信息时代计算机电子商务的安全策略分析

蒋维梁/文

电子商务范围触及到商品和服务相关人员方方面面的行为，因此它的行为中包含了丰富的信息。电子商务所涉领域很宽，几乎涵盖了商品和服务交易的所有步骤，包括商品的买卖、促销、推广、银行、信息咨询、电子支付等等，通过它可以将商家、客户、中介机构、银行，甚至于政府连接在一起。在这个过程中，电子商务包含的信息是海量的，广泛的，且内容复杂，一旦这些信息遭到泄露，对企业、个人来说都是一种潜在的威胁。

电子商务中信息安全的重要性

电子商务面向公众开放，因此电子商务是否能够保证公众的信息安全至关重要。信息安全有四个特性：完整性，保密性、可用性、可靠性。在完全开放的电子商务环境中，如何保证公众主体的信息安全的完整、保密、可靠、可用，是必须解决的问题，且迫在眉睫，因为网络入侵、黑客攻击等行为正逐渐猖狂。

1.完整性

完整的信息是正常完成交易的前提。要保证网络上传输的信息不被破坏，不被随意修改、生成、删除，不在数据传送中失真，不重复传送，不无序传送。

2.保密性

电子商务应用推广的重要基础是商业机密不被泄露，不被非法存取信息，在信息传输中不被盗窃。

3.可用性

双方利益的达成需要可用的、有效的信息。开放的电子商务环境中可能面临网络故障、硬件故障、软件程序错误、计算机病毒入侵等潜在威胁，必须及时采取预防和控制措施，保证信息的可用。

4.可靠性

电子商务交易重要环节之一是保证双方是期望的对方。因此，安全可靠的交易系统非常重要。计算机网络、系统软件、程序的正常运行，是得到安全可靠目标的必要技术。

计算机电子商务中存在的信息安全问题

信息安全的重要性告诉我们，在电子商务中必须把信息安全摆在显明的位置，并着手解决存在的棘手难题。现在电子商务中的信息安全主要有以下几点：

（一）信息存储中的安全问题

信息存储安全是指当信息处于静态存放时的安全。电子商务运行在开放的环境中，可能面临以下威胁：

内部不安全因素。发生于企业内部之间，企业客户非授权下的随意删减、修改和调用。

外部不安全因素。外部人员采取非法手段入侵计算机网络，故意或过失调用电子商务信息及对其进行随意增删。这个不稳定威胁来源有：黑客攻击、信息间谍的非法闯入、竞争对手的故意破坏等。

（二）信息传输中的安全问题

信息传输安全指当信息处于动态运输时的安全，主要不安全威胁来源有：传输信息在运输过程中被篡改；被截获；被伪造；否认已经做过的交易；网络硬件被损坏；网络软件程序错误等等，这些都可能会导致信息传输丢失、失真。

（三）交易双方存在的信息安全问题

电子商务交易是对传统商品和服务交易的一种突破，打破了时间和空间、形式上的限制，买卖双方仅通过网络交流就可以完成交易。这种交易方式在带来便利的同时，也带来一些问题。

1.卖方存在的信息安全威胁

主要安全威胁有：（1）恶意程序如特洛伊木马会破坏电子商务信息；（2）信息间谍通过高科技方式窃取并非法使用商业秘密；（3）恶意竞争商假冒用户名入侵网络内获取需要的营销和客户信息；（4）黑客攻击服务器，导致电子商务交易程序无法正常操作；（5）冒名改变交易内容，损毁商家的名誉，损害用户利益。

2.买方存在的信息安全威胁

买方既可以上个人，也可以是企业、银行等组织。买方信息安全威胁主要表现形式有：（1）传递的交易信息被截获、篡改，导致信息不完整，交易失败；（2）身份被假冒。有人假冒用户身份信息和对方交易，导致要求付账或返还商品；（3）黑客攻击，设备故障造成丢失信息；（4）域名被监听和扩散，被迫接收大量的垃圾信息，甚至隐私被窃取；（5）因为虚假广告的误导购买了劣质产品或被骗财物。

保障计算机电子商务中信息安全的措施

电子商务正如一把双刃剑，在给社会带来改变和便利的同时，也带来一些隐忧，比如第二部分提出的信息安全问题，必须寻找积极措施予以预防和控制。如何保证电子商务中的信息安全，已经引起许多学者的关注和研究，笔者认为安全目标的达成，不仅需要技术的跟进，更需要一些措施的辅助。

（一）研究保障信息安全的各种技术

电子商务是计算机网络技术发展带来的必然趋势，技术的完善与否，可以从源头上保证信息安全。因此，研究更先进的网络安全技术非常重要。鉴于目前技术发展情况，笔者认为应重点研究以下技术：

（二）防火墙技术

防火墙是一种用来加强网络之间介入控制机制的系统，以单个或群体状态存在，可以监控所有由内到外的流量，且只允许授权的数据流量通过，属于一种极具免疫力的系统，阻止非法入侵。首先进行防火墙安全设计，如拒绝所有服务器除非它得到特殊授权；允许所有服务除非它被特殊拒绝。其次，利用防火墙设计网络服务访问权限，如不允许从本站点到Internet的访问，但允许Internet到站点的访问，或相反；过滤一些不安全协议的域；只允许Internet到本站点的部分访问权限。

（三）数据加密技术

信息加密可以保护网内的数据、文件、口令等信息完整，不被随意破解。加密最常用的技术有对称加密技术、非对称加密技术、前两者结合技术。现在常用的常规密钥密码体系的算法有：数据加密标准DES、国际数据加密算法IDEA、三重DES等。

（四）身份识别技术

身份识别技术主要针对交易双方的身份而言，要确认信息发送者的身份，验证身份是否正确，发送的信息是否完整，是否有被篡改。（1）数字标志，通过电子手段来辨别用户身份真假与对网络资源的访问权限，证明身份需要利用认证中心签发的数字证书。（2）电子商务认证中心，CA是承担网上交易安全认证服务、签发数字证书的企业性服务机构，对数字证书进行管理。

（五）防病毒技术

（1）检测病毒技术，从计算机的病毒特征入手侦测病毒的技术；（2）预防病毒技术，利用自身常驻系统内存的优势，获取系统控制权，然后监视系统中毒的情况，采取技术手段阻止计算机病毒进入到系统内搞破坏。（3）消除病毒技术，通过对计算机病毒分析，利用消除技术消灭病毒，恢复原文件。

（六）加强网络安全基础设施建设

网络系统的信息安全，并不是只要设置了大量防火墙，加了多层密保就可以获得足够安全，因为计算机芯片与中央处理器等核心部件，包括系统软件，都是别人设计生产，这对我国网络信息安全而言，是一个很大的弊端。而电子商务作为国民经济的新兴的增长点，信息安全至关重要，因此必须加强网络安全基础设施建设，包括公开密钥基础设施建设、应急响应处理基础设施建设、信息安全产品检验评估基础设施建设等。

（七）完善电子商务发展的法律法规

1.交易安全方面的法律制定

我国是法治国家，开放的电子商务交易需要得到国家法律的保护，同时接受法律制约。我国电子商务法律还并不健全，如何保护交易双方的隐私安全，保护用户自主访问控制的Internet信息的权利，怎样解决电子商务交易带来的纠纷和矛盾，如何防止诈骗等，这些都需要国家法律积极制定相关的法律。

2.电子支付方面的法律制定

电子支付涉及到付款人、收款人和银行三个主体，必须明确三者之间的法律关系；出台对电子字符数据的变造、篡改、伪造、赊销问题的处理办法；制定电子支付的支付机制，对电子签名予以承认。

电子商务信息安全已成为电子商务进一步发展的瓶颈之一，如果得到妥善解决，电子商务交易会更上一层楼。因此国家应加大对信息产业，尤其是信息安全技术的投入，研究出更为严密、安全、高级的信息安全技术，增加人们使用电子商务交易的信心。同时，国家要继续电子商务立法，从法律层面加强对电子商务的管理和控制，解决信息时代下电子商务发展存在的各种难题，从而促进中国电子商务更加健康、更加快速地向前发展，完成真正的飞跃。