摘要：伴隨著電子商務(wù)的廣泛應(yīng)用，電子商務(wù)的安全問題愈加突出和亟待解決。本文就電子商務(wù)活動(dòng)中的安全問題分析了現(xiàn)在流行的信息安全框架,并對(duì)信息安全的關(guān)鍵技術(shù)進(jìn)行了探討。

一、引言

電子商務(wù)即EC(Electronic Commerce)，簡(jiǎn)單講就是利用先進(jìn)的電子技術(shù)進(jìn)行商務(wù)活動(dòng)的總稱。電子商務(wù)包括兩個(gè)方面：一是商務(wù)活動(dòng);二是電子化手段?，F(xiàn)代電子商務(wù)是基于Internet技術(shù)的新型的商務(wù)活動(dòng)，是21世紀(jì)市場(chǎng)經(jīng)濟(jì)商務(wù)運(yùn)行的主要模式。由于Internet的全球性和開放性，不受時(shí)間和空間的限制，給電子商務(wù)交易帶來了種種不安全因素。網(wǎng)絡(luò)上的信息安全問題已成為影響電子商務(wù)發(fā)展的重要因素之一。因此，研究在開放的網(wǎng)絡(luò)環(huán)境下電子商務(wù)安全問題就變的非常地迫切和重要了。

二、安全問題

1.安全問題

由于電子商務(wù)是在開放的網(wǎng)絡(luò)上進(jìn)行的貿(mào)易,其支付信息、訂貨信息、談判信息、機(jī)密的商務(wù)往來文件等大量商務(wù)信息在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存放、傳輸和處理,所以,網(wǎng)絡(luò)系統(tǒng)中信息安全技術(shù)成為電子商務(wù)安全交易的技術(shù)支撐。網(wǎng)絡(luò)信息所面臨的威脅來自許多方面,并且在不斷發(fā)生著變化。其中最常見的有非法訪問、惡意攻擊、計(jì)算機(jī)病毒以及其它方面如物理損壞、人與自然災(zāi)難等。

2.安全要素

(1)完整性。完整性指數(shù)據(jù)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，也就是要求保持信息的原樣，要預(yù)防對(duì)信息的隨意生成、修改、偽造、插入和刪除，同時(shí)要防止數(shù)據(jù)傳輸過程中的丟失、亂序和重復(fù)。

(2)機(jī)密性。機(jī)密性是指網(wǎng)絡(luò)信息只為授權(quán)用戶所用，不會(huì)泄露給未授權(quán)的第三方的特性。要保證信息的機(jī)密性，需要防止入侵者侵入系統(tǒng)，對(duì)機(jī)密信息需先經(jīng)過加密處理，再送到網(wǎng)絡(luò)中傳輸。

(3)不可否認(rèn)性。不可否認(rèn)性也即不可抵賴性是指所有參與者都不可能否認(rèn)和抵賴曾經(jīng)完成的操作。要求在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)和國家提供可靠的標(biāo)識(shí)，使信息發(fā)送者在發(fā)送數(shù)據(jù)后不能抵賴，而接受方接受數(shù)據(jù)后也不能否認(rèn)。

(4)真實(shí)性。真實(shí)性是指商務(wù)活動(dòng)中交易信息的真實(shí)，包括交易者身份的真實(shí)性，也就是確保網(wǎng)上交易的對(duì)象是真實(shí)存在的，而不是虛假或偽造的，也包括交易信息自身的真實(shí)性。

(5)可用性。可用性就是確保信息及信息系統(tǒng)能夠?yàn)槭跈?quán)使用者所正常使用。

(6)可靠性。可靠性是指電子商務(wù)系統(tǒng)的可靠性，在遇到自然災(zāi)害、硬件故障、軟件錯(cuò)誤、計(jì)算機(jī)病毒等情況下，仍能確保系統(tǒng)安全、可靠地運(yùn)行。

三、信息安全框架

信息安全的內(nèi)涵是在不斷地發(fā)展和變化的。一般信息安全是從兩個(gè)方面進(jìn)行描述:一種是從信息安全所涉及的安全屬性的角度進(jìn)行描述，涉及了機(jī)密性、完整性、可用性等。這些安全屬性是保障電子商務(wù)交易的安全要素。另一種是從信息安全所涉及層面的角度進(jìn)行描述，信息安全被認(rèn)為是一個(gè)由物理安全、運(yùn)行安全、數(shù)據(jù)安全和內(nèi)容安全組成的四層模型。伴隨著Internet的發(fā)展，信息對(duì)抗引起了人們的重視，被引入了信息安全領(lǐng)域。信息對(duì)抗研究的內(nèi)容是信息真實(shí)性的保護(hù)和破壞，信息對(duì)抗討論如何從多個(gè)角度或側(cè)面來獲得信息并分析信息，或者在信息無法隱藏的前提下，通過增加更多的無用信息來擾亂獲取者的視線，以掩藏真實(shí)信息所反映的含義。從本質(zhì)上來看，信息對(duì)抗屬于信息利用的安全。由此，在信息安全模型中增加了信息對(duì)抗這個(gè)層次。

基于信息安全的作用點(diǎn)，可以將信息安全看作是由三個(gè)層次、五個(gè)層面所構(gòu)成的層次框架體系，在每個(gè)層面中各自反映了在該層面中所涉及的信息安全的屬性。

其中，系統(tǒng)安全反映的信息系統(tǒng)所面臨的安全問題，包括物理安全和運(yùn)行安全，物理安全是指網(wǎng)絡(luò)與信息系統(tǒng)的硬件安全；運(yùn)行安全是指網(wǎng)絡(luò)與信息系統(tǒng)中的軟件安全。狹義的“信息安全”問題是信息自身面臨的安全問題，包括數(shù)據(jù)安全和內(nèi)容安全，數(shù)據(jù)安全以保護(hù)數(shù)據(jù)不受外界的侵?jǐn)_為目的，內(nèi)容安全是指對(duì)信息在網(wǎng)絡(luò)內(nèi)流動(dòng)中的選擇性阻斷，以保證信息流動(dòng)的可控能力。信息對(duì)抗是指在信息的利用過程中，對(duì)信息的真實(shí)性的隱藏與保護(hù)，或者攻擊與分析。

四、安全技術(shù)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展和應(yīng)用，網(wǎng)絡(luò)信息安全技術(shù)也在不斷地發(fā)展?，F(xiàn)階段已采用了多種安全技術(shù)保護(hù)信息的安全，如：訪問控制、數(shù)據(jù)加密、入侵檢測(cè)、用戶授權(quán)與認(rèn)證等。

1.訪問控制

訪問控制是指對(duì)網(wǎng)絡(luò)中的某些資源的訪問要進(jìn)行控制，只有被授予特權(quán)的用戶才有資格并有可能去訪問有關(guān)的數(shù)據(jù)或程序。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證資源不被非法使用和非法訪問。常用的訪問控制技術(shù)有：入網(wǎng)訪問控制，網(wǎng)絡(luò)的權(quán)限控制，目錄級(jí)安全控制，防火墻控制，網(wǎng)絡(luò)服務(wù)器控制，網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制等。

2.加密技術(shù)

加密技術(shù)是認(rèn)證技術(shù)及其他許多安全技術(shù)的基礎(chǔ)。加密技術(shù)是一種主動(dòng)的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和公用密鑰體制兩種。相應(yīng)地，對(duì)數(shù)據(jù)加密的技術(shù)分為兩類，即對(duì)稱加密(私人密鑰加密)和非對(duì)稱加密(公開密鑰加密)。對(duì)稱加密以DES算法為典型代表，非對(duì)稱加密通常以RSA算法為代表。

3.防火墻技術(shù)

防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法,實(shí)際上是一種隔離技術(shù),是安全網(wǎng)絡(luò)(被保護(hù)的內(nèi)網(wǎng))與非安全網(wǎng)絡(luò)(外部網(wǎng)絡(luò))之間的一道屏障,以預(yù)防發(fā)生不可預(yù)測(cè)的、潛在的網(wǎng)絡(luò)入侵。

防火墻可以根據(jù)網(wǎng)絡(luò)安全水平和可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對(duì)獨(dú)立的子網(wǎng)，兩側(cè)間的通信受到防火墻的檢查控制；可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過，同時(shí)將安全策略不允許的用戶與數(shù)據(jù)包隔斷，達(dá)到保護(hù)高安全等級(jí)的子網(wǎng)、防止墻外黑客的攻擊、限制入侵蔓延等目的。但是，防火墻不能阻止來自用戶網(wǎng)絡(luò)內(nèi)部的攻擊。

4.入侵檢測(cè)技術(shù)

入侵檢測(cè)是通過監(jiān)控網(wǎng)絡(luò)與系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況，來檢測(cè)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對(duì)系統(tǒng)進(jìn)行入侵的企圖，在發(fā)現(xiàn)入侵后，及時(shí)采取相應(yīng)的措施來阻止入侵活動(dòng)的進(jìn)一步破壞，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

入侵檢測(cè)不僅可以檢測(cè)外部入侵，而且對(duì)內(nèi)部的濫用行為也有很好的檢測(cè)能力。

5.虛擬專用網(wǎng)

虛擬專用網(wǎng)(Virtual Private Network VPN)技術(shù)是一種在公用互聯(lián)網(wǎng)絡(luò)上構(gòu)造專用網(wǎng)絡(luò)的技術(shù)。將物理上分布在不同地點(diǎn)的專用網(wǎng)絡(luò)，通過公共網(wǎng)絡(luò)構(gòu)造成邏輯上的虛擬子網(wǎng)，進(jìn)行安全的通信。VPN采用一種叫做“通道”或“數(shù)據(jù)封裝”的系統(tǒng)，用公共網(wǎng)絡(luò)及其協(xié)議向貿(mào)易伙伴、顧客、供應(yīng)商和雇員發(fā)送敏感的數(shù)據(jù)。這種通道是Internet上的一種專用通道，可保證數(shù)據(jù)在外部網(wǎng)上的企業(yè)之間安全地傳輸。

6.認(rèn)證技術(shù)

認(rèn)證技術(shù)提供了一種安全可靠的驗(yàn)證交易各方身份真實(shí)性的驗(yàn)證機(jī)制。安全認(rèn)證技術(shù)主要有:(1)數(shù)字摘要技術(shù)，可以驗(yàn)證通過網(wǎng)絡(luò)傳輸收到的明文是否被篡改，從而保證數(shù)據(jù)的完整性和有效性。(2)數(shù)字簽名技術(shù)，能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可否認(rèn)性，同時(shí)還能阻止偽造簽名。(3)數(shù)字時(shí)間戳技術(shù)，用于提供電子文件發(fā)表時(shí)間的安全保護(hù)。(4)數(shù)字憑證技術(shù)，又稱為數(shù)字證書，負(fù)責(zé)用電子手段來證實(shí)用戶的身份和對(duì)網(wǎng)絡(luò)資源訪問的權(quán)限。(5)認(rèn)證中心，負(fù)責(zé)審核用戶的真實(shí)身份并對(duì)此提供證明，而不介入具體的認(rèn)證過程，從而緩解了可信第三方的系統(tǒng)瓶頸問題。

電子商務(wù)安全是一個(gè)系統(tǒng)的概念，不僅與計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會(huì)因素有關(guān)。以上我們僅對(duì)基于開放的網(wǎng)絡(luò)環(huán)境下的信息安全方面進(jìn)行了探討。而一個(gè)完整的電子商務(wù)交易安全體系，則至少應(yīng)包括以下幾類措施:一是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)方面的措施;二是管理制度方面的措施，三是社會(huì)的政策與法律保障等。

【編輯推薦】

1. 保護(hù)信息安全 專家稱行業(yè)自律比立法更重要
2. 中國信息安全“國家漏洞庫”正式投入運(yùn)行
3. 如何簡(jiǎn)化企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作