电子商务信息安全和风险管理刍议.docVIP

电子商务信息安全和风险管理刍议 　　摘 要：本文概述了电子商务信息安全的要素、技术，针对电子商务交易过程中的信息安全风险进行了分析，并提出相应管理措施。 　　关键词：电子商务；信息安全；风险管理 　　 　　电子商务信息的安全要素 　　 　　有效性：EC以电子形式取代了纸张，其信息的有效性直接关系到个人、企业或国家经济利益和声誉。我们要杜绝网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒产生的潜在威胁，以保证贸易数据在确定的时刻、地点是有效的。 　　机密性：EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。预防非法的信息存取和信息在传输过程中被非法窃取极为重要。 　　完整性：EC在数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易信息缺失。因此，要预防交易额对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。 　　可靠性：EC可直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方，这一问题则是保证EC顺利进行的关键。在无纸化的EC方式下，通过手写签名和印章进行贸易方的鉴别已不可能，因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。 　　 　　电子商务信息的安全技术 　　 　　电子商务安全服务包括：鉴别服务、访问控制服务、机密性服务和不可否认服务等。鉴别服务是对贸易方身份的鉴别，为身份的真实性提供保证；访问控制服务通过授权对使用资源的方式进行控制，防止非授权使用资源或控制资源，有助于贸易信息的机密性、完整性和可控性；机密性服务的目标为EC参与者信息在存储、处理和传输过程中提供机密性保证，防止信息被泄露给非授权信息获得者；不可否认服务针对合法用户的威胁，为交易双方提供不可否认的证据，解决因否认产生的争议问题。 　　EC使用的安全技术包括：数据加密、电子数字签名、电子安全证书、电子信封和双重数字签名等。 　　数据加密技术：该技术是EC采取的基本安全措施，贸易方可根据需要在信息交换阶段使用。加密技术分为两类，即对称加密和非对称加密。 　　在对称加密方法中，采用相同的加密算法并只交换共享的专用密钥（加密和解密都使用相同的密钥）。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露，机密性和报文完整性就可以通过这种加密法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。 　　在非对称加密体系中，密钥被分解为一对，即公开密钥或专用密钥。公开密钥（加密密钥）通过非保密方式向他人公开，而专用密钥（解密密钥）加以保存。公开密钥用于对机密性的加密，专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握，公开密钥可广泛发布，但它只对应于生成该密钥的贸易方。贸易甲方生成一对密钥，公布公开密钥；贸易方乙得到该公开密钥，使用该密钥对机密信息进行加密，然后发送给贸易甲方；贸易甲方再用自己保存的专用密钥对加密后的信息进行解密。贸易方只能用其专用密钥解密由其公开密钥加密后的任何信息。 　　电子数字签名：数字签名是非对称加密技术的一类应用。其主要方式是：报文发送方从报文文本中生成一个128位的散列值（或报文摘要），并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名；然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方；报文接收方首先从接收到的原始报文中计算出128位的散列值（或报文摘要），接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可否认性。 　　电子安全证书：为了保证公开密钥的持有者是真实的；并在大规模网络环境下公开密钥的产生、分发和管理。第三方证书签发机构（CA,Certificate Authority）提供身份验证，由一个或多个用户信任的组织实体构成。CA核实某个用户的真实身份以后，签发一份报文给该用户，以此作为网上证明身份的依据。这个报文称为电子证书，包括：唯一标识证书所有者（即贸易方）的名称、唯一标识证书签发者的名称、证书所有者的公开密钥、证书签发者的数字签名、证书的有效期及证书的序列号等。常用的证书有：持卡人证书、商家证书、支付网关证书、银行证书和发卡机构证书等。 　　电子信封：电子信封是为解决传送更换密钥问题而产生的技术，它结合了对称加密和非对称加密技术的各自优点。发送者使用随机产生的对称密钥加密数据，然后将生成的密文和密钥本身一起用接收者的公开密钥加密（称为电子信封）并发送；接收者先用自己的专用密钥解密电子信封，得到对称密钥，然后使用对称密钥