淺談電子商務(wù)信息安全問題與對策

申請免費(fèi)試用、咨詢電話：400-8352-114

　?。ㄖ袊娮由虅?wù)研究中心訊）由于電子商務(wù)的開放性及其所基于的網(wǎng)絡(luò)全球性、無縫連通性、共享性、動(dòng)態(tài)性的發(fā)展，使得電子商務(wù)的安全問題成為現(xiàn)今的聚焦中心，并制約著電子商務(wù)的進(jìn)一步發(fā)展。所以，搭建一個(gè)安全可靠的商務(wù)平臺(tái)，成為電子商務(wù)發(fā)展的關(guān)鍵問題。電子商務(wù)技術(shù)的推廣，很大程度依賴信息安全技術(shù)的完善和提高。電子商務(wù)信息安全技術(shù)也隨之?dāng)[上了人們的重要議事日程。

　　一、電子商務(wù)信息安全的主要問題

　　電子商務(wù)主要依托Internet平臺(tái)完成交易過程中雙方的身份、資金等信息的傳輸。由于Internet的開放性、共享性、無縫連通性，安全問題是電子商務(wù)的主要技術(shù)問題，安全問題是商家和消費(fèi)者以及銀行最關(guān)心的問題，主要面臨以下威脅：一是信息篡改，電子的交易信息在網(wǎng)絡(luò)傳輸過程中，信息可能會(huì)被人、被第三者非法篡改，導(dǎo)致信息失去了真實(shí)性和完整性。二是信息破壞，由于一些硬件和軟件問題或者是一些惡意病毒使一些信息遭到破壞。三是身份識別，若沒有身份識別，交易的一方就可以對交易內(nèi)容否認(rèn)或者是欺詐，或者會(huì)有第三方來冒充交易的一方。四是信息泄密，即交易雙方進(jìn)行交易的內(nèi)容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。

　　二、問題的成因分析

　　信息安全問題的出現(xiàn)，既有管理原因，也有技術(shù)原因，既有本身缺陷，也有外來因素所致，歸結(jié)起來，主要有以下四方面的原因：

　　1.電腦黑客

　　黑客對于系統(tǒng)和編程語言大多有著深刻的認(rèn)識，它是指對于電腦系統(tǒng)的非法入侵者，他們對于網(wǎng)絡(luò)存在著一定程度的攻擊性，也進(jìn)一步惡化了網(wǎng)絡(luò)環(huán)境。

　　2.計(jì)算機(jī)病毒

　　計(jì)算機(jī)病毒的主要危害在于激發(fā)對計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用，占用磁盤空間和對信息的破壞，搶占系統(tǒng)資源，影響計(jì)算機(jī)運(yùn)行速度，出現(xiàn)計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害。人們不可能花費(fèi)大量時(shí)間去分析數(shù)萬種病毒的錯(cuò)誤所在，大量含有未知錯(cuò)誤的病毒擴(kuò)散傳播，其后果是難以預(yù)料的。計(jì)算機(jī)病毒的兼容性影響系統(tǒng)運(yùn)行。兼容性是計(jì)算機(jī)軟件的一項(xiàng)重要指標(biāo)，兼容性好的軟件可以在各種計(jì)算機(jī)環(huán)境下運(yùn)行，反之兼容性差的軟件則對運(yùn)行條件有限制，要求機(jī)型和操作系統(tǒng)版本等。病毒的編制者一般不會(huì)在各種計(jì)算機(jī)環(huán)境下對病毒進(jìn)行測試，因此病毒的兼容性較差，常常導(dǎo)致死機(jī)，并且對用戶造成嚴(yán)重的心理壓力。

　　3.技術(shù)因素

　　網(wǎng)絡(luò)軟件設(shè)計(jì)時(shí)不可能完美無缺，總會(huì)出現(xiàn)一些缺陷和漏洞。這些漏洞和缺陷正是黑客進(jìn)行攻擊的首選目標(biāo)，而且目前還沒有一些技術(shù)能提前全部防范這些病毒和黑客。

　　4.管理因素

　　用戶安全意識淡薄、管理不善是當(dāng)前存在的一個(gè)嚴(yán)重的問題。主要有以下三點(diǎn)：一是一些國家如中國缺乏強(qiáng)有力的權(quán)威管理機(jī)構(gòu)，網(wǎng)絡(luò)安全立法滯后，安全管理部門受人力、技術(shù)等條件的限制影響著安全管理措施的有效實(shí)施；二是缺乏安全審計(jì)，安全審計(jì)是把與安全相關(guān)的事件記錄到安全日志中，但是現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)大多數(shù)缺少安全審計(jì)，安全日志形同虛設(shè)；三是安全意識淡薄，人們對信息安全認(rèn)識不夠，過分依賴信息安全產(chǎn)品，缺乏細(xì)致的內(nèi)部網(wǎng)絡(luò)管理機(jī)制，一些用戶警惕性不高，操作麻痹，甚至把自己賬號隨意交給他人。

　　三、常用網(wǎng)絡(luò)安全技術(shù)

　　1.反病毒軟件

　　反病毒軟件已成為人們抵御病毒進(jìn)攻的有力武器。目前的反病毒軟件具有幾項(xiàng)技術(shù)特色。一是防火墻技術(shù)，其目的是保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊，及防止內(nèi)部網(wǎng)絡(luò)用戶向外泄密，為用戶提供一個(gè)實(shí)時(shí)監(jiān)控防止病毒發(fā)作的工具。它對用戶訪問的每一個(gè)文件進(jìn)行病毒檢測，確認(rèn)無毒后才會(huì)讓系統(tǒng)接管進(jìn)行下一步的工作。目前，防火墻技術(shù)主要分為分組過濾和代理服務(wù)兩種類型。二是反病毒軟件在線升級的方式。三是統(tǒng)一的防病毒管理。四是嵌人式查毒技術(shù)的形成，它將殺毒引擎直接嵌掛到IE瀏覽器和流行辦公軟件組件當(dāng)中，使其與可能發(fā)生病毒侵?jǐn)_的應(yīng)用程序有機(jī)地結(jié)合為一體，在占用系統(tǒng)資源最小的情況下查殺病毒。

　　2.密碼技術(shù)

　　密碼技術(shù)包括加密和解密兩個(gè)方面。密碼技術(shù)可對信息進(jìn)行加密解密處理，實(shí)現(xiàn)信息的安全，這兩者之間是密不可分的。加密是指采用數(shù)學(xué)方法對原始信息進(jìn)行加工，使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對于非法接收者只是毫無意義的字符，對于合法的接收者，因其掌握正確的密鑰，可以通過解密得到原始內(nèi)容。密碼系統(tǒng)至少包含明文、密文、密碼技術(shù)，密鑰幾個(gè)部分。

　　3.入侵檢測技術(shù)

　　入侵檢測技術(shù)是對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和相應(yīng)處理的系統(tǒng)。入侵檢測技術(shù)針對包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為，是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

　　入侵檢測通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)，系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)，識別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警，異常行為模式的統(tǒng)計(jì)分析，評估重要系統(tǒng)和數(shù)據(jù)文件的完整性，操作系統(tǒng)的審計(jì)跟蹤管理，并識別用戶違反安全策略的行為。

　　4.虛擬專用網(wǎng)（VPN）技術(shù)

　　虛擬專用網(wǎng)（VPN）技術(shù)是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

　　四、提高電子商務(wù)信息安全的對策探討

　　1.開展網(wǎng)絡(luò)安全立法和執(zhí)法

　　網(wǎng)絡(luò)安全立法要吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn)，結(jié)合我國國情對現(xiàn)行法律體系進(jìn)行修改與補(bǔ)充，使法律體系更加科學(xué)和完善。要建立有利于信息安全案件訴訟與公、檢、法機(jī)關(guān)辦案的制度，提高執(zhí)法效率和質(zhì)量。要對違犯國家法律法規(guī)，對計(jì)算機(jī)信息存儲(chǔ)系統(tǒng)、應(yīng)用程序或傳輸?shù)臄?shù)據(jù)進(jìn)行刪除、修改、增加、干擾的行為依法懲處。

　　2.提高網(wǎng)絡(luò)信息安全意識

　　以有效方式和途徑在全社會(huì)普及網(wǎng)絡(luò)安全知識，提高公民的網(wǎng)絡(luò)安全意識與自覺性，學(xué)會(huì)維護(hù)網(wǎng)絡(luò)安全的基本技能，并在思想上把信息資源共享與信息安全防護(hù)有機(jī)統(tǒng)一起來，樹立維護(hù)信息安全就是保生存、促發(fā)展的觀念。

　　3.加強(qiáng)網(wǎng)絡(luò)安全管理

　　建立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，有效統(tǒng)一、協(xié)調(diào)和研究未來趨勢，制定宏觀政策，實(shí)施重大決定。嚴(yán)格執(zhí)行《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》與《計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)管理辦法》，明確責(zé)任，規(guī)范崗位職責(zé)，制定有效防范措施，并且嚴(yán)把用戶入網(wǎng)關(guān)，合理設(shè)置訪問權(quán)限等。

　　4.加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)

　　加大對有良好基礎(chǔ)的科研教育基地的支持和投入，加強(qiáng)與國外的經(jīng)驗(yàn)技術(shù)交流，及時(shí)掌握國際上最先進(jìn)的安全防范手段和技術(shù)措施，確保在較高層次上處于主動(dòng)，加強(qiáng)對內(nèi)部人員的網(wǎng)絡(luò)安全培訓(xùn)，防止堡壘從內(nèi)部攻破，使高素質(zhì)的人才在高水平的教研環(huán)境中迅速成長和提高。

　　電子商務(wù)模式相對于傳統(tǒng)商務(wù)模式，具有便捷、高效的特點(diǎn)。電子商務(wù)信息安全問題有賴于對公鑰基礎(chǔ)設(shè)施PKI開發(fā)與應(yīng)用、支付協(xié)議、物流配送協(xié)議、XML和標(biāo)準(zhǔn)化等方面深入研究和完善。同時(shí)，還必須與完善的管理相結(jié)合，才能為用戶提供更為可靠的電子商務(wù)安全基礎(chǔ)，才能促進(jìn)電子商務(wù)的良好發(fā)展與和應(yīng)用。