網上書店信息安全問題與策略探索

導語：網上書店信息安全問題與策略探索一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

［摘要］隨著電子商務的發展，網上書店在提供便捷信息資源的同時，也面臨著信息安全的嚴峻考驗。網上書商和購書客戶都擔心在網上交易時其信息被非法修改、泄露或盜取。本文在分析網上書店信息安全問題的基礎上提出相應的對策。

［關鍵詞］網上書店；信息安全；問題；對策

網上書店是電子商務的一種具體形式，它是企業通過在互聯網上開設網上書店，消費者通過網絡瀏覽圖書信息，并在網上下訂單，采用多種方式支付的一種經營模式。網上書店利用信息技術，將出版者、供應商、作者、讀者及其他相關環節如銀行、運輸業等聯系在一起，改變了圖書運作流程與交易模式。

目前以網上書店為代表的出版物在線銷售面臨著良好的發展機遇，隨著網上書店在我國的普及，其信息安全問題顯得尤為重要。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。而互聯網是開放性的技術，網上書店則建立在這樣一個開放的網絡環境之中，很多人可以匿名、隱身連接在互聯網上，造成諸多不安全的因素，其中既有網絡自身的技術安全問題，比如病毒、黑客攻擊，還包括網上書店這一電子商務交易形式自身的眾多信息安全問題。

一、網上書店的信息安全問題

由于網絡的虛擬性，網上書店交易的雙方并不見面，其交易完全通過網絡進行，網上書店的運營模式與傳統圖書發行相比在信息、購買支付、物流發送等環節更依托網絡手段。因此信息的真實性、可靠性受到特別的重視。目前在圖書信息的真實性、書商及購書客戶身份的合法性、網上支付購書費用信息的完整性與不可否認性，特別是安全認證問題和網上支付的安全性等方面都不能完全消除人們的疑慮。

對于網絡自身的技術安全問題，可以采用防火墻、防病毒、訪問控制和防攻擊等常用網絡安全措施來解決。而網上書店購書的安全問題主要來自于：購書客戶私人信息被截獲和竊取；購書物流中訂單信息的篡改；網上書商及購書客戶的信息假冒；購書交易網上的在線支付安全和支付抵賴等，都需要采取專門的措施來應對。

二、網上書店信息安全問題的解決對策

1．加強個人身份驗證

通過對網上支付認證手段的分析來看，身份確認是信息安全的薄弱環節，而銀行的數據也表明支付否認是發生交易爭議的主要原因。采用個人身份驗證技術能夠保護購書客戶私人信息及商務數據在公共網絡上傳輸時不被竊聽、篡改、頂替及非法使用。認證手段通常有4種：一是用戶名和密碼；二是動態密碼，分為有源動態密碼和無源動態密碼；三是多因子的論證，包括手機短信和個人信息等；四是證書認證。

首先，在網上書店交易過程中，每個購書客戶都有自己獨有的用戶名和密碼，而在提交任何關于自己的敏感信息或私人信息尤其是信用卡號之前，一定要確認數據已經加密，并且是通過安全連接傳輸的。購書客戶的瀏覽器和Web站點的服務器都要支持有關的工業標準，如SET（SecureElectronicTransaction）和SSL（SecureSocketsLayer）等。在客戶購書下訂單確定以及付款，書商正式發書之后，購書系統都應該有實時的手機短信提醒，雙方進一步確認。

其次，采用數字證書身份認證加上口令加密的雙因子身份認證技術。每個購書客戶可申請一張數字證書，上網進行賬戶查詢時，網上銀行系統首先驗證該用戶數字證書是否合法，然后將查詢請求和口令一起發送給業務前置機，對口令再次進行認證。當服務器獲得用戶證書后，還要檢索該證書是否在廢止證書列表之中。作為一個安全的網上購書系統，需要由一個權威的第三方擔任信用認證機構來確認買賣雙方的身份，即電子商務的安全證書認證中心（CA中心）。CA中心的作用在于確保網上交易合同的有效性，確保交易內容、交易雙方賬號、密碼不被他人識別和盜取，確保交易合同的完整性，防止單方面對交易信息的生成和修改。這個第三方可以是政府部門，也可以是行業主管部門，還可以是交易雙方共同信任的其他組織。

2．網上書店購書過程中的數據加密

書刊的物流信息在網絡中傳輸時，通常不是以明文方式而是以密文的方式進行通信傳輸。加密技術就是把重要的數據變為亂碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。加密技術包括兩個元素：算法和密鑰。算法是將普通的文本（或者可以理解的信息）與一串數字（密鑰）的結合，產生不可理解的密文的步驟，密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網上書店物流信息的通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地，對數據加密的技術也分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。密鑰的保密是很關鍵的，否則，網絡攻擊者掌握加密、解密算法，又得到密鑰，會使購書客戶遭受損失。因此加強對密鑰的管理，要貫穿于密鑰的整個生存期：密鑰的生成、驗證、傳遞、保管、使用和銷毀。

還可以采用短信加密技術，用戶購書過程中的訂單、付款等可以短信的形式確認，而豐富多樣的短信息服務的實現借助于SIM卡片以及在SIM卡片上開發應用和菜單的STK（SIMcardToolKits）技術。SIM卡片加密技術的直接應用就是對短信息完成加密和解密，無線網絡和短信中心為應用服務器提供了接收和發送短信息的通道，手機內發出和接收的短信報文利用SIM卡片加密和解密，在應用服務器一側可以借助專用的交易安全服務器來完成對短信息報文的加解密。除了加密和解密外，系統還通過MAC算法完成報文的完整性校驗。由于SIM卡片具備完成DES、3DES等多種加密運算的功能，應用STK技術可以在SIM卡片上開發信息安全功能。

3．完善網上支付手段

網上書店的一個重要環節是網上支付。在網上支付的技術方面國際上已經形成了一些比較成熟的安全機制，我國的電子商務企業已經廣泛應用了這些安全保障技術，主要是由安全協議支持的。目前國際上流行的電子商務所采用的協議主要包括：基于信用卡交易的安全電子交易協議（SecureElectronicTransaction，SET）、用于接入控制的安全套接層協議（SecureSocketLayer，SSL）、Netbill協議、安全HTTP（S－HTTP）協議、安全電子郵件協議（如PEM、S／MIME等）、用于公對公交易的InternetEDI等。從購書客戶角度來說，使用網上支付時首先要核對正確網址，要開通網上銀行功能，通常事先要與銀行簽訂協議。用戶在登錄網銀時應留意核對所登錄的網址與協議書中的法定網址是否相符。其次做好交易記錄，應對網上銀行辦理的轉賬和支付等業務做好記錄，定期查看“歷史交易明細”，定期打印網上銀行業務對賬單，如發現異常交易或賬務差錯，立即與銀行聯系，避免損失。另外管理好數字證書，應避免在公用的計算機上使用網上銀行，以防數字證書等機密資料落入他人之手，從而使網上身份識別系統被攻破，網上賬戶遭盜用。

購書客戶還可以通過與銀行合作，使用U盾等一系列安全措施；可以采用貨到付款支付方式；也可以與擁有相當用戶的支付工具合作，如易趣的“安付通”、淘寶的“支付寶”都已經與工商銀行、招商銀行等國內的許多銀行建立起戰略合作關系，充當起第三方保障的角色。以支付寶為例，其具體流程是：首先，書商與購書客戶就購書達成協議后，購書客戶先把書款打到支付寶這個第三方賬戶上，等購書客戶向支付寶和淘寶發出信息確認收到書并且收到的書與所購買的書相符時，支付寶再把貨款劃至書商的賬號。當然，這些都需要依賴網上支付的法律保障，相關的法律建設需要進一步加強。

4．建立網上書店的實名制和信用制度

許多網上書店的商家利用網絡的虛擬性，使用不切合實際的書刊產品廣告描述來誤導購書用戶。很多購書客戶也常會因為剛剛接觸網上購物而上當。除此之外，也有一部分蓄意欺詐的書商收到了購買者匯來的錢而故意不發貨。對于這類情況，可以對網上書店的商家采用實名登記注冊，并通過一系列的信用等級評價機制，透明地、如實地反映書商的信用情況以及過去的每一筆交易的明細，以減少這種不安全性，買家可以參考這些信息，或與曾經與此賣家交易過的買家溝通。然而這些方式都只能降低商家網上欺騙成功的概率，不能從根本上杜絕。要想徹底根治，還是要從商家本身以及網上書店交易平臺的總體設計入手來改進。

5．提高網上書店管理人員的技術素質

網上書店應該定位于高科技產業，而不是傳統的流通業。網上書店的經營需要計算機操作人員、網頁編輯、數據庫維護人員，特別是懂得網絡經營管理人員的商務人員。為提高網上書店的信息安全性，不僅要求其工作人員熟練掌握IT技術，如網絡協議OSI、TCP／IP，網絡與互聯設備，E－mail、Telnet、FPT等服務方式，還要求熟悉電子商務的運作平臺（信息流網絡、知識流網絡、資金流網絡、物流網絡、契約網絡），電子商務管理（ERP系統管理、SCM供應鏈管理、CRM客戶關系管理）等，所以網上書店售書方應該聘請或培養專業人員對書店網站進行管理和維護，并積極與銀行系統合作，開發操作性強、安全性高的在線客服系統和支付系統，提高網上書店的服務質量和購書雙方的安全保障水平。

主要參考文獻

［1］胡紅升，馬東平．電子商務安全策略［J］．電子商務世界，2001（2）．

［2］吉絢，胡曼，劉廣宇．網上購物安全性現狀分析［J］．中國水運：理論版，2006（12）．

［3］劉艷慧．數字簽名技術應用在網上書店中的解決方案［J］．電腦知識與技術：學術交流，2007（5）．

［4］陳蓉，徐紅．我國網上書店的現狀及制約因素淺析［J］．商場現代化：上旬刊，2006（10）．