电子商务安全策略探讨

　　[摘要]本文总结了我国电子商务发展及其信息安全的现状，在详细分析了电子商务信息安全的主要威胁因素的基础上，具体探讨了电子商务安全的技术保障机制。

　　[关键词]电子商务，信息安全，网络安全，交易安全，技术保障

　　作者：姜火文

　　电子商务是利用互联网络进行的商务活动。电子商务有多种定义，但内涵大致相同，即电子商务是利用电子数据交换、电子邮件、电子资金转账等方式及互联网的主要技术在个人、企业和国家之间进行的网上广告及交易活动，内容包括商品及其订购信息、资金及其支付信息、安全及其认证信息等方面。信息安全是指利用网络管理控制和技术措施，防止网络本身及网上传输的信息财产被故意的或偶然的非授权泄漏、更改、破坏，或使网上传输的信息被非法系统辨认、控制。电子商务信息安全的具体表现有：窃取商业机密；泄漏商业机密；篡改交易信息，破坏信息的真实性和完整性；接收或发送虚假信息，破坏交易、盗取交易成果；伪造交易信息；非法删除交易信息；交易信息丢失；病毒破坏；黑客入侵等。随着互联网的快速扩张和电子商务的迅猛发展，电子商务系统的安全性已受到计算机病毒、网络黑客、计算机系统自身防御性脆弱等方面的严峻挑战。

　　一、我国电子商务发展及其信息安全现状

　　我国电子商务始于20上世纪90年代，政府主导相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐。目前，我国电子商务的广度和深度空前扩展，已经深入国民经济和日常生活的各个方面。艾瑞市场咨询公司最新的调查数据显示：截至2006年底，中国网络购物市场总用户数达到4310万人，B2C和C2C总交易额分别为82亿元和230亿元。然而，据中国互联网络信息中心（CNNIC）的一份最新调研显示，只有约15%的网民平时有网上购物的习惯，而不选择网络购物的原因主要由于对网站不信任、怕受骗，担心商品质量问题和售后服务，质疑其安全性等。

　　电子商务自从诞生之日起，安全问题就像幽灵一样如影随形而至，成为制约其进一步发展的重要瓶颈。电子商务系统的安全是与计算机安全尤其是计算机网络安全密切相关的，综合当前电子商务所面临的网络安全现状不容乐观。公安部公布了2006年全国信息网络安全调查结果，结果显示，半数以上的被调查单位发生过信息网络安全事件，病毒或木马程序感染率达84%，目前，全国已有8成左右的单位安装了防火墙和病毒查杀系统。对数据统计分析，2005年5月至2006年5月间，有54％的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序为84%，遭到端口扫描或网络攻击的占36%，垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73%。

　　二、电子商务安全威胁的主要方面

　　电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，从整体而言，电子商务安全有计算机网络安全和商务交易安全两个方面。计算机网络安全是商务交易安全的基础；商务交易安全是电子商务安全的主要内容。

　　计算机网络安全的内容主要包括：计算机网络设备安全、计算机网络系统安全。网络设备安全是指保护计算机主机硬件和物理线路的安全，保证其自身的可靠性和为系统提供基本安全前提；设备安全风险来自硬件器件与部件失效、老化、损害，自然雷击、静电、电磁场干扰等多方面，有人为因素还有自然灾害所引起的故障。例如，2006年12月26日，我国台湾附近海域发生强烈地震，造成中美海缆等６条国际海底通信光缆发生中断，使附近国家和地区的国际和地区性通信受到严重影响，给有关企业和个人造成巨大影响和严重经济损失。网络系统安全是指保护用户计算机、网络服务器等网络资源上的软件系统能正常工作，网络通信及其网络操作能安全、正常完成。网络系统安全风险来自系统的结构设计缺陷、网络安全配置缺陷、系统存在的安全漏洞、恶意的网络攻击和病毒侵入等多方面。网络系统安全是计算机网络安全的主要方面。计算机网络安全的特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。

　　商务交易安全是指商务活动在公开网络上进行时的安全，其实质是在计算机网络安全的基础上，保障商务过程顺利进行，即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性，核心内容是电子商务信息的安全。一般情况下，我们可以把电子商务安全归结为电子商务信息的安全。目前，电子商务主要存在的安全威胁有：

　　1.身份仿冒

　　攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益。主要表现有：冒充他人身份、冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户、使用欺诈邮件和虚假网页设计设骗。近年来随着电子商务、网上结算、网上银行等业务在日常生活中的普及，网络仿冒已经成为电子商务应用的主要威胁之一。

　　2.未经授权的访问

　　未经授权而不能接入系统的人通过一定手段对认证性进行攻击，假冒合法人接入系统，实现对文件进行篡改、窃取机密信息、非法使用资源等。一般采取伪装或利用系统的薄弱环节（如绕过检测控制）、收集情报（如口令）等方式实现。

　　3.服务拒绝

　　攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯，扰乱正常的资讯通道。包括：虚开网站和商店、伪造用户，对特定计算机大规模访问等，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应。

　　4.恶意程序侵入

　　任何系统都可能是有漏洞的，漏洞的存在给恶意程序侵入提供了可乘之机。恶意程序是所有含有特殊目的、非法进入计算机系统、并待机运行，能给系统或者网络带来严重干扰和破坏的程序的总称。一般可以分为独立运行类(细菌和蠕虫)和需要宿主类(病毒和特洛依木马)。恶意程序是网络安全的重要天敌，具有防不胜防的重大破坏性。例如：网络蠕虫是一种可以不断复制自己并在网络中传播的程序，蠕虫的不断蜕变并在网络上的传播，可能导致网络阻塞，致使网络瘫痪，使各种基于网络的电子商务等应用系统失效。

　　5.交易抵赖和修改

　　有些用户企图对自己在网络上发出的有效交易信息刻意抵赖，安全的电子商务系统应该有措施避免交易抵赖。为保证交易双方的商业利益、维护交易的严肃和公正，电子商务的交易文件也应该是不可修改的。

　　6．其他安全威胁

　　电子商务安全威胁种类繁多、来自各种可能的潜在方面，有蓄意而为的，也有无意造成的，例如电子交易衍生了一系列法律问题：网络交易纠纷的仲裁、网络交易契约等问题，急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。

　　三、电子商务安全的技术保障机制

　　电子商务安全包括网络安全和交易安全。因此，电子商务安全技术主要有计算机网络安全技术和商务交易安全技术两方面的保障机制。

　　1.计算机网络安全技术

　　网络安全技术伴随着网络的诞生就出现，如今已出现了日新月异的变化。VPN安全隧道、防火墙和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。目前，主要的网络安全保障技术有：

　　(1)VPN安全隧道，VPN即虚拟专用网(VirtualPrivateNetwork)，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN架构中采用了多种安全机制，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

　　(2)防火墙技术，防火墙是企业内部网络和外网之间的一套安全屏障。防火墙能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

　　(3)病毒防护和入侵检测技术，病毒防护技术可降低病毒和恶意代码攻击风险，并防止有害软件通过服务器或网络执行和传播。入侵检测系统则能够帮助网络系统快速发现攻击的发生，扩展系统管理员的安全管理能力，从而提高信息安全基础结构的完整性。

　　2.商务交易安全技术

　　商务交易安全是为了实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。它是电子商务交易过程中最核心和最关键的安全问题。目前，主要的商务交易安全保障技术有：

　　(1)数据加密技术，加密一般是利用密码算法把可懂的信息变成不可懂的信息。利用各种复杂的加密算法，通过对网络中传输的信息进行数据加密，用很小的代价即可为信息提供相当大的安全保护。

　　(2)数字签名技术，数字签名是通过密码算法对数据进行加、解密变换实现的。应用广泛的数字签名方法主要有三种，即：RSA签名、DSS签名和Hash签名。这三种算法可单独使用，也可综合在一起使用。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中，都要用到数字签名技术。

　　(3)安全协议技术，使用SET和SSI等安全协议能有效地保障交易安全。SET即安全电子交易（SecureElectronicTransaction）的简称，SET提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，已成为目前公认的信用卡/借记卡的网上交易的国际安全标准。SSL即安全套接层（SecureSocketsLayer）协议的简称，主要用于提高应用程序之间数据的安全系数。

　　四、结束语

　　电子商务的安全威胁既有来自恶意攻击、防范疏漏，还可能来自管理松散、操作疏忽等方面。因此，保障电子商务安全是一项综合工程。除了主要从技术上提高防范和保障机制外，还需要单位完善网络系统管理体制，人员加强信息安全意识。另外，电子商务实践要求有透明、和谐的交易秩序和环境保障，为此还需要政府建立和完善相应的法律体系。