電子商務(wù)的信息安全技術(shù)分析

【摘要】伴隨著信息安全風(fēng)險(xiǎn)的電子商務(wù)正在邁入快速發(fā)展的時(shí)代，電子商務(wù)信息安全的動(dòng)態(tài)過(guò)程，一定是系統(tǒng)安全狀態(tài)的動(dòng)態(tài)變化，并非一勞永逸，如何綜合應(yīng)用各類信息安全技術(shù)，本文將通過(guò)對(duì)電子商務(wù)信息安全技術(shù)的特點(diǎn)的分析，為電子商務(wù)的快速發(fā)展提供必要的理論依據(jù)。

【關(guān)鍵詞】電子商務(wù)；信息安全；安全技術(shù)

一、引言

現(xiàn)代信息技術(shù)的飛速發(fā)展使得電子商務(wù)成一種新的全世界范圍內(nèi)的商貿(mào)方式，電子商務(wù)成為一種具有鮮明時(shí)代特色的全新的經(jīng)濟(jì)運(yùn)行方式，并體現(xiàn)出平等競(jìng)爭(zhēng)、高效率、低成本、高質(zhì)量、透明化的貿(mào)易優(yōu)勢(shì)，培育了在激烈的市場(chǎng)競(jìng)爭(zhēng)中能夠把握商機(jī)、脫穎而出各貿(mào)易體，電子商務(wù)自其出現(xiàn)伊始就倍受業(yè)界青睞，在較短時(shí)期內(nèi)就以席卷之勢(shì)在世界范圍內(nèi)迅速蓬勃發(fā)展壯大了起來(lái)。

電子商務(wù)是集信息化、程序化和標(biāo)準(zhǔn)化的商務(wù)流程以及系統(tǒng)的安全和認(rèn)證的法律體系為一體的電子交易方式，以交易的雙方為主體，通過(guò)銀行的電子支付和結(jié)算作為手段，實(shí)現(xiàn)與傳統(tǒng)交易模式不同的全新商務(wù)模式。因此，電子商務(wù)的健康發(fā)展就必須解決其實(shí)施過(guò)程的商務(wù)文本產(chǎn)生、傳輸、確認(rèn)、生效、執(zhí)行等環(huán)節(jié)極其嚴(yán)峻的安全問(wèn)題，必須建立必要的信息安全保證，由此保證電子商務(wù)流程中的保密性、完整性、身份認(rèn)證、抗抵賴等安全問(wèn)題，如何保證因特網(wǎng)上商務(wù)交易信息安全，已成為發(fā)展電子商務(wù)的重要環(huán)節(jié)。

二、電子商務(wù)安全技術(shù)

目前，電子商務(wù)安全主要采用以下技術(shù)：

（一）數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密就是指對(duì)數(shù)據(jù)進(jìn)行變換編碼，使其看起來(lái)毫無(wú)意義，類似隨機(jī)的數(shù)據(jù)，同時(shí)仍保持其可恢復(fù)的形式。接收到的加密信息可以被解密，轉(zhuǎn)換成原來(lái)可理解的形式。這一概念是密碼學(xué)的基礎(chǔ)。密碼技術(shù)結(jié)合數(shù)學(xué)、計(jì)算機(jī)科學(xué)、電子與通信等諸多學(xué)科，不僅可以保證信息的機(jī)密性，而且可以保證信息的完整性和真實(shí)性，防止信息被篡改、偽造和假冒，具有數(shù)字簽名、身份認(rèn)證、秘密分存和系統(tǒng)安全等功能。一般的加密過(guò)程都是根據(jù)一個(gè)規(guī)則或者一個(gè)數(shù)學(xué)算法進(jìn)行，并且使用一個(gè)加密參數(shù)（密鑰）。有兩種主要的加密（編碼）方法，它們是組成最簡(jiǎn)單密碼的基礎(chǔ)。這兩種方法分別是換位和置換。

（二）信息隱藏技術(shù)

信息隱藏就是將秘密信息隱藏到一般的非秘密的文件中，從而不讓普通用戶發(fā)現(xiàn)的一種方法。它是把一個(gè)有意義的信息隱藏在另一個(gè)稱為載體的信息中得到隱蔽載體，非法者不知道這個(gè)普通信息中是否隱藏了其他的信息，而且即使知道也難以提取或去除隱藏的信息。信息隱藏不同于傳統(tǒng)的密碼學(xué)技術(shù)，密碼技術(shù)主要研究如何將機(jī)密信息進(jìn)行特殊的編碼，以形成不可識(shí)別的密文進(jìn)行傳遞，只能隱藏?cái)?shù)據(jù)的內(nèi)容，不能隱藏?cái)?shù)據(jù)的存在性；而信息隱藏則主要研究如何將某一機(jī)密信息隱藏于另一公開的信息中，然后通過(guò)公開信息的傳輸來(lái)傳遞機(jī)密信息，隱藏了數(shù)據(jù)的存在性，安全性更好。信息隱藏技術(shù)主要分為隱寫術(shù)和水印技術(shù)兩種。隱寫術(shù)的目的是在不引起任何懷疑的情況下秘密傳送消息，數(shù)字水印則是嵌入在數(shù)字產(chǎn)品中的信號(hào)，目的是進(jìn)行版權(quán)保護(hù)、所有權(quán)證明等。

（三）數(shù)據(jù)恢復(fù)技術(shù)

數(shù)據(jù)恢復(fù)就是把遭受到破壞或有硬件缺陷導(dǎo)致不可訪問(wèn)或不可獲得，或由于病毒、誤操作、意外事故等各種原因?qū)е聛G失的數(shù)據(jù)還原成正常數(shù)據(jù)的過(guò)程。數(shù)據(jù)恢復(fù)的目的即恢復(fù)數(shù)據(jù)本來(lái)的“面目”。數(shù)據(jù)恢復(fù)不僅可以對(duì)文件進(jìn)行恢復(fù)，還可以恢復(fù)物理?yè)p傷磁盤的數(shù)據(jù)，同樣，也可以恢復(fù)不同操作系統(tǒng)的數(shù)據(jù)。本質(zhì)上數(shù)據(jù)恢復(fù)也是從存儲(chǔ)介質(zhì)上讀取數(shù)據(jù)的過(guò)程，只不過(guò)采用常規(guī)的方法沒(méi)有效果，需要采用特殊的技術(shù)和方法。從原理上講，數(shù)據(jù)可以得到恢復(fù)二是數(shù)據(jù)在磁盤上是按照有序的方式組織起來(lái)的。在計(jì)算機(jī)取證過(guò)程中通常碰到的情況是證據(jù)所在的介質(zhì)被嫌疑人破壞了，或者因使用過(guò)久老化了，需要對(duì)其進(jìn)行數(shù)據(jù)恢復(fù)。

（四）入侵和入侵檢測(cè)信息源技術(shù)

電子商務(wù)安全的另一個(gè)特點(diǎn)就是要能夠?qū)崿F(xiàn)安全事件的詳細(xì)評(píng)估調(diào)查。入侵和入侵檢測(cè)信息源就是屬于網(wǎng)絡(luò)攻防的兩個(gè)主要方面。入侵檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程。入侵檢測(cè)集檢測(cè)、記錄和報(bào)警響應(yīng)于一體的動(dòng)態(tài)安全技術(shù)，也是一種主動(dòng)防御技術(shù)，其原理是通過(guò)收集網(wǎng)絡(luò)中的相關(guān)信息和數(shù)據(jù)并對(duì)其進(jìn)行分析，發(fā)現(xiàn)隱藏在其中的違反安全策略的行為和遭到入侵的痕跡，并作出相應(yīng)的響應(yīng)。入侵檢測(cè)最典型的應(yīng)用是是入侵檢測(cè)系統(tǒng)，專門用來(lái)實(shí)時(shí)或事后發(fā)現(xiàn)入侵活動(dòng)。

1.常見的入侵技術(shù)。從入侵者的角度出發(fā)，入侵的步驟可分為探測(cè)、攻擊和隱藏，入侵技術(shù)由此可以分為探測(cè)技術(shù)、攻擊技術(shù)和隱藏技術(shù)三大類。

探測(cè)是黑客在攻擊開始前必需的情報(bào)收集工作，攻擊者通過(guò)這個(gè)過(guò)程需要盡可能多的了解攻擊目標(biāo)安全相關(guān)的方方面面信息，以便能夠集中火力進(jìn)行攻擊。探測(cè)又可以分為三個(gè)基本步驟：踩點(diǎn)、掃描和查點(diǎn)。踩點(diǎn)指攻擊者結(jié)合各種工具和技巧，以正常合法的途徑對(duì)攻擊目標(biāo)進(jìn)行窺探，對(duì)其安全情況建立完整的剖析圖。掃描則是攻擊者獲取活動(dòng)主機(jī)、開放服務(wù)、操作系統(tǒng)、安全漏洞等關(guān)鍵信息的重要技術(shù)。查點(diǎn)是攻擊者常采用的從目標(biāo)系統(tǒng)中抽取有效賬號(hào)或?qū)С鲑Y源名的技術(shù)，獲取信息大體可以歸為網(wǎng)絡(luò)資源和共享資源、用戶和用戶組和服務(wù)器程序及其旗標(biāo)三類。

在攻擊階段，攻擊者通過(guò)探測(cè)階段掌握的有關(guān)攻擊目標(biāo)的安全情況會(huì)選擇不同的攻擊方法來(lái)達(dá)成其攻擊目的。攻擊方法層出不窮，一般將其歸為聽技術(shù)、欺騙技術(shù)、拒絕服務(wù)和數(shù)據(jù)驅(qū)動(dòng)攻擊等四類。竊聽技術(shù)指攻擊者通過(guò)非法手段對(duì)系統(tǒng)活動(dòng)的監(jiān)視從而獲得一些安全關(guān)鍵信息。欺騙技術(shù)是攻擊者通過(guò)冒充正常用戶以獲取對(duì)攻擊目標(biāo)訪問(wèn)權(quán)或獲取關(guān)鍵信息的攻擊方法。拒絕服務(wù)攻擊指中斷或者完全拒絕對(duì)合法用戶、網(wǎng)絡(luò)、系統(tǒng)和其他資源服務(wù)的攻擊方法。數(shù)據(jù)驅(qū)動(dòng)攻擊是通過(guò)向某個(gè)程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊。

2.入侵檢測(cè)信息源。入侵檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程。入侵檢測(cè)有很多種技術(shù)和方法，如安全審計(jì)、入侵檢測(cè)系統(tǒng)以及蜜罐系統(tǒng)等，最典型的是入侵檢測(cè)系統(tǒng)，專門用來(lái)實(shí)時(shí)或事后發(fā)現(xiàn)入侵活動(dòng)，數(shù)據(jù)源是入侵檢測(cè)分析的首要問(wèn)題。入侵檢測(cè)數(shù)據(jù)源主要有：（1）操作系統(tǒng)的審計(jì)記錄。操作系統(tǒng)審計(jì)記錄被認(rèn)為是入侵檢測(cè)的首選數(shù)據(jù)源，這是因?yàn)椋孩俨僮飨到y(tǒng)的審計(jì)系統(tǒng)在設(shè)計(jì)時(shí)，就考慮了審計(jì)記錄的結(jié)構(gòu)化組織工作以及對(duì)審計(jì)記錄內(nèi)容的保護(hù)機(jī)制，因此，操作系統(tǒng)審計(jì)記錄的安全性得到了較好的保護(hù)。②操作系統(tǒng)審計(jì)記錄提供了在系統(tǒng)內(nèi)核級(jí)的事件發(fā)生情況，反映的是系統(tǒng)底層的活動(dòng)情況并提供相關(guān)的詳盡信息，這為發(fā)現(xiàn)潛在的異常行為特征奠定良好的基礎(chǔ)。（2）系統(tǒng)日志記錄。系統(tǒng)使用日志機(jī)制記錄下主機(jī)上發(fā)生的事情，無(wú)論是對(duì)日常管理維護(hù)，還是對(duì)追蹤入侵者的痕跡都非常關(guān)鍵。日志可分為操作系統(tǒng)日志和應(yīng)用程序日志兩部分。（3）應(yīng)用程序的日志記錄。信息日益復(fù)雜化的系統(tǒng)設(shè)計(jì)，使得單純從內(nèi)核底層級(jí)別的數(shù)據(jù)來(lái)源來(lái)分析判斷當(dāng)前整個(gè)系統(tǒng)活動(dòng)的情況，變得越來(lái)越困難；同時(shí)，底層級(jí)別安全數(shù)據(jù)的規(guī)模也迅速膨脹，增加了分析的難度。此時(shí)，需要采用反映系統(tǒng)活動(dòng)的較高層次信息，例如應(yīng)用程序日志，作為分析檢測(cè)的數(shù)據(jù)源。應(yīng)用程序日志因?yàn)槭怯脩艏?jí)別的系統(tǒng)活動(dòng)抽象信息，所以更加容易理解和處理。其次，網(wǎng)絡(luò)化計(jì)算環(huán)境的普及，導(dǎo)致人侵攻擊行為的目標(biāo)越來(lái)越集中于提供網(wǎng)絡(luò)服務(wù)的各種特定應(yīng)用程序。同樣，采用應(yīng)用程序日志作為入侵檢測(cè)的輸人數(shù)據(jù)源，也存在著問(wèn)題和風(fēng)險(xiǎn)。首要的問(wèn)題是應(yīng)用程序的日志信息通常更易遭到惡意的攻擊，包括篡改和刪除等操作。其次，盡管很多操作系統(tǒng)提供應(yīng)用程序級(jí)別的審計(jì)功能，但是很多特定的應(yīng)用程序中并不包括這些審計(jì)特性，或者是審計(jì)功能并沒(méi)有提供足夠詳細(xì)的信息。最后，特定應(yīng)用程序同樣存在是否值得信賴的問(wèn)題，等等。（4）基于網(wǎng)絡(luò)數(shù)據(jù)的信息源。通過(guò)監(jiān)聽的方式進(jìn)行，網(wǎng)絡(luò)信息可以很容易獲取。

（五）網(wǎng)絡(luò)安全技術(shù)

完整的電子商務(wù)系統(tǒng)應(yīng)建立在安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上。網(wǎng)絡(luò)安全所涉及技術(shù)比較多，如操作系統(tǒng)安全、防火墻技術(shù)、虛擬專用網(wǎng)技術(shù)和各種反黑客技術(shù)及漏洞檢測(cè)技術(shù)等。其中最重要的是防火墻技術(shù)。防火墻是指一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使因特網(wǎng)與因特網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。

三、結(jié)束語(yǔ)

電子商務(wù)交易手段已經(jīng)多樣化，電子商務(wù)發(fā)展面臨的問(wèn)題較為復(fù)雜，其安全面臨著巨大的挑戰(zhàn)。信息安全技術(shù)已經(jīng)越來(lái)越多地被應(yīng)用到電子商務(wù)安全中，加強(qiáng)信息安全立法和提高從業(yè)人員素質(zhì)是保障電子商務(wù)安全所必需的，應(yīng)該引起本行業(yè)的高度重視。

參考文獻(xiàn)

[1]蔣燁.計(jì)算機(jī)主機(jī)隱秘信息取證技術(shù)的研究[D]，上海交通大學(xué)，2008

[2]田樂(lè).計(jì)算機(jī)單機(jī)取證系統(tǒng)中的安全性研究[D]，電子科技大學(xué)，2009

[3]張作林，陳建華.基于區(qū)域的信息隱藏技術(shù)[J]福建電腦，2005

[4]劉愫衛(wèi).數(shù)據(jù)恢復(fù)技術(shù)及其實(shí)踐研究[J].科技信息，2006

[5]賴滇.一種新的入侵檢測(cè)系統(tǒng)遠(yuǎn)程管理安全技術(shù)[J].計(jì)算機(jī)工程，2007

作者簡(jiǎn)介

龍愛民（1968.07-），男，漢族，甘肅慶陽(yáng)人，本科，研究方向：職業(yè)技術(shù)教學(xué)研究與管理，現(xiàn)任職于長(zhǎng)慶油田培訓(xùn)中心講師。