電子商務信息安全研究

韓昌選 劉俊杰

摘 要：近年來，隨著通訊技術及計算機網絡的快速發(fā)展，電子商務的規(guī)模不斷壯大。電子商務低成本、高效率的特性，為商家提供了無限的商機。同時，由于Internet自身的共享性、開放性、無縫性，那么以此為平臺的在線商務交易安全也面臨著日益嚴峻的挑戰(zhàn)，一些信息有可能會成為非法入侵者的攻擊目標，造成隱私泄露、信息篡改等安全問題。本文主要對電子商務信息安全研究國內外情況，信息安全隱患及信息安全管理等問題進行了分析和闡述。

關鍵詞：電子商務；信息安全；計算機網絡

1 問題的提出

隨著Internet網絡技術飛速發(fā)展及普及，電子商務（Electronic Commerce，簡稱EC）已經逐漸成為人們進行商務活動的新模式，越來越多的人通過Internet進行商務活動。電子商務是利用網絡技術、計算機技術和通信技術，實現數字化、電子化，商務化，網絡化的整個商務過程，它與傳統(tǒng)商業(yè)活動相比，最大的一個特征就是基于B/S方式下，交易雙方在不見面的情況下完成商品貿易活動。

由于Internet自身的共享性、開放性、無縫性，那么以此為平臺的在線商務交易安全也面臨著日益嚴峻的挑戰(zhàn)。據國家信息中心信息安全研究與服務中心統(tǒng)計，2012年發(fā)生了2起源代碼被盜事件，2起重大黑客攻擊事件，6起信息泄密事件，3起重大漏洞事件。2013年的棱鏡門，谷歌抓取支付寶轉賬信息，酒店開房記錄泄露等。據中國互聯網產業(yè)統(tǒng)計，中國網民在2013年損近1500億元。對于以上的這些問題，本文將對電子商務信息安全應用進行研究，并提出一些合理的安全解決方法，提高電子商務交易過程中的安全性，降低實施風險。

2 國內外電子商務安全研究現狀

2.1 國際電子商務安全研究現狀

在電子商務安全研究方面，美國是處于領先地位。美國國家安全局（NSA）在1983年正式頒布“受信計算機系統(tǒng)評量基準”，是目前頗具權威的計算機系統(tǒng)安全標準之一。自“911”恐怖襲擊事件之后，美國公司增強了信息技術安全觀念，投入大量的經費，同時加強信息技術安全方面的工作。從現在的網絡安全研究情況的現實看，解決網絡安全問題的根本途徑和方向是網絡技術創(chuàng)新，即研發(fā)新一代網絡技術，采取“立體”措施，包括引入“中間件”層及其安全結構，在“網絡層”增設面向連接的實時協(xié)議、強化整個網絡系統(tǒng)的管控智能以及改進終端加密和反黑等措施。

2.2 我國電子商務安全研究現狀

國務院在1996年發(fā)布了《中華人民共和國計算機信息網絡國際聯網管理暫行規(guī)定》，公安部在1997年發(fā)布了《計算機信息網絡國際聯網安全保護管理辦法》，2000年由國家信息化推進工作辦公室牽頭起草的《關于發(fā)展我國電子商務的若干意見》上報國家最高決策層進行審議。網絡信息安全問題不但得到了政府、企業(yè)的高度重視，同時國內的大專院校、研究所和有實力的大公司也紛紛進入網絡信息安全問題的研究領域。

3 電子商務信息安全隱患

電子商務的信息存儲安全隱患主要包括：（1）內部隱患。主要是網內用戶未經許可隨意增加、刪除、修改或無意或故意地非授權調用電子商務信息。（2）外部隱患。主要是因為軟件問題造成外部人員非法闖入內網，造成電子商務信息被增加、刪除、修改或調用。

電子商務的信息流動安全隱患主要包括：（1）竊取商業(yè)機密。多數電子商務的信息是以明文的方式傳輸，那么攻擊者很容易的對電子商務信息進行監(jiān)聽和截取。（2）攻擊商務網站。攻擊者通過傳播計算機病毒，繞過電子商務網站的防火墻，篡改信息，使其無法正常運轉。（3）實施商務詐騙。不法分子通過Internet發(fā)布虛假信息騙取帳號、現金，用戶對電子商務產生不信任感，阻礙了電子商務的順利發(fā)展。（4）傳播不良信息。不法分子為了達到自己既有目的，在電子商務信息中推送不良信息。

電子商務交易雙方的信息安全隱患主要是：（1）商家的信息安全隱患。不法分子冒充合法用戶修改商務信息內容，致使電子商務活動中斷，造成商家無法從事正常的業(yè)務活動。（2）用戶的信息安全隱患。不法分子竊用攔截合法用戶身份信息，以合法的用戶進行電子商務活動，使用戶蒙受損失。

4 電子商務信息安全管理

在電子商務活動中，有些信息屬于商業(yè)秘密，如果失竊，將帶來不可估量的損失，因此需有一個能不中斷地提供服務及可靠穩(wěn)定的電子商務平臺，任何系統(tǒng)的中斷，如軟硬件錯誤，病毒，網絡故障等都可能導致電子商務系統(tǒng)不能正常工作，所以電子商務信息的安全管理問題就成了電子商務順利推進的保障。隨著電子商務的深入應用，攻擊網絡技術和手段不斷改進，這就對電子商務信息系統(tǒng)的安全性提出了更高的要求，必須保證外網用戶不能對系統(tǒng)構成威脅，所以人們對這些基本技術進行了反復改進以適應更高的安全需求。

4.1 電子商務安全的法制建設及企業(yè)內部管理

為了保護用戶信息在電子商務活動中不受侵犯，政府應該完善電子商務信息法規(guī)，同時，還需制定詳盡、具體、具有可操作性的賠償制度，包括精神賠償和物質賠償，為電子商務的發(fā)展提供必要的法律保證。

在國內對個人信息安全保護的監(jiān)管分別由公安部、工業(yè)與信息化部等部門管理，多頭管理難免會出現監(jiān)管漏洞。對此可以建議由國安委統(tǒng)一管理，只有權力清晰才能保證監(jiān)管沒有漏洞。

有些安全事件是“禍起蕭墻”，這就要求加強企業(yè)內部安全管理，培育和加強企業(yè)安全意識，通過企業(yè)和用戶的共同努力來實現。它的基本原則是在系統(tǒng)內發(fā)生的所有行為都必須被定義好的，并且符合相應的程序控制要求，所有行為的發(fā)生都有審計記錄，可以解決許多技術層次解決不了的安全性問題。

4.2 防火墻技術

目前的防火墻分可為兩大類，一類是簡單的包過濾技術，它是在網絡層對數據包實施有選擇的通過。依據系統(tǒng)內事先制定好的過濾邏輯，檢查數據流中每個數據包后，根據數據包的源地址、目的地址等因素來確定是否允許數據包通過。另一類是應用網管和代理服務器，其顯著的優(yōu)點是能提供小顆度的存取控制，可針對特別的數據過濾協(xié)議和網絡應用服務，并且能夠對數據包分析并形成相關的報告。通過防火墻技術，可以過濾掉不安全的服務，提高網絡安全和減少網絡中主機的風險。但防火墻是一種被動安全技術，不能阻止來自內部網絡的攻擊。唯一的解決辦法就是，在每臺計算機上都裝反病毒軟件。

4.3 病毒防范技術

計算機病毒實際上就是在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒繞過系統(tǒng)或違反授權入侵成功后，在系統(tǒng)中植入木馬等病毒程序，為以后攻擊系統(tǒng)、竊取信息做好準備。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁的掃描和監(jiān)測，工作站上對網絡目錄及文件設置訪問權限等。

現在較流行的反病毒技術基于病毒的特征碼掃描法、文件實時監(jiān)控技術并輔以指令虛擬技術。掃描病毒：分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒。該技術實現簡單有效，安全徹底。監(jiān)控病毒：通過利用操作系統(tǒng)底層接口技術，對系統(tǒng)中的指定類型的文件進行實時的行為監(jiān)控，一旦有病毒傳染或發(fā)作時就及時報警。從而實現了對病毒的實時、永久、自動監(jiān)控。刪除病毒：在刪除時采用虛擬技術對變種的病毒進行處理或編寫出相應的程序，將病毒移除計算機內存。

4.4 認證技術

安全認證技術主要有：（1）數字摘要技術，也稱安全HASH編碼法。用于對所要傳輸的數據進行運算生成信息摘要，它并不是一種加密機制，但能產生信息的數字"指紋"，目的是為了確保數據沒有被篡改，從而保證數據的完整性和有效性。（2）數字簽名技術，又稱電子簽章、公鑰數字簽名。是一種類似寫在紙上的普通的物理簽名，就是附加在數據單元上的一些數據，或是對數據單元所作的密碼變換。這種變換或數據允許數據單元的接收者用以確認完整性和數據單元的來源并保護數據，防止被人偽造。它是對電子形式的消息進行簽名的一種方法，一個簽名消息能在一個通信網絡中傳輸。主要功能是保證信息傳輸的完整性、發(fā)送者的身份認證、防止交易中發(fā)生抵賴。（3）數字證書技術，又稱為數字憑證。負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。（4）數字時間戳技術（DTS）。在文件交易中，時間是十分重要的信息，需對文件交易的時間和日期信息采取安全措施，而數字時間戳服務就能提供電子文件交易時間的安全保護。時間戳是一個經加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件摘要，DTS的數字簽名，DTS收到文件的日期和時間。（5）身份認證實際。是計算機系統(tǒng)通過審查用戶身份證明的過程，提供確認和判別用戶身份的機制，確定用戶是否具有對系統(tǒng)資源操作和訪問權限。本質是確認用戶身份，用戶必須能夠證明其身份標識合法性。身份認證技術是訪問控制、安全審計、入侵檢測等安企機制的基礎，在電子商務信息安全理論與技術中占有至關重要的位。目身份認證技術主要有基于口令的認證技術、基于密碼學的認證技術、基于智能卡的認證技術以及基于生物學特征的認證技術等。

4.5 安全協(xié)議技術

電子商務安全問題的核心是電子交易的安全性，為了徹底解決電子商務的安全機制，人們開發(fā)了各種用于加強電子商務安全的協(xié)議。當前廣泛應用的電子商務安全協(xié)議主要有SET協(xié)議（Secure Electronic Transaction，安全電子交易）和SSL協(xié)議（Secure Sockets Layer，安全套接層），二者都采用了RSA算法加密。

SSL協(xié)議提供加密的SSL會話服務、SSL服務器鑒別服務以及SEL客戶鑒別服務，實現了瀏覽器等客戶端應用軟件與TC/IP協(xié)議之間的接口，可以對萬維網客戶與服務器之間傳送的數據信息進行加密和鑒別，在雙方握手階段，對將要使用加密算法和雙方共享的會話密朗進行協(xié)商，完成客戶與服務器之間的鑒別。目前許多運營商利用本身的便利性，使用一些的數據收集工具，分析出客戶的需求，并為客戶提供同類商品信息，或者是分析其他運營商的數據，產生一種惡性競爭。對于客戶來講，提供相關的其他同類商品的信息，看似是一種個性化的服務，但是同時也是在侵犯用戶的隱私，為此在應用層也就客戶在瀏覽網頁時，如果客戶需要商家提供相關的同類商品的信息時，商家才能對客戶的數據進行分析，否則不應任意分析用戶的數據。

SET協(xié)議是基于應用層的協(xié)議，是一種新的電子支付模式，它保證了開放網絡上使用信用卡進行在線購物的安全。SET協(xié)議具有強大的驗證功能，主要是為了解決用戶、銀行、商家之間通過信用卡的交易而設計的，它具有保證交易數據的完整性，交易的不可抵賴性等優(yōu)點，因此它成為目前公認的信用卡網上交易的國際標準。

5 結束語

電子商務信息的安全問題是一項復雜的系統(tǒng)工程，隨著電子商務的發(fā)展，通過各種網絡的交易手段也會更加多樣化，安全問題變得更加突出。它不僅涉及到動態(tài)傳輸信息及靜態(tài)存儲信息的安全問題，還需要保證電子商務信息安全，加快電子商務的發(fā)展。還有在非技術方面，需要完善法律制度、管理制度和誠信制度，促進社會公眾商務觀念的轉變等，營造電子商務信息安全的社會大環(huán)境。

[參考文獻]

[1]金勝男.電子商務的信息安全技術研究.技術研發(fā)，2013年第12期.

[2]孟慧敏.電子商務對國際貿易的影響及應用.電腦知識與技術，2013年2月第9卷第5期.

[3]韓文虹.電子商務中安全技術的應用研究.電子商務，2013年2月.

[4]崔敏.基于電子商務的安全技術討論.網絡安全，2013年7月.

[5]龍愛民.電子商務的信息安全技術分析.信息技術，2013年9月.

[6]牟童.電子商務安全體系結構淺析.電子商務與電子政務，2013年3月.

[7]李玲.電子商務安全問題及防范措施.電子商務，2013年19期.

[8]賈素華.電子商務信息安全風險控制體系.電信工程技術與標準化，2012年第12期.