电子商务中的信息安全论文

电子商务中的信息安全论文

一、电子商务中的信息安全隐患

(一)信息安全攻击

信息攻击是指危及网络信息安全的任何行为。对一个计算机系统或网络安全的攻击存在多种形式。

1、信息截获

信息截获是指一个信息未授权方获取了对信息的访问。

2、信息伪造

信息伪造是指未授权方将伪造的对象插入系统传输给信息接收者。

3、信息中断

信息中断是指信息传输被破坏变得不可利用或不可使用。

4、信息篡改

信息篡改是指未授权方不仅获取了对信息的访问而且篡改了信息。

(二)信息安全服务

信息安全服务是指加强一个组织的数据处理系统及信息传送安全性的一种服务。安全服务的主要目的就是对抗攻击,归纳起来主要包含以下几个方面的内容:

1、信息的机密性

信息的机密性又称数据保密性,是指在电子商务的信息传播中,一些敏感的商业信息不会被非法窃取,或即使被窃取,窃取者也不能读懂信息,如:交易双方进行交易的内容不被第三方窃取、交易一方提供给另一方使用的文件不被第三方非法使用等。其次,与保密性相关的还有隐私权,隐私权是参与电子商务的个人非常关心的一个问题。如果没有保密性就可能会损害到隐私。如果侵犯隐私的问题不解决,对于个人用户来说参与电子商务,将是一件很危险的事情。

2、信息的完整性

它包括两层含义:一是数据传输的真实性,即信息在网络传输过程中没有被篡改,保持与原信息的一致性;二是数据传输的统一性,即数据传输的次序和模式的固定性,不能任意改变。只有保持信息传输的完整性,才一能保证商务交易的公正性与合法性。

3、信息的不可抵赖性

信息的不可抵赖性又称不可否认性,是指信息的发送方或接收方在发送或接收信息之后,有充分的证据证明双方已经发生过的收发行为,而这些证据一般也是对双方公开的,这样就保证了收发双方都不能对收到和发送的信息抵赖,减少了交易纠纷。

4、易者身份认证性

交易者身份认证性是指在电子商务的网上交易过程中,能够确定对方的真实身份及从事的真实业务,尤其在涉及到一些敏感信息如信用卡、账号等的真实有效性,以防止不必要的利益损失。在电子交易中,第三方有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。可见,身份认证是电子商务中的一个重要环节。

二、电子商务安全技术

(一)防火墙技术

防火墙是指隔离在本地网络与外界网络间的一道防御系统。防火墙是一种计算机硬件和软件的组合,在互联网与内部网之间建立一个安全的网关,从而保护内部网免受非法用户的侵入。防火墙的技术有:数据包过滤,数据包过滤型防火墙在OSI网络模型的网络层和传输层,根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发,其余的则被丢弃;网关技术,这一类型的防火墙工作在OSI中的应用层,通过对各种应用服务专门的程序,实现监视控制数据流;电路级网关技术,依赖于TCP联接,对数据包不进行任何附加的过滤和包处理,直接转发。

(二)加解密技术

信息加密技术是保证网络、信息安全的核心技术,是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成不可理解的密文,阻止非法用户获取和理解原始数据,从而确保数据的保密性。明文变成密文的过程称为加密,由密文还原成明文的过程称为解密,加解密使用的可变参数叫做密钥。根据密码算法所使用的加密密码和解密密码是否相同、能否由加密密钥推导出解密密钥,可将密码算法分为对称密码算法和非对称密码算法。

1、对称加密

如果一个加密系统的加密密钥和解密密钥相同,或者虽然不相同,但是由其中任意一个可以很容易的推导出另一个,所采用的就是对称密码算法。

2、非对称加密

如果一个加密系统的加密密钥和解密密钥不相同,并且由加密密钥推导出解密密钥是计算上不可行的,所采用的就是非对称加密算法。

(三)安全认证

在一个完整的电子商务活动中,所有的交易信息都是通过电子数据的方式进行交换,交易各方不直接见面,对于交易各方合法身份的识别是电子商务技术的关键,这就需要身份认证,为实现交易的完整性和不可抵赖性也需要认证技术。认证技术包括数字签名技术,身份认证技术和认证协议。

(四)安全协议

电子商务的在线支付是通过Internet完成的,必须使用安全协议来保证支付信息传输的安全、交易方的合法身份的确认及支付过程的完整。在国际上,电子商务的安全机制正在走向成熟,并逐渐形成了一些国际规范,比较有代表性的有SSL和SET。