电子商务网络信息安全问题

《电子商务网络信息安全问题》由会员分享，可在线阅读，更多相关《电子商务网络信息安全问题（10页珍藏版）》请在装配图网上搜索。

1、电子商务网络信息平安问题【摘要】构筑平安电子商务信息环境是网络时代开展到一定阶段的“瓶颈性课题。本文侧重讨论了其中的信息平安技术、数字认证、信息平安协议、信息平安对策等核心问题。【关键词】 信息平安 信息平安技术 数字认证 信息平安协议 信息平安对策 通俗的说，所谓电子商务，就是在网上开展商务活动当企业将它的主要业务通过企业内部网Intranet、外部网Extranet以及Internet与企业的职员、客户供销商以及合作伙伴直接相连时，其中发生的各种活动就是电子商务。电子商务是基于Internet/Intranet或局域网、广域网、包括了从销售、市场到商业信息管理的全过程。通过为一大群顾客和供

2、给商提供一个通用通讯环境的方法可以发挥电子商务的独一无二的潜力。今天，网上有数以千计的面向消费者和面向交易的商务站点，并且这个数目正在快速增长。电子商务正成为世界新热点,但其平安性也随着信息化的深入也随之要求愈高了。 一 、电子商务中的信息平安技术 电子商务的信息平安在很大程度上依赖于技术的完善，这些技术包括：密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及去除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统平安监测报警与审计技术等。 1、防火墙技术。防火墙Firewall是近年来开展的最重要的平安技术，它的主要功能是加强网络之间的访问控制，防止外部

3、网络用户以非法手段通过外部网络进入内部网络被保护网络。所以它是网际哨兵。它对两个或多个网络之间传输的数据包和链接方式按照一定的平安策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络平安控制方法。 防火墙的平安策略有两条。一是“但凡未被准许的就是禁止的。防火墙先是封闭所有信息流，然后审查要求通过的信息，符合条件的就让通过；二是“但凡未被禁止的就是允许的，防火墙先是转发所有的信息，然后再逐项剔除有害的内容，被禁止的内容越多，防火墙的作用就越大。网络是动态开展的，平安策略的制定不应建立在静态的根底之上。在制定防火墙平

4、安规那么时，应符合“可适应性的平安管理模型的原那么，即：平安=风险分析+执行策略+系统实施+漏洞监测+实时响应。 防火墙技术的缺乏有三。一是防火墙不能防止绕过防火墙的攻击；二是防火墙经不起人为因素的攻击。由于防火墙对网络平安实施单点控制，因此可能受到黑客的攻击；三是防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的攻击。 2、加密技术。数据加密被认为是最可靠的平安保障形式，它可以从根本上满足信息完整性的要求，是一种主动平安防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需

5、要时可使用密钥将密文数据复原成明文数据，称为解密。 密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制，它的保密度主要取决于对密钥的保密。它的特点是数字运算量小，加密速度快，弱点是密钥管理困难，一旦密钥泄露，将直接影响到信息的平安。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制，加密密钥是公开的，解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数单向陷门函数，即从一个方向求值是容易的，但其逆向计算却很困难，从而在实际上成为不可能。 除了密钥加密技

6、术外，还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密；二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。 3、数字签名技术。数字签名DigitalSignature技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务平安保密系统中，数字签名技术有着特别重要的地位，在电子商务平安效劳中的源鉴别、完整性效劳、不可否认效劳中都要用到数字签名技术。 在书面文件上签名是确认文件的一种手段，其作用有两点，一是因为自己的签名难以否认，从而确认文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一

7、事实。数字签名与书面签名有相同相通之处，也能确认两点，一是信息是由签名者发送的，二是信息自签发后到收到为止未曾做过任何修改。这样，数字签名就可用来防止：电子信息因易于修改而有人作伪；冒用别人名义发送信息；发出收到信件后又加以否认。 4、数字时间戳技术。在电子商务交易的文件中，时间是十分重要的信息，是证明文件有效性的主要内容。在签名时加上一个时间标记，即有数字时间戳DigitaTimestamp的数字签名方案：验证签名的人或以确认签名是来自该小组，却不知道是小组中的哪一个人签署的。指定批准人签名的真实性，其他任何人除了得到该指定人或签名者本人的帮助，否那么不能验证签名。 二、数字认证及数字认证授

8、权机构 1、数字证书。数字证书也叫数字凭证、数字标识，它含有证书持有者的有关信息，以标识他的身份。数字证书克服了密码在平安性和方便性方面的局限性，可以控制哪些数据库能够被查看，因此提高了总体的保密性。 2、电子商务数字认证授权机构。电子商务交易需要电子商务证书，而电子商务认证中心CA就承当着网上平安电子交易认证效劳、签发数字证书并确认用户身份的功能。三.电子商务信息平安协议 1、平安套接层协议。平安套接层协议SecureSocketsLayer，SSL是由NetscapeCommunication公司1994年设计开发的，主要用于提高应用程序之间的数据的平安系数。SSL协议的整个概念可以被总结

9、为：一个保证任何安装了平安套接层的客户和效劳器之间事务平安的协议，该协议向基于TCP/IP的客户/效劳器应用程序提供了客户端与效劳的鉴别、数据完整性及信息机密性等平安措施。 2、平安电子交易公告。平安电子交易公告SET：SecureElectronicTransactions是为在线交易设立的一个开放的、以电子货币为根底的电子付款系统标准。SET在保存对客户信用卡认证的前提下，又增加了对商家身份的认证。SET已成为全球网络的工业标准。 3、平安超文本传输协议S-HTTP。依靠密钥的加密，保证Web站点间的交换信息传输的平安性。SHTTP对HT-TP的平安性进行了扩充，增加了报文的平安性，是基于

10、SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等平安措施。 4、平安交易技术协议STT。STT将认证与解密在浏览器中别离开，以提高平安控制能力。 5、UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。在ISO发布的IS09735即UN/EDI-FACT语法规那么新版本中，包括描述UN/EDIFACT中实施平安措施的五个新局部，即：第五局部批式电子商务可靠性、完整性和不可抵赖性的平安规那么；第六局部平安鉴别与确认报文AUTACK；第七局部批式电子商务机密性的平安规那么；第九局部平安密钥和证书管理报告KEYMAN；第十局部交互式电子商务的

11、平安规那么。 6、?电子交换贸易数据统一行为守那么?UNCID。UNCID由国际商会制定，该守那么第六条、第七条、第九条分别就数据的保密性、完整性及贸易双方签订协议等问题做了规定。四、电子商务中的信息平安对策 1、提高对网络信息平安重要性的认识。信息技术的开展，使网络逐渐渗透到社会的各个领域，在未来的军事和经济竞争与对抗中，因网络的崩溃而促成全部或局部的失败，决非不可能。我们在思想上要把信息资源共享与信息平安防护有机统一起来，树立维护信息平安就是保生存、促开展的观念。我国公民中的大多数人还是“机盲、“网盲，另有许多人仅知道一些关于网络的浅薄知识，或仅会进行简单的计算机操作，对网络平安没有深刻认

12、识。应该以有效方式、途径在全社会普及网络平安知识，提高公民的网络平安意识与自觉性，学会维护网络平安的根本技能。 2、加强网络平安管理。我国网络平安管理除现有的部门分工外，要建立一个具有高度权威的信息平安领导机构。只有在中央建立起这样一个组织，才能有效地统一、协调各部门的职能，研究未来趋势，制定宏观政策，实施重大决定。对于计算机网络使用单位，要严格执行?中华人民共和国计算机信息系统平安保护条例?与?计算机信息网络平安保护管理方法?，建立本单位、本部门、本系统的组织领导管理机构，明确领导及工作人员责任，制定管理岗位责任制及有关措施，严格内部平安管理机制。具体的平安措施如：把好用户入网关、严格设置目

13、录和文件访问的权限，建立对应的属性措施，采用控制台加密封锁，使文件效劳器平安可靠；用先进的材料技术，如低阻材料或梯性材料将隔离设备屏蔽起来，降低或杜绝重要信息的泄露，防止病毒信息的入侵；运用现代密码技术，对数据库与重要信息加密；采用防火墙技术，在内部网和外部网的界面上构造保护层。 3、加快网络平安专业人才的培养。我国需要大批信息平安人才来适应新的网络平安保护形势。高素质的人才只有在高水平的研究教育环境中迅速成长，只有在高素质的队伍保障中不断提高。应该加大对有良好根底的科研教育基地的支持和投入，多出人才，多出成果。在人才培养中，要注重加强与国外的经验技术交流，及时掌握国际上最先进的平安防范手段和

14、技术措施，确保在较高层次上处于主动。要加强对内部人员的网络平安培训，防止堡垒从内部攻破。 4、开展网络平安立法和执法。一是要加快立法进程，健全法律体系。自1973年世界上第一部保护计算机平安法问世以来，各国与有关国际组织相继制定了一系列的网络平安法规。我国政府也十分重视网络平安立法问题，1996年成立的国务院信息化工作领导小组曾设立政策法规组、平安工作专家组，并和国家保密局、平安部、公安部等职能部门进一步加强了信息平安法制建设的组织领导与分工协调。我国已经公布的网络法规如：?计算机软件保护条例?、?中华人民共和国计算机信息系统平安保护条例?、?中华人民共和国信息网络国际联网平安管理暂行规定?、

15、?计算机信息网络国际联网管理方法?、?计算机信息系统国际联网保密管理规定?等。1997年10月1日起生效的新?刑法?增加了专门针对信息系统平安的计算机犯罪的规定：违犯国家规定，侵入国家事务、国防建设、尖端科学领域的计算机系统，处三年以下有期徒刑或拘役；违犯国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机系统不能正常运行，后果严重的处五年以下有期徒刑，后果特别严重的处五年以上有期徒刑；违犯国家规定，对计算机信息系统存储、处理或者传输的数据与应用程序进行删除、修改、增加操作，后果严重的应负刑事责任。这些法规对维护网络平安发挥了重要作用，但不健全之处还有许多。一是应该结合我国实际

16、，吸取和借鉴国外网络信息平安立法的先进经验，对现行法律体系进行修改与补充，使法律体系更加科学和完善；二是要执法必严，违法必纠。要建立有利于信息平安案件诉讼与公、检、法机关办案的制度，提高执法的效率和质量。 5、抓紧网络平安根底设施建设。一个网络信息系统，不管其设置有多少道防火墙，加了多少级保护或密码，只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的，就没有平安可言；这正是我国网络信息平安的致命弱点。国民经济要害部门的根底设施要通过建设一系列的信息平安根底设施来实现。为此，需要建立中国的公开密钥根底设施、信息平安产品检测评估根底设施、应急响应处理根底设施等。 6、把好网络

17、建设立项关。我国网络建设立项时的平安评估工作没有得到应有重视，这给出现网络平安问题埋下了伏笔。在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时，在立项时更应注重对网络的可靠性、平安性评估，力争将平安隐患杜绝于立项、决策阶段。 7、建立网络风险防范机制。在网络建设与经营中，因为平安技术滞后、道德标准苍白、法律疲软等原因，往往会使网络经营陷于困境，这就必须建立网络风险防范机制。为网络平安而产生的防止和躲避风险的方法有多种，但总的来讲不外乎危险产生前的预防、危险发生中的抑制和危险发生后的补救。有学者建议，网络经营者可以在保险标的范围内允许标保的财产进行标保，并在出险

18、后进行理赔。 8、强化网络技术创新。如果在根底硬件、芯片方面不能自主，将严重影响我们对信息平安的监控。为了建立起我国自主的信息平安技术体系，利用好国内外两个资源，需要以我为主，统一组织进行信息平安关键技术攻关，以创新的思想，超越固有的约束，构筑具有中国特色的信息平安体系。特别要重点研究关键芯片与内核编程技术和平安根底理论。 9、注重网络建设的标准化。没有统一的技术标准，局部性的网络就不能互连、互通、互动，没有技术标准也难以形成网络平安产业规模。目前，国际上出现许多关于网络平安的技术标准、技术标准，目的就是要在统一的网络环境中保证信息的绝对平安。我们应从这种趋势中得到启示，在同国际接轨的同时，拿

19、出既符合国情又顺应国际潮流的技术标准。 10、建设网络平安研究基地。应该把我国现有的从事信息平安研究、应用的人才很好地组织起来，为他们创造更优良的工作学习环境，调动他们在信息平安创新中的积极性。一是要落实相关政策，在收入、福利、住房、职称等方面采取优惠政策；二是在他们的科研立项、科研经费方面采取倾斜措施；三是创造有利于研究的硬环境，如仪器、设备等；四是提供学习交流的时机。11、促进网络平安产业的开展。扶持具有中国特色的信息平安产业的开展是振兴民族信息产业的一个切入点，也是维护网络平安的必要对策。为了加速开展我国的信息平安产业，需要尽快解决资金投入、对外合作、产品开发、平安评测、销售管理、采购政策、利益分配等方面存在的问题。【参考文献】1屈云波.电子商务M.北京：企业管理出版社，1999.2赵立平.电子商务概论M.上海：复旦大学出版社，2000.3赵战生.我国信息平安及其技术研究J.中国信息导报，19998：5-7.4郭晓苗.Internet上的信息平安保护技术J.现代图书情报技术，2000，3：50-51.5吉俊虎.网络和网络平安刍议J.中国信息导报，1989，9：23-24.9