电子商务的信息安全及技术研究

摘　要　电子商务在安全方面所面临的目前，我国的信息安全研究已经历了通信保密、计算机数据保护两个发展阶段，现正处于网络信息安全研究阶段。通过学习、吸收、消化等手段，已逐步掌握了部分网络安全和电子商务安全技术，进行了安全操作系统、多级安全数据库的研制探索，但由于没有掌握系统核心技术，使得要开发出有自主知识产权的信息产品困难重重，而基于国外具体产品开发出的安全系统则难以完全杜绝安全漏洞或“后门”。在借鉴国外先进技术的基础上，国内一些企业也研制开发出一些安全产品，如防火墙、黑客入侵检测系统、电子商务安全交易系统、安全路由器等。但这些产品安全技术的规范性、完善性、实用性还存在许多不足，理论基础和自主的技术手段需要发展和强化。
　　此外，国内不少电子商务企业对网络信息安全意识不强。无论在建网立项、规划设计上，还是在网络运行管理和使用中，更多的是考虑效益、方便、快捷，而把安全、保密、抗攻击放在了次要地位，出现了诸如对网络实用性要求多，对系统安全性论证少；对网络设备投资多，对安全设施投入少；在操作技能培训上用时多，在安全防范知识的普及与提高上用时少的短期行为。
2　电子商务信息安全面临的威胁
2.1　电子商务信息存储安全隐患
　　信息存储安全是指电子商务信息在静态存放中的安全。其信息安全隐患主要包括：非授权调用信息和篡改信息内容。企业的Intranet与Internet联接后，电子商务的信息存储安全面临着内部和外部两方面的隐患：
　　（1）内部隐患。主要是企业的用户故意或无意的非授权调用电子商务信息或未经许可随意增加、删除、修改电子商务信息。
　　（2）外部隐患。主要是外部人员私自闯入企业Intranet，对电子商务信息故意或无意的非授权调用或增加、删除、修改。隐患的主要来源有：竞争对手的恶意闯入、信息间谍的非法闯入以及黑客的骚扰闯入。
2.2　电子商务信息传输安全隐患
　　信息传输安全是指电子商务运行过程中，物流、资金流汇成信息流后动态传输过程中的安全。其安全隐患主要包括：
　　（1）窃取商业秘密；
　　（2）攻击网站；
　　（3）网上诈骗；
　　（4）否认发出信息。
2.3　电子商务交易双方的信息安全隐患
　　传统商务活动是面对面进行的，交易双方能较容易地建立信任感并产生安全感。而电子商务是买卖双方通过Internet的信息流动来实现商品交换的，信息技术手段使不法之徒有机可乘，这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁。
　　（1）卖方面临的信息安全威胁。例如，假冒合法用户名义改变商务信息内容，致使电子商务活动中断，造成商家名誉和用户利益等方面的受损；恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息；信息间谍通过技术手段窃取商业秘密；黑客入侵并攻击服务器，产生大量虚假订单挤占系统资源，令其无法响应正常的业务操作。
　　（2）买方面临的信息安全威胁。如用户身份证明信息被拦截窃用，以致被要求付帐或返还商品；域名信息被监听和扩散，被迫接收许多无用信息甚至个人隐私被泄露；发送的商务信息不完整或被篡改，用户无法收到商品；受虚假广告信息误导购买假冒伪劣商品或被骗钱财；遭黑客破坏，计算机设备发生故障导致信息丢失。
3　电子商务对信息安全的需求
　　（1）信息的保密性。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务则建立在一个开放的网络环境（Internet）上，维护商业机密是电子商务全面推广内容的真实性；另一方面是指网上交易双方身份信息的真实性，即对人或实体的身份进行鉴别，为身份的真实性提供保证，使交易的双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定身份时，鉴别服务将验证其声明的正确性。一般可通过认证机构和证书来实现。
　　（4）信息的不可抵赖性。对进行电子商务交易的贸易双方来说，一个很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已经不可能。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，使原发方对已发送的数据、接收方对已接收的数据都不能否认。通常可通过对发送的消息进行数字签名来实现信息的不可抵赖性。
　　（5）信息的有效性。电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，这对于保证贸易数据在确定的时刻、确定的地点是有效的。
4　电子商务的信息安全技术
　　电子商务的应用是以Internet的基础设施和标准为基础，涉及从通信协议到应用集成的广泛领域，套用国际标准化组织ISO的开放系统互联OSI七层协议模型，相应地将各安全措施映射到对应层次中，可以较好地描述电子商务安全技术体系。
4.1　网络层技术
　　网络安全是电子商务系统安全的基础，涉及的方面较广，如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等，其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制目前，比较成熟的协议有SET、SSL、iKP等基于信用卡的交易协议，Net?鄄Bill，NetCheque等基于支票的交易协议，Digicash、Netcash等基于现金的交易协议，匿名原子交易协议，防止软件侵权和非法拷贝的基于PKC的安全电子软件分销协议等。随着电子商务的发展，电子交易手段的多样化，信息安全问题将会变得更加重要和突出。由于电子商务的实现是一项复杂的系统工程，其信息安全问题的解决有赖于各相关技术的发展，如：公钥基础设施（PKI）技术的研究与应用；电子商务采购协议、支付协议及物流配送协议的进一步完善；XML的研究和标准化等。同时，除技术问题外，电子商务的信息安全还有赖于电子商务发展所需的政策和相应的法律、法规的建设等社会环境的完善。这些课题的研究不仅具有重要的理论价值和实用价值，而且对于推动电子商务的发展具有重要的现实意义。
参考文献
1　徐雪梅．浅谈保障电子商务活动中的信息安全［Ｊ］．科技情报开发与经济，2003（５）
2　曾强．电子商务的理论与实战———全球“大局观”下的中国电子商务［Ｍ］．北京：中国经济出版社,2000
3　祁明．电子商务安全与保密［Ｍ］．北京：高等教育出版社，2001
4　徐汉超．计算机网络安全与数据完整性技术［Ｍ］．北京：北京电子工业出版社,1999转贴于范文论文吧 http://www.fwlw8.com