电子商务中的信息安全问题

电子商务中的信息安全问题

作者：邓春 龙王君

来源：《审计与理财》2010年第05期

电子商务通常是指在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。作为一种全新的商务模式,电子商务有很大的发展前途。但是在电子商务高度融入社会各方面的同时,它对社会各方面所带来可能的风险也在不断增大。电子商务对管理水平、信息传递技术等提出了更高的要求,其中安全体系的构建尤其重要。

一、电子商务安全的技术要求

1.物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准。防止设备的功能失常、防止电源故障、防止由于电磁泄漏引起的信息失密、防止搭线窃听等。

2.网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断,如软硬件错误、网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。

3.商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议、安全套接层SSL协议和安全电子交易SET协议、文件加密技术、数字签名技术、电子商务认证中心CA。

4.系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞,然后采用安全技术设备,增强其安全防护能力。

龙源期刊网 http://www.qikan.com.cn

二、电子商务安全防范技术

为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。从满足电子商务信息安全的角度来看,除了保证电子商务平台本身可靠安全的运行,电子商务系统还必须采用各种安全技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等要求。综合起来主要有以下几种技术:

1.防火墙技术。现有的防火墙技术包括两大类:数据包过滤和代理服务技术。其中最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。

2.虚拟专网技术VPN。VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。VPN具有投资小、易管理、适应性强等优点。VPN可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全连接,并保证数据的安全传输,以此达到在公共的Internet上或企业局域网之间实现完全的电子交易的目的。 3.数据加密技术。加密技术是保证电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。加密技术分为常规密钥密码体系和公开密钥密码体系两大类。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄露,可通过常规密钥密码体系的方法加密机密信息,并随报文发送报文摘要和报文散列值,以保证报文的机密性和完整性。

目前常用的常规密钥密码体系的算法有:数据加密标准DES、三重DES、国际数据加密算法IDEA等,其中DES使用最普遍,是被ISO采用为数据加密的标准。在公开密钥密码体系中,加密密钥是公开信息,而解密密钥是需要保护的,加密算法和解密算法也都是公开的。典型的公开密钥密码体系有:基于数论中大数分解的RSA体系、基于NP完全理论的Merkel-Hellman背包体系和基于编码理论的McEliece体系。在以上两类加密体系中,常规密钥密码体系的特点是加密速度快、效率高,被广泛用于大量数据的加密,但该方法的致命缺点是密钥的传输易被截获,难以安全管理大量的密钥,因此大范围应用存在一定问题。而公开密钥密码体系很好地解决了上述不足,保密性能也优于常规密钥密码体系,但公开密钥密码体系复杂,加密速度不够理想。目前电子商务实际运用中常将两者结合使用。 4.安全认证技术。安全认证技术主要有:

龙源期刊网 http://www.qikan.com.cn

(1)数字摘要技术,可以验证通过网络传输收到的明文是否被篡改,从而保证数据的完整性和有效性。

(2)数字签名技术,能实现对原始报文的鉴别和不可否认性,同时还能阻止伪造签名。 (3)数字时间戳技术,用于提供电子文件发表时间的安全保护。

(4)数字凭证技术,又称为数字证书,负责用电子手段来证实用户的身份和对网络资源访问的权限。

(5)认证中心,负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解可信第三方的系统瓶颈问题,而且只须管理每个用户的一个公开密钥,大大降低了密钥管理的复杂性,这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系统。

(6)智能卡技术,它不但提供读写数据和存储数据的能力,而且还具有对数据进行处理的能力,可以实现对数据的加密和解密,能进行数字签名和验证数字签名,其存储器部分具有外部不可读特性。采用智能卡,可使身份识别更有效、安全,但它仅仅为身份识别提供一个硬件基础,如果要使身份认证更安全,还需要与安全协议的配合。

三、结束语

电子商务领域的安全问题一直是备受关注的问题,因此如何更好的解决这个问题是推进电子商务更好更快发展的动力,在技术上对信息安全新技术新算法的研究和技术集成研究将成为主要方向。另外还必须尽快对电子商务立法,以规范飞速发展的电子商务中存在的各类问题,从而引导和促进我国电子商务快速健康发展,使电子商务在中国得到真正的飞跃。 (作者单位:江西省商务学校)