確保電子商務(wù)中的安全問(wèn)題

文/卡萊(梅州)橡膠制品有限公司計(jì)劃部 董鵬

電子商務(wù)是指利用互聯(lián)網(wǎng)為工具，使買(mǎi)賣(mài)雙方不謀面進(jìn)行的各種商業(yè)和貿(mào)易活動(dòng)，實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購(gòu)物及企業(yè)間的網(wǎng)上交易。隨著現(xiàn)今社會(huì)互聯(lián)網(wǎng)、個(gè)人終端技術(shù)的飛躍發(fā)展，電子商務(wù)越來(lái)越多地出現(xiàn)在人們的生活與工作中。這種全新的商務(wù)模式具有便捷、高效率、低成本的特點(diǎn)，然而，在這種極為方便的交易模式下，您可曾想過(guò)您發(fā)出的電子郵件是否被人看過(guò)，甚至篡改，您的網(wǎng)上銀行賬戶(hù)和密碼是否已經(jīng)泄露給他人？這些都涉及到計(jì)算機(jī)安全的問(wèn)題，這也是電子商務(wù)發(fā)展面臨的一個(gè)非常嚴(yán)峻的問(wèn)題。

一、安全威脅的主要方面

1.服務(wù)器的安全問(wèn)題。電子商務(wù)服務(wù)器是電子商務(wù)的核心，安裝了大量與電子商務(wù)有關(guān)的軟件和商家信息，并且服務(wù)器上的數(shù)據(jù)庫(kù)里有電子商務(wù)活動(dòng)過(guò)程中的一些保密數(shù)據(jù)。因此服務(wù)器特別容易受到安全的威脅，并且一旦出現(xiàn)安全問(wèn)題，造成的后果也會(huì)非常嚴(yán)重。

2.網(wǎng)絡(luò)安全問(wèn)題。

1）病毒與黑客入侵。由于部分電腦用戶(hù)對(duì)于電腦安全知識(shí)沒(méi)有很深的了解，給電腦病毒以及黑客程序提供了入侵機(jī)會(huì)。黑客利用計(jì)算機(jī)某些程序的設(shè)計(jì)缺陷，進(jìn)行截獲、竊取、破譯用戶(hù)的機(jī)密信息。其中最具威脅的是特洛伊木馬，一旦計(jì)算機(jī)被植入此木馬，則可完全控制該計(jì)算機(jī)。

2）操作系統(tǒng)的安全漏洞。目前大部分的計(jì)算機(jī)用戶(hù)使用的操作系統(tǒng)都是微軟公司開(kāi)發(fā)的Windows系列，而Windows操作系統(tǒng)的各個(gè)版本中都存在很多的軟件漏洞。利用這些漏洞，攻擊者可以在個(gè)人計(jì)算機(jī)上運(yùn)行惡意程序，通過(guò)植入木馬、病毒等方式控制整個(gè)電腦，從而竊取用戶(hù)電腦中的信息。

3）用戶(hù)安全使用的缺陷。如安全配置不當(dāng)造成的安全漏洞、用戶(hù)安全意識(shí)不強(qiáng)、用戶(hù)口令選擇不慎、密碼易于被破解、軟件使用的錯(cuò)誤、系統(tǒng)備份不完整、用戶(hù)將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)帶來(lái)安全威脅。

4）IP欺騙與ARP攻擊。IP欺騙的最基本形式是搞清楚一個(gè)網(wǎng)絡(luò)的配置，然后改變自己的IP地址，偽裝成別人的IP地址。雖然IP欺騙攻擊有著相當(dāng)難度，但我們應(yīng)該清醒地意識(shí)到，這種攻擊非常廣泛。

3.病毒問(wèn)題。在諸多威脅中，病毒是最不可控制的，其主要作用是損壞計(jì)算機(jī)文件，且具有繁殖功能。配合越來(lái)越便捷的網(wǎng)絡(luò)環(huán)境，計(jì)算機(jī)病毒的破壞力與日俱增?；ヂ?lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介，不少新病毒直接以互聯(lián)網(wǎng)作為自己的傳播途徑。電腦病毒問(wèn)世10多年來(lái)，各種新型病毒及其變種迅速增加，不少新病毒直接以互聯(lián)網(wǎng)作為自己的傳播途徑，還有眾多病毒借助于互聯(lián)網(wǎng)傳播得更快。如何在電子商務(wù)領(lǐng)域有效防范病毒也是一個(gè)十分緊迫的問(wèn)題。

4.交易身份的不確定。電子商務(wù)是一種遍布全球的廣泛的商業(yè)貿(mào)易活動(dòng)，在開(kāi)放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，在買(mǎi)賣(mài)雙方不謀面的情況下，實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購(gòu)物、商戶(hù)之間的網(wǎng)上交易和在線電子支付以及其他各種商務(wù)活動(dòng)、金融活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)。正是基于這個(gè)特點(diǎn)，攻擊者可以通過(guò)非法的手段盜竊合法用戶(hù)的身份信息，仿冒合法用戶(hù)的身份與他人進(jìn)行交易，非法獲利。

5.交易協(xié)議安全性問(wèn)題。商務(wù)用戶(hù)在電子交易過(guò)程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來(lái)傳送的，惡意攻擊者很容易對(duì)某個(gè)電子商務(wù)網(wǎng)站展開(kāi)數(shù)據(jù)包攔截，甚至對(duì)數(shù)據(jù)包進(jìn)行修改和假冒。TCP／IP協(xié)議是建立在可信的環(huán)境之下，缺乏相應(yīng)的安全機(jī)制，這種基于地址的協(xié)議本身就會(huì)泄露口令，根本沒(méi)有考慮安全問(wèn)題；TCP／IP協(xié)議是完全公開(kāi)的，其遠(yuǎn)程訪問(wèn)的功能使許多攻擊者無(wú)須到現(xiàn)場(chǎng)就能夠得手，連接的主機(jī)基于互相信任的原則等這些性質(zhì)使網(wǎng)絡(luò)更加不安全

二、安全隱患的防范措施

1.數(shù)字簽名。數(shù)字簽名是將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來(lái)使用。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別。數(shù)字簽名的作用有兩點(diǎn)：一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰追旅?，從而確定了文件真實(shí)性的這一事實(shí)。

2.數(shù)字憑證。數(shù)字憑證是用電子手段來(lái)證實(shí)一個(gè)用戶(hù)的身份和對(duì)網(wǎng)絡(luò)資源訪問(wèn)的權(quán)限。對(duì)于在網(wǎng)上進(jìn)行交易的雙方來(lái)說(shuō)，數(shù)字證書(shū)對(duì)他們之間建立信任是至關(guān)重要的。數(shù)字憑證有三種類(lèi)型：個(gè)人憑證、企業(yè)(服務(wù)器)憑證、軟件(開(kāi)發(fā)者)憑證，大部分認(rèn)證中心提供前兩類(lèi)憑證。

3.數(shù)字時(shí)間戳。交易行為中，時(shí)間是十分重要的信息。在電子交易中，需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。

4.網(wǎng)絡(luò)安全技術(shù)。為了最大可能地減少或不受損失，用戶(hù)應(yīng)堅(jiān)持以預(yù)防為主的原則，正確而安全地使用計(jì)算機(jī)，主要注意以下問(wèn)題：

1）對(duì)于移動(dòng)存儲(chǔ)設(shè)備，必須先檢測(cè)，確信無(wú)病毒后再使用。

2）盡量不要把重要數(shù)據(jù)存放在系統(tǒng)引導(dǎo)分區(qū)中，對(duì)重要數(shù)據(jù)要做備份。

3）計(jì)算機(jī)密碼以及各類(lèi)網(wǎng)上賬戶(hù)密碼盡可能設(shè)置成復(fù)雜而無(wú)規(guī)律的。

4）在使用網(wǎng)絡(luò)銀行，或者有網(wǎng)上交易時(shí)一定要確定所交易的網(wǎng)站是不是有可靠的證書(shū)。

5)小心網(wǎng)上的欺詐信息，類(lèi)似中大獎(jiǎng)之類(lèi)的提示，大多都掛有木馬程序。

6）不要下載、接收、執(zhí)行任何來(lái)歷不明的軟件或文件。

7）經(jīng)常升級(jí)系統(tǒng)。

8）防火墻技術(shù)。現(xiàn)有的防火墻技術(shù)包括兩大類(lèi)：數(shù)據(jù)包過(guò)濾和代理服務(wù)技術(shù)。其中最簡(jiǎn)單和最常用的是包過(guò)濾防火墻，它檢查接收到的每個(gè)數(shù)據(jù)包的頭，以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過(guò)濾，所以可以有效地避免對(duì)其進(jìn)行的有意或無(wú)意的攻擊，從而保證了專(zhuān)用私有網(wǎng)的安全。將包過(guò)濾防火墻與代理服務(wù)器結(jié)合起來(lái)使用是解決網(wǎng)絡(luò)安全問(wèn)題的一種非常有效的策略。

5.防病毒措施。

1）預(yù)防病毒技術(shù)。預(yù)防病毒技術(shù)通過(guò)自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞

2）檢測(cè)病毒技術(shù)。檢測(cè)病毒技術(shù)是通過(guò)對(duì)計(jì)算機(jī)病毒的特征來(lái)進(jìn)行判斷的技術(shù)，來(lái)確定病毒的類(lèi)型。

3）殺毒技術(shù)。殺毒技術(shù)通過(guò)對(duì)計(jì)算機(jī)病毒代碼的分析，開(kāi)發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)中服務(wù)器及工作站中的文件及電子郵件等進(jìn)行頻繁掃描和監(jiān)測(cè)。一旦發(fā)現(xiàn)與病毒代碼庫(kù)中相匹配的病毒代碼，反病毒程序會(huì)采取相應(yīng)處理措施，防止病毒進(jìn)入網(wǎng)絡(luò)進(jìn)行傳播擴(kuò)散。

三、結(jié)束語(yǔ)

安全是電子商務(wù)生存和發(fā)展的關(guān)鍵。安全威脅既有來(lái)自惡意攻擊、防范疏漏，也有來(lái)自管理失誤、操作疏忽等方面。因此，計(jì)算機(jī)安全措施應(yīng)是全方位的。除了從技術(shù)層次上增強(qiáng)安全保障機(jī)制外，計(jì)算機(jī)用戶(hù)本身也應(yīng)加強(qiáng)安全意識(shí)，同時(shí)相關(guān)法律的建立和完善也是必不可少的。電子商務(wù)作為全球商務(wù)發(fā)展的趨勢(shì)，將給全球的經(jīng)濟(jì)、政治和法律帶來(lái)深刻的影響，安全問(wèn)題將會(huì)變得更加重要和突出。任何成功的電子商務(wù)必須能提供足夠的安全性、可靠性和可用性，才能贏得客戶(hù)的信賴(lài)和歡迎。深入加強(qiáng)網(wǎng)絡(luò)安全技術(shù)開(kāi)發(fā)工作，發(fā)展自己的電子商務(wù)技術(shù)，盡快完善電子商務(wù)制度，建立良好的電子商務(wù)發(fā)展環(huán)境是發(fā)展電子商務(wù)的當(dāng)務(wù)之急。

1.譚浩強(qiáng).電子商務(wù)基礎(chǔ)教程.北京:清華大學(xué)出版社，2000

2.劉葉飛,趙德安.電子商務(wù)安全的探討.中國(guó)安全科學(xué)學(xué)報(bào),2006

3.李曉霞,張培軍,姬志剛.探討電子商務(wù)安全問(wèn)題及安全體系的建立[J].商場(chǎng)現(xiàn)代化2006