電子商務(wù)安全防范技術(shù)

邢小東，侯 飛，李千路

（山西大同大學(xué)數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，山西大同037009）

電子商務(wù)安全防范技術(shù)

邢小東，侯 飛，李千路

（山西大同大學(xué)數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，山西大同037009）

論述了Internet構(gòu)建電子商務(wù)網(wǎng)站時(shí)應(yīng)采取的安全措施：訪問控制技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)、防病毒技術(shù)和安全認(rèn)證系統(tǒng)，以及它們之間的相互配合。

電子商務(wù)；網(wǎng)上交易；安全技術(shù)

當(dāng)今社會(huì)，隨著計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的迅猛發(fā)展，帶動(dòng)了電子商務(wù)的不斷推廣。電子商務(wù)（Electronic Commerce）觸及到我們?nèi)祟惿畹母鱾€(gè)領(lǐng)域，如虛擬銀行、網(wǎng)上購(gòu)物、網(wǎng)絡(luò)支付等一些業(yè)務(wù)正在被人類接受。它改變了我們?nèi)祟悅鹘y(tǒng)的商務(wù)模式，作為一種全新的商業(yè)模式，大大提高了工作效率［1-3］。但是，由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性和不安全性，網(wǎng)絡(luò)安全問題就成為限制當(dāng)今電子商務(wù)發(fā)展一大阻礙。因此，電子商務(wù)安全防范技術(shù)就成了我們最關(guān)注的問題。

1 電子商務(wù)存在的安全問題

電子商務(wù)是利用各種電子化手段進(jìn)行的商務(wù)活動(dòng)，其價(jià)值的實(shí)現(xiàn)主要依托于網(wǎng)絡(luò)，尤其是互聯(lián)網(wǎng)，它已經(jīng)成為互聯(lián)網(wǎng)應(yīng)用的一個(gè)必然趨勢(shì)和金融商貿(mào)的主要模式之一。怎樣構(gòu)建一個(gè)有保障的電子商務(wù)環(huán)境，對(duì)電子交易數(shù)據(jù)提供保護(hù)，已成為電子商務(wù)必須直面的一個(gè)問題。

我們知道，電子商務(wù)的重要技術(shù)特征是利用網(wǎng)絡(luò)來傳輸和處理商業(yè)信息，因此，電子商務(wù)安全主要包括兩個(gè)方面：網(wǎng)絡(luò)安全和商務(wù)安全。而這些安全的實(shí)現(xiàn)又依托于一些具體的安全技術(shù)，遵循相關(guān)安全協(xié)議。

網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)本身和計(jì)算機(jī)可能存在的安全問題，也就是要保障電子商務(wù)平臺(tái)的可用性和安全性。網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)，其問題一般表現(xiàn)為：

1）計(jì)算機(jī)本身潛在的安全隱患帶來的網(wǎng)絡(luò)安全問題。計(jì)算機(jī)使用的是未經(jīng)過相關(guān)的網(wǎng)絡(luò)安全配置的操作系統(tǒng)，不論是什么操作系統(tǒng)，在缺省安裝的條件下都會(huì)存在一些安全問題，而僅僅將操作系統(tǒng)按缺省安裝后，再配上很長(zhǎng)的密碼就認(rèn)為安全的想法是不可靠的。因?yàn)橛?jì)算機(jī)本身存在的軟件漏洞和“后門”往往是網(wǎng)絡(luò)攻擊的首選目標(biāo)。

2）入侵者風(fēng)險(xiǎn)降低獲利升高帶來的刺激引發(fā)的網(wǎng)絡(luò)安全問題。由于網(wǎng)絡(luò)的全球性，開放性，共享性的發(fā)展，使得任何人都可以自由地接入互聯(lián)網(wǎng)，而這其中也包括了黑客，入侵者和病毒制造者。他們采用的攻擊方法越來越多，對(duì)電子商務(wù)的威脅也顯得越來越明顯。相對(duì)而言，襲擊者本身的風(fēng)險(xiǎn)卻非常小，甚至可以在襲擊后很快就消失得無(wú)影無(wú)蹤，使對(duì)方幾乎沒有實(shí)行報(bào)復(fù)打擊的可能，這使他們的活動(dòng)更加猖獗。美國(guó)的“雅虎”和“亞馬遜”曾受到攻擊的事件就說明了這一點(diǎn)。

3）安全設(shè)備使用不當(dāng)帶來的網(wǎng)絡(luò)安全問題。盡管絕大多數(shù)網(wǎng)站采用了網(wǎng)絡(luò)安全設(shè)備和防病毒技術(shù)，有的甚至花費(fèi)人力、物力進(jìn)行瀏覽器保護(hù)，但是由于人員培訓(xùn)不足造成的使用問題或者是設(shè)備本身的原因，這些保護(hù)措施并沒有起到預(yù)期的作用。大多數(shù)做安全產(chǎn)品的廠家對(duì)相應(yīng)的操作人員的技術(shù)要求很高，常常超出對(duì)一般網(wǎng)絡(luò)管理人員的技術(shù)要求，盡管廠家在開始幫助用戶進(jìn)行了正確地安裝、調(diào)試，一旦系統(tǒng)改動(dòng)，需要改動(dòng)相關(guān)安全設(shè)備的設(shè)置時(shí)，非常容易產(chǎn)生許多連鎖安全問題。在通常情況下網(wǎng)絡(luò)管理者往往無(wú)法勝任這樣的工作。

因此在進(jìn)行網(wǎng)絡(luò)安全防范措施時(shí)應(yīng)做到：首先要加強(qiáng)服務(wù)器自身的安全，安全配置應(yīng)做到恰到好處；及時(shí)把安全補(bǔ)丁程序裝上，盡量減少系統(tǒng)漏洞；安裝防病毒軟件和軟件防火墻，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施；對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)用系統(tǒng)漏洞檢測(cè)軟件定期進(jìn)行掃描分析，檢測(cè)出可能存在的安全隱患，并及時(shí)進(jìn)行修補(bǔ)；從交換機(jī)本身到各級(jí)用戶建立完善的訪問控制措施，并安裝有效的防火墻，對(duì)授權(quán)管理和認(rèn)證進(jìn)行加強(qiáng)控制；在對(duì)用戶認(rèn)證時(shí)安裝安全控件；對(duì)一些有用的數(shù)據(jù)進(jìn)行相應(yīng)的加密管理，并利用數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；對(duì)絕密的設(shè)備和數(shù)據(jù)要建立有效的隔離措施；對(duì)在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行一定強(qiáng)度的數(shù)據(jù)加密；建立詳細(xì)的安全審計(jì)日志，以便檢測(cè)并跟蹤入侵攻擊。同時(shí)充分利用已經(jīng)公布的有關(guān)交易安全和計(jì)算機(jī)安全的法律法規(guī)為電子商務(wù)交易護(hù)航。再者，面對(duì)普通網(wǎng)絡(luò)管理員的技術(shù)水平，在網(wǎng)絡(luò)的建設(shè)和維護(hù)中可采用聯(lián)合開發(fā)維護(hù)的方式，通過前期的建設(shè)和維護(hù)不斷提高和完善自身團(tuán)隊(duì)的技術(shù)水平，使其在成長(zhǎng)中逐步勝任企業(yè)對(duì)網(wǎng)絡(luò)安全的要求。

為了保證電子商務(wù)活動(dòng)的順利進(jìn)行，必須有安全完善的網(wǎng)絡(luò)體系為其提供穩(wěn)定可靠，強(qiáng)有力的支撐［4］。

2 電子商務(wù)網(wǎng)站的安全措施

2.1 加密技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段，為保證電子商務(wù)安全使用加密技術(shù)對(duì)敏感的信息進(jìn)行加密，保證電子商務(wù)的保密性，完整性，真實(shí)性和非否認(rèn)服務(wù)。

2.2 支付網(wǎng)關(guān)技術(shù)

支付網(wǎng)關(guān)，通常位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間（或者終端和收費(fèi)系統(tǒng)之間），其主要功能為：將公網(wǎng)傳來的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部傳回來的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對(duì)其進(jìn)行加密。支付網(wǎng)關(guān)技術(shù)主要完成通信，協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能，并且可以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)。此外，支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能（有些內(nèi)部使用網(wǎng)關(guān)還支持存儲(chǔ)和打印數(shù)據(jù)等擴(kuò)展功能）。

3 電子商務(wù)安全體系

面對(duì)互聯(lián)網(wǎng)環(huán)境下的電子商務(wù)，如何能夠保障電子商務(wù)的安全，構(gòu)建一套安全的保障體系是現(xiàn)階段所要解決的實(shí)際問題。

圖1 安全的三層架構(gòu)體系

圖1是本文所構(gòu)建的一個(gè)基于安全措施的電子商務(wù)體系，我們可以看到防火墻設(shè)置在電子商務(wù)中心與Internet之間，訪問控制技術(shù)在服務(wù)器端設(shè)置，內(nèi)部安裝有防病毒軟件和入侵檢測(cè)系統(tǒng)，在服務(wù)器和防火墻之間另外設(shè)立一個(gè)安全認(rèn)證體系，這樣做的優(yōu)點(diǎn)就是能夠確?？蛻舳瞬恢苯釉L問服務(wù)器，而是通過一個(gè)中間的認(rèn)證體系，在確?？蛻羰前踩那闆r下，才允許客戶與服務(wù)器端進(jìn)行交易。把防火墻，防病毒軟件和入侵檢測(cè)以及安全認(rèn)證體系有效地組織起來，使得電子商務(wù)安全、有效、可靠的進(jìn)行交易，最大限度的保護(hù)交易雙方的利益［5-6］。

4 結(jié)語(yǔ)

每一種電子商務(wù)安全措施都有它的局限性，網(wǎng)站設(shè)計(jì)人員必須在進(jìn)行大量的分析、評(píng)估以及商業(yè)需求的基礎(chǔ)上，制定出適合自己的一套整體的電子商務(wù)安全方案。

［1］蹇皆.電子商務(wù)導(dǎo)論［M］.北京：人民郵電出版社，2009：103-106.

［2］馮矢勇.電子商務(wù)安全［M］.北京：電子工業(yè)出版社，2002：104-105.

［3］郭延坤.電子商務(wù)安全防范技術(shù)淺談［J］.大眾科技，2004（9）：58-62.

［4］姚孝明.電子商務(wù)安全的風(fēng)險(xiǎn)分析與防范技術(shù)［J］.計(jì)算機(jī)與現(xiàn)代化，2002，18（7）：102-105.

［5］彭惠芹.聚類分析技術(shù)在教學(xué)管理中的應(yīng)用［J］.山西大同大學(xué)學(xué)報(bào)：自然科學(xué)版，2009，25（2）：94-96.

［6］丁學(xué)君.電子商務(wù)中的信息安全問題及其對(duì)策［J］.計(jì)算機(jī)安全，2009（2）：108-110.

〔編輯 高?！?/p>

E-commerce Security Technology

XING Xiao-dong，HOU Fei，LI Qian-lu
（School of Mathematics and Computer Science，Shanxi Datong University，Datong Shanxi，037009）

In order to make environment of increasing online transactions more secure，this paper discusses some measures：such as access control technology，fire-wall technology，intrusion detection technology，anti-virus technology，security authentication system and the mutual cooperation between them when we established E-commerce Website by way of Internet.

E-commerce；website；security technology

TP393.08

A

1674-0874（2011）01-0016-03

2010-06-25

山西省教育廳高等教育教學(xué)改革研究項(xiàng)目［200919260］；山西大同大學(xué)科學(xué)基金資助項(xiàng)目［2009K2］

邢小東（1978-），男，山西五寨人，碩士，講師，研究方向：信息安全，計(jì)算機(jī)網(wǎng)絡(luò)安全。