◆

 摘要:面对不断渗透到人们生活和工作中的网络,安全也成为人们所关注的问题。尤其是对于电子商务来说如何加强安全管理呢？本文针对电子商务安全性的问题,从服务器、防火墙、身份认证技术、协议等方面叙述了如何加强电子商务的安全性。

关键词:EC；CA；SSL；SET；服务器；公钥；密钥和密钥加密系统

随着Internet的迅猛发展和网络社会的到来,网络已经影响社会的政治、经济、文化、军事和社会生活的各个方面。对整个社会带来了巨大的抢劫与冲击,同时也给我们带来了许多挑战。我们也开始接触到一个新名词:电子商务(EC,Electronic Commerce)。电子商务就是以数字化电子方式,以网络为媒体进行的商业数据交换或其他的商业活动。由于这种新的完整的电子商务系统可以将内部网与Internet连接,因此,安全问题便成了电子商务生死攸关的首要问题。一般来说,确保电子商务的安全应从以下这几个方面考虑。

1 网络服务器的安全性

在网络服务器中,通常都会存有好多并不公开的资料,这些资料多数是某个公司或是政府机关的机密文件,也可能是某个程序员的程序源代码。由此可以看出,一台服务器的安全是十分重要的。许多上网用户可能不太明白网络服务器的具体用途,每个服务器都有各自不同的作用。用户在网络里浏览网站、收发电子邮件、玩网络游戏等,都是由网络服务器提供的服务。当一个用户浏览某个网站会在地址栏里输入一个网址时(例如:http://www.sina.com.cn),这其实就是向一台域名服务器发送请求,而这台域名服务器将在数据库内找与这个域名所对应的IP地址,随后将其所对应的服务器转送请求,并把其位置告诉网站服务器。如何保证服务器的安全性呢？选择一套适合其网站的安全系统模型。一套完善的安全模型应包括以下一些必要的组件:防火墙、入侵检测系统,路由系统等。

其一,防火墙技术。防火墙是在安全系统中扮演一个保安的角色,其特征是通过在网络边界上建立相应的网络通信监控系统来达到保障网络安全的目的,可以很大程度上保证来自网络的非法访问以及数据流量的攻击。它可以决定了哪些内部服务可以被外界访问；外界的哪些机器可以访问内部的服务；以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。防火墙类似于防盗门,它们对普通人来说是一层安全防护,但是没有任何一种防火墙能提供绝对的保护。这就是为什么许多公司建立多层防火墙的原因,当黑客闯过一层防火墙后他只能获取一部分数据,其他的数据仍然被安全地保护在内部防火墙之后。总之,防火墙只是增加计算机网络安全的手段之一,只要网络应用存在,防火墙就有其存在的价值。

其二,入侵检测技术。对于越来越复杂的网络来说,单纯的防火墙技术无法完全解决安全后门问题；不能阻止网络内部攻击,不能提供实时入侵检测能力；对于某些病毒等束手无策等。因此很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测。入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测并采取相应的防护手段,如记录证据、跟踪入侵、恢复或断开网络连接等。这引发了人们对入侵检测技术研究和开发的热情。

其三,选择安全性较高的操作系统 操作系统在服务器上的选择是很关键的。用户应结合自己服务器的作用,选择一个安全系数相适应的服务器来使用。

2 网络客户端的安全性

在C/S模式下的电子商务,除了要注重服务器的安全性以外,客户端的安全性也同样重要。 #p#分页标题#e#

2.1 身份认证技术

电子商务企业用户身份认证可以通过服务器C A 证书与I C 卡相结合实现的。C A 证书用来认证服务器的身份,IC卡用来认证企业用户的身份。C A 主要利用R S A 算法在密钥自动管理、数字签名、身份识别等方面的特性,建立的一个为用户的公开密钥提供担保的可信的第三方认证系统, 称之为C A 。C A 为用户发放电子证书,用户之间利用证书来保证安全性和双方身份的合法性。个人用户由于没有提供交易功能,所以只用ID 号和密码口令的身份确认机制。

2.2 SSL 协议和SET 协议

SSL 协议是Netscape 公司在网络传输层之上提供的一种基于RSA 和加密密钥的用于浏览器和Web 服务器之间的安全连接技术。它在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。SSL 协议独立于应用层协议,且被大部分的浏览器和Web 服务器所内置,便于在电子交易中应用,因此,在电子交易中被用来安全传送信用卡号码。国际著名的CyberCash 信用卡支付系统就支持这种简单加密模式,IBM 等公司也提供了这种简单加密模式的支付系统。

3 数据加密技术

随着网络技术的发展,对网络传输过程中信息的保密性提出了更高的要求,这些要求主要包括:对敏感的文件进行加密；保证数据的完整性,防止截获人在文件中加入其他信息；对数据和信息的来源进行验证,以确保发信人的身份。

现在业界普遍通过采用秘密密钥加密系统(SecretKey Eneryption)或者两种密钥相结合的方式来满足以上要求,以求信息的安全认证。

3.1 钥体制的信息认证

基于秘密密钥体制的信息认证是一种传统的信息来源认证方法。这种认证方法基本原理是,需要通信的甲乙双方共同约定一个口令或一组密码,即建立一个通信双方共享的密钥。

3.2 公开密钥算法身份认证

网络身份认证又叫网络身份鉴别,主要是指在揭示敏感信息或进行事务处理之前对对方身份的确认,即鉴别对方的真实性。

3.3 公开密钥系统的数字签名

在电子商务安全保密系统中,数字签名技术有着特别重要的地位。数字签名是公开密钥技术的一种应用,是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。通过数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法,普遍用于银行、电子贸易等,以解决伪造、抵赖、冒充、篡改等问题。

电子商务的安全运行,不仅要从技术角度进行防范,更要从法律角度加强,保证电子商务快速健康地发展,从而促进整个国民经济的不断发展。

责任编辑：叶子