電子商務安全策略分析

檀學林

（赤峰工業職業技術學院 內蒙古 024000）

0 引言

隨著電子商務的普及與發展，電子商務的安全問題也越來越受到人們的關注。據中國互聯網信息中心（CNNIC）2013年7月的統計報告，用戶認為目前網上交易存在的問題除去產品質量、售后服務及廠商信用得不到保障外，就是安全性得不到保障。由此可見，電子商務交易的安全問題已經成為制約電子商務發展的一個重要因素。下面將就電子商務安全問題，談談個人的看法。

1 電子商務安全的要素

1.1 有效性

電子商務以電子形式取代了紙張，那么如何保證這種電子形式的貿易信息的有效性則是開展電子商務的前提。因此，要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤、黑客及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。

1.2 機密性

傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個開放的網絡環境上的，維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防信息存取和信息傳輸過程被非法竊取。

1.3 完整性

電子商務簡化了貿易過程，減少了人為的干預同時也帶來維護貿易各方商業信息的完整性、一致性的問題。由于數據輸入時的意外差錯、數據傳輸過程中信息的丟失，信息重復或信息傳送的次序差異也會導致貿易各方信息的不同，它將影響到貿易各方的交易和經營策略。因此，要預防對信息的隨意生成、修改和刪除。同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的一致性。

1.4 可靠性、不可抵賴性和可鑒別性

電子商務可能直接關系到貿易雙方的商業交易，如何確定交易雙方身份的可靠性是保證電子商務順利進行的關鍵。在傳統的貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴確定合同、契約，單據的可靠性并預防抵賴行為的發生。

1.5 審查能力

根據機密性和完整性的要求，應對交易數據及交易過程記錄能夠進行審查。

2 電子商務所面臨的安全問題

2.1 操作系統抵御攻擊能力方面

對操作系統攻擊主要包括為授權存取、越權使用、信息泄露、用戶過多占用系統資源等。

2.2 應用系統安全方面

應用系統安全是指上機系統上的應用軟件層面的安全，如web服務器、proxy服務器、數據庫的安全問題。攻擊者可以利用應用系統的漏洞、安全隱患實施攻擊，從而影響系統正常運行。

2.3 人員管理方面

最堅固的堡壘，最容易被人從內部攻破。據統計，70% 以上的信息安全案件是由于內部管理疏忽導致的。例如，1996年2月，EPSON公司離職人員入侵公司系統就是一個典型。

2.4 網絡安全方面

網絡安全包括：大部分 Internet協議沒有進行安全設計，信息傳輸采用明文傳輸；外部用戶非授權訪問嘗試；假冒主機或用戶：對信息完整性的攻擊；對信息流次序、內容進行修改；服務干擾等。

2.5 抵御黑客、病毒攻擊的能力方面

黑客和病毒是目前影響互聯網安全的兩大主要因素。它們能破壞系統，使電子商務系統不能正常運行；能盜取商務系統的敏感資料，比如客戶資料，帳戶資料，業務情況等等；能利用非法盜取的帳戶資料對用戶進行干擾和破壞，比如，惡意購銷等，給帳戶造成損失并且破壞帳戶的信譽。

3 電子商務安全的解決方案

當前比較流行的安全手段主要有如下幾種：

3.1 電子商務系統防火墻

電子商務系統防火墻必須為系統提供以下保障：（1）保證電子商務系統平臺不受到入侵。該保障要求防火墻封鎖所有信息流，然后對希望提供的服務逐項開放。這是一項非常實用的方法，可以形成一種十分安全的環境。因為只有經過過濾授信的服務才被允許使用。（2）提供完善的審計機制。對所有的商業事務處理進行審計，以便安全管理和責任追究。（3）保護關鍵部門不受到來自內部或外部的攻擊。（4）確保所有電子商務應用都是授權訪問，為通過 Internet與遠程訪問的客戶提供安全通道。基于保障目標，防火墻應過濾所有信息流，然后逐項屏蔽可能有害的服務。這種方法構成了一種更為靈活的應用環境，可為用戶提供更多的服務。（5）數據源控制。使用過濾模塊來檢查數據包的來源和目的地，根據管理員的規定接受或拒收數據包。（6）對私有數據的加密支持，保證私人往來和商務活動信息不受破壞。使用授權控制，客戶端認證只允許指定的用戶訪問內部網絡或選擇服務。（7）反欺騙。欺騙是從外部獲取網絡訪問權的常用手段，它使數據包好似來自網絡內部，電子商務系統防火墻能監視這樣的數據包并能扔掉他們。但防火墻并不是萬能的，它不能防止內部網用戶對資源的攻擊，不能防范人為因素的攻擊，不能防止數據驅動式的攻擊等等。

3.2 數字證書與CA認證

由于電子商務在網絡中完成，交易雙方互相之間不見面。因此為了保證每個人及機構都能惟一且被準確無誤地識別，就需要進行網上身份認證，這可以通過驗證參與各方的數字證書來實現。數字證書它采用PKI（Public Key Infrastructure：公共密鑰體系）公開密鑰基礎架構技術，是由認證中心（CA即Certificate Authority）頒發的。CA專門提供網絡身份認證服務，負責簽發和管理數字證書。具有權威性和公正性的第三方信任機構，其作用就像現實生活中頒發證件的機構。

3.3 安全認證協議

（1）安全套接層SSL協議。SSL協議是Netscape公司在網絡傳輸層之上提供的一種基于 RSA和保密密鑰的用于瀏覽器和web服務器之間的安全連接技術。SSL協議的概念可以被概括為：它是一個保證任何安裝了安全套接層的客戶和服務器間事務安全的協議。該協議向基于TCP／IP的客戶服務器應用程序提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施。目的是為用戶提供 Internet和企業內聯網的安全通信服務。SSL協議在應用層收發數據前，協商加密算法，連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應用協議（如 HTTP FTP、TELNET等）以保證應用層數據傳輸的安全性。SSL采用了公開密鑰和專有密鑰兩種加密：在建立連接過程中采用公開密鑰；在會話過程中使用專有密鑰。

（2）安全電子交易SET協議

SET提供對消費者、商戶和收單行的認證，確保交易數據的安全性、完整性和交易的不可否認性，特別是保證了不會將持卡人的信用卡號泄露給商戶。

保證信息的加密性：通過使用公共密鑰和對稱密鑰方式加密，保證在公網上的信息安全傳輸，只有收件人才能訪問和解密該信息。

驗證交易各方：通過使用CA安全認證技術確認交易各方的真實身份。

保證支付的完整性和一致性：通過使用Hash算法和數字簽名來確定數據是否被篡改，以確保數據完整（末被篡改）地被收件人接收，并可以完成交易而防止抵賴。

保證互操作性：保證不同廠商的產品使用同樣的通信協議和信息格式，從而可互相集成。

4 結語

本文對實現電子商務安全性的各種技術進行了討論，研究了各種安全技術的實現。如何利用這些現有技術，實現電子商務安全有性的應用需求，仍然是今后一段時間內值得大力研究的課題。

[1]黃小虎 李朗 胡致杰，電子商務安全問題研究[J]華南金融電腦，2008

[2]劉振宇，電子商務的安全與認證[M]京大學出版社，2008