电子商务的安全

电子商务的安全【摘要】：随着因特网的飞速发展，电子商务正得到越来越广泛的应用，电子商务的安全问题也日益引起人们的关注。本文主要阐述了电子商务安全问题的产生，同时在分析电子商务的主要安全因素基础上，介绍目前电子商务领域的几种安全技术，以及对于电子商务安全所进行的一系列防范措施。【关键词】：电子商务安全产生因素安全隐患防范措施一、引言随着互联网的发展和普及，信息化的时代已经来临。互联网深刻地影响和改变着人们生活的方方面面，电子商务无疑是网络时代的新生事物之一。网上购物、网上支付等众多电子交易方式为人们创造了便利高效的生活方式，越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。从发展趋势来看,电子商务正在形成全球性的发展潮流。现在，各个企业已经敏锐地意识到电子商务的重要性，书店、商店以及各类营销型企业纷纷建立电子商务网站，将电子商务作为了主要的营销手段之一。然而事物的发展往往具有两面性，网络是一柄双刃剑。网络给人们的生活带来了前所没有的便利性，但是同时也带来了许多不安全的因素。开放的信息系统必然存在众多潜在的安全隐患。尤其在电子商务中，不安全因素往往会给企业和用户带来巨大的损失。安全技术作为一个独特的领域越来越受到全球网络建设者的关注，电子商务系统的构建、运行及维护,都离不开安全技术的支持。因此,分析和研究企业电子商务网站安全策略是非常重要的。一般的讲,分析和研究企业电子商务网站安全策略具有如下意义:第一,维护企业和用户的财产安全。具备一套完善的电子商务网站安全措施可以有效地保护企业乃至用户的财产安全。第二,提高企业的市场竞争力。有没有一套完善的电子商务网站安全措施已经成了影响企业商誉甚至是综合竞争力的一个重要因素,具备了完善电子商务安全措施的企业才会在市场竞争中立于不败之地。二、电子商务中存在的安全问题（一）、电子商务中网络安全的问题电子商务的安全问题可以概括为以下几个方面：（1）信息泄漏：在电子商务中表现出来的信息泄露主要有两种：一种是交易双方进行交易的内容被第三方所窃取；一种是交易一方提供给另一方的文件、资料等被第三方非法使用。（2）信息篡改：在电子商务中，篡改表现为商业信息的真实性和完整性问题。电子的信息在网络传输的过程中,可能被他人非法地修改、删除或重放,这样就使信息丢失了真实性和完整性。（3）身份识别：如果不进行身份识别，第三方就有可能假冒交易方的身份，以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。交易双方对自己的行为应负有一定的责任，信息发送者和接受者都不能对此予以否认。而身份识别为这种责任提供了重要的保证。（4）信息破坏：网络的硬件或软件可能会出现问题而导致交易信息传递的丢失与谬误。另外最为常见的就是恶意破坏了。计算机网络本身容易遭到一些恶意程序的破坏，从而使电子商务信息也会遭到破坏。这些恶意程序将会对网络造成严重的损失，甚至会通过过多占用网络资源的方式来使网络瘫痪。此外，木马是一种执行超出程序定义之外的程序，它将会把自己隐藏到安全的程序中，并由此传播出去。（二）、电子商务交易中安全问题1、消费者、销售商和银行的利益不易保护电子商务领域为欺诈提供了保护伞。它特殊的运行模式可以使欺诈行为人将其欺诈行为掩盖得惟天衣无缝，而被侵害者却无可奈何。他可以直接侵害消费者的公平交易权，因为消费者是根本看不到自己所要购买商品的实物，只能在网站上浏览销售商为该商品所做的信息数据。电子商务对消费者的隐私权也提出了新的考验。因特网技术使得对个人信息的收集、储存、处理和销售有着前所未有的能力和规模，在线消费者的信息随时都有被收集和扩散的危险。销售商考虑的则是消费者是否有一个良好的诚信度，与该消费者交易是否会造成后面一系列的问题而得不到解决。银行作为消和销售费者之间的中介也会承担一定的风险度。比如，消费者收到货后，销售商能否及时收到款，这就是要考虑的问题。2、安全面临的严重问题也是制约发展的关键因素如何保障电子商务活动的安全，一直是电子商务研究的核心领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。网络产品本身就隐藏着不安全隐患，加之受技术、人为等因素的影响，不安全因素更显突出。比如：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等。若安全问题解决不好将对整个电子商务市场带来了巨大的损失。3、电子商务的支付结算问题电子商务的核心内容是信息的互相沟通和交流，交易双方通过Internet进行交流，洽谈确认，最后才能发生交易，进行支付结算，一般都要求先汇款再送货。但从整个电子商务网络的发展来看，将来要在网络上直接进行交易，就需要通过银行的信用卡等各种方式来完成交易，以及在国际贸易中通过与金融网络的连接来支付和收费。我国各个国有专业银行网络选用的通信平台不统一，不利于各银行间跨行业务的互联、互通和中央银行的金融监管以及宏观调控政策的实施。另外，各行信用卡标准不一样，不能通用，目前在我国尚不能用信用卡实现网上支付，这也是我们面临的亟须解决的问题。4、电子商务商家信誉的问题电子商务依其特有的经营模式对商家的信誉提出了更高的要求。因为电子商务的基石就是诚信、信誉。他不象传统的交易方式，消费者可到实地观察、挑选自己的商品，其完全凭借的是商家的信誉度，有信誉就有顾客这是对电子商务的真实写照。当传统的购物方式引发的各种纠分还在“3.15”消费者权益日频频曝光的环境下，消费者如何信任互不照面的网上交易？这个问题不解决电子商务就很难做大做强，这对我们也提出了新的挑战。5.电子商务买家信誉的问题买家的信誉也是卖家考虑的最重要的问题之一，如果一个买家的信誉度非常低，那么卖家会心有余悸，不敢将自己的商品卖出。在一些银行贷款中也会存在这样的问题，信誉度过低，银行是不会给你贷款的。所以买家的信誉度也很重要。三、电子商务网络安全技术及问题解决对策面对电子商务中形形色色的安全漏洞，我们必须要采取相应的方法来保障电子商务活动的安全进行，下面就着重探讨了常见的安全技术。1、加密技术加密技术是最常用的安全保密手段，为了防止合法接受者之外的人获取信息系统中的机密信息，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术包括两个元素：算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字（密钥）结合，产生不可理解的密文的步骤。密钥是用来对数据进行编码和解密的一种算法。加密之所以安全，绝非因不知道加密解密算法方法，而是加密的密钥是绝对的隐藏，现在流行的RSA和AES加密算法都是完全公开的，一方取得已加密的数据，就算知到加密算法也好，若没有加密的密钥，也不能打开被加密保护的信息。单单隐蔽加密算法以保护信息，在学界和业界已有相当讨论，一般认为是不够安全的。公开的加密算法是给黑客长年累月攻击测试，对比隐蔽的加密算法要安全多。2、虚拟专用网络虚拟专用网络(VirtualPrivateNetwork，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式)、FrameRelay(帧中继)等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术，保证连接用户的可靠性及传输数据的安全和保密性，这样就可以大大提高电子商务的安全。3、数字签名技术所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shami、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。对于电子商务中的业务款项如何分辨其真假,则需要数字签名技术来确认其交易或结算双方的真实身份及电子货币的可靠性。数字签名的防欺诈性、防更改性及确认功能是电子商务系统的一个重要安全技术。数字签名是公开密钥技术的另一类应用,它的主要方式是:信息的披露方从信息文本中生成一个128位的散列值,并且用自己的专用密钥对这个散列值进行加密,来形成披露方的数字签名:关联方首先从收到的信息文本中计算128位的散列值,接着再用披露方一同发来的公开密钥来对数字签名进行解密,如果两个散列值相同,那就可确认该数字签名是披露的。通过数字签名技术能够实现对原始信息和关联方身份的鉴别,有一定的公正及较好地防范关联方和非关联方的道德风险。4、认证技术所谓认证,就是通过认证中心对数字证书进行识别。认证分为实体认证和信息认证,这里的实体是指个人、客户程序或服务程序等参与通信的实体。实体认证是指对这些参与通信实体的身份认证。对用户身份的认证,密码是最常用的,但由于许多用户采用了很容易被破解的密码,使得该方法经常失效。信息认证是指对信息体进行认证,以决定该信息的合法性。信息认证发生在信息接收者收到信息后,使用相关技术对信息进行认证,以确认信息的发送者是谁,信息在传递过程中是否被篡改等。身份验证是对进入电子商务信息系统网络的用户进行身份合法性的整别,主要通过所掌握的特有信息对探访者进行验证。目前,数字签名和认证是网上比较成熟的安全手段,而我国大多数企业尚处于SSL协议应用阶段,在SET协议的应用试验刚刚成功,而要完全实现SET协议安全支付,则必须有一个CA认证中心。5、防火墙技术在计算机领域,防火墙是指一种逻辑装置,用来保护内部的网络不受来自外界的侵害。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络地互联环境中,尤其以接入Internet网络最甚。防火墙是指设置在不同网络如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它主要用于实现网络路由的安全,这主要包括两个方面：限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵害；限制内部网的访问,主要是针对内部一些不健康信息及敏感信息的访问。（一）电子商务网上支付安全对策由于引起电子商务安全问题的因素很多，所以解决安全问题也应从不同方面来考虑，提供不同的应对策略:1、安全技术策略。为了确保通信的安全性，必须采取必要的措施加以防范。在通信连接方面,可以使用防火墙、代理服务器、虚拟专用网络(VPN)等技术；在鉴别和认证方面，可以采取加密和认证技术。做好自身电脑的日常安全维护，注意以下几点：一是经常给电脑系统升级，二是安装杀毒软件、防火墙，经常升级和杀毒，三在平时上网是尽量不上一些小型网站，选大型网站，知名度比较高的网站，避免网站挂有病毒、木马造成中毒，四尽量不要在公共电脑上使用自己的有关资金的账户和密码，五有条件的情况下，在初装系统后确认电脑安全的后，给自己的电脑做上备份，在使用资金账户前做一次系统恢复。在登录支付资金时，应注