電子商務(wù)中的信息安全問題探析

【摘要】隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展，電子商務(wù)得到了越來越廣泛的應(yīng)用，但同時(shí)也伴隨著許多信息安全問題，信息安全的保障是電子商務(wù)實(shí)施的前提。本文針對(duì)電子商務(wù)活動(dòng)中存在的信息安全隱患問題，提出了實(shí)施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)等技術(shù)性措施和環(huán)境性措施。

【關(guān)鍵詞】電子商務(wù) 信息安全 加密技術(shù) 認(rèn)證技術(shù)

【中圖分類號(hào)】C42【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1009-8585(2011)05-0000-00

1 引言

電子商務(wù)的產(chǎn)生和發(fā)展對(duì)人類社會(huì)產(chǎn)生了重大影響，并成為信息社會(huì)商務(wù)活動(dòng)的主要形式。目前，電子商務(wù)的應(yīng)用越來越廣泛，越來越多的企業(yè)和個(gè)人用戶看到了電子商務(wù)帶來的便利。但電子商務(wù)是以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的，大量重要的身份信息、交易信息都需要在網(wǎng)上進(jìn)行傳遞，大量的資金在網(wǎng)上劃撥流動(dòng)，這就要求網(wǎng)上信息必須具有高度的可靠性和絕對(duì)的保密性。然而，出于各種目的的網(wǎng)絡(luò)入侵和攻擊也越來越頻繁，脆弱的網(wǎng)絡(luò)和不成熟的電子商務(wù)增強(qiáng)了人們的防范心理。因此，網(wǎng)絡(luò)交易的安全性成為電子商務(wù)發(fā)展的核心和關(guān)鍵問題。

2電子商務(wù)中的信息安全問題

電子商務(wù)不僅涉及計(jì)算機(jī)技術(shù)個(gè)商業(yè)交易本身，而且還涉及諸如金融、稅務(wù)、教育等其他社會(huì)各個(gè)層面。因此，電子商務(wù)對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)安全和信息安全提出了更高的要求。[1]

目前，電子商務(wù)活動(dòng)中的信息安全問題主要體現(xiàn)在以下幾個(gè)方面。

2.1計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全

2.1.1安全協(xié)議問題。

隨著經(jīng)濟(jì)和信息全球化的時(shí)代到來，但安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范，相對(duì)制約了國際性的商務(wù)活動(dòng)。此外，在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

2.1.2信息的安全問題。

非法用戶通過不正當(dāng)手段，非法攔截會(huì)話數(shù)據(jù)獲得合法用戶的有效信息，最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密或者是非法用戶對(duì)截獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行一些惡意篡改，從而使信息失去真實(shí)性和完整性，導(dǎo)致合法用戶無法正常交易，還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送，惡意攻擊對(duì)方的網(wǎng)絡(luò)硬件和軟件。[2]

2.1.3防病毒問題。

電腦病毒問世十多年來，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介，不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑。

2.1.4服務(wù)器的安全問題。

電子商務(wù)服務(wù)器是電子商務(wù)的核心，安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息，并且服務(wù)器上的數(shù)據(jù)庫里有企業(yè)的一些保密數(shù)據(jù)，目前服務(wù)器的安全問題尚無有效措施予以阻止。

2.2電子商務(wù)信息的安全

（1）交易雙方身份的不確定性。由于交易雙方是通過虛擬的網(wǎng)絡(luò)進(jìn)行的交易，交易雙方是互不見面的。因此，攻擊者可以通過非法的手段盜竊合法用戶的身份信息，假冒合法用戶的身份與他人進(jìn)行交易，從而獲得非法收入。

（2）交易的抵賴問題。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。

（3）交易的修改問題。電子文件和書面文件一樣具有法律效力，一旦達(dá)成交易，便不可修改，否則會(huì)損害另一方的利益。[3]

2.3電子商務(wù)安全隱患

除了以上安全問題，目前，電子商務(wù)所面臨的安全威脅主要來自兩大類：人為因素和非人為因素。

2.3.1人為因素

。如系統(tǒng)管理員設(shè)置資源訪問控制有失誤，導(dǎo)致資源被無意或者故意地破壞；或者用戶安全意識(shí)不強(qiáng)，口令過于簡(jiǎn)單或口令密鑰等保管不善被他人非法獲得，造成信息的泄露。

2.3.2非人為因素。

如地震、火災(zāi)、洪水、核爆炸等突然發(fā)生時(shí)會(huì)造成設(shè)備的毀壞，或者硬盤損壞、設(shè)備使用壽命到期等都會(huì)造成信息的破壞。另外，系統(tǒng)本身的脆弱性導(dǎo)致信息的破壞。任何軟件都不可能百分之百無缺陷和無漏洞，而這些漏洞和缺陷正是黑客進(jìn)行攻擊的首選目標(biāo)。

3電子商務(wù)中的信息安全要求

一個(gè)安全的電子商務(wù)系統(tǒng)主要包括信息的機(jī)密性、完整性、不可抵賴性、認(rèn)證性和系統(tǒng)的可靠性。

3.1機(jī)密性

信息的機(jī)密性又稱保密性，是指信息在傳輸過程中或者存儲(chǔ)中不被他人竊取。即使竊取也看不懂其中的內(nèi)容。這樣才能為電子商務(wù)的應(yīng)用及推廣創(chuàng)造一個(gè)可靠的環(huán)境。機(jī)密性一般通過密碼技術(shù)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理實(shí)現(xiàn)。

3.2完整性

信息的完整性是指信息在傳輸?shù)倪^程中不被修改。只有保證信息的完整性才能保證交易的公正性和合法性。完整性一般通過提取信息的數(shù)字摘要以及數(shù)字簽名方式來實(shí)現(xiàn)。[4]

3.3不可抵賴性

信息的不可否認(rèn)性是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，信息的接收方不能否認(rèn)已接收到的信息。由于商情的變化，交易達(dá)成后是不能否認(rèn)的，否則，不然會(huì)損害一方的利益。不可抵賴性通過對(duì)發(fā)送的信息進(jìn)行數(shù)字簽名來實(shí)現(xiàn)。[5]

3.4認(rèn)證性

交易者身份的真實(shí)性是指交易雙方確實(shí)是存在的，不是假冒的。網(wǎng)上交易的雙方互不了解，要使交易成功，必須互相信任，確認(rèn)對(duì)方是真實(shí)的，對(duì)商家而言，要認(rèn)識(shí)到客戶不是騙子，對(duì)客戶而言要認(rèn)識(shí)到商店不是“黑店”，有信譽(yù)。認(rèn)證性一般通過CA和數(shù)字證書來實(shí)現(xiàn)。

3.5系統(tǒng)的可靠性

電子商務(wù)系統(tǒng)是計(jì)算機(jī)系統(tǒng)，其可靠性是防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、自然災(zāi)害等引起的計(jì)算機(jī)信息失誤或失效。

4保障電子商務(wù)信息安全的技術(shù)性措施

4.1數(shù)據(jù)加密技術(shù)。

對(duì)數(shù)據(jù)進(jìn)行加密是電子商務(wù)系統(tǒng)最基本的信息安全防范措施．其原理是利用加密算法將信息明文轉(zhuǎn)換成按一定加密規(guī)則生成的密文后進(jìn)行傳輸，從而保證數(shù)據(jù)的保密性。使用數(shù)據(jù)加密技術(shù)可以解決信息本身的保密性要求。數(shù)據(jù)加密技術(shù)可分為對(duì)稱密鑰加密和非對(duì)稱密鑰加密。

4.1.1對(duì)稱密鑰加密。對(duì)稱密鑰加密也叫通用密鑰加密，即發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰對(duì)明文進(jìn)行加密和解密運(yùn)算。它的優(yōu)點(diǎn)是加密、解密速度快，適合于對(duì)大量數(shù)據(jù)進(jìn)行加密，能夠保證數(shù)據(jù)的機(jī)密性和完整性；缺點(diǎn)是當(dāng)用戶數(shù)量大時(shí)，分配和管理密鑰就相當(dāng)困難。對(duì)稱密鑰加密算法的典型代表DES算法

4.1.2非對(duì)稱密鑰加密。非對(duì)稱密鑰加密也叫公開密鑰加密，它主要指每個(gè)人都有一對(duì)唯一對(duì)應(yīng)的密鑰:公開密鑰(簡(jiǎn)稱公鑰)和私人密鑰(簡(jiǎn)稱私鑰)。公鑰對(duì)外公開，私鑰由個(gè)人秘密保存，用其中一把密鑰來加密，就只能用另一把密鑰來解密。非對(duì)稱密鑰加密算法的優(yōu)點(diǎn)是易于分配和管理，缺點(diǎn)是算法復(fù)雜，加密速度慢。公開密鑰加密算法的典型代表是RSA算法。[6]

4.2認(rèn)證技術(shù)

4.2.1數(shù)字摘要(digital digest)

數(shù)字摘要亦稱安全Hash 編碼法， 由Ron Rivest所設(shè)計(jì)。該編碼法采用單向Hash 函數(shù)將需加密的明文“摘要”成一串128bit 的密文，這一串密文亦稱為數(shù)字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了。

4.2.2數(shù)字簽名(digital signature)

數(shù)字簽名是指用發(fā)送方的私有密鑰加密報(bào)文摘要，然后將其與原始的信息附加在一起，合稱為數(shù)字簽名。其使用方式是:報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位或160位的單向散列值（或報(bào)文摘要），并用自己的私有密鑰對(duì)這個(gè)散列值進(jìn)行加密，形成發(fā)送方的數(shù)字簽名;然后，將這個(gè)數(shù)字簽名作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方;報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值（或報(bào)文摘要），接著再用發(fā)送方的公開密鑰來對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密；如果這兩個(gè)散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別與驗(yàn)證，保證報(bào)文的完整性、權(quán)威性和發(fā)送者對(duì)所發(fā)報(bào)文的不可抵賴性。

4.2.3數(shù)字時(shí)間戳(digital time-stamp)

交易文件中，時(shí)間是十分重要的信息。在電子交易中， 需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。時(shí)間戳(time-stamp) 是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：需加時(shí)間戳的文件的摘要(digest)；DTS 收到文件的日期和時(shí)間；DTS的數(shù)字簽名。[7]

4.2.4數(shù)字證書

數(shù)字證書又稱為數(shù)字憑證，是用電子手段來證實(shí)證書擁有者的身份和對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限。認(rèn)證中心CA負(fù)責(zé)證書的頒發(fā)、更新、查詢、作廢和歸檔。證書作為網(wǎng)上交易參與各方的身份識(shí)別，相當(dāng)于每個(gè)公民都用身份證來證明身份一樣。

4.3 SET協(xié)議

安全電子交易協(xié)議是由美國Visa和MasterCard兩大信用卡組織提出的應(yīng)用于 Internet上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于B to C模式中保障支付信息的安全性。SET協(xié)議提供對(duì)消費(fèi)者、商戶和銀行的認(rèn)證，安全性高，確保電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性，特別是保證了不會(huì)將持卡人的信用卡號(hào)泄露給商戶。是目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。

5保障電子商務(wù)信息安全的環(huán)境性措施

目前，基于Internet 的電子商務(wù)應(yīng)用才剛剛起步，相應(yīng)的法律、法規(guī)，相關(guān)的標(biāo)準(zhǔn)都還不夠完善，跨部門、跨地區(qū)的協(xié)調(diào)存在較大問題。電子商務(wù)的信息安全還有待于進(jìn)一步完善，基于以上分析提出以下幾點(diǎn)建議。

5.1提高網(wǎng)絡(luò)信息安全意識(shí)。

以有效方式、途徑在全社會(huì)普及網(wǎng)絡(luò)安全知識(shí)，提高公民的網(wǎng)絡(luò)安全意識(shí)與自覺性，學(xué)會(huì)維護(hù)網(wǎng)絡(luò)安全的基本技能。

5.2加快信息安全專業(yè)人才的培養(yǎng)。

加大對(duì)有良好基礎(chǔ)的科研教育基地的支持和投入，加強(qiáng)與國外的經(jīng)驗(yàn)技術(shù)交流，及時(shí)掌握國際上最先進(jìn)的安全防范手段和技術(shù)措施，確保在較高層次上處于主動(dòng)，加強(qiáng)對(duì)內(nèi)部人員的網(wǎng)絡(luò)安全培訓(xùn)，防止堡壘從內(nèi)部攻破。使高素質(zhì)的人才在高水平的教研環(huán)境中迅速成長和提高。[8]

5.3加強(qiáng)法律法規(guī)建設(shè)

政府部門應(yīng)盡快組織力量，結(jié)合電子商務(wù)的客觀需要，對(duì)現(xiàn)有的與電子商務(wù)相關(guān)的法律法規(guī)，如：《刑法》、《合同法》、《著作權(quán)法》等進(jìn)行修改。并建立有利于信息安全案件訴訟與公、檢、法機(jī)關(guān)辦案制度，提高執(zhí)法效率和質(zhì)量。對(duì)違犯國家法律法規(guī)，對(duì)計(jì)算機(jī)信息存儲(chǔ)系統(tǒng)、應(yīng)用程序或傳輸?shù)臄?shù)據(jù)進(jìn)行刪除、修改、增加、干擾的行為依法懲處。[9]

5.4加快銀行、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)

建立企業(yè)到企業(yè)（B to B）、企業(yè)到客戶（B to C）的商務(wù)溝通，實(shí)現(xiàn)網(wǎng)上資金流動(dòng)，解決目前有形商品交易環(huán)節(jié)中的流通困難。

6 結(jié)語

電子商務(wù)是國民經(jīng)濟(jì)和社會(huì)信息化的重要組成部分，而安全性則是關(guān)系電子商務(wù)能否迅速發(fā)展的重要因素。電子商務(wù)的安全運(yùn)行必須從多方面入手，僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題，另外，還要在全社會(huì)普及計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)和電子商務(wù)常識(shí)，提高全民族的電子商務(wù)安全意識(shí)，增強(qiáng)企業(yè)和公眾對(duì)電子商務(wù)的信心，從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn)

[1] 陳玉文.醫(yī)藥電子商務(wù)[M].中國醫(yī)藥科技出版社.2007.8/

[2] 電子商務(wù)信息安全問題探討.http://www.studa.net/Electronic/081021/14022238.html

[3] 牛榮.電子商務(wù)信息安全[J].商場(chǎng)現(xiàn)代化，2008，02.

[4] 陳小軍.信息安全在電子商務(wù)中的實(shí)現(xiàn)[J].湖北生態(tài)工程職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2005，01.

[5] 王東偉.淺談電子商務(wù)信息安全[J].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流)，2006，23.

[6] 李大軍.電子商務(wù)[M].清華大學(xué)出版社，2002.

[7] 宋文官.電子商務(wù)實(shí)用教程（第二版）[M].高等教育出版社，2002.8

[8] 莫華，熊華東，熊鵬.電子商務(wù)信息安全技術(shù)淺析[J].民營科技，2010，02.

[9] 周昀.電子商務(wù)信息安全的政策法律研究[J].科技文獻(xiàn)信息管理，2004，04.