電子商務網絡信息安全問題探討

[摘 要] 本文分析了電子商務信息安全技術、數字認證、信息安全協議、信息安全對策等核心問題，提出了相應的對策。

[關鍵詞] 電子商務 網絡/信息安全 信息安全技術 數字認證 安全協議 信息安全對策

隨著網絡的發展，電子商務的迅速崛起，使網絡成為國際競爭的新戰場。然而，由于網絡技術本身的缺陷，使得網絡社會的脆性大大增加，一旦計算機網絡受到攻擊不能正常運作時，整個社會就會陷入危機。所以，構筑安全的電子商務信息環境，愈來愈受到國際社會的高度關注。

一、電子商務中的信息安全技術

電子商務的信息安全在很大程度上依賴于技術的完善，包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。

1.防火墻技術。防火墻(Firewall）主要是加強網絡之間的訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。

2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據，當需要時可使用不同的密鑰將密文數據還原成明文數據。

3.數字簽名技術。數字簽名(Digital Signature）技術是將摘要用發送者的私鑰加密，與原文一起傳送給接收者，接收者只有用發送者的公鑰才能解密被加密的摘要。

4.數字時間戳技術。時間戳（Time-Stamp）是一個經加密后形成的憑證文檔，包括需加時間戳的文件的摘要（Digest）、DTS收到文件的日期與時間和DIS數字簽名，用戶首先將需要加時間的文件用HASH編碼加密形成摘要，然后將該摘要發送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密（數字簽名），然后送回用戶。

二、數字認證及數字認證授權機構

1.數字證書。它含有證書持有者的有關信息，以標識他的身份。數字證書克服了密碼在安全性和方便性方面的局限性，可以控制哪些數據庫能夠被查看，因此提高了總體的保密性。

2.電子商務數字認證授權機構。電子商務交易需要電子商務證書，而電子商務認證中心（CA）就承擔著網上安全電子交易認證服務、簽發數字證書并確認用戶身份的功能。

三、電子商務信息安全協議

1.安全套接層協議。用于提高應用程序之間的數據的安全系數。SSL協議的整個概念可以被總結為:一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協議，該協議向基于TCP/IP的客戶/服務器應用程序提供了客戶端與服務的鑒別、數據完整性及信息機密性等安全措施。

2.安全電子交易公告。安全電子交易公告（SET：Secure Electronic Transactions）是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統規范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證。SET已成為全球網絡的工業標準。

3.安全超文本傳輸協議（S-HTTP）。依靠密鑰的加密，保證Web站點間的交換信息傳輸的安全性。SHTTP對HT-TP的安全性進行了擴充，增加了報文的安全性，是基于SSL技術的。

4.安全交易技術協議（STT）。STT將認證與解密在瀏覽器中分離開，以提高安全控制能力。

5.UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。

6.《電子交換貿易數據統一行為守則》（UNCID）。UNCID由國際商會制定，該守則第六條、第七條、第九條分別就數據的保密性、完整性及貿易雙方簽訂協議等問題做了規定。

三、電子商務中的信息安全對策

1.提高對網絡信息安全重要性的認識。我們在思想上要把信息資源共享與信息安全防護有機統一起來，以有效方式、途徑在全社會普及網絡安全知識，學會維護網絡安全的基本技能。

2.加強網絡安全管理。我國網絡安全管理除現有的部門分工外，要建立一個具有高度權威的信息安全領導機構，有效統一、協調各部門的職能，研究未來趨勢，制定宏觀政策，實施重大決定。

3.加快網絡安全專業人才的培養。要注重加強與國外的經驗技術交流，及時掌握國際上最先進的安全防范手段和技術措施，確保在較高層次上處于主動。

4. 抓緊網絡安全基礎設施建設。一個網絡信息系統，只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產的，就沒有安全可言。為此，需要建立中國的公開密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。

5.把好網絡建設立項關。在對網絡的開放性、適應性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關的同時，在立項時更應注重對網絡的可靠性、安全性評估，力爭將安全隱患杜絕于立項、決策階段。

6.建立網絡風險防范機制。為網絡安全而產生的防止方法有多種，但總的來講不外乎危險產生前的預防、發生中的抑制和發生后的補救。有學者建議，網絡經營者可以在保險標的范圍內允許標保的財產進行標保，并在出險后進行理賠。

7.強化網絡技術創新。如果在基礎硬件、芯片方面不能自主，將嚴重影響我們對信息安全的監控。為了建立起我國自主的信息安全技術體系，需要以我為主，統一組織進行信息安全關鍵技術攻關，以創新的思想，構筑具有中國特色的信息安全體系。

8.注重網絡建設的規范化。目前，國際上出現許多關于網絡安全的技術規范、技術標準，目的就是要在統一的網絡環境中保證信息的絕對安全。我們應從這種趨勢中得到啟示，在同國際接軌的同時，拿出既符合國情又順應國際潮流的技術規范。

9.建設網絡安全研究基地。應該把我國現有的從事信息安全研究、應用的人才很好地組織起來，為他們創造更優良的工作學習環境，調動他們在信息安全創新中的積極性。

10.促進網絡安全產業的發展。扶持具有中國特色的信息安全產業的發展是振興民族信息產業的一個切入點，也是維護網絡安全的必要對策。為了加速發展我國的信息安全產業，需要盡快解決資金投入、對外合作、產品開發、安全評測、銷售管理、采購政策、利益分配等方面存在的問題。

參考文獻：

[1]屈云波:電子商務[M].北京:企業管理出版社，1999

[2]趙戰生:我國信息安全及其技術研究[J].中國信息導報，1999，（8）:5～7

[3]吉俊虎:網絡和網絡安全芻議[J].中國信息導報，1989，（9）:23～24

[4]郭炎華:網絡信息與信息安全探析[J].情報雜志，2001，（4）:44～45