电子商务的安全问题及安全策略研究

　　

[摘　要]本文从电子商务的安全问题入手，通过对多种安全技术的综合介绍和详细分析，有针对性地提出了相应的安全策略。提供了解决企业电子商务网站安全问题的有效办法，以保障电子商务活动的安全进行。
　　[关键词]电子商务，安全技术，安全对策

　　在电子商务迅速发展的今天，信息网络技术的应用正日益普及和广泛，应用层次正在深入。而网络所具有的开放性、自由性在增加应用自由度的同时，对安全提出了更高的要求。如何建立起一个完善的、实用的、安全的电子商务网站，已成为企事业单位信息化发展中一个急切需要讨论的问题。
　　
　　一、电子商务的安全问题
　　
　　电子商务的安全问题可以概括为以下几个方面：
　　(一)信息泄漏：在电子商务中表现出来的信息泄露主要有两种，一种是交易双方进行交易的内容被第三方所窃取：一种是交易一方提供给另一方的文件、资料等被第三方非法使用。(二)篡改：在电子商务中表现为商业信息的真实性和完整性问题。电子的信息在网络传输的过程中，可能被他人非法地修改、删除或重放．这样就使信息丢失了真实性和完整性。(三)身份识别：这涉及到电子商务中的两个问题。1．如果不进行身份识别，第三方就有可能假冒交易方的身份，以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。2．“不可抵赖”性。交易双方对自己的行为应负有一定的责任，信息发送者和接受者都不能对此予以否认。(四)信息破坏：涉及到两方面内容。1．网络传输的可靠性。网络的硬件或软件可能会出现问题而导致交易信息传递的丢失与谬误。2．恶意破坏。计算机网络本身容易遭到一些恶意程序的破坏，而使电子商务信息遭到破坏。这种情况主要由以下问题引起：①计算机病毒。②计算机蠕虫。这种程序将会对网络造成严重的损失，甚至会通过过多占用网络资源的方式来使网络瘫痪，加上这种程序多数会带有破坏性指令，因而破坏性更强，它已经由点的破坏向面的破坏开始发展了。③特洛伊木马。这是一种执行超出程序定义之外的程序，它将会把自己隐藏到安全的程序中，并由此传播出去。④逻辑炸弹。这是一种当运行环境满足某种特定条件时执行特殊功能的程序。
　　
　　二、电子商务的安全技术
　　
　　电子商务的开展在安全方面上还存在很多问题。面对电子商务中形形色色的安全漏洞，我们必须要采取相应的方法来保障电子商务活动的安全进行，下面就着重探讨了电子商务的安全技术。
　　(一)虚拟专用网络：虚拟专用网络是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，是目前相对而言最适合进行电子商务的形式。在虚拟专用网络中交易的双方比较熟悉，而且彼此之间的数据通信量很大。只要交易双方取得一致，在虚拟专用网络中就可以使用比较复杂的专用加密和认证技术，这样就可以大大提高电子商务的安全。
　　(二)加密技术：加密技术是实现信息保密性的一种重要手段，目的是为了防止合法接受者之外的人获取信息系统中的机密信息。
　　加密包括两个元素：算法和密钥。加密技术的要点是加密算法，一个加密算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合，产生不可理解的密文的步骤。密钥和算法对加密同等重要。密钥是用来对数据进行编码和解码的一种算法。加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。对称加密以数据加密标准(DES，Data Encryption Standard)算法为典型代表，非对称加密通常以RSA(Rivest Shamir Adleman)算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。通过对数据进行加密，可以使在网络上传播的信息对非法用户来说是无意义的，因此，虽然信息在网络上易被非法接收，但是由于被加密，也就保证了信息的隐秘性。

(三)数字签名技术：数字签名以数字加密技术为基础，是数字加密技术的一种应用方式。其核心是采用加密技术的加、解密算法来实现电子信息的数字签名。对于电子商务中的业务款项如何分辨其真假，则需要数字签名技术来确认其交易或结算双方的真实身份及电子货币的可靠性。数字签名的防欺诈性、防更改性及确认功能是电子商务系统的一个重要安全技术。数字签名是公开密钥技术的另一类应用，它的主要方式是：信息的披露方从信息文本中生成一个128位的散列值，并且用自己的专用密钥对这个散列值进行加密．来形成披露方的数字签名：关联方首先从收到的信息文本中计算128位的散列值，接着再用披露方一同发来的公开密钥来对数字签名进行解密，如果两个散列值相同，那就可确认该数字签名是披露的。通过数字签名技术能够实现对原始信息和关联方身份的鉴别，有一定的公正及较好地防范关联方和非关联方的道德风险。
　　(四)认证技术：所谓认证，就是通过认证中心对数字证书进行识别。认证分为实体认证和信息认证，这里的实体是指个人、客户程序或服务程序等参与通信的实体。实体认证是指对这些参与通信实体的身份认证。对用户身份的认证，密码是最常用的，但由于许多用户采用了很容易被破解的密码，使得该方法经常失效。信息认证是指对信息体进行认证，以决定该信息的合法性。信息认证发生在信息接收者收到信息后，使用相关技术对信息进行认证，以确认信息的发送者是谁，信息在传递过程中是否被篡改等。身份验证是对进入电子商务信息系统网络的用户进行身份合法性的整别，主要通过所掌握的特有信息对探访者进行验证。目前，数字签名和认证是网上比较成熟的安全手段，而我国大多数企业尚处于SSL协议应用阶段，在SET协议的应用试验刚刚成功，而要完全实现SET协议安全支付，则必须有一个CA认证中心。
　　(五)防火墙技术：在计算机领域，防火墙是指一种逻辑装置，用来保护内部的网络不受来自外界的侵害。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络地互联环境中，尤其以接人Internet网络最甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之问的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它主要用于实现网络路由的安全，这主要包括两个方面：①限制外部网对内部网的访问，从而保护内部网特定资源免受非法侵害；②限制内部网的访问，主要是针对内部一些不健康信息及敏感信息的访问。目前防火墙的主要有网络层防火墙、应用层防火墙和双端主机防火墙等。网络层防火墙是一个屏蔽的路由器，经检查后最终决定是批准进入或拒绝请求，并将信包引导往内部的适当的接收点。这种防火墙成本较低但安全性亦相对来说亦比较差。应用层防火墙的主要构成由服务器端程序和客户端程序，它通过执行登录或对信息的认证使系统的访问与保密关系更加完善。更加设置了日志及审计方式以监控各方发送的登录和任何未经授权的活动，并将那些未授权的登录情况告诉网络管理者或安全小组。双端主机防火墙只设有两个防火墙出口，一端对互联网上的请求过滤，而另一端提供访问到某部门的局域网之安全信道。

　　三、电子商务的安全策略
　　
　　①针对信息泄漏问题，可以通过加密技术来保证。主要是指保证一些敏感的商业信息不被泄露。虽然从理论上将所有的加密技术都可以破解，但是只要在有限时间内无法将内容破解出来，这就是一个成功的加密方法。②针对篡改问题，可以从两方面来考虑。一是非人为因素，这类问题可以通过数据校验来解决，一旦校验出错误，就可以将信息重发。二是人为因素，这类问题主要是非法用户对信息的恶意修改，只要通过防火墙技术对操作进行验证，再通过加密技术就可以从很大程度上避免这种破坏的产生。③针对身份识别问题，可以使用数字签名技术和认证技术。这样．进行数字签名和认证后，交易双方就可避免“相互猜疑”的情况了。并且，如果出现抵赖的情况，就有了反驳的依据。④针对信息破坏问题可以采用安装反病毒软件或病毒防火墙的方法，可以从相当程度上减少灾难的发生。