电子商务安全与防范

电子商务安全与防范

摘要：通过对电子商务领域存在的安全问题的剖析，分析与电子商务有关的安全威胁、安全要求以及安全标准等，通过查阅相关文献，总结出如何解决电子商务的安全问题，从安全技术、法律政策保障和管理制度等方面着手对国家、企业以及个人多角度提出相关建议，来保证电子商务健康持续稳定的发展。

关键词：电子商务；威胁；安全要素；防范措施；安全技术；法律保障

一、背景

电子商务即EC(Electronic Commerce)，简单讲就是利用先进的电子技术进行商务活动的总称。现代电子商务是基于Internet技术的新型的商务活动，是21世纪市场经济商务运行的主要模式。Internet具有全球性、开放性、不受时间和空间限制的特点，给电子商务带来种种便利的同时，也带来了种种不安全因素。所以实现电子商务的关键是要保证电子商务过程中系统的安全性，即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。显而易见，研究如何在电子商务过程中保护交易双方安全的问题就变得非常的重要了。

二、安全问题

（一）面临的主要威胁

电子商务面临的主要威胁包括：系统的中断、信息的截获和窃取、信息的篡改、信息的伪造以及信息抵赖。

1、系统的中断：是针对可用性进行的攻击。在此过程中，系统资源变得易损失、不可得或不可用。造成原因有网络故障、操作错误、应用程序错误、硬件故障、系统软件错误以及计算机病毒等恶意攻击。

2、信息的截获和窃取：是针对机密性进行的攻击。是指某些非授权实体获得对资源的存取权。该威胁会造成账号、密码或商业机密泄露等问题。

3、信息的篡改：是针对完整性进行的攻击。具体包括篡改、插入和删除，即对原有信息进行非法操作，破坏其完整性。

4、信息的伪造：是针对身份认证机制进行的攻击。有效身份认证是电子商务交易顺利进行的关键。

5、交易抵赖：当贸易一方发现交易行为对自己不利或当利益刺激到一定程度时，就有可能否认电子交易行为。

（二）安全要素

针对电子商务在当前面临的主要威胁，权威机构提出了电子商务安全的基本要素，即机密性、完整性、可用性、可认证性和抗抵赖性。

1、机密性是指保证信息为授权者想用而不泄露给未授权者。

2、完整性是指保证只有被授权的各方能够修改计算机系统的有价值的内容和传输的信息，修改包括对信息的写、改变状态、删除、创建、时延和重放。

3、可用性是指保证信息和信息系统随时为授权者提供服务，而不会出现非授权者滥用却对授权者拒

绝服务的情况。

4、可认证性是指提供对通信中对等实体和数据来源的鉴别。

5、抗抵赖性是指防止参与某与通信交换的任何一方事后否认本次通信或通信的内容。

（三）安全构架

电子商务的发展是技术发展的体现，是人类需求多样化的体现。确保电子商务的健康持续发展，需要一套完整的电子商务安全框架，来保证各个环节的安全稳定。电子商务安全涉及到人、过程和技术3种因素，包括保护、检测、反应、恢复4个环节。

在电子商务涉及的3种因素中，人和过程的因素是与管理相关的，所以这三种因素又可分为管理和技术两个层面。正如人们常说的：信息系统的安全，三分靠技术，七分靠管理。所以在日常的电子商务系统运转、业务开展过程中，不仅要注重技术的因素，也要注重人、过程等因素。

在电子商务安全涉及的4个环节中，保护是指采用一些网络安全产品、工具和技术保护网络系统、数据和用户。检测是指实时监控系统的安全状态。反应是指当攻击发生时，系统能及时的做出响应，防止攻击进一步的发生，使安全事件的影响降至最小范围。恢复是指当入侵发生，对系统已经造成一定的破坏后，采用一套机制进行及时的恢复系统的工作。

（四）安全标准

既然在全球范围内进行电子商务，那么制定并遵守一些相关协议就显得极其重要了，就目前而言，在电子商务领域的主要的协议有：

1、安全套接字层（SSL）

该协议为基于TCP/IP的客户/服务器应用程序提供了客户端和服务端的鉴别、数据完整性和信息机密性等安全措施，该协议主要使用公开密钥体制和X.509数字证书技术。在电子交易中被用来安全传送信用卡号码。但是它是一个面向连接的协议，只能提供交易中客户与服务器间的双方认证，而电子商务往往是由用户、网站、银行三家协作完成, SSL协议并不能协调各方间的安全传输和信任关系。

2、安全电子交易规范（SET）

该协议为基于信用卡进行电子化交易的应用提供了实现安全措施的规则。主要应用于保障网上购物信息的安全性。由于它提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，具有保证不将消费者银行卡号暴露给商家等优点，但也无法解决电子商务中所有的问题。

三、防范措施

要保证电子商务能够顺利的展开，必须充分考虑各种因素以及解决问题的多项可行性对策，而考虑到电子商务涉及到人、过程和技术三个因素，所以针对电子商务面临的安全问题，我们的对策主要从以下个方面进行：（1）安全技术（2）法律保障与政策（3）管理制度

（一）安全技术

1、访问控制

访问控制是指对网络中的某些资源的访问进行控制，只有被授权的用户才有资格并有可能去访问有关

的数据或程序。它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有：入网访问控制，网络的权限控制，目录级安全控制，防火墙控制，网络服务器控制，网络监测和锁定控制等。

2、加密技术

加密技术是认证技术及其他许多安全技术的基础。加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制。分别采用对称加密(私人密钥加密)和非对称加密(公开密钥加密)技术。对称加密以DES算法为典型代表，非对称加密通常以RSA算法为代表。

3、防火墙技术

防火墙就是一个受到保护联接到互联网上的计算机免受入侵的硬件或软件程序。防火墙可以过滤进出网站的信息，确保其符合一定标准，否则就不允许其进入网络，从而达到保护高安全等级的子网、防止墙外黑客的攻击、限制入侵蔓延等目的。但是，防火墙不能阻止来自用户网络内部的攻击。

4、入侵检测技术

入侵检测是通过监控网络与系统的状态、行为以及系统的使用情况，来检测用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图，在发现入侵后，及时采取相应的措施来阻止入侵活动的进一步破坏，包括切断网络连接、记录事件和报警等。入侵检测不仅可以检测外部入侵，而且对内部的滥用行为也有很好的检测能力。

5、虚拟专用网（VPN）

虚拟专用网技术是一种在公用互联网络上构造专用网络的技术。将物理上分布在不同地点的专用网络，通过公共网络构造成逻辑上的虚拟子网，进行安全的通信。通过“通道”或“数据封装”，用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。VPN可以在你与商业合作伙伴或者顾客之间架设一条安全的网络“隧道”，不仅实施方便，且费用也较低。

6、认证技术

认证技术提供了一种安全可靠的验证交易各方身份真实性的验证机制。安全认证技术主要有:(1)数字摘要技术，通过验证收到的明文是否被篡改来保证数据的完整性和有效性。(2)数字签名技术，能实现对

原始报文的鉴别和不可否认性，同时还能阻止伪造签名。(3)数字时间戳技术，用于提供电子文件发表时

间的安全保护。(4)数字凭证技术，又称为数字证书，负责用电子手段来证实用户的身份和对网络资源访

问的权限。(5)认证中心，负责审核用户的真实身份并对此提供证明，从而缓解了可信第三方的系统瓶颈

问题。

7、防范病毒与蠕虫

病毒和蠕虫是电子商务企业面临的一个很重要的安全威胁。防范病毒要遵循以下原则:不使用.doc尽量使用RTF复文本格式保存文档；不使用.xls而用CSV保存excel文件；及时杀毒；定期备份文件；使用邮件查毒工具；阻止接收和发送可执行代码；谨慎对待垃圾邮件；使用物理上隔离开的PC访问网络；不

使用杂志封面上附带的光盘。另介绍两个有关防病毒知识的网站： 和www.interpol.int （二）法律保障与政策

因为电子商务的交易涉及到商户、银行、电信、公证和消费者多方的利益，而在全球，尤其是在我国，