電子商務(wù)中的信息安全淺探

胡 輝

[摘要]Internet的產(chǎn)生并不是因?yàn)樯虡I(yè)目的，而是為了方便地共享資源或具體地是由于軍事的原因，所以最初的Internet的TCP／IP協(xié)議源代碼的開放和共享是合理的，是適合當(dāng)時(shí)需要的，但是要在Internet上進(jìn)行安全性要求高的電子商務(wù)網(wǎng)上支付系統(tǒng)，它就顯得不夠了t針對(duì)如何更加合理、安全的運(yùn)營一個(gè)電子商務(wù)網(wǎng)站，從多個(gè)方面進(jìn)行探討。

[關(guān)鍵詞]電子商務(wù)信息安全安全技術(shù)

中圖分類號(hào)：TP-9文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671—7597(2009)1020105--01

一、引言

隨著Internet的快速發(fā)展，人們的生活、工作方式正在不斷的發(fā)生變化，電子商務(wù)越來越受到人們的重視。

然而，任何企業(yè)都會(huì)面臨風(fēng)險(xiǎn)，電子商務(wù)公司除了與其他企業(yè)一樣存在著競(jìng)爭(zhēng)者、盜竊犯、變幻無常的大眾喜好、自然災(zāi)害等風(fēng)險(xiǎn)外，還面臨包括網(wǎng)絡(luò)黑客、計(jì)算機(jī)硬件故障、電力、通信、網(wǎng)絡(luò)故障、對(duì)派送服務(wù)的依賴、軟件錯(cuò)誤、系統(tǒng)容量限制等風(fēng)險(xiǎn)。

電子商務(wù)由于其特殊性，它涉及的數(shù)據(jù)、信息、硬件、軟件的問題顯得極為重要；同時(shí)，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)的覆蓋面、接觸人群越來越多、越來越廣，網(wǎng)絡(luò)安全問題也日益突出。

二、信息的重要程度

考慮到安全的時(shí)候，首先要評(píng)估的是所保護(hù)信息的重要性。應(yīng)該既考慮這些信息對(duì)我們的重要性，又要考慮它對(duì)潛在侵入者的重要性。

并不是所有的兩站時(shí)時(shí)刻刻都要求有晟高級(jí)別的安全保護(hù)的。保護(hù)措施的實(shí)施需要成本，在決定要對(duì)安全保護(hù)提供多少人力和物力之前，必須判定信息價(jià)值。

保存在一個(gè)計(jì)算機(jī)業(yè)余愛好者和銀行、軍事組織的計(jì)算機(jī)中的信息的價(jià)值是不同的，它們是兩個(gè)極端。對(duì)于一個(gè)商業(yè)網(wǎng)站的來說，需要考慮介于兩種極端情況之間的黑客攻擊，因此投入的資源和努力也應(yīng)該介于兩者之間。

三、安全威脅

電子商務(wù)網(wǎng)站主要存在以下三大安全問題：

(一)信息安全。信息安全是指由于各種原因引起的信息泄露、丟失、篡改、滯后、虛假、拒絕服務(wù)、軟件錯(cuò)誤、否認(rèn)等，以及由此帶來的風(fēng)險(xiǎn)。具體的表現(xiàn)有：竊取商業(yè)機(jī)密，破壞信息的真實(shí)性和完整性，接收或發(fā)送虛假信息，破壞交易，盜取交易成果，非法刪除交易信息、病毒破壞，黑客入侵等。

(二)交易安全。交易是電子商務(wù)中一個(gè)核心環(huán)節(jié)之一，在商務(wù)交易過程中也存在許多不安全因素，包括交易確認(rèn)、產(chǎn)品或服務(wù)的質(zhì)量、貨款支付等安全問題。

與傳統(tǒng)商務(wù)形式不同的是，電子商務(wù)具有市場(chǎng)松散化、主體虛擬化、交易網(wǎng)絡(luò)化、貨幣電子化、結(jié)算瞬時(shí)化等特點(diǎn)。這也是電子商務(wù)在交易過程中的風(fēng)險(xiǎn)具有了新的特點(diǎn)和形式。

交易中的不安全因素很多，如賣者以次充好、發(fā)布虛假信息，欺騙買者；提供服務(wù)不到位或收了費(fèi)但不提供相應(yīng)的服務(wù)等；或者有相反的情況，如買者利用賣者套取產(chǎn)品和服務(wù)，卻以匿名、更名或退出市場(chǎng)等方式逃避執(zhí)行契約合同等。

(三)財(cái)產(chǎn)安全。財(cái)產(chǎn)安全是指由于各種原因造成電子商務(wù)參與者面臨的財(cái)產(chǎn)等經(jīng)濟(jì)利益風(fēng)險(xiǎn)。財(cái)產(chǎn)安全往往是電子商務(wù)安全問題的最終形式，也是信息安全問題和交易安全問題的后果。

財(cái)產(chǎn)安全問題主要表現(xiàn)為財(cái)產(chǎn)損失和其他經(jīng)濟(jì)損失。前者如：客戶的銀行資金被盜；交易者被冒名，其財(cái)產(chǎn)被竊取等。后者如：信息的泄露、丟失，使企業(yè)的信譽(yù)受損，經(jīng)濟(jì)遭受損失：遭受網(wǎng)絡(luò)攻擊或故障，企業(yè)電子商務(wù)系統(tǒng)效率下降甚至癱瘓等。

四、安全策略

針對(duì)不同的安全威脅，應(yīng)該制訂不同的應(yīng)對(duì)措施。安全策略是一個(gè)文檔，它描述了公司的一般安全要求，安全保護(hù)對(duì)象——軟件、硬件、數(shù)據(jù)，負(fù)責(zé)保護(hù)這些項(xiàng)目的人，安全標(biāo)準(zhǔn)及其度量標(biāo)準(zhǔn)，度量標(biāo)準(zhǔn)衡量這些標(biāo)準(zhǔn)在多大程度上適合。

1、身份驗(yàn)證。身份驗(yàn)證試圖證明某人的確是他本人。有許多可以提供身份驗(yàn)證的方法，但是與大多數(shù)安全措施一樣，方法越安全，使用起來越麻煩。

身份驗(yàn)證技術(shù)包括密碼、數(shù)字簽名、生物鑒定措施，以及涉及硬件的措施。在網(wǎng)絡(luò)上經(jīng)常使用的是密碼和數(shù)字簽名。

2、加密技術(shù)。加密算法是將信息轉(zhuǎn)變?yōu)橐粋€(gè)看起來是任意數(shù)字串的數(shù)學(xué)過程。加密方法有可逆和不可逆的，目前許多加密算法可供使用，如DES、RSA等。

3、數(shù)字簽名。數(shù)字簽名與公有密鑰有關(guān)，但是與公有密鑰和私有密鑰的作用相反。一個(gè)發(fā)送者可以用密鑰加密ygi和簽名一個(gè)消息。當(dāng)人們接收消息的時(shí)候，接受者可以用發(fā)送者的公有密鑰對(duì)它解密。因?yàn)榘l(fā)送者是唯一可以訪問密鑰的人，接收者可以確定消息由誰發(fā)送以及它有沒有被修改。

4、數(shù)字證書。一個(gè)證書可以將一個(gè)公有密鑰與一個(gè)個(gè)人或組織的細(xì)節(jié)以簽名的數(shù)字格式結(jié)合起來。如果給用戶一個(gè)證書，他就擁有對(duì)方的公有密鑰，如果該用戶要發(fā)送一個(gè)加密消息的話，他還擁有對(duì)方的詳細(xì)消息，并且知道這些消息有沒有改變。

對(duì)于商業(yè)貿(mào)易來說，有可信的第三方驗(yàn)證所參與的實(shí)體，以及他們證書上記錄的細(xì)節(jié)是非常有意義的。這些第三方驗(yàn)證稱為認(rèn)證授權(quán)(c^)。認(rèn)證授權(quán)公司可咀為個(gè)人或組織頒發(fā)數(shù)字證書，從而證明其身份。

5、安全的WEB服務(wù)器。通過安全套接字協(xié)議層(SSL)，我們可以使用Apache Web服務(wù)器、Microsoft IIS或者其他的免費(fèi)或商業(yè)Web服務(wù)器，與瀏覽器之間進(jìn)行安全的通信。

6、審計(jì)與日志記錄。操作系統(tǒng)允許把各種各樣的事件記入到日志文件中。從安全角度考慮，我們可能關(guān)心的事件包括網(wǎng)絡(luò)錯(cuò)誤，對(duì)特定數(shù)據(jù)文件的訪問，對(duì)一些特定的程序的調(diào)用。日志文件可以幫助我們?cè)诔鲥e(cuò)的時(shí)候檢測(cè)錯(cuò)誤或者惡意操作。如果在注意到問題后檢查它們，還可以告訴我們一個(gè)問題或非法入侵是如何發(fā)生的。

7、防火墻。設(shè)計(jì)防火墻的目的是將本地網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相分離。用于保護(hù)內(nèi)部網(wǎng)絡(luò)中的機(jī)器以防外來攻擊。

8、備份數(shù)據(jù)。在任何災(zāi)難恢復(fù)計(jì)劃中，都要重視備份的重要性。我們必須定期備份網(wǎng)站的所有組件靜態(tài)網(wǎng)頁、腳本和數(shù)據(jù)庫。備份的頻率取決于網(wǎng)站的動(dòng)態(tài)程度。應(yīng)該根據(jù)更新量的大小以一定的頻率進(jìn)行獨(dú)立的備份。這些備份應(yīng)該保存在獨(dú)立的介質(zhì)上，并且放在一個(gè)安全、獨(dú)立的地方，以防火災(zāi)、盜竊或自然災(zāi)害。

9、自然環(huán)境安全。到目前為止，我們考慮的安全威脅都與無形的東西(如軟件)有關(guān)，但是，我們不應(yīng)該忽略系統(tǒng)的自然環(huán)境安全。網(wǎng)站需要空調(diào)，需要防火、防人(笨拙的人和罪犯)、防止電力故障和網(wǎng)絡(luò)系統(tǒng)故障等。系統(tǒng)還應(yīng)該安全的鎖起來，以防止不必訪問的人員操作。

五、結(jié)束語

總之，以上討論了電子商務(wù)網(wǎng)站在運(yùn)營過程中可能發(fā)生的安全問題以及相應(yīng)的應(yīng)對(duì)策略，對(duì)于不同的電子商務(wù)網(wǎng)站，可能在具體的業(yè)務(wù)、公司規(guī)模大小、安全需求程度等方面各有不同，所以針對(duì)不同的情況，應(yīng)該合理分析、綜合考慮速度、成本等各個(gè)方面的因素，選擇合適的安全策略。