電子商務(wù)的風(fēng)險(xiǎn)與防范設(shè)計(jì)

1、電子商務(wù)的風(fēng)險(xiǎn)與防范引論互聯(lián)網(wǎng)的飛速發(fā)展和計(jì)算機(jī)的普及，使電子商務(wù)被全世界、全社會(huì)的人們所關(guān)注和青睞， 它改變了原來(lái)的交易形式，也影響了傳統(tǒng)的生產(chǎn)經(jīng)營(yíng)模式，使企業(yè)間的交易機(jī)會(huì)大大增加， 并且使企業(yè)成本明顯，使企業(yè)效益顯著提高。然而，電子商務(wù)的安全性限制了它的發(fā)展，其推進(jìn)中的最大障礙就是它的安全問(wèn)題。1電子商務(wù)的概念電子商務(wù)是指利用互聯(lián)網(wǎng)進(jìn)行商務(wù)活動(dòng)。對(duì)電子商務(wù)概念的把握，我們應(yīng)從廣義和狹義兩個(gè)方面了解，廣義的電子商務(wù)(Electro nic Bus in ess,EB )是各行各業(yè)的各種業(yè)務(wù)的電子化、網(wǎng)絡(luò)化，這些業(yè)務(wù)活動(dòng)不光是企業(yè)內(nèi)部的商務(wù)活動(dòng)，而且還包括企業(yè)間的商務(wù)活動(dòng)。廣義的電子商務(wù)不僅僅

2、只是把硬件和軟件相結(jié)合，還是把買(mǎi)家、賣家、廠商和合作伙伴在內(nèi)部網(wǎng)、外部網(wǎng)和公共網(wǎng)上利用網(wǎng)絡(luò)技術(shù)與現(xiàn)有的系統(tǒng)結(jié)合起來(lái)進(jìn)行商業(yè)貿(mào)易活動(dòng)的綜合系統(tǒng)。狹義的電子商務(wù)(Electro nic Commerce,EC)，也稱電子交易，主要是指人們利用電子化的 手段在網(wǎng)上進(jìn)行的以商品交換為中心的各種商務(wù)交易活動(dòng)。對(duì)電子商務(wù)概念的理解還可以從"現(xiàn)代信息技術(shù)”和"商務(wù)”來(lái)考慮?？梢哉f(shuō)，電子商 務(wù)就是“現(xiàn)代信息技術(shù)”和“商務(wù)”它們兩個(gè)相互重疊的部分，它們的之間的關(guān)系可以用下 圖表示：2電子商務(wù)所面臨的安全問(wèn)題隨著電子商務(wù)的快速發(fā)展， 其所面臨的風(fēng)險(xiǎn)也變得越來(lái)越多。 因?yàn)殡娮由虅?wù)是一種剛剛 興起

3、的商業(yè)模式，人們對(duì)它并不熟悉， 并且交易的雙方又不見(jiàn)面， 再加上一些媒體對(duì)計(jì)算機(jī) 網(wǎng)絡(luò)的負(fù)面報(bào)道等， 對(duì)電子商務(wù)的安全性人們充滿疑慮。 確實(shí)，電子商務(wù)面臨著嚴(yán)重的安全 問(wèn)題，只有了解了這些問(wèn)題，我們才能更好地利用電子商務(wù)，電子商務(wù)行業(yè)才能蓬勃發(fā)展。2.1 網(wǎng)絡(luò)安全問(wèn)題2.1.1 黑客攻擊黑客攻擊就是指黑客運(yùn)用非法手段進(jìn)入網(wǎng)絡(luò)， 并且非法使用網(wǎng)絡(luò)上的資源。 黑客常用入 侵手段一般有下面幾個(gè)： （ 1）口令攻擊?？诹罟羰蔷W(wǎng)絡(luò)攻擊最常用的方法，也是大多數(shù)黑客開(kāi)始網(wǎng)絡(luò)攻擊的第一步。 黑客首先通過(guò)常規(guī)服務(wù)進(jìn)入系統(tǒng)或監(jiān)視網(wǎng)絡(luò)通信， 使用掃面工具 獲取目標(biāo)主機(jī)的有用信息。 而后， 通過(guò)多次試驗(yàn)和推斷該用戶

4、和他的親人朋友的姓名、出生年月以及電話號(hào)碼或其他的線索等， 以獲取進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的密碼， 從而侵入系統(tǒng)， 進(jìn) 行襲擊活動(dòng)。 （2）服務(wù)攻擊。黑客所采用的服務(wù)攻擊手段一般有以下幾種：使目標(biāo)主機(jī)建立大量的連接。 向遠(yuǎn)程主機(jī)發(fā)送大量的數(shù)據(jù)包。 使用即時(shí)消息， 以非?？斓乃俣扔么罅?的消息“轟炸”某一個(gè)特定的用戶，使目標(biāo)主機(jī)的緩沖區(qū)溢出，黑客趁機(jī)提升權(quán)限，獲取信 息或執(zhí)行任意一個(gè)程序。 利用網(wǎng)絡(luò)軟件和網(wǎng)絡(luò)服務(wù)存在的安全漏洞。 把病毒通過(guò)網(wǎng)絡(luò)向有 該漏洞的計(jì)算機(jī)傳播， 從而致使目標(biāo)主機(jī)感染病毒， 可能使遭受攻擊的主機(jī)系統(tǒng)崩潰， 使不 法侵入者達(dá)到其目的。 （3）欺騙。 欺騙是指一個(gè)攻擊者一般會(huì)用一個(gè)

5、假身份在網(wǎng)絡(luò)上與你交 互，以獲取他們想要的機(jī)密信息。常見(jiàn)的有偽裝和會(huì)話劫持。2.1.2 計(jì)算機(jī)病毒計(jì)算機(jī)病毒通過(guò)非法入侵計(jì)算機(jī)，將自己附著在其他程序上，等該程序開(kāi)始啟動(dòng)時(shí)，病 毒就會(huì)進(jìn)入系統(tǒng)中， 繼而進(jìn)行大范圍擴(kuò)散。 計(jì)算機(jī)如果感染上病毒的話， 就會(huì)使系統(tǒng)的運(yùn)行 效率下降，或者使部分文件丟失，或者造成系統(tǒng)死機(jī)、甚至使計(jì)算機(jī)硬件燒毀。當(dāng)前，計(jì)算 機(jī)活性病毒達(dá)數(shù)千種。 傳統(tǒng)的計(jì)算機(jī)病毒是依靠軟盤(pán)傳播， 而在網(wǎng)絡(luò)條件下， 病毒大部分是 通過(guò)網(wǎng)絡(luò)或電子郵件傳播的， 侵入網(wǎng)絡(luò)的計(jì)算機(jī)病毒能使網(wǎng)絡(luò)資源遭到破壞， 使網(wǎng)絡(luò)不能正 常進(jìn)行工作，更有甚者可能使網(wǎng)絡(luò)癱瘓。2.1.3 拒絕服務(wù)當(dāng)計(jì)算機(jī)有權(quán)對(duì)網(wǎng)絡(luò)資源進(jìn)

6、行訪問(wèn)卻不能獲得訪問(wèn)時(shí)， 或者當(dāng)服務(wù)器很長(zhǎng)時(shí)間不能正常 的提供服務(wù)時(shí)，這時(shí)，就發(fā)生了拒絕服務(wù)。典型的如“郵件炸彈” ，當(dāng)該病毒攻擊用戶之后， 在非常短的時(shí)間內(nèi)， 就會(huì)有大量沒(méi)用的電子郵件發(fā)送到用戶計(jì)算機(jī)上， 這樣就會(huì)致使這些受 到攻擊的用戶的系統(tǒng)功能喪失，甚至使整個(gè)網(wǎng)絡(luò)癱瘓。2.2 電子商務(wù)面臨的安全隱患在網(wǎng)絡(luò)的傳輸過(guò)程中信息被截獲攻擊者會(huì)通過(guò)互聯(lián)網(wǎng)、公共電話網(wǎng)、 搭線方式等方式，獲取傳輸?shù)臋C(jī)密信息， 當(dāng)信息流 在傳輸過(guò)程中沒(méi)有采用任何加密措施或者是加密強(qiáng)度不夠時(shí)， ；或者攻擊者通過(guò)截取信息數(shù) 據(jù)，之后分析所截取的數(shù)據(jù)，推斷出比較敏感的信息，例如用戶的銀行賬號(hào)、密碼、出生年篡改傳輸?shù)奈募粽?/p>

7、可能從三個(gè)方面破壞信息的完整性：（1）篡改。 更改信息流的順序或改變信息的內(nèi)容， 例如資金的支付方式、收貨人的地址 等。（2）刪除。刪除某一個(gè)消息或消息的某些部分等。（3）插入。在消息中插入一些誤導(dǎo)性的信息，讓接收方不能讀出該消息或者是直接讓接 受方接受錯(cuò)誤的消息。2.2.3 假冒他人身份（1）冒充主機(jī)欺騙合法主機(jī)及合法用戶。（2）偽造網(wǎng)絡(luò)控制程序，獲取或更改用戶的權(quán)限、口令、密鑰等機(jī)密信息。（3）接管合法的用戶，對(duì)系統(tǒng)進(jìn)行攻擊，占用合法用戶的資源。2.2.4 不承認(rèn)或抵賴已經(jīng)做過(guò)的交易（1）發(fā)件人事后不承認(rèn)發(fā)出了一條消息或內(nèi)容。（2）收件人事后不承認(rèn)收到了一條消息或內(nèi)容。（3）買(mǎi)方確認(rèn)了訂單

8、卻不承認(rèn)。（ 4）商家不承認(rèn)原有的交易。3觸發(fā)電子商務(wù)安全問(wèn)題的原因我們從上面的安全問(wèn)題中可以看出， 它不是個(gè)別現(xiàn)象， 只要網(wǎng)絡(luò)存在， 就不能忽視安全 問(wèn)題。 它不僅影響了正常的網(wǎng)絡(luò)交易， 擾亂了正常的網(wǎng)絡(luò)秩序， 而且造成各種各樣的的經(jīng)濟(jì) 損失。為了盡可能地避免安全問(wèn)題帶來(lái)的損失， 首先我們要知道是什么原因?qū)е铝诉@些安全 問(wèn)題?？偨Y(jié)起來(lái)大概有兩個(gè)部分，即網(wǎng)絡(luò)的先天性因素和人為、社會(huì)等的后天性因素。3.1 先天原因電子商務(wù)的實(shí)現(xiàn)依賴于網(wǎng)絡(luò)，如果沒(méi)有網(wǎng)絡(luò)的存在，就無(wú)法談及電子商務(wù)。 可以說(shuō)，電 子商務(wù)就是網(wǎng)絡(luò)發(fā)展的一個(gè)產(chǎn)物， 它依附于網(wǎng)絡(luò)的存在而存在。 當(dāng)初的網(wǎng)絡(luò)設(shè)計(jì)者只考慮了 網(wǎng)絡(luò)不會(huì)因?yàn)槟承┕?/p>

9、障而影響傳輸信息等這些問(wèn)題， 并沒(méi)有考慮到電子商務(wù)會(huì)存在風(fēng)險(xiǎn)等一 系列的安全問(wèn)題， 這樣由于網(wǎng)絡(luò)的開(kāi)放性、 全球性和共享性就致使了電子商務(wù)在進(jìn)行交易的 過(guò)程中信息傳輸?shù)陌踩源嬖谙忍觳蛔悖?使信息在傳遞時(shí)會(huì)有很大風(fēng)險(xiǎn)， 黑客就可以利用網(wǎng) 絡(luò)傳播各種病毒等，使網(wǎng)上交易面臨著各種危險(xiǎn)。3.2后天原因在現(xiàn)代化的企業(yè)建設(shè)中強(qiáng)調(diào)三分技術(shù)七分管理，同樣適用于電子商務(wù)的安全問(wèn)題。 但是,目前從事電子商務(wù)的企業(yè)大部分都缺乏管理，因此也給電子商務(wù)帶來(lái)了影響。其次，是黑客的惡意攻擊，因?yàn)槟壳皩?duì)網(wǎng)絡(luò)犯罪的反擊和跟蹤手段還很缺乏，所以黑客對(duì)網(wǎng)站的惡意攻擊也是威脅電子商務(wù)安全的一個(gè)重要因素。最后，許多已經(jīng)開(kāi)發(fā)出來(lái)的軟件

10、有許多漏洞，這就給攻擊者了一個(gè)機(jī)會(huì)，通過(guò)這些軟件漏洞，攻擊者就可以編寫(xiě)病毒代碼傳播到目標(biāo)主機(jī)上。除了以上所提的原因，還有法律和信用這兩方面的因素。法律方面，網(wǎng)上交易雖然是超前的、先進(jìn)的、很有前途的，但必須清楚地認(rèn)識(shí)到，目前關(guān)于電子商務(wù)的法律條文還很少，因此在法律方面電子商務(wù)還存在風(fēng)險(xiǎn)。信用方面，在傳統(tǒng)交易時(shí)，交易雙方可以直接面對(duì)面進(jìn)行， 信用風(fēng)險(xiǎn)比較容易控制。 由于是網(wǎng)上貿(mào)易，物流與資金流在空間和時(shí)間上都是分開(kāi)的，如果沒(méi)有信用擔(dān)保，網(wǎng)上交易是非常困難的。再加上網(wǎng)上交易，交易雙方很難進(jìn)行面對(duì)面交流， 信用的風(fēng)險(xiǎn)就難以控制。 這些問(wèn)題都嚴(yán)重的影響了電子商務(wù)的發(fā)展，并且目前網(wǎng)絡(luò)上病毒越來(lái)越厲害，而且

11、傳播的速度非?？?， 所以為了使電子商務(wù)快速的發(fā)展，我們就必須要要采取相應(yīng)的防范措施。4電子商務(wù)安全的防范措施4.1技術(shù)措施防火墻技術(shù)防火墻是網(wǎng)絡(luò)安全策略的一部分，它可以有效管理內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的信息交換和訪問(wèn)，它就像是設(shè)置在網(wǎng)絡(luò)之間的權(quán)限，它能允許主機(jī)用戶同意的人和信息進(jìn)入，同時(shí)拒絕不同意的人和信息，可以盡可能的阻止不法侵入者的入侵。它還可以盡最大限度的對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息，從而來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)。其基本原理如下圖所示：數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)是實(shí)現(xiàn)信息保密性的一種最基本的安全技術(shù)。 簡(jiǎn)單一點(diǎn)地說(shuō)，所謂加密就 是把明文偽裝成密文以隱藏它真正的內(nèi)容，即將明文 X偽裝成密文Y,使除合

12、法接受者以外 的人不能看到它。其加密過(guò)程如下圖所示：認(rèn)證技術(shù)（1 ）數(shù)字簽名所謂的數(shù)字簽名，就是一段別人無(wú)法偽造的數(shù)字串， 這段數(shù)字串是只有發(fā)送的一方才能 產(chǎn)生的，同時(shí)它也是所發(fā)送信息的真實(shí)性的有效證明。數(shù)字簽名技術(shù)廣泛用于識(shí)別發(fā)送方不可否認(rèn)服務(wù)，接受方不可否認(rèn)服務(wù)也是結(jié)合數(shù)字簽名技術(shù)來(lái)實(shí)現(xiàn)的。（2 ）數(shù)字信封數(shù)字信封是用密碼技術(shù)的手段保證規(guī)定的收信人才能閱讀信的內(nèi)容。在數(shù)字信封中，信息發(fā)送方采用對(duì)稱密鑰對(duì)原文進(jìn)行加密，然后再將這個(gè)對(duì)稱密鑰用接收方的公開(kāi)密鑰進(jìn)行加密，然后把它和信息一起發(fā)送給接收方，接收方收到后，先用對(duì)應(yīng)的私有密鑰打開(kāi)數(shù)字信封，然后得到對(duì)稱密鑰，最后使用對(duì)稱密鑰打開(kāi)信息。（3）

13、數(shù)字時(shí)間戳?xí)r間，對(duì)于電子交易文件來(lái)說(shuō)， 是一個(gè)非常重要的信息。 數(shù)字時(shí)間戳技術(shù)就是對(duì)電子交 易文件簽署的日期及時(shí)間進(jìn)行安全性保護(hù)和有效證明的技術(shù)。采用數(shù)字時(shí)間戳技術(shù)加密的書(shū)面文件上的時(shí)間不是由簽署人自己寫(xiě)上的，而是由專門(mén)的認(rèn)證機(jī)構(gòu)來(lái)加入的，并以認(rèn)證機(jī)構(gòu)收到文件的時(shí)間為依據(jù)。（4 ）數(shù)字證書(shū)數(shù)字證書(shū)是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源訪問(wèn)的權(quán)限。在網(wǎng)上的電子交易中，如果雙方出示了他們的數(shù)字證書(shū)， 并用它來(lái)進(jìn)行交易操作， 那么雙方都可不必為對(duì) 方身份的真實(shí)性而擔(dān)心。安全電子交易協(xié)議SET協(xié)議是專門(mén)為電子商務(wù)系統(tǒng)而研發(fā)的。SET不僅對(duì)客戶信用卡進(jìn)行認(rèn)證，又對(duì)商家身份的進(jìn)行認(rèn)證，這對(duì)于要支付貨

14、幣的交易來(lái)講是非常重要的。4.2 管理措施安全管理措施通常是以制度的形式表現(xiàn)出來(lái)，這些制度包括保密制度，人員管理制度， 系統(tǒng)維護(hù)制度，信息告知制度，法律制度等。（ 1）保密制度不論對(duì)于哪個(gè)致力于電子商務(wù)行業(yè)的企業(yè)， 他們都會(huì)有大量的機(jī)密信息， 例如公司資金 的流動(dòng)狀況， 企業(yè)的進(jìn)度計(jì)劃， 公司客戶的信息等等， 這些信息對(duì)一個(gè)企業(yè)來(lái)說(shuō)是至關(guān)重要 的。對(duì)于這些機(jī)密信息的訪問(wèn)權(quán)限問(wèn)題，企業(yè)都必須做出明確的界定并形成條文規(guī)定下來(lái)。（2）人員管理制度人是電子商務(wù)交易中最主要的參與者， 因此為了保證交易的安全進(jìn)行， 就對(duì)從事網(wǎng)絡(luò)管 理的人員提出了較高的職業(yè)道德要求。 這些人必須要經(jīng)過(guò)非常嚴(yán)格的選拔， 應(yīng)具

15、備較高的素 質(zhì)，有過(guò)硬的相關(guān)技術(shù)， 并能認(rèn)真負(fù)責(zé)的完成工作。 在工作過(guò)程中應(yīng)不斷地要求工作人員學(xué) 習(xí)先進(jìn)的理論技術(shù)，并對(duì)他們加強(qiáng)電子商務(wù)安全的培訓(xùn)，提高他們的網(wǎng)絡(luò)安全意識(shí)。（ 3）系統(tǒng)維護(hù)制度 系統(tǒng)維護(hù)主要是硬件和軟件的日常管理與維護(hù)。網(wǎng)絡(luò)管理員應(yīng)定期對(duì)設(shè)備和線路進(jìn)行管 理，并及時(shí)對(duì)重要數(shù)據(jù)進(jìn)行備份，另外還要對(duì)應(yīng)用軟件進(jìn)行及時(shí)、嚴(yán)格控制。（4）信息告知制度 在交易過(guò)程中，為了防止不法侵入者對(duì)信息的破壞，交易雙方可以事先將交易的一些重 要信息告知對(duì)方， 增加電子商務(wù)交易雙方的知情權(quán)， 這樣可以有效降低電子商務(wù)交易中的風(fēng) 險(xiǎn)。（5）法律制度由于電子商務(wù)是一個(gè)新生事物， 很多法律法規(guī)還不夠完善， 甚

16、至還有許多電子商務(wù)方面 是空白的， 這在實(shí)踐中引起了很多的問(wèn)題。 雖然電子商務(wù)近幾年來(lái)發(fā)展很迅速， 但相比而言 其仍屬于新生事物， 目前規(guī)范電子商務(wù)的相關(guān)的法律法規(guī)還是極為有限的。 我們應(yīng)該吸收外 國(guó)的先進(jìn)經(jīng)驗(yàn)， 盡快出臺(tái)一系列關(guān)于電子商務(wù)的法律法規(guī)， 為我國(guó)電子商務(wù)的健康快速發(fā)展 提供有力保障。還有就是我們可以利用刑法打擊網(wǎng)絡(luò)犯罪，加大法制的宣傳力度，提高 人們的網(wǎng)絡(luò)安全意識(shí)，還有就是立法機(jī)構(gòu)應(yīng)努力制定出符合電子商務(wù)的客觀要求的法律法 規(guī)。5 結(jié)束語(yǔ)電子商務(wù)的核心問(wèn)題就是其安全問(wèn)題。 雖然隨著信息技術(shù)的不斷進(jìn)步以及電子交易方式 的多樣性， 電子商務(wù)存在的安全問(wèn)題越來(lái)越多， 并且愈來(lái)愈嚴(yán)重， 但電子商務(wù)前進(jìn)的腳步并 不會(huì)因?yàn)檫@些問(wèn)題的存在而停止不前。 為了保證電子商務(wù)系統(tǒng)的安全可靠 , 需滿足以下兩點(diǎn)： 第一，必須保證有一個(gè)安全可靠的通信網(wǎng)絡(luò)