電子商務安全現狀及對策研究

李巖,宋朝

摘要：隨著網絡技術的廣泛應用,網上購物的日益普及我國電子商務安全的問題日益嚴重。首先，分析了電子商務安全的現狀，其次，著重對電子商務存在的問題及其原因進行深入地探索并指出了電子商務安全的需求，最后給出相應的解決方案。

關鍵詞：信息竊取；信息篡改；加密技術；防火墻

中圖分類號：F713.363文獻標志碼：A 文章編號：1002-2589（2011）06-0081-02

隨著網絡技術的廣泛應用，我國電子商務的安全問題也日益突出。根據“2010年上半年，計算機病毒和互聯網安全報告疫情”的數據表明，2010年上半年，計算機病毒，木馬的數量依然保持快速增長，新病毒不斷出現，一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒，木馬數量迅速增加，超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前，需要我們采取新措施來進行防范。

一、電子商務的安全現狀

目前電子商務的安全問題比較嚴重，最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題，本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點：

（一）木馬病毒爆炸性增長，變種數量的快速增加

據統計，僅2009年上半年掛載木馬網頁數量累計達2.9億個，共有11.2億人次網民訪問掛載木馬，2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快，智能型，病毒變種更新速度快是本年度病毒的又一個特征。總體而言，目前的新木馬不多，更多的是它的變種，因為目前反病毒軟件的升級速度越來越快，病毒存活時間越來越短，因此，今天的病毒投放者不再投放單一的病毒，而是通過病毒下載器來進行病毒投放，可以自動從指定的網址上下載新病毒，并進行自動更新，永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動，通過網絡販賣病毒、木馬，教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多，電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。

（二）網絡病毒傳播方式的變化

過去，傳播病毒通過網絡進行。目前，通過移動存儲介質傳播的案例顯著增加，存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于U盤和移動存儲介質廣泛使用，病毒、木馬通過autorun.inf文件自動調用執行U盤中的病毒、木馬等程序，然后感染用戶的計算機系統，進而感染其他U盤。與往年相比，今年通過網絡瀏覽或下載該病毒的比例在下降。不過，從網絡監測和用戶尋求幫助的情況來看，大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是指在網頁中嵌入惡意代碼，當存在安全漏洞的用戶訪問這些網頁時，木馬會侵入用戶系統，然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性，用戶更難于發現，潛在的危害性也更大。

（三）網絡病毒給電子商務造成的損失繼續增加

調查顯示，瀏覽器配置被修改，損壞或丟失數據，系統的使用受限，網絡無法使用，密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播，攫取非法經濟利益，給被感染的用戶帶來重大損失。繼“熊貓燒香”之后，復合型病毒大量出現，如：仇英、艾妮等病毒。同時，網上販賣病毒、木馬和僵尸網絡的活動不斷增多，利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。

二、電子商務的安全問題及存在原因

1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料，仿冒合法用戶的身份與他人進行交易，從而獲得非法利益。

2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段，對數據進行非法的截獲與監聽，從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號，還能以欺騙的手法進行產品交易，甚至能洗黑錢。

3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容，如修改消息次序、時間，注人偽造消息等，從而使信息失去真實性和完整性。

4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。

5.對發出的信息予以否認．某些用戶可能對自己發出的信息進行惡意的否認，以推卸自己應承擔的責任。

6.信用威脅。交易者否認參加過交易，如買方提交訂單后不付款，或者輸人虛假銀行資料使賣方不能提款I用戶付款后，賣方沒有把商品發送到客戶手中，使客戶蒙受損失。

7.電腦病毒。電腦病毒問世十幾年來，各種新型病毒及其變種迅速增加，互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑，還有眾多病毒借助于網絡傳播得更快，動輒造成數百億美元的經濟損失。如，CIH病毒的爆發幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。

三、電子商務的安全需求

電子商務威脅的出現導致了對電子商務安全的需求，主要包括有效性、完整性、不可抵賴性、匿名性。

1.有效性。保證信息的有效性是開展電子商務的前提，一旦簽訂交易，這項交易就應得到保護以防止被篡改或偽造。

2.完整性。貿易雙方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易雙方信息的完整性是電子商務的基礎。

3.不可抵賴性。交易一旦達成，原發送方在發送數據后就不能抵賴，接收方接到數據后也不能抵賴。

4.匿名性。電子商務系統應確保交易的匿名性，防止交易過程被跟蹤，保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體。

四、電子商務安全防治措施及安全舉措

防范電子商務網絡犯罪是一個系統工程，不僅需要人們提高防范電子商務網絡犯罪的意識，加強防范電子商務網絡犯罪的制度建設，而且．還需要技術上不斷更新和完善，為此，需要做好以下幾方面的工作。

1.加強教育和宣傳，提高公眾電子商務的安全意識。信息安全意識是指人們在上網的過程中，對信息安全重要性的認識水平，發現影響網絡安全行為的敏銳性，維護網絡安全的主動性。強化上網人員的信息安全意識，就是要讓上網人員認識到，網絡信息安全是電子商務正常而高效運轉的基礎，是保障企業、公民和國家利益的重要前提，從而牢同樹立網上交易，安全第一的思想。主要采取以下措施：一是通過大眾媒體，普及電子商務的安全知識，提高用戶的認識。二是積極組織研討會和培訓課程，培養電子商務網絡營銷安全管理人才。

2.采用多重網絡技術，保證網絡信息安全。目前，常用的電子商務安全技術，主要包括：防火墻，物理隔離，VPN（虛擬專用網）。防火墻是實現內部網與外部網安全代理和入侵隔離的常規技術。使用防火墻，一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內部部分未經授權的用戶攻擊。因此，電子商務內外網與互聯網之間要設置防火墻。網管人員要經常到有關網站上下載最新的補丁程序，以便進行網絡維護，同時經常掃描整個內部網絡，發現任何安全隱患及時更改，做到有備無患。企業上網必須實行內外網劃分和內外網的物理隔離。要運用VPN新技術，為使用者提了一種通過公用網絡，安全地對食業網絡進行遠程訪問，同時又能保證企業的系統安全。包括操作系統、數據庫和服務器(如Web服務器、E-MAII。服務器)的安全。

3.運用密碼技術，強化通信安全。應圍繞數字證書應用，為電子政府信息網絡中各種業務應用提供信息的真實性、完整性、機密性和不可否認性保證。在業務系統中建立有效的信任管理機制、授權控制機制和嚴密的責任機制。目前要加強身份認證、數據完整性、數據加密、數字簽名等工作。對于電子商務中的各種敏感數據進行數據加密處理，并且在數據傳輸中采用加密傳輸，以防止攻擊者竊密。電子商務信息交換中的各種信息，必須通過身份認證來確認其合法性，然后確定這個用戶的個人數據和特定權限。“在涉及多個對等實體間的交互認征時，應采用基于PKI技術，借助第三方(CA)頒發的數字證書數字簽名來確認彼此身份。”為了從根本上保證我國網絡的安全，我同安全產品的應用應建立在國內自主研發的產品基礎上,國外的先進技術可以參考，但不能完全照搬。政府應該鼓勵和扶植一批企業加快數字安全技術的研究，以提高我國信息企業的技術和管理水平，促進我同電子商務安全建設。

4.加強技術管理，努力做到使用安全。首先是在內部嚴格控制企業內部人員對網絡共享資源的隨意使用。在內網中，除有特殊需要不要輕易開放共享目錄，對有經常交換信息要求的用戶，在共享時應該加密，即只有通過密碼的認證才允許訪問數據。二是對涉及秘密信息的用戶主機，使用者在應用過程中應該做到盡可能少開放一些不常用的網絡服務，同時封閉一些不用的端口。并對服務器中的數據庫進行安全備份。三是切實保證媒體安全。包括媒體數據的安全及媒體本身的安全。要防止系統信息在物理空間上的擴散。為了防止系統中的信息在物理空間上的擴散，應在物理上采取一定的防護措施，如進行一定的電磁屏蔽，減少或干擾擴散出去的空間信號。這樣做，對確保企業電子商務安全將發揮重要作用。

5.健全法律，嚴格執法。目前我國在電子商務法律法規方面還有很多缺失，不能有效地保護公眾的合法權益，給一些犯罪分子帶來了可乘之機。我國立法部門應加快立法進程，吸取和借鑒國外網絡信息安全立法的先進經驗，盡快制定和頒布《個人隱私保護法》、《商業秘密保護法》、《數據庫振興法》、《信息網絡安全法》、《電子憑證(票據)法》、《網上知識產權法》等一系列法律，使電子商務安全管理走上法制化軌道。使網絡控制、信息控制、信息資源管理和防止泄密有法可依，并得到技術上的支撐。健全電子商務安全標準認證和質量檢測機制，由國家主管部門組織制定有關電子商務安全條例規定，并發揮職能部門的監管作用。通過建立電子商務安全法規體系，規范和維持網絡的正常運行。

參考文獻：

[1]許寧寧.電子商務安全的現狀與趨勢[J].中國電子商務，2010，（1）.

[2]濮小金.電子商務安全的政策選擇[J].全國商情經濟理論研究，2009，（3）.

[3]王建宏.電子商務安全技術研究[J].中國商貿，2009，（15）.

[4]張建兵.電子商務安全問題解析[J].現代商貿工業，2009，（21）.