浅谈电子商务中的安全问题

来源:用户上传      作者:

　　摘要：随着电子商务技术的发展，电子商务安全成为了电子商务发展的核心和关键问题，电子商务安全的有效保护，成为电子商务顺利发展的重要市场环境条件。随着Internet逐渐发展成为电子商务的最佳载体，互联网具有充分开放，不设防护的特点使加强电子商务的安全问题日益紧迫，只有在全球范围建立一套人们能充分信任的安全保障制度，确保信息的真实性、可靠性和保密性，才能够打消人们的顾虑，放心的参与电子商务。否则，电子商务的发展将失去其支撑点。
　　关键词：电子商务；网络安全；安全技术
　　
　　21世纪是一个数字化、网络化和知识经济的社会，信息产业将成为国力竞争的焦点，也是国家的战略性支柱产业，直接影响着国家在新世纪的生存和发展。以数字化和网络化为基础的电子商务因其具有超越时空界限、双向信息沟通、交易手段灵活和交货方式快速等特点，将传统的贸易形态，为经济发展提供原动力，从而成为各国国民经济发展的一个重要的增长点。因此，许多国家都将大力发展电子商务作为新世纪的一项重要国策。随着电子商务应用的越来越普及加强电子商务的安全问题日益紧迫，安全性就成为了电子商务发展的核心和关键问题。
　　
　　一、电子商务网络安全问题的现状
　　
　　安全问题是企业应用电子商务最担心的问题之一，而如何保障电子商务活动的安全，将一直是电子商务的核心研究领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。对于中国来说，网络产品几乎都是“舶来品”，本身就隐藏着不安全隐患，加之受技术、人为等因素的影响，不安全因素更显突出。
　　近年来，黑客使网络的脆弱性暴露无遗，同时也明确显示出网络安全问题是制约电子商务发展的极大障碍。总的来说，我国还不能对客户认定、货币支付和商业机密等方面的安全性、保密性提供充分的技术保障，也没有系统制定相应的安全技术管理标准。因此，如何建立一个安全可靠的电子商务系统，将成为电子商务研究的核心问题。
　　
　　二、电子商务的交易安全控制要求
　　
　　电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性，使网上交易面临了种种危险，也由此提出了相应的安全控制要求。
　　
　　1、信息保密性
　　交易中的商务信息有保密的要求。如信用卡的账号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
　　
　　2、交易者身份的确定性
　　网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家而言要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。
　　
　　3、不可否认性
　　由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。
　　
　　4、不可修改性
　　交易的文件是不可被修改的，如其能改动文件内容，那么交易本身便是不可靠的，客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。
　　
　　三、安全技术对电子商务安全的保护
　　
　　要加强电子商务的安全，需要企业本身采取更为严格的管理措施，需要国家建立健全法律制度，更需要有科学的先进的安全技术。
　　
　　1、电子商务中的信息安全技术
　　电子商务的信息安全在很大程度上依赖于安全技术的完善，这些技术包括：密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。
　　
　　2、电子商务信息安全协议
　　(1)安全套接层协议。SSL是由Netscape Com―municafion公司1994年设计开发的，主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为：一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议，该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
　　(2)安全电子交易公告。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET已成为全球网络的工业标准。
　　(3)安全超文本传输协议(s―HTrP)。依靠密钥的加密，保证Web站点间的交换信息传输的安全性。SHTTP对HT-T P的安全性进行了扩充，增加了报文的安全性，是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
　　(4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开，以提高安全控制能力。
　　(5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。
　　
　　3、P2P技术与网络信息安全。
　　P2P(Peer―to―Peer，即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络，最根本的思想，同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务，同时，又是资源或服务的提供者，即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的，包括通讯、服务和资源消费。
　　
　　四、电子商务的安全对策
　　
　　1、身份认证
　　电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。
　　
　　2、CA证书
　　要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
　　
　　3、安全管理
　　为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。
　　对于所有接触系统的人员，按其职责设定其访问系统的最小权限。
　　按照分级管理原则，严格管理内部用户账号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户账号和密码。建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志。以便及时发现潜在的安全威胁。对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。安全实际上就是一种风险管理。任何技术手段都不能保证100％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

转载注明来源:https://www.xzbu.com/9/view-887736.htm