【电子商务论文】电子商务平台信息安全方案分析

摘 要

随着电子商务平台的广泛应用,人们的生产和生活方式也在发生着深刻的改变。然后由于Internet自身的开放性,使得在此基础上建立网络平台应用面临严峻的安全挑战,黑客事件和安全事故时有发生,严重制约着电子商务平台的发展。如何建立一个安全、可靠的网络应用平台,已经成为电子商务平台建设中最迫切需要解决的问题。

关键词:电子商务 信息安全 技术

一、前言

电子商务平台系统应用及发展给社会经济乃至人们的生活带来了深刻的影响,甚至有人认为其深远影响可以和工业革命相提并论。然而,由于电子商务平台系统是一种复杂的网络应用系统,如何保障电子商务平台的信息的安全是我们迫切需要解决的问题,本文针对电子商务平台中存在的信息安全隐患问题,提出依靠实施保障其信息安全的防火墙、数据加密等技术性措施,完善电子商务平台的内外部环境,以促进网络平台安全可靠发展。

二、当前电子商务平台信息安全存在的问题

当前各大电子商务平台的信息安全问题大多存在共同之处。我们大概可以从以下几个方面了解到当前网络平台信息安全存在的问题:

(一)网络传输体系不健全

在各种电子商务平台交易过程中如果采用网络传输加密措施不够,攻击者通过互联网等电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息,在利用这些实际有用的数据信息进行违法活动,是对平台交易各方的严重威胁和伤害。如图1所示:

图1 信息截取示意图

这就对电子商务中的信息的传输安全性构成了严重的威胁。

(二)不安全的密码加密技术

由于资金及技术的限制一些电子平台仅仅依靠用户名+密码的形式进行行登录和交易过程。而对其辅助的仅仅是一个验证码。而在这种以静态密码的方式经行各种电子商务活动,他的安全性是极低的。一旦用户的帐号和密码遭到破译,那么其在电子商务平台各项信息构成威胁,没有任何的安全保障。这就对多维度的密码保护、身份认证和动态密码提出迫切的需求。

(三)交易监管不到位

正是由于电子商务平台的局限性,它的交易双方没有实际的接触和见证。不法分子也正是抓住这点,伪造它的网页结构和交易步骤,然后提供假的交易信息达到真交易的目的。同时获得的不法利益直接从受害者的账户划到了骗子的账户里。缺少必要的“公示期”、“审核”、“复查”机制,商品追回和退钱的功能。这就直接反映在电子商务交易平台的监管机制不到位。

三、解决网络平台信息安全措施

电子商务交易平台不够完善,直接对电子商务平台的网络安全构成了威胁,极易引起平台交易各方的利益受损。然而针对这些问题,我们可以从以下几个方案进行解决:

(一)加强网络传输安全体系

1、建立虚拟专用网;为了保障电子商务交易平台在交易活动中的信息安全的传输,我们可以建立自己的VPN(虚拟专用网),通过虚拟专用网络保障信息安全。虚拟专用网能比较有效的解决信息在网络上传输的安全性,因为我们可以理解为信息在我们的“专用”网络进行传输,同时也起到了访问控制作用,这是因为要通过Internet建立VPN,不仅只是对两端创送的数据经行加密,还需要对用户的身份经行认证。用户认证及认证算法或公钥证书,还需要建立访问控制能力,只有合法用户才能访问内部网,不同的用户他的访问权限也会不一样的。具体数据加密传输如图2所示:

图2 数据加密传输示意图

现在越来越多的电子商务交易平台多进行的是多元化的销售平台,一个电子平台可能存在多种形式的销售模式如:B2C模式、B2B模式,C2C模式,很多交易平台都有自己的一揽子销售协议。比如国美在线和库巴的ERP内部ERP镶嵌的网上商城,在他们自己的LAN联结在一起组成一个平台的广域网。当数据离开发送者所在的局域网时,该数据连接到Internet上的路由器加密,数据在Internet上是以加密的形式传送的,当到达目的地LAN路由器时,该路由器就会对数据经行解密。这样目标LAN中的用户就可以看到真正的信息了。

2、加强传输信息加密;电子商务平台中的信息在网络上传输的过程中可通过对数据进行加密传输。在计算机上实现数据加密或解密变换的是由密钥控制来实现的。我们以DES为例:用户在参与电子商务活动时,在用户输入自己的私有密钥后,将其二进制序列分成每64bits一组,用长为64bits的密钥对其进行16轮代换和换位改进加密,最后形成密文在在网络上经行传输,最后传送给接收者。其示意图如图3所示:

图3 DES加密示意图

目前信息的加密有很多新技术,但现代密钥级数分为两类:一类是对称加密系统(最著名的是美国数据加密标准DES;高级加密标准AES;欧洲数据加密标准IDEA)。另一类是非对称加密系统(运用最广的是RSA系统),还有Hash算法等。对不同的安全需求比如快捷性,安全性,易操作性等,他们都有各自的使用优先级。

(二)引进电子商务信息安全技术

电子商务作为一种新兴的商务形式,除了一些公共的信息安全保护措施外也应该建立一套适应自己平台需要的信息安全保护技术来保障交易的安全,针对这一需求从下面几个方面来实现:

1、采用数字签名技术;数字签名(digital signature)与书面签名的相同之处:其一,信息是由签名者发送的;其二,信息自从签发后到收到为止未曾做过任何修改。数字签名并非用“手写签名”的图标签名,他采用了双重加密的方法,用SHA加密的方法来达到防伪目的,其原理图如图4所示:

图4 数字签名原理示意图

通过对,原理图的分析我们可以理解为:发送者发送的原文通过数字摘要(Hash)函数形成一串128bits的密文,在通过发送者的私钥加密形成密文(数字指纹)发送给对方。对方通过反向过程得到最后的信息。数字摘要的应用是保障了交易的信息的完整性和真实性。同时,数字摘要因为其具有固定的长度,而且不同的明文摘要形成的签名其结果总是不同的,这就保证了信息的有效行、不可抵赖性。

2、使用身份认证技术;采用身份认证技术,加强电子商务活动参与者的身份认证和身份管理,是为保证客户在电子商务过程中在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性不仅需要对客户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内,国际安全电子交易协议标准的安全证书。

(三)加强网络监控技术

网络监控是网络安全体系中的监控和响应环节,通过入侵检测(IDS)来实现的。通过对平台运行状况进行监视,尽可能发现入侵行为,以保证网络系统资源的完整性和可靠性。IDS从网络系统中的关键点收集信息,并加以分析,检测网络中是否有违反安全策略的行为和识别遭受攻击的迹象。我们可以对网络的部署点划分为4个位置,DMZ区;外网入口;内网主干;关键子网,如图5所示:

图5 入侵检测系统部署图

这样我们的保护的网络和Internet连接处都有安全检测,极大的提高了我们被保护网络的安全性。以上技术信息加密技术,访问控制技术和网络监控技术他们相会补充,相互作用,共同保证在电子商务平台中信息在网络中的流通和传输安全。

(四)健全和增强电子商务信息安全体制和意识建设

目前,我国的电子商务体系还不够完善,相应的法律、法规,及相关的标准体系还都没有建立,因此,我们需要从下面三点进行完善:(1)构建完善的电子商务体系;由于我国的电子商务起步较晚,因此,我们积极参与国际合作,融合国际电子商务框架,构造适合电子商务发展的电子商务体系。(2)加快网络基础设施建设;网络基础设施的欠缺将严重制约电子商务的发展,因此,政府需要加强宏观调控,采取有效的措施保证电子商务信息的存储安全和流动安全,营造一个优良的电子商务信息安全环境。(3)加快电子商务法律体系建设;目前,我国还没有专门的电子商务法律法规。因此,我们应抓紧制订参与电子商务合同签订的规范程序;电子商务资金支付管理规则;电子商务交易安全规定等法律法规,使我国电子商务在法律保障的前提下得到更好的发展。

总 结

信息安全是电子商务发展的核心技术。要不断改进电子商务平台运行中的信息安全技术,提高电子商务系统的安全性和可靠性,加强具有自主产权的信息安全产品的研究,同时,完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。

原创文章,作者:sowenn,如若转载,请注明出处:https://www.diyilunwen.com/lwfw/dzsw/4247.html

(0)
sowennsowenn
上一篇 2014年11月17日
下一篇 2014年11月17日

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注