[摘要]本文主要从技术角度阐述电子商务信息安全问题,详细描述电子商务信息存在的问题,并提出相应的技术解决方案。
[关键词] 电子商务 信息安全 数据加密 网络安全
1.电子商务信息安全问题
由于电子商务系统的开放性,电子商务系统面临着各种各样的安全威胁,目前电子商务的安全风险主要有以下几点:
1、身份冒充问题攻击者利用非法手段窃取合法用户身份信息,冒充合法用户与他人进行交易,进行信息诈骗、信息破坏,从而获取非法利益。主要表现为:冒充他人;冒充他人消费、陷害他人;冒充主机欺骗合法主机、合法用户等。
2、网络信息安全问题主要表现在攻击者通过物理或逻辑手段在网络传输通道上截取、篡改、删除、插入信息。截取是指攻击者通过分析网络物理线路传输的各种特性,截取机密信息或有用信息,如消费者账号、密码等;篡改是指改变信息流的顺序,改变信息的内容;删除是指删除某条信息或信息的某部分内容;插入是指在信息中插入某些信息,使接收者无法阅读或收到错误的信息。
3、拒绝服务问题 攻击者阻断对信息、业务或其他资源的合法访问。这主要表现在传播虚假信息,扰乱正常的信息渠道。这包括:开设虚假网站和商店,向用户发送邮件,收取订单;伪造大量用户,发送电子邮件,耗尽商家资源,使合法用户无法正常访问网络资源,对时间要求严格的服务无法及时响应。
4、交易双方互不承认的问题。一些用户为了推卸责任,会恶意否认自己发送过的信息。比如,发布者否认自己曾经发送过某条信息或内容;接收者否认自己曾经收到过某条信息或内容;买家不承认订单;商家卖的是劣质商品,却不承认当初的交易。在网络世界里,谁来公证、仲裁交易双方的纠纷?
5、计算机系统安全问题计算机系统是电子商务的基础设备,如果不重视安全问题,也会威胁到电子商务的信息安全。计算机设备本身存在物理损坏、数据丢失、信息泄露等问题,计算机系统也经常受到非法入侵攻击、计算机病毒破坏等。同时,计算机系统存在工作人员管理问题,如果职责不明确、权限不明确,也会影响计算机系统的安全。
2.电子商务安全机制
1.加密与隐藏机制加密是将信息改变,使攻击者无法读取信息内容,从而对信息进行保护;而隐藏是将有用的信息隐藏在其他信息中,使攻击者无法发现,既保证了信息的保密性,也保护了通信本身。
2、认证机制是网络安全的基本机制。网络设备之间应该相互认证身份,以保证操作权限的正确授予和数据访问控制。网络还必须对用户的身份进行认证,以保证正确的用户执行正确的操作和进行正确的审计。
3.审计机制 审计是预防内部犯罪和事后调查取证的基础,通过记录一些重要事件,当系统发现错误或者受到攻击时,可以定位错误所在,并找到攻击成功的原因。审计信息应有防止非法删除、修改的措施。
4、完整性保护机制用于防止非法篡改。基于密码理论的完整性保护可以有效地对付非法篡改。完整性的另一个用途是提供不可否认服务。当信息源的完整性可以被验证但无法模仿时,信息的接收方可以识别信息的发送者。数字签名可以提供这种手段。
5、权限控制和访问控制机制是主机系统必备的安全措施。系统在正确认证的基础上,赋予用户相应的操作权限,使用户不能进行越权操作。该机制一般采用角色管理的方式,根据系统需要定义各种角色,如经理、会计等,并赋予其不同的执行权限。
6、服务填充机制在空闲时间发送无用的随机数据,使攻击者更难通过通信流量获取信息,同时也增加了破译密码通信的难度,发送的随机数据应具有良好的模拟性能,能够被误认为是真实的。
3.电子商务安全关键技术
安全问题是电子商务的核心,为了满足安全服务的要求,电子商务系统除了网络本身的安全之外,还必须采用各种安全技术,以保证整个电子商务过程的安全性和完整性,实现交易的不可否认性。概括起来,主要有以下几种技术。
1、防火墙技术现有的防火墙技术包括数据过滤和代理服务技术两大类。最简单、最常用的是过滤防火墙,它对收到的每一个数据包的报头进行检查,以判断该数据包是否是发往目的地的。由于防火墙可以有选择地过滤进出的数据,因此可以有效地避免对其有意或无意的攻击,从而保证了专用网络的安全。将过滤防火墙与代理服务器结合起来是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要有:防火墙技术只能防止通过防火墙进行的攻击,而不能防止网络内部用户对网络的攻击;防火墙不能保证数据的保密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络免遭主动攻击和入侵。
2、虚拟专用网(VPN)。VPN的实现过程中采用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。VPN具有投资少、管理方便、适应性强等优点。VPN可以帮助远程用户、公司分支机构、业务伙伴和供应商与公司内部网络建立可靠、安全的连接,保证数据的安全传输,从而达到在公众或企业局域网之间进行完全电子交易的目的。
3、数据加密技术加密技术是保证电子商务系统安全的最基本的安全措施,用于满足电子商务的保密性要求。加密技术分为常规密钥密码和公钥密码两大类。如果交易双方在密钥交换阶段能保证私钥没有泄露,则可采用常规密钥密码方法对机密信息进行加密,将消息摘要和消息哈希值随消息一起发送,以保证消息的机密性和完整性。目前,常规密钥密码体制常用的算法有:数据加密标准DES、三重DES、国际数据加密算法IDEA等。其中DES是最常用的,并被ISO采纳为数据加密的标准。在公钥密码体制中,加密密钥是公开信息,解密密钥需要受到保护,加密算法和解密算法也都是公开的。 典型的公钥密码体制有:基于数论中大数分解的RSA体制、基于NP-完全理论的-背包系统、基于编码理论的系统。以上两类加密体制中,常规密钥密码体制具有加密速度快、效率高的特点,被广泛应用于加密大量数据。但该方式的致命缺点是密钥的传输容易被截取,难以安全地管理大量密钥,因此在大规模应用中存在一定的问题。公钥密码体制很好地解决了上述缺点,其保密性能也优于常规密钥密码体制,但公钥密码体制复杂,加密速度不理想。目前在电子商务的实际应用中,往往将二者结合使用。
4.安全认证技术安全认证技术主要有:(1)数字摘要技术,可以验证通过网络传输接收到的明文是否被篡改,从而保证数据的完整性和有效性。(2)数字签名技术,可以实现原始消息的同一性和不可否认性,同时防止签名的伪造。(3)数字时间戳技术,用于对电子文档的发布时间提供安全保障。(4)数字凭证技术,又称数字证书,负责用电子手段验证用户身份和对网络资源的访问。(5)认证中心负责审核用户的真实身份并提供证明,而不干预具体的认证过程,从而缓解了可信第三方的系统瓶颈问题,并且只需要为每个用户管理一个公钥,大大降低了密钥管理的复杂性。这些优点使得非对称密钥认证体制适用于拥有大量用户的大型网络系统。 (6)智能卡技术,它不仅提供了读写数据、存储数据的能力,还具有处理数据的能力,可以实现数据的加密和解密,可以进行数字签名和验证数字签名,而且其存储部分具有从外部不可读的特性。使用智能卡可以使身份识别更加高效、安全,但它只是为身份识别提供了硬件基础,如果要使身份认证更加安全,还需要与安全协议相配合。
5.电子商务安全协议不同的交易协议的复杂度、成本、安全性各不相同,同时不同的应用环境对协议目标的要求也不同。目前比较成熟的协议包括:(1)该协议是京东等公司设计开发的数字商品电子商务协议,该协议假设一个可信任的第三方将商品的传输和支付链接成一个原子交易。(2)京东最早提出的匿名原子交易协议,具有匿名性和原子性,对著名的数字现金协议进行了补充和修改,改进了传统分布式系统中常用的两阶段提交,并引入了客户、商家、银行以外的独立第四方——交易日志(log)来取代两阶段提交协议中的协调者()。(3)VISA和该公司共同开发设计的安全电子交易协议SET。SET用于划分和定义电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务。 它可以对交易各方进行身份验证,防止商家欺诈。SET协议成本较大,客户、商家、银行都必须安装相应的软件。(4)安全套接字层协议SSL是目前应用最为广泛的电子商务协议,它是由美国微软公司于1996年设计和开发的,位于传输层和应用层之间,可以很好地封装应用层数据,而不需要改变应用层的应用程序,对用户透明。但SSL并不是专门为支持电子商务而设计的,它只支持双向认证,只能保证传输过程中传输的信息不会因被截取而泄露,无法防止商家利用获取的信用卡号实施欺诈。(5)JEPI()是为了解决众多协议之间不兼容的问题而提出的,它是对现有HTTP协议的扩展,它在通用HTTP协议之上增加了PEP()和UPP()两层。 其目的不在于提出一种新的电子支付方式,而是在允许多种支付系统共存的同时,帮助商家和客户选择合适的支付系统。
四、结论
信息安全是电子商务发展的基础。随着电子商务的发展,通过各种网络进行交易的手段将更加多样化,安全问题将更加突出。为了解决这个问题,必须保证安全技术。目前,防火墙技术、网络扫描技术、数据加密技术和计算系统安全技术起着重要作用。此外,还需要完善法律体系、管理制度和诚信体系,确保电子商务信息安全,加速电子商务的发展。