电子商务信息安全风险分析和防范策略研究.docVIP

电子商务信息安全风险分析和防范策略研究 　　摘要：近年来，随着电子技术的发展和Internet的日益普及,越来越多的应用必须通过网络来完成，电子商务因其便捷高效也得到了迅速发展。然而电子商务目前还处于建立和发展的阶段, 作为一种新生事物, 电子商务自身具有不可忽视的安全风险。由于Internet的开放性、国际性和自由性在增加应用自由度的同时, 也使安全成为一个日益重要的问题，企业与消费者对电子交易安全的担忧已严重阻碍了电子商务的发展。因此, 电子商务的安全问题日益成为人们关注的焦点。 　　关键词：安全风险 安全要素 策略研究 　　 　　1 电子商务中存在的主要信息安全问题 　　1.1 网络安全问题 计算机网络主要存以下的安全问题：①Internet是一个开放的、全球性的、无控制机构的网络，计算机网络自身的特点决定了网络不安全。黑客经常会入侵网络中的电脑窥取机密数据或破坏数据, 使系统瘫痪或使系统功能得不到充分发挥。②网络服务一般都是通过各种各样的协议完成的，因此网络协议的安全性是网络安全后个重要方面。Internet的数据传输是基于TCP/IP操作系统来支持的，TCP/IP协议本身存在着一定的缺陷。当今许多黑客攻击都是利用了这些协议的安全漏洞才得逞的。③网络软件的漏洞和“后门”是进行网络攻击的首选目标，随着现代软件系统的越来越复杂，对于一个软件，特别是较大的系统或应用软件来讲，要想进行全面彻底的测试已经变得越来越不可能。虽然在设计和开发一个大型软件过程中可以进行某些测试，但总是会多多少少留下某些缺陷和漏洞。④黑客的出现可以说是当今信息社会，尤其是在Internet互联全球的过程中，网络用户有目共睹、不容忽视的一个独特再现。黑客攻击目前已成为计算机网络所面临的重大威胁。 　　1.2 电子商务主要的信息安全要素 　　1.2.1 有效性 有效性是指信息接收方得到的是经原发送方确认的信息,发送方不可抵赖。贸易数据在确定的时刻、确定的地点是有效的。电子商务以电子形式取代了纸张,如何保证这种电子贸易信息的有效性是开展电子商务的前提。电子商务作为贸易的一种形式其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此, 要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防, 以保证贸易数据在确定的时刻、确定的范围是有效的。 　　1.2.2 机密性 机密性是指信息在存储或传输过程中不被他人窃取或泄漏，满足电子商务交易中信息保密性的安全需求，避免敏感信息泄漏的威胁。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。 　　1.2.3 完整性 完整性是指信息在传输过程中没有被歪曲、丢失或重复，消息的接收者应能够验证在传递过程中消息没有被篡改，入侵者不能用假消息代替合法的消息。 　　贸易各方信息的完整性将影响到贸易各方的交易利润，经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。 　　1.2.4 可靠性、不可抵赖性 电子商务可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方，这一问题则是保证电子商务顺利进行的关键。在无纸化的电子商务方式下，通过于写签名利印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。 　　2 保障电子商务信息安全的措施 　　电子商务安全是信息安全的上层应用，它包括的技术范围比较广，主要分为数据加密技术和身份认证技术两大类。 　　2.1 数据加密技术 加密技术是保证电子商务安全采用的主要安全措施。加密过程就是根据一定的算法，将可理解的数据（明文）与一串数字（密钥）相结合，从而产生不可理解的密文的过程，主要加密技术是：对称加密技术和非对称加密技术。 　　2.2 对称密钥加密 对称密钥加密又称为秘密密钥加密，即通信双方采用相同的密钥来进行加密和解密，具有代表性的加密算法是DES算法。如下图所示。 　　对称密钥加密的最大优点是加解密效率快，适合于进行大量数据加密，但在密钥管理、分发以及进行身份鉴别方面存在缺点。 　　2.3 非对称密钥加密 非对称密钥加密也称为公开密钥加密，能够实现对数据加密、完整性验证、身份认证、数字签名。每个用户有一对密钥：一个用于加密，一个用于解密，这两个密钥是不同的，知道了一个，要想知道对应的另一个密钥很困难，具有代表必是RSA算法。加