电子商务信息安全保护技术探究

摘要：在当今经济生活状态下，电子商务随着信息技术的飞速发展已经成为其中不可或缺的组成元素。但从当前互联网环境来看，存在着许多潜在的安全威胁。作为极具价值的敏感信息，电子商务信息的安全保护迫在眉睫。研究电子商务信息安全保护技术，对电子商务信息安全具有重要保障意义。

关键词：信息安全；电子商务；问题；保护技术

随着互联网时代的来临，电子商务依托网络技术、通讯技术快速发展起来。所谓电子商务，正是将商务活动与电子信息技术结合起来的商务模式，相对传统商务模式来说，电子商务的整个商务过程基本都处于电子化和网络化。电子商务对传统商务模式的改变并非仅仅体现在模式的变革上，同时给经济产业结构升级带来了巨大变革。因电子商务效率较高、成本较低，能够提供更多的商机给中小型公司而迅速普及。但基于互联网本身开放性、共享性及无缝连通性等特点，存在着诸多的安全风险，而这些风险又会在一定程度上威胁着电子商务信息安全。电子商务信息安全不仅涉及其系统安全，同时涉及其应用与数据库安全，为避免潜在安全问题带来的损失与破坏，电子商务领域及互联网安全技术领域一直在致力于电子商务信息安全保护技术的研究。而在分析研究当前电子商务信息安全保护技术前，我们首先应对电子商务信息安全隐患有一定了解。

1、当前电子商务信息安全存在的隐患

电子商务的发展，给我国商务发展注入了新的活力。但因电子商务全程通过网络完成，且无纸化存档等，所以极易受到网络安全的影响。电子商务信息安全通常包括两项内容：其一为计算机网络安全，其二为商务交易安全。这两项安全环节对电子商务信息安全来说具有非常重要的作用，前者是电子商务安全的基础，后者是电子商务安全的基本保障，计算机网络安全与商务交易安全两者具有密切联系。电子商务信息安全隐患，也主要存在于计算机网络安全与商贸交易安全环节中。电子商务信息中最为常见的安全问题，是对电子商务信息的窃取与篡改。因电子商务进程中调制解调器之间传送的明文信息并未采用加密措施，入侵者即可利用这一漏洞将这些信息截取下来并对其进行分析，通过对电子商务信息规律与格式的寻找，从而掌握电子商务过程中传输的信息内容。入侵者在对信息的规律和格式掌握后，即可将两个同类型的解调器增添在之前的网络调制解调器之间。通过这措施，原网络调制解调器中的信息数据即可在入侵者的操控下传往另外一端的解调器上。在电子商务信息犯罪中，篡改信息是十分常见的犯罪，任意一个路由器或者网关上都可以被应用。在对信息进行窃取的过程中，入侵者对电子商务信息数据进行掌握后，便可对已经通过的数据信息实施随意更改，对该网上的机要信息、文件全面掌握，还可潜入对方网络内部，对合法的网络用户冒名顶替，对假冒电子商务信息进行传输或接受，造成更为严重的后果。其实，这些危及电子商务信息安全的所有行为归结来说都属于数据攻击，攻击者通过截获电子商务基本信息、通过伪造或者强制中断电子商务信息的传输，对电子商务信息进行错误的修改等，都给电子商务信息安全带来了极大隐患。基于电子商务信息安全所存在的隐患，当前电子商务对信息安全保护服务具有较为迫切的需求。电子商务要求电子商务信息具有保密性，即保证企业一些文件或商业信息的机密性，确保其不会被非法者截获或破解，以使非法者即便截获信心也无法读懂其含义，从而为电子商务企业用户隐私权提供极大的保护。此外，数据的完整性与数据的不可否认性也是电子商务信息安全保护所需要的。在传输数据的过程中，应保证数据传输中的真实性，确保其不会在中途被篡改，与原用户所发送的信息保持一致性。数据传输过程在传输与接收双方中还需要保证信息的透明与不可否认性，避免电子商务交易过程中的各种纠纷问题。此外，电子商务信息安全保护还要求确定交易者的正确性，即确定对方不是骗取信息的第三方，以对信息的丢失与泄露有效防止。

2、电子商务信息安全保护技术应用研究

为满足电子商务信息在安全保护方面的要求，需选择合适的电子商务信息安全保护技术。当前电子商务信息安全保护领域中被应用较多的技术主要为加密技术、认证技术及防火墙技术和SSL、SET等。

2.1电子商务信息安全保护中的加密技术

加密技术主要是对数据的加密，通过将敏感的明文数据通过确定的密码变换为较难识别的密文数据来保护电子商务信息安全的技术。通过对密匙的不同使用，可通过同一加密算法对同一明文进行加密，使其成为不同的密文，当需要打开密文时，即可利用密匙实施还原，让密文以明文数据的形式成现在阅读者面前，这一过程即解密。对称密钥加密和非对称密钥加密，是密匙加密技术中最为典型的两类。对称密钥技术是指控制过程中使用相同的密匙在加密与解密过程中，对密匙的保密是该种技术保密度的主要取决因素。双方在发送信息时，必须对彼此的密匙进行交换，DES，3DES等是其常用的分组密码算法。对称密匙系统不仅具有较快的加密解密速度，且在数字运算量上比较小，保密度高。不过对称密匙在管理方面比较困难，需要保存较多的密匙，容易在传递的过程中泄露密匙，对数据的安全产生直接影响。非对称密钥技术是将不同的密匙应用于加密和解密控制中，其中加密密匙具有公开性。在计算上，公开的加密密钥或密文与明文的对照对解密密匙进行推算是不可能的，利用这一点非对称密匙技术即可实现对电子商务信息安全的保护。在这种加密技术应用中，每个用户都由一个公开密匙和一个私人密匙，两个密匙不能从一个推出另一个。非对称密匙技术分配简单，便于管理，且可实现数字签名和身份认证，但在处理速度上相对对称密匙技术较慢。

2.2电子商务信息安全保护中的认证技术

电子商务中的安全交易仅仅依靠基本的加密技术，虽然可得到一定程度的保障，但这种保障却并非完全的。因此，信息鉴别和身份认证技术也是电子商务信息安全保护过程中不可或缺的。认证技术所涉及的内容较广，除数字摘要、数字签名外，数字信封、数字证书等都包含在内。认证技术在电子商务信息安全中应用，主要是为了鉴别交易者的真实身份，避免发生电子商务信息被篡改、伪造、删除等潜在风险。数字摘要技术主要是在单向哈希函数的帮助下促进电子商务信息文件的转换运算，然后对某一定固定长度的摘要码进行获取，并把其加入文件中通过信息传输给接收者，接受者需要通过双方约定好的函数进行换算，确保结果与发送来的摘要码相同即可认为文件是完整未被篡改的。数字签名即是用发送者的私钥对文件摘要进行加密，附在原文中共同传输给接受者，被加密的摘要只有用发送者的公钥才能解开，类似于其亲笔签名，对信息完整性、真实性具有一定保障作用。数字信封指发送者加密信息采用对称密匙，用接收者的公钥来对其进行加密后，接收者会受到“信封”与文件，需要通过自己的私钥将“信封”打开，在这一过程中其可得到对称密匙打开文件，保证了文件的私密性。数字证书是PKI执行机构CA所颁发的用户数字身份证，可为网上交易的不可否认性提供保障，同时为信息的完整与安全性及电子签名的可靠性提供保障。

2.3电子商务信息安全保护中的防火墙技术

在企业网络安全问题的解决方案中，防火墙技术师比较传统的技术，通过限制公共数据和服务进入防火墙内，来保护防火墙内电子商务信息的安全。防火墙技术主要包括包过滤型和应用型。在防火墙技术发展的整个过程中，都贯穿着包过滤方式，当前这种电子商务信息安全保护技术已经开发出静态与动态两种不同版本。静态版本与路由器技术同一时期产生，可对每个包是否符合已定义好的规则进行审查；动态版本通过对动态设置包过滤规则的采用，可在过滤规则中中对过滤条目自动增加或更新。应用型主要包括第一代应用网关型防火墙与第二代自适应型防火墙。前者可隐藏原本内部发出的数据，具有公认的安全性；后者可对网络中的所有数据通信进行保护筛选，最突出的优点为安全性。防火墙这种网络安全技术，除了比其他安全保护技术简单实用外，还具有相对较高的透明度，在不改变原有网络应用系统的前提下，也可以实现相应的安全保护目标。不过，与众多客户进行通信对商业活动进行展开，是电子商务企业业务的突出要求，防火墙技术对电子商务级别的信息安全防护需求可能无法独立承担，比较适合作为一种基础的信息安全保障手段。

2.4电子商务信息安全保护中的SSL、SET

电子商务信息安全保护技术中，网络通信协议保护技术也是比较常应用的一种技术。该种技术主要包括两种，即SSL（安全套接层协议）和SET（安全电子交易公告），这两种协议已经成为电子商务信息中网络安全标准。SSL针对的是计算机之间的整个对话过程，通过整体加密协议来保证电子商务信息的安全。该种协议所提供的安全保护服务主要包括三种，第一种为对数据进行保密，第二种为对客户端和服务器的合法性进行保证，第三种为对数据的完整性进行维护。在采用的方法方面，SSL安全协议通常会选择哈希函数和机密共享，通过这些方法在客户端与服务器之间对安全通道进行建立，来保证电子商务信息达到目的地的完整准确性。SET是在互联网环境下立足信用卡这一基础而展开的一种电子支付系统协议，其保障对象主要是支付信息的安全。在数字签名的作用下，SET协议对电子商务信息的完整性可最大限度地保障，并且可对消息源给予认证。SET协议对双重签名技术加以采用，可为顾客隐私提供更加严密的保护以防止发生用户信息被侵犯的情况。在双重签名技术的保障下，对于订购信息与支付信息的一致性，商家和银行需共同进行验证，防止信息被修改。且SET兼容性较强，在不同的硬件和操作系统平台上均可运行。面对互联网中无处不在的信息安全隐患，电子商务相关单位或企业在展开电子商务活动的过程中，应对信息安全隐患全面了解，加强重视，并对何时的电子商务信息安全保护技术加以选择应用，对本单位或企业的电子商务信息设法保护。

作者:陈亮 单位:河南工程学院

参考文献

[1]江文.浅谈电子商务的信息安全及技术研究现状与趋势[J].经济与社会发展，2010,(07)：30-32.

[2]张鑫.网络背景下计算机电子商务的信息安全分析[J].中国证券期货，2012,(05)：108-109.

[3]李颖鹏.论信息安全技术在电子商务中的应用——安全问题是电子商务的核心问题[J].科技资讯，2012,(10)：45-46.

[4]张波.浅谈电子商务网络信息安全关键技术[J].科技资讯，2010，(13)：91-92.

[5]李艳云.计算机安全技术在电子商务中的应用探讨[J].职业,2012,(02)：77-78.

[6]赵少华.电子商务网站信息安全问题及技术对策[J].中国证券期货，2012,(04)：59-60.

[7]徐桂.移动互联网络安全认证及安全应用中关键技术研究[J].网络安全技术与应用，2014，(01)：82-84.

[8]刘美香.信息安全技术在电子商务中的应用[J].中国西部科技，2010,(11)：20-21.