桂林電子科技大學(xué)信息科技學(xué)院 宋若翔

1.電子商務(wù)安全問(wèn)題

1.1 電子商務(wù)安全問(wèn)題產(chǎn)生的根源

電子商務(wù)的實(shí)現(xiàn)完全依賴于網(wǎng)絡(luò)，但是，電子商務(wù)卻是在網(wǎng)絡(luò)之后才出現(xiàn)的，是網(wǎng)絡(luò)發(fā)展過(guò)程中的產(chǎn)物。網(wǎng)絡(luò)建立之初，沒(méi)有考慮電子商務(wù)安全的問(wèn)題，正因如此，網(wǎng)絡(luò)全球性、共享性和開放性就使得電子商務(wù)活動(dòng)中，信息傳輸?shù)陌踩嬖谙忍觳蛔?，讓黑客們有機(jī)可乘。

1.2 網(wǎng)絡(luò)安全問(wèn)題

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展以及全面的普及，基于INTERNET的電子商務(wù)也得到了空前的發(fā)展，在當(dāng)下已然成為了一種全新的商務(wù)模式，被許多企業(yè)、學(xué)者、經(jīng)濟(jì)學(xué)家認(rèn)為是新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)。電子商務(wù)作為一種全新的商務(wù)模式，有著遠(yuǎn)大的發(fā)展前景，同時(shí)，這種新型的商務(wù)模式對(duì)信息技術(shù)又提出了更高的要求，其中網(wǎng)絡(luò)安全成了新型商務(wù)模式發(fā)展的研究熱點(diǎn)。如何架構(gòu)一個(gè)安全、舒適、便捷的電子商務(wù)網(wǎng)絡(luò)環(huán)境，對(duì)信息提供足夠強(qiáng)大的安全保障措施，是商家和用戶共同關(guān)注的話題。網(wǎng)絡(luò)安全問(wèn)題儼然已經(jīng)成為電商發(fā)展的核心問(wèn)題。網(wǎng)絡(luò)安全問(wèn)題儼然已經(jīng)成為電商發(fā)展的核心問(wèn)題。何為網(wǎng)絡(luò)安全？網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)說(shuō)，就是網(wǎng)絡(luò)上信息的安全，凡是涉及到網(wǎng)絡(luò)上信息的完整性、保密性、真實(shí)性、可用性和可控性的相關(guān)技術(shù)理論都是網(wǎng)絡(luò)安全的范疇。

1.3 目前電子商務(wù)面臨的主要安全問(wèn)題

（1）中央系統(tǒng)安全性被破壞。入侵者冒充合法用戶來(lái)修改用戶數(shù)據(jù)、刪除合法用戶原始數(shù)據(jù)，創(chuàng)建虛假訂單信息與他人進(jìn)行交易，并從中獲取非法利益。

（2）客戶資料被競(jìng)爭(zhēng)者竊取。入侵者通過(guò)對(duì)數(shù)據(jù)進(jìn)行非法的監(jiān)聽與截取，從而竊取客戶資料等敏感信息（如信用卡、銀行卡信息等），讓客戶蒙受損失。

（3）對(duì)信息的惡意篡改。入侵者可以通過(guò)對(duì)網(wǎng)絡(luò)上截獲的信息進(jìn)行惡意篡改，如篡改信息的時(shí)間、先后順序、注入偽造信息等，從而使信息喪失其真實(shí)性和完整性。

（4）拒絕服務(wù)。攻擊者向銷售商的服務(wù)器發(fā)送大量的虛假訂單信息以達(dá)到占用其資源的目的，使合法的用戶無(wú)法正常登陸到銷售商的服務(wù)器，已達(dá)到拒絕服務(wù)的目的。

（5）計(jì)算機(jī)病毒的傳播。隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒也更新?lián)Q代層出不窮。INTERNET的出現(xiàn)，使得計(jì)算機(jī)病毒的傳播速度達(dá)到了驚人的地步。例如蠕蟲病毒，其利用系統(tǒng)自身漏洞進(jìn)行復(fù)制傳播，由于傳播過(guò)程中，會(huì)產(chǎn)生巨大的攻擊流量，從而，使網(wǎng)絡(luò)流量急速上升，造成網(wǎng)絡(luò)擁塞甚至癱瘓，對(duì)于依賴網(wǎng)絡(luò)的電子商務(wù)是一個(gè)嚴(yán)重的威脅。

2.電子商務(wù)中的主要安全技術(shù)

2.1 電子商務(wù)的安全技術(shù)

從上述電子商務(wù)所面臨的安全問(wèn)題中我們不難看出，它不僅僅是個(gè)別的現(xiàn)象，只要有網(wǎng)絡(luò)的存在，安全問(wèn)題就不容忽視。網(wǎng)絡(luò)安全不僅影響了網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行，擾亂了網(wǎng)絡(luò)秩序，還會(huì)造成很多直接或者間接的經(jīng)濟(jì)損失。安全技術(shù)是電子商務(wù)安全體系中的基本策略，是伴隨著安全問(wèn)題的產(chǎn)生而出現(xiàn)的，安全技術(shù)的出現(xiàn)，在一定程度上加強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性。

2.2 網(wǎng)絡(luò)安全技術(shù)

目前，常用的網(wǎng)絡(luò)安全技術(shù)主要有病毒防范技術(shù)、防火墻技術(shù)和虛擬專用網(wǎng)VPN技術(shù)等。

（1）病毒是一種惡意的計(jì)算機(jī)指令或者計(jì)算機(jī)程序代碼，一般可分為引導(dǎo)區(qū)病毒、可執(zhí)行病毒、宏病毒和郵件病毒等，不同的病毒的危害性也不盡相同。為了防范病毒，可以采用以下的措施：

①安裝防病毒軟件，及時(shí)更新病毒庫(kù)，認(rèn)真執(zhí)行病毒定期清理制度，嚴(yán)格設(shè)置文件控制權(quán)限，瀏覽網(wǎng)頁(yè)時(shí)高度警惕網(wǎng)絡(luò)陷阱，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的整體防病毒措施；

②加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；

③對(duì)敏感的數(shù)據(jù)和重要的設(shè)備要建立必要的物理或邏輯隔離措施等。

（2）這里所說(shuō)的防火墻并不是指物理意義上的防火墻，而是指隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御安全系統(tǒng)。它能有效的限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間、或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息的通信，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，并且本身具有較強(qiáng)的抗攻擊能力，是電子商務(wù)安全防護(hù)的基礎(chǔ)設(shè)施。

（3）虛擬專用網(wǎng)絡(luò)（簡(jiǎn)稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。整個(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)上，如異步傳輸模式、幀中繼等邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸，非常適合于電子數(shù)據(jù)交換(EDI)。

2.3 信息安全技術(shù)

（1）數(shù)據(jù)加密技術(shù)是安全技術(shù)的重要組成部分之一

通過(guò)對(duì)敏感信息進(jìn)行數(shù)據(jù)加密，以保證電子商務(wù)的保密性、完整性、真實(shí)性和非否認(rèn)服務(wù)。數(shù)據(jù)加密的原理是通過(guò)一定的加密算法，將明文轉(zhuǎn)換成為無(wú)法理解的密文，阻止非法用戶理解原始數(shù)據(jù)，確保數(shù)據(jù)的保密性。

（2）安全認(rèn)證技術(shù)

1）數(shù)字信封是將對(duì)稱密鑰通過(guò)非對(duì)稱加密（即：有公鑰和私鑰兩個(gè)）的結(jié)果分發(fā)對(duì)稱密鑰的方法。在數(shù)字信封中，信息發(fā)送方采用對(duì)稱密鑰來(lái)加密信息，然后將此對(duì)稱密鑰用接收方的公開密鑰來(lái)加密（這部分稱為數(shù)字信封）之后，將它和信息一起發(fā)送給信息的接收方，信息的接收方先用相應(yīng)的私鑰打開數(shù)字信封，得到對(duì)稱密鑰，然后使用對(duì)稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。

2）數(shù)字簽名

數(shù)字簽名技術(shù)以加密技術(shù)為基礎(chǔ)，其核心是采用加密技術(shù)的加密、解密算法體制來(lái)實(shí)現(xiàn)對(duì)報(bào)文的數(shù)字簽名。數(shù)字簽名能實(shí)現(xiàn)以下功能：①接收方能夠證實(shí)發(fā)送方的真實(shí)身份；②發(fā)送方事后不能否認(rèn)所發(fā)送過(guò)的報(bào)文；③接收方或非法者不能偽造、篡改報(bào)文。

3）數(shù)字摘要

數(shù)字摘要就是采用單項(xiàng)Hash函數(shù)將文件中需要加密的明文“摘要”成一串固定長(zhǎng)度（128位）的密文，這一串密文又稱為數(shù)字指紋，它有固定的長(zhǎng)度，而且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。因此這個(gè)摘要便可以作為驗(yàn)證明文是否真身的指紋了。

3.電子商務(wù)安全策略

構(gòu)建在各種安全技術(shù)基礎(chǔ)上的企業(yè)網(wǎng)絡(luò)體系可以保障一定程度的防攻擊能力；保障數(shù)據(jù)在傳輸過(guò)程中的保密性；保障平臺(tái)在系統(tǒng)級(jí)別操作的安全性；能夠及時(shí)發(fā)現(xiàn)并制止來(lái)自網(wǎng)絡(luò)或系統(tǒng)的惡意攻擊。但真正的電子商務(wù)安全不是單純的技術(shù)問(wèn)題，而是一項(xiàng)復(fù)雜的系統(tǒng)工程，安全體系也不是簡(jiǎn)單的安全產(chǎn)品的疊加，它包含了多方面的要素，安全策略只是其中之一。

4.總結(jié)

要保證電子商務(wù)的正常運(yùn)作，就必須關(guān)注電子商務(wù)的安全技術(shù)。電子商務(wù)安全不僅涉及信息加密和解密、網(wǎng)絡(luò)安全協(xié)議、防火墻的構(gòu)建、病毒的防治，也包括相關(guān)管理制度的建立，安全技術(shù)與管理制度雙管齊下，才能更好的保護(hù)電子商務(wù)的健康發(fā)展。

[1]梁永生.電子商務(wù)安全技術(shù)[M].大連:大連理工大學(xué)出版社,2010.

[2]ChristopherSteel,RameshNagappan,RayLai著.安全模式(CoreSecurityPatterns)[M].北京:機(jī)械工業(yè)出版社,2006.