探讨电子商务的安全与防护措施Word下载.docx

1、从这点上来看，信息安全问题是保障电子商务的生命线。1电子商务信息安全现存的问题电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是 电子商务的对象，信息技术是实现电子商务的基础，电子商务实施的前 提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用 性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现 在：1.电子商务安全问题的产生。（1）在线交易主体虚拟化带来的安全问 题：在电子商务环境下，任何人不经登记就可以借助计算机网络发出或 接受网络信息，并通过一定程序与其他人达成交易。虚拟主体的存在使 电子商务交易安全受到严重威胁。（2）虚假信息的发如带来的安全问题： 当用户以

2、合法身份进入系统后，买卖双方都可能在网络上发布虚假的供 求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。 （3）过低的信用度带来的安全问题：低信用度的买方带来的安全问题： 低信用度的买方，可能存恶意透支或使用伪造的信用卡骗取卖方货物或 存在拖延货款行为，卖方需要为此承担风险。低信用度的买方带来的 安全问题：卖方不能按质、按量、按时寄送消费者购买的货物，或者不 能完全履行与集团购买者签订的合同，造成买方的风险。低信用度的 买卖双方都存在抵赖的情况。（4）网络欺诈的存在带来的安全问题：在电 子交易活动中频繁欺诈用户这是网络骗子们常用的骗术，利用电子商务 进行欺诈已经成为一种新型犯罪活

3、动，目前这种网上欺诈也已经成为国 际性的难题。（5）电子合同取代书面合同过程中带来的安全问题：在在线 交易情形下，交易双方的所有信息都是以电子化的形式存储于计算机硬 盘或其他电子介质中，这些记录不仅容易被涂擦、删改、复制、遗失， 而且不能脱离其记录工具（计算机）而作为证据独立存在。由此而引发诸 多方面的安全问题（6）网上电子支付过程带来的安全问题：完电子商务的 网上支付通过信用卡支付和虚拟银行的电子资金划拨來完成。而实现这 一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间 的合作协议以及安全保障问题。（7）产品交付过程带来的安全问题：有形 货物的在线交易中物流配送环节引发的一些特

4、殊问题及无形的信息产品 在交付中对于其权利的移转、退货、交付的完成等带来的安全问题。（8） 网络消费者维权时引发的安全问题：在线市场的虚拟性和开放性以及网 上购物的便捷性都使消费考保护成为突出的问题。比如质量问题，退 赔、修理困难问题等。（9）网络恶意攻击者的破坏活动带来的安全问题： 包括系统穿透、违反授权原则、植入、通信监听、通信干扰、中断、拒 绝服务、否认等。2.电子商务对安全环境的要求。（1）确保信息的安全要求包括有效 性、机密性、完整性、可靠性/不可抵赖性/鉴别等；（2）确保授权合法 性；（3）确保交易者身份的确定性；（4）确保内部网的严密性。二、电子商务的安全防范策略经过数十年的探索

5、，电子商务安全防范策略从最初的商务信息保密 性发展到商务信息的完整性、可用性、可控性和不可否认性，进而又发 展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。目 前，电子商务安全领域己经形成了 9大核心技术，它们是：密码技术、 身份验证技术、访问控制技术、防火墙技术、安全内核技术、网络反病 毒技术、信息泄露防治技术、网络安全漏洞扫描技术、入侵检测技术。1.电子商务的主要安全技术。（1）加密技术。加密技术解决了传送信息的保密问题，可分对称加密和非 对称加密。对称加密是一种传统的信息认证方法，通过信息交换的双方共 同约定一个口令或一组密码，建立一个通信双方共享的密钥。通信的甲 方将要发送

6、的信息用私钥加密后传给乙方，乙方用相同的私钥解密后获 得甲方传递的信息。对称加密采用的主要加密算法有DES数据加密标 准、三重DES, IDEA,和AES （高级加密算法）等。其最大优势是加/解密 速度快，适合于对大数据量进行加密，但密钥管理困难。非对称加密又称 公开密钥加密，它使用一把公开发布的公开密钥和一把只能由生成密钥 对的贸易方掌握的私用密钥来分别完成加密和解密操作。如贸易的甲方 生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开；得到该 公开密钥的贸易的方乙使用该密钥对信息进行加密后发送给甲方；甲方 再用自己保存的另一把私用密钥对加密信息进行解密。公钥密码技术是 密码技术核心，主

7、要采用的算法有RSA算法、DSS/DSA算法和ECC算法。 优点是机制灵活，但加密和解密速度慢。电子商务安全是信息安全的上层应用，它包括的技术范围比较广，主要 分为数据加密技术和身份认证技术两大类。2. 1数据加密技术加密。加密方法多种多样，在网络信息中一般是利用信息变换规则把明 文的信息变成密文的信息。既可对传输信息加密，也可对存储信息加 密，把计算机数据变成一堆乱七八糟的数据，攻击者即使得到经过加密 的信息，也不过是一串毫无意义的字符。加密可以有效地对抗截收、非 法访问等威胁。在早期的常规密钥密码体制中，典型的有代替密码，其原理可以用 一个例子来说明：字母A, B, C, D,，W, X,

8、 Y, Z的自然顺序保持不 变，但使之与D, E, F, G,，Z, A, B, C分别对应（即相差3个字 符）。若明文为WELL则对应的密文为ZHOO （此时密钥为3）。由于英文字母中各字母出现的频度早已有人进行过统计，所以根据 字母频度表可以很容易对这种代替密码进行破译。对称密钥加密的最大优点是加解密速度快，适合于进行大量数据加密，但也存在密钥管理、发布困难以及无法进行身份鉴别的缺点。其中，加密密钥（公钥）可以在网络服务器、报刊等场合公开，而 解密密钥（私钥）则属用户的私有密钥，由公开的加密密钥导出私有的 解密密钥在技术上是不可实现的。与对称密钥加密相比，采用非对称密钥加密方式密钥管理较方

9、便， 且保密性比较强，但加解密实现速度比较慢，不适用于通信负荷较重的 应用。2.数字签名。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、 冒充和篡改等安全问题。数字签名采用一种数据交换协议，使得收发数 据的双方能够满足两个条件：接受方能够鉴别发送方宣称的身份；发送 方以后不能否认他发送过数据这一事实。数据签名一般采用不对称加密 技术，发送方对整个明文进行加密变换，得到一个值，将其作为签名。 接收者使用发送者的公开密钥对签名进行解密运算，如其结果为明文， 则签名有效，证明对方身份是真实的。数字签名解决了而防止他人对传 输的文件进行破坏，以及如何确定发信人的身份的问题。数字签名与书 面文件签名

10、有相同功效，它代表了文件的特征，文件如果发生改变，数 字签字的值也将发生变化，不同的文件将得到不同的数字签字。数字签 名是采用双重加密的方法，通过流程：A、被发送文件用SHA编码加密产 生128bit的数字摘要；B、发送方用自己的私用密钥对摘要再加密，形 成数字签名；C、将原文和加密的摘要同时传给对方；D、对方用发送方 的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘 要；E、将解密后的摘要和收到的文件在接收方重新加密产生的摘要互对 比。最终实现了防伪、防抵赖。3.鉴别。鉴别的目的是验明用户或信息的正身。对实体声称的身份进行 惟一识别，以便验证其访问请求，或保证信息来源以验证消

11、息的完整 性，有效地对抗冒充、非法访问、重演等威胁。按照鉴别对象的不同， 鉴别技术可以分为消息鉴别和通信双方相互鉴别；按照鉴别内容不同, 鉴别技术可以分为用户身份鉴别和消息内容鉴别。鉴别的方法很多：利 用鉴别码验证消息的完整性；利用通行字、密钥、访问控制机制等鉴别 用户身份，防止冒充、非法访问；当今最佳的鉴别方法是数字签-名。4.访问控制。访问控制的目的是防止非法访问。访问控制是采取各种措 施保证系统资源不被非法访问和使用。一般采用基于资源的集中式控 制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。5.防 火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的 应用性安全技术

12、，越来越多地应用于专用网络与公共网络的互联环境 中。大型网络系统与Internet互联的第一道屏障就是防火墙。防火墙通 过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效 管理，其基本功能为：过滤进、出网络的数据；管理进、出网络的访问 行为；封堵某些禁止行为；记录通过防火墙的信息内容和活动；对网络 攻击进行检测和告警。总之，随着时间的推移，越来越多的新技术将用于进一步地提高业 务和通信的效率。如果企业始终站在这种新型技术的前列，并能够防御 最新的安全威胁和攻击，网络所带来的好处必然将远远超过它所带来的 风险。加密技术是保证电子商务中采用的主要安全措施，交易双方可根据 需要在信息交换

13、阶段使用。在一个加密过程中有两个基本元素：算法和 密钥。加密过程就是根据一定的算法，将可理解的数据（明文）与一串 数字（密钥）相结合，从而产生不可理解的密文的过程（2） 数字时间戳。数字时间戳服务提供了对电子文件发表时间的安全 保护，由专门的机构提供。时间戳是一个经加密后形成的凭证文档，它 包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字 签字三个部分。时间戳形成的流程为:用户将需要加时间戳的文件用 HASH编码加密形成摘要，然后将该摘要发送到DTS；DTS在加人了收到 文件摘要的口期和时间信息后再对该文件加密（数字签名），然后送回用 户。数字时间戳是由认证单位DTS来加的

14、，以DTS收到文件的时间为依 据。（3） 数字证书。数字证书是由CA认证中心签发的，用电子手段来证 实一个用户的身份和对网络资源的访问权限的凭证。CA认证中心是承担 网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服 务机构。数字证书为电子签名相关各方提供真实、可靠验证的公众服 务，解决电子商务活动中交易参与各方身份、资信的认定，维护交易活 动的安全，从根本上保障电子商务交易活动顺利进行。在网上的电子交 易中，如双方出示了各自的数字证书，就可用它来进行安全交易操作To（4）防火墙技术。网络防火墙技术作为内部网络与外部网络之间的第 一道安全屏障，是最先受到人们重视的网络安全技术，它可以阻止对信 息资源的非法访问，也可以使用防火墙阻止专利信息从企业的网络上被非 法输出，是最适合于相对独立的与外部网络互连途径有限、网络服务种 类相对集中的单一网络。防火墙有两个基本准则：一是未被允许的就是禁 止的；二是未被禁止的就是允许的。基于该准则，防火墙应转发所有信息 流，然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用 环境,可为用户提供更多的服务。