談電子商務(wù)的安全策略

摘要：本文針對電子商務(wù)中的安全性需求和安全威脅，詳細探討了電子商務(wù)的安全策略，包括加密、數字簽名、電子證書(shū)等。

關(guān)鍵詞：電子商務(wù)安全策略信息安全認證

　　電子商務(wù)是在Internet開(kāi)放的網(wǎng)絡(luò )環(huán)境下，實(shí)現消費者的網(wǎng)上購物、企業(yè)之間的網(wǎng)上交易和在線(xiàn)電子支付的一種新型的交易方式。由于電子商務(wù)具有高效益、低成本、高效率、范圍全球性等特點(diǎn)很快遍及全世界。電子商務(wù)已成為全球經(jīng)濟最具活力的增長(cháng)點(diǎn)，它的應用和推廣將給社會(huì )和經(jīng)濟發(fā)展帶來(lái)巨大的變革和收益。然而，目前全球通過(guò)電子商務(wù)渠道完成的貿易額仍只是同期全球貿易額中的一小部分。究其原因，電子商務(wù)是一個(gè)復雜的系統工程，它的實(shí)施還依賴(lài)于相應的社會(huì )問(wèn)題和技術(shù)問(wèn)題的逐步解決與完善。其中，電子商務(wù)的安全是制約電子商務(wù)發(fā)展的一個(gè)關(guān)鍵問(wèn)題。
　　
　　一、電子商務(wù)的安全性需求
　　
　　有效性:電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式的貿易信息的有效性則是開(kāi)展電子商務(wù)的前提。因此，要對網(wǎng)絡(luò )過(guò)障、操作錯誤、應用程序錯誤等所產(chǎn)生的潛在威脅加以控制和預防，以保證貿易數據在確定的時(shí)刻、確定的地點(diǎn)是有效的。
　　1.機密性:電子商務(wù)作為貿易的一種手段，其信息直接代表著(zhù)個(gè)人、企業(yè)或者國家的商業(yè)機密。因此，能否維護好商業(yè)機密成為了電子商務(wù)全面推廣應用的前提條件。電子商務(wù)系統應能夠對公眾網(wǎng)絡(luò )上傳輸的信息進(jìn)行加密處理，防止交易中信息被非法截獲或讀取。
　　2.完整性:電子商務(wù)簡(jiǎn)化了貿易過(guò)程，減少了人為的干預，同時(shí)也帶來(lái)維護貿易各方商業(yè)信息的完整、同意問(wèn)題。由于數據輸入時(shí)的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，在數據傳輸過(guò)程中信息丟失、信息重復或者信息傳送的次序差異也會(huì )導致貿易各方信息不同。貿易各方信息的完整性將影響貿易各方的交易和經(jīng)營(yíng)策略，保持貿易各方信息的完整性是電子商務(wù)應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時(shí)要防止數據傳送過(guò)程中信息丟失和重復，并保證信息傳送次序的統一。
　　3.可靠性:由于網(wǎng)上通信雙方互不見(jiàn)面，所以在交易前必須首先確認對方的真實(shí)身份；支付時(shí)還要確認對方帳號等信息是否真實(shí)有效。電子商務(wù)系統應提供通信雙方進(jìn)行身份鑒別的機制，確保交易雙方身份信息的可靠和合法。應實(shí)現系統對用戶(hù)身份的有效確認，對私有密鑰和口令的有效保護，對非法攻擊能夠防范，防止假冒身份在網(wǎng)上進(jìn)行交易。
　　4.法律性:電子商務(wù)系統應有效防止商業(yè)欺詐行為的發(fā)生。最新《合同法》已確認雙方同意電子貿易的電子檔案為有效書(shū)面合同，為產(chǎn)生貿易糾紛雙方提供法律憑證。網(wǎng)上交易的各方在進(jìn)行數據傳輸時(shí)必須攜有自身特有的、無(wú)法被別人復制的信息，以保證交易發(fā)生糾紛時(shí)有所對證，以保證商業(yè)信任和行為的不可否認性，保證交易各方對已做的交易無(wú)法抵賴(lài)，為法律舉證提高有效數據。
　　審查能力:根據機密性和完整性的要求，應對數據審查的結果進(jìn)行記錄。
　　
　　二、電子商務(wù)面臨的安全威脅
　　
　　1.信息在網(wǎng)絡(luò )的傳輸中被截獲：攻擊者可能通過(guò)互聯(lián)網(wǎng)、公共電話(huà)網(wǎng)或在電磁波輻射范圍內安裝裝置等方式，截獲機密信息，或通過(guò)對信息流量和流向、通信頻度和長(cháng)度等參數的分析，獲取有用信息，如消費者的賬號、密碼等。
　　2.傳輸的文件可能被篡改:改變信息流的次序，更改信息的內容，如購買(mǎi)商品的出貨地址;刪除某個(gè)信息或信息的某些部分；在信息中插入一些信息，讓收方讀不懂或接受錯誤的信息。
　　3.偽造電子郵件:虛開(kāi)網(wǎng)站和商店，給用戶(hù)發(fā)電子郵件，收定貨單;偽造大量用戶(hù)，發(fā)電子郵件，窮盡商家資源，使合法用戶(hù)不能正常訪(fǎng)問(wèn)網(wǎng)絡(luò )資源，使有嚴格時(shí)間要求的服務(wù)不能及時(shí)得到響應;偽造用戶(hù)，發(fā)大量的電子郵件，竊取商家的商品信息和用戶(hù)等信息。
　　4.假冒他人身份:冒充他人身份，如冒充領(lǐng)導發(fā)布命令、調閱文件;冒充他人消費、栽贓;冒充網(wǎng)絡(luò )控制程序，套取或修改使用權限、密鑰等信息。
　　5.否認已經(jīng)做過(guò)的交易：發(fā)布者事后否認曾經(jīng)發(fā)送過(guò)某條信息或內容;收信者事后否認曾經(jīng)收到過(guò)某條信息或內容；購買(mǎi)者做了訂貨單不承認;商家賣(mài)出的商品質(zhì)量差，但不承認原有的交易�！　∪�、電子商務(wù)活動(dòng)的安全保證
　　
　　為了滿(mǎn)足電子商務(wù)在安全服務(wù)方面的要求，除了網(wǎng)絡(luò )本身運行的安全外，電子商務(wù)系統還必須利用各種安全控制技術(shù)保證整個(gè)電子商務(wù)過(guò)程的安全與完整，并實(shí)現交易的防抵賴(lài)性等。具體實(shí)現有以下幾種技術(shù)。
　　1.加密技術(shù)是電子商務(wù)的最基本的安全措施。在目前技術(shù)條件下，加密技術(shù)通常分為對稱(chēng)加密和非對稱(chēng)加密兩類(lèi)。
　　(1)對稱(chēng)密鑰加密：采用相同的加密算法，并只交換共享的專(zhuān)用密鑰（加密和解密都使用相同的密鑰）。如果進(jìn)行通信的交易各方能夠確保專(zhuān)用密鑰在密鑰交換階段未曾發(fā)生泄露，則可以通過(guò)對稱(chēng)加密方法加密機密信息，并隨報文發(fā)送報文摘要和報文散列值，來(lái)保證報文的機密性和完整性。密鑰安全交換是關(guān)系到對稱(chēng)加密有效性的核心環(huán)節。目前常用的對稱(chēng)加密算法有DES、PCR、IDEA、3DES等。其DES使用最普遍，被ISO采用作為數據加密的標準。
　　(2)非對稱(chēng)密鑰加密:非對稱(chēng)加密不同于對稱(chēng)加密，其密鑰被分解為公開(kāi)密鑰和私有密鑰。密鑰對生成后，公開(kāi)密鑰以非保密方式對外公開(kāi)，只對應于生成該密鑰的發(fā)布者，私有密鑰則保存在密鑰發(fā)布方手里。任何得到公開(kāi)密鑰的用戶(hù)都可以使用該密鑰加密信息發(fā)送給該公開(kāi)密鑰的發(fā)布者，而發(fā)布者得到加密信息后，使用與公開(kāi)密鑰相應對的私有密鑰進(jìn)行解密。目前，常用的非對稱(chēng)加密算法有RSA算法。該算法已被ISO/TC的數據加密技術(shù)分委員會(huì )SC20推薦為非對稱(chēng)密鑰數據加密標準。
　　在對稱(chēng)和非對稱(chēng)兩類(lèi)加密方法中，對稱(chēng)加密的突出特點(diǎn)是加密速度快（通常比非對稱(chēng)加密快10倍以上）、效率高，被廣泛用于大量數據的加密。但該方法的致命缺點(diǎn)是密鑰的傳輸與交換也面臨著(zhù)安全問(wèn)題，密鑰易被截獲，而且，若和大量用戶(hù)通信，難以安全管理大量的密鑰，因此大范圍應用存在一定問(wèn)題。而非對稱(chēng)密鑰則相反，很好地解決了對稱(chēng)加密中密鑰數量過(guò)多難管理及費用高的不足，也無(wú)需擔心傳輸中私有密鑰的泄露，保密性能優(yōu)于對稱(chēng)加密技術(shù)。但非對稱(chēng)加密算法復雜，加密速度不很理想。目前.電子商務(wù)實(shí)際運用中常常是兩者結合使用。
　　2.防火墻技術(shù)是確�；�礎設施完整性一種常用方法。它通過(guò)在網(wǎng)絡(luò )邊界上建立起來(lái)的相應網(wǎng)絡(luò )通信監控系統來(lái)隔離內部和外部網(wǎng)絡(luò )，控制進(jìn)/出兩個(gè)方向的通信流。它制定一系列規則來(lái)準許或拒絕不同類(lèi)型的通信，并執行所做的路由決策，以阻擋外部的侵入。目前，防火墻技術(shù)主要有分組過(guò)濾和代理服務(wù)兩種類(lèi)型。
　　(1)分組過(guò)濾:這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器按網(wǎng)絡(luò )安全策略設置一張訪(fǎng)問(wèn)表或黑名單，即借助數據分組中的49 地址確定什么類(lèi)型的信息允許通過(guò)防火墻，什么類(lèi)型的信息不允許通過(guò)。防火墻的職責就是根據防問(wèn)表（或黑名單）對進(jìn)出路由器的分組進(jìn)行檢查和過(guò)濾，凡符合要求的放行，不符合的拒之門(mén)外。這種防火墻簡(jiǎn)單易行，但不能完全有效地防范非法攻

【談電子商務(wù)的安全策略】相關(guān)文章：

電子商務(wù)安全策略12-07

談電子商務(wù)對稅收的沖擊03-24

談企業(yè)電子商務(wù)人才治理03-22

談電子商務(wù)對傳統商業(yè)的挑戰03-18

談聚類(lèi)挖掘在電子商務(wù)中的應用03-18

談電子商務(wù)中的網(wǎng)絡(luò )安全治理03-06

談數據挖掘技術(shù)在電子商務(wù)中的應用03-21

談電子商務(wù)背景下的網(wǎng)絡(luò )營(yíng)銷(xiāo)12-11

談電子商務(wù)時(shí)代網(wǎng)絡(luò )營(yíng)銷(xiāo)的發(fā)展對策03-18