㈠ 為什麼說安全問題得不到保障,電商就不可能有大的發展
正文字數7978
非專業的專業文章
摘要
電子商務作為一種新興的商業模式,隨著互聯網的發展,得到了空前迅猛的壯大。電子商務是我國經濟社會發展的重要變革之一,其改變了傳統實體經濟的發展模式,基於當代的互聯網和信息技術實現網路營銷。
在電子商務的快速發展中,網路支付也得到了創新和興起,網路支付是支撐電子商務發展的重要技術條件,但是在當前電子商務以及網路支付發展中,也存在安全支付等一系列問題。
本文針對電子商務網路安全支付現狀進行分析,了解目前我國主要的網路支付工具,以及網路支付的特點,明確當前電子商務網路安全支付所存在的問題,並在此基礎上整理出一些電子商務網路安全支付問題的對策。
關鍵詞:網路支付;電子商務;安全管理
------
目錄
摘要
1我國電子商務安全現狀分析
1.1我國網路安全現狀分析
1.1.1 惡意程序
1.1.2 網站環境/安全
1.1.3 安全漏洞
1.1.4 技術水平參差不齊
1.1.5 變化性
1.2我國信息通信安全現狀分析
1.2.1 外部人員入侵產生的問題
1.2.2 系統管理機制產生的問題
1.3我國網路安全管理現狀分析
1.3.1 管理人員許可權失衡
1.3.2 系統管理搭配不夠合理
1.4我國信息系統安全法律、法規現狀分析
1.4.1 網路信息安全方面的制度多而法律少
1.4.2 與網路信息安全相關的其他法律還不夠健全
2電子商務安全對策研究
2.1信息通信安全對策
2.2信息系統安全管理對策
2.2.1 完善防範機制,提升信息系統的安全性
2.2.2 加強密碼技術,保證通信安全
2.3信息系統安全法律、法規
2.3.1 明確責任
2.3.2 解決當前法律施行中存在的技術難題
2.3.3 加大網路信息安全相關法律的實施力度
3電子商務安全技術的應用
3.1 網路安全的應用
3.2 防火牆技術應用
3.3 加密演算法和安全協議的應用
3.4 數字證書的應用
3.5 入侵檢測系統的應用
3.6 計算機取證技術
4電子商務安全的策略研究
4.1 管理策略
4.2 技術策略
4.3 法律策略
總結
參考文獻
1 我國電子商務安全現狀分析
1.1 我國網路安全現狀分析
近年來,中國電子商務行業交易規模持續擴大,穩居全球網路零售市場首位。據公開數據顯示,2008年電子商務交易額僅3.14萬億,2013年突破10萬億,2018年突破30萬億,達到31.63萬億元,同比增長8.5%。面對如此大的電子商務交易市場,我國網路安全把控是否到位,新時代下網路安全存在哪些問題。
圖1.1
1.1.1 惡意程序
從惡意程序的類別來看,目前惡意程序主要包括惡意木馬和僵屍網路兩大類。其中惡意木馬包括遠程式控制制木馬、僵屍網路木馬、流量劫持木馬、下載者木馬、竊密或盜號木馬等,僵屍網路則包括IRC協議僵屍網路、HTTP協議僵屍網路和其他協議僵屍網路。如圖1所示,目前我國計算機感染惡意程序的前三種類型為:遠程式控制制木馬、僵屍網路木馬和流量劫持木馬。僅2017年,這三種惡意程序感染計算機超過1000萬台。
圖1.2
在感染惡意程序而生成的僵屍網路中,規模在100台以上的僵屍網路數量達到3143台,中小型規模僵屍網路(5000台以下)佔比為89.8%。從網路安全治理角度來看,近三年以來位於我國境內的僵屍網路數量逐年保持穩步下降趨勢。
1.1.2 網站環境/安全
機構網頁環境主要包含面臨三種惡意網頁導致的安全隱患:網頁仿冒、網站後門和網頁篡改。根據國家互聯網應急中心(CNCERT)監測統計結果,三種惡意網頁數量分別約為4.9萬、5.5萬和2.4萬,2017年網頁仿冒數量較2016年下降72.5%,境內IP地址對境內網站植入後門所佔比例大幅下降,但網頁篡改的數量增長20%,其中針對政府網頁的篡改數量漲幅超過30%。
從惡意網頁的來源看,境外IP對境內網頁的仿冒是網頁仿冒的主要來源,占網頁仿冒總數量的88.2%,其中主要來源地為中國香港和美國;在網站後門方面,境內IP對境內網站植入後門佔比52.7%,對境內網站植入後門的境外IP前三個來源地為美國、中國香港和俄羅斯。
從惡意網頁的內容看,我國惡意網頁主要以博彩和違法色情為主,占惡意網頁比例約為90%(圖1.3)。根據網路安全發布的《2017年網址安全治理數據》,虛假發布、惡意代碼、虛假購物和網站被黑也是其他主要的惡意網站。這些惡意網站會導致網站存在下載惡意程序、網頁掛馬、網站被黑、惡意代碼或漏洞被利用的風險。
圖1.3
1.1.3 安全漏洞
根據國家信息安全漏洞共享平台(CNVD)收錄的漏洞統計結果來看,2015年到2017年新增安全漏洞數據年均增長超過20%,呈現出較快增長的趨勢。這些安全漏洞的增長給個人和機構網路安全帶來了較為嚴重的安全隱患。
圖1.4 漏洞趨勢圖
依據安全漏洞的影響,安全漏洞方面的網路安全問題可以分為:應用程序漏洞、WEB應用漏洞、操作系統漏洞、網路設備漏洞、安全產品漏洞和資料庫漏洞;其中,網路設備包括路由器和交換機等,安全產品包括防火牆和入侵檢測系統等。通過對安全漏洞影響類型的統計發現,排名前三的分別為應用程序漏洞、網路設備漏洞和WEB應用漏洞。
隨著移動互聯網的發展,安全漏洞也逐步開始從PC端向移動端轉變。2013年,我國移動端安全漏洞收錄子庫不到300個;2017年,我國移動端安全漏洞收錄子庫超過2000個。僅2017年,移動互聯網子漏洞庫收錄數量比2016年增長幅度達到105%。此外,電信行業、電子政務和工業控制系統具有大幅度的上升。
1.1.4 技術水平參差不齊
計算機網路使用者未必都是使用計算機的高手,不可能從自身的計算機中發現病毒,而病毒也具有隱藏性,容易被黑客加殼處理,使得殺毒軟體無法發現。
1.1.5 變化性
計算機網路威脅的模式不是一成不變的,病毒和安全軟體是此起彼伏的關系,黑客總是在努力在使殺毒軟體檢測不到,而殺毒軟體總是在努力的檢查病毒,但是病毒始終處於領導性。
1.2 我國信息通信安全現狀分析
1.2.1 外部人員入侵產生的問題
現階段,隨著互聯網的快速發展,為人們的工作及生活帶來了巨大的便利。 但是,由於受到利益的驅使,不法分子數量卻也越來越多。 當前由於缺乏及其難的信息系統防禦機制,導致無法有效的抵禦外來入侵者的入侵, 進而給信息系統帶來巨大的破壞,導致信息泄露、丟失。
1.2.2 系統管理機制產生的問題
現階段,由於信息系統管理機制的不完善,也導致了一些安全問題的發生。 當前信息系統管理人員的許可權較為集中,加大了安全問題的發生概率, 如果沒有及時的解決這一問題的話,將會極大的威脅到通信安全。
1.3 我國網路安全管理現狀分析
1.3.1 管理人員許可權失衡
現階段,我國很多企業為了便於管理,在管理崗位中設置了單一的管理人員,部分管理人員並不具備較高的管理水平,無法實現信息系統的有效管理, 這也就給了不法分子可乘之機,進而威脅到網路通信安全,給企業、個人帶來了巨大的損失。
1.3.2 系統管理搭配不夠合理
在信息系統管理的過程當中, 不僅要保障其使用的便捷性,同時也要保障其安全性。 但是,要想達到這一目標是非常難的,兩者很難實現兼容。 如果要保障系統使用的便捷性,那麼其安全性就會隨之降低,如果要保障系統的安全,那麼其運行速度就會隨之降低,在這種情況下,管理人員就要合理的做好協調工作,達到一定的平衡點。 一旦搭配不合理,那麼必然會帶來相應的損失。
1.4 我國信息系統安全法律、法規現狀分析
1.4.1 網路信息安全方面的制度多而法律少
現如今,我國在網路信息安全方面的法律法規已經逐漸開始建立,尤其是在 2016 年 11 月 7 日由全國人民代表大會常務委員會發布了最新的《中華人民共和國網路安全法》並確定於 2017 年6 月 1 日起執行,這對於維護我國網路安全、穩定,保護公民的合法權益,督促信息化社會健康發展都起到了重要的保障作用。雖然該法律的出現和實施有效的彌補了我國在網路信息安全法律規制方面存在的不足,但由於我國在此方面起步較晚,因此其法律規制也存在一定的不完善之處,主要表現在以下幾個方面:
一是在網路信息安全法律體系中,一些網路應用的相關制度和規章所佔據的比重較大,而相關的法律法規所佔據的比重非常小。雖然制度規章對於網路行為有一定的約束力,但是因為其適用范圍小、能真正發揮的作用低,在不同情況下的一些規章還可能存在沖突,這就導致了在實際的實施過程中存在一定的困難。從目前這種情況來看,仍然需要進一步完善法律法規,運用法律的強大力量,加強對網路信息安全的管控。
二是現有的網路安全相關法律中,其規定大多比較籠統,對於用戶在網路使用過程中的一些細節沒有進行明確的規定,這也就造成了在出現網路信息安全問題時,追究相關人員的責任缺乏法律的依據。
三是相關法律主要是規定了網路應用中,物理環境的要求和相關部門在行政管理方面的要求,而涉及到網路信息安全相關的行為規范還比較粗略,在實際實施過程中,缺乏引導和管制力度。四是在執法方面的處罰力度不夠,由於法律法規缺乏詳細的規定,網警在執法過程中,就無法依據法律法規進行嚴格執法,對於造成網路信息安全問題的人員,處罰措施較輕,難以發揮警示和懲戒的作用。
1.4.2 與網路信息安全相關的其他法律還不夠健全
目前,除了網路信息安全相關的法律體系不夠健全之外,與之相匹配的其他法律也依舊不夠完善。尤其是個人數據保護法、電信法等等,只有這些法規作為支撐,網路信息安全法律體系才能夠充分發揮其應有的作用。
一方面,從網路用戶權利的角度來看,網路信息安全如果得不到法律上的保障,那麼用戶的言論自由會遭受限制或是曲解言論自由的含義而隨意在網路上散播謠言,通信秘密將有可能被不法分子截獲,用戶的隱私權受到侵害,真實信息被泄露,除此之外,著作權以及相關知識產權,也可能受到威脅。而針對於網路用戶的這些權利,我國現行的《民法通則》《著作權法》《合同法》等等,都有相關的規定,但還未能與網路信息安全相關法律緊密地結合在一起。
另一方面,就電子信息服務、計算機軟體開發與應用、電子商務、物流等網路信息技術相關應用行業的發展而言,目前我國在法律層面出台的保護條例主要有《電信條例》《計算機軟體保護條例》等。雖然這些條例的出台對於提升上述行業網路信息應用安全起到了很好的保障作用,但這些條例孤立存在與網路信息安全法律體系之間仍存在一定的距離,這表示我國目前仍沒有形成一套能夠涵蓋各行業的,體系較為完整的網路安全法律法規保護體系。
2 電子商務安全對策研究
......
剩下的部分(電子商務安全對策研究、電子商務安全技術的應用、電子商務安全的策略研究)有興趣的朋友可以來公眾號「琦藍添久」,完整的內容我把它放在了下面的文章
歡迎來公眾號【琦藍添久】
參考文獻
[1]李卓.新時代網路安全現狀分析[J].數字通信世界,2020(01):175.
[2]中國網路安全現狀研究報告(2018)
[3]中共中央網路安全和信息化.網路安全法律體系的構建與發展
[4]陳國秋.電子商務安全現狀分析及對策的研究.網路
[5]汪洋.電子商務中計算機網路技術的應用現狀及應用前景展望[J].計算機產品與流通,2020,(07):37.
[6]侍穎輝.計算機網路安全技術在電子商務中的應用[J].造紙裝備及材料,2020,49(02):230-231.
[7]蔡寶玉.計算機網路安全技術在電子商務中的應用[J].計算機產品與流通,2020,(05):18.
[8]劉志傑.計算機技術在電子商務中的應用[J].計算機產品與流通,2020,(05):20.
[9]賀軍忠.電子商務安全防範策略研究與應對措施[J].電子商務,2019,(01):62-63.DOI:10.14011/j.cnki.dzsw.2019.01.026
[10]金珊.淺論當前電子商務中的安全問題及應對策略[J].現代經濟信息,2019,(06):348.
[11]倪建武.計算機網路安全管理現狀分析[J].數字化用戶,2013,19(03):53+55.
[12]尚濱鵬.淺談通信發展的歷史現狀與未來[J].科技展望,2016,26(16):2-3.
[13]鹿璐.大數據時代網路信息安全的法律缺失及應對[J].法制與社會,2019,(21):124-125.DOI:10.19387/j.cnki.1009-0592.2019.07.296
[14]王東洋.淺淡網路通信與信息系統的安全管理[J].通訊世界,2019,26(07):102-103.
[15]陳國秋.電子商務安全現狀分析及對策的研究[J].中小企業管理與科技(下旬刊),2012(04):279-280.
--閱讀排行榜--
「海底撈」客戶關系管理
可口可樂供應鏈
美團外賣、餓了么外賣訂餐系統
民營如何企業境外上市——VIE的模式下紅籌上市
如何搭建一個電商網站?
㈡ 第七章、網路安全
1)被動式攻擊
2)主動式攻擊
幾種常見的方式:
① 篡改:
攻擊者篡改網路上傳送的報文,比如,徹底中斷,偽造報文;
② 惡意程序:包含的種類有:
③ 拒絕服務(DoS,Denial of Service)
攻擊者向互聯網上的某個伺服器不停地發送大量分組,使該伺服器無法提供正常服務,甚至完全癱瘓。
④ 交換機攻擊
攻擊者向乙太網交換機發送大量偽造源 MAC地址的幀,交換機收到MAC地址後,進行學習並記錄,造成交換表很快被填滿,無法正常工作。
人們一直希望能夠設計出一種安全的計算機網路,但不幸的是,網路的安全性是不可判定的,只能針對具體的攻擊設計安全的通信協議。
計算機網路安全的四個目標
1)保密性:要求只有信息的 發送方 和 接收方 才能懂得所發送信息的內容,而信息的截獲者則看不懂所截獲的內容。以此,對付 被動攻擊 ;
2)端點鑒別:要求計算機網路必須能夠 鑒別 信息的 發送方 和 接收方 的真實身份。對付 主動攻擊 ;
3)信息的完整性:要求信息的內容沒有被人篡改過;
4)運行的安全性:要求計算機系統運行時的安全性。 訪問控制 是一種應對方法。對付 惡意程序 和 拒絕服務攻擊 。
發送者向接受者發送明文 P,通過加密演算法運算,得到密文 C。接收端通過解密演算法解密,得到明文P。
如果不論截取者獲得多少密文,但在密文中都沒有足夠的信息來唯一的確定出對應的明文,則這一密碼體制稱為 無條件安全的 ,或成為 理論上是不可破的 。
在無任何限制的條件下,目前幾乎所有的密碼體制均是可破的。
人們關心的是研製出 在計算機上(而不是理論上)是不可破的密碼體制 。如果一個密碼體制中的密碼,不能在一定時間內被可以使用的計算機資源破譯,那麼這一密碼體制稱為 在計算上是安全的 。
2)發展史
對稱密碼體制,也就是, 加密密鑰 與 解密密鑰 使用相同的密碼體制。
1)數據加密標准(DES)
屬於對稱密鑰密碼體制。1977年,由 IBM公司提出,被美國定位聯邦信息標准,ISO 曾將 DES 作為數據加密標准。
2)高級加密標准(AES)
1976年,由斯坦福大學提出,使用不同的 加密密鑰 和 解密密鑰 ;
1)公鑰密碼出現的原因
① 對稱密鑰密碼體制的密鑰分配問題;
② 對數字簽名的需求。
2)對稱密碼的挑戰
對稱密碼體制中,加密/解密的雙方使用的是 相同的密鑰 。
那麼,如何讓雙方安全的擁有相同的密鑰?
① 事先約定:給密鑰管理和更換帶來極大的不便;
② 信使傳送:不該用於高度自動化的大型計算機系統;
③ 高度安全的密鑰分配中心:網路成本增加;
3)三種公鑰
① RSA 體制:1978年正式發表,基於數論中的大數分解問題的體制;
4)差異:
公鑰加密演算法開銷較大,並不會取代傳統加密演算法。
5)密碼性質
任何加密演算法的安全性取決於密鑰的長度,以及攻破密文所需的計算量。
書信或文件是根據親筆簽名或印章來證明其真實性的。(偽造印章,要坐牢)
1)核實:接受者能夠核實發送者對報文的簽名,也就是,確定報文是否是發送者發送的;
2)無篡改:接受者確信所收到的數據和發送者發送的完全一樣,沒有被篡改過。稱為 報文的完整性 。
3)不可否認:發送這時候不能抵賴對報文的簽名,叫 不可否認 。
1)A用其私鑰對報文進行D運算,獲得密文;
2)接收方,通過A的公鑰解密,核實報文是否是A發送的。
1)核實保證:只有A有私鑰,加密有唯一性;
2)無篡改:篡改後,無A的私鑰,無法加密;
3)不可否認:其他人無A的私鑰;
疑問:是否利用產生一個A的公鑰可以解密的私鑰,就可以冒充A?
上述操作,對數據進行了簽名,但是,沒有對數據進行加密。所有,擁有公鑰的人都可以破解。
1)具有保密性的數字簽名:
① 發送方,利用A的私鑰對數據進行簽名;
② 發送方,利用B的公鑰對數據進行加密;
③ 接收方,利用B的私鑰對數據進行解密;
④接收方,利用A的公鑰對數據進行鑒權。
鑒別 是要驗證通信的雙方確實是自己所要通信的對象,而不是其他的冒充者。
並且,所傳送的報文是完整的、沒有被他人篡改過。
0)動機
① 數字簽名:就是一種**報文鑒別技術;
② 缺陷:對較長的報文進行數字簽名會給計算機增加非常大的負擔,因此這就需要進行較多的時間來進行計算;
③ 需求:一種相對簡單的方法對報文進行鑒別;
④ 解決辦法:密碼散列函數;
1)密碼散列函數
作用:保護明文的完整性;
① 散列函數 的特點:
② 密碼散列函數 的特點:
2)實用的密碼散列函數:MD5 和 SHA-1
① MD5
② SHA
美國技術標准協會 NIST 提出 SHA 散列演算法。
3)報文鑒別碼
① 散列函數的缺點:可能被其他人篡改,然後,計算相應的正確散列值;
② 報文鑒別碼:生成報文的散列後,對散列進行加密生成報文鑒別碼;
1)差別
2)鑒別方法
A向遠端的B發送帶有自己身份A和口令的報文,並使用雙方約定好的共享對稱密鑰進行加密;
3)存在的問題
可能攻擊者處於中間人,冒充A向B發送口令,並發送公鑰,最後,成功冒充A,獲取A的重要數據;
4)總結
重要問題:公鑰的分配,以及公鑰的真實性。
密碼演算法是公開的,網路安全完全基於密鑰,因此 密鑰管理 十分重要;包括:
1)挑戰
① 密鑰數量龐大:n個人相互通信,需要的密鑰數量 n(n-1);
② 安全通信:如何讓通信雙方安全得到共享密鑰;
2)解決方案
密鑰分配中心:公共信任的機構,負責給需要秘密通信的用戶臨時分配一個會話密鑰(使用一次);
3)處理過程
① 用戶 A 發送明文給蜜月分配中心 KDC,說明想和用戶 B通信。
② KDC 隨機產生 「一次一密」 的會話密鑰KAB,然後,用KA加密發送給A 密鑰KAB和票據。
③ B收到A轉來的票據,並根據自己的密鑰KB解密後,就知道A要和他通信,並知道會話密鑰KAB。
4)
這一系統現在已廣泛用於電子護照中,也就是下一代金融系統使用的加密系統。
移動通信帶來的廣泛應用,向網路提出了更高的要求。
量子計算機的到來將使得目前許多使用中的密碼技術無效,後兩字密碼學的研究方興未艾。