论文部分内容阅读
摘 要:进入21世纪之后电子商务得到了迅速发展,电子商务相对于传统商务具有无法比拟的优势,但是在开展电子商务中需要注意网络安全问题,例如网络黑客攻击等。本文对电子商务中存在的网络安全问题进行了简要介绍,并对网络安全认证技术、信息加密以及数字签名等技术进行了阐述,为未来构建和谐、安全的电子商务网络提供一些借鉴。
关键词:电子商务;网络安全防范;加密技术;安全认证技术;安全体系
一、前言
电子商务在进入21世纪时候得到了快速发展,人们的线下消费活动受到了很大的限制,而电子商务等线上业务得到了人们的热爱。电子商务销售的产品从以前的产品不断扩展,汽车、家电、各类服务项目等都可以使用线上的方式进行销售。电子商务和传统的商务模式相比具有非常大的优势,具体体现在:
(一)能够迅速对市场做出反应,由于电子商务的沟通方式是通过网络,网络具有信息传递速度快的优势,因而在市场出现变动时,电子商务的双方可以通过网络即时对交易进行更改或者取消;
(二)成本低。传统的商务活动需要销售地点以及很多的销售人员,而电子商务很多时候只需要一个较小的仓库即可,很多电子商务的商家只是在网上充当销售人员,而不用去大量囤积货物,免去了高额的商铺成本,降低了经营风险。
基于电子商务具有的这种优势,传统的商品销售很难达到,使得现代的很多商家和企业同买家之间的信息交流程度大大加快,使得企业能够提升运行效率,降低企业的运行成本。但是同时电子商务也带来了一系列的问题,特别是电子商务活动增加了之后,由于很多交易信息等都是通过全球性网络进行传输,因而电子商务中的网络信息安全成为了当下的研究热点。对电子商务中的安全性问题及防范策略研究对未来进一步拓展电子商务等具有非常重要的意义。
二、电子商务中存在的网络安全问题
在电子商务中,开放性以及网络全球性是其主要特征,但是由于网络技术本身存在的很多不确定性,会导致诸如信息泄露、网络盗窃等案件发生。以下对这些问题进行简要说明:
(一)黑客攻击:黑客攻击普遍是利用网络协议中存在的漏洞或者服务器中存在的bug来对电子商务网站中进行攻击,而这些攻击可以是连续的,也可以是断续的,同时攻击具有突然性,因而对很多的电子商务企业很难抵御这种攻击,会造成很大的损失。比如几年前浙江的很多商家网站遭到国外的黑客团队攻击长达一个月,每天因为攻击而造成的订单流失高达百万元。黑客攻击电子商务网站试图获取账户信息,或者直接伪造交易数据等,从而实现其自身的目的。
(二)服务器问题及病毒攻击等。服务器上承载着电子商务的核心数据,这些核心数据一旦出现问题,将会产生难以估量的后果,特别是一些服务器被攻击后很多数据都难以恢复。目前很多商家将数据存储在云平台,作为服务器数据的备份,但是很多商家难以承担云平台的服务费用,并且云平台存储也有可能会出现被攻击或者操作失误等问题。尽管随着计算机技术的快速发展和进步,计算机安全环境得到一定改善,但是病毒攻击、木马攻击等的风险仍然存在。例如淘宝网上曾经出现过的“一元购”事件就是由于淘宝网被攻击,导致大量的一元钱价格成交的订单,而事实上买卖双方对此均无异议,但是淘宝网取消了订单,由此产生了更为深远的影响。
三、电子商务中网络安全防范策略
目前在电子商务中应用的较多的网络安全技术策略包括安全认证技术、信息加密技术等,而在网络安全防范策略上需要从技术以及构建电子商务安全防范体系上入手。
(一)安全认证技术
认证是通过一定的技术方法判断被认证对象是否有效的一个过程。安全认证技术是电子商务网络安全技术策略的重要组成部分,通过认证可以让双方确认对方身份,从而保证通信信息安全。数字签名和数字证书是最为常见的两种认证方式。数字签名同时也被称之为公钥数字签名,这种签名由一段具有特别算法生成的数字组成,由于算法生成的不可逆性,因而这种信息是无法被伪造的,因而在传输过程中能够通过对数字签名的识别来判断信息的真伪。在电子商务的开展过程中,如果A和B展开交易和对话,那么A发送的信息使用秘钥进行加密,而B在接收端使用解秘钥的算法进行解密和还原,双方互为反运算,从而对信息进行有效验证。在数字签名的应用过程中,可以将其分为公钥密码体系和私钥密码体系。基于这两种体系都可以获得数字签名,不同的是两者所使用的密码算法完全不一样。例如使用公钥密码算法得到的数字签名一般使用的算法包括了RSA、
Fiat-Shamir、Schnorr、Guillou- Quisquarter、Ong-Schnorr-Shamir等,使用最多的是RSA算法,每个国家都制定了相关的电子商务中关于数字签名的法律,从而解决在电子商务中因為数字签名所产生的争端,保护正常交易者的合法利益。
图1位数字签名的认证过程,数字签名的认证过程如下:在A和B产生对话及认证时需要发送报文,比如1010的一个数据,这时A根据哈希函数对这个数据进行加密,并且将这个加密的报文视为数字签名,最后发送的数据包括了数字签名以及要发送的正文。B收到报文和数字签名后,首先需要根据数字签名计算出摘要,然后使用哈希函数查看 报文中的摘要和计算出的摘要是否一致。如果完全一致,则认为该报文为A发送。通过这种人证过程,有效解决了信息发送中的安全问题,同时也为电子商务参与的各方提供了一个验证身份的机会。
数字证书需要使用密钥进行加密和解密,可以有很多个用户同时共享一个公用密钥,用于加密和验证签名,而私钥主要用于解密,这样就可以保证数据的安全。数字证书应用于现代电子商务主要体现在:
1.在现代商务的信息传递中,例如报价、订单具体信息等,首先需要对方对此信息的发送进行确认,通过公钥对此信息进行加密,并且保证在信息的传递处于加密状态,接收方接收的信息也是经过加密的,这样信息就一直处于加密状态,从而最大程度上保证了若该信息被黑客或者其他人窃取也无法获取其中的信息,同时也无法对此信息进行更改。这一点在现代商务的开展中尤其重要,数据的完整性以及准确性得到了最大程度的保证。 2.接收信息的一方所持有的密钥具有唯一性,因而只有接收的一方才能获取此信息,因而数字证书具有高度的可靠性。数字证书中有数字签名,数字签名本质上类似于将信息也进行了加密,更进一步保证了信息安全。
(二)信息加密技术及应用
信息加密技术是电子商务开展的基本必要条件。在电子商务开展的过程中,信息的安全性以及隐私性至关重要,在未来相当长一段时间内,信息的价值将远远超过商品本身。顾客在通过网络购买商品时的信息包括了购买的商品、价格、用户地址等,而这些信息极有可能会被黑客利用并对相关信息进行售卖,甚至这些信息有可能被用作其他人实施诈骗的帮凶。
当前信息加密技术包括了通信软件的加密以及数据传输的加密。在电子商务中卖家和顾客之间的沟通需要借助一些软件,包括一些常用的聊天软件、基于Web的一些小工具等,这些软件本身可能会存在一些漏洞,因而可能会被不法分子所利用,这就需要开发者不断地对这些软件加以改进和测试,防止软件中的一些bug被人利用。而数据传输的加密则是通过使用密钥或者密码等方式,对发送的信息加密,在具体实现方法上则是改变原有信息的数据结构,从而使得这些报文信息在没有密钥的情况下无法被正确解读。目前根据保密情况的需求,可以适用面单一的算法进行加密,也可以使用多重算法或者密钥进行加密,加密过的数据称之为密文,而通过算法重新计算出来的称之为明文。如果使用双重密码对数据信息进行加密,则称之为双重密钥。双重密钥的保密性非常高,但是应用非常受限,对使用环境要求较高。
信息加密算法中较为著名的是RSA密码算法,RSA密码具有开放性的特点,在管理上也较为简单,同时已经被证明RSA可以抵挡目前所知的几乎所有密码攻擊,在电子商务中应用RSA密码算法对信息加密具有极高的安全性。但是使用RSA算法时对于数据加密型的速度比较低,算法仍然过于复杂,所有在很多的条件下会使用一些较为简单的加密算法。除此之外还需要对数据的存储进行加密,防止在买卖结束后不法分子通过一些手段非法获取数据,需要从源头上对访问权限、访问识别等方面着手。
(三)构建电子商务网络安全控制体系
除了从技术上保障电子商务网络安全以外,还需要构建电子商务网络安全控制体系,不仅需要从加密算法、签名认证等方面加强信息的保密,还需要从电子商务开展所需要的网络设备、网络软件系统、病毒防范、防火墙、识别、代理等方面着手,物理硬件方面、软件方面等全方位保证电子商务网络安全。
图2为电子商务网络安全控制体系,分为五层,分别为网络服务层、加密技术层、安全认证层、交易协议层、应用系统层。下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。采用的主要技术包括防火墙技术、访问识别技术、身份认证技术、攻击检测、漏洞检测等,各层通过控制技术的递进实现电子商务系统的网络安全。
四、结论
电子商务是现代世界经济发展的重要组成部分,网络信息安全是电子商务开展的重要保障。当前网络安全仍然面临着诸多问题,面对这些问题,本文对电子商务中的网络安全防范策略进行了分析和阐述,并从安全认证、数据加密以及构建电子商务网络安全控制体系等三个方面介绍了具体的防范策略及原理。
参考文献:
[1]许远.一种基于区块链的移动电子商务应用性能分析[J].自动化技术与应用,2020,39(06):169-172.
[2]高鹏.大数据时代电子商务的机遇与挑战分析[J].中国设备工程,2020(11):228-230.
[3]李静,郭云峰.SET协议的电子商务支付安全加密方法[J].现代电子技术,2020,43(11):83-86.
[4]陈又铜,李勃翰.计算机网络通信安全中数据加密技术的应用研究[J].计算机产品与流通,2020(06):56.
[5]郭威涛.简析数据加密技术在计算机网络信息安全中的应用[J].网络安全技术与应用,2020(05):48-49.
作者简介:
刘志尧(1993-),男,汉族,黑龙江哈尔滨人,硕士,助理工程师;研究方向:工控安全、信息技术;
胡 彬 (1982-),男 ,高级工程师,长期从事网络空间安全,工业控制系统安全分析与研究。有丰富的网络安全、工业控制系统安全测试、测评的理论基础和实践经验;
关键词:电子商务;网络安全防范;加密技术;安全认证技术;安全体系
一、前言
电子商务在进入21世纪时候得到了快速发展,人们的线下消费活动受到了很大的限制,而电子商务等线上业务得到了人们的热爱。电子商务销售的产品从以前的产品不断扩展,汽车、家电、各类服务项目等都可以使用线上的方式进行销售。电子商务和传统的商务模式相比具有非常大的优势,具体体现在:
(一)能够迅速对市场做出反应,由于电子商务的沟通方式是通过网络,网络具有信息传递速度快的优势,因而在市场出现变动时,电子商务的双方可以通过网络即时对交易进行更改或者取消;
(二)成本低。传统的商务活动需要销售地点以及很多的销售人员,而电子商务很多时候只需要一个较小的仓库即可,很多电子商务的商家只是在网上充当销售人员,而不用去大量囤积货物,免去了高额的商铺成本,降低了经营风险。
基于电子商务具有的这种优势,传统的商品销售很难达到,使得现代的很多商家和企业同买家之间的信息交流程度大大加快,使得企业能够提升运行效率,降低企业的运行成本。但是同时电子商务也带来了一系列的问题,特别是电子商务活动增加了之后,由于很多交易信息等都是通过全球性网络进行传输,因而电子商务中的网络信息安全成为了当下的研究热点。对电子商务中的安全性问题及防范策略研究对未来进一步拓展电子商务等具有非常重要的意义。
二、电子商务中存在的网络安全问题
在电子商务中,开放性以及网络全球性是其主要特征,但是由于网络技术本身存在的很多不确定性,会导致诸如信息泄露、网络盗窃等案件发生。以下对这些问题进行简要说明:
(一)黑客攻击:黑客攻击普遍是利用网络协议中存在的漏洞或者服务器中存在的bug来对电子商务网站中进行攻击,而这些攻击可以是连续的,也可以是断续的,同时攻击具有突然性,因而对很多的电子商务企业很难抵御这种攻击,会造成很大的损失。比如几年前浙江的很多商家网站遭到国外的黑客团队攻击长达一个月,每天因为攻击而造成的订单流失高达百万元。黑客攻击电子商务网站试图获取账户信息,或者直接伪造交易数据等,从而实现其自身的目的。
(二)服务器问题及病毒攻击等。服务器上承载着电子商务的核心数据,这些核心数据一旦出现问题,将会产生难以估量的后果,特别是一些服务器被攻击后很多数据都难以恢复。目前很多商家将数据存储在云平台,作为服务器数据的备份,但是很多商家难以承担云平台的服务费用,并且云平台存储也有可能会出现被攻击或者操作失误等问题。尽管随着计算机技术的快速发展和进步,计算机安全环境得到一定改善,但是病毒攻击、木马攻击等的风险仍然存在。例如淘宝网上曾经出现过的“一元购”事件就是由于淘宝网被攻击,导致大量的一元钱价格成交的订单,而事实上买卖双方对此均无异议,但是淘宝网取消了订单,由此产生了更为深远的影响。
三、电子商务中网络安全防范策略
目前在电子商务中应用的较多的网络安全技术策略包括安全认证技术、信息加密技术等,而在网络安全防范策略上需要从技术以及构建电子商务安全防范体系上入手。
(一)安全认证技术
认证是通过一定的技术方法判断被认证对象是否有效的一个过程。安全认证技术是电子商务网络安全技术策略的重要组成部分,通过认证可以让双方确认对方身份,从而保证通信信息安全。数字签名和数字证书是最为常见的两种认证方式。数字签名同时也被称之为公钥数字签名,这种签名由一段具有特别算法生成的数字组成,由于算法生成的不可逆性,因而这种信息是无法被伪造的,因而在传输过程中能够通过对数字签名的识别来判断信息的真伪。在电子商务的开展过程中,如果A和B展开交易和对话,那么A发送的信息使用秘钥进行加密,而B在接收端使用解秘钥的算法进行解密和还原,双方互为反运算,从而对信息进行有效验证。在数字签名的应用过程中,可以将其分为公钥密码体系和私钥密码体系。基于这两种体系都可以获得数字签名,不同的是两者所使用的密码算法完全不一样。例如使用公钥密码算法得到的数字签名一般使用的算法包括了RSA、
Fiat-Shamir、Schnorr、Guillou- Quisquarter、Ong-Schnorr-Shamir等,使用最多的是RSA算法,每个国家都制定了相关的电子商务中关于数字签名的法律,从而解决在电子商务中因為数字签名所产生的争端,保护正常交易者的合法利益。
图1位数字签名的认证过程,数字签名的认证过程如下:在A和B产生对话及认证时需要发送报文,比如1010的一个数据,这时A根据哈希函数对这个数据进行加密,并且将这个加密的报文视为数字签名,最后发送的数据包括了数字签名以及要发送的正文。B收到报文和数字签名后,首先需要根据数字签名计算出摘要,然后使用哈希函数查看 报文中的摘要和计算出的摘要是否一致。如果完全一致,则认为该报文为A发送。通过这种人证过程,有效解决了信息发送中的安全问题,同时也为电子商务参与的各方提供了一个验证身份的机会。
数字证书需要使用密钥进行加密和解密,可以有很多个用户同时共享一个公用密钥,用于加密和验证签名,而私钥主要用于解密,这样就可以保证数据的安全。数字证书应用于现代电子商务主要体现在:
1.在现代商务的信息传递中,例如报价、订单具体信息等,首先需要对方对此信息的发送进行确认,通过公钥对此信息进行加密,并且保证在信息的传递处于加密状态,接收方接收的信息也是经过加密的,这样信息就一直处于加密状态,从而最大程度上保证了若该信息被黑客或者其他人窃取也无法获取其中的信息,同时也无法对此信息进行更改。这一点在现代商务的开展中尤其重要,数据的完整性以及准确性得到了最大程度的保证。 2.接收信息的一方所持有的密钥具有唯一性,因而只有接收的一方才能获取此信息,因而数字证书具有高度的可靠性。数字证书中有数字签名,数字签名本质上类似于将信息也进行了加密,更进一步保证了信息安全。
(二)信息加密技术及应用
信息加密技术是电子商务开展的基本必要条件。在电子商务开展的过程中,信息的安全性以及隐私性至关重要,在未来相当长一段时间内,信息的价值将远远超过商品本身。顾客在通过网络购买商品时的信息包括了购买的商品、价格、用户地址等,而这些信息极有可能会被黑客利用并对相关信息进行售卖,甚至这些信息有可能被用作其他人实施诈骗的帮凶。
当前信息加密技术包括了通信软件的加密以及数据传输的加密。在电子商务中卖家和顾客之间的沟通需要借助一些软件,包括一些常用的聊天软件、基于Web的一些小工具等,这些软件本身可能会存在一些漏洞,因而可能会被不法分子所利用,这就需要开发者不断地对这些软件加以改进和测试,防止软件中的一些bug被人利用。而数据传输的加密则是通过使用密钥或者密码等方式,对发送的信息加密,在具体实现方法上则是改变原有信息的数据结构,从而使得这些报文信息在没有密钥的情况下无法被正确解读。目前根据保密情况的需求,可以适用面单一的算法进行加密,也可以使用多重算法或者密钥进行加密,加密过的数据称之为密文,而通过算法重新计算出来的称之为明文。如果使用双重密码对数据信息进行加密,则称之为双重密钥。双重密钥的保密性非常高,但是应用非常受限,对使用环境要求较高。
信息加密算法中较为著名的是RSA密码算法,RSA密码具有开放性的特点,在管理上也较为简单,同时已经被证明RSA可以抵挡目前所知的几乎所有密码攻擊,在电子商务中应用RSA密码算法对信息加密具有极高的安全性。但是使用RSA算法时对于数据加密型的速度比较低,算法仍然过于复杂,所有在很多的条件下会使用一些较为简单的加密算法。除此之外还需要对数据的存储进行加密,防止在买卖结束后不法分子通过一些手段非法获取数据,需要从源头上对访问权限、访问识别等方面着手。
(三)构建电子商务网络安全控制体系
除了从技术上保障电子商务网络安全以外,还需要构建电子商务网络安全控制体系,不仅需要从加密算法、签名认证等方面加强信息的保密,还需要从电子商务开展所需要的网络设备、网络软件系统、病毒防范、防火墙、识别、代理等方面着手,物理硬件方面、软件方面等全方位保证电子商务网络安全。
图2为电子商务网络安全控制体系,分为五层,分别为网络服务层、加密技术层、安全认证层、交易协议层、应用系统层。下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。采用的主要技术包括防火墙技术、访问识别技术、身份认证技术、攻击检测、漏洞检测等,各层通过控制技术的递进实现电子商务系统的网络安全。
四、结论
电子商务是现代世界经济发展的重要组成部分,网络信息安全是电子商务开展的重要保障。当前网络安全仍然面临着诸多问题,面对这些问题,本文对电子商务中的网络安全防范策略进行了分析和阐述,并从安全认证、数据加密以及构建电子商务网络安全控制体系等三个方面介绍了具体的防范策略及原理。
参考文献:
[1]许远.一种基于区块链的移动电子商务应用性能分析[J].自动化技术与应用,2020,39(06):169-172.
[2]高鹏.大数据时代电子商务的机遇与挑战分析[J].中国设备工程,2020(11):228-230.
[3]李静,郭云峰.SET协议的电子商务支付安全加密方法[J].现代电子技术,2020,43(11):83-86.
[4]陈又铜,李勃翰.计算机网络通信安全中数据加密技术的应用研究[J].计算机产品与流通,2020(06):56.
[5]郭威涛.简析数据加密技术在计算机网络信息安全中的应用[J].网络安全技术与应用,2020(05):48-49.
作者简介:
刘志尧(1993-),男,汉族,黑龙江哈尔滨人,硕士,助理工程师;研究方向:工控安全、信息技术;
胡 彬 (1982-),男 ,高级工程师,长期从事网络空间安全,工业控制系统安全分析与研究。有丰富的网络安全、工业控制系统安全测试、测评的理论基础和实践经验;