探析电子商务中的网络安全问题

电子商务的一个重要技术特征是利用计算机网络来传输和处理商业信息，如果计算机网络的安全得不到保障，何谈电子商务交易的安全。

电子商务的安全问题，基本上可以分为两大部分，即计算机网络安全和商务交易安全。计算机网络安全包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题。因此，计算机网络安全技术在电子商务的运营过程中就起到的至关重要的作用。

一、电子商务目前存在的网络安全问题

电子商务随着计算机网络技术的发展而诞生。其各方面的技术本身还不很完善。综合分析，在商务活动中还存在很多安全隐患。

(一)传输线路安全与质量问题

从安全的角度来说，没有绝对安全的通信线路。同时，无论采用何种传输线路，当线路的通信质量不好时，将直接影响连网效果，严重的时候甚至导致网络中断，这就会严重地危害通信数据的完整性。

(二)网络协议安全问题

目前，TCPfIP协议是应用最广泛的网络协议，但由于TCP/IP本身的开放性特点，企业和用户在电子交易过程中的数据是以数据包的形式来传送的，恶意攻击者很容易对某个电子商务网站展开数据包拦截，甚至对数据包进行修改和假冒。

(三)用户信息安全问题

目前电子商务最主要的形式就是电子商务网站，用户通过浏览器登录到电子商务网站进行交易，由于用户在登录时使用的可能是公共计算机，如网吧、办公室的计算机等情况，那么如果这些计算机中有恶意木马程序或病毒，这些用户的登录信息如用户名、口令可能会有丢失的危险。

(四)电子商务网站的安全问题

有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患，服务器操作系统本身也会有漏洞，不法攻击者如果进入电子商务网站，大量用户信息及交易信息将被窃取，给企业和用户造成难以估量的损失。

二、电子商务网络安全性要求

电子商务目前存在的网络安全问题导致了对电子商务安全的需求，在计算机网络安全的基础上实现电子商务信息的保密性、交易信息的完整性和一致性、交易者身份的真实性和不可伪装性、交易的不可抵赖性是电子商务交易过程中的网络安全性要求。

(一)交易信息的保密性要求

电子商务系统应对用户所传送的信息进行有效的加密，交易中的商务信息代表着个人、集体或国家的商业机密，交易信息一旦泄露，将直接影响到双方的利益。如信用卡的账号和用户名等不能被他人知悉，因此在信息传播中要防止因信息被截取破译，同时要防止信息被越权访问。

(二)交易信息的完整性要求

信息完整性是指在数据处理过程中，原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正，交易的文件是不可被修改的，否则必然会损害一方的商业利益。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复。

(三)交易双方身份认证的要求

电子商务系统应提供安全有效的身份认证机制，确保交易双方的信息都是合法有效的，以免发生交易纠纷时提供法律依据。

(四)交易的不可抵赖性要求

不可抵赖性是防止发送方或接收方抵赖所传输的消息的一种安全服务。交易一旦达成是不能被否认的，否则必然会给另一方带来损失。因此必须确保通信或交易双方无法对已进行的业务进行否认。

三、电子商务中的几种网络安全防范技术

(一)防火墙技术

在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离Internet与被保护网的连接，同时不会妨碍被保护网对因特网的访问。防火墙可以监控进出网络的数据，仅让安全、核准后的数据进入，抵制对局域网构成威胁的数据。

防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。还可以将防火墙配置成许多不同保护级别，用户能够根据具体需要选择相应的保护级别。

目前，防火墙技术是电子商务网络安全防范技术中最常用的一种，技术发展较为成熟，对于已知的攻击模式有很好的防御作用。防火墙能极大地提高一个内部网络的安全性，防止企业内部的商务信息外泄。防火墙还能够提供身份认证和审计功能，对参与电子商务活动的人员提供认证服务，防止被骗。因此，防火墙是建立商务信息安全传输和交换的基石，对电子商务以及网络经济的发展起着推波助澜的作用。

(二)入侵检测系统

为了保护电子商务网站的信息安全，电子商务服务器一般采用多种安全策略和安全保护手段，但大多数都是以静态防护为主，以防火墙为主的静态防护已经不能满足现在的要求，在网络服务器中应用入侵检测系统是一种增强系统安全的有效方法，能帮助系统管理员进行安全管理或对系统所受到的攻击采取相应的对策。入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它是继防火墙之后的第二道安全门，具有很好的主动性和实时性，是自动检测入侵行为的良好工具和手段。

入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。现在的电子商务网站通常将防火墙和入侵检测这两种技术结合起来使用，当入侵检测系统发现异常流量会立即报告防火墙，防火墙可以切断其相应连接，这样以来就起到了双重保护的作用。

(三)虚拟专用网技术

虚拟专用网是指通过一个公用网络(通常是Internet)建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道。它可以实现不同网络的组件和资源之间的相互连接。并给用户提供与专用网络一样的安全和功能保障。

通常，虚拟专用网是对企业内部网的扩展，通过它可以帮助远程用户，企业分支机构，商业伙伴及供应商和企业的内部网络建立可信的安全连接，并保证数据的安全传输。一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。还可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

(四)加密技术

在进行电子商务交易时，由于信息在传输过程中有可能遭到窃听而失去机密性，因此交易双方可以利用技术手段把重要的数据变为乱码(加密)传送到目的地后再用相同或不同的手段还原，保证了网络数据的机密性，这种技术手段称为加密技术。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。

加密技术的应用是多方面的，但最为广泛的还是在电子商务中的应用。电子商务要求顾客可以在网上进行各种商务活动，不必担心自己的信用卡会被人盗用。现在人们开始用RSA(一种公开/私有密钥)的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。

(五)数字签名

数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。

在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。例如：由于数字签名具有不可伪造的特性，可以用于厂家给贵重商品提供防伪标识；还可以用于对数字产品进行保护和认证；电子商务活动过程中的电子支付、开发票、签订电子合同等环节都能用到数字签名。

(六)安全应用协议

安全应用协议包括：安全超文本传输协议、安全套接层协议、安全交易技术协议和安全电子交易协议。这些协议能够保障电子商务交易信息传输的安全性，提高安全控制能力，保证数据报文传输的完整性，为电子支付提供了强大的安全保护。