電子商務安全問題與解決策略簡析

       電子商務是以互聯(lián)網作為交易平臺進行交易，因此安全問題已經成為電子商務發(fā)展的主要問題?，F(xiàn)今電子商務發(fā)展過程中存在哪些安全威脅呢？相應的技術解決辦法是什么呢？

　
       電子商務安全的主要特性

　　
       1．機密性

　　電子商務作為貿易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個開放的網絡環(huán)境上的，維護商業(yè)機密是電子商務全面推廣應用的重要保障。

　　2．完整性

　　電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數(shù)據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。要預防對信息的隨意生成、修改和刪除，同時要防止數(shù)據傳送過程中信息的丟失和重復并保證信息傳送次序的統(tǒng)一。

　　3．可靠性

　　在傳統(tǒng)的紙面貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴，確定合同、契約、單據的可靠性并預防抵賴行為的發(fā)生。這也就是人們常說的“白紙黑字”。在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已不可能，因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。

　　4．有效性

　　電子商務以電子形式取代了紙張，那么如何保證這種電子形式貿易信息的有效性則是開展電子商務的前提。

　　5．可靠性

傳統(tǒng)的交易是面對面的，比較容易保證建立交易雙方的信任關系和交易過程的安全性；而電子商務活動中的交易行為是通過網絡進行的，買賣雙方互不見面，因而缺乏傳統(tǒng)交易中的信任感和安全感。

       美國密執(zhí)安大學一個調查機構通過對23000名因特網用戶的調查顯示，超過60%的人由于電子商務的安全問題而不愿進行網上購物。任何個人、企業(yè)或商業(yè)機構以及銀行都不會通過一個不安全的網絡進行商務交易，這樣會導致商業(yè)機密信息或個人隱私的泄露，從而導致巨大的利益損失。

根據中國互聯(lián)網絡信息中心(CNNIC)發(fā)布的“中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告”，在電子商務方面，52.26%的用戶最關心的是交易的安全可靠性。由此可見，電子商務中的網絡安全和交易安全問題是實現(xiàn)電子商務的關鍵之所在。

　　
       引起電子商務的不安全因素

　　
       商務信息的存儲依靠計算機的數(shù)據庫技術來實現(xiàn)，信息傳輸?shù)闹饕緩绞腔ヂ?lián)網。所以，電子商務的不安全因素也正是以計算機的數(shù)據庫技術和網絡通信技術的安全漏洞為主要目標，構成了威脅電子商務活動的主要原因，成為不法分子入侵的主要途徑。

　　1．數(shù)據庫面臨的安全問題

　　實現(xiàn)電子商務的企業(yè)，大都建立用來存儲和管理各種業(yè)務數(shù)據的核心數(shù)據庫。對于大多合法用戶來說，這個核心數(shù)據庫是存儲關鍵信息的一種非常便捷的方式，而從攻擊者的角度來看，直接破解這個數(shù)據庫所帶來的利益要比在網絡中嗅探數(shù)據帶來的利益打得多。通過破解數(shù)據庫，就可以只在一個點上訪問到準確的數(shù)據信息。攻擊者一旦竊取到數(shù)據庫的訪問權,就可以通過數(shù)據庫的查詢命令方便的獲取想要的信息，如信用卡號、客戶資料、報價單、價目表等機密商業(yè)信息。電子商務在數(shù)據庫中所面臨的安全問題表現(xiàn)在非法入侵者對數(shù)據庫的攻擊，電子的交易信息在網絡上傳輸?shù)倪^程中，可能被他人非法的修改，刪除或重放（指只能使用一次的信息被多次使用），從而使信息失去了真實性和完整性。

　　2．網絡通信面臨的安全問題

　　電子商務在網絡通信中所面臨的安全問題主要體現(xiàn)在以下幾個方面：交易的內容被第三方竊取；電子交易信息在網上傳輸過程中，可能被他人非法修改、刪除或重放。網絡傳輸?shù)目煽啃允苡布O備或軟件的缺陷的限制，使信息傳輸過程得不到保障；信息的存儲和傳輸受到惡意破壞的威脅，如病毒威脅，信息破壞。包括網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤；以及一些惡意程序的破壞而導致電子商務信息遭到破壞。

　　
       電子商務中的安全防范技術

　　
      為了滿足電子商務的安全要求，電子商務系統(tǒng)必須利用安全技術為電子商務活動參與者提供可靠的安全服務，具體可采用的技術有：

　　1．數(shù)字簽名技術

　　“數(shù)字簽名”是通過密碼技術實現(xiàn)電子交易安全的形象說法，是電子簽名的主要實現(xiàn)形式。它力圖解決互聯(lián)網交易面臨的幾個根本問題：數(shù)據保密、數(shù)據不被篡改、交易方能互相驗證身份、交易發(fā)起方對自己的數(shù)據不能否認。“數(shù)字簽名”是目前電子商務、電子政務中應用最普遍、技術最成熟、可操作性最強的一種電子簽名方法。它采用了規(guī)范化的程序和科學化的方法，用于鑒定簽名人的身份以及對一項電子數(shù)據內容的認可。它還能驗證出文件的原文在傳輸過程中有無變動，確保傳輸電子文件的完整性、真實性和不可抵賴性。

　　2．防火墻技術

　　防火墻是近期發(fā)展起來的一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監(jiān)控系統(tǒng)來隔離內部和外部網絡，以阻檔外部網絡的侵入。目前的防火墻主要有以下三種類型：包過濾防火墻、代理防火墻、雙穴主機防火墻。

　　3．入侵檢測系統(tǒng)

　　入侵檢測系統(tǒng)能夠監(jiān)視和跟蹤系統(tǒng)、事件、安全記錄和系統(tǒng)日志，以及網絡中的數(shù)據包，識別出任何不希望有的活動，在入侵者對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)進行報警、阻斷等響應。

　　4．信息加密技術

　　信息加密的目的是保護網內的數(shù)據、文件、口令和控制信息，保護網上傳輸?shù)臄?shù)據。網絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網絡節(jié)點之間的鏈路信息安全；端--端加密的目的是對源端用戶到目的端用戶的數(shù)據提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。

　　5．安全認證技術

　　安全認證的主要作用是進行信息認證，信息認證的目的就是要確認信息發(fā)送者的身份，驗證信息的完整性，即確認信息在傳送或存儲過程中未被篡改過。

　　6．防病毒系統(tǒng)

　　病毒在網絡中存儲、傳播、感染的途徑多、速度快、方式各異,對網站的危害較大。因此，應利用全方位防病毒產品，實施“層層設防、集中控制、以防為主、防殺結合”的防病毒策略，構建全面的防病毒體系。

　　
       主要的安全技術

       1．虛擬專用網（VPN）

       這是用于Internet交易的一種專用網絡，它可以在兩個系統(tǒng)之間建立安全的信道（或隧道），用于電子數(shù)據交換（EDI）。它與信用卡交易和客戶發(fā)送訂單交易不同，因為在VPN中，雙方的數(shù)據通信量要大得多，而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術，只要通信的雙方默認即可，沒有必要為所有的VPN進行統(tǒng)一的加密和認證?，F(xiàn)有的或正在開發(fā)的數(shù)據隧道系統(tǒng)可以進一步增加VPN的安全性，因而能夠保證數(shù)據的保密性和可用性。

　　2．數(shù)字認證

       數(shù)字認證可用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性（如一個發(fā)票未被修改過），甚至數(shù)據媒體的有效性（如錄音、照片等）。隨著商家在電子商務中越來越多地使用加密技術，人們都希望有一個可信的第三方，以便對有關數(shù)據進行數(shù)字認證。

目前，數(shù)字認證一般都通過單向Hash函數(shù)來實現(xiàn)，它可以驗證交易雙方數(shù)據的完整性，Java JDK1.1也能夠支持幾種單向Hash算法。另外，S/MIME協(xié)議已經有了很大的進展，可以被集成到產品中，以便用戶能夠對通過Email發(fā)送的信息進行簽名和認證。同時，商家也可以使用PGP（Pretty Good Privacy）技術，它允許利用可信的第三方對密鑰進行控制?？梢?，數(shù)字認證技術將具有廣闊的應用前景，它將直接影響電子商務的發(fā)展。

　　3．加密技術

       保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。現(xiàn)在，一些專用密鑰加密（如3DES、IDEA、RC4和RC5）和公鑰加密（如RSA、SEEK、PGP和EU）可用來保證電子商務的保密性、完整性、真實性和非否認服務。然而，這些技術的廣泛使用卻不是一件容易的事情。

       密碼學界有一句名言：“加密技術本身都很優(yōu)秀，但是它們實現(xiàn)起來卻往往很不理想。”現(xiàn)在雖然有多種加密標準，但人們真正需要的是針對企業(yè)環(huán)境開發(fā)的標準加密系統(tǒng)。加密技術的多樣化為人們提供了更多的選擇余地，但也同時帶來了一個兼容性問題，不同的商家可能會采用不同的標準。另外，加密技術向來是由國家控制的，例如SSL的出口受到美國國家安全局(NSA)的限制。

       目前，美國的商家一般都可以使用128位的SSL，但美國只允許加密密鑰為40位以下的算法出口。雖然40位的SSL也具有一定的加密強度，但它的安全系數(shù)顯然比128位的SSL要低得多。據報載，最近美國加州已經有人成功地破譯了40位的SSL，這已引起了人們的廣泛關注。美國以外的國家很難真正在電子商務中充分利用SSL，這不能不說是一種遺憾。上海市電子商務安全證書管理中心推出128位SSL的算法，彌補國內的空缺，并采用數(shù)字簽名等技術確保電子商務的安全。

　　
       展望

　　
       安全是電子商務生存和發(fā)展的命脈，隨著網絡信息技術的發(fā)展，安全技術平臺和安全管理策略將不斷發(fā)展和改進提高。電子商務網站的設計人員必須在精心的安全分析、風險評估、商業(yè)需求分析和網站運行效率分析的基礎上，才能制定出整體的安全解決方案。

　　消費者的個人資料必須保密，還必須確認與之交易的實體不是冒牌貨。要贏得消費者的信賴，安全解決方案必須確保消費者的個人資料嚴格保密，無論是在存貯、發(fā)送和使用時。此外，安全解決方案還必須保證與消費者進行交易的完整性。

　　對于企業(yè)方面，主要存在兩個問題。第一，確認用戶的身份，界定用戶的權限，確保用戶只能執(zhí)行權限內的行為；第二，保護企業(yè)資產免受惡意攻擊，如病毒、拒絕服務攻擊，以及資料被盜竊和損壞。