電子商務安全問題初探

摘要：本文針對電子商務活動中存在的安全問題，分析了電子商務中常用的安全技術與協議，并提出相應的技術性對策。

關鍵詞：電子商務 安全技術 協議

1 電子商務存在的安全威脅

1.1 計算機病毒問題 計算機病毒是一種人為編制的能在計算機系統中生存、繁殖和傳僠的程序。常常會惡意破壞數據、刪除文件、甚至格式化磁盤。有資料顯示，病毒威脅所造成的損失，上網絡經濟損失的76%，僅“愛蟲”發作，在全球所造成的損失，就達96億美元。

1.2 非法訪問和破壞（“黑客”攻擊） 黑客破解或破壞某個程序、系統及網絡安全，或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程稱為黑客攻擊。黑客攻擊的隱蔽性好，“殺傷力”強，是網絡安全的主要威脅。黑客常用攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統的運行，并不盜竊系統資料，通常采用拒絕服務攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的。

1.3 設備的安全問題 設備的安全主要是指物理設備這些硬件設施是否安全，能否正常運行。任何設備，即使高價設備或多或少都有缺陷，由于長時間使用或其他原因會導致故障，造成數據丟失、破壞。所以，物理設備的穩定性也是安全的一個方面。

1.4 安全管理的欠缺 網絡系統的嚴格管理是企業、機構及用戶免受攻擊的重要措施。事實上，很多企業、機構及用戶的網站或系統都疏于這方面的管理

1.5 網絡的缺陷及軟件的漏洞 Internet的共享性和開放性使網上信息安全存在不足。其賴以生存的TCP/IP缺乏相應的安全機制，而且Internet最初的設計考慮的是該網不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，所以在安全可靠、服務質量、帶寬和方便性等方面存在不適應性。此外，隨著軟件系統規模的不斷增大，系統中的安全漏洞也不可避免地存在。在軟件漏洞中，比較關注有：①操作系統的安全漏洞。②網絡協議的安全漏洞。如果網絡通信協議存在安全漏洞，相當于幾乎所有的通信都不安全，信息竊取者可以不必攻破密碼體制就可以獲得想要的信息和服務。③網絡服務軟件的安全漏洞。如聊天、網絡游戲等軟件，應用時安全隱患很多。

2保障電子商務安全的技術性措施

2.1數據加密技術 ①對稱式數據加密。也之稱為私鑰。所謂對稱，就是采用這種加密方法的雙方使用同樣的密鑰對信息進行加密和解密。密鑰實際上是一種算法，通信發送方使用這種算法（密鑰）加密數據，接受方再使用同樣的算法（密鑰）解密數據。它的最大優勢是加密和解密速度快，適合于對大量數據進行加密。

②非對稱數據加密。所謂非對稱是指數據發送計算機和數據接收計算機使用不同的密鑰。在非對稱數據加密中，需要使用一對密鑰分別完成加密和解密操作，這對密鑰中的任何一把都可作為公開密鑰，通過非保密方式向他人公開，另一把則作為專用密鑰加以保存。公開密鑰用于對機密性的加密，專用密鑰則用于加密信息的解密。信息發送者用公開密鑰加密，而信息接收者則用專用密鑰進行解密。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。

2.2 防火墻技術 簡單地說，防火墻就是用一臺計算機監管網絡數據的進出，不許外界非法數據進入內部網絡，從而保證內部網絡數據和計算機的安全。防火墻的作用是在某個機構的網絡和不安全的網絡之間設置屏障，阻止對信息資源的非法訪問，也可以用來阻止專利信息從企業的網絡上被非法輸出。

2.3電子商務的安全協議

2.3.1 SSL協議又稱“安全套接層協議”，是指通信雙方在通信前約定使用的一種協議方法，該方法能夠在雙方計算機之間建立一個秘密信道，凡是一些不希望被他人知道的機密數據都可以通過公開的通路傳輸，不用擔心數據會被別人偷竊。可以有效地防止信息在傳送中出現丟失、盜用或被篡改等情況。

2.3.2 SEL協議又稱“安全電子交易協議”。SEL協議是為基于信用卡進行電子化交易提供的安全措施，它是由Visa國際組織和萬事達組織共同制定的一個能保證通過開放網絡(包括Internet)進行安全資金支付的技術標準。采用公鑰密碼體制X509數字證書標準，主要應用于保障網上購物信息的安全性。SEL協議提供了消費者、商家和銀行之間的認證，確保了交易數據的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優點。SSL協議目標：①保證電子商務參與者信息的相互隔離，客戶的資料加密或打包后經過商家到達銀行，但是商家不能看到客戶的賬戶和密碼信息；②保證信息在Internet上安全傳輸，防止數據被第三方竊取；③解決多方認證問題，不僅要對消費者的信用卡認證，而且要對在線商店的信譽程度認證，同時還有消費者、在線商店與銀行間的認證；④保證了網上交易的實時性，使所有的支付過程都是在線的。

2.4身份認證技術 ①數字摘要。數字摘要是一種防止數據被改動的方法，它采用單向HASH函數將需要加密的文件中若干重要元素進行某種變換運算得到周定長度的摘要碼，并在傳輸信息時將之加入文件一同送給接收方，接收刀收到文件后，用相同的方法進行變換運算。②數字信封。在大批數據加密中所使用的對稱密碼是隨機產生的。而接收方也需要此密碼才能對消息進行正確的解密。對稱密鑰的傳遞需要加密進行，即發送方用接收方的公鑰加密此對稱密鑰。這樣只有接收方用自己的私鑰才能正確地解密此對稱密鑰，從而正確地解密消息。這種加密傳送密鑰的方法稱為數字信封。③數字簽名。也稱電子簽名，是指使用密碼算法，對待發的數據進行加密處理，生成一段數據摘要信息附在原文上一起發送，這段信息類似于現實中的簽名或印章，接收方收到簽名后，進行驗證，判定原文的真偽（是否真實發送方發送）。數字簽名的功能有：簽名者事后不可否認自己的簽名；任何其他人不能偽造簽名；若當事雙方出現爭執，可以由公正的第三方通過驗證確認簽名真偽。④數字證書。又稱數字憑證，是用電子手段來證實一個實體的身份及其公鑰的合法性并將實體身份與公鑰綁定。它是一個數字標識，可以實現身份的鑒別認證、完整性、保密性和不可抵賴等安全要求。數字證書就是認證中心為交易各方頒發的身份憑證，以證實合法身份。

2.5數字認證中心 電子商務交易需要電子商務證書，而電子商務認證中心(CA)就承擔著網上安全電子交易認證服務、簽發數字證書并確認用戶身份的功能。是一個具有權威性、公正性的第三方、是電子商務的重要基礎設施，是電子商務的安全保障。CA主要任務是受理數字憑證的申請、簽發并負責在交易中檢驗和管理證書。用戶向CA提交自己的公開密鑰和其他代表自己身份的信息，如身份證或護照等，CA在驗證了用戶的有效身份之后，向用戶頒發一個經過CA私有密鑰簽名的證書。

3結論

電子商務安全技術經過多年的發展，已經形成了較為完善的安全體系，并且在電子商務中得到了廣泛的應用，體現出良好的安全性。它是一個系統有機的整體，不僅需要計算機網絡安全的保證，也需要商務交易安全上的保障，多方共同努力建立科學的電子商務安全機制，才能確保電子商務健康有序發展。

參考文獻：

[1]邵兵家，董曉華，陳永福.電子商務概論(第2版)（M）.北京：高等教育出版社.2006．

[2]管有慶，王曉軍，董小燕.電子商務安全技術(M).北京：北京郵電大學出版社，2005.