电子商务信息安全问题研究

电子商务信息安全问题研究

1电子商务的发展现状随着计算机通信和网络技术的发展，越来越多的公司开始实施电子商务。据统计，1998年全球电子商务交易额为1020亿美元，2003年电子商务交易额达到1.3万亿美元,约占世界贸易总额的1/4，到2005年将达到2～3万亿美元。随着电子商务的开展必定有大量的信息在网络上传递，包括产品信息，资金流，客户隐私等重要信息。这就要求网络传播的电子商务信息必需有高度的可靠性和绝对的保密性，因此，信息安全性是成功发展电子商务的一个关键性因素。2电子商务信息的安全2.1数据的机密性传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档，虽然速度和效率都不高，但却能达到保密的目的，而电子商务是在开放的网络环境下进行的，保证电子商务信息的机密性就变得非常重要。2.2商业信息现状电子商务极大地简化了传统贸易过程，减少了认为的干预，同时也伴随着贸易各方商业信息的完整、同一问题。由于数据录入时合法或非法的行为，可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作，保证数据在传送的过程中完整性。2.3虚拟平台上的身份确认网络环境是一个虚拟的环境，而电子商务就是在这个虚拟平台上进行的，贸易双方一般都不见面，需要一些技术和策略来进行身份确认。当个人或实体声称身份时，电子商务服务需要提供一种方式来进行身份认证。2.4预防抵赖行为发生传统的贸易双方通过在合同、契约或单据等书面文件上手写签名或印章来鉴别贸易伙伴，预防抵赖行为的发生。而电子商务实在虚拟的平台上进行的，如何防止贸易双方的抵赖行为就变成了电子商务顺利进行的关键。2.5确认信息的有效性在交易的过程中贸易双方需要确定很多信息，电子商务以电子形式取代了纸张来确认这些信息，保证谢谢信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻和地点是有效的。3公司电子商务中存在的信息安全问题由于Internet本身的开放性，使电子商务系统面临着各种各样的安全威胁。目前电子商务主要存在的安全隐患有以下几个方面：(1)法用户的身份与他人进行交易获得非法利益攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益。主要表现有：冒充他人身份；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户等。(2)拦截—网络信息安全问题主要表现在攻击者在网络的传输信道上，通过物理或逻辑的手段，进行信息截获、篡改、删除、插入。截获，攻击者可能通过分析网络物理线路传输时的各种特征，截获机密信息或有用信息，如消费者的账号、密码等。篡改，即改变信息流的次序，更改信息的内容；删除，即删除某个信息或信息的某些部分；插入，即在信息中插入一些信息，让收方读不懂或接受错误的信息。(3)扰正常的消息通道攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯，扰乱正常的资讯通道。包括：虚开网站和商店，给用户发电子邮件，收订货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应。(4)发布者事后肯定了某条信息或内容某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任.如：发布者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条信息或内容；购买者做了订货单不承认；商家卖出的商品质量差但不承认原有的交易。在网络世界里谁为交易双方的纠纷进行公证、仲裁。(5)计算机设备信息安全计算机系统是进行电子商务的基本设备，如果不注意安全问题，它一样会威胁到电子商务的信息安全。计算机设备本身存在物理损坏，数据丢失，信息泄露等问题。计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。同时，计算机系统存在工作人员管理的问题，如果职责不清，权限不明同样会影响计算机系统的安全。4公司的电子商务信息安全策略电子商务安全是信息安全的上层应用，它包括的技术策略范围比较广，主要分为网络安全策略、信息加密策略和计算机系统安全策略三大类。4.1网络安全策略的实施4.1.1物理安全策略网络安全首先要解决的问题就是确保网络上信息的物理安全。信息的物理安全是信息在网络介质上传播时的安全。物理安全是信息安全的最基本保障，是不可缺少和忽视的组成部分。物理安全策略的目的是保护计算机系统和通信链路免受自然灾害、人为破坏和攻击。确保计算机系统有一个良好的电磁兼容工作环境。同时要制定完善的安全管理制度，防止非法进入计算机控制室做各种偷窃、破坏活动。抑制和防止电磁泄漏，是物理安全策略的另一个主要问题。目前主要的防护措施有两类：一类是对传导发射的防护。另一类是对辐射的防护。4.1.2网络安全技术。根据将内尽管近年来各种网络安全技术在不断涌现，但防火墙仍是目前一种重要的网络防护设备。防火墙系统是一种网络安全部件，它可以是硬件，也可以是软件，也可能是硬件和软件的结合，位于两个（或多个）网络间，实施网络之间访问控制的一组组件集合。根据防火墙所配置的访问控制策略进行过滤或作出其它操作，防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截从被保护网络向外传送有价值的信息。防火墙系统可以用于内部网络与Internet之间的隔离，也可用于内部网络不同网段的隔离。目前的防火墙系统根据其实现的方式大致可分为两种，即包过滤防火墙和应用层网关。包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进行过滤，只准许授权的数据包通行。应用层网关位于TCP/IP协议的应用层，实现对用户身份的验证，接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中，应用层网关通常由代理服务器来实现。通过代理服务器访问Internet网络服务的内部网络用户时，在访问Internet之前首先应登录到代理服务器，代理服务器对该用户进行身份验证检查，决定其是否允许访问Internet。同样，从Internet到内部网络的数据流也由代理服务器代为接收，在检查之后再发送到相应的用户。4.1.3网络安全系统网络安全扫描技术主要是指扫描系统中可能存在的漏洞，让管理员技术发现并采取相应的措施，从而降低系统的不安全性的一种技术。当今，基于Internet的各种各样的服务越来越多，安全隐患也随之增多，系统服务以及防火墙系统的安全漏洞扫描变得非常必要。系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上的可能存在危险的缓冲区溢出攻击或者拒绝服务攻击的安全漏洞。网络安全扫描技术主要有三种：一是网络远程安全扫描；二是防火墙系统扫描；三是Web网站扫描。4.2数字签名、身份认证的技术增强加密技术是电子商务的最基本措施，最初主要用与保证数据在存储和传输过程中的保密性。随着电子商务的发展，对数据完整性以及身份鉴定技术提出了新的要求，数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。加密技术是一种主动的信息安全防范策略，利用一定的加密算法，将明文转换成毫无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。比较广泛使用的加密技术有两种：一是对称密钥加密体制，二是非对称密钥加密体制。它们的区别在于密钥的类型不同。4.2.1密钥管理分析对称密钥加密，又称私钥加密，即数据加密和解密采用的都是同一个密钥，因而其安全性依赖于所持有密钥的安全性，其最大的优点就是速度快，适合于对大数据量进行加密，但其最大的缺点是在大量用户的情况下密钥管理复杂，而且无法完成身份认证等功能，不便于应用在网络开放的环境中。4.2.2公开密钥与私用密钥非对称密钥加密体制，又称公钥密钥加密，数据加密和解密采用不同的密钥，需要使用一对密钥来分别完成加密和解密操作。在非对称密钥加密体制中密钥被分解为一对。这对钥中的任何一把都可作为公开密钥，加密密钥，通过非保密方式向他人公开。而另一把则作为私用密钥加以保存。私用密钥只能由数据的接受者掌握。利用公钥体系可以方便地实现对用户的身份认证，也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密，信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解密，如果能够解开，说明信息确实为该用户所发送，这样就方便地实现了对信息发送方身份的鉴别和认证。在实际应用中通常将公钥密码体系和数字签名算法结合使用，在保证数据传输完整性的同时完成对用户的身份认证。4.3加强用户权限管理计算机系统的安全问题可能更多的是体现在管理上。目前相当一部分的系统都为能通过物理接触的用户提供后门，以便用户忘掉口令后还能进入系统，故为了保证信息在计算机系统存储的安全首先应加强管理，避免未经授权的人员物理接触系统，以防系统被恶意损坏，移植病毒，打开后门等。同时对授权物理接触系统的人员也应该进行严格的权限分配，通过权限分配来控制用户对目录、文件、设备的访问，以确保电子商务信息的安全。对目录和文件的访问权限一般可分为：完全访问权限（FulControl）、读取权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、执行权限（Execute）。网络管理员应当为所有的用户指定适当的权限，通过这些访问权限控制用户对服务器的访问，同时做好计