[摘 要] 本文分析了電子商務(wù)的安全要求和面臨的不安全因素，提出了電子商務(wù)活動(dòng)中可采用的安全防范技術(shù)。

[關(guān)鍵詞] 電子商務(wù) 安全防范

一、前言

電子商務(wù)出現(xiàn)于20世紀(jì)90年代，發(fā)展的時(shí)間并不長(zhǎng)，但與傳統(tǒng)商務(wù)相比，電子商務(wù)具有驚人的發(fā)展速度。而電子商務(wù)安全問(wèn)題成為電子商務(wù)發(fā)展過(guò)程中最大的障礙。因此實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中各個(gè)環(huán)節(jié)的安全性，即應(yīng)保證在基于Internet 的電子商務(wù)的交易過(guò)程與傳統(tǒng)交易的方式一樣安全可靠。電子商務(wù)的安全性并不是一個(gè)孤立的概念， 和為電子商務(wù)提供交易的虛擬環(huán)境的底層技術(shù)息息相關(guān)，是由計(jì)算機(jī)的安全性，尤其是網(wǎng)絡(luò)通信的安全技術(shù)所決定的。

二、電子商務(wù)安全的主要要求

1.機(jī)密性。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)開放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。

2.完整性。電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。要預(yù)防對(duì)信息的隨意生成、修改和刪除，同時(shí)要防止數(shù)據(jù)傳送過(guò)程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。

3.可靠性。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。這也就是人們常說(shuō)的“白紙黑字”。在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已不可能，因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。

4.有效性。電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式貿(mào)易信息的有效性則是開展電子商務(wù)的前提。

三、引起電子商務(wù)的不安全因素

商務(wù)信息的存儲(chǔ)依靠計(jì)算機(jī)的數(shù)據(jù)庫(kù)技術(shù)來(lái)實(shí)現(xiàn)，信息傳輸?shù)闹饕緩绞腔ヂ?lián)網(wǎng)。所以，電子商務(wù)的不安全因素也正是以計(jì)算機(jī)的數(shù)據(jù)庫(kù)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的安全漏洞為主要目標(biāo)，構(gòu)成了威脅電子商務(wù)活動(dòng)的主要原因，成為不法分子入侵的主要途徑。

1.數(shù)據(jù)庫(kù)面臨的安全問(wèn)題。實(shí)現(xiàn)電子商務(wù)的企業(yè)， 大都建立用來(lái)存儲(chǔ)和管理各種業(yè)務(wù)數(shù)據(jù)的核心數(shù)據(jù)庫(kù)。對(duì)于大多合法用戶來(lái)說(shuō)，這個(gè)核心數(shù)據(jù)庫(kù)是存儲(chǔ)關(guān)鍵信息的一種非常便捷的方式，而從攻擊者的角度來(lái)看，直接破解這個(gè)數(shù)據(jù)庫(kù)所帶來(lái)的利益要比在網(wǎng)絡(luò)中嗅探數(shù)據(jù)帶來(lái)的利益打得多。通過(guò)破解數(shù)據(jù)庫(kù)，就可以只在一個(gè)點(diǎn)上訪問(wèn)到準(zhǔn)確的數(shù)據(jù)信息。攻擊者一旦竊取到數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)，就可以通過(guò)數(shù)據(jù)庫(kù)的查詢命令方便的獲取想要的信息，如信用卡號(hào)、客戶資料、報(bào)價(jià)單、價(jià)目表等機(jī)密商業(yè)信息。電子商務(wù)在數(shù)據(jù)庫(kù)中所面臨的安全問(wèn)題表現(xiàn)在非法入侵者對(duì)數(shù)據(jù)庫(kù)的攻擊。

2.網(wǎng)絡(luò)通信面臨的安全問(wèn)題。電子商務(wù)在網(wǎng)絡(luò)通信中所面臨的安全問(wèn)題主要體現(xiàn)在以下幾個(gè)方面:交易的內(nèi)容被第三方竊??；電子交易信息在網(wǎng)上傳輸過(guò)程中， 可能被他人非法修改、刪除或重放。網(wǎng)絡(luò)傳輸?shù)目煽啃允苡布O(shè)備或軟件的缺陷的限制，使信息傳輸過(guò)程得不到保障；信息的存儲(chǔ)和傳輸受到惡意破壞的威脅（如病毒威脅）。

四、電子商務(wù)中的安全防范技術(shù)

為了滿足電子商務(wù)的安全要求，電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù)，具體可采用的技術(shù)如下：

1.數(shù)字簽名技術(shù)。“數(shù)字簽名”是通過(guò)密碼技術(shù)實(shí)現(xiàn)電子交易安全的形象說(shuō)法，是電子簽名的主要實(shí)現(xiàn)形式。它力圖解決互聯(lián)網(wǎng)交易面臨的幾個(gè)根本問(wèn)題:數(shù)據(jù)保密、數(shù)據(jù)不被篡改、交易方能互相驗(yàn)證身份、交易發(fā)起方對(duì)自己的數(shù)據(jù)不能否認(rèn)?！皵?shù)字簽名”是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟、可操作性最強(qiáng)的一種電子簽名方法。 它采用了規(guī)范化的程序和科學(xué)化的方法，用于鑒定簽名人的身份以及對(duì)一項(xiàng)電子數(shù)據(jù)內(nèi)容的認(rèn)可。它還能驗(yàn)證出文件的原文在傳輸過(guò)程中有無(wú)變動(dòng)，確保傳輸電子文件的完整性、真實(shí)性和不可抵賴性。

2.防火墻技術(shù)。防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)/出兩個(gè)方向通信的門檻。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。目前的防火墻主要有以下三種類型:包過(guò)濾防火墻、代理防火墻、雙穴主機(jī)防火墻。

3.入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)能夠監(jiān)視和跟蹤系統(tǒng)、事件、安全記錄和系統(tǒng)日志，以及網(wǎng)絡(luò)中的數(shù)據(jù)包，識(shí)別出任何不希望有的活動(dòng)，在入侵者對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)進(jìn)行報(bào)警、阻斷等響應(yīng)。

4.信息加密技術(shù)。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端-端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。

5.安全認(rèn)證技術(shù)。安全認(rèn)證的主要作用是進(jìn)行信息認(rèn)證，信息認(rèn)證的目的就是要確認(rèn)信息發(fā)送者的身份，驗(yàn)證信息的完整性，即確認(rèn)信息在傳送或存儲(chǔ)過(guò)程中未被篡改過(guò)。

6.防病毒系統(tǒng)。病毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的途徑多、速度快、方式各異，對(duì)網(wǎng)站的危害較大。因此，應(yīng)利用全方位防病毒產(chǎn)品，實(shí)施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的防病毒策略，構(gòu)建全面的防病毒體系。

五、結(jié)束語(yǔ)

安全是電子商務(wù)生存和發(fā)展的命脈，隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，安全技術(shù)平臺(tái)和安全管理策略將不斷發(fā)展和改進(jìn)提高。電子商務(wù)網(wǎng)站的設(shè)計(jì)人員必須在精心的安全分析、風(fēng)險(xiǎn)評(píng)估、商業(yè)需求分析和網(wǎng)站運(yùn)行效率分析的基礎(chǔ)上，才能制定出整體的安全解決方案。