爱华网电子商务当前面临的安全问题及其解决途径
作者单位:湘潭大学兴湘学院省市:湖南省湘潭市邮编:411105
摘要:随着Internet的发展和普及,电子商务得到快速发展和广泛应用,为现代经济提供了新的增长点。由于Internet的开放性,安全问题仍然是制约电子商务发展的主要问题。其面临的安全问题有系统设备故障、病毒、黑客程序、交易过程中信息的泄露、截获、篡改、假冒以及交易的抵赖等。为了给电子商务一个安全稳定的发展环境,人们从技术、管理、法律法规等各方面采取系统的措施对潜在的安全问题进行防范的排除。然而安全只是一个相对的概念,在电子商务未来的发展中,仍然会遇到各种安全问题,人们必须有充分的准备从容面对,为电子商务的发展扫除障碍。
关键词:电子商务安全;物理层;逻辑层;安全套接层协议;安全电子交易协议
The Safety Problems EC FacesAt Present And The Way of Solving Them
Abstract:With thedevelopment of Internet, EC is improving fast and used widely. Itsuplies new power to move modern society and economy forword.Becouse of the openness of Internet, safety problems are still theessential problems to limit the improvement of EC. The safetyproblems that EC faces contain the breakdown of system equipment,virus, hacker procedure,the lose, intercepting, change and palmingoff of information and dening in the trade. To give EC a safe andsteady development place, people manage to adopt a series ofmeasure to defend and remove the potential safety problem. Butsafety is only a relative conception. In the future development ofEC, there are still some safety problem. So people must havesufficient preparing to face them and clean away the obstacle whichstope EC from developping.
Keyward:Safety ofEC;Physical Floor;Logic Floor;Secure Sockets Layer;SecurityElectronic Transaction
一、电子商务安全的内容以及面临的安全问题
随着电子技术和国际互联网的发展,信息技术作为工具被引入商贸活动中,产生了电子商务(Electronic Commerce, EC; Electronic Business,EB)。电子商务的产生和发展使得大多数人真正体会到步入信息时代的感觉。因为它大大地改变了传统的商务模式,提高了交易效率,降低了交易成本,给人们带来更多的方便和快捷。网上购物、网上投资、网上银行、网上证券交易、电子政务等基于电子商务的产物已经大量产生,发展迅速,渐渐地甚至已经改变了人们的生活方式和社会经济的发展。
但在电子商务的发展过程中有一个挥之不去 的困扰,那就是它的安全问题。
因为早期的计算机网络的作用是数据共享,并促进大学、政府研究和开发机构军事部门的科学研究工作,只考虑方便性、开放性,所以那时制定的网络协议几乎没有注意到安全性问题。基于这种网络的电子商务系统便时刻面临着各种各样的安全风险。如系统中断,信息的篡改,信息的截获和窃取,信息假冒,信息中断和交易抵赖等。为了保障电子商务过程的顺利进行,实现电子商务的保密性、完整性、可用性、真实性、不可抵赖性,就必须采取措施,解决电子商务安全问题。
电子商务系统是建立在计算机系统之上的商务系统,从逻辑上看可以分成底层的物理系统和上层的业务逻辑系统,那么电子商务系统的安全措施也分成两个层次:一个是保障底层的物理系统,也就是计算机网络系统的安全;另一个是保障上层业务逻辑系统的安全,也就是保证商务活动在网上的顺利展开。第一层安全措施是安全电子商务系统的基础,它保障了人们进行网上交易的虚拟场所的安全;第二层安全措施是安全电子商务的前提,它提供了网上交易不同于传统交易的规则,保证了网上交易过程的安全。这两方面的安全措施缺一不可,共同为安全电子商务活动的开展保驾护航。
到目前为止,人们针对出现过的网络安全问题和某些潜在的安全问题已经采取了许多措施,开发了一些安全技术进行解决或防范,使得网络的安全系数大大提高。如防火墙技术,虚拟专用网,安全路由器以及病毒防治技术等。但世上没有一劳永逸的事情,对于网络安全问题的解决与防范也同样如此,因为它受到各种因素的影响。这些因素,有些是可以控制的,有些则无法控制;有些可以预料,有些则无法预料。目前,在物理层上就有三大类常见的不安全因素:(1)自然灾害(比如地震、火灾、水灾等),物理损坏(比如硬盘损坏、设备使用寿命到期、外力破损等),设备故障。(2)电磁辐射、乘机而入、痕迹泄露等。(3)操作失误,意外疏漏。正是由于这些以及其他的不稳定因素的存在,使得网络安全问题的出现带有突发性,隐蔽性等特点,让人防不胜防。
例如2006年12月,南海海域发生7.2级地震,受到地震的强烈影响,中美海缆,亚太1号,亚太2号海缆等多条国际海底通信受到严重影响。由于海底光缆抢修难度较大,光缆中断造成的不良影响持续了两三周的时间,所造成的损失将以亿计。这次事故充分暴露了全球通信支持系统的脆弱性。虽然如此,但目前还没有更好的信息传输方式来代替光缆,以满足全球规模日渐庞大的通信需求。据息,2006年12月中旬,包括中国网通、中国联通等中美韩三国六大电信运营商已经达成协议,共同建立一条连接中美的首个兆兆级海底光缆系统——跨太平洋直达光缆系统。该光缆长达1.12万公里,耗资约5亿美元,是现有的中美海底光缆容量的60多倍,将在奥运会前夕启用。这样可以减少对单条或几条光缆的依赖性,增强通信安全系数。
病毒可以说是网络安全永远的痛。2007年初,一种名叫“熊猫烧香”的病毒肆虐网络,几百万电脑用户深受其害。随着病毒作者被捕和专杀工具的推出,该病毒的蔓延才得到有效压制。一波刚平,一波又起。另一种新的病毒“灰鸽子”于2007年2月以更强势的攻击冲击网络。据说其危害性比“熊猫烧香”大10倍。金山毒霸总裁雷军说,在“灰鸽子”的身后已形成一条病毒制造,病毒贩卖,技术培训的黑色产业链,其危害性可想而知。对于这种病毒,除了加强技术上的查杀外,还要加强法律的作。目前《计算机信息网络国际联网安全保护管理办法》中只规定制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定。这也是“灰鸽子”敢在网上公开传播的重要原因。因此加强和完善网络安全方面的法律法规势在必行。
二、物理层上的安全措施
网络安全是一个涉及面很广的问题,出现问题不能仅仅头痛医头,脚痛医脚。要想达到安全与保密的目的,必须同时从政策法规,管理,技术这三个层次上采取有效措施。高层的安全功能为底层的安全功能提供保护。因此可以考虑从下面几个方面入手。
1.先进的技术是网络安全与保密的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务的种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全体系结构。为了适应网络技术的发展,国际标准化组织专业委员会根据开放系统互联模型(OSI)制定了一个网络安全体系结构。同时,加强入网前的检测和评估也是保障网络信息安全与保密的重要措施,它能够把不符合要求的设备或系统拒之门外。
2.严格的安全管理。各用户单位应建立相应的网络安全管理办法,加强内部管理;建立合适的网络安全管理系统;建立安全审计和跟踪体系,提高整体网络安全意识。安全管理既要保证网络用户和网络资源不被非法使用,又要保证网络管理系统本身不被未经授权访问。网络安全管理的内容主要包括:网络实体的安全管理(保证计算机设备和传输设备安全)和软件的安全管理(保证系统软件,通信软件和应用软件的安全)。
3.国家和行业部门制定严格的法律法规。计算机网络是一种新生事物,它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络犯罪,必须建立与网络安全相适应的法律法规,使非法分子慑于法律,不敢轻举妄动。
三、业务逻辑层上的安全措施
为了保障上层业务逻辑系统安全,人们先后采取了一系列措施。如加密算法(对称密钥加密、非对称密钥加密)、报文摘要算法、安全套接层协议(SSL)、数字证书以及SET协议等。
加密算法为保密重要的数据信息提供了一种有效的方法。加密算法包括对称密钥加密和非对称密钥加密。对称密钥加密的典型算法有数据加密标准(DES),先进加密算法(AES)(也称Rijndael算法)和IDEA密码算法;非对称密钥加密的典型算法有RSA公钥密码算法,EIGamal公钥密码算法/DSA/DSS和椭圆曲线密码算法(ECC)。说到加密算法的安全性,不能用静止的眼光看问。加密算法的设计与破译这对此消彼长的因素影响着其安全性。随着破译技术和计算机技术的发展,曾经被认为是安全的加密算法也许到现在就不再安全。1997年,破译者用穷举法借用网络计算在短短的20余小时内就破译56位的DES。所以说DES不再安全了。而且对称加密算法存在一些弊端。比如IDEA在电子商务交易过程中存在以下弊端:
1.要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。这使得双方可能需要借助于邮件和电话等其他相对不够安全的手段来进行协商。
2.密钥的数目难于管理。
3.IDEA一般不能提供信息完整性的鉴别。它无法验证发送者和接收者的身份。
4.对称密钥的管理和分发工作是一件具有潜在危险的和繁琐的过程。
公钥加密的问世解决了上述对称密钥加密的弊端。当前最著名,应用最广泛的公钥系统是RSA系统,它的安全性是基于大整数因子分解的困难性。虽然RSA进一步提高了数据的保密性。但仍有三种事物的发展会威胁到RSA的安全性:分解技术,计算机能力的提高和计算机造价的降低。特别是第一条对RSA的威胁最大,因为只要大数分解的问题不解决,做乘法总是比分解因数要快得多,计算机能力强大了尽可以加长密钥来防御,因为那时加密也会快得多的。
由PaulKocher发表的RSA计时攻击法为RSA的破译提供了一种另辟蹊径的方法。大家可以发现,RSA的基本运算是乘方取模。这种运算的特点是耗费时间精确取决于乘方次数。如果破译者能够监视到RSA解密过程,并对它计时,他就能算出d来。要抵御它,最简单的方法就是使RSA在基本运算上花费均等的时间,而与操作数无关。其次在加密前对数据做一个变换(花费恒定时间),在解密端做逆变换,这样总时间就不再依赖于操作数了。同时计时攻击对攻击者资源的要求太高,实时监视加密过程不是任何人能做到的。虽不实用,但在理论上它是一个崭新的思路,值得注意。
关于RSA密钥长度问题,多长的密钥是安全的,专家指出,任何预言都是不理智的,就目前的计算机水平而言用1024bits的密钥是安全的,2048bits是绝对安全的。但他们并不指望这一局面能一直持续下去。
尽管如此,但就目前来说RSA系统仍然是安全的。PGP(Pretty GoodPrivacy,即良好隐私加密算法)的问世又给电子商务系统的安全带来更多的保障。PGP是由Philip Zimmermann设计的免费电子程序。它采用IDEA进行数据加密,采用RSA进行密钥管理和数字签名,采用MD5作为单向散列函数。可以用它对邮件保密以防止非授权者阅读,它还能对邮件加上数字签名从而使收信人可以确定邮件的发送者,并能确信邮件没有被篡改。它还可以提供一种安全的通信方式,而事先并不需要任何保密的渠道用来传递密钥。
在电子商务交易安全方面,安全电子交易(Security Electronic Transaction,SET)和安全套接层协议(Secure Sockets layer,SSL)提供了规范的,安全的交易手段。
SET是一种基于消息流的协议,它主要由MasterCard和VISA以及其他一些业界主流厂商设计发布,用来保证因特网上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受住了考验,但大多数在Internet上交易的消费者并没有使用SET。而安全性相对于SET较低的SSL协议由于被几乎所有操作平台上的Web浏览器(IE, Netscape)以及流行的Web服务器的支持,其使用更便宜方便,且开发成本也很小。
虽然SSL应用广泛,但它存在一些不容忽视的缺点。
1.系统不符合国务院最新颁布的《商用密码管理条例》中对商用密码产品不得使用国外密码算法的规定,要通过国家密码管理委员会的审批会遇到困难。
2.系统安全性较差。SSL协议的数据安全性其实就是建立在RSA等算法的安全性上,因此从本质上讲,攻破RSA等算法就等同于攻破了此协议。由于美国政府的出口限制,使得进入我国的实现了SSL的产品(Web浏览器和服务器)均只能提供512bits RSA公钥和40bits对称密钥的加密。目前已有攻破此协议的例子:1995年8月,一个法国学生用上百台工作站和二台小型机攻破了Netscape对外出口版本;另外美国加州两个大学生找到一个“陷门”,只用了一台工作站几分钟就攻破了Netscape的对外出口版本。
随着电子商务的规模在不断增加,其出现欺诈的可能性也在增加。今天普遍在SSL上是使用信用卡已经不能满足未来安全的需要,必须要采取更安全的方法。虽然SSL提供了安全传输信用卡号码的可靠连接,但SET却提供了完整的用于电子商务的卡支付系统,同时SET还定义了各方的互操作接口,从而降低了金融风险。
由于SET交易的低风险性以及得到各信用卡组织的支持,SET将在基于Internet的信用卡支付交易中占据主导地位。
但应该看到,SET的普遍应用还须假以时日。今天Internet上电子商务的规模相对较小,发生诈骗的可能性也相对较小,这使得花极大代价使用SET是不值得的。而且针对SSL的服务质量问题,CISCO等厂商已提出IP上的QoS(服务质量),并且通过扩展IP协议实现对QoS的支持,相对提高了SSL的安全性。这使得SSL仍占据有利形势。
四、结束语
虽然安全问题一直困扰着电子商务的发展,但阻止不了它快速发展的趋势。随着计算机和网络技术的不断发展和完善以及管理水平的提高,安全问题将不再是影响电子商务发展的主要问题,电子商务也将获得更大的发展速度和空间。
五、参考文献:
[1]雷信生,万兆泽,刘玲,别荣芳.电子商务安全技术[M].北京.国防工业出版社,2002;10-15.
[2]韩宝明,杜鹏,刘华.电子商务安全与支付[M].北京.人民邮电出版社.2005;4-8.
[3]张炯明.安全电子商务实用技术[M].北京.清华大学出版社.2002:57-71;234-237.
