電子商務(wù)中的信息安全及關(guān)鍵技術(shù)的探討

電子商務(wù)中的信息安全及關(guān)鍵技術(shù)的探討[內(nèi)容摘要]伴隨著電子商務(wù)的廣泛應(yīng)用，電子商務(wù)的安全問題愈加突出和亟待解決。本文就電子商務(wù)活動中的安全問題分析了如今流行的信息安全框架,并對信息安全的關(guān)鍵技術(shù)進行了討論。[本文關(guān)鍵詞語]電子商務(wù)信息安全框架安全技術(shù)一、引言電子商務(wù)即ec〔electroniccommerce〕，簡單講就是利用先進的電子技術(shù)進行商務(wù)活動的總稱。電子商務(wù)包含兩個方面：一是商務(wù)活動;二是電子化手段。現(xiàn)代電子商務(wù)是基于internet技術(shù)的新型的商務(wù)活動，是21市場經(jīng)濟商務(wù)運行的重要形式。由于internet的全球性和開放性，不受時間和空間的限制，給電子商務(wù)交易帶來了各種不安全因素。網(wǎng)絡(luò)上的信息安全問題已成為影響電子商務(wù)發(fā)展的主要因素之一。因而，研究在開放的網(wǎng)絡(luò)環(huán)境下電子商務(wù)安全問題就變的非常地迫切和主要了。二、安全問題1.安全問題由于電子商務(wù)是在開放的網(wǎng)絡(luò)上進行的貿(mào)易,其支付信息、訂貨信息、會談信息、機密的商務(wù)往來文件等大量商務(wù)信息在計算機網(wǎng)絡(luò)系統(tǒng)中存放、傳輸和處理,所以,網(wǎng)絡(luò)系統(tǒng)中信息安全技術(shù)成為電子商務(wù)安全交易的技術(shù)支撐。網(wǎng)絡(luò)信息所面臨的威脅來自很多方面,而且在不斷發(fā)生著變化。其中最常見的有非法訪問、惡意攻擊、計算機病毒以及其它方面如物理損壞、人與天然災(zāi)難等。2.安全要素(1)完好性。完好性指數(shù)據(jù)信息未經(jīng)受權(quán)不能進行改變的特性，也就是要求堅持信息的原樣，要預(yù)防對信息的隨意生成、修改、偽造、插入和刪除，同時要防止數(shù)據(jù)傳輸經(jīng)過中的丟失、亂序和反復(fù)。(2)機密性。機密性是指網(wǎng)絡(luò)信息只為受權(quán)用戶所用，不會泄露給未受權(quán)的第三方的特性。要保證信息的機密性，需要防止入侵者侵入系統(tǒng)，對機密信息需先經(jīng)過加密處理，再送到網(wǎng)絡(luò)中傳輸。(3)不可否認性。不可否認性也即不可抵賴性是指所有參與者都不可能否認和抵賴曾經(jīng)完成的操作。要求在交易信息的傳輸經(jīng)過中為參與交易的個人、企業(yè)和國家提供可靠的標(biāo)識，使信息發(fā)送者在發(fā)送數(shù)據(jù)后不能抵賴，而承受方承受數(shù)據(jù)后也不能否認。(4)真實性。真實性是指商務(wù)活動中交易信息的真實，包含交易者身份的真實性，也就是確保網(wǎng)上交易的對象是真實存在的，而不是虛假或偽造的，也包含交易信息本身的真實性。(5)可用性?？捎眯跃褪谴_保信息及信息系統(tǒng)能夠為受權(quán)使用者所正常使用。(6)可靠性?？煽啃允侵鸽娮由虅?wù)系統(tǒng)的可靠性，在碰到天然災(zāi)禍、硬件故障、軟件毛病、計算機病毒等情況下，仍能確保系統(tǒng)安全、可靠地運行。三、信息安全框架信息安全的內(nèi)涵是在不斷地發(fā)展和變化的。一般信息安全是從兩個方面進行描繪敘述:一種是從信息安全所牽涉的安全屬性的角度進行描繪敘述，牽涉了機密性、完好性、可用性等。這些安全屬性是保障電子商務(wù)交易的安全要素。另一種是從信息安全所牽涉層面的角度進行描繪敘述，信息安全被以為是一個由物理安全、運行安全、數(shù)據(jù)安全和內(nèi)容安全構(gòu)成的四層模型。伴隨著internet的發(fā)展，信息對抗引起了人們的看重，被引入了信息安全領(lǐng)域。信息對抗研究的內(nèi)容是信息真實性的保衛(wèi)和毀壞，信息對抗討論怎樣從多個角度或側(cè)面來獲得信息并分析信息，或者在信息無法隱藏的前提下，通過增長更多的無用信息來擾亂獲取者的視線，以掩藏真實信息所反映的含義。從實質(zhì)上來看，信息對抗屬于信息利用的安全。由此，在信息安全模型中增長了信息對抗這個條理?；谛畔踩淖饔命c，能夠?qū)⑿畔踩醋魇怯扇齻€條理、五個層面所構(gòu)成的條理框架體系，在每個層面中各自反映了在該層面中所牽涉的信息安全的屬性。如以下圖。其中，系統(tǒng)安全反映的信息系統(tǒng)所面臨的安全問題，包含物理安全和運行安全，物理安全是指網(wǎng)絡(luò)與信息系統(tǒng)的硬件安全；運行安全是指網(wǎng)絡(luò)與信息系統(tǒng)中的軟件安全。狹義的“信息安全〞問題是信息本身面臨的安全問題，包含數(shù)據(jù)安全和內(nèi)容安全，數(shù)據(jù)安全以保衛(wèi)數(shù)據(jù)不受外界的侵擾為目的，內(nèi)容安全是指對信息在網(wǎng)絡(luò)內(nèi)流動中的選擇性阻斷，以保證信息流動的可控能力。信息對抗是指在信息的利用經(jīng)過中，對信息的真實性的隱藏與保衛(wèi)，或者攻擊與分析。四、安全技術(shù)隨著計算機網(wǎng)絡(luò)的飛速發(fā)展和應(yīng)用，網(wǎng)絡(luò)信息安全技術(shù)也在不斷地發(fā)展?，F(xiàn)前階段已采取了多種安全技術(shù)保衛(wèi)信息的安全，如：訪問控制、數(shù)據(jù)加密、入侵檢測、用戶受權(quán)與認證等。1.訪問控制訪問控制是指對網(wǎng)絡(luò)中的某些資源的訪問要進行控制，只要被授予特權(quán)的用戶才有資格并有可能去訪問有關(guān)的數(shù)據(jù)或程序。訪問控制是網(wǎng)絡(luò)安全防備和保衛(wèi)的重要策略，它的重要任務(wù)是保證資源不被非法使用和非法訪問。常用的訪問控制技術(shù)有：入網(wǎng)訪問控制，網(wǎng)絡(luò)的權(quán)限控制，目錄級安全控制，防火墻控制，網(wǎng)絡(luò)效勞器控制，網(wǎng)絡(luò)監(jiān)測和鎖定控制等。2.加密技術(shù)加密技術(shù)是認證技術(shù)及其他很多安全技術(shù)的基礎(chǔ)。加密技術(shù)是一種自動的信息安全防備辦法，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻攔非法用戶理解原始數(shù)據(jù)，進而確保數(shù)據(jù)的保密性。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和公用密鑰體制兩種。相應(yīng)地，對數(shù)據(jù)加密的技術(shù)分為兩類，即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以des算法為典型代表，非對稱加密通常以rsa算法為代表。3.防火墻技術(shù)防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法,實際上是一種隔離技術(shù),是安全網(wǎng)絡(luò)(被保衛(wèi)的內(nèi)網(wǎng))與非安全網(wǎng)絡(luò)(外部網(wǎng)絡(luò))之間的一道屏障,以預(yù)防發(fā)生不可預(yù)測的、潛在的網(wǎng)絡(luò)入侵。防火墻能夠根據(jù)網(wǎng)絡(luò)安全水安然平靜可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對獨立的子網(wǎng)，兩側(cè)間的通信遭到防火墻的檢查控制；能夠根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過，同時將安全策略不允許的用戶與數(shù)據(jù)包隔斷，到達保衛(wèi)高安全等級的子網(wǎng)、防止墻外黑客的攻擊、限制入侵蔓延等目的。但是，防火墻不能阻攔來自用戶網(wǎng)絡(luò)內(nèi)部的攻擊。4.入侵檢測技術(shù)入侵檢測是通過監(jiān)控網(wǎng)絡(luò)與系統(tǒng)的狀況、行為以及系統(tǒng)的使用情況，來檢測用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖，在發(fā)現(xiàn)入侵后，及時采用相應(yīng)的辦法來阻攔入侵活動的進一步毀壞，包含切斷網(wǎng)絡(luò)連接、記錄事件和報警等。入侵檢測不僅能夠檢測外部入侵，而且對內(nèi)部的濫用行為也有很好的檢測能力。5.虛擬專用網(wǎng)虛擬專用網(wǎng)〔virtualprivatenetworkvpn〕技術(shù)是一種在公用互聯(lián)網(wǎng)絡(luò)上構(gòu)造專用網(wǎng)絡(luò)的技術(shù)。將物理上分布在不同地點的專用網(wǎng)絡(luò)，通過公共網(wǎng)絡(luò)構(gòu)造成邏輯上的虛擬子網(wǎng)，進行安全的通信。vpn采取一種叫做“通道〞或“數(shù)據(jù)封裝〞的系統(tǒng)，用公共網(wǎng)絡(luò)及其協(xié)議向貿(mào)易伙伴、顧客、供給商和雇員發(fā)送敏感的數(shù)據(jù)。這種通道是internet上的一種專用通道，可保證數(shù)據(jù)在外部網(wǎng)上的企業(yè)之間安全地傳輸。6.認證技術(shù)認證技術(shù)提供了一種安全可靠的驗證交易各方身份真實性的驗證機制。安全認證技術(shù)重要有:(1)數(shù)字內(nèi)容摘要技術(shù)，能夠驗證通過網(wǎng)絡(luò)傳輸收到的明文能否被改動，進而保證數(shù)據(jù)的完好性和有效性。(2)數(shù)字簽名技術(shù)，能夠?qū)崿F(xiàn)對原始報文的鑒別和不可否認性，同時還能阻攔偽造簽名。(3)數(shù)字時間戳技術(shù)，用于提供電子文件發(fā)表時間的安全保衛(wèi)。(4)數(shù)字憑證技術(shù)，又稱為數(shù)字證書，負責(zé)用電子手段來證明用戶的身份和對網(wǎng)絡(luò)資源訪問的權(quán)限。(5)認證中心，負責(zé)審核用戶的真實身份并對此提供證明，而不參與詳細的認證經(jīng)過，進而緩解了可信第三方的系統(tǒng)瓶頸問題。電子商務(wù)安全是一個系統(tǒng)的概念，不僅與計算機系統(tǒng)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會因素有關(guān)。以上我們僅對基于開放的網(wǎng)絡(luò)環(huán)境下的信息安全方面進行了討論。而一個完好的電子商務(wù)交易安全體系，則至少應(yīng)包含下面幾類辦法:一是計算機網(wǎng)絡(luò)技術(shù)方面