電子商務中信息安全問題研究論文

導語：電子商務中信息安全問題研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

［摘要］電子商務對人類社會經濟產生了重大影響，在創造巨大經濟效益的同時，也從根本上改變了整個社會商務活動發展進程。我國電子商務在曲折進程中，已有很大程度的發展,同時也存在諸多問題。本文客觀地分析了電子商務的安全需求、安全技術發展現狀及存在的問題，對加快電子商務的發展步伐提出了一些重要思考。

［關鍵詞］電子商務；安全需求；安全技術；協議技術電子商務（ElectronicCommerce)是上世紀90年代初期在西方發達國家首先興起的一種嶄新的利用國際互聯網絡Internet這種先進通訊工具的企業經營方式。它是通過網絡技術的應用，快速而且有效的進行各種商務活動的全新方法。電子商務無疑是近幾年來使用頻率最高的詞匯之一，隨著電子商務的興起，它的信息安全問題也日益引人注目。由于電子商務是在公開的網上進行的，支付信息、訂貨信息、談判信息、機密的商務往來文件等大量商務信息在計算機系統中存放、傳輸和處理，所以如果不能很好地解決信息安全問題，電子商務的發展肯定會受到影響。

一、電子商務的安全需求

1.信息有效性、真實性

電子商務以電子形式取代了紙張，如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式，其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。

2.信息機密性

電子商務作為貿易的一種手段，其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的，商業防泄密是電子商務全面推廣應用的重要保障。

3.信息完整性

電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各信息的差異。因此，電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。

4.信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕；不可抵賴性要求即是能建立有效的責任機制，防止實體否認其行為；可鑒別性要求即是能控制使用資源的人或實體的使用方式。

5.系統的可靠性

電子商務系統是計算機系統，其可靠性是防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。

二、電子商務的信息安全技術

1.數據加密技術

加密技術用于網絡安全通常有二種形式，即面向網絡或面向應用服務。面向網絡的加密技術通常工作在網絡層或傳輸層，使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息，從而保證網絡的連通性和可用性不受損害。面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法，這一類加密技術的優點在于實現相對較為簡單，不需要對電子信息（數據包）所經過的網絡的安全性能提出特殊要求，對電子郵件數據實現了端到端的安全保障。

1）電子商務領域常用的加密技術數字摘要(digitaldigest)

這一加密方法亦稱安全Hash編碼法，由RonRivest所設計。該編碼法采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數字指紋(FingerPrint)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是“真身”的“指紋”了。

數字簽名(digitalsignature)

數字簽名將數字摘要、公用密鑰算法兩種加密方法結合起來使用。主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要)，用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名。然后，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密，如果兩個散列值相同，那么接收方就能確認該數字簽名是發送方的，通過數字簽名能夠實現對原始報文的鑒別。概括的說，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。

數字時間戳(digitaltime-stamp)交

易文件中，時間是十分重要的信息。在電子交易中，需對交易文件的日期和時間信息采取安全措施，而數字時間戳服務(DTS)就能提供電子文件發表時間的安全保護。時間戳(time-stamp)是一個經加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要(digest)；DTS收到文件的日期和時間；DTS的數字簽名。

數字證書(digitalcertificate,digitalID)數字證書又稱為數字憑證，是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。目前，最有效的認證方式是由權威的認證機構為參與電子商務的各方發放證書，證書作為網上交易參與各方的身份識別，就好象每個公民都用身份證來證明身份一樣。認證中心作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任，是一個負責發放和管理數定證書的權威機構。因而網絡中所有用戶可以將自己的公鑰交給這個中心，并提供自己的身份證明信息，證明自己是相應公鑰的擁有者，認證中心審查用戶提供的信息后，如果確認用戶是合法的，就給用戶一個數字證書。這樣，每個成員只需和認證中心打交道，就可以查到其他成員的公鑰信息了。對于在網上進行交易的雙方來說，數字證書對他們之間建立信任是至關重要的。數字憑證有三種類型：個人憑證、企業（服務器）憑證、軟件（開發者）憑證；大部分認證中心提供前兩類憑證。

2.身份認證技術

為解決Internet的安全問題，初步形成了一套完整的Internet安全解決方案，即被廣泛采用的公鑰基礎設施（PKI）體系結構。PKI體系結構采用證書管理公鑰，通過第三方的可信機構CA，把用戶的公鑰和用戶的其他標識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網上驗證用戶的身份，PKI體系結構把公鑰密碼和對稱密碼結合起來，在Internet網上實現密鑰的自動管理，保證網上數據的機密性、完整性。

1）認證系統的基本原理

利用RSA公開密鑰算法在密鑰自動管理、數字簽名、身份識別等方面的特性，可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統。這個可信的第三方認證系統也稱為CA，CA為用戶發放電子證書，用戶之間利用證書來保證信息安全性和雙方身份的合法性。

2）認證系統結構

整個系統是一個大的網絡環境，系統從功能上基本可以劃分為CA、RA和WebPublisher。

核心系統跟CA放在一個單獨的封閉空間中，為了保證運行的絕對安全，其人員及制度都有嚴格的規定，并且系統設計為一離線網絡。CA的功能是在收到來自RA的證書請求時，頒發證書。

證書的登記機構RegisterAuthority，簡稱RA，分散在各個網上銀行的地區中心。RA與網銀中心有機結合，接受客戶申請，并審批申請，把證書正式請求通過建設銀行企業內部網發送給CA中心。

證書的公布系統WebPublisher，簡稱WP，置于Internet網上，是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數據庫。用戶的證書由CA頒發之后，CA用E－mail通知用戶，然后用戶須用瀏覽器從這里下載證書。

3.網上支付平臺及支付網關

網上支付平臺分為CTEC支付體系（基于CTCA/GDCS）和SET支付體系（基于CTCA/SET）。網上支付平臺支付型電子商務業務提供各種支付手段，包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。

支付網關位于公網和傳統的銀行網絡之間，其主要功能為：將公網傳來的數據包解密，并按照銀行系統內部的通信協議將數據重新打包；接收銀行系統內部的傳回來的響應消息，將數據轉換為公網傳送的數據格式，并對其進行加密。此外，支付網關還具有密鑰保護和證書管理等其它功能。

三、電子商務信息安全中的其它問題

1.內部安全

最近的調查表明，至少有75%的信息安全問題來自內部，在信用卡和商業詐騙中，內部人員所占的比例最大；

2.惡意代碼

它們將繼續對所有的網絡系統構成威脅，并且，其數量將隨著Internet的發展和編程環境的豐富而增多，擴散起來也更加便利，因此，造成的破壞也就越大；

3.可靠性差

目前，Internet主干網和DNS服務器的可靠性還遠遠不能滿足人們的要求，而絕大

部分撥號PPP連接質量并不可靠，且速度很慢；

4.技術人才短缺

由于Internet和網絡購物都是在近幾年得到了迅猛的發展，因而，許多地方都缺乏足夠的技術人才來處理其中遇到的各種問題，尤其是網絡購物具有24x7（每天24小時，每周7天都能工作）的要求，因而迫切需要有一大批專業技術人員對其進行管理。如果說加密技術是電子交易安全的“硬件”，那么人才問題則可以說是“軟件”。從某種意義上講，軟件的問題解決起來可能更不容易，因此，技術人才的短缺可能成為阻礙網絡購物發展的一個重要因素。

5.Web服務器的保護意識差

在交易過程中對數據進行保護只是保證交易安全的一個方面。由于交易的信息均存儲在服務器上，因此，即使保密信息被客戶端接收之后，也必須對存儲在服務器中的數據進行保護。目前，Web服務器是黑客們最喜歡攻擊的目標。因此，建議盡量不要將Web服務和連接到任何內部網絡，而且要定期對數據進行備份，以便于服務器被攻擊之后對數據進行恢復。當然，這畢竟有些不太現實，現在許多流行的Web應用都需要Web服務器與公司的數據庫進行交互式操作，這就要求服務器必須與公司內部網絡相連，而這個連接也就成為黑客們從Web站點侵入企業內部網絡的一條通路。雖然防火墻技術有助于對web站點進行保護，但商家卻很少安裝防火墻或對其缺乏有效的維護，因而沒有對Web服務器進行很好的保護，這是商家的Web站點尤其要引起注意的地方。

四、與電子商務安全有關的協議技術討論

1．SSL協議（SecureSocketsLayer）安全套接層協議———面向連接的協議。

SSL協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用WebServer方式。但它是一個面向連接的協議，在涉及多方的電子交易中，只能提供交易中客戶與服務器間的雙方認證，而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方間的安全傳輸和信任關系。

2.SET協議（SecureElectronicTransaction）安全電子交易———專門為電子商務而設計的協議。由于SET提供了消費者、商家和銀行之間的認證，確保了交易數據的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優點，因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。雖然它在很多方面優于SSL協議，但仍然不能解決電子商務所遇到的全部問題。

結束語

本文分析了目前電子商務的安全需求，使用的安全技術及仍存在的問題，并指出了與電子商務安全有關的協議技術使用范圍及其優缺點，但必須強調說明的是，電子商務的安全運行，僅從技術角度防范是遠遠不夠的，還必須完善電子商務立法，以規范飛速發展的電子商務現實中存在的各類問題，從而引導和促進我國電子商務快速健康發展。

[參考文獻]

①姚立新，新世紀商務:電子商務的知識發展與運作，中國發展出版社，1999年。

②《中國電子商務年鑒》2003卷。

③陳海濱，企業電子營銷發展對策淺析，湖南大學學報，2001年。

④黃京華，《電子商務教程》，清華大學出版社，2006年。