一、???? 當前電子商務安全現狀和重要性

電子商務的安全不僅僅是狹義上的網絡安全，比如防病毒、防黑客、入侵檢測等等，從廣義上講還包括信息的完整性以及交易雙方身份的不可抵賴性。從這種意義上說，電子商務的安全涵蓋面比一般的網絡安全要廣泛得多，從整體上可分為兩部分：計算機網絡安全和商務交易安全。

1.??? 當前電子商務安全現狀

關于電子商務安全現狀我們可以看到一下相關的信息：① 據統計，目前國內共有 WWW 的網站約有 29 萬左右，其中大部分缺乏可靠的安全措施。某些網站由于沒有防火墻等必要的安全設備，加上部分網管人員安全意識淡薄，以至于被同一種入侵方式入侵多次； ② 在 2000 年初，許多商務網站受到了黑客們不同層次的攻擊，這些網站包括 eBay、eTrade、Yahoo 等著名公司。；③ 據有關部門統計，目前只有不到一半的商務公司人們他們的安全措施是足夠的；來自系統內部的攻擊行為在整個系統受到的攻擊中占到了 70% 以上。由上面信息我們可以看到在電子商務高速發(fā)展的今天，電子商務的安全建設始終是一個等待不斷完善的工程。那么電子商務面臨的安全有哪些呢？

電子商務面臨的安全威脅包括以下三類：①電子商務系統本身；②企業(yè)外部；③ 企業(yè)內部。

⑴??? 電子商務系統本身的安全威脅

這里指的電子商務系統限定在電子商務的基礎設施，包括網絡通信系統、計算機系統、數據庫、協議、網站等。從這個角度考慮，電子商務系統中存在的安全威脅有三類：①實體安全→實體安全指計算機與網絡的硬件安全，這是電子商務賴于生存的基礎。實體安全又可以進一步細分為機房安全、設備安全和線路安全。

②軟件安全：電子商務系統中除了計算機與網絡硬件以外，支撐起高效、安全運行的還有相關軟件。具體可細分為操作系統安全、應用軟件安全和網絡協議漏洞。

③數據安全：政府、用戶、商家、金融機構、中介機構等構成了電子商務系統的主要參與者，他們的身份數據、商品信息、交易數據、密碼等等是重要的信息資源，必須保證其安全。從信息傳輸的腳度考慮，數據安全又包括數據庫安全和通信安全。

⑵ 來自企業(yè)外部的安全威脅

收到利益的驅使，很多人不顧法律與道德，他們侵入網站、銀行、個人電腦，盜取用戶信息，竄改交易數據，冒用銀行賬戶，使得電子商務系統面對著比網絡系統更加嚴重的安全威脅。這類安全威脅集中表現為下面三類：①網絡攻擊；②計算機病毒；③黑客。

⑶ 來自企業(yè)內部的安全威脅

很多資料表明，對企業(yè)信息系統以及電子商務的安全威脅有超過 50% 來自企業(yè)內部，甚至有統計表明來自內部的威脅達到了60%。這也更凸現了“管理”的重要性。企業(yè)內部的安全威脅集中表現為下面五類：①安全意識淡漠；②缺乏相應的安全制度；③惡意報復；④商業(yè)間諜；⑤使用盜版軟件。

2.??? 電子商務系統安全的重要性

電子商務面對的是交易信用和安全性全面降低的困局，“信用與安全”問題是電子商務發(fā)展的嚴重瓶頸。對于電子商務中的安全問題，IT 業(yè)最初側重于從提升網絡運行品質、確保網絡安全著手，更多關注的是怎樣防范病毒和黑客的攻擊。

隨著人們逐漸認識到電子商務安全問題不僅僅是技術層面的問題，而是一整套預防、監(jiān)測和實際應對措施的完整結合，是制度層面的問題。

電子商務系統的安全性之所以重要，主要表現在以下七個方面：

⑴??? 機密及敏感信息；

⑵??? 機器本身的隱患；

⑶??? 復雜度性的增大；

⑷??? 應用環(huán)境的變化；

⑸??? 人為因素；

⑹??? 防范對象不明確；

⑺??? 系統的復雜性；

二、電子商務系統安全問題分析

隨著互聯網的迅猛發(fā)展,網上交易日益成為新的商務模式，基于網絡資源的電商務交易已為大眾接受。在享受網上交易帶來的便捷的同時，交易的安全性備受關注,網絡所固有的開放性與資源共享性導致網上交易的安全性受到嚴重威脅。因此，網絡信息安全性就成了電子商務成功發(fā)展的關鍵因素，下面從電子商務中存在的安全問題和電子商務的安全要素兩方面對電子商務交易中的安全問題進行分析。

1.??? 電子商務存在的安全問題

由于電子商務是以信息技術和計算機網絡為基礎的，與傳統商務比較，它不可避免的面臨著一系列的安全問題。

⑴ 信息泄漏：在電子商務中表現為商業(yè)機密的泄漏，主要包括兩個方面：交易雙方進行交易的內容被第三方竊??；交易一方提供給另一方使用的文件被第三方非法使用。攻擊者主要通過截獲和竊取的方式造成信息泄漏。

⑵ 篡改：在電子商務中表現為商業(yè)信息的真實性和完整性的問題。當攻擊者掌握了信息的格式和規(guī)律后，通過各種技術手段和方法，將網絡上傳輸的信息數據在中途篡改，然后再發(fā)向目的地，破壞數據的真實性和完整性。

⑶ 偽造：由于掌握了數據的格式，并可以篡改通過的信息，如果不進行身份識別，攻擊者就有可能假冒交易一方的身份，以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等。

⑷ 信用威脅：交易者否認參加過交易，如買方提交訂單后不付款，或者輸入虛假銀行資料使賣方不能提款；用戶付款后，賣方沒有把商品發(fā)送到客戶手中，使客戶蒙受損失。

⑸ 電腦病毒：電腦病毒問世十幾年來，各種新型病毒及其變種迅速增加，互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑，還有眾多病毒借助于網絡傳播得更快，動輒造成數百億美元的經濟損失。

2.??? 電子商務安全要素

安全問題是企業(yè)應用電子商務最擔心的問題，而如何保障電子商務活動的安全,將一直是電子商務的核心研究領域。作為一個安全的電子商務系統，首先必須具有一個安全、可靠的通信網絡，以保證交易信息安全、迅速地傳遞；其次必須保證數據庫服務器絕對安全，防止黑客闖入網絡盜取信息。下面是電子商務涉及的安全要素：

⑴??? 有效性：電子商務作為貿易的一種形式,其信息的有效性將直接關系到個人、

企業(yè)或國家的經濟利益和聲譽。因此,要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。

⑵??? 機密性：電子商務作為貿易的一種手段,其信息直接代表著個人、企業(yè)或國家

的商業(yè)機密。電子商務是建立在一個較為開放的網絡環(huán)境上的,維護商業(yè)機密是電子商務全面推廣應用的重要保障。

⑶??? 完整性：電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易

各方商業(yè)信息的完整、統一的問題。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是電子商務應用的基礎。

⑷ 可靠性：電子商務直接關系到貿易雙方的商業(yè)交易,如何確定要進行交易的貿易方是保證電子商務順利進行的關鍵。要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。

⑸ 即需性：即需性是防止延遲或拒絕服務，即需安全威脅的目的就在于破壞正

常的計算機處理或完全拒絕服務。在電子商務中，延遲一個消息或消除它會帶來災難性的后果。

⑹??? 身份認證：指交易雙方可以相互確認彼此的真實身份，確認對方就是本次交

易中所稱的真正交易方。這一過程為授權和審計所必需，也是實現授權、審計的訪問控制過程運行的前提，是計算機網絡安全系統不可缺少的組成部分。

⑺ 審查能力：根據機密性和完整性的要求,應對數據審查的結果進行記錄。審查能力是指每個經授權的用戶的活動的唯一標識和監(jiān)控，以便對其所使用的操作內容進行審計和跟蹤。

三、詳細說明如何保障電子商務的安全

由于電子商務活動所涉及的大量機密信息都必須通過網絡傳播，并且以電子數據的形式存儲，要求有完善的安全技術來保證電子商務交易的安全。目前，電子商務過程中主要采用的安全技術有加密技術、認證技術和安全認證協議。

1.??? 加密技術

加密技術是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉換成為無意義的密文，阻止非法用戶理解原始數據，從而確保數據的保密性。在加密和解密的過程中，由加密者和解密者使用的加解密可變參數叫做密鑰。目前，獲得廣泛應用的兩種加密技術是對稱密鑰加密體制和非對稱密鑰加密體制。

2.??? 認證技術

安全認證的主要作用是進行信息認證。主要包括安全認證技術和安全認證機構兩個方面。安全認證技術主要有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等；電子商務認證中心就是承擔網上安全交易認證服務，能簽發(fā)數字證書，并能確認用戶身份的服務機構。

3.??? 安全認證協議

目前電子商務中有兩種安全認證協議被廣泛使用，即安全套接層SSL協議和安全電子交易SET協議。SSL協議一般服務于銀行對企業(yè)或企業(yè)對企業(yè)的電子商務。SET協議位于應用層，用來保證互聯網上銀行卡支付交易安全性。所以SET一般服務于持卡消費、網上購物的電子商務。

隨著網絡技術的提高，基于互聯網的電子商務在近年來獲得了巨大的發(fā)展，成為一種全新的商務模式，具有很大的發(fā)展前途；這種電子商務模式對管理水平、信息傳遞技術都提出了更高的要求，其中安全體系的構建又顯得尤為重要。如何建立一個安全、便捷的電于商務應用環(huán)境，對交易信息提供足夠的保護，是商家和用戶都十分關注的話題。安全問題己成為電子商務的核心問題，解決電子商務網絡交易中的安全問題，是保證電子商務順利發(fā)展的基礎，安全性成為電子商務能否成功發(fā)展的決定性因素，電子商務網絡交易中的安全問題還有待于繼續(xù)探討。

四、電子商務安全展望和你的建議

1. 加強網絡基礎設施建設 ?在此方面，我國已經取得了一定進步，但總體情況仍不容樂觀，地區(qū)之間發(fā)展不平衡。今后國家應繼續(xù)加大網絡建設投入力度，進一步鼓勵企業(yè)加大對信息產業(yè)的投資，進一步增強電子商務發(fā)展的網絡基礎。要擴大國際出口帶寬的建設，解決原有網絡帶寬及速度較低、網絡運行質量差和電信資費高等問題，并縮小東西部、南北方的差距。要采取切實措施，構建一個值得信賴并能夠保證信息的完整性和安全性的多層次的開放的網絡體系，改善國內用戶環(huán)境。 ?2. 加強安全技術的研究和應用 ?目前，電子商務應用還剛剛開始，許多方面都還不夠完善，安全技術及其應用還不能滿足電子商務發(fā)展的需要。這就要求我們密切關注電子商務的動向，關注電子商務安全技術，加大投入力度，研究更加先進可靠、經濟適用的安全技術。 ?同時，安全技術不是單一的技術，技術的綜合應用是保證電子商務安全的一個重要方面，因此應當加大技術應用環(huán)節(jié)的投入?？梢圆扇〉膽么胧┯校菏褂萌蒎e計算機系統或創(chuàng)造高可用性的計算機環(huán)境，以確保信息系統保持可用及不間斷動作；災害復原計劃提供一套程序與設備來重建被中斷的計算與通信服務；加密是一種廣泛使用的技術來確保因特網上傳輸的安全；數字證書可確認使用者的身份，提供了電子交易更進一步的保護；加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞；從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權管理和認證；對敏感的設備和數據要建立必要的物理或邏輯隔離措施；建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。 ?3. 提高從業(yè)人員的技術水平和整體素質，提升企業(yè)的管理水平 ?首先，要加強現有從業(yè)人員的培訓，提高現有人員的技術水平，提高其安全意識，提高其應對安全問題的能力。其次，要加強電子商務人才的培養(yǎng)。應充分利用各種途徑和手段培養(yǎng)大量素質較高、層次合理、專業(yè)配套的網絡、計算機及經營管理等方面的專業(yè)人才，特別是掌握現代信息技術和現代商貿理論與實務的復合型人才。最后，要提高企業(yè)電子商務管理水平。安全問題不僅有技術的原因，管理落后也是一個重要方面，企業(yè)要建立適應電子商務發(fā)展的管理體系，培養(yǎng)合格的管理人才，提升整體管理水平。 ?4. 加強法律法規(guī)建設 ?包括兩個方面的內容：一是要完善原有的法律體系并進行必要的調整；二是為適應發(fā)展的需要制定新的法律法規(guī)。 要積極開展立法的各項準備工作，循序漸進、突出重點、先易后難，先單項后綜合，在實踐中摸索，在發(fā)展中完善，針對不同的法律問題，提出新的解決方案，制定相應的法律法規(guī)。不備具制定法律法規(guī)要求的，可以先制定“條例”、“細則”等規(guī)范性法律文件，逐步強化電子商務立法。 當前一項重要的任務是要抓緊研究電子交易、信用管理、安全認證、在線支付、稅收、市場準入、隱私權保護、信息資源管理等方面的法律法規(guī)問題，應盡快制定出可以具體操作的《電子商務法》。 ?5. 加強誠信建設 ?首先，建立健全社會信用制度及管理體系。要加快信用立法，完善經濟活動實名制，健全個人財產申報制度，實行個人破產制度等，以形成對信用體系的強勢約束力，確保個人信用制度的健康發(fā)展。 ?其次，建立完善的企業(yè)制度，培養(yǎng)優(yōu)秀的企業(yè)文化。要以提高企業(yè)價值作為經營的根本，把自主性和自律性的道德標準作為企業(yè)的重要組成部分，進而建立以誠信為基礎的企業(yè)文化。 ?再次，建立企業(yè)和個人的信用評價與監(jiān)管機構。建立起以政府為背景跨部門的，包括銀行、工商管理、公安、稅務部門協同的企業(yè)和個人的信用評價與監(jiān)管體系，實現跨部門、跨行業(yè)、跨地區(qū)的信用信息互聯互通。加大失信行為的成本，以約束失信行為。 ?最后，加強對企業(yè)的監(jiān)管力度，完善各種監(jiān)管系統。