电子商务的信息安全技术研究

电子商务的信息安全问题一直是困扰网民的问题,文章主要从电子商务的信息安全问题进行探讨,分析了信息的安全要素和安全技术,探讨了影响信息安全技术的对策。此外,文章认为国家应有相关的电子商务CA管理中心,充分发挥政府在电子商务发展中的主导作用,在电子商务的建设和采购中务必考虑安全因素,加强各部门之间的协调和配合。　　最新网络民意调查表明,电子商务网站越来越容易受到黑客的攻击。这一调查的依据是,在美国的许多商业网点上,成百上千的用户信用卡密码被黑客非法获取。负责这一调查的NCIPHER公司表示:并没有证据表明,这些黑客是用相同方式破网作案的,但这说明商业网站的确很容易受到攻击。　　怎样看待电子商务的安全问题?安全不是一个纯技术的概念,没有绝对的安全。安全是有成本和代价的,要采取安全措施不光会带来不方便的地方,可能会带来成本和代价。在2000年中国人民银行出了一本信息安全保障的规范,里面明确提到在人民银行这个系统建设里面,应该投入10%的经费。这是国内第一个行业主管部门发布明确的定额10%。系统的重要性不一样,有的需要投入15%甚至50%的经费,有的可能只能投入百分之几,而且可能有很多的电子商务网站投入远远不到10%,甚至很多安全措施都没有跟上去。安全是发展的、动态的。包括病毒、攻击措施,不可能一蹴而就。　　一、电子商务　　电子商务源于英文ELECTRONIC COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。电子商务可通过多种电子通讯方式来完成。但现在人们所探讨的电子商务主要是以EDI(电子数据交换)和INTERNET来完成的。作为一种新型的商务模式,电子商务具有普遍性、方便性、整体性、安全性、协调性等特征。　　EDI(Electronic Data Interchange)于20世纪60年代末期产生于美国,是指将业务文件按一个公认的标准从一台计算机传输到另一台计算机上去的电子传输方法。由于EDI大大减少了纸张票据,因此,人们也形象地称之为“无纸贸易”或“无纸交易”。　　从贸易活动的角度分析,电子商务可以在多个环节实现,由此也可以将电子商务分为两个层次,较低层次的电子商务如电子商情、电子贸易、电子合同等;最完整也是最高级的电子商务是利用INTENET网络进行全部的贸易活动,即在网上将信息流、商流、资金流和部分的物流完整地实现,即你可以从寻找客户开始,一直到洽谈、订货、在线付(收)款、开据电子发票以至到电子报关、电子纳税等通过INTERNET一气呵成。作为一种商务活动过程,电子商务将带来一场史无前例的革命。其对社会经济的作用远远超过商务的本身,并将对就业、法律制度以及文化教育等带来巨大的影响。电子商务会将人类真正带入信息社会。　　二、安全要素　　电子商务主要的安全要素包括:　　1.有效性,保证电子形式的贸易信息的有效性是开展电子商务的前提。　　2.机密性,电子商务建立在一个较为开放的网络环境上,维护商业机密是其全面推广应用的重要保障。　　3.完整性,由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。　　4.可靠性/不可抵赖性/鉴别,在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。　　5.审查能力,根据机密性和完整性的要求,应对数据审查的结果进行记录。　　三、安全技术　　电子商务技术方面缺乏统一规范,国际标准有17000多个,IF的标准有3000多个,而真正在电子商务里面的标准远远不够,还需要开发。管理混乱、政出多门、法律法规不够健全、电子签章法没有出台,网上出了问题怎么办?如邮件攻击、网站上信用卡号被盗。安全方面是主要问题。安全保证措施是个问题,跟直接投入成本和相应的技术措施都有关系。我们不可能用比我们的资产价值更高的代价来做安全保护。　　电子商务在应用过程中主要有以下的安全技术及相关标准规范:(1)加密技术;(2)密钥管理技术;(3)数字签名;(4)Internet电子邮件的安全协议;(5)Internet主要的安全协议;(6)UN/EDIFACT的安全;(7)安全电子交易规范(SET)。　　安全是一个全局的问题,一个产品是不能够完全解决一个整体的安全方案,必须由不同层次的产品来解决不同的安全问题。链路层的加密机,网络层的防火墙和VPN(虚拟专用网),应用层的认证、授权,以及防病毒、安全监测、安全审计和安全管理等机制是不可能在一个产品中全部实现。因此,整体的安全方案必须要经过系统的、完整的和统一的方案设计。CA认证中心(CA,Certification Authority)安全性问题,是电子商务里面解决可信问题的关键设施。在我们国家建立CA的时候,会出现好多问题,没有和银行结合起来,没有得到银行的认可。中国电子商务标准化方面很缺乏。国家没有电子商务关于CA的要求等等,包括信息的披露等。在我们国家电子政务里面坚决采用SSL,能不能得到国家和银行的支持这也是一个问题,有它的局限性。CA设备的安全性,现在国家的设备或者是自己研发,或者地方采购的,电子商务网站和用户,采取国家安全机构检测的产品,可以放心的对设备的安全性进行验证。　　公钥基础设施PKI(Public-key Infrastructure)是解决信任和加密问题的基本解决方案。PKI的本质就是实现了大规模网络中的公钥分发问题,建立了大规模网络中的信任基础。公钥加密技术的发明使得互不相识的两个人(或主体)可以安全地通信。在规模不大的网络或较为封闭的网络中,通信主体可以通过KDC这一类的密钥分发或管理中心可靠地获得通信对方的公钥,即通过KDC和协议可以实现安全的公钥分发。但是在较大规模的网络环境中,特别是在Internet环境下,KDC不再适用,因而这种环境下的公钥分发问题成为最突出的问题。可靠地获得通信对方的公钥的问题在网络环境下就是信任的问题,因而大规模网络中最突出的问题也就是信任的问题。PKI的本质就是实现了大规模网络中的公钥分发问题,建立了大规模网络中的信任基础。　　四、结语　　提高服务的安全性,一直是影响电子商务的发展的瓶颈。一旦问题无法解决,电子商务就成了纯粹的电子广告而无法将商场搬到里面,许多东西我们无法看到,更谈不上交易。降低成本,包括硬件成本、通信成本核计算成本。国家应该有相关的电子商务CA管理中心,充分发挥政府在电子商务发展中的主导作用,以小政府、大社会的方式规范和管理CA的发展,在电子商务的建设和采购中务必考虑安全因素,加强各部门之间的协调和配合。电子商务管理体系应具备的特点:与经济体制的一致性,与信息安全保密管理的一致性,与经济安全监督的一致性,与信用体制的一致性。政府在电子商务中应发挥以下作用:政策引导、密码控制、交易监督。（编选：中国电子商务研究中心 勇全）

分享到