山東商業(yè)職業(yè)技術(shù)學(xué)院 曹罡 李金霞

齊魯銀行千佛山支行 黃曉虹

電子商務(wù)具有簡單、便捷、成本低的特點，為中小型企業(yè)提供了眾多的商業(yè)機會，但是網(wǎng)絡(luò)應(yīng)用中信息安全問題成為電子商務(wù)用戶關(guān)注的焦點，確保交易中商業(yè)信息的安全成為企業(yè)義不容辭的責(zé)任，必須切實認識電子商務(wù)應(yīng)用中存在的安全問題，并積極解決，才能保證企業(yè)的商業(yè)信息不被竊取，取得較好的經(jīng)營效益。

1 商務(wù)主要的信息安全要素

1.1 有效性

有效性是指信息發(fā)送方發(fā)送給信息接收方的信息是未經(jīng)外人加工、改變的信息。貿(mào)易數(shù)據(jù)都具有特定型性，是指貿(mào)易信息只有在特定的時刻和確定的地點才是有效的。電子商務(wù)改變了過去紙質(zhì)的方式，以電子的形式傳遞信息，如何確保電子信息在傳送過程中的未經(jīng)加工是確保信息有效的前提。電子商務(wù)中信息的有效性對企業(yè)、個人、甚至國家的經(jīng)濟利益有著重大的影響，所以，要及時對網(wǎng)絡(luò)故障、應(yīng)用程序錯誤、系統(tǒng)軟件錯誤或者計算機病毒引起的信息安全隱患進行防范，以確保數(shù)據(jù)的有效性。

1.2 保密性

保密性是指貿(mào)易信息在存儲或傳遞過程中未經(jīng)他人竊取或泄露。傳統(tǒng)的紙質(zhì)貿(mào)易信息一般是通過郵寄的信件及其他可靠的傳遞渠道來互送商業(yè)貿(mào)易文件以確保信息的安全。現(xiàn)代電子網(wǎng)絡(luò)是一個開放的傳遞平臺，維護商業(yè)貿(mào)易信息顯得更加重要，確保商業(yè)機密的保密性是電子商務(wù)全面推廣應(yīng)用的基本保障。所以，必須確保貿(mào)易信息在傳遞過程中的保密性，防止非法竊取及泄露。

1.3 完整性

完整性是指電子貿(mào)易信息在傳遞的過程中沒有沒被修改、歪曲和重復(fù)，信息的接受者接收到的信息與信息發(fā)送方發(fā)送的信息完全相同。貿(mào)易信息的完整性會對貿(mào)易各方經(jīng)濟利潤、營銷策略和貿(mào)易合同產(chǎn)生巨大影響。確保貿(mào)易信息的完整性是電子商務(wù)實際應(yīng)用的重要基礎(chǔ)。所以，在信息傳遞過程中要防范信息被隨意生成、修改和刪除，防止信息的丟失與重復(fù)，同時信息的傳遞次序要保證統(tǒng)一。

1.4 可靠性

電子商務(wù)信息直接關(guān)系到貿(mào)易雙方的商業(yè)交易，在交易過程中如何確保進行交易的對方與交易所期望的貿(mào)易方是同一者，這就需要電子商務(wù)信息必須確保本身的可靠性。在傳統(tǒng)的商業(yè)交易中，雙放當事人可以通過手寫簽名或印章等形式確保雙方的身份，但是電子商業(yè)貿(mào)易利用網(wǎng)絡(luò)這一形式，無法采取傳統(tǒng)的身份認定形式，就必須確保貿(mào)易信息的可靠性，從而為貿(mào)易雙方進行商業(yè)交易奠定重要基礎(chǔ)。

2 電子商務(wù)安全的技術(shù)要求

2.1 物理安全

要根據(jù)國家標準、信息安全等級、信息技術(shù)情況，制定切實可行、符合實際情況的的物理安全標準體系。本體系可以防范設(shè)備功能失常、電源事故、電磁泄漏等引起的信息失密等。

2.2 網(wǎng)絡(luò)安全

為了保證電子商務(wù)交易的安全可靠，電子商務(wù)平臺須穩(wěn)定可靠，能夠全天候正常運行。系統(tǒng)在運行的任何中斷，如病毒入侵、網(wǎng)絡(luò)故障或硬件軟件錯誤等都會對正在進行電子商務(wù)交易的雙方造成重大損失，尤其是丟失或失密的貿(mào)易信息，將是不可恢復(fù)性的。

2.3 商務(wù)安全

商務(wù)安全是指商務(wù)交易中的安全問題，商務(wù)安全的不同方面需要通過不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標準來確保實現(xiàn)。確保電子商務(wù)安全的技術(shù)主要有安全電子交易SET協(xié)議、在線支付協(xié)議、文件加密技術(shù)、數(shù)字簽名技術(shù)等。

2.4 系統(tǒng)安全

系統(tǒng)安全主要是指主機的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全情況。對系統(tǒng)安全的防范和保護，要通過安全技術(shù)升級，加強安全保護設(shè)施的投資建設(shè)，提高系統(tǒng)的安全防護能力。

3 目前我國電子商務(wù)存在的問題

就我國電子商務(wù)而言，我國的科學(xué)技術(shù)水平目前還處于較低層次，技術(shù)含量不高，資金投入又不足，在安全保密方面存在較大的隱患，網(wǎng)絡(luò)安全性較低，主要表現(xiàn)在我國的網(wǎng)絡(luò)信息易被干擾、欺騙等，再加上我國人民對于網(wǎng)絡(luò)安全這方面的安全意識不高，網(wǎng)絡(luò)安全處于十分薄弱的環(huán)境中。

3.1 電子商務(wù)安全存在的隱患

(1)網(wǎng)絡(luò)協(xié)議方面的安全問題。在電子商務(wù)中，交易雙方在交易中是通過傳送數(shù)據(jù)包的形式來交換數(shù)據(jù)，傳送過程中，不法惡意攻擊者會攔截數(shù)據(jù)包，甚至在一定程度上破壞，這使得接收方接收的信息是不正確的。

(2)用戶信息的安全問題。用戶和商家是在B/S結(jié)構(gòu)的電子商務(wù)網(wǎng)站使用瀏覽器登錄進行交易，在登陸瀏覽器時勢必會使用電腦，有的用戶在使用電腦時，如果計算機中存在木馬，那么登陸者的信息存在泄露的危險，有的用戶在不方便使用自己電腦的情況下使用公共計算機，有些不法分子會通過電腦技術(shù)竊取交易信息。

(3)商家商務(wù)網(wǎng)的安全問題。有些企業(yè)在制作自己的商務(wù)網(wǎng)站時由于技術(shù)不過硬，本身的商務(wù)網(wǎng)站就存在隱患，服務(wù)器安全性低，不法分子利用電腦技術(shù)攻擊商務(wù)網(wǎng)站，竊取用戶信息和交易信息。

3.2 電子商務(wù)安全問題的具體表現(xiàn)

(1)交易信息被竊取、毀壞。電子商務(wù)交易在數(shù)據(jù)包的傳送過程中，可能會被一些不法分子運用電腦技術(shù)非法篡改交易信息，使得交易信息失去真實性和可靠性。無論是在網(wǎng)絡(luò)硬件還是軟件方面，都存在導(dǎo)致傳送過程中信息的誤傳的可能性。

(2)假冒身份問題。電子商務(wù)交易是通過瀏覽器登錄進行交易，交易雙方?jīng)]有機會面對面洽談，這就給了第三人一個假冒交易某一方破壞交易、騙取交易成果，甚至敗壞交易某一方的聲譽等的機會。

(3)交易抵賴問題。例如，在電子商務(wù)交易中，買家收到貨之后，不確認收貨。

(4)計算機病毒感染問題。電子商務(wù)交易勢必會使用計算機，交易者在使用計算機時，存在選中有病毒的計算機的可能性，這樣給商務(wù)交易帶來了問題。另外，我國網(wǎng)上的蠕蟲病毒等在網(wǎng)絡(luò)流域的傳播極易發(fā)生，傳播過程中會產(chǎn)生巨大的攻擊流量，會導(dǎo)致訪問速度滯停的問題。

4 電子商務(wù)安全防范技術(shù)

為確保電子商務(wù)貿(mào)易的有效進行，一方面要保證電子商務(wù)平臺的運行可靠穩(wěn)定，能夠全天候持續(xù)不斷地提供網(wǎng)絡(luò)服務(wù)；另一方面，電子商務(wù)系統(tǒng)還必須不斷更新和采用最新安全技術(shù)來保證電子商務(wù)的整個交易過程的安全，防止交易抵賴行為。在現(xiàn)實生活中，電子商務(wù)安全防范技術(shù)主要有以下幾種：

4.1 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類。在交易雙方可以保證密鑰在交換階段未曾發(fā)生丟失或泄露的情況下，通常采用常規(guī)密鑰密碼技術(shù)為機密信息加密。在公開密鑰密碼體系中，加密密鑰是公開的信息，加密算法和解密算法也是公開的信息，而解密密鑰是機密的。重要的公開密鑰密碼體系有：基于NP完全理論的Merkel-Hellman背包體系、基于數(shù)論中大數(shù)分解的RSA體系、基于編碼理論的McEliece體系。以上兩種加密體系各有優(yōu)缺點：常規(guī)密鑰密碼體系的優(yōu)點是加密速度快、效率高，主要用于大量數(shù)據(jù)的加密，但是常規(guī)密鑰密碼體系中密鑰在傳遞過程中容易被竊取，對于大量密鑰的管理存在缺陷；公開密鑰體系在大范圍密鑰的安全方面很好的解決了常規(guī)密鑰密碼體系存在的問題，保密性能比常規(guī)密鑰密碼體系高，但是公開密鑰密碼體系項目復(fù)雜，加密速度較慢。實踐中通常將常規(guī)密鑰密碼體系和公開密鑰密碼體系結(jié)合起來使用。

4.2 防火墻技術(shù)

防火墻技術(shù)分為兩類：代理服務(wù)技術(shù)和數(shù)據(jù)包過濾技術(shù)。其中，數(shù)據(jù)包過濾技術(shù)較為簡單，也最常用，它通過檢查接收到的每個數(shù)據(jù)包的頭，來分析該數(shù)據(jù)包是否已經(jīng)發(fā)送到目的地。防火墻技術(shù)通過對數(shù)據(jù)進行分析并有選擇的過濾，從而有效地避免外來因素對數(shù)據(jù)包進行的破壞，保證網(wǎng)絡(luò)的安全。實踐中，也常常將數(shù)據(jù)包過濾防火墻與代理服務(wù)器結(jié)合使用，可以更加有效地保護網(wǎng)絡(luò)安全。

4.3 虛擬專網(wǎng)技術(shù)VPN

VPN具有適應(yīng)性強、投資小、易管理等優(yōu)點，通過使用信息加密技術(shù)、安全隧道技術(shù)、用戶認證技術(shù)、訪問控制技術(shù)等實現(xiàn)對網(wǎng)絡(luò)信息的保護。VPN可以使商業(yè)伙伴、公司、供應(yīng)商、遠程用戶的內(nèi)部網(wǎng)之間建立可靠穩(wěn)定的安全連接，確保貿(mào)易信息的安全傳輸，從而保證在公共的Internet或企業(yè)局域網(wǎng)之間安全進行電子交易。

4.4 安全認證技術(shù)

安全認證技術(shù)包括以下幾種：

(1)數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)可以確保原始報文的不可否認性以及鑒別，并且可以防止虛假簽名。

(2)數(shù)字摘要技術(shù)。數(shù)字摘要技術(shù)通過驗證網(wǎng)絡(luò)傳輸?shù)拿魑?，鑒別其是否經(jīng)過篡改，進而確保數(shù)據(jù)的有效性和完整性。

(3)數(shù)字憑證技術(shù)。數(shù)字憑證技術(shù)通過運用電子手段來鑒別用戶身份以及管理用戶對網(wǎng)絡(luò)資源訪問的權(quán)限。

(4)認證中心。認證中心專門負責(zé)審核網(wǎng)絡(luò)用戶的真實身份并提供相應(yīng)的證明，且只管理每個用戶的一個公開密鑰，在一定程度上大大降低了密鑰管理的復(fù)雜性。

(5)智能卡技術(shù)。智能卡具有存儲數(shù)據(jù)和讀寫數(shù)據(jù)的能力，可以對數(shù)據(jù)進行簡單地處理，能夠?qū)?shù)據(jù)進行加密和解密，其特點是存儲器部分具有外部不可讀性，可以使用戶身份鑒別更加安全。

5 電子商務(wù)中的信息安全對策

5.1 不斷完善網(wǎng)絡(luò)安全管理體系

我國應(yīng)在現(xiàn)有網(wǎng)絡(luò)安全管理部門之外建立一個具有權(quán)威的信息安全領(lǐng)導(dǎo)機構(gòu)。該部門應(yīng)宏觀地、有效統(tǒng)一地協(xié)調(diào)各部門的職能，對市場網(wǎng)絡(luò)信息安全現(xiàn)狀進行及時的分析，制定科學(xué)的政策。對于使用計算機網(wǎng)絡(luò)的單位及個人，必須嚴格遵守《中華人民共和國計算機信息系統(tǒng)安全保護條例》和《計算機信息網(wǎng)絡(luò)安全保護管理辦法》，建立完善的責(zé)任問責(zé)制度。

5.2 大力培養(yǎng)網(wǎng)絡(luò)安全專業(yè)人才

面對現(xiàn)代網(wǎng)絡(luò)應(yīng)用高速普及的情況，網(wǎng)絡(luò)安全專業(yè)人才顯得捉襟見肘，我國需要大量的網(wǎng)絡(luò)安全人才維護網(wǎng)絡(luò)的安全。我國應(yīng)加大對培養(yǎng)網(wǎng)絡(luò)安全人才的科研教育機構(gòu)的投入力度，同時積極組織人才及組織與國外的相關(guān)部門進行技術(shù)經(jīng)驗交流，不斷引進國外先進網(wǎng)絡(luò)安全保護技術(shù)，并及時對我國專業(yè)人員進行技術(shù)培訓(xùn)。

5.3 建立網(wǎng)絡(luò)風(fēng)險防范機制

現(xiàn)階段我國的網(wǎng)絡(luò)安全技術(shù)較滯后、相關(guān)法律法規(guī)不是很健全，網(wǎng)絡(luò)安全面臨很多威脅因素，這就要求電子貿(mào)易用戶建立網(wǎng)絡(luò)風(fēng)險防范機制，為存在的安全因素建立補救措施。電子商務(wù)交易用戶可以根據(jù)交易具體情況為標的物進行投保，通過這些措施，可在很大程度上減少網(wǎng)絡(luò)安全事故造成的經(jīng)濟損失。

6 結(jié)語

網(wǎng)絡(luò)信息安全是電子商務(wù)發(fā)展的基礎(chǔ)，是電子商務(wù)的核心。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)信息安全也將面臨新的挑戰(zhàn)，網(wǎng)絡(luò)安全保護人員必須及時吸收國內(nèi)外先進信息保護技術(shù)。但是，僅從技術(shù)角度保護電子商務(wù)信息的安全是不夠的，還必須不斷建立健全相關(guān)的電子商務(wù)立法，促進我國電子商務(wù)的健康發(fā)展。

[1]金艷.如何認識電子商務(wù)在我國的發(fā)展狀況[J].長春醫(yī)學(xué),2007(02).

[2]楊二龍,劉建時.對電子商務(wù)風(fēng)險的幾點思考[J].警官文苑,2007(01).