浅谈我国电子商务安全

[摘要] 随着互联网的不断发展,在世界范围内掀起了一股电子商务热潮。许多国家部门对电子商务的发展十分重视,把这场以电子商务为标志的信息化与十九世纪以蒸汽机为标志的工业化相提并论,并纷纷出台了有关和举措。电子商务正得到越来越广泛的应用。其发展给人类社会带来巨大的影响,其一系列的相关领域的研究成为全球的热点。但近年来,电子商务的发展逐步放慢了脚步,其安全问题是阻碍发展的主要原因之一。所以本人选择这一课题进行了探索性研究,有着重要的实际意义。论文第一章介绍课题的研究背景,总结国内外电子商务安全研究现状及我国电子商务安全存在的问题和该问题研究的发展趋势。论文第二章对电子商务安全的内容做了简要的概述,提出电子商务安全的五个方面的需求:信息的保密性,信息的完整,信息的真实性,信息的不可抵赖性,信息的有效性。并对电子商务信息安全面临的威胁进行了描述。接下来论述了电子商务的安全技术机制,利用分层模型将各安全措施映射到对应层次中进行了四个方面的论述,其中包括网络层技术,加密层技术,认证层技术,协议层技术。在论述了电子商务系统的安全机制的基础上,提出电子商务系统安全技术的架构。论文还在第三章论述电子商务安全评价方法,介绍国内外电子商务系统的安全评价标准,设计电子商务安全评价的指标,提出对电子商务安全进行评价的一种可行性方法一模糊综合评价法。此后论文在第四章介绍电子商务交易支付系统模型,并设计了一个基于SET协议的交易模型。第五章对电子商务信息安全认证进行了论述。最后一章对电子商务企业安全在技术和管理以及第三方外包服务进行了全面的分析。论文结尾提出了电子商务的正确安全观念,并进一步指出解决电子商务安全问题尚需努力的方向。

　　[关键词] 电子商务 信息安全 网络安全 技术保障 

　　电子商务是利用互联网络进行的商务活动。电子商务有多种定义，但内涵大致相同，即电子商务是利用电子数据交换、电子邮件、电子资金转账等方式及互联网的主要技术在个人、企业和国家之间进行的网上广告及交易活动，内容包括商品及其订购信息、资金及其支付信息、安全及其认证信息等方面。信息安全是指利用网络管理控制和技术措施,防止网络本身及网上传输的信息财产被故意的或偶然的非授权泄漏、更改、破坏,或使网上传输的信息被非法系统辨认、控制。电子商务信息安全的具体表现有:窃取商业机密；泄漏商业机密；篡改交易信息，破坏信息的真实性和完整性；接收或发送虚假信息，破坏交易、盗取交易成果;伪造交易信息；非法删除交易信息；交易信息丢失；病毒破坏;黑客入侵等。随着互联网的快速扩张和电子商务的迅猛发展，电子商务系统的安全性已受到计算机病毒、网络黑客、计算机系统自身防御性脆弱等方面的严峻挑战。 

　　一、我国电子商务发展及其信息安全现状 

　　我国电子商务始于20上世纪90年代，主导相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐。目前，我国电子商务的广度和深度空前扩展，已经深入国民经济和日常生活的各个方面。艾瑞市场咨询公司最新的调查数据显示：截至2006年底，中国网络购物市场总用户数达到 4310万人，B2C和C2C总交易额分别为82亿元和230亿元。然而，据中国互联网络信息中心（CNNIC）的一份最新调研显示，只有约15%的网民平时有网上购物的习惯，而不选择网络购物的原因主要由于对网站不信任、怕受骗，担心商品质量问题和售后服务，质疑其安全性等。 

　　电子商务自从诞生之日起，安全问题就像幽灵一样如影随形而至，成为制约其进一步发展的重要瓶颈。电子商务系统的安全是与计算机安全尤其是计算机网络安全密切相关的，综合当前电子商务所面临的网络安全现状不容乐观。公布了2006 年全国信息网络安全调查结果，结果显示，半数以上的被调查单位发生过信息网络安全事件，病毒或木马程序感染率达84%，目前，全国已有8成左右的单位安装了防火墙和病毒查杀系统。对数据统计分析，2005年5月至2006年5月间，有54％的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序为84%，遭到端口扫描或网络攻击的占36%，垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73%。 

　　二、电子商务安全威胁的主要方面 

　　电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，从整体而言，电子商务安全有计算机网络安全和商务交易安全两个方面。计算机网络安全是商务交易安全的基础；商务交易安全是电子商务安全的主要内容。 

　　计算机网络安全的内容主要包括：计算机网络设备安全、计算机网络系统安全。网络设备安全是指保护计算机主机硬件和物理线路的安全， 保证其自身的可靠性和为系统提供基本安全前提；设备安全风险来自硬件器件与部件失效、老化、损害，自然雷击、静电、电磁场干扰等多方面，有人为因素还有自然灾害所引起的故障。例如，2006年12月26日，我国附近海域发生强烈地震，造成中美海缆等６条国际海底通信光缆发生中断，使附近国家和地区的国际和地区性通信受到严重影响，给有关企业和个人造成巨大影响和严重经济损失。网络系统安全是指保护用户计算机、网络服务器等网络资源上的软件系统能正常工作，网络通信及其网络操作能安全、正常完成。网络系统安全风险来自系统的结构设计缺陷、网络安全配置缺陷、系统存在的安全漏洞、恶意的网络攻击和病毒侵入等多方面。网络系统安全是计算机网络安全的主要方面。计算机网络安全的特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。 

　　商务交易安全是指商务活动在公开网络上进行时的安全，其实质是在计算机网络安全的基础上，保障商务过程顺利进行，即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性，核心内容是电子商务信息的安全。一般情况下，我们可以把电子商务安全归结为电子商务信息的安全。目前，电子商务主要存在的安全威胁有： 

　　1.身份仿冒 

　　攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益。主要表现有：冒充他人身份、冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户、使用欺诈邮件和虚假网页设计设骗。近年来随着电子商务、网上结算、网上银行等业务在日常生活中的普及，网络仿冒已经成为电子商务应用的主要威胁之一。 

　　2.未经授权的访问 

　　未经授权而不能接入系统的人通过一定手段对认证性进行攻击， 假冒合法人接入系统，实现对文件进行篡改、窃取机密信息、非法使用资源等。一般采取伪 装或利用系统的薄弱环节（如绕过检测控制）、收集情报（如口令）等方式实现。 

　　3.服务拒绝 

　　攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯，扰乱正常的资讯通道。包括：虚开网站和商店、伪造用户，对特定计算机大规模访问等，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应。 

　　4.恶意程序侵入 

　　任何系统都可能是有漏洞的，漏洞的存在给恶意程序侵入提供了可乘之机。恶意程序是所有含有特殊目的、非法进入计算机系统、并待机运行，能给系统或者网络带来严重干扰和破坏的程序的总称。一般可以分为运行类(细菌和蠕虫)和需要宿主类(病毒和特洛依木马)。恶意程序是网络安全的重要天敌，具有防不胜防的重大破坏性。例如：网络蠕虫是一种可以不断复制自己并在网络中传播的程序，蠕虫的不断蜕变并在网络上的传播，可能导致网络阻塞，致使网络瘫痪，使各种基于网络的电子商务等应用系统失效。 

　　5.交易抵赖和修改 

　　有些用户企图对自己在网络上发出的有效交易信息刻意抵赖，安全的电子商务系统应该有措施避免交易抵赖。为保证交易双方的商业利益、维护交易的严肃和公正，电子商务的交易文件也应该是不可修改的。 

　　6．其他安全威胁 

　　电子商务安全威胁种类繁多、来自各种可能的潜在方面，有蓄意而为的，也有无意造成的，例如电子交易衍生了一系列法律问题：网络交易纠纷的仲裁、网络交易契约等问题，急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。 

　　三、电子商务采用的主要安全技术

　　1. 网络节点的安全

　　防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。

　　防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

　　2. 通讯的安全

　　在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制, SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥( PKI) 。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时) 。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[ ]

　　3. 应用程序的安全性

　　即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小的基本原则。整个程序都是在模式下运行,而不是只有有限的指令子集在模式下运行,其他的部分只有缩小的许可;程序员从这个程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可) ,程序员认为这个缺省的许可是正确的。

　　这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,程序可以执行指令。程序碎块是特别用来增加黑客的的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误。

　　4. 用户的认证管理

　　(1) 身份认证。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份, IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

　　(2) CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份

　　四、结束语 

电子商务的安全威胁既有来自恶意攻击、防范疏漏，还可能来自管理松散、操作疏忽等方面。因此，保障电子商务安全是一项综合工程。除了主要从技术上提高防范和保障机制外，还需要单位完善网络系统管理，人员加强信息安全意识。另外，电子商务实践要求有透明、和谐的交易秩序和环境保障，为此还需要建立和完善相应的法律体系。

参考文献：

[1]王云峰:信息安全技术及策略 [J].广东广播电视大学学报，2006,(1):101-104

[2]李艳平周玉梅:我国数字签名立法问题研究[J].南昌高专学报，2005.6:18～19

[3]刘明珍:电子商务中的信息安全技术[J]．湖南人文科技学院学报，2006,(6):-93