[摘 要]隨著信息化的發(fā)展，就如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，保證整個商務(wù)活動中信息的安全性，已經(jīng)成為我們急需解決的一個問題。本文從我國電子商務(wù)發(fā)展所面臨的現(xiàn)實問題出發(fā)，探討了一些有關(guān)保護(hù)電子商務(wù)安全的措施。

[關(guān)鍵詞]電子商務(wù) 安全 措施

隨著信息技術(shù)的飛速發(fā)展，人類正以前所未有的速度進(jìn)入以網(wǎng)絡(luò)為主的信息時代，網(wǎng)絡(luò)的快速發(fā)展不僅促進(jìn)了人們的通信和交流，同時也帶來了商業(yè)和經(jīng)濟(jì)模式的巨大變革?；诰W(wǎng)絡(luò)開展的電子商務(wù)，己逐漸成為人們進(jìn)行商務(wù)活動的新模式，電子商務(wù)依托于網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù)，降低了客戶信息的收集成本，減少了客戶服務(wù)費用。然而，開放的信息系統(tǒng)必然存在眾多潛在的安全隱患。由于因特網(wǎng)是一個完全開放的網(wǎng)絡(luò)，任何一臺計算機都可以與之聯(lián)接，并借助其進(jìn)行各種網(wǎng)上商務(wù)活動，且交易雙方不能面對面地進(jìn)行交流，這就給那些別有用心的組織或個人提供了竊取他人機密，甚至破壞他人網(wǎng)絡(luò)系統(tǒng)運行的機會?？梢哉f安全問題是制約其發(fā)展的重要因素，是關(guān)系到電子商務(wù)系統(tǒng)能否成功運行的最為重要的問題。電子商務(wù)的一個重要技術(shù)特征是利用計算機技術(shù)來傳輸和處理商業(yè)信息，一方面它是借助于互聯(lián)網(wǎng)平臺來進(jìn)行商務(wù)交易，因此需要從電子技術(shù)層面來加以防范；另一方面，作為商務(wù)交易的買賣行為，它同樣具有商品交易的一些基本特征，遵循著商務(wù)交易的規(guī)則，因此還需要從安全管理的層面加以防范。

一、從科技層面入手加強安全措施

（一）主要的電子商務(wù)安全技術(shù)

第一，加密技術(shù)。加密技術(shù)是電子商務(wù)采取的主要安全措施，是實現(xiàn)信息的保密性、完整性的核心。加密技術(shù)一方面應(yīng)用于數(shù)據(jù)、文件加密，另一方面也是身份認(rèn)證、數(shù)字簽名等安全技術(shù)的基礎(chǔ)。按照密鑰的不同，加密技術(shù)主要有對稱型密鑰體制和非對稱型密鑰體制。對稱密碼體制也稱為私鑰密碼體制，發(fā)送方和接收方都必須使用相同的密鑰對消息進(jìn)行加密和解密運算。對稱加密算法最大的優(yōu)勢就是開銷小、加密速度快，所以廣泛應(yīng)用于對大量數(shù)據(jù)如文件進(jìn)行加密。它的局限性在于通信雙方要確保密鑰的安全交換，密鑰的分發(fā)和管理非常復(fù)雜，而且無法鑒別交易發(fā)起方或交易最終方。非對稱型密鑰加密也稱為公開密鑰算法，需要兩個密鑰:對外公開的公開密鑰和自己保存的私有密鑰。公開密鑰用于對機密信息加密，私有密鑰用于對機密信息解密。由于公開密鑰是公開存放，密鑰的分配和管理問題很容易解決。然而，公鑰加密算法速度比私鑰加密算法慢得多，同時公開加密方式對資源的占用較大，網(wǎng)絡(luò)傳輸速度將受到影響。在實際應(yīng)用中，通常將兩種加密技術(shù)結(jié)合起來。數(shù)字信封即利用了兩種加密技術(shù)的優(yōu)點，先采用公鑰密碼傳送加密密鑰，再用私鑰密碼加密傳輸?shù)男畔ⅲ瑥亩_保信息的安全傳輸。

第二，安全認(rèn)證技術(shù)。一種是數(shù)字摘要與數(shù)字簽名技術(shù)。摘要技術(shù)采用Hash函數(shù)將需加密的明文映射成一串較短的定長密文，這一串密文亦稱為數(shù)字指紋，可以確保數(shù)據(jù)不被修改，保證信息的完整性。數(shù)字簽名就運用了數(shù)字摘要技術(shù)，與傳統(tǒng)簽字具有同樣的有效性，其原理如下:報文發(fā)送方從報文文本中生成一個128位的報文摘要，并用自己的私有密鑰對這個摘要進(jìn)行加密，形成發(fā)送方的數(shù)字簽名;然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方;報文接收方首先從接收到的原始報文中計算出128位的消息摘要，接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進(jìn)行解密。如果兩個摘要相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。數(shù)字簽名技術(shù)可以保證信息傳輸過程中的完整性，提供信息發(fā)送者的身份認(rèn)證和不可抵賴性。另一種是數(shù)字證書。數(shù)字證書又稱數(shù)字憑證，由可信任的、公正的權(quán)威機構(gòu)頒發(fā)。CA中心對申請者所提供的信息進(jìn)行驗證，然后通過向電子商務(wù)各參與方簽發(fā)數(shù)字證書，來確認(rèn)各方身份的真實性、合法性及對網(wǎng)絡(luò)資源的訪問權(quán)限等，保證網(wǎng)上支付的安全性。

（二）在電子商務(wù)中應(yīng)用安全技術(shù)

靈活運用加密技術(shù)，可以有效地解決電子商務(wù)的很多安全問題。例如，數(shù)字信封技術(shù)結(jié)合了對稱密碼體制和非對稱密碼體制的優(yōu)點，保證了電子交易過程中只有規(guī)定的特定收信人才能閱讀通信的內(nèi)容。信息發(fā)送方首先利用隨機產(chǎn)生的對稱密鑰來加密信息，然后用接收方的公開密鑰加密對稱密鑰，被加密后的對稱密鑰即數(shù)字信封。在傳遞信息時，發(fā)送方將數(shù)字信封和加密后的信息一起發(fā)送給接收方，接收方必須使用自己的私有密鑰進(jìn)行數(shù)字信封拆解，得到對稱密鑰，才能利用對稱密鑰解密看到信件內(nèi)容。

因此，采用數(shù)字信封技術(shù)后，即使加密信件被他人非法截獲，截獲者也無法知曉信件內(nèi)容，從而保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容。利用非對稱密碼體制的常用算法可以實現(xiàn)不可抵賴性。甲向乙發(fā)送數(shù)據(jù)時，先用MD5算法計算要發(fā)送的數(shù)據(jù)的信息摘要，再用自己的私鑰對摘要進(jìn)行加密來形成數(shù)字簽名。乙收到數(shù)據(jù)后，用甲的公開密鑰解密并確認(rèn)數(shù)據(jù)內(nèi)容。然后乙用自己的私有密鑰再對數(shù)據(jù)進(jìn)行簽名并傳遞給甲。甲收到數(shù)據(jù)后，用乙的公開密鑰進(jìn)行解密并確認(rèn)數(shù)據(jù)內(nèi)容，將內(nèi)容保存起來。通過這樣的操作實現(xiàn)了不可抵賴性。

身份認(rèn)證是實現(xiàn)網(wǎng)絡(luò)安全的重要機制之一。參與電子商務(wù)的各方必須通過某種形式的身份驗證機制來證明他們的身份，驗證用戶的身份與所宣稱的是否一致，從而實現(xiàn)對于不同用戶的訪問控制和記錄。身份認(rèn)證可以通過數(shù)字簽名和數(shù)字證書來實現(xiàn)。如果接收方能夠成功解密數(shù)字簽名，就可以對發(fā)送方進(jìn)行身份認(rèn)證，確認(rèn)傳輸信息的完整性。然而，如果接收方獲得的公開密鑰不是發(fā)送方的，數(shù)字簽名就失效了。因此，僅有數(shù)字簽名不能實現(xiàn)身份認(rèn)證。數(shù)字證書提供了一種驗證用戶身份的方式，能夠確認(rèn)公鑰的確屬于某個用戶，任何需要此用戶公鑰的人都可以得到此證書并通過相應(yīng)的數(shù)字簽名來驗證公鑰的有效性。 二、從管理環(huán)境層面入手加強安全措施

（一）完善管理體制和管理環(huán)境

從整體上有計劃地考慮信息安全問題。由于各部門、公司存在個體差異，對于不同業(yè)務(wù)領(lǐng)域來說，信息安全具有不同的涵義和特征，信息安全保障體系的建設(shè)必須涵蓋各部門和各公司的信息安全保障體系的相關(guān)內(nèi)容。應(yīng)收集現(xiàn)有的已發(fā)生的電子商務(wù)安全問題及解決方案，向企業(yè)從事電子商務(wù)操作的人員及客戶搜集電子商務(wù)信息安全所面臨的潛在的問題，通過建立并保持與有關(guān)專家的對話來促使問題得到解決，并將其存儲到數(shù)據(jù)庫，使其與相應(yīng)問題連接以保證電子商務(wù)操作人員在面臨安全問題并試圖解決時能盡快獲得必要的信息。

加快信息安全人才的培養(yǎng)。通過各種形式進(jìn)行初級選拔，經(jīng)過一定時間的考察，選拔責(zé)任心強、講原則守紀(jì)律、了解市場并懂得基本網(wǎng)絡(luò)知識和安全知識的人員。對于重要的業(yè)務(wù)，尤其是企業(yè)機密文件及用戶資料等業(yè)務(wù)不要安排一個人單獨管理，應(yīng)實行兩人或多人相互制約的機制;重要業(yè)務(wù)操作人員及交易安全等職務(wù)的任期有限;對于網(wǎng)絡(luò)訪問權(quán)限的設(shè)定應(yīng)保證不同業(yè)務(wù)的人員應(yīng)具有不同的訪問權(quán)限。

提高企業(yè)和公眾安全意識。要求電子商務(wù)網(wǎng)上交易人員嚴(yán)格遵守企業(yè)網(wǎng)上交易安全制度，明確網(wǎng)上交易人員及管理人員的責(zé)任，重視管理，避免“重技術(shù)、輕管理”的現(xiàn)象。當(dāng)面臨安全問題時應(yīng)及時匯報，并對違反網(wǎng)上交易安全規(guī)定的行為進(jìn)行懲罰，對有關(guān)責(zé)任人應(yīng)進(jìn)行嚴(yán)肅處理。

（二）建立電子商務(wù)安全運行體系

一要做好電子商務(wù)網(wǎng)站的安全評估，首先要聘請專家對電子商務(wù)網(wǎng)站進(jìn)行綜合安全水平評估，及時發(fā)現(xiàn)安全隱患，及早堵塞安全漏洞。其次要建立安全體系架構(gòu)。再次是做好病毒的防護(hù)，在企業(yè)中培養(yǎng)集體防毒意識，部署統(tǒng)一的防毒策略，高效、及時地應(yīng)對病毒的入侵。最后是綜合采用多種安全技術(shù)，包括防火墻技術(shù)、入侵檢測技術(shù)、數(shù)字加密技術(shù)、數(shù)字簽名技術(shù)、認(rèn)證技術(shù)等，確保網(wǎng)站系統(tǒng)、信息及數(shù)據(jù)的安全與保密。二要建立健全電子商務(wù)法律法規(guī)，嚴(yán)厲打擊電子商務(wù)領(lǐng)域違法犯罪行為。為保證電子商務(wù)活動得以正常進(jìn)行，政府需要提供一個透明、和諧的商業(yè)法律環(huán)境。目前，我國急需制定的有關(guān)電子商務(wù)的法律法規(guī)主要有買賣雙方身份認(rèn)證辦法、電子合同的合法性程序、電子支付系統(tǒng)安全措施、信息保密規(guī)定、知識產(chǎn)權(quán)侵權(quán)處理規(guī)定、稅收征收辦法、廣告的管制以及網(wǎng)絡(luò)信息內(nèi)容過濾等。另外建議國家司法部門加大網(wǎng)絡(luò)犯罪的偵查追究力度，嚴(yán)厲打擊電子商務(wù)領(lǐng)域犯罪，營造電子商務(wù)的一片凈土。

小結(jié)

從整個社會的發(fā)展情況來看，電子商務(wù)發(fā)展的速度有些過快，致使其安全技術(shù)和安全管理沒有實現(xiàn)同步性，這是一個越來越突出和急需解決的問題。除此之外，安全是發(fā)展的、動態(tài)的，無論是網(wǎng)絡(luò)的攻防還是詐騙與反詐騙都是此消彼長的，尤其是安全技術(shù)，它的敏感性、競爭性很強，需要不斷地檢查、評估和調(diào)整相應(yīng)的安全策略。

[1]胡云.數(shù)字水印技術(shù)及其在電子商務(wù)安全領(lǐng)域的應(yīng)用[J].電腦知識與技術(shù)，2007，(3) .

[2]施仁.電子商務(wù)核心技術(shù)- 安全電子交易協(xié)議的理論與設(shè)計[M].西安:西安電子科技大學(xué)出版社，2004，（9）.