浅析电子商务信息安全与防范

2023-03-05

随着Internet的发展, 电子商务已经逐渐成为人们进行商务活动的新模式。相对于传统商务模式, 电子商务具有便捷、高效的特点与优点。但目前全球通过电子商务渠道完成的贸易额仍只是全球贸易额中的一小部分。究其原因, 电子商务是一个复杂的系统工程, 它的实现还依赖于众多从社会问题到技术问题的逐步解决与完善。其中, 电子商务安全是制约电子商务发展的一个核心和关键问题, 电子商务安全技术也成为各界关注和研究的热点, 而电子商务安全很重要的一部分就是信息安全。

1 电子商务中的信息安全技术

电子商务的信息安全在很大程度上依赖于技术的完善, 这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。

(1) 防火墙技术。防火墙 (Firewall) 是近年来新兴的保护计算机网络安全技术性措施。它的主要功能是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络 (被保护网络) 。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查, 来决定网络之间的通信是否被允许, 并监视网络运行状态。

防火墙技术的优点很多, 一是通过过滤不安全的服务, 极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信, 提供关于网络使用的统计数据, 根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段, 它可以对企业内部网实现集中的安全管理。

(2) 加密技术。加密技术是电子商务安全技术中一个重要组成部分, 是电子商务采取的基本安全措施, 交易双方可根据需要在信息交换的阶段使用, 加密最明显的作用就是提供机密性。数据加密被认为是最可靠的安全保障形式, 它可以从根本上满足信息完整性的要求, 是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据, 通过使用不同的密钥和加密算法, 将同一明文加密成不同的密文, 当需要时可使用密钥将密文数据还原成明文数据。

(3) 数字签名技术。数字签名技术是将摘要用发送者的私钥加密, 与原文一起传送给接收者, 接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中, 数字签名技术有着特别重要的地位, 在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。

在书面文件上签名是确认文件的一种手段, 数字签名与书面签名有相同相通之处, 也能确认两点, 一是信息是由签名者发送的, 二是信息自签发后到收到为止未曾做过任何修改。这样, 数字签名就可用来防止电子信息因易于修改而有人作伪, 冒用别人名义发送信息, 发出 (收到) 信件后又加以否认。

(4) 数字时间戳技术。在电子商务交易的文件中, 时间是十分重要的信息, 是证明文件有效性的主要内容。在签名时加上一个时间标记, 即有数字时间戳的数字签名方案, 验证签名的人或以确认签名是来自该小组, 却不知道是小组中的哪一个人签署的。指定批准人签名的真实性, 其他任何人除了得到该指定人或签名者本人的帮助, 否则不能验证签名。

(5) 数字证书。数字证书也叫数字凭证、数字标识, 它含有证书持有者的有关信息, 以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性, 可以控制哪些数据库能够被查看, 因此提高了总体的保密性。

(6) 数字认证中心。电子商务交易需要电子商务证书, 而电子商务认证中心 (CA) 就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。CA主要提供下列服务:有效实行安全管理的设施;可靠的风险管理以及得到确认和充分理解。接受该系统服务的电子商务用户也应充分信任该系统的可信度。

2 电子商务的信息安全协议

(1) 安全套接层协议。安全套接层协议 (SSL) 是由Netscape公司1994年设计开发的, 主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议, 该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。

SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证, 使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号, 由公开密钥编排。为了验证用户, 安全套接层协议要求在握手交换数据中作数字认证, 以此来确保用户的合法性;二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥, 也有公开密钥, 在客户机和服务器交换数据之前, 先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术, 以保证其机密性与数据的完整性, 并且经数字证书鉴别;三是维护数据的完整性。安全套接层协议采用H a s h函数和机密共享的方法来提供完整的信息服务, 建立客户机与服务器之间的安全通道, 使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。

(2) 安全电子交易 (SET) 。SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。采用这种协议它主要解决了以下问题。首先是客户资料虽然通过商家到达银行, 但商家不能阅读这些资料, 解决了客户资料的安全性问题;其次是协议解决了网上交易存在的客户与银行之间、客户与商家之间、商家与银行之间的多方认证问题;再其次是由于整个交易过程是建立在Intranet、Extranet和Internet的网络基础上的, 保证了网上交易的实时性。

SET协议要达到五个目标:保证电子商务参与者信息的相应隔离;保证信息在互联网上安全传输, 防止数据被黑客或被内部人员窃取;解决多方认证问题;保证网上交易的实时性, 使所有的支付过程都是在线的;效仿BDZ贸易的形式, 规范协议和消息格式, 促使不同厂家开发的软件具有兼容性与交互操作功能, 并且可以运行在不同的硬件和操作系统平台上。

(3) 安全超文本传输协议 (S-HTTP) 。依靠密钥的加密, 保证Web站点间的交换信息传输的安全性。S H T T P对H T-T P的安全性进行了扩充, 增加了报文的安全性, 是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。

(4) 安全交易技术协议 (STT) 。STT将认证与解密在浏览器中分离开, 以提高安全控制能力。

(5) U N/E D I F A C T标准。U N/E D I F-ACT报文是唯一的国际通用的电子商务标准。N/E D I F A C T的安全措施通过集成式与分离式两种途径来实现。集成式的途径是通过在U N/E D I F A C T报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的不可抵赖性;分离式途径是通过发送三种特殊的U N/E D I F A C T报文 (即A U T C K、K E Y M A N和C I-P H E R) 来达到安全目的。

(6) 《电子交换贸易数据统一行为守则》 (UNCID) 。UNCID由国际商会制定, 该守则第六条、第七条、第九条分别就数据的保密性、完整性及贸易双方签订协议等问题做了规定。

3 电子商务中的信息安全对策

(1) 提高电子商务企业的安全性

电子商务飞快的发展速度, 致使其安全技术和安全管理都跟不上, 电子商务企业存储着客户的大量信息, 有责任保护客户信息的安全, 在交易过程中, 应对客户采取可靠的认证方式, 复杂的认证手段, 加强对电子商务进行中的安全管理, 进而达到安全交易的目的。

(2) 加快网络安全技术发展

网络安全技术是电子商务安全的基础, 也是保护电子商务安全最重要的手段之一。我们在Internet上无时无刻不在面临着黑客的窥视和攻击, 黑客们掌握计算机的先进和高超技术, 对于这种威胁, 网络安全技术必须加快发展, 一个成功的防范措施能够防住大部分的黑客攻击, 最好能预测下一代黑客技术, 做到防患于未然。

(3) 尽快完善有关网络信息安全等方面的法律

我国政府在《中华人民共和国合同法》中规定了以电子媒体为载体的合同具有法律约束力, 对推广电子商务有很大的促进作用, 但是在诸多方面还需不断完善。一是应该结合我国实际, 吸取和借鉴国外网络信息安全立法的先进经验, 对现行法律体系进行修改与补充, 使法律体系更加科学和完善;二是要执法必严, 违法必纠。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度, 提高执法的效率和质量。

(4) 加强银行、CA中心以及物流等环节的安全

电子商务交易过程中, 涉及银行、物流等多个环节, 因此, 相应环节的信息化进程有待提高。同时, 这些环节仍然涉及诸多的关键信息, 安全问题不容忽视, 电子商务是一个大的环境, 只有全方位的安全保护, 才能提高电子商务的信任度, 吸引更多的企业和个人参与近来, 推动电子商务快速发展。

(5) 培养人们的交易安全意识

目前, 基于Internet的电子商务应用还刚刚开始, 许多人多信息安全的保护还处于一个盲目的状态, 没有信息保护意识, 不知不觉就会丢失自己的关键信息。这和平时上网交易的习惯是分不开的, 因此应加大对消费者安全意识的培养, 在交易的同时时刻注意保护自己的信息, 养成良好的网上交易习惯。

摘要：随着电子商务的发展, 关于信息安全方面的问题已经越来越受到人们的关注.构筑安全电子商务信息环境是网络时代发展到一定阶段的瓶颈性课题。信息安全技术在电子商务中的作用非常重要, 它守护着商家和客户的重要机密, 维护着商务系统的信誉和财产, 因此, 只有保护交易者信息的安全才能充分提高电子商务的可用性和可推广性。

关键词：电子商务,电子商务安全,信息安全