關(guān)鍵詞：電子商務(wù)，標準化，信息安全

0 引言

當(dāng)前，電子商務(wù)領(lǐng)域所面臨的信息安全現(xiàn)狀令人不容樂觀。我國的信息安全研究已經(jīng)歷了不同階段，包括通信保密和計算機數(shù)據(jù)保護等階段，而如今已進入了網(wǎng)絡(luò)信息安全研究的階段[1]。隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)信息安全愈發(fā)凸顯其重要性。然而，國內(nèi)許多電子商務(wù)企業(yè)對于網(wǎng)絡(luò)信息安全的意識并不十分強烈。很多企業(yè)更傾向于關(guān)注經(jīng)濟效益、交易便利性和高效速度，而將安全性、保密性以及抗攻擊性等問題相對次要化。所以應(yīng)加強支付信息的加密技術(shù)，建立安全的身份認證和授權(quán)機制，以及強化網(wǎng)絡(luò)防護能力。標準化安全技術(shù)體系的建立，有助于確保各個企業(yè)在電子商務(wù)中采取一致的安全標準，共同維護整個電子商務(wù)生態(tài)的安全穩(wěn)定。

1 電子商務(wù)標準化

電子商務(wù)標準化的實施通常由國際標準化組織[2]（ISO）、國際電信聯(lián)盟[3]（ITU）等國際性組織以及各國的標準制定機構(gòu)負責(zé)。這些組織協(xié)同制定標準，確保它們能夠在全球范圍內(nèi)得到廣泛應(yīng)用。

1.1 技術(shù)標準

技術(shù)標準是電子商務(wù)中最重要的一部分。這些標準涵蓋了數(shù)據(jù)交換、編碼、通信協(xié)議等方面。例如：XML（可擴展標記語言）是一種常用的數(shù)據(jù)交換標準，它允許不同系統(tǒng)之間共享和理解數(shù)據(jù)。此外，HTTP（超文本傳輸協(xié)議）和HTTPS（HTTP安全）是用于互聯(lián)網(wǎng)通信的標準協(xié)議，確保了網(wǎng)站和客戶端之間的安全數(shù)據(jù)傳輸。

1.2 安全標準[4]

電子商務(wù)安全標準旨在保護交易和數(shù)據(jù)的機密性和完整性。SSL/TLS是用于安全數(shù)據(jù)傳輸?shù)膮f(xié)議，它確保了在互聯(lián)網(wǎng)上的信息傳輸是加密的，從而防止了數(shù)據(jù)被竊取或篡改。此外，PCI DSS是為了保護支付卡數(shù)據(jù)而制定的標準，它規(guī)定了商家和支付處理者必須采取的安全措施。

1.3 隱私標準[5]

隱私標準是為了保護個人信息隱私，確保其合法和安全處理而制定的一系列規(guī)范和指導(dǎo)原則。這些標準旨在確保組織和企業(yè)在收集、存儲、處理和分享個人信息時遵守適用的法律法規(guī)，并采取適當(dāng)?shù)拇胧﹣肀Ｗo這些信息免受不當(dāng)訪問、泄露或濫用。

1.4 支付標準

支付標準是用于確保支付交易的安全、有效和互操作性的一組規(guī)范和指南。這些標準覆蓋了各種支付方法，包括信用卡支付、電子轉(zhuǎn)賬、數(shù)字貨幣和移動支付等。以下是一些與支付標準相關(guān)的主要標準和協(xié)議。

（1）ISO 20022：ISO 20022是國際金融通信標準，旨在規(guī)范金融機構(gòu)之間的交流和數(shù)據(jù)交換，包括支付交易。它提供了一種統(tǒng)一的方式來描述和交換各種金融消息，包括付款指令、交易確認和支付通知。ISO 20022已經(jīng)在全球范圍內(nèi)廣泛應(yīng)用，促進了國際支付的互操作性和效率。

（2）PCI DSS：PCI DSS（支付卡行業(yè)數(shù)據(jù)安全標準）是為了保護支付卡數(shù)據(jù)而制定的一組標準。它規(guī)定了商家和支付處理者必須采取的安全措施，以防止支付卡數(shù)據(jù)泄露和濫用。PCI DSS的合規(guī)性是必要的，以便企業(yè)能夠處理信用卡支付。

（3）SEPA：SEPA（單一歐元支付區(qū)域）是歐洲的支付標準，旨在統(tǒng)一歐元區(qū)內(nèi)的支付交易。SEPA標準化了歐元區(qū)內(nèi)的直接借記和信用轉(zhuǎn)賬，使國際和國內(nèi)支付更加便捷和一致。

（4）支付應(yīng)用協(xié)議：不同的支付應(yīng)用通常使用特定的協(xié)議和標準來實現(xiàn)交易。例如：支付寶和微信支付在中國采用了自己的支付應(yīng)用協(xié)議，以支持移動支付。

2 信息存儲安全所面臨的嚴重威脅

信息存儲安全隱患是指在數(shù)據(jù)存儲、處理和傳輸過程中存在的潛在威脅和漏洞，可能導(dǎo)致數(shù)據(jù)泄露、丟失、破壞或未經(jīng)授權(quán)的訪問。信息存儲安全面臨嚴重威脅源于多種原因，包括不斷增長的網(wǎng)絡(luò)攻擊；員工，合作伙伴或供應(yīng)商的不慎行為或惡意行為；自然災(zāi)害和硬件故障可能導(dǎo)致存儲設(shè)備的物理損壞以及云安全漏洞等。數(shù)據(jù)泄露、黑客攻擊、勒索軟件以及內(nèi)部威脅都可能導(dǎo)致敏感信息的丟失或被盜取。物理損壞、無意間泄露以及云安全風(fēng)險也加劇了存儲安全問題。信息存儲安全面臨的威脅主要包括兩個方面，（1）信息存儲安全隱患，（2）信息傳輸安全隱患。

2.1 信息存儲安全隱患[6]

信息存儲安全是指電子商務(wù)中信息在靜態(tài)存儲過程中的安全保障措施。然而，這一領(lǐng)域存在著多種潛在的信息安全隱患，其中包括非授權(quán)調(diào)用信息和篡改信息內(nèi)容等問題。隨著企業(yè)的聯(lián)網(wǎng)發(fā)展，電子商務(wù)的信息存儲安全不僅僅涉及內(nèi)部管理，還需應(yīng)對外部威脅。

為了應(yīng)對這些隱患，企業(yè)需要采取一系列有效的安全措施。在內(nèi)部方面，建立嚴格的訪問控制機制，確保只有授權(quán)人員能夠訪問和修改存儲的信息。此外，加強員工安全培訓(xùn)，提高他們對信息存儲安全的重視程度，減少不慎操作帶來的風(fēng)險。在外部方面，應(yīng)使用強大的防火墻和入侵檢測系統(tǒng)，以阻止惡意入侵者進入系統(tǒng)。加密存儲數(shù)據(jù)可以有效保護數(shù)據(jù)的機密性，而定期的數(shù)據(jù)備份和恢復(fù)計劃可以在系統(tǒng)遭受攻擊時快速恢復(fù)業(yè)務(wù)運營。

2.2 信息傳輸安全隱患

信息傳輸安全隱患可能導(dǎo)致廣泛的影響，其中最常見和最嚴重的后果之一是數(shù)據(jù)泄露。數(shù)據(jù)泄露可能由多種原因引發(fā)，包括黑客攻擊、內(nèi)部員工惡意或不慎的員工行為，以及系統(tǒng)漏洞。無論是在個人還是組織層面，數(shù)據(jù)泄露都可能產(chǎn)生以下一系列負面影響[7]。

（1）數(shù)據(jù)泄露可能導(dǎo)致嚴重的個人隱私侵犯。當(dāng)包含個人身份信息、金融數(shù)據(jù)或醫(yī)療記錄等敏感信息的數(shù)據(jù)被泄露時，黑客或惡意用戶可能會濫用這些信息，從而對受害者的個人隱私造成侵犯。這可能包括身份盜用、欺詐活動以及個人信息的不當(dāng)使用，對個人造成長期和廣泛的負面影響。

（2）數(shù)據(jù)泄露可能對財務(wù)狀況造成重大損害。組織可能面臨多重財務(wù)壓力，包括支付惡意攻擊者要求的勒索軟件贖金，為數(shù)據(jù)恢復(fù)而支付高昂的費用，以及應(yīng)對法律訴訟所需的支出。此外，由于信息存儲安全事件可能導(dǎo)致業(yè)務(wù)中斷，因此組織還可能遭受與業(yè)務(wù)停滯有關(guān)的收入損失。

（3）法律責(zé)任也是一個重要的考慮因素。在許多國家和地區(qū)，法律要求組織采取適當(dāng)?shù)拇胧﹣肀Ｗo客戶和員工的敏感信息。如果組織未能履行這些法律義務(wù)，可能會面臨法律訴訟和罰款。因此，信息存儲安全隱患可能對組織的合規(guī)性產(chǎn)生嚴重影響，從而導(dǎo)致法律和財務(wù)風(fēng)險。

3 電子商務(wù)交易雙方的信息安全技術(shù)

3.1 電子商務(wù)對信息安全的需求

在電子商務(wù)交易中，買家和賣家都面臨著潛在的信息安全隱患。對于買家而言，支付信息泄露、身份盜用、虛假商品、惡意軟件攻擊和公共Wi-Fi網(wǎng)絡(luò)上的不安全交易都構(gòu)成了威脅。賣家則需要應(yīng)對支付處理風(fēng)險、數(shù)據(jù)泄露、虛假訂單、供應(yīng)鏈攻擊以及虛假評價等問題。為了減輕這些風(fēng)險，電子商務(wù)參與者需要采取安全措施，包括使用安全支付系統(tǒng)、提供身份驗證、定期更新和維護系統(tǒng)、為員工提供信息安全培訓(xùn)，并與可信賴的供應(yīng)鏈伙伴合作，以確保電子商務(wù)交易的安全性和可靠性

3.2 電子商務(wù)的信息安全技術(shù)

電子商務(wù)的信息安全技術(shù)是確保在線交易和用戶數(shù)據(jù)安全的重要支柱[8]。這包括數(shù)據(jù)加密、身份認證、網(wǎng)絡(luò)安全措施、漏洞管理、實時監(jiān)控、惡意軟件防護、員工培訓(xùn)以及數(shù)據(jù)備份和災(zāi)難恢復(fù)計劃。這些技術(shù)[9]的綜合應(yīng)用有助于保護客戶數(shù)據(jù)，防止支付欺詐，維護商業(yè)聲譽，遵守法規(guī)，降低風(fēng)險，確保業(yè)務(wù)的可持續(xù)性，并為用戶提供信心，使電子商務(wù)企業(yè)能夠在競爭激烈的市場中取得成功。此外，新興技術(shù)如：區(qū)塊鏈和智能安全分析也為電子商務(wù)提供了更高級別的安全性和可信度。

（1）網(wǎng)絡(luò)層技術(shù)

網(wǎng)絡(luò)層技術(shù)[10]是計算機網(wǎng)絡(luò)的關(guān)鍵組成部分，它們負責(zé)管理和優(yōu)化數(shù)據(jù)的傳輸和路由。IP協(xié)議為全球范圍內(nèi)的數(shù)據(jù)包提供地址，而路由協(xié)議確定最佳傳輸路徑。子網(wǎng)和子網(wǎng)掩碼允許有效地管理IP地址，而ARP解析IP地址到物理MAC地址。DHCP自動分配網(wǎng)絡(luò)配置信息，NAT允許多個設(shè)備共享單個IP地址。IPv6解決了IPv4地址短缺問題，VPN[11]提供了安全的遠程訪問，IPsec確保了數(shù)據(jù)的安全傳輸，而IGMP管理多播通信。VLAN創(chuàng)建邏輯網(wǎng)絡(luò)分區(qū)，以實現(xiàn)更靈活的網(wǎng)絡(luò)管理。這些技術(shù)和協(xié)議共同構(gòu)建了網(wǎng)絡(luò)層的基礎(chǔ)，支持著互聯(lián)網(wǎng)、局域網(wǎng)和廣域網(wǎng)等各種網(wǎng)絡(luò)環(huán)境的可靠和安全運行。

（2）加密層技術(shù)

加密層技術(shù)[12]在計算機和通信領(lǐng)域中扮演著關(guān)鍵的角色，其主要任務(wù)是確保數(shù)據(jù)的隱私和安全性。這些技術(shù)和協(xié)議包括SSL/TLS、SSH、VPN、I Psec、PGP/GPG、H T T P S、A E S、R SA、Dif f ie-Hellman等，它們提供了數(shù)據(jù)加密、身份驗證、完整性驗證和密鑰交換等功能，廣泛應(yīng)用于互聯(lián)網(wǎng)通信、電子商務(wù)、金融交易、遠程訪問以及敏感信息的存儲和傳輸。通過采用這些加密層技術(shù)，組織和個人能夠更好地保護其數(shù)據(jù)免受未經(jīng)授權(quán)的訪問和惡意攻擊，確保通信和數(shù)據(jù)交換的安全性和可信度。

（3）認證層技術(shù)

認證層技術(shù)[13]是計算機和網(wǎng)絡(luò)安全領(lǐng)域的重要組成部分，其主要任務(wù)是驗證用戶、設(shè)備或應(yīng)用程序的身份，以確保安全的訪問和通信。這些技術(shù)包括用戶名和密碼認證、多因素身份驗證、生物特征認證、公鑰基礎(chǔ)設(shè)施（PKI）、OAuth、Kerberos等，它們提供了多種方式來確認身份的有效性和授權(quán)權(quán)限。通過采用這些技術(shù)，組織和個人能夠建立更可信的安全環(huán)境，有效地應(yīng)對身份盜用和未經(jīng)授權(quán)訪問的威脅。

（4）協(xié)議層技術(shù)

協(xié)議層技術(shù)[14]在計算機和通信領(lǐng)域扮演著至關(guān)重要的角色，它們定義了數(shù)據(jù)通信和交流的規(guī)則和標準，確保不同設(shè)備和系統(tǒng)之間的有效互操作性和可靠通信。這些技術(shù)包括HT TP/ HT TPS、SMTP/POP3/IMAP、TCP/IP、DNS、SNMP、FTP、SSH、VoIP、XMPP、BGP、OSPF、SIP等，它們涵蓋了從Web通信、電子郵件傳輸、網(wǎng)絡(luò)管理、文件傳輸、遠程訪問到實時通信等各種應(yīng)用領(lǐng)域。協(xié)議層技術(shù)為數(shù)字通信提供了必要的基礎(chǔ)，也為電子商務(wù)安全提供了保障。

4 結(jié)語

隨著電子商務(wù)的發(fā)展，電子交易手段的多樣化，信息安全問題將會變得更加重要和突出。電子商務(wù)標準化與信息安全密切相關(guān)，它們共同為確保在線交易和通信的安全性、隱私性和合法性提供了重要支持。這些標準不僅保護了企業(yè)和消費者的利益，還有助于促進電子商務(wù)的可持續(xù)增長和全球化發(fā)展。在一個充滿威脅的數(shù)字化環(huán)境中，信息安全和電子商務(wù)標準化將繼續(xù)發(fā)揮關(guān)鍵作用，以確保在線交易和業(yè)務(wù)的安全性和可信度。由于電子商務(wù)的實現(xiàn)是一項復(fù)雜的系統(tǒng)工程，其信息安全問題的解決有賴于各相關(guān)技術(shù)的發(fā)展，如：公鑰基礎(chǔ)設(shè)施（pki）技術(shù)的研究與應(yīng)用；電子商務(wù)采購協(xié)議、支付協(xié)議及物流配送協(xié)議的進一步完善等。同時，除技術(shù)問題外，電子商務(wù)的信息安全還有賴于電子商務(wù)發(fā)展所需的有關(guān)政策和相應(yīng)的標準規(guī)范要求的完善。這些課題的研究不僅具有重要的理論價值和實用價值，而且對于推動電子商務(wù)的發(fā)展具有重要的現(xiàn)實意義。