電子商務(wù)面臨的網(wǎng)絡(luò)安全性技術(shù)探討

摘 要 隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，特別是Internet的不斷普及和應(yīng)用，電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的一個(gè)嶄新的模式。電子商務(wù)的安全性是影響其成敗的一個(gè)關(guān)鍵因素。本文首先對(duì)電子商務(wù)應(yīng)用中所存在的問(wèn)題及其電子商務(wù)的安全性技術(shù)加以分析。然后對(duì)中國(guó)電子商務(wù)未來(lái)的發(fā)展進(jìn)行了探討并提出了一些建議。以使更多的人士關(guān)注電子商務(wù)技術(shù)，盡快解決現(xiàn)存的問(wèn)題，推動(dòng)電子商務(wù)的發(fā)展。

關(guān)鍵詞 網(wǎng)絡(luò)技術(shù) 電子商務(wù) 安全性技術(shù)

一、 引言

電子商務(wù)是在Internet開(kāi)放環(huán)境下的一種新型的商業(yè)運(yùn)營(yíng)模式，是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向。而其安全問(wèn)題也變得越來(lái)越突出，如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，已經(jīng)成為商家和用戶都十分關(guān)心的話題。

二、 電子商務(wù)及其存在的安全問(wèn)題

電子商務(wù)是指利用簡(jiǎn)單快捷低成本的電子通訊方式，使買(mǎi)賣(mài)雙方進(jìn)行各種商貿(mào)活動(dòng)的新型貿(mào)易形式。它改變了傳統(tǒng)貿(mào)易形式，不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營(yíng)、管理活動(dòng)，而且將導(dǎo)致人類經(jīng)濟(jì)、社會(huì)和文化的一次新的革命。但目前電子商務(wù)的發(fā)展中還存在許多安全問(wèn)題：

1、計(jì)算機(jī)網(wǎng)絡(luò)安全

（1）潛在的安全隱患。未進(jìn)行操作系統(tǒng)相關(guān)安全配置。不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會(huì)存在一些安全問(wèn)題，只有專門(mén)針對(duì)操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置，才能達(dá)到一定的安全程度。

（2）未進(jìn)行CGI程序代碼審計(jì)。網(wǎng)站或軟件供應(yīng)商專門(mén)開(kāi)發(fā)的一些CGI程序，很多存在嚴(yán)重的CGI問(wèn)題，對(duì)于電子商務(wù)站點(diǎn)來(lái)說(shuō)，會(huì)出現(xiàn)惡意攻擊者冒用他人賬號(hào)進(jìn)行網(wǎng)上購(gòu)物等嚴(yán)重后果。

（3）安全產(chǎn)品使用不當(dāng)。由于一些網(wǎng)絡(luò)安全設(shè)備本身的問(wèn)題或使用問(wèn)題，這些產(chǎn)品并沒(méi)有起到應(yīng)有的作用。很多廠商的產(chǎn)品對(duì)配置人員的技術(shù)背景要求很高，超出對(duì)普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但系統(tǒng)改動(dòng)，在改動(dòng)相關(guān)安全產(chǎn)品的設(shè)置時(shí)，很容易產(chǎn)生許多安全問(wèn)題。

（4）缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度。

網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來(lái)保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

2、商務(wù)交易安全

（1）竊取信息。由于未采用加密措施，信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過(guò)多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

（2）篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過(guò)各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。

（3）假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過(guò)的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶通常很難分辨。

（4）惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

三、電子商務(wù)中的安全性技術(shù)

安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，也是目前大家十分關(guān)注的問(wèn)題。雖然Internet的開(kāi)放式的信息交換使之在安全方面存在脆弱性，但現(xiàn)在幾乎網(wǎng)絡(luò)的各個(gè)層次都制訂了安全協(xié)議和具備了相應(yīng)的安全技術(shù)，以保證電子商務(wù)的安全性。

1、安全的網(wǎng)絡(luò)平臺(tái)

安全可靠的網(wǎng)絡(luò)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ)，常用的方法是在網(wǎng)絡(luò)中采用防火墻技術(shù)，虛擬專用網(wǎng)（VPN）技術(shù)，防病毒保護(hù)等。防火墻技術(shù)是通過(guò)IP過(guò)濾和代理服務(wù)器軟件方法保護(hù)企業(yè)內(nèi)部網(wǎng)（Intranet）中數(shù)據(jù)，只有授權(quán)用戶才能獲準(zhǔn)進(jìn)入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)。虛擬專用網(wǎng)（VPN）技術(shù)通過(guò)IP隧道等方法來(lái)保證企業(yè)協(xié)作網(wǎng)（Extranet）中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠(yuǎn)程分支機(jī)構(gòu)和外出職工對(duì)中央系統(tǒng)的遠(yuǎn)程訪問(wèn)數(shù)據(jù)的安全傳遞。單純依靠這些方法保護(hù)網(wǎng)絡(luò)的安全性是不夠的，還必須與其它安全措施綜合使用才能為用戶提供更為可靠的電子商務(wù)基石，例如現(xiàn)在的加密技術(shù)、數(shù)字簽名技術(shù)、電子認(rèn)證技術(shù)等。

2、在線支付的安全技術(shù)

電子商務(wù)的另一個(gè)關(guān)鍵問(wèn)題是要保證在線支付的安全，它是網(wǎng)上購(gòu)物的重要保證。目前采用的在線支付協(xié)議有兩種：安全套接層SSL（Secure Sockets Layer）協(xié)議和安全電子交易SET（Secure Electronic Transaction）協(xié)議。

（1）SSL協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。SSL通過(guò)數(shù)字簽名和數(shù)字證書(shū)來(lái)實(shí)行身份驗(yàn)證，數(shù)字證書(shū)是從認(rèn)證機(jī)構(gòu)（Certificate Authority，CA）獲得的，通常包含有唯一標(biāo)識(shí)證書(shū)所有者的名稱、唯一標(biāo)識(shí)證書(shū)發(fā)布者的名稱、證書(shū)所有者的公開(kāi)密鑰、證書(shū)發(fā)布者的數(shù)字簽名、證書(shū)的有效期及證書(shū)的序列號(hào)等。在用數(shù)字證書(shū)對(duì)雙方的身份驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

（2）SET協(xié)議

其主要目的是解決信用卡電子付款的安全保障性問(wèn)題，這包括：保證信息的機(jī)密性，保證信息安全傳輸，不能被竊聽(tīng)，只有收件人才能得到和解密信息；保證支付信息的完整性，保證傳輸數(shù)據(jù)完整接收，在中途不被篡改；認(rèn)證商家和客戶，驗(yàn)證公共網(wǎng)絡(luò)上進(jìn)行交易活動(dòng)等內(nèi)容。

四、結(jié)束語(yǔ)

電子商務(wù)安全對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)安全提出了雙重要求。在電子商務(wù)的建設(shè)過(guò)程中涉及到許多安全技術(shù)問(wèn)題，制定安全技術(shù)規(guī)則和實(shí)施安全技術(shù)手段不僅可以推動(dòng)安全技術(shù)的發(fā)展，同時(shí)也促進(jìn)安全的電子商務(wù)體系的形成。當(dāng)然，任何一個(gè)安全技術(shù)都不會(huì)提供永遠(yuǎn)和絕對(duì)的安全，因?yàn)榫W(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵和破壞的手段也在變化，只有技術(shù)的不斷進(jìn)步才是真正的安全保障。

參考文獻(xiàn)：

[1]陳輝.淺談電子商務(wù)的安全與技術(shù)保障[J].河南教育學(xué)院學(xué)報(bào)（自然科學(xué)版），2006（01）.

[2]楊愛(ài)民.電子商務(wù)安全現(xiàn)狀及對(duì)策探討[J].科技資訊，2006（06）.

[3]楊利麗.淺談電子商務(wù)的網(wǎng)絡(luò)安全與技術(shù)保障[J].信息網(wǎng)絡(luò)安全，2010（07）.

（作者單位：襄陽(yáng)職業(yè)技術(shù)學(xué)院醫(yī)學(xué)院）