韓昌選 劉俊杰

摘 要：近年來(lái)，隨著通訊技術(shù)及計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，電子商務(wù)的規(guī)模不斷壯大。電子商務(wù)低成本、高效率的特性，為商家提供了無(wú)限的商機(jī)。同時(shí)，由于Internet自身的共享性、開(kāi)放性、無(wú)縫性，那么以此為平臺(tái)的在線(xiàn)商務(wù)交易安全也面臨著日益嚴(yán)峻的挑戰(zhàn)，一些信息有可能會(huì)成為非法入侵者的攻擊目標(biāo)，造成隱私泄露、信息篡改等安全問(wèn)題。本文主要對(duì)電子商務(wù)信息安全研究國(guó)內(nèi)外情況，信息安全隱患及信息安全管理等問(wèn)題進(jìn)行了分析和闡述。

關(guān)鍵詞：電子商務(wù)；信息安全；計(jì)算機(jī)網(wǎng)絡(luò)

1 問(wèn)題的提出

隨著Internet網(wǎng)絡(luò)技術(shù)飛速發(fā)展及普及，電子商務(wù)（Electronic Commerce，簡(jiǎn)稱(chēng)EC）已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式，越來(lái)越多的人通過(guò)Internet進(jìn)行商務(wù)活動(dòng)。電子商務(wù)是利用網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)和通信技術(shù)，實(shí)現(xiàn)數(shù)字化、電子化，商務(wù)化，網(wǎng)絡(luò)化的整個(gè)商務(wù)過(guò)程，它與傳統(tǒng)商業(yè)活動(dòng)相比，最大的一個(gè)特征就是基于B/S方式下，交易雙方在不見(jiàn)面的情況下完成商品貿(mào)易活動(dòng)。

由于Internet自身的共享性、開(kāi)放性、無(wú)縫性，那么以此為平臺(tái)的在線(xiàn)商務(wù)交易安全也面臨著日益嚴(yán)峻的挑戰(zhàn)。據(jù)國(guó)家信息中心信息安全研究與服務(wù)中心統(tǒng)計(jì)，2012年發(fā)生了2起源代碼被盜事件，2起重大黑客攻擊事件，6起信息泄密事件，3起重大漏洞事件。2013年的棱鏡門(mén)，谷歌抓取支付寶轉(zhuǎn)賬信息，酒店開(kāi)房記錄泄露等。據(jù)中國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)統(tǒng)計(jì)，中國(guó)網(wǎng)民在2013年損近1500億元。對(duì)于以上的這些問(wèn)題，本文將對(duì)電子商務(wù)信息安全應(yīng)用進(jìn)行研究，并提出一些合理的安全解決方法，提高電子商務(wù)交易過(guò)程中的安全性，降低實(shí)施風(fēng)險(xiǎn)。

2 國(guó)內(nèi)外電子商務(wù)安全研究現(xiàn)狀

2.1 國(guó)際電子商務(wù)安全研究現(xiàn)狀

在電子商務(wù)安全研究方面，美國(guó)是處于領(lǐng)先地位。美國(guó)國(guó)家安全局（NSA）在1983年正式頒布“受信計(jì)算機(jī)系統(tǒng)評(píng)量基準(zhǔn)”，是目前頗具權(quán)威的計(jì)算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)之一。自“911”恐怖襲擊事件之后，美國(guó)公司增強(qiáng)了信息技術(shù)安全觀(guān)念，投入大量的經(jīng)費(fèi)，同時(shí)加強(qiáng)信息技術(shù)安全方面的工作。從現(xiàn)在的網(wǎng)絡(luò)安全研究情況的現(xiàn)實(shí)看，解決網(wǎng)絡(luò)安全問(wèn)題的根本途徑和方向是網(wǎng)絡(luò)技術(shù)創(chuàng)新，即研發(fā)新一代網(wǎng)絡(luò)技術(shù)，采取“立體”措施，包括引入“中間件”層及其安全結(jié)構(gòu)，在“網(wǎng)絡(luò)層”增設(shè)面向連接的實(shí)時(shí)協(xié)議、強(qiáng)化整個(gè)網(wǎng)絡(luò)系統(tǒng)的管控智能以及改進(jìn)終端加密和反黑等措施。

2.2 我國(guó)電子商務(wù)安全研究現(xiàn)狀

國(guó)務(wù)院在1996年發(fā)布了《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》，公安部在1997年發(fā)布了《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》，2000年由國(guó)家信息化推進(jìn)工作辦公室牽頭起草的《關(guān)于發(fā)展我國(guó)電子商務(wù)的若干意見(jiàn)》上報(bào)國(guó)家最高決策層進(jìn)行審議。網(wǎng)絡(luò)信息安全問(wèn)題不但得到了政府、企業(yè)的高度重視，同時(shí)國(guó)內(nèi)的大專(zhuān)院校、研究所和有實(shí)力的大公司也紛紛進(jìn)入網(wǎng)絡(luò)信息安全問(wèn)題的研究領(lǐng)域。

3 電子商務(wù)信息安全隱患

電子商務(wù)的信息存儲(chǔ)安全隱患主要包括：（1）內(nèi)部隱患。主要是網(wǎng)內(nèi)用戶(hù)未經(jīng)許可隨意增加、刪除、修改或無(wú)意或故意地非授權(quán)調(diào)用電子商務(wù)信息。（2）外部隱患。主要是因?yàn)檐浖?wèn)題造成外部人員非法闖入內(nèi)網(wǎng)，造成電子商務(wù)信息被增加、刪除、修改或調(diào)用。

電子商務(wù)的信息流動(dòng)安全隱患主要包括：（1）竊取商業(yè)機(jī)密。多數(shù)電子商務(wù)的信息是以明文的方式傳輸，那么攻擊者很容易的對(duì)電子商務(wù)信息進(jìn)行監(jiān)聽(tīng)和截取。（2）攻擊商務(wù)網(wǎng)站。攻擊者通過(guò)傳播計(jì)算機(jī)病毒，繞過(guò)電子商務(wù)網(wǎng)站的防火墻，篡改信息，使其無(wú)法正常運(yùn)轉(zhuǎn)。（3）實(shí)施商務(wù)詐騙。不法分子通過(guò)Internet發(fā)布虛假信息騙取帳號(hào)、現(xiàn)金，用戶(hù)對(duì)電子商務(wù)產(chǎn)生不信任感，阻礙了電子商務(wù)的順利發(fā)展。（4）傳播不良信息。不法分子為了達(dá)到自己既有目的，在電子商務(wù)信息中推送不良信息。

電子商務(wù)交易雙方的信息安全隱患主要是：（1）商家的信息安全隱患。不法分子冒充合法用戶(hù)修改商務(wù)信息內(nèi)容，致使電子商務(wù)活動(dòng)中斷，造成商家無(wú)法從事正常的業(yè)務(wù)活動(dòng)。（2）用戶(hù)的信息安全隱患。不法分子竊用攔截合法用戶(hù)身份信息，以合法的用戶(hù)進(jìn)行電子商務(wù)活動(dòng)，使用戶(hù)蒙受損失。

4 電子商務(wù)信息安全管理

在電子商務(wù)活動(dòng)中，有些信息屬于商業(yè)秘密，如果失竊，將帶來(lái)不可估量的損失，因此需有一個(gè)能不中斷地提供服務(wù)及可靠穩(wěn)定的電子商務(wù)平臺(tái)，任何系統(tǒng)的中斷，如軟硬件錯(cuò)誤，病毒，網(wǎng)絡(luò)故障等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，所以電子商務(wù)信息的安全管理問(wèn)題就成了電子商務(wù)順利推進(jìn)的保障。隨著電子商務(wù)的深入應(yīng)用，攻擊網(wǎng)絡(luò)技術(shù)和手段不斷改進(jìn)，這就對(duì)電子商務(wù)信息系統(tǒng)的安全性提出了更高的要求，必須保證外網(wǎng)用戶(hù)不能對(duì)系統(tǒng)構(gòu)成威脅，所以人們對(duì)這些基本技術(shù)進(jìn)行了反復(fù)改進(jìn)以適應(yīng)更高的安全需求。

4.1 電子商務(wù)安全的法制建設(shè)及企業(yè)內(nèi)部管理

為了保護(hù)用戶(hù)信息在電子商務(wù)活動(dòng)中不受侵犯，政府應(yīng)該完善電子商務(wù)信息法規(guī)，同時(shí)，還需制定詳盡、具體、具有可操作性的賠償制度，包括精神賠償和物質(zhì)賠償，為電子商務(wù)的發(fā)展提供必要的法律保證。

在國(guó)內(nèi)對(duì)個(gè)人信息安全保護(hù)的監(jiān)管分別由公安部、工業(yè)與信息化部等部門(mén)管理，多頭管理難免會(huì)出現(xiàn)監(jiān)管漏洞。對(duì)此可以建議由國(guó)安委統(tǒng)一管理，只有權(quán)力清晰才能保證監(jiān)管沒(méi)有漏洞。

有些安全事件是“禍起蕭墻”，這就要求加強(qiáng)企業(yè)內(nèi)部安全管理，培育和加強(qiáng)企業(yè)安全意識(shí)，通過(guò)企業(yè)和用戶(hù)的共同努力來(lái)實(shí)現(xiàn)。它的基本原則是在系統(tǒng)內(nèi)發(fā)生的所有行為都必須被定義好的，并且符合相應(yīng)的程序控制要求，所有行為的發(fā)生都有審計(jì)記錄，可以解決許多技術(shù)層次解決不了的安全性問(wèn)題。

4.2 防火墻技術(shù)

目前的防火墻分可為兩大類(lèi)，一類(lèi)是簡(jiǎn)單的包過(guò)濾技術(shù)，它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。依據(jù)系統(tǒng)內(nèi)事先制定好的過(guò)濾邏輯，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò)。另一類(lèi)是應(yīng)用網(wǎng)管和代理服務(wù)器，其顯著的優(yōu)點(diǎn)是能提供小顆度的存取控制，可針對(duì)特別的數(shù)據(jù)過(guò)濾協(xié)議和網(wǎng)絡(luò)應(yīng)用服務(wù)，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。通過(guò)防火墻技術(shù)，可以過(guò)濾掉不安全的服務(wù)，提高網(wǎng)絡(luò)安全和減少網(wǎng)絡(luò)中主機(jī)的風(fēng)險(xiǎn)。但防火墻是一種被動(dòng)安全技術(shù)，不能阻止來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊。唯一的解決辦法就是，在每臺(tái)計(jì)算機(jī)上都裝反病毒軟件。

4.3 病毒防范技術(shù)

計(jì)算機(jī)病毒實(shí)際上就是在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒繞過(guò)系統(tǒng)或違反授權(quán)入侵成功后，在系統(tǒng)中植入木馬等病毒程序，為以后攻擊系統(tǒng)、竊取信息做好準(zhǔn)備。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測(cè)，工作站上對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪(fǎng)問(wèn)權(quán)限等。

現(xiàn)在較流行的反病毒技術(shù)基于病毒的特征碼掃描法、文件實(shí)時(shí)監(jiān)控技術(shù)并輔以指令虛擬技術(shù)。掃描病毒：分析出病毒的特征病毒碼并集中存放于病毒代碼庫(kù)文件中，在掃描時(shí)將掃描對(duì)象與特征代碼庫(kù)比較，如有吻合則判斷為染上病毒。該技術(shù)實(shí)現(xiàn)簡(jiǎn)單有效，安全徹底。監(jiān)控病毒：通過(guò)利用操作系統(tǒng)底層接口技術(shù)，對(duì)系統(tǒng)中的指定類(lèi)型的文件進(jìn)行實(shí)時(shí)的行為監(jiān)控，一旦有病毒傳染或發(fā)作時(shí)就及時(shí)報(bào)警。從而實(shí)現(xiàn)了對(duì)病毒的實(shí)時(shí)、永久、自動(dòng)監(jiān)控。刪除病毒：在刪除時(shí)采用虛擬技術(shù)對(duì)變種的病毒進(jìn)行處理或編寫(xiě)出相應(yīng)的程序，將病毒移除計(jì)算機(jī)內(nèi)存。

4.4 認(rèn)證技術(shù)

安全認(rèn)證技術(shù)主要有：（1）數(shù)字摘要技術(shù)，也稱(chēng)安全HASH編碼法。用于對(duì)所要傳輸?shù)臄?shù)據(jù)進(jìn)行運(yùn)算生成信息摘要，它并不是一種加密機(jī)制，但能產(chǎn)生信息的數(shù)字"指紋"，目的是為了確保數(shù)據(jù)沒(méi)有被篡改，從而保證數(shù)據(jù)的完整性和有效性。（2）數(shù)字簽名技術(shù)，又稱(chēng)電子簽章、公鑰數(shù)字簽名。是一種類(lèi)似寫(xiě)在紙上的普通的物理簽名，就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種變換或數(shù)據(jù)允許數(shù)據(jù)單元的接收者用以確認(rèn)完整性和數(shù)據(jù)單元的來(lái)源并保護(hù)數(shù)據(jù)，防止被人偽造。它是對(duì)電子形式的消息進(jìn)行簽名的一種方法，一個(gè)簽名消息能在一個(gè)通信網(wǎng)絡(luò)中傳輸。主要功能是保證信息傳輸?shù)耐暾?、發(fā)送者的身份認(rèn)證、防止交易中發(fā)生抵賴(lài)。（3）數(shù)字證書(shū)技術(shù)，又稱(chēng)為數(shù)字憑證。負(fù)責(zé)用電子手段來(lái)證實(shí)用戶(hù)的身份和對(duì)網(wǎng)絡(luò)資源訪(fǎng)問(wèn)的權(quán)限。（4）數(shù)字時(shí)間戳技術(shù)（DTS）。在文件交易中，時(shí)間是十分重要的信息，需對(duì)文件交易的時(shí)間和日期信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)就能提供電子文件交易時(shí)間的安全保護(hù)。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：需加時(shí)間戳的文件摘要，DTS的數(shù)字簽名，DTS收到文件的日期和時(shí)間。（5）身份認(rèn)證實(shí)際。是計(jì)算機(jī)系統(tǒng)通過(guò)審查用戶(hù)身份證明的過(guò)程，提供確認(rèn)和判別用戶(hù)身份的機(jī)制，確定用戶(hù)是否具有對(duì)系統(tǒng)資源操作和訪(fǎng)問(wèn)權(quán)限。本質(zhì)是確認(rèn)用戶(hù)身份，用戶(hù)必須能夠證明其身份標(biāo)識(shí)合法性。身份認(rèn)證技術(shù)是訪(fǎng)問(wèn)控制、安全審計(jì)、入侵檢測(cè)等安企機(jī)制的基礎(chǔ)，在電子商務(wù)信息安全理論與技術(shù)中占有至關(guān)重要的位。目身份認(rèn)證技術(shù)主要有基于口令的認(rèn)證技術(shù)、基于密碼學(xué)的認(rèn)證技術(shù)、基于智能卡的認(rèn)證技術(shù)以及基于生物學(xué)特征的認(rèn)證技術(shù)等。

4.5 安全協(xié)議技術(shù)

電子商務(wù)安全問(wèn)題的核心是電子交易的安全性，為了徹底解決電子商務(wù)的安全機(jī)制，人們開(kāi)發(fā)了各種用于加強(qiáng)電子商務(wù)安全的協(xié)議。當(dāng)前廣泛應(yīng)用的電子商務(wù)安全協(xié)議主要有SET協(xié)議（Secure Electronic Transaction，安全電子交易）和SSL協(xié)議（Secure Sockets Layer，安全套接層），二者都采用了RSA算法加密。

SSL協(xié)議提供加密的SSL會(huì)話(huà)服務(wù)、SSL服務(wù)器鑒別服務(wù)以及SEL客戶(hù)鑒別服務(wù)，實(shí)現(xiàn)了瀏覽器等客戶(hù)端應(yīng)用軟件與TC/IP協(xié)議之間的接口，可以對(duì)萬(wàn)維網(wǎng)客戶(hù)與服務(wù)器之間傳送的數(shù)據(jù)信息進(jìn)行加密和鑒別，在雙方握手階段，對(duì)將要使用加密算法和雙方共享的會(huì)話(huà)密朗進(jìn)行協(xié)商，完成客戶(hù)與服務(wù)器之間的鑒別。目前許多運(yùn)營(yíng)商利用本身的便利性，使用一些的數(shù)據(jù)收集工具，分析出客戶(hù)的需求，并為客戶(hù)提供同類(lèi)商品信息，或者是分析其他運(yùn)營(yíng)商的數(shù)據(jù)，產(chǎn)生一種惡性競(jìng)爭(zhēng)。對(duì)于客戶(hù)來(lái)講，提供相關(guān)的其他同類(lèi)商品的信息，看似是一種個(gè)性化的服務(wù)，但是同時(shí)也是在侵犯用戶(hù)的隱私，為此在應(yīng)用層也就客戶(hù)在瀏覽網(wǎng)頁(yè)時(shí)，如果客戶(hù)需要商家提供相關(guān)的同類(lèi)商品的信息時(shí)，商家才能對(duì)客戶(hù)的數(shù)據(jù)進(jìn)行分析，否則不應(yīng)任意分析用戶(hù)的數(shù)據(jù)。

SET協(xié)議是基于應(yīng)用層的協(xié)議，是一種新的電子支付模式，它保證了開(kāi)放網(wǎng)絡(luò)上使用信用卡進(jìn)行在線(xiàn)購(gòu)物的安全。SET協(xié)議具有強(qiáng)大的驗(yàn)證功能，主要是為了解決用戶(hù)、銀行、商家之間通過(guò)信用卡的交易而設(shè)計(jì)的，它具有保證交易數(shù)據(jù)的完整性，交易的不可抵賴(lài)性等優(yōu)點(diǎn)，因此它成為目前公認(rèn)的信用卡網(wǎng)上交易的國(guó)際標(biāo)準(zhǔn)。

5 結(jié)束語(yǔ)

電子商務(wù)信息的安全問(wèn)題是一項(xiàng)復(fù)雜的系統(tǒng)工程，隨著電子商務(wù)的發(fā)展，通過(guò)各種網(wǎng)絡(luò)的交易手段也會(huì)更加多樣化，安全問(wèn)題變得更加突出。它不僅涉及到動(dòng)態(tài)傳輸信息及靜態(tài)存儲(chǔ)信息的安全問(wèn)題，還需要保證電子商務(wù)信息安全，加快電子商務(wù)的發(fā)展。還有在非技術(shù)方面，需要完善法律制度、管理制度和誠(chéng)信制度，促進(jìn)社會(huì)公眾商務(wù)觀(guān)念的轉(zhuǎn)變等，營(yíng)造電子商務(wù)信息安全的社會(huì)大環(huán)境。

[參考文獻(xiàn)]

[1]金勝男.電子商務(wù)的信息安全技術(shù)研究.技術(shù)研發(fā)，2013年第12期.

[2]孟慧敏.電子商務(wù)對(duì)國(guó)際貿(mào)易的影響及應(yīng)用.電腦知識(shí)與技術(shù)，2013年2月第9卷第5期.

[3]韓文虹.電子商務(wù)中安全技術(shù)的應(yīng)用研究.電子商務(wù)，2013年2月.

[4]崔敏.基于電子商務(wù)的安全技術(shù)討論.網(wǎng)絡(luò)安全，2013年7月.

[5]龍愛(ài)民.電子商務(wù)的信息安全技術(shù)分析.信息技術(shù)，2013年9月.

[6]牟童.電子商務(wù)安全體系結(jié)構(gòu)淺析.電子商務(wù)與電子政務(wù)，2013年3月.

[7]李玲.電子商務(wù)安全問(wèn)題及防范措施.電子商務(wù)，2013年19期.

[8]賈素華.電子商務(wù)信息安全風(fēng)險(xiǎn)控制體系.電信工程技術(shù)與標(biāo)準(zhǔn)化，2012年第12期.