1、电子商务安全技术探讨摘 要: 随着 Internet、计算机技术、网络技术的发展,出现了一种新兴的商务模式电子商务。随着电子商务的飞速发展,安全成为制约其发展的关键.本文在简单介绍了电子商务的现状、安全隐患及安全技术措施,其中重点探讨电子商务的交易安全及网络安全问题及相应的解决措施。 关键词:电子商务 安全 密码 数字签名 协议 网络安全 交易安全 电子商务是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的全过程;它是一种基于互联网,以交易双方为主体,以银行电子支付和结算为手段,以客户数据为依托的全新商务模式。本质是建立一种全社会的“网络计算环境”或“数字化神经系统” ,
2、以实现信息资源在国民经济和大众生活中的全方位应用。 一、从安全上看,电子商务的现状 1.网络信息安全在全球还没有形成一个完整的体系,我国也不例外。2.安全技术的强度普遍不够。国外有关电子商务的安全技术,虽然其结构或加密技术等都不错,但受到了外国密码政策的限制,因此强度普遍不够。 3.电子商务网站的安全管理存在很大隐患,普遍难以经受黑客的攻击。 4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域,这些因素的存在必将影响我国电子商务进一步的发展。 二、电子商务安全性要求 从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决: 1.交易前交易双方身
3、份的认证问题。电子商务是建立在互联网络平台上的虚拟空间中的商务活动,交易的双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。 2.交易中电子合同的法律效力问题以及完整性保密性问题。 3.交易后电子记录的证据力问题。在英美法系,传闻证据规则限制了电子记录的证据力。在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。 三、网络安全技术及解决思路 计算机网络安全的特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。其问题
4、有: 1.未进行操作系统相关安全配置。不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。 2.未进行 CGI 程序代码审计。如果是通用的 CGI 问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些 CGI 程序,很多存在严重的 CGI 问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。 3.拒绝服务(DoS,Denial of Service)攻击。随着电子商务的兴起,对网站的实时性要求越来越
5、高,DoS 或 DDoS 对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。 4.安全产品使用不当。虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。 5.缺少严格的网络
6、安全管理制度。网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 分析计算机网络安全面临的问题本人提出的解决思路有: 1.加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞。 2.要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在安全隐患,并及时加以修补。 3.从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证。 4.利用 RAID5 等数据存储技术加强数据备份和恢复措施。 5.对敏感的设备和数据要建立必要的物理或逻辑隔离措施。 6.对在公共
7、网络上传输的敏感信息要进行强度的数据加密。 7.建立详细的安全审计日志,以便检测并跟踪入侵攻击等。 四、电子商务交易安全面临的问题及解决思路 一般来说商务安全中普遍存在着以下几种安全隐患: 1. 窃取信息。由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 2. 篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。 3.假冒。由于
8、掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。 4.恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。 电子商务交易安全面临的问题本人提出的解决思路: 1.部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。 2.另行确认(Order Confirmation):即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。 3.建立有效的安全交易标准和技术:如现在建立的安
9、全超文本传输协议(SHTTP) 、 安全套接层协议(SSL) 、安全交易技术协议(STT,Secure Transaction Technology)等。 4.数字认证:数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性,甚至数据媒体的有效性。 5.加密技术:保证电子商务安全的最重要的一点是使用加密技术对敏感的信息进行加密。 6.电子商务认证中心(CA,Certificate Authority)实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。 五、结束语 我国的电子商务近年来发展很快,但是有关的安全保障还未建立起来。这已经成为影响我国电
10、子商务发展的一个障碍。为此,我们必须加快建设有关的电子商务安全系统。这将是一个综合性的、涉及全社会的系统工程。具体而言,我们要从法律上承认电子通讯记录的效力,给电子商务以法律保障;我们要加强对电子签名等的研究,给电子商务以技术保障;我们还要尽快建立电子商务认证体系,给电子商务以组织保障。而且,针对电子商务无国界的特点,我们还应该加强国际合作,使电子商务真正发挥其应有的作用。惟有如此,我们才能顺应时代潮流,推动我国经济的发展;也惟有如此,我们才能在经济全球化的今天,参与到国际竞争中去,并进而赢得竞争的优势。 参考文献: 1周化祥、李智伟.网络及电子商务安全.M.北京:中国电力出版社,2004.7. 2祝晓光.网络安全设备与技术.M.北京:清华大学出版社.2004.11.