浅谈电子商务安全
- 格式:doc
- 大小:26.00 KB
- 文档页数:2
浅谈电子商务安全
摘要:在电子商务迅速发展的今天,信息网络技术的应用正日益普及和广泛,
应用层次正在深入。而网络所具有的开放性、自由性在增加应用自由度的同时,
对安全提出了更高的要求。如何建立起一个完善的、实用的、安全的电子商务网
站,已成为企事业单位信息化发展中一个急切需要讨论的问题。
关键字:电子商务,安全技术,安全需求
一、电子商务的安全问题:
电子商务的安全问题主要可以概括为以下几个方面:(一)信息泄漏:在电子
商务中表现出来的信息泄露主要有两种,一种是交易双方进行交易的内容被第三
方所窃取:一种是交易一方提供给另一方的文件、资料等被第三方非法使用。(二)
篡改:在电子商务中表现为商业信息的真实性和完整性问题。电子的信息在网络
传输的过程中,可能被他人非法地修改、删除或重放.这样就使信息丢失了真实
性和完整性。(三)身份识别:这涉及到电子商务中的两个问题。1.如果不进行
身份识别,第三方就有可能假冒交易方的身份,以破坏交易、败坏被假冒一方的
信誉或盗取被假冒一方的交易成果等。2.“不可抵赖”性。交易双方对自己的行
为应负有一定的责任,信息发送者和接受者都不能对此予以否认。(四)信息破坏:
涉及到两方面内容。1.网络传输的可靠性。网络的硬件或软件可能会出现问题
而导致交易信息传递的丢失与谬误。2.恶意破坏。计算机网络本身容易遭到一
些恶意程序的破坏,而使电子商务信息遭到破坏。
二、电子商务的安全技术:
电子商务的开展在安全方面上还存在很多问题。我们必须要采取相应的方法
来保障电子商务活动的安全进行。下面是关于电子商务安全的技术方面的问题。
(一)虚拟专用网络:虚拟专用网络是用于Internet电子交易的一种专用网络,
它可以在两个系统之间建立安全的通道,是目前相对而言最适合进行电子商务的
形式。在虚拟专用网络中交易的双方比较熟悉,而且彼此之间的数据通信量很大。
只要交易双方取得一致,在虚拟专用网络中就可以使用比较复杂的专用加密和认
证技术,这样就可以大大提高电子商务的安全。
(二)加密技术:加密技术是实现信息保密性的一种重要手段,目的是为了防
止合法接受者之外的人获取信息系统中的机密信息。
加密包括两个元素:算法和密钥。加密技术的要点是加密算法,一个加密算
法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理
解的密文的步骤。密钥和算法对加密同等重要。密钥是用来对数据进行编码和解
码的一种算法。加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。
通过对数据进行加密,可以使在网络上传播的信息对非法用户来说是无意义的,
因此,虽然信息在网络上易被非法接收,但是由于被加密,也就保证了信息的隐
秘性。
(三)数字签名技术:数字签名以数字加密技术为基础,是数字加密技术的一
种应用方式。其核心是采用加密技术的加、解密算法来实现电子信息的数字签名。
对于电子商务中的业务款项如何分辨其真假,则需要数字签名技术来确认其交易
或结算双方的真实身份及电子货币的可靠性。数字签名的防欺诈性、防更改性及
确认功能是电子商务系统的一个重要安全技术。数字签名是公开密钥技术的另一
类应用,它的主要方式是:信息的披露方从信息文本中生成一个128位的散列值,
并且用自己的专用密钥对这个散列值进行加密.来形成披露方的数字签名:关联
方首先从收到的信息文本中计算128位的散列值,接着再用披露方一同发来的公
开密钥来对数字签名进行解密,如果两个散列值相同,那就可确认该数字签名是
披露的。通过数字签名技术能够实现对原始信息和关联方身份的鉴别,有一定的
公正及较好地防范关联方和非关联方的道德风险。
(四)认证技术:所谓认证,就是通过认证中心对数字证书进行识别。认证分
为实体认证和信息认证,这里的实体是指个人、客户程序或服务程序等参与通信
的实体。实体认证是指对这些参与通信实体的身份认证。对用户身份的认证,密
码是最常用的,但由于许多用户采用了很容易被破解的密码,使得该方法经常失
效。信息认证是指对信息体进行认证,以决定该信息的合法性。信息认证发生在
信息接收者收到信息后,使用相关技术对信息进行认证,以确认信息的发送者是
谁,信息在传递过程中是否被篡改等。身份验证是对进入电子商务信息系统网络
的用户进行身份合法性的整别,主要通过所掌握的特有信息对探访者进行验证。
(五)防火墙技术:在计算机领域,防火墙是指一种逻辑装置,用来保护内部的网
络不受来自外界的侵害。在逻辑上,防火墙是一个分离器,一个限制器,也是一
个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的
安全。
三、电子商务的安全策略
①针对信息泄漏问题,可以通过加密技术来保证。主要是指保证一些敏感的
商业信息不被泄露。②针对篡改问题,可以从两方面来考虑。一是非人为因素,
这类问题可以通过数据校验来解决,一旦校验出错误,就可以将信息重发。二是
人为因素,这类问题主要是非法用户对信息的恶意修改,只要通过防火墙技术对
操作进行验证,再通过加密技术就可以从很大程度上避免这种破坏的产生。③针
对身份识别问题,可以使用数字签名技术和认证技术。这样.进行数字签名和认
证后,交易双方就可避免“相互猜疑”的情况了。并且,如果出现抵赖的情况,就
有了反驳的依据。④针对信息破坏问题可以采用安装反病毒软件或病毒防火墙的
方法,可以从相当程度上减少灾难的发生。