简析电子商务中的信息安全问题
2012-08-15山东商业职业技术学院曹罡李金霞
山东商业职业技术学院 曹罡 李金霞
齐鲁银行千佛山支行 黄晓虹
电子商务具有简单、便捷、成本低的特点,为中小型企业提供了众多的商业机会,但是网络应用中信息安全问题成为电子商务用户关注的焦点,确保交易中商业信息的安全成为企业义不容辞的责任,必须切实认识电子商务应用中存在的安全问题,并积极解决,才能保证企业的商业信息不被窃取,取得较好的经营效益。
1 商务主要的信息安全要素
1.1 有效性
有效性是指信息发送方发送给信息接收方的信息是未经外人加工、改变的信息。贸易数据都具有特定型性,是指贸易信息只有在特定的时刻和确定的地点才是有效的。电子商务改变了过去纸质的方式,以电子的形式传递信息,如何确保电子信息在传送过程中的未经加工是确保信息有效的前提。电子商务中信息的有效性对企业、个人、甚至国家的经济利益有着重大的影响,所以,要及时对网络故障、应用程序错误、系统软件错误或者计算机病毒引起的信息安全隐患进行防范,以确保数据的有效性。
1.2 保密性
保密性是指贸易信息在存储或传递过程中未经他人窃取或泄露。传统的纸质贸易信息一般是通过邮寄的信件及其他可靠的传递渠道来互送商业贸易文件以确保信息的安全。现代电子网络是一个开放的传递平台,维护商业贸易信息显得更加重要,确保商业机密的保密性是电子商务全面推广应用的基本保障。所以,必须确保贸易信息在传递过程中的保密性,防止非法窃取及泄露。
1.3 完整性
完整性是指电子贸易信息在传递的过程中没有没被修改、歪曲和重复,信息的接受者接收到的信息与信息发送方发送的信息完全相同。贸易信息的完整性会对贸易各方经济利润、营销策略和贸易合同产生巨大影响。确保贸易信息的完整性是电子商务实际应用的重要基础。所以,在信息传递过程中要防范信息被随意生成、修改和删除,防止信息的丢失与重复,同时信息的传递次序要保证统一。
1.4 可靠性
电子商务信息直接关系到贸易双方的商业交易,在交易过程中如何确保进行交易的对方与交易所期望的贸易方是同一者,这就需要电子商务信息必须确保本身的可靠性。在传统的商业交易中,双放当事人可以通过手写签名或印章等形式确保双方的身份,但是电子商业贸易利用网络这一形式,无法采取传统的身份认定形式,就必须确保贸易信息的可靠性,从而为贸易双方进行商业交易奠定重要基础。
2 电子商务安全的技术要求
2.1 物理安全
要根据国家标准、信息安全等级、信息技术情况,制定切实可行、符合实际情况的的物理安全标准体系。本体系可以防范设备功能失常、电源事故、电磁泄漏等引起的信息失密等。
2.2 网络安全
为了保证电子商务交易的安全可靠,电子商务平台须稳定可靠,能够全天候正常运行。系统在运行的任何中断,如病毒入侵、网络故障或硬件软件错误等都会对正在进行电子商务交易的双方造成重大损失,尤其是丢失或失密的贸易信息,将是不可恢复性的。
2.3 商务安全
商务安全是指商务交易中的安全问题,商务安全的不同方面需要通过不同的网络安全技术和安全交易标准来确保实现。确保电子商务安全的技术主要有安全电子交易SET协议、在线支付协议、文件加密技术、数字签名技术等。
2.4 系统安全
系统安全主要是指主机的操作系统和数据库系统的安全情况。对系统安全的防范和保护,要通过安全技术升级,加强安全保护设施的投资建设,提高系统的安全防护能力。
3 目前我国电子商务存在的问题
就我国电子商务而言,我国的科学技术水平目前还处于较低层次,技术含量不高,资金投入又不足,在安全保密方面存在较大的隐患,网络安全性较低,主要表现在我国的网络信息易被干扰、欺骗等,再加上我国人民对于网络安全这方面的安全意识不高,网络安全处于十分薄弱的环境中。
3.1 电子商务安全存在的隐患
(1)网络协议方面的安全问题。在电子商务中,交易双方在交易中是通过传送数据包的形式来交换数据,传送过程中,不法恶意攻击者会拦截数据包,甚至在一定程度上破坏,这使得接收方接收的信息是不正确的。
(2)用户信息的安全问题。用户和商家是在B/S结构的电子商务网站使用浏览器登录进行交易,在登陆浏览器时势必会使用电脑,有的用户在使用电脑时,如果计算机中存在木马,那么登陆者的信息存在泄露的危险,有的用户在不方便使用自己电脑的情况下使用公共计算机,有些不法分子会通过电脑技术窃取交易信息。
(3)商家商务网的安全问题。有些企业在制作自己的商务网站时由于技术不过硬,本身的商务网站就存在隐患,服务器安全性低,不法分子利用电脑技术攻击商务网站,窃取用户信息和交易信息。
3.2 电子商务安全问题的具体表现
(1)交易信息被窃取、毁坏。电子商务交易在数据包的传送过程中,可能会被一些不法分子运用电脑技术非法篡改交易信息,使得交易信息失去真实性和可靠性。无论是在网络硬件还是软件方面,都存在导致传送过程中信息的误传的可能性。
(2)假冒身份问题。电子商务交易是通过浏览器登录进行交易,交易双方没有机会面对面洽谈,这就给了第三人一个假冒交易某一方破坏交易、骗取交易成果,甚至败坏交易某一方的声誉等的机会。
(3)交易抵赖问题。例如,在电子商务交易中,买家收到货之后,不确认收货。
(4)计算机病毒感染问题。电子商务交易势必会使用计算机,交易者在使用计算机时,存在选中有病毒的计算机的可能性,这样给商务交易带来了问题。另外,我国网上的蠕虫病毒等在网络流域的传播极易发生,传播过程中会产生巨大的攻击流量,会导致访问速度滞停的问题。
4 电子商务安全防范技术
为确保电子商务贸易的有效进行,一方面要保证电子商务平台的运行可靠稳定,能够全天候持续不断地提供网络服务;另一方面,电子商务系统还必须不断更新和采用最新安全技术来保证电子商务的整个交易过程的安全,防止交易抵赖行为。在现实生活中,电子商务安全防范技术主要有以下几种:
4.1 数据加密技术
数据加密技术分为常规密钥密码体系和公开密钥密码体系两大类。在交易双方可以保证密钥在交换阶段未曾发生丢失或泄露的情况下,通常采用常规密钥密码技术为机密信息加密。在公开密钥密码体系中,加密密钥是公开的信息,加密算法和解密算法也是公开的信息,而解密密钥是机密的。重要的公开密钥密码体系有:基于NP完全理论的Merkel-Hellman背包体系、基于数论中大数分解的RSA体系、基于编码理论的McEliece体系。以上两种加密体系各有优缺点:常规密钥密码体系的优点是加密速度快、效率高,主要用于大量数据的加密,但是常规密钥密码体系中密钥在传递过程中容易被窃取,对于大量密钥的管理存在缺陷;公开密钥体系在大范围密钥的安全方面很好的解决了常规密钥密码体系存在的问题,保密性能比常规密钥密码体系高,但是公开密钥密码体系项目复杂,加密速度较慢。实践中通常将常规密钥密码体系和公开密钥密码体系结合起来使用。
4.2 防火墙技术
防火墙技术分为两类:代理服务技术和数据包过滤技术。其中,数据包过滤技术较为简单,也最常用,它通过检查接收到的每个数据包的头,来分析该数据包是否已经发送到目的地。防火墙技术通过对数据进行分析并有选择的过滤,从而有效地避免外来因素对数据包进行的破坏,保证网络的安全。实践中,也常常将数据包过滤防火墙与代理服务器结合使用,可以更加有效地保护网络安全。
4.3 虚拟专网技术VPN
VPN具有适应性强、投资小、易管理等优点,通过使用信息加密技术、安全隧道技术、用户认证技术、访问控制技术等实现对网络信息的保护。VPN可以使商业伙伴、公司、供应商、远程用户的内部网之间建立可靠稳定的安全连接,确保贸易信息的安全传输,从而保证在公共的Internet或企业局域网之间安全进行电子交易。
4.4 安全认证技术
安全认证技术包括以下几种:
(1)数字签名技术。数字签名技术可以确保原始报文的不可否认性以及鉴别,并且可以防止虚假签名。
(2)数字摘要技术。数字摘要技术通过验证网络传输的明文,鉴别其是否经过篡改,进而确保数据的有效性和完整性。
(3)数字凭证技术。数字凭证技术通过运用电子手段来鉴别用户身份以及管理用户对网络资源访问的权限。
(4)认证中心。认证中心专门负责审核网络用户的真实身份并提供相应的证明,且只管理每个用户的一个公开密钥,在一定程度上大大降低了密钥管理的复杂性。
(5)智能卡技术。智能卡具有存储数据和读写数据的能力,可以对数据进行简单地处理,能够对数据进行加密和解密,其特点是存储器部分具有外部不可读性,可以使用户身份鉴别更加安全。
5 电子商务中的信息安全对策
5.1 不断完善网络安全管理体系
我国应在现有网络安全管理部门之外建立一个具有权威的信息安全领导机构。该部门应宏观地、有效统一地协调各部门的职能,对市场网络信息安全现状进行及时的分析,制定科学的政策。对于使用计算机网络的单位及个人,必须严格遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》,建立完善的责任问责制度。
5.2 大力培养网络安全专业人才
面对现代网络应用高速普及的情况,网络安全专业人才显得捉襟见肘,我国需要大量的网络安全人才维护网络的安全。我国应加大对培养网络安全人才的科研教育机构的投入力度,同时积极组织人才及组织与国外的相关部门进行技术经验交流,不断引进国外先进网络安全保护技术,并及时对我国专业人员进行技术培训。
5.3 建立网络风险防范机制
现阶段我国的网络安全技术较滞后、相关法律法规不是很健全,网络安全面临很多威胁因素,这就要求电子贸易用户建立网络风险防范机制,为存在的安全因素建立补救措施。电子商务交易用户可以根据交易具体情况为标的物进行投保,通过这些措施,可在很大程度上减少网络安全事故造成的经济损失。
6 结语
网络信息安全是电子商务发展的基础,是电子商务的核心。随着网络技术的发展,网络信息安全也将面临新的挑战,网络安全保护人员必须及时吸收国内外先进信息保护技术。但是,仅从技术角度保护电子商务信息的安全是不够的,还必须不断建立健全相关的电子商务立法,促进我国电子商务的健康发展。
[1]金艳.如何认识电子商务在我国的发展状况[J].长春医学,2007(02).
[2]杨二龙,刘建时.对电子商务风险的几点思考[J].警官文苑,2007(01).