[摘要] 電子商務(wù)是新興商務(wù)形式，信息安全的保障是電子商務(wù)實施的前提。本文針對電子商務(wù)活動中存在的信息安全隱患問題，實施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、身份驗證技術(shù)、防火墻技術(shù)等技術(shù)性措施，完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境，促進(jìn)我國電子商務(wù)可持續(xù)發(fā)展。

[關(guān)鍵詞] 電子商務(wù) 信息技術(shù) 信息安全

隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運而生并迅速發(fā)展。所謂電子商務(wù) ( Electronic Commerce， EC) 就是借助于公共網(wǎng)絡(luò)，如 Internet 或開放式計算機網(wǎng)絡(luò) (Open Computer Network) 進(jìn)行網(wǎng)上交易，快速而又有效地實現(xiàn)各種商務(wù)活動過程的電子化、網(wǎng)絡(luò)化、直接化。這種商務(wù)過程包括商品和服務(wù)交易的各個環(huán)節(jié)，如廣告、商品購買、產(chǎn)品推銷、信息咨詢、商務(wù)洽談、金融服務(wù)、商品的支付等商業(yè)交易活動。但是出于各種目的的網(wǎng)絡(luò)入侵和攻擊也越來越頻繁，脆弱的網(wǎng)絡(luò)和不成熟的電子商務(wù)增強了人們的防范心理。從這點上來看，信息安全問題是保障電子商務(wù)的生命線。

一、電子商務(wù)信息安全現(xiàn)存的問題

電子商務(wù)是實現(xiàn)整個貿(mào)易過程中各階段貿(mào)易活動的電子化。公眾是電子商務(wù)的對象，信息技術(shù)是實現(xiàn)電子商務(wù)的基礎(chǔ)，電子商務(wù)實施的前提是信息的安全保障。信息安全性的含義主要是信息的完整性、可用性、保密性和可靠性。因此電子商務(wù)活動中的信息安全問題主要體現(xiàn)在:

1.計算機網(wǎng)絡(luò)的安全

(1)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范，相對制約了國際性的商務(wù)活動。此外，在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

(2)信息的安全問題。非法用戶在網(wǎng)絡(luò)的傳輸上，通過不正當(dāng)手段，非法攔截會話數(shù)據(jù)獲得合法用戶的有效信息，最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密;或者是非法用戶對截獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行一些惡意篡改，如增加、減少和刪除等操作，從而使信息失去真實性和完整性，導(dǎo)致合法用戶無法正常交易;還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送，惡意攻擊對方的網(wǎng)絡(luò)硬件和軟件。

(3)防病毒問題。電腦病毒問世十幾年來，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介，不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑，還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，動輒造成數(shù)百億美元的經(jīng)濟損失。

(4)服務(wù)器的安全問題。電子商務(wù)服務(wù)器是電子商務(wù)的核心，安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息，并且服務(wù)器上的數(shù)據(jù)庫里有企業(yè)的一些敏感數(shù)據(jù)，如價格、成本等，所以服務(wù)器特別容易受到安全的威脅，并且一旦出現(xiàn)安全問題，造成的后果也是非常嚴(yán)重的。目前為止服務(wù)器的安全問題尚無有效措施予以阻止。主要表現(xiàn)在: 非法用戶向網(wǎng)絡(luò)或主機發(fā)送大量非法或無效的請求，使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡(luò)服務(wù); 利用操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全漏洞，通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請求，使網(wǎng)絡(luò)應(yīng)用服務(wù)器崩潰而停止服務(wù)。

2.商務(wù)交易的安全

(1)身份的不確定問題。由于電子商務(wù)的實現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺，在這個平臺上交易雙方是不需要見面的，因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息，仿冒合法用戶的身份與他人進(jìn)行交易，從而獲得非法收入。

(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。

(3)交易的修改問題。交易文件是不可修改的，否則必然會影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改，以保證商務(wù)交易的嚴(yán)肅和公正。

3.其他方面的安全

電子商務(wù)安全威脅種類繁多、來自各種可能的潛在方面，有蓄意而為的，也有無意造成的，例如電子交易衍生了一系列法律問題: 網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問題，急需為電子商務(wù)提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導(dǎo)致泄露信息等均可構(gòu)成不同程度后果的威脅。

二、保障電子商務(wù)信息安全技術(shù)性措施

電子商務(wù)安全是信息安全的上層應(yīng)用，它包括的技術(shù)范圍比較廣，主要分為數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù)兩大類。

1.數(shù)據(jù)加密技術(shù)

加密技術(shù)是保證電子商務(wù)中采用的主要安全措施，交易雙方可根據(jù)需要在信息交換階段使用。在一個加密過程中有兩個基本元素:算法和密鑰。加密過程就是根據(jù)一定的算法，將可理解的數(shù)據(jù)(明文)與一串?dāng)?shù)字(密鑰)相結(jié)合，從而產(chǎn)生不可理解的密文的過程，主要加密技術(shù)是:

(1)常規(guī)密鑰密碼加密。所謂常規(guī)密鑰密碼加密，即加密密鑰與解密密鑰是相同的。在早期的常規(guī)密鑰密碼體制中，典型的有代替密碼，其原理可以用一個例子來說明:字母 A，B，C，D，…，W，X，Y，Z的 自然順序保持不變，但使之與 D，E，F(xiàn)，G，…，Z，A，B，C 分別對應(yīng) (即相差3個字符)。 若明文為WELL則對應(yīng)的密文為 ZHOO (此時密鑰為3)。

由于英文字母中各字母出現(xiàn)的頻度早已有人進(jìn)行過統(tǒng)計，所以根據(jù)字母頻度表可以很容易對這種代替密碼進(jìn)行破譯。

(2)對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密，即收發(fā)雙方采用相同的密鑰來進(jìn)行加密和解密。對稱密鑰加密的最大優(yōu)點是加解密速度快，適合于進(jìn)行大量數(shù)據(jù)加密，但也存在密鑰管理、發(fā)布困難以及無法進(jìn)行身份鑒別的缺點。

(3)非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密，每個用戶有一對密鑰: 一個用于加密，一個用于解密，兩把密鑰實際上是兩個很大的質(zhì)數(shù)。其中，加密密鑰(公鑰)可以在網(wǎng)絡(luò)服務(wù)器、報刊等場合公開，而解密密鑰(私鑰)則屬用戶的私有密鑰，由公開的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實現(xiàn)的。

與對稱密鑰加密相比，采用非對稱密鑰加密方式密鑰管理較方便，且保密性比較強，但加解密實現(xiàn)速度比較慢，不適用于通信負(fù)荷較重的應(yīng)用。

2.身份驗證技術(shù)

(1)認(rèn)證系統(tǒng)。網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實生活中的身份證，用于在網(wǎng)絡(luò)上鑒別個人或組織的真實身份。數(shù)字證書的頒發(fā)機構(gòu)叫做 Certificate Authority，通常簡稱為 CA。要建立安全的電子商務(wù)系統(tǒng)，首先必須建立一個穩(wěn)固、健全的 CA，否則，一切網(wǎng)上的交易都沒有安全保障。

(2)SSL協(xié)議。SSL協(xié) 議 (Secure Socket Layer，安全套接層)主要目的是解決 TCP/IP 協(xié)議不能確認(rèn)用戶身份的問題，在 Socket 上使用非對稱的加密技術(shù)，以保證網(wǎng)絡(luò)通信服務(wù)的安全性。SSL協(xié)議易于實現(xiàn)。

SSL協(xié)議還是最值得信賴的協(xié)議。但是由于 SSL協(xié) 議當(dāng)初并不是為支持電子商務(wù)而設(shè)計的，所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成，SSL協(xié) 議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

(3)SET協(xié) 議。SET (Secure Electronic Transaction) 安全電子交易協(xié)議是用于 Internet 上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。主要應(yīng)用于B/C模式中保障支付信息的安全性。SET協(xié) 議提供對消費者、商戶和銀行的認(rèn)證，協(xié)議本身比較復(fù)雜，設(shè)計比較嚴(yán)格，安全性高，確保電子交易的機密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性，特別是保證了不會將持卡人的信用卡號泄露給商戶。其核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。它的交易規(guī)范成為了未來電子商務(wù)發(fā)展的方向。

3.其他安全技術(shù)

防火墻技術(shù):防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng)，對內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。目前的防火墻分為兩大類:一類是簡單的包過濾技術(shù)，它是在網(wǎng)絡(luò)層對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和代理服務(wù)器，可針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。

數(shù)字簽名:數(shù)字簽名是公開密鑰加密技術(shù)的另一種應(yīng)用，報文的發(fā)送方從報文文本中生成一個 128位的散列值，發(fā)送方用自己的私有密鑰對這個散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名，通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。

三、保障電子商務(wù)信息安全措施

1.加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，推動企業(yè)信息化進(jìn)程

信息基礎(chǔ)設(shè)施是電子商務(wù)發(fā)展的物質(zhì)基礎(chǔ)和載體。發(fā)展信息基礎(chǔ)設(shè)施需要政府和業(yè)界的共同努力，尤其是政府的大力投資和宏觀調(diào)控。

2.普及計算機網(wǎng)絡(luò)知識和電子商務(wù)常識，提高全民族電子商務(wù)意識

普及信息技術(shù)的教育，培養(yǎng)信息技術(shù)人才。增強企業(yè)和公眾對電子商務(wù)的信心。

3.加快銀行、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)

建立企業(yè)到企業(yè)、企業(yè)到客戶的商務(wù)溝通，實現(xiàn)網(wǎng)上資金流動，解決目前有形商品交易環(huán)節(jié)中的流通困難。

參考文獻(xiàn):

[1]周均:電子商務(wù)信息安全的政策法律研究[J].科技文獻(xiàn)信息管理，2004(4):57

[2]楊穎:電子商務(wù)安全問題分析[J].中國科技信息，2005(20):53

[3]成漢健:電子商務(wù)安全問題分析[J].商場現(xiàn)代化，2005(1):65

[4]張賢:電子商務(wù)安全問題[J].中國科技信息，2006(3):14