电子商务网络安全问题研究.docxVIP

电子商务网络安全问题研究 随着通信网络技术的快速发展，尤其是网络的广泛应用，现代企业的消费观念和整体商业系统也发生了很大变化。人们喜欢通过网络便利性进行网络采购和交易。从而导致电子商务(Electronic Commerce)的出现,并在世界范围内掀起电子商务的热潮。 电子商务的发展给人们的工作和生活带来了新的尝试和便利,但并没有像人们想象的那样普及和深入,一个很重要的原因就是电子商务的安全性,它成为阻碍电子商务发展的瓶颈。 网络安全的研究 当前电子商务所面临的网络安全现状不容乐观。有关信息安全调查表明,和那些不从事在线商务的公司比起来,从事电子商务的公司网站遭遇黑客非法入侵的可能性要高出57%,而据国内的统计资料显示,过去一年中,约有64%的公司信息系统受到黑客的危害性攻击,其中金融业占总数的57%。 1998年,由于黑客的入侵,世界范围内的主要银行和大公司损失了大约8亿美元,其中美国约占4亿美元。近几年,美国政府的计算机系统平均每年遭到非法侵入的次数至少有30万次,其中犯罪行为引起的损失估计可达15亿美元。 实际上我们所能了解到的只是黑客案例中很少的一部分,有相当大的一部分没有被报道。要么是所受到的攻击没有被发现,要么是由于各种原因没有被公布。特别是最近几年,由于网络应用的不断增加和人们对网络安全的忽视,黑客攻击事件更是层出不穷,且显愈演愈烈之势,其危害程度也越来越大。 黑客攻击是威胁网络安全和电子商务安全的一个方面,而我国在电子商务安全方面的基础设施和观念意识也令人堪忧。目前,很多的电子商务网站(包括电子支付)的安全机制还依赖于浏览器和Web服务器提供的SSL安全协议。而由于出口限制,SSL协议所采用的安全算法密钥长度只有40位或56位,以目前的技术水平,破译这种安全强度的信息只需几分钟或更少时间,而不知内情的用户还以为自己的敏感信息(如信用卡号)在整个交易中是绝对安全的。另外,国内几乎所有的计算机主机、网络交换机、路由器和网络操作系统都来自国外,这种系统有没有留下后门或其他缺陷,用户或国家的机密信息会不会被非法窃取,这些都要求我国下大力气研制和开发独立自主的网络安全和电子商务安全产品。 我国信息安全研究经历了多种发展阶段,通过学习、吸收、消化等手段,逐步掌握了部分网络安全和电子商务变全技术,进行了安全操作系统、多级安全数据库的研制探索。但由于系统安全内核受控于人,以及国外产品的不断更新升级,基于具体产品的增强安全功能的成果,难以保证没有漏洞,难以得到推广应用。在学习借鉴国外技术的基础上,国内一些部门也开发研制了一些防火墙、安全路由器、安全网关、黑客入侵检测、电子商务安全交易系统、CA认证机构和部分核心密码算法等。但是,这些产品安全技术的完善性、规范化、兼容性和实用性还存在许多不足,理论基础和自主的技术手段需要发展和强化。 总的来说,我国的网络信息安全研究起歩晚,投入少,研究力量分散,与技术先进国家有差距,特别是在系统安全和安全协议方面的工作与国外差距更大。因此,从长远来看,为保证我国电子商务的正常发展,对电子商务中的安全技术进行研究,发展自主的电子商务安全技术是当务之急。 网络安全与交易安全 1983年10月24日美国著名的计算机安全专家,ATT贝尔实验室的计算机科学家Rober Morris在美国众议院科学技术会议、运输、航空、材料专业委员会工作了关于计算机安全重要性的报告,从此计算机安全成了国际上研究的热点。现在随着互联网络技术的发展,网络安全成了新的安全研究热点。网络安全和交易安全问题成为实现电子商务的关键所在。电了商务中的安全隐患可分为如下几类。 信息的拦截和盗窃 信息操纵 信息是假的 交易必须遵守 电子商务安全需求 电子商务面临的威胁的出现导致了对电子商务安全的需求,这些需求即是真正实现安全电子商务系统的基础要求,主要包括机密性、完整性认证性和不可抵赖性。 机密性 全集 中庭性 不可抗拒 有效性 技术领域的安全技术 电子商务安全是信息安全的上层应用,它包括的技术范围比较广,主要分为网络安全技术和密码技术两大类,其中密码技术主要包括加密、数字签名和认证技术等。 网络安全技术 公钥密钥加密 加密技术包括私钥加密和公钥加密。私钥加密,又称对称密钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据,目前常用的私钥加密算法包括DES和IDEA等。公钥密钥加密,又称不对称密钥加密系统,它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,称为公开密钥(PublicKey);另一个由用户自己秘密保存,称为私有密钥(Private-Key)。为了充分利用公钥密码和对称密码算法的优点,克服其缺点,解决每次传送更换密钥的问题,可采取混合密码系统,即所谓的电子信封(envelope)技术。 通过电子签名方式提供错误证据,