简论电子商务信息安全及安全技术

内容摘要

关键词

引言

一、电子商务信息安全现状

二、电子商务信息的安全威胁在目前最重要的就是体现在诈骗方面

三、网络诈骗犯罪的方法

四、关于网络诈骗的基本防范

五、对于计算机网络安全面临的问题本人提出的解决思路方法

六、对于电子商务交易安全面临的问题及解决思路

结束语

内 容 摘 要

随着大家生活水平以及科学技术的提高与飞速发展，网络——已经成为了大家生活及学习中不可或缺的一部分，所以在大家的生活学习工作中都需要它。电子商务就是利用网络的开放性及共享性紧密的将商务与网络紧密的结合在一起，大家的各种信息能得到更好的传输接收以及共享。但是在大家享受它带来的诸多方便快捷的同时也伴随着诸多的风险（例如网络病毒以及黑客攻击），所以在电子商务的飞速发展中网络的安全就显得尤为重要了。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。本文针对电子商务的安全需求,使用上的安全技术及存在的问题,做出了与电子商务安全有关的协议技术使用范围和怎样从技术手段上减少电子商务信息传递中的风险及威胁的研究，通过研究尽可能最小化的规避电子商务信息便捷的同时所带来的各种财产及信息的损失。

关键词：电子商务；信息安全；加密技术；数字认证

简论电子商务信息安全及安全技术

引言：电子商务发展中最重要的就是网络的交易安全以及个人信息的安全，不解决这些基本的安全问题将严重打击大家对电子商务的信心，所以分析解决这些问题就成为了摆在大家面前最重要的事情。

一、电子商务信息安全现状

当前，电子商务所面临的信息安全现状不容乐观。据美国界权威杂志《信息安全杂志》披露，从事电子商务的比一般企业承担着更大信息风险。其中前者遭黑客攻击的比例高出一倍，感染病毒、恶意代码的可能性高出10%，被非法入侵的频率高出15%，而被诈骗的可能性更是比一般企业高出2.5倍。

调查显示，在近年来，中国发生的通过网络进行的电子商务犯罪多到400起，造成上亿元损失。网民们对网上交易的最大担心莫过于支付信息安全问题，超过九成的网民对网上交易的安全性表示担心。信息的安全问题成为困扰网上交易的最大难题。

我国的信息安全经历了通信保密、机数据保护这两个发展阶段，现正处于网络信息安全的研究阶段。通过、吸收、消化等手段，逐步掌握了大部分网络安全和电子商务安全技术，进行了安全操作系统、多级安全数据库研制探索，但由于没有掌握好系统核心技术，使开发出有自主知识产权的信息产品困难重重，基于国外具体产品开发出的安全系统则难以完全杜绝安全漏洞以及“后门”。我们在借鉴国外先进技术的基础上，国内一些企业也在研制开发出一些安全产品，列如防火墙、黑客入侵检测系统、电子商务安全交易系统、安全路由器等。但这些产品安全技术规范性、完善性、实用性还有许多不足，基础和自主的技术手段需要发展以及强化。 

除此以外，国内也还有不少电子商务企业对网络信息安全意识不强。不管在建网立项、规划设计上，还是在网络运行管理以及使用中，更多考虑的是效益、方便、快捷，反而把安全、保密、抗攻击放在了次要地位，出现了诸如对网络实用性要求不少，反而对系统安全性论证不多。对网络设备投资不少，对安全设施投入不多。在操作技能培训上用时不少，在安全防范知识的普及与提高上用时不多的短期行为。信息的安全

首先信息包括了大家的个人信息以及交易信息，在电子商务的活动中信息安全是很重要的，所以交易中的商务信息必须保密。比如银行卡的信息，如信用卡的账号和用户名被他人知道了，就很有可能被盗用。还有一些商业信息被对手掌握就很有可能失去商机。因此—在各种电子商务信息的传送中都被要求加密，这样可以在一定程度上防止电子商务信息在传输的过程中被非法窃取。

1. 信息的盗取：

(1)在双方进行信息交换的过程中，交易的全部或部分内容被其他的人通过技术手段进行窃取；

(2)资料方所提供给对方使用的资料被其他人盗取使用。

2. 变更信息：

在电子商务的交易过程中信息在网络传输的过程中,被其他人非法的篡改、变更、删除这样就使信息失去了真实性和完整性。

3.蓄意的破坏：

由于攻击者可以接入网络,则可能对网络中的信息进行变更,掌握网上的重要信息,甚至可以潜入网络内部,破坏网络的硬件或软件而导致交易信息传递丢失与谬误。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。

4.假冒

非法获得信息后冒充合法用户发送假的消息或者主动截取消息,有可能假冒一方的信誊或窃取被假冒一方的交易成果等。 

二、电子商务信息的安全威胁在目前最重要的就是体现在诈骗方面

网络诈骗是现有网络犯罪的一种,网络诈骗指的是以非法占有为目的,通过互联网采用虚拟事实或者隐瞒事实真相的方法,骗得数额较大的公私财物的行为。针对网络诈骗立足于刑法学的立场,解析网络诈骗的概念与传统诈骗的区别以及诈骗的特点和近几年诈骗主要形式,最后提出网络诈骗目前的防范措施。

1、网络诈骗是现在比较新型的犯罪方式,因此对其的研究也处于起步阶段,随着网络技术的进一步发展,网络诈骗的种类也在不断增加,对网络诈骗的理解也存在不一样的见解。

现今基本上有两种不同的观点,第一是把网络诈骗看作是传统的诈骗犯罪的一种新形式,第二是把网络诈骗看作是一种新型的犯罪形式。把犯罪学意义结合刑法中的规定这样就有一个比较统一的概念认为网络诈骗就是以非法占有为目的,通过互联网作为重要的犯罪工具,用虚拟事实或隐瞒真相的方法来骗取数额较大的公私财物的行为。

2、网络诈骗犯罪与传统诈骗犯罪的相似及不同之处

相似之处

相对犯罪主体而言,被骗者都是现实社会中的自然人; 相对犯罪动机而言,两种都是以非法占有为目的; 相对犯罪结果而言,两者都是直接或间接侵犯了被侵害对象的物质利益或精神财富; 相对犯罪危害性而言, 两者都给现实社会带来了一定程度的危害以及带来了严重的社会治安问题。

不同之处

不一样之处主要在于实施犯罪的方式不同,取得财物的方式不同。传统的诈骗活动,犯罪行为人与被害人之间至少见过面。犯罪行为人是通过人与人对话的方式达到诈骗目的;而虚拟网络空间的诈骗则不一样,犯罪行为人与被害人之间没见过面没有正面的交流,犯罪行为人是通过人与机器对话的方式,达到犯罪目的。

3、现有网络诈骗的特征

因为网络空间是虚拟的,人和人之间的交流都是通过网络来实现的,并不是面对面直接交流使其具有特殊性。所以网络诈骗特征明显不仅方法简单而且成本低他的行骗面广并且隐秘性高,它的时空性以及形式都有多样性所以难以取证性、侵害后果的严重性等。

三、网络诈骗犯罪的方法

(一)网络诈骗主要类型

1、 网络交易、购物诈骗的主要类型有:专业诈骗犯罪团伙通过自身创建的电子商务网站或者某知名大型商务网站发布虚假商品销售信息。通过“私货”、 “价低”、“免税”、“违禁品”等假内容吸引网上消费者。

2、 网络摇奖、中大奖诈骗犯罪的主要类型有:具有一定的网络知识和游戏经验的犯罪嫌疑人,提前注册了大量QQ号码、网络游戏账号,用上述账号以系统信息或者客服信息等官方管理系统类的网名登陆到网络游戏,在通过参与游戏等方式对其他玩家进行观察,选择作案玩家后,以系统信息或者客服信息等官方名义向玩家发送虚假抽奖以及中奖信息,所涉及奖品主要为网络游戏虚拟货币、网络游戏装备、高档数码、通讯产品等,骗游戏玩家点击登录其创建的虚假信息网站,进行实施诈骗。

3、冒充他人身份网络诈骗

这一类诈骗通常是先通过技术手段盗取他人QQ号码、MSN帐号、邮箱等个人帐号,窃取成功后以帐号主人的身份登录,然后以有急事等用钱用为借口,向帐号里的朋友借钱，对于警惕性不高的受害人会立即按要求给指定帐号汇钱。还有的采用欺骗或黑客手段获取受害人亲戚和好友QQ号等网上联系方式,冒充受害人亲友借钱,还有播放受害人亲友的视频聊天录像,骗取受害人信任。有的犯罪分子通过欺骗或黑客手段获取了受害人商业伙伴的电子邮箱后,然后利用该电子邮箱或注册用户名非常相似的邮箱名,冒充对方商业伙伴对受害人实施诈骗。

4、低价销售物品的网络诈骗

如今网络购物在给大家快捷方便的同时,也为犯罪分子提供了平台。这是现在一种比较常见的诈骗方式。犯罪分子在互联网交易平台开网店,或在淘宝、拍拍等交易网站上开设网店,以出售物品的名义、以明显低价在网上售卖商品使网民和联系购买,进行网络诈骗。但凡有人与其联系, 不法分子就会要求购物者付部分的订金然后才发货,货到后购物者再付剩余的钱。 被害者往往被低价所诱惑,而步入不法分子所布下的圈套。在这一类的类诈骗中, 有个比较特殊的情况, 就是以销售虚拟物品或游戏软件为名实施的诈骗。现在国家未出台有关虚拟物品的法律,受害者遇到此类诈骗情况一般自认倒霉。

和以上诈骗形式相似的还有情色网络诈骗、传销集资网络诈骗、无抵押贷款为诱饵网络诈骗等。当今网络的持续发展,网络诈骗依然严峻,新型的网络诈骗层出不穷,网民们应该提高自己的防范意识，以免受骗。

四、 关于网络诈骗的基本防范

(一)网络诈骗的防范措施；

1、用专门犯罪罪名明确规定网络诈骗罪：

我国现行刑法对网络诈骗行为的规定已经不能有效制止、打击和处罚。因此很有必要完善和修改我国现有的计算机犯罪罪名,明确的法律规定,会给予犯罪分子一定的警示作用。

2、完善网络技术,堵塞漏洞：

技术发展的弊端应由技术来予以克服,法律的规范仅仅是技术不能状态下的暂时补充。先进的科技预防是预防网络诈骗犯罪的最有效的方法。就目前看,特别要注重研究制定发展与计算机网络相关的技术产品,如网络扫描监控技术、数据信息的恢复、数据指纹技术、网络安全技术等,这些将帮助网络诈骗犯罪的侦查和证据的取得,在很大程度上可以把网络诈骗阻挡于萌芽的状态。

3. 电子商务的法律法规：

针对电子商务的安全隐患,要满足电子商务的安全要求,必须从管理、技术及政策法规这三个层面采取有效措施，从而对电子商务提供全面而有效的保护。首先加强对电子商务法律体系的建设。为了确保电子商务交易信息的安全,全世界各国都制定了法律法规建设,利用司法力量,规范电子商务的交易行为。联合国在2001年审议通过《电子签章示范法》成为国际上关于电子签章重要的立法文件,我国于2005年4月1日已正式实施《电子签名法》,这让网上交易活动中直接在网上签署的合同有了法律保证。我国颁布并修改的一些有关电子商务的还有《商标法》和《着作权法》等,但并不全面。

4.加强网络安全：

(1)防火墙技术：防火墙通常是指在私有网络和公共网络之间的界面上构造的一个保护层,被认为是一种访问控制机制。最简单和最常用的防火墙是包过滤防火墙,安装防火墙时,网络管理员需要对防火墙设置,以确定接受或拒绝数据的传输。从而实现防火墙技术的主要途径是:数据包过滤、应用网关和代理服务。

(2)VPN技术:VPN是指虚拟私有网,它的内涵使用开放的公共信道,通过附加的协议处理,向用户提供的虚拟私有网。VPN是一种新兴技术,它与信用卡交易和客户发送订单交易不同,在VPN中,双方的数据通信量大很多,而且通信双方彼此都很熟悉。VPN实现过程使用了信息加密技术、安全隧道技术、用户认证技术等,而其中安全隧道技术使用加密和封装相结合的技术对用户数据进行安全保护,它是实现VPN的核心技术。

(3)网络反病毒技术:网络在不断地发展,而病毒也跟着发展与进化,计算机病毒具有不可估量的破坏力和威胁性,所以病毒防范也是加强网络安全建设的重要环节。

5.交易安全：

（1）加密技术：加密技术是指采用某种算法把原始数据进行再组织,然后在网络的公共信道上进行传输,非法接收者因没掌握正确的密匙,而无法解密得到真实数据,但合法的接受者因掌握正确的密匙,可以通过解密过程得到真实数据。保证电子商务安全的最重要的就是使用加密技术对敏感的信息进行加密。而密匙可以用来保证电子商务的完整性、真实性、保密性。

网络上最简单和最常用的用户身份验证机制就是用户名加密码身份验证

有了用户名和密码,还不能完全保证网络消费的安全,因为就目前的黑客技术来说,用户名和密码的盗取对黑客不再是有难度的事情。黑客盗取密码的方式有很多种,最原始的方法是如果用户的密码设置缺乏安全性,可能会轻易地被“字典攻击”破解密码。就此,为了增强安全性,现在通过网络输入密码时往往会要求输入校验码,校验码是一个随机产生的数字或字母,校验码的字体很特殊,只能肉眼识别,这样就可以防范通过应用程序反复尝试密码的字典攻击。

窃取密码的方法需要借助一些通用的网络工具,比如说有的黑客通过FTP、TFTP和Telnet等网络工具,可以搜集用户的帐户资料、从而获得口令文件,然后黑客对收集到的口令文件进行解密来获得密码。

而有些窃取密码的方法更为高明,比如说黑客可以编写一些看起来“合法”的软件,将这些软件上传到网站或是提供给某些下载网站,诱导用户下载。当一个用户下载其它的软件时,黑客的软件会随正常的软件一起下载到用户的电脑。黑客软件进入到用户的电脑后,会自动运行、跟踪记录用户的键盘操作,将用户输入的每个密码发送给黑客指定的邮箱,从而窃取用户的密码。

既然密码窃取是一种常见的网络攻击方式,黑客可以通过破解用户密码入侵用户系统,因此网络消费者要注意对密码的保护,特别是在设置密码时不能简单。

(2)认证技术:数字认证是用电子方式证明信息发送者和接收者的身份、文件的完整性,以及数据媒体的有效性。信息认证是保证信息安全而采取的重要措施。认证是验证用户在系统上合法性及权限的过程,是为了防止有人对系统进行主动地攻击。认证机构是开展电子商务的基础,如果认证机构不安全或发放证书不具有权威性,则网上交易根本无法进行。在电子交易的各个环节,交易的各方面都需要验证对方证书的有效性,从而解决相互信任的问题。

通常有了用户名和密码,仍不能完全保证用户身份的合法性。因为像电脑病毒、木马程序、网络钓鱼等形形色色的网络威胁,让消费者在网络消费填写用户名、密码时非常不放心担心被破解。传统的用户名加密码的身份认证方式并不能适应网络消费经济的快速发展,也成为了网络消费的主要障碍之一。数字证书的出现就是为了消除这些障碍的出现。

当前,网络消费最典型的身份认证办法就是交易双方都事先从一个人们都信任的,交易方以外的被称为认证中心的第三方机构获得自己的数字证书。 

数字证书是一个经权威的认证机构数字签名的包含用户身份信息以及公开密钥的电子文件,是用电子手段来证实一个用户的身份和对网络资源访问的权限,是各实体(消费者、商户/企业、银行)在网上进行信息交流及商务活动的电子身份证。 数字证书可以在互联网上识别不同用户并且加密传输数据,并能根据用户的身份给出相应的网络资源。

(3)CA中心:CA中心是一个电子认证机构,它是为了交易的当事人进行信任担保,以帮助双方建立信任,促成交易,为电子商务的发展提供了组织安全保证。CA中心的基本功能是生成保管符合安全认证协议要求的密匙、数字证书(DC)与其数字签名;对DC和数字签名进行验证;对DC进行管理,其中证书的撤销管理是重点,同时实施自动管理;建立应用接口,特别是支付接口,实现安全支付。DC是用来证明网上参与交易的各方身份,并且CA的功能是增强网上交易各方的相互信任,大大地降低了交易中存在的风险,从而提高了网上交易的安全性。电子商务业务系统构架是基于CA体系的安全基础上。基本加密技术与CA证书技术共同构成电子商务安全基础。

在网络消费过程中具体来说,在隐私保护方面,网络消费用户应该得到这样的保证,除非有特殊的状况,不经用户的许可,电子商务网站不应将用户的资料交给其他第三方。某些特定信息,列如用户的密码、信用卡号码和银行账户号码等更不应该被透露。但电子商务网站可能会使用一些用户的信息,来进行一些市场调查,撰写关于购买趋势、利润分析和市场行为的综合性的报告,用来来帮助商家提高服务质量。同时,电子商务网站还会主动通知用户有关网站新提供的商品情况,或提供其他一些可能对用户有用的信息。这些都是电子商务网站在信息使用方面应采取的一些隐私保护政策。

五、对于计算机网络安全面临的问题本人提出的解决思路方法

1.加强主机本身的安全，做好安全配置，及时安装安全的补丁程序，减少漏洞。 

2.要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在安全隐患，并及时加以修补。 

3.在路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证。　 

4.利用RAID5等数据存储技术加强数据备份和恢复措施。 

5.敏感的设备和数据要建立必要的物理或逻辑隔离措施。 

6.在公共网络上传输的敏感信息要进行强度的数据加密。 

7.建立详细的安全审计日志，以便检测并跟踪入侵攻击。 

六、对于电子商务交易安全面临的问题及解决思路 

电子商务交易安全面临的问题本人提出的解决思路及方法 ： 

1.部分告知（Partial　Order）：在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。　 

2.另行确认（Order　Confirmation）：当在网上传输交易信息后，再用电子邮件对交易做确认，才认为有效。　 

3.建立有效的安全交易标准和技术：列如现在建立的安全超文本传输协议（S－）、　安全套接层协议（SSL）、安全交易技术协议（STT，Secure　Transaction　Technology）等。 

4.数字认证：数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性，以及数据媒体的有效性。 

5.加密技术：保证电子商务安全的最重要的一点是使用加密技术对敏感的信息进行加密。 

6.电子商务认证中心（CA，Certificate　Authority）实行网上安全支付是顺利开展电子商务的前提，建立安全的认证中心（CA）则是电子商务的中心环节。

结束语：电子商务模式相对传统商务模式，具有便捷、高效的特点。但时现在今全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的小部分。所以电子商务信息安全问题有赖于对公钥基础设施PKI、开发与应用、支付协议、物流配送协议、XML和标准化等方面深入研究和完善才能良好的促进电子商务技术的应用和推广功能。务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。总而言之，我们要从法律上承认电子通讯记录的效力，给电子商务以法律的保障；我们要加强对电子签名的研究，给电子商务以技术的保障；我们还要尽快建立电子商务的认证体系，给电子商务组织保障。并且，针对电子商务无国界的特点，我们还应该加强国际上的合作，使电子商务真正发挥它的应有作用。只有这样，我们才能顺应时代的潮流，推动我国经济的发展；也只有这样，我们才能在经济全球化的今天，加入到国际竞争中去，并且赢得竞争的优势。

参 考 文 献

1、 陆川. 电子商务概论 北京:对外经济贸易大学出版社,2007 2、 赵全. 网络安全与电子商务 北京:清华大学出版社,2005 

3、 常勇. 电子商务安全问题分析 信息安全,2011

4、 吴洋. 电子商务安全方法研究 天津大学, 2006.5、 李艳. 电子商务信息安全策略研究 甘肃科技, 20056、 成卫青,龚俭. 网络安全评估 计算机工程, 2003