电子商务信息安全现状分析与对策

●吴蕾蕾

电子商务作为当前国际金融服务贸易中一种不可或缺的经营服务模式，已经成为我国国民经济社会生活中至关重要的组成部分，更是互联网技术在金融领域应用及发展的必然趋势。电子商务信息的有效性、真实性、机密性、完整性及可靠性均与企业和消费者切身的经济利益和声誉直接关系[1-2]，构建大型、便捷的电子商务信息安全环境是保证我国电子商务产业健康可持续发展的基础要素，也是当前亟需攻关的前沿科学问题。另外，我国电子商务产业尚处于初期发展的重要阶段，还主要以网络为依托平台开展商品和服务交易活动，其所依托网络平台的可靠性等问题是制约企业信息安全的关键因素之一，构建安全稳定强大的电子商务产业网络平台，为企业和消费者提供高效、快捷的信息传输处理环境十分必要。

基于此，本文通过分析目前我国电子商务网络平台运行环境存在的安全问题，从网络软件、硬件设施；网络运行管理模式；网络使用群体等角度寻找影响电子商务信息安全因素，并在此基础上，针对商务网络平台运行环境安全问题，提出些许切实可行的安全保障措施，以期为我国商务网络平台运行建设提供参考。

一、电子商务信息安全影响因素分析

由于Internet 自身开放性，我国企业网络电子商务系统一直面临着各种各样的信息安全隐患及威胁。目前，电子信息网络商务的主要应用领域所面临的网络信息安全隐患主要在以下几个方面：

（一）企业用户个人身份号码信息易被冒充

攻击者通常使用非法手段直接获取合法用户注册域名、用户的真实域名身份、主机号码等信息，并通过仿冒合法用户注册域名、用户的真实身份及他人用户账号等进行网络信息交易，开展各种类型的网络信息欺诈和破坏，获取非法经济利益。违法行为主要表现形式有：故意冒充他人注册用户；故意冒充他人用户账号进行消费、栽赃；故意冒充注册域名主机、用户账号等信息欺诈等。

（二）网络信息交易过程中的信息安全问题

一般表现为攻击者在掌握互联网络的物理及化学线路传输信息流逻辑特征后，进入国际互联网络的各个信息传输时间点和信道，恶意截获、篡改、删除、插入网络相关信息流，获取企业和消费者网络银行账号、密码等网络机密相关信息。此类违法行为可归纳为直接插入篡改、直接插入和删除，其中直接插入篡改，即直接插入改变网络相关信息传输流的启动传输次序，更改国际网络相关信息的主要传输内容；直接插入，即在国际网络相关信息中直接插入一些国际网络相关信息，让接收或阅读方接收到错误甚至无法接收网络相关信息，造成信息蒙蔽现象；而删除则是通过直接插入删除网络机密信息或有用网络信息的某些部分，造成重要信息缺失。

（三）拒绝服务故障

网络攻击者通过故意散布虚假网络资讯，扰乱正常的网络资讯传送通道等违法行为，阻碍合法商家接入的用户信息、业务或其他网络资源传输。具体包括以下形式：故意虚开商家网站和网络商店，给合法用户订单发电子邮件，收订单发货单；故意伪造大量注册用户，发电子邮件，穷尽所有商家网络资源，使合法接入用户暂时不能正常性地访问新的网络服务资源，造成具有严格网络时间管理要求的网络服务无法及时得到用户响应。

（四）法律抵赖责任问题

某些社交网站上的用户通过否认自己发出的电子信息内容，达到推卸自身应该承当的法律责任、将法律责任推给对方承担的目的。例如：电子信息推送发布者明确否认以往发送过的某条相关电子信息或其他相关短信等内容；电子邮件接收者明确否认曾经收到过某条相关电子信息或其他相关电子等内容；其他商品订单购买者事后明确否认做了一张商品订货单；其他产品出售厂家，虽然承认商品质量较差，但认为是买卖双方原本自愿的一种交易；在电子商务产业中，因商品交易问题提出纠纷的一方负责最终的法律公证和仲裁等不合理现象。

（五）计算机网络系统安全隐患问题

计算机网络系统等软件设备为买卖双方用户提供了进行各种电子信息商务交易活动的必备平台，如果不积极进行网络系统的全方位维护，极易造成网络安全事故。同时，支撑网络软件运行的硬件设备也存在类似物理损坏、数据缺失、重要信息泄露等严重威胁安全运行的因素。再者，支持网络运行的操作管理系统也时刻面临着各种类型的非法病毒（勒索软件病毒等）侵害的危险，此类病毒会严重破坏管理系统。最后，因计算机的软件及硬件管理人员的责任不明确、权限不清晰、职责不到位等人为因素也可能对网络的安全运行造成严重危害。

（六）相关的电子商务网络平台法律、法规不健全问题

电子商务经过长时间的发展，我国已经出台了相关的法律、法规，但目前我国电子商务领域的法律、法规仅限于商务部、国家工商总局、中国人民银行等部门发布的几个指导意见和管理办法。这些条款的实施，虽一定程度上规范了买卖双方的行为，促使网络交易趋于规范化，但对于快速发展的电子商务行业还远远不够。由于目前的法律、法规尚不健全，且网络违法行为取证困难等因素的制约，仍存在大量的违法分子在巨大的利益诱惑下，频繁制造一些违反法律、法规及德道行为规范的行为。

二、电子商务的安全对策

目前，影响电子商务信息安全因素主要包括企业用户个人身份号码信息易被冒充、网络信息交易过程中的信息安全问题、拒绝服务故障、法律抵赖责任问题、计算机网络系统安全隐患及相关的电子商务网络平台法律、法规不健全问题等方面，针对这些影响因素，总结归纳了相应的切实可行技术措施。

（一）电子商务安全技术

虚拟专用因特网(vpn)网络加密技术。虚拟专用网络系统专用因特网(vpn)加密技术为一种主要应用于网络买卖双方交易的虚拟化的专用网络加密交易网络，它通过连接两个虚拟网络专用系统，从而建立起安全的网络交易信息通道，而且，在网络买卖双方彼此熟悉、相互信任地达成一致的交易条件后，一个虚拟专用网络系统便能够同时调用两个复杂的网络信息专用加密技术及国际通用的认证网络加密技术，这样一来，这种技术就可以很大程度上提高电子商务网络平台的安全性、可靠性及便捷性。

加密技术。加密技术以一种给定的完全具有重要意义的需加密保护的数据为对象，开展某一种特定的数学逻辑变换，通过这种变换使得原始的数据转化为杂乱无章、毫无规律的表面数据。当需要调用这些加密数据时，合法的数据使用者通过某种特殊的逻辑变换，将杂乱无章的数据恢复为规律性的数据，这样就可以避免不法分子获取有效的原有数据。

防火墙技术。防火墙技术的功能主要体现在以下两个方面，其一，采用某种特定的操作阻碍外部非法网络对内部正常运行的互联网进行不合理的访问行为，达到有效保护内部互联网信息等数据的目的，避免了内部网络遭受侵入的危险。其二，通过某种特定的操作阻止内部正常运行的网络与外部的非法网络建立连接访问关系，避免了非健康网络信息、敏感性及版权保护等容易产生纠纷问题的发生。防火墙技术的应用使得内部网络与外部网络之间产生一种保护性极强的网络隔断层，这样一来，内、外部网络的互联、信息的传递、网络的互访等都必须经过这个网络隔断层，只有通过操作内、外网络行为的合理性、安全性检查，才能实现网络的恢复和正常互访。由于防火墙技术的在阻碍不法访问行为的优越性，电子商务网络行业及相关的营销管理活动中发挥着重要的安全保障作用，已成为当今实现网络安全的最有效手段之一，在电子商务及相关行业应用广泛。

（二）电子商务交易过程中的网络信息安全问题对策

1.提高对网络信息安全重要性的认识。我国存在大量的网络使用用户，是一个网络使用大国，目前，仍有一大部分人群极少甚至从未接触过互联网，“机盲”“网盲”大量存在；同时，随互联网信息的快速发展，由于网络安全信息的不畅通，网络安全知识匮乏，许多网络使用者还仅掌握简单初始的网络安全操作技巧，对如何利用网络平台，进行互联网安全隐患防范缺乏整体的认识。针对这种现象，我们必须树立网络信息安全防范意识，强化信息安全网络风险规范防护与信息安全技术知识资源综合利用共享有机统一，增强维护网络安全信息、营造网络安全环境的基本理念。另一方面，还需从快速提升广大民众网络信息安全防范技能的角度出发，采取广泛宣传普及网络安全防护相关技术知识、实际指导网络信息安全防范基本技能操作等方式，全面提升我国网络信息的安全性。

2.加强网络安全管理和执法。要不断加快法院立法改革进程，健全网络法律管理体系。现有的法律法规在规范维护我国网络安全中虽然发挥了重要的指导作用，但依然普遍存在许多不健全之处。应该充分结合当前我国实际，通过学习吸取和总结借鉴国外关于网络互动信息安全管理立法的一些先进经验，对现行网络法律管理体系法规进行不断修改与优化补充，使新的法律管理体系更加科学和日益完善，提高执法的工作效率和执法质量[3]。

3.加快网络安全专业技术发展。加快网络安全专业技术发展主要从网络安全专业技术研究培训基地建设、人才培养及技术攻关三个方面展开：（1）大力建设一批网络安全技术研究及人才培养基地。应把培养一批从事网络信息安全技术研究、应用的技术人才与我国电子商务行业的现状结合起来，积极呼吁多方力量，为从事专业网络安全技术研究的人才创造更优良的科研工作室和学习生活环境，充分调动他们在从事信息安全技术创新过程中的工作积极性、主动性和热情。（2）加快推进网络安全相关专业人才的选拔及培养。我们应该继续加大对国内有良好基础的网络科研技术教育实训基地的技术经费支持和科研投入，促使培训基地多出专业人才，多出科研成果。在人才培养中，要紧跟国际先进经验技术，及时掌握国际上最先进的安全防范手段和技术措施，确保在较高层次上处于主动地位。（3）推进网络安全技术创新。采取我国为主，联合其他国家的方式，统一规划组织各国专家进行网络信息安全领域关键技术及装备协调攻关，特别要注重在迫切需要重点加强研究的芯片与内核可编程技术及相关的安全基础理论等方面的研究；同时，要以自主技术创新为引导，超越固有的法律、法规约束，构筑一个具有中国特色的信息安全技术体系。

4.加强网络安全设施建设。加强网络安全设施建设可以从以下四个方面实施：（1）狠抓我国网络安全相关基础配套设施项目建设。建立健全中国的信息公开密钥系统基础数据设施、信息安全技术、产品质量检测风险评估系统相关基础信息设施、应急风险响应数据处理系统等基础设施。（2）严格国家网络通信建设项目审批。在国家网络通信建设项目申请与批复过程中，相关管理部门应将当前网络的安全开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性等特征作为项目立项审核的基础，还需及时评估项目实施过程中的网络的安全技术性和可靠性、安全性能等重要指标，确保将家网络通信建设项目开展过程中可能引发的网络安全事故扼杀在项目立项、决策两个关键阶段，从根本上杜绝安全隐患。（3）加快探索建立健全完善网络安全技术风险防范危害评估防范监测工作体制机制。目前，针对消除网络安全风险防治和控制技术措施有很多，但大部分技术措施均属于危险安全事故事件产生前的网络危害事故预防；危险安全事故事件发生后，在过程管理实施网络危害安全抑制；危险安全事故事件发生后的网络风险事故补救三类。但是各类网络金融保险公司经营者仍然完全可以在国家相关网络保险认定基准和国标的严格控制适用范围内，随时针对国家允许网络保险公司标保的各类网络金融财产保险产品业务进行网络保险保障标保，并在保险客户确认出险后立即对其进行保障标保保险理赔等操作。（4）加快推进国家网络安全体系建设的技术化和规范化。为实现在统一的国际网络安全信息环境中，全面准确性保证网络安全信息的绝对安全，国际上已经出现大量的关于网络安全的技术标准及其规范、技术标准。我国应积极参考国际网络安全信息制度，完全接轨其他国家相关行业国际标准，制定并出台既可以能够充分符合国情，又可以能够有效顺应当前业内国际行业发展技术潮流的国家相关行业技术标准及规范。

三、电子商务信息安全案例分析

（一）案例简介

在教育系统的各行业中，大学在网络信息化建设方面始终扮演着领头羊的重要角色，大学率先宣布建立了大学校园网，并将其作为中国教育网的一个网络主节点。大学校园网中师生上网人数众多，上网用户数一直呈逐渐上升趋势。大学校园网在为广大高校师生提供便捷、高效的网络学习、工作生活环境的同时，在学校宽带网络管理、计费和安全等各个方面仍然存在一些问题。主要存在问题有：

1.ip 网络地址及其他用户注册账号的违法盗用。随着大学校园网中网络用户数量逐渐增多，难免也会发生盗用他人学校ip 网络地址和个人用户注册账号的违法行为，这就很大程度增加了很多学校进行网络计费管理的工作难度，ip 和ip 地址之间冲突不断、用户账号无法正常在线上网，给很多学校网络计费、缴费处的工作人员带来麻烦。另外，由于某些网络计费管理软件功能相对简单，对于同一学校账号同时在线登录网络次数并没有办法进行严格限制，使得多个学校用户仍然可以同时使用一个学校账号同时上网，这样也就造成了很多学校网络资费上的流失。

2.安全问题日益突出。互联网时代是一个复杂的网络大环境，充斥了一些新的不良信息，如何才能让您的学校、家长感到放心，使您的孩子尽量远离这些不良信息等也是不可忽视的一个重要技术问题。来自大学校园内部或外部的此类网络攻击事件行为不但可能会直接影响大学校园网的正常安全运行，甚至还有可能直接造成整个学校重要网络数据等信息的大量丢失、损坏和泄露，给学校带来不可估量的重大损失。对于每个高等学校来说，数据带宽网络资源都通常是有限的，因此，当异常性的网络攻击事件再次发生后，如何迅速解决这个问题，如何尽快地追根溯源、找出幕后“黑手”，进而防止此类事件的再次发生，成为学校网络管理维护技术人员不得不面对的棘手技术问题。

3.多个校区的网络管理和日常维护。由于现在大学校园网的使用规模越来越大，呈现出一个校园、跨多个地区的网络特点，这就要求学校网络管理员必须能对目前分布在各个大学校区的网络管理、计费以及设备功能进行实时管理和日常维护，这对于网络管理员的维护工作量相当大。

（二）对策

针对上述大学网络使用过程中的实际问题，学校专门实行了一套完整的大学校园网蓝信宽带流量管理、计费控制方案。该管理方案所采用的软、硬件系统是由上海信利自行自主研发的全套蓝信宽带系列产品，包含了有蓝信aaac(访问控制管理系统)、蓝信aaaaa(宽带管理、认证控制系统)、蓝信aabl(宽带计费控制系统)。具体对策包括：

1.客户账号绑定对策。系统将进行同一个客户同时使用公司账号与其他客户同时在线使用的同一公司账号ip网络设备端口地址、mac 网络地址、连接的同一客户公司nas 在线网络连接设备用户端口地址和其他连接客户nas 在线网络设备端口地址信息进行四重在线盗用信息绑定，高率地实现了一个客户发生盗用账号行为的客户信息安全唯一性，完全彻底防止了由于同一客户公司ip 网络设备端口地址和其他一个客户同时使用公司账号四重在线盗用所带来的各种异常现象多次同时使用的发生。系统对同一个客户使用账号同时在线使用登录多个网站使用次数流量可以同时做出明确的在线时间流量限定，避免了多人次同时在线使用同一个客户使用账号同时在线上网的各种异常现象。

2.有效控制访问区域和访问时间。系统的功能将校区用户平时可能需要访问的网络区域进行划分，分别为国内、国外、校园网，并根据不同校区用户需求制定不同的网络访问处理规则和各种访问处理方式，使学生网络上的各种不良信息远离学生校园。这套系统同时提供了内、外网络的ipnat 地址功能(包括地址信息转换处理功能)，避免了学生内网和外ipnt 地址的恶意暴露，为预防不怀好意者对学生校园网的网络攻击操作增加了技术难度，减少学生遭受各类网络攻击的各种可能性。这套系统中丰富的事件日志处理信息和便捷的事件追查处理工具等都能够促使校区网络管理员在每次面对异常网络事件时，能及时快速作出反应，迅速地查找出幕后“黑手”。

3.多样的校区网络远程管理服务功能。这套系统不仅能同时对多台位于不同校区的ipnas 网络设备同时提供多种远程管理服务功能，在实现同时统一多个不同校区网络资费管理策略功能的同时，还大大减少了校区网络管理员的日常工作量。

该安全解决模式方案为高校提供了一个完全可以主动融合网络安全防火墙、接入服务器、访问控制、认证、计费等多项且安全功能强大的系统，原则上能够针对该地区大学可能存在的每个安全技术问题制定一套主动网络应对安全解决方案策略，应用效果良好，有效降低了信息安全事故的发生。

四、结论

信息安全技术是我国电子商务健康发展的重要基础，随着我国电子商务的快速发展，通过各种电子网络的信息交易处理手段也一定会更加丰富多样化，安全性的问题也会变得更加突出。为了彻底解决好这个安全问题，必须以具有安全性的技术装备作为了保障。目前，虚拟主机专用网安全技术、加密技术和网络防火墙安全技术已经发挥着重要的保障作用，此外，需要建立完善相关法律法规制度、治理规范制度和诚信管理制度，保证我国电子商务中的信息安全，加快促进电子商务的健康发展。