电子商务安全问题浅析

摘要：随着互联网的不断发展,在世界范围内掀起了一股电子商务热潮。电子

商务正得到越来越广泛的应用。其发展给人类社会带来巨大的影响,其一系列的相关领域的研究成为全球的热点。但近年来,电子商务的发展逐步放慢了脚步,其安全问题是阻碍发展的主要原因之一。所以本文将会从电子商务的安全问题出发进行简要分析。论文会从三个部分介绍电子商务安全的内容，通过介绍电子商务，分析电子商务安全问题产生原因及电子商务对安全环境的要求，提出电子商务的安全防范策略，为当前解决当前电子商务安全提供一点建议。

关键字：电子商务 电子商务安全 安全防范 策略

一、 电子商务简介

1 什么是电子商务？

电子商务通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。

2 电子商务盈利模式

（1）网上目录盈利模式 （2）数字内容盈利模式 （3）广告支持盈利模式

（4）广告—订阅混合盈利模式 （5）交易费用盈利模式

（6）服务费用盈利模式系统结构

3 电子商务的主要安全要素

(1) 信息真实性、有效性。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

(2) 信息机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的

网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

(3) 信息完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

(4) 信息可靠性、可鉴别性和不可抵赖性。可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。[1]

二、电子商务安全问题浅谈

1 电子商务安全问题的产生。

(1)在线交易主体虚拟化带来的安全问题：在电子商务环境下，任何人不经登记就可以借助计算机网络发出或接受网络信息，并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全受到严重威胁。

(2)虚假信息的发布带来的安全问题：当用户以合法身份进入系统后，买卖双方都可能在网络上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。

(3)过低的信用度带来的安全问题：①低信用度的买方带来的安全问题：低信用度的买方，可能存恶意透支或使用伪造的信用卡骗取卖方货物或存在拖延货款行为，卖方需要为此承担风险。②低信用度的买方带来的安全问题：卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。③低信用度的买卖双方都存在抵赖的情况。

(4)网络欺诈的存在带来的安全问题：在电子交易活动中频繁欺诈用户这是网络骗子们常用的骗术，利用电子商务进行欺诈已经成为一种新型犯罪活动，目前这种网上欺诈也已经成为国际性的难题。

(5)电子合同取代书面合同过程中带来的安全问题：在在线交易情形下，交易双方的所有信息都是以电子化的形式存储于计算机硬盘或其他电子介质中，这些记录不仅容易被涂擦、删改、复制、遗失，而且不能脱离其记录工具(计算机)而作为证据独立存在。由此而引发诸多方面的安全问题。

(6)网上电子支付过程带来的安全问题：完电子商务的网上支付通过信用卡

支付和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。

(7)产品交付过程带来的安全问题：有形货物的在线交易中物流配送环节引发的一些特殊问题及无形的信息产品在交付中对于其权利的移转、退货、交付的完成等带来的安全问题。

(8)网络消费者维权时引发的安全问题：在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。比如质量问题，退赔、修理困难问题等。

(9)网络恶意攻击者的破坏活动带来的安全问题：包括系统穿透、违反授权原则、植入、通信监听、通信干扰、中断、拒绝服务、否认等。

2.电子商务对安全环境的要求。

(1)确保信息的安全要求包括有效性、机密性、完整性、可靠性/不可抵赖性/鉴别等；

(2)确保授权合法性；

(3)确保交易者身份的确定性； (4)确保内部网的严密性。 [2]

三、电子商务的安全防范策略

根据资料显示，目前，电子商务安全领域已经形成了9大核心技术，它们是：密码技术、身份验证技术、访问控制技术、防火墙技术、安全内核技术、网络反病毒技术、信息泄露防治技术、网络安全漏洞扫描技术、入侵检测技术。

1.电子商务的主要安全技术。

(1)加密技术。加密技术解决了传送信息的保密问题，可分对称加密和非对称加密。对称加密是一种传统的信息认证方法,通过信息交换的双方共同约定一个口令或一组密码，建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方，乙方用相同的私钥解密后获得甲方传递的信息。对称加密采用的主要加密算法有DES数据加密标准、三重DES,IDEA,和AES（高级加密算法）等。其最大优势是加/解密速度快, 适合于对大数据量进行加密,但密钥管理困难。非对称加密又称公开密钥加密，它使用一把公开发布的公开密钥和一把只能由生成密钥对的贸易方掌握的私用密钥来分别完成加密和解密操作。如贸易的甲方生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开；得到该公开密钥的贸易的方乙使用该密钥对信息进行加密后发送给甲方；甲方再用自己保存的另一把私用密钥对加密信息进行解密。公钥密码技术是密码技术核心，主要采用的算法有RSA算法、DSS/DSA算法和ECC算法。优点是机制灵活，但加密和解密速度慢。[3]

(2)数字签名。数字签名解决了而防止他人对传输的文件进行破坏，以及如何确定发信人的身份的问题。数字签名与书面文件签名有相同功效，它代表了文件的特征，文件如果发生改变，数字签字的值也将发生变化，不同的文件将得到不同的数字签字。数字签名是采用双重加密的方法，通过流程：A、被发送文件

用 SHA编码加密产生128 bit的数字摘要；B、发送方用自己的私用密钥对摘要再加密，形成数字签名；C、将原文和加密的摘要同时传给对方；D、对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要；E、将解密后的摘要和收到的文件在接收方重新加密产生的摘要互对比。最终实现了防伪、防抵赖。

(3)数字时间戳。数字时间戳服务提供了对电子文件发表时间的安全保护，由专门的机构提供。时间戳是一个经加密后形成的凭证文档，它包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。时间戳形成的流程为:①用户将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS；②DTS在加人了收到文件摘要的日期和时间信息后再对该文件加密(数字签名)，然后送回用户。数字时间戳是由认证单位DTS来加的，以DTS收到文件的时间为依据。 (4)数字证书。数字证书是由CA认证中心签发的，用电子手段来证实一个用户的身份和对网络资源的访问权限的凭证。CA认证中心是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。数字证书为电子签名相关各方提供真实、可靠验证的公众服务，解决电子商务活动中交易参与各方身份、资信的认定，维护交易活动的安全，从根本上保障电子商务交易活动顺利进行。在网上的电子交易中，如双方出示了各自的数字证书，就可用它来进行安全交易操作了。

(5)防火墙技术。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，它可以阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出，是最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。防火墙有两个基本准则:一是未被允许的就是禁止的；二是未被禁止的就是允许的。基于该准则, 防火墙应转发所有信息流, 然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境, 可为用户提供更多的服务。[4]

2.电子商务安全协议技术。

电子商务安全协议主要有：安全套接层协议SSL和安全电子交易SET协议。此外，还有PCT(专用通信技术)，它只是对SSL进行少量的改进。SSL协议是向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等的安全措施。它包括“SSL 记录协议”和“ SSL 握手协议”。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MDS等加密技术来实现机密性和数据完整性，并采用X.509的数字证书实现鉴别。SSL协议已成为事实上的工业标准而被广泛应用。通常还采用“SSL+表单签名”的模式使得SSL在电子商务的应用中确保信息的真实性、完整性和保密性的基础上进一步提高电子商务的安全保障。

SET协议是Mastercard公司和Visa公司联合开发的一种应用于因特网环境下,以信用卡为基础的安全电子支付协议。它可以对交易各方进行认证,可防止商家欺诈,进行安全交易，它给出了一套电子交易的过程规范而成为目前公认的信用卡的网上交易的国际标准。

3.构建电子商务安全控制的框架和制订电子商务标准及法律法规。

通过安全的控制和电子商务标准的推行，有利于解决电子商务的安全性和可靠性问题。

电子商务给企业、消费者和社会所带来的收益是不可估量的。特别是电子商务以其高效、低成本的优势，必将成为新兴的商业运作模式，推动着全球经济的快速发展。而商务信息的安全问题始终是电子商务的核心，是阻碍电子商务广泛应用的最大问题。电子商务的安全问题是能够通过综合运用各类电子商务安全技术，并不断改进和完善，加之建立健全电子商务的安全机制和相应的法律法规，推行电子商务的国际化标准而得以解决。

四、总结及感想

在当今社会，人们的生活已经离不开电脑以及互联网了，随着社会经济的高速发展，电子货币，电子商务技术的不断成熟，人们对互联网的安全问题越日益重视，其中，电子商务安全问题更是人们最为关心的一个话题。而商务信息的安全问题始终是电子商务的核心，是阻碍电子商务广泛应用的最大问题，所以政府应该重视这个发展问题，提供行之有效的办法为之解决。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。

[ 1 ]吴洋. 电子商务安全方法研究[D ]. 天津: 天津大学, 2006. [ 2 ]李艳. 电子商务信息安全策略研究[ J ]. 甘肃科技,2005

[ 3 ]周明,黄元江,李建设. 电子商务中的安全技术研究[ J ]. 株洲工学院学报, 2005

[ 4 ]赵乃真. 电子商务技术与应用[M ]. 北京:中国铁道出版社, 2003.