浅议电子商务中的信息安全问题 【摘要】随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式,它的发展给人们的工作和生活带来了新的尝试和便利。在新的竞争市场环境中,电子商务的一些信息可能属于商业机密,因而电子商务中的信息安全问题一直是一个很重要的课题,本文针对这一课题作出一些研究和探讨:首先对电子商务和电子商务信息安全作出简单介绍,然后分析了当前电子商务所面临的一些信息安全性问题,最后针对这些问题提出解决方案。
【关键词】电子商务;信息安全;安全技术
一、序论 电子商务是指政府、企业和个人利用现代电子计算机与网络技术来实现商业交和行政管理的全过程;它是基于互联网,以交易双方的主体,以银行电子支付结算为手段,以客户数据为依托的全新商务模式。 作为一种新的商务模式,电子商务的发展极其迅速,现在已经进入到蓬勃发展的阶段。但是电子商务的发展过程并不是一帆风顺的,在此过程中,遇到过很多问题,其中信息安全问题显得尤为重要。如今年上半年,我国政府、商业、金融等领域重要信息系统的网络攻击频繁。2012年6月,我国数十家政府及企事业单位网站遭受黑客攻击,15万以上的用户数据泄露。据统计,我国企业遭到攻击的IP地址,65%来自国外;涉及国家机密和资金安全的机构遭黑客攻击的技术含量和攻击频率远高于普通企业。与此同时,手机病毒软件包逐月递增,移动智能终端恶意程序迅猛增长,信息和数据泄露事件多发,病毒、木马等向工控系统扩散范围日益增大,信息安全状况不容乐观,这些都严重威胁了电子商务高速地发展。 电子商务信息安全是实现电子商务的保障,是电子商务运作的重要部分,是信息流、商流、物流和资金流最终实现的根本保证。电子商务的发展离不开信息安全的保证,而电子商务的发展过程,同样也是电子商务信息安全体系不断完善的过程。所以,从电子商务的安全问题入手,通过对多种安全技术的综合介绍和详细分析,有针对性地提出相应的安全策略。 二、 电子商务信息安全 1、信息安全的定义 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 2、电子商务安全体系 电子商务安全是制约电子商务发展的一个核心和关键问题。电子商务安全技术也成为各界关注和研究的热点。电子商务的安全性主要反映在:信息的保密性;访问的可控性;数据的完整性;不可抵赖性等方面。电子商务的安全性是由其安全体系结构和协议的安全性所决定,协议的安全性是建立在安全体系结构之上的,而协议的安全性又是由协议的关键技术所决定。
图1:电子商务安全体系结构 电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构,由5 个部分组成,具体如图1 所示。 电子商务安全体系由网络服务层、加密技术层、安全认证层、交易协议层、商务系统层组成。从图1 中的层次结构可看出,下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。各层通过控制技术的递进实现电子商务系统的安全。 (1)网络服务层 电子商务系统是依赖网络实现的商务系统,需要利用 Internet 基础设施和标准,所以构成电子商务安全框架的底层是网络服务层。网络服务层是电子商务的最底层,它是各种电子商务应用系统的基础,并提供信息传送的载体和用户接入的手段及安全通信服务,保证网络最基本的运行安全。主要内容包括: 1)网络隐患扫描,由于Internet 主要采用CP/IP 协议并得到了广泛的使用,使得CP/IP 协议存在许多安全漏洞和隐患,网络隐患扫描就是对安全漏洞和隐患进行防范; 2)网络安全监控,针对网络系统的硬件、软件及其中数据进行安全监控,使其不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行,网络服务不中断的措施。 3)内容识别,对网络内容进行识别过滤,以确保内容的真实性,完整性和保密性等; 4)访问控制,通过控制连接到网络中的计算机对网络的访问权限,并根据预先设定的条件审核来自每台计算机的数据包是否可以通过,如不安装客户端不可入网等,从而达到实施网络访问控制的目的。; 5)防火墙技术,防火墙是一种用于在两个网络或多个网络之间进行访问控制的设施。保护电子商务交易网免受非法侵犯,必须采用防火墙技术保证网络的安全。它在基于Internet 的电子商务安全交易起着重要作用。 网络服务层是电子商务系统基本、灵活的网络服各平台。 (2) 加密技术层 为确保电子商务系统全面安全,必须建立完善的加密技术和认证机制。加密技术是保证电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。 加密技术是电子商务的最基本安全措施。在目前技术条件下,通常加密技术分为常规密钥密码体系(对称密钥加密算法)和公开密钥密码体系(非对称密钥加密算法)两大类。 常规密钥密码体系就是加密密钥和解密密钥是相同的密码体系,并只交换共享的私有密钥。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄露,可通过常规密钥密码体系的方法进行加密机密信息,及随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。 公开密钥密码体系就是使用不同的加密密钥与解密密钥,是一种由已知加密密钥推导出解密密钥在计算上是不可行的密码体系。典型的公开密钥密码体系有:基于数论中大数分解的RSA 体系、基于NP 完全理论的Merkel-Hellman 背包体系和基于编码理论的McEliece 体系。 (3)安全认证层 安全认证层中的认证技术是保证电子商务安全的又一必要手段,它对加密技术层中提供的多种加密算法进行综合运用,进一步满足电子商务对完整性、抗否认性、可靠性的要求。 目前,仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全不可缺少的又一重要技术手段。 安全认证技术主要有: 1)数字摘要(Digital digest)技术,利用数字摘要技术就可以验证通过网络传输收到的明文是否初始的、未被篡改过,从而保证数据的完整性和有效性。 2)数字签名(Digital Signature)技术,通过数字签名能够实现对原始报文的鉴别和不可否认性,同时还要能阻止伪造签名的可能性。 3)数字时间戳(Digital Time Stamp)技术,用于提供电子文件发表时间的安全保护。 4)数字凭证(Digital ID)技术,数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源访问的权限。数字证书的使用涉及到数字认证中心CA(Certificate Authority)。 5)认证(Certificate Authority,CA)中心,认证系统中心只负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题,而且CA 只须管理每个用户的一个公开密钥,大大降低了密钥管理的复杂性。这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系统。 6)智能卡(Smard Card)技术,智能卡在电子商务系统中有无法比拟的优势。它不但提供读写数据和存储数据的能力,而且还具有对数据进行处理的能力,可以实现对数据的加密和解密,能进行数字签名和验证数字签名,其存储器部分具有外部不可读特性。采用智能卡,使身份识别更有效、安全。智能卡技术将成为用户接入和用户身份认证的首选技术。 (4)交易协议层 除了各种安全控制技术之外,电子商务的运行还需要一套完善的安全交易协议。不同交易协议的复杂性、开销、安全性各不相同。同时,不同的应用环境对协议目标的要求也不尽相同。 目前,比较成熟的协议有: 1)Netbill 协议, Netbill 协议是由J.D.Tygar 等设计和开发的关于数字商品的电子商务协议,该协议假定了一个可信赖的第三方Netbill Server。能通过网络发送的信息商品,Netbill 协议将商品的传送和支付链接到一个原子事务中。 2)匿名原子交易协议(Anonymous Atomic Transaction Protocol), 由J.D.Tygar[4]首次提出的具有匿名性和原子性的电子商务协议,对著名的数字现金协议进行了补充 和修改。协议改进了传统的分布式系统中常用的两阶段提交(two phase commitment),引入了除客户、商家和银行之外的独立第四方一一交易日志(transaction log)以取代两阶段提交协议中的协调者(coordinator)。 3)安全电子交易协议(Secure Electronic Transaction, SET) SET 是由VISA 公司和Master Card 公司联合开发设计的[3,7]。SET 用于划分与界定电子商务活 动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系。它可以对交易各方进行认证,可防止商家欺诈。 SET 协议开销较大,客户、商家、银行都要安装相应软件。 4)安全套接字层协议(Secure Socket Layer, SSL), 安全套接字层协议SSL 是目前使用最广泛的电子商务协议,它由Netscape 公司于1996 年设计开发。它位于运输层和应用层之间,能很好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。然而,SSL 并不是专为支持电子商务而设计的,只支持双方认证,只能保证传送信息传送过程中不因被截而泄密,所以不能防止商家利用获取的信用卡号进行欺诈。 5)JEPI(Joint Electronic Payment Initiative) JEPI 是为了解决众多协议间的不兼容性而提出来的,是现有HTTP 协议的扩展,在普遍HTTP 协议之上增加了PEP(Protocol Extension Protocol)和UPP(Universal Payment Preamble)两层结构,其目的不是提出一种新的电子支付手段,而是在允许多种支付系统并存的情况下,帮助商家和顾客双方选取一个合适的支付系统。 虽然电子商务的安全协议很多,但是现有协议的互通性和标准化以及对原有协议继承性还有待于进一步的研究和探讨。 (5)商务系统层 电子商务应用系统是电子商务系统的核心,它对企业电子商务活动提供具体的支持。电子商务应用系统一般是在Web Server之上,由应用开发人员根据企业特定的应用背景和需要来建立的,它实现企业应用逻辑所需要的各种功能。 (6)电子商务服务需求 电子商务服务需求包括:保密性;完整性;匿名性;抗否性;可靠性;原子性。 1)、保密性 传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保证电子商务信息的保密性就变得非常重要。 2)、完整性 电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。 3)、匿名性 由于种种原因,有些客户要保护自己的隐私,不愿在商务交易中暴露自己的身份。 4)、抗否性 在由收发双方所组成的系统中,确保任何一方无法抵赖自己曾经作过的操作,从而防止中途欺骗的特性。 应用学科:通信科技(一级学科);网络安全(二级学科) 以上内容由全国科学技术名词审定委员会审定公布。又称抗抵赖性,即由于某种机制的存在,人们不能否认自己发送信息的行为和信息的内容。传统的方法是靠手写签名和加盖印章来实现信息的不可否认性。在互联网电子环境下,可以通过数字证书机制进行的数字签名和时间戳,保证信息的抗抵赖。 5)、可靠性 可靠性要求就是能保证合法用户对信息和资源的使用不会被不正当地拒绝; 6)、原子性 电子商务协议原子性是电子商务研究者和使用者广泛关心的问题,在对Digicash协议及电子商务原子性进行形式化描述的基础上,用SMV从钱原子性和商品原子性这两个角度对Digicash协议的原子性进行了分析和检验,指出了Digicash协议的缺陷,从而表明了用SMV对电子商务协议分析和验证的可行性。
三、电子商务的信息安全存在问题及原因 电子商务主要依托Internet平台完成交易过程中双方的身份、资金等信息的传输。由于Internet的开放性、共享性、无缝连通性,安全问题是电子商务的主要技术问题,安全问题是商家和消费者以及银行最关心的问题,主要面临以下威胁:一是信息篡改,电子的交易信息在网络传输过程中,信息可能会被人、被第三者非法篡改,导致信息失去了真实性和完整性。二是信息破坏,由于一些硬件和软件问题或者是一些恶意病毒使一些信息遭到破坏。三是身份识别,若没有身份识别,交易的一方就可以对交易内容否认或者是欺诈,或者会有第三方来冒充交易的一方。四是信息泄密,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。 电子商务面临着很多信息安全问题,那么这些问题产生的原因又是什么? 1、技术因素 中国在这方面还是一个学生,技术支持后盾不坚固,导致信息外泄,严重的有系统崩溃。应用软件是网络运行所必需,是电子商务的另一个支撑点。由于技术和人为的原因,各种软件不可避免的存在各种设计的缺陷和漏洞,而且由于软件的多样性和复杂性,在配备、使用中也会有各种问题,导致电子商务系统中存在技术误差和安全漏洞。 (1)平台的自然物理安全 由于电子商务通过网络传输进行,因此诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁难以预测,而这些威胁将直接影响信息安全。此外,人为破坏商务系统硬件,篡改删除信息内容等行为,也会给企业造成安全。 此外,通过电磁辐射、搭线以及串音等手段都可以让恶意攻击者通过接收装置来截取企业信息,或者通过分析文件代码,获取账户密码等私密信息,以企业身份进行消费和发言,这对于企业的损失更是难以估计的。 (2)电脑黑客 在受制于电商环境的大布景,一些电商公司由上一年大手笔狠砸硬广(媒体上刊登的纯广告),转而寻求搜索引擎竞价排名的推广,却没想到这一行动竟惹上了黑客的注重。电商成网络黑客侵犯新目标。 据《读卖新闻》网站报道,日本政府有关人士1日透露,众议院电脑受到网络攻击一事出现新情况。电脑病毒指定的收件箱中,继众议院议员邮件之后又出现了参议院议员的邮件信息。由此可见,参议院议员使用的公用电脑可能也感染了病毒。在该邮箱的收件箱中,保存了8月上旬以来收到的数百封邮件。而发信人中至少包括2名参议院议员、1名众议院议员的邮箱地址。可以认为被网络攻击者盗取的信息已经过加密处理。 黑客的威胁和攻击这一方面,黑客除了拥有极为熟悉的网络知识外,还能极为熟练的运用各种计算机技术和软件工具。而在网络系统漏洞上,也会成为网络黑客攻击或利用的途径。计算机系统经常会遭到非法的入侵攻击以及计算机病毒的破坏,势必会导致一些用户的数据丢失、篡改或外泄。 (3)计算机病毒 计算机病毒的主要危害在于激发对计算机数据信息的直接破坏作用,占用磁盘空间和对信息的破坏,抢占系统资源,影响计算机运行速度,出现计算机病毒错误与不可预见的危害。人们不可能花费大量时间去分析数万种病毒的错误所在,大量含有未知错误的病毒扩散传播,其后果是难以预料的。计算机病毒的兼容性影响系统运行。兼容性是计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对运行条件有限制,要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试,因此病毒的兼容性较差,常常导致死机,并且对用户造成严重的心理压力。 2、管理因素 用户安全意识淡薄、管理不善是当前存在的一个严重的问题。主要有以下四点: (1)电子商务信息安全法律不健全 目前,我国尚无完备的相关法律规定,已有的法律规定存在职能不清晰、规定不全面、效力不高、缺乏针对性和可操作性、内容分散、相互交叉甚至抵触等问题,对信息网络与电子支付领域的有效管理造成了一定程度的影响。 (2)安全意识淡薄, 广大消费者对于电子商务这个新生事物还比较陌生,缺乏相应的知识,还不能十分熟练的应用这一新的交易手段,造成各种人为的安全威胁。例如:有的消费者安全意识淡薄,不注意保护自己的密码等关键信息,容易导致资金被盗、冒名交易等;有的消费者对信息判断能力差,容易上当受骗;有的消费者对网络交易的流程缺乏了解,容易导致操作失误等。 (3)我国缺乏强有力的权威管理机构, 电子商务网络安全管理部门受人力、技术等条件的限制影响着安全管理措施的有效实施。必须要继续完善电子商务安全管理机构,其中最为重要的是完善认证机构。 (4)我国电子商务信息安全方面人才缺乏 电子商务在近几年才得到了迅猛发展,各地都缺乏足够的技术人才来处理所遇到的各种问题,许多企业技术人员的技术水平较低,不能完全胜任所承担的工作。所以必须加强对这方面人才的培养。 四、电子商务中信息安全问题解决方案及对策 针对电子商务的信息安全问题,能够提出的解决方案及对策可以从两个方面进行: 1、电子商务信息安全技术方面 (1)反病毒软件 反病毒软件已成为人们抵御病毒进攻的有力武器。目前的反病毒软件具有几项技术特色。一是防火墙技术,其目的是保护内部网络不受外部网络的攻击,及防止内部网络用户向外泄密,为用户提供一个实时监控防止病毒发作的工具。它对用户访问的每一个文件进行病毒检测,确认无毒后才会让系统接管进行下一步的工作。目前,防火墙技术主要分为分组过滤和代理服务两种类型。二是反病毒软件在线升级的方式。三是统一的防病毒管理。四是嵌人式查毒技术的形成,它将杀毒引擎直接嵌挂到IE浏览器和流行办公软件组件当中,使其与可能发生病毒侵扰的应用程序有机地结合为一体,在占用系统资源最小的情况下查杀病毒。如我国互联网上大规模爆发“熊猫烧香”病毒及变种。短短的几个月潮及上千万个用户、网吧及企业局域网用户,直接和间接造成超过1亿元的损失。用户及时更新杀毒软件病毒库,并下载各杀毒软件公司提供的专杀工具,即可对“熊猫烧香”病毒进行查杀,但是如果能做到防患于未然岂不更好。 (2)入侵检测技术 入侵检测技术是对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。入侵检测技术针对包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 入侵检测通过执行以下任务来实现:监视、分析用户及系统活动,系统构造和弱点的审计,识别反映已知进攻的活动模式并向相关人士报警,异常行为模式的统计分析,评估重要系统和数据文件的完整性,操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 (3)虚拟专用网(VPN)技术 虚拟专用网(VPN)技术是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 2、电子商务信息安全管理方面 (1)开展网络安全立法和执 网络安全立法要吸取和借鉴国外网络信息安全立法的先进经验,结合我国国情对现行法律体系进行修改与补充,使法律体系更加科学和完善。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度,提高执法效率和质量。要对违犯国家法律法规,对计算机信息存储系统、应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。 (2)提高网络信息安全意识 以有效方式和途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉性,学会维护网络安全的基本技能,并在思想上把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。 (3)加强网络安全管理 建立信息安全领导机构,有效统一、协调和研究未来趋势,制定宏观政策,实施重大决定。严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,明确责任,规范岗位职责,制定有效防范措施,并且严把用户入网关,合理设置访问权限等。 (4)加快网络安全专业人才的培养 加大对有良好基础的科研教育基地的支持和投入,加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动,加强对内部人员的网络安全培训,防止堡垒从内部攻破,使高素质的人才在高水平的教研环境中迅速成长和提高。
结束语 随着企业供应链电子商务、国际电子商务的发展,将带动电子商务服务业的发展,围绕电子商务服务形成的从低端技术环节到中端支撑环节再到高端应用环节的电子商务服务链在我国结点饱满,一个全新视角的电子商务服务业群正在形成,将成为未来国民经济新的增长点。电子商务的安全须依靠技术手段、管理措施和法律保护三方配合才能实现,保护好个人隐私才能保证电子商务的健康发展。 参考文献: [ 1 ]吴洋.《 电子商务安全方法研究》 天津大学, 2006. [ 2 ]李艳. 《电子商务信息安全策略研究》. 甘肃科技,2005年6月 [ 3 ]成卫青,龚俭. 《网络安全评估》 计算机工程, 2003 年2月 [ 4 ]甘悦. 《浅议电子商务信息安全体系的构建》. 西北成人教育学报, 2007 年2月 [ 5 ]周明,黄元江,李建设. 《电子商务中的安全技术研究》. 株洲工学院学报, 2005 年1月 [ 6 ]张娟. 《电子商务网络安全技术探究》 甘肃科技纵横, 2005 年 [ 7 ]赵乃真. 《电子商务技术与应用》. 北京:中国铁道出版社, 2003年. [ 8 ]常连定,赵刚. 《我国电子商务发展存在的问题及应对策略》 科技情报开发与经济, 2005 年10月