電子商務中計算機網(wǎng)絡安全及對策

浙江財經(jīng)學院信息學院 韓禎

互聯(lián)網(wǎng)是電子商務順暢運行的基礎，換句話說電子商務是因互聯(lián)網(wǎng)的出現(xiàn)而發(fā)展起來的，其承繼了互聯(lián)網(wǎng)的互通、快捷的優(yōu)勢，同時其也需要承受互聯(lián)網(wǎng)所遭遇的種種安全威脅。隨著互聯(lián)網(wǎng)的發(fā)展其所面臨的安全問題也逐漸凸顯出來，計算機病毒、特洛伊木馬、系統(tǒng)漏洞、黑客攻擊等網(wǎng)絡有害信息充斥著互聯(lián)網(wǎng)，如果對這些安全威脅處理不當，很容易就會對個人和企業(yè)造成經(jīng)濟利益的損失，甚至會對國家和社會帶來不安定的影響，所以對待互聯(lián)網(wǎng)上的安全威脅決不能掉以輕心，必須采取有效的應對措施，加強信息安全保障方面的工作，抓好體系建設，努力增強信息安全保障的能力，為電子商務的發(fā)展創(chuàng)造良好的基礎。

1 電子商務網(wǎng)絡安全相關概念

1.1 電子商務的概念

作為一種全新的商業(yè)的業(yè)務和服務方式，電子商務工作的主要途徑是多種的電子通信，通過這種方式其可以為全世界的用戶提供服務，讓他們享受到更豐富的商務信息和更為快捷、簡單的交易流程，而同時其只需支付更為低廉的交易成本。隨著互聯(lián)網(wǎng)在全世界范圍內(nèi)的普及和網(wǎng)絡技術的不斷發(fā)展，網(wǎng)民的數(shù)量在不斷地增加，網(wǎng)民利用電子商務平臺進行交易的金額和次數(shù)也在不斷的增加，其充分享受到了網(wǎng)絡交易的種種優(yōu)點，所以電子商務一經(jīng)推出就得到了廣泛的推廣，即便是時至今日，各大電商企業(yè)已經(jīng)有了很大的發(fā)展，但是在人們眼中電子商務的潛力還遠未被挖掘出來，電子商務仍然是IT行業(yè)中最有潛力發(fā)展領域。隨著互聯(lián)網(wǎng)發(fā)展而出現(xiàn)的還有網(wǎng)絡安全問題，電子商務也遭遇到了網(wǎng)絡安全問題的困擾，為排解這些困難促進電子商務的更好發(fā)展，電子商務平臺充分利用了一些網(wǎng)絡技術進行安全維護。

1.2 網(wǎng)絡安全技術在電子商務中的應用

1.2.1 防火墻技術

作為目前最常用的網(wǎng)絡安全防護技術，防火墻技術的要點是將防火墻放置在內(nèi)部被保護的網(wǎng)絡和互聯(lián)網(wǎng)之間，其采用IP封包過濾技術，對經(jīng)過電子商務交易平臺的數(shù)據(jù)進行檢測、過濾，在進口處把好關，找到不合規(guī)范的數(shù)據(jù)包，及時進行攔截，進而起到阻截的作用，防止木馬、病毒等進入到內(nèi)部被保護的網(wǎng)絡之中，如果這些病毒進入到內(nèi)部網(wǎng)絡之中很可能會對內(nèi)部系統(tǒng)中的重要信息進行竊取和篡改，進而對電子商務交易平臺的運行造成極大的危險。防火墻技術主要由日志登錄系統(tǒng)、審計系統(tǒng)、FTP代理服務器、E-mail代理服務器、WWW代理服務器、Telnet代理系統(tǒng)、加密系統(tǒng)、身份驗證系統(tǒng)、包過濾路由器和堡壘主機等部分組成。防火墻只是安全系統(tǒng)的首道關口，其對電子商務交易平臺所提供的安全保障只是相對的，一般來說黑客都會將防火墻作為其實施攻擊的首選，此外，還有的黑客會繞過防火墻直接進入到內(nèi)部網(wǎng)絡，所以在設置了防火墻之外，電子商務平臺還需要運用其他安全防護措施。

1.2.2 PKI技術

該項技術是互聯(lián)網(wǎng)信息安全技術的核心，也是電子商務信息安全的關鍵和基礎技術。這些技術又被稱為公鑰基礎設施，其是在公鑰密碼理論和技術基礎上建立起來的一種綜合安全平臺。該項技術的運用是通過第三方可信任機構——CA認證中心將用戶的公鑰和用戶的其他標識信息綁定在一起，進而為網(wǎng)絡用戶、設備提供信息安全服務，使其具有普便適用性的信息安全性。整個PKI基礎技術包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等多項內(nèi)容。該技術系統(tǒng)向用戶提供加密和數(shù)字簽名等服務時是完全透明和安全的，在此過程中，用戶不需要了解密鑰。典型、完整、有效的技術應用系統(tǒng)包含以下幾項內(nèi)容: 認證機構、證書庫、密鑰管理、密鑰和證書的更新、證書歷史檔案、客戶端軟件等多項內(nèi)容。電子商務運行平臺可以利用PKI技術建立起可信的、安全的網(wǎng)絡運行環(huán)境，并進而有效的解決掉電子商務運行中所存在的各種安全問題。這項技術通過CA認證中心發(fā)放的數(shù)字證書，利用這種獨特的數(shù)字證書來確保交易雙方的身份認證問題，電子商務運行過程中還會利用到該技術的加密環(huán)節(jié)，通過此環(huán)節(jié)來保證交易信息在網(wǎng)上傳送時不會被竊取，進而保障信息的安全性，使得電子商務在網(wǎng)上安全可靠的進行。

1.2.3 數(shù)據(jù)加密技術

該項技術也是電子商務安全技術中比較常用的一種手段。這種技術將電子商務活動中，買賣雙方所傳輸?shù)臄?shù)據(jù)信息進行重新編碼、加密，這樣處理的作用是即便信息被黑客竊聽或者盜走的話，其也難以對此進行解密，進而也就無法從信息中獲取買賣雙方的相關信息，從而保證了數(shù)據(jù)和數(shù)據(jù)傳輸?shù)陌踩?。一般來說，此項技術又可以被分為非對稱密鑰加密技術和對稱密鑰加密技術兩種。其中前者也被稱為公開密鑰加密技術，后者則也被叫做私有密鑰加密算法。對稱密鑰加密算法主要有IDEA算法、3DES算法、PCR算法、DES算法等。對稱密鑰加密算法是最為常用的一種算法，這種算法的優(yōu)點包括效率高、速度快、易管理等，但是其也存在著比較顯著的不足，那就是其容易被黑客截取和解密信息。非對稱密鑰加密算法采用的方式同上種方法有所不同，其在數(shù)據(jù)加密時使用一個密鑰，在數(shù)據(jù)解密時使用另外一個密鑰，在加密的密鑰或解密的密鑰中有一個是必須保密的。其算法類型主要包括RSA算法、橢圓曲線密碼算法等。這種算法相對于上一種算法其安全性能更高，但是其不足在于花費太高并且對這些加密的數(shù)據(jù)進行管理的難度較大。

1.2.4 數(shù)字簽名、認證技術

就目前來說，比較常用的數(shù)字簽名技術有橢圓曲線數(shù)字簽名、Hash簽名、RSA簽名和DSS簽名等幾種。單獨使用數(shù)字簽名技術可以認可數(shù)據(jù)的來源，保證數(shù)據(jù)的不可否認性，也就是能夠使接受者清晰發(fā)送對象的情況但是卻不能夠保障其發(fā)送數(shù)據(jù)的保密性，如果想實現(xiàn)發(fā)送數(shù)據(jù)的保密和完整性必須還要使用數(shù)據(jù)認證技術。

該項技術也可以被解讀為通過一個被廣受信賴的商業(yè)性質的中介組織發(fā)放數(shù)字證書來提供的認證服務。該項服務主要被應用于客戶、銀行和企業(yè)這三者之間，在上文中所提到的中介組織就是認證中心，其通過給三方發(fā)放數(shù)字證書來使三方建立起安全的信息交流和合作關系，并且實現(xiàn)彼此的信任。

1.2.5 VPN技術

該技術主要采用密鑰交換協(xié)議、電子身份認證技術和數(shù)據(jù)加密技術等將原來上層的通信協(xié)議附加上安全協(xié)議，從而使所有的用戶都可以在互聯(lián)網(wǎng)上安全、方便、統(tǒng)一的通信。此項技術的最大優(yōu)點是在電子商務活動中所有被授予權利的人，不限地域和國別都可以通過該項技術訪問那些需要授權的資源，這項技術也可以被用于有效防止那些電子商務活動中沒有被授予權利，或被授予的權利已經(jīng)過期的非法用戶訪問需要授權的資源。通過此項技術的廣泛應用，可以對電子商務活動過程中的數(shù)據(jù)進行保密，對客戶的隱私和可能涉及到的交易雙方的重要信息和資料都可以進行有效的保護，維護雙方利益不受到損害。

2 電子商務所面臨的網(wǎng)絡威脅

互聯(lián)網(wǎng)的開放性是把雙刃劍，既讓人感受到互聯(lián)網(wǎng)便捷特點也使網(wǎng)上出現(xiàn)眾多的安全風險。在網(wǎng)絡安全防御方面，安全技術呈現(xiàn)滯后和被動的特點，加上黑客等網(wǎng)絡安全威脅制造者攻擊的隨機性使得網(wǎng)絡安全無法提前預防，并且要想徹底解決網(wǎng)絡安全問題也并不現(xiàn)實，以互聯(lián)網(wǎng)作為運行基礎的電子商務系統(tǒng)，其安全性仍然十分的脆弱，電子商務信息在傳輸過程中遭遇的安全隱患主要包括以下幾個方面：

2.1 客戶信息被竊取或截獲

互聯(lián)網(wǎng)技術的發(fā)展使得互聯(lián)網(wǎng)的基本知識已經(jīng)普及，黑客群體也開始改變以往單打獨斗的情形，呈現(xiàn)集團化作戰(zhàn)的趨勢，在利益的驅使下，黑客通過集團化的攻擊將客戶重要信息進行截取，使對方情況在競爭對手面前變得一目了然，使其喪失競爭的主動權。

2.2 未經(jīng)授權訪問數(shù)據(jù)或服務

未經(jīng)授權訪問就是沒有經(jīng)過合法授權的主體通過其他方式訪問到了合法資源，在互聯(lián)網(wǎng)上，網(wǎng)絡攻擊者可以借助多種手段比如非法冒用合法用戶，進入到資源庫，接觸到資源庫中的敏感數(shù)據(jù)。

2.3 電子商務平臺漏洞

電子商務平臺由于互聯(lián)網(wǎng)所具有的特性可能存在諸多的安全問題，一些企業(yè)對電子商務平臺自身缺乏應有的警惕性，對交易平臺安全性重視不夠，在信息泄露或者出現(xiàn)安全問題時才加以重視，有些企業(yè)在管理上存在漏洞，也容易導致電子商務平臺出現(xiàn)安全問題。

2.4 信息完整性威脅

一些網(wǎng)絡攻擊者能夠利用網(wǎng)絡技術盜取合法用戶的身份信息和相關權限，并借助其所盜用的合法身份同其他企業(yè)進行欺詐交易，或者是利用虛假信息詐騙用戶的機密信息來盜取資金。在許多網(wǎng)上虛假交易的案例中，不法分子都是利用此手段進行犯罪活動的。

3 加強電子商務網(wǎng)絡安全問題的對策

3.1 完善企業(yè)電子商務安全管理

電子商務對企業(yè)發(fā)展大有益處至少可以使其減少交易成本并且交易行為更有效率，但是對于其存在的安全問題企業(yè)必須高度重視，為了充分利用電子商務優(yōu)勢，盡最大可能降低企業(yè)成本，企業(yè)應當將對電子商務安全問題的管理措施具體化，設置專門的安全規(guī)范，配置專業(yè)的安全管理人員。

3.2 加強企業(yè)安全技術管控

企業(yè)要細化電子商務安全技術，完善電子商務平臺建設，做好系統(tǒng)運行維護等工作。企業(yè)的服務器安全管理層級要進一步提高，加強對信息記錄的管理，設置好安全處理預案，應用技術成熟得到廣泛認可的防火墻和病毒防護程序，安排專業(yè)安全管理人員負責企業(yè)系統(tǒng)的維護和升級。

3.3 努力提高自身管理水平

企業(yè)自身的安全管理在維護企業(yè)信息安全方面意義重大：第一，企業(yè)的管理層必須對電子商務安全問題高度重視，要將其視為關系企業(yè)發(fā)展的關鍵對其進行相關的技術部署。第二，企業(yè)員工在信息安全維護方面的素質要進一步加強，可以通過培訓等方式加強員工的信息安全意識。第三，要制定完善、科學的電子商務安全技術規(guī)劃，并且在企業(yè)信息傳輸過程中嚴格按照規(guī)劃的要求去采取行動。

3.4 企業(yè)要加強病毒防范的意識

加強對病毒防范等方面技術的研究可以使企業(yè)對電子商務系統(tǒng)中出現(xiàn)的病毒狀況更了解，從而能夠有效降低企業(yè)在進行電子商務活動中被病毒感染的可能性，同時企業(yè)防范病毒能力的增強也可以為企業(yè)正常進行電子交易提供比較好的網(wǎng)絡環(huán)境。在這樣的前提下才能夠在病毒防范方面收到良好的效果，才能夠給電子商務營造一個更健康的發(fā)展環(huán)境。

4 結語

電子商務系統(tǒng)中的網(wǎng)絡安全問題具有很強的綜合性，其牽扯到多個領域和方面，比如企業(yè)管理理念、管理制度、技術力量等。要保障電子商務的安全運行必須在多個方面加以考慮，對企業(yè)電子商務平臺可能遭受攻擊的諸多漏洞要及時彌補、完善，這樣才能夠使企業(yè)在面臨網(wǎng)絡攻擊時仍能夠較好保證信息安全，在企業(yè)電子商務安全系統(tǒng)規(guī)劃中制定完善的企業(yè)安全管理制度，加強安全技術管理和強化企業(yè)網(wǎng)絡安全架構都十分重要，必須協(xié)同建設，不可偏廢，這樣才能最終為企業(yè)的電子商務安全提供健康的網(wǎng)絡環(huán)境。

[1]李成大,張京,龔茗.計算機信息安全[M].北京:人民郵電出版社,2008.

[2]朱麗萍.網(wǎng)絡安全技術及防治措施[J].數(shù)字技術與應用,2011(2).

[3]陳兵.基于PKI護Ml的應用安全支撐體系研究[J].信息網(wǎng)絡安全,2010(7).

[4]魏玉人.網(wǎng)絡通信系統(tǒng)安全保障技術研究[J].信息網(wǎng)絡安全,2010(9).

[5]任礫,王諾.計算機網(wǎng)絡安全防控策略分析[J].網(wǎng)絡安全技術與應用,2009(6).