電子商務安全系統管理
前言:本站為你精心整理了電子商務安全系統管理范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
[摘要]隨著電子商務這一新的商務模式逐漸為社會各界所接受并應用,電子商務系統安全日益成為電子商務發展過程中的一個“瓶頸”。如何建立一個安全本文、便捷的電子商務應用環境,已成為人們熱切關注的焦點。本文分別從管理和技術的角度闡述了解決電子商務系統安全的方法。
[關鍵詞]電子商務系統安全安全對策安全技術
2003年2月初,美國一名計算機黑客攻破了一家負責商家處理信用卡交易業務的企業數據庫,致使萬事達、維薩、運通這世界三大信用卡組織的800多萬用戶的信用卡信息被盜用,造成幾千萬美元的損失,構成有史以來最大的信用卡資料泄密事件。世界上最大的、最安全的信用卡組織的賬戶信息都被泄密,可見網絡黑客有多么可怕。如何如何建立一個安全的電子商務應用環境,對信息提供足夠的保護,已成為人們熱切關注的焦點。下面分別從管理和技術的角度闡述了解決電子商務系統安全的方法。
一、電子商務信息安全的管理
要實現電子商務系統安全,僅有技術上的安全是不行的。首先必須制定一套完備的網絡安全管理條例,才能從根本上杜絕不安全事件的發生。就象我們常講的先要從體制上抓起。我們可以建立以下的安全管理制度。
1.提高對網絡信息安全重要性的認識
信息技術的發展,使網絡逐漸滲透到社會的各個領域,在未來的軍事和經濟競爭與對抗中,因網絡的崩潰而促成全部或局部的失敗,決非不可能。我們在思想上要把信息資源共享與信息安全防護有機統一起來,樹立維護信息安全就是保生存、促發展的觀念。
2.開展網絡安全立法和執法
一是要加快立法進程,健全法律體系。自1973年世界上第一部保護計算機安全法問世以來,各國與有關國際組織相繼制定了一系列的網絡安全法規。我國也陸續頒布了很多網絡安全法規。這些法規對維護網絡安全發揮了重要作用,但不健全之處還有許多。一是應該結合我國實際,吸取和借鑒國外網絡信息安全立法的先進經驗,對現行法律體系進行修改與補充,使法律體系更加科學和完善;二是要執法必嚴,違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機關辦案的制度,提高執法的效率和質量。
3.抓緊網絡安全基礎設施建設
一個網絡信息系統,不管其設置有多少道防火墻,加了多少級保護或密碼,只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產的,就沒有安全可言;這正是我國網絡信息安全的致命弱點。國民經濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現。為此,需要建立中國的公開密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。
4.把好網絡建設立項關
我國網絡建設立項時的安全評估工作沒有得到應有重視,這給出現網絡安全問題埋下了伏筆。在對網絡的開放性、適應性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關的同時,在立項時更應注重對網絡的可靠性、安全性評估,力爭將安全隱患杜絕于立項、決策階段。
5.注重網絡建設的規范化
沒有統一的技術規范,局部性的網絡就不能互連、互通、互動,沒有技術規范也難以形成網絡安全產業規模。目前,國際上出現許多關于網絡安全的技術規范、技術標準,目的就是要在統一的網絡環境中保證信息的絕對安全。我們應從這種趨勢中得到啟示,在同國際接軌的同時,拿出既符合國情又順應國際潮流的技術規范。
二、電子商務網絡安全技術
有了制度,就有了根基。電子商務信息安全在很大程度上依賴于技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、網絡隱患掃描技術、系統安全監測報警與審計技術等。
1.防火墻技術
防火墻(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,并監視網絡運行狀態。簡單防火墻技術可以在路由器上實現,而專用防火墻提供更加可靠的網絡安全控制方法。防火墻技術主要有包過濾技術、服務技術與狀態監控技術。
2.加密技術
數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。密鑰加密技術分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點是數字運算量小,加密速度快,弱點是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制,加密密鑰是公開的,解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數學函數——單向陷門函數,即從一個方向求值是容易的,但其逆向計算卻很困難,從而在實際上成為不可能。除了密鑰加密技術外,還有數據加密技術。一是鏈路加密技術。鏈路加密是對通信線路加密;二是節點加密技術。節點加密是指對存儲在節點內的文件和數據庫信息進行的加密保護。
3.數字簽名技術
數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。在書面文件上簽名是確認文件的一種手段,其作用有兩點,一是因為自己的簽名難以否認,從而確認文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數字簽名與書面簽名有相同相通之處,也能確認兩點,一是信息是由簽名者發送的,二是信息自簽發后到收到為止未曾做過任何修改。這樣,數字簽名就可用來防止:電子信息因易于修改而有人作偽;冒用別人名義發送信息;發出(收到)信件后又加以否認。廣泛應用的數字簽名方法有RSA簽名、DSS簽名和Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰,其中一個是公開的,另一個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁上或公告牌里,網上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對公開密鑰加密的信息解密。DSS數字簽名是由美國政府頒布實施的,主要用于跟美國做生意的公司。它只是一個簽名系統,而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數字簽名方法,跟單獨簽名的RSA數字簽名不同,它是將數字簽名和要發送的信息捆在一起,所以更適合電子商務。
4.數字時間戳技術
在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。時間戳是一個經加密后形成的憑證文檔,包括三個部分。一是需加時間戳的文件的摘要,二是DTS收到文件的日期與時間,三是DTS數字簽名。時間戳產生的過程是:用戶首先將需要加時間的文件用HASH編碼加密形成摘要,然后將該摘要發送到DTS,DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密(數字簽名),然后送回用戶。書面簽署文件的時間是由簽署人自己寫上的,數字時間則不然,它是由認證單位DTS來加的,以DTS收到文件的時間為依據。
5.電子商務信息安全協議
(1)安全套接層協議。安全套接層協議是由NetscapeCommunication公司1994年設計開發的,主要用于提高應用程序之間的數據的安全系數。SSL協議的整個概念可以被總結為:一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協議,該協議向基于TCP/IP的客戶/服務器應用程序提供了客戶端與服務的鑒別、數據完整性及信息機密性等安全措施。SSL安全協議主要提供三方面的服務。一是用戶和服務器的合法性保證,使得用戶與服務器能夠確信數據將被發送到正確的客戶機和服務器上。客戶機與服務器都有各自的識別號,由公開密鑰編排。為了驗證用戶,安全套接層協議要求在握手交換數據中作數字認證,以此來確保用戶的合法性;二是加密數據以隱藏被傳遞的數據。安全套接層協議采用的加密技術既有對稱密鑰,也有公開密鑰,在客戶機和服務器交換數據之前,先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術,以保證其機密性與數據的完整性,并且經數字證書鑒別;三是維護數據的完整性。安全套接層協議采用Hash函數和機密共享的方法來提供完整的信息服務,建立客戶機與服務器之間的安全通道,使所有經過安全套接層協議處理的業務能全部準確無誤地到達目的地。
(2)安全電子交易公告。安全電子交易公告是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統規范。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。SET已成為全球網絡的工業標準。SET安全協議的主要對象包括:消費者(包括個人和團體),按照在線商店的要求填寫定貨單,用發卡銀行的信用卡付款;在線商店,提供商品或服務,具備使用相應電子貨幣的條件;收單銀行,通過支付網關處理消費者與在線商店之間的交易付款;電子貨幣發行公司以及某些兼有電子貨幣發行的銀行。負責處理智能卡的審核和支付;認證中心,負責確認交易對方的身份和信譽度,以及對消費者的支付手段認證。SET協議規范的技術范圍包括:加密算法的應用,證書信息與對象格式,購買信息和對象格式,認可信息與對象格式。SET協議要達到五個目標:保證電子商務參與者信息的相應隔離;保證信息在互聯網上安全傳輸,防止數據被黑客或被內部人員竊取;解決多方認證問題;保證網上交易的實時性,使所有的支付過程都是在線的;效仿BDZ貿易的形式,規范協議和消息格式,促使不同廠家開發的軟件具有兼容性與交互操作功能,并且可以運行在不同的硬件和操作系統平臺上。
在傳統的商務環境下進行面對面的交易也存在著這樣那樣的安全風險,因此在電子商務活動中偶爾的信用卡密碼被盜、交易抵賴等情況也不足為奇。電子商務的安全性是相對的,但隨著電子商務的發展、計算機與網絡技術的不斷提高,以及各項網絡安全管理制度與立法的不斷完善,電子商務的安全性將會越來越高。
參考文獻:
[1]鄒文健:電子商務[M].北京:企業管理出版社,2005
[2]胡長聲:電子商務概論[M].上海:復旦大學出版社,2005
[3]劉想:我國信息安全及其技術研究[J].中國信息導報,2003
