電子商務(wù)中的信息安全及關(guān)鍵技術(shù)的探討

電子商務(wù)中的信息安全及關(guān)鍵技術(shù)的探討[內(nèi)容摘要]伴隨著電子商務(wù)的廣泛應(yīng)用，電子商務(wù)的安全問題愈加突出和亟待解決。本文就電子商務(wù)活動(dòng)中的安全問題分析了如今流行的信息安全框架,并對(duì)信息安全的關(guān)鍵技術(shù)進(jìn)行了討論。[本文關(guān)鍵詞語]電子商務(wù)信息安全框架安全技術(shù)一、引言電子商務(wù)即ec〔electroniccommerce〕，簡(jiǎn)單講就是利用先進(jìn)的電子技術(shù)進(jìn)行商務(wù)活動(dòng)的總稱。電子商務(wù)包含兩個(gè)方面：一是商務(wù)活動(dòng);二是電子化手段?，F(xiàn)代電子商務(wù)是基于internet技術(shù)的新型的商務(wù)活動(dòng)，是21市場(chǎng)經(jīng)濟(jì)商務(wù)運(yùn)行的重要形式。由于internet的全球性和開放性，不受時(shí)間和空間的限制，給電子商務(wù)交易帶來了各種不安全因素。網(wǎng)絡(luò)上的信息安全問題已成為影響電子商務(wù)發(fā)展的主要因素之一。因而，研究在開放的網(wǎng)絡(luò)環(huán)境下電子商務(wù)安全問題就變的非常地迫切和主要了。二、安全問題1.安全問題由于電子商務(wù)是在開放的網(wǎng)絡(luò)上進(jìn)行的貿(mào)易,其支付信息、訂貨信息、會(huì)談信息、機(jī)密的商務(wù)往來文件等大量商務(wù)信息在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存放、傳輸和處理,所以,網(wǎng)絡(luò)系統(tǒng)中信息安全技術(shù)成為電子商務(wù)安全交易的技術(shù)支撐。網(wǎng)絡(luò)信息所面臨的威脅來自很多方面,而且在不斷發(fā)生著變化。其中最常見的有非法訪問、惡意攻擊、計(jì)算機(jī)病毒以及其它方面如物理損壞、人與天然災(zāi)難等。2.安全要素(1)完好性。完好性指數(shù)據(jù)信息未經(jīng)受權(quán)不能進(jìn)行改變的特性，也就是要求堅(jiān)持信息的原樣，要預(yù)防對(duì)信息的隨意生成、修改、偽造、插入和刪除，同時(shí)要防止數(shù)據(jù)傳輸經(jīng)過中的丟失、亂序和反復(fù)。(2)機(jī)密性。機(jī)密性是指網(wǎng)絡(luò)信息只為受權(quán)用戶所用，不會(huì)泄露給未受權(quán)的第三方的特性。要保證信息的機(jī)密性，需要防止入侵者侵入系統(tǒng)，對(duì)機(jī)密信息需先經(jīng)過加密處理，再送到網(wǎng)絡(luò)中傳輸。(3)不可否認(rèn)性。不可否認(rèn)性也即不可抵賴性是指所有參與者都不可能否認(rèn)和抵賴曾經(jīng)完成的操作。要求在交易信息的傳輸經(jīng)過中為參與交易的個(gè)人、企業(yè)和國(guó)家提供可靠的標(biāo)識(shí)，使信息發(fā)送者在發(fā)送數(shù)據(jù)后不能抵賴，而承受方承受數(shù)據(jù)后也不能否認(rèn)。(4)真實(shí)性。真實(shí)性是指商務(wù)活動(dòng)中交易信息的真實(shí)，包含交易者身份的真實(shí)性，也就是確保網(wǎng)上交易的對(duì)象是真實(shí)存在的，而不是虛假或偽造的，也包含交易信息本身的真實(shí)性。(5)可用性?？捎眯跃褪谴_保信息及信息系統(tǒng)能夠?yàn)槭軝?quán)使用者所正常使用。(6)可靠性?？煽啃允侵鸽娮由虅?wù)系統(tǒng)的可靠性，在碰到天然災(zāi)禍、硬件故障、軟件毛病、計(jì)算機(jī)病毒等情況下，仍能確保系統(tǒng)安全、可靠地運(yùn)行。三、信息安全框架信息安全的內(nèi)涵是在不斷地發(fā)展和變化的。一般信息安全是從兩個(gè)方面進(jìn)行描繪敘述:一種是從信息安全所牽涉的安全屬性的角度進(jìn)行描繪敘述，牽涉了機(jī)密性、完好性、可用性等。這些安全屬性是保障電子商務(wù)交易的安全要素。另一種是從信息安全所牽涉層面的角度進(jìn)行描繪敘述，信息安全被以為是一個(gè)由物理安全、運(yùn)行安全、數(shù)據(jù)安全和內(nèi)容安全構(gòu)成的四層模型。伴隨著internet的發(fā)展，信息對(duì)抗引起了人們的看重，被引入了信息安全領(lǐng)域。信息對(duì)抗研究的內(nèi)容是信息真實(shí)性的保衛(wèi)和毀壞，信息對(duì)抗討論怎樣從多個(gè)角度或側(cè)面來獲得信息并分析信息，或者在信息無法隱藏的前提下，通過增長(zhǎng)更多的無用信息來擾亂獲取者的視線，以掩藏真實(shí)信息所反映的含義。從實(shí)質(zhì)上來看，信息對(duì)抗屬于信息利用的安全。由此，在信息安全模型中增長(zhǎng)了信息對(duì)抗這個(gè)條理?；谛畔踩淖饔命c(diǎn)，能夠?qū)⑿畔踩醋魇怯扇齻€(gè)條理、五個(gè)層面所構(gòu)成的條理框架體系，在每個(gè)層面中各自反映了在該層面中所牽涉的信息安全的屬性。如以下圖。其中，系統(tǒng)安全反映的信息系統(tǒng)所面臨的安全問題，包含物理安全和運(yùn)行安全，物理安全是指網(wǎng)絡(luò)與信息系統(tǒng)的硬件安全；運(yùn)行安全是指網(wǎng)絡(luò)與信息系統(tǒng)中的軟件安全。狹義的“信息安全〞問題是信息本身面臨的安全問題，包含數(shù)據(jù)安全和內(nèi)容安全，數(shù)據(jù)安全以保衛(wèi)數(shù)據(jù)不受外界的侵?jǐn)_為目的，內(nèi)容安全是指對(duì)信息在網(wǎng)絡(luò)內(nèi)流動(dòng)中的選擇性阻斷，以保證信息流動(dòng)的可控能力。信息對(duì)抗是指在信息的利用經(jīng)過中，對(duì)信息的真實(shí)性的隱藏與保衛(wèi)，或者攻擊與分析。四、安全技術(shù)隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展和應(yīng)用，網(wǎng)絡(luò)信息安全技術(shù)也在不斷地發(fā)展?，F(xiàn)前階段已采取了多種安全技術(shù)保衛(wèi)信息的安全，如：訪問控制、數(shù)據(jù)加密、入侵檢測(cè)、用戶受權(quán)與認(rèn)證等。1.訪問控制訪問控制是指對(duì)網(wǎng)絡(luò)中的某些資源的訪問要進(jìn)行控制，只要被授予特權(quán)的用戶才有資格并有可能去訪問有關(guān)的數(shù)據(jù)或程序。訪問控制是網(wǎng)絡(luò)安全防備和保衛(wèi)的重要策略，它的重要任務(wù)是保證資源不被非法使用和非法訪問。常用的訪問控制技術(shù)有：入網(wǎng)訪問控制，網(wǎng)絡(luò)的權(quán)限控制，目錄級(jí)安全控制，防火墻控制，網(wǎng)絡(luò)效勞器控制，網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制等。2.加密技術(shù)加密技術(shù)是認(rèn)證技術(shù)及其他很多安全技術(shù)的基礎(chǔ)。加密技術(shù)是一種自動(dòng)的信息安全防備辦法，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻攔非法用戶理解原始數(shù)據(jù)，進(jìn)而確保數(shù)據(jù)的保密性。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和公用密鑰體制兩種。相應(yīng)地，對(duì)數(shù)據(jù)加密的技術(shù)分為兩類，即對(duì)稱加密(私人密鑰加密)和非對(duì)稱加密(公開密鑰加密)。對(duì)稱加密以des算法為典型代表，非對(duì)稱加密通常以rsa算法為代表。3.防火墻技術(shù)防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法,實(shí)際上是一種隔離技術(shù),是安全網(wǎng)絡(luò)(被保衛(wèi)的內(nèi)網(wǎng))與非安全網(wǎng)絡(luò)(外部網(wǎng)絡(luò))之間的一道屏障,以預(yù)防發(fā)生不可預(yù)測(cè)的、潛在的網(wǎng)絡(luò)入侵。防火墻能夠根據(jù)網(wǎng)絡(luò)安全水安然平靜可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對(duì)獨(dú)立的子網(wǎng)，兩側(cè)間的通信遭到防火墻的檢查控制；能夠根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過，同時(shí)將安全策略不允許的用戶與數(shù)據(jù)包隔斷，到達(dá)保衛(wèi)高安全等級(jí)的子網(wǎng)、防止墻外黑客的攻擊、限制入侵蔓延等目的。但是，防火墻不能阻攔來自用戶網(wǎng)絡(luò)內(nèi)部的攻擊。4.入侵檢測(cè)技術(shù)入侵檢測(cè)是通過監(jiān)控網(wǎng)絡(luò)與系統(tǒng)的狀況、行為以及系統(tǒng)的使用情況，來檢測(cè)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對(duì)系統(tǒng)進(jìn)行入侵的企圖，在發(fā)現(xiàn)入侵后，及時(shí)采用相應(yīng)的辦法來阻攔入侵活動(dòng)的進(jìn)一步毀壞，包含切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。入侵檢測(cè)不僅能夠檢測(cè)外部入侵，而且對(duì)內(nèi)部的濫用行為也有很好的檢測(cè)能力。5.虛擬專用網(wǎng)虛擬專用網(wǎng)〔virtualprivatenetworkvpn〕技術(shù)是一種在公用互聯(lián)網(wǎng)絡(luò)上構(gòu)造專用網(wǎng)絡(luò)的技術(shù)。將物理上分布在不同地點(diǎn)的專用網(wǎng)絡(luò)，通過公共網(wǎng)絡(luò)構(gòu)造成邏輯上的虛擬子網(wǎng)，進(jìn)行安全的通信。vpn采取一種叫做“通道〞或“數(shù)據(jù)封裝〞的系統(tǒng)，用公共網(wǎng)絡(luò)及其協(xié)議向貿(mào)易伙伴、顧客、供給商和雇員發(fā)送敏感的數(shù)據(jù)。這種通道是internet上的一種專用通道，可保證數(shù)據(jù)在外部網(wǎng)上的企業(yè)之間安全地傳輸。6.認(rèn)證技術(shù)認(rèn)證技術(shù)提供了一種安全可靠的驗(yàn)證交易各方身份真實(shí)性的驗(yàn)證機(jī)制。安全認(rèn)證技術(shù)重要有:(1)數(shù)字內(nèi)容摘要技術(shù)，能夠驗(yàn)證通過網(wǎng)絡(luò)傳輸收到的明文能否被改動(dòng)，進(jìn)而保證數(shù)據(jù)的完好性和有效性。(2)數(shù)字簽名技術(shù)，能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可否認(rèn)性，同時(shí)還能阻攔偽造簽名。(3)數(shù)字時(shí)間戳技術(shù)，用于提供電子文件發(fā)表時(shí)間的安全保衛(wèi)。(4)數(shù)字憑證技術(shù)，又稱為數(shù)字證書，負(fù)責(zé)用電子手段來證明用戶的身份和對(duì)網(wǎng)絡(luò)資源訪問的權(quán)限。(5)認(rèn)證中心，負(fù)責(zé)審核用戶的真實(shí)身份并對(duì)此提供證明，而不參與詳細(xì)的認(rèn)證經(jīng)過，進(jìn)而緩解了可信第三方的系統(tǒng)瓶頸問題。電子商務(wù)安全是一個(gè)系統(tǒng)的概念，不僅與計(jì)算機(jī)系統(tǒng)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會(huì)因素有關(guān)。以上我們僅對(duì)基于開放的網(wǎng)絡(luò)環(huán)境下的信息安全方面進(jìn)行了討論。而一個(gè)完好的電子商務(wù)交易安全體系，則至少應(yīng)包含下面幾類辦法:一是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)方面