电子商务安全导论

1、电子商务安全问题初探随着电子信息技术的迅速普及和广泛应用 ,电子商务以其快捷、便利等优点越 来越受到社会的认可。电子商务的发展前景十分诱人 ,但商业信息的安全依然是电 子商务的首要问题。本文从实现电子商务安全性的基本框架出发,对电子商务中的各种安全技术进行了分析 ,以探讨一种有效、安全的实现电子商务的途径。一、电子商务的安全问题电子商务安全问题主要有 :1. 信息的截获和窃取 :如果采用加密措施不够 ,攻击者通过互联网、公共电话网 在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析 ,推测出有用信息。2. 信息的篡改 :当

2、攻击者熟悉网络信息格式后 ,通过技术手段对网络传输信息中 途修改并发往目的地 ,破坏信息完整性。3. 信息假冒 :当攻击者掌握网络信息数据规律或解密商务信息后 ,假冒合法用户 或发送假冒信息欺骗其他用户。4. 交易抵赖 :交易抵赖包括多方面 ,如发信者事后否认曾发送信息、收信者事后 否认曾收到消息、购买者做了定货单不承认等。二、电子商务的安全性要求要使电子商务健康、顺利发展 ,必须解决好以下六种关键的安全性要求 :(1 可靠性要求 :可靠性要求是指为了防止计算机的软件错误、硬件故障、网络 中断、计算机病毒和自然灾害等突发事件 ,采取的一系列控制和预防措施来防止数 据信息资源部受破坏的可靠程度。

3、(2 保密性要求 :信息的存取时在安全的环境中进行 ,不能被非法窃取、泄露 ;信息 的发送和接收是在安全的网络中进行 ,交易双方在信息交换过程中没有被窃听的危 险 ,非参与方不能获取交易的信息 ,保证交易双方的信息安全。(3 完整性要求 :完整性是指数据在发送、接收和传递过程中 ,要求保证数据的一 致性 ,防止非法用户对数据的随意生成、修改和删除 ,同时还要保证数据传递次序的 统一。信息的完整性是从事电子商务交易双方的经营基础。(4 真实性要求 :从事电子商务的交易双方的身份不能被假冒或伪装 ,能够有效鉴 别、确定交易双份的真实身份。能否方便而有可靠地确认交易双方身份的真实性 , 是顺利进行电

4、子商务交易的前提。(5 不可抵赖性要求 :在电子商务环境下 ,通过手写签名和个人印章进行交易双方 的鉴别已是不可能的了 ,必须在交易信息的传递过程中参与交易的个人、企业、商 家或其他部门提供可靠的标识 ,有第三方提供有效的数字化过程记录 ,使交易各方不 能事后抵赖。(6 有效性要求 :在网络交易中 ,交易双方的信息交流 (如双方的购销合同、签名、 时间等都是以数字化的形式出现的 ,数字化的文件取代了原有的纸张 ,那么保证这种 数字信息的有效性并为交易双方共同认可 ,就显得格外重要。一旦签订交易合同后 , 这项交易就受到法律保护 ,并防止被篡改或伪造。三、电子商务信息安全技术1. 防火墙技术。防

5、火墙在网络间建立安全屏障 ,根据指定策略对数据过滤、分析 和审计 ,并对各种攻击提供防范。安全策略有两条 :一是“凡是未被准许就是禁止 ”。 防火墙先封闭所有信息流 ,再审查要求通过信息 ,符合条件就通过 ;二是“凡是未被禁 止就是允许 ”。防火墙先转发所有信息 ,然后逐项剔除有害内容。防火墙技术主要有 :(1包过滤技术 :在网络层根据系统设定的安全策略决定是否 让数据包通过 ,核心是安全策略即过滤算法设计。 (2代理服务技术 :提供应用层服务 控制,起到外部网络向内部网络申请服务时中间转接作用。代理服务还用于实施较强数 据流监控、过滤、记录等功能。 (3 状态监控技术 :在网络层完成所有必要

6、的包过滤 与网络服务代理防火墙功能。 (4复合型技术 :把过滤和代理服务两种方法结合形成 新防火墙 ,所用主机称为堡垒主机 ,提供代理服务。 (5审计技术 :通过对网络上发生的 访问进程记录和产生日志 ,对日志统计分析 ,对资源使用情况分析 ,对异常现象跟踪监 视。 (6 路由器加密技术 :加密路由器对通过路由器的信息流加密和压缩 ,再通过外部 网络传输到目的端解压缩和解密。2. 加密技术。为保证数据和交易安全 ,确认交易双方的真实身份 ,电子商务采用 加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应 用的加密技术有 :(1公共密钥和私用密钥 :也称 RSA 编码法。信

7、息交换的过程是贸易 方甲生成一对密钥并将其中一把作为公开密钥公开 ;得到公开密钥的贸易方乙对信 息加密后再发给贸易方甲 :贸易方甲用另一把专用密钥对加密信息解密。具有数字 凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。 (2数字摘要 :也称安全 Hash 编码法。将需加密的明文 “摘要” 成一串密文亦称数字指纹 ,有固定长度且不同明文摘要成密文结果不同 ,而同样明文 摘要必定一致。这串摘要成为验证明文是否真身的 “指纹”。(3 数字签名 :将数字摘 要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名 作用有两点 :一是因为自己

8、签名难以否认 ,从而确认文件已签署 ;二是因为签名不易仿 冒,从而确定文件为真。 (4数字时间戳 : 电子交易中文件签署日期和签名是防止交易 文件被伪造和篡改的关键性内容 ,数字时间戳服务能提供电子文件发表时间的安全 保护。3. 认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的 身份,验证信息完整性 ,确认信息在传送或存储过程中未被篡改。 (1数字证书 :也叫数 字凭证、数字标识 ,用电子手段证实用户身份及对网络资源的访问权限 ,可控制被查 看的数据库 ,提高总体保密性。交易支付过程中 ,参与各方必须利用认证中心签发的 数字证书证明身份。 (2 安全认证机构 :电子商务授权机

9、构也称电子商务认证中心。 无论是数字时间戳服务还是数字证书发放 ,都需要有权威性和公正性的第三方完成。CA 是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业性服 务机构 ,受理数字证书的申请、签发及对数字证书管理。4. 防病毒技术。 (1 预防病毒技术 ,通过自身常驻系统内存 ,优先获取系统控制权 , 监视系统中是否有病毒 ,阻止计算机病毒进入计算机系统和对系统破坏。 (2 检测病 毒技术 ,通过对计算机病毒特征进行判断的侦测技术 ,如自身校验、关键字、文件长 度变化。 (3 消除病毒技术 ,通过对计算机病毒分析 ,开发出具有杀除病毒程序并恢复 原文件的软件。另外要认真执行病毒定期清理制度 ,可以清除处于潜伏期的病毒 ,防 止病毒突然