电子商务安全技术总结.docx

《电子商务与电子政务安全模型》读书笔记姓名： 黄佳班级： 2班学号： 104972101414学院： 计算机科学与技术2011年 6 月 29 日电子商务安全技术总结1 引言电子商务是一种依托现代信息技术和网络技术集金融电子化 、管理信息化 、商贸信息网络化为一体，旨在实现物流、资金流与信息流和谐统一的新型贸易方式，是网络技术应用的全新 发展方向。因特网本身具有的开放性、全球性、低成本和高效率的特点成为电子商务的内在特征，并使得电子商务很容易遭到别有用心者的恶意攻击和破坏，信息的泄露问题也变得日益严重。因此，计算机网络的安全性问题就变得越来越重要，如何保证以网络为载体的电子商务的安全性 已成为一个不容忽视 的问题。 2 电子商务的安全隐患电子商务 的活动是在一个开放 、虚拟的场所进行的，容易受到黑客的攻击，普遍存在以下几种隐患： (1)信息泄露。攻击者可能通过截收装置，截获机密信息，推断出有用信息，如消费的银行帐号、密码等。交易双方的内容被第三方窃取，交易一方提供给另一方的文件被第三方使用 。(2)信息破坏。交易信息在网络上进行传输的过程中，被他人非法修改、删除或伪造，使信息失去了真实性和完整性。(3)身份的识别。如果不进行身份的识别，第三方就有可能假冒交易一方的身份介入交易过程，以破坏交易、破坏一方的信誉或盗取交易成果等。 (4)黑客。黑客利用自己在计算机方面的高超技能，对网络中的一些重要信息进行修改或伪造，造成重大的经济损失和极为恶劣的影响 。3 电子商务的安全技术措施3.1 计算机网络安全措施计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题 ，实施网络安全增强方案，以保证计算机网络 自身的安全性为目标。 计算机网络安全措施主要包括保护网络安全 、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护 的物理安全、防火墙安全、信息安全、Web安全、媒体安全等等。 （1）保护网络安全 网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访 问控制性是网络安全的重要因素。保护网络安全的主要措施如下：全面规划网络平台的安全策略。 1）制定网络安全的管理措施。 2）使用防火墙。 3）尽可能记录网络上的一切活动 4）注意对网络设备的物理保护 。 5）检验网络平台系统的脆弱性。 6）建立可靠的识别和鉴别机制。 （2）保护应用安全 保护应用安全，主要是针对特定应用 ( 如Web 服务器 、网络支付专用软件系统)所建立的安全防护措施，它独立于 网络的任何其他安全防护措施 虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web 浏览器和web 服务器在应用层上对 网络支付结算信息包的加密，都通过IP 层加密，但是许多应用还有 自己的特定安全要求。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web 安全性、EDI 和网络支付等应用的安全性。 （3）保护安全系统 保护安全系统，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平 台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施： 1）在安装 的软件中，如浏览器软件 、电子钱包软件 、支付网关软件等，检查和确认未知的安全漏洞。2）技术与管理相结合，使系统具有最小穿透风险性 。如通过诸多认证才允许连通 ，对所有介入数据必须进行审计，对系统用户进行严格安全管理。3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。3.2 电子商务交易中的安全协议SSL 协议是美 国Netscape 公司于1996 年提出的一种主要用于W e b 的安全传输协议 ，可以为服务器和客户问的通信连接提供数据加密、服务器身份验证和消息完整性等服务 ，根据服务器 的选项再提供对客户端的认证。SSL 协议要求 建立在可靠的传输层协议上，如TCP，同时 ，高层的应用协议 ，如HTTP 、FTP 、TELNET 等可以透明地建立于SSL 协议之上。 SSL 协议是 由SSL 记录 协议 、SSL 握手协 议和SSL 警报协议组成 的。SSL 握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制 。当客户与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法 、数据加密算法和Hash 算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户和服务器各自根据此秘密信息产生数据加密算法和Hash 算法参数。SSL 记录协议根据SSL 握手协议协商的参数 ，对应用层送来的数据进行加密、压缩 、计算消息鉴别码MAC ，然后经 网络传输层发送给对方。SSL 警报协议用