浅析电子商务安全问题

       （三）应用程序的安全性
        即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件,特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制,程序员认为这个缺省的许可是正确的。这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度，假的输入字符串常常是可执行的命令,特权程序可以执行指令。
        （四）用户的认证管理
        一是身份认证，电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份, IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。二是CA证书，要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心发行。认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。三是SSL协议，SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。
        三、完善电子商务安全的配套措施
        电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须完善配套措施:
        一要突破关键技术受制于人的瓶颈。二要尽快对电子商务的有关细则进行立法。三要大力开发大型商务网站,发展与之相配套的物流公司。四要建立严格的内部安全机制。五要建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。六要对重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。安全实际上就是一种风险管理，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。
参考文献:
 [1]甘悦.浅议电子商务信息安全体系的构建[J]. 西北成人教育学报, 2007 (2).
[2]李建设.电子商务中的安全技术研究[J]. 株洲工学院学报, 2005 (1).
[3]赵刚.我国电子商务发展存在的问题及应对策略[J]. 科技情报开发与经济, 2005 (10).