眾所周知,因特網(wǎng)是基于TCP/IP協(xié)議的,但TCP/IP協(xié)議在當(dāng)初設(shè)計和后來應(yīng)用時,并未考慮到安全因素,也未曾預(yù)料到應(yīng)用的爆發(fā)增長。這就好像在一間封閉的房間內(nèi)打開了緊閉的玻璃窗,新鮮空氣進來了,但大量的灰塵、蒼蠅和蚊子等害蟲也跟著進來。網(wǎng)絡(luò)世界也一樣,開放的、免費的信息帶來了溝通的便利,但垃圾郵件、網(wǎng)絡(luò)病毒以及黑客等黑暗事物的出現(xiàn),使網(wǎng)絡(luò)經(jīng)受著前所未有的沖擊。因此,各種網(wǎng)絡(luò)安全技術(shù)應(yīng)運而生。
網(wǎng)絡(luò)安全是一個綜合的業(yè)務(wù)領(lǐng)域,包括了很多方向,歸納起來,主要有三大方向:
1. 網(wǎng)絡(luò)安全防護:加密、Web訪問控制、防病毒、防火墻/VPN等;
2. 安全檢測:入侵檢測、漏洞評估、郵件掃描;
3. 可信賴的商務(wù)/業(yè)務(wù)流:身份認證、訪問管理、數(shù)據(jù)保密性、數(shù)據(jù)完整性、交易完整性。
但是,在各類網(wǎng)絡(luò)安全技術(shù)中,加密技術(shù)是基礎(chǔ)。
僅以最近頻繁發(fā)生在金融行業(yè)的網(wǎng)絡(luò)攻擊事件可以看出,身份認證是各行業(yè)信息安全問題的基石,而身份認證的核心技術(shù)就是加密技術(shù)。
調(diào)查顯示,內(nèi)部的不安全因素在所有的不安全因素中所占的比重是70%,而僅內(nèi)部雇員(含離職雇員)的誤用、濫用和冒用等不安全因素就占到了55%左右,即網(wǎng)絡(luò)中最重要的或首要的任務(wù)是對訪問者的身份和其行為做有效的管理。這有兩層含義:首先是防盜用,即登錄的員工是否真實?這一關(guān)把住了,可有效拒絕絕大多數(shù)惡意破壞行為; 其次是防濫用,即使身份為真,該員工有無權(quán)限、有多大的權(quán)限來訪問本資源。試想,在一個虛擬的網(wǎng)絡(luò)社會中,如果對于訪問者的身份都無法保障和識別,誰還敢談生意?
因此,在電子商務(wù)業(yè)務(wù)中,首要解決的問題就是確定對方的身份問題和交易過程的安全性,包括保密性、完整性和不可否認性。談到加密技術(shù),就不能不提RSA信息安全公司。這家以RSA加密算法聞名的公司,推出的各類加密技術(shù)已經(jīng)應(yīng)用在全球大多數(shù)金融和電子商務(wù)網(wǎng)絡(luò)中。以下以該公司的電子商務(wù)流程為例,說明加密技術(shù)的重要性。
先看看傳統(tǒng)的商務(wù)流程:
(1) 甲乙雙方商議好合同、訂單條款→打印出來,互相審核→確認后簽字蓋章,正式生效→甲乙雙方各按條款約定項行事→交易或合作期內(nèi)一切正常,期滿后或交易結(jié)束后繼續(xù)新的合同和訂單。
(2) 工廠見單生產(chǎn)(簽字蓋章的);運輸部門見到(簽字蓋章的)發(fā)貨單才安排發(fā)貨和接貨。
(3) 各種計劃、總結(jié)和銷售報表等寫好后簽字,上報,然后歸類存檔,作為日常工作及日后考核、獎罰依據(jù)。移動辦公幾乎全靠電話、傳真解決問題。
(4) 財務(wù)人員記賬,完成各種報銷、交費、繳稅、發(fā)薪等工作;審計部門捧著厚厚的賬本,一項一項查驗。
若兩個公司同處一地,倒也不算復(fù)雜。如果在異地甚至國外,又會產(chǎn)生一大筆數(shù)目不小的通訊費和郵寄費,因為口說無憑,雙方都必須保留經(jīng)過簽字蓋章的原件,才有可能充分降低業(yè)務(wù)的風(fēng)險。
網(wǎng)絡(luò)世界中的操作流程也是一樣的,但一切均電子化了,因此必須結(jié)合加密技術(shù):
(1) 合同草稿通過認證過的郵件系統(tǒng)發(fā)出,保證發(fā)郵件的單位是合法的,只要郵件地址正確,對方就一定能夠收到;雙方確認無誤后,用電子簽名使其生效;訂單的雙方都做過有效的身份認證,確保交易數(shù)據(jù)的正確性和準(zhǔn)確性。
(2) 整個公司的業(yè)務(wù)體系基于統(tǒng)一的應(yīng)用環(huán)境,其下有多個子模塊,如分管生產(chǎn)、銷售、物流、市場、財務(wù)、稅務(wù)、審計等模塊,員工認證登錄后分別在不同的模塊中做各自的工作,采用訪問控制技術(shù)可解決信息和資源的誤用、濫用和冒用問題。這些便利性也包括移動辦公在內(nèi),只需要在公司防火墻或VPN接入設(shè)備上加入身份認證功能即可。
(3) 在財務(wù)方面,企業(yè)與銀行之間的借貸、企業(yè)與合作伙伴的合作,也是基于身份認證和PKI系統(tǒng)。
在RSA的電子商務(wù)模型中,登錄身份認證可采用RSA SecurID,電子簽名可采用RSA Keon,而訪問控制可采用RSA Clear Trust,可見,加密技術(shù)貫穿在電子商務(wù)流程的始終。
此外,在其他行業(yè),如會計審計、律師事務(wù)所、證券、期貨、基金等的交易行為,醫(yī)療、科研等研發(fā)機構(gòu),機關(guān)、團體、政府部門等,均可以簡單利用身份認證來保護自己和單位的利益。
