王慶

摘要：電子商務(wù)在我國一種新興的交易方式，它利用計算機網(wǎng)絡(luò)實行跨區(qū)域的商務(wù)交易。方便、快捷已經(jīng)成為人們現(xiàn)代商務(wù)活動的主要模式。越來越多商家和客戶通過網(wǎng)絡(luò)進行商務(wù)交易，分析目前電子商務(wù)的現(xiàn)狀及網(wǎng)絡(luò)環(huán)境的安全問題，提出了相應(yīng)的管理的要求和安全措施，對研究今后電子商務(wù)的發(fā)展及正常運轉(zhuǎn)具有十分重要的意義。

關(guān)鍵詞：電子交易；信息安全；網(wǎng)絡(luò)技術(shù)

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）02-0428-02

電子商務(wù)其中包含了信息流、資金流以及物流等，在我國的經(jīng)濟大發(fā)展中是一個熱點問題，但是我們國家電子商務(wù)在發(fā)展過程中還存在這基礎(chǔ)設(shè)施不足，電子支付平臺安全性得不到保障等一系列的問題，嚴重地影響了電子商務(wù)的發(fā)展。電子商務(wù)的迅猛發(fā)展，已經(jīng)是人們進行電子商務(wù)活動的主要業(yè)務(wù)平臺和新的商務(wù)交易模式。和傳統(tǒng)的線下交易不同，線上的交易面臨的安全威脅各種各樣，比如網(wǎng)絡(luò)黑客、釣魚木馬、病毒等均來自Internet的攻擊。在嚴重復(fù)雜的情況下時候還有可能會造成交易雙方的經(jīng)濟利益受到損失。這說明，數(shù)據(jù)的安全問題是目前制約這我國電子商務(wù)快速發(fā)展的重要原因之一。建立一個安全、方便、快捷的電子商務(wù)應(yīng)用的網(wǎng)絡(luò)平臺，確保在整個交易活動過程中，貿(mào)易雙方信息的絕對安全，使得整個基于Internet的線上交易和傳統(tǒng)的線下交易一樣可靠和安全，已經(jīng)成為人們十分關(guān)注的一個技術(shù)問題。

1 電子商務(wù)交易的安全分析

1.1 我國電子商務(wù)目前面臨的安全威脅

這些年來的影響越來越大，由于電子商務(wù)的交易活動是一個在開放的虛擬的線上進行，最容易會受到來自第三方和黑客的攻擊，安全方面發(fā)生率較高的威脅事件普遍有以下幾個：信息泄漏、信息破壞、不進行身份識別、黑客。

1）攻擊者利用技術(shù)手段通過截獲工具截獲網(wǎng)絡(luò)上機密、加密的數(shù)據(jù)并通過分析軟件分析出有用的數(shù)據(jù)，交易的雙方的信息被第三方盜竊，這樣交易的其中一方的文件會被攻擊者所使用。木馬常常被潛伏于計算機系統(tǒng)中，其具有的隱蔽性、指令控制方便等特點。一般是通過指令控制為主，很多的數(shù)客高手會在網(wǎng)絡(luò)入侵的時候就已經(jīng)將木馬植入。

2）交易信息在傳輸過程中被他人非法修改，刪除使信息失去了真實性。主要利用互聯(lián)網(wǎng)上計算機系統(tǒng)的漏洞入侵系統(tǒng)，計算機病毒傳播的速度異?？?，甚至幾小時傳遍整個互聯(lián)網(wǎng)。

3）假如對真實身份進行有效的識別，攻擊者就有可能假冒交易的期中一方介入到整個交易的過程中，來壞信譽、破壞交易，最終騙取到錢財。

4）往往黑客會利用自己扎實的計算機專業(yè)技術(shù)，對Internet上的一些信息數(shù)據(jù)進行偽造和修改，有可能會造成嚴重的惡劣事件以及經(jīng)濟方面的損失。分布式的拒絕服務(wù)攻擊就是目前攻擊者們最喜歡和最經(jīng)常采用而且是比較難防范的攻擊手段之一，攻擊輕就會出現(xiàn)網(wǎng)絡(luò)擁塞，如果將其與病毒結(jié)合起來，潛在的損失、威脅造成的后果將是非常嚴峻的。

1.2 目前電子商務(wù)網(wǎng)絡(luò)環(huán)境對信息安全的要求

由于目前網(wǎng)絡(luò)環(huán)境對信息安全的威脅，所以對電子商務(wù)平臺網(wǎng)絡(luò)環(huán)境的安全要求：OS的可靠性、電子商務(wù)交易的真實性、資料的完整性、資料的安全性、交易的不可抵賴性。

1）操作系統(tǒng)的可靠性，是為了防止傳輸?shù)腻e誤，計算機的硬件的故障，以及計算機病毒存在的潛在威脅，通過預(yù)防、控制等手段來確保系統(tǒng)的安全可靠。

2） 電子商務(wù)交易身份的真實性，是電商的買賣雙方都不在同一個地方，交易可以在支付完成前對方身份的可靠性來進行確認，賣方會考慮在履行約定之后是否能受到買方的貨款，買方要考慮在線支付了貨款后能不能保質(zhì)受到商品。

3） 資料的完整性是網(wǎng)上傳輸?shù)馁Y料信息不會被篡改。但是在信息的傳輸過程中，往往會有意外欺騙的情況發(fā)生，數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中可能會發(fā)生丟失等有可能會使交易雙方收到的信息不一樣，直接影響交易結(jié)果，確保網(wǎng)絡(luò)中傳輸?shù)男畔⑼暾允悄壳半娮由虅?wù)的應(yīng)用最基本的條件之一。

4） 數(shù)據(jù)的安全性，也就是線上交易的過程中數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸安全性，保必須證信息不會泄露給非授權(quán)方，不會被篡改和竊取。必須確保只有合法的用戶才可以看到最終真實的數(shù)據(jù)。

5） 線上交易的不可抵賴性，保證電子商務(wù)交易雙方不能否認自己已經(jīng)發(fā)送了的信息，在這同時，信息的接受方也不能否認已經(jīng)接收到了信息，交易一旦已經(jīng)形成，原發(fā)送方就不能抵賴所發(fā)信息，接收方也不能否認已經(jīng)接收到發(fā)送方的信息了。這就要求電子交易的網(wǎng)絡(luò)通信過程中各個環(huán)節(jié)的都不能被否認，都沒有辦法推脫其義務(wù)和責(zé)任。

2 目前電子商務(wù)主要的安全技術(shù)

2.1 網(wǎng)絡(luò)環(huán)境的安全技術(shù)

計算機網(wǎng)絡(luò)環(huán)境安全涉及到的技術(shù)是非常多的，可以在網(wǎng)絡(luò)中使用虛擬專用網(wǎng)技術(shù)（VPN）、漏洞的檢測技術(shù)、防火墻火墻技術(shù)和操作系統(tǒng)本身的安全功能技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)是實際上就是一種防止外網(wǎng)的非法用戶入利用技術(shù)手段入侵訪問內(nèi)部網(wǎng)絡(luò)的資源，起到保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境安全的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它采用的方法就是按照各種安全策略具體的部署要求，對網(wǎng)絡(luò)上沒有授權(quán)的訪問用戶的數(shù)據(jù)進行有效屏蔽和修改，確保內(nèi)部網(wǎng)絡(luò)系統(tǒng)和用戶數(shù)據(jù)的安全。目前的防火墻技術(shù)有代理服務(wù)、包過濾等。漏洞檢測主要是依據(jù)先前設(shè)置好的安全策略對數(shù)據(jù)進行有效的分析和審計。虛擬專用網(wǎng)（VPN）就是利用隧道的加密技術(shù)，能夠使數(shù)據(jù)在Interne中傳播的安全。操作系統(tǒng)本身也有很多安全風(fēng)險，系統(tǒng)的漏洞要及時查補，防止木馬和病毒在網(wǎng)上惡意傳播。

2.2 數(shù)據(jù)加密技術(shù)

電子商務(wù)的安全措施之一就是對數(shù)據(jù)進行有效加密，網(wǎng)絡(luò)中數(shù)據(jù)的安全主要依賴于密碼技術(shù)來解決。數(shù)據(jù)加密就是對在Internet中正在傳輸中的數(shù)據(jù)流根據(jù)某種加密算法進行有效加密，就目前而言，對數(shù)據(jù)進行加密常用的是對稱密鑰加密技術(shù)、非對稱密鑰加密技術(shù)。對稱加密實際上就是加密或解密都是用同一個相同密鑰，對稱密鑰的加技術(shù)的安全性主要是依賴于密鑰，如果把密鑰泄露出去了，這也就說明所有人都能對數(shù)據(jù)進行加密或者解密。其優(yōu)點是使用比較簡單，加密的速度也是很快的比較適用對大量的數(shù)據(jù)加密；缺點是在傳輸?shù)倪^程中不能保證密鑰的安全，目前常用的有IBM公司的DES算法。非對稱加密技術(shù)也叫公開密鑰加密技術(shù)，其將密鑰分為公鑰、私鑰，兩者形成了一個密鑰對，將公鑰對外界開放，私鑰則通常由發(fā)布者自己本人保存著。目前常用的非對稱加密算法主要為RSA和DSS等等。

2.3 交易過程中的認證技術(shù)

對網(wǎng)絡(luò)中交易數(shù)據(jù)的基本加密是不能滿足交易絕對安全的，還需要對用戶信息進一步的識別、認證。認證技術(shù)是電子商務(wù)的不可缺少的重要技術(shù)手段，其主要的目的就是用來識別和認證交易雙方身份的真實性，防止被第三者通過技術(shù)手段冒名頂替。其主要技術(shù)手段包括了數(shù)字簽名、數(shù)字摘要、數(shù)字時間戳、數(shù)字證書等。通過數(shù)字簽名能夠解決否認、偽造、篡改、和冒充等問題，數(shù)字簽名算法有：Hash簽名、DSS簽名、RSA簽名等。數(shù)字摘要則是采用單向的Hash函數(shù)來對傳輸文件的中若干個重要元素進行某種變換運算，最終得到一定長度的摘要碼，此方法解決了交易信息在電子商務(wù)中的完整性。利用數(shù)字證書技術(shù)來證明一個用戶的身份以及用戶對網(wǎng)絡(luò)的使用權(quán)限，目前是被廣泛采用的一項技術(shù)之一。

3 安全策略

在網(wǎng)絡(luò)安全技術(shù)防范實施的同時，首先要保證電腦自己本身的安全，可以對補丁定時更新，這樣可以使系統(tǒng)漏洞減少。按時對Internet環(huán)境進行掃描并分析，得出分析報告。這樣來可以在黑客和病毒攻擊前就進行有效的預(yù)防，可以將損失降低到最小。再次，還要在Internet上安裝入侵檢測系統(tǒng)和防火墻，來對網(wǎng)絡(luò)上設(shè)置好全方位的安全策略，對信息進行充分有效的過濾。隨著黑客日趨多樣化的攻擊手法和攻擊方法，單純靠防火墻技術(shù)是不能滿足對信息安全的需求，還是需要在防火墻的基礎(chǔ)上建立一個入侵檢測系統(tǒng)來對Internet信息安全和計算機系統(tǒng)的運行狀況進行有效監(jiān)測，盡可能早地發(fā)現(xiàn)來自網(wǎng)絡(luò)的各種攻擊行為。最后，要加強數(shù)據(jù)備份，并且還要留有備份鏈路，通過備份工具來應(yīng)對攻擊者的攻擊。

在Internet上信息的安全保證方面：可以使用數(shù)字證書技術(shù)和SSL安全通信協(xié)議，對于交易相對簡單的B2C，就采用相對簡單易行的SSL單向認證技術(shù)來實現(xiàn)。對于在信息安全上要求嚴格的B2B，就要通過身份認證技術(shù)來進行嚴格安全的管理；對于涉及到商業(yè)機密的，要對數(shù)據(jù)進行加密后再在網(wǎng)絡(luò)上傳輸；對于保證不可抵賴性，可以用數(shù)字簽名技術(shù)來保證合同和交易的完整性。交易要建立好保密制度，并且要求要嚴格。

4 結(jié)論

總之，電子商務(wù)安全是個非常復(fù)雜的問題，它的保障必須是多層次的，需要網(wǎng)絡(luò)安全技術(shù)的不斷進步，但僅僅靠通過技術(shù)手段來防范還是遠遠不夠的，同時也需要管理上的會有進步，還需要從法律法規(guī)和國家道德層面等方面入手，來努力推動和促進我國電子商務(wù)的有序健康快速發(fā)展。

參考文獻：

[1] 鐘誠.電子商務(wù)安全[M].重慶：重慶大學(xué)出版社，2004.

[2] 楊堅爭.電子商務(wù)基礎(chǔ)與應(yīng)用[M].5版. 西安：西安電子科技大學(xué)出版社，2007.