[摘要]本文總結(jié)了我國(guó)電子商務(wù)發(fā)展及其信息安全的現(xiàn)狀，在詳細(xì)分析了電子商務(wù)信息安全的主要威脅因素的基礎(chǔ)上，具體探討了電子商務(wù)安全的技術(shù)保障機(jī)制。

　　[關(guān)鍵詞]電子商務(wù)，信息安全，網(wǎng)絡(luò)安全，交易安全，技術(shù)保障

　　作者：姜火文

　　電子商務(wù)是利用互聯(lián)網(wǎng)絡(luò)進(jìn)行的商務(wù)活動(dòng)。電子商務(wù)有多種定義，但內(nèi)涵大致相同，即電子商務(wù)是利用電子數(shù)據(jù)交換、電子郵件、電子資金轉(zhuǎn)賬等方式及互聯(lián)網(wǎng)的主要技術(shù)在個(gè)人、企業(yè)和國(guó)家之間進(jìn)行的網(wǎng)上廣告及交易活動(dòng)，內(nèi)容包括商品及其訂購(gòu)信息、資金及其支付信息、安全及其認(rèn)證信息等方面。信息安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，防止網(wǎng)絡(luò)本身及網(wǎng)上傳輸?shù)男畔⒇?cái)產(chǎn)被故意的或偶然的非授權(quán)泄漏、更改、破壞，或使網(wǎng)上傳輸?shù)男畔⒈环欠ㄏ到y(tǒng)辨認(rèn)、控制。電子商務(wù)信息安全的具體表現(xiàn)有：竊取商業(yè)機(jī)密；泄漏商業(yè)機(jī)密；篡改交易信息，破壞信息的真實(shí)性和完整性；接收或發(fā)送虛假信息，破壞交易、盜取交易成果；偽造交易信息；非法刪除交易信息；交易信息丟失；病毒破壞；黑客入侵等。隨著互聯(lián)網(wǎng)的快速擴(kuò)張和電子商務(wù)的迅猛發(fā)展，電子商務(wù)系統(tǒng)的安全性已受到計(jì)算機(jī)病毒、網(wǎng)絡(luò)黑客、計(jì)算機(jī)系統(tǒng)自身防御性脆弱等方面的嚴(yán)峻挑戰(zhàn)。

　　一、我國(guó)電子商務(wù)發(fā)展及其信息安全現(xiàn)狀

　　我國(guó)電子商務(wù)始于20上世紀(jì)90年代，政府主導(dǎo)相繼實(shí)施的“金橋”、“金卡”、“金關(guān)”、“金稅”工程大大加快了我國(guó)電子商務(wù)的發(fā)展步伐。目前，我國(guó)電子商務(wù)的廣度和深度空前擴(kuò)展，已經(jīng)深入國(guó)民經(jīng)濟(jì)和日常生活的各個(gè)方面。艾瑞市場(chǎng)咨詢公司最新的調(diào)查數(shù)據(jù)顯示：截至2006年底，中國(guó)網(wǎng)絡(luò)購(gòu)物市場(chǎng)總用戶數(shù)達(dá)到4310萬(wàn)人，B2C和C2C總交易額分別為82億元和230億元。然而，據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）的一份最新調(diào)研顯示，只有約15%的網(wǎng)民平時(shí)有網(wǎng)上購(gòu)物的習(xí)慣，而不選擇網(wǎng)絡(luò)購(gòu)物的原因主要由于對(duì)網(wǎng)站不信任、怕受騙，擔(dān)心商品質(zhì)量問(wèn)題和售后服務(wù)，質(zhì)疑其安全性等。

　　電子商務(wù)自從誕生之日起，安全問(wèn)題就像幽靈一樣如影隨形而至，成為制約其進(jìn)一步發(fā)展的重要瓶頸。電子商務(wù)系統(tǒng)的安全是與計(jì)算機(jī)安全尤其是計(jì)算機(jī)網(wǎng)絡(luò)安全密切相關(guān)的，綜合當(dāng)前電子商務(wù)所面臨的網(wǎng)絡(luò)安全現(xiàn)狀不容樂(lè)觀。公安部公布了2006年全國(guó)信息網(wǎng)絡(luò)安全調(diào)查結(jié)果，結(jié)果顯示，半數(shù)以上的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，病毒或木馬程序感染率達(dá)84%，目前，全國(guó)已有8成左右的單位安裝了防火墻和病毒查殺系統(tǒng)。對(duì)數(shù)據(jù)統(tǒng)計(jì)分析，2005年5月至2006年5月間，有54％的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，其中，感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序?yàn)?4%，遭到端口掃描或網(wǎng)絡(luò)攻擊的占36%，垃圾郵件占35%。未修補(bǔ)和防范軟件漏洞仍然是導(dǎo)致安全事件發(fā)生的最突出原因，占發(fā)生安全事件總數(shù)的73%。

　　二、電子商務(wù)安全威脅的主要方面

　　電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來(lái)傳輸和處理商業(yè)信息。因此，從整體而言，電子商務(wù)安全有計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全兩個(gè)方面。計(jì)算機(jī)網(wǎng)絡(luò)安全是商務(wù)交易安全的基礎(chǔ)；商務(wù)交易安全是電子商務(wù)安全的主要內(nèi)容。

　　計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容主要包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全。網(wǎng)絡(luò)設(shè)備安全是指保護(hù)計(jì)算機(jī)主機(jī)硬件和物理線路的安全，保證其自身的可靠性和為系統(tǒng)提供基本安全前提；設(shè)備安全風(fēng)險(xiǎn)來(lái)自硬件器件與部件失效、老化、損害，自然雷擊、靜電、電磁場(chǎng)干擾等多方面，有人為因素還有自然災(zāi)害所引起的故障。例如，2006年12月26日，我國(guó)臺(tái)灣附近海域發(fā)生強(qiáng)烈地震，造成中美海纜等６條國(guó)際海底通信光纜發(fā)生中斷，使附近國(guó)家和地區(qū)的國(guó)際和地區(qū)性通信受到嚴(yán)重影響，給有關(guān)企業(yè)和個(gè)人造成巨大影響和嚴(yán)重經(jīng)濟(jì)損失。網(wǎng)絡(luò)系統(tǒng)安全是指保護(hù)用戶計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)器等網(wǎng)絡(luò)資源上的軟件系統(tǒng)能正常工作，網(wǎng)絡(luò)通信及其網(wǎng)絡(luò)操作能安全、正常完成。網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)來(lái)自系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)缺陷、網(wǎng)絡(luò)安全配置缺陷、系統(tǒng)存在的安全漏洞、惡意的網(wǎng)絡(luò)攻擊和病毒侵入等多方面。網(wǎng)絡(luò)系統(tǒng)安全是計(jì)算機(jī)網(wǎng)絡(luò)安全的主要方面。計(jì)算機(jī)網(wǎng)絡(luò)安全的特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。

　　商務(wù)交易安全是指商務(wù)活動(dòng)在公開(kāi)網(wǎng)絡(luò)上進(jìn)行時(shí)的安全，其實(shí)質(zhì)是在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，保障商務(wù)過(guò)程順利進(jìn)行，即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性，核心內(nèi)容是電子商務(wù)信息的安全。一般情況下，我們可以把電子商務(wù)安全歸結(jié)為電子商務(wù)信息的安全。目前，電子商務(wù)主要存在的安全威脅有：

　　1.身份仿冒

　　攻擊者通過(guò)非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進(jìn)行交易，進(jìn)行信息欺詐與信息破壞，從而獲得非法利益。主要表現(xiàn)有：冒充他人身份、冒充他人消費(fèi)、栽贓、冒充主機(jī)欺騙合法主機(jī)及合法用戶、使用欺詐郵件和虛假網(wǎng)頁(yè)設(shè)計(jì)設(shè)騙。近年來(lái)隨著電子商務(wù)、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及，網(wǎng)絡(luò)仿冒已經(jīng)成為電子商務(wù)應(yīng)用的主要威脅之一。

　　2.未經(jīng)授權(quán)的訪問(wèn)

　　未經(jīng)授權(quán)而不能接入系統(tǒng)的人通過(guò)一定手段對(duì)認(rèn)證性進(jìn)行攻擊，假冒合法人接入系統(tǒng)，實(shí)現(xiàn)對(duì)文件進(jìn)行篡改、竊取機(jī)密信息、非法使用資源等。一般采取偽裝或利用系統(tǒng)的薄弱環(huán)節(jié)（如繞過(guò)檢測(cè)控制）、收集情報(bào)（如口令）等方式實(shí)現(xiàn)。

　　3.服務(wù)拒絕

　　攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。主要表現(xiàn)為散布虛假資訊，擾亂正常的資訊通道。包括：虛開(kāi)網(wǎng)站和商店、偽造用戶，對(duì)特定計(jì)算機(jī)大規(guī)模訪問(wèn)等，使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源，使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。

　　4.惡意程序侵入

　　任何系統(tǒng)都可能是有漏洞的，漏洞的存在給惡意程序侵入提供了可乘之機(jī)。惡意程序是所有含有特殊目的、非法進(jìn)入計(jì)算機(jī)系統(tǒng)、并待機(jī)運(yùn)行，能給系統(tǒng)或者網(wǎng)絡(luò)帶來(lái)嚴(yán)重干擾和破壞的程序的總稱。一般可以分為獨(dú)立運(yùn)行類(細(xì)菌和蠕蟲(chóng))和需要宿主類(病毒和特洛依木馬)。惡意程序是網(wǎng)絡(luò)安全的重要天敵，具有防不勝防的重大破壞性。例如：網(wǎng)絡(luò)蠕蟲(chóng)是一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序，蠕蟲(chóng)的不斷蛻變并在網(wǎng)絡(luò)上的傳播，可能導(dǎo)致網(wǎng)絡(luò)阻塞，致使網(wǎng)絡(luò)癱瘓，使各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效。

　　5.交易抵賴和修改

　　有些用戶企圖對(duì)自己在網(wǎng)絡(luò)上發(fā)出的有效交易信息刻意抵賴，安全的電子商務(wù)系統(tǒng)應(yīng)該有措施避免交易抵賴。為保證交易雙方的商業(yè)利益、維護(hù)交易的嚴(yán)肅和公正，電子商務(wù)的交易文件也應(yīng)該是不可修改的。

　　6．其他安全威脅

　　電子商務(wù)安全威脅種類繁多、來(lái)自各種可能的潛在方面，有蓄意而為的，也有無(wú)意造成的，例如電子交易衍生了一系列法律問(wèn)題：網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問(wèn)題，急需為電子商務(wù)提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導(dǎo)致泄露信息等均可構(gòu)成不同程度后果的威脅。

　　三、電子商務(wù)安全的技術(shù)保障機(jī)制

　　電子商務(wù)安全包括網(wǎng)絡(luò)安全和交易安全。因此，電子商務(wù)安全技術(shù)主要有計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)和商務(wù)交易安全技術(shù)兩方面的保障機(jī)制。

　　1.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

　　網(wǎng)絡(luò)安全技術(shù)伴隨著網(wǎng)絡(luò)的誕生就出現(xiàn)，如今已出現(xiàn)了日新月異的變化。VPN安全隧道、防火墻和網(wǎng)絡(luò)入侵主動(dòng)監(jiān)測(cè)等越來(lái)越高深復(fù)雜的安全技術(shù)極大地從不同層次加強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性。目前，主要的網(wǎng)絡(luò)安全保障技術(shù)有：

　　(1)VPN安全隧道，VPN即虛擬專用網(wǎng)(VirtualPrivateNetwork)，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN架構(gòu)中采用了多種安全機(jī)制，可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

　　(2)防火墻技術(shù)，防火墻是企業(yè)內(nèi)部網(wǎng)絡(luò)和外網(wǎng)之間的一套安全屏障。防火墻能根據(jù)企業(yè)的安全政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

　　(3)病毒防護(hù)和入侵檢測(cè)技術(shù)，病毒防護(hù)技術(shù)可降低病毒和惡意代碼攻擊風(fēng)險(xiǎn)，并防止有害軟件通過(guò)服務(wù)器或網(wǎng)絡(luò)執(zhí)行和傳播。入侵檢測(cè)系統(tǒng)則能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，擴(kuò)展系統(tǒng)管理員的安全管理能力，從而提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

　　2.商務(wù)交易安全技術(shù)

　　商務(wù)交易安全是為了實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。它是電子商務(wù)交易過(guò)程中最核心和最關(guān)鍵的安全問(wèn)題。目前，主要的商務(wù)交易安全保障技術(shù)有：

　　(1)數(shù)據(jù)加密技術(shù)，加密一般是利用密碼算法把可懂的信息變成不可懂的信息。利用各種復(fù)雜的加密算法，通過(guò)對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密，用很小的代價(jià)即可為信息提供相當(dāng)大的安全保護(hù)。

　　(2)數(shù)字簽名技術(shù)，數(shù)字簽名是通過(guò)密碼算法對(duì)數(shù)據(jù)進(jìn)行加、解密變換實(shí)現(xiàn)的。應(yīng)用廣泛的數(shù)字簽名方法主要有三種，即：RSA簽名、DSS簽名和Hash簽名。這三種算法可單獨(dú)使用，也可綜合在一起使用。在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中，都要用到數(shù)字簽名技術(shù)。

　　(3)安全協(xié)議技術(shù)，使用SET和SSI等安全協(xié)議能有效地保障交易安全。SET即安全電子交易（SecureElectronicTransaction）的簡(jiǎn)稱，SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，已成為目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。SSL即安全套接層（SecureSocketsLayer）協(xié)議的簡(jiǎn)稱，主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全系數(shù)。

　　四、結(jié)束語(yǔ)

　　電子商務(wù)的安全威脅既有來(lái)自惡意攻擊、防范疏漏，還可能來(lái)自管理松散、操作疏忽等方面。因此，保障電子商務(wù)安全是一項(xiàng)綜合工程。除了主要從技術(shù)上提高防范和保障機(jī)制外，還需要單位完善網(wǎng)絡(luò)系統(tǒng)管理體制，人員加強(qiáng)信息安全意識(shí)。另外，電子商務(wù)實(shí)踐要求有透明、和諧的交易秩序和環(huán)境保障，為此還需要政府建立和完善相應(yīng)的法律體系。