吳小康 朱皓東 胡子卓

摘要：網(wǎng)上支付的安全、便捷、規(guī)范和高效是電子商務(wù)活動(dòng)順利進(jìn)行的基本保證，雖然現(xiàn)有的電子商務(wù)支付系統(tǒng)在應(yīng)用中還存在著一定的缺陷和不安全因素。但現(xiàn)有的安全體系，相關(guān)技術(shù)及應(yīng)用策略的不斷創(chuàng)新所發(fā)揮的作用是無庸置疑的，中國(guó)的電子交易安全市場(chǎng)即將進(jìn)入黃金時(shí)代。我們相信，隨著密碼技術(shù)、通訊技術(shù)、軟件技術(shù)、管理水平等不斷進(jìn)步發(fā)展，網(wǎng)上金融監(jiān)督管理機(jī)制逐步建立健全，誠(chéng)信體系的進(jìn)一步完善，建立一個(gè)有安全保障的電子商務(wù)網(wǎng)上支付系統(tǒng)完全可能。

關(guān)鍵詞：電子商務(wù);安全;安全策略;技術(shù)管理

一、電子商務(wù)安全的現(xiàn)狀

作為對(duì)互聯(lián)網(wǎng)的應(yīng)用，電子商務(wù)正如雨后春筍般蓬勃發(fā)展，但由于技術(shù)不完善和管理不到位，安全隱患還很凸出。

1、基礎(chǔ)技術(shù)相對(duì)薄弱

國(guó)外有關(guān)電子商務(wù)的安全技術(shù)，其結(jié)構(gòu)或加密算法等都不錯(cuò)，但由于受到本國(guó)密碼政策的限制，公開的算法對(duì)于他們來說幾乎不能保密了，潛在安全隱患極大。比較遺憾的是我國(guó)至今還沒有自己研發(fā)成功的較為成熟的算法。

2、體系結(jié)構(gòu)不完整

電子商務(wù)安全以前大都擔(dān)當(dāng)者“救火隊(duì)”的角色，頭痛醫(yī)頭，腳痛醫(yī)腳。這種“治標(biāo)不治本”的做法，問題總是層出不窮。近年來，人們已經(jīng)開始者于從體系結(jié)構(gòu)來解決間題，應(yīng)當(dāng)說在理論上已取得了明顯進(jìn)展，但到實(shí)踐運(yùn)用還有需要更大的努力。

3、支持產(chǎn)品不過硬

目前，市場(chǎng)上有關(guān)電子商務(wù)安全的產(chǎn)品數(shù)量不少，但真正通過認(rèn)證的相當(dāng)少。主要是因?yàn)椴簧侔踩胧┦菑木W(wǎng)上“移植”來的。另外，不少電子商務(wù)安全技術(shù)的廠商對(duì)網(wǎng)絡(luò)技術(shù)很熟悉，但對(duì)安全技術(shù)普遍了解得不夠，很難開發(fā)出真正實(shí)用的、足夠的安全技術(shù)和產(chǎn)品。目前構(gòu)成我國(guó)信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)、硬件、軟件等產(chǎn)品幾乎完全建立在以美國(guó)為首的少數(shù)幾個(gè)發(fā)達(dá)國(guó)家的核心信息技術(shù)之上。

二、電子商務(wù)面臨的安全風(fēng)險(xiǎn)

由于網(wǎng)絡(luò)的復(fù)雜性和脆弱性，以因特網(wǎng)為主要平臺(tái)的電子商務(wù)的發(fā)展面臨著嚴(yán)峻的安全問題。一般來說，電子商務(wù)普遍存在者以下幾個(gè)安全風(fēng)險(xiǎn)：

1、信息的截獲和竊取這是指電子商務(wù)相關(guān)用戶或外來者未經(jīng)授權(quán)通過各種技術(shù)手沒截獲和竊取他人的文電內(nèi)容以獲取商業(yè)機(jī)密。

2、信息的算改網(wǎng)絡(luò)攻擊者依靠各種技術(shù)方法和手段對(duì)傳輸?shù)男畔⑦M(jìn)行中途的篡改、刪除或插入，并發(fā)往日的地，從而“到破壞信息完整性的目的。

3、拒絕服務(wù)拒絕服務(wù)是指在一定時(shí)間內(nèi)，網(wǎng)絡(luò)系統(tǒng)或服務(wù)器服務(wù)系統(tǒng)的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計(jì)算機(jī)硬件的人為破壞。

4、系統(tǒng)資源失竊問題在系統(tǒng)網(wǎng)絡(luò)環(huán)境中，系統(tǒng)資源失竊是最常見的安全威脅。

5、信息的假冒信息的假冒是指當(dāng)攻擊者學(xué)握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息后，可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現(xiàn)形式有假冒客戶進(jìn)行非法交易，偽造電子郵件等。

6、交易的抵賴交易抵賴包括發(fā)信者中后否認(rèn)曾經(jīng)發(fā)送過某條信息，買家做了定單后不承認(rèn)，賣家交出的商品因價(jià)格差而不承認(rèn)原先的交易等。

三、電子商務(wù)的安全管理策略

1、樹立風(fēng)險(xiǎn)意識(shí)安全管理是電子商務(wù)安全的保證，電子商務(wù)主體應(yīng)該充分意識(shí)到脆弱的安全保障背后的風(fēng)險(xiǎn)，并且風(fēng)險(xiǎn)且轉(zhuǎn)化為現(xiàn)實(shí)，損失是難以估計(jì)的。根據(jù)木桶原理，電子交易安全性取決于其最薄弱處。電子商務(wù)交易中的安全漏洞（指防范措施中的薄弱環(huán)節(jié)）層出不窮，令人防不勝防，只要有某一個(gè)方面存在安全漏洞，就很有可能導(dǎo)致整個(gè)安全防范措施全功盡棄。因此對(duì)于電子交易安全措施的保障，必須全方位進(jìn)行。

2、加強(qiáng)甚礎(chǔ)設(shè)施的安全管理電子商務(wù)交易的安全性以intermet的整體安全性為保證，必須重視基礎(chǔ)設(shè)施的安全管理，如設(shè)備的物理安全、電磁泄露等問題。對(duì)電子商務(wù)安全交易系統(tǒng)要經(jīng)常進(jìn)行檢測(cè)，對(duì)發(fā)現(xiàn)的安全隱患，制定出相應(yīng)的補(bǔ)救措施，將交易風(fēng)驗(yàn)控制在最低限度內(nèi)。要能防殺病毒，防病毒產(chǎn)品包括網(wǎng)絡(luò)防病毒產(chǎn)品和主機(jī)防病毒產(chǎn)品。主機(jī)防病毒產(chǎn)品只能對(duì)單一主機(jī)進(jìn)行保護(hù)，而網(wǎng)絡(luò)防病毒產(chǎn)品通過在網(wǎng)絡(luò)入口實(shí)施內(nèi)容檢查過濾，可以防止病毒通過郵件等方式從Internet進(jìn)入企業(yè)網(wǎng)。同時(shí)保證內(nèi)網(wǎng)和Internet安全連接。企業(yè)在防火墻外將建立獨(dú)立的Web服務(wù)器和郵件服務(wù)器供企業(yè)外部訪問用，同時(shí)在防火墻與企業(yè)內(nèi)部網(wǎng)之間，將有一臺(tái)代理服務(wù)器。該代理服務(wù)器的功能有兩個(gè)，一是安全功能，即通過代理服務(wù)器，可以屏蔽企業(yè)內(nèi)部網(wǎng)內(nèi)服務(wù)器或CP機(jī);二是緩沖功能，代理服務(wù)器可以保存經(jīng)常訪問的互聯(lián)網(wǎng)上的信息，當(dāng)CP機(jī)訪問互聯(lián)網(wǎng)時(shí)，如果被訪信息存放在代理服務(wù)器的緩沖區(qū)中，那么代理服務(wù)器可以直接從其緩沖區(qū)中把信息直接送到CP機(jī)上，而不用再次去執(zhí)行相應(yīng)的網(wǎng)絡(luò)操作。這樣，就可以省去對(duì)互聯(lián)網(wǎng)的再一次訪問，可以節(jié)省費(fèi)用。

3、對(duì)相關(guān)人員的管理?yè)?jù)網(wǎng)絡(luò)安全調(diào)查發(fā)現(xiàn)內(nèi)部人員實(shí)施的破壞比外部人員實(shí)施的破壞更頻繁。發(fā)全基礎(chǔ)設(shè)施做得再好，如果人為地泄露有關(guān)安全信息，安全設(shè)施測(cè)形同虛設(shè)。為此，首先必須重視對(duì)電子商務(wù)活動(dòng)的相關(guān)人員安全技術(shù)教育和培訓(xùn)整個(gè)系統(tǒng)管理權(quán)限的分配和監(jiān)督，道德和業(yè)務(wù)水平的培養(yǎng)，以提高相關(guān)人員敬業(yè)愛崗精神。其次，堅(jiān)持以人為本的原則，電子商務(wù)交易安全措施的實(shí)施要靠掌握高科技、現(xiàn)代商務(wù)知識(shí)和現(xiàn)代管理科學(xué)的人才來實(shí)現(xiàn)。

總結(jié)：電子商務(wù)安全是電子商務(wù)活動(dòng)的基礎(chǔ)和關(guān)鍵。文章首先研究電子商務(wù)安全的現(xiàn)狀和電子交易中通常面臨的安全風(fēng)險(xiǎn)，并提出電子商務(wù)中必須確立的安全理念和電子商務(wù)安全的基本要求，最后探討了電子商務(wù)安全解決方案及其實(shí)現(xiàn)技術(shù)。

參考文獻(xiàn)：

[1]李濤.網(wǎng)絡(luò)安全概論[M].北京：電子工業(yè)出版上，2004.

[2]鄭琦萍.電子簽名技術(shù)在電子商務(wù)中的應(yīng)用[J].中國(guó)西部科技，2005（6下）.

[3]姜華，楊靜.電子商務(wù)的網(wǎng)上支付與安全[J].中國(guó)管理信息化，2006（4）.