淺談電子商務的安全策略

劉　東

【摘 要】 由于電子商務具有高效益、低成本、高效率、范圍全球性等特點很快遍及全世界。電子商務的安全是制約電子商務發展的一個關鍵問題。文章主要從技術角度闡述了電子商務信息安全問題和安全威脅，詳細說明了電子商務信息存在的問題，并提出了相應的技術解決方案。

【關鍵詞】電子商務 安全 策略

一、 電子商務面臨的安全威脅

1.信息在網絡的傳輸中被截獲

攻擊者可能通過互聯網、公共電話網或在電磁波輻射范圍內安裝裝置等方式，截獲機密信息，或通過對信息流量和流向、通信頻度和長度等參數的分析，獲取有用信息，如消費者的賬號、密碼等。

2.偽造電子郵件

虛開網站和商店，給用戶發電子郵件，收定貨單;偽造大量用戶，發電子郵件，窮盡商家資源，使合法用戶不能正常訪問網絡資源，使有嚴格時間要求的服務不能及時得到響應;偽造用戶，發大量的電子郵件，竊取商家的商品信息和用戶等信息。

3.身份冒充問題

攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，進行信息欺詐與信息破壞，從而獲得非法利益。主要表現有：冒充他人身份；冒充他人消費、栽贓；冒充主機欺騙合法主機及合法用戶等。

4.網絡信息安全問題

主要表現在攻擊者在網絡的傳輸信道上，通過物理或邏輯的手段，進行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過分析網絡物理線路傳輸時的各種特征，截獲機密信息或有用信息，如消費者的賬號、密碼等。篡改，即改變信息流的次序，更改信息的內容；刪除，即刪除某個信息或信息的某些部分；插入，即在信息中插入一些信息，讓收方讀不懂或接受錯誤的信息。

5.計算機系統安全問題

計算機系統是進行電子商務的基本設備，如果不注意安全問題，它一樣會威脅到電子商務的信息安全。計算機設備本身存在物理損壞，數據丟失，信息泄露等問題。計算機系統也經常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時，計算機系統存在工作人員管理的問題，如果職責不清，權限不明同樣會影響計算機系統的安全。

二、 電子商務安全關鍵技術

安全問題是電子商務的核心，為了滿足安全服務方面的要求，除了網絡本身運行的安全外，電子商務系統還必須利用各種安全技術保證整個電子商務過程的安全與完整，并實現交易的防抵賴性等，綜合起來主要有以下幾種技術。

1.防火墻技術

現有的防火墻技術包括兩大類：數據包過濾和代理服務技術。其中最簡單和最常用的是包過濾防火墻，它檢查接受到的每個數據包的頭，以決定該數據包是否發送到目的地。由于防火墻能夠對進出的數據進行有選擇的過濾，所以可以有效地避免對其進行的有意或無意的攻擊，從而保證了專用私有網的安全。將包過濾防火墻與代理服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于：防火墻技術只能防止經由防火墻的攻擊，不能防止網絡內部用戶對于網絡的攻擊;防火墻不能保證數據的秘密性，也不能保證網絡不受病毒的攻擊，它只能有效地保護企業內部網絡不受主動攻擊和入侵。

2.虛擬專網技術（VPN）

VPN的實現過程使用了安全隧道技術、信息加密技術、用戶認證技術、訪問控制技術等。VPN具投資小、易管理、適應性強等優點。VPN可幫助遠程用戶、公司分支機構、商業伙伴及供應商與公司的內部網之間建立可信的安全連接，并保證數據的安全傳輸，以此達到在公共的Internet上或企業局域網之間實現完全的電子交易的目的。

3.安全認證技術

安全認證技術主要有:(1)數字摘要技術，可以驗證通過網絡傳輸收到的明文是否被篡改，從而保證數據的完整性和有效性。(2)數字簽名技術，能夠實現對原始報文的鑒別和不可否認性，同時還能阻止偽造簽名。(3)數字時間戳技術，用于提供電子文件發表時間的安全保護。(4)數字憑證技術，又稱為數字證書，負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。(5)認證中心，負責審核用戶的真實身份并對此提供證明，而不介入具體的認證過程，從而緩解了可信第三方的系統瓶頸問題，而且只須管理每個用戶的一個公開密鑰，大大降低了密鑰管理的復雜性，這些優點使得非對稱密鑰認證系統可用于用戶眾多的大規模網絡系統。(6)智能卡技術，它不但提供讀寫數據和存儲數據的能力，而且還具有對數據進行處理的能力，可以實現對數據的加密和解密，能進行數字簽名和驗證數字簽名，其存儲器部分具有外部不可讀特性。采用智能卡，可使身份識別更有效、安全，但它僅僅為身份識別提供一個硬件基礎，如果要使身份認證更安全，還需要與安全協議的配合。

4.電子商務安全協議

不同交易協議的復雜性、開銷、安全性各不相同，同時不同的應用環境對協議目標的要求也不盡相同。目前比較成熟的協議有：(1)Netbill協議，是由J.D.Tygar等設計和開發的關于數字商品的電子商務協議，該協議假定了一個可信賴的第三方，將商品的傳送和支付鏈接到一個原子事務中。(2)匿名原子交易協議，由J.D.Tygar首次提出，具有匿名性和原子性，對著名的數字現金協議進行了補充和修改，改進了傳統的分布式系統中常用的兩階段提交，引入了除客戶、商家和銀行之外的獨立第四方一交易日志（Transaction log）以取代兩階段提交協議中的協調者（Coordinator）。(3)安全電子交易協議SET，由VISA公司和MasterCard公司聯合開發設計。SET用于劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系，它可以對交易各方進行認證，防止商家欺詐。SET協議開銷較大，客戶、商家、銀行都要安裝相應軟件。

5.加密技術

加密技術是電子商務的最基本的安全措施。在目前技術條件下，加密技術通常分為對稱加密和非對稱加密兩類。

（1）對稱密鑰加密：采用相同的加密算法，并只交換共享的專用密鑰（加密和解密都使用相同的密鑰）。如果進行通信的交易各方能夠確保專用密鑰在密鑰交換階段未曾發生泄露，則可以通過對稱加密方法加密機密信息，并隨報文發送報文摘要和報文散列值，來保證報文的機密性和完整性。密鑰安全交換是關系到對稱加密有效性的核心環節。目前常用的對稱加密算法有DES、PCR、IDEA、3DES等。其DES使用最普遍，被ISO采用作為數據加密的標準。

（2）非對稱密鑰加密:非對稱加密不同于對稱加密，其密鑰被分解為公開密鑰和私有密鑰。密鑰對生成后，公開密鑰以非保密方式對外公開，只對應于生成該密鑰的發布者，私有密鑰則保存在密鑰發布方手里。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發送給該公開密鑰的發布者，而發布者得到加密信息后，使用與公開密鑰相應對的私有密鑰進行解密。目前，常用的非對稱加密算法有RSA算法。該算法已被ISO/TC的數據加密技術分委員會SC20推薦為非對稱密鑰數據加密標準。

6.防火墻技術

防火墻技術是確保基礎設施完整性一種常用方法。它通過在網絡邊界上建立起來的相應網絡通信監控系統來隔離內部和外部網絡，控制進/出兩個方向的通信流。它制定一系列規則來準許或拒絕不同類型的通信，并執行所做的路由決策，以阻擋外部的侵入。目前，防火墻技術主要有分組過濾和代理服務兩種類型。

（1）分組過濾:這是一種基于路由器的防火墻。它是在網間的路由器按網絡安全策略設置一張訪問表或黑名單，即借助數據分組中的49地址確定什么類型的信息允許通過防火墻，什么類型的信息不允許通過。防火墻的職責就是根據防問表（或黑名單）對進出路由器的分組進行檢查和過濾，凡符合要求的放行，不符合的拒之門外。這種防火墻簡單易行，但不能完全有效地防范非法攻擊。

（2）代理服務:是一種基于代理服務防火墻，它的安全性高，增加了身份認證與審計跟蹤，發現可能的非法行為并提供有力的證據，然后以秘密的方式向網上的防火墻發出有關信息如黑名單等。

信息安全是電子商務發展的基礎，隨著電子商務的發展，通過各種網絡的交易手段也會更加多樣化，安全問題變得更加突出。為了解決好這個問題，必須有安全技術作保障。目前，防火墻技術、網絡掃描技術，數據加密技術和計算系統安全技術發揮著重要的作用，此外更需要完善法律制度、管理制度和誠信制度，保證電子商務信息安全，加快電子商務的發展。

參考文獻：

[1]（美）埃弗雷姆.特白思戴維.金,李杰,等.王理平,張曉峰譯.電子商務管理新視角(第2版)［Ｍ］.北京：電子工業出版社,2005,(9):36-37.

[2]閻慧,王偉,寧宇鵬等.防火墻原理與技術[M].北京:機械工業出版社，2004 .

[2]趙啟斌,梁京章.防火墻過濾規則異常的研究[J].工程,2005,（12）：56-57.