淺談電子商務(wù)信息安全問題與對策

申請免費試用、咨詢電話：400-8352-114

　　（中國電子商務(wù)研究中心訊）由于電子商務(wù)的開放性及其所基于的網(wǎng)絡(luò)全球性、無縫連通性、共享性、動態(tài)性的發(fā)展，使得電子商務(wù)的安全問題成為現(xiàn)今的聚焦中心，并制約著電子商務(wù)的進一步發(fā)展。所以，搭建一個安全可靠的商務(wù)平臺，成為電子商務(wù)發(fā)展的關(guān)鍵問題。電子商務(wù)技術(shù)的推廣，很大程度依賴信息安全技術(shù)的完善和提高。電子商務(wù)信息安全技術(shù)也隨之擺上了人們的重要議事日程。

　　一、電子商務(wù)信息安全的主要問題

　　電子商務(wù)主要依托Internet平臺完成交易過程中雙方的身份、資金等信息的傳輸。由于Internet的開放性、共享性、無縫連通性，安全問題是電子商務(wù)的主要技術(shù)問題，安全問題是商家和消費者以及銀行最關(guān)心的問題，主要面臨以下威脅：一是信息篡改，電子的交易信息在網(wǎng)絡(luò)傳輸過程中，信息可能會被人、被第三者非法篡改，導致信息失去了真實性和完整性。二是信息破壞，由于一些硬件和軟件問題或者是一些惡意病毒使一些信息遭到破壞。三是身份識別，若沒有身份識別，交易的一方就可以對交易內(nèi)容否認或者是欺詐，或者會有第三方來冒充交易的一方。四是信息泄密，即交易雙方進行交易的內(nèi)容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。

　　二、問題的成因分析

　　信息安全問題的出現(xiàn)，既有管理原因，也有技術(shù)原因，既有本身缺陷，也有外來因素所致，歸結(jié)起來，主要有以下四方面的原因：

　　1.電腦黑客

　　黑客對于系統(tǒng)和編程語言大多有著深刻的認識，它是指對于電腦系統(tǒng)的非法入侵者，他們對于網(wǎng)絡(luò)存在著一定程度的攻擊性，也進一步惡化了網(wǎng)絡(luò)環(huán)境。

　　2.計算機病毒

　　計算機病毒的主要危害在于激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用，占用磁盤空間和對信息的破壞，搶占系統(tǒng)資源，影響計算機運行速度，出現(xiàn)計算機病毒錯誤與不可預(yù)見的危害。人們不可能花費大量時間去分析數(shù)萬種病毒的錯誤所在，大量含有未知錯誤的病毒擴散傳播，其后果是難以預(yù)料的。計算機病毒的兼容性影響系統(tǒng)運行。兼容性是計算機軟件的一項重要指標，兼容性好的軟件可以在各種計算機環(huán)境下運行，反之兼容性差的軟件則對運行條件有限制，要求機型和操作系統(tǒng)版本等。病毒的編制者一般不會在各種計算機環(huán)境下對病毒進行測試，因此病毒的兼容性較差，常常導致死機，并且對用戶造成嚴重的心理壓力。

　　3.技術(shù)因素

　　網(wǎng)絡(luò)軟件設(shè)計時不可能完美無缺，總會出現(xiàn)一些缺陷和漏洞。這些漏洞和缺陷正是黑客進行攻擊的首選目標，而且目前還沒有一些技術(shù)能提前全部防范這些病毒和黑客。

　　4.管理因素

　　用戶安全意識淡薄、管理不善是當前存在的一個嚴重的問題。主要有以下三點：一是一些國家如中國缺乏強有力的權(quán)威管理機構(gòu)，網(wǎng)絡(luò)安全立法滯后，安全管理部門受人力、技術(shù)等條件的限制影響著安全管理措施的有效實施；二是缺乏安全審計，安全審計是把與安全相關(guān)的事件記錄到安全日志中，但是現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)大多數(shù)缺少安全審計，安全日志形同虛設(shè)；三是安全意識淡薄，人們對信息安全認識不夠，過分依賴信息安全產(chǎn)品，缺乏細致的內(nèi)部網(wǎng)絡(luò)管理機制，一些用戶警惕性不高，操作麻痹，甚至把自己賬號隨意交給他人。

　　三、常用網(wǎng)絡(luò)安全技術(shù)

　　1.反病毒軟件

　　反病毒軟件已成為人們抵御病毒進攻的有力武器。目前的反病毒軟件具有幾項技術(shù)特色。一是防火墻技術(shù)，其目的是保護內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊，及防止內(nèi)部網(wǎng)絡(luò)用戶向外泄密，為用戶提供一個實時監(jiān)控防止病毒發(fā)作的工具。它對用戶訪問的每一個文件進行病毒檢測，確認無毒后才會讓系統(tǒng)接管進行下一步的工作。目前，防火墻技術(shù)主要分為分組過濾和代理服務(wù)兩種類型。二是反病毒軟件在線升級的方式。三是統(tǒng)一的防病毒管理。四是嵌人式查毒技術(shù)的形成，它將殺毒引擎直接嵌掛到IE瀏覽器和流行辦公軟件組件當中，使其與可能發(fā)生病毒侵擾的應(yīng)用程序有機地結(jié)合為一體，在占用系統(tǒng)資源最小的情況下查殺病毒。

　　2.密碼技術(shù)

　　密碼技術(shù)包括加密和解密兩個方面。密碼技術(shù)可對信息進行加密解密處理，實現(xiàn)信息的安全，這兩者之間是密不可分的。加密是指采用數(shù)學方法對原始信息進行加工，使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對于非法接收者只是毫無意義的字符，對于合法的接收者，因其掌握正確的密鑰，可以通過解密得到原始內(nèi)容。密碼系統(tǒng)至少包含明文、密文、密碼技術(shù)，密鑰幾個部分。

　　3.入侵檢測技術(shù)

　　入侵檢測技術(shù)是對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和相應(yīng)處理的系統(tǒng)。入侵檢測技術(shù)針對包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為，是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

　　入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動，系統(tǒng)構(gòu)造和弱點的審計，識別反映已知進攻的活動模式并向相關(guān)人士報警，異常行為模式的統(tǒng)計分析，評估重要系統(tǒng)和數(shù)據(jù)文件的完整性，操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

　　4.虛擬專用網(wǎng)（VPN）技術(shù)

　　虛擬專用網(wǎng)（VPN）技術(shù)是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

　　四、提高電子商務(wù)信息安全的對策探討

　　1.開展網(wǎng)絡(luò)安全立法和執(zhí)法

　　網(wǎng)絡(luò)安全立法要吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進經(jīng)驗，結(jié)合我國國情對現(xiàn)行法律體系進行修改與補充，使法律體系更加科學和完善。要建立有利于信息安全案件訴訟與公、檢、法機關(guān)辦案的制度，提高執(zhí)法效率和質(zhì)量。要對違犯國家法律法規(guī)，對計算機信息存儲系統(tǒng)、應(yīng)用程序或傳輸?shù)臄?shù)據(jù)進行刪除、修改、增加、干擾的行為依法懲處。

　　2.提高網(wǎng)絡(luò)信息安全意識

　　以有效方式和途徑在全社會普及網(wǎng)絡(luò)安全知識，提高公民的網(wǎng)絡(luò)安全意識與自覺性，學會維護網(wǎng)絡(luò)安全的基本技能，并在思想上把信息資源共享與信息安全防護有機統(tǒng)一起來，樹立維護信息安全就是保生存、促發(fā)展的觀念。

　　3.加強網(wǎng)絡(luò)安全管理

　　建立信息安全領(lǐng)導機構(gòu)，有效統(tǒng)一、協(xié)調(diào)和研究未來趨勢，制定宏觀政策，實施重大決定。嚴格執(zhí)行《中華人民共和國計算機信息系統(tǒng)安全保護條例》與《計算機信息網(wǎng)絡(luò)安全保護管理辦法》，明確責任，規(guī)范崗位職責，制定有效防范措施，并且嚴把用戶入網(wǎng)關(guān)，合理設(shè)置訪問權(quán)限等。

　　4.加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)

　　加大對有良好基礎(chǔ)的科研教育基地的支持和投入，加強與國外的經(jīng)驗技術(shù)交流，及時掌握國際上最先進的安全防范手段和技術(shù)措施，確保在較高層次上處于主動，加強對內(nèi)部人員的網(wǎng)絡(luò)安全培訓，防止堡壘從內(nèi)部攻破，使高素質(zhì)的人才在高水平的教研環(huán)境中迅速成長和提高。

　　電子商務(wù)模式相對于傳統(tǒng)商務(wù)模式，具有便捷、高效的特點。電子商務(wù)信息安全問題有賴于對公鑰基礎(chǔ)設(shè)施PKI開發(fā)與應(yīng)用、支付協(xié)議、物流配送協(xié)議、XML和標準化等方面深入研究和完善。同時，還必須與完善的管理相結(jié)合，才能為用戶提供更為可靠的電子商務(wù)安全基礎(chǔ)，才能促進電子商務(wù)的良好發(fā)展與和應(yīng)用。