盤(pán)耀雄

摘 要：電子商務(wù)正在改變著人們生活以及整個(gè)社會(huì)的發(fā)展進(jìn)程，貿(mào)易網(wǎng)絡(luò)將引起人們對(duì)管理模式、工作和生活方式乃至經(jīng)營(yíng)管理思維方式的綜合革新。電子商務(wù)活動(dòng)的安全問(wèn)題探討不僅關(guān)系到個(gè)人的信息安全，還涉及到國(guó)家經(jīng)濟(jì)秩序的穩(wěn)定問(wèn)題，所以，探討安全問(wèn)題是電子商務(wù)活動(dòng)成功與否的關(guān)鍵所在。

關(guān)鍵詞：電子商務(wù)；安全問(wèn)題；解決方案

隨著信息技術(shù)在貿(mào)易和商業(yè)領(lǐng)域的廣泛應(yīng)用，利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)和因特網(wǎng)實(shí)現(xiàn)商務(wù)活動(dòng)的國(guó)際化、信息化和無(wú)紙化，已成為各國(guó)商務(wù)發(fā)展的一大趨勢(shì)。電子商務(wù)正在改變著人們生活以及整個(gè)社會(huì)的發(fā)展進(jìn)程，貿(mào)易網(wǎng)絡(luò)將引起人們對(duì)管理模式、工作和生活方式，乃至經(jīng)營(yíng)管理思維方式的綜合革新。對(duì)貿(mào)易和商業(yè)領(lǐng)域來(lái)說(shuō)，電子商務(wù)的發(fā)展正在改變著傳統(tǒng)的貿(mào)易方式，縮減交易程序，提高辦事效率，許多網(wǎng)站都提供有“商城”，供網(wǎng)民在網(wǎng)上進(jìn)行購(gòu)物，可以說(shuō)，互聯(lián)網(wǎng)是電子商務(wù)的最佳載體，由于其具有充分開(kāi)放性、防護(hù)不足的特點(diǎn)，使電子商務(wù)的安全問(wèn)題日益嚴(yán)重，建立一套能充分信任的安全保障制度，確保信息的真實(shí)性、可靠性和保密性，才能夠打消人們對(duì)網(wǎng)絡(luò)的顧慮，放心參與電子商務(wù)活動(dòng)，否則，電子商務(wù)的發(fā)展將失去其支撐點(diǎn)。

一、電子商務(wù)安全構(gòu)成及要求

互聯(lián)網(wǎng)上進(jìn)行電子商務(wù)的活動(dòng)過(guò)程：用戶(hù)通過(guò)瀏覽器發(fā)出信息，該消息經(jīng)過(guò)Internet到達(dá)Web服務(wù)器，再由Web服務(wù)器調(diào)用CGI等相應(yīng)程序訪問(wèn)數(shù)據(jù)庫(kù)，返回用戶(hù)請(qǐng)求的消息給Web服務(wù)器，最后通過(guò)Internet傳給用戶(hù)。在這整個(gè)過(guò)程中我們可以看到，要實(shí)現(xiàn)電子商務(wù)的安全，應(yīng)建立相應(yīng)的商務(wù)活動(dòng)的信息安全保護(hù)措施。

1. 電子商務(wù)系統(tǒng)安全構(gòu)成

（1）系統(tǒng)實(shí)體安全。是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施過(guò)程，由環(huán)境安全、設(shè)備安全、媒體安全三部分組成。

（2）系統(tǒng)運(yùn)行安全。保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施保護(hù)信息處理過(guò)程的安全，由風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份和恢復(fù)、應(yīng)急四個(gè)部分組成。

（3）系統(tǒng)信息安全。防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨認(rèn)、控制，由操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、計(jì)算機(jī)病毒防護(hù)、訪問(wèn)控制、加密、鑒別七個(gè)部分組成。

2. 電子商務(wù)系統(tǒng)安全需求

針對(duì)電子商務(wù)的安全問(wèn)題的構(gòu)成，只有提供了保密性、完整性、認(rèn)證性、可控性和不可否認(rèn)性這五個(gè)方面的安全性，才能滿(mǎn)足電子商務(wù)安全的需求。

（1）保密性。以保護(hù)機(jī)密信息不被非法存取以及信息在傳輸過(guò)程中不被非法竊取。

（2）完整性。防止信息在傳輸過(guò)程中丟失和重復(fù)及非法用戶(hù)對(duì)信息的惡意篡改。

（3）認(rèn)證性。確保交易信息的真實(shí)性和交易雙方身份的合法性。

（4）可控性。指保證系統(tǒng)、數(shù)據(jù)和服務(wù)能由合法人員訪問(wèn)。

（5）不可否認(rèn)性。有效防止通信或交易雙方對(duì)已進(jìn)行的業(yè)務(wù)的否認(rèn)。

二、電子商務(wù)存在的安全技術(shù)問(wèn)題及其產(chǎn)生的原因

在電子商務(wù)運(yùn)作過(guò)程中，將面臨各種各樣的安全問(wèn)題，分析電子商務(wù)的安全問(wèn)題，就要依據(jù)實(shí)際考察結(jié)果，確定各種可能出現(xiàn)的安全問(wèn)題，分析其原因和不同程度的危害性，找出電子商務(wù)中潛在的安全隱患和安全漏洞，從而有效地運(yùn)用相關(guān)的電子商務(wù)安全的技術(shù)來(lái)加以控制和管理。

1. 電子商務(wù)的安全問(wèn)題

典型的電子商務(wù)安全問(wèn)題包括：安全漏洞、病毒感染、黑客攻擊、網(wǎng)絡(luò)仿冒以及來(lái)自其他方面的各種不可預(yù)測(cè)的風(fēng)險(xiǎn)。

（1）安全漏洞。在近幾年來(lái)，計(jì)算機(jī)系統(tǒng)的安全漏洞越來(lái)越多。安全漏洞的大量存在，使得目前電子商務(wù)的安全形勢(shì)趨于嚴(yán)峻。例如Windows驚現(xiàn)高危漏洞，新圖片病毒能攻擊所有用戶(hù)，該漏洞可能發(fā)生在所有的Windows操作系統(tǒng)上，如IE瀏覽器、Office軟件等，在用戶(hù)瀏覽特定的JPG格式圖片時(shí)，會(huì)導(dǎo)致緩沖區(qū)溢出，進(jìn)而執(zhí)行病毒攻擊代碼，包括格式化硬盤(pán)、刪除文件等。

（2）病毒感染。我國(guó)的計(jì)算機(jī)病毒感染主要就是蠕蟲(chóng)等病毒在網(wǎng)上的猖獗傳播。蠕蟲(chóng)主要是利用系統(tǒng)的漏洞進(jìn)行自動(dòng)傳播復(fù)制，由于其傳播過(guò)程中產(chǎn)生巨大的掃描或其他攻擊流量，從而使網(wǎng)絡(luò)流量急劇上升，造成網(wǎng)絡(luò)訪問(wèn)速度變慢甚至癱瘓，這對(duì)依賴(lài)于網(wǎng)絡(luò)的電子商務(wù)是一個(gè)嚴(yán)重的威脅。

（3）黑客攻擊。主要表現(xiàn)在網(wǎng)頁(yè)篡改和僵尸網(wǎng)絡(luò)兩方面。僵尸網(wǎng)絡(luò)也稱(chēng)Bitnet，Bot是robot的簡(jiǎn)寫(xiě)，通常是指可以自動(dòng)地執(zhí)行定義的功能，可以被預(yù)定義的命令控制，具有一定人工智能的程序，它可以通過(guò)溢出漏洞攻擊、蠕蟲(chóng)郵件、網(wǎng)絡(luò)共享、口令猜測(cè)、p2p軟件等途徑進(jìn)入用戶(hù)主機(jī)，一旦用戶(hù)主機(jī)被植入Bot，就主動(dòng)和互聯(lián)網(wǎng)上的一臺(tái)或多臺(tái)控制節(jié)點(diǎn)取得聯(lián)系，進(jìn)而自動(dòng)接收黑客通過(guò)這些控制點(diǎn)發(fā)送的控制命令，這些受害主機(jī)和控制服務(wù)器就組成了BotNet。

（4）網(wǎng)絡(luò)仿冒。在國(guó)際上通稱(chēng)為Phishing，在我國(guó)也稱(chēng)為網(wǎng)絡(luò)欺詐、網(wǎng)絡(luò)仿冒或者是網(wǎng)絡(luò)釣魚(yú)。它通常是通過(guò)仿冒正規(guī)的網(wǎng)站來(lái)欺瞞誘騙用戶(hù)提供各種個(gè)人信息，如銀行賬戶(hù)和口令等，甚至干脆通過(guò)在假網(wǎng)頁(yè)或者誘餌郵件中嵌入惡意代碼的手段給用戶(hù)計(jì)算機(jī)植入木馬來(lái)直接騙取個(gè)人信息。

2. 觸發(fā)電子商務(wù)安全問(wèn)題的原因

從上面的安全問(wèn)題中我們可以看出，它不是個(gè)別的現(xiàn)象，只要有網(wǎng)絡(luò)的存在，安全問(wèn)題就不容忽視，它不僅影響了網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，還會(huì)造成許多直接或間接的經(jīng)濟(jì)損失。為了盡可能避免安全損失，首先要了解造成這些問(wèn)題的癥結(jié)所在。概括起來(lái)有兩個(gè)方面：先天原因和后天原因。

（1）先天原因。電子商務(wù)的實(shí)現(xiàn)依賴(lài)于網(wǎng)絡(luò)，沒(méi)有網(wǎng)絡(luò)的存在，電子商務(wù)無(wú)從談起。但是電子商務(wù)卻是繼網(wǎng)絡(luò)之后才出現(xiàn)的，是網(wǎng)絡(luò)發(fā)展過(guò)程中的產(chǎn)物，所以網(wǎng)絡(luò)的建立僅考慮了信息的傳輸這個(gè)問(wèn)題，并沒(méi)有顧及電子商務(wù)安全，這樣它的全球性、開(kāi)放性和共享性就使得電子商務(wù)過(guò)程中傳輸?shù)男畔踩嬖谙忍觳蛔悖诳蛡兙涂梢岳霉驳木W(wǎng)絡(luò)環(huán)境傳播各種病毒等。

（2）后天原因。它又可以細(xì)分為管理、人和技術(shù)三方面?，F(xiàn)代化的企業(yè)信息建設(shè)強(qiáng)調(diào)七分管理三分技術(shù)，在電子商務(wù)安全中也不例外。但是目前從事電子商務(wù)的企業(yè)多數(shù)都欠缺管理，由于拒絕服務(wù)攻擊在目前還沒(méi)有十分有效的技術(shù)解決方案，所以特別強(qiáng)調(diào)安全管理的重要性，但實(shí)際上卻沒(méi)有幾家網(wǎng)站事先做好了管理。其次，由于目前還缺乏對(duì)網(wǎng)絡(luò)犯罪有效的反擊和跟蹤手段，黑客對(duì)網(wǎng)站惡意攻擊同樣是威脅電子商務(wù)安全的一個(gè)原因。大量的網(wǎng)頁(yè)被篡改事件實(shí)際上都是黑客發(fā)泄情感的結(jié)果。當(dāng)然有些國(guó)家或者企業(yè)也會(huì)故意攻擊網(wǎng)站，觸發(fā)安全問(wèn)題來(lái)研究新的安全防范措施。很多已經(jīng)開(kāi)發(fā)出來(lái)的軟件會(huì)存在這樣或那樣的漏洞，這就給了攻擊者可乘之機(jī)，通過(guò)這些軟件漏洞，黑客可以編寫(xiě)代碼傳播病毒等。同時(shí)，軟件開(kāi)發(fā)人員為了方便，通常也會(huì)在軟件里留下“后門(mén)”，這也是導(dǎo)致安全問(wèn)題的一個(gè)原因。

三、電子商務(wù)安全技術(shù)解決方案

針對(duì)前面分析的觸及電子商務(wù)安全問(wèn)題的后天原因，可采取一定的電子商務(wù)的安全防治措施。這些措施包括技術(shù)措施和管理措施。

1. 技術(shù)措施

（1）信息加密技術(shù)。信息加密技術(shù)是電子商務(wù)安全技術(shù)中一個(gè)重要的組成部分。數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密，常用的有鏈路——鏈路加密、節(jié)點(diǎn)加密、端——端加密、ATM網(wǎng)絡(luò)加密和衛(wèi)星通信加密五種方式。應(yīng)根據(jù)信息系統(tǒng)安全策略來(lái)制定保密策略，選擇合理、合適的加密方式。另外，隨著電子商務(wù)的進(jìn)一步發(fā)展，非密碼技術(shù)如信息隱藏、生物特征、量子密碼技術(shù)得到了快速發(fā)展。

（2）數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是為了防止他人對(duì)傳輸?shù)奈募M(jìn)行破壞以及如何確定發(fā)信人的身份。在電子商務(wù)安全技術(shù)中，數(shù)字簽名技術(shù)有著特別重要的地位，在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中，都要用到數(shù)字簽名技術(shù)。目前的數(shù)字簽名是建立在公共密鑰體制基礎(chǔ)上，RSA簽名方法和EIGamal數(shù)字簽名方法是兩種基本的數(shù)字簽名方法，許多數(shù)字簽名方法都是基于這兩種算法。RSA是可逆的公開(kāi)密鑰加密系統(tǒng)，其數(shù)字簽名過(guò)程中運(yùn)用了消息的驗(yàn)證模式。而EIGamal是一種非確定性的雙鑰體制，它對(duì)同一消息，由于隨機(jī)參數(shù)選擇的不同而有不同的簽名。

（3）TCP/IP服務(wù)。TCP/IP協(xié)議即傳輸控制/網(wǎng)際協(xié)議，以它為基礎(chǔ)組建的Internet是目前國(guó)際上規(guī)模最大的計(jì)算機(jī)網(wǎng)絡(luò)，是保證數(shù)據(jù)完整傳輸?shù)膬蓚€(gè)基本的重要協(xié)議。以這些協(xié)議為基礎(chǔ)，TCP/IP提供了一系列標(biāo)準(zhǔn)的服務(wù)，包括電子郵件、文件轉(zhuǎn)輸、Usenet新聞組、遠(yuǎn)程終端訪問(wèn)、萬(wàn)維網(wǎng)訪問(wèn)、域名查詢(xún)等。

（4）防火墻的構(gòu)造選擇。是隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道或一組執(zhí)行策略的防御系統(tǒng)，它作為最成熟、最早產(chǎn)品化的網(wǎng)絡(luò)安全機(jī)制，其最初的設(shè)計(jì)就是防范外部攻擊，改進(jìn)的防火墻技術(shù)更可有效地控制內(nèi)部和病毒的破壞。在設(shè)計(jì)防火墻時(shí)，必須考慮防火墻的姿態(tài)、機(jī)構(gòu)的整體安全策略、費(fèi)用、基本構(gòu)件和拓補(bǔ)結(jié)構(gòu)以及維護(hù)和管理方案。另外，在選擇防火墻的使用時(shí)，要考慮諸多原則，包括網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)應(yīng)用系統(tǒng)需求、用戶(hù)及通信流量規(guī)模方面的需求以及可靠性、可用性和易用性等方面的需求。

2. 管理措施

安全管理措施通常是以制度的形式出現(xiàn)的，即用條文對(duì)各項(xiàng)安全要求作出規(guī)定。這些制度包括人員管理制度，保密制度，跟蹤、審計(jì)、稽核制度，系統(tǒng)維護(hù)制度，數(shù)據(jù)備份（容災(zāi)）制度，病毒防范制度和應(yīng)急措施等。

（1）人員管理制度。人是電子商務(wù)活動(dòng)中的主要參與者，對(duì)于像網(wǎng)絡(luò)管理員這樣的人員，需要具備相當(dāng)?shù)穆殬I(yè)道德。必須經(jīng)過(guò)嚴(yán)格選拔，認(rèn)真落實(shí)工作責(zé)任，并徹底貫徹電子商務(wù)安全運(yùn)作基本原則。

（2）保密制度。從事電子商務(wù)工作的企業(yè)，內(nèi)部會(huì)涉及很多保密信息，如客戶(hù)隱私、公司財(cái)務(wù)狀況、密鑰等，而每類(lèi)信息又有不同的安全級(jí)別，哪些是可以讓客戶(hù)隨意訪問(wèn)的，哪些是公司普通員工可以訪問(wèn)的，哪些又是高級(jí)員工才能訪問(wèn)的，這些都應(yīng)該通過(guò)保密制度明確下來(lái)。

（3）跟蹤、審計(jì)、稽核制度。以系統(tǒng)自動(dòng)生成日志文件的形式來(lái)記錄系統(tǒng)運(yùn)行的全過(guò)程。審計(jì)制度是規(guī)定網(wǎng)絡(luò)審計(jì)員應(yīng)經(jīng)常對(duì)系統(tǒng)的日志文件檢查、審核，及時(shí)發(fā)現(xiàn)異常狀況，監(jiān)控和捕捉各種安全事件，并對(duì)系統(tǒng)日志進(jìn)行保存、維護(hù)和管理?；酥贫仁侵腹ど坦芾?、銀行、稅務(wù)人員利用計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)，借助稽核業(yè)務(wù)應(yīng)用軟件調(diào)閱、查詢(xún)、審核、判斷轄區(qū)內(nèi)電子商務(wù)參與單位業(yè)務(wù)經(jīng)營(yíng)活動(dòng)的合理性、安全性、堵塞漏洞，保證電子商務(wù)交易安全，發(fā)出相應(yīng)的警示或作出處理處罰的有關(guān)決定的一系列步驟措施。

（4）系統(tǒng)維護(hù)制度。包括硬件和軟件的日常管理與維護(hù)。對(duì)于通信線(xiàn)路，一般分為內(nèi)部線(xiàn)路和租用線(xiàn)路兩種，對(duì)于內(nèi)部線(xiàn)路，我們采用結(jié)構(gòu)化布線(xiàn)，而對(duì)于租用電信部門(mén)的通信線(xiàn)路，企業(yè)應(yīng)記錄通信線(xiàn)路的連通情況，一旦故障發(fā)生，及時(shí)與電信部門(mén)聯(lián)系，以便迅速恢復(fù)通信。對(duì)于網(wǎng)絡(luò)設(shè)備的維護(hù)，我們一般采取在網(wǎng)絡(luò)設(shè)備上安裝相應(yīng)的網(wǎng)管軟件，通過(guò)這些軟件實(shí)現(xiàn)自動(dòng)管理和維護(hù)。對(duì)于操作系統(tǒng)，通過(guò)定期清理日志文件和臨時(shí)文件、定期整理文件系統(tǒng)、檢測(cè)服務(wù)器上的活動(dòng)狀態(tài)和用戶(hù)注冊(cè)數(shù)、處理運(yùn)行中的死機(jī)情況等來(lái)進(jìn)行維護(hù)。而對(duì)于應(yīng)用軟件的管理和維護(hù)工作，主要是進(jìn)行版本更新控制。

（5）數(shù)據(jù)備份（容災(zāi)）制度。按照其容災(zāi)能力的高低可分為多個(gè)層次：從最簡(jiǎn)單的僅在本地進(jìn)行磁帶備份，到將備份的磁帶存儲(chǔ)在異地，再建立應(yīng)用系統(tǒng)實(shí)時(shí)切換的異地備份系統(tǒng)，恢復(fù)時(shí)間也可以從幾天級(jí)到小時(shí)級(jí)到分鐘級(jí)、秒級(jí)或0數(shù)據(jù)丟失等。企業(yè)應(yīng)根據(jù)自身情況，對(duì)不同安全級(jí)別的數(shù)據(jù)制定不同的數(shù)據(jù)容災(zāi)制度。

（6）病毒防范制度。病毒對(duì)網(wǎng)絡(luò)交易的順利進(jìn)行和交易數(shù)據(jù)的妥善保存造成了極大的威脅。從事網(wǎng)上交易的企業(yè)和個(gè)人都應(yīng)當(dāng)建立病毒防范制度，排除病毒的騷擾。一般我們要給自己的計(jì)算機(jī)安裝防病毒軟件，認(rèn)真執(zhí)行病毒定期清理制度，并設(shè)置控制權(quán)限，謹(jǐn)慎打開(kāi)陌生地址的電子郵件，還要高度警惕網(wǎng)絡(luò)陷阱。

（7）應(yīng)急措施。在計(jì)算機(jī)災(zāi)難事件發(fā)生時(shí)，利用應(yīng)急計(jì)劃、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)正常運(yùn)行。在啟動(dòng)電子商務(wù)業(yè)務(wù)之初，就必須制訂交易安全計(jì)劃和應(yīng)急方案，以防萬(wàn)一。

電子商務(wù)作為一種全新的業(yè)務(wù)和服務(wù)方式，在為全球用戶(hù)提供了豐富的商務(wù)信息、簡(jiǎn)捷的交易過(guò)程和低廉的交易成本的同時(shí)，也把人們引進(jìn)了安全陷阱。因此，在保證電子商務(wù)的正常運(yùn)作的同時(shí)，必須高度重視電子商務(wù)活動(dòng)的安全問(wèn)題及相應(yīng)的防治措施和技術(shù)。電子商務(wù)的安全問(wèn)題不僅關(guān)系到個(gè)人的安全還涉及到國(guó)家的經(jīng)濟(jì)安全、經(jīng)濟(jì)秩序穩(wěn)定問(wèn)題，而且安全問(wèn)題也是電子商務(wù)成功與否的關(guān)鍵所在。

目前，基于Internet的電子商務(wù)還剛剛開(kāi)始，許多方面都不夠完善，并且我國(guó)和發(fā)達(dá)國(guó)家之間的差距依然很大，這就要求我們要密切關(guān)注電子商務(wù)發(fā)展的動(dòng)態(tài)，積極研究電子商務(wù)中存在的技術(shù)問(wèn)題，把握住這一良好的發(fā)展時(shí)機(jī)。

參考文獻(xiàn)：

[1]勞幗齡.電子商務(wù)的安全技術(shù)[M].北京:中國(guó)水利水電出版社,2005.

[2]李琪,鐘誠(chéng).電子商務(wù)安全[M].重慶:重慶大學(xué)出版社,2004.

[3]李紅,梁晉.電子商務(wù)技術(shù)[M].北京:人民郵電出版社,2001.

（珠海市高級(jí)技工學(xué)校）