張建兵 程財軍

摘要:電子商務作為一種全新的商務模式,它有很大的發(fā)展前途,且隨之而來的安全問題也越來越突出,如何建立一個安全、便捷的電于商務應用環(huán)境,對信息提供足夠的保護,是商家和用戶都十分關注的話題。安全問題己成為電子商務的核心問題。分析了電子商務中存在的安全問題,并闡述目前解決電子商務安全隱患的主要安全技術及相關策略。

關鍵詞:電子商務;安全問題;安全策略

中圖分類號:TP39文獻標識碼:A文章編號:1672-3198(2009)23-0253-02

1電子商務中存在的兩大類安全問題

1.1網絡安全問題

現在隨著互聯網技術的發(fā)展,網絡安全成了新的安全研究熱點。網絡安全就是如何保證網絡上存儲和傳輸的信息的安全性。網絡安全問題是計算機系統(tǒng)本身存在的漏洞和其他人為因素構成了計算機網絡的潛在威脅,概括來說網絡安全的內容包括:計算機網絡設備安全、計算機網絡系統(tǒng)安全、數據庫安全等

1.2商務安全問題

商務交易安全則緊緊圍繞傳統(tǒng)商務在互聯網絡上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網上交易日益成為新的商務模式,基于網絡資源的電子商務交易已為大眾接受,人們在享受網上交易帶來的便捷的同時,交易的安全性備受關注,網絡所固有的開放性與資源共享性導致網上交易的安全性受到嚴重威脅。所以在電子商務交易過程中,保證交易數據的安全是電子商務系統(tǒng)的關鍵。

1.3目前電子商務中存在的主要安全問題

(1)對合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。

(2)對信息的竊取。攻擊者在網絡的傳輸信道上,通過物理或邏輯的手段,對數據進行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。

(3)對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注入偽造消息等,從而使信息失去真實性和完整性。

(4)拒絕服務。攻擊者使合法接入的信息、業(yè)務或其他資源受阻。

(5)對發(fā)出的信息予以否認。某些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任。

(6)信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款;用戶付款后,賣方沒有把商品發(fā)送到客戶手中,使客戶蒙受損失。

(7)電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,CIH病毒的爆發(fā)幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。

2電子商務中的主要安全技術

2.1電子商務的安全技術

互聯網已經日漸融入到人類社會的各個方面中,網絡防護與網絡攻擊之間的斗爭也將更加激烈,這就對安全技術提出了更高的要求。安全技術是電子商務安全體系中的基本策略,是伴隨著安全問題的誕生而出現的,安全技術極大地從不同層次加強了計算機網絡的整體安全性。要加強電子商務的安全,需要企業(yè)本身采取更為嚴格的管理措施,需要國家建立健全法律制度,更需要有科學的先進的安全技術。安全問題是電子商務發(fā)展的核心和關鍵問題,安全技術是解決安全問題保證電子商務健康有序發(fā)展的關鍵因素。

2.2計算機網絡安全技術

目前,常用的計算機網絡安全技術主要有病毒防范技術、身份認證技術、防火墻技術和虛擬專用網VPN技術等。

(1)病毒是一種惡意的計算機程序,它可分為引導區(qū)病毒、可執(zhí)行病毒、宏病毒和郵件病毒等,不同的病毒的危害性也不一樣。為了防范病毒,可以采用以下的措施:

①安裝防病毒軟件,加強內部網的整體防病毒措施;

②加強數據備份和恢復措施;

③對敏感的設備和數據要建立必要的物理或邏輯隔離措施等。

(2)身份識別技術是計算機網絡安全技術的重要組成部分之一。它的目的是證實被認證對象是否屬實和是否有效。其基本思想是通過驗證被認證對象的屬性來達到確認被認證對象是否真實有效的目的。被認證對象的屬性可以是口令、問題解答或者像指紋、聲音等生理特征,常用的身份認證技術有口令、標記法和生物特征法。

(3)防火墻是一種將內部網和公眾網如Internet分開的方法,它能限制被保護的網絡與互聯網絡之間,或者與其他網絡之間進行的信息存取、傳遞操作。防火墻可以作為不同網絡或網絡安全域之間信息的出入口,能根據企業(yè)的安全策略控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。它是電子商務的最常用的設備。

(4)虛擬專用網是用于Internet電子交易的一種專用網絡,它可以在兩個系統(tǒng)之間建立安全的通道,非常適合于電子數據交換(EDI)。在虛擬專用網中交易雙方比較熟悉,而且彼此之間的數據通信量很大。只要交易雙方取得一致,在虛擬專用網中就可以使用比較復雜的專用加密和認證技術,這樣就可以大大提高電子商務的安全性。VPN可以支持數據、語音及圖像業(yè)務,其優(yōu)點是經濟、便于管理、方便快捷地適應變化,但也存在安全性低,容易受到攻擊等問題。

2.3商務交易安全技術

(1)加密技術是電子商務安全的一項基本技術,它是認證技術的基礎。

采用加密技術對信息進行加密,是最常見的安全手段。加密技術是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。目前,在電子商務中,獲得廣泛應用的兩種加密技術是對稱密鑰加密體制(私鑰加密體制)和非對稱密鑰加密體制(公鑰加密體制)。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。

(2)安全認證技術主要有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等。

①數字摘要。

數字摘要是采用單向Hash函數對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼(數字指紋Finger Print),并在傳輸信息時將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進行變換運算,若得到的結果與發(fā)送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。

②數字信封。

數字信封是用加密技術來保證只有規(guī)定的特定收信人才能閱讀信的內容。在數字信封中,信息發(fā)送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數字信封)之后,將它和信息一起發(fā)送給接收方,接收方先用相應的私有密鑰打開數字信封,得到對稱密鑰,然后使用對稱密鑰解開信息。這種技術的安全性相當高。

③數字簽名。

把HASH函數和公鑰算法結合起來,可以在提供數據完整性的同時,也可以保證數據的真實性。完整性保證傳輸的數據沒有被修改,而真實性則保證是由確定的合法者產生的HASH,而不是由其他人假冒。而把這兩種機制結合起來就可以產生所謂的數字簽名(Digital Signature)。

④數字時間戳。

交易文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的,是防止文件被偽造和篡改的關鍵性內容。而在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數字時間戳服務(DTS-Digital Time-stamp Service)就能提供電子文件發(fā)表時間的安全保護。數字時間戳服務(DTS)是網絡安全服務項目,由專門的機構提供。

⑤數字證書。

在交易支付過程中,參與各方必須利用認證中心簽發(fā)的數字證書來證明各自的身份。所謂數字證書,就是用電子手段來證實一個用戶的身份及用戶對網絡資源的訪問權限。在網上電子交易中,如果雙方出示了各自的數字證書,并用它來進行交易操作,那么雙方都可不必為對方身份的真?zhèn)螕摹?/p>

3電子商務的安全性策略

3.1電子商務安全技術保障策略

安全技術保障技術是電子商務安全體系中的基本策略,目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有:密碼技術,身份驗證技術,訪問控制技術,防火墻技術。

3.2企業(yè)電子商務安全運營管理制度保障策略

企業(yè)電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規(guī)定,是保證企業(yè)取得電子商務成功的基礎,是企業(yè)電子商務人員工作的規(guī)范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統(tǒng)維護制度、數據備份制度等。

3.3電子商務立法策略

(1)立法目的。電子商務安全立法的目的主要是要消除電子商務發(fā)展的法律障礙;消除現有法律適用上的不確定性,保護合理的商業(yè)行為,保障電子交易安全;建立一個清晰的法律框架以統(tǒng)一調整電子商務的健康發(fā)展。

(2)立法范圍。電子商務安全方面需要的法律法規(guī)主要有:市場準入制度、合同有效認證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法,知識產權侵權處理規(guī)定、以及廣告的管制、網絡信息內容過濾等;

(3)立法途徑。電子商務法律仍然是調整社會關系,所以應當繼承傳統(tǒng)立法的合理內核,尤其是基礎價值觀。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。第二是修改或重新解釋既定的法律規(guī)范。

3.4政府監(jiān)督管理策略

電子商務本質是一種市場運作模式,市場的正常健康有序地發(fā)展,必須有政府宏觀上的監(jiān)督與管理,以協(xié)調和規(guī)范各市場主體的行為,宏觀監(jiān)督與管理電子商務運行中的安全保障體系。政府監(jiān)督管理主要體現在:計算機信息系統(tǒng)安全管理,網絡廣告和網絡服務業(yè)管理,認證機構管理,加強社會信用道德建設。

4電子商務安全中還需解決的問題

(1)沒有一種電子商務安全的完整解決方案和完整模型與體系結構。

(2)盡管一些系統(tǒng)正在逐漸成為標準,但僅有很少幾個標準的應用程序接口(APIA)。從協(xié)議間的通用API和網關是絕對需要的。

(3)大多數電子商務系統(tǒng)都是封閉式的,即它們使用獨有的技術,僅支持一些特定的協(xié)議和機制。通常需要一個中央服務器作為所有參與者的可信第三方,有時還要求使用特定的服務器和瀏覽器。

(4)盡管大多數方案都使用了公鑰密碼,但多方安全受到的關注遠遠不夠。沒有建立一種解決爭議的決策程序。

(5)客戶的匿名性和隱私尚未得到充分的考慮。

參考文獻

[1]@EricRescorla.著,崔凱譯.SSL與TLSDesigningandBuild-ingSecureSystems[M].北京:中國電力出版社,2002.

[2]@ChristopherSteel,RameshNagappan,RayLai.著.安全模式(CoreSecurityPatterns)[M].北京:機械工業(yè)出版社,2006.

[3]@WilliamStalling.著.網絡安全要素——應用與標準[M].北京:人民郵電出版社,2003.

[4]@王銳,等譯.網絡最高安全技術指南[M].北京:機械工業(yè)出版社,1998.