電子商務(wù)中的信息安全

摘要:電子商務(wù)給社會經(jīng)濟(jì)創(chuàng)造巨大效益的同時，也從根本上改變了社會商務(wù)活動。分析研究電子商務(wù)的安全需求、技術(shù)發(fā)展等問題，有著重大的實用價值。

關(guān)鍵詞:電子商務(wù) 信息 安全

一、電子商務(wù)的安全要求

電子商務(wù)以電子形式取代了合同紙張，保證電子貿(mào)易信息的真實性，是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙質(zhì)貿(mào)易都是通過郵寄封裝的信件來達(dá)到保守機(jī)密的目的，電子商務(wù)活動則是在開放的網(wǎng)絡(luò)環(huán)境上進(jìn)行，防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來了維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。電子商務(wù)信息的可靠性是能保證合法用戶對信息和資源的使用不被不正當(dāng)?shù)鼐芙^，電子商務(wù)可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式，電子商務(wù)系統(tǒng)的可靠性是防止計算機(jī)失效、程序錯誤、傳輸錯誤、自然災(zāi)害等引起的計算機(jī)信息失誤或失效。

二、電子商務(wù)的安全技術(shù)

一是數(shù)據(jù)加密技術(shù)。加密技術(shù)用于網(wǎng)絡(luò)安全通常有兩種形式，一是面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法，這一類加密技術(shù)的優(yōu)點在于實現(xiàn)相對較為簡單，不需要對電子信息(數(shù)據(jù)包)所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求，對電子郵件數(shù)據(jù)實現(xiàn)了端到端的安全保障。二是身份認(rèn)證技術(shù)。為解決Internet的安全問題，初步形成了一套完整的Internet安全解決方案，即被廣泛采用的公鑰基礎(chǔ)設(shè)施(PKI)體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰，通過第三方的可信機(jī)構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識信息(如名稱、E-mail、身份證號等)捆綁在一起，在Internet網(wǎng)上驗證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。

三、電子商務(wù)安全中的內(nèi)部注意事項

調(diào)查表明，至少有75%的信息安全問題來自內(nèi)部，在信用卡和商業(yè)詐騙中，內(nèi)部人員所占的比例最大;惡意代碼，它們將繼續(xù)對所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅，并且其數(shù)量將隨著Internet的發(fā)展和編程環(huán)境的豐富而增多，擴(kuò)散起來也更加便利，因此造成的破壞也就越大;目前，Internet主干網(wǎng)和DNS服務(wù)器的可靠性還遠(yuǎn)遠(yuǎn)不能滿足人們的要求，而絕大部分撥號PPP連接質(zhì)量并不可靠，且速度很慢;技術(shù)人才短缺，由于Internet和網(wǎng)絡(luò)購物都是在近幾年得到了迅猛的發(fā)展，因而，許多地方都缺乏足夠的技術(shù)人才來處理其中遇到的各種問題，尤其是網(wǎng)絡(luò)購物具有每天24小時、每周7天都能工作的要求，因此迫切需要有一大批專業(yè)技術(shù)人員對其進(jìn)行管理。

如果說加密技術(shù)是電子交易安全的“硬件”，那么人才問題則可以說是“軟件”。從某種意義上講，軟件的問題解決起來可能更不容易。因此，技術(shù)人才的短缺可能成為阻礙網(wǎng)絡(luò)購物發(fā)展的一個重要因素。Web服務(wù)器的保護(hù)意識差在交易過程中對數(shù)據(jù)進(jìn)行保護(hù)只是保證交易安全的一個方面。由于交易的信息均存儲在服務(wù)器上，因此，即使保密信息被客戶端接收之后，也必須對存儲在服務(wù)器中的數(shù)據(jù)進(jìn)行保護(hù)。目前，Web服務(wù)器是黑客們最喜歡攻擊的目標(biāo)。因此，盡量不要將Web服務(wù)器連接到任何內(nèi)部網(wǎng)絡(luò)，而且要定期對數(shù)據(jù)進(jìn)行備份，以便于服務(wù)器被攻擊之后對數(shù)據(jù)進(jìn)行恢復(fù)。當(dāng)然，這畢竟有些不太現(xiàn)實，現(xiàn)在許多流行的Web應(yīng)用都需要Web服務(wù)器與公司的數(shù)據(jù)庫進(jìn)行交互式操作，這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連，而這個連接也就成為黑客們從Web站點侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通道。雖然防火墻技術(shù)有助于對web站點進(jìn)行保護(hù)，但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護(hù)，因而沒有對Web服務(wù)器進(jìn)行很好的保護(hù)，這是商家的Web站點尤其要引起注意的地方。

四、電子商務(wù)安全中的協(xié)議技術(shù)

(1)SSL(Secure Sockets Layer)——協(xié)議安全套接層協(xié)議。SSL協(xié)議主要是使用公開密鑰體制和X509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用Web Server方式。但它是一個面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證。而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

(2)SET協(xié)議(Secure Electronic Transaction)——安全電子交易——專門為電子商務(wù)而設(shè)計的協(xié)議。由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號暴露給商家等優(yōu)點，因此它成為了目前公認(rèn)的信用卡、借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務(wù)所遇到的全部問題。

本文雖然指出了目前電子商務(wù)的安全需求、使用的安全技術(shù)及仍存在的問題，并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點，但必須強(qiáng)調(diào)的是，電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題，從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速、健康地發(fā)展。

參考文獻(xiàn):

[1]王群芳，馬兆良.我國網(wǎng)絡(luò)銀行的現(xiàn)狀與發(fā)展[J].安徽教育學(xué)院學(xué)報，2004，(03).

[2]蔡瑞玲.電子商務(wù)與個性化需求[J].安徽農(nóng)業(yè)大學(xué)學(xué)報(社會科學(xué)版)，2000，(04).

[3]文繼躍，常桂然.金融信息網(wǎng)格[J].北京航空航天大學(xué)學(xué)報(社會科學(xué)版)，2006，(04).

[4]周建軍，鞠方，于潔.走近電子商務(wù)[J].商業(yè)研究，2001，(11).

(作者單位:江西省萍鄉(xiāng)廣播電視大學(xué))