電子商務網(wǎng)絡信息安全問題

PAGEPAGE1電子商務網(wǎng)絡信息安全問題【摘要】構筑安全電子商務信息環(huán)境是網(wǎng)絡時代發(fā)展到一定階段的“瓶頸”性課題。本文側重討論了其中的信息安全技術、數(shù)字認證、信息安全協(xié)議、信息安全對策等核心問題?！娟P鍵詞】信息安全信息安全技術數(shù)字認證信息安全協(xié)議信息安全對策通俗的說，所謂電子商務，就是在網(wǎng)上開展商務活動－當企業(yè)將它的主要業(yè)務通過企業(yè)內(nèi)部網(wǎng)（Intranet）、外部網(wǎng)（Extranet）以及Internet與企業(yè)的職員、客戶供銷商以及合作伙伴直接相連時，其中發(fā)生的各種活動就是電子商務。電子商務是基于Internet/Intranet或局域網(wǎng)、廣域網(wǎng)、包括了從銷售、市場到商業(yè)信息管理的全過程。通過為一大群顧客和供應商提供一個通用通訊環(huán)境的方法可以發(fā)揮電子商務的獨一無二的潛力。今天，網(wǎng)上有數(shù)以千計的面向消費者和面向交易的商務站點，并且這個數(shù)目正在快速增長。電子商務正成為世界新熱點,但其安全性也隨著信息化的深入也隨之要求愈高了。一、電子商務中的信息安全技術電子商務的信息安全在很大程度上依賴于技術的完善，這些技術包括：密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數(shù)據(jù)保護技術、軟件保護技術、病毒檢測及清除技術、內(nèi)容分類識別和過濾技術、網(wǎng)絡隱患掃描技術、系統(tǒng)安全監(jiān)測報警與審計技術等。1、防火墻技術。防火墻（Firewall）是近年來發(fā)展的最重要的安全技術，它的主要功能是加強網(wǎng)絡之間的訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡（被保護網(wǎng)絡）。所以它是網(wǎng)際哨兵。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進行檢查，來決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。簡單防火墻技術可以在路由器上實現(xiàn)，而專用防火墻提供更加可靠的網(wǎng)絡安全控制方法。防火墻的安全策略有兩條。一是“凡是未被準許的就是禁止的”。防火墻先是封閉所有信息流，然后審查要求通過的信息，符合條件的就讓通過；二是“凡是未被禁止的就是允許的”，防火墻先是轉(zhuǎn)發(fā)所有的信息，然后再逐項剔除有害的內(nèi)容，被禁止的內(nèi)容越多，防火墻的作用就越大。網(wǎng)絡是動態(tài)發(fā)展的，安全策略的制定不應建立在靜態(tài)的基礎之上。在制定防火墻安全規(guī)則時，應符合“可適應性的安全管理”模型的原則，即：安全=風險分析+執(zhí)行策略+系統(tǒng)實施+漏洞監(jiān)測+實時響應。防火墻技術的不足有三。一是防火墻不能防止繞過防火墻的攻擊；二是防火墻經(jīng)不起人為因素的攻擊。由于防火墻對網(wǎng)絡安全實施單點控制，因此可能受到黑客的攻擊；三是防火墻不能保證數(shù)據(jù)的秘密性，不能對數(shù)據(jù)進行鑒別，也不能保證網(wǎng)絡不受病毒的攻擊。2、加密技術。數(shù)據(jù)加密被認為是最可靠的安全保障形式，它可以從根本上滿足信息完整性的要求，是一種主動安全防范策略。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)。通過使用不同的密鑰，可用同一加密算法，將同一明文加總結為：一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶/服務器應用程序提供了客戶端與服務的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。2、安全電子交易公告。安全電子交易公告（SET：SecureElectronicTransactions）是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證。SET已成為全球網(wǎng)絡的工業(yè)標準。3、安全超文本傳輸協(xié)議（S-HTTP）。依靠密鑰的加密，保證Web站點間的交換信息傳輸?shù)陌踩?。SHTTP對HT-TP的安全性進行了擴充，增加了報文的安全性，是基于SSL技術的。該協(xié)議向互聯(lián)網(wǎng)的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。4、安全交易技術協(xié)議（STT）。STT將認證與解密在瀏覽器中分離開，以提高安全控制能力。5、UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。在ISO發(fā)布的IS09735（即UN/EDI-FACT語法規(guī)則）新版本中，包括描述UN/EDIFACT中實施安全措施的五個新部分，即：第五部分——批式電子商務（可靠性、完整性和不可抵賴性）的安全規(guī)則；第六部分——安全鑒別與確認報文（AUTACK）；第七部分——批式電子商務（機密性）的安全規(guī)則；第九部分——安全密鑰和證書管理報告（KEYMAN）；第十部分——交互式電子商務的安全規(guī)則。6、《電子交換貿(mào)易數(shù)據(jù)統(tǒng)一行為守則》（UNCID）。UNCID由國際商會制定，該守則第六條、第七條、第九條分別就數(shù)據(jù)的保密性、完整性及貿(mào)易雙方簽訂協(xié)議等問題做了規(guī)定。四、電子商務中的信息安全對策1、提高對網(wǎng)絡信息安全重要性的認識。信息技術的發(fā)展，使網(wǎng)絡逐漸滲透到社會的各個領域，在未來的軍事和經(jīng)濟競爭與對抗中，因網(wǎng)絡的崩潰而促成全部或局部的失敗，決非不可能。我們在思想上要把信息資源共享與信息安全防護有機統(tǒng)一起來，樹立維護信息安全就是保生存、促發(fā)展的觀念。我國公民中的大多數(shù)人還是“機盲”、“網(wǎng)盲”，另有許多人僅知道一些關于網(wǎng)絡的膚淺知識，或僅會進行簡單的計算機操作，對網(wǎng)絡安全沒有深刻認識。應該以有效方式、途徑在全社會普及網(wǎng)絡安全知識，提高公民的網(wǎng)絡安全意識與自覺性，學會維護網(wǎng)絡安全的基本技能。2、加強網(wǎng)絡安全管理。我國網(wǎng)絡安全管理除現(xiàn)有的部門分工外，要建立一個具有高度權威的信息安全領導機構。只有在中央建立起這樣一個組織，才能有效地統(tǒng)一、協(xié)調(diào)各部門的職能，研究未來趨勢，制定宏觀政策，實施重大決定。對于計算機網(wǎng)絡使用單位，要嚴格執(zhí)行《中華人民共和國計算機信息系統(tǒng)安全保護條例》與《計算機信息網(wǎng)絡安全保護管理辦法》，建立本單位、本部門、本系統(tǒng)的組織領導管理機構，明確領導及工作人員責任，制定管理崗位責任制及有關措施，嚴格內(nèi)部安全管理機制。具體的安全措施如：把好用戶入網(wǎng)關、嚴格設置目錄和文件訪問的權限，建立對應的屬性措施，采用控制臺加密封鎖，使文件服務器安全可靠；用先進的材料技術，如低阻材料或梯性材料將隔離設備屏蔽起來，降低或杜絕重要信息的泄露，防止病毒信息的入侵；運用現(xiàn)代密碼技術，對數(shù)據(jù)庫與重要信息加密；采用防火墻技術，在內(nèi)部網(wǎng)和外部網(wǎng)的界面上構造保護層。3、加快網(wǎng)絡安全專業(yè)人才的培養(yǎng)。我國需要大批信息安全人才來適應新的網(wǎng)絡安全保護形勢。高素質(zhì)的人才只有在高水平的研究教育環(huán)境中迅速成長，只有在高素質(zhì)的隊伍保障中不斷提高。應該加大對有良好基礎的科研教育基地的支持和投入，多出人才，多出成果。在人才培養(yǎng)中，要注重加強與國外的經(jīng)驗技術交流，及時掌握國際上最先進的安全防范手段和技術措施，確保在較高層次上處于主動。要加強對內(nèi)部人員的網(wǎng)絡安全培訓，防止堡壘從內(nèi)部攻破。4、開展網(wǎng)絡安全立法和執(zhí)法。一是要加快立法進程，健全法律體系。自1973年世界上第一部保護計算機安全法問世以來，各國與有關國際組織相繼制定了一系列的網(wǎng)絡安全法規(guī)。我國政府也十分重視網(wǎng)絡安全立法問題，1996年成立的國務院信息化工作領導小組曾設立政策法規(guī)組、安全工作專家組，并和國家保密局、安全部、公安部等職能部門進一步加強了信息安全法制建設的組織領導與分工協(xié)調(diào)。我國已經(jīng)頒布的網(wǎng)絡法規(guī)如：《計算機軟件保護條例》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國信息網(wǎng)絡國際聯(lián)網(wǎng)安全管理暫行規(guī)定》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理辦法》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》等。1997年10月1日起生效的新《刑法》增加了專門針對信息系統(tǒng)安全的計算機犯罪的規(guī)定：違犯國家規(guī)定，侵入國家事務、國防建設、尖端科學領域的計算機系統(tǒng)，處三年以下有期徒刑或拘役；違犯國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機系統(tǒng)不能正常運行，后果嚴重的處五年以下有期徒刑，后果特別嚴重的處五年以上有期徒刑；違犯國家規(guī)定，對計算機信息系統(tǒng)存儲、處理或者傳輸?shù)臄?shù)據(jù)與應用程序進行刪除、修改、增加操作，后果嚴重的應負刑事責任。這些法規(guī)對維護網(wǎng)絡安全發(fā)揮了重要作用，但不健全之處還有許多。一是應該結合我國實際，吸取和借鑒國外網(wǎng)絡信息安全立法的先進經(jīng)驗，對現(xiàn)行法律體系進行修改與補充，使法律體系更加科學和完善；二是要執(zhí)法必嚴，違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機關辦案的制度，提高執(zhí)法的效率和質(zhì)量。5、抓緊網(wǎng)絡安全基礎設施建設。一個網(wǎng)絡信息系統(tǒng)，不管其設置有多少道防火墻，加了多少級保護或密碼，只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產(chǎn)的，就沒有安全可言；這正是我國網(wǎng)絡信息安全的致命弱點。國民經(jīng)濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現(xiàn)。為此，需要建立中國的公開密鑰基礎設施、信息安全產(chǎn)品檢測評估基礎設施、應急響應處理基礎設施等。6、把好網(wǎng)絡建設立項關。我國網(wǎng)絡建設立項時的安全評估工作沒有得到應有重視，這給出現(xiàn)網(wǎng)絡安全問題埋下了伏筆。在對網(wǎng)絡的開放性、適應性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關的同時，在立項時更應注重對網(wǎng)絡的可靠性、安全性評估，力爭將安全隱患杜絕于立項、決策階段。7、建立網(wǎng)絡風險防范機制。在網(wǎng)絡建設與經(jīng)營中，因為安全技術滯后、道德規(guī)范蒼白、法律疲軟等原因，往往會使網(wǎng)絡經(jīng)營陷于困境，這就必須建立網(wǎng)絡風險防范機制。為網(wǎng)絡安全而產(chǎn)生的防止和規(guī)避風險的方法有多種，但總的來講不外乎危險產(chǎn)生前的預防、危險發(fā)生中的抑制和危險發(fā)生后的補救。有學者建議，網(wǎng)絡經(jīng)營者可以在保險標的范圍內(nèi)允許標保的財產(chǎn)進行標保，并在出險后進行理賠。8、強化網(wǎng)絡技術創(chuàng)新。如果在基礎硬件、芯片方面不能自主，將嚴重影響我們對信息安全的監(jiān)控。為了建立起我國自主的信息安全技術體系，利用好國內(nèi)外兩個資源，需要以我為主，統(tǒng)一組織進行信息安全關鍵技術攻關，以創(chuàng)新的思想，超越固有的約束，構筑具有中國特色的信息安全體系。特別要重點研究關鍵芯片與內(nèi)核編程技術和安全基礎理論。9、注重網(wǎng)絡建設的規(guī)范化。沒有統(tǒng)一的技術規(guī)范，局部性的網(wǎng)絡就不能互連、互通、互動，沒有技術規(guī)范也難以形成網(wǎng)絡安全產(chǎn)業(yè)規(guī)模。目前，國際上出現(xiàn)許多關于網(wǎng)絡安全的技術規(guī)范、技術標準，目的就是要在統(tǒng)一的網(wǎng)絡環(huán)境中保證信息的絕對安全。我們應從這種趨勢中得到啟示，在同國際接軌的同時，拿出既符合國情又順應國際潮流的技術規(guī)范。10、建設網(wǎng)絡安全研究基地。應該把我國現(xiàn)有的從事信息安全研究、應用的人才很好地組織起來，為他們創(chuàng)造更優(yōu)良的工作學習環(huán)境，調(diào)動他們在信息安全創(chuàng)新中的積極性。一是要落實相關政策，在收入、福利、住房、職稱等方面采取優(yōu)惠政策；二是在他們的科研立項、科研經(jīng)費方面采取傾斜措施；三是創(chuàng)造有利于研究的硬環(huán)境，如儀器、設備等；四是提供學習交流的機會。11、促進網(wǎng)絡安全產(chǎn)業(yè)的發(fā)展。扶持具有中國特色的信息安全產(chǎn)業(yè)的發(fā)展是振興民族信息產(chǎn)業(yè)的一個切入點，也是維護網(wǎng)絡安全的必要對策。為了加速發(fā)展我國的信息安全產(chǎn)業(yè)，需要盡快解決資金投入、對外合作