浙江財(cái)經(jīng)學(xué)院信息學(xué)院 韓禎

互聯(lián)網(wǎng)是電子商務(wù)順暢運(yùn)行的基礎(chǔ)，換句話說(shuō)電子商務(wù)是因互聯(lián)網(wǎng)的出現(xiàn)而發(fā)展起來(lái)的，其承繼了互聯(lián)網(wǎng)的互通、快捷的優(yōu)勢(shì)，同時(shí)其也需要承受互聯(lián)網(wǎng)所遭遇的種種安全威脅。隨著互聯(lián)網(wǎng)的發(fā)展其所面臨的安全問題也逐漸凸顯出來(lái)，計(jì)算機(jī)病毒、特洛伊木馬、系統(tǒng)漏洞、黑客攻擊等網(wǎng)絡(luò)有害信息充斥著互聯(lián)網(wǎng)，如果對(duì)這些安全威脅處理不當(dāng)，很容易就會(huì)對(duì)個(gè)人和企業(yè)造成經(jīng)濟(jì)利益的損失，甚至?xí)?duì)國(guó)家和社會(huì)帶來(lái)不安定的影響，所以對(duì)待互聯(lián)網(wǎng)上的安全威脅決不能掉以輕心，必須采取有效的應(yīng)對(duì)措施，加強(qiáng)信息安全保障方面的工作，抓好體系建設(shè)，努力增強(qiáng)信息安全保障的能力，為電子商務(wù)的發(fā)展創(chuàng)造良好的基礎(chǔ)。

1 電子商務(wù)網(wǎng)絡(luò)安全相關(guān)概念

1.1 電子商務(wù)的概念

作為一種全新的商業(yè)的業(yè)務(wù)和服務(wù)方式，電子商務(wù)工作的主要途徑是多種的電子通信，通過(guò)這種方式其可以為全世界的用戶提供服務(wù)，讓他們享受到更豐富的商務(wù)信息和更為快捷、簡(jiǎn)單的交易流程，而同時(shí)其只需支付更為低廉的交易成本。隨著互聯(lián)網(wǎng)在全世界范圍內(nèi)的普及和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)民的數(shù)量在不斷地增加，網(wǎng)民利用電子商務(wù)平臺(tái)進(jìn)行交易的金額和次數(shù)也在不斷的增加，其充分享受到了網(wǎng)絡(luò)交易的種種優(yōu)點(diǎn)，所以電子商務(wù)一經(jīng)推出就得到了廣泛的推廣，即便是時(shí)至今日，各大電商企業(yè)已經(jīng)有了很大的發(fā)展，但是在人們眼中電子商務(wù)的潛力還遠(yuǎn)未被挖掘出來(lái)，電子商務(wù)仍然是IT行業(yè)中最有潛力發(fā)展領(lǐng)域。隨著互聯(lián)網(wǎng)發(fā)展而出現(xiàn)的還有網(wǎng)絡(luò)安全問題，電子商務(wù)也遭遇到了網(wǎng)絡(luò)安全問題的困擾，為排解這些困難促進(jìn)電子商務(wù)的更好發(fā)展，電子商務(wù)平臺(tái)充分利用了一些網(wǎng)絡(luò)技術(shù)進(jìn)行安全維護(hù)。

1.2 網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用

1.2.1 防火墻技術(shù)

作為目前最常用的網(wǎng)絡(luò)安全防護(hù)技術(shù)，防火墻技術(shù)的要點(diǎn)是將防火墻放置在內(nèi)部被保護(hù)的網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間，其采用IP封包過(guò)濾技術(shù)，對(duì)經(jīng)過(guò)電子商務(wù)交易平臺(tái)的數(shù)據(jù)進(jìn)行檢測(cè)、過(guò)濾，在進(jìn)口處把好關(guān)，找到不合規(guī)范的數(shù)據(jù)包，及時(shí)進(jìn)行攔截，進(jìn)而起到阻截的作用，防止木馬、病毒等進(jìn)入到內(nèi)部被保護(hù)的網(wǎng)絡(luò)之中，如果這些病毒進(jìn)入到內(nèi)部網(wǎng)絡(luò)之中很可能會(huì)對(duì)內(nèi)部系統(tǒng)中的重要信息進(jìn)行竊取和篡改，進(jìn)而對(duì)電子商務(wù)交易平臺(tái)的運(yùn)行造成極大的危險(xiǎn)。防火墻技術(shù)主要由日志登錄系統(tǒng)、審計(jì)系統(tǒng)、FTP代理服務(wù)器、E-mail代理服務(wù)器、WWW代理服務(wù)器、Telnet代理系統(tǒng)、加密系統(tǒng)、身份驗(yàn)證系統(tǒng)、包過(guò)濾路由器和堡壘主機(jī)等部分組成。防火墻只是安全系統(tǒng)的首道關(guān)口，其對(duì)電子商務(wù)交易平臺(tái)所提供的安全保障只是相對(duì)的，一般來(lái)說(shuō)黑客都會(huì)將防火墻作為其實(shí)施攻擊的首選，此外，還有的黑客會(huì)繞過(guò)防火墻直接進(jìn)入到內(nèi)部網(wǎng)絡(luò)，所以在設(shè)置了防火墻之外，電子商務(wù)平臺(tái)還需要運(yùn)用其他安全防護(hù)措施。

1.2.2 PKI技術(shù)

該項(xiàng)技術(shù)是互聯(lián)網(wǎng)信息安全技術(shù)的核心，也是電子商務(wù)信息安全的關(guān)鍵和基礎(chǔ)技術(shù)。這些技術(shù)又被稱為公鑰基礎(chǔ)設(shè)施，其是在公鑰密碼理論和技術(shù)基礎(chǔ)上建立起來(lái)的一種綜合安全平臺(tái)。該項(xiàng)技術(shù)的運(yùn)用是通過(guò)第三方可信任機(jī)構(gòu)——CA認(rèn)證中心將用戶的公鑰和用戶的其他標(biāo)識(shí)信息綁定在一起，進(jìn)而為網(wǎng)絡(luò)用戶、設(shè)備提供信息安全服務(wù)，使其具有普便適用性的信息安全性。整個(gè)PKI基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等多項(xiàng)內(nèi)容。該技術(shù)系統(tǒng)向用戶提供加密和數(shù)字簽名等服務(wù)時(shí)是完全透明和安全的，在此過(guò)程中，用戶不需要了解密鑰。典型、完整、有效的技術(shù)應(yīng)用系統(tǒng)包含以下幾項(xiàng)內(nèi)容: 認(rèn)證機(jī)構(gòu)、證書庫(kù)、密鑰管理、密鑰和證書的更新、證書歷史檔案、客戶端軟件等多項(xiàng)內(nèi)容。電子商務(wù)運(yùn)行平臺(tái)可以利用PKI技術(shù)建立起可信的、安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，并進(jìn)而有效的解決掉電子商務(wù)運(yùn)行中所存在的各種安全問題。這項(xiàng)技術(shù)通過(guò)CA認(rèn)證中心發(fā)放的數(shù)字證書，利用這種獨(dú)特的數(shù)字證書來(lái)確保交易雙方的身份認(rèn)證問題，電子商務(wù)運(yùn)行過(guò)程中還會(huì)利用到該技術(shù)的加密環(huán)節(jié)，通過(guò)此環(huán)節(jié)來(lái)保證交易信息在網(wǎng)上傳送時(shí)不會(huì)被竊取，進(jìn)而保障信息的安全性，使得電子商務(wù)在網(wǎng)上安全可靠的進(jìn)行。

1.2.3 數(shù)據(jù)加密技術(shù)

該項(xiàng)技術(shù)也是電子商務(wù)安全技術(shù)中比較常用的一種手段。這種技術(shù)將電子商務(wù)活動(dòng)中，買賣雙方所傳輸?shù)臄?shù)據(jù)信息進(jìn)行重新編碼、加密，這樣處理的作用是即便信息被黑客竊聽或者盜走的話，其也難以對(duì)此進(jìn)行解密，進(jìn)而也就無(wú)法從信息中獲取買賣雙方的相關(guān)信息，從而保證了數(shù)據(jù)和數(shù)據(jù)傳輸?shù)陌踩浴Ｒ话銇?lái)說(shuō)，此項(xiàng)技術(shù)又可以被分為非對(duì)稱密鑰加密技術(shù)和對(duì)稱密鑰加密技術(shù)兩種。其中前者也被稱為公開密鑰加密技術(shù)，后者則也被叫做私有密鑰加密算法。對(duì)稱密鑰加密算法主要有IDEA算法、3DES算法、PCR算法、DES算法等。對(duì)稱密鑰加密算法是最為常用的一種算法，這種算法的優(yōu)點(diǎn)包括效率高、速度快、易管理等，但是其也存在著比較顯著的不足，那就是其容易被黑客截取和解密信息。非對(duì)稱密鑰加密算法采用的方式同上種方法有所不同，其在數(shù)據(jù)加密時(shí)使用一個(gè)密鑰，在數(shù)據(jù)解密時(shí)使用另外一個(gè)密鑰，在加密的密鑰或解密的密鑰中有一個(gè)是必須保密的。其算法類型主要包括RSA算法、橢圓曲線密碼算法等。這種算法相對(duì)于上一種算法其安全性能更高，但是其不足在于花費(fèi)太高并且對(duì)這些加密的數(shù)據(jù)進(jìn)行管理的難度較大。

1.2.4 數(shù)字簽名、認(rèn)證技術(shù)

就目前來(lái)說(shuō)，比較常用的數(shù)字簽名技術(shù)有橢圓曲線數(shù)字簽名、Hash簽名、RSA簽名和DSS簽名等幾種。單獨(dú)使用數(shù)字簽名技術(shù)可以認(rèn)可數(shù)據(jù)的來(lái)源，保證數(shù)據(jù)的不可否認(rèn)性，也就是能夠使接受者清晰發(fā)送對(duì)象的情況但是卻不能夠保障其發(fā)送數(shù)據(jù)的保密性，如果想實(shí)現(xiàn)發(fā)送數(shù)據(jù)的保密和完整性必須還要使用數(shù)據(jù)認(rèn)證技術(shù)。

該項(xiàng)技術(shù)也可以被解讀為通過(guò)一個(gè)被廣受信賴的商業(yè)性質(zhì)的中介組織發(fā)放數(shù)字證書來(lái)提供的認(rèn)證服務(wù)。該項(xiàng)服務(wù)主要被應(yīng)用于客戶、銀行和企業(yè)這三者之間，在上文中所提到的中介組織就是認(rèn)證中心，其通過(guò)給三方發(fā)放數(shù)字證書來(lái)使三方建立起安全的信息交流和合作關(guān)系，并且實(shí)現(xiàn)彼此的信任。

1.2.5 VPN技術(shù)

該技術(shù)主要采用密鑰交換協(xié)議、電子身份認(rèn)證技術(shù)和數(shù)據(jù)加密技術(shù)等將原來(lái)上層的通信協(xié)議附加上安全協(xié)議，從而使所有的用戶都可以在互聯(lián)網(wǎng)上安全、方便、統(tǒng)一的通信。此項(xiàng)技術(shù)的最大優(yōu)點(diǎn)是在電子商務(wù)活動(dòng)中所有被授予權(quán)利的人，不限地域和國(guó)別都可以通過(guò)該項(xiàng)技術(shù)訪問那些需要授權(quán)的資源，這項(xiàng)技術(shù)也可以被用于有效防止那些電子商務(wù)活動(dòng)中沒有被授予權(quán)利，或被授予的權(quán)利已經(jīng)過(guò)期的非法用戶訪問需要授權(quán)的資源。通過(guò)此項(xiàng)技術(shù)的廣泛應(yīng)用，可以對(duì)電子商務(wù)活動(dòng)過(guò)程中的數(shù)據(jù)進(jìn)行保密，對(duì)客戶的隱私和可能涉及到的交易雙方的重要信息和資料都可以進(jìn)行有效的保護(hù)，維護(hù)雙方利益不受到損害。

2 電子商務(wù)所面臨的網(wǎng)絡(luò)威脅

互聯(lián)網(wǎng)的開放性是把雙刃劍，既讓人感受到互聯(lián)網(wǎng)便捷特點(diǎn)也使網(wǎng)上出現(xiàn)眾多的安全風(fēng)險(xiǎn)。在網(wǎng)絡(luò)安全防御方面，安全技術(shù)呈現(xiàn)滯后和被動(dòng)的特點(diǎn)，加上黑客等網(wǎng)絡(luò)安全威脅制造者攻擊的隨機(jī)性使得網(wǎng)絡(luò)安全無(wú)法提前預(yù)防，并且要想徹底解決網(wǎng)絡(luò)安全問題也并不現(xiàn)實(shí)，以互聯(lián)網(wǎng)作為運(yùn)行基礎(chǔ)的電子商務(wù)系統(tǒng)，其安全性仍然十分的脆弱，電子商務(wù)信息在傳輸過(guò)程中遭遇的安全隱患主要包括以下幾個(gè)方面：

2.1 客戶信息被竊取或截獲

互聯(lián)網(wǎng)技術(shù)的發(fā)展使得互聯(lián)網(wǎng)的基本知識(shí)已經(jīng)普及，黑客群體也開始改變以往單打獨(dú)斗的情形，呈現(xiàn)集團(tuán)化作戰(zhàn)的趨勢(shì)，在利益的驅(qū)使下，黑客通過(guò)集團(tuán)化的攻擊將客戶重要信息進(jìn)行截取，使對(duì)方情況在競(jìng)爭(zhēng)對(duì)手面前變得一目了然，使其喪失競(jìng)爭(zhēng)的主動(dòng)權(quán)。

2.2 未經(jīng)授權(quán)訪問數(shù)據(jù)或服務(wù)

未經(jīng)授權(quán)訪問就是沒有經(jīng)過(guò)合法授權(quán)的主體通過(guò)其他方式訪問到了合法資源，在互聯(lián)網(wǎng)上，網(wǎng)絡(luò)攻擊者可以借助多種手段比如非法冒用合法用戶，進(jìn)入到資源庫(kù)，接觸到資源庫(kù)中的敏感數(shù)據(jù)。

2.3 電子商務(wù)平臺(tái)漏洞

電子商務(wù)平臺(tái)由于互聯(lián)網(wǎng)所具有的特性可能存在諸多的安全問題，一些企業(yè)對(duì)電子商務(wù)平臺(tái)自身缺乏應(yīng)有的警惕性，對(duì)交易平臺(tái)安全性重視不夠，在信息泄露或者出現(xiàn)安全問題時(shí)才加以重視，有些企業(yè)在管理上存在漏洞，也容易導(dǎo)致電子商務(wù)平臺(tái)出現(xiàn)安全問題。

2.4 信息完整性威脅

一些網(wǎng)絡(luò)攻擊者能夠利用網(wǎng)絡(luò)技術(shù)盜取合法用戶的身份信息和相關(guān)權(quán)限，并借助其所盜用的合法身份同其他企業(yè)進(jìn)行欺詐交易，或者是利用虛假信息詐騙用戶的機(jī)密信息來(lái)盜取資金。在許多網(wǎng)上虛假交易的案例中，不法分子都是利用此手段進(jìn)行犯罪活動(dòng)的。

3 加強(qiáng)電子商務(wù)網(wǎng)絡(luò)安全問題的對(duì)策

3.1 完善企業(yè)電子商務(wù)安全管理

電子商務(wù)對(duì)企業(yè)發(fā)展大有益處至少可以使其減少交易成本并且交易行為更有效率，但是對(duì)于其存在的安全問題企業(yè)必須高度重視，為了充分利用電子商務(wù)優(yōu)勢(shì)，盡最大可能降低企業(yè)成本，企業(yè)應(yīng)當(dāng)將對(duì)電子商務(wù)安全問題的管理措施具體化，設(shè)置專門的安全規(guī)范，配置專業(yè)的安全管理人員。

3.2 加強(qiáng)企業(yè)安全技術(shù)管控

企業(yè)要細(xì)化電子商務(wù)安全技術(shù)，完善電子商務(wù)平臺(tái)建設(shè)，做好系統(tǒng)運(yùn)行維護(hù)等工作。企業(yè)的服務(wù)器安全管理層級(jí)要進(jìn)一步提高，加強(qiáng)對(duì)信息記錄的管理，設(shè)置好安全處理預(yù)案，應(yīng)用技術(shù)成熟得到廣泛認(rèn)可的防火墻和病毒防護(hù)程序，安排專業(yè)安全管理人員負(fù)責(zé)企業(yè)系統(tǒng)的維護(hù)和升級(jí)。

3.3 努力提高自身管理水平

企業(yè)自身的安全管理在維護(hù)企業(yè)信息安全方面意義重大：第一，企業(yè)的管理層必須對(duì)電子商務(wù)安全問題高度重視，要將其視為關(guān)系企業(yè)發(fā)展的關(guān)鍵對(duì)其進(jìn)行相關(guān)的技術(shù)部署。第二，企業(yè)員工在信息安全維護(hù)方面的素質(zhì)要進(jìn)一步加強(qiáng)，可以通過(guò)培訓(xùn)等方式加強(qiáng)員工的信息安全意識(shí)。第三，要制定完善、科學(xué)的電子商務(wù)安全技術(shù)規(guī)劃，并且在企業(yè)信息傳輸過(guò)程中嚴(yán)格按照規(guī)劃的要求去采取行動(dòng)。

3.4 企業(yè)要加強(qiáng)病毒防范的意識(shí)

加強(qiáng)對(duì)病毒防范等方面技術(shù)的研究可以使企業(yè)對(duì)電子商務(wù)系統(tǒng)中出現(xiàn)的病毒狀況更了解，從而能夠有效降低企業(yè)在進(jìn)行電子商務(wù)活動(dòng)中被病毒感染的可能性，同時(shí)企業(yè)防范病毒能力的增強(qiáng)也可以為企業(yè)正常進(jìn)行電子交易提供比較好的網(wǎng)絡(luò)環(huán)境。在這樣的前提下才能夠在病毒防范方面收到良好的效果，才能夠給電子商務(wù)營(yíng)造一個(gè)更健康的發(fā)展環(huán)境。

4 結(jié)語(yǔ)

電子商務(wù)系統(tǒng)中的網(wǎng)絡(luò)安全問題具有很強(qiáng)的綜合性，其牽扯到多個(gè)領(lǐng)域和方面，比如企業(yè)管理理念、管理制度、技術(shù)力量等。要保障電子商務(wù)的安全運(yùn)行必須在多個(gè)方面加以考慮，對(duì)企業(yè)電子商務(wù)平臺(tái)可能遭受攻擊的諸多漏洞要及時(shí)彌補(bǔ)、完善，這樣才能夠使企業(yè)在面臨網(wǎng)絡(luò)攻擊時(shí)仍能夠較好保證信息安全，在企業(yè)電子商務(wù)安全系統(tǒng)規(guī)劃中制定完善的企業(yè)安全管理制度，加強(qiáng)安全技術(shù)管理和強(qiáng)化企業(yè)網(wǎng)絡(luò)安全架構(gòu)都十分重要，必須協(xié)同建設(shè)，不可偏廢，這樣才能最終為企業(yè)的電子商務(wù)安全提供健康的網(wǎng)絡(luò)環(huán)境。

[1]李成大,張京,龔茗.計(jì)算機(jī)信息安全[M].北京:人民郵電出版社,2008.

[2]朱麗萍.網(wǎng)絡(luò)安全技術(shù)及防治措施[J].數(shù)字技術(shù)與應(yīng)用,2011(2).

[3]陳兵.基于PKI護(hù)Ml的應(yīng)用安全支撐體系研究[J].信息網(wǎng)絡(luò)安全,2010(7).

[4]魏玉人.網(wǎng)絡(luò)通信系統(tǒng)安全保障技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2010(9).

[5]任礫,王諾.計(jì)算機(jī)網(wǎng)絡(luò)安全防控策略分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(6).