探析電子商務(wù)的安全問題及其防范

　　摘要： 通過分析電子商務(wù)安全問題產(chǎn)生原因及電子商務(wù)對安全環(huán)境的要求，提出電子商務(wù)的安全防范策略，并對當(dāng)前解決電子商務(wù)安全的主要技術(shù)進(jìn)行了進(jìn)一步的闡述和分析，為建立健全電子商務(wù)安全系統(tǒng)提供技術(shù)性參考。

　　關(guān)鍵詞： 電子商務(wù) 安全技術(shù) 安全協(xié)議

　　電子商務(wù)的發(fā)展已將全球的商務(wù)企業(yè)都推進(jìn)到一場真的商業(yè)革命大潮中，潮起潮落，安全問題是關(guān)鍵。電子商務(wù)系統(tǒng)是活動在Internet平臺上的一個涉及信息、資金和物資交易的綜合交易系統(tǒng)，其安全對象是一個開放的、人在其中頻繁活動的、與社會系統(tǒng)緊密耦合的復(fù)雜系統(tǒng)，它是由商業(yè)組織本身(包括營銷系統(tǒng)、支付系統(tǒng)、配送系統(tǒng)等)與信息技術(shù)系統(tǒng)復(fù)合構(gòu)成的。系統(tǒng)的安全目標(biāo)與安全策略，是由組織的性質(zhì)與需求所決定的。

　　一、電子商務(wù)的安全問題

　　1.電子商務(wù)安全問題的產(chǎn)生。(1)在線交易主體虛擬化帶來的安全問題：在電子商務(wù)環(huán)境下，任何人不經(jīng)登記就可以借助計算機(jī)網(wǎng)絡(luò)發(fā)出或接受網(wǎng)絡(luò)信息，并通過一定程序與其他人達(dá)成交易。虛擬主體的存在使電子商務(wù)交易安全受到嚴(yán)重威脅。(2)虛假信息的發(fā)布帶來的安全問題：當(dāng)用戶以合法身份進(jìn)入系統(tǒng)后，買賣雙方都可能在網(wǎng)絡(luò)上發(fā)布虛假的供求信息，或以過期的信息冒充現(xiàn)在的信息，以騙取對方的錢款或貨物。(3)過低的信用度帶來的安全問題：①低信用度的買方帶來的安全問題：低信用度的買方，可能存惡意透支或使用偽造的信用卡騙取賣方貨物或存在拖延貨款行為，賣方需要為此承擔(dān)風(fēng)險。②低信用度的買方帶來的安全問題：賣方不能按質(zhì)、按量、按時寄送消費(fèi)者購買的貨物，或者不能完全履行與集團(tuán)購買者簽訂的合同，造成買方的風(fēng)險。③低信用度的買賣雙方都存在抵賴的情況。 (4)網(wǎng)絡(luò)欺詐的存在帶來的安全問題：在電子交易活動中頻繁欺詐用戶這是網(wǎng)絡(luò)騙子們常用的騙術(shù)，利用電子商務(wù)進(jìn)行欺詐已經(jīng)成為一種新型犯罪活動，目前這種網(wǎng)上欺詐也已經(jīng)成為國際性的難題。(5)電子合同取代書面合同過程中帶來的安全問題：在在線交易情形下，交易雙方的所有信息都是以電子化的形式存儲于計算機(jī)硬盤或其他電子介質(zhì)中，這些記錄不僅容易被涂擦、刪改、復(fù)制、遺失，而且不能脫離其記錄工具(計算機(jī))而作為證據(jù)獨(dú)立存在。由此而引發(fā)諸多方面的安全問題(6)網(wǎng)上電子支付過程帶來的安全問題：完電子商務(wù)的網(wǎng)上支付通過信用卡支付和虛擬銀行的電子資金劃撥來完成。而實(shí)現(xiàn)這一過程涉及網(wǎng)絡(luò)銀行與網(wǎng)絡(luò)交易客戶之間的協(xié)議、網(wǎng)絡(luò)銀行與網(wǎng)站之間的合作協(xié)議以及安全保障問題。(7)產(chǎn)品交付過程帶來的安全問題：有形貨物的在線交易中物流配送環(huán)節(jié)引發(fā)的一些特殊問題及無形的信息產(chǎn)品在交付中對于其權(quán)利的移轉(zhuǎn)、退貨、交付的完成等帶來的安全問題。(8)網(wǎng)絡(luò)消費(fèi)者維權(quán)時引發(fā)的安全問題：在線市場的虛擬性和開放性以及網(wǎng)上購物的便捷性都使消費(fèi)者保護(hù)成為突出的問題。比如質(zhì)量問題，退賠、修理困難問題等。(9)網(wǎng)絡(luò)惡意攻擊者的破壞活動帶來的安全問題：包括系統(tǒng)穿透、違反授權(quán)原則、植入、通信監(jiān)聽、通信干擾、中斷、拒絕服務(wù)、否認(rèn)等。

　　2.電子商務(wù)對安全環(huán)境的要求。(1)確保信息的安全要求包括有效性、機(jī)密性、完整性、可靠性/不可抵賴性/鑒別等;(2)確保授權(quán)合法性;(3)確保交易者身份的確定性;(4)確保內(nèi)部網(wǎng)的嚴(yán)密性。

　　二、電子商務(wù)的安全防范策略

　　經(jīng)過數(shù)十年的探索，電子商務(wù)安全防范策略從最初的商務(wù)信息保密性發(fā)展到商務(wù)信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻、防、測、控、管、評”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。目前，電子商務(wù)安全領(lǐng)域已經(jīng)形成了9大核心技術(shù)，它們是：密碼技術(shù)、身份驗(yàn)證技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、安全內(nèi)核技術(shù)、網(wǎng)絡(luò)反病毒技術(shù)、信息泄露防治技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)、入侵檢測技術(shù)。

　　1.電子商務(wù)的主要安全技術(shù)。(1)加密技術(shù)。加密技術(shù)解決了傳送信息的保密問題，可分對稱加密和非對稱加密。對稱加密是一種傳統(tǒng)的信息認(rèn)證方法,通過信息交換的雙方共同約定一個口令或一組密碼，建立一個通信雙方共享的密鑰。通信的甲方將要發(fā)送的信息用私鑰加密后傳給乙方，乙方用相同的私鑰解密后獲得甲方傳遞的信息。對稱加密采用的主要加密算法有DES數(shù)據(jù)加密標(biāo)準(zhǔn)、三重DES,IDEA,和AES(高級加密算法)等。其最大優(yōu)勢是加/解密速度快, 適合于對大數(shù)據(jù)量進(jìn)行加密,但密鑰管理困難。非對稱加密又稱公開密鑰加密，它使用一把公開發(fā)布的公開密鑰和一把只能由生成密鑰對的貿(mào)易方掌握的私用密鑰來分別完成加密和解密操作。如貿(mào)易的甲方生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易的方乙使用該密鑰對信息進(jìn)行加密后發(fā)送給甲方;甲方再用自己保存的另一把私用密鑰對加密信息進(jìn)行解密。公鑰密碼技術(shù)是密碼技術(shù)核心，主要采用的算法有RSA算法、DSS/DSA算法和 ECC算法。優(yōu)點(diǎn)是機(jī)制靈活，但加密和解密速度慢。

　　(2)數(shù)字簽名。數(shù)字簽名解決了而防止他人對傳輸?shù)奈募�進(jìn)行破壞，以及如何確定發(fā)信人的身份的問題。數(shù)字簽名與書面文件簽名有相同功效，它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽字的值也將發(fā)生變化，不同的文件將得到不同的數(shù)字簽字。數(shù)字簽名是采用雙重加密的方法，通過流程：A、被發(fā)送文件用 SHA編碼加密產(chǎn)生128 bit的數(shù)字摘要;B、發(fā)送方用自己的私用密鑰對摘要再加密，形成數(shù)字簽名;C、將原文和加密的摘要同時傳給對方;D、對方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產(chǎn)生又一摘要;E、將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要互對比。最終實(shí)現(xiàn)了防偽、防抵賴。

　　(3)數(shù)字時間戳。數(shù)字時間戳服務(wù)提供了對電子文件發(fā)表時間的安全保護(hù)，由專門的機(jī)構(gòu)提供。時間戳是一個經(jīng)加密后形成的憑證文檔，它包括需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數(shù)字簽字三個部分。時間戳形成的流程為:①用戶將需要加時間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS;②DTS在加人了收到文件摘要的日期和時間信息后再對該文件加密(數(shù)字簽名)，然后送回用戶。數(shù)字時間戳是由認(rèn)證單位DTS來加的，以DTS收到文件的時間為依據(jù)。

　　(4)數(shù)字證書。數(shù)字證書是由CA認(rèn)證中心簽發(fā)的，用電子手段來證實(shí)一個用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限的憑證。CA認(rèn)證中心是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。數(shù)字證書為電子簽名相關(guān)各方提供真實(shí)、可靠驗(yàn)證的公眾服務(wù)，解決電子商務(wù)活動中交易參與各方身份、資信的認(rèn)定，維護(hù)交易活動的安全，從根本上保障電子商務(wù)交易活動順利進(jìn)行。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字證書，就可用它來進(jìn)行安全交易操作了。

　　(5)防火墻技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，它可以阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出，是最適合于相對獨(dú)立的與外部網(wǎng)絡(luò)互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對集中的單一網(wǎng)絡(luò)。防火墻有兩個基本準(zhǔn)則:一是未被允許的就是禁止的;二是未被禁止的就是允許的。基于該準(zhǔn)則, 防火墻應(yīng)轉(zhuǎn)發(fā)所有信息流, 然后逐項屏蔽可能有害的服務(wù)。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境, 可為用戶提供更多的服務(wù)。

　　2.電子商務(wù)安全協(xié)議技術(shù)。電子商務(wù)安全協(xié)議主要有：安全套接層協(xié)議SSL和安全電子交易SET協(xié)議。此外，還有PCT(專用通信技術(shù))，它只是對 SSL進(jìn)行少量的改進(jìn)。SSL協(xié)議是向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等的安全措施。它包括 “SSL 記錄協(xié)議”和“ SSL 握手協(xié)議”。該協(xié)議通過在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來實(shí)現(xiàn)有關(guān)安全特性的審查。在SSL握手信息中采用了DES、MDS等加密技術(shù)來實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性，并采用X.509的數(shù)字證書實(shí)現(xiàn)鑒別。SSL協(xié)議已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)而被廣泛應(yīng)用。通常還采用“SSL+表單簽名”的模式使得SSL在電子商務(wù)的應(yīng)用中確保信息的真實(shí)性、完整性和保密性的基礎(chǔ)上進(jìn)一步提高電子商務(wù)的安全保障。

　　SET協(xié)議是Mastercard公司和Visa公司聯(lián)合開發(fā)的一種應(yīng)用于因特網(wǎng)環(huán)境下,以信用卡為基礎(chǔ)的安全電子支付協(xié)議。它可以對交易各方進(jìn)行認(rèn)證,可防止商家欺詐,進(jìn)行安全交易，它給出了一套電子交易的過程規(guī)范而成為目前公認(rèn)的信用卡的網(wǎng)上交易的國際標(biāo)準(zhǔn)。

　　3.構(gòu)建電子商務(wù)安全控制的框架和制訂電子商務(wù)標(biāo)準(zhǔn)及法律法規(guī)。通過安全的控制和電子商務(wù)標(biāo)準(zhǔn)的推行，有利于解決電子商務(wù)的安全性和可靠性問題。

　　電子商務(wù)給企業(yè)、消費(fèi)者和社會所帶來的收益是不可估量的。特別是電子商務(wù)以其高效、低成本的優(yōu)勢，必將成為新興的商業(yè)運(yùn)作模式，推動著全球經(jīng)濟(jì)的快速發(fā)展。而商務(wù)信息的安全問題始終是電子商務(wù)的核心，是阻礙電子商務(wù)廣泛應(yīng)用的最大問題。電子商務(wù)的安全問題是能夠通過綜合運(yùn)用各類電子商務(wù)安全技術(shù)，并不斷改進(jìn)和完善，加之建立健全電子商務(wù)的安全機(jī)制和相應(yīng)的法律法規(guī)，推行電子商務(wù)的國際化標(biāo)準(zhǔn)而得以解決。

【探析電子商務(wù)的安全問題及其防范】相關(guān)文章：

常見護(hù)理安全問題及防范措施06-13

公共建筑安全問題探析03-27

企業(yè)稅務(wù)風(fēng)險及其防范論文12-12

超高速磨削及其優(yōu)勢探析論文01-03

我國移動電子商務(wù)面臨問題探析11-29

如何防范應(yīng)收賬款風(fēng)險及其措施02-21

新時期電子商務(wù)教學(xué)問題探析03-27

探析匿名通信技術(shù)在電子商務(wù)中的應(yīng)用02-26

服裝企業(yè)電子商務(wù)發(fā)展制約因素探析11-17