商务公司的信息安全策略研究

【文章摘要】

如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为十分关注的问题。所以本文选择对商务公司的网络信息安全进行研究分析，并给出相应的对策，具有重要的现实意义。

【关键词】

电子商务；信息安全；技术

0 引言

由于Internet及其应用在全球范围内的迅速普及，企业信息化建设也有了更进一步的发展，电子商务使得企业信息系统更加的完善，也更加方便快捷的满足了现在社会的需求。因此，电子商务必将成为21世纪最先进、最有效、最迅速、最全面的经营交易方式。但是与此同时，由于它的网络普及性，又给企业信息系统带来了更多的不安全因素，尤其是互联网络所固有的开放性与资源共享性，导致网上交易的安全性受到严重挑战。

1 商务公司信息安全存在的问题分析

1.1 商务公司网络交易信息的保密问题

一是传输过程中的数据截获。作为商务公司这样一家以电子商务信息接受为主体的公司来说，电子商务系统中的数据在传输过程中很容易受到截获。攻击者可能通过互连网、公共电话网、搭线或在电磁波辐射范围内安装截收装置等方式，截获传输的机密信息，或通过对信息量和流向等参数的分析，获取有用的信息。

二是传输过程中的数据完整性破坏。攻击者可能从三个方面破坏信息的完整性：篡改，即改变信息流的次序，更改信息的内容，如购买商品的出货地址；删除，即删除某个消息或消息的某部分；插入，即在消息中插入一些信息。因此，防止传输过程中的数据破坏是非常重要的。

三是跨平台数据交换引起的数据丢失。Internet的发展使电子商务由最初的单一的、普通的封闭式电子数据交换（EDI）系统，逐步向跨平台的多信源电子商务互联网转变。在同一个电子商务网络中，可能同时存在多个操作系统，有多种型号的电脑设备，使用多种数据传输介质，并要求同时支持多国语言。如果平台之间的兼容性存在问题，有可能导致电子商务系统中数据的丢失。

1.2 访客身份验证和信息真实性问题

一是交易身份的真实性。交易者身份的真实性是指交易双方确实是存在的，不是假冒的。网上交易的双方相隔很远，互不了解，要使交易成功，必须互相信任，确认对方是真实存在的，对商家要考虑客户是不是骗子，对客户要考虑商店是不是黑店，是否有信誉。所以，验证交易者的身份也就势在必行了。

二是黑客和商业间谍的攻击。攻击者可以分为黑客和商业间谍。黑客指利用不正当的手段窃取计算机网络系统的口令和密码，从而非法进入计算机网络的人。他们篡改用户数据，搜索和盗窃私人文件，甚至破坏整个系统的信息，导致网络瘫痪。

三是信息的有效性。电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。一旦签订交易协议后，这项交易就应受到保护以防止被篡改或伪造。交易的有效性在其价格、期限及数量作为协议一部分时尤为重要，必须保证贸易数据在确定价格、期限、数量以及确定时刻、地点时是有效的。

1.3 商务公司的数据加密的问题

一是信息的截获和窃取。如同上一节所提出的数据传输过程中的截获相同，如果没有采用加密措施或加密强度不够，攻击者可以通过互联网，公共电话网等途径推出有用信息，如消费者的银行帐号，密码以及企业的商业机密等。

二是信息的篡改。当攻击者熟悉了网络信息格式后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性，达到破坏双方交易得目的。

三是信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户。主要有两种方式：一种是伪造电子邮件。另一种是假冒他人身份。

2 关于商务公司信息安全问题的对策

2.1 关于商务公司会员及产品信息保密性问题的对策

在电子商务中，传送的文件则是通过数字签名来证明当事人身份和数据的真实有效性的。数字签名技术就是利用数据加解密技术、数据变换技术，根据某种协议来产生一个反映被签署文件和签署人特性的数字化签名。数字签名涉及被签署文件和签署人两个主体，密码技术是数字签名的技术基础采用公开密钥要比采用常规密钥算法更容易实现。将数字签名技术应用于商务公司的日常运营中，可以解决数据的否认、伪造、篡改及冒充等问题。

2.2 关于访客身份验证和所得信息真实性问题的对策

一个是确认信息发送者的身份；另一个是验证信息的完整性，即确认信息在传送或存储过程中未被篡改过。认证是为了防止有人对系统进行主动攻击的一种重要技术。想要解决验证信息和访客的真实性问题，采用信息认证技术就事在必行。信息认证技术包括了，数字签名技术、身份认证技术两项。

2.2.1 采用数字签名技术

数字签名技术是电子商务交易中的一项非常重要的技术。在电子商务中，完善的数字签名技术应具备签字方不能抵赖、他人不能伪造、在公正人面前能够验证真伪能力。如今被广泛应用的数字签名技术主要主要包括以下三种：RSA签名、DSS签名和HASH签名。这三种方法可单独使用，也可综合在一起使用。

2.2.2 采用身份认证技术

身份认证机制包括两部分，即数字证书（DC：Digital Certificate）和证书授权机构（CA：Certificate Authority）。电子商务证书就是这样一种由权威机构发放的用来证明身份的事物。

数字证书又称数字凭证，是用电子手段来证实一个用户身份和对网络资源的访问权限。证书是一份文档，它记录了用户的公开密钥和其它身份信息，如名字和E-mail地址。它是一个经证书授权中心数字签名的文件。一般情况下，证书中还包括密钥的有效时间、发证机关（证书授权中心）的名称以及该证书的序列号等信息。在网上的电子交易中，如果交易双方都出示各自的数字证书，那么双方都可不必对对方身份的真伪担心。数字证书有三种类型：个人数字证书、企业证书和软件证书。其中个人数字证书和企业证书是常用的证书。大部分认证中心提供前两种证书。

2.3 关于商务公司数据加密问题的对策

2.3.1 采用单密钥密码体制

单钥密码体制又称对称密钥加密，其特点是采用相同的加密算法并只交换共享的专用密钥。对于商务公司来说，因为他是以信息汇总和为主要经营目的的商务网站，因此，他的日常信息处理量会很频繁、很复杂、也很巨大。所以，考虑这方面的问题我们应该尽可能的减少公司的运营负荷及工作量。

2.3.2 采用双钥密码体制

双钥密码体制又称非对称密码体制或公钥体制，与对称加密算法不同的是，使用公开密钥算法时，密钥被分解为一对，即公开密钥或专用密钥。公开密钥通过非保密方式向他人公开，而专用密钥加以保存。

作为密钥加密体制的另一种方法，虽然，在电子商务的公司中不是应用的很广泛，但是，如果作为像商务公司这样要求信息保密性很高的企业，采用多元的，多方位的加密技术也是很有必要的。这是一种只交换保密电文而不交换保密算法本身的方法，使用一对相互匹配的加解密密钥，每个密钥进行单向的数据变换。当一个密钥进行加密时，只有相对应的另一个密钥才能解密。

2.3.3 采用虚拟专用网（VPN）技术

根据商务公司所出现的漏洞情况，除了以上的密钥加密、身份认证等技术外，在企业内部建立局域网，并将它和英特网及虚拟专用网结合起来，也会很好的查补信息安全上的漏缺。目前VPN主要采用三项技术来保证信息安全，而多VPN合作使用只是其中的一种方法。

【作者简介】

刘驷骏，（1985—），男，辽宁沈阳人，同济大学软件学院硕士研究生。