商務公司的信息安全策略研究

【文章摘要】

如何建立一個安全、便捷的電子商務應用環(huán)境，對信息提供足夠的保護，已經成為十分關注的問題。所以本文選擇對商務公司的網絡信息安全進行研究分析，并給出相應的對策，具有重要的現實意義。

【關鍵詞】

電子商務；信息安全；技術

0 引言

由于Internet及其應用在全球范圍內的迅速普及，企業(yè)信息化建設也有了更進一步的發(fā)展，電子商務使得企業(yè)信息系統更加的完善，也更加方便快捷的滿足了現在社會的需求。因此，電子商務必將成為21世紀最先進、最有效、最迅速、最全面的經營交易方式。但是與此同時，由于它的網絡普及性，又給企業(yè)信息系統帶來了更多的不安全因素，尤其是互聯網絡所固有的開放性與資源共享性，導致網上交易的安全性受到嚴重挑戰(zhàn)。

1 商務公司信息安全存在的問題分析

1.1 商務公司網絡交易信息的保密問題

一是傳輸過程中的數據截獲。作為商務公司這樣一家以電子商務信息接受發(fā)布為主體的公司來說，電子商務系統中的數據在傳輸過程中很容易受到截獲。攻擊者可能通過互連網、公共電話網、搭線或在電磁波輻射范圍內安裝截收裝置等方式，截獲傳輸的機密信息，或通過對信息量和流向等參數的分析，獲取有用的信息。

二是傳輸過程中的數據完整性破壞。攻擊者可能從三個方面破壞信息的完整性：篡改，即改變信息流的次序，更改信息的內容，如購買商品的出貨地址；刪除，即刪除某個消息或消息的某部分；插入，即在消息中插入一些信息。因此，防止傳輸過程中的數據破壞是非常重要的。

三是跨平臺數據交換引起的數據丟失。Internet的發(fā)展使電子商務由最初的單一的、普通的封閉式電子數據交換（EDI）系統，逐步向跨平臺的多信源電子商務互聯網轉變。在同一個電子商務網絡中，可能同時存在多個操作系統，有多種型號的電腦設備，使用多種數據傳輸介質，并要求同時支持多國語言。如果平臺之間的兼容性存在問題，有可能導致電子商務系統中數據的丟失。

1.2 訪客身份驗證和信息真實性問題

一是交易身份的真實性。交易者身份的真實性是指交易雙方確實是存在的，不是假冒的。網上交易的雙方相隔很遠，互不了解，要使交易成功，必須互相信任，確認對方是真實存在的，對商家要考慮客戶是不是騙子，對客戶要考慮商店是不是黑店，是否有信譽。所以，驗證交易者的身份也就勢在必行了。

二是黑客和商業(yè)間諜的攻擊。攻擊者可以分為黑客和商業(yè)間諜。黑客指利用不正當的手段竊取計算機網絡系統的口令和密碼，從而非法進入計算機網絡的人。他們篡改用戶數據，搜索和盜竊私人文件，甚至破壞整個系統的信息，導致網絡癱瘓。

三是信息的有效性。電子商務以電子形式取代了紙張，那么如何保證這種電子形式貿易信息的有效性則是開展電子商務的前提。一旦簽訂交易協議后，這項交易就應受到保護以防止被篡改或偽造。交易的有效性在其價格、期限及數量作為協議一部分時尤為重要，必須保證貿易數據在確定價格、期限、數量以及確定時刻、地點時是有效的。

1.3 商務公司的數據加密的問題

一是信息的截獲和竊取。如同上一節(jié)所提出的數據傳輸過程中的截獲相同，如果沒有采用加密措施或加密強度不夠，攻擊者可以通過互聯網，公共電話網等途徑推出有用信息，如消費者的銀行帳號，密碼以及企業(yè)的商業(yè)機密等。

二是信息的篡改。當攻擊者熟悉了網絡信息格式后，通過各種技術方法和手段對網絡傳輸的信息進行中途修改，并發(fā)往目的地，從而破壞信息的完整性，達到破壞雙方交易得目的。

三是信息的假冒。當攻擊者掌握了網絡信息數據規(guī)律或解密了商務信息以后，可以假冒合法用戶或發(fā)送假冒信息來欺騙其他用戶。主要有兩種方式：一種是偽造電子郵件。另一種是假冒他人身份。

2 關于商務公司信息安全問題的對策

2.1 關于商務公司會員及產品信息保密性問題的對策

在電子商務中，傳送的文件則是通過數字簽名來證明當事人身份和數據的真實有效性的。數字簽名技術就是利用數據加解密技術、數據變換技術，根據某種協議來產生一個反映被簽署文件和簽署人特性的數字化簽名。數字簽名涉及被簽署文件和簽署人兩個主體，密碼技術是數字簽名的技術基礎采用公開密鑰要比采用常規(guī)密鑰算法更容易實現。將數字簽名技術應用于商務公司的日常運營中，可以解決數據的否認、偽造、篡改及冒充等問題。

2.2 關于訪客身份驗證和所得信息真實性問題的對策

一個是確認信息發(fā)送者的身份；另一個是驗證信息的完整性，即確認信息在傳送或存儲過程中未被篡改過。認證是為了防止有人對系統進行主動攻擊的一種重要技術。想要解決驗證信息和訪客的真實性問題，采用信息認證技術就事在必行。信息認證技術包括了，數字簽名技術、身份認證技術兩項。

2.2.1 采用數字簽名技術

數字簽名技術是電子商務交易中的一項非常重要的技術。在電子商務中，完善的數字簽名技術應具備簽字方不能抵賴、他人不能偽造、在公正人面前能夠驗證真?zhèn)文芰ΑＨ缃癖粡V泛應用的數字簽名技術主要主要包括以下三種：RSA簽名、DSS簽名和HASH簽名。這三種方法可單獨使用，也可綜合在一起使用。

2.2.2 采用身份認證技術

身份認證機制包括兩部分，即數字證書（DC：Digital Certificate）和證書授權機構（CA：Certificate Authority）。電子商務證書就是這樣一種由權威機構發(fā)放的用來證明身份的事物。

數字證書又稱數字憑證，是用電子手段來證實一個用戶身份和對網絡資源的訪問權限。證書是一份文檔，它記錄了用戶的公開密鑰和其它身份信息，如名字和E-mail地址。它是一個經證書授權中心數字簽名的文件。一般情況下，證書中還包括密鑰的有效時間、發(fā)證機關（證書授權中心）的名稱以及該證書的序列號等信息。在網上的電子交易中，如果交易雙方都出示各自的數字證書，那么雙方都可不必對對方身份的真?zhèn)螕摹底肿C書有三種類型：個人數字證書、企業(yè)證書和軟件證書。其中個人數字證書和企業(yè)證書是常用的證書。大部分認證中心提供前兩種證書。

2.3 關于商務公司數據加密問題的對策

2.3.1 采用單密鑰密碼體制

單鑰密碼體制又稱對稱密鑰加密，其特點是采用相同的加密算法并只交換共享的專用密鑰。對于商務公司來說，因為他是以信息匯總和發(fā)布為主要經營目的的商務網站，因此，他的日常信息處理量會很頻繁、很復雜、也很巨大。所以，考慮這方面的問題我們應該盡可能的減少公司的運營負荷及工作量。

2.3.2 采用雙鑰密碼體制

雙鑰密碼體制又稱非對稱密碼體制或公鑰體制，與對稱加密算法不同的是，使用公開密鑰算法時，密鑰被分解為一對，即公開密鑰或專用密鑰。公開密鑰通過非保密方式向他人公開，而專用密鑰加以保存。

作為密鑰加密體制的另一種方法，雖然，在電子商務的公司中不是應用的很廣泛，但是，如果作為像商務公司這樣要求信息保密性很高的企業(yè)，采用多元的，多方位的加密技術也是很有必要的。這是一種只交換保密電文而不交換保密算法本身的方法，使用一對相互匹配的加解密密鑰，每個密鑰進行單向的數據變換。當一個密鑰進行加密時，只有相對應的另一個密鑰才能解密。

2.3.3 采用虛擬專用網（VPN）技術

根據商務公司所出現的漏洞情況，除了以上的密鑰加密、身份認證等技術外，在企業(yè)內部建立局域網，并將它和英特網及虛擬專用網結合起來，也會很好的查補信息安全上的漏缺。目前VPN主要采用三項技術來保證信息安全，而多VPN合作使用只是其中的一種方法。

【作者簡介】

劉駟駿，（1985—），男，遼寧沈陽人，同濟大學軟件學院碩士研究生。