电子商务信息安全及对策研究

作者：刘　琼

时间：2009-06-10

　3 、保障电子商务信息安全措施

　　3. 1 数据加密策略

　　加密技术是电子商务的最基本措施,最初主要用与保证数据在存储和传输过程中的保密性。随着电子商务的发展,对数据完整性以及身份鉴定技术提出了新的要求,数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。加密技术是一种主动的信息安全防范策略,利用一定的加密算法. 将明文转换成毫无意义的密文。阻止非法用户理解原始数据,从而确保数据的保密性。

　　比较广泛使用的加密技术有两种:一是对称密钥加密体制,一是非对称密钥加密体制。它们的区别在于密钥的类型不同。

　　3. 1. 1 对称密钥加密体制
　　
　　对称密钥加密,又称私钥加密(Secret Key Encryption) ,即数据加密和解密采用的都是同一个密钥,因而其安全性依赖于所持有密钥的安全性,其最大的优点就是速度快,适合于对大数据量进行加密,但其最大的缺点是在大量用户的情况下密钥答理复杂,而且无法完成身份认证等功能,不便于应用于网络开放的环境中。

　　3. 1. 2 非对称密钥加密体制

　　非对称密钥加密体制,又称公钥加密( Public Key Encryp2tion) ,数据加密和解密采用不同的密钥,需要使用一对密钥来分别完成加密和解密操作。在非对称密钥加密体制中密钥被分解为一对。这对钥中的在何一把都可作为公开密钥,加密密钥,通过非保密方式向他人公开。而另一把则作为私用密钥加以保存。私用密钥只能由数据的接受者掌握。

　　利用公钥体系可以方便地实现对用户的身份认证,也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密,信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解密,如果能够解开,说明信息确实为该用户所发送,这样就方便地实现了对信息发送方身份的鉴别和认证。

　　通常在实际应用中将公钥密码体系和数字签名算法结合使用. 在保证数据传输完整性的同时完成对用户的身份认证。

　　3. 2 防火墙技术

　　现有的防火墙技术包括两大类:数据包过滤和代理服务技术。其中,最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避兔对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于: (1) 防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击。(2) 防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。

　　3. 3 身份验证技术

　　3. 3. 1 认证系统

　　网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority ,通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA ,否则,一切网上的交易都没有安全保障。

　　3. 3. 2 SSL 协议

　　SSL 协议(Secure Socket , Layer ,安全套接层) 主要目的是解决TCP/ IP 协议不能确认用户身份的问题,在Socket 上使用非对称的加密技术,以保证网络通信服务的安全性。SSL 协议易于实现。SSL 协议还是最值得信赖的协议。但是由于SSL 协议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL 协议并不能协调各方的安全传输和信任关系。

　　3. 3. 3 SET 协议

　　SET (Secure Elect ronic Transaction) 安全电子交易协议是用于Internet 上的以信用卡为基础的电子支付系统协议。主要应用于B/ C 模式中保障支付信息的安全性。SET 协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。它的交易规范成为了未来电子商务发展的方向。

　　3. 4 保障电子商务信息安全的环境性措施

　　目前,基于Internet 的电子商务应用还不成熟,许多内外部环境还不够完善,相应的法律、法规,相关的标准还都没有建立,跨部门、跨地区的协调存在较大问题。

　　3. 4. 1 构造我国完善的电子商务体系

　　积极参与国际合作,融合国际电子商务框架,构造适合中国国情的电子商务体系。作为一个主权国家,为了维护国家的利益和经济安全,在电子商务相关技术方面注重自主知识产权技术的开发,不能全部依赖进口。因此,必须加大投资力度,重点支持电子商务技术的研发工作。

　　3. 4. 2 加强法律法规建设

　　针对利用信息高科技和信息系统等新型犯罪,政府部门应尽快组织力量,结合电子商务的客观需要,对现有的与电子商务相关的法律法规,利用法律与犯罪作斗争是人类历来的做法。如:《中华人民共和国刑法》、《全国人大常委会关于互联网安全的决定》、《合同法》、《著作权法》等进行修改。在这些法律中,可以适当增加对网络犯罪处罚的条款,增加对网络作品著作权保护的条款;对电子商务发展中急需解决的有关问题,如:在电子支付、税收管理,安全认证、网络与信息安全、知识产权保护、消费者权益保护等可由相关主管部门先制定部门规章,必要时,由国务院发布行政法规,再按程序上升为法律。
　　
　　3. 4. 3 加快网络基础设施建设,推动企业信息化进程加强相关领域应用基础对应的技术科学研究及应用研究是在信息领域及信息安全领域取得" 创新" 和" 可持续发展" 的直接动力。信息基础设施是电子商务发展的物质基础和载体。发展信息基础设施需要多种学科和人才的支持、政府和业界的共同努力,尤其是政府的大力投资和宏观调控。

　　3. 4. 4 加快银行、税务以及邮政等物流环节的信息化建设建立企业到企业(B to B) 、企业到客户(B to C) 的商务沟通,实现网上资金流动,解决目前有形商品交易环节中的流通困难。 [论文网 Www.LunWenData.Com]

　　【参考文献】

　　[ 1 ]刘红军等. 电子商务技术教程[M] . 北京. 机械工业出版社,2006. 1

　　[ 2 ]牛荣. 电子商务信息安全[J ] . 商场现代化,2008 ,1

　　[ 3 ] . 刘培德. 电子商务的安全要求及其保障措施[J ] . 山东经济,2005 ,5

　　[ 4 ]刘丽梅. 电子商务信息安全问题探讨[J ] . 物流科技,2007 ,3

　　[ 5 ]肖德琴. 电子商务安全保密技术与应用[M] . 华南理工大学出版社,2003. 9

　　[ 6 ]王越等. 信息系统与安全对抗理论[ M] . 北京. 北京理工大学出版社,2006. 1

　　[ 7 ] (德国) 阿莫著(Amor ,D. ) . 董兆一等译. 电子商务变革与演进[M] .北京. 机械工业出版社,2003. 3

上一页 [1] [2]