電子商務(wù)的安全技術(shù)問題與對策研究

史國君

（黑龍江八一農(nóng)墾大學(xué)經(jīng)濟管理學(xué)院，大慶163319）

1 電子商務(wù)及電子商務(wù)安全

1.1 電子商務(wù)

電子商務(wù)，Electronic Commerce，包括廣義和狹義兩種。廣義的電子商務(wù)是指一切利用電子手段來開展買賣雙方的商品交易的活動總和。這里的電子手段包括電報、電話、傳真機、打印機、電視及計算機等。狹義的電子商務(wù)是指在網(wǎng)上開展的商務(wù)活動，即當企業(yè)將它的主要業(yè)務(wù)通過企業(yè)的內(nèi)部網(wǎng)（Intranet）、外部網(wǎng)（Extranet）和 Internet，與企業(yè)的職員、供應(yīng)商、客戶及合作伙伴直接相連時，其中所發(fā)生的各種活動[1]。

1.2 電子商務(wù)安全

電子商務(wù)安全就是指在發(fā)生的電子商務(wù)交易過程中出現(xiàn)的所有可能威脅買賣雙方各方面利益的事情。其安全類型主要可以分為以下幾種：

（1）物理安全。主要是指主機硬件和物理線路的安全，其中包括火災(zāi)等自然災(zāi)害、輻射、硬件故障、搭線竊聽、盜用等。

（2）網(wǎng)絡(luò)安全。指計算機聯(lián)網(wǎng)所帶來的安全問題。如非法授權(quán)訪問、攻擊信息的完整性、冒充主機和用戶、干擾服務(wù)等一系列的安全問題。

（3）數(shù)據(jù)安全。其安全性主要包括數(shù)據(jù)的保密性、數(shù)據(jù)的完整性和數(shù)據(jù)的不可否認性等。

（4）交易不同方所表現(xiàn)出的不同的安全。電子商務(wù)交易是買賣雙方通過網(wǎng)絡(luò)進行聯(lián)系的。在整個交易過程中，客戶將姓名、信用卡的賬號、用戶的口令、密碼、訂貨內(nèi)容及付款信息等都輸入到網(wǎng)上，如果被不法之徒盜用，那么對客戶而言就等于自己的錢袋被別人“享用”了，對交易的另一方來說，如果信息被競爭對手獲得，那么自己的經(jīng)濟利益無疑將受到極大的損害。

2 電子商務(wù)存在的安全技術(shù)問題及產(chǎn)生的原因

電子商務(wù)活動簡單的說就是利用Internet 進行的交易活動，從電子商務(wù)的定義可以了解電子商務(wù)的安全也就相應(yīng)的分為兩個方面的安全：一方面是“電子”方面的安全，另一方面是“商務(wù)”方面的安全。“電子”方面的安全就是電子商務(wù)的開展必須利用Internet 來進行，而Internet 本身也屬于計算機網(wǎng)絡(luò)，它包括網(wǎng)絡(luò)硬件和網(wǎng)絡(luò)軟件兩部分的安全。“商務(wù)”方面則是指把傳統(tǒng)的商務(wù)活動在Internet 上開展時，由于Internet 存在著很多安全隱患給電子商務(wù)帶來了安全威脅，簡稱為“商務(wù)交易安全威脅”。這兩個方面的安全威脅也就給電子商務(wù)帶來了很多安全技術(shù)問題。

2.1 信息的泄露與篡改

2.1.1 信息泄露

信息泄露在電子商務(wù)中主要表現(xiàn)為商業(yè)機密的泄露，計算機網(wǎng)絡(luò)安全威脅與Internet 的安全隱患可能使得電子商務(wù)中的信息泄露，攻擊者可能通過截收裝置，截獲機密信息，推斷出有用信息，如消費的銀行賬號、密碼等。

2.1.2 信息的篡改

這種破壞手段主要是改變信息流的順序和信息的內(nèi)容；刪除消息或消息的某些部分；并在消息中插入一些信息，讓接收方讀不懂或接收錯誤的信息。達到使信息失去真實性和完整性的目的。

2.2 身份假冒

主要指假冒他人的合法身份，發(fā)布命令、調(diào)閱密件、消費、栽臟、欺騙合法用戶；套取或修改使用權(quán)限、密碼等信息；欺騙系統(tǒng)，占用合法用戶的資源等。這種做法使得客戶端用戶很難辨別真?zhèn)?，以達到其獲取非法利益，擾亂交易秩序的目的。

2.3 信息的破壞

2.3.1 網(wǎng)絡(luò)攻擊

常見的網(wǎng)絡(luò)攻擊大體包括三類：第一，探測式攻擊，即黑客用來收集資料實現(xiàn)對網(wǎng)絡(luò)的攻擊。第二，訪問式攻擊，主要指發(fā)現(xiàn)網(wǎng)絡(luò)的漏洞，實現(xiàn)竊取他人保密信息的攻擊。第三，DOS 攻擊可以防止用戶對于部分或者全部計算機系統(tǒng)的訪問，它們的實現(xiàn)方法通常是：向某個連接到企業(yè)網(wǎng)絡(luò)或者互聯(lián)網(wǎng)的設(shè)備發(fā)送大量的雜亂的或者無法控制的數(shù)據(jù)，從而讓正常的訪問無法到達該主機。更惡毒的是分布式拒絕服務(wù)攻擊（DDOS），在這種攻擊中攻擊者將會危及多個設(shè)備或者主機的安全。

2.3.2 惡意破壞程序

2.3.2.1 網(wǎng)絡(luò)病毒

在網(wǎng)絡(luò)環(huán)境下，病毒可以按指數(shù)增長模式進行傳染。病毒一旦侵入計算機網(wǎng)絡(luò)，會導(dǎo)致計算機效率急劇下降，系統(tǒng)資源遭到嚴重破壞，并在短時間內(nèi)造成網(wǎng)絡(luò)系統(tǒng)的癱瘓。病毒入侵網(wǎng)絡(luò)的主要途徑是通過工作站傳播到服務(wù)器硬盤，再由服務(wù)器的共享目錄傳播到其他工作站。網(wǎng)絡(luò)中病毒還可以通過網(wǎng)絡(luò)通信機制，借助于高速電纜迅速擴散。網(wǎng)絡(luò)環(huán)境下的病毒防治是提高安全技術(shù)問題的研究重點[2]。

2.3.2.2 黑客

黑客利用自己在計算機方面的高超技能，對網(wǎng)絡(luò)中的一些重要信息進行修改或偽造，造成重大的經(jīng)濟損失和極為惡劣的影響。黑客最常用的攻擊手段包括：轟炸、竄改、偽造、竊聽，它在政府、軍事、金融、醫(yī)療衛(wèi)生、交通、電力等各個領(lǐng)域都有猖獗的破壞活動。

2.3.2.3 木馬程序

是破壞原代碼的傳輸工具。攻擊者要通過木馬攻擊用戶的系統(tǒng)，所以做的第一步就是要把木馬的服務(wù)器端程序植入用戶的計算機里面。木馬在被植入受攻擊主機后，一般會通過一定的方式把受攻擊主機的信息，如主機的IP 地址、木馬植入的端口等發(fā)送給攻擊者，這樣攻擊者就可以讓木馬里應(yīng)外合地控制受攻擊主機。

2.4 服務(wù)器的安全問題

電子商務(wù)服務(wù)器是電子商務(wù)系統(tǒng)的核心，安裝了大量與電子商務(wù)有關(guān)的軟件和商家信息，并且在服務(wù)器上的數(shù)據(jù)庫里儲存著企業(yè)的一些保密信息和敏感數(shù)據(jù)，所以服務(wù)器特別容易受到安全的威脅，且造成的后果是非常嚴重的。對企圖破壞或非法獲取信息的人來說，服務(wù)器有很多弱點可被利用。其中一個入口是www 服務(wù)程序，其他入口包括任何有數(shù)據(jù)的后臺程序，最危險的入口是服務(wù)器上的公共網(wǎng)關(guān)接口程序或其他工具程序。目前服務(wù)器的安全問題尚無有效措施予以阻止，主要是因為非法用戶向網(wǎng)絡(luò)或主機發(fā)送大量非法或無效的請求，使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡(luò)服務(wù)，利用操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全漏洞，通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請求，使網(wǎng)絡(luò)應(yīng)用服務(wù)器崩潰而停止服務(wù)。

3 電子商務(wù)安全技術(shù)管理對策

3.1 計算機網(wǎng)絡(luò)安全技術(shù)

3.1.1 身份識別技術(shù)

身份識別技術(shù)是采用密碼技術(shù)或者生物特征識別技術(shù)設(shè)計出安全性高的協(xié)議。密碼口令是應(yīng)用最廣的一種身份識別方式，用戶名和口令的方法幾十年來一直用于提供所屬權(quán)和準安全的認證來對服務(wù)器提供一定程度的保護。但是近年來隨著生物特征識別技術(shù)的發(fā)展，諸如指紋識別、臉像特征識別、聲音特征識別、虹膜識別、筆跡識別這些成熟的生物識別技術(shù)也廣泛應(yīng)用到系統(tǒng)安全身份識別中，保證了身份識別的唯一性、穩(wěn)定性和安全性。

3.1.2 虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)，是一種適用于電子數(shù)據(jù)交換，可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸?shù)募夹g(shù)。

3.1.3 病毒防范技術(shù)

病毒防范技術(shù)主要包括預(yù)防病毒、檢測病毒和殺除病毒等三種技術(shù)。其中，預(yù)防病毒技術(shù)是主要是阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞；檢測病毒技術(shù)主要是通過對病毒特征的分析、判斷來屏蔽病毒；殺除病毒技術(shù)是我們最常用的一種防病毒的技術(shù)，主要是通過我們?nèi)粘Ｊ褂玫臍⒍拒浖葋硐《緦C器造成的損害。

3.1.4 防火墻技術(shù)

防火墻（Firewall）是內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)）和國際互聯(lián)網(wǎng)（Internet）之間的一道安全屏障，防火墻既是硬件設(shè)備，也包含軟件技術(shù)和通信協(xié)議，它包括網(wǎng)絡(luò)安全策略、高層論證、包過濾和應(yīng)用網(wǎng)關(guān)。所有來自Internet 的信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過防火墻，因此，防火墻能夠確保諸如電子郵件、文件傳輸、遠程登錄以及特定系統(tǒng)間信息交換的安全[3]。防火墻技術(shù)是目前最為廣泛使用的網(wǎng)絡(luò)安全技術(shù)之一。

3.2 商務(wù)交易安全技術(shù)

3.2.1 加密技術(shù)

加密技術(shù)包括公鑰和密鑰兩種，這種技術(shù)是日常網(wǎng)絡(luò)應(yīng)用比較普遍的。其中，公鑰是指信息在發(fā)送方被某一密碼或口令加密傳輸?shù)浇邮苷邥r，接收方要使用相同的密碼或口令才能夠看到相應(yīng)的信息，以防止信息被破壞或泄露；密鑰是指信息在發(fā)送方被某一密碼或口令加密傳輸?shù)浇邮苷邥r，接收方要使用另一不同的密碼或口令才能夠看到相應(yīng)的信息的一種安全形式[4]。

3.2.2 數(shù)字摘要與數(shù)據(jù)簽名技術(shù)

數(shù)字摘要其實就是一種利用交易雙方事先設(shè)定的密碼來防止信息遭到破壞的安全技術(shù)，只是這種密碼不是由常見的隨機字符串組成，而是Hash 函數(shù)[5]，即發(fā)送方使用這種形式發(fā)送信息，接收方在接收時只要把Hash 函數(shù)轉(zhuǎn)換，和原本設(shè)定的內(nèi)容一致否就能夠判斷信息的安全性。數(shù)字簽名是事先設(shè)定好的存儲在權(quán)威機構(gòu)的由一串復(fù)雜的字符串組成的防偽技術(shù)，交易雙方也可通過這種技術(shù)的使用來判斷對方的身份真?zhèn)巍?/p>

3.2.3 數(shù)字證書

即CA 證書，指對客戶端主機IP 地址的一種認證機制，他允許系統(tǒng)管理員對某一具有特定的IP 地址的用戶定制訪問權(quán)限。這個證書包括：唯一標識證書所有者的名稱、唯一標識證書簽發(fā)者的名稱、證書所有者的公開密鑰、證書簽發(fā)者的數(shù)字簽名、證書的有效期及序列號等。為網(wǎng)上交易構(gòu)筑了一個互相信任的環(huán)境。

3.3 數(shù)字水印技術(shù)

數(shù)字水印是指用信號處理的方法在數(shù)字多媒體數(shù)據(jù)中嵌入隱蔽的標記，這種標記通常是不可見的，只能通過專用的檢測器或閱讀器提取。它并不改變數(shù)字產(chǎn)品的基本特性和使用價值。數(shù)字水印的基本思想是利用人類感覺器官的不敏感，以及數(shù)字信號本身存在的冗余，在圖像、音頻和視頻等數(shù)字產(chǎn)品中嵌入秘密的信息以便記錄其版權(quán)， 要求嵌入的信息能夠抵抗一些攻擊而生存下來，從而達到版權(quán)認證和保護的功能。在沒有解密密鑰的情況下，攻擊者很難從隱秘載體中發(fā)現(xiàn)和修改水印。

3.4 使用電子商務(wù)的安全協(xié)議

目前網(wǎng)絡(luò)上最常使用的安全協(xié)議無外乎SSL 和SET 兩種。其中SSL 又叫作安全套接層，它是一種目前保證網(wǎng)絡(luò)安全最為全面的一種協(xié)議，它既可以保護B TO B 的交易安全，又可以保護B TO C 類的交易安全；既能夠?qū)τ脩舻纳矸莺戏ㄐ赃M行驗證，又能夠保證雙方在交易過程中的各種交易數(shù)據(jù)不被篡改和泄露。而SET 相較于SSL 而言，更注重對B TO C類交易的保護，在使用環(huán)境上要求較高，費用也較高，但針對個體消費者的交易特點它能夠很好地保證支付環(huán)節(jié)的安全。兩種協(xié)議提出的時間雖然都比較早，但經(jīng)過十幾年的完善在很大程度上都能夠保證用戶的交易安全，因此，用戶在網(wǎng)絡(luò)上準備要發(fā)生交易之前，一定要保證系統(tǒng)安裝了這兩類安全協(xié)議，以確保交易安全順利地完成。

［1］ 甄阜銘.電子商務(wù)基礎(chǔ)教程［M］.大連：東北財經(jīng)大學(xué)出版社，2010.

［2］ Edythe，Deborah.電子商務(wù)中的信息安全問題及其對策［J］.海外視點，2009（8）：66-69.

［3］ 譚曉波，張琴.防火墻技術(shù)在電子商務(wù)安全中的應(yīng)用［J］.商場現(xiàn)代化，2011，123（ 8）：185-186.

［4］ 余紹軍，彭銀香.電子商務(wù)安全與數(shù)據(jù)加密技術(shù)淺析［J］.中國管理信息化（綜合版），2012（3）：11-12.

［5］ 張巧生，石茵，郭慶豐.數(shù)據(jù)加密與解密技術(shù)的探究［J］.黑龍江八一農(nóng)墾大學(xué)學(xué)報，2008（4）：76-77.