電子商務中的信息安全問題

電子商務通常是指在全球各地廣泛的商業貿易活動中，在因特網開放的網絡環境下，基于瀏覽器/服務器應用方式，買賣雙方不謀面地進行各種商貿活動，實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業運營模式。作為一種全新的商務模式，電子商務有很大的發展前途。但是在電子商務高度融入社會各方面的同時，它對社會各方面所帶來可能的風險也在不斷增大。電子商務對管理水平、信息傳遞技術等提出了更高的要求，其中安全體系的構建尤其重要。

一、電子商務安全的技術要求

1.物理安全。首先根據國家標準、信息安全等級和資金狀況，制定適合的物理安全要求，并經建設和管理達到相關標準。防止設備的功能失常、防止電源故障、防止由于電磁泄漏引起的信息失密、防止搭線竊聽等。

2.網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行，要求電子商務平臺要穩定可靠，能夠不中斷地提供服務。系統的任何中斷，如軟硬件錯誤、網絡故障、病毒等都可能導致電子商務系統不能正常工作，而使貿易數據在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經濟損失。

3.商務安全。主要是指商務交易在網絡媒介中出現的安全問題，包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴，即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現，加解密技術保證了交易信息的保密性，也解決了用戶密碼被盜取的問題;數字簽名是實現對原始報文完整性的鑒別，它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協議、安全套接層SSL協議和安全電子交易SET協議、文件加密技術、數字簽名技術、電子商務認證中心CA。

4.系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全，總體思路是:通過安全加固，解決管理方面安全漏洞，然后采用安全技術設備，增強其安全防護能力。

二、電子商務安全防范技術

為了保證電子商務交易能順利進行，要求電子商務平臺要穩定可靠，能不中斷地提供服務。從滿足電子商務信息安全的角度來看，除了保證電子商務平臺本身可靠安全的運行，電子商務系統還必須采用各種安全技術保證整個電子商務過程的安全與完整，并實現交易的防抵賴性等要求。綜合起來主要有以下幾種技術:

1.防火墻技術。現有的防火墻技術包括兩大類:數據包過濾和代理服務技術。其中最簡單和最常用的是包過濾防火墻，它檢查接受到的每個數據包的頭，以決定該數據包是否發送到目的地。由于防火墻能夠對進出的數據進行有選擇的過濾，所以可以有效地避免對其進行的有意或無意的攻擊，從而保證了專用私有網的安全。將包過濾防火墻與代理服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。

2.虛擬專網技術VPN。VPN的實現過程使用了安全隧道技術、信息加密技術、用戶認證技術、訪問控制技術等。VPN具有投資小、易管理、適應性強等優點。VPN可幫助遠程用戶、公司分支機構、商業伙伴及供應商與公司的內部網之間建立可信的安全連接，并保證數據的安全傳輸，以此達到在公共的Internet上或企業局域網之間實現完全的電子交易的目的。

3.數據加密技術。加密技術是保證電子商務系統安全所采用的最基本的安全措施，它用于滿足電子商務對保密性的需求。加密技術分為常規密鑰密碼體系和公開密鑰密碼體系兩大類。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發生私有密鑰泄露，可通過常規密鑰密碼體系的方法加密機密信息，并隨報文發送報文摘要和報文散列值，以保證報文的機密性和完整性。

目前常用的常規密鑰密碼體系的算法有:數據加密標準DES、三重DES、國際數據加密算法IDEA等，其中DES使用最普遍，是被ISO采用為數據加密的標準。在公開密鑰密碼體系中，加密密鑰是公開信息，而解密密鑰是需要保護的，加密算法和解密算法也都是公開的。典型的公開密鑰密碼體系有:基于數論中大數分解的RSA體系、基于NP完全理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中，常規密鑰密碼體系的特點是加密速度快、效率高，被廣泛用于大量數據的加密，但該方法的致命缺點是密鑰的傳輸易被截獲，難以安全管理大量的密鑰，因此大范圍應用存在一定問題。而公開密鑰密碼體系很好地解決了上述不足，保密性能也優于常規密鑰密碼體系，但公開密鑰密碼體系復雜，加密速度不夠理想。目前電子商務實際運用中常將兩者結合使用。

4.安全認證技術。安全認證技術主要有:

(1)數字摘要技術，可以驗證通過網絡傳輸收到的明文是否被篡改，從而保證數據的完整性和有效性。

(2)數字簽名技術，能實現對原始報文的鑒別和不可否認性，同時還能阻止偽造簽名。

(3)數字時間戳技術，用于提供電子文件發表時間的安全保護。

(4)數字憑證技術，又稱為數字證書，負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。

(5)認證中心，負責審核用戶的真實身份并對此提供證明，而不介入具體的認證過程，從而緩解可信第三方的系統瓶頸問題，而且只須管理每個用戶的一個公開密鑰，大大降低了密鑰管理的復雜性，這些優點使得非對稱密鑰認證系統可用于用戶眾多的大規模網絡系統。

(6)智能卡技術，它不但提供讀寫數據和存儲數據的能力，而且還具有對數據進行處理的能力，可以實現對數據的加密和解密，能進行數字簽名和驗證數字簽名，其存儲器部分具有外部不可讀特性。采用智能卡，可使身份識別更有效、安全，但它僅僅為身份識別提供一個硬件基礎，如果要使身份認證更安全，還需要與安全協議的配合。

三、結束語

電子商務領域的安全問題一直是備受關注的問題，因此如何更好的解決這個問題是推進電子商務更好更快發展的動力，在技術上對信息安全新技術新算法的研究和技術集成研究將成為主要方向。另外還必須盡快對電子商務立法，以規范飛速發展的電子商務中存在的各類問題，從而引導和促進我國電子商務快速健康發展，使電子商務在中國得到真正的飛躍。

(作者單位:江西省商務學校)