電子商務(wù)安全問題

馬中亞

【摘 要】隨著互聯(lián)網(wǎng)的全面普及，基于互聯(lián)網(wǎng)的電子商務(wù)也應(yīng)運而生，并在近年來獲得了巨大的發(fā)展，成為一種全新的商務(wù)模式，被許多經(jīng)濟專家認為是新的經(jīng)濟增長點。同時，這種電子商務(wù)模式對管理水平、信息傳遞技術(shù)都提出了更高的要求，其中安全體系的構(gòu)建又顯得尤為重要。如何建立一個安全、便捷的電于商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護，是商家和用戶都十分關(guān)注的話題。安全問題己成為電子商務(wù)的核心問題。

【關(guān)鍵詞】電子商務(wù)安全技術(shù)安全協(xié)議

文章編號：ISSN1006—656X（2013）12-0007-01

電子商務(wù)的發(fā)展已將全球的企業(yè)都推進到一場真的商業(yè)革命大潮中，安全問題是關(guān)鍵。電子商務(wù)系統(tǒng)是在開放的Internet平臺上的一個涉及信息、資金和物資交易的綜合交易系統(tǒng)，其安全對象是一個開放的、人在其中頻繁活動的、與社會系統(tǒng)緊密耦合的復雜系統(tǒng)，它是由商業(yè)組織本身（包括營銷系統(tǒng)、支付系統(tǒng)、配送系統(tǒng)等）與信息技術(shù)系統(tǒng)復合構(gòu)成的。系統(tǒng)的安全目標與安全策略，是由組織的性質(zhì)與需求所決定的。

一、電子商務(wù)的安全問題

（一）計算機安全問題

計算機是電子商務(wù)活動中所使用的重要工具，因此計算機的安全對于電子商務(wù)安全具有很重要的影響，如何保證計算機的安全也就成為電子商務(wù)安全中需要重點關(guān)注的問題。我們通常把計算機安全分成3類：保密、完整和即需。保密是指防止未經(jīng)授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性；完整是防止未經(jīng)授權(quán)的數(shù)據(jù)修改；即需是防止延遲或拒絕服務(wù)。計算機安全中最知名的領(lǐng)域是保密，新聞媒體上每個月都會有非法進入政府計算機或用偷來的信用卡號訂購商品的報道。相對來說完整所受的安全威脅較少，因此大眾對這個領(lǐng)域比較陌生。如果一封電子郵件的內(nèi)容被篡改成完全相反的意思，這就是對完整性的破壞。對即需性破壞的案例很多，而且頻繁發(fā)生。延遲一個消息或消除它有時會帶來災(zāi)難性的后果。

（二）網(wǎng)絡(luò)安全問題

網(wǎng)絡(luò)安全所遭受到的攻擊可以分為以下4類：

（1）中斷。指系統(tǒng)的部分組件遭到破壞或使其不能發(fā)揮作用，如切斷系統(tǒng)主機對外的網(wǎng)絡(luò)連線使其無法使用，這是對系統(tǒng)的可用性做的攻擊。（2）介入。指未經(jīng)授權(quán)者授權(quán)取得系統(tǒng)的資源，其中的未經(jīng)授權(quán)者可以是一臺計算機、一個人，或是一組程序，如利用軟件竊取網(wǎng)絡(luò)上傳送的機密數(shù)據(jù)，就是對數(shù)據(jù)機密性的攻擊。（3）篡改。指系統(tǒng)資源被未經(jīng)授權(quán)的人所取得，乃至篡改內(nèi)容，如在網(wǎng)絡(luò)上傳送的訂單遭到任意改變，是對數(shù)據(jù)的正確性的攻擊。（4）假造。指未經(jīng)授權(quán)者將假造數(shù)據(jù)放入系統(tǒng)中，這是對數(shù)據(jù)的真實性的攻擊，如在網(wǎng)絡(luò)上假造身份證明文件以假冒他人。

（三）網(wǎng)絡(luò)安全的隱患主要表現(xiàn)在以下4個方面：

（1）開放性。開放性和資源共享是Internet最大的特點，也是其優(yōu)點，但它的問題卻不容忽視。（2）傳輸協(xié)議。Internet采用TCP/IP傳輸協(xié)議，這種協(xié)議本身并沒有采取任何措施來保護傳輸內(nèi)容不被竊取。TCP/IP協(xié)議是一種包交換網(wǎng)絡(luò)，各個數(shù)據(jù)包在網(wǎng)絡(luò)上都是透明傳輸?shù)模赡芙?jīng)過不同的網(wǎng)絡(luò)，并由那些網(wǎng)絡(luò)上的路由器轉(zhuǎn)發(fā)，才能到達目的計算機。而TCP/IP協(xié)議本身沒有考慮安全傳輸，很多應(yīng)用程序，如Telnet、FTP等，甚至使用明文來傳輸非常敏感的口令數(shù)據(jù)。（3）操作系統(tǒng)。Internet底層的操作系統(tǒng)是UNIX，UNIX的誕生并不是出于商業(yè)目的，所以其源代碼是公開的，這樣就很容易發(fā)現(xiàn)漏洞，給Internet用戶帶來安全問題。（4）信息電子化。與傳統(tǒng)的書面信函相比，電子化信息的固有弱點就是缺乏可信度，因為電子信息是否正確完整是很難由信息本身來鑒別的，另外電子信息還存在著難以確認信息的發(fā)出者以及信息是否被正確無誤地傳遞給接收方的問題。

二、電子商務(wù)的安全防范策略

（一）完善各項管理制度

安全管理制度是用文字形式對各項安全要求所做的規(guī)定，企業(yè)在參與電子商務(wù)初期，就應(yīng)當形成一套完整的、適應(yīng)于網(wǎng)絡(luò)環(huán)境的安全管理制度，這些制度應(yīng)當包括以下幾個方面的內(nèi)容。

（1）人員管理制度。保障計算機系統(tǒng)的安全，首先要從體制和管理上下功夫，要建立完善的安全管理的體制和制度，建立一套行之有效的安全管理措施和手段。（2）保密制度。建立完善的保密體系，提出相應(yīng)的保密措施，加強對密鑰的管理。（3）跟蹤審計制度。跟蹤是指企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機制，記錄系統(tǒng)運行的全過程，審計包括對系統(tǒng)日志的檢查、審核，以便及時發(fā)現(xiàn)故意入侵系統(tǒng)行為的記錄和違反系統(tǒng)安全要求的記錄等。

（4）系統(tǒng)維護制度。包括軟硬件的日常維護工作，做好數(shù)據(jù)備份工作。

（5）病毒防范制度。要有較強的病毒防范意識，要安裝防病毒軟件，注意不打開來自陌生地址的電子郵件，建立病毒清理制度等。

（6）應(yīng)急措施。在緊急事故發(fā)生時，利用各項應(yīng)急措施來保障計算機信息系統(tǒng)繼續(xù)運行或緊急恢復，如采用瞬時復制技術(shù)、遠程磁盤鏡像技術(shù)和數(shù)據(jù)庫恢復技術(shù)等。

（二）技術(shù)對策

（1）網(wǎng)絡(luò)安全檢測設(shè)備，如可以通過網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)找出安全隱患，提供堵住安全漏洞所必須的校正方案，監(jiān)控各種變化情況，從而使用戶可以找出經(jīng)常發(fā)生問題的根源所在。

（2）開發(fā)各種具有較高安全性的訪問設(shè)備，如安全磁盤、智能卡等。

（3）通過認證中心進行證書的認證和發(fā)放。

（4）保護傳輸線路安全，傳輸線路應(yīng)有露天保護措施或埋于地下，并要求遠離各種輻射源，以減少由于電磁干擾引起的數(shù)據(jù)錯誤。

（5）要有較強的防入侵措施，利用報警系統(tǒng)檢測違反安全規(guī)程的行為，對在規(guī)定次數(shù)內(nèi)不正確的安全密碼用戶，網(wǎng)絡(luò)系統(tǒng)可以采取行動鎖住該終端并報警。（6）加強數(shù)據(jù)加密的工作，網(wǎng)絡(luò)中的數(shù)據(jù)加密方式有鏈路加密、節(jié)點加密和端對端加密等方式。

（7）進行嚴格的訪問控制，當一個主體試圖非法使用一個未經(jīng)授權(quán)的資源時，訪問控制機制將拒絕這一企圖。

（8）建立合理的鑒別機制，包括報文鑒別、數(shù)字簽名和終端識別技術(shù)，以便查明某一個實體的身份。

（9）進行通信流的控制，使網(wǎng)絡(luò)中的數(shù)據(jù)流量比較平衡，以防止破壞者通過分析網(wǎng)絡(luò)中的某一路徑的信息流量和流向來判斷某事件的發(fā)生。

（10）數(shù)據(jù)完整性的控制，包括數(shù)據(jù)是否來自正確的發(fā)送方而非假冒，數(shù)據(jù)接收的內(nèi)容與發(fā)送時是否一致等。

（三）相應(yīng)法律法規(guī)

電子商務(wù)要健康有序地發(fā)展，就像傳統(tǒng)商務(wù)一樣，也必須有相應(yīng)的法律法規(guī)作后盾。商務(wù)過程中不可避免地會產(chǎn)生一些矛盾，電子商務(wù)也一樣。在電子商務(wù)中，合同的意義和作用沒有發(fā)生改變，但其形式卻發(fā)生了極大的變化。

（1）訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作，其信用依靠密碼的辨認或認證機構(gòu)的認證。（2）傳統(tǒng)合同的口頭形式在貿(mào)易上常常表現(xiàn)為店堂交易，并將商家所開具的發(fā)票作為合同的依據(jù)。而在電子商務(wù)中標的額較小、關(guān)系簡單的交易沒有具體的合同形式，表現(xiàn)為直接通過網(wǎng)絡(luò)訂購、付款，例如利用網(wǎng)絡(luò)直接購買軟件。（3）表示合同生效的傳統(tǒng)簽字蓋章方式被數(shù)字簽名所代替。

電子商務(wù)合同形式的變化，對于世界各國都帶來了一系列法律新問題。電子商務(wù)作為一種新的貿(mào)易形式，與現(xiàn)存的合同法發(fā)生矛盾是非常容易理解的事情。但對于法律法規(guī)來說，就有一個怎樣修改并發(fā)展現(xiàn)存合同法，以適應(yīng)新的貿(mào)易形式的問題。

參考文獻：

[1]（美）埃弗雷姆.特白思戴維.金，杰李等著王理平張曉峰譯：電子商務(wù)管理新視角（第2版）[M].電子工業(yè)出版社，2005年9月

[2]楊堅爭著：電子商務(wù)基礎(chǔ)與應(yīng)用（第五版）[M].西安電子科技大學出版社，2007年7月