淺談電子商務信息安全問題與對策

由于電子商務的開放性及其所基于的網絡全球性、無縫連通性、共享性、動態性的發展，使得電子商務的安全問題成為現今的聚焦中心，并制約著電子商務的進一步發展。所以，搭建一個安全可靠的商務平臺，成為電子商務發展的關鍵問題。電子商務技術的推廣，很大程度依賴信息安全技術的完善和提高。電子商務信息安全技術也隨之擺上了人們的重要議事日程。

一、電子商務信息安全的主要問題

電子商務主要依托Internet平臺完成交易過程中雙方的身份、資金等信息的傳輸。由于Internet的開放性、共享性、無縫連通性，安全問題是電子商務的主要技術問題，安全問題是商家和消費者以及銀行最關心的問題，主要面臨以下威脅：一是信息篡改，電子的交易信息在網絡傳輸過程中，信息可能會被人、被第三者非法篡改，導致信息失去了真實性和完整性。二是信息破壞，由于一些硬件和軟件問題或者是一些惡意病毒使一些信息遭到破壞。三是身份識別，若沒有身份識別，交易的一方就可以對交易內容否認或者是欺詐，或者會有第三方來冒充交易的一方。四是信息泄密，即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法

使用。

二、問題的成因分析

信息安全問題的出現，既有管理原因，也有技術原因，既有本身缺陷，也有外來因素所致，歸結起來，主要有以下四方面的原因：

1.電腦黑客

黑客對于系統和編程語言大多有著深刻的認識，它是指對于電腦系統的非法入侵者，他們對于網絡存在著一定程度的攻擊性，也進一步惡化了網絡環境。

2.計算機病毒

計算機病毒的主要危害在于激發對計算機數據信息的直接破壞作用，占用磁盤空間和對信息的破壞，搶占系統資源，影響計算機運行速度，出現計算機病毒錯誤與不可預見的危害。人們不可能花費大量時間去分析數萬種病毒的錯誤所在，大量含有未知錯誤的病毒擴散傳播，其后果是難以預料的。計算機病毒的兼容性影響系統運行。兼容性是計算機軟件的一項重要指標，兼容性好的軟件可以在各種計算機環境下運行，反之兼容性差的軟件則對運行條件有限制，要求機型和操作系統版本等。病毒的編制者一般不會在各種計算機環境下對病毒進行測試，因此病毒的兼容性較差，常常導致死機，并且對用戶造成嚴重的心理

壓力。

3.技術因素

網絡軟件設計時不可能完美無缺，總會出現一些缺陷和漏洞。這些漏洞和缺陷正是黑客進行攻擊的首選目標，而且目前還沒有一些技術能提前全部防范這些病毒和黑客。

4.管理因素

用戶安全意識淡薄、管理不善是當前存在的一個嚴重的問題。主要有以下三點：一是一些國家如中國缺乏強有力的權威管理機構，網絡安全立法滯后，安全管理部門受人力、技術等條件的限制影響著安全管理措施的有效實施；二是缺乏安全審計，安全審計是把與安全相關的事件記錄到安全日志中，但是現有的網絡系統大多數缺少安全審計，安全日志形同虛設；三是安全意識淡薄，人們對信息安全認識不夠，過分依賴信息安全產品，缺乏細致的內部網絡管理機制，一些用戶警惕性不高，操作麻痹，甚至把自己賬號隨意交給他人。

三、常用網絡安全技術

1.反病毒軟件

反病毒軟件已成為人們抵御病毒進攻的有力武器。目前的反病毒軟件具有幾項技術特色。一是防火墻技術，其目的是保護內部網絡不受外部網絡的攻擊，及防止內部網絡用戶向外泄密，為用戶提供一個實時監控防止病毒發作的工具。它對用戶訪問的每一個文件進行病毒檢測，確認無毒后才會讓系統接管進行下一步的工作。目前，防火墻技術主要分為分組過濾和代理服務兩種類型。二是反病毒軟件在線升級的方式。三是統一的防病毒管理。四是嵌人式查毒技術的形成，它將殺毒引擎直接嵌掛到IE瀏覽器和流行辦公軟件組件當中，使其與可能發生病毒侵擾的應用程序有機地結合為一體，在占用系統資源最小的情況下查殺病毒。

2.密碼技術

密碼技術包括加密和解密兩個方面。密碼技術可對信息進行加密解密處理，實現信息的安全，這兩者之間是密不可分的。加密是指采用數學方法對原始信息進行加工，使得加密后在網絡上公開傳輸的內容對于非法接收者只是毫無意義的字符，對于合法的接收者，因其掌握正確的密鑰，可以通過解密得到原始內容。密碼系統至少包含明文、密文、密碼技術，密鑰幾個部分。

3.入侵檢測技術

入侵檢測技術是對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。入侵檢測技術針對包括系統外部的入侵和內部用戶的非授權行為，是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動，系統構造和弱點的審計，識別反映已知進攻的活動模式并向相關人士報警，異常行為模式的統計分析，評估重要系統和數據文件的完整性，操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。

4.虛擬專用網（VPN）技術

虛擬專用網（VPN）技術是通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。通常，ＶＰＮ是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

四、提高電子商務信息安全的對策探討

1.開展網絡安全立法和執法

網絡安全立法要吸取和借鑒國外網絡信息安全立法的先進經驗，結合我國國情對現行法律體系進行修改與補充，使法律體系更加科學和完善。要建立有利于信息安全案件訴訟與公、檢、法機關辦案的制度，提高執法效率和質量。要對違犯國家法律法規，對計算機信息存儲系統、應用程序或傳輸的數據進行刪除、修改、增加、干擾的行為依法懲處。

2.提高網絡信息安全意識

以有效方式和途徑在全社會普及網絡安全知識，提高公民的網絡安全意識與自覺性，學會維護網絡安全的基本技能，并在思想上把信息資源共享與信息安全防護有機統一起來，樹立維護信息安全就是保生存、促發展的觀念。

3.加強網絡安全管理

建立信息安全領導機構，有效統一、協調和研究未來趨勢，制定宏觀政策，實施重大決定。嚴格執行《中華人民共和國計算機信息系統安全保護條例》與《計算機信息網絡安全保護管理辦法》，明確責任，規范崗位職責，制定有效防范措施，并且嚴把用戶入網關，合理設置訪問權限等。

4.加快網絡安全專業人才的培養

加大對有良好基礎的科研教育基地的支持和投入，加強與國外的經驗技術交流，及時掌握國際上最先進的安全防范手段和技術措施，確保在較高層次上處于主動，加強對內部人員的網絡安全培訓，防止堡壘從內部攻破，使高素質的人才在高水平的教研環境中迅速成長和提高。

電子商務模式相對于傳統商務模式，具有便捷、高效的特點。電子商務信息安全問題有賴于對公鑰基礎設施PKI開發與應用、支付協議、物流配送協議、XML和標準化等方面深入研究和完善。同時，還必須與完善的管理相結合，才能為用戶提供更為可靠的電子商務安全基礎，才能促進電子商務的良好發展與和應用。

（作者單位：上海財經大學浙江學院）