2018电子商务信息 安全风险分析与防范策略

1146335

　　　[摘要] 该文首先分析了电子商务系统在安全方面的需求，介绍了相关核心技术。然后提出了相关的防范策略，具体分析各种电子交易模式以及这些模式如何克服电子商务系统在信息安全方面的脆弱性。
　　[关键词] 电子商务 安全 风险 协议 防范
　　
　　一、引言
　　
　　Intemet的迅速发展使电子商务应运而生，对电子商务可以有狭义和广义两种理解：作为在线销售的电子商务；作为现有业务扩展的电子商务。电子商务具有许多优势，譬如高效率、低成本；同时，电子商务也会提供各种各样的机会，因为中小型公司和太公司站在相同的起跑线上但迄今为止，真正开始实施电子商务的企业还不多，绝大多数企业还在持观望态度，电子商务通远远谈不上普及。这其中的原因主要有以下三个点：(1)人的因素；(2)立法问题；(3)安全问题。其中信息安全问题可以说是电子商务活动的最大障碍，电子商务信息安全是制约电子商务建设与发展的首要问题和核心问题。
　　
　　二、电子商务对信息安全的需求和风险分析
　　
　　信息安全的目的是：保护一个系统不会受到未经授权的访问，使系统的正常工作不会被非法干预，同所有计算机系统一样，电子商务系统安全必须具有保密性、完整性及可用性三个特征。
　　1.保密性(Confidentiality)
　　保密性是指计算机系统的资源应该仅能由授权团体读取。对电子商务系统来说，它意味着系统所提供的服务应满足:(1)私有交易不会被其他人截获及读取;(2)如果可能，应确保交易的匿名性，使交易不会被追踪，任何人无法利用“发生交易”这样一个事实本身来达到别的目的。
　　2.完整性(Integrity)
　　完整性指资源只能由授权实体修改。电子商务系统的完整性要求它提供的服务应满足：（1）消息完整性，指通信过程中接收到的消息确实是实际发送的消息，不可能在传输过程中被篡改，也不可能是一条伪造的消息；（2）身份认证(Authendcation)，通信的双方应能确定对方的身份，知道对方确实是他所自称的那一位。在这里，确定的意思并不完全意味着确实知道对方的身份，因有时由于交易匿名性的需要，不能确知对方的准确身份，但应能做到知道自己是在与一个可靠的对象通信。端否认性(Non-repudiation)：一旦事务结束，有关各方都不能否认自己参与过这次事务。
　　3.可用性(Availability)
　　可用性指一旦用户得到访问某一资源的极限，该资源就应该能够随时为他使用，而不应该将其保护起来使用户的合法权益受到损害。在电子商务系统中，提高系统可用性有时还意味着用户仅需经一次登录就可以访问任何其他有权访问的资源，避免对访问不同的服务使用不同的登录过程。
　　4.风险分析
　　针对电子商务系统进行的攻击实际上就是试图破坏上述三大信息安全特征，进一步细分。电子商务的风险有以下4类：
　　(1)中断(干扰)，包括拒绝服务(Denial of Services)、删除数据。
　　(2)修改，如修改传输信息、修改可执行代码等。
　　(3)伪造，如冒充颐客或服务器进行交易、特洛伊木马等。
　　(4)截取，如设置网络窃听器、监视网上数据流、从数据包中获取敏感信息等。
　　
　　三、电子商务信息安全的防范策略
　　
　　1.通用技术
　　用于保证信息安全的技术通常有：加密、数字签名、身份认证、访问控制、审计以及相关方面的管理。此外，信息安全还将会影响到系统的许多组成部分，包括那些并不直接同安全相关联的成分。各种通用的安全技术，如加密技术算法(保密密钥、公开密钥)、公开密钥系统基础设施 (PKI)、各种认证技术(一次性口令、Kerberos、CA)、网络系统各层安全协议(SSL、TLS、IPSEC、PPTP、VPN)、防火墙及保密网关技术等。