李　悅，盧　彪

（宿州學(xué)院，安徽 宿州 234000）

網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用

李悅，盧彪

（宿州學(xué)院，安徽 宿州 234000）

電子商務(wù)是一種新的商業(yè)模式，為人類帶來了巨大的利益。但伴隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個重要問題。其中最為關(guān)鍵的是要保證電子商務(wù)的安全性。文章主要介紹了計算機(jī)網(wǎng)絡(luò)安全以及重要性以及相應(yīng)的防范措施，對計算機(jī)安全普及以及對計算機(jī)安全等存在的諸多問題進(jìn)行了研究。最后對計算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全保護(hù)中所起的重要作用和影響進(jìn)行了深刻的闡釋和分析。

電子商務(wù)；網(wǎng)絡(luò)安全；信息安全；安全技術(shù)策略

在互聯(lián)網(wǎng)在全球廣泛推廣的時代潮流中，電子商務(wù)被認(rèn)為是未來計算機(jī)產(chǎn)業(yè)最具潛力的創(chuàng)新型增長元素。但互聯(lián)網(wǎng)憑借其開放性、國際性和自由性在電子商務(wù)應(yīng)用自由的條件中，我們?nèi)匀幻鎸χ?dāng)下來自網(wǎng)絡(luò)的各種安全威脅，例如黑客入侵?jǐn)?shù)據(jù)，網(wǎng)絡(luò)盜竊，傳播病毒等，盡管我們廣泛地使用各種復(fù)雜的軟件技術(shù)，防范來自網(wǎng)絡(luò)上的安全威脅，但是如何確保網(wǎng)絡(luò)信息的安全仍是當(dāng)務(wù)之急。如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，并為信息的傳遞和流通提供充分的保障，從傳統(tǒng)的貿(mào)易方式向電子商務(wù)，正逐步成為影響電子商務(wù)安全健康發(fā)展至關(guān)重要的問題。

1　電子商務(wù)中存在的安全問題

1.1 網(wǎng)絡(luò)系統(tǒng)內(nèi)部問題

系統(tǒng)漏洞對網(wǎng)絡(luò)安全造成的威脅極為嚴(yán)重，攻擊者一旦獲得一般系統(tǒng)的用戶訪問權(quán)限。就可能通過系統(tǒng)漏洞將自己升級為系統(tǒng)管理員角色。漏洞之所以出現(xiàn)是因為程序在產(chǎn)生邏輯關(guān)系中沒有注意到某些意外的情況。系統(tǒng)中的漏洞會導(dǎo)致處理程序時產(chǎn)生問題，在這個過程中會有一個窗口機(jī)會，攻擊者滲透網(wǎng)絡(luò)的后臺操作時間。

移動存儲介質(zhì) 可移動存儲媒體，因其可移植性、存儲容量大等特點被廣泛應(yīng)用。也正因為這些特點帶來的安全隱患，會使多數(shù)涉及密碼介質(zhì)的屬性缺乏身份認(rèn)證、訪問控制以及審計機(jī)制漏洞，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)出現(xiàn)安全風(fēng)險。

1.2 網(wǎng)絡(luò)系統(tǒng)外部問題

1.2.1 黑客攻擊

黑客對于各種計算機(jī)應(yīng)用技術(shù)熟練地掌握，并能準(zhǔn)確捕捉計算機(jī)網(wǎng)絡(luò)系統(tǒng)存在的漏洞。而漏洞會成為被黑客攻擊的主要目標(biāo)以及危害計算機(jī)系統(tǒng)的途徑，對網(wǎng)絡(luò)系統(tǒng)的安全構(gòu)成很大的威脅。

1.2.2 計算機(jī)病毒的威脅

計算機(jī)病毒是計算機(jī)網(wǎng)絡(luò)系統(tǒng)的最大威脅，造成大量的損失。計算機(jī)病毒直接把計算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)列為破壞的對象。一旦計算機(jī)被感染了病毒，會使系統(tǒng)執(zhí)行效率下降，更甚至造成系統(tǒng)毀壞或崩潰，導(dǎo)致部分乃至全部文件數(shù)據(jù)丟失，嚴(yán)重的會使計算機(jī)系統(tǒng)硬件設(shè)備損壞。

1.2.3 間諜軟件的威脅

間諜軟件的主要用途不是破壞系統(tǒng)，而是竊取存儲在計算機(jī)系統(tǒng)中的數(shù)據(jù)信息。間諜軟件有許多用途，監(jiān)聽用戶行為，發(fā)布廣告和篡改系統(tǒng)程序等，挾制關(guān)于用戶的秘密和計算機(jī)安全性能的信息，并且在一定程度上影響計算機(jī)系統(tǒng)的性能。

1.3 其他網(wǎng)絡(luò)安全問題

一般而言，電子商務(wù)應(yīng)用的影響程度大、發(fā)生率較高的網(wǎng)絡(luò)安全事件有網(wǎng)頁篡改、網(wǎng)絡(luò)通信安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)蠕蟲、計算機(jī)病毒、網(wǎng)絡(luò)仿冒等，而近年來網(wǎng)絡(luò)虛假偽造泛濫現(xiàn)象，逐漸成為影響電子商務(wù)成長的重要威脅之一。

2　電子商務(wù)安全技術(shù)防范策略

2.1 網(wǎng)絡(luò)技術(shù)應(yīng)用

經(jīng)過數(shù)十年不斷的探索創(chuàng)新，電子商務(wù)安全保護(hù)技術(shù)防范策略開始從片面的保密發(fā)展到商務(wù)訊息的完整性、可用性、可控性和不可否認(rèn)性等，進(jìn)而發(fā)展為“攻、防、測、控、管、評” 等多個方面的基礎(chǔ)理論和實用技術(shù)。如今，電子商務(wù)安全領(lǐng)域已形成十大核心技術(shù)，它們分別是：虛擬專用網(wǎng)技術(shù)、入侵檢測技術(shù)、數(shù)字信封技術(shù)、防火墻技術(shù)、病毒防范技術(shù)、數(shù)字摘要技術(shù)等。

2.1.1 虛擬專用網(wǎng)（Virtual Private Network，VPN）

VPN技術(shù)由于TCP/IP協(xié)議不安全性，電子商務(wù)安全沒有有效的認(rèn)證機(jī)制進(jìn)行安全擔(dān)保，無法保證其真實性；而由于缺乏保密機(jī)制，無法使在線數(shù)據(jù)隱私獲得保護(hù)；以及不能對在線數(shù)據(jù)流完整性提供保護(hù)等方面的問題。是以，在電子商務(wù)中通常使用VPN技術(shù)，通過加密和認(rèn)證網(wǎng)絡(luò)流量，來保護(hù)私有信息在公共網(wǎng)絡(luò)上傳輸?shù)陌踩槐槐I取或改動。對于用戶來說，就像用他們自己的私有網(wǎng)絡(luò)一樣。

2.1.2 入侵檢測技術(shù)

可以界說為對計算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，對其進(jìn)行準(zhǔn)確識別和相應(yīng)處理系統(tǒng)。其中包括系統(tǒng)外部入侵和內(nèi)部用戶未授權(quán)行為，是一種能夠及時檢測并且回饋系統(tǒng)中未授權(quán)或者異?，F(xiàn)象的為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的技術(shù)，是用于檢測計算機(jī)網(wǎng)絡(luò)中背離安全策略活動的技術(shù)。入侵檢測軟件和硬件的結(jié)合是入侵檢測系統(tǒng)。

2.1.3 數(shù)字信封技術(shù)

數(shù)字信封使用單密鑰加密與公開密鑰加密相結(jié)合的方法。首先，發(fā)送者使用隨機(jī)產(chǎn)生的對稱加密信息，然后接受公鑰對對稱密碼進(jìn)行加密，稱為數(shù)字信封。如若訊息領(lǐng)受方需要解密信息，首先必需要利用本人的私鑰解密數(shù)字信封獲得對稱明碼之后使用對稱加密解密獲得的數(shù)據(jù)，從而確保了數(shù)據(jù)傳輸?shù)恼鎸嵭院屯暾浴?/p>

2.1.4 防火墻技術(shù)

防火墻是增強(qiáng)網(wǎng)絡(luò)之間的訪問控制的一種技術(shù)，用來防范外部的網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)轉(zhuǎn)為內(nèi)部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)資源，除了保護(hù)專用網(wǎng)絡(luò)互連設(shè)備的內(nèi)部網(wǎng)絡(luò)運行環(huán)境。重要的防火墻技巧包括過濾、代理服務(wù)、狀態(tài)監(jiān)控等。運用在電子商務(wù)上時，防火墻的重點功能是防止黑客利用不安全的服務(wù)對傳輸數(shù)據(jù)、信息進(jìn)行攻擊，并且可以對網(wǎng)絡(luò)實施檢查和監(jiān)管網(wǎng)絡(luò)的進(jìn)行狀態(tài)。

2.1.5 病毒防范技術(shù)

電子商務(wù)的出現(xiàn)與發(fā)展，既提高了交易的效率，也為計算機(jī)病毒的傳播創(chuàng)造了條件。對于計算機(jī)病毒對網(wǎng)絡(luò)信息造成不可估量損失的破壞性和威脅性，加強(qiáng)計算機(jī)病毒的預(yù)防和控制迫在眉睫。為了防止病毒，可采取下面3個措施。

（1）安裝防毒殺毒軟件，增強(qiáng)網(wǎng)絡(luò)內(nèi)部的整體防范能力；

（2）加強(qiáng)數(shù)據(jù)備份和恢復(fù)，做到有備無患；

（3）對于設(shè)備和敏感數(shù)據(jù)必須建立適當(dāng)?shù)奈锢砘蜻壿嫺綦x措施，夾在萌芽狀態(tài)。

2.1.6 數(shù)字摘要技術(shù)

通過使用一定的單向散列函數(shù)（HASH）將需要加密的明文“摘要”成固定長度（128位）的密文。密文具有特定的長度，與明文是相互對應(yīng)的，其最突出的優(yōu)勢在于：對于HASH操作之后執(zhí)行的任意的x，有唯一的Y值與之相對應(yīng)；而任何一個Y值，若是想通過逆運算導(dǎo)出X的值是不可能的。在傳輸信息時將其并入文件一齊發(fā)給對方，當(dāng)對方收到文件之后，使用相同的操作方法進(jìn)行運算，如果得到的代碼與發(fā)送的摘要碼相同，則意味著傳輸安全，反之，則說明已經(jīng)被改動過。這種安全認(rèn)證技術(shù)在電子商務(wù)領(lǐng)域經(jīng)常使用。

2.2 安全管理過程監(jiān)督

2.2.1 全過程的安全管理機(jī)制

網(wǎng)絡(luò)規(guī)劃階段：加強(qiáng)信息安全規(guī)劃建設(shè)和管理。建設(shè)信息安全需要投入一定的人力、物力、財力，從實際出發(fā)明確網(wǎng)絡(luò)安全總體大目標(biāo)和階段小目標(biāo)，分階段、有計劃地逐步實施，以減少投資失誤造成的危害。

工程建設(shè)階段：匯總安全需求，對安全性能進(jìn)行測試，管理機(jī)構(gòu)要將其列入工程建設(shè)各個階段任務(wù)指標(biāo)，對開發(fā)等人員進(jìn)行合理的控制和管理，加強(qiáng)對用戶路由、開發(fā)環(huán)境、關(guān)鍵代碼的控制與檢查。

運行和維護(hù)階段：健全合理的安全管理機(jī)制，明確職責(zé)，簡優(yōu)流程，實現(xiàn)高效的管理體制。依據(jù)分級分層管理的原則，嚴(yán)格管理內(nèi)部用戶名和密碼。首先必須進(jìn)行身份確認(rèn)才能獲得進(jìn)入系統(tǒng)內(nèi)部的權(quán)限，以防有人非法頂替、冒用合法用戶帳號和密碼；同時制定完善健全的安全管理機(jī)制，加強(qiáng)對操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫以及應(yīng)用系統(tǒng)運行維護(hù)過程的安全管理。要創(chuàng)建一個緊急情況下的預(yù)警機(jī)制，建立網(wǎng)絡(luò)安全維護(hù)日志，以便及時記錄與安全問題有關(guān)的信息及事件，進(jìn)行實時跟蹤和查詢，定期檢查日志，及時檢查系統(tǒng)存在的安全性漏洞。

2.2.2 動態(tài)的閉環(huán)管理流程

網(wǎng)絡(luò)不斷完善，新漏洞浮出水面，創(chuàng)建閉環(huán)、動態(tài)的管理流程極其重要。在安全策略的指導(dǎo)下，安全性的預(yù)評估算，各測試工具（如漏洞掃描、入侵檢測等）的使用，及時了解各種網(wǎng)絡(luò)安全問題和隱患，建立安全發(fā)展規(guī)劃和穩(wěn)打方案，綜合應(yīng)用各種安全防護(hù)產(chǎn)品（如防火墻、身份認(rèn)證等手段），將系統(tǒng)調(diào)整到相對安全穩(wěn)定的狀態(tài)。主要有以下兩個方面：

對企業(yè)而言，信息安全是規(guī)劃核心，因此首先建立準(zhǔn)確而有效的安全策略是必須的。為符合戰(zhàn)略流程、標(biāo)準(zhǔn)、規(guī)章制度、方案和安全建設(shè)規(guī)劃，安全管理組織制定詳細(xì)目標(biāo)，以確保企業(yè)投資和信息資源的安全性發(fā)展，戰(zhàn)略制度在企業(yè)中平穩(wěn)展開實行。

制定符合企業(yè)實際情況、完整的信息安全策略，首先需要對企業(yè)信息網(wǎng)絡(luò)的安全狀況（信息資產(chǎn)的管理現(xiàn)狀和安全技術(shù)）進(jìn)行評估，企業(yè)對自身的安全威脅有個全面的了解，以此才能夠制定有針對性的安全保護(hù)戰(zhàn)略，指導(dǎo)企業(yè)信息安全建設(shè)與管理工作。

3　結(jié)語

我國的電子商務(wù)事業(yè)最近幾年發(fā)展方興未艾，但相關(guān)的安全保障尚未建立，這嚴(yán)重拖延了我國電子商務(wù)發(fā)展的腳步。因此，當(dāng)務(wù)之急是加快相關(guān)的電子商務(wù)安全體系的建設(shè)。這將是涉及全社會的、綜合性的系統(tǒng)的工程。制定和完善關(guān)于電子商務(wù)事業(yè)的法律，促使電子商務(wù)合理化、公開化、合法化。另一方面，我們要認(rèn)識到電子通訊記錄的法律效力，為電商提供法律保障；還需要對電子簽名等安全技術(shù)的進(jìn)行深入研究，為電商提供技術(shù)方面的保障；除此，盡快搭建電子商務(wù)認(rèn)證體系，組織擔(dān)保機(jī)制也是重要的。雖然我國在電子商務(wù)安全技術(shù)方面已取得一定的成就，但如果電子商務(wù)想要真正成為一種主流商務(wù)模式，還需在安全技術(shù)上取得新的更大的突破。

本文主要著眼于電子商務(wù)應(yīng)用、社會進(jìn)程發(fā)展中的主要網(wǎng)絡(luò)安全類型，簡述部分電商的網(wǎng)絡(luò)安全問題，從網(wǎng)絡(luò)應(yīng)急響應(yīng)機(jī)制的作用與意義，國家關(guān)于其法制建設(shè)的社會整體氛圍，企業(yè)具體的電商網(wǎng)絡(luò)安全框架等方面，提出了一些建議和思考。

［1］徐淑彩.信息安全與技術(shù)［Z］.連云港：連云港市環(huán)境信息中心，2012.

［2］趙立平.電子商務(wù)概論［M］.上海：復(fù)旦大學(xué)出版社，2009.

［3］鐘誠.電子商務(wù)安全［M］.重慶：重慶大學(xué)出版社，2002.6

［4］吳洋.電子商務(wù)安全方法研究［D］.天津：天津大學(xué)，2006.

［5］李艷.電子商務(wù)信息安全策略研究［J］.甘肅科技，2005（6）：53-54.

［6］劉麗梅.電子商務(wù)信息安全問題探討［J］.物流科技，2007（3）：127-129.

［7］肖德琴.電子商務(wù)安全保密技術(shù)與應(yīng)用［M］.廣州：華南理工大學(xué)出版社，2003.

Application of network security technology in electronic commerce

Li Yue， Lu Biao
（Suzhou University， Suzhou 234000， China）

Electronic commerce is a kind of new business model， which brings great benefits to human beings. However， with the development of Internet， network security has become an important issue. The most important is to ensure the security of electronic commerce. This article mainly introduces the importance of computer network security and corresponding preventive measures， and the popularization of computer security， as well as existing problems of computer security is researched in this paper. In the end， computer network security technology in network security maintenance is explained and analyzed profoundly.

electronic commerce； network security； information security； security technology strategy

李悅（1994— ），女，安徽宿州，本科。