电子商务中的安全威胁与安全防范.docxVIP

电子商务中的安全威胁与安全防范 0 电子商务交易平台的虚拟性和秘名性 电子商务通过电信网络开展电子支付，并就信息产品和实物产品作出承诺。相对于传统商务模式来说, 电子商务具有高效、便携、低成本等特点。电子商务的发展给人们的工作和生活带来了新的尝试和便利性, 但并没有像人们想象的那样普及和深入, 其重要的原因就是由于电子商务交易平台的虚拟性和匿名性, 使得电子商务的安全问题成为阻碍电子商务发展的瓶颈。 本文在介绍电子商务安全威胁和安全隐患的基础上, 给出了电子商务中所涉及到的主要技术, 并针对电子商务安全现状, 给出相应的对策和建议。 1 消费者的安全威胁 从安全和信任关系来看, 在传统交易过程中, 买卖双方是面对面的, 因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中, 买卖双方是通过网络来联系的, 由于电子商务所依赖的Internet具有虚拟性、动态性、高度开放性等特点, 使电子商务面临众多的威胁与安全隐患, 因而建立交易双方的安全和信任关系相当困难。电子商务交易双方 (销售者和消费者) 都面临不同的安全威胁。 对销售者而言, 他面临的安全威胁主要有: (1) 中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据 (如商品送达地方) 、解除用户订单或生成虚假订单。 (2) 竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品, 从而了解有关商品的递送状况及货物和库存情况。 (3) 客户资料被竞争者获悉。 (4) 被他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。 (5) 消费者提交订单后不付款。 (6) 虚假订单。 (7) 获取他人的机密数据:比如, 某人想要了解另一人在销售商处的信誉时, 他以另一人的名字向销售商订购昂贵的商品, 然后观察销售商的行动。假如销售商认可该定单, 则说明被观察的信誉高, 否则, 则说明被观察者的信誉不高。 对消费者而言, 他面临的安全威胁主要有: (1) 虚假订单:一个假冒者可能会以客户的名字来订购商品, 而且有可能收到商品, 而此时客户却被要求付款或返还商品。 (2) 付款后不能收到商品:在要求客户付款后, 销售商中的内部人员不将定单和钱转发给执行部门, 因而使客户不能收到商品。 (3) 机密性丧失:客户可能将秘密的个人数据或自己的身份数据 (如PIN、口令等) 发送给冒充销售商的机构, 这些信息也可能会在传递过程中被窃听。 (4) 拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源, 从而使合法用户不能得到正常的服务。 2 电子商务信用信息的特性 电子商务面临的威胁的出现导致了对电子商务安全的需求, 也是真正实现一个安全电子商务系统所要求做到的各个方面, 主要包括机密性、完整性、认证性和不可抵赖性。 (1) 机密性。电子商务是建立在一个较为开放的网络环境上的。因此, 要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术来对传输的信息进行加密处理来实现。 (2) 完整性。在电子商务活动中, 由于数据输入时的意外差错或欺诈行为, 可能导致贸易各方信息的差异。因此, 要预防对信息的随意生成、修改和删除, 同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。 (3) 认证性。由于网络电子商务交易系统的特殊性, 企业或个人的交易通常都是在虚拟的网络环境中进行, 所以对个人或企业实体进行身份确认成了电子商务中得很重要的一环。鉴别服务可以使交易双方能够在相互不见面的情况下确认对方的身份。鉴别服务一般都通过证书机构CA和证书来实现。 (4) 不可抵赖性。电子商务可能直接关系到贸易双方的商业交易。在无纸化的电子商务方式下, 通过手写签名和印章进行贸易方的鉴别已是不可能的。因此, 要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。 (5) 有效性。电子商务作为贸易的一种形式, 其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此, 要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防, 以保证贸易数据在确定的时刻、确定的地点是有效的。 3 技术以及相关的技术 电子商务的信息安全在很大程度上依赖于技术的完善, 这些技术包括:加密技术、认证技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等, 而其中最主要的是加密技术以及身份认证技术。 3.1 非对称密钥加密法 数据加密就是按照确定的密码算法将敏感的明文数据变换成难以