信息时代计算机电子商务的安全策略分析
2012-09-10蒋维梁
蒋维梁/文
电子商务范围触及到商品和服务相关人员方方面面的行为,因此它的行为中包含了丰富的信息。电子商务所涉领域很宽,几乎涵盖了商品和服务交易的所有步骤,包括商品的买卖、促销、推广、银行、信息咨询、电子支付等等,通过它可以将商家、客户、中介机构、银行,甚至于政府连接在一起。在这个过程中,电子商务包含的信息是海量的,广泛的,且内容复杂,一旦这些信息遭到泄露,对企业、个人来说都是一种潜在的威胁。
电子商务中信息安全的重要性
电子商务面向公众开放,因此电子商务是否能够保证公众的信息安全至关重要。信息安全有四个特性:完整性,保密性、可用性、可靠性。在完全开放的电子商务环境中,如何保证公众主体的信息安全的完整、保密、可靠、可用,是必须解决的问题,且迫在眉睫,因为网络入侵、黑客攻击等行为正逐渐猖狂。
1.完整性
完整的信息是正常完成交易的前提。要保证网络上传输的信息不被破坏,不被随意修改、生成、删除,不在数据传送中失真,不重复传送,不无序传送。
2.保密性
电子商务应用推广的重要基础是商业机密不被泄露,不被非法存取信息,在信息传输中不被盗窃。
3.可用性
双方利益的达成需要可用的、有效的信息。开放的电子商务环境中可能面临网络故障、硬件故障、软件程序错误、计算机病毒入侵等潜在威胁,必须及时采取预防和控制措施,保证信息的可用。
4.可靠性
电子商务交易重要环节之一是保证双方是期望的对方。因此,安全可靠的交易系统非常重要。计算机网络、系统软件、程序的正常运行,是得到安全可靠目标的必要技术。
计算机电子商务中存在的信息安全问题
信息安全的重要性告诉我们,在电子商务中必须把信息安全摆在显明的位置,并着手解决存在的棘手难题。现在电子商务中的信息安全主要有以下几点:
(一)信息存储中的安全问题
信息存储安全是指当信息处于静态存放时的安全。电子商务运行在开放的环境中,可能面临以下威胁:
内部不安全因素。发生于企业内部之间,企业客户非授权下的随意删减、修改和调用。
外部不安全因素。外部人员采取非法手段入侵计算机网络,故意或过失调用电子商务信息及对其进行随意增删。这个不稳定威胁来源有:黑客攻击、信息间谍的非法闯入、竞争对手的故意破坏等。
(二)信息传输中的安全问题
信息传输安全指当信息处于动态运输时的安全,主要不安全威胁来源有:传输信息在运输过程中被篡改;被截获;被伪造;否认已经做过的交易;网络硬件被损坏;网络软件程序错误等等,这些都可能会导致信息传输丢失、失真。
(三)交易双方存在的信息安全问题
电子商务交易是对传统商品和服务交易的一种突破,打破了时间和空间、形式上的限制,买卖双方仅通过网络交流就可以完成交易。这种交易方式在带来便利的同时,也带来一些问题。
1.卖方存在的信息安全威胁
主要安全威胁有:(1)恶意程序如特洛伊木马会破坏电子商务信息;(2)信息间谍通过高科技方式窃取并非法使用商业秘密;(3)恶意竞争商假冒用户名入侵网络内获取需要的营销和客户信息;(4)黑客攻击服务器,导致电子商务交易程序无法正常操作;(5)冒名改变交易内容,损毁商家的名誉,损害用户利益。
2.买方存在的信息安全威胁
买方既可以上个人,也可以是企业、银行等组织。买方信息安全威胁主要表现形式有:(1)传递的交易信息被截获、篡改,导致信息不完整,交易失败;(2)身份被假冒。有人假冒用户身份信息和对方交易,导致要求付账或返还商品;(3)黑客攻击,设备故障造成丢失信息;(4)域名被监听和扩散,被迫接收大量的垃圾信息,甚至隐私被窃取;(5)因为虚假广告的误导购买了劣质产品或被骗财物。
保障计算机电子商务中信息安全的措施
电子商务正如一把双刃剑,在给社会带来改变和便利的同时,也带来一些隐忧,比如第二部分提出的信息安全问题,必须寻找积极措施予以预防和控制。如何保证电子商务中的信息安全,已经引起许多学者的关注和研究,笔者认为安全目标的达成,不仅需要技术的跟进,更需要一些措施的辅助。
(一)研究保障信息安全的各种技术
电子商务是计算机网络技术发展带来的必然趋势,技术的完善与否,可以从源头上保证信息安全。因此,研究更先进的网络安全技术非常重要。鉴于目前技术发展情况,笔者认为应重点研究以下技术:
(二)防火墙技术
防火墙是一种用来加强网络之间介入控制机制的系统,以单个或群体状态存在,可以监控所有由内到外的流量,且只允许授权的数据流量通过,属于一种极具免疫力的系统,阻止非法入侵。首先进行防火墙安全设计,如拒绝所有服务器除非它得到特殊授权;允许所有服务除非它被特殊拒绝。其次,利用防火墙设计网络服务访问权限,如不允许从本站点到Internet的访问,但允许Internet到站点的访问,或相反;过滤一些不安全协议的域;只允许Internet到本站点的部分访问权限。
(三)数据加密技术
信息加密可以保护网内的数据、文件、口令等信息完整,不被随意破解。加密最常用的技术有对称加密技术、非对称加密技术、前两者结合技术。现在常用的常规密钥密码体系的算法有:数据加密标准DES、国际数据加密算法IDEA、三重DES等。
(四)身份识别技术
身份识别技术主要针对交易双方的身份而言,要确认信息发送者的身份,验证身份是否正确,发送的信息是否完整,是否有被篡改。(1)数字标志,通过电子手段来辨别用户身份真假与对网络资源的访问权限,证明身份需要利用认证中心签发的数字证书。(2)电子商务认证中心,CA是承担网上交易安全认证服务、签发数字证书的企业性服务机构,对数字证书进行管理。
(五)防病毒技术
(1)检测病毒技术,从计算机的病毒特征入手侦测病毒的技术;(2)预防病毒技术,利用自身常驻系统内存的优势,获取系统控制权,然后监视系统中毒的情况,采取技术手段阻止计算机病毒进入到系统内搞破坏。(3)消除病毒技术,通过对计算机病毒分析,利用消除技术消灭病毒,恢复原文件。
(六)加强网络安全基础设施建设
网络系统的信息安全,并不是只要设置了大量防火墙,加了多层密保就可以获得足够安全,因为计算机芯片与中央处理器等核心部件,包括系统软件,都是别人设计生产,这对我国网络信息安全而言,是一个很大的弊端。而电子商务作为国民经济的新兴的增长点,信息安全至关重要,因此必须加强网络安全基础设施建设,包括公开密钥基础设施建设、应急响应处理基础设施建设、信息安全产品检验评估基础设施建设等。
(七)完善电子商务发展的法律法规
1.交易安全方面的法律制定
我国是法治国家,开放的电子商务交易需要得到国家法律的保护,同时接受法律制约。我国电子商务法律还并不健全,如何保护交易双方的隐私安全,保护用户自主访问控制的Internet信息的权利,怎样解决电子商务交易带来的纠纷和矛盾,如何防止诈骗等,这些都需要国家法律积极制定相关的法律。
2.电子支付方面的法律制定
电子支付涉及到付款人、收款人和银行三个主体,必须明确三者之间的法律关系;出台对电子字符数据的变造、篡改、伪造、赊销问题的处理办法;制定电子支付的支付机制,对电子签名予以承认。
电子商务信息安全已成为电子商务进一步发展的瓶颈之一,如果得到妥善解决,电子商务交易会更上一层楼。因此国家应加大对信息产业,尤其是信息安全技术的投入,研究出更为严密、安全、高级的信息安全技术,增加人们使用电子商务交易的信心。同时,国家要继续电子商务立法,从法律层面加强对电子商务的管理和控制,解决信息时代下电子商务发展存在的各种难题,从而促进中国电子商务更加健康、更加快速地向前发展,完成真正的飞跃。