淺議電子商務中的信息安全問題2--免費論文

淺議電子商務中的信息安全問題
【摘要】隨著Internet的發展，電子商務已經逐漸成為人們進行商務活動的新模式，它的發展給人們的工作和生活帶來了新的嘗試和便利。在新的競爭市場環境中，電子商務的一些信息可能屬于商業機密，因而電子商務中的信息安全問題一直是一個很重要的課題，本文針對這一課題作出一些研究和探討：首先對電子商務和電子商務信息安全作出簡單介紹，然后分析了當前電子商務所面臨的一些信息安全性問題，最后針對這些問題提出解決方案。

【關鍵詞】電子商務；信息安全；安全技術

一、序論
 電子商務是指政府、企業和個人利用現代電子計算機與網絡技術來實現商業交和行政管理的全過程；它是基于互聯網，以交易雙方的主體，以銀行電子支付結算為手段，以客戶數據為依托的全新商務模式。
 作為一種新的商務模式，電子商務的發展極其迅速，現在已經進入到蓬勃發展的階段。但是電子商務的發展過程并不是一帆風順的，在此過程中，遇到過很多問題，其中信息安全問題顯得尤為重要。如今年上半年，我國政府、商業、金融等領域重要信息系統的網絡攻擊頻繁。2012年6月，我國數十家政府及企事業單位網站遭受黑客攻擊，15萬以上的用戶數據泄露。據統計，我國企業遭到攻擊的IP地址，65%來自國外；涉及國家機密和資金安全的機構遭黑客攻擊的技術含量和攻擊頻率遠高于普通企業。與此同時，手機病毒軟件包逐月遞增，移動智能終端惡意程序迅猛增長，信息和數據泄露事件多發，病毒、木馬等向工控系統擴散范圍日益增大，信息安全狀況不容樂觀，這些都嚴重威脅了電子商務高速地發展。
 電子商務信息安全是實現電子商務的保障，是電子商務運作的重要部分，是信息流、商流、物流和資金流最終實現的根本保證。電子商務的發展離不開信息安全的保證，而電子商務的發展過程，同樣也是電子商務信息安全體系不斷完善的過程。所以，從電子商務的安全問題入手，通過對多種安全技術的綜合介紹和詳細分析，有針對性地提出相應的安全策略。
 
二、 電子商務信息安全 
1、信息安全的定義
 信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。信息安全主要包括以下五方面的內容，即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。
2、電子商務安全體系
 電子商務安全是制約電子商務發展的一個核心和關鍵問題。電子商務安全技術也成為各界關注和研究的熱點。電子商務的安全性主要反映在：信息的保密性；訪問的可控性；數據的完整性；不可抵賴性等方面。電子商務的安全性是由其安全體系結構和協議的安全性所決定，協議的安全性是建立在安全體系結構之上的，而協議的安全性又是由協議的關鍵技術所決定。

圖1：電子商務安全體系結構
 電子商務的安全體系結構是保證電子商務中數據安全的一個完整的邏輯結構，由5 個部分組成，具體如圖1 所示。
 電子商務安全體系由網絡服務層、加密技術層、安全認證層、交易協議層、商務系統層組成。從圖1 中的層次結構可看出，下層是上層的基礎，為上層提供技術支持;上層是下層的擴展與遞進。各層次之間相互依賴、相互關聯構成統一整體。各層通過控制技術的遞進實現電子商務系統的安全。
 （1）網絡服務層
 電子商務系統是依賴網絡實現的商務系統，需要利用 Internet 基礎設施和標準，所以構成電子商務安全框架的底層是網絡服務層。網絡服務層是電子商務的最底層，它是各種電子商務應用系統的基礎，并提供信息傳送的載體和用戶接入的手段及安全通信服務，保證網絡最基本的運行安全。主要內容包括：
 1）網絡隱患掃描，由于Internet 主要采用CP/IP 協議并得到了廣泛的使用，使得CP/IP 協議存在許多安全漏洞和隱患，網絡隱患掃描就是對安全漏洞和隱患進行防范；
 2）網絡安全監控，針對網絡系統的硬件、軟件及其中數據進行安全監控，使其不受偶然的或者惡意的破壞、更改、泄露，保證系統連續可靠地運行，網絡服務不中斷的措施。
 3）內容識別，對網絡內容進行識別過濾，以確保內容的真實性，完整性和保密性等；
 4）訪問控制，通過控制連接到網絡中的計算機對網絡的訪問權限，并根據預先設定的條件審核來自每臺計算機的數據包是否可以通過，如不安裝客戶端不可入網等，從而達到實施網絡訪問控制的目的。；
 5）防火墻技術，防火墻是一種用于在兩個網絡或多個網絡之間進行訪問控制的設施。保護電子商務交易網免受非法侵犯，必須采用防火墻技術保證網絡的安全。它在基于Internet 的電子商務安全交易起著重要作用。
 網絡服務層是電子商務系統基本、靈活的網絡服各平臺。
 （2） 加密技術層
 為確保電子商務系統全面安全，必須建立完善的加密技術和認證機制。加密技術是保證電子商務系統安全所采用的最基本的安全措施，它用于滿足電子商務對保密性的需求。
 加密技術是電子商務的最基本安全措施。在目前技術條件下，通常加密技術分為常規密鑰密碼體系（對稱密鑰加密算法）和公開密鑰密碼體系（非對稱密鑰加密算法）兩大類。
 常規密鑰密碼體系就是加密密鑰和解密密鑰是相同的密碼體系，并只交換共享的私有密鑰。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發生私有密鑰泄露，可通過常規密鑰密碼體系的方法進行加密機密信息，及隨報文發送報文摘要和報文散列值，來保證報文的機密性和完整性。
 公開密鑰密碼體系就是使用不同的加密密鑰與解密密鑰，是一種由已知加密密鑰推導出解密密鑰在計算上是不可行的密碼體系。典型的公開密鑰密碼體系有：基于數論中大數分解的RSA 體系、基于NP 完全理論的Merkel-Hellman 背包體系和基于編碼理論的McEliece 體系。
 （3）安全認證層
 安全認證層中的認證技術是保證電子商務安全的又一必要手段，它對加密技術層中提供的多種加密算法進行綜合運用，進一步滿足電子商務對完整性、抗否認性、可靠性的要求。
 目前，僅有加密技術不足以保證電子商務中的交易安全，身份認證技術是保證電子商務安全不可缺少的又一重要技術手段。
 安全認證技術主要有：
 1）數字摘要（Digital digest）技術，利用數字摘要技術就可以驗證通過網絡傳輸收到的明文是否初始的、未被篡改過，從而保證數據的完整性和有效性。
 2）數字簽名（Digital Signature）技術，通過數字簽名能夠實現對原始報文的鑒別和不可否認性，同時還要能阻止偽造簽名的可能性。
 3）數字時間戳（Digital Time Stamp）技術，用于提供電子文件發表時間的安全保護。
 4）數字憑證（Digital ID）技術，數字憑證又稱為數字證書，是用電子手段來證實一個用戶的身份和對網絡資源訪問的權限。數字證書的使用涉及到數字認證中心CA（Certificate Authority）。
 5）認證（Certificate Authority,CA）中心，認證系統中心只負責審核用戶的真實身份并對此提供證明，而不介入具體的認證過程，從而緩解了可信第三方的系統瓶頸問題，而且CA 只須管理每個用戶的一個公開密鑰，大大降低了密鑰管理的復雜性。這些優點使得非對稱密鑰認證系統可用于用戶眾多的大規模網絡系統。
 6）智能卡（Smard Card）技術，智能卡在電子商務系統中有無法比擬的優勢。它不但提供讀寫數據和存儲數據的能力，而且還具有對數據進行處理的能力，可以實現對數據的加密和解密，能進行數字簽名和驗證數字簽名，其存儲器部分具有外部不可讀特性。采用智能卡，使身份識別更有效、安全。智能卡技術將成為用戶接入和用戶身份認證的首選技術。
 （4）交易協議層
 除了各種安全控制技術之外，電子商務的運行還需要一套完善的安全交易協議。不同交易協議的復雜性、開銷、安全性各不相同。同時，不同的應用環境對協議目標的要求也不盡相同。
 目前，比較成熟的協議有：
 1）Netbill 協議，
 Netbill 協議是由J.D.Tygar 等設計和開發的關于數字商品的電子商務協議，該協議假定了一個可信賴的第三方Netbill Server。能通過網絡發送的信息商品，Netbill 協議將商品的傳送和支付鏈接到一個原子事務中。
 2）匿名原子交易協議（Anonymous Atomic Transaction Protocol），
 由J.D.Tygar[4]首次提出的具有匿名性和原子性的電子商務協議，對著名的數字現金協議進行了補充
 和修改。協議改進了傳統的分布式系統中常用的兩階段提交（two phase commitment），引入了除客戶、商家和銀行之外的獨立第四方一一交易日志（transaction log）以取代兩階段提交協議中的協調者（coordinator）。
 3）安全電子交易協議（Secure Electronic Transaction, SET）
 SET 是由VISA 公司和Master Card 公司聯合開發設計的[3,7]。SET 用于劃分與界定電子商務活
 動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系。它可以對交易各方進行認證，可防止商家欺詐。
 SET 協議開銷較大，客戶、商家、銀行都要安裝相應軟件。
 4）安全套接字層協議（Secure Socket Layer, SSL），
 安全套接字層協議SSL 是目前使用最廣泛的電子商務協議，它由Netscape 公司于1996 年設計開發。它位于運輸層和應用層之間，能很好地封裝應用層數據，不用改變位于應用層的應用程序，對用戶是透明的。然而，SSL 并不是專為支持電子商務而設計的，只支持雙方認證，只能保證傳送信息傳送過程中不因被截而泄密，所以不能防止商家利用獲取的信用卡號進行欺詐。
 5）JEPI（Joint Electronic Payment Initiative）
 JEPI 是為了解決眾多協議間的不兼容性而提出來的，是現有HTTP 協議的擴展，在普遍HTTP 協議之上增加了PEP（Protocol Extension Protocol）和UPP（Universal Payment Preamble）兩層結構，其目的不是提出一種新的電子支付手段，而是在允許多種支付系統并存的情況下，幫助商家和顧客雙方選取一個合適的支付系統。
 雖然電子商務的安全協議很多，但是現有協議的互通性和標準化以及對原有協議繼承性還有待于進一步的研究和探討。
 （5）商務系統層
 電子商務應用系統是電子商務系統的核心，它對企業電子商務活動提供具體的支持。電子商務應用系統一般是在Web Server之上，由應用開發人員根據企業特定的應用背景和需要來建立的，它實現企業應用邏輯所需要的各種功能。
 （6）電子商務服務需求
 電子商務服務需求包括：保密性；完整性；匿名性；抗否性；可靠性；原子性。
 1）、保密性
 傳統的貿易大多是通過書信或者可靠的通信渠道來發送商業文檔,雖然速度和效率都不高,但卻能達到保密的目的,而電子商務是在開放的網絡環境下進行的,因此要預防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務信息的保密性就變得非常重要。
 2）、完整性
 電子商務極大地簡化了傳統貿易過程,減少了認為的干預,同時也伴隨著貿易各方商業信息的完整、同一問題。由于數據錄入時合法或非法的行為,可能導致貿易數據的差異。信息在傳輸的過程中也有可能造成信息的丟失、重復或次序的差異。因此要預防對信息的各種非法操作,保證數據在傳送的過程中完整性。
  3）、匿名性
 由于種種原因,有些客戶要保護自己的隱私,不愿在商務交易中暴露自己的身份。
 4）、抗否性
 在由收發雙方所組成的系統中，確保任何一方無法抵賴自己曾經作過的操作，從而防止中途欺騙的特性。 應用學科：通信科技（一級學科）；網絡安全（二級學科） 以上內容由全國科學技術名詞審定委員會審定公布。又稱抗抵賴性，即由于某種機制的存在，人們不能否認自己發送信息的行為和信息的內容。傳統的方法是靠手寫簽名和加蓋印章來實現信息的不可否認性。在互聯網電子環境下，可以通過數字證書機制進行的數字簽名和時間戳，保證信息的抗抵賴。
 5）、可靠性
 可靠性要求就是能保證合法用戶對信息和資源的使用不會被不正當地拒絕；
 6）、原子性
 電子商務協議原子性是電子商務研究者和使用者廣泛關心的問題，在對Digicash協議及電子商務原子性進行形式化描述的基礎上，用SMV從錢原子性和商品原子性這兩個角度對Digicash協議的原子性進行了分析和檢驗，指出了Digicash協議的缺陷，從而表明了用SMV對電子商務協議分析和驗證的可行性。

三、電子商務的信息安全存在問題及原因
 電子商務主要依托Internet平臺完成交易過程中雙方的身份、資金等信息的傳輸。由于Internet的開放性、共享性、無縫連通性，安全問題是電子商務的主要技術問題，安全問題是商家和消費者以及銀行最關心的問題，主要面臨以下威脅：一是信息篡改，電子的交易信息在網絡傳輸過程中，信息可能會被人、被第三者非法篡改，導致信息失去了真實性和完整性。二是信息破壞，由于一些硬件和軟件問題或者是一些惡意病毒使一些信息遭到破壞。三是身份識別，若沒有身份識別，交易的一方就可以對交易內容否認或者是欺詐，或者會有第三方來冒充交易的一方。四是信息泄密，即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。
 電子商務面臨著很多信息安全問題，那么這些問題產生的原因又是什么？
 1、技術因素
 中國在這方面還是一個學生，技術支持后盾不堅固，導致信息外泄，嚴重的有系統崩潰。應用軟件是網絡運行所必需，是電子商務的另一個支撐點。由于技術和人為的原因，各種軟件不可避免的存在各種設計的缺陷和漏洞，而且由于軟件的多樣性和復雜性，在配備、使用中也會有各種問題，導致電子商務系統中存在技術誤差和安全漏洞。
 （1）平臺的自然物理安全
 由于電子商務通過網絡傳輸進行，因此諸如電磁輻射干擾以及網絡設備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預測，而這些威脅將直接影響信息安全。此外，人為破壞商務系統硬件，篡改刪除信息內容等行為，也會給企業造成安全。
 此外，通過電磁輻射、搭線以及串音等手段都可以讓惡意攻擊者通過接收裝置來截取企業信息，或者通過分析文件代碼，獲取賬戶密碼等私密信息，以企業身份進行消費和發言，這對于企業的損失更是難以估計的。
 （2）電腦黑客
 在受制于電商環境的大布景，一些電商公司由上一年大手筆狠砸硬廣(媒體上刊登的純廣告)，轉而尋求搜索引擎競價排名的推廣，卻沒想到這一行動竟惹上了黑客的注重。電商成網絡黑客侵犯新目標。
 據《讀賣新聞》網站報道，日本政府有關人士1日透露，眾議院電腦受到網絡攻擊一事出現新情況。電腦病毒指定的收件箱中，繼眾議院議員郵件之后又出現了參議院議員的郵件信息。由此可見，參議院議員使用的公用電腦可能也感染了病毒。在該郵箱的收件箱中，保存了8月上旬以來收到的數百封郵件。而發信人中至少包括2名參議院議員、1名眾議院議員的郵箱地址。可以認為被網絡攻擊者盜取的信息已經過加密處理。
 黑客的威脅和攻擊這一方面，黑客除了擁有極為熟悉的網絡知識外，還能極為熟練的運用各種計算機技術和軟件工具。而在網絡系統漏洞上，也會成為網絡黑客攻擊或利用的途徑。計算機系統經常會遭到非法的入侵攻擊以及計算機病毒的破壞，勢必會導致一些用戶的數據丟失、篡改或外泄。
 （3）計算機病毒
 計算機病毒的主要危害在于激發對計算機數據信息的直接破壞作用，占用磁盤空間和對信息的破壞，搶占系統資源，影響計算機運行速度，出現計算機病毒錯誤與不可預見的危害。人們不可能花費大量時間去分析數萬種病毒的錯誤所在，大量含有未知錯誤的病毒擴散傳播，其后果是難以預料的。計算機病毒的兼容性影響系統運行。兼容性是計算機軟件的一項重要指標，兼容性好的軟件可以在各種計算機環境下運行，反之兼容性差的軟件則對運行條件有限制，要求機型和操作系統版本等。病毒的編制者一般不會在各種計算機環境下對病毒進行測試，因此病毒的兼容性較差，常常導致死機，并且對用戶造成嚴重的心理壓力。
 2、管理因素
 用戶安全意識淡薄、管理不善是當前存在的一個嚴重的問題。主要有以下四點：
 （1）電子商務信息安全法律不健全
 目前，我國尚無完備的相關法律規定，已有的法律規定存在職能不清晰、規定不全面、效力不高、缺乏針對性和可操作性、內容分散、相互交叉甚至抵觸等問題，對信息網絡與電子支付領域的有效管理造成了一定程度的影響。
 （2）安全意識淡薄，
 廣大消費者對于電子商務這個新生事物還比較陌生，缺乏相應的知識，還不能十分熟練的應用這一新的交易手段，造成各種人為的安全威脅。例如：有的消費者安全意識淡薄，不注意保護自己的密碼等關鍵信息，容易導致資金被盜、冒名交易等；有的消費者對信息判斷能力差，容易上當受騙；有的消費者對網絡交易的流程缺乏了解，容易導致操作失誤等。
 （3）我國缺乏強有力的權威管理機構，
 電子商務網絡安全管理部門受人力、技術等條件的限制影響著安全管理措施的有效實施。必須要繼續完善電子商務安全管理機構，其中最為重要的是完善認證機構。
 （4）我國電子商務信息安全方面人才缺乏
 電子商務在近幾年才得到了迅猛發展，各地都缺乏足夠的技術人才來處理所遇到的各種問題，許多企業技術人員的技術水平較低，不能完全勝任所承擔的工作。所以必須加強對這方面人才的培養。
 
四、電子商務中信息安全問題解決方案及對策
 針對電子商務的信息安全問題，能夠提出的解決方案及對策可以從兩個方面進行：
 1、電子商務信息安全技術方面
 （1）反病毒軟件
 反病毒軟件已成為人們抵御病毒進攻的有力武器。目前的反病毒軟件具有幾項技術特色。一是防火墻技術，其目的是保護內部網絡不受外部網絡的攻擊，及防止內部網絡用戶向外泄密，為用戶提供一個實時監控防止病毒發作的工具。它對用戶訪問的每一個文件進行病毒檢測，確認無毒后才會讓系統接管進行下一步的工作。目前，防火墻技術主要分為分組過濾和代理服務兩種類型。二是反病毒軟件在線升級的方式。三是統一的防病毒管理。四是嵌人式查毒技術的形成，它將殺毒引擎直接嵌掛到IE瀏覽器和流行辦公軟件組件當中，使其與可能發生病毒侵擾的應用程序有機地結合為一體，在占用系統資源最小的情況下查殺病毒。如我國互聯網上大規模爆發“熊貓燒香”病毒及變種。短短的幾個月潮及上千萬個用戶、網吧及企業局域網用戶，直接和間接造成超過1億元的損失。用戶及時更新殺毒軟件病毒庫，并下載各殺毒軟件公司提供的專殺工具，即可對“熊貓燒香”病毒進行查殺，但是如果能做到防患于未然豈不更好。
 （2）入侵檢測技術
 入侵檢測技術是對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。入侵檢測技術針對包括系統外部的入侵和內部用戶的非授權行為，是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。
 入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動，系統構造和弱點的審計，識別反映已知進攻的活動模式并向相關人士報警，異常行為模式的統計分析，評估重要系統和數據文件的完整性，操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。
 （3）虛擬專用網(VPN)技術
 虛擬專用網(VPN)技術是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。通常，VPN是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
 2、電子商務信息安全管理方面
 （1）開展網絡安全立法和執
 網絡安全立法要吸取和借鑒國外網絡信息安全立法的先進經驗，結合我國國情對現行法律體系進行修改與補充，使法律體系更加科學和完善。要建立有利于信息安全案件訴訟與公、檢、法機關辦案的制度，提高執法效率和質量。要對違犯國家法律法規，對計算機信息存儲系統、應用程序或傳輸的數據進行刪除、修改、增加、干擾的行為依法懲處。
 （2）提高網絡信息安全意識
 以有效方式和途徑在全社會普及網絡安全知識，提高公民的網絡安全意識與自覺性，學會維護網絡安全的基本技能，并在思想上把信息資源共享與信息安全防護有機統一起來，樹立維護信息安全就是保生存、促發展的觀念。
 （3）加強網絡安全管理
 建立信息安全領導機構，有效統一、協調和研究未來趨勢，制定宏觀政策，實施重大決定。嚴格執行《中華人民共和國計算機信息系統安全保護條例》與《計算機信息網絡安全保護管理辦法》，明確責任，規范崗位職責，制定有效防范措施，并且嚴把用戶入網關，合理設置訪問權限等。
 （4）加快網絡安全專業人才的培養
 加大對有良好基礎的科研教育基地的支持和投入，加強與國外的經驗技術交流，及時掌握國際上最先進的安全防范手段和技術措施，確保在較高層次上處于主動，加強對內部人員的網絡安全培訓，防止堡壘從內部攻破，使高素質的人才在高水平的教研環境中迅速成長和提高。

結束語
    隨著企業供應鏈電子商務、國際電子商務的發展，將帶動電子商務服務業的發展，圍繞電子商務服務形成的從低端技術環節到中端支撐環節再到高端應用環節的電子商務服務鏈在我國結點飽滿，一個全新視角的電子商務服務業群正在形成，將成為未來國民經濟新的增長點。電子商務的安全須依靠技術手段、管理措施和法律保護三方配合才能實現，保護好個人隱私才能保證電子商務的健康發展。
參考文獻:
　　[ 1 ]吳洋.《 電子商務安全方法研究》 天津大學, 2006.
　　[ 2 ]李艷. 《電子商務信息安全策略研究》. 甘肅科技,2005年6月
　　[ 3 ]成衛青,龔儉. 《網絡安全評估》 計算機工程, 2003 年2月
　　[ 4 ]甘悅. 《淺議電子商務信息安全體系的構建》. 西北成人教育學報, 2007 年2月　　[ 5 ]周明,黃元江,李建設. 《電子商務中的安全技術研究》. 株洲工學院學報, 2005 年1月　　[ 6 ]張娟. 《電子商務網絡安全技術探究》 甘肅科技縱橫, 2005 年
　　[ 7 ]趙乃真. 《電子商務技術與應用》. 北京:中國鐵道出版社, 2003年.
 [ 8 ]常連定,趙剛. 《我國電子商務發展存在的問題及應對策略》 科技情報開發與經濟, 2005 年10月