企業(yè)電子商務安全問題分析

企業(yè)電子商務安全問題分析
 近年來，企業(yè)借助電子商務服務平臺從事商務活動的越來越多，截至2006年底，阿里巴巴會員數(shù)已經(jīng)超過1800萬，再加上其它綜合性電子商務平臺和各類行業(yè)性電子商務服務平臺，會員數(shù)更大。吸引和引導企業(yè)應用電子商務——進而決定平臺服務內容的是“商機”。由此推斷，世界上最大的市場必定是電子商務市場，最大的客戶群必定是億萬上網(wǎng)的網(wǎng)民。那么，企業(yè)電子商務安全問題就面臨著嚴峻的考驗。隨著互聯(lián)網(wǎng)的全面普及，基于互聯(lián)網(wǎng)的電子商務也應運而生，并在近年來獲得了巨大的發(fā)展，成為一種全新的具有很大發(fā)展前途的商務模式。這種全新的電子商務模式是企業(yè)運作電子商務，創(chuàng)造價值的具體表現(xiàn)形式。是的像阿里巴巴網(wǎng)站、淘寶網(wǎng)站，這樣的大型的電子商務企業(yè)在獲得巨大利益的同時，就得更好的注意安全問題，保證企業(yè)和消費者的利益。
 一、企業(yè)電子商務安全形成原因
 企業(yè)上網(wǎng)并不意味要放棄傳統(tǒng)的商業(yè)模式，Web站點是一個市場營銷的工具，這一營銷工具的使用必須符合“數(shù)字化生存”的基本原理。從營銷手段和營銷策略的角度講，企業(yè)上網(wǎng)可以取得傳統(tǒng)營銷方法中無法替代的優(yōu)勢。
 電子商務至少在以下幾何方面為企業(yè)帶來好處：①以最小的費用制作最大的廣告②豐富的網(wǎng)絡資源有利于企業(yè)了解市場的變化、作出理性的決策③展示商品而不需要占用店面，小企業(yè)可以和大企業(yè)獲得幾乎同等的商業(yè)機會④提高服務質量，及時獲得顧客的反饋信息⑤在線交易方便、快捷、可靠。
 二、企業(yè)電子商務安全面臨的問題
 在從事電子商務方面的企業(yè)中，就阿里巴巴，其安全問題從物理角度看：電子商務系統(tǒng)網(wǎng)絡結構的設置遵從該企業(yè)、商家、銀行（或行業(yè)）的運作設置，即在電子商務總部建立一個局域網(wǎng)，該局域網(wǎng)為整個網(wǎng)絡系統(tǒng)的中心節(jié)點，為證券、金融等商務業(yè)務系統(tǒng)的中心，同時還是網(wǎng)絡管理中心。由網(wǎng)絡物理拓撲結構可以看出，電子商務系統(tǒng)跨越了Intranet和Internet兩個平臺，這也意味著電子商務安全包含以下幾個方面：
 1.Intranet內部網(wǎng)絡關鍵數(shù)據(jù)存儲安全；
 2.Internet國際網(wǎng)絡的數(shù)據(jù)傳輸安全；
 3.Intranet和Internet網(wǎng)絡之間的連接安全。
 “千里之堤，毀于螻蟻。”由于電子商務系統(tǒng)十分龐大，任何一個系統(tǒng)漏洞，可能是一個致命的打擊。正確了解電子商務系統(tǒng)的可能潛在的威脅是十分必要的。綜合而言，可以包括以下幾點：①操作系統(tǒng)的安全性②防火墻的安全性③評估機構④電子商務系統(tǒng)內部運行多種網(wǎng)絡協(xié)議帶來隱患⑤未能對來自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在惡意Java/ActiveX控制進行有效控制⑥應用服務的安全⑦網(wǎng)絡的邊界安全⑧網(wǎng)絡傳輸?shù)陌踩�⑨�?shù)據(jù)存取的安全。
 從服務對象來看：
 Ⅰ對商家的威脅：
 1.中央系統(tǒng)安全性被破壞
 2.客戶資料被競爭者獲悉
 3.消費者提交訂單后不付款
 4.競爭者檢索商品遞送情況
 5.虛假訂單
 6.獲取他人的機密數(shù)據(jù)
 Ⅱ對消費者的威脅
 1.虛假訂單
 一個假冒者可能會以客戶的名字來訂購商品，且有可能收到商品，而此時客戶卻被要求付款或返還商品。
 2.機密性喪失
 客戶有可能將秘密的個人數(shù)據(jù)或自己的身份數(shù)據(jù)（如PIN、口令等）發(fā)送給冒充銷售商的機構，這些信息也可能會在傳遞過程中被竊聽。
 3.付款后不能收到商品
 在要求客戶付款后，銷售商中的內部人員不將訂單和錢發(fā)給執(zhí)行部門，因而使客戶不能收到商品。
 4.拒絕服務
 供給者不能向銷售商的服務器發(fā)送大量的虛假訂單來窮竭它的資源，從而使合法用戶不能得到正常的服務。
 Ⅲ要求：
 正是由于以上威脅，一個商家會對電子商務提出以下要求：
 能鑒別消費者身份的真實性和得到消費者對商品或服務條款的能力
 1.知識產(chǎn)權保護
 “數(shù)據(jù)商品”易于拷貝和分配，使商品開發(fā)者的知識產(chǎn)權容易受到傷害，因此，電子商務系統(tǒng)中應提供可靠的機制來保護知識產(chǎn)權。
 2.有效的爭議解決機制
 當消費者收到商品或得到服務卻說沒有收到商品和服務時，銷售者能出示有效證據(jù)，使用有效地解決機制來解決爭議，防止銷售者提供的服務被破壞。同時，消費者會對電子商務系統(tǒng)提出以下要求：
 ①    能對銷售者的身份進行鑒別。
 以保證消費者能確認他要進行交易的對方是他們所希望的銀行、銷售商或政府部門，而不是一個欺騙者。
 ②    能保證消費者的機密信息和個人隱私不會被泄露給非授權的人。
 
 抽象地看，所有這些要求可歸納成如下安全要求：1.真實性要求2.加密性要求3.完整性要求4.可用性要求5.不可否認要求6.可控性
 三、企業(yè)電子商務采用的主要安全技術
 ⒈防火墻技術：
 ⑴防火墻的定義
 防火墻是指為了增強機構內部網(wǎng)絡的安全性而設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合。
 ⑵防火墻的優(yōu)點：①保護脆弱的服務②控制對系統(tǒng)的訪問③集中的安全管理④增強的保密性⑤記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)⑥策略執(zhí)行。
 ⑶防火墻的功能：①防火墻是內部網(wǎng)的唯一瓶頸，通過它就可以把未授權用戶排除到受保護的網(wǎng)絡之外，禁止危及安全的服務進入或離開網(wǎng)絡，防止各種IP盜用和路由攻擊。②通過防火墻可以監(jiān)視與安全有關的事情。③防火墻可以為幾種與安全無關的因特網(wǎng)服務提供方便的平臺。④防火墻可以作為IPSec的平臺。
 ⒉加密技術
 加密技術是EC采取的主要安全措施,貿易方可根據(jù)需要在信息交換的階段使用。目前,加密技術分為兩類,即對稱加密和非對稱加密。
 ⑴對稱加密/對稱密鑰加密/專用密鑰加密
 在對稱加密方法中,對信息的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理,每個貿易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。對稱加密技術存在著在通信的貿易方之間確保密鑰安全交換的問題。此外,當某一貿易方有"“n”個貿易關系,那么他就要維護“n”個專用密鑰(即每把密鑰對應一貿易方)。對稱加密方式存在的另一個問題是無法鑒別貿易發(fā)起方或貿易最終方。因為貿易雙方共享同一把專用密鑰,貿易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。
 ⑵非對稱加密/公開密鑰加密
 在非對稱加密體系中,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對機密性的加密,專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握,公開密鑰可廣泛發(fā)布,但它只對應于生成該密鑰的貿易方。貿易方利用該方案實現(xiàn)機密信息交換的基本過程是:貿易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿易方公開;得到該公開密鑰的貿易方乙使用該密鑰對機密信息進行加密后再發(fā)送給貿易方甲;貿易方甲再用自己保存的另一把專用密鑰對加密后的信息進行解密。貿易方甲只能用其專用密鑰解密由其公開密鑰加密后的任何信息。
 ⒊認證技術
 ⑴數(shù)字簽名
 數(shù)字簽名是公開密鑰加密技術的另一類應用。它的主要方式是:報文的發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)。發(fā)送方用自己的專用密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名。然后,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同,那么接收方就能確認該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠實現(xiàn)對原始報文的鑒別和不可抵賴性。
 ⑶證書和證書管理機構CA
 證書就是一份文檔，它紀錄了用戶的公開密鑰和其他身份信息（如身份證號碼或者E－mail地址）以及證書管理機構的數(shù)字簽名。
 證書管理機構是一個受大家信任的第三方機構。用戶向CA提交自己的公開密鑰和其他代表自己身份的信息，CA驗證了用戶的有效身份之后，向用戶頒發(fā)一個經(jīng)過CA私有密鑰簽名的證書。
 證書和CA的存在使兩個貿易方都信任CA并從CA處得到了一個證書，雙方可以通過互相交換證書得到對方的公開密鑰。由干證書上有CA的數(shù)字簽名，用戶如果有正確的CA的公開密鑰，就可以通過數(shù)字簽名的鑒定來判斷從證書中得到的公開密鑰是否確實是對方的公開密鑰。
 四、企業(yè)電子商務安全注意事項：
 ⒈鼓勵或者要求員工選擇比較復雜的密碼。
 ⒉要求員工每90天更換一次密碼。
 ⒊確保您的殺毒軟件的版本是最新的。
 ⒋讓員工了解電子郵件附件的安全風險。
 ⒌實施一個完整的、全面的網(wǎng)絡安全解決方案。
 ⒍定期評估您的安全狀況。
 ⒎當一個員工離開公司時，立刻取消該員工的網(wǎng)絡訪問權限。
 ⒏如果您讓員工在家工作，就要為遠程數(shù)據(jù)流量提供一個安全的、集中管理的服務器。
 ⒐定期升級您的Web服務器軟件。
 ⒑不要運行任何不必要的網(wǎng)絡服務 。
 綜上所述，電子商務安全技術雖然已經(jīng)取得了一定的成績，但是電子商務要真正成為一種主導的商務模式，還必須在安全技術上有更大的突破。   

參考文獻：電子商務概論（原理） 
          計算機應用與基礎
          電子商務技術
          計算機網(wǎng)絡原理與應用