电子商务中的信息安全问题-论文(3)

文件, 甚至破坏整个系统的信息, 导致网络瘫痪。目前, 世界上有20 多万个黑客网站, 其攻击方法达几千种之多, 已超过现有的计算机病毒种类。每当一种新的攻击手段产生, 便能在一周内传遍世界, 对计算机网络造成各种破坏。

黑客非法入侵的方式，简单说来，非法入侵的方式可粗略分为4种：

扫描端口，通过已知的系统Bug攻入主机。 种植木马，利用木马开辟的后门进入主机。 采用数据溢出的手段，迫使主机提供后门进入主机。 利用某些软件设计的漏洞，直接或间接控制主机。

黑客入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛。例如“网络钓鱼”是黑客窃取网名信息的主要手段

“网络钓鱼”是一种利用网络骗取用户个人信息的程序。黑客通常利用这种程序假扮成享有信誉的公司，如银行或在线商店等，以此向用户索要账户名及密码等信息。据新华社报道，微软、谷歌、雅虎和美国在线等公司旗下的电子邮箱遭遇黑客“网络钓鱼”，至少3万邮箱账户信息失窃。据了解，微软旗下Hotmail电子邮箱1万个账户信息10月1日在一家计算机专业网站上被曝光。随后网上又出现一份包含2万个电子邮箱账户地址及密码的清单，这些邮箱的服务商包括微软、谷歌、雅虎和美国在线。

9

“网络钓鱼”的问题正在日渐凸显，根据国际行业组织反钓鱼工作组的数据，2008年6月新建的独立钓鱼网站就高达4.9084万个。

2.2.信息安全问题 2.2.1 信息泄露及篡改

信息泄漏在电子商务中表现为商业机密的泄漏，主要包括两个方面：一信息被窃取，交易双方进行交易的内容被第三方窃取；二信息机密性丧失，交易一方提供给另一方使用的文件被第三方非法使用。客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充 销售商的机构，这些信息也可能会在传递过程中被窃听。如“虚假中奖信息”事件。犯罪分子首先冒充国内知名的游戏、购物、娱乐等大型网站或经营单位，向网站用户发送虚假中奖信息，谎称当事人中了大奖，并提供一个和该网站网址非常相似的网址链接，要求当事人上网确认。一旦用户点击该链接，就会登录到诈骗者制作的假网站，按提示进行操作，就会显示当事人确实中奖了，并要求当事人打网站上留的“客服电话”，咨询领奖事宜。打通电话后，骗子就会冒充网站工作人员，以奖品邮寄费、奖金个人所得税、账户保险费等要求当事人向其指定的银行账户汇款。

篡改在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改，这样就使信息失去了真实性和完整性。譬如，某位网民可能从来没有进入过某个站点，却被记录成曾经进入可能从来没有存取过某个档案，却被记录成曾经存取。第二个值得注意的问题是残缺记录的

10

传播。记录的残缺、不推确、不完整，可能会造成判断的储颇,如本来不是盗窃者变成了盗窃者，或侵害个人隐私。

2.2.2交意双方抵赖问题

电子商务可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题，是保证电子商务顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易交易所的书面文件上的手写签名或印章来鉴别贸易伙伴，确定合同、契约、交易所的可靠性，并预防抵赖行为的发生。在电子商务方式下，通过手写签名和印章进行双方的鉴别已是不可能的了。因此，要求在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，使原发送方在发送数据后不能抵赖,接收方在接收数据后也不能抵赖。某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。以下是他们常用的手段之一 虚假订单：一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，假冒者事后否认曾经做了订货单。而此时，客户却被要求付款或返还商品。

付款后不能收到商品：一是在要求客户付款后，销售商中的内部人员不将定单和钱转发给执行部门，因而使客户不能收到商品。二就是发布引人注目的出售信息，吸引买家，然后以最快的速度将钱骗到手，立马走人；而付了钱的买家则什么也得不到。一般吸引人最好的办法就是标上不寻常的低价。如“低价引诱”类案件。犯罪分子自己建立电子商务网站或依附“阿里巴巴”、“淘宝”、“易趣”等知名购物网站，向

11

不特定群体随意散布虚假商品信息，以低价引诱顾客，同时以减少手续费、支付时间长、交易便捷等借口尽量劝说受害人不要通过“支付宝”等方式支付，直接将现金存入指定账户。 3.提高电子商务信安全的对策

3.1 信息的加密技术

所谓加密，就是把称为“明文”的可读信息转换成“密文”的过程；而解密则是把“密文”恢复为“明文”的过程。它是利用数学或物理手段，对电子信息在传输过程中和存储中进行保护，以防止泄漏的技术。加密使信息改变，攻击者无法读懂信息的内容从而保护信息。

通信过程中的加密主要是采用密码，在数字通信中可利用计算机采用加密法，改变负载信息的数码结构。密码算法是指用于隐藏和显露信息的可计算过程，通常算法越复杂，结果密文越安全。在加密技术中，密钥是必不可少的，密钥是使密码算法按照一种特定方式运行并产生特定密文的值。通常采用对称密钥加密技术、非对称密钥的方式。使用加密算法就能够保护信息安全使之不被窃取、不被篡改或破坏。目前世界上最流行的几种加密体制和加密算法有：\算法\“MD5加密”、“SHA-1加密”、“RSA加密”等。

非对称密钥：RSA算法

RSA算法是目前最流行的公钥密码算法，它使用长度可以变化的密钥。RSA是第一个既能用于数据加密也能用于数字签名的算法。

RSA算法的原理如下：

随机选择两个大质数p和q，p不等于q，计算N=pq

12

选择一个大于1小于N的自然数e，e必须与(p-1)×(q-1)互素 用公式计算出d：d×e = 1 (mod (p-1)×(q-1)) 销毁p和q

最终得到的N和e就是“公钥”，d就是“私钥”，发送方使用N去加密数据，接收方只有使用d才能解开数据内容。

RSA的安全性依赖于大数分解，小于1024位的N已经被证明是不安全的，而且由于RSA算法进行的都是大数计算，使得RSA最快的情况也比DES慢上好几倍，这也是RSA最大的缺陷，因此它通常只能用于加密少量数据或者加密密钥。需要注意的是，RSA算法的安全性只是一种计算安全性，绝不是无条件的安全性，这是由它的理论基础决定的。因此，在实现RSA算法的过程中，每一步都应尽量从安全性方面考虑。

有些人自己写算法进行数据加密，殊不知这也算产生了安全隐患，通常个人无法写出高强度的加密算法，入侵者如果稍加分析便能破译，一般高技术的加密算法我们都要经过加密软件的处理的，这样才保障信息的安全性。像大浪狗就是经常见到的一种加密软件，它有功能如下：

首创“安全文件夹”功能：普通文件夹升级为自动加密的安全文件夹，其内容加密并能防止非授权访问与恶意删除，使用方法与普通文件夹相同，简单易用。

自动伸展式保险箱：独特加密空间，保险箱的容量大小可以根据用户使用自动伸展。

13

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库电子商务中的信息安全问题-论文(3)在线全文阅读。