淺析電子商務的安全

[摘要] 本文針對電子商務中所出現的安全問題，分析了電子商務中常用的安全技術。

[關鍵詞] 電子商務信息安全信息加密信息認證

隨著Internet的迅猛發展，電子商務作為一種嶄新的商務活動模式受到了全世界、全社會的廣泛關注和吸納。若要電子商務成功且蓬勃地發展，則必須提升消費者對交易可靠性的信心，以及增強網絡對外來非法入侵的防護措施。所以，電子商務安全是目前電子商務發展中，亟待克服且深受矚目的問題。

一、電子商務的安全隱患

一般來說電子商務安全中普遍存在著以下幾種隱患:

1.竊取信息。由于未采用加密措施，數據信息在網絡上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。

2.篡改信息。當入侵者掌握了信息的格式和規律后，通過各種技術手段和方法，將網絡上傳送的信息數據在中途修改，然后再發向目的地。這種方法并不新鮮，在路由器或網關上都可以做此類工作。

3.假冒。由于掌握了數據的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

4.惡意破壞。由于攻擊者可以接入網絡，則可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入網絡內部，其后果是非常嚴重的。

二、電子商務的安全需求

電子商務的安全交易主要保證以下四個方面：

1.信息保密性。交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉，因此在信息傳播中一般均有加密的要求。

2.交易者身份的確定性。網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店是不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。

3.不可否認性。由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環節都必須是不可否認的。

4.不可修改性。交易的文件是不可被修改的，否則也必然會損害一方的商業利益。因此電子交易文件也要能做到不可修改，以保障商務交易的嚴肅和公正。

三、電子商務安全措施

因此要確保交易的安全，必須要有堅固的網絡安全防護措施（如防護墻），以及安全的資訊保密技術（如加密技術、數字簽名及認證）的輔助。

1.網絡安全防范措施。在實施網絡安全防范措施時，首先要加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞；其次要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析，找出可能存在的安全隱患，并及時加以修補；從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權管理和認證；利用RAID5等數據存儲技術加強數據備份和恢復措施；對敏感的設備和數據要建立必要的物理或邏輯隔離措施；對在公共網絡上傳輸的敏感信息要進行強度的數據加密；安裝防病毒軟件，加強內部網的整體防病毒措施；建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

2.加密和密鑰管理技術。加密技術是保證電子商務安全的重要手段。許多密碼算法現已成為網絡安全和商務信息安全的基礎，密碼算法利用密鑰來對敏感信息進行加密，然后把加密好的數據和密鑰通過安全方式發送給接收者，接收者可利用同樣的算法和傳遞來的密鑰對數據進行解密，從而獲取敏感信息，保證了網絡數據的機密性。

3.數字簽名技術。數字簽名可以保證文檔的真實性與完整性，對簽字方進行約束，防止其抵賴行為，并把文檔與簽名同時發送以作為日后查證的依據，數字簽名不僅與簽名者的私有密鑰有關，而且與報文內容相關。

4.認證機構和數字證書。證書機構CA是一個可信的第三方實體，其主要職責是保證用戶的真實性。本質上CA的作用同政府機關的護照頒發機構類似，用于證實公民的正確身份，而網絡用戶的電子身份是由CA來發布的，也就是說他是被CA所信任的，該電子身份就成為數字證書。一個CA系統也可以看成由許多人組成的一個組織，用于指定網絡安全策略，并決定組織中的哪些人可以發給在網絡上使用的電子身份。

5.虛擬專用網（VPN）。這是用于Internet交易的一種專用網絡，它可以在兩個系統之間建立安全的信道（或隧道），用于電子數據交換（EDI）。它與信用卡交易和客戶發送訂單交易不同，因為在VPN中，雙方的數據通信量要大得多，而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術，只要通信的雙方默認即可，沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性，因而能夠保證數據的保密性和可用性。

總之，安全是電子商務存在和發展的靈魂。電子商務的安全問題是多層次、多剖面的，并且始終處于動態發展過程中，其不安全因素是多方面的。一個完善的電子商務系統在保證技術的前提下，還與國家法律政策、誠信等級制度、物流部門密切相關。電子商務是對計算機網絡安全與商務安全的雙重要求，電子商務安全的復雜程度比大多數計算機網絡更高，因此電子商務安全應作為一項工程對待，而不僅僅是一種解決方案。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。