淺議電子商務(wù)中的信息安全問(wèn)題

淺議電子商務(wù)中的信息安全問(wèn)題

　�。� 摘要］ 電子商務(wù)對(duì)人類社會(huì)經(jīng)濟(jì)產(chǎn)生了重大影響，在創(chuàng)造巨大經(jīng)濟(jì)效益的同時(shí)，也從根本上改變了整個(gè)社會(huì)商務(wù)活動(dòng)發(fā)展進(jìn)程。我國(guó)電子商務(wù)在曲折進(jìn)程中，已有很大程度的發(fā)展,同時(shí)也存在諸多問(wèn)題。本文客觀地分析了電子商務(wù)的安全需求、安全技術(shù)發(fā)展現(xiàn)狀及存在的問(wèn)題，對(duì)加快電子商務(wù)的發(fā)展步伐提出了一些重要思考。

　�。� 關(guān)鍵詞］ 電子商務(wù)；安全需求；安全技術(shù)；協(xié)議技術(shù)電子商務(wù)（ Electronic Commerce)是上世紀(jì)90 年代初期在西方發(fā)達(dá)國(guó)家首先興起的一種嶄新的利用國(guó)際互聯(lián)網(wǎng)絡(luò)Internet 這種先進(jìn)通訊工具的企業(yè)經(jīng)營(yíng)方式。它是通過(guò)網(wǎng)絡(luò)技術(shù)的應(yīng)用，快速而且有效的進(jìn)行各種商務(wù)活動(dòng)的全新方法。電子商務(wù)無(wú)疑是近幾年來(lái)使用頻率最高的詞匯之一， 隨著電子商務(wù)的興起，它的信息安全問(wèn)題也日益引人注目。由于電子商務(wù)是在公開(kāi)的網(wǎng)上進(jìn)行的，支付信息、訂貨信息、談判信息、機(jī)密的商務(wù)往來(lái)文件等大量商務(wù)信息在計(jì)算機(jī)系統(tǒng)中存放、傳輸和處理，所以如果不能很好地解決信息安全問(wèn)題，電子商務(wù)的發(fā)展肯定會(huì)受到影響。

　　一、電子商務(wù)的安全需求

　　1.信息有效性、真實(shí)性

　　電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

　　2.信息機(jī)密性

　　電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

　　3.信息完整性

　　電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程， 減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各信息的差異。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

　　4.信息可靠性、不可抵賴性和可鑒別性

　　可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^；不可抵賴性要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式。

　　5.系統(tǒng)的可靠性

　　電子商務(wù)系統(tǒng)是計(jì)算機(jī)系統(tǒng)，其可靠性是防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、自然災(zāi)害等引起的計(jì)算機(jī)信息失誤或失效。

　　二、電子商務(wù)的信息安全技術(shù)

　　1.數(shù)據(jù)加密技術(shù)

　　加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層， 使用經(jīng)過(guò)加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法， 這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)較為簡(jiǎn)單，不需要對(duì)電子信息（ 數(shù)據(jù)包） 所經(jīng)過(guò)的網(wǎng)絡(luò)的安全性能提出特殊要求，對(duì)電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。

　　1） 電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要(digital digest)

　　這一加密方法亦稱安全Hash 編碼法， 由RonRivest 所設(shè)計(jì)。該編碼法采用單向Hash 函數(shù)將需加密的明文“ 摘要”成一串128bit 的密文，這一串密文亦稱為數(shù)字指紋(Finger Print)，它有固定的長(zhǎng)度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是“ 真身”的“ 指紋”了。

　　數(shù)字簽名(digital signature)

　　數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來(lái)使用。主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128 位的散列值(或報(bào)文摘要)，用自己的私有密鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名。然后，這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128 位的散列值，接著再用發(fā)送方的公開(kāi)密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密，如果兩個(gè)散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別。概括的說(shuō)，簽名的作用有兩點(diǎn)，一是因?yàn)樽约旱暮灻�難以否認(rèn)，從而確認(rèn)了文件已簽署這一事實(shí)；二是因?yàn)楹灻�不易仿冒，從而確定了文件是真的這一事實(shí)。

　　數(shù)字時(shí)間戳(digital time-stamp)交易文件中，時(shí)間是十分重要的信息。在電子交易中， 需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。時(shí)間戳(time-stamp) 是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：需加時(shí)間戳的文件的摘要(digest)；DTS 收到文件的日期和時(shí)間；DTS的數(shù)字簽名。

　　數(shù)字證書(shū)(digital certificate,digital ID)數(shù)字證書(shū)又稱為數(shù)字憑證，是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)的權(quán)限。目前，最有效的認(rèn)證方式是由權(quán)威的認(rèn)證機(jī)構(gòu)為參與電子商務(wù)的各方發(fā)放證書(shū)，證書(shū)作為網(wǎng)上交易參與各方的身份識(shí)別，就好象每個(gè)公民都用身份證來(lái)證明身份一樣。認(rèn)證中心作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任，是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)定證書(shū)的權(quán)威機(jī)構(gòu)。因而網(wǎng)絡(luò)中所有用戶可以將自己的公鑰交給這個(gè)中心，并提供自己的身份證明信息，證明自己是相應(yīng)公鑰的擁有者，認(rèn)證中心審查用戶提供的信息后， 如果確認(rèn)用戶是合法的，就給用戶一個(gè)數(shù)字證書(shū)。這樣，每個(gè)成員只需和認(rèn)證中心打交道， 就可以查到其他成員的公鑰信息了。對(duì)于在網(wǎng)上進(jìn)行交易的雙方來(lái)說(shuō)，數(shù)字證書(shū)對(duì)他們之間建立信任是至關(guān)重要的。數(shù)字憑證有三種類型：個(gè)人憑證、企業(yè)（ 服務(wù)器） 憑證、軟件（ 開(kāi)發(fā)者） 憑證；大部分認(rèn)證中心提供前兩類憑證。

　　2.身份認(rèn)證技術(shù)

　　為解決Internet 的安全問(wèn)題，初步形成了一套完整的Internet 安全解決方案，即被廣泛采用的公鑰基礎(chǔ)設(shè)施（ PKI） 體系結(jié)構(gòu)。PKI 體系結(jié)構(gòu)采用證書(shū)管理公鑰，通過(guò)第三方的可信機(jī)構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息（ 如名稱、e-mail、身份證號(hào)等） 捆綁在一起，在Internet 網(wǎng)上驗(yàn)證用戶的身份，PKI 體系結(jié)構(gòu)把公鑰密碼和對(duì)稱密碼結(jié)合起來(lái)，在Internet 網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理， 保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。

　　1 ） 認(rèn)證系統(tǒng)的基本原理

　　利用RSA 公開(kāi)密鑰算法在密鑰自動(dòng)管理、數(shù)字簽名、身份識(shí)別等方面的特性，可建立一個(gè)為用戶的公開(kāi)密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱為CA，CA 為用戶發(fā)放電子證書(shū)，用戶之間利用證書(shū)來(lái)保證信息安全性和雙方身份的合法性。

　　2 ） 認(rèn)證系統(tǒng)結(jié)構(gòu)

　　整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA 和Web Publisher。

　　核心系統(tǒng)跟CA 放在一個(gè)單獨(dú)的封閉空間中，為了保證運(yùn)行的絕對(duì)安全，其人員及制度都有嚴(yán)格的規(guī)定，并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)。CA 的功能是在收到來(lái)自RA 的證書(shū)請(qǐng)求時(shí)，頒發(fā)證書(shū)。

　　證書(shū)的登記機(jī)構(gòu)Register Authority，簡(jiǎn)稱RA，分散在各個(gè)網(wǎng)上銀行的地區(qū)中心。RA 與網(wǎng)銀中心有機(jī)結(jié)合，接受客戶申請(qǐng)，并審批申請(qǐng)，把證書(shū)正式請(qǐng)求通過(guò)建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA 中心。

　　證書(shū)的公布系統(tǒng)Web Publisher，簡(jiǎn)稱WP，置于Internet 網(wǎng)上，是普通用戶和CA 直接交流的界面。對(duì)用戶來(lái)講它相當(dāng)于一個(gè)在線的證書(shū)數(shù)據(jù)庫(kù)。用戶的證書(shū)由CA 頒發(fā)之后，CA 用E－mail 通知用戶， 然后用戶須用瀏覽器從這里下載證書(shū)。

　　3.網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)

　　網(wǎng)上支付平臺(tái)分為CTEC 支付體系（ 基于CTCA/GDCS） 和SET 支付體系（ 基于CTCA/SET） 。網(wǎng)上支付平臺(tái)支付型電子商務(wù)業(yè)務(wù)提供各種支付手段，包括基于SET 標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC 標(biāo)準(zhǔn)的各種支付手段。

　　支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間，其主要功能為：將公網(wǎng)傳來(lái)的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部的傳回來(lái)的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對(duì)其進(jìn)行加密。此外，支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書(shū)管理等其它功能。

　　三、電子商務(wù)信息安全中的其它問(wèn)題
　　
　　1.內(nèi)部安全

　　最近的調(diào)查表明， 至少有75% 的信息安全問(wèn)題來(lái)自內(nèi)部，在信用卡和商業(yè)詐騙中，內(nèi)部人員所占的比例最大；

　　2.惡意代碼

　　它們將繼續(xù)對(duì)所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅， 并且，其數(shù)量將隨著Internet 的發(fā)展和編程環(huán)境的豐富而增多，擴(kuò)散起來(lái)也更加便利，因此，造成的破壞也就越大；

　　3.可靠性差

　　目前，Internet 主干網(wǎng)和DNS 服務(wù)器的可靠性還遠(yuǎn)遠(yuǎn)不能滿足人們的要求， 而絕大部分撥號(hào)PPP 連接質(zhì)量并不可靠，且速度很慢；

　　4.技術(shù)人才短缺

　　由于Internet 和網(wǎng)絡(luò)購(gòu)物都是在近幾年得到了迅猛的發(fā)展，因而，許多地方都缺乏足夠的技術(shù)人才來(lái)處理其中遇到的各種問(wèn)題， 尤其是網(wǎng)絡(luò)購(gòu)物具有24 x 7（ 每天24 小時(shí)，每周7 天都能工作） 的要求，因而迫切需要有一大批專業(yè)技術(shù)人員對(duì)其進(jìn)行管理。如果說(shuō)加密技術(shù)是電子交易安全的“ 硬件”，那么人才問(wèn)題則可以說(shuō)是“ 軟件”。從某種意義上講，軟件的問(wèn)題解決起來(lái)可能更不容易，因此，技術(shù)人才的短缺可能成為阻礙網(wǎng)絡(luò)購(gòu)物發(fā)展的一個(gè)重要因素。

　　5.Web 服務(wù)器的保護(hù)意識(shí)差

　　在交易過(guò)程中對(duì)數(shù)據(jù)進(jìn)行保護(hù)只是保證交易安全的一個(gè)方面。由于交易的信息均存儲(chǔ)在服務(wù)器上，因此，即使保密信息被客戶端接收之后，也必須對(duì)存儲(chǔ)在服務(wù)器中的數(shù)據(jù)進(jìn)行保護(hù)。目前，Web 服務(wù)器是黑客們最喜歡攻擊的目標(biāo)。因此， 建議盡量不要將Web 服務(wù)和連接到任何內(nèi)部網(wǎng)絡(luò)，而且要定期對(duì)數(shù)據(jù)進(jìn)行備份， 以便于服務(wù)器被攻擊之后對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。當(dāng)然，這畢竟有些不太現(xiàn)實(shí)，現(xiàn)在許多流行的Web應(yīng)用都需要Web 服務(wù)器與公司的數(shù)據(jù)庫(kù)進(jìn)行交互式操作， 這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連，而這個(gè)連接也就成為黑客們從Web 站點(diǎn)侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通路。雖然防火墻技術(shù)有助于對(duì)web 站點(diǎn)進(jìn)行保護(hù)，但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護(hù)，因而沒(méi)有對(duì)Web 服務(wù)器進(jìn)行很好的保護(hù)，這是商家的Web 站點(diǎn)尤其要引起注意的地方。

　　四、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論

　　1．SSL 協(xié)議（ Secure Sockets Layer） 安全套接層協(xié)議———面向連接的協(xié)議。

　　SSL 協(xié)議主要是使用公開(kāi)密鑰體制和X.509 數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用Web Server 方式。但它是一個(gè)面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證， 而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成, SSL 協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

　　2.SET 協(xié)議（ Secure Electronic Transaction） 安全電子交易———專門(mén)為電子商務(wù)而設(shè)計(jì)的協(xié)議。由于SET 提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn)， 因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。雖然它在很多方面優(yōu)于SSL 協(xié)議，但仍然不能解決電子商務(wù)所遇到的全部問(wèn)題。

　　結(jié)束語(yǔ)

　　本文分析了目前電子商務(wù)的安全需求，使用的安全技術(shù)及仍存在的問(wèn)題，并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn)，但必須強(qiáng)調(diào)說(shuō)明的是，電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問(wèn)題，從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

　　

　�、� 姚立新，新世紀(jì)商務(wù):電子商務(wù)的知識(shí)發(fā)展與運(yùn)作，中國(guó)發(fā)展出版社，1999 年。

　　②《中國(guó)電子商務(wù)年鑒》2003 卷。

　�、� 陳海濱，企業(yè)電子營(yíng)銷發(fā)展對(duì)策淺析，湖南大學(xué)學(xué)報(bào)，2001 年。

　　④ 黃京華，《電子商務(wù)教程》，清華大學(xué)出版社，2006 年。

【淺議電子商務(wù)中的信息安全問(wèn)題】相關(guān)文章：

淺議情感因素在舞蹈表演中的重要性04-11

淺議西方文學(xué)中作家主體性的演變08-26

淺議中國(guó)藥典中苯甲酸鑒別試驗(yàn)08-07

淺析電子商務(wù)時(shí)代的信息管理與信息系統(tǒng)06-10

淺議民事再審程序06-04

智能住宅中的信息家電05-30

淺議核分析技術(shù)這門(mén)應(yīng)用科學(xué)在生命科學(xué)中的應(yīng)用08-02

淺議行政公益訴訟論文04-13

淺議對(duì)比語(yǔ)言學(xué)08-21

淺議集體違法的成因及對(duì)策06-04