您好, 访客   登录/注册

电子商务中的网络安全问题

来源:用户上传      作者: 翟建华

  电子商务是互联网应用发展的必然趋势,也是国际金融贸易中越来越重要的经营模式。安全是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的话题。由于电子商务是在公开的因特网上进行的,支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理,所以,其安全问题引起了广泛重视。计算机诈骗、计算机病毒等造成的商务信息被窃、篡改和破坏,以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。因此,保证商务信息的安全是进行电子商务的前提。
  
  一、电子商务的涵义
  
  随着因特网的飞速发展和信息经济、网络经济等概念的提出,电子商务受到人们越来越多的关注。电子商务很难有一个统一说法,许多专家和学者都尝试从不同角度来界定电子商务的内涵和外延。总体而言,人们对电子商务的认识大致归为广义和狭义之分。狭义的电子商务也称为电子贸易,主要是指借助计算机网络进行网上的交易活动。广义的电子商务则包括电子交易在内的、通过Internet进行的各种商务活动,这些商务活动不仅仅局限于企业之间,也包含在企业内部、个人和企业之间发生的一切商务活动。我们在这里所涉及的电子商务是广义的电子商务,即E-business。
  
  二、电子商务中的网络安全问题
  
  一般来说,电子商务中面临的网络安全问题主要有以下几种:
  (一)信息在网络的传输过程中被截获。攻击者可能通过互联网、公共电话网、在电磁波辐射范围内安装接收装置等方式,截获传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的银行账号、密码等。
  (二)传输的文件可能被篡改。攻击者可能从三个方面破坏信息的完整性:(1)篡改,即改变信息流的次序,更改信息的内容,如购买商品的出货地址;(2)删除,即删除某个信息或消息的某些部分;(3)插入,即在消息中插入一些信息,让接受方读不懂或接受错误的信息。
  (三)伪造电子邮件。主要有这样几种情况:(1)虚开网站和商店,给用户发电子邮件,收订货单;(2)给伪造的用户发恶意的电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;(3)伪造用户,发大量的电子邮件,窃取商家的商品信息和用户信用等信息。
  (四)假冒他人身份。(1)冒充他人身份,如冒充领导发布命令、调阅密件;(2)冒充他人消费、栽赃;(3)冒充主机欺骗合法主机及合法用户;(4)冒充网络控制程序,套取或修改使用权限、密钥等信息;(5)接管合法用户,欺骗系统,占用合法用户的资源。
  (五)不承认已经做过的交易(即抵赖)。电子商务交易中可能存在着:(1)发信者事后否认曾经发送过某条信息或内容;(2)收信者事后否认曾经收到过某条信息或内容;(3)购买者做了订货单不承认;(4)商家卖出的商品因价格差而不承认原有的交易。
  
  三、电子商务网络安全策略
  
  (一)电子商务安全网络技术对策
  1、使用加密技术。可通过适当的密钥加密技术和管理机制,来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES)算法为典型代表,非对称加密通常以RSA算法为代表。根据电子商务系统的特点,全面加密保护应该包括对远程通信过程中、网内通信过程中传输的数据实施加密保护。而实际上,并非系统中的所有数据都需要加密。一般来说,管理级别越高,所拥有的数据保密要求也就越高,而某些用户涉及的数据可能不需要任何级别的加密。
  2、使用数字签名技术。数字签名的加密解密过程和密钥的加密解密过程虽然都使用公开密钥体系,但实现的过程正好相反,使用的密钥对也不同。数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接收方用发送方的公开密钥进行解密,这是一个一对多的关系,即任何拥有发送方公开密钥的人都可以验证数字签名的正确性。
  3、数据保密方法。在这种方法中,一个属性的值被划分到互不相交而且互不相容的类中。考虑离散化的特殊条件是将一个属性的值离散化为一个一个的区间,而且所有的区间不需要等长。例如,一个属性中的薪水可以被离散化为10K的区间或更高的50K的区间。即用户提供一个值所位于的区间而不是该属性的真实值。离散化的方法是一个隐藏一个个体真实值的常用方法。增加区间的长度,因而区间的个数减少。所以,离散化方法与均匀分布相比精度要差一些。而正态分布在信息水平越高时,保密程度越高,因而优于其他两种方法。
  4、配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它可以确定哪些内部服务允许外部访问,哪些外部服务可由内部人员访问,即它能控制网络内外的信息交流,提供接入控制和审查跟踪,是一种访问控制机制。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控内部网和Internet之间的任何活动,保证内部网络的安全。
  (二)电子商务网络安全管理对策
  1、建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
  2、建立系统维护制度。该制度是企业网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介入,主要做好硬件系统日常管理维护和软件系统日常管理维护两方面的工作。
  3、病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要有定期清理病毒、及时升级防病毒软件版本、及时通报病毒入侵信息等工作。此外,还可以将网络系统中易感染病毒的文件属性、权限加以限制,对各终端用户,只许他们具有只读权限,断绝病毒入侵的渠道,从而达到预防的目的。
  (三)用法律维护网络安全。网络安全问题不仅仅是一个技术性问题,它还与社会法律、道德、行业管理以及人们的行为模式紧密地联系在一起。如果网络入侵者不是去窃取信息或篡改数据,而只是去阻塞网站,对于这种原始而野蛮的攻击方式靠单纯的技术手段是很难解决的。在信息化发展初期,保障基于互联网的电子商务信息安全,必须依靠法律的强制制裁力。■


转载注明来源:https://www.xzbu.com/2/view-413380.htm