浅谈电子商务信息安全

电子商务信息安全•电子商务的发展•制约电子商务发展的一大重要因素——信息安全•电子商务中的信息安全技术及安全防范措施•电子商务系统安全及认证体系•结束语电子商务的发展•淘宝简介：淘宝网成立于2003年5月10日，由阿里巴巴集团投资创办。经过6年的发展，截至2009年底，淘宝拥有注册会员1.7亿；2009年全年交易额达到2083亿人民币，是亚洲最大的网络零售商圈。国内著名互联网分析机构艾瑞咨询调查显示，淘宝网占据国内电子商务80%以上的市场份额•事实上，淘宝只是电子商务的一个缩影。电子商务可应用于小到家庭理财、个人购物，大至企业经营、国际贸易等诸方面。具体地说，其内容大致可以分为三个方面：企业间的商务活动、企业内的业务运作以及个人网上服务。制约电子商务发展的一些因素•物流建设•信用体系•支付体系•人文道德因素•社会法制（税法）电子商务的安全要求信息传输的保密性交易文件的完整性信息的不可否认性交易者身份的真实性电子商务信息的特征•开放性•多源性•完整性•保密性•可区分性电子商务信息安全隐患•存储安全隐患•流动安全隐患•交易双方的信息安全隐患信息存储安全隐患•内部隐患。主要是企业Interanet的用户故意或无意地非授权调用电子商务信息或未经许可随意增加、删除、修改电子商务信息。•外部隐患。主要是因为软件配置的不当,造成外部人员私自闯人企业Interanet,并对电子商务信息故意或无意地非授权调用或增加、删除、修改。其隐患的主要来源有:竞争对手的恶意闯入、信息间谍的非法闯入、闲游用户的好奇闯人及黑客的骚扰闯入。流动安全隐患•窃取商业机密•攻击商务网站•实施商务诈骗•侵犯他人权利•传播不良信息•否认发出信息交易双方的信息安全隐患•商家的信息安全隐患主要有:①不法之徒假冒合法用户名义改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;②恶意竞争者冒名订购商品或侵入网络内不以获取营销信息和客户信息;③信息间谍通过技术手段窃取商业秘密;④大量虚假订单的生成挤占了信息系统资源,无法从事正常的业务运营。•用户的信息安全隐患主要有:①用户身份证明信息被拦截窃用,以致被要求付帐或返还商品;②域名信息被监听和扩散,被迫接收许多无用信息甚至个人隐私被泄露。③发送的商务信息不完整或被篡改,用户无法收到商品;④受虚假广告信息误导购买假冒伪劣商品或被骗钱财;⑤遭受黑客暗算计算机设备被毁、信息丢失。网络攻击的常用方法违反授权原则通信监听通信窜扰中断拒绝服务电子邮件轰炸病毒技术在Internet上进行欺骗的模式–采用假的服务器来欺骗用户的终端；–采用假的用户来欺骗服务器；–在信息的传输过程中截取信息；–在Web服务器及Web用户之间进行双方欺骗电子商务中的信息安全技术•电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术•防火墙技术•加密技术•数字签名技术•数字时间戳技术常用安全技术介绍•防火墙技术。防火墙主要是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络。•加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。•数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。•数字时间戳技术。时间戳是一个经加密后形成的凭证文档，包括需加时间戳的文件的摘要、DTS收到文件的日期与时间和DIS数字签名，用户首先将需要加时间的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。电子商务安全防范措施•网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。防火墙技术•用过Internet,企业可以从异地取回重要数据,同时又要面对Internet带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身必须能够免于渗透。vpn技术•虚拟专用网简称VPN,指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠IPS或NSP在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于Internet安全传输重要信息的效应。目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。数字签名技术•为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。电子商务系统安全及认证体系保证信息安全是开展电子商务的前提•电子商务系统硬件安全——目前的技术水平可以解决•电子商务系统软件安全——是关键•电子商务系统运行安全——规范性•电子商务安全立法——尚待完善认证技术(CA)由于电子商务是在网络中完成，交易双方互相之间不见面，为了保证每个人及机构（如银行、商家）都能唯一而且被无误地识别，这就需要进行身份认证。认证中心（CA）电子商务认证授权机构也称为电子商务认证中心（CertificateAuthority，CA）。CA就是承担网上安全电子交易的认证服务，它能签发数字证书，并能确认用户身份的服务机构。CA通常是一个服务性机构，主要任务是受理数字证书的申请，签发及管理数字证书。认证中心的职能认证中心具有下列4大职能：（1）证书发放可以有多种方法向申请者发放证书，可以发放给最终用户签名的或加密的证书。（2）证书更新持卡人证书、商户和支付网关证书应定期更新，更新过程与证书发放过程是一样的。（3）证书撤消证书的撤消可以有许多理由，如私钥被泄密，身份信息的更新或终止使用等。（4）证书验证认证证书是通过信任分级体系来验证的，每一种证书与签发它的单位相联系，沿着该信任树直接到一个认可信赖的组织，就可以确定证书的有效性。数字证书（1）数字证书的概念数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。（2）数字证书的类型①客户证书证实客户身份和密钥所有权。②服务器证书证实服务器的身份和公钥。③安全邮件证书证实电子邮件用户的身份和公钥。④CA机构证书证实认证中心身份和认证中心的签名密钥。数字证书的内容①证书数据版本信息；证书序列号；CA所使用的签名算法；发行证书CA的名称；证书的有效期限；证书主题名称；被证明的公钥信息的特别扩展。②发行证书的CA签名数字证书的有效性只有下列条件为真时，数字证书才有效。①证书没有过期②密钥没有修改③用户有权使用这个密钥④证书必须不在无效证书清单中中国知名的认证中心①中国数字认证网（）②中国金融认证中心（）③中国电子邮政安全证书管理中心（）④北京数字证书认证中心（）⑤广东省电子商务认证中心（）⑥上海市电子商务安全证书管理中心有限公司（）⑦海南省电子商务认证中心（hn.cnca.net）⑧天津CA认证中心（)⑨山东省CA认证中心（）结束语•安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。•此外，人为因素，社会环境，国家政策（比如：健全的法制体系认证体系，管理平台）等都对商务信息安全起了至关重要的作用•参考文献：•劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005•赵泉.网络安全与电子商务[M].北京:清华大学出版社,2005•百度，谷歌等•.