前言：本站為你精心整理了電子商務信息風險管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]該文首先分析了電子商務系統(tǒng)在安全方面的需求，介紹了相關核心技術。然后提出了相關的防范策略，具體分析各種電子交易模式以及這些模式如何克服電子商務系統(tǒng)在信息安全方面的脆弱性。

[關鍵詞]電子商務安全風險協(xié)議防范

一、引言

Intemet的迅速發(fā)展使電子商務應運而生，對電子商務可以有狹義和廣義兩種理解：作為在線銷售的電子商務；作為現(xiàn)有業(yè)務擴展的電子商務。電子商務具有許多優(yōu)勢，譬如高效率、低成本；同時，電子商務也會提供各種各樣的機會，因為中小型公司和太公司站在相同的起跑線上但迄今為止，真正開始實施電子商務的企業(yè)還不多，絕大多數(shù)企業(yè)還在持觀望態(tài)度，電子商務通遠遠談不上普及。這其中的原因主要有以下三個點：(1)人的因素；(2)立法問題；(3)安全問題。其中信息安全問題可以說是電子商務活動的最大障礙，電子商務信息安全是制約電子商務建設與發(fā)展的首要問題和核心問題。

二、電子商務對信息安全的需求和風險分析

信息安全的目的是：保護一個系統(tǒng)不會受到未經(jīng)授權(quán)的訪問，使系統(tǒng)的正常工作不會被非法干預，同所有計算機系統(tǒng)一樣，電子商務系統(tǒng)安全必須具有保密性、完整性及可用性三個特征。

1.保密性(Confidentiality)

保密性是指計算機系統(tǒng)的資源應該僅能由授權(quán)團體讀取。對電子商務系統(tǒng)來說，它意味著系統(tǒng)所提供的服務應滿足:(1)私有交易不會被其他人截獲及讀取;(2)如果可能，應確保交易的匿名性，使交易不會被追蹤，任何人無法利用“發(fā)生交易”這樣一個事實本身來達到別的目的。

2.完整性(Integrity)

完整性指資源只能由授權(quán)實體修改。電子商務系統(tǒng)的完整性要求它提供的服務應滿足：（1）消息完整性，指通信過程中接收到的消息確實是實際發(fā)送的消息，不可能在傳輸過程中被篡改，也不可能是一條偽造的消息；（2）身份認證(Authendcation)，通信的雙方應能確定對方的身份，知道對方確實是他所自稱的那一位。在這里，確定的意思并不完全意味著確實知道對方的身份，因有時由于交易匿名性的需要，不能確知對方的準確身份，但應能做到知道自己是在與一個可靠的對象通信。端否認性(Non-repudiation)：一旦事務結(jié)束，有關各方都不能否認自己參與過這次事務。

3.可用性(Availability)

可用性指一旦用戶得到訪問某一資源的極限，該資源就應該能夠隨時為他使用，而不應該將其保護起來使用戶的合法權(quán)益受到損害。在電子商務系統(tǒng)中，提高系統(tǒng)可用性有時還意味著用戶僅需經(jīng)一次登錄就可以訪問任何其他有權(quán)訪問的資源，避免對訪問不同的服務使用不同的登錄過程。

4.風險分析

針對電子商務系統(tǒng)進行的攻擊實際上就是試圖破壞上述三大信息安全特征，進一步細分。電子商務的風險有以下4類：

(1)中斷(干擾)，包括拒絕服務(DenialofServices)、刪除數(shù)據(jù)。

(2)修改，如修改傳輸信息、修改可執(zhí)行代碼等。

(3)偽造，如冒充頤客或服務器進行交易、特洛伊木馬等。

(4)截取，如設置網(wǎng)絡竊聽器、監(jiān)視網(wǎng)上數(shù)據(jù)流、從數(shù)據(jù)包中獲取敏感信息等。

三、電子商務信息安全的防范策略

1.通用技術

用于保證信息安全的技術通常有：加密、數(shù)字簽名、身份認證、訪問控制、審計以及相關方面的管理。此外，信息安全還將會影響到系統(tǒng)的許多組成部分，包括那些并不直接同安全相關聯(lián)的成分。各種通用的安全技術，如加密技術算法(保密密鑰、公開密鑰)、公開密鑰系統(tǒng)基礎設施(PKI)、各種認證技術(一次性口令、Kerberos、CA)、網(wǎng)絡系統(tǒng)各層安全協(xié)議(SSL、TLS、IPSEC、PPTP、VPN)、防火墻及保密網(wǎng)關技術等。

2.電子支付協(xié)議

在現(xiàn)實生活中，人們一般有3種支付方式：現(xiàn)金、支票及卡，同樣，電子支付協(xié)議也可分為這3種模式。事實上，它的目標就是使用電子手段來實現(xiàn)日常所進行的交易。一個有效的可能成功的電子支付系統(tǒng)必須被廣泛認可，該系統(tǒng)必須保證有關各方不易受到欺騙；此外最為重要的一點是必須方便易行。

（1）基于卡的支付協(xié)議

基于卡的支付模式有：明文發(fā)送信用卡號碼；經(jīng)保密路徑發(fā)送信用卡號碼；通過第三方進行交易。

上述幾種方案是在web商務的早期就采用的，對安全性、可靠性以及抗否認性等方面并沒有過多的考慮，支付過程實際上還是非在線的，商家在檢驗信用卡時往往通過專門的網(wǎng)絡同信用卡授權(quán)機構(gòu)聯(lián)系。這一過程如圖1所示。

圖1經(jīng)安全Web服務進行的交易

web交易的發(fā)展迫切需要新的支付模式，現(xiàn)在的支付模式大致結(jié)構(gòu)如圖2。

在安全電子支付協(xié)議中，客戶瀏覽Web頁面通過常規(guī)HTTP協(xié)議進行，當需要進行支付時，瀏覽器啟動-支付模塊(通常稱為電子錢包E-wallet)處理支付協(xié)議。

（2）基于支票的支付協(xié)議

支票模型模擬了現(xiàn)實生活中支票的使用。同信用卡模式一樣，它也同樣需要支票發(fā)行機構(gòu)如銀行等來確認支票的有效性。這種模型同銀行存取款方式相似，使用借-貸模型，用戶需要在支付服務器上開設一個賬戶，支付服務器維護賬目的絕對平衡。

（3）基于現(xiàn)金的支付協(xié)議

在交易中，有時會希望交易能匿名進行，即無法對交易過程進行追蹤，無法確認交易者的身份?？ê椭蹦Ｊ蕉疾荒軡M足這樣的需求，而基于現(xiàn)金的支付模式模擬了日?，F(xiàn)金的使用，可以做到這一點。

多數(shù)電子現(xiàn)金的實現(xiàn)的思想：每一枚電子硬幣都有一個編號。銀行維護若干密鑰對，每一對密鑰可用于對某種特定面值的硬幣進行簽名。但如果硬幣是由銀行生成并交給用戶的話，它可以記錄下每枚硬幣的去向，從而當這枚硬幣用于支付時可以跟蹤到用戶的交易。而盲簽名機制可以允許用戶自己生成硬幣．讓銀行對這枚硬幣標定面值。如當用戶從銀行提款時，他先為硬幣隨機生成一個很大的編號，然后利用盲簽名機制，銀行可以用代表不同面值的密鑰對這救硬幣進行簽名，從而標定硬幣的面值。由于序號很大(大于200位數(shù)字)，重復的概率可以忽略不計，再加上盲簽名讓銀行無法知道硬幣的編號，也就不可能將它記錄下來。

同時，必須要有一種機制來保證電子硬幣不被重復使用。鑒于無法控制遠程用戶對電子現(xiàn)金的復制，提出了一種依靠處罰措施來禁止重復消費這一行為，引人一種“盲記錄”的機制，第一次使用電子硬幣時，無法進行跟蹤，而如果重復使用，就有足夠多的信息能查出使用者的賬戶信息．從而采取相應的反措施。

四、結(jié)論

本文首先提出了電子商務對信息安全的要求，從各個方面討論了電子商務技術及其安全問題，說明了安全問題是電子商務發(fā)展過程中最大的障礙，但對于安全問題，已經(jīng)有了許多可解決它的技術，如何將這些技術有機地結(jié)合起來用于保護電子商務安全，是一個值得研究的問題。