鮑曉娟,曹樹偉

（赤峰學(xué)院 遠(yuǎn)程教育學(xué)院，內(nèi)蒙古 赤峰 024000）

電子商務(wù)網(wǎng)絡(luò)安全問題淺析

鮑曉娟,曹樹偉

（赤峰學(xué)院 遠(yuǎn)程教育學(xué)院，內(nèi)蒙古 赤峰 024000）

隨著Internet使用人數(shù)的增加，利用Internet進(jìn)行網(wǎng)絡(luò)購物并以銀行卡付款的消費(fèi)方式已日漸流行，市場(chǎng)份額也在迅速增長(zhǎng)，電子商務(wù)網(wǎng)站也層出不窮，但是這個(gè)剛剛新興起的商業(yè)模式在網(wǎng)絡(luò)安全性方面仍然存在不少問題.在電子商務(wù)中，安全性是一個(gè)至關(guān)重要的核心問題，它要求網(wǎng)絡(luò)能提供一種端到端的安全解決方案，如加密機(jī)制、簽名機(jī)制、安全管理、存取控制、防火墻、防病毒保護(hù)等等，這與傳統(tǒng)的商務(wù)活動(dòng)有著很大的不同.確保交易安全，為個(gè)人保密，成為當(dāng)前電子商務(wù)發(fā)展的最需解決的問題.

電子商務(wù)；安全；數(shù)字認(rèn)證；加密

伴隨著計(jì)算機(jī)科學(xué)及網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)和商業(yè)相結(jié)合的產(chǎn)物——電子商務(wù)于1994年提出.電子商務(wù)作為Internet環(huán)境下的一種新型的商業(yè)運(yùn)營(yíng)模式，是市場(chǎng)經(jīng)濟(jì)條件下最具發(fā)展?jié)撃艿氖袌?chǎng)交易方式.全球金融業(yè)以不可逆轉(zhuǎn)的趨勢(shì)向網(wǎng)絡(luò)化、電子化、全球化和一體化方面發(fā)展，我國(guó)電子商務(wù)網(wǎng)絡(luò)的發(fā)展也正方興未艾，越來越多的金融交易都是在利用互聯(lián)網(wǎng)開展.但是，計(jì)算機(jī)網(wǎng)技術(shù)的不斷發(fā)展，黑客以及惡意軟件的肆意流行，使之電子商務(wù)的軟肋——電子商務(wù)的網(wǎng)絡(luò)安全性凸顯為亟待解決的核心問題，電子商務(wù)的網(wǎng)絡(luò)安全也成為了保證電子商務(wù)交易成功的關(guān)鍵.

就在用戶身份、交易可靠性越來越令人擔(dān)憂，電子商務(wù)網(wǎng)絡(luò)安全問題凸顯的同時(shí)，人們開始更多地關(guān)心數(shù)字認(rèn)證和對(duì)加密算法的控制.這兩個(gè)因素從最大程度上保證了電子商務(wù)中信息的有效性、機(jī)密性、完整性、可靠性、不可抵賴性、可鑒別性，從而將敏感信息泄漏的危害盡可能地降低.

1 電子商務(wù)網(wǎng)絡(luò)安全的發(fā)展現(xiàn)狀

1.1 電子商務(wù)的概念

電子商務(wù)（E-Business,E-Comerce,E-Trade）從英文的字面意思上看就是利用現(xiàn)在先進(jìn)的電子技術(shù)從事各種商業(yè)活動(dòng)的方式.

電子商務(wù)是利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù)，實(shí)現(xiàn)電子化、數(shù)字化和網(wǎng)絡(luò)化的整個(gè)商務(wù)過程.電子商務(wù)涵蓋的范圍很廣，一般可分為企業(yè)對(duì)企業(yè) （Business-to-Business），企業(yè)對(duì)消費(fèi)者（Business-to-Consumer），個(gè)人對(duì)消費(fèi)者（Consumerto-Consumer），企業(yè)對(duì)政府（Business-to-Government）等 4種模式.

1.2 電子商務(wù)網(wǎng)絡(luò)安全的現(xiàn)狀

于計(jì)算機(jī)信息有共享和易于擴(kuò)散等特性,它在處理、存儲(chǔ)、傳輸和使用上有著嚴(yán)重的脆弱性,很容易被干擾、濫用、遺漏和丟失,甚至被泄露、竊取、篡改、冒充和破壞,還可能受到計(jì)算機(jī)病毒感染.幾乎所有的網(wǎng)站在建站開始及發(fā)展過程中,都似乎朝向便利性、實(shí)用性目標(biāo),往往忽略網(wǎng)絡(luò)安全環(huán)節(jié),給網(wǎng)絡(luò)發(fā)展埋下了深深的隱患.據(jù)公安部的資料,利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行的各類違法行為在中國(guó)正以每年30%的速度遞增.黑客的攻擊方法已超過計(jì)算機(jī)病毒的種類,總數(shù)達(dá)近千種.目前已發(fā)現(xiàn)的黑客攻擊案約占安全事件總數(shù)的15%,多數(shù)事件由于沒有造成嚴(yán)重危害或商家不愿透露而未被曝光.有媒介報(bào)道,中國(guó)95%的與Internet相連的網(wǎng)絡(luò)管理中心遭到過境內(nèi)外黑客的攻擊或侵入,其中,銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn),金融領(lǐng)域的黑客犯罪案件涉案金額已高達(dá)數(shù)億元.故隨著電子商務(wù)日益普及,網(wǎng)絡(luò)安全問題顯得異常突出,解決安全問題已成為我國(guó)電子商務(wù)正常發(fā)展的當(dāng)務(wù)之急.

2 電子商務(wù)網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)

2.1 技術(shù)選擇風(fēng)險(xiǎn)

為了支撐網(wǎng)上業(yè)務(wù)的電子商務(wù)網(wǎng)站，必須選擇一種技術(shù)解決方案，這樣就產(chǎn)生了所選擇的技術(shù)方案在設(shè)計(jì)上可能出現(xiàn)的缺陷或被錯(cuò)誤操作的風(fēng)險(xiǎn).例如，在客戶信息的傳輸中，如果使用的系統(tǒng)與客戶終端的軟件互相不兼容，就可能導(dǎo)致傳輸中斷或速度降低.

2.2 系統(tǒng)安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境下，商家需要利用網(wǎng)絡(luò)優(yōu)勢(shì)發(fā)展網(wǎng)絡(luò)金融，網(wǎng)絡(luò)金融是基于全球電子信息系統(tǒng)運(yùn)行的金融服務(wù)形式，硬件及軟件等出現(xiàn)的故障或事故會(huì)引發(fā)新形式的風(fēng)險(xiǎn).例如，由于應(yīng)用軟件在研制過程中考慮不周或在編制程序時(shí)不夠嚴(yán)密導(dǎo)致應(yīng)用軟件本身設(shè)計(jì)不完全，或未經(jīng)全面測(cè)試就投入使用，導(dǎo)致出現(xiàn)應(yīng)用系統(tǒng)在超級(jí)用戶下運(yùn)行、文件權(quán)限設(shè)置不正確、業(yè)務(wù)數(shù)據(jù)以明碼形式存放、容錯(cuò)能力差、自我防御能力差等缺陷，系統(tǒng)在運(yùn)行過程中往往會(huì)出現(xiàn)賬務(wù)錯(cuò)亂、數(shù)據(jù)信息受損，更有甚者導(dǎo)致整個(gè)系統(tǒng)崩潰.

2.3 網(wǎng)絡(luò)黑客攻擊風(fēng)險(xiǎn)

網(wǎng)絡(luò)經(jīng)濟(jì)條件下，電子商務(wù)網(wǎng)絡(luò)安全進(jìn)行網(wǎng)絡(luò)金融交易必須依靠計(jì)算機(jī)，依靠Internet，所有的交易資料都存儲(chǔ)在計(jì)算機(jī)上，通過互聯(lián)網(wǎng)傳遞的信息很容易成為眾多網(wǎng)絡(luò)黑客的攻擊目標(biāo).黑客針對(duì)Internet自身的一些缺陷，利用高超的技術(shù)和工具破壞網(wǎng)上數(shù)據(jù)，給進(jìn)行電子交易的商家造成極大的危害.

2.4 病毒破壞風(fēng)險(xiǎn)

現(xiàn)階段計(jì)算機(jī)病毒越來越多，病毒的入侵往往造成網(wǎng)絡(luò)主機(jī)系統(tǒng)崩潰，帶來數(shù)據(jù)丟失等嚴(yán)重后果.計(jì)算機(jī)病毒普遍具有再生異化功能，可通過網(wǎng)絡(luò)進(jìn)行擴(kuò)散、傳播.如不能對(duì)病毒進(jìn)行有效防范，將會(huì)毀壞所有數(shù)據(jù)，給商家網(wǎng)絡(luò)系統(tǒng)帶來致命威脅.

3 電子商務(wù)網(wǎng)絡(luò)安全問題產(chǎn)生的原因

3.1 自身的原因

商家運(yùn)用現(xiàn)代通信、電子、軟件技術(shù)發(fā)展網(wǎng)絡(luò)金融，在很大程度上依賴于網(wǎng)絡(luò)的穩(wěn)定性.另外，我國(guó)商家運(yùn)用網(wǎng)絡(luò)開展金融業(yè)務(wù)，還缺乏經(jīng)驗(yàn)，操作不當(dāng)會(huì)引起客戶對(duì)商家的網(wǎng)上服務(wù)不滿.作為網(wǎng)上商家識(shí)別用戶身份的一個(gè)重要手段，數(shù)字證書的作用、正確的使用方法首先應(yīng)該清楚地向用戶說明.在實(shí)際使用過程中，大多數(shù)網(wǎng)上商家已經(jīng)提供了數(shù)字證書的使用，但事實(shí)上大多數(shù)用戶很難了解具有相當(dāng)技術(shù)含量的數(shù)字證書的完整含義.

3.2 網(wǎng)絡(luò)系統(tǒng)方面的原因

從技術(shù)角度來分析，如何通過網(wǎng)絡(luò)真實(shí)表達(dá)交易雙方的意愿，即如何確保數(shù)據(jù)的真實(shí)性、保密性和可靠性是網(wǎng)絡(luò)金融面臨的主要問題.而網(wǎng)絡(luò)本身的脆弱行和隱秘性又使得商家在處理網(wǎng)上安全問題時(shí)更加棘手.

3.3 法律方面的原因

網(wǎng)絡(luò)商家在現(xiàn)在來說還是一個(gè)新事物，它的發(fā)展還需要國(guó)家的新商業(yè)法律法規(guī)的保護(hù).它先進(jìn)的信息技術(shù)也要一系列的法規(guī)相配套.但是我國(guó)的金融立法工作相對(duì)滯后，網(wǎng)絡(luò)金融立法還處于醞釀和發(fā)展中.目前，網(wǎng)絡(luò)商家采用的規(guī)則都是協(xié)議，出現(xiàn)爭(zhēng)端時(shí)責(zé)任的認(rèn)定、承擔(dān)、仲裁結(jié)果執(zhí)行等復(fù)雜的法律關(guān)系問題是現(xiàn)有條件下難以解決的.隨著網(wǎng)絡(luò)商家的發(fā)展，各商家、高科技商家勢(shì)必為爭(zhēng)奪市場(chǎng)和客戶展開激烈競(jìng)爭(zhēng).針對(duì)目前網(wǎng)絡(luò)金融活動(dòng)中出現(xiàn)的問題，借鑒先進(jìn)國(guó)家的經(jīng)驗(yàn)，建立相關(guān)的法律，以規(guī)范網(wǎng)絡(luò)金融參與者的行為,及時(shí)出臺(tái)相應(yīng)的法律是非常必要的,加快電子商務(wù)和網(wǎng)絡(luò)商家的立法進(jìn)程.

4 當(dāng)前電子商務(wù)網(wǎng)絡(luò)安全的防范措施和解決方法

目前國(guó)際通行的做法是采用CA安全認(rèn)證系統(tǒng).CA是Certificate Authority的縮寫，是證書授權(quán)的意思.在電子商務(wù)系統(tǒng)中，所有實(shí)體的證書都是由證書授權(quán)中心即CA中心分發(fā)并簽名的.一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整、合理的CA體系.

CA安全認(rèn)證與基于RSA的非對(duì)稱密鑰加密構(gòu)成了PK體系的核心.PKI（Pubic Key Infrastructure）是一種構(gòu)建于非對(duì)稱密鑰算法基礎(chǔ)上，利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范，是目前比較成熟、完善的Internet網(wǎng)絡(luò)安全解決方案.

安全認(rèn)證的主要作用是進(jìn)行信息認(rèn)證.信息認(rèn)證的目的有兩個(gè)：確認(rèn)信息發(fā)送者的身份；驗(yàn)證信息的完整性，即確認(rèn)信息在傳送或存儲(chǔ)過程中末被篡改過.常用的安全認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等.

4.1 數(shù)字簽名

數(shù)字簽名是通過密碼技術(shù)對(duì)電子文檔以電子形式簽名.數(shù)字簽名采用Hash函數(shù)和公鑰算法兩種機(jī)制雙重加密的方法來實(shí)現(xiàn)防偽、防盜,保證了數(shù)據(jù)完整性的同時(shí)又保證了數(shù)據(jù)的真實(shí)性，其完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改，真實(shí)性則保證是由確定的合法者產(chǎn)生的Hash，而不是由其他人假冒.

數(shù)字簽名機(jī)制提供了一種鑒別方法，普遍用于商家、電子貿(mào)易等，以解決偽造、抵賴、冒充、篡改等問題數(shù)字簽名是通過密碼技術(shù)對(duì)電子文檔以電子形式簽名.

4.2 數(shù)字證書

所謂數(shù)字證書，就是用電子手段來證實(shí)一個(gè)用戶的身份及用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限.數(shù)字證書是認(rèn)證中心為交易各方頒發(fā)的身份憑證，它是一個(gè)經(jīng)CA數(shù)字簽名的、包含證書申請(qǐng)者（公開密鑰擁有者）個(gè)人信息及其公開密鑰的文件.基于公開密鑰體制（PKI）的數(shù)字證書是用來確認(rèn)安全電子商務(wù)交易雙方身份的工具，由于它由證書管理中心作了數(shù)字簽名，因此任何第三方都無法修改證書的內(nèi)容.任何交易雙方只有申請(qǐng)到相應(yīng)的數(shù)字證書，才能參加安全電子商務(wù)的網(wǎng)上交易.數(shù)字證書一般有四種類型客戶證書、商家證書、網(wǎng)關(guān)證書及CA系統(tǒng)證書.

數(shù)字證書是用戶進(jìn)行電子商務(wù)活動(dòng)的網(wǎng)上身份證.用數(shù)字證書進(jìn)行安全電子郵件的通信，在網(wǎng)上安全傳送電子公文，進(jìn)行網(wǎng)上報(bào)稅.網(wǎng)上申請(qǐng)執(zhí)照等各種事物活動(dòng)，或者進(jìn)行安全的網(wǎng)上購物、網(wǎng)上銷售、網(wǎng)上交費(fèi)等各種貿(mào)易活動(dòng).

4.3 數(shù)字憑證

數(shù)字憑證又稱為數(shù)字證書，是用電子手段來證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問的權(quán)限.在網(wǎng)上的電子交易中,如雙方出示了各自的數(shù)字憑證，并用它來進(jìn)行交易操作，那么雙方都可不必為對(duì)方身份的真?zhèn)螕?dān)心.數(shù)字憑證的內(nèi)部格式是由CCITT X.509國(guó)際標(biāo)準(zhǔn)所規(guī)定的，它包括：憑證擁有者的姓名、憑證擁有者的公共密鑰、公共密鑰的有效期、頒發(fā)數(shù)字憑證的單位、數(shù)字憑證的序列號(hào)（Serial number）.數(shù)字憑證現(xiàn)已經(jīng)應(yīng)用于電子郵件、電子商務(wù)、電子基金轉(zhuǎn)移等各種用途.

4.4 數(shù)字時(shí)間戳

數(shù)字時(shí)間戳服務(wù)（DTS）指能提供電子文件發(fā)表時(shí)間的網(wǎng)絡(luò)安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供.時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：需加時(shí)間戳的文件的摘要、DTS收到文件的日期和時(shí)間，DTS的數(shù)字簽名.

數(shù)字時(shí)間戳產(chǎn)生的過程為：用戶首先將需要加時(shí)間戳的文件用Hash編碼加密形成摘要.然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密 （數(shù)字簽名），然后送回用戶.時(shí)間戳是由認(rèn)證單位DTS來加封的，以DTS收到文件的時(shí)間為依據(jù).因此，時(shí)間戳也可作為科學(xué)家的科學(xué)發(fā)明文獻(xiàn)的時(shí)間認(rèn)證.

4.5 防火墻技術(shù)

電子商務(wù)中的防火墻主要是為了防止黑客利用不安全的服務(wù)對(duì)傳輸數(shù)據(jù)和信息進(jìn)行攻擊，阻止未授權(quán)的用戶對(duì)信息資源的非法訪問，甚至是對(duì)網(wǎng)絡(luò)實(shí)施檢查，決定網(wǎng)絡(luò)之間的通信權(quán)限，監(jiān)視網(wǎng)絡(luò)的狀態(tài).防火墻技術(shù)主要有：包過濾型、代理服務(wù)型、復(fù)合型等三種.

防火墻是建立在通信技術(shù)和信息安全技術(shù)之上，它用于在網(wǎng)絡(luò)之間建立一個(gè)安全屏障，根據(jù)指定的策略對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾、分析和審計(jì)，并對(duì)各種攻擊提供有效的防范.防火墻主要用于Internet連接人和專用網(wǎng)與公用網(wǎng)之間的安全連接.

4.6 聲紋識(shí)別技術(shù)

聲紋識(shí)別又稱說話人識(shí)別，是指通過說話人語音信號(hào)的分析處理，自動(dòng)確認(rèn)說話人是否在所記錄的話者集合當(dāng)中，以進(jìn)一步確認(rèn)說話人的身份.說話人識(shí)別技術(shù)是在提取原始語音信號(hào)中某些特征參數(shù)的基礎(chǔ)上，建立相應(yīng)的參考模版或模型，然后按照一定的判決規(guī)則進(jìn)行識(shí)別，最后完成確認(rèn).這樣，對(duì)于在線支付交易來說，利用聲紋技術(shù)與數(shù)字加密技術(shù)的結(jié)合來進(jìn)行認(rèn)證，能夠使交易的安全性得到更大的提高.

4.7 指紋識(shí)別技術(shù)

指紋識(shí)別技術(shù)是利用人類指紋的特征，通過對(duì)指紋圖案采樣、特征信息提取并與庫存樣本相比較的過程來實(shí)現(xiàn)身份識(shí)別的技術(shù).

電子商務(wù)的發(fā)展網(wǎng)絡(luò)安全問題是首要解決的問題.但是，電子商務(wù)是一種日益廣泛的社會(huì)現(xiàn)象，不但要從社會(huì)角度多方面多層次地去構(gòu)建電子商務(wù)的安全保障體系，更重要地是在技術(shù)方面，設(shè)計(jì)一個(gè)基于各種先進(jìn)的身份認(rèn)證技術(shù)、加密技術(shù)、電子商務(wù)三者相結(jié)合的安全體制，確保電子交易有效、安全地進(jìn)行，必將大大推動(dòng)電子商務(wù)的發(fā)展.

〔1〕張成虎，邱天.電子簽名法對(duì)我國(guó)網(wǎng)上商家的影響及對(duì)策[J].中國(guó)金融電腦，2004.

〔2〕吳亮，張迎春，程旺江.電子商家的資源整合與組織協(xié)調(diào)[J].中國(guó)金融電腦，2004.

〔3〕張卓其，史明坤.網(wǎng)上支付與網(wǎng)上金融服務(wù)[M].東北財(cái)經(jīng)大學(xué)出版社，2008.

〔4〕崔援民.電子商務(wù)[M].經(jīng)濟(jì)管理出版社，2010.

〔5〕薛偉，史達(dá).網(wǎng)絡(luò)安全[M].東北財(cái)經(jīng)大學(xué)出版社，2006.

〔6〕王載新.程序設(shè)計(jì)基礎(chǔ)[M].清華大學(xué)出版社，2004.

TP393.08

A

1673-260X（2012）09-0008-03