旅游电子商务信息安全技术重要性

（一）加密技术

数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据，称为解密。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。根据电子商务系统的特点，加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护，可根据管理级别所对应的数据保密要求进行部分加密或全程加密。

数据加密的技术分为对称式加密和非对称式加密两类。对称式加密就是加密和解密使用同一个密钥，这种加密技术在当今被广泛采用，如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法，它的密钥长度为56bits。非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必需配对使用，否则不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则不能，只能由持有人一个人知道。它的优越性就在这里，因为对称式的加密方法如果是在网络上传输加密文件就需要把密钥告诉对方，不管用什么方法都有可能被他人窃取到。而非对称式的加密方法有两个密钥，且其中的“公钥”是可以公开的，也就不怕别人知道，收件人解密时只要用自己的私钥即可以，这样就很好地避免了密钥传输的安全性问题。

当今计算机业界的公司及各种机构所提供的技术服务，包括令牌、安全传输数据协议、电子证书及可信任网站安全标准等，都要涉及加密技术，其重要性显而易见。目前被广泛采用的算法有以下几种：美国著名的算法公司RSA提供的公钥密码算法RSA和美国IBM公司提供的分组密码算法DES。

（二）安全认证

旅游企业电子商务网站的安全除网站本身硬件和软件的安全外，还应包括传输信息的安全。对一些重要的传输信息，应保证信息在传输过程中不被他人窃取、偷看或修改。因此，应在网站服务器中启用安全认证系统。旅游产品的网上预订和网上支付需要有互联网电子认证身份系统和电子金融系统来支持，其中电子账户是两者的基本组成部分。通过个人电子账户和银行账号的唯一性关联，银行就可以为旅游消费者和旅游企业之间提供安全、可信的电子金融服务。为了保证旅游网上交易的可信度，要配以必要的技术措施来保证，如数字证书、数字签名等技术手段。

1.数字签名

数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证，如同出示手写签名一样。应用数字签名可在电子商务中安全、方便地实现在线支付，而数据传输的安全性、完整性，身份验证机制以及交易的不可抵赖性等均可通过数字签名的安全认证手段加以解决。

2.数字证书

数字证书就是标志网络用户身份信息的一系列数据，用来在网络应用中识别通信各方的身份，其作用类似于现实生活中的身份证。数字证书由可信任的、公正的权威机构认证中心CA（Certification Authority）颁发。

数字证书内容包括证书申请者的名称及相关信息、申请者的公钥、签发证书的认证中心的数字签名及证书的有效期等内容。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。

数字证书颁发过程为：

（1）由用户产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。

（2）认证中心对用户身份进行核实，并对用户发送来的信息进行确认。

（3）认证中心发给用户一个数字证书，该证书内附了用户和他的密钥等信息，同时还附有对认证中心公共密钥加以确认的数字证书。

3.认证中心

在旅游电子商务交易中，要实现各方身份认证的安全需求，必须建立一种信任及信任验证机制，即每个网络上的实体（个人、企业等）必须有一个可以被验证的数字标识，即数字证书。同时，这就意味着应有一个网上各方都信任的机构，专门负责对各个实体的身份进行审核，并签发和管理数字证书，这个机构就是认证中心CA。对于参加电子商务的各方来说，都必须拥有合法的身份，即由CA签发的数字证书，在交易的各个环节，交易的各方都检验对方数字证书的有效性，从而解决了用户信任和身份认证的问题。

目前在互联网上存在着很多CA，适用于不同的国家或地区，应用于不同的情况，实现不同的目的，其中最有全球影响力的是美国的VeriSign。在中国，目前的CA架构以银行体系为主，基本上各大银行都有自己的CA中心，另外还有一些地区性的CA中心，一些企业和网站也设立了自己的CA中心。不同的CA之间可以遵循一个开放性的标准，如PKI（Public Key Infrastructure）公钥基础设施规范，以使各个CA之间能够互联、互相认证。

（三）安全协议(www.xing528.com)

电子商务信息安全功能的实现必须基于一整套的安全协议。目前世界上公认的标准有：SSL、SET和NetBill协议。

1.SSL协议

SSL（Secure Socket Layer，安全套接层）协议是TCP／IP协议族中的安全协议，可以实现通信过程的安全保密，目前SSL被众多厂家和用户广泛采用，已经成为通信底层协议的实际标准。SSL安全协议主要提供三方面的服务：（1）认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。（2）加密数据以隐藏被传送的数据。（3）维护数据的完整性，确保数据在传输过程中不被改变。

2.SET协议

SET（Secure Electronic Transaction，安全电子交易）规范是由两大信用卡商Visa和MasterCard联合制定的实现网上信用卡交易的模型和规范。从概念上，它是通过信用卡的自然延伸，保留了信用卡交易的一切特点，同时针对网上交易，制定了确保安全的一系列规范和协议。SET能够保证较好的安全性，但是也有处理速度慢、协议复杂、安装麻烦等缺点，而且只适用于信用卡的应用。

（四）防护检测

1.防火墙技术

防火墙主要功能是建立网络之间的一个安全屏障，从而起到内部网络与外部公网的隔离，加强网络之间的访问控制。防火墙是指一个由硬件设备或软件、或软硬件组合而成的，在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层，并由它进行检查和连接。它按照一定的安全策略限制外界用户对内部网络的访问，只有被允许的通信才能通过防火墙，也管理内部用户访问外界网络的权限，监视网络运行状态并对各种攻击提供有效的防范，从而使内部网络与外部网络在一定意义上相对隔离，防止非法入侵、非法使用系统资源。

2.入侵检测系统

防火墙是一种隔离控制技术，一旦入侵者进入了系统，他们便不受任何阻挡。而入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志，以及网络中的数据包，识别出任何不希望有的活动，在入侵者对系统发生危害前，检测到入侵攻击，并利用报警与防护系统进行报警、阻断等响应。入侵检测系统所采用的技术有：

（1）特征检测。这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式使得既能够表达“入侵”现象，又不会将正常的活动包含进来。

（2）异常检测。假设入侵者活动异于正常主体的活动。根据这一理念建立主体正常活动的档案，将当前主体的活动状况与档案相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难点在于如何建立档案以及如何设计统计算法，要避免把正常的操作误认为是“入侵”或是漏掉发现真正的“入侵”行为。

3.网络漏洞扫描器

没有绝对安全的网站，任何安全漏洞都可能导致风险产生。网络漏洞扫描器是一个漏洞和风险评估工具，用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式。

以外部扫描为例，是通过远程检测目标主机TCP／IP不同端口的服务，记录目标给予的回答。通过这种方法，可以搜集到很多目标主机的各种信息，例如是否能用匿名登录、是否有可写的FTP目录、是否能用TELNET等。然后与漏洞扫描系统提供的漏洞库进行匹配，满足匹配条件则视为漏洞。也可通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功，则可视为漏洞存在。

4.防病毒系统

病毒在网络中存储、传播、感染的途径多、速度快、方式各异，对网站的危害较大。因此应利用全方位防病毒产品，防杀结合，构建全面的防病毒体系。

常用的防病毒技术有：（1）反病毒扫描。通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其他能表示有某种病毒存在的代码段。（2）完整性检查。通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作时才能起作用，而网站可能在完整性检查程序开始检测病毒之前已感染了病毒，而潜伏的病毒也可以避开检查。（3）行为封锁。行为封锁的目的是防止病毒的破坏。这种技术试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时，行为封锁软件就会检测到，并警告用户。