電子商務中計算機網絡安全及對策

浙江財經學院信息學院 韓禎

互聯網是電子商務順暢運行的基礎，換句話說電子商務是因互聯網的出現而發展起來的，其承繼了互聯網的互通、快捷的優勢，同時其也需要承受互聯網所遭遇的種種安全威脅。隨著互聯網的發展其所面臨的安全問題也逐漸凸顯出來，計算機病毒、特洛伊木馬、系統漏洞、黑客攻擊等網絡有害信息充斥著互聯網，如果對這些安全威脅處理不當，很容易就會對個人和企業造成經濟利益的損失，甚至會對國家和社會帶來不安定的影響，所以對待互聯網上的安全威脅決不能掉以輕心，必須采取有效的應對措施，加強信息安全保障方面的工作，抓好體系建設，努力增強信息安全保障的能力，為電子商務的發展創造良好的基礎。

1 電子商務網絡安全相關概念

1.1 電子商務的概念

作為一種全新的商業的業務和服務方式，電子商務工作的主要途徑是多種的電子通信，通過這種方式其可以為全世界的用戶提供服務，讓他們享受到更豐富的商務信息和更為快捷、簡單的交易流程，而同時其只需支付更為低廉的交易成本。隨著互聯網在全世界范圍內的普及和網絡技術的不斷發展，網民的數量在不斷地增加，網民利用電子商務平臺進行交易的金額和次數也在不斷的增加，其充分享受到了網絡交易的種種優點，所以電子商務一經推出就得到了廣泛的推廣，即便是時至今日，各大電商企業已經有了很大的發展，但是在人們眼中電子商務的潛力還遠未被挖掘出來，電子商務仍然是IT行業中最有潛力發展領域。隨著互聯網發展而出現的還有網絡安全問題，電子商務也遭遇到了網絡安全問題的困擾，為排解這些困難促進電子商務的更好發展，電子商務平臺充分利用了一些網絡技術進行安全維護。

1.2 網絡安全技術在電子商務中的應用

1.2.1 防火墻技術

作為目前最常用的網絡安全防護技術，防火墻技術的要點是將防火墻放置在內部被保護的網絡和互聯網之間，其采用IP封包過濾技術，對經過電子商務交易平臺的數據進行檢測、過濾，在進口處把好關，找到不合規范的數據包，及時進行攔截，進而起到阻截的作用，防止木馬、病毒等進入到內部被保護的網絡之中，如果這些病毒進入到內部網絡之中很可能會對內部系統中的重要信息進行竊取和篡改，進而對電子商務交易平臺的運行造成極大的危險。防火墻技術主要由日志登錄系統、審計系統、FTP代理服務器、E-mail代理服務器、WWW代理服務器、Telnet代理系統、加密系統、身份驗證系統、包過濾路由器和堡壘主機等部分組成。防火墻只是安全系統的首道關口，其對電子商務交易平臺所提供的安全保障只是相對的，一般來說黑客都會將防火墻作為其實施攻擊的首選，此外，還有的黑客會繞過防火墻直接進入到內部網絡，所以在設置了防火墻之外，電子商務平臺還需要運用其他安全防護措施。

1.2.2 PKI技術

該項技術是互聯網信息安全技術的核心，也是電子商務信息安全的關鍵和基礎技術。這些技術又被稱為公鑰基礎設施，其是在公鑰密碼理論和技術基礎上建立起來的一種綜合安全平臺。該項技術的運用是通過第三方可信任機構——CA認證中心將用戶的公鑰和用戶的其他標識信息綁定在一起，進而為網絡用戶、設備提供信息安全服務，使其具有普便適用性的信息安全性。整個PKI基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等多項內容。該技術系統向用戶提供加密和數字簽名等服務時是完全透明和安全的，在此過程中，用戶不需要了解密鑰。典型、完整、有效的技術應用系統包含以下幾項內容: 認證機構、證書庫、密鑰管理、密鑰和證書的更新、證書歷史檔案、客戶端軟件等多項內容。電子商務運行平臺可以利用PKI技術建立起可信的、安全的網絡運行環境，并進而有效的解決掉電子商務運行中所存在的各種安全問題。這項技術通過CA認證中心發放的數字證書，利用這種獨特的數字證書來確保交易雙方的身份認證問題，電子商務運行過程中還會利用到該技術的加密環節，通過此環節來保證交易信息在網上傳送時不會被竊取，進而保障信息的安全性，使得電子商務在網上安全可靠的進行。

1.2.3 數據加密技術

該項技術也是電子商務安全技術中比較常用的一種手段。這種技術將電子商務活動中，買賣雙方所傳輸的數據信息進行重新編碼、加密，這樣處理的作用是即便信息被黑客竊聽或者盜走的話，其也難以對此進行解密，進而也就無法從信息中獲取買賣雙方的相關信息，從而保證了數據和數據傳輸的安全性。一般來說，此項技術又可以被分為非對稱密鑰加密技術和對稱密鑰加密技術兩種。其中前者也被稱為公開密鑰加密技術，后者則也被叫做私有密鑰加密算法。對稱密鑰加密算法主要有IDEA算法、3DES算法、PCR算法、DES算法等。對稱密鑰加密算法是最為常用的一種算法，這種算法的優點包括效率高、速度快、易管理等，但是其也存在著比較顯著的不足，那就是其容易被黑客截取和解密信息。非對稱密鑰加密算法采用的方式同上種方法有所不同，其在數據加密時使用一個密鑰，在數據解密時使用另外一個密鑰，在加密的密鑰或解密的密鑰中有一個是必須保密的。其算法類型主要包括RSA算法、橢圓曲線密碼算法等。這種算法相對于上一種算法其安全性能更高，但是其不足在于花費太高并且對這些加密的數據進行管理的難度較大。

1.2.4 數字簽名、認證技術

就目前來說，比較常用的數字簽名技術有橢圓曲線數字簽名、Hash簽名、RSA簽名和DSS簽名等幾種。單獨使用數字簽名技術可以認可數據的來源，保證數據的不可否認性，也就是能夠使接受者清晰發送對象的情況但是卻不能夠保障其發送數據的保密性，如果想實現發送數據的保密和完整性必須還要使用數據認證技術。

該項技術也可以被解讀為通過一個被廣受信賴的商業性質的中介組織發放數字證書來提供的認證服務。該項服務主要被應用于客戶、銀行和企業這三者之間，在上文中所提到的中介組織就是認證中心，其通過給三方發放數字證書來使三方建立起安全的信息交流和合作關系，并且實現彼此的信任。

1.2.5 VPN技術

該技術主要采用密鑰交換協議、電子身份認證技術和數據加密技術等將原來上層的通信協議附加上安全協議，從而使所有的用戶都可以在互聯網上安全、方便、統一的通信。此項技術的最大優點是在電子商務活動中所有被授予權利的人，不限地域和國別都可以通過該項技術訪問那些需要授權的資源，這項技術也可以被用于有效防止那些電子商務活動中沒有被授予權利，或被授予的權利已經過期的非法用戶訪問需要授權的資源。通過此項技術的廣泛應用，可以對電子商務活動過程中的數據進行保密，對客戶的隱私和可能涉及到的交易雙方的重要信息和資料都可以進行有效的保護，維護雙方利益不受到損害。

2 電子商務所面臨的網絡威脅

互聯網的開放性是把雙刃劍，既讓人感受到互聯網便捷特點也使網上出現眾多的安全風險。在網絡安全防御方面，安全技術呈現滯后和被動的特點，加上黑客等網絡安全威脅制造者攻擊的隨機性使得網絡安全無法提前預防，并且要想徹底解決網絡安全問題也并不現實，以互聯網作為運行基礎的電子商務系統，其安全性仍然十分的脆弱，電子商務信息在傳輸過程中遭遇的安全隱患主要包括以下幾個方面：

2.1 客戶信息被竊取或截獲

互聯網技術的發展使得互聯網的基本知識已經普及，黑客群體也開始改變以往單打獨斗的情形，呈現集團化作戰的趨勢，在利益的驅使下，黑客通過集團化的攻擊將客戶重要信息進行截取，使對方情況在競爭對手面前變得一目了然，使其喪失競爭的主動權。

2.2 未經授權訪問數據或服務

未經授權訪問就是沒有經過合法授權的主體通過其他方式訪問到了合法資源，在互聯網上，網絡攻擊者可以借助多種手段比如非法冒用合法用戶，進入到資源庫，接觸到資源庫中的敏感數據。

2.3 電子商務平臺漏洞

電子商務平臺由于互聯網所具有的特性可能存在諸多的安全問題，一些企業對電子商務平臺自身缺乏應有的警惕性，對交易平臺安全性重視不夠，在信息泄露或者出現安全問題時才加以重視，有些企業在管理上存在漏洞，也容易導致電子商務平臺出現安全問題。

2.4 信息完整性威脅

一些網絡攻擊者能夠利用網絡技術盜取合法用戶的身份信息和相關權限，并借助其所盜用的合法身份同其他企業進行欺詐交易，或者是利用虛假信息詐騙用戶的機密信息來盜取資金。在許多網上虛假交易的案例中，不法分子都是利用此手段進行犯罪活動的。

3 加強電子商務網絡安全問題的對策

3.1 完善企業電子商務安全管理

電子商務對企業發展大有益處至少可以使其減少交易成本并且交易行為更有效率，但是對于其存在的安全問題企業必須高度重視，為了充分利用電子商務優勢，盡最大可能降低企業成本，企業應當將對電子商務安全問題的管理措施具體化，設置專門的安全規范，配置專業的安全管理人員。

3.2 加強企業安全技術管控

企業要細化電子商務安全技術，完善電子商務平臺建設，做好系統運行維護等工作。企業的服務器安全管理層級要進一步提高，加強對信息記錄的管理，設置好安全處理預案，應用技術成熟得到廣泛認可的防火墻和病毒防護程序，安排專業安全管理人員負責企業系統的維護和升級。

3.3 努力提高自身管理水平

企業自身的安全管理在維護企業信息安全方面意義重大：第一，企業的管理層必須對電子商務安全問題高度重視，要將其視為關系企業發展的關鍵對其進行相關的技術部署。第二，企業員工在信息安全維護方面的素質要進一步加強，可以通過培訓等方式加強員工的信息安全意識。第三，要制定完善、科學的電子商務安全技術規劃，并且在企業信息傳輸過程中嚴格按照規劃的要求去采取行動。

3.4 企業要加強病毒防范的意識

加強對病毒防范等方面技術的研究可以使企業對電子商務系統中出現的病毒狀況更了解，從而能夠有效降低企業在進行電子商務活動中被病毒感染的可能性，同時企業防范病毒能力的增強也可以為企業正常進行電子交易提供比較好的網絡環境。在這樣的前提下才能夠在病毒防范方面收到良好的效果，才能夠給電子商務營造一個更健康的發展環境。

4 結語

電子商務系統中的網絡安全問題具有很強的綜合性，其牽扯到多個領域和方面，比如企業管理理念、管理制度、技術力量等。要保障電子商務的安全運行必須在多個方面加以考慮，對企業電子商務平臺可能遭受攻擊的諸多漏洞要及時彌補、完善，這樣才能夠使企業在面臨網絡攻擊時仍能夠較好保證信息安全，在企業電子商務安全系統規劃中制定完善的企業安全管理制度，加強安全技術管理和強化企業網絡安全架構都十分重要，必須協同建設，不可偏廢，這樣才能最終為企業的電子商務安全提供健康的網絡環境。

[1]李成大,張京,龔茗.計算機信息安全[M].北京:人民郵電出版社,2008.

[2]朱麗萍.網絡安全技術及防治措施[J].數字技術與應用,2011(2).

[3]陳兵.基于PKI護Ml的應用安全支撐體系研究[J].信息網絡安全,2010(7).

[4]魏玉人.網絡通信系統安全保障技術研究[J].信息網絡安全,2010(9).

[5]任礫,王諾.計算機網絡安全防控策略分析[J].網絡安全技術與應用,2009(6).