电子商务中信息安全问题

浅析电子商务中的信息安全问题

摘要：近年来，计算机网络及通讯技术的快速发展使电子商务的规模不断壮大。电子商务高效率、低成本的特性，为企业提供了丰富的商机和广阔的市场空间。同时，由于internet的开放性、共享性和其它各种因素的影响，在开展电子商务活动时，企业和个人的一些机密信息有可能会成为非法入侵者的攻击目标，造成隐私泄露、信息篡改等安全问题。本文主要针对电子商务信息安全要素和需求，信息安全隐患及电子商务信息安全的相关技术等问题进行了分析和阐述。

关键词：电子商务；信息安全；数字证书；防火墙技术

中图分类号：f062.5 文献标识码：a 文章编号：1001-828x（2012）05-0-02

一、电子商务信息的安全要素

(一)保密性

电子商务作为贸易的一种手段，其信息直接代表着个人或企业的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的，而电子商务是建立在一个较为开放的网络环境上，商业防泄密是电子商务全面推广应用的重要保障。

(二)完整性

与传统商务相比，电子商务环境下的贸易流程更加简化，信息处理的效率更高，但同时也带来维护商业信息的完整性的问题。由

于数据输入时的意外差错或欺诈行为，可能导致贸易数据的异常。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作，保证数据在传送的过程中完整性。

(三)可靠性

在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。而电子商务是在虚拟的无纸化的平台上进行的，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中利用数字手段为商务活动的参与者提供可靠的标识。

(四)有效性

贸易的过程中双方需要确定各种信息，而电子商务以电子形式取代了传统的纸张传递，在这个过程中有可能发生数据篡改、身份盗用、交易抵赖等问题，因此保证信息的有效性成为电子商务安全的关键因素。同时对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁也应加以控制和预防，以保证贸易数据在确定的时间和地点是有效的。

二、电子商务安全中存在的问题

(一)计算机网络的安全

电子商务是实现整个贸易过程中各阶段贸易活动的电子化，一个安全的计算机网络环境，直接决定了电子商务的顺利实施和贸易

信息的可靠传递。电子商务活动中的网络安全问题主要包括以下几个方面：

1.安全协议有待完善。安全协议是保障网络信息安全传输的规则和标准，它规定了信息交流的各项准则，并能够保证参与信息交换的各方都遵守该协议。目前全球性的电子商务安全协议还较为有限，相对制约了国际性的商务活动。此外，一些安全协议还存在漏洞和隐患，为网络攻击提供了可乘之机。

2.信息安全存在风险。非法用户在网络的传输上，通过不正当手段，非法拦截通信数据获得合法用户的有效信息，最终导致合法用户的一些核心业务数据泄密或者是非法用户对截获的网络数据进行一些恶意篡改，从而使信息失去真实性和完整性，导致合法用户无法正常交易。

3.病毒防范需要加强。电脑病毒具有快速复制、短小灵活以及迅速变种的特点。互联网的出现又为病毒的传播提供了便利的渠道，很多病毒直接通过网络传播，为网络用户和电子商务的参与者带来安全威胁，商业竞争中的黑客攻击也为企业和个人带来严重的经济损失。

4.服务器的安全隐患。服务器是电子商务活动的关键，其数据库中包括了商家和顾客的相关信息，并且还可能存有企业的敏感信息，如价格、成本、产品方案与营销策略等，所以服务器特别容易受到安全的威胁，如果服务器出现安全问题，造成核心数据泄密，将会给企业和顾客带来严重的后果。

(二)电子商务交易的安全

1.身份存在不确定性。由于电子商务的实现需要借助于虚拟的网络平台，在这个平台上交易双方是不需要见面的，因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段窃取合法用户的身份信息，仿冒合法用户的身份与他人进行交易，欺诈或破坏，从而获得非法利益。

2.交易中的抵赖行为。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。这就需要一套安全机制解决交易双方的纠纷，并进行公证、仲裁和监督。

3.交易信息的非法修改。交易文件是不可修改的，否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改，以保证商务交易的有效和公正。

4.其他交易安全问题。电子商务安全威胁种类繁多、来自各种可能的潜在方面，有蓄意而为的，也有无意造成的，例如电子交易衍生的法律问题，还有诸如非法使用、操作人员不慎泄露信息等均可构成不同程度的威胁。

三、电子商务信息安全的保障措施

(一)数据加密策略

加密技术是电子商务的最基本措施，最初主要用与保证数据在存储和传输过程中的保密性。随着电子商务的发展，对数据完整性以及身份鉴定技术提出了新的要求，数字加密、签名和身份认证就

是为了适应这种需要而产生的。加密技术是一种主动的信息安全防范策略，利用一定的加密算法，将明文转换成毫无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。比较广泛使用的加密技术有两种：一是对称密钥加密体制，一是非对称密钥加密体制。

1.对称密钥加密体制。对称密钥加密，又称私钥加密，即数据加密和解密采用的都是同一个密钥，因而其安全性依赖于密钥本身的安全性，其最大的优点是速度快，适合于对大数据量进行加密，但其最大的缺点是密钥的管理较为复杂，而且无法完成身份认证等功能，不便于应用在开放的网络环境中。

2.非对称密钥加密体制。非对称密钥加密体制，又称公钥加密，数据加密和解密采用不同的密钥。其中的公开密钥也称加密密钥，用于对数据进行加密，通过非保密方式向他人公开。而另一把则作为私用密钥加以保存，私用密钥只能由数据的接收方掌握。当发送加密信息时，发送方用接收方的公钥对信息加密，接收方用自己的私钥对信息解密。这种方式能够对双方的身份进行验证，也为密钥的管理提供了安全便利。

(二)防火墙技术

防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被非法入侵。本质上，它遵循的是一种允许或阻止数据业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。现有的防火墙技