文章內(nèi)容

電子商務(wù)、信息安全問題應(yīng)當(dāng)如何處理

發(fā)布時間: 2012/5/25 19:38:59

電子商務(wù)作為一種全新的企業(yè)經(jīng)營模式具有開放性同時也帶來了諸多麻煩，比如病毒入侵、黑客攻擊、信息抵賴、信息假冒等，這些不可預(yù)知的問題給企業(yè)帶來的損失不可估量。信息安全對企業(yè)來說，在很多時候是是決定其命運的，因此要想更為有效高效地利用電子商務(wù)這個平臺，這類問題就必須引起高度重視。要想保障電子商務(wù)的信息安全，需要對計算機硬件、網(wǎng)絡(luò)訪問以及被訪問、文件輸出和接收，以及電子商務(wù)平臺等多環(huán)節(jié)進(jìn)行全面的控制和監(jiān)測。也需要相關(guān)的安全法律法規(guī)和物理安全機制相配合。
　　作為一種全新的企業(yè)經(jīng)營模式，電子商務(wù)（ Electronic Commerce）在網(wǎng)絡(luò)經(jīng)濟發(fā)展日益迅猛的當(dāng)下，應(yīng)用越來越廣泛。這種基于Internet進(jìn)行的各種商務(wù)活動模式以其特有的開放性讓商務(wù)活動相比較以往更加高效快捷，也更加方便。
　　凡事都有兩面性，電子商務(wù)所具有的開放性同時也帶來了諸多麻煩，比如病毒入侵、黑客攻擊、信息抵賴、信息假冒等，這些不可預(yù)知的問題給企業(yè)帶來的損失不可估量。據(jù)統(tǒng)計，商業(yè)信息竊取案件在以每月260%的速度增加，這以數(shù)據(jù)背后所反映出的問題直接影響制約了電子商務(wù)的發(fā)展。信息安全對企業(yè)來說，在很多時候是是決定其命運的，因此要想更為有效高效的利用電子商務(wù)這個平臺，這列問題就必須引起高度重視。
　　1 電子商務(wù)在信息安全方面的注意點
　�。�1）電子商務(wù)的保密性應(yīng)該是第一位的，信息應(yīng)該只為授權(quán)的用戶使用。對授權(quán)用戶的相關(guān)個人信息進(jìn)行嚴(yán)格保密是電子商務(wù)大范圍推廣應(yīng)用的最關(guān)鍵保障。
　　（2）商務(wù)信息的完整性，只讀特性以及修改授權(quán)問題是電子商務(wù)信息需要攻克的一大難關(guān)。信息在傳輸過程中必須保持原內(nèi)容，不能因技術(shù)、環(huán)境以及刻意原因而輕易被更改。否則交易的平臺本身就存在不公平。
　　（3）真實可靠的信息時商務(wù)活動中必備的，而電子商務(wù)在這方面顯得更為薄弱，如何保證信息未經(jīng)病毒文件感染、能夠正常使用，是電子商務(wù)安全保障環(huán)節(jié)的又一課題。
　�。�4）交易誠信問題也存在于隔空交易當(dāng)中，電子商務(wù)信息在傳輸當(dāng)中，保證傳輸速度和內(nèi)容真實的情況下，交易方不能對已完成的交易操作產(chǎn)生反悔，一旦因商務(wù)平臺外的問題二取消或質(zhì)疑交易操作，對方的利益將蒙受損失。
　　2 電子商務(wù)信息安全的防范處理方法
　�。�1）針對病毒的技術(shù)：作為電子商務(wù)安全的最大威脅，對于計算機病毒的防范市重中之重。對于病毒，處理態(tài)度應(yīng)該以預(yù)防為主，查殺為輔。因為病毒的預(yù)防工作在技術(shù)層面上臂查殺要更為簡單。多種預(yù)防措施的并行應(yīng)用很重要，比如對全新計算機硬件、軟件進(jìn)行全面的檢測；利用病毒查殺軟件對文件進(jìn)行實時的掃描；定期進(jìn)行相關(guān)數(shù)據(jù)備份；服務(wù)器啟動采取硬盤啟動；相應(yīng)網(wǎng)絡(luò)目錄和文件設(shè)置相應(yīng)的訪問權(quán)限等等。同時在病毒感染時保證文件的及時隔離。
　　在計算機系統(tǒng)感染病毒的情況下，第一時間清除病毒文件并及時恢復(fù)系統(tǒng)。而在清除病毒時也要注意盡可能找出病毒宿主程序；防止文件型病毒感染其他程序，防止清除過程中刪除有用文件等等。
　�。�2）防火墻應(yīng)用：經(jīng)過幾年的發(fā)展和推廣，防火墻是已經(jīng)成為目前最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。防火墻是在多個網(wǎng)絡(luò)間實施訪問控制的組件集合。其目的是在網(wǎng)絡(luò)之間建立一個控制關(guān)卡，以“允許”、“拒絕”等選項口令對進(jìn)出內(nèi)部網(wǎng)的訪問進(jìn)行審查控制，以此來防止非法用戶侵入，保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備不被破壞，增強企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。
　�。�3）數(shù)據(jù)加密技術(shù)的引入：數(shù)據(jù)加密（Data encrypt）是把原始數(shù)據(jù)通過某種算法進(jìn)行再組織，再傳輸在網(wǎng)絡(luò)公共信道上。這樣處理之后，當(dāng)有人惡意接收時，由于沒有密鑰，非法接受者無法得到文件的原始數(shù)據(jù)而不能達(dá)到其非法目的。而合法接收者則可以利用密鑰進(jìn)行解密，得到最真實的原始數(shù)據(jù)。
　　數(shù)據(jù)加密技術(shù)在一定程度上保證了文件數(shù)據(jù)的私密性，讓非法接受者竊取文件后無法應(yīng)用。不過密匙的保密又成了另一難題，非法接收者可能會通過破譯方法獲取密鑰。因此，為了最大程度上降低密匙被破譯的危險，需要建立一套嚴(yán)密的密鑰管理機制。一方面要提高相關(guān)工作人員的職業(yè)素養(yǎng)，另一方面要加長密鑰數(shù)位的長度。密鑰越長越安全。不過越長的密匙所導(dǎo)致的加密和解密的時間自然也就越長，這樣就會影響數(shù)據(jù)傳輸?shù)男�。因此，用多長多復(fù)雜的密匙需要根據(jù)公司和商務(wù)內(nèi)容的具體情況和對安全級別要求的不同程度來選擇。
　　目前主流的加密體制分為私鑰和公鑰兩大類：相對來說，公鑰加密體制為雙鑰或非對稱加密體制，接收方不能進(jìn)行篡改偽造加密的數(shù)據(jù)，這樣就為數(shù)據(jù)的保密、完整和不可否認(rèn)性加上了保險。盡管有諸多好處，但目前能夠兼容不同公司不同商務(wù)活動形式的公鑰并不多，不兼容的公鑰加密會嚴(yán)重影響電子商務(wù)的交易效率。
　�。�4）CA安全認(rèn)證：目前對于解決電子商務(wù)的安全問題，國際通行的做法是采用CA安全認(rèn)證系統(tǒng)。CA認(rèn)證中心是一個受絕大多數(shù)人信任的第三方機構(gòu)，在電子商務(wù)中屬于仲裁機構(gòu)。在電子商務(wù)系統(tǒng)中，所有的實體數(shù)字證書都由CA證書授權(quán)中心分發(fā)且簽名。
　�。�5）虛擬私有網(wǎng)技術(shù)：虛擬私有網(wǎng)（VPN）使用的是開放公共信道，并通過附加協(xié)議處理，向用戶提供的虛擬私有網(wǎng)絡(luò)。虛擬私有網(wǎng)的實現(xiàn)過程使用了安全隧道技術(shù)、信息加密技術(shù)等眾多技術(shù)。其中安全隧道技術(shù)是核心技術(shù)，它使用加密與封裝相結(jié)合的技術(shù)對用戶數(shù)據(jù)進(jìn)行安全保護(hù)。
　�。�6）可控的自主產(chǎn)品：相關(guān)信息產(chǎn)品國產(chǎn)化對于我們企業(yè)的商務(wù)安全乃至對于我們的互聯(lián)網(wǎng)發(fā)展來說都是極其重要的，自主信息產(chǎn)品的成功研發(fā)并廣泛應(yīng)用是信息安全的根本�；谧灾骱诵募夹g(shù)的信息安全技術(shù)下，進(jìn)行相關(guān)產(chǎn)品的研發(fā)與實際應(yīng)用必須加強。要將這一課題發(fā)展成為一個產(chǎn)業(yè)，且是一個獨立自主的產(chǎn)業(yè)，只有這樣才能建立獨立自主的信息安全環(huán)境。
　　在這方面，除了相關(guān)企業(yè)要加強研發(fā)，應(yīng)用企業(yè)要加強合作意識之外，國家也要制定相關(guān)政策，加大這方面自主知識產(chǎn)權(quán)產(chǎn)品的投入，拖入包括資金技術(shù)和人力等多方面。
　　3 結(jié)語
　　綜上所述，要想保障電子商務(wù)的信息安全，需要對計算機硬件、網(wǎng)絡(luò)訪問以及被訪問、文件輸出和接收，以及電子商務(wù)平臺等多環(huán)節(jié)進(jìn)行全面的控制和監(jiān)測。
　　在此基礎(chǔ)上，不但要開發(fā)出有效網(wǎng)絡(luò)安全軟件并自主掌控核心技術(shù)，也要相關(guān)的安全法律法規(guī)和物理安全機制相配合，并在技術(shù)層面上加大對相關(guān)科研機構(gòu)和科研氛圍的投入，才能保證電子商務(wù)保持現(xiàn)有的發(fā)展速度，并更加全面更加健康的應(yīng)用到我們的企業(yè)商務(wù)活動中。