[摘要] 企业电子商务系统通过Internet把涉及企业商务活动的各方有机地联系起来,对企业固有的经营思想和管理模式产 生了强烈冲击。电子商务系统不但是企业宣传产品、销售产品、进行售后服务的窗口,而且还是树立企业形象的前沿,面对这种全新的商务交易方式,企业应当充分认清电子商务系统中存在的安全问题,并采取相应措施确保在线商务过程的安全。
[关键词] 计算机;电子商务;网络安全;PKI;CA认证
电子商务系统(Electronic Commerce System,ECS)将传统的商务过程转移到Internet平台上来,它是参与电子商务活动的各方,包括生产企业或商家、消费者、银行或金融机构、政府等,利用计算机网络平台来实现商务活动的信息系统。其目标是利用计算机网络技术实现在线交易的全过程。一个完善的电子商务系统应当包括哪些部分,目前还没有权威的论述。从企业电子商务实践来看,企业电子商务系统的体系结构一般为四层平台结构,它们分别是:网络基础平台、应用开发支持平台、商务服务支持平台和电子商务应用平台。
一、电子商务系统的安全要求
总的来讲,电子商务系统的安全要求体现在两个主要方面,一个是计算机网络安全,还有一个就是商务安全。
1.计算机网络安全。从本质上来讲,计算机网络安全就是计算机网络系统中的硬件、软件、数据受到保护,不会因为偶然或恶意的原因而遭到破坏、更改、泄露,系统能够连续正常工作,其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性目标,它是电子商务系统安全的前提和基础。
2.商务安全。商务安全紧紧围绕传统商务活动在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上实现电子商务信息的保密性、交易信息的完整性和一致性、交易者身份的真实性和不可伪装性、交易的不可抵赖性。商务安全是电子商务交易过程中最核心和最关键的问题。
二、目前电子商务系统中计算机网络安全问题及应对措施
计算机网络安全一般可以分为物理安全和信息安全,物理安全是指保证计算机系统的各种设备的安全,主要包括环境安全、设备安全、介质安全等,是整个信息系统安全的前提。网络信息安全则是指必须保障网络信息不被非法窃取、泄露、删除和破坏,主要表现在计算机操作系统安全和计算机信息安全(数据库安全)。
1.物理安全问题及应对措施。对计算机网络物理安全产生影响的主要有偷窃、火灾及雷击等。一旦参与电子商务活动的网络设备被破坏,那么电子商务系统赖以运行的硬件平台将不复存在。因此,必需制定严格的制度、采取严格的防范措施防止产生网络物理安全问题。
2.信息安全问题及应对措施。V计算机操作系统安全是一个逻辑上的概念,操作系统是计算机中最基本、最重要的软件,与操作系统安全有关的威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面等。操作系统安全是整个电子商务系统的软件基础,一般而言合理的配置和正确的策略是操作系统安全的基础。目前对操作系统的安全主要通过以下几个方面来实现:硬件安全机制、标识与鉴别、访问控制、最小特权管理、可信通路及安全审计等。
信息安全是指保护数据库防止不合法的使用所造成的数据泄露、更改或破坏。在企业电子商务过程中,大量的信息都被保存在数据库中,因此必需采取一定的手段来保证它们的安全。数据库系统的安全需求包括以下几个方面:完整性、保密性和可用性。完整性主要包括物理完整性和逻辑完整性,其中物理完整性是指数据不受物理故障的影响,并在灾难性破坏时可以重建和恢复;逻辑完整性是指对数据库逻辑结构的保护,使数据库能够满足完整性约束及并发操作时的数据逻辑一致性。保密性是指不允许未经授权的用户存取数据,从而造成信息泄露。可用性是指数据库应响应授权用户对数据库的正常操作。数据库系统主要通过数据库系统安全机制满足数据库系统的安全需求。数据库安全机制是用于实现数据库的各种安全策略的功能集合,通常包括:用户标识与鉴别、存取控制、数据库加密、数据库审计、备份与恢复及推理控制与隐私保护等方面的内容。
电子商务系统中的计算机网络安全性问题主要是针对计算机网络本身可能存在的问题,一般采用的应对措施是通过实施网络安全增强方案,以保证计算机网络自身的安全性为目标。目前针对计算机网络安全的防护技术主要有数据加密技术、身份识别和验证技术、防火墙技术、虚拟专用网络技术、网络安全扫描技术和网络攻击检测技术等。
三、目前电子商务系统中商务安全问题及应对措施
商务安全问题紧紧围绕传统商务活动在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的保密性(在电子商务系统交易过程中的商务信息均有保密的要求,如信用卡的账号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机)、完整性和一致性(电子交易的过程是一个完整的过程,期间产生的信息是不能被修改的必需保证其一致性)、身份的真实性和不可伪装性(网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此,能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作)及不可抵赖性(由于商情的千变万化,交易一旦达成是不能被否认的,否则必然会损害一方的利益)。
目前对电子商务过程中商务安全的保障主要是通过PKI技术来实现的。
1.PKI基础。PKI(Public Key Infrastructure,公钥基础设施)技术采用证书管理公钥,通过第三方可信任机构认证中心(Certificate Authority,CA)把用户的公钥和用户的其它标识信息捆绑在一起,用于在Internet上进行用户身份验证。通过把要在Internet上传输的数据进行加密,保证电子商务信息的保密性和完整性,通过数字签名保证参与电子商务者身份的真实性并防止抵赖。
2.PKI的组成。一个完整的PKI应用系统至少应包含以下几部分:
(1)数字认证中心CA及数字安全证书。CA是一个负责发放和管理数字安全证书的第三方权威机构。对于一个大型的应用环境,认证中心往往采用一种多层次的分级结构,各级认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。认证中心主要有以下几种功能:证书的颁发;证书的更新;证书的查询;证书的作废;证书的归档。
数字安全证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份。数字安全证书是由权威公正的第三方机构即CA中心签发的,以数字安全证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障电子商务应用的安全性。