探析電子商務的網絡安全問題

[摘要] 電子商務是在互聯網網絡快速發展的背景下，提供給普通消費者進行網上購物和網上便捷電子支付的一種新型的商業模式，同時也從根本上加快了整個市場經濟下商務活動的發展進程，但同時也存在諸多急待解決的問題。本文從電子商務的定義、網絡信息安全的需求、主要網絡安全技術等幾個方面著手，客觀地探討了電子商務網絡安全技術的發展現狀及目前存在的問題，并提出了解決電子商務安全的對策及建議。

[關鍵詞] 電子商務 安全技術 協議技術

引言

電子商務一詞來源于英文 ELECTRONICCOMMERCE，簡寫為EC。它包括的內容有以下兩方面，一是電子方式，二是商貿活動。從目前的情況來說，主要是指利用電子互聯網絡等電子化方式進行的商務活動，反映了商務活動的電子化、網絡化兩個特點。WTO(世界貿易組織)給出的電子商務定義是：電子商務是指以電子方式進行商品及服務的生產、流通、市場營銷、銷售或支付。

21世紀前10年，我國市場經濟體制下的電子商務已經走上了快速發展的軌道，平均每年的增長速度高于45％，預計2011年電子商務交易額將達17萬億元。由于網絡傳遞大量的信息，巨額的資金在互聯網間結算流動，這就需要網絡中的信息要有高度的可靠性和安全保密性。但是來自不同網絡環境中網絡攻擊入侵也越來越頻繁，人們也開始提高對這個不安全的網絡和不成熟的電子商務的防范心理。就這一點來說，網絡中信息安全問題是保證電子商務順利發展的基礎。

一、電子商務領域信息安全的需求

隨著計算機互聯網應用技術的高速發展，生活中電子商務的發展必將挑戰傳統的商務交易模式，電子商務必將成為國際間貿易活動的主要經營模式之一，未來它會逐漸地成為我們經濟生活中不可或缺的部分。但電子商務快速發展過程中，其安全問題也越來越引起人們的高度關注，網絡交易的安全是確保電子商務良性發展的關鍵因素，也是各位網絡參與者十分關心的話題之一。目前有關電子商務網絡安全問題主要包括以下幾個方面[ 1 ]。

(1)信息真實有效性。 電子商務作為商務貿易的一種新的形式，其信息的真實性與有效性將直接關系到個人、企業用戶和國家的經濟利益和名譽。

(2)信息的安全保密性。電子商務是構建在一個較為開放的網絡環境中的，商品交易中防止泄密是電子商務活動得到推廣應用的重要保障。

(3)信息完整性。電子商務形成的系統應能確保數據的完整傳輸和存儲，并且保證電子商務活動的可靠完整性。

(4)信息可鑒別性、可靠性和不可抵賴性。 電子商務系統要充分保證數據的發送者在發送數據后不能再抵賴，接收方在接到數據后也不可抵賴。

二、主要的幾種網絡安全技術

(1)加密技術

加密技術應用在網絡安全上主要有以下兩種形式：面向網絡和面向應用服務。面向網絡的加密技術工作在OSI參考模型的網絡層或傳輸層之間，傳送并使用經過加密后數據包，使網絡路由及其他網絡協議所需的信息得到認證，也在一定程度上保證互聯網絡的連通性和可用性不受損害。面向網絡應用服務的加密技術則采用目前較為流行的加密技術，這一種加密技術的優點是可用相對較為簡單的方式實現，不用對電子信息（數據包）所經過的網絡的安全性能提出較高的要求，實現了對電子郵件數據端到端的安全保證[ 2]。

(2)身份認證技術

為盡快解決互聯網絡的安全問題，逐漸形成了一套完整的互聯網安全解決方案，也就是目前廣泛采用的公鑰基礎設施（PKI）體系結構。 PKI體系結構應用證書管理公鑰，通過第三方的可信機構CA，把用戶的公鑰和用戶的其他標識信息（如用戶名 e-mail 身份證號等）進行了有效綁定，在網絡中進行驗證用戶的身份，PKI體系結構把公鑰密碼和對稱密碼結合起來，在網絡上實現自動管理密鑰，從而保證電子信息數據的機密性、完整性。電子商務企業用戶身份認證的實現是通過IC卡與服務器CA證書相結合完成的。CA證書的用途是認證服務器的身份，IC卡則是認證企業用戶的身份，因為個人用戶沒有提供交易功能，所以只能采用ID號和密碼口令的身份確認機制[ 3 ]。

(3) 數字CA證書

為了在網上確認交易雙方的身份和保證交易的不可否認性，需要有一份數字證書來進行驗證，這里所說的數字證書就是CA證書，它的發行者是認證授權中心（ CA，CertificateAuthority ）， CA中心主要是由社會公認的可靠組織，它來審核個人組織相關情況后，為其發放數字證書，證書包括個人證書和服務器證書兩種。建立SSL安全鏈接并不一定需要有個人證書，不驗證客戶的個人證書的情況實際上是較多的，驗證來訪者的合法身份而去驗證個人證書。如果只是想建立SSL鏈接，客戶只需用戶到相應的站點下載該服務器證書。

(4)SSL 協議技術[ 1 ]

SSL安全套接層協議作為傳輸協議仍然采用的是 TCP來提供數據的可靠傳送和接收，它位于應用層和傳輸層之間，獨立于其它的OSI高層應用，并且能夠為高層協議提供相關安全服務。

SSL 包括SSL 握手協議和SSL記錄協議兩個部份。SSL握手協議能協商加密算法和加密密鑰能后讓客戶機與服務器間再傳輸應用數據，客戶機列出自己能支付的所有的算法清單，服務器選擇最適合它的算法，SSL 記錄層起到了封裝不同的上層協議的作用。SSL通過采用公鑰和私鑰技術保證客戶機和Web 服務器通信數據的完整性、保密性和認證性。但該協議無法防止那些心術不正商家的惡意欺騙。

(5)SET協議技術[ 1 ]

SET可保證信用卡進行電子化交易時，保證其應用并提供了相關安全措施規則，是由兩大信用卡提供商Visa和MasterCard 共同組織制定的，實現了網上信用卡交易的標準規范模型。SET協議具有較高的安全度，并結合了數據加密標準DES 、S -HTTP、RSA 算法和 SSL ，確保了各項交易的多層加密。 SET協議設計的目的是為了解決用戶、 商家、 銀行三者間通過信用卡支付安全問題，從根本上保證了交易支付信息的保密性、完整性和整個支付過程的完整性，同時也確保了持卡人與商家的身份認證，具有一定的可操作性。SET包括 SET業務描述、SET協議描述和SET程序員指南3個部分。該協議本身相當的復雜 ，但它能精確地反映出使用信用卡交易各方間存在的各類關系。

三、電子商務中存在的網絡安全問題[ 4 ]

從我們的電子商務目前發展的情況來分析，電子商務網站的經營情況表面上一片大好，而事實上卻危機四伏。就筆者多年的研究來說，我國的電子商務經營狀況不理想的現狀急需改變，但依然存在技術和經營管理方面的諸多問題，特別是網絡交易的安全問題。

(1)現在網絡安全還未構成一個完整的體系。從了解的情況分析，目前市場上也出現了許多有關電子商務網絡安全方面的產品，但真正符合相關機構資格認證的卻還很少。在最近一段時間里，有關電子商務安全產品的生產產家都在申請認證，但能夠通過認證的企業卻相對較少。其主要存在的客觀原因是企業的產品中有許多安全措施都是從網上生搬硬套而開發組成的；此外，許多做電子商務安全技術的企業是熟悉網絡技術的，但卻對安全相關的技術普遍了解較少，因此這些企業很難開發出真正有價值的、又具有安全性的產品。

(2) 電子商務的安全加密技術有待提高。目前，市場上有關電子商務的安全技術從整體上分析，其結構或加密技術還能適應需求，可是相關的程序算法卻受制于其它國家的密碼政策，因此這些企業相關安全技術的強度不足。如果說用在企業與終端客戶進行交易時，這些技術還勉強可以，但對企業與企業網絡交易方面就遠遠不夠了。

(3)電子商務網站的安全管理方面存在許多問題。現在絕大多數的電子商務的網站都難以抵御黑客的攻擊。此類問題應當引起企業與個人的高度關注，誠然目前小型電子商務網站被攻擊的事件相對較少發生，但這并不意味著網站不要加以防范。這與國內的許多網站自身規模較小有關，對黑客來說沒有價值可言。而電子商務范圍和規模不斷的發展，此類問題也將與日俱增。

(4)電子商務信息網絡安全中的其它問題

① 內部安全

從目前的調查情況來分析，來自內部的信息安全問題有80%以上，尤其體現上信用卡和商業欺詐中，內部人員引發的事件尤其突出。

② 惡意代碼

惡意代碼將繼續對互聯網絡系統構成威脅，其數量將隨著互聯網的不斷發展和java編程技術的更新而增多，腳本語言的便利使用也更增加了破壞的強度與范圍。

③ 可靠性差

國內互聯主干網和DNS服務器的可靠性還不能真正滿足人們的需求，大部分撥號PPP連接質量并不穩定，并且速度也有待提高。

④缺乏必要的技術人才

近幾年來網絡購物得到了迅猛的發展，網上購物必將成為人們的首選方式，因此社會上需要足夠的技術人才來處理網絡中遇到的各類問題。

四、安全問題的主要幾點應對措施

電子商務發展過程中出現的此類安全問題，必將阻礙我國電子商務進一步的發展。這就需要政府和相關企業共同努力加以解決。筆者提出以下幾種主要應對措施[2 ]：

(1)防火墻技術用以加強控制網絡之間的訪問，防止外部網絡用戶以非法手段通過外部網絡進入企業內部。電子商務的廣泛應用中，電子商務的安全性仍然體現在網絡安全和交易數據的安全，常見的幾種保護措施有防火墻技術。防火墻技術包括有包過濾、代理服務、狀態監控等相關技術。防火墻技術的主要技術特點是：過濾非法的服務，提高網絡安全和減少子網中各個主機的風險；阻擊攻擊者獲取攻擊網絡系統的相關信息；利用統計數據來鑒別可能存在攻擊和探測等。

(2)完善電子商務相關體系。積極組織國際合作，順應國際電子商務潮流，構建符合中國國情的電子商務體系。維護國家利益和網絡經濟的安全，注重電子商務相關技術的自主知識產權技術的研發，避免過度依賴進口。所以，相關企業要勇于投資，深入開展電子商務技術的研發工作。

(3)建設網絡基礎設施，加快行業信息化的進程。拓展相關領域的應用、研究對應的科學技術，這是信息領域及網絡數據安全領域不斷創新和可持續發展的源泉。電子商務發展的物質基礎和載體是信息基礎設施。需要多種學科和各類人才的支持才能建設起來，更有賴于政府和企業界的齊心協力，特別是政府的相關政策引導和大力扶持。

(4)大力培養電子商務的人才。我國電子商務發展相對較晚，電子商務人才培養未能跟上西方發達國家。在電子商務人才培養過程中，還存在著許多問題：如培養目標定位不準、師資力量比較薄弱、專業人才數量奇缺、人才結構不合理、高校專業課程設置與企業現實需求脫節等問題，這些都會制約電子商務未來的發展。因此，注重對電子商務方面的人才的培養有著無法估量的現實意義。

(5)加強電子商務法律法規建設。針對利用高科技信息及應用系統等新形式犯罪，相關部門應盡快組織力量，分析電子商務發展的客觀需要，修改現有的電子商務相關的法律法規。在修改法律過程中 ，可以適當增加對網絡犯罪的處罰條款，增加對網絡作品知識產權保護的條款；還有電子商務建設中急需解決的有關問題，如：在電子支付、稅務管理，知識產權保護、安全認證網絡與信息安全等。可通過有關主管部門先著手制定部門規章制度與條例，通過一段時間試點運行后，再按照程序推廣并上升為法律問題。

五、結束語

綜上所述，網絡安全從本質上說是一種風險管理，任何技術手段無法保證100%的安全。電子商務安全問題同樣不僅是技術方面的問題 ，還涉及到整個法律體系、社會道德、經理管理等多方面的因素。因此，電子商務安全問題遠比計算機網絡技術問題本身更為復雜[5]。目前，還無法建立一套有效的安全系統來加以解決。 這需要我們不斷的探索研究，加快完善電子商務的系統安全機制的步伐。

參考文獻：

[1] 盧華玲; 電子商務安全技術初探[J]. 重慶工學院學報(自然科學)2007年12月.

[2] 李闖; 淺議電子商務中的安全問題[J]. 科技天地.2006.5.

[3] 張杰; 電子商務安全技術分析[J]. 科技風 2010年3月（下）

[4] 原媛; 淺談電子商務的安全[J]. 現代經濟信息. 2005年3 月.

[5] 鄭穎等; 電子商務信息安全的初探[J]. 消費導刊.2010年4月.

作者簡介

姓名：林國慶 性別: 男 出生年月：1977年3月29日

職稱: 高校實驗師

學歷/學位:本科學歷/工學碩士學位

工作單位：福建農業職業技術學院信息系