众所周知,因特网是基于TCP/IP协议的,但TCP/IP协议在当初设计和后来应用时,并未考虑到安全因素,也未曾预料到应用的爆发增长。这就好像在一间封闭的房间内打开了紧闭的玻璃窗,新鲜空气进来了,但大量的灰尘、苍蝇和蚊子等害虫也跟着进来。网络世界也一样,开放的、免费的信息带来了沟通的便利,但垃圾邮件、网络病毒以及黑客等黑暗事物的出现,使网络经受着前所未有的冲击。因此,各种网络安全技术应运而生。
网络安全是一个综合的业务领域,包括了很多方向,归纳起来,主要有三大方向:
1. 网络安全防护:加密、Web访问控制、防病毒、防火墙/VPN等;
2. 安全检测:入侵检测、漏洞评估、邮件扫描;
3. 可信赖的商务/业务流:身份认证、访问管理、数据保密性、数据完整性、交易完整性。
但是,在各类网络安全技术中,加密技术是基础。
仅以最近频繁发生在金融行业的网络攻击事件可以看出,身份认证是各行业信息安全问题的基石,而身份认证的核心技术就是加密技术。
调查显示,内部的不安全因素在所有的不安全因素中所占的比重是70%,而仅内部雇员(含离职雇员)的误用、滥用和冒用等不安全因素就占到了55%左右,即网络中最重要的或首要的任务是对访问者的身份和其行为做有效的管理。这有两层含义:首先是防盗用,即登录的员工是否真实?这一关把住了,可有效拒绝绝大多数恶意破坏行为; 其次是防滥用,即使身份为真,该员工有无权限、有多大的权限来访问本资源。试想,在一个虚拟的网络社会中,如果对于访问者的身份都无法保障和识别,谁还敢谈生意?
因此,在电子商务业务中,首要解决的问题就是确定对方的身份问题和交易过程的安全性,包括保密性、完整性和不可否认性。谈到加密技术,就不能不提RSA信息安全公司。这家以RSA加密算法闻名的公司,推出的各类加密技术已经应用在全球大多数金融和电子商务网络中。以下以该公司的电子商务流程为例,说明加密技术的重要性。
先看看传统的商务流程:
(1) 甲乙双方商议好合同、订单条款→打印出来,互相审核→确认后签字盖章,正式生效→甲乙双方各按条款约定项行事→交易或合作期内一切正常,期满后或交易结束后继续新的合同和订单。
(2) 工厂见单生产(签字盖章的);运输部门见到(签字盖章的)发货单才安排发货和接货。
(3) 各种计划、总结和销售报表等写好后签字,上报,然后归类存档,作为日常工作及日后考核、奖罚依据。移动办公几乎全靠电话、传真解决问题。
(4) 财务人员记账,完成各种报销、交费、缴税、发薪等工作;审计部门捧着厚厚的账本,一项一项查验。
若两个公司同处一地,倒也不算复杂。如果在异地甚至国外,又会产生一大笔数目不小的通讯费和邮寄费,因为口说无凭,双方都必须保留经过签字盖章的原件,才有可能充分降低业务的风险。
网络世界中的操作流程也是一样的,但一切均电子化了,因此必须结合加密技术:
(1) 合同草稿通过认证过的邮件系统发出,保证发邮件的单位是合法的,只要邮件地址正确,对方就一定能够收到;双方确认无误后,用电子签名使其生效;订单的双方都做过有效的身份认证,确保交易数据的正确性和准确性。
(2) 整个公司的业务体系基于统一的应用环境,其下有多个子模块,如分管生产、销售、物流、市场、财务、税务、审计等模块,员工认证登录后分别在不同的模块中做各自的工作,采用访问控制技术可解决信息和资源的误用、滥用和冒用问题。这些便利性也包括移动办公在内,只需要在公司防火墙或VPN接入设备上加入身份认证功能即可。
(3) 在财务方面,企业与银行之间的借贷、企业与合作伙伴的合作,也是基于身份认证和PKI系统。
在RSA的电子商务模型中,登录身份认证可采用RSA SecurID,电子签名可采用RSA Keon,而访问控制可采用RSA Clear Trust,可见,加密技术贯穿在电子商务流程的始终。
此外,在其他行业,如会计审计、律师事务所、证券、期货、基金等的交易行为,医疗、科研等研发机构,机关、团体、政府部门等,均可以简单利用身份认证来保护自己和单位的利益。