胡苏楠 宋玮

(1. 山东省商务发展研究院 山东济南 250004；2.山东省砂石协会 山东济南 250061)

随着信息技术的发展和运用，信息安全的内涵持续扩展，从最初的信息保密性，发展到信息的完整性、可用性、可控性和不可否认性，信息安全还被发展成“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实践技术。信息安全是一个综合、交叉的学科领域，需要将数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果相结合，开展自主创新的研究，强化顶层设计，提出系统的、完整的、协同的解决方案。相对于其他学科而言，我国的信息安全研究更加注重自主、创新，能够彰显出我国的主权和信息管控水平，而创新则能抵御多种形式的攻击，满足我国科技发展的需要，保障国民经济发展和社会安全稳定。

电子商务指的是通过使用综合信息技术(Internet和World Wide Web等)，将提升贸易伙伴之间的业务运营效率作为主要目的，用电子手段来完成一次交易的全程数据和资料，在整个业务运营过程中，使交易达到无纸化、直接化的目的。通过电子商务，交易双方之间的关系变得更加密切，从而达到用最少的资金获取最大利益的目的。电子商务不但给商家们带来无穷的商机，也为商家们在市场上的竞争提供了有利条件，而且对一个国家的总体竞争力也产生越来越大的影响。于是，国内的公司和商户都开始投资于这一新型的电商平台，国家有关部门也在制定相应的政策，并制定出多种相应的对策，以解决因电子化商业而产生的资讯安全性与贸易争端。

1 电子商务信息安全问题

1.1 资料的机密性

资料的机密性也称数据保密性，指的是传递电子商务信息的过程中，需要加密数据，让这些数据无法被窃取，而且即使窃取也无法读懂这些信息并加密数据，为电子商务的应用及推广奠定基础。

1.2 信息的完整性

信息的完整性包含两方面内容：一是在互联网上传递的信息不会受到任何修改，原来的信息不会发生任何变化；二是信息传递的一致性，也就是信息传递的顺序、格式都是固定的，不可随意更改。唯有确保资讯传递之全，商业行为之公平性与合法性，方能得以保障。

1.3 不可抵赖性

不可抵赖性即不可否定性，是指信息的发送方或接收方在发出或接收信息后，要有足够的证据，可以表明他们之间曾经发生过收发行为。而且，在通常情况下，要确保收发双方都不能否认自己所收到和发送的信息，从而降低交易争议。

1.4 交易者的身份验证

交易者的身份验证是在电子商务在线交易的过程中，可以确认对方的真实身份和所进行的实际业务，特别是在与信用卡、账号等相关的敏感信息的真实性和合法性方面，以避免造成无谓的利益损失。

2 电子商务信息安全问题的原因

电子商务涉及交易问题，整个过程可以实现信息的互通、交流，一旦信息交流受到影响，势必会影响电子商务的开展。电子商务安全存在问题，主要有以下三点原因：

2.1 安全漏洞

目前，电子商务安全漏洞主要有：Windows惊现高位漏洞，新图片病毒能够攻击所有用户，导致客户在观看电子商务信息的时候出现信息泄露，由此引发安全问题。WinXP SP2已经发现了世界上最严重的安全漏洞，采用SP2的系统发现10个严重安全漏洞，针对这些漏洞，苹果的漏洞补丁程序无法发挥作用，此外，IE出现最新的欺骗漏洞、邮件客户端出现黔南漏洞及漏洞控制Web服务器。

2.2 病毒

蠕虫病毒主要是利用系统漏洞进行自动传播复制，由于传播过程中会产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，由此造成网络速度变慢甚至瘫痪，进而影响交易双方间的交易。

2.3 黑客攻击

近年来，我国网页被篡改问题日益严重，如耐克官网被黑客篡改，导致部分用户被欺骗，由此导致信息泄露，进而造成经济损失。其中著名的僵尸网络(BotNet)，就是可以自动执行预定义的功能，能够预订命令控制，具有一定人工智能的程序。

3 电子商务信息安全技术研究现状

3.1 认证和访问控制技术

认证指的是当使用者登录到网络或服务器时，使用者需对其身份进行确认。最基础的认证方式是通过使用者的账号，也可以使用诸如指纹、眼底纹等人类的生物特征来进行。在互联网上，人们为强化身份验证而提出了“证书”这一概念，是一个人的身份或一个网站的数码凭证，是一个被数字化的身份证或护照。存取控制是指设定一个主体对其存取的限度。存取控制与使用者的识别紧密相连，也就是要决定使用者对何种资讯有何种存取权。

对称加密技术具有快速、适用于大规模数据的特点。但是，公共网络中通信人员间的密钥分配比较烦琐。因此，在没有一种可靠的单钥分配技术的情况下，单钥加密技术难以用于电子商务。

3.2 密码技术

密码技术是一种防止被人读取的技术。密码技术既有加法，也有解密。密码技术就是把原来的资料用数字方法转化为无法读取的资料。对密码进行解密，则与密码相反。加密技术由两种元素组成：运算法则和金钥。加密技术可分为两类：一类是对称加密，另一类是不对称加密。

对称加密方法。对称密码学也被称为单密钥加密系统，是指发送者和接收者通过相同的密钥进行信息的加密和解密。这个金钥应该是发送方和接收方共同分享的，而且不被允许泄露出去。这样，发射状态与接收状态就成对称。对称密钥密码体制是一种高效的密码体制，其优点是可以通过使用更短的密钥来实现更好的密码体制。不过，这种方法也存在一些缺陷，在协作生成密钥时，所有与其相关的消息都要确保不会被人偷听，否则，如果被第三方获取或计算出，就会造成机密泄露。最常见的单钥加密法是数据加密标(Data Encryptnn Standard，DES)，这是一种分组密码技术，每个分组长度为64比特，使用56位密钥，通过16轮的异或、 S盒替换、P盒置换后得到密文。DES的解码方法和密码学的方法相似。而对称加密方法的快速性更适用于对海量信息进行加密。不过，在公共网络中，通信双方的私钥分发是一件很复杂的事情。因此，如果没有一种可靠的密码体制，那么单一的密码体制难以在电子交易中使用。

不对称加密方法。公钥密码系统(PKIP公钥基础设施)也就是使用两种不同的密钥对数据进行加密与解密。一个是用来恢复数据的，另一个是向公众公布的公共钥匙。假定甲将向乙发送资料，在发送之前，甲方首先使用乙方的公开密钥对数据进行加密。而收到资料的乙方只要有自己的钥匙，他就可以将里面的东西全部破解出来。Rivest-Shamir-Adleman算法，是建立在一个数学问题的基础上的，也就是用一种加密方法来解决对数问题。公共金钥密码方法尽管不存在金钥分发问题，但加密和解密的运算时间很长更适用于对资料进行加密和汇总。并且，放在网上的公开钥匙也有被不正当修改的危险，所以在使用电子商务时，为增强系统的安全性和可靠性，还需要数码验证和可靠第三方的合作。或者使用混合加密方法，也就是使用公共密钥加密方法来分发单个密钥加密方法的密钥，从而加快解密速度。

3.3 数字签名技术

在非对称密码技术的基础上，提出一种能够验证消息来源和消息内容真伪的数字签名。在通信双方不能相互认证的情况下，可使用电子签名来认证通信双方的身份。收件人可以确认该讯息的确是发件人发出的且未被修改，发件人不能否认该讯息曾被发送。

3.4 数字认证与认证中心

公钥是指在公共网络中，将其他人用作向自己发送信息的密码，一旦公钥被人伪造，便可以冒充您，将传输信息的信息截获，并利用对等的密钥破解信息。因此，在传输资料时，需要验证一下身份，然后再将资料发送出去。为实现对公共密钥的验证，可通过对公共密钥的验证来实现，即所谓的数字验证。

在使用电子商务时，必须有一个可靠的第三方对双方的公开密钥进行验证。这个第三方就是所谓的身份验证中心，CA会根据合法身份验证人员的要求进行一个数字验证，其中包括身份验证数据的名字、公钥及CA的签字，有CA的签字，公钥就可以被信任。在互联网上，商家通过CA的公共密钥进行认证，从而使各商家之间的相互信任得以实现。采用数字鉴权技术能更好地增强身份的确认性。

3.5 信息隐藏技术

利用多种信号处理的手段，把要保密的信息隐藏在声音和图像数据之中。在非法使用者拦截到含密文件之后，只能对文件的内容进行解析，而不会发现里面包含什么秘密信息，或者就算他知道里面包含着什么隐秘信息，也无法对它进行解析。信息可以被隐藏在多媒体数据中的原因包括：一是由于多媒体信息自身具有大量的冗余，从信息论的观点来看，未经压缩的多媒体信息的编码效率非常低下，因此，将一些信息嵌入多媒体信息中进行保密传输是绝对可以实现的，而且不会对多媒体信息自身的传输和利用造成任何干扰。

3.6 防火墙技术

“防火墙”是一种建立在诸如可靠的内网、非可靠的公用网等不同网络或网络安全领域的元件的集合体。该系统是各大网络或各大安全领域间信息交换的唯一通道，能够按照公司的安全策略对进出网络的信息流进行控制(允许、拒绝、监控)，同时还具备强大的抵抗攻击的能力。它是为用户提供信息保护，并为用户提供必要保障。防火墙会对通过其的网络通信进行扫描，从而可以将某些袭击筛选出来，使之不会对目标电脑实施。防火墙也会关掉那些没有被用过的埠，同时也会阻止从某个特别的埠出来的讯息，从而阻止特洛伊木马的入侵。

在入侵过程中，防火墙起到良好的防护效果，黑客在进入被入侵电脑之前，需要通过它的防护措施。可以用很多不同的防护等级来设定防火墙。较高水平的安全措施也许会使某些业务受到限制，而这些业务则有权被公司所保护。这也能阻止一些特定网站的进入，阻止一切未知黑客的通讯。

4 相关理论与技术的研究现状及发展趋势

4.1 相关理论与技术的研究现状

密码理论。密码理论和技术包含两个方面：一是以数学为基础的密码学原理和技术；二是以数字为基础的密码学原理和技术(如认证代码、数字签名、Hash功能、身份认证、密钥管理、PKI技术等)，以及其他一些非算术地加密原理和方法(如信米非司酮身、量子加密、生物鉴别等)。

自1976年公开密钥加密的概念被人们提出之后，国内外相继出现了多种不同的公开密钥加密方案。目前，主流的公开密钥加密方案有两种：一种是最具代表性的，即RSA。另一种是以对数为基础的离散对数问题为基础，如ElGamal公开密钥加密，以及有一定影响力的椭圆曲线公开密钥加密。国内的学者已经设计出几个公共密钥加密方案，此外，他们还在公共密钥加密的快速实现上进行了一些工作，例如，在RSA和椭圆曲线的公共密钥加密的快速实现上都取得了突破性进展，公开密钥加密技术是一种应用广泛的加密技术。在此基础上提出了一种新的密码体制，即密码体制。当前，专家学者们对数字密码体制进行大量研究，既有一般密码体制，也有专用密码体制。序列加密主要应用在政府、军队等重要机构中，虽然涉及的技术与原理都属于机密，但因为有代数、数论、概率等数论等数学工具可以应用到序列加密中，所以它们的理论与技术相对较为成熟。从20世纪80年代中后期到90年代初期，对序列加密进行了大量理论和应用，并取得了大量有意义的结果。进入21世纪以来，对数字密码的研究又取得了长足的进步，数据链条技术逐渐应用到各个方面，区块链、分布式等先进理念成为密码技术革新的突破口和创新点，也为今后的理论和技术研究开创了新空间。

4.2 电子商务信息安全影响因素的研究

电子商务信息安全主要是指电子商务中存在的安全威胁，由于非法入侵者的侵入，造成商务信息被篡改、盗窃或丢失，商业机密在传输过程中被第三方获悉，甚至被恶意窃取、篡改和破坏，虚假身份的交易对象及虚假订单、合同，贸易对象的抵赖，由于计算机系统故障对交易过程和商业信息安全所造成的破坏。电子商务的安全性需求涵盖多方面的内容，包括信息保密性、信息完整性、信息不可否认性、交易者身份的真实性及系统的可靠性等。里面涉及防火墙技术、密钥加密技术等。

在我国，密码技术尤其是加密技术是一项非常重要的技术，国外的加密技术无法被引入和使用，必须依靠自己的力量来发展。当前，我们的加密技术与国际上的技术仍存在较大差距。外国的加密技术会给我国带来一些影响，部分应用也会逐步跟上世界的标准，所以我们要有自己的加密技术，有自己的一系列准则和制度，以应对以后的各种挑战。没有正确的密码技术知识，就不会有先进的、自主的和创新的密码学知识，更无法有效应用密码技术的基本原理。为此，我们要在密码技术基本原理的研究上，不断追赶世界的步伐，还需要得到国家的大力扶持与投资。同时，对密码技术的研究也必须落到实处，没有实际应用环境和场景的密码学将毫无意义。要在已有的密码学理论与技术的基础上，对外国的密码技术进行深入研究，从而形成具有自主知识产权的密码技术，使之与国家的经济建设相匹配。

5 电子商务信息安全理论发展趋势

5.1 安全协议理论与技术研究发展趋势

安全体系结构理论与技术的具体内容有：构建安全体系模型并对它们进行形式化描述与分析安全策略和机制的研究，对系统安全性进行检验和评估的科学方法和准则的构建与这些模型、策略和准则相一致的系统的研发(如安全操作系统、安全数据库系统、安全防火墙系统等)。

近年来，六国七方(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)联合制定《国际信息技术的安全性评估标准》(CC for ITSEC)。CC融合国内外现有评价规范与技术规范之精髓，提出该体系结构与原理，但尚缺乏对其多安全性特性进行全面解析的理论与方法。

5.2 信息对抗理论与技术研究现状及发展趋势

信息对抗理论与技术的具体内容有：黑客预防体系、信息伪装理论与技术、信息分析与监测、入侵检测原理与技术、反击技术、紧急应对系统，以及用于防病毒、防侵入等方面的人工免疫系统。截至目前，大多是被某些软件(如入侵检测系统、防御软件、杀毒软件等)所破解的。目前，安全技术研究中最受关注的问题就是网络攻击，而安全技术研究的另外一个热点就是安全技术中的入侵检测和防御。该领域的研究已相当成熟，并且已经形成了一套系统。以入侵检测系统为例，我国发生过一次“Internet蠕虫事件”，后来又发生过一次“Y2K”问题，这些都使我们对信息系统的安全性给予足够的关注。近年来，一些黑客采用分散式的拒绝服务策略，对一些大的站点进行攻击，造成整个系统的崩溃。由于其自身的特殊性，使得它被广泛地应用到军事对抗中。电脑病毒与网络入侵技术必然会是新一代军用兵器。信息化对抗技术的发展，将使过去的竞赛形态发生变化，甚至是军事竞赛。在信息战争的背景下，最重要的一点是，参加者并不一定要具有超强的力量。如果有足够的技术，即使不考虑各国的情况，也能摧毁C2级别的脆弱网络，阻止重要的信息服务。与马哈尼(Mhanian)的“信息控制”策略相比，美国军队更实际的是采取一种“信息拒绝”策略(尤其是不允许获得真实消息)。许多专家相信，“信息战争”并不存在前沿阵地，而可能的前沿阵地就是所有能够接入网络的区域，如石油天然气管道、电力网络、电话交换网络等。总之，美国已经无法作为一个可以抵御外来袭击的庇护所。

网络安全中的另一个热点问题就是网络安全中的攻击和防御。该领域的相关技术已经相当成熟，并且已经开发出一套完整的系统，其中以入侵检测系统最具代表性。我国对此也进行了大量研究，并已有相关成果问世。

5.3 网络安全与安全产品研究现状及发展趋势

在当今的信息安全技术中，网络安全技术一直是人们关注的焦点。本文主要进行以下几个方面的工作：网络安全总体设计和分析，网络安全产品的开发。信息系统的安全性分为实体安全性和逻辑安全性两大类，实体安全性是对所有通信设备和计算机设备及与之有关的设备进行实体上的防护，以防止被破坏、丢失等，其中“信息的完整性”“保密性”“不可否认性”和“可用性”是一个涉及网络操作系统、数据库等方面的内容，同时对应用体系、人员管理等各方面都要进行全面考量。此外，采用加密技术、网络存取控制等手段，是目前网络中的重要技术手段。

当前，市面上较为普及且可以代表未来发展趋势的安全产品主要有：防火墙、安全路由器、虚拟专用网(VPN)、安全服务器、电子签证机构一用户认证产品、入侵一CA和PKI产品。安全管理中心，入侵检测系统，安全数据库，安全操作系统的重点与成果，均涉及加密技术的相关领域，而且都是十分基本的领域。许多安全性的函数和机制，都是基于加密技术来完成的。因此，没有加密技术，就谈不上安全性。同时，我们还应当注意到与通信技术相结合的加密技术。电脑技术与芯片技术的结合愈来愈密切，其产品的界限也愈来愈模糊，而且愈来愈无法分开。对一个电脑系统来说，要把哪种装置作为加密装置、把哪一种装置作为通信装置是很困难的，这些融合的终极目标仍然是给使用者带来高度的信任与安全。如何有效地实现信息系统的安全性，是一个需要从技术、产品、管理等多方面考虑的问题。

6 结语

安全无小事，在电子商务发展的过程中，信息安全越来越受到社会各界的重视。尤其是随着当前互联网技术的深度应用和数字经济的广泛拓展，更是把信息安全推到一个全新的高度。随着国家工业互联网的发展，信息技术已成为国民经济发展的一个非常重要的支撑，在国计民生和企业经营中的重要性日益凸显出来。同时，政府、企业及普通百姓对于信息科技的安全性、稳定性、维护性及可发展性的需求也愈来愈强烈，所以无论是从社会发展还是从国家安全的观点，都必须加强电子商务信息安全，完备的信息安全体系将是未来保障我国国民经济平稳运行不可或缺的盾牌。