關(guān)于電子商務(wù)安全問題的探究

張 崗

貴州廣播電視大學(xué)商貿(mào)學(xué)院

1 電子商務(wù)中存在的兩大類安全問題

1.1 網(wǎng)絡(luò)安全問題

現(xiàn)在隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成了新的安全研究熱點。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲和傳輸?shù)男畔⒌陌踩?。網(wǎng)絡(luò)安全問題是計算機系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計算機網(wǎng)絡(luò)的潛在威脅，概括來說網(wǎng)絡(luò)安全的內(nèi)容包括：計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等

1.2 商務(wù)安全問題

商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進行。即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網(wǎng)上交易日益成為新的商務(wù)模式，基于網(wǎng)絡(luò)資源的電子商務(wù)交易已為大眾接受，人們在享受網(wǎng)上交易帶來的便捷的同時，交易的安全性備受關(guān)注，網(wǎng)絡(luò)所固有的開放性與資源共享性導(dǎo)致網(wǎng)上交易的安全性受到嚴(yán)重威脅。所以在電子商務(wù)交易過程中，保證交易數(shù)據(jù)的安全是電子商務(wù)系統(tǒng)的關(guān)鍵。

1.3 目前電子商務(wù)中存在的主要安全問題

(1)對合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，從而獲得非法利益。

(2)對信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上，通過物理或邏輯的手段，對數(shù)據(jù)進行非法的截獲與監(jiān)聽，從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號，還能以欺騙的手法進行產(chǎn)品交易，甚至能洗黑錢。

(3)對信息的篡改。攻擊者有可能對網(wǎng)絡(luò)上的信息進行截獲后篡改其內(nèi)容，如修改消息次序、時間，注入偽造消息等，從而使信息失去真實性和完整性。

(4)拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。

(5)對發(fā)出的信息予以否認(rèn)。某些用戶可能對自己發(fā)出的信息進行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。

2 電子商務(wù)中的主要安全技術(shù)

2.1 電子商務(wù)的安全技術(shù)

從上述電子商務(wù)所面臨的安全問題中我們不難看出，它不僅僅是個別的現(xiàn)象，只要有網(wǎng)絡(luò)的存在，安全問題就不容忽視。網(wǎng)絡(luò)安全不僅影響了網(wǎng)絡(luò)業(yè)務(wù)的正常運行，擾亂了網(wǎng)絡(luò)秩序，還會造成很多直接或者間接的經(jīng)濟損失。安全技術(shù)是電子商務(wù)安全體系中的基本策略，是伴隨著安全問題的產(chǎn)生而出現(xiàn)的，安全技術(shù)的出現(xiàn)，在一定程度上加強了計算機網(wǎng)絡(luò)的整體安全性。

2.2 網(wǎng)絡(luò)安全技術(shù)

目前，常用的網(wǎng)絡(luò)安全技術(shù)主要有病毒防范技術(shù)、防火墻技術(shù)和虛擬專用網(wǎng)VPN技術(shù)等。

(1)病毒是一種惡意的計算機指令或者計算機程序代碼，一般可分為引導(dǎo)區(qū)病毒、可執(zhí)行病毒、宏病毒和郵件病毒等，不同的病毒的危害性也不盡相同。為了防范病毒，可以采用以下的措施：

①安裝防病毒軟件，及時更新病毒庫，認(rèn)真執(zhí)行病毒定期清理制度，嚴(yán)格設(shè)置文件控制權(quán)限，瀏覽網(wǎng)頁時高度警惕網(wǎng)絡(luò)陷阱，加強內(nèi)部網(wǎng)絡(luò)的整體防病毒措施；

②加強數(shù)據(jù)備份和恢復(fù)措施；

③對敏感的數(shù)據(jù)和重要的設(shè)備要建立必要的物理或邏輯隔離措施等。

(2)這里所說的防火墻并不是指物理意義上的防火墻，而是指隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御安全系統(tǒng)。它能有效的限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間、或者與其他網(wǎng)絡(luò)之間進行的信息的通信，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，并且本身具有較強的抗攻擊能力，是電子商務(wù)安全防護的基礎(chǔ)設(shè)施。

(3)虛擬專用網(wǎng)絡(luò)(簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺上，如異步傳輸模式、幀中繼等邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸，非常適合于電子數(shù)據(jù)交換(EDI)。

2.3 信息安全技術(shù)

(1)數(shù)據(jù)加密技術(shù)是安全技術(shù)的重要組成部分之一

通過對敏感信息進行數(shù)據(jù)加密，以保證電子商務(wù)的保密性、完整性、真實性和非否認(rèn)服務(wù)。數(shù)據(jù)加密的原理是通過一定的加密算法，將明文轉(zhuǎn)換成為無法理解的密文，阻止非法用戶理解原始數(shù)據(jù)，確保數(shù)據(jù)的保密性。

(2)安全認(rèn)證技術(shù)

1)數(shù)字信封是將對稱密鑰通過非對稱加密(即：有公鑰和私鑰兩個)的結(jié)果分發(fā)對稱密鑰的方法。在數(shù)字信封中，信息發(fā)送方采用對稱密鑰來加密信息，然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后，將它和信息一起發(fā)送給信息的接收方，信息的接收方先用相應(yīng)的私鑰打開數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。

2)數(shù)字簽名

數(shù)字簽名技術(shù)以加密技術(shù)為基礎(chǔ)，其核心是采用加密技術(shù)的加密、解密算法體制來實現(xiàn)對報文的數(shù)字簽名。數(shù)字簽名能實現(xiàn)以下功能：①接收方能夠證實發(fā)送方的真實身份； ②發(fā)送方事后不能否認(rèn)所發(fā)送過的報文；③接收方或非法者不能偽造、篡改報文。

3)數(shù)字摘要

數(shù)字摘要就是采用單項Hash函數(shù)將文件中需要加密的明文“摘要”成一串固定長度(128位)的密文，這一串密文又稱為數(shù)字指紋，它有固定的長度，而且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。因此這個摘要便可以作為驗證明文是否真身的指紋了。

3 .電子商務(wù)安全策略

構(gòu)建在各種安全技術(shù)基礎(chǔ)上的企業(yè)網(wǎng)絡(luò)體系可以保障一定程度的防攻擊能力；保障數(shù)據(jù)在傳輸過程中的保密性；保障平臺在系統(tǒng)級別操作的安全性；能夠及時發(fā)現(xiàn)并制止來自網(wǎng)絡(luò)或系統(tǒng)的惡意攻擊。但真正的電子商務(wù)安全不是單純的技術(shù)問題，而是一項復(fù)雜的系統(tǒng)工程，安全體系也不是簡單的安全產(chǎn)品的疊加，它包含了多方面的要素，安全策略只是其中之一。

結(jié)語

電子商務(wù)安全技術(shù)并不限于以上所提到的，還有很多其他措施，如物理安全措施、入侵檢測、防病毒技術(shù)、虛擬專用網(wǎng)(VPN)等。實際應(yīng)用中常將各種技術(shù)結(jié)合起來使用，以最大限度地提高電子交易的安全性。

[1]吳洋：電子商務(wù)安全方法研究[D].天津大學(xué)，2006

[2]陳克非：信息安全技術(shù)導(dǎo)輪[M].北京：電子工業(yè)出版社，2007.1