電子商務(wù)的安全問(wèn)題及對(duì)策(共4頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上 摘要電子商務(wù)交易的核心問(wèn)題是安全問(wèn)題。本文針對(duì)電子商務(wù)交易中存在的主要安全問(wèn)題,闡明了目前解決電子商務(wù)交易的安全問(wèn)題的主要技術(shù)及措施。 關(guān)鍵詞電子商務(wù) 安全技術(shù) 交易安全 一、引言 電子商務(wù)(Electronic Commerce，EC)是指通過(guò)網(wǎng)絡(luò)進(jìn)行的各種商務(wù)活動(dòng)。隨著互聯(lián)網(wǎng)的普及，電子商務(wù)直接影響和改變著社會(huì)經(jīng)濟(jì)生活的各個(gè)方面。電子商務(wù)是一種新的商務(wù)形式，安全性是其發(fā)展的瓶頸之一。對(duì)于電子商務(wù)而言，使用網(wǎng)絡(luò)進(jìn)行詢價(jià)、下單、成交、結(jié)算等活動(dòng)涉及商業(yè)秘密、公眾隱私，特別是有關(guān)信息卡密碼、賬號(hào)等敏感信息，一旦泄密將會(huì)給企業(yè)或個(gè)人造成巨大損失。另外，操作人員本身安全意

2、識(shí)不強(qiáng)、操作系統(tǒng)安全配置不當(dāng)也會(huì)導(dǎo)致易受攻擊。當(dāng)前，全球的“黑客”和“計(jì)算機(jī)病毒”問(wèn)題是網(wǎng)絡(luò)安全面臨的最大挑戰(zhàn)，由此產(chǎn)生的電子商務(wù)交易和信息的不安全性制約著電子商務(wù)的發(fā)展。二、電子商務(wù)交易的主要安全問(wèn)題 1.信息泄漏 在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄漏，主要包括兩個(gè)方面：交易雙方進(jìn)行交易的內(nèi)容被第三方竊??；交易一方提供給另一方使用的文件被第三方非法使用。攻擊者主要通過(guò)截獲和竊取的方式造成信息泄漏。 2.篡改 在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實(shí)性和完整性的問(wèn)題。當(dāng)攻擊者掌握了信息的格式和規(guī)律后，通過(guò)各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在中途篡改，然后再發(fā)向目的地，破壞數(shù)據(jù)的真實(shí)性和完整性。 3

3、.偽造 由于掌握了數(shù)據(jù)的格式，并可以篡改通過(guò)的信息，如果不進(jìn)行身份識(shí)別，攻擊者就有可能假冒交易一方的身份，以破壞交易、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等。 4.信用威脅 交易者否認(rèn)參加過(guò)交易，如買方提交訂單后不付款，或者輸入虛假銀行資料使賣方不能提款；用戶付款后，賣方?jīng)]有把商品發(fā)送到客戶手中，使客戶蒙受損失。 5.電腦病毒 電腦病毒問(wèn)世十幾年來(lái)，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑，還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。 三、電子商務(wù)交易的主要安全技術(shù) 1.加密技術(shù)是電子商務(wù)的

4、最基本的安全技術(shù)。在目前技術(shù)條件下,加密技術(shù)通常分為對(duì)稱加密和非對(duì)稱加密兩類。 (1)對(duì)稱密鑰加密:采用相同的加密算法,并且加密和解密都使用相同的密鑰。如果進(jìn)行通信的交易各方能夠確保專用密鑰在密鑰交換階段未曾發(fā)生泄露,則可以通過(guò)對(duì)稱加密方法加密機(jī)密信息,并隨報(bào)文發(fā)送報(bào)文摘要和報(bào)文散列值,來(lái)保證報(bào)文的機(jī)密性和完整性。密鑰安全交換是關(guān)系到對(duì)稱加密有效性的最核心環(huán)節(jié)。目前常用的對(duì)稱加密算法有DES、PCR、IDEA、3DES等。其中DES使用最常用,被國(guó)際標(biāo)準(zhǔn)化組織采用作為數(shù)據(jù)加密的標(biāo)準(zhǔn)。 (2)非對(duì)稱密鑰加密:非對(duì)稱加密不同于對(duì)稱加密,其密鑰對(duì)被分為公開(kāi)密鑰和私有密鑰。密鑰對(duì)生成后,公開(kāi)密鑰對(duì)外公

5、開(kāi),而私有密鑰則保存在密鑰發(fā)布方手里。任何得到公開(kāi)密鑰的用戶都可以使用該密鑰加密信息發(fā)送給該公開(kāi)密鑰的發(fā)布者,而發(fā)布者在得到加密信息后,使用與公開(kāi)密鑰相應(yīng)對(duì)的私有密鑰進(jìn)行解密。目前,常用的非對(duì)稱加密算法有RSA算法。該算法已被國(guó)際標(biāo)準(zhǔn)化組織的數(shù)據(jù)加密技術(shù)分委員會(huì)推薦為非對(duì)稱密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。在對(duì)稱和非對(duì)稱兩類加密方法中,對(duì)稱加密的優(yōu)點(diǎn)是加密速度快(通常比非對(duì)稱加密快10倍以上)、效率高,被廣泛用于大量數(shù)據(jù)的加密。但該方法的致命缺點(diǎn)是密鑰的傳輸與交換也面臨著安全問(wèn)題,密鑰易被截取,而且,若和大量用戶進(jìn)行通信,難以安全管理大量的密鑰對(duì),因此對(duì)稱加密大范圍應(yīng)用存在一定問(wèn)題。而非對(duì)稱密鑰則相反,其優(yōu)點(diǎn)

6、是解決了對(duì)稱加密中密鑰數(shù)量過(guò)多難管理和費(fèi)用高的不足,也不必?fù)?dān)心傳輸中私有密鑰的泄露,保密性能優(yōu)于對(duì)稱加密技術(shù)。但非對(duì)稱的缺點(diǎn)是加密算法復(fù)雜,加密速度不很理想。目前.電子商務(wù)實(shí)際運(yùn)用中常常是兩者結(jié)合使用。 2.身份認(rèn)證技術(shù)。目前電子商務(wù)交易中僅有加密技術(shù)不足以保證交易安全,身份認(rèn)證技術(shù)是保證電子商務(wù)安全的另一重要技術(shù)手段。身份認(rèn)證的實(shí)現(xiàn)包括數(shù)字簽名技術(shù)、數(shù)字證書(shū)技術(shù)等。 (1)數(shù)字簽名技術(shù) 對(duì)信息加密只解決了信息傳輸過(guò)程中的保密問(wèn)題,而防止他人對(duì)傳輸?shù)男畔⑦M(jìn)行篡改或破壞,保證信息的完整性,以及保證信息發(fā)送者對(duì)發(fā)送信息的不可抵賴性,需要采用其它的手段,這一手段就是數(shù)字簽名。數(shù)字簽名技術(shù)即進(jìn)行身份認(rèn)

7、證的技術(shù)。在數(shù)字化文檔上的數(shù)字簽名類似于紙張上的手寫(xiě)簽名,是不可偽造的。接收者能夠驗(yàn)證文檔確實(shí)來(lái)自簽名者,并且簽名后文檔沒(méi)有被修改過(guò),從而保證信息的真實(shí)性和完整性。 目前的數(shù)字簽名是建立在公共密鑰體制基礎(chǔ)上,它是公用密鑰加密技術(shù)的另一類應(yīng)用。數(shù)字簽名與書(shū)面文件簽名有相同之處,采用數(shù)字簽名,也能確認(rèn)以下兩點(diǎn):信息是由簽名者發(fā)送的;信息自簽發(fā)后到收到為止未作過(guò)任何修改。目前數(shù)字簽名方法主要有三種,即:RSA簽名、DSS簽名和Hash簽名。這三種算法可單獨(dú)使用,也可綜合在一起使用。 (2)數(shù)字證書(shū)技術(shù) 在公共密鑰體制中,私鑰只有信息發(fā)送者知道,而與之匹配的公鑰是公開(kāi)的,它能保證傳輸信息的保密性,但沒(méi)

8、有解決公鑰的分發(fā)方式。數(shù)字簽名保證了信息是由簽名者發(fā)送的以及信息自簽發(fā)后到收到為止未曾作過(guò)任何修改,但不能保證簽名者身份的真實(shí)性。因此需要有一種措施來(lái)管理公鑰分發(fā),保證公鑰以及與公鑰有關(guān)的實(shí)體身份信息的真實(shí)性。這一措施就是數(shù)字證書(shū)。數(shù)字證書(shū)是一般由具有權(quán)威性、可信任性的第三方機(jī)構(gòu)即認(rèn)證機(jī)構(gòu)CA所頒發(fā)。數(shù)字證書(shū)是公共密鑰體制中的密鑰管理媒介,并將公鑰和實(shí)體身份信息綁定在一起,并包含認(rèn)證機(jī)構(gòu)的數(shù)字簽名。數(shù)字證書(shū)在電子商務(wù)中用于公鑰的分發(fā)、傳遞,證明電子商務(wù)實(shí)體身份與公鑰相匹配。 四、總結(jié) 加密技術(shù)和身份認(rèn)證技術(shù)是電子商務(wù)交易安全的基礎(chǔ)技術(shù),加密技術(shù)用于對(duì)信息的加密,保證信息的機(jī)密性。數(shù)字簽名和數(shù)字

9、信封技術(shù)應(yīng)用了加密技術(shù),建立在公共密鑰體制基礎(chǔ)上。數(shù)字簽名技術(shù)對(duì)信息進(jìn)行數(shù)字簽名,保證信息的完整性和不可抵賴性。數(shù)字證書(shū)技術(shù)是對(duì)加密技術(shù)和數(shù)字簽名進(jìn)行支持的技術(shù),用于管理公鑰分發(fā),保證公鑰以及與公鑰有關(guān)的實(shí)體身份信息的真實(shí)性。因此,電子證書(shū)必須由權(quán)威的第三方認(rèn)證中心簽發(fā)。 參考文獻(xiàn): 1趙書(shū)瑞 ,魏岳.基于SET的電子商務(wù)交易安全模式分析J.商場(chǎng)現(xiàn)代化,2006,(06). 2王茜,楊德禮.電子商務(wù)的安全體系結(jié)構(gòu)及技術(shù)研究J.計(jì)算機(jī)工程,2003,(01). 3高威.電子商務(wù)的安全問(wèn)題與安全技術(shù)J.內(nèi)蒙古科技與經(jīng)濟(jì),2005,(13). 4郭晶晶,李臘元.基于SET協(xié)議的電子商務(wù)支付系統(tǒng)的研究

10、J.計(jì)算機(jī)應(yīng)用,2002,(03).（一）防火墻技術(shù)防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，通過(guò)監(jiān)測(cè)、限制、更改，跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，有選擇地接受外部訪問(wèn)，對(duì)內(nèi)部強(qiáng)化設(shè)備監(jiān)管，控制對(duì)服務(wù)器與外部網(wǎng)絡(luò)的訪問(wèn)，在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性侵入。防火墻技術(shù)具有以下幾方面的優(yōu)點(diǎn)：1防火墻是網(wǎng)絡(luò)安全的屏障。防火墻能過(guò)濾那些不安全的服務(wù)，只有預(yù)先被允許的服務(wù)才能通過(guò)防火墻。這樣就降低了受到非法攻擊的風(fēng)險(xiǎn)，提高了網(wǎng)絡(luò)的安全性。2有效記載網(wǎng)絡(luò)上的活動(dòng)。如果所有對(duì)網(wǎng)絡(luò)的訪問(wèn)都通過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)，并能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑情況時(shí)，防火墻就能報(bào)警并提供網(wǎng)絡(luò)是否受到檢測(cè)和攻擊的詳細(xì)信息。3防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、身份認(rèn)證、加密、審計(jì)等）配置在防火墻上。不使用防火墻就必須把所有安全軟件分散到各主機(jī)上，防火墻的集中安全管理更經(jīng)濟(jì)。當(dāng)然防火墻