鮑曉娟,曹樹偉

（赤峰學院 遠程教育學院，內(nèi)蒙古 赤峰 024000）

電子商務網(wǎng)絡安全問題淺析

鮑曉娟,曹樹偉

（赤峰學院 遠程教育學院，內(nèi)蒙古 赤峰 024000）

隨著Internet使用人數(shù)的增加，利用Internet進行網(wǎng)絡購物并以銀行卡付款的消費方式已日漸流行，市場份額也在迅速增長，電子商務網(wǎng)站也層出不窮，但是這個剛剛新興起的商業(yè)模式在網(wǎng)絡安全性方面仍然存在不少問題.在電子商務中，安全性是一個至關重要的核心問題，它要求網(wǎng)絡能提供一種端到端的安全解決方案，如加密機制、簽名機制、安全管理、存取控制、防火墻、防病毒保護等等，這與傳統(tǒng)的商務活動有著很大的不同.確保交易安全，為個人保密，成為當前電子商務發(fā)展的最需解決的問題.

電子商務；安全；數(shù)字認證；加密

伴隨著計算機科學及網(wǎng)絡技術的飛速發(fā)展，網(wǎng)絡和商業(yè)相結合的產(chǎn)物——電子商務于1994年提出.電子商務作為Internet環(huán)境下的一種新型的商業(yè)運營模式，是市場經(jīng)濟條件下最具發(fā)展?jié)撃艿氖袌鼋灰追绞?全球金融業(yè)以不可逆轉(zhuǎn)的趨勢向網(wǎng)絡化、電子化、全球化和一體化方面發(fā)展，我國電子商務網(wǎng)絡的發(fā)展也正方興未艾，越來越多的金融交易都是在利用互聯(lián)網(wǎng)開展.但是，計算機網(wǎng)技術的不斷發(fā)展，黑客以及惡意軟件的肆意流行，使之電子商務的軟肋——電子商務的網(wǎng)絡安全性凸顯為亟待解決的核心問題，電子商務的網(wǎng)絡安全也成為了保證電子商務交易成功的關鍵.

就在用戶身份、交易可靠性越來越令人擔憂，電子商務網(wǎng)絡安全問題凸顯的同時，人們開始更多地關心數(shù)字認證和對加密算法的控制.這兩個因素從最大程度上保證了電子商務中信息的有效性、機密性、完整性、可靠性、不可抵賴性、可鑒別性，從而將敏感信息泄漏的危害盡可能地降低.

1 電子商務網(wǎng)絡安全的發(fā)展現(xiàn)狀

1.1 電子商務的概念

電子商務（E-Business,E-Comerce,E-Trade）從英文的字面意思上看就是利用現(xiàn)在先進的電子技術從事各種商業(yè)活動的方式.

電子商務是利用計算機技術、網(wǎng)絡技術和遠程通信技術，實現(xiàn)電子化、數(shù)字化和網(wǎng)絡化的整個商務過程.電子商務涵蓋的范圍很廣，一般可分為企業(yè)對企業(yè) （Business-to-Business），企業(yè)對消費者（Business-to-Consumer），個人對消費者（Consumerto-Consumer），企業(yè)對政府（Business-to-Government）等 4種模式.

1.2 電子商務網(wǎng)絡安全的現(xiàn)狀

于計算機信息有共享和易于擴散等特性,它在處理、存儲、傳輸和使用上有著嚴重的脆弱性,很容易被干擾、濫用、遺漏和丟失,甚至被泄露、竊取、篡改、冒充和破壞,還可能受到計算機病毒感染.幾乎所有的網(wǎng)站在建站開始及發(fā)展過程中,都似乎朝向便利性、實用性目標,往往忽略網(wǎng)絡安全環(huán)節(jié),給網(wǎng)絡發(fā)展埋下了深深的隱患.據(jù)公安部的資料,利用計算機網(wǎng)絡進行的各類違法行為在中國正以每年30%的速度遞增.黑客的攻擊方法已超過計算機病毒的種類,總數(shù)達近千種.目前已發(fā)現(xiàn)的黑客攻擊案約占安全事件總數(shù)的15%,多數(shù)事件由于沒有造成嚴重危害或商家不愿透露而未被曝光.有媒介報道,中國95%的與Internet相連的網(wǎng)絡管理中心遭到過境內(nèi)外黑客的攻擊或侵入,其中,銀行、金融和證券機構是黑客攻擊的重點,金融領域的黑客犯罪案件涉案金額已高達數(shù)億元.故隨著電子商務日益普及,網(wǎng)絡安全問題顯得異常突出,解決安全問題已成為我國電子商務正常發(fā)展的當務之急.

2 電子商務網(wǎng)絡安全面臨的風險

2.1 技術選擇風險

為了支撐網(wǎng)上業(yè)務的電子商務網(wǎng)站，必須選擇一種技術解決方案，這樣就產(chǎn)生了所選擇的技術方案在設計上可能出現(xiàn)的缺陷或被錯誤操作的風險.例如，在客戶信息的傳輸中，如果使用的系統(tǒng)與客戶終端的軟件互相不兼容，就可能導致傳輸中斷或速度降低.

2.2 系統(tǒng)安全風險

網(wǎng)絡經(jīng)濟環(huán)境下，商家需要利用網(wǎng)絡優(yōu)勢發(fā)展網(wǎng)絡金融，網(wǎng)絡金融是基于全球電子信息系統(tǒng)運行的金融服務形式，硬件及軟件等出現(xiàn)的故障或事故會引發(fā)新形式的風險.例如，由于應用軟件在研制過程中考慮不周或在編制程序時不夠嚴密導致應用軟件本身設計不完全，或未經(jīng)全面測試就投入使用，導致出現(xiàn)應用系統(tǒng)在超級用戶下運行、文件權限設置不正確、業(yè)務數(shù)據(jù)以明碼形式存放、容錯能力差、自我防御能力差等缺陷，系統(tǒng)在運行過程中往往會出現(xiàn)賬務錯亂、數(shù)據(jù)信息受損，更有甚者導致整個系統(tǒng)崩潰.

2.3 網(wǎng)絡黑客攻擊風險

網(wǎng)絡經(jīng)濟條件下，電子商務網(wǎng)絡安全進行網(wǎng)絡金融交易必須依靠計算機，依靠Internet，所有的交易資料都存儲在計算機上，通過互聯(lián)網(wǎng)傳遞的信息很容易成為眾多網(wǎng)絡黑客的攻擊目標.黑客針對Internet自身的一些缺陷，利用高超的技術和工具破壞網(wǎng)上數(shù)據(jù)，給進行電子交易的商家造成極大的危害.

2.4 病毒破壞風險

現(xiàn)階段計算機病毒越來越多，病毒的入侵往往造成網(wǎng)絡主機系統(tǒng)崩潰，帶來數(shù)據(jù)丟失等嚴重后果.計算機病毒普遍具有再生異化功能，可通過網(wǎng)絡進行擴散、傳播.如不能對病毒進行有效防范，將會毀壞所有數(shù)據(jù)，給商家網(wǎng)絡系統(tǒng)帶來致命威脅.

3 電子商務網(wǎng)絡安全問題產(chǎn)生的原因

3.1 自身的原因

商家運用現(xiàn)代通信、電子、軟件技術發(fā)展網(wǎng)絡金融，在很大程度上依賴于網(wǎng)絡的穩(wěn)定性.另外，我國商家運用網(wǎng)絡開展金融業(yè)務，還缺乏經(jīng)驗，操作不當會引起客戶對商家的網(wǎng)上服務不滿.作為網(wǎng)上商家識別用戶身份的一個重要手段，數(shù)字證書的作用、正確的使用方法首先應該清楚地向用戶說明.在實際使用過程中，大多數(shù)網(wǎng)上商家已經(jīng)提供了數(shù)字證書的使用，但事實上大多數(shù)用戶很難了解具有相當技術含量的數(shù)字證書的完整含義.

3.2 網(wǎng)絡系統(tǒng)方面的原因

從技術角度來分析，如何通過網(wǎng)絡真實表達交易雙方的意愿，即如何確保數(shù)據(jù)的真實性、保密性和可靠性是網(wǎng)絡金融面臨的主要問題.而網(wǎng)絡本身的脆弱行和隱秘性又使得商家在處理網(wǎng)上安全問題時更加棘手.

3.3 法律方面的原因

網(wǎng)絡商家在現(xiàn)在來說還是一個新事物，它的發(fā)展還需要國家的新商業(yè)法律法規(guī)的保護.它先進的信息技術也要一系列的法規(guī)相配套.但是我國的金融立法工作相對滯后，網(wǎng)絡金融立法還處于醞釀和發(fā)展中.目前，網(wǎng)絡商家采用的規(guī)則都是協(xié)議，出現(xiàn)爭端時責任的認定、承擔、仲裁結果執(zhí)行等復雜的法律關系問題是現(xiàn)有條件下難以解決的.隨著網(wǎng)絡商家的發(fā)展，各商家、高科技商家勢必為爭奪市場和客戶展開激烈競爭.針對目前網(wǎng)絡金融活動中出現(xiàn)的問題，借鑒先進國家的經(jīng)驗，建立相關的法律，以規(guī)范網(wǎng)絡金融參與者的行為,及時出臺相應的法律是非常必要的,加快電子商務和網(wǎng)絡商家的立法進程.

4 當前電子商務網(wǎng)絡安全的防范措施和解決方法

目前國際通行的做法是采用CA安全認證系統(tǒng).CA是Certificate Authority的縮寫，是證書授權的意思.在電子商務系統(tǒng)中，所有實體的證書都是由證書授權中心即CA中心分發(fā)并簽名的.一個完整、安全的電子商務系統(tǒng)必須建立起一個完整、合理的CA體系.

CA安全認證與基于RSA的非對稱密鑰加密構成了PK體系的核心.PKI（Pubic Key Infrastructure）是一種構建于非對稱密鑰算法基礎上，利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規(guī)范，是目前比較成熟、完善的Internet網(wǎng)絡安全解決方案.

安全認證的主要作用是進行信息認證.信息認證的目的有兩個：確認信息發(fā)送者的身份；驗證信息的完整性，即確認信息在傳送或存儲過程中末被篡改過.常用的安全認證技術主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書等.

4.1 數(shù)字簽名

數(shù)字簽名是通過密碼技術對電子文檔以電子形式簽名.數(shù)字簽名采用Hash函數(shù)和公鑰算法兩種機制雙重加密的方法來實現(xiàn)防偽、防盜,保證了數(shù)據(jù)完整性的同時又保證了數(shù)據(jù)的真實性，其完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改，真實性則保證是由確定的合法者產(chǎn)生的Hash，而不是由其他人假冒.

數(shù)字簽名機制提供了一種鑒別方法，普遍用于商家、電子貿(mào)易等，以解決偽造、抵賴、冒充、篡改等問題數(shù)字簽名是通過密碼技術對電子文檔以電子形式簽名.

4.2 數(shù)字證書

所謂數(shù)字證書，就是用電子手段來證實一個用戶的身份及用戶對網(wǎng)絡資源的訪問權限.數(shù)字證書是認證中心為交易各方頒發(fā)的身份憑證，它是一個經(jīng)CA數(shù)字簽名的、包含證書申請者（公開密鑰擁有者）個人信息及其公開密鑰的文件.基于公開密鑰體制（PKI）的數(shù)字證書是用來確認安全電子商務交易雙方身份的工具，由于它由證書管理中心作了數(shù)字簽名，因此任何第三方都無法修改證書的內(nèi)容.任何交易雙方只有申請到相應的數(shù)字證書，才能參加安全電子商務的網(wǎng)上交易.數(shù)字證書一般有四種類型客戶證書、商家證書、網(wǎng)關證書及CA系統(tǒng)證書.

數(shù)字證書是用戶進行電子商務活動的網(wǎng)上身份證.用數(shù)字證書進行安全電子郵件的通信，在網(wǎng)上安全傳送電子公文，進行網(wǎng)上報稅.網(wǎng)上申請執(zhí)照等各種事物活動，或者進行安全的網(wǎng)上購物、網(wǎng)上銷售、網(wǎng)上交費等各種貿(mào)易活動.

4.3 數(shù)字憑證

數(shù)字憑證又稱為數(shù)字證書，是用電子手段來證實一個用戶的身份和對網(wǎng)絡資源的訪問的權限.在網(wǎng)上的電子交易中,如雙方出示了各自的數(shù)字憑證，并用它來進行交易操作，那么雙方都可不必為對方身份的真?zhèn)螕?數(shù)字憑證的內(nèi)部格式是由CCITT X.509國際標準所規(guī)定的，它包括：憑證擁有者的姓名、憑證擁有者的公共密鑰、公共密鑰的有效期、頒發(fā)數(shù)字憑證的單位、數(shù)字憑證的序列號（Serial number）.數(shù)字憑證現(xiàn)已經(jīng)應用于電子郵件、電子商務、電子基金轉(zhuǎn)移等各種用途.

4.4 數(shù)字時間戳

數(shù)字時間戳服務（DTS）指能提供電子文件發(fā)表時間的網(wǎng)絡安全服務項目，由專門的機構提供.時間戳是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要、DTS收到文件的日期和時間，DTS的數(shù)字簽名.

數(shù)字時間戳產(chǎn)生的過程為：用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要.然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密 （數(shù)字簽名），然后送回用戶.時間戳是由認證單位DTS來加封的，以DTS收到文件的時間為依據(jù).因此，時間戳也可作為科學家的科學發(fā)明文獻的時間認證.

4.5 防火墻技術

電子商務中的防火墻主要是為了防止黑客利用不安全的服務對傳輸數(shù)據(jù)和信息進行攻擊，阻止未授權的用戶對信息資源的非法訪問，甚至是對網(wǎng)絡實施檢查，決定網(wǎng)絡之間的通信權限，監(jiān)視網(wǎng)絡的狀態(tài).防火墻技術主要有：包過濾型、代理服務型、復合型等三種.

防火墻是建立在通信技術和信息安全技術之上，它用于在網(wǎng)絡之間建立一個安全屏障，根據(jù)指定的策略對網(wǎng)絡數(shù)據(jù)進行過濾、分析和審計，并對各種攻擊提供有效的防范.防火墻主要用于Internet連接人和專用網(wǎng)與公用網(wǎng)之間的安全連接.

4.6 聲紋識別技術

聲紋識別又稱說話人識別，是指通過說話人語音信號的分析處理，自動確認說話人是否在所記錄的話者集合當中，以進一步確認說話人的身份.說話人識別技術是在提取原始語音信號中某些特征參數(shù)的基礎上，建立相應的參考模版或模型，然后按照一定的判決規(guī)則進行識別，最后完成確認.這樣，對于在線支付交易來說，利用聲紋技術與數(shù)字加密技術的結合來進行認證，能夠使交易的安全性得到更大的提高.

4.7 指紋識別技術

指紋識別技術是利用人類指紋的特征，通過對指紋圖案采樣、特征信息提取并與庫存樣本相比較的過程來實現(xiàn)身份識別的技術.

電子商務的發(fā)展網(wǎng)絡安全問題是首要解決的問題.但是，電子商務是一種日益廣泛的社會現(xiàn)象，不但要從社會角度多方面多層次地去構建電子商務的安全保障體系，更重要地是在技術方面，設計一個基于各種先進的身份認證技術、加密技術、電子商務三者相結合的安全體制，確保電子交易有效、安全地進行，必將大大推動電子商務的發(fā)展.

〔1〕張成虎，邱天.電子簽名法對我國網(wǎng)上商家的影響及對策[J].中國金融電腦，2004.

〔2〕吳亮，張迎春，程旺江.電子商家的資源整合與組織協(xié)調(diào)[J].中國金融電腦，2004.

〔3〕張卓其，史明坤.網(wǎng)上支付與網(wǎng)上金融服務[M].東北財經(jīng)大學出版社，2008.

〔4〕崔援民.電子商務[M].經(jīng)濟管理出版社，2010.

〔5〕薛偉，史達.網(wǎng)絡安全[M].東北財經(jīng)大學出版社，2006.

〔6〕王載新.程序設計基礎[M].清華大學出版社，2004.

TP393.08

A

1673-260X（2012）09-0008-03