李　悅，盧　彪

（宿州學(xué)院，安徽 宿州 234000）

網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用

李悅，盧彪

（宿州學(xué)院，安徽 宿州 234000）

電子商務(wù)是一種新的商業(yè)模式，為人類帶來(lái)了巨大的利益。但伴隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)重要問(wèn)題。其中最為關(guān)鍵的是要保證電子商務(wù)的安全性。文章主要介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全以及重要性以及相應(yīng)的防范措施，對(duì)計(jì)算機(jī)安全普及以及對(duì)計(jì)算機(jī)安全等存在的諸多問(wèn)題進(jìn)行了研究。最后對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全保護(hù)中所起的重要作用和影響進(jìn)行了深刻的闡釋和分析。

電子商務(wù)；網(wǎng)絡(luò)安全；信息安全；安全技術(shù)策略

在互聯(lián)網(wǎng)在全球廣泛推廣的時(shí)代潮流中，電子商務(wù)被認(rèn)為是未來(lái)計(jì)算機(jī)產(chǎn)業(yè)最具潛力的創(chuàng)新型增長(zhǎng)元素。但互聯(lián)網(wǎng)憑借其開(kāi)放性、國(guó)際性和自由性在電子商務(wù)應(yīng)用自由的條件中，我們?nèi)匀幻鎸?duì)著當(dāng)下來(lái)自網(wǎng)絡(luò)的各種安全威脅，例如黑客入侵?jǐn)?shù)據(jù)，網(wǎng)絡(luò)盜竊，傳播病毒等，盡管我們廣泛地使用各種復(fù)雜的軟件技術(shù)，防范來(lái)自網(wǎng)絡(luò)上的安全威脅，但是如何確保網(wǎng)絡(luò)信息的安全仍是當(dāng)務(wù)之急。如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，并為信息的傳遞和流通提供充分的保障，從傳統(tǒng)的貿(mào)易方式向電子商務(wù)，正逐步成為影響電子商務(wù)安全健康發(fā)展至關(guān)重要的問(wèn)題。

1　電子商務(wù)中存在的安全問(wèn)題

1.1 網(wǎng)絡(luò)系統(tǒng)內(nèi)部問(wèn)題

系統(tǒng)漏洞對(duì)網(wǎng)絡(luò)安全造成的威脅極為嚴(yán)重，攻擊者一旦獲得一般系統(tǒng)的用戶訪問(wèn)權(quán)限。就可能通過(guò)系統(tǒng)漏洞將自己升級(jí)為系統(tǒng)管理員角色。漏洞之所以出現(xiàn)是因?yàn)槌绦蛟诋a(chǎn)生邏輯關(guān)系中沒(méi)有注意到某些意外的情況。系統(tǒng)中的漏洞會(huì)導(dǎo)致處理程序時(shí)產(chǎn)生問(wèn)題，在這個(gè)過(guò)程中會(huì)有一個(gè)窗口機(jī)會(huì)，攻擊者滲透網(wǎng)絡(luò)的后臺(tái)操作時(shí)間。

移動(dòng)存儲(chǔ)介質(zhì) 可移動(dòng)存儲(chǔ)媒體，因其可移植性、存儲(chǔ)容量大等特點(diǎn)被廣泛應(yīng)用。也正因?yàn)檫@些特點(diǎn)帶來(lái)的安全隱患，會(huì)使多數(shù)涉及密碼介質(zhì)的屬性缺乏身份認(rèn)證、訪問(wèn)控制以及審計(jì)機(jī)制漏洞，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)出現(xiàn)安全風(fēng)險(xiǎn)。

1.2 網(wǎng)絡(luò)系統(tǒng)外部問(wèn)題

1.2.1 黑客攻擊

黑客對(duì)于各種計(jì)算機(jī)應(yīng)用技術(shù)熟練地掌握，并能準(zhǔn)確捕捉計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)存在的漏洞。而漏洞會(huì)成為被黑客攻擊的主要目標(biāo)以及危害計(jì)算機(jī)系統(tǒng)的途徑，對(duì)網(wǎng)絡(luò)系統(tǒng)的安全構(gòu)成很大的威脅。

1.2.2 計(jì)算機(jī)病毒的威脅

計(jì)算機(jī)病毒是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的最大威脅，造成大量的損失。計(jì)算機(jī)病毒直接把計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)列為破壞的對(duì)象。一旦計(jì)算機(jī)被感染了病毒，會(huì)使系統(tǒng)執(zhí)行效率下降，更甚至造成系統(tǒng)毀壞或崩潰，導(dǎo)致部分乃至全部文件數(shù)據(jù)丟失，嚴(yán)重的會(huì)使計(jì)算機(jī)系統(tǒng)硬件設(shè)備損壞。

1.2.3 間諜軟件的威脅

間諜軟件的主要用途不是破壞系統(tǒng)，而是竊取存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)信息。間諜軟件有許多用途，監(jiān)聽(tīng)用戶行為，發(fā)布廣告和篡改系統(tǒng)程序等，挾制關(guān)于用戶的秘密和計(jì)算機(jī)安全性能的信息，并且在一定程度上影響計(jì)算機(jī)系統(tǒng)的性能。

1.3 其他網(wǎng)絡(luò)安全問(wèn)題

一般而言，電子商務(wù)應(yīng)用的影響程度大、發(fā)生率較高的網(wǎng)絡(luò)安全事件有網(wǎng)頁(yè)篡改、網(wǎng)絡(luò)通信安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)蠕蟲(chóng)、計(jì)算機(jī)病毒、網(wǎng)絡(luò)仿冒等，而近年來(lái)網(wǎng)絡(luò)虛假偽造泛濫現(xiàn)象，逐漸成為影響電子商務(wù)成長(zhǎng)的重要威脅之一。

2　電子商務(wù)安全技術(shù)防范策略

2.1 網(wǎng)絡(luò)技術(shù)應(yīng)用

經(jīng)過(guò)數(shù)十年不斷的探索創(chuàng)新，電子商務(wù)安全保護(hù)技術(shù)防范策略開(kāi)始從片面的保密發(fā)展到商務(wù)訊息的完整性、可用性、可控性和不可否認(rèn)性等，進(jìn)而發(fā)展為“攻、防、測(cè)、控、管、評(píng)” 等多個(gè)方面的基礎(chǔ)理論和實(shí)用技術(shù)。如今，電子商務(wù)安全領(lǐng)域已形成十大核心技術(shù)，它們分別是：虛擬專用網(wǎng)技術(shù)、入侵檢測(cè)技術(shù)、數(shù)字信封技術(shù)、防火墻技術(shù)、病毒防范技術(shù)、數(shù)字摘要技術(shù)等。

2.1.1 虛擬專用網(wǎng)（Virtual Private Network，VPN）

VPN技術(shù)由于TCP/IP協(xié)議不安全性，電子商務(wù)安全沒(méi)有有效的認(rèn)證機(jī)制進(jìn)行安全擔(dān)保，無(wú)法保證其真實(shí)性；而由于缺乏保密機(jī)制，無(wú)法使在線數(shù)據(jù)隱私獲得保護(hù)；以及不能對(duì)在線數(shù)據(jù)流完整性提供保護(hù)等方面的問(wèn)題。是以，在電子商務(wù)中通常使用VPN技術(shù)，通過(guò)加密和認(rèn)證網(wǎng)絡(luò)流量，來(lái)保護(hù)私有信息在公共網(wǎng)絡(luò)上傳輸?shù)陌踩槐槐I取或改動(dòng)。對(duì)于用戶來(lái)說(shuō)，就像用他們自己的私有網(wǎng)絡(luò)一樣。

2.1.2 入侵檢測(cè)技術(shù)

可以界說(shuō)為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，對(duì)其進(jìn)行準(zhǔn)確識(shí)別和相應(yīng)處理系統(tǒng)。其中包括系統(tǒng)外部入侵和內(nèi)部用戶未授權(quán)行為，是一種能夠及時(shí)檢測(cè)并且回饋系統(tǒng)中未授權(quán)或者異常現(xiàn)象的為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的技術(shù)，是用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中背離安全策略活動(dòng)的技術(shù)。入侵檢測(cè)軟件和硬件的結(jié)合是入侵檢測(cè)系統(tǒng)。

2.1.3 數(shù)字信封技術(shù)

數(shù)字信封使用單密鑰加密與公開(kāi)密鑰加密相結(jié)合的方法。首先，發(fā)送者使用隨機(jī)產(chǎn)生的對(duì)稱加密信息，然后接受公鑰對(duì)對(duì)稱密碼進(jìn)行加密，稱為數(shù)字信封。如若訊息領(lǐng)受方需要解密信息，首先必需要利用本人的私鑰解密數(shù)字信封獲得對(duì)稱明碼之后使用對(duì)稱加密解密獲得的數(shù)據(jù)，從而確保了數(shù)據(jù)傳輸?shù)恼鎸?shí)性和完整性。

2.1.4 防火墻技術(shù)

防火墻是增強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制的一種技術(shù)，用來(lái)防范外部的網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)轉(zhuǎn)為內(nèi)部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，除了保護(hù)專用網(wǎng)絡(luò)互連設(shè)備的內(nèi)部網(wǎng)絡(luò)運(yùn)行環(huán)境。重要的防火墻技巧包括過(guò)濾、代理服務(wù)、狀態(tài)監(jiān)控等。運(yùn)用在電子商務(wù)上時(shí)，防火墻的重點(diǎn)功能是防止黑客利用不安全的服務(wù)對(duì)傳輸數(shù)據(jù)、信息進(jìn)行攻擊，并且可以對(duì)網(wǎng)絡(luò)實(shí)施檢查和監(jiān)管網(wǎng)絡(luò)的進(jìn)行狀態(tài)。

2.1.5 病毒防范技術(shù)

電子商務(wù)的出現(xiàn)與發(fā)展，既提高了交易的效率，也為計(jì)算機(jī)病毒的傳播創(chuàng)造了條件。對(duì)于計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)信息造成不可估量損失的破壞性和威脅性，加強(qiáng)計(jì)算機(jī)病毒的預(yù)防和控制迫在眉睫。為了防止病毒，可采取下面3個(gè)措施。

（1）安裝防毒殺毒軟件，增強(qiáng)網(wǎng)絡(luò)內(nèi)部的整體防范能力；

（2）加強(qiáng)數(shù)據(jù)備份和恢復(fù)，做到有備無(wú)患；

（3）對(duì)于設(shè)備和敏感數(shù)據(jù)必須建立適當(dāng)?shù)奈锢砘蜻壿嫺綦x措施，夾在萌芽狀態(tài)。

2.1.6 數(shù)字摘要技術(shù)

通過(guò)使用一定的單向散列函數(shù)（HASH）將需要加密的明文“摘要”成固定長(zhǎng)度（128位）的密文。密文具有特定的長(zhǎng)度，與明文是相互對(duì)應(yīng)的，其最突出的優(yōu)勢(shì)在于：對(duì)于HASH操作之后執(zhí)行的任意的x，有唯一的Y值與之相對(duì)應(yīng)；而任何一個(gè)Y值，若是想通過(guò)逆運(yùn)算導(dǎo)出X的值是不可能的。在傳輸信息時(shí)將其并入文件一齊發(fā)給對(duì)方，當(dāng)對(duì)方收到文件之后，使用相同的操作方法進(jìn)行運(yùn)算，如果得到的代碼與發(fā)送的摘要碼相同，則意味著傳輸安全，反之，則說(shuō)明已經(jīng)被改動(dòng)過(guò)。這種安全認(rèn)證技術(shù)在電子商務(wù)領(lǐng)域經(jīng)常使用。

2.2 安全管理過(guò)程監(jiān)督

2.2.1 全過(guò)程的安全管理機(jī)制

網(wǎng)絡(luò)規(guī)劃階段：加強(qiáng)信息安全規(guī)劃建設(shè)和管理。建設(shè)信息安全需要投入一定的人力、物力、財(cái)力，從實(shí)際出發(fā)明確網(wǎng)絡(luò)安全總體大目標(biāo)和階段小目標(biāo)，分階段、有計(jì)劃地逐步實(shí)施，以減少投資失誤造成的危害。

工程建設(shè)階段：匯總安全需求，對(duì)安全性能進(jìn)行測(cè)試，管理機(jī)構(gòu)要將其列入工程建設(shè)各個(gè)階段任務(wù)指標(biāo)，對(duì)開(kāi)發(fā)等人員進(jìn)行合理的控制和管理，加強(qiáng)對(duì)用戶路由、開(kāi)發(fā)環(huán)境、關(guān)鍵代碼的控制與檢查。

運(yùn)行和維護(hù)階段：健全合理的安全管理機(jī)制，明確職責(zé)，簡(jiǎn)優(yōu)流程，實(shí)現(xiàn)高效的管理體制。依據(jù)分級(jí)分層管理的原則，嚴(yán)格管理內(nèi)部用戶名和密碼。首先必須進(jìn)行身份確認(rèn)才能獲得進(jìn)入系統(tǒng)內(nèi)部的權(quán)限，以防有人非法頂替、冒用合法用戶帳號(hào)和密碼；同時(shí)制定完善健全的安全管理機(jī)制，加強(qiáng)對(duì)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)以及應(yīng)用系統(tǒng)運(yùn)行維護(hù)過(guò)程的安全管理。要?jiǎng)?chuàng)建一個(gè)緊急情況下的預(yù)警機(jī)制，建立網(wǎng)絡(luò)安全維護(hù)日志，以便及時(shí)記錄與安全問(wèn)題有關(guān)的信息及事件，進(jìn)行實(shí)時(shí)跟蹤和查詢，定期檢查日志，及時(shí)檢查系統(tǒng)存在的安全性漏洞。

2.2.2 動(dòng)態(tài)的閉環(huán)管理流程

網(wǎng)絡(luò)不斷完善，新漏洞浮出水面，創(chuàng)建閉環(huán)、動(dòng)態(tài)的管理流程極其重要。在安全策略的指導(dǎo)下，安全性的預(yù)評(píng)估算，各測(cè)試工具（如漏洞掃描、入侵檢測(cè)等）的使用，及時(shí)了解各種網(wǎng)絡(luò)安全問(wèn)題和隱患，建立安全發(fā)展規(guī)劃和穩(wěn)打方案，綜合應(yīng)用各種安全防護(hù)產(chǎn)品（如防火墻、身份認(rèn)證等手段），將系統(tǒng)調(diào)整到相對(duì)安全穩(wěn)定的狀態(tài)。主要有以下兩個(gè)方面：

對(duì)企業(yè)而言，信息安全是規(guī)劃核心，因此首先建立準(zhǔn)確而有效的安全策略是必須的。為符合戰(zhàn)略流程、標(biāo)準(zhǔn)、規(guī)章制度、方案和安全建設(shè)規(guī)劃，安全管理組織制定詳細(xì)目標(biāo)，以確保企業(yè)投資和信息資源的安全性發(fā)展，戰(zhàn)略制度在企業(yè)中平穩(wěn)展開(kāi)實(shí)行。

制定符合企業(yè)實(shí)際情況、完整的信息安全策略，首先需要對(duì)企業(yè)信息網(wǎng)絡(luò)的安全狀況（信息資產(chǎn)的管理現(xiàn)狀和安全技術(shù)）進(jìn)行評(píng)估，企業(yè)對(duì)自身的安全威脅有個(gè)全面的了解，以此才能夠制定有針對(duì)性的安全保護(hù)戰(zhàn)略，指導(dǎo)企業(yè)信息安全建設(shè)與管理工作。

3　結(jié)語(yǔ)

我國(guó)的電子商務(wù)事業(yè)最近幾年發(fā)展方興未艾，但相關(guān)的安全保障尚未建立，這嚴(yán)重拖延了我國(guó)電子商務(wù)發(fā)展的腳步。因此，當(dāng)務(wù)之急是加快相關(guān)的電子商務(wù)安全體系的建設(shè)。這將是涉及全社會(huì)的、綜合性的系統(tǒng)的工程。制定和完善關(guān)于電子商務(wù)事業(yè)的法律，促使電子商務(wù)合理化、公開(kāi)化、合法化。另一方面，我們要認(rèn)識(shí)到電子通訊記錄的法律效力，為電商提供法律保障；還需要對(duì)電子簽名等安全技術(shù)的進(jìn)行深入研究，為電商提供技術(shù)方面的保障；除此，盡快搭建電子商務(wù)認(rèn)證體系，組織擔(dān)保機(jī)制也是重要的。雖然我國(guó)在電子商務(wù)安全技術(shù)方面已取得一定的成就，但如果電子商務(wù)想要真正成為一種主流商務(wù)模式，還需在安全技術(shù)上取得新的更大的突破。

本文主要著眼于電子商務(wù)應(yīng)用、社會(huì)進(jìn)程發(fā)展中的主要網(wǎng)絡(luò)安全類型，簡(jiǎn)述部分電商的網(wǎng)絡(luò)安全問(wèn)題，從網(wǎng)絡(luò)應(yīng)急響應(yīng)機(jī)制的作用與意義，國(guó)家關(guān)于其法制建設(shè)的社會(huì)整體氛圍，企業(yè)具體的電商網(wǎng)絡(luò)安全框架等方面，提出了一些建議和思考。

［1］徐淑彩.信息安全與技術(shù)［Z］.連云港：連云港市環(huán)境信息中心，2012.

［2］趙立平.電子商務(wù)概論［M］.上海：復(fù)旦大學(xué)出版社，2009.

［3］鐘誠(chéng).電子商務(wù)安全［M］.重慶：重慶大學(xué)出版社，2002.6

［4］吳洋.電子商務(wù)安全方法研究［D］.天津：天津大學(xué)，2006.

［5］李艷.電子商務(wù)信息安全策略研究［J］.甘肅科技，2005（6）：53-54.

［6］劉麗梅.電子商務(wù)信息安全問(wèn)題探討［J］.物流科技，2007（3）：127-129.

［7］肖德琴.電子商務(wù)安全保密技術(shù)與應(yīng)用［M］.廣州：華南理工大學(xué)出版社，2003.

Application of network security technology in electronic commerce

Li Yue， Lu Biao
（Suzhou University， Suzhou 234000， China）

Electronic commerce is a kind of new business model， which brings great benefits to human beings. However， with the development of Internet， network security has become an important issue. The most important is to ensure the security of electronic commerce. This article mainly introduces the importance of computer network security and corresponding preventive measures， and the popularization of computer security， as well as existing problems of computer security is researched in this paper. In the end， computer network security technology in network security maintenance is explained and analyzed profoundly.

electronic commerce； network security； information security； security technology strategy

李悅（1994— ），女，安徽宿州，本科。