论文部分内容阅读
[摘要] 本文针对电子商务中所出现的安全问题,分析了电子商务中常用的安全技术。
[关键词] 电子商务信息安全信息加密信息认证
随着Internet的迅猛发展,电子商务作为一种崭新的商务活动模式受到了全世界、全社会的广泛关注和吸纳。若要电子商务成功且蓬勃地发展,则必须提升消费者对交易可靠性的信心,以及增强网络对外来非法入侵的防护措施。所以,电子商务安全是目前电子商务发展中,亟待克服且深受瞩目的问题。
一、电子商务的安全隐患
一般来说电子商务安全中普遍存在着以下几种隐患:
1.窃取信息。由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
2.篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
3.假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
二、电子商务的安全需求
电子商务的安全交易主要保证以下四个方面:
1.信息保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。
2.交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
3.不可否认性。由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
4.不可修改性。交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。
三、电子商务安全措施
因此要确保交易的安全,必须要有坚固的网络安全防护措施(如防护墙),以及安全的资讯保密技术(如加密技术、数字签名及认证)的辅助。
1.网络安全防范措施。在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
2.加密和密钥管理技术。加密技术是保证电子商务安全的重要手段。许多密码算法现已成为网络安全和商务信息安全的基础,密码算法利用密钥来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递来的密钥对数据进行解密,从而获取敏感信息,保证了网络数据的机密性。
3.数字签名技术。数字签名可以保证文档的真实性与完整性,对签字方进行约束,防止其抵赖行为,并把文档与签名同时发送以作为日后查证的依据,数字签名不仅与签名者的私有密钥有关,而且与报文内容相关。
4.认证机构和数字证书。证书机构CA是一个可信的第三方实体,其主要职责是保证用户的真实性。本质上CA的作用同政府机关的护照颁发机构类似,用于证实公民的正确身份,而网络用户的电子身份是由CA来发布的,也就是说他是被CA所信任的,该电子身份就成为数字证书。一个CA系统也可以看成由许多人组成的一个组织,用于指定网络安全策略,并决定组织中的哪些人可以发给在网络上使用的电子身份。
5.虚拟专用网(VPN)。这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
总之,安全是电子商务存在和发展的灵魂。电子商务的安全问题是多层次、多剖面的,并且始终处于动态发展过程中,其不安全因素是多方面的。一个完善的电子商务系统在保证技术的前提下,还与国家法律政策、诚信等级制度、物流部门密切相关。电子商务是对计算机网络安全与商务安全的双重要求,电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为一项工程对待,而不仅仅是一种解决方案。
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
[关键词] 电子商务信息安全信息加密信息认证
随着Internet的迅猛发展,电子商务作为一种崭新的商务活动模式受到了全世界、全社会的广泛关注和吸纳。若要电子商务成功且蓬勃地发展,则必须提升消费者对交易可靠性的信心,以及增强网络对外来非法入侵的防护措施。所以,电子商务安全是目前电子商务发展中,亟待克服且深受瞩目的问题。
一、电子商务的安全隐患
一般来说电子商务安全中普遍存在着以下几种隐患:
1.窃取信息。由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
2.篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
3.假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
二、电子商务的安全需求
电子商务的安全交易主要保证以下四个方面:
1.信息保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。
2.交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
3.不可否认性。由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
4.不可修改性。交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。
三、电子商务安全措施
因此要确保交易的安全,必须要有坚固的网络安全防护措施(如防护墙),以及安全的资讯保密技术(如加密技术、数字签名及认证)的辅助。
1.网络安全防范措施。在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
2.加密和密钥管理技术。加密技术是保证电子商务安全的重要手段。许多密码算法现已成为网络安全和商务信息安全的基础,密码算法利用密钥来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递来的密钥对数据进行解密,从而获取敏感信息,保证了网络数据的机密性。
3.数字签名技术。数字签名可以保证文档的真实性与完整性,对签字方进行约束,防止其抵赖行为,并把文档与签名同时发送以作为日后查证的依据,数字签名不仅与签名者的私有密钥有关,而且与报文内容相关。
4.认证机构和数字证书。证书机构CA是一个可信的第三方实体,其主要职责是保证用户的真实性。本质上CA的作用同政府机关的护照颁发机构类似,用于证实公民的正确身份,而网络用户的电子身份是由CA来发布的,也就是说他是被CA所信任的,该电子身份就成为数字证书。一个CA系统也可以看成由许多人组成的一个组织,用于指定网络安全策略,并决定组织中的哪些人可以发给在网络上使用的电子身份。
5.虚拟专用网(VPN)。这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
总之,安全是电子商务存在和发展的灵魂。电子商务的安全问题是多层次、多剖面的,并且始终处于动态发展过程中,其不安全因素是多方面的。一个完善的电子商务系统在保证技术的前提下,还与国家法律政策、诚信等级制度、物流部门密切相关。电子商务是对计算机网络安全与商务安全的双重要求,电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为一项工程对待,而不仅仅是一种解决方案。
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。