電子商務(wù)網(wǎng)站的安全問(wèn)題與應(yīng)對(duì)措施

張家口教育學(xué)院 任曉霞

電子商務(wù)網(wǎng)站的安全問(wèn)題與應(yīng)對(duì)措施

張家口教育學(xué)院 任曉霞

隨著信息技術(shù)和網(wǎng)絡(luò)的蓬勃發(fā)展，電子商務(wù)也迅猛發(fā)展起來(lái)，成為最受矚目的互聯(lián)網(wǎng)業(yè)務(wù)之一，對(duì)于現(xiàn)在的電子商務(wù)，最重要的是它的安全問(wèn)題。本文主要對(duì)電子商務(wù)存在的安全問(wèn)題和應(yīng)對(duì)措施進(jìn)行了探討。

電子商務(wù) 安全問(wèn)題 應(yīng)對(duì)措施

隨著信息技術(shù)和網(wǎng)絡(luò)的蓬勃發(fā)展，集信息技術(shù)、商務(wù)技術(shù)和管理技術(shù)于一體的電子商務(wù)也應(yīng)運(yùn)而生并迅猛發(fā)展起來(lái)，成為最受矚目的互聯(lián)網(wǎng)業(yè)務(wù)之一。所謂的電子商務(wù)是指在以網(wǎng)絡(luò)為基礎(chǔ)的計(jì)算機(jī)系統(tǒng)支持下，采用電子方式從事的交互式的各種商務(wù)活動(dòng)過(guò)程。電子商務(wù)的出現(xiàn)改變了傳統(tǒng)商務(wù)活動(dòng)的運(yùn)作方式，作為信息化、網(wǎng)絡(luò)化發(fā)展的一種新的商品交易模式，通過(guò)人與電子通信方式的結(jié)合，極大地提高商務(wù)活動(dòng)效率，減少冗余的中間環(huán)節(jié)，降低了交易成本。但是，由于因特網(wǎng)本身的開(kāi)放性，電子商務(wù)的安全問(wèn)題日益突出，如何搭建一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，成為電子商務(wù)發(fā)展的關(guān)鍵。

1 電子商務(wù)網(wǎng)站存在的安全問(wèn)題

1.1 漏洞和計(jì)算機(jī)病毒

漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)、具體使用或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。目前，絕大多數(shù)的應(yīng)用軟件都存在漏洞，使得漏洞成為網(wǎng)絡(luò)攻擊的首選目標(biāo)從而威脅到網(wǎng)站的安全，對(duì)網(wǎng)站會(huì)造成巨大的損失。計(jì)算機(jī)病毒是具有破壞功能的可以自我復(fù)制的程序?；ヂ?lián)網(wǎng)的開(kāi)放性給病毒提供了很好的傳播平臺(tái)，互聯(lián)網(wǎng)上病毒無(wú)處不在，病毒利用自身的隱蔽性和傳播性，在互聯(lián)網(wǎng)上橫行肆意，悄無(wú)聲息的竊取電子商務(wù)活動(dòng)中的信息，或者是破壞系統(tǒng)或數(shù)據(jù)，造成網(wǎng)站癱瘓。

1.2 安全意識(shí)淡薄

電子商務(wù)是剛剛興起的新型商業(yè)模式，對(duì)于廣大消費(fèi)者對(duì)電子商務(wù)這個(gè)新事物還比較陌生，缺乏相應(yīng)的知識(shí)，不能十分熟練的掌握這一新的交易手段，造成各種人為的安全威脅。而對(duì)于網(wǎng)站來(lái)說(shuō)存在僥幸心理，認(rèn)為不會(huì)引起惡意攻擊，甚至還有一些網(wǎng)站缺乏對(duì)安全技術(shù)的了解，認(rèn)為只要安裝了防火墻、殺毒軟件等，就能完全保障網(wǎng)站的安全，所以總是在受到攻擊后才會(huì)想到加強(qiáng)網(wǎng)站安全。

1.3 交易的安全問(wèn)題

電子商務(wù)網(wǎng)站的交易過(guò)程，是借助于虛擬的網(wǎng)絡(luò)平臺(tái)來(lái)實(shí)現(xiàn)的。在這個(gè)平臺(tái)上，交易雙方不需要會(huì)面，因此交易雙方的身份具有不確定性，在交易過(guò)程中，有可能出現(xiàn)交易抵賴、非同步交易等情況，直接破壞了電子商務(wù)交易的安全。

1.4 數(shù)據(jù)庫(kù)的不安全性

電子商務(wù)網(wǎng)站都建立自己的數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)和管理各種重要的業(yè)務(wù)數(shù)據(jù)信息，如客戶的銀行賬號(hào)、密碼、用戶名還有訂單號(hào)等；還有商家的協(xié)議、合同、銀行的指令和認(rèn)證等。一旦攻擊者竊取了電子商務(wù)網(wǎng)站的數(shù)據(jù)庫(kù)，就可以獲得他們想要的信息，甚至篡改、刪除對(duì)網(wǎng)站至關(guān)重要的信息，破壞數(shù)據(jù)的準(zhǔn)確性和完整性，因此電子商務(wù)網(wǎng)站的數(shù)據(jù)庫(kù)成為攻擊者攻擊的重點(diǎn)。

1.5 網(wǎng)站內(nèi)部用戶的安全威脅

隨著目前電子商務(wù)的迅猛發(fā)展，電子商務(wù)網(wǎng)站也越來(lái)越多，而來(lái)自于網(wǎng)站內(nèi)部用戶的安全威脅已成為網(wǎng)站最大的安全問(wèn)題。例如：網(wǎng)站的員工疏忽或是故意泄露信息，使得攻擊者可以毫不費(fèi)力的篡改、竊取網(wǎng)站用戶的資料等內(nèi)部機(jī)密；網(wǎng)站員工私自安裝非法軟件、游戲以及訪問(wèn)不安全的網(wǎng)站等導(dǎo)致網(wǎng)站被惡意入侵；網(wǎng)站員工對(duì)機(jī)密數(shù)據(jù)的非法操作。這些都能引發(fā)網(wǎng)站的安全危機(jī)。

2 電子商務(wù)的安全要素

2.1 交易信息的保密性

交易信息的保密性，是指交易信息在傳輸過(guò)程中不被他人竊取。電子商務(wù)作為一種商業(yè)交易手段，其交易信息直接與個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密相關(guān)，因此，維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣的重要保障。要預(yù)防信息被盜非法竊取，必須保證用戶的合法性。

2.2 交易信息的完整性

交易信息的完整性是指信息在存儲(chǔ)和傳輸時(shí)，不會(huì)因?yàn)橐馔饣蛉藶橐蛩貙?dǎo)致信息遭到破壞，保證信息的完整和統(tǒng)一。電子商務(wù)交易是買和賣的雙向活動(dòng)，在交易過(guò)程中交易文件不允許任意一方隨意的改動(dòng)，否則會(huì)損壞另一方的利益。因此，要預(yù)防對(duì)信息的隨意生成、修改和刪除，保證其完整性。

2.3 交易信息的有效性

傳統(tǒng)的“白紙黑字”形式被無(wú)紙的電子商務(wù)形式取代了，如何保證各種電子商務(wù)信息的有效性，防止交易雙方的抵賴和否認(rèn)，是電子商務(wù)活動(dòng)的關(guān)鍵。任何一方都不能以各種協(xié)議、合同是無(wú)紙化的電子形式，而否認(rèn)它的有效性。

2.4 電子商務(wù)系統(tǒng)的可靠性

電子商務(wù)系統(tǒng)的可靠性是指預(yù)防因計(jì)算機(jī)失效、程序錯(cuò)誤、硬件故障、計(jì)算機(jī)病毒等引起的計(jì)算機(jī)信息丟失或出錯(cuò)。電子商務(wù)系統(tǒng)的可靠性是保證交易安全的根本基礎(chǔ)。

3 解決電子商務(wù)網(wǎng)站安全問(wèn)題的應(yīng)對(duì)措施

任何的安全應(yīng)對(duì)措施都不能保證網(wǎng)站百分百的安全，但是企業(yè)樹(shù)立自身的安全意識(shí)，充分利用各種安全技術(shù)，在攻擊者和受保護(hù)對(duì)象間建立起多道安全防線可以降低網(wǎng)站遭到攻擊、破壞的風(fēng)險(xiǎn)。因此解決電子商務(wù)網(wǎng)站的安全問(wèn)題需從技術(shù)和管理兩個(gè)層面入手，具體的應(yīng)對(duì)措施有：

3.1 安全技術(shù)方面

3.1.1 防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。從本質(zhì)上說(shuō)是一種保護(hù)裝置，用來(lái)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶信譽(yù)。入侵者攻擊網(wǎng)站必須先沖破防火墻的安全防線才能接觸到目標(biāo)計(jì)算機(jī)。

防火墻技術(shù)是目前電子商務(wù)網(wǎng)站安全防范技術(shù)中發(fā)展較為成熟的一種，對(duì)于已知的攻擊模式有很好的防御作用，它為網(wǎng)站建立起一道安全屏障，強(qiáng)化了網(wǎng)絡(luò)安全策略，加強(qiáng)了網(wǎng)絡(luò)存取和訪問(wèn)的監(jiān)控審計(jì)，有效的防止了內(nèi)部信息外泄。

3.1.2 入侵檢測(cè)技術(shù)

為了保護(hù)電子商務(wù)網(wǎng)站的安全，以防火墻為主的靜態(tài)防護(hù)已經(jīng)不能滿足現(xiàn)在網(wǎng)站的需求，因此在防火墻之上加入入侵檢測(cè)系統(tǒng)，是一種增強(qiáng)網(wǎng)站安全的應(yīng)對(duì)策略，入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它是網(wǎng)站的第二道安全門，當(dāng)發(fā)現(xiàn)入侵后，該系統(tǒng)會(huì)做出反應(yīng)，防止攻擊的進(jìn)一步發(fā)生。

3.1.3 病毒防范技術(shù)

計(jì)算機(jī)病毒是具有自我復(fù)制和傳播能力的可以引起計(jì)算機(jī)和網(wǎng)絡(luò)故障的程序。而計(jì)算機(jī)病毒的防范是建立網(wǎng)站安全的重要一環(huán)。應(yīng)該從預(yù)防和清除兩個(gè)方面入手，預(yù)防就是通過(guò)應(yīng)對(duì)策略阻止病毒進(jìn)入網(wǎng)站，避免感染，防患于未然；清除就是經(jīng)常用殺毒軟件對(duì)網(wǎng)站所在的服務(wù)器進(jìn)行查毒、殺毒，使網(wǎng)站免遭破壞。

3.1.4 數(shù)據(jù)備份和恢復(fù)

任何的安全防御都不是百分百的安全，對(duì)于重要的數(shù)據(jù)要做到及時(shí)備份，這樣才能在發(fā)生系統(tǒng)硬件故障、軟件錯(cuò)誤、人為失誤、計(jì)算機(jī)病毒或自然災(zāi)害等破壞數(shù)據(jù)完整時(shí)起到數(shù)據(jù)的保護(hù)和恢復(fù)作用，將損失降到最低。

3.2 管理方面

3.2.1 加強(qiáng)電子商務(wù)安全管理

加強(qiáng)電子商務(wù)安全管理就是通過(guò)管理手段來(lái)達(dá)到保護(hù)電子商務(wù)網(wǎng)站的安全機(jī)制和規(guī)則安全的目的。它包括網(wǎng)站員工的管理、設(shè)備管理、應(yīng)急措施以及網(wǎng)站的日常維護(hù)和管理。保證員工不泄露密碼或是將網(wǎng)站的機(jī)密隨意發(fā)布，不訪問(wèn)非法網(wǎng)站，不輕易下載和安裝程序，對(duì)員工進(jìn)行業(yè)務(wù)培訓(xùn)，提高操作水平；對(duì)于網(wǎng)站的設(shè)備能做到防火、防盜、防磁、防水以及故障排除，并能實(shí)時(shí)的進(jìn)行數(shù)據(jù)備份與恢復(fù)，保證電子商務(wù)網(wǎng)站的繼續(xù)運(yùn)行或緊急恢復(fù)。

3.2.2 健全電子商務(wù)法律法規(guī)

網(wǎng)絡(luò)安全問(wèn)題不僅僅是技術(shù)性問(wèn)題，還是一個(gè)社會(huì)性問(wèn)題。電子商務(wù)網(wǎng)站的安全無(wú)論采用多么高級(jí)的安全技術(shù)和管理措施，電子商務(wù)糾紛仍然會(huì)發(fā)生。在信息化社會(huì)發(fā)展的初期，必須依靠法律和行政手段來(lái)最終保護(hù)電子商務(wù)的安全。建立健全和電子商務(wù)法律法規(guī)已經(jīng)成為當(dāng)前電子商務(wù)發(fā)展的重要環(huán)節(jié)，它是電子商務(wù)安全應(yīng)對(duì)措施的最后一道防線。

4 結(jié)語(yǔ)

計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)的發(fā)展，使得電子商務(wù)不斷進(jìn)步，電子交易的手段更加多樣化，安全問(wèn)題就更加突出和重要。電子商務(wù)網(wǎng)站的安全是一個(gè)復(fù)雜的工程，不僅安全技術(shù)需要提高，網(wǎng)站安全管理也必須加強(qiáng)，還要完善電子商務(wù)法律法規(guī)，所以必須綜合運(yùn)用這些安全措施。隨著我國(guó)對(duì)電子商務(wù)重視程度的加深和法律法規(guī)的不斷完善，電子商務(wù)網(wǎng)站必將會(huì)逐步走上健康、安全、有保障的發(fā)展道路。

[1] 奚憲銘.電子商務(wù)概論[M].科技科學(xué)出版社,2007.

[2] 陳兵.網(wǎng)絡(luò)安全與電子商務(wù)[M].北京大學(xué)出版社,2006.

[3] 戴銀華.網(wǎng)絡(luò)安全綜合評(píng)價(jià)技術(shù)研究[D].天津大學(xué),2008.

F270

A

1005-5800(2010)11(c)-110-02