電子商務(wù)信息安全問題探討
評(píng)論: 更新日期:2015年12月29日
摘要:電子商務(wù)是新興商務(wù)形式��,信息安全的保障是電子商務(wù)實(shí)施的前提��。本文針對(duì)電子商務(wù)活動(dòng)中存在的信息安全隱患問題,實(shí)施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、身份驗(yàn)證技術(shù)、防火墻技術(shù)等技術(shù)性措施���,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境���,促進(jìn)我國(guó)電子商務(wù)可持續(xù)發(fā)展�。
關(guān)鍵詞:電子商務(wù)���;信息技術(shù);SSL協(xié)議
Abstract: Electronic Commerce, as a commercial form, is being popularized and the information security safeguard is the premise of electronic commerce implementation. As there are hidden dangers in commerce activities, in order to safeguard Electronic Commerce information security we can use the data encryption technology, the identification authentication technology, the firewall technology, etc.
Key words: Electronic Commerce; information technology; Secure Socket Layer
隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運(yùn)而生并迅速發(fā)展�。所謂電子商務(wù)(Electronic Commerce, EC)就是借助于公共網(wǎng)絡(luò)�����,如Internet或開放式計(jì)算機(jī)網(wǎng)絡(luò)(Open Computer Network)進(jìn)行網(wǎng)上交易,快速而又有效地實(shí)現(xiàn)各種商務(wù)活動(dòng)過程的電子化�、網(wǎng)絡(luò)化、直接化。這種商務(wù)過程包括商品和服務(wù)交易的各個(gè)環(huán)節(jié),如廣告�、商品購買���、產(chǎn)品推銷�����、信息咨詢�、商務(wù)洽談��、金融服務(wù)、商品的支付等商業(yè)交易活動(dòng)。但是出于各種目的的網(wǎng)絡(luò)入侵和攻擊也越來越頻繁����,脆弱的網(wǎng)絡(luò)和不成熟的電子商務(wù)增強(qiáng)了人們的防范心理�。從這點(diǎn)上來看,信息安全問題是保障電子商務(wù)的生命線。
1電子商務(wù)信息安全現(xiàn)存的問題
電子商務(wù)是實(shí)現(xiàn)整個(gè)貿(mào)易過程中各階段貿(mào)易活動(dòng)的電子化�。公眾是電子商務(wù)的對(duì)象,信息技術(shù)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ)�,電子商務(wù)實(shí)施的前提是信息的安全保障��。信息安全性的含義主要是信息的完整性、可用性����、保密性和可靠性。因此電子商務(wù)活動(dòng)中的信息安全問題主要體現(xiàn)在:
1.1計(jì)算機(jī)網(wǎng)絡(luò)的安全
1.1.1安全協(xié)議問題���。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范�,相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)。此外,在安全管理方面還存在很大隱患���,普遍難以抵御黑客的攻擊����。
1.1.2信息的安全問題����。非法用戶在網(wǎng)絡(luò)的傳輸上�,通過不正當(dāng)手段�,非法攔截會(huì)話數(shù)據(jù)獲得合法用戶的有效信息�,最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密�;或者是非法用戶對(duì)截獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行一些惡意篡改,如增加����、減少和刪除等操作��,從而使信息失去真實(shí)性和完整性�,導(dǎo)致合法用戶無法正常交易;還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送���,惡意攻擊對(duì)方的網(wǎng)絡(luò)硬件和軟件�。
1.1.3防病毒問題��。電腦病毒問世十幾年來����,各種新型病毒及其變種迅速增加���,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介�����,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快��,動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失��。
1.1.4服務(wù)器的安全問題。電子商務(wù)服務(wù)器是電子商務(wù)的核心����,安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息,并且服務(wù)器上的數(shù)據(jù)庫里有企業(yè)的一些敏感數(shù)據(jù)�����,如價(jià)格��、成本等����,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題�,造成的后果也是非常嚴(yán)重的。目前為止服務(wù)器的安全問題尚無有效措施予以阻止��。主要表現(xiàn)在:非法用戶向網(wǎng)絡(luò)或主機(jī)發(fā)送大量非法或無效的請(qǐng)求�����,使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡(luò)服務(wù)��;利用操作系統(tǒng)�����、軟件��、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全漏洞�����,通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請(qǐng)求�����,使網(wǎng)絡(luò)應(yīng)用服務(wù)器崩潰而停止服務(wù)�。
1.2商務(wù)交易的安全
1.2.1身份的不確定問題。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái)���,在這個(gè)平臺(tái)上交易雙方是不需要見面的��,因此帶來了交易雙方身份的不確定性���。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易�����,從而獲得非法收入���。
1.2.2交易的抵賴問題�。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性���。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)��,以推卸自己應(yīng)承擔(dān)的責(zé)任����。
1.2.3交易的修改問題���。交易文件是不可修改的�,否則必然會(huì)影響到另一方的商業(yè)利益�。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴(yán)肅和公正�。
1.3其它方面的安全
電子商務(wù)安全威脅種類繁多、來自各種可能的潛在方面���,有蓄意而為的�����,也有無意造成的�,例如電子交易衍生了一系列法律問題:網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問題��,急需為電子商務(wù)提供法律保障�����。還有諸如非法使用�����、操作人員不慎泄露信息�、媒體廢棄物導(dǎo)致泄露信息等均可構(gòu)成不同程度后果的威脅。
2保障電子商務(wù)信息安全技術(shù)性措施
電子商務(wù)安全是信息安全的上層應(yīng)用���,它包括的技術(shù)范圍比較廣��,主要分為數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù)兩大類����。
2.1數(shù)據(jù)加密技術(shù)
加密技術(shù)是保證電子商務(wù)中采用的主要安全措施����,交易雙方可根據(jù)需要在信息交換階段使用。在一個(gè)加密過程中有兩個(gè)基本元素:算法和密鑰��。加密過程就是根據(jù)一定的算法,將可理解的數(shù)據(jù)(明文)與一串?dāng)?shù)字(密鑰)相結(jié)合���,從而產(chǎn)生不可理解的密文的過程,主要加密技術(shù)是:
2.1.1常規(guī)密鑰密碼加密����。所謂常規(guī)密鑰密碼加密,即加密密鑰與解密密鑰是相同的���。
在早期的常規(guī)密鑰密碼體制中�,典型的有代替密碼�,其原理可以用一個(gè)例子來說明:字母A,B��,C�,D,…����,W,X�,Y,Z的自然順序保持不變���,但使之與D�,E,F(xiàn)��,G��,…�����,Z���,A�����,B����,C分別對(duì)應(yīng)(即相差3個(gè)字符)���。若明文為WELL則對(duì)應(yīng)的密文為ZHOO(此時(shí)密鑰為3)�����。
由于英文字母中各字母出現(xiàn)的頻度早已有人進(jìn)行過統(tǒng)計(jì)�,所以根據(jù)字母頻度表可以很容易對(duì)這種代替密碼進(jìn)行破譯。
2.1.2對(duì)稱密文加密��。對(duì)稱密鑰加密又稱為秘密密鑰加密��,即收發(fā)雙方采用相同的密鑰來進(jìn)行加密和解密���,如圖1所示。
對(duì)稱密鑰加密的最大優(yōu)點(diǎn)是加解密速度快��,適合于進(jìn)行大量數(shù)據(jù)加密�,但也存在密鑰管理、發(fā)布困難以及無法進(jìn)行身份鑒別的缺點(diǎn)�。
2.1.3非對(duì)稱密鑰加密。非對(duì)稱密鑰加密也稱為公開密鑰加密��,每個(gè)用戶有一對(duì)密鑰:一個(gè)用于加密�����,一個(gè)用于解密����,兩把密鑰實(shí)際上是兩個(gè)很大的質(zhì)數(shù)����,加解密過程如圖2所示�����。
