- 相關(guān)推薦
淺議電子商務(wù)中的信息安全問題
[ 摘要] 電子商務(wù)對人類社會經(jīng)濟產(chǎn)生了重大影響,在創(chuàng)造巨大經(jīng)濟效益的同時,也從根本上改變了整個社會商務(wù)活動發(fā)展進程。我國電子商務(wù)在曲折進程中,已有很大程度的發(fā)展,同時也存在諸多問題。本文客觀地分析了電子商務(wù)的安全需求、安全技術(shù)發(fā)展現(xiàn)狀及存在的問題,對加快電子商務(wù)的發(fā)展步伐提出了一些重要思考。
。 關(guān)鍵詞] 電子商務(wù);安全需求;安全技術(shù);協(xié)議技術(shù)電子商務(wù)( Electronic Commerce)是上世紀90 年代初期在西方發(fā)達國家首先興起的一種嶄新的利用國際互聯(lián)網(wǎng)絡(luò)Internet 這種先進通訊工具的企業(yè)經(jīng)營方式。它是通過網(wǎng)絡(luò)技術(shù)的應用,快速而且有效的進行各種商務(wù)活動的全新方法。電子商務(wù)無疑是近幾年來使用頻率最高的詞匯之一, 隨著電子商務(wù)的興起,它的信息安全問題也日益引人注目。由于電子商務(wù)是在公開的網(wǎng)上進行的,支付信息、訂貨信息、談判信息、機密的商務(wù)往來文件等大量商務(wù)信息在計算機系統(tǒng)中存放、傳輸和處理,所以如果不能很好地解決信息安全問題,電子商務(wù)的發(fā)展肯定會受到影響。
一、電子商務(wù)的安全需求
1.信息有效性、真實性
電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。
2.信息機密性
電子商務(wù)作為貿(mào)易的一種手段,其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應用的重要保障。
3.信息完整性
電子商務(wù)簡化了貿(mào)易過程, 減少了人為的干預,同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿(mào)易各信息的差異。因此,電子商務(wù)系統(tǒng)應充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。
4.信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可抵賴性要求即是能建立有效的責任機制,防止實體否認其行為;可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式。
5.系統(tǒng)的可靠性
電子商務(wù)系統(tǒng)是計算機系統(tǒng),其可靠性是防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。
二、電子商務(wù)的信息安全技術(shù)
1.數(shù)據(jù)加密技術(shù)
加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式,即面向網(wǎng)絡(luò)或面向應用服務(wù)。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層, 使用經(jīng)過加密的數(shù)據(jù)包傳送、認證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。面向網(wǎng)絡(luò)應用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法, 這一類加密技術(shù)的優(yōu)點在于實現(xiàn)相對較為簡單,不需要對電子信息( 數(shù)據(jù)包) 所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求,對電子郵件數(shù)據(jù)實現(xiàn)了端到端的安全保障。
1) 電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要(digital digest)
這一加密方法亦稱安全Hash 編碼法, 由RonRivest 所設(shè)計。該編碼法采用單向Hash 函數(shù)將需加密的明文“ 摘要”成一串128bit 的密文,這一串密文亦稱為數(shù)字指紋(Finger Print),它有固定的長度,且不同的明文摘要成密文,其結(jié)果總是不同的,而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是“ 真身”的“ 指紋”了。
數(shù)字簽名(digital signature)
數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來使用。主要方式是報文的發(fā)送方從報文文本中生成一個128 位的散列值(或報文摘要),用自己的私有密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名。然后,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128 位的散列值,接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密,如果兩個散列值相同,那么接收方就能確認該數(shù)字簽名是發(fā)送方的,通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別。概括的說,簽名的作用有兩點,一是因為自己的簽名難以否認,從而確認了文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。
數(shù)字時間戳(digital time-stamp)交易文件中,時間是十分重要的信息。在電子交易中, 需對交易文件的日期和時間信息采取安全措施,而數(shù)字時間戳服務(wù)(DTS)就能提供電子文件發(fā)表時間的安全保護。時間戳(time-stamp) 是一個經(jīng)加密后形成的憑證文檔,它包括三個部分:需加時間戳的文件的摘要(digest);DTS 收到文件的日期和時間;DTS的數(shù)字簽名。
數(shù)字證書(digital certificate,digital ID)數(shù)字證書又稱為數(shù)字憑證,是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限。目前,最有效的認證方式是由權(quán)威的認證機構(gòu)為參與電子商務(wù)的各方發(fā)放證書,證書作為網(wǎng)上交易參與各方的身份識別,就好象每個公民都用身份證來證明身份一樣。認證中心作為電子商務(wù)交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任,是一個負責發(fā)放和管理數(shù)定證書的權(quán)威機構(gòu)。因而網(wǎng)絡(luò)中所有用戶可以將自己的公鑰交給這個中心,并提供自己的身份證明信息,證明自己是相應公鑰的擁有者,認證中心審查用戶提供的信息后, 如果確認用戶是合法的,就給用戶一個數(shù)字證書。這樣,每個成員只需和認證中心打交道, 就可以查到其他成員的公鑰信息了。對于在網(wǎng)上進行交易的雙方來說,數(shù)字證書對他們之間建立信任是至關(guān)重要的。數(shù)字憑證有三種類型:個人憑證、企業(yè)( 服務(wù)器) 憑證、軟件( 開發(fā)者) 憑證;大部分認證中心提供前兩類憑證。
2.身份認證技術(shù)
為解決Internet 的安全問題,初步形成了一套完整的Internet 安全解決方案,即被廣泛采用的公鑰基礎(chǔ)設(shè)施( PKI) 體系結(jié)構(gòu)。PKI 體系結(jié)構(gòu)采用證書管理公鑰,通過第三方的可信機構(gòu)CA,把用戶的公鑰和用戶的其他標識信息( 如名稱、e-mail、身份證號等) 捆綁在一起,在Internet 網(wǎng)上驗證用戶的身份,PKI 體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來,在Internet 網(wǎng)上實現(xiàn)密鑰的自動管理, 保證網(wǎng)上數(shù)據(jù)的機密性、完整性。
1 ) 認證系統(tǒng)的基本原理
利用RSA 公開密鑰算法在密鑰自動管理、數(shù)字簽名、身份識別等方面的特性,可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統(tǒng)。這個可信的第三方認證系統(tǒng)也稱為CA,CA 為用戶發(fā)放電子證書,用戶之間利用證書來保證信息安全性和雙方身份的合法性。
2 ) 認證系統(tǒng)結(jié)構(gòu)
整個系統(tǒng)是一個大的網(wǎng)絡(luò)環(huán)境,系統(tǒng)從功能上基本可以劃分為CA、RA 和Web Publisher。
核心系統(tǒng)跟CA 放在一個單獨的封閉空間中,為了保證運行的絕對安全,其人員及制度都有嚴格的規(guī)定,并且系統(tǒng)設(shè)計為一離線網(wǎng)絡(luò)。CA 的功能是在收到來自RA 的證書請求時,頒發(fā)證書。
證書的登記機構(gòu)Register Authority,簡稱RA,分散在各個網(wǎng)上銀行的地區(qū)中心。RA 與網(wǎng)銀中心有機結(jié)合,接受客戶申請,并審批申請,把證書正式請求通過建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA 中心。
證書的公布系統(tǒng)Web Publisher,簡稱WP,置于Internet 網(wǎng)上,是普通用戶和CA 直接交流的界面。對用戶來講它相當于一個在線的證書數(shù)據(jù)庫。用戶的證書由CA 頒發(fā)之后,CA 用E-mail 通知用戶, 然后用戶須用瀏覽器從這里下載證書。
3.網(wǎng)上支付平臺及支付網(wǎng)關(guān)
網(wǎng)上支付平臺分為CTEC 支付體系( 基于CTCA/GDCS) 和SET 支付體系( 基于CTCA/SET) 。網(wǎng)上支付平臺支付型電子商務(wù)業(yè)務(wù)提供各種支付手段,包括基于SET 標準的信用卡支付方式、以及符合CTEC 標準的各種支付手段。
支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間,其主要功能為:將公網(wǎng)傳來的數(shù)據(jù)包解密,并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包;接收銀行系統(tǒng)內(nèi)部的傳回來的響應消息,將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式,并對其進行加密。此外,支付網(wǎng)關(guān)還具有密鑰保護和證書管理等其它功能。
三、電子商務(wù)信息安全中的其它問題
1.內(nèi)部安全
最近的調(diào)查表明, 至少有75% 的信息安全問題來自內(nèi)部,在信用卡和商業(yè)詐騙中,內(nèi)部人員所占的比例最大;
2.惡意代碼
它們將繼續(xù)對所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅, 并且,其數(shù)量將隨著Internet 的發(fā)展和編程環(huán)境的豐富而增多,擴散起來也更加便利,因此,造成的破壞也就越大;
3.可靠性差
目前,Internet 主干網(wǎng)和DNS 服務(wù)器的可靠性還遠遠不能滿足人們的要求, 而絕大部分撥號PPP 連接質(zhì)量并不可靠,且速度很慢;
4.技術(shù)人才短缺
由于Internet 和網(wǎng)絡(luò)購物都是在近幾年得到了迅猛的發(fā)展,因而,許多地方都缺乏足夠的技術(shù)人才來處理其中遇到的各種問題, 尤其是網(wǎng)絡(luò)購物具有24 x 7( 每天24 小時,每周7 天都能工作) 的要求,因而迫切需要有一大批專業(yè)技術(shù)人員對其進行管理。如果說加密技術(shù)是電子交易安全的“ 硬件”,那么人才問題則可以說是“ 軟件”。從某種意義上講,軟件的問題解決起來可能更不容易,因此,技術(shù)人才的短缺可能成為阻礙網(wǎng)絡(luò)購物發(fā)展的一個重要因素。
5.Web 服務(wù)器的保護意識差
在交易過程中對數(shù)據(jù)進行保護只是保證交易安全的一個方面。由于交易的信息均存儲在服務(wù)器上,因此,即使保密信息被客戶端接收之后,也必須對存儲在服務(wù)器中的數(shù)據(jù)進行保護。目前,Web 服務(wù)器是黑客們最喜歡攻擊的目標。因此, 建議盡量不要將Web 服務(wù)和連接到任何內(nèi)部網(wǎng)絡(luò),而且要定期對數(shù)據(jù)進行備份, 以便于服務(wù)器被攻擊之后對數(shù)據(jù)進行恢復。當然,這畢竟有些不太現(xiàn)實,現(xiàn)在許多流行的Web應用都需要Web 服務(wù)器與公司的數(shù)據(jù)庫進行交互式操作, 這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連,而這個連接也就成為黑客們從Web 站點侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通路。雖然防火墻技術(shù)有助于對web 站點進行保護,但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護,因而沒有對Web 服務(wù)器進行很好的保護,這是商家的Web 站點尤其要引起注意的地方。
四、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論
1.SSL 協(xié)議( Secure Sockets Layer) 安全套接層協(xié)議———面向連接的協(xié)議。
SSL 協(xié)議主要是使用公開密鑰體制和X.509 數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性,它不能保證信息的不可抵賴性,主要適用于點對點之間的信息傳輸,常用Web Server 方式。但它是一個面向連接的協(xié)議,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認證, 而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成, SSL 協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。
2.SET 協(xié)議( Secure Electronic Transaction) 安全電子交易———專門為電子商務(wù)而設(shè)計的協(xié)議。由于SET 提供了消費者、商家和銀行之間的認證,確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點, 因此它成為了目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。雖然它在很多方面優(yōu)于SSL 協(xié)議,但仍然不能解決電子商務(wù)所遇到的全部問題。
結(jié)束語
本文分析了目前電子商務(wù)的安全需求,使用的安全技術(shù)及仍存在的問題,并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點,但必須強調(diào)說明的是,電子商務(wù)的安全運行,僅從技術(shù)角度防范是遠遠不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導和促進我國電子商務(wù)快速健康發(fā)展。
、 姚立新,新世紀商務(wù):電子商務(wù)的知識發(fā)展與運作,中國發(fā)展出版社,1999 年。
、凇吨袊娮由虅(wù)年鑒》2003 卷。
、 陳海濱,企業(yè)電子營銷發(fā)展對策淺析,湖南大學學報,2001 年。
④ 黃京華,《電子商務(wù)教程》,清華大學出版社,2006 年。
【淺議電子商務(wù)中的信息安全問題】相關(guān)文章:
淺議情感因素在舞蹈表演中的重要性04-11
淺議西方文學中作家主體性的演變08-26
淺議中國藥典中苯甲酸鑒別試驗08-07
淺析電子商務(wù)時代的信息管理與信息系統(tǒng)06-10
淺議民事再審程序06-04
智能住宅中的信息家電05-30
淺議核分析技術(shù)這門應用科學在生命科學中的應用08-02
淺議行政公益訴訟論文04-13
淺議對比語言學08-21
淺議集體違法的成因及對策06-04
- 電子商務(wù)交易中的安全問題論文
- 工商管理模式和企業(yè)會計研究的論文
- 工商管理專業(yè)畢業(yè)論文參考
- 工商管理學中電子商務(wù)與市場營銷分析
- 工商管理培訓管理淺析
- 工商管理人員具備的能力論文
- 工商管理類專業(yè)如何加強實踐教學環(huán)節(jié)探析
- 探討提高施工企業(yè)財務(wù)預算有效性的措施
- 建筑企業(yè)全面預算管理的探討
- 電子商務(wù)安全問題及策略的論文
- 食品安全問題論文
- 電子商務(wù)簡歷
- 電子商務(wù)的論文
- 電子商務(wù)論文
- 電子商務(wù)簡歷范文
- 電子商務(wù)專業(yè)簡歷
- 電子商務(wù)專業(yè)介紹
- 電子商務(wù)物流論文
- 電子商務(wù)論文提綱
- 電子商務(wù)基礎(chǔ)試題