电子商务信息安全问题与对策研究.docVIP

[摘　要]文章主要从技术角度阐述了电子商务信息安全问题, 详细说明了电子商务信息存在的问题, 并提出了相应的 技术解决方案。 [关键词]电子商务　信息安全　数据加密　网络安全 　　1、电子商务信息安全问题 由于Internet 本身的开放性, 使电子商务系统面临着各种 各样的安全威胁。目前电子商务主要存在的安全隐患有以下几 个方面: 1. 1 身份冒充问题 攻击者通过非法手段盗用合法用户的身份信息, 仿冒合法 用户的身份与他人进行交易, 进行信息欺诈与信息破坏, 从而获 得非法利益。主要表现有: 冒充他人身份; 冒充他人消费、栽赃; 冒充主机欺骗合法主机及合法用户等。 1. 2 网络信息安全问题 主要表现在攻击者在网络的传输信道上, 通过物理或逻辑 的手段, 进行信息截获、篡改、删除、插入。截获, 攻击者可能通过 分析网络物理线路传输时的各种特征, 截获机密信息或有用信 息, 如消费者的账号、密码等。篡改, 即改变信息流的次序, 更改 信息的内容; 删除, 即删除某个信息或信息的某些部分; 插入, 即 在信息中插入一些信息, 让收方读不懂或接受错误的信息。 1. 3 拒绝服务问题 攻击者使合法接入的信息、业务或其他资源受阻。主要表现 为散布虚假资讯, 扰乱正常的资讯通道。包括: 虚开网站和商店, 给用户发电子邮件, 收订货单; 伪造大量用户, 发电子邮件, 穷尽 商家资源, 使合法用户不能正常访问网络资源, 使有严格时间要 求的服务不能及时得到响应。 1. 4 交易双方抵赖问题 某些用户可能对自己发出的信息进行恶意的否认, 以推卸 自己应承担的责任. 如: 发布者事后否认曾经发送过某条信息或 内容; 收信者事后否认曾经收到过某条信息或内容; 购买者做了 订货单不承认; 商家卖出的商品质量差但不承认原有的交易。在 网络世界里谁为交易双方的纠纷进行公证、仲裁。 1. 5 计算机系统安全问题 计算机系统是进行电子商务的基本设备, 如果不注意安全 问题, 它一样会威胁到电子商务的信息安全。计算机设备本身存 在物理损坏, 数据丢失, 信息泄露等问题。计算机系统也经常会 遭受非法的入侵攻击以及计算机病毒的破坏。同时, 计算机系统 存在工作人员管理的问题, 如果职责不清, 权限不明同样会影响 计算机系统的安全。 2、电子商务安全机制 2. 1 加密和隐藏机制 加密使信息改变, 攻击者无法读懂信息的内容从而保护信 息; 而隐藏则是将有用的信息隐藏在其他信息中, 使攻击者无法 发现, 不仅实现了信息的保密, 也保护了通信本身。 2. 2 认证机制 网络安全的基本机制, 网络设备之间应互相认证对方身份, 以保证正确的操作权力赋予和数据的存取控制。网络也必须认 证用户的身份, 以保证正确的用户进行正确的操作并进行正确 的审计。 2. 3 审计机制 审计是防止内部犯罪和事故后调查取证的基础, 通过对一 些重要的事件进行记录, 从而在系统发现错误或受到攻击时能 定位错误和找到攻击成功的原因。审计信息应具有防止非法删 除和修改的措施。 2. 4 完整性保护机制 用于防止非法篡改, 利用密码理论的完整性保护能够很好 地对付非法篡改。完整性的另一用途是提供不可抵赖服务, 当信 息源的完整性可以被验证却无法模仿时, 收到信息的一方可以 认定信息的发送者, 数字签名就可以提供这种手段。 2. 5 权力控制和存取控制机制 主机系统必备的安全手段, 系统根据正确的认证, 赋予某用 户适当的操作权力, 使其不能进行越权的操作。该机制一般采用 角色管理办法, 针对系统需要定义各种角色, 如经理、会计等, 然 后对他们赋予不同的执行权利。 2. 6 业务填充机制 在业务闲时发送无用的随机数据, 增加攻击者通过通信流 量获得信息的困难。同时, 也增加了密码通信的破译难度。发送 的随机数据应具有良好模拟性能, 能够以假乱真。 3、电子商务安全关键技术 安全问题是电子商务的核心, 为了满足安全服务方面的要 求, 除了网络本身运行的安全外, 电子商务系统还必须利用各种 安全技术保证整个电子商务过程的安全与完整, 并实现交易的 防抵赖性等, 综合起来主要有以下几种技术。 3. 1 防火墙技术 现有的防火墙技术包括两大类: 数据包过滤和代理服务技 术。其中最简单和最常用的是包过滤防火墙, 它检查接受到的每 个数据包的头, 以决定该数据包是否发送到目的地。由于防火墙 能够对进出的数据进行有选择的过滤, 所以可以有效地避免对 其进行的有意或无意的攻击, 从而保证了专用私有网的安全。将 包过滤防火墙与代理服务器结合起来使用是解决网络安全问题 的一种非常有效的策略。防火墙技术的局限性主要在于: ①防火 墙技术只能防止经由防火墙的攻击, 不能防止网络内部用户对 于网络的攻击。②防火墙不能保证数