前言：本站為你精心整理了信息安全技術(shù)管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]近些年來電子商務(wù)越來越流行，而確保電子商務(wù)正常進行的數(shù)據(jù)的可靠性、真實性、保密性越來越受到人們的關(guān)注。這些問題都可以歸結(jié)到信息安全技術(shù)之中，本文簡要介紹了電子商務(wù)及在電子商務(wù)中信息安全的基本原理，并指出了目前信息安全技術(shù)中的弱點。

[關(guān)鍵詞]電子商務(wù)信息安全加密電子商務(wù)證書電子簽名

一、前言

隨著通信網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和快速普及，人們的消費觀念和整個商務(wù)系統(tǒng)也發(fā)生了巨大了變化，人們更希望通過網(wǎng)絡(luò)的便利性來進行網(wǎng)絡(luò)采購和交易，從而導(dǎo)致了電子商務(wù)（ElectronicCommerce）的出現(xiàn)，電子商務(wù)的發(fā)展給人們的工作和生活帶來了新的嘗試和便利性，但并沒有像人們想象的那樣普及和深入，一個很重要的原因就是電子商務(wù)的安全性。美國密執(zhí)安大學(xué)一個調(diào)查機構(gòu)通過對23000名因特網(wǎng)用戶的調(diào)查顯示，超過60%的人由于擔(dān)心電子商務(wù)的安全問題而不愿進行網(wǎng)上購物。所以，研究和分析電子商務(wù)的安全性問題，充分借鑒國外的先進技術(shù)和經(jīng)驗，開發(fā)和研究出具有獨立知識產(chǎn)權(quán)的電子商務(wù)安全產(chǎn)品，這些都成為目前我國發(fā)展電子商務(wù)的關(guān)鍵。

二、電子商務(wù)中的安全隱患可分為如下幾類

1.信息的截獲和竊取。如果沒有采用加密措施或加密強度不夠，攻擊者可能通過互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝截收裝置或在數(shù)據(jù)包通過的網(wǎng)關(guān)和路由器上屆截獲數(shù)據(jù)等方式，獲取輸?shù)臋C密信息，或通過對信息流量和流向、通信頻度和長度等參數(shù)的分析，推出有用信息，如消費者的銀行帳號、密碼以及企業(yè)的商業(yè)機密等。

2.信息的篡改。當攻擊者熟悉了網(wǎng)絡(luò)信息格式以后，通過各種技術(shù)方法和手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M行中途修改，并發(fā)往目的地，從而破壞信息的完整性。這種破壞手段主要有三方面：改變信息流的次序，更改信息的內(nèi)容，如購買商品的出貨地址；刪除某個消息或消息的某些部分；在消息中插入一些信息，讓收方讀不懂或接收錯誤的信息。

3.信息假冒。當攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，主要用兩種方式進行欺騙：一是偽造電子郵件，虛開網(wǎng)站和商店，發(fā)大量的電子郵件，竊取商家的商品信息和用戶信用等信息。另一種為假冒他人身份，冒充他人消費或栽贓、冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、通行字、密鑰等信息等。

4.交易抵賴。它包括多個方面，如發(fā)信者事后否認曾經(jīng)發(fā)送過某條信息或內(nèi)容、購買者做了定貨單不承認、商家賣出的商品因價格差而不承認原有交易等。

三、電子商務(wù)安全需求

1.機密性。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密，維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取，一般通過密碼技術(shù)來對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)。

2.完整性。在電子商務(wù)中由于數(shù)據(jù)輸入時的意外差錯或欺詐等行為，可能會影響貿(mào)易各方信息的完整性，這將影響到貿(mào)易各方的交易和經(jīng)營策略，因此保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。完整性一般可通過提取信息消息摘要的方式來獲得。

3.認證性。由于網(wǎng)絡(luò)電子商務(wù)交易系統(tǒng)的特殊性，要求對人或?qū)嶓w的身份進行鑒別，即交易雙方能夠在相互不見面的情況下確認對方的身份，鑒別服務(wù)一般通過證書機構(gòu)CA和證書來實現(xiàn)。

4.不可抵賴性。在無紙化的電子商務(wù)方式下，如何確定要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易方，這一問題是保證電子商務(wù)順利進行的關(guān)鍵。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。不可抵賴性可通過對發(fā)送的消息進行數(shù)字簽名來獲取。

5.有效性。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。因此要對網(wǎng)絡(luò)故障、硬件故障及計算機病毒所產(chǎn)生的潛在威脅等加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。

四、電子商務(wù)安全中的主要技術(shù)

1.網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)，它所涉及到最重要的就是防火墻技術(shù)。防火墻是建立在通信技術(shù)和信息安全技術(shù)之上，它用于在網(wǎng)絡(luò)之間建立一個安全屏障，根據(jù)指定的策略對網(wǎng)絡(luò)數(shù)據(jù)進行過濾、分析和審計，并對各種攻擊提供有效的防范，主要用于Internet接入和專用網(wǎng)與公用網(wǎng)之間的安全連接。目前國內(nèi)使用的防火墻產(chǎn)品都是國外廠商提供的，由于他們對加密技術(shù)的限制和保護，國內(nèi)無法得到急需的安全而實用的網(wǎng)絡(luò)安全系統(tǒng)和數(shù)據(jù)加密軟件。因此我國也應(yīng)研制開發(fā)并采用自己的防火墻系統(tǒng)和數(shù)據(jù)加密軟件，以滿足用戶和市場的巨大需要。

VPN也使一項保證網(wǎng)絡(luò)安全的技術(shù)之一，它是指在公共網(wǎng)絡(luò)中建立一個專用網(wǎng)絡(luò)，數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，其各地的分支機構(gòu)就可以互相之間安全傳遞信息。使用VPN有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。

2.加密技術(shù)。加密技術(shù)是保證電子商務(wù)安全的重要手段，它包括私鑰加密和公鑰加密。私鑰加密又稱對稱密鑰加密，即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)，目前常用的私鑰加密算法包括DES和IDEA等。對稱加密技術(shù)的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進行加密，但密鑰管理困難。公鑰密鑰加密，又稱不對稱密鑰加密系統(tǒng)，它需要使用一對密鑰來分別完成家密和解密操作，一個公開，稱為公開密鑰（Public-Key）；另一個由用戶自己秘密保存，稱為私有密鑰（Private-Key）。信息發(fā)送者人用公開密鑰去加密，而信息接收者則用私有密鑰去解密，常用的算法是RSA、ElGamal等。為了充分利用公鑰密碼和對稱密碼算法的優(yōu)點，克服其缺點，提出混合密碼系統(tǒng)，即所謂的電子信封（envelope）技術(shù)。發(fā)送者自動生成對稱密鑰，用對稱密鑰加密鑰發(fā)送的信息，將生成的密文連同用接收方的公鑰加密后的對稱密鑰一起傳送出去。收信者用其秘密密鑰解密被加密的密鑰來得到對稱密鑰，并用它來解密密文。

3.數(shù)字簽名。在網(wǎng)絡(luò)環(huán)境中，可以用電子數(shù)字簽名作為模擬，數(shù)字簽名中很常用的就是散列（HASH）函數(shù)，從而為電子商務(wù)提供不可否認服務(wù)。把HASH函數(shù)和公鑰算法結(jié)合起來，可以在提供數(shù)據(jù)完整性的同時，也可以保證數(shù)據(jù)的真實性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改，而真實性則保證是由確定的合法者產(chǎn)生的HASH。把這兩種機制結(jié)合起來就可以產(chǎn)生所謂的數(shù)字簽名（DigitalSignature）。將報文按雙方約定的HASH算法計算得到一個固定位數(shù)的報文摘要（Mes-sageDigest）值。只要改動報文的任何一位，重新計算出的報文摘要就會與原先值不符。然后把該報文的摘要值用發(fā)送者的私人密鑰加密，將該密文同原報文一起發(fā)送給接收者，所產(chǎn)生的報文即稱數(shù)字簽名。數(shù)字簽名相的優(yōu)點：它不僅與簽名者的私有密鑰有關(guān)，而且與報文的內(nèi)容有關(guān)，因此不能將簽名者對一份報文的簽名復(fù)制到另一份報文上，同時也能防止篡改報文的內(nèi)容。

4.認證機構(gòu)和數(shù)字證書。對數(shù)字簽名和公開密鑰加密技術(shù)來說，都會面臨公開密鑰的分發(fā)問題。必須有一項技術(shù)來解決公鑰與合法擁有者身份的綁定問題。數(shù)字證書是解決這一問題的有效方法。它通常是一個簽名文檔，標記特定對象的公開密鑰。電子證書由一個認證中心（CA）簽發(fā)，認證中心類似于現(xiàn)實生活中公證人的角色，它具有權(quán)威性，是一個普遍可信的第三方。當通信雙方都信任同一個CA時，兩者就可以得到對方的公開密鑰從而能進行秘密通信、簽名和檢驗。證書機構(gòu)CA（CertificationAuthority）是一個可信的第三方實體，其主要職責(zé)是保證用戶的真實性。網(wǎng)絡(luò)用戶的電子身份（electronicidentity）是由CA來的，也就是說他是被CA所信任的，該電子身份就成為數(shù)字證書。護照頒發(fā)機構(gòu)和證書機構(gòu)CA都是由策略和物理元素構(gòu)成。在護照頒發(fā)機構(gòu)，有一套由政府確定的政策來判定那些人可信任為公民，以及護照的頒發(fā)過程。一個CA系統(tǒng)也可以看成由許多人組成的一個組織，它用于指定網(wǎng)絡(luò)安全策略，并決定組織中的那些人可以發(fā)給一個在網(wǎng)絡(luò)上使用的電子身份。

五、結(jié)論

安全是電子商務(wù)的核心和靈魂，沒有安全保障的電子商務(wù)應(yīng)用只是虛偽的炒作或欺騙，任何獨立的個人或團體都不會愿意讓自己的敏感信息在不安全的電子商務(wù)流程中傳輸。一句話：網(wǎng)絡(luò)應(yīng)用，安全為本。只要我國堅持在吸收、引進的前提下，組織各方面力量，獨立研制和開發(fā)具有獨立知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全和電子商務(wù)安全產(chǎn)品，逐步掌握電子商務(wù)安全的核心技術(shù)，并從宏觀上進行調(diào)節(jié)和控制，我國的電子商務(wù)安全現(xiàn)狀一定會得到極大的改善，為我國電子商務(wù)的真正發(fā)展構(gòu)筑一道牢不可破的堅固屏障。