關于電子商務安全問題的思考

鄭文賢（武漢設計工程學院商學院國際經濟與貿易系）

有關電子商務的安全性要求

（一）對電子商務活動安全性的要求

滿足服務的有效性。電子商務體系應該有預防服務失敗狀況產生的功能，防止因為網站方面發生事故等原因而導致體系停止運轉等狀況的出現，確保雙方的交易可以迅速地傳輸。

保證交易信息的秘密性。電子商務體系應該對使用人員所發送的訊息實行合理、高效的保密，預防由于訊息被截獲而導致的泄露情況，與此同時，還應當預防訊息在未經過授權的情況下被訪問。

滿足數據的完整性需求。在數據資料的應用進程之中，原有的資料數據應當同現有的數據資料始終保持相同。為了確保雙方商貿往來的嚴謹性與公平性，雙方交易的文檔是不允許再次修正的。

必須進行身份認證。電子商務體系應當出示高效、準確、可信的身份證明，保證貿易雙方的相關材料均是合理、合法的。

（二）電子商務的主要安全要素

信息資料的可信性、高效性。電子商務從本質來講，是以電子貿易的一種方式代替了紙質貿易。在各式各樣的貿易往來之中，電子商務只是其中的一類方式，其資料的高效性與可信性會切實地涉及個體、公司或者整個國家的經濟效益與信譽。

信息資料的保密性。在各種貿易往來之中，電子商務只是其中的一類形式，但是在電子商務之中的信息資料卻意味著個體、公司或者整個國家的商業秘密。以往的紙質形式的貿易均是經過快遞發出的信件或者經過可信的聯絡方式傳送商業資料來達成對內容保密的意圖。因此，在電子商務全方位發展的過程之中，預防機密的泄露是當務之急。

信息資料的整體性。電子商務發展的實質是將傳統的貿易往來流程進行了相應的簡化，將工作量減少了許多，與此同時，也為保護商業資料的整體性帶來了相應的安全感。除此之外，數據傳送進程之中資料的掉落、信息資料的反復輸入或者信息資料輸送的順序錯位也可能會使交易雙方信息資料出現差異。所以，電子商務體系務必要確保數據傳送、儲存以及電子商務整體性檢驗的準確無誤。

信息資料的可信性、可辨別性、可控性、不可否定性。可信性要求便是客戶對信息資料進行運用的過程中，不會出現被拒絕使用的現象；不可否定要求便是可以設立十分高效的責任體制，以防合作方出現否定其行為的事情；可控性的要求便是可以掌控運用相關材料或資源的人的運用形式。在以往的紙質商貿之中，交易的兩方是經過在合作協議等紙質文檔上簽寫姓名來辨別合作方，確認協議的可信性并防止否定行為的產生。

在現行的電商形式下，經過手動簽寫姓名來實行合作方的辨別已然達不到現有的要求。所以，應當在合作資料的傳送進程之中為進行合作的個體、公司或者國家出示可信的標志。在各大網站上，每一名成員均不是實名制的，電商體系應當有效確保原交易方在傳送資料之后不可以否認，接受一方在接受資料之后也不可以否認。

電子商務安全特殊性的表現

電子商務安全具有特殊性主要表現在以下方面：與傳統的商貿相比較，電子商務在信息資料的安全層面會有更高的風險。在傳統的商務來往活動之中，其信息資料的傳送以及信息資料的儲存基本上均是經由有形的單證實施，相對來說其信息資料觸及的范圍較為狹窄，比較容易得到防護與掌控。即便在信息資料的傳送進程之中發生了損壞、修改等狀況，也能夠根據遺留下來的些許痕跡尋找相應的成因。電商行動是在開放的網站上實施交易的，信息資料的傳送主要憑借網站，其觸及范圍相對來說比較廣泛，而且信息資料被修改之后不會遺留任何跡象，因此其風險相對來說比較高。信息資料方面的風險多種多樣，有假借他人之名盜竊資料、修改他人數據、信息材料的丟失、虛無的信息資料、資料傳送進程中的損壞等。

電子商務安全需要進一步完善的配套措施

電子商務若想真真正正地變成一類主導的商業貿易形式，特別是對于發展中的國家想擴展、完善電子商務，便需要從下述的一些層面來建立健全相應的配套方案：突破關鍵技術受制于人的瓶頸；中國應當盡可能迅速地建立有關電子商務的法律條文；積極研發大型的電子商務網站，竭盡全力地開發與其保持一致的物流企業；為了保證體系的應用安全性，除了運用技能方式之外，還應當設立十分嚴謹的內層安全體制；設立網站安全維護日志，將與安全有關的訊息、材料與事項詳細地記載下來，以便有狀況產生時能夠及時地追蹤查看。對于十分必要的資料應當按時將其備份，并且對資料庫之中存儲的一些資料，資料庫體系應當依照其必要性設置各個層級的資料密碼。

電子商務安全中的技術問題及對策

電子商務是在互聯網平臺上迅速發展起來的，若想保證電商方面的安全，安全技能是一個十分必要的方面。當前中國電商之中的安全技能問題基本有兩種，第一種是數據加密；第二種是非法入侵。對此人們能夠運用下述的一些方案來解決：

（一）推展全新的加密技能

增強對密碼技能的探究與研發加密技能是信息交換安全的根基，經過數據加密等技能完善了數據機密性、不可否定性等安全方面的體制，進而保障了電商之中訊息交換的安全。密碼技能能夠劃分成二大類，第一類是對稱加密算法；第二類，是非對稱加密算法。第一類技術基本用于各種數據的加密，當前中國電商體系之中運用的這項技術基本是DES 算法：第二類技術基本用于數據加密等層面，電商安全之中的很多技能均是設立于這項技術的根基之上的，當前中國電商之中運用的這項技術基本是RSA 算法，它含有的一些劣勢是密鑰相對來說比較長，基本上不能用于移動設備方面，當前在其他國家已然逐步地運用更佳的ECC 算法來取代RSA 算法，在中國電商之中也應該拓展運用ECC 加密技術，以提升電商的應用安全性。

（二）廣入侵檢測和高可靠的容侵技術

當前我國的許多人士非常注意網絡病毒的防侵行為，普通的網絡使用人員均在電腦上裝有專門的殺毒軟件，但是人們對網絡入侵依然不太在意，尤其是公司。依照相關的數據材料，在電子商務之中由網絡侵犯導致的經濟虧損會極大地超過由于病毒而導致的經濟虧損。入侵檢測經過對網絡使用人員的行為訊息實行征集、剖析以及整理，確切地向體系的監管人員發予警示，它是當前維護網絡安全的必要技能之一。高可信的容侵是經過把機密資料依照某一類計算方法拆分成多個構成成分，僅僅得到機密資料的一個構成成分并不可以將有意義的那些內容還原出來，如此把每個部分存儲于各不相同的堡壘主機之內，運用這樣的一類工作形式可以確保即便體系中的某些主機被侵入人員掌控也不會泄露機密。伴隨駭客技能的迅速發展與中國駭客群落的迅速增長，網絡攻擊越發地增多，因此導致的經濟虧損也越發地增大，所以為了確保電子商務的平穩運作，需要大力拓展入侵檢測技能以及容侵技能，這是提升中國電商體系安全的必要方式之一。

主要的電子支付手段及其安全性分析

（一）電子信用卡

交付形式：信用卡交付是電子交付中比較多見的方式，辦法是在各大網絡環境下經過相應的SET 協議實行網絡交付，使用人員在網絡上輸送信用卡上面的卡號與密碼，加密之后輸送至銀行進行相應的交付。交付進程之中必須實行使用人員、店家以及付款需求的合理性驗證。

安全方略：電子信用卡，是經過使用人員在網絡上輸進對應的賬號/密碼+數字簽名，這些訊息均是根據SET 的交付網關平臺直接與對應的銀行實行有關交付信息的安全交互，實行網絡交付，這類交付形式的安全性是能夠獲得保障的。

安全方面的一些隱患：純粹從技能方面上來講，沒有安全方面的隱患問題。

（二）電子支票

支付形式：電子支票是運用數字化的一種方式在網絡上進行錢款的交付，交付的流程同以往的支票交付歷程幾乎相同，只不過電子支票根本不需要紙張這種中間的轉換過程，其支票的方式是經由網站傳送，并使用數字簽名取代了以往的簽名形式。

安全方略：同電子信用卡相似，運用賬號/密碼與數字簽名的形式對所需的身份進行相應的驗證。其交付當前通常是經過專門的網站、設施以及一整套全部的用戶辨別等模式化的規定達成數據的傳送，進而掌控安全性，從上述的交易過程。人們能夠得出，電子支票的交付在專門的體系上有比較可信的安全防護。