浅议电子商务中的信息安全问题(3)

　　3.网上支付平台及支付网关

　　网上支付平台分为CTEC 支付体系（ 基于CTCA/GDCS） 和SET 支付体系（ 基于CTCA/SET） 。网上支付平台支付型电子商务业务提供各种支付手段，包括基于SET 标准的信用卡支付方式、以及符合CTEC 标准的各种支付手段。

　　支付网关位于公网和传统的银行网络之间，其主要功能为：将公网传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包；接收银行系统内部的传回来的响应消息，将数据转换为公网传送的数据格式，并对其进行加密。此外，支付网关还具有密钥保护和证书管理等其它功能。

　　三、电子商务信息安全中的其它问题
　　
　　1.内部安全

　　最近的调查表明， 至少有75% 的信息安全问题来自内部，在信用卡和商业诈骗中，内部人员所占的比例最大；

　　2.恶意代码

　　它们将继续对所有的网络系统构成威胁， 并且，其数量将随着Internet 的发展和编程环境的丰富而增多，扩散起来也更加便利，因此，造成的破坏也就越大；

　　3.可靠性差

　　目前，Internet 主干网和DNS 服务器的可靠性还远远不能满足人们的要求， 而绝大部分拨号PPP 连接质量并不可靠，且速度很慢；

　　4.技术人才短缺

　　由于Internet 和网络购物都是在近几年得到了迅猛的发展，因而，许多地方都缺乏足够的技术人才来处理其中遇到的各种问题， 尤其是网络购物具有24 x 7（ 每天24 小时，每周7 天都能工作） 的要求，因而迫切需要有一大批专业技术人员对其进行管理。如果说加密技术是电子交易安全的“ 硬件”，那么人才问题则可以说是“ 软件”。从某种意义上讲，软件的问题解决起来可能更不容易，因此，技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。

　　5.Web 服务器的保护意识差

　　在交易过程中对数据进行保护只是保证交易安全的一个方面。由于交易的信息均存储在服务器上，因此，即使保密信息被客户端接收之后，也必须对存储在服务器中的数据进行保护。目前，Web 服务器是黑客们最喜欢攻击的目标。因此， 建议尽量不要将Web 服务和连接到任何内部网络，而且要定期对数据进行备份， 以便于服务器被攻击之后对数据进行恢复。当然，这毕竟有些不太现实，现在许多流行的Web应用都需要Web 服务器与公司的数据库进行交互式操作， 这就要求服务器必须与公司内部网络相连，而这个连接也就成为黑客们从Web 站点侵入企业内部网络的一条通路。虽然防火墙技术有助于对web 站点进行保护，但商家却很少安装防火墙或对其缺乏有效的维护，因而没有对Web 服务器进行很好的保护，这是商家的Web 站点尤其要引起注意的地方。

　　四、与电子商务安全有关的协议技术讨论

　　1．SSL 协议（ Secure Sockets Layer） 安全套接层协议———面向连接的协议。

　　SSL 协议主要是使用公开密钥体制和X.509 数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server 方式。但它是一个面向连接的协议，在涉及多方的电子交易中，只能提供交易中客户与服务器间的双方认证， 而电子商务往往是用户、网站、银行三家协作完成, SSL 协议并不能协调各方间的安全传输和信任关系。

　　2.SET 协议（ Secure Electronic Transaction） 安全电子交易———专门为电子商务而设计的协议。由于SET 提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点， 因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。虽然它在很多方面优于SSL 协议，但仍然不能解决电子商务所遇到的全部问题。

　　结束语

　　本文分析了目前电子商务的安全需求，使用的安全技术及仍存在的问题，并指出了与电子商务安全有关的协议技术使用范围及其优缺点，但必须强调说明的是，电子商务的安全运行，仅从技术角度防范是远远不够的，还必须完善电子商务立法，以规范飞速发展的电子商务现实中存在的各类问题，从而引导和促进我国电子商务快速健康发展。