電子商務(wù)信息安全問(wèn)題研究

電子商務(wù)信息安全問(wèn)題研究

1電子商務(wù)的發(fā)展現(xiàn)狀隨著計(jì)算機(jī)通信和網(wǎng)絡(luò)技術(shù)的發(fā)展，越來(lái)越多的公司開(kāi)始實(shí)施電子商務(wù)。據(jù)統(tǒng)計(jì)，1998年全球電子商務(wù)交易額為1020億美元，2003年電子商務(wù)交易額達(dá)到1.3萬(wàn)億美元,約占世界貿(mào)易總額的1/4，到2005年將達(dá)到2～3萬(wàn)億美元。隨著電子商務(wù)的開(kāi)展必定有大量的信息在網(wǎng)絡(luò)上傳遞，包括產(chǎn)品信息，資金流，客戶隱私等重要信息。這就要求網(wǎng)絡(luò)傳播的電子商務(wù)信息必需有高度的可靠性和絕對(duì)的保密性，因此，信息安全性是成功發(fā)展電子商務(wù)的一個(gè)關(guān)鍵性因素。2電子商務(wù)信息的安全2.1數(shù)據(jù)的機(jī)密性傳統(tǒng)的貿(mào)易大多是通過(guò)書信或者可靠的通信渠道來(lái)發(fā)送商業(yè)文檔，雖然速度和效率都不高，但卻能達(dá)到保密的目的，而電子商務(wù)是在開(kāi)放的網(wǎng)絡(luò)環(huán)境下進(jìn)行的，保證電子商務(wù)信息的機(jī)密性就變得非常重要。2.2商業(yè)信息現(xiàn)狀電子商務(wù)極大地簡(jiǎn)化了傳統(tǒng)貿(mào)易過(guò)程，減少了認(rèn)為的干預(yù)，同時(shí)也伴隨著貿(mào)易各方商業(yè)信息的完整、同一問(wèn)題。由于數(shù)據(jù)錄入時(shí)合法或非法的行為，可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異。信息在傳輸?shù)倪^(guò)程中也有可能造成信息的丟失、重復(fù)或次序的差異。因此要預(yù)防對(duì)信息的各種非法操作，保證數(shù)據(jù)在傳送的過(guò)程中完整性。2.3虛擬平臺(tái)上的身份確認(rèn)網(wǎng)絡(luò)環(huán)境是一個(gè)虛擬的環(huán)境，而電子商務(wù)就是在這個(gè)虛擬平臺(tái)上進(jìn)行的，貿(mào)易雙方一般都不見(jiàn)面，需要一些技術(shù)和策略來(lái)進(jìn)行身份確認(rèn)。當(dāng)個(gè)人或?qū)嶓w聲稱身份時(shí)，電子商務(wù)服務(wù)需要提供一種方式來(lái)進(jìn)行身份認(rèn)證。2.4預(yù)防抵賴行為發(fā)生傳統(tǒng)的貿(mào)易雙方通過(guò)在合同、契約或單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴，預(yù)防抵賴行為的發(fā)生。而電子商務(wù)實(shí)在虛擬的平臺(tái)上進(jìn)行的，如何防止貿(mào)易雙方的抵賴行為就變成了電子商務(wù)順利進(jìn)行的關(guān)鍵。2.5確認(rèn)信息的有效性在交易的過(guò)程中貿(mào)易雙方需要確定很多信息，電子商務(wù)以電子形式取代了紙張來(lái)確認(rèn)這些信息，保證謝謝信息的有效性是開(kāi)展電子商務(wù)的前提。因此要對(duì)網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)是有效的。3公司電子商務(wù)中存在的信息安全問(wèn)題由于Internet本身的開(kāi)放性，使電子商務(wù)系統(tǒng)面臨著各種各樣的安全威脅。目前電子商務(wù)主要存在的安全隱患有以下幾個(gè)方面：(1)法用戶的身份與他人進(jìn)行交易獲得非法利益攻擊者通過(guò)非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進(jìn)行交易，進(jìn)行信息欺詐與信息破壞，從而獲得非法利益。主要表現(xiàn)有：冒充他人身份；冒充他人消費(fèi)、栽贓；冒充主機(jī)欺騙合法主機(jī)及合法用戶等。(2)攔截—網(wǎng)絡(luò)信息安全問(wèn)題主要表現(xiàn)在攻擊者在網(wǎng)絡(luò)的傳輸信道上，通過(guò)物理或邏輯的手段，進(jìn)行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過(guò)分析網(wǎng)絡(luò)物理線路傳輸時(shí)的各種特征，截獲機(jī)密信息或有用信息，如消費(fèi)者的賬號(hào)、密碼等。篡改，即改變信息流的次序，更改信息的內(nèi)容；刪除，即刪除某個(gè)信息或信息的某些部分；插入，即在信息中插入一些信息，讓收方讀不懂或接受錯(cuò)誤的信息。(3)擾正常的消息通道攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。主要表現(xiàn)為散布虛假資訊，擾亂正常的資訊通道。包括：虛開(kāi)網(wǎng)站和商店，給用戶發(fā)電子郵件，收訂貨單；偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源，使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。(4)發(fā)布者事后肯定了某條信息或內(nèi)容某些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任.如：發(fā)布者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容；收信者事后否認(rèn)曾經(jīng)收到過(guò)某條信息或內(nèi)容；購(gòu)買者做了訂貨單不承認(rèn)；商家賣出的商品質(zhì)量差但不承認(rèn)原有的交易。在網(wǎng)絡(luò)世界里誰(shuí)為交易雙方的糾紛進(jìn)行公證、仲裁。(5)計(jì)算機(jī)設(shè)備信息安全計(jì)算機(jī)系統(tǒng)是進(jìn)行電子商務(wù)的基本設(shè)備，如果不注意安全問(wèn)題，它一樣會(huì)威脅到電子商務(wù)的信息安全。計(jì)算機(jī)設(shè)備本身存在物理?yè)p壞，數(shù)據(jù)丟失，信息泄露等問(wèn)題。計(jì)算機(jī)系統(tǒng)也經(jīng)常會(huì)遭受非法的入侵攻擊以及計(jì)算機(jī)病毒的破壞。同時(shí)，計(jì)算機(jī)系統(tǒng)存在工作人員管理的問(wèn)題，如果職責(zé)不清，權(quán)限不明同樣會(huì)影響計(jì)算機(jī)系統(tǒng)的安全。4公司的電子商務(wù)信息安全策略電子商務(wù)安全是信息安全的上層應(yīng)用，它包括的技術(shù)策略范圍比較廣，主要分為網(wǎng)絡(luò)安全策略、信息加密策略和計(jì)算機(jī)系統(tǒng)安全策略三大類。4.1網(wǎng)絡(luò)安全策略的實(shí)施4.1.1物理安全策略網(wǎng)絡(luò)安全首先要解決的問(wèn)題就是確保網(wǎng)絡(luò)上信息的物理安全。信息的物理安全是信息在網(wǎng)絡(luò)介質(zhì)上傳播時(shí)的安全。物理安全是信息安全的最基本保障，是不可缺少和忽視的組成部分。物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)和通信鏈路免受自然災(zāi)害、人為破壞和攻擊。確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境。同時(shí)要制定完善的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室做各種偷竊、破壞活動(dòng)。抑制和防止電磁泄漏，是物理安全策略的另一個(gè)主要問(wèn)題。目前主要的防護(hù)措施有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)。另一類是對(duì)輻射的防護(hù)。4.1.2網(wǎng)絡(luò)安全技術(shù)。根據(jù)將內(nèi)盡管近年來(lái)各種網(wǎng)絡(luò)安全技術(shù)在不斷涌現(xiàn)，但防火墻仍是目前一種重要的網(wǎng)絡(luò)防護(hù)設(shè)備。防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，它可以是硬件，也可以是軟件，也可能是硬件和軟件的結(jié)合，位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問(wèn)控制的一組組件集合。根據(jù)防火墻所配置的訪問(wèn)控制策略進(jìn)行過(guò)濾或作出其它操作，防火墻系統(tǒng)不僅能夠保護(hù)網(wǎng)絡(luò)資源不受外部的侵入，而且還能夠攔截從被保護(hù)網(wǎng)絡(luò)向外傳送有價(jià)值的信息。防火墻系統(tǒng)可以用于內(nèi)部網(wǎng)絡(luò)與Internet之間的隔離，也可用于內(nèi)部網(wǎng)絡(luò)不同網(wǎng)段的隔離。目前的防火墻系統(tǒng)根據(jù)其實(shí)現(xiàn)的方式大致可分為兩種，即包過(guò)濾防火墻和應(yīng)用層網(wǎng)關(guān)。包過(guò)濾防火墻的主要功能是接收被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)包，根據(jù)防火墻的訪問(wèn)控制策略對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，只準(zhǔn)許授權(quán)的數(shù)據(jù)包通行。應(yīng)用層網(wǎng)關(guān)位于TCP/IP協(xié)議的應(yīng)用層，實(shí)現(xiàn)對(duì)用戶身份的驗(yàn)證，接收被保護(hù)網(wǎng)絡(luò)和外部之間的數(shù)據(jù)流并對(duì)之進(jìn)行檢查。在防火墻技術(shù)中，應(yīng)用層網(wǎng)關(guān)通常由代理服務(wù)器來(lái)實(shí)現(xiàn)。通過(guò)代理服務(wù)器訪問(wèn)Internet網(wǎng)絡(luò)服務(wù)的內(nèi)部網(wǎng)絡(luò)用戶時(shí)，在訪問(wèn)Internet之前首先應(yīng)登錄到代理服務(wù)器，代理服務(wù)器對(duì)該用戶進(jìn)行身份驗(yàn)證檢查，決定其是否允許訪問(wèn)Internet。同樣，從Internet到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流也由代理服務(wù)器代為接收，在檢查之后再發(fā)送到相應(yīng)的用戶。4.1.3網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)安全掃描技術(shù)主要是指掃描系統(tǒng)中可能存在的漏洞，讓管理員技術(shù)發(fā)現(xiàn)并采取相應(yīng)的措施，從而降低系統(tǒng)的不安全性的一種技術(shù)。當(dāng)今，基于Internet的各種各樣的服務(wù)越來(lái)越多，安全隱患也隨之增多，系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全漏洞掃描變得非常必要。系統(tǒng)管理員可以了解在運(yùn)行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全的網(wǎng)絡(luò)服務(wù)，在操作系統(tǒng)上的可能存在危險(xiǎn)的緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞。網(wǎng)絡(luò)安全掃描技術(shù)主要有三種：一是網(wǎng)絡(luò)遠(yuǎn)程安全掃描；二是防火墻系統(tǒng)掃描；三是Web網(wǎng)站掃描。4.2數(shù)字簽名、身份認(rèn)證的技術(shù)增強(qiáng)加密技術(shù)是電子商務(wù)的最基本措施，最初主要用與保證數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性。隨著電子商務(wù)的發(fā)展，對(duì)數(shù)據(jù)完整性以及身份鑒定技術(shù)提出了新的要求，數(shù)字簽名、身份認(rèn)證就是為了適應(yīng)這種需要在密碼學(xué)中派生出來(lái)的新技術(shù)和新應(yīng)用。加密技術(shù)是一種主動(dòng)的信息安全防范策略，利用一定的加密算法，將明文轉(zhuǎn)換成毫無(wú)意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。比較廣泛使用的加密技術(shù)有兩種：一是對(duì)稱密鑰加密體制，二是非對(duì)稱密鑰加密體制。它們的區(qū)別在于密鑰的類型不同。4.2.1密鑰管理分析對(duì)稱密鑰加密，又稱私鑰加密，即數(shù)據(jù)加密和解密采用的都是同一個(gè)密鑰，因而其安全性依賴于所持有密鑰的安全性，其最大的優(yōu)點(diǎn)就是速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但其最大的缺點(diǎn)是在大量用戶的情況下密鑰管理復(fù)雜，而且無(wú)法完成身份認(rèn)證等功能，不便于應(yīng)用在網(wǎng)絡(luò)開(kāi)放的環(huán)境中。4.2.2公開(kāi)密鑰與私用密鑰非對(duì)稱密鑰加密體制，又稱公鑰密鑰加密，數(shù)據(jù)加密和解密采用不同的密鑰，需要使用一對(duì)密鑰來(lái)分別完成加密和解密操作。在非對(duì)稱密鑰加密體制中密鑰被分解為一對(duì)。這對(duì)鑰中的任何一把都可作為公開(kāi)密鑰，加密密鑰，通過(guò)非保密方式向他人公開(kāi)。而另一把則作為私用密鑰加以保存。私用密鑰只能由數(shù)據(jù)的接受者掌握。利用公鑰體系可以方便地實(shí)現(xiàn)對(duì)用戶的身份認(rèn)證，也即用戶在信息傳輸前首先用所持有的私鑰對(duì)傳輸?shù)男畔⑦M(jìn)行加密，信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進(jìn)行解密，如果能夠解開(kāi)，說(shuō)明信息確實(shí)為該用戶所發(fā)送，這樣就方便地實(shí)現(xiàn)了對(duì)信息發(fā)送方身份的鑒別和認(rèn)證。在實(shí)際應(yīng)用中通常將公鑰密碼體系和數(shù)字簽名算法結(jié)合使用，在保證數(shù)據(jù)傳輸完整性的同時(shí)完成對(duì)用戶的身份認(rèn)證。4.3加強(qiáng)用戶權(quán)限管理計(jì)算機(jī)系統(tǒng)的安全問(wèn)題可能更多的是體現(xiàn)在管理上。目前相當(dāng)一部分的系統(tǒng)都為能通過(guò)物理接觸的用戶提供后門，以便用戶忘掉口令后還能進(jìn)入系統(tǒng)，故為了保證信息在計(jì)算機(jī)系統(tǒng)存儲(chǔ)的安全首先應(yīng)加強(qiáng)管理，避免未經(jīng)授權(quán)的人員物理接觸系統(tǒng)，以防系統(tǒng)被惡意損壞，移植病毒，打開(kāi)后門等。同時(shí)對(duì)授權(quán)物理接觸系統(tǒng)的人員也應(yīng)該進(jìn)行嚴(yán)格的權(quán)限分配，通過(guò)權(quán)限分配來(lái)控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)，以確保電子商務(wù)信息的安全。對(duì)目錄和文件的訪問(wèn)權(quán)限一般可分為：完全訪問(wèn)權(quán)限（FulControl）、讀取權(quán)限（Read）、寫權(quán)限（Write）、創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）、修改權(quán)限（Modify）、執(zhí)行權(quán)限（Execute）。網(wǎng)絡(luò)管理員應(yīng)當(dāng)為所有的用戶指定適當(dāng)?shù)臋?quán)限，通過(guò)這些訪問(wèn)權(quán)限控制用戶對(duì)服務(wù)器的訪問(wèn)，同時(shí)做好計(jì)