网上书店信息安全问题与对策
[摘 要] 随着电子商务的发展,网上书店在提供便捷信息资源的同时,也面临着信息安全的严峻考验。网上书商和购书客户都担心在网上交易时其信息被非法修改、泄露或盗取。本文在分析网上书店信息安全问题的基础上提出相应的对策。
[关键词] 网上书店; 信息安全; 问题; 对策
网上书店是电子商务的一种具体形式,它是企业通过在互联网上开设网上书店,消费者通过网络浏览图书信息,并在网上下订单,采用多种方式支付的一种经营模式。网上书店利用信息技术,将出版者、供应商、作者、读者及其他相关环节如银行、运输业等联系在一起,改变了图书运作流程与交易模式。
目前以网上书店为代表的出版物在线销售面临着良好的发展机遇,随着网上书店在我国的普及,其信息安全问题显得尤为重要。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。而互联网是开放性的技术,网上书店则建立在这样一个开放的网络环境之中,很多人可以匿名、隐身连接在互联网上,造成诸多不安全的因素,其中既有网络自身的技术安全问题,比如病毒、黑客攻击,还包括网上书店这一电子商务交易形式自身的众多信息安全问题。
一、网上书店的信息安全问题
由于网络的虚拟性,网上书店交易的双方并不见面,其交易完全通过网络进行,网上书店的运营模式与传统图书发行相比在信息发布、购买支付、物流发送等环节更依托网络手段。因此信息的真实性、可靠性受到特别的重视。目前在图书信息的真实性、书商及购书客户身份的合法性、网上支付购书费用信息的完整性与不可否认性,特别是安全认证问题和网上支付的安全性等方面都不能完全消除人们的疑虑。
对于网络自身的技术安全问题,可以采用防火墙、防病毒、访问控制和防攻击等常用网络安全措施来解决。而网上书店购书的安全问题主要来自于:购书客户私人信息被截获和窃取;购书物流中订单信息的篡改;网上书商及购书客户的信息假冒;购书交易网上的在线支付安全和支付抵赖等,都需要采取专门的措施来应对。
二、网上书店信息安全问题的解决对策
1. 加强个人身份验证
通过对网上支付认证手段的分析来看,身份确认是信息安全的薄弱环节,而银行的数据也表明支付否认是发生交易争议的主要原因。采用个人身份验证技术能够保护购书客户私人信息及商务数据在公共网络上传输时不被窃听、篡改、顶替及非法使用。认证手段通常有4种: 一是用户名和密码;二是动态密码,分为有源动态密码和无源动态密码;三是多因子的论证,包括手机短信和个人信息等;四是证书认证。
首先,在网上书店交易过程中,每个购书客户都有自己独有的用户名和密码,而在提交任何关于自己的敏感信息或私人信息尤其是信用卡号之前,一定要确认数据已经加密,并且是通过安全连接传输的。购书客户的浏览器和Web站点的服务器都要支持有关的工业标准,如SET(Secure Electronic Transaction)和SSL(Secure Sockets Layer)等。在客户购书下订单确定以及付款,书商正式发书之后,购书系统都应该有实时的手机短信提醒,双方进一步确认。
其次,采用数字证书身份认证加上口令加密的双因子身份认证技术。每个购书客户可申请一张数字证书,上网进行账户查询时,网上银行系统首先验证该用户数字证书是否合法,然后将查询请求和口令一起发送给业务前置机,对口令再次进行认证。当服务器获得用户证书后,还要检索该证书是否在废止证书列表之中。作为一个安全的网上购书系统,需要由一个权威的第三方担任信用认证机构来确认买卖双方的身份,即电子商务的安全证书认证中心(CA中心)。 CA中心的作用在于确保网上交易合同的有效性,确保交易内容、交易双方账号、密码不被他人识别和盗取,确保交易合同的完整性,防止单方面对交易信息的生成和修改。这个第三方可以是政府部门,也可以是行业主管部门,还可以是交易双方共同信任的其他组织。
2. 网上书店购书过程中的数据加密
书刊的物流信息在网络中传输时,通常不是以明文方式而是以密文的方式进行通信传输。 加密技术就是把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网上书店物流信息的通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术也分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。密钥的保密是很关键的,否则,网络攻击者掌握加密、解密算法,又得到密钥,会使购书客户遭受损失。因此加强对密钥的管理,要贯穿于密钥的整个生存期:密钥的生成、验证、传递、保管、使用和销毁。
还可以采用短信加密技术 ,用户购书过程中的订单、付款等可以短信的形式确认,而丰富多样的短信息服务的实现借助于SIM卡片以及在SIM卡片上开发应用和菜单的STK(SIM card Tool Kits)技术。SIM卡片加密技术的直接应用就是对短信息完成加密和解密,无线网络和短信中心为应用服务器提供了接收和发送短信息的通道,手机内发出和接收的短信报文利用SIM卡片加密和解密,在应用服务器一侧可以借助专用的交易安全服务器来完成对短信息报文的加解密。除了加密和解密外,系统还通过MAC算法完成报文的完整性校验。 由于SIM卡片具备完成DES、3DES等多种加密运算的功能,应用STK技术可以在SIM卡片上开发信息安全功能。
