随着互联网的应用和电子商务的发展,其安全问题也变得越来越突出。电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。
计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
一、电子商务安全需求
为了保障交易各方的合法权益,保证能够在安全的前提下开展电子商务,安全性通常要考察以下几个方面。
1.信息的保密性 信息的保密性是指信息在传输过程或存储中不被他人窃取。因此,信息需要加密以及在必要的节点上设置防火墙。例如,信用卡号在网上传输时,如果非持卡人从网上拦截并知道了这个号码,就可以用这个号码在网上购物。因此,必须对需要保密的信息进行加密,然后再放到网上传输。
2.信息的完整性 信息的完整性包括信息传输和存储两个方面。在存储时,要防止非法篡改和破坏网站上的信息。在传输过程中,接收端收到的信息与发送的信息完全一样,说明在传输过程中信息没有遭到破坏。尽管信息在传输过程中被加了密,能保证第三方看不到真正的信息,但并不能保证信息不被修改。例如,如果发送的信用卡号码是 “9521”,接收端收到的却是“9524”,这样信息的完整性就遭到了破坏。
3.不可否认性 信息的不可否认性是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息。由于商情的千变万化,交易达成后是不能否认的,否则,必然会损坏一方的利益。例如,买方向卖方订购钢铁,订货时市场的价格较低,收到订单时价格上涨了,如果卖方否认收到订单的时间,甚至否认收到订单,那么买方就会受到损失。再例如,买方在网上订购了某物,后来不想买了,谎称寄出的订单不是自己的,而是信用卡被盗用,这样卖方就可能会受到损失。这些都是不允许的。
4.身份的真实性 身份的真实性是指网上交易双方身份信息的真实性。双方交换信息之前通过各种方法保证身份的精确性,分辨参与者身份的真伪,防止伪装攻击。
5.系统的可靠性 是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。
二、电子商务安全措施
适当设置防护措施可以降低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施,整个系统的安全取决于系统中最薄弱环节的安全水平,这就需要从系统设计上进行全面的考虑,折中选取。电子商务中的安全措施包括有下述几类:
(1)保证交易双方身份的真实性:常用的处理技术是身份认证,依赖某个可信赖的机构(CA认证中心)发放证书,并以此识别对方。目的是保证身份的精确性,分辨参与者身份的真伪,防止伪装攻击。
(2)保证信息的保密性:保护信息不被泄露或被披露给未经授权的人或组织,常用的处理技术是数据加密和解密,其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术(如DES算法)和公开密钥加密技术(如RSA算法)。
(3)保证信息的完整性:常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者(非法用户)建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。
(4)保证信息的真实性:常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈,如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等,而不是对付未知的攻击者,其基础是公开密钥加密技术。目前,可用的数字签名算法较多,如RSA数字签名、ELGamal数字签名等。
(5)保证信息的不可否认性:通常要求引入认证中心(CA)进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。
(6)保证存储信息的安全性:规范内部管理,使用访问控制权限和日志,以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术保护内部网络的安全性。
