企業電子商務中的信息安全問題解決方案
來源:e-works 更新時間:2012-04-14

 凡事都有兩面性,電子商務所具有的開放性同時也帶來了諸多麻煩,比如病毒入侵、黑客攻擊、信息抵賴、信息假冒等,這些不可預知的問題給企業帶來的損失不可估量。據統計,商業信息竊取案件在以每月260%的速度增加,這以數據背後所反映出的問題直接影響制約了電子商務的發展。信息安全對企業來說,在很多時候是是決定其命運的,因此要想更為有效高效的利用電子商務這個平台,這列問題就必須引起高度重視。 電子商務作為一種全新的企業經營模式具有開放性同時也帶來了諸多麻煩,比如病毒入侵、黑客攻擊、信息抵賴、信息假冒等,這些不可預知的問題給企業帶來的損失不可估量。信息安全對企業來說,在很多時候是是決定其命運的,因此要想更為有效高效地利用電子商務這個平台,這類問題就必須引起高度重視。要想保障電子商務的信息安全,需要對計算機硬件、網絡訪問以及被訪問、文件輸出和接收,以及電子商務平台等多環節進行全面的控制和監測。也需要相關的安全法律法規和物理安全機制相配合。

作為一種全新的企業經營模式,電子商務( Electronic Commerce)在網絡經濟發展日益迅猛的當下,應用越來越廣泛。這種基於Internet進行的各種商務活動模式以其特有的開放性讓商務活動相比較以往更加高效快捷,也更加方便。

凡事都有兩面性,電子商務所具有的開放性同時也帶來了諸多麻煩,比如病毒入侵、黑客攻擊、信息抵賴、信息假冒等,這些不可預知的問題給企業帶來的損失不可估量。據統計,商業信息竊取案件在以每月260%的速度增加,這以數據背後所反映出的問題直接影響制約了電子商務的發展。信息安全對企業來說,在很多時候是是決定其命運的,因此要想更為有效高效的利用電子商務這個平台,這列問題就必須引起高度重視。

1 電子商務所面臨的信息安全威脅

(1)平台的自然物理威脅:由於電子商務通過網絡傳輸進行,因此諸如電磁輻射干擾以及網絡設備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預測,而這些威脅將直接影響信息安全。此外,人為破壞商務系統硬件,篡改刪除信息內容等行為,也會給企業造成損失。

此外,通過電磁輻射、搭線以及串音等手段等都可以讓惡意攻擊者通過接收裝置來截取企業的信息,或者通過分析文件代碼,獲取賬戶密碼等私密信息,以企業身份進行消費或發言,這對於企業的損失更是難以估計的。

(2)商務軟件本身存在的漏洞:任何一種商務軟件的程序都具有復雜性和編程多樣性,而對於程序而言,越復雜意味著漏洞出現的可能性越大。這樣的漏洞加上操作系統本身存在的漏洞,再加上TCP/IP通信協議的先天安全缺陷,商務信息安全就像是一扇扇可打開的門,遭遇威脅的可能性隨著計算機網絡技術的不斷普及而越來越大。

(3)黑客入侵:在諸多威脅中,病毒式最不可控制的,其主要作用是損壞計算機文件,且具有繁殖功能。配合越來越便捷的網絡環境,計算機病毒的破壞力與日俱增。

而目前黑客所慣用的木馬程序則更有目的性,本地計算機所記錄的登錄信息都會被木馬程序篡改,從而造成信息之外的文件和資金遭竊。

(4)安全環境惡化:由於在計算機及網絡技術方面發展較為遲緩,我國在很多硬件核心設備方面依然以進口采購為主要渠道,不能自主生產也意味著不能自主控制,除了生產技術、維護技術也相應依靠國外引進,這也就讓國內的電子商務無法看到眼前的威脅以及自身軟件的應付能力。

2 電子商務在信息安全方面的注意點

(1)電子商務的保密性應該是第一位的,信息應該只為授權的用戶使用。對授權用戶的相關個人信息進行嚴格保密是電子商務大範圍推廣應用的最關鍵保障。

(2)商務信息的完整性,只讀特性以及修改授權問題是電子商務信息需要攻克的一大難關。信息在傳輸過程中必須保持原內容,不能因技術、環境以及刻意原因而輕易被更改。否則交易的平台本身就存在不公平。

(3)真實可靠的信息時商務活動中必備的,而電子商務在這方面顯得更為薄弱,如何保證信息未經病毒文件感染、能夠正常使用,是電子商務安全保障環節的又一課題。

(4)交易誠信問題也存在於隔空交易當中,電子商務信息在傳輸當中,保證傳輸速度和內容真實的情況下,交易方不能對已完成的交易操作產生反悔,一旦因商務平台外的問題二取消或質疑交易操作,對方的利益將蒙受損失。

3 電子商務信息安全的防範處理方法

(1)針對病毒的技術:作為電子商務安全的最大威脅,對於計算機病毒的防範市重中之重。對於病毒,處理態度應該以預防為主,查殺為輔。因為病毒的預防工作在技術層面上臂查殺要更為簡單。多種預防措施的並行應用很重要,比如對全新計算機硬件、軟件進行全面的檢測;利用病毒查殺軟件對文件進行實時的掃描;定期進行相關數據備份;服務器啟動采取硬盤啟動;相應網絡目錄和文件設置相應的訪問權限等等。同時在病毒感染時保證文件的及時隔離。

在計算機系統感染病毒的情況下,第一時間清除病毒文件並及時恢復系統。而在清除病毒時也要注意盡可能找出病毒宿主程序;防止文件型病毒感染其他程序,防止清除過程中刪除有用文件等等。

(2)防火牆應用:經過幾年的發展和推廣,防火牆是已經成為目前最重要的網絡防護設備。防火牆是在多個網絡間實施訪問控制的組件集合。其目的是在網絡之間建立一個控制關卡,以“允許”、“拒絕”等選項口令對進出內部網的訪問進行審查控制,以此來防止非法用戶侵入,保護內部網絡設備不被破壞,增強企業內部網絡的安全性。

(3)數據加密技術的引入:數據加密(Data encrypt)是把原始數據通過某種算法進行再組織,再傳輸在網絡公共信道上。這樣處理之後,當有人惡意接收時,由於沒有密鑰,非法接受者無法得到文件的原始數據而不能達到其非法目的。而合法接收者則可以利用密鑰進行解密,得到最真實的原始數據。

數據加密技術在一定程度上保證了文件數據的私密性,讓非法接受者竊取文件後無法應用。不過密匙的保密又成了另一難題,非法接收者可能會通過破譯方法獲取密鑰。因此,為了最大程度上降低密匙被破譯的危險,需要建立一套嚴密的密鑰管理機制。一方面要提高相關工作人員的職業素養,另一方面要加長密鑰數位的長度。密鑰越長越安全。不過越長的密匙所導致的加密和解密的時間自然也就越長,這樣就會影響數據傳輸的效率。因此,用多長多復雜的密匙需要根據公司和商務內容的具體情況和對安全級別要求的不同程度來選擇。

目前主流的加密體制分為私鑰和公鑰兩大類:相對來說,公鑰加密體制為雙鑰或非對稱加密體制,接收方不能進行篡改偽造加密的數據,這樣就為數據的保密、完整和不可否認性加上了保險。盡管有諸多好處,但目前能夠兼容不同公司不同商務活動形式的公鑰並不多,不兼容的公鑰加密會嚴重影響電子商務的交易效率。

(4)CA安全認證:目前對於解決電子商務的安全問題,國際通行的做法是采用CA安全認證系統。CA認證中心是一個受絕大多數人信任的第三方機構,在電子商務中屬於仲裁機構。在電子商務系統中,所有的實體數字證書都由CA證書授權中心分發且簽名。

(5)虛擬私有網技術:虛擬私有網(VPN)使用的是開放公共信道,並通過附加協議處理,向用戶提供的虛擬私有網絡。虛擬私有網的實現過程使用了安全隧道技術、信息加密技術等眾多技術。其中安全隧道技術是核心技術,它使用加密與封裝相結合的技術對用戶數據進行安全保護。

(6)可控的自主產品:相關信息產品國產化對於我們企業的商務安全乃至對於我們的互聯網發展來說都是極其重要的,自主信息產品的成功研發並廣泛應用是信息安全的根本。基於自主核心技術的信息安全技術下,進行相關產品的研發與實際應用必須加強。要將這一課題發展成為一個產業,且是一個獨立自主的產業,只有這樣才能建立獨立自主的信息安全環境。

在這方面,除了相關企業要加強研發,應用企業要加強合作意識之外,國家也要制定相關政策,加大這方面自主知識產權產品的投入,拖入包括資金技術和人力等多方面。

4 結語

綜上所述,要想保障電子商務的信息安全,需要對計算機硬件、網絡訪問以及被訪問、文件輸出和接收,以及電子商務平台等多環節進行全面的控制和監測。

在此基礎上,不但要開發出有效網絡安全軟件並自主掌控核心技術,也要相關的安全法律法規和物理安全機制相配合,並在技術層面上加大對相關科研機構和科研氛圍的投入,才能保證電子商務保持現有的發展速度,並更加全面更加健康的應用到我們的企業商務活動中。