浅谈电子商务的安全性)

浅谈电子商务的安全性

摘要：本文开始介绍了电子商务的发展趋势，并由此引出电子商务中存在的安全性问题，接着对电子商务的信息安全问题进行探讨，分析了信息安全的基本原理并对信息安全技术初步研究。

关键词：电子商务信息安全安全技术

一、引言

随着社会信息化步伐的加快，利用计算机技术、网络通信技术和英特网实现商务活动的国际化、信息化和无纸化，已成为全球商务发展的趋势。电子商务以英特网为基础，可以提供跨国、多种语言、多种货币的在线服务(包括银行、保险、旅游、购物)，还可以提供包括产品寻求、讨价还价、作出决定、支付、送货及解决纠纷等全面的商业交易服务。特别是信息产品还可以直接在线递送，从而大大降低了交易费用。成本低、及时性和互通性好，以及在拓展市场等方面的优势，使得电子商务受到全球的广泛关注。据统计，1997年美国企业间通过电子商务的交易额已达80亿美元，估计到2000年在英特网上，公司对公司的交易额将增长到1340亿美元，消费者购物将增长到100亿美元，到2001年电子商务的交易额将达到3270亿美元，其增长速度惊人地高达4000%。在我国，电子商务的发展速度也较快，深圳CHINAEDI是统一规划和建设的庞大的公用电子商务系统，在北京、上海、天津、广州、深圳、青岛、沈阳、南京、杭州、西安、武汉、海口、郑州13个城市也都建了CHINAEDI 的节点，系统服务覆盖全国各地，并且与国际EDI网络相连接。网上银行也正在开通之中。电子商务不仅提供了进行商务活动的新方式，而且从更深的层面来看，由于通过它形成了与地域、空间无关的一体化市场，因而正在改变着全球的经济环境。

但是，当今电子商务在全球贸易额中仍是极小的一部分。比如，1997年美国的整个贸易交易额为25200亿美元，所以80亿美元的电子商务显得微不足道，即使是2001年的电子商务估计贸易额3270亿美元也不到1997年美国两个月的贸易交易额。这是什么原因呢?也许人们会将这一事实归因于全球网络化水平较低，但这只是部分原因。从网络化水平相当高的美国来看，事实上仍有大多数网络化水平很高的公司并未使用电子商务这种新的商业方式。

人们不禁要问，是什么因素阻碍了电子商务更广泛的普及呢?为此，不少调查机构进行了广泛的调查。众多的调查都发现，一个主要的障碍就是电子商务的安全问题。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示，超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。的确，由于英特网的全球性、开放性、无缝连通性、共享性、动态性发展，使得任何人都可以自由地接入英特网，特别是“黑客”们可能会采用各种攻击手段进行破坏等犯罪活动。此外，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。另外，“黑客”的犯罪行为大都具有瞬时性、广域性、专业性、时空分离性等特点。通常“黑客”很难留下犯罪证据，这大大刺激了“黑客”们以身试法。可见，以英特网为基础的电子商务所带来的安全问题远比传统商务的安全问题复杂得多。因此，我国在建立电子商务应用系统时，必须将安全作为一个重要方面来加以考虑。

二、电子商务概况

目前尚未有一个关于电子商务的准确定义。广义地讲，电子商务是指在计算机与通信网络基础上，利用电子工具实现商业交换和商业作业活动的全过程。一般情况下，电子商务主要是指将购物和商业谈判等传统商务活动的网络化。直观地看，电子商务就是将传统商务移

植到信息网络上。与传统商务相似，电子商务为销售者和消费者建立交易关系，使他们能商谈和进行交易。电子商务应对所有用户都是开放的，且至少应像传统商务那样方便、可靠和安全。早在80年代后期和90年代初期，电子商务就以建立在专用网络基础上的EDI形式出现，当时主要解决企业间的商务活动。90年代中期，基于英特网的电子商务成为主流。它利用TCP/IP公众网络和技术进行在线交易和商业作业，涉及的对象包括：金融机构、商家、生产企业，网络服务提供商家、个人用户、政府部门和事业单位等。

电子商务业务可以分为两大类：非支付型业务和支付型业务。前者包括税务申报、电子选举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务、代缴代付业务、银证转账业务、银企转账业务、电子证券业务、网上购物业务等。消费者企业FY(NFY)政府消费者FY(NFY)政府。二、电子商务的安全需求从安全和信任关系来看，在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，彼此远隔千山万水，由于英特网既不安全，也不可信，因而建立交

易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。

1．对销售者而言，他面临的安全威胁主要有：（1）中央系统安全性被破坏：入侵者假冒成合法用户来改变用户数据(如商品送达地方)、解除用户订单或生成虚假订单。（2）竞争者检索商品递送状况：恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况及货物和库存情况。（3）客户资料被竞争者获悉。（4）被他人假冒而损害公司的信誉：不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。（5）消费者提交订单后不付款。6）虚假订单。（7）获取他人的机密数据：比如，某人想要了解另一人在销售商处的信誉时，他以另一人的名字向销售商订购昂贵的商品，然后观察销售商的行动。假如销售商认可该定单，则说明被观察的信誉高，否则，则说明被观察者的信誉不高。

2．对消费者而言，他面临的安全威胁主要有：（1）虚假订单：一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时客户却被要求付款或返还商品。（2）付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将定单和钱转发给执行部门，因而使客户不能收到商品。（3）机密性丧失：客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃听（4）拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源，从而使合法用户不能得到正常的服务。

由此可见，“黑客”们攻击电子商务系统的手段可以大致有以下几种：

一是中断(攻击破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作。二是窃听(攻击系统的机密性)：通过搭线和电磁泄漏等手段造成泄密，或对业务流量进行

分析，获取有用情报。

三是窜改(攻击系统的完整性)：窜改系统中数据内容，修正消息次序、时间(延时和重放)。

四是伪造(攻击系统的真实性)：将伪造的假消息注入系统、假冒合法人接入系统、重放

截获的合法消息实现非法目的，否认消息的接收或发送等。

综合而言，电子商务系统的安全性要求可归纳为：

1.信息保密性：维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中，要预防非法信息存取和信息传输中被窃现象发生。