电子商务信息安全研究

摘 要：近年来，随着通讯技术及计算机网络的快速发展，电子商务的规模不断壮大。电子商务低成本、高效率的特性，为商家提供了无限的商机。同时，由于Internet自身的共享性、开放性、无缝性，那么以此为平台的在线商务交易安全也面临着日益严峻的挑战，一些信息有可能会成为非法入侵者的攻击目标，造成隐私泄露、信息篡改等安全问题。本文主要对电子商务信息安全研究国内外情况，信息安全隐患及信息安全管理等问题进行了分析和阐述。

关键词：电子商务；信息安全；计算机网络

1 问题的提出

随着Internet网络技术飞速发展及普及，电子商务（Electronic Commerce，简称EC）已经逐渐成为人们进行商务活动的新模式，越来越多的人通过Internet进行商务活动。电子商务是利用网络技术、计算机技术和通信技术，实现数字化、电子化，商务化，网络化的整个商务过程，它与传统商业活动相比，最大的一个特征就是基于B/S方式下，交易双方在不见面的情况下完成商品贸易活动。

由于Internet自身的共享性、开放性、无缝性，那么以此为平台的在线商务交易安全也面临着日益严峻的挑战。据国家信息中心信息安全研究与服务中心统计，2012年发生了2起源代码被盗事件，2起重大黑客攻击事件，6起信息泄密事件，3起重大漏洞事件。2013年的棱镜门，谷歌抓取支付宝转账信息，酒店开房记录泄露等。据中国互联网产业统计，中国网民在2013年损近1500亿元。对于以上的这些问题，本文将对电子商务信息安全应用进行研究，并提出一些合理的安全解决方法，提高电子商务交易过程中的安全性，降低实施风险。

2 国内外电子商务安全研究现状

2.1 国际电子商务安全研究现状

在电子商务安全研究方面，美国是处于领先地位。美国国家安全局（NSA）在1983年正式颁布“受信计算机系统评量基准”，是目前颇具权威的计算机系统安全标准之一。自“911”恐怖袭击事件之后，美国公司增强了信息技术安全观念，投入大量的经费，同时加强信息技术安全方面的工作。从现在的网络安全研究情况的现实看，解决网络安全问题的根本途径和方向是网络技术创新，即研发新一代网络技术，采取“立体”措施，包括引入“中间件”层及其安全结构，在“网络层”增设面向连接的实时协议、强化整个网络系统的管控智能以及改进终端加密和反黑等措施。

2.2 我国电子商务安全研究现状

国务院在1996年了《中华人民共和国计算机信息网络国际联网管理暂行规定》，公安部在1997年了《计算机信息网络国际联网安全保护管理办法》，2000年由国家信息化推进工作办公室牵头起草的《关于发展我国电子商务的若干意见》上报国家最高决策层进行审议。网络信息安全问题不但得到了政府、企业的高度重视，同时国内的大专院校、研究所和有实力的大公司也纷纷进入网络信息安全问题的研究领域。

3 电子商务信息安全隐患

电子商务的信息存储安全隐患主要包括：（1）内部隐患。主要是网内用户未经许可随意增加、删除、修改或无意或故意地非授权调用电子商务信息。（2）外部隐患。主要是因为软件问题造成外部人员非法闯入内网，造成电子商务信息被增加、删除、修改或调用。

电子商务的信息流动安全隐患主要包括：（1）窃取商业机密。多数电子商务的信息是以明文的方式传输，那么攻击者很容易的对电子商务信息进行监听和截取。（2）攻击商务网站。攻击者通过传播计算机病毒，绕过电子商务网站的防火墙，篡改信息，使其无法正常运转。（3）实施商务诈骗。不法分子通过Internet虚假信息骗取帐号、现金，用户对电子商务产生不信任感，阻碍了电子商务的顺利发展。（4）传播不良信息。不法分子为了达到自己既有目的，在电子商务信息中推送不良信息。

电子商务交易双方的信息安全隐患主要是：（1）商家的信息安全隐患。不法分子冒充合法用户修改商务信息内容，致使电子商务活动中断，造成商家无法从事正常的业务活动。（2）用户的信息安全隐患。不法分子窃用拦截合法用户身份信息，以合法的用户进行电子商务活动，使用户蒙受损失。

4 电子商务信息安全管理

在电子商务活动中，有些信息属于商业秘密，如果失窃，将带来不可估量的损失，因此需有一个能不中断地提供服务及可靠稳定的电子商务平台，任何系统的中断，如软硬件错误，病毒，网络故障等都可能导致电子商务系统不能正常工作，所以电子商务信息的安全管理问题就成了电子商务顺利推进的保障。随着电子商务的深入应用，攻击网络技术和手段不断改进，这就对电子商务信息系统的安全性提出了更高的要求，必须保证外网用户不能对系统构成威胁，所以人们对这些基本技术进行了反复改进以适应更高的安全需求。

4.1 电子商务安全的法制建设及企业内部管理

为了保护用户信息在电子商务活动中不受侵犯，政府应该完善电子商务信息法规，同时，还需制定详尽、具体、具有可操作性的赔偿制度，包括精神赔偿和物质赔偿，为电子商务的发展提供必要的法律保证。

在国内对个人信息安全保护的监管分别由公安部、工业与信息化部等部门管理，多头管理难免会出现监管漏洞。对此可以建议由国安委统一管理，只有权力清晰才能保证监管没有漏洞。

有些安全事件是“祸起萧墙”，这就要求加强企业内部安全管理，培育和加强企业安全意识，通过企业和用户的共同努力来实现。它的基本原则是在系统内发生的所有行为都必须被定义好的，并且符合相应的程序控制要求，所有行为的发生都有审计记录，可以解决许多技术层次解决不了的安全性问题。

4.2 防火墙技术

目前的防火墙分可为两大类，一类是简单的包过滤技术，它是在网络层对数据包实施有选择的通过。依据系统内事先制定好的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址等因素来确定是否允许数据包通过。另一类是应用网管和服务器，其显著的优点是能提供小颗度的存取控制，可针对特别的数据过滤协议和网络应用服务，并且能够对数据包分析并形成相关的报告。通过防火墙技术，可以过滤掉不安全的服务，提高网络安全和减少网络中主机的风险。但防火墙是一种被动安全技术，不能阻止来自内部网络的攻击。唯一的解决办法就是，在每台计算机上都装反病毒软件。

4.3 病毒防范技术

计算机病毒实际上就是在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒绕过系统或违反授权入侵成功后，在系统中植入木马等病毒程序，为以后攻击系统、窃取信息做好准备。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测，工作站上对网络目录及文件设置访问权限等。

现在较流行的反病毒技术基于病毒的特征码扫描法、文件实时监控技术并辅以指令虚拟技术。扫描病毒：分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。该技术实现简单有效，安全彻底。监控病毒：通过利用操作系统底层接口技术，对系统中的指定类型的文件进行实时的行为监控，一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。删除病毒：在删除时采用虚拟技术对变种的病毒进行处理或编写出相应的程序，将病毒移除计算机内存。

4.4 认证技术

安全认证技术主要有：（1）数字摘要技术，也称安全HASH编码法。用于对所要传输的数据进行运算生成信息摘要，它并不是一种加密机制，但能产生信息的数字"指纹"，目的是为了确保数据没有被篡改，从而保证数据的完整性和有效性。（2）数字签名技术，又称电子签章、公钥数字签名。是一种类似写在纸上的普通的物理签名，就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种变换或数据允许数据单元的接收者用以确认完整性和数据单元的来源并保护数据，防止被人伪造。它是对电子形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中发生抵赖。（3）数字证书技术，又称为数字凭证。负责用电子手段来证实用户的身份和对网络资源访问的权限。（4）数字时间戳技术（DTS）。在文件交易中，时间是十分重要的信息，需对文件交易的时间和日期信息采取安全措施，而数字时间戳服务就能提供电子文件交易时间的安全保护。时间戳是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件摘要，DTS的数字签名，DTS收到文件的日期和时间。（5）身份认证实际。是计算机系统通过审查用户身份证明的过程，提供确认和判别用户身份的机制，确定用户是否具有对系统资源操作和访问权限。本质是确认用户身份，用户必须能够证明其身份标识合法性。身份认证技术是访问控制、安全审计、入侵检测等安企机制的基础，在电子商务信息安全理论与技术中占有至关重要的位。目身份认证技术主要有基于口令的认证技术、基于密码学的认证技术、基于智能卡的认证技术以及基于生物学特征的认证技术等。

4.5 安全协议技术

电子商务安全问题的核心是电子交易的安全性，为了彻底解决电子商务的安全机制，人们开发了各种用于加强电子商务安全的协议。当前广泛应用的电子商务安全协议主要有SET协议（Secure Electronic Transaction，安全电子交易）和SSL协议（Secure Sockets Layer，安全套接层），二者都采用了RSA算法加密。

SSL协议提供加密的SSL会话服务、SSL服务器鉴别服务以及SEL客户鉴别服务，实现了浏览器等客户端应用软件与TC/IP协议之间的接口，可以对万维网客户与服务器之间传送的数据信息进行加密和鉴别，在双方握手阶段，对将要使用加密算法和双方共享的会话密朗进行协商，完成客户与服务器之间的鉴别。目前许多运营商利用本身的便利性，使用一些的数据收集工具，分析出客户的需求，并为客户提供同类商品信息，或者是分析其他运营商的数据，产生一种恶性竞争。对于客户来讲，提供相关的其他同类商品的信息，看似是一种个性化的服务，但是同时也是在侵犯用户的隐私，为此在应用层也就客户在浏览网页时，如果客户需要商家提供相关的同类商品的信息时，商家才能对客户的数据进行分析，否则不应任意分析用户的数据。

SET协议是基于应用层的协议，是一种新的电子支付模式，它保证了开放网络上使用信用卡进行在线购物的安全。SET协议具有强大的验证功能，主要是为了解决用户、银行、商家之间通过信用卡的交易而设计的，它具有保证交易数据的完整性，交易的不可抵赖性等优点，因此它成为目前公认的信用卡网上交易的国际标准。

5 结束语

电子商务信息的安全问题是一项复杂的系统工程，随着电子商务的发展，通过各种网络的交易手段也会更加多样化，安全问题变得更加突出。它不仅涉及到动态传输信息及静态存储信息的安全问题，还需要保证电子商务信息安全，加快电子商务的发展。还有在非技术方面，需要完善法律制度、管理制度和诚信制度，促进社会公众商务观念的转变等，营造电子商务信息安全的社会大环境。

[参考文献]

[1]金胜男.电子商务的信息安全技术研究.技术研发，2013年第12期.

[2]孟慧敏.电子商务对国际贸易的影响及应用.电脑知识与技术，2013年2月第9卷第5期.

[3]韩文虹.电子商务中安全技术的应用研究.电子商务，2013年2月.

[4]崔敏.基于电子商务的安全技术讨论.网络安全，2013年7月.

[5]龙爱民.电子商务的信息安全技术分析.信息技术，2013年9月.

[6]牟童.电子商务安全体系结构浅析.电子商务与电子政务，2013年3月.

[7]李玲.电子商务安全问题及防范措施.电子商务，2013年19期.

[8]贾素华.电子商务信息安全风险控制体系.电信工程技术与标准化，2012年第12期.