關于電子商務安全問題的探究

張 崗

貴州廣播電視大學商貿學院

1 電子商務中存在的兩大類安全問題

1.1 網絡安全問題

現在隨著互聯網技術的發展，網絡安全成了新的安全研究熱點。網絡安全就是如何保證網絡上存儲和傳輸的信息的安全性。網絡安全問題是計算機系統本身存在的漏洞和其他人為因素構成了計算機網絡的潛在威脅，概括來說網絡安全的內容包括：計算機網絡設備安全、計算機網絡系統安全、數據庫安全等

1.2 商務安全問題

商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題，在計算機網絡安全的基礎上，如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網上交易日益成為新的商務模式，基于網絡資源的電子商務交易已為大眾接受，人們在享受網上交易帶來的便捷的同時，交易的安全性備受關注，網絡所固有的開放性與資源共享性導致網上交易的安全性受到嚴重威脅。所以在電子商務交易過程中，保證交易數據的安全是電子商務系統的關鍵。

1.3 目前電子商務中存在的主要安全問題

(1)對合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，從而獲得非法利益。

(2)對信息的竊取。攻擊者在網絡的傳輸信道上，通過物理或邏輯的手段，對數據進行非法的截獲與監聽，從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號，還能以欺騙的手法進行產品交易，甚至能洗黑錢。

(3)對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容，如修改消息次序、時間，注入偽造消息等，從而使信息失去真實性和完整性。

(4)拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。

(5)對發出的信息予以否認。某些用戶可能對自己發出的信息進行惡意的否認，以推卸自己應承擔的責任。

2 電子商務中的主要安全技術

2.1 電子商務的安全技術

從上述電子商務所面臨的安全問題中我們不難看出，它不僅僅是個別的現象，只要有網絡的存在，安全問題就不容忽視。網絡安全不僅影響了網絡業務的正常運行，擾亂了網絡秩序，還會造成很多直接或者間接的經濟損失。安全技術是電子商務安全體系中的基本策略，是伴隨著安全問題的產生而出現的，安全技術的出現，在一定程度上加強了計算機網絡的整體安全性。

2.2 網絡安全技術

目前，常用的網絡安全技術主要有病毒防范技術、防火墻技術和虛擬專用網VPN技術等。

(1)病毒是一種惡意的計算機指令或者計算機程序代碼，一般可分為引導區病毒、可執行病毒、宏病毒和郵件病毒等，不同的病毒的危害性也不盡相同。為了防范病毒，可以采用以下的措施：

①安裝防病毒軟件，及時更新病毒庫，認真執行病毒定期清理制度，嚴格設置文件控制權限，瀏覽網頁時高度警惕網絡陷阱，加強內部網絡的整體防病毒措施；

②加強數據備份和恢復措施；

③對敏感的數據和重要的設備要建立必要的物理或邏輯隔離措施等。

(2)這里所說的防火墻并不是指物理意義上的防火墻，而是指隔離本地網絡與外界網絡之間的一道防御安全系統。它能有效的限制被保護的網絡與互聯網絡之間、或者與其他網絡之間進行的信息的通信，能根據企業的安全策略控制出入網絡的信息流，并且本身具有較強的抗攻擊能力，是電子商務安全防護的基礎設施。

(3)虛擬專用網絡(簡稱VPN)指的是在公用網絡上建立專用網絡的技術。整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺上，如異步傳輸模式、幀中繼等邏輯網絡，用戶數據在邏輯鏈路中傳輸，非常適合于電子數據交換(EDI)。

2.3 信息安全技術

(1)數據加密技術是安全技術的重要組成部分之一

通過對敏感信息進行數據加密，以保證電子商務的保密性、完整性、真實性和非否認服務。數據加密的原理是通過一定的加密算法，將明文轉換成為無法理解的密文，阻止非法用戶理解原始數據，確保數據的保密性。

(2)安全認證技術

1)數字信封是將對稱密鑰通過非對稱加密(即：有公鑰和私鑰兩個)的結果分發對稱密鑰的方法。在數字信封中，信息發送方采用對稱密鑰來加密信息，然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數字信封)之后，將它和信息一起發送給信息的接收方，信息的接收方先用相應的私鑰打開數字信封，得到對稱密鑰，然后使用對稱密鑰解開信息。這種技術的安全性相當高。

2)數字簽名

數字簽名技術以加密技術為基礎，其核心是采用加密技術的加密、解密算法體制來實現對報文的數字簽名。數字簽名能實現以下功能：①接收方能夠證實發送方的真實身份； ②發送方事后不能否認所發送過的報文；③接收方或非法者不能偽造、篡改報文。

3)數字摘要

數字摘要就是采用單項Hash函數將文件中需要加密的明文“摘要”成一串固定長度(128位)的密文，這一串密文又稱為數字指紋，它有固定的長度，而且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。因此這個摘要便可以作為驗證明文是否真身的指紋了。

3 .電子商務安全策略

構建在各種安全技術基礎上的企業網絡體系可以保障一定程度的防攻擊能力；保障數據在傳輸過程中的保密性；保障平臺在系統級別操作的安全性；能夠及時發現并制止來自網絡或系統的惡意攻擊。但真正的電子商務安全不是單純的技術問題，而是一項復雜的系統工程，安全體系也不是簡單的安全產品的疊加，它包含了多方面的要素，安全策略只是其中之一。

結語

電子商務安全技術并不限于以上所提到的，還有很多其他措施，如物理安全措施、入侵檢測、防病毒技術、虛擬專用網(VPN)等。實際應用中常將各種技術結合起來使用，以最大限度地提高電子交易的安全性。

[1]吳洋：電子商務安全方法研究[D].天津大學，2006

[2]陳克非：信息安全技術導輪[M].北京：電子工業出版社，2007.1