探析电子商务的安全

[摘 要]电子商务的广泛普及,在造福人类的同时,也使得新的邪恶与罪孽相伴而来.电子商务中的各种犯罪活动已经严重危害着社会的发展和国家的安全.本文在介绍电子商务安全威胁和安全需求的基础上,通过网络安全、数字认证、SSL、SET等几种防范措施,来构建一个电子商务安全的体系结构.

[关 键 词]电子商务安全加密技术数字认证

随着通信网络技术的飞速发展,特别是Inter的不断普及,人们的消费观念和整个商务系统也发生了巨大了变化,人们更希望通过网络的便利性来进行网络采购和交易,从而导致了电子商务（ElectronicCommerce）的出现,并在世界范围内掀起了电子商务的热潮.电子商务是互联网作为商务平台工具的重要体现.网民和商家可以通过互联网平台,各取所需,共同获益.根据中国互联网络信息中心（CNNIC）发布的“中国互联网络发展状况统计报告”,截至2007年12月,中国的网民数已增至2.1亿人,目前中国的网民人数略低于美国的2.15亿,位于世界第二位.中国网民网络购物比例是22.1%,购物人数规模达到4640万.

电子商务的发展给人们的工作和生活带来了新的尝试和便利性,但并没有像人们想像的那样普及和深入,除其他因素外,一个很重要的原因就是电子商务的安全性,它成为阻碍电子商务发展的瓶颈.美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于担心电子商务的安全问题而不愿进行网上购物.任何个人、企业或商业机构及银行都不会通过一个不安全的网络进行商务交易,这样会导致商业机密信息或个人隐私的泄漏,从而导致巨大的利益损失.所以,研究和分析电子商务的安全性问题,特别是针对我国自己的国情,充分借鉴国外的先进技术和经验,开发和研究出具有独立知识产权的电子商务安全产品,这些都成为目前我国发展电子商务的关键.

一、电子商务安全威胁和安全需求

随着电子商务在全球范围内的迅猛发展,电子商务中的网络安全问题日渐突出.电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在.网络安全就是如何保证网络上存储和传输的信息的安全性.但是由于在互联网络设计之初,只考虑方便性、开放性,使得互联网络非常脆弱,极易受到的攻击或有组织的群体的入侵,也会由于系统内部人员的不规范使用和恶意破坏,使得网络信息系统遭到破坏,信息泄露.根据中国互联网络信息中心（CNNIC）发布的”中国互联网络发展状况统计报告”显示,在进行网上购物时的安全隐患可分为如下几类：

表网民中网络安全问题发生的比率

电子商务面临的威胁导致了对电子商务安全的需求,也是真正实现一个安全电子商务系统所要求做到的各个方面,主要包括:机密性、完整性、认证性和不可抵赖性.

机密性.电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密.电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障.因此,要预防非法的信息存取和信息在传输过程中被非法窃取.机密性一般通过技术来对传输的信息进行加密处理来实现.

完整性.电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题.由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异.此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同.贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础.完整性一般可通过提取信息消息摘 要的方式来获得.

认证性.由于网络电子商务交易系统的特殊性,企业或个人的交易通常都是在虚拟的网络环境中进行,所以对个人或企业实体进行身份性确认成了电子商务中得很重要的一环,一般都通过证书机构CA和证书来实现.

不可抵赖性.在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生.这也就是人们常说的”白纸黑字”.在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的.因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识.不可抵赖性可通过对发送的消息进行数字签名来获取.

有效性.电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉.因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的.

二、如何保障电子商务安全

电子商务安全是信息安全的上层应用,它包括的技术范围比较广,我们来构建一个电子商务的安全体系结构,形成保证电子商务中数据安全的一个完整的逻辑结构,该安全体系结构有5部分组成,如图所示.

图电子商务安全体系结构图

网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上.网络安全所涉及到的方面比较,如操作系统安全、防火墙技术、病毒防治技术和各种反技术和漏洞检测技术等.其中最重要的就是防火墙技术.

防火墙是建立在通信技术和信息安全技术之上,它用于在网络之间建立一个安全屏障,根据指定的策略对网络数据进行过滤、分析和审计,并对各种攻击提供有效的防范.主要用于Inter接入和专用网与公用网之间的安全连接.目前国内使用的需到防火墙产品都是国外一些大厂商提供的,国内在防火墙技术方面的研究和产品开发方面相对比较簿弱,起步也晚.由于国外对加密技术的限制和保护,国内无法得到急需的安全而实用的网络安全系统和数据加密软件.因此即使国外优秀的防火墙产品也不能完全在国内市场上使用,同时由于政治、军事、经济上的原因,我国也应研制开发并采用自己的防火墙系统和数据加密软件,以满足用户和市场的巨大需要,也对我国的信息安全基础设施建设有巨大的作用.

加密技术是保证电子商务安全的重要手段,许多算法现已成为网络安全和商务信息安全的基础.算法利用密秘密钥（secretkeys）来对敏感信息进行加密,然后把加密好的数据和密钥（要通过安全方式）发送给接收者,接收者可利用同样的算法和传递来的密钥对数据进行解密,从而获取敏感信息并保证了网络数据的机密性.利用另外一种称为数字签名（digitalsignature）的技术可同时保证网络数据的完整性和真实性.利用技术可以达到对电子商务安全的需求,保证商务交易的机密性、完整性、真实性和不可否认性等.

证书机构CA（CertificationAuthority）是一个可信的第三方实体,其主要职责是保证用户的真实性,颁发数字证书.本质上,CA的作用同政府机关的护照颁发机构类似,用于证实公民是否是其所宣称的那样（正确身份）,而信任这个国家政府机关护照颁发机构的其他国家,则信任该公民,认为其护照是可信的,这也是第三方信任的一个很好实例.数字证书作为网上交易双方明的依据,是一个经证书授权中心（CA）数字签名的、包含证书申请者及公开密钥的文件.

Visa和MasterCard公司的调查报告表明,担心信用卡号被窃取已经成为影响人们通过网络进行交易中存在的最大问题.Netscape推出的安全套接层协议SSL,主要目的是提供Inter上的安全通信怎么写作.它能够对信用卡和提供较强的保护,因此在信用卡交易方面,商家可以通过SSL在Web上实现对信用卡订单的加密,Nigator和InterExplorer浏览器都支持SSL.1997年5月,由Visa、MasterCard等联合推出的安全电子交易（SET――SecurityElectronicTransaction）规范为在Inter上进行安全的电子商务提供了一个开放的标准.这个规范得到了IBM、Netscape、Microsoft、Oracle,GTE,VeriSign,SAIC,Terisa等公司的支持.SET主要使用电子认证技术,其认证过程使用RSA和DES算法,因此,可以为电子支付提供强大的安全保护.

随着电子商务技术向整个经济社会各个层次延伸,整个社会表现出对Inter、Intra、Extra等网络更大的依赖性.电子商务的安全问题更为重要,保证通信的可靠性和敏感信息的安全性,仅仅依靠技术是远远不够的,更需要的是法律意义上的公证和仲裁.但是,现行法律调整的都是比较传统的法律关系,诸如民事关系、行政关系以及刑事关系等,而通过计算机网络进行的各种商务活动正在成为21世纪信息化社会贸易活动的主要表现形式,交易方式的日新月异的变化,已经打破了有传统法律来调整方方面面的社会关系所形成的平衡状态,出现了许多法律调控的盲点.那么如何从理论上对它的法律调控问题进行研究,是摆在每位法学工作者面前的一个重要课题,也是值得全社会关注的问题.

[2]陈兵:网络安全与电子商务[M].北京.北京大学出版社.2002

[3]冯矢勇:电子商务安全[M].北京.电子工业出版社.2002