張 崗

貴州廣播電視大學(xué)商貿(mào)學(xué)院

1 電子商務(wù)中存在的兩大類安全問題

1.1 網(wǎng)絡(luò)安全問題

現(xiàn)在隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成了新的安全研究熱點(diǎn)。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲(chǔ)和傳輸?shù)男畔⒌陌踩?。網(wǎng)絡(luò)安全問題是計(jì)算機(jī)系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅，概括來說網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等

1.2 商務(wù)安全問題

商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網(wǎng)上交易日益成為新的商務(wù)模式，基于網(wǎng)絡(luò)資源的電子商務(wù)交易已為大眾接受，人們?cè)谙硎芫W(wǎng)上交易帶來的便捷的同時(shí)，交易的安全性備受關(guān)注，網(wǎng)絡(luò)所固有的開放性與資源共享性導(dǎo)致網(wǎng)上交易的安全性受到嚴(yán)重威脅。所以在電子商務(wù)交易過程中，保證交易數(shù)據(jù)的安全是電子商務(wù)系統(tǒng)的關(guān)鍵。

1.3 目前電子商務(wù)中存在的主要安全問題

(1)對(duì)合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進(jìn)行交易，從而獲得非法利益。

(2)對(duì)信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上，通過物理或邏輯的手段，對(duì)數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽，從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號(hào)，還能以欺騙的手法進(jìn)行產(chǎn)品交易，甚至能洗黑錢。

(3)對(duì)信息的篡改。攻擊者有可能對(duì)網(wǎng)絡(luò)上的信息進(jìn)行截獲后篡改其內(nèi)容，如修改消息次序、時(shí)間，注入偽造消息等，從而使信息失去真實(shí)性和完整性。

(4)拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。

(5)對(duì)發(fā)出的信息予以否認(rèn)。某些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。

2 電子商務(wù)中的主要安全技術(shù)

2.1 電子商務(wù)的安全技術(shù)

從上述電子商務(wù)所面臨的安全問題中我們不難看出，它不僅僅是個(gè)別的現(xiàn)象，只要有網(wǎng)絡(luò)的存在，安全問題就不容忽視。網(wǎng)絡(luò)安全不僅影響了網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行，擾亂了網(wǎng)絡(luò)秩序，還會(huì)造成很多直接或者間接的經(jīng)濟(jì)損失。安全技術(shù)是電子商務(wù)安全體系中的基本策略，是伴隨著安全問題的產(chǎn)生而出現(xiàn)的，安全技術(shù)的出現(xiàn)，在一定程度上加強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性。

2.2 網(wǎng)絡(luò)安全技術(shù)

目前，常用的網(wǎng)絡(luò)安全技術(shù)主要有病毒防范技術(shù)、防火墻技術(shù)和虛擬專用網(wǎng)VPN技術(shù)等。

(1)病毒是一種惡意的計(jì)算機(jī)指令或者計(jì)算機(jī)程序代碼，一般可分為引導(dǎo)區(qū)病毒、可執(zhí)行病毒、宏病毒和郵件病毒等，不同的病毒的危害性也不盡相同。為了防范病毒，可以采用以下的措施：

①安裝防病毒軟件，及時(shí)更新病毒庫，認(rèn)真執(zhí)行病毒定期清理制度，嚴(yán)格設(shè)置文件控制權(quán)限，瀏覽網(wǎng)頁時(shí)高度警惕網(wǎng)絡(luò)陷阱，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的整體防病毒措施；

②加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；

③對(duì)敏感的數(shù)據(jù)和重要的設(shè)備要建立必要的物理或邏輯隔離措施等。

(2)這里所說的防火墻并不是指物理意義上的防火墻，而是指隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御安全系統(tǒng)。它能有效的限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間、或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息的通信，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，并且本身具有較強(qiáng)的抗攻擊能力，是電子商務(wù)安全防護(hù)的基礎(chǔ)設(shè)施。

(3)虛擬專用網(wǎng)絡(luò)(簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。整個(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)上，如異步傳輸模式、幀中繼等邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸，非常適合于電子數(shù)據(jù)交換(EDI)。

2.3 信息安全技術(shù)

(1)數(shù)據(jù)加密技術(shù)是安全技術(shù)的重要組成部分之一

通過對(duì)敏感信息進(jìn)行數(shù)據(jù)加密，以保證電子商務(wù)的保密性、完整性、真實(shí)性和非否認(rèn)服務(wù)。數(shù)據(jù)加密的原理是通過一定的加密算法，將明文轉(zhuǎn)換成為無法理解的密文，阻止非法用戶理解原始數(shù)據(jù)，確保數(shù)據(jù)的保密性。

(2)安全認(rèn)證技術(shù)

1)數(shù)字信封是將對(duì)稱密鑰通過非對(duì)稱加密(即：有公鑰和私鑰兩個(gè))的結(jié)果分發(fā)對(duì)稱密鑰的方法。在數(shù)字信封中，信息發(fā)送方采用對(duì)稱密鑰來加密信息，然后將此對(duì)稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后，將它和信息一起發(fā)送給信息的接收方，信息的接收方先用相應(yīng)的私鑰打開數(shù)字信封，得到對(duì)稱密鑰，然后使用對(duì)稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。

2)數(shù)字簽名

數(shù)字簽名技術(shù)以加密技術(shù)為基礎(chǔ)，其核心是采用加密技術(shù)的加密、解密算法體制來實(shí)現(xiàn)對(duì)報(bào)文的數(shù)字簽名。數(shù)字簽名能實(shí)現(xiàn)以下功能：①接收方能夠證實(shí)發(fā)送方的真實(shí)身份； ②發(fā)送方事后不能否認(rèn)所發(fā)送過的報(bào)文；③接收方或非法者不能偽造、篡改報(bào)文。

3)數(shù)字摘要

數(shù)字摘要就是采用單項(xiàng)Hash函數(shù)將文件中需要加密的明文“摘要”成一串固定長度(128位)的密文，這一串密文又稱為數(shù)字指紋，它有固定的長度，而且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。因此這個(gè)摘要便可以作為驗(yàn)證明文是否真身的指紋了。

3 .電子商務(wù)安全策略

構(gòu)建在各種安全技術(shù)基礎(chǔ)上的企業(yè)網(wǎng)絡(luò)體系可以保障一定程度的防攻擊能力；保障數(shù)據(jù)在傳輸過程中的保密性；保障平臺(tái)在系統(tǒng)級(jí)別操作的安全性；能夠及時(shí)發(fā)現(xiàn)并制止來自網(wǎng)絡(luò)或系統(tǒng)的惡意攻擊。但真正的電子商務(wù)安全不是單純的技術(shù)問題，而是一項(xiàng)復(fù)雜的系統(tǒng)工程，安全體系也不是簡單的安全產(chǎn)品的疊加，它包含了多方面的要素，安全策略只是其中之一。

結(jié)語

電子商務(wù)安全技術(shù)并不限于以上所提到的，還有很多其他措施，如物理安全措施、入侵檢測(cè)、防病毒技術(shù)、虛擬專用網(wǎng)(VPN)等。實(shí)際應(yīng)用中常將各種技術(shù)結(jié)合起來使用，以最大限度地提高電子交易的安全性。

[1]吳洋：電子商務(wù)安全方法研究[D].天津大學(xué)，2006

[2]陳克非：信息安全技術(shù)導(dǎo)輪[M].北京：電子工業(yè)出版社，2007.1