摘要:隨著資訊化時代的到來,電子資訊技術得到了迅速普及和廣泛應用,與此同時,電子商務以其快捷、便利等優點越來越受到社會的認可。電子商務的發展前景十分誘人,但商業資訊的安全依然值得我們去注意。本文從實現電子商務安全性的角度出發,對電子商務中的各種安全技術進行了分析,以探討一種有效、安全的實現電子商務的途徑。[關鍵字]電子商務 身份認證 防火牆
電子商務就是要在網路資訊安全技術的保證下,利用開放資訊互聯網實現可跨區的線上商品交易、金融資本交易及其商務活動作業的全過程。電子商務這一浩瀚的全球虛擬市場創造了二十一世紀各國的經濟熱點。但是由於電子商務的開放性及其所基於的網路全球性、無縫連通性、共用性、動態性發展,使得電子商務的安全問題成為現今的聚焦中心,並制約著電子商務的進一步發展。構建安全電子商務交易系統將成為今後電子商務發展的關鍵。
一、電子商務的安全性要求
(一)電子商務活動安全性的要求
一是服務的有效性要求,電子商務系統應能防止服務失敗情況的發生,預防由於網路故障和病毒發作等因素產生的系統停止服務等情況,保證交易資料能準確快速的傳送。二是交易資訊的保密性要求,電子商務系統應對用戶所傳送的信息進行有效的加密,防止因資訊被截取破譯,同時要防止資訊被越權訪問。三是資料完整性要求,數位完整性是指在資料處理過程中,原來資料和現行資料之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的檔是不可被修改的,否則必然會損害一方的商業利益。四是身份認證的要求,電子商務系統應提供安全有效的身份認證機制,確保交易雙方的資訊都是合法有效的,以免發生交易糾紛時提供法律依據。
(二)電子商務的安全要素
一是資訊真實性、有效性,電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易資訊的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其資訊的有效性和真實性將直接關係到個人、企業或國家的經濟利益和聲譽。二是資訊機密性,電子商務作為貿易的一種手段,其資訊直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信管道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網路環境上的,商業防洩密是電子商務全面推廣應用的重要保障。三是資訊完整性,電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業資訊的完整、統一的問題。由於資料登錄時的意外差錯或欺詐行為,可能導致貿易各方資訊的差異。四是資訊可靠性、可鑒別性和不可抵賴性,可靠性要求即是能保證合法用戶對資訊和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面檔上手寫簽名或印章來鑒別貿易夥伴,確定合同、契約、單據的可靠性並預防抵賴行為的發生。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易資訊的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。
二、電子商務運用的安全技術
(一)網路節點的安全
防火牆是一種由電腦硬體和軟體的組合,使互聯網與內部網之間建立起一個安全閘道,從而保護內部網免受非法用戶的侵入。防火牆的應用可以有效的減少駭客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平臺。防火牆能夠有效地監視網路的通信資訊,並記憶通信狀態,從而做出允許或拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的網路系統。應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機,或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的資訊資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁片和資料加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。
(二)通訊的安全
在用戶端流覽器和電子商務WEB伺服器之間採用SSL協定建立安全鏈結,所傳遞的重要資訊都是經過加密的,這在一定程度上保證了資料在傳輸過程中的安全。目前採用的是流覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在流覽器和伺服器之間建立安全機制, SSL首先要求伺服器向流覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構簽發。流覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈結時客戶只需用戶下載該站點的伺服器證書。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時流覽器也會出進入安全狀態的提示。
(三)應用程式的安全性
即使正確地配置了訪問控制規則,要滿足電腦系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程式錯誤有以下幾種形式:程式師忘記檢查傳送到程式的入口參數;程式師忘記檢查邊界條件,特別是處理字串的記憶體緩衝時;程式師忘記最小特權的基本原則。整個程式都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程式師從這個特權程式使用範圍內建立一個資源,如一個檔和目錄。不是顯式地設置訪問控制,程式師認為這個缺省的許可是正確的。這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程式做一些它本來不應該做的事情。緩衝溢出攻擊就是通過給特權程式輸入一個過長的字串來實現的。程式不檢查輸入字串長度,假的輸入字串常常是可執行的命令,特權程式可以執行指令。
(四)用戶的認證管理
一是身份認證,電子商務企業用戶身份認證可以通過伺服器CA證書與IC卡相結合實現。CA證書用來認證伺服器的身份, IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用ID號和密碼口令的身份確認機制。二是CA證書,要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數位證書進行驗證,這份數位證書就是CA證書,它由認證授權中心發行。認證中心就是承擔網上安全交易認證服務,能簽發數位證書,並能確認戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數位證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核後,為其發放數位證書,證書分為伺服器證書和個人證書。建立SSL安全鏈結不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈結時客戶只需用戶下載該站點的伺服器證書。三是SSL協定,SSL通過數位簽名和數位證書來實行身份驗證,數字證書是從認證機構獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書發佈者的名稱、證書所有者的公開密鑰、證書發佈者的數字簽名、證書的有效期及證書的序列號等。在用數位證書對雙方的身份驗證後,雙方就可以用保密密鑰進行安全的會話了。SSL協定在應用層收發資料前,協商加密演算法、連接密鑰並認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明載入任何高層應用協議以保證應用層資料傳輸的安全性。
三、完善電子商務安全的配套措施
電子商務要真正成為一種主導的商務模式,尤其對發展中的中國來說,發展電子商務,就必須完善配套措施:
一要突破關鍵技術受制於人的瓶頸。二要儘快對電子商務的有關細則進行立法。三要大力開發大型商務網站,發展與之相配套的物流公司。四要建立嚴格的內部安全機制。五要建立網路安全維護日誌,記錄與安全性相關的資訊及事件,有情況出現時便於跟蹤查詢。六要對重要資料要及時進行備份,且對資料庫中存放的資料,資料庫系統應視其重要性提供不同級別的資料加密。安全實際上就是一種風險管理,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度範圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防範是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。(作者:孫銳 編選:麻球小站)
文章定位:
