淺析電子商務(wù)交易的安全問題

張 偉

（蘭州資源環(huán)境職業(yè)技術(shù)學(xué)院，甘肅 蘭州 730021）

淺析電子商務(wù)交易的安全問題

張 偉

（蘭州資源環(huán)境職業(yè)技術(shù)學(xué)院，甘肅 蘭州 730021）

電子商務(wù)是新興商務(wù)形式，信息安全的保障是電子商務(wù)實施的前提。本文針對電子商務(wù)活動中存在的信息安全隱患問題，實施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、身份驗證技術(shù)、防火墻技術(shù)等技術(shù)性措施，完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境，促進我國電子商務(wù)可持續(xù)發(fā)展。

電子商務(wù)；信息技術(shù)；信息安全

隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，基于網(wǎng)絡(luò)和多媒體技術(shù)電子商務(wù)應(yīng)運而生并迅速發(fā)展。所謂電子商務(wù)（Electronic Commerce，EC）通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動中，在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，買賣雙方不謀面地進行各種商貿(mào)活動，實現(xiàn)消費者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動、交易活動、金融活動和相關(guān)的綜合服務(wù)活動的一種新型的商業(yè)運營模式。

目前，電子商務(wù)已逐步替代了傳統(tǒng)的交易手段，致使越來越多的企業(yè)通過互聯(lián)網(wǎng)來完成產(chǎn)品交易，更多的消費者現(xiàn)在也都通過電子商務(wù)交易平臺來購買自己所需的物品。然而，近年來通過網(wǎng)絡(luò)進行的電子商務(wù)金融犯罪多達200起，八成的網(wǎng)友對網(wǎng)上交易的安全性表示擔憂，信息安全問題成為困擾網(wǎng)上交易的一大難題。因此，電子商務(wù)信息安全問題也就成為了研究的當務(wù)之急。

一、電子商務(wù)信息安全現(xiàn)存的問題

電子商務(wù)是實現(xiàn)整個貿(mào)易過程中各階段貿(mào)易活動的電子化。公眾是電子商務(wù)的對象，信息技術(shù)是實現(xiàn)電子商務(wù)的基礎(chǔ)，電子商務(wù)實施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務(wù)活動中的信息安全問題主要體現(xiàn)在：

1. 計算機網(wǎng)絡(luò)的安全

（1）安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標準和規(guī)范，相對制約了國際性的商務(wù)活動。此外，在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

（2）信息的安全問題。包括：①信息的截獲和竊?。喝绻捎眉用艽胧┎粔颍粽咄ㄟ^互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)，獲取機密信息或通過對信息流量、流向、通信頻度和長度分析，推測出有用信息。②信息的篡改：當攻擊者熟悉網(wǎng)絡(luò)信息格式后，通過技術(shù)手段對網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地，破壞信息完整性。③信息假冒：當攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后，假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。④交易抵賴：交易抵賴包括多方面，如發(fā)信者事后否認曾發(fā)送信息、收信者事后否認曾收到消息、購買者做了定貨單不承認等。

（3）防病毒問題。電腦病毒問世十幾年來，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介，不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑，還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，動輒造成數(shù)百億美元的經(jīng)濟損失。

（4）服務(wù)器的安全問題。電子商務(wù)服務(wù)器是電子商務(wù)的核心，安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息，并且服務(wù)器上的數(shù)據(jù)庫里有企業(yè)的一些敏感數(shù)據(jù)，如價格、成本等，所以服務(wù)器特別容易受到安全的威脅，并且一旦出現(xiàn)安全問題，造成的后果也是非常嚴重的。目前為止服務(wù)器的安全問題尚無有效措施予以阻止。主要表現(xiàn)在：非法用戶向網(wǎng)絡(luò)或主機發(fā)送大量非法或無效的請求，使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡(luò)服務(wù);利用操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全漏洞，通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請求，使網(wǎng)絡(luò)應(yīng)用服務(wù)器崩潰而停止服務(wù)。

2. 商務(wù)交易的安全

（1）身份的不確定問題。由于電子商務(wù)的實現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺，在這個平臺上交易雙方是不需要見面的，因此帶來交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，從而獲得非法收入。

（2）交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進行惡意的否認，以推卸自己應(yīng)承擔的責(zé)任。

（3）交易的修改問題。交易文件是不可修改的，否則然會影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改，以保證商務(wù)交易的嚴肅和公正。

3. 其他方面的安全

電子商務(wù)安全威脅種類繁多、來自各種可能的潛在方面，有蓄意而為的，也有無意造成的，例如電子交易衍生了一系列法律問題網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問題，急需為電子商務(wù)提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導(dǎo)致泄露信息等均可構(gòu)成不同程度后果的威脅。

二、保障電子商務(wù)信息安全技術(shù)性措施

電子商務(wù)安全是信息安全的上層應(yīng)用，它包括的技術(shù)范圍比較廣，主要分為數(shù)據(jù)加密技術(shù)和身份認證技術(shù)兩大類。

1. 防火墻技術(shù)。防火墻在網(wǎng)絡(luò)間建立安全屏障，根據(jù)指定策略對數(shù)據(jù)過濾、分析和審計，并對各種攻擊提供防范。安全策略有兩條：一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流，再審查要求通過信息，符合條件就通過；二是“凡是未被禁止就是允許”。防火墻先轉(zhuǎn)發(fā)所有信息，然后逐項剔除有害內(nèi)容。

防火墻技術(shù)主要有：（1）包過濾技術(shù)：在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過，核心是安全策略即過濾算法設(shè)計。（2）代理服務(wù)技術(shù)：提供應(yīng)用層服務(wù)控制，起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用。代理服務(wù)還用于實施較強數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。（3）狀態(tài)監(jiān)控技術(shù)：在網(wǎng)絡(luò)層完成所有必要的包過濾與網(wǎng)絡(luò)服務(wù)代理防火墻功能。（4）復(fù)合型技術(shù)：把過濾和代理服務(wù)兩種方法結(jié)合形成新防火墻，所用主機稱為堡壘主機，提供代理服務(wù)。（5）審計技術(shù)：通過對網(wǎng)絡(luò)上發(fā)生的訪問進程記錄和產(chǎn)生日志，對日志統(tǒng)計分析，對資源使用情況分析，對異常現(xiàn)象跟蹤監(jiān)視。（6）路由器加密技術(shù)：加密路由器對通過路由器的信息流加密和壓縮，再通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密。

2. 加密技術(shù)。為保證數(shù)據(jù)和交易安全，確認交易雙方的真實身份，電子商務(wù)采用加密技術(shù)。數(shù)據(jù)加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應(yīng)用的加密技術(shù)有：（1）公共密鑰和私用密鑰：也稱RSA編碼法。信息交換的過程是貿(mào)易方甲生成一對密鑰并將其中一把作為公開密鑰公開；得到公開密鑰的貿(mào)易方乙對信息加密后再發(fā)給貿(mào)易方甲：貿(mào)易方甲用另一把專用密鑰對加密信息解密。

具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請對方發(fā)信息將公共密鑰傳給對方，保證傳輸信息的保密和安全。（2）數(shù)字摘要：也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋，有固定長度且不同明文摘要成密文結(jié)果不同，而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。（3）數(shù)字簽名：將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認文件的手段。簽名作用有兩點：一是因為自己簽名難以否認，從而確認文件已簽署；二是因為簽名不易仿冒，從而確定文件為真。（4）數(shù)字時間戳： 電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容，數(shù)字時間戳服務(wù)能提供電子文件發(fā)表時間的安全保護。

3. 認證技術(shù)。安全認證的作用是進行信息認證。信息認證是確認信息發(fā)送者的身份，驗證信息完整性，確認信息在傳送或存儲過程中未被篡改。（1）數(shù)字證書：也叫數(shù)字憑證、數(shù)字標識，用電子手段證實用戶身份及對網(wǎng)絡(luò)資源的訪問權(quán)限，可控制被查看的數(shù)據(jù)庫，提高總體保密性。交易支付過程中，參與各方必須利用認證中心簽發(fā)的數(shù)字證書證明身份。（2）安全認證機構(gòu)：電子商務(wù)授權(quán)機構(gòu)也稱電子商務(wù)認證中心。無論是數(shù)字時間戳服務(wù)還是數(shù)字證書發(fā)放，都需要有權(quán)威性和公正性的第三方完成。CA是承擔網(wǎng)上安全交易認證服務(wù)、簽發(fā)數(shù)字證書并確認用戶身份的企業(yè)性服務(wù)機構(gòu)，受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書管理。

4. 防病毒技術(shù)。（1）預(yù)防病毒技術(shù)，通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲取系統(tǒng)控制權(quán)，監(jiān)視系統(tǒng)中是否有病毒，阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)破壞。（2）檢測病毒技術(shù)，通過對計算機病毒特征進行判斷的偵測技術(shù)，如自身校驗、關(guān)鍵字、文件長度變化。（3）消除病毒技術(shù)，通過對計算機病毒分析，開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。另外要認真執(zhí)行病毒定期清理制度，可以清除處于潛伏期的病毒，防止病毒突然爆發(fā)，使計算機始終處于良好工作狀態(tài)。

三、保障電子商務(wù)信息安全措施

1. 加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，推動企業(yè)信息化進程信息基礎(chǔ)設(shè)施是電子商務(wù)發(fā)展的物質(zhì)基礎(chǔ)和載體。發(fā)展信息基礎(chǔ)設(shè)施需要政府和業(yè)界的共同努力，尤其是政府的大力投資和宏觀調(diào)控。

2. 普及計算機網(wǎng)絡(luò)知識和電子商務(wù)常識，提高全民族電子商務(wù)意識普及信息技術(shù)的教育，培養(yǎng)信息技術(shù)人才。增強企業(yè)和公眾對電子商務(wù)的信心。

3. 加快銀行、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)建立企業(yè)到企業(yè)、企業(yè)到客戶的商務(wù)溝通，實現(xiàn)網(wǎng)上資金流動，解決目前有形商品交易環(huán)節(jié)中的流通困難。

[1] 劉化君. 網(wǎng)絡(luò)安全技術(shù)[M]. 機械工業(yè)出版社，2010.

[2] 宋紅. 計算機安全技術(shù)[M]. 中國鐵道工業(yè)出版社，2005.

[3] 張殿明，楊輝. 計算機網(wǎng)絡(luò)安全[M]. 2010.

On the Safety Problems of E-Commerce

ZHANG Wei

E-commerce is a new form in business activity, and information safety guarantees its implementation. To cope with the lurking peril in information safety of e-commerce, this article suggests the data encryption technology, identity confirmation technology, firewall technology and so on, in order to consummate interior and exterior environment and promote a sustainable growth of e-commerce in our country.

e-commerce; information technology; information safety

F724.6

A

1008-7427（2011）05-0100-02

2011-03-07