㈠ 为什么说安全问题得不到保障,电商就不可能有大的发展
正文字数7978
非专业的专业文章
摘要
电子商务作为一种新兴的商业模式,随着互联网的发展,得到了空前迅猛的壮大。电子商务是我国经济社会发展的重要变革之一,其改变了传统实体经济的发展模式,基于当代的互联网和信息技术实现网络营销。
在电子商务的快速发展中,网络支付也得到了创新和兴起,网络支付是支撑电子商务发展的重要技术条件,但是在当前电子商务以及网络支付发展中,也存在安全支付等一系列问题。
本文针对电子商务网络安全支付现状进行分析,了解目前我国主要的网络支付工具,以及网络支付的特点,明确当前电子商务网络安全支付所存在的问题,并在此基础上整理出一些电子商务网络安全支付问题的对策。
关键词:网络支付;电子商务;安全管理
------
目录
摘要
1我国电子商务安全现状分析
1.1我国网络安全现状分析
1.1.1 恶意程序
1.1.2 网站环境/安全
1.1.3 安全漏洞
1.1.4 技术水平参差不齐
1.1.5 变化性
1.2我国信息通信安全现状分析
1.2.1 外部人员入侵产生的问题
1.2.2 系统管理机制产生的问题
1.3我国网络安全管理现状分析
1.3.1 管理人员权限失衡
1.3.2 系统管理搭配不够合理
1.4我国信息系统安全法律、法规现状分析
1.4.1 网络信息安全方面的制度多而法律少
1.4.2 与网络信息安全相关的其他法律还不够健全
2电子商务安全对策研究
2.1信息通信安全对策
2.2信息系统安全管理对策
2.2.1 完善防范机制,提升信息系统的安全性
2.2.2 加强密码技术,保证通信安全
2.3信息系统安全法律、法规
2.3.1 明确责任
2.3.2 解决当前法律施行中存在的技术难题
2.3.3 加大网络信息安全相关法律的实施力度
3电子商务安全技术的应用
3.1 网络安全的应用
3.2 防火墙技术应用
3.3 加密算法和安全协议的应用
3.4 数字证书的应用
3.5 入侵检测系统的应用
3.6 计算机取证技术
4电子商务安全的策略研究
4.1 管理策略
4.2 技术策略
4.3 法律策略
总结
参考文献
1 我国电子商务安全现状分析
1.1 我国网络安全现状分析
近年来,中国电子商务行业交易规模持续扩大,稳居全球网络零售市场首位。据公开数据显示,2008年电子商务交易额仅3.14万亿,2013年突破10万亿,2018年突破30万亿,达到31.63万亿元,同比增长8.5%。面对如此大的电子商务交易市场,我国网络安全把控是否到位,新时代下网络安全存在哪些问题。
图1.1
1.1.1 恶意程序
从恶意程序的类别来看,目前恶意程序主要包括恶意木马和僵尸网络两大类。其中恶意木马包括远程控制木马、僵尸网络木马、流量劫持木马、下载者木马、窃密或盗号木马等,僵尸网络则包括IRC协议僵尸网络、HTTP协议僵尸网络和其他协议僵尸网络。如图1所示,目前我国计算机感染恶意程序的前三种类型为:远程控制木马、僵尸网络木马和流量劫持木马。仅2017年,这三种恶意程序感染计算机超过1000万台。
图1.2
在感染恶意程序而生成的僵尸网络中,规模在100台以上的僵尸网络数量达到3143台,中小型规模僵尸网络(5000台以下)占比为89.8%。从网络安全治理角度来看,近三年以来位于我国境内的僵尸网络数量逐年保持稳步下降趋势。
1.1.2 网站环境/安全
机构网页环境主要包含面临三种恶意网页导致的安全隐患:网页仿冒、网站后门和网页篡改。根据国家互联网应急中心(CNCERT)监测统计结果,三种恶意网页数量分别约为4.9万、5.5万和2.4万,2017年网页仿冒数量较2016年下降72.5%,境内IP地址对境内网站植入后门所占比例大幅下降,但网页篡改的数量增长20%,其中针对政府网页的篡改数量涨幅超过30%。
从恶意网页的来源看,境外IP对境内网页的仿冒是网页仿冒的主要来源,占网页仿冒总数量的88.2%,其中主要来源地为中国香港和美国;在网站后门方面,境内IP对境内网站植入后门占比52.7%,对境内网站植入后门的境外IP前三个来源地为美国、中国香港和俄罗斯。
从恶意网页的内容看,我国恶意网页主要以博彩和违法色情为主,占恶意网页比例约为90%(图1.3)。根据网络安全发布的《2017年网址安全治理数据》,虚假发布、恶意代码、虚假购物和网站被黑也是其他主要的恶意网站。这些恶意网站会导致网站存在下载恶意程序、网页挂马、网站被黑、恶意代码或漏洞被利用的风险。
图1.3
1.1.3 安全漏洞
根据国家信息安全漏洞共享平台(CNVD)收录的漏洞统计结果来看,2015年到2017年新增安全漏洞数据年均增长超过20%,呈现出较快增长的趋势。这些安全漏洞的增长给个人和机构网络安全带来了较为严重的安全隐患。
图1.4 漏洞趋势图
依据安全漏洞的影响,安全漏洞方面的网络安全问题可以分为:应用程序漏洞、WEB应用漏洞、操作系统漏洞、网络设备漏洞、安全产品漏洞和数据库漏洞;其中,网络设备包括路由器和交换机等,安全产品包括防火墙和入侵检测系统等。通过对安全漏洞影响类型的统计发现,排名前三的分别为应用程序漏洞、网络设备漏洞和WEB应用漏洞。
随着移动互联网的发展,安全漏洞也逐步开始从PC端向移动端转变。2013年,我国移动端安全漏洞收录子库不到300个;2017年,我国移动端安全漏洞收录子库超过2000个。仅2017年,移动互联网子漏洞库收录数量比2016年增长幅度达到105%。此外,电信行业、电子政务和工业控制系统具有大幅度的上升。
1.1.4 技术水平参差不齐
计算机网络使用者未必都是使用计算机的高手,不可能从自身的计算机中发现病毒,而病毒也具有隐藏性,容易被黑客加壳处理,使得杀毒软件无法发现。
1.1.5 变化性
计算机网络威胁的模式不是一成不变的,病毒和安全软件是此起彼伏的关系,黑客总是在努力在使杀毒软件检测不到,而杀毒软件总是在努力的检查病毒,但是病毒始终处于领导性。
1.2 我国信息通信安全现状分析
1.2.1 外部人员入侵产生的问题
现阶段,随着互联网的快速发展,为人们的工作及生活带来了巨大的便利。 但是,由于受到利益的驱使,不法分子数量却也越来越多。 当前由于缺乏及其难的信息系统防御机制,导致无法有效的抵御外来入侵者的入侵, 进而给信息系统带来巨大的破坏,导致信息泄露、丢失。
1.2.2 系统管理机制产生的问题
现阶段,由于信息系统管理机制的不完善,也导致了一些安全问题的发生。 当前信息系统管理人员的权限较为集中,加大了安全问题的发生概率, 如果没有及时的解决这一问题的话,将会极大的威胁到通信安全。
1.3 我国网络安全管理现状分析
1.3.1 管理人员权限失衡
现阶段,我国很多企业为了便于管理,在管理岗位中设置了单一的管理人员,部分管理人员并不具备较高的管理水平,无法实现信息系统的有效管理, 这也就给了不法分子可乘之机,进而威胁到网络通信安全,给企业、个人带来了巨大的损失。
1.3.2 系统管理搭配不够合理
在信息系统管理的过程当中, 不仅要保障其使用的便捷性,同时也要保障其安全性。 但是,要想达到这一目标是非常难的,两者很难实现兼容。 如果要保障系统使用的便捷性,那么其安全性就会随之降低,如果要保障系统的安全,那么其运行速度就会随之降低,在这种情况下,管理人员就要合理的做好协调工作,达到一定的平衡点。 一旦搭配不合理,那么必然会带来相应的损失。
1.4 我国信息系统安全法律、法规现状分析
1.4.1 网络信息安全方面的制度多而法律少
现如今,我国在网络信息安全方面的法律法规已经逐渐开始建立,尤其是在 2016 年 11 月 7 日由全国人民代表大会常务委员会发布了最新的《中华人民共和国网络安全法》并确定于 2017 年6 月 1 日起执行,这对于维护我国网络安全、稳定,保护公民的合法权益,督促信息化社会健康发展都起到了重要的保障作用。虽然该法律的出现和实施有效的弥补了我国在网络信息安全法律规制方面存在的不足,但由于我国在此方面起步较晚,因此其法律规制也存在一定的不完善之处,主要表现在以下几个方面:
一是在网络信息安全法律体系中,一些网络应用的相关制度和规章所占据的比重较大,而相关的法律法规所占据的比重非常小。虽然制度规章对于网络行为有一定的约束力,但是因为其适用范围小、能真正发挥的作用低,在不同情况下的一些规章还可能存在冲突,这就导致了在实际的实施过程中存在一定的困难。从目前这种情况来看,仍然需要进一步完善法律法规,运用法律的强大力量,加强对网络信息安全的管控。
二是现有的网络安全相关法律中,其规定大多比较笼统,对于用户在网络使用过程中的一些细节没有进行明确的规定,这也就造成了在出现网络信息安全问题时,追究相关人员的责任缺乏法律的依据。
三是相关法律主要是规定了网络应用中,物理环境的要求和相关部门在行政管理方面的要求,而涉及到网络信息安全相关的行为规范还比较粗略,在实际实施过程中,缺乏引导和管制力度。四是在执法方面的处罚力度不够,由于法律法规缺乏详细的规定,网警在执法过程中,就无法依据法律法规进行严格执法,对于造成网络信息安全问题的人员,处罚措施较轻,难以发挥警示和惩戒的作用。
1.4.2 与网络信息安全相关的其他法律还不够健全
目前,除了网络信息安全相关的法律体系不够健全之外,与之相匹配的其他法律也依旧不够完善。尤其是个人数据保护法、电信法等等,只有这些法规作为支撑,网络信息安全法律体系才能够充分发挥其应有的作用。
一方面,从网络用户权利的角度来看,网络信息安全如果得不到法律上的保障,那么用户的言论自由会遭受限制或是曲解言论自由的含义而随意在网络上散播谣言,通信秘密将有可能被不法分子截获,用户的隐私权受到侵害,真实信息被泄露,除此之外,着作权以及相关知识产权,也可能受到威胁。而针对于网络用户的这些权利,我国现行的《民法通则》《着作权法》《合同法》等等,都有相关的规定,但还未能与网络信息安全相关法律紧密地结合在一起。
另一方面,就电子信息服务、计算机软件开发与应用、电子商务、物流等网络信息技术相关应用行业的发展而言,目前我国在法律层面出台的保护条例主要有《电信条例》《计算机软件保护条例》等。虽然这些条例的出台对于提升上述行业网络信息应用安全起到了很好的保障作用,但这些条例孤立存在与网络信息安全法律体系之间仍存在一定的距离,这表示我国目前仍没有形成一套能够涵盖各行业的,体系较为完整的网络安全法律法规保护体系。
2 电子商务安全对策研究
......
剩下的部分(电子商务安全对策研究、电子商务安全技术的应用、电子商务安全的策略研究)有兴趣的朋友可以来公众号“琦蓝添久”,完整的内容我把它放在了下面的文章
欢迎来公众号【琦蓝添久】
参考文献
[1]李卓.新时代网络安全现状分析[J].数字通信世界,2020(01):175.
[2]中国网络安全现状研究报告(2018)
[3]中共中央网络安全和信息化.网络安全法律体系的构建与发展
[4]陈国秋.电子商务安全现状分析及对策的研究.网络
[5]汪洋.电子商务中计算机网络技术的应用现状及应用前景展望[J].计算机产品与流通,2020,(07):37.
[6]侍颖辉.计算机网络安全技术在电子商务中的应用[J].造纸装备及材料,2020,49(02):230-231.
[7]蔡宝玉.计算机网络安全技术在电子商务中的应用[J].计算机产品与流通,2020,(05):18.
[8]刘志杰.计算机技术在电子商务中的应用[J].计算机产品与流通,2020,(05):20.
[9]贺军忠.电子商务安全防范策略研究与应对措施[J].电子商务,2019,(01):62-63.DOI:10.14011/j.cnki.dzsw.2019.01.026
[10]金珊.浅论当前电子商务中的安全问题及应对策略[J].现代经济信息,2019,(06):348.
[11]倪建武.计算机网络安全管理现状分析[J].数字化用户,2013,19(03):53+55.
[12]尚滨鹏.浅谈通信发展的历史现状与未来[J].科技展望,2016,26(16):2-3.
[13]鹿璐.大数据时代网络信息安全的法律缺失及应对[J].法制与社会,2019,(21):124-125.DOI:10.19387/j.cnki.1009-0592.2019.07.296
[14]王东洋.浅淡网络通信与信息系统的安全管理[J].通讯世界,2019,26(07):102-103.
[15]陈国秋.电子商务安全现状分析及对策的研究[J].中小企业管理与科技(下旬刊),2012(04):279-280.
--阅读排行榜--
“海底捞”客户关系管理
可口可乐供应链
美团外卖、饿了么外卖订餐系统
民营如何企业境外上市——VIE的模式下红筹上市
如何搭建一个电商网站?
㈡ 第七章、网络安全
1)被动式攻击
2)主动式攻击
几种常见的方式:
① 篡改:
攻击者篡改网络上传送的报文,比如,彻底中断,伪造报文;
② 恶意程序:包含的种类有:
③ 拒绝服务(DoS,Denial of Service)
攻击者向互联网上的某个服务器不停地发送大量分组,使该服务器无法提供正常服务,甚至完全瘫痪。
④ 交换机攻击
攻击者向以太网交换机发送大量伪造源 MAC地址的帧,交换机收到MAC地址后,进行学习并记录,造成交换表很快被填满,无法正常工作。
人们一直希望能够设计出一种安全的计算机网络,但不幸的是,网络的安全性是不可判定的,只能针对具体的攻击设计安全的通信协议。
计算机网络安全的四个目标
1)保密性:要求只有信息的 发送方 和 接收方 才能懂得所发送信息的内容,而信息的截获者则看不懂所截获的内容。以此,对付 被动攻击 ;
2)端点鉴别:要求计算机网络必须能够 鉴别 信息的 发送方 和 接收方 的真实身份。对付 主动攻击 ;
3)信息的完整性:要求信息的内容没有被人篡改过;
4)运行的安全性:要求计算机系统运行时的安全性。 访问控制 是一种应对方法。对付 恶意程序 和 拒绝服务攻击 。
发送者向接受者发送明文 P,通过加密算法运算,得到密文 C。接收端通过解密算法解密,得到明文P。
如果不论截取者获得多少密文,但在密文中都没有足够的信息来唯一的确定出对应的明文,则这一密码体制称为 无条件安全的 ,或成为 理论上是不可破的 。
在无任何限制的条件下,目前几乎所有的密码体制均是可破的。
人们关心的是研制出 在计算机上(而不是理论上)是不可破的密码体制 。如果一个密码体制中的密码,不能在一定时间内被可以使用的计算机资源破译,那么这一密码体制称为 在计算上是安全的 。
2)发展史
对称密码体制,也就是, 加密密钥 与 解密密钥 使用相同的密码体制。
1)数据加密标准(DES)
属于对称密钥密码体制。1977年,由 IBM公司提出,被美国定位联邦信息标准,ISO 曾将 DES 作为数据加密标准。
2)高级加密标准(AES)
1976年,由斯坦福大学提出,使用不同的 加密密钥 和 解密密钥 ;
1)公钥密码出现的原因
① 对称密钥密码体制的密钥分配问题;
② 对数字签名的需求。
2)对称密码的挑战
对称密码体制中,加密/解密的双方使用的是 相同的密钥 。
那么,如何让双方安全的拥有相同的密钥?
① 事先约定:给密钥管理和更换带来极大的不便;
② 信使传送:不该用于高度自动化的大型计算机系统;
③ 高度安全的密钥分配中心:网络成本增加;
3)三种公钥
① RSA 体制:1978年正式发表,基于数论中的大数分解问题的体制;
4)差异:
公钥加密算法开销较大,并不会取代传统加密算法。
5)密码性质
任何加密算法的安全性取决于密钥的长度,以及攻破密文所需的计算量。
书信或文件是根据亲笔签名或印章来证明其真实性的。(伪造印章,要坐牢)
1)核实:接受者能够核实发送者对报文的签名,也就是,确定报文是否是发送者发送的;
2)无篡改:接受者确信所收到的数据和发送者发送的完全一样,没有被篡改过。称为 报文的完整性 。
3)不可否认:发送这时候不能抵赖对报文的签名,叫 不可否认 。
1)A用其私钥对报文进行D运算,获得密文;
2)接收方,通过A的公钥解密,核实报文是否是A发送的。
1)核实保证:只有A有私钥,加密有唯一性;
2)无篡改:篡改后,无A的私钥,无法加密;
3)不可否认:其他人无A的私钥;
疑问:是否利用产生一个A的公钥可以解密的私钥,就可以冒充A?
上述操作,对数据进行了签名,但是,没有对数据进行加密。所有,拥有公钥的人都可以破解。
1)具有保密性的数字签名:
① 发送方,利用A的私钥对数据进行签名;
② 发送方,利用B的公钥对数据进行加密;
③ 接收方,利用B的私钥对数据进行解密;
④接收方,利用A的公钥对数据进行鉴权。
鉴别 是要验证通信的双方确实是自己所要通信的对象,而不是其他的冒充者。
并且,所传送的报文是完整的、没有被他人篡改过。
0)动机
① 数字签名:就是一种**报文鉴别技术;
② 缺陷:对较长的报文进行数字签名会给计算机增加非常大的负担,因此这就需要进行较多的时间来进行计算;
③ 需求:一种相对简单的方法对报文进行鉴别;
④ 解决办法:密码散列函数;
1)密码散列函数
作用:保护明文的完整性;
① 散列函数 的特点:
② 密码散列函数 的特点:
2)实用的密码散列函数:MD5 和 SHA-1
① MD5
② SHA
美国技术标准协会 NIST 提出 SHA 散列算法。
3)报文鉴别码
① 散列函数的缺点:可能被其他人篡改,然后,计算相应的正确散列值;
② 报文鉴别码:生成报文的散列后,对散列进行加密生成报文鉴别码;
1)差别
2)鉴别方法
A向远端的B发送带有自己身份A和口令的报文,并使用双方约定好的共享对称密钥进行加密;
3)存在的问题
可能攻击者处于中间人,冒充A向B发送口令,并发送公钥,最后,成功冒充A,获取A的重要数据;
4)总结
重要问题:公钥的分配,以及公钥的真实性。
密码算法是公开的,网络安全完全基于密钥,因此 密钥管理 十分重要;包括:
1)挑战
① 密钥数量庞大:n个人相互通信,需要的密钥数量 n(n-1);
② 安全通信:如何让通信双方安全得到共享密钥;
2)解决方案
密钥分配中心:公共信任的机构,负责给需要秘密通信的用户临时分配一个会话密钥(使用一次);
3)处理过程
① 用户 A 发送明文给蜜月分配中心 KDC,说明想和用户 B通信。
② KDC 随机产生 “一次一密” 的会话密钥KAB,然后,用KA加密发送给A 密钥KAB和票据。
③ B收到A转来的票据,并根据自己的密钥KB解密后,就知道A要和他通信,并知道会话密钥KAB。
4)
这一系统现在已广泛用于电子护照中,也就是下一代金融系统使用的加密系统。
移动通信带来的广泛应用,向网络提出了更高的要求。
量子计算机的到来将使得目前许多使用中的密码技术无效,后两字密码学的研究方兴未艾。