论电子商务中的信息安全问题

网上贸易的安全问题论文摘要：本文根据相关文献电子商务和电子采购，

从计算机系统安全问题、网络信息安全问题、身份冒充问题、交易双方抵赖问题、C2C、B2B商业模式等方面总结了存在的信息安全问题，并从电子商务和电子采购安全机制及安全关键技术等方面提出了若干解决方法。

关键词:C2C、B2B、电子采购、身份冒充、交易抵赖

引言

近年来随着互联网的普及，截止2011年，中国拥有网民数量已经超过5亿的大关，21世纪是信息化最发达的时代，电脑进入千家万户，相信我们对于电子商务并不是那么陌生，比如网上购物，网上交水电费、网上报名等其他的活动。我相信大家都有看到新闻，仅2012年11月11日一天淘宝网交易金额就高达一百七十多亿，当我看到这个数据时我们不禁的感叹中国的改革开放确实取得了令人惊叹的成绩。然而，我们也可能听到或者遇到过网络安全的问题，例如，一些网民在网上购物中，付款了却未收到商品。现如今，类似这样的问题已经数见不鲜，还有就是一些网民贪图小便宜，误信中奖彩票之类的虚假消息，以至于上当受骗的。当然，本篇论文中不仅仅从用户自身说起更重要的是从计算机本身的缺陷来阐述网络安全的问题。

一、网络安全的概念

网络安全从其本质上来讲就是网络上的信息安全。网络安全主要指网络系统的硬件软件及其系统中的数据受到保护

不因偶然的或者恶意的原因而遭受到破坏、更改、泄露系统连续可靠正常地运行。网络服务不中断。从广义来说凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安会的研究领域。网络安全应具有保密性、完整性、可用性、可控性、可审查性等五个方面的特征。网络安全是涉及到计算机科学、网络技术、通信技术、

密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。计算机系统的安全性问题可分为三大类，即：技术安全类、管理安全类和政策法律类。(1)技术安全是指计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护，当计算机系统受到无意或恶意的攻击时仍能保证系统正常运行，保证系统内的数据不增加、不丢失、不泄露。(2)管理安全技术安全之外的，诸如软硬件意外故障、场地的意外事故、管理不善导致的计算机设备和数据介质的物理破坏、丢失等安全问题，视为管理安全。(3)

政策法律类则指政府部门建立的有关计算机犯罪、数据安全

保密的法律道德准则和政策法规、法令。

二、网上贸易安全存在的问题

网上贸易安全面临来自多方面的信息安全威胁。影响网

上贸易安全的因素可能是网络系统本身存在的安全弱点而

系统在使用、管理过程中的失误和疏漏也加剧了问题的严重性。其中有人为的因素也有非人为的因素归结起来主要存

在以下问题由于Internet本身的开放性，使电子商务系统

面临着各种各样的安全威胁。目前，电子商务主要存在的安全隐患有以下几个方面。(1)身份冒充问题攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益。主要表现有：冒充他人身份；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户等。(2)网络信息安全问题主要表现在攻击者在网络的传输信道上，通过物理或逻辑的手段，进行信息截获、篡改、删除、插入。截获，攻击者可能通过分析网络物理线路传输时的各种特征，截获机密信息或有用信息，如消费者的账号、密码等。篡改，即改变信息流的次序，更改信息的内容；删除，即删除某个信息或信息的某些部分；插入，即在信息中插入一些信息，让接收方读不懂或接受错误的信息。(3)拒绝服务问题攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯，扰乱正常的资讯通道。包括：虚开网站和商店，给用户发电子邮件，收订货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应。(4)交易双方抵赖问题某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。如：发布者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条信息或内容；购

买者做了订货单不承认；商家卖出的商品质量差但不承认原有的交易。在网络世界里谁为交易双方的纠纷进行公证、仲裁。

(5)计算机系统安全问题计算机系统是进行电子商务的基本设

备，如果不注意安全问题，它一样会威胁到电子商务的信息安全。计算机设备本身存在物理损坏，数据丢失，信息泄露等问题。计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。同时，计算机系统存在工作人员管理的问题，如果职责不清，权限不明同样会影响计算机系统的安全。

三、电子商务安全机制

(1)加密和隐藏机制加密使信息改变，攻击者无法读懂信息

的内容从而保护信息；而隐藏则是将有用的信息隐藏在其他信息中，使攻击者无法发现，不仅实现了信息的保密，也保护了通信本身。(2)认证机制网络安全的基本机制，网络设备之间应互相

认证对方身份，以保证正确的操作权力赋予和数据的存取控制。网络也必须认证用户的身份，以保证正确的用户进行正确的操作并进行正确的审计。(3)审计机制审计是防止内部犯罪和事故后

调查取证的基础，通过对一些重要的事件进行记录，从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计信息应具有防止非法删除和修改的措施。(4)完整性保护机制用

于防止非法篡改，利用密码理论的完整性保护能够很好地对付非法篡改。完整性的另一用途是提供不可抵赖服务，当信息源的完整性可以被验证却无法模仿时，收到信息的一方可以认定信息的发送者，数字签名就可以提供这种手段。(5)权力控制和存取控

制机制主机系统必备的安全手段，系统根据正确的认证，赋予某用户适当的操作权力，使其不能进行越权的操作。该机制一般采用角色管理办法，针对系统需要定义各种角色，如经理、会计等，然后对他们赋予不同的执行权利.(6)业务填充机制在业务闲时

发送无用的随机数据，增加攻击者通过通信流量获得信息的困难。同时，也增加了密码通信的破译难度。发送的随机数据应具有良好模拟性能，能够以假乱真。