浅议电子商务中的信息安全问题01(二)

4、侵犯他人权利。不法商贩通过Internet 截取商务订单，收集他人私生活信息并兜售产品，侵犯了消费者的隐私权; 不法之徒通过Internet 盗售他人知识产品，抢注域名侵吞他人无形资产，侵犯了他人的知识产权; 不法企业通过Internet 损害竞争对手形象、贬低竞争对手的产品，侵犯了企业的名誉权；不法商人盗用名人照片通过Internet 宣传、推销产品，侵犯了他人的肖像权。如此等等，扰乱了电子商务的市场秩序。

5、传播不良信息。不法商人为推销自己的产品，在电子商务信息中夹带宣扬色情、暴力、迷信等不良图文信息。某些境外商人可能会有意或无意地在电子商务信息中，宣传西方世界的人生观、价值观、道德观。

6、否认发出信息。基于各种原因，用户和商家可能会对自己发出的电子商务信息进行恶意地或无可奈何地否认B、信息存储安全隐患   电子商务中信息存储安全隐患主要包括： 非授权调用信息和篡改信息内容。企业Intranet 与Internet 联接后，电子商务的信息存储安全面临着内部和外部两方面的隐患。

1、内部隐患。主要是企业Intranet 的用户故意或无意地非授权调用电子商务信息或未经许可随意增加、删除、修改电子商务信息。

2、外部隐患。主要是因为软件配置的不当，造成外部人员私自闯人企业Intranet，并对电子商务信息故意或无意地非授权调用或增加、删除、修改。其隐患的主要来源有： 竞争对手的恶意闯入、信息间谍的非法闯入、闲游用户的好奇闯人及黑客的骚扰闯入。

C、交易者身份安全隐患

电子商务是买卖双方通过Internet 的信息流动来实现商品交换的，电子商务的交易双方都面临着信息安全的威胁。

1、商家的信息安全隐患。主要有：①不法之徒假冒合法用户名义改变商务信息内容，致使电子商务活动中断，造成商家名誉和用户利益等方面的受损; ②恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息; ③信息间谍通过技术手段窃取商业秘密; ④大量虚假订单的生成挤占了信息系统资源，无法从事正常的业务运营。

2、用户的信息安全隐患。主要有：①用户身份证明信息被拦截窃用，以致被要求付帐或返还商品；②域名信息被监听和扩散，被迫接收许多无用信息甚至个人隐私被泄露。③发送的商务信息不完整或被篡改，用户无法收到商品；④受虚假广告信息误导购买假冒伪劣商品或被骗钱财；⑤遭受黑客暗算计算机设备被毁、信息丢失。

五、针对电子商务中存在信息安全隐患，而采取的保障信息安全的措施及对策A、技术保障措施

电子商务安全是信息安全的上层应用，它包括的技术范围比较广，主要分为数据加密技术和身份认证技术两大类。

1、 数据加密技术

加密技术是保证电子商务中采用的主要安全措施，交易双方可根据需要在信息交换阶段使用。在一个加密过程中有两个基本元素： 算法和密钥。加密过程就是根据一定的算法，将可理解的数据(明文) 与一串数字( 密钥) 相结合，从而产生不可理解的密文的过程，主要加密技术是：

（1）、常规密钥密码加密。所谓常规密钥密码加密，即加密密钥与解密密钥是相同的。在早期的常规密钥密码体制中，典型的有代替密码，其原理可以用一个例子来说明： 字母A，B，C，D，…，W，X，Y，Z 的自然顺序保持不变，但使之与D，E，F，G，…，Z，A，B，C 分别对应( 即相差3 个字符)。若明文为WELL 则对应的密文为ZHOO ( 此时密钥为3) 。由于英文字母中各字母出现的频度早已有人进行过统计，所以根据字母频度表可以很容易对这种代替密码进行破译。

（2）、对称密文加密。对称密钥加密又称为秘密密钥加密，即收发双方采用相同的密钥来进行加密和解密，对称密钥加密的最大优点是加解密速度快，适合于进行大量数据加密，但也存在密钥管理、发布困难以及无法进行身份鉴别的缺点。

（3）、非对称密钥加密。非对称密钥加密也称为公开密钥加密，每个用户有一对密钥： 一个用于加密，一个用于解密，两把密钥实际上是两个很大的质数，加解密过程。其中，加密密钥( 公钥) 可以在网络服务器、报刊等场合公开，而解密密钥( 私钥) 则属用户的私有密钥，由公开的加密密钥导出私有的解密密钥在技术上是不可实现的。与对称密钥加密相比，采用非对称密钥加密方式密钥管理较方便，且保密性比较强，但加解密实现速度比较慢，不适用于通信负荷较重的应用。

2、身份验证技术

（1）、 认证系统。网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证，用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority，通常简称为CA。要建立安全的电子商务系统，首先必须建立一个稳固、健全的CA，否则，一切网上的交易都没有安全保障。传统的对称密钥算法具有加密强度高、运算速度快的优点，但密钥的传递与管理问题限制了它的应用。为解决此问题，20 世纪70 年代密码界出现了公开密钥算法，该算法使用一对密钥即一个私钥和一个公钥，其对应关系是唯一的，公钥对外公开，私钥个人秘密保存。一般用公钥来进行加密，用私钥来进行签名; 同时私钥用来解密，公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。其中RSA ( Rivets Shamir Adelman) 算法是公开密钥算法中研究最为深入，使用最为广泛的算法，为大多数国家( 地区) 的官方或非官方所采用。整个认证系统是一个大的网络环境，系统从功能上基本可以划分为CA、RA ( 证书的登记机构，Register Authority) 和WP(证书的分页系统，Web Publisher) 。

（2）、SSL 协议。SSL 协议( Secure Socket Layer，安全套接层) 是由网景(Netscape) 公司推出的一种安全通信协议，该协议主要目的是解决TCP/IP 协议不能确认用户身份的问题，在Socket 上使用非对称的加密技术，以保证网络通信服务的安全性。SSL 协议包括两个子协议： SSL 记录协议和SSL 握手协议。SSL 记录协议是建立在可靠的传输协议( 例如： TCP) 上，用来封装高层的协议。SSL 握手协议准许服务器端与客户端在开始传输数据前，能够通过特定的加密算法相互鉴别。

SSL 协议易于实现。它独立于应用层协议，可以完成所需的安全交易操作，主要是使用公开密钥体制和X.509 数字证书保护信息的机密性和完整性，但它不能保证信息的不可抵赖性。中国目前多家银行均采用SSL 协议，从实际使用的情况来看，

SSL 协议还是最值得信赖的协议。但是由于SSL 协议当初并不是为支持电子商务而设计的，所以在电子商务系统的应用中还存在很多弊端，在涉及多方的电子交易中，只能提供交易中客户与服务器间的双方认证，而电子商务往往是用户、网站、银行三家协作完成，SSL 协议并不能协调各方间的安全传输和信任关系。

（3）、SET 协议。SET ( Secure Electronic Transaction) 安全电子交易协议是由美国Visa 和MasterCard 两大信用卡组织提出的应用于Internet 上的以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X.509 数字证书标准，主要应用于B to C 模式中保障支付信息的安全性。SET 协议提供对消费者、商户和银行的认证，协议本身比较复杂，设计比较严格，安全性高，确保电子交易的机密性、数据完整性、身份的合法性和抗否认性，特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。

SET 协议自诞生以来，通过大量的现场试验和应用，取得了业界普遍的支持，目前已经呈现出良好的发展势头。尽管SET协议存在一些缺点，但是它体现出了进行电子交易最基本的原则，因此在不断完善的过程中会逐步扩大其应用范围。它的交易规范成为了未来电子商务发展的方向。

3、其它安全技术

防火墙技术： 防火墙主要是用来隔离内部网和外部网，对内部网的应用系统加以保护。目前的防火墙分为两大类： 一类是简单的包过滤技术，它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的TCP 端口和TCP 链路状态等因素来确定是否允许数据包通过。另一类是应用网管和代理服务器，可针对特别的网络应用服务协议及数据过滤协议，并且能够对数据包分析并形成相关的报告。

数字签名： 数字签名是公开密钥加密技术的另一种应用，报文的发送方从报文文本中生成一个128 位的散列值，发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名，通过数字签名能够实现对原始报文的鉴别和不可抵赖性。B、国家法律保障

政府部门应结合电子商务的客观需要，不断完善与电子商务相关的法律法规。适当增加对网络犯罪处罚的条款，增加对网络作品著作权保护的条款；对电子商务发展中亟需解决的有关问题，如：在电子支付、税收管理、安全认证、网络与信息安全、知识产权保护、消费者权益保护等可由相关主管部门先制定部门规章，必要时，由国务院发布行政法规，待条件成熟时，再按程序上升为法律。

吸取和借鉴国外网络信息安全立法的先进经验，结合我国国情对现行法律体系进行修改与补充，使法律体系更加科学和完善；并建立有利于信息安全案件诉讼与公、检、法机关办案制度，提高执法效率和质量。对违犯国家法律法规，对计算机信息存储系统、应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。

C、加强基础网络建设

信息基础设施是电子商务发展的物质基础和载体。发展信息基础设施需要政府和业界的共同努力，尤其是政府的大力投资和宏观调控。

D、提高人们的信息安全意识

以有效方式、途径在全社会普及网络安全知识，提高公民的网络安全意识与自觉陡，学会维护网络安全的基本技能。并在思想上把信息资源共享与信息安全防护有机统一起来，树立维护信息安全就是保生存、促发展的观念。

E、构造有中国特色的电子商务体系

   建立信息安全领导机构，有效统一、协调和研究未来趋势，制定宏观政策，实施重大决定。严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》，明确责任、规范岗位职责、制定有效防范措施，并且严把用户人网关、合理设置访问权限等。

加大对有良好基础的科研教育基地的支持和投入，加强与国外的经验技术交流，及时掌握国际上最先进的安全防范手段和技术措施，确保在较高层次上处于主动，加强对内部人员的网络安全培洲，防止堡垒从内部攻破。使高素质的人才在高水平的教研环境中迅速成长和提高。 

积极参与国际合作，融合国际电子商务框架，构造适合中国国情的电子商务体系。作为一个主权国家，为了维护国家的利益和经济安全，在电子商务相关技术方面一定要注重自主知识产权技术的开发，不能全部依赖进口。因此，必须大力支持对电子商务技术的研究开发工作。

组织现有信息安全研究、应用的人才，创造优良环境，创新思想、超越约束，利用国内外资源，建立具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。

六、结束语    电子商务的应用“前途无量”，与人们的生产、生活关系更加密切，而信息安全是电子商务的核心和灵魂。安全性问题是不断发展变化的，所以解决安全问题的手段也要不断适应这种变化。目前，就电子商务信息安全虽然在技术、立法、政策等方面采取了一些措施，取得了一定的成效，但仍需一个“与时俱进”的有效、安全的电子商务安全系统。为了保障电子商务中信息安全及各方权益，需要加大力度来研究和探索电子商务信息安全综合性的保障措施，进而为电子商务建立一个安全、高效的商务环境，形成具有我国特色的电子商务。

参考文献：

李飞.浅析电子商务中的信息安全问题.现代经济信息,1001-828X（2012）     05-0128-02

成汉健．电子商务安全问题分析[J]．商场现代化，2005(1)：65．

王红霞等．关于我国电子商务良性发展的思考．情报杂志，2001 (4) (责任编辑：刘凤勤)．

楚狂．网络安全与防火墙技术[M]．北京：人民邮电出版社，2000．

公安部计算机管理监察司．计算机信息系统安全技术[M]．北京：群众出     版社，1998．

李鼎．电子商务基础．北京： 首都经济贸易大学出版社，1999．

高媛，等．电子商务．北京： 企业管理出版社，1999．

郭炎华．网络信息与信息安全探悉．情报杂志，2001 (4)．

许晋军，倪波．网络信息安全研究．现代图书情报技术，2001 (1)．

陆宝益，杨海平．网德教育： 网络信息安全新课题．现代图书情报技术，2001 (2)．

周均．电子商务信息安全的政策法律研究[J]．科技文献信息管理，2004(4)：57．

杨颖．电子商务安全问题分析[J]．中国科技信息，2005(20)：53．

张贤．电子商务安全问题[J]．中国科技信息．

吴恒，高小红．论电子商务中的信息安全[J]．武汉理工大学学报，2001，        (4)：74-77．

韦苏倢，王素仙.电子商务中的信息安全问题及对策.现在物流报，2006，004版.

庞晓提，《黑龙江科技信息》， 2012年05期

黄京华，《电子商务教程》，清华大学出版社，2006

程少丽，电子商务的信息安全研究［J］，电脑知识与技术，2010，（4）：2821-2823

陈东娅，电子商务的信息安全研究［J］，商场现代化，2009，（9）：176

崔波、张怀涛、秦柯，电子商务网络信息安全问题，图书馆理论与实践，2003（2）