丁榮榮

（吉林廣播電視大學(xué) 教學(xué)處，吉林 長春 130022）

電子商務(wù)中的信息安全技術(shù)

丁榮榮

（吉林廣播電視大學(xué) 教學(xué)處，吉林 長春 130022）

隨著信息科技的發(fā)展，電子商務(wù)在現(xiàn)代商務(wù)活動(dòng)中正變得日趨重要.Internet所具有的開放性是電子商務(wù)方便快捷、廣泛傳播的基礎(chǔ) ,而開放性本身又會(huì)使網(wǎng)上交易面臨種種危險(xiǎn).安全問題始終是電子商務(wù)的核心和關(guān)鍵問題.本文根據(jù)電子商務(wù)的特點(diǎn)分析了存在危險(xiǎn)的原因，并且從多方面提出了解決這些危險(xiǎn)的方案.

電子商務(wù)；Internet；網(wǎng)絡(luò)安全

電子商務(wù)(E-C o m m e r c e)是指利用電子網(wǎng)絡(luò)進(jìn)行的商務(wù)活動(dòng),即指利用電子數(shù)據(jù)交換、電子郵件、電子資金轉(zhuǎn)賬和I n t e r n e t等主要技術(shù)在個(gè)人、企業(yè)和國家之間進(jìn)行無紙化的信息交換,包括商品信息及其訂購信息、資金信息及其支付信息、安全及其認(rèn)證信息等,即以現(xiàn)代信息技術(shù)為手段,以經(jīng)濟(jì)效益為中心的現(xiàn)代化商業(yè)運(yùn)轉(zhuǎn)模式.其最終目標(biāo)是實(shí)現(xiàn)商務(wù)活動(dòng)的網(wǎng)絡(luò)化、自動(dòng)化與智能化.

1 電子商務(wù)的特點(diǎn)

電子商務(wù)將傳統(tǒng)商業(yè)活動(dòng)中物流、資金流、信息流的傳遞方式利用網(wǎng)絡(luò)科技整合,企業(yè)將重要的信息以全球信息網(wǎng)、企業(yè)內(nèi)部網(wǎng)(I n t r a n e t)或外聯(lián)網(wǎng)(E x-t r a n e t)直接與分布各地的客戶、員工、經(jīng)銷商及供應(yīng)商連接,創(chuàng)造更具競爭力的經(jīng)營優(yōu)勢.與傳統(tǒng)的商務(wù)活動(dòng)方式相比,電子商務(wù)具有以下幾個(gè)特點(diǎn):

1.1 交易網(wǎng)絡(luò)化

交易過程均通過計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)完成,整個(gè)交易完全虛擬化.賣方到網(wǎng)絡(luò)管理機(jī)構(gòu)申請域名,制作主頁.而虛擬現(xiàn)實(shí)、網(wǎng)上聊天等新技術(shù)的發(fā)展使買方能夠根據(jù)自己的需求選擇廣告,并將信息反饋給賣方.整個(gè)交易都在網(wǎng)絡(luò)這個(gè)虛擬的環(huán)境中進(jìn)行.

1.2 交易成本低

1.2.1 使用國際互聯(lián)網(wǎng)進(jìn)行信息傳遞的成本相對于傳統(tǒng)的信件、電話、傳真的成本低很多，同時(shí)縮短時(shí)間及減少重復(fù)的數(shù)據(jù)錄入也降低了信息成本.

1.2.2 買賣雙方通過網(wǎng)絡(luò)進(jìn)行商務(wù)活動(dòng)，無需中介者參與，減少了交易環(huán)節(jié)，也降低了雙方交易成本.

1.2.3 通過互聯(lián)網(wǎng)進(jìn)行產(chǎn)品介紹、宣傳，避免了在傳統(tǒng)方式下做廣告、發(fā)印刷品等大量費(fèi)用.

1.2.4 電子商務(wù)實(shí)行“無紙貿(mào)易”，可減少9 0%的文件處理費(fèi)用.

1.2.5 互聯(lián)網(wǎng)有利于買賣雙方及時(shí)溝通供需信息，使無庫存生產(chǎn)和無庫存銷售成為可能，從而使庫存成本大大降低.

1.2.6 企業(yè)在銷售商品和處理訂單時(shí)，用電子商務(wù)可以降低詢價(jià)、提供報(bào)價(jià)和確定存貨等活動(dòng)的處理成本.

1.3 交易覆蓋面廣

因特網(wǎng)幾乎遍及全球的各個(gè)角落.賣方通過因特網(wǎng)可以方便地在世界各地尋找市場機(jī)會(huì)，增加商品的銷售；買方也有了更多的選擇，可以找到更多的供應(yīng)商和貿(mào)易伙伴.電子商務(wù)可以使企業(yè)能夠更加經(jīng)濟(jì)地經(jīng)營地理上極為分散的狹小的目標(biāo)市場.

1.4 交易效率高

電子商務(wù)基于網(wǎng)絡(luò)技術(shù),克服了傳統(tǒng)貿(mào)易方式費(fèi)用高、易出錯(cuò)、處理速度慢等缺點(diǎn),極大地縮短了交易時(shí)間,使整個(gè)交易非?？旖菖c方便.

1.5 交易功能全面

電子商務(wù)可以全面支持不同類型的用戶實(shí)現(xiàn)不同層次的商務(wù)目標(biāo)，如發(fā)布電子商情、在線洽談、建立虛擬商場或網(wǎng)上銀行等.

1.6 交易透明化

買賣雙方從交易的洽談、簽約以及貨款的支付、交貨通知等整個(gè)交易過程都在網(wǎng)絡(luò)上進(jìn)行.通暢、快捷的信息傳輸可以保證各種信息之間互相核對,可以防止偽造信息的流通.

電子商務(wù)與傳統(tǒng)交易相比增強(qiáng)了企業(yè)的競爭力擴(kuò)大了企業(yè)的競爭領(lǐng)域，商務(wù)活動(dòng)成本和費(fèi)用降低而工作效率提高了.此外，電子商務(wù)可在網(wǎng)上提供產(chǎn)品的技術(shù)支持，2 4小時(shí)的在線服務(wù)，能十分便捷地獲取客戶反饋意見，改進(jìn)服務(wù)質(zhì)量，提高客戶的滿意度.因此電子商務(wù)的安全性就更加值得注意.

2 電子商務(wù)中的網(wǎng)絡(luò)安全問題

隨著電子商務(wù)的飛速發(fā)展,人們開始意識到,電子商務(wù)的發(fā)展受到許多因素的制約,如社會(huì)的認(rèn)同、交易成本、物流配送、信用與法律問題、安全問題等.在這些問題當(dāng)中,安全問題是一個(gè)核心問題.電子商務(wù)基于開放的互連網(wǎng),大量的信息在網(wǎng)上傳遞,大量的資金在網(wǎng)上劃撥流動(dòng),必然面臨各種安全風(fēng)險(xiǎn),諸如信息泄露或篡改、欺騙、抵賴等.電子商務(wù)系統(tǒng)的關(guān)鍵是保證交易數(shù)據(jù)和交易過程的安全.電子商務(wù)的安全性包括保密性、認(rèn)證性、接入控制、完整性、不可否認(rèn)性和匿名性等方面.網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲(chǔ)和傳輸?shù)男畔⒌陌踩?但是由于在互聯(lián)網(wǎng)絡(luò)設(shè)計(jì)之初,只考慮方便性、開放性,使得互聯(lián)網(wǎng)絡(luò)非常脆弱,極易受到黑客的攻擊或有組織的群體入侵,也會(huì)由于系統(tǒng)內(nèi)部人員的不規(guī)范使用和惡意破壞,使得網(wǎng)絡(luò)信息系統(tǒng)遭到破壞,信息泄露.概括起來,電子商務(wù)面臨的安全威脅主要有:(1)信息在網(wǎng)絡(luò)的傳輸過程中被截獲;(2)傳輸?shù)男畔⒈淮鄹?(3)偽造電子郵件;(4)假冒他人身份;(5)不承認(rèn)已經(jīng)做過的交易,抵賴.為保證電子商務(wù)的正常發(fā)展,對電子商務(wù)中的網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究,發(fā)展自主的網(wǎng)絡(luò)安全技術(shù)是非常關(guān)鍵的.

3 保障網(wǎng)絡(luò)信息安全的措施

3.1 加密技術(shù)

加密技術(shù)是電子商務(wù)采取的主要保密安全措施,是最常用的保密安全手段.加密是利用基于數(shù)學(xué)算法的程序和保密的密鑰對信息主要是普通的文本(明文)進(jìn)行編碼,生成難以理解的字符串(密文),以便只有接收者和發(fā)送者才能理解.加密技術(shù)一般采用對稱加密技術(shù)、非對稱加密技術(shù)以及二者的結(jié)合等方法.

對稱密鑰密碼體系的優(yōu)點(diǎn)是加密、解密速度很快(高效)，但缺點(diǎn)也很明顯：密鑰難于共享，需太多密鑰.非對稱密鑰技術(shù)的優(yōu)點(diǎn)是：易于實(shí)現(xiàn)，使用靈活，密鑰較少.弱點(diǎn)在于要取得較好的加密效果和強(qiáng)度，必須使用較長的密鑰.因此在使用時(shí)兩者經(jīng)常結(jié)合在一起.（圖1分別是對稱加密和非對稱加密算法的加密模型）

3.2 密鑰管理技術(shù)

密鑰管理包括密鑰的產(chǎn)生、存儲(chǔ)、裝入、分配、保護(hù)、丟失、銷毀以及保密等內(nèi)容.其中分配和存儲(chǔ)是最棘手的問題.密鑰管理不僅影響系統(tǒng)的安全性,而且涉及到系統(tǒng)的可靠性、有效性和經(jīng)濟(jì)性,在用密碼技術(shù)保護(hù)的現(xiàn)代信息系統(tǒng)的安全性主要取決于對密鑰的保護(hù),而不是對算法或硬件本身的保護(hù),即密碼算法的安全性完全寓于密鑰之中.對應(yīng)于對稱加密技術(shù)和非對稱加密技術(shù),還要采用相應(yīng)的密鑰管理技術(shù).

3.3 身份認(rèn)證技術(shù)

在實(shí)際系統(tǒng)中,可以采用數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書、認(rèn)證中心等技術(shù)手段來提高安全性.

3.3.1 數(shù)字摘要：也稱為安全H a s h編碼法，簡稱S H A或M D 5，是用來保證信息完整性的一項(xiàng)技術(shù).它是由R o nR i v e s t發(fā)明的一種單向加密算法，其加密結(jié)果是不能解密的.

3.3.2 “數(shù)字信封”(也稱電子信封)技術(shù).具體操作方法是：每當(dāng)發(fā)信方需要發(fā)送信息時(shí)首先生成一個(gè)對稱密鑰，用這個(gè)對稱密鑰加密所需發(fā)送的報(bào)文；然后用收信方的公開密鑰加密這個(gè)對稱密鑰，連同加密了的報(bào)文一同傳輸?shù)绞招欧?收信方首先使用自己的私有密鑰解密被加密的對稱密鑰，再用該對稱密鑰解密出真正的報(bào)文.

3.3.3 數(shù)字簽名建立在公鑰加密體制基礎(chǔ)上，是公鑰加密技術(shù)的另一類應(yīng)用.它把公鑰加密技術(shù)和數(shù)字摘要結(jié)合起來，形成了實(shí)用的數(shù)字簽名技術(shù).采用數(shù)字簽名，應(yīng)該確定以下兩點(diǎn)：保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)；保證信息自簽發(fā)后到收到止未作任何改動(dòng)，簽發(fā)的文件是真實(shí)文件.

3.3.4 在電子交易中，時(shí)間和簽名同等重要.數(shù)字時(shí)間戳技術(shù)是數(shù)字簽名技術(shù)一種變種的應(yīng)用，是由D T S服務(wù)機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項(xiàng)目，專門用于證明信息的發(fā)送時(shí)間.

3.3.5 數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用于證明某一主體（如個(gè)人用戶、服務(wù)器等）的身份以及公鑰的合法性的一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機(jī)構(gòu)，即C A中心簽發(fā).3.3.6 認(rèn)證中心（C e r t i f i c a t eA u t h o r i t y，簡稱 C A），也稱之為電子商務(wù)認(rèn)證中心，是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，確認(rèn)用戶身份的、與具體交易行為無關(guān)的第三方權(quán)威機(jī)構(gòu).認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理證書的申請、簽發(fā)和管理數(shù)字證書.其核心是公共密鑰基礎(chǔ)設(shè)施（P K I）.

3.4 安全電子交易協(xié)議

在電子交易中,通常采用適當(dāng)?shù)碾娮咏灰讌f(xié)議,如安全套階層協(xié)議、安全電子交易協(xié)議、N e t B i l l協(xié)議、安全超文本傳輸協(xié)議、安全交易技術(shù)協(xié)議等.其中最主要的就是安全套階層協(xié)議和安全電子交易協(xié)議.

3.4.1 S S L(s e c u r es o c k e t sl a y e r)是由N e t s c a p e C o m m u n i c a t i o n公司是由設(shè)計(jì)開發(fā)的，其目的是通過在收發(fā)雙方建立安全通道來提高應(yīng)用程序間交換數(shù)據(jù)的安全性，從而實(shí)現(xiàn)瀏覽器和服務(wù)器（通常是We b服務(wù)器）之間的安全通信.

S S L提供的基本服務(wù)功能：信息保密、信息完整性和相互認(rèn)證

3.4.2 S E T協(xié)議是信用卡在因特網(wǎng)上進(jìn)行支付的一種開放式標(biāo)準(zhǔn)，也是銀行卡安全支付的具體規(guī)范.該標(biāo)準(zhǔn)采用R S A公開密鑰體制對通信雙方進(jìn)行認(rèn)證，采用D E S、R C 4等對稱加密體制加密要傳輸?shù)男畔?，并用?shù)字摘要和數(shù)字簽名技術(shù)來鑒別信息的真?zhèn)渭捌渫暾?，包括了信用卡在電子商?wù)中的交易協(xié)定和信息保密、信息完整、身份認(rèn)證、數(shù)字簽名等技術(shù)，目前已經(jīng)被廣為認(rèn)可而成為國際通用的網(wǎng)上支付標(biāo)準(zhǔn)，其交易形態(tài)將成為未來電子商務(wù)的規(guī)范.S E T的制定與推廣既為業(yè)務(wù)相互滲透的各家信用卡公司提供了統(tǒng)一的安全通信標(biāo)準(zhǔn)，也促進(jìn)了信用卡在因特網(wǎng)上作為支付工具的應(yīng)用.

S E T為電子商務(wù)提供的功能：信息保密性；數(shù)據(jù)的完整性；提供交易者的身份認(rèn)證和擔(dān)保；互操作性.

3.5 訪問控制技術(shù)

除了計(jì)算機(jī)網(wǎng)絡(luò)硬設(shè)備之外,網(wǎng)絡(luò)操作系統(tǒng)是確保計(jì)算機(jī)網(wǎng)絡(luò)安全的最基本部件.它是計(jì)算機(jī)網(wǎng)絡(luò)資源的管理者,必須具備安全的控制策略和保護(hù)機(jī)制,防止非法入侵者攻破設(shè)防而非法獲取資源.因此,授權(quán)策略和機(jī)制的安全性顯得特別重要.保護(hù)可以從物理隔離、時(shí)間隔離、密碼隔離幾個(gè)方面加以考慮,一般可以采用防火墻和V P N等訪問控制技術(shù)來加強(qiáng)防范.

防火墻是一個(gè)由軟件和硬件設(shè)備組合而成的，在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)和公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.防火墻具有限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限.它可以確定哪些內(nèi)部服務(wù)允許外部訪問，哪些外部服務(wù)可由內(nèi)部人員訪問，即它能控制網(wǎng)絡(luò)內(nèi)外的信息交流，提供接入控制和審查跟蹤，是一種訪問控制機(jī)制.電子商務(wù)是現(xiàn)代信息技術(shù)發(fā)展的必然結(jié)果,也是未來商業(yè)運(yùn)作模式的必然選擇,相應(yīng)的安全問題是利害攸關(guān)的.如果在電子商務(wù)客戶機(jī)和服務(wù)器上沒有充分的安全保護(hù)措施,電子商務(wù)就不能持久.有效的安全策略和充分的安全檢測與保護(hù)措施是保護(hù)電子溝通和電子商務(wù)交易的唯一方法.信息安全技術(shù)所涉及的方面比較廣泛,如操作系統(tǒng)安全、防火墻技術(shù)、虛擬專用網(wǎng)技術(shù)、各種反黑客技術(shù)和漏洞檢測技術(shù)等各種網(wǎng)絡(luò)安全防范技術(shù).只有綜合采用各種相關(guān)的技術(shù)手段,才能有效地提高系統(tǒng)的安全性,保證電子商務(wù)的健康發(fā)展.

〔1〕中國就業(yè)培訓(xùn)技術(shù)指導(dǎo)中心.電子商務(wù)師國家職業(yè)資格培訓(xùn)教程，2006（8）.

〔2〕馬大川，陳聯(lián)剛.電子商務(wù)教程.經(jīng)濟(jì)科學(xué)出版社，2007(8).

〔3〕王玲麗.電子商務(wù)的安全問題研究[D].武漢科技大學(xué),2006.

〔4〕侯勇,亓勝田.電子商務(wù)安全技術(shù)[J].商場現(xiàn)代化,2007(9).

〔5〕陳兵,王立松.網(wǎng)絡(luò)安全與電子商務(wù)[M].北京:清華大學(xué)出版社,2002.

T P 3 9 3

A

1673-260X（2010）10-0041-03