电子商务是以互联网作为交易平台进行交易,因此安全问题已经成为电子商务发展的主要问题。本文探讨了现今电子商务发展中存在的安全威胁以及相应的技术解决办法。
2、电子商务安全的主要要求
2. 1.机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
2.2.完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
2.3.可靠性
在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已不可能,因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
2.4有效性
电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。
2.5可靠性
传统的交易是面对面的,比较容易保证建立交易双方的信任关系和交易过程的安全性。而电子商务活动中的交易行为是通过网络进行的,买卖双方互不见面,因而缺乏传统交易中的信任感和安全感。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易,这样会导致商业机密信息或个人隐私的泄露,从而导致巨大的利益损失。根据中国互联网络信息中心(CNNIC)发布的“中国互联网络发展状况统计报告”,在电子商务方面,52.26%的用户最关心的是交易的安全可靠性。由此可见,电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。
3、引起电子商务的不安全因素
商务信息的存储依靠计算机的数据库技术来实现,信息传输的主要途径是互联网。所以,电子商务的不安全因素也正是以计算机的数据库技术和网络通信技术的安全漏洞为主要目标,构成了威胁电子商务活动的主要原因,成为不法分子入侵的主要途径。
3.1.数据库面临的安全问题
实现电子商务的企业,大都建立用来存储和管理各种业务数据的核心数据库。对于大多合法用户来说,这个核心数据库是存储关键信息的一种非常便捷的方式,而从攻击者的角度来看,直接破解这个数据库所带来的利益要比在网络中嗅探数据带来的利益打得多。通过破解数据库,就可以只在一个点上访问到准确的数据信息。攻击者一旦窃取到数据库的访问权,就可以通过数据库的查询命令方便的获取想要的信息,如信用卡号、客户资料、报价单、价目表等机密商业信息。电子商务在数据库中所面临的安全问题表现在非法入侵者对数据库的攻击,电子的交易信息在网络上传输的过程中,可能被他人非法的修改,删除或重放(指只能使用一次的信息被多次使用),从而使信息失去了真实性和完整性。
3.2.网络通信面临的安全问题
电子商务在网络通信中所面临的安全问题主要体现在以下几个方面:交易的内容被第三方窃取;电子交易信息在网上传输过程中,可能被他人非法修改、删除或重放。网络传输的可靠性受硬件设备或软件的缺陷的限制,使信息传输过程得不到保障;信息的存储和传输受到恶意破坏的威胁(如病毒威胁),信息破坏。包括网络硬件和软件的问题而导致信息传递的丢失与谬误;以及一些恶意程序的破坏而导致电子商务信息遭到破坏。
4、电子商务中的安全防范技术
为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:
4.1.数字签名技术
“数字签名”是通过密码技术实现电子交易安全的形象说法,是电子签名的主要实现形式。它力图解决互联网交易面临的几个根本问题:数据保密、数据不被篡改、交易方能互相验证身份、交易发起方对自己的数据不能否认。“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。
4.2.防火墙技术
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙、代理防火墙、双穴主机防火墙。
4.3.入侵检测系统
入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。
4.4.信息加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
4.5安全认证技术
安全认证的主要作用是进行信息认证,信息认证的目的就是要确认信息发送者的身份,验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。
4.6防病毒系统
病毒在网络中存储、传播、感染的途径多、速度快、方式各异,对网站的危害较大。因此,应利用全方位防病毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系。
5.主要的安全技术
5.1虚拟专用网(VPN)这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
5.2数字认证
数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。随着商家在电子商务中越来越多地使用加密技术,人们都希望有一个可信的第三方,以便对有关数据进行数字认证。 目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,Java JDK1.1也能够支持几种单向Hash算法。另外,S/MIME协议已经有了很大的进展,可以被集成到产品中,以便用户能够对通过Email发送的信息进行签名和认证。同时,商家也可以使用PGP(Pretty Good Privacy)技术,它允许利用可信的第三方对密钥进行控制。可见,数字认证技术将具有广阔的应用前景,它将直接影响电子商务的发展。
5.3加密技术
保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在,一些专用密钥加密(如3DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而,这些技术的广泛使用却不是一件容易的事情。密码学界有一句名言:加密技术本身都很优秀,但是它们实现起来却往往很不理想。现在虽然有多种加密标准,但人们真正需要的是针对企业环境开发的标准加密系统。加密技术的多样化为人们提供了更多的选择余地,但也同时带来了一个兼容性问题,不同的商家可能会采用不同的标准。另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制。目前,美国的商家一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口。虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多。据报载,最近美国加州已经有人成功地破译了40位的SSL,这已引起了人们的广泛关注。美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾。上海市电子商务安全证书管理中心推出128位SSL的算法,弥补国内的空缺,并采用数字签名等技术确保电子商务的安全。
6、展望
安全是电子商务生存和发展的命脉,随着网络信息技术的发展,安全技术平台和安全管理策略将不断发展和改进提高。电子商务网站的设计人员必须在精心的安全分析、风险评估、商业需求分析和网站运行效率分析的基础上,才能制定出整体的安全解决方案。
消费者的个人资料必须保密,还必须确认与之交易的实体不是冒牌货。要赢得消费者的信赖,安全解决方案必须确保消费者的个人资料严格保密,无论是在存贮、发送和使用时。此外,安全解决方案还必须保证与消费者进行交易的完整性。
对于企业方面,主要存在两个问题。第一,确认用户的身份,界定用户的权限,确保用户只能执行权限内的行为;第二,保护企业资产免受恶意攻击,如病毒、拒绝服务攻击,以及资料被盗窃和损坏。
- 云南省将着重打造4条电子商务渠道 2011/10/19
- 2015年年底陕西省力争半数以上企业开展电子商务 2011/10/21
- “十二五” 将设立电子商务发展专项资金 2011/09/22
- 云南局参与推动全省电子商务发展 2011/11/14
- 商务部:建立电子商务信用统计监测体系 2011/12/30
- 云南省将评电子商务示范企业 2011/12/02
- 重庆市三大体系助推创建国家电子商务示范市 2011/10/08
- 十二五期间广东每年将投5000万支持电子商务 2011/11/21
- 2011中国电子商务大会暨电子商务博览会成功举办 2011/10/19
- 商务部信息化司改名旨在推动电商健康发展 2011/07/04