引言:近年来,随着通讯技术、网络技术的迅速发展促使电子商务技术应运而生。电子商务具有高效率、低成本的特性,为中小型公司提供各种各样的商机而迅速普及。电子商务主要依托Intemet平台完成交易过程中双方的身份、资金等信息的传输。由于Imemet的开放性、共享性、无缝连通性,使得电子商务信息安全面临着威胁:如1)截获和窃取用户机密的信息。2)篡改网络传输途中的信息,破坏信息的完整性。3)假冒合法用户或发送假冒信息来欺骗用户。4)交易抵赖否认交易行为等。因此,电子商务技术的推广,很大程度依赖信息安全技术的完善和提高。
1.1加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数。即从—个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
1.2数字签名和数字证书。1)数字签名。数字加密是非对称加密技术的一类应用。数字签名是用来保证文档的真实性、有效性的一种措施.如同出示手写签名一样。将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。通过数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法,保证了网络数据的完整性和真实性。2)数字证书。数字证书就是标志网络用户身份信息的一系列数据,用来在网络直用中识别通讯各方的身份,其作用类似于现实生活中的身份证。数字证书由可信任的、公正的权威机构CA中心颁发,以数字证书为杨的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
1.3防火墙技术。防火墙主要功能是建立网络之间的—个安全屏障,从而起到内部网络与外部公网的隔离,加强网络之间的访问控制,防止外部网络用户以非法手酾百:过外部网络进入内部网络。根据制定的策略对两个或多个网络、分析和审计,按照—定的安全策略限制外界用户对内部网络的访问,只有被允许的通信才能通过防火墙,管理内部用户访问外界网络的权限,监视网络运行状态并对各种攻击提供有效的防范。
2.l(SSL)安全套接层协议。主要用于提高应用程序之间的数据的安全系数,保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户假务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
SSL安全协议主要提供三方面的服务。—是用户和服务器的尝陛保证,使得用户与服务器能够确信渤据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号,由公开密钥编排。为了验证用户,安全套接层协议要求在握手交换数据中作数字认证,以此来确保用户的合法性;二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥,也有公开密钥,在客户机和服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证其机密性与数据的完整性,并且经数字证书鉴别:三是维护数据的完整性。安全垂接层协议采用Hash函数和机密共享的力怯来提供完整的信息服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务能全部准确无误地到达月的地。
2.2(SET)安全电子交易公告。为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。
SET安全协议主要对象包括:消费者(包括个人和团体),按照在线商店的要求填写定货单,用发卡银行的信用卡付款;在线商店,提供商品或服务,具备使用相应电子货币的条件;收单银行,通过支付网关处理消费者与在线商店之间的交易付款;电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付;认证中心,负责确认交易对方的身份和信誉度,以及对消费者的支付手段认证。SET协议规范技术范围包括:加密算法的应用,证书信息与对象格式,购买信息和对象格式,认可信息与对象格式。SET协议要达到五个目标:保证电子商务参与者信息的相应隔离;保证信息在互联网上安全传输,防止数据被黑客或被内部人员窃取;解决多方认证问题;保证网上交易的实时性,使所有的支付过程都是在线的;效仿BDZ贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性与交互操作功能,并且可以运行在不同的硬件和操作系统平台上。
3.1提高网络信息安全意识。以有效方式、途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉陡,学会维护网络安全的基本技能。并在思想上萤把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。
3.2加强网络安全管理。建立信息安全领导机构,有效统一、协调和研究未来趋势,制定宏观政策,实施重大决定。严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,明确责任、规范岗位职责、制定有效防范措施,并目严把用户人网关、合理设置访问权限等。
3.3加快网络安全专业人才的培养。加大对有良好基础的科研教育基地的支持和投入,加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动,加强对内部人员的网络安全培洲,防止堡垒从内部攻破。使高素质的人才在高水平的教研环境中迅速成长和提高。
3.4开展网络安全立法和执法。吸取和借鉴国外网络信息安全立法的先进经验,结合我国国情对现行法律体系进行修改与补充,使法律体系更加科学和完善;并建立有利于信息安全案件诉讼与公、检、法机关办案制度,提高执法效率和质量。对违犯国家法律法规,对计算机信息存储系统、应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。
3.5强化网络技术创新。组织现有信息安全研究、应用的人才,创造优良环境,创新思想、超越约束,利用国内外资源,建立具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。
结束语:电子商务模式相对传统商务模式,具有便捷、高效的特点。但现今全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的小部分。因此,电子商务信息安全问题有赖于对公钥基础设施PKI、开发与应用,支付协议、物流配送协议、XML和标准化等方面深入研究和完善才能良好的促进电子商务技术的应用和推广。
