电子商务信息安全问题与对策研究

[摘要]文章主要从技术角度阐述了电子商务信息安全问题, 详细说明了电子商务信息存在的问题, 并提出了相应的

技术解决方案。

[关键词]电子商务信息安全数据加密网络安全

1、电子商务信息安全问题

由于Internet 本身的开放性, 使电子商务系统面临着各种

各样的安全威胁。目前电子商务主要存在的安全隐患有以下几

个方面:

1. 1 身份冒充问题

攻击者通过非法手段盗用合法用户的身份信息, 仿冒合法

用户的身份与他人进行交易, 进行信息欺诈与信息破坏, 从而获

得非法利益。主要表现有: 冒充他人身份; 冒充他人消费、栽赃;

冒充主机欺骗合法主机及合法用户等。

1. 2 网络信息安全问题

主要表现在攻击者在网络的传输信道上, 通过物理或逻辑

的手段, 进行信息截获、篡改、删除、插入。截获, 攻击者可能通过

分析网络物理线路传输时的各种特征, 截获机密信息或有用信

息, 如消费者的账号、密码等。篡改, 即改变信息流的次序, 更改

信息的内容; 删除, 即删除某个信息或信息的某些部分; 插入, 即

在信息中插入一些信息, 让收方读不懂或接受错误的信息。

1. 3 拒绝服务问题

攻击者使合法接入的信息、业务或其他资源受阻。主要表现

为散布虚假资讯, 扰乱正常的资讯通道。包括: 虚开网站和商店,

给用户发电子邮件, 收订货单; 伪造大量用户, 发电子邮件, 穷尽

商家资源, 使合法用户不能正常访问网络资源, 使有严格时间要

求的服务不能及时得到响应。

1. 4 交易双方抵赖问题

某些用户可能对自己发出的信息进行恶意的否认, 以推卸

自己应承担的责任. 如: 发布者事后否认曾经发送过某条信息或

内容; 收信者事后否认曾经收到过某条信息或内容; 购买者做了

订货单不承认; 商家卖出的商品质量差但不承认原有的交易。在

网络世界里谁为交易双方的纠纷进行公证、仲裁。

1. 5 计算机系统安全问题

计算机系统是进行电子商务的基本设备, 如果不注意安全

问题, 它一样会威胁到电子商务的信息安全。计算机设备本身存

在物理损坏, 数据丢失, 信息泄露等问题。计算机系统也经常会

遭受非法的入侵攻击以及计算机病毒的破坏。同时, 计算机系统

存在工作人员管理的问题, 如果职责不清, 权限不明同样会影响

计算机系统的安全。

2、电子商务安全机制

2. 1 加密和隐藏机制

加密使信息改变, 攻击者无法读懂信息的内容从而保护信

息; 而隐藏则是将有用的信息隐藏在其他信息中, 使攻击者无法

发现, 不仅实现了信息的保密, 也保护了通信本身。

2. 2 认证机制

网络安全的基本机制, 网络设备之间应互相认证对方身份,

以保证正确的操作权力赋予和数据的存取控制。网络也必须认

证用户的身份, 以保证正确的用户进行正确的操作并进行正确

的审计。

2. 3 审计机制

审计是防止内部犯罪和事故后调查取证的基础, 通过对一

些重要的事件进行记录, 从而在系统发现错误或受到攻击时能

定位错误和找到攻击成功的原因。审计信息应具有防止非法删

除和修改的措施。

2. 4 完整性保护机制

用于防止非法篡改, 利用密码理论的完整性保护能够很好

地对付非法篡改。完整性的另一用途是提供不可抵赖服务, 当信息源的完整性可以被验证却无法模仿时, 收到信息的一方可以

认定信息的发送者, 数字签名就可以提供这种手段。

2. 5 权力控制和存取控制机制

主机系统必备的安全手段, 系统根据正确的认证, 赋予某用

户适当的操作权力, 使其不能进行越权的操作。该机制一般采用角色管理办法, 针对系统需要定义各种角色, 如经理、会计等, 然后对他们赋予不同的执行权利。

2. 6 业务填充机制

在业务闲时发送无用的随机数据, 增加攻击者通过通信流

量获得信息的困难。同时, 也增加了密码通信的破译难度。发送的随机数据应具有良好模拟性能, 能够以假乱真。

3、电子商务安全关键技术

安全问题是电子商务的核心, 为了满足安全服务方面的要

求, 除了网络本身运行的安全外, 电子商务系统还必须利用各种

安全技术保证整个电子商务过程的安全与完整, 并实现交易的

防抵赖性等, 综合起来主要有以下几种技术。

3. 1 防火墙技术

现有的防火墙技术包括两大类: 数据包过滤和代理服务技

术。其中最简单和最常用的是包过滤防火墙, 它检查接受到的每个数据包的头, 以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤, 所以可以有效地避免对

其进行的有意或无意的攻击, 从而保证了专用私有网的安全。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题

的一种非常有效的策略。防火墙技术的局限性主要在于: ①防火墙技术只能防止经由防火墙的攻击, 不能防止网络内部用户对

于网络的攻击。②防火墙不能保证数据的秘密性, 也不能保证网络不受病毒的攻击, 它只能有效地保护企业内部网络不受主动

攻击和入侵。

3. 2 虚拟专网技术(V PN )

V PN 的实现过程使用了安全隧道技术、信息加密技术、用

户认证技术、访问控制技术等。V PN 具投资小、易管理、适应性

强等优点。V PN 可帮助远程用户、公司分支机构、商业伙伴及供

应商与公司的内部网之间建立可信的安全连接, 并保证数据的

安全传输, 以此达到在公共的Internet 上或企业局域网之间实

现完全的电子交易的目的。

3. 3 数据加密技术

加密技术是保证电子商务系统安全所采用的最基本的安全

措施, 它用于满足电子商务对保密性的需求。加密技术分为常规

密钥密码体系和公开密钥密码体系两大类。如果进行通信的交

易各方能够确保在密钥交换阶段未曾发生私有密钥泄露, 可通

过常规密钥密码体系的方法加密机密信息, 并随报文发送报文

摘要和报文散列值, 以保证报文的机密性和完整性。目前常用的

常规密钥密码体系的算法有: 数据加密标准DES、三重DES、国

际数据加密算法IDEA 等, 其中DES 使用最普遍, 被ISO 采用为

数据加密的标准。在公开密钥密码体系中, 加密密钥是公开信

息, 而解密密钥是需要保护的, 加密算法和解密算法也都是公开

的。典型的公开密钥密码体系有: 基于数论中大数分解的RSA体系、基于N P 完全理论的M erkel- Hellman 背包体系和基于编

码理论的M cEliece 体系。在以上两类加密体系中, 常规密钥密

码体系的特点是加密速度快、效率高, 被广泛用于大量数据的加

密, 但该方法的致命缺点是密钥的传输易被截获, 难以安全管理

大量的密钥, 因此大范围应用存在一定问题。而公开密钥密码体

系很好地解决了上述不足, 保密性能也优于常规密钥密码体系,

但公开密钥密码体系复杂, 加密速度不够理想。目前电子商务实

际运用中常将两者结合使用。

3. 4 安全认证技术

安全认证技术主要有: ①数字摘要技术, 可以验证通过网络

传输收到的明文是否被篡改, 从而保证数据的完整性和有效性。

②数字签名技术, 能够实现对原始报文的鉴别和不可否认性, 同

时还能阻止伪造签名。③数字时间戳技术, 用于提供电子文件发

表时间的安全保护。④数字凭证技术, 又称为数字证书, 负责用

电子手段来证实用户的身份和对网络资源访问的权限。⑤认证

中心, 负责审核用户的真实身份并对此提供证明, 而不介入具体

的认证过程, 从而缓解了可信第三方的系统瓶颈问题, 而且只须

管理每个用户的一个公开密钥, 大大降低了密钥管理的复杂性,

这些优点使得非对称密钥认证系统可用于用户众多的大规模网

络系统。⑥智能卡技术, 它不但提供读写数据和存储数据的能

力, 而且还具有对数据进行处理的能力, 可以实现对数据的加密

和解密, 能进行数字签名和验证数字签名, 其存储器部分具有外

部不可读特性。采用智能卡, 可使身份识别更有效、安全, 但它仅

仅为身份识别提供一个硬件基础, 如果要使身份认证更安全, 还

需要与安全协议的配合。

3. 5 电子商务安全协议

不同交易协议的复杂性、开销、安全性各不相同, 同时不同

的应用环境对协议目标的要求也不尽相同。目前比较成熟的协