隨著Internet和電子商務的廣泛應用,人們的生產和生活方式也在發生著深刻的改變，電子商務在現代商務活動中正變得日趨重要，因而人們對網絡尤其是電子商務的應用安全關注越來越高。但由于Internet自身的開放性使得電子商務應用面臨著嚴峻的安全挑戰。本文采用了定性和定量相結合的方式，使用統計、文獻、比較、歸納等多種研究方法，借助管理學中的相關理論對當前電子商務平臺發展常見問題及解決方案作了探討。

　　《電子商務》創刊于1997年，由中國科學技術協會主管，中國電子學會和中國信息產業商會主辦。國內刊號CN：11-4499/TN;國際刊號ISSN：1009-6108，郵代號：2—266。創刊宗旨：促進電子商務在中國的發展，為我國經濟的信息化、現代化服務。是國家商務信息化發展的典藏薈萃、企業新經濟模式的決策參考、電子商務人員的顧問。

　　1.電子商務平臺常見安全缺陷分析

　　隨著電子商務的飛速發展，企業電子商務平臺也在快速更新，但電子商務的發展受到許多因素的制約，如社會認同、交易成本、物流配送、信用與法律問題、安全問題等。在這些問題當中，安全問題是一個核心問題。電子商務基于開放的互連網，大量的信息在網上傳遞，大量的資金在網上劃撥流動，必然面臨各種安全風險，諸如信息泄露或篡改、欺騙、抵賴等。電子商務系統的關鍵是保證交易數據和交易過程的安全。電子商務的安全性包括保密性、認證性、接人控制、完整性、不可否認性和匿名性等方面。網絡安全就是如何保證網絡上存儲和傳輸的信息的安全性。但是由于在互聯網絡設計之初，只考慮方便性、開放性，使得互聯網絡非常脆弱。極易受到黑客的攻擊或有組織的群體人侵。也會由于系統內部人員的不規范使用和惡意破壞，使得網絡信息系統遭到破壞，信息泄露。概括起來，電子商務面臨的安全威脅主要有：

　　1.1 TCP/IP網絡協議安全性問題

　　目前，TCP/IP協議是目前大多數企業的基本網絡協議，但由于TCP/IP本身的開放性特點，企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的，惡意攻擊者很容易對某個電子商務網站展開數據包攔截，甚至對數據包進行修改和假冒，從而給企業帶來難以估量的損失，因此該缺陷要采取果斷舉措。

　　1.2 用戶信息安全性問題

　　目前大多數企業采用的最主要的電子商務形式是基于B/S(Browser/Server)結構的電子商務網站，企業員工使用瀏覽器登錄網絡進行交易，由于他們在登錄時使用的可能是公共計算機，如網吧、辦公室的計算機等情況，那么如果這些計算機中有惡意木馬程序或病毒，他們的登錄信息如用戶名、口令可能會有丟失的危險，進而對企業造成嚴重的損失。因此用戶信息安全性問題，成為迫不及待要解決的問題。

　　1.3 電子商務網站的安全性問題

　　目前大部分企業建立的電子商務網站本身在設計制作時就會有一些安全隱患，服務器操作系統本身也會有漏洞，不法攻擊者如果進入電子商務網站，大量用戶信息及交易信息將被竊取，給企業和用戶造成難以估量的損失。所以，針對企業網站的安全性實施必要的措施是不可不進行的舉措。

　　2.企業電子商務平臺缺陷解決方案

　　2.1針對企業協議安全性問題解決方案

　　2.1.1虛擬專網技術

　　增設虛擬專網技術(VPN技術)是解決企業協議安全性問題的一個有效途徑。虛擬專用網是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。通常，VPN 是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。VPN 可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。VPN 架構中采用了多種安全機制，如隧道技術( Tunneling )、加解密技術( Encryption )、密鑰管理技術、身份認證技術( Authentication )等，通過上述的各項網絡安全技術，確保資料在公眾網絡中傳輸時的安全性。

　　2.1.2 網路掃描技術

　　解決企業網絡層安全問題，首先要清楚網絡中存在的安全隱患和脆弱點的范圍，面對大型網絡的復雜性和不斷變化的情況依靠網絡管理員的技術和經驗尋找安全漏洞。做出風險評估顯然是不現實的。因此需要找出一種能尋找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具。

　　2.2針對企業用戶信息安全性問題解決方案

　　2.2.1防火墻技術

　　通過增設防火墻技術能很好地解決這一問題，"防火墻"是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯網與內部網之間建立起一個安全網關( security gateway), 從而保護內部網免受非法用戶的侵入，它其實就是一個把互聯網與內部網(通常這局域網或城域網)隔開的屏障。

　　2.2.2數據完整性鑒別技術

　　該技術的目的是對介入信息的傳送、存取、處理的人的身份和相關數據內容進行驗證, 達到保密的要求, 一般包括口令、密鑰、身份 、數據等項的鑒別, 系統通過對比驗證對象輸入的特征值是否符合預先設定的參數, 實現對數據的安全保護。這種鑒別技術主要應用于大型的數據庫管理系統中，因為一個單位的數據通常是一個單位的命脈，所以保護好公司數據庫的安全通常是一個單位網管、甚至到一把手的最重要的責任。數據庫系統會根據不同用戶設置不同訪問權限，并對其身份及權限的完整性進行嚴格識別。

　　2.2.3安全電子交易協議技術

　　在電子交易中，通常采用適當的電子交易協議，如安全套階層協議(Secure Socket Layer，SSL)、安全電子交易協議(Secure Electronic Transaction，SET)、安全超文本傳輸協議、 安全交易技術協議等。

　　該技術是由VISA和MasterCard兩大信用卡組織指定的標準。SET用于劃分與界定電子商務活動中各方的權利義務關系，給定交易信息傳送流程標準。SET協議保證了電子商務系統的保密性、完整性、不可否認性和身份的合法性。

　　2.2.4 系統掃描技術

　　對操作系統這一層次需要功能全面、智能化的檢測，以幫助網絡管理員高效地完成定期檢測和修復操作系統安全漏洞的工作。系統管理員要不斷跟蹤有關操作系統漏洞的發布及時下載補丁來進行防范。同時要經常對關鍵數據和文件進行備份和妥善保存，隨時留意系統文件的變化。系統掃描器是基于主機的一種領先的安全評估系統。系統掃描器通過對內部網絡安全弱點的全面分析協助企業進行安全風險管理。區別于靜態的安全策略，系統掃描工具對主機進行真正預防潛在安全風險問題的設置。其中包括易猜出的密碼、用戶權限、文件系統進入權、服務器設置以及其他含有攻擊隱患的可疑點。

　　2.3針對電子商務網站的安全性問題解決方案

　　2.3.1 入侵檢測系統

　　通過增設入侵檢測系統能很好地解決這一問題，IDS是繼防火墻之后的第二道安全門，它在不影響網絡性能的情況下依照一定的安全策略，對網絡的運行狀況進行監測，通過收集并分析計算機系統及網絡介質上的各種有用信息，從而針對外部攻擊、內部攻擊和誤操作等做出響應，為交易雙方提供安全保護。

　　入侵檢測系統的基本模型CIDF (Common Intrusion Detection Framework)模型將IDS需要分析的數據統稱為事件(Event)。它既可以是網絡中的數據包，也可以是從系統日志或其他途徑得到的信息。事件產生器(Event Generators)從入侵檢測系統之外的計算機環境中收集事件，并向系統的其他部分提出此事件;事件分析器(Event Analyzers)分析得到的事件數據并將產生的分析結果傳送給其他組件;響應單元(Response Units)：根據分析結果做出響應并據此采取相應的措施如殺死相關進程、復位網絡會話連接、以及修改文件權限等;事件數據庫(Event Databases)：存儲和管理事件數據，以備系統需要的時候使用。

　　入侵檢測系統中的異常入侵檢測可以為所監測的系統建立一個正常使用情況的數值模型,當系統運行時的數值與所定義的正常情況的數值有偏差時，它會做出決策判斷。如在電子商務交易過程中當用戶名與密碼多次登錄不符時應對本活動進行安全檢測。異常入侵檢測的核心就是要構造異常活動集并從中發現入侵性活動子集。誤用入侵檢測可以采用"IF條件THEN動作"這種帶有因果關系的結構使用由專家制定的規則來表示攻擊行為，并在此基礎上從審計事件中找出入侵。

　　2.3.2 訪問控制技術

　　除了計算機網絡硬設備之外.網絡操作系統是確保計算機網絡安全的最基本部件。它是計算機網絡資源的管理者必須具備安全的控制策略和保護機制防止非法入侵者攻破設防而非法獲取資源。因此，授權策略和機制的安全性顯得特別重要。保護可以從物理隔離、時間隔離、密碼隔離幾個方面加以考慮一般可以采用防火墻和VPN等訪問控制技術來加強防范。有效的安全策略和充分的安全檢測與保護措施是保護電子溝通和電子商務交易的唯一方法。信息安全技術所涉及的方面比較廣泛，如操作系統安全、防火墻技術、虛擬專用網技術、各種反黑客技術和漏洞檢測技術等各種網絡安全防范技術。只有綜合采用各種相關的技術手段，才能有效地提高系統的安全性保證電子商務的健康發展。另外在實際系統中，可以采用數字摘要、數字信封、數字簽名、數字時間戳、數字證書、認證中心、智能卡等技術手段來提高網站的安全性。

　　[1]《電子商務概論》(第2版)李洪心編著;21世紀全國應用型本科電子商務與信息管理系列實用規劃教材;北京大學出版社;2010年1月印刷;

　　[2]《電子商務安全保密技術與應用》肖德琴主編;21世紀電子商務系列教材;華南理工大學出版社;2008年8月印刷;

　　[3]《電子商務安全方法研究》吳洋 天津大學 2006;

　　[4]《電子商務信息安全策略研究》李艷 甘肅科技 2005;

　　[5]《電子商務安全技術》肖和陽 盧嫣 國防科技大學出版社 2005;

　　[6]《電子商務安全》祝凌曦 北京交通大學出版社 2006。