信息安全技術管理

前言：本站為你精心整理了信息安全技術管理范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]近些年來電子商務越來越流行，而確保電子商務正常進行的數據的可靠性、真實性、保密性越來越受到人們的關注。這些問題都可以歸結到信息安全技術之中，本文簡要介紹了電子商務及在電子商務中信息安全的基本原理，并指出了目前信息安全技術中的弱點。

[關鍵詞]電子商務信息安全加密電子商務證書電子簽名

一、前言

隨著通信網絡技術的飛速發展和快速普及，人們的消費觀念和整個商務系統也發生了巨大了變化，人們更希望通過網絡的便利性來進行網絡采購和交易，從而導致了電子商務（ElectronicCommerce）的出現，電子商務的發展給人們的工作和生活帶來了新的嘗試和便利性，但并沒有像人們想象的那樣普及和深入，一個很重要的原因就是電子商務的安全性。美國密執安大學一個調查機構通過對23000名因特網用戶的調查顯示，超過60%的人由于擔心電子商務的安全問題而不愿進行網上購物。所以，研究和分析電子商務的安全性問題，充分借鑒國外的先進技術和經驗，開發和研究出具有獨立知識產權的電子商務安全產品，這些都成為目前我國發展電子商務的關鍵。

二、電子商務中的安全隱患可分為如下幾類

1.信息的截獲和竊取。如果沒有采用加密措施或加密強度不夠，攻擊者可能通過互聯網、公共電話網、搭線、電磁波輻射范圍內安裝截收裝置或在數據包通過的網關和路由器上屆截獲數據等方式，獲取輸的機密信息，或通過對信息流量和流向、通信頻度和長度等參數的分析，推出有用信息，如消費者的銀行帳號、密碼以及企業的商業機密等。

2.信息的篡改。當攻擊者熟悉了網絡信息格式以后，通過各種技術方法和手段對網絡傳輸的信息進行中途修改，并發往目的地，從而破壞信息的完整性。這種破壞手段主要有三方面：改變信息流的次序，更改信息的內容，如購買商品的出貨地址；刪除某個消息或消息的某些部分；在消息中插入一些信息，讓收方讀不懂或接收錯誤的信息。

3.信息假冒。當攻擊者掌握了網絡信息數據規律或解密了商務信息以后，主要用兩種方式進行欺騙：一是偽造電子郵件，虛開網站和商店，發大量的電子郵件，竊取商家的商品信息和用戶信用等信息。另一種為假冒他人身份，冒充他人消費或栽贓、冒充網絡控制程序套取或修改使用權限、通行字、密鑰等信息等。

4.交易抵賴。它包括多個方面，如發信者事后否認曾經發送過某條信息或內容、購買者做了定貨單不承認、商家賣出的商品因價格差而不承認原有交易等。

三、電子商務安全需求

1.機密性。電子商務作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密，維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取，一般通過密碼技術來對傳輸的信息進行加密處理來實現。

2.完整性。在電子商務中由于數據輸入時的意外差錯或欺詐等行為，可能會影響貿易各方信息的完整性，這將影響到貿易各方的交易和經營策略，因此保持貿易各方信息的完整性是電子商務應用的基礎。完整性一般可通過提取信息消息摘要的方式來獲得。

3.認證性。由于網絡電子商務交易系統的特殊性，要求對人或實體的身份進行鑒別，即交易雙方能夠在相互不見面的情況下確認對方的身份，鑒別服務一般通過證書機構CA和證書來實現。

4.不可抵賴性。在無紙化的電子商務方式下，如何確定要進行交易的貿易方正是進行交易所期望的貿易方，這一問題是保證電子商務順利進行的關鍵。因此，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。不可抵賴性可通過對發送的消息進行數字簽名來獲取。

5.有效性。電子商務作為貿易的一種形式，其信息的有效性將直接關系到個人、企業或國家的經濟利益和聲譽。因此要對網絡故障、硬件故障及計算機病毒所產生的潛在威脅等加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。

四、電子商務安全中的主要技術

1.網絡安全技術。網絡安全是電子商務安全的基礎，它所涉及到最重要的就是防火墻技術。防火墻是建立在通信技術和信息安全技術之上，它用于在網絡之間建立一個安全屏障，根據指定的策略對網絡數據進行過濾、分析和審計，并對各種攻擊提供有效的防范，主要用于Internet接入和專用網與公用網之間的安全連接。目前國內使用的防火墻產品都是國外廠商提供的，由于他們對加密技術的限制和保護，國內無法得到急需的安全而實用的網絡安全系統和數據加密軟件。因此我國也應研制開發并采用自己的防火墻系統和數據加密軟件，以滿足用戶和市場的巨大需要。

VPN也使一項保證網絡安全的技術之一，它是指在公共網絡中建立一個專用網絡，數據通過建立好的虛擬安全通道在公共網絡中傳播。企業只需要租用本地的數據專線，連接上本地的公眾信息網，其各地的分支機構就可以互相之間安全傳遞信息。使用VPN有節省成本、提供遠程訪問、擴展性強、便于管理和實現全面控制等好處，是目前和今后企業網絡發展的趨勢。

2.加密技術。加密技術是保證電子商務安全的重要手段，它包括私鑰加密和公鑰加密。私鑰加密又稱對稱密鑰加密，即信息的發送方和接收方用一個密鑰去加密和解密數據，目前常用的私鑰加密算法包括DES和IDEA等。對稱加密技術的最大優勢是加/解密速度快，適合于對大數據量進行加密，但密鑰管理困難。公鑰密鑰加密，又稱不對稱密鑰加密系統，它需要使用一對密鑰來分別完成家密和解密操作，一個公開，稱為公開密鑰（Public-Key）；另一個由用戶自己秘密保存，稱為私有密鑰（Private-Key）。信息發送者人用公開密鑰去加密，而信息接收者則用私有密鑰去解密，常用的算法是RSA、ElGamal等。為了充分利用公鑰密碼和對稱密碼算法的優點，克服其缺點，提出混合密碼系統，即所謂的電子信封（envelope）技術。發送者自動生成對稱密鑰，用對稱密鑰加密鑰發送的信息，將生成的密文連同用接收方的公鑰加密后的對稱密鑰一起傳送出去。收信者用其秘密密鑰解密被加密的密鑰來得到對稱密鑰，并用它來解密密文。

3.數字簽名。在網絡環境中，可以用電子數字簽名作為模擬，數字簽名中很常用的就是散列（HASH）函數，從而為電子商務提供不可否認服務。把HASH函數和公鑰算法結合起來，可以在提供數據完整性的同時，也可以保證數據的真實性。完整性保證傳輸的數據沒有被修改，而真實性則保證是由確定的合法者產生的HASH。把這兩種機制結合起來就可以產生所謂的數字簽名（DigitalSignature）。將報文按雙方約定的HASH算法計算得到一個固定位數的報文摘要（Mes-sageDigest）值。只要改動報文的任何一位，重新計算出的報文摘要就會與原先值不符。然后把該報文的摘要值用發送者的私人密鑰加密，將該密文同原報文一起發送給接收者，所產生的報文即稱數字簽名。數字簽名相的優點：它不僅與簽名者的私有密鑰有關，而且與報文的內容有關，因此不能將簽名者對一份報文的簽名復制到另一份報文上，同時也能防止篡改報文的內容。

4.認證機構和數字證書。對數字簽名和公開密鑰加密技術來說，都會面臨公開密鑰的分發問題。必須有一項技術來解決公鑰與合法擁有者身份的綁定問題。數字證書是解決這一問題的有效方法。它通常是一個簽名文檔，標記特定對象的公開密鑰。電子證書由一個認證中心（CA）簽發，認證中心類似于現實生活中公證人的角色，它具有權威性，是一個普遍可信的第三方。當通信雙方都信任同一個CA時，兩者就可以得到對方的公開密鑰從而能進行秘密通信、簽名和檢驗。證書機構CA（CertificationAuthority）是一個可信的第三方實體，其主要職責是保證用戶的真實性。網絡用戶的電子身份（electronicidentity）是由CA來的，也就是說他是被CA所信任的，該電子身份就成為數字證書。護照頒發機構和證書機構CA都是由策略和物理元素構成。在護照頒發機構，有一套由政府確定的政策來判定那些人可信任為公民，以及護照的頒發過程。一個CA系統也可以看成由許多人組成的一個組織，它用于指定網絡安全策略，并決定組織中的那些人可以發給一個在網絡上使用的電子身份。

五、結論

安全是電子商務的核心和靈魂，沒有安全保障的電子商務應用只是虛偽的炒作或欺騙，任何獨立的個人或團體都不會愿意讓自己的敏感信息在不安全的電子商務流程中傳輸。一句話：網絡應用，安全為本。只要我國堅持在吸收、引進的前提下，組織各方面力量，獨立研制和開發具有獨立知識產權的網絡安全和電子商務安全產品，逐步掌握電子商務安全的核心技術，并從宏觀上進行調節和控制，我國的電子商務安全現狀一定會得到極大的改善，為我國電子商務的真正發展構筑一道牢不可破的堅固屏障。