電子商務安全問題分析與研究

電子商務安全問題分析與研究

 3. 消息認證
 消息認證是檢驗數據的完整性，數據是否被篡改的技術，是用盡可能湊函數來實現的。單向雜函數還可按其是否有密鑰控制分為兩大類。一類有密鑰控制的人（k、m）表示為密碼雜湊函數；另一類無密鑰控制，為一般雜湊函數。一般雜湊函數不具有身份認證的功能，只用于檢測接收數據的完整性，它一般與數字簽名結合應用；而密碼雜湊函數，其雜湊值不僅與輸入有關，而且與密鑰有關，因而具有身份驗證功能。雜湊算法有MDS、DHA等。
 4.數字簽字
 在日常生活中時常會有報文與簽名同時發送以作為日后查證的保證。在Internet環境中，這可以用電子數字簽名作為模擬。數字簽字技術是將摘要用發送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密的摘要，然后用Hash函數對收到的原文產生一個摘要，與解密的摘要對比，若相同，則說明收到的信息是完整的，在傳輸過程中沒有維修改，否則被修改過，不是原信息。同時，也證明發送者不能否認自己發送了信息，這樣，數字簽字就保證了信息技術憶完整性和不可否認性。具體做法是：
 將報文按雙方約定的Hash算法計算得到一個固定位數的報文摘要（Message Digest）值。在數學上保證：只要改動報文的任何一位，重新計算出的報文摘要就會與原先值不符，這樣就保證了報文的不可更改。
 該報文的摘要值，用發送者的私人密鑰加密，然后該密文回原報文一起發送給接收者，所產生的報文即稱數字簽名。
 接收方收到數字簽名后，用同樣的Hash算法對報名計算摘要值，然后與用發送者的公開密鑰進行解密解開的報文摘要值相比較，如相等則說明報文確實來自發送者。
   [關鍵詞]電子商務、安全要求、安全技術、安全評估
  [摘要]二十世紀以來，隨著網絡技術的迅猛發展和廣泛應用，特別是Internet的不斷普及，人們的消費觀念和生活方式都發生了巨大的變化，越來越多的傳統商務活動得到在網上進行，網絡采購和交易便是其形式之一，導致大量經濟信息在網上傳遞、巨額的資金在網上流動。由于Internet本身的開放性，即Internet本身是為了互相交流而不是為了抵抗彼此相互入侵而開發的，所以其TCP/IP的源代碼及UNIX源代碼都是公開的，另外為了網絡資源的共享目的和收取的一些其實并不安全的加密措施，使網上交易面臨了解和危險，電子商務的安全性問題也成為大家關注的焦點，并成為電子商務發展的瓶頸。
電子商務系統安全的概念
 電子商務系統是一個計算機系統，其安全性是一個系統的概念，不僅與計算機系統結構有關，還與電子商務應用的環境、人員素質和社會因素有關。它包括電子商務安全系統的硬件安全、軟件安全、運行安全、電子商務安全立法等。
 1、電子商務系統硬件安全，它是指保護計算機系統硬件（包括外部設備）的安全，保證其自身的可靠性和為系統提供基本安全機制。
 2、電子商務系統軟件安全，軟件安全是指保護軟件和數據不被篡改、破壞和非法復制。系統軟件安全的目標是使計算機系統邏輯上安全，主要是使系統中信息的存取、處理和傳輸滿足系統安全策略的要求。根據計算機軟件系統的組成，軟件安全可分為操作系統安全，數據庫安全、網絡軟件安全和應用軟件安全。
 3、電子商務系統運行安全,運行安全是指保證系統能連續和正常地運行。
 4、電子商務安全立法，電子商務安全立法是對電子商務犯罪的約束，它是利用國家機器，通過安全立法，體現與犯罪斗爭的國家意志。
 除了上述網絡實體安全性問題以外，網絡交易的安全性問題還可能會受到其他方的威脅，例如：對網絡設備及信息資源的非授權或越權使用，或利用各種欺騙手段非法獲得合法用戶的使用權限，占有合法用戶資源；使用刪除、修改等手段，非法破壞數據的完整性，干擾用戶的正常使用；通過改變系統的正常運行方法，干擾系統的正常運行；通過網絡傳播病毒或對正常程序進行破壞性攻擊；通過電磁介質的泄露或搭線等手段，竊取或截取信息等。
 綜上所述，電子商務安全是個復雜的系統問題，電子商務安全立法與電子商務應用的環境、人員素質、社會有關。基本上不屬于技術上的系統設計問題，而硬件安全是目前硬件技術水平能夠解決的問題，鑒于現代計算機系統軟件的龐大和復雜性，軟件安全成為電子商務系統安全的關鍵問題。
 二、電子商務系統安全基本要求。
 計算機網絡技術的迅猛發展，使得社會生活中傳統的犯罪和不道德行為更隱蔽和難以控制。人們從而對面的交易和作業，變成網上互相不見面的操作，沒有國界，沒有時間的限制，可以利用Internet的資源和工具進行訪問、攻擊、甚至破壞。因此為了保障交易各方的合法權益，保證能夠在安全的前提下開展電子商務，務必考慮以下幾點：
 １、信息保密性。即要求對交易中的所有商務信息進行保密，反之就可能對交易人造成極大的損失。因此信息需要加密以及在必要的節點上設置防火墻。例如信用卡賬號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此電子商務的信息在傳播中必須要進行加密。
 ２、身份的確定性。身份的確定性是指交易雙方確實存在，不是假冒。由于網上交易的雙方很可能素昧平生、相隔千里，要使交易成功，首先要能確認對方的身份，商家需要確認客戶端的對方是不是騙子，而客戶也會擔心網上商店是不是一個玩弄欺詐的商店。因此方便而可靠地確認對方身份是交易的前提。
 ３、不可否認性。不可否認性是指信息的發送方不能否認已發送的信息，接收方不能否認已收到的信息。由于商情的千變萬化，交易一旦達成是不能被否認的，否則必然會損害一方的利益。例如訂購珍珠，訂貨時珍珠價格較低，但收到訂單后，珍珠價格上漲，訂貨時珍珠價格較低，如果收單方否認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失，要求電子交易通信過程的各個環節必須是不可否認的。
 ４、信息不可修改性。信息的完整性，它主要從信息傳輸和存儲兩個方面來看的。在存儲性，要防止非法篡改和破壞網站上的信息。在傳輸過程中，接收端收到的信息與發送的信息完全一樣，說明在傳輸過程中信息沒遭到破壞。盡管信息在傳輸過程中被加了密，能保證第三方看不到真正的信息，但并不能保證信息不被修改。例如若發送的信用卡號碼是“4321”，接收端收到的卻是“1234”，這樣信息的完整性就遭到了破壞，因此電子交易文件也必須做到不可修改，以保障交易的嚴肅和公正。
 ５、系統的可靠性。電子商務系統是計算機系統，其可靠性是指防止計算機失效，程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。
 三、電子商務系統常用安全技術
 1.防火墻技術
 防火墻是指一個由軟件系統和硬件設備組合而成的、在內部網和外部網之間的界面上構造的保護屏障。本質上，它遵循的是一種允許或阻止業務來往的網絡通信安全機制，也就是可供、可控的過濾網絡通信，只允許授權的通信。防火墻軟件通常是在TCP/IP網絡軟件的基礎上進行改造和再開發而形成的。防火墻技術作為目前用來實現網絡安全的一種手段，主要用來拒絕未經授權的用戶訪問，阻止未經授權勢用戶有取敏感數據，同時允許合法用戶不受妨礙地訪問資源，若使用得當可以在很大程度上提高網絡安全性能，但是并不能百分之百解決網絡上的信息安全問題。比如防火墻雖然對外部網絡的攻擊進行有效防護，但對來自內部網絡的攻擊無能為力。
 2.加密技術
 加密技術是最基本的安全技術，其主要功能是指機密性服務，但在其實現其他安全服務時也會使用加密技術。
加密和解密
 加密是指將數據進行編碼，使它成為一種不可理解的形式，這種不可理解的內容叫做密文。 解密是加密的逆過程，即將密文還原成原來可理解的形成。加密和解密過程依靠兩個因素，缺一不可，這就是算法和密鑰。算法是加密或解密的一步一步的過程。在這個過程中需要一串數字，這個數字就是密鑰。
 密鑰和長度。密鑰的長度是指密鑰的位數。密文的破譯實際上是黑客經過長時間的測試密鑰，破獲密鑰后，解開密文。怎樣才能使得加密系統牢固，讓黑客難以破獲密鑰呢？這就是要使用長鑰，例如一個16位的密鑰216=65536種不同的密鑰。順序猜測65536種密鑰對于計算機來說是很容易的。但如果是100位的密鑰，計算機順序猜測密鑰的時間就需要好幾個世紀了。因此，密鑰的位數越長，意味著加密系統越牢固。
 對稱密鑰系統。在對稱密鑰系統中，對信息的加密和解密都使用相同的密鑰，也即是一把鑰匙開一把鎖。使用對稱加密方法簡化加密的處理，每個貿易方都彼此研究和交換專用的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰如果進行通信的貿易方能夠確保專用密鑰在密鑰交換階段未曾漏泄，那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發送報文摘要或報文值來實現。對稱加密技術存在著在通信的貿易方之間確保密鑰安全交換的問題。

 5.數字時戳
 文件交易中，時戳和簽名一樣是十分重要的證明文件有效性的內容，數字時代就是用來證明消息的收到簽發時間的。用戶首先將需要加時戳的文件用Hash函數加密，形成“摘要”，然后將摘要發送到專門提供數字時間戳服務的權威機構，該機構對原摘要加上時戳后，再進行數字簽名（用私密加鑰），并發送給原用戶，原用戶可以把它再發送給接收者。
 6.數字證書。
 數字證書就是網絡通訊中標志通訊各方身份信息的一等系列數據，提供了一種在Internet上驗證你身份的方式，其作用類似于司機的駕駛執照或日常生活中的身份證，它是由一個權威機構____CA機構，又稱為證書授權中心發行的，人們可以在交往中用它來識別對方身份。最簡單的數字證書包含一個公開密鑰、名稱以及證書授權中心數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關的名稱，該證書的序列號等信息，證書的格式遵循ITUX·509國際標準。
數字證書有三種類型：個人數字證書、企業（服務器）數字證書、軟件（開發者）數字證書。

 四。電子商務網絡安全的評估
 要想使一個商用內部網真正做到安全，光有防范措施是遠遠不夠的，以某種意義上來看，對于內部網的內部管理并不亞于外部防范。因而對于一個網絡的安全性而言，不公要看它所采用的防范措施，而且還要看它的管理措施。只有將這兩種綜合起來考察，才能最終得出該網絡是否安全的結論。
內部網和專線服務在連入互聯網之前，公司管理層必須對網絡的安全措施和政策予以重視，否則一旦出現損失可能后果是相當嚴重的。另外，公司管理層，還必須想到公司內部究竟是什么人以及出于什么目的才能允許到互聯網進行存取,對于安全問題更應是未雨綢繆,事先防范,商業經營離不開成本核算,因而在評價機構在評估一個網絡的安全風險時,首先要看保護的是什么,要防范的是什么和在安全防護上能投入多少。在對一個網絡進行評估之前，首先要弄清以下幾點問題：
確定單位內部是否已經有了一套有關網絡安全的方案。若有的話，將所有有關的書面文件匯總。
確定所有關知道網絡安全方案的人。
對已有的方案進行審查。
仔細檢查聯入互聯網后潛在的危險。
明確規定哪些人或單位可以直接存取互聯網資源。
制定出一份覆蓋以前所考慮到的所有問題的書面計劃。
確定所需的技術使網絡安全的方案能得落實。
購買并使用相應的技術。
確保通知有關人員關于網絡安全的方案。
 只有當公司的網絡安全方案最終確定下來，才能有效地選擇相應的安全技術。所以網絡安全的評估也是至關重要的。
 因此，安全是電子商務的核心和靈魂，沒有安全保障的電子商務應用只是虛偽的炒作或欺騙，任何獨立的個人或團體不會愿意讓自己的敏感信息在不安全的電子商務流程中傳輸。隨著電子商務在我國的不斷發展，我們要在吸收、引進國外一些先進技術的前提下，組織各方面的力量，獨立研制和開發具有獨立知識產權的網絡安全和電子商務安全產品，逐步掌握電子商務安全的核心技術，從宏觀上進和行調節和控制。相信，我國的電子商務安全現狀一定會得到極大的改善，為我國電子商務的真正發展構筑一道牢不可破的堅固屏障，因而在此基礎上對我國電子商務安全問題進行分析與研究無疑具有重要而又深遠的意義。

參考文獻：
陳昕：《網絡信息安全》，北京師范大學網絡教育學院，2004年1月。
李 廣 建：《電子商務技術》，北京師范大學繼續教育與教師培訓學院。
梅紹祖：《電子商務基礎》，清華大學出版社，2000年10月第一版。
吳 應 良：《電子商務概論》，華南理工大學出版社，2003年8月第一版。
甘 早 斌：《電子商務概論》，華中科技大學出版社，2001年第一版。