网络安全技术在电子商务中的应用研究　

摘要：计算机网络技术的发展促使电子商务应用得到迅速发展，而电子商务在为用户提供更广阔的交易平台。同时，其网络安全问题日益凸显，因此保障电子商务网络安全运行十分重要。本文针对B/S架构的电子商务网络安全问题进行了研究，具体从数据信息、网络边界、用户计算机、电子商务网站及服务器四个方面分析了电子商务应用中存在的安全隐患，并从数据信息安全防护技术、网络边界访问控制技术及入侵防御技术、网站及服务器安全防护技术、计算机病毒防范技术四个方面提出了电子商务网络安全技术防护措施。最后，提出了从技术、管理制度、人员素质等多个方面考虑，构建电子商务网络安全体系的必要性。

关键词：计算机网络；电子商务；网络安全

0引言

随着计算机网络技术逐渐渗透到各个领域，人们的生活方式发生了翻天覆地的变化，尤其是电子商务的发展，为人们提供了更加便捷的交易平台，打破了以往交易在时间和空间上的限制，其用户群体在不断地扩大，这个给电子商务带来了巨大的发展空间。然而，由于互联网具有互动性、开放性及应用广泛性等特点[1]，其日渐显露的安全问题也给电子商务的运营及发展带来了威胁。如何构建一个安全稳定的网络环境，促进电子商务健康稳定的发展，成为目前电子商务领域亟待解决的问题。

1电子商务的网络安全隐患

电子商务是一种采用计算机及网络技术,基于浏览器/服务器的应用方式，实现消费者网上购物及买卖双方的网上交易和在线电子支付等商务活动的新型的商业运营模式。随着计算机及网络技术的发展，网络的安全性成为制约电子商务持续发展的重要因素，因此确保计算机网络的安全性是电子商务长期稳定运行、健康发展的首要前提条件。目前情况分析，电子商务所面临的网络安全隐患众多[2][3]，归结起来主要体现在数据信息、网络、用户计算机、网站及服务器安全等方面。

1.1数据信息安全隐患

电子商务运行过程中，若网络上传输的数据未采用任何加密措施，即数据信息以明文方式在网络中传送，很容易在传送的过程中被截获，使用户的信息被窃取和篡改，有的甚至遭到攻击者冒充合法用户发送假冒信息欺骗合法主机及用户，严重侵害了合法用户的权益。因此难以保证数据信息的完整性、正确性及保密性。

1.2网络边界安全隐患

电子商务系统依赖于网络与外部进行数据的交换，在这一过程中若保护不当就给攻击者留下了可乘之机，攻击者会通过某种途径获得对系统的访问权，从而为系统的安全性留下了隐患。攻击者进行网络攻击的实质就是利用系统自身存在的安全漏洞，通过使用网络命令和专用软件进入对方网络系统进行攻击。目前在网络安全技术中典型的网络攻击手段主要有拒绝服务攻击（Dos/DDos）、欺骗类攻击、控制类攻击、探测类攻击以及漏洞类攻击等[4]。拒绝服务攻击的目的是破坏系统的正常运行，最终导致网络连接堵塞，或者使服务器系统的相关服务崩溃，系统资源耗尽，进而导致系统无法正常运行。典型的拒绝服务攻击为同步洪流、LAND攻击、Ping洪流、死亡之Ping；欺骗类攻击是以不同的方式通过伪造假信息来实施欺骗攻击，典型的欺骗类攻击为Arp欺骗、DNS欺骗、IP地址欺骗；控制类攻击表现为通过某种方式获得对机器的控制权进而攻击，最常见的为缓冲区溢出攻击、木马攻击、口令入侵等；探测类攻击通过搜集目标系统的网络安全缺陷等相关信息，为以后的入侵提供帮助。漏洞类攻击是根据网络体系中存在的各种漏洞进行攻击。随着网络攻击形式的不断变化，网络攻击趋于采取多种攻击手段相结合的形式进行攻击，其形式更加多样化。

1.3电子商务网站及服务器安全隐患

一些电子商务网站在初期设计制作时，缺乏对网站整体安全性的考虑，存在一些安全漏洞，如SQL注入漏洞、上传漏洞、跨站注入漏洞等[5][6]，攻击者利用这些漏洞进入电子商务网站，将会导致大量用户及交易信息泄露的风险，其造成的损失是无法估计的。另外，网站服务器是保证网站能够安全运行的前提条件之一，若服务器系统本身存在漏洞，往往会被病毒利用侵入并攻击，将会给网站的安全运行带来大量的安全隐患。如若用户账号和权限设置不当，未设置安全的密码策略，同样也会给入侵者留下攻击的途径，最终导致服务器系统的崩溃和信息的泄漏等安全隐患。

1.4用户计算机安全隐患

在电子商务交易过程中，由于商家和客户的交易操作都是通过使用电脑浏览器在网络上进行的，这些用户在操作时使用的计算机可能是个人、网吧、办公室的计算机，如果计算机中存在病毒和木马，可能会导致用户的登录和交易信息如登录用户名和密码、银行账号和密码等泄露或丢失的危险。

2计算机网络安全技术在电子商务中的应用

2.1数据信息安全防护技术

2.1.1数据加密技术

加密技术是网络安全技术中的核心技术，同时也是电子商务采取的主要安全保密措施，用来保护数据在传输过程中不被窃听或修改。信息在加密过程中典型的加密技术为对称加密和非对称加密[7][8]。对称加密采用了对称密码编码技术，即在文件加密和解密过程中使用同一密钥，此方法也叫做对称加密算法。该算法的典型代表为数据加密标准(DES，DataEncryptionStandard)。对称加密算法的流程。发送方使用加密算法利用密钥K对要发送的明文进行加密，然后将密文通过网络传输给接收方。接收方在接收了发送方发来的密文之后，利用密钥K使用解密算法进行解密，最终获取明文。与对称加密算法不同，非对称加密算法中涉及两个密钥，即:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥成对出现，共同完成数据的加密和解密工作。若数据加密时使用的是公开密钥，则需要使用对应的私有密钥进行解密，反之亦然。由于加密和解密过程中使用两个相对应的不同的密钥，因此该算法称为非对称加密算法。非对称加密算法的典型代表为RSA(RivestShamirAdleman)算法。非对称加密算法的流程。发送方使用加密算法利用密钥对中的公钥对发送方发来的明文进行加密形成密文，然后将加密后的密文通过网络传输送达接收方。当接收方接收了发送方发来的密文之后，利用密钥对中公钥对应的私钥使用解密算法进行解密，接收方最终获取明文信息。对称加密算法与非对称加密算法二者在应用中各有优势，对称加密算法密钥较短，加密处理简单快捷且破译困难；非对称加密算法密钥管理简单，方便实现数字签名和验证。在实际应用中，多采用二者相结合的方式。

2.1.2认证技术

（1）数字签名技术

加密技术只解决了电子商务信息在传递过程中的保密性问题，但对于一些伪造信息和抵赖行为[1]，单靠加密技术是远远不够的。数字签名技术针对伪造信息和抵赖行为等这些不良现象提供了很好的解决方法。数字签名的实现主要是基于密钥加密和数字摘要技术。而在数字签名算法中，被广泛应用的是利用公开密钥加密技术的数字签名。数字摘要。数字摘要即Hash编码，利用单向的散列函数将明文加密成一串固定长度的散列值，通常为128位。散列值具有唯一性的特点。数字签名。数字签名即发送方利用私有密钥对数字摘要进行加密从而形成数字签名。数字签名实现了数据在网络传输过程中的安全性和完整性。利用数字签名进行验证的过程.数字签名验证过程数字时间戳。在电子商务中，除了要考虑数据信息的保密性、完整性、正确性及不可否认和伪造等方面的安全因素，还需要考虑交易日期和时间等信息的安全性，数字时间戳可以作为电子商务交易信息的时间认证，进一步为电子信息在时间上提供了安全保护。通常数字时间戳服务由第三方机构提供。

（2）数字证书

电子商务中的数字证书是交易双方的凭证，用于证明用户合法身份的，主要由权威机构发放。证书采用电子文档的形式记录用户的公开密钥及其他身份信息来证实用户的合法身份和资源访问权限。数字证书的类型包括：个人数字证书、服务器证书、开发者证书。

（3）CA认证中心

CA认证中心是承担网上认证服务并能签发数字证书、确认用户合法身份的第三方机构。其主要任务是受理数字证书的申请、签发及对数字证书进行管理。在电子商务认证体系中，CA担当了权威的认证中心的职责，对电子商务的安全起到了非常关键的作用。

2.2网络边界安全防护技术

2.2.1访问控制技术

网络边界处采用访问控制技术可以在内外部网络之间构造保护屏障，防止来自外部网络的攻击，保证网络资源不被非法使用和访问。典型的产品为防火墙，它采用隔离控制技术，阻挡来自外部的网络入侵，防止系统资源被非法盗用，同时也可以阻止重要信息从内部网络被非法输出，保护内部网络的安全。电子商务系统网络边界处采用访问控制技术进行安全边界隔离和访问控制，可以大大降低电子商务内部网络安全风险。

2.2.2入侵防御技术

采用防火墙技术进行安全边界隔离和访问控制，在一定程度上降低了电子商务系统网络运行风险，但仅仅使用防火墙技术来解决网络安全问题还远远不够。入侵防御系统（IPS）是对防病毒软件和防火墙的补充，具有实时检测与主动防御功能的网络安全设备，能够实时监视整个网络运行状况，并且能够针对一些不正常或具有伤害性的网络行为采取中断、调整或隔离的措施。入侵防御系统IPS具有嵌入式运行的特征，能够实时拦截可疑数据包，同时，具有深入分析和控制能力，实现了网络的实时安全防护。因此，网络边界处采用入侵防御技术对网络进行实时检测与主动防御，进一步降低了电子商务内部网络安全风险。

2.3网站及服务器安全防护技术

2.3.1网站防火墙技术

相比传统的防火墙和IPS产品，Web应用防火墙是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备，能够针对Web应用攻击提供更全面、更精准的防护，尤其对一些可以“绕过”传统防火墙和IPS的攻击方法，可以精准地阻断。Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的安全产品。针对目前常见的Web应用层攻击：缓冲区溢出、Cookie假冒、跨站脚本攻击、SQL注入等，采用Web防火墙技术可以对Web应用起到很好的安全防护作用。

2.3.2服务器安全防护技术

系统管理人员可以通过设置账号规则、更改用户权限、设置安全密码、配置安全策略、关闭不必要的端口、开启审核策略等方式来保障服务器主机的安全。同时，服务器上应采取病毒防护措施，通过在服务器上安装杀毒软件，不仅能杀掉一些著名的病毒，还能查杀大量的木马和后门程序，保护系统的安全。另外，由于服务器操作系统常常存在一些技术漏洞。系统管理人员在服务器运维过程中，要及时下载补丁，安装最新补丁，防止因系统漏洞而带来安全隐患。

2.4计算机病毒防范技术

计算机病毒是指编写者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码[9]。计算机病毒具有繁殖性、破坏性、传染性、潜伏性、隐蔽性及可触发性等特点，其危害性不可忽视。从技术上考虑，计算机病毒的防范应采取如下措施：（1）安装正版软件，不使用盗版或来历不明的软件。（2）安装杀毒软件进行防护，并定期进行升级更新病毒代码库。（3）打开计算机防火墙，关闭不必要的端口。（4）定期做好数据备份以减少数据丢失和损坏的损失。

3结论

本文根据目前基于B/S架构的电子商务中存在的网络安全隐患进行了分析，结合电子商务运行特点，从计算机网络安全技术的角度进行了研究，提出了具体的防范措施。随着计算机技术和网络技术的发展，电子商务业务功能不断复杂化，电子商务的网络安全问题并非是一成不变的。因此，要从技术、管理制度、人员素质等多个方面进行考虑，构建一个集技术、管理制度、法律法规等多方面的网络安全体系。

参考文献：

[1]姜灵敏.电子商务网络安全技术[J].微型电脑应用，2001.

[2]张娅妮.电子商务网络安全问题的现状与防范措施[J].计算机安全，2013.

[3]王庆.浅谈电子商务的网络安全[J].电脑知识与技术，2014.

[4]魏为民,袁仲雄.网络攻击与防御技术的研究与实践[J].信息网络安全，2012.

[5]文志华，周序生.多方位WEB网站安全防御系统研究[J].网络安全技术与应用，2014.

[6]樊程,戴洪,翟新吉,蒋静.基于JSP网站安全的案例分析与解决方案[J].青岛大学学报(自然科学版)，2011.

[7]刘宇平.数据加密技术在计算机安全中的应用分析[J].信息通信，2012.

[8]王秀翠.数据加密技术在计算机网络通信安全中的应用[J].软件导刊，2011.

[9]张笑.计算机病毒防范技术的探究[J].电子技术与软件工程，2014.

[10]金红兵.电子商务网络安全问题现状及防范措施[J].信息安全与技术，2016.

[11]蔡立军.计算机网络安全技术[M].北京：中国水利水电出版社，2002.

张苗 吉林省科技馆

 成本控制论文   中小企业论文   企业发展论文   市场营销论文   经济学论文 国际贸易论文   低碳经济论文   农业经济论文   循环经济论文   中国经济论文 世界经济论文   建筑经济论文   市场经济论文   海洋经济论文   煤炭经济论文 工程经济论文   经济师论文   农村经济论文   经济发展论文   对外贸易经济论文 经济增长论文   经贸发展论文   贸易合作论文   实体经济论文   虚拟经济论文 经济纠纷论文   国民经济论文   绿色经济论文   科学发展论文   林业经济论文