電子商務安全策略探討

　　[摘要]本文總結了我國電子商務發(fā)展及其信息安全的現狀，在詳細分析了電子商務信息安全的主要威脅因素的基礎上，具體探討了電子商務安全的技術保障機制。

　　[關鍵詞]電子商務，信息安全，網絡安全，交易安全，技術保障

　　作者：姜火文

　　電子商務是利用互聯網絡進行的商務活動。電子商務有多種定義，但內涵大致相同，即電子商務是利用電子數據交換、電子郵件、電子資金轉賬等方式及互聯網的主要技術在個人、企業(yè)和國家之間進行的網上廣告及交易活動，內容包括商品及其訂購信息、資金及其支付信息、安全及其認證信息等方面。信息安全是指利用網絡管理控制和技術措施，防止網絡本身及網上傳輸的信息財產被故意的或偶然的非授權泄漏、更改、破壞，或使網上傳輸的信息被非法系統(tǒng)辨認、控制。電子商務信息安全的具體表現有：竊取商業(yè)機密；泄漏商業(yè)機密；篡改交易信息，破壞信息的真實性和完整性；接收或發(fā)送虛假信息，破壞交易、盜取交易成果；偽造交易信息；非法刪除交易信息；交易信息丟失；病毒破壞；黑客入侵等。隨著互聯網的快速擴張和電子商務的迅猛發(fā)展，電子商務系統(tǒng)的安全性已受到計算機病毒、網絡黑客、計算機系統(tǒng)自身防御性脆弱等方面的嚴峻挑戰(zhàn)。

　　一、我國電子商務發(fā)展及其信息安全現狀

　　我國電子商務始于20上世紀90年代，政府主導相繼實施的“金橋”、“金卡”、“金關”、“金稅”工程大大加快了我國電子商務的發(fā)展步伐。目前，我國電子商務的廣度和深度空前擴展，已經深入國民經濟和日常生活的各個方面。艾瑞市場咨詢公司最新的調查數據顯示：截至2006年底，中國網絡購物市場總用戶數達到4310萬人，B2C和C2C總交易額分別為82億元和230億元。然而，據中國互聯網絡信息中心（CNNIC）的一份最新調研顯示，只有約15%的網民平時有網上購物的習慣，而不選擇網絡購物的原因主要由于對網站不信任、怕受騙，擔心商品質量問題和售后服務，質疑其安全性等。

　　電子商務自從誕生之日起，安全問題就像幽靈一樣如影隨形而至，成為制約其進一步發(fā)展的重要瓶頸。電子商務系統(tǒng)的安全是與計算機安全尤其是計算機網絡安全密切相關的，綜合當前電子商務所面臨的網絡安全現狀不容樂觀。公安部公布了2006年全國信息網絡安全調查結果，結果顯示，半數以上的被調查單位發(fā)生過信息網絡安全事件，病毒或木馬程序感染率達84%，目前，全國已有8成左右的單位安裝了防火墻和病毒查殺系統(tǒng)。對數據統(tǒng)計分析，2005年5月至2006年5月間，有54％的被調查單位發(fā)生過信息網絡安全事件，其中，感染計算機病毒、蠕蟲和木馬程序為84%，遭到端口掃描或網絡攻擊的占36%，垃圾郵件占35%。未修補和防范軟件漏洞仍然是導致安全事件發(fā)生的最突出原因，占發(fā)生安全事件總數的73%。

　　二、電子商務安全威脅的主要方面

　　電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業(yè)信息。因此，從整體而言，電子商務安全有計算機網絡安全和商務交易安全兩個方面。計算機網絡安全是商務交易安全的基礎；商務交易安全是電子商務安全的主要內容。

　　計算機網絡安全的內容主要包括：計算機網絡設備安全、計算機網絡系統(tǒng)安全。網絡設備安全是指保護計算機主機硬件和物理線路的安全，保證其自身的可靠性和為系統(tǒng)提供基本安全前提；設備安全風險來自硬件器件與部件失效、老化、損害，自然雷擊、靜電、電磁場干擾等多方面，有人為因素還有自然災害所引起的故障。例如，2006年12月26日，我國臺灣附近海域發(fā)生強烈地震，造成中美海纜等６條國際海底通信光纜發(fā)生中斷，使附近國家和地區(qū)的國際和地區(qū)性通信受到嚴重影響，給有關企業(yè)和個人造成巨大影響和嚴重經濟損失。網絡系統(tǒng)安全是指保護用戶計算機、網絡服務器等網絡資源上的軟件系統(tǒng)能正常工作，網絡通信及其網絡操作能安全、正常完成。網絡系統(tǒng)安全風險來自系統(tǒng)的結構設計缺陷、網絡安全配置缺陷、系統(tǒng)存在的安全漏洞、惡意的網絡攻擊和病毒侵入等多方面。網絡系統(tǒng)安全是計算機網絡安全的主要方面。計算機網絡安全的特征是針對計算機網絡本身可能存在的安全問題，實施網絡安全增強方案，以保證計算機網絡自身的安全性為目標。

　　商務交易安全是指商務活動在公開網絡上進行時的安全，其實質是在計算機網絡安全的基礎上，保障商務過程順利進行，即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性，核心內容是電子商務信息的安全。一般情況下，我們可以把電子商務安全歸結為電子商務信息的安全。目前，電子商務主要存在的安全威脅有：

　　1.身份仿冒

　　攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，進行信息欺詐與信息破壞，從而獲得非法利益。主要表現有：冒充他人身份、冒充他人消費、栽贓、冒充主機欺騙合法主機及合法用戶、使用欺詐郵件和虛假網頁設計設騙。近年來隨著電子商務、網上結算、網上銀行等業(yè)務在日常生活中的普及，網絡仿冒已經成為電子商務應用的主要威脅之一。

　　2.未經授權的訪問

　　未經授權而不能接入系統(tǒng)的人通過一定手段對認證性進行攻擊，假冒合法人接入系統(tǒng)，實現對文件進行篡改、竊取機密信息、非法使用資源等。一般采取偽裝或利用系統(tǒng)的薄弱環(huán)節(jié)（如繞過檢測控制）、收集情報（如口令）等方式實現。

　　3.服務拒絕

　　攻擊者使合法接入的信息、業(yè)務或其他資源受阻。主要表現為散布虛假資訊，擾亂正常的資訊通道。包括：虛開網站和商店、偽造用戶，對特定計算機大規(guī)模訪問等，使合法用戶不能正常訪問網絡資源，使有嚴格時間要求的服務不能及時得到響應。

　　4.惡意程序侵入

　　任何系統(tǒng)都可能是有漏洞的，漏洞的存在給惡意程序侵入提供了可乘之機。惡意程序是所有含有特殊目的、非法進入計算機系統(tǒng)、并待機運行，能給系統(tǒng)或者網絡帶來嚴重干擾和破壞的程序的總稱。一般可以分為獨立運行類(細菌和蠕蟲)和需要宿主類(病毒和特洛依木馬)。惡意程序是網絡安全的重要天敵，具有防不勝防的重大破壞性。例如：網絡蠕蟲是一種可以不斷復制自己并在網絡中傳播的程序，蠕蟲的不斷蛻變并在網絡上的傳播，可能導致網絡阻塞，致使網絡癱瘓，使各種基于網絡的電子商務等應用系統(tǒng)失效。

　　5.交易抵賴和修改

　　有些用戶企圖對自己在網絡上發(fā)出的有效交易信息刻意抵賴，安全的電子商務系統(tǒng)應該有措施避免交易抵賴。為保證交易雙方的商業(yè)利益、維護交易的嚴肅和公正，電子商務的交易文件也應該是不可修改的。

　　6．其他安全威脅

　　電子商務安全威脅種類繁多、來自各種可能的潛在方面，有蓄意而為的，也有無意造成的，例如電子交易衍生了一系列法律問題：網絡交易糾紛的仲裁、網絡交易契約等問題，急需為電子商務提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導致泄露信息等均可構成不同程度后果的威脅。

　　三、電子商務安全的技術保障機制

　　電子商務安全包括網絡安全和交易安全。因此，電子商務安全技術主要有計算機網絡安全技術和商務交易安全技術兩方面的保障機制。

　　1.計算機網絡安全技術

　　網絡安全技術伴隨著網絡的誕生就出現，如今已出現了日新月異的變化。VPN安全隧道、防火墻和網絡入侵主動監(jiān)測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網絡的整體安全性。目前，主要的網絡安全保障技術有：

　　(1)VPN安全隧道，VPN即虛擬專用網(VirtualPrivateNetwork)，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。VPN架構中采用了多種安全機制，可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。

　　(2)防火墻技術，防火墻是企業(yè)內部網絡和外網之間的一套安全屏障。防火墻能根據企業(yè)的安全政策控制出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。

　　(3)病毒防護和入侵檢測技術，病毒防護技術可降低病毒和惡意代碼攻擊風險，并防止有害軟件通過服務器或網絡執(zhí)行和傳播。入侵檢測系統(tǒng)則能夠幫助網絡系統(tǒng)快速發(fā)現攻擊的發(fā)生，擴展系統(tǒng)管理員的安全管理能力，從而提高信息安全基礎結構的完整性。

　　2.商務交易安全技術

　　商務交易安全是為了實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。它是電子商務交易過程中最核心和最關鍵的安全問題。目前，主要的商務交易安全保障技術有：

　　(1)數據加密技術，加密一般是利用密碼算法把可懂的信息變成不可懂的信息。利用各種復雜的加密算法，通過對網絡中傳輸的信息進行數據加密，用很小的代價即可為信息提供相當大的安全保護。

　　(2)數字簽名技術，數字簽名是通過密碼算法對數據進行加、解密變換實現的。應用廣泛的數字簽名方法主要有三種，即：RSA簽名、DSS簽名和Hash簽名。這三種算法可單獨使用，也可綜合在一起使用。在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中，都要用到數字簽名技術。

　　(3)安全協議技術，使用SET和SSI等安全協議能有效地保障交易安全。SET即安全電子交易（SecureElectronicTransaction）的簡稱，SET提供了消費者、商家和銀行之間的認證，確保了交易數據的安全性、完整可靠性和交易的不可否認性，已成為目前公認的信用卡/借記卡的網上交易的國際安全標準。SSL即安全套接層（SecureSocketsLayer）協議的簡稱，主要用于提高應用程序之間數據的安全系數。

　　四、結束語

　　電子商務的安全威脅既有來自惡意攻擊、防范疏漏，還可能來自管理松散、操作疏忽等方面。因此，保障電子商務安全是一項綜合工程。除了主要從技術上提高防范和保障機制外，還需要單位完善網絡系統(tǒng)管理體制，人員加強信息安全意識。另外，電子商務實踐要求有透明、和諧的交易秩序和環(huán)境保障，為此還需要政府建立和完善相應的法律體系。