电子商务安全问题浅析

维普资讯 http://www.cqvip.com 问题　●　韩基龙　电子商务是随着互联网技术的发展而　产生的一种全新的贸易形式，随着电子商　叫做密钥。目前，获得广泛应用的两种加密　技术是对称密钥加密体制和非对称密钥加　密体制。它们的主要区别在于所使用的加　密和解密的密码是否相同。对称密钥加密，　方的不可抵赖性和信息的完整性。在某些　情况下　信息认证显得比信息保密更为重　务环境的规范和技术的完善．中国电子商　务企业必然走向世界，这也是进一步扩大　对外经贸合作，适应经济全球化、提升中国　企业国际竞争力的需要。随着电子商务的　蓬勃发展，电子商务的安全问题目益凸显。　要。安全认证技术主要有数字摘要、数字信　封、数字签名、数字时间戳、数字证书等。　３、安全电子交易协议　又称私钥加密，即信息的发送方和接收方　用一个密钥去加密和解密数据。它的最大　优势是加／解密速度快，适合于对大数据量　进行加密，但密钥管理困难。使用对称加密　电子交易是电子商务活动的核心内　容。如何在开放的公用网上构筑安全的交　易模式，一直是业界研究的热点。毫无疑问，　只有建立在前面介绍过的各种加密技术和　认证技术的基础上，才有可能构筑一个安　如何保证网上交易的有效性、机密性、完整　性和可靠性是电子商务可持续发展的关　键。现在看，电子商务安全问题的解决主要　分为两大方面，一方面是技术防范，另一方　面是安全管理。　一、电子商务技术防范　析　专用密钥。　２、认证技术　技术将简化加密的处理，每个参与方都不　必彼此研究和交换专用设备的加密算法，　而是采用相同的加密算法并只交换共享的　全的电子交易模式。目前电子商务中有两　种安全认证协议被广泛使用　即安全套接　层ＳＳＬ协议和安全电子交易ＳＥＴ协议。　４、黑客防范技术　１、加密技术　认证技术是信息安全理论与技术的一　个重要方面。也是电子商务安全的主要实　现技术。采用认证技术可以直接满足身份　加密技术是一种主动的信息安全防范　措施，其原理是利用一定的加密算法。将明　目前，黑客攻击已成为网络安全所面　临的最大威胁，同时黑客防范技术也成为　文转换成为无意义的密文，阻止非法用户　理解原始数据，从而确保数据的保密性。明　文变为密文的过程称为加密，由密文还原　认证、信息完整性、不可否认和不可修改等　多项网上交易的安全要求，较好地避免了　网上交易面临的假冒、篡改、抵赖、伪造等　种种威胁。认证技术主要涉及身份认证和　报文认证两个方面的内容。身份认证用于　鉴别用户身份，报文认证用于保证通信双　了网络安全的主要内容，受到了各国政府　和网络业界的高度重视。为了有效地防范　黑客，首先需要掌握黑客技术，即黑客入侵　使用的一些技术。这些技术主要包括缓冲　区溢出攻击、特洛伊木马、端口扫描、ＩＰ欺　为明文的过程称为解密，加密和解密的规　则称为密码算法。在加密和解密的过程中，　由加密者和解密者使用的加解密可变参数　骗、网络监听、口令攻击、拒绝服务（ＤＯＳ）攻　维普资讯 http://www.cqvip.com

击等。只有很好地掌握了这些黑客技术，才　有可能做到“知彼知已，百战不殆”。在了解　又不能单纯依靠技术，信息化的过程其实　业务能力强，且具有信息网络知识、信息安　全技术、法律知识和管理能力的复合型人　才和专门人才，就不可能做好信息安全保　障工作。应该从信息安全建设和管理对信　是人与技术相互融合的过程，如何使管理　与技术相得益彰十分重要。安全是一个交　互的过程，“三分技术，七分管理”阐述了信　息安全的本质。　黑客技术的基础上，目前人们已提出了许　多相应有效的反黑客技术，主要包括网络安　全评估技术、防火墙技术、入侵检测技术等。　５、虚拟专用网技术　虚拟专用网（ＶＰＮ）技术是一种在公用　互联网络上构造企业专用网络的技术。通　过ＶＰＮ技术，可以实现企业不同网络的组　件和资源之间的相互连接，它能够利用Ｉｎ—　息安全人才的实际要求出发，加快信息安　全人才的培养。通过各种形式，如笔试、面　试及其他测试来进行初级选拔，经过一定　时间的考察，选拔责任心强、讲原则守纪　律、了解市场并懂得基本网络知识和安全　知识的人员。对于重要的业务，尤其是企业　机密文件及用户资料等业务不要安排一个　２、没有从整体上、有计划地考虑信息　安全问题。企业各部１］、各下属机构也存在　“各自为政”的局面，缺少统一规划、设计和　管理。信息安全强调的是整体上的信息安　全性，而不仅是某一个部门或公司的信息　安全。而各部门、各公司又确实存在个体差　ｔｅｒｎｅｔ或其他公共互联网络的基础设施为　用户创建隧道，并提供与专用网络一样的　安全和功能保障。虚拟专用网络允许远程　通信方、销售人员或企业分支机构使用　Ｉｎｔｅｒｎｅｔ等公共互联网络的路由基础设计，　以安全的方式与位于企业内部网的服务器　异，对于不同业务领域来说，信息安全具有　不同的涵义和特征，信息安全保障体系的　建设　须涵盖各部门和各公司的信息安全　保障体系的相关内容。收集现有的已发生　的电子商务安全问题及解决方案，向企业　从事电子商务操作的人员及客户搜集电子　商务信息安全所面临的潜在的问题．通过　建立并保持与有关专家的对话来促使问题　得到解决，并将其存储到数据库，使其与相　应问题连接以保证电子商务操作人员在面　临安全问题并试图解决时能尽快获得必要　的信息。　人单独管理，应实行两人或多人相互制约　的机制；重要业务操作人员及交易安全等　职务的任期有限：对于网络访问权限的设　定应保证不同业务的人员应具有不同的访　问权限。　４、企业对员工的信息安全教育不够。　员工的信息安全意识薄弱，９０％的安全事　故是由于人为的疏忽所造成。如：有些企业　不限制内部人员使用高科技信息载体（Ｕ　盘、移动硬盘及笔记本电脑等移动办公设　备。要求电子商务网上交易人员严格遵守　企业网上交易安全制度，明确网上交易人　员及管理人员的责任。面临安全问题时及　时汇报，并对违反网上交易安全规定的行　为进行惩罚，对有关责任人进行严肃处理。　建立连接。ＶＰＮ对用户端透明，用户好象使　用一条专用路线在客户计算机和企业服务　器之间建立点对点连接，进行数据的传输。　二、安全管理　现阶段我国企业仍以技术为主要的安　全防范措施，几乎很少有企业能够从管理　的角度来进行电子商务的信息安全建设。　总的来说，存在的问题表现为以下几点：　３、企业管理高层对信息安全的认识不　１、“重技术、轻管理”。往往由于管理手　段不到位，导致先进的技术无法发挥应有　的效能。信息安全问题的解决需要技术，但　够，缺少与之配套的人力、物力和财力。人　才是信息安全保障工作的关键。信息安全　保障工作的专业性、技术性很强，没有一批　５、缺少信息安全的监督审计机制，导　致安全项目实施完后无法发挥长期效能，　安全策略无法持续性改进。缺少监督审计，　Ｏ　ｏ　ｏ　ｏ　就会使得管理制度流于形式，变得空洞。必　须建立安全审计机制，定期对安全制度和　安全策略进行审计，对安全管理工作进行　核查，找出安全管理中的问题和漏洞，并制　定相应的解决方案进行安全加固。　总之，电子商务安全问题是一个综合　性的管理问题，应通过对电子商务安全技　＇　术及管理的研究，推动电子商务进一步发　展。　（作者单位：东北财经大学研究生院）　（责任编辑：文峰）