簡論電子商務信息安全及安全技術

內容摘要

關鍵詞

引言

一、電子商務信息安全現狀

二、電子商務信息的安全威脅在目前最重要的就是體現在詐騙方面

三、網絡詐騙犯罪的方法

四、關于網絡詐騙的基本防范

五、對于計算機網絡安全面臨的問題本人提出的解決思路方法

六、對于電子商務交易安全面臨的問題及解決思路

結束語

內 容 摘 要

隨著大家生活水平以及科學技術的提高與飛速發展，網絡——已經成為了大家生活及學習中不可或缺的一部分，所以在大家的生活學習工作中都需要它。電子商務就是利用網絡的開放性及共享性緊密的將商務與網絡緊密的結合在一起，大家的各種信息能得到更好的傳輸接收以及共享。但是在大家享受它帶來的諸多方便快捷的同時也伴隨著諸多的風險（例如網絡病毒以及黑客攻擊），所以在電子商務的飛速發展中網絡的安全就顯得尤為重要了。電子商務網站傳遞各種商務信息依靠的是互聯網,而互聯網是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之相連。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,網上的安全風險就構成了對電子商務的安全威脅。本文針對電子商務的安全需求,使用上的安全技術及存在的問題,做出了與電子商務安全有關的協議技術使用范圍和怎樣從技術手段上減少電子商務信息傳遞中的風險及威脅的研究，通過研究盡可能最小化的規避電子商務信息便捷的同時所帶來的各種財產及信息的損失。

關鍵詞：電子商務；信息安全；加密技術；數字認證

簡論電子商務信息安全及安全技術

引言：電子商務發展中最重要的就是網絡的交易安全以及個人信息的安全，不解決這些基本的安全問題將嚴重打擊大家對電子商務的信心，所以分析解決這些問題就成為了擺在大家面前最重要的事情。

一、電子商務信息安全現狀

當前，電子商務所面臨的信息安全現狀不容樂觀。據美國界權威雜志《信息安全雜志》披露，從事電子商務的比一般企業承擔著更大信息風險。其中前者遭黑客攻擊的比例高出一倍，感染病毒、惡意代碼的可能性高出10%，被非法入侵的頻率高出15%，而被詐騙的可能性更是比一般企業高出2.5倍。

調查顯示，在近年來，中國發生的通過網絡進行的電子商務犯罪多到400起，造成上億元損失。網民們對網上交易的最大擔心莫過于支付信息安全問題，超過九成的網民對網上交易的安全性表示擔心。信息的安全問題成為困擾網上交易的最大難題。

我國的信息安全經歷了通信保密、機數據保護這兩個發展階段，現正處于網絡信息安全的研究階段。通過、吸收、消化等手段，逐步掌握了大部分網絡安全和電子商務安全技術，進行了安全操作系統、多級安全數據庫研制探索，但由于沒有掌握好系統核心技術，使開發出有自主知識產權的信息產品困難重重，基于國外具體產品開發出的安全系統則難以完全杜絕安全漏洞以及“后門”。我們在借鑒國外先進技術的基礎上，國內一些企業也在研制開發出一些安全產品，列如防火墻、黑客入侵檢測系統、電子商務安全交易系統、安全路由器等。但這些產品安全技術規范性、完善性、實用性還有許多不足，基礎和自主的技術手段需要發展以及強化。 

除此以外，國內也還有不少電子商務企業對網絡信息安全意識不強。不管在建網立項、規劃設計上，還是在網絡運行管理以及使用中，更多考慮的是效益、方便、快捷，反而把安全、保密、抗攻擊放在了次要地位，出現了諸如對網絡實用性要求不少，反而對系統安全性論證不多。對網絡設備投資不少，對安全設施投入不多。在操作技能培訓上用時不少，在安全防范知識的普及與提高上用時不多的短期行為。信息的安全

首先信息包括了大家的個人信息以及交易信息，在電子商務的活動中信息安全是很重要的，所以交易中的商務信息必須保密。比如銀行卡的信息，如信用卡的賬號和用戶名被他人知道了，就很有可能被盜用。還有一些商業信息被對手掌握就很有可能失去商機。因此—在各種電子商務信息的傳送中都被要求加密，這樣可以在一定程度上防止電子商務信息在傳輸的過程中被非法竊取。

1. 信息的盜取：

(1)在雙方進行信息交換的過程中，交易的全部或部分內容被其他的人通過技術手段進行竊取；

(2)資料方所提供給對方使用的資料被其他人盜取使用。

2. 變更信息：

在電子商務的交易過程中信息在網絡傳輸的過程中,被其他人非法的篡改、變更、刪除這樣就使信息失去了真實性和完整性。

3.蓄意的破壞：

由于攻擊者可以接入網絡,則可能對網絡中的信息進行變更,掌握網上的重要信息,甚至可以潛入網絡內部,破壞網絡的硬件或軟件而導致交易信息傳遞丟失與謬誤。計算機網絡本身容易遭到一些惡意程序的破壞,而使電子商務信息遭到破壞。

4.假冒

非法獲得信息后冒充合法用戶發送假的消息或者主動截取消息,有可能假冒一方的信謄或竊取被假冒一方的交易成果等。 

二、電子商務信息的安全威脅在目前最重要的就是體現在詐騙方面

網絡詐騙是現有網絡犯罪的一種,網絡詐騙指的是以非法占有為目的,通過互聯網采用虛擬事實或者隱瞞事實真相的方法,騙得數額較大的公私財物的行為。針對網絡詐騙立足于刑法學的立場,解析網絡詐騙的概念與傳統詐騙的區別以及詐騙的特點和近幾年詐騙主要形式,最后提出網絡詐騙目前的防范措施。

1、網絡詐騙是現在比較新型的犯罪方式,因此對其的研究也處于起步階段,隨著網絡技術的進一步發展,網絡詐騙的種類也在不斷增加,對網絡詐騙的理解也存在不一樣的見解。

現今基本上有兩種不同的觀點,第一是把網絡詐騙看作是傳統的詐騙犯罪的一種新形式,第二是把網絡詐騙看作是一種新型的犯罪形式。把犯罪學意義結合刑法中的規定這樣就有一個比較統一的概念認為網絡詐騙就是以非法占有為目的,通過互聯網作為重要的犯罪工具,用虛擬事實或隱瞞真相的方法來騙取數額較大的公私財物的行為。

2、網絡詐騙犯罪與傳統詐騙犯罪的相似及不同之處

相似之處

相對犯罪主體而言,被騙者都是現實社會中的自然人; 相對犯罪動機而言,兩種都是以非法占有為目的; 相對犯罪結果而言,兩者都是直接或間接侵犯了被侵害對象的物質利益或精神財富; 相對犯罪危害性而言, 兩者都給現實社會帶來了一定程度的危害以及帶來了嚴重的社會治安問題。

不同之處

不一樣之處主要在于實施犯罪的方式不同,取得財物的方式不同。傳統的詐騙活動,犯罪行為人與被害人之間至少見過面。犯罪行為人是通過人與人對話的方式達到詐騙目的;而虛擬網絡空間的詐騙則不一樣,犯罪行為人與被害人之間沒見過面沒有正面的交流,犯罪行為人是通過人與機器對話的方式,達到犯罪目的。

3、現有網絡詐騙的特征

因為網絡空間是虛擬的,人和人之間的交流都是通過網絡來實現的,并不是面對面直接交流使其具有特殊性。所以網絡詐騙特征明顯不僅方法簡單而且成本低他的行騙面廣并且隱秘性高,它的時空性以及形式都有多樣性所以難以取證性、侵害后果的嚴重性等。

三、網絡詐騙犯罪的方法

(一)網絡詐騙主要類型

1、 網絡交易、購物詐騙的主要類型有:專業詐騙犯罪團伙通過自身創建的電子商務網站或者某知名大型商務網站發布虛假商品銷售信息。通過“私貨”、 “價低”、“免稅”、“違禁品”等假內容吸引網上消費者。

2、 網絡搖獎、中大獎詐騙犯罪的主要類型有:具有一定的網絡知識和游戲經驗的犯罪嫌疑人,提前注冊了大量QQ號碼、網絡游戲賬號,用上述賬號以系統信息或者客服信息等官方管理系統類的網名登陸到網絡游戲,在通過參與游戲等方式對其他玩家進行觀察,選擇作案玩家后,以系統信息或者客服信息等官方名義向玩家發送虛假抽獎以及中獎信息,所涉及獎品主要為網絡游戲虛擬貨幣、網絡游戲裝備、高檔數碼、通訊產品等,騙游戲玩家點擊登錄其創建的虛假信息網站,進行實施詐騙。

3、冒充他人身份網絡詐騙

這一類詐騙通常是先通過技術手段盜取他人QQ號碼、MSN帳號、郵箱等個人帳號,竊取成功后以帳號主人的身份登錄,然后以有急事等用錢用為借口,向帳號里的朋友借錢，對于警惕性不高的受害人會立即按要求給指定帳號匯錢。還有的采用欺騙或黑客手段獲取受害人親戚和好友QQ號等網上聯系方式,冒充受害人親友借錢,還有播放受害人親友的視頻聊天錄像,騙取受害人信任。有的犯罪分子通過欺騙或黑客手段獲取了受害人商業伙伴的電子郵箱后,然后利用該電子郵箱或注冊用戶名非常相似的郵箱名,冒充對方商業伙伴對受害人實施詐騙。

4、低價銷售物品的網絡詐騙

如今網絡購物在給大家快捷方便的同時,也為犯罪分子提供了平臺。這是現在一種比較常見的詐騙方式。犯罪分子在互聯網交易平臺開網店,或在淘寶、拍拍等交易網站上開設網店,以出售物品的名義、以明顯低價在網上售賣商品使網民和聯系購買,進行網絡詐騙。但凡有人與其聯系, 不法分子就會要求購物者付部分的訂金然后才發貨,貨到后購物者再付剩余的錢。 被害者往往被低價所誘惑,而步入不法分子所布下的圈套。在這一類的類詐騙中, 有個比較特殊的情況, 就是以銷售虛擬物品或游戲軟件為名實施的詐騙。現在國家未出臺有關虛擬物品的法律,受害者遇到此類詐騙情況一般自認倒霉。

和以上詐騙形式相似的還有情色網絡詐騙、傳銷集資網絡詐騙、無抵押貸款為誘餌網絡詐騙等。當今網絡的持續發展,網絡詐騙依然嚴峻,新型的網絡詐騙層出不窮,網民們應該提高自己的防范意識，以免受騙。

四、 關于網絡詐騙的基本防范

(一)網絡詐騙的防范措施；

1、用專門犯罪罪名明確規定網絡詐騙罪：

我國現行刑法對網絡詐騙行為的規定已經不能有效制止、打擊和處罰。因此很有必要完善和修改我國現有的計算機犯罪罪名,明確的法律規定,會給予犯罪分子一定的警示作用。

2、完善網絡技術,堵塞漏洞：

技術發展的弊端應由技術來予以克服,法律的規范僅僅是技術不能狀態下的暫時補充。先進的科技預防是預防網絡詐騙犯罪的最有效的方法。就目前看,特別要注重研究制定發展與計算機網絡相關的技術產品,如網絡掃描監控技術、數據信息的恢復、數據指紋技術、網絡安全技術等,這些將幫助網絡詐騙犯罪的偵查和證據的取得,在很大程度上可以把網絡詐騙阻擋于萌芽的狀態。

3. 電子商務的法律法規：

針對電子商務的安全隱患,要滿足電子商務的安全要求,必須從管理、技術及政策法規這三個層面采取有效措施，從而對電子商務提供全面而有效的保護。首先加強對電子商務法律體系的建設。為了確保電子商務交易信息的安全,全世界各國都制定了法律法規建設,利用司法力量,規范電子商務的交易行為。聯合國在2001年審議通過《電子簽章示范法》成為國際上關于電子簽章重要的立法文件,我國于2005年4月1日已正式實施《電子簽名法》,這讓網上交易活動中直接在網上簽署的合同有了法律保證。我國頒布并修改的一些有關電子商務的還有《商標法》和《著作權法》等,但并不全面。

4.加強網絡安全：

(1)防火墻技術：防火墻通常是指在私有網絡和公共網絡之間的界面上構造的一個保護層,被認為是一種訪問控制機制。最簡單和最常用的防火墻是包過濾防火墻,安裝防火墻時,網絡管理員需要對防火墻設置,以確定接受或拒絕數據的傳輸。從而實現防火墻技術的主要途徑是:數據包過濾、應用網關和代理服務。

(2)VPN技術:VPN是指虛擬私有網,它的內涵使用開放的公共信道,通過附加的協議處理,向用戶提供的虛擬私有網。VPN是一種新興技術,它與信用卡交易和客戶發送訂單交易不同,在VPN中,雙方的數據通信量大很多,而且通信雙方彼此都很熟悉。VPN實現過程使用了信息加密技術、安全隧道技術、用戶認證技術等,而其中安全隧道技術使用加密和封裝相結合的技術對用戶數據進行安全保護,它是實現VPN的核心技術。

(3)網絡反病毒技術:網絡在不斷地發展,而病毒也跟著發展與進化,計算機病毒具有不可估量的破壞力和威脅性,所以病毒防范也是加強網絡安全建設的重要環節。

5.交易安全：

（1）加密技術：加密技術是指采用某種算法把原始數據進行再組織,然后在網絡的公共信道上進行傳輸,非法接收者因沒掌握正確的密匙,而無法解密得到真實數據,但合法的接受者因掌握正確的密匙,可以通過解密過程得到真實數據。保證電子商務安全的最重要的就是使用加密技術對敏感的信息進行加密。而密匙可以用來保證電子商務的完整性、真實性、保密性。

網絡上最簡單和最常用的用戶身份驗證機制就是用戶名加密碼身份驗證

有了用戶名和密碼,還不能完全保證網絡消費的安全,因為就目前的黑客技術來說,用戶名和密碼的盜取對黑客不再是有難度的事情。黑客盜取密碼的方式有很多種,最原始的方法是如果用戶的密碼設置缺乏安全性,可能會輕易地被“字典攻擊”破解密碼。就此,為了增強安全性,現在通過網絡輸入密碼時往往會要求輸入校驗碼,校驗碼是一個隨機產生的數字或字母,校驗碼的字體很特殊,只能肉眼識別,這樣就可以防范通過應用程序反復嘗試密碼的字典攻擊。

竊取密碼的方法需要借助一些通用的網絡工具,比如說有的黑客通過FTP、TFTP和Telnet等網絡工具,可以搜集用戶的帳戶資料、從而獲得口令文件,然后黑客對收集到的口令文件進行解密來獲得密碼。

而有些竊取密碼的方法更為高明,比如說黑客可以編寫一些看起來“合法”的軟件,將這些軟件上傳到網站或是提供給某些下載網站,誘導用戶下載。當一個用戶下載其它的軟件時,黑客的軟件會隨正常的軟件一起下載到用戶的電腦。黑客軟件進入到用戶的電腦后,會自動運行、跟蹤記錄用戶的鍵盤操作,將用戶輸入的每個密碼發送給黑客指定的郵箱,從而竊取用戶的密碼。

既然密碼竊取是一種常見的網絡攻擊方式,黑客可以通過破解用戶密碼入侵用戶系統,因此網絡消費者要注意對密碼的保護,特別是在設置密碼時不能簡單。

(2)認證技術:數字認證是用電子方式證明信息發送者和接收者的身份、文件的完整性,以及數據媒體的有效性。信息認證是保證信息安全而采取的重要措施。認證是驗證用戶在系統上合法性及權限的過程,是為了防止有人對系統進行主動地攻擊。認證機構是開展電子商務的基礎,如果認證機構不安全或發放證書不具有權威性,則網上交易根本無法進行。在電子交易的各個環節,交易的各方面都需要驗證對方證書的有效性,從而解決相互信任的問題。

通常有了用戶名和密碼,仍不能完全保證用戶身份的合法性。因為像電腦病毒、木馬程序、網絡釣魚等形形色色的網絡威脅,讓消費者在網絡消費填寫用戶名、密碼時非常不放心擔心被破解。傳統的用戶名加密碼的身份認證方式并不能適應網絡消費經濟的快速發展,也成為了網絡消費的主要障礙之一。數字證書的出現就是為了消除這些障礙的出現。

當前,網絡消費最典型的身份認證辦法就是交易雙方都事先從一個人們都信任的,交易方以外的被稱為認證中心的第三方機構獲得自己的數字證書。 

數字證書是一個經權威的認證機構數字簽名的包含用戶身份信息以及公開密鑰的電子文件,是用電子手段來證實一個用戶的身份和對網絡資源訪問的權限,是各實體(消費者、商戶/企業、銀行)在網上進行信息交流及商務活動的電子身份證。 數字證書可以在互聯網上識別不同用戶并且加密傳輸數據,并能根據用戶的身份給出相應的網絡資源。

(3)CA中心:CA中心是一個電子認證機構,它是為了交易的當事人進行信任擔保,以幫助雙方建立信任,促成交易,為電子商務的發展提供了組織安全保證。CA中心的基本功能是生成保管符合安全認證協議要求的密匙、數字證書(DC)與其數字簽名;對DC和數字簽名進行驗證;對DC進行管理,其中證書的撤銷管理是重點,同時實施自動管理;建立應用接口,特別是支付接口,實現安全支付。DC是用來證明網上參與交易的各方身份,并且CA的功能是增強網上交易各方的相互信任,大大地降低了交易中存在的風險,從而提高了網上交易的安全性。電子商務業務系統構架是基于CA體系的安全基礎上。基本加密技術與CA證書技術共同構成電子商務安全基礎。

在網絡消費過程中具體來說,在隱私保護方面,網絡消費用戶應該得到這樣的保證,除非有特殊的狀況,不經用戶的許可,電子商務網站不應將用戶的資料交給其他第三方。某些特定信息,列如用戶的密碼、信用卡號碼和銀行賬戶號碼等更不應該被透露。但電子商務網站可能會使用一些用戶的信息,來進行一些市場調查,撰寫關于購買趨勢、利潤分析和市場行為的綜合性的報告,用來來幫助商家提高服務質量。同時,電子商務網站還會主動通知用戶有關網站新提供的商品情況,或提供其他一些可能對用戶有用的信息。這些都是電子商務網站在信息使用方面應采取的一些隱私保護政策。

五、對于計算機網絡安全面臨的問題本人提出的解決思路方法

1.加強主機本身的安全，做好安全配置，及時安裝安全的補丁程序，減少漏洞。 

2.要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析，找出可能存在安全隱患，并及時加以修補。 

3.在路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權管理和認證。　 

4.利用RAID5等數據存儲技術加強數據備份和恢復措施。 

5.敏感的設備和數據要建立必要的物理或邏輯隔離措施。 

6.在公共網絡上傳輸的敏感信息要進行強度的數據加密。 

7.建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊。 

六、對于電子商務交易安全面臨的問題及解決思路 

電子商務交易安全面臨的問題本人提出的解決思路及方法 ： 

1.部分告知（Partial　Order）：在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去，然后再用電話告之，以防泄密。　 

2.另行確認（Order　Confirmation）：當在網上傳輸交易信息后，再用電子郵件對交易做確認，才認為有效。　 

3.建立有效的安全交易標準和技術：列如現在建立的安全超文本傳輸協議（S－）、　安全套接層協議（SSL）、安全交易技術協議（STT，Secure　Transaction　Technology）等。 

4.數字認證：數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性，以及數據媒體的有效性。 

5.加密技術：保證電子商務安全的最重要的一點是使用加密技術對敏感的信息進行加密。 

6.電子商務認證中心（CA，Certificate　Authority）實行網上安全支付是順利開展電子商務的前提，建立安全的認證中心（CA）則是電子商務的中心環節。

結束語：電子商務模式相對傳統商務模式，具有便捷、高效的特點。但時現在今全球通過電子商務渠道完成的貿易額仍只是同期全球貿易額中的小部分。所以電子商務信息安全問題有賴于對公鑰基礎設施PKI、開發與應用、支付協議、物流配送協議、XML和標準化等方面深入研究和完善才能良好的促進電子商務技術的應用和推廣功能。務器應用程序提供了客戶端與服務的鑒別、數據完整性及信息機密性等安全措施。總而言之，我們要從法律上承認電子通訊記錄的效力，給電子商務以法律的保障；我們要加強對電子簽名的研究，給電子商務以技術的保障；我們還要盡快建立電子商務的認證體系，給電子商務組織保障。并且，針對電子商務無國界的特點，我們還應該加強國際上的合作，使電子商務真正發揮它的應有作用。只有這樣，我們才能順應時代的潮流，推動我國經濟的發展；也只有這樣，我們才能在經濟全球化的今天，加入到國際競爭中去，并且贏得競爭的優勢。

參 考 文 獻

1、 陸川. 電子商務概論 北京:對外經濟貿易大學出版社,2007 2、 趙全. 網絡安全與電子商務 北京:清華大學出版社,2005 

3、 常勇. 電子商務安全問題分析 信息安全,2011

4、 吳洋. 電子商務安全方法研究 天津大學, 2006.5、 李艷. 電子商務信息安全策略研究 甘肅科技, 20056、 成衛青,龔儉. 網絡安全評估 計算機工程, 2003