淺談電子商務的安全策略與安全技術

趙曉桃

電子商務通過網絡使企業面對整個世界，為用戶提供了每周7天、每天24小時的全天候服務，改變了傳統的買賣雙方面對面的交流方式，也打破了原有的經營模式。但是，電子商務也存在著各種風險，為此，需要全方位制定安全策略。

一、電子商務中存在的安全問題

1.網絡系統安全問題

網絡系統安全問題包括：網絡部件的不安全因素、軟件不安全因素、工作人員的不安全因素、自然環境因素。

2.電子支付系統安全問題

只要有以下幾個方面：支付賬號和密碼等隱私支付信息在網絡傳送過程中被竊取或盜用、支付金額被更改、不能有效驗證收款人的身份。

二、電子商務系統安全性的層次

1.網絡節點的安全

（1）防火墻。防火墻是連接internet和intranet最為有效的安全防護，它能有效地監視網絡的通信信息，并記憶通信狀態，從而作出允許/拒絕等判斷。通過靈活有效地運用這些功能，制定安全策略，提供一個安全、高效的intranet系統。

（2）安全操作系統。防火墻是基于操作系統的，如果信息通過操作系統的后門繞過防火墻進入內部網，防火墻就會失效。所以，要保證防火墻發揮作用，就必須保證操作系統的安全。在條件許可的情況下，應考慮將防火墻單獨安裝在硬件設備上。

2.通訊的安全

（1）數據通訊。通訊的安全主要依靠對數據的加密來實現，在通訊鏈路上的數據安全，一定程度上取決于加密的算法和加密的強度。電子商務系統的數據通訊主要存在于：客戶瀏覽器端與電子商務web服務器端的通訊，電子商務web服務器與電子商務數據庫服務器的通訊，銀行內部網與業務網之間的數據通訊。

（2）安全鏈路。為在瀏覽器和服務器之間建立安全機制，ssl要求服務器向瀏覽器出示它的證書，證書包括可信證書授權機構（ca中心）簽發的公鑰。瀏覽器要驗證服務器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（pki）。建立ssl鏈接不需要一定有個人證書，驗證個人證書是為了驗證來訪者的合法身份。只建立ssl鏈接時客戶只需下載該站點的服務器證書，這是與服務器協商的一個對稱算法及密鑰，然后用此對稱算法加密傳輸的明文，此時瀏覽器也會出現進入安全狀態的提示。

3.應用程序的安全性

即使正確配置了訪問控制規則，要滿足計算機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。如程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字符串的內存緩沖時；程序員忘記最小特權的基本原則。這些缺點都被使用到攻擊系統的行為中，不正確地輸入參數被用來騙特權程序。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的，程序不檢查輸入字符串長度，假的輸入字符串常常是可執行的命令。程序碎塊是特別用來增加黑客的特權，或是出于攻擊的目的寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶，并賦予這個用戶特權。訪問控制系統中沒有什么方法可以檢測到這些問題，只有通過監視系統并尋找違反安全策略的行為才能發現。

4.用戶的認證管理

（1）身份認證。電子商務企業用戶身份認證可以通過服務器ca證書與ic卡相結合來實現，ca證書用來認證服務器的身份，ic卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能，所以只采用id號和密碼口令的身份確認機制。

（2）ca證書。要在網上確認交易各方的身份，并保證交易的不可否認性，需要一份數字證書進行驗證。這份數字證書就是ca證書，它由認證授權中心（ca中心）發行。ca中心一般是社會公認的可靠組織，對個人、組織進行審核后，為其發放數字證書，證書分為服務器證書和個人證書。驗證個人證書是為了驗證來訪者的合法身份，而只需要建立ssl鏈接的客戶只下載該站點的服務器證書即可。

由此可見安全就是一種風險管理，任何技術手段都不能保證百分之百的安全。但是，若我們合理利用一定的安全技術是可以降低系統遭到破壞、攻擊的風險，決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。

（作者單位：廣東省肇慶高級技工學校）