電子商務(wù)安全問題及對(duì)策分析

電子商務(wù)是通過Internet技術(shù)與傳統(tǒng)的電子票據(jù)交換（Electronic data interchange，EDI）、電子資金轉(zhuǎn)賬（Electronic funds transfer，EFT）等技術(shù)相結(jié)合而發(fā)展起來的一種新興的商務(wù)交易模式。它借用先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)和WEB數(shù)據(jù)庫技術(shù)、以電子信息交換為手段實(shí)現(xiàn)各種商業(yè)處理及交易邏輯進(jìn)行各種經(jīng)濟(jì)活動(dòng)。相關(guān)調(diào)查數(shù)據(jù)顯示，中國電子商務(wù)交易額在2006年已突破1萬億元，近三年，中國電子商務(wù)交易額保持了50%～60%的增長速度。電子商務(wù)基于Internet技術(shù)的網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上較多地考慮了共享、互聯(lián)、互通等，忽視了對(duì)安全和保密的關(guān)注，其使用和管理上更是以民間自治、自愿合作等為原則，其安全問題先天不足。如何在網(wǎng)上保證交易的公正性和安全性、保證交易方身份的真實(shí)性、保證傳遞信息的完整性以及交易的不可抵賴性，成為電子商務(wù)蓬勃發(fā)展的關(guān)鍵所在。

一、電子商務(wù)安全性的要求

1.有效性。電子商務(wù)交易在網(wǎng)絡(luò)上以電子形式取代了傳統(tǒng)交易形式下的紙質(zhì)，這樣保證貿(mào)易信息的有效性就成為電子商務(wù)的前提，直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。

2.機(jī)密性。電子商務(wù)建立在一個(gè)開放的網(wǎng)絡(luò)環(huán)境上，維護(hù)商業(yè)機(jī)密就成為電子商務(wù)推廣應(yīng)用的重要保障。

3.完整性。完整性指數(shù)據(jù)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，要預(yù)防對(duì)信息的隨意生成、修改、偽造、插入和刪除，同時(shí)也防止數(shù)據(jù)傳輸過程中的丟失、亂序和重復(fù)。

4.可靠性。可靠性指在遇到自然災(zāi)害、硬件故障、軟件錯(cuò)誤、計(jì)算機(jī)病毒等情況下，仍能確保系統(tǒng)安全、可靠運(yùn)行。

5.不可抵賴性。傳統(tǒng)交易中，交易各方通過“白紙黑字”預(yù)防抵賴行為的發(fā)生。在無紙化的電子交易方式下，要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí)，使信息發(fā)送者在發(fā)送數(shù)據(jù)后不能抵賴，接受方接受數(shù)據(jù)后也不能否認(rèn)。

6.交易審查能力。依據(jù)在交易過程中信息傳輸機(jī)密性和完整性的要求，應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄。

二、電子商務(wù)安全對(duì)策

1.發(fā)展安全技術(shù)

（1）加密技術(shù)。加密技術(shù)是認(rèn)證技術(shù)和其他許多安全技術(shù)的基礎(chǔ)。其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。加密技術(shù)包括對(duì)稱機(jī)制和非對(duì)稱機(jī)制。常用的對(duì)稱加密算法有DES、三層DES和IDEA等，非對(duì)稱加密通常以RSA算法為代表。

（2）防火墻技術(shù)。防火墻是指一種將內(nèi)部網(wǎng)和外部網(wǎng)分開的方法，實(shí)際上是一種隔離技術(shù)。具有限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。防火墻能防范來自企業(yè)外部的攻擊，對(duì)企業(yè)內(nèi)部卻無能為力。

（3）入侵檢測技術(shù)。入侵檢測是通過監(jiān)控網(wǎng)絡(luò)與系統(tǒng)運(yùn)行情況，來檢測用戶的越權(quán)使用以及系統(tǒng)外部的入侵企圖，保證資源不被非法使用和非法訪問。若發(fā)現(xiàn)入侵，會(huì)及時(shí)反應(yīng)，包括切斷網(wǎng)絡(luò)連接，記錄事件和報(bào)警等。

（4）數(shù)字（Digital Envelope）信封。數(shù)字信封采用對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)來保證只有規(guī)定的接收方才能閱讀到信中的內(nèi)容，從而有效地提高信息的保密性。

（5）虛擬專用網(wǎng)。虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）技術(shù)是一種在公用互聯(lián)網(wǎng)絡(luò)上構(gòu)造專用網(wǎng)絡(luò)的技術(shù)。VPN具體實(shí)現(xiàn)是采用隧道技術(shù)，將企業(yè)內(nèi)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。這種通道是Internet上的一種專用通道，可保證數(shù)據(jù)在外部網(wǎng)上的企業(yè)之間安全地傳輸。

（6）認(rèn)證技術(shù)。認(rèn)證技術(shù)提供了一種安全可靠的驗(yàn)證交易各方身份真實(shí)性的驗(yàn)證機(jī)制。安全認(rèn)證技術(shù)主要有：①數(shù)字摘要技術(shù)。也稱安全Hash編碼法（SHA）。該編碼可以將需加密的明文摘要成一串密文，不同的明文摘要成密文，其結(jié)果總不相同，相同的明文摘要?jiǎng)t一致。因此解決了電子商務(wù)交易中信息的完整性問題。②數(shù)字簽名技術(shù)。在基于Internet的電子商務(wù)中，對(duì)常規(guī)手寫簽名做法用數(shù)字簽名作為模擬。數(shù)字簽名的技術(shù)保證是加密，實(shí)踐表明采用非對(duì)稱加密算法要比對(duì)稱加密算法更容易實(shí)現(xiàn)。③數(shù)字時(shí)間戳技術(shù)。由專門機(jī)構(gòu)提供數(shù)字時(shí)間戳服務(wù)（DTS），在文件摘要上加入日期和時(shí)間信息后加密（數(shù)字簽名）。可以解決電子文件發(fā)表時(shí)間被偽造和篡改的問題。④數(shù)字憑證技術(shù)。又稱為數(shù)字證書，是一個(gè)經(jīng)證書認(rèn)證機(jī)構(gòu)（CA）數(shù)字簽名的包含用戶身份和對(duì)網(wǎng)絡(luò)資源訪問的權(quán)限。它是電子商務(wù)主體在數(shù)字世界的身份證明，不可能被假冒。貿(mào)易伙伴間可以使用數(shù)字證書來交換公開密鑰，起到標(biāo)識(shí)貿(mào)易方的作用。⑤認(rèn)證中心（Certificate Authority，CA）是網(wǎng)上各方都信任的機(jī)構(gòu)，主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個(gè)體所需的身份認(rèn)證數(shù)字證書，各級(jí)CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)電子商務(wù)的信任鏈。認(rèn)證中心，負(fù)責(zé)審核用戶的真實(shí)身份并對(duì)此提供證明，而不介入具體的認(rèn)證過程，從而緩解了可信第三方的系統(tǒng)瓶頸問題。

（7）電子商務(wù)安全協(xié)議。電子商務(wù)安全協(xié)議主要有：SSL（安全套接層）協(xié)議、SET（安全電子交易）協(xié)議、安全的超文本傳輸協(xié)議（S-HTTP）。SSL協(xié)議適用于點(diǎn)對(duì)點(diǎn)的信息傳輸，通過在瀏覽器軟件和WWW服務(wù)器建立一條安全通道，實(shí)現(xiàn)在Internet中傳輸保密文件。該協(xié)議成本低，較易實(shí)行，但不嚴(yán)密，主要用于購物網(wǎng)站的交易；SET協(xié)議是在開放網(wǎng)絡(luò)環(huán)境中的卡支付安全協(xié)議，它采用公鑰密碼體系和X.509數(shù)字證書標(biāo)準(zhǔn)。該協(xié)議較復(fù)雜，成本高，僅適用于卡支付；安全的超文本傳輸協(xié)議（S-HTTP）向WWW的應(yīng)用提供完整性、鑒別、不可抵賴性及機(jī)密性等安全措施。

電子商務(wù)交易安全技術(shù)并不限于以上所提到的，在現(xiàn)實(shí)中，常常將各種技術(shù)結(jié)合起來使用，以最大限度地提高電子交易的安全性，實(shí)現(xiàn)電子交易的基本安全控制要求。

2.健全信用體系，完善法律保障

電子商務(wù)交易方涉及個(gè)人、企業(yè)、政府，市場容量巨大，僅依靠安全技術(shù)無法完全解決其安全問題，還需要建立和完善信用體系及電子商務(wù)的法律法規(guī)體系，才能有效規(guī)范電子商務(wù)中的安全隱患。隨著國家信用體系的建立，《電子政務(wù)法》、《電子交易法》、《個(gè)人信息保護(hù)法》等相關(guān)法律的出臺(tái)和完善，電子商務(wù)發(fā)展所需的信用體系、支付體系、認(rèn)證體系三大體系將更加完善，也會(huì)進(jìn)一步健全我國電子商務(wù)發(fā)展的法律法規(guī)環(huán)境，為電子商務(wù)的快速發(fā)展保駕護(hù)航。

3.加強(qiáng)安全管理

首先，必須加強(qiáng)基礎(chǔ)設(shè)施的安全管理，重視設(shè)備的物理安全；同時(shí)要對(duì)電子商務(wù)安全交易系統(tǒng)經(jīng)常進(jìn)行檢測和維護(hù)，確保把電子商務(wù)系統(tǒng)安全風(fēng)險(xiǎn)控制在最低限度。其次，要加強(qiáng)相關(guān)人員的管理。據(jù)調(diào)查發(fā)現(xiàn)，內(nèi)部人員對(duì)系統(tǒng)和信息的破壞比外部人員更頻繁。所以要對(duì)電子商務(wù)活動(dòng)相關(guān)人員進(jìn)行安全技術(shù)教育和培訓(xùn)，提高人員的道德和業(yè)務(wù)水平，并通過合理分工，把整個(gè)系統(tǒng)管理的權(quán)限分散，通過加強(qiáng)監(jiān)督，確保電子商務(wù)系統(tǒng)管理的安全、高效。

（作者單位：中原工學(xué)院經(jīng)濟(jì)管理學(xué)院）