浅谈电子商务信息安全问题与对策

申请免费试用、咨询电话：400-8352-114

　　（中国电子商务研究中心讯）由于电子商务的开放性及其所基于的网络全球性、无缝连通性、共享性、动态性的发展，使得电子商务的安全问题成为现今的聚焦中心，并制约着电子商务的进一步发展。所以，搭建一个安全可靠的商务平台，成为电子商务发展的关键问题。电子商务技术的推广，很大程度依赖信息安全技术的完善和提高。电子商务信息安全技术也随之摆上了人们的重要议事日程。

　　一、电子商务信息安全的主要问题

　　电子商务主要依托Internet平台完成交易过程中双方的身份、资金等信息的传输。由于Internet的开放性、共享性、无缝连通性，安全问题是电子商务的主要技术问题，安全问题是商家和消费者以及银行最关心的问题，主要面临以下威胁：一是信息篡改，电子的交易信息在网络传输过程中，信息可能会被人、被第三者非法篡改，导致信息失去了真实性和完整性。二是信息破坏，由于一些硬件和软件问题或者是一些恶意病毒使一些信息遭到破坏。三是身份识别，若没有身份识别，交易的一方就可以对交易内容否认或者是欺诈，或者会有第三方来冒充交易的一方。四是信息泄密，即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。

　　二、问题的成因分析

　　信息安全问题的出现，既有管理原因，也有技术原因，既有本身缺陷，也有外来因素所致，归结起来，主要有以下四方面的原因：

　　1.电脑黑客

　　黑客对于系统和编程语言大多有着深刻的认识，它是指对于电脑系统的非法入侵者，他们对于网络存在着一定程度的攻击性，也进一步恶化了网络环境。

　　2.计算机病毒

　　计算机病毒的主要危害在于激发对计算机数据信息的直接破坏作用，占用磁盘空间和对信息的破坏，抢占系统资源，影响计算机运行速度，出现计算机病毒错误与不可预见的危害。人们不可能花费大量时间去分析数万种病毒的错误所在，大量含有未知错误的病毒扩散传播，其后果是难以预料的。计算机病毒的兼容性影响系统运行。兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件有限制，要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机，并且对用户造成严重的心理压力。

　　3.技术因素

　　网络软件设计时不可能完美无缺，总会出现一些缺陷和漏洞。这些漏洞和缺陷正是黑客进行攻击的首选目标，而且目前还没有一些技术能提前全部防范这些病毒和黑客。

　　4.管理因素

　　用户安全意识淡薄、管理不善是当前存在的一个严重的问题。主要有以下三点：一是一些国家如中国缺乏强有力的权威管理机构，网络安全立法滞后，安全管理部门受人力、技术等条件的限制影响着安全管理措施的有效实施；二是缺乏安全审计，安全审计是把与安全相关的事件记录到安全日志中，但是现有的网络系统大多数缺少安全审计，安全日志形同虚设；三是安全意识淡薄，人们对信息安全认识不够，过分依赖信息安全产品，缺乏细致的内部网络管理机制，一些用户警惕性不高，操作麻痹，甚至把自己账号随意交给他人。

　　三、常用网络安全技术

　　1.反病毒软件

　　反病毒软件已成为人们抵御病毒进攻的有力武器。目前的反病毒软件具有几项技术特色。一是防火墙技术，其目的是保护内部网络不受外部网络的攻击，及防止内部网络用户向外泄密，为用户提供一个实时监控防止病毒发作的工具。它对用户访问的每一个文件进行病毒检测，确认无毒后才会让系统接管进行下一步的工作。目前，防火墙技术主要分为分组过滤和代理服务两种类型。二是反病毒软件在线升级的方式。三是统一的防病毒管理。四是嵌人式查毒技术的形成，它将杀毒引擎直接嵌挂到IE浏览器和流行办公软件组件当中，使其与可能发生病毒侵扰的应用程序有机地结合为一体，在占用系统资源最小的情况下查杀病毒。

　　2.密码技术

　　密码技术包括加密和解密两个方面。密码技术可对信息进行加密解密处理，实现信息的安全，这两者之间是密不可分的。加密是指采用数学方法对原始信息进行加工，使得加密后在网络上公开传输的内容对于非法接收者只是毫无意义的字符，对于合法的接收者，因其掌握正确的密钥，可以通过解密得到原始内容。密码系统至少包含明文、密文、密码技术，密钥几个部分。

　　3.入侵检测技术

　　入侵检测技术是对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。入侵检测技术针对包括系统外部的入侵和内部用户的非授权行为，是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

　　入侵检测通过执行以下任务来实现：监视、分析用户及系统活动，系统构造和弱点的审计，识别反映已知进攻的活动模式并向相关人士报警，异常行为模式的统计分析，评估重要系统和数据文件的完整性，操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

　　4.虚拟专用网（VPN）技术

　　虚拟专用网（VPN）技术是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

　　四、提高电子商务信息安全的对策探讨

　　1.开展网络安全立法和执法

　　网络安全立法要吸取和借鉴国外网络信息安全立法的先进经验，结合我国国情对现行法律体系进行修改与补充，使法律体系更加科学和完善。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度，提高执法效率和质量。要对违犯国家法律法规，对计算机信息存储系统、应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。

　　2.提高网络信息安全意识

　　以有效方式和途径在全社会普及网络安全知识，提高公民的网络安全意识与自觉性，学会维护网络安全的基本技能，并在思想上把信息资源共享与信息安全防护有机统一起来，树立维护信息安全就是保生存、促发展的观念。

　　3.加强网络安全管理

　　建立信息安全领导机构，有效统一、协调和研究未来趋势，制定宏观政策，实施重大决定。严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》，明确责任，规范岗位职责，制定有效防范措施，并且严把用户入网关，合理设置访问权限等。

　　4.加快网络安全专业人才的培养

　　加大对有良好基础的科研教育基地的支持和投入，加强与国外的经验技术交流，及时掌握国际上最先进的安全防范手段和技术措施，确保在较高层次上处于主动，加强对内部人员的网络安全培训，防止堡垒从内部攻破，使高素质的人才在高水平的教研环境中迅速成长和提高。

　　电子商务模式相对于传统商务模式，具有便捷、高效的特点。电子商务信息安全问题有赖于对公钥基础设施PKI开发与应用、支付协议、物流配送协议、XML和标准化等方面深入研究和完善。同时，还必须与完善的管理相结合，才能为用户提供更为可靠的电子商务安全基础，才能促进电子商务的良好发展与和应用。