电子商务网站系统安全问题探讨

电子商务网站系统安全问题探讨

中文摘要：随着Internet、计算机技术、网络技术的发展，出现了一种新兴的商务模式—电子商务。随着电子商务的飞速发展，其在市场中的地位已经日见明显，慢慢开始在市场上盛行起来。可是，在发展的同时其也存在着威胁，安全成为制约其发展的关键。电子商务以其快捷、便利等优点越来越受到社会的认可，电子商务的发展前景十分诱人,但商业信息的安全依然是电子商务的首要问题。本文在简单介绍了电子商务的现状、安全隐患及安全技术措施，其中重点探讨电子商务的交易安全及网络安全问题及相应的解决措施。

Abstract：With the development of Internet, computer technology, network technology, there is a new business model - e-commerceWith the rapid development of electronic commerce, its position in the market has became more and more obvious, slowly began to prevail in the marketHowever, there exists a threat, at the same time in the development of the security become the key to its developmentE-commerce and convenient for its advantages such as more and more recognized by society, the development prospect of e-commerce is very attractive, but business information security remains the primary problem of electronic commerceThis paper simply introduces the present situation of electronic commerce, security and safety technical measures, which discusses the electronic commerce trade security and network security problems and the corresponding solutions

关键词：电子商务安全数字签名协议

Keywords：The electronic commercesecurityA digital signatureagreement

目录

引言 (3)

1.我国电子商务的现状 (3)

2.电子商务安全问题产生的原因 (3)

2.1管理问题 (4)

2.2技术问题 (4)

2.3.环境问题 (4)

3.网络安全技术策略 (4)

3.1支付安全 (4)

3.1.1密码管理问题 (4)

3.1.2网络病毒，木马问题 (5)

3.1.3钓鱼平台 (5)

3.2认证安全 (5)

4.电子商务采用的主要安全技术 (6)

4.1网络节点的安全 (6)

4.2通讯的安全 (6)

4.3应用程序的安全性 (6)

结论 (7)

引言

互联网的发展及全面普及，给现代商业带来了新的发展机遇，基于互联网的电子商务应运而生，并成为一种新的商务模式。以互联网为基础的这种新的商务模式，也存在着许多亟待解决的问题。调查显示，网络安全、互联网基础设施建设等九大问题是阻碍电子商务发展的主要因素。其中，安全问题被调查对象列在首位。人们在享受电子商务带来极大方便的同时，也经常会被安全问题所困扰。安全问题成为电子商务的核心问题。本文将对电子商务安全问题及基本解决办法做一个探讨，从而为进一步地解决其遇到的问题提出合理化的建议。

1.我国电子商务的现状

现如今，随着互联网的迅速发展，网上购物大军达到2000 万人，在全体互联网网民中，有过购物经历的网民占近20% 的比例。目前仍有60%的中小企业的信息化程度处于初级阶段。因此，电子商务是互联网应用发展的必然趋势，也是国际金融贸易中越来越重要的经营模式，以后它还会逐渐地成为我们经济生活中一个重要部分。但同时我们也看到，我国的电子商务还处于了发展的初级阶段还有很长的路要走，从而安全是保证电子商务健康有序发展的关键因素。根据调查显示，目前电子商务安全主要存在的问题是：计算机网络安全，商品的品质，商家的诚信，货款的支付，商品的递送，买卖纠纷处理，网站售后服务以上问题可以归结为两大部分：计算机网络安全和商务交易安全。

计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。只有解决好以上的矛盾，电子商务才能保证又快又好的发展。

2.电子商务安全问题产生的原因

电子商务安全问题，不仅仅是网络安全问题，还包括信息安全问题、交易过

程安全问题。

2.1管理问题

大多数电子商务网站缺乏统一的管理，没有一个合理的评价标准。同时，安全管理也存在很大隐患，大多数网站普遍易受黑客的攻击，造成服务器瘫痪，使网站的信誉受到极大损害。

2.2技术问题

网络安全体系尚未形成。网络安全在全球还没有形成一个完整的体系。虽然电子商务安全的产品数量不少，但真正通过认证的却相当少。安全技术的强度普遍不够，国外有关电子商务的安全技术，虽然整体来看其结构或加密技术都不错,但这种加密算法受到外国密码政策的限制，对其他国出口的安全技术往往强度不够。

2.3.环境问题

社会环境对于电子商务发展带来的影响也不小。社会法制建设不够，近年来，各种环境问题与事故频频发生，大气环境受到了严重的污染，在全国部分地区雾霾严重，环境问题十分严重，相关法律建设跟不上电子商务发展的法律基础保证。

3.网络安全技术策略

3.1支付安全

由于网络天生的不安全性，特别是其网上支付领域有着各种各样的交易风险。但无论是何种风险，其根本原因都是由于登录密码或支付密码泄露造成的。

3.1.1密码管理问题

大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词姓名或者其他简单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。许多攻击者还会直接使用软件强力破解一些安全性弱的密码。因此，因此建议用户使用复杂的密码，降低被病毒破译密码的可能性，提高计算机系统的安全性。需要注意：一是密码不要设置为姓名、普通单词一、电话号码、生日等简单密码;二是结合字母、

数字、大小写共组密码;三是密码位数应尽量大于9位。

3.1.2网络病毒，木马问题

现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。木马会监视lE浏览器正在访问的网页，如果发现用户正在登录个人银行，直接进行键盘记录输入的帐号、密码，或者弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码.然后通过邮件将窃取的信息发送出去。因此，需要做好自身电脑的日常安全维护，注意以下几点:

一是经常给电脑系统升级，二是安装杀毒软件、防火墙，经常升级和杀毒，三在平时上网是尽量不上一些小型网站，选大型网站，知名度比较高的网站，避免网站挂有病毒、木马造成中毒，四尽量不要在公共电脑上使用自己的有关资金的帐户和密码，五有条件的情况下，在初装系统后确认电脑安全的后，给自己的电脑做上备份，在使用资金帐户前做一次系统恢复。

3.1.3钓鱼平台

“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web 站点来进行诈骗活动，如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。受骗者往往会泄露自己的财务数据，如信用卡号、账户号和口令等。因此，在登录支付资金时，应注意：一是确认该网是否是官方网站，二是仔细核对该网的域名是否正确，注意小写“1 ”与“L ”、“0 ”与“O ”等情况，三保证良好的上网习惯，收藏常用的网址，减少网上链接。

3.2认证安全

电子商务为了保证网络上传递信息的安全，通常采用加密的方法。但这是不够的，如何确定交易双方的身份，如何获得通讯对方的公钥并且相信此公钥是由某个身份确定的人拥有的，解决方法就是找一个大家共同信任的第三方，即认证中心颁发电子证书。用户之间利用证书来保证安全性和双方身份的合法性，只有确定身份后，交易的纠纷，才得到有效的裁决。总之，电子商务的安全是个非常复杂的问题，它的保障机制必须是有机的，多层次的，需要有企业管理方面，技术支持方面的协调来实现。它是一个系统有机的整体，不仅需要计算机网络安全的保证，也需要商务交易安全上的保障，更需要管理上的进步，才能确保电子商务的安全。同时我国在电子商务技术性较为落后，必须加强具有自主产权的信息安全产品的研究，注意加强信息安全人才的培养，多方共同努力建立科学的电子

商务安全机制，才能为我国的电子商务又快又好的发展保驾护行。

4.电子商务采用的主要安全技术

4.1网络节点的安全

防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。4.2通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制, SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书，此时浏览器也会出进入安全状态的提示。

4.3应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可。

结论

安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。

参考文献

[1]冯昊，电子商务的安全问题及对策，高等教育出版社，2005

[2]张晓黎:数据加密技术的应用，计算机与数字工程,2005

[3]祁明:电子商务安全与保密，高等教育出版社,2001