电子商务中存在的泄密隐患及其应对策略.docxVIP

电子商务中存在的泄密隐患及其应对策略 要求：主要从现状、存在的主要问题、分析产生的原因、目前主要的应对技术和产品以及 如何解决的策略和未来展望等方面进行研究。 当许多传统的商务方式应用在?Internet?上时，便会带来许多源于安全方面的问题，如 传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全 的管理等。电子商务的大规模使用虽然只有几年时间，但不少公司都已经推出了相应的软、 硬件产品。由于电子商务的形式多种多样，涉及的安全问题各不相同，但在?Internet?上的 电子商务交易过程中，最核心和最关键的问题就是交易的安全性。一般来说商务安全中普 遍存在着以下几种安全隐患： 1、窃取信息 　　由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网 关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式， 进而得到传输信息的内容，造成网上传输信息泄密。 2、篡改信息 　　当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信 息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做 此类工作。 3、假冒 　　由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒 的信息或者主动获取信息，而远端用户通常很难分辨。 在早期的电子交易中，曾采用过一些简易的安全措施，包括： 　　*?部分告知（Partial?Order）：即在网上交易中将最关键的数据如信用卡号码及成交数 额等略去，然后再用电话告之，以防泄密。 　　*?另行确认（Order?Confirmation）：即当在网上传输交易信息后，再用电子邮件对交 易做确认，才认为有效。 此外还有其它一些方法，这些方法均有一定的局限性，且操作麻烦，不能实现真正的 安全可靠性。 电子商务作为一种虚拟经济、非接触经济，如果没有完善的信用体系作保证，其生存 和发展都将十分困难，个人和企业的交易风险都将大大提高。由于网络信息本身具有虚拟 性和流动性，其格式和媒体可以分离，参与电子商务的主体的诚信问题使得电子商务信息 的真实性与安全性难以保障。因此电子商务与传统的交易相比对信用的要求更高，要发展 电子商务必须先加强信用建设。 目前，我国仍处在经济转型期，市场还很不成熟，社会信用体系很不健全，市场经济 体系与市场机制还不规范、不完善，还没有建立完善的信用体系制度。从电子商务的流程 看：信息、交易、支付、物流等每个环节都存在信用风险，每个交易对象也有信用风险存 在。然而，在看到国外发达国家从电子商务的经营方面获得超额利润的同时,我国盲目照搬 国外电子商务,却未考虑到本国的实际国情,未考虑到我国信用体系的现状，以至于出现许多 阻碍,电子商务活动在很多情况下无法顺畅运行。 我国的电子商务在促进国民经济和社会发展的同时，也带来了新的安全保密问题。在 近几年保密邮门查处的案件中，与计算机和网络相关的已经超过一半以上。随着相关条例 的正式实施，如何止确处理好保密与公开的关系，已经成为消费者及相关技术人员必须认 真解决的一项重要课题与任务。 　　首先，涉密属性界定不清。有的人认为，网络必须按业务划分，不能按密级来划分， 对网络不定密；有的单位认为网络不涉密，应用系统才涉密，不按保密要求进行整体防护； 有的回避涉密定位这一关键问题。这样做的结果是造成国家保密部门的管理职能被弱化， 同时，还使网络建设未达国家保密要求，带病运行，最终导致“重建设、轻安全”，大量的 国家秘密和工作秘密没有得到有效的保护。 　　其次，是片面追求涉密最小化。有的机构过分强调信息公开，认为所有的信息都要公 开，没有保密的必要，有的单位虚化网络，采取配备少量单机处理涉密信息的方式，但在 交际工作中往往不具有可操作性。这样做的结果是导致业务应用部署不合理，用户没有涉 密办公环境，用户不得不在政务外网和互联网上处理国家秘密和工作秘密。 　　第三，安全保密防护不到位，对严重违规行为缺乏有效技术手段。对?U?盘等移动存储 介质在计算机和互联网计算机之间的交叉使用管控不严，泄密事件时有发生；对涉密计算 机特别是涉密笔记本电脑的违规外联没有采取技术防范措施，形成泄密隐患。 　　第四，保密管理不到位，涉密人员保密意识薄弱。保密管理机构不健全；保密制度已 经过时或不健全，且缺乏监督执行；保密管理人员知识水平和能力也不足，不能满足信息 化条件下保密工作的实际需要用户保密意识不强，不了解基本的现代保密常识，对泄密的 途径和方式一无所知，表现为无知无畏。 最后，自查能力不具备，管理缺乏技术保障手段。很多机构没有泄密自我检查发现能 力，缺乏掌握保密检查技术的人员，也没有适用的自查工具，不能及时发现泄密隐患，且 对泄密情况也心中无数。 近年来