摘要：随着计算机网络的日益发展，电子商务扮演了越来越重要的角色，暴露出来的信息安全问题日益成为人们关注的话题。文章简要介绍分析了当前情况下电子商务平台主要面临的安全问题，以及针对这些安全问题开展信息安全检查主要内容和方法。

一、引言
　　随着我国网络技术普及率的日益提高，通过网络进行购物、交易、支付等的电子商务新模式发展迅速。电子商务凭借其低成本、高效率的优势，不但受到普通消费者的青睐，还有效促进中小企业寻找商机、赢得市场，已成为我国转变发展方式、优化产业结构的重要动力。
　　CNMC发布的最新报告显示，截至2012年6月底，中国网民数量达到5.38亿，互联网普及率为39.9 % ，2012年上半年网民增量为2450万，普及率提升1.6个百分点；其中网络购物用户规模达到2.1亿，较2011年底增长8.2%[1] 。
　　电子商务平台是电子商务的最重要的环节，因为不论是商家还是个人，只要是使用电子商务，就必须经由这个平台进行交易，所以它的安全性就起了决定性的作用。目前国内的企业电子商务平台的安全状况良莠不齐，发展的优秀的企业如阿里巴巴等，不论是网络环境、硬件设备还是管理制度，均考虑的很全面，排除了安全隐患；但许多中小电子商务企业由于刚刚起步，缺乏对安全技术的了解，安全产品的部署不到位，操作系统和应用系统软件也存在漏洞，对企业内部员工的管理也不完善，保证不了电子商务平台的安全。

二、电子商务平台的信息安全检查
　　电子商务平台的信息安全问题，大致可分为技术和管理方面。所谓技术方面，是指通过各种黑客手段窃取企业的用户ID、密码以及相关的机密文件，甚至网络银行帐号、密码等，给企业造成经济损失。而管理方面则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段，最终导致的电子商务安全事件。针对这些安全问题，检查工作也应从技术和管理分别开展。
　　（一）技术层面
　　1.网络环境
　　电子商务平台所依赖的网络环境既是防御入侵的第一道屏障也是基础的安全层面，如果设置不当不仅无法防范外部入侵甚至无法抵御来自内部的非授权访问。检查网络环境的安全问题，主要检查硬件防火墙、路由器、交换机、入侵检测系统（IDS）等设备的安全配置等等。
　　（1）防火墙：访问控制功能、安全审计、自身防护等等；
　　（2）路由器：身份鉴别、访问控制、安全审计、是否支持VPN等等；
　　（3）交换机：身份鉴别、安全审计等等；
　　（4）入侵检测系统：安全审计、监视攻击、攻击识别、响应等等。
　　2.服务器
　　服务器是实现电子商务的主机平台。它决定了电子商务开展的效率、稳定性和安全。服务器由硬件环境、系统环境、数据库组成。其各组成部分均和网络安全息息相关。
　　（1）服务器硬件环境。服务器须具备抵御突发事故的能力，包括突然断电、电磁干扰等，其保存的数据是否完整、正确等等。
　　（2）系统环境。检查服务器上应用、服务、端口、链接以及系统补丁等情况，是否关闭了不必要的应用、服务、端口、链接；账号口令强度和更新情况；病毒木马防护措施，是否定期进行漏洞扫描、病毒木马检测等。
　　（3）数据库。数据库是电子商务的重要组成部分，其保存了客户信息、产品信息、交易信息等，因而成为攻击者窃取的目标。对数据库进行加密是保障数据安全的重要手段。不仅对数据库进行加密，还应对数据库与服务器需要网络通讯时的传输数据进行加密，避免信息监听。
　　3.应用系统安全检查
　　电子商务平台的开发一般通过组建自己的团队或外包进行开发，在开发过程中比较重视平台的功能性，但安全性和可靠性却常常被忽视，导致在平台开发阶段就存在安全漏洞或者后门，给平台运营带来隐患，因而需重点检查应用平台的安全问题。
　　4.交易过程的安全检查
　　电子商务平台最核心的部分就是交易，而企业电子商务安全最关键就是采取一定的措施保证交易过程的安全和可靠。
　　（1）第三方支付平台。检查网上支付采用安全的第三方支付平台的情况。第三方支付平台有两类，一类是以支付宝、财付通为首的互联网型支付企业，它们以在线支付为主，捆绑大型电子商务网站；一类是以银联电子支付、快钱、汇付天下为首的金融型支付企业，侧重行业需求和开拓行业应用[2]。
　　（2）加密技术。利用加密技术可以保证电子商务交易的机密性、完整性、真实性和不可否认性。检查采用加密技术对系统等进行保护的情况，使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。
　　（3）安全认证。检查采用数字证书方式实现身份认证和授权管理的情况，使用的数字证书是否符合国家电子认证服务管理规定。
　　（4）安全协议。电子商务的运行还需要一套完善的安全交易协议，检查采用主流的安全协议的情况，如：安全套接层协议（SSL）、安全电子交易协议（SET）、安全超文本传输协议（HTTPS）、安全交易技术协议（STT）等等。
　　（二）管理层面
　　1.信息安全管理组织
　　检查企业是否建立电子商务信息安全管理组织。组织应包括安全决策机构、安全执行机构、安全顾问机构。
　　（1）检查安全决策机构是否履行了建立管理框架，组织审批安全策略、安全管理制度，指派安全角色，分配安全职责，并检查安全职责是否已被正确履行，核准新信息处理设施的启用、组织安全管理专题会等职责。
　　（2）检查安全执行机构是否履行了起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等职责。
　　（3）检查安全顾问机构是否履行了提供安全建议的职责，特别是在安全事故或违反安全策略事件发生后，是否被安全决策机构指定负责事故（事件） 调查，并为安全策略评审和评估提供意见。
　　2.信息安全管理制度
　　检查企业是否制定了科学合理的电子商务信息安全管理制度。企业电子商务信息安全管理制度应包括人员安全管理制度、设备安全管理制度、运行安全管理制度、安全操作管理制度、应急维护制度、计算机病毒防范管理制度、敏感数据保护制度、安全技术保障制度、安全计划管理制度等内容。
　　3.人员安全的管理和培训
　　检查企业的人员安全的管理和培训制度，检查内容应该包括：
　　（1）人员录用时是否进行人员鉴别，人员录用或人员职位调整时，是否签署保密协议。人员到期离开或协议到期、工作终止时，是否审查保密协议。
　　（2）人员上岗前是否进行上岗培训，建立人员培训计划，是否定期组织安全策略和规程方面的培训。
　　（3）在岗位职责中是否明确本岗位执行安全政策的常规职责，对违反网上交易安全规定的人员是否进行及时的处理。
　　（4）是否明确了网上交易安全运作基本原则，包括职责分离、有效期限、最小权限、个人可信赖性等。
　　4.信息安全服务
　　检查信息安全服务的合同、安全保密协议等文件，检查信息安全服务机构的服务内容，是否有相应的服务记录，是否有远程在线服务等等。

三、结论
　　综上所述，由于电子商务平台自身的特殊性，政府应从技术和管理两方面着手，参照信息安全等级保护和信息安全风险评估标准，制订适合电子商务平台的检查规范和标准，依据这些规范、标准对互联网上的电子商务平台进行检查，尽可能保证电子商务全过程的安全。

参考文献：
　　[1]康宏燕，史露露.中国B2C电子商务发展现状研究[J].现代经济信息，2012（24）：2.
　　[2]胡尚杰.电子商务平台下第三方支付发展格局及趋势分析[J].中国商贸，2010（22）：132-133.
　　[作者简介]尹肖栋（1982.01-），男，江苏杭州人，硕士，工程师。研究方向：软件工程。