电子商务安全性研究

中文摘要：随着Internet和Intranet/Extranet的快速增长，Web已经对商业、工业、银行、财政、教育、政府和娱乐及我们的工作和生活产生了深远的影响。许多传统的信息和数据库系统正在被移植到互联网上，与此同时电子商务（e-commerce）也迅速增长，早已超过了国界。但在其发展的过程中网络上的信息安全问题成为了制约其发展的重要因素。本文将对电子商务的安全威胁问题进行分析并提出一些解决措施和方法。 关键词：电子商务?? 信息安全??? 互联网??? 解决方法 电子商务的安全威胁分析 2.1安全要素 要解决安全威胁，必先了解安全的要素。下面先分析电子商务的安全要素： （1）有效性：EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。 （2）机密性：EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。 （3）完整性：EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。 （4）可靠性/不可抵赖性/鉴别：EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。 （5）即需性：即需性是防止延迟或拒绝服务，即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中，延迟一个消息或消除它会带来灾难性的后果。例如，你在上午10点向在线的股票交易公司发一个电子邮件委托购买1000股IBM公司的股票，假如这个邮件被延迟了，股票经济商在下午2点半才收到这封邮件，这时股票已经涨了15％，这个消息的延迟就使你损失了交易额的 15％。 （6）身份认证：指交易双方可以相互确认彼此的真实身份，确认对方就是本次交易中所称的真正交易方。认证是证实一个声称的身份或者角色，如用户、机器、节点等是否真实的过程。这一过程为授权和审计所必需，也是实现授权、审计的访问控制过程运行的前提，是计算机网络安全系统不可缺少的组成部分。 （7）审查能力：根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控的，以便对其所使用的操作内容进行审计和跟踪。当贸易一方发现交易行对自己不利时否认电子商务行为。例如，某股民以每股12元购买了1000股后，行情发生了变化，每股价格降到了10元，于是该股民否认以前的购买行为。因此，要求系统要有审查能力，使交易的任何一方都不能抵赖已经发生的交易行为。 2.2安全威胁 根据电子上午本身的特性以及上述安全要素，电子商务的安全问题主要有以下几方面： 2.2.1网络安全 可以分成三类： （1）系统安全，指主机和服务器的安全，主要包括反病毒、系统安全检测、入侵检测（监控）和审计分析； ?? （2）网络运行安全，指要具备必须的针对突发事件的应急措施，如数据的备份和恢复等等； ?? （3）局域网或子网的安全主要是访问控制和网络安全检测的问题。特别说明，大众所熟知的黑客与防火墙主要属于网络安全的相关范畴。本文不作详述。 2.2.2信息安全 。 ??信息安全问题主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面，当然也包括对用户的鉴别和授权。 电子商务交易双方的信息安全隐患传统商务活动是面对面进行的,交易双方能较容易地建立信任感并产生安全感。而电子商务是买卖双方通过Internet的信息流动来实现商品交换的,信息技术手段使不法之徒有机可乘,这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁。 商家的信息安全隐患。主要有: （1）不法之徒假冒合法用户名义改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损; （2）恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息;（3）信息间谍通过技术手段窃取商业秘密; （4）大量虚假订单的生成挤占了信息系统资源,无法从事正常的业务运营。 用户的信息安全隐患。主要有: （1）用户身份证明信息被拦截窃用,以致被要求付帐或返还商品; （2）域名信息被监听和扩散,被迫接收许多无用信息甚至个人隐私被泄露。（3）发送的商务信息不完整或被篡改,用户无法收到商品; （4）受虚假广告信息误导购买假冒伪劣商品或被骗钱财; （5）遭受黑客暗算计算机设备被毁、信息丢失。 2.2.3物理安全问题 电子商务活动不可避免的使用计算机作为基础平台，物理安全即是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。本文不作详述。