浅谈电子商务的安全策略与安全技术

赵晓桃

电子商务通过网络使企业面对整个世界，为用户提供了每周7天、每天24小时的全天候服务，改变了传统的买卖双方面对面的交流方式，也打破了原有的经营模式。但是，电子商务也存在着各种风险，为此，需要全方位制定安全策略。

一、电子商务中存在的安全问题

1.网络系统安全问题

网络系统安全问题包括：网络部件的不安全因素、软件不安全因素、工作人员的不安全因素、自然环境因素。

2.电子支付系统安全问题

只要有以下几个方面：支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用、支付金额被更改、不能有效验证收款人的身份。

二、电子商务系统安全性的层次

1.网络节点的安全

（1）防火墙。防火墙是连接internet和intranet最为有效的安全防护，它能有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等判断。通过灵活有效地运用这些功能，制定安全策略，提供一个安全、高效的intranet系统。

（2）安全操作系统。防火墙是基于操作系统的，如果信息通过操作系统的后门绕过防火墙进入内部网，防火墙就会失效。所以，要保证防火墙发挥作用，就必须保证操作系统的安全。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。

2.通讯的安全

（1）数据通讯。通讯的安全主要依靠对数据的加密来实现，在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通讯主要存在于：客户浏览器端与电子商务web服务器端的通讯，电子商务web服务器与电子商务数据库服务器的通讯，银行内部网与业务网之间的数据通讯。

（2）安全链路。为在浏览器和服务器之间建立安全机制，ssl要求服务器向浏览器出示它的证书，证书包括可信证书授权机构（ca中心）签发的公钥。浏览器要验证服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（pki）。建立ssl链接不需要一定有个人证书，验证个人证书是为了验证来访者的合法身份。只建立ssl链接时客户只需下载该站点的服务器证书，这是与服务器协商的一个对称算法及密钥，然后用此对称算法加密传输的明文，此时浏览器也会出现进入安全状态的提示。

3.应用程序的安全性

即使正确配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。如程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。这些缺点都被使用到攻击系统的行为中，不正确地输入参数被用来骗特权程序。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的，程序不检查输入字符串长度，假的输入字符串常常是可執行的命令。程序碎块是特别用来增加黑客的特权，或是出于攻击的目的写的。例如，缓冲溢出攻击可以向系统中增加一个用户，并赋予这个用户特权。访问控制系统中没有什么方法可以检测到这些问题，只有通过监视系统并寻找违反安全策略的行为才能发现。

4.用户的认证管理

（1）身份认证。电子商务企业用户身份认证可以通过服务器ca证书与ic卡相结合来实现，ca证书用来认证服务器的身份，ic卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用id号和密码口令的身份确认机制。

（2）ca证书。要在网上确认交易各方的身份，并保证交易的不可否认性，需要一份数字证书进行验证。这份数字证书就是ca证书，它由认证授权中心（ca中心）发行。ca中心一般是社会公认的可靠组织，对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。验证个人证书是为了验证来访者的合法身份，而只需要建立ssl链接的客户只下载该站点的服务器证书即可。

由此可见安全就是一种风险管理，任何技术手段都不能保证百分之百的安全。但是，若我们合理利用一定的安全技术是可以降低系统遭到破坏、攻击的风险，决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

（作者单位：广东省肇庆高级技工学校）