《电子商务安全防范的策略.docx》由会员分享,可在线阅读,更多相关《电子商务安全防范的策略.docx(6页珍藏版)》请在三一办公上搜索。
1、电子商务安全防范的策略电子商务安全防范的技术策略 一、从科技层面加强防范措施 几种主要的电子商务安全技术 1.加密技术 加密技术是电子商务才去的主要安全措施,是实现信息的保密性、完整性的核心。加密技术一方面以用于数据、文件加密,另一方面也是身份认证、数字签名等安全技术的基础。按照密钥的不同,加密技术主要有对称型密钥体制和非对称型密钥体制。对称密码体制也称为私钥密码体制,发送方和接受方都必须使用相同的密钥对消息进行加密和解密运算。目前比较通用的堆成加密算法有RC4和DES等。对称加密算法最大的优势就是开销小、加密速度快,所以广泛应用于对大量数据如文件进行加密。它的局限性在于通信双方要确保密钥的安
2、全交换,密钥的分发和管理非常复杂,而且无法鉴别交易发起方或交易最终方。非对称型密钥加密也称为公开密钥算法,需要两个密钥:对外公开的公开密钥和自己保存的私有密钥。公开密钥用于对机密信息加密,私有密钥用于对机密信息解密。由于公开密钥是公开存放,迷药的分配和管理问题很容易解决。然而,公钥加密算法速度比私钥加密算法慢的多,同时公开加密方式对资源的占用较大,网络传输速度将受到影响。在实际应用中,通常将两种加密技术集合起来。数字信封即利用了两种加密技术的优点,先采用公钥密码加密传送的信息,从而确保信息的安全性。 2.安全认证技术 一种是数字摘要与数字签名技术。数字摘要技术也称为散列技术。摘要技术采用Has
3、h函数将徐加密的明文映射成一串较短的定长密文,这一串密文亦称为数字指纹,可以确保数据不被修改,保证信息的完整性。数字签名就运用了数字摘要技术,与传统签字具有同样的有效性,其原理如下:报文发送方从报文文体中生成一个128位的报文摘要,并用自己的私有密钥对这个摘要进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的消息摘要,接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个摘要相同,那么接收方就能确认该数字签名是发送方的。数字签名技术可以保证信息传输过程中的完整性,提供信息发送者的身份认证和
4、不可抵赖性。 另一种是数字证书。数字证书又称数字凭证,由可信任的、公正的权威机构CA中性颁发。CA中心对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书,来确认各方身份的真实性、合法性及对网络资源的访问权限等,保证网上支付的安全性。 3.数字水印技术 数字水印是指用信号处理的方法在数字多媒体数据中嵌入隐蔽的标记,这种标记通常是不可见的,只能通过专用的检测器或阅读器提取,它并不改变数字产品的基本特性和使用价值。数字水印的基本思想是利用人类的感觉器官的不敏感,以及数字信号本身存在的冗余,在图像、音频和视频等数字产品中嵌入秘密的信息以便记录其版权,要求嵌入的信息能够抵抗一些攻击而生
5、存下来,从而到版权认证和保护的功能。一个完整的数字水印系统应包含三个基本部分:水印的生成、水印的嵌入和水印的提取或检测。水印嵌入算法利用对称密钥实现把水印嵌入到原始载体信息中,得到隐秘载体。水印检测/提取算法利用相应的密钥从隐秘体中检测或恢复出水印。在没有解密密钥的情况下,攻击很难从隐秘载体中发现和修改水印。 安全技术在电子商务中的应用 1.加密技术在电子商务中的应用 灵活运用加密技术,可以有效地解决电子商务的很多安全问题。例如,数字信封技术结合了对称密码体制和非对称密码体制的优点,保证了电子交易过程中只有规定的特定收信人才能阅读通信的内容。信息发送方首先利用随机产生的对称密钥来加密信息,然后
6、用接收方的公开密钥加密对称密钥,被加密后的对称密钥即数字信封。在传递信息时,发送方将数字信封和加密后的信息一起发送给接收方,接收方必须使用自己的私有密钥进行数字 信封的拆解,得到对称密钥,才能利用对称密钥进行解密看到信件内容。因此,采用数字信封技术后,即使加密信件被他人非法截获,截获者也无法知晓信件内容,从而保证了只有规定的人才能阅读信息的内容。利用非对称密码体制的常用算法RSA算法可以实现不可抵赖性。甲向乙发送数据时,先用MD5算法计算要发送的数据的信息摘要,再用自己的私有密钥对摘要进行加密来形成数字签名。乙收到数据后,用甲的公开密钥解密并确认数据内容。然后乙用自己的私有密钥再对数据进行签名
7、并传送给甲。甲收到数据后,用乙的公开密钥进行解密并确认数据内容,将内容保存起来。通过这样的操作,甲不能否认自己发送了数据,乙也不能否认自己收到了甲发送来的数据,从而实现了不可抵赖性。 2.安全认证技术在电子商务中的应用 身份认证是实现网络安全的重要机制之一。参与电子商务的各方必须通过某种形式的身份验证来证明他们的身份,验证用户的身份与所宣称的是否一致,从而实现对于不同用户的访问控制和记录。身份认证可以通过数字签名和数字证书来实现。如果接受方能够成功解密数字签名,就可以对发送对发送方进行身份认证,确认传送信息的完整性。然而,如果接受方获得的公开密钥不是发送方的,数字签名就失效了。因此,仅有数字签
8、名不能实现身份认证。书证书提供了一种验证用户身份的方式,能够确认公钥的确属于某个用户,任何需要此用户公钥的人都可以得到此证书并通过相应的数字签名来验证公钥的有效性。目前,常见的身份认证方式和基于生物特征的认证方式等。 3.数字水印技术在电子商务中的应用 数字水印将姓名、公司代号、产品序列号等信息隐藏到载体中,从而可以认定签署人身份、信息的来源、信息的完整性与安全性等。因而可以在加密信件、商务活动、定货购买系统、远程金融交易、自动模式处理等电子商务和电子政务领域广泛地应用数字水印技术,以达到保护版权的目的。从传统商务向电子商务转化的过程中,会出现大量过度性的电子文件。同时,随着高质量图像输入输出
9、设备的发展,使得货币、支票以及其他票据的伪造变的更加容易。数字水印技术可以为各种票据提供不可见的认证标志,大大增加了伪造的难度,从而被广泛应用于票据防伪。我们可以在彩色打印机、复印机输出的图像中加入惟一的、不可见的水印,在需要时可以实时地从扫描票据中判断水印的有无。 二、从管理环境加强防范措施 提高安全管理意识,完善管理体制和管理环境 1.从整体上有计划地考虑信息安全问题 由于各部门、公司存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的相关内容。应收集现有的已发生的电子商务安全问题及解决方案,向企业从事电子商务操作的人员及客户搜集电子商务信息安全所面临的潜在
10、的问题得到解决,并将其存储到数据库,使其于相应问题连接可以保证电子商务操作人员在面临安全问题并试图解决时能尽快获得必要的信息。 2.加快信息安全人才的培养 通过各种形式,如笔试、面试及其他测试来进行初级选拔,经过一定时间的考察,选拔责任心强、讲原则守纪律、了解市场并懂得基本网络知识和安全知识的人员。对于重要的业务,尤其是企业机密文件及用户资料等业务不要安排一个人单独管理,应实行两个人或多个人相互制约的机制;重要业务操作人员及交易安全等职务的任期有限;对于网络访问权限耳的设定应保证不同业务的人员具有不同的访问权限。 3.提高企业和公众安全意识 要求电子商务网上交易人员严格遵守企业网上交易安全制度
11、,明确网上交易人员及管理人员的责任,重视管理,避免“重技术、轻管理”的现象。电子商务管理安全时一个交互的过程,“三分技术,七分管理”阐述了信息安全的本质。当面临安全问题的时应及时汇报,并对违反网上交易安全规定的行为进行惩罚,对有关责任人应进行严肃处理。 4.建立信息安全的监督审计机制 定期对安全制度和安全策略进行审计,对安全管理工作进行核查,找出安全管理中的问题和漏洞,并制定相应的解决方案进行安全加固。 建立行之有效的电子商务安全运行体系 一要做好电子商务网站的安全评估,要聘请专家对电子商务网站进行安全水品评估,及时发现安全隐患,及早赌赛安全漏洞。要建立安全体系架构。包括网络拓扑结构,内网和外
12、网连接方式等要合理。再次是做好病毒的防护,在企业中培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。最后是综合采用多种安全技术,包括防火墙技术、入侵检测技术、数字加密技术、数字签名技术、认证技术等,确保网站系统、信息及数据的安全于保密。 二要建立健全电子商务法律法规,严厉打击电子商务领域违法犯罪行为。为保证电子商务活动得以正常行动,*需要提供一个透明、和谐的商业法律环境。目前,我国急需制定的有关电子商务的法律法规主要有买卖双方身份认证办法、电子合同的合法性程序、电子支付系统安全措施、信息保密规定、知识产权侵权处理规定、税收征收办法、广告的管制以及网络信息内容过滤等。另外建议国家司法部门加大网络犯罪的侦查追究力度,严厉打击电子商务领域犯罪,营造电子商务的一片净土。 三要实行诚信认证,提高企业荣誉,增加网民购物热情。资金流是电子商务业务流程的重要环节,服务于电子商务资金流的网络支付于结算已经成为商务各方关注的焦点。鉴于目前网民购物普遍怕上当受骗的心理,为提高网民购物信心,*应出台新举措。在此,建议借鉴国际ISO9001认证体系,实行电子商务网站诚信认证,在全国或地方消费者协会成立企业诚信认证机构,设计一系列诚信考核指标对企业进行考核;率先在全国推出几个优秀的、经过诚信认证的电子商务网站,并在官方网站或新闻媒体大力宣传,以点带面,逐渐推广