關(guān)鍵詞：電子商務(wù)，網(wǎng)絡(luò)技術(shù)安全，標(biāo)準(zhǔn)化，技術(shù)方案

0 引 言

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展促進(jìn)了商業(yè)和經(jīng)濟(jì)模式的變革，電子商務(wù)作為一種嶄新的商務(wù)活動(dòng)模式，受到全世界、全社會(huì)的廣泛關(guān)注和吸納[1]。電子商務(wù)基于信息資源與實(shí)體經(jīng)濟(jì)相互結(jié)合產(chǎn)生效益的理念，具有普遍性、方便性、安全性以及整體性等特點(diǎn)，可實(shí)現(xiàn)廣告宣傳、網(wǎng)上支付、電子賬戶(hù)等功能，甫一出現(xiàn)就為互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展注入了強(qiáng)大動(dòng)力[2]。但同時(shí)，電子商務(wù)網(wǎng)絡(luò)信息安全問(wèn)題也日益凸顯，黑客攻擊、隱私數(shù)據(jù)泄露、電信詐騙等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)帶來(lái)的威脅不斷增加，電子商務(wù)的可靠性和安全性正受到威脅[3，4]。要推動(dòng)當(dāng)代社會(huì)電子商務(wù)的可持續(xù)發(fā)展，保障互聯(lián)網(wǎng)經(jīng)濟(jì)的穩(wěn)步增長(zhǎng)，必須以保障計(jì)算機(jī)網(wǎng)絡(luò)安全為基礎(chǔ)和前提[5]。

1 電子商務(wù)信息安全現(xiàn)狀

隨著電子商務(wù)的發(fā)展，構(gòu)建大型、便捷的電子商務(wù)信息安全環(huán)境已成為保證我國(guó)電子商務(wù)產(chǎn)業(yè)健康可持續(xù)發(fā)展的基礎(chǔ)要素。明確電子商務(wù)信息安全現(xiàn)狀有助于幫助研究者們采取更有效的措施解決網(wǎng)絡(luò)信息安全問(wèn)題，更高效、更嚴(yán)密地維護(hù)電子商務(wù)信息安全環(huán)境[6]。

1.1 電子商務(wù)信息安全主要要求

對(duì)電子商務(wù)信息安全的保護(hù)包括對(duì)信息的有效性、機(jī)密性、完整性與真實(shí)性的要求[5]。

1.1.1 有效性

有效性是電子商務(wù)的基礎(chǔ)。電子商務(wù)是涉及現(xiàn)實(shí)的貿(mào)易，因此合約、訂單的效力直接影響著交易的正常進(jìn)行，參與經(jīng)濟(jì)交易的雙方主體未經(jīng)對(duì)方同意都不能違反約定。

1.1.2 機(jī)密性

機(jī)密性是電子商務(wù)的前提。電子商務(wù)過(guò)程中，應(yīng)嚴(yán)格保證交易各方在交易中提供的相關(guān)信息保密，即便經(jīng)濟(jì)交易的雙方在履約過(guò)程中出現(xiàn)任何糾紛，也能夠得到有效的解決和合理的仲裁。

1.1.3 完整性

完整性是電子商務(wù)正常進(jìn)行的保障。在電子商務(wù)雙方確認(rèn)貿(mào)易內(nèi)容后，需要確保訂單、合約等信息的完整性，保證交易雙方基本信息無(wú)誤及交易的正常進(jìn)行。

1.1.4 真實(shí)性

真實(shí)性是電子商務(wù)與現(xiàn)實(shí)的關(guān)鍵連接點(diǎn)。電子商務(wù)貿(mào)易雙方通過(guò)互聯(lián)網(wǎng)以電子訂單的方式達(dá)成交易，但交易貨物往往具備現(xiàn)實(shí)實(shí)體，交易資金也具備現(xiàn)實(shí)購(gòu)買(mǎi)力。因此，電子商務(wù)更需要對(duì)交易雙方的現(xiàn)實(shí)身份進(jìn)行確認(rèn)，保證交易對(duì)象真實(shí)存在且具備完成交易的現(xiàn)實(shí)能力。

1.2 電子商務(wù)面臨的主要安全問(wèn)題

電子商務(wù)的信息安全面臨著諸多安全問(wèn)題，主要包括信息的竊取、信息的篡改、假冒與惡意破壞[7]。

1.2.1 信息的竊取

電子商務(wù)主要通過(guò)互聯(lián)網(wǎng)平臺(tái)進(jìn)行信息的傳遞，各種交易活動(dòng)也是在互聯(lián)網(wǎng)的平臺(tái)上完成，交易信息對(duì)用戶(hù)來(lái)說(shuō)屬于商業(yè)機(jī)密，但當(dāng)企業(yè)的信息數(shù)據(jù)安全工作準(zhǔn)備不足時(shí)，很容易在信息傳遞、信息存儲(chǔ)等路徑上遭遇不法分子的非法信息竊取[8]。

這一過(guò)程中，信息的機(jī)密性將遭受破壞，交易雙方也會(huì)因此遭受財(cái)產(chǎn)損失，可能造成社會(huì)對(duì)電子商務(wù)的信任危機(jī)。同時(shí)，被竊取盜取的信息數(shù)據(jù)可能被用于施行威脅度更高的其他信息安全破壞行為，對(duì)用戶(hù)財(cái)產(chǎn)安全與信用造成更嚴(yán)重的破壞。

1.2.2 信息的篡改

信息的篡改是在信息竊取基礎(chǔ)上更加惡劣的信息安全破壞行為。入侵者通過(guò)信息竊取等行為掌握信息傳遞規(guī)律后，可能從3個(gè)方面對(duì)數(shù)據(jù)信息進(jìn)行篡改。

（1）利用某些技術(shù)手段改變數(shù)據(jù)流的次序，實(shí)現(xiàn)對(duì)信息的篡改；

（2）將某些數(shù)據(jù)直接刪除，破壞信息的完整性；

（3）在數(shù)據(jù)流中根據(jù)破解獲得的規(guī)律增加某些信息，導(dǎo)致交易內(nèi)容或形式發(fā)生變化。

信息篡改在信息竊取的基礎(chǔ)上，進(jìn)一步破壞了信息的有效性與完整性，可能對(duì)交易雙方均造成財(cái)產(chǎn)與信用損失，對(duì)電子商務(wù)參與者間的信任網(wǎng)絡(luò)造成損害[9]。

1.2.3 假冒

假冒也是一種以信息竊取為基礎(chǔ)的信息安全破壞行為，其危害尤甚于竊取和篡改信息。假冒是指入侵者通過(guò)竊取掌握信息數(shù)據(jù)及其格式、規(guī)律，冒名合法用戶(hù)傳輸偽造信息或截取重要信息，容易造成交易對(duì)方出現(xiàn)錯(cuò)誤判斷和經(jīng)濟(jì)損失[10]。

不法分子會(huì)利用漏洞、木馬病毒、間諜軟件等手段篡取合法用戶(hù)的注冊(cè)地址等關(guān)鍵安全信息，并假托他人信息注冊(cè)或盜取賬號(hào)進(jìn)行互聯(lián)網(wǎng)交易，借此牟利，主要表現(xiàn)在：冒充注冊(cè)、冒充他人賬號(hào)消費(fèi)、栽贓或超前消費(fèi)；冒充注冊(cè)域名原主機(jī)、原用戶(hù)賬號(hào)進(jìn)行信息欺詐等惡劣的非法行為。

假冒行為不僅造成了受害者的經(jīng)濟(jì)損失、破壞了電子商務(wù)發(fā)展所必需的真實(shí)可靠的貿(mào)易環(huán)境，更破壞了整個(gè)互聯(lián)網(wǎng)的信任環(huán)境，對(duì)電子商務(wù)的發(fā)展乃至互聯(lián)網(wǎng)的發(fā)展進(jìn)程都將造成極其惡劣的影響。

1.2.4 惡意破壞

電子商務(wù)在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)環(huán)境下進(jìn)行貿(mào)易交流時(shí)，部分不法分子能夠通過(guò)網(wǎng)絡(luò)中的安全漏洞入侵私人計(jì)算機(jī)，竊取重要的用戶(hù)信息或有針對(duì)性地對(duì)計(jì)算機(jī)進(jìn)行攻擊，讓計(jì)算機(jī)陷入癱瘓等無(wú)法使用的狀態(tài)，實(shí)施一系列的破壞行動(dòng)[10]。

此外，不法分子也會(huì)對(duì)規(guī)模較大的電子商務(wù)平臺(tái)進(jìn)行針對(duì)性的攻擊，讓平臺(tái)陷入癱瘓狀態(tài)，趁機(jī)實(shí)施進(jìn)一步的各種破壞行為，例如：分布式拒絕服務(wù)攻擊、SQL注入攻擊、跨站腳本攻擊等。也有不法分子使用這種攻擊手段劫持平臺(tái)并敲詐勒索平臺(tái)運(yùn)營(yíng)方，擾亂平臺(tái)運(yùn)營(yíng)秩序和電子商務(wù)貿(mào)易秩序。

這兩種惡意破壞行為均利用了計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)環(huán)境自身的潛在問(wèn)題或不足，對(duì)電子商務(wù)的參與者和運(yùn)營(yíng)者造成了經(jīng)濟(jì)損失與信用損害。

2 電子商務(wù)信息安全技術(shù)與優(yōu)化

安全性是保障電子商務(wù)長(zhǎng)期發(fā)展的關(guān)鍵問(wèn)題，也是利用互聯(lián)網(wǎng)進(jìn)行交易的根本，為了保證有效性等主要信息安全得到充分保護(hù)，防火墻、信息加密、數(shù)字簽名等信息安全技術(shù)相繼出現(xiàn)，承擔(dān)起從紛繁復(fù)雜的安全威脅中保障電子商務(wù)信息安全的使命[7，11]。

2.1 防火墻技術(shù)

防火墻是兩個(gè)信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組合，對(duì)網(wǎng)絡(luò)之間的通信進(jìn)行控制。防火墻的主要工作是對(duì)網(wǎng)絡(luò)與外界交換的流量進(jìn)行監(jiān)控，主要任務(wù)是抵御不被信任的網(wǎng)絡(luò)數(shù)據(jù)可能的威脅，隔離網(wǎng)絡(luò)內(nèi)可能具有威脅的異常數(shù)據(jù)，準(zhǔn)入安全可信任的數(shù)據(jù)信息。防火墻會(huì)根據(jù)是否具備授權(quán)資格決定是否允許該用戶(hù)或信息在本網(wǎng)絡(luò)中進(jìn)行流通和共享，可以阻止不法分子的非法訪問(wèn)行為，將病毒和木馬排除在網(wǎng)絡(luò)外，防止網(wǎng)絡(luò)內(nèi)部重要的信息數(shù)據(jù)被篡改、破壞或竊取[12]。

防火墻技術(shù)的應(yīng)用應(yīng)注意兩點(diǎn)，（1）防火墻也存在一定的弊端，若防火墻的數(shù)據(jù)更新出現(xiàn)太大的延遲，防火墻的實(shí)時(shí)服務(wù)請(qǐng)求就會(huì)難以實(shí)現(xiàn)，可能影響網(wǎng)絡(luò)的正常工作。（2）由于工作站是病毒入侵網(wǎng)絡(luò)的一個(gè)主要途徑，所以要將防火墻裝置安裝在工作站上，做到信息數(shù)據(jù)的安全防護(hù)工作[8]。

目前，對(duì)防火墻的優(yōu)化方向一方面是網(wǎng)絡(luò)通信與訪問(wèn)控制模塊的優(yōu)化，以實(shí)現(xiàn)對(duì)合法用戶(hù)與非法入侵者更準(zhǔn)確更迅速的辨別為目標(biāo)；另一方面是針對(duì)當(dāng)前防火墻技術(shù)無(wú)法對(duì)數(shù)據(jù)驅(qū)動(dòng)型攻擊做出有效應(yīng)對(duì)，因此需要在局域網(wǎng)內(nèi)部架設(shè)新型防火墻，克服目前的安全缺陷。

2.2 信息加密技術(shù)

加密技術(shù)主要對(duì)電子商務(wù)信息的傳遞過(guò)程進(jìn)行保護(hù)。在信息傳遞前后，分別通過(guò)加密解密算法對(duì)信息明文和密文處理，防止不法分子竊取傳輸中的信息數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)傳輸過(guò)程中的信息安全保護(hù)。

目前的密鑰加密技術(shù)主要分為對(duì)稱(chēng)密鑰加密技術(shù)與非對(duì)稱(chēng)密鑰加密技術(shù)，前者又稱(chēng)私鑰加密，在加密階段與解密階段使用相同密鑰，例如：DES加密算法等，具有時(shí)空復(fù)雜度低，運(yùn)行效率高等優(yōu)勢(shì)，但密鑰傳遞困難；后者也被稱(chēng)為公鑰加密，在加密與解密階段使用不同的密鑰，這兩種不同的密鑰需要同時(shí)使用，并明確二者之間的配對(duì)關(guān)系，例如：RSA加密算法，傳遞保密功能更優(yōu)但時(shí)空復(fù)雜度較高且對(duì)大容量信息加載速度較慢[13]。實(shí)際應(yīng)用中常將兩種加密手段混合使用并根據(jù)數(shù)據(jù)保密等級(jí)決定加密方式。

2.3 信息識(shí)別技術(shù)

信息識(shí)別技術(shù)是指身份認(rèn)證技術(shù)與數(shù)字簽名技術(shù)的交叉使用。數(shù)字簽名是數(shù)字文檔上附加的一段特殊數(shù)據(jù)，用于確保文檔的來(lái)源安全、內(nèi)容完整有效、未遭篡改。數(shù)字簽名需要傳輸前后雙方均使用摘要算法提取特征摘要，傳輸方特征摘要使用公鑰加密后傳輸，接收方特征摘要將被用于與接收、解密后的傳輸方摘要對(duì)比，若一致則說(shuō)明傳輸過(guò)程安全。身份認(rèn)證是通過(guò)驗(yàn)證用戶(hù)提供的身份信息與其所宣稱(chēng)的身份的一致性確保用戶(hù)身份真實(shí)。身份認(rèn)證需要用戶(hù)在注冊(cè)、身份驗(yàn)證階段提供姓名、手機(jī)號(hào)碼、身份證號(hào)等真實(shí)身份信息和相關(guān)證明材料，以便在必要情況下通過(guò)社會(huì)身份信息與生物身份信息對(duì)用戶(hù)身份進(jìn)行驗(yàn)真，防止假冒等信息安全破壞行為[3，8]。

上述兩種技術(shù)可以有效保護(hù)數(shù)據(jù)的有效性、私密性與完整性，但現(xiàn)階段這兩種技術(shù)都對(duì)數(shù)據(jù)中心依賴(lài)度較高，這導(dǎo)致數(shù)據(jù)中心可能成為不法分子的重點(diǎn)攻擊對(duì)象，反而不利于信息安全的保護(hù)。目前，很多研究都側(cè)重于探索基于區(qū)塊鏈、去中心化標(biāo)識(shí)等技術(shù)的信息識(shí)別技術(shù)，以期實(shí)現(xiàn)建立去中心化的信任模式。

2.4 入侵檢測(cè)系統(tǒng)技術(shù)

入侵檢測(cè)系統(tǒng)與防火墻相同，是一種防護(hù)性技術(shù)，通過(guò)采集和分析用戶(hù)的網(wǎng)絡(luò)行為數(shù)據(jù)以及關(guān)鍵節(jié)點(diǎn)信息來(lái)監(jiān)測(cè)異常數(shù)據(jù)與入侵行為并及時(shí)采取措施，發(fā)出警報(bào)或直接采取措施阻止不法分子的入侵活動(dòng)。

如今入侵檢測(cè)系統(tǒng)技術(shù)存在漏報(bào)與誤報(bào)、無(wú)法識(shí)別新型攻擊模式、難以處理數(shù)據(jù)量過(guò)大的復(fù)雜網(wǎng)絡(luò)信息等問(wèn)題。目前，針對(duì)入侵檢測(cè)系統(tǒng)上述問(wèn)題，研究者們提出了很多優(yōu)化方向，例如：引入人工智能技術(shù)與機(jī)械學(xué)習(xí)算法，通過(guò)訓(xùn)練模型盡可能地規(guī)避漏報(bào)與誤報(bào)；引入行為分析技術(shù)和上下文感知技術(shù)，對(duì)流量與用戶(hù)行為進(jìn)行深度分析，以期提高檢測(cè)的精準(zhǔn)度與效率；綜合多種入侵檢測(cè)系統(tǒng)，全方面多層次地進(jìn)行分析與檢測(cè)；引入實(shí)時(shí)響應(yīng)和自動(dòng)化技術(shù)，減輕管理員工作負(fù)擔(dān)等研究方向[14]。

3 結(jié)語(yǔ)

電子商務(wù)極大地提高了交易的簡(jiǎn)便性與效率，為我國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展注入了強(qiáng)大動(dòng)力，是我國(guó)邁入大數(shù)據(jù)時(shí)代后不可或缺的強(qiáng)力經(jīng)濟(jì)增長(zhǎng)點(diǎn)之一。正因此，積極改進(jìn)和優(yōu)化防火墻技術(shù)、數(shù)據(jù)加密技術(shù)等信息安全技術(shù)對(duì)于維護(hù)電子商務(wù)貿(mào)易的安全，保護(hù)用戶(hù)對(duì)電子商務(wù)行為的信任，維持穩(wěn)定的電子商務(wù)貿(mào)易秩序具有不可或缺的重要意義，應(yīng)當(dāng)?shù)玫较嚓P(guān)領(lǐng)域研究者的關(guān)注與重視。