电子商务安全策略分析论文-

电子商务安全策略分析论文 摘要：本文针对电子商务中的安全性需求和安 全威胁，详细探讨了电子商务的安全策略，包括加 密、数字签名、电子证书等。 关键词：电子商务安全策略信息安全认证 电子商务是在 Internet 开放的网络环境下， 实现消费者的网上购物、企业之间的网上交易和在 线电子支付的一种新型的交易方式。由于电子商务 具有高效益、低成本、高效率、范围全球性等特点 很快遍及全世界。电子商务已成为全球经济最具活 力的增长点，它的应用和推广将给社会和经济发展 带来巨大的变革和收益。然而，目前全球通过电子 商务渠道完成的贸易额仍只是同期全球贸易额中的 一小部分。究其原因，电子商务是一个复杂的系统 工程，它的实施还依赖于相应的社会问题和技术问 题的逐步解决与完善。其中，电子商务的安全是制 约电子商务发展的一个关键问题。 一、电子商务的安全性需求 有效性:电子商务以电子形式取代了纸张，那 么如何保证这种电子形式的贸易信息的有效性则是 开展电子商务的前提。因此，要对网络过障、操作 错误、应用程序错误等所产生的潜在威胁加以控制 和预防，以保证贸易数据在确定的时刻、确定的地 点是有效的。 1.机密性:电子商务作为贸易的一种手段，其 信息直接代表着个人、企业或者国家的商业机密。 因此，能否维护好商业机密成为了电子商务全面推 广应用的前提条件。电子商务系统应能够对公众网 络上传输的信息进行加密处理，防止交易中信息被 非法截获或读取。 2.完整性:电子商务简化了贸易过程，减少了 人为的干预，同时也带来维护贸易各方商业信息的 完整、同意问题。由于数据输入时的意外差错或欺 诈行为，可能导致贸易各方信息的差异。此外，在 数据传输过程中信息丢失、信息重复或者信息传送 的次序差异也会导致贸易各方信息不同。贸易各方 信息的完整性将影响贸易各方的交易和经营策略， 保持贸易各方信息的完整性是电子商务应用的基础。 因此，要预防对信息的随意生成、修改和删除，同 时要防止数据传送过程中信息丢失和重复，并保证 信息传送次序的统一。 3.可靠性:由于网上通信双方互不见面，所以 在交易前必须首先确认对方的真实身份；支付时还 要确认对方帐号等信息是否真实有效。电子商务系 统应提供通信双方进行身份鉴别的机制，确保交易 双方身份信息的可靠和合法。应实现系统对用户身 份的有效确认，对私有密钥和口令的有效保护，对 非法攻击能够防范，防止假冒身份在网上进行交易。 4.法律性:电子商务系统应有效防止商业欺诈 行为的发生。最新合同法已确认双方同意电子 贸易的电子档案为有效书面合同，为产生贸易纠纷 双方提供法律凭证。网上交易的各方在进行数据传 输时必须携有自身特有的、无法被别人复制的信息， 以保证交易发生纠纷时有所对证，以保证商业信任 和行为的不可否认性，保证交易各方对已做的交易 无法抵赖，为法律举证提高有效数据。 审查能力:根据机密性和完整性的要求，应对 数据审查的结果进行记录。 二、电子商务面临的安全威胁 1.信息在网络的传输中被截获：攻击者可能通 过互联网、公共电话网或在电磁波辐射范围内安装 装置等方式，截获机密信息，或通过对信息流量和 流向、通信频度和长度等参数的分析，获取有用信 息，如消费者的账号、密码等。 2.传输的文件可能被篡改:改变信息流的次序， 更改信息的内容，如购买商品的出货地址;删除某 个信息或信息的某些部分；在信息中插入一些信息， 让收方读不懂或接受错误的信息。 3.伪造电子邮件:虚开网站和商店，给用户发 电子邮件，收定货单;伪造大量用户，发电子邮件， 穷尽商家资源，使合法用户不能正常访问网络资源， 使有严格时间要求的服务不能及时得到响应;伪造 用户，发大量的电子邮件，窃取商家的商品信息和 用户等信息。 4.假冒他人身份:冒充他人身份，如冒充领导 发布命令、调阅文件;冒充他人消费、栽赃;冒充网 络控制程序，套取或修改使用权限、密钥等信息。 5.否认已经做过的交易：发布者事后否认曾经 发送过某条信息或内容;收信者事后否认曾经收到 过某条信息或内容；购买者做了订货单不承认;商 家卖出的商品质量差，但不承认原有的交易。 三、电子商务活动的安全保证 为了满足电子商务在安全服务方面的要求，除 了网络本身运行的安全外，电子商务系统还必须利 用各种安全控制技术保证整个电子商务过程的安全 与完整，并实现交易的防抵赖性等。具体实现有以 下几种技术。 1.加密技术是电子商务的最基本的安全措施。 在目前技术条件下，加密技术通常分为对称加密和 非对称加密两类。 对称密钥加密：采用相同的加密算法，并只交 换共享的专用密钥（加密和解密都使用相同的密钥） 。如果进行通信的交易各方能够确保专用密钥在密 钥交换阶段未曾发生泄露，则可以通过对称加密方 法加密机密信息，并随报文发送报文摘要和报文散 列值，来保证报文的机密性和完整性。密钥安全交 换是关系到对称加密有效性的核心环节。目前常用 的对称加密算法有 DES、PcR、IDEA、3DES 等。其 DES 使用最普遍，被 ISo 采用作为数据加密的标准。 非对称密钥加密:非对称加密不同于对称加密， 其密钥被分解为公开密钥和私有密钥。密钥对生成 后，公开密钥以非保密方式对外公开，只对应于生 成该密钥的发布者，私有密钥则保存在密钥发布方 手里。任何得到公开密钥的用户都可以使用该密钥 加密信息发送给该公开密钥的发布者，而发布者得 到加密信息后，使用与公开密钥相应对的私有密钥 进行解密。目前，常用的非对称加密算法有 RSA 算 法。该算法已被 ISo/Tc 的数据加密技术分委员会 Sc20 推荐为非对称密钥数据加密标准。 在对称和非对称两类加密方法中，对称加密的 突出特点是加密速度快（通常比非对称加密快 10 倍以上） 、效率高，被广泛用于大量数据的加密。 但该方法的致命缺点是密钥的传输与交换也面临着 安全问题，密钥易被截获，而且，若和大量用户通 信，难以安全管理大量的密钥，因此大范围应用存 在一定问题。而非对称密钥则相反，很好地解决了 对称加密中密钥数量过多难管理及费用高的不足， 也无需担心传输中私有密钥的泄露，保密性能优于 对称加密技术。但非对称加密算法复杂，加密速度 不很理想。目前.电子商务实际运用中常常是两者 结合使用。 2.防火墙技术是确保基础设施完整性一种常用 方法。它通过在网络边界上建立起来的相应网络通 信监控系统来隔离内部和外部网络，控制进/出两 个方向的通信流。它制定一系列规则来准许或拒绝 不同类型的通信，并执行所做的路由决策，以阻挡 外部的侵入。目前，防火墙技术主要有分组过滤和 代理服务两种类型。 分组过滤:这是一种基于路由器的防火墙。它 是在网间的路由器按网络安全策略设置一张访问表 或黑名单，即借助数据分组中的 49 地址确定什么 类型的信息允许通过防火墙，什么类型的信息不允 许通过。防火墙的职责就是根据防问表（或黑名单） 对进出路由器的分组进行检查和过滤，凡符合要求 的放行，不符合的拒之门外。这种防火墙简单易行， 但不能完全有效地防范非法攻击。 代理服务:是一种基于代理服务防火墙，它的 安全性高，增加了身份认证与审计跟踪，发现可能 的非法行为并提供有力的证据，然后以秘密的方式 向网上的防火墙发出有关信息如黑名单等。 3.安全认证技术。目前，仅有加密技术不足以 保证电子商务中的交易安全，身份认证技术是保证 电子商务安全的又一重要技术手段。认证的实现包 括数字摘要技术、数字签名技术、数字证书技术和 智能卡技术等。 摘要：本文针对电子商务中的安全性需求和安 全威胁，详细探讨了电子商务的安全策略，包括加 密、数字签名、电子证书等。 关键词：电子商务安全策略信息安全认证 电子商务是在 Internet 开放的网络环境下， 实现消费者的网上购物、企业之间的网上交易和在 线电子支付的一种新型的交易方式。由于电子商务 具有高效益、低成本、高效率、范围全球性等特点 很快遍及全世界。电子商务已成为全球经济最具活 力的增长点，它的应用和推广将给社会和经济发展 带来巨大的变革和收益。然而，目前全球通过电子 商务渠道完成的贸易额仍只是同期全球贸易额中的 一小部分。究其原因，电子商务是一个复杂的系统 工程，它的实施还依赖于相应的社会问题和技术问 题的逐步解决与完善。其中，电子商务的安全是制 约电子商务发展的一个关键问题。 一、电子商务的安全性需求 有效性:电子商务以电子形式取代了纸张，那 么如何保证这种电子形式的贸易信息的有效性则是 开展电子商务的前提。因此，要对网络过障、操作 错误、应用程序错误等所产生的潜在威胁加以控制 和预防，以保证贸易数据在确定的时刻、确定的地 点是有效的。 1.机密性:电子商务作为贸易的一种手段，其 信息直接代表着个人、企业或者国家的商业机密。 因此，能否维护好商业机密成为了电子商务全面推 广应用的前提条件。电子商务系统应能够对公众网 络上传输的信息进行加密处理，防止交易中信息被 非法截获或读取。 2.完整性:电子商务简化了贸易过程，减少了 人为的干预，同时也带来维护贸易各方商业信息的 完整、同意问题。由于数据输入时的意外差错或欺 诈行为，可能导致贸易各方信息的差异。此外，在 数据传输过程中信息丢失、信息重复或者信息传送 的次序差异也会导致贸易各方信息不同。贸易各方 信息的完整性将影响贸易各方的交易和经营策略， 保持贸易各方信息的完整性是电子商务应用的基础。 因此，要预防对信息的随意生成、修改和删除，同 时要防止数据传送过程中信息丢失和重复，并保证 信息传送次序的统一。 3.可靠性:由于网上通信双方互不见面，所以 在交易前必须首先确认对方的真实身份；支付时还 要确认对方帐号等信息是否真实有效。电子商务系 统应提供通信双方进行身份鉴别的机制，确保交易 双方身份信息的可靠和合法。应实现系统对用户身 份的有效确认，对私有密钥和口令的有效保护，对 非法攻击能够防范，防止假冒身份在网上进行交易。 4.法律性:电子商务系统应有效防止商业欺诈 行为的发生。最新合同法已确认双方同意电子 贸易的电子档案为有效书面合同，为产生贸易纠纷 双方提供法律凭证。网上交易的各方在进行数据传 输时必须携有自身特有的、无法被别人复制的信息， 以保证交易发生纠纷时有所对证，以保证商业信任 和行为的不可否认性，保证交易各方对已做的交易 无法抵赖，为法律举证提高有效数据。 审查能力:根据机密性和完整性的要求，应对 数据审查的结果进行记录。 二、电子商务面临的安全威胁 1.信息在网络的传输中被截获：攻击者可能通 过互联网、公共电话网或在电磁波辐射范围内安装 装置等方式，截获机密信息，或通过对信息流量和 流向、通信频度和长度等参数的分析，获取有用信 息，如消费者的账号、密码等。 2.传输的文件可能被篡改:改变信息流的次序， 更改信息的内容，如购买商品的出货地址;删除某 个信息或信息的某些部分；在信息中插入一些信息， 让收方读不懂或接受错误的信息。 3.伪造电子邮件:虚开网站和商店，给用户发 电子邮件，收定货单;伪造大量用户，发电子邮件， 穷尽商家资源，使合法用户不能正常访问网络资源， 使有严格时间要求的服务不能及时得到响应;伪造 用户，发大量的电子邮件，窃取商家的商品信息和 用户等信息。 4.假冒他人身份:冒充他人身份，如冒充领导 发布命令、调阅文件;冒充他人消费、栽赃;冒充网 络控制程序，套取或修改使用权限、密钥等信息。 5.否认已经做过的交易：发布者事后否认曾经 发送过某条信息或内容;收信者事后否认曾经收到 过某条信息或内容；购买者做了订货单不承认;商 家卖出的商品质量差，但不承认原有的交易。 三、电子商务活动的安全保证 为了满足电子商务在安全服务方面的要求，除 了网络本身运行的安全外，电子商务系统还必须利 用各种安全控制技术保证整个电子商务过程的安全 与完整，并实现交易的防抵赖性等。具体实现有以 下几种技术。 1.加密技术是电子商务的最基本的安全措施。 在目前技术条件下，加密技术通常分为对称加密和 非对称加密两类。 对称密钥加密：采用相同的加密算法，并只交 换共享的专用密钥（加密和解密都使用相同的密钥） 。如果进行通信的交易各方能够确保专用密钥在密 钥交换阶段未曾发生泄露，则可以通过对称加密方 法加密机密信息，并随报文发送报文摘要和报文散 列值，来保证报文的机密性和完整性。密钥安全交 换是关系到对称加密有效性的核心环节。目前常用 的对称加密算法有 DES、PcR、IDEA、3DES 等。其 DES 使用最普遍，被 ISo 采用作为数据加密的标准。 非对称密钥加密:非对称加密不同于对称加密， 其密钥被分解为公开密钥和私有密钥。密钥对生成 后，公开密钥以非保密方式对外公开，只对应于生 成该密钥的发布者，私有密钥则保存在密钥发布方 手里。任何得到公开密钥的用户都可以使用该密钥 加密信息发送给该公开密钥的发布者，而发布者得 到加密信息后，使用与公开密钥相应对的私有密钥 进行解密。目前，常用的非对称加密算法有 RSA 算 法。该算法已被 ISo/Tc 的数据加密技术分委员会 Sc20 推荐为非对称密钥数据加密标准。 在对称和非对称两类加密方法中，对称加密的 突出特点是加密速度快（通常比非对称加密快 10 倍以上） 、效率高，被广泛用于大量数据的加密。 但该方法的致命缺点是密钥的传输与交换也面临着 安全问题，密钥易被截获，而且，若和大量用户通 信，难以安全管理大量的密钥，因此大范围应用存 在一定问题。而非对称密钥则相反，很好地解决了 对称加密中密钥数量过多难管理及费用高的不足， 也无需担心传输中私有密钥的泄露，保密性能优于 对称加密技术。但非对称加密算法复杂，加密速度 不很理想。目前.电子商务实际运用中常常是两者 结合使用。 2.防火墙技术是确保基础设施完整性一种常用 方法。它通过在网络边界上建立起来的相应网络通 信监控系统来隔离内部和外部网络，控制进/出两 个方向的通信流。它制定一系列规则来准许或拒绝 不同类型的通信，并执行所做的路由决策，以阻挡 外部的侵入。目前，防火墙技术主要有分组过滤和 代理服务两种类型。 分组过滤:这是一种基于路由器的防火墙。它 是在网间的路由器按网络安全策略设置一张访问表 或黑名单，即借助数据分组中的 49 地址确定什么 类型的信息允许通过防火墙，什么类型的信息不允 许通过。防火墙的职责就是根据防问表（或黑名单） 对进出路由器的分组进行检查和过滤，凡符合要求 的放行，不符合的拒之门外。这种防火墙简单易行， 但不能完全有效地防范非法攻击。 代理服务:是一种基于代理服务防火墙，它的 安全性高，增加了身份认证与审计跟踪，发现可能 的非法行为并提供有力的证据，然后以秘密的方式 向网上的防火墙发出有关信息如黑名单等。 3.安全认证技术。目前，仅有加密技术不足以 保证电子商务中的交易安全，身份认证技术是保证 电子商务安全的又一重要技术手段。认证的实现包 括数字摘要技术、数字签名技术、数字证书技术和 智能卡技术等。 摘要：本文针对电子商务中的安全性需求和安 全威胁，详细探讨了电子商务的安全策略，包括加 密、数字签名、电子证书等。 关键词：电子商务安全策略信息安全认证 电子商务是在 Internet 开放的网络环境下， 实现消费者的网上购物、企业之间的网上交易和在 线电子支付的一种新型的交易方式。由于电子商务 具有高效益、低成本、高效率、范围全球性等特点 很快遍及全世界。电子商务已成为全球经济最具活 力的增长点，它的应用和推广将给社会和经济发展 带来巨大的变革和收益。然而，目前全球通过电子 商务渠道完成的贸易额仍只是同期全球贸易额中的 一小部分。究其原因，电子商务是一个复杂的系统 工程，它的实施还依赖于相应的社会问题和技术问 题的逐步解决与完善。其中，电子商务的安全是制 约电子商务发展的一个关键问题。 一、电子商务的安全性需求 有效性:电子商务以电子形式取代了纸张，那 么如何保证这种电子形式的贸易信息的有效性则是 开展电子商务的前提。因此，要对网络过障、操作 错误、应用程序错误等所产生的潜在威胁加以控制 和预防，以保证贸易数据在确定的时刻、确定的地 点是有效的。 1.机密性:电子商务作为贸易的一种手段，其 信息直接代表着个人、企业或者国家的商业机密。 因此，能否维护好商业机密成为了电子商务全面推 广应用的前提条件。电子商务系统应能够对公众网 络上传输的信息进行加密处理，防止交易中信息被 非法截获或读取。 2.完整性:电子商务简化了贸易过程，减少了 人为的干预，同时也带来维护贸易各方商业信息的 完整、同意问题。由于数据输入时的意外差错或欺 诈行为，可能导致贸易各方信息的差异。此外，在 数据传输过程中信息丢失、信息重复或者信息传送 的次序差异也会导致贸易各方信息不同。贸易各方 信息的完整性将影响贸易各方的交易和经营策略， 保持贸易各方信息的完整性是电子商务应用的基础。 因此，要预防对信息的随意生成、修改和删除，同 时要防止数据传送过程中信息丢失和重复，并保证 信息传送次序的统一。 3.可靠性:由于网上通信双方互不见面，所以 在交易前必须首先确认对方的真实身份；支付时还 要确认对方帐号等信息是否真实有效。电子商务系 统应提供通信双方进行身份鉴别的机制，确保交易 双方身份信息的可靠和合法。应实现系统对用户身 份的有效确认，对私有密钥和口令的有效保护，对 非法攻击能够防范，防止假冒身份在网上进行交易。 4.法律性:电子商务系统应有效防止商业欺诈 行为的发生。最新合同法已确认双方同意电子 贸易的电子档案为有效书面合同，为产生贸易纠纷 双方提供法律凭证。网上交易的各方在进行数据传 输时必须携有自身特有的、无法被别人复制的信息， 以保证交易发生纠纷时有所对证，以保证商业信任 和行为的不可否认性，保证交易各方对已做的交易 无法抵赖，为法律举证提高有效数据。 审查能力:根据机密性和完整性的要求，应对 数据审查的结果进行记录。 二、电子商务面临的安全威胁 1.信息在网络的传输中被截获：攻击者可能通 过互联网、公共电话网或在电磁波辐射范围内安装 装置等方式，截获机密信息，或通过对信息流量和 流向、通信频度和长度等参数的分析，获取有用信 息，如消费者的账号、密码等。 2.传输的文件可能被篡改:改变信息流的次序， 更改信息的内容，如购买商品的出货地址;删除某 个信息或信息的某些部分；在信息中插入一些信息， 让收方读不懂或接受错误的信息。 3.伪造电子邮件:虚开网站和商店，给用户发 电子邮件，收定货单;伪造大量用户，发电子邮件， 穷尽商家资源，使合法用户不能正常访问网络资源， 使有严格时间要求的服务不能及时得到响应;伪造 用户，发大量的电子邮件，窃取商家的商品信息和 用户等信息。 4.假冒他人身份:冒充他人身份，如冒充领导 发布命令、调阅文件;冒充他人消费、栽赃;冒充网 络控制程序，套取或修改使用权限、密钥等信息。 5.否认已经做过的交易：发布者事后否认曾经 发送过某条信息或内容;收信者事后否认曾经收到 过某条信息或内容；购买者做了订货单不承认;商 家卖出的商品质量差，但不承认原有的交易。 三、电子商务活动的安全保证 为了满足电子商务在安全服务方面的要求，除 了网络本身运行的安全外，电子商务系统还必须利 用各种安全控制技术保证整个电子商务过程的安全 与完整，并实现交易的防抵赖性等。具体实现有以 下几种技术。 1.加密技术是电子商务的最基本的安全措施。 在目前技术条件下，加密技术通常分为对称加密和 非对称加密两类。 对称密钥加密：采用相同的加密算法，并只交 换共享的专用密钥（加密和解密都使用相同的密钥） 。如果进行通信的交易各方能够确保专用密钥在密 钥交换阶段未曾发生泄露，则可以通过对称加密方 法加密机密信息，并随报文发送报文摘要和报文散 列值，来保证报文的机密性和完整性。密钥安全交 换是关系到对称加密有效性的核心环节。目前常用 的对称加密算法有 DES、PcR、IDEA、3DES 等。其 DES 使用最普遍，被 ISo 采用作为数据加密的标准。 非对称密钥加密:非对称加密不同于对称加密， 其密钥被分解为公开密钥和私有密钥。密钥对生成 后，公开密钥以非保密方式对外公开，只对应于生 成该密钥的发布