浅谈电子商务中的安全问题

2022-09-10

电子商务是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的全过程。由于因特网的全球性、开放性、共享性使得任何人都可以自由的接入因特网，特别是“黑客”们更可肆无忌惮的使用各种攻击方式来进行破坏、窃取等犯法行为。由于金钱和财富的诱惑，使得无数的“黑客”屡屡以身试法。因此如何保证电子商务交易的安全性便显得尤为重要了。

1 电子商务安全的概念

电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，已保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上。保障以电子交易和电子支付为核心的电子商务过程的顺利进行。

电子商务安全具有四大特点：(1)电子商务安全是一个系统概念;(2)电子商务安全是相对的;(3)电子商务安全是有代价的;(4)电子商务安全是发展的、动态的。

2 安全协议与安全标准

(1)安全套接层协议 (Secure Sockets Layer, SSL) 。是由美国Netscape公司于1995年开发和倡导的，是目前安全电子商务交易中使用最多的协议之一。SSL协议主要用于提高应用程序之间的数据安全系数。

(2)安全电子交易规范 (Secure Electronic Transaction, SET) 。安全电子交易协议是由美国Visa和MasterCard两大信用卡组织提出的应用于Internet上的以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X.509数字证书标准，主要应用于B to C模式中保障支付信息的安全性。SET协议本身比较复杂，设计比较严格，安全性高，它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现，同时也在不断升级和完善，如SET 2.0将支持借记卡电子交易。

(3)安全超文本传输协议 (S-HTTP, Secure hypertext transfer protocol) 是一个https URI scheme的可选方案，也是为互联网的HTTP加密通讯而设计。S-HTTP定义于RFC 2660。是经过超文本传输协议改造而来的。

3 保障电子商务安全的主要技术

(1)加密技术。加密技术是电子商务采取的主要安全保密措施，是最常用的安全保密手段, 利用技术手段把重要的数据变为乱码(加密)传送，到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素：算法和密钥。算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DNS, Data Encryption Standard)算法为典型代表，非对称加密通常以RSA (Rivest Shamir Ad1eman)算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。

(2)数字签名技术。数字签名的算法很多, 应用最为广泛的三种是：Hash签名、DSS签名、RSA签名。 (1) Hash签名，Hash签名不属于强计算密集型算法，应用较广泛。很多少量现金付款系统，如DEC的Millicent和Cyber Cash的CyberCoin等都使用Hash签名。使用较快的算法, 可以降低服务器资源的消耗, 减轻中央服务器的负荷。Hash的主要局限是接收方必须持有用户密钥的副本以检验签名, 因为双方都知道生成签名的密钥，较容易攻破，存在伪造签名的可能。如果中央或用户计算机中有一个被攻破, 那么其安全性就受到了威胁。 (2) DSS和RSA签名，DSS和RSA采用了公钥算法, 不存在Hash的局限性。RSA是最流行的一种加密标准，许多产品的内核中都有RSA的软件和类库, 早在Web飞速发展之前, RSA数据安全公司就负责数字签名软件与Macintosh操作系统的集成, 在Apple的协作软件PowerTalk上还增加了签名拖放功能, 用户只要把需要加密的数据拖到相应的图标上, 就完成了电子形式的数字签名。RSA与Microsoft、IBM、Sun和Digital都签订了许可协议, 使在其生产线上加入了类似的签名特性。与DSS不同, RSA既可以用来加密数据, 也可以用于身份认证。和Hash签名相比，在公钥系统中, 由于生成签名的密钥只存储于用户的计算机中, 安全系数大一些。

(3)身份认证。身份认证又叫身份识别，它是通信和数据系统正确识别通信用户或终端的个人身份的重要途径。计算机系统和计算机网络是一个虚拟的数字世界。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。身份认证包括口令认证、持证认证、生物识别等几个方面。

4 解决方案

电子商务时代信息安全已直接影响企业的生存与发展，成为每一个企业决策者所关心的重要问题。

(1)国外电子商务安全解决方案。例：全球著名的IBM公司已成功为1600余家企业实施了电子商务安全解决方案，为企业的网上应用与网上交易构建了高度安全的运行环境。IBM公司数据安全解决方案主要包含存储、备份和灾难恢复三方面。具备以下特征： (1) 保密性，防止重要信息暴露给未经授权的人; (2) 完整性:防止数据被非法篡改; (3) 可用性：防护设计被员工意外损坏和外部攻击者破坏。

(2)国内电子商务安全解决方案。例：联想公司在分析电子政务安全隐患、安全风险和安全需求的基础上，针对其主要的及尚未成熟的的方案部分，开发了联想电子商务安全整体解决方案。包括联想物理隔离解决方案、基础平台安全解决方案、应用平台解决方案和安全管理解决方案。

摘要：随着Internet的发展, 电子商务已逐渐成为人们进行商务活动的新模式。其安全问题便成为了电子商务能否快速发展壮大的重中之重。本文简要分析了电子商务安全的概念与特点, 以及有关的安全协议, 并阐述了当前电子商务安全的主要技术及解决方案。

关键词：电子商务,技术,安全协议,方案