网络安全的维度与电子商务安全体系构建

年4月19日网络安全的维度与电子商务安全体系构建文档仅供参考，不当之处，请联系改正。网络安全的维度与电子商务安全体系构建吴鸭珠

【论文摘要】电子商务对中国的经济发展有着重要的作用，在未来电子商务发展将会获得更大的发展空间。可是电子商务依赖于互联网，与互联网相关的网络安全问题对电子商务的交易存在严重的威胁。因此本文将从网络安全策略的角度，对中国电子商务网络安全体系进行分析，进而提出提升中国电子商务网络安全的策略，为中国电子商务领域的高速发展提供保障。

【论文关键词】电子商务互联网安全发展策略

引言

根据中国互联网信息中心的报告显示，中国的互联网信息安全环境不容乐观。根据图1数据可知，当前中国的网络安全问题多种多样，发生问题最高比例达到59.2%。而中国网民有74.1%都曾遭遇过信息安全问题，涉及约4.38亿网民。而网络安全问题极易带来损失，在遭受安全问题的人群当中，约13.1%的人资料遭泄露或丢失，而8.8%的人遭受到了经济损失。下半年，全国网民因网络安全遭受的经济损失约达到196.3亿元。可见，当前中国的信息技术和网络在普及和发展过程中同样催生了安全问题。另外，中国互联网络信息中心所发布的数据显示，电子商务客户中，56.2%的用户对于电子商务交易安全性最为关心。因此在一定程度上能够说未来电子商务持续发展过程中，网络安全问题将成为决定电子商务成败的关键因素之一。

电子商务安全现状

电子商务是一种当前利用互联网进行商业贸易获得的方式。能够利用互联网开放的网络环境实现网上购物、网上交易和在线电子支付、金融活动等。而随着互联网以及计算机、移动设备等终端设备的普及，中国的电子商务发展迅猛。

中国电子商务研究中心的数据报告显示，中国的电子商务市场的交易规模已经达到了13.4万亿元，而第一季度则达到18万亿元（见图2）。这表明中国当前的电子商务市场发展规模不断增大，因此在未来，电子商务平台的交易量将会直线上升，成为中国市场经济又一新增长点。而伴随电子商务迅猛发展的则是由互联网带来的网络安全问题。

由图3的数据显示，在的网络零售投诉热点问题当中，因网络安全引发的信息泄露和网络诈骗占13.68%。电子商务的发展离不开互联网的支持，可是互联网也存在着一定的弊端，这些弊端极易经过电子商务平台不断地侵蚀用户的隐私及财产安全。可见当前中国电子商务网络安全问题层出不穷，网络风险势必会对电子商务客户群体对于电子商务平台的信任度有所降低。

（一）电子商务安全问题

信息篡改、破坏、泄露。交易的过程实质上是交换的过程，同理，在电子商务交易之中虽未进行面对面交易，但交易是经过信息传递完成的，因此交易过程能够看作是信息交换的过程，在这一过程之中，只有保证信息的完整性、真实性，才能够让交易顺利进行。可是当前在电子商务及交易过程中存在着信息篡改、破坏、泄露的危险。根据国家计算机病毒应急处理中心公布的数据显示，中国约31%的互联网用户在中遭受到信息泄露的问题，从而给个人生活带来影响。信息泄露实际上是因为在信息交换过程中，信息被黑客所劫持，黑客将信息篡改、破坏等，因此造成信息不完整、丧失真实性，破坏了数据包的作用，让交易双方无法达到预先的目标。例如常见的交易进行过程中点击页面出现信息错误或失败则有可能是信息遭到了篡改。而除了上述情况之外，网路软硬件缺陷也会使信息在传递过程中丢失，或是一些恶意程序也会对信息进行破坏。信息被篡改、破坏、泄露等不但违反交易规则，更让交易双方容易受到恶意攻击，而一些商业机密或是消费者个人信息等一旦泄露则会引发严重的后果。

电子商务网站安全性问题。当前中国电子商务市场竞争激烈，除了占市场份额较大的几个电子商务平台，如天猫商城、京东商城、淘宝网、聚美优品等，同时也出现了一些刚起步的电子商务网站。这些电子商务网站由于资金不足，因此网站安全性难以保障。而即使是当前中国较大的电子商务网站，网站上也有可能存在漏洞，这些漏洞让不法攻击者能够利用SQL注入、cookies欺骗、木马上传等手段获得网站的管理员账户和后台webshell等方法窃取用户信息及交易信息，给网站和用户造成损失。

钓鱼欺诈。根据国家计算机病毒应急处理中心16日发布的一份报告显示，中国当前支付类病毒数量大大提升，且其智能化程度已经达到了混淆视听的地步，病毒可能经过仿冒中国当前主流的支付APP程序来入侵用户电脑，从而让支付流程被黑客操纵。而在，约有30.4%的互联网用户遭受过钓鱼欺诈，而移动客户端的用户遭受到钓鱼欺诈的风险要高于PC端。钓鱼欺诈是不法分子利用各种手段来仿冒网站、伪基站等，来欺骗用户，以达到目的。而网络钓鱼的特点具有犯罪成本低、传播速度快、范围广等特点，犯罪团伙甚至花费不到千元就能组建钓鱼网站。基于钓鱼欺诈的特点，自以来，网络钓鱼欺诈进入了高发期。病毒感染。根据瑞星公司发布的《瑞星中国信息安全报告》显示，在，中国的网络新增网络病毒数量呈现上升趋势，根据瑞星截获的病毒样本显示，病毒的总体数量与同期相比增长了55.44%，新增的手机病毒上涨128.75%。而当前极易遭受到病毒攻击的为路由器、NFC支付、云计算等环节。而病毒感染不但使得用户隐私被曝光，更容易在支付时密码遭窃，造成经济损失。

信息伪造。信息伪造是不发分子掌握了用户的数据之后，篡改经过信息，假冒用户。信息伪造一般有以下几种常见情况：第一，虚开网站和商店，给用户发送邮件，进行虚假交易。第二，伪造商家给用户发送信息，骗取用户的个人信息和账号密码。第三，伪造身份，给交易另一方发送邮件，窃取相关信息。这类伪造问题很容易让没有识别能力的商家或用户上当受骗。

（二）电子商务安全问题的原因分析

1.电子商务主观原因。当前电子商务的开展势必要依赖互联网和计算机设备以及各种软件技术，特别是其中的金融环节。可是互联网的发展十余年以来无论是在资质审核、安全技术、信息保护等方面都依然处在探索阶段。而随着电子商务的发展，所涉及的环节和行业也越来越丰富，对于安全技术的要求也越来越高，可是当前电子商务平台和网站将大多数资源投入到了市场份额扩展、网站功能完善、提升客户体验等方面，而许多电子商务平台甚至长久以来未更新相应的安全技术。

2.法律环境客观原因。当前与电子商务发展相关的法律如表1、表2、表3所示。

能够看出，在三大类当前与电子商务相关的法律法规中，尚未有对电子商务网络安全的法律。虽然电子商务在中国的发展十分迅猛，可是相关的法律配套仍需要一定的时间来发展，才能够与电子商务的需求相适应。而在缺乏法律约束的环境下，容易让不法分子利用法律的漏洞对电子商务交易进行破坏。而由于没有明确的法律条文，只能利用电子交易市场自身的制度进行电子交易双方约束，可是这样的约束起到的作用有限，因此要想建立安全的电子商务环境，必须要完善相关法律法规体系。

3.网民防范意识不足。以安全软件的安装为例，根据中国互联网络信息中心报告显示，中国PC端的安全软件安装率为96.5%，可是手机端的安装率仅达到70%。而不安装安全软件的主要原因是用户认为自己没发生过安全事件，因此觉得没必要安装，这类用户比例达到不安装安全软件用户的一半以上。此外一些常见的网络安全防护手段采用率也未达到90%。例如给系统安装、更新补的用户仅为75.2%，设置复杂密码的用户仅为67.3%等。而这体现了中国的网络用户普遍不够重视网络安全防护。

如图4所示，当前在进行电子商务交易过程中受到过网络安全危害的人群采用最多的防范措施为账号验证、谨慎选择网站购物、验证卖家身份，修改密码等。可是除了修改密码这一项措施使用率达到92.1%，其它防范措施仍未达到90%，这表明即使在遭受过网络安全事件后，电子商务用户的防范意识依然不高。

安全策略维度下电子商务安全体系构建对策

（一）网络安全维度下电子商务安全体系构建

安全维度理论即利用不同角度（维度）来提出提升电子商务网络安全性策略的方法。对于电子商务而言，网络安全体系的构建能够分为多个维度，具体如图5所示。

当前电子商务的网络安全体系的构建能够从安全技术和管理方式两个维度进行，而安全技术维度又包含多个维度，这些维度都是用户安全防护的技术手段，形成一个立体的多维安全技术防护网。而管理方式维度下又有四个维度，分别是电子商务网站维度、电子商务企业维度、电子商务环境维度和电子商务用户维度，在管理方式维度下，这四个维度覆盖了电子商务领域。

（二）提升电子商务网络安全的对策

1.安全技术对策。电子商务安全防护技术越来越多，为防范电子商务交易风险，需要完善技术手段。

第一，用加密技术、安全认证、交易协议等保护交易信息的安全。要建立起一套完整的PKI，结合国内外的先进技术作为支持，而且定期检查更换交易密钥。例如借鉴当前金融交易常见的作用，DES定期在通信网络远端和目的端同时更换新的密钥，保证核心数据的安全性，进一步提升数据保密性。

对称加密算法应用于网络传输中的数据加密，发送数据时需要将密钥传输给接受者，第三方只需要截取相应密钥就能够解密数据或者非法篡改，出现安全漏洞。非对称加密算法是庞大复杂的社会系统工程，较难实现。实际应用中把高速简便的DES和对密钥管理具有方便性和安全性的RSA结合使用，既提高加密、解密速度，又能够保证数据的安全。如PEM（保密增加邮件）就是将二者结合，形成一种保密的E-mail通信标准。SET和SSL两种协议的加密算法的延伸，也要集合二者之长，开发一种以PKI为基础的框架，融合SET和SSL长处的新的安全协议。能够采用第三方支付平台解决网上支付的安全问题。如网关型支付平台，它为电子商务交易提供统一支付平台和手续费用标准，结算方便；另一种是信用担保型支付平台，它保护双方，特别是买方的合法权益，以确保资金和货物的顺利对流，为交易提供保证，改造支付流程，保护交易资金的安全。

第二，加强互联网络的安全性，防止信息泄漏。当前互联网络常见防火墙拦截对安全有危害的信息，因此利用防火墙将电子商务内外网进行防护，提升局域网的运行速度，能有效防止病毒或是木马入侵，又能够提升网络的自我保护能力。利用防欺骗和MAC控制能够帮助管理员经过发现恶意流量来获取攻击源头，并采取相应措施。在利用防火墙后病毒攻击需要突破防火墙，相当于增加了病毒突破的难度，因此网关防御的作用尤为重要。当前还流行CSG内容安全网关，也是一种新型的解决网关病毒攻击的手段，该手段能够进行过滤、拦截，用于电子商务客户端能够为客户提供足够的防御保护。

对于电子商务网站和企业的内部的IT技术人员，要加强责任心，做好本职工作。例如要定期、及时地下载补丁，扫描内部网络，出现问题时要及时进行整改。而对于内部网络资源的访问也要加强防护，防止病毒从内部入侵，因此能够采用口令认真的方式来限制和控制内部资源的访问。对于服务器中的数据要及时进行备份，以防止意外情况的出现造成的数据丢失，造成不可挽回的后果。在管理上要加强和完善内部责任制，信任管理、授权管理等要划分好责任，以追溯源头。对于电子商务较严重所涉及的敏感数据要采取数据加密、身份认证等方式进行加密，防止客户信息的泄露。虽然当前中国的网络安全技术水平略落后于国外，可是中国政府证逐步加强对于网络安全技术研究的重视，鼓励企业加快对互联网安全技术的研发，参考国外先进的技术，争取早日开发出具有独立产权的安全技术产品，服务于中国的互联网产业。

2.管理方式措施。具体内容有：

政府层面。当前要想营造有利于电子商务发展的网络环境，仅靠电子商务交易各主体的自觉、自律和各自出台的规定是远远不够的，最行之有效的是完善中国电子商务法律体系，将网络安全纳入其中。法律所具有的权威性、强制性和导向性是任何机制都无法比拟的，而当前中国电子商务相关立法虽然正在逐步从各方面开始完善，可是与网络安全相关的法律法规仍未出台。中国政府部门应当对涉及电子商务网络安全的内容，如原始文件、数据电文、签名、认证等方面进行立法规范。并对一些危害电子商务网络安全的行为提出明确的惩罚。而随着电子商务的发展和信息技术的发展，必须要建立起完整的电子商务法律体系，才能够与电子商务发展相衔接。

电子商务平台和行业企业方面。第一，电子商务网站指的是例如京东商城、天猫商城、聚美优品、美团网等之类的电子商务平台。对于此类电子商务网站来说可以从以下方面进行改进：要提高安全防范意识，对于网站中出现的漏洞或是易被攻击之处要用技术手段加强其安全性，而且建立网络风险防范机制，在网络安全问题发生之时能够及时应对。要重视基础设备的安全管理，由于一些电子商务网站流量大，因此相关的设备必须要进行定期的维护，以免出现因设备故障而导致的网站被攻击等情况。再者是要加大对技术维护的资金投入。网络安全防范离不开安全技术，因此电子商务网站应当吸纳更多的人才，建设自身的技术团队，能够与各类黑客或不法分子力量抗衡。第二，开展电子商务业务的企业，需要从人员、管理两个方面做起。对于人员，主要是防止内部人员实施破坏，如泄露用户隐私和内部数据等，要严格加强对内部人员的培训、教育，并完善企业内部的权限分配，建立完善的监督机制。管理方面，要坚持诚信经营，不欺诈、不泄露客户信息，并把不发送可疑链接、在交易过程中提醒客户注意交易安全等细节融入到日常的交易环节之中，建立起责任制，以便发生问题能够及时追溯原因并进行改进。

用户方面。对于电子商务用户来说，最重要的是要提升安全防范意识。能够从以下几个方面做起：第一，设置安全性强的密码，尽可能地降低密码被盗的情况，可采用长密码、复杂密码等来增加密码安全性。第二，在进行网络购物时要根据网站的要求安装数