隨著Internet和電子商務的廣泛應用,人們的生產和生活方式也在發(fā)生著深刻的改變，電子商務在現(xiàn)代商務活動中正變得日趨重要，因而人們對網(wǎng)絡尤其是電子商務的應用安全關注越來越高。但由于Internet自身的開放性使得電子商務應用面臨著嚴峻的安全挑戰(zhàn)。本文采用了定性和定量相結合的方式，使用統(tǒng)計、文獻、比較、歸納等多種研究方法，借助管理學中的相關理論對當前電子商務平臺發(fā)展常見問題及解決方案作了探討。

　　《電子商務》創(chuàng)刊于1997年，由中國科學技術協(xié)會主管，中國電子學會和中國信息產業(yè)商會主辦。國內刊號CN：11-4499/TN;國際刊號ISSN：1009-6108，郵代號：2—266。創(chuàng)刊宗旨：促進電子商務在中國的發(fā)展，為我國經(jīng)濟的信息化、現(xiàn)代化服務。是國家商務信息化發(fā)展的典藏薈萃、企業(yè)新經(jīng)濟模式的決策參考、電子商務人員的顧問。

　　1.電子商務平臺常見安全缺陷分析

　　隨著電子商務的飛速發(fā)展，企業(yè)電子商務平臺也在快速更新，但電子商務的發(fā)展受到許多因素的制約，如社會認同、交易成本、物流配送、信用與法律問題、安全問題等。在這些問題當中，安全問題是一個核心問題。電子商務基于開放的互連網(wǎng)，大量的信息在網(wǎng)上傳遞，大量的資金在網(wǎng)上劃撥流動，必然面臨各種安全風險，諸如信息泄露或篡改、欺騙、抵賴等。電子商務系統(tǒng)的關鍵是保證交易數(shù)據(jù)和交易過程的安全。電子商務的安全性包括保密性、認證性、接人控制、完整性、不可否認性和匿名性等方面。網(wǎng)絡安全就是如何保證網(wǎng)絡上存儲和傳輸?shù)男畔⒌陌踩�性。但是由于在互�?lián)網(wǎng)絡設計之初，只考慮方便性、開放性，使得互聯(lián)網(wǎng)絡非常脆弱。極易受到黑客的攻擊或有組織的群體人侵。也會由于系統(tǒng)內部人員的不規(guī)范使用和惡意破壞，使得網(wǎng)絡信息系統(tǒng)遭到破壞，信息泄露。概括起來，電子商務面臨的安全威脅主要有：

　　1.1 TCP/IP網(wǎng)絡協(xié)議安全性問題

　　目前，TCP/IP協(xié)議是目前大多數(shù)企業(yè)的基本網(wǎng)絡協(xié)議，但由于TCP/IP本身的開放性特點，企業(yè)和用戶在電子交易過程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來傳送的，惡意攻擊者很容易對某個電子商務網(wǎng)站展開數(shù)據(jù)包攔截，甚至對數(shù)據(jù)包進行修改和假冒，從而給企業(yè)帶來難以估量的損失，因此該缺陷要采取果斷舉措。

　　1.2 用戶信息安全性問題

　　目前大多數(shù)企業(yè)采用的最主要的電子商務形式是基于B/S(Browser/Server)結構的電子商務網(wǎng)站，企業(yè)員工使用瀏覽器登錄網(wǎng)絡進行交易，由于他們在登錄時使用的可能是公共計算機，如網(wǎng)吧、辦公室的計算機等情況，那么如果這些計算機中有惡意木馬程序或病毒，他們的登錄信息如用戶名、口令可能會有丟失的危險，進而對企業(yè)造成嚴重的損失。因此用戶信息安全性問題，成為迫不及待要解決的問題。

　　1.3 電子商務網(wǎng)站的安全性問題

　　目前大部分企業(yè)建立的電子商務網(wǎng)站本身在設計制作時就會有一些安全隱患，服務器操作系統(tǒng)本身也會有漏洞，不法攻擊者如果進入電子商務網(wǎng)站，大量用戶信息及交易信息將被竊取，給企業(yè)和用戶造成難以估量的損失。所以，針對企業(yè)網(wǎng)站的安全性實施必要的措施是不可不進行的舉措。

　　2.企業(yè)電子商務平臺缺陷解決方案

　　2.1針對企業(yè)協(xié)議安全性問題解決方案

　　2.1.1虛擬專網(wǎng)技術

　　增設虛擬專網(wǎng)技術(VPN技術)是解決企業(yè)協(xié)議安全性問題的一個有效途徑。虛擬專用網(wǎng)是通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。通常，VPN 是對企業(yè)內部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN 可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN 架構中采用了多種安全機制，如隧道技術( Tunneling )、加解密技術( Encryption )、密鑰管理技術、身份認證技術( Authentication )等，通過上述的各項網(wǎng)絡安全技術，確保資料在公眾網(wǎng)絡中傳輸時的安全性。

　　2.1.2 網(wǎng)路掃描技術

　　解決企業(yè)網(wǎng)絡層安全問題，首先要清楚網(wǎng)絡中存在的安全隱患和脆弱點的范圍，面對大型網(wǎng)絡的復雜性和不斷變化的情況依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞。做出風險評估顯然是不現(xiàn)實的。因此需要找出一種能尋找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具。

　　2.2針對企業(yè)用戶信息安全性問題解決方案

　　2.2.1防火墻技術

　　通過增設防火墻技術能很好地解決這一問題，"防火墻"是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯(lián)網(wǎng)與內部網(wǎng)之間建立起一個安全網(wǎng)關( security gateway), 從而保護內部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內部網(wǎng)(通常這局域網(wǎng)或城域網(wǎng))隔開的屏障。

　　2.2.2數(shù)據(jù)完整性鑒別技術

　　該技術的目的是對介入信息的傳送、存取、處理的人的身份和相關數(shù)據(jù)內容進行驗證, 達到保密的要求, 一般包括口令、密鑰、身份 、數(shù)據(jù)等項的鑒別, 系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設定的參數(shù), 實現(xiàn)對數(shù)據(jù)的安全保護。這種鑒別技術主要應用于大型的數(shù)據(jù)庫管理系統(tǒng)中，因為一個單位的數(shù)據(jù)通常是一個單位的命脈，所以保護好公司數(shù)據(jù)庫的安全通常是一個單位網(wǎng)管、甚至到一把手的最重要的責任。數(shù)據(jù)庫系統(tǒng)會根據(jù)不同用戶設置不同訪問權限，并對其身份及權限的完整性進行嚴格識別。

　　2.2.3安全電子交易協(xié)議技術

　　在電子交易中，通常采用適當?shù)碾娮咏灰讌f(xié)議，如安全套階層協(xié)議(Secure Socket Layer，SSL)、安全電子交易協(xié)議(Secure Electronic Transaction，SET)、安全超文本傳輸協(xié)議、 安全交易技術協(xié)議等。

　　該技術是由VISA和MasterCard兩大信用卡組織指定的標準。SET用于劃分與界定電子商務活動中各方的權利義務關系，給定交易信息傳送流程標準。SET協(xié)議保證了電子商務系統(tǒng)的保密性、完整性、不可否認性和身份的合法性。

　　2.2.4 系統(tǒng)掃描技術

　　對操作系統(tǒng)這一層次需要功能全面、智能化的檢測，以幫助網(wǎng)絡管理員高效地完成定期檢測和修復操作系統(tǒng)安全漏洞的工作。系統(tǒng)管理員要不斷跟蹤有關操作系統(tǒng)漏洞的發(fā)布及時下載補丁來進行防范。同時要經(jīng)常對關鍵數(shù)據(jù)和文件進行備份和妥善保存，隨時留意系統(tǒng)文件的變化。系統(tǒng)掃描器是基于主機的一種領先的安全評估系統(tǒng)。系統(tǒng)掃描器通過對內部網(wǎng)絡安全弱點的全面分析協(xié)助企業(yè)進行安全風險管理。區(qū)別于靜態(tài)的安全策略，系統(tǒng)掃描工具對主機進行真正預防潛在安全風險問題的設置。其中包括易猜出的密碼、用戶權限、文件系統(tǒng)進入權、服務器設置以及其他含有攻擊隱患的可疑點。

　　2.3針對電子商務網(wǎng)站的安全性問題解決方案

　　2.3.1 入侵檢測系統(tǒng)

　　通過增設入侵檢測系統(tǒng)能很好地解決這一問題，IDS是繼防火墻之后的第二道安全門，它在不影響網(wǎng)絡性能的情況下依照一定的安全策略，對網(wǎng)絡的運行狀況進行監(jiān)測，通過收集并分析計算機系統(tǒng)及網(wǎng)絡介質上的各種有用信息，從而針對外部攻擊、內部攻擊和誤操作等做出響應，為交易雙方提供安全保護。

　　入侵檢測系統(tǒng)的基本模型CIDF (Common Intrusion Detection Framework)模型將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件(Event)。它既可以是網(wǎng)絡中的數(shù)據(jù)包，也可以是從系統(tǒng)日志或其他途徑得到的信息。事件產生器(Event Generators)從入侵檢測系統(tǒng)之外的計算機環(huán)境中收集事件，并向系統(tǒng)的其他部分提出此事件;事件分析器(Event Analyzers)分析得到的事件數(shù)據(jù)并將產生的分析結果傳送給其他組件;響應單元(Response Units)：根據(jù)分析結果做出響應并據(jù)此采取相應的措施如殺死相關進程、復位網(wǎng)絡會話連接、以及修改文件權限等;事件數(shù)據(jù)庫(Event Databases)：存儲和管理事件數(shù)據(jù)，以備系統(tǒng)需要的時候使用。

　　入侵檢測系統(tǒng)中的異常入侵檢測可以為所監(jiān)測的系統(tǒng)建立一個正常使用情況的數(shù)值模型,當系統(tǒng)運行時的數(shù)值與所定義的正常情況的數(shù)值有偏差時，它會做出決策判斷。如在電子商務交易過程中當用戶名與密碼多次登錄不符時應對本活動進行安全檢測。異常入侵檢測的核心就是要構造異常活動集并從中發(fā)現(xiàn)入侵性活動子集。誤用入侵檢測可以采用"IF條件THEN動作"這種帶有因果關系的結構使用由專家制定的規(guī)則來表示攻擊行為，并在此基礎上從審計事件中找出入侵。

　　2.3.2 訪問控制技術

　　除了計算機網(wǎng)絡硬設備之外.網(wǎng)絡操作系統(tǒng)是確保計算機網(wǎng)絡安全的最基本部件。它是計算機網(wǎng)絡資源的管理者必須具備安全的控制策略和保護機制防止非法入侵者攻破設防而非法獲取資源。因此，授權策略和機制的安全性顯得特別重要。保護可以從物理隔離、時間隔離、密碼隔離幾個方面加以考慮一般可以采用防火墻和VPN等訪問控制技術來加強防范。有效的安全策略和充分的安全檢測與保護措施是保護電子溝通和電子商務交易的唯一方法。信息安全技術所涉及的方面比較廣泛，如操作系統(tǒng)安全、防火墻技術、虛擬專用網(wǎng)技術、各種反黑客技術和漏洞檢測技術等各種網(wǎng)絡安全防范技術。只有綜合采用各種相關的技術手段，才能有效地提高系統(tǒng)的安全性保證電子商務的健康發(fā)展。另外在實際系統(tǒng)中，可以采用數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書、認證中心、智能卡等技術手段來提高網(wǎng)站的安全性。

　　[1]《電子商務概論》(第2版)李洪心編著;21世紀全國應用型本科電子商務與信息管理系列實用規(guī)劃教材;北京大學出版社;2010年1月印刷;

　　[2]《電子商務安全保密技術與應用》肖德琴主編;21世紀電子商務系列教材;華南理工大學出版社;2008年8月印刷;

　　[3]《電子商務安全方法研究》吳洋 天津大學 2006;

　　[4]《電子商務信息安全策略研究》李艷 甘肅科技 2005;

　　[5]《電子商務安全技術》肖和陽 盧嫣 國防科技大學出版社 2005;

　　[6]《電子商務安全》祝凌曦 北京交通大學出版社 2006。