關(guān)于電子商務(wù)安全的探討

【摘 要】電子商務(wù)作為新時代人們進行商務(wù)活動的新模式，它隨著網(wǎng)絡(luò)科技的不斷發(fā)展，而日漸普及。電子商務(wù)發(fā)展的核心和關(guān)鍵問題是交易的安全性。本文在簡單介紹了電子商務(wù)的現(xiàn)狀、安全隱患及安全技術(shù)措施，其中重點探討電子商務(wù)的交易安全及網(wǎng)絡(luò)安全問題及相應(yīng)的解決措施。

【關(guān)鍵詞】電子商務(wù)；安全；密碼；數(shù)字簽名；協(xié)議

電子商務(wù)隨著網(wǎng)絡(luò)的不斷發(fā)展而日益普及，但它尚是一個機遇和挑戰(zhàn)共存的新領(lǐng)域，這種挑戰(zhàn)不僅來源于傳統(tǒng)的習慣、來源于計劃體制和市場體制的沖突、更來源于對可使用的安全技術(shù)的信賴。電子商務(wù)是一個復(fù)雜的系統(tǒng)工程，Internet本身具有開放性，網(wǎng)上交易含有種種風險，安全問題不僅造成巨大的經(jīng)濟損失，而且嚴重打擊人們對電子商務(wù)的信心。

一、從安全上看，電子商務(wù)的現(xiàn)狀

（1）信息保密。交易中的商務(wù)信息有保密的要求。在電子商務(wù)的信息傳播中一般均有加密的要求，以防止非法的信息存取和信息在傳輸過程中被非法竊取。（2）假冒他人身份。由于電子商務(wù)的實現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺，在這個平臺上交易雙方是不需要見面的，這種身份的不確定性極大地威脅著電子商務(wù)的安全，入侵者可以利用這種不確定性冒充他人身份通過發(fā)布命令、調(diào)閱文件等手段來欺騙合法用戶。（3）交易不可抵賴。如何確定要交易的貿(mào)易方，正是進行交易所期待的貿(mào)易方，這一問題則是保證電子商務(wù)順利進行的關(guān)鍵。因此要在交易信息的傳輸過程中為參與交易的個人、企業(yè)和國家提供可靠標識。（4）偽造電子郵件。不法分子會利用偽造文件進行欺詐以謀取私利，所以這也成了電子商務(wù)重大的安全威脅。（5）截獲或篡改傳輸信息。不法分子會通過以下幾種方式截取、篡改傳輸信息：一是截??；二是參數(shù)分析；三是改變信息流的次序和內(nèi)容，如貿(mào)易商品的出貨地址；或在信息流中插入其他信息，讓對方無法解讀或接收錯誤信息，更為嚴重的攻擊行為將會刪除全部或部分重要信息。

二、電子商務(wù)安全性要求

（1）交易前交易雙方身份的認證問題。電子商務(wù)是建立在互聯(lián)網(wǎng)絡(luò)平臺上的虛擬空間中的商務(wù)活動，交易的雙方只能通過數(shù)據(jù)、符號、信號等進行判斷、選擇，具體的商業(yè)行為也依靠電子信號和數(shù)據(jù)的交流，交易的當事人再也無法用傳統(tǒng)商務(wù)中的方法來保障交易的安全。（2）交易中電子合同的法律效力問題以及完整性保密性問題。（3）交易后電子記錄的證據(jù)力問題。在我國，訴訟法中并未對電子記錄的證據(jù)力作出明確規(guī)定，甚至也沒有將其單列出來作為證據(jù)的一種。

三、網(wǎng)絡(luò)安全技術(shù)及解決思路

其問題有：（1）未進行操作系統(tǒng)相關(guān)安全配置。不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性進行相關(guān)的和嚴格的安全配置，才能達到一定的安全程度。（2）未進行CGI程序代碼審計。如果是通用的CGI問題，防范起來還稍微容易一些，但是對于網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序，很多存在嚴重的CGI問題，對于電子商務(wù)站點來說，會出現(xiàn)惡意攻擊者冒用他人賬號進行網(wǎng)上購物等嚴重后果。（3）拒絕服務(wù)（DoS，Denial of Ser

-vice）攻擊。隨著電子商務(wù)的興起，對網(wǎng)站的實時性要求越來越高，DoS或DDoS對網(wǎng)站的威脅越來越大。（4）安全產(chǎn)品使用不當。很多安全廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高，超出對普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動，需要改動相關(guān)安全產(chǎn)品的設(shè)置時，很容易產(chǎn)生許多安全問題。（5）缺少嚴格的網(wǎng)絡(luò)安全管理制度。網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網(wǎng)絡(luò)安全制度與策略是真正實現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

分析計算機網(wǎng)絡(luò)安全面臨的問題本人提出的解決思路有：（1）加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞。（2）要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進行掃描分析，找出可能存在安全隱患，并及時加以修補。（3）從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權(quán)管理和認證。（4）利用RAID5等數(shù)據(jù)存儲技術(shù)加強數(shù)據(jù)備份和恢復(fù)措施。（5）對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施。（6）對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M行強度的數(shù)據(jù)加密。（7）建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

四、結(jié)語

電子商務(wù)已成為較為重要的商務(wù)活動模式，隨著電子商務(wù)的不斷發(fā)展，全球的經(jīng)濟政治和法律都會受到影響，而其安全問題也隨之變得更加重要和突出。為保證電子商務(wù)的安全，新的安全技術(shù)將不斷出現(xiàn)。電子商務(wù)將在攻擊與反攻擊的斗爭中不斷發(fā)展。本文從電子商務(wù)安全出發(fā)論述了電子商務(wù)面臨的安全威脅，以及其安全體系，全面、系統(tǒng)地對結(jié)構(gòu)體系和關(guān)鍵技術(shù)進行了研究與分析，為實施電子商務(wù)安全提供參考和借鑒。

參 考 文 獻

[1]周化祥，李智偉．網(wǎng)絡(luò)及電子商務(wù)安全[M]．北京：中國電力出版社，2004（7）

[2]祝曉光．網(wǎng)絡(luò)安全設(shè)備與技術(shù)[M]．北京：清華大學出版社，2004（11）