电子商务安全问题及对策研究.docVIP

电子商务安全问题及对策研究电子商务是通过Internet技术与传统的电子票据交换（Electronic data interchange，EDI）、电子资金转账（Electronic funds transfer，EFT）等技术相结合而发展起来的一种新兴的商务交易模式。它借用先进的计算机网络通信技术和WEB数据库技术、以电子信息交换为手段实现各种商业处理及交易逻辑进行各种经济活动。相关调查数据显示，中国电子商务交易额在2006年已突破1万亿元，近三年，中国电子商务交易额保持了50%～60%的增长速度。电子商务基于Internet技术的网络协议设计上较多地考虑了共享、互联、互通等，忽视了对安全和保密的关注，其使用和管理上更是以民间自治、自愿合作等为原则，其安全问题先天不足。如何在网上保证交易的公正性和安全性、保证交易方身份的真实性、保证传递信息的完整性以及交易的不可抵赖性，成为电子商务蓬勃发展的关键所在。 一、电子商务安全性的要求 1.有效性。电子商务交易在网络上以电子形式取代了传统交易形式下的纸质，这样保证贸易信息的有效性就成为电子商务的前提，直接关系到个人、企业或国家的经济利益和声誉。 2.机密性。电子商务建立在一个开放的网络环境上，维护商业机密就成为电子商务推广应用的重要保障。 3.完整性。完整性指数据信息未经授权不能进行改变的特性，要预防对信息的随意生成、修改、伪造、插入和删除，同时也防止数据传输过程中的丢失、乱序和重复。 4.可靠性。可靠性指在遇到自然灾害、硬件故障、软件错误、计算机病毒等情况下，仍能确保系统安全、可靠运行。 5.不可抵赖性。传统交易中，交易各方通过“白纸黑字”预防抵赖行为的发生。在无纸化的电子交易方式下，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，使信息发送者在发送数据后不能抵赖，接受方接受数据后也不能否认。 6.交易审查能力。依据在交易过程中信息传输机密性和完整性的要求，应对数据审查的结果进行记录。 二、电子商务安全对策 1.发展安全技术 （1）加密技术。加密技术是认证技术和其他许多安全技术的基础。其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。加密技术包括对称机制和非对称机制。常用的对称加密算法有DES、三层DES和IDEA等，非对称加密通常以RSA算法为代表。 （2）防火墙技术。防火墙是指一种将内部网和外部网分开的方法，实际上是一种隔离技术。具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙能防范来自企业外部的攻击，对企业内部却无能为力。 （3）入侵检测技术。入侵检测是通过监控网络与系统运行情况，来检测用户的越权使用以及系统外部的入侵企图，保证资源不被非法使用和非法访问。若发现入侵，会及时反应，包括切断网络连接，记录事件和报警等。 （4）数字（Digital Envelope）信封。数字信封采用对称加密技术和非对称加密技术来保证只有规定的接收方才能阅读到信中的内容，从而有效地提高信息的保密性。 （5）虚拟专用网。虚拟专用网（VirtualPrivateNetwork，VPN）技术是一种在公用互联网络上构造专用网络的技术。VPN具体实现是采用隧道技术，将企业内的数据封装在隧道中进行传输。这种通道是Internet上的一种专用通道，可保证数据在外部网上的企业之间安全地传输。 （6）认证技术。认证技术提供了一种安全可靠的验证交易各方身份真实性的验证机制。安全认证技术主要有：①数字摘要技术。也称安全Hash编码法（SHA）。该编码可以将需加密的明文摘要成一串密文，不同的明文摘要成密文，其结果总不相同，相同的明文摘要则一致。因此解决了电子商务交易中信息的完整性问题。②数字签名技术。在基于Internet的电子商务中，对常规手写签名做法用数字签名作为模拟。数字签名的技术保证是加密，实践表明采用非对称加密算法要比对称加密算法更容易实现。③数字时间戳技术。由专门机构提供数字时间戳服务（DTS），在文件摘要上加入日期和时间信息后加密（数字签名）。可以解决电子文件发表时间被伪造和篡改的问题。④数字凭证技术。又称为数字证书，是一个经证书认证机构（CA）数字签名的包含用户身份和对网络资源访问的权限。它是电子商务主体在数字世界的身份证明，不可能被假冒。贸易伙伴间可以使用数字证书来交换公开密钥，起到标识贸易方的作用。⑤认证中心（Certificate Authority，CA）是网上各方都信任的机构，主要负责产生、分配并管理所有参与网上交易的个体所需的身份认证数字证书，各级CA认证机构的存在组成了整个电子商务的信任链。认证中心，负责