【摘要】随着社会信息化步伐的加快,利用计算机技术、网络通信技术和英特网实现商务活动的国际化、信息化和无纸化,已成为全球商务发展的趋势。电子商务不仅提供了进行商务活动的新方式,而且从更深的层面来看,由于通过它形成了与地域、空间无关的一体化市场,因而正在改变着全球的经济环境。然而,由于以英特网为基础的电子商务所带来的安全性问题远比传统商务的安全问题复杂得多,因此,我国在建立电子商务应用系统时,必将安全作为一个重要方面加以考虑。
【关键字】电子商务;安全问题;安全技术;安全策略
一、引言
随着互联网的发展和普及,信息化的时代已经来临。互联网深刻地影响和改变着人们生活的方方面面,电子商务无疑是网络时代的新生事物之一。网上购物、网上支付等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息, 并进行各种交易。从发展趋势来看,电子商务正在形成全球性的发展潮流。现在,各个企业已经敏锐地意识到电子商务的重要性,书店、商店以及各类营销型企业纷纷建立电子商务网站,将电子商务作为了主要的营销手段之一。
然而事物的发展往往具有两面性,网络是一柄双刃剑。网络给人们的生活带来了前所没有的便利性,但是同时也带来了许多不安全的因素。开放的信息系统必然存在众多潜在的安全隐患。尤其在电子商务中,不安全因素往往会给企业和用户带来巨大的损失。安全技术作为一个独特的领域越来越受到全球网络建设者的关注,电子商务系统的构建、运行及维护,都离不开安全技术的支持。
因此, 分析和研究企业电子商务网站安全策略是非常重要的。一般的讲, 分析和研究企业电子商务网站安全策略具有如下意义: 第一, 维护企业和用户的财产安全。具备一套完善的电子商务网站安全措施可以有效地保护企业乃至用户的财产安全。第二, 提高企业的市场竞争力。有没有一套完善的电子商务网站安全措施已经成了影响企业商誉甚至是综合竞争力的一个重要因素, 具备了完善电子商务安全措施的企业才会在市场竞争中立于不败之地。
二、电子商务的安全问题
电子商务的安全问题可以概括为以下几个方面:
(1)信息泄漏:
在电子商务中表现出来的信息泄露主要有两种:一种是交易双方进行交易的内容被第三方所窃取;一种是交易一方提供给另一方的文件、资料等被第三方非法使用。
(2)信息篡改:
在电子商务中,篡改表现为商业信息的真实性和完整性问题。电子的信息在网络传输的过程中, 可能被他人非法地修改、删除或重放, 这样就使信息丢失了真实性和完整性。
(3)身份识别:
如果不进行身份识别,第三方就有可能假冒交易方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。而身份识别为这种责任提供了重要的保证。
(4)信息破坏:
网络的硬件或软件可能会出现问题而导致交易信息传递的丢失与谬误。另外最为常见的就是恶意破坏了。计算机网络本身容易遭到一些恶意程序的破坏,从而使电子商务信息也会遭到破坏。这些恶意程序将会对网络造成严重的损失,甚至会通过过多占用网络资源的方式来使网络瘫痪。此外,木马是一种执行超出程序定义之外的程序,它将会把自己隐藏到安全的程序中,并由此传播出去。
三、常见的安全技术
面对电子商务中形形色色的安全漏洞,我们必须要采取相应的方法来保障电子商务活动的安全进行,下面就着重探讨了常见的安全技术。
1、加密技术
加密技术是最常用的安全保密手段,为了防止合法接受者之外的人获取信息系统中的机密信息,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。
加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤。密钥是用来对数据进行编码和解密的一种算法。
加密之所以安全,绝非因不知道加密解密算法方法,而是加密的密钥是绝对的隐藏,现在流行的RSA和AES加密算法都是完全公开的,一方取得已加密的数据,就算知到加密算法也好,若没有加密的密钥,也不能打开被加密保护的信息。单单隐蔽加密算法以保护信息,在学界和业界已有相当讨论,一般认为是不够安全的。公开的加密算法是给黑客长年累月攻击测试,对比隐蔽的加密算法要安全多。
2、虚拟专用网络
虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术,保证连接用户的可靠性及传输数据的安全和保密性,这样就可以大大提高电子商务的安全。
3、数字签名技术
所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码和私钥密码都可以获得数字签名,目前主要是基于公钥密码的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。
对于电子商务中的业务款项如何分辨其真假, 则需要数字签名技术来确认其交易或结算双方的真实身份及电子货币的可靠性。数字签名的防欺诈性、防更改性及确认功能是电子商务系统的一个重要安全技术。数字签名是公开密钥技术的另一类应用, 它的主要方式是:信息的披露方从信息文本中生成一个128 位的散列值, 并且用自己的专用密钥对这个散列值进行加密, 来形成披露方的数字签名: 关联方首先从收到的信息文本中计算128 位的散列值, 接着再用披露方一同发来的公开密钥来对数字签名进行解密, 如果两个散列值相同, 那就可确认该数字签名是披露的。通过数字签名技术能够实现对原始信息和关联方身份的鉴别, 有一定的公正及较好地防范关联方和非关联方的道德风险。
4、认证技术
所谓认证, 就是通过认证中心对数字证书进行识别。认证分为实体认证和信息认证, 这里的实体是指个人、客户程序或服务程序等参与通信的实体。实体认证是指对这些参与通信实体的身份认证。对用户身份的认证, 密码是最常用的, 但由于许多用户采用了很容易被破解的密码, 使得该方法经常失效。信息认证是指对信息体进行认证, 以决定该信息的合法性。信息认证发生在信息接收者收到信息后, 使用相关技术对信息进行认证, 以确认信息的发送者是谁, 信息在传递过程中是否被篡改等。身份验证是对进入电子商务信息系统网络的用户进行身份合法性的整别, 主要通过所掌握的特有信息对探访者进行验证。目前, 数字签名和认证是网上比较成熟的安全手段, 而我国大多数企业尚处于SSL 协议应用阶段, 在SET 协议的应用试验刚刚成功, 而要完全实现SET协议安全支付, 则必须有一个CA认证中心。
5、防火墙技术
在计算机领域, 防火墙是指一种逻辑装置, 用来保护内部的网络不受来自外界的侵害。在逻辑上, 防火墙是一个分离器, 一个器, 也是一个分析器, 有效地监控了内部网和Internet 之间的任何活动, 保证了内部网络的安全。防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术, 越来越多地应用于专用网络与公用网络地互联环境中, 尤其以接入Internet 网络最甚。防火墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口, 能根据企业的安全控制( 允许、拒绝、监测) 出入网络的信息流, 且本身具有较强的抗攻击能力。它主要用于实现网络路由的安全, 这主要包括两个方面:外部网对内部网的访问, 从而保护内部定资源免受非法侵害;内部网的访问, 主要是针对内部一些不健康信息及敏感信息的访问。
四、电子商务的安全策略
1、信息泄漏
可以通过加密技术来保证。主要是指保证一些敏感的商业信息不被泄露。虽然从理论上将所有的加密技术都可以破解, 但是只要在有限时间内无法将内容破解出来, 这就是一个成功的加密方法。
2、篡改信息
针对这个问题, 可以从两方面来考虑。一是非人为因素, 这类问题可以通过数据校验来解决, 一旦校验出错误, 就可以将信息重发。二是人为因素, 这类问题主要是非法用户对信息的恶意修改, 只要通过防火墙技术对操作进行验证, 再通过加密技术就可以从很大程度上避免这种破坏的产生。
3、身份识别
针对这个问题,可以使用数字签名技术和认证技术。这样,进行数字签名和认证后, 交易双方就可避免“相互猜疑”的情况了。并且, 如果出现抵赖的情况, 就有了反驳的依据。
4、信息破坏
可以采用安装反病毒软件或病毒防火墙的方法,可以从相当程度上减少灾难的发生。
五、结束语
电子商务安全是电子商务成功与否的决定性因素,它决定着一个电子商务网站是否可以为客户提供安全可靠的网上服务,而网络安全是其中的一个重要环节。我们相信,随着密码技术、通讯技术、软件技术、管理水平等不断进步发展,网上金融监督管理机制逐步建立健全,诚信体系的进一步完善,建立一个有安全保障的电子商务系统是完全可能的。
参考文献:
[1]洪国彬,电子商务安全与管理[M],北京:电子工业出版社,2006。
[2]贾伟,网络与电子商务安全[M],北京:国防工业出版社,2006。
[3]张福德,电子商务安全认证实用技术[M],北京:中国对外经济贸易出版社,2003。下载本文
