电子商务中的信息安全问题及防范方法汇总

apple

一、电子商务的安全需求
　　
　　1.信息有效性、真实性
　　
　　电子商务以电子方式取代了纸张，如何保证这种电子方式的贸易信息的有效性和真实性则是展开电子商务的前提。电子商务作为贸易的一种方式，其信息的有效性和真实性将直接关系到个人、企业或国度的经济利益和名誉。
　　
　　2.信息秘密性
　　
　　电子商务作为贸易的一种伎俩，其信息直接厂代表着个人、企业或国度的商业秘密。传统的纸面贸易都是经过邮寄封装的信件或经过牢靠的通讯渠道发送商业报文来抵达激进秘密的目的。电子商务是树立在一个较为开放的网络环境上的，商业防泄密是电子商务全面推行应用的重要保证。
　　
　　3.信息完好性
　　
　　电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完好、统一的问题。由于数据输入时的不测差错或狡诈行为，可能招致贸易各信息的差别。因而，电子商务系统应充沛保证数据传输、存储及电子商务完好性检查的正确和牢靠。
　　
　　4.信息牢靠性、不可抵赖性和可鉴别性
　　
　　牢靠性请求即是能保证合法用户对信息和资源的运用不会被不合理地拒绝；不可抵赖性请求即是能树立有效的义务机制，避免实体承认其行为；可鉴别性请求即是能控制运用资源的人或实体的运用方式。
　　
　　5.系统的牢靠性
　　
　　电子商务系统是计算机系统，其牢靠性是避免计算机失效、程序错误、传输错误、自然灾害等惹起的计算机信息失误或失效。
二、电子商务的信息安全技术
　　
　　1.数据加密技术
　　
　　加密技术用于网络安全通常有二种方式，即面向网络或面向应用效劳。面向网络的加密技术通常工作在网络层或传输层，运用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损伤。面向网络应用效劳的加密技术运用则是目前较为盛行的加密技术的运用办法，这一类加密技术的优点在于完成相对较为简单，不需求对电子信息（数据包）所经过的网络的安全性能提出特殊请求，对电子邮件数据完成了端到端的安全保证。
　　
　　1）电子商务范畴常用的加密技术数字摘要（digitaldigest）
　　
　　这一加密办法亦称安全Hash编码法，由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹（FingerPrint），它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定分歧。这样这串摘要便可成为考证明文能否是“真身”的“指纹”了。
　　
　　数字签名（digitalsignature）
　　
　　数字签名将数字摘要、公用密钥算法两种加密办法分离起来运用。主要方式是报文的发送方从报文文本中生成一个128位的散列值（或报文摘要），用自己的私有密钥对这个散列值中止加密来构成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一同发送给报文的接纳方。报文的接纳方首先从接纳到的原始报文中计算出128位的散列值，接着再用发送方的公开密钥来对报文附加的数字签名中止解密，假如两个散列值相同，那么接纳方就能确认该数字签名是发送方的，经过数字签名能够完成对原始报文的鉴别。概括的说，签名的作用有两点，一是由于自己的签名难以承认，从而确认了文件已签署这一事实；二是由于签名不易仿冒，从而肯定了文件是真的这一事实。
　　
　　数字时间戳（digitaltime-stamp）买卖文件中，时间是十分重要的信息。在电子买卖中，需对买卖文件的日期和时间信息采取安全措施，而数字时间戳效劳（DTS）就能提供电子文件发表时间的安全维护。时间戳（time-stamp）是一个经加密后构成的凭证文档，它包括三个部分：需加时间戳的文件的摘要（digest）；DTS收到文件的日期和时间；DTS的数字签名。
　　
　　数字证书（digitalcertificate，digitalID）数字证书又称为数字凭证，是用电子伎俩来证明一个用户的身份和对网络资源的访问的权限。目前，最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书，证书作为网上买卖参与各方的身份辨认，就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务买卖中受信任的第三方，承担公钥体系中公钥的合法性检验的义务，是一个担任发放和管理数定证书的权威机构。因而网络中一切用户能够将自己的公钥交给这个中心，并提供自己的身份证明信息，证明自己是相应公钥的具有者，认证中心检查用户提供的信息后，假如确认用户是合法的，就给用户一个数字证书。这样，每个成员只需和认证中心打交道，就能够查到其他成员的公钥信息了。关于在网上中止买卖的双方来说，数字证书对他们之间树立信任是至关重要的。数字凭证有三种类型：个人凭证、企业（效劳器）凭证、软件（开发者）凭证；大部分认证中心提供前两类凭证。
　　
　　2.身份认证技术
　　
　　为处置Internet的安全问题，初步构成了一套完好的Internet安全处置计划，即被普遍采用的公钥基础设备（PKI）体系结构。PKI体系结构采用证书管理公钥，经过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如称号、e-mail、身份证号等）捆绑在一同，在Internet网上考证用户的身份，PKI体系结构把公钥密码和对称密码分离起来，在Internet网上完成密钥的自动管理，保证网上数据的秘密性、完好性。
　　
　　1）认证系统的基本原理
　　
　　应用RSA公开密钥算法在密钥自动管理、数字签名、身份辨认等方面的特性，可树立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA，CA为用户发放电子证书，用户之间应用证书来保证信息安全性和双方身份的合法性。
　　
　　2）认证系统结构
　　
　　整个系统是一个大的网络环境，系统从功用上基本能够划分为CA、RA和WebPublisher。
　　
　　中心系统跟CA放在一个单独的封锁空间中，为了保证运转的绝对安全，其人员及制度都有严厉的规则，并且系统设计为一离线网络。CA的功用是在收到来自RA的证书央求时，颁发证书。
　　
　　证书的注销机构RegisterAuthority，简称RA，分散在各个网上银行的地域中心。RA与网银中心有机分离，接受客户申请，并审批申请，把证书正式央求经过树立银行企业内部网发送给CA中心。
　　
　　证书的发布系统WebPublisher，简称WP，置于Internet网上，是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后，CA用E－mail通知用户，然后用户须用阅读器从这里下载证书。
　　
　　3.网上支付平台及支付网关
　　
　　网上支付平台分为CTEC支付体系（基于CTCA/GDCS）和SET支付体系（基于CTCA/SET）。网上支付平台支付型电子商务业务提供各种支付伎俩，包括基于SET规范的信誉卡支付方式、以及契合CTEC规范的各种支付伎俩。
　　
　　支付网关位于公网和传统的银行网络之间，其主要功用为：将公网传来的数据包解密，并依照银行系统内部的通讯协议将数据重新打包；接纳银行系统内部的传回来的响应音讯，将数据转换为公网传送的数据格式，并对其中止加密。此外，支付网关还具有密钥维护和证书管理等其它功用。
三、电子商务信息安全中的其它问题
　　
　　1.内部安全
　　
　　最近的调查标明，至少有75%的信息安全问题来自内部，在信誉卡和商业诈骗中，内部人员所占的比例最大；
　　
　　2.歹意代码
　　
　　它们将继续对一切的网络系统构成要挟，并且，其数量将随着Internet的展开和编程环境的丰厚而增加，扩散起来也愈加便利，因而，构成的破坏也就越大；
　　
　　3.牢靠性差
　　
　　目前，Internet主干网和DNS效劳器的牢靠性还远远不能满足人们的请求，而绝大部分拨号PPP衔接质量并不牢靠，且速度很慢；
　　
　　4.技术人才短缺
　　
　　由于Internet和网络购物都是在近几年得到了迅猛的展开，因而，许多中央都缺乏足够的技术人才来处置其中遇到的各种问题，特别是网络购物具有24x7（每天24小时，每周7天都能工作）的请求，因而迫切需求有一大批专业技术人员对其中止管理。假如说加密技术是电子买卖安全的“硬件”，那么人才问题则能够说是“软件”。从某种意义上讲，软件的问题处置起来可能更不容易，因而，技术人才的短缺可能成为障碍网络购物展开的一个重要要素。
　　
　　5.Web效劳器的维护认识差
　　
　　在买卖过程中对数据中止维护只是保证买卖安全的一个方面。由于买卖的信息均存储在效劳器上，因而，即便失密信息被客户端接纳之后，也必需对存储在效劳器中的数据中止维护。目前，Web效劳器是黑客们最喜欢攻击的目的。因而，倡议尽量不要将Web效劳和衔接到任何内部网络，而且要定期对数据中止备份，以便于效劳器被攻击之后对数据中止恢复。当然，这毕竟有些不太理想，往常许多盛行的Web应用都需求Web效劳器与公司的数据库中止交互式操作，这就请求效劳器必需与公司内部网络相连，而这个衔接也就成为黑客们从Web站点侵入企业内部网络的一条通路。固然防火墙技术有助于对web站点中止维护，但商家却很少装置防火墙或对其缺乏有效的维护，因而没有对Web效劳器中止很好的维护，这是商家的Web站点特别要惹起留意的中央。
　　
　　四、与电子商务安全有关的协议技术讨论
　　
　　1．SSL协议（SecureSocketsLayer）安全套接层协议———面向衔接的协议。
　　
　　SSL协议主要是运用公开密钥体制和X.509数字证书技术维护信息传输的秘密性和完好性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用WebServer方式。但它是一个面向衔接的协议，在触及多方的电子买卖中，只能提供买卖中客户与效劳器间的双方认证，而电子商务常常是用户、网站、银行三家协作完成，SSL协议并不能谐和各方间的安全传输和信任关系。
　　
　　2.SET协议（SecureElectronicTransaction）安全电子买卖———特地为电子商务而设计的协议。由于SET提供了消费者、商家和银行之间的认证，确保了买卖数据的安全性、完好牢靠性和买卖的不可承认性，特别是保证不将消费者银行卡号暴露给商家等优点，因而它成为了目前公认的信誉卡/借记卡的网上买卖的国际安全规范。固然它在很多方面优于SSL协议，但依然不能处置电子商务所遇到的全部问题。