摘 要: 作为20世纪90年代出现的新生事物, 电子商务正以其便捷、高效、低成本的优势,成为新兴的商务活动模式,并且在世界范围内对各国经济发展带来了深刻的影响,成为了世界各国制定其经济政策的重要依据。由于电子商务是建立在开放的Internet平台上的,而在开放的网络上传输的任何信息都可能被他人截取,因此,要发展电子商务必须解决计算机网络安全问题。
关键词:电子商务;计算机网络;安全技术
温家宝总理在2010 年《政府工作报告》中明确提出要加强商贸流通体系等基础设施建设,积极推动发展电子商务。作为新经济时代先进生产力的代表,电子商务的发展水平已成为衡量一个国家现代化水平和综合实力的重要标志之一,也是加快实现经济体制和经济增长方式的根本性转变、推动产业结构的升级、提高城市现代化水平和增强国际竞争力的重要手段。
1.我国电子商务的发展
电子商务是一种在普遍推广应用的前提下,将现代信息产业技术与传统的商务活动相结合,通过互联网进行交易的一种动态商务活动,包括上网购物、电子贸易、电子银行等,也包括政府职能部门在网上提供的电子化服务等等,可以有效降低成本,增加贸易机会,简化贸易流通过程,提高生产力,改善物流和金流、商品流、信息流的环境与系统。
我国的电子商务发展相对滞后,中国人民银行建成的全国认证中心,为电子商务提供了权威的第三方,此后,我国电子商务才逐步进入高速发展期并稳步成长。尤其是21世纪初,我国计算机网络的高速发展和普及直接带动了电子商务的发展。2009 年 3 月在北京召开的中国互联网市场年会上,根据专家们的统计,中国 2009 年 B2B 市场交易额达到 30764 亿元,C2C 市场规模达到 1078 亿元,同比增长 44.9%,预计未来三年中国 B2C 市场复合增长率可达到 41%,2011 年市场规模有望达到 4982 亿元。
2.电子商务的网络安全现状
目前,在因特网上,还没有一种完备的方案、模型或体系结构来解决电子商务的安全问题。各厂商和专业网站在技术上普遍采用的数字证书、访问控制、防火墙、长密钥位通讯、流量填充、路由控制、认证交换、公证等加密或认证措施以及入侵探测系统等都起了较好作用有的使用网络防毒软件或防黑客攻击的网络安全软件,也有较好的效果。比如阿里巴巴和淘宝网都是使用“支付宝”来确保用户的交易安全。支付宝网站采用了先进的位加密技术参照国内银行网站的普遍做法,确保用户在支付宝页面上输入的任何信息可以安全传送到支付宝,而不用担心有人会通过网络窃取您的敏感信息。当当网使用的网上支付平台,是由银行和相关金融部门提供的,非常安全、可靠。在银行端使用的是位加密算法和安全电子交易协议,这样就保障了用户的帐号等信息在传输过程中的安全性。而易趣则使用实名标记,用户的身份证或信用卡信息己通过了国家相关部门的认证,身份真实可信。买家不是直接汇给卖家,而是先汇给易趣,由易趣代为安全保管。买家收货满意后,才通知易趣支付货款给卖家。
尽管针对电子商务的安全问题,各个网站提出了很多技术解决方案,但离真正的安全电子商务还有一段距离。大多数系统都将销售商的服务器和消费者的浏览器间的关系假设为主从关系,这种非对称关系限制了在这些系统中执行复杂的协议,而且不允许用户间进行直接交易,客户的匿名性和隐私尚未得到充分的考虑,安全管理存在很大的隐患。电子商务的交易安全和运作需要法律的保护和规范,而电子商务作为一种新的商业方式,现行的法律是不适用的或是不能完全解决问题的。另外,尽管大多数方案都使用了公钥密码,但多方安全受到的关注远远不够,没有建立一种解决争议的决策程序。
3.电子商务面临的威胁及安全要求
随着电子商务蓬勃发展,其网络安全问题日益突出。据中国互联网络信息中心(CNNIC)统计表明,30%的用户认为目前网上购物最大的问题是安全问题。网络攻击者可能通过互联网、公共电话网、在电磁波辐射范围内安装接收装置等方式,截获传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的银行账号、密码等;也有可能给伪造的用户发恶意的电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;以及冒充网络控制程序,套取或修改使用权限、通行宇、密钥等信息,接管合法用户,欺骗系统,占用合法用户的资源等等。
为了在Internet上方便、安全地进行电子商务,必须采用一系列的安全技术来进行安全建设,比如针对“黑客”入侵,必须采取防火墙技术;针对信息数据的真实性、完整性、机密性和真实身份的认证以及服务的不可抵赖性,必须采取数据加密技术、身份认证技术以及数字签名技术;针对计算机病毒,必须采取网络反病毒技术等等。具体而言,电子商务信息安全要求包括以下几点:信息的完整性,即数据在传输或储存的过程中不会受到非法的修改、删除或重放,预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一,确保信息的顺序完整性和内容的完整性;信息的保密性,电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密,因此要保证数据在传送过程中不被泄漏且数据不为他人所读懂;信息的可鉴别性,即需要确认发出信息者的易份,防止假冒者和伪造信息的进入,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识;信息的可靠传输性,即数据在传输时不因网络的故障而丢失信息;信息的不可抵赖性,即发送方对发出的信息不可抵赖,收取方对已收到的信息不可否认。
4.电子商务中网络安全技术的优化
4.1构建电子商务安全框架体系
完善的电子商务的安全框架体系应该由网络服务层、加密技术层、安全认证层、交易协议层、商务系统层组成。其中,网络服务层是各种电子商务应用系统的基础,并提供信息传送的载体和用户接入手段及安全通信服务,保证网络最基本的运行安全。为确保电子商务系统全面安全,必须建立完善的加密技术和认证机制。加密技术是保证电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的要求。安全认证层中的认证技术是保证电子商务安全的又一必要手段,它对加密技术层中提
供的多种加密算法进行综合运用,进一步满足电子商务对完整性、抗否认性、可靠性的要求。除了各种安全控制技术外,电子商务的运行还需要一套完善的交易安全协议,如NetBill、NetCheque等基于支票的交易协议,SET、SSL、iKP等基于信用卡的交易协议, Digicash、Netcash等基于现金的交易协议等等。安全框架体系中的各层次之间相互依赖、相互关联构成统一整体,各层通过控制技术的递进实现电子商务的安全。
4.2防火墙技术的完善
防火墙技术是目前计算机网络采用的主要安全措施,能有效地保护企业内部网络不受黑客入侵和攻击, 为电子商务交易的施展提供了一个更安全的平台。传统防火墙主要实现对内部网络和服务器的保护,利用三端口防火墙可将网络隔离为内部网、中立区、公共网络。防火墙的实现技术包括三种,第一种是电路级网关技术:依赖于TCP联接,只对数据包起转发作用,不进行任何附加的包处理和过滤。缺点是新的应用出现要求对网关的代码做相应的修改。第二种是数据包过滤技术,这是防火墙最常用的技术,通过检查IP数据包的源地址、目的地址、所用的端口号和封装协议来决定是否允许该数据包通过,缺点是无法防止外部主机的珍欺骗和DNS欺骗,维护比较困难,不支持用户认证。第三种是代理网关技术,是建立在应用层上的协议过滤和转发控制,缺点是能提供的服务是有限的,在性能和透明度上比较差。根据现有防火墙的缺点,研究者应该致力于开发新型的防火墙技术,利用智能防御核心,自动统计、分析通过防火墙的各种连接数据,探测出各种扫描、攻击,一旦出现这种情况,立即断开与该主机的任何连接,保护内部服务器和主机的安全。
4.3数字水印的使用
防火墙技术是一种被动的防卫技术,它难以对电子商务活动中不安全的因素进行有效的防卫,因此电子商务系统使用加密技术来保证交易过程的安全性,并提供数据可靠性、认证、数据授权和付款,用这种加密技术,使内容提供者和消费者都知道他们交易双方是谁,传输的内容是安全的和授权的。然而传统的加密技术不能完全满足电子商务安全性的要求,如有创意的广告信息在网上既能让人阅读,也能保护其知识产权,同时保护内容被解密以后脱离了用户控制的范围,消费者可以获得有用的形式。而数字水印正是处理安全问题的一个合适技术,它是密码方法的一种有效补充,可以很好地应用在电子商务中的票据防伪上,可以在每个打印机输出图象中嵌入能够标识打印机的序列号,作为追踪伪造票据的线索。由于在使用水印方法时,为了验证数字水印的存在性,版权所有者不可避免地要泄露水印的有关信息,这样就无法保证攻击者不破坏水印或自制水印,用户使用的水印化数字产品的合法性不能保证,因此,使用者可以利用加密技术中的零知识证明协议来解决在不泄露水印信息就能证明水印存在的问题,从而保证了水印应用中的安全性。
4.4、入侵检测保护策略
随着网络安全风险的不断提高,单纯的防火墙策略已经不能满足人们对网络安全的需求。而入侵检测是对入侵行为的检测,可以通过收集和分析安全日志、网络行为、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查系统中或网络是否存在被攻击的迹象和违反安全策略的行为,能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测策略作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,被认为是防火墙之后的第二道安全闸门。而且入侵检测系统在发现入侵后,会及时做出响应,包括记录事件、切断网络连接和报警等。
5.结语
电子商务的计算机网络安全问题是电子商务的核心问题,而电子商务作为全球商务发展的趋势,将给全球的经济、政治和法律带来深刻的影响。计算机网络在发展,入侵和破坏的手段也在变化,只有技术的不断进步才能真正对电子商务的顺利开展实施安全的保障。
参考文献:
[1]周龙骤.电子商务协议研究综述.软件学报,2001,12(7):1015-1029
[2]唐春林,张建军.电子商务基础[M].北京:科学出版社.2004:1-60
[3]唐礼勇,陈钟.电子商务技术及其安全问题.计算机工程与应用,2000,(7):18-22
[4]功宜,吴英.计算机网络教程(第二版)[M].北京:电子工业出版社,2002:210-215