企业电子商务安全问题分析

企业电子商务安全问题分析
 近年来，企业借助电子商务服务平台从事商务活动的越来越多，截至2006年底，阿里巴巴会员数已经超过1800万，再加上其它综合性电子商务平台和各类行业性电子商务服务平台，会员数更大。吸引和引导企业应用电子商务——进而决定平台服务内容的是“商机”。由此推断，世界上最大的市场必定是电子商务市场，最大的客户群必定是亿万上网的网民。那么，企业电子商务安全问题就面临着严峻的考验。随着互联网的全面普及，基于互联网的电子商务也应运而生，并在近年来获得了巨大的发展，成为一种全新的具有很大发展前途的商务模式。这种全新的电子商务模式是企业运作电子商务，创造价值的具体表现形式。是的像阿里巴巴网站、淘宝网站，这样的大型的电子商务企业在获得巨大利益的同时，就得更好的注意安全问题，保证企业和消费者的利益。
 一、企业电子商务安全形成原因
 企业上网并不意味要放弃传统的商业模式，Web站点是一个市场营销的工具，这一营销工具的使用必须符合“数字化生存”的基本原理。从营销手段和营销策略的角度讲，企业上网可以取得传统营销方法中无法替代的优势。
 电子商务至少在以下几何方面为企业带来好处：①以最小的费用制作最大的广告②丰富的网络资源有利于企业了解市场的变化、作出理性的决策③展示商品而不需要占用店面，小企业可以和大企业获得几乎同等的商业机会④提高服务质量，及时获得顾客的反馈信息⑤在线交易方便、快捷、可靠。
 二、企业电子商务安全面临的问题
 在从事电子商务方面的企业中，就阿里巴巴，其安全问题从物理角度看：电子商务系统网络结构的设置遵从该企业、商家、银行（或行业）的运作设置，即在电子商务总部建立一个局域网，该局域网为整个网络系统的中心节点，为证券、金融等商务业务系统的中心，同时还是网络管理中心。由网络物理拓扑结构可以看出，电子商务系统跨越了Intranet和Internet两个平台，这也意味着电子商务安全包含以下几个方面：
 1.Intranet内部网络关键数据存储安全；
 2.Internet国际网络的数据传输安全；
 3.Intranet和Internet网络之间的连接安全。
 “千里之堤，毁于蝼蚁。”由于电子商务系统十分庞大，任何一个系统漏洞，可能是一个致命的打击。正确了解电子商务系统的可能潜在的威胁是十分必要的。综合而言，可以包括以下几点：①操作系统的安全性②防火墙的安全性③评估机构④电子商务系统内部运行多种网络协议带来隐患⑤未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在恶意Java/ActiveX控制进行有效控制⑥应用服务的安全⑦网络的边界安全⑧网络传输的安全⑨数据存取的安全。
 从服务对象来看：
 Ⅰ对商家的威胁：
 1.中央系统安全性被破坏
 2.客户资料被竞争者获悉
 3.消费者提交订单后不付款
 4.竞争者检索商品递送情况
 5.虚假订单
 6.获取他人的机密数据
 Ⅱ对消费者的威胁
 1.虚假订单
 一个假冒者可能会以客户的名字来订购商品，且有可能收到商品，而此时客户却被要求付款或返还商品。
 2.机密性丧失
 客户有可能将秘密的个人数据或自己的身份数据（如PIN、口令等）发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃听。
 3.付款后不能收到商品
 在要求客户付款后，销售商中的内部人员不将订单和钱发给执行部门，因而使客户不能收到商品。
 4.拒绝服务
 供给者不能向销售商的服务器发送大量的虚假订单来穷竭它的资源，从而使合法用户不能得到正常的服务。
 Ⅲ要求：
 正是由于以上威胁，一个商家会对电子商务提出以下要求：
 能鉴别消费者身份的真实性和得到消费者对商品或服务条款的能力
 1.知识产权保护
 “数据商品”易于拷贝和分配，使商品开发者的知识产权容易受到伤害，因此，电子商务系统中应提供可靠的机制来保护知识产权。
 2.有效的争议解决机制
 当消费者收到商品或得到服务却说没有收到商品和服务时，销售者能出示有效证据，使用有效地解决机制来解决争议，防止销售者提供的服务被破坏。同时，消费者会对电子商务系统提出以下要求：
 ①    能对销售者的身份进行鉴别。
 以保证消费者能确认他要进行交易的对方是他们所希望的银行、销售商或政府部门，而不是一个欺骗者。
 ②    能保证消费者的机密信息和个人隐私不会被泄露给非授权的人。
 
 抽象地看，所有这些要求可归纳成如下安全要求：1.真实性要求2.加密性要求3.完整性要求4.可用性要求5.不可否认要求6.可控性
 三、企业电子商务采用的主要安全技术
 ⒈防火墙技术：
 ⑴防火墙的定义
 防火墙是指为了增强机构内部网络的安全性而设置在不同网络或网络安全域之间的一系列部件的组合。
 ⑵防火墙的优点：①保护脆弱的服务②控制对系统的访问③集中的安全管理④增强的保密性⑤记录和统计网络利用数据以及非法使用数据⑥策略执行。
 ⑶防火墙的功能：①防火墙是内部网的唯一瓶颈，通过它就可以把未授权用户排除到受保护的网络之外，禁止危及安全的服务进入或离开网络，防止各种IP盗用和路由攻击。②通过防火墙可以监视与安全有关的事情。③防火墙可以为几种与安全无关的因特网服务提供方便的平台。④防火墙可以作为IPSec的平台。
 ⒉加密技术
 加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。
 ⑴对称加密/对称密钥加密/专用密钥加密
 在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有"“n”个贸易关系,那么他就要维护“n”个专用密钥(即每把密钥对应一贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。
 ⑵非对称加密/公开密钥加密
 在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。
 ⒊认证技术
 ⑴数字签名
 数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
 ⑶证书和证书管理机构CA
 证书就是一份文档，它纪录了用户的公开密钥和其他身份信息（如身份证号码或者E－mail地址）以及证书管理机构的数字签名。
 证书管理机构是一个受大家信任的第三方机构。用户向CA提交自己的公开密钥和其他代表自己身份的信息，CA验证了用户的有效身份之后，向用户颁发一个经过CA私有密钥签名的证书。
 证书和CA的存在使两个贸易方都信任CA并从CA处得到了一个证书，双方可以通过互相交换证书得到对方的公开密钥。由干证书上有CA的数字签名，用户如果有正确的CA的公开密钥，就可以通过数字签名的鉴定来判断从证书中得到的公开密钥是否确实是对方的公开密钥。
 四、企业电子商务安全注意事项：
 ⒈鼓励或者要求员工选择比较复杂的密码。
 ⒉要求员工每90天更换一次密码。
 ⒊确保您的杀毒软件的版本是最新的。
 ⒋让员工了解电子邮件附件的安全风险。
 ⒌实施一个完整的、全面的网络安全解决方案。
 ⒍定期评估您的安全状况。
 ⒎当一个员工离开公司时，立刻取消该员工的网络访问权限。
 ⒏如果您让员工在家工作，就要为远程数据流量提供一个安全的、集中管理的服务器。
 ⒐定期升级您的Web服务器软件。
 ⒑不要运行任何不必要的网络服务 。
 综上所述，电子商务安全技术虽然已经取得了一定的成绩，但是电子商务要真正成为一种主导的商务模式，还必须在安全技术上有更大的突破。   

参考文献：电子商务概论（原理） 
          计算机应用与基础
          电子商务技术
          计算机网络原理与应用