電子商務(wù)的信息安全技術(shù)研究

王海濤

摘要:電子商務(wù)的信息安全問題一直是困擾網(wǎng)民的問題,文章主要從電子商務(wù)的信息安全問題進(jìn)行探討,分析了信息的安全要素和安全技術(shù),探討了影響信息安全技術(shù)的對(duì)策。此外,文章認(rèn)為國(guó)家應(yīng)有相關(guān)的電子商務(wù)CA管理中心,充分發(fā)揮政府在電子商務(wù)發(fā)展中的主導(dǎo)作用,在電子商務(wù)的建設(shè)和采購(gòu)中務(wù)必考慮安全因素,加強(qiáng)各部門之間的協(xié)調(diào)和配合。

關(guān)鍵詞:電子商務(wù);信息安全;安全技術(shù);安全要素

中圖分類號(hào):TP399

文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1009-2374(2009)18-0106-02

最新網(wǎng)絡(luò)民意調(diào)查表明,電子商務(wù)網(wǎng)站越來越容易受到黑客的攻擊。這一調(diào)查的依據(jù)是,在美國(guó)的許多商業(yè)網(wǎng)點(diǎn)上,成百上千的用戶信用卡密碼被黑客非法獲取。負(fù)責(zé)這一調(diào)查的NCIPHER公司表示:并沒有證據(jù)表明,這些黑客是用相同方式破網(wǎng)作案的,但這說明商業(yè)網(wǎng)站的確很容易受到攻擊。

怎樣看待電子商務(wù)的安全問題?安全不是一個(gè)純技術(shù)的概念,沒有絕對(duì)的安全。安全是有成本和代價(jià)的,要采取安全措施不光會(huì)帶來不方便的地方,可能會(huì)帶來成本和代價(jià)。在2000年中國(guó)人民銀行出了一本信息安全保障的規(guī)范,里面明確提到在人民銀行這個(gè)系統(tǒng)建設(shè)里面,應(yīng)該投入10%的經(jīng)費(fèi)。這是國(guó)內(nèi)第一個(gè)行業(yè)主管部門發(fā)布明確的定額10%。系統(tǒng)的重要性不一樣,有的需要投入15%甚至50%的經(jīng)費(fèi),有的可能只能投入百分之幾,而且可能有很多的電子商務(wù)網(wǎng)站投入遠(yuǎn)遠(yuǎn)不到10%,甚至很多安全措施都沒有跟上去。安全是發(fā)展的、動(dòng)態(tài)的。包括病毒、攻擊措施,不可能一蹴而就。

一、電子商務(wù)

電子商務(wù)源于英文ELECTRONIC COMMERCE,指的是利用簡(jiǎn)單、快捷、低成本的電子通訊方式,買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)。電子商務(wù)可通過多種電子通訊方式來完成。但現(xiàn)在人們所探討的電子商務(wù)主要是以EDI(電子數(shù)據(jù)交換)和INTERNET來完成的。作為一種新型的商務(wù)模式,電子商務(wù)具有普遍性、方便性、整體性、安全性、協(xié)調(diào)性等特征。

EDI(Electronic Data Interchange)于20世紀(jì)60年代末期產(chǎn)生于美國(guó),是指將業(yè)務(wù)文件按一個(gè)公認(rèn)的標(biāo)準(zhǔn)從一臺(tái)計(jì)算機(jī)傳輸?shù)搅硪慌_(tái)計(jì)算機(jī)上去的電子傳輸方法。由于EDI大大減少了紙張票據(jù),因此,人們也形象地稱之為“無紙貿(mào)易”或“無紙交易”。

從貿(mào)易活動(dòng)的角度分析,電子商務(wù)可以在多個(gè)環(huán)節(jié)實(shí)現(xiàn),由此也可以將電子商務(wù)分為兩個(gè)層次,較低層次的電子商務(wù)如電子商情、電子貿(mào)易、電子合同等;最完整也是最高級(jí)的電子商務(wù)是利用INTENET網(wǎng)絡(luò)進(jìn)行全部的貿(mào)易活動(dòng),即在網(wǎng)上將信息流、商流、資金流和部分的物流完整地實(shí)現(xiàn),即你可以從尋找客戶開始,一直到洽談、訂貨、在線付(收)款、開據(jù)電子發(fā)票以至到電子報(bào)關(guān)、電子納稅等通過INTERNET一氣呵成。作為一種商務(wù)活動(dòng)過程,電子商務(wù)將帶來一場(chǎng)史無前例的革命。其對(duì)社會(huì)經(jīng)濟(jì)的作用遠(yuǎn)遠(yuǎn)超過商務(wù)的本身,并將對(duì)就業(yè)、法律制度以及文化教育等帶來巨大的影響。電子商務(wù)會(huì)將人類真正帶入信息社會(huì)。

二、安全要素

電子商務(wù)主要的安全要素包括:

1.有效性,保證電子形式的貿(mào)易信息的有效性是開展電子商務(wù)的前提。

2.機(jī)密性,電子商務(wù)建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上,維護(hù)商業(yè)機(jī)密是其全面推廣應(yīng)用的重要保障。

3.完整性,由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略,保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。

4.可靠性/不可抵賴性/鑒別,在無紙化的EC方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。

5.審查能力,根據(jù)機(jī)密性和完整性的要求,應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄。

三、安全技術(shù)

電子商務(wù)技術(shù)方面缺乏統(tǒng)一規(guī)范,國(guó)際標(biāo)準(zhǔn)有17000多個(gè),IF的標(biāo)準(zhǔn)有3000多個(gè),而真正在電子商務(wù)里面的標(biāo)準(zhǔn)遠(yuǎn)遠(yuǎn)不夠,還需要開發(fā)。管理混亂、政出多門、法律法規(guī)不夠健全、電子簽章法沒有出臺(tái),網(wǎng)上出了問題怎么辦?如郵件攻擊、網(wǎng)站上信用卡號(hào)被盜。安全方面是主要問題。安全保證措施是個(gè)問題,跟直接投入成本和相應(yīng)的技術(shù)措施都有關(guān)系。我們不可能用比我們的資產(chǎn)價(jià)值更高的代價(jià)來做安全保護(hù)。

電子商務(wù)在應(yīng)用過程中主要有以下的安全技術(shù)及相關(guān)標(biāo)準(zhǔn)規(guī)范:(1)加密技術(shù);(2)密鑰管理技術(shù);(3)數(shù)字簽名;(4)Internet電子郵件的安全協(xié)議;(5)Internet主要的安全協(xié)議;(6)UN/EDIFACT的安全;(7)安全電子交易規(guī)范(SET)。

安全是一個(gè)全局的問題,一個(gè)產(chǎn)品是不能夠完全解決一個(gè)整體的安全方案,必須由不同層次的產(chǎn)品來解決不同的安全問題。鏈路層的加密機(jī),網(wǎng)絡(luò)層的防火墻和VPN(虛擬專用網(wǎng)),應(yīng)用層的認(rèn)證、授權(quán),以及防病毒、安全監(jiān)測(cè)、安全審計(jì)和安全管理等機(jī)制是不可能在一個(gè)產(chǎn)品中全部實(shí)現(xiàn)。因此,整體的安全方案必須要經(jīng)過系統(tǒng)的、完整的和統(tǒng)一的方案設(shè)計(jì)。

CA認(rèn)證中心(CA,Certification Authority)安全性問題,是電子商務(wù)里面解決可信問題的關(guān)鍵設(shè)施。在我們國(guó)家建立CA的時(shí)候,會(huì)出現(xiàn)好多問題,沒有和銀行結(jié)合起來,沒有得到銀行的認(rèn)可。中國(guó)電子商務(wù)標(biāo)準(zhǔn)化方面很缺乏。國(guó)家沒有電子商務(wù)關(guān)于CA的要求等等,包括信息的披露等。在我們國(guó)家電子政務(wù)里面堅(jiān)決采用SSL,能不能得到國(guó)家和銀行的支持這也是一個(gè)問題,有它的局限性。CA設(shè)備的安全性,現(xiàn)在國(guó)家的設(shè)備或者是自己研發(fā),或者地方采購(gòu)的,電子商務(wù)網(wǎng)站和用戶,采取國(guó)家安全機(jī)構(gòu)檢測(cè)的產(chǎn)品,可以放心的對(duì)設(shè)備的安全性進(jìn)行驗(yàn)證。

公鑰基礎(chǔ)設(shè)施——PKI(Public-key Infrastructure)是解決信任和加密問題的基本解決方案。PKI的本質(zhì)就是實(shí)現(xiàn)了大規(guī)模網(wǎng)絡(luò)中的公鑰分發(fā)問題,建立了大規(guī)模網(wǎng)絡(luò)中的信任基礎(chǔ)。公鑰加密技術(shù)的發(fā)明使得互不相識(shí)的兩個(gè)人(或主體)可以安全地通信。在規(guī)模不大的網(wǎng)絡(luò)或較為封閉的網(wǎng)絡(luò)中,通信主體可以通過KDC這一類的密鑰分發(fā)或管理中心可靠地獲得通信對(duì)方的公鑰,即通過KDC和協(xié)議可以實(shí)現(xiàn)安全的公鑰分發(fā)。但是在較大規(guī)模的網(wǎng)絡(luò)環(huán)境中,特別是在Internet環(huán)境下,KDC不再適用,因而這種環(huán)境下的公鑰分發(fā)問題成為最突出的問題。可靠地獲得通信對(duì)方的公鑰的問題在網(wǎng)絡(luò)環(huán)境下就是信任的問題,因而大規(guī)模網(wǎng)絡(luò)中最突出的問題也就是信任的問題。PKI的本質(zhì)就是實(shí)現(xiàn)了大規(guī)模網(wǎng)絡(luò)中的公鑰分發(fā)問題,建立了大規(guī)模網(wǎng)絡(luò)中的信任基礎(chǔ)。

四、結(jié)語(yǔ)

提高服務(wù)的安全性,一直是影響電子商務(wù)的發(fā)展的瓶頸。一旦問題無法解決,電子商務(wù)就成了純粹的電子廣告而無法將商場(chǎng)搬到里面,許多東西我們無法看到,更談不上交易。降低成本,包括硬件成本、通信成本核計(jì)算成本。國(guó)家應(yīng)該有相關(guān)的電子商務(wù)CA管理中心,充分發(fā)揮政府在電子商務(wù)發(fā)展中的主導(dǎo)作用,以小政府、大社會(huì)的方式規(guī)范和管理CA的發(fā)展,在電子商務(wù)的建設(shè)和采購(gòu)中務(wù)必考慮安全因素,加強(qiáng)各部門之間的協(xié)調(diào)和配合。電子商務(wù)管理體系應(yīng)具備的特點(diǎn):與經(jīng)濟(jì)體制的一致性,與信息安全保密管理的一致性,與經(jīng)濟(jì)安全監(jiān)督的一致性,與信用體制的一致性。政府在電子商務(wù)中應(yīng)發(fā)揮以下作用:政策引導(dǎo)、密碼控制、交易監(jiān)督。

參考文獻(xiàn)

[1]鄭凱永.電子商務(wù)的信息安全技術(shù)研究[J].現(xiàn)代商業(yè),2008,(12).

[2]閆維哲.電子商務(wù)中的信息安全研究[J].市場(chǎng)現(xiàn)代化,2009.

[4]傅少,張文杰,馬軍.電子商務(wù)風(fēng)險(xiǎn)分析及定性評(píng)估方法研究[J].情報(bào)雜志,2005,(5).

[5]詹雪,汪文俊.論電子商務(wù)的信息安全技術(shù)[J].科技信息,2008,(10).