一、电子商务中存在的网络安全问题
电子商务是指通过互联网在内的网络来购买、销售和交换产品、服务和信息的过程。在从传统的贸易方式向新的方式转变的过程中,电子商务给人们带来了许多便利,但也存在着一些网络安全隐患。因为电子商务是通过网络进行的,交易双方的身份信息、产品信息、资金信息等都在计算机系统中存放、传输和处理,所以有关其安全问题引起了广泛的关注。商业信息被窃取、篡改、破坏,误操作、传输错误等造成的信息丢失,都危害到电子商务的发展。具体存在如下几种网络安全问题:
(一)信息被窃取
电子商务的信息在网络传输的过程中如果出现加密强度不足或者没有使用加密措施的话,可能被别人通过互联网、电磁波辐射范围内安装截取装置或在数据包通过的网关和路由器上截获数据。窃取者能够窃取交易双方交易的内容或者交易一方提供给另一方使用的文件。
(二)信息被篡改
攻击者可以对截获的信息进行篡改,主要有三个方面:(1)改变信息的次序,更改信息的内容。(2)删除某个消息或者删除消息的部分内容。(3)在原有的信息中加入一些错误的信息,使接受者误读或读不懂。总之,攻击者篡改信息,使信息失去了真实性和完整性。其中,网页篡改是将原有的网站内容更换为黑客所提供的网页。这种篡改并不会对计算机系统造成损失,但是终止了原有的电子商务活动。对企业网站来说,篡改网页可能造成企业形象和声誉被破坏。
(三)假冒合法用户身份
攻击者利用非法手段窃取用户的身份信息,冒充用户身份与他人进行交易。如假冒用户消费,假冒主机欺骗其他用户等手段,从中获得非法利益。每年都有多起假冒合法用户身份,获取非法利益的事件发生。
(四)交易抵赖
交易抵赖就是不承认自己已经做过的交易。交易抵赖存在着多方面的情形,如发信者事后否认曾经发送过某条信息或内容,收信者事后否认曾经收到过某条信息或内容,商家卖出的商品因存在价格差而不承认原有的交易。一些在现实生活中出现的恶意抵赖行为同样出现在互联网上。
(五)计算机病毒
计算机病毒(ComputerVirus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。计算机病毒问世多年来,新型病毒不断出现及其变种迅速增加。互联网又为病毒的传播提供了媒介,计算机病毒的传播,经常造成巨大的经济损失。客户在网络上进行交易,确保网络传输数据的安全是电子商务能否发展壮大的关键问题。如果解决不好网络安全问题,可能会让客户通过互联网交易造成极大的损失,将阻碍电子商务的健康发展。
二、解决电子商务网络安全问题的对策
(一)进一步建立、健全有关电子商务的法律法规。随着电子商务在我国的快速发展,因电子商务法律法规欠缺而造成的纠纷和矛盾越来越多。我国逐渐重视这方面的问题,不断建立和健全有关电子商务的法律和法规。2010年以后相继出台了《电子商务示范企业创建规范》、《第三方电子商务交易平台服务规范》、《关于促进电子商务健康快速发展有关工作的通知》、《关于进一步促进电子商务健康快速发展有关工作的通知》等一系列的法律法规,同时结合网络体系结构和网络安全事件的特点,建立各级网络应急体系,以确保对各类网络安全事件的快速反应。
(二)使用电子商务相关安全技术。电子商务的安全技术能够提升安全系数,降低遭受破坏和攻击的风险。主要技术有:
1.加密技术
加密技术是电子商务最常用的安全保密手段。交易双方在网络上传输文件、收发电子邮件等存在着一些不安全的因素,特别是在传输一些重要信息和机密文件时,由于信息泄露可能造成巨大的损失。而这种不安全性是网络协议(TCP/IP)等所固有的,要解决这些问题就必须采取加密技术。首先通过算法将普通的文本(或者可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文。加密后的信息即使被黑客截取到,也无法读取真实内容,而是一些没有任何实际意义的乱码。密钥是用来对数据进行编码和解码的一种算法,只有拿到密匙才能获取真实的传输信息。在网络的信息传输中,可过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。
2.认证技术
认证技术是确保电子商务安全的重要技术之一,它是用电子手段证明发送者和接收者身份及其文件完整性的技术,可以防止信息被删除、篡改和伪造,具有被验证的能力,使接受者能够识别和确认信息的真伪。常用的安全认证技术主要有数字证书、数字签名、数字信封等。数字证书是在互联网上进行身份验证电子文档,由权威机构CA机构发行,可以用来证明自己的身份和识别对方的身份。数字签名是一种类似写在纸上的普通的物理签名,使用了公钥加密领域的技术实现,保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。数字信封是一种综合利用了对称加密技术和非对称加密技术两者的优点进行信息安全传输的一种技术,是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。
(三)建立完整的网络安全构架。电子商务的网络安全不完全是计算机安全问题,还应该建立完整的网络安全构架,结合安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。网络安全保护是利用网络安全产品、工具和技术保护网络系统、数据等,但这些防护不具备实时性,只能够预防一些安全威胁。随着网络技术的发展,黑客技术也在不断变化和发展,网络安全的内容是在不断变化的。安全监控则能够提供一种实时的保护,满足动态安全的需求。针对网络安全发展动向及网络上发生的各种事情,及时发现攻击,制定新的安全策略。然而,网络安全事件的发生是不能完全避免的,要采取相应的应急措施,并及时恢复正常应用,因此要建立事件响应与恢复机制。当安全事件发生时要修改安全策略,减少并弥补攻击的损失,防止类似攻击的再次发生。同时,安全事件发生以后,系统会造成不同程度的破坏,要有机制能尽快恢复系统的正常应用。网络的飞速发展,电子商务大范围普及,随着而来的是各类网络安全事件。对网络安全的要求越来越高,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,解决好电子商务应用与发展的网络安全问题才能保障电子商务的良性发展。
作者:李敏 单位:新乡职业技术学院
