商務(wù)公司的信息安全策略研究

【文章摘要】

如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，已經(jīng)成為十分關(guān)注的問(wèn)題。所以本文選擇對(duì)商務(wù)公司的網(wǎng)絡(luò)信息安全進(jìn)行研究分析，并給出相應(yīng)的對(duì)策，具有重要的現(xiàn)實(shí)意義。

【關(guān)鍵詞】

電子商務(wù)；信息安全；技術(shù)

0 引言

由于Internet及其應(yīng)用在全球范圍內(nèi)的迅速普及，企業(yè)信息化建設(shè)也有了更進(jìn)一步的發(fā)展，電子商務(wù)使得企業(yè)信息系統(tǒng)更加的完善，也更加方便快捷的滿(mǎn)足了現(xiàn)在社會(huì)的需求。因此，電子商務(wù)必將成為21世紀(jì)最先進(jìn)、最有效、最迅速、最全面的經(jīng)營(yíng)交易方式。但是與此同時(shí)，由于它的網(wǎng)絡(luò)普及性，又給企業(yè)信息系統(tǒng)帶來(lái)了更多的不安全因素，尤其是互聯(lián)網(wǎng)絡(luò)所固有的開(kāi)放性與資源共享性，導(dǎo)致網(wǎng)上交易的安全性受到嚴(yán)重挑戰(zhàn)。

1 商務(wù)公司信息安全存在的問(wèn)題分析

1.1 商務(wù)公司網(wǎng)絡(luò)交易信息的保密問(wèn)題

一是傳輸過(guò)程中的數(shù)據(jù)截獲。作為商務(wù)公司這樣一家以電子商務(wù)信息接受發(fā)布為主體的公司來(lái)說(shuō)，電子商務(wù)系統(tǒng)中的數(shù)據(jù)在傳輸過(guò)程中很容易受到截獲。攻擊者可能通過(guò)互連網(wǎng)、公共電話(huà)網(wǎng)、搭線(xiàn)或在電磁波輻射范圍內(nèi)安裝截收裝置等方式，截獲傳輸?shù)臋C(jī)密信息，或通過(guò)對(duì)信息量和流向等參數(shù)的分析，獲取有用的信息。

二是傳輸過(guò)程中的數(shù)據(jù)完整性破壞。攻擊者可能從三個(gè)方面破壞信息的完整性：篡改，即改變信息流的次序，更改信息的內(nèi)容，如購(gòu)買(mǎi)商品的出貨地址；刪除，即刪除某個(gè)消息或消息的某部分；插入，即在消息中插入一些信息。因此，防止傳輸過(guò)程中的數(shù)據(jù)破壞是非常重要的。

三是跨平臺(tái)數(shù)據(jù)交換引起的數(shù)據(jù)丟失。Internet的發(fā)展使電子商務(wù)由最初的單一的、普通的封閉式電子數(shù)據(jù)交換（EDI）系統(tǒng)，逐步向跨平臺(tái)的多信源電子商務(wù)互聯(lián)網(wǎng)轉(zhuǎn)變。在同一個(gè)電子商務(wù)網(wǎng)絡(luò)中，可能同時(shí)存在多個(gè)操作系統(tǒng)，有多種型號(hào)的電腦設(shè)備，使用多種數(shù)據(jù)傳輸介質(zhì)，并要求同時(shí)支持多國(guó)語(yǔ)言。如果平臺(tái)之間的兼容性存在問(wèn)題，有可能導(dǎo)致電子商務(wù)系統(tǒng)中數(shù)據(jù)的丟失。

1.2 訪(fǎng)客身份驗(yàn)證和信息真實(shí)性問(wèn)題

一是交易身份的真實(shí)性。交易者身份的真實(shí)性是指交易雙方確實(shí)是存在的，不是假冒的。網(wǎng)上交易的雙方相隔很遠(yuǎn)，互不了解，要使交易成功，必須互相信任，確認(rèn)對(duì)方是真實(shí)存在的，對(duì)商家要考慮客戶(hù)是不是騙子，對(duì)客戶(hù)要考慮商店是不是黑店，是否有信譽(yù)。所以，驗(yàn)證交易者的身份也就勢(shì)在必行了。

二是黑客和商業(yè)間諜的攻擊。攻擊者可以分為黑客和商業(yè)間諜。黑客指利用不正當(dāng)?shù)氖侄胃`取計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的口令和密碼，從而非法進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)的人。他們篡改用戶(hù)數(shù)據(jù)，搜索和盜竊私人文件，甚至破壞整個(gè)系統(tǒng)的信息，導(dǎo)致網(wǎng)絡(luò)癱瘓。

三是信息的有效性。電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式貿(mào)易信息的有效性則是開(kāi)展電子商務(wù)的前提。一旦簽訂交易協(xié)議后，這項(xiàng)交易就應(yīng)受到保護(hù)以防止被篡改或偽造。交易的有效性在其價(jià)格、期限及數(shù)量作為協(xié)議一部分時(shí)尤為重要，必須保證貿(mào)易數(shù)據(jù)在確定價(jià)格、期限、數(shù)量以及確定時(shí)刻、地點(diǎn)時(shí)是有效的。

1.3 商務(wù)公司的數(shù)據(jù)加密的問(wèn)題

一是信息的截獲和竊取。如同上一節(jié)所提出的數(shù)據(jù)傳輸過(guò)程中的截獲相同，如果沒(méi)有采用加密措施或加密強(qiáng)度不夠，攻擊者可以通過(guò)互聯(lián)網(wǎng)，公共電話(huà)網(wǎng)等途徑推出有用信息，如消費(fèi)者的銀行帳號(hào)，密碼以及企業(yè)的商業(yè)機(jī)密等。

二是信息的篡改。當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式后，通過(guò)各種技術(shù)方法和手段對(duì)網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途修改，并發(fā)往目的地，從而破壞信息的完整性，達(dá)到破壞雙方交易得目的。

三是信息的假冒。當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，可以假冒合法用戶(hù)或發(fā)送假冒信息來(lái)欺騙其他用戶(hù)。主要有兩種方式：一種是偽造電子郵件。另一種是假冒他人身份。

2 關(guān)于商務(wù)公司信息安全問(wèn)題的對(duì)策

2.1 關(guān)于商務(wù)公司會(huì)員及產(chǎn)品信息保密性問(wèn)題的對(duì)策

在電子商務(wù)中，傳送的文件則是通過(guò)數(shù)字簽名來(lái)證明當(dāng)事人身份和數(shù)據(jù)的真實(shí)有效性的。數(shù)字簽名技術(shù)就是利用數(shù)據(jù)加解密技術(shù)、數(shù)據(jù)變換技術(shù)，根據(jù)某種協(xié)議來(lái)產(chǎn)生一個(gè)反映被簽署文件和簽署人特性的數(shù)字化簽名。數(shù)字簽名涉及被簽署文件和簽署人兩個(gè)主體，密碼技術(shù)是數(shù)字簽名的技術(shù)基礎(chǔ)采用公開(kāi)密鑰要比采用常規(guī)密鑰算法更容易實(shí)現(xiàn)。將數(shù)字簽名技術(shù)應(yīng)用于商務(wù)公司的日常運(yùn)營(yíng)中，可以解決數(shù)據(jù)的否認(rèn)、偽造、篡改及冒充等問(wèn)題。

2.2 關(guān)于訪(fǎng)客身份驗(yàn)證和所得信息真實(shí)性問(wèn)題的對(duì)策

一個(gè)是確認(rèn)信息發(fā)送者的身份；另一個(gè)是驗(yàn)證信息的完整性，即確認(rèn)信息在傳送或存儲(chǔ)過(guò)程中未被篡改過(guò)。認(rèn)證是為了防止有人對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊的一種重要技術(shù)。想要解決驗(yàn)證信息和訪(fǎng)客的真實(shí)性問(wèn)題，采用信息認(rèn)證技術(shù)就事在必行。信息認(rèn)證技術(shù)包括了，數(shù)字簽名技術(shù)、身份認(rèn)證技術(shù)兩項(xiàng)。

2.2.1 采用數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)是電子商務(wù)交易中的一項(xiàng)非常重要的技術(shù)。在電子商務(wù)中，完善的數(shù)字簽名技術(shù)應(yīng)具備簽字方不能抵賴(lài)、他人不能偽造、在公正人面前能夠驗(yàn)證真?zhèn)文芰ΑＨ缃癖粡V泛應(yīng)用的數(shù)字簽名技術(shù)主要主要包括以下三種：RSA簽名、DSS簽名和HASH簽名。這三種方法可單獨(dú)使用，也可綜合在一起使用。

2.2.2 采用身份認(rèn)證技術(shù)

身份認(rèn)證機(jī)制包括兩部分，即數(shù)字證書(shū)（DC：Digital Certificate）和證書(shū)授權(quán)機(jī)構(gòu)（CA：Certificate Authority）。電子商務(wù)證書(shū)就是這樣一種由權(quán)威機(jī)構(gòu)發(fā)放的用來(lái)證明身份的事物。

數(shù)字證書(shū)又稱(chēng)數(shù)字憑證，是用電子手段來(lái)證實(shí)一個(gè)用戶(hù)身份和對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限。證書(shū)是一份文檔，它記錄了用戶(hù)的公開(kāi)密鑰和其它身份信息，如名字和E-mail地址。它是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的文件。一般情況下，證書(shū)中還包括密鑰的有效時(shí)間、發(fā)證機(jī)關(guān)（證書(shū)授權(quán)中心）的名稱(chēng)以及該證書(shū)的序列號(hào)等信息。在網(wǎng)上的電子交易中，如果交易雙方都出示各自的數(shù)字證書(shū)，那么雙方都可不必對(duì)對(duì)方身份的真?zhèn)螕?dān)心。數(shù)字證書(shū)有三種類(lèi)型：個(gè)人數(shù)字證書(shū)、企業(yè)證書(shū)和軟件證書(shū)。其中個(gè)人數(shù)字證書(shū)和企業(yè)證書(shū)是常用的證書(shū)。大部分認(rèn)證中心提供前兩種證書(shū)。

2.3 關(guān)于商務(wù)公司數(shù)據(jù)加密問(wèn)題的對(duì)策

2.3.1 采用單密鑰密碼體制

單鑰密碼體制又稱(chēng)對(duì)稱(chēng)密鑰加密，其特點(diǎn)是采用相同的加密算法并只交換共享的專(zhuān)用密鑰。對(duì)于商務(wù)公司來(lái)說(shuō)，因?yàn)樗且孕畔R總和發(fā)布為主要經(jīng)營(yíng)目的的商務(wù)網(wǎng)站，因此，他的日常信息處理量會(huì)很頻繁、很復(fù)雜、也很巨大。所以，考慮這方面的問(wèn)題我們應(yīng)該盡可能的減少公司的運(yùn)營(yíng)負(fù)荷及工作量。

2.3.2 采用雙鑰密碼體制

雙鑰密碼體制又稱(chēng)非對(duì)稱(chēng)密碼體制或公鑰體制，與對(duì)稱(chēng)加密算法不同的是，使用公開(kāi)密鑰算法時(shí)，密鑰被分解為一對(duì)，即公開(kāi)密鑰或?qū)Ｓ妹荑€。公開(kāi)密鑰通過(guò)非保密方式向他人公開(kāi)，而專(zhuān)用密鑰加以保存。

作為密鑰加密體制的另一種方法，雖然，在電子商務(wù)的公司中不是應(yīng)用的很廣泛，但是，如果作為像商務(wù)公司這樣要求信息保密性很高的企業(yè)，采用多元的，多方位的加密技術(shù)也是很有必要的。這是一種只交換保密電文而不交換保密算法本身的方法，使用一對(duì)相互匹配的加解密密鑰，每個(gè)密鑰進(jìn)行單向的數(shù)據(jù)變換。當(dāng)一個(gè)密鑰進(jìn)行加密時(shí)，只有相對(duì)應(yīng)的另一個(gè)密鑰才能解密。

2.3.3 采用虛擬專(zhuān)用網(wǎng)（VPN）技術(shù)

根據(jù)商務(wù)公司所出現(xiàn)的漏洞情況，除了以上的密鑰加密、身份認(rèn)證等技術(shù)外，在企業(yè)內(nèi)部建立局域網(wǎng)，并將它和英特網(wǎng)及虛擬專(zhuān)用網(wǎng)結(jié)合起來(lái)，也會(huì)很好的查補(bǔ)信息安全上的漏缺。目前VPN主要采用三項(xiàng)技術(shù)來(lái)保證信息安全，而多VPN合作使用只是其中的一種方法。

【作者簡(jiǎn)介】

劉駟駿，（1985—），男，遼寧沈陽(yáng)人，同濟(jì)大學(xué)軟件學(xué)院碩士研究生。