随着信息技术的发展,电子商务成为当今商务活动的新模式。许多企业开始通过英特网进行商务活动,电子商务也具有了广阔的发展前景,但是与此同时,其安全问题也变得日益突出。目前,网上金融服务面临着和很多普通互联网服务相同的安全威胁,如信息****、解密、****账号、拒绝服务等。利用一些思维方法和相关技术建立一个安全的电子商务使用环境,对商务传输和交换的信息提供必要的加密和防护,已经成为用户和业界关注的问题。
其特征是针对计算机网络本身可能存在的安全问题,以保证计算机网络自身的安全性为目标。为了保证电子商务整个交易活动的安全顺利的进行,电子商务系统必须具备几个安全要素:网络电子商务信息的保密性、完整性、一致性、可用性和抗否认性。
电子商务网络安全面临的威胁
(一)黑客攻击
网络中总是存在各种安全漏洞,因此黑客的攻击行为是威胁电子商务安全的一大隐患。黑客攻击网络的目的通常是扰乱系统正常运行或者窃取重要的商业机密,其惯用的攻击手段为:窃听,即黑客通过截获通讯信道上的重要数据并破译来达到窃取用户机密的目的;重发攻击,黑客为达到影响系统正常运行的目的,而将窃听得到的数据经过篡改之后重新发回服务器或者数据库用户;迂回攻击,黑客掌握电子商务数据库系统的安全漏洞之后,绕过数据库系统而直接访问机密数据;假冒攻击,黑客先是采取发送大量无意义的报文而堵塞服务器和客户终端的通讯端口以后,再通过假冒该客户或者该服务器的方法来非法操作数据库系统;越权攻击,黑客属于一个合法用户,但是其通过某种手段使自己去访问没有得到授权的数据。
(二)系统漏洞
电子商务系统的网络入侵者能够根据系统本身的安全漏洞得到系统的数据操作权限。而漏洞产生的原因往往是管理系统没有及时打补丁或者在安全方面的设置中总是选择默认设置。此外,如果由于安全检查措施级别太低,或者审核机制应用不当、软件存在的风险以及管理风险等,都会使系统形成安全漏洞,从而给破坏者以入侵的机会。
电子商务网络安全的解决方案
(一)电子商务安全协议
安全协议的确立和完善是安全系统走上规范化、标准化道路的基本因素。一个较为完善的电子商务系统,应该满足电子商务的安全需求,实现加密机制、验证机制和保护机制等功能。目前,已开发和应用的协议有:IPv6、安全套接层协议、安全HTTP协议和安全电子交易协议等。本部分着重论述其中安全电子交易协议的具体实现机制。[page]
安全电子交易协议简称SET,是一种基于信息流的安全协议,其目的是保证用户、商家和银行之间在开放的网络环境之下进行安全可靠的信用卡交易。它的出现,使从前只能在银行之间进行的电子货币交易行为范围扩展到了普通用户的个人电脑领域。SET的技术核心是认证与加密,包括公开密匙加密、电子数字签名、电子信封、电子安全证书等。以加密技术为核心,结合其他技术体制,满足用户在电子商务交易中的保密性、完整性和不可抵赖性等安全需求。基于SET安全协议的网络电子商务交易流程,几乎完全等同于现实物理世界的交易过程,唯一的不同点是交易发生环境为因特网。
SET的主要安全措施为:
电子数字签名技术。这种方式结合了私钥和公钥体制,采用安全性高、管理方便的RSA算法,交易数据的发出者先将数据用私钥加密,而数据抵达接收方后,用发送者的公钥对数据进行解密还原。一个私钥严格关联着一个公钥,因此,数据发出者的信息只能被相应的接收者收到。这种方式的发送方无法抵赖自己曾经发出过的交易数据信息。
电子信封技术。交易信息数据的发出者将所发的信息用DES加密,然后再使用接收者的公钥把DES的对称密钥加密,这个过程叫做给信息加了电子数字信封。随后,交易信息的发出者将DES加密交易数据和电子信封本身一起发给交易数据的信息接收者。对方收到这些数据之后,用其自己的公钥打开电子信封,还原出发送者的DES对称密钥,接着用这个对称密钥去还原交易数据。这就确保了只有用交易信息接收者的密钥才可以查看电子信封,因此接收者的身份就可以确定。
SET协议的目标是解决交易环节中各个参与者(用户、商家和银行)之间使用信用卡支付的安全问题。它应用于电子交易环节,可以有效地保证商务数据的保密性、一致性、完整性和不可抵赖性。
(二)电子商务安全技术
电子商务安全技术包括备份技术、密码技术、认证技术以及访问控制技术等。
1.备份技术。所谓数据库备份与恢复方案,目的是在数据库系统故障并且短时间内难以恢复时,用存储在备份介质中的数据将数据库还原到备份时的状态。数据备份根据数据库管理系统类型的不同,有多种备份实施计划。比如对SQL Server而言,有数据库备份、事务日志备份、增量备份和文件及文件组备份。电子商务信息系统的数据库管理系统中必须建立详细的备份与恢复策略。可以把电子商务数据库的故障或障碍分为以下三类:系统故障、事务故障以及介质故障。当发生某种类型的故障时,为了把企业的损失减少到最低,必须在最短的时间内恢复数据,因此,根据企业的实际情况和数据类型与特点,制定出一套合理而经济的备份和恢复策略是必要的。[page]
2.认证技术。认证技术可以阻止不拥有系统授权的用户非法破坏敏感机密的数据,是数据库管理系统为防止各种假冒攻击安全策略。口令的识别是数据库管理系统进行身份认证的一种方式,每个具体用户都被系统事先分配一个固定的用户名与密码,电子商务系统的许多数据具有开放性特征,因此必须对每个访问系统的用户的身份进行认证。在用户对敏感关键的数据进行存取时,必须在客户与数据库管理系统之间进行身份认证。
3.访问控制技术。访问控制方案有三种,分别叫做自主存取控制(DAC)、强制存取控制(MAC)和基于角色的存取控制(RBAC)。当用户对数据库进行访问时,系统会根据用户的级别与权限来判定此操作是允许的或者禁止的,从而达到保护敏感数据不被泄露或者篡改的目的。在数据库管理系统中,不同的用户拥有不同的权限。因此必须保证某个用户只能访问或者存取与自己权限相应的数据范围。用户所拥有的权限包括两方面的内容:一是用户可以访问数据库中什么样的数据对象,二是用户可以对这些数据对象进行什么样的操作。
4.审计技术。这种有效机制可以在最大程度上保证数据库管理系统的信息安全。有两种审计方式:用户审计和系统审计。用户启用审计功能将在数据字典中记录每个用户操作数据库的全部细节,包括用户名称,操作类型等等;而系统审计则由DBA来进行。审计技术是数据库管理系统对相关用户的所有操作过程进行监视的一种安全方案,该安全方案的具体做法是在审计日志记录中存放各用户对数据库施加的动作,包括用户的修改、查询和删除等操作。
5.加密技术。数据库管理系统的加密以字段为最小单位进行,加密和解密通常是通过对称密码机制的密钥来实现。数据加密时,数据库管理系统把明文数据经过密钥转换为密文数据,数据库中数据的存储状态都是密文数据,而在得到权限的用户查询时,再将密文数据取出并解密,从而恢复明文数据。使数据库的安全性得到进一步提升。电子商务系统中的一些商业机密数据是不允许普通用户进行随意访问的。加密方案的目的是控制以上这些机密数据只能被得到相应授权的特定人群所访问和存取。
结论
电子商务的安全是信息安全中的一个重要部分。作为一个内涵和外延都是很有广度与深度的课题,涉及技术、管理等诸多层次,任何信息安全技术不是万能的,因此,为使电子商务能更好地服务于社会,需要技术与管理人员不断深入解决面临的实际问题。[page]
