浅议电子商务中的安全问题

本论文在其他论文栏目，由论文格式网整理,转载请注明来源www.lwgsw.com,更多论文,请点论文格式范文查看浅议电子商务中的安全问题

[摘要]：基于高科技时代的来临，互联网也成为人们必不可少的信息工具，而伴随着互联网的全面普及，Internet 开展的电子商务已逐渐成为人们进行商务活动的新模式，越来越多的企业和个人通过Internet 进行商务活动，电子商务的发展前景十分诱人，而商业信息的安全是电子商务的首要问题。
[关键字]：电子商务、安全、信息、技术
近年来，伴随着通信技术与计算机网络技术的飞速发展，电子商务的发展空前繁荣，受到了人们的广泛关注，并且融入到人们的日常生活中，网上购物、网上缴费等众多电子交易方式为人们缔造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界限制的,没有管理权威，这样使电子商务又面临着众多的威胁与安全隐患，严重制约其进一步发展与应用，因此，安全问题成为电子商务发展的主要障碍和关键。
一、电子商务网络的安全隐患
1、窃取信息
（1）企业或个人在进行网上交易中，数据信息在未采用加密措施情况下，在网络上传送，非交易双方的第三方攻击者便可在传送信道上对数据进行非法的截获，监听，获取数据中的信息，造成交易双方网上传输的信息泄露。
（2）交易双方在网上交易信息被第三方非法截获后，交易一方提供给另一方使用的文件很可能第三方非法使用。
2、篡改信息
电子的交易信息在网络传输的过程中，攻击者在掌握了信息格式和规律下，采用各种手段对截取的信息进行篡改和删除，这样就使信息失去了真实性和完整性。
3、身份仿冒
攻击者运用非法手段盗用合法用户身份信息，发送假冒的信息或者主动获取信息，致使被假冒一方的信誊受损或盗取被假冒一方的交易成果，从而破坏交易的可靠性。
4、恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,破坏网络的硬件或软件而导致交易信息传递丢失与谬误。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏，严重威胁着电子商务的发展。
5、其他安全威胁
随着电子商务在人们日常中的广泛应用，电子商务的安全威胁种类也日益繁多，存在于各种潜在方面，如：业务流分析，操作人员的不慎重所导致的信息泄露，媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。
二、电子商务信息的安全要素
1、机密性
传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,维护商业机密是电子商务全面推广应用的重要保障，因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保证电子商务信息的机密性就变得非常重要。
2、完整性
电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题，保持贸易各方的完整性是电子商务应用的基础。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。
3、认证性
网络环境是一个虚拟的环境,而电子商务就是在这个虚拟平台上进行的,贸易双方一般都不见面,需要一些技术和策略来进行身份确认。当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。
4、有效性
在交易的过程中贸易双方需要确定很多信息,电子商务以电子形式取代了纸张来确认这此信息,保证信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。
三、电子商务安全中的几种技术手段
电子商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行
1、防火墙(Fire Wall)技术
防火墙是一种隔离控制技术，在某个机构的网络和不安全的网络(如Internet)之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止专利信息从企业的网络上被非法输出。
2、加密技术
数据加密技术是作为一项最基本的技术，是电子商务的基石，贸易方可根据需要在信息交换的阶段使用。数据加密是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获取交易双方的真实信息。
在网络应用中一般采取两种加密形式：对称加密和非对称加密，采用何种加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来做出判断。
(1)对称加密
在对称加密方法中，对信息的加密和解密都使用相同的密钥。也就是说，一把钥匙开一把锁。这种加密算法可简化加密处理过程，贸易双方都不必彼此研究和交换专用的加密算法，如果进行通信的贸易方能够确保私有密钥在交换阶段未曾泄露，那么机密性和报文完整性就可以得到保证。不过，对称加密技术也存在一些不足，如果某一贸易方有n个贸易关系，那么他就要维护n个私有密钥。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享一把私有密钥。目前广泛采用的对称加密方式是数据加密标准(DES)，它主要应用于银行业中的电子资金转账(EFT)领域。DES对64位二进制数据加密，产生64位密文数据。使用的密钥为64位，实际密钥长度为56位(8位用于奇偶校验)。解密时的过程和加密时相似，但密钥的顺序正好相反。
(2)非对称加密/公开密钥加密
在Internet中使用更多的是公钥系统，即公开密钥加密。在该体系中，密钥被分解为一对：公开密钥PK和私有密钥SK。这对密钥中的任何一把都可作为公开密钥(加密密钥)向他人公开，而另一把则作为私有密钥(解密密钥)加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能由生成密钥对的贸易方掌握，公开密钥可广泛发布，但它只对应于生成该密钥的贸易方。在公开密钥体系中，加密算法E和解密算法D也都是公开的。虽然SK与PK成对出现，但却不能根据PK计算出SK。
常用的公钥加密算法是RSA算法，加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名，做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名，然后与发送数据一起用接收方密钥加密。这些密文被接收方收到后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然后用发布方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方发出的。由于加密强度高，而且不要求通信双方事先建立某种信任关系或共享某种秘密，因此十分适合Internet网上使用。
3、数字签名
数字签名技术是实现交易安全核心技术之一，它实现的基础就是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢？这就是数字签名所要解决的问题。数字签名必须保证以下几点：接收者能够核实发送者对报文的签名；送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名。现在己有多种实现数字签名的方法，采用较多的就是公开密钥算法。
4、数字证书
(1)认证中心
在电子交易中，数字证书的发放不是靠交易双方来完成的，而是由具有权威性和公正性的第三方来完成的。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。
(2)数字证书
数字证书是用电子手段来证实一个用户的身份及他对网络资源的访问权限。在网上的电子交易中，如双方出示了各自的数字证书，并用它来进行交易操作，那么交易双方都可不必为对方身份的真伪担心。
5.消息摘要(Message Digest)
消息摘要方法也称为Hash编码法或MDS编码法。它是由Ron rivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向Hash加密算法对所需加密的明文直接作用，生成一串128bit的密文，这一串密文又被称为“数字指纹”( Finger Print )。所谓单向是指不能被解密，不同的明文摘要成密文，其结果是绝不会相同的，而同样的明文其摘要必定是一致的，因此，摘要成为消息的“指纹”以验证消息是否“真身”，消息摘要解决了信息的完整性问题。
结语：随着电子商务的不断发展，电子交易手段将更加多样化，安全问题会变的更加重要，本文分析了目前电子商务的安全需求，使用的安全技术及仍存在的问题，并指出了与电子商务安全有关的协议技术使用范围及缺点，但必须强调说明的是，电子商务的安全运行，仅从技术角度防范是远远不够的，还必须完善电子商务立法，以规范飞速发展的电子商务现实中存在的各类问题，从而引导和促进我国电子商务快速健康发展。
参考文献：
1、吴洋.电子商务安全方法研究[D].天津大学, 2006.
2、李艳.电子商务信息安全策略研究[J].甘肃科技, 2005,(06)
3、成卫青,龚俭.网络安全评估[J].计算机工程, 2003,(02).
4、大卫·范胡斯.电子商务经济学[M].北京:机械工业出版社,2003.
5、杨善林.电子商务概论[M].北京:机械工业出版社,2003.
6、刘丽梅. 电子商务信息安全问题探讨[J ] . 物流科技,2007 ,3
7、肖德琴. 电子商务安全保密技术与应用[M] . 华南理工大学出版社,2003. 9
8、秦昌友. 浅析电子商务的安全技术[ J ]. 苏南科技开发,2007, (08).