电子商务安全问题研究:浅析电子商务安全问题

电子商务安全问题研究

[提要]本文概述电子商务所面临的安全问题，分析电子商务在安全方面的基本要求，提出解决电子商务安全应采取的措施，以及保证电子商务安全应注意的一些问题。

关键词：电子商务；安全技术；电子支付

电子商务正在成为一个全球性的经济主题，围绕电子商务安全的技术也正在逐步建立起来，所有准备或者已经开展电子商务的工商企业都应当了解其交易的技术手段，采取最先进和严密的技术措施，以便有效地维护自己的财产利益。电子商务的核心问题是安全问题，由于电子商务与生俱来的开放性和全球性的特点，使得电子商务存在着种种安全漏洞。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易，这样会导致商业机密信息或个人隐私的泄漏，从而导致巨大的利益损失。网上交易安全性若不能得到保证，就必将影响我国电子商务的顺利发展。所以研究网络环境的电子商务安全技术具有重要的现实意义。

一、电子商务面临的安全问题

电子商务的安全性并不是一个孤立的概念，它是由计算机安全性，尤其是计算机网络的安全性发展而来的。因为电子商务就是利用计算机网络的信息交换来实现电子交易，所以凡是涉及计算机网络的安全问题，无疑对于电子商务都有着重要意义。当然电子商务的安全也存在着自身的特点。计算机网络所面临的安全性威胁主要给电子商务带来了如下的安全问题：

（一）信息泄漏。在电子商务中表现为商业机密的泄漏，主要包括两个方面：

1、交易双方进行交易的内容被第三方窃取；2、交易一方提供给另一方使用的文件被第三方非法使用。

（二）篡改。在电子商务中表现为商业信息的真实性和完整性问题。电子交易信息在网络上传输的过程中，可能被他人非法的修改、删除或重放（指只能使用一次的信息被多次使用），这样就使信息失去了真实性和完整性。

（三）身份识别。1、如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。进行身份识别后，交易双方就可防止“相互猜疑”的情况；2、“不可抵赖”性。交易双方对自己的行为应负有一定的责任，信息发送者和接受者都不能对此否认。进行身份识别后，如果出现抵赖的情况，就有了反驳的依据。

（四）信息破坏。1、网络传输的可靠性。网络的硬件或软件可能会出现问题而导致交易信息传递的丢失与谬误；2、恶意破坏。计算机网络本身容易遭到一些恶意程序的破坏，而使电子商务的信息遭到破坏，如计算机病毒等。

二、电子商务对安全的基本要求

由于网上交易的安全存在问题，为了确保交易的顺利进行，必须在互联网络通讯中进行加密，并维持一种令人可信的环境和机制。在设计和实施安全方法时，对用户应该是公开和透明的。为了保障交易各方的合法权益，保证能够在安全的前提下开展电子商务，以下基本要求必须得到满足：

（一）授权合法性。安全管理人员能够控制用户的权限，分配或终止用户的访问、操作、接入等权利，但被授权用户的合法要求不能被拒绝。

（二）不可抵赖性。不可否认性就是建立有效的责任机制，防止实体否认其

行为。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方面的鉴别已是不可能的。因此要在交易信息的传输过程中为参与交易的个人、企业和国家提供可靠的标识，这样发送方和接受方在发送和接受数据后就都不能抵赖。

（三）保密性。信息的发送和接收是在安全的通道进行，保证通信双方的信息保密，交易的参与方在信息交换过程中没有被窃听的危险，非参与方不能获取交易的信息。电子商务的信息传输必须保证其不被非授权实体截获及读取。如果可能应确保交易的匿名性，确保交易者的身份和购买习惯等隐私受到保护。

（四）身份的真实性。参与交易的双方在进行安全通信前，必须通过一定的机制互相确认对方的身份，保证信息是由确定对象发出。交易方的身份不能被假冒或伪造，可以有效鉴别和确定交易方的身份。

（五）信息的完整性。信息的接收方可以验证收到的信息是否是完整一致的，是否被人篡改。由于数据输入时的意外差错或欺诈行为等，可能导致贸易各方信息的差异。所以网上支付必须保证传输过程中信息不被窜改、假冒、重发和丢失，保证目的信息和源信息的一致性。电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

三、电子商务所涉及的安全技术

（一）虚拟专用网。虚拟专用网络（VPN）是利用公用互联网络作为信息传输媒介，通过安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。虚拟专用网是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的信道，非常适合于电子数据交换（EDI）。在虚拟专用网中交易双方相互比较熟悉，而且彼此之间的数据通信量很大，只要交易双方取得一致，在虚拟专用网中就可以使用比较复杂的专用加密和认证技术，这样就可以大大提高电子商务的安全性。虚拟专用网是进行电子商务比较理想的一种形式。

以一般的生产厂家为例，生产厂家的直接合作伙伴是原料供应商和产品批发商。一方面生产厂家要想生产适销对路的产品，就要利用虚拟专用网从产品批发商那里得到产品信息，以便组织生产；另一方面为了尽量减少库存，生产厂家又要根据需求来组织原料，这一过程是通过虚拟专用网与原料供应商联系，以便原料供应商可以及时地把所需原料送到指定的地点。这样的生产方式降低了成本，提高了效率，同时由于中间都采用了虚拟专用网技术，安全性比较好。

当然虚拟专用网也存在着一些问题。如果虚拟专用网使用专用线路，则受到攻击的机会比较小，安全强度比较高，但如果使用公共线路，还是很容易受到攻击的。而且正是因为攻击虚拟专用网更具有挑战性，才更容易吸引网络黑客对其进行攻击，也带来了巨大的安全隐患。

（二）加密技术

1、加密技术的基本含义。加密技术是实现信息保密性的一种重要手段，目的是为了防止合法接收者之外的人获取信息系统中的机密信息。所谓信息加密技术，就是采用数学方法对原始信息（通常称为“明文”）进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字（加密后的信息通常称为“密文”），而对于合法的接收者，因为其掌握正确的密钥，可以通过解密过程得到原始数据（即“明文”）。由此可见在加密和解密的过程中，都要涉及信息（明文/密文）、密钥（加密密钥/解密密钥）和算法（加密算法/解密算法）这三项内容，一条信息的加密传递过程如图1。（图1）