电子商务安全策略分析

檀学林

（赤峰工业职业技术学院 内蒙古 024000）

0 引言

随着电子商务的普及与发展，电子商务的安全问题也越来越受到人们的关注。据中国互联网信息中心（CNNIC）2013年7月的统计报告，用户认为目前网上交易存在的问题除去产品质量、售后服务及厂商信用得不到保障外，就是安全性得不到保障。由此可见，电子商务交易的安全问题已经成为制约电子商务发展的一个重要因素。下面将就电子商务安全问题，谈谈个人的看法。

1 电子商务安全的要素

1.1 有效性

电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误、黑客及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

1.2 机密性

传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防信息存取和信息传输过程被非法窃取。

1.3 完整性

电子商务简化了贸易过程，减少了人为的干预同时也带来维护贸易各方商业信息的完整性、一致性的问题。由于数据输入时的意外差错、数据传输过程中信息的丢失，信息重复或信息传送的次序差异也会导致贸易各方信息的不同，它将影响到贸易各方的交易和经营策略。因此，要预防对信息的随意生成、修改和删除。同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的一致性。

1.4 可靠性、不可抵赖性和可鉴别性

电子商务可能直接关系到贸易双方的商业交易，如何确定交易双方身份的可靠性是保证电子商务顺利进行的关键。在传统的贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴确定合同、契约，单据的可靠性并预防抵赖行为的发生。

1.5 审查能力

根据机密性和完整性的要求，应对交易数据及交易过程记录能够进行审查。

2 电子商务所面临的安全问题

2.1 操作系统抵御攻击能力方面

对操作系统攻击主要包括为授权存取、越权使用、信息泄露、用户过多占用系统资源等。

2.2 应用系统安全方面

应用系统安全是指上机系统上的应用软件层面的安全，如web服务器、proxy服务器、数据库的安全问题。攻击者可以利用应用系统的漏洞、安全隐患实施攻击，从而影响系统正常运行。

2.3 人员管理方面

最坚固的堡垒，最容易被人从内部攻破。据统计，70% 以上的信息安全案件是由于内部管理疏忽导致的。例如，1996年2月，EPSON公司离职人员入侵公司系统就是一个典型。

2.4 网络安全方面

网络安全包括：大部分 Internet协议没有进行安全设计，信息传输采用明文传输；外部用户非授权访问尝试；假冒主机或用户：对信息完整性的攻击；对信息流次序、内容进行修改；服务干扰等。

2.5 抵御黑客、病毒攻击的能力方面

黑客和病毒是目前影响互联网安全的两大主要因素。它们能破坏系统，使电子商务系统不能正常运行；能盗取商务系统的敏感资料，比如客户资料，帐户资料，业务情况等等；能利用非法盗取的帐户资料对用户进行干扰和破坏，比如，恶意购销等，给帐户造成损失并且破坏帐户的信誉。

3 电子商务安全的解决方案

当前比较流行的安全手段主要有如下几种：

3.1 电子商务系统防火墙

电子商务系统防火墙必须为系统提供以下保障：（1）保证电子商务系统平台不受到入侵。该保障要求防火墙封锁所有信息流，然后对希望提供的服务逐项开放。这是一项非常实用的方法，可以形成一种十分安全的环境。因为只有经过过滤授信的服务才被允许使用。（2）提供完善的审计机制。对所有的商业事务处理进行审计，以便安全管理和责任追究。（3）保护关键部门不受到来自内部或外部的攻击。（4）确保所有电子商务应用都是授权访问，为通过 Internet与远程访问的客户提供安全通道。基于保障目标，防火墙应过滤所有信息流，然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境，可为用户提供更多的服务。（5）数据源控制。使用过滤模块来检查数据包的来源和目的地，根据管理员的规定接受或拒收数据包。（6）对私有数据的加密支持，保证私人往来和商务活动信息不受破坏。使用授权控制，客户端认证只允许指定的用户访问内部网络或选择服务。（7）反欺骗。欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部，电子商务系统防火墙能监视这样的数据包并能扔掉他们。但防火墙并不是万能的，它不能防止内部网用户对资源的攻击，不能防范人为因素的攻击，不能防止数据驱动式的攻击等等。

3.2 数字证书与CA认证

由于电子商务在网络中完成，交易双方互相之间不见面。因此为了保证每个人及机构都能惟一且被准确无误地识别，就需要进行网上身份认证，这可以通过验证参与各方的数字证书来实现。数字证书它采用PKI（Public Key Infrastructure：公共密钥体系）公开密钥基础架构技术，是由认证中心（CA即Certificate Authority）颁发的。CA专门提供网络身份认证服务，负责签发和管理数字证书。具有权威性和公正性的第三方信任机构，其作用就像现实生活中颁发证件的机构。

3.3 安全认证协议

（1）安全套接层SSL协议。SSL协议是Netscape公司在网络传输层之上提供的一种基于 RSA和保密密钥的用于浏览器和web服务器之间的安全连接技术。SSL协议的概念可以被概括为：它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议。该协议向基于TCP／IP的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供 Internet和企业内联网的安全通信服务。SSL协议在应用层收发数据前，协商加密算法，连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议（如 HTTP FTP、TELNET等）以保证应用层数据传输的安全性。SSL采用了公开密钥和专有密钥两种加密：在建立连接过程中采用公开密钥；在会话过程中使用专有密钥。

（2）安全电子交易SET协议

SET提供对消费者、商户和收单行的认证，确保交易数据的安全性、完整性和交易的不可否认性，特别是保证了不会将持卡人的信用卡号泄露给商户。

保证信息的加密性：通过使用公共密钥和对称密钥方式加密，保证在公网上的信息安全传输，只有收件人才能访问和解密该信息。

验证交易各方：通过使用CA安全认证技术确认交易各方的真实身份。

保证支付的完整性和一致性：通过使用Hash算法和数字签名来确定数据是否被篡改，以确保数据完整（末被篡改）地被收件人接收，并可以完成交易而防止抵赖。

保证互操作性：保证不同厂商的产品使用同样的通信协议和信息格式，从而可互相集成。

4 结语

本文对实现电子商务安全性的各种技术进行了讨论，研究了各种安全技术的实现。如何利用这些现有技术，实现电子商务安全有性的应用需求，仍然是今后一段时间内值得大力研究的课题。

[1]黄小虎 李朗 胡致杰，电子商务安全问题研究[J]华南金融电脑，2008

[2]刘振宇，电子商务的安全与认证[M]京大学出版社，2008