導(dǎo)語(yǔ)：電子商務(wù)的信息安全及技術(shù)研究一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要電子商務(wù)在安全方面所面臨的問(wèn)題,已成為制約其發(fā)展的關(guān)鍵。文中通過(guò)對(duì)電子商務(wù)現(xiàn)狀、對(duì)安全需求分析，探討了電子商務(wù)安全技術(shù)體系結(jié)構(gòu)，揭示其各安全技術(shù)間的層次關(guān)系，并介紹了其中的核心技術(shù)。

關(guān)鍵詞電子商務(wù)信息信息安全

1電子商務(wù)信息安全現(xiàn)狀

當(dāng)前，電子商務(wù)所面臨的信息安全現(xiàn)狀不容樂(lè)觀。所據(jù)美國(guó)網(wǎng)絡(luò)界權(quán)威雜志《信息安全雜志》披露，從事電子商務(wù)的企業(yè)比一般企業(yè)承擔(dān)著更大的信息風(fēng)險(xiǎn)。其中,前者遭黑客攻擊的比例高出一倍，感染病毒、惡意代碼的可能性高出9%，被非法入侵的頻率高出10%，而被詐騙的可能性更是比一般企業(yè)高出2.2倍。

調(diào)查顯示，近年來(lái)，我國(guó)發(fā)生的通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)金融犯罪多達(dá)200起，造成上億元的經(jīng)濟(jì)損失。中國(guó)網(wǎng)民對(duì)網(wǎng)上交易的最大擔(dān)心莫過(guò)于支付信息的安全問(wèn)題，超過(guò)八成的網(wǎng)民對(duì)網(wǎng)上交易的安全性表示擔(dān)憂。信息安全問(wèn)題成為困擾網(wǎng)上交易的一大難題。

目前，我國(guó)的信息安全研究已經(jīng)歷了通信保密、計(jì)算機(jī)數(shù)據(jù)保護(hù)兩個(gè)發(fā)展階段，現(xiàn)正處于網(wǎng)絡(luò)信息安全研究階段。通過(guò)學(xué)習(xí)、吸收、消化等手段，已逐步掌握了部分網(wǎng)絡(luò)安全和電子商務(wù)安全技術(shù)，進(jìn)行了安全操作系統(tǒng)、多級(jí)安全數(shù)據(jù)庫(kù)的研制探索，但由于沒(méi)有掌握系統(tǒng)核心技術(shù)，使得要開(kāi)發(fā)出有自主知識(shí)產(chǎn)權(quán)的信息產(chǎn)品困難重重，而基于國(guó)外具體產(chǎn)品開(kāi)發(fā)出的安全系統(tǒng)則難以完全杜絕安全漏洞或“后門(mén)”。在借鑒國(guó)外先進(jìn)技術(shù)的基礎(chǔ)上，國(guó)內(nèi)一些企業(yè)也研制開(kāi)發(fā)出一些安全產(chǎn)品，如防火墻、黑客入侵檢測(cè)系統(tǒng)、電子商務(wù)安全交易系統(tǒng)、安全路由器等。但這些產(chǎn)品安全技術(shù)的規(guī)范性、完善性、實(shí)用性還存在許多不足，理論基礎(chǔ)和自主的技術(shù)手段需要發(fā)展和強(qiáng)化。

此外，國(guó)內(nèi)不少電子商務(wù)企業(yè)對(duì)網(wǎng)絡(luò)信息安全意識(shí)不強(qiáng)。無(wú)論在建網(wǎng)立項(xiàng)、規(guī)劃設(shè)計(jì)上，還是在網(wǎng)絡(luò)運(yùn)行管理和使用中，更多的是考慮效益、方便、快捷，而把安全、保密、抗攻擊放在了次要地位，出現(xiàn)了諸如對(duì)網(wǎng)絡(luò)實(shí)用性要求多，對(duì)系統(tǒng)安全性論證少；對(duì)網(wǎng)絡(luò)設(shè)備投資多，對(duì)安全設(shè)施投入少；在操作技能培訓(xùn)上用時(shí)多，在安全防范知識(shí)的普及與提高上用時(shí)少的短期行為。

2電子商務(wù)信息安全面臨的威脅

2.1電子商務(wù)信息存儲(chǔ)安全隱患

信息存儲(chǔ)安全是指電子商務(wù)信息在靜態(tài)存放中的安全。其信息安全隱患主要包括：非授權(quán)調(diào)用信息和篡改信息內(nèi)容。企業(yè)的Intranet與Internet聯(lián)接后，電子商務(wù)的信息存儲(chǔ)安全面臨著內(nèi)部和外部?jī)煞矫娴碾[患：

（1）內(nèi)部隱患。主要是企業(yè)的用戶故意或無(wú)意的非授權(quán)調(diào)用電子商務(wù)信息或未經(jīng)許可隨意增加、刪除、修改電子商務(wù)信息。

（2）外部隱患。主要是外部人員私自闖入企業(yè)Intranet，對(duì)電子商務(wù)信息故意或無(wú)意的非授權(quán)調(diào)用或增加、刪除、修改。隱患的主要來(lái)源有：競(jìng)爭(zhēng)對(duì)手的惡意闖入、信息間諜的非法闖入以及黑客的騷擾闖入。

2.2電子商務(wù)信息傳輸安全隱患

信息傳輸安全是指電子商務(wù)運(yùn)行過(guò)程中，物流、資金流匯成信息流后動(dòng)態(tài)傳輸過(guò)程中的安全。其安全隱患主要包括：

（1）竊取商業(yè)秘密；

（2）攻擊網(wǎng)站；

（3）網(wǎng)上詐騙；

（4）否認(rèn)發(fā)出信息。

2.3電子商務(wù)交易雙方的信息安全隱患

傳統(tǒng)商務(wù)活動(dòng)是面對(duì)面進(jìn)行的，交易雙方能較容易地建立信任感并產(chǎn)生安全感。而電子商務(wù)是買賣雙方通過(guò)Internet的信息流動(dòng)來(lái)實(shí)現(xiàn)商品交換的，信息技術(shù)手段使不法之徒有機(jī)可乘，這就使得電子商務(wù)的交易雙方在安全感和信任程度等方面都存在疑慮。電子商務(wù)的交易雙方都面臨著信息安全的威脅。

（1）賣方面臨的信息安全威脅。例如，假冒合法用戶名義改變商務(wù)信息內(nèi)容，致使電子商務(wù)活動(dòng)中斷，造成商家名譽(yù)和用戶利益等方面的受損；惡意競(jìng)爭(zhēng)者冒名訂購(gòu)商品或侵入網(wǎng)絡(luò)內(nèi)部以獲取營(yíng)銷信息和客戶信息；信息間諜通過(guò)技術(shù)手段竊取商業(yè)秘密；黑客入侵并攻擊服務(wù)器，產(chǎn)生大量虛假訂單擠占系統(tǒng)資源，令其無(wú)法響應(yīng)正常的業(yè)務(wù)操作。

（2）買方面臨的信息安全威脅。如用戶身份證明信息被攔截竊用，以致被要求付帳或返還商品；域名信息被監(jiān)聽(tīng)和擴(kuò)散，被迫接收許多無(wú)用信息甚至個(gè)人隱私被泄露；發(fā)送的商務(wù)信息不完整或被篡改，用戶無(wú)法收到商品；受虛假?gòu)V告信息誤導(dǎo)購(gòu)買假冒偽劣商品或被騙錢(qián)財(cái)；遭黑客破壞，計(jì)算機(jī)設(shè)備發(fā)生故障導(dǎo)致信息丟失。

3電子商務(wù)對(duì)信息安全的需求

（1）信息的保密性。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)則建立在一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境（Internet）上，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。保密性一般通過(guò)密碼技術(shù)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理來(lái)實(shí)現(xiàn)。

（2）信息的完整性。電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能會(huì)導(dǎo)致貿(mào)易各方信息的差異。另外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此，貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。一般可通過(guò)提取信息摘要的方式來(lái)保持信息的完整性。

（3）信息的真實(shí)性。只有信息流、資金流、物流的有效轉(zhuǎn)換，才能保證電子商務(wù)的順利實(shí)現(xiàn)，而這一切是以信息的真實(shí)性為基礎(chǔ)。信息的真實(shí)性一方面是指網(wǎng)上交易雙方提供信息內(nèi)容的真實(shí)性；另一方面是指網(wǎng)上交易雙方身份信息的真實(shí)性，即對(duì)人或?qū)嶓w的身份進(jìn)行鑒別，為身份的真實(shí)性提供保證，使交易的雙方能夠在相互不見(jiàn)面的情況下確認(rèn)對(duì)方的身份。這意味著當(dāng)某人或?qū)嶓w聲稱具有某個(gè)特定身份時(shí)，鑒別服務(wù)將驗(yàn)證其聲明的正確性。一般可通過(guò)認(rèn)證機(jī)構(gòu)和證書(shū)來(lái)實(shí)現(xiàn)。

（4）信息的不可抵賴性。對(duì)進(jìn)行電子商務(wù)交易的貿(mào)易雙方來(lái)說(shuō)，一個(gè)很關(guān)鍵問(wèn)題就是如何確定進(jìn)行交易的貿(mào)易方正是交易所期望的貿(mào)易方。在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已經(jīng)不可能。因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)，使原發(fā)方對(duì)已發(fā)送的數(shù)據(jù)、接收方對(duì)已接收的數(shù)據(jù)都不能否認(rèn)。通?？赏ㄟ^(guò)對(duì)發(fā)送的消息進(jìn)行數(shù)字簽名來(lái)實(shí)現(xiàn)信息的不可抵賴性。

（5）信息的有效性。電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式貿(mào)易信息的有效性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此，要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，這對(duì)于保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。

4電子商務(wù)的信息安全技術(shù)

電子商務(wù)的應(yīng)用是以Internet的基礎(chǔ)設(shè)施和標(biāo)準(zhǔn)為基礎(chǔ)，涉及從通信協(xié)議到應(yīng)用集成的廣泛領(lǐng)域，套用國(guó)際標(biāo)準(zhǔn)化組織ISO的開(kāi)放系統(tǒng)互聯(lián)OSI七層協(xié)議模型，相應(yīng)地將各安全措施映射到對(duì)應(yīng)層次中，可以較好地描述電子商務(wù)安全技術(shù)體系。

4.1網(wǎng)絡(luò)層技術(shù)

網(wǎng)絡(luò)安全是電子商務(wù)系統(tǒng)安全的基礎(chǔ)，涉及的方面較廣，如防火墻技術(shù)、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)隱患掃描及各種反黑客技術(shù)等，其中最重要的就是防火墻技術(shù)。防火墻的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)侵入內(nèi)部網(wǎng)絡(luò)(被保護(hù)網(wǎng)絡(luò))。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對(duì)其進(jìn)行檢查，來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。簡(jiǎn)單防火墻技術(shù)可以在路由器上實(shí)現(xiàn)，而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。

4.2加密層技術(shù)

數(shù)據(jù)加密被認(rèn)為是電子商務(wù)最基本的安全保障形式，可以從根本上滿足信息完整性的要求，它是通過(guò)一定的加密算法，利用密鑰（secretkeys）來(lái)對(duì)敏感信息進(jìn)行加密，然后把加密好的數(shù)據(jù)和密鑰通過(guò)安全方式發(fā)送給接收者，接收者可利用同樣的算法和傳遞過(guò)來(lái)的密鑰對(duì)數(shù)據(jù)進(jìn)行解密，從而獲取敏感信息并保證網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性。

4.3認(rèn)證層技術(shù)

安全認(rèn)證技術(shù)是為了保證電子商務(wù)活動(dòng)中的交易雙方身份及其所用文件真實(shí)性的必要手段。包括：

數(shù)字摘要、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書(shū)、認(rèn)證、智能卡。

4.4協(xié)議層技術(shù)

電子商務(wù)的在線支付是通過(guò)Internet完成的，必須使用安全協(xié)議來(lái)保證支付信息傳輸?shù)陌踩⒔灰追降暮戏ㄉ矸莸拇_認(rèn)及支付過(guò)程的完整。不同交易協(xié)議的復(fù)雜性、開(kāi)銷、安全性各不相同。同時(shí)，不同的應(yīng)用環(huán)境對(duì)協(xié)議目標(biāo)的要求也不盡相同。目前，比較成熟的協(xié)議有SET、SSL、iKP等基于信用卡的交易協(xié)議，Net?鄄Bill，NetCheque等基于支票的交易協(xié)議，Digicash、Netcash等基于現(xiàn)金的交易協(xié)議，匿名原子交易協(xié)議，防止軟件侵權(quán)和非法拷貝的基于PKC的安全電子軟件分銷協(xié)議等。隨著電子商務(wù)的發(fā)展，電子交易手段的多樣化，信息安全問(wèn)題將會(huì)變得更加重要和突出。由于電子商務(wù)的實(shí)現(xiàn)是一項(xiàng)復(fù)雜的系統(tǒng)工程，其信息安全問(wèn)題的解決有賴于各相關(guān)技術(shù)的發(fā)展，如：公鑰基礎(chǔ)設(shè)施（PKI）技術(shù)的研究與應(yīng)用；電子商務(wù)采購(gòu)協(xié)議、支付協(xié)議及物流配送協(xié)議的進(jìn)一步完善；XML的研究和標(biāo)準(zhǔn)化等。同時(shí)，除技術(shù)問(wèn)題外，電子商務(wù)的信息安全還有賴于電子商務(wù)發(fā)展所需的政策和相應(yīng)的法律、法規(guī)的建設(shè)等社會(huì)環(huán)境的完善。這些課題的研究不僅具有重要的理論價(jià)值和實(shí)用價(jià)值，而且對(duì)于推動(dòng)電子商務(wù)的發(fā)展具有重要的現(xiàn)實(shí)意義。

參考文獻(xiàn)

1徐雪梅．淺談保障電子商務(wù)活動(dòng)中的信息安全［J］．科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)，2003（5）

2曾強(qiáng)．電子商務(wù)的理論與實(shí)戰(zhàn)———全球“大局觀”下的中國(guó)電子商務(wù)［M］．北京：中國(guó)經(jīng)濟(jì)出版社,2000

3祁明．電子商務(wù)安全與保密［M］．北京：高等教育出版社，2001

4徐漢超．計(jì)算機(jī)網(wǎng)絡(luò)安全與數(shù)據(jù)完整性技術(shù)［M］．北京：北京電子工業(yè)出版社,1999