电子商务中信息安全分析

电子商务中的信息安全分析

摘要：电子商务对人类社会经济产生了重大影响，在创造巨大经济效益的同时，也从根本上改变了整个社会商务活动的发展进程。我国电子商务在曲折进程中，已有很大程度的发展,同时也存

在诸多问题。本文客观地分析了电子商务的信息安全问题、信息安全技术、信息安全协议、信息安全对策，对加快电子商务的健康发展步伐提出了一些重要思考。

关键词：电子商务；信息安全；安全技术；安全协议；安全对策

随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商

务应运而生并迅速发展。所谓电子商务 ( electronic commerce, ec) 就是借助于公共网络,如 internet 或开放式计算机网络 (open computer network) 进行网上交易,快速而又有效地实现各种商务

活动过程的电子化、网络化、直接化。出于各种目的的网络入侵和攻击越来越频繁,脆弱的网络和不成熟的电子商务增强了人们的防

范心理。因此,信息安全问题是保障电子商务的生命线。电子商务

已经成为当今世界商务活动的新模式。要在国际竞争中赢得优势，必须保证电子商务中信息交流的安全。

一、电子商务的信息安全问题1.信息的截获和窃取：如果采用

加密措施不够，攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据，获取机

密信息或通过对信息流量、流向、通信频度和长度分析，推测出有用信息。

2.信息的篡改：当攻击者熟悉网络信息格式后，通过技术手段对网络传输信息中途修改并发往目的地，破坏信息完整性。

3.信息假冒：当攻击者掌握网络信息数据规律或解密商务信息后，假冒合法用户或发送假冒信息欺骗其他用户。

4.交易抵赖：交易抵赖包括多方面，如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。

二、信息安全技术 1.防火墙技术。防火墙在网络间建立安全屏障，根据指定策略对数据过滤、分析和审计，并对各种攻击提供防范。

防火墙技术主要有：

(1)包过滤技术：在网络层根据系统设定的安全策略决定是否让数据包通过。

(2)代理服务技术：提供应用层服务控制，起到外部网络向内部网络申请服务时中间转接作用。

(3)状态监控技术：在网络层完成所有必要的包过滤与网络服务代理防火墙功能。

(4)复合型技术：把过滤和代理服务两种方法结合形成新防火墙。

(5)审计技术：通过对网络上发生的访问进程记录和产生日志，

对日志统计分析，对资源使用情况分析，对异常现象跟踪监视。

(6)路由器加密技术：加密路由器对通过路由器的信息流加密和压缩，再通过外部网络传输到目的端解压缩和解密。

2.加密技术。为保证数据和交易安全，确认交易双方的真实身份，电子商务采用加密技术。

目前广泛应用的加密技术有：

(1)公共密钥和私用密钥:也称rsa编码法。

(2)数字摘要:也称安全hash编码法。

(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。

(4)数字时间戳。 3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份，验证信息完整性，确认信息在传送或存储过程中未被篡改。

(1)数字证书:也叫数字凭证、数字标识，用电子手段证实用户身份及对网络资源的访问权限，可控制被查看的数据库，提高总体保密性。

(2)安全认证机构:电子商务授权机构也称电子商务认证中心。

4.防病毒技术。

(1)预防病毒技术，通过自身常驻系统内存，优先获取系统控制权，监视系统中是否有病毒，阻止计算机病毒进入计算机系统和对系统破坏。

(2)检测病毒技术，通过对计算机病毒特征进行判断的侦测技

术。

(3)消除病毒技术，通过对计算机病毒分析，开发出具有杀除病毒程序并恢复原文件的软件。

三、电子商务信息安全协议 1.安全套接层协议。用于提高应用程序之间的数据的安全系数。

2.安全电子交易公告。安全电子交易公告（set：secure electronic transactions）是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。

3.安全超文本传输协议

（s-http）。依靠密钥的加密，保证web站点间的交换信息传输的安全性。

4.安全交易技术协议（stt）。stt将认证与解密在浏览器中分离开，以提高安全控制能力。

5.un/edifact标准。un/edifact报文是唯一的国际通用的电子商务标准。

6.《电子交换贸易数据统一行为守则》（uncid）。uncid由国际商会制定,该守则第六条、第七条、第九条分别就数据的保密性、完整性及贸易双方签订协议等问题做了规定。

四、电子商务中的信息安全对策 1.提高对网络信息安全重要性的认识。

2.加强网络安全管理。要建立一个具有高度权威的信息安全领导机构，有效统一、协调各部门的职能，研究未来趋势，制定宏观政策，实施重大决定。

3.加快网络安全专业人才的培养。要注重

加强与国外的经验技术交流，及时掌握国际上最先进的安全防范手段和技术措施，确保在较高层次上处于主动。 4. 抓紧网络安全基础设施建设。需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。 5.把好网络建设立项关。在立项时更应注重对网络的可靠性、安全性评估，力争将安全隐患杜绝于立项、决策阶段。 6.建立网络风险防范机制。网络经营者可以在保险标的范围内允许标保的财产进行标保，并在出险后进行理赔。 7.强化网络技术创新。需要以我为主,统一组织进行信息安全关键技术攻关,以创新的思想,构筑具有中国特色的信息安全体系。 8.注重网络建设的规范化。在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。 9.建设网络安全研究基地。应该把我国现有的从事信息安全研究、应用的人才很好地组织起来，为他们创造更优良的工作学习环境，调动他们在信息安全创新中的积极性。 10.促进网络安全产业的发展。扶持具有中国特色的信息安全产业的发展是振兴民族信息产业的一个切入点，也是维护网络安全的必要对策。为了加速发展我国的信息安全产业，需要尽快解决资金投入、对外合作、产品开发、安全评测、销售管理、采购政策、利益分配等方面存在的问题。

五、结束语本文分析了目前电子商务的信息安全问题，使用的安全技术，并指出了与电子商务安全有关的协议以及信息安全对策，但必须强调说明的是，电子商务的安全运行，仅从技术角度防