摘要電子商務在安全方面所面臨的問題，已成為制約其發(fā)展的關鍵。文中通過對電子商務現(xiàn)狀、對安全需求分析，探討了電子商務安全技術體系結構，揭示其各安全技術間的層次關系，并介紹了其中的核心技術。

關鍵詞電子商務信息信息安全

1電子商務信息安全現(xiàn)狀

當前，電子商務所面臨的信息安全現(xiàn)狀不容樂觀。所據(jù)美國網絡界權威雜志《信息安全雜志》披露，從事電子商務的企業(yè)比一般企業(yè)承擔著更大的信息風險。其中，前者遭黑客攻擊的比例高出一倍，感染病毒、惡意代碼的可能性高出9%，被非法入侵的頻率高出10%，而被詐騙的可能性更是比一般企業(yè)高出2.2倍。

調查顯示，近年來，我國發(fā)生的通過網絡進行的電子商務金融犯罪多達200起，造成上億元的經濟損失。中國網民對網上交易的最大擔心莫過于支付信息的安全問題，超過八成的網民對網上交易的安全性表示擔憂。信息安全問題成為困擾網上交易的一大難題。

目前，我國的信息安全研究已經歷了通信保密、計算機數(shù)據(jù)保護兩個發(fā)展階段，現(xiàn)正處于網絡信息安全研究階段。通過學習、吸收、消化等手段，已逐步掌握了部分網絡安全和電子商務安全技術，進行了安全操作系統(tǒng)、多級安全數(shù)據(jù)庫的研制探索，但由于沒有掌握系統(tǒng)核心技術，使得要開發(fā)出有自主知識產權的信息產品困難重重，而基于國外具體產品開發(fā)出的安全系統(tǒng)則難以完全杜絕安全漏洞或“后門”。在借鑒國外先進技術的基礎上，國內一些企業(yè)也研制開發(fā)出一些安全產品，如防火墻、黑客入侵檢測系統(tǒng)、電子商務安全交易系統(tǒng)、安全路由器等。但這些產品安全技術的規(guī)范性、完善性、實用性還存在許多不足，理論基礎和自主的技術手段需要發(fā)展和強化。

此外，國內不少電子商務企業(yè)對網絡信息安全意識不強。無論在建網立項、規(guī)劃設計上，還是在網絡運行管理和使用中，更多的是考慮效益、方便、快捷，而把安全、保密、抗攻擊放在了次要地位，出現(xiàn)了諸如對網絡實用性要求多，對系統(tǒng)安全性論證少；對網絡設備投資多，對安全設施投入少；在操作技能培訓上用時多，在安全防范知識的普及與提高上用時少的短期行為。

2電子商務信息安全面臨的威脅

2.1電子商務信息存儲安全隱患

信息存儲安全是指電子商務信息在靜態(tài)存放中的安全。其信息安全隱患主要包括：非授權調用信息和篡改信息內容。企業(yè)的Intranet與Internet聯(lián)接后，電子商務的信息存儲安全面臨著內部和外部兩方面的隱患：

（1）內部隱患。主要是企業(yè)的用戶故意或無意的非授權調用電子商務信息或未經許可隨意增加、刪除、修改電子商務信息。

（2）外部隱患。主要是外部人員私自闖入企業(yè)Intranet，對電子商務信息故意或無意的非授權調用或增加、刪除、修改。隱患的主要來源有：競爭對手的惡意闖入、信息間諜的非法闖入以及黑客的騷擾闖入。

2.2電子商務信息傳輸安全隱患

信息傳輸安全是指電子商務運行過程中，物流、資金流匯成信息流后動態(tài)傳輸過程中的安全。其安全隱患主要包括：

（1）竊取商業(yè)秘密；

（2）攻擊網站；

（3）網上詐騙；

（4）否認發(fā)出信息。

2.3電子商務交易雙方的信息安全隱患

傳統(tǒng)商務活動是面對面進行的，交易雙方能較容易地建立信任感并產生安全感。而電子商務是買賣雙方通過Internet的信息流動來實現(xiàn)商品交換的，信息技術手段使不法之徒有機可乘，這就使得電子商務的交易雙方在安全感和信任程度等方面都存在疑慮。電子商務的交易雙方都面臨著信息安全的威脅。

（1）賣方面臨的信息安全威脅。例如，假冒合法用戶名義改變商務信息內容，致使電子商務活動中斷，造成商家名譽和用戶利益等方面的受損；惡意競爭者冒名訂購商品或侵入網絡內部以獲取營銷信息和客戶信息；信息間諜通過技術手段竊取商業(yè)秘密；黑客入侵并攻擊服務器，產生大量虛假訂單擠占系統(tǒng)資源，令其無法響應正常的業(yè)務操作。

（2）買方面臨的信息安全威脅。如用戶身份證明信息被攔截竊用，以致被要求付帳或返還商品；域名信息被監(jiān)聽和擴散，被迫接收許多無用信息甚至個人隱私被泄露；發(fā)送的商務信息不完整或被篡改，用戶無法收到商品；受虛假廣告信息誤導購買假冒偽劣商品或被騙錢財；遭黑客破壞，計算機設備發(fā)生故障導致信息丟失。

3電子商務對信息安全的需求

（1）信息的保密性。電子商務作為貿易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務則建立在一個開放的網絡環(huán)境（Internet）上，維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。保密性一般通過密碼技術對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)。

（2）信息的完整性。電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題。數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能會導致貿易各方信息的差異。另外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此，貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是電子商務應用的基礎。一般可通過提取信息摘要的方式來保持信息的完整性。

（3）信息的真實性。只有信息流、資金流、物流的有效轉換，才能保證電子商務的順利實現(xiàn)，而這一切是以信息的真實性為基礎。信息的真實性一方面是指網上交易雙方提供信息內容的真實性；另一方面是指網上交易雙方身份信息的真實性，即對人或實體的身份進行鑒別，為身份的真實性提供保證，使交易的雙方能夠在相互不見面的情況下確認對方的身份。這意味著當某人或實體聲稱具有某個特定身份時，鑒別服務將驗證其聲明的正確性。一般可通過認證機構和證書來實現(xiàn)。

（4）信息的不可抵賴性。對進行電子商務交易的貿易雙方來說，一個很關鍵問題就是如何確定進行交易的貿易方正是交易所期望的貿易方。在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已經不可能。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識，使原發(fā)方對已發(fā)送的數(shù)據(jù)、接收方對已接收的數(shù)據(jù)都不能否認。通常可通過對發(fā)送的消息進行數(shù)字簽名來實現(xiàn)信息的不可抵賴性。

（5）信息的有效性。電子商務以電子形式取代了紙張，那么如何保證這種電子形式貿易信息的有效性則是開展電子商務的前提。電子商務信息的有效性將直接關系到個人、企業(yè)或國家的經濟利益和聲譽。因此，要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，這對于保證貿易數(shù)據(jù)在確定的時刻、確定的地點是有效的。

4電子商務的信息安全技術

電子商務的應用是以Internet的基礎設施和標準為基礎，涉及從通信協(xié)議到應用集成的廣泛領域，套用國際標準化組織ISO的開放系統(tǒng)互聯(lián)OSI七層協(xié)議模型，相應地將各安全措施映射到對應層次中，可以較好地描述電子商務安全技術體系。

4.1網絡層技術

網絡安全是電子商務系統(tǒng)安全的基礎，涉及的方面較廣，如防火墻技術、網絡監(jiān)控、網絡隱患掃描及各種反黑客技術等，其中最重要的就是防火墻技術。防火墻的主要功能是加強網絡之間的訪問控制，防止外部網絡用戶以非法手段通過外部網絡侵入內部網絡(被保護網絡)。它對兩個或多個網絡之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進行檢查，來決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。簡單防火墻技術可以在路由器上實現(xiàn)，而專用防火墻提供更加可靠的網絡安全控制方法。

4.2加密層技術

數(shù)據(jù)加密被認為是電子商務最基本的安全保障形式，可以從根本上滿足信息完整性的要求，它是通過一定的加密算法，利用密鑰（secret keys）來對敏感信息進行加密，然后把加密好的數(shù)據(jù)和密鑰通過安全方式發(fā)送給接收者，接收者可利用同樣的算法和傳遞過來的密鑰對數(shù)據(jù)進行解密，從而獲取敏感信息并保證網絡數(shù)據(jù)的機密性。

4.3認證層技術

安全認證技術是為了保證電子商務活動中的交易雙方身份及其所用文件真實性的必要手段。包括：

數(shù)字摘要、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書、認證、智能卡。

4.4協(xié)議層技術

電子商務的在線支付是通過Internet完成的，必須使用安全協(xié)議來保證支付信息傳輸?shù)陌踩⒔灰追降暮戏ㄉ矸莸拇_認及支付過程的完整。不同交易協(xié)議的復雜性、開銷、安全性各不相同。同時，不同的應用環(huán)境對協(xié)議目標的要求也不盡相同。目前，比較成熟的協(xié)議有SET、SSL、iKP等基于信用卡的交易協(xié)議，Net?鄄Bill，NetCheque等基于支票的交易協(xié)議，Digicash、Netcash等基于現(xiàn)金的交易協(xié)議，匿名原子交易協(xié)議，防止軟件侵權和非法拷貝的基于PKC的安全電子軟件分銷協(xié)議等。隨著電子商務的發(fā)展，電子交易手段的多樣化，信息安全問題將會變得更加重要和突出。由于電子商務的實現(xiàn)是一項復雜的系統(tǒng)工程，其信息安全問題的解決有賴于各相關技術的發(fā)展，如：公鑰基礎設施（PKI）技術的研究與應用；電子商務采購協(xié)議、支付協(xié)議及物流配送協(xié)議的進一步完善；XML的研究和標準化等。同時，除技術問題外，電子商務的信息安全還有賴于電子商務發(fā)展所需的政策和相應的法律、法規(guī)的建設等社會環(huán)境的完善。這些課題的研究不僅具有重要的理論價值和實用價值，而且對于推動電子商務的發(fā)展具有重要的現(xiàn)實意義。

1徐雪梅．淺談保障電子商務活動中的信息安全［Ｊ］．科技情報開發(fā)與經濟，2003（５）

2曾強．電子商務的理論與實戰(zhàn)———全球“大局觀”下的中國電子商務［Ｍ］．北京：中國經濟出版社，2000

3祁明．電子商務安全與保密［Ｍ］．北京：高等教育出版社，2001

4徐漢超．計算機網絡安全與數(shù)據(jù)完整性技術［Ｍ］．北京：北京電子工業(yè)出版社，1999