张泽鸿

中图分类号：TP393.4 F713.36文献标识码：A文章编号：1673-0992（2009）05-038-01

摘要：随着互联网的全面普及，基于Internet 开展的电子商务已逐渐成为人们进行商务活动的新模式,越来越多的企业和个人通过Internet 进行商务活动，电子商务的发展前景十分诱人，而商业信息的安全是电子商务的首要问题。

关键词：电子商务；身份认证；防火墙

一、引言

电子商务可以增加销售额并降低成本的优势，使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键，而安全体系的构建显得尤为重要。

二、电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看，主要体现在以下几个方面：

1.信息真实性、有效性

电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.信息机密性

电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，商业防泄密是电子商务全面推广应用的重要保障。

3.信息完整性

电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。

4.信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可要求即是能建立有效的责任机制，防止实体否认其行为；可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。

三、电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行，要求电子商务平台要稳定可靠，能不中断地提供服务。任何系统的中断，如硬件、软件错误，网络故障、病毒等都可能导致电子商务系统不能正常工作，而使贸易数据在确定的时刻和地点的有效性得不到保证，往往会造成巨大的经济损失。

1.网络节点的安全

防火墙是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，它其实就是一个把互联网与内部网（通常指局域网或城域网）隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击，为电子商务的施展提供个相对更安全的平台。

2.通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度，也可以考虑将加密强度增加到128 位。为在浏览器和服务器之间建立安全机制，SSL 首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL 链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。

3.应用程序的安全性

即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。

四、安全管理

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。对于所有接触系统的人员，按其职责设定其访问系统的最小权限。按照分级管理原则，严格管理内部用户账号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户账号和密码。

五、结束语

安全实际上就是一种风险管理。任何技术手段都不能保证1OO％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手，仅在技术角度防范是远远不够的。安全只是相对的，而不是绝对的。因此，为进一步促进电子商务体系的完善和行业的健康快速发展，必须在实际运用中解决电子商务中出现的各类问题，使电子商务系统相对更安全。

参考文献:

[1] 吴洋.电子商务安全方法研究[D].天津大学.2006

[2] 李艳.电子商务信息安全策略研究[J].甘肃科技.2005.06

[3] 成卫青,龚俭.网络安全评估[J].计算机工程.2003.02

[4] 甘悦.浅议电子商务信息安全体系的构建.西北成人教育学报. 2007.02