探析电子商务的网络安全问题

来源:用户上传      作者: 林国庆

　　[摘要] 电子商务是在互联网网络快速发展的背景下，提供给普通消费者进行网上购物和网上便捷电子支付的一种新型的商业模式，同时也从根本上加快了整个市场经济下商务活动的发展进程，但同时也存在诸多急待解决的问题。本文从电子商务的定义、网络信息安全的需求、主要网络安全技术等几个方面着手，客观地探讨了电子商务网络安全技术的发展现状及目前存在的问题，并提出了解决电子商务安全的对策及建议。
　　[关键词] 电子商务 安全技术 协议技术
　　
　　引言
　　电子商务一词来源于英文 ELECTRONICCOMMERCE，简写为EC。它包括的内容有以下两方面，一是电子方式，二是商贸活动。从目前的情况来说，主要是指利用电子互联网络等电子化方式进行的商务活动，反映了商务活动的电子化、网络化两个特点。WTO(世界贸易组织)给出的电子商务定义是：电子商务是指以电子方式进行商品及服务的生产、流通、市场营销、销售或支付。
　　21世纪前10年，我国市场经济体制下的电子商务已经走上了快速发展的轨道，平均每年的增长速度高于45％，预计2011年电子商务交易额将达17万亿元。由于网络传递大量的信息，巨额的资金在互联网间结算流动，这就需要网络中的信息要有高度的可靠性和安全保密性。但是来自不同网络环境中网络攻击入侵也越来越频繁，人们也开始提高对这个不安全的网络和不成熟的电子商务的防范心理。就这一点来说，网络中信息安全问题是保证电子商务顺利发展的基础。
　　一、电子商务领域信息安全的需求
　　随着计算机互联网应用技术的高速发展，生活中电子商务的发展必将挑战传统的商务交易模式，电子商务必将成为国际间贸易活动的主要经营模式之一，未来它会逐渐地成为我们经济生活中不可或缺的部分。但电子商务快速发展过程中，其安全问题也越来越引起人们的高度关注，网络交易的安全是确保电子商务良性发展的关键因素，也是各位网络参与者十分关心的话题之一。目前有关电子商务网络安全问题主要包括以下几个方面[ 1 ]。
　　(1)信息真实有效性。 电子商务作为商务贸易的一种新的形式，其信息的真实性与有效性将直接关系到个人、企业用户和国家的经济利益和名誉。
　　(2)信息的安全保密性。电子商务是构建在一个较为开放的网络环境中的，商品交易中防止泄密是电子商务活动得到推广应用的重要保障。
　　(3)信息完整性。电子商务形成的系统应能确保数据的完整传输和存储，并且保证电子商务活动的可靠完整性。
　　(4)信息可鉴别性、可靠性和不可抵赖性。 电子商务系统要充分保证数据的发送者在发送数据后不能再抵赖，接收方在接到数据后也不可抵赖。
　　二、主要的几种网络安全技术
　　(1)加密技术
　　加密技术应用在网络安全上主要有以下两种形式：面向网络和面向应用服务。面向网络的加密技术工作在OSI参考模型的网络层或传输层之间，传送并使用经过加密后数据包，使网络路由及其他网络协议所需的信息得到认证，也在一定程度上保证互联网络的连通性和可用性不受损害。面向网络应用服务的加密技术则采用目前较为流行的加密技术，这一种加密技术的优点是可用相对较为简单的方式实现，不用对电子信息（数据包）所经过的网络的安全性能提出较高的要求，实现了对电子邮件数据端到端的安全保证[ 2]。
　　(2)身份认证技术
　　为尽快解决互联网络的安全问题，逐渐形成了一套完整的互联网安全解决方案，也就是目前广泛采用的公钥基础设施（PKI）体系结构。 PKI体系结构应用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如用户名 e-mail 身份证号等）进行了有效绑定，在网络中进行验证用户的身份，PKI体系结构把公钥密码和对称密码结合起来，在网络上实现自动管理密钥，从而保证电子信息数据的机密性、完整性。电子商务企业用户身份认证的实现是通过IC卡与服务器CA证书相结合完成的。CA证书的用途是认证服务器的身份，IC卡则是认证企业用户的身份，因为个人用户没有提供交易功能，所以只能采用ID号和密码口令的身份确认机制[ 3 ]。
　　(3) 数字CA证书
　　为了在网上确认交易双方的身份和保证交易的不可否认性，需要有一份数字证书来进行验证，这里所说的数字证书就是CA证书，它的发行者是认证授权中心（ CA，CertificateAuthority ）， CA中心主要是由社会公认的可靠组织，它来审核个人组织相关情况后，为其发放数字证书，证书包括个人证书和服务器证书两种。建立SSL安全链接并不一定需要有个人证书，不验证客户的个人证书的情况实际上是较多的，验证来访者的合法身份而去验证个人证书。如果只是想建立SSL链接，客户只需用户到相应的站点下载该服务器证书。
　　(4)SSL 协议技术[ 1 ]
　　SSL安全套接层协议作为传输协议仍然采用的是 TCP来提供数据的可靠传送和接收,它位于应用层和传输层之间,独立于其它的OSI高层应用,并且能够为高层协议提供相关安全服务。
　　SSL 包括SSL 握手协议和SSL记录协议两个部份。SSL握手协议能协商加密算法和加密密钥能后让客户机与服务器间再传输应用数据,客户机列出自己能支付的所有的算法清单,服务器选择最适合它的算法，SSL 记录层起到了封装不同的上层协议的作用。SSL通过采用公钥和私钥技术保证客户机和Web 服务器通信数据的完整性、保密性和认证性。但该协议无法防止那些心术不正商家的恶意欺骗。
　　(5)SET协议技术[ 1 ]
　　SET可保证信用卡进行电子化交易时，保证其应用并提供了相关安全措施规则，是由两大信用卡提供商Visa和MasterCard 共同组织制定的,实现了网上信用卡交易的标准规范模型。SET协议具有较高的安全度,并结合了数据加密标准DES 、S -HTTP、RSA 算法和 SSL ,确保了各项交易的多层加密。 SET协议设计的目的是为了解决用户、 商家、 银行三者间通过信用卡支付安全问题,从根本上保证了交易支付信息的保密性、完整性和整个支付过程的完整性,同时也确保了持卡人与商家的身份认证,具有一定的可操作性。SET包括 SET业务描述、SET协议描述和SET程序员指南3个部分。该协议本身相当的复杂 ,但它能精确地反映出使用信用卡交易各方间存在的各类关系。
　　三、电子商务中存在的网络安全问题[ 4 ]
　　从我们的电子商务目前发展的情况来分析，电子商务网站的经营情况表面上一片大好，而事实上却危机四伏。就笔者多年的研究来说，我国的电子商务经营状况不理想的现状急需改变，但依然存在技术和经营管理方面的诸多问题，特别是网络交易的安全问题。
　　(1)现在网络安全还未构成一个完整的体系。从了解的情况分析，目前市场上也出现了许多有关电子商务网络安全方面的产品，但真正符合相关机构资格认证的却还很少。在最近一段时间里，有关电子商务安全产品的生产产家都在申请认证，但能够通过认证的企业却相对较少。其主要存在的客观原因是企业的产品中有许多安全措施都是从网上生搬硬套而开发组成的；此外，许多做电子商务安全技术的企业是熟悉网络技术的，但却对安全相关的技术普遍了解较少，因此这些企业很难开发出真正有价值的、又具有安全性的产品。
　　(2) 电子商务的安全加密技术有待提高。目前，市场上有关电子商务的安全技术从整体上分析，其结构或加密技术还能适应需求，可是相关的程序算法却受制于其它国家的密码政策，因此这些企业相关安全技术的强度不足。如果说用在企业与终端客户进行交易时，这些技术还勉强可以，但对企业与企业网络交易方面就远远不够了。

　　(3)电子商务网站的安全管理方面存在许多问题。现在绝大多数的电子商务的网站都难以抵御黑客的攻击。此类问题应当引起企业与个人的高度关注，诚然目前小型电子商务网站被攻击的事件相对较少发生，但这并不意味着网站不要加以防范。这与国内的许多网站自身规模较小有关，对黑客来说没有价值可言。而电子商务范围和规模不断的发展，此类问题也将与日俱增。
　　(4)电子商务信息网络安全中的其它问题
　　① 内部安全
　　从目前的调查情况来分析，来自内部的信息安全问题有80%以上，尤其体现上信用卡和商业欺诈中，内部人员引发的事件尤其突出。
　　② 恶意代码
　　恶意代码将继续对互联网络系统构成威胁，其数量将随着互联网的不断发展和java编程技术的更新而增多，脚本语言的便利使用也更增加了破坏的强度与范围。
　　③ 可靠性差
　　国内互联主干网和DNS服务器的可靠性还不能真正满足人们的需求，大部分拨号PPP连接质量并不稳定，并且速度也有待提高。
　　④缺乏必要的技术人才
　　近几年来网络购物得到了迅猛的发展，网上购物必将成为人们的首选方式，因此社会上需要足够的技术人才来处理网络中遇到的各类问题。
　　四、安全问题的主要几点应对措施
　　电子商务发展过程中出现的此类安全问题，必将阻碍我国电子商务进一步的发展。这就需要政府和相关企业共同努力加以解决。笔者提出以下几种主要应对措施[2 ]：
　　(1)防火墙技术用以加强控制网络之间的访问，防止外部网络用户以非法手段通过外部网络进入企业内部。电子商务的广泛应用中，电子商务的安全性仍然体现在网络安全和交易数据的安全，常见的几种保护措施有防火墙技术。防火墙技术包括有包过滤、代理服务、状态监控等相关技术。防火墙技术的主要技术特点是：过滤非法的服务，提高网络安全和减少子网中各个主机的风险；阻击攻击者获取攻击网络系统的相关信息；利用统计数据来鉴别可能存在攻击和探测等。
　　(2)完善电子商务相关体系。积极组织国际合作，顺应国际电子商务潮流，构建符合中国国情的电子商务体系。维护国家利益和网络经济的安全，注重电子商务相关技术的自主知识产权技术的研发，避免过度依赖进口。所以，相关企业要勇于投资，深入开展电子商务技术的研发工作。
　　(3)建设网络基础设施，加快行业信息化的进程。拓展相关领域的应用、研究对应的科学技术，这是信息领域及网络数据安全领域不断创新和可持续发展的源泉。电子商务发展的物质基础和载体是信息基础设施。需要多种学科和各类人才的支持才能建设起来，更有赖于政府和企业界的齐心协力，特别是政府的相关政策引导和大力扶持。
　　(4)大力培养电子商务的人才。我国电子商务发展相对较晚，电子商务人才培养未能跟上西方发达国家。在电子商务人才培养过程中，还存在着许多问题：如培养目标定位不准、师资力量比较薄弱、专业人才数量奇缺、人才结构不合理、高校专业课程设置与企业现实需求脱节等问题，这些都会制约电子商务未来的发展。因此，注重对电子商务方面的人才的培养有着无法估量的现实意义。
　　(5)加强电子商务法律法规建设。针对利用高科技信息及应用系统等新形式犯罪，相关部门应尽快组织力量，分析电子商务发展的客观需要，修改现有的电子商务相关的法律法规。在修改法律过程中 ，可以适当增加对网络犯罪的处罚条款，增加对网络作品知识产权保护的条款；还有电子商务建设中急需解决的有关问题，如：在电子支付、税务管理，知识产权保护、安全认证网络与信息安全等。可通过有关主管部门先着手制定部门规章制度与条例，通过一段时间试点运行后，再按照程序推广并上升为法律问题。
　　五、结束语
　　综上所述，网络安全从本质上说是一种风险管理，任何技术手段无法保证100%的安全。电子商务安全问题同样不仅是技术方面的问题 ,还涉及到整个法律体系、社会道德、经理管理等多方面的因素。因此，电子商务安全问题远比计算机网络技术问题本身更为复杂[5]。目前,还无法建立一套有效的安全系统来加以解决。 这需要我们不断的探索研究,加快完善电子商务的系统安全机制的步伐。
　　
　　
　　参考文献：
　　[1] 卢华玲; 电子商务安全技术初探[J]. 重庆工学院学报(自然科学)2007年12月.
　　[2] 李闯; 浅议电子商务中的安全问题[J]. 科技天地.2006.5.
　　[3] 张杰; 电子商务安全技术分析[J]. 科技风 2010年3月（下）
　　[4] 原媛; 浅谈电子商务的安全[J]. 现代经济信息. 2005年3 月.
　　[5] 郑颖等; 电子商务信息安全的初探[J]. 消费导刊.2010年4月.
　　
　　作者简介
　　姓名：林国庆 性别: 男 出生年月：1977年3月29日
　　职称: 高校实验师
　　学历/学位:本科学历/工学硕士学位
　　工作单位：福建农业职业技术学院信息系

转载注明来源:https://www.xzbu.com/2/view-422433.htm