现代电子商务中网上交易的安全危机和防范措施

现代电子商务中网上交易的安全危机和防范措施

江怿彬

[摘要]在二十一世纪中，电子商务已经成为一切经济活动不可或缺的组成元素，成为推动企业发展的核心力量，它的地位和作用已经很难撼动，但安全问题始终是影响电子商务发展的瓶颈。大量的事实证明，要保证电子商务的顺利发展，就必须高度重视安全问题。本文首先介绍了电子商务安全问题的构成和基本需求；其次说明了目前电子商务中存在的安全问题，并分析其产生原因；最后针对其原因提出了防治措施。

［关键词］电子商务网上交易安全问题防范措施案例分析

电子商务从20世纪90年代中期诞生以来，已经走过了十年的发展历程。十年来，安全问题始终是影响其发展的一个瓶颈。可以说，电子商务安全是电子商务顺利发展的一个关键，也是一个难点。一、电子商务安全的构成及其基本需求

在网上进行电子商务的活动过程是这样的：用户通过浏览器发出消息，该消息经过Internet到达Web服务器，再由Web服务器调用CGI等程序访问数据库，返回用户请求的消息给Web服务器，最后通过Internet传给用户。在这个过程中我们可以看到，要实现电子商务安全，应该从计算机信息系统安全着手。

（一）电子商务系统安全的构成

电子商务系统，从某种意义上说，就是一种计算机信息系统。计算机信息系统就是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。电子商务系统的安全就是由系统实体安全、系统运行安全和系统信息安全这三个部分来组成的。

（二）信息安全

信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨认、控制。它是由七个部分组成：

（1）操作系统安全。是指要对电子商务系统的硬件和软件资源实行有效控制，为所管理的资源提供相应的安全保护。

（2）数据库安全。是指对数据库系统所管理的数据和资源提供保护，一般采用多种安全机制与操作系统相结合，来实现数据库的安全保护。

（3）网络安全。是指提供访问网络资源或使用网络服务的安全保护。即通过采用各种技术和管理措施，使网络正常运行，确保网络中数据的可用性、完整性和保密性。

（4）计算机病毒防护。是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。信息安全中计算机病毒的防护，即通过建立系统保护机制，来预防、检测和清除病毒。

（5）访问控制。指对主体访问客体的权限或能力的限制，以及限制进入物理区域和限制使用计算机系统和计算机存储数据的过程。信息安全中的访问控制，是保证系统外部用户或内部用户对系统资源的访问以及对敏感信息访问方式符合组织安全策略。

（6）加密。信息安全中的加密主要涉及数据的加密和密钥的管理。

（7）鉴别。主要提供身份鉴别和信息鉴别。身份鉴别是提供对信息收发方真实身份的鉴别。信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。

（三）电子商务安全的需求

针对电子商务中存在的安全问题，我们提出了电子商务安全的需求：只有提供了保密性、完整性、认证性、可控性和不可否认性这五个方面的安全性，才能满足电子商务安全的需求。

1、保密性。保密性是保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。

2、完整性。完整性是防止信息在传输过程中丢失和重复及非法用户对信息的恶意篡改。

3、认证性。认证性是确保交易信息的真实性和交易双方身份的合法性。

4、可控性。可控性是指保证系统、数据和服务能由合法人员访问。

5、不可否认性。不可否认性指的是有效防止通信或交易双方对已进行的业务的否认。

二、电子商务存在的安全问题及其产生的原因

电子商务交易主要有三个重要环节：一是提供电子商务的企业内部网络，二是交易平台，三是平台用户。在整个运作过程中，会面临各种安全问题。分析电子商务的安全问题，就要依据实际考察结果，确定各种可能出现的安全问题，分析其原因和不同程度的危害性，找出电子商务中潜在的安全隐患和安全漏洞，从而有针对性地运用相关的电子商务安全技术来加以控制和管理。

（一）电子商务的安全问题

典型的电子商务安全问题包括：安全漏洞、病毒感染、黑客攻击、网络仿冒以及来自其他方面的各种不可预测的风险。

1、安全漏洞

在近几年来，计算机系统的安全漏洞越来越多。安全漏洞的大量存在，使得目前电子商务的安全形势趋于严峻。例如：Windows惊现高危漏洞，新图片病毒能攻击所有用户。该漏洞可能发生在所有的Windows操作系统上，如IE浏览器、Office软件等，在用户浏览特定的JPG格式图片时，会导致缓冲区溢出，进而执行病毒攻击代码，包括格式化硬盘、删除文件等。

2、病毒感染

主要就是蠕虫等病毒在网上的猖獗传播，蠕虫主要是利用系统的漏洞进行自动传播复制，由于传播

过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪，这对依赖于网络的电子商务是一个严重的威胁。

3、黑客攻击

黑客攻击主要表现在网页篡改和僵尸网络两个方面。例如，从2001年日本首相小泉纯一郎参拜靖国神社以来，该神社的网页就断断续续遭到黑客的攻击，有时一分钟内就遭到90万次围攻。僵尸网络通常是指可以自动地执行定义的功能，可以被预定义的命令控制，具有一定人工智能的程序。它可以通过溢出漏洞攻击、蠕虫邮件、网络共享、口令猜测、P2P软件等途径进入用户主机。一旦用户主机被植入代码，就主动和互联网上的一台或多台控制节点取得联系，进而自动接收黑客通过这些控制点发送的控制命令，这些受害主机和控制服务器就组成了僵尸网络。

4、网络仿冒

网络仿冒也称为网络欺诈、网络仿冒或者是网络钓鱼。它通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息，如银行帐户和口令等。甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段给用户计算机植入木马来直接骗取个人信息。

（二）触发电子商务安全问题的原因

从上面的安全问题中我们可以看出，只要有网络的存在，安全问题就不容忽视。它不仅影响了网络业务的正常运转，扰乱了网络秩序，还会造成许多直接或者间接的经济损失。为了尽可能避免安全损失，首先要了解造成这些问题的症结所在。概括起来有两个方面：先天原因和后天原因。

1、先天原因

电子商务的实现依赖于网络，又是在网络发展过程中发展起来的，但当初在建立网络时仅考虑到网络会不会因为局部故障而影响信息的传输这个问题，并没有预计和顾及到电子商务的安全正因为网络的全球性、开放性和共享性才使得电子商务过程中传输的信息安全存在先天不足，黑客们才有了利用公共的网络环境传播各种病毒。

2、后天原因

它又可以细分为管理、人和技术三方面。首先是管理上的欠缺，现代化的企业信息建设强调七分管理三分技术，在电子商务安全中也不例外。但是目前从事电子商务的企业多数都欠缺管理，由于拒绝服务攻击在目前还没有十分有效的技术解决方案，所以特别强调安全管理的重要性，但实际上却没有几家网站事先做好了管理准备。其次是黑客的攻击，由于目前还缺乏对网络犯罪有效的反击和跟踪手段，黑客对网站恶意攻击同样是威胁电子商务安全的一个原因。大量的网页被篡改事件实际上都是黑客发泄情感的结果。当然有些国家或者企业也会故意攻击网站，以触发安全问题用来研究新的安全防范措施。最后是软件的漏洞，很多已经开发出来的软件会存在各种各样的漏洞，这就给了攻击者可乘之机，通过这些软件的漏洞，黑客可以编写代码传播病毒等。同时软件开发人员为了方便，通常也会在软件里留下“后门”，这也是导致安全问题的一个原因。