学界I 信息与检索 研究与交流 电子商务中的安全问题分析 口张稼叶毓峰 随着Internet的发展,电子商务已经 品本身的问题或使用问题,这些产品并没 的信息进行加密。现在,一些专用密钥加 成为人们进行商务活动的一种模式。越来 有起到应有的作用,很容易产生许多安全 密(如3DES、IDEA、RC4和RC5)和公 越多的人通过Internet进行商务活动。电 子商务的发展前景十分诱人,而其安全问 题也变得越来越突出。如何建立一个安全 便捷的电子商务应用环境、对信息提供足 够的保护,已经成为商家和用户都十分关 心的话题。 电子商务的一个重要技术特征是利 用IT技术来传输和处理商业信息。因此, 电子商务安全从整体上可分为两大部分: 计算机网络安全和商务交易安全。 计算机网络安全的内容包括:计算机 网络设备安全、计算机网络系统安全、数 据库安全等。其特征是针对计算机网络本 身可能存在的安全问题,实施网络安全增 强方案,以保证计算机网络自身的安全性 为目标。 商务交易安全则紧紧围绕传统商务 在互联网络上应用时产生的各种安全问 题,在计算机网络安全的基础上,保障电 子商务过程的顺利进行。即实现电子商务 的保密性、完整性、可鉴别性、不可伪造性 和不可抵赖性。 一、计算机网络的潜在安全 隐患 1.未进行操作系统相关安全配置。很 多网管为图省事,安装服务器操作系统时 采取缺省安装,没有进行相关的安全配 置,使得服务器存在漏洞和“后门“,成为 网络攻击的首选目标。 2.拒绝服务(DoS,Denial of Service) 攻击。随着电子商务的兴起,对网站的 实时性要求越来越高,DoS或DDoS对 网站的威胁越来越大。美国“雅虎”、“亚 马逊“就曾因此受到攻击,导致网络瘫 痪,造成了很大的损失。 3.安全产品使用不当。虽然不少网站 采用了一些网络安全设备,但由于安全产 厂东科技2007 04总第166期 问题。 4.缺少严格的网络安全管理制度。 二、在商务安全中普遍存在 着以下几种安全隐患 1.窃取信息:由于未采用加密措施, 数据信息在网络上以明文形式传送,入侵 者可以在数据包经过的网关或路由器上 截获传送的信息,造成网上传输信息泄 密。 2.篡改信息:入侵者可以通过各种 技术手段和方法,将网络上传送的信息数 据在中途修改,然后再发向目的地。 3.假冒:攻击者可以冒充合法用户发 送假冒的信息或者主动获取信息,而远端 用户通常很难分辨。 4.恶意破坏:攻击者可以通过入侵服 务器,掌握机要信息,对网络中的信息进 行修改,造成严重的后果。 5.交易抵赖:例如购买者做了定货单 不承认;商家卖出的商品因价格差而不承 认原有的交易等。 因此,电子商务的安全交易必须要保 证以下四个方面: 1.信息保密性 2.交易者身份的确定性 3.不可否认性 4.不可修改性 三、主要的安全技术 1.虚拟专用网(VPN):这是用于In— ternet交易的一种专用网络,它可以在两 个系统之间建立安全的信道(或隧道), 用于电子数据交换(EDI)。 2.加密技术:保证电子商务安全的 最重要的一点就是使用加密技术对敏感 钥加密(如RSA、SEEK、PGP和EU)可 用来保证电子商务的保密性、完整性、真 实性和非否认服务。 3.电子商务认证中心(CA,Certificate Authority):实行网上安全支付是顺利开 展电子商务的前提,建立安全的认证中心 (CA)则是电子商务的中心环节。建立 CA的目的是加强数字证书和密钥的管理 工作,增强网上交易各方的相互信任,提 高网上购物和网上交易的安全性,控制交 易的风险,从而推动电子商务的发展。 4智能IC卡技术:将用户密钥存贮 于卡内,由智能卡实现:密钥生成、数字签 名、证书验证、加/解密。实现用户密钥不 出卡,无法窃取用户密钥、仿冒用户身份。 即使进行卡的复制,也无法仿冒合法用户 卡内的密钥信息。 另外,还可以采取一些简单措施保证 交易的安全性,如: 1.部分告知(Partial Order):即在网 上交易中将最关键的数据如信用卡号码 及成交数额等略去,然后再用电话告之, 以防泄密。 2.另行确认(Order Confirmation): 即当在网上传输交易信息后,再用电子邮 件对交易做确认,才认为有效。 计算机网络安全与商务交易安全实 际上是密不可分的,两者相辅相成,缺一 不可。没有计算机网络安全作为基础,商 务交易安全就犹如空中楼阁,无从谈起。 没有商务交易安全保障,即使计算机网络 本身再安全,仍然无法达到电子商务所特 有的安全要求。■ (作者单位:张稼:广东工业大学华立 学院计算机系;叶毓峰:广东省科技厅)
因篇幅问题不能全部显示,请点此查看更多更全内容