電子商務(wù)安全問題及其解決方案

1、電子商務(wù)安全問題及其解決方案 隨著信息化時代的到來，電子信息技術(shù)得到了迅速普 及和廣泛應(yīng)用，與此同時， 電子商務(wù)以其快捷、便利等優(yōu)點越來越受 到社會的認(rèn)可。電子商務(wù)改變了傳統(tǒng)的買賣雙方面對面的交流方式， 它通過網(wǎng)絡(luò)使企業(yè)面對整個世界， 電子商務(wù)的規(guī)模正在逐年迅速增長， 它帶來的商機是巨大而深遠(yuǎn)的。 電子商務(wù)的發(fā)展是互聯(lián)網(wǎng)上最大的應(yīng) 用趨勢，是國際經(jīng)貿(mào)全新的一種形式，是我國經(jīng)濟(jì)生活中的新手段， 也給我國的安全保密管理帶來新課題。一、電子商務(wù)安全問題（一）計算機網(wǎng)絡(luò)安全計算機是一種硬件設(shè)備， 硬件設(shè)備難免出現(xiàn)故障， 一旦出現(xiàn)， 將會影響電子商務(wù)系統(tǒng)的運行。 網(wǎng)絡(luò)是用戶進(jìn)行數(shù)據(jù)交換， 信息傳遞 的主

2、要途徑。通過網(wǎng)絡(luò)，用戶可以訪問網(wǎng)絡(luò)中不同的計算機系統(tǒng)。網(wǎng) 絡(luò)安全主要是考慮限制用戶對用于電子商務(wù)系統(tǒng)的計算機的訪問權(quán) 限，防止未授權(quán)的用戶對系統(tǒng)的訪問以及越權(quán)訪問。 有些企業(yè)建立的 電子商務(wù)網(wǎng)站本身在設(shè)計制作時就會有一些安全隱患， 服務(wù)器操作系 統(tǒng)本身也會有漏洞， 由于未采用加密措施， 入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng) 關(guān)或路由器上可以截獲傳送的信息， 通過多次竊取和分析， 造成網(wǎng)上 傳輸信息泄密。 不法攻擊者如果進(jìn)入電子商務(wù)網(wǎng)站， 大量用戶信息及 交易信息將被竊取。 當(dāng)入侵者掌握了信息的格式和規(guī)律后， 就通過各 種技術(shù)手段和方法， 將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改， 再發(fā)向目 的地。（二 ）誠信安全問

3、題電子商務(wù)的在線支付形式有電子支票、 電子錢包、電子現(xiàn)金、 信用卡支付等。但是采用這幾種支付方式，都要求消費者先付款，然 后商家再發(fā)貨。 因此，誠信安全也是影響電子商務(wù)快速發(fā)展的一個重 要問題。同時， 在電子商務(wù)中表現(xiàn)為商業(yè)機密的泄漏，主要包括兩個 方面：交易雙方進(jìn)行交易的內(nèi)容被第三方竊取 ;交易一方提供給另一 方使用的文件被第三方非法使用。 數(shù)據(jù)被偽造的問題， 電子商務(wù)的交 易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。 有些用戶可能對自己發(fā)出 的信息進(jìn)行惡意的否認(rèn)， 以推卸自己應(yīng)承擔(dān)的責(zé)任。 交易抵賴包括多 個方面，如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容， 收信者事后 否認(rèn)曾經(jīng)收到過某條消息或內(nèi)

4、容， 購買者做了定貨單不承認(rèn)， 商家賣 出的商品因價格差而不承認(rèn)原有的交易等。 交易信息在傳送過程中被 非法分子捕獲并被虛假信息替換， 從而達(dá)到破壞信息傳遞或偽造信息 的目的。（三 ）交易安全問題 安全問題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問題，而如何保障電 子商務(wù)活動的安全， 將一直是電子商務(wù)的核心研究領(lǐng)域。 作為一個安 全的電子商務(wù)系統(tǒng)，首先必須具有一個安全、可靠的通信網(wǎng)絡(luò)，以保 證交易信息安全、 迅速地傳遞。 電子商務(wù)在數(shù)據(jù)庫中所面臨的安全問 題表現(xiàn)在非法入侵者對數(shù)據(jù)庫的攻擊， 電子的交易信息在網(wǎng)絡(luò)上傳輸 的過程中，可能被他人非法的修改，刪除或重放 （指只能使用一次的 信息被多次使用 ），從而使

5、信息失去了真實性和完整性。電子商務(wù)交 易過程中，商家要發(fā)布產(chǎn)品信息，確認(rèn)訂購信息，收貨款 ;客戶要獲 取產(chǎn)品信息，傳遞訂購信息，支付貨款。買賣雙方都存在安全問題， 其中主要包括交易信息安全、 支付安全和誠信安全。 商務(wù)信息的存儲 依靠計算機的數(shù)據(jù)庫技術(shù)來實現(xiàn)， 信息傳輸?shù)闹饕緩绞腔ヂ?lián)網(wǎng)。 所 以，電子商務(wù)的不安全因素也正是以計算機的數(shù)據(jù)庫技術(shù)和網(wǎng)絡(luò)通信 技術(shù)的安全漏洞為主要目標(biāo)，構(gòu)成了威脅電子商務(wù)活動的主要原因， 成為不法分子入侵的主要途徑。二、電子商務(wù)安全問題的解決方案（一）提高服務(wù)的安全性 首先，應(yīng)用防火墻技術(shù)。所謂防火墻指的是一個由軟件和硬 件設(shè)備組合而成、 在內(nèi)部網(wǎng)和外部網(wǎng)之間、 專

6、用網(wǎng)與公共網(wǎng)之間的界 面上構(gòu)造的保護(hù)屏障 .是一種獲取安全性方法的形象說法，它是一種 計算機硬件和軟件的結(jié)合。 防火墻是近期發(fā)展起來的一種保護(hù)計算機 網(wǎng)絡(luò)安全的技術(shù)性措施， 它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機 構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn) / 出兩個方向通信的門檻。在網(wǎng)絡(luò) 邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng) 絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。目前的防火墻主要有以下三種類型：包 過濾防火墻、代理防火墻、雙穴主機防火墻。其次，應(yīng)用網(wǎng)關(guān)技術(shù)。 應(yīng)用級網(wǎng)關(guān)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。 它針對特定 的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯， 并在過濾的同時， 對 數(shù)據(jù)包

7、進(jìn)行必要的分析、登記和統(tǒng)計，形成報告。應(yīng)用網(wǎng)關(guān)對某些易 于登錄和控制所有輸入輸出的通訊環(huán)境給予嚴(yán)格的控制， 以防有價值 的程序和數(shù)據(jù)被竊取。（二）數(shù)據(jù)加密技術(shù) 加密技術(shù)和身份認(rèn)證技術(shù)是電子商務(wù)交易安全的基礎(chǔ)技術(shù)， 加密技術(shù)用于對信息的加密， 保證信息的機密性。 數(shù)字簽名和數(shù)字信 封技術(shù)應(yīng)用了加密技術(shù)， 建立在公共密鑰體制基礎(chǔ)上。 數(shù)字簽名技術(shù) 對信息進(jìn)行數(shù)字簽名， 保證信息的完整性和不可抵賴性。 由于交易信 息在傳輸過程中有可能遭到侵犯者的竊聽而失去機密性， 加密技術(shù)是 電子商務(wù)采取的主要保密安全措施， 是最常用的保密安全手段。 加密 技術(shù)也就是利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼 （加密 ）傳送

8、，到達(dá)目 的地后再用相同或不同的手段還原 （解密 ）。加密包括兩個元素：算法 和密鑰。密鑰和算法對加密同等重要。 密鑰加密技術(shù)的密碼體制分為 對稱密鑰體制和公共密鑰體制兩種。 相應(yīng)地， 對數(shù)據(jù)加密的技術(shù)分為 兩類，即對稱加密和非對稱加密。 對稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn) （DES，Data En cryption Sta ndard算法為典型代表，非對稱加密通常以RSA（RivestShamir Adlema n）算法為代表。如果不采用加密技術(shù)，則會影響電子 商務(wù)的發(fā)展，或者成為發(fā)展的瓶頸。（三）完善管理機制 安全實際上就是一種風(fēng)險管理。 任何技術(shù)手段都不能保證 100% 的安全。但是，安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險。決定 采用什么安全策略取決于系統(tǒng)的風(fēng)險要控制在什么程度范圍內(nèi)。 電子 商務(wù)的安全運行必須從多方面入手， 僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。 安全方案的實施， 離不開管理。 信息安全意識的加強和培育是實現(xiàn)安全管理的必備條件。它的基本原則是：要求發(fā)生在系統(tǒng)中的行為都是 有權(quán)限的行為，并且符合程序控制的要求。從管理上完善機制，加強 其有效性，往往可以解決許多技術(shù)層次解決不了的問題。三、結(jié)束語總之，電子商務(wù)的發(fā)展已