電子商務(wù)安全問題淺析

電子商務(wù)是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展而產(chǎn)生的一種全新的貿(mào)易形式，隨著電子商務(wù)環(huán)境的規(guī)范和技術(shù)的完善，中國電子商務(wù)企業(yè)必然走向世界，這也是進(jìn)一步擴大對外經(jīng)貿(mào)合作，適應(yīng)經(jīng)濟全球化、提升中國企業(yè)國際競爭力的需要。隨著電子商務(wù)的蓬勃發(fā)展，電子商務(wù)的安全問題日益凸顯。如何保證網(wǎng)上交易的有效性、機密性、完整性和可靠性是電子商務(wù)可持續(xù)發(fā)展的關(guān)鍵。現(xiàn)在看，電子商務(wù)安全問題的解決主要分為兩大方面，一方面是技術(shù)防范，另一方面是安全管理。

一、電子商務(wù)技術(shù)防范

1、加密技術(shù)

加密技術(shù)是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。明文變?yōu)槊芪牡倪^程稱為加密，由密文還原為明文的過程稱為解密，加密和解密的規(guī)則稱為密碼算法。在加密和解密的過程中，由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。目前，獲得廣泛應(yīng)用的兩種加密技術(shù)是對稱密鑰加密體制和非對稱密鑰加密體制。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。對稱密鑰加密，又稱私鑰加密，即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。使用對稱加密技術(shù)將簡化加密的處理，每個參與方都不必彼此研究和交換專用設(shè)備的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。

2、認(rèn)證技術(shù)

認(rèn)證技術(shù)是信息安全理論與技術(shù)的一個重要方面，也是電子商務(wù)安全的主要實現(xiàn)技術(shù)。采用認(rèn)證技術(shù)可以直接滿足身份認(rèn)證、信息完整性、不可否認(rèn)和不可修改等多項網(wǎng)上交易的安全要求，較好地避免了網(wǎng)上交易面臨的假冒、篡改、抵賴、偽造等種種威脅。認(rèn)證技術(shù)主要涉及身份認(rèn)證和報文認(rèn)證兩個方面的內(nèi)容。身份認(rèn)證用于鑒別用戶身份，報文認(rèn)證用于保證通信雙方的不可抵賴性和信息的完整性。在某些情況下，信息認(rèn)證顯得比信息保密更為重要。安全認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書等。

3、安全電子交易協(xié)議

電子交易是電子商務(wù)活動的核心內(nèi)容。如何在開放的公用網(wǎng)上構(gòu)筑安全的交易模式，一直是業(yè)界研究的熱點。毫無疑問，只有建立在前面介紹過的各種加密技術(shù)和認(rèn)證技術(shù)的基礎(chǔ)上，才有可能構(gòu)筑一個安全的電子交易模式。目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用，即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議。

4、黑客防范技術(shù)

目前，黑客攻擊已成為網(wǎng)絡(luò)安全所面臨的最大威脅，同時黑客防范技術(shù)也成為了網(wǎng)絡(luò)安全的主要內(nèi)容，受到了各國政府和網(wǎng)絡(luò)業(yè)界的高度重視。為了有效地防范黑客，首先需要掌握黑客技術(shù)，即黑客入侵使用的一些技術(shù)。這些技術(shù)主要包括緩沖區(qū)溢出攻擊、特洛伊木馬、端口掃描、IP欺騙、網(wǎng)絡(luò)監(jiān)聽、口令攻擊、拒絕服務(wù)(DOS)攻擊等。只有很好地掌握了這些黑客技術(shù)，才有可能做到“知彼知已，百戰(zhàn)不殆”。在了解黑客技術(shù)的基礎(chǔ)上，目前人們已提出了許多相應(yīng)有效的反黑客技術(shù)，主要包括網(wǎng)絡(luò)安全評估技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)等。

5、虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)(VPN)技術(shù)是一種在公用互聯(lián)網(wǎng)絡(luò)上構(gòu)造企業(yè)專用網(wǎng)絡(luò)的技術(shù)。通過VPN技術(shù)，可以實現(xiàn)企業(yè)不同網(wǎng)絡(luò)的組件和資源之間的相互連接，它能夠利用Internet或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。虛擬專用網(wǎng)絡(luò)允許遠(yuǎn)程通信方、銷售人員或企業(yè)分支機構(gòu)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)計，以安全的方式與位于企業(yè)內(nèi)部網(wǎng)的服務(wù)器建立連接。VPN對用戶端透明，用戶好象使用一條專用路線在客戶計算機和企業(yè)服務(wù)器之間建立點對點連接，進(jìn)行數(shù)據(jù)的傳輸。

二、安全管理

現(xiàn)階段我國企業(yè)仍以技術(shù)為主要的安全防范措施，幾乎很少有企業(yè)能夠從管理的角度來進(jìn)行電子商務(wù)的信息安全建設(shè)。總的來說，存在的問題表現(xiàn)為以下幾點:

1、“重技術(shù)、輕管理”。往往由于管理手段不到位，導(dǎo)致先進(jìn)的技術(shù)無法發(fā)揮應(yīng)有的效能。信息安全問題的解決需要技術(shù)，但又不能單純依靠技術(shù)，信息化的過程其實是人與技術(shù)相互融合的過程，如何使管理與技術(shù)相得益彰十分重要。安全是一個交互的過程，“三分技術(shù)，七分管理”闡述了信息安全的本質(zhì)。

2、沒有從整體上、有計劃地考慮信息安全問題。企業(yè)各部門、各下屬機構(gòu)也存在“各自為政”的局面，缺少統(tǒng)一規(guī)劃、設(shè)計和管理。信息安全強調(diào)的是整體上的信息安全性，而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異，對于不同業(yè)務(wù)領(lǐng)域來說，信息安全具有不同的涵義和特征，信息安全保障體系的建設(shè)必須涵蓋各部門和各公司的信息安全保障體系的相關(guān)內(nèi)容。收集現(xiàn)有的已發(fā)生的電子商務(wù)安全問題及解決方案，向企業(yè)從事電子商務(wù)操作的人員及客戶搜集電子商務(wù)信息安全所面臨的潛在的問題，通過建立并保持與有關(guān)專家的對話來促使問題得到解決，并將其存儲到數(shù)據(jù)庫，使其與相應(yīng)問題連接以保證電子商務(wù)操作人員在面臨安全問題并試圖解決時能盡快獲得必要的信息。

3、企業(yè)管理高層對信息安全的認(rèn)識不夠，缺少與之配套的人力、物力和財力。人才是信息安全保障工作的關(guān)鍵。信息安全保障工作的專業(yè)性、技術(shù)性很強，沒有一批業(yè)務(wù)能力強，且具有信息網(wǎng)絡(luò)知識、信息安全技術(shù)、法律知識和管理能力的復(fù)合型人才和專門人才，就不可能做好信息安全保障工作。應(yīng)該從信息安全建設(shè)和管理對信息安全人才的實際要求出發(fā)，加快信息安全人才的培養(yǎng)。通過各種形式，如筆試、面試及其他測試來進(jìn)行初級選拔，經(jīng)過一定時間的考察，選拔責(zé)任心強、講原則守紀(jì)律、了解市場并懂得基本網(wǎng)絡(luò)知識和安全知識的人員。對于重要的業(yè)務(wù)，尤其是企業(yè)機密文件及用戶資料等業(yè)務(wù)不要安排一個人單獨管理，應(yīng)實行兩人或多人相互制約的機制;重要業(yè)務(wù)操作人員及交易安全等職務(wù)的任期有限;對于網(wǎng)絡(luò)訪問權(quán)限的設(shè)定應(yīng)保證不同業(yè)務(wù)的人員應(yīng)具有不同的訪問權(quán)限。

4、企業(yè)對員工的信息安全教育不夠。員工的信息安全意識薄弱，90%的安全事故是由于人為的疏忽所造成。如:有些企業(yè)不限制內(nèi)部人員使用高科技信息載體(U盤、移動硬盤及筆記本電腦等移動辦公設(shè)備。要求電子商務(wù)網(wǎng)上交易人員嚴(yán)格遵守企業(yè)網(wǎng)上交易安全制度，明確網(wǎng)上交易人員及管理人員的責(zé)任。面臨安全問題時及時匯報，并對違反網(wǎng)上交易安全規(guī)定的行為進(jìn)行懲罰，對有關(guān)責(zé)任人進(jìn)行嚴(yán)肅處理。

5、缺少信息安全的監(jiān)督審計機制，導(dǎo)致安全項目實施完后無法發(fā)揮長期效能，安全策略無法持續(xù)性改進(jìn)。缺少監(jiān)督審計，就會使得管理制度流于形式，變得空洞。必須建立安全審計機制，定期對安全制度和安全策略進(jìn)行審計，對安全管理工作進(jìn)行核查，找出安全管理中的問題和漏洞，并制定相應(yīng)的解決方案進(jìn)行安全加固。

總之，電子商務(wù)安全問題是一個綜合性的管理問題，應(yīng)通過對電子商務(wù)安全技術(shù)及管理的研究，推動電子商務(wù)進(jìn)一步發(fā)展。

（作者單位：東北財經(jīng)大學(xué)研究生院）

（責(zé)任編輯：文峰）