試論電子商務安全

穆楊

[摘要]電子商務是在網(wǎng)絡信息技術下，以電子及電子化手段進行的以商務為核心，實現(xiàn)跨區(qū)域的銷售與購物等，完成在線商品交易與金融資本交易。使得企業(yè)與企業(yè)之間的貿易變成全球化與網(wǎng)絡化。由于其較低的成本，較快的速度，較高的透明性，受到越來越多的追捧。但是由于信息網(wǎng)絡的開放性與其自身的漏洞，電子商務的安全性受到越來越多的重視，只有保證了電子商務的安全，才能讓電子商務的發(fā)展更加迅速與健康。

[關鍵詞]安全問題；安全要求；安全技術

[中圖分類號]TN915.08 [文獻標識碼]A [文章編號]1672-5158（2013）06-0054-01

1 要分析和保證電子商務的安全性，首先應該了解目前電子商務安全問題有哪些

1.1 交易信息遭到竊取

在電子商務的過程中，用戶的身份信息或者交易信息會被黑客或者有意者通過木馬、病毒及計算機系統(tǒng)、網(wǎng)絡系統(tǒng)本身的漏洞所竊取。攻擊者通過對數(shù)據(jù)的竊聽、非法截獲等手段，可以對截獲信息的數(shù)據(jù)分析，竊取用戶的賬號、密碼等信息內容。

1.2 交易信息遭到篡改

攻擊者通過竊取了交易信息之后，通過技術手段，可以對交易信息進行篡改。例如篡改交易時間、交易地點、交易金額等，破壞交易信息的完整性與真實性，容易誤導交易人，造成經(jīng)濟損失。

1.3 交易信息遭到冒充

攻擊者在得到交易者的信息之后，通過交易者的信息規(guī)律，冒充交易者與對方進行交易，從而獲得非法利益，進而破壞了電子交易的安全性。

1.4 交易信息遭到抵賴

某些交易者，面對交易信息，選擇故意逃避，不承認訂單，或者接到訂單后卻因為種種借口不承認產品交易；發(fā)送信息者不承認發(fā)送過信息，或者接收信息者不承認接收過信息，以種種方式進行交易抵賴。以期達到逃避責任的目的。

1.5 交易信息受到病毒感染

由于計算機網(wǎng)絡的開放性，惡意制作和使用計算機病毒的攻擊者越來越多，并且難以防范，這成為對電子商務交易最大的威脅之一。

1.6 非故意的電子商務信息泄露

由于電子商務需要使用計算機及計算機網(wǎng)絡，而日常工作中，計算機維修、計算機操作者操作不當，都可能會導致電子商務信息的泄露。

2 那么，面對種種電子商務的安全問題，現(xiàn)代電子商務的安全要求有哪些呢

2.1 有效的服務性要求

電子商務開展的前提是能夠預防或能應對網(wǎng)絡服務失敗的問題，通過監(jiān)測來減少網(wǎng)絡故障的發(fā)生，通過監(jiān)督來減少錯誤的操作，通過維護來降低軟、硬件問題，通過防火墻、殺毒軟件等手段來阻止網(wǎng)絡病毒的侵入，以諸如此類的方式來保證電子商務交易快速、有效和準確。

2.2 有力的保密性要求

電子商務是在互聯(lián)網(wǎng)的大背景下展開的，而互聯(lián)網(wǎng)是一個開放的資源庫與數(shù)據(jù)庫，具備網(wǎng)絡知識與上網(wǎng)設備的人，幾乎都可以使用互聯(lián)網(wǎng)，這就造成了，有更多的惡意攻擊者也可以在毫不費力的情況下，侵入互聯(lián)網(wǎng)，這就給電子商務交易，埋下了潛在的威脅。因此，電子商務的順利進行，必須要有有力的措施，來保證電子交易的機密性，交易信息不會遭到攻擊者的截取和盜用。

2.3 高度的完整性要求

電子商務的交易，不再是面對面的交易，而是通過網(wǎng)絡等手段進行的跨區(qū)域交易。這就要求，在信息的傳輸過程中，信息必須是高度完整的，如果在信息的傳輸過程中遭到破壞、刪除或者是篡改，會導致交易者的利益受損。

2.4 可靠的身份性要求

由于電子商務是建立在互相信任的基礎上，交易雙方可能未曾見面，就完成了交易。這就要求，交易雙方，不論是個人還是企業(yè)、組織甚至是國家之間，都必須提供可靠的、有效的身份信息。這樣，不僅能使得交易雙方更加信任，也能夠在以后發(fā)生法律糾紛時，提供有力的依據(jù)。

2.5 嚴密的審查性要求

因為電子商務交易要具有有力的保密性與高度的完整性，所以，應對電子商務交易完成后的審查數(shù)據(jù)進行完整的記錄與妥善的保存。

3 為了應對電子商務安全問題，滿足電子商務安全要求，電子商務安全技術也在不斷發(fā)展

目前，主要的電子商務安全技術如下：

3.1 數(shù)字認證技術

認證技術是電子商務防止攻擊的有效武器。在互聯(lián)網(wǎng)的開放環(huán)境中，信息安全的有效保證就是通過數(shù)字認證技術。數(shù)字認證技術又可以分為：數(shù)字簽名、數(shù)字摘要及數(shù)字證書等三種。數(shù)字簽名是確保實現(xiàn)認證、保證文檔真實的有效措施。就好像出示手寫簽名一般。數(shù)字簽名就是在信息之后附件一些數(shù)據(jù)，將數(shù)字摘要進行私鑰加密，然后一起發(fā)送給接收方。在接收方通過公鑰解密摘要后，與原始數(shù)字摘要進行對比，若二者相同，則確認該數(shù)字簽名是發(fā)送方發(fā)送的。數(shù)字簽名能夠保證報文與網(wǎng)絡數(shù)據(jù)的完整、真實與不可抵賴。數(shù)字摘要是固定長度的再要碼，是文件中的部分重要的要素經(jīng)過單向函數(shù)運算得到的。摘要長度與信息相對應，即相同信息的摘要相同，不同信息摘要不同。數(shù)字證書它是由證書授權機構頒發(fā)的，通過其來辨別用戶身份及權限，如同身份證一樣，是交易雙方身份確認的唯一最有效、最安全的方式。

3.2 防火墻技術

防火墻是在網(wǎng)絡邊界上建立起來的，防止黑客入侵的屏障。防火墻隔離了內部網(wǎng)絡與外部網(wǎng)絡。“目前的防火墻主要有以下三種類型：包過濾防火墻、代理防火墻、雙穴主機防火墻?！?/p>

3.3 入侵檢測及加密技術

雖然網(wǎng)絡的開放性可以讓攻擊者有侵入的機會，但是，同樣，可以通過入侵檢測的技術對侵入的數(shù)據(jù)進行識別和跟蹤，并向用戶報警。同時，通過加密技術，將數(shù)據(jù)進行加密，變成需要密鑰才能還原成明文。加密技術又分為對稱與非對稱加密兩種。入侵檢測與加密技術，屬于主動的防范的技術。

3.4 電子商務安全協(xié)議技術。

●SSL安全協(xié)議

Secure Sockets Layer安全協(xié)議，即“安全套接層協(xié)議”，用于提高應用程序間數(shù)據(jù)的安全性。在通信之前，通信的雙方需要約定一種協(xié)議，從而在雙方的計算機之間形成一個通道，這個通道只被通信的雙方所擁有，可以避免被第三方竊取信息。

●SET安全協(xié)議

Secure Electronic Transaction協(xié)議，即“安全電子交易”，是一種新的電子支付模式，是為了在互聯(lián)網(wǎng)上進行在線交易時保證信用卡支付的安全而設立的一個開放的規(guī)范。SET協(xié)議以其強大的驗證功能，保證“用戶、商家、銀行之間通過信用卡交易產生的數(shù)據(jù)”能夠“最大限度地降低了電子商務交易可能遭受的欺詐風險。”由于其優(yōu)越的性能，目前豬價成為世界“公認的信用卡交易國際標準?！?/p>

4 其他非技術手段

4.1 加強電子商務交易法律管理

應該重視法律的力量，不斷完善電子商務交易的法律法規(guī)，規(guī)范電子商務的交易過程。通過法律來約束進行電子交易雙方。同時給企圖利用電子商務漏洞的不法分子敲響警鐘。

4.2 加強電子商務交易本身的管理

電子商務交易要有有效的管理制度，加強對用戶、對信息、對設備、對軟件、對密鑰等的管理。

總之，電子商務交易的發(fā)展離不開安全的電子商務交易環(huán)節(jié)。而創(chuàng)作安全的電子商務環(huán)境要從技術與非技術兩個方面人手，既要重視加密、檢測、認證等技術手段的發(fā)展，又要重視電子商務交易法律法規(guī)的完善、電子商務交易自身管理的規(guī)范性。進而不斷促進電子商務交易的有效性、機密性及不可抵賴性。只有用戶能放心的使用電子商務交易，才能彰顯電子商務交易平臺的優(yōu)越性。

參考文獻

[1]劉俊杰，閆宏生，電子商務安全技術淺析[J]科技信息，2011（26）

[2]李建設，電子商務中的安全技術研究[J]，株洲工學院學報，2005（01）