網(wǎng)上書店信息安全問題與策略探索

導(dǎo)語：網(wǎng)上書店信息安全問題與策略探索一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

［摘要］隨著電子商務(wù)的發(fā)展，網(wǎng)上書店在提供便捷信息資源的同時(shí)，也面臨著信息安全的嚴(yán)峻考驗(yàn)。網(wǎng)上書商和購書客戶都擔(dān)心在網(wǎng)上交易時(shí)其信息被非法修改、泄露或盜取。本文在分析網(wǎng)上書店信息安全問題的基礎(chǔ)上提出相應(yīng)的對(duì)策。

［關(guān)鍵詞］網(wǎng)上書店；信息安全；問題；對(duì)策

網(wǎng)上書店是電子商務(wù)的一種具體形式，它是企業(yè)通過在互聯(lián)網(wǎng)上開設(shè)網(wǎng)上書店，消費(fèi)者通過網(wǎng)絡(luò)瀏覽圖書信息，并在網(wǎng)上下訂單，采用多種方式支付的一種經(jīng)營模式。網(wǎng)上書店利用信息技術(shù)，將出版者、供應(yīng)商、作者、讀者及其他相關(guān)環(huán)節(jié)如銀行、運(yùn)輸業(yè)等聯(lián)系在一起，改變了圖書運(yùn)作流程與交易模式。

目前以網(wǎng)上書店為代表的出版物在線銷售面臨著良好的發(fā)展機(jī)遇，隨著網(wǎng)上書店在我國的普及，其信息安全問題顯得尤為重要。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。而互聯(lián)網(wǎng)是開放性的技術(shù)，網(wǎng)上書店則建立在這樣一個(gè)開放的網(wǎng)絡(luò)環(huán)境之中，很多人可以匿名、隱身連接在互聯(lián)網(wǎng)上，造成諸多不安全的因素，其中既有網(wǎng)絡(luò)自身的技術(shù)安全問題，比如病毒、黑客攻擊，還包括網(wǎng)上書店這一電子商務(wù)交易形式自身的眾多信息安全問題。

一、網(wǎng)上書店的信息安全問題

由于網(wǎng)絡(luò)的虛擬性，網(wǎng)上書店交易的雙方并不見面，其交易完全通過網(wǎng)絡(luò)進(jìn)行，網(wǎng)上書店的運(yùn)營模式與傳統(tǒng)圖書發(fā)行相比在信息、購買支付、物流發(fā)送等環(huán)節(jié)更依托網(wǎng)絡(luò)手段。因此信息的真實(shí)性、可靠性受到特別的重視。目前在圖書信息的真實(shí)性、書商及購書客戶身份的合法性、網(wǎng)上支付購書費(fèi)用信息的完整性與不可否認(rèn)性，特別是安全認(rèn)證問題和網(wǎng)上支付的安全性等方面都不能完全消除人們的疑慮。

對(duì)于網(wǎng)絡(luò)自身的技術(shù)安全問題，可以采用防火墻、防病毒、訪問控制和防攻擊等常用網(wǎng)絡(luò)安全措施來解決。而網(wǎng)上書店購書的安全問題主要來自于：購書客戶私人信息被截獲和竊取；購書物流中訂單信息的篡改；網(wǎng)上書商及購書客戶的信息假冒；購書交易網(wǎng)上的在線支付安全和支付抵賴等，都需要采取專門的措施來應(yīng)對(duì)。

二、網(wǎng)上書店信息安全問題的解決對(duì)策

1．加強(qiáng)個(gè)人身份驗(yàn)證

通過對(duì)網(wǎng)上支付認(rèn)證手段的分析來看，身份確認(rèn)是信息安全的薄弱環(huán)節(jié)，而銀行的數(shù)據(jù)也表明支付否認(rèn)是發(fā)生交易爭議的主要原因。采用個(gè)人身份驗(yàn)證技術(shù)能夠保護(hù)購書客戶私人信息及商務(wù)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸時(shí)不被竊聽、篡改、頂替及非法使用。認(rèn)證手段通常有4種：一是用戶名和密碼；二是動(dòng)態(tài)密碼，分為有源動(dòng)態(tài)密碼和無源動(dòng)態(tài)密碼；三是多因子的論證，包括手機(jī)短信和個(gè)人信息等；四是證書認(rèn)證。

首先，在網(wǎng)上書店交易過程中，每個(gè)購書客戶都有自己獨(dú)有的用戶名和密碼，而在提交任何關(guān)于自己的敏感信息或私人信息尤其是信用卡號(hào)之前，一定要確認(rèn)數(shù)據(jù)已經(jīng)加密，并且是通過安全連接傳輸?shù)摹Ｙ彆蛻舻臑g覽器和Web站點(diǎn)的服務(wù)器都要支持有關(guān)的工業(yè)標(biāo)準(zhǔn)，如SET（SecureElectronicTransaction）和SSL（SecureSocketsLayer）等。在客戶購書下訂單確定以及付款，書商正式發(fā)書之后，購書系統(tǒng)都應(yīng)該有實(shí)時(shí)的手機(jī)短信提醒，雙方進(jìn)一步確認(rèn)。

其次，采用數(shù)字證書身份認(rèn)證加上口令加密的雙因子身份認(rèn)證技術(shù)。每個(gè)購書客戶可申請一張數(shù)字證書，上網(wǎng)進(jìn)行賬戶查詢時(shí)，網(wǎng)上銀行系統(tǒng)首先驗(yàn)證該用戶數(shù)字證書是否合法，然后將查詢請求和口令一起發(fā)送給業(yè)務(wù)前置機(jī)，對(duì)口令再次進(jìn)行認(rèn)證。當(dāng)服務(wù)器獲得用戶證書后，還要檢索該證書是否在廢止證書列表之中。作為一個(gè)安全的網(wǎng)上購書系統(tǒng)，需要由一個(gè)權(quán)威的第三方擔(dān)任信用認(rèn)證機(jī)構(gòu)來確認(rèn)買賣雙方的身份，即電子商務(wù)的安全證書認(rèn)證中心（CA中心）。CA中心的作用在于確保網(wǎng)上交易合同的有效性，確保交易內(nèi)容、交易雙方賬號(hào)、密碼不被他人識(shí)別和盜取，確保交易合同的完整性，防止單方面對(duì)交易信息的生成和修改。這個(gè)第三方可以是政府部門，也可以是行業(yè)主管部門，還可以是交易雙方共同信任的其他組織。

2．網(wǎng)上書店購書過程中的數(shù)據(jù)加密

書刊的物流信息在網(wǎng)絡(luò)中傳輸時(shí)，通常不是以明文方式而是以密文的方式進(jìn)行通信傳輸。加密技術(shù)就是把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。加密技術(shù)包括兩個(gè)元素：算法和密鑰。算法是將普通的文本（或者可以理解的信息）與一串?dāng)?shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中，可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來保證網(wǎng)上書店物流信息的通訊安全。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和非對(duì)稱密鑰體制兩種。相應(yīng)地，對(duì)數(shù)據(jù)加密的技術(shù)也分為兩類，即對(duì)稱加密（私人密鑰加密）和非對(duì)稱加密（公開密鑰加密）。對(duì)稱加密的加密密鑰和解密密鑰相同，而非對(duì)稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。密鑰的保密是很關(guān)鍵的，否則，網(wǎng)絡(luò)攻擊者掌握加密、解密算法，又得到密鑰，會(huì)使購書客戶遭受損失。因此加強(qiáng)對(duì)密鑰的管理，要貫穿于密鑰的整個(gè)生存期：密鑰的生成、驗(yàn)證、傳遞、保管、使用和銷毀。

還可以采用短信加密技術(shù)，用戶購書過程中的訂單、付款等可以短信的形式確認(rèn)，而豐富多樣的短信息服務(wù)的實(shí)現(xiàn)借助于SIM卡片以及在SIM卡片上開發(fā)應(yīng)用和菜單的STK（SIMcardToolKits）技術(shù)。SIM卡片加密技術(shù)的直接應(yīng)用就是對(duì)短信息完成加密和解密，無線網(wǎng)絡(luò)和短信中心為應(yīng)用服務(wù)器提供了接收和發(fā)送短信息的通道，手機(jī)內(nèi)發(fā)出和接收的短信報(bào)文利用SIM卡片加密和解密，在應(yīng)用服務(wù)器一側(cè)可以借助專用的交易安全服務(wù)器來完成對(duì)短信息報(bào)文的加解密。除了加密和解密外，系統(tǒng)還通過MAC算法完成報(bào)文的完整性校驗(yàn)。由于SIM卡片具備完成DES、3DES等多種加密運(yùn)算的功能，應(yīng)用STK技術(shù)可以在SIM卡片上開發(fā)信息安全功能。

3．完善網(wǎng)上支付手段

網(wǎng)上書店的一個(gè)重要環(huán)節(jié)是網(wǎng)上支付。在網(wǎng)上支付的技術(shù)方面國際上已經(jīng)形成了一些比較成熟的安全機(jī)制，我國的電子商務(wù)企業(yè)已經(jīng)廣泛應(yīng)用了這些安全保障技術(shù)，主要是由安全協(xié)議支持的。目前國際上流行的電子商務(wù)所采用的協(xié)議主要包括：基于信用卡交易的安全電子交易協(xié)議（SecureElectronicTransaction，SET）、用于接入控制的安全套接層協(xié)議（SecureSocketLayer，SSL）、Netbill協(xié)議、安全HTTP（S－HTTP）協(xié)議、安全電子郵件協(xié)議（如PEM、S／MIME等）、用于公對(duì)公交易的InternetEDI等。從購書客戶角度來說，使用網(wǎng)上支付時(shí)首先要核對(duì)正確網(wǎng)址，要開通網(wǎng)上銀行功能，通常事先要與銀行簽訂協(xié)議。用戶在登錄網(wǎng)銀時(shí)應(yīng)留意核對(duì)所登錄的網(wǎng)址與協(xié)議書中的法定網(wǎng)址是否相符。其次做好交易記錄，應(yīng)對(duì)網(wǎng)上銀行辦理的轉(zhuǎn)賬和支付等業(yè)務(wù)做好記錄，定期查看“歷史交易明細(xì)”，定期打印網(wǎng)上銀行業(yè)務(wù)對(duì)賬單，如發(fā)現(xiàn)異常交易或賬務(wù)差錯(cuò)，立即與銀行聯(lián)系，避免損失。另外管理好數(shù)字證書，應(yīng)避免在公用的計(jì)算機(jī)上使用網(wǎng)上銀行，以防數(shù)字證書等機(jī)密資料落入他人之手，從而使網(wǎng)上身份識(shí)別系統(tǒng)被攻破，網(wǎng)上賬戶遭盜用。

購書客戶還可以通過與銀行合作，使用U盾等一系列安全措施；可以采用貨到付款支付方式；也可以與擁有相當(dāng)用戶的支付工具合作，如易趣的“安付通”、淘寶的“支付寶”都已經(jīng)與工商銀行、招商銀行等國內(nèi)的許多銀行建立起戰(zhàn)略合作關(guān)系，充當(dāng)起第三方保障的角色。以支付寶為例，其具體流程是：首先，書商與購書客戶就購書達(dá)成協(xié)議后，購書客戶先把書款打到支付寶這個(gè)第三方賬戶上，等購書客戶向支付寶和淘寶發(fā)出信息確認(rèn)收到書并且收到的書與所購買的書相符時(shí)，支付寶再把貨款劃至?xí)痰馁~號(hào)。當(dāng)然，這些都需要依賴網(wǎng)上支付的法律保障，相關(guān)的法律建設(shè)需要進(jìn)一步加強(qiáng)。

4．建立網(wǎng)上書店的實(shí)名制和信用制度

許多網(wǎng)上書店的商家利用網(wǎng)絡(luò)的虛擬性，使用不切合實(shí)際的書刊產(chǎn)品廣告描述來誤導(dǎo)購書用戶。很多購書客戶也常會(huì)因?yàn)閯倓偨佑|網(wǎng)上購物而上當(dāng)。除此之外，也有一部分蓄意欺詐的書商收到了購買者匯來的錢而故意不發(fā)貨。對(duì)于這類情況，可以對(duì)網(wǎng)上書店的商家采用實(shí)名登記注冊，并通過一系列的信用等級(jí)評(píng)價(jià)機(jī)制，透明地、如實(shí)地反映書商的信用情況以及過去的每一筆交易的明細(xì)，以減少這種不安全性，買家可以參考這些信息，或與曾經(jīng)與此賣家交易過的買家溝通。然而這些方式都只能降低商家網(wǎng)上欺騙成功的概率，不能從根本上杜絕。要想徹底根治，還是要從商家本身以及網(wǎng)上書店交易平臺(tái)的總體設(shè)計(jì)入手來改進(jìn)。

5．提高網(wǎng)上書店管理人員的技術(shù)素質(zhì)

網(wǎng)上書店應(yīng)該定位于高科技產(chǎn)業(yè)，而不是傳統(tǒng)的流通業(yè)。網(wǎng)上書店的經(jīng)營需要計(jì)算機(jī)操作人員、網(wǎng)頁編輯、數(shù)據(jù)庫維護(hù)人員，特別是懂得網(wǎng)絡(luò)經(jīng)營管理人員的商務(wù)人員。為提高網(wǎng)上書店的信息安全性，不僅要求其工作人員熟練掌握IT技術(shù)，如網(wǎng)絡(luò)協(xié)議OSI、TCP／IP，網(wǎng)絡(luò)與互聯(lián)設(shè)備，E－mail、Telnet、FPT等服務(wù)方式，還要求熟悉電子商務(wù)的運(yùn)作平臺(tái)（信息流網(wǎng)絡(luò)、知識(shí)流網(wǎng)絡(luò)、資金流網(wǎng)絡(luò)、物流網(wǎng)絡(luò)、契約網(wǎng)絡(luò)），電子商務(wù)管理（ERP系統(tǒng)管理、SCM供應(yīng)鏈管理、CRM客戶關(guān)系管理）等，所以網(wǎng)上書店售書方應(yīng)該聘請或培養(yǎng)專業(yè)人員對(duì)書店網(wǎng)站進(jìn)行管理和維護(hù)，并積極與銀行系統(tǒng)合作，開發(fā)操作性強(qiáng)、安全性高的在線客服系統(tǒng)和支付系統(tǒng)，提高網(wǎng)上書店的服務(wù)質(zhì)量和購書雙方的安全保障水平。

主要參考文獻(xiàn)

［1］胡紅升，馬東平．電子商務(wù)安全策略［J］．電子商務(wù)世界，2001（2）．

［2］吉絢，胡曼，劉廣宇．網(wǎng)上購物安全性現(xiàn)狀分析［J］．中國水運(yùn)：理論版，2006（12）．

［3］劉艷慧．?dāng)?shù)字簽名技術(shù)應(yīng)用在網(wǎng)上書店中的解決方案［J］．電腦知識(shí)與技術(shù)：學(xué)術(shù)交流，2007（5）．

［4］陳蓉，徐紅．我國網(wǎng)上書店的現(xiàn)狀及制約因素淺析［J］．商場現(xiàn)代化：上旬刊，2006（10）．