企業(yè)電子商務(wù)安全策略研究和綜合應(yīng)用

史晶娜

[摘要]隨著電子商務(wù)發(fā)展，電子商務(wù)逐漸變成中國經(jīng)濟活動之一。電子商務(wù)安全問題不僅涉及到信息安全問題，還涉及到國家的經(jīng)濟安全、金融安全。本文在明確企業(yè)電子商務(wù)的安全問題和要求下，研究具體安全策略并應(yīng)用與電子商務(wù)上。

[關(guān)鍵詞]電子商務(wù)；安全問題；策略研究

伴隨著互聯(lián)網(wǎng)的快速發(fā)展，電子商務(wù)的廣闊前景吸引了全球的關(guān)注，電子商務(wù)的網(wǎng)絡(luò)效應(yīng)優(yōu)勢也更加突出。作為發(fā)展中國家的中國，在互聯(lián)網(wǎng)發(fā)展方面與發(fā)達國家的差距較小，為中國實現(xiàn)超越式發(fā)展提供了契機。中國電子商務(wù)的發(fā)展環(huán)境不斷得到改善，但電子商務(wù)的安全問題是制約我國電子商務(wù)實現(xiàn)跨越式發(fā)展的瓶頸問題。

一、電子商務(wù)安全問題及要求

所謂電子商務(wù)安全是指綜合運用各種安全技術(shù)和設(shè)施保護電子商務(wù)中交易各方的安全，保證商務(wù)活動順利進行。人們從面對面的交易作業(yè)變成虛擬的網(wǎng)上互不見面的操作，沒有國界、沒有時間限制，可以充分利用互聯(lián)網(wǎng)工具和資源的同時，也可以進行攻擊和破壞。

常見的電子商務(wù)安全問題包括：

1.在網(wǎng)絡(luò)的傳輸過程中信息被截獲

攻擊者可以通過因特網(wǎng)、公用電話網(wǎng)、搭線等截獲傳輸?shù)臋C密信息，或通過對信息流量和流向、通信頻度和長度參數(shù)的分析，推斷出有用信息、如銀行賬號密碼等。

2.傳輸?shù)奈募粣阂獯鄹?/p>

攻擊者可以通過篡改、刪除和插入三方面來破壞信息的完整性。

3.假冒他人身份

主要包括冒充他人身份，如冒充上級發(fā)布指令；冒充他人消費，栽贓；冒充主機欺騙合法主機及合法用戶；接管合法用戶，欺騙系統(tǒng)，占用合法用戶的資源等。

4.抵賴交易信息

主要表現(xiàn)在收（發(fā)）信者時候否認曾經(jīng)接收（發(fā)送）過某些信息；購買者不承認確定了訂貨單；商家違約等。

針對以上安全問題，為了保證交易各方的合法權(quán)益，電子商務(wù)安全必須滿足5項基本要求，即授權(quán)合法性、不可抵賴性、保密性、身份的真實性與信息的完整性。

二、企業(yè)電子商務(wù)安全策略

要保護自己的電子商務(wù)資產(chǎn)，所有的組織都要有一個明確的安全策略，即明確描述對所需保護的資產(chǎn)、保護的原因、誰負責(zé)保護、哪些行為可接受、哪些行為不可接收的書面描述。安全策略一般要陳述物理安全、網(wǎng)絡(luò)安全、訪問授權(quán)、病毒保護、災(zāi)難恢復(fù)等內(nèi)容，該策略不是一成不變的，公司的安全負責(zé)人員必須定期修改安全策略。

雖然現(xiàn)實中沒有絕對的安全，但企業(yè)可以構(gòu)造一道屏障來阻止絕大多數(shù)的威脅和侵害。制定全面的安全策略必須包含對安全問題的多方面考慮因素。安全策略一般包括以下內(nèi)容：

認證：誰想訪問企業(yè)的電子商務(wù)網(wǎng)站？

訪問控制：允許誰登錄電子商務(wù)網(wǎng)站并訪問它？

保密：誰有權(quán)利查看特定的信息？

數(shù)據(jù)完整性：允許誰修改數(shù)據(jù)，不允許誰修改數(shù)據(jù)？

審計跟蹤：在何時由何人導(dǎo)致了何事？

三、完善的企業(yè)電子商務(wù)安全體系策略綜合應(yīng)用

企業(yè)的電子商務(wù)安全實際上關(guān)注的是內(nèi)容按照從客戶機到電子商務(wù)服務(wù)器的交易處理鏈進行組織，因此這條鏈條上必須保護的資產(chǎn)包括客戶機、從通信信道上傳輸?shù)男畔ⅰ⒎?wù)器。

1.客戶機的安全

客戶機應(yīng)該不受載入軟件和數(shù)據(jù)的安全威脅，尤其是注意以動態(tài)網(wǎng)頁形式從網(wǎng)上傳來的活動內(nèi)容所帶來的安全威脅?？蛻魴C面臨的另一種威脅是偽裝成合法網(wǎng)站的服務(wù)器。用戶和客戶機受騙向非法網(wǎng)站提供敏感信息的案例很多。

在客戶機的安全方面最需關(guān)注的是網(wǎng)頁竊聽器，網(wǎng)頁上會有某些廣告主（從第三方服務(wù)器）發(fā)出的圖片，但是圖片小得肉眼看不見。當(dāng)網(wǎng)絡(luò)訪問者載入此頁面時，網(wǎng)頁竊聽器也從第三方網(wǎng)站發(fā)來，在訪問者的計算機里放置一個小程序，以跟蹤和偷窺客戶機的上網(wǎng)行為等內(nèi)容。

2.通信信道的安全

互聯(lián)網(wǎng)發(fā)展到今天，其不安全狀態(tài)與最初相比沒有太大改觀。在互聯(lián)網(wǎng)上傳遞信息，從起始節(jié)點到目標節(jié)點之間的路徑是隨機選擇的，每次所用的路徑都可以不同。由于用戶根本無法控制傳輸路徑，也不知道信息包經(jīng)過的節(jié)點，所以某個中間節(jié)點都可能會讀取信息、加以篡改或偽造信息。在互聯(lián)網(wǎng)上傳遞信息都會受到對安全、完整和亟需的侵犯。主要解決方法是使用電子商務(wù)安全中的加密技術(shù)，包括各種加密算法、數(shù)字簽名和安全協(xié)議等。

3.服務(wù)器的安全

對于企圖破壞或非法獲取信息的人來說，企業(yè)的服務(wù)器有很多弱點可被利用。其中一個入口是WWW服務(wù)器及其軟件，其他入口包括任何有數(shù)據(jù)的后臺程序，如數(shù)據(jù)庫和數(shù)據(jù)庫服務(wù)器。電子商務(wù)系統(tǒng)以數(shù)據(jù)庫存儲用戶數(shù)據(jù)，并可從WWW服務(wù)器所連的數(shù)據(jù)庫中搜索產(chǎn)品信息。數(shù)據(jù)庫中除了產(chǎn)品信息外，還可能保存有價值的信息或隱私信息，一旦被更改或泄露則會給公司帶來無法彌補的損失。數(shù)據(jù)庫的安全是通過權(quán)限實施的，如果有人得到用戶的認證信息，就能偽造成合法的數(shù)據(jù)庫用戶來下載保密的信息?，F(xiàn)在大多數(shù)大型數(shù)據(jù)庫都是用基于用戶名和口令的安全措施，一旦用戶獲準訪問數(shù)據(jù)庫，就可以查看數(shù)據(jù)庫中的相關(guān)內(nèi)容。其后果是十分嚴重的。

總之，我國目前的電子商務(wù)安全形勢不容樂觀，隨著電子商務(wù)的發(fā)展，將會有更多的問題出現(xiàn)。我國企業(yè)應(yīng)重視自身的安全問題，同時國家方面也會加大研發(fā)電子商務(wù)安全技術(shù)，健全電子商務(wù)安全體系，不斷完善電子商務(wù)安全法律法規(guī)，構(gòu)建有中國特色的電子商務(wù)安全體系，為推動我國電子商務(wù)整體發(fā)展加足馬力，使中國真正進入安全的電子商務(wù)全新時代。

參考文獻：

[1]沈昌祥,左曉棟.《信息安全》.浙江大學(xué)出版社.2007年10月

[2]肖德琴,周權(quán).《電子商務(wù)安全》.高等教育出版社.2009年9月第1版

[3]楊堅爭,趙雯,楊立釩.《電子商務(wù)安全與電子支付》.機械工業(yè)出版社.2007年3月

[4]余瀟楓,潘一禾,王江麗著.《非傳統(tǒng)安全概論》.浙江人民出版社.2006年第1版