[摘要]主要從技術(shù)角度闡述電子商務(wù)信息安全問(wèn)題，詳細(xì)說(shuō)明電子商務(wù)信息存在的問(wèn)題，并提出相應(yīng)的技術(shù)解決方案。

[關(guān)鍵詞]電子商務(wù)信息 安全數(shù)據(jù) 加密網(wǎng)絡(luò)安全

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0320046－01

一、電子商務(wù)信息安全問(wèn)題

由于Internet本身的開(kāi)放性，使電子商務(wù)系統(tǒng)面臨著各種各樣的安全威脅。目前，電子商務(wù)主要存在的安全隱患有以下幾個(gè)方面：

（一）身份冒充問(wèn)題。攻擊者通過(guò)非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進(jìn)行交易，進(jìn)行信息欺詐與信息破壞，從而獲得非法利益。主要表現(xiàn)有：冒充他人身份；冒充他人消費(fèi)、栽贓。

（二）網(wǎng)絡(luò)信息安全問(wèn)題。主要表現(xiàn)在攻擊者在網(wǎng)絡(luò)的傳輸信道上，通過(guò)物理或邏輯的手段，進(jìn)行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過(guò)分析網(wǎng)絡(luò)物理線路傳輸時(shí)的各種特征，截獲機(jī)密信息或有用信息，如消費(fèi)者的賬號(hào)、密碼等。篡改，即改變信息流的次序，更改信息的內(nèi)容；刪除，即刪除某個(gè)信息或信息的某些部分；插入，即在信息中插入一些信息，讓收方讀不懂或接受錯(cuò)誤的信息。

（三）交易雙方抵賴問(wèn)題。某些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。如：發(fā)布者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容；收信者事后否認(rèn)曾經(jīng)收到過(guò)某條信息或內(nèi)容；購(gòu)買者做了訂貨單不承認(rèn)；商家賣出的商品質(zhì)量差但不承認(rèn)原有的交易。在網(wǎng)絡(luò)世界里誰(shuí)為交易雙方的糾紛進(jìn)行公證、仲裁。

（四）計(jì)算機(jī)系統(tǒng)安全問(wèn)題。計(jì)算機(jī)系統(tǒng)是進(jìn)行電子商務(wù)的基本設(shè)備，如果不注意安全問(wèn)題，它一樣會(huì)威脅到電子商務(wù)的信息安全。計(jì)算機(jī)設(shè)備本身存在物理?yè)p壞，數(shù)據(jù)丟失，信息泄露等問(wèn)題。計(jì)算機(jī)系統(tǒng)也經(jīng)常會(huì)遭受非法的入侵攻擊以及計(jì)算機(jī)病毒的破壞。同時(shí)，計(jì)算機(jī)系統(tǒng)存在工作人員管理的問(wèn)題，如果職責(zé)不清，權(quán)限不明同樣會(huì)影響計(jì)算機(jī)系統(tǒng)的安全。

二、電子商務(wù)安全機(jī)制

（一）加密和隱藏機(jī)制。加密使信息改變，攻擊者無(wú)法讀懂信息的內(nèi)容從而保護(hù)信息；而隱藏則是將有用的信息隱藏在其他信息中，使攻擊者無(wú)法發(fā)現(xiàn)，不僅實(shí)現(xiàn)了信息的保密，也保護(hù)了通信本身。

（二）認(rèn)證機(jī)制。網(wǎng)絡(luò)安全的基本機(jī)制，網(wǎng)絡(luò)設(shè)備之間應(yīng)互相認(rèn)證對(duì)方身份，以保證正確的操作權(quán)力賦予和數(shù)據(jù)的存取控制。網(wǎng)絡(luò)也必須認(rèn)證用戶的身份，以保證正確的用戶進(jìn)行正確的操作并進(jìn)行正確的審計(jì)。

（三）審計(jì)機(jī)制。審計(jì)是防止內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ)，通過(guò)對(duì)一些重要的事件進(jìn)行記錄，從而在系統(tǒng)發(fā)現(xiàn)錯(cuò)誤或受到攻擊時(shí)能定位錯(cuò)誤和找到攻擊成功的原因。審計(jì)信息應(yīng)具有防止非法刪除和修改的措施。

（四）完整性保護(hù)機(jī)制。用于防止非法篡改，利用密碼理論的完整性保護(hù)能夠很好地對(duì)付非法篡改。完整性的另一用途是提供不可抵賴服務(wù)，當(dāng)信息源的完整性可以被驗(yàn)證卻無(wú)法模仿時(shí)，收到信息的一方可以認(rèn)定信息的發(fā)送者，數(shù)字簽名就可以提供這種手段。

（五）權(quán)力控制和存取控制機(jī)制。主機(jī)系統(tǒng)必備的安全手段，系統(tǒng)根據(jù)正確的認(rèn)證，賦予某用戶適當(dāng)?shù)牟僮鳈?quán)力，使其不能進(jìn)行越權(quán)的操作。該機(jī)制一般采用角色管理辦法，針對(duì)系統(tǒng)需要定義各種角色，如經(jīng)理、會(huì)計(jì)等，然后對(duì)他們賦予不同的執(zhí)行權(quán)利。

（六）業(yè)務(wù)填充機(jī)制。在業(yè)務(wù)閑時(shí)發(fā)送無(wú)用的隨機(jī)數(shù)據(jù)，增加攻擊者通過(guò)通信流量獲得信息的困難。同時(shí)，也增加了密碼通信的破譯難度。發(fā)送的隨機(jī)數(shù)據(jù)應(yīng)具有良好模擬性能，能夠以假亂真。

三、電子商務(wù)安全關(guān)鍵技術(shù)

安全問(wèn)題是電子商務(wù)的核心，為了滿足安全服務(wù)方面的要求，除了網(wǎng)絡(luò)本身運(yùn)行的安全外，電子商務(wù)系統(tǒng)還必須利用各種安全技術(shù)保證整個(gè)電子商務(wù)過(guò)程的安全與完整，并實(shí)現(xiàn)交易的防抵賴性等，綜合起來(lái)主要有以下幾種技術(shù)：

（一）防火墻技術(shù)?，F(xiàn)有的防火墻技術(shù)包括兩大類：數(shù)據(jù)包過(guò)濾和代理服務(wù)技術(shù)。其中最簡(jiǎn)單和最常用的是包過(guò)濾防火墻，它檢查接受到的每個(gè)數(shù)據(jù)包的頭，以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過(guò)濾，所以可以有效地避免對(duì)其進(jìn)行的有意或無(wú)意的攻擊，從而保證了專用私有網(wǎng)的安全。將包過(guò)濾防火墻與代理服務(wù)器結(jié)合起來(lái)使用是解決網(wǎng)絡(luò)安全問(wèn)題的一種非常有效的策略。防火墻技術(shù)的局限性主要在于：防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊，不能防止網(wǎng)絡(luò)內(nèi)部用戶對(duì)于網(wǎng)絡(luò)的攻擊；防火墻不能保證數(shù)據(jù)的秘密性，也不能保證網(wǎng)絡(luò)不受病毒的攻擊，它只能有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受主動(dòng)攻擊和入侵。

（二）虛擬專網(wǎng)技術(shù)（VPN）。VPN的實(shí)現(xiàn)過(guò)程使用了安全隧道技術(shù)、信息加密技術(shù)、用戶認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)等。VPN具投資小、易管理、適應(yīng)性強(qiáng)等優(yōu)點(diǎn)。VPN可幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)之間建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，以此達(dá)到在公共的Internet上或企業(yè)局域網(wǎng)之間實(shí)現(xiàn)完全的電子交易的目的。

（三）安全認(rèn)證技術(shù)。安全認(rèn)證技術(shù)主要有：（1）數(shù)字摘要技術(shù)，可以驗(yàn)證通過(guò)網(wǎng)絡(luò)傳輸收到的明文是否被篡改，從而保證數(shù)據(jù)的完整性和有效性。（2）數(shù)字簽名技術(shù)，能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可否認(rèn)性，同時(shí)還能阻止偽造簽名。（3）數(shù)字時(shí)間戳技術(shù)，用于提供電子文件發(fā)表時(shí)間的安全保護(hù)。（4）數(shù)字憑證技術(shù)，又稱為數(shù)字證書，負(fù)責(zé)用電子手段來(lái)證實(shí)用戶的身份和對(duì)網(wǎng)絡(luò)資源訪問(wèn)的權(quán)限。

（四）電子商務(wù)安全協(xié)議。不同交易協(xié)議的復(fù)雜性、開(kāi)銷、安全性各不相同，同時(shí)不同的應(yīng)用環(huán)境對(duì)協(xié)議目標(biāo)的要求也不盡相同。目前比較成熟的協(xié)議有：Netbill協(xié)議，是由J.D.Tygar等設(shè)計(jì)和開(kāi)發(fā)的關(guān)于數(shù)字商品的電子商務(wù)協(xié)議，該協(xié)議假定了一個(gè)可信賴的第三方，將商品的傳送和支付鏈接到一個(gè)原子事務(wù)中。

四、結(jié)束語(yǔ)

信息安全是電子商務(wù)發(fā)展的基礎(chǔ)，隨著電子商務(wù)的發(fā)展，通過(guò)各種網(wǎng)絡(luò)的交易手段也會(huì)更加多樣化，安全問(wèn)題變得更加突出。為了解決好這個(gè)問(wèn)題，必須有安全技術(shù)作保障。目前，防火墻技術(shù)、網(wǎng)絡(luò)掃描技術(shù)，數(shù)據(jù)加密技術(shù)和計(jì)算系統(tǒng)安全技術(shù)發(fā)揮著重要的作用，此外，需要完善法律制度、管理制度和誠(chéng)信制度，保證電子商務(wù)信息安全，加快電子商務(wù)的發(fā)展。

作者簡(jiǎn)介：

郭嘉鑫，男，漢族，河南郾城人，武警沈陽(yáng)指揮學(xué)院訓(xùn)練部教育技術(shù)中心。