电子商务ｗｅｂ交易安全综述

摘要:本文首先介绍了电子商务web交易的概念和发展特点,并对web交易安全威胁提出加密技术、防火墙墙等防范技术要求做了全面陈述。

关键词:电子商务;web交易;安全

1 电子商务概念

电子商务的涵义即指利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。电子商务web交易的一个重要技术特征是利用IT技术来传输和处理商业信息。

电子商务web交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,web交易安全问题主要包括计算机网络安全和商务交易安全;其中商务交易安全目的则是指在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。[1]

2 电子商务web交易发展趋势[2][3]

电子商务发展历经几个阶段的发展:从浏览静态网页,使用交互式的网上表格,进行企业对客户(B2C)的商业,到开发B2B的应用集成,未来电子商务web交易将呈现如下发展趋势和特点:

电子商务的深度将进一步拓展。目前受限于技术创新和应用水平,企业发展电子商务仍处于起步阶段。随着这两方面水平的提高以及其它相关技术的发展,电子商务将向纵深挺进,新一代的电子商务将浮出水面,取代目前简单地依托“网站+电子邮件”的方式。电子商务企业将从网上商店和门户的初级形态,过渡到将企业的核心业务流程、客户关系管理等都延伸到Internet上,使产品和服务更贴近用户需求。

行业电子商务将成为下一代电子商务发展主流。

中国电子商务进入迅猛发展时期的典型特征是风险资金、网站定位等将从以往的“大而全”模式转向专业细分的行业商务门户。第一代的电子商务专注于内容,第二代专注于综合性电子商务,而下一代的行业电子商务将增值内容和商务平台紧密集成,充分发挥 Internet在信息服务方面的优势,使电子商务真正进入实用阶段。

企业级电子商务技术出现。电子商务使企业在降低交易成本、加快信息的沟通效率方面获得了传统经营模式不可比拟的途径。而随着越来越多的业务在网上进行,企业对于性能强大、安全可靠的交易处理中间件的需求也越来越迫切。针对企业用户的需求,IBM在WebSphere产品家族中提供了MQSeries消息传递中间件和CICS交易处理中间件。

MQSeries是目前市场上应用最广泛的消息传递中间件。它为应用开发人员提供了一种直接、简单的手段,以实现商业应用系统在不同操作系统平台之间安全可靠地传递和交换重要的商业数据信息。

CICS是则利用在三层体系架构中建造以交易应用服务为中心的安全交易系统,提供对电子商务的全面支持。CICS架构体系则有效地区分了应用系统中的表述逻辑层、交易逻辑层和数据逻辑层,从而使应用系统结构清晰、维护简单易行。

动态电子商务兴起。动态电子商务是电子商务(E-Business,EB)发展的目标,而Web服务是其核心技术,也是Web的下一个革新。Web服务将改变企业之间的商务运作和B2B应用的设计与开发。

动态电子商务的Web服务技术简化了EDI编程的要求,并把EDI功能延伸到Web上。应用动态电子商务,企业可以即时寻找商业合作伙伴,并将各种软件集成新的解决方法。实现动态电子商务,HTTP、XML、SOAP、UDDI、WSDL则为web服务技术所需的开放标准,而Web服务是动态电子商务的核心技术。 Web服务技术的出现是电子商务web交易发展中一场新的革命。它支持和推广动态电子商务模型,促进合作分层服务,而且开启新的商机。

3 电子商务Web安全交易技术应用[4][5]

在电子商务web安全交易技术应用中,加密技术、认证技术、防病毒系统等运用是保障电子商务web交易的重要保证。

加密与数字签名:数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。“数字签名”是通过密码技术实现电子交易安全的形象说法,是电子签名的主要实现形式。数字签名技术数字签名是非对称密钥加密技术的一种应用。采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。数字签名技术是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。

防火墙技术:防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙、代理防火墙、双穴主机防火墙。

入侵检测系统:入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。

信息加密技术:信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

用户识别和CA安全认证技术:用户识别采用它生成某种形式的口令或数字签名来保护能确保只有经过授权的用户才能通过个人计算机进行Internet网上的交互式交易;安全认证(CA)则采用硬件/软件方案作为数字身份认证的手段,以核实用户和商家的真实身份以及交易请求的合法性。其主要目的是进行信息认证,确认信息发送者的身份,验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。

防病毒系统。随着Internet开拓性的发展,病毒在网络中存储、传播、感染的途径多、速度快、方式各异,对网站的危害较大。因此,应利用全方位防病毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系。

4 结语

在电子商务日益发展的互联网平台上,实现电子商务web安全交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全交易安全防范过程中,如何保障和提高电子商务web交易的安全性是电子商务发展的重点和难点。

参考文献

[1]http://www2.ccw.com.cn/01/0147/b/0147b04_2.asp

[2]http://industry.ccidnet.com/art/27/20021209/32980_1.html

[3]赵书瑞,魏岳.基于SET的电子商务交易安全模式分析.商场现代化,2009,(6):151-151

[4]http://baike.baidu.com/view/1054485.htm

[5]杨 洋. 关于电子商务安全交易方法的探讨. 南京广播电视大学学报,2006,43(2):82-85

作者简介:徐永春(1974.01-)男,江西九江,中级,研究方向:系统决策与分析、智能算法、网络安全