探析電子商務的安全

[摘要] 電子商務的廣泛普及，在造福人類的同時，也使得新的邪惡與罪孽相伴而來。電子商務中的各種犯罪活動已經嚴重危害著社會的發展和國家的安全。本文在介紹電子商務安全威脅和安全需求的基礎上，通過網絡安全、數字認證、SSL、SET等幾種防范措施，來構建一個電子商務安全的體系結構。

[關鍵詞] 電子商務安全 加密技術 數字認證

隨著通信網絡技術的飛速發展，特別是Internet的不斷普及，人們的消費觀念和整個商務系統也發生了巨大了變化，人們更希望通過網絡的便利性來進行網絡采購和交易，從而導致了電子商務（Electronic Commerce）的出現，并在世界范圍內掀起了電子商務的熱潮。電子商務是互聯網作為商務平臺工具的重要體現。網民和商家可以通過互聯網平臺，各取所需，共同獲益。根據中國互聯網絡信息中心（CNNIC）發布的“中國互聯網絡發展狀況統計報告”，截至2007年12月，中國的網民數已增至2.1億人，目前中國的網民人數略低于美國的2.15億，位于世界第二位。中國網民網絡購物比例是22.1%，購物人數規模達到4640萬。

電子商務的發展給人們的工作和生活帶來了新的嘗試和便利性，但并沒有像人們想像的那樣普及和深入，除其他因素外，一個很重要的原因就是電子商務的安全性，它成為阻礙電子商務發展的瓶頸。美國密執安大學一個調查機構通過對23000名因特網用戶的調查顯示，超過60%的人由于擔心電子商務的安全問題而不愿進行網上購物。任何個人、企業或商業機構及銀行都不會通過一個不安全的網絡進行商務交易，這樣會導致商業機密信息或個人隱私的泄漏，從而導致巨大的利益損失。所以，研究和分析電子商務的安全性問題，特別是針對我國自己的國情，充分借鑒國外的先進技術和經驗，開發和研究出具有獨立知識產權的電子商務安全產品，這些都成為目前我國發展電子商務的關鍵。

一、電子商務安全威脅和安全需求

隨著電子商務在全球范圍內的迅猛發展，電子商務中的網絡安全問題日漸突出。電子商務中的網絡安全和交易安全問題是實現電子商務的關鍵之所在。網絡安全就是如何保證網絡上存儲和傳輸的信息的安全性。但是由于在互聯網絡設計之初，只考慮方便性、開放性，使得互聯網絡非常脆弱，極易受到黑客的攻擊或有組織的群體的入侵，也會由于系統內部人員的不規范使用和惡意破壞，使得網絡信息系統遭到破壞，信息泄露。根據中國互聯網絡信息中心（CNNIC）發布的”中國互聯網絡發展狀況統計報告”顯示，在進行網上購物時的安全隱患可分為如下幾類：

表 網民中網絡安全問題發生的比率

電子商務面臨的威脅導致了對電子商務安全的需求，也是真正實現一個安全電子商務系統所要求做到的各個方面，主要包括:機密性、完整性、認證性和不可抵賴性。

機密性。電子商務作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密。電子商務是建立在一個較為開放的網絡環境上的，維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。機密性一般通過密碼技術來對傳輸的信息進行加密處理來實現。

完整性。電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是電子商務應用的基礎。完整性一般可通過提取信息消息摘要的方式來獲得。

認證性。由于網絡電子商務交易系統的特殊性，企業或個人的交易通常都是在虛擬的網絡環境中進行，所以對個人或企業實體進行身份性確認成了電子商務中得很重要的一環，一般都通過證書機構CA和證書來實現。

不可抵賴性。在傳統的紙面貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴，確定合同、契約、單據的可靠性并預防抵賴行為的發生。這也就是人們常說的”白紙黑字”。在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。不可抵賴性可通過對發送的消息進行數字簽名來獲取。

有效性。電子商務作為貿易的一種形式，其信息的有效性將直接關系到個人、 企業或國家的經濟利益和聲譽。因此，要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。

二、如何保障電子商務安全

電子商務安全是信息安全的上層應用，它包括的技術范圍比較廣，我們來構建一個電子商務的安全體系結構，形成保證電子商務中數據安全的一個完整的邏輯結構，該安全體系結構有5部分組成，如圖所示。

圖 電子商務安全體系結構圖

網絡安全是電子商務安全的基礎，一個完整的電子商務系統應建立在安全的網絡基礎設施之上。網絡安全所涉及到的方面比較，如操作系統安全、防火墻技術、病毒防治技術和各種反黑客技術和漏洞檢測技術等。其中最重要的就是防火墻技術。

防火墻是建立在通信技術和信息安全技術之上，它用于在網絡之間建立一個安全屏障，根據指定的策略對網絡數據進行過濾、分析和審計，并對各種攻擊提供有效的防范。主要用于Internet接入和專用網與公用網之間的安全連接。目前國內使用的需到防火墻產品都是國外一些大廠商提供的，國內在防火墻技術方面的研究和產品開發方面相對比較簿弱，起步也晚。由于國外對加密技術的限制和保護，國內無法得到急需的安全而實用的網絡安全系統和數據加密軟件。因此即使國外優秀的防火墻產品也不能完全在國內市場上使用，同時由于政治、軍事、經濟上的原因，我國也應研制開發并采用自己的防火墻系統和數據加密軟件，以滿足用戶和市場的巨大需要，也對我國的信息安全基礎設施建設有巨大的作用。

加密技術是保證電子商務安全的重要手段，許多密碼算法現已成為網絡安全和商務信息安全的基礎。密碼算法利用密秘密鑰（secret keys）來對敏感信息進行加密，然后把加密好的數據和密鑰（要通過安全方式）發送給接收者，接收者可利用同樣的算法和傳遞來的密鑰對數據進行解密，從而獲取敏感信息并保證了網絡數據的機密性。利用另外一種稱為數字簽名（digital signature）的密碼技術可同時保證網絡數據的完整性和真實性。利用密碼技術可以達到對電子商務安全的需求，保證商務交易的機密性、完整性、真實性和不可否認性等。

證書機構CA（Certification Authority）是一個可信的第三方實體，其主要職責是保證用戶的真實性，頒發數字證書。本質上，CA的作用同政府機關的護照頒發機構類似，用于證實公民是否是其所宣稱的那樣（正確身份），而信任這個國家政府機關護照頒發機構的其他國家，則信任該公民，認為其護照是可信的，這也是第三方信任的一個很好實例。數字證書作為網上交易雙方真實身份證明的依據，是一個經證書授權中心（CA）數字簽名的、包含證書申請者個人信息及公開密鑰的文件。

Visa和MasterCard公司的調查報告表明，擔心信用卡號被竊取已經成為影響人們通過網絡進行交易中存在的最大問題。Netscape推出的安全套接層協議SSL，主要目的是提供Internet 上的安全通信服務。它能夠對信用卡和個人信息提供較強的保護，因此在信用卡交易方面，商家可以通過SSL在Web上實現對信用卡訂單的加密，Navigator和Internet Explorer瀏覽器都支持SSL。1997年5月，由Visa、MasterCard等聯合推出的安全電子交易（SET——Security Electronic Transaction）規范為在Internet上進行安全的電子商務提供了一個開放的標準。這個規范得到了IBM、Netscape、Microsoft、Oracle， GTE， VeriSign， SAIC， Terisa等公司的支持。SET主要使用電子認證技術，其認證過程使用RSA和DES算法，因此，可以為電子支付提供強大的安全保護。

隨著電子商務技術向整個經濟社會各個層次延伸，整個社會表現出對Internet、Intranet、Extranet等網絡更大的依賴性。電子商務的安全問題更為重要，保證通信的可靠性和敏感信息的安全性，僅僅依靠技術是遠遠不夠的，更需要的是法律意義上的公證和仲裁。但是，現行法律調整的都是比較傳統的法律關系，諸如民事關系、行政關系以及刑事關系等，而通過計算機網絡進行的各種商務活動正在成為21世紀信息化社會貿易活動的主要表現形式，交易方式的日新月異的變化，已經打破了有傳統法律來調整方方面面的社會關系所形成的平衡狀態，出現了許多法律調控的盲點。那么如何從理論上對它的法律調控問題進行研究，是擺在每位法學工作者面前的一個重要課題，也是值得全社會關注的問題。

參考文獻：

[1]肖德琴:電子商務安全保密技術與應用[M].廣州.華南理工大學出版社.2003

[2]陳兵:網絡安全與電子商務[M].北京.北京大學出版社.2002

[3]馮矢勇:電子商務安全[M].北京.電子工業出版社.2002