电子商务与网络安全探析
摘要:网络信息安全是电子商务发展的基础,没有网络信息安全作为基础,电子商务就如同纸上谈兵。随着电子商务的发展.通过各种网络的交易手段也会更加多样化,网络安全问题变得更加突出。为了解决好这个问题,必须有安全技术作保障。
关键词: 电子商务;网络安全;加密;对策
一、电子商务的涵义
电子商务是网络经济时代兴起的一种新的商务活动形式,代表着商务运作发展的主流方向。广义的电子商务通过六种途径来实现,即电话、传真、电视、电子支付及货币流通系统、电子数据交换和国际互联网。从狭义角度来看,电子商务主要指利用国际互联网进行一切商贸活动的总称。作为一种崭新的商业经营模式,电子商务自九十年代兴起以来,以其交易成本的低廉和工作方式的高效受到企业界的青睐,在全球范围内获得了迅猛的发展。电子商务潜在的巨大发展潜力和高额利润已使得任何国家都不敢怠慢这个市场。电子商务已经渗透人们日常生活的方方面面。但是,安全问题始终是制约着电子商务进一步向前发展的一个重要因素。
二、电子商务中的网络安全问题
1、网络信息安全问题
主要表现是攻击者在网络的传输信道上,通过物理或逻辑的手段,进行信息截获、篡改、删除、插入。截获,攻击者可能通过分析网络物理线路传输时的各种特征,截获机密信息或有用信息,如消费者的账号、密码等。篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个信息或信息的某些部分;插入,即在信息中插入一些信息,让收方读不懂或接受错误的信息。
2、拒绝服务问题
攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯。扰乱正常的资讯通道。包括:虚开网站和商店,给用户发电子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应
3、身份冒充问题
攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。主要表现有:冒充他人身份;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户等。
4、交易双方抵赖问题
某些用户可能对自己发出的信息进行恶意的否认。以推卸自己应承担的责任.如:发布者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差但不承认原有的交易。
三、电子商务网络安全技术对策
1、加密技术
加密技术是电子商务采取的基本安全措施.交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。
(1)对称加密。对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加,解密速度快。适合于对大数据量进行加密.但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
(2)非对称加密。非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。
2、认证技术
目前,仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全的又一重要技术手段。认证的实现包括数字摘要技术、数字签名技术、数字信封技术和数字证书技术等。
(1)数字摘要。数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样,在传输信息时将摘要加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件末被篡改,反之亦然。
(2)数字签名。数字签名也称电子签名,如同出示手写签名一样.能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方:报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。
(3)数字证书。数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符.以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA).如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据.提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。
3、防火墙技术
防火墙技术是一个在内部网和外部网之间的界面上所构造的保护屏障.由软件系统和硬件设备组合而成的。防火墙能保障网络用户访问公用网络具有最低风险,同时也能保护专用网络免遭外部袭击。所有的内部网和外部网 专用网和公共网之间的连接都必须经过防火墙的检查、认证和连接 只有被授权的通信才能通过此保护层,从而保证了网络的安全。
4、电子商务安全协议
除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。
(1)安全套接层协议SSL。SSL协议位于传输层和应用层之间.由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致.然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息.客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数。对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。
(2)安全电子交易协议SET。SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。
四、电子商务网络安全管理对策
1、人员管理制度
制定人员选拔、培养、工作责任制、相互制约机制、权限控制机制等多个方面。对责任心不强的人员绝对不能留在与网络安全有关的岗位上。对特别重要的岗位要实行多人负责制。任何人不得拥有过大的访问权限。
2、建立保密制度
涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
3、病毒防范制度
病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要有定期清理病毒、及时升级防病毒软件版本、及时通报病毒入侵信息等工作。此外,还可以将网络系统中易感染病毒的文件属性、权限加以限制,对各终端用户,只许他们具有只读权限,断绝病毒入侵的渠道,从而达到预防的目的。
4、建立安全培训制度
定期进行计算机安全法律教育、职业道德教育和计算机安全技术教育。对关键岗位的人员进行定期考核。对网络系统的所有工作人员,都要进行不断的教育和系统地培训。从终端的操作员到系统管理员、从程序设计员到系统分析师、从软件维护到硬件维护的所有技术和管理人员,都要进行全面的安全保密教育、职业道德和法制教育。
参考文献:
[1] 黄京华:电子商务教程.清华大学出版社,2004.
[2] 胡伟雄:电子商务安全认证系统.华中师范大学出版社,2005.
[3] 杨德礼.王茜:电子商务的安全体系结构及技术研究.计算机工程,2004.
[4] 叶生 陈育辉:.计算机网络安全管理.中国人民大学出版社,2005.
[5] 骆耀祖:计算机网络技术与应用.北方交通大学出版社, 2006.
[6] 姚国章:中国企业电子商务发展战略.北京大学出版社,2004.
[7] 贾 伟:网络与电子商务安全.国防工业出版社,2006.
[8] 工仁武:实用电子商务技术.经济科学出版社2004.
[9] 宋文官:电子商务与网络营销.东北财经大学出版社,2003.
[10] 柯新生:网络支付与结算.电子工业出版社,2004.