XX 網(wǎng)上商店的安全問題及解決方案

黃 艷 王元亮

（云南財經(jīng)大學(xué) 云南 昆明 650221）

隨著網(wǎng)絡(luò)技術(shù)與信息技術(shù)的發(fā)展，因特網(wǎng)迅速成長，因特網(wǎng)與企業(yè)經(jīng)營活動的結(jié)合創(chuàng)造了新的網(wǎng)絡(luò)經(jīng)濟(jì)，使企業(yè)的經(jīng)營活動由傳統(tǒng)經(jīng)營模式轉(zhuǎn)向產(chǎn)品發(fā)布、網(wǎng)絡(luò)營銷、商務(wù)洽談、交易管理等的電子化，企業(yè)的內(nèi)部運(yùn)作、組織管理也發(fā)生了深刻的變革，迎來了嶄新的電子商務(wù)時代！

1 我國的電子商務(wù)安全現(xiàn)狀及對策

目前，很多的電子商務(wù)網(wǎng)站（包括電子支付）的安全機(jī)制還依賴于瀏覽器和Web服務(wù)器提供的SSL安全協(xié)議。而由于出口限制，SSL協(xié)議所采用的安全算法密鑰長度只有40位或56位，以目前的技術(shù)水平，破譯這種安全強(qiáng)度的信息只需幾分鐘或更少時間，而不知內(nèi)情的用戶還以為自己的敏感信息（如信用卡號）在整個交易中是絕對安全的。另外，國內(nèi)幾乎所有的計算機(jī)主機(jī)、網(wǎng)絡(luò)交換機(jī)、路由器和網(wǎng)絡(luò)操作系統(tǒng)都來自國外，這種系統(tǒng)有沒有留下后門或其他缺陷，用戶或國家的機(jī)密信息會不會被非法竊取，這些都要求我國下大力氣研究和發(fā)展獨(dú)立自主的網(wǎng)絡(luò)安全和電子商務(wù)安全產(chǎn)品。因此，從長遠(yuǎn)來看，為保證我國電子商務(wù)的正常發(fā)展，發(fā)展自主的電子商務(wù)安全技術(shù)是重中之中。

2 電子商務(wù)的安全性

電子商務(wù)的發(fā)展給人們的工作和生活帶來了新的嘗試和便利性，但并沒有像人們想象的那樣普及和深入，一個很重要的原因就是電子商務(wù)的安全性，它成為阻礙電子商務(wù)發(fā)展的瓶頸。

2.1 電子商務(wù)的安全需求

電子商務(wù)面臨的威脅的出現(xiàn)導(dǎo)致了對電子商務(wù)安全的需求，也是真正實(shí)現(xiàn)一個安全電子商務(wù)系統(tǒng)所要求做到的各個方面，主要包括機(jī)密性、完整性、認(rèn)證性、不可抵賴性和有效性。

（1）機(jī)密性。為保證信息的機(jī)密安全，一般通過密碼技術(shù)來對傳輸?shù)男畔⑦M(jìn)行加密處理來實(shí)現(xiàn)。

（2）完整性。為解決貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題，一般可通過提取信息消息摘要的方式來獲得。

（3）認(rèn)證性。由于網(wǎng)絡(luò)電子商務(wù)交易系統(tǒng)的特殊性，對個人或企業(yè)實(shí)體進(jìn)行身份性確認(rèn)成了電子商務(wù)中得很重要的一環(huán)。一般都通過證書機(jī)構(gòu)CA和證書來實(shí)現(xiàn)。

（4）不可抵賴性。對于在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供的可靠標(biāo)識，一般通過對發(fā)送的消息進(jìn)行數(shù)字簽名來獲取。

（5）有效性。對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點(diǎn)是有效的。

2.2 電子商務(wù)安全防范——針對黑客攻擊

（1）防止黑客入侵的措施：安全口令；實(shí)施存取控制；實(shí)施存取控制；確保數(shù)據(jù)的安全；定期分析系統(tǒng)日志；不斷完善服務(wù)器系統(tǒng)的安全性能；進(jìn)行動態(tài)站點(diǎn)監(jiān)控；用安全管理軟件測試自己的站點(diǎn)；做好數(shù)據(jù)的備份工作；使用防火墻。

（2）防范黑客入侵的步驟：選好操作系統(tǒng)；補(bǔ)丁升級；關(guān)閉無用的服務(wù)；隱藏IP地址；查找本地漏洞；防火墻軟件保平安。

3 查找XX網(wǎng)上商店的安全問題

XX網(wǎng)上商店銷售一些生活日用品，沒實(shí)現(xiàn)網(wǎng)上購物之前，效益平凡，自從這家商店實(shí)現(xiàn)了網(wǎng)上購物，效益一天比一天高，店主更多時候坐在電腦前跟消費(fèi)者進(jìn)行網(wǎng)上采購，及與消費(fèi)者交流有關(guān)商品的意見，這樣為雙方提供了很大的方便。可是曾有一小段時間，經(jīng)過對這家商店的現(xiàn)實(shí)調(diào)查，發(fā)現(xiàn)此網(wǎng)絡(luò)商店在網(wǎng)上交易中出現(xiàn)了一些問題，對商家有，對消費(fèi)者也有。

對于商家，出現(xiàn)問題如下：幾次為消費(fèi)者送錯貨物；在與有些消費(fèi)者交流時，感覺他們也沒買多少東西，但問的問題很多，甚至打探客戶的信息；有些消費(fèi)者在提交商品訂單后，拒不付款或否認(rèn)曾定過該商品；也有些消費(fèi)者收到商品后，明明把錢打到了商家那里，結(jié)果卻沒有。

對于消費(fèi)者，出現(xiàn)的問題如下：有些消費(fèi)者沒有購買商品，卻被要求付款或返還商品；有些消費(fèi)者付款后沒得到商品，商家覺得真奇怪。經(jīng)與一些消費(fèi)者的交流，他們說，幾次上網(wǎng)購買本商店的商品都登不上，總感覺很繁忙似的。

調(diào)查公司曾對電子商務(wù)的應(yīng)用前景進(jìn)行過在線調(diào)查，當(dāng)問到為什么不愿意在線購物時，絕大多數(shù)的人的問題是擔(dān)心遭到黑客的侵襲而導(dǎo)致信用卡信息丟失。

經(jīng)相關(guān)人員的判斷，上述問題屬于電子商務(wù)交易中出現(xiàn)的安全威脅，于是針對上面的問題，我查找了有關(guān)電子商務(wù)安全性的理論解說，從而分析出相應(yīng)的解決方案。

4 對XX網(wǎng)上商店網(wǎng)絡(luò)安全解決方案的分析

對于商家，在與有些消費(fèi)者交流時，感覺他們也沒買多少東西，但問的問題很多，甚至打探客戶的信息，這時應(yīng)立即反應(yīng)出是一些惡意的競爭者通過各種非法的手段，獲得商家的機(jī)密，如客戶資料，或是以他人的名義來訂購商品，刺探商家的商品信息，如庫存狀況；有些消費(fèi)者收到商品后，明明把錢打到了商家那里，結(jié)果卻沒有，是因?yàn)橛腥嗽诰W(wǎng)上假冒商家，致使消費(fèi)者把對方誤認(rèn)為是真正的商家，結(jié)果把錢匯給了假冒商。

對于消費(fèi)者，有些消費(fèi)者沒有購買商品，卻被要求付款或返還商品，這種況同上，是有人假冒消費(fèi)者的名義購買；有些消費(fèi)者付款后沒得到商品，商家覺得真奇怪，這也同上是因?yàn)橄M(fèi)者把錢匯給了假冒商。經(jīng)與一些消費(fèi)者的交流，他們說，幾次上網(wǎng)購買本商店的商品都登不上，這是因?yàn)橛腥讼蛏碳业姆?wù)器發(fā)送大量虛假訂單占用資源，致使合法的消費(fèi)者無法得到正常的服務(wù)。

由上面分析不難看出大部分安全問題都是網(wǎng)上數(shù)據(jù)受到黑客的攻擊或由于系統(tǒng)內(nèi)部人員的不規(guī)范使用和惡意破壞，使得網(wǎng)絡(luò)信息系統(tǒng)遭到破壞，信息泄露。那么針對這個問題就是要保障數(shù)據(jù)的安全。而SSL作為目前保護(hù)Web安全和基于HTTP的電子商務(wù)交易安全的事實(shí)上的，被許多世界知名廠商的Intranet和Internet網(wǎng)絡(luò)產(chǎn)品所支持。所謂SSL就是在和另一方通信前先講好的一套方法，這個方法能夠在它們之間建立一個電子商務(wù)的安全性秘密信道，確保電子商務(wù)的安全性，凡是不希望被別人看到的機(jī)密數(shù)據(jù)，都可以通過這個秘密信道傳給對方，即使通過公共線路傳輸，也不必?fù)?dān)心別人的偷窺。

5 總結(jié)

全文按照查找問題，分析問題，解決問題的思路以某個具體實(shí)例為代表探討網(wǎng)絡(luò)的安全問題及解決方案。

綜上，網(wǎng)絡(luò)應(yīng)用，安全為本。只要我們堅持在吸收、引進(jìn)的前提下，組織各方面力量，獨(dú)立研制和開發(fā)具有獨(dú)立知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全和電子商務(wù)安全產(chǎn)品，逐步掌握電子商務(wù)安全的核心技術(shù)，并從宏觀上進(jìn)行調(diào)節(jié)和控制，我國的電子商務(wù)安全現(xiàn)狀一定會得到極大的改善，從而為我國電子商務(wù)的真正發(fā)展構(gòu)筑一道牢不可破的堅固屏障。

［1］王其良.計算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京大學(xué)出版社,2005.

［2］安時.電子商務(wù)安全概述[M].吉林大學(xué)出版社,2007.

［3］信息管理系列編委會.網(wǎng)絡(luò)安全管理[M].中國人民大學(xué)出版社,2006.

［4］張紅旗.信息網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2005.

［5］張千里、陳光英.網(wǎng)絡(luò)安全新技術(shù)[M].人民郵電出版社,2008.

［6］牛芳.網(wǎng)絡(luò)信息安全及解決方案[Z].北大青鳥,2010.