校园电子商务安全问题策略 【摘 要】随着电子商务的迅猛发展和校园信息化的不断深入,校园电子商务应运而生并快速发展,同时网络资源的电子商务交易也为大众所接受,越来越多的人们开始接受并喜爱网上购物,因此安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。所以,本文从分析校园电子商务的概念及特点入手,深入分析校园电子商务的安全问题、安全需求和面临的各种威胁,在结合电子商务安全机制的基础上,为校园电子商务的安全交易提出自己的观点和策略。 【关键词】:校园 电子商务 安全 解决策略 一、 校园电子商务概述 1.1 校园电子商务的概念 校园电子商务是电子商务在校园这个特定环境下的具体应用,从商业运作模式来看类似于一般电子商务,都是通过网络进行商品、服务或信息的交换。但与一般电子商务相比较,校园电子商务除了具有跨时空、数字化、公开、透明等一般特征外,还有其独到的特色。 1.2 校园电子商务的特点 相对于一般电子商务,校园电子商务具有优良的网络环境、稳定的消费群体、安全的支付体系、方便的物流配送、良好的信用机制等,这些特点也是校园开展电子商务的优势所在。但同时也有它的不足:对校园电子商务缺乏足够的认识、校园电子商务缺乏有力的监督管理、对电子商务缺乏总体规划,建设中重网络设备,轻应用系统等。 二、校园电子商务的安全问题 2.1 校园电子商务安全的内容 校园电子商务安全是保证交易数据的安全,同时也是电子商务系统的关键。校园电子商务的内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。 2.2校园电子商务安全威胁 校园电子商务安全威胁同样来自校园网络安全威胁与校园交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:计算机系统漏洞、计算机病毒的破坏、网络外部的入侵、攻击等恶意破坏行为、校园网内部的攻击、校园网用户对网络资源的滥用、非正常途径访问或内部破坏、网络硬件设备受损、缺少信誉保证及良好的认证和监督体系、拒绝服务、缺少安全可靠的支付平台、交易模式过于单一、数据流分析、旁路控制、干扰系统正常运行等。同时网上交易面临的威胁可以归纳为:信息的截获和窃取、信息的篡改、信息假冒和交易抵赖。信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息;信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性;信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户;交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。 2.3 校园电子商务安全的基本安全需求 通过对校园电子商务安全威胁的分析,可以看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。 三、 校园电子商务安全解决方案 3.1 校园电子商务安全体系结构 校园电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护,也是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。校园电子商务系统体系结构与电子商务的体系结构相似都由三个层次和一个支柱构成,即网络平台:包括网上交易、支付和配送服务等;安全基础结构:包括加密技术、认证技术以及安全协议等电子商务安全机制;电子商务业:包括校园网、虚拟专网VPN、认证中心、校园一卡通、支付网关、认证服务器和交易服务器;一个支柱是公共基础部分:包括社会人文性的公共政策、法律及隐私问题和自然科技性的各种技术标准、安全网络协议、文档等。针对上述安全体系结构,具体的方案有: (1)营造良好校园人文环境。高校校园网是广大师生进行教学与科研活动的主要平台,由于高校部分学生对网络知识很感兴趣,具有相当高的专业知识水平,对内部网络的结构和应用模式又比较了解,攻击校园网就成了他们表现自己的能力,实践自己所学知识的首选,经常有意无意的攻击校园网系统,干扰校园网的安全运行。因此加强大学生的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。 (2)建立良好网上支付环境。网络安全和支付风险是电子商务发展的两人障碍、校园网通常采用防火墙系统与互联网和外联网链接,从而保证了网络系统的安全。校园电子商务的支付系统通常采用校园“一卡通”进行小额支付,从而避免或降低了在互联网上用银行信用卡或借记卡支付出现卡号被盗的风险。同时目前我国一部分高校都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。 (3)建立统一身份认证系统。指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方。这一过程为授权和审计所必需,也是实现授权、审计的访问控制过程运行的前提,是计算机网络安全系统不可缺少的组成部分。因此建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。 (4)组织物流配送团队。师生们居住非常集中,就在那几平方公里的校园内,使物流的配送准确、及时,成本大大降低。大多数高校在学校的大力支持和帮助下,通过贫困生勤工助学的方式解决了传统电子商务物流配送中的“最后一英里”的问题,同时也推动了校园电子商务的发展。 3.2 校园网络安全对策 (1)防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。 (2)病毒防治技术。计算机病毒防治工作,首先是防范体系的的建立,没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,因此,加强病毒防治是保障校园网络安全的重要环节。 (3)VPN技术。VPN就是确保和提高校园信息安全、数据的安全传输。如果目前我国高校大都能采用这种技术建立了校园一卡通工程,则能有效保证了网络的安全性和稳定性且易于维护和改进。 3.3交易信息安全对策 安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。 (1)数据加密技术。数据加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。 (2)认证技术。安全认证的主要作用是进行信息认证。主要包括安全认证技术和安全认证机构两个方面。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等;电子商务认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。 (3)安全协议技术。目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL协议和安全电子交易SET协议。SSL协议一般服务于银行对企业或企业对企业的电子商务。SET协议位于应用层,用来保证互联网上银行卡支付交易安全性。所以SET一般服务于持卡消费、网上购物的电子商务。 3.4 基于一卡通的校园电子商务 目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通其中最关键的是要保障数据的安全。由于校园卡覆盖的范围大,涉及的经济活动多,使用时数据量巨大,如果网络一断,正在变更的数据有可能出现更新的差错,这直接影响到系统的管理,使资金记录变得混乱。因此,在实施校园卡时,安全是至关重要的。同时,使用校园一卡通具有如下安全性保障: (1)网络安全 是指防止非法访问者通过互联网络对网络节点进行攻击的能力。售饭系统是一个网络收费系统,各个子系统遍布整个校园或不同的校区,具有很高的安全性要求。既要保证数据传输的完整性,不被他人窃取、修改,也要防止黑客攻击。该网络的实现方案常见有两种,一种是铺设独立的网络数据传输专网,采用加密传输方式;另一种是利用校园计算机网络,对各业务点设置安全放火墙,并加以可靠的数据加密传输。网络架设主要考虑的因素是能够在较小的地理范围内更好地运行,提高资源利用率和信息安全性,易于操作和维护等。因此多选用第二种方法,利用学校网络基础建设的冗余资源,直接接挂系统,避免了大范围的施工,降低了系统实施的难度,同时也为学校的校园网络管理带来了便利。 (2)数据库及数据安全 系统采用大型SQL数据库,数据库经过加密处理,防止他人恶意修改;操作软件上不具有影响到系统数据库安全的操作;进入系统时需验证操作员的操作密码;系统中较为重要的操作均有安全检测功能;操作界面亦设有安全锁定功能,以方便操作人员中途有事又不想关机时他人非法进入;对于不同的操作员可以设置不同的权限,不具有某种权限的操作人员无法操作和修改其权限;系统操作日志记录了系统启动及营业设置等变更等重要操作情况。此项操作在系统维护和管理中有着极其重要的意义。 (3)数据备份和灾难恢复 有效的备份是系统保全、防止意外灾害的最有效的手段。晨风管理软件可提供的数据备份方法有多种:
数据采用双机热备份:中心服务器部分采用双机热备份及磁盘镜像,可以在系统故障情况下做到系统的稳定运行。同时可选用;异地备份、自动备份、手工备份。卡还具有恢复功能,即便是管理电脑中所有的备份均无法使用时,系统也可通过用户卡来恢复数据,重新安装完所有管理软件后,通过读取卡中人员信息及金额即可实现系统的恢复工作。数据备份—在退出系统时自动进行数据备份。当退出系统时,系统将自动备份所有的数据到指定的路径, (4)卡、读卡设备的安全性 1、卡片的安全:应用中卡片密码由客户密钥(系统卡密码),公司密钥(我公司为用户卡所提供的出厂密码)及卡标识共同加密生成,采用一卡一密的加密机制、防止被盗滥用;卡片内每扇区的数据采用不同的密钥进行保护;卡内加入公司专用标识,采用专用算法,有效地防止伪卡;对系统内卡片采用分类管理,授予不同权限和功能,增强安全性;卡片设有有效期(发卡时由管理软件设置的卡的有效使用期,被记录到卡片中),避免黑名单无限膨胀,从而彻底保证黑名单的有效性,避免损失;卡片有效期在充值时可以自动延长。 2、卡人利益的保证:杜绝恶性透支;挂失实时生效,可凭个人密码实时在收费机上自助挂失,也可凭个人密码在收费机上自助解挂;实时更新黑名单;日消费限制,超过限额启用个人限额密码。 四、 结束语。 开展校园电子商务是推进校园信息化建设的重要内容,随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时,其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电子商务应用环境,对师生交易信息提供足够的保护,是大家十分关注的话题。因此校园电子商务中的安全问题还有待于继续探讨。 转贴于 中国论文下