企業電子商務安全策略研究和綜合應用

史晶娜

[摘要]隨著電子商務發展，電子商務逐漸變成中國經濟活動之一。電子商務安全問題不僅涉及到信息安全問題，還涉及到國家的經濟安全、金融安全。本文在明確企業電子商務的安全問題和要求下，研究具體安全策略并應用與電子商務上。

[關鍵詞]電子商務；安全問題；策略研究

伴隨著互聯網的快速發展，電子商務的廣闊前景吸引了全球的關注，電子商務的網絡效應優勢也更加突出。作為發展中國家的中國，在互聯網發展方面與發達國家的差距較小，為中國實現超越式發展提供了契機。中國電子商務的發展環境不斷得到改善，但電子商務的安全問題是制約我國電子商務實現跨越式發展的瓶頸問題。

一、電子商務安全問題及要求

所謂電子商務安全是指綜合運用各種安全技術和設施保護電子商務中交易各方的安全，保證商務活動順利進行。人們從面對面的交易作業變成虛擬的網上互不見面的操作，沒有國界、沒有時間限制，可以充分利用互聯網工具和資源的同時，也可以進行攻擊和破壞。

常見的電子商務安全問題包括：

1.在網絡的傳輸過程中信息被截獲

攻擊者可以通過因特網、公用電話網、搭線等截獲傳輸的機密信息，或通過對信息流量和流向、通信頻度和長度參數的分析，推斷出有用信息、如銀行賬號密碼等。

2.傳輸的文件被惡意篡改

攻擊者可以通過篡改、刪除和插入三方面來破壞信息的完整性。

3.假冒他人身份

主要包括冒充他人身份，如冒充上級發布指令；冒充他人消費，栽贓；冒充主機欺騙合法主機及合法用戶；接管合法用戶，欺騙系統，占用合法用戶的資源等。

4.抵賴交易信息

主要表現在收（發）信者時候否認曾經接收（發送）過某些信息；購買者不承認確定了訂貨單；商家違約等。

針對以上安全問題，為了保證交易各方的合法權益，電子商務安全必須滿足5項基本要求，即授權合法性、不可抵賴性、保密性、身份的真實性與信息的完整性。

二、企業電子商務安全策略

要保護自己的電子商務資產，所有的組織都要有一個明確的安全策略，即明確描述對所需保護的資產、保護的原因、誰負責保護、哪些行為可接受、哪些行為不可接收的書面描述。安全策略一般要陳述物理安全、網絡安全、訪問授權、病毒保護、災難恢復等內容，該策略不是一成不變的，公司的安全負責人員必須定期修改安全策略。

雖然現實中沒有絕對的安全，但企業可以構造一道屏障來阻止絕大多數的威脅和侵害。制定全面的安全策略必須包含對安全問題的多方面考慮因素。安全策略一般包括以下內容：

認證：誰想訪問企業的電子商務網站？

訪問控制：允許誰登錄電子商務網站并訪問它？

保密：誰有權利查看特定的信息？

數據完整性：允許誰修改數據，不允許誰修改數據？

審計跟蹤：在何時由何人導致了何事？

三、完善的企業電子商務安全體系策略綜合應用

企業的電子商務安全實際上關注的是內容按照從客戶機到電子商務服務器的交易處理鏈進行組織，因此這條鏈條上必須保護的資產包括客戶機、從通信信道上傳輸的信息、服務器。

1.客戶機的安全

客戶機應該不受載入軟件和數據的安全威脅，尤其是注意以動態網頁形式從網上傳來的活動內容所帶來的安全威脅。客戶機面臨的另一種威脅是偽裝成合法網站的服務器。用戶和客戶機受騙向非法網站提供敏感信息的案例很多。

在客戶機的安全方面最需關注的是網頁竊聽器，網頁上會有某些廣告主（從第三方服務器）發出的圖片，但是圖片小得肉眼看不見。當網絡訪問者載入此頁面時，網頁竊聽器也從第三方網站發來，在訪問者的計算機里放置一個小程序，以跟蹤和偷窺客戶機的上網行為等內容。

2.通信信道的安全

互聯網發展到今天，其不安全狀態與最初相比沒有太大改觀。在互聯網上傳遞信息，從起始節點到目標節點之間的路徑是隨機選擇的，每次所用的路徑都可以不同。由于用戶根本無法控制傳輸路徑，也不知道信息包經過的節點，所以某個中間節點都可能會讀取信息、加以篡改或偽造信息。在互聯網上傳遞信息都會受到對安全、完整和亟需的侵犯。主要解決方法是使用電子商務安全中的加密技術，包括各種加密算法、數字簽名和安全協議等。

3.服務器的安全

對于企圖破壞或非法獲取信息的人來說，企業的服務器有很多弱點可被利用。其中一個入口是WWW服務器及其軟件，其他入口包括任何有數據的后臺程序，如數據庫和數據庫服務器。電子商務系統以數據庫存儲用戶數據，并可從WWW服務器所連的數據庫中搜索產品信息。數據庫中除了產品信息外，還可能保存有價值的信息或隱私信息，一旦被更改或泄露則會給公司帶來無法彌補的損失。數據庫的安全是通過權限實施的，如果有人得到用戶的認證信息，就能偽造成合法的數據庫用戶來下載保密的信息。現在大多數大型數據庫都是用基于用戶名和口令的安全措施，一旦用戶獲準訪問數據庫，就可以查看數據庫中的相關內容。其后果是十分嚴重的。

總之，我國目前的電子商務安全形勢不容樂觀，隨著電子商務的發展，將會有更多的問題出現。我國企業應重視自身的安全問題，同時國家方面也會加大研發電子商務安全技術，健全電子商務安全體系，不斷完善電子商務安全法律法規，構建有中國特色的電子商務安全體系，為推動我國電子商務整體發展加足馬力，使中國真正進入安全的電子商務全新時代。

參考文獻：

[1]沈昌祥,左曉棟.《信息安全》.浙江大學出版社.2007年10月

[2]肖德琴,周權.《電子商務安全》.高等教育出版社.2009年9月第1版

[3]楊堅爭,趙雯,楊立釩.《電子商務安全與電子支付》.機械工業出版社.2007年3月

[4]余瀟楓,潘一禾,王江麗著.《非傳統安全概論》.浙江人民出版社.2006年第1版