电子商务中的安全问题及对策基于电子商务现状的分析【摘 要】电子商务是在 Internet 网络环境下，实现消费者网上交易和在线支付的一种新型商业模式，但电子商务的不安全性使许多用户对其有所顾虑。本文就电子商务中的安全问题进行了初步的探讨，并提出有效防止上述安全问题的对策。【关 键 词】电子商务 安全 对策基于 Internet 发展的电子商务进行商务活动的新模式，电子商务的发展前景十分诱人。但安全问题是制约其发展的重要因素，是关系到电子商务系统能否成功运行的最为重要的问题。如何建立一个安全、便捷的电子商务应用环境，保证整个商务活动中信息的安全性，使基于 Internet 的电子交易方式与传统交易方式一样安全可靠，已经成为大家十分关心的问题。一、电子商务的安全现状和存在的问题上世纪 90 年代随着 Internet 在中国的飞速发展，在这一前提下诞生了“电子商务”, 各国人民纷纷看好电子商务这块新大陆普遍认为电子商务的发展将是未来 25 年世界经济发展的一大重要推力。虽然电子商务在不断的发展,一些不足之处和安全隐患也慢慢的浮出了水面。尽管人们也在不断的完善电子商务体系，但是仍然存在一些安全问题，总的来说电子商务的安全隐患大致分为以下两点。 （一）网络系统存在的安全隐患Internet 为人类交换信息，促进科学、技术、文化、教育、生产的发展，提高现代人的生活质量提供了极大的便利，但同时对国家、单位和个人的信息安全带来极大的威胁。进入21世纪以来，信息安全的重点放在了保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保对合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。信息的保密性、完整性、可用性 、可控性就成了关键因素。1.安全机制。每一只安全机制都有一定的英勇范围和英勇环境。防火墙是一种有效的安全工具，它可以隐藏内部网络结构，细致外部网络到内部网络的访问。但是对于内部网络之间的访问，防火墙往往也无能为力，嫩南发觉和防范。2.安全工具。安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理员和普通用户，不正当的设置就会产生不安全因素。3.安全漏洞和系统后门。操作系统和应用软件中通常都会存在一些 BUG，别有心计的人员或客户都可能利用这些漏洞想个人电脑发起进攻，导致某个程序或网络丧失功能。有甚者会盗窃机密数据，直接威胁个人网络和财产数据的安全。即便是安全工具也会存在这样的问题。几乎每天都有新的 BUG 被发现和公布，程序员在修改已知 BUG 的同时还可能产生新的 BUG。系统 BUG 经常被黑客利用，而且这种攻击通常不会产生日志，也无据可查。现有的软件和工具 BUG的攻击几乎无法主动防范。系统后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为可以经过防火墙而不被察觉。2001年9月18日的时候出现的 Nimda 病毒则是病毒演变过程中的另一个里程碑，它首次利用了系统中的漏洞对互联网发起攻击，尼姆达是一种新型的、复杂的、发送大量邮件的蠕虫病毒，它通过网络进行传播。尼姆达病毒总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。4.病毒、蠕虫、木马和间谍软件。这些是目前网络最容易遇到的安全问题。病毒是可执行代码，它们可以破坏计算机系统，通常伪装成合法附件通过电子邮件发送，有的还通过即时信息网络发送。蠕虫与病毒类似，但比病毒更为普遍，蠕虫经常利用受感染系统的文件传输功能自动进行传播，从而导致网络流量大幅增加。木马程序程序可以捕捉密码和其它个人信息，使未授权远程用户能够访问安装了特洛伊木马的系统。间谍软件则是恶意病毒代码，它们可以监控系统性能，并将用户数据发送给间谍软件开发者，并对受害者造成巨大的损失。比如： 1988年11月美国国防部的军用计算机网络遭受莫里斯病毒袭击，致使美国 Internet 网络上6000多计算机感染，直接经济损失9600万美元。这个事件一方面说明了人类对网络的应用，另一方面说明了电脑防护的重要性，不然的话可能会对自己或企业造成巨大的经济损失。5.拒绝服务攻击。尽管企业在不断的强化网络的安全性，但黑客的攻击手段也在更新。拒绝服务就是在这种情况下诞生的。这类攻击会向服务器发出大量伪造请求，造成服务器超载，不能为合法用户提供服务。这类攻击也是目前比较常用的攻击手段。 6.误用和滥用。在很多时候，企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中，企业员工的信息安全意识是相对落后的。而企业管理层在大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析，中小企业尚无法将信息安全的理念融入到企业的整体经营理念中，这导致了企业的信息管理中存在着大量的安全盲点和误区。 （二）电子商务系统的安全问题电子商务从安全和信任关系来看，在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过 程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，彼此远 隔千山万水，由于英特网既不安全，也不可信，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。1.卖方面临的安全威胁主要有： （1）低信用度的卖方。低信用的买方可能存在恶意透支或者使用伪造的信用卡骗取卖方货物或存在拖延货款行为，卖方需要为此承担风险。（2）买方提交订单后不付款。导致资金迟迟不到账，流动资金缓慢。（3）虚假订单。严重的影响了卖方的工作效率，导致了庞大的工作量。 （4）买方提交订单后不付款。（5）抵赖交易信息。主要表现在收信者否认曾经接收过某些信息；购买者不承认确定了订货单。（6）传输的文件被恶意篡改。攻击者可以通过篡改、删除和插入三方面来破坏信息的完整性。2.买方面临的安全威胁主要有：（1）个人信息被泄露。网上交易需明确说明个人身份及其住址和电话，一些无良商人便可将此信息出售给别的商家，导致买家被广告、宣传等信息骚扰。（2）虚假订单。电脑被黑客植入木马或被骗入虚假网站时泄露了自己的账号及密码，从而被黑客购买自己的虚拟货物买家从而被骗走钱财。（3）付款后不能按时收到商品。在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门。从而导致买房不能及时的收到自己的货物。（4）物品与样品不一致。卖方在网上所展示的样品图片经常严重 PS 或光线处理，与实物相差太大，导致买房所买物品与所见实物大相庭径。3.移动电子商务所面临的安全威胁主要有：（1）移动终端弱处理能力。移动通信终端的硬件资源的处理能力低、内存的容量小、数据传输速率受地理位置等的限制速度较慢，在开展交易业务和移动支付时存在较大的限制和隐患。（2）移动终端被攻击。由于移动终端自身的特点，容易受到病毒、木马感染，从而破坏、获取移动终端上的如数字证书、机密数据等数据资源，造成非授权访问或假冒交易等情况发生。（3）SIM 卡被复制。基于陆地蜂窝通信系统的终端设备中的重要信息通常存储在标识移动终端的 SIM 卡中，一旦手机产生丢失，外人可以利用 SIM 卡中的这些重要信息来进行攻击和欺骗。如果在电子商务交易中使用移动设备来进行用户鉴权，那么 SIM 丢失后非法窃取者还有可能伪装成真正用户参与到电子商务的活动中来。4.通信链路层安全问题通信链路层主要是指能够为移动电子商务业务提供业务承载的各种通信网络。无线通信网络可以实现不受时间地理环境的限制，但敏感信息和交易数据在开放的无线电波上传送时，任何人都可以接收，通常会出现以下安全问题。 （1）窃听：非法用户截获移动终端与基站、网络间交换的信息，分析并窃取信令、语音、手机等业务及用户与网络的身份。（2）篡改：非法用户可以修改、插入、删除合法用户的数据，对数据完整性造成威胁。（3）假冒：非法用户截获某个合法用户或网络的足够多信息时，就可以假冒他们对网络和用户进行欺骗，以达到某种非法目的。（4）重放：通过不断的重复发送网络信息单元，对服务主机或通信网络进行干扰，使合法数据没有办法及时传递，从而使合法用户无法接受正常的网络服务，造成拒绝服务攻击。5.网关协议层安全问题网关协议层主要是指能够为移动电子商务提供业务服务网关以及通信协议的集合。目前，移动电子商务业务最为常用的业务网关与通信协议是 SMS 网关协议和 WAP 网关协议，它们为用户和应用之间进行必要的协议转换，提供终端向增值应用的接入。目前的短消息数据都是以明文形式保存在短消息中心的数据库中，一旦短消息中心受到攻击，重要数据将被窃取。另外，短消息网关有可能受到网络攻击，商务数据又必须通过短消息网关统一传递，短消息网关存在一定的安全隐患，所以要求在传递数据时，数据本身是受保护的，而不仅仅依赖于防火墙等技术对短信网关的保护。6.应用服务层安全问题应用服务层向最终消费用户提供移动电子商务业务服务，其安全特性主要考虑移动电子商务业务的认证特性和不可否认特性。目前常见的应用服务层认证机制是基于用户名和静态口令的，其安全性较弱，用户账户和口令易被窃取而导致身份的伪造，同时网上交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。二、防范电子商务安全问题的对策 电子商务的安全问题涉及到电子商务的各个环节和参加交易的各个方面，解决电子商务的安全问题是一个系统工程和社会问题，需全社会的参与。我们可以从以下几个方面对电子商务安全问题进行防范。（一）网络安全技术目前，实施网络安全的技术主要有反病毒技术、防火墙技术、入侵检测技术等。 1.反病毒技术计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和杀除病毒三种技术。预防病毒技术是通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进人计算机系统和对系统进行破坏。检测病毒控制是通过计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。杀除病毒技术是通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件.在网络环境下，病毒传播扩散加快，仅用单机版杀毒软件已经很难彻底清除网络病毒，必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进行信息交换，还需要一套基于邮件服务器平台的邮件防病毒软件。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，并且定期或不定期更新病毒库，使网络免受病毒侵袭2.防火墙技术防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。防火墙技术主要有：包过滤型、代理服务型、复合型等三种。在没有防火墙的环境中，网络安全性完全依赖主系统的安全性。在一定意义上，所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同的安全性水平上的可管理能力就越小，随着安全性的失策和失误越来越普遍，入侵就时有发生。防火墙有助于提高主系统总体安全性。 防火墙的基本思想不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽保护网络的信息和结构。 防火墙是一种行之有效且应用广泛的网络安全机制，防止 Internet 上的不安全因素蔓延到局域网内部。防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息，以便实施系统的访问安全决策控制。 防火墙的技术已经经历了三个阶段，即包过滤技术、代理技术和状态监视技术。 3.系统漏洞解决网络层安全问题，首先要清楚网络中存在哪些安全隐患和弱点。面对大型我那个罗的复杂性和变化，仅仅依靠管理员的技术和经验寻找安全漏洞和风险评估是不现实的。最好的方法就是使用安全扫描工具来查找漏洞并提出修改建议。另外实时给操作系统和软件打补丁也可以弥补一部分漏洞和隐患。有经验的管理员还可以利用黑客工具对网络进行模拟攻击，从而寻找网络的薄