電子商務網絡信息安全問題

1、精選優(yōu)質文檔-傾情為你奉上電子商務網絡信息安全問題【摘要】構筑安全電子商務信息環(huán)境是網絡時代發(fā)展到一定階段的“瓶頸”性課題。本文側重討論了其中的信息安全技術、數字認證、信息安全協(xié)議、信息安全對策等核心問題。【關鍵詞】 信息安全 信息安全技術 數字認證 信息安全協(xié)議 信息安全對策 通俗的說，所謂電子商務，就是在網上開展商務活動當企業(yè)將它的主要業(yè)務通過企業(yè)內部網（Intranet）、外部網（Extranet）以及Internet與企業(yè)的職員、客戶供銷商以及合作伙伴直接相連時，其中發(fā)生的各種活動就是電子商務。電子商務是基于Internet/Intranet或局域網、廣域網、包括了從銷售、市場到商業(yè)信

2、息管理的全過程。通過為一大群顧客和供應商提供一個通用通訊環(huán)境的方法可以發(fā)揮電子商務的獨一無二的潛力。今天，網上有數以千計的面向消費者和面向交易的商務站點，并且這個數目正在快速增長。電子商務正成為世界新熱點,但其安全性也隨著信息化的深入也隨之要求愈高了。 一 、電子商務中的信息安全技術 電子商務的信息安全在很大程度上依賴于技術的完善，這些技術包括：密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、網絡隱患掃描技術、系統(tǒng)安全監(jiān)測報警與審計技術等。 1、防火墻技術。防火墻（Firewall）是近年來發(fā)展的最重要的安全技術，它的主

3、要功能是加強網絡之間的訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡（被保護網絡）。所以它是網際哨兵。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查，來決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。簡單防火墻技術可以在路由器上實現，而專用防火墻提供更加可靠的網絡安全控制方法。 防火墻的安全策略有兩條。一是“凡是未被準許的就是禁止的”。防火墻先是封閉所有信息流，然后審查要求通過的信息，符合條件的就讓通過；二是“凡是未被禁止的就是允許的”，防火墻先是轉發(fā)所有的信息，然后再逐項剔除有害的內容，被禁止的內容越多，防火墻的作用就越大。網絡是動態(tài)發(fā)展的，安全策

4、略的制定不應建立在靜態(tài)的基礎之上。在制定防火墻安全規(guī)則時，應符合“可適應性的安全管理”模型的原則，即：安全=風險分析+執(zhí)行策略+系統(tǒng)實施+漏洞監(jiān)測+實時響應。 防火墻技術的不足有三。一是防火墻不能防止繞過防火墻的攻擊；二是防火墻經不起人為因素的攻擊。由于防火墻對網絡安全實施單點控制，因此可能受到黑客的攻擊；三是防火墻不能保證數據的秘密性，不能對數據進行鑒別，也不能保證網絡不受病毒的攻擊。 2、加密技術。數據加密被認為是最可靠的安全保障形式，它可以從根本上滿足信息完整性的要求，是一種主動安全防范策略。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據。通過使用不同的密鑰，可用

5、同一加密算法，將同一明文加密成不同的密文。當需要時可使用密鑰將密文數據還原成明文數據，稱為解密。 密鑰加密技術分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術是在加密與解密過程中使用相同的密鑰加以控制，它的保密度主要取決于對密鑰的保密。它的特點是數字運算量小，加密速度快，弱點是密鑰管理困難，一旦密鑰泄露，將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制，加密密鑰是公開的，解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數學函數單向陷門函數，即從一個方向求值是容易的，但其逆向計算卻很

6、困難，從而在實際上成為不可能。 除了密鑰加密技術外，還有數據加密技術。一是鏈路加密技術。鏈路加密是對通信線路加密；二是節(jié)點加密技術。節(jié)點加密是指對存儲在節(jié)點內的文件和數據庫信息進行的加密保護。 3、數字簽名技術。數字簽名（DigitalSignature）技術是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統(tǒng)中，數字簽名技術有著特別重要的地位，在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。 在書面文件上簽名是確認文件的一種手段，其作用有兩點，一是因為自己的簽名難以否認，從而確認文件已簽署這一事

7、實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數字簽名與書面簽名有相同相通之處，也能確認兩點，一是信息是由簽名者發(fā)送的，二是信息自簽發(fā)后到收到為止未曾做過任何修改。這樣，數字簽名就可用來防止：電子信息因易于修改而有人作偽；冒用別人名義發(fā)送信息；發(fā)出（收到）信件后又加以否認。 4、數字時間戳技術。在電子商務交易的文件中，時間是十分重要的信息，是證明文件有效性的主要內容。在簽名時加上一個時間標記，即有數字時間戳（DigitaTimestamp）的數字簽名方案：驗證簽名的人或以確認簽名是來自該小組，卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性，其他任何人除了得到該指定人或簽名者

8、本人的幫助，否則不能驗證簽名。 二、數字認證及數字認證授權機構 1、數字證書。數字證書也叫數字憑證、數字標識，它含有證書持有者的有關信息，以標識他的身份。數字證書克服了密碼在安全性和方便性方面的局限性，可以控制哪些數據庫能夠被查看，因此提高了總體的保密性。 2、電子商務數字認證授權機構。電子商務交易需要電子商務證書，而電子商務認證中心（CA）就承擔著網上安全電子交易認證服務、簽發(fā)數字證書并確認用戶身份的功能。三.電子商務信息安全協(xié)議 1、安全套接層協(xié)議。安全套接層協(xié)議（SecureSocketsLayer，SSL）是由NetscapeCommunication公司1994年設計開發(fā)的，主要用于

9、提高應用程序之間的數據的安全系數。SSL協(xié)議的整個概念可以被總結為：一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶/服務器應用程序提供了客戶端與服務的鑒別、數據完整性及信息機密性等安全措施。 2、安全電子交易公告。安全電子交易公告（SET：SecureElectronicTransactions）是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證。SET已成為全球網絡的工業(yè)標準。 3、安全超文本傳輸協(xié)議（S-HTTP）。依靠密鑰的加密，保證Web站點間的交換信息傳輸的安全

10、性。SHTTP對HT-TP的安全性進行了擴充，增加了報文的安全性，是基于SSL技術的。該協(xié)議向互聯網的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。 4、安全交易技術協(xié)議（STT）。STT將認證與解密在瀏覽器中分離開，以提高安全控制能力。 5、UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。在ISO發(fā)布的IS09735（即UN/EDI-FACT語法規(guī)則）新版本中，包括描述UN/EDIFACT中實施安全措施的五個新部分，即：第五部分批式電子商務（可靠性、完整性和不可抵賴性）的安全規(guī)則；第六部分安全鑒別與確認報文（AUTACK）；第七部分批式電子商務（機

11、密性）的安全規(guī)則；第九部分安全密鑰和證書管理報告（KEYMAN）；第十部分交互式電子商務的安全規(guī)則。 6、電子交換貿易數據統(tǒng)一行為守則（UNCID）。UNCID由國際商會制定，該守則第六條、第七條、第九條分別就數據的保密性、完整性及貿易雙方簽訂協(xié)議等問題做了規(guī)定。四、電子商務中的信息安全對策 1、提高對網絡信息安全重要性的認識。信息技術的發(fā)展，使網絡逐漸滲透到社會的各個領域，在未來的軍事和經濟競爭與對抗中，因網絡的崩潰而促成全部或局部的失敗，決非不可能。我們在思想上要把信息資源共享與信息安全防護有機統(tǒng)一起來，樹立維護信息安全就是保生存、促發(fā)展的觀念。我國公民中的大多數人還是“機盲”、“網盲”，

12、另有許多人僅知道一些關于網絡的膚淺知識，或僅會進行簡單的計算機操作，對網絡安全沒有深刻認識。應該以有效方式、途徑在全社會普及網絡安全知識，提高公民的網絡安全意識與自覺性，學會維護網絡安全的基本技能。 2、加強網絡安全管理。我國網絡安全管理除現有的部門分工外，要建立一個具有高度權威的信息安全領導機構。只有在中央建立起這樣一個組織，才能有效地統(tǒng)一、協(xié)調各部門的職能，研究未來趨勢，制定宏觀政策，實施重大決定。對于計算機網絡使用單位，要嚴格執(zhí)行中華人民共和國計算機信息系統(tǒng)安全保護條例與計算機信息網絡安全保護管理辦法，建立本單位、本部門、本系統(tǒng)的組織領導管理機構，明確領導及工作人員責任，制定管理崗位責任

13、制及有關措施，嚴格內部安全管理機制。具體的安全措施如：把好用戶入網關、嚴格設置目錄和文件訪問的權限，建立對應的屬性措施，采用控制臺加密封鎖，使文件服務器安全可靠；用先進的材料技術，如低阻材料或梯性材料將隔離設備屏蔽起來，降低或杜絕重要信息的泄露，防止病毒信息的入侵；運用現代密碼技術，對數據庫與重要信息加密；采用防火墻技術，在內部網和外部網的界面上構造保護層。 3、加快網絡安全專業(yè)人才的培養(yǎng)。我國需要大批信息安全人才來適應新的網絡安全保護形勢。高素質的人才只有在高水平的研究教育環(huán)境中迅速成長，只有在高素質的隊伍保障中不斷提高。應該加大對有良好基礎的科研教育基地的支持和投入，多出人才，多出成果。在

14、人才培養(yǎng)中，要注重加強與國外的經驗技術交流，及時掌握國際上最先進的安全防范手段和技術措施，確保在較高層次上處于主動。要加強對內部人員的網絡安全培訓，防止堡壘從內部攻破。 4、開展網絡安全立法和執(zhí)法。一是要加快立法進程，健全法律體系。自1973年世界上第一部保護計算機安全法問世以來，各國與有關國際組織相繼制定了一系列的網絡安全法規(guī)。我國政府也十分重視網絡安全立法問題，1996年成立的國務院信息化工作領導小組曾設立政策法規(guī)組、安全工作專家組，并和國家保密局、安全部、公安部等職能部門進一步加強了信息安全法制建設的組織領導與分工協(xié)調。我國已經頒布的網絡法規(guī)如：計算機軟件保護條例、中華人民共和國計算機信

15、息系統(tǒng)安全保護條例、中華人民共和國信息網絡國際聯網安全管理暫行規(guī)定、計算機信息網絡國際聯網管理辦法、計算機信息系統(tǒng)國際聯網保密管理規(guī)定等。1997年10月1日起生效的新刑法增加了專門針對信息系統(tǒng)安全的計算機犯罪的規(guī)定：違犯國家規(guī)定，侵入國家事務、國防建設、尖端科學領域的計算機系統(tǒng)，處三年以下有期徒刑或拘役；違犯國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機系統(tǒng)不能正常運行，后果嚴重的處五年以下有期徒刑，后果特別嚴重的處五年以上有期徒刑；違犯國家規(guī)定，對計算機信息系統(tǒng)存儲、處理或者傳輸的數據與應用程序進行刪除、修改、增加操作，后果嚴重的應負刑事責任。這些法規(guī)對維護網絡安全發(fā)

16、揮了重要作用，但不健全之處還有許多。一是應該結合我國實際，吸取和借鑒國外網絡信息安全立法的先進經驗，對現行法律體系進行修改與補充，使法律體系更加科學和完善；二是要執(zhí)法必嚴，違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機關辦案的制度，提高執(zhí)法的效率和質量。 5、抓緊網絡安全基礎設施建設。一個網絡信息系統(tǒng)，不管其設置有多少道防火墻，加了多少級保護或密碼，只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產的，就沒有安全可言；這正是我國網絡信息安全的致命弱點。國民經濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現。為此，需要建立中國的公開密鑰基礎設施、信息安全產品

17、檢測評估基礎設施、應急響應處理基礎設施等。 6、把好網絡建設立項關。我國網絡建設立項時的安全評估工作沒有得到應有重視，這給出現網絡安全問題埋下了伏筆。在對網絡的開放性、適應性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關的同時，在立項時更應注重對網絡的可靠性、安全性評估，力爭將安全隱患杜絕于立項、決策階段。 7、建立網絡風險防范機制。在網絡建設與經營中，因為安全技術滯后、道德規(guī)范蒼白、法律疲軟等原因，往往會使網絡經營陷于困境，這就必須建立網絡風險防范機制。為網絡安全而產生的防止和規(guī)避風險的方法有多種，但總的來講不外乎危險產生前的預防、危險發(fā)生中的抑制和危險發(fā)生后的補救。有學者建議，網絡經

18、營者可以在保險標的范圍內允許標保的財產進行標保，并在出險后進行理賠。 8、強化網絡技術創(chuàng)新。如果在基礎硬件、芯片方面不能自主，將嚴重影響我們對信息安全的監(jiān)控。為了建立起我國自主的信息安全技術體系，利用好國內外兩個資源，需要以我為主，統(tǒng)一組織進行信息安全關鍵技術攻關，以創(chuàng)新的思想，超越固有的約束，構筑具有中國特色的信息安全體系。特別要重點研究關鍵芯片與內核編程技術和安全基礎理論。 9、注重網絡建設的規(guī)范化。沒有統(tǒng)一的技術規(guī)范，局部性的網絡就不能互連、互通、互動，沒有技術規(guī)范也難以形成網絡安全產業(yè)規(guī)模。目前，國際上出現許多關于網絡安全的技術規(guī)范、技術標準，目的就是要在統(tǒng)一的網絡環(huán)境中保證信息的絕對安全。我們應從這種趨勢中得到啟示，在同國際接軌的同時，拿出既符合國情又順應國際潮流的技術規(guī)范。 10、建設網絡安全研究基地。應該把我國現有的從事信息安全研究、應用的人才很好地組織起來，為他們創(chuàng)造更優(yōu)良的工作學習環(huán)境，調動他們在信息安全創(chuàng)新中的積極性。一是要落實相關政策，在收入、福利、住房、職稱等方面采取優(yōu)惠政策；二是在他們的科研立項、科研經費方面采取傾斜措施；三是創(chuàng)造有利于研究的硬環(huán)境，如儀器、設備等；四是提供學習交流的機會。11、促進網絡安全產業(yè)的發(fā)展。扶持具有中國特色的信息安