導語：電子商務信息安全保護技術(shù)探究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：在當今經(jīng)濟生活狀態(tài)下，電子商務隨著信息技術(shù)的飛速發(fā)展已經(jīng)成為其中不可或缺的組成元素。但從當前互聯(lián)網(wǎng)環(huán)境來看，存在著許多潛在的安全威脅。作為極具價值的敏感信息，電子商務信息的安全保護迫在眉睫。研究電子商務信息安全保護技術(shù)，對電子商務信息安全具有重要保障意義。

關(guān)鍵詞：信息安全；電子商務；問題；保護技術(shù)

隨著互聯(lián)網(wǎng)時代的來臨，電子商務依托網(wǎng)絡技術(shù)、通訊技術(shù)快速發(fā)展起來。所謂電子商務，正是將商務活動與電子信息技術(shù)結(jié)合起來的商務模式，相對傳統(tǒng)商務模式來說，電子商務的整個商務過程基本都處于電子化和網(wǎng)絡化。電子商務對傳統(tǒng)商務模式的改變并非僅僅體現(xiàn)在模式的變革上，同時給經(jīng)濟產(chǎn)業(yè)結(jié)構(gòu)升級帶來了巨大變革。因電子商務效率較高、成本較低，能夠提供更多的商機給中小型公司而迅速普及。但基于互聯(lián)網(wǎng)本身開放性、共享性及無縫連通性等特點，存在著諸多的安全風險，而這些風險又會在一定程度上威脅著電子商務信息安全。電子商務信息安全不僅涉及其系統(tǒng)安全，同時涉及其應用與數(shù)據(jù)庫安全，為避免潛在安全問題帶來的損失與破壞，電子商務領(lǐng)域及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域一直在致力于電子商務信息安全保護技術(shù)的研究。而在分析研究當前電子商務信息安全保護技術(shù)前，我們首先應對電子商務信息安全隱患有一定了解。

1、當前電子商務信息安全存在的隱患

電子商務的發(fā)展，給我國商務發(fā)展注入了新的活力。但因電子商務全程通過網(wǎng)絡完成，且無紙化存檔等，所以極易受到網(wǎng)絡安全的影響。電子商務信息安全通常包括兩項內(nèi)容：其一為計算機網(wǎng)絡安全，其二為商務交易安全。這兩項安全環(huán)節(jié)對電子商務信息安全來說具有非常重要的作用，前者是電子商務安全的基礎，后者是電子商務安全的基本保障，計算機網(wǎng)絡安全與商務交易安全兩者具有密切聯(lián)系。電子商務信息安全隱患，也主要存在于計算機網(wǎng)絡安全與商貿(mào)交易安全環(huán)節(jié)中。電子商務信息中最為常見的安全問題，是對電子商務信息的竊取與篡改。因電子商務進程中調(diào)制解調(diào)器之間傳送的明文信息并未采用加密措施，入侵者即可利用這一漏洞將這些信息截取下來并對其進行分析，通過對電子商務信息規(guī)律與格式的尋找，從而掌握電子商務過程中傳輸?shù)男畔?nèi)容。入侵者在對信息的規(guī)律和格式掌握后，即可將兩個同類型的解調(diào)器增添在之前的網(wǎng)絡調(diào)制解調(diào)器之間。通過這措施，原網(wǎng)絡調(diào)制解調(diào)器中的信息數(shù)據(jù)即可在入侵者的操控下傳往另外一端的解調(diào)器上。在電子商務信息犯罪中，篡改信息是十分常見的犯罪，任意一個路由器或者網(wǎng)關(guān)上都可以被應用。在對信息進行竊取的過程中，入侵者對電子商務信息數(shù)據(jù)進行掌握后，便可對已經(jīng)通過的數(shù)據(jù)信息實施隨意更改，對該網(wǎng)上的機要信息、文件全面掌握，還可潛入對方網(wǎng)絡內(nèi)部，對合法的網(wǎng)絡用戶冒名頂替，對假冒電子商務信息進行傳輸或接受，造成更為嚴重的后果。其實，這些危及電子商務信息安全的所有行為歸結(jié)來說都屬于數(shù)據(jù)攻擊，攻擊者通過截獲電子商務基本信息、通過偽造或者強制中斷電子商務信息的傳輸，對電子商務信息進行錯誤的修改等，都給電子商務信息安全帶來了極大隱患?；陔娮由虅招畔踩嬖诘碾[患，當前電子商務對信息安全保護服務具有較為迫切的需求。電子商務要求電子商務信息具有保密性，即保證企業(yè)一些文件或商業(yè)信息的機密性，確保其不會被非法者截獲或破解，以使非法者即便截獲信心也無法讀懂其含義，從而為電子商務企業(yè)用戶隱私權(quán)提供極大的保護。此外，數(shù)據(jù)的完整性與數(shù)據(jù)的不可否認性也是電子商務信息安全保護所需要的。在傳輸數(shù)據(jù)的過程中，應保證數(shù)據(jù)傳輸中的真實性，確保其不會在中途被篡改，與原用戶所發(fā)送的信息保持一致性。數(shù)據(jù)傳輸過程在傳輸與接收雙方中還需要保證信息的透明與不可否認性，避免電子商務交易過程中的各種糾紛問題。此外，電子商務信息安全保護還要求確定交易者的正確性，即確定對方不是騙取信息的第三方，以對信息的丟失與泄露有效防止。

2、電子商務信息安全保護技術(shù)應用研究

為滿足電子商務信息在安全保護方面的要求，需選擇合適的電子商務信息安全保護技術(shù)。當前電子商務信息安全保護領(lǐng)域中被應用較多的技術(shù)主要為加密技術(shù)、認證技術(shù)及防火墻技術(shù)和SSL、SET等。

2.1電子商務信息安全保護中的加密技術(shù)

加密技術(shù)主要是對數(shù)據(jù)的加密，通過將敏感的明文數(shù)據(jù)通過確定的密碼變換為較難識別的密文數(shù)據(jù)來保護電子商務信息安全的技術(shù)。通過對密匙的不同使用，可通過同一加密算法對同一明文進行加密，使其成為不同的密文，當需要打開密文時，即可利用密匙實施還原，讓密文以明文數(shù)據(jù)的形式成現(xiàn)在閱讀者面前，這一過程即解密。對稱密鑰加密和非對稱密鑰加密，是密匙加密技術(shù)中最為典型的兩類。對稱密鑰技術(shù)是指控制過程中使用相同的密匙在加密與解密過程中，對密匙的保密是該種技術(shù)保密度的主要取決因素。雙方在發(fā)送信息時，必須對彼此的密匙進行交換，DES，3DES等是其常用的分組密碼算法。對稱密匙系統(tǒng)不僅具有較快的加密解密速度，且在數(shù)字運算量上比較小，保密度高。不過對稱密匙在管理方面比較困難，需要保存較多的密匙，容易在傳遞的過程中泄露密匙，對數(shù)據(jù)的安全產(chǎn)生直接影響。非對稱密鑰技術(shù)是將不同的密匙應用于加密和解密控制中，其中加密密匙具有公開性。在計算上，公開的加密密鑰或密文與明文的對照對解密密匙進行推算是不可能的，利用這一點非對稱密匙技術(shù)即可實現(xiàn)對電子商務信息安全的保護。在這種加密技術(shù)應用中，每個用戶都由一個公開密匙和一個私人密匙，兩個密匙不能從一個推出另一個。非對稱密匙技術(shù)分配簡單，便于管理，且可實現(xiàn)數(shù)字簽名和身份認證，但在處理速度上相對對稱密匙技術(shù)較慢。

2.2電子商務信息安全保護中的認證技術(shù)

電子商務中的安全交易僅僅依靠基本的加密技術(shù)，雖然可得到一定程度的保障，但這種保障卻并非完全的。因此，信息鑒別和身份認證技術(shù)也是電子商務信息安全保護過程中不可或缺的。認證技術(shù)所涉及的內(nèi)容較廣，除數(shù)字摘要、數(shù)字簽名外，數(shù)字信封、數(shù)字證書等都包含在內(nèi)。認證技術(shù)在電子商務信息安全中應用，主要是為了鑒別交易者的真實身份，避免發(fā)生電子商務信息被篡改、偽造、刪除等潛在風險。數(shù)字摘要技術(shù)主要是在單向哈希函數(shù)的幫助下促進電子商務信息文件的轉(zhuǎn)換運算，然后對某一定固定長度的摘要碼進行獲取，并把其加入文件中通過信息傳輸給接收者，接受者需要通過雙方約定好的函數(shù)進行換算，確保結(jié)果與發(fā)送來的摘要碼相同即可認為文件是完整未被篡改的。數(shù)字簽名即是用發(fā)送者的私鑰對文件摘要進行加密，附在原文中共同傳輸給接受者，被加密的摘要只有用發(fā)送者的公鑰才能解開，類似于其親筆簽名，對信息完整性、真實性具有一定保障作用。數(shù)字信封指發(fā)送者加密信息采用對稱密匙，用接收者的公鑰來對其進行加密后，接收者會受到“信封”與文件，需要通過自己的私鑰將“信封”打開，在這一過程中其可得到對稱密匙打開文件，保證了文件的私密性。數(shù)字證書是PKI執(zhí)行機構(gòu)CA所頒發(fā)的用戶數(shù)字身份證，可為網(wǎng)上交易的不可否認性提供保障，同時為信息的完整與安全性及電子簽名的可靠性提供保障。

2.3電子商務信息安全保護中的防火墻技術(shù)

在企業(yè)網(wǎng)絡安全問題的解決方案中，防火墻技術(shù)師比較傳統(tǒng)的技術(shù)，通過限制公共數(shù)據(jù)和服務進入防火墻內(nèi)，來保護防火墻內(nèi)電子商務信息的安全。防火墻技術(shù)主要包括包過濾型和應用型。在防火墻技術(shù)發(fā)展的整個過程中，都貫穿著包過濾方式，當前這種電子商務信息安全保護技術(shù)已經(jīng)開發(fā)出靜態(tài)與動態(tài)兩種不同版本。靜態(tài)版本與路由器技術(shù)同一時期產(chǎn)生，可對每個包是否符合已定義好的規(guī)則進行審查；動態(tài)版本通過對動態(tài)設置包過濾規(guī)則的采用，可在過濾規(guī)則中中對過濾條目自動增加或更新。應用型主要包括第一代應用網(wǎng)關(guān)型防火墻與第二代自適應型防火墻。前者可隱藏原本內(nèi)部發(fā)出的數(shù)據(jù)，具有公認的安全性；后者可對網(wǎng)絡中的所有數(shù)據(jù)通信進行保護篩選，最突出的優(yōu)點為安全性。防火墻這種網(wǎng)絡安全技術(shù)，除了比其他安全保護技術(shù)簡單實用外，還具有相對較高的透明度，在不改變原有網(wǎng)絡應用系統(tǒng)的前提下，也可以實現(xiàn)相應的安全保護目標。不過，與眾多客戶進行通信對商業(yè)活動進行展開，是電子商務企業(yè)業(yè)務的突出要求，防火墻技術(shù)對電子商務級別的信息安全防護需求可能無法獨立承擔，比較適合作為一種基礎的信息安全保障手段。

2.4電子商務信息安全保護中的SSL、SET

電子商務信息安全保護技術(shù)中，網(wǎng)絡通信協(xié)議保護技術(shù)也是比較常應用的一種技術(shù)。該種技術(shù)主要包括兩種，即SSL（安全套接層協(xié)議）和SET（安全電子交易公告），這兩種協(xié)議已經(jīng)成為電子商務信息中網(wǎng)絡安全標準。SSL針對的是計算機之間的整個對話過程，通過整體加密協(xié)議來保證電子商務信息的安全。該種協(xié)議所提供的安全保護服務主要包括三種，第一種為對數(shù)據(jù)進行保密，第二種為對客戶端和服務器的合法性進行保證，第三種為對數(shù)據(jù)的完整性進行維護。在采用的方法方面，SSL安全協(xié)議通常會選擇哈希函數(shù)和機密共享，通過這些方法在客戶端與服務器之間對安全通道進行建立，來保證電子商務信息達到目的地的完整準確性。SET是在互聯(lián)網(wǎng)環(huán)境下立足信用卡這一基礎而展開的一種電子支付系統(tǒng)協(xié)議，其保障對象主要是支付信息的安全。在數(shù)字簽名的作用下，SET協(xié)議對電子商務信息的完整性可最大限度地保障，并且可對消息源給予認證。SET協(xié)議對雙重簽名技術(shù)加以采用，可為顧客隱私提供更加嚴密的保護以防止發(fā)生用戶信息被侵犯的情況。在雙重簽名技術(shù)的保障下，對于訂購信息與支付信息的一致性，商家和銀行需共同進行驗證，防止信息被修改。且SET兼容性較強，在不同的硬件和操作系統(tǒng)平臺上均可運行。面對互聯(lián)網(wǎng)中無處不在的信息安全隱患，電子商務相關(guān)單位或企業(yè)在展開電子商務活動的過程中，應對信息安全隱患全面了解，加強重視，并對何時的電子商務信息安全保護技術(shù)加以選擇應用，對本單位或企業(yè)的電子商務信息設法保護。

作者:陳亮 單位:河南工程學院

參考文獻

[1]江文.淺談電子商務的信息安全及技術(shù)研究現(xiàn)狀與趨勢[J].經(jīng)濟與社會發(fā)展，2010,(07)：30-32.

[2]張鑫.網(wǎng)絡背景下計算機電子商務的信息安全分析[J].中國證券期貨，2012,(05)：108-109.

[3]李穎鵬.論信息安全技術(shù)在電子商務中的應用——安全問題是電子商務的核心問題[J].科技資訊，2012,(10)：45-46.

[4]張波.淺談電子商務網(wǎng)絡信息安全關(guān)鍵技術(shù)[J].科技資訊，2010，(13)：91-92.

[5]李艷云.計算機安全技術(shù)在電子商務中的應用探討[J].職業(yè),2012,(02)：77-78.

[6]趙少華.電子商務網(wǎng)站信息安全問題及技術(shù)對策[J].中國證券期貨，2012,(04)：59-60.

[7]徐桂.移動互聯(lián)網(wǎng)絡安全認證及安全應用中關(guān)鍵技術(shù)研究[J].網(wǎng)絡安全技術(shù)與應用，2014，(01)：82-84.

[8]劉美香.信息安全技術(shù)在電子商務中的應用[J].中國西部科技，2010,(11)：20-21.