电子商务中计算机网络安全及对策

浙江财经学院信息学院 韩祯

互联网是电子商务顺畅运行的基础，换句话说电子商务是因互联网的出现而发展起来的，其承继了互联网的互通、快捷的优势，同时其也需要承受互联网所遭遇的种种安全威胁。随着互联网的发展其所面临的安全问题也逐渐凸显出来，计算机病毒、特洛伊木马、系统漏洞、黑客攻击等网络有害信息充斥着互联网，如果对这些安全威胁处理不当，很容易就会对个人和企业造成经济利益的损失，甚至会对国家和社会带来不安定的影响，所以对待互联网上的安全威胁决不能掉以轻心，必须采取有效的应对措施，加强信息安全保障方面的工作，抓好体系建设，努力增强信息安全保障的能力，为电子商务的发展创造良好的基础。

1 电子商务网络安全相关概念

1.1 电子商务的概念

作为一种全新的商业的业务和服务方式，电子商务工作的主要途径是多种的电子通信，通过这种方式其可以为全世界的用户提供服务，让他们享受到更丰富的商务信息和更为快捷、简单的交易流程，而同时其只需支付更为低廉的交易成本。随着互联网在全世界范围内的普及和网络技术的不断发展，网民的数量在不断地增加，网民利用电子商务平台进行交易的金额和次数也在不断的增加，其充分享受到了网络交易的种种优点，所以电子商务一经推出就得到了广泛的推广，即便是时至今日，各大电商企业已经有了很大的发展，但是在人们眼中电子商务的潜力还远未被挖掘出来，电子商务仍然是IT行业中最有潜力发展领域。随着互联网发展而出现的还有网络安全问题，电子商务也遭遇到了网络安全问题的困扰，为排解这些困难促进电子商务的更好发展，电子商务平台充分利用了一些网络技术进行安全维护。

1.2 网络安全技术在电子商务中的应用

1.2.1 防火墙技术

作为目前最常用的网络安全防护技术，防火墙技术的要点是将防火墙放置在内部被保护的网络和互联网之间，其采用IP封包过滤技术，对经过电子商务交易平台的数据进行检测、过滤，在进口处把好关，找到不合规范的数据包，及时进行拦截，进而起到阻截的作用，防止木马、病毒等进入到内部被保护的网络之中，如果这些病毒进入到内部网络之中很可能会对内部系统中的重要信息进行窃取和篡改，进而对电子商务交易平台的运行造成极大的危险。防火墙技术主要由日志登录系统、审计系统、FTP代理服务器、E-mail代理服务器、WWW代理服务器、Telnet代理系统、加密系统、身份验证系统、包过滤路由器和堡垒主机等部分组成。防火墙只是安全系统的首道关口，其对电子商务交易平台所提供的安全保障只是相对的，一般来说黑客都会将防火墙作为其实施攻击的首选，此外，还有的黑客会绕过防火墙直接进入到内部网络，所以在设置了防火墙之外，电子商务平台还需要运用其他安全防护措施。

1.2.2 PKI技术

该项技术是互联网信息安全技术的核心，也是电子商务信息安全的关键和基础技术。这些技术又被称为公钥基础设施，其是在公钥密码理论和技术基础上建立起来的一种综合安全平台。该项技术的运用是通过第三方可信任机构——CA认证中心将用户的公钥和用户的其他标识信息绑定在一起，进而为网络用户、设备提供信息安全服务，使其具有普便适用性的信息安全性。整个PKI基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等多项内容。该技术系统向用户提供加密和数字签名等服务时是完全透明和安全的，在此过程中，用户不需要了解密钥。典型、完整、有效的技术应用系统包含以下几项内容: 认证机构、证书库、密钥管理、密钥和证书的更新、证书历史档案、客户端软件等多项内容。电子商务运行平台可以利用PKI技术建立起可信的、安全的网络运行环境，并进而有效的解决掉电子商务运行中所存在的各种安全问题。这项技术通过CA认证中心发放的数字证书，利用这种独特的数字证书来确保交易双方的身份认证问题，电子商务运行过程中还会利用到该技术的加密环节，通过此环节来保证交易信息在网上传送时不会被窃取，进而保障信息的安全性，使得电子商务在网上安全可靠的进行。

1.2.3 数据加密技术

该项技术也是电子商务安全技术中比较常用的一种手段。这种技术将电子商务活动中，买卖双方所传输的数据信息进行重新编码、加密，这样处理的作用是即便信息被黑客窃听或者盗走的话，其也难以对此进行解密，进而也就无法从信息中获取买卖双方的相关信息，从而保证了数据和数据传输的安全性。一般来说，此项技术又可以被分为非对称密钥加密技术和对称密钥加密技术两种。其中前者也被称为公开密钥加密技术，后者则也被叫做私有密钥加密算法。对称密钥加密算法主要有IDEA算法、3DES算法、PCR算法、DES算法等。对称密钥加密算法是最为常用的一种算法，这种算法的优点包括效率高、速度快、易管理等，但是其也存在着比较显著的不足，那就是其容易被黑客截取和解密信息。非对称密钥加密算法采用的方式同上种方法有所不同，其在数据加密时使用一个密钥，在数据解密时使用另外一个密钥，在加密的密钥或解密的密钥中有一个是必须保密的。其算法类型主要包括RSA算法、椭圆曲线密码算法等。这种算法相对于上一种算法其安全性能更高，但是其不足在于花费太高并且对这些加密的数据进行管理的难度较大。

1.2.4 数字签名、认证技术

就目前来说，比较常用的数字签名技术有椭圆曲线数字签名、Hash签名、RSA签名和DSS签名等几种。单独使用数字签名技术可以认可数据的来源，保证数据的不可否认性，也就是能够使接受者清晰发送对象的情况但是却不能够保障其发送数据的保密性，如果想实现发送数据的保密和完整性必须还要使用数据认证技术。

该项技术也可以被解读为通过一个被广受信赖的商业性质的中介组织发放数字证书来提供的认证服务。该项服务主要被应用于客户、银行和企业这三者之间，在上文中所提到的中介组织就是认证中心，其通过给三方发放数字证书来使三方建立起安全的信息交流和合作关系，并且实现彼此的信任。

1.2.5 VPN技术

该技术主要采用密钥交换协议、电子身份认证技术和数据加密技术等将原来上层的通信协议附加上安全协议，从而使所有的用户都可以在互联网上安全、方便、统一的通信。此项技术的最大优点是在电子商务活动中所有被授予权利的人，不限地域和国别都可以通过该项技术访问那些需要授权的资源，这项技术也可以被用于有效防止那些电子商务活动中没有被授予权利，或被授予的权利已经过期的非法用户访问需要授权的资源。通过此项技术的广泛应用，可以对电子商务活动过程中的数据进行保密，对客户的隐私和可能涉及到的交易双方的重要信息和资料都可以进行有效的保护，维护双方利益不受到损害。

2 电子商务所面临的网络威胁

互联网的开放性是把双刃剑，既让人感受到互联网便捷特点也使网上出现众多的安全风险。在网络安全防御方面，安全技术呈现滞后和被动的特点，加上黑客等网络安全威胁制造者攻击的随机性使得网络安全无法提前预防，并且要想彻底解决网络安全问题也并不现实，以互联网作为运行基础的电子商务系统，其安全性仍然十分的脆弱，电子商务信息在传输过程中遭遇的安全隐患主要包括以下几个方面：

2.1 客户信息被窃取或截获

互联网技术的发展使得互联网的基本知识已经普及，黑客群体也开始改变以往单打独斗的情形，呈现集团化作战的趋势，在利益的驱使下，黑客通过集团化的攻击将客户重要信息进行截取，使对方情况在竞争对手面前变得一目了然，使其丧失竞争的主动权。

2.2 未经授权访问数据或服务

未经授权访问就是没有经过合法授权的主体通过其他方式访问到了合法资源，在互联网上，网络攻击者可以借助多种手段比如非法冒用合法用户，进入到资源库，接触到资源库中的敏感数据。

2.3 电子商务平台漏洞

电子商务平台由于互联网所具有的特性可能存在诸多的安全问题，一些企业对电子商务平台自身缺乏应有的警惕性，对交易平台安全性重视不够，在信息泄露或者出现安全问题时才加以重视，有些企业在管理上存在漏洞，也容易导致电子商务平台出现安全问题。

2.4 信息完整性威胁

一些网络攻击者能够利用网络技术盗取合法用户的身份信息和相关权限，并借助其所盗用的合法身份同其他企业进行欺诈交易，或者是利用虚假信息诈骗用户的机密信息来盗取资金。在许多网上虚假交易的案例中，不法分子都是利用此手段进行犯罪活动的。

3 加强电子商务网络安全问题的对策

3.1 完善企业电子商务安全管理

电子商务对企业发展大有益处至少可以使其减少交易成本并且交易行为更有效率，但是对于其存在的安全问题企业必须高度重视，为了充分利用电子商务优势，尽最大可能降低企业成本，企业应当将对电子商务安全问题的管理措施具体化，设置专门的安全规范，配置专业的安全管理人员。

3.2 加强企业安全技术管控

企业要细化电子商务安全技术，完善电子商务平台建设，做好系统运行维护等工作。企业的服务器安全管理层级要进一步提高，加强对信息记录的管理，设置好安全处理预案，应用技术成熟得到广泛认可的防火墙和病毒防护程序，安排专业安全管理人员负责企业系统的维护和升级。

3.3 努力提高自身管理水平

企业自身的安全管理在维护企业信息安全方面意义重大：第一，企业的管理层必须对电子商务安全问题高度重视，要将其视为关系企业发展的关键对其进行相关的技术部署。第二，企业员工在信息安全维护方面的素质要进一步加强，可以通过培训等方式加强员工的信息安全意识。第三，要制定完善、科学的电子商务安全技术规划，并且在企业信息传输过程中严格按照规划的要求去采取行动。

3.4 企业要加强病毒防范的意识

加强对病毒防范等方面技术的研究可以使企业对电子商务系统中出现的病毒状况更了解，从而能够有效降低企业在进行电子商务活动中被病毒感染的可能性，同时企业防范病毒能力的增强也可以为企业正常进行电子交易提供比较好的网络环境。在这样的前提下才能够在病毒防范方面收到良好的效果，才能够给电子商务营造一个更健康的发展环境。

4 结语

电子商务系统中的网络安全问题具有很强的综合性，其牵扯到多个领域和方面，比如企业管理理念、管理制度、技术力量等。要保障电子商务的安全运行必须在多个方面加以考虑，对企业电子商务平台可能遭受攻击的诸多漏洞要及时弥补、完善，这样才能够使企业在面临网络攻击时仍能够较好保证信息安全，在企业电子商务安全系统规划中制定完善的企业安全管理制度，加强安全技术管理和强化企业网络安全架构都十分重要，必须协同建设，不可偏废，这样才能最终为企业的电子商务安全提供健康的网络环境。

[1]李成大,张京,龚茗.计算机信息安全[M].北京:人民邮电出版社,2008.

[2]朱丽萍.网络安全技术及防治措施[J].数字技术与应用,2011(2).

[3]陈兵.基于PKI护Ml的应用安全支撑体系研究[J].信息网络安全,2010(7).

[4]魏玉人.网络通信系统安全保障技术研究[J].信息网络安全,2010(9).

[5]任砾,王诺.计算机网络安全防控策略分析[J].网络安全技术与应用,2009(6).