淺談電子商務網絡信息安全技術的優化

關鍵詞：電子商務，網絡技術安全，標準化，技術方案

0 引 言

計算機網絡技術的發展促進了商業和經濟模式的變革，電子商務作為一種嶄新的商務活動模式，受到全世界、全社會的廣泛關注和吸納[1]。電子商務基于信息資源與實體經濟相互結合產生效益的理念，具有普遍性、方便性、安全性以及整體性等特點，可實現廣告宣傳、網上支付、電子賬戶等功能，甫一出現就為互聯網經濟的發展注入了強大動力[2]。但同時，電子商務網絡信息安全問題也日益凸顯，黑客攻擊、隱私數據泄露、電信詐騙等網絡安全風險帶來的威脅不斷增加，電子商務的可靠性和安全性正受到威脅[3，4]。要推動當代社會電子商務的可持續發展，保障互聯網經濟的穩步增長，必須以保障計算機網絡安全為基礎和前提[5]。

1 電子商務信息安全現狀

隨著電子商務的發展，構建大型、便捷的電子商務信息安全環境已成為保證我國電子商務產業健康可持續發展的基礎要素。明確電子商務信息安全現狀有助于幫助研究者們采取更有效的措施解決網絡信息安全問題，更高效、更嚴密地維護電子商務信息安全環境[6]。

1.1 電子商務信息安全主要要求

對電子商務信息安全的保護包括對信息的有效性、機密性、完整性與真實性的要求[5]。

1.1.1 有效性

有效性是電子商務的基礎。電子商務是涉及現實的貿易，因此合約、訂單的效力直接影響著交易的正常進行，參與經濟交易的雙方主體未經對方同意都不能違反約定。

1.1.2 機密性

機密性是電子商務的前提。電子商務過程中，應嚴格保證交易各方在交易中提供的相關信息保密，即便經濟交易的雙方在履約過程中出現任何糾紛，也能夠得到有效的解決和合理的仲裁。

1.1.3 完整性

完整性是電子商務正常進行的保障。在電子商務雙方確認貿易內容后，需要確保訂單、合約等信息的完整性，保證交易雙方基本信息無誤及交易的正常進行。

1.1.4 真實性

真實性是電子商務與現實的關鍵連接點。電子商務貿易雙方通過互聯網以電子訂單的方式達成交易，但交易貨物往往具備現實實體，交易資金也具備現實購買力。因此，電子商務更需要對交易雙方的現實身份進行確認，保證交易對象真實存在且具備完成交易的現實能力。

1.2 電子商務面臨的主要安全問題

電子商務的信息安全面臨著諸多安全問題，主要包括信息的竊取、信息的篡改、假冒與惡意破壞[7]。

1.2.1 信息的竊取

電子商務主要通過互聯網平臺進行信息的傳遞，各種交易活動也是在互聯網的平臺上完成，交易信息對用戶來說屬于商業機密，但當企業的信息數據安全工作準備不足時，很容易在信息傳遞、信息存儲等路徑上遭遇不法分子的非法信息竊取[8]。

這一過程中，信息的機密性將遭受破壞，交易雙方也會因此遭受財產損失，可能造成社會對電子商務的信任危機。同時，被竊取盜取的信息數據可能被用于施行威脅度更高的其他信息安全破壞行為，對用戶財產安全與信用造成更嚴重的破壞。

1.2.2 信息的篡改

信息的篡改是在信息竊取基礎上更加惡劣的信息安全破壞行為。入侵者通過信息竊取等行為掌握信息傳遞規律后，可能從3個方面對數據信息進行篡改。

（1）利用某些技術手段改變數據流的次序，實現對信息的篡改；

（2）將某些數據直接刪除，破壞信息的完整性；

（3）在數據流中根據破解獲得的規律增加某些信息，導致交易內容或形式發生變化。

信息篡改在信息竊取的基礎上，進一步破壞了信息的有效性與完整性，可能對交易雙方均造成財產與信用損失，對電子商務參與者間的信任網絡造成損害[9]。

1.2.3 假冒

假冒也是一種以信息竊取為基礎的信息安全破壞行為，其危害尤甚于竊取和篡改信息。假冒是指入侵者通過竊取掌握信息數據及其格式、規律，冒名合法用戶傳輸偽造信息或截取重要信息，容易造成交易對方出現錯誤判斷和經濟損失[10]。

不法分子會利用漏洞、木馬病毒、間諜軟件等手段篡取合法用戶的注冊地址等關鍵安全信息，并假托他人信息注冊或盜取賬號進行互聯網交易，借此牟利，主要表現在：冒充注冊、冒充他人賬號消費、栽贓或超前消費；冒充注冊域名原主機、原用戶賬號進行信息欺詐等惡劣的非法行為。

假冒行為不僅造成了受害者的經濟損失、破壞了電子商務發展所必需的真實可靠的貿易環境，更破壞了整個互聯網的信任環境，對電子商務的發展乃至互聯網的發展進程都將造成極其惡劣的影響。

1.2.4 惡意破壞

電子商務在計算機網絡技術環境下進行貿易交流時，部分不法分子能夠通過網絡中的安全漏洞入侵私人計算機，竊取重要的用戶信息或有針對性地對計算機進行攻擊，讓計算機陷入癱瘓等無法使用的狀態，實施一系列的破壞行動[10]。

此外，不法分子也會對規模較大的電子商務平臺進行針對性的攻擊，讓平臺陷入癱瘓狀態，趁機實施進一步的各種破壞行為，例如：分布式拒絕服務攻擊、SQL注入攻擊、跨站腳本攻擊等。也有不法分子使用這種攻擊手段劫持平臺并敲詐勒索平臺運營方，擾亂平臺運營秩序和電子商務貿易秩序。

這兩種惡意破壞行為均利用了計算機網絡技術環境自身的潛在問題或不足，對電子商務的參與者和運營者造成了經濟損失與信用損害。

2 電子商務信息安全技術與優化

安全性是保障電子商務長期發展的關鍵問題，也是利用互聯網進行交易的根本，為了保證有效性等主要信息安全得到充分保護，防火墻、信息加密、數字簽名等信息安全技術相繼出現，承擔起從紛繁復雜的安全威脅中保障電子商務信息安全的使命[7，11]。

2.1 防火墻技術

防火墻是兩個信任程度不同的網絡之間的軟件或硬件設備的組合，對網絡之間的通信進行控制。防火墻的主要工作是對網絡與外界交換的流量進行監控，主要任務是抵御不被信任的網絡數據可能的威脅，隔離網絡內可能具有威脅的異常數據，準入安全可信任的數據信息。防火墻會根據是否具備授權資格決定是否允許該用戶或信息在本網絡中進行流通和共享，可以阻止不法分子的非法訪問行為，將病毒和木馬排除在網絡外，防止網絡內部重要的信息數據被篡改、破壞或竊取[12]。

防火墻技術的應用應注意兩點，（1）防火墻也存在一定的弊端，若防火墻的數據更新出現太大的延遲，防火墻的實時服務請求就會難以實現，可能影響網絡的正常工作。（2）由于工作站是病毒入侵網絡的一個主要途徑，所以要將防火墻裝置安裝在工作站上，做到信息數據的安全防護工作[8]。

目前，對防火墻的優化方向一方面是網絡通信與訪問控制模塊的優化，以實現對合法用戶與非法入侵者更準確更迅速的辨別為目標；另一方面是針對當前防火墻技術無法對數據驅動型攻擊做出有效應對，因此需要在局域網內部架設新型防火墻，克服目前的安全缺陷。

2.2 信息加密技術

加密技術主要對電子商務信息的傳遞過程進行保護。在信息傳遞前后，分別通過加密解密算法對信息明文和密文處理，防止不法分子竊取傳輸中的信息數據，實現數據傳輸過程中的信息安全保護。

目前的密鑰加密技術主要分為對稱密鑰加密技術與非對稱密鑰加密技術，前者又稱私鑰加密，在加密階段與解密階段使用相同密鑰，例如：DES加密算法等，具有時空復雜度低，運行效率高等優勢，但密鑰傳遞困難；后者也被稱為公鑰加密，在加密與解密階段使用不同的密鑰，這兩種不同的密鑰需要同時使用，并明確二者之間的配對關系，例如：RSA加密算法，傳遞保密功能更優但時空復雜度較高且對大容量信息加載速度較慢[13]。實際應用中常將兩種加密手段混合使用并根據數據保密等級決定加密方式。

2.3 信息識別技術

信息識別技術是指身份認證技術與數字簽名技術的交叉使用。數字簽名是數字文檔上附加的一段特殊數據，用于確保文檔的來源安全、內容完整有效、未遭篡改。數字簽名需要傳輸前后雙方均使用摘要算法提取特征摘要，傳輸方特征摘要使用公鑰加密后傳輸，接收方特征摘要將被用于與接收、解密后的傳輸方摘要對比，若一致則說明傳輸過程安全。身份認證是通過驗證用戶提供的身份信息與其所宣稱的身份的一致性確保用戶身份真實。身份認證需要用戶在注冊、身份驗證階段提供姓名、手機號碼、身份證號等真實身份信息和相關證明材料，以便在必要情況下通過社會身份信息與生物身份信息對用戶身份進行驗真，防止假冒等信息安全破壞行為[3，8]。

上述兩種技術可以有效保護數據的有效性、私密性與完整性，但現階段這兩種技術都對數據中心依賴度較高，這導致數據中心可能成為不法分子的重點攻擊對象，反而不利于信息安全的保護。目前，很多研究都側重于探索基于區塊鏈、去中心化標識等技術的信息識別技術，以期實現建立去中心化的信任模式。

2.4 入侵檢測系統技術

入侵檢測系統與防火墻相同，是一種防護性技術，通過采集和分析用戶的網絡行為數據以及關鍵節點信息來監測異常數據與入侵行為并及時采取措施，發出警報或直接采取措施阻止不法分子的入侵活動。

如今入侵檢測系統技術存在漏報與誤報、無法識別新型攻擊模式、難以處理數據量過大的復雜網絡信息等問題。目前，針對入侵檢測系統上述問題，研究者們提出了很多優化方向，例如：引入人工智能技術與機械學習算法，通過訓練模型盡可能地規避漏報與誤報；引入行為分析技術和上下文感知技術，對流量與用戶行為進行深度分析，以期提高檢測的精準度與效率；綜合多種入侵檢測系統，全方面多層次地進行分析與檢測；引入實時響應和自動化技術，減輕管理員工作負擔等研究方向[14]。

3 結語

電子商務極大地提高了交易的簡便性與效率，為我國互聯網經濟的發展注入了強大動力，是我國邁入大數據時代后不可或缺的強力經濟增長點之一。正因此，積極改進和優化防火墻技術、數據加密技術等信息安全技術對于維護電子商務貿易的安全，保護用戶對電子商務行為的信任，維持穩定的電子商務貿易秩序具有不可或缺的重要意義，應當得到相關領域研究者的關注與重視。