淺談電子商務(wù)信息安全

電子商務(wù)信息安全電子商務(wù)的發(fā)展制約電子商務(wù)發(fā)展的一大重要因素——信息安全電子商務(wù)中的信息安全技術(shù)及安全防范措施電子商務(wù)系統(tǒng)安全及認(rèn)證體系結(jié)束語電子商務(wù)的發(fā)展淘寶簡介：淘寶網(wǎng)成立于2003年5月10日，由阿里巴巴集團(tuán)投資創(chuàng)辦。經(jīng)過6年的發(fā)展，截至2009年底，淘寶擁有注冊會(huì)員1.7億；2009年全年交易額達(dá)到2083億人民幣，是亞洲最大的網(wǎng)絡(luò)零售商圈。國內(nèi)著名互聯(lián)網(wǎng)分析機(jī)構(gòu)艾瑞咨詢調(diào)查顯示，淘寶網(wǎng)占據(jù)國內(nèi)電子商務(wù)80%以上的市場份額事實(shí)上，淘寶只是電子商務(wù)的一個(gè)縮影。電子商務(wù)可應(yīng)用于小到家庭理財(cái)、個(gè)人購物，大至企業(yè)經(jīng)營、國際貿(mào)易等諸方面。具體地說，其內(nèi)容大致可以分為三個(gè)方面：企業(yè)間的商務(wù)活動(dòng)、企業(yè)內(nèi)的業(yè)務(wù)運(yùn)作以及個(gè)人網(wǎng)上服務(wù)。制約電子商務(wù)發(fā)展的一些因素物流建設(shè)信用體系支付體系人文道德因素社會(huì)法制（稅法）電子商務(wù)的安全要求信息傳輸?shù)谋Ｃ苄越灰孜募耐暾孕畔⒌牟豢煞裾J(rèn)性交易者身份的真實(shí)性電子商務(wù)信息的特征開放性多源性完整性保密性可區(qū)分性電子商務(wù)信息安全隱患存儲(chǔ)安全隱患流動(dòng)安全隱患交易雙方的信息安全隱患信息存儲(chǔ)安全隱患內(nèi)部隱患。主要是企業(yè)Interanet的用戶故意或無意地非授權(quán)調(diào)用電子商務(wù)信息或未經(jīng)許可隨意增加、刪除、修改電子商務(wù)信息。外部隱患。主要是因?yàn)檐浖渲玫牟划?dāng),造成外部人員私自闖人企業(yè)Interanet,并對電子商務(wù)信息故意或無意地非授權(quán)調(diào)用或增加、刪除、修改。其隱患的主要來源有:競爭對手的惡意闖入、信息間諜的非法闖入、閑游用戶的好奇闖人及黑客的騷擾闖入。流動(dòng)安全隱患竊取商業(yè)機(jī)密攻擊商務(wù)網(wǎng)站實(shí)施商務(wù)詐騙侵犯他人權(quán)利傳播不良信息否認(rèn)發(fā)出信息交易雙方的信息安全隱患

商家的信息安全隱患

主要有:①不法之徒假冒合法用戶名義改變商務(wù)信息內(nèi)容,致使電子商務(wù)活動(dòng)中斷,造成商家名譽(yù)和用戶利益等方面的受損;②惡意競爭者冒名訂購商品或侵入網(wǎng)絡(luò)內(nèi)不以獲取營銷信息和客戶信息;③信息間諜通過技術(shù)手段竊取商業(yè)秘密;④大量虛假訂單的生成擠占了信息系統(tǒng)資源,無法從事正常的業(yè)務(wù)運(yùn)營。用戶的信息安全隱患主要有:①用戶身份證明信息被攔截竊用,以致被要求付帳或返還商品;②域名信息被監(jiān)聽和擴(kuò)散,被迫接收許多無用信息甚至個(gè)人隱私被泄露。③發(fā)送的商務(wù)信息不完整或被篡改,用戶無法收到商品;④受虛假廣告信息誤導(dǎo)購買假冒偽劣商品或被騙錢財(cái);⑤遭受黑客暗算計(jì)算機(jī)設(shè)備被毀、信息丟失。網(wǎng)絡(luò)攻擊的常用方法違反授權(quán)原則通信監(jiān)聽通信竄擾中斷拒絕服務(wù)電子郵件轟炸病毒技術(shù)在Internet上進(jìn)行欺騙的模式采用假的服務(wù)器來欺騙用戶的終端；采用假的用戶來欺騙服務(wù)器；在信息的傳輸過程中截取信息；在Web服務(wù)器及Web用戶之間進(jìn)行雙方欺騙電子商務(wù)中的信息安全技術(shù)電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,包括密碼、鑒別、訪問控制、信息流控制、數(shù)據(jù)保護(hù)、軟件保護(hù)、病毒檢測及清除、內(nèi)容分類識別和過濾、網(wǎng)絡(luò)隱患掃描、系統(tǒng)安全監(jiān)測報(bào)警與審計(jì)等技術(shù)防火墻技術(shù)加密技術(shù)數(shù)字簽名技術(shù)數(shù)字時(shí)間戳技術(shù)常用安全技術(shù)介紹防火墻技術(shù)。防火墻主要是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)。加密技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù),當(dāng)需要時(shí)可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)。數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。數(shù)字時(shí)間戳技術(shù)。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，包括需加時(shí)間戳的文件的摘要、DTS收到文件的日期與時(shí)間和DIS數(shù)字簽名，用戶首先將需要加時(shí)間的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時(shí)間信息后再對該文件加密,然后送回用戶。電子商務(wù)安全防范措施網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法、安全的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)防火墻、完善的安全管理制度、硬件的加密和物理保護(hù)、安全監(jiān)聽系統(tǒng)和防病毒軟件等領(lǐng)域來進(jìn)行考慮和完善。防火墻技術(shù)用過Internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時(shí)又要面對Internet帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn):即客戶、推銷商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問;以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此,企業(yè)必須加筑安全的“壕溝”,而這個(gè)“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身必須能夠免于滲透。vpn技術(shù)虛擬專用網(wǎng)簡稱VPN,指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng),依靠IPS或NSP在安全隧道、用戶認(rèn)證和訪問控制等相關(guān)技術(shù)的控制下達(dá)到與專用網(wǎng)絡(luò)類同的安全性能,從而實(shí)現(xiàn)基于Internet安全傳輸重要信息的效應(yīng)。目前VPN主要采用四項(xiàng)技術(shù)來保證安全,這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。數(shù)字簽名技術(shù)為了保證數(shù)據(jù)和交易的安全、防止欺騙,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)必須采用加密技術(shù)。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來確定用戶是否是真實(shí)的。數(shù)字簽名就是通過一個(gè)單向哈希函數(shù)對要傳送的報(bào)文進(jìn)行處理而得到的用以認(rèn)證報(bào)文是否發(fā)生改變的一個(gè)字母數(shù)字串。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者,接收者用發(fā)送者的公鑰解開數(shù)據(jù)后,就可確認(rèn)消息來自于誰,同時(shí)也是對發(fā)送者發(fā)送的信息真實(shí)性的一個(gè)證明,發(fā)送者對所發(fā)信息不可抵賴,從而實(shí)現(xiàn)信息的有效性和不可否認(rèn)性。電子商務(wù)系統(tǒng)安全及認(rèn)證體系保證信息安全是開展電子商務(wù)的前提電子商務(wù)系統(tǒng)硬件安全——目前的技術(shù)水平可以解決電子商務(wù)系統(tǒng)軟件安全——是關(guān)鍵電子商務(wù)系統(tǒng)運(yùn)行安全——規(guī)范性電子商務(wù)安全立法——尚待完善認(rèn)證技術(shù)(CA)

由于電子商務(wù)是在網(wǎng)絡(luò)中完成，交易雙方互相之間不見面，為了保證每個(gè)人及機(jī)構(gòu)（如銀行、商家）都能唯一而且被無誤地識別，這就需要進(jìn)行身份認(rèn)證。

認(rèn)證中心（CA）