[摘要] 電子商務(wù)的廣泛普及，在造福人類的同時(shí)，也使得新的邪惡與罪孽相伴而來。電子商務(wù)中的各種犯罪活動(dòng)已經(jīng)嚴(yán)重危害著社會(huì)的發(fā)展和國家的安全。本文在介紹電子商務(wù)安全威脅和安全需求的基礎(chǔ)上，通過網(wǎng)絡(luò)安全、數(shù)字認(rèn)證、SSL、SET等幾種防范措施，來構(gòu)建一個(gè)電子商務(wù)安全的體系結(jié)構(gòu)。

[關(guān)鍵詞] 電子商務(wù)安全 加密技術(shù) 數(shù)字認(rèn)證

隨著通信網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，特別是Internet的不斷普及，人們的消費(fèi)觀念和整個(gè)商務(wù)系統(tǒng)也發(fā)生了巨大了變化，人們更希望通過網(wǎng)絡(luò)的便利性來進(jìn)行網(wǎng)絡(luò)采購和交易，從而導(dǎo)致了電子商務(wù)（Electronic Commerce）的出現(xiàn)，并在世界范圍內(nèi)掀起了電子商務(wù)的熱潮。電子商務(wù)是互聯(lián)網(wǎng)作為商務(wù)平臺(tái)工具的重要體現(xiàn)。網(wǎng)民和商家可以通過互聯(lián)網(wǎng)平臺(tái)，各取所需，共同獲益。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的“中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告”，截至2007年12月，中國的網(wǎng)民數(shù)已增至2.1億人，目前中國的網(wǎng)民人數(shù)略低于美國的2.15億，位于世界第二位。中國網(wǎng)民網(wǎng)絡(luò)購物比例是22.1%，購物人數(shù)規(guī)模達(dá)到4640萬。

電子商務(wù)的發(fā)展給人們的工作和生活帶來了新的嘗試和便利性，但并沒有像人們想像的那樣普及和深入，除其他因素外，一個(gè)很重要的原因就是電子商務(wù)的安全性，它成為阻礙電子商務(wù)發(fā)展的瓶頸。美國密執(zhí)安大學(xué)一個(gè)調(diào)查機(jī)構(gòu)通過對23000名因特網(wǎng)用戶的調(diào)查顯示，超過60%的人由于擔(dān)心電子商務(wù)的安全問題而不愿進(jìn)行網(wǎng)上購物。任何個(gè)人、企業(yè)或商業(yè)機(jī)構(gòu)及銀行都不會(huì)通過一個(gè)不安全的網(wǎng)絡(luò)進(jìn)行商務(wù)交易，這樣會(huì)導(dǎo)致商業(yè)機(jī)密信息或個(gè)人隱私的泄漏，從而導(dǎo)致巨大的利益損失。所以，研究和分析電子商務(wù)的安全性問題，特別是針對我國自己的國情，充分借鑒國外的先進(jìn)技術(shù)和經(jīng)驗(yàn)，開發(fā)和研究出具有獨(dú)立知識(shí)產(chǎn)權(quán)的電子商務(wù)安全產(chǎn)品，這些都成為目前我國發(fā)展電子商務(wù)的關(guān)鍵。

一、電子商務(wù)安全威脅和安全需求

隨著電子商務(wù)在全球范圍內(nèi)的迅猛發(fā)展，電子商務(wù)中的網(wǎng)絡(luò)安全問題日漸突出。電子商務(wù)中的網(wǎng)絡(luò)安全和交易安全問題是實(shí)現(xiàn)電子商務(wù)的關(guān)鍵之所在。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲(chǔ)和傳輸?shù)男畔⒌陌踩浴５怯捎谠诨ヂ?lián)網(wǎng)絡(luò)設(shè)計(jì)之初，只考慮方便性、開放性，使得互聯(lián)網(wǎng)絡(luò)非常脆弱，極易受到黑客的攻擊或有組織的群體的入侵，也會(huì)由于系統(tǒng)內(nèi)部人員的不規(guī)范使用和惡意破壞，使得網(wǎng)絡(luò)信息系統(tǒng)遭到破壞，信息泄露。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的”中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告”顯示，在進(jìn)行網(wǎng)上購物時(shí)的安全隱患可分為如下幾類：

表 網(wǎng)民中網(wǎng)絡(luò)安全問題發(fā)生的比率

電子商務(wù)面臨的威脅導(dǎo)致了對電子商務(wù)安全的需求，也是真正實(shí)現(xiàn)一個(gè)安全電子商務(wù)系統(tǒng)所要求做到的各個(gè)方面，主要包括:機(jī)密性、完整性、認(rèn)證性和不可抵賴性。

機(jī)密性。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。機(jī)密性一般通過密碼技術(shù)來對傳輸?shù)男畔⑦M(jìn)行加密處理來實(shí)現(xiàn)。

完整性。電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時(shí)也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。完整性一般可通過提取信息消息摘要的方式來獲得。

認(rèn)證性。由于網(wǎng)絡(luò)電子商務(wù)交易系統(tǒng)的特殊性，企業(yè)或個(gè)人的交易通常都是在虛擬的網(wǎng)絡(luò)環(huán)境中進(jìn)行，所以對個(gè)人或企業(yè)實(shí)體進(jìn)行身份性確認(rèn)成了電子商務(wù)中得很重要的一環(huán)，一般都通過證書機(jī)構(gòu)CA和證書來實(shí)現(xiàn)。

不可抵賴性。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。這也就是人們常說的”白紙黑字”。在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí)。不可抵賴性可通過對發(fā)送的消息進(jìn)行數(shù)字簽名來獲取。

有效性。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個(gè)人、 企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。因此，要對網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。

二、如何保障電子商務(wù)安全

電子商務(wù)安全是信息安全的上層應(yīng)用，它包括的技術(shù)范圍比較廣，我們來構(gòu)建一個(gè)電子商務(wù)的安全體系結(jié)構(gòu)，形成保證電子商務(wù)中數(shù)據(jù)安全的一個(gè)完整的邏輯結(jié)構(gòu)，該安全體系結(jié)構(gòu)有5部分組成，如圖所示。

圖 電子商務(wù)安全體系結(jié)構(gòu)圖

網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)，一個(gè)完整的電子商務(wù)系統(tǒng)應(yīng)建立在安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上。網(wǎng)絡(luò)安全所涉及到的方面比較，如操作系統(tǒng)安全、防火墻技術(shù)、病毒防治技術(shù)和各種反黑客技術(shù)和漏洞檢測技術(shù)等。其中最重要的就是防火墻技術(shù)。

防火墻是建立在通信技術(shù)和信息安全技術(shù)之上，它用于在網(wǎng)絡(luò)之間建立一個(gè)安全屏障，根據(jù)指定的策略對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾、分析和審計(jì)，并對各種攻擊提供有效的防范。主要用于Internet接入和專用網(wǎng)與公用網(wǎng)之間的安全連接。目前國內(nèi)使用的需到防火墻產(chǎn)品都是國外一些大廠商提供的，國內(nèi)在防火墻技術(shù)方面的研究和產(chǎn)品開發(fā)方面相對比較簿弱，起步也晚。由于國外對加密技術(shù)的限制和保護(hù)，國內(nèi)無法得到急需的安全而實(shí)用的網(wǎng)絡(luò)安全系統(tǒng)和數(shù)據(jù)加密軟件。因此即使國外優(yōu)秀的防火墻產(chǎn)品也不能完全在國內(nèi)市場上使用，同時(shí)由于政治、軍事、經(jīng)濟(jì)上的原因，我國也應(yīng)研制開發(fā)并采用自己的防火墻系統(tǒng)和數(shù)據(jù)加密軟件，以滿足用戶和市場的巨大需要，也對我國的信息安全基礎(chǔ)設(shè)施建設(shè)有巨大的作用。

加密技術(shù)是保證電子商務(wù)安全的重要手段，許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。密碼算法利用密秘密鑰（secret keys）來對敏感信息進(jìn)行加密，然后把加密好的數(shù)據(jù)和密鑰（要通過安全方式）發(fā)送給接收者，接收者可利用同樣的算法和傳遞來的密鑰對數(shù)據(jù)進(jìn)行解密，從而獲取敏感信息并保證了網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性。利用另外一種稱為數(shù)字簽名（digital signature）的密碼技術(shù)可同時(shí)保證網(wǎng)絡(luò)數(shù)據(jù)的完整性和真實(shí)性。利用密碼技術(shù)可以達(dá)到對電子商務(wù)安全的需求，保證商務(wù)交易的機(jī)密性、完整性、真實(shí)性和不可否認(rèn)性等。

證書機(jī)構(gòu)CA（Certification Authority）是一個(gè)可信的第三方實(shí)體，其主要職責(zé)是保證用戶的真實(shí)性，頒發(fā)數(shù)字證書。本質(zhì)上，CA的作用同政府機(jī)關(guān)的護(hù)照頒發(fā)機(jī)構(gòu)類似，用于證實(shí)公民是否是其所宣稱的那樣（正確身份），而信任這個(gè)國家政府機(jī)關(guān)護(hù)照頒發(fā)機(jī)構(gòu)的其他國家，則信任該公民，認(rèn)為其護(hù)照是可信的，這也是第三方信任的一個(gè)很好實(shí)例。數(shù)字證書作為網(wǎng)上交易雙方真實(shí)身份證明的依據(jù)，是一個(gè)經(jīng)證書授權(quán)中心（CA）數(shù)字簽名的、包含證書申請者個(gè)人信息及公開密鑰的文件。

Visa和MasterCard公司的調(diào)查報(bào)告表明，擔(dān)心信用卡號(hào)被竊取已經(jīng)成為影響人們通過網(wǎng)絡(luò)進(jìn)行交易中存在的最大問題。Netscape推出的安全套接層協(xié)議SSL，主要目的是提供Internet 上的安全通信服務(wù)。它能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)，因此在信用卡交易方面，商家可以通過SSL在Web上實(shí)現(xiàn)對信用卡訂單的加密，Navigator和Internet Explorer瀏覽器都支持SSL。1997年5月，由Visa、MasterCard等聯(lián)合推出的安全電子交易（SET——Security Electronic Transaction）規(guī)范為在Internet上進(jìn)行安全的電子商務(wù)提供了一個(gè)開放的標(biāo)準(zhǔn)。這個(gè)規(guī)范得到了IBM、Netscape、Microsoft、Oracle， GTE， VeriSign， SAIC， Terisa等公司的支持。SET主要使用電子認(rèn)證技術(shù)，其認(rèn)證過程使用RSA和DES算法，因此，可以為電子支付提供強(qiáng)大的安全保護(hù)。

隨著電子商務(wù)技術(shù)向整個(gè)經(jīng)濟(jì)社會(huì)各個(gè)層次延伸，整個(gè)社會(huì)表現(xiàn)出對Internet、Intranet、Extranet等網(wǎng)絡(luò)更大的依賴性。電子商務(wù)的安全問題更為重要，保證通信的可靠性和敏感信息的安全性，僅僅依靠技術(shù)是遠(yuǎn)遠(yuǎn)不夠的，更需要的是法律意義上的公證和仲裁。但是，現(xiàn)行法律調(diào)整的都是比較傳統(tǒng)的法律關(guān)系，諸如民事關(guān)系、行政關(guān)系以及刑事關(guān)系等，而通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行的各種商務(wù)活動(dòng)正在成為21世紀(jì)信息化社會(huì)貿(mào)易活動(dòng)的主要表現(xiàn)形式，交易方式的日新月異的變化，已經(jīng)打破了有傳統(tǒng)法律來調(diào)整方方面面的社會(huì)關(guān)系所形成的平衡狀態(tài)，出現(xiàn)了許多法律調(diào)控的盲點(diǎn)。那么如何從理論上對它的法律調(diào)控問題進(jìn)行研究，是擺在每位法學(xué)工作者面前的一個(gè)重要課題，也是值得全社會(huì)關(guān)注的問題。

參考文獻(xiàn)：

[1]肖德琴:電子商務(wù)安全保密技術(shù)與應(yīng)用[M].廣州.華南理工大學(xué)出版社.2003

[2]陳兵:網(wǎng)絡(luò)安全與電子商務(wù)[M].北京.北京大學(xué)出版社.2002

[3]馮矢勇:電子商務(wù)安全[M].北京.電子工業(yè)出版社.2002