電子商務中的信息安全及關鍵技術的探討

[摘要] 伴隨著電子商務的廣泛應用，電子商務的安全問題愈加突出和亟待解決。本文就電子商務活動中的安全問題分析了現在流行的信息安全框架，并對信息安全的關鍵技術進行了探討。

[關鍵詞] 電子商務 信息安全框架 安全技術

一、 引言

電子商務即EC（Electronic Commerce），簡單講就是利用先進的電子技術進行商務活動的總稱。電子商務包括兩個方面：一是商務活動;二是電子化手段。現代電子商務是基于Internet技術的新型的商務活動，是21世紀市場經濟商務運行的主要模式。由于Internet的全球性和開放性，不受時間和空間的限制，給電子商務交易帶來了種種不安全因素。網絡上的信息安全問題已成為影響電子商務發展的重要因素之一。因此，研究在開放的網絡環境下電子商務安全問題就變的非常地迫切和重要了。

二、安全問題

1.安全問題

由于電子商務是在開放的網絡上進行的貿易，其支付信息、訂貨信息、談判信息、機密的商務往來文件等大量商務信息在計算機網絡系統中存放、傳輸和處理，所以，網絡系統中信息安全技術成為電子商務安全交易的技術支撐。網絡信息所面臨的威脅來自許多方面，并且在不斷發生著變化。其中最常見的有非法訪問、惡意攻擊、計算機病毒以及其它方面如物理損壞、人與自然災難等。

2.安全要素

(1)完整性。完整性指數據信息未經授權不能進行改變的特性，也就是要求保持信息的原樣，要預防對信息的隨意生成、修改、偽造、插入和刪除，同時要防止數據傳輸過程中的丟失、亂序和重復。

(2)機密性。機密性是指網絡信息只為授權用戶所用，不會泄露給未授權的第三方的特性。要保證信息的機密性，需要防止入侵者侵入系統，對機密信息需先經過加密處理，再送到網絡中傳輸。

(3)不可否認性。不可否認性也即不可抵賴性是指所有參與者都不可能否認和抵賴曾經完成的操作。要求在交易信息的傳輸過程中為參與交易的個人、企業和國家提供可靠的標識，使信息發送者在發送數據后不能抵賴，而接受方接受數據后也不能否認。

(4)真實性。真實性是指商務活動中交易信息的真實，包括交易者身份的真實性，也就是確保網上交易的對象是真實存在的，而不是虛假或偽造的，也包括交易信息自身的真實性。

(5)可用性。可用性就是確保信息及信息系統能夠為授權使用者所正常使用。

(6)可靠性。可靠性是指電子商務系統的可靠性，在遇到自然災害、硬件故障、軟件錯誤、計算機病毒等情況下，仍能確保系統安全、可靠地運行。

三、信息安全框架

信息安全的內涵是在不斷地發展和變化的。一般信息安全是從兩個方面進行描述:一種是從信息安全所涉及的安全屬性的角度進行描述，涉及了機密性、完整性、可用性等。這些安全屬性是保障電子商務交易的安全要素。另一種是從信息安全所涉及層面的角度進行描述，信息安全被認為是一個由物理安全、運行安全、數據安全和內容安全組成的四層模型。伴隨著Internet的發展，信息對抗引起了人們的重視，被引入了信息安全領域。信息對抗研究的內容是信息真實性的保護和破壞，信息對抗討論如何從多個角度或側面來獲得信息并分析信息，或者在信息無法隱藏的前提下，通過增加更多的無用信息來擾亂獲取者的視線，以掩藏真實信息所反映的含義。從本質上來看，信息對抗屬于信息利用的安全。由此，在信息安全模型中增加了信息對抗這個層次。

基于信息安全的作用點，可以將信息安全看作是由三個層次、五個層面所構成的層次框架體系，在每個層面中各自反映了在該層面中所涉及的信息安全的屬性。如圖所示。

其中，系統安全反映的信息系統所面臨的安全問題，包括物理安全和運行安全，物理安全是指網絡與信息系統的硬件安全；運行安全是指網絡與信息系統中的軟件安全。狹義的“信息安全”問題是信息自身面臨的安全問題，包括數據安全和內容安全，數據安全以保護數據不受外界的侵擾為目的，內容安全是指對信息在網絡內流動中的選擇性阻斷，以保證信息流動的可控能力。信息對抗是指在信息的利用過程中，對信息的真實性的隱藏與保護，或者攻擊與分析。

四、安全技術

隨著計算機網絡的飛速發展和應用，網絡信息安全技術也在不斷地發展。現階段已采用了多種安全技術保護信息的安全，如：訪問控制、數據加密、入侵檢測、用戶授權與認證等。

1.訪問控制

訪問控制是指對網絡中的某些資源的訪問要進行控制，只有被授予特權的用戶才有資格并有可能去訪問有關的數據或程序。訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證資源不被非法使用和非法訪問。常用的訪問控制技術有：入網訪問控制，網絡的權限控制，目錄級安全控制，防火墻控制，網絡服務器控制，網絡監測和鎖定控制等。

2.加密技術

加密技術是認證技術及其他許多安全技術的基礎。加密技術是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉換成為無意義的密文，阻止非法用戶理解原始數據，從而確保數據的保密性。密鑰加密技術的密碼體制分為對稱密鑰體制和公用密鑰體制兩種。相應地，對數據加密的技術分為兩類，即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以DES算法為典型代表，非對稱加密通常以RSA算法為代表。

3.防火墻技術

防火墻是指一種將內部網和公眾訪問網分開的方法，實際上是一種隔離技術，是安全網絡(被保護的內網)與非安全網絡(外部網絡)之間的一道屏障，以預防發生不可預測的、潛在的網絡入侵。

防火墻可以根據網絡安全水平和可信任關系將網絡劃分成一些相對獨立的子網，兩側間的通信受到防火墻的檢查控制；可以根據既定的安全策略允許特定的用戶和數據包穿過，同時將安全策略不允許的用戶與數據包隔斷，達到保護高安全等級的子網、防止墻外黑客的攻擊、限制入侵蔓延等目的。但是，防火墻不能阻止來自用戶網絡內部的攻擊。

4.入侵檢測技術

入侵檢測是通過監控網絡與系統的狀態、行為以及系統的使用情況，來檢測用戶的越權使用以及系統外部的入侵者利用系統的安全缺陷對系統進行入侵的企圖，在發現入侵后，及時采取相應的措施來阻止入侵活動的進一步破壞，包括切斷網絡連接、記錄事件和報警等。

入侵檢測不僅可以檢測外部入侵，而且對內部的濫用行為也有很好的檢測能力。

5.虛擬專用網

虛擬專用網（Virtual Private Network VPN）技術是一種在公用互聯網絡上構造專用網絡的技術。將物理上分布在不同地點的專用網絡，通過公共網絡構造成邏輯上的虛擬子網，進行安全的通信。VPN采用一種叫做“通道”或“數據封裝”的系統，用公共網絡及其協議向貿易伙伴、顧客、供應商和雇員發送敏感的數據。這種通道是Internet上的一種專用通道，可保證數據在外部網上的企業之間安全地傳輸。

6.認證技術

認證技術提供了一種安全可靠的驗證交易各方身份真實性的驗證機制。安全認證技術主要有:(1)數字摘要技術，可以驗證通過網絡傳輸收到的明文是否被篡改，從而保證數據的完整性和有效性。(2)數字簽名技術，能夠實現對原始報文的鑒別和不可否認性，同時還能阻止偽造簽名。(3)數字時間戳技術，用于提供電子文件發表時間的安全保護。(4)數字憑證技術，又稱為數字證書，負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。(5)認證中心，負責審核用戶的真實身份并對此提供證明，而不介入具體的認證過程，從而緩解了可信第三方的系統瓶頸問題。

電子商務安全是一個系統的概念，不僅與計算機信息網絡系統有關，還與電子商務應用的環境、人員素質和社會因素有關。以上我們僅對基于開放的網絡環境下的信息安全方面進行了探討。而一個完整的電子商務交易安全體系，則至少應包括以下幾類措施:一是計算機網絡技術方面的措施;二是管理制度方面的措施，三是社會的政策與法律保障等。

參考文獻:

[1]嚴圣華:電子商務安全關鍵技術研究[J].《軟件導刊》，2006.8

[2]徐君超:用信息安全模型詮釋涉密網絡安全架構[J].《計算機安全》，2007.6

[3]揚晉:現代電子商務安全技術研究[J].《網絡安全技術與應用》，2007.1