探討電子商務安全技術的解決方案

盤耀雄

摘 要：電子商務正在改變著人們生活以及整個社會的發展進程，貿易網絡將引起人們對管理模式、工作和生活方式乃至經營管理思維方式的綜合革新。電子商務活動的安全問題探討不僅關系到個人的信息安全，還涉及到國家經濟秩序的穩定問題，所以，探討安全問題是電子商務活動成功與否的關鍵所在。

關鍵詞：電子商務；安全問題；解決方案

隨著信息技術在貿易和商業領域的廣泛應用，利用計算機技術、網絡通信技術和因特網實現商務活動的國際化、信息化和無紙化，已成為各國商務發展的一大趨勢。電子商務正在改變著人們生活以及整個社會的發展進程，貿易網絡將引起人們對管理模式、工作和生活方式，乃至經營管理思維方式的綜合革新。對貿易和商業領域來說，電子商務的發展正在改變著傳統的貿易方式，縮減交易程序，提高辦事效率，許多網站都提供有“商城”，供網民在網上進行購物，可以說，互聯網是電子商務的最佳載體，由于其具有充分開放性、防護不足的特點，使電子商務的安全問題日益嚴重，建立一套能充分信任的安全保障制度，確保信息的真實性、可靠性和保密性，才能夠打消人們對網絡的顧慮，放心參與電子商務活動，否則，電子商務的發展將失去其支撐點。

一、電子商務安全構成及要求

互聯網上進行電子商務的活動過程：用戶通過瀏覽器發出信息，該消息經過Internet到達Web服務器，再由Web服務器調用CGI等相應程序訪問數據庫，返回用戶請求的消息給Web服務器，最后通過Internet傳給用戶。在這整個過程中我們可以看到，要實現電子商務的安全，應建立相應的商務活動的信息安全保護措施。

1. 電子商務系統安全構成

（1）系統實體安全。是保護計算機設備、設施（含網絡）以及其他媒體免遭地震、水災、火災、有害氣體和其他環境事故（如電磁污染等）破壞的措施過程，由環境安全、設備安全、媒體安全三部分組成。

（2）系統運行安全。保障系統功能的安全實現，提供一套安全措施保護信息處理過程的安全，由風險分析、審計跟蹤、備份和恢復、應急四個部分組成。

（3）系統信息安全。防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法的系統辨認、控制，由操作系統安全、數據庫安全、網絡安全、計算機病毒防護、訪問控制、加密、鑒別七個部分組成。

2. 電子商務系統安全需求

針對電子商務的安全問題的構成，只有提供了保密性、完整性、認證性、可控性和不可否認性這五個方面的安全性，才能滿足電子商務安全的需求。

（1）保密性。以保護機密信息不被非法存取以及信息在傳輸過程中不被非法竊取。

（2）完整性。防止信息在傳輸過程中丟失和重復及非法用戶對信息的惡意篡改。

（3）認證性。確保交易信息的真實性和交易雙方身份的合法性。

（4）可控性。指保證系統、數據和服務能由合法人員訪問。

（5）不可否認性。有效防止通信或交易雙方對已進行的業務的否認。

二、電子商務存在的安全技術問題及其產生的原因

在電子商務運作過程中，將面臨各種各樣的安全問題，分析電子商務的安全問題，就要依據實際考察結果，確定各種可能出現的安全問題，分析其原因和不同程度的危害性，找出電子商務中潛在的安全隱患和安全漏洞，從而有效地運用相關的電子商務安全的技術來加以控制和管理。

1. 電子商務的安全問題

典型的電子商務安全問題包括：安全漏洞、病毒感染、黑客攻擊、網絡仿冒以及來自其他方面的各種不可預測的風險。

（1）安全漏洞。在近幾年來，計算機系統的安全漏洞越來越多。安全漏洞的大量存在，使得目前電子商務的安全形勢趨于嚴峻。例如Windows驚現高危漏洞，新圖片病毒能攻擊所有用戶，該漏洞可能發生在所有的Windows操作系統上，如IE瀏覽器、Office軟件等，在用戶瀏覽特定的JPG格式圖片時，會導致緩沖區溢出，進而執行病毒攻擊代碼，包括格式化硬盤、刪除文件等。

（2）病毒感染。我國的計算機病毒感染主要就是蠕蟲等病毒在網上的猖獗傳播。蠕蟲主要是利用系統的漏洞進行自動傳播復制，由于其傳播過程中產生巨大的掃描或其他攻擊流量，從而使網絡流量急劇上升，造成網絡訪問速度變慢甚至癱瘓，這對依賴于網絡的電子商務是一個嚴重的威脅。

（3）黑客攻擊。主要表現在網頁篡改和僵尸網絡兩方面。僵尸網絡也稱Bitnet，Bot是robot的簡寫，通常是指可以自動地執行定義的功能，可以被預定義的命令控制，具有一定人工智能的程序，它可以通過溢出漏洞攻擊、蠕蟲郵件、網絡共享、口令猜測、p2p軟件等途徑進入用戶主機，一旦用戶主機被植入Bot，就主動和互聯網上的一臺或多臺控制節點取得聯系，進而自動接收黑客通過這些控制點發送的控制命令，這些受害主機和控制服務器就組成了BotNet。

（4）網絡仿冒。在國際上通稱為Phishing，在我國也稱為網絡欺詐、網絡仿冒或者是網絡釣魚。它通常是通過仿冒正規的網站來欺瞞誘騙用戶提供各種個人信息，如銀行賬戶和口令等，甚至干脆通過在假網頁或者誘餌郵件中嵌入惡意代碼的手段給用戶計算機植入木馬來直接騙取個人信息。

2. 觸發電子商務安全問題的原因

從上面的安全問題中我們可以看出，它不是個別的現象，只要有網絡的存在，安全問題就不容忽視，它不僅影響了網絡的正常運轉，還會造成許多直接或間接的經濟損失。為了盡可能避免安全損失，首先要了解造成這些問題的癥結所在。概括起來有兩個方面：先天原因和后天原因。

（1）先天原因。電子商務的實現依賴于網絡，沒有網絡的存在，電子商務無從談起。但是電子商務卻是繼網絡之后才出現的，是網絡發展過程中的產物，所以網絡的建立僅考慮了信息的傳輸這個問題，并沒有顧及電子商務安全，這樣它的全球性、開放性和共享性就使得電子商務過程中傳輸的信息安全存在先天不足，黑客們就可以利用公共的網絡環境傳播各種病毒等。

（2）后天原因。它又可以細分為管理、人和技術三方面。現代化的企業信息建設強調七分管理三分技術，在電子商務安全中也不例外。但是目前從事電子商務的企業多數都欠缺管理，由于拒絕服務攻擊在目前還沒有十分有效的技術解決方案，所以特別強調安全管理的重要性，但實際上卻沒有幾家網站事先做好了管理。其次，由于目前還缺乏對網絡犯罪有效的反擊和跟蹤手段，黑客對網站惡意攻擊同樣是威脅電子商務安全的一個原因。大量的網頁被篡改事件實際上都是黑客發泄情感的結果。當然有些國家或者企業也會故意攻擊網站，觸發安全問題來研究新的安全防范措施。很多已經開發出來的軟件會存在這樣或那樣的漏洞，這就給了攻擊者可乘之機，通過這些軟件漏洞，黑客可以編寫代碼傳播病毒等。同時，軟件開發人員為了方便，通常也會在軟件里留下“后門”，這也是導致安全問題的一個原因。

三、電子商務安全技術解決方案

針對前面分析的觸及電子商務安全問題的后天原因，可采取一定的電子商務的安全防治措施。這些措施包括技術措施和管理措施。

1. 技術措施

（1）信息加密技術。信息加密技術是電子商務安全技術中一個重要的組成部分。數據傳輸加密技術主要是對傳輸中的數據流進行加密，常用的有鏈路——鏈路加密、節點加密、端——端加密、ATM網絡加密和衛星通信加密五種方式。應根據信息系統安全策略來制定保密策略，選擇合理、合適的加密方式。另外，隨著電子商務的進一步發展，非密碼技術如信息隱藏、生物特征、量子密碼技術得到了快速發展。

（2）數字簽名技術。數字簽名技術是為了防止他人對傳輸的文件進行破壞以及如何確定發信人的身份。在電子商務安全技術中，數字簽名技術有著特別重要的地位，在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中，都要用到數字簽名技術。目前的數字簽名是建立在公共密鑰體制基礎上，RSA簽名方法和EIGamal數字簽名方法是兩種基本的數字簽名方法，許多數字簽名方法都是基于這兩種算法。RSA是可逆的公開密鑰加密系統，其數字簽名過程中運用了消息的驗證模式。而EIGamal是一種非確定性的雙鑰體制，它對同一消息，由于隨機參數選擇的不同而有不同的簽名。

（3）TCP/IP服務。TCP/IP協議即傳輸控制/網際協議，以它為基礎組建的Internet是目前國際上規模最大的計算機網絡，是保證數據完整傳輸的兩個基本的重要協議。以這些協議為基礎，TCP/IP提供了一系列標準的服務，包括電子郵件、文件轉輸、Usenet新聞組、遠程終端訪問、萬維網訪問、域名查詢等。

（4）防火墻的構造選擇。是隔離本地網絡與外界網絡之間的一道或一組執行策略的防御系統，它作為最成熟、最早產品化的網絡安全機制，其最初的設計就是防范外部攻擊，改進的防火墻技術更可有效地控制內部和病毒的破壞。在設計防火墻時，必須考慮防火墻的姿態、機構的整體安全策略、費用、基本構件和拓補結構以及維護和管理方案。另外，在選擇防火墻的使用時，要考慮諸多原則，包括網絡結構、業務應用系統需求、用戶及通信流量規模方面的需求以及可靠性、可用性和易用性等方面的需求。

2. 管理措施

安全管理措施通常是以制度的形式出現的，即用條文對各項安全要求作出規定。這些制度包括人員管理制度，保密制度，跟蹤、審計、稽核制度，系統維護制度，數據備份（容災）制度，病毒防范制度和應急措施等。

（1）人員管理制度。人是電子商務活動中的主要參與者，對于像網絡管理員這樣的人員，需要具備相當的職業道德。必須經過嚴格選拔，認真落實工作責任，并徹底貫徹電子商務安全運作基本原則。

（2）保密制度。從事電子商務工作的企業，內部會涉及很多保密信息，如客戶隱私、公司財務狀況、密鑰等，而每類信息又有不同的安全級別，哪些是可以讓客戶隨意訪問的，哪些是公司普通員工可以訪問的，哪些又是高級員工才能訪問的，這些都應該通過保密制度明確下來。

（3）跟蹤、審計、稽核制度。以系統自動生成日志文件的形式來記錄系統運行的全過程。審計制度是規定網絡審計員應經常對系統的日志文件檢查、審核，及時發現異常狀況，監控和捕捉各種安全事件，并對系統日志進行保存、維護和管理。稽核制度是指工商管理、銀行、稅務人員利用計算機及網絡系統，借助稽核業務應用軟件調閱、查詢、審核、判斷轄區內電子商務參與單位業務經營活動的合理性、安全性、堵塞漏洞，保證電子商務交易安全，發出相應的警示或作出處理處罰的有關決定的一系列步驟措施。

（4）系統維護制度。包括硬件和軟件的日常管理與維護。對于通信線路，一般分為內部線路和租用線路兩種，對于內部線路，我們采用結構化布線，而對于租用電信部門的通信線路，企業應記錄通信線路的連通情況，一旦故障發生，及時與電信部門聯系，以便迅速恢復通信。對于網絡設備的維護，我們一般采取在網絡設備上安裝相應的網管軟件，通過這些軟件實現自動管理和維護。對于操作系統，通過定期清理日志文件和臨時文件、定期整理文件系統、檢測服務器上的活動狀態和用戶注冊數、處理運行中的死機情況等來進行維護。而對于應用軟件的管理和維護工作，主要是進行版本更新控制。

（5）數據備份（容災）制度。按照其容災能力的高低可分為多個層次：從最簡單的僅在本地進行磁帶備份，到將備份的磁帶存儲在異地，再建立應用系統實時切換的異地備份系統，恢復時間也可以從幾天級到小時級到分鐘級、秒級或0數據丟失等。企業應根據自身情況，對不同安全級別的數據制定不同的數據容災制度。

（6）病毒防范制度。病毒對網絡交易的順利進行和交易數據的妥善保存造成了極大的威脅。從事網上交易的企業和個人都應當建立病毒防范制度，排除病毒的騷擾。一般我們要給自己的計算機安裝防病毒軟件，認真執行病毒定期清理制度，并設置控制權限，謹慎打開陌生地址的電子郵件，還要高度警惕網絡陷阱。

（7）應急措施。在計算機災難事件發生時，利用應急計劃、輔助軟件和應急設施，排除災難和故障，保障計算機信息系統繼續運行或緊急恢復正常運行。在啟動電子商務業務之初，就必須制訂交易安全計劃和應急方案，以防萬一。

電子商務作為一種全新的業務和服務方式，在為全球用戶提供了豐富的商務信息、簡捷的交易過程和低廉的交易成本的同時，也把人們引進了安全陷阱。因此，在保證電子商務的正常運作的同時，必須高度重視電子商務活動的安全問題及相應的防治措施和技術。電子商務的安全問題不僅關系到個人的安全還涉及到國家的經濟安全、經濟秩序穩定問題，而且安全問題也是電子商務成功與否的關鍵所在。

目前，基于Internet的電子商務還剛剛開始，許多方面都不夠完善，并且我國和發達國家之間的差距依然很大，這就要求我們要密切關注電子商務發展的動態，積極研究電子商務中存在的技術問題，把握住這一良好的發展時機。

參考文獻：

[1]勞幗齡.電子商務的安全技術[M].北京:中國水利水電出版社,2005.

[2]李琪,鐘誠.電子商務安全[M].重慶:重慶大學出版社,2004.

[3]李紅,梁晉.電子商務技術[M].北京:人民郵電出版社,2001.

（珠海市高級技工學校）