電子商務ｗｅｂ交易安全綜述

摘要:本文首先介紹了電子商務web交易的概念和發展特點,并對web交易安全威脅提出加密技術、防火墻墻等防范技術要求做了全面陳述。

關鍵詞:電子商務;web交易;安全

1 電子商務概念

電子商務的涵義即指利用簡單、快捷、低成本的電子通訊方式,買賣雙方不謀面地進行各種商貿活動。電子商務web交易的一個重要技術特征是利用IT技術來傳輸和處理商業信息。

電子商務web交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題,web交易安全問題主要包括計算機網絡安全和商務交易安全;其中商務交易安全目的則是指在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。[1]

2 電子商務web交易發展趨勢[2][3]

電子商務發展歷經幾個階段的發展:從瀏覽靜態網頁,使用交互式的網上表格,進行企業對客戶(B2C)的商業,到開發B2B的應用集成,未來電子商務web交易將呈現如下發展趨勢和特點:

電子商務的深度將進一步拓展。目前受限于技術創新和應用水平,企業發展電子商務仍處于起步階段。隨著這兩方面水平的提高以及其它相關技術的發展,電子商務將向縱深挺進,新一代的電子商務將浮出水面,取代目前簡單地依托“網站+電子郵件”的方式。電子商務企業將從網上商店和門戶的初級形態,過渡到將企業的核心業務流程、客戶關系管理等都延伸到Internet上,使產品和服務更貼近用戶需求。

行業電子商務將成為下一代電子商務發展主流。

中國電子商務進入迅猛發展時期的典型特征是風險資金、網站定位等將從以往的“大而全”模式轉向專業細分的行業商務門戶。第一代的電子商務專注于內容,第二代專注于綜合性電子商務,而下一代的行業電子商務將增值內容和商務平臺緊密集成,充分發揮 Internet在信息服務方面的優勢,使電子商務真正進入實用階段。

企業級電子商務技術出現。電子商務使企業在降低交易成本、加快信息的溝通效率方面獲得了傳統經營模式不可比擬的途徑。而隨著越來越多的業務在網上進行,企業對于性能強大、安全可靠的交易處理中間件的需求也越來越迫切。針對企業用戶的需求,IBM在WebSphere產品家族中提供了MQSeries消息傳遞中間件和CICS交易處理中間件。

MQSeries是目前市場上應用最廣泛的消息傳遞中間件。它為應用開發人員提供了一種直接、簡單的手段,以實現商業應用系統在不同操作系統平臺之間安全可靠地傳遞和交換重要的商業數據信息。

CICS是則利用在三層體系架構中建造以交易應用服務為中心的安全交易系統,提供對電子商務的全面支持。CICS架構體系則有效地區分了應用系統中的表述邏輯層、交易邏輯層和數據邏輯層,從而使應用系統結構清晰、維護簡單易行。

動態電子商務興起。動態電子商務是電子商務(E-Business,EB)發展的目標,而Web服務是其核心技術,也是Web的下一個革新。Web服務將改變企業之間的商務運作和B2B應用的設計與開發。

動態電子商務的Web服務技術簡化了EDI編程的要求,并把EDI功能延伸到Web上。應用動態電子商務,企業可以即時尋找商業合作伙伴,并將各種軟件集成新的解決方法。實現動態電子商務,HTTP、XML、SOAP、UDDI、WSDL則為web服務技術所需的開放標準,而Web服務是動態電子商務的核心技術。 Web服務技術的出現是電子商務web交易發展中一場新的革命。它支持和推廣動態電子商務模型,促進合作分層服務,而且開啟新的商機。

3 電子商務Web安全交易技術應用[4][5]

在電子商務web安全交易技術應用中,加密技術、認證技術、防病毒系統等運用是保障電子商務web交易的重要保證。

加密與數字簽名:數據加密技術從技術上的實現分為在軟件和硬件兩方面。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術這四種。“數字簽名”是通過密碼技術實現電子交易安全的形象說法,是電子簽名的主要實現形式。數字簽名技術數字簽名是非對稱密鑰加密技術的一種應用。采用了規范化的程序和科學化的方法,用于鑒定簽名人的身份以及對一項電子數據內容的認可。它還能驗證出文件的原文在傳輸過程中有無變動,確保傳輸電子文件的完整性、真實性和不可抵賴性。數字簽名技術是目前電子商務、電子政務中應用最普遍、技術最成熟、可操作性最強的一種電子簽名方法。

防火墻技術:防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入。目前的防火墻主要有以下三種類型:包過濾防火墻、代理防火墻、雙穴主機防火墻。

入侵檢測系統:入侵檢測系統能夠監視和跟蹤系統、事件、安全記錄和系統日志,以及網絡中的數據包,識別出任何不希望有的活動,在入侵者對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統進行報警、阻斷等響應。

信息加密技術:信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。

用戶識別和CA安全認證技術:用戶識別采用它生成某種形式的口令或數字簽名來保護能確保只有經過授權的用戶才能通過個人計算機進行Internet網上的交互式交易;安全認證(CA)則采用硬件/軟件方案作為數字身份認證的手段,以核實用戶和商家的真實身份以及交易請求的合法性。其主要目的是進行信息認證,確認信息發送者的身份,驗證信息的完整性,即確認信息在傳送或存儲過程中未被篡改過。

防病毒系統。隨著Internet開拓性的發展,病毒在網絡中存儲、傳播、感染的途徑多、速度快、方式各異,對網站的危害較大。因此,應利用全方位防病毒產品,實施“層層設防、集中控制、以防為主、防殺結合”的防病毒策略,構建全面的防病毒體系。

4 結語

在電子商務日益發展的互聯網平臺上,實現電子商務web安全交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統在保證其計算機網絡硬件平臺和系統軟件平臺安全的基礎上,對計算機網絡安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數計算機網絡更高,因此電子商務安全交易安全防范過程中,如何保障和提高電子商務web交易的安全性是電子商務發展的重點和難點。

參考文獻

[1]http://www2.ccw.com.cn/01/0147/b/0147b04_2.asp

[2]http://industry.ccidnet.com/art/27/20021209/32980_1.html

[3]趙書瑞,魏岳.基于SET的電子商務交易安全模式分析.商場現代化,2009,(6):151-151

[4]http://baike.baidu.com/view/1054485.htm

[5]楊 洋. 關于電子商務安全交易方法的探討. 南京廣播電視大學學報,2006,43(2):82-85

作者簡介:徐永春(1974.01-)男,江西九江,中級,研究方向:系統決策與分析、智能算法、網絡安全