基于计算机安全技术下的电子商务信息安全研究

基于计算机安全技术下的电子商务信息安全研究

冯国志

冯国志

（广东省清远市阳山县职业技术学校，广东清远513100）

摘要：近年来电子商务在国内外有了突飞猛进的发展，但是在电子商务飞速发展的今天，安全问题仍是制约电子商务发展的瓶颈。电子商务安全问题是个系统的概念，本文主要从技术角度阐述了电子商务信息安全问题，并提出了相应的技术解决方案。

关键词：电子商务；安全；计算机技术

中图分类号：TP393文献标识码：A文章编号：1007-9599(2010)05-0000-01

E-commerceInformationSecurityundertheComputerSecurityTechnology

FengGuozhi

(YangshanVocationalSchool,Qingyuan513100,China)

Abstract:Inrecentyears,electroniccommercehasbeenrapiddevelopmentinChinaandabroad,buttherapiddevelopmentofe-commerceToday,securityisstillabottleneckrestrictingthedevelopmentofelectroniccommerce.E-commercesecurityisasystemconcept,thispaperdescribedthetechnicalpointofviewofinformationsecurityissuesofe-commerceandthecorrespondingtechnicalsolutions.

Keywords:Electroniccommerce;Security;Computertechnology

一、电子商务安全问题基本范畴

电子商务的安全性体现在网络安全、信息加密技术以及交易的安全。电子商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。由于在互联网设计之初，只考虑方便性、开放性，使得互联网络极易受到黑客的攻击或有组织的群体的入侵，使得网络信息系统遭到破坏，信息泄露。因此，电子商务中的安全隐患大致有四种：1.信息的截获和窃取；2.信息的篡改；3.信息的假冒；4.交易抵赖。

二、计算机技术下的电子商务信息安全防范机制

（一）数据加密技术

数据加密是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，确保数据保密性的一种技术。数据加密及相关技术应用可有效解决电子商务安全中交易信息的完整性、不可抵赖性和交易身份确定性。加密和解密过程中使用的密钥分别称为加密密钥和解密密钥，按加密密钥与解密密钥的对称性可分为对称型和不对称型加密。结构完整的数据加密系统必须具有权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。

（二）身份识别技术

在网络交易中如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等，进行身份识别后，交易双方就可防止相互猜疑的情况。报文摘要技术与数据加密技术结合产生了数字签名技术，其应用原理是发送方将报文摘要X用自己的私钥加密，并将加密后的报文摘要(即数字签名)同原文一起发送给接收方，接收方用发送方的公钥解密数字签名，并对接收到的报文利用对应的同样算法生成报文摘要Y，比较X和Y，若二者相同，说明信息完整且发送者身份是真实的，否则说明信息被修改或不是该发送者发送的。由于发送者的私钥无法仿冒，同时发送者也不能否认用自己的私钥加密发送的信息，所以报文摘要和数字签名技术能够保证电子商务交易中信息的完整性和不可抵赖性。

（三）安全协议

前文说阐述加密技术仅仅提出了一种解决问题的安全框架模式，实际应用中，针对不同的网络应用，又有不同的商业实现标准，其中比较有名的就是由Visa、MasterCard和IBM等联合推出的安全电子交易协议（SET）和由Netscape、Verisign等推出的安全套接层协议（SSL）。

1.SET安全协议

SET安全协议是应用于Internet上的以银行卡为基础进行在线交易的安全标准，这就是“安全电子交易”（简称SET）。它采用公钥密码体制和X。509数字证书标准，主要应用于保障网上购物信息的安全性。由于SET提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡和借记卡的网上交易的国际安全标准。

2.SSL安全协议

SSL安全协议最初是由NetscapeCommunication公司设计开发的，又叫”安全套接层协议”，主要用于提高应用程序之间数据的安全系数。SSL安全套接层协议主要是使用公开密钥体制和X。509数字证书技术保护信息传输的机密性和完整性，SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接字的客户和服务器间事务安全的协议，它涉及所有TCP/IP应用程序。目前SSL已经被众多厂家和用户使用，已经成为通信底层协议的实际标准。

（四）网络安全扫描技术

安全扫描技术是对网络的各个环节提供可靠的分析结果，并为系统管理员提供可靠性和安全性分析报告等。包括端口扫描技术和漏洞扫描技术等。

（五）病毒防范技术

计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后，攻击者通常要在系统中植入木马或逻辑炸弹等程序，为以后攻击系统、网络提供方便条件。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测，工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。

（六）防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中。

目前的防火墙分为两大类，一类是简单的分组过滤技术，作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。另一类是应用代理服务器，其显著的优点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。通过应用防火墙技术，可以做到通过过滤不安全的服务，极大地提高网络安全和减少网络中主机的风险。但防火墙是一种基于网络边界的被动安全技术，对内部未授权访问难以有效控制，因此较适合于内部网络相对独立，且与外部网络的互连途径有限、网络服务种类相对集中的网络。

三、结语

计算机安全技术是实现电子商务交易安全的基本手段，基于数据加密技术的相关应用技术、身份识别技术、安全协议、安全扫描技术、病毒防范技术等实现了电子商务交易安全中信息的保密性、完整性、不可抵赖性和身份的确定性，规范了电子商务活动的各参与方和各种安全技术的运用。此外，需要完善法律制度、管理制度和诚信制度来保证电子商务信息安全以及推动电子商务的健康、持续发展。