電子商務安全問題

馬中亞

【摘 要】隨著互聯網的全面普及，基于互聯網的電子商務也應運而生，并在近年來獲得了巨大的發展，成為一種全新的商務模式，被許多經濟專家認為是新的經濟增長點。同時，這種電子商務模式對管理水平、信息傳遞技術都提出了更高的要求，其中安全體系的構建又顯得尤為重要。如何建立一個安全、便捷的電于商務應用環境，對信息提供足夠的保護，是商家和用戶都十分關注的話題。安全問題己成為電子商務的核心問題。

【關鍵詞】電子商務安全技術安全協議

文章編號：ISSN1006—656X（2013）12-0007-01

電子商務的發展已將全球的企業都推進到一場真的商業革命大潮中，安全問題是關鍵。電子商務系統是在開放的Internet平臺上的一個涉及信息、資金和物資交易的綜合交易系統，其安全對象是一個開放的、人在其中頻繁活動的、與社會系統緊密耦合的復雜系統，它是由商業組織本身（包括營銷系統、支付系統、配送系統等）與信息技術系統復合構成的。系統的安全目標與安全策略，是由組織的性質與需求所決定的。

一、電子商務的安全問題

（一）計算機安全問題

計算機是電子商務活動中所使用的重要工具，因此計算機的安全對于電子商務安全具有很重要的影響，如何保證計算機的安全也就成為電子商務安全中需要重點關注的問題。我們通常把計算機安全分成3類：保密、完整和即需。保密是指防止未經授權的數據暴露并確保數據源的可靠性；完整是防止未經授權的數據修改；即需是防止延遲或拒絕服務。計算機安全中最知名的領域是保密，新聞媒體上每個月都會有非法進入政府計算機或用偷來的信用卡號訂購商品的報道。相對來說完整所受的安全威脅較少，因此大眾對這個領域比較陌生。如果一封電子郵件的內容被篡改成完全相反的意思，這就是對完整性的破壞。對即需性破壞的案例很多，而且頻繁發生。延遲一個消息或消除它有時會帶來災難性的后果。

（二）網絡安全問題

網絡安全所遭受到的攻擊可以分為以下4類：

（1）中斷。指系統的部分組件遭到破壞或使其不能發揮作用，如切斷系統主機對外的網絡連線使其無法使用，這是對系統的可用性做的攻擊。（2）介入。指未經授權者授權取得系統的資源，其中的未經授權者可以是一臺計算機、一個人，或是一組程序，如利用軟件竊取網絡上傳送的機密數據，就是對數據機密性的攻擊。（3）篡改。指系統資源被未經授權的人所取得，乃至篡改內容，如在網絡上傳送的訂單遭到任意改變，是對數據的正確性的攻擊。（4）假造。指未經授權者將假造數據放入系統中，這是對數據的真實性的攻擊，如在網絡上假造身份證明文件以假冒他人。

（三）網絡安全的隱患主要表現在以下4個方面：

（1）開放性。開放性和資源共享是Internet最大的特點，也是其優點，但它的問題卻不容忽視。（2）傳輸協議。Internet采用TCP/IP傳輸協議，這種協議本身并沒有采取任何措施來保護傳輸內容不被竊取。TCP/IP協議是一種包交換網絡，各個數據包在網絡上都是透明傳輸的，可能經過不同的網絡，并由那些網絡上的路由器轉發，才能到達目的計算機。而TCP/IP協議本身沒有考慮安全傳輸，很多應用程序，如Telnet、FTP等，甚至使用明文來傳輸非常敏感的口令數據。（3）操作系統。Internet底層的操作系統是UNIX，UNIX的誕生并不是出于商業目的，所以其源代碼是公開的，這樣就很容易發現漏洞，給Internet用戶帶來安全問題。（4）信息電子化。與傳統的書面信函相比，電子化信息的固有弱點就是缺乏可信度，因為電子信息是否正確完整是很難由信息本身來鑒別的，另外電子信息還存在著難以確認信息的發出者以及信息是否被正確無誤地傳遞給接收方的問題。

二、電子商務的安全防范策略

（一）完善各項管理制度

安全管理制度是用文字形式對各項安全要求所做的規定，企業在參與電子商務初期，就應當形成一套完整的、適應于網絡環境的安全管理制度，這些制度應當包括以下幾個方面的內容。

（1）人員管理制度。保障計算機系統的安全，首先要從體制和管理上下功夫，要建立完善的安全管理的體制和制度，建立一套行之有效的安全管理措施和手段。（2）保密制度。建立完善的保密體系，提出相應的保密措施，加強對密鑰的管理。（3）跟蹤審計制度。跟蹤是指企業建立網絡交易系統日志機制，記錄系統運行的全過程，審計包括對系統日志的檢查、審核，以便及時發現故意入侵系統行為的記錄和違反系統安全要求的記錄等。

（4）系統維護制度。包括軟硬件的日常維護工作，做好數據備份工作。

（5）病毒防范制度。要有較強的病毒防范意識，要安裝防病毒軟件，注意不打開來自陌生地址的電子郵件，建立病毒清理制度等。

（6）應急措施。在緊急事故發生時，利用各項應急措施來保障計算機信息系統繼續運行或緊急恢復，如采用瞬時復制技術、遠程磁盤鏡像技術和數據庫恢復技術等。

（二）技術對策

（1）網絡安全檢測設備，如可以通過網絡安全監控系統找出安全隱患，提供堵住安全漏洞所必須的校正方案，監控各種變化情況，從而使用戶可以找出經常發生問題的根源所在。

（2）開發各種具有較高安全性的訪問設備，如安全磁盤、智能卡等。

（3）通過認證中心進行證書的認證和發放。

（4）保護傳輸線路安全，傳輸線路應有露天保護措施或埋于地下，并要求遠離各種輻射源，以減少由于電磁干擾引起的數據錯誤。

（5）要有較強的防入侵措施，利用報警系統檢測違反安全規程的行為，對在規定次數內不正確的安全密碼用戶，網絡系統可以采取行動鎖住該終端并報警。（6）加強數據加密的工作，網絡中的數據加密方式有鏈路加密、節點加密和端對端加密等方式。

（7）進行嚴格的訪問控制，當一個主體試圖非法使用一個未經授權的資源時，訪問控制機制將拒絕這一企圖。

（8）建立合理的鑒別機制，包括報文鑒別、數字簽名和終端識別技術，以便查明某一個實體的身份。

（9）進行通信流的控制，使網絡中的數據流量比較平衡，以防止破壞者通過分析網絡中的某一路徑的信息流量和流向來判斷某事件的發生。

（10）數據完整性的控制，包括數據是否來自正確的發送方而非假冒，數據接收的內容與發送時是否一致等。

（三）相應法律法規

電子商務要健康有序地發展，就像傳統商務一樣，也必須有相應的法律法規作后盾。商務過程中不可避免地會產生一些矛盾，電子商務也一樣。在電子商務中，合同的意義和作用沒有發生改變，但其形式卻發生了極大的變化。

（1）訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作，其信用依靠密碼的辨認或認證機構的認證。（2）傳統合同的口頭形式在貿易上常常表現為店堂交易，并將商家所開具的發票作為合同的依據。而在電子商務中標的額較小、關系簡單的交易沒有具體的合同形式，表現為直接通過網絡訂購、付款，例如利用網絡直接購買軟件。（3）表示合同生效的傳統簽字蓋章方式被數字簽名所代替。

電子商務合同形式的變化，對于世界各國都帶來了一系列法律新問題。電子商務作為一種新的貿易形式，與現存的合同法發生矛盾是非常容易理解的事情。但對于法律法規來說，就有一個怎樣修改并發展現存合同法，以適應新的貿易形式的問題。

參考文獻：

[1]（美）埃弗雷姆.特白思戴維.金，杰李等著王理平張曉峰譯：電子商務管理新視角（第2版）[M].電子工業出版社，2005年9月

[2]楊堅爭著：電子商務基礎與應用（第五版）[M].西安電子科技大學出版社，2007年7月