电子商务信息 安全风险分析与防范策略 [摘要] 该文首先分析了电子商务系统在安全方面的需求,介绍了相关核心技术。然后提出了相关的防范策略,具体分析各种电子交易模式以及这些模式如何克服电子商务系统在信息安全方面的脆弱性。 [关键词] 电子商务 安全 风险 协议 防范 一、引言 Intemet 的迅速进展使电子商务应运而生,对电子商务可以有狭义和广义两种理解:作为在线销售的电子商务;作为现有业务扩展的电子商务。电子商务具有许多优势,譬如高效率、低成本;同时,电子商务也会提供各种各样的机会,因为中小型公司和太公司站在相同的起跑线上但迄今为止,真正开始实施电子商务的企业还不多,绝大多数企业还在持观望态度,电子商务通远远谈不上普及。这其中的原因主要有以下三个点:(1)人的因素;(2)立法问题;(3)安全问题。其中信息安全问题可以说是电子商务活动的最大障碍,电子商务信息安全是制约电子商务建设与进展的首要问题和核心问题。 二、电子商务对信息安全的需求和风险分析 信息安全的目的是:保护一个系统不会受到未经授权的访问,使系统的正常工作不会被非法干预,同所有计算机系统一样,电子商务系统安全必须具有保密性、完整性及可用性三个特征。 1.保密性(Confidentiality) 保密性是指计算机系统的资源应该仅能由授权团体读取。对电子商务系统来说,它意味着系统所提供的服务应满足:(1)私有交易不会被其他人截获及读取;(2)假如可能,应确保交易的匿名性,使交易不会被追踪,任何人无法利用“发生交易”这样一个事实本身来达到别的目的。 完整性(Integrity) 完整性指资源只能由授权实体修改。电子商务系统的完整性要求它提供的服务应满足:消息完整性,指通信过程中接收到的消息确实是实际发送的消息,不可能在传输过程中被篡改,也不可能是一条伪造的消息;身份认证(Authendcation),通信的双方应能确定对方的身份,知道对方确实是他所自称的那一位。在这里,确定的意思并不完全意味着确实知道对方的身份,因有时由于交易匿名性的需要,不能确知对方的准确身份,但应能做到知道自己是在与一个可靠的对象通信。端否认性(Non-repudiation):一旦事务结束,有关各方都不能否认自己参加过这次事务。 可用性(Availability) 可用性指一旦用户得到访问某一资源的极限,该资源就应该能够随时为他使用,而不应该将其保护起来使用户的合法权益受到损害。在电子商务系统中,提高系统可用性有时还意味着用户仅需经一次...
