史晶娜

[摘要]隨著電子商務(wù)發(fā)展，電子商務(wù)逐漸變成中國(guó)經(jīng)濟(jì)活動(dòng)之一。電子商務(wù)安全問題不僅涉及到信息安全問題，還涉及到國(guó)家的經(jīng)濟(jì)安全、金融安全。本文在明確企業(yè)電子商務(wù)的安全問題和要求下，研究具體安全策略并應(yīng)用與電子商務(wù)上。

[關(guān)鍵詞]電子商務(wù)；安全問題；策略研究

伴隨著互聯(lián)網(wǎng)的快速發(fā)展，電子商務(wù)的廣闊前景吸引了全球的關(guān)注，電子商務(wù)的網(wǎng)絡(luò)效應(yīng)優(yōu)勢(shì)也更加突出。作為發(fā)展中國(guó)家的中國(guó)，在互聯(lián)網(wǎng)發(fā)展方面與發(fā)達(dá)國(guó)家的差距較小，為中國(guó)實(shí)現(xiàn)超越式發(fā)展提供了契機(jī)。中國(guó)電子商務(wù)的發(fā)展環(huán)境不斷得到改善，但電子商務(wù)的安全問題是制約我國(guó)電子商務(wù)實(shí)現(xiàn)跨越式發(fā)展的瓶頸問題。

一、電子商務(wù)安全問題及要求

所謂電子商務(wù)安全是指綜合運(yùn)用各種安全技術(shù)和設(shè)施保護(hù)電子商務(wù)中交易各方的安全，保證商務(wù)活動(dòng)順利進(jìn)行。人們從面對(duì)面的交易作業(yè)變成虛擬的網(wǎng)上互不見面的操作，沒有國(guó)界、沒有時(shí)間限制，可以充分利用互聯(lián)網(wǎng)工具和資源的同時(shí)，也可以進(jìn)行攻擊和破壞。

常見的電子商務(wù)安全問題包括：

1.在網(wǎng)絡(luò)的傳輸過程中信息被截獲

攻擊者可以通過因特網(wǎng)、公用電話網(wǎng)、搭線等截獲傳輸?shù)臋C(jī)密信息，或通過對(duì)信息流量和流向、通信頻度和長(zhǎng)度參數(shù)的分析，推斷出有用信息、如銀行賬號(hào)密碼等。

2.傳輸?shù)奈募粣阂獯鄹?/p>

攻擊者可以通過篡改、刪除和插入三方面來破壞信息的完整性。

3.假冒他人身份

主要包括冒充他人身份，如冒充上級(jí)發(fā)布指令；冒充他人消費(fèi)，栽贓；冒充主機(jī)欺騙合法主機(jī)及合法用戶；接管合法用戶，欺騙系統(tǒng)，占用合法用戶的資源等。

4.抵賴交易信息

主要表現(xiàn)在收（發(fā)）信者時(shí)候否認(rèn)曾經(jīng)接收（發(fā)送）過某些信息；購買者不承認(rèn)確定了訂貨單；商家違約等。

針對(duì)以上安全問題，為了保證交易各方的合法權(quán)益，電子商務(wù)安全必須滿足5項(xiàng)基本要求，即授權(quán)合法性、不可抵賴性、保密性、身份的真實(shí)性與信息的完整性。

二、企業(yè)電子商務(wù)安全策略

要保護(hù)自己的電子商務(wù)資產(chǎn)，所有的組織都要有一個(gè)明確的安全策略，即明確描述對(duì)所需保護(hù)的資產(chǎn)、保護(hù)的原因、誰負(fù)責(zé)保護(hù)、哪些行為可接受、哪些行為不可接收的書面描述。安全策略一般要陳述物理安全、網(wǎng)絡(luò)安全、訪問授權(quán)、病毒保護(hù)、災(zāi)難恢復(fù)等內(nèi)容，該策略不是一成不變的，公司的安全負(fù)責(zé)人員必須定期修改安全策略。

雖然現(xiàn)實(shí)中沒有絕對(duì)的安全，但企業(yè)可以構(gòu)造一道屏障來阻止絕大多數(shù)的威脅和侵害。制定全面的安全策略必須包含對(duì)安全問題的多方面考慮因素。安全策略一般包括以下內(nèi)容：

認(rèn)證：誰想訪問企業(yè)的電子商務(wù)網(wǎng)站？

訪問控制：允許誰登錄電子商務(wù)網(wǎng)站并訪問它？

保密：誰有權(quán)利查看特定的信息？

數(shù)據(jù)完整性：允許誰修改數(shù)據(jù)，不允許誰修改數(shù)據(jù)？

審計(jì)跟蹤：在何時(shí)由何人導(dǎo)致了何事？

三、完善的企業(yè)電子商務(wù)安全體系策略綜合應(yīng)用

企業(yè)的電子商務(wù)安全實(shí)際上關(guān)注的是內(nèi)容按照從客戶機(jī)到電子商務(wù)服務(wù)器的交易處理鏈進(jìn)行組織，因此這條鏈條上必須保護(hù)的資產(chǎn)包括客戶機(jī)、從通信信道上傳輸?shù)男畔?、服?wù)器。

1.客戶機(jī)的安全

客戶機(jī)應(yīng)該不受載入軟件和數(shù)據(jù)的安全威脅，尤其是注意以動(dòng)態(tài)網(wǎng)頁形式從網(wǎng)上傳來的活動(dòng)內(nèi)容所帶來的安全威脅?？蛻魴C(jī)面臨的另一種威脅是偽裝成合法網(wǎng)站的服務(wù)器。用戶和客戶機(jī)受騙向非法網(wǎng)站提供敏感信息的案例很多。

在客戶機(jī)的安全方面最需關(guān)注的是網(wǎng)頁竊聽器，網(wǎng)頁上會(huì)有某些廣告主（從第三方服務(wù)器）發(fā)出的圖片，但是圖片小得肉眼看不見。當(dāng)網(wǎng)絡(luò)訪問者載入此頁面時(shí)，網(wǎng)頁竊聽器也從第三方網(wǎng)站發(fā)來，在訪問者的計(jì)算機(jī)里放置一個(gè)小程序，以跟蹤和偷窺客戶機(jī)的上網(wǎng)行為等內(nèi)容。

2.通信信道的安全

互聯(lián)網(wǎng)發(fā)展到今天，其不安全狀態(tài)與最初相比沒有太大改觀。在互聯(lián)網(wǎng)上傳遞信息，從起始節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)之間的路徑是隨機(jī)選擇的，每次所用的路徑都可以不同。由于用戶根本無法控制傳輸路徑，也不知道信息包經(jīng)過的節(jié)點(diǎn)，所以某個(gè)中間節(jié)點(diǎn)都可能會(huì)讀取信息、加以篡改或偽造信息。在互聯(lián)網(wǎng)上傳遞信息都會(huì)受到對(duì)安全、完整和亟需的侵犯。主要解決方法是使用電子商務(wù)安全中的加密技術(shù)，包括各種加密算法、數(shù)字簽名和安全協(xié)議等。

3.服務(wù)器的安全

對(duì)于企圖破壞或非法獲取信息的人來說，企業(yè)的服務(wù)器有很多弱點(diǎn)可被利用。其中一個(gè)入口是WWW服務(wù)器及其軟件，其他入口包括任何有數(shù)據(jù)的后臺(tái)程序，如數(shù)據(jù)庫和數(shù)據(jù)庫服務(wù)器。電子商務(wù)系統(tǒng)以數(shù)據(jù)庫存儲(chǔ)用戶數(shù)據(jù)，并可從WWW服務(wù)器所連的數(shù)據(jù)庫中搜索產(chǎn)品信息。數(shù)據(jù)庫中除了產(chǎn)品信息外，還可能保存有價(jià)值的信息或隱私信息，一旦被更改或泄露則會(huì)給公司帶來無法彌補(bǔ)的損失。數(shù)據(jù)庫的安全是通過權(quán)限實(shí)施的，如果有人得到用戶的認(rèn)證信息，就能偽造成合法的數(shù)據(jù)庫用戶來下載保密的信息?，F(xiàn)在大多數(shù)大型數(shù)據(jù)庫都是用基于用戶名和口令的安全措施，一旦用戶獲準(zhǔn)訪問數(shù)據(jù)庫，就可以查看數(shù)據(jù)庫中的相關(guān)內(nèi)容。其后果是十分嚴(yán)重的。

總之，我國(guó)目前的電子商務(wù)安全形勢(shì)不容樂觀，隨著電子商務(wù)的發(fā)展，將會(huì)有更多的問題出現(xiàn)。我國(guó)企業(yè)應(yīng)重視自身的安全問題，同時(shí)國(guó)家方面也會(huì)加大研發(fā)電子商務(wù)安全技術(shù)，健全電子商務(wù)安全體系，不斷完善電子商務(wù)安全法律法規(guī)，構(gòu)建有中國(guó)特色的電子商務(wù)安全體系，為推動(dòng)我國(guó)電子商務(wù)整體發(fā)展加足馬力，使中國(guó)真正進(jìn)入安全的電子商務(wù)全新時(shí)代。

參考文獻(xiàn)：

[1]沈昌祥,左曉棟.《信息安全》.浙江大學(xué)出版社.2007年10月

[2]肖德琴,周權(quán).《電子商務(wù)安全》.高等教育出版社.2009年9月第1版

[3]楊堅(jiān)爭(zhēng),趙雯,楊立釩.《電子商務(wù)安全與電子支付》.機(jī)械工業(yè)出版社.2007年3月

[4]余瀟楓,潘一禾,王江麗著.《非傳統(tǒng)安全概論》.浙江人民出版社.2006年第1版