电商信息研究

　　近年来，随着通讯技术及计算机网络的快速发展，电子商务的规模不断壮大。电子商务低成本、高效率的特性，为商家提供了无限的商机。同时，由于Internet自身的共享性、开放性、无缝性，那么以此为平台的在线商务交易安全也面临着日益严峻的挑战，一些信息有可能会成为非法入侵者的攻击目标，造成隐私泄露、信息篡改等安全问题。本文简要的分析了电子商务信息安全以及信息安全隐患和信息安全管理等问题。

　　1 问题的提出

　　随着Internet网络技术飞速发展及普及，电子商务(Electronic Commerce，简称EC)已经逐渐成为人们进行商务活动的新模式，越来越多的人通过Internet进行商务活动。电子商务是利用网络技术、计算机技术和通信技术，实现数字化、电子化，商务化，网络化的整个商务过程，它与传统商业活动相比，最大的一个特征就是基于B/S方式下，交易双方在不见面的情况下完成商品贸易活动。

　　2 国内电子商务安全研究现状

　　2.1 我国电子商务安全研究现状

　　国务院在1996年发布了《中华人民共和国计算机信息网络国际联网管理暂行规定》，公安部在1997年发布了《计算机信息网络国际联网安全保护管理办法》，2000年由国家信息化推进工作办公室牵头起草的《关于发展我国电子商务的若干意见》上报国家最高决策层进行审议。网络信息安全问题不但得到了政府、企业的高度重视，同时国内的大专院校、研究所和有实力的大公司也纷纷进入网络信息安全问题的研究领域。

　　2.2 电子商务信息安全隐患

　　电子商务的信息存储安全隐患主要包括：(1)内部隐患。主要是网内用户未经许可随意增加、删除、修改或无意或故意地非授权调用电子商务信息。(2)外部隐患。主要是因为软件问题造成外部人员非法闯入内网，造成电子商务信息被增加、删除、修改或调用。

　　电子商务交易双方的信息安全隐患主要是：(1)商家的信息安全隐患。不法分子冒充合法用户修改商务信息内容，致使电子商务活动中断，造成商家无法从事正常的业务活动。(2)用户的信息安全隐患。不法分子窃用拦截合法用户身份信息，以合法的用户进行电子商务活动，使用户蒙受损失。

　　2.3 电子商务信息安全管理

　　在电子商务活动中，有些信息属于商业秘密，如果失窃，将带来不可估量的损失，因此需有一个能不中断地提供服务及可靠稳定的电子商务平台，任何系统的中断，如软硬件错误，病毒，网络故障等都可能导致电子商务系统不能正常工作，所以电子商务信息的安全管理问题就成了电子商务顺利推进的保障。随着电子商务的深入应用，攻击网络技术和手段不断改进，这就对电子商务信息系统的安全性提出了更高的要求，必须保证外网用户不能对系统构成威胁，所以人们对这些基本技术进行了反复改进以适应更高的安全需求。

　　3 电子商务信息安全技术

　　在电子商务交易过程中，采取适当的安全技术措施能够有效的降低电子商务交易过程中的风险，满足电子商务对于安全性的要求。下面对常用的电子商务信息安全技术措施进行研究。

　　3.1 防火墙技术

　　目前的防火墙分可为两大类，一类是简单的包过滤技术，它是在网络层对数据包实施有选择的通过。依据系统内事先制定好的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址等因素来确定是否允许数据包通过。另一类是应用网管和代理服务器，其显著的优点是能提供小颗度的存取控制，可针对特别的数据过滤协议和网络应用服务，并且能够对数据包分析并形成相关的报告。通过防火墙技术，可以过滤掉不安全的服务，提高网络安全和减少网络中主机的风险。但防火墙是一种被动安全技术，不能阻止来自内部网络的攻击。唯一的解决办法就是，在每台计算机上都装反病毒软件。

　　3.2 病毒防范技术

　　计算机病毒实际上就是在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒绕过系统或违反授权入侵成功后，在系统中植入木马等病毒程序，为以后攻击系统、窃取信息做好准备。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测，工作站上对网络目录及文件设置访问权限等。

　　现在较流行的反病毒技术基于病毒的特征码扫描法、文件实时监控技术并辅以指令虚拟技术。扫描病毒：分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。该技术实现简单有效，安全彻底。监控病毒：通过利用操作系统底层接口技术，对系统中的指定类型的文件进行实时的行为监控，一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。删除病毒：在删除时采用虚拟技术对变种的病毒进行处理或编写出相应的程序，将病毒移除计算机内存。

　　3.3 认证技术

　　安全认证技术主要有：(1)数字摘要技术，也称安全HASH编码法。用于对所要传输的数据进行运算生成信息摘要，它并不是一种加密机制，但能产生信息的数字"指纹"，目的是为了确保数据没有被篡改，从而保证数据的完整性和有效性。(2)数字签名技术，又称电子签章、公钥数字签名。是一种类似写在纸上的普通的物理签名，就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种变换或数据允许数据单元的接收者用以确认完整性和数据单元的来源并保护数据，防止被人伪造。它是对电子形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中发生抵赖。(3)数字证书技术，又称为数字凭证。负责用电子手段来证实用户的身份和对网络资源访问的权限。(4)身份认证实际。是计算机系统通过审查用户身份证明的过程，提供确认和判别用户身份的机制，确定用户是否具有对系统资源操作和访问权限。本质是确认用户身份，用户必须能够证明其身份标识合法性。身份认证技术是访问控制、安全审计、入侵检测等安企机制的基础，在电子商务信息安全理论与技术中占有至关重要的位。目身份认证技术主要有基于口令的认证技术、基于密码学的认证技术、基于智能卡的认证技术以及基于生物学特征的认证技术等。

　　3.4 安全协议技术

　　电子商务安全问题的核心是电子交易的安全性，为了彻底解决电子商务的安全机制，人们开发了各种用于加强电子商务安全的协议。当前广泛应用的电子商务安全协议主要有SET协议(Secure Electronic Transaction，安全电子交易)和SSL协议(Secure Sockets Layer，安全套接层)，二者都采用了RSA算法加密。

　　总之，电子商务信息的安全问题是一项复杂的系统工程，随着电子商务的发展，通过各种网络的交易手段也会更加多样化，安全问题也会变得更加突出。它不仅涉及到动态传输信息及静态存储信息的安全问题，还需要保证电子商务信息安全，加快电子商务的发展。加强电子商务信息安全技术研究有着重要意义，需要我们根据具体的电子商务信息安全需求，不断的加强电子商务信息安全管理。

　　作者：田野 来源：中国科技博览 2015年39期