电子交易的首要安全需求就是要保证身份的可认证性
由于Internet本身的开放性以及目前网络技术发展的局限性,使网上交易面临着种种安全性威胁,也由此提出了相应的安全控制要求。
认证性(Authentication)是指网络两端的使用者在沟通之前互相确认对方的身份。
在传统的交易中,交易双方往往是面对面进行活动的,这样很容易确认对方的身份。即使开始不熟悉、不能确信对方,也可以通过对方的签名、印章、证书等一系列有形的身份凭证来鉴别他的身份。另外,在传统的交易中如果是采用电话进行通信,也可以通过声音信号来识别对方身份。然而,在进行网上交易时,情况就大不一样了,因为网上交易的双方可能素昧平生,相隔千里,并且在整个交易过程中都可能不见一面。因此,如果不采取任何新的保护措施,就要比传统的商务更容易引起假冒、诈骗等违法活动。例如,在进行网上购物时,对于客户来说,如何确信计算机屏幕上显示的页面就是大家所说的那个有名的网上商店,而不是居心不良的黑客冒充的呢?同样,对于商家来说,怎样才能相信正在选购商品的客户不是一个骗子,而是一个当发生意外事件时能够承担责任的客户呢?
因此,电子交易的首要安全需求就是要保证身份的可认证性。这就意味着,在双方进行交易前,首先要能确认对方的身份,要求交易双方的身份不能被假冒或伪装。
(2)信息保密性的需求
保密性(Confidentiality)是指信息在传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。
在传统的贸易中,一般都是通过面对面的信息交换,或者通过邮寄封装的信件或可靠的通信渠道发送商业报文,达到保守商业机密的目的。而电子商务是建立在一个开放的网络环境下,当交易双方通过Internet交换信息时,因为Internet是一个开放的公用互联网络,如果不采取适当的保密措施,那么其他人就有可能知道他们的通信内容;另外,存储在网络的文件信息如果不加密的话,也有可能被黑客窃取。上述种种情况都有可能造成敏感商业信息的泄露,导致商业上的巨大损失。例如,如果客户的信用卡的账号和用户名被人知悉,就可能被盗用;如果企业的订货和付款的信息被竞争对手获悉,就可能丧失商机。
因此,电子商务另一个重要的安全需求就是信息的保密性。这意味着,一定要对敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。
(3)信息完整性的需求
完整性(Integrity)是指保护数据不被未经授权者修改、建立、嵌入、删除、重复传送或者由于其他原因使原始数据被更改。
上面所讨论的信息保密性,是针对网络面临的被动攻击一类威胁而提出的安全需求,但它不能避免针对网络所采用的主动攻击一类的威胁。所谓被动攻击,就是不修改任何交易信息,但通过截获、窃取、观察、监听、分析数据流和数据流式获得有价值的情报。而主动攻击就是篡改交易信息,破坏信息的完整性和有效性,以达到非法的目的。例如,在电子贸易中,乙给甲发了如下一份报文:“请给丁汇一百元钱。乙”。报文在报发过程中经过了丙之手,丙就把“丁”改为“丙”。这样甲收到后就成了“请给丙汇一百元钱。乙”,结果是丙而不是丁得到了一百元钱。当乙得知丁未收到钱时就去问甲,甲出示有乙签名的报文,乙发现报文被篡改了。
因此,保证信息的完整性也是电子商务活动中的一个重要的安全需求。这意味着,交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。
(4)交易信息的不可抵赖性需求
不可抵赖性又叫不可否认性(Non-repudiation),是指信息的发送方不能否认已经发送的信息,接收方不能否认已经收到的信息,只是一种法律有效性要求。
由于商情千变万化,交易合同一旦达成就不能抵赖。在传统的贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章,确定合同、契约、单据的可靠性并预防抵赖行为的发生,这也就是人们常说的“白纸黑字”。但在无纸化的电子交易中,就不可能再通过传统的手写签名和印章来预防抵赖行为的发生。因此,必须采用新的技术,防止电子商务中的抵赖行为,否则就会引起商业纠纷,使电子商务无法顺利进行。例如,在电子商务活动中订购冰箱时,如果订货时冰箱价格较低,但收到订单后,冰箱价格上涨了,假如供应商能否认收到订单的事实,则采购商就会蒙受损失;同样,如果收到订单后,冰箱价格下跌了,假如订货方能否认先前发出订货单的事实,则供应商就会蒙受损失。
因此,保证交易过程中的不可抵赖性也是电子商务安全需求中的一个重要方面。这意味着,在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
(5)商务服务的不可拒绝性需求
商务服务的不可拒绝性(Denial of Service)又叫有效性或可用性,是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。
电子商务以电子形式取代了纸质形式,那么保证这种电子形式的贸易信息的有效性是展开电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及病毒所产生的潜在威胁加以控制和预防,以保证不受到“延迟”服务的威胁或“拒绝服务”的威胁,这类威胁的结果是破坏计算机正常处理速度或完全拒绝处理。降低服务速度会把自己网站的顾客赶到竞争者手中,或者在竞争交易中(如证券市场、拍卖市场)错过商机。“拒绝服务”的攻击往往使整个网络暂时不能使用。2003年1月25日互联网上出现的“2003蠕虫王”病毒,让全球25万台电脑遭受袭击,国际互联网网络速度变得非常缓慢,很多服务无法执行。这次攻击对中国的互联网造成了10多亿元人民币的损失!因此,商务服务具有不可拒绝性需求。
(6)访问控制性需求
访问控制性(Access Control)是指在网络上限制和控制通信链路对主机系统和应用的访问。用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权的人或未授权的方式接入、使用、修改、破坏、发出指令或植入程序等。
简而言之,电子商务要安全地开展,以上几个最基本的安全要素必须实现。也就是说,数据和信息的隐私必须受到保护,交易者身份必须得到认证,并且具有可认证性,对未被授权的进入应该进行控制和拒绝。