陳道琴

[摘要]電子商務(wù)安全是電子商務(wù)活動的基礎(chǔ)和關(guān)鍵。文章首先研究電子商務(wù)安全的現(xiàn)狀和電子交易中通常面臨的安全風(fēng)險，并提出電子商務(wù)中必須確立的安全理念和電子商務(wù)安全的基本要求，最后探討了電子商務(wù)安全解決方案及其實現(xiàn)技術(shù)。

[關(guān)鍵詞]電子商務(wù)安全 安全策略 技術(shù)管理

一、電子商務(wù)安全的現(xiàn)狀

作為對互聯(lián)網(wǎng)的應(yīng)用，電子商務(wù)正如雨后春筍般蓬勃發(fā)展，但由于技術(shù)不完善和管理不到位，安全隱患還很凸出。

1、基礎(chǔ)技術(shù)相對薄弱

國外有關(guān)電子商務(wù)的安全技術(shù)，其結(jié)構(gòu)或加密算法等都不錯，但由于受到本國密碼政策的限制，公開的算法對于他們來說幾乎不能保密了，潛在安全隱患極大。比較遺憾的是我國至今還沒有自己研發(fā)成功的較為成熟的算法。

2、體系結(jié)構(gòu)不完整

電子商務(wù)安全以前大都擔(dān)當(dāng)者“救火隊”的角色，頭痛醫(yī)頭，腳痛醫(yī)腳。這種“治標(biāo)不治本”的做法，問題總是層出不窮。近年來，人們已經(jīng)開始者于從體系結(jié)構(gòu)來解決問題，應(yīng)當(dāng)說在理論上已取得了明顯進展，但到實踐運用還有需要更大的努力。

3、支持產(chǎn)品不過硬

目前，市場上有關(guān)電子商務(wù)安全的產(chǎn)品數(shù)量不少，但真正通過認(rèn)證的相當(dāng)少。主要是因為不少安全措施是從網(wǎng)上“移植”來的。另外，不少電子商務(wù)安全技術(shù)的廠商對網(wǎng)絡(luò)技術(shù)很熟悉，但對安全技術(shù)普遍了解得不夠，很難開發(fā)出真正實用的、足夠的安全技術(shù)和產(chǎn)品。目前構(gòu)成我國信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)、硬件、軟件等產(chǎn)品幾乎完全建立在以美國為首的少數(shù)幾個發(fā)達國家的核心信息技術(shù)之上。

二、電子商務(wù)面臨的安全風(fēng)險

由于網(wǎng)絡(luò)的復(fù)雜性和脆弱性，以因特網(wǎng)為主要平臺的電子商務(wù)的發(fā)展面臨著嚴(yán)峻的安全問題。一般來說，電子商務(wù)普遍存在者以下幾個安全風(fēng)險：

1、信息的截獲和竊取

這是指電子商務(wù)相關(guān)用戶或外來者未經(jīng)授權(quán)通過各種技術(shù)手沒截獲和竊取他人的文電內(nèi)容以獲取商業(yè)機密。

2、信息的算改

網(wǎng)絡(luò)攻擊者依靠各種技術(shù)方法和手段對傳輸?shù)男畔⑦M行中途的篡改、刪除或插入，并發(fā)往日的地，從而“到破壞信息完整性的目的。

3、拒絕服務(wù)

拒絕服務(wù)是指在一定時間內(nèi)，網(wǎng)絡(luò)系統(tǒng)或服務(wù)器服務(wù)系統(tǒng)的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬件的人為破壞。

4、系統(tǒng)資源失竊問題

在系統(tǒng)網(wǎng)絡(luò)環(huán)境中，系統(tǒng)資源失竊是最常見的安全威脅。

5、信息的假冒

信息的假冒是指當(dāng)攻擊者學(xué)握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息后，可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現(xiàn)形式有假冒客戶進行非法交易，偽造電子郵件等。

6、交易的抵賴

交易抵賴包括發(fā)信者中后否認(rèn)曾經(jīng)發(fā)送過某條信息，買家做了定單后不承認(rèn)，賣家交出的商品因價格差而不承認(rèn)原先的交易等。

三、電子商務(wù)的安全管理策略

1、樹立風(fēng)險意識

安全管理是電子商務(wù)安全的保證，電子商務(wù)主體應(yīng)該充分意識到脆弱的安全保障背后的風(fēng)險，并且風(fēng)險且轉(zhuǎn)化為現(xiàn)實，損失是難以估計的。根據(jù)木桶原理，電子交易安全性取決于其最薄弱處。電子商務(wù)交易中的安全漏洞（指防范措施中的薄弱環(huán)節(jié)）層出不窮，令人防不勝防，只要有某一個方面存在安全漏洞，就很有可能導(dǎo)致整個安全防范措施全功盡棄。因此對于電子交易安全措施的保障，必須全方位進行。

2、加強甚礎(chǔ)設(shè)施的安全管理

電子商務(wù)交易的安全性以intermet的整體安全性為保證，必須重視基礎(chǔ)設(shè)施的安全管理，如設(shè)備的物理安全、電磁泄露等問題。對電子商務(wù)安全交易系統(tǒng)要經(jīng)常進行檢測，對發(fā)現(xiàn)的安全隱患，制定出相應(yīng)的補救措施，將交易風(fēng)險控制在最低限度內(nèi)。要能防殺病毒，防病毒產(chǎn)品包括網(wǎng)絡(luò)防病毒產(chǎn)品和主機防病毒產(chǎn)品。主機防病毒產(chǎn)品只能對單一主機進行保護，而網(wǎng)絡(luò)防病毒產(chǎn)品通過在網(wǎng)絡(luò)入口實施內(nèi)容檢查過濾，可以防止病毒通過郵件等方式從Internet進入企業(yè)網(wǎng)。同時保證內(nèi)網(wǎng)和Internet安全連接。企業(yè)在防火墻外將建立獨立的Web服務(wù)器和郵件服務(wù)器供企業(yè)外部訪問用，同時在防火墻與企業(yè)內(nèi)部網(wǎng)之間，將有一臺代理服務(wù)器。該代理服務(wù)器的功能有兩個，一是安全功能，即通過代理服務(wù)器，可以屏蔽企業(yè)內(nèi)部網(wǎng)內(nèi)服務(wù)器或CP機；二是緩沖功能，代理服務(wù)器可以保存經(jīng)常訪問的互聯(lián)網(wǎng)上的信息，當(dāng)CP機訪問互聯(lián)網(wǎng)時，如果被訪信息存放在代理服務(wù)器的緩沖區(qū)中，那么代理服務(wù)器可以直接從其緩沖區(qū)中把信息直接送到CP機上，而不用再次去執(zhí)行相應(yīng)的網(wǎng)絡(luò)操作。這樣，就可以省去對互聯(lián)網(wǎng)的再一次訪問，可以節(jié)省費用。

3、對相關(guān)人員的管理

據(jù)網(wǎng)絡(luò)安全調(diào)查發(fā)現(xiàn)內(nèi)部人員實施的破壞比外部人員實施的破壞更頻繁。發(fā)全基礎(chǔ)設(shè)施做得再好，如果人為地泄露有關(guān)安全信息，安全設(shè)施測形同虛設(shè)。為此，首先必須重視對電子商務(wù)活動的相關(guān)人員安全技術(shù)教育和培訓(xùn)整個系統(tǒng)管理權(quán)限的分配和監(jiān)督，道德和業(yè)務(wù)水平的培養(yǎng)，以提高相關(guān)人員敬業(yè)愛崗精神。其次，堅持以人為本的原則，電子商務(wù)交易安全措施的實施要靠掌握高科技、現(xiàn)代商務(wù)知識和現(xiàn)代管理科學(xué)的人才來實現(xiàn)。

四、小結(jié)

網(wǎng)上支付的安全、便捷、規(guī)范和高效是電子商務(wù)活動順利進行的基本保證，雖然現(xiàn)有的電子商務(wù)支付系統(tǒng)在應(yīng)用中還存在著一定的缺陷和不安全因素。但現(xiàn)有的安全體系，相關(guān)技術(shù)及應(yīng)用策略的不斷創(chuàng)新所發(fā)揮的作用是無庸置疑的，中國的電子交易安全市場即將進入黃金時代。我們相信，隨著密碼技術(shù)、通訊技術(shù)、軟件技術(shù)、管理水平等不斷進步發(fā)展，網(wǎng)上金融監(jiān)督管理機制逐步建立健全，誠信體系的進一步完善，建立一個有安全保障的電子商務(wù)網(wǎng)上支付系統(tǒng)完全可能。