电子商务中的安全问题.doc

电子商务中的安全问题 食品091 张学伟 200901180129 摘 要：由于电子商务是建立在开放的、自由的Intemet平台上的，其安全的脆弱性阻碍了电子商务的发展。因此，要发展电子商务就必须解决安全问题，就必须要能保证电子商务的机密性、完整性、有效性、真实性以及不可否认性。电子商务安全交易中在线支付问题是最核心、最关键的问题。本文从电子商务的安全问题入手，通过对多种安全技术的综合介绍和详细分析，有针对性地提出了相应的安全策略。提供了解决企业电子商务网站安全问题的有效办法，以保障电子商务活动的安全进行。 关键词: 电子商务，安全技术，安全对策 Abstract:Because electronic commerce is the establishment in is open, the free Internet platfbm，its safe vulnerability has hindered the electronic commerce developmenttherefore，must develop me electronic commerce to have solve the security problem，must have to beable to guarantee electronic commerce Confidentiality, the integrity, the integrity,the validity, theauthemicity as well as UndeIliable the naturehl the electronic commerce security transactionthe on-line payment question is most core，the most essential questionThis article from the electronic commerce security problems, based on a variety of security technology comprehensive introduction and detailed analysis, pertinently put forward the corresponding security strategy. Provides the solution enterprise ecommerce safety issues, effective measures, to safeguard the safety of e-commerce activities.Keywords: Electronic commerce；Securi|y technology；Safety Devices序 言：在电子商务迅速发展的今天，信息网络技术的应用正日益普及和广泛，应用层次正在深入。而网络所具有的开放性、自由性在增加应用自由度的同时，对安全提出了更高的要求。如何建立起一个完善的、实用的、安全的电子商务网站，已成为企事业单位信息化发展中一个急切需要讨论的问题。 1. 电子商务安全的概念与特点: 电子商务安全的概念: 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设各安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的问题，实施网络安全增强方案，以保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。 电子商务安全具有如下四大特性： 1.机密性：传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保证电子商务信息的机密性就变得非常重要。2.完整性：电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。3.认证性：网络环境是一个虚拟的环境,而电子商务就是在这个虚拟平台上进行的,贸易双方一般都不见面,需要一些技术和策略来进行身份确认。当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。4.有效性：在交易的过程中贸易双方需要确定很多信息,电子商务以电子形式取代了纸张来确认这此信息,保证谢谢信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。二、电子商务的安全问题 电子商务的安全问题可以概括为以下几个方面： (1) 信息泄漏：在电子商务中表现出来的信息泄露主要有两种，一种是交易双方进行交易的内容被第三方所窃取：一种是交易一方提供给另一方的文件、资料等被第三方非法使用。 (二)信息篡改：在电子商务中表现为商业信息的真实性和完整性问题。电子的信息在网络传输的过程中，可能被他人非法地修改、删除或重放这样就使信息丢失了真实性和完整性。(三)身份识别：这涉及到电子商务中的两个问题。1如果不进行身份识别，第三方就有可能假冒交易方的身份，以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。2“不可抵赖”性。交易双方对自己的行为应负有一定的责任，信息发送者和接受者都不能对此予以否认。(四)信息破坏：涉及到两方面内容。1网络传输的可靠性。网络的硬件或软件可能会出现问题而导致交易信息传递的丢失与谬误。2恶意破坏。计算机网络本身容易遭到一些恶意程序的破坏，而使电子商务信息遭到破坏。这种情况主要由以下问题引起：计算机病毒。计算机蠕虫。这种程序将会对网络造成严重的损失，甚至会通过过多占用网络资源的方式来使网络瘫痪，加上这种程序多数会带有破坏性指令，因而破坏性更强，它已经由点的破坏向面的破坏开始发展了。特洛伊木马。这是一种执行超出程序定义之外的程序，它将会把自己隐藏到安全的程序中，并由此传播出去。逻辑炸弹。这是一种当运行环境满足某种特定条件时执行特殊功能的程序。 三、电子商务的安全技术 电子商务的开展在安全方面上还存在很多问题。面对电子商务中形形色色的安全漏洞，我们必须要采取相应的方法来保障电子商务活动的安全进行，下面就着重探讨了电子商务的安全技术。 (一)虚拟专用网络：虚拟专用网络是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，是目前相对而言最适合进行电子商务的形式。在虚拟专用网络中交易的双方比较熟悉，而且彼此之间的数据通信量很大。只要交易双方取得一致，在虚拟专用网络中就可以使用比较复杂的专用加密和认证技术，这样就可以大大提高电子商务的安全。 (二)加密技术：加密技术是实现信息保密性的一种重要手段，目的是为了防止合法接受者之外的人获取信息系统中的机密信息。 加密包括两个元素：算法和密钥。加密技术的要点是加密算法，一个加密算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合，产生不可理解的密文的步骤。密钥和算法对加密同等重要。密钥是用来对数据进行编码和解码的一种算法。加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。对称加密以数据加密标准(DES，Data Encryption Standard)算法为典型代表，非对称加密通常以RSA(Rivest Shamir Adleman)算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。通过对数据进行加密，可以使在网络上传播的信息对非法用户来说是无意义的，因此，虽然信息在网络上易被非法接收，但是由于被加密，也就保证了信息的隐秘性。 (三)数字签名技术：数字签名以数字加密技术为基础，是数字加密技术的一种应用方式。其核心是采用加密技术的加、解密算法来实现电子信息的数字签名。对于电子商务中的业务款项如何分辨其真假，则需要数字签名技术来确认其交易或结算双方的真实身份及电子货币的可靠性。数字签名的防欺诈性、防更改性及确认功能是电子商务系统的一个重要安全技术。数字签名是公开密钥技术的另一类应用，它的主要方式是：信息的披露方从信息文本中生成一个128位的散列值，并且用自己的专用密钥对这个散列值进行加密来形成披露方的数字签名：关联方首先从收到的信息文本中计算128位的散列值，接着再用披露方一同发来的公开密钥来对数字签名进行解密，如果两个散列值相同，那就可确认该数字签名是披露的。通过数字签名技术能够实现对原始信息和关联方身份的鉴别，有一定的公正及较好地防范关联方和非关联方的道德风险。 (四)认证技术：所谓认证，就是通过认证中心对数字证书进行识别。认证分为实体认证和信息认证，这里的实体是指个人、客户程序或服务程序等参与通信的实体。实体认证是指对这些参与通信实体的身份认证。对用户身份的认证，密码是最常用的，但由于许多用户采用了很容易被破解的密码，使得该方法经常失效。信息认证是指对信息体进行认证，以决定该信息的合法性。信息认证发生在信息接收者收到信息后，使用相关技术对信息进行认证，以确认信息的发送者是谁，信息在传递过程中是否被篡改等。身份验证是对进入电子商务信息系统网络的用户进行身份合法性的整别，主要通过所掌握的特有信息对探访者进行验证。目前，数字签名和认证是网上比较成熟的安全手段，而我国大多数企业尚处于SSL协议应用阶段，在SET协议的应用试验刚刚成功，而要完全实现SET协议安全支付，则必须有一个CA认证中心。 (5) 防火墙技术：在计算机领域，防火墙是指一种逻辑装置，用来保护内部的网络不受来自外界的侵害。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络地互联环境中，尤其以接人Internet网络最甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之问的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它主要用于实现网络路由的安全，这主要包括两个方面：限制外部网对内部网的访问，从而保护内部网特定资源免受非法侵害；限制内部网的访问，主要是针对内部一些不健康信息及敏感信息的访问。目前防火墙的主要有网络层防火墙、应用层防火墙和双端主机防火墙等。网络层防火墙是一个屏蔽的路由器，经检查后最终决定是批准进入或拒绝请求，并将信包引导往内部的适当的接收点。这种防火墙成本较低但安全性亦相对来说亦比较差。应用层防火墙的主要构成由服务器端程序和客户端程序，它通过执行登录或对信息的认证使系统的访问与保密关系更加完善。更加设置了日志及审计方式以监控各方发送的登录和任何未经授权的活动，并将那些未授权的登录情况告诉网络管理者或安全小组。双端主机防火墙只设有两个防火墙出口，一端对互联网上的请求过滤，而另一端提供访问到某部门的局域网之安全信道。 四、电子商务的安全策略 针对信息泄漏问题，可以通过加密技术来保证。主要是指保证一些敏感的商业信息不被泄露。虽然从理论上将所有的加密技术都可以破解，但是只要在有限时间内无法将内容破解出来，这就是一个成功的加密方法。针对篡改问题，可以从两方面来考虑。一是非人为因素，这类问题可以通过数据校验来解决，一旦校验出错误，就可以将信息重发。二是人为因素，这类问题主要是非法用户对信息的恶意修改，只要通过防火墙技术对操作进行验证，再通过加密技术就可以从很大程度上避免这种破坏的产生。针对身份识别问题，可以使用数字签名技术和认证技术。这样进行数字签名和认证后，交易双方就可避免“相互猜疑”的情况了。并且，如果出现抵赖的情况，就有了反驳的依据。针对信息破坏问题可以采用安装反病毒软件或病毒防火墙的方法，可以从相当程度上减少灾难的发生。结语：本文分析了目前电子商务的安全需求，使用的安全技术及仍存在的问题，并指出了与电子商务安全有关的协议技术使用范围及其优缺点，但必须强调说明的是，电子商务的安全运行，仅从技术角度防范是远远不够的，还必须完善电子商务立法，以规范飞速发展的电子商务现实中存在的各类问题，从而引导和促进我国电子商务快