電子商務信息安全

[摘要] 電子商務是新興商務形式，信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題，實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施，完善電子商務發展的內外部環境，促進我國電子商務可持續發展。

[關鍵詞] 電子商務 信息技術 信息安全

隨著互聯網技術的蓬勃發展，基于網絡和多媒體技術的電子商務應運而生并迅速發展。所謂電子商務 ( Electronic Commerce， EC) 就是借助于公共網絡，如 Internet 或開放式計算機網絡 (Open Computer Network) 進行網上交易，快速而又有效地實現各種商務活動過程的電子化、網絡化、直接化。這種商務過程包括商品和服務交易的各個環節，如廣告、商品購買、產品推銷、信息咨詢、商務洽談、金融服務、商品的支付等商業交易活動。但是出于各種目的的網絡入侵和攻擊也越來越頻繁，脆弱的網絡和不成熟的電子商務增強了人們的防范心理。從這點上來看，信息安全問題是保障電子商務的生命線。

一、電子商務信息安全現存的問題

電子商務是實現整個貿易過程中各階段貿易活動的電子化。公眾是電子商務的對象，信息技術是實現電子商務的基礎，電子商務實施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務活動中的信息安全問題主要體現在:

1.計算機網絡的安全

(1)安全協議問題。目前安全協議還沒有全球性的標準和規范，相對制約了國際性的商務活動。此外，在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

(2)信息的安全問題。非法用戶在網絡的傳輸上，通過不正當手段，非法攔截會話數據獲得合法用戶的有效信息，最終導致合法用戶的一些核心業務數據泄密;或者是非法用戶對截獲的網絡數據進行一些惡意篡改，如增加、減少和刪除等操作，從而使信息失去真實性和完整性，導致合法用戶無法正常交易;還有一些非法用戶利用截獲的網絡數據包再次發送，惡意攻擊對方的網絡硬件和軟件。

(3)防病毒問題。電腦病毒問世十幾年來，各種新型病毒及其變種迅速增加，互聯網的出現又為病毒的傳播提供了最好的媒介，不少新病毒直接以網絡作為自己的傳播途徑，還有眾多病毒借助于網絡傳播得更快，動輒造成數百億美元的經濟損失。

(4)服務器的安全問題。電子商務服務器是電子商務的核心，安裝了大量的與電子商務有關的軟件和商家信息，并且服務器上的數據庫里有企業的一些敏感數據，如價格、成本等，所以服務器特別容易受到安全的威脅，并且一旦出現安全問題，造成的后果也是非常嚴重的。目前為止服務器的安全問題尚無有效措施予以阻止。主要表現在: 非法用戶向網絡或主機發送大量非法或無效的請求，使其消耗可用資源卻無法繼續提供正常的網絡服務; 利用操作系統、軟件、網絡協議、網絡服務等的安全漏洞，通過網站發送特制的數據請求，使網絡應用服務器崩潰而停止服務。

2.商務交易的安全

(1)身份的不確定問題。由于電子商務的實現需要借助于虛擬的網絡平臺，在這個平臺上交易雙方是不需要見面的，因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，從而獲得非法收入。

(2)交易的抵賴問題。電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認，以推卸自己應承擔的責任。

(3)交易的修改問題。交易文件是不可修改的，否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改，以保證商務交易的嚴肅和公正。

3.其他方面的安全

電子商務安全威脅種類繁多、來自各種可能的潛在方面，有蓄意而為的，也有無意造成的，例如電子交易衍生了一系列法律問題: 網絡交易糾紛的仲裁、網絡交易契約等問題，急需為電子商務提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導致泄露信息等均可構成不同程度后果的威脅。

二、保障電子商務信息安全技術性措施

電子商務安全是信息安全的上層應用，它包括的技術范圍比較廣，主要分為數據加密技術和身份認證技術兩大類。

1.數據加密技術

加密技術是保證電子商務中采用的主要安全措施，交易雙方可根據需要在信息交換階段使用。在一個加密過程中有兩個基本元素:算法和密鑰。加密過程就是根據一定的算法，將可理解的數據(明文)與一串數字(密鑰)相結合，從而產生不可理解的密文的過程，主要加密技術是:

(1)常規密鑰密碼加密。所謂常規密鑰密碼加密，即加密密鑰與解密密鑰是相同的。在早期的常規密鑰密碼體制中，典型的有代替密碼，其原理可以用一個例子來說明:字母 A，B，C，D，…，W，X，Y，Z的 自然順序保持不變，但使之與 D，E，F，G，…，Z，A，B，C 分別對應 (即相差3個字符)。 若明文為WELL則對應的密文為 ZHOO (此時密鑰為3)。

由于英文字母中各字母出現的頻度早已有人進行過統計，所以根據字母頻度表可以很容易對這種代替密碼進行破譯。

(2)對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密，即收發雙方采用相同的密鑰來進行加密和解密。對稱密鑰加密的最大優點是加解密速度快，適合于進行大量數據加密，但也存在密鑰管理、發布困難以及無法進行身份鑒別的缺點。

(3)非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密，每個用戶有一對密鑰: 一個用于加密，一個用于解密，兩把密鑰實際上是兩個很大的質數。其中，加密密鑰(公鑰)可以在網絡服務器、報刊等場合公開，而解密密鑰(私鑰)則屬用戶的私有密鑰，由公開的加密密鑰導出私有的解密密鑰在技術上是不可實現的。

與對稱密鑰加密相比，采用非對稱密鑰加密方式密鑰管理較方便，且保密性比較強，但加解密實現速度比較慢，不適用于通信負荷較重的應用。

2.身份驗證技術

(1)認證系統。網上安全交易的基礎是數字證書。數字證書類似于現實生活中的身份證，用于在網絡上鑒別個人或組織的真實身份。數字證書的頒發機構叫做 Certificate Authority，通常簡稱為 CA。要建立安全的電子商務系統，首先必須建立一個穩固、健全的 CA，否則，一切網上的交易都沒有安全保障。

(2)SSL協議。SSL協 議 (Secure Socket Layer，安全套接層)主要目的是解決 TCP/IP 協議不能確認用戶身份的問題，在 Socket 上使用非對稱的加密技術，以保證網絡通信服務的安全性。SSL協議易于實現。

SSL協議還是最值得信賴的協議。但是由于 SSL協 議當初并不是為支持電子商務而設計的，所以在電子商務系統的應用中還存在很多弊端，在涉及多方的電子交易中，只能提供交易中客戶與服務器間的雙方認證，而電子商務往往是用戶、網站、銀行三家協作完成，SSL協 議并不能協調各方間的安全傳輸和信任關系。

(3)SET協 議。SET (Secure Electronic Transaction) 安全電子交易協議是用于 Internet 上的以信用卡為基礎的電子支付系統協議。主要應用于B/C模式中保障支付信息的安全性。SET協 議提供對消費者、商戶和銀行的認證，協議本身比較復雜，設計比較嚴格，安全性高，確保電子交易的機密性、數據完整性、身份的合法性和抗否認性，特別是保證了不會將持卡人的信用卡號泄露給商戶。其核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。它的交易規范成為了未來電子商務發展的方向。

3.其他安全技術

防火墻技術:防火墻主要是用來隔離內部網和外部網，對內部網的應用系統加以保護。目前的防火墻分為兩大類:一類是簡單的包過濾技術，它是在網絡層對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯，檢查數據流中每個數據包后，根據數據包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態等因素來確定是否允許數據包通過。另一類是應用網管和代理服務器，可針對特別的網絡應用服務協議及數據過濾協議，并且能夠對數據包分析并形成相關的報告。

數字簽名:數字簽名是公開密鑰加密技術的另一種應用，報文的發送方從報文文本中生成一個 128位的散列值，發送方用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名，通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。

三、保障電子商務信息安全措施

1.加快網絡基礎設施建設，推動企業信息化進程

信息基礎設施是電子商務發展的物質基礎和載體。發展信息基礎設施需要政府和業界的共同努力，尤其是政府的大力投資和宏觀調控。

2.普及計算機網絡知識和電子商務常識，提高全民族電子商務意識

普及信息技術的教育，培養信息技術人才。增強企業和公眾對電子商務的信心。

3.加快銀行、稅務以及郵政等物流環節的信息化建設

建立企業到企業、企業到客戶的商務溝通，實現網上資金流動，解決目前有形商品交易環節中的流通困難。

參考文獻:

[1]周均:電子商務信息安全的政策法律研究[J].科技文獻信息管理，2004(4):57

[2]楊穎:電子商務安全問題分析[J].中國科技信息，2005(20):53

[3]成漢健:電子商務安全問題分析[J].商場現代化，2005(1):65

[4]張賢:電子商務安全問題[J].中國科技信息，2006(3):14