電子商務(wù)安全策略探討

電子商務(wù)平安策略討論[摘要]本文總結(jié)了我國電子商務(wù)開展及其信息平安的現(xiàn)狀，在詳細(xì)分析了電子商務(wù)信息平安的主要威脅因素的根底上，詳細(xì)討論了電子商務(wù)平安的技術(shù)保障機(jī)制。[關(guān)鍵詞]電子商務(wù)信息平安網(wǎng)絡(luò)平安交易平安技術(shù)保障電子商務(wù)是利用互聯(lián)網(wǎng)絡(luò)進(jìn)展的商務(wù)活動。電子商務(wù)有多種定義，但內(nèi)涵大致一樣，即電子商務(wù)是利用電子數(shù)據(jù)交換、電子郵件、電子資金轉(zhuǎn)賬等方式及互聯(lián)網(wǎng)的主要技術(shù)在個人、企業(yè)和國家之間進(jìn)展的網(wǎng)上廣告及交易活動，內(nèi)容包括商品及其訂購信息、資金及其支付信息、平安及其認(rèn)證信息等方面。信息平安是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,防止網(wǎng)絡(luò)本身及網(wǎng)上傳輸?shù)男畔⒇敭a(chǎn)被成心的或偶爾的非受權(quán)泄漏、更改、破壞,或使網(wǎng)上傳輸?shù)男畔⒈环欠ㄏ到y(tǒng)識別、控制。電子商務(wù)信息平安的詳細(xì)表現(xiàn)有:竊取商業(yè)機(jī)密；泄漏商業(yè)機(jī)密；篡改交易信息，破壞信息的真實性和完好性；接收或發(fā)送虛假信息，破壞交易、盜取交易成果;偽造交易信息；非法刪除交易信息；交易信息喪失；病毒破壞;黑客入侵等。隨著互聯(lián)網(wǎng)的快速擴(kuò)張和電子商務(wù)的迅猛開展，電子商務(wù)系統(tǒng)的平安性已受到計算機(jī)病毒、網(wǎng)絡(luò)黑客、計算機(jī)系統(tǒng)自身防御性脆弱等方面的嚴(yán)峻挑戰(zhàn)。一、我國電子商務(wù)開展及其信息平安現(xiàn)狀我國電子商務(wù)始于20上世紀(jì)90年代，政府主導(dǎo)相繼施行的“金橋〞、“金卡〞、“金關(guān)〞、“金稅〞工程大大加快了我國電子商務(wù)的開展步伐。目前，我國電子商務(wù)的廣度和深度空前擴(kuò)展，已經(jīng)深化國民經(jīng)濟(jì)和日常生活的各個方面。艾瑞市場咨詢公司最新的調(diào)查數(shù)據(jù)顯示：截至2022年底，中國網(wǎng)絡(luò)購物市場總用戶數(shù)到達(dá)4310萬人，b2和2總交易額分別為82億元和230億元。然而，據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心〔nni〕的一份最新調(diào)研顯示，只有約15%的網(wǎng)民平時有網(wǎng)上購物的習(xí)慣，而不選擇網(wǎng)絡(luò)購物的原因主要由于對網(wǎng)站不信任、怕受騙，擔(dān)憂商品質(zhì)量問題和售后效勞，質(zhì)疑其平安性等。電子商務(wù)自從誕生之日起，平安問題就像幽靈一樣如影隨形而至，成為制約其進(jìn)一步開展的重要瓶頸。電子商務(wù)系統(tǒng)的平安是與計算機(jī)平安尤其是計算機(jī)網(wǎng)絡(luò)平安親密相關(guān)的，綜合當(dāng)前電子商務(wù)所面臨的網(wǎng)絡(luò)平安現(xiàn)狀不容樂觀。公安部公布了2022年全國信息網(wǎng)絡(luò)平安調(diào)查結(jié)果，結(jié)果顯示，半數(shù)以上的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)平安事件，病毒或木馬程序感染率達(dá)84%，目前，全國已有8成左右的單位安裝了防火墻和病毒查殺系統(tǒng)。對數(shù)據(jù)統(tǒng)計分析，2022年5月至2022年5月間，有54％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)平安事件，其中，感染計算機(jī)病毒、蠕蟲和木馬程序為84%，遭到端口掃描或網(wǎng)絡(luò)攻擊的占36%，垃圾郵件占35%。未修補和防范軟件破綻仍然是導(dǎo)致平安事件發(fā)生的最突出原因，占發(fā)生平安事件總數(shù)的73%。二、電子商務(wù)平安威脅的主要方面電子商務(wù)的一個重要技術(shù)特征是利用it技術(shù)來傳輸和處理商業(yè)信息。因此，從整體而言，電子商務(wù)平安有計算機(jī)網(wǎng)絡(luò)平安和商務(wù)交易平安兩個方面。計算機(jī)網(wǎng)絡(luò)平安是商務(wù)交易平安的根底；商務(wù)交易平安是電子商務(wù)平安的主要內(nèi)容。計算機(jī)網(wǎng)絡(luò)平安的內(nèi)容主要包括：計算機(jī)網(wǎng)絡(luò)設(shè)備平安、計算機(jī)網(wǎng)絡(luò)系統(tǒng)平安。網(wǎng)絡(luò)設(shè)備平安是指保護(hù)計算機(jī)主機(jī)硬件和物理線路的平安，保證其自身的可靠性和為系統(tǒng)提供根本平安前提；設(shè)備平安風(fēng)險來自硬件器件與部件失效、老化、損害，自然雷擊、靜電、電磁場干擾等多方面，有人為因素還有自然災(zāi)害所引起的故障。例如，2022年12月26日，我國臺灣附近海域發(fā)生強(qiáng)烈地震，造成中美海纜等６條國際海底通信光纜發(fā)生中斷，使附近國家和地區(qū)的國際和地區(qū)性通信受到嚴(yán)重影響，給有關(guān)企業(yè)和個人造成宏大影響和嚴(yán)重經(jīng)濟(jì)損失。網(wǎng)絡(luò)系統(tǒng)平安是指保護(hù)用戶計算機(jī)、網(wǎng)絡(luò)效勞器等網(wǎng)絡(luò)資源上的軟件系統(tǒng)能正常工作，網(wǎng)絡(luò)通信及其網(wǎng)絡(luò)操作能平安、正常完成。網(wǎng)絡(luò)系統(tǒng)平安風(fēng)險來自系統(tǒng)的構(gòu)造設(shè)計缺陷、網(wǎng)絡(luò)平安配置缺陷、系統(tǒng)存在的平安破綻、惡意的網(wǎng)絡(luò)攻擊和病毒侵入等多方面。網(wǎng)絡(luò)系統(tǒng)平安是計算機(jī)網(wǎng)絡(luò)平安的主要方面。計算機(jī)網(wǎng)絡(luò)平安的特征是針對計算機(jī)網(wǎng)絡(luò)本身可能存在的平安問題，施行網(wǎng)絡(luò)平安增強(qiáng)方案，以保證計算機(jī)網(wǎng)絡(luò)自身的平安性為目的。商務(wù)交易平安是指商務(wù)活動在公開網(wǎng)絡(luò)上進(jìn)展時的平安，其本質(zhì)是在計算機(jī)網(wǎng)絡(luò)平安的根底上，保障商務(wù)過程順利進(jìn)展，即實現(xiàn)電子商務(wù)的保密性、完好性、可鑒別性、不可偽造性和不可抵賴性，核心內(nèi)容是電子商務(wù)信息的平安。一般情況下，我們可以把電子商務(wù)平安歸結(jié)為電子商務(wù)信息的平安。目前，電子商務(wù)主要存在的平安威脅有：1.身份仿冒攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與別人進(jìn)展交易，進(jìn)展信息欺詐與信息破壞，從而獲得非法利益。主要表現(xiàn)有：冒充別人身份、冒充別人消費、栽贓、冒充主機(jī)欺騙合法主機(jī)及合法用戶、使用欺詐郵件和虛假網(wǎng)頁設(shè)計設(shè)騙。近年來隨著電子商務(wù)、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及，網(wǎng)絡(luò)仿冒已經(jīng)成為電子商務(wù)應(yīng)用的主要威脅之一。2.未經(jīng)受權(quán)的訪問未經(jīng)受權(quán)而不能接入系統(tǒng)的人通過一定手段對認(rèn)證性進(jìn)展攻擊，假冒合法人接入系統(tǒng)，實現(xiàn)對文件進(jìn)展篡改、竊取機(jī)密信息、非法使用資源等。一般采取假裝或利用系統(tǒng)的薄弱環(huán)節(jié)〔如繞過檢測控制〕、搜集情報〔如口令〕等方式實現(xiàn)。3.效勞回絕攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。主要表現(xiàn)為分布虛假資訊，擾亂正常的資訊通道。包括：虛開網(wǎng)站和商店、偽造用戶，對特定計算機(jī)大規(guī)模訪問等，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格時間要求的效勞不能及時得到響應(yīng)。4.惡意程序侵入任何系統(tǒng)都可能是有破綻的，破綻的存在給惡意程序侵入提供了可乘之機(jī)。惡意程序是所有含有特殊目的、非法進(jìn)入計算機(jī)系統(tǒng)、并待機(jī)運行，能給系統(tǒng)或者網(wǎng)絡(luò)帶來嚴(yán)重干擾和破壞的程序的總稱。一般可以分為獨立運行類(細(xì)菌和蠕蟲)和需要宿主類(病毒和特洛依木馬)。惡意程序是網(wǎng)絡(luò)平安的重要天敵，具有防不勝防的重大破壞性。例如：網(wǎng)絡(luò)蠕蟲是一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序，蠕蟲的不斷蛻變并在網(wǎng)絡(luò)上的傳播，可能導(dǎo)致網(wǎng)絡(luò)阻塞，致使網(wǎng)絡(luò)癱瘓，使各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效。5.交易抵賴和修改有些用戶企圖對自己在網(wǎng)絡(luò)上發(fā)出的有效交易信息刻意抵賴，平安的電子商務(wù)系統(tǒng)應(yīng)該有措施防止交易抵賴。為保證交易雙方的商業(yè)利益、維護(hù)交易的嚴(yán)肅和公正，電子商務(wù)的交易文件也應(yīng)該是不可修改的。6．其他平安威脅電子商務(wù)平安威脅種類繁多、來自各種可能的潛在方面，有蓄意而為的，也有無意造成的，例如電子交易衍生了一系列法律問題：網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問題，急需為電子商務(wù)提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導(dǎo)致泄露信息等均可構(gòu)成不同程度后果的威脅。三、電子商務(wù)平安的技術(shù)保障機(jī)制電子商務(wù)平安包括網(wǎng)絡(luò)平安和交易平安。因此，電子商務(wù)平安技術(shù)主要有計算機(jī)網(wǎng)絡(luò)平安技術(shù)和商務(wù)交易平安技術(shù)兩方面的保障機(jī)制。1.計算機(jī)網(wǎng)絡(luò)平安技術(shù)網(wǎng)絡(luò)平安技術(shù)伴隨著網(wǎng)絡(luò)的誕生就出現(xiàn)，如今已出現(xiàn)了日新月異的變化。vpn平安隧道、防火墻和網(wǎng)絡(luò)入侵主動監(jiān)測等越來越高深復(fù)雜的平安技術(shù)極大地從不同層次加強(qiáng)了計算機(jī)網(wǎng)絡(luò)的整體平安性。目前，主要的網(wǎng)絡(luò)平安保障技術(shù)有：(1)vpn平安隧道，vpn即虛擬專用網(wǎng)(virtualprivatenetrk)，是一條穿過混亂的公用網(wǎng)絡(luò)的平安、穩(wěn)定的隧道。vpn架構(gòu)中采用了多種平安機(jī)制,可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供給商同公司的內(nèi)部網(wǎng)建立可信的平安連接，并保證數(shù)據(jù)的平安傳輸。(2)防火墻技術(shù),防火墻是企業(yè)內(nèi)部網(wǎng)絡(luò)和外網(wǎng)之間的一套平安屏障。防火墻能根據(jù)企業(yè)的平安政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊才能。它是提供信息平安效勞，實現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。(3)病毒防護(hù)和入侵檢測技術(shù),病毒防護(hù)技術(shù)可降低病毒和惡意代碼攻擊風(fēng)險，并防止有害軟件通過效勞器或網(wǎng)絡(luò)執(zhí)行和傳播。入侵檢測系統(tǒng)那么可以幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，擴(kuò)展系統(tǒng)管理員的平安管理才能，從而進(jìn)步信息平安根底構(gòu)造的完好性。2.商務(wù)交易平安技術(shù)商務(wù)交易平安是為了實現(xiàn)電子商務(wù)的保密性、完好性、可鑒別性、不可偽造性和不可抵賴性。它是電子商務(wù)交易過程中最核心和最關(guān)鍵的平安問題。目前，主要的商務(wù)交易平安保障技術(shù)有：(1)數(shù)據(jù)加密技術(shù),加密一般是利用密碼算法把可懂的信息變成不可懂的信息。利用各種復(fù)雜的加密算法，通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)展數(shù)據(jù)加密，用很小的代價即可為信息提供相當(dāng)大的平安保護(hù)。(2)數(shù)字簽名技術(shù),數(shù)字簽名是通過密碼算法對數(shù)據(jù)進(jìn)展加、解密變換實現(xiàn)的。應(yīng)用廣泛的數(shù)字簽名方法主要有三種，即：rsa簽名、dss簽名和hash簽名。這三種算法可單獨使用，也可綜合在一起使用。在電子商務(wù)平安效勞中的源鑒別、完好性效勞、不可否認(rèn)效勞中，都要用到數(shù)字簽名技術(shù)。(3)平安協(xié)議技術(shù),使用set和ssi等平安協(xié)議能有效地保障交易平安。set即平安電子交易〔seureeletrnitransatin〕的簡稱，set提供了消費者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的平安性、完好可靠性和交易的不可否認(rèn)性，已成為目前公認(rèn)的信譽卡/借記卡的網(wǎng)上交易的國際平安標(biāo)準(zhǔn)。ssl即平安套接層〔seuresketslayer〕協(xié)議的簡稱，主要用于進(jìn)步應(yīng)用程序之間數(shù)據(jù)的平安系數(shù)。四、完畢語電子商務(wù)的平安威脅既有來自惡意攻擊、防范疏漏，還可能來自管理松散、操作忽略等方面。因此，保障電子商務(wù)平安是一項綜合工程。除了主要從技術(shù)上進(jìn)步防范和保障機(jī)制外，還需要單位完善網(wǎng)絡(luò)系統(tǒng)管理體制，人員加強(qiáng)信息平安意識。另外，電子商務(wù)理論要求有透明、和諧的交易秩序和環(huán)境保障，為此還需要政府建立和完善相應(yīng)的法律體系。參考文獻(xiàn):[1]王云峰:信息平安技術(shù)及策略[j].廣東播送電視大學(xué)學(xué)報，2022,(1):101-104[2]殷鳳琴趙喜清王新鋼:我國電子商務(wù)平安問題的表現(xiàn)來源和對策[j].商場現(xiàn)代化,2022年6月〔上旬刊〕總第50