电子商务安全初探

【大家谈】

电子商务安全初探

韩佳佳

(内蒙古交通设计研究院有限责任公司,内蒙古呼和浩特010020)

〔摘　要〕　文章从实现电子商务安全性的基本框架出发,针对电子商务活动中存在的信息安全隐患问题,初步探讨了实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。

〔关键词〕　电子商务;信息安全

中图分类号:T N 文章标识码:B 文章编号:1009-0088(2010)03-0175-02

1　电子商务信息的安全要素

1.1　信息真实性、有效性

电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

1.2　信息机密性

电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障.

1.3　信息完整性

电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

1.4　信息可靠性、不可抵赖性

在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。在无纸化的电子商务方式下,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。电子商务就是在网络这个虚拟平台上进行的,当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。同时,电子商务系统应有相应的约束机制,以充分保证交易双方在交易成立后不得抵赖。

2　电子商务安全中存在的问题

2.1　计算机网络的安全

(1)信息的安全问题:非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密或者是非法用户对截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易,还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。

(2)服务器的安全问题:电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有企业的一些保密数据,如价格、成本等,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重。

(3)防病毒问题:电脑病毒问世10多年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,还有众多病毒借助于网络传播得更快。

2.2　电子商务交易的安全

(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段窃取合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从中获得非法收入。

(2)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的

571

电子商务安全初探　韩佳佳

交易文件同样也不能修改,以保证商务交易的严肃和公正。

(3)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。

2.3　其他方面的安全

电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题:网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。

3　保障电子商务信息安全措施

3.1　数据加密策略

加密技术是电子商务的最基本措施,最初主要用于保证数据在存储和传输过程中的保密性。随着电子商务的发展,对数据完整性以及身份鉴定技术提出了新的要求,数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。加密技术是一种主动的信息安全防范策略,利用一定的加密算法.将明文转换成毫无意义的密文。阻止非法用户理解原始数据,从而确保数据的保密性。

3.2　防火墙技术

现有的防火墙技术包括两大类:数据包过滤和代理服务技术。其中,最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于:①防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击。②防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。

3.3　身份验证技术

(1)认证系统:网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份,数字证书通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA,否则,一切网上的交易都没有安全保障。

(2)SS L协议:SS L协议主要目的是解决TCP/I P 协议不能确认用户身份的问题,在Socket上使用非对称的加密技术,以保证网络通信服务的安全性。SS L 协议易于实现。SS L协议还是最值得信赖的协议。但是由于SS L协议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,SS L协议并不能协调各方的安全传输和信任关系。

(3)SET协议:SET安全电子交易协议是用于I n2 ternet上的以信用卡为基础的电子支付系统协议。主要应用于B/C模式中保障支付信息的安全性。SET 协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。它的交易规范成为了未来电子商务发展的方向。

3.4　保障电子商务信息安全的环境性措施

(1)构造我国完善的电子商务体系:作为一个主权国家,为了维护国家的利益和经济安全,在电子商务相关技术方面注重自主知识产权技术的开发,不能全部依赖进口。因此,必须加大投资力度,重点支持电子商务技术的研发工作。

(2)加强法律法规建设:针对利用信息高科技和信息系统等新型犯罪,政府部门应尽快组织力量,结合电子商务的客观需要,对现有的与电子商务相关的法律法规进行修改。可以适当增加对网络犯罪处罚的条款,增加对网络作品著作权保护的条款;对电子商务发展中急需解决的有关问题,如在电子支付、税收管理,安全认证、网络与信息安全、知识产权保护、消费者权益保护等可由相关主管部门先制定部门规章,必要时,由国务院发布行政法规,再按程序上升为法律。

(3)建立与高速发展的电子商务匹配的其他第三产业链的全面完善。加快银行、税务以及邮政等物流环节的信息化建设,建立企业到企业(B t oB)、企业到客户(B t oC)的商务沟通,实现网上资金流动,解决目前有形商品交易环节中的流通困难。

安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。(编校:郭宝丽)

收稿日期:2010-04-25

671 内蒙古水利 2010年第3期(总第127期)