浅析电子商务网络安全技术

浅析电子商务网络安全技术

[论文摘要]：随着电子商务的发展,网络银行、网络营销、网上购物、网上支付、网络广告等一大批前所未闻的新词汇正在为人们所熟悉和认同的时候电子商务中的网络安全问题也越来越多，如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为商家和用户都十分关心的话题。因此掌握和了解一些电子商务的网络安全技术意义重大。电子商务实际是基于互联网络开展的各种商务活动，由于 Internet 本身具有开放性，且交易各方具有不直接对面性，其资金流转具有计算机处理性和网络传输性，使得交易的安全成为了电子商务发展的核心和关键问题。

[关键字]：电子商务；安全技术；

一、电子商务对安全的要求

电子商务的安全不仅仅是狭义上的网络安全，比如防病毒、防黑客、入侵检测等等，从广义上讲还包括交易安全，从这种意义上来说，电子商务的安全涵盖面比一般的网络安全要广泛得多，其要求也就超过了网络安全的要求范围。

首先电子商务的安全是一个复杂的管理问题。管理公司内部的网络环境很复杂，当把企业网与Internet相连时，性能、安全、可管理性等方面就面临挑战。

其次，电子商务安全是一个技术安全问题。电子商务应由合法的系统进行确认和支持。文件上的数字签字在法庭上与书面签字具有同等效力。电子商务是通过信息网络传输商务信息和进行贸易的，与传统的有纸贸易相比减少了直接的票据传递和确认等商业活动，因此要求电子商务比有纸贸易更安全，更可靠。这首先需要技术上的保证，如电子签名等技术手段的使用。

再次，电子商务安全是一个法律问题，电子商务安全问题的真正解决需要通过法律的完善来加以保证。

电子商务安全的基本要求体现在以下几个方面：

1、有效性、真实性。

有效性、真实性就是能对信息和实体进行鉴别。电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点的真实有效。

2、机密性。

机密性要求即是能保证信息不被泄露给非授权的人或实体。在利用网络进行的交易中，必须保证发送者和接收者之间所交换（的）信息的机密性。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密目的的。电子商务是建立在一个开放的网络环境上的，防止商业泄密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取，确保只有合法用户才能看到数据，防止泄密事件。

3、数据的完整性。

完整性要求即（是）能保证数据的一致性，防止数据被非授权访问修改和破坏。电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完整统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。而贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送顺序的统一。

4、可靠性、不可抵赖性和可控性。

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可抵赖性要求即是能建立有效的责任机制，防止实体否认其行为；可控性要求即是能控制使用资源的人或实体的使用方式。电子商务直接关系到贸易双方的商业交易，如何确定要进行交易的贸易对方这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”，一旦交易开展后便不可撤销。交易中的任何一方都不得否认其在该交易中的作用。

而在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，以保证数据发送方在发送数据后不能抵赖；数据接收方在接收数据后也不能抵赖。为了进行业务交易，各方还必须能够对另一方的身份进行鉴别，一旦双方就某项交易签订合同后，这项交易就应受到保护以防止被篡改或伪造。

电子商务对计算机网络安全与商务安全的双重要求，使电子商务安全的复杂程度比大多数计算机网络更高，因此电子商务安全应作为安全工程，而不是解决方案来实施。

二、电子商务系统中使用的安全技术

为了满足电子商务的安全要求，电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务，目前电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等，具体如下：

1、网络安全技术

计算机网络安全是电子商务安全的基础，它所涉及到的方面比较多，如操作系统安全、防火墙技术、虚拟专用网VPN技术和入侵检测、漏洞检测技术等。

2、信息加密技术。

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

加密技术是电子商务采取的主要安全措施，贸易方可根据需要在信息交换的阶段使用。目前，加密技术分为两类：对称加密和非对称加密。

（1）对称加密：又称为私钥加密。即对信息的加密和解密都使用相同的密钥。也就是说：一把钥匙开一把锁。使用对称加密方法将简化加密的处理，每个贸易方都不必彼此研究和交换专用的加密算法，而是采用相同的加密算法并只交换共享的私有密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。

（2）非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时，使用不同的密钥，在通信双方各具有两把密钥，一把公钥和一把密钥。公钥对外界公开，私钥自己保管，用公钥加密的信息，只能用对应的私钥解密，同样地，用私钥解密的数据只能用对应的公钥解密。具体加密传输过程如下：

1）发送方甲用接收方乙的公钥加密自己的私钥。

2）发送方家用自己的私钥加密文件，然后将加密后的私钥和文件传输给接收方。