电子商务中存在的泄密隐患及其应对策略Word下载.doc

1、当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。3、假冒由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。 在早期的电子交易中，曾采用过一些简易的安全措施，包括：* 部分告知（Partial Order）：即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。* 另行确认（Order Confirmation）：即当在网上传输交易信息后，再用电子邮件对交易做确认，才认为有效。 此

2、外还有其它一些方法，这些方法均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。电子商务作为一种虚拟经济、非接触经济，如果没有完善的信用体系作保证，其生存和发展都将十分困难，个人和企业的交易风险都将大大提高。由于网络信息本身具有虚拟性和流动性，其格式和媒体可以分离，参与电子商务的主体的诚信问题使得电子商务信息的真实性与安全性难以保障。因此电子商务与传统的交易相比对信用的要求更高，要发展电子商务必须先加强信用建设。目前，我国仍处在经济转型期，市场还很不成熟，社会信用体系很不健全，市场经济体系与市场机制还不规范、不完善，还没有建立完善的信用体系制度。从电子商务的流程看：信息、交易、支付、物流等

3、每个环节都存在信用风险，每个交易对象也有信用风险存在。然而，在看到国外发达国家从电子商务的经营方面获得超额利润的同时,我国盲目照搬国外电子商务,却未考虑到本国的实际国情,未考虑到我国信用体系的现状，以至于出现许多阻碍,电子商务活动在很多情况下无法顺畅运行。 我国的电子商务在促进国民经济和社会发展的同时，也带来了新的安全保密问题。在近几年保密邮门查处的案件中，与计算机和网络相关的已经超过一半以上。随着相关条例的正式实施，如何止确处理好保密与公开的关系，已经成为消费者及相关技术人员必须认真解决的一项重要课题与任务。首先，涉密属性界定不清。有的人认为，网络必须按业务划分，不能按密级来划分，对网络不定

4、密；有的单位认为网络不涉密，应用系统才涉密，不按保密要求进行整体防护；有的回避涉密定位这一关键问题。这样做的结果是造成国家保密部门的管理职能被弱化，同时，还使网络建设未达国家保密要求，带病运行，最终导致“重建设、轻安全”，大量的国家秘密和工作秘密没有得到有效的保护。其次，是片面追求涉密最小化。有的机构过分强调信息公开，认为所有的信息都要公开，没有保密的必要，有的单位虚化网络，采取配备少量单机处理涉密信息的方式，但在交际工作中往往不具有可操作性。这样做的结果是导致业务应用部署不合理，用户没有涉密办公环境，用户不得不在政务外网和互联网上处理国家秘密和工作秘密。第三，安全保密防护不到位，对严重违规行

5、为缺乏有效技术手段。对U盘等移动存储介质在计算机和互联网计算机之间的交叉使用管控不严，泄密事件时有发生；对涉密计算机特别是涉密笔记本电脑的违规外联没有采取技术防范措施，形成泄密隐患。第四，保密管理不到位，涉密人员保密意识薄弱。保密管理机构不健全；保密制度已经过时或不健全，且缺乏监督执行；保密管理人员知识水平和能力也不足，不能满足信息化条件下保密工作的实际需要用户保密意识不强，不了解基本的现代保密常识，对泄密的途径和方式一无所知，表现为无知无畏。最后，自查能力不具备，管理缺乏技术保障手段。很多机构没有泄密自我检查发现能力，缺乏掌握保密检查技术的人员，也没有适用的自查工具，不能及时发现泄密隐患，且

6、对泄密情况也心中无数。近年来，针对电子交易安全的要求，IT业界与金融行业一起，推出不少有效的安全交易标准和技术。主要的协议标准有：* 安全超文本传输协议（SHTTP）：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。* 安全套接层协议（SSL）：由Netscape公司提出的安全交易协议，提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器，以完成需要的安全交易操作。* 安全交易技术协议（STT，Secure Transaction Technology）：由Microsoft公司提出，STT将认证和解密在浏览器中分离

7、开，用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。* 安全电子交易协议（SET，Secure Electronic Transaction） 1996年6月，由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告，并于1997年5月底发布了SET Specification Version 1.0，它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET 2

8、.0预计今年发布，它增加了一些附加的交易要求。这个版本是向后兼容的，因此符合SET 1.0的软件并不必要跟着升级，除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全，确定应用之互通性，并使全球市场接受。所有这些安全交易标准中，SET标准以推广利用信用卡支付网上交易，而广受各界瞩目，它将成为网上交易安全通信协议的工业标准，有望进一步推动Internet电子商务市场。 主要的安全技术有：1、虚拟专用网（VPN）这是用于Internet交易的一种专用网络，它可以在两个系统之间建立安全的信道（或隧道），用于电子数据交换（EDI）。它与信用卡交易和客户发送订单交易不同，因为在VPN中，双方的

9、数据通信量要大得多，而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术，只要通信的双方默认即可，没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性，因而能够保证数据的保密性和可用性。2、数字认证数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性（如一个发票未被修改过），甚至数据媒体的有效性（如录音、照片等）。随着商家在电子商务中越来越多地使用加密技术，人们都希望有一个可信的第三方，以便对有关数据进行数字认证。目前，数字认证一般都通过单向Hash函数来实现，它可以验证交易双方数据的完整性，Java JDK1.1也能

10、够支持几种单向Hash算法。另外，S/MIME协议已经有了很大的进展，可以被集成到产品中，以便用户能够对通过Email发送的信息进行签名和认证。同时，商家也可以使用PGP（Pretty Good Privacy）技术，它允许利用可信的第三方对密钥进行控制。可见，数字认证技术将具有广阔的应用前景，它将直接影响电子商务的发展。3、加密技术保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在，一些专用密钥加密（如3DES、IDEA、RC4和RC5）和公钥加密（如RSA、SEEK、PGP和EU）可用来保证电子商务的保密性、完整性、真实性和非否认服务。 在计算机互联网络上实现的电子商

11、务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，应该还具备以下特点：* 强大的加密保证* 使用者和数据的识别和鉴别* 存储和加密数据的保密* 联网交易和支付的可靠* 方便的密钥管理* 数据的完整、防止抵赖 电子商务对计算机网络安全与商务安全的双重要求，使电子商务安全的复杂程度比大多数计算机网络更高，因此电子商务安全应作为安全工程，而不是解决方案来实施。电子商务中的安全防范技术为了满足电子商务的安全要求，电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务，具体可采用的技术如下：1.数

12、字签名技术。“数字签名”是通过密码技术实现电子交易安全的形象说法,是电子签名的主要实现形式。它力图解决互联网交易面临的几个根本问题:数据保密、数据不被篡改、交易方能互相验证身份、交易发起方对自己的数据不能否认。“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。2.防火墙技术。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的

13、屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙、代理防火墙、双穴主机防火墙。3.入侵检测系统。入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。4.信息加密技术。信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。5.安全认证技术。安全认证的主要作用是进行信息认证，信息认证的目的就是要确认信息发送者的身份,验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。6.防病毒系统。病毒在网络中存储、传播、感染的途径多、速度快、方式各异,对网站的危害较大。因此,应利用全方位防病毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系。