義烏工商職業(yè)技術(shù)學(xué)院 武漢大學(xué) 朱聞亞

在現(xiàn)代信息技術(shù)、網(wǎng)絡(luò)技術(shù)的迅速發(fā)展及日益普及的背景下，以互聯(lián)網(wǎng)和信息基礎(chǔ)設(shè)施為載體的電子商務(wù)以其高效便捷的優(yōu)越性得到了廣泛普遍的應(yīng)用。現(xiàn)今，電子商務(wù)作為企業(yè)信息化的標(biāo)志，已經(jīng)為越來越多的中小企業(yè)所重視。然而，基于網(wǎng)絡(luò)平臺的電子商務(wù)由于互聯(lián)網(wǎng)本身的共享性、開放性和無控制性而存在著諸多安全隱患，因此研究探討我國中小企業(yè)電子商務(wù)安全風(fēng)險(xiǎn)的防范策略和保障措施，已成為中小企業(yè)關(guān)注的焦點(diǎn)和亟待解決的問題。

1 電子商務(wù)安全概述

電子商務(wù)的安全主要是指用戶方和產(chǎn)品服務(wù)提供方之間的信息安全、交易安全及財(cái)產(chǎn)安全等,即確保雙方信息傳遞的機(jī)密性、完整性、有效性、真實(shí)性及不可抵賴性；在交易確認(rèn)、支付系統(tǒng)及產(chǎn)品和服務(wù)的質(zhì)量方面加以嚴(yán)格控制和維護(hù)，防止交易過程被跟蹤，避免電子商務(wù)活動(dòng)的欺詐性和抵賴性；同時(shí)保障電子商務(wù)參與者財(cái)產(chǎn)、信譽(yù)等經(jīng)濟(jì)利益不遭到損害。依托高新互聯(lián)網(wǎng)技術(shù)和電子信息基礎(chǔ)設(shè)施運(yùn)作的電子商務(wù)的安全主要包括: (1)安全可靠的通訊網(wǎng)絡(luò)；(2)安全高效的自然物理運(yùn)作環(huán)境;(3)網(wǎng)絡(luò)信息系統(tǒng)的安全維護(hù)；(4)商業(yè)機(jī)密的安全保護(hù)；(5)培育電子商務(wù)人才，保護(hù)知識產(chǎn)權(quán)的安全。

2 中小企業(yè)電子商務(wù)的安全隱患及面臨的風(fēng)險(xiǎn)問題

2.1 中小企業(yè)電子商務(wù)的安全隱患

2.1.1 網(wǎng)絡(luò)安全隱患

中小企業(yè)電子商務(wù)活動(dòng)是依托網(wǎng)絡(luò)平臺運(yùn)轉(zhuǎn)的，而因特網(wǎng)是一個(gè)開放的、全球共享的、無控制性的自由網(wǎng)絡(luò)，計(jì)算機(jī)及網(wǎng)絡(luò)自身的特點(diǎn)決定了網(wǎng)絡(luò)安全隱患的存在。

首先，網(wǎng)絡(luò)服務(wù)一般都是通過各種協(xié)議完成的，因而網(wǎng)絡(luò)協(xié)議的安全性是構(gòu)成網(wǎng)絡(luò)安全的一個(gè)重要方面。目前Internet絕大部分?jǐn)?shù)據(jù)流是通過TCP/IP操作系統(tǒng)傳輸，TCP/IP協(xié)議的設(shè)計(jì)本身就存在著安全缺陷，成為了當(dāng)今許多黑客惡意攻擊的首要目標(biāo)。其次，網(wǎng)絡(luò)軟件的缺陷及漏洞也是網(wǎng)絡(luò)攻擊的重要途徑，由于現(xiàn)代軟件系統(tǒng)設(shè)計(jì)的日益復(fù)雜化，難以實(shí)現(xiàn)對應(yīng)用軟件或一個(gè)較大系統(tǒng)全面徹底的測試，盡管可于軟件研發(fā)設(shè)計(jì)的過程開展一些測試，但多少會遺留某些漏洞，引發(fā)系統(tǒng)未授權(quán)訪問。再者，由于電磁輻射干擾、硬件故障、網(wǎng)絡(luò)物理設(shè)備老化及應(yīng)用操作程序錯(cuò)誤等都會導(dǎo)致傳輸緩慢甚至網(wǎng)絡(luò)系統(tǒng)中斷或癱瘓等現(xiàn)象，威脅著電子商務(wù)網(wǎng)絡(luò)傳輸?shù)陌踩?。最后，通過網(wǎng)絡(luò)仿冒或網(wǎng)絡(luò)欺詐，可使惡意代碼攻擊易于得逞。

2.1.2 信息安全隱患

信息泄露、信息失真、信息假冒、信息丟失、信息滯后、信息破壞及交易抵賴等都是電子商務(wù)存在的信息安全隱患，具體表現(xiàn)包括：非法竊取或泄漏商業(yè)機(jī)密；篡改或刪除交易信息；發(fā)送或接收虛假信息；信息丟失或不可鑒別；阻礙交易并盜取交易成果；偽造網(wǎng)站或電子郵件；破壞信息的真實(shí)性及完整性；對交易信息進(jìn)行抵賴；病毒或木馬程序入侵；黑客惡意攻擊等，上述行為均給中小企業(yè)開展電子商務(wù)造成了重大的信息安全隱患。

2.1.3 誠信安全隱患

電子商務(wù)的隔空交易由于其虛擬性，超時(shí)空性等特點(diǎn)，交易雙方互不相見，對對方的信譽(yù)度很難作出準(zhǔn)確、客觀的判斷，因而交易雙方的信用易受到質(zhì)疑，交易合同一旦達(dá)成就難以取消或反悔，倘若賣方在提供服務(wù)方面不遵守承諾，或買方以匿名、更名或退出市場等方式不履行合同約定，均會給另一方帶來經(jīng)濟(jì)利益損失。

2.2 中小企業(yè)電子商務(wù)面臨的風(fēng)險(xiǎn)問題

2.2.1 病毒的破壞

計(jì)算機(jī)網(wǎng)絡(luò)是電子商務(wù)運(yùn)作的載體，由于網(wǎng)絡(luò)自身的漏洞和不完善，使得病毒制造者肆意傳播病毒程序或嵌入惡意代碼，通過網(wǎng)絡(luò)傳輸入侵計(jì)算機(jī)系統(tǒng)，使計(jì)算機(jī)程序、數(shù)據(jù)包及信息遭到嚴(yán)重破壞，甚至造成系統(tǒng)癱瘓，大大降低了網(wǎng)絡(luò)傳輸?shù)男屎桶踩?。層出不窮且形式多樣的病毒活躍于網(wǎng)絡(luò)各個(gè)角落，破壞力與日俱增，計(jì)算機(jī)病毒危害已構(gòu)成了中小企業(yè)電子商務(wù)的重大安全威脅。目前，比較流行病毒有蠕蟲病毒、木馬程序、病毒郵件、熊貓燒香病毒及公開發(fā)放的病毒等。

2.2.2 黑客的入侵

黑客經(jīng)常會未經(jīng)許可就入侵計(jì)算機(jī)系統(tǒng)非法窺取盜用機(jī)密文件或破壞數(shù)據(jù)信息,使電腦系統(tǒng)功能無法使用。隨著網(wǎng)絡(luò)的飛速發(fā)展，各種應(yīng)用工具得到廣泛傳播，黑客入侵事件層出不窮。有許多工具能夠?qū)δ繕?biāo)用戶的所有信息進(jìn)行遠(yuǎn)程訪問、控制及監(jiān)管，黑客通過將惡意程序或代碼嵌入這些工具并以電郵形式導(dǎo)入目標(biāo)用戶的電腦中，對目標(biāo)用戶電腦系統(tǒng)實(shí)施全面控制，進(jìn)而竊取機(jī)密信息、破壞信息的完整性和有效性、隨意纂改、刪除文件、冒充合法用戶進(jìn)行非法操作等，如近年來，“廣西防震減災(zāi)官方網(wǎng)”遭黑客入侵破壞，給廣西地震局帶來了很多麻煩。

2.2.3 抵賴交易信息

交易方為逃避執(zhí)行合同責(zé)任對交易信息進(jìn)行非法刪除或修改，否認(rèn)文件的接收或發(fā)送等。否認(rèn)交易的行為損害了對方的利益，影響了交易者對電子商務(wù)安全的信任度。

2.2.4 傳輸?shù)膱?bào)文可能被截獲或篡改

沒有經(jīng)過加密或加密強(qiáng)度不夠的報(bào)文在網(wǎng)絡(luò)傳輸過程中則很可能被截獲或篡改。攻擊者通過在互聯(lián)網(wǎng)、服務(wù)器數(shù)據(jù)庫、搭線、電磁波輻射范圍內(nèi)植入截取裝置或直接在網(wǎng)關(guān)及路由器上截獲報(bào)文信息，從中獲取非法利益；并截獲后篡改其內(nèi)容造成信息失真，嚴(yán)重?fù)p害企業(yè)形象和信譽(yù)。

3 中小企業(yè)規(guī)避電子商務(wù)安全風(fēng)險(xiǎn)的策略

3.1 引入數(shù)據(jù)加密技術(shù)

加密技術(shù)，即基于加密函數(shù)及加密鑰匙，有機(jī)結(jié)合可理解的信息(明文)與數(shù)字(密鑰)，進(jìn)而形成不可理解的密文，是保證電子商務(wù)網(wǎng)絡(luò)安全的主要措施，主要加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。一般可在鏈路加密、節(jié)點(diǎn)加密及端到端加密這三個(gè)通信層進(jìn)行數(shù)據(jù)加密。同時(shí)，對大量數(shù)據(jù)加密可采用對稱密鑰加密，典型代表是DES算法，對通信負(fù)荷較輕的數(shù)據(jù)加密可采用非對稱密鑰加密，典型代表是RSA算法。

3.2 認(rèn)證技術(shù)

認(rèn)證技術(shù)是電子網(wǎng)絡(luò)交易中驗(yàn)證交易方身份信息的一系列數(shù)據(jù)，通過運(yùn)用對稱和非對稱加密技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)。保障網(wǎng)絡(luò)安全交易的有效認(rèn)證方式即為數(shù)字證書，經(jīng)證書授權(quán)中心數(shù)字簽名的數(shù)字證書，作用類似于現(xiàn)實(shí)生活中身份證，包含公開密鑰擁有者信息以及公開密鑰，是一種有效核實(shí)網(wǎng)絡(luò)通訊各方真實(shí)身份的文件。數(shù)字認(rèn)證涉及的公開密鑰算法使用一個(gè)由個(gè)人秘密保存的私鑰和一個(gè)對外公開的公鑰，二者有著唯一的對應(yīng)關(guān)系，公鑰用于加密及驗(yàn)證簽名，而私鑰用于解密及簽名。

3.3 防火墻的應(yīng)用

防火墻是隔離內(nèi)部網(wǎng)和外部網(wǎng)，加強(qiáng)網(wǎng)絡(luò)之間訪問控制，對內(nèi)部網(wǎng)應(yīng)用系統(tǒng)加以安全防范，進(jìn)而有效防止非授權(quán)的外部網(wǎng)用戶非法侵入內(nèi)部網(wǎng)的一道保護(hù)屏障。目前主要有兩大類防火墻分：一類是簡單的包過濾技術(shù)，即通過事先在計(jì)算機(jī)系統(tǒng)內(nèi)設(shè)置過濾邏輯，在網(wǎng)絡(luò)層次基于數(shù)據(jù)包的地址、端口及鏈路狀態(tài)等因素實(shí)施數(shù)據(jù)包的選擇性通過；另一類則是狀態(tài)監(jiān)控、應(yīng)用網(wǎng)管及代理服務(wù)等，對內(nèi)部網(wǎng)絡(luò)管理可應(yīng)用代理服務(wù)協(xié)議進(jìn)行數(shù)據(jù)包分析，探測可能的攻擊。防火墻通過限制網(wǎng)絡(luò)內(nèi)外訪問權(quán)限，能有效提高網(wǎng)絡(luò)安全，減少子網(wǎng)及內(nèi)網(wǎng)的信息安全風(fēng)險(xiǎn)。

3.4 安全協(xié)議

為解決TCP/IP協(xié)議不能確認(rèn)用戶身份的問題，可引入SSL安全通信協(xié)議，通過將非對稱加密技術(shù)應(yīng)用于網(wǎng)絡(luò)接層，進(jìn)而保證網(wǎng)絡(luò)通信服務(wù)的安全性。同時(shí)，為解決電子商務(wù)活動(dòng)中信用卡支付的可操作性及交易信息的安全性，可引入SET安全電子交易協(xié)議，基于公開密匙加密、數(shù)字簽名等技術(shù)保障交易過程的可靠性。

3.5 加強(qiáng)防病毒技術(shù)

病毒在網(wǎng)絡(luò)環(huán)境下有著極大的滋生空間及快速傳播性，除了安裝病毒檢測軟件之外，還必須定期查殺病毒、及時(shí)升級防病毒軟件版本、經(jīng)常關(guān)注并通報(bào)病毒入侵信息等。此外，還應(yīng)將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件屬性及訪問權(quán)限加以限制，有效控制病毒的入侵。

4 保證策略有效實(shí)施的相關(guān)措施

4.1 加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)

電子商務(wù)的載體是網(wǎng)絡(luò)，各種硬件基礎(chǔ)設(shè)施又是網(wǎng)絡(luò)的物理支撐，因而中小企業(yè)應(yīng)加大信息產(chǎn)業(yè)網(wǎng)絡(luò)硬件基礎(chǔ)設(shè)施建設(shè)的資本投入力度，同時(shí)加強(qiáng)硬件電磁防護(hù)和設(shè)備維護(hù)，夯實(shí)電子商務(wù)發(fā)展的網(wǎng)絡(luò)硬件基礎(chǔ)。例如通過引進(jìn)國際先進(jìn)出口帶寬，克服原先網(wǎng)絡(luò)帶寬低速、運(yùn)行質(zhì)量差及資費(fèi)高等問題。同時(shí)，網(wǎng)絡(luò)的高效運(yùn)行還需要軟件系統(tǒng)的支持，故中小企業(yè)要配備多層次、高效能的系統(tǒng)軟件，構(gòu)建一個(gè)能夠保障信息完整性及可靠性的應(yīng)用軟件系統(tǒng)，優(yōu)化網(wǎng)絡(luò)運(yùn)行效率。

4.2 加強(qiáng)安全技術(shù)的研究和應(yīng)用

由于中小企業(yè)電子商務(wù)尚處于初級發(fā)展階段，安全技術(shù)及應(yīng)用機(jī)制還不夠完善，為此要密切關(guān)注及深入研究電子商務(wù)安全技術(shù)，加大資金投入力度，研制出更加先進(jìn)高效、經(jīng)濟(jì)適用的安全技術(shù)。同時(shí)開發(fā)企業(yè)安全技術(shù)綜合應(yīng)用的能力，例如對敏感文件建立物理隔離、應(yīng)用容錯(cuò)計(jì)算機(jī)系統(tǒng)、授權(quán)管理和用戶認(rèn)證、災(zāi)害復(fù)原計(jì)劃及安裝安全補(bǔ)丁程序等進(jìn)一步優(yōu)化系統(tǒng)環(huán)境及安全配置。

4.3 提高企業(yè)人員素質(zhì)，加強(qiáng)企業(yè)日常管理

首先，提高企業(yè)電子商務(wù)網(wǎng)站后臺管理人員的安全意識、綜合素質(zhì)及技術(shù)水平，為防范風(fēng)險(xiǎn)奠定基礎(chǔ)。其次，大力培養(yǎng)高素質(zhì)、專業(yè)配套、掌握現(xiàn)代電子信息技術(shù)的電子商務(wù)人才，進(jìn)而提升企業(yè)應(yīng)對安全問題的能力。最后，要建立適應(yīng)電子商務(wù)發(fā)展的管理體系以提高企業(yè)電子商務(wù)整體管理水平,維護(hù)網(wǎng)絡(luò)系統(tǒng)穩(wěn)定、安全運(yùn)行。

4.4 加強(qiáng)法律法規(guī)建設(shè)

針對網(wǎng)絡(luò)交易契約和糾紛仲裁、信用和信息資源管理、安全認(rèn)證、支付協(xié)議、市場準(zhǔn)入標(biāo)準(zhǔn)以及知識產(chǎn)權(quán)保護(hù)等方面的法律法規(guī)問題，首先要在完善原有法律體系的基礎(chǔ)上進(jìn)行必要的調(diào)整及修訂，其次為適應(yīng)電子商務(wù)發(fā)展的需要制定新的、操作性強(qiáng)的法律法規(guī)。

5 中小企業(yè)電子商務(wù)安全風(fēng)險(xiǎn)的趨向

電子商務(wù)安全將會在管理方面、環(huán)境方面、法律方面社會道德規(guī)范方面存在著很大的安全隱患，如網(wǎng)站管理人員的操作失誤或工作流程的不規(guī)范都會引發(fā)交易安全事故，跨部門、跨地區(qū)間的交易事項(xiàng)協(xié)調(diào)存在較大問題，不法分子鑒于電子商務(wù)方面的法律法規(guī)的漏洞而鉆法律空子，傳統(tǒng)交易過程中經(jīng)常出現(xiàn)的欺詐行為勢必會對電子商務(wù)產(chǎn)生安全方面的影響等，都構(gòu)成了電子商務(wù)不可忽視的安全風(fēng)險(xiǎn)問題。

6 結(jié)語

電子商務(wù)作為一種新型商業(yè)貿(mào)易模式，在我國中小企業(yè)中已得到廣泛應(yīng)用。然而，安全風(fēng)險(xiǎn)作為制約中小企業(yè)電子商務(wù)發(fā)展的一個(gè)至關(guān)重要因素，越發(fā)受到中小企業(yè)的重視。目前，針對電子商務(wù)的安全風(fēng)險(xiǎn)已提出了很多技術(shù)解決策略，但電子商務(wù)的安全問題不只是技術(shù)問題，還涉及到法律、道德、管理等多方面的因素，因而要想為電子商務(wù)運(yùn)作提供安全保障，應(yīng)綜合應(yīng)用技術(shù)層面、硬件層面、管理層面、應(yīng)用層面及法律層面的相關(guān)措施應(yīng)對安全挑戰(zhàn)，引導(dǎo)和促進(jìn)中小企業(yè)電子商務(wù)持續(xù)健康發(fā)展。

[1]易珊,張學(xué)哲.電子商務(wù)安全策略分析[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2006.

[2]范婕.電子商務(wù)中的安全問題及對策探討[J].大眾科技,2008.

[3]馬新彪.電子商務(wù)及其安全技術(shù)[J].甘肅農(nóng)業(yè),2009.

[4]鄧云嵐.淺談電子商務(wù)中存在的網(wǎng)絡(luò)安全問題[J].信息技術(shù),2009(2).