[摘 要] 隨著網(wǎng)絡(luò)的迅速發(fā)展,越來越多的人使用互聯(lián)網(wǎng)。電子商務(wù)在各行業(yè)實(shí)踐中得到了很好效果,但也還存在很多網(wǎng)絡(luò)安全問題。文章從電子商務(wù)安全隱患分析,結(jié)合網(wǎng)絡(luò)自身技術(shù)問題,對電子商務(wù)中的網(wǎng)絡(luò)安全問題進(jìn)行了分析,提出了相應(yīng)的解決對策。
[關(guān)鍵詞] 電子商務(wù) 安全隱患 防范技術(shù)
一、引言
隨著INTERNET技術(shù)不斷進(jìn)步,網(wǎng)絡(luò)已經(jīng)深入社會的各個領(lǐng)域,電子商務(wù)已經(jīng)成為人們進(jìn)行商務(wù)活動的一種模式,越來越多的人通過Internet進(jìn)行商務(wù)活動。然而,隨著網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,信息資源結(jié)構(gòu)越加復(fù)雜,人們在充分享受互聯(lián)網(wǎng)帶來極大便利的同時,如何建立一個安全便捷的電子商務(wù)應(yīng)用環(huán)境、對信息提供足夠的保護(hù),已經(jīng)成為商家和用戶都十分關(guān)心的話題。
電子商務(wù)的一個重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息。通過這一技術(shù)特征很容易知道,電子商務(wù)的安全問題從整體上看實(shí)際上包含兩大問題:計(jì)算機(jī)網(wǎng)絡(luò)安全問題和商務(wù)交易安全問題,由于交易過程中還是涉及到網(wǎng)絡(luò),因此,最終的問題還是網(wǎng)絡(luò)安全問題。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)信息安全等。商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題,在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上,保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等,達(dá)到商務(wù)活動的目的。
二、現(xiàn)代電子商務(wù)安全中存在的安全隱患
電子商務(wù)隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展而誕生,其各方面的技術(shù)本身還不很完善。綜合分析,在商務(wù)活動中還存在很多安全隱患,其表現(xiàn)形式無非如下幾種類型。
1.網(wǎng)絡(luò)系統(tǒng)軟件自身及數(shù)據(jù)庫設(shè)計(jì)中的安全問題
一方面,網(wǎng)絡(luò)系統(tǒng)軟件自身安全與否直接關(guān)系網(wǎng)絡(luò)安全,網(wǎng)絡(luò)系統(tǒng)軟件的安全功能較少或不全,以及系統(tǒng)設(shè)計(jì)時的疏忽或考慮不周而留下的“破綻”,都等于給危害網(wǎng)絡(luò)安全的因素留下許多“后門”。另一方面,信息數(shù)據(jù)是存放在數(shù)據(jù)庫中的,供不同的用戶來共享。數(shù)據(jù)庫設(shè)計(jì)過程中本身也有它的安全性和危險(xiǎn)性,如授權(quán)用戶超出了他們的訪問權(quán)限進(jìn)行更改活動;非法用戶繞過安全內(nèi)核,竊取、篡改信息資源等。
2.傳輸線路的安全與質(zhì)量問題
從安全的角度來說,沒有絕對安全的通信線路。同時,無論采用何種傳輸線路,當(dāng)線路的通信質(zhì)量不好時,將直接影響連網(wǎng)效果,嚴(yán)重的時候甚至導(dǎo)致網(wǎng)絡(luò)中斷,這就會嚴(yán)重地危害通信數(shù)據(jù)的完整性。
3.網(wǎng)絡(luò)管理問題
三分技術(shù),七分管理,說明了管理有網(wǎng)絡(luò)中的重要性,網(wǎng)絡(luò)安全問題實(shí)質(zhì)上首先是個管理問題,然后才是技術(shù)問題。一方面,用戶要對各種安全設(shè)備進(jìn)行合理操作,否則,再好的設(shè)備也不會安全。另一方面,網(wǎng)絡(luò)又由各種服務(wù)器、工作站、終端等群集組成,所以整個網(wǎng)絡(luò)天然地繼承了它們各自的安全隱患。隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的深入,網(wǎng)絡(luò)覆蓋面越來越大,網(wǎng)絡(luò)上信息的安全性越來越重要,網(wǎng)絡(luò)安全管理也將成為網(wǎng)絡(luò)管理中的重要領(lǐng)域。
4.交易抵賴
這是一個純商務(wù)活動中的安全問題,現(xiàn)實(shí)世界這種現(xiàn)象也普遍存在,例如購買者做了定貨單不承認(rèn);商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易等。
5.其他威脅網(wǎng)絡(luò)安全的典型因素
計(jì)算機(jī)黑客、內(nèi)部人員監(jiān)守自盜、部分對整體的安全威脅、程序共享造成的沖突、計(jì)算機(jī)病毒等都是威脅網(wǎng)絡(luò)安全的重要因素。
通過上述分析,可以得知電子商務(wù)安全的任務(wù)是解決好如下一些問題:身份認(rèn)證(持卡者、商家、銀行);有效性;機(jī)密性;完整性;抗抵賴性。
三、電子商務(wù)安全策略分析
1.網(wǎng)絡(luò)防范技術(shù)
(1)反病毒技術(shù)。反病毒技術(shù)包括病毒預(yù)防、病毒檢測、病毒消除三種。具體實(shí)現(xiàn)方法是對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測,傳統(tǒng)的防病毒軟件對因特網(wǎng)上不斷出現(xiàn)的新型病毒,傳統(tǒng)的反病毒軟件顯得蒼白無力,為此,許多網(wǎng)絡(luò)安全專家和計(jì)算機(jī)公司紛紛推出新的病毒防范產(chǎn)品,這些產(chǎn)品能夠及時監(jiān)視通過因特網(wǎng)傳入計(jì)算機(jī)的數(shù)據(jù),正確判斷數(shù)據(jù)攜帶的病毒并將病毒殺除,有效地防止病毒從因特網(wǎng)感染到計(jì)算機(jī)上。
(2)防火墻技術(shù)。防火墻是上廣泛應(yīng)用的一種安全措施,是指設(shè)在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全設(shè)備之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之問信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制允許、拒絕、監(jiān)測出人網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。從某種意義上來說,防火墻實(shí)際上代表了一個網(wǎng)絡(luò)的訪問原則,確定哪些類型的信息允許通過防火墻,哪些類型的信息不允許通過防火墻。防火墻的職責(zé)就是根據(jù)本單位的安全策略,對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的信息進(jìn)行檢查,確定是否通行。
(3)加密技術(shù)。加密技術(shù)是一種主動的防御技術(shù),其基本思想是通過對數(shù)據(jù)進(jìn)行加密變換,將其轉(zhuǎn)換成非法入侵者無法識別的字符來保障網(wǎng)絡(luò)安全。目前主要存在兩種加密技術(shù);一種是對稱加密,其實(shí)現(xiàn)算法是AES,另一種是非對稱加密,算法主要是RAR。加密技術(shù)是非常重要的安全技術(shù),可以確保信息的保密性和完整性,而且是消息摘要、數(shù)字簽名等安全技術(shù)的技術(shù)基礎(chǔ)。
(4)入侵檢測技術(shù)。入侵檢測技術(shù)對系統(tǒng)資源的非授權(quán)使用做出及時地判斷、記錄和報(bào)警,檢測系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。檢測時通過對系統(tǒng)中用戶行為或者系統(tǒng)行為的可疑程度進(jìn)行評估,并根據(jù)評價(jià)結(jié)果來鑒別系統(tǒng)中行為的正常性,幫助管理員進(jìn)行安全管理或?qū)ο到y(tǒng)所受到的攻擊采取相應(yīng)的對策。
(5)虛擬專用網(wǎng)(VPN)技術(shù)。虛擬專用網(wǎng)技術(shù)是通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常,VPN是對公司內(nèi)部網(wǎng)的擴(kuò)展,通過它可以幫助遠(yuǎn)程用戶,公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)絡(luò)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN實(shí)現(xiàn)的兩個關(guān)系技術(shù)是隧道技術(shù)和加密技術(shù)。
2.SET協(xié)議:安全電子交易
針對電子商務(wù)目前存在的很多技術(shù)缺陷,VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的電子交易規(guī)范SET協(xié)議。SET能在電子交易環(huán)節(jié)上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。
SET規(guī)范為在Internet上進(jìn)行安全的電子商務(wù)提供了一個開放的標(biāo)準(zhǔn),SET綜合使用私用密鑰加密和公用密鑰加密的電子認(rèn)證技術(shù),其認(rèn)證過程使用RSA和DES算法,因此,可以為電子商務(wù)提供很強(qiáng)的安全保護(hù)。
SET規(guī)范是目前電子商務(wù)中最重要的協(xié)議,SET得到了美國IT企業(yè)的支持,如GTE、IBM、Microsoft、Netscape、RSA、SAIC、Terisa 和VeriSign。
3.安全管理
前面電子商務(wù)安全隱患中已經(jīng)提出過,網(wǎng)絡(luò)安全問題歸根結(jié)底還是屬于人的問題,即管理問題,一些資料顯示,網(wǎng)絡(luò)安全中人為因素是最重要的信息安全威脅。另據(jù)統(tǒng)計(jì),已識別的信息安全缺陷中有很多是由人為因素引起的。但是,人們往往關(guān)注技術(shù)方面的研究,并取得了顯著的成果,而對人為因素的研究甚少。即使對信息安全中的人的因素進(jìn)行研究那也只是作為一個影響因素進(jìn)行簡單的分類,并沒有對其進(jìn)行深層次的分析。事實(shí)上,無論技術(shù)發(fā)展如何完善,它也離不開人的操作還需要人來設(shè)計(jì)、制造、配置、組織、管理、維修、訓(xùn)練和調(diào)整等,怎樣組建一批強(qiáng)有力的網(wǎng)絡(luò)管理隊(duì)伍顯得極為重要。
四、結(jié)束語
計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全實(shí)際上是密不可分的,兩者相輔相成,缺一不可。沒有計(jì)算機(jī)網(wǎng)絡(luò)安全作為基礎(chǔ),商務(wù)交易安全就猶如空中樓閣,無從談起。沒有商務(wù)交易安全保障,即使計(jì)算機(jī)網(wǎng)絡(luò)本身再安全,仍然無法達(dá)到電子商務(wù)所特有的安全要求。網(wǎng)絡(luò)技術(shù)不斷向前發(fā)展,網(wǎng)絡(luò)安全的研究任務(wù)任重道遠(yuǎn),怎樣創(chuàng)建一個干凈、良好的網(wǎng)絡(luò)環(huán)境,為電子商務(wù)的發(fā)展提供高效的平臺基礎(chǔ)將是今后相當(dāng)長一段時間內(nèi)研究的課題。
參考文獻(xiàn):
[1]張 稼 葉毓峰:電子商務(wù)中安全問題分析[J].廣東科技,2007.04.總第166期46
[2]閆海英 黃 波:網(wǎng)絡(luò)安全現(xiàn)狀分析及應(yīng)對策略探討[J].計(jì)算機(jī)科學(xué),2008vol.35NO.4A321~322
[3]隆文超:電子商務(wù)安全技術(shù)研究[J].商場現(xiàn)代化,2008年1月(中旬刊)總第527期191~192
[4]Prabhaker,Mateti.A laboratory-based course on internet se2curity.ACM SIGCSE Bulletin(January 2003)
[5]段云所 魏仕民 唐禮勇 陳 鐘:信息安全概論[M].高等教育出版社,2005.11