电子商务系统安全的解决方案

哩孑商莠　电子商务系统安呈的解决方案　．　．・宫晓曼滕荣华谢晓燕江西经济管理干部学院　本论文受到江西社科院规划项目的资助，编号为０５ｓｈ２３７，课题名为　电子政务的发展研究　［摘要］　随着电子商务这一新的商务模式逐渐为社会各界所接受并应用，电子商务系统安全日益成为电子商务发展过程中的一　个“瓶颈”。如何建立一个安全本文，便捷的电子商务应用环境，已成为人们热切关注的焦点。本文分别从管理和技术的角度阐述了　解决电子商务系统安全的方法　［关键词］电子商务　系统安全安全对策安全技术　４．把好网络建设立项关　２００３年２月初　美国一名计算机黑客攻破了一家负责代理商　家处理信用卡交易业务的企业数据库．致使万事达、维萨、运通　成几千万美元的损失．构成有史以来最大的信用卡资料泄密事件。　我国网络建设立项时的安全评估工作没有得到应有重视．这　熟性，先进性、灵活性，易操作性、可扩充性综合把关的同时　在　这世界三大信用卡组织的８００多万用户的信用卡信息被盗用．造　给出现网络安全问题埋下了伏笔。在对网络的开放性、适应性、成　世界上最大的、最安全的信用卡组织的账户信息都被泄密，可见　立项时更应注重对网络的可靠性，安全性评估．力争将安全隐患　网络黑客有多么可怕。如何如何建立一个安全的电子商务应用环　杜绝于立项、决策阶段。　境．对信息提供足够的保护．已成为人们热切关注的焦点。下面　５注重网络建设的规范化　没有统一的技术规范．局部性的网络就不能互连、互通、互　动．没有技术规范也难以形成网络安全产业规模。目前．国际上　分别从管理和技术的角度阐述了解决电子商务系统安全的方法。　一、电子商务信息安全的管理　要实现电子商务系统安全．仅有技术上的安全是不行的。首　出现许多关于网络安全的技术规范、技术标准．目的就是要在统　先必须制定一套完备的网络安全管理条例　才能从根本上杜绝不　的网络环境中保证信息的绝对安全。我们应从这种趋势中得到　安全事件的发生。就象我们常讲的先要从体制上抓起。我们可以　启示．在同国际接轨的同时．拿出既符合国情又顺应国际潮流的　建立以下的安全管理制度。　１提高对网络信息安全重要性的认识　信息技术的发展．使网络逐渐渗透到社会的各个领域．在未来　技术规范。　二、电子商务网络安全技术　有了制度．就有了根基。电子商务信息安全在很大程度上依　的军事和经济竞争与对抗中．因网络的崩溃而促成全部或局部的失　赖于技术的完善．这些技术包括：密码技术、鉴别技术、访问控　败．决非不可能。我们在思想上要把信息资源共享与信息安全防护　制技术．信息流控制技术、数据保护技术、软件保护技术、病毒　有机统一起来．树立维护信息安全就是保生存、促发展的观念。　２．开展网络安全立法和执法　检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、　系统安全监测报警与审计技术等。　１防火墙技术　防火墙（Ｆｉｒｅｗａｌ『）是近年来发展的最重要的安全技术．它的　是要加快立法进程　健全法律体系。自１　９７３年世界上第一　部保护计算机安全法问世以来．各国与有关国际组织相继制定了　系列的网络安全法规。我国也陆续颁布了很多网络安全法规。　主要功能是加强网络之间的访问控制．防止外部网络用户以非法　这些法规对维护网络安全发挥了重要作用．但不健全之处还有许　手段通过外部网络进入内部网络（被保护网络）。它对两个或多个　多。一是应该结合我国实际．吸取和借鉴国外网络信息安全立法　网络之间传输的数据包和链接方式按照一定的安全策略对其进行　的先进经验．对现行法律体系进行修改与补充．使法律体系更加科　检查．来决定网络之间的通信是否被允许．并监视网络运行状态。　学和完善：二是要执法必严．违法必纠。要建立有利于信息安全案　简单防火墙技术可以在路由器上实现．而专用防火墙提供更加可　件诉讼与公　检　法机关办案的制度，提高执法的效率和质量。　３抓紧网络安全基础设施建设　靠的网络安全控制方法。防火墙技术主要有包过滤技术、代理服　务技术与状态监控技术。　２．加密技术　数据加密被认为是最可靠的安全保障形式　它可以从根本上　个网络信息系统　不管其设置有多少道防火墙．加了多少　级保护或密码　只要其芯片　中央处理器等计算机的核心部件以　及所使用的软件是别人设计生产的　就没有安全可言：这正是我　满足信息完整性的要求．是～种主动安全防范策略。密钥加密技　国网络信息安全的致命弱点。国民经济要害部门的基础设施要通　术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在　过建设一系列的信息安全基础设施来实现。为此　需要建立中国　加密与解密过程中使用相同的密钥加以控制　它的保密度主要取　的公开密钥基础设施、信息安全产品检测评估基础设施、应急响　决于对密钥的保密。它的特点是数字运算量小．加密速度快．弱　应处理基础设施等。　点是密钥管理困难．一旦密钥泄露，将直接影响到信息的安全。非　商场现代化　２００７年９月（下旬刊）总第５１６期　维普资讯 http://www.cqvip.com 电子商务　对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制，　加密密钥是公开的．解密密钥是保密的。它的保密度依赖于从公　５电子商务信息安全协议　（１）安全套接层协议。安全套接层协议是由Ｎｅｔｓｃａｐｅ　ｃ０ｍ—　开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可　ｍｕｎｉｃａｔｉｏｎ公司１　９９４年设计开发的．主要用于提高应用程序之间　能性。算法的核心是运用一种特殊的数学函数——单向陷门函数．　的数据的安全系数。ＳＳＬ协议的整个概念可以被总结为：一个保证　即从一个方向求值是容易的．但其逆向计算却很困难．从而在实　任何安装了安全套接层的客户和服务器之间事务安全的协议．该　际上成为不可能。除了密钥加密技术外，还有数据加密技术。一　协议向基于ＴＣＰ／ＩＰ的客户／ＢＥ务器应用程序提供了客户端与服务　是链路加密技术。链路加密是对通信线路加密；二是节点加密技　的鉴别．数据完整性及信息机密性等安全措施。ＳＳＬ安全协议主要　术。节点加密是指对存储在节点内的文件和数据库信息进行的加　提供三方面的服务。一是用户和服务器的合法性保证．使得用户　密保护。　３．数字签名技术　数字签名技术是将摘要用发送者的私钥加密，与原文一起传　送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。　在电子商务安全保密系统中．数字签名技术有着特别重要的地位，　在电子商务安全服务中的源鉴别　完整性服务．不可否认服务中　都要用到数字签名技术。在书面文件上签名是确认文件的一种手　段．其作用有两点．一是因为自己的签名难以否认，从而确认文　件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是　真的这一事实。数字签名与书面签名有相同相通之处，也能确认　两点．一是信息是由签名者发送的．二是信息自签发后到收到为　止未曾做过任何修改。这样．数字签名就可用来防止：电子信息　因易于修改而有人作伪；冒用别人名义发送信息；发出（收到）信　件后又加以否认。广泛应用的数字签名方法有ＲＳＡ签名　ＤＳＳ签　名和Ｈａｓｈ签名三种。ＲＳＡ的最大方便是没有密钥分配问题。公开　密钥加密使用两个不同的密钥，其中一个是公开的，另一个是保　密的。公开密钥可以保存在系统目录内．未加密的电子邮件信息　中．电话黄页上或公告牌里．网上的任何用户都可获得公开密钥。　保密密钥是用户专用的．由用户本身持有．它可以对公开密钥加　密的信息解密。ＤＳＳ数字签名是由美国政府颁布实施的，主要用　于跟美国做生意的公司。它只是一个签名系统，而且美国不提倡　使用任何削弱政府窃听能力的加密软件。Ｈａｓｈ签名是最主要的数　字签名方法．跟单独签名的ＲＳＡ数字签名不同．它是将数字签名　和要发送的信息捆在一起．所以更适合电子商务。　４．数字时间戳技术　在电子商务交易的文件中．时间是十分重要的信息．是证明　文件有效性的主要内容。在签名时加上一个时间标记，即有数字　时间戳的数字签名方案：验证签名的人或以确认签名是来自该小　组．却不知道是小组中的哪一个人签署的。指定批准人签名的真　实性．其他任何人除了得到该指定人或签名者本人的帮助，否则　不能验证签名。时间戳是一个经加密后形成的凭证文档，包括三　个部分。一是需加时间戳的文件的摘要，二是ＤＴＳ收到文件的日　期与时间．三是ＤＴＳ数字签名。时间戳产生的过程是：用户首先　将需要加时间的文件用ＨＡＳＨ编码加密形威摘要，然后将该摘要发　送到Ｄ丁ｓ．ＤＴＳ在加入了收到文件摘要的日期和时间信息后再对该　文件加密（数字签名）．然后送回用户。书面签署文件的时间是由　签署人自己写上的．数字时间则不然．它是由认证单位ＤＴＳ来加　的．以ＤＴＳ收到文件的时间为依据。　ｏ《商场现代化））２００７每９月（下旬刊）总第５１６期　与服务器能够确信数据将被发送到正确的客户机和服务器上。客　户机与服务器都有各自的识别号，由公开密钥编排。为了验证用　户．安全套接层协议要求在握手交换数据中作数字认证．以此来　确保用户的合法性　二是加密数据以隐藏被传递的数据。安全套　接层协议采用的加密技术既有对称密钥．也有公开密钥．在客户　机和服务器交换数据之前．先交换ＳＳＬ初始握手信息。在ＳＳＬ握　手信息中采用了各种加密技术．以保证其机密性与数据的完整性．　并且经数字证书鉴别；三是维护数据的完整性。安全套接层协议　采用Ｈａｓｈ函数和机密共享的方法来提供完整的信息服务，建立客　户机与服务器之间的安全通道，使所有经过安全套接层协议处理　的业务能全部准确无误地到达目的地。　（２）安全电子交易公告。安全电子交易公告是为在线交易设立　的一个开放的　以电子货币为基础的电子付款系统规范。ＳＥＴ在保　留对客户信用卡认证的前提下，又增加了对商家身份的认证。ＳＥＴ　已威为全球网络的工业标准。ＳＥＴ安全协议的主要对象包括：消费　者（包括个人和团体），按照在线商店的要求填写定货单．用发卡　银行的信用卡付款：在线商店，提供商品或服务．具备使用相应　电子货币的条件：收单银行，通过支付网关处理消费者与在线商　店之间的交易付款；电子货币发行公司以及某些兼有电子货币发　行的银行。负责处理智能卡的审核和支付：认证中心，负责确认　交易对方的身份和信誉度，以及对消费者的支付手段认证。ＳＥＴ协　议规范的技术范围包括：加密算法的应用．证书信息与对象格式．　购买信息和对象格式．认可信息与对象格式。ＳＥＴ协议要达到五个　目标：保证电子商务参与者信息的相应隔离；保证信息在互联网　上安全传输，防止数据被黑客或被内部人员窃取　解决多方认证　问题：保证网上交易的实时性，使所有的支付过程都是在线的；　效仿ＢＤＺ贸易的形式．规范协议和消息格式．促使不同厂家开发　的软件具有兼容性与交互操作功能，并且可以运行在不同的硬件　和操作系统平台上。　在传统的商务环境下进行面对面的交易也存在着这样那样的　安全风险，因此在电子商务活动中偶尔的信用卡密码被盗　交易　抵赖等情况也不足为奇。电子商务的安全性是相对的．但随着电　子商务的发展　计算机与网络技术的不断提高．以及各项网络安　全管理制度与立法的不断完善．电子商务的安全性将会越来越高。　参考文献：　［Ｉ］邹文健：电子商务［Ｍ］．北京：企业管理出版社，２００５　［２］胡长声：电子商务概论［Ｍ］．上海：复旦大学出版社，２００５　［５］刘想：我国信息安全及其技术研究［Ｊ］．中国信息导报，２００５