《电子商务信息安全及对策研究.docx》由会员分享,可在线阅读,更多相关《电子商务信息安全及对策研究.docx(14页珍藏版)》请在金锄头文库上搜索。
1、电子商务信息安全及对策研究【摘要】电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。【关键词】电子商务;信息安全;信息技术电子商务概念源于英文Elect ronic Commerce , 简写EC。美国商业周刊认为, Internet 已经成为 有史以来最激动人心的生意场 。电子商务介入世界经济活动并成为其中主角是必然的发展趋势。据统计1998 年全球电子商务交易额为1020 亿美元,2003 年电子商务
2、交易额达到1. 3 万亿美元,约占世界贸易总额的1/ 4 ,到2005 年将达到23 万亿美元。由于大量的信息在网上传递,大量的资金在网上划拨流动,这就要求网上信息必须具有高度的可靠性和绝对的保密性。但是出于各种目的的网络入侵和攻击也越来越频繁,脆弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看,信息安全问题是保障电子商务的生命线。1 、电子商务信息的安全要素1. 1 机密性传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保证电子商务
3、信息的机密性就变得非常重要。1. 2 完整性电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。1. 3 认证性网络环境是一个虚拟的环境,而电子商务就是在这个虚拟平台上进行的,贸易双方一般都不见面,需要一些技术和策略来进行身份确认。当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。1. 4 有效性在交易的过程中贸易双方需要确定很多信息,电子商务以电子形式取
4、代了纸张来确认这此信息,保证谢谢信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。2 、电子商务安全中存在的问题电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在以下几个方面。2. 1 计算机网络的安全2. 1. 1 安全协议问题随着经济和信息全球化的时代到来,但安全协议还没有全球性的标准和规范,
5、相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。2. 1. 2 信息的安全问题非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密或者是非法用户对截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易,还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。2. 1. 3 防病毒问题电脑病毒问世十多年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途
6、径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。2. 1. 4 服务器的安全问题。电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有企业的一些保密数据,如价格、成本等,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重的。目前服务器的安全问题尚无有效措施予以阻止。主要表现在:非法用户向网络或主机发送大量非法或无效的请求,使其消耗可用资源却无法继续提供正常的网络服务,利用操作系统、软件、网络协议、网络服务等的安全漏洞,通过网站发送特制的数据请求,使网络应用服务器崩溃而停止服务。2. 2 电子商务交易
7、的安全2. 2. 1 身份的不确定问题由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段窃取合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从中获得非法收入。主要表现有:冒充他人身份;冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户等。2. 2. 2 交易的抵赖问题电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。如自己应承担的责任如:发布者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不
8、承认,商家卖出的商品质量差但不承认原有的交易。在网络世界为交易双方的纠纷进行公证、仲裁。2. 2. 3 交易的修改问题交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。2. 3 其他方面的安全电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题:网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。 3 、保障电子商务信息安全措施3. 1 数据加密策略加密技术是
9、电子商务的最基本措施,最初主要用与保证数据在存储和传输过程中的保密性。随着电子商务的发展,对数据完整性以及身份鉴定技术提出了新的要求,数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。加密技术是一种主动的信息安全防范策略,利用一定的加密算法. 将明文转换成毫无意义的密文。阻止非法用户理解原始数据,从而确保数据的保密性。比较广泛使用的加密技术有两种:一是对称密钥加密体制,一是非对称密钥加密体制。它们的区别在于密钥的类型不同。3. 1. 1 对称密钥加密体制对称密钥加密,又称私钥加密(Secret Key Encryption) ,即数据加密和解密采用的都是同一个密钥,因而
10、其安全性依赖于所持有密钥的安全性,其最大的优点就是速度快,适合于对大数据量进行加密,但其最大的缺点是在大量用户的情况下密钥答理复杂,而且无法完成身份认证等功能,不便于应用于网络开放的环境中。3. 1. 2 非对称密钥加密体制非对称密钥加密体制,又称公钥加密( Public Key Encryp2tion) ,数据加密和解密采用不同的密钥,需要使用一对密钥来分别完成加密和解密操作。在非对称密钥加密体制中密钥被分解为一对。这对钥中的在何一把都可作为公开密钥,加密密钥,通过非保密方式向他人公开。而另一把则作为私用密钥加以保存。私用密钥只能由数据的接受者掌握。利用公钥体系可以方便地实现对用户的身份认证
11、,也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密,信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解密,如果能够解开,说明信息确实为该用户所发送,这样就方便地实现了对信息发送方身份的鉴别和认证。通常在实际应用中将公钥密码体系和数字签名算法结合使用. 在保证数据传输完整性的同时完成对用户的身份认证。3. 2 防火墙技术现有的防火墙技术包括两大类:数据包过滤和代理服务技术。其中,最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避兔对其进行的有意或无意的攻击,从而保证了专用私有
12、网的安全。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于: (1) 防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击。(2) 防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。3. 3 身份验证技术3. 3. 1 认证系统网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority ,通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的C
13、A ,否则,一切网上的交易都没有安全保障。3. 3. 2 SSL 协议SSL 协议(Secure Socket , Layer ,安全套接层) 主要目的是解决TCP/ IP 协议不能确认用户身份的问题,在Socket 上使用非对称的加密技术,以保证网络通信服务的安全性。SSL 协议易于实现。SSL 协议还是最值得信赖的协议。但是由于SSL 协议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL 协议并不能协调各方的安全传输和信任关系。3. 3. 3 SE
14、T 协议SET (Secure Elect ronic Transaction) 安全电子交易协议是用于Internet 上的以信用卡为基础的电子支付系统协议。主要应用于B/ C 模式中保障支付信息的安全性。SET 协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。它的交易规范成为了未来电子商务发展的方向。3. 4 保障电子商务信息安全的环境性措施目前,基于Internet 的电子商务应用还不成
15、熟,许多内外部环境还不够完善,相应的法律、法规,相关的标准还都没有建立,跨部门、跨地区的协调存在较大问题。3. 4. 1 构造我国完善的电子商务体系积极参与国际合作,融合国际电子商务框架,构造适合中国国情的电子商务体系。作为一个主权国家,为了维护国家的利益和经济安全,在电子商务相关技术方面注重自主知识产权技术的开发,不能全部依赖进口。因此,必须加大投资力度,重点支持电子商务技术的研发工作。3. 4. 2 加强法律法规建设针对利用信息高科技和信息系统等新型犯罪,政府部门应尽快组织力量,结合电子商务的客观需要,对现有的与电子商务相关的法律法规,利用法律与犯罪作斗争是人类历来的做法。如:中华人民共和国刑法、全国人大常委会关于互联网安全的决定、合同法、着作权法等进行修改。在这些法律中,可以适当增加对网络犯罪处罚的条款,增加对网络作品着作权保护的条款;对电子商务发展中急需解决的有关问题,如:在电子支付、税收管理,安全认证、网络与信息安全、知识产权保护、消费者权益保护等可由相关主管部门先制定部门规章,必要时,由国务院发布行政法规,再按程序上升为法律。3. 4. 3 加快网络基础设施建设,推动企业信息化进程加强相关领域应用基础对应的技术科学研究及应用研究是在信息领域及信息安全领域取得 创新
