电子商务中信息安全及关键技术探讨.docVIP

电子商务中信息安全及关键技术探讨 　　[摘要] 伴随着电子商务的广泛应用，电子商务的安全问题愈加突出和亟待解决。本文就电子商务活动中的安全问题分析了现在流行的信息安全框架,并对信息安全的关键技术进行了探讨。 　　[关键词] 电子商务 信息安全框架 安全技术 　　 　　一、 引言 　　电子商务即EC（Electronic Commerce），简单讲就是利用先进的电子技术进行商务活动的总称。电子商务包括两个方面：一是商务活动;二是电子化手段。现代电子商务是基于Internet技术的新型的商务活动，是21世纪市场经济商务运行的主要模式。由于Internet的全球性和开放性，不受时间和空间的限制，给电子商务交易带来了种种不安全因素。网络上的信息安全问题已成为影响电子商务发展的重要因素之一。因此，研究在开放的网络环境下电子商务安全问题就变的非常地迫切和重要了。 　　二、安全问题 　　1.安全问题 　　由于电子商务是在开放的网络上进行的贸易,其支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机网络系统中存放、传输和处理,所以,网络系统中信息安全技术成为电子商务安全交易的技术支撑。网络信息所面临的威胁来自许多方面,并且在不断发生着变化。其中最常见的有非法访问、恶意攻击、计算机病毒以及其它方面如物理损坏、人与自然灾难等。 　　2.安全要素 　　(1)完整性。完整性指数据信息未经授权不能进行改变的特性，也就是要求保持信息的原样，要预防对信息的随意生成、修改、伪造、插入和删除，同时要防止数据传输过程中的丢失、乱序和重复。 　　(2)机密性。机密性是指网络信息只为授权用户所用，不会泄露给未授权的第三方的特性。要保证信息的机密性，需要防止入侵者侵入系统，对机密信息需先经过加密处理，再送到网络中传输。 　　(3)不可否认性。不可否认性也即不可抵赖性是指所有参与者都不可能否认和抵赖曾经完成的操作。要求在交易信息的传输过程中为参与交易的个人、企业和国家提供可靠的标识，使信息发送者在发送数据后不能抵赖，而接受方接受数据后也不能否认。 　　(4)真实性。真实性是指商务活动中交易信息???真实，包括交易者身份的真实性，也就是确保网上交易的对象是真实存在的，而不是虚假或伪造的，也包括交易信息自身的真实性。 　　(5)可用性。可用性就是确保信息及信息系统能够为授权使用者所正常使用。 　　(6)可靠性。可靠性是指电子商务系统的可靠性，在遇到自然灾害、硬件故障、软件错误、计算机病毒等情况下，仍能确保系统安全、可靠地运行。 　　三、信息安全框架 　　信息安全的内涵是在不断地发展和变化的。一般信息安全是从两个方面进行描述:一种是从信息安全所涉及的安全属性的角度进行描述，涉及了机密性、完整性、可用性等。这些安全属性是保障电子商务交易的安全要素。另一种是从信息安全所涉及层面的角度进行描述，信息安全被认为是一个由物理安全、运行安全、数据安全和内容安全组成的四层模型。伴随着Internet的发展，信息对抗引起了人们的重视，被引入了信息安全领域。信息对抗研究的内容是信息真实性的保护和破坏，信息对抗讨论如何从多个角度或侧面来获得信息并分析信息，或者在信息无法隐藏的前提下，通过增加更多的无用信息来扰乱获取者的视线，以掩藏真实信息所反映的含义。从本质上来看，信息对抗属于信息利用的安全。由此，在信息安全模型中增加了信息对抗这个层次。 　　基于信息安全的作用点，可以将信息安全看作是由三个层次、五个层面所构成的层次框架体系，在每个层面中各自反映了在该层面中所涉及的信息安全的属性。如图所示。 　　其中，系统安全反映的信息系统所面临的安全问题，包括物理安全和运行安全，物理安全是指网络与信息系统的硬件安全；运行安全是指网络与信息系统中的软件安全。狭义的“信息安全”问题是信息自身面临的安全问题，包括数据安全和内容安全，数据安全以保护数据不受外界的侵扰为目的，内容安全是指对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力。信息对抗是指在信息的利用过程中，对信息的真实性的隐藏与保护，或者攻击与分析。 　　四、安全技术 　　随着计算机网络的飞速发展和应用，网络信息安全技术也在不断地发展。现阶段已采用了多种安全技术保护信息的安全，如：访问控制、数据加密、入侵检测、用户授权与认证等。 　　1.访问控制 　　访问控制是指对网络中的某些资源的访问要进行控制，只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有：入网访问控制，网络的权限控制，目录级安全控制，防火墙控制，网络服务器控制，网络监测和锁定控制等。 　　2.加密技术