隨著Internet和電子商務(wù)的廣泛應(yīng)用,人們的生產(chǎn)和生活方式也在發(fā)生著深刻的改變，電子商務(wù)在現(xiàn)代商務(wù)活動中正變得日趨重要，因而人們對網(wǎng)絡(luò)尤其是電子商務(wù)的應(yīng)用安全關(guān)注越來越高。但由于Internet自身的開放性使得電子商務(wù)應(yīng)用面臨著嚴峻的安全挑戰(zhàn)。本文采用了定性和定量相結(jié)合的方式，使用統(tǒng)計、文獻、比較、歸納等多種研究方法，借助管理學中的相關(guān)理論對當前電子商務(wù)平臺發(fā)展常見問題及解決方案作了探討。

　　《電子商務(wù)》創(chuàng)刊于1997年，由中國科學技術(shù)協(xié)會主管，中國電子學會和中國信息產(chǎn)業(yè)商會主辦。國內(nèi)刊號CN：11-4499/TN;國際刊號ISSN：1009-6108，郵代號：2—266。創(chuàng)刊宗旨：促進電子商務(wù)在中國的發(fā)展，為我國經(jīng)濟的信息化、現(xiàn)代化服務(wù)。是國家商務(wù)信息化發(fā)展的典藏薈萃、企業(yè)新經(jīng)濟模式的決策參考、電子商務(wù)人員的顧問。

　　1.電子商務(wù)平臺常見安全缺陷分析

　　隨著電子商務(wù)的飛速發(fā)展，企業(yè)電子商務(wù)平臺也在快速更新，但電子商務(wù)的發(fā)展受到許多因素的制約，如社會認同、交易成本、物流配送、信用與法律問題、安全問題等。在這些問題當中，安全問題是一個核心問題。電子商務(wù)基于開放的互連網(wǎng)，大量的信息在網(wǎng)上傳遞，大量的資金在網(wǎng)上劃撥流動，必然面臨各種安全風險，諸如信息泄露或篡改、欺騙、抵賴等。電子商務(wù)系統(tǒng)的關(guān)鍵是保證交易數(shù)據(jù)和交易過程的安全。電子商務(wù)的安全性包括保密性、認證性、接人控制、完整性、不可否認性和匿名性等方面。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲和傳輸?shù)男畔⒌陌踩�性。但是由于在互�?lián)網(wǎng)絡(luò)設(shè)計之初，只考慮方便性、開放性，使得互聯(lián)網(wǎng)絡(luò)非常脆弱。極易受到黑客的攻擊或有組織的群體人侵。也會由于系統(tǒng)內(nèi)部人員的不規(guī)范使用和惡意破壞，使得網(wǎng)絡(luò)信息系統(tǒng)遭到破壞，信息泄露。概括起來，電子商務(wù)面臨的安全威脅主要有：

　　1.1 TCP/IP網(wǎng)絡(luò)協(xié)議安全性問題

　　目前，TCP/IP協(xié)議是目前大多數(shù)企業(yè)的基本網(wǎng)絡(luò)協(xié)議，但由于TCP/IP本身的開放性特點，企業(yè)和用戶在電子交易過程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來傳送的，惡意攻擊者很容易對某個電子商務(wù)網(wǎng)站展開數(shù)據(jù)包攔截，甚至對數(shù)據(jù)包進行修改和假冒，從而給企業(yè)帶來難以估量的損失，因此該缺陷要采取果斷舉措。

　　1.2 用戶信息安全性問題

　　目前大多數(shù)企業(yè)采用的最主要的電子商務(wù)形式是基于B/S(Browser/Server)結(jié)構(gòu)的電子商務(wù)網(wǎng)站，企業(yè)員工使用瀏覽器登錄網(wǎng)絡(luò)進行交易，由于他們在登錄時使用的可能是公共計算機，如網(wǎng)吧、辦公室的計算機等情況，那么如果這些計算機中有惡意木馬程序或病毒，他們的登錄信息如用戶名、口令可能會有丟失的危險，進而對企業(yè)造成嚴重的損失。因此用戶信息安全性問題，成為迫不及待要解決的問題。

　　1.3 電子商務(wù)網(wǎng)站的安全性問題

　　目前大部分企業(yè)建立的電子商務(wù)網(wǎng)站本身在設(shè)計制作時就會有一些安全隱患，服務(wù)器操作系統(tǒng)本身也會有漏洞，不法攻擊者如果進入電子商務(wù)網(wǎng)站，大量用戶信息及交易信息將被竊取，給企業(yè)和用戶造成難以估量的損失。所以，針對企業(yè)網(wǎng)站的安全性實施必要的措施是不可不進行的舉措。

　　2.企業(yè)電子商務(wù)平臺缺陷解決方案

　　2.1針對企業(yè)協(xié)議安全性問題解決方案

　　2.1.1虛擬專網(wǎng)技術(shù)

　　增設(shè)虛擬專網(wǎng)技術(shù)(VPN技術(shù))是解決企業(yè)協(xié)議安全性問題的一個有效途徑。虛擬專用網(wǎng)是通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN 是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN 可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN 架構(gòu)中采用了多種安全機制，如隧道技術(shù)( Tunneling )、加解密技術(shù)( Encryption )、密鑰管理技術(shù)、身份認證技術(shù)( Authentication )等，通過上述的各項網(wǎng)絡(luò)安全技術(shù)，確保資料在公眾網(wǎng)絡(luò)中傳輸時的安全性。

　　2.1.2 網(wǎng)路掃描技術(shù)

　　解決企業(yè)網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在的安全隱患和脆弱點的范圍，面對大型網(wǎng)絡(luò)的復雜性和不斷變化的情況依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞。做出風險評估顯然是不現(xiàn)實的。因此需要找出一種能尋找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具。

　　2.2針對企業(yè)用戶信息安全性問題解決方案

　　2.2.1防火墻技術(shù)

　　通過增設(shè)防火墻技術(shù)能很好地解決這一問題，"防火墻"是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)( security gateway), 從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常這局域網(wǎng)或城域網(wǎng))隔開的屏障。

　　2.2.2數(shù)據(jù)完整性鑒別技術(shù)

　　該技術(shù)的目的是對介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗證, 達到保密的要求, 一般包括口令、密鑰、身份 、數(shù)據(jù)等項的鑒別, 系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設(shè)定的參數(shù), 實現(xiàn)對數(shù)據(jù)的安全保護。這種鑒別技術(shù)主要應(yīng)用于大型的數(shù)據(jù)庫管理系統(tǒng)中，因為一個單位的數(shù)據(jù)通常是一個單位的命脈，所以保護好公司數(shù)據(jù)庫的安全通常是一個單位網(wǎng)管、甚至到一把手的最重要的責任。數(shù)據(jù)庫系統(tǒng)會根據(jù)不同用戶設(shè)置不同訪問權(quán)限，并對其身份及權(quán)限的完整性進行嚴格識別。

　　2.2.3安全電子交易協(xié)議技術(shù)

　　在電子交易中，通常采用適當?shù)碾娮咏灰讌f(xié)議，如安全套階層協(xié)議(Secure Socket Layer，SSL)、安全電子交易協(xié)議(Secure Electronic Transaction，SET)、安全超文本傳輸協(xié)議、 安全交易技術(shù)協(xié)議等。

　　該技術(shù)是由VISA和MasterCard兩大信用卡組織指定的標準。SET用于劃分與界定電子商務(wù)活動中各方的權(quán)利義務(wù)關(guān)系，給定交易信息傳送流程標準。SET協(xié)議保證了電子商務(wù)系統(tǒng)的保密性、完整性、不可否認性和身份的合法性。

　　2.2.4 系統(tǒng)掃描技術(shù)

　　對操作系統(tǒng)這一層次需要功能全面、智能化的檢測，以幫助網(wǎng)絡(luò)管理員高效地完成定期檢測和修復操作系統(tǒng)安全漏洞的工作。系統(tǒng)管理員要不斷跟蹤有關(guān)操作系統(tǒng)漏洞的發(fā)布及時下載補丁來進行防范。同時要經(jīng)常對關(guān)鍵數(shù)據(jù)和文件進行備份和妥善保存，隨時留意系統(tǒng)文件的變化。系統(tǒng)掃描器是基于主機的一種領(lǐng)先的安全評估系統(tǒng)。系統(tǒng)掃描器通過對內(nèi)部網(wǎng)絡(luò)安全弱點的全面分析協(xié)助企業(yè)進行安全風險管理。區(qū)別于靜態(tài)的安全策略，系統(tǒng)掃描工具對主機進行真正預防潛在安全風險問題的設(shè)置。其中包括易猜出的密碼、用戶權(quán)限、文件系統(tǒng)進入權(quán)、服務(wù)器設(shè)置以及其他含有攻擊隱患的可疑點。

　　2.3針對電子商務(wù)網(wǎng)站的安全性問題解決方案

　　2.3.1 入侵檢測系統(tǒng)

　　通過增設(shè)入侵檢測系統(tǒng)能很好地解決這一問題，IDS是繼防火墻之后的第二道安全門，它在不影響網(wǎng)絡(luò)性能的情況下依照一定的安全策略，對網(wǎng)絡(luò)的運行狀況進行監(jiān)測，通過收集并分析計算機系統(tǒng)及網(wǎng)絡(luò)介質(zhì)上的各種有用信息，從而針對外部攻擊、內(nèi)部攻擊和誤操作等做出響應(yīng)，為交易雙方提供安全保護。

　　入侵檢測系統(tǒng)的基本模型CIDF (Common Intrusion Detection Framework)模型將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件(Event)。它既可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志或其他途徑得到的信息。事件產(chǎn)生器(Event Generators)從入侵檢測系統(tǒng)之外的計算機環(huán)境中收集事件，并向系統(tǒng)的其他部分提出此事件;事件分析器(Event Analyzers)分析得到的事件數(shù)據(jù)并將產(chǎn)生的分析結(jié)果傳送給其他組件;響應(yīng)單元(Response Units)：根據(jù)分析結(jié)果做出響應(yīng)并據(jù)此采取相應(yīng)的措施如殺死相關(guān)進程、復位網(wǎng)絡(luò)會話連接、以及修改文件權(quán)限等;事件數(shù)據(jù)庫(Event Databases)：存儲和管理事件數(shù)據(jù)，以備系統(tǒng)需要的時候使用。

　　入侵檢測系統(tǒng)中的異常入侵檢測可以為所監(jiān)測的系統(tǒng)建立一個正常使用情況的數(shù)值模型,當系統(tǒng)運行時的數(shù)值與所定義的正常情況的數(shù)值有偏差時，它會做出決策判斷。如在電子商務(wù)交易過程中當用戶名與密碼多次登錄不符時應(yīng)對本活動進行安全檢測。異常入侵檢測的核心就是要構(gòu)造異常活動集并從中發(fā)現(xiàn)入侵性活動子集。誤用入侵檢測可以采用"IF條件THEN動作"這種帶有因果關(guān)系的結(jié)構(gòu)使用由專家制定的規(guī)則來表示攻擊行為，并在此基礎(chǔ)上從審計事件中找出入侵。

　　2.3.2 訪問控制技術(shù)

　　除了計算機網(wǎng)絡(luò)硬設(shè)備之外.網(wǎng)絡(luò)操作系統(tǒng)是確保計算機網(wǎng)絡(luò)安全的最基本部件。它是計算機網(wǎng)絡(luò)資源的管理者必須具備安全的控制策略和保護機制防止非法入侵者攻破設(shè)防而非法獲取資源。因此，授權(quán)策略和機制的安全性顯得特別重要。保護可以從物理隔離、時間隔離、密碼隔離幾個方面加以考慮一般可以采用防火墻和VPN等訪問控制技術(shù)來加強防范。有效的安全策略和充分的安全檢測與保護措施是保護電子溝通和電子商務(wù)交易的唯一方法。信息安全技術(shù)所涉及的方面比較廣泛，如操作系統(tǒng)安全、防火墻技術(shù)、虛擬專用網(wǎng)技術(shù)、各種反黑客技術(shù)和漏洞檢測技術(shù)等各種網(wǎng)絡(luò)安全防范技術(shù)。只有綜合采用各種相關(guān)的技術(shù)手段，才能有效地提高系統(tǒng)的安全性保證電子商務(wù)的健康發(fā)展。另外在實際系統(tǒng)中，可以采用數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書、認證中心、智能卡等技術(shù)手段來提高網(wǎng)站的安全性。

　　[1]《電子商務(wù)概論》(第2版)李洪心編著;21世紀全國應(yīng)用型本科電子商務(wù)與信息管理系列實用規(guī)劃教材;北京大學出版社;2010年1月印刷;

　　[2]《電子商務(wù)安全保密技術(shù)與應(yīng)用》肖德琴主編;21世紀電子商務(wù)系列教材;華南理工大學出版社;2008年8月印刷;

　　[3]《電子商務(wù)安全方法研究》吳洋 天津大學 2006;

　　[4]《電子商務(wù)信息安全策略研究》李艷 甘肅科技 2005;

　　[5]《電子商務(wù)安全技術(shù)》肖和陽 盧嫣 國防科技大學出版社 2005;

　　[6]《電子商務(wù)安全》祝凌曦 北京交通大學出版社 2006。