電子商務(wù)網(wǎng)絡(luò)信息安全問(wèn)題

李春陽(yáng)

隨著電子科技和Internet在全球的迅速發(fā)展，電子商務(wù)已經(jīng)成為企業(yè)和個(gè)人進(jìn)行商業(yè)貿(mào)易活動(dòng)的一種必不可少的商業(yè)服務(wù)模式，但是電子商務(wù)在交易過(guò)程中傳送的信息內(nèi)容和用戶的個(gè)人隱私等信息數(shù)據(jù)的安全問(wèn)題一直備受人們的關(guān)注，交易過(guò)程中的安全問(wèn)題既影響著商家和客戶的利益，還將是挾制電子商務(wù)發(fā)展的重要因素。電子商務(wù)要想在全球得到廣泛的應(yīng)用和快速的發(fā)展，對(duì)于電子商務(wù)的安全問(wèn)題必須進(jìn)行實(shí)時(shí)密切的關(guān)注。針對(duì)電子商務(wù)在交易過(guò)程中安全問(wèn)題做出的研究，一方面可以提高電子商務(wù)在應(yīng)用中的理論和實(shí)用價(jià)值，另一方面對(duì)全球的經(jīng)濟(jì)和發(fā)展有重大的現(xiàn)實(shí)意義。

基于網(wǎng)絡(luò)資源的電子商務(wù)交易隨著互聯(lián)網(wǎng)的迅猛發(fā)展已經(jīng)被大眾所接受，雖然電子商務(wù)具有降低成本、增加貿(mào)易機(jī)會(huì)以及簡(jiǎn)化貿(mào)易流通過(guò)程從而有效提高生產(chǎn)力和改善物流和商品流環(huán)境的優(yōu)勢(shì)，但是由于其存在的安全問(wèn)題遏制了其發(fā)展的速度。電子商務(wù)安全從整體上分為計(jì)算機(jī)網(wǎng)絡(luò)安全和數(shù)據(jù)庫(kù)安全兩大部分，可以說(shuō)，沒(méi)有安全就沒(méi)有電子商務(wù)，因此，網(wǎng)絡(luò)信息安全性成了電子商務(wù)發(fā)展的關(guān)鍵。

目前，人們面臨眾多的網(wǎng)絡(luò)信息安全漏洞問(wèn)題，比如，網(wǎng)絡(luò)安全協(xié)議OpenSSL被曝光存在安全漏洞（被稱為“心臟出血”）。由于該協(xié)議常用于電商、網(wǎng)銀等安全要求極高的網(wǎng)站，用戶訪問(wèn)了受此安全漏洞影響的網(wǎng)站，將無(wú)法采取任何自保措施，用戶的銀行賬號(hào)、密碼等數(shù)據(jù)將可能被黑客獲取。

根據(jù)發(fā)現(xiàn)漏洞安全的公司表示，由于占據(jù)全球2/3的服務(wù)器都適用于該協(xié)議從而才會(huì)導(dǎo)致這么大的漏洞影響。同時(shí)，許多受影響的人群也對(duì)這個(gè)協(xié)議和漏洞提出了疑問(wèn)：OpenSSL到底存在什么樣的安全漏洞？黑客是如何利用這一漏洞獲取客戶信息的以及用戶該如何防范？

OpenSSL作為一種為網(wǎng)絡(luò)通信提供安全和數(shù)據(jù)完整性的安全協(xié)議，廣泛應(yīng)用于各大網(wǎng)銀、在線支付以及門戶網(wǎng)站等許多重要的網(wǎng)站。此次的“心臟出血”事件影響重大且短期內(nèi)難以消除其威脅。

根據(jù)某權(quán)威信息安全機(jī)構(gòu)研究表明，在入侵檢測(cè)和安防市場(chǎng)上，網(wǎng)絡(luò)威脅和黑客攻擊發(fā)揮了重要的作用。該機(jī)構(gòu)表示，IT企業(yè)最親睞的網(wǎng)絡(luò)安全方法是入侵檢測(cè)和系統(tǒng)預(yù)防。此外，根據(jù)全球入侵檢測(cè)和網(wǎng)絡(luò)環(huán)境的現(xiàn)狀，他們也做出了相應(yīng)的分析和預(yù)測(cè)報(bào)告，該報(bào)告認(rèn)為：日益復(fù)雜化的網(wǎng)絡(luò)威脅、政府施加的安全法規(guī)壓力以及IT解決方案和服務(wù)支出的增加推動(dòng)了IDS/IPS市場(chǎng)的發(fā)展。

加密技術(shù)：加密技術(shù)作為一種主動(dòng)的信息安全防范措施，直接作用于數(shù)據(jù)本身，通過(guò)改變數(shù)據(jù)原本內(nèi)容的形式達(dá)到安全防護(hù)的效果。其最大的特點(diǎn)就是即使由于各種問(wèn)題泄露了數(shù)據(jù)，依然存在加密防護(hù)，只要算法不被破譯，數(shù)據(jù)本身依然是安全的。隨著加密技術(shù)和算法的不斷進(jìn)步，破譯將變得越來(lái)越困難和得不償失。

認(rèn)證技術(shù)：安全認(rèn)證主要包括安全認(rèn)證技術(shù)（數(shù)字摘要、數(shù)字信封、數(shù)字簽名以及數(shù)字證書(shū)等）和安全認(rèn)證機(jī)構(gòu)兩方面。電子商務(wù)認(rèn)證中心作為簽發(fā)數(shù)字證書(shū)并確定用戶身份的服務(wù)機(jī)構(gòu)，承擔(dān)了網(wǎng)上安全交易的認(rèn)證服務(wù)。

安全認(rèn)證協(xié)議：目前，在電子商務(wù)中廣泛采用安全套接層SSL協(xié)議（服務(wù)于銀行對(duì)企業(yè)或企業(yè)對(duì)企業(yè)的電子商務(wù)）和安全電子交易SET協(xié)議（位于應(yīng)用層，且用來(lái)保證互聯(lián)網(wǎng)上銀行卡支付交易的安全性）。因此，SET是一種服務(wù)于持卡消費(fèi)和網(wǎng)上購(gòu)物的電子商務(wù)。

虛擬專用網(wǎng)技術(shù)：虛擬專用網(wǎng)技術(shù)即VPN 技術(shù)，是一項(xiàng)新興的網(wǎng)絡(luò)技術(shù)，它的信息傳輸媒介為不可靠的公用聯(lián)網(wǎng)絡(luò)，重要信息的傳輸主要通過(guò)附加的安全隧道以及用戶認(rèn)證和訪問(wèn)控制技術(shù)，此項(xiàng)網(wǎng)絡(luò)新興技術(shù)的運(yùn)用，可以創(chuàng)造一個(gè)更加安全的網(wǎng)絡(luò)環(huán)境。

制定電子商務(wù)安全管理制度：電子商務(wù)的安全管理制度是指用文字的形式規(guī)定的各項(xiàng)安全要求，這些制度應(yīng)該包括保密制度、人員管理制度、跟蹤審計(jì)制度、數(shù)據(jù)備份制度、系統(tǒng)維護(hù)制度以及病毒定期清理制度等六項(xiàng)制度。

加強(qiáng)誠(chéng)信體系建設(shè)：電子商務(wù)的交易抵賴和否認(rèn)問(wèn)題以及對(duì)個(gè)人隱私的破壞，歸根到底還是個(gè)人的誠(chéng)信問(wèn)題，為了保證電子商務(wù)的良好發(fā)展，應(yīng)能加強(qiáng)誠(chéng)信體系的建設(shè)，創(chuàng)造良好的誠(chéng)信環(huán)境。

無(wú)論利用哪種手段和方案來(lái)應(yīng)對(duì)這種威脅和入侵，數(shù)據(jù)本身安全才是守衛(wèi)安全的底線。面臨這種需求，采用靈活且具有針對(duì)性的加密軟件進(jìn)行防護(hù)才是最好的選擇。

從表象來(lái)看，網(wǎng)絡(luò)安全問(wèn)題多種多樣，木馬病毒、軟件漏洞、黑客惡意攻擊等，但究其根本，這些隱患的針對(duì)對(duì)象都是數(shù)據(jù)。因此只要把握住了本源數(shù)據(jù)的安全，無(wú)論是怎樣的隱患威脅都不用太過(guò)擔(dān)心。而要保證本源數(shù)據(jù)的安全，加密技術(shù)總是最有效的手段。

加密直接作用于數(shù)據(jù)本身，在最壞的情況下，即使文件遭惡意攻擊被竊取了，加密依然為數(shù)據(jù)起保護(hù)作用，在破解算法愈加難以實(shí)現(xiàn)的現(xiàn)在，可以有效保證被加密數(shù)據(jù)的安全。在加密基礎(chǔ)上，國(guó)際先進(jìn)的多模加密技術(shù)采用對(duì)稱算法與非對(duì)稱算法相結(jié)合的技術(shù)，在確保防護(hù)質(zhì)量的同時(shí)，讓用戶自主選擇多種加密模式，靈活且有針對(duì)性。安全安全問(wèn)題的解決要以不變應(yīng)萬(wàn)變，所謂萬(wàn)變，就是不斷變化的網(wǎng)絡(luò)安全問(wèn)題，所謂“不變”就是從數(shù)據(jù)入手，采取數(shù)據(jù)加密等措施，在眾多安全威脅面前，只要好好利用加密軟件，構(gòu)筑完整的數(shù)據(jù)防泄漏系統(tǒng)，就一定能全面解決這些問(wèn)題！

電子商務(wù)隨著網(wǎng)絡(luò)技術(shù)的提高已經(jīng)成為一種全新的商務(wù)模式，但其安全性已經(jīng)成為電子商務(wù)能否成功發(fā)展的決定性因素。因此，為了保證電子商務(wù)的順利發(fā)展，必須解決電子商務(wù)網(wǎng)絡(luò)交易中的安全問(wèn)題。