[關鍵詞] 網絡安全交易安全安全技術安全措施
一、引言
電子商務的發展遠景十分誘人,而其安全題目也變得越來越突出,如何建立一個安全、便捷的電子商務應用環境,對資訊提供足夠的保護,已經成爲商家和用戶都十分關心的話題。
二、電子商務存在的安全題目
1.計算機網絡安全
(1)潛伏的安全隱患。未進行操縱系統相關安全配置。不論採用什麼操縱系統,在缺省安裝的條件下都會存在一些安全題目,只有專門針對操縱系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。
(2)未進行CGI程序代碼審計。網站或軟件供給商專門開發的一些CGI程序,很多存在嚴重的CGI題目,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
(3)安全產品使用不當。由於一些網絡安全設備本身的題目或使用題目,這些產品並沒有起到應有的作用。很多廠商的產品對配置職員的技術背景要求很高,超出對普通網管職員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但系統改動,在改動相關安全產品的設定時,很輕易產生很多安全題目。
(4)缺少嚴格的網絡安全治理制度
網絡安全最重要的還是要思想上高度重視,網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。
2.商務交易安全
(1)竊取資訊。由於未採用加密措施,資訊在網絡上以明文形式傳送,進侵者在數據包經過的網關或路由器上可以截獲傳送的資訊。透過多次竊取和分析,可以找到資訊的規律和格式,進而得到傳輸資訊的內容,造成網上傳輸資訊泄密。
(2)篡改資訊。當進侵者把握了資訊的格式和規律後,透過各種技術手段和方法,將網絡上傳送的資訊數據在中途修改,然後再發向目的地。
(3)假冒。由於把握了數據的格式,並可以篡改透過的資訊,攻擊者可以冒充正當用戶發送假冒的資訊或者主動獲取資訊,而遠端用戶通常很難分辨。
(4)惡意破壞。由於攻擊者可以接進網絡,則可能對網絡中的資訊進行修改,把握網上的機要資訊,甚至可以潛進網絡內部,其後果是非常嚴重的。
三、電子商務安全技術
1.加密技術
(1)對稱加密/對稱密鑰加密/專用密鑰加密
該方法對資訊的加密和解密都使用相同的密鑰。使用對稱加密方法將簡化加密的處理,每個貿易方都不必彼此研究和交換專用的加密算法而是採用相同的加密算法並只交換共享的專用密鑰。假如進行通訊的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以透過對稱加密方法加密機密資訊和透過隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密/公然密鑰加密
這種加密體系中,密鑰被分解爲一對。這對密鑰中的任何一把都可作爲公然密鑰透過非保密方式向他人公然,而另一把則作爲專用密鑰加以儲存。公然密鑰用於對機密性的加密,專用密鑰則用於對加密資訊的解密。專用密鑰只能由天生密鑰對的貿易方把握,公然密鑰可廣泛發佈,但它只對應於天生該密鑰的貿易方。
(3)數字摘要
該方法亦稱安全Hash編碼法或MD5。採用單向Hash函數將需加密的明文“摘要”成一串128bit的密文,即數字指紋,它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這摘要便可成爲驗證實文是否是“真身”的“指紋”了。
(4)數字簽名
資訊是由簽名者發送的;資訊在傳輸過程中未曾作過任何修改。這樣數字簽名就可用來防止電子資訊因易被修改而有人作僞;或冒用別人名義發送資訊;或發出(收到)信件後又加以否認等情況發生。