关于电子商务安全问题的思考

郑文贤（武汉设计工程学院商学院国际经济与贸易系）

有关电子商务的安全性要求

（一）对电子商务活动安全性的要求

满足服务的有效性。电子商务体系应该有预防服务失败状况产生的功能，防止因为网站方面发生事故等原因而导致体系停止运转等状况的出现，确保双方的交易可以迅速地传输。

保证交易信息的秘密性。电子商务体系应该对使用人员所发送的讯息实行合理、高效的保密，预防由于讯息被截获而导致的泄露情况，与此同时，还应当预防讯息在未经过授权的情况下被访问。

满足数据的完整性需求。在数据资料的应用进程之中，原有的资料数据应当同现有的数据资料始终保持相同。为了确保双方商贸往来的严谨性与公平性，双方交易的文档是不允许再次修正的。

必须进行身份认证。电子商务体系应当出示高效、准确、可信的身份证明，保证贸易双方的相关材料均是合理、合法的。

（二）电子商务的主要安全要素

信息资料的可信性、高效性。电子商务从本质来讲，是以电子贸易的一种方式代替了纸质贸易。在各式各样的贸易往来之中，电子商务只是其中的一类方式，其资料的高效性与可信性会切实地涉及个体、公司或者整个国家的经济效益与信誉。

信息资料的保密性。在各种贸易往来之中，电子商务只是其中的一类形式，但是在电子商务之中的信息资料却意味着个体、公司或者整个国家的商业秘密。以往的纸质形式的贸易均是经过快递发出的信件或者经过可信的联络方式传送商业资料来达成对内容保密的意图。因此，在电子商务全方位发展的过程之中，预防机密的泄露是当务之急。

信息资料的整体性。电子商务发展的实质是将传统的贸易往来流程进行了相应的简化，将工作量减少了许多，与此同时，也为保护商业资料的整体性带来了相应的安全感。除此之外，数据传送进程之中资料的掉落、信息资料的反复输入或者信息资料输送的顺序错位也可能会使交易双方信息资料出现差异。所以，电子商务体系务必要确保数据传送、储存以及电子商务整体性检验的准确无误。

信息资料的可信性、可辨别性、可控性、不可否定性。可信性要求便是客户对信息资料进行运用的过程中，不会出现被拒绝使用的现象；不可否定要求便是可以设立十分高效的责任体制，以防合作方出现否定其行为的事情；可控性的要求便是可以掌控运用相关材料或资源的人的运用形式。在以往的纸质商贸之中，交易的两方是经过在合作协议等纸质文档上签写姓名来辨别合作方，确认协议的可信性并防止否定行为的产生。

在现行的电商形式下，经过手动签写姓名来实行合作方的辨别已然达不到现有的要求。所以，应当在合作资料的传送进程之中为进行合作的个体、公司或者国家出示可信的标志。在各大网站上，每一名成员均不是实名制的，电商体系应当有效确保原交易方在传送资料之后不可以否认，接受一方在接受资料之后也不可以否认。

电子商务安全特殊性的表现

电子商务安全具有特殊性主要表现在以下方面：与传统的商贸相比较，电子商务在信息资料的安全层面会有更高的风险。在传统的商务来往活动之中，其信息资料的传送以及信息资料的储存基本上均是经由有形的单证实施，相对来说其信息资料触及的范围较为狭窄，比较容易得到防护与掌控。即便在信息资料的传送进程之中发生了损坏、修改等状况，也能够根据遗留下来的些许痕迹寻找相应的成因。电商行动是在开放的网站上实施交易的，信息资料的传送主要凭借网站，其触及范围相对来说比较广泛，而且信息资料被修改之后不会遗留任何迹象，因此其风险相对来说比较高。信息资料方面的风险多种多样，有假借他人之名盗窃资料、修改他人数据、信息材料的丢失、虚无的信息资料、资料传送进程中的损坏等。

电子商务安全需要进一步完善的配套措施

电子商务若想真真正正地变成一类主导的商业贸易形式，特别是对于发展中的国家想扩展、完善电子商务，便需要从下述的一些层面来建立健全相应的配套方案：突破关键技术受制于人的瓶颈；中国应当尽可能迅速地建立有关电子商务的法律条文；积极研发大型的电子商务网站，竭尽全力地开发与其保持一致的物流企业；为了保证体系的应用安全性，除了运用技能方式之外，还应当设立十分严谨的内层安全体制；设立网站安全维护日志，将与安全有关的讯息、材料与事项详细地记载下来，以便有状况产生时能够及时地追踪查看。对于十分必要的资料应当按时将其备份，并且对资料库之中存储的一些资料，资料库体系应当依照其必要性设置各个层级的资料密码。

电子商务安全中的技术问题及对策

电子商务是在互联网平台上迅速发展起来的，若想保证电商方面的安全，安全技能是一个十分必要的方面。当前中国电商之中的安全技能问题基本有两种，第一种是数据加密；第二种是非法入侵。对此人们能够运用下述的一些方案来解决：

（一）推展全新的加密技能

增强对密码技能的探究与研发加密技能是信息交换安全的根基，经过数据加密等技能完善了数据机密性、不可否定性等安全方面的体制，进而保障了电商之中讯息交换的安全。密码技能能够划分成二大类，第一类是对称加密算法；第二类，是非对称加密算法。第一类技术基本用于各种数据的加密，当前中国电商体系之中运用的这项技术基本是DES 算法：第二类技术基本用于数据加密等层面，电商安全之中的很多技能均是设立于这项技术的根基之上的，当前中国电商之中运用的这项技术基本是RSA 算法，它含有的一些劣势是密钥相对来说比较长，基本上不能用于移动设备方面，当前在其他国家已然逐步地运用更佳的ECC 算法来取代RSA 算法，在中国电商之中也应该拓展运用ECC 加密技术，以提升电商的应用安全性。

（二）广入侵检测和高可靠的容侵技术

当前我国的许多人士非常注意网络病毒的防侵行为，普通的网络使用人员均在电脑上装有专门的杀毒软件，但是人们对网络入侵依然不太在意，尤其是公司。依照相关的数据材料，在电子商务之中由网络侵犯导致的经济亏损会极大地超过由于病毒而导致的经济亏损。入侵检测经过对网络使用人员的行为讯息实行征集、剖析以及整理，确切地向体系的监管人员发予警示，它是当前维护网络安全的必要技能之一。高可信的容侵是经过把机密资料依照某一类计算方法拆分成多个构成成分，仅仅得到机密资料的一个构成成分并不可以将有意义的那些内容还原出来，如此把每个部分存储于各不相同的堡垒主机之内，运用这样的一类工作形式可以确保即便体系中的某些主机被侵入人员掌控也不会泄露机密。伴随骇客技能的迅速发展与中国骇客群落的迅速增长，网络攻击越发地增多，因此导致的经济亏损也越发地增大，所以为了确保电子商务的平稳运作，需要大力拓展入侵检测技能以及容侵技能，这是提升中国电商体系安全的必要方式之一。

主要的电子支付手段及其安全性分析

（一）电子信用卡

交付形式：信用卡交付是电子交付中比较多见的方式，办法是在各大网络环境下经过相应的SET 协议实行网络交付，使用人员在网络上输送信用卡上面的卡号与密码，加密之后输送至银行进行相应的交付。交付进程之中必须实行使用人员、店家以及付款需求的合理性验证。

安全方略：电子信用卡，是经过使用人员在网络上输进对应的账号/密码+数字签名，这些讯息均是根据SET 的交付网关平台直接与对应的银行实行有关交付信息的安全交互，实行网络交付，这类交付形式的安全性是能够获得保障的。

安全方面的一些隐患：纯粹从技能方面上来讲，没有安全方面的隐患问题。

（二）电子支票

支付形式：电子支票是运用数字化的一种方式在网络上进行钱款的交付，交付的流程同以往的支票交付历程几乎相同，只不过电子支票根本不需要纸张这种中间的转换过程，其支票的方式是经由网站传送，并使用数字签名取代了以往的签名形式。

安全方略：同电子信用卡相似，运用账号/密码与数字签名的形式对所需的身份进行相应的验证。其交付当前通常是经过专门的网站、设施以及一整套全部的用户辨别等模式化的规定达成数据的传送，进而掌控安全性，从上述的交易过程。人们能够得出，电子支票的交付在专门的体系上有比较可信的安全防护。