电子商务安全技术的应用和发展.doc

电子商务安全技术的应用和发展周婷玉1 任智军2（1 上海商学院管理学院电子商务051，上海，200235）（2 上海商学院管理学院，上海，00235）摘 要 随着电子商务迅速的发展，在现今电子商务成为一种新兴产业。它的安全问题就显得尤为重要。通过对防火墙技术、VPN技术、安全协议、数字签名技术等的认识及其实际企业中的应用，来了解电子商务在现今的发展，并探讨仍需解决的安全隐患。关键词 电子商务安全 安全技术 安全问题The Developing and Application of Security Technology of Electronic CommerceZHOU Tingyu1 REN Zhijun2（1 Management College EB051，Shanghai Business School，Shanghai，200235）（2 Management College，Shanghai Business School，Shanghai，200235）Abstract Along with the rapid developing of Electronic Commerce，nowadays Electronic Commerce is becoming a kind of infant industry. Its security issue seems very important. By means of understanding firewall，Virtual Private Network，security protocol，identity of certification and digital signature，we can realize the developing of Electronic Commerce and scratch the security of hidden trouble which wants to resolve.Key words security of Electronic Commerce security technology security issue1 前言随着互联网在我国乃至全世界的全面普及，基于互联网的电子商务也应运而生，并在近几年来获得了巨大的发展，成为了一种全新的商务模式，被很多的商家和企业所采用，并被认为是一种新的经济增长点。通过数据显示，2007年上海的电子商务交易额达到了2300亿元，是2002年的9倍，并预计到2010年电子商务交易额会突破3400亿元（如图1所示），这个数据是惊人的，可见电子商务发展的势头很猛，处于直线上升中。但是我们都知道要构建一个电子商务体系，所需的首要条件就是安全问题，因此安全体系的构建就显得至关重要了。如何建立一个安全、便捷的电子商务应用环境，采用怎样的安全技术才可能对信息提供足够的保护，是企业和用户都十分关注的话题，也是电子商务的核心问题。图1 上海电子商务交易额（单位：亿元）2 电子商务安全体系的建立2.1 电子商务安全体系建立的重要性现今的电子商务技术集中体现在网店和网上商城的建立。与真实商店不同点在于网络商店从前台看是一种特殊的WEB服务器。现代WEB网站的多媒体支持和良好的交互性功能成为建立这种虚拟商店的基础，使得顾客可以通过商品目录选购商品，放入购物车中，再到后台支付就可以了，是非常便捷的，效率也非常的高。要找到好的商品可以通过其他购买者的使用反馈评论中得到借鉴和参考意见。不需要的时候只要没有付款都可以从购物车中撤销这件商品，而对于支付结算环节就体现了电子商务安全的重要环节了，要得到顾客的信赖，就必须保证支付的安全可靠性。这不但关系到顾客的切身利益，同时直接关系到企业商业经营的安全可靠。2.2 建立电子商务安全体系所要注意的问题要解决网上购物、交易和结算中的安全问题，其中包括建立电子商务各主体之间的信任问题，就必须要建立安全认证体系（CA）、选择安全标准（如SET、SSL等）、采用加、解密方法和加密强度。网上实现交易和传统面对面式或书面的交易方式有所不同，它是通过网络传输商务信息来进行贸易活动的。因此我们要明白进行网上交易所要面对的安全问题是：（1）有效性。保证网上交易合同的有效性，防止系统故障、计算机病毒、黑客攻击。（2）保密性。对交易的内容、交易双方账号、密码不被他人识别和盗取。（3）完整性。防止单方面对交易信息的生成和修改。（4）不可抵赖性。在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。（5）身份认证性。指交易双方可以相互确认彼此的真实身份，确认对方就是本次交易中所称的真正交易方。认证是证实一个声称的身份或者角色，如用户、机器、节点等是否真实的过程。这一过程为授权和审计所必需，也是实现授权、审计的访问控制过程运行的前提，是计算机网络安全系统不可缺少的组成部分。这样才可以建立一个安全可靠的电子商务安全体系，防止外部病毒黑客的侵入，保证交易信息的安全保密，并且不可随意对交易信息篡改和单方面的生成交易，在顾客面前做到交易的真实有效，才可以得到更多顾客的认同和信任。2.3 建立电子商务安全体系所包含的技术2.3.1 安全支付结算体系银行业务的电子化，使得电子货币正在逐步取代传统纸币，发挥越来越重要的作用。随着网上交易的增多，网络银行、数字货币等全新的概念也应运而生。因特网确实对传统的金融业务提出了挑战。全球大约1000家银行中的500家已经加入互联网。无论是完全依赖于网络的银行，还是传统银行利用网络开展银行业务，安全问题都是十分重要的。在金融专网和因特网之间设置支付网关，作为支付结算的安全屏障。支付结算体系的高效和安全运行对于维护金融体系的稳定具有非常重要的意义。我国的支付结算体系可细分为五个部分，即支付结算法规体系、支付服务组织体系、支付工具体系、支付清算网络体系和支付结算管理体系，这五个组成部分是密不可分的有机整体。五个部分缺一不可。对于商家还是用户电子商务的支付结算体系是对于顾客和商家交易信息的一种保密安全的措施，保证在付款的过程中做到顾客卡号密码的安全，资金不会被窃取。2.3.2 安全的网络平台安全可靠的网络是实现电子商务的基础，常用的是在网络中采用防火墙技术，虚拟专用网（VPN）技术，防病毒保护等。防火墙技术是通过IP过滤和代理服务器软件方法保护企业内部网（Intranet）中数据，只有授权用户才能获准进入企业内部网的系统。虚拟专用网（VPN）技术通过IP隧道等方法来保证企业协作网（Extranet）中企业间的数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。是虚拟出来的企业内部专线。它可以通过特殊的加密的通信协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路。VPN的核心就是在利用公共网络建立虚拟私有网。这些技术被现今大多数的企业所采用，通过防火墙来保证黑客难以攻克来窃取企业内部资源，通过VPN这项技术来保证员工可以在外访问公司资源，大大提高了员工的办公效率，也兼顾到了安全问题，当然为了更加安全，也兼用加密技术等来对数据进行加密，保证在网络传输上的保密性和安全性。2.3.3 在线支付的安全技术电子商务的另一个关键问题是要保证在线支付的安全，它是网上购物的重要保证。目前采用的在线支付协议有两种：安全套接层SSL协议（Secure Sockets Layer）和安全电子交易SET协议（Secure Electronic Transaction）。（1）SSL协议就是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证，数字证书是从认证机构（Certificate Authority）获得的，通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后，双方就可以用保密密钥进行安全的会话了。SSL协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议（如HTTP、FTP、TELNET等）以保证应用层数据传输的安全性。SSL协议的优点是它提供了连接安全：连接是私有的。在初始握手定义了一个密钥之后，将使用加密算法。对于数据加密使用了对称加密（例如DES和RC4）。可以使用非对称加密或公钥加密（例如RSA和DSS）来验证对等实体的身份。连接是可靠的。消息传输使用一个密钥的MAC，包括了消息完整性检查。对于SSL的接受程度仅仅限于HTTP内。它在其他协议中已被表明可以使用，但还没有被广泛应用。（2）SET SET协议（安全电子交易协议SET：Secure Electronic Transaction）：主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。SET提供对买方、商户和收单行的认证，确保交易数据的安全性、完整性和交易的不可否认性，特别是保证了不会将持卡人的信用卡号泄露给商户。它采用的技术包括，对称密钥加密、公共密钥加密、哈希算法、数字签名技术以及公共密钥授权机制等。SET使订单信息和信用卡信息的隔离。整个电子支付的过程包括：浏览、购买、付款合法性验证以及获取付款等过程。在DRM领域，目前已经吸引了包括微软、IBM、AOL以及彩虹天地公司等一大批知名企业投入了巨大的资金和研发力量，产品已经投放市场。数据加密的技术内容在发展。数据加密不再只以密码学和系统设计为技术基础。目前越来越多地溶入了互联网技术和针对不同数据格式的压缩（如媒体文件）、分析（如HTML文档）技术等内容。2.3.5 其他安全技术对于电子商务的安全性来讲，有了防火墙、安全协议和数字签名还不够，一方面，本身的物理差错是难以避免的；另一方面，Internet主干网和DNS服务器的可靠性，拨号连接质量与速度还不能满足人们的需求；另外，恶意代码对网络系统的威胁，单纯依赖技术是很难解决的，从某种意义上讲，依靠管理加强内部人员的安全防范意识等比安全技术更为重要。因此，要加强电子商务的安全性应从多方面入手。这样将技术和人员管理多方面入手，才能真正做到安全可靠，有效保障自身企业内部资源和顾客支付安全的问题。3 电子商务存在的问题3.3.1 安全问题由于电子商务是以计算机网络为基础的，因此它不可避免面临着一系列的安全问题。（1）信息泄漏。在电子商务中表现为商业机密的泄漏，主要包括两个方面：交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。（2）窜改。在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改，这样就使信息失去了真实性和完整性。（3）身份识别。如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等，进行身份识别后，交易双方就可防止双方不信任的问题。（4）电脑病毒问题。电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助于网络传播得更快，造成数百亿美元的经济损失。（5）黑客问题。随着各种应用工具的传播，黑客已经大众化了，不像过去那样非电脑高手不能成为黑客。曾经大闹雅虎网站的“黑手党男孩”就没有受过什么专门训练，只是向网友下载了几个攻击软件并学会了如何使用，就在互联网上大干了一场。虽然现在的安全技术不停更新问世，但是黑客技术的越来越高明也是我们不得不防备的问题，也是需要企业本身努力更新自身的安全技术，被加强管理力度，让黑客无处可入。3.3.2 信用问题供需双方的网上交易，相互信任是成交的根本保证。对于B2C业务，大多数消费者购买前需要对商品进行认真判断，但由于我国目前商业环境中商业信用程度较低，所以许多消费者对电子商务望而却步。对于B2B业务，企业间三角债情况严重，而网上交易的企业透明度又不高，也使一些企业担心网上交易经营风险过大。这些问题的解决需要通过设置合理的电子商务运行机制和运行标准，确保供需双方建立商业信用。这种电子商务的信用模式，就目前来说，主要是指电子商务企业（网站）通过制定和实施确定的交易规则，为电子商务交易的当事人建立一个公平、公正的平台，以确保电子商务的交易安全可靠，其基础性设施是资格认证和信用认证。我国还没有制定出有关电子商务的专门法规，现在许多从事电子商务的企业只能在国家“合同法”及相关民事和经济法律的基础上，根据自己对电子商务的理解和实际情况制定具体的交易规则，建立自己的信用模式。3.3.3 支付问题电子商务的核心内容是信息的互相沟通和交流，交易双方通过Internet进行交流，洽谈确认，最后才能发生交易。这时对于通过电子商务手段完成交易的双方来说，银行等机构的介入是必须的，银行所起的作用主要是支持和服务，属于商业行为。但从整个电子商务的发展来看，将来要在网络上直接进行交易，就需要通过银行的信用卡等各种方式来完成交易，以及在国际贸易中通过与金融网络的连接来支付和收费。而我国各个国有专业银行网络选用的通信平台不统一，不利于各银行间跨行业务的互联、互通和中央银行的金融监管以及宏观调控政策的实施。另外，各行信用卡标准不一样，不能通用，尚不能用信用卡实现网上支付。3.3.4 其他问题（1）基础设施建设问题。而我国由于经济实力和技术方面的原因等，网络的基础设施建设还比较缓慢和滞后，已建成的网络其质量离电子商务的要求相距甚远。（2）法规问题。没有一个成熟的、统一的法律系统进行仲裁，纠纷就不可能解决。我国现行的票据法并不承认经过数字签章的非纸质电子票据的支付和结算方式；电子商务实施中涉及参与交易各方之间的关系和纠纷以及交易中的各种安全等问题，原有法律法规条文没有涉及或有涉及但不完全适用。（3）物流配送问题。网上可以解决信息流、商流、资金流等商品流通的大部分问题，但却无法解决物流问题。所以，在电子商务的发展过程中，物流瓶颈是不容忽视和回避的。我国的物流发展起步晚、水平低，现行的物流体系很大程度制约着电子商务的发展。4 电子商务技术在企业中的应用戴尔皇冠上的珠宝网上商店。戴尔计算机公司是世界上最大的计算机制造商之一。戴尔由于成功地将其直接面向最终用户的销售策略推向internet而广为人知。戴尔公司称其网上商店为“戴尔皇冠上点缀的珠宝”。通过戴尔公司的网上商店，顾客可以在网上组装、定制并购买电脑。戴尔公司采用了分布式方案，将流入的访问需求分别由许多前端的poweredge服务器中的一台来处理，由此在网站上平衡负载。同时保证客户以最少的等候时间尽快得到他们正在查找的数据，例如价格和样品。硬件上，戴尔公司前端使用它自己的基于intelpentiumpro处理器的poweredge4100服务器，负责管理整个网站。premier页面是为公司客户设计的专用extranet页面，上面包括订购信息、订购历史、已经被公司客户认可的系统配置，甚至账户信息，帮助戴尔公司为公司客户提供更好的服务，减少公司电话中心的负担，并帮助公司将它的市场扩展到全世界。戴尔公司使用cisco的分布式控制器来在各个服务器之间平衡负载。这些服务器的内容彼此镜像。在网站访问量急剧上升时，戴尔公司可以在一个小时内增加需要的硬件容量。处理商业事务和包含站点内容信息的sqlserver数据库服务器，都布置在防火墙的后面，以保证安全性和防止可能带来损害甚至迫使站点关闭的外来干扰。这些都是戴尔成功的保障，当然