電子商務安全性策略分析

[摘要] 在電子商務中，安全性是一個至關重要的問題，它要求網絡能提供一種端到端的安全解決方案，電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業信息。因此，電子商務安全從整體上可分為兩大部分：網絡節點安全和商務交易安全。

[關鍵詞] 電子商務 防火墻 商務安全

網絡節點安全的內容包括：計算機網絡設備安全、計算機網絡系統安全、數據庫安全等，主要靠防火墻實現。商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題，在計算機網絡安全的基礎上，如何保障電子商務過程的順利進行。

一、網絡節點的安全

1.防火墻是在連接Internet和Intranet保證安全最為有效的方法，防火墻能夠有效地監視網絡的通信信息，并記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統。

2.防火墻安全策略

防火墻是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源，這種安全策略應包括：規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統，而沒有全面的安全策略，那么防火墻就形同虛設。

3.安全操作系統

防火墻是基于操作系統的。如果信息通過操作系統的后門繞過防火墻進入內部網，則防火墻失效。所以，要保證防火墻發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火墻的功能。在條件許可的情況下，應考慮將防火墻單獨安裝在硬件設備上。

二、商務安全

Internet上的電子商務交易過程中，最核心和最關鍵的問題就是交易的安全性。電子商務的安全交易主要保證以下四個方面：

1.信息保密性

交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉，因此在信息傳播中一般均有加密的要求。

2.交易者身份的確定性

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。

3.不可否認性

由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環節都必須是不可否認的。

4.不可修改性

交易的文件是不可被修改的，否則也必然會損害一方的商業利益。因此電子交易文件也要能做到不可修改，以保障商務交易的嚴肅和公正。

三、商務安全的實現

1.通信和鏈路安全

通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決于加密的算法和加密的強度。 電子商務系統的數據通信主要存在于：

(1)客戶瀏覽器端與電子商務WEB服務器端的通訊；

(2)電子商務WEB服務器與電子商務數據庫服務器的通訊；

(3)銀行內部網與業務網之間的數據通訊。

其中(3)不在本系統的安全策略范圍內考慮。

此外，在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。

2.應用程序的安全

即使正確地配置了訪問控制規則，要滿足計算機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。

3.用戶的認證管理

(1)身份認證

電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現的。CA證書用來認證服務器的身份，IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認機制。

(2)CA證書

要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA證書，它由認證授權中心（CA中心）發行。CA中心一般是社會公認的可靠組織，它對個人、組織進行審核后，為其發放數字證書，證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書（下載可以在訪問之前或訪問時進行）。

近年來，針對電子交易安全的要求，IT業界與金融行業一起，推出不少有效的安全交易標準和技術。安全超文本傳輸協議（S－HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸的安全性。安全套接層協議（SSL）：由Netscape公司提出的安全交易協議，提供加密、認證服務和報文的完整性。SSL被用于Netscape和IE瀏覽器，以完成需要的安全交易操作。安全交易技術協議（STT）：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft在IE中采用這一技術。

結束語:電子商務對計算機網絡安全與商務安全的雙重要求，使電子商務安全的復雜程度比大多數計算機網絡更高，因此電子商務安全應作為安全工程來實施，以保證電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。