1现代电子商务中网上交易的安全危机和防范措施现代电子商务中网上交易的安全危机和防范措施江怿彬摘要摘要 在二十一世纪中，电子商务已经成为一切经济活动不可或缺的组成元素，成为推动企业发展的核心力量，它的地位和作用已经很难撼动，但安全问题始终是影响电子商务发展的瓶颈。大量的事实证明，要保证电子商务的顺利发展，就必须高度重视安全问题。本文首先介绍了电子商务安全问题的构成和基本需求；其次说明了目前电子商务中存在的安全问题，并分析其产生原因；最后针对其原因提出了防治措施。关关键词键词 电子商务 网上交易 安全问题 防范措施 案例分析电子商务从 20 世纪 90 年代中期诞生以来，已经走过了十年的发展历程。十年来，安全问题始终是影响其发展的一个瓶颈。可以说，电子商务安全是电子商务顺利发展的一个关键，也是一个难点。一、电子商务安全的构成及其基本需求一、电子商务安全的构成及其基本需求在网上进行电子商务的活动过程是这样的：用户通过浏览器发出消息，该消息经过 Internet 到达Web 服务器，再由 Web 服务器调用 CGI 等程序访问数据库，返回用户请求的消息给 Web 服务器，最后通过 Internet 传给用户。在这个过程中我们可以看到，要实现电子商务安全，应该从计算机信息系统安全着手。（一）电子商务系统安全的构成电子商务系统，从某种意义上说，就是一种计算机信息系统。计算机信息系统就是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。电子商务系统的安全就是由系统实体安全、系统运行安全和系统信息安全这三个部分来组成的。（二）信息安全信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨认、控制。它是由七个部分组成：（1）操作系统安全。是指要对电子商务系统的硬件和软件资源实行有效控制，为所管理的资源提供相应的安全保护。（2）数据库安全。是指对数据库系统所管理的数据和资源提供保护，一般采用多种安全机制与操作系统相结合，来实现数据库的安全保护。（3）网络安全。是指提供访问网络资源或使用网络服务的安全保护。即通过采用各种技术和管理措施，使网络正常运行，确保网络中数据的可用性、完整性和保密性。2（4）计算机病毒防护。是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。信息安全中计算机病毒的防护，即通过建立系统保护机制，来预防、检测和清除病毒。（5）访问控制。指对主体访问客体的权限或能力的限制，以及限制进入物理区域和限制使用计算机系统和计算机存储数据的过程。信息安全中的访问控制，是保证系统外部用户或内部用户对系统资源的访问以及对敏感信息访问方式符合组织安全策略。（6）加密。信息安全中的加密主要涉及数据的加密和密钥的管理。（7）鉴别。主要提供身份鉴别和信息鉴别。身份鉴别是提供对信息收发方真实身份的鉴别。信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。（三）电子商务安全的需求针对电子商务中存在的安全问题，我们提出了电子商务安全的需求：只有提供了保密性、完整性、认证性、可控性和不可否认性这五个方面的安全性，才能满足电子商务安全的需求。1、保密性。保密性是保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。2、完整性。完整性是防止信息在传输过程中丢失和重复及非法用户对信息的恶意篡改。3、认证性。认证性是确保交易信息的真实性和交易双方身份的合法性。4、可控性。可控性是指保证系统、数据和服务能由合法人员访问。5、不可否认性。不可否认性指的是有效防止通信或交易双方对已进行的业务的否认。二、电子商务存在的安全问题及其产生的原因二、电子商务存在的安全问题及其产生的原因电子商务交易主要有三个重要环节：一是提供电子商务的企业内部网络，二是交易平台，三是平台用户。在整个运作过程中，会面临各种安全问题。分析电子商务的安全问题，就要依据实际考察结果，确定各种可能出现的安全问题，分析其原因和不同程度的危害性，找出电子商务中潜在的安全隐患和安全漏洞，从而有针对性地运用相关的电子商务安全技术来加以控制和管理。（一）电子商务的安全问题典型的电子商务安全问题包括：安全漏洞、病毒感染、黑客攻击、网络仿冒以及来自其他方面的各种不可预测的风险。1、安全漏洞在近几年来，计算机系统的安全漏洞越来越多。安全漏洞的大量存在，使得目前电子商务的安全形势趋于严峻。例如：Windows 惊现高危漏洞，新图片病毒能攻击所有用户。该漏洞可能发生在所有的 Windows 操作系统上，如 IE 浏览器、Office 软件等，在用户浏览特定的 JPG 格式图片时，会导致缓冲区溢出，进而执行病毒攻击代码，包括格式化硬盘、删除文件等。2、病毒感染主要就是蠕虫等病毒在网上的猖獗传播，蠕虫主要是利用系统的漏洞进行自动传播复制，由于传3播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪，这对依赖于网络的电子商务是一个严重的威胁。3、黑客攻击黑客攻击主要表现在网页篡改和僵尸网络两个方面。例如，从 2001 年日本首相小泉纯一郎参拜靖国神社以来，该神社的网页就断断续续遭到黑客的攻击，有时一分钟内就遭到 90 万次围攻。僵尸网络通常是指可以自动地执行定义的功能，可以被预定义的命令控制，具有一定人工智能的程序。它可以通过溢出漏洞攻击、蠕虫邮件、网络共享、口令猜测、P2P 软件等途径进入用户主机。一旦用户主机被植入代码，就主动和互联网上的一台或多台控制节点取得联系，进而自动接收黑客通过这些控制点发送的控制命令，这些受害主机和控制服务器就组成了僵尸网络。4、网络仿冒网络仿冒也称为网络欺诈、网络仿冒或者是网络钓鱼。它通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息，如银行帐户和口令等。甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段给用户计算机植入木马来直接骗取个人信息。（二）触发电子商务安全问题的原因从上面的安全问题中我们可以看出，只要有网络的存在，安全问题就不容忽视。它不仅影响了网络业务的正常运转，扰乱了网络秩序，还会造成许多直接或者间接的经济损失。为了尽可能避免安全损失，首先要了解造成这些问题的症结所在。概括起来有两个方面：先天原因和后天原因。1、先天原因电子商务的实现依赖于网络，又是在网络发展过程中发展起来的，但当初在建立网络时仅考虑到网络会不会因为局部故障而影响信息的传输这个问题，并没有预计和顾及到电子商务的安全正因为网络的全球性、开放性和共享性才使得电子商务过程中传输的信息安全存在先天不足，黑客们才有了利用公共的网络环境传播各种病毒。2、后天原因它又可以细分为管理、人和技术三方面。首先是管理上的欠缺，现代化的企业信息建设强调七分管理三分技术，在电子商务安全中也不例外。但是目前从事电子商务的企业多数都欠缺管理，由于拒绝服务攻击在目前还没有十分有效的技术解决方案，所以特别强调安全管理的重要性，但实际上却没有几家网站事先做好了管理准备。其次是黑客的攻击，由于目前还缺乏对网络犯罪有效的反击和跟踪手段，黑客对网站恶意攻击同样是威胁电子商务安全的一个原因。大量的网页被篡改事件实际上都是黑客发泄情感的结果。当然有些国家或者企业也会故意攻击网站，以触发安全问题用来研究新的安全防范措施。最后是软件的漏洞，很多已经开发出来的软件会存在各种各样的漏洞，这就给了攻击者可乘之机，通过这些软件的漏洞，黑客可以编写代码传播病毒等。同时软件开发人员为了方便，通常也会在软件里留下“后门” ，这也是导致安全问题的一个原因。4三、电子商务安全防治措施及安全应用实例三、电子商务安全防治措施及安全应用实例因为电子商务的信息安全存在先天不足，所以我们更有必要加强对电子商务后天的防患，采取一定的安全防治措施来预防。针对前面分析的触及电子商务安全问题的存在的安全问题以及产生问题的后天原因，本文通过对某提供电子商务的企业内部网络改造和交易平台改造的探讨，重点从技术措施和管理措施两大方面来进一步了解电子商务安全的防治措施。（一）技术措施技术措施涉及到信息加密技术、数字签名技术、防火墙的构造选择以及病毒的预防和清除。1、信息加密技术信息加密技术是电子商务安全技术中一个重要的组成部分。加密就是用基于数学算法的程序和保密的密钥对信息进行编码，生成难于理解的字符串。数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路-链路加密、节点加密、端-端加密、ATM 网络加密和卫星通信加密五种方式。某提供电子商务的企业为了防止通过该电子商务平台的用户信息被非法窃取和破解，欲改造原有的电子商务交易平台（如图 1 所示） 。互联网提供电子商务的企业网络交易平台平台用户图 2 改造后的交易平台发送信息加密/接收信息解密发送信息加密/接收信息解密互联网提供电子商务的企业网络平台用户图 1 原有交易平台交易平台5内部网络、交易平台、平台用户是提供电子商务的企业进行电子商务交易的三个重要环节。通过图 1 所示，我们可以看到，在这三个环节中，该企业原有的网络交易平台与使用该平台的用户之间的信息交流并没有经过任何的安全保障，这样用户发送到企业的信息或企业反馈给用户的信息很容易在互联网中被截获。为了解决这个问题，我们提供了一个安全方案，即使用“端-端”加密技术。 （如图2 所示）端-端加密是为数据从一端到另一端提供的加密方式。数据在发送端被加密，在接收端解密，中间节点处不以明文的形式出现。端到端加密是在应用层完成的。通过图 2 所示，使用“端-端”加密技术后，用户发送到企业的信息（如用户个人资料、定单、账号等）在发送时被加密，通过交易平台到达企业后解密；企业反馈至用户的信息也在传送时被加密，接收时解密。这样，使用信息加密技术就可以最大限度的确保企业和用户的信息资料不被窃取和破译。2、数字签名技术数字签名技术是为了防止他人对传输的文件进行破坏以及如何确定发信人的身份。数字签名技术利用数据加解密技术、数据变换技术，根据某种协议来产生一个反映被签署文件和签署人特性的数字化签名。将数字签名技术应用于电子商务中，可以解决数据的否认、伪造、篡改及冒充等问题，其主要用途有三个方面：（1）验证数据的完整性这个功能能保证信息自签发后到收到为止没有做任何修改。信息摘要在发送之前，发送方使用私钥进行加密，其他人要生成相同加密的信息摘要几乎不可能，于是，接受方收到信息后，可以使用相同的函数变换，重新生成一个新的信息摘要，将接收到的信息摘要解密，然后进行对比，从而验证信息的完整性。（2）验证签名者的身份此功能证明信息是由签名者发送的。因为数字签名中，是使用公开密钥加密算法，信息发送方是使用自己的私钥对发送的信息进行加密的，只有持有私钥的人才能对数据进行签名，所以只要密钥没有被窃取，就可以肯定该数据是用户签发的。信息接收方可以使用发送方的公钥对接受到的信息进行解密，因而，接收方一旦解密成功，就完全可以确认信息是由发送方发送的，同时也证实了信息发送方的身份。（3）防止交易中的抵赖行为当交易中出现抵赖行为时，信息接收方可以将加了数字签名的信息提供给认证方，由于带有数字签名的信息是由发送方的私钥加密生成的，其他任何人不可能产生这种信息，而发送方的公钥是公开的，任何人都可以获得他的公钥对信息解密这样认证方可以使用公钥对接收方提供的信息解密，从而可以判断发送方是否出现抵赖行为。数字签名技术具有良好的防伪造、防篡改、防拒认的功能，在电子商务领域中实现了传统意义上6签名的功能，已经成为保障电子商务安全交易的关键技术之一。3、防火墙的构造选择防火墙是指隔离在本地网络与外界网络之间的一道或一组执行策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，对外屏蔽内部网的信息、结构和运行状况，并提供单一的安全和审计的安装控制点，从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。为了使企业的内部网络及提供的电子商务交易平台更