信息時代計算機電子商務的安全策略分析

蔣維梁/文

電子商務范圍觸及到商品和服務相關人員方方面面的行為，因此它的行為中包含了豐富的信息。電子商務所涉領域很寬，幾乎涵蓋了商品和服務交易的所有步驟，包括商品的買賣、促銷、推廣、銀行、信息咨詢、電子支付等等，通過它可以將商家、客戶、中介機構(gòu)、銀行，甚至于政府連接在一起。在這個過程中，電子商務包含的信息是海量的，廣泛的，且內(nèi)容復雜，一旦這些信息遭到泄露，對企業(yè)、個人來說都是一種潛在的威脅。

電子商務中信息安全的重要性

電子商務面向公眾開放，因此電子商務是否能夠保證公眾的信息安全至關重要。信息安全有四個特性：完整性，保密性、可用性、可靠性。在完全開放的電子商務環(huán)境中，如何保證公眾主體的信息安全的完整、保密、可靠、可用，是必須解決的問題，且迫在眉睫，因為網(wǎng)絡入侵、黑客攻擊等行為正逐漸猖狂。

1.完整性

完整的信息是正常完成交易的前提。要保證網(wǎng)絡上傳輸?shù)男畔⒉槐黄茐?，不被隨意修改、生成、刪除，不在數(shù)據(jù)傳送中失真，不重復傳送，不無序傳送。

2.保密性

電子商務應用推廣的重要基礎是商業(yè)機密不被泄露，不被非法存取信息，在信息傳輸中不被盜竊。

3.可用性

雙方利益的達成需要可用的、有效的信息。開放的電子商務環(huán)境中可能面臨網(wǎng)絡故障、硬件故障、軟件程序錯誤、計算機病毒入侵等潛在威脅，必須及時采取預防和控制措施，保證信息的可用。

4.可靠性

電子商務交易重要環(huán)節(jié)之一是保證雙方是期望的對方。因此，安全可靠的交易系統(tǒng)非常重要。計算機網(wǎng)絡、系統(tǒng)軟件、程序的正常運行，是得到安全可靠目標的必要技術。

計算機電子商務中存在的信息安全問題

信息安全的重要性告訴我們，在電子商務中必須把信息安全擺在顯明的位置，并著手解決存在的棘手難題?，F(xiàn)在電子商務中的信息安全主要有以下幾點：

（一）信息存儲中的安全問題

信息存儲安全是指當信息處于靜態(tài)存放時的安全。電子商務運行在開放的環(huán)境中，可能面臨以下威脅：

內(nèi)部不安全因素。發(fā)生于企業(yè)內(nèi)部之間，企業(yè)客戶非授權(quán)下的隨意刪減、修改和調(diào)用。

外部不安全因素。外部人員采取非法手段入侵計算機網(wǎng)絡，故意或過失調(diào)用電子商務信息及對其進行隨意增刪。這個不穩(wěn)定威脅來源有：黑客攻擊、信息間諜的非法闖入、競爭對手的故意破壞等。

（二）信息傳輸中的安全問題

信息傳輸安全指當信息處于動態(tài)運輸時的安全，主要不安全威脅來源有：傳輸信息在運輸過程中被篡改；被截獲；被偽造；否認已經(jīng)做過的交易；網(wǎng)絡硬件被損壞；網(wǎng)絡軟件程序錯誤等等，這些都可能會導致信息傳輸丟失、失真。

（三）交易雙方存在的信息安全問題

電子商務交易是對傳統(tǒng)商品和服務交易的一種突破，打破了時間和空間、形式上的限制，買賣雙方僅通過網(wǎng)絡交流就可以完成交易。這種交易方式在帶來便利的同時，也帶來一些問題。

1.賣方存在的信息安全威脅

主要安全威脅有：（1）惡意程序如特洛伊木馬會破壞電子商務信息；（2）信息間諜通過高科技方式竊取并非法使用商業(yè)秘密；（3）惡意競爭商假冒用戶名入侵網(wǎng)絡內(nèi)獲取需要的營銷和客戶信息；（4）黑客攻擊服務器，導致電子商務交易程序無法正常操作；（5）冒名改變交易內(nèi)容，損毀商家的名譽，損害用戶利益。

2.買方存在的信息安全威脅

買方既可以上個人，也可以是企業(yè)、銀行等組織。買方信息安全威脅主要表現(xiàn)形式有：（1）傳遞的交易信息被截獲、篡改，導致信息不完整，交易失??；（2）身份被假冒。有人假冒用戶身份信息和對方交易，導致要求付賬或返還商品；（3）黑客攻擊，設備故障造成丟失信息；（4）域名被監(jiān)聽和擴散，被迫接收大量的垃圾信息，甚至隱私被竊??；（5）因為虛假廣告的誤導購買了劣質(zhì)產(chǎn)品或被騙財物。

保障計算機電子商務中信息安全的措施

電子商務正如一把雙刃劍，在給社會帶來改變和便利的同時，也帶來一些隱憂，比如第二部分提出的信息安全問題，必須尋找積極措施予以預防和控制。如何保證電子商務中的信息安全，已經(jīng)引起許多學者的關注和研究，筆者認為安全目標的達成，不僅需要技術的跟進，更需要一些措施的輔助。

（一）研究保障信息安全的各種技術

電子商務是計算機網(wǎng)絡技術發(fā)展帶來的必然趨勢，技術的完善與否，可以從源頭上保證信息安全。因此，研究更先進的網(wǎng)絡安全技術非常重要。鑒于目前技術發(fā)展情況，筆者認為應重點研究以下技術：

（二）防火墻技術

防火墻是一種用來加強網(wǎng)絡之間介入控制機制的系統(tǒng)，以單個或群體狀態(tài)存在，可以監(jiān)控所有由內(nèi)到外的流量，且只允許授權(quán)的數(shù)據(jù)流量通過，屬于一種極具免疫力的系統(tǒng)，阻止非法入侵。首先進行防火墻安全設計，如拒絕所有服務器除非它得到特殊授權(quán)；允許所有服務除非它被特殊拒絕。其次，利用防火墻設計網(wǎng)絡服務訪問權(quán)限，如不允許從本站點到Internet的訪問，但允許Internet到站點的訪問，或相反；過濾一些不安全協(xié)議的域；只允許Internet到本站點的部分訪問權(quán)限。

（三）數(shù)據(jù)加密技術

信息加密可以保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令等信息完整，不被隨意破解。加密最常用的技術有對稱加密技術、非對稱加密技術、前兩者結(jié)合技術?，F(xiàn)在常用的常規(guī)密鑰密碼體系的算法有：數(shù)據(jù)加密標準DES、國際數(shù)據(jù)加密算法IDEA、三重DES等。

（四）身份識別技術

身份識別技術主要針對交易雙方的身份而言，要確認信息發(fā)送者的身份，驗證身份是否正確，發(fā)送的信息是否完整，是否有被篡改。（1）數(shù)字標志，通過電子手段來辨別用戶身份真假與對網(wǎng)絡資源的訪問權(quán)限，證明身份需要利用認證中心簽發(fā)的數(shù)字證書。（2）電子商務認證中心，CA是承擔網(wǎng)上交易安全認證服務、簽發(fā)數(shù)字證書的企業(yè)性服務機構(gòu)，對數(shù)字證書進行管理。

（五）防病毒技術

（1）檢測病毒技術，從計算機的病毒特征入手偵測病毒的技術；（2）預防病毒技術，利用自身常駐系統(tǒng)內(nèi)存的優(yōu)勢，獲取系統(tǒng)控制權(quán)，然后監(jiān)視系統(tǒng)中毒的情況，采取技術手段阻止計算機病毒進入到系統(tǒng)內(nèi)搞破壞。（3）消除病毒技術，通過對計算機病毒分析，利用消除技術消滅病毒，恢復原文件。

（六）加強網(wǎng)絡安全基礎設施建設

網(wǎng)絡系統(tǒng)的信息安全，并不是只要設置了大量防火墻，加了多層密保就可以獲得足夠安全，因為計算機芯片與中央處理器等核心部件，包括系統(tǒng)軟件，都是別人設計生產(chǎn)，這對我國網(wǎng)絡信息安全而言，是一個很大的弊端。而電子商務作為國民經(jīng)濟的新興的增長點，信息安全至關重要，因此必須加強網(wǎng)絡安全基礎設施建設，包括公開密鑰基礎設施建設、應急響應處理基礎設施建設、信息安全產(chǎn)品檢驗評估基礎設施建設等。

（七）完善電子商務發(fā)展的法律法規(guī)

1.交易安全方面的法律制定

我國是法治國家，開放的電子商務交易需要得到國家法律的保護，同時接受法律制約。我國電子商務法律還并不健全，如何保護交易雙方的隱私安全，保護用戶自主訪問控制的Internet信息的權(quán)利，怎樣解決電子商務交易帶來的糾紛和矛盾，如何防止詐騙等，這些都需要國家法律積極制定相關的法律。

2.電子支付方面的法律制定

電子支付涉及到付款人、收款人和銀行三個主體，必須明確三者之間的法律關系；出臺對電子字符數(shù)據(jù)的變造、篡改、偽造、賒銷問題的處理辦法；制定電子支付的支付機制，對電子簽名予以承認。

電子商務信息安全已成為電子商務進一步發(fā)展的瓶頸之一，如果得到妥善解決，電子商務交易會更上一層樓。因此國家應加大對信息產(chǎn)業(yè)，尤其是信息安全技術的投入，研究出更為嚴密、安全、高級的信息安全技術，增加人們使用電子商務交易的信心。同時，國家要繼續(xù)電子商務立法，從法律層面加強對電子商務的管理和控制，解決信息時代下電子商務發(fā)展存在的各種難題，從而促進中國電子商務更加健康、更加快速地向前發(fā)展，完成真正的飛躍。