淺談電子商務(wù)網(wǎng)絡(luò)信息安全技術(shù)的優(yōu)化

關(guān)鍵詞：電子商務(wù)，網(wǎng)絡(luò)技術(shù)安全，標準化，技術(shù)方案

0 引 言

計算機網(wǎng)絡(luò)技術(shù)的發(fā)展促進了商業(yè)和經(jīng)濟模式的變革，電子商務(wù)作為一種嶄新的商務(wù)活動模式，受到全世界、全社會的廣泛關(guān)注和吸納[1]。電子商務(wù)基于信息資源與實體經(jīng)濟相互結(jié)合產(chǎn)生效益的理念，具有普遍性、方便性、安全性以及整體性等特點，可實現(xiàn)廣告宣傳、網(wǎng)上支付、電子賬戶等功能，甫一出現(xiàn)就為互聯(lián)網(wǎng)經(jīng)濟的發(fā)展注入了強大動力[2]。但同時，電子商務(wù)網(wǎng)絡(luò)信息安全問題也日益凸顯，黑客攻擊、隱私數(shù)據(jù)泄露、電信詐騙等網(wǎng)絡(luò)安全風(fēng)險帶來的威脅不斷增加，電子商務(wù)的可靠性和安全性正受到威脅[3，4]。要推動當(dāng)代社會電子商務(wù)的可持續(xù)發(fā)展，保障互聯(lián)網(wǎng)經(jīng)濟的穩(wěn)步增長，必須以保障計算機網(wǎng)絡(luò)安全為基礎(chǔ)和前提[5]。

1 電子商務(wù)信息安全現(xiàn)狀

隨著電子商務(wù)的發(fā)展，構(gòu)建大型、便捷的電子商務(wù)信息安全環(huán)境已成為保證我國電子商務(wù)產(chǎn)業(yè)健康可持續(xù)發(fā)展的基礎(chǔ)要素。明確電子商務(wù)信息安全現(xiàn)狀有助于幫助研究者們采取更有效的措施解決網(wǎng)絡(luò)信息安全問題，更高效、更嚴密地維護電子商務(wù)信息安全環(huán)境[6]。

1.1 電子商務(wù)信息安全主要要求

對電子商務(wù)信息安全的保護包括對信息的有效性、機密性、完整性與真實性的要求[5]。

1.1.1 有效性

有效性是電子商務(wù)的基礎(chǔ)。電子商務(wù)是涉及現(xiàn)實的貿(mào)易，因此合約、訂單的效力直接影響著交易的正常進行，參與經(jīng)濟交易的雙方主體未經(jīng)對方同意都不能違反約定。

1.1.2 機密性

機密性是電子商務(wù)的前提。電子商務(wù)過程中，應(yīng)嚴格保證交易各方在交易中提供的相關(guān)信息保密，即便經(jīng)濟交易的雙方在履約過程中出現(xiàn)任何糾紛，也能夠得到有效的解決和合理的仲裁。

1.1.3 完整性

完整性是電子商務(wù)正常進行的保障。在電子商務(wù)雙方確認貿(mào)易內(nèi)容后，需要確保訂單、合約等信息的完整性，保證交易雙方基本信息無誤及交易的正常進行。

1.1.4 真實性

真實性是電子商務(wù)與現(xiàn)實的關(guān)鍵連接點。電子商務(wù)貿(mào)易雙方通過互聯(lián)網(wǎng)以電子訂單的方式達成交易，但交易貨物往往具備現(xiàn)實實體，交易資金也具備現(xiàn)實購買力。因此，電子商務(wù)更需要對交易雙方的現(xiàn)實身份進行確認，保證交易對象真實存在且具備完成交易的現(xiàn)實能力。

1.2 電子商務(wù)面臨的主要安全問題

電子商務(wù)的信息安全面臨著諸多安全問題，主要包括信息的竊取、信息的篡改、假冒與惡意破壞[7]。

1.2.1 信息的竊取

電子商務(wù)主要通過互聯(lián)網(wǎng)平臺進行信息的傳遞，各種交易活動也是在互聯(lián)網(wǎng)的平臺上完成，交易信息對用戶來說屬于商業(yè)機密，但當(dāng)企業(yè)的信息數(shù)據(jù)安全工作準備不足時，很容易在信息傳遞、信息存儲等路徑上遭遇不法分子的非法信息竊取[8]。

這一過程中，信息的機密性將遭受破壞，交易雙方也會因此遭受財產(chǎn)損失，可能造成社會對電子商務(wù)的信任危機。同時，被竊取盜取的信息數(shù)據(jù)可能被用于施行威脅度更高的其他信息安全破壞行為，對用戶財產(chǎn)安全與信用造成更嚴重的破壞。

1.2.2 信息的篡改

信息的篡改是在信息竊取基礎(chǔ)上更加惡劣的信息安全破壞行為。入侵者通過信息竊取等行為掌握信息傳遞規(guī)律后，可能從3個方面對數(shù)據(jù)信息進行篡改。

（1）利用某些技術(shù)手段改變數(shù)據(jù)流的次序，實現(xiàn)對信息的篡改；

（2）將某些數(shù)據(jù)直接刪除，破壞信息的完整性；

（3）在數(shù)據(jù)流中根據(jù)破解獲得的規(guī)律增加某些信息，導(dǎo)致交易內(nèi)容或形式發(fā)生變化。

信息篡改在信息竊取的基礎(chǔ)上，進一步破壞了信息的有效性與完整性，可能對交易雙方均造成財產(chǎn)與信用損失，對電子商務(wù)參與者間的信任網(wǎng)絡(luò)造成損害[9]。

1.2.3 假冒

假冒也是一種以信息竊取為基礎(chǔ)的信息安全破壞行為，其危害尤甚于竊取和篡改信息。假冒是指入侵者通過竊取掌握信息數(shù)據(jù)及其格式、規(guī)律，冒名合法用戶傳輸偽造信息或截取重要信息，容易造成交易對方出現(xiàn)錯誤判斷和經(jīng)濟損失[10]。

不法分子會利用漏洞、木馬病毒、間諜軟件等手段篡取合法用戶的注冊地址等關(guān)鍵安全信息，并假托他人信息注冊或盜取賬號進行互聯(lián)網(wǎng)交易，借此牟利，主要表現(xiàn)在：冒充注冊、冒充他人賬號消費、栽贓或超前消費；冒充注冊域名原主機、原用戶賬號進行信息欺詐等惡劣的非法行為。

假冒行為不僅造成了受害者的經(jīng)濟損失、破壞了電子商務(wù)發(fā)展所必需的真實可靠的貿(mào)易環(huán)境，更破壞了整個互聯(lián)網(wǎng)的信任環(huán)境，對電子商務(wù)的發(fā)展乃至互聯(lián)網(wǎng)的發(fā)展進程都將造成極其惡劣的影響。

1.2.4 惡意破壞

電子商務(wù)在計算機網(wǎng)絡(luò)技術(shù)環(huán)境下進行貿(mào)易交流時，部分不法分子能夠通過網(wǎng)絡(luò)中的安全漏洞入侵私人計算機，竊取重要的用戶信息或有針對性地對計算機進行攻擊，讓計算機陷入癱瘓等無法使用的狀態(tài)，實施一系列的破壞行動[10]。

此外，不法分子也會對規(guī)模較大的電子商務(wù)平臺進行針對性的攻擊，讓平臺陷入癱瘓狀態(tài)，趁機實施進一步的各種破壞行為，例如：分布式拒絕服務(wù)攻擊、SQL注入攻擊、跨站腳本攻擊等。也有不法分子使用這種攻擊手段劫持平臺并敲詐勒索平臺運營方，擾亂平臺運營秩序和電子商務(wù)貿(mào)易秩序。

這兩種惡意破壞行為均利用了計算機網(wǎng)絡(luò)技術(shù)環(huán)境自身的潛在問題或不足，對電子商務(wù)的參與者和運營者造成了經(jīng)濟損失與信用損害。

2 電子商務(wù)信息安全技術(shù)與優(yōu)化

安全性是保障電子商務(wù)長期發(fā)展的關(guān)鍵問題，也是利用互聯(lián)網(wǎng)進行交易的根本，為了保證有效性等主要信息安全得到充分保護，防火墻、信息加密、數(shù)字簽名等信息安全技術(shù)相繼出現(xiàn)，承擔(dān)起從紛繁復(fù)雜的安全威脅中保障電子商務(wù)信息安全的使命[7，11]。

2.1 防火墻技術(shù)

防火墻是兩個信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組合，對網(wǎng)絡(luò)之間的通信進行控制。防火墻的主要工作是對網(wǎng)絡(luò)與外界交換的流量進行監(jiān)控，主要任務(wù)是抵御不被信任的網(wǎng)絡(luò)數(shù)據(jù)可能的威脅，隔離網(wǎng)絡(luò)內(nèi)可能具有威脅的異常數(shù)據(jù)，準入安全可信任的數(shù)據(jù)信息。防火墻會根據(jù)是否具備授權(quán)資格決定是否允許該用戶或信息在本網(wǎng)絡(luò)中進行流通和共享，可以阻止不法分子的非法訪問行為，將病毒和木馬排除在網(wǎng)絡(luò)外，防止網(wǎng)絡(luò)內(nèi)部重要的信息數(shù)據(jù)被篡改、破壞或竊取[12]。

防火墻技術(shù)的應(yīng)用應(yīng)注意兩點，（1）防火墻也存在一定的弊端，若防火墻的數(shù)據(jù)更新出現(xiàn)太大的延遲，防火墻的實時服務(wù)請求就會難以實現(xiàn)，可能影響網(wǎng)絡(luò)的正常工作。（2）由于工作站是病毒入侵網(wǎng)絡(luò)的一個主要途徑，所以要將防火墻裝置安裝在工作站上，做到信息數(shù)據(jù)的安全防護工作[8]。

目前，對防火墻的優(yōu)化方向一方面是網(wǎng)絡(luò)通信與訪問控制模塊的優(yōu)化，以實現(xiàn)對合法用戶與非法入侵者更準確更迅速的辨別為目標；另一方面是針對當(dāng)前防火墻技術(shù)無法對數(shù)據(jù)驅(qū)動型攻擊做出有效應(yīng)對，因此需要在局域網(wǎng)內(nèi)部架設(shè)新型防火墻，克服目前的安全缺陷。

2.2 信息加密技術(shù)

加密技術(shù)主要對電子商務(wù)信息的傳遞過程進行保護。在信息傳遞前后，分別通過加密解密算法對信息明文和密文處理，防止不法分子竊取傳輸中的信息數(shù)據(jù)，實現(xiàn)數(shù)據(jù)傳輸過程中的信息安全保護。

目前的密鑰加密技術(shù)主要分為對稱密鑰加密技術(shù)與非對稱密鑰加密技術(shù)，前者又稱私鑰加密，在加密階段與解密階段使用相同密鑰，例如：DES加密算法等，具有時空復(fù)雜度低，運行效率高等優(yōu)勢，但密鑰傳遞困難；后者也被稱為公鑰加密，在加密與解密階段使用不同的密鑰，這兩種不同的密鑰需要同時使用，并明確二者之間的配對關(guān)系，例如：RSA加密算法，傳遞保密功能更優(yōu)但時空復(fù)雜度較高且對大容量信息加載速度較慢[13]。實際應(yīng)用中常將兩種加密手段混合使用并根據(jù)數(shù)據(jù)保密等級決定加密方式。

2.3 信息識別技術(shù)

信息識別技術(shù)是指身份認證技術(shù)與數(shù)字簽名技術(shù)的交叉使用。數(shù)字簽名是數(shù)字文檔上附加的一段特殊數(shù)據(jù)，用于確保文檔的來源安全、內(nèi)容完整有效、未遭篡改。數(shù)字簽名需要傳輸前后雙方均使用摘要算法提取特征摘要，傳輸方特征摘要使用公鑰加密后傳輸，接收方特征摘要將被用于與接收、解密后的傳輸方摘要對比，若一致則說明傳輸過程安全。身份認證是通過驗證用戶提供的身份信息與其所宣稱的身份的一致性確保用戶身份真實。身份認證需要用戶在注冊、身份驗證階段提供姓名、手機號碼、身份證號等真實身份信息和相關(guān)證明材料，以便在必要情況下通過社會身份信息與生物身份信息對用戶身份進行驗真，防止假冒等信息安全破壞行為[3，8]。

上述兩種技術(shù)可以有效保護數(shù)據(jù)的有效性、私密性與完整性，但現(xiàn)階段這兩種技術(shù)都對數(shù)據(jù)中心依賴度較高，這導(dǎo)致數(shù)據(jù)中心可能成為不法分子的重點攻擊對象，反而不利于信息安全的保護。目前，很多研究都側(cè)重于探索基于區(qū)塊鏈、去中心化標識等技術(shù)的信息識別技術(shù)，以期實現(xiàn)建立去中心化的信任模式。

2.4 入侵檢測系統(tǒng)技術(shù)

入侵檢測系統(tǒng)與防火墻相同，是一種防護性技術(shù)，通過采集和分析用戶的網(wǎng)絡(luò)行為數(shù)據(jù)以及關(guān)鍵節(jié)點信息來監(jiān)測異常數(shù)據(jù)與入侵行為并及時采取措施，發(fā)出警報或直接采取措施阻止不法分子的入侵活動。

如今入侵檢測系統(tǒng)技術(shù)存在漏報與誤報、無法識別新型攻擊模式、難以處理數(shù)據(jù)量過大的復(fù)雜網(wǎng)絡(luò)信息等問題。目前，針對入侵檢測系統(tǒng)上述問題，研究者們提出了很多優(yōu)化方向，例如：引入人工智能技術(shù)與機械學(xué)習(xí)算法，通過訓(xùn)練模型盡可能地規(guī)避漏報與誤報；引入行為分析技術(shù)和上下文感知技術(shù)，對流量與用戶行為進行深度分析，以期提高檢測的精準度與效率；綜合多種入侵檢測系統(tǒng)，全方面多層次地進行分析與檢測；引入實時響應(yīng)和自動化技術(shù)，減輕管理員工作負擔(dān)等研究方向[14]。

3 結(jié)語

電子商務(wù)極大地提高了交易的簡便性與效率，為我國互聯(lián)網(wǎng)經(jīng)濟的發(fā)展注入了強大動力，是我國邁入大數(shù)據(jù)時代后不可或缺的強力經(jīng)濟增長點之一。正因此，積極改進和優(yōu)化防火墻技術(shù)、數(shù)據(jù)加密技術(shù)等信息安全技術(shù)對于維護電子商務(wù)貿(mào)易的安全，保護用戶對電子商務(wù)行為的信任，維持穩(wěn)定的電子商務(wù)貿(mào)易秩序具有不可或缺的重要意義，應(yīng)當(dāng)?shù)玫较嚓P(guān)領(lǐng)域研究者的關(guān)注與重視。