電子商務中的信息安全及關(guān)鍵技術(shù)的探討
摘要:伴隨著電子商務的廣泛應用,電子商務的安全問題愈加突出和亟待解決。本文就電子商務活動中的安全問題分析了現(xiàn)在流行的信息安全框架,并對信息安全的關(guān)鍵技術(shù)進行了探討。
一、引言
電子商務即EC(Electronic Commerce),簡單講就是利用先進的電子技術(shù)進行商務活動的總稱。電子商務包括兩個方面:一是商務活動;二是電子化手段。現(xiàn)代電子商務是基于Internet技術(shù)的新型的商務活動,是21世紀市場經(jīng)濟商務運行的主要模式。由于Internet的全球性和開放性,不受時間和空間的限制,給電子商務交易帶來了種種不安全因素。網(wǎng)絡上的信息安全問題已成為影響電子商務發(fā)展的重要因素之一。因此,研究在開放的網(wǎng)絡環(huán)境下電子商務安全問題就變的非常地迫切和重要了。
二、安全問題
1.安全問題
由于電子商務是在開放的網(wǎng)絡上進行的貿(mào)易,其支付信息、訂貨信息、談判信息、機密的商務往來文件等大量商務信息在計算機網(wǎng)絡系統(tǒng)中存放、傳輸和處理,所以,網(wǎng)絡系統(tǒng)中信息安全技術(shù)成為電子商務安全交易的技術(shù)支撐。網(wǎng)絡信息所面臨的威脅來自許多方面,并且在不斷發(fā)生著變化。其中最常見的有非法訪問、惡意攻擊、計算機病毒以及其它方面如物理損壞、人與自然災難等。
2.安全要素
(1)完整性。完整性指數(shù)據(jù)信息未經(jīng)授權(quán)不能進行改變的特性,也就是要求保持信息的原樣,要預防對信息的隨意生成、修改、偽造、插入和刪除,同時要防止數(shù)據(jù)傳輸過程中的丟失、亂序和重復。
(2)機密性。機密性是指網(wǎng)絡信息只為授權(quán)用戶所用,不會泄露給未授權(quán)的第三方的特性。要保證信息的機密性,需要防止入侵者侵入系統(tǒng),對機密信息需先經(jīng)過加密處理,再送到網(wǎng)絡中傳輸。
(3)不可否認性。不可否認性也即不可抵賴性是指所有參與者都不可能否認和抵賴曾經(jīng)完成的操作。要求在交易信息的傳輸過程中為參與交易的個人、企業(yè)和國家提供可靠的標識,使信息發(fā)送者在發(fā)送數(shù)據(jù)后不能抵賴,而接受方接受數(shù)據(jù)后也不能否認。
(4)真實性。真實性是指商務活動中交易信息的真實,包括交易者身份的真實性,也就是確保網(wǎng)上交易的對象是真實存在的,而不是虛假或偽造的,也包括交易信息自身的真實性。
(5)可用性。可用性就是確保信息及信息系統(tǒng)能夠為授權(quán)使用者所正常使用。
(6)可靠性。可靠性是指電子商務系統(tǒng)的可靠性,在遇到自然災害、硬件故障、軟件錯誤、計算機病毒等情況下,仍能確保系統(tǒng)安全、可靠地運行。
三、信息安全框架
信息安全的內(nèi)涵是在不斷地發(fā)展和變化的。一般信息安全是從兩個方面進行描述:一種是從信息安全所涉及的安全屬性的角度進行描述,涉及了機密性、完整性、可用性等。這些安全屬性是保障電子商務交易的安全要素。另一種是從信息安全所涉及層面的角度進行描述,信息安全被認為是一個由物理安全、運行安全、數(shù)據(jù)安全和內(nèi)容安全組成的四層模型。伴隨著Internet的發(fā)展,信息對抗引起了人們的重視,被引入了信息安全領(lǐng)域。信息對抗研究的內(nèi)容是信息真實性的保護和破壞,信息對抗討論如何從多個角度或側(cè)面來獲得信息并分析信息,或者在信息無法隱藏的前提下,通過增加更多的無用信息來擾亂獲取者的視線,以掩藏真實信息所反映的含義。從本質(zhì)上來看,信息對抗屬于信息利用的安全。由此,在信息安全模型中增加了信息對抗這個層次。
基于信息安全的作用點,可以將信息安全看作是由三個層次、五個層面所構(gòu)成的層次框架體系,在每個層面中各自反映了在該層面中所涉及的信息安全的屬性。
其中,系統(tǒng)安全反映的信息系統(tǒng)所面臨的安全問題,包括物理安全和運行安全,物理安全是指網(wǎng)絡與信息系統(tǒng)的硬件安全;運行安全是指網(wǎng)絡與信息系統(tǒng)中的軟件安全。狹義的“信息安全”問題是信息自身面臨的安全問題,包括數(shù)據(jù)安全和內(nèi)容安全,數(shù)據(jù)安全以保護數(shù)據(jù)不受外界的侵擾為目的,內(nèi)容安全是指對信息在網(wǎng)絡內(nèi)流動中的選擇性阻斷,以保證信息流動的可控能力。信息對抗是指在信息的利用過程中,對信息的真實性的隱藏與保護,或者攻擊與分析。
四、安全技術(shù)
隨著計算機網(wǎng)絡的飛速發(fā)展和應用,網(wǎng)絡信息安全技術(shù)也在不斷地發(fā)展。現(xiàn)階段已采用了多種安全技術(shù)保護信息的安全,如:訪問控制、數(shù)據(jù)加密、入侵檢測、用戶授權(quán)與認證等。
1.訪問控制
訪問控制是指對網(wǎng)絡中的某些資源的訪問要進行控制,只有被授予特權(quán)的用戶才有資格并有可能去訪問有關(guān)的數(shù)據(jù)或程序。訪問控制是網(wǎng)絡安全防范和保護的主要策略,它的主要任務是保證資源不被非法使用和非法訪問。常用的訪問控制技術(shù)有:入網(wǎng)訪問控制,網(wǎng)絡的權(quán)限控制,目錄級安全控制,防火墻控制,網(wǎng)絡服務器控制,網(wǎng)絡監(jiān)測和鎖定控制等。
#p#2.加密技術(shù)
加密技術(shù)是認證技術(shù)及其他許多安全技術(shù)的基礎。加密技術(shù)是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和公用密鑰體制兩種。相應地,對數(shù)據(jù)加密的技術(shù)分為兩類,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以DES算法為典型代表,非對稱加密通常以RSA算法為代表。
3.防火墻技術(shù)
防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法,實際上是一種隔離技術(shù),是安全網(wǎng)絡(被保護的內(nèi)網(wǎng))與非安全網(wǎng)絡(外部網(wǎng)絡)之間的一道屏障,以預防發(fā)生不可預測的、潛在的網(wǎng)絡入侵。
防火墻可以根據(jù)網(wǎng)絡安全水平和可信任關(guān)系將網(wǎng)絡劃分成一些相對獨立的子網(wǎng),兩側(cè)間的通信受到防火墻的檢查控制;可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過,同時將安全策略不允許的用戶與數(shù)據(jù)包隔斷,達到保護高安全等級的子網(wǎng)、防止墻外黑客的攻擊、限制入侵蔓延等目的。但是,防火墻不能阻止來自用戶網(wǎng)絡內(nèi)部的攻擊。
4.入侵檢測技術(shù)
入侵檢測是通過監(jiān)控網(wǎng)絡與系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況,來檢測用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖,在發(fā)現(xiàn)入侵后,及時采取相應的措施來阻止入侵活動的進一步破壞,包括切斷網(wǎng)絡連接、記錄事件和報警等。
入侵檢測不僅可以檢測外部入侵,而且對內(nèi)部的濫用行為也有很好的檢測能力。
5.虛擬專用網(wǎng)
虛擬專用網(wǎng)(Virtual Private Network VPN)技術(shù)是一種在公用互聯(lián)網(wǎng)絡上構(gòu)造專用網(wǎng)絡的技術(shù)。將物理上分布在不同地點的專用網(wǎng)絡,通過公共網(wǎng)絡構(gòu)造成邏輯上的虛擬子網(wǎng),進行安全的通信。VPN采用一種叫做“通道”或“數(shù)據(jù)封裝”的系統(tǒng),用公共網(wǎng)絡及其協(xié)議向貿(mào)易伙伴、顧客、供應商和雇員發(fā)送敏感的數(shù)據(jù)。這種通道是Internet上的一種專用通道,可保證數(shù)據(jù)在外部網(wǎng)上的企業(yè)之間安全地傳輸。
6.認證技術(shù)
認證技術(shù)提供了一種安全可靠的驗證交易各方身份真實性的驗證機制。安全認證技術(shù)主要有:(1)數(shù)字摘要技術(shù),可以驗證通過網(wǎng)絡傳輸收到的明文是否被篡改,從而保證數(shù)據(jù)的完整性和有效性。(2)數(shù)字簽名技術(shù),能夠?qū)崿F(xiàn)對原始報文的鑒別和不可否認性,同時還能阻止偽造簽名。(3)數(shù)字時間戳技術(shù),用于提供電子文件發(fā)表時間的安全保護。(4)數(shù)字憑證技術(shù),又稱為數(shù)字證書,負責用電子手段來證實用戶的身份和對網(wǎng)絡資源訪問的權(quán)限。(5)認證中心,負責審核用戶的真實身份并對此提供證明,而不介入具體的認證過程,從而緩解了可信第三方的系統(tǒng)瓶頸問題。
電子商務安全是一個系統(tǒng)的概念,不僅與計算機信息網(wǎng)絡系統(tǒng)有關(guān),還與電子商務應用的環(huán)境、人員素質(zhì)和社會因素有關(guān)。以上我們僅對基于開放的網(wǎng)絡環(huán)境下的信息安全方面進行了探討。而一個完整的電子商務交易安全體系,則至少應包括以下幾類措施:一是計算機網(wǎng)絡技術(shù)方面的措施;二是管理制度方面的措施,三是社會的政策與法律保障等。
【編輯推薦】
