電子論文解決網(wǎng)上書店信息安全問題的策略

　　隨著電子商務(wù)的發(fā)展，網(wǎng)上書店在提供便捷信息資源的同時，也面臨著信息安全的嚴峻考驗。網(wǎng)上書商和購書客戶都擔(dān)心在網(wǎng)上交易時其信息被非法修改、泄露或盜取。本文在分析網(wǎng)上書店信息安全問題的基礎(chǔ)上提出相應(yīng)的對策。

　　《信息方略》(半月刊)創(chuàng)刊于2003年，是由國家信息中心主辦的數(shù)字時代雜志。雜志特點：時尚、生活、休閑、娛樂、實用，引領(lǐng)都市數(shù)字新文化，倡導(dǎo)時尚數(shù)字生活方式，推動數(shù)字產(chǎn)品消費與應(yīng)用。一路走來，為廣大熱愛數(shù)字時尚消費的讀者提供最新鮮的資訊，最實用的指導(dǎo)，最前沿的體驗，以及最炫最I(lǐng)N的消費觀念。

　　網(wǎng)上書店是電子商務(wù)的一種具體形式，它是企業(yè)通過在互聯(lián)網(wǎng)上開設(shè)網(wǎng)上書店，消費者通過網(wǎng)絡(luò)瀏覽圖書信息，并在網(wǎng)上下訂單，采用多種方式支付的一種經(jīng)營模式。網(wǎng)上書店利用信息技術(shù)，將出版者、供應(yīng)商、作者、讀者及其他相關(guān)環(huán)節(jié)如銀行、運輸業(yè)等聯(lián)系在一起，改變了圖書運作流程與交易模式。

　　目前以網(wǎng)上書店為代表的出版物在線銷售面臨著良好的發(fā)展機遇，隨著網(wǎng)上書店在我國的普及，其信息安全問題顯得尤為重要。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。而互聯(lián)網(wǎng)是開放性的技術(shù)，網(wǎng)上書店則建立在這樣一個開放的網(wǎng)絡(luò)環(huán)境之中，很多人可以匿名、隱身連接在互聯(lián)網(wǎng)上，造成諸多不安全的因素，其中既有網(wǎng)絡(luò)自身的技術(shù)安全問題，比如病毒、黑客攻擊，還包括網(wǎng)上書店這一電子商務(wù)交易形式自身的眾多信息安全問題。

　　一、網(wǎng)上書店的信息安全問題

　　由于網(wǎng)絡(luò)的虛擬性，網(wǎng)上書店交易的雙方并不見面，其交易完全通過網(wǎng)絡(luò)進行，網(wǎng)上書店的運營模式與傳統(tǒng)圖書發(fā)行相比在信息發(fā)布、購買支付、物流發(fā)送等環(huán)節(jié)更依托網(wǎng)絡(luò)手段。因此信息的真實性、可靠性受到特別的重視。目前在圖書信息的真實性、書商及購書客戶身份的合法性、網(wǎng)上支付購書費用信息的完整性與不可否認性，特別是安全認證問題和網(wǎng)上支付的安全性等方面都不能完全消除人們的疑慮。

　　對于網(wǎng)絡(luò)自身的技術(shù)安全問題，可以采用防火墻、防病毒、訪問控制和防攻擊等常用網(wǎng)絡(luò)安全措施來解決。而網(wǎng)上書店購書的安全問題主要來自于：購書客戶私人信息被截獲和竊取;購書物流中訂單信息的篡改;網(wǎng)上書商及購書客戶的信息假冒;購書交易網(wǎng)上的在線支付安全和支付抵賴等，都需要采取專門的措施來應(yīng)對。

　　二、網(wǎng)上書店信息安全問題的解決對策

　　1. 加強個人身份驗證

　　通過對網(wǎng)上支付認證手段的分析來看，身份確認是信息安全的薄弱環(huán)節(jié)，而銀行的數(shù)據(jù)也表明支付否認是發(fā)生交易爭議的主要原因。采用個人身份驗證技術(shù)能夠保護購書客戶私人信息及商務(wù)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸時不被竊聽、篡改、頂替及非法使用。認證手段通常有4種： 一是用戶名和密碼;二是動態(tài)密碼，分為有源動態(tài)密碼和無源動態(tài)密碼;三是多因子的論證，包括手機短信和個人信息等;四是證書認證。

　　首先，在網(wǎng)上書店交易過程中，每個購書客戶都有自己獨有的用戶名和密碼，而在提交任何關(guān)于自己的敏感信息或私人信息尤其是信用卡號之前，一定要確認數(shù)據(jù)已經(jīng)加密，并且是通過安全連接傳輸?shù)?。購書客戶的瀏覽器和Web站點的服務(wù)器都要支持有關(guān)的工業(yè)標準，如SET(Secure Electronic Transaction)和SSL(Secure Sockets Layer)等。在客戶購書下訂單確定以及付款，書商正式發(fā)書之后，購書系統(tǒng)都應(yīng)該有實時的手機短信提醒，雙方進一步確認。

　　其次，采用數(shù)字證書身份認證加上口令加密的雙因子身份認證技術(shù)。每個購書客戶可申請一張數(shù)字證書，上網(wǎng)進行賬戶查詢時，網(wǎng)上銀行系統(tǒng)首先驗證該用戶數(shù)字證書是否合法，然后將查詢請求和口令一起發(fā)送給業(yè)務(wù)前置機，對口令再次進行認證。當服務(wù)器獲得用戶證書后，還要檢索該證書是否在廢止證書列表之中。作為一個安全的網(wǎng)上購書系統(tǒng)，需要由一個權(quán)威的第三方擔(dān)任信用認證機構(gòu)來確認買賣雙方的身份，即電子商務(wù)的安全證書認證中心(CA中心)。 CA中心的作用在于確保網(wǎng)上交易合同的有效性，確保交易內(nèi)容、交易雙方賬號、密碼不被他人識別和盜取，確保交易合同的完整性，防止單方面對交易信息的生成和修改。這個第三方可以是政府部門，也可以是行業(yè)主管部門，還可以是交易雙方共同信任的其他組織。

　　2. 網(wǎng)上書店購書過程中的數(shù)據(jù)加密

　　書刊的物流信息在網(wǎng)絡(luò)中傳輸時，通常不是以明文方式而是以密文的方式進行通信傳輸。 加密技術(shù)就是把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送，到達目的地后再用相同或不同的手段還原(解密)。加密技術(shù)包括兩個元素：算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一串數(shù)字(密鑰)的結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。在安全保密中，可通過適當?shù)拿荑€加密技術(shù)和管理機制來保證網(wǎng)上書店物流信息的通訊安全。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應(yīng)地，對數(shù)據(jù)加密的技術(shù)也分為兩類，即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。密鑰的保密是很關(guān)鍵的，否則，網(wǎng)絡(luò)攻擊者掌握加密、解密算法，又得到密鑰，會使購書客戶遭受損失。因此加強對密鑰的管理，要貫穿于密鑰的整個生存期：密鑰的生成、驗證、傳遞、保管、使用和銷毀。

　　還可以采用短信加密技術(shù) ，用戶購書過程中的訂單、付款等可以短信的形式確認，而豐富多樣的短信息服務(wù)的實現(xiàn)借助于SIM卡片以及在SIM卡片上開發(fā)應(yīng)用和菜單的STK(SIM card Tool Kits)技術(shù)。SIM卡片加密技術(shù)的直接應(yīng)用就是對短信息完成加密和解密，無線網(wǎng)絡(luò)和短信中心為應(yīng)用服務(wù)器提供了接收和發(fā)送短信息的通道，手機內(nèi)發(fā)出和接收的短信報文利用SIM卡片加密和解密，在應(yīng)用服務(wù)器一側(cè)可以借助專用的交易安全服務(wù)器來完成對短信息報文的加解密。除了加密和解密外，系統(tǒng)還通過MAC算法完成報文的完整性校驗。 由于SIM卡片具備完成DES、3DES等多種加密運算的功能，應(yīng)用STK技術(shù)可以在SIM卡片上開發(fā)信息安全功能。

　　3. 完善網(wǎng)上支付手段

　　網(wǎng)上書店的一個重要環(huán)節(jié)是網(wǎng)上支付。在網(wǎng)上支付的技術(shù)方面國際上已經(jīng)形成了一些比較成熟的安全機制，我國的電子商務(wù)企業(yè)已經(jīng)廣泛應(yīng)用了這些安全保障技術(shù)，主要是由安全協(xié)議支持的。目前國際上流行的電子商務(wù)所采用的協(xié)議主要包括：基于信用卡交易的安全電子交易協(xié)議(Secure Electronic Transaction，SET)、用于接入控制的安全套接層協(xié)議(Secure Socket Layer，SSL)、Netbill協(xié)議、安全HTTP(S-HTTP)協(xié)議、安全電子郵件協(xié)議(如PEM、S/MIME等)、用于公對公交易的Internet EDI等。

　　從購書客戶角度來說，使用網(wǎng)上支付時首先要核對正確網(wǎng)址，要開通網(wǎng)上銀行功能，通常事先要與銀行簽訂協(xié)議。用戶在登錄網(wǎng)銀時應(yīng)留意核對所登錄的網(wǎng)址與協(xié)議書中的法定網(wǎng)址是否相符。其次做好交易記錄，應(yīng)對網(wǎng)上銀行辦理的轉(zhuǎn)賬和支付等業(yè)務(wù)做好記錄，定期查看“歷史交易明細”，定期打印網(wǎng)上銀行業(yè)務(wù)對賬單，如發(fā)現(xiàn)異常交易或賬務(wù)差錯，立即與銀行聯(lián)系，避免損失。另外管理好數(shù)字證書，應(yīng)避免在公用的計算機上使用網(wǎng)上銀行，以防數(shù)字證書等機密資料落入他人之手，從而使網(wǎng)上身份識別系統(tǒng)被攻破，網(wǎng)上賬戶遭盜用。

　　購書客戶還可以通過與銀行合作，使用U盾等一系列安全措施;可以采用貨到付款支付方式;也可以與擁有相當用戶的支付工具合作，如易趣的“安付通”、淘寶的“支付寶”都已經(jīng)與工商銀行、招商銀行等國內(nèi)的許多銀行建立起戰(zhàn)略合作關(guān)系，充當起第三方保障的角色。以支付寶為例，其具體流程是：首先，書商與購書客戶就購書達成協(xié)議后，購書客戶先把書款打到支付寶這個第三方賬戶上，等購書客戶向支付寶和淘寶發(fā)出信息確認收到書并且收到的書與所購買的書相符時，支付寶再把貨款劃至?xí)痰馁~號。當然，這些都需要依賴網(wǎng)上支付的法律保障，相關(guān)的法律建設(shè)需要進一步加強。

　　4. 建立網(wǎng)上書店的實名制和信用制度

　　許多網(wǎng)上書店的商家利用網(wǎng)絡(luò)的虛擬性，使用不切合實際的書刊產(chǎn)品廣告描述來誤導(dǎo)購書用戶。很多購書客戶也常會因為剛剛接觸網(wǎng)上購物而上當。除此之外，也有一部分蓄意欺詐的書商收到了購買者匯來的錢而故意不發(fā)貨。對于這類情況，可以對網(wǎng)上書店的商家采用實名登記注冊，并通過一系列的信用等級評價機制，透明地、如實地反映書商的信用情況以及過去的每一筆交易的明細，以減少這種不安全性，買家可以參考這些信息，或與曾經(jīng)與此賣家交易過的買家溝通。然而這些方式都只能降低商家網(wǎng)上欺騙成功的概率，不能從根本上杜絕。要想徹底根治，還是要從商家本身以及網(wǎng)上書店交易平臺的總體設(shè)計入手來改進。

　　5. 提高網(wǎng)上書店管理人員的技術(shù)素質(zhì)

　　網(wǎng)上書店應(yīng)該定位于高科技產(chǎn)業(yè)，而不是傳統(tǒng)的流通業(yè)。網(wǎng)上書店的經(jīng)營需要計算機操作人員、網(wǎng)頁編輯、數(shù)據(jù)庫維護人員，特別是懂得網(wǎng)絡(luò)經(jīng)營管理人員的商務(wù)人員。為提高網(wǎng)上書店的信息安全性，不僅要求其工作人員熟練掌握IT技術(shù)，如網(wǎng)絡(luò)協(xié)議OSI、TCP/IP，網(wǎng)絡(luò)與互聯(lián)設(shè)備，E-mail、Telnet、FPT等服務(wù)方式，還要求熟悉電子商務(wù)的運作平臺(信息流網(wǎng)絡(luò)、知識流網(wǎng)絡(luò)、資金流網(wǎng)絡(luò)、物流網(wǎng)絡(luò)、契約網(wǎng)絡(luò))，電子商務(wù)管理(ERP系統(tǒng)管理、SCM供應(yīng)鏈管理、CRM客戶關(guān)系管理)等， 所以網(wǎng)上書店售書方應(yīng)該聘請或培養(yǎng)專業(yè)人員對書店網(wǎng)站進行管理和維護，并積極與銀行系統(tǒng)合作，開發(fā)操作性強、安全性高的在線客服系統(tǒng)和支付系統(tǒng)，提高網(wǎng)上書店的服務(wù)質(zhì)量和購書雙方的安全保障水平。