淺析如何應(yīng)對(duì)電子商務(wù)中的安全問(wèn)題

張新

摘 要：Internet為人類(lèi)交換信息，促進(jìn)科學(xué)、技術(shù)、文化、教育、生產(chǎn)的發(fā)展，提高現(xiàn)代人的生活質(zhì)量提供了極大的便利，但同時(shí)對(duì)國(guó)家、單位和個(gè)人的信息安全帶來(lái)極大的威脅。

關(guān)鍵詞：電子商務(wù)；安全；問(wèn)題

1 電子商務(wù)的安全現(xiàn)狀和存在的問(wèn)題

1.1網(wǎng)絡(luò)存在的安全隱患

由于網(wǎng)絡(luò)的全球性、開(kāi)放性、無(wú)縫連接性、共享性、動(dòng)態(tài)性發(fā)展，使得任何人都可以自由地接入Internet，其中有善者，也有惡者。惡者會(huì)采用各種攻擊手段進(jìn)行破壞活動(dòng)。他們對(duì)網(wǎng)絡(luò)系統(tǒng)的主要威脅有：

1.1.1系統(tǒng)穿透 未經(jīng)授權(quán)而不能接入系統(tǒng)的人通過(guò)一定手段對(duì)認(rèn)證性進(jìn)行攻擊，假冒合法人接入系統(tǒng)，實(shí)現(xiàn)對(duì)文件進(jìn)行篡改和竊取機(jī)密信息。非法使用資源等。一般采取偽裝或利用系統(tǒng)的薄弱環(huán)節(jié)、收集情報(bào)等方式實(shí)現(xiàn)。

1.1.2違反授權(quán)原則 一個(gè)授權(quán)進(jìn)入系統(tǒng)做某件事的合法用戶，它在系統(tǒng)中做未經(jīng)授權(quán)的其他事情，威脅系統(tǒng)的安全。

1.1.3植入 一般在系統(tǒng)穿透或違反授權(quán)攻擊成功之后，入侵者為了為以后的攻擊提供方便，常常在系統(tǒng)中植入一種能力，如向系統(tǒng)中注入病毒、后門(mén)、特洛伊木馬等來(lái)破壞系統(tǒng)工作。

1.1.4通信監(jiān)視 這是在通信過(guò)程中從信道進(jìn)行搭線竊聽(tīng)的方式。軟硬件皆可以實(shí)現(xiàn)，硬件通過(guò)無(wú)線電和電磁泄漏等來(lái)截獲信息，軟件則是利用信息在網(wǎng)絡(luò)上傳輸?shù)奶攸c(diǎn)對(duì)流過(guò)本機(jī)的信息流進(jìn)行截獲和分析。

1.1.5通信竄擾 攻擊者對(duì)通信數(shù)據(jù)或通信過(guò)程進(jìn)行干預(yù)，對(duì)完整性進(jìn)行攻擊，篡改系統(tǒng)中數(shù)據(jù)的內(nèi)容，修正消息次序、時(shí)間，注入偽造消息。

1.1.6中斷 對(duì)可用性行攻擊，破壞系統(tǒng)中的硬件、硬盤(pán)、線路、文件系統(tǒng)等，使系統(tǒng)不能正常工作，破壞信息和網(wǎng)絡(luò)資源。

1.1.7拒絕服務(wù) 指的是系統(tǒng)由于被破壞者攻擊而拒絕給合法的用產(chǎn)提供正常的服務(wù)。例如在WINNT的早先版本的115服務(wù)器中就有bug，破壞者可以利用它將大量垃圾信息發(fā)往某個(gè)特定的端口，使服務(wù)器因?yàn)樘幚磉@些請(qǐng)求而占用大量資源，從而不能處理合法用戶的正常請(qǐng)求。

1.1.8否認(rèn) 一個(gè)實(shí)體進(jìn)行某種通信或交易活動(dòng)，稍后否認(rèn)曾進(jìn)行過(guò)這一活動(dòng)。

1.2電子商務(wù)系統(tǒng)的安全問(wèn)題

由于因特網(wǎng)早期構(gòu)建時(shí)并未考慮到以后的商業(yè)應(yīng)用，因此使用了TCP/IP協(xié)議及源碼開(kāi)放與共享策略，為后來(lái)的商業(yè)應(yīng)用帶來(lái)了一系列的安全隱患。在電子商務(wù)過(guò)程中，買(mǎi)賣(mài)雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。電子商務(wù)交易雙方都面臨安全威脅。

1.2.1賣(mài)方面臨的安全威脅主要有：

①中央系統(tǒng)安全性被破壞 入侵者假冒成合法用戶來(lái)改變用戶數(shù)據(jù)、解除用戶訂單或生成虛假訂單。

②競(jìng)爭(zhēng)者檢索商品遞送狀況 惡意競(jìng)爭(zhēng)者以他人的名義來(lái)訂購(gòu)商品，從而了解有關(guān)商品的遞送狀況和貨物的庫(kù)存情況。

③客戶資料被競(jìng)爭(zhēng)者獲悉。

④被他人假冒而損害公司的信譽(yù) 不誠(chéng)實(shí)的人建立與銷(xiāo)售者服務(wù)器名字相同的另一個(gè)WWW服務(wù)器來(lái)假冒銷(xiāo)售者。

⑤買(mǎi)方提交訂單后不付款。

⑥虛假訂單。

1.2.1買(mǎi)方面臨的安全威脅主要有：

①虛假訂單 一個(gè)假冒者可能會(huì)以客戶的名字來(lái)訂購(gòu)商品，而且有可能收到商品，而假冒的合法客戶卻被要求付款或返還商品。

②付款后不能收到商品 在要求客戶付款后，銷(xiāo)售商中的內(nèi)部人員不將訂單和錢(qián)轉(zhuǎn)發(fā)給執(zhí)行部門(mén)，因而使客戶不能收到商品。

③機(jī)密性喪失 客戶有可能將秘密的個(gè)人數(shù)據(jù)或自己的身份數(shù)據(jù)發(fā)送給冒充銷(xiāo)售商的機(jī)構(gòu)，這些信息也可能會(huì)在傳遞過(guò)程中被竊取。

④拒絕服務(wù) 攻擊者可能向銷(xiāo)售商的服務(wù)器發(fā)送大量的虛假訂單來(lái)擠占它的資源，從而使合法用戶不能得到正常的服務(wù)。

2 防范電子商務(wù)安全問(wèn)題的對(duì)策

電子商務(wù)的安全問(wèn)題涉及到電子商務(wù)的各個(gè)環(huán)節(jié)和參加交易的各個(gè)方面，解決電子商務(wù)的安全問(wèn)題是一個(gè)系統(tǒng)工程和社會(huì)問(wèn)題，需全社會(huì)的參與。我們可以從以下幾個(gè)方面對(duì)電子商務(wù)安全問(wèn)題進(jìn)行防范：

2.1構(gòu)建電子商務(wù)信息安全技術(shù)框架體系

在電子商務(wù)的交易中，電子商務(wù)的安全性主要是網(wǎng)絡(luò)安全和交易信息的安全。而網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)操作系統(tǒng)對(duì)抗網(wǎng)絡(luò)攻擊、病毒，使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行，常用的保護(hù)措施有防火墻技術(shù)。交易信息的安全是指保護(hù)交易雙方的不被破壞、不泄密和交易雙方身份的確認(rèn)，可以用信息加密技術(shù)、數(shù)字證書(shū)和認(rèn)證技術(shù)、SSL安全協(xié)議、SET等技術(shù)來(lái)保護(hù)。

2.2積極推進(jìn)電子商務(wù)立法

我國(guó)政府要加強(qiáng)對(duì)電子商務(wù)的研究，要加快立法進(jìn)程，健全電子商務(wù)法律體系，建立規(guī)范電子商務(wù)的靈活法律框架，使電子商務(wù)實(shí)現(xiàn)公開(kāi)、合理、合法化。這樣不僅可保障進(jìn)行電子商務(wù)各方面的利益，而且還可保障電子商務(wù)的順利進(jìn)行。

綜上所述，由于在電子商務(wù)的交易過(guò)程中，安全問(wèn)題涉及到電子商務(wù)的各個(gè)環(huán)節(jié)和參加交易的各個(gè)方面，因此需要采取不同的對(duì)策來(lái)解決。另外，交易過(guò)程除涉及交易雙方外，還涉及到網(wǎng)上銀行、認(rèn)證中心和法律等各方面的問(wèn)題，因此電子商務(wù)安全問(wèn)題的解決是一個(gè)系統(tǒng)工程。endprint