網絡安全的維度與電子商務安全體系構建

吳鴨珠

中圖分類號：F724 文獻標識碼：A

內容摘要：電子商務對我國的經濟發展有著重要的作用，在未來電子商務發展將會獲得更大的發展空間。但是電子商務依賴于互聯網，與互聯網相關的網絡安全問題對電子商務的交易存在嚴重的威脅。因此本文將從網絡安全策略的角度，對我國電子商務網絡安全體系進行分析，進而提出提升我國電子商務網絡安全的策略，為我國電子商務領域的高速發展提供保障。

關鍵詞：電子商務 互聯網 安全 發展 策略

引言

根據中國互聯網信息中心的報告顯示，2013年我國的互聯網信息安全環境不容樂觀。根據圖1數據可知，當前我國的網絡安全問題多種多樣，發生問題最高比例達到59.2%。而我國網民有74.1%都曾遭遇過信息安全問題，涉及約4.38億網民。而網絡安全問題極易帶來損失，在遭受安全問題的人群當中，約13.1%的人資料遭泄露或丟失，而8.8%的人遭受到了經濟損失。2013年下半年，全國網民因網絡安全遭受的經濟損失約達到196.3億元。可見，當前我國的信息技術和網絡在普及和發展過程中同樣催生了安全問題。此外，中國互聯網絡信息中心所發布的數據顯示，電子商務客戶中，56.2%的用戶對于電子商務交易安全性最為關心。因此在一定程度上可以說未來電子商務持續發展過程中，網絡安全問題將成為決定電子商務成敗的關鍵因素之一。

電子商務安全現狀

電子商務是一種當前利用互聯網進行商業貿易獲得的方式。可以利用互聯網開放的網絡環境實現網上購物、網上交易和在線電子支付、金融活動等。而隨著互聯網以及計算機、移動設備等終端設備的普及，我國的電子商務發展迅猛。

中國電子商務研究中心的數據報告顯示，2014年我國的電子商務市場的交易規模已經達到了13.4萬億元，而2015第一季度則達到18萬億元（見圖2）。這表明我國當前的電子商務市場發展規模不斷增大，因此在未來，電子商務平臺的交易量將會直線上升，成為我國市場經濟又一新增長點。而伴隨電子商務迅猛發展的則是由互聯網帶來的網絡安全問題。

由圖3的數據顯示，在2014年度的網絡零售投訴熱點問題當中，因網絡安全引發的信息泄露和網絡詐騙占13.68%。電子商務的發展離不開互聯網的支持，但是互聯網也存在著一定的弊端，這些弊端極易通過電子商務平臺不斷地侵蝕用戶的隱私及財產安全。可見當前我國電子商務網絡安全問題層出不窮，網絡風險勢必會對電子商務客戶群體對于電子商務平臺的信任度有所降低。

（一）電子商務安全問題

信息篡改、破壞、泄露。交易的過程實質上是交換的過程，同理，在電子商務交易之中雖未進行面對面交易，但交易是通過信息傳遞完成的，因此交易過程可以看作是信息交換的過程，在這一過程之中，只有保證信息的完整性、真實性，才能夠讓交易順利進行。但是當前在電子商務及交易過程中存在著信息篡改、破壞、泄露的危險。根據國家計算機病毒應急處理中心公布的數據顯示，我國約31%的互聯網用戶在2014年中遭受到信息泄露的問題，從而給個人生活帶來影響。信息泄露實際上是因為在信息交換過程中，信息被黑客所劫持，黑客將信息篡改、破壞等，因此造成信息不完整、喪失真實性，破壞了數據包的作用，讓交易雙方無法達到預先的目標。例如常見的交易進行過程中點擊頁面出現信息錯誤或失敗則有可能是信息遭到了篡改。而除了上述情況之外，網路軟硬件缺陷也會使信息在傳遞過程中丟失，或是一些惡意程序也會對信息進行破壞。信息被篡改、破壞、泄露等不僅違反交易規則，更讓交易雙方容易受到惡意攻擊，而一些商業機密或是消費者個人信息等一旦泄露則會引發嚴重的后果。

電子商務網站安全性問題。當前我國電子商務市場競爭激烈，除了占市場份額較大的幾個電子商務平臺，如天貓商城、京東商城、淘寶網、聚美優品等，同時也出現了一些剛起步的電子商務網站。這些電子商務網站由于資金不足，因此網站安全性難以保障。而即使是當前我國較大的電子商務網站，網站上也有可能存在漏洞，這些漏洞讓不法攻擊者可以利用SQL注入、cookies欺騙、木馬上傳等手段獲得網站的管理員賬戶和后臺web shell等方法竊取用戶信息及交易信息，給網站和用戶造成損失。

釣魚欺詐。根據國家計算機病毒應急處理中心2015年16日發布的一份報告顯示，我國目前支付類病毒數量大大提升，且其智能化程度已經達到了混淆視聽的地步，病毒可能通過仿冒我國當前主流的支付APP程序來入侵用戶電腦，從而讓支付流程被黑客操縱。而在2014年，約有30.4%的互聯網用戶遭受過釣魚欺詐，而移動客戶端的用戶遭受到釣魚欺詐的風險要高于PC端。釣魚欺詐是不法分子利用各種手段來仿冒網站、偽基站等，來欺騙用戶，以達到目的。而網絡釣魚的特點具有犯罪成本低、傳播速度快、范圍廣等特點，犯罪團伙甚至花費不到千元就能組建釣魚網站。基于釣魚欺詐的特點，自2010年以來，網絡釣魚欺詐進入了高發期。

病毒感染。根據2015年瑞星公司發布的《瑞星2014年中國信息安全報告》顯示，在2014年，我國的網絡新增網絡病毒數量呈現上升趨勢，根據瑞星截獲的病毒樣本顯示，病毒的總體數量與2013年同期相比增長了55.44%，新增的手機病毒上漲128.75%。而當前極易遭受到病毒攻擊的為路由器、NFC支付、云計算等環節。而病毒感染不僅使得用戶隱私被曝光，更容易在支付時密碼遭竊，造成經濟損失。

信息偽造。信息偽造是不發分子掌握了用戶的數據之后，篡改通過信息，假冒用戶。信息偽造通常有以下幾種常見情況：第一，虛開網站和商店，給用戶發送郵件，進行虛假交易。第二，偽造商家給用戶發送信息，騙取用戶的個人信息和賬號密碼。第三，偽造身份，給交易另一方發送郵件，竊取相關信息。這類偽造問題很容易讓沒有識別能力的商家或用戶上當受騙。

（二）電子商務安全問題的原因分析

1.電子商務主觀原因。當前電子商務的開展勢必要依賴互聯網和計算機設備以及各種軟件技術，尤其是其中的金融環節。但是互聯網的發展十余年以來無論是在資質審核、安全技術、信息保護等方面都依然處在探索階段。而隨著電子商務的發展，所涉及的環節和行業也越來越豐富，對于安全技術的要求也越來越高，但是當前電子商務平臺和網站將大多數資源投入到了市場份額擴展、網站功能完善、提升客戶體驗等方面，而許多電子商務平臺甚至長久以來未更新相應的安全技術。

2.法律環境客觀原因。當前與電子商務發展相關的法律如表1、表2、表3所示。

可以看出，在三大類目前與電子商務相關的法律法規中，尚未有對電子商務網絡安全的法律。雖然電子商務在我國的發展十分迅猛，但是相關的法律配套仍需要一定的時間來發展，才能夠與電子商務的需求相適應。而在缺乏法律約束的環境下，容易讓不法分子利用法律的漏洞對電子商務交易進行破壞。而由于沒有明確的法律條文，只能利用電子交易市場自身的制度進行電子交易雙方約束，但是這樣的約束起到的作用有限，因此要想建立安全的電子商務環境，必須要完善相關法律法規體系。

3.網民防范意識不足。以安全軟件的安裝為例，根據中國互聯網絡信息中心報告顯示，我國PC端的安全軟件安裝率為96.5%，但是手機端的安裝率僅達到70%。而不安裝安全軟件的主要原因是用戶認為自己沒發生過安全事件，因此覺得沒必要安裝，這類用戶比例達到不安裝安全軟件用戶的一半以上。此外一些常見的網絡安全防護手段采用率也未達到90%。例如給系統安裝、更新補的用戶僅為75.2%，設置復雜密碼的用戶僅為67.3%等。而這體現了我國的網絡用戶普遍不夠重視網絡安全防護。

如圖4所示，當前在進行電子商務交易過程中受到過網絡安全危害的人群采用最多的防范措施為賬號驗證、謹慎選擇網站購物、驗證賣家身份，修改密碼等。但是除了修改密碼這一項措施使用率達到92.1%，其他防范措施仍未達到90%，這表明即使在遭受過網絡安全事件后，電子商務用戶的防范意識仍然不高。

安全策略維度下電子商務安全體系構建對策

（一）網絡安全維度下電子商務安全體系構建

安全維度理論即利用不同角度（維度）來提出提升電子商務網絡安全性策略的方法。對于電子商務而言，網絡安全體系的構建可以分為多個維度，具體如圖5所示。

當前電子商務的網絡安全體系的構建可以從安全技術和管理方式兩個維度進行，而安全技術維度又包含多個維度，這些維度都是用戶安全防護的技術手段，形成一個立體的多維安全技術防護網。而管理方式維度下又有四個維度，分別是電子商務網站維度、電子商務企業維度、電子商務環境維度和電子商務用戶維度，在管理方式維度下，這四個維度覆蓋了電子商務領域。

（二）提升電子商務網絡安全的對策

1.安全技術對策。電子商務安全防護技術越來越多，為防范電子商務交易風險，需要完善技術手段。

第一，用加密技術、安全認證、交易協議等保護交易信息的安全。要建立起一套完整的PKI，結合國內外的先進技術作為支持，并且定期檢查更換交易密鑰。例如借鑒目前金融交易常用的作用，DES定期在通信網絡遠端和目的端同時更換新的密鑰，保證核心數據的安全性，進一步提升數據保密性。

對稱加密算法應用于網絡傳輸中的數據加密，發送數據時需要將密鑰傳輸給接受者，第三方只需要截取相應密鑰就可以解密數據或者非法篡改，出現安全漏洞。非對稱加密算法是龐大復雜的社會系統工程，較難實現。實際應用中把高速簡便的 DES 和對密鑰管理具有方便性和安全性的 RSA 結合使用，既提高加密、解密速度，又可以保證數據的安全。如 PEM（保密增加郵件）就是將二者結合，形成一種保密的 E-mail 通信標準。SET 和 SSL 兩種協議的加密算法的延伸，也要集合二者之長，開發一種以 PKI 為基礎的框架，融合 SET 和 SSL 長處的新的安全協議。可以采用第三方支付平臺解決網上支付的安全問題。如網關型支付平臺，它為電子商務交易提供統一支付平臺和手續費用標準，結算方便；另一種是信用擔保型支付平臺，它保護雙方，尤其是買方的合法權益，以確保資金和貨物的順利對流，為交易提供保證，改造支付流程，保護交易資金的安全。

第二，加強互聯網絡的安全性，防止信息泄漏。目前互聯網絡常用防火墻攔截對安全有危害的信息，因此利用防火墻將電子商務內外網進行防護，提升局域網的運行速度，能有效防止病毒或是木馬入侵，又能夠提升網絡的自我保護能力。利用防欺騙和MAC控制可以幫助管理員通過發現惡意流量來獲取攻擊源頭，并采取相應措施。在利用防火墻后病毒攻擊需要突破防火墻，相當于增加了病毒突破的難度，因此網關防御的作用尤為重要。目前還流行CSG內容安全網關，也是一種新型的解決網關病毒攻擊的手段，該手段能夠進行過濾、攔截，用于電子商務客戶端能夠為客戶提供足夠的防御保護。

對于電子商務網站和企業的內部的IT技術人員，要加強責任心，做好本職工作。例如要定期、及時地下載補丁，掃描內部網絡，出現問題時要及時進行整改。而對于內部網絡資源的訪問也要加強防護，防止病毒從內部入侵，因此可以采用口令認真的方式來限制和控制內部資源的訪問。對于服務器中的數據要及時進行備份，以防止意外情況的出現造成的數據丟失，造成不可挽回的后果。在管理上要加強和完善內部責任制，信任管理、授權管理等要劃分好責任，以追溯源頭。對于電子商務較嚴重所涉及的敏感數據要采取數據加密、身份認證等方式進行加密，防止客戶信息的泄露。

雖然當前我國的網絡安全技術水平略落后于國外，但是我國政府證逐步加強對于網絡安全技術研究的重視，鼓勵企業加快對互聯網安全技術的研發，參考國外先進的技術，爭取早日開發出具有獨立產權的安全技術產品，服務于我國的互聯網產業。

2.管理方式措施。具體內容有：

政府層面。當前要想營造有利于電子商務發展的網絡環境，僅靠電子商務交易各主體的自覺、自律和各自出臺的規定是遠遠不夠的，最行之有效的是完善我國電子商務法律體系，將網絡安全納入其中。法律所具有的權威性、強制性和導向性是任何機制都無法比擬的，而當前我國電子商務相關立法雖然正在逐步從各方面開始完善，但是與網絡安全相關的法律法規仍未出臺。我國政府部門應當對涉及電子商務網絡安全的內容，如原始文件、數據電文、簽名、認證等方面進行立法規范。并對一些危害電子商務網絡安全的行為提出明確的懲罰。而隨著電子商務的發展和信息技術的發展，必須要建立起完整的電子商務法律體系，才能夠與電子商務發展相銜接。

電子商務平臺和行業企業方面。第一，電子商務網站指的是例如京東商城、天貓商城、聚美優品、美團網等之類的電子商務平臺。對于此類電子商務網站來說可以從以下方面進行改進：要提高安全防范意識，對于網站中出現的漏洞或是易被攻擊之處要用技術手段加強其安全性，并且建立網絡風險防范機制，在網絡安全問題發生之時能夠及時應對。要重視基礎設備的安全管理，由于一些電子商務網站流量大，因此相關的設備必須要進行定期的維護，以免出現因設備故障而導致的網站被攻擊等情況。再者是要加大對技術維護的資金投入。網絡安全防范離不開安全技術，因此電子商務網站應當吸納更多的人才，建設自身的技術團隊，能夠與各類黑客或不法分子力量抗衡。第二，開展電子商務業務的企業，需要從人員、管理兩個方面做起。對于人員，主要是防止內部人員實施破壞，如泄露用戶隱私和內部數據等，要嚴格加強對內部人員的培訓、教育，并完善企業內部的權限分配，建立完善的監督機制。管理方面，要堅持誠信經營，不欺詐、不泄露客戶信息，并把不發送可疑鏈接、在交易過程中提醒客戶注意交易安全等細節融入到日常的交易環節之中，建立起責任制，以便發生問題能夠及時追溯原因并進行改進。

用戶方面。對于電子商務用戶來說，最重要的是要提升安全防范意識。可以從以下幾個方面做起：第一，設置安全性強的密碼，盡可能地降低密碼被盜的情況，可采用長密碼、復雜密碼等來增加密碼安全性。第二，在進行網絡購物時要根據網站的要求安裝數字證書認證，保證購物環境的安全。第三，進行賬戶實名認證。由于經過實名認證的賬戶與用戶本人關聯性提高，在遭遇異常情況時不法分子難以偽造用戶本人盜取賬戶。第四，不隨便點開鏈接，在與商家交談過程當中或是在使用電腦過程中不輕易點開來路不明的鏈接，以免遭到病毒、木馬的攻擊。第五，進行網絡支付要開通多道防護，如動態口令、動態密碼等。第六，綁定手機，及時發現賬號異常并通過手機進行緊急掛失等處理，避免損失。第七，安裝殺毒、防護軟件等，提升系統安全性。

綜上所述，雖然可以從兩個維度來構建電子商務安全體系，能夠一定程度地提升電子商務領域防范互聯網安全問題得能力和水平，但是在信息技術高速發展的今天，任何安全技術都不能長久地保證安全，可能會遭到攻擊、破解等風險。因此電子商務各主體要不斷加強技術手段防御水平，并且從多維度來進行安全防護，將管理手段與技術手段相結合，才能將風險控制在一定范圍之內，讓電子商務能夠在安全的網絡環境中發展。

參考文獻：

1.王欣.計算機信息安全策略的緯度思考與電子商務設計[D].電子科技大學，2007

2.王晶.電子商務信息的安全現狀與信息安全管理對策[J].信息安全與技術，2012（4）

3.賈樹良，樊鑫國. 電子商務安全問題分析[J]. 遼寧工程技術大學學報（社會科學版），2009（9）

4.張婭妮.電子商務網絡安全問題的現狀與防范措施[J].情報科學，2013（4）

5.宮婷.關于電子商務網絡安全的技術問題[J].商業時代，2012（5）