電子商務信息安全現狀與發展趨勢研究

胡蘇楠 宋瑋

(1. 山東省商務發展研究院 山東濟南 250004；2.山東省砂石協會 山東濟南 250061)

隨著信息技術的發展和運用，信息安全的內涵持續擴展，從最初的信息保密性，發展到信息的完整性、可用性、可控性和不可否認性，信息安全還被發展成“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實踐技術。信息安全是一個綜合、交叉的學科領域，需要將數學、物理、通信和計算機諸多學科的長期知識積累和最新發展成果相結合，開展自主創新的研究，強化頂層設計，提出系統的、完整的、協同的解決方案。相對于其他學科而言，我國的信息安全研究更加注重自主、創新，能夠彰顯出我國的主權和信息管控水平，而創新則能抵御多種形式的攻擊，滿足我國科技發展的需要，保障國民經濟發展和社會安全穩定。

電子商務指的是通過使用綜合信息技術(Internet和World Wide Web等)，將提升貿易伙伴之間的業務運營效率作為主要目的，用電子手段來完成一次交易的全程數據和資料，在整個業務運營過程中，使交易達到無紙化、直接化的目的。通過電子商務，交易雙方之間的關系變得更加密切，從而達到用最少的資金獲取最大利益的目的。電子商務不但給商家們帶來無窮的商機，也為商家們在市場上的競爭提供了有利條件，而且對一個國家的總體競爭力也產生越來越大的影響。于是，國內的公司和商戶都開始投資于這一新型的電商平臺，國家有關部門也在制定相應的政策，并制定出多種相應的對策，以解決因電子化商業而產生的資訊安全性與貿易爭端。

1 電子商務信息安全問題

1.1 資料的機密性

資料的機密性也稱數據保密性，指的是傳遞電子商務信息的過程中，需要加密數據，讓這些數據無法被竊取，而且即使竊取也無法讀懂這些信息并加密數據，為電子商務的應用及推廣奠定基礎。

1.2 信息的完整性

信息的完整性包含兩方面內容：一是在互聯網上傳遞的信息不會受到任何修改，原來的信息不會發生任何變化；二是信息傳遞的一致性，也就是信息傳遞的順序、格式都是固定的，不可隨意更改。唯有確保資訊傳遞之全，商業行為之公平性與合法性，方能得以保障。

1.3 不可抵賴性

不可抵賴性即不可否定性，是指信息的發送方或接收方在發出或接收信息后，要有足夠的證據，可以表明他們之間曾經發生過收發行為。而且，在通常情況下，要確保收發雙方都不能否認自己所收到和發送的信息，從而降低交易爭議。

1.4 交易者的身份驗證

交易者的身份驗證是在電子商務在線交易的過程中，可以確認對方的真實身份和所進行的實際業務，特別是在與信用卡、賬號等相關的敏感信息的真實性和合法性方面，以避免造成無謂的利益損失。

2 電子商務信息安全問題的原因

電子商務涉及交易問題，整個過程可以實現信息的互通、交流，一旦信息交流受到影響，勢必會影響電子商務的開展。電子商務安全存在問題，主要有以下三點原因：

2.1 安全漏洞

目前，電子商務安全漏洞主要有：Windows驚現高位漏洞，新圖片病毒能夠攻擊所有用戶，導致客戶在觀看電子商務信息的時候出現信息泄露，由此引發安全問題。WinXP SP2已經發現了世界上最嚴重的安全漏洞，采用SP2的系統發現10個嚴重安全漏洞，針對這些漏洞，蘋果的漏洞補丁程序無法發揮作用，此外，IE出現最新的欺騙漏洞、郵件客戶端出現黔南漏洞及漏洞控制Web服務器。

2.2 病毒

蠕蟲病毒主要是利用系統漏洞進行自動傳播復制，由于傳播過程中會產生巨大的掃描或其他攻擊流量，從而使網絡流量急劇上升，由此造成網絡速度變慢甚至癱瘓，進而影響交易雙方間的交易。

2.3 黑客攻擊

近年來，我國網頁被篡改問題日益嚴重，如耐克官網被黑客篡改，導致部分用戶被欺騙，由此導致信息泄露，進而造成經濟損失。其中著名的僵尸網絡(BotNet)，就是可以自動執行預定義的功能，能夠預訂命令控制，具有一定人工智能的程序。

3 電子商務信息安全技術研究現狀

3.1 認證和訪問控制技術

認證指的是當使用者登錄到網絡或服務器時，使用者需對其身份進行確認。最基礎的認證方式是通過使用者的賬號，也可以使用諸如指紋、眼底紋等人類的生物特征來進行。在互聯網上，人們為強化身份驗證而提出了“證書”這一概念，是一個人的身份或一個網站的數碼憑證，是一個被數字化的身份證或護照。存取控制是指設定一個主體對其存取的限度。存取控制與使用者的識別緊密相連，也就是要決定使用者對何種資訊有何種存取權。

對稱加密技術具有快速、適用于大規模數據的特點。但是，公共網絡中通信人員間的密鑰分配比較煩瑣。因此，在沒有一種可靠的單鑰分配技術的情況下，單鑰加密技術難以用于電子商務。

3.2 密碼技術

密碼技術是一種防止被人讀取的技術。密碼技術既有加法，也有解密。密碼技術就是把原來的資料用數字方法轉化為無法讀取的資料。對密碼進行解密，則與密碼相反。加密技術由兩種元素組成：運算法則和金鑰。加密技術可分為兩類：一類是對稱加密，另一類是不對稱加密。

對稱加密方法。對稱密碼學也被稱為單密鑰加密系統，是指發送者和接收者通過相同的密鑰進行信息的加密和解密。這個金鑰應該是發送方和接收方共同分享的，而且不被允許泄露出去。這樣，發射狀態與接收狀態就成對稱。對稱密鑰密碼體制是一種高效的密碼體制，其優點是可以通過使用更短的密鑰來實現更好的密碼體制。不過，這種方法也存在一些缺陷，在協作生成密鑰時，所有與其相關的消息都要確保不會被人偷聽，否則，如果被第三方獲取或計算出，就會造成機密泄露。最常見的單鑰加密法是數據加密標(Data Encryptnn Standard，DES)，這是一種分組密碼技術，每個分組長度為64比特，使用56位密鑰，通過16輪的異或、 S盒替換、P盒置換后得到密文。DES的解碼方法和密碼學的方法相似。而對稱加密方法的快速性更適用于對海量信息進行加密。不過，在公共網絡中，通信雙方的私鑰分發是一件很復雜的事情。因此，如果沒有一種可靠的密碼體制，那么單一的密碼體制難以在電子交易中使用。

不對稱加密方法。公鑰密碼系統(PKIP公鑰基礎設施)也就是使用兩種不同的密鑰對數據進行加密與解密。一個是用來恢復數據的，另一個是向公眾公布的公共鑰匙。假定甲將向乙發送資料，在發送之前，甲方首先使用乙方的公開密鑰對數據進行加密。而收到資料的乙方只要有自己的鑰匙，他就可以將里面的東西全部破解出來。Rivest-Shamir-Adleman算法，是建立在一個數學問題的基礎上的，也就是用一種加密方法來解決對數問題。公共金鑰密碼方法盡管不存在金鑰分發問題，但加密和解密的運算時間很長更適用于對資料進行加密和匯總。并且，放在網上的公開鑰匙也有被不正當修改的危險，所以在使用電子商務時，為增強系統的安全性和可靠性，還需要數碼驗證和可靠第三方的合作。或者使用混合加密方法，也就是使用公共密鑰加密方法來分發單個密鑰加密方法的密鑰，從而加快解密速度。

3.3 數字簽名技術

在非對稱密碼技術的基礎上，提出一種能夠驗證消息來源和消息內容真偽的數字簽名。在通信雙方不能相互認證的情況下，可使用電子簽名來認證通信雙方的身份。收件人可以確認該訊息的確是發件人發出的且未被修改，發件人不能否認該訊息曾被發送。

3.4 數字認證與認證中心

公鑰是指在公共網絡中，將其他人用作向自己發送信息的密碼，一旦公鑰被人偽造，便可以冒充您，將傳輸信息的信息截獲，并利用對等的密鑰破解信息。因此，在傳輸資料時，需要驗證一下身份，然后再將資料發送出去。為實現對公共密鑰的驗證，可通過對公共密鑰的驗證來實現，即所謂的數字驗證。

在使用電子商務時，必須有一個可靠的第三方對雙方的公開密鑰進行驗證。這個第三方就是所謂的身份驗證中心，CA會根據合法身份驗證人員的要求進行一個數字驗證，其中包括身份驗證數據的名字、公鑰及CA的簽字，有CA的簽字，公鑰就可以被信任。在互聯網上，商家通過CA的公共密鑰進行認證，從而使各商家之間的相互信任得以實現。采用數字鑒權技術能更好地增強身份的確認性。

3.5 信息隱藏技術

利用多種信號處理的手段，把要保密的信息隱藏在聲音和圖像數據之中。在非法使用者攔截到含密文件之后，只能對文件的內容進行解析，而不會發現里面包含什么秘密信息，或者就算他知道里面包含著什么隱秘信息，也無法對它進行解析。信息可以被隱藏在多媒體數據中的原因包括：一是由于多媒體信息自身具有大量的冗余，從信息論的觀點來看，未經壓縮的多媒體信息的編碼效率非常低下，因此，將一些信息嵌入多媒體信息中進行保密傳輸是絕對可以實現的，而且不會對多媒體信息自身的傳輸和利用造成任何干擾。

3.6 防火墻技術

“防火墻”是一種建立在諸如可靠的內網、非可靠的公用網等不同網絡或網絡安全領域的元件的集合體。該系統是各大網絡或各大安全領域間信息交換的唯一通道，能夠按照公司的安全策略對進出網絡的信息流進行控制(允許、拒絕、監控)，同時還具備強大的抵抗攻擊的能力。它是為用戶提供信息保護，并為用戶提供必要保障。防火墻會對通過其的網絡通信進行掃描，從而可以將某些襲擊篩選出來，使之不會對目標電腦實施。防火墻也會關掉那些沒有被用過的埠，同時也會阻止從某個特別的埠出來的訊息，從而阻止特洛伊木馬的入侵。

在入侵過程中，防火墻起到良好的防護效果，黑客在進入被入侵電腦之前，需要通過它的防護措施。可以用很多不同的防護等級來設定防火墻。較高水平的安全措施也許會使某些業務受到限制，而這些業務則有權被公司所保護。這也能阻止一些特定網站的進入，阻止一切未知黑客的通訊。

4 相關理論與技術的研究現狀及發展趨勢

4.1 相關理論與技術的研究現狀

密碼理論。密碼理論和技術包含兩個方面：一是以數學為基礎的密碼學原理和技術；二是以數字為基礎的密碼學原理和技術(如認證代碼、數字簽名、Hash功能、身份認證、密鑰管理、PKI技術等)，以及其他一些非算術地加密原理和方法(如信米非司酮身、量子加密、生物鑒別等)。

自1976年公開密鑰加密的概念被人們提出之后，國內外相繼出現了多種不同的公開密鑰加密方案。目前，主流的公開密鑰加密方案有兩種：一種是最具代表性的，即RSA。另一種是以對數為基礎的離散對數問題為基礎，如ElGamal公開密鑰加密，以及有一定影響力的橢圓曲線公開密鑰加密。國內的學者已經設計出幾個公共密鑰加密方案，此外，他們還在公共密鑰加密的快速實現上進行了一些工作，例如，在RSA和橢圓曲線的公共密鑰加密的快速實現上都取得了突破性進展，公開密鑰加密技術是一種應用廣泛的加密技術。在此基礎上提出了一種新的密碼體制，即密碼體制。當前，專家學者們對數字密碼體制進行大量研究，既有一般密碼體制，也有專用密碼體制。序列加密主要應用在政府、軍隊等重要機構中，雖然涉及的技術與原理都屬于機密，但因為有代數、數論、概率等數論等數學工具可以應用到序列加密中，所以它們的理論與技術相對較為成熟。從20世紀80年代中后期到90年代初期，對序列加密進行了大量理論和應用，并取得了大量有意義的結果。進入21世紀以來，對數字密碼的研究又取得了長足的進步，數據鏈條技術逐漸應用到各個方面，區塊鏈、分布式等先進理念成為密碼技術革新的突破口和創新點，也為今后的理論和技術研究開創了新空間。

4.2 電子商務信息安全影響因素的研究

電子商務信息安全主要是指電子商務中存在的安全威脅，由于非法入侵者的侵入，造成商務信息被篡改、盜竊或丟失，商業機密在傳輸過程中被第三方獲悉，甚至被惡意竊取、篡改和破壞，虛假身份的交易對象及虛假訂單、合同，貿易對象的抵賴，由于計算機系統故障對交易過程和商業信息安全所造成的破壞。電子商務的安全性需求涵蓋多方面的內容，包括信息保密性、信息完整性、信息不可否認性、交易者身份的真實性及系統的可靠性等。里面涉及防火墻技術、密鑰加密技術等。

在我國，密碼技術尤其是加密技術是一項非常重要的技術，國外的加密技術無法被引入和使用，必須依靠自己的力量來發展。當前，我們的加密技術與國際上的技術仍存在較大差距。外國的加密技術會給我國帶來一些影響，部分應用也會逐步跟上世界的標準，所以我們要有自己的加密技術，有自己的一系列準則和制度，以應對以后的各種挑戰。沒有正確的密碼技術知識，就不會有先進的、自主的和創新的密碼學知識，更無法有效應用密碼技術的基本原理。為此，我們要在密碼技術基本原理的研究上，不斷追趕世界的步伐，還需要得到國家的大力扶持與投資。同時，對密碼技術的研究也必須落到實處，沒有實際應用環境和場景的密碼學將毫無意義。要在已有的密碼學理論與技術的基礎上，對外國的密碼技術進行深入研究，從而形成具有自主知識產權的密碼技術，使之與國家的經濟建設相匹配。

5 電子商務信息安全理論發展趨勢

5.1 安全協議理論與技術研究發展趨勢

安全體系結構理論與技術的具體內容有：構建安全體系模型并對它們進行形式化描述與分析安全策略和機制的研究，對系統安全性進行檢驗和評估的科學方法和準則的構建與這些模型、策略和準則相一致的系統的研發(如安全操作系統、安全數據庫系統、安全防火墻系統等)。

近年來，六國七方(美國國家安全局和國家技術標準研究所、加拿大、英國、法國、德國、荷蘭)聯合制定《國際信息技術的安全性評估標準》(CC for ITSEC)。CC融合國內外現有評價規范與技術規范之精髓，提出該體系結構與原理，但尚缺乏對其多安全性特性進行全面解析的理論與方法。

5.2 信息對抗理論與技術研究現狀及發展趨勢

信息對抗理論與技術的具體內容有：黑客預防體系、信息偽裝理論與技術、信息分析與監測、入侵檢測原理與技術、反擊技術、緊急應對系統，以及用于防病毒、防侵入等方面的人工免疫系統。截至目前，大多是被某些軟件(如入侵檢測系統、防御軟件、殺毒軟件等)所破解的。目前，安全技術研究中最受關注的問題就是網絡攻擊，而安全技術研究的另外一個熱點就是安全技術中的入侵檢測和防御。該領域的研究已相當成熟，并且已經形成了一套系統。以入侵檢測系統為例，我國發生過一次“Internet蠕蟲事件”，后來又發生過一次“Y2K”問題，這些都使我們對信息系統的安全性給予足夠的關注。近年來，一些黑客采用分散式的拒絕服務策略，對一些大的站點進行攻擊，造成整個系統的崩潰。由于其自身的特殊性，使得它被廣泛地應用到軍事對抗中。電腦病毒與網絡入侵技術必然會是新一代軍用兵器。信息化對抗技術的發展，將使過去的競賽形態發生變化，甚至是軍事競賽。在信息戰爭的背景下，最重要的一點是，參加者并不一定要具有超強的力量。如果有足夠的技術，即使不考慮各國的情況，也能摧毀C2級別的脆弱網絡，阻止重要的信息服務。與馬哈尼(Mhanian)的“信息控制”策略相比，美國軍隊更實際的是采取一種“信息拒絕”策略(尤其是不允許獲得真實消息)。許多專家相信，“信息戰爭”并不存在前沿陣地，而可能的前沿陣地就是所有能夠接入網絡的區域，如石油天然氣管道、電力網絡、電話交換網絡等。總之，美國已經無法作為一個可以抵御外來襲擊的庇護所。

網絡安全中的另一個熱點問題就是網絡安全中的攻擊和防御。該領域的相關技術已經相當成熟，并且已經開發出一套完整的系統，其中以入侵檢測系統最具代表性。我國對此也進行了大量研究，并已有相關成果問世。

5.3 網絡安全與安全產品研究現狀及發展趨勢

在當今的信息安全技術中，網絡安全技術一直是人們關注的焦點。本文主要進行以下幾個方面的工作：網絡安全總體設計和分析，網絡安全產品的開發。信息系統的安全性分為實體安全性和邏輯安全性兩大類，實體安全性是對所有通信設備和計算機設備及與之有關的設備進行實體上的防護，以防止被破壞、丟失等，其中“信息的完整性”“保密性”“不可否認性”和“可用性”是一個涉及網絡操作系統、數據庫等方面的內容，同時對應用體系、人員管理等各方面都要進行全面考量。此外，采用加密技術、網絡存取控制等手段，是目前網絡中的重要技術手段。

當前，市面上較為普及且可以代表未來發展趨勢的安全產品主要有：防火墻、安全路由器、虛擬專用網(VPN)、安全服務器、電子簽證機構一用戶認證產品、入侵一CA和PKI產品。安全管理中心，入侵檢測系統，安全數據庫，安全操作系統的重點與成果，均涉及加密技術的相關領域，而且都是十分基本的領域。許多安全性的函數和機制，都是基于加密技術來完成的。因此，沒有加密技術，就談不上安全性。同時，我們還應當注意到與通信技術相結合的加密技術。電腦技術與芯片技術的結合愈來愈密切，其產品的界限也愈來愈模糊，而且愈來愈無法分開。對一個電腦系統來說，要把哪種裝置作為加密裝置、把哪一種裝置作為通信裝置是很困難的，這些融合的終極目標仍然是給使用者帶來高度的信任與安全。如何有效地實現信息系統的安全性，是一個需要從技術、產品、管理等多方面考慮的問題。

6 結語

安全無小事，在電子商務發展的過程中，信息安全越來越受到社會各界的重視。尤其是隨著當前互聯網技術的深度應用和數字經濟的廣泛拓展，更是把信息安全推到一個全新的高度。隨著國家工業互聯網的發展，信息技術已成為國民經濟發展的一個非常重要的支撐，在國計民生和企業經營中的重要性日益凸顯出來。同時，政府、企業及普通百姓對于信息科技的安全性、穩定性、維護性及可發展性的需求也愈來愈強烈，所以無論是從社會發展還是從國家安全的觀點，都必須加強電子商務信息安全，完備的信息安全體系將是未來保障我國國民經濟平穩運行不可或缺的盾牌。