陳軍良

摘要：安全問(wèn)題是電子商務(wù)的主要問(wèn)題，本文鐘對(duì)電子商務(wù)活動(dòng)中存在的信息安全隱患問(wèn)題，主要介紹了實(shí)施保障電子商務(wù)信息安全的防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、身份驗(yàn)證技術(shù)等技術(shù)性措施。

關(guān)鍵詞：電子商務(wù)信息安全

計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全實(shí)際上是密不可分的，兩者相輔相成，缺一不可。針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全，常用的保護(hù)措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)防毒技術(shù)等。交易信息的安全是可以用數(shù)據(jù)加密、數(shù)字簽名、數(shù)字證書、ssl、set安全協(xié)議等技術(shù)來(lái)保護(hù)。下面就防火墻技術(shù)、數(shù)字加密技術(shù)、身份驗(yàn)證技術(shù)等進(jìn)行介紹。

1，防火墻技術(shù)

目前的防火墻主要有兩種類型。其一是包過(guò)濾型防火墻。它一般由路由器實(shí)現(xiàn)，故也被稱為包過(guò)濾路由器。其二是應(yīng)用級(jí)防火墻。大多數(shù)的應(yīng)用級(jí)防火墻產(chǎn)品使用的是應(yīng)用代理機(jī)制，內(nèi)置了代理應(yīng)用程序，可用代理服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。

防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，用來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，它是一種控制技術(shù)，既可以是一種軟件產(chǎn)品，又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講，防火墻是起分隔、限制、分析的作用。實(shí)際上，防火墻是加強(qiáng)Intranet《內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng)，它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣，防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下五大基本功能：(1)過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)：(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為：(3)封堵某些禁止行為：(4)記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)：(5J對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù)，但對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)的功擊卻無(wú)能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需考慮其它技術(shù)和非技術(shù)的因素。

2，反病毒技術(shù)

反病毒技術(shù)包括與防病毒、檢測(cè)病毒和消毒三個(gè)環(huán)節(jié)，反病毒必須做到“以預(yù)防為主“，正所謂”防患于未然”，等病毒出現(xiàn)了再去清除，可能已經(jīng)給用戶造成了巨大的損失。

3，數(shù)據(jù)加密技術(shù)

加密技術(shù)是保證電子商務(wù)中采用的主要安全措施，交易雙方可根據(jù)需要在信息交換階段使用。加密技術(shù)的主要問(wèn)題是加密方式及實(shí)現(xiàn)加密的網(wǎng)絡(luò)協(xié)議層和密鑰的分配及管理。在一個(gè)加密過(guò)程中有兩個(gè)基本元素：算法和密鑰。加密過(guò)程就是根據(jù)一定的算法，將可理解的數(shù)據(jù)(明文}與一串?dāng)?shù)字(密鑰)相結(jié)合，從而產(chǎn)生不可理解的密文的過(guò)程，主要加密技術(shù)是：

(1)常規(guī)密鑰密碼加密。所謂常規(guī)密鑰密碼加密，即加密密鑰與解密密鑰是相同的。在早期的常規(guī)密鑰密碼體制中，典型的有代替密碼，其原理可以用一個(gè)例子來(lái)說(shuō)明：字母A,B，C，D，…，W，X，Y,Z的自然順序保持不變，但使之與D，E，F(xiàn)，G，…，Z,A,B，C分別對(duì)應(yīng)(即相差3個(gè)字符)。若明文為WELL則對(duì)應(yīng)的密文為ZH00(此時(shí)密鑰為3)。但存在幾個(gè)問(wèn)題：第一，不能保證也無(wú)法知道密鑰在傳輸中的安全。若密鑰泄漏，黑客可用它解密信息，也可假冒一方做壞事。第二，假設(shè)每對(duì)交易方用不同的密鑰，N對(duì)交易方需要N(N一1)，2個(gè)密鑰，難于管理。第三，不能鑒別數(shù)據(jù)的完整性。

(2)對(duì)稱密文加密。對(duì)稱密鑰加密又稱為秘密密鑰加密，即收發(fā)雙方采用相同的密鑰來(lái)進(jìn)行加密和解密。對(duì)稱密鑰加密的最大優(yōu)點(diǎn)是加解密速度快，適合于進(jìn)行大量數(shù)據(jù)加密，但也存在密鑰管理、發(fā)布困難以及無(wú)法進(jìn)行身份鑒別的缺點(diǎn)。

(3)非對(duì)稱密鑰加密。非對(duì)稱密鑰加密也稱為公開密鑰加密，每個(gè)用戶有一對(duì)密鑰：一個(gè)用于加密，一個(gè)用于解密，兩把密鑰實(shí)際上是兩個(gè)很大的質(zhì)數(shù)。其中，加密密鑰(公鑰)可以在網(wǎng)絡(luò)服務(wù)器、報(bào)刊等場(chǎng)合公開，而解密密鑰(私鑰)則屬用戶的私有密鑰，由公開的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實(shí)現(xiàn)的。與對(duì)稱密鑰加密相比，采用非對(duì)稱密鑰加密方式密鑰管理較方便，且保密性比較強(qiáng)，但加解密實(shí)現(xiàn)速度比較慢，不適用于通信負(fù)荷較重的應(yīng)用。

具體加密傳輸過(guò)程如下：

a發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。

b發(fā)送方家用自己的私鑰加密文件，然后將加密后的私鑰和文件傳輸給接收方。

c接收方乙用自己的私鑰解密，得到甲的私鑰。

d接收方乙用甲的公鑰解密，得到明文。

在密鑰的加密過(guò)程中，由于發(fā)送方甲用乙的公鑰加密了自己的私鑰，如果文件被竊取，由于只有乙保管自己的私鑰，黑客無(wú)法解密。這就保證了信息的機(jī)密性。另外，發(fā)送方甲用自己的私鑰加密信息，因?yàn)樾畔⑹怯眉椎乃借€加密，只有甲保管它，可以認(rèn)定信息是甲發(fā)出的，而且沒有甲的私鑰不能修改數(shù)據(jù)。

4，身份驗(yàn)證技術(shù)

僅有加密技術(shù)不足以保證電子商務(wù)中的交易安全，身份認(rèn)證技術(shù)是保證電子商務(wù)安全不可缺少的又一重要技術(shù)手段。

(1)認(rèn)證系統(tǒng)。網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證，用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份。數(shù)字證書的頒發(fā)機(jī)構(gòu)叫做Certificate Authority，通常簡(jiǎn)稱為CA。要建立安全的電子商務(wù)系統(tǒng)，首先必須建立一個(gè)穩(wěn)固、健全的CA，否則，一切網(wǎng)上的交易都沒有安全保障。

(2)SSL協(xié)議。SSL協(xié)議{Secure Socket Layer,安全套接層)主要目的是解決TCP／IP協(xié)議不能確認(rèn)用戶身份的問(wèn)題，在Socket上使用非對(duì)稱的加密技術(shù)，以保證網(wǎng)絡(luò)通信服務(wù)的安全性。SSL協(xié)議易于實(shí)現(xiàn)。SSL協(xié)議還是最值得信賴的協(xié)議。但是由于SSL協(xié)議當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的，所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

(3)SET協(xié)議。SET(Secure EIectronic Transaction)安全電子交易協(xié)議是用于Internet上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。主要應(yīng)用于B／C模式中保障支付信息的安全性。SET協(xié)議提供對(duì)消費(fèi)者、商戶和銀行的認(rèn)證，協(xié)議本身比較復(fù)雜，設(shè)計(jì)比較嚴(yán)格，安全性高，確保電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性，特別是保證了不會(huì)將持卡人的信用卡號(hào)泄露給商戶。其核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。

5，電子商務(wù)系統(tǒng)的安全管理制度

電子商務(wù)系統(tǒng)的安全管理制度尤為重要，它是用文字形式對(duì)各項(xiàng)安全要求所作的規(guī)定，它是保證網(wǎng)絡(luò)營(yíng)銷取得成功的重要基礎(chǔ)工作，是網(wǎng)絡(luò)交易人員應(yīng)該而且必須遵守的規(guī)范和準(zhǔn)則。任何電子商務(wù)系統(tǒng)都要制定一套完整、適用于自身的安全管理制度，這些制度應(yīng)該包括人員管理制度、保密制度、系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度、應(yīng)急措施和病毒防治制度等。

6，結(jié)束語(yǔ)

隨著Internet逐漸發(fā)展成為電子商務(wù)的最佳載體，互聯(lián)網(wǎng)具有充分開放，不設(shè)防護(hù)的特點(diǎn)使加強(qiáng)電子商務(wù)的安全問(wèn)題日益緊迫，只有充分信任的安全保障制度，確保信息的真實(shí)性、可靠性和保密性，才能夠打消人們的顧慮，放心的參與電子商務(wù)。否則，電子商務(wù)的發(fā)展將失去其支撐點(diǎn)。