電子商務網絡安全問題淺析

鮑曉娟,曹樹偉

（赤峰學院 遠程教育學院，內蒙古 赤峰 024000）

電子商務網絡安全問題淺析

鮑曉娟,曹樹偉

（赤峰學院 遠程教育學院，內蒙古 赤峰 024000）

隨著Internet使用人數的增加，利用Internet進行網絡購物并以銀行卡付款的消費方式已日漸流行，市場份額也在迅速增長，電子商務網站也層出不窮，但是這個剛剛新興起的商業模式在網絡安全性方面仍然存在不少問題.在電子商務中，安全性是一個至關重要的核心問題，它要求網絡能提供一種端到端的安全解決方案，如加密機制、簽名機制、安全管理、存取控制、防火墻、防病毒保護等等，這與傳統的商務活動有著很大的不同.確保交易安全，為個人保密，成為當前電子商務發展的最需解決的問題.

電子商務；安全；數字認證；加密

伴隨著計算機科學及網絡技術的飛速發展，網絡和商業相結合的產物——電子商務于1994年提出.電子商務作為Internet環境下的一種新型的商業運營模式，是市場經濟條件下最具發展潛能的市場交易方式.全球金融業以不可逆轉的趨勢向網絡化、電子化、全球化和一體化方面發展，我國電子商務網絡的發展也正方興未艾，越來越多的金融交易都是在利用互聯網開展.但是，計算機網技術的不斷發展，黑客以及惡意軟件的肆意流行，使之電子商務的軟肋——電子商務的網絡安全性凸顯為亟待解決的核心問題，電子商務的網絡安全也成為了保證電子商務交易成功的關鍵.

就在用戶身份、交易可靠性越來越令人擔憂，電子商務網絡安全問題凸顯的同時，人們開始更多地關心數字認證和對加密算法的控制.這兩個因素從最大程度上保證了電子商務中信息的有效性、機密性、完整性、可靠性、不可抵賴性、可鑒別性，從而將敏感信息泄漏的危害盡可能地降低.

1 電子商務網絡安全的發展現狀

1.1 電子商務的概念

電子商務（E-Business,E-Comerce,E-Trade）從英文的字面意思上看就是利用現在先進的電子技術從事各種商業活動的方式.

電子商務是利用計算機技術、網絡技術和遠程通信技術，實現電子化、數字化和網絡化的整個商務過程.電子商務涵蓋的范圍很廣，一般可分為企業對企業 （Business-to-Business），企業對消費者（Business-to-Consumer），個人對消費者（Consumerto-Consumer），企業對政府（Business-to-Government）等 4種模式.

1.2 電子商務網絡安全的現狀

于計算機信息有共享和易于擴散等特性,它在處理、存儲、傳輸和使用上有著嚴重的脆弱性,很容易被干擾、濫用、遺漏和丟失,甚至被泄露、竊取、篡改、冒充和破壞,還可能受到計算機病毒感染.幾乎所有的網站在建站開始及發展過程中,都似乎朝向便利性、實用性目標,往往忽略網絡安全環節,給網絡發展埋下了深深的隱患.據公安部的資料,利用計算機網絡進行的各類違法行為在中國正以每年30%的速度遞增.黑客的攻擊方法已超過計算機病毒的種類,總數達近千種.目前已發現的黑客攻擊案約占安全事件總數的15%,多數事件由于沒有造成嚴重危害或商家不愿透露而未被曝光.有媒介報道,中國95%的與Internet相連的網絡管理中心遭到過境內外黑客的攻擊或侵入,其中,銀行、金融和證券機構是黑客攻擊的重點,金融領域的黑客犯罪案件涉案金額已高達數億元.故隨著電子商務日益普及,網絡安全問題顯得異常突出,解決安全問題已成為我國電子商務正常發展的當務之急.

2 電子商務網絡安全面臨的風險

2.1 技術選擇風險

為了支撐網上業務的電子商務網站，必須選擇一種技術解決方案，這樣就產生了所選擇的技術方案在設計上可能出現的缺陷或被錯誤操作的風險.例如，在客戶信息的傳輸中，如果使用的系統與客戶終端的軟件互相不兼容，就可能導致傳輸中斷或速度降低.

2.2 系統安全風險

網絡經濟環境下，商家需要利用網絡優勢發展網絡金融，網絡金融是基于全球電子信息系統運行的金融服務形式，硬件及軟件等出現的故障或事故會引發新形式的風險.例如，由于應用軟件在研制過程中考慮不周或在編制程序時不夠嚴密導致應用軟件本身設計不完全，或未經全面測試就投入使用，導致出現應用系統在超級用戶下運行、文件權限設置不正確、業務數據以明碼形式存放、容錯能力差、自我防御能力差等缺陷，系統在運行過程中往往會出現賬務錯亂、數據信息受損，更有甚者導致整個系統崩潰.

2.3 網絡黑客攻擊風險

網絡經濟條件下，電子商務網絡安全進行網絡金融交易必須依靠計算機，依靠Internet，所有的交易資料都存儲在計算機上，通過互聯網傳遞的信息很容易成為眾多網絡黑客的攻擊目標.黑客針對Internet自身的一些缺陷，利用高超的技術和工具破壞網上數據，給進行電子交易的商家造成極大的危害.

2.4 病毒破壞風險

現階段計算機病毒越來越多，病毒的入侵往往造成網絡主機系統崩潰，帶來數據丟失等嚴重后果.計算機病毒普遍具有再生異化功能，可通過網絡進行擴散、傳播.如不能對病毒進行有效防范，將會毀壞所有數據，給商家網絡系統帶來致命威脅.

3 電子商務網絡安全問題產生的原因

3.1 自身的原因

商家運用現代通信、電子、軟件技術發展網絡金融，在很大程度上依賴于網絡的穩定性.另外，我國商家運用網絡開展金融業務，還缺乏經驗，操作不當會引起客戶對商家的網上服務不滿.作為網上商家識別用戶身份的一個重要手段，數字證書的作用、正確的使用方法首先應該清楚地向用戶說明.在實際使用過程中，大多數網上商家已經提供了數字證書的使用，但事實上大多數用戶很難了解具有相當技術含量的數字證書的完整含義.

3.2 網絡系統方面的原因

從技術角度來分析，如何通過網絡真實表達交易雙方的意愿，即如何確保數據的真實性、保密性和可靠性是網絡金融面臨的主要問題.而網絡本身的脆弱行和隱秘性又使得商家在處理網上安全問題時更加棘手.

3.3 法律方面的原因

網絡商家在現在來說還是一個新事物，它的發展還需要國家的新商業法律法規的保護.它先進的信息技術也要一系列的法規相配套.但是我國的金融立法工作相對滯后，網絡金融立法還處于醞釀和發展中.目前，網絡商家采用的規則都是協議，出現爭端時責任的認定、承擔、仲裁結果執行等復雜的法律關系問題是現有條件下難以解決的.隨著網絡商家的發展，各商家、高科技商家勢必為爭奪市場和客戶展開激烈競爭.針對目前網絡金融活動中出現的問題，借鑒先進國家的經驗，建立相關的法律，以規范網絡金融參與者的行為,及時出臺相應的法律是非常必要的,加快電子商務和網絡商家的立法進程.

4 當前電子商務網絡安全的防范措施和解決方法

目前國際通行的做法是采用CA安全認證系統.CA是Certificate Authority的縮寫，是證書授權的意思.在電子商務系統中，所有實體的證書都是由證書授權中心即CA中心分發并簽名的.一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系.

CA安全認證與基于RSA的非對稱密鑰加密構成了PK體系的核心.PKI（Pubic Key Infrastructure）是一種構建于非對稱密鑰算法基礎上，利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范，是目前比較成熟、完善的Internet網絡安全解決方案.

安全認證的主要作用是進行信息認證.信息認證的目的有兩個：確認信息發送者的身份；驗證信息的完整性，即確認信息在傳送或存儲過程中末被篡改過.常用的安全認證技術主要有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等.

4.1 數字簽名

數字簽名是通過密碼技術對電子文檔以電子形式簽名.數字簽名采用Hash函數和公鑰算法兩種機制雙重加密的方法來實現防偽、防盜,保證了數據完整性的同時又保證了數據的真實性，其完整性保證傳輸的數據沒有被修改，真實性則保證是由確定的合法者產生的Hash，而不是由其他人假冒.

數字簽名機制提供了一種鑒別方法，普遍用于商家、電子貿易等，以解決偽造、抵賴、冒充、篡改等問題數字簽名是通過密碼技術對電子文檔以電子形式簽名.

4.2 數字證書

所謂數字證書，就是用電子手段來證實一個用戶的身份及用戶對網絡資源的訪問權限.數字證書是認證中心為交易各方頒發的身份憑證，它是一個經CA數字簽名的、包含證書申請者（公開密鑰擁有者）個人信息及其公開密鑰的文件.基于公開密鑰體制（PKI）的數字證書是用來確認安全電子商務交易雙方身份的工具，由于它由證書管理中心作了數字簽名，因此任何第三方都無法修改證書的內容.任何交易雙方只有申請到相應的數字證書，才能參加安全電子商務的網上交易.數字證書一般有四種類型客戶證書、商家證書、網關證書及CA系統證書.

數字證書是用戶進行電子商務活動的網上身份證.用數字證書進行安全電子郵件的通信，在網上安全傳送電子公文，進行網上報稅.網上申請執照等各種事物活動，或者進行安全的網上購物、網上銷售、網上交費等各種貿易活動.

4.3 數字憑證

數字憑證又稱為數字證書，是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限.在網上的電子交易中,如雙方出示了各自的數字憑證，并用它來進行交易操作，那么雙方都可不必為對方身份的真偽擔心.數字憑證的內部格式是由CCITT X.509國際標準所規定的，它包括：憑證擁有者的姓名、憑證擁有者的公共密鑰、公共密鑰的有效期、頒發數字憑證的單位、數字憑證的序列號（Serial number）.數字憑證現已經應用于電子郵件、電子商務、電子基金轉移等各種用途.

4.4 數字時間戳

數字時間戳服務（DTS）指能提供電子文件發表時間的網絡安全服務項目，由專門的機構提供.時間戳是一個經加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要、DTS收到文件的日期和時間，DTS的數字簽名.

數字時間戳產生的過程為：用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要.然后將該摘要發送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密 （數字簽名），然后送回用戶.時間戳是由認證單位DTS來加封的，以DTS收到文件的時間為依據.因此，時間戳也可作為科學家的科學發明文獻的時間認證.

4.5 防火墻技術

電子商務中的防火墻主要是為了防止黑客利用不安全的服務對傳輸數據和信息進行攻擊，阻止未授權的用戶對信息資源的非法訪問，甚至是對網絡實施檢查，決定網絡之間的通信權限，監視網絡的狀態.防火墻技術主要有：包過濾型、代理服務型、復合型等三種.

防火墻是建立在通信技術和信息安全技術之上，它用于在網絡之間建立一個安全屏障，根據指定的策略對網絡數據進行過濾、分析和審計，并對各種攻擊提供有效的防范.防火墻主要用于Internet連接人和專用網與公用網之間的安全連接.

4.6 聲紋識別技術

聲紋識別又稱說話人識別，是指通過說話人語音信號的分析處理，自動確認說話人是否在所記錄的話者集合當中，以進一步確認說話人的身份.說話人識別技術是在提取原始語音信號中某些特征參數的基礎上，建立相應的參考模版或模型，然后按照一定的判決規則進行識別，最后完成確認.這樣，對于在線支付交易來說，利用聲紋技術與數字加密技術的結合來進行認證，能夠使交易的安全性得到更大的提高.

4.7 指紋識別技術

指紋識別技術是利用人類指紋的特征，通過對指紋圖案采樣、特征信息提取并與庫存樣本相比較的過程來實現身份識別的技術.

電子商務的發展網絡安全問題是首要解決的問題.但是，電子商務是一種日益廣泛的社會現象，不但要從社會角度多方面多層次地去構建電子商務的安全保障體系，更重要地是在技術方面，設計一個基于各種先進的身份認證技術、加密技術、電子商務三者相結合的安全體制，確保電子交易有效、安全地進行，必將大大推動電子商務的發展.

〔1〕張成虎，邱天.電子簽名法對我國網上商家的影響及對策[J].中國金融電腦，2004.

〔2〕吳亮，張迎春，程旺江.電子商家的資源整合與組織協調[J].中國金融電腦，2004.

〔3〕張卓其，史明坤.網上支付與網上金融服務[M].東北財經大學出版社，2008.

〔4〕崔援民.電子商務[M].經濟管理出版社，2010.

〔5〕薛偉，史達.網絡安全[M].東北財經大學出版社，2006.

〔6〕王載新.程序設計基礎[M].清華大學出版社，2004.

TP393.08

A

1673-260X（2012）09-0008-03