【文章內(nèi)容簡介】 提。因此要對網(wǎng)絡故障、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防,以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點是有效的　 (6)信息可靠性、可鑒別性和不可抵賴性。可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^。不可否認要求即是能建立有效的責任機制,防止實體否認其行為。可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。在internet上每個人都是匿名的,電子商務系統(tǒng)應充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴。接收方在接收數(shù)據(jù)后也不能抵賴。 電子商務在信息交互主要的安全問題 公眾是電子商務的對象,信息技術是實現(xiàn)電子商務的基礎,電子商務實施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務活動中的信息安全問題主要體現(xiàn)在以下幾個方面。 計算機網(wǎng)絡的安全問題隨著經(jīng)濟和信息全球化的時代到來,但安全協(xié)議還沒有全球性的標準和規(guī)范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。非法用戶在網(wǎng)絡的傳輸上,通過不正當手段,非法攔截會話數(shù)據(jù)獲得合法用戶的有效信息,最終導致合法用戶的一些核心業(yè)務數(shù)據(jù)泄密或者是非法用戶對截獲的網(wǎng)絡數(shù)據(jù)進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易,還有一些非法用戶利用截獲的網(wǎng)絡數(shù)據(jù)包再次發(fā)送,惡意攻擊對方的網(wǎng)絡硬件和軟件。電腦病毒問世十多年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟損失。電子商務服務器是電子商務的核心,安裝了大量的與電子商務有關的軟件和商家信息,并且服務器上的數(shù)據(jù)庫里有企業(yè)的一些保密數(shù)據(jù)。主要表現(xiàn)在:非法用戶向網(wǎng)絡或主機發(fā)送大量非法或無效的請求,使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡服務,利用操作系統(tǒng)、軟件、網(wǎng)絡協(xié)議、網(wǎng)絡服務等的安全漏洞,通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請求,使網(wǎng)絡應用服務器崩潰而停止服務。 電子商務交易的安全 　　由于電子商務的實現(xiàn)需要借助于虛擬的網(wǎng)絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。主要表現(xiàn)有:冒充他人身份。冒充他人消費、栽贓、冒充主機欺騙合法主機及合法用戶等?！　　　‰娮由虅盏慕灰讘撏瑐鹘y(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任。在網(wǎng)絡世界為交易雙方的糾紛進行公證、仲裁。　　　　交易文件是不可修改的,否則必然會影響到另一方的商業(yè)利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。　　電子商務安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導致泄露信息等均可構(gòu)成不同程度后果的威脅。 數(shù)據(jù)加密策略　　加密技術是電子商務的最基本措施,最初主要用與保證數(shù)據(jù)在存儲和傳輸過程中的保密性。是一種主動的信息安全防范策略,利用一定的加密算法. 將明文轉(zhuǎn)換成毫無意義的密文。阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。比較廣泛使用的加密技術有兩種:一是對稱密鑰加密體制,一是非對稱密鑰加密體制。 對稱密鑰加密,又稱私鑰加密(Secret Key Encryption) ,即數(shù)據(jù)加密和解密采用的都是同一個密鑰,因而其安全性依賴于所持有密鑰的安全性,其最大的優(yōu)點就是速度快,適合于對大數(shù)據(jù)量進行加密,但其最大的缺點是在大量用戶的情況下密鑰答理復雜,而且無法完成身份認證等功能,不便于應用于網(wǎng)絡開放的環(huán)境中。非對稱密鑰加密體制,又稱公鑰加密( Public Key Encryp2tion) ,數(shù)據(jù)加密和解密采用不同的密鑰,需要使用一對密鑰來分別完成加密和解密操作。在非對稱密鑰加密體制中密鑰被分解為一對。這對鑰中的在何一把都可作為公開密鑰,加密密鑰,通過非保密方式向他人公開。而另一把則作為私用密鑰加以保存。私用密鑰只能由數(shù)據(jù)的接受者掌握。利用公鑰體系可以方便地實現(xiàn)對用戶的身份認證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸?shù)男畔⑦M行加密,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進行解密,如果能夠解開,說明信息確實為該用戶所發(fā)送,這樣就方便地實現(xiàn)了對信息發(fā)送方身份的鑒別和認證。(2)密鑰管理技術 ①對稱密鑰管理 對稱加密是基于共同保守秘密來實現(xiàn)的。采用對稱加密技術的貿(mào)易雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時還要設定防止密鑰泄密和更改密鑰的程序。這樣,對稱密鑰的管理和分發(fā)工作將變成一件潛在危險的和繁瑣的過程。②公開密鑰管理數(shù)字證書 數(shù)字證書通常包含有唯一標識證書所有者(即貿(mào)易方)的名稱、唯一標識證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。證書發(fā)布者一般稱為證書管理機構(gòu)(CA),它是貿(mào)易各方都信賴的機構(gòu)。 ③密鑰管理相關的標準規(guī)范 目前國際有關的標準化機構(gòu)都著手制定關于密鑰管理的技術標準規(guī)范。ISO與IEC下屬的信息技術委員會(JTC1)已起草了關于密鑰管理的國際標準規(guī)范。該規(guī)范現(xiàn)已進入到國際標準草案表決階段,并將很快成為正式的國際標準。 (3)數(shù)字簽名 數(shù)字簽名是公開密鑰加密技術的另一類應用。它的主要方式是:報文的發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。 ISOIEC JTC1已在起草有關的國際標準規(guī)范。 現(xiàn)有的防火墻技術包括兩大類:數(shù)據(jù)包過濾和代理服務技術。其中,最簡單和最常用的是包過濾防火墻,它檢查接受到的每個數(shù)據(jù)包的頭,以決定該數(shù)據(jù)包是否發(fā)送到目的地。將包過濾防火墻與代理服務器結(jié)合起來使用是解決網(wǎng)絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于: (1) 防火墻技術只能防止經(jīng)由防火墻的攻擊,不能防止網(wǎng)絡內(nèi)部用戶對于網(wǎng)絡的攻擊。(2) 防火墻不能保證數(shù)據(jù)的秘密性,也不能保證網(wǎng)絡不受病毒的攻擊,它只能有效地保護企業(yè)內(nèi)部網(wǎng)絡不受