教育时空 China science and Technology Review ●l 电子商务信息安全研究 田 野 (同济大学) [摘要】近年来,随着通讯技术及计算机网络的快速发展,电子商务的规模不断壮大。电子商务低成本、高效率的特性,为商家提供了无限的商机。同时,由 于Intemet身的共享性、开放性、无缝性,那么以此为平台的在线商务交易安全也面临着日益严峻的挑战,一些信息有可能会成为非法入侵者的攻击目标,造成隐 私泄露、信息篡改等安全问题。本文简要的分析了电子商务信息安全以及信息安全隐患和信息安全管理等问题。 [关键词]电子商务,计算机网络?。信息安全 中圈分类号:G623.58 文献标识谒:A 文章编号:l009—9l4X(20l5)39—026l—O1 1问曩的提出 随着Intemet网络技术飞速发展及普及,电子商务(Electronic Commerce, 简称EC)已经逐渐成为人们进行商务活动的新模式,越来越多的人通过Intemet 进行商务活动。电子商务是利用网络技术、计算机技术和通信技术,实现数字 化、电子化,商务化,网络化的整个商务过程,它与传统商业活动相比,最大的一 个特征就是基于B/S' ̄式下,交易双方在不见面的情况下完成商品贸易活动。 2置内电子商务安金研究现状 2.1我国电子商务安全研究现状 在l996年发布了Ⅸ中华人民共和国计算机信息网络国际联网管理暂 行规定》,在1997年发布了《计算机信息网络国际联网安全保护管理办 法》,200睥由国家信息化推进工作办公室牵头起草的《关于发展我国电子商务 的若干意见》上报国家最高决策层进行审议。网络信息安全问题不但得到了政 府、企业的高度重视,同时国内的大专院校、研究所和有实力的大公司也纷纷进 入网络信息安全问题的研究领域。 2.2电子商务信息安全隐患 电子商务的信息存储安全隐患主要包括:(1)内部隐患。主要是网内用户未 经许可随意增加、删除、修改或无意或故意地非授权调用电子商务信息。(2)外 部隐患。主要是因为软件问题造成外部人员非法闯入内网,造成电子商务信息 被增加、删除、修改或调用。 电子商务交易双方的信息安全隐患主要是:(1)商家的信息安全隐患。不法 分子冒充合法用户修改商务信息内容,致使电子商务活动中断,造成商家无法 从事正常的业务活动。Q)用户的信息安全隐患。不法分子窃用拦截合法用户身 份信息,以合法的用户进行电子商务活动,使用户蒙受损失。 2.3电子商务信息安全管理 在电子商务活动中,有些信息属于商业秘密,如果失窃,将带来不可估量的 损失,因此需有一个能不中断地提供服务及可靠稳定的电子商务平台,任何系 统的中断,如软硬件错误,病毒,网络故障等都可能导致电子商务系统不能正常 工作,所以电子商务信息的安全管理问题就成了电子商务顺利推进的保障。随 着电子商务的深入应用,攻击网络技术和手段不断改进,这就对电子商务信息 系统的安全性提出了更高的要求,必须保证用户不能对系统构成威胁,所 以人们对这些基本技术进行了反复改进以适应更高的安全需求。 3电子商务信息安全技术 在电子商务交易过程中,采取适当的安全技术措施能够有效的降低电子商 务交易过程中的风险,满足电子商务对于安全性的要求。下面对常用的电子商 务信息安全技术措施进行研究。 3.1防火墙技术 目前的防火墙分可为两大类,一类是简单的包过滤技术,它是在网络层对 数据包实施有选择的通过。依据系统内事先制定好的过滤逻辑,检查数据流中 每个数据包后,根据数据包的源地址、目的地址等因素来确定是否允许数据包 通过。另一类是应用网管和代理服务器,其显著的优点是能提供小颗度的存取 控制,可针对特别的数据过滤协议和网络应用服务,并且能够对数据包分析井 形成相关的报告。通过防火墙技术,可以过滤掉不安全的服务,提高网络安全和 减少网络中主机的风险。但防火墙是一种被动安全技术,不能阻止来自内部网 络的攻击。唯一的解决办法就是,在每台计算机上都装反病毒软件。 3.2病毒防范技术 计算机病毒实际上就是在计算机程序中插人的破坏计算机功能或者破坏 数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病 毒绕过系统或违反授权入侵成功后,在系统中植入木马等病毒程序,为以后攻 击系统、窃取信息做好准备。网络防病毒技术的具体实现方法包括对网络服务 器中的文件进行频繁的扫描和监测,工作站上对网络目录及文件设置访问权限 等。 现在较流行的反病毒技术基于病毒的特征码扫描法、文件实时监控技术并 辅以指令虚拟技术。扫描病毒:分析出病毒的特征病毒码并集中存放于病毒代 码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上 病毒。该技术实现简单有效,安全彻底。监控病毒:通过利用操作系统底层接口 技术,对系统中的指定类型的文件进行实时的行为监控,一旦有病毒传染或发 作时就及时报警。从而实现了对病毒的实时、永久、自动监控。删除病毒:在删除 时采用虚拟技术对变种的病毒进行处理或编写出相应的程序,将病毒移除计算 机内存。 3.3认证技术 安全认证技术主要有:(1)数字摘要技术,也称安全HASH编码法。用于对 所要传输的数据进行运算生成信息摘要,它并不是一种加密机制,但能产生信 息的数字”指纹”,目的是为了确保数据没有被篡改,从而保证数据的完整性和 有效性。Q)数字签名技术,又称电子签章、公钥数字签名。是一种类似写在纸上 的普通的物理签名,就是附加在数据单元上的一些数据,或是对数据单元所作 的密码变换。这种变换或数据允许数据单元的接收者用以确认完整性和数据单 元的来源并保护数据,防止被人伪造。它是对电子形式的消息进行签名的一种 方法,一个签名消息能在一个通信网络中传输。主要功能是保证信息传输的完 整性、发送者的身份认证、防止交易中发生抵赖。(3)数字证书技术,又称为数字 凭’匹。负责用电子手段来证实用户的身份和对网络资源访问的权限。(4)身份认 证实际。是计算机系统通过审查用户身份证明的过程,提供确认和判别用户身 份的机制,确定用户是否具有对系统资源操作和访问权限。本质是确认用户身 份,用户必须能够证明其身份标识合法性。身份认证技术是访问控制、安全审 计、入侵检测等安企机制的基础,在电子商务信息安全理论与技术中占有至关 重要的位 目身份认证技术主要有基于口令的认证技术、基于密码学的认证技 术、基于智能卡的认证技术以及基于生物学特征的认证技术等。 3.4安全协议技术 电子商务安全问题的核心是电子交易的安全性,为了彻底解决电子商务的 安全机制,人们开发了各种用于加强电子商务安全的协议。当前广泛应用的电 子商务安全协议主要有SET协议(Secure Elcetronic Transaction,安全电子 交易)和SSL协议(Secure Sockets Layer,安全套接层),二者都采用了RSA 算法加密。 总之,电子商务信息的安全问题是一项复杂的系统工程,随着电子商务的 发展,通过各种网络的交易手段也会更加多样化,安全问题也会变得更加突出。 它不仅涉及到动态传输信息及静态存储信息的安全问题,还需要保证电子商务 信息安全,加快电子商务的发展。加强电子商务信息安全技术研究有着重要意 义,需要我们根据具体的电子商务信息安全需求,不断的加强电子商务信息安 全管理。 参考文献 1.贾素华.电子商务信息安全风险控制体系.电信工程技术与标准化,2012 年第12期. 科技博览l 261
