探讨电子商务安全技术的解决方案

摘 要：电子商务正在改变着人们生活以及整个社会的发展进程，贸易网络将引起人们对管理模式、工作和生活方式乃至经营管理思维方式的综合革新。电子商务活动的安全问题探讨不仅关系到个人的信息安全，还涉及到国家经济秩序的稳定问题，所以，探讨安全问题是电子商务活动成功与否的关键所在。

关键词：电子商务；安全问题；解决方案

随着信息技术在贸易和商业领域的广泛应用，利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化，已成为各国商务发展的一大趋势。电子商务正在改变着人们生活以及整个社会的发展进程，贸易网络将引起人们对管理模式、工作和生活方式，乃至经营管理思维方式的综合革新。对贸易和商业领域来说，电子商务的发展正在改变着传统的贸易方式，缩减交易程序，提高办事效率，许多网站都提供有“商城”，供网民在网上进行购物，可以说，互联网是电子商务的最佳载体，由于其具有充分开放性、防护不足的特点，使电子商务的安全问题日益严重，建立一套能充分信任的安全保障制度，确保信息的真实性、可靠性和保密性，才能够打消人们对网络的顾虑，放心参与电子商务活动，否则，电子商务的发展将失去其支撑点。

一、电子商务安全构成及要求

互联网上进行电子商务的活动过程：用户通过浏览器发出信息，该消息经过Internet到达Web服务器，再由Web服务器调用CGI等相应程序访问数据库，返回用户请求的消息给Web服务器，最后通过Internet传给用户。在这整个过程中我们可以看到，要实现电子商务的安全，应建立相应的商务活动的信息安全保护措施。

1. 电子商务系统安全构成

（1）系统实体安全。是保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施过程，由环境安全、设备安全、媒体安全三部分组成。

（2）系统运行安全。保障系统功能的安全实现，提供一套安全措施保护信息处理过程的安全，由风险分析、审计跟踪、备份和恢复、应急四个部分组成。

（3）系统信息安全。防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨认、控制，由操作系统安全、数据库安全、网络安全、计算机病毒防护、访问控制、加密、鉴别七个部分组成。

2. 电子商务系统安全需求

针对电子商务的安全问题的构成，只有提供了保密性、完整性、认证性、可控性和不可否认性这五个方面的安全性，才能满足电子商务安全的需求。

（1）保密性。以保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。

（2）完整性。防止信息在传输过程中丢失和重复及非法用户对信息的恶意篡改。

（3）认证性。确保交易信息的真实性和交易双方身份的合法性。

（4）可控性。指保证系统、数据和服务能由合法人员访问。

（5）不可否认性。有效防止通信或交易双方对已进行的业务的否认。

二、电子商务存在的安全技术问题及其产生的原因

在电子商务运作过程中，将面临各种各样的安全问题，分析电子商务的安全问题，就要依据实际考察结果，确定各种可能出现的安全问题，分析其原因和不同程度的危害性，找出电子商务中潜在的安全隐患和安全漏洞，从而有效地运用相关的电子商务安全的技术来加以控制和管理。

1. 电子商务的安全问题

典型的电子商务安全问题包括：安全漏洞、病毒感染、黑客攻击、网络仿冒以及来自其他方面的各种不可预测的风险。

（1）安全漏洞。在近几年来，计算机系统的安全漏洞越来越多。安全漏洞的大量存在，使得目前电子商务的安全形势趋于严峻。例如Windows惊现高危漏洞，新图片病毒能攻击所有用户，该漏洞可能发生在所有的Windows操作系统上，如IE浏览器、Office软件等，在用户浏览特定的JPG格式图片时，会导致缓冲区溢出，进而执行病毒攻击代码，包括格式化硬盘、删除文件等。

（2）病毒感染。我国的计算机病毒感染主要就是蠕虫等病毒在网上的猖獗传播。蠕虫主要是利用系统的漏洞进行自动传播复制，由于其传播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪，这对依赖于网络的电子商务是一个严重的威胁。

（3）黑客攻击。主要表现在网页篡改和僵尸网络两方面。僵尸网络也称Bitnet，Bot是robot的简写，通常是指可以自动地执行定义的功能，可以被预定义的命令控制，具有一定人工智能的程序，它可以通过溢出漏洞攻击、蠕虫邮件、网络共享、口令猜测、p2p软件等途径进入用户主机，一旦用户主机被植入Bot，就主动和互联网上的一台或多台控制节点取得联系，进而自动接收黑客通过这些控制点发送的控制命令，这些受害主机和控制服务器就组成了BotNet。

（4）网络仿冒。在国际上通称为Phishing，在我国也称为网络欺诈、网络仿冒或者是网络钓鱼。它通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息，如银行账户和口令等，甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段给用户计算机植入木马来直接骗取个人信息。

2. 触发电子商务安全问题的原因

从上面的安全问题中我们可以看出，它不是个别的现象，只要有网络的存在，安全问题就不容忽视，它不仅影响了网络的正常运转，还会造成许多直接或间接的经济损失。为了尽可能避免安全损失，首先要了解造成这些问题的症结所在。概括起来有两个方面：先天原因和后天原因。

（1）先天原因。电子商务的实现依赖于网络，没有网络的存在，电子商务无从谈起。但是电子商务却是继网络之后才出现的，是网络发展过程中的产物，所以网络的建立仅考虑了信息的传输这个问题，并没有顾及电子商务安全，这样它的全球性、开放性和共享性就使得电子商务过程中传输的信息安全存在先天不足，黑客们就可以利用公共的网络环境传播各种病毒等。

（2）后天原因。它又可以细分为管理、人和技术三方面。现代化的企业信息建设强调七分管理三分技术，在电子商务安全中也不例外。但是目前从事电子商务的企业多数都欠缺管理，由于拒绝服务攻击在目前还没有十分有效的技术解决方案，所以特别强调安全管理的重要性，但实际上却没有几家网站事先做好了管理。其次，由于目前还缺乏对网络犯罪有效的反击和跟踪手段，黑客对网站恶意攻击同样是威胁电子商务安全的一个原因。大量的网页被篡改事件实际上都是黑客发泄情感的结果。当然有些国家或者企业也会故意攻击网站，触发安全问题来研究新的安全防范措施。很多已经开发出来的软件会存在这样或那样的漏洞，这就给了攻击者可乘之机，通过这些软件漏洞，黑客可以编写代码传播病毒等。同时，软件开发人员为了方便，通常也会在软件里留下“后门”，这也是导致安全问题的一个原因。

三、电子商务安全技术解决方案

针对前面分析的触及电子商务安全问题的后天原因，可采取一定的电子商务的安全防治措施。这些措施包括技术措施和管理措施。

1. 技术措施

（1）信息加密技术。信息加密技术是电子商务安全技术中一个重要的组成部分。数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路――链路加密、节点加密、端――端加密、ATM网络加密和卫星通信加密五种方式。应根据信息系统安全策略来制定保密策略，选择合理、合适的加密方式。另外，随着电子商务的进一步发展，非密码技术如信息隐藏、生物特征、量子密码技术得到了快速发展。

（2）数字签名技术。数字签名技术是为了防止他人对传输的文件进行破坏以及如何确定发信人的身份。在电子商务安全技术中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整、不可否认服务中，都要用到数字签名技术。目前的数字签名是建立在公共密钥体制基础上，RSA签名方法和EIGamal数字签名方法是两种基本的数字签名方法，许多数字签名方法都是基于这两种算法。RSA是可逆的公开密钥加密系统，其数字签名过程中运用了消息的验证模式。而EIGamal是一种非确定性的双钥体制，它对同一消息，由于随机参数选择的不同而有不同的签名。

（3）TCP/IP服务。TCP/IP协议即传输控制/网际协议，以它为基础组建的Internet是目前国际上规模最大的计算机网络，是保证数据完整传输的两个基本的重要协议。以这些协议为基础，TCP/IP提供了一系列标准的服务，包括电子邮件、文件转输、Usenet新闻组、远程终端访问、万维网访问、域名查询等。

（4）防火墙的构造选择。是隔离本地网络与外界网络之间的一道或一组执行策略的防御系统，它作为最成熟、最早产品化的网络安全机制，其最初的设计就是防范外部攻击，改进的防火墙技术更可有效地控制内部和病毒的破坏。在设计防火墙时，必须考虑防火墙的姿态、机构的整体安全策略、费用、基本构件和拓补结构以及维护和管理方案。另外，在选择防火墙的使用时，要考虑诸多原则，包括网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。

2. 管理措施

安全管理措施通常是以制度的形式出现的，即用条文对各项安全要求作出规定。这些制度包括人员管理制度，保密制度，跟踪、审计、稽核制度，系统维护制度，数据备份（容灾）制度，病毒防范制度和应急措施等。

（1）人员管理制度。人是电子商务活动中的主要参与者，对于像网络管理员这样的人员，需要具备相当的职业道德。必须经过严格选拔，认真落实工作责任，并彻底贯彻电子商务安全运作基本原则。

（2）保密制度。从事电子商务工作的企业，内部会涉及很多保密信息，如客户隐私、公司财务状况、密钥等，而每类信息又有不同的安全级别，哪些是可以让客户随意访问的，哪些是公司普通员工可以访问的，哪些又是高级员工才能访问的，这些都应该通过保密制度明确下来。

（3）跟踪、审计、稽核制度。以系统自动生成日志文件的形式来记录系统运行的全过程。审计制度是规定网络审计员应经常对系统的日志文件检查、审核，及时发现异常状况，监控和捕捉各种安全事件，并对系统日志进行保存、维护和管理。稽核制度是指工商管理、银行、税务人员利用计算机及网络系统，借助稽核业务应用软件调阅、查询、审核、判断辖区内电子商务参与单位业务经营活动的合理性、安全性、堵塞漏洞，保证电子商务交易安全，发出相应的警示或作出处理处罚的有关决定的一系列步骤措施。

（4）系统维护制度。包括硬件和软件的日常管理与维护。对于通信线路，一般分为内部线路和租用线路两种，对于内部线路，我们采用结构化布线，而对于租用电信部门的通信线路，企业应记录通信线路的连通情况，一旦故障发生，及时与电信部门联系，以便迅速恢复通信。对于网络设备的维护，我们一般采取在网络设备上安装相应的网管软件，通过这些软件实现自动管理和维护。对于操作系统，通过定期清理日志文件和临时文件、定期整理文件系统、检测服务器上的活动状态和用户注册数、处理运行中的死机情况等来进行维护。而对于应用软件的管理和维护工作，主要是进行版本更新控制。

（5）数据备份（容灾）制度。按照其容灾能力的高低可分为多个层次：从最简单的仅在本地进行磁带备份，到将备份的磁带存储在异地，再建立应用系统实时切换的异地备份系统，恢复时间也可以从几天级到小时级到分钟级、秒级或0数据丢失等。企业应根据自身情况，对不同安全级别的数据制定不同的数据容灾制度。

（6）病毒防范制度。病毒对网络交易的顺利进行和交易数据的妥善保存造成了极大的威胁。从事网上交易的企业和个人都应当建立病毒防范制度，排除病毒的骚扰。一般我们要给自己的计算机安装防病毒软件，认真执行病毒定期清理制度，并设置控制权限，谨慎打开陌生地址的电子邮件，还要高度警惕网络陷阱。

（7）应急措施。在计算机灾难事件发生时，利用应急计划、辅助软件和应急设施，排除灾难和故障，保障计算机信息系统继续运行或紧急恢复正常运行。在启动电子商务业务之初，就必须制订交易安全计划和应急方案，以防万一。

电子商务作为一种全新的业务和服务方式，在为全球用户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本的同时，也把人们引进了安全陷阱。因此，在保证电子商务的正常运作的同时，必须高度重视电子商务活动的安全问题及相应的防治措施和技术。电子商务的安全问题不仅关系到个人的安全还涉及到国家的经济安全、经济秩序稳定问题，而且安全问题也是电子商务成功与否的关键所在。

目前，基于Internet的电子商务还刚刚开始，许多方面都不够完善，并且我国和发达国家之间的差距依然很大，这就要求我们要密切关注电子商务发展的动态，积极研究电子商务中存在的技术问题，把握住这一良好的发展时机。

参考文献：

[1]劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005.

[2]李琪,钟诚.电子商务安全[M].重庆:重庆大学出版社,2004.

[3]李红,梁晋.电子商务技术[M].北京:人民邮电出版社,2001.

（珠海市高级技工学校）