电子商务的信息安全问题探讨

　　(中国电子商务研究中心讯)伴随经济的迅猛发展，电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势，必须保证电子商务中信息交流的安全。

　　一、电子商务的信息安全问题

　　电子商务信息安全问题主要有：

　　1.信息的截获和窃取：如果采用加密措施不够，攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据，获取机密信息或通过对信息流量、流向、通信频度和长度分析，推测出有用信息。2.信息的篡改：当攻击者熟悉网络信息格式后，通过技术手段对网络传输信息中途修改并发往目的地，破坏信息完整性。3.信息假冒：当攻击者掌握网络信息数据规律或解密商务信息后，假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖：交易抵赖包括多方面，如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。

　　二、信息安全要求

　　电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:

　　1.信息保密性：维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中，要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性：贸易各方信息的完整性是电子商务应用的基础，影响到交易和经营策略。要保证网络上传输的信息不被篡改，预防对信息随意生成、修改和删除，防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性：保证信息有效性是开展电子商务前提，关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防，以保证贸易数据在确定时刻和地点有效。4.信息可靠性：确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁，通过控制与预防确保系统安全可靠。

　　三、信息安全技术

　　1.防火墙技术。防火墙在网络间建立安全屏障，根据指定策略对数据过滤、分析和审计，并对各种攻击提供防范。安全策略有两条：一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流，再审查要求通过信息，符合条件就通过；二是“凡是未被禁止就是允许”。防火墙先转发所有信息，然后逐项剔除有害内容。

　　防火墙技术主要有：(1)包过滤技术：在网络层根据系统设定的安全策略决定是否让数据包通过，核心是安全策略即过滤算法设计。(2)代理服务技术：提供应用层服务控制，起到外部网络向内部网络申请服务时中间转接作用。代理服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术：在网络层完成所有必要的包过滤与网络服务代理防火墙功能。(4)复合型技术：把过滤和代理服务两种方法结合形成新防火墙，所用主机称为堡垒主机，提供代理服务。(5)审计技术：通过对网络上发生的访问进程记录和产生日志，对日志统计分析，对资源使用情况分析，对异常现象跟踪监视。(6)路由器加密技术：加密路由器对通过路由器的信息流加密和压缩，再通过外部网络传输到目的端解压缩和解密。

　　2.加密技术。为保证数据和交易安全，确认交易双方的真实身份，电子商务采用加密技术。数据加密是较可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有：(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开；得到公开密钥的贸易方乙对信息加密后再发给贸易方甲：贸易方甲用另一把专用密钥对加密信息解密。

    具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方，保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹，有固定长度且不同明文摘要成密文结果不同，而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点：一是因为自己签名难以否认，从而确认文件已签署；二是因为签名不易仿冒，从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容，数字时间戳服务能提供电子文件发表时间的安全保护。

　　3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份，验证信息完整性，确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识，用电子手段证实用户身份及对网络资源的访问权限，可控制被查看的数据库，提高总体保密性。交易支付过程中，参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放，都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业性服务机构，受理数字证书的申请、签发及对数字证书管理。

　　4.防病毒技术。(1)预防病毒技术，通过自身常驻系统内存，优先获取系统控制权，监视系统中是否有病毒，阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术，通过对计算机病毒特征进行判断的侦测技术，如自身校验、关键字、文件长度变化。(3)消除病毒技术，通过对计算机病毒分析，开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度，可以清除处于潜伏期的病毒，防止病毒突然爆发，使计算机始终处于良好工作状态。

　　四、结语

　　信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术，提高电子商务系统的安全性和可靠性。但电子商务的安全运行，仅从技术角度防范远远不够，还必须完善电子商务立法，以规范存在的各类问题，引导和促进我国电子商务快速健康发展。（编选：中国电子商务研究中心 勇全）