电子商务之安全问题探究
2013-08-15桂林电子科技大学信息科技学院宋若翔
桂林电子科技大学信息科技学院 宋若翔
1.电子商务安全问题
1.1 电子商务安全问题产生的根源
电子商务的实现完全依赖于网络,但是,电子商务却是在网络之后才出现的,是网络发展过程中的产物。网络建立之初,没有考虑电子商务安全的问题,正因如此,网络全球性、共享性和开放性就使得电子商务活动中,信息传输的安全存在先天不足,让黑客们有机可乘。
1.2 网络安全问题
随着互联网技术的发展以及全面的普及,基于INTERNET的电子商务也得到了空前的发展,在当下已然成为了一种全新的商务模式,被许多企业、学者、经济学家认为是新的经济增长点。电子商务作为一种全新的商务模式,有着远大的发展前景,同时,这种新型的商务模式对信息技术又提出了更高的要求,其中网络安全成了新型商务模式发展的研究热点。如何架构一个安全、舒适、便捷的电子商务网络环境,对信息提供足够强大的安全保障措施,是商家和用户共同关注的话题。网络安全问题俨然已经成为电商发展的核心问题。网络安全问题俨然已经成为电商发展的核心问题。何为网络安全?网络安全从其本质上来说,就是网络上信息的安全,凡是涉及到网络上信息的完整性、保密性、真实性、可用性和可控性的相关技术理论都是网络安全的范畴。
1.3 目前电子商务面临的主要安全问题
(1)中央系统安全性被破坏。入侵者冒充合法用户来修改用户数据、删除合法用户原始数据,创建虚假订单信息与他人进行交易,并从中获取非法利益。
(2)客户资料被竞争者窃取。入侵者通过对数据进行非法的监听与截取,从而窃取客户资料等敏感信息(如信用卡、银行卡信息等),让客户蒙受损失。
(3)对信息的恶意篡改。入侵者可以通过对网络上截获的信息进行恶意篡改,如篡改信息的时间、先后顺序、注入伪造信息等,从而使信息丧失其真实性和完整性。
(4)拒绝服务。攻击者向销售商的服务器发送大量的虚假订单信息以达到占用其资源的目的,使合法的用户无法正常登陆到销售商的服务器,已达到拒绝服务的目的。
(5)计算机病毒的传播。随着计算机技术的不断发展,计算机病毒也更新换代层出不穷。INTERNET的出现,使得计算机病毒的传播速度达到了惊人的地步。例如蠕虫病毒,其利用系统自身漏洞进行复制传播,由于传播过程中,会产生巨大的攻击流量,从而,使网络流量急速上升,造成网络拥塞甚至瘫痪,对于依赖网络的电子商务是一个严重的威胁。
2.电子商务中的主要安全技术
2.1 电子商务的安全技术
从上述电子商务所面临的安全问题中我们不难看出,它不仅仅是个别的现象,只要有网络的存在,安全问题就不容忽视。网络安全不仅影响了网络业务的正常运行,扰乱了网络秩序,还会造成很多直接或者间接的经济损失。安全技术是电子商务安全体系中的基本策略,是伴随着安全问题的产生而出现的,安全技术的出现,在一定程度上加强了计算机网络的整体安全性。
2.2 网络安全技术
目前,常用的网络安全技术主要有病毒防范技术、防火墙技术和虚拟专用网VPN技术等。
(1)病毒是一种恶意的计算机指令或者计算机程序代码,一般可分为引导区病毒、可执行病毒、宏病毒和邮件病毒等,不同的病毒的危害性也不尽相同。为了防范病毒,可以采用以下的措施:
①安装防病毒软件,及时更新病毒库,认真执行病毒定期清理制度,严格设置文件控制权限,浏览网页时高度警惕网络陷阱,加强内部网络的整体防病毒措施;
②加强数据备份和恢复措施;
③对敏感的数据和重要的设备要建立必要的物理或逻辑隔离措施等。
(2)这里所说的防火墙并不是指物理意义上的防火墙,而是指隔离本地网络与外界网络之间的一道防御安全系统。它能有效的限制被保护的网络与互联网络之间、或者与其他网络之间进行的信息的通信,能根据企业的安全策略控制出入网络的信息流,并且本身具有较强的抗攻击能力,是电子商务安全防护的基础设施。
(3)虚拟专用网络(简称VPN)指的是在公用网络上建立专用网络的技术。整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台上,如异步传输模式、帧中继等逻辑网络,用户数据在逻辑链路中传输,非常适合于电子数据交换(EDI)。
2.3 信息安全技术
(1)数据加密技术是安全技术的重要组成部分之一
通过对敏感信息进行数据加密,以保证电子商务的保密性、完整性、真实性和非否认服务。数据加密的原理是通过一定的加密算法,将明文转换成为无法理解的密文,阻止非法用户理解原始数据,确保数据的保密性。
(2)安全认证技术
1)数字信封是将对称密钥通过非对称加密(即:有公钥和私钥两个)的结果分发对称密钥的方法。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给信息的接收方,信息的接收方先用相应的私钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。
2)数字签名
数字签名技术以加密技术为基础,其核心是采用加密技术的加密、解密算法体制来实现对报文的数字签名。数字签名能实现以下功能:①接收方能够证实发送方的真实身份;②发送方事后不能否认所发送过的报文;③接收方或非法者不能伪造、篡改报文。
3)数字摘要
数字摘要就是采用单项Hash函数将文件中需要加密的明文“摘要”成一串固定长度(128位)的密文,这一串密文又称为数字指纹,它有固定的长度,而且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。因此这个摘要便可以作为验证明文是否真身的指纹了。
3.电子商务安全策略
构建在各种安全技术基础上的企业网络体系可以保障一定程度的防攻击能力;保障数据在传输过程中的保密性;保障平台在系统级别操作的安全性;能够及时发现并制止来自网络或系统的恶意攻击。但真正的电子商务安全不是单纯的技术问题,而是一项复杂的系统工程,安全体系也不是简单的安全产品的叠加,它包含了多方面的要素,安全策略只是其中之一。
4.总结
要保证电子商务的正常运作,就必须关注电子商务的安全技术。电子商务安全不仅涉及信息加密和解密、网络安全协议、防火墙的构建、病毒的防治,也包括相关管理制度的建立,安全技术与管理制度双管齐下,才能更好的保护电子商务的健康发展。
[1]梁永生.电子商务安全技术[M].大连:大连理工大学出版社,2010.
[2]ChristopherSteel,RameshNagappan,RayLai著.安全模式(CoreSecurityPatterns)[M].北京:机械工业出版社,2006.