浅析电子商务交易的安全问题

张 伟

（兰州资源环境职业技术学院，甘肃 兰州 730021）

浅析电子商务交易的安全问题

张 伟

（兰州资源环境职业技术学院，甘肃 兰州 730021）

电子商务是新兴商务形式，信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题，实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施，完善电子商务发展的内外部环境，促进我国电子商务可持续发展。

电子商务；信息技术；信息安全

随着互联网技术的蓬勃发展，基于网络和多媒体技术电子商务应运而生并迅速发展。所谓电子商务（Electronic Commerce，EC）通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。

目前，电子商务已逐步替代了传统的交易手段，致使越来越多的企业通过互联网来完成产品交易，更多的消费者现在也都通过电子商务交易平台来购买自己所需的物品。然而，近年来通过网络进行的电子商务金融犯罪多达200起，八成的网友对网上交易的安全性表示担忧，信息安全问题成为困扰网上交易的一大难题。因此，电子商务信息安全问题也就成为了研究的当务之急。

一、电子商务信息安全现存的问题

电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是电子商务的对象，信息技术是实现电子商务的基础，电子商务实施的前提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在：

1. 计算机网络的安全

（1）安全协议问题。目前安全协议还没有全球性的标准和规范，相对制约了国际性的商务活动。此外，在安全管理方面还存在很大隐患，普遍难以抵御黑客的攻击。

（2）信息的安全问题。包括：①信息的截获和窃取：如果采用加密措施不够，攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据，获取机密信息或通过对信息流量、流向、通信频度和长度分析，推测出有用信息。②信息的篡改：当攻击者熟悉网络信息格式后，通过技术手段对网络传输信息中途修改并发往目的地，破坏信息完整性。③信息假冒：当攻击者掌握网络信息数据规律或解密商务信息后，假冒合法用户或发送假冒信息欺骗其他用户。④交易抵赖：交易抵赖包括多方面，如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。

（3）防病毒问题。电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介，不少新病毒直接以网络作为自己的传播途径，还有众多病毒借助于网络传播得更快，动辄造成数百亿美元的经济损失。

（4）服务器的安全问题。电子商务服务器是电子商务的核心，安装了大量的与电子商务有关的软件和商家信息，并且服务器上的数据库里有企业的一些敏感数据，如价格、成本等，所以服务器特别容易受到安全的威胁，并且一旦出现安全问题，造成的后果也是非常严重的。目前为止服务器的安全问题尚无有效措施予以阻止。主要表现在：非法用户向网络或主机发送大量非法或无效的请求，使其消耗可用资源却无法继续提供正常的网络服务;利用操作系统、软件、网络协议、网络服务等的安全漏洞，通过网站发送特制的数据请求，使网络应用服务器崩溃而停止服务。

2. 商务交易的安全

（1）身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台，在这个平台上交易双方是不需要见面的，因此带来交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息，仿冒合法用户的身份与他人进行交易，从而获得非法收入。

（2）交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。

（3）交易的修改问题。交易文件是不可修改的，否则然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改，以保证商务交易的严肃和公正。

3. 其他方面的安全

电子商务安全威胁种类繁多、来自各种可能的潜在方面，有蓄意而为的，也有无意造成的，例如电子交易衍生了一系列法律问题网络交易纠纷的仲裁、网络交易契约等问题，急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。

二、保障电子商务信息安全技术性措施

电子商务安全是信息安全的上层应用，它包括的技术范围比较广，主要分为数据加密技术和身份认证技术两大类。

1. 防火墙技术。防火墙在网络间建立安全屏障，根据指定策略对数据过滤、分析和审计，并对各种攻击提供防范。安全策略有两条：一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流，再审查要求通过信息，符合条件就通过；二是“凡是未被禁止就是允许”。防火墙先转发所有信息，然后逐项剔除有害内容。

防火墙技术主要有：（1）包过滤技术：在网络层根据系统设定的安全策略决定是否让数据包通过，核心是安全策略即过滤算法设计。（2）代理服务技术：提供应用层服务控制，起到外部网络向内部网络申请服务时中间转接作用。代理服务还用于实施较强数据流监控、过滤、记录等功能。（3）状态监控技术：在网络层完成所有必要的包过滤与网络服务代理防火墙功能。（4）复合型技术：把过滤和代理服务两种方法结合形成新防火墙，所用主机称为堡垒主机，提供代理服务。（5）审计技术：通过对网络上发生的访问进程记录和产生日志，对日志统计分析，对资源使用情况分析，对异常现象跟踪监视。（6）路由器加密技术：加密路由器对通过路由器的信息流加密和压缩，再通过外部网络传输到目的端解压缩和解密。

2. 加密技术。为保证数据和交易安全，确认交易双方的真实身份，电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有：（1）公共密钥和私用密钥：也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开；得到公开密钥的贸易方乙对信息加密后再发给贸易方甲：贸易方甲用另一把专用密钥对加密信息解密。

具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方，保证传输信息的保密和安全。（2）数字摘要：也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹，有固定长度且不同明文摘要成密文结果不同，而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。（3）数字签名：将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点：一是因为自己签名难以否认，从而确认文件已签署；二是因为签名不易仿冒，从而确定文件为真。（4）数字时间戳： 电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容，数字时间戳服务能提供电子文件发表时间的安全保护。

3. 认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份，验证信息完整性，确认信息在传送或存储过程中未被篡改。（1）数字证书：也叫数字凭证、数字标识，用电子手段证实用户身份及对网络资源的访问权限，可控制被查看的数据库，提高总体保密性。交易支付过程中，参与各方必须利用认证中心签发的数字证书证明身份。（2）安全认证机构：电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放，都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业性服务机构，受理数字证书的申请、签发及对数字证书管理。

4. 防病毒技术。（1）预防病毒技术，通过自身常驻系统内存，优先获取系统控制权，监视系统中是否有病毒，阻止计算机病毒进入计算机系统和对系统破坏。（2）检测病毒技术，通过对计算机病毒特征进行判断的侦测技术，如自身校验、关键字、文件长度变化。（3）消除病毒技术，通过对计算机病毒分析，开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度，可以清除处于潜伏期的病毒，防止病毒突然爆发，使计算机始终处于良好工作状态。

三、保障电子商务信息安全措施

1. 加快网络基础设施建设，推动企业信息化进程信息基础设施是电子商务发展的物质基础和载体。发展信息基础设施需要政府和业界的共同努力，尤其是政府的大力投资和宏观调控。

2. 普及计算机网络知识和电子商务常识，提高全民族电子商务意识普及信息技术的教育，培养信息技术人才。增强企业和公众对电子商务的信心。

3. 加快银行、税务以及邮政等物流环节的信息化建设建立企业到企业、企业到客户的商务沟通，实现网上资金流动，解决目前有形商品交易环节中的流通困难。

[1] 刘化君. 网络安全技术[M]. 机械工业出版社，2010.

[2] 宋红. 计算机安全技术[M]. 中国铁道工业出版社，2005.

[3] 张殿明，杨辉. 计算机网络安全[M]. 2010.

On the Safety Problems of E-Commerce

ZHANG Wei

E-commerce is a new form in business activity, and information safety guarantees its implementation. To cope with the lurking peril in information safety of e-commerce, this article suggests the data encryption technology, identity confirmation technology, firewall technology and so on, in order to consummate interior and exterior environment and promote a sustainable growth of e-commerce in our country.

e-commerce; information technology; information safety

F724.6

A

1008-7427（2011）05-0100-02

2011-03-07