摘 要: 隨著Internet、計算機技術、網絡技術的發展，出現了一種新興的商務模式—電子商務。隨著電子商務的飛速發展，安全成為制約其發展的關鍵.本文在簡單介紹了電子商務的現狀、安全隱患及安全技術措施，其中重點探討電子商務的交易安全及網絡安全問題及相應的解決措施。

關鍵詞:電子商務 安全 密碼 數字簽名 協議 網絡安全 交易安全

電子商務是指政府、企業和個人利用現代電子計算機與網絡技術實現商業交換和行政管理的全過程；它是一種基于互聯網，以交易雙方為主體，以銀行電子支付和結算為手段，以客戶數據為依托的全新商務模式。本質是建立一種全社會的“網絡計算環境”或“數字化神經系統”，以實現信息資源在國民經濟和大眾生活中的全方位應用。

一、從安全上看，電子商務的現狀

1.網絡信息安全在全球還沒有形成一個完整的體系，我國也不例外。

2.安全技術的強度普遍不夠。國外有關電子商務的安全技術，雖然其結構或加密技術等都不錯，但受到了外國密碼政策的限制，因此強度普遍不夠。

3.電子商務網站的安全管理存在很大隱患，普遍難以經受黑客的攻擊。

4.電子商務僅僅局限于商務信息領域而沒有深入真正的電子商務領域，這些因素的存在必將影響我國電子商務進一步的發展。

二、電子商務安全性要求

從傳統商業與電子商務的不同特點來看，要滿足電子商務的安全性要求，至少要有下面幾個問題需要解決：

1.交易前交易雙方身份的認證問題。電子商務是建立在互聯網絡平臺上的虛擬空間中的商務活動，交易的雙方只能通過數據、符號、信號等進行判斷、選擇，具體的商業行為也依靠電子信號和數據的交流，交易的當事人再也無法用傳統商務中的方法來保障交易的安全。

2.交易中電子合同的法律效力問題以及完整性保密性問題。

3.交易后電子記錄的證據力問題。在英美法系，傳聞證據規則限制了電子記錄的證據力。在我國，訴訟法中并未對電子記錄的證據力作出明確規定，甚至也沒有將其單列出來作為證據的一種。

三、網絡安全技術及解決思路

計算機網絡安全的特征是針對計算機網絡本身可能存在的安全問題，實施網絡安全增強方案，以保證計算機網絡自身的安全性為目標。其問題有：

1.未進行操作系統相關安全配置。不論采用什么操作系統，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統缺省安裝后，再配上很強的密碼系統就算作安全了。

2.未進行CGI程序代碼審計。如果是通用的CGI問題，防范起來還稍微容易一些，但是對于網站或軟件供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對于電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重后果。

3.拒絕服務（DoS，DenialofService）攻擊。隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。

4.安全產品使用不當。雖然不少網站采用了一些網絡安全設備，但由于安全產品本身的問題或使用問題，這些產品并沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超出對普通網管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。

5.缺少嚴格的網絡安全管理制度。網絡安全最重要的還是要思想上高度重視，網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。

分析計算機網絡安全面臨的問題本人提出的解決思路有： 1.加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞。

2.要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析，找出可能存在安全隱患，并及時加以修補。

3.從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權管理和認證。

4.利用RAID5等數據存儲技術加強數據備份和恢復措施。

5.對敏感的設備和數據要建立必要的物理或邏輯隔離措施。

6.對在公共網絡上傳輸的敏感信息要進行強度的數據加密。

7.建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

四、電子商務交易安全面臨的問題及解決思路

一般來說商務安全中普遍存在著以下幾種安全隱患：

1. 竊取信息。由于未采用加密措施，數據信息在網絡上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。

2. 篡改信息。當入侵者掌握了信息的格式和規律后，通過各種技術手段和方法，將網絡上傳送的信息數據在中途修改，然后再發向目的地。這種方法并不新鮮，在路由器或網關上都可以做此類工作。

3.假冒。由于掌握了數據的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

4.惡意破壞。由于攻擊者可以接入網絡，則可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入網絡內部，其后果是非常嚴重的。

電子商務交易安全面臨的問題本人提出的解決思路：

1.部分告知（PartialOrder）：即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去，然后再用電話告之，以防泄密。

2.另行確認（OrderConfirmation）：即當在網上傳輸交易信息后，再用電子郵件對交易做確認，才認為有效。

3.建立有效的安全交易標準和技術：如現在建立的安全超文本傳輸協議（S－HTTP）、安全套接層協議（SSL）、安全交易技術協議（STT，SecureTransactionTechnology）等。

4.數字認證：數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性，甚至數據媒體的有效性。

5.加密技術：保證電子商務安全的最重要的一點是使用加密技術對敏感的信息進行加密。

6.電子商務認證中心（CA，CertificateAuthority）實行網上安全支付是順利開展電子商務的前提，建立安全的認證中心（CA）則是電子商務的中心環節。

五、結束語

我國的電子商務近年來發展很快，但是有關的安全保障還未建立起來。這已經成為影響我國電子商務發展的一個障礙。為此，我們必須加快建設有關的電子商務安全系統。這將是一個綜合性的、涉及全社會的系統工程。具體而言，我們要從法律上承認電子通訊記錄的效力，給電子商務以法律保障；我們要加強對電子簽名等的研究，給電子商務以技術保障；我們還要盡快建立電子商務認證體系，給電子商務以組織保障。而且，針對電子商務無國界的特點，我們還應該加強國際合作，使電子商務真正發揮其應有的作用。惟有如此，我們才能順應時代潮流，推動我國經濟的發展；也惟有如此，我們才能在經濟全球化的今天，參與到國際競爭中去，并進而贏得競爭的優勢。

[1]周化祥、李智偉.網絡及電子商務安全.[M].北京：中國電力出版社，2004.7.

[2]祝曉光.網絡安全設備與技術.[M].北京:清華大學出版社.2004.11.