电子商务中网络安全问题.docVIP

电子商务中网络安全问题 　　电子商务是互联网应用发展的必然趋势，也是国际金融贸易中越来越重要的经营模式。安全是保证电子商务健康有序发展的关键因素，也是目前大家十分关注的话题。由于电子商务是在公开的因特网上进行的，支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理，所以，其安全问题引起了广泛重视。计算机诈骗、计算机病毒等造成的商务信息被窃、篡改和破坏，以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效，都严重危害着电子商务系统的安全。因此，保证商务信息的安全是进行电子商务的前提。 　　 　　一、电子商务的涵义 　　 　　随着因特网的飞速发展和信息经济、网络经济等概念的提出，电子商务受到人们越来越多的关注。电子商务很难有一个统一说法，许多专家和学者都尝试从不同角度来界定电子商务的内涵和外延。总体而言，人们对电子商务的认识大致归为广义和狭义之分。狭义的电子商务也称为电子贸易，主要是指借助计算机网络进行网上的交易活动。广义的电子商务则包括电子交易在内的、通过Internet进行的各种商务活动，这些商务活动不仅仅局限于企业之间，也包含在企业内部、个人和企业之间发生的一切商务活动。我们在这里所涉及的电子商务是广义的电子商务，即E-business。 　　 　　二、电子商务中的网络安全问题 　　 　　一般来说，电子商务中面临的网络安全问题主要有以下几种： 　　（一）信息在网络的传输过程中被截获。攻击者可能通过互联网、公共电话网、在电磁波辐射范围内安装接收装置等方式，截获传输的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，获取有用信息，如消费者的银行账号、密码等。 　　（二）传输的文件可能被篡改。攻击者可能从三个方面破坏信息的完整性：（1）篡改，即改变信息流的次序，更改信息的内容，如购买商品的出货地址；（2）删除，即删除某个信息或消息的某些部分；(3)插入，即在消息中插入一些信息，让接受方读不懂或接受错误的信息。 　　（三）伪造电子邮件。主要有这样几种情况：（1）虚开网站和商店，给用户发电子邮件，收订货单；（2）给伪造的用户发恶意的电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；（3）伪造用户，发大量的电子邮件，窃取商家的商品信息和用户信用等信息。 　　（四）假冒他人身份。（1）冒充他人身份，如冒充领导发布命令、调阅密件；（2）冒充他人消费、栽赃；（3）冒充主机欺骗合法主机及合法用户；（4）冒充网络控制程序，套取或修改使用权限、密钥等信息；（5）接管合法用户，欺骗系统，占用合法用户的资源。 　　（五）不承认已经做过的交易（即抵赖）。电子商务交易中可能存在着：（1）发信者事后否认曾经发送过某条信息或内容；（2）收信者事后否认曾经收到过某条信息或内容；（3）购买者做了订货单不承认；（4）商家卖出的商品因价格差而不承认原有的交易。 　　 　　三、电子商务网络安全策略 　　 　　（一）电子商务安全网络技术对策 　　1、使用加密技术。可通过适当的密钥加密技术和管理机制，来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES）算法为典型代表，非对称加密通常以RSA算法为代表。根据电子商务系统的特点，全面加密保护应该包括对远程通信过程中、网内通信过程中传输的数据实施加密保护。而实际上，并非系统中的所有数据都需要加密。一般来说，管理级别越高，所拥有的数据保密要求也就越高，而某些用户涉及的数据可能不需要任何级别的加密。 　　2、使用数字签名技术。数字签名的加密解密过程和密钥的加密解密过程虽然都使用公开密钥体系，但实现的过程正好相反，使用的密钥对也不同。数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密，这是一个一对多的关系，即任何拥有发送方公开密钥的人都可以验证数字签名的正确性。 　　3、数据保密方法。在这种方法中，一个属性的值被划分到互不相交而且互不相容的类中。考虑离散化的特殊条件是将一个属性的值离散化为一个一个的区间，而且所有的区间不需要等长。例如,一个属性中的薪水可以被离散化为10Ｋ的区间或更高的50Ｋ的区间。即用户提供一个值所位于的区间而不是该属性的真实值。离散化的方法是一个隐藏一个个体真实值的常用方法。增加区间的长度，因而区间的个数减少。所以，离散化方法与均匀分布相比精度要差一些。而正态分布在信息水平越高时，保密程度越高，因而优于其他两种方法。 　　4、配置防火墙。防火墙是在两个网络通讯时执行的一