電子商務中的信息安全淺探

胡 輝

[摘要]Internet的產生并不是因為商業目的，而是為了方便地共享資源或具體地是由于軍事的原因，所以最初的Internet的TCP／IP協議源代碼的開放和共享是合理的，是適合當時需要的，但是要在Internet上進行安全性要求高的電子商務網上支付系統，它就顯得不夠了t針對如何更加合理、安全的運營一個電子商務網站，從多個方面進行探討。

[關鍵詞]電子商務信息安全安全技術

中圖分類號：TP-9文獻標識碼：A文章編號：1671—7597(2009)1020105--01

一、引言

隨著Internet的快速發展，人們的生活、工作方式正在不斷的發生變化，電子商務越來越受到人們的重視。

然而，任何企業都會面臨風險，電子商務公司除了與其他企業一樣存在著競爭者、盜竊犯、變幻無常的大眾喜好、自然災害等風險外，還面臨包括網絡黑客、計算機硬件故障、電力、通信、網絡故障、對派送服務的依賴、軟件錯誤、系統容量限制等風險。

電子商務由于其特殊性，它涉及的數據、信息、硬件、軟件的問題顯得極為重要；同時，隨著網絡技術的不斷發展，網絡的覆蓋面、接觸人群越來越多、越來越廣，網絡安全問題也日益突出。

二、信息的重要程度

考慮到安全的時候，首先要評估的是所保護信息的重要性。應該既考慮這些信息對我們的重要性，又要考慮它對潛在侵入者的重要性。

并不是所有的兩站時時刻刻都要求有晟高級別的安全保護的。保護措施的實施需要成本，在決定要對安全保護提供多少人力和物力之前，必須判定信息價值。

保存在一個計算機業余愛好者和銀行、軍事組織的計算機中的信息的價值是不同的，它們是兩個極端。對于一個商業網站的來說，需要考慮介于兩種極端情況之間的黑客攻擊，因此投入的資源和努力也應該介于兩者之間。

三、安全威脅

電子商務網站主要存在以下三大安全問題：

(一)信息安全。信息安全是指由于各種原因引起的信息泄露、丟失、篡改、滯后、虛假、拒絕服務、軟件錯誤、否認等，以及由此帶來的風險。具體的表現有：竊取商業機密，破壞信息的真實性和完整性，接收或發送虛假信息，破壞交易，盜取交易成果，非法刪除交易信息、病毒破壞，黑客入侵等。

(二)交易安全。交易是電子商務中一個核心環節之一，在商務交易過程中也存在許多不安全因素，包括交易確認、產品或服務的質量、貨款支付等安全問題。

與傳統商務形式不同的是，電子商務具有市場松散化、主體虛擬化、交易網絡化、貨幣電子化、結算瞬時化等特點。這也是電子商務在交易過程中的風險具有了新的特點和形式。

交易中的不安全因素很多，如賣者以次充好、發布虛假信息，欺騙買者；提供服務不到位或收了費但不提供相應的服務等；或者有相反的情況，如買者利用賣者套取產品和服務，卻以匿名、更名或退出市場等方式逃避執行契約合同等。

(三)財產安全。財產安全是指由于各種原因造成電子商務參與者面臨的財產等經濟利益風險。財產安全往往是電子商務安全問題的最終形式，也是信息安全問題和交易安全問題的后果。

財產安全問題主要表現為財產損失和其他經濟損失。前者如：客戶的銀行資金被盜；交易者被冒名，其財產被竊取等。后者如：信息的泄露、丟失，使企業的信譽受損，經濟遭受損失：遭受網絡攻擊或故障，企業電子商務系統效率下降甚至癱瘓等。

四、安全策略

針對不同的安全威脅，應該制訂不同的應對措施。安全策略是一個文檔，它描述了公司的一般安全要求，安全保護對象——軟件、硬件、數據，負責保護這些項目的人，安全標準及其度量標準，度量標準衡量這些標準在多大程度上適合。

1、身份驗證。身份驗證試圖證明某人的確是他本人。有許多可以提供身份驗證的方法，但是與大多數安全措施一樣，方法越安全，使用起來越麻煩。

身份驗證技術包括密碼、數字簽名、生物鑒定措施，以及涉及硬件的措施。在網絡上經常使用的是密碼和數字簽名。

2、加密技術。加密算法是將信息轉變為一個看起來是任意數字串的數學過程。加密方法有可逆和不可逆的，目前許多加密算法可供使用，如DES、RSA等。

3、數字簽名。數字簽名與公有密鑰有關，但是與公有密鑰和私有密鑰的作用相反。一個發送者可以用密鑰加密ygi和簽名一個消息。當人們接收消息的時候，接受者可以用發送者的公有密鑰對它解密。因為發送者是唯一可以訪問密鑰的人，接收者可以確定消息由誰發送以及它有沒有被修改。

4、數字證書。一個證書可以將一個公有密鑰與一個個人或組織的細節以簽名的數字格式結合起來。如果給用戶一個證書，他就擁有對方的公有密鑰，如果該用戶要發送一個加密消息的話，他還擁有對方的詳細消息，并且知道這些消息有沒有改變。

對于商業貿易來說，有可信的第三方驗證所參與的實體，以及他們證書上記錄的細節是非常有意義的。這些第三方驗證稱為認證授權(c^)。認證授權公司可咀為個人或組織頒發數字證書，從而證明其身份。

5、安全的WEB服務器。通過安全套接字協議層(SSL)，我們可以使用Apache Web服務器、Microsoft IIS或者其他的免費或商業Web服務器，與瀏覽器之間進行安全的通信。

6、審計與日志記錄。操作系統允許把各種各樣的事件記入到日志文件中。從安全角度考慮，我們可能關心的事件包括網絡錯誤，對特定數據文件的訪問，對一些特定的程序的調用。日志文件可以幫助我們在出錯的時候檢測錯誤或者惡意操作。如果在注意到問題后檢查它們，還可以告訴我們一個問題或非法入侵是如何發生的。

7、防火墻。設計防火墻的目的是將本地網絡與外部網絡相分離。用于保護內部網絡中的機器以防外來攻擊。

8、備份數據。在任何災難恢復計劃中，都要重視備份的重要性。我們必須定期備份網站的所有組件靜態網頁、腳本和數據庫。備份的頻率取決于網站的動態程度。應該根據更新量的大小以一定的頻率進行獨立的備份。這些備份應該保存在獨立的介質上，并且放在一個安全、獨立的地方，以防火災、盜竊或自然災害。

9、自然環境安全。到目前為止，我們考慮的安全威脅都與無形的東西(如軟件)有關，但是，我們不應該忽略系統的自然環境安全。網站需要空調，需要防火、防人(笨拙的人和罪犯)、防止電力故障和網絡系統故障等。系統還應該安全的鎖起來，以防止不必訪問的人員操作。

五、結束語

總之，以上討論了電子商務網站在運營過程中可能發生的安全問題以及相應的應對策略，對于不同的電子商務網站，可能在具體的業務、公司規模大小、安全需求程度等方面各有不同，所以針對不同的情況，應該合理分析、綜合考慮速度、成本等各個方面的因素，選擇合適的安全策略。