對我國來說,電子商務尚是一個機遇和挑戰並存的新領域,這種挑戰在很大程度上來源於對有關安全技術的信賴。在開放的網絡(如Internet)上處理交易,如何保證傳輸數據的安全成爲電子商務能否普及最重要的因素之一。
2.電子商務對安全的要求及一般性對策
歸納用戶對電子商務活動安全性的需求,以及可使用的網絡安全措施主要包括如下幾個方面。
⑴ 如何確定通信中的'貿易伙伴的真實性,常用的處理技術是身份認證,依賴某個可信賴的機構(認證中心-CA)發放證書,雙方交換信息之前通過CA獲取對方的證書,並以此識別對方。
⑵ 如何保證電子單證的祕密性,防範電子單證的內容被第三方讀取;常用的處理技術是數據加密和解密。常見的加密技術包括對稱密鑰加密技術(典型的加密算法包括DES、Triple DES、IDEA、RC4和RC5)和非對稱密鑰加密技術(典型的加密算法爲RSA、SEEK、PGP和EU等)。
⑶ 如何保證被傳輸的業務單證不會丟失,或者發送方可以察覺所發單證的丟失;對於固定且具有頻繁貿易往來的夥伴,可以採用單證傳輸的序列性檢驗(即爲單證分配序列號,或者增加時間戳);也可採用雙方約定的方法(即在規定的時間內,通過某種方式進行確認。
⑷ 如何確定電子單證的內容未被篡改;單證傳輸完整性主要採用散列技術來防止非法用戶對單證的篡改,通過散列算法對被傳輸的單證進行處理,產生一個依賴於該單證的短小的散列值,並將該散列值附接在單證之後傳輸給接收方。以便接收方採用相同的散列算法對接收的單證進行檢驗。
⑸ 如何確定電子單證的真實性,即單證來源於期望的發送方;鑑別單證真實性的主要手段是數字簽名技術,其基礎是數據加密中的公開密鑰加密技術,實用中常結合單證完整性一起考慮,利用發方的祕密密鑰對散列值進行加密。
⑹ 如何解決或者仲裁收發雙方對交換的單證所產生的爭議,包括髮方或者收方可能的否認或抵賴。通常要求引入認證中心進行管理,由CA發放密鑰,傳輸的單證及其簽名的備份發至CA保存,作爲可能爭議的仲裁依據。
⑺ 如何保證存儲信息的安全性。規範內部管理,使用訪問控制權限和日誌,以及敏感信息的加密存儲等。當使用WWW服務器支持電子商務活動時,應注意數據的備份和恢復,並採用防火牆技術(有些專家建議直接採用物理分割WWW服務器和內部網絡的連接)保護內部網絡的安全性。