摘要:電子商務是新興商務形式,信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題,實施保障電子商務信息安全的數(shù)據(jù)加密技術(shù)、身份驗證技術(shù)、防火墻技術(shù)等技術(shù)性措施,完善電子商務發(fā)展的內(nèi)外部環(huán)境,促進我國電子商務可持續(xù)發(fā)展。
關(guān)鍵詞:電子商務;信息技術(shù);SSL協(xié)議
Abstract: Electronic Commerce, as a commercial form, is being popularized and the information security safeguard is the premise of electronic commerce implementation. As there are hidden dangers in commerce activities, in order to safeguard Electronic Commerce information security we can use the data encryption technology, the identification authentication technology, the firewall technology, etc.
Key words: Electronic Commerce; information technology; Secure Socket Layer
隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,基于網(wǎng)絡和多媒體技術(shù)的電子商務應運而生并迅速發(fā)展。所謂電子商務(Electronic Commerce, EC)就是借助于公共網(wǎng)絡,如Internet或開放式計算機網(wǎng)絡(Open Computer Network)進行網(wǎng)上交易,快速而又有效地實現(xiàn)各種商務活動過程的電子化、網(wǎng)絡化、直接化。這種商務過程包括商品和服務交易的各個環(huán)節(jié),如廣告、商品購買、產(chǎn)品推銷、信息咨詢、商務洽談、金融服務、商品的支付等商業(yè)交易活動。但是出于各種目的的網(wǎng)絡入侵和攻擊也越來越頻繁,脆弱的網(wǎng)絡和不成熟的電子商務增強了人們的防范心理。從這點上來看,信息安全問題是保障電子商務的生命線。
1電子商務信息安全現(xiàn)存的問題
電子商務是實現(xiàn)整個貿(mào)易過程中各階段貿(mào)易活動的電子化。公眾是電子商務的對象,信息技術(shù)是實現(xiàn)電子商務的基礎,電子商務實施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務活動中的信息安全問題主要體現(xiàn)在:
1.1計算機網(wǎng)絡的安全
1.1.1安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標準和規(guī)范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
1.1.2信息的安全問題。非法用戶在網(wǎng)絡的傳輸上,通過不正當手段,非法攔截會話數(shù)據(jù)獲得合法用戶的有效信息,最終導致合法用戶的一些核心業(yè)務數(shù)據(jù)泄密;或者是非法用戶對截獲的網(wǎng)絡數(shù)據(jù)進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易;還有一些非法用戶利用截獲的網(wǎng)絡數(shù)據(jù)包再次發(fā)送,惡意攻擊對方的網(wǎng)絡硬件和軟件。
1.1.3防病毒問題。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟損失。
1.1.4服務器的安全問題。電子商務服務器是電子商務的核心,安裝了大量的與電子商務有關(guān)的軟件和商家信息,并且服務器上的數(shù)據(jù)庫里有企業(yè)的一些敏感數(shù)據(jù),如價格、成本等,所以服務器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果也是非常嚴重的。目前為止服務器的安全問題尚無有效措施予以阻止。主要表現(xiàn)在:非法用戶向網(wǎng)絡或主機發(fā)送大量非法或無效的請求,使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡服務;利用操作系統(tǒng)、軟件、網(wǎng)絡協(xié)議、網(wǎng)絡服務等的安全漏洞,通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請求,使網(wǎng)絡應用服務器崩潰而停止服務。
1.2商務交易的安全
1.2.1身份的不確定問題。由于電子商務的實現(xiàn)需要借助于虛擬的網(wǎng)絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從而獲得非法收入。
1.2.2交易的抵賴問題。電子商務的交易應該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任。
1.2.3交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業(yè)利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
1.3其它方面的安全
電子商務安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題:網(wǎng)絡交易糾紛的仲裁、網(wǎng)絡交易契約等問題,急需為電子商務提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導致泄露信息等均可構(gòu)成不同程度后果的威脅。
2保障電子商務信息安全技術(shù)性措施
電子商務安全是信息安全的上層應用,它包括的技術(shù)范圍比較廣,主要分為數(shù)據(jù)加密技術(shù)和身份認證技術(shù)兩大類。
2.1數(shù)據(jù)加密技術(shù)
加密技術(shù)是保證電子商務中采用的主要安全措施,交易雙方可根據(jù)需要在信息交換階段使用。在一個加密過程中有兩個基本元素:算法和密鑰。加密過程就是根據(jù)一定的算法,將可理解的數(shù)據(jù)(明文)與一串數(shù)字(密鑰)相結(jié)合,從而產(chǎn)生不可理解的密文的過程,主要加密技術(shù)是:
2.1.1常規(guī)密鑰密碼加密。所謂常規(guī)密鑰密碼加密,即加密密鑰與解密密鑰是相同的。
在早期的常規(guī)密鑰密碼體制中,典型的有代替密碼,其原理可以用一個例子來說明:字母A,B,C,D,…,W,X,Y,Z的自然順序保持不變,但使之與D,E,F(xiàn),G,…,Z,A,B,C分別對應(即相差3個字符)。若明文為WELL則對應的密文為ZHOO(此時密鑰為3)。
由于英文字母中各字母出現(xiàn)的頻度早已有人進行過統(tǒng)計,所以根據(jù)字母頻度表可以很容易對這種代替密碼進行破譯。
2.1.2對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密,即收發(fā)雙方采用相同的密鑰來進行加密和解密,如圖1所示。
對稱密鑰加密的最大優(yōu)點是加解密速度快,適合于進行大量數(shù)據(jù)加密,但也存在密鑰管理、發(fā)布困難以及無法進行身份鑒別的缺點。
2.1.3非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密,每個用戶有一對密鑰:一個用于加密,一個用于解密,兩把密鑰實際上是兩個很大的質(zhì)數(shù),加解密過程如圖2所示。