檀學(xué)林

（赤峰工業(yè)職業(yè)技術(shù)學(xué)院 內(nèi)蒙古 024000）

0 引言

隨著電子商務(wù)的普及與發(fā)展，電子商務(wù)的安全問題也越來越受到人們的關(guān)注。據(jù)中國互聯(lián)網(wǎng)信息中心（CNNIC）2013年7月的統(tǒng)計報告，用戶認(rèn)為目前網(wǎng)上交易存在的問題除去產(chǎn)品質(zhì)量、售后服務(wù)及廠商信用得不到保障外，就是安全性得不到保障。由此可見，電子商務(wù)交易的安全問題已經(jīng)成為制約電子商務(wù)發(fā)展的一個重要因素。下面將就電子商務(wù)安全問題，談?wù)剛€人的看法。

1 電子商務(wù)安全的要素

1.1 有效性

電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式的貿(mào)易信息的有效性則是開展電子商務(wù)的前提。因此，要對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤、黑客及計算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點(diǎn)是有效的。

1.2 機(jī)密性

傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個開放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防信息存取和信息傳輸過程被非法竊取。

1.3 完整性

電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)同時也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整性、一致性的問題。由于數(shù)據(jù)輸入時的意外差錯、數(shù)據(jù)傳輸過程中信息的丟失，信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同，它將影響到貿(mào)易各方的交易和經(jīng)營策略。因此，要預(yù)防對信息的隨意生成、修改和刪除。同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的一致性。

1.4 可靠性、不可抵賴性和可鑒別性

電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定交易雙方身份的可靠性是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在傳統(tǒng)的貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴確定合同、契約，單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

1.5 審查能力

根據(jù)機(jī)密性和完整性的要求，應(yīng)對交易數(shù)據(jù)及交易過程記錄能夠進(jìn)行審查。

2 電子商務(wù)所面臨的安全問題

2.1 操作系統(tǒng)抵御攻擊能力方面

對操作系統(tǒng)攻擊主要包括為授權(quán)存取、越權(quán)使用、信息泄露、用戶過多占用系統(tǒng)資源等。

2.2 應(yīng)用系統(tǒng)安全方面

應(yīng)用系統(tǒng)安全是指上機(jī)系統(tǒng)上的應(yīng)用軟件層面的安全，如web服務(wù)器、proxy服務(wù)器、數(shù)據(jù)庫的安全問題。攻擊者可以利用應(yīng)用系統(tǒng)的漏洞、安全隱患實(shí)施攻擊，從而影響系統(tǒng)正常運(yùn)行。

2.3 人員管理方面

最堅固的堡壘，最容易被人從內(nèi)部攻破。據(jù)統(tǒng)計，70% 以上的信息安全案件是由于內(nèi)部管理疏忽導(dǎo)致的。例如，1996年2月，EPSON公司離職人員入侵公司系統(tǒng)就是一個典型。

2.4 網(wǎng)絡(luò)安全方面

網(wǎng)絡(luò)安全包括：大部分 Internet協(xié)議沒有進(jìn)行安全設(shè)計，信息傳輸采用明文傳輸；外部用戶非授權(quán)訪問嘗試；假冒主機(jī)或用戶：對信息完整性的攻擊；對信息流次序、內(nèi)容進(jìn)行修改；服務(wù)干擾等。

2.5 抵御黑客、病毒攻擊的能力方面

黑客和病毒是目前影響互聯(lián)網(wǎng)安全的兩大主要因素。它們能破壞系統(tǒng)，使電子商務(wù)系統(tǒng)不能正常運(yùn)行；能盜取商務(wù)系統(tǒng)的敏感資料，比如客戶資料，帳戶資料，業(yè)務(wù)情況等等；能利用非法盜取的帳戶資料對用戶進(jìn)行干擾和破壞，比如，惡意購銷等，給帳戶造成損失并且破壞帳戶的信譽(yù)。

3 電子商務(wù)安全的解決方案

當(dāng)前比較流行的安全手段主要有如下幾種：

3.1 電子商務(wù)系統(tǒng)防火墻

電子商務(wù)系統(tǒng)防火墻必須為系統(tǒng)提供以下保障：（1）保證電子商務(wù)系統(tǒng)平臺不受到入侵。該保障要求防火墻封鎖所有信息流，然后對希望提供的服務(wù)逐項(xiàng)開放。這是一項(xiàng)非常實(shí)用的方法，可以形成一種十分安全的環(huán)境。因?yàn)橹挥薪?jīng)過過濾授信的服務(wù)才被允許使用。（2）提供完善的審計機(jī)制。對所有的商業(yè)事務(wù)處理進(jìn)行審計，以便安全管理和責(zé)任追究。（3）保護(hù)關(guān)鍵部門不受到來自內(nèi)部或外部的攻擊。（4）確保所有電子商務(wù)應(yīng)用都是授權(quán)訪問，為通過 Internet與遠(yuǎn)程訪問的客戶提供安全通道。基于保障目標(biāo)，防火墻應(yīng)過濾所有信息流，然后逐項(xiàng)屏蔽可能有害的服務(wù)。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，可為用戶提供更多的服務(wù)。（5）數(shù)據(jù)源控制。使用過濾模塊來檢查數(shù)據(jù)包的來源和目的地，根據(jù)管理員的規(guī)定接受或拒收數(shù)據(jù)包。（6）對私有數(shù)據(jù)的加密支持，保證私人往來和商務(wù)活動信息不受破壞。使用授權(quán)控制，客戶端認(rèn)證只允許指定的用戶訪問內(nèi)部網(wǎng)絡(luò)或選擇服務(wù)。（7）反欺騙。欺騙是從外部獲取網(wǎng)絡(luò)訪問權(quán)的常用手段，它使數(shù)據(jù)包好似來自網(wǎng)絡(luò)內(nèi)部，電子商務(wù)系統(tǒng)防火墻能監(jiān)視這樣的數(shù)據(jù)包并能扔掉他們。但防火墻并不是萬能的，它不能防止內(nèi)部網(wǎng)用戶對資源的攻擊，不能防范人為因素的攻擊，不能防止數(shù)據(jù)驅(qū)動式的攻擊等等。

3.2 數(shù)字證書與CA認(rèn)證

由于電子商務(wù)在網(wǎng)絡(luò)中完成，交易雙方互相之間不見面。因此為了保證每個人及機(jī)構(gòu)都能惟一且被準(zhǔn)確無誤地識別，就需要進(jìn)行網(wǎng)上身份認(rèn)證，這可以通過驗(yàn)證參與各方的數(shù)字證書來實(shí)現(xiàn)。數(shù)字證書它采用PKI（Public Key Infrastructure：公共密鑰體系）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，是由認(rèn)證中心（CA即Certificate Authority）頒發(fā)的。CA專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書。具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)，其作用就像現(xiàn)實(shí)生活中頒發(fā)證件的機(jī)構(gòu)。

3.3 安全認(rèn)證協(xié)議

（1）安全套接層SSL協(xié)議。SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于 RSA和保密密鑰的用于瀏覽器和web服務(wù)器之間的安全連接技術(shù)。SSL協(xié)議的概念可以被概括為：它是一個保證任何安裝了安全套接層的客戶和服務(wù)器間事務(wù)安全的協(xié)議。該協(xié)議向基于TCP／IP的客戶服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。目的是為用戶提供 Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)。SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法，連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如 HTTP FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩?。SSL采用了公開密鑰和專有密鑰兩種加密：在建立連接過程中采用公開密鑰；在會話過程中使用專有密鑰。

（2）安全電子交易SET協(xié)議

SET提供對消費(fèi)者、商戶和收單行的認(rèn)證，確保交易數(shù)據(jù)的安全性、完整性和交易的不可否認(rèn)性，特別是保證了不會將持卡人的信用卡號泄露給商戶。

保證信息的加密性：通過使用公共密鑰和對稱密鑰方式加密，保證在公網(wǎng)上的信息安全傳輸，只有收件人才能訪問和解密該信息。

驗(yàn)證交易各方：通過使用CA安全認(rèn)證技術(shù)確認(rèn)交易各方的真實(shí)身份。

保證支付的完整性和一致性：通過使用Hash算法和數(shù)字簽名來確定數(shù)據(jù)是否被篡改，以確保數(shù)據(jù)完整（末被篡改）地被收件人接收，并可以完成交易而防止抵賴。

保證互操作性：保證不同廠商的產(chǎn)品使用同樣的通信協(xié)議和信息格式，從而可互相集成。

4 結(jié)語

本文對實(shí)現(xiàn)電子商務(wù)安全性的各種技術(shù)進(jìn)行了討論，研究了各種安全技術(shù)的實(shí)現(xiàn)。如何利用這些現(xiàn)有技術(shù)，實(shí)現(xiàn)電子商務(wù)安全有性的應(yīng)用需求，仍然是今后一段時間內(nèi)值得大力研究的課題。

[1]黃小虎 李朗 胡致杰，電子商務(wù)安全問題研究[J]華南金融電腦，2008

[2]劉振宇，電子商務(wù)的安全與認(rèn)證[M]京大學(xué)出版社，2008