电子商务安全性分析与解决办法

电子商务安全性分析与解决办法

——从用户安全意识角度出发[摘要]如今，解决电子商务问题的方法主要是技术措施。然而，调查表明用户安全意识匮乏，有必要向用户宣传普及各种应用场景下的信息安全知识。

[关键词]电子商务智能手机用户安全意识

1引言

如今，电子商务蓬勃发展，中国电子商务研究中心数据显示，截至2012年底，中国电子商务市场交易规模达7.85万亿，同比增长30.83%，按2012年的数据计算，电子商务占GDP的比重已经高达15%，成为经济发展新引擎。[1]电子商务搭建的交易平台，使最普通的一家街边小店都能接入互联网提供服务，使最平凡的每一个顾客都能成为电子支付产品的用户。但是，这也意味着买卖双方的电子商务安全意识不高。

2018年6月，在重庆沙坪坝的一家小吃店内，一名顾客用微信支付截屏吃了一个月的霸王餐。直到老板的女儿觉得不对劲，进行了查账，才揪出了这名顾客。最终在民警的监督下，顾客赔偿了店家300元。[2]

此外，在移动互联网时代，智能手机已经成为了电子商务最重要的载体。据统计，截至2016 年，手机网上支付打到了4.69亿人，年增长率为31,2%[3]然而，在2017年的《2017年中国Android手机隐私安全报告》中显示，APP 越界获取的各种隐私权限问题仍然非常严重。[4]此外，中国互联网络信息中心调查发现，近一半手机用户对于公共WiFi、二维码等手机安全风险缺乏基本的安全防范意识，有必要向手机用户宣传普及各种应用场景下的信息安全知识。[5]

2现有的技术措施[6]

交易安全技术是针对电子商务的安全问题而设计的一套安全技术，目的是在计算机网络安全的基础上确保电子商务过程的顺利进行。先采用采用的交易安全技术主要有加密技术、安全认证技术、交易协议技术。

加密技术是电子商务最基本的安全措施。现有

（1）对称密钥加密：对称加密采用相同的加密算法, 并只交换共享的专用密钥(加密和解密都使用相同的密钥)。

（2）非对称密钥加密：不同于对称加密, 非对称加密的密钥被分解为公开密钥和私有密钥。公开密钥和私有密钥构成一个密钥对, 密钥对生成后,公开密钥以非保密方式对外公开, 私有密钥则保存在密钥发布者手里。

安全认证技术则有

（1）报文摘要：报文摘要又称消息摘要, 是通过使用单向哈希(Hash)函数将需要加密的明文“摘要”成一个固定长度(如:128bit)的密文。不同的明文加密成不同的密文, 对明文的微小改动都会造成消息摘要的完全不同;相同的明文其消息摘要必然一样。这样,报文摘要便可成为验证明文是否是真实可靠。

（2）数字签名：把散列函数和公开密钥算法结合起来, 发送方从报文文本中生成一个散列值, 并用自己的私有密钥对这个散列值进行加密, 形成发送方的数字签名, 然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值, 接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同, 那么接收方就能确认该数字签名是发送方的。

（3）数字证书：数字证书用电子手段来标识一个用户的身份。电子商务涉及加解密问题, 必然要用到密钥。密钥的管理对策是采用数字证书。数字证书与传送密钥和签名密钥对的产生相对应。对每一个公钥做一张数字证书, 私钥用最安全的方式交给用户或由用户自己

生产密钥对。数字证书的内容包括用户的公钥、用户姓名、发证机构的数字签名及用户的其他信息。公钥的拥有者是身份的象征。对方可以据此验证身份。

（4）数字信封：数字信封又称为数字封套, 主要的目的是保证数据的机密性。SET协议把对称密钥体制和公开密钥体制完美地结合在一起, 充分利用了DES效率高速度快和RSA 安全性高且密钥管理简便的优点。在SET中, 当要将数据机密地传递时, 发送者首先使用随机产生的DES对称密钥来加密要发送的消息。然后, 将此DES对称密钥用接收者的公钥加密, 形成消息的“数字信封”, 将其和采用对称密钥加密的消息一起发送给接收者。

3用户意识问题

与丰富的技术措施相比，用户意识十分匮乏。

用户对官方应用商店的软件没有警惕心。调查发现，官方应用商店提供的应用程序为大多数智能手机用户所信任。71% 的用户认为从官方应用商店中获取的应用程序是安全的，仅有29% 的用户认为不安全。很多用户没有意识到忽略对官方应用程序的警惕会泄露个人信息。官方应用商店中的应用程序申请过多和自身功能不相关的权限，可能导致个人信息泄露的问题。[7]

部分用户认为安全软件不重要。调查发现，大部分用户意识到安装安全软件的重要性。当被问及“您是否认为在智能手机上安装安全软件很重要”时，82%的用户认为安装安全软件很重要，18%的用户认为安全软件不重要。与此同时，52%的受访者在他们的智能手机中安装了杀毒软件。48%的受访者没有安装杀毒软件。[8]

用户对软件的授权不谨慎。当下载的应用程序要求获得访问手机中的相册、通讯录等信息的权限时，19% 的用户会经常授予应用程序所要求的权限，56%的用户偶尔授予其访问权限，只有25%的用户会直接取消下载。[9]

过半用户安装过未知来源的软件。调查发现，7%的用户经常安装未知来源的应用程序，52% 的用户偶尔会安装未知来源的应用程序，41%的用户则从来不安装未知来源的应用程序。超过一半以上的用户下载应用程序的行为习惯存在安全隐患。[10]

仅有两成用户有注销登录的意识。。调查显示，20% 的用户会经常注销登录的账号，45%的用户偶尔会退出当前登录的账号，34% 的用户则从来不退出账号。[11]

近半用户点击过未知链接。5%的用户经常点击未知链接，38% 的用户偶尔会点击不安全链接，57%的用户则从来不点击未知链接。因此，用户要提高信息安全意识，对于不明信息和链接不要随意打开，以防木马病毒的植入。[12]

4结语

在电子商务盛行的今天，存在着各式各样的电子商务安全问题。大多数解决方式都是从技术手段出发，并且已经形成了体系。然而，应当引起我们重视的是用户意识严重缺乏。所以我们应当从两个方面出发，形成技术手段与教育手段并重的方式，这样才能更好地解决电子商务安全问题，尤其是以非技术手段的诈骗等电子商务安全问题。

[参考文献]

[1]中国互联网信息中心_中国：电子商务占GDP比重已达15% 2017-03-13 15:01:17.0

[2]东方头条_你上过当吗？海口多次出现手机移动支付吃“霸王餐”的套路

[3]360社区_2017年中国手机安全风险报告

[4] 2017年中国Android手机隐私安全报告

[5]中国互联网络信息中心_ 2015 年中国手机网民网络安全状况报告

[6]张旭珍等:电子商务安全技术的研究汇总

[7]王勇，廖志孟，夏聪颖. 智能手机的信息安全问题探讨［J］. 科技广场

[8][9][10][11][12]数据均来自智能手机用户信息安全意识与行为研究_张晓娟