導(dǎo)語(yǔ)：電子商務(wù)安全管控問(wèn)題思考一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

隨著Internet的快速發(fā)展,電子商務(wù)也在迅速地崛起。電子商務(wù)因?yàn)槠涓咝省⒌统杀镜忍匦远钍軓V大消費(fèi)者的青睞，已經(jīng)有越來(lái)越多的人選擇了這一種足不出戶的購(gòu)物方式。但是Internet本身的開(kāi)放性、共享性、無(wú)縫連通性,使得以它為平臺(tái)的電子商務(wù)交易隨時(shí)都面臨著來(lái)自安全方面的威脅，因此安全問(wèn)題是電子商務(wù)交易過(guò)程中的關(guān)鍵與核心問(wèn)題。只有網(wǎng)上交易的安全性得到較好的保證，才能使這種新興的商務(wù)運(yùn)作模式得到進(jìn)一步的發(fā)展，才能確保電子商務(wù)成為新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)。

1電子商務(wù)面臨的安全問(wèn)題

電子商務(wù)安全從整體上可劃分為兩大部分:計(jì)算機(jī)網(wǎng)絡(luò)安全與電子商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)際上就是指電子商務(wù)網(wǎng)站的安全，包括計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等，威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素有軟件系統(tǒng)與網(wǎng)絡(luò)協(xié)議潛在的漏洞、黑客的惡意攻擊等。商務(wù)交易安全主要是針對(duì)交易在互聯(lián)網(wǎng)上進(jìn)行時(shí)所產(chǎn)生的各種安全問(wèn)題,是在傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上順利進(jìn)行電子商務(wù)交易的安全保障。攻擊者通常經(jīng)過(guò)竊取與纂改交易信息、假冒他人身份等方式來(lái)破壞交易的通信過(guò)程，為自己非法謀取利益。因此商務(wù)交易安全要求實(shí)現(xiàn)交易信息的保密性、真實(shí)性、完整性和不可抵賴性。計(jì)算機(jī)網(wǎng)絡(luò)安全與電子商務(wù)安全相輔相成，不可分割。計(jì)算機(jī)網(wǎng)絡(luò)安全是電子商務(wù)交易安全的基礎(chǔ)保障，電子商務(wù)交易安全是計(jì)算機(jī)網(wǎng)絡(luò)安全的擴(kuò)展延伸。

2計(jì)算機(jī)網(wǎng)絡(luò)安全策略

計(jì)算機(jī)網(wǎng)絡(luò)本身的安全性是電子交易能否順利安全進(jìn)行的基礎(chǔ),為了保證電子商務(wù)基礎(chǔ)平臺(tái)的安全性,通常需要采取以下技術(shù)手段：

（1）防火墻系統(tǒng)。防火墻系統(tǒng)是當(dāng)今為保證網(wǎng)絡(luò)安全所采取的主要技術(shù)手段，通常由一系列的軟件和硬件構(gòu)成。防火墻通過(guò)監(jiān)控進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包和鏈接方式，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的交界處建立起一道安全屏障,使未經(jīng)授權(quán)的用戶難以訪問(wèn)專用網(wǎng)絡(luò)的資源,從而降低內(nèi)部網(wǎng)絡(luò)遭到外部襲擊的風(fēng)險(xiǎn)。為做到這一點(diǎn),防火墻必須是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的唯一通道，并且可以由用戶自行設(shè)置過(guò)濾規(guī)則，從而實(shí)現(xiàn)對(duì)所有來(lái)自于外部的訪問(wèn)的控制與監(jiān)測(cè)。由于防火墻只能監(jiān)視OSI2層到7層之間的網(wǎng)絡(luò)活動(dòng)狀況，因此防火墻系統(tǒng)也存在著一定的局限性，例如：不能防止來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊、不能保證網(wǎng)絡(luò)免遭病毒攻擊、不能抵御數(shù)據(jù)驅(qū)動(dòng)型攻擊等。

（2）VLAN。VLAN技術(shù)通過(guò)將服務(wù)器置于內(nèi)部網(wǎng)絡(luò)獨(dú)立的廣播域中以防止內(nèi)部主機(jī)通過(guò)掃描、監(jiān)聽(tīng)、ARP欺騙等手段獲取自己權(quán)限以外的服務(wù)器信息，在一定程度上彌補(bǔ)了防火墻不能防止內(nèi)部攻擊的弱點(diǎn)，同時(shí)也降低了外部攻擊者利用內(nèi)部防御薄弱的主機(jī)發(fā)動(dòng)內(nèi)部攻擊的危險(xiǎn)。

（3）入侵檢測(cè)系統(tǒng)。在單純的防火墻技術(shù)已經(jīng)不能再?gòu)娜莸貞?yīng)對(duì)日益提高的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的今天，入侵檢測(cè)系統(tǒng)成為了防火墻之后的第二道安全閘門。在不影響網(wǎng)絡(luò)性能的前提下，入侵檢測(cè)系統(tǒng)監(jiān)控內(nèi)部網(wǎng)絡(luò)的運(yùn)行狀態(tài)，可以在攻擊即將發(fā)生時(shí)提醒系統(tǒng)管理員，并追蹤相關(guān)攻擊的源頭。因此入侵檢測(cè)系統(tǒng)能夠提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)監(jiān)控，能夠有效地檢測(cè)并防止非法行為的發(fā)生。

（4）侵?jǐn)_模擬器。侵?jǐn)_模擬器通常分為兩種,一種通過(guò)模擬外部攻擊來(lái)檢測(cè)系統(tǒng)的安全漏洞,比較著名的有免費(fèi)軟件SATAN,另一種通過(guò)檢查自身所在系統(tǒng)漏洞的方式來(lái)搜索電子商務(wù)網(wǎng)站的安全缺陷,應(yīng)用比較廣泛的軟件包有COPS和TAMU-Figer。

（5）數(shù)據(jù)庫(kù)安全技術(shù)。電子商務(wù)網(wǎng)站的買家和賣家信息、產(chǎn)品信息、交易信息等都存放在后臺(tái)的數(shù)據(jù)庫(kù)中,因此數(shù)據(jù)庫(kù)頗受攻擊者的親睞。為了使用戶信息的安全性與商業(yè)機(jī)密的安全性得到保障,數(shù)據(jù)庫(kù)的安全控制也就顯得至關(guān)重要了,常采用的方法有:用戶身份識(shí)別、定義存取權(quán)限、定義試圖、審計(jì)追蹤和部分敏感數(shù)據(jù)加密等。這些技術(shù)手段通常結(jié)合起來(lái)使用,為數(shù)據(jù)庫(kù)系統(tǒng)的安全運(yùn)行保駕護(hù)航。

3電子商務(wù)交易安全策略

（1）數(shù)據(jù)加密技術(shù)。在信息傳輸中,為了實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的保密，原始數(shù)據(jù)（明文）經(jīng)過(guò)特定的加密函數(shù)和加密密鑰運(yùn)算后發(fā)往目的地，接收方收到處理過(guò)的數(shù)據(jù)（密文）后用相應(yīng)的解密函數(shù)和解密密鑰運(yùn)算,使數(shù)據(jù)恢復(fù)成原始狀態(tài),這樣即使信息在傳輸過(guò)程中被非法截獲也難以被攻擊者識(shí)別。加密算法通常分為兩類:對(duì)稱算法和公開(kāi)密鑰算法。對(duì)稱算法的加密密鑰和解密密鑰之間可以相互推導(dǎo)，甚至使用一對(duì)相同的加密密鑰和解密密鑰。這種算法雖然運(yùn)算速度快，但密鑰管理困難，一旦泄露，數(shù)據(jù)的保密性將受到嚴(yán)重威脅。公開(kāi)密鑰算法的加密密鑰和解密密鑰相互匹配，但在合理假定的長(zhǎng)時(shí)間內(nèi)不可相互推導(dǎo)。每個(gè)節(jié)點(diǎn)所擁有的一對(duì)密鑰中一個(gè)公開(kāi)另一個(gè)則需保密，公開(kāi)的密鑰可以像電話號(hào)碼一樣公布，解決了對(duì)稱算法中密鑰分發(fā)難的問(wèn)題,目前已被廣泛應(yīng)用于安全和認(rèn)證領(lǐng)域。但是這種算法運(yùn)算復(fù)雜，運(yùn)算時(shí)間長(zhǎng)，面對(duì)著電子商務(wù)中大批量的敏感數(shù)據(jù)更是顯得力不從心。

（2）數(shù)字摘要。對(duì)一段明文進(jìn)行哈希運(yùn)算后得到唯一一個(gè)與之相對(duì)應(yīng)的結(jié)果，這個(gè)運(yùn)算結(jié)果就是該明文的數(shù)字摘要。由于數(shù)字摘要是相對(duì)應(yīng)明文的唯一標(biāo)識(shí),并且無(wú)法通過(guò)對(duì)數(shù)字摘要進(jìn)行逆運(yùn)算得到明文,因此數(shù)字摘要可驗(yàn)證信息的完整性。發(fā)送方通常把數(shù)字摘要一起發(fā)送,接收方在收到數(shù)據(jù)后用哈希函數(shù)對(duì)其進(jìn)行運(yùn)算，通過(guò)比較運(yùn)算結(jié)果和收到的數(shù)字摘要是否相同來(lái)驗(yàn)證數(shù)據(jù)的完整性。但是數(shù)字摘要無(wú)法確定消息的真實(shí)性,無(wú)法驗(yàn)證發(fā)送者的真實(shí)身份。

（3）數(shù)字簽名。數(shù)字簽名是信息認(rèn)證中的一種重要技術(shù)，它建立在公開(kāi)密鑰算法和數(shù)字摘要這兩種技術(shù)的基礎(chǔ)上，能夠很好地驗(yàn)證數(shù)據(jù)的真實(shí)性，并保證信息的不可抵賴性，目前被廣泛運(yùn)用于電子商務(wù)的身份認(rèn)證機(jī)制中。考慮到公開(kāi)密鑰算法較為復(fù)雜，要是對(duì)整段消息加密會(huì)浪費(fèi)很多時(shí)間，因此發(fā)送方用私鑰對(duì)數(shù)字摘要加密，得到發(fā)送方的數(shù)字簽名，然后把密文和數(shù)字簽名一起發(fā)給接收方，接收方先用發(fā)送方事先公布的公鑰對(duì)數(shù)字簽名解密得到數(shù)字摘要，再用哈希函數(shù)運(yùn)算解密后得到的明文，把運(yùn)算結(jié)果和數(shù)字摘要進(jìn)行比較。由于只有發(fā)送方的公鑰才能解開(kāi)其私鑰加密的數(shù)據(jù)，因此可以驗(yàn)證消息的真實(shí)性，且發(fā)送方不可否認(rèn)或難以否認(rèn)自己曾發(fā)送過(guò)這樣一段消息的事實(shí)。

（4）數(shù)字證書(shū)。上述幾種技術(shù)均無(wú)法確認(rèn)交易雙方的合法身份，所以就需要數(shù)字證書(shū)來(lái)保證參與方的公鑰是可信有效的。CA（CertificateAuthority）是負(fù)責(zé)認(rèn)證用戶身份的合法性的權(quán)威認(rèn)證機(jī)構(gòu)，當(dāng)用戶的真實(shí)合法身份被CA確認(rèn)后,CA會(huì)為用戶分配一個(gè)唯一的名字并簽發(fā)數(shù)字證書(shū),數(shù)字證書(shū)上有用戶名字、用戶公鑰以及CA的數(shù)字簽名等信息。通信雙方就可以通過(guò)驗(yàn)證對(duì)方數(shù)字證書(shū)上的簽名來(lái)判定對(duì)方身份的合法性。

（5）動(dòng)態(tài)安全的實(shí)現(xiàn)技術(shù)。動(dòng)態(tài)安全技術(shù)是上述幾種技術(shù)的綜合實(shí)現(xiàn),實(shí)現(xiàn)過(guò)程如下,設(shè)甲乙雙方要進(jìn)行通信:①甲方要給乙方傳信息，甲先從數(shù)據(jù)庫(kù)中找到乙的數(shù)字證書(shū)并對(duì)它進(jìn)行驗(yàn)證；②確認(rèn)乙的合法身份后,甲對(duì)信息進(jìn)行哈希運(yùn)算,得到數(shù)字摘要,并用自己的私鑰對(duì)數(shù)字摘要加密得到數(shù)字簽名；③甲隨機(jī)產(chǎn)生一個(gè)加密密鑰（常為DES密鑰），用事先約定好的加密算法（對(duì)稱加密算法）和加密密鑰給明文加密，并用乙的公鑰（乙的證書(shū)中可得）給DES密鑰加密；④甲將自己的數(shù)字簽名、加密后的DES密鑰以及密文一起發(fā)送給乙；⑤乙驗(yàn)證甲身份的合法性，方法與①一樣；⑥乙用自己的私鑰給收到的DES密鑰解密,再用DES密鑰給密文解密得到明文；⑦乙用甲的公鑰給收到的數(shù)字簽名解密,得到數(shù)字摘要,再用明文進(jìn)行哈希運(yùn)算，若運(yùn)算結(jié)果與數(shù)字摘要相同,則消息的完整性未受損害，否則消息在傳送的過(guò)程中已被纂改。已經(jīng)廣泛應(yīng)用于電子商務(wù)體系中的SSL協(xié)議和SET協(xié)議就是對(duì)動(dòng)態(tài)安全綜合實(shí)現(xiàn)技術(shù)的具體運(yùn)用。SSL協(xié)議建立在可靠的傳輸層協(xié)議上，它提供數(shù)字認(rèn)證、數(shù)據(jù)加密、數(shù)字摘要等功能，且由于SSL協(xié)議對(duì)應(yīng)用層協(xié)議具有獨(dú)立性，因此高層的應(yīng)用層協(xié)議（例如HTTP、FTP等）可以與之無(wú)縫對(duì)接，透明地建立在SSL協(xié)議之上。但是SSL協(xié)議缺少了買家對(duì)商家的認(rèn)證，隨著商家數(shù)量的增多，各商家的信譽(yù)度也參差不齊，這一問(wèn)題也日益突出，于是出現(xiàn)了一種新的安全協(xié)議SET。與SSL的安全范圍僅限于買家到商家的信息交流不同，SET協(xié)議對(duì)所有參與交易的成員（包括持卡人、商家、支付網(wǎng)關(guān)等）都制定了嚴(yán)格的身份認(rèn)證程序,并對(duì)他們之間的信息流采取了一系列保護(hù)措施。一般公認(rèn)SET協(xié)議的安全性要高于SSL協(xié)議,SET協(xié)議的采用率也有不斷提高之勢(shì),但SET協(xié)議也存在著一些缺陷與漏洞,仍然需要進(jìn)一步改進(jìn)。

4結(jié)語(yǔ)

本文對(duì)電子商務(wù)中的安全問(wèn)題以及安全策略進(jìn)行了分析,并模擬了動(dòng)態(tài)安全綜合實(shí)現(xiàn)技術(shù)的實(shí)現(xiàn)過(guò)程,現(xiàn)有安全技術(shù)存在的一些漏洞，仍然有待于今后進(jìn)一步解決。電子商務(wù)給經(jīng)濟(jì)發(fā)展提供了新途徑,但同時(shí)也帶來(lái)了種種安全方面的挑戰(zhàn)，這些安全問(wèn)題能否得到解決直接決定了電子商務(wù)能否健康快速地發(fā)展，能否繼續(xù)為廣大消費(fèi)者帶來(lái)愉快和便利。