如何保障电子商务的信息安全?
2011-07-11  作者:cio时代 

  凡事都有两面性,电子商务所具有的开放性同时也带来了诸多麻烦,比如病毒入侵、黑客攻击、信息抵赖、信息假冒等,这些不可预知的问题给企业带来的损失不可估量。据统计,商业信息窃取案件在以每月260%的速度增加,这以数据背后所反映出的问题直接影响制约了电子商务的发展。信息安全对企业来说,在很多时候是是决定其命运的,因此要想更为有效高效的利用电子商务这个平台,这些问题就必须引起高度重视。


  1电子商务所面临的信息安全威胁


  (1)平台的自然物理威胁:由于电子商务通过网络传输进行,因此诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁难以预测,而这些威胁将直接影响信息安全。此外,人为破坏商务系统硬件,篡改删除信息内容等行为,也会给企业造成损失。


  此外,通过电磁辐射、搭线以及串音等手段等都可以让恶意攻击者通过接收装置来截取企业的信息,或者通过分析文件代码,获取账户密码等私密信息,以企业身份进行消费或发言,这对于企业的损失更是难以估计的。


  (2)商务软件本身存在的漏洞:任何一种商务软件的程序都具有复杂性和编程多样性,而对于程序而言,越复杂意味着漏洞出现的可能性越大。这样的漏洞加上操作系统本身存在的漏洞,再加上TCP/IP通信协议的先天安全缺陷,商务信息安全就像是一扇扇可打开的门,遭遇威胁的可能性随着计算机网络技术的不断普及而越来越大。


  (3)黑客入侵:在诸多威胁中,病毒式最不可控制的,其主要作用是损坏计算机文件,且具有繁殖功能。配合越来越便捷的网络环境,计算机病毒的破坏力与日俱增。而目前黑客所惯用的木马程序则更有目的性,本地计算机所记录的登录信息都会被木马程序篡改,从而造成信息之外的文件和资金遭窃。


  (4)安全环境恶化:由于在计算机及网络技术方面发展较为迟缓,我国在很多硬件核心设备方面依然以进口采购为主要渠道,不能自主生产也意味着不能自主控制,除了生产技术、维护技术也相应依靠国外引进,这也就让国内的电子商务无法看到眼前的威胁以及自身软件的应付能力。


  2电子商务在信息安全方面的注意点


  (1)电子商务的保密性应该是第一位的,信息应该只为授权的用户使用。对授权用户的相关个人信息进行严格保密是电子商务大范围推广应用的最关键保障。


  (2)商务信息的完整性,只读特性以及修改授权问题是电子商务信息需要攻克的一大难关。信息在传输过程中必须保持原内容,不能因技术、环境以及刻意原因而轻易被更改。否则交易的平台本身就存在不公平。


  (3)真实可靠的信息时商务活动中必备的,而电子商务在这方面显得更为薄弱,如何保证信息未经病毒文件感染、能够正常使用,是电子商务安全保障环节的又一课题。


  (4)交易诚信问题也存在于隔空交易当中,电子商务信息在传输当中,保证传输速度和内容真实的情况下,交易方不能对已完成的交易操作产生反悔,一旦因商务平台外的问题二取消或质疑交易操作,对方的利益将蒙受损失。


  3电子商务信息安全的防范处理方法


  (1)针对病毒的技术:作为电子商务安全的最大威胁,对于计算机病毒的防范市重中之重。对于病毒,处理态度应该以预防为主,查杀为辅。因为病毒的预防工作在技术层面上臂查杀要更为简单。多种预防措施的并行应用很重要,比如对全新计算机硬件、软件进行全面的检测;利用病毒查杀软件对文件进行实时的扫描;定期进行相关数据备份;服务器启动采取硬盘启动;相应网络目录和文件设置相应的访问权限等等。同时在病毒感染时保证文件的及时隔离。


  在计算机系统感染病毒的情况下,第一时间清除病毒文件并及时恢复系统。而在清除病毒时也要注意尽可能找出病毒宿主程序;防止文件型病毒感染其他程序,防止清除过程中删除有用文件等等。


  (2)防火墙应用:经过几年的发展和推广,防火墙是已经成为目前最重要的网络防护设备。防火墙是在多个网络间实施访问控制的组件集合。其目的是在网络之间建立一个控制关卡,以“允许”、“拒绝”等选项口令对进出内部网的访问进行审查控制,以此来防止非法用户侵入,保护内部网络设备不被破坏,增强企业内部网络的安全性。


  (3)数据加密技术的引入:数据加密(Dataencrypt)是把原始数据通过某种算法进行再组织,再传输在网络公共信道上。这样处理之后,当有人恶意接收时,由于没有密钥,非法接受者无法得到文件的原始数据而不能达到其非法目的。而合法接收者则可以利用密钥进行解密,得到最真实的原始数据。


  数据加密技术在一定程度上保证了文件数据的私密性,让非法接受者窃取文件后无法应用。不过密匙的保密又成了另一难题,非法接收者可能会通过破译方法获取密钥。因此,为了最大程度上降低密匙被破译的危险,需要建立一套严密的密钥管理机制。一方面要提高相关工作人员的职业素养,另一方面要加长密钥数位的长度。密钥越长越安全。不过越长的密匙所导致的加密和解密的时间自然也就越长,这样就会影响数据传输的效率。因此,用多长多复杂的密匙需要根据公司和商务内容的具体情况和对安全级别要求的不同程度来选择。


  目前主流的加密体制分为私钥和公钥两大类:相对来说,公钥加密体制为双钥或非对称加密体制,接收方不能进行篡改伪造加密的数据,这样就为数据的保密、完整和不可否认性加上了保险。尽管有诸多好处,但目前能够兼容不同公司不同商务活动形式的公钥并不多,不兼容的公钥加密会严重影响电子商务的交易效率。


  (4)CA安全认证:目前对于解决电子商务的安全问题,国际通行的做法是采用CA安全认证系统。CA认证中心是一个受绝大多数人信任的第三方机构,在电子商务中属于仲裁机构。在电子商务系统中,所有的实体数字证书都由CA证书授权中心分发且签名。


  (5)虚拟私有网技术:虚拟私有网(VPN)使用的是开放公共信道,并通过附加协议处理,向用户提供的虚拟私有网络。虚拟私有网的实现过程使用了安全隧道技术、信息加密技术等众多技术。其中安全隧道技术是核心技术,它使用加密与封装相结合的技术对用户数据进行安全保护。


  (6)可控的自主产品:相关信息产品国产化对于我们企业的商务安全乃至对于我们的互联网发展来说都是极其重要的,自主信息产品的成功研发并广泛应用是信息安全的根本。基于自主核心技术的信息安全技术下,进行相关产品的研发与实际应用必须加强。要将这一课题发展成为一个产业,且是一个独立自主的产业,只有这样才能建立独立自主的信息安全环境。


  在这方面,除了相关企业要加强研发,应用企业要加强合作意识之外,国家也要制定相关政策,加大这方面自主知识产权产品的投入,拖入包括资金技术和人力等多方面。


  4结语


  综上所述,要想保障电子商务的信息安全,需要对计算机硬件、网络访问以及被访问、文件输出和接收,以及电子商务平台等多环节进行全面的控制和监测。


  在此基础上,不但要开发出有效网络安全软件并自主掌控核心技术,也要相关的安全法律法规和物理安全机制相配合,并在技术层面上加大对相关科研机构和科研氛围的投入,才能保证电子商务保持现有的发展速度,并更加全面更加健康的应用到我们的企业商务活动中。