淺議電子商務中的信息安全問題01(二)

4、侵犯他人權(quán)利。不法商販通過Internet 截取商務訂單，收集他人私生活信息并兜售產(chǎn)品，侵犯了消費者的隱私權(quán); 不法之徒通過Internet 盜售他人知識產(chǎn)品，搶注域名侵吞他人無形資產(chǎn)，侵犯了他人的知識產(chǎn)權(quán); 不法企業(yè)通過Internet 損害競爭對手形象、貶低競爭對手的產(chǎn)品，侵犯了企業(yè)的名譽權(quán)；不法商人盜用名人照片通過Internet 宣傳、推銷產(chǎn)品，侵犯了他人的肖像權(quán)。如此等等，擾亂了電子商務的市場秩序。

5、傳播不良信息。不法商人為推銷自己的產(chǎn)品，在電子商務信息中夾帶宣揚色情、暴力、迷信等不良圖文信息。某些境外商人可能會有意或無意地在電子商務信息中，宣傳西方世界的人生觀、價值觀、道德觀。

6、否認發(fā)出信息。基于各種原因，用戶和商家可能會對自己發(fā)出的電子商務信息進行惡意地或無可奈何地否認B、信息存儲安全隱患   電子商務中信息存儲安全隱患主要包括： 非授權(quán)調(diào)用信息和篡改信息內(nèi)容。企業(yè)Intranet 與Internet 聯(lián)接后，電子商務的信息存儲安全面臨著內(nèi)部和外部兩方面的隱患。

1、內(nèi)部隱患。主要是企業(yè)Intranet 的用戶故意或無意地非授權(quán)調(diào)用電子商務信息或未經(jīng)許可隨意增加、刪除、修改電子商務信息。

2、外部隱患。主要是因為軟件配置的不當，造成外部人員私自闖人企業(yè)Intranet，并對電子商務信息故意或無意地非授權(quán)調(diào)用或增加、刪除、修改。其隱患的主要來源有： 競爭對手的惡意闖入、信息間諜的非法闖入、閑游用戶的好奇闖人及黑客的騷擾闖入。

C、交易者身份安全隱患

電子商務是買賣雙方通過Internet 的信息流動來實現(xiàn)商品交換的，電子商務的交易雙方都面臨著信息安全的威脅。

1、商家的信息安全隱患。主要有：①不法之徒假冒合法用戶名義改變商務信息內(nèi)容，致使電子商務活動中斷，造成商家名譽和用戶利益等方面的受損; ②惡意競爭者冒名訂購商品或侵入網(wǎng)絡內(nèi)部以獲取營銷信息和客戶信息; ③信息間諜通過技術手段竊取商業(yè)秘密; ④大量虛假訂單的生成擠占了信息系統(tǒng)資源，無法從事正常的業(yè)務運營。

2、用戶的信息安全隱患。主要有：①用戶身份證明信息被攔截竊用，以致被要求付帳或返還商品；②域名信息被監(jiān)聽和擴散，被迫接收許多無用信息甚至個人隱私被泄露。③發(fā)送的商務信息不完整或被篡改，用戶無法收到商品；④受虛假廣告信息誤導購買假冒偽劣商品或被騙錢財；⑤遭受黑客暗算計算機設備被毀、信息丟失。

五、針對電子商務中存在信息安全隱患，而采取的保障信息安全的措施及對策A、技術保障措施

電子商務安全是信息安全的上層應用，它包括的技術范圍比較廣，主要分為數(shù)據(jù)加密技術和身份認證技術兩大類。

1、 數(shù)據(jù)加密技術

加密技術是保證電子商務中采用的主要安全措施，交易雙方可根據(jù)需要在信息交換階段使用。在一個加密過程中有兩個基本元素： 算法和密鑰。加密過程就是根據(jù)一定的算法，將可理解的數(shù)據(jù)(明文) 與一串數(shù)字( 密鑰) 相結(jié)合，從而產(chǎn)生不可理解的密文的過程，主要加密技術是：

（1）、常規(guī)密鑰密碼加密。所謂常規(guī)密鑰密碼加密，即加密密鑰與解密密鑰是相同的。在早期的常規(guī)密鑰密碼體制中，典型的有代替密碼，其原理可以用一個例子來說明： 字母A，B，C，D，…，W，X，Y，Z 的自然順序保持不變，但使之與D，E，F(xiàn)，G，…，Z，A，B，C 分別對應( 即相差3 個字符)。若明文為WELL 則對應的密文為ZHOO ( 此時密鑰為3) 。由于英文字母中各字母出現(xiàn)的頻度早已有人進行過統(tǒng)計，所以根據(jù)字母頻度表可以很容易對這種代替密碼進行破譯。

（2）、對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密，即收發(fā)雙方采用相同的密鑰來進行加密和解密，對稱密鑰加密的最大優(yōu)點是加解密速度快，適合于進行大量數(shù)據(jù)加密，但也存在密鑰管理、發(fā)布困難以及無法進行身份鑒別的缺點。

（3）、非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密，每個用戶有一對密鑰： 一個用于加密，一個用于解密，兩把密鑰實際上是兩個很大的質(zhì)數(shù)，加解密過程。其中，加密密鑰( 公鑰) 可以在網(wǎng)絡服務器、報刊等場合公開，而解密密鑰( 私鑰) 則屬用戶的私有密鑰，由公開的加密密鑰導出私有的解密密鑰在技術上是不可實現(xiàn)的。與對稱密鑰加密相比，采用非對稱密鑰加密方式密鑰管理較方便，且保密性比較強，但加解密實現(xiàn)速度比較慢，不適用于通信負荷較重的應用。

2、身份驗證技術

（1）、 認證系統(tǒng)。網(wǎng)上安全交易的基礎是數(shù)字證書。數(shù)字證書類似于現(xiàn)實生活中的身份證，用于在網(wǎng)絡上鑒別個人或組織的真實身份。數(shù)字證書的頒發(fā)機構(gòu)叫做Certificate Authority，通常簡稱為CA。要建立安全的電子商務系統(tǒng)，首先必須建立一個穩(wěn)固、健全的CA，否則，一切網(wǎng)上的交易都沒有安全保障。傳統(tǒng)的對稱密鑰算法具有加密強度高、運算速度快的優(yōu)點，但密鑰的傳遞與管理問題限制了它的應用。為解決此問題，20 世紀70 年代密碼界出現(xiàn)了公開密鑰算法，該算法使用一對密鑰即一個私鑰和一個公鑰，其對應關系是唯一的，公鑰對外公開，私鑰個人秘密保存。一般用公鑰來進行加密，用私鑰來進行簽名; 同時私鑰用來解密，公鑰用來驗證簽名。算法的加密強度主要取決于選定的密鑰長度。其中RSA ( Rivets Shamir Adelman) 算法是公開密鑰算法中研究最為深入，使用最為廣泛的算法，為大多數(shù)國家( 地區(qū)) 的官方或非官方所采用。整個認證系統(tǒng)是一個大的網(wǎng)絡環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA ( 證書的登記機構(gòu)，Register Authority) 和WP(證書的分頁系統(tǒng)，Web Publisher) 。

（2）、SSL 協(xié)議。SSL 協(xié)議( Secure Socket Layer，安全套接層) 是由網(wǎng)景(Netscape) 公司推出的一種安全通信協(xié)議，該協(xié)議主要目的是解決TCP/IP 協(xié)議不能確認用戶身份的問題，在Socket 上使用非對稱的加密技術，以保證網(wǎng)絡通信服務的安全性。SSL 協(xié)議包括兩個子協(xié)議： SSL 記錄協(xié)議和SSL 握手協(xié)議。SSL 記錄協(xié)議是建立在可靠的傳輸協(xié)議( 例如： TCP) 上，用來封裝高層的協(xié)議。SSL 握手協(xié)議準許服務器端與客戶端在開始傳輸數(shù)據(jù)前，能夠通過特定的加密算法相互鑒別。

SSL 協(xié)議易于實現(xiàn)。它獨立于應用層協(xié)議，可以完成所需的安全交易操作，主要是使用公開密鑰體制和X.509 數(shù)字證書保護信息的機密性和完整性，但它不能保證信息的不可抵賴性。中國目前多家銀行均采用SSL 協(xié)議，從實際使用的情況來看，

SSL 協(xié)議還是最值得信賴的協(xié)議。但是由于SSL 協(xié)議當初并不是為支持電子商務而設計的，所以在電子商務系統(tǒng)的應用中還存在很多弊端，在涉及多方的電子交易中，只能提供交易中客戶與服務器間的雙方認證，而電子商務往往是用戶、網(wǎng)站、銀行三家協(xié)作完成，SSL 協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關系。

（3）、SET 協(xié)議。SET ( Secure Electronic Transaction) 安全電子交易協(xié)議是由美國Visa 和MasterCard 兩大信用卡組織提出的應用于Internet 上的以信用卡為基礎的電子支付系統(tǒng)協(xié)議。它采用公鑰密碼體制和X.509 數(shù)字證書標準，主要應用于B to C 模式中保障支付信息的安全性。SET 協(xié)議提供對消費者、商戶和銀行的認證，協(xié)議本身比較復雜，設計比較嚴格，安全性高，確保電子交易的機密性、數(shù)據(jù)完整性、身份的合法性和抗否認性，特別是保證了不會將持卡人的信用卡號泄露給商戶。其核心技術主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。

SET 協(xié)議自誕生以來，通過大量的現(xiàn)場試驗和應用，取得了業(yè)界普遍的支持，目前已經(jīng)呈現(xiàn)出良好的發(fā)展勢頭。盡管SET協(xié)議存在一些缺點，但是它體現(xiàn)出了進行電子交易最基本的原則，因此在不斷完善的過程中會逐步擴大其應用范圍。它的交易規(guī)范成為了未來電子商務發(fā)展的方向。

3、其它安全技術

防火墻技術： 防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng)，對內(nèi)部網(wǎng)的應用系統(tǒng)加以保護。目前的防火墻分為兩大類： 一類是簡單的包過濾技術，它是在網(wǎng)絡層對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設定的過濾邏輯，檢查數(shù)據(jù)流中每個數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP 端口和TCP 鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應用網(wǎng)管和代理服務器，可針對特別的網(wǎng)絡應用服務協(xié)議及數(shù)據(jù)過濾協(xié)議，并且能夠?qū)��?shù)據(jù)包分析并形成相關的報告。

數(shù)字簽名： 數(shù)字簽名是公開密鑰加密技術的另一種應用，報文的發(fā)送方從報文文本中生成一個128 位的散列值，發(fā)送方用自己的私有密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名，通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。B、國家法律保障

政府部門應結(jié)合電子商務的客觀需要，不斷完善與電子商務相關的法律法規(guī)。適當增加對網(wǎng)絡犯罪處罰的條款，增加對網(wǎng)絡作品著作權(quán)保護的條款；對電子商務發(fā)展中亟需解決的有關問題，如：在電子支付、稅收管理、安全認證、網(wǎng)絡與信息安全、知識產(chǎn)權(quán)保護、消費者權(quán)益保護等可由相關主管部門先制定部門規(guī)章，必要時，由國務院發(fā)布行政法規(guī)，待條件成熟時，再按程序上升為法律。

吸取和借鑒國外網(wǎng)絡信息安全立法的先進經(jīng)驗，結(jié)合我國國情對現(xiàn)行法律體系進行修改與補充，使法律體系更加科學和完善；并建立有利于信息安全案件訴訟與公、檢、法機關辦案制度，提高執(zhí)法效率和質(zhì)量。對違犯國家法律法規(guī)，對計算機信息存儲系統(tǒng)、應用程序或傳輸?shù)臄?shù)據(jù)進行刪除、修改、增加、干擾的行為依法懲處。

C、加強基礎網(wǎng)絡建設

信息基礎設施是電子商務發(fā)展的物質(zhì)基礎和載體。發(fā)展信息基礎設施需要政府和業(yè)界的共同努力，尤其是政府的大力投資和宏觀調(diào)控。

D、提高人們的信息安全意識

以有效方式、途徑在全社會普及網(wǎng)絡安全知識，提高公民的網(wǎng)絡安全意識與自覺陡，學會維護網(wǎng)絡安全的基本技能。并在思想上把信息資源共享與信息安全防護有機統(tǒng)一起來，樹立維護信息安全就是保生存、促發(fā)展的觀念。

E、構(gòu)造有中國特色的電子商務體系

   建立信息安全領導機構(gòu)，有效統(tǒng)一、協(xié)調(diào)和研究未來趨勢，制定宏觀政策，實施重大決定。嚴格執(zhí)行《中華人民共和國計算機信息系統(tǒng)安全保護條例》與《計算機信息網(wǎng)絡安全保護管理辦法》，明確責任、規(guī)范崗位職責、制定有效防范措施，并且嚴把用戶人網(wǎng)關、合理設置訪問權(quán)限等。

加大對有良好基礎的科研教育基地的支持和投入，加強與國外的經(jīng)驗技術交流，及時掌握國際上最先進的安全防范手段和技術措施，確保在較高層次上處于主動，加強對內(nèi)部人員的網(wǎng)絡安全培洲，防止堡壘從內(nèi)部攻破。使高素質(zhì)的人才在高水平的教研環(huán)境中迅速成長和提高。 

積極參與國際合作，融合國際電子商務框架，構(gòu)造適合中國國情的電子商務體系。作為一個主權(quán)國家，為了維護國家的利益和經(jīng)濟安全，在電子商務相關技術方面一定要注重自主知識產(chǎn)權(quán)技術的開發(fā)，不能全部依賴進口。因此，必須大力支持對電子商務技術的研究開發(fā)工作。

組織現(xiàn)有信息安全研究、應用的人才，創(chuàng)造優(yōu)良環(huán)境，創(chuàng)新思想、超越約束，利用國內(nèi)外資源，建立具有中國特色的信息安全體系。特別要重點研究關鍵芯片與內(nèi)核編程技術和安全基礎理論。

六、結(jié)束語    電子商務的應用“前途無量”，與人們的生產(chǎn)、生活關系更加密切，而信息安全是電子商務的核心和靈魂。安全性問題是不斷發(fā)展變化的，所以解決安全問題的手段也要不斷適應這種變化。目前，就電子商務信息安全雖然在技術、立法、政策等方面采取了一些措施，取得了一定的成效，但仍需一個“與時俱進”的有效、安全的電子商務安全系統(tǒng)。為了保障電子商務中信息安全及各方權(quán)益，需要加大力度來研究和探索電子商務信息安全綜合性的保障措施，進而為電子商務建立一個安全、高效的商務環(huán)境，形成具有我國特色的電子商務。

參考文獻：

李飛.淺析電子商務中的信息安全問題.現(xiàn)代經(jīng)濟信息,1001-828X（2012）     05-0128-02

成漢健．電子商務安全問題分析[J]．商場現(xiàn)代化，2005(1)：65．

王紅霞等．關于我國電子商務良性發(fā)展的思考．情報雜志，2001 (4) (責任編輯：劉鳳勤)．

楚狂．網(wǎng)絡安全與防火墻技術[M]．北京：人民郵電出版社，2000．

公安部計算機管理監(jiān)察司．計算機信息系統(tǒng)安全技術[M]．北京：群眾出     版社，1998．

李鼎．電子商務基礎．北京： 首都經(jīng)濟貿(mào)易大學出版社，1999．

高媛，等．電子商務．北京： 企業(yè)管理出版社，1999．

郭炎華．網(wǎng)絡信息與信息安全探悉．情報雜志，2001 (4)．

許晉軍，倪波．網(wǎng)絡信息安全研究．現(xiàn)代圖書情報技術，2001 (1)．

陸寶益，楊海平．網(wǎng)德教育： 網(wǎng)絡信息安全新課題．現(xiàn)代圖書情報技術，2001 (2)．

周均．電子商務信息安全的政策法律研究[J]．科技文獻信息管理，2004(4)：57．

楊穎．電子商務安全問題分析[J]．中國科技信息，2005(20)：53．

張賢．電子商務安全問題[J]．中國科技信息．

吳恒，高小紅．論電子商務中的信息安全[J]．武漢理工大學學報，2001，        (4)：74-77．

韋蘇倢，王素仙.電子商務中的信息安全問題及對策.現(xiàn)在物流報，2006，004版.

龐曉提，《黑龍江科技信息》， 2012年05期

黃京華，《電子商務教程》，清華大學出版社，2006

程少麗，電子商務的信息安全研究［J］，電腦知識與技術，2010，（4）：2821-2823

陳東婭，電子商務的信息安全研究［J］，商場現(xiàn)代化，2009，（9）：176

崔波、張懷濤、秦柯，電子商務網(wǎng)絡信息安全問題，圖書館理論與實踐，2003（2）