淺談電子商務(wù)中的網(wǎng)絡(luò)安全問題及安全防范技術(shù)

摘 要：隨著 Internet 技術(shù)的發(fā)展，電子商務(wù)（Electronic Commerce）以其高效和低成本的優(yōu)勢，逐步成為一種全新的商業(yè)模式。本文歸納了目前電子商務(wù)面臨的主要安全問題，并對電子商務(wù)中現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)進(jìn)行了淺顯的探討。

關(guān)鍵詞：電子商務(wù) ；網(wǎng)絡(luò)安全 ；數(shù)據(jù)加密；數(shù)字簽名；認(rèn)證技術(shù)；電子信封；支付網(wǎng)關(guān)；報文鑒別

[中圖分類號]： TN915.08 [文獻(xiàn)標(biāo)識碼]：A

[文章編號]：1002-2139（2013）-29--02

一、引言

進(jìn)入21世紀(jì)，隨著信息和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，電子商務(wù)（Electronic Commerce）已經(jīng)進(jìn)入到我們生活的很多領(lǐng)域。然而，Internet的開放性和全球性，給電子商務(wù)交易帶來了種種不安全因素，嚴(yán)重阻礙著電子商務(wù)的發(fā)展。因此，如何保證電子商務(wù)中的數(shù)據(jù)信息安全就成為我們亟待解決的問題。

二、數(shù)據(jù)信息安全要素

在電子商務(wù)活動中，數(shù)據(jù)信息已經(jīng)成為各企業(yè)的重要資源，其安全性也日益受到重視。數(shù)據(jù)信息安全主要包括以下幾個要素：

1）真實性：確保交易者和交易信息的真實存在。2） 機(jī)密性：對重要信息加密處理后再進(jìn)行傳輸，保證機(jī)密信息不被竊取。3）完整性：未經(jīng)授權(quán)不能改變、偽造、隨意生成、插入或刪除原有數(shù)據(jù)，并防止數(shù)據(jù)傳輸中的丟失、亂序和重復(fù)。4）可用性：確保授權(quán)用戶對信息和資源的正常使用。5）不可抵賴性：要求建立有效制度，使數(shù)據(jù)發(fā)送方在發(fā)送信息后不能否認(rèn)，而接收方接收后也不可抵賴。

三、電子商務(wù)面臨的安全問題

電子商務(wù)安全問題的核心和關(guān)鍵是電子交易的安全性，現(xiàn)有網(wǎng)絡(luò)技術(shù)的局限性以及Internet本身的開放性給網(wǎng)上交易帶來種種安全性威脅。電子商務(wù)中的網(wǎng)絡(luò)安全隱患主要包括：

（一）截獲和竊取信息。未經(jīng)加密的數(shù)據(jù)信息在網(wǎng)絡(luò)中傳輸，入侵者可以在數(shù)據(jù)包經(jīng)過的線路或設(shè)備上截獲信息， 造成網(wǎng)上傳輸信息泄密。

（二）篡改信息。入侵者通過各種技術(shù)方法和手段將網(wǎng)絡(luò)傳輸中的數(shù)據(jù)信息截獲并修改后再發(fā)向目的地。

（三）信息假冒。發(fā)送偽造信息給接收者。

（四）抵賴行為。交易雙方或其中一方否認(rèn)原有的交易或操作等。

（五）惡意破壞信息。攻擊者侵入網(wǎng)絡(luò)后對網(wǎng)絡(luò)中的重要信息進(jìn)行修改甚至刪除，其后果是非常嚴(yán)重的。

此外還有如下幾個問題：

1）目前我國電子商務(wù)的發(fā)展仍然缺乏明確的戰(zhàn)略、多種法律法規(guī)的約束以及有力的技術(shù)經(jīng)濟(jì)政策。2）急需加強(qiáng)和規(guī)范電子商務(wù)法律法規(guī)、商務(wù)標(biāo)準(zhǔn)。研究制定對網(wǎng)絡(luò)犯罪的定罪和處罰的實施細(xì)則。3）計算機(jī)應(yīng)用水平較低 ，信息技術(shù)在家庭與企業(yè)中的應(yīng)用尚不普及。4）電子商務(wù)發(fā)展所需的市場、運行環(huán)境還不夠完善，社會信用體系沒有完全建立，電子支付手段尚不完備，網(wǎng)絡(luò)速度還不能滿足要求，物流配送體系尚不配套。5）我國國產(chǎn)化信息產(chǎn)業(yè)技術(shù)水平低，產(chǎn)品市場占有率低，系統(tǒng)集成、信息服務(wù)水平有待提高。

因此，我們必須有一套有效的安全技術(shù)來保證電子商務(wù)中的數(shù)據(jù)信息安全。

四、目前電子商務(wù)中常用的網(wǎng)絡(luò)安全技術(shù)

目前電子商務(wù)中常用的網(wǎng)絡(luò)安全技術(shù)主要有數(shù)字加密、數(shù)字簽名、認(rèn)證技術(shù)、電子信封、支付網(wǎng)關(guān)、報文鑒別、安全交易協(xié)議等。下面對這些技術(shù)進(jìn)行初步探討。

（一） 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密又稱密碼學(xué)，它是指通過加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪模饷軇t是通過解密算法和解密密鑰將密文恢復(fù)為明文。數(shù)據(jù)加密目前仍是計算機(jī)系統(tǒng)對信息進(jìn)行保護(hù)的一種最可靠的辦法。一門歷史悠久的技術(shù)，。它利用密碼技術(shù)對數(shù)據(jù)進(jìn)行加密，從而實現(xiàn)隱蔽信息、保護(hù)信息安全的作用。

（二） 數(shù)字簽名

在電子商務(wù)中，通過數(shù)字簽名來證明文件傳送者的身份和數(shù)據(jù)信息的真實性。數(shù)字簽名能有效解決冒充、否認(rèn)、偽造、公證等網(wǎng)絡(luò)通信中特有的問題。

（三） 認(rèn)證技術(shù)

在開放的網(wǎng)絡(luò)中進(jìn)行商務(wù)活動，交易雙方互不見面，為了保證每個人及機(jī)構(gòu)（如銀行、商家）都能唯一而且被無誤地識別，這就需要進(jìn)行身份認(rèn)證。

1）電子商務(wù)認(rèn)證中心（Certificate Authority，CA）。是電子商務(wù)的一個核心環(huán)節(jié)。它負(fù)責(zé)網(wǎng)上安全電子交易的認(rèn)證服務(wù)，數(shù)字證書的簽發(fā)，并確認(rèn)用戶的身份。是安全電子交易中的重要單位，是一個公正、公開的代理機(jī)構(gòu)。同時它也是網(wǎng)上交易的監(jiān)督者和擔(dān)保人。主要進(jìn)行電子證書管理、建立和確認(rèn)貿(mào)易伙伴關(guān)系、密鑰管理、為支付系統(tǒng)中的各參與方提供身份認(rèn)證等。CA類似于現(xiàn)實生活中公證人的角色，具有權(quán)威性，是一個普遍可信的第三方。

2）認(rèn)證中心的作用。認(rèn)證中心具有證書發(fā)放、證書更新、證書撤消、證書檢驗等四大作用。

3）數(shù)字證書。數(shù)字證書就是網(wǎng)絡(luò)通信中標(biāo)志各方身份信息的一系列數(shù)據(jù)。它是由CA機(jī)構(gòu)發(fā)行的，我們可以用它在網(wǎng)上識別對方的身份。其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。數(shù)字證書的類型包括：客戶證書、服務(wù)器證書、安全郵件證書、CA 機(jī)構(gòu)證書等。

4）數(shù)字時間戳。用于證明交易中數(shù)據(jù)的收發(fā)時間。它需要一個可信賴的第三方（DTSS）來提供。該第三方負(fù)責(zé)為服務(wù)器和客戶端頒發(fā)時間戳。交易過程中，數(shù)據(jù)的收發(fā)時間和簽名一樣是非常重要的證明數(shù)據(jù)有效性的內(nèi)容。因此，數(shù)字簽名經(jīng)常包括時間標(biāo)記。

（四） 電子信封

電子信封是公鑰密碼體制在實際中的一個應(yīng)用，它是使用加密技術(shù)來確保只有規(guī)定的特定收信人才能閱讀通信的內(nèi)容。它結(jié)合了公鑰技術(shù)的靈活性和秘鑰技術(shù)的高效性來確保數(shù)據(jù)信息的安全。并且每次傳送都可以使用不同的對稱密鑰，從而使系統(tǒng)有了額外的安全保證。

（五）支付網(wǎng)關(guān)技術(shù)

支付網(wǎng)關(guān)是Internet網(wǎng)絡(luò)和銀行金融系統(tǒng)之間的接口，它是一組服務(wù)器設(shè)備，負(fù)責(zé)將Internet傳來的數(shù)據(jù)包解密并按照銀行內(nèi)部的通信協(xié)議重新打包數(shù)據(jù)。同時它也負(fù)責(zé)將內(nèi)部傳來的數(shù)據(jù)轉(zhuǎn)換為能在Internet上傳送的格式，并對其進(jìn)行加密。以保護(hù)銀行內(nèi)部系統(tǒng)的網(wǎng)絡(luò)安全。

（六） 報文鑒別

報文鑒別是一個證實收到的消息來自可信的源點且未被篡改的過程。它是防止網(wǎng)絡(luò)主動攻擊的重要技術(shù)。報文鑒別能有效辨別網(wǎng)絡(luò)通信中數(shù)據(jù)泄密、傳輸分析、偽裝信息、修改信息、否認(rèn)信息等攻擊行為。報文鑒別的常用方法 有 報 文 鑒 別 碼MAC和 報 文 摘 要 MD 。

（七）安全交易協(xié)議

電子商務(wù)的運行不僅需要各種網(wǎng)絡(luò)安全技術(shù)，而且需要一套完整的安全交易協(xié)議。另外不同交易協(xié)議的復(fù)雜性、開銷、安全性各不相同。同時，不同的應(yīng)用環(huán)境對協(xié)議目標(biāo)的要求也不完全相同。目前，比較成熟的協(xié)議有安全套接層協(xié)議 （SSL） 和安全電子交易協(xié)議 （SET）。

1 SSL 協(xié)議

SSL 協(xié)議（Secure Socket Layer，安全套接層）。是網(wǎng)景（Netscape）公司為了解決TCP/IP 協(xié)議不能確認(rèn)用戶身份的問題，而推出的一種安全通信協(xié)議。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通信提供安全支持。SSL協(xié)議又可分為SSL記錄協(xié)議和SSL握手協(xié)議兩層。中國目前多家銀行均采用 SSL 協(xié)議，從實際使用的情況來看，SSL 協(xié)議還是最值得信賴的協(xié)議。

2 SET 協(xié)議

安全電子交易協(xié)議。為了保證交易安全并且滿足市場要求VISA國際組織和MasterCard公司共同制定了安全電子交易（SET：Secure Electronic Transaction）公告。它是一個專門為網(wǎng)上交易而設(shè)立的開放的、以電子貨幣為基礎(chǔ)的電子支付系統(tǒng)規(guī)范。目前該協(xié)議主要應(yīng)用于B to C 模式中保障支付信息的安全性。

五、結(jié)束語

本文總結(jié)了目前電子商務(wù)面臨的安全問題，并對電子商務(wù)中現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)進(jìn)行了淺顯的探討。筆者認(rèn)為全面有效的保證電子商務(wù)的安全不僅需要合理應(yīng)用多種網(wǎng)絡(luò)安全技術(shù)，同時也需要國家制定明確的戰(zhàn)略和相應(yīng)的法律法規(guī)來指導(dǎo)電子商務(wù)的發(fā)展以及約束各種網(wǎng)絡(luò)欺詐、網(wǎng)絡(luò)犯罪行為。隨著Internet技術(shù)的發(fā)展成熟，將會有更先進(jìn)的安全保密協(xié)議和技術(shù)被應(yīng)用于電子商務(wù)中，從而保證網(wǎng)上交易能安全高效的進(jìn)行，電子商務(wù)也將以其特有的魅力為日益增多的網(wǎng)民服務(wù)。

參考文獻(xiàn)：

[1] 謝希仁.計算機(jī)網(wǎng)絡(luò).北京：電子工業(yè)出版社.2000.

[2] 姜寶華等 .《計算機(jī)應(yīng)用基礎(chǔ)教程》P259-301

[3]蹇皆. 電子商務(wù)導(dǎo)論[M]. 北京： 人民郵電出版社， 2009： 103 - 106.

[4]馮矢勇. 電子商務(wù)安全[M]. 北京： 電子工業(yè)出版社， 2002： 104 - 105.

[5]郭延坤. 電子商務(wù)安全防范技術(shù)淺談[J]. 大眾科技， 2004（9）： 58 - 62.

[6] 張謹(jǐn)：《電子商務(wù)安全技術(shù)》，中國勞動社會保障出版社，第 2 版，2008 年 6 月 1 日。

[7] 勞幗齡：《電子商務(wù)的安全技術(shù)》，中國水利水電出版社，2005 年9 月。