電子商務(wù)的安全技術(shù)

隨著信息技術(shù)在貿(mào)易和商業(yè)領(lǐng)域的廣泛應(yīng)用，利用計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)和因特網(wǎng)實現(xiàn)商務(wù)活動的國際化、信息化和無紙化，已成為各  國商務(wù)發(fā)展的一大趨勢。電子商務(wù)正是為了適應(yīng)這種以全球為市場的的變化而出現(xiàn)的和發(fā)展起來的，它是當(dāng)今社會發(fā)展最快的領(lǐng)域之一，同時也為全球的經(jīng)濟發(fā)展帶來新的增長點。電子商務(wù)正在改變著人們的生活以及整個社會的發(fā)展進程，貿(mào)易網(wǎng)絡(luò)將引起人們對管理模式、工作和生活方式，乃至經(jīng)營管理思維方式等等的綜合革新。對貿(mào)易和商業(yè)領(lǐng)域來說，電子商務(wù)的發(fā)展正在改變著傳統(tǒng)的貿(mào)易方式，縮減交易程序，提高辦事效率�，F(xiàn)在，許多網(wǎng)站都提供有“商城”，供網(wǎng)民在網(wǎng)上購物�？梢哉f，電子商務(wù)應(yīng)用將越來越普及。然而，隨著Internet逐漸發(fā)展成為電子商務(wù)的最佳載體，互聯(lián)網(wǎng)具有充分開放，不設(shè)防護的特點使加強電子商務(wù)的安全問題日益緊迫，只有在全球范圍建立一套人們能充分信任的安全保障制度，確保信息的真實性、可靠性和保密性，才能夠打消人們的顧慮，放心的參與電子商務(wù)。否則，電子商務(wù)的發(fā)展將失去其支撐點。
要加強電子商務(wù)的安全，需要企業(yè)本身采取更為嚴格的管理措施，需要國家建立健全法律制度，更需要有科學(xué)的先進的安全技術(shù)。
在電子商務(wù)的交易中，經(jīng)濟信息、資金都要通過網(wǎng)絡(luò)傳輸，交易雙方的身份也需要認證，因此，電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺的安全和交易信息的安全。而網(wǎng)絡(luò)平臺的安全是指網(wǎng)絡(luò)操作系統(tǒng)對抗網(wǎng)絡(luò)攻擊、病毒，使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運行。常用的保護措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測技術(shù)、網(wǎng)絡(luò)防毒技術(shù)。交易信息的安全是指保護交易雙方的不被破壞、不泄密，和交易雙方身份的確認。可以用數(shù)據(jù)加密、數(shù)字簽名、數(shù)字證書、ssl 、set安全協(xié)議等技術(shù)來保護。
在這里我想重點談?wù)劮阑饓�技術(shù)和數(shù)據(jù)加密技術(shù)。
一、防火墻技術(shù)。
防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet (內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:(1)過濾進、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進、出網(wǎng)絡(luò)的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內(nèi)容和活動;(5)對網(wǎng)絡(luò)攻擊進行檢測和告警。
新一代的防火墻產(chǎn)品一般運用了以下技術(shù)：
(1)透明的訪問方式。
以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄,要么需要通過ＳＯＣＫＳ等庫路徑修改客戶機的應(yīng)用。而現(xiàn)在的防火墻利用了透明的代理系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。
(2)靈活的代理系統(tǒng)。
代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。采用兩種代理機制:一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接;另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決,后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。
(3)多級過濾技術(shù)。
為保證系統(tǒng)的安全性和防護水平,防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應(yīng)用級網(wǎng)關(guān)一級,能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級,實現(xiàn)內(nèi)部主機與外部站點的透膽連接,并對服務(wù)的通行實行嚴格控制。
(4)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。
防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的ＩＰ源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
(5)Internet網(wǎng)關(guān)技術(shù)。
由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù),同時還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性,對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面,新一代防火墻采用兩種獨立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS服務(wù)器,專門用于處理機構(gòu)內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面,服務(wù)器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻內(nèi)運行。在Finger服務(wù)器中,對外部訪問,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對所有進、出防火墻的郵件做處理,并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對用戶連接的識別做專門處理,網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。
(6)安全服務(wù)器網(wǎng)絡(luò)(SSN)。
為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時對服務(wù)器的需要,新一代防火墻采用分別保護的策略對用戶上網(wǎng)的對外服務(wù)器實施保護,它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨立網(wǎng)絡(luò)處理,對外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對SSN上的主機既可單獨管理,也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多,因為SSN與外部網(wǎng)之間有防火墻保護,SSN與內(nèi)部網(wǎng)之間也有防火墻的保護,而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。
(7)用戶鑒別與加密。
為了降低防火墻產(chǎn)品在Ielnet、FTP等服務(wù)和遠程管理上的安全風(fēng)險,鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段,并實現(xiàn)了對郵件的加密。
(8)用戶定制服務(wù)。
為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務(wù)的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數(shù)據(jù)庫的代理,便可以利用這些支持,方便設(shè)置。
(9)審計和告警。
新一代防火墻產(chǎn)品采用的審計和告警功能十分健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務(wù)器、域名服務(wù)器等。告警功能會守住每一個TCP或

UDP探尋,并能以發(fā)出郵件、聲響等多種方式報警。此外,防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。
目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現(xiàn)，故也被稱為包過濾路由器。它在網(wǎng)絡(luò)層對進入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進行分析，一般檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號、ICMP消息類型，并按照信息過濾規(guī)則進行篩選，若符合規(guī)則，則允許該數(shù)據(jù)包通過防火墻進入內(nèi)部網(wǎng)，否則進行報警或通知管理員，并且丟棄該包。這樣一來，路由器能根據(jù)特定的劌則允許或拒絕流動的數(shù)據(jù)，如：Telnet服務(wù)器在TCP的23號端口監(jiān)聽遠程連接，若管理員想阻塞所有進入的Telnet連接，過濾規(guī)則只需設(shè)為丟棄所有的TCP端口號為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快，實現(xiàn)方便，但由于它是通過IP地址來判斷數(shù)據(jù)包是否允許通過，沒有基于用戶的認證，而IP地址可以偽造成可信任的外部主機地址，另外它不能提供日志，這樣一來就無法發(fā)現(xiàn)黑客的攻擊紀錄。
其二是應(yīng)用級防火墻。大多數(shù)的應(yīng)用級防火墻產(chǎn)品使用的是應(yīng)用代理機制，內(nèi)置了代理應(yīng)用程序，可用代理服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。若外部網(wǎng)的用戶要訪問內(nèi)部網(wǎng)，它只能到達代理服務(wù)器，若符合條件，代理服務(wù)器會到內(nèi)部網(wǎng)取出所需的信息，轉(zhuǎn)發(fā)出去。同樣道理，內(nèi)部網(wǎng)要訪問Internet,也要通過代理服務(wù)器的轉(zhuǎn)接，這樣能監(jiān)控內(nèi)部用戶訪問Internet.這類防火墻能詳細記錄所有的訪問紀錄，但它不允許內(nèi)部用戶直接訪問外部，會使速度變慢。且需要對每一個特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)器軟件，用戶無法使用未被服務(wù)器支持的服務(wù)。
防火墻技術(shù)從其功能上來分，還可以分為FTP防火墻、 Telnet防火墻、Email 防火墻、病毒防火墻等等。通常幾種防火墻技術(shù)被一起使用，以彌補各自的缺陷和增加系統(tǒng)的安全性能。
防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護，但對來自內(nèi)部網(wǎng)絡(luò)的功擊卻無能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需考慮其它技術(shù)和非技術(shù)的因素，如信息加密技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識等。就防火墻本身來看，包過濾技術(shù)和代理訪問模式等都有一定的局限性，因此人們正在尋找更有效的防火墻，如加密路由器、“身份證”、安全內(nèi)核等。但實踐證明，防火墻仍然是網(wǎng)絡(luò)安全中最成熟的一種技術(shù)。
二、數(shù)據(jù)加密技術(shù)
在電子商務(wù)中，信息加密技術(shù)是其它安全技術(shù)的基礎(chǔ)，加密技術(shù)是指通過使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個可以理解的明文形式變換成一種復(fù)雜錯亂的、不可理解的密文形式（即加密），在線路上傳送或在數(shù)據(jù)庫中存儲，其他用戶再將密文還原成明文（即解密），從而保障信息數(shù)據(jù)的安全性。
數(shù)據(jù)加密的方法很多，常用的有兩大類。一種是對稱加密。一種是非對稱密鑰加密。對稱加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文，傳送給接收方，接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。它是IBM于1971年開始研制，1977年美國標(biāo)準(zhǔn)局正式頒布其為加密標(biāo)準(zhǔn)，這種方法使用簡單，加密解密速度快，適合于大量信息的加密。但存在幾個問題：第一，不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏，黑客可用它解密信息，也可假冒一方做壞事。第二，假設(shè)每對交易方用不同的密鑰，N對交易方需要N*(N-1)/2個密鑰，難于管理。第三，不能鑒別數(shù)據(jù)的完整性。
非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時，使用不同的密鑰，在通信雙方各具有兩把密鑰，一把公鑰和一把密鑰。公鑰對外界公開，私鑰自己保管，用公鑰加密的信息，只能用對應(yīng)的私鑰解密，同樣地，用私鑰解密的數(shù)據(jù)只能用對應(yīng)的公鑰解密。具體加密傳輸過程如下：
（1）發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。
（2）發(fā)送方家用自己的私鑰加密文件，然后將加密后的私鑰和文件傳輸給接收方。
（3）接收方乙用自己的私鑰解密，得到甲的私鑰。
（4）接收方乙用甲的公鑰解密，得到明文。
這個過程包含了兩個加密解密過程：密鑰的加解密和文件本身的加解密。在密鑰的加密過程中，由于發(fā)送方甲用乙的公鑰加密了自己的私鑰，如果文件被竊取，由于只有乙保管自己的私鑰，黑客無法解密。這就保證了信息的機密性。另外，發(fā)送方甲用自己的私鑰加密信息，因為信息是用甲的私鑰加密，只有甲保管它，可以認定信息是甲發(fā)出的，而且沒有甲的私鑰不能修改數(shù)據(jù)�？梢员ＷC信息的不可抵賴性。
公開密鑰加密典型的代表是RSA算法，它是由Rivest、Shamir、Adleman三人于1977年提出的一個公鑰加密算法。但是RSA的加密解密要兩次，處理和計算量都比較大，速度慢，所以只適合于少量數(shù)據(jù)的加密。因此，在當(dāng)前的加密應(yīng)用中，經(jīng)常使用對稱密鑰來對文本加密和解密，用非對稱RSA加密體系對私鑰加密和解密。發(fā)送方把密文和加密后的私鑰一起發(fā)送給接收方。使用這種聯(lián)合加密法，不僅可以確保數(shù)據(jù)的保密性，而且還可以實現(xiàn)一種名為數(shù)字簽名的認證機制。發(fā)送者私鑰加密的數(shù)據(jù)可以提供對發(fā)送者身份的認證，接收者私鑰加密的數(shù)據(jù)可以提供對接收者身份的認證。
此外，安裝防病毒的軟件并定期執(zhí)行檢測，使用數(shù)字簽名技術(shù)和數(shù)字證書等等，都是加強電子商務(wù)安全的重要技術(shù)措施。當(dāng)然，任何一個安全產(chǎn)品或技術(shù)都不會提供永遠和絕對的安全，因為網(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵和破壞的手段也在變化，只有技術(shù)的不斷進步才是真正的出路。

【電子商務(wù)的安全技術(shù)】相關(guān)文章：

電子商務(wù)中的安全技術(shù)08-06

電子商務(wù)及其安全技術(shù)(3)08-06

電子商務(wù)及其安全技術(shù)(2)08-06

電子商務(wù)及其安全技術(shù)(1)08-06

基于PKI的電子商務(wù)安全密鑰托管技術(shù)08-06

保障電子商務(wù)安全的三種技術(shù)08-05

電子商務(wù)技術(shù)體系08-05

電子商務(wù)的技術(shù)標(biāo)準(zhǔn)08-05

企業(yè)電子商務(wù)技術(shù)與發(fā)展08-05