王鑑航

摘要:近年來,電子商務(wù)的安全問題變得越來越突出,如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,保證整個(gè)商務(wù)活動(dòng)中信息的安全性,使基于Internet的電子交易方式與傳統(tǒng)交易方式一樣安全可靠,已經(jīng)成為當(dāng)前的熱門話題。本文就電子商務(wù)中網(wǎng)絡(luò)安全存在的隱患和威脅進(jìn)行了分析,從技術(shù)層面提出了相應(yīng)的應(yīng)對措施。

關(guān)鍵字:電子商務(wù)網(wǎng)絡(luò)安全

人類正在進(jìn)入以網(wǎng)絡(luò)為主的信息時(shí)代,信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問題之一。電子商務(wù)網(wǎng)絡(luò)安全從其本質(zhì)上講是網(wǎng)絡(luò)上的信息安全,是指電子商務(wù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者來意的原因被破壞、更改、泄露,系統(tǒng)連續(xù)可靠運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全不僅僅是技術(shù)問題,也是個(gè)管理問題,因此要解決網(wǎng)絡(luò)安全問題,必須有綜合的解決方案,才能全方位地應(yīng)付各種不同的威脅和攻擊,這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性、可用性電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,這些技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、軟件保護(hù)技術(shù)、病毒檢測及清除技術(shù)、內(nèi)容分類識別和過濾技術(shù)、網(wǎng)絡(luò)隱患掃描技術(shù)、系統(tǒng)安全監(jiān)測報(bào)警與審計(jì)技術(shù)等,電子商務(wù)中的安全控制主要有以下技術(shù)手段:

1.防火墻技術(shù)。防火墻(Firewall)是近年來發(fā)展的最重要的安全技術(shù),它的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)(被保護(hù)網(wǎng)絡(luò))。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。簡單防火墻技術(shù)可以在路由器上實(shí)現(xiàn),而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。

防火墻的安全策略有兩條。一是“凡是未被準(zhǔn)許的就是禁止的”。防火墻先是封閉所有信息流,然后審查要求通過的信息,符合條件的就讓通過;二是“凡是未被禁止的就是允許的”,防火墻先是轉(zhuǎn)發(fā)所有的信息,然后再逐項(xiàng)剔除有害的內(nèi)容,被禁止的內(nèi)容越多,防火墻的作用就越大。網(wǎng)絡(luò)是動(dòng)態(tài)發(fā)展的,安全策略的制定不應(yīng)建立在靜態(tài)的基礎(chǔ)之上。在制定防火墻安全規(guī)則時(shí),應(yīng)符合“適應(yīng)性的安全管理”模型的原則,即:安全=風(fēng)險(xiǎn)分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞監(jiān)測+實(shí)時(shí)響應(yīng)。

防火墻技術(shù)的優(yōu)點(diǎn)很多,一是通過過濾不安全的服務(wù),極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn);二是可以提供對系統(tǒng)的訪問控制;三是可以阻擊攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息;四是防火墻還可以記錄與統(tǒng)計(jì)通過它的網(wǎng)絡(luò)通信,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù),根據(jù)統(tǒng)計(jì)數(shù)據(jù)來判斷可能的攻擊和探測;五是防火墻提供制定與執(zhí)行網(wǎng)絡(luò)安全策略的手段,它可以對企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理。

2.加密技術(shù)。數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動(dòng)安全防范策略。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當(dāng)需要時(shí)可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù),稱為解密。

密鑰加密技術(shù)分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術(shù)是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點(diǎn)是數(shù)字運(yùn)算量小,加密速度快,弱點(diǎn)是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制,加密密鑰是公開的,解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計(jì)算上的不可能性。算法的核心是運(yùn)用一種特殊的數(shù)學(xué)函數(shù)——單向陷門函數(shù),即從一個(gè)方向求值是容易的,但其逆向計(jì)算卻很困難,從而在實(shí)際上成為不可能。

3.數(shù)字簽名技術(shù)。數(shù)字簽名(Digital Signature)技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中,數(shù)字簽名技術(shù)有著特別重要的地位,在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中都要用到數(shù)字簽名技術(shù)。

在書面文件上簽名是確認(rèn)文件的一種手段,其作用有兩點(diǎn),一是因?yàn)樽约旱暮灻y以否認(rèn),從而確認(rèn)文件已簽署這一事實(shí);二是因?yàn)楹灻灰追旅?從而確定了文件是真的這一事實(shí)。數(shù)字簽名與書面簽名有相同相通之處,也能確認(rèn)兩點(diǎn),一是信息是由簽名者發(fā)送的,二是信息自簽發(fā)后到收到為止未曾做過任何修改。這樣,數(shù)字簽名就可用來防止:電子信息因易于修改而有人作偽;冒用別人名義發(fā)送信息;發(fā)出(收到)信件后又加以否認(rèn)。

由于電子商務(wù)系統(tǒng)是一個(gè)人機(jī)高度綜合的系統(tǒng),除了網(wǎng)絡(luò)的安全之外,管理人員的管理也是非常重要的,而且是起決定性作用的因素。因此,對整個(gè)系統(tǒng)的管理權(quán)限的分配和監(jiān)督、管理人員的培訓(xùn)和考核、道德和業(yè)務(wù)水平的培養(yǎng)都必須制定出一套完整的規(guī)章制度,以利于培養(yǎng)管理人員敬業(yè)愛崗的精神。

參考文獻(xiàn):(略)