您现在的位置是:首页 > IT基础架构 > 网络与安全 >

电子商务中的信息安全及关键技术的探讨

2009-11-12 01:23:00作者: 来源:

摘要伴随着电子商务的广泛应用,电子商务的安全问题愈加突出和亟待解决。本文就电子商务活动中的安全问题分析了现在流行的信息安全框架,并对信息安全的关键技术进行了探讨。...

伴随着电子商务的广泛应用,电子商务的安全问题愈加突出和亟待解决。本文就电子商务活动中的安全问题分析了现在流行的信息安全框架,并对信息安全的关键技术进行了探讨。

一、引言

电子商务即EC(Electronic Commerce),简单讲就是利用先进的电子技术进行商务活动的总称。电子商务包括两个方面:一是商务活动;二是电子化手段。现代电子商务是基于Internet技术的新型的商务活动,是21世纪市场经济商务运行的主要模式。由于Internet的全球性和开放性,不受时间和空间的限制,给电子商务交易带来了种种不安全因素。网络上的信息安全问题已成为影响电子商务发展的重要因素之一。因此,研究在开放的网络环境下电子商务安全问题就变的非常地迫切和重要了。

二、安全问题

1.安全问题

由于电子商务是在开放的网络上进行的贸易,其支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机网络系统中存放、传输和处理,所以,网络系统中信息安全技术成为电子商务安全交易的技术支撑。网络信息所面临的威胁来自许多方面,并且在不断发生着变化。其中最常见的有非法访问、恶意攻击、计算机病毒以及其它方面如物理损坏、人与自然灾难等。

2.安全要素

(1)完整性。完整性指数据信息未经授权不能进行改变的特性,也就是要求保持信息的原样,要预防对信息的随意生成、修改、伪造、插入和删除,同时要防止数据传输过程中的丢失、乱序和重复。

(2)机密性。机密性是指网络信息只为授权用户所用,不会泄露给未授权的第三方的特性。要保证信息的机密性,需要防止入侵者侵入系统,对机密信息需先经过加密处理,再送到网络中传输。

(3)不可否认性。不可否认性也即不可抵赖性是指所有参与者都不可能否认和抵赖曾经完成的操作。要求在交易信息的传输过程中为参与交易的个人、企业和国家提供可靠的标识,使信息发送者在发送数据后不能抵赖,而接受方接受数据后也不能否认。

(4)真实性。真实性是指商务活动中交易信息的真实,包括交易者身份的真实性,也就是确保网上交易的对象是真实存在的,而不是虚假或伪造的,也包括交易信息自身的真实性。

(5)可用性。可用性就是确保信息及信息系统能够为授权使用者所正常使用。

(6)可靠性。可靠性是指电子商务系统的可靠性,在遇到自然灾害、硬件故障、软件错误、计算机病毒等情况下,仍能确保系统安全、可靠地运行。

三、信息安全框架

信息安全的内涵是在不断地发展和变化的。一般信息安全是从两个方面进行描述:一种是从信息安全所涉及的安全属性的角度进行描述,涉及了机密性、完整性、可用性等。这些安全属性是保障电子商务交易的安全要素。另一种是从信息安全所涉及层面的角度进行描述,信息安全被认为是一个由物理安全、运行安全、数据安全和内容安全组成的四层模型。伴随着Internet的发展,信息对抗引起了人们的重视,被引入了信息安全领域。信息对抗研究的内容是信息真实性的保护和破坏,信息对抗讨论如何从多个角度或侧面来获得信息并分析信息,或者在信息无法隐藏的前提下,通过增加更多的无用信息来扰乱获取者的视线,以掩藏真实信息所反映的含义。从本质上来看,信息对抗属于信息利用的安全。由此,在信息安全模型中增加了信息对抗这个层次。

基于信息安全的作用点,可以将信息安全看作是由三个层次、五个层面所构成的层次框架体系,在每个层面中各自反映了在该层面中所涉及的信息安全的属性。

其中,系统安全反映的信息系统所面临的安全问题,包括物理安全和运行安全,物理安全是指网络与信息系统的硬件安全;运行安全是指网络与信息系统中的软件安全。狭义的“信息安全”问题是信息自身面临的安全问题,包括数据安全和内容安全,数据安全以保护数据不受外界的侵扰为目的,内容安全是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。信息对抗是指在信息的利用过程中,对信息的真实性的隐藏与保护,或者攻击与分析。

四、安全技术

随着计算机网络的飞速发展和应用,网络信息安全技术也在不断地发展。现阶段已采用了多种安全技术保护信息的安全,如:访问控制、数据加密、入侵检测、用户授权与认证等。

1.访问控制

访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。

2.加密技术

加密技术是认证技术及其他许多安全技术的基础。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以DES算法为典型代表,非对称加密通常以RSA算法为代表。

3.防火墙技术

防火墙是指一种将内部网和公众访问网分开的方法,实际上是一种隔离技术,是安全网络(被保护的内网)与非安全网络(外部网络)之间的一道屏障,以预防发生不可预测的、潜在的网络入侵。

防火墙可以根据网络安全水平和可信任关系将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制;可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户与数据包隔断,达到保护高安全等级的子网、防止墙外黑客的攻击、限制入侵蔓延等目的。但是,防火墙不能阻止来自用户网络内部的攻击。

4.入侵检测技术

入侵检测是通过监控网络与系统的状态、行为以及系统的使用情况,来检测用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图,在发现入侵后,及时采取相应的措施来阻止入侵活动的进一步破坏,包括切断网络连接、记录事件和报警等。

入侵检测不仅可以检测外部入侵,而且对内部的滥用行为也有很好的检测能力。

5.虚拟专用网

虚拟专用网(Virtual Private Network VPN)技术是一种在公用互联网络上构造专用网络的技术。将物理上分布在不同地点的专用网络,通过公共网络构造成逻辑上的虚拟子网,进行安全的通信。VPN采用一种叫做“通道”或“数据封装”的系统,用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。这种通道是Internet上的一种专用通道,可保证数据在外部网上的企业之间安全地传输。

6.认证技术

认证技术提供了一种安全可靠的验证交易各方身份真实性的验证机制。安全认证技术主要有:(1)数字摘要技术,可以验证通过网络传输收到的明文是否被篡改,从而保证数据的完整性和有效性。(2)数字签名技术,能够实现对原始报文的鉴别和不可否认性,同时还能阻止伪造签名。(3)数字时间戳技术,用于提供电子文件发表时间的安全保护。(4)数字凭证技术,又称为数字证书,负责用电子手段来证实用户的身份和对网络资源访问的权限。(5)认证中心,负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题。

电子商务安全是一个系统的概念,不仅与计算机信息网络系统有关,还与电子商务应用的环境、人员素质和社会因素有关。以上我们仅对基于开放的网络环境下的信息安全方面进行了探讨。而一个完整的电子商务交易安全体系,则至少应包括以下几类措施:一是计算机网络技术方面的措施;二是管理制度方面的措施,三是社会的政策与法律保障等。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们