電子商務中網絡安全論文

電子商務中網絡安全論文

 【摘要】構筑安全電子商務信息環境是網絡時代發展到一定階段的“瓶頸”性課題。本文側重討論了其中的信息安全技術、數字認證、信息安全協議、信息安全對策等核心問題。
 【關鍵詞】電子商務 網絡 信息安全 信息安全技術 數字認證 信息安全協議 信息安全對策 
  美國著名未來學家阿爾溫·托夫勒說：“電腦網絡的建立和普及將徹底改變人類生存及生活的模式，控制與掌握網絡的人就是未來命運的主宰。誰掌握了信息，控制了網絡，誰就擁有整個世界。”的確，網絡的國際化、社會化、開放化、個人化誘發出無限的商機，電子商務的迅速崛起，使網絡成為國際競爭的新戰場。然而，由于網絡技術本身的缺陷，使得網絡社會的脆性大大增加，一旦計算機網絡受到攻擊不能正常運作時，整個社會就會陷入危機。所以，構筑安全的電子商務信息環境，就成為了網絡時代發展到一定階段而不可逾越的“瓶頸”性問題，愈來愈受到國際社會的高度關注。  一、電子商務中的信息安全技術  電子商務的信息安全在很大程度上依賴于技術的完善，這些技術包括：密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、網絡隱患掃描技術、系統安全監測報警與審計技術等。  1.防火墻技術。防火墻（Firewall）是近年來發展的最重要的安全技術，它的主要功能是加強網絡之間的訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡（被保護網絡）。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查，來決定網絡之間的通信是否被允許，并監視網絡運行狀態。簡單防火墻技術可以在路由器上實現，而專用防火墻提供更加可靠的網絡安全控制方法。　　防火墻的安全策略有兩條。一是“凡是未被準許的就是禁止的”。防火墻先是封閉所有信息流，然后審查要求通過的信息，符合條件的就讓通過；二是“凡是未被禁止的就是允許的”，防火墻先是轉發所有的信息，然后再逐項剔除有害的內容，被禁止的內容越多，防火墻的作用就越大。網絡是動態發展的，安全策略的制定不應建立在靜態的基礎之上。　防火墻技術的優點很多，一是通過過濾不安全的服務，極大地提高網絡安全和減少子網中主機的風險；二是可以提供對系統的訪問控制；三是可以阻擊攻擊者獲取攻擊網絡系統的有用信息；四是防火墻還可以記錄與統計通過它的網絡通信，提供關于網絡使用的統計數據，根據統計數據來判斷可能的攻擊和探測；五是防火墻提供制定與執行網絡安全策略的手段，它可以對企業內部網實現集中的安全管理。防火墻技術的不足有三。一是防火墻不能防止繞過防火墻的攻擊；二是防火墻經不起人為因素的攻擊。由于防火墻對網絡安全實施單點控制，因此可能受到黑客的攻擊；三是防火墻不能保證數據的秘密性，不能對數據進行鑒別，也不能保證網絡不受病毒的攻擊。  2.加密技術。數據加密被認為是最可靠的安全保障形式，它可以從根本上滿足信息完整性的要求，是一種主動安全防范策略。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據。通過使用不同的密鑰，可用同一加密算法，將同一明文加密成不同的密文。當需要時可使用密鑰將密文數據還原成明文數據，稱為解密。  3.數字簽名技術。數字簽名（DigitalSignature）技術是將摘要用發送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中，數字簽名技術有著特別重要的地位，在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。  4.數字時間戳技術。在電子商務交易的文件中，時間是十分重要的信息，是證明文件有效性的主要內容。在簽名時加上一個時間標記，即有數字時間戳（DigitaTimestamp）的數字簽名方案：驗證簽名的人或以確認簽名是來自該小組，卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性，其他任何人除了得到該指定人或簽名者本人的幫助，否則不能驗證簽名。  二、電子商務信息安全協議  1.安全套接層協議。安全套接層協議（SecureSocketsLayer，SSLNetscapeCommunicatio公司1994年設計開發的，主要用于提高應用程序之間的數據的安全系數。SSL協議的整個概念可以被總結為：一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協議，該協議向基于TCP/IP的客戶/服務器應用程序提供了客戶端與服務的鑒別、數據完整性及信息機密性等安全措施。
 2.安全電子交易公告。安全電子交易公告（SET：SecureElectronicTransactions）是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統規范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證。SET已成為全球網絡的工業標準。
 3.安全超文本傳輸協議（S-HTTP）。依靠密鑰的加密，保證Web站點間的交換信息傳輸的安全性。SHTTP對HT-TP的安全性進行了擴充，增加了報文的安全性，是基于SSL技術的。該協議向互聯網的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。  4.安全交易技術協議（STT）。STT將認證與解密在瀏覽器中分離開，以提高安全控制能力。  5.UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。在ISO發布的IS09735（即UN/EDI-FACT語法規則）新版本中，包括描述UN/EDIFACT中實施安全措施的五個新部分，即：第五部分——批式電子商務（可靠性、完整性和不可抵賴性）的安全規則；第六部分——安全鑒別與確認報文（AUTACK）；第七部分——批式電子商務（機密性）的安全規則；第九部分——安全密鑰和證書管理報告（KEYMAN）；第十部分——交互式電子商務的安全規則
 三、電子商務中的信息安全對策　　1.提高對網絡信息安全重要性的認識。信息技術的發展，使網絡逐漸滲透到社會的各個領域，在未來的軍事和經濟競爭與對抗中，因網絡的崩潰而促成全部或局部的失敗，決非不可能。我們在思想上要把信息資源共享與信息安全防護有機統一起來，樹立維護信息安全就是保生存、促發展的觀念。
 2.加強網絡安全管理。我國網絡安全管理除現有的部門分工外，要建立一個具有高度權威的信息安全領導機構。
 3.加快網絡安全專業人才的培養。我國需要大批信息安全人才來適應新的網絡安全保護形勢。高素質的人才只有在高水平的研究教育環境中迅速成長，只有在高素質的隊伍保障中不斷提高。
 4.開展網絡安全立法和執法。一是要加快立法進程，健全法律體系。自1973年世界上第一部保護計算機安全法問世以來，各國與有關國際組織相繼制定了一系列的網絡安全法規。
　 5.抓緊網絡安全基礎設施建設。一個網絡信息系統，不管其設置有多少道防火墻，加了多少級保護或密碼，只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產的，就沒有安全可言；這正是我國網絡信息安全的致命弱點。
 6.把好網絡建設立項關。我國網絡建設立項時的安全評估工作沒有得到應有重視，這給出現網絡安全問題埋下了伏筆。在對網絡的開放性、適應性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關的同時，在立項時更應注重對網絡的可靠性、安全性評估，力爭將安全隱患杜絕于立項、決策階段。  7.建立網絡風險防范機制。在網絡建設與經營中，因為安全技術滯后、道德規范蒼白、法律疲軟等原因，往往會使網絡經營陷于困境，這就必須建立網絡風險防范機制。  8.強化網絡技術創新。如果在基礎硬件、芯片方面不能自主，將嚴重影響我們對信息安全的監控。 9.注重網絡建設的規范化。沒有統一的技術規范，局部性的網絡就不能互連、互通、互動，沒有技術規范也難以形成網絡安全產業規模。
 10.建設網絡安全研究基地。應該把我國現有的從事信息安全研究、應用的人才很好地組織起來，為他們創造更優良的工作學習環境，調動他們在信息安全創新中的積極性。
11.促進網絡安全產業的發展。扶持具有中國特色的信息安全產業的發展是振興民族信息產業的一個切入點，也是維護網絡安全的必要對策