電子商務(wù)信息安全問題研究

電子商務(wù)信息安全問題研究

1電子商務(wù)的發(fā)展現(xiàn)狀隨著計算機通信和網(wǎng)絡(luò)技術(shù)的發(fā)展，越來越多的公司開始實施電子商務(wù)。據(jù)統(tǒng)計，1998年全球電子商務(wù)交易額為1020億美元，2003年電子商務(wù)交易額達(dá)到1.3萬億美元,約占世界貿(mào)易總額的1/4，到2005年將達(dá)到2～3萬億美元。隨著電子商務(wù)的開展必定有大量的信息在網(wǎng)絡(luò)上傳遞，包括產(chǎn)品信息，資金流，客戶隱私等重要信息。這就要求網(wǎng)絡(luò)傳播的電子商務(wù)信息必需有高度的可靠性和絕對的保密性，因此，信息安全性是成功發(fā)展電子商務(wù)的一個關(guān)鍵性因素。2電子商務(wù)信息的安全2.1數(shù)據(jù)的機密性傳統(tǒng)的貿(mào)易大多是通過書信或者可靠的通信渠道來發(fā)送商業(yè)文檔，雖然速度和效率都不高，但卻能達(dá)到保密的目的，而電子商務(wù)是在開放的網(wǎng)絡(luò)環(huán)境下進(jìn)行的，保證電子商務(wù)信息的機密性就變得非常重要。2.2商業(yè)信息現(xiàn)狀電子商務(wù)極大地簡化了傳統(tǒng)貿(mào)易過程，減少了認(rèn)為的干預(yù)，同時也伴隨著貿(mào)易各方商業(yè)信息的完整、同一問題。由于數(shù)據(jù)錄入時合法或非法的行為，可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異。信息在傳輸?shù)倪^程中也有可能造成信息的丟失、重復(fù)或次序的差異。因此要預(yù)防對信息的各種非法操作，保證數(shù)據(jù)在傳送的過程中完整性。2.3虛擬平臺上的身份確認(rèn)網(wǎng)絡(luò)環(huán)境是一個虛擬的環(huán)境，而電子商務(wù)就是在這個虛擬平臺上進(jìn)行的，貿(mào)易雙方一般都不見面，需要一些技術(shù)和策略來進(jìn)行身份確認(rèn)。當(dāng)個人或?qū)嶓w聲稱身份時，電子商務(wù)服務(wù)需要提供一種方式來進(jìn)行身份認(rèn)證。2.4預(yù)防抵賴行為發(fā)生傳統(tǒng)的貿(mào)易雙方通過在合同、契約或單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，預(yù)防抵賴行為的發(fā)生。而電子商務(wù)實在虛擬的平臺上進(jìn)行的，如何防止貿(mào)易雙方的抵賴行為就變成了電子商務(wù)順利進(jìn)行的關(guān)鍵。2.5確認(rèn)信息的有效性在交易的過程中貿(mào)易雙方需要確定很多信息，電子商務(wù)以電子形式取代了紙張來確認(rèn)這些信息，保證謝謝信息的有效性是開展電子商務(wù)的前提。因此要對網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點是有效的。3公司電子商務(wù)中存在的信息安全問題由于Internet本身的開放性，使電子商務(wù)系統(tǒng)面臨著各種各樣的安全威脅。目前電子商務(wù)主要存在的安全隱患有以下幾個方面：(1)法用戶的身份與他人進(jìn)行交易獲得非法利益攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進(jìn)行交易，進(jìn)行信息欺詐與信息破壞，從而獲得非法利益。主要表現(xiàn)有：冒充他人身份；冒充他人消費、栽贓；冒充主機欺騙合法主機及合法用戶等。(2)攔截—網(wǎng)絡(luò)信息安全問題主要表現(xiàn)在攻擊者在網(wǎng)絡(luò)的傳輸信道上，通過物理或邏輯的手段，進(jìn)行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過分析網(wǎng)絡(luò)物理線路傳輸時的各種特征，截獲機密信息或有用信息，如消費者的賬號、密碼等。篡改，即改變信息流的次序，更改信息的內(nèi)容；刪除，即刪除某個信息或信息的某些部分；插入，即在信息中插入一些信息，讓收方讀不懂或接受錯誤的信息。(3)擾正常的消息通道攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。主要表現(xiàn)為散布虛假資訊，擾亂正常的資訊通道。包括：虛開網(wǎng)站和商店，給用戶發(fā)電子郵件，收訂貨單；偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格時間要求的服務(wù)不能及時得到響應(yīng)。(4)發(fā)布者事后肯定了某條信息或內(nèi)容某些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任.如：發(fā)布者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容；收信者事后否認(rèn)曾經(jīng)收到過某條信息或內(nèi)容；購買者做了訂貨單不承認(rèn)；商家賣出的商品質(zhì)量差但不承認(rèn)原有的交易。在網(wǎng)絡(luò)世界里誰為交易雙方的糾紛進(jìn)行公證、仲裁。(5)計算機設(shè)備信息安全計算機系統(tǒng)是進(jìn)行電子商務(wù)的基本設(shè)備，如果不注意安全問題，它一樣會威脅到電子商務(wù)的信息安全。計算機設(shè)備本身存在物理損壞，數(shù)據(jù)丟失，信息泄露等問題。計算機系統(tǒng)也經(jīng)常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時，計算機系統(tǒng)存在工作人員管理的問題，如果職責(zé)不清，權(quán)限不明同樣會影響計算機系統(tǒng)的安全。4公司的電子商務(wù)信息安全策略電子商務(wù)安全是信息安全的上層應(yīng)用，它包括的技術(shù)策略范圍比較廣，主要分為網(wǎng)絡(luò)安全策略、信息加密策略和計算機系統(tǒng)安全策略三大類。4.1網(wǎng)絡(luò)安全策略的實施4.1.1物理安全策略網(wǎng)絡(luò)安全首先要解決的問題就是確保網(wǎng)絡(luò)上信息的物理安全。信息的物理安全是信息在網(wǎng)絡(luò)介質(zhì)上傳播時的安全。物理安全是信息安全的最基本保障，是不可缺少和忽視的組成部分。物理安全策略的目的是保護計算機系統(tǒng)和通信鏈路免受自然災(zāi)害、人為破壞和攻擊。確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境。同時要制定完善的安全管理制度，防止非法進(jìn)入計算機控制室做各種偷竊、破壞活動。抑制和防止電磁泄漏，是物理安全策略的另一個主要問題。目前主要的防護措施有兩類：一類是對傳導(dǎo)發(fā)射的防護。另一類是對輻射的防護。4.1.2網(wǎng)絡(luò)安全技術(shù)。根據(jù)將內(nèi)盡管近年來各種網(wǎng)絡(luò)安全技術(shù)在不斷涌現(xiàn)，但防火墻仍是目前一種重要的網(wǎng)絡(luò)防護設(shè)備。防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，它可以是硬件，也可以是軟件，也可能是硬件和軟件的結(jié)合，位于兩個（或多個）網(wǎng)絡(luò)間，實施網(wǎng)絡(luò)之間訪問控制的一組組件集合。根據(jù)防火墻所配置的訪問控制策略進(jìn)行過濾或作出其它操作，防火墻系統(tǒng)不僅能夠保護網(wǎng)絡(luò)資源不受外部的侵入，而且還能夠攔截從被保護網(wǎng)絡(luò)向外傳送有價值的信息。防火墻系統(tǒng)可以用于內(nèi)部網(wǎng)絡(luò)與Internet之間的隔離，也可用于內(nèi)部網(wǎng)絡(luò)不同網(wǎng)段的隔離。目前的防火墻系統(tǒng)根據(jù)其實現(xiàn)的方式大致可分為兩種，即包過濾防火墻和應(yīng)用層網(wǎng)關(guān)。包過濾防火墻的主要功能是接收被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)包，根據(jù)防火墻的訪問控制策略對數(shù)據(jù)包進(jìn)行過濾，只準(zhǔn)許授權(quán)的數(shù)據(jù)包通行。應(yīng)用層網(wǎng)關(guān)位于TCP/IP協(xié)議的應(yīng)用層，實現(xiàn)對用戶身份的驗證，接收被保護網(wǎng)絡(luò)和外部之間的數(shù)據(jù)流并對之進(jìn)行檢查。在防火墻技術(shù)中，應(yīng)用層網(wǎng)關(guān)通常由代理服務(wù)器來實現(xiàn)。通過代理服務(wù)器訪問Internet網(wǎng)絡(luò)服務(wù)的內(nèi)部網(wǎng)絡(luò)用戶時，在訪問Internet之前首先應(yīng)登錄到代理服務(wù)器，代理服務(wù)器對該用戶進(jìn)行身份驗證檢查，決定其是否允許訪問Internet。同樣，從Internet到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流也由代理服務(wù)器代為接收，在檢查之后再發(fā)送到相應(yīng)的用戶。4.1.3網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)安全掃描技術(shù)主要是指掃描系統(tǒng)中可能存在的漏洞，讓管理員技術(shù)發(fā)現(xiàn)并采取相應(yīng)的措施，從而降低系統(tǒng)的不安全性的一種技術(shù)。當(dāng)今，基于Internet的各種各樣的服務(wù)越來越多，安全隱患也隨之增多，系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全漏洞掃描變得非常必要。系統(tǒng)管理員可以了解在運行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全的網(wǎng)絡(luò)服務(wù)，在操作系統(tǒng)上的可能存在危險的緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞。網(wǎng)絡(luò)安全掃描技術(shù)主要有三種：一是網(wǎng)絡(luò)遠(yuǎn)程安全掃描；二是防火墻系統(tǒng)掃描；三是Web網(wǎng)站掃描。4.2數(shù)字簽名、身份認(rèn)證的技術(shù)增強加密技術(shù)是電子商務(wù)的最基本措施，最初主要用與保證數(shù)據(jù)在存儲和傳輸過程中的保密性。隨著電子商務(wù)的發(fā)展，對數(shù)據(jù)完整性以及身份鑒定技術(shù)提出了新的要求，數(shù)字簽名、身份認(rèn)證就是為了適應(yīng)這種需要在密碼學(xué)中派生出來的新技術(shù)和新應(yīng)用。加密技術(shù)是一種主動的信息安全防范策略，利用一定的加密算法，將明文轉(zhuǎn)換成毫無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。比較廣泛使用的加密技術(shù)有兩種：一是對稱密鑰加密體制，二是非對稱密鑰加密體制。它們的區(qū)別在于密鑰的類型不同。4.2.1密鑰管理分析對稱密鑰加密，又稱私鑰加密，即數(shù)據(jù)加密和解密采用的都是同一個密鑰，因而其安全性依賴于所持有密鑰的安全性，其最大的優(yōu)點就是速度快，適合于對大數(shù)據(jù)量進(jìn)行加密，但其最大的缺點是在大量用戶的情況下密鑰管理復(fù)雜，而且無法完成身份認(rèn)證等功能，不便于應(yīng)用在網(wǎng)絡(luò)開放的環(huán)境中。4.2.2公開密鑰與私用密鑰非對稱密鑰加密體制，又稱公鑰密鑰加密，數(shù)據(jù)加密和解密采用不同的密鑰，需要使用一對密鑰來分別完成加密和解密操作。在非對稱密鑰加密體制中密鑰被分解為一對。這對鑰中的任何一把都可作為公開密鑰，加密密鑰，通過非保密方式向他人公開。而另一把則作為私用密鑰加以保存。私用密鑰只能由數(shù)據(jù)的接受者掌握。利用公鑰體系可以方便地實現(xiàn)對用戶的身份認(rèn)證，也即用戶在信息傳輸前首先用所持有的私鑰對傳輸?shù)男畔⑦M(jìn)行加密，信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進(jìn)行解密，如果能夠解開，說明信息確實為該用戶所發(fā)送，這樣就方便地實現(xiàn)了對信息發(fā)送方身份的鑒別和認(rèn)證。在實際應(yīng)用中通常將公鑰密碼體系和數(shù)字簽名算法結(jié)合使用，在保證數(shù)據(jù)傳輸完整性的同時完成對用戶的身份認(rèn)證。4.3加強用戶權(quán)限管理計算機系統(tǒng)的安全問題可能更多的是體現(xiàn)在管理上。目前相當(dāng)一部分的系統(tǒng)都為能通過物理接觸的用戶提供后門，以便用戶忘掉口令后還能進(jìn)入系統(tǒng)，故為了保證信息在計算機系統(tǒng)存儲的安全首先應(yīng)加強管理，避免未經(jīng)授權(quán)的人員物理接觸系統(tǒng)，以防系統(tǒng)被惡意損壞，移植病毒，打開后門等。同時對授權(quán)物理接觸系統(tǒng)的人員也應(yīng)該進(jìn)行嚴(yán)格的權(quán)限分配，通過權(quán)限分配來控制用戶對目錄、文件、設(shè)備的訪問，以確保電子商務(wù)信息的安全。對目錄和文件的訪問權(quán)限一般可分為：完全訪問權(quán)限（FulControl）、讀取權(quán)限（Read）、寫權(quán)限（Write）、創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）、修改權(quán)限（Modify）、執(zhí)行權(quán)限（Execute）。網(wǎng)絡(luò)管理員應(yīng)當(dāng)為所有的用戶指定適當(dāng)?shù)臋?quán)限，通過這些訪問權(quán)限控制用戶對服務(wù)器的訪問，同時做好計