電子商務信息安全風險分析與防范策略研究

摘要：近年來，隨著電子技術的發展和Internet的日益普及，越來越多的應用必須通過網絡來完成，電子商務因其便捷高效也得到了迅速發展。然而電子商務目前還處于建立和發展的階段， 作為一種新生事物， 電子商務自身具有不可忽視的安全風險。由于Internet的開放性、國際性和自由性在增加應用自由度的同時， 也使安全成為一個日益重要的問題，企業與消費者對電子交易安全的擔憂已嚴重阻礙了電子商務的發展。因此， 電子商務的安全問題日益成為人們關注的焦點。

關鍵詞：安全風險 安全要素 策略研究

1 電子商務中存在的主要信息安全問題

1.1 網絡安全問題 計算機網絡主要存以下的安全問題：①Internet是一個開放的、全球性的、無控制機構的網絡，計算機網絡自身的特點決定了網絡不安全。黑客經常會入侵網絡中的電腦窺取機密數據或破壞數據， 使系統癱瘓或使系統功能得不到充分發揮。②網絡服務一般都是通過各種各樣的協議完成的，因此網絡協議的安全性是網絡安全后個重要方面。Internet的數據傳輸是基于TCP/IP操作系統來支持的，TCP/IP協議本身存在著一定的缺陷。當今許多黑客攻擊都是利用了這些協議的安全漏洞才得逞的。③網絡軟件的漏洞和“后門”是進行網絡攻擊的首選目標，隨著現代軟件系統的越來越復雜，對于一個軟件，特別是較大的系統或應用軟件來講，要想進行全面徹底的測試已經變得越來越不可能。雖然在設計和開發一個大型軟件過程中可以進行某些測試，但總是會多多少少留下某些缺陷和漏洞。④黑客的出現可以說是當今信息社會，尤其是在Internet互聯全球的過程中，網絡用戶有目共睹、不容忽視的一個獨特再現。黑客攻擊目前已成為計算機網絡所面臨的重大威脅。

1.2 電子商務主要的信息安全要素

1.2.1 有效性 有效性是指信息接收方得到的是經原發送方確認的信息，發送方不可抵賴。貿易數據在確定的時刻、確定的地點是有效的。電子商務以電子形式取代了紙張，如何保證這種電子貿易信息的有效性是開展電子商務的前提。電子商務作為貿易的一種形式其信息的有效性將直接關系到個人、企業或國家的經濟利益和聲譽。因此， 要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防， 以保證貿易數據在確定的時刻、確定的范圍是有效的。

1.2.2 機密性 機密性是指信息在存儲或傳輸過程中不被他人竊取或泄漏，滿足電子商務交易中信息保密性的安全需求，避免敏感信息泄漏的威脅。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的，維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。

1.2.3 完整性 完整性是指信息在傳輸過程中沒有被歪曲、丟失或重復，消息的接收者應能夠驗證在傳遞過程中消息沒有被篡改，入侵者不能用假消息代替合法的消息。

貿易各方信息的完整性將影響到貿易各方的交易利潤，經營策略，保持貿易各方信息的完整性是電子商務應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數據傳送過程中信息的丟失和重復，并保證信息傳送次序的統一。

1.2.4 可靠性、不可抵賴性 電子商務可能直接關系到貿易雙方的商業交易，如何確定要進行交易的貿易方正是進行交易所期望的貿易方，這一問題則是保證電子商務順利進行的關鍵。在無紙化的電子商務方式下，通過于寫簽名利印章進行貿易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。

2 保障電子商務信息安全的措施

電子商務安全是信息安全的上層應用，它包括的技術范圍比較廣，主要分為數據加密技術和身份認證技術兩大類。

2.1 數據加密技術 加密技術是保證電子商務安全采用的主要安全措施。加密過程就是根據一定的算法，將可理解的數據（明文）與一串數字（密鑰）相結合，從而產生不可理解的密文的過程，主要加密技術是：對稱加密技術和非對稱加密技術。

2.2 對稱密鑰加密 對稱密鑰加密又稱為秘密密鑰加密，即通信雙方采用相同的密鑰來進行加密和解密，具有代表性的加密算法是DES算法。如下圖所示。

對稱密鑰加密的最大優點是加解密效率快，適合于進行大量數據加密，但在密鑰管理、分發以及進行身份鑒別方面存在缺點。

2.3 非對稱密鑰加密 非對稱密鑰加密也稱為公開密鑰加密，能夠實現對數據加密、完整性驗證、身份認證、數字簽名。每個用戶有一對密鑰：一個用于加密，一個用于解密，這兩個密鑰是不同的，知道了一個，要想知道對應的另一個密鑰很困難，具有代表必是RSA算法。加解密過程如下圖所示。

其中，加密密鑰（公鑰）可以公開，而解密密鑰（私鑰）則屬用戶的私有密鑰，由公開的加密密鑰導出私有的解密密鑰在技術上是不可實現的。

非對稱加密系統密鑰管理方便，且保密性比較強，但加解密實現速度比較慢，不適用于通信負荷較重的應用。

2.4 認證系統 網上安全交易的基礎是數字證書。數字證書類似于現實生活中的身份證，用于在網絡上鑒別個人或組織的真實身份。傳統的對稱密鑰算法具有加密強度高、運算速度快的優點，但密鑰的傳遞與管理問題限制了它的應用。為解決此問題，20世紀70年代密碼界出現了公開密鑰算法，該算法使用一對密鑰即一個私鑰和一個公鑰，其對應關系是唯一的，公鑰對外公開，私鑰個人秘密保存。一般用公鑰來進行加密，用私鑰來進行簽名；同時私鑰用來解密，公鑰用來驗證簽名。

2.5 SSL協議 SSL協議（Secure Socket Layer，安全套接層）是由網景（Netscape）公司推出的一種安全通信協議，該協議主要目的是解決TCP/IP 協議不能確認用戶身份的問題，在Socket上使用非對稱的加密技術，以保證網絡通信服務的安全性。中國目前多家銀行均采用SSL協議，從實際使用的情況來看，SSL協議還是最值得信賴的協議。

2.6 SET協議 SET（Secure Electronic Transaction）安全電子交易協議是由美國Visa和MasterCard兩大信用卡組織提出的應用于Internet上的以信用卡為基礎的電子支付系統協議。SET協議主要是為了解決消費者、商家和銀行之間通過信用卡來進行支付的交易而設計的，旨在保證支付信息的機密性、支付過程的完整性、商家及消費者身份的合法性以及可操作性，其核心技術主要有公開密匙加密、電子數字簽名、數字信封、電子安全證書等。主要應用于B to C模式中保障支付信息的安全性。

3 其它安全技術措施

3.1 防火墻技術 防火墻主要是用來隔離內部網和外部網，對內部網的應用系統加以保護。目前的防火墻分為兩大類：一類是簡單的包過濾技術，它是在網絡層對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯，檢查數據流中每個數據包后，根據數據包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態等因素來確定是否允許數據包通過。另一類是應用網管和代理服務器，可針對特別的網絡應用服務協議及數據過濾協議，并且能夠對數據包分析并形成相關的報告。

3.2 數字簽名 數字簽名是公開密鑰加密技術的另一種應用，報文的發送方從報文文本中生成一個128位的散列值，發送方用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名，通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。

3.3 保障電子商務信息安全的環境性措施 目前，基于Internet 的電子商務應用才初見端倪，許多內外部環境還不夠完善，相應的法律、法規，相關的標準還都沒有建立，跨部門、跨地區的協調存在較大問題，基于此本文對中國電子商務的發展提了幾點建設性意見，僅供參考。