽名技術(shù)
加密技術(shù)只解決了電子商務(wù)信息在傳遞過程中的保密性問題,但對(duì)于一些偽造信息和抵賴行為[1],單靠加密技術(shù)是遠(yuǎn)遠(yuǎn)不夠的。數(shù)字簽名技術(shù)針對(duì)偽造信息和抵賴行為等這些不良現(xiàn)象提供了很好的解決方法。數(shù)字簽名的實(shí)現(xiàn)主要是基于密鑰加密和數(shù)字摘要技術(shù)。而在數(shù)字簽名算法中,被廣泛應(yīng)用的是利用公開密鑰加密技術(shù)的數(shù)字簽名。數(shù)字摘要。數(shù)字摘要即Hash編碼,利用單向的散列函數(shù)將明文加密成一串固定長(zhǎng)度的散列值,通常為128位。散列值具有唯一性的特點(diǎn)。數(shù)字簽名。數(shù)字簽名即發(fā)送方利用私有密鑰對(duì)數(shù)字摘要進(jìn)行加密從而形成數(shù)字簽名。數(shù)字簽名實(shí)現(xiàn)了數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的安全性和完整性。利用數(shù)字簽名進(jìn)行驗(yàn)證的過程.數(shù)字簽名驗(yàn)證過程數(shù)字時(shí)間戳。在電子商務(wù)中,除了要考慮數(shù)據(jù)信息的保密性、完整性、正確性及不可否認(rèn)和偽造等方面的安全因素,還需要考慮交易日期和時(shí)間等信息的安全性,數(shù)字時(shí)間戳可以作為電子商務(wù)交易信息的時(shí)間認(rèn)證,進(jìn)一步為電子信息在時(shí)間上提供了安全保護(hù)。通常數(shù)字時(shí)間戳服務(wù)由第三方機(jī)構(gòu)提供。
(2)數(shù)字證書
電子商務(wù)中的數(shù)字證書是交易雙方的憑證,用于證明用戶合法身份的,主要由權(quán)威機(jī)構(gòu)發(fā)放。證書采用電子文檔的形式記錄用戶的公開密鑰及其他身份信息來證實(shí)用戶的合法身份和資源訪問權(quán)限。數(shù)字證書的類型包括:個(gè)人數(shù)字證書、服務(wù)器證書、開發(fā)者證書。
(3)CA認(rèn)證中心
CA認(rèn)證中心是承擔(dān)網(wǎng)上認(rèn)證服務(wù)并能簽發(fā)數(shù)字證書、確認(rèn)用戶合法身份的第三方機(jī)構(gòu)。其主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書進(jìn)行管理。在電子商務(wù)認(rèn)證體系中,CA擔(dān)當(dāng)了權(quán)威的認(rèn)證中心的職責(zé),對(duì)電子商務(wù)的安全起到了非常關(guān)鍵的作用。
2.2網(wǎng)絡(luò)邊界安全防護(hù)技術(shù)
2.2.1訪問控制技術(shù)
網(wǎng)絡(luò)邊界處采用訪問控制技術(shù)可以在內(nèi)外部網(wǎng)絡(luò)之間構(gòu)造保護(hù)屏障,防止來自外部網(wǎng)絡(luò)的攻擊,保證網(wǎng)絡(luò)資源不被非法使用和訪問。典型的產(chǎn)品為防火墻,它采用隔離控制技術(shù),阻擋來自外部的網(wǎng)絡(luò)入侵,防止系統(tǒng)資源被非法盜用,同時(shí)也可以阻止重要信息從內(nèi)部網(wǎng)絡(luò)被非法輸出,保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。電子商務(wù)系統(tǒng)網(wǎng)絡(luò)邊界處采用訪問控制技術(shù)進(jìn)行安全邊界隔離和訪問控制,可以大大降低電子商務(wù)內(nèi)部網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
2.2.2入侵防御技術(shù)
采用防火墻技術(shù)進(jìn)行安全邊界隔離和訪問控制,在一定程度上降低了電子商務(wù)系統(tǒng)網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn),但僅僅使用防火墻技術(shù)來解決網(wǎng)絡(luò)安全問題還遠(yuǎn)遠(yuǎn)不夠。入侵防御系統(tǒng)(IPS)是對(duì)防病毒軟件和防火墻的補(bǔ)充,具有實(shí)時(shí)檢測(cè)與主動(dòng)防御功能的網(wǎng)絡(luò)安全設(shè)備,能夠?qū)崟r(shí)監(jiān)視整個(gè)網(wǎng)絡(luò)運(yùn)行狀況,并且能夠針對(duì)一些不正?;蚓哂袀π缘木W(wǎng)絡(luò)行為采取中斷、調(diào)整或隔離的措施。入侵防御系統(tǒng)IPS具有嵌入式運(yùn)行的特征,能夠?qū)崟r(shí)攔截可疑數(shù)據(jù)包,同時(shí),具有深入分析和控制能力,實(shí)現(xiàn)了網(wǎng)絡(luò)的實(shí)時(shí)安全防護(hù)。因此,網(wǎng)絡(luò)邊界處采用入侵防御技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)檢測(cè)與主動(dòng)防御,進(jìn)一步降低了電子商務(wù)內(nèi)部網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
2.3網(wǎng)站及服務(wù)器安全防護(hù)技術(shù)
2.3.1網(wǎng)站防火墻技術(shù)
相比傳統(tǒng)的防火墻和IPS產(chǎn)品,Web應(yīng)用防火墻是集WEB防護(hù)、網(wǎng)頁保護(hù)、負(fù)載均衡、應(yīng)用交付于一體的WEB整體安全防護(hù)設(shè)備,能夠針對(duì)Web應(yīng)用攻擊提供更全面、更精準(zhǔn)的防護(hù),尤其對(duì)一些可以“繞過”傳統(tǒng)防火墻和IPS的攻擊方法,可以精準(zhǔn)地阻斷。Web應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的安全產(chǎn)品。針對(duì)目前常見的Web應(yīng)用層攻擊:緩沖區(qū)溢出、Cookie假冒、跨站腳本攻擊、SQL注入等,采用Web防火墻技術(shù)可以對(duì)Web應(yīng)用起到很好的安全防護(hù)作用。
2.3.2服務(wù)器安全防護(hù)技術(shù)
系統(tǒng)管理人員可以通過設(shè)置賬號(hào)規(guī)則、更改用戶權(quán)限、設(shè)置安全密碼、配置安全策略、關(guān)閉不必要的端口、開啟審核策略等方式來保障服務(wù)器主機(jī)的安全。同時(shí),服務(wù)器上應(yīng)采取病毒防護(hù)措施,通過在服務(wù)器上安裝殺毒軟件,不僅能殺掉一些著名的病毒,還能查殺大量的木馬和后門程序,保護(hù)系統(tǒng)的安全。另外,由于服務(wù)器操作系統(tǒng)常常存在一些技術(shù)漏洞。系統(tǒng)管理人員在服務(wù)器運(yùn)維過程中,要及時(shí)下載補(bǔ)丁,安裝最新補(bǔ)丁,防止因系統(tǒng)漏洞而帶來安全隱患。
2.4計(jì)算機(jī)病毒防范技術(shù)
計(jì)算機(jī)病毒是指編寫者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼[9]。計(jì)算機(jī)病毒具有繁殖性、破壞性、傳染性、潛伏性、隱蔽性及可觸發(fā)性等特點(diǎn),其危害性不可忽視。從技術(shù)上考慮,計(jì)算機(jī)病毒的防范應(yīng)采取如下措施:(1)安裝正版軟件,不使用盜版或來歷不明的軟件。(2)安裝殺毒軟件進(jìn)行防護(hù),并定期進(jìn)行升級(jí)更新病毒代碼庫(kù)。(3)打開計(jì)算機(jī)防火墻,關(guān)閉不必要的端口。(4)定期做好數(shù)據(jù)備份以減少數(shù)據(jù)丟失和損壞的損失。
3結(jié)論
本文根據(jù)目前基于B/S架構(gòu)的電子商務(wù)中存在的網(wǎng)絡(luò)安全隱患進(jìn)行了分析,結(jié)合電子商務(wù)運(yùn)行特點(diǎn),從計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的角度進(jìn)行了研究,提出了具體的防范措施。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,電子商務(wù)業(yè)務(wù)功能不斷復(fù)雜化,電子商務(wù)的網(wǎng)絡(luò)安全問題并非是一成不變的。因此,要從技術(shù)、管理制度、人員素質(zhì)等多個(gè)方面進(jìn)行考慮,構(gòu)建一個(gè)集技術(shù)、管理制度、法律法規(guī)等多方面的網(wǎng)絡(luò)安全體系。
參考文獻(xiàn):
[1]姜靈敏.電子商務(wù)網(wǎng)絡(luò)安全技術(shù)[J].微型電腦應(yīng)用,2001.
[2]張婭妮.電子商務(wù)網(wǎng)絡(luò)安全問題的現(xiàn)狀與防范措施[J].計(jì)算機(jī)安全,2013.
[3]王慶.淺談電子商務(wù)的網(wǎng)絡(luò)安全[J].電腦知識(shí)與技術(shù),2014.
[4]魏為民,袁仲雄.網(wǎng)絡(luò)攻擊與防御技術(shù)的研究與實(shí)踐[J].信息網(wǎng)絡(luò)安全,2012.
[5]文志華,周序生.多方位WEB網(wǎng)站安全防御系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014.
[6]樊程,戴洪,翟新吉,蔣靜.基于JSP網(wǎng)站安全的案例分析與解決方案[J].青島大學(xué)學(xué)報(bào)(自然科學(xué)版),2011.
[7]劉宇平.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)安全中的應(yīng)用分析[J].信息通信,2012.
[8]王秀翠.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)通信安全中的應(yīng)用[J].軟件導(dǎo)刊,2011.
[9]張笑.計(jì)算機(jī)病毒防范技術(shù)的探究[J].電子技術(shù)與軟件工程,2014.
[10]金紅兵.電子商務(wù)網(wǎng)絡(luò)安全問題現(xiàn)狀及防范措施[J].信息安全與技術(shù),2016.
[11]蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:中國(guó)水利水電出版社,2002.
作者:張苗 單位:吉林省科技館
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:北大期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)