電子商務信息安全技術研究

[摘要]主要從技術角度闡述電子商務信息安全問題，詳細說明電子商務信息存在的問題，并提出相應的技術解決方案。

[關鍵詞]電子商務信息 安全數據 加密網絡安全

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0320046－01

一、電子商務信息安全問題

由于Internet本身的開放性，使電子商務系統面臨著各種各樣的安全威脅。目前，電子商務主要存在的安全隱患有以下幾個方面：

（一）身份冒充問題。攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，進行信息欺詐與信息破壞，從而獲得非法利益。主要表現有：冒充他人身份；冒充他人消費、栽贓。

（二）網絡信息安全問題。主要表現在攻擊者在網絡的傳輸信道上，通過物理或邏輯的手段，進行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過分析網絡物理線路傳輸時的各種特征，截獲機密信息或有用信息，如消費者的賬號、密碼等。篡改，即改變信息流的次序，更改信息的內容；刪除，即刪除某個信息或信息的某些部分；插入，即在信息中插入一些信息，讓收方讀不懂或接受錯誤的信息。

（三）交易雙方抵賴問題。某些用戶可能對自己發出的信息進行惡意的否認，以推卸自己應承擔的責任。如：發布者事后否認曾經發送過某條信息或內容；收信者事后否認曾經收到過某條信息或內容；購買者做了訂貨單不承認；商家賣出的商品質量差但不承認原有的交易。在網絡世界里誰為交易雙方的糾紛進行公證、仲裁。

（四）計算機系統安全問題。計算機系統是進行電子商務的基本設備，如果不注意安全問題，它一樣會威脅到電子商務的信息安全。計算機設備本身存在物理損壞，數據丟失，信息泄露等問題。計算機系統也經常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時，計算機系統存在工作人員管理的問題，如果職責不清，權限不明同樣會影響計算機系統的安全。

二、電子商務安全機制

（一）加密和隱藏機制。加密使信息改變，攻擊者無法讀懂信息的內容從而保護信息；而隱藏則是將有用的信息隱藏在其他信息中，使攻擊者無法發現，不僅實現了信息的保密，也保護了通信本身。

（二）認證機制。網絡安全的基本機制，網絡設備之間應互相認證對方身份，以保證正確的操作權力賦予和數據的存取控制。網絡也必須認證用戶的身份，以保證正確的用戶進行正確的操作并進行正確的審計。

（三）審計機制。審計是防止內部犯罪和事故后調查取證的基礎，通過對一些重要的事件進行記錄，從而在系統發現錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計信息應具有防止非法刪除和修改的措施。

（四）完整性保護機制。用于防止非法篡改，利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務，當信息源的完整性可以被驗證卻無法模仿時，收到信息的一方可以認定信息的發送者，數字簽名就可以提供這種手段。

（五）權力控制和存取控制機制。主機系統必備的安全手段，系統根據正確的認證，賦予某用戶適當的操作權力，使其不能進行越權的操作。該機制一般采用角色管理辦法，針對系統需要定義各種角色，如經理、會計等，然后對他們賦予不同的執行權利。

（六）業務填充機制。在業務閑時發送無用的隨機數據，增加攻擊者通過通信流量獲得信息的困難。同時，也增加了密碼通信的破譯難度。發送的隨機數據應具有良好模擬性能，能夠以假亂真。

三、電子商務安全關鍵技術

安全問題是電子商務的核心，為了滿足安全服務方面的要求，除了網絡本身運行的安全外，電子商務系統還必須利用各種安全技術保證整個電子商務過程的安全與完整，并實現交易的防抵賴性等，綜合起來主要有以下幾種技術：

（一）防火墻技術。現有的防火墻技術包括兩大類：數據包過濾和代理服務技術。其中最簡單和最常用的是包過濾防火墻，它檢查接受到的每個數據包的頭，以決定該數據包是否發送到目的地。由于防火墻能夠對進出的數據進行有選擇的過濾，所以可以有效地避免對其進行的有意或無意的攻擊，從而保證了專用私有網的安全。將包過濾防火墻與代理服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于：防火墻技術只能防止經由防火墻的攻擊，不能防止網絡內部用戶對于網絡的攻擊；防火墻不能保證數據的秘密性，也不能保證網絡不受病毒的攻擊，它只能有效地保護企業內部網絡不受主動攻擊和入侵。

（二）虛擬專網技術（VPN）。VPN的實現過程使用了安全隧道技術、信息加密技術、用戶認證技術、訪問控制技術等。VPN具投資小、易管理、適應性強等優點。VPN可幫助遠程用戶、公司分支機構、商業伙伴及供應商與公司的內部網之間建立可信的安全連接，并保證數據的安全傳輸，以此達到在公共的Internet上或企業局域網之間實現完全的電子交易的目的。

（三）安全認證技術。安全認證技術主要有：（1）數字摘要技術，可以驗證通過網絡傳輸收到的明文是否被篡改，從而保證數據的完整性和有效性。（2）數字簽名技術，能夠實現對原始報文的鑒別和不可否認性，同時還能阻止偽造簽名。（3）數字時間戳技術，用于提供電子文件發表時間的安全保護。（4）數字憑證技術，又稱為數字證書，負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。

（四）電子商務安全協議。不同交易協議的復雜性、開銷、安全性各不相同，同時不同的應用環境對協議目標的要求也不盡相同。目前比較成熟的協議有：Netbill協議，是由J.D.Tygar等設計和開發的關于數字商品的電子商務協議，該協議假定了一個可信賴的第三方，將商品的傳送和支付鏈接到一個原子事務中。

四、結束語

信息安全是電子商務發展的基礎，隨著電子商務的發展，通過各種網絡的交易手段也會更加多樣化，安全問題變得更加突出。為了解決好這個問題，必須有安全技術作保障。目前，防火墻技術、網絡掃描技術，數據加密技術和計算系統安全技術發揮著重要的作用，此外，需要完善法律制度、管理制度和誠信制度，保證電子商務信息安全，加快電子商務的發展。

作者簡介：

郭嘉鑫，男，漢族，河南郾城人，武警沈陽指揮學院訓練部教育技術中心。