電子商務網(wǎng)絡信息安全問題

1、精選優(yōu)質(zhì)文檔-傾情為你奉上電子商務網(wǎng)絡信息安全問題【摘要】構(gòu)筑安全電子商務信息環(huán)境是網(wǎng)絡時代發(fā)展到一定階段的“瓶頸”性課題。本文側(cè)重討論了其中的信息安全技術(shù)、數(shù)字認證、信息安全協(xié)議、信息安全對策等核心問題。【關(guān)鍵詞】 信息安全 信息安全技術(shù) 數(shù)字認證 信息安全協(xié)議 信息安全對策 通俗的說，所謂電子商務，就是在網(wǎng)上開展商務活動當企業(yè)將它的主要業(yè)務通過企業(yè)內(nèi)部網(wǎng)（Intranet）、外部網(wǎng)（Extranet）以及Internet與企業(yè)的職員、客戶供銷商以及合作伙伴直接相連時，其中發(fā)生的各種活動就是電子商務。電子商務是基于Internet/Intranet或局域網(wǎng)、廣域網(wǎng)、包括了從銷售、市場到商業(yè)信

2、息管理的全過程。通過為一大群顧客和供應商提供一個通用通訊環(huán)境的方法可以發(fā)揮電子商務的獨一無二的潛力。今天，網(wǎng)上有數(shù)以千計的面向消費者和面向交易的商務站點，并且這個數(shù)目正在快速增長。電子商務正成為世界新熱點,但其安全性也隨著信息化的深入也隨之要求愈高了。 一 、電子商務中的信息安全技術(shù) 電子商務的信息安全在很大程度上依賴于技術(shù)的完善，這些技術(shù)包括：密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護技術(shù)、軟件保護技術(shù)、病毒檢測及清除技術(shù)、內(nèi)容分類識別和過濾技術(shù)、網(wǎng)絡隱患掃描技術(shù)、系統(tǒng)安全監(jiān)測報警與審計技術(shù)等。 1、防火墻技術(shù)。防火墻（Firewall）是近年來發(fā)展的最重要的安全技術(shù)，它的主

3、要功能是加強網(wǎng)絡之間的訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡（被保護網(wǎng)絡）。所以它是網(wǎng)際哨兵。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進行檢查，來決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。簡單防火墻技術(shù)可以在路由器上實現(xiàn)，而專用防火墻提供更加可靠的網(wǎng)絡安全控制方法。 防火墻的安全策略有兩條。一是“凡是未被準許的就是禁止的”。防火墻先是封閉所有信息流，然后審查要求通過的信息，符合條件的就讓通過；二是“凡是未被禁止的就是允許的”，防火墻先是轉(zhuǎn)發(fā)所有的信息，然后再逐項剔除有害的內(nèi)容，被禁止的內(nèi)容越多，防火墻的作用就越大。網(wǎng)絡是動態(tài)發(fā)展的，安全策

4、略的制定不應建立在靜態(tài)的基礎之上。在制定防火墻安全規(guī)則時，應符合“可適應性的安全管理”模型的原則，即：安全=風險分析+執(zhí)行策略+系統(tǒng)實施+漏洞監(jiān)測+實時響應。 防火墻技術(shù)的不足有三。一是防火墻不能防止繞過防火墻的攻擊；二是防火墻經(jīng)不起人為因素的攻擊。由于防火墻對網(wǎng)絡安全實施單點控制，因此可能受到黑客的攻擊；三是防火墻不能保證數(shù)據(jù)的秘密性，不能對數(shù)據(jù)進行鑒別，也不能保證網(wǎng)絡不受病毒的攻擊。 2、加密技術(shù)。數(shù)據(jù)加密被認為是最可靠的安全保障形式，它可以從根本上滿足信息完整性的要求，是一種主動安全防范策略。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)。通過使用不同的密鑰，可用

5、同一加密算法，將同一明文加密成不同的密文。當需要時可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)，稱為解密。 密鑰加密技術(shù)分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術(shù)是在加密與解密過程中使用相同的密鑰加以控制，它的保密度主要取決于對密鑰的保密。它的特點是數(shù)字運算量小，加密速度快，弱點是密鑰管理困難，一旦密鑰泄露，將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制，加密密鑰是公開的，解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數(shù)學函數(shù)單向陷門函數(shù)，即從一個方向求值是容易的，但其逆向計算卻很

6、困難，從而在實際上成為不可能。 除了密鑰加密技術(shù)外，還有數(shù)據(jù)加密技術(shù)。一是鏈路加密技術(shù)。鏈路加密是對通信線路加密；二是節(jié)點加密技術(shù)。節(jié)點加密是指對存儲在節(jié)點內(nèi)的文件和數(shù)據(jù)庫信息進行的加密保護。 3、數(shù)字簽名技術(shù)。數(shù)字簽名（DigitalSignature）技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統(tǒng)中，數(shù)字簽名技術(shù)有著特別重要的地位，在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數(shù)字簽名技術(shù)。 在書面文件上簽名是確認文件的一種手段，其作用有兩點，一是因為自己的簽名難以否認，從而確認文件已簽署這一事

7、實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數(shù)字簽名與書面簽名有相同相通之處，也能確認兩點，一是信息是由簽名者發(fā)送的，二是信息自簽發(fā)后到收到為止未曾做過任何修改。這樣，數(shù)字簽名就可用來防止：電子信息因易于修改而有人作偽；冒用別人名義發(fā)送信息；發(fā)出（收到）信件后又加以否認。 4、數(shù)字時間戳技術(shù)。在電子商務交易的文件中，時間是十分重要的信息，是證明文件有效性的主要內(nèi)容。在簽名時加上一個時間標記，即有數(shù)字時間戳（DigitaTimestamp）的數(shù)字簽名方案：驗證簽名的人或以確認簽名是來自該小組，卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性，其他任何人除了得到該指定人或簽名者

8、本人的幫助，否則不能驗證簽名。 二、數(shù)字認證及數(shù)字認證授權(quán)機構(gòu) 1、數(shù)字證書。數(shù)字證書也叫數(shù)字憑證、數(shù)字標識，它含有證書持有者的有關(guān)信息，以標識他的身份。數(shù)字證書克服了密碼在安全性和方便性方面的局限性，可以控制哪些數(shù)據(jù)庫能夠被查看，因此提高了總體的保密性。 2、電子商務數(shù)字認證授權(quán)機構(gòu)。電子商務交易需要電子商務證書，而電子商務認證中心（CA）就承擔著網(wǎng)上安全電子交易認證服務、簽發(fā)數(shù)字證書并確認用戶身份的功能。三.電子商務信息安全協(xié)議 1、安全套接層協(xié)議。安全套接層協(xié)議（SecureSocketsLayer，SSL）是由NetscapeCommunication公司1994年設計開發(fā)的，主要用于

9、提高應用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的整個概念可以被總結(jié)為：一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶/服務器應用程序提供了客戶端與服務的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。 2、安全電子交易公告。安全電子交易公告（SET：SecureElectronicTransactions）是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證。SET已成為全球網(wǎng)絡的工業(yè)標準。 3、安全超文本傳輸協(xié)議（S-HTTP）。依靠密鑰的加密，保證Web站點間的交換信息傳輸?shù)陌踩?/p>

10、性。SHTTP對HT-TP的安全性進行了擴充，增加了報文的安全性，是基于SSL技術(shù)的。該協(xié)議向互聯(lián)網(wǎng)的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。 4、安全交易技術(shù)協(xié)議（STT）。STT將認證與解密在瀏覽器中分離開，以提高安全控制能力。 5、UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。在ISO發(fā)布的IS09735（即UN/EDI-FACT語法規(guī)則）新版本中，包括描述UN/EDIFACT中實施安全措施的五個新部分，即：第五部分批式電子商務（可靠性、完整性和不可抵賴性）的安全規(guī)則；第六部分安全鑒別與確認報文（AUTACK）；第七部分批式電子商務（機

11、密性）的安全規(guī)則；第九部分安全密鑰和證書管理報告（KEYMAN）；第十部分交互式電子商務的安全規(guī)則。 6、電子交換貿(mào)易數(shù)據(jù)統(tǒng)一行為守則（UNCID）。UNCID由國際商會制定，該守則第六條、第七條、第九條分別就數(shù)據(jù)的保密性、完整性及貿(mào)易雙方簽訂協(xié)議等問題做了規(guī)定。四、電子商務中的信息安全對策 1、提高對網(wǎng)絡信息安全重要性的認識。信息技術(shù)的發(fā)展，使網(wǎng)絡逐漸滲透到社會的各個領(lǐng)域，在未來的軍事和經(jīng)濟競爭與對抗中，因網(wǎng)絡的崩潰而促成全部或局部的失敗，決非不可能。我們在思想上要把信息資源共享與信息安全防護有機統(tǒng)一起來，樹立維護信息安全就是保生存、促發(fā)展的觀念。我國公民中的大多數(shù)人還是“機盲”、“網(wǎng)盲”，

12、另有許多人僅知道一些關(guān)于網(wǎng)絡的膚淺知識，或僅會進行簡單的計算機操作，對網(wǎng)絡安全沒有深刻認識。應該以有效方式、途徑在全社會普及網(wǎng)絡安全知識，提高公民的網(wǎng)絡安全意識與自覺性，學會維護網(wǎng)絡安全的基本技能。 2、加強網(wǎng)絡安全管理。我國網(wǎng)絡安全管理除現(xiàn)有的部門分工外，要建立一個具有高度權(quán)威的信息安全領(lǐng)導機構(gòu)。只有在中央建立起這樣一個組織，才能有效地統(tǒng)一、協(xié)調(diào)各部門的職能，研究未來趨勢，制定宏觀政策，實施重大決定。對于計算機網(wǎng)絡使用單位，要嚴格執(zhí)行中華人民共和國計算機信息系統(tǒng)安全保護條例與計算機信息網(wǎng)絡安全保護管理辦法，建立本單位、本部門、本系統(tǒng)的組織領(lǐng)導管理機構(gòu)，明確領(lǐng)導及工作人員責任，制定管理崗位責任

13、制及有關(guān)措施，嚴格內(nèi)部安全管理機制。具體的安全措施如：把好用戶入網(wǎng)關(guān)、嚴格設置目錄和文件訪問的權(quán)限，建立對應的屬性措施，采用控制臺加密封鎖，使文件服務器安全可靠；用先進的材料技術(shù)，如低阻材料或梯性材料將隔離設備屏蔽起來，降低或杜絕重要信息的泄露，防止病毒信息的入侵；運用現(xiàn)代密碼技術(shù)，對數(shù)據(jù)庫與重要信息加密；采用防火墻技術(shù)，在內(nèi)部網(wǎng)和外部網(wǎng)的界面上構(gòu)造保護層。 3、加快網(wǎng)絡安全專業(yè)人才的培養(yǎng)。我國需要大批信息安全人才來適應新的網(wǎng)絡安全保護形勢。高素質(zhì)的人才只有在高水平的研究教育環(huán)境中迅速成長，只有在高素質(zhì)的隊伍保障中不斷提高。應該加大對有良好基礎的科研教育基地的支持和投入，多出人才，多出成果。在

14、人才培養(yǎng)中，要注重加強與國外的經(jīng)驗技術(shù)交流，及時掌握國際上最先進的安全防范手段和技術(shù)措施，確保在較高層次上處于主動。要加強對內(nèi)部人員的網(wǎng)絡安全培訓，防止堡壘從內(nèi)部攻破。 4、開展網(wǎng)絡安全立法和執(zhí)法。一是要加快立法進程，健全法律體系。自1973年世界上第一部保護計算機安全法問世以來，各國與有關(guān)國際組織相繼制定了一系列的網(wǎng)絡安全法規(guī)。我國政府也十分重視網(wǎng)絡安全立法問題，1996年成立的國務院信息化工作領(lǐng)導小組曾設立政策法規(guī)組、安全工作專家組，并和國家保密局、安全部、公安部等職能部門進一步加強了信息安全法制建設的組織領(lǐng)導與分工協(xié)調(diào)。我國已經(jīng)頒布的網(wǎng)絡法規(guī)如：計算機軟件保護條例、中華人民共和國計算機信

15、息系統(tǒng)安全保護條例、中華人民共和國信息網(wǎng)絡國際聯(lián)網(wǎng)安全管理暫行規(guī)定、計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理辦法、計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定等。1997年10月1日起生效的新刑法增加了專門針對信息系統(tǒng)安全的計算機犯罪的規(guī)定：違犯國家規(guī)定，侵入國家事務、國防建設、尖端科學領(lǐng)域的計算機系統(tǒng)，處三年以下有期徒刑或拘役；違犯國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機系統(tǒng)不能正常運行，后果嚴重的處五年以下有期徒刑，后果特別嚴重的處五年以上有期徒刑；違犯國家規(guī)定，對計算機信息系統(tǒng)存儲、處理或者傳輸?shù)臄?shù)據(jù)與應用程序進行刪除、修改、增加操作，后果嚴重的應負刑事責任。這些法規(guī)對維護網(wǎng)絡安全發(fā)

16、揮了重要作用，但不健全之處還有許多。一是應該結(jié)合我國實際，吸取和借鑒國外網(wǎng)絡信息安全立法的先進經(jīng)驗，對現(xiàn)行法律體系進行修改與補充，使法律體系更加科學和完善；二是要執(zhí)法必嚴，違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機關(guān)辦案的制度，提高執(zhí)法的效率和質(zhì)量。 5、抓緊網(wǎng)絡安全基礎設施建設。一個網(wǎng)絡信息系統(tǒng)，不管其設置有多少道防火墻，加了多少級保護或密碼，只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產(chǎn)的，就沒有安全可言；這正是我國網(wǎng)絡信息安全的致命弱點。國民經(jīng)濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現(xiàn)。為此，需要建立中國的公開密鑰基礎設施、信息安全產(chǎn)品

17、檢測評估基礎設施、應急響應處理基礎設施等。 6、把好網(wǎng)絡建設立項關(guān)。我國網(wǎng)絡建設立項時的安全評估工作沒有得到應有重視，這給出現(xiàn)網(wǎng)絡安全問題埋下了伏筆。在對網(wǎng)絡的開放性、適應性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關(guān)的同時，在立項時更應注重對網(wǎng)絡的可靠性、安全性評估，力爭將安全隱患杜絕于立項、決策階段。 7、建立網(wǎng)絡風險防范機制。在網(wǎng)絡建設與經(jīng)營中，因為安全技術(shù)滯后、道德規(guī)范蒼白、法律疲軟等原因，往往會使網(wǎng)絡經(jīng)營陷于困境，這就必須建立網(wǎng)絡風險防范機制。為網(wǎng)絡安全而產(chǎn)生的防止和規(guī)避風險的方法有多種，但總的來講不外乎危險產(chǎn)生前的預防、危險發(fā)生中的抑制和危險發(fā)生后的補救。有學者建議，網(wǎng)絡經(jīng)

18、營者可以在保險標的范圍內(nèi)允許標保的財產(chǎn)進行標保，并在出險后進行理賠。 8、強化網(wǎng)絡技術(shù)創(chuàng)新。如果在基礎硬件、芯片方面不能自主，將嚴重影響我們對信息安全的監(jiān)控。為了建立起我國自主的信息安全技術(shù)體系，利用好國內(nèi)外兩個資源，需要以我為主，統(tǒng)一組織進行信息安全關(guān)鍵技術(shù)攻關(guān)，以創(chuàng)新的思想，超越固有的約束，構(gòu)筑具有中國特色的信息安全體系。特別要重點研究關(guān)鍵芯片與內(nèi)核編程技術(shù)和安全基礎理論。 9、注重網(wǎng)絡建設的規(guī)范化。沒有統(tǒng)一的技術(shù)規(guī)范，局部性的網(wǎng)絡就不能互連、互通、互動，沒有技術(shù)規(guī)范也難以形成網(wǎng)絡安全產(chǎn)業(yè)規(guī)模。目前，國際上出現(xiàn)許多關(guān)于網(wǎng)絡安全的技術(shù)規(guī)范、技術(shù)標準，目的就是要在統(tǒng)一的網(wǎng)絡環(huán)境中保證信息的絕對安全。我們應從這種趨勢中得到啟示，在同國際接軌的同時，拿出既符合國情又順應國際潮流的技術(shù)規(guī)范。 10、建設網(wǎng)絡安全研究基地。應該把我國現(xiàn)有的從事信息安全研究、應用的人才很好地組織起來，為他們創(chuàng)造更優(yōu)良的工作學習環(huán)境，調(diào)動他們在信息安全創(chuàng)新中的積極性。一是要落實相關(guān)政策，在收入、福利、住房、職稱等方面采取優(yōu)惠政策；二是在他們的科研立項、科研經(jīng)費方面采取傾斜措施；三是創(chuàng)造有利于研究的硬環(huán)境，如儀器、設備等；四是提供學習交流的機會。11、促進網(wǎng)絡安全產(chǎn)業(yè)的發(fā)展。扶持具有中國特色的信息安