導(dǎo)語：電子商務(wù)安全問題論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：電子商務(wù)的安全是一個復(fù)雜系統(tǒng)工程，需要從技術(shù)角度和立法等方面加以保障，以規(guī)范電子商務(wù)存在的各類問題。文章討論了電子商務(wù)應(yīng)用中所存在的安全問題，對電子商務(wù)的安全性技術(shù)進(jìn)行了分析。

關(guān)鍵詞：電子商務(wù)；安全問題；網(wǎng)絡(luò)協(xié)議安全性；信息安全

一、電子商務(wù)存在的安全性問題

（一）電子商務(wù)安全的主要問題

1．網(wǎng)絡(luò)協(xié)議安全性問題：由于TCP/IP本身的開放性，企業(yè)和用戶在電子交易過程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來傳送的，惡意攻擊者很容易對某個電子商務(wù)網(wǎng)站展開數(shù)據(jù)包攔截，甚至對數(shù)據(jù)包進(jìn)行修改和假冒。

2．用戶信息安全性問題：目前最主要的電子商務(wù)形式是基于B/S（Browser/Server）結(jié)構(gòu)的電子商務(wù)網(wǎng)站，用戶使用瀏覽器登錄網(wǎng)絡(luò)進(jìn)行交易，由于用戶在登錄時使用的可能是公共計算機(jī)，那么如果這些計算機(jī)中有惡意木馬程序或病毒，這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。

3．電子商務(wù)網(wǎng)站的安全性問題：有些企業(yè)建立的電子商務(wù)網(wǎng)站本身在設(shè)計制作時就會有一些安全隱患，服務(wù)器操作系統(tǒng)本身也會有漏洞，不法攻擊者如果進(jìn)入電子商務(wù)網(wǎng)站，大量用戶信息及交易信息將被竊取。

（二）電子商務(wù)安全問題的具體表現(xiàn)

1．信息竊取、篡改與破壞。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中，可能會被他人非法修改、刪除或重放，從而使信息失去了真實(shí)性和完整性。包括網(wǎng)絡(luò)硬件和軟件的問題而導(dǎo)致信息傳遞的丟失與謬誤；以及一些惡意程序的破壞而導(dǎo)致電子商務(wù)信息遭到破壞。

2．身份假冒。如果不進(jìn)行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易，敗壞被假冒一方的聲譽(yù)或盜竊被假冒一方的交易成果等。

3．誠信安全問題。電子商務(wù)的在線支付形式有電子支票、電子錢包、電子現(xiàn)金、信用卡支付等。但是采用這幾種支付方式，都要求消費(fèi)者先付款，然后商家再發(fā)貨。因此，誠信安全也是影響電子商務(wù)快速發(fā)展的一個重要問題。

4．交易抵賴。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。交易抵賴包括多個方面，如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容，收信者事后否認(rèn)曾經(jīng)收到過某條消息或內(nèi)容，購買者做了定貨單不承認(rèn)，商家賣出的商品因價格差而不承認(rèn)原有的交易等。

5．病毒感染。各種新型病毒及其變種迅速增加，不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑。我國計算機(jī)病毒主要就是蠕蟲等病毒在網(wǎng)上的猖獗傳播。蠕蟲主要是利用系統(tǒng)的漏洞進(jìn)行自動傳播復(fù)制，由于傳播過程中產(chǎn)生巨大的掃描或其他攻擊流量，從而使網(wǎng)絡(luò)流量急劇上升，造成網(wǎng)絡(luò)訪問速度變慢甚至癱瘓。

6．黑客。黑客指的是一些以獲得對其他人的計算機(jī)或者網(wǎng)絡(luò)的訪問權(quán)為樂的計算機(jī)愛好者。而其他一些被稱為“破壞者（cracker）”的黑客則懷有惡意，他們會摧毀整個計算機(jī)系統(tǒng)，竊取或者損害保密數(shù)據(jù)，修改網(wǎng)頁，甚至最終導(dǎo)致業(yè)務(wù)的中斷。一些業(yè)余水平的黑客只會在網(wǎng)上尋找黑客工具，在不了解這些工具的工作方式和它們的后果的情況下使用這些工具。

7．特洛伊木馬程序。特洛伊木馬程序簡稱特洛伊，是破壞性代碼的傳輸工具。特洛伊表面上看起來是無害的或者有用的軟件程序，例如計算機(jī)游戲，但是它們實(shí)際上是“偽裝的敵人”。特洛伊可以刪除數(shù)據(jù)，將自身的復(fù)本發(fā)送給電子郵件地址簿中的收件人，以及開啟計算機(jī)進(jìn)行其他攻擊。只有通過磁盤，從互聯(lián)網(wǎng)上下載文件，或者打開某個電子郵件附件，將特洛伊木馬程序復(fù)制到一個系統(tǒng)，才可能感染特洛伊。無論是特洛伊還是病毒并不能通過電子郵件本身傳播——它們只可能通過電子郵件附件傳播。

8．惡意破壞程序。網(wǎng)站提供一些軟件應(yīng)用（例如ActiveX和JavaApplet），由于這些應(yīng)用非常便于下載和運(yùn)行，從而提供了一種造成損害的新工具。惡意破壞程序是指會導(dǎo)致不同程度的破壞的軟件應(yīng)用或者Java小程序。一個惡意破壞程序可能只會損壞一個文件，也可能損壞大部分計算機(jī)系統(tǒng)。

9．網(wǎng)絡(luò)攻擊。目前已經(jīng)出現(xiàn)的各種類型的網(wǎng)絡(luò)攻擊通常被分為三類：探測式攻擊，訪問攻擊和拒絕服務(wù)（DoS）攻擊。探測式攻擊實(shí)際上是信息采集活動，黑客們通過這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù)，用于以后進(jìn)一步攻擊網(wǎng)絡(luò)。通常，軟件工具（例如探測器和掃描器）被用于了解網(wǎng)絡(luò)資源情況，尋找目標(biāo)網(wǎng)絡(luò)、主機(jī)和應(yīng)用中的潛在漏洞。例如一種專門用于破解密碼的軟件，這種軟件是為網(wǎng)絡(luò)管理員而設(shè)計的，管理員可以利用它們來幫助那些忘記密碼的員工，或者發(fā)現(xiàn)那些沒有告訴任何人自己的密碼就離開了公司的員工的密碼。但這種軟件如果被錯誤的人使用，就將成為一種非常危險的武器。訪問攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議（FTP）功能等網(wǎng)絡(luò)領(lǐng)域的漏洞，以訪問電子郵件帳號、數(shù)據(jù)庫和其他保密信息。DoS攻擊可以防止用戶對于部分或者全部計算機(jī)系統(tǒng)的訪問。它們的實(shí)現(xiàn)方法通常是：向某個連接到企業(yè)網(wǎng)絡(luò)或者互聯(lián)網(wǎng)的設(shè)備發(fā)送大量的雜亂的或者無法控制的數(shù)據(jù)，從而讓正常的訪問無法到達(dá)該主機(jī)。更惡毒的是分布式拒絕服務(wù)攻擊（DDoS），在這種攻擊中攻擊者將會危及多個設(shè)備或者主機(jī)的安全。

二、電子商務(wù)安全技術(shù)措施

電子商務(wù)的安全性策略可分為兩大部分：一部分是計算機(jī)網(wǎng)絡(luò)安全，第二部分是商務(wù)交易安全。電子商務(wù)中的安全性技術(shù)主要有以下幾種：

1．?dāng)?shù)據(jù)加密技術(shù)。對數(shù)據(jù)進(jìn)行加密是電子商務(wù)系統(tǒng)最基本的信息安全防范措施。其原理是利用加密算法將信息明文轉(zhuǎn)換成按一定加密規(guī)則生成的密文后進(jìn)行傳輸，從而保證數(shù)據(jù)的保密性。使用數(shù)據(jù)加密技術(shù)可以解決信息本身的保密性要求。數(shù)據(jù)加密技術(shù)可分為對稱密鑰加密和非對稱密鑰加密。

對稱密鑰加密（SecretKeyEncryption）。對稱密鑰加密也叫秘密/專用密鑰加密，即發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰對明文進(jìn)行加密和解密運(yùn)算。它的優(yōu)點(diǎn)是加密、解密速度快，適合于對大量數(shù)據(jù)進(jìn)行加密，能夠保證數(shù)據(jù)的機(jī)密性和完整性；缺點(diǎn)是當(dāng)用戶數(shù)量大時，分配和管理密鑰就相當(dāng)困難。目前常用的對稱加密算法有：美國國家標(biāo)準(zhǔn)局提出DES算法、由瑞士聯(lián)邦理工學(xué)院的IDEA算法等。

非對稱密鑰加密（PublicKeyEncryption）。非對稱密鑰加密也叫公開密鑰加密，它主要指每個人都有一對唯一對應(yīng)的密鑰：公開密鑰（簡稱公鑰）和私人密鑰（簡稱私鑰）公鑰對外公開，私鑰由個人秘密保存，用其中一把密鑰來加密，就只能用另一把密鑰來解密。非對稱密鑰加密算法的優(yōu)點(diǎn)是易于分配和管理，缺點(diǎn)是算法復(fù)雜，加密速度慢。一般用公鑰來進(jìn)行加密，用私鑰來進(jìn)行簽名；同時私鑰用來解密，公鑰用來驗(yàn)證簽名。算法的加密強(qiáng)度主要取決于選定的密鑰長度。目前常用的非對稱加密算法有：麻省理工學(xué)院的RSA算法、美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會的SHA算法等。

復(fù)雜加密技術(shù)。由于上述兩種加密技術(shù)各有長短，目前比較普遍的做法是將兩種技術(shù)進(jìn)行集成。向解密后得到明文。

2．?dāng)?shù)字簽名技術(shù)。數(shù)字簽名是通過特定密碼運(yùn)算生成一系列符號及代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證，其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章的驗(yàn)證所無法比擬的。數(shù)字簽名技術(shù)可以保證信息傳送的完整性和不可抵賴性。

3．認(rèn)證機(jī)構(gòu)和數(shù)字證書。所謂CA認(rèn)證機(jī)構(gòu)，它是采用PKI（PublicKeyInfrastructure）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，利用數(shù)字證書、非對稱和對稱加密算法、數(shù)字簽名、數(shù)字信封等加密技術(shù)，建立起安全程度極高的加解密和身份認(rèn)證系統(tǒng)，確保電子交易有效、安全地進(jìn)行，從而使信息除發(fā)送方和接收方外，不被其他方知悉（保密性）；保證傳輸過程中不被篡改（完整性和一致性）；發(fā)送方確信接收方不是假冒的；發(fā)送方不能否認(rèn)自己的發(fā)送行為（不可抵賴性）。電子商務(wù)安全性的解決，大大地推動了電子商務(wù)的發(fā)展。在電子交易中，無論是數(shù)字時間戳服務(wù)還是數(shù)字證書的發(fā)放，都不是靠交易雙方自己能完成的，而需要有一個具有權(quán)威性和公正性的第三方來完成。CA認(rèn)證機(jī)構(gòu)作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，專門負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上交易的實(shí)體所需的數(shù)字證書。

4．安全認(rèn)證協(xié)議。目前電子商務(wù)中經(jīng)常使用的有安全套接層SSL（SecureSocketsLayer）協(xié)議和安全電子交易SET（SecureElectronicTransaction）協(xié)議兩種安全認(rèn)證協(xié)議。

安全套接層（SSL）協(xié)議。SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。SSL協(xié)議是一個保證任何安裝了安全套接層的客戶和服務(wù)器間事務(wù)安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。目的是為用戶提供Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)。SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法，連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如HTTP、FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩?。SSL協(xié)議握手流程由兩個階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證。SSL采用了公開密鑰和專有密鑰兩種加密：在建立連接過程中采用公開密鑰；在會話過程中使用專有密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務(wù)器間事務(wù)的安全性。

安全電子交易（SET）協(xié)議。SET協(xié)議是針對開放網(wǎng)絡(luò)上安全、有效的銀行卡交易，由維薩（Visa）公司和萬事達(dá)（Mastercard）公司聯(lián)合研制的，為Internet上卡支付交易提供高層的安全和反欺詐保證。由于它得到了IBM、HP、Microsoft等很多大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，目前已獲得IETF標(biāo)準(zhǔn)的認(rèn)可。這是一個為Internet上進(jìn)行在線交易而設(shè)立的一個開放的、以電子貨幣為基礎(chǔ)的電子付款規(guī)范。SET在保留對客戶信用卡認(rèn)證的前提下，又增加了對商家身份的認(rèn)證，這對于需要支付貨幣的交易來講是至關(guān)重要的。SET將建立一種能在Internet上安全使用銀行卡購物的標(biāo)準(zhǔn)。安全電子交易規(guī)范是一種為基于信用卡而進(jìn)行的電子交易提供安全措施的規(guī)則，SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和防抵賴性，且SET協(xié)議采用了雙重簽名來保證各參與方信息的相互隔離，使商家只能看到持卡人的訂購數(shù)據(jù)，而銀行只能取得持卡人的信用卡信息。所以它是一種能廣泛應(yīng)用于Internet上的安全電子付款協(xié)議，它能夠?qū)⑵毡閼?yīng)用的信用卡的使用場所從目前的商店擴(kuò)展到消費(fèi)者家里，擴(kuò)展到消費(fèi)者個人計算機(jī)中。

5．其他安全技術(shù)。電子商務(wù)安全中，常用的方法還有網(wǎng)絡(luò)中采用防火墻技術(shù)、虛擬專用網(wǎng)（VPN）技術(shù)、防病毒保護(hù)等。如果單純依靠某個單項(xiàng)電子商務(wù)安全技術(shù)是不夠的，還必須與其他安全措施綜合使用才能為用戶提供更為可靠的電子商務(wù)安全基石。

電子商務(wù)的安全是一個復(fù)雜系統(tǒng)工程，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)方面的立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題，從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn)

[1]覃征，李順東．電子商務(wù)概論[M]．北京：高等教育出版社，2006，（6）．

[2]余小兵．淺談電子商務(wù)中的安全問題[J]．科技咨詢導(dǎo)報，2007，（2）．

[3]曾鳳生．電子商務(wù)安全需求及防護(hù)策略[J]．?dāng)?shù)據(jù)庫及信息管理，2007，（6）．

[4]王維新．電子商務(wù)安全性的技術(shù)分析[J]．西安文理學(xué)院學(xué)報，2006，9（3）．

[5]姜旭平．電子商務(wù)基礎(chǔ)教程[M]．機(jī)械工業(yè)出版社，2005，2（1）．

[6]劉曼春．淺談電子商務(wù)中的安全隱患和措施[N]．湖南工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報，2006，6（2）．