序論：速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)，特別為您篩選了11篇數(shù)字貿(mào)易存在的問(wèn)題范文。如果您需要更多原創(chuàng)資料，歡迎隨時(shí)與我們的客服老師聯(lián)系，希望您能從中汲取靈感和知識(shí)！

篇1

1.1有效性

有效性是指信息發(fā)送方發(fā)送給信息接收方的信息是未經(jīng)外人加工、改變的信息。貿(mào)易數(shù)據(jù)都具有特定型性，是指貿(mào)易信息只有在特定的時(shí)刻和確定的地點(diǎn)才是有效的。電子商務(wù)改變了過(guò)去紙質(zhì)的方式，以電子的形式傳遞信息，如何確保電子信息在傳送過(guò)程中的未經(jīng)加工是確保信息有效的前提。電子商務(wù)中信息的有效性對(duì)企業(yè)、個(gè)人、甚至國(guó)家的經(jīng)濟(jì)利益有著重大的影響，所以，要及時(shí)對(duì)網(wǎng)絡(luò)故障、應(yīng)用程序錯(cuò)誤、系統(tǒng)軟件錯(cuò)誤或者計(jì)算機(jī)病毒引起的信息安全隱患進(jìn)行防范，以確保數(shù)據(jù)的有效性。

1.2保密性

保密性是指貿(mào)易信息在存儲(chǔ)或傳遞過(guò)程中未經(jīng)他人竊取或泄露。傳統(tǒng)的紙質(zhì)貿(mào)易信息一般是通過(guò)郵寄的信件及其他可靠的傳遞渠道來(lái)互送商業(yè)貿(mào)易文件以確保信息的安全。現(xiàn)代電子網(wǎng)絡(luò)是一個(gè)開放的傳遞平臺(tái)，維護(hù)商業(yè)貿(mào)易信息顯得更加重要，確保商業(yè)機(jī)密的保密性是電子商務(wù)全面推廣應(yīng)用的基本保障。所以，必須確保貿(mào)易信息在傳遞過(guò)程中的保密性，防止非法竊取及泄露。

1.3完整性

完整性是指電子貿(mào)易信息在傳遞的過(guò)程中沒有沒被修改、歪曲和重復(fù)，信息的接受者接收到的信息與信息發(fā)送方發(fā)送的信息完全相同。貿(mào)易信息的完整性會(huì)對(duì)貿(mào)易各方經(jīng)濟(jì)利潤(rùn)、營(yíng)銷策略和貿(mào)易合同產(chǎn)生巨大影響。確保貿(mào)易信息的完整性是電子商務(wù)實(shí)際應(yīng)用的重要基礎(chǔ)。所以，在信息傳遞過(guò)程中要防范信息被隨意生成、修改和刪除，防止信息的丟失與重復(fù)，同時(shí)信息的傳遞次序要保證統(tǒng)一。

1.4可靠性

電子商務(wù)信息直接關(guān)系到貿(mào)易雙方的商業(yè)交易，在交易過(guò)程中如何確保進(jìn)行交易的對(duì)方與交易所期望的貿(mào)易方是同一者，這就需要電子商務(wù)信息必須確保本身的可靠性。在傳統(tǒng)的商業(yè)交易中，雙放當(dāng)事人可以通過(guò)手寫簽名或印章等形式確保雙方的身份，但是電子商業(yè)貿(mào)易利用網(wǎng)絡(luò)這一形式，無(wú)法采取傳統(tǒng)的身份認(rèn)定形式，就必須確保貿(mào)易信息的可靠性，從而為貿(mào)易雙方進(jìn)行商業(yè)交易奠定重要基礎(chǔ)。

2電子商務(wù)安全的技術(shù)要求

2.1物理安全

要根據(jù)國(guó)家標(biāo)準(zhǔn)、信息安全等級(jí)、信息技術(shù)情況，制定切實(shí)可行、符合實(shí)際情況的的物理安全標(biāo)準(zhǔn)體系。本體系可以防范設(shè)備功能失常、電源事故、電磁泄漏等引起的信息失密等。

2.2網(wǎng)絡(luò)安全

為了保證電子商務(wù)交易的安全可靠，電子商務(wù)平臺(tái)須穩(wěn)定可靠，能夠全天候正常運(yùn)行。系統(tǒng)在運(yùn)行的任何中斷，如病毒入侵、網(wǎng)絡(luò)故障或硬件軟件錯(cuò)誤等都會(huì)對(duì)正在進(jìn)行電子商務(wù)交易的雙方造成重大損失，尤其是丟失或失密的貿(mào)易信息，將是不可恢復(fù)性的。

2.3商務(wù)安全

商務(wù)安全是指商務(wù)交易中的安全問(wèn)題，商務(wù)安全的不同方面需要通過(guò)不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標(biāo)準(zhǔn)來(lái)確保實(shí)現(xiàn)。確保電子商務(wù)安全的技術(shù)主要有安全電子交易SET協(xié)議、在線支付協(xié)議、文件加密技術(shù)、數(shù)字簽名技術(shù)等。

2.4系統(tǒng)安全

系統(tǒng)安全主要是指主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的安全情況。對(duì)系統(tǒng)安全的防范和保護(hù)，要通過(guò)安全技術(shù)升級(jí)，加強(qiáng)安全保護(hù)設(shè)施的投資建設(shè)，提高系統(tǒng)的安全防護(hù)能力。

3目前我國(guó)電子商務(wù)存在的問(wèn)題

就我國(guó)電子商務(wù)而言，我國(guó)的科學(xué)技術(shù)水平目前還處于較低層次，技術(shù)含量不高，資金投入又不足，在安全保密方面存在較大的隱患，網(wǎng)絡(luò)安全性較低，主要表現(xiàn)在我國(guó)的網(wǎng)絡(luò)信息易擾、欺騙等，再加上我國(guó)人民對(duì)于網(wǎng)絡(luò)安全這方面的安全意識(shí)不高，網(wǎng)絡(luò)安全處于十分薄弱的環(huán)境中。

3.1電子商務(wù)安全存在的隱患

(1)網(wǎng)絡(luò)協(xié)議方面的安全問(wèn)題。在電子商務(wù)中，交易雙方在交易中是通過(guò)傳送數(shù)據(jù)包的形式來(lái)交換數(shù)據(jù)，傳送過(guò)程中，不法惡意攻擊者會(huì)攔截?cái)?shù)據(jù)包，甚至在一定程度上破壞，這使得接收方接收的信息是不正確的。

(2)用戶信息的安全問(wèn)題。用戶和商家是在B/S結(jié)構(gòu)的電子商務(wù)網(wǎng)站使用瀏覽器登錄進(jìn)行交易，在登陸瀏覽器時(shí)勢(shì)必會(huì)使用電腦，有的用戶在使用電腦時(shí)，如果計(jì)算機(jī)中存在木馬，那么登陸者的信息存在泄露的危險(xiǎn)，有的用戶在不方便使用自己電腦的情況下使用公共計(jì)算機(jī)，有些不法分子會(huì)通過(guò)電腦技術(shù)竊取交易信息。

(3)商家商務(wù)網(wǎng)的安全問(wèn)題。有些企業(yè)在制作自己的商務(wù)網(wǎng)站時(shí)由于技術(shù)不過(guò)硬，本身的商務(wù)網(wǎng)站就存在隱患，服務(wù)器安全性低，不法分子利用電腦技術(shù)攻擊商務(wù)網(wǎng)站，竊取用戶信息和交易信息。

3.2電子商務(wù)安全問(wèn)題的具體表現(xiàn)

(1)交易信息被竊取、毀壞。電子商務(wù)交易在數(shù)據(jù)包的傳送過(guò)程中，可能會(huì)被一些不法分子運(yùn)用電腦技術(shù)非法篡改交易信息，使得交易信息失去真實(shí)性和可靠性。無(wú)論是在網(wǎng)絡(luò)硬件還是軟件方面，都存在導(dǎo)致傳送過(guò)程中信息的誤傳的可能性。

(2)假冒身份問(wèn)題。電子商務(wù)交易是通過(guò)瀏覽器登錄進(jìn)行交易，交易雙方?jīng)]有機(jī)會(huì)面對(duì)面洽談，這就給了第三人一個(gè)假冒交易某一方破壞交易、騙取交易成果，甚至敗壞交易某一方的聲譽(yù)等的機(jī)會(huì)。

(3)交易抵賴問(wèn)題。例如，在電子商務(wù)交易中，買家收到貨之后，不確認(rèn)收貨。

(4)計(jì)算機(jī)病毒感染問(wèn)題。電子商務(wù)交易勢(shì)必會(huì)使用計(jì)算機(jī)，交易者在使用計(jì)算機(jī)時(shí)，存在選中有病毒的計(jì)算機(jī)的可能性，這樣給商務(wù)交易帶來(lái)了問(wèn)題。另外，我國(guó)網(wǎng)上的蠕蟲病毒等在網(wǎng)絡(luò)流域的傳播極易發(fā)生，傳播過(guò)程中會(huì)產(chǎn)生巨大的攻擊流量，會(huì)導(dǎo)致訪問(wèn)速度滯停的問(wèn)題。

4電子商務(wù)安全防范技術(shù)

為確保電子商務(wù)貿(mào)易的有效進(jìn)行，一方面要保證電子商務(wù)平臺(tái)的運(yùn)行可靠穩(wěn)定，能夠全天候持續(xù)不斷地提供網(wǎng)絡(luò)服務(wù)；另一方面，電子商務(wù)系統(tǒng)還必須不斷更新和采用最新安全技術(shù)來(lái)保證電子商務(wù)的整個(gè)交易過(guò)程的安全，防止交易抵賴行為。在現(xiàn)實(shí)生活中，電子商務(wù)安全防范技術(shù)主要有以下幾種：

4.1數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類。在交易雙方可以保證密鑰在交換階段未曾發(fā)生丟失或泄露的情況下，通常采用常規(guī)密鑰密碼技術(shù)為機(jī)密信息加密。在公開密鑰密碼體系中，加密密鑰是公開的信息，加密算法和解密算法也是公開的信息，而解密密鑰是機(jī)密的。重要的公開密鑰密碼體系有：基于NP完全理論的Merkel-Hellman背包體系、基于數(shù)論中大數(shù)分解的RSA體系、基于編碼理論的McEliece體系。以上兩種加密體系各有優(yōu)缺點(diǎn)：常規(guī)密鑰密碼體系的優(yōu)點(diǎn)是加密速度快、效率高，主要用于大量數(shù)據(jù)的加密，但是常規(guī)密鑰密碼體系中密鑰在傳遞過(guò)程中容易被竊取，對(duì)于大量密鑰的管理存在缺陷；公開密鑰體系在大范圍密鑰的安全方面很好的解決了常規(guī)密鑰密碼體系存在的問(wèn)題，保密性能比常規(guī)密鑰密碼體系高，但是公開密鑰密碼體系項(xiàng)目復(fù)雜，加密速度較慢。實(shí)踐中通常將常規(guī)密鑰密碼體系和公開密鑰密碼體系結(jié)合起來(lái)使用。

4.2防火墻技術(shù)

防火墻技術(shù)分為兩類：服務(wù)技術(shù)和數(shù)據(jù)包過(guò)濾技術(shù)。其中，數(shù)據(jù)包過(guò)濾技術(shù)較為簡(jiǎn)單，也最常用，它通過(guò)檢查接收到的每個(gè)數(shù)據(jù)包的頭，來(lái)分析該數(shù)據(jù)包是否已經(jīng)發(fā)送到目的地。防火墻技術(shù)通過(guò)對(duì)數(shù)據(jù)進(jìn)行分析并有選擇的過(guò)濾，從而有效地避免外來(lái)因素對(duì)數(shù)據(jù)包進(jìn)行的破壞，保證網(wǎng)絡(luò)的安全。實(shí)踐中，也常常將數(shù)據(jù)包過(guò)濾防火墻與服務(wù)器結(jié)合使用，可以更加有效地保護(hù)網(wǎng)絡(luò)安全。

4.3虛擬專網(wǎng)技術(shù)VPN

VPN具有適應(yīng)性強(qiáng)、投資小、易管理等優(yōu)點(diǎn)，通過(guò)使用信息加密技術(shù)、安全隧道技術(shù)、用戶認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)等實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的保護(hù)。VPN可以使商業(yè)伙伴、公司、供應(yīng)商、遠(yuǎn)程用戶的內(nèi)部網(wǎng)之間建立可靠穩(wěn)定的安全連接，確保貿(mào)易信息的安全傳輸，從而保證在公共的Internet或企業(yè)局域網(wǎng)之間安全進(jìn)行電子交易。

4.4安全認(rèn)證技術(shù)

安全認(rèn)證技術(shù)包括以下幾種：

(1)數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)可以確保原始報(bào)文的不可否認(rèn)性以及鑒別，并且可以防止虛假簽名。

(2)數(shù)字摘要技術(shù)。數(shù)字摘要技術(shù)通過(guò)驗(yàn)證網(wǎng)絡(luò)傳輸?shù)拿魑?，鑒別其是否經(jīng)過(guò)篡改，進(jìn)而確保數(shù)據(jù)的有效性和完整性。

(3)數(shù)字憑證技術(shù)。數(shù)字憑證技術(shù)通過(guò)運(yùn)用電子手段來(lái)鑒別用戶身份以及管理用戶對(duì)網(wǎng)絡(luò)資源訪問(wèn)的權(quán)限。

(4)認(rèn)證中心。認(rèn)證中心專門負(fù)責(zé)審核網(wǎng)絡(luò)用戶的真實(shí)身份并提供相應(yīng)的證明，且只管理每個(gè)用戶的一個(gè)公開密鑰，在一定程度上大大降低了密鑰管理的復(fù)雜性。

(5)智能卡技術(shù)。智能卡具有存儲(chǔ)數(shù)據(jù)和讀寫數(shù)據(jù)的能力，可以對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單地處理，能夠?qū)?shù)據(jù)進(jìn)行加密和解密，其特點(diǎn)是存儲(chǔ)器部分具有外部不可讀性，可以使用戶身份鑒別更加安全。

5電子商務(wù)中的信息安全對(duì)策

5.1不斷完善網(wǎng)絡(luò)安全管理體系

我國(guó)應(yīng)在現(xiàn)有網(wǎng)絡(luò)安全管理部門之外建立一個(gè)具有權(quán)威的信息安全領(lǐng)導(dǎo)機(jī)構(gòu)。該部門應(yīng)宏觀地、有效統(tǒng)一地協(xié)調(diào)各部門的職能，對(duì)市場(chǎng)網(wǎng)絡(luò)信息安全現(xiàn)狀進(jìn)行及時(shí)的分析，制定科學(xué)的政策。對(duì)于使用計(jì)算機(jī)網(wǎng)絡(luò)的單位及個(gè)人，必須嚴(yán)格遵守《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)管理辦法》，建立完善的責(zé)任問(wèn)責(zé)制度。

5.2大力培養(yǎng)網(wǎng)絡(luò)安全專業(yè)人才

面對(duì)現(xiàn)代網(wǎng)絡(luò)應(yīng)用高速普及的情況，網(wǎng)絡(luò)安全專業(yè)人才顯得捉襟見肘，我國(guó)需要大量的網(wǎng)絡(luò)安全人才維護(hù)網(wǎng)絡(luò)的安全。我國(guó)應(yīng)加大對(duì)培養(yǎng)網(wǎng)絡(luò)安全人才的科研教育機(jī)構(gòu)的投入力度，同時(shí)積極組織人才及組織與國(guó)外的相關(guān)部門進(jìn)行技術(shù)經(jīng)驗(yàn)交流，不斷引進(jìn)國(guó)外先進(jìn)網(wǎng)絡(luò)安全保護(hù)技術(shù)，并及時(shí)對(duì)我國(guó)專業(yè)人員進(jìn)行技術(shù)培訓(xùn)。

5.3建立網(wǎng)絡(luò)風(fēng)險(xiǎn)防范機(jī)制

篇2

一、引言近年來(lái)，電子商務(wù)的發(fā)展十分迅速，然而盡管其發(fā)展勢(shì)頭很強(qiáng)，但其貿(mào)易額所占整個(gè)貿(mào)易額的比例仍然很低。影響其發(fā)展的首要因素是安全問(wèn)題，網(wǎng)上的交易是一種非面對(duì)面交易，因此“交易安全“在電子商務(wù)的發(fā)展中十分重要?？梢哉f(shuō)，沒有安全就沒有電子商務(wù)。電子商務(wù)的安全從整體上可分為兩大部分，計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全的特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在Internet上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過(guò)程的順利進(jìn)行。

篇3

序言：近年來(lái),隨著因特網(wǎng)的普及日漸迅速,電子交易開始融入人們的日常生活中,網(wǎng)上訂貨、網(wǎng)上繳費(fèi)等眾多電子交易方式為人們創(chuàng)造了便利高效的生活方式,越來(lái)越多的人開始使用電子商務(wù)網(wǎng)站來(lái)傳遞各種信息,并進(jìn)行各種交易。電子商務(wù)網(wǎng)站傳遞各種商務(wù)信息依靠的是互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個(gè)完全開放的網(wǎng)絡(luò),任何一臺(tái)計(jì)算機(jī)、任何一個(gè)網(wǎng)絡(luò)都可以與之相連。它又是無(wú)國(guó)界的,沒有管理權(quán)威,“是世界唯一的無(wú)政府領(lǐng)地”,因此,網(wǎng)上的安全風(fēng)險(xiǎn)就構(gòu)成了對(duì)電子商務(wù)的安全威脅。

一、電子商務(wù)信息的安全要素

1.機(jī)密性

傳統(tǒng)的貿(mào)易大多是通過(guò)書信或者可靠的通信渠道來(lái)發(fā)送商業(yè)文檔,雖然速度和效率都不高,但卻能達(dá)到保密的目的,而電子商務(wù)是在開放的網(wǎng)絡(luò)環(huán)境下進(jìn)行的,因此要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取,所以保證電子商務(wù)信息的機(jī)密性就變得非常重要。

2.完整性

電子商務(wù)極大地簡(jiǎn)化了傳統(tǒng)貿(mào)易過(guò)程,減少了認(rèn)為的干預(yù),同時(shí)也伴隨著貿(mào)易各方商業(yè)信息的完整、同一問(wèn)題。由于數(shù)據(jù)錄入時(shí)合法或非法的行為,可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異。信息在傳輸?shù)倪^(guò)程中也有可能造成信息的丟失、重復(fù)或次序的差異。因此要預(yù)防對(duì)信息的各種非法操作,保證數(shù)據(jù)在傳送的過(guò)程中完整性。

3.認(rèn)證性

網(wǎng)絡(luò)環(huán)境是一個(gè)虛擬的環(huán)境,而電子商務(wù)就是在這個(gè)虛擬平臺(tái)上進(jìn)行的,貿(mào)易雙方一般都不見面,需要一些技術(shù)和策略來(lái)進(jìn)行身份確認(rèn)。當(dāng)個(gè)人或?qū)嶓w聲稱身份時(shí),電子商務(wù)服務(wù)需要提供一種方式來(lái)進(jìn)行身份認(rèn)證。

4.有效性

在交易的過(guò)程中貿(mào)易雙方需要確定很多信息,電子商務(wù)以電子形式取代了紙張來(lái)確認(rèn)這此信息,保證謝謝信息的有效性是開展電子商務(wù)的前提。因此要對(duì)網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)是有效的。

二、電子商務(wù)網(wǎng)絡(luò)的安全隱患

1.竊取信息

(1)交易雙方進(jìn)行交易的內(nèi)容被第三方竊取。(2)交易一方提供給另一方使用的文件被第三方非法使用。

2.篡改信息

電子的交易信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中,可能被他人非法的修改、刪除這樣就使信息失去了真實(shí)性和完整性。

3.假冒

第三方可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。

4.惡意破壞

由于攻擊者可以接入網(wǎng)絡(luò),則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改,掌握網(wǎng)上的機(jī)要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,破壞網(wǎng)絡(luò)的硬件或軟件而導(dǎo)致交易信息傳遞丟失與謬誤。計(jì)算機(jī)網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞,而使電子商務(wù)信息遭到破壞。

三、電子商務(wù)安全中的幾種技術(shù)手段

1.防火墻(FireWall)技術(shù)

防火墻是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問(wèn)，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。

2.加密技術(shù)

數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施，貿(mào)易方可根據(jù)需要在信息交換的階段使用。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對(duì)稱加密和非對(duì)稱加密，采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)，而不能簡(jiǎn)單地根據(jù)其加密強(qiáng)度來(lái)做出判斷。

(1)對(duì)稱加密

在對(duì)稱加密方法中，對(duì)信息的加密和解密都使用相同的密鑰。也就是說(shuō)，一把鑰匙開一把鎖。這種加密算法可簡(jiǎn)化加密處理過(guò)程，貿(mào)易雙方都不必彼此研究和交換專用的加密算法，如果進(jìn)行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得到保證。不過(guò)，對(duì)稱加密技術(shù)也存在一些不足，如果某一貿(mào)易方有n個(gè)貿(mào)易關(guān)系，那么他就要維護(hù)n個(gè)私有密鑰。對(duì)稱加密方式存在的另一個(gè)問(wèn)題是無(wú)法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享一把私有密鑰。目前廣泛采用的對(duì)稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)，它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域。DES對(duì)64位二進(jìn)制數(shù)據(jù)加密，產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位，實(shí)際密鑰長(zhǎng)度為56位(8位用于奇偶校驗(yàn))。解密時(shí)的過(guò)程和加密時(shí)相似，但密鑰的順序正好相反。

(2)非對(duì)稱加密/公開密鑰加密

在Internet中使用更多的是公鑰系統(tǒng)，即公開密鑰加密。在該體系中，密鑰被分解為一對(duì)：公開密鑰PK和私有密鑰SK。這對(duì)密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開，而另一把則作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握，公開密鑰可廣泛，但它只對(duì)應(yīng)于生成該密鑰的貿(mào)易方。在公開密鑰體系中，加密算法E和解密算法D也都是公開的。雖然SK與PK成對(duì)出現(xiàn)，但卻不能根據(jù)PK計(jì)算出SK。

常用的公鑰加密算法是RSA算法，加密強(qiáng)度很高。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來(lái)。發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加上數(shù)字簽名，做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名，然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名，然后用方公布的公鑰對(duì)數(shù)字簽名進(jìn)行解密，如果成功，則確定是由發(fā)送方發(fā)出的。由于加密強(qiáng)度高，而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密，因此十分適合Internet網(wǎng)上使用。

3.數(shù)字簽名

數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全核心技術(shù)之一，它實(shí)現(xiàn)的基礎(chǔ)就是加密技術(shù)。以往的書信或文件是根據(jù)親筆簽名或印章來(lái)證明其真實(shí)性的。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何蓋章呢？這就是數(shù)字簽名所要解決的問(wèn)題。數(shù)字簽名必須保證以下幾點(diǎn)：接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名；送者事后不能抵賴對(duì)報(bào)文的簽名；接收者不能偽造對(duì)報(bào)文的簽名。現(xiàn)在己有多種實(shí)現(xiàn)數(shù)字簽名的方法，采用較多的就是公開密鑰算法。

4.數(shù)字證書

(1)認(rèn)證中心

在電子交易中，數(shù)字證書的發(fā)放不是靠交易雙方來(lái)完成的，而是由具有權(quán)威性和公正性的第三方來(lái)完成的。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

(2)數(shù)字證書

數(shù)字證書是用電子手段來(lái)證實(shí)一個(gè)用戶的身份及他對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字證書，并用它來(lái)進(jìn)行交易操作，那么交易雙方都可不必為對(duì)方身份的真?zhèn)螕?dān)心。

5.消息摘要(MessageDigest)

消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由RonRivest所發(fā)明的。消息摘要是一個(gè)惟一對(duì)應(yīng)一個(gè)消息的值。它由單向Hash加密算法對(duì)所需加密的明文直接作用，生成一串128bit的密文，這一串密文又被稱為“數(shù)字指紋”(FingerPrint)。所謂單向是指不能被解密，不同的明文摘要成密文，其結(jié)果是絕不會(huì)相同的，而同樣的明文其摘要必定是一致的，因此，這串摘要成為了驗(yàn)證明文是否是“真身”的數(shù)字“指紋”了。

結(jié)語(yǔ)：本文分析了目前電子商務(wù)的安全需求，使用的安全技術(shù)及仍存在的問(wèn)題，并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn)，但必須強(qiáng)調(diào)說(shuō)明的是，電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問(wèn)題，從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn)：

[1]吳洋.電子商務(wù)安全方法研究[D].天津大學(xué),2006.

[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005,(06)

[3]成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評(píng)估[J].計(jì)算機(jī)工程,2003,(02).

[4]大衛(wèi)·范胡斯.電子商務(wù)經(jīng)濟(jì)學(xué)[M].北京:機(jī)械工業(yè)出版社,2003.

[5]楊善林.電子商務(wù)概論[M].北京:機(jī)械工業(yè)出版社,2003.

篇4

中圖分類號(hào)：TP393

1引言

Internet給整個(gè)社會(huì)帶來(lái)了巨大的變革，成為驅(qū)動(dòng)所有產(chǎn)業(yè)發(fā)展的動(dòng)力。電子商務(wù)是在Internet開放環(huán)境下的一種新型的商業(yè)運(yùn)營(yíng)模式，是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向。在此首先對(duì)電子商務(wù)中存在的問(wèn)題及其安全性技術(shù)加以分析，然后對(duì)中國(guó)電子商務(wù)未來(lái)的發(fā)展提出了一些建議，以使更多的人士關(guān)注電子商務(wù)技術(shù)，盡快解決現(xiàn)存的問(wèn)題，推動(dòng)電子商務(wù)的發(fā)展。

2電子商務(wù)及其存在的問(wèn)題

電子商務(wù)是指利用簡(jiǎn)單快捷低成本的電子通訊方式，使買賣雙方進(jìn)行各種商貿(mào)活動(dòng)的新型貿(mào)易形式。它改變了傳統(tǒng)貿(mào)易形式，不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營(yíng)、管理活動(dòng)，而且將導(dǎo)致人類經(jīng)濟(jì)、社會(huì)和文化的一次新的革命。但目前電子商務(wù)的發(fā)展中還存在許多問(wèn)題：

1）安全協(xié)議問(wèn)題：對(duì)安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范，相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)。

2）安全管理問(wèn)題：在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

3）電子商務(wù)沒有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域。

4）技術(shù)人才短缺問(wèn)題：電子商務(wù)是在近幾年才得到了迅猛發(fā)展，許多地方都缺乏足夠的技術(shù)人才來(lái)處理所遇到的各種問(wèn)題。不少電子商務(wù)的開發(fā)商對(duì)網(wǎng)絡(luò)技術(shù)很熟悉，但是對(duì)安全技術(shù)了解得偏少，因而難以開發(fā)出真正實(shí)用的、安全性的產(chǎn)品。

5）法律問(wèn)題：電子交易衍生了一系列法律問(wèn)題，例如網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問(wèn)題，急需為電子商務(wù)提供法律保障。

6）稅收問(wèn)題：電子商務(wù)的發(fā)展在促進(jìn)貿(mào)易增加稅收的同時(shí)又對(duì)稅收制度及其管理手段提出了新要求。

3電子商務(wù)中的安全性技術(shù)

安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，也是目前大家十分關(guān)注的問(wèn)題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現(xiàn)在幾乎網(wǎng)絡(luò)的各個(gè)層次都制訂了安全協(xié)議和具備了相應(yīng)的安全技術(shù)，以保證電子商務(wù)的安全性。

3.1安全的網(wǎng)絡(luò)平臺(tái)

安全可靠的網(wǎng)絡(luò)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ)，常用的方法是在網(wǎng)絡(luò)中采用防火墻技術(shù)，虛擬專用網(wǎng)（VPN）技術(shù)，防病毒保護(hù)等。防火墻技術(shù)是通過(guò)IP過(guò)濾和服務(wù)器軟件方法保護(hù)企業(yè)內(nèi)部網(wǎng)(Intranet)中數(shù)據(jù)，只有授權(quán)用戶才能獲準(zhǔn)進(jìn)入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)。虛擬專用網(wǎng)（VPN）技術(shù)通過(guò)IP隧道等方法來(lái)保證企業(yè)協(xié)作網(wǎng)（Extranet）中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠(yuǎn)程分支機(jī)構(gòu)和外出職工對(duì)中央系統(tǒng)的遠(yuǎn)程訪問(wèn)數(shù)據(jù)的安全傳遞。單純依靠這些方法保護(hù)網(wǎng)絡(luò)的安全性是不夠的，還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務(wù)基石，例如現(xiàn)在的加密技術(shù)、數(shù)字簽名技術(shù)、電子認(rèn)證技術(shù)等。

3.2在線支付的安全技術(shù)

電子商務(wù)的另一個(gè)關(guān)鍵問(wèn)題是要保證在線支付的安全，它是網(wǎng)上購(gòu)物的重要保證。目前采用的在線支付協(xié)議有兩種：安全套接層SSL（SecureSocketsLayer）協(xié)議和安全電子交易SET（SecureElectronicTransaction）協(xié)議。

3.2.1SSL協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。SSL通過(guò)數(shù)字簽名和數(shù)字證書來(lái)實(shí)行身份驗(yàn)證，數(shù)字證書是從認(rèn)證機(jī)構(gòu)（CertificateAuthority，CA）獲得的，通常包含有唯一標(biāo)識(shí)證書所有者的名稱、唯一標(biāo)識(shí)證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

篇5

1引言

Internet給整個(gè)社會(huì)帶來(lái)了巨大的變革，成為驅(qū)動(dòng)所有產(chǎn)業(yè)發(fā)展的動(dòng)力。電子商務(wù)是在Internet開放環(huán)境下的一種新型的商業(yè)運(yùn)營(yíng)模式，是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向。在此首先對(duì)電子商務(wù)中存在的問(wèn)題及其安全性技術(shù)加以分析，然后對(duì)中國(guó)電子商務(wù)未來(lái)的發(fā)展提出了一些建議，以使更多的人士關(guān)注電子商務(wù)技術(shù)，盡快解決現(xiàn)存的問(wèn)題，推動(dòng)電子商務(wù)的發(fā)展。

2電子商務(wù)及其存在的問(wèn)題

電子商務(wù)是指利用簡(jiǎn)單快捷低成本的電子通訊方式，使買賣雙方進(jìn)行各種商貿(mào)活動(dòng)的新型貿(mào)易形式。它改變了傳統(tǒng)貿(mào)易形式，不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營(yíng)、管理活動(dòng)，而且將導(dǎo)致人類經(jīng)濟(jì)、社會(huì)和文化的一次新的革命。但目前電子商務(wù)的發(fā)展中還存在許多問(wèn)題：

1）安全協(xié)議問(wèn)題：對(duì)安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范，相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)。

2）安全管理問(wèn)題：在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

3）電子商務(wù)沒有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域。

4）技術(shù)人才短缺問(wèn)題：電子商務(wù)是在近幾年才得到了迅猛發(fā)展，許多地方都缺乏足夠的技術(shù)人才來(lái)處理所遇到的各種問(wèn)題。不少電子商務(wù)的開發(fā)商對(duì)網(wǎng)絡(luò)技術(shù)很熟悉，但是對(duì)安全技術(shù)了解得偏少，因而難以開發(fā)出真正實(shí)用的、安全性的產(chǎn)品。

5）法律問(wèn)題：電子交易衍生了一系列法律問(wèn)題，例如網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問(wèn)題，急需為電子商務(wù)提供法律保障。

6）稅收問(wèn)題：電子商務(wù)的發(fā)展在促進(jìn)貿(mào)易增加稅收的同時(shí)又對(duì)稅收制度及其管理手段提出了新要求。

3電子商務(wù)中的安全性技術(shù)

安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，也是目前大家十分關(guān)注的問(wèn)題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現(xiàn)在幾乎網(wǎng)絡(luò)的各個(gè)層次都制訂了安全協(xié)議和具備了相應(yīng)的安全技術(shù)，以保證電子商務(wù)的安全性。

3.1安全的網(wǎng)絡(luò)平臺(tái)

安全可靠的網(wǎng)絡(luò)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ)，常用的方法是在網(wǎng)絡(luò)中采用防火墻技術(shù)，虛擬專用網(wǎng)（VPN）技術(shù)，防病毒保護(hù)等。防火墻技術(shù)是通過(guò)IP過(guò)濾和服務(wù)器軟件方法保護(hù)企業(yè)內(nèi)部網(wǎng)(Intranet)中數(shù)據(jù)，只有授權(quán)用戶才能獲準(zhǔn)進(jìn)入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)。虛擬專用網(wǎng)（VPN）技術(shù)通過(guò)IP隧道等方法來(lái)保證企業(yè)協(xié)作網(wǎng)（Extranet）中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠(yuǎn)程分支機(jī)構(gòu)和外出職工對(duì)中央系統(tǒng)的遠(yuǎn)程訪問(wèn)數(shù)據(jù)的安全傳遞。單純依靠這些方法保護(hù)網(wǎng)絡(luò)的安全性是不夠的，還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務(wù)基石，例如現(xiàn)在的加密技術(shù)、數(shù)字簽名技術(shù)、電子認(rèn)證技術(shù)等。

3.2在線支付的安全技術(shù)

電子商務(wù)的另一個(gè)關(guān)鍵問(wèn)題是要保證在線支付的安全，它是網(wǎng)上購(gòu)物的重要保證。目前采用的在線支付協(xié)議有兩種：安全套接層SSL（SecureSocketsLayer）協(xié)議和安全電子交易SET（SecureElectronicTransaction）協(xié)議。

3.2.1SSL協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。SSL通過(guò)數(shù)字簽名和數(shù)字證書來(lái)實(shí)行身份驗(yàn)證，數(shù)字證書是從認(rèn)證機(jī)構(gòu)（CertificateAuthority，CA）獲得的，通常包含有唯一標(biāo)識(shí)證書所有者的名稱、唯一標(biāo)識(shí)證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如

[2]古月.走近電子商務(wù).計(jì)算機(jī)與生活,1999,11:8~14

[3]龔炳錚等.從信息增值到電子商務(wù).計(jì)算機(jī)世界，2000,11,20（D45期）

Electroniccommerceanditssecurity

篇6

連續(xù)多年，我國(guó)投資增長(zhǎng)速度高于消費(fèi)和國(guó)內(nèi)生產(chǎn)總值的增長(zhǎng)速度，使得投資率不斷上升，增大了調(diào)整投資與消費(fèi)的比例關(guān)系的難度?！笆晃濉币?guī)劃要求，“要進(jìn)一步擴(kuò)大國(guó)內(nèi)需求，調(diào)整投資和消費(fèi)的關(guān)系，合理控制投資規(guī)模，增強(qiáng)消費(fèi)對(duì)經(jīng)濟(jì)增長(zhǎng)的拉動(dòng)作用。”但今年上半年投資的增長(zhǎng)速度明顯高于消費(fèi)，不僅使得經(jīng)濟(jì)增長(zhǎng)過(guò)多依賴于投資，而且目前投資還有進(jìn)一步加快的趨勢(shì)。如果這種投資波動(dòng)的態(tài)勢(shì)演變成長(zhǎng)期趨勢(shì)，將不利于“十一五”規(guī)劃關(guān)于調(diào)整投資與消費(fèi)比例關(guān)系任務(wù)的完成。

篇7

由于電子商務(wù)是以信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的，與傳統(tǒng)商務(wù)比較，它不可避免的面臨著一系列的安全問(wèn)題。

1.信息泄漏

在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄漏，主要包括兩個(gè)方面：交易雙方進(jìn)行交易的內(nèi)容被第三方竊??；交易一方提供給另一方使用的文件被第三方非法使用。攻擊者主要通過(guò)截獲和竊取的方式造成信息泄漏。

2.篡改

在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實(shí)性和完整性的問(wèn)題。當(dāng)攻擊者掌握了信息的格式和規(guī)律后，通過(guò)各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在中途篡改，然后再發(fā)向目的地，破壞數(shù)據(jù)的真實(shí)性和完整性。

3.偽造

由于掌握了數(shù)據(jù)的格式，并可以篡改通過(guò)的信息，如果不進(jìn)行身份識(shí)別，攻擊者就有可能假冒交易一方的身份，以破壞交易、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等。

4.信用威脅

交易者否認(rèn)參加過(guò)交易，如買方提交訂單后不付款，或者輸入虛假銀行資料使賣方不能提款；用戶付款后，賣方?jīng)]有把商品發(fā)送到客戶手中，使客戶蒙受損失。

5.電腦病毒

電腦病毒問(wèn)世十幾年來(lái)，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑，還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。

二、電子商務(wù)安全要素

安全問(wèn)題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問(wèn)題，而如何保障電子商務(wù)活動(dòng)的安全，將一直是電子商務(wù)的核心研究領(lǐng)域。作為一個(gè)安全的電子商務(wù)系統(tǒng)，首先必須具有一個(gè)安全、可靠的通信網(wǎng)絡(luò)，以保證交易信息安全、迅速地傳遞；其次必須保證數(shù)據(jù)庫(kù)服務(wù)器絕對(duì)安全，防止黑客闖入網(wǎng)絡(luò)盜取信息。下面介紹電子商務(wù)涉及的安全要素.

1.有效性

電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此，要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。

2.機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。

4.可靠性

電子商務(wù)直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進(jìn)行交易的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。

5.即需性

即需性是防止延遲或拒絕服務(wù)，即需安全威脅的目的就在于破壞正常的計(jì)算機(jī)處理或完全拒絕服務(wù)。在電子商務(wù)中，延遲一個(gè)消息或消除它會(huì)帶來(lái)災(zāi)難性的后果。

6.身份認(rèn)證

指交易雙方可以相互確認(rèn)彼此的真實(shí)身份，確認(rèn)對(duì)方就是本次交易中所稱的真正交易方。這一過(guò)程為授權(quán)和審計(jì)所必需，也是實(shí)現(xiàn)授權(quán)、審計(jì)的訪問(wèn)控制過(guò)程運(yùn)行的前提，是計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)不可缺少的組成部分。

7.審查能力

根據(jù)機(jī)密性和完整性的要求，應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄。審查能力是指每個(gè)經(jīng)授權(quán)的用戶的活動(dòng)的唯一標(biāo)識(shí)和監(jiān)控，以便對(duì)其所使用的操作內(nèi)容進(jìn)行審計(jì)和跟蹤。

三、電子商務(wù)交易安全技術(shù)

由于電子商務(wù)活動(dòng)所涉及的大量機(jī)密信息都必須通過(guò)網(wǎng)絡(luò)傳播，并且以電子數(shù)據(jù)的形式存儲(chǔ)，要求有完善的安全技術(shù)來(lái)保證電子商務(wù)交易的安全。目前，電子商務(wù)過(guò)程中主要采用的安全技術(shù)有加密技術(shù)、認(rèn)證技術(shù)和安全認(rèn)證協(xié)議。

1.加密技術(shù)

加密技術(shù)是一種主動(dòng)的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無(wú)意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。在加密和解密的過(guò)程中，由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。 目前，獲得廣泛應(yīng)用的兩種加密技術(shù)是對(duì)稱密鑰加密體制和非對(duì)稱密鑰加密體制。

2.認(rèn)證技術(shù)

安全認(rèn)證的主要作用是進(jìn)行信息認(rèn)證。主要包括安全認(rèn)證技術(shù)和安全認(rèn)證機(jī)構(gòu)兩個(gè)方面。安全認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等； 電子商務(wù)認(rèn)證中心就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

3.安全認(rèn)證協(xié)議

篇8

由于電子商務(wù)是以信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的，與傳統(tǒng)商務(wù)比較，它不可避免的面臨著一系列的安全問(wèn)題。

1.信息泄漏

在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄漏，主要包括兩個(gè)方面：交易雙方進(jìn)行交易的內(nèi)容被第三方竊??；交易一方提供給另一方使用的文件被第三方非法使用。攻擊者主要通過(guò)截獲和竊取的方式造成信息泄漏。

2.篡改

在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實(shí)性和完整性的問(wèn)題。當(dāng)攻擊者掌握了信息的格式和規(guī)律后，通過(guò)各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在中途篡改，然后再發(fā)向目的地，破壞數(shù)據(jù)的真實(shí)性和完整性。

3.偽造

由于掌握了數(shù)據(jù)的格式，并可以篡改通過(guò)的信息，如果不進(jìn)行身份識(shí)別，攻擊者就有可能假冒交易一方的身份，以破壞交易、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等。

4.信用威脅

交易者否認(rèn)參加過(guò)交易，如買方提交訂單后不付款，或者輸入虛假銀行資料使賣方不能提款；用戶付款后，賣方?jīng)]有把商品發(fā)送到客戶手中，使客戶蒙受損失。

5.電腦病毒

電腦病毒問(wèn)世十幾年來(lái)，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑，還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。

二、電子商務(wù)安全要素

安全問(wèn)題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問(wèn)題，而如何保障電子商務(wù)活動(dòng)的安全，將一直是電子商務(wù)的核心研究領(lǐng)域。作為一個(gè)安全的電子商務(wù)系統(tǒng)，首先必須具有一個(gè)安全、可靠的通信網(wǎng)絡(luò)，以保證交易信息安全、迅速地傳遞；其次必須保證數(shù)據(jù)庫(kù)服務(wù)器絕對(duì)安全，防止黑客闖入網(wǎng)絡(luò)盜取信息。下面介紹電子商務(wù)涉及的安全要素.

1.有效性

電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此,要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。

2.機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略,保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。

4.可靠性

電子商務(wù)直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。

5.即需性

即需性是防止延遲或拒絕服務(wù)，即需安全威脅的目的就在于破壞正常的計(jì)算機(jī)處理或完全拒絕服務(wù)。在電子商務(wù)中，延遲一個(gè)消息或消除它會(huì)帶來(lái)災(zāi)難性的后果。

6.身份認(rèn)證

指交易雙方可以相互確認(rèn)彼此的真實(shí)身份，確認(rèn)對(duì)方就是本次交易中所稱的真正交易方。這一過(guò)程為授權(quán)和審計(jì)所必需，也是實(shí)現(xiàn)授權(quán)、審計(jì)的訪問(wèn)控制過(guò)程運(yùn)行的前提，是計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)不可缺少的組成部分。

7.審查能力

根據(jù)機(jī)密性和完整性的要求,應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄。審查能力是指每個(gè)經(jīng)授權(quán)的用戶的活動(dòng)的唯一標(biāo)識(shí)和監(jiān)控，以便對(duì)其所使用的操作內(nèi)容進(jìn)行審計(jì)和跟蹤。

三、電子商務(wù)交易安全技術(shù)

由于電子商務(wù)活動(dòng)所涉及的大量機(jī)密信息都必須通過(guò)網(wǎng)絡(luò)傳播，并且以電子數(shù)據(jù)的形式存儲(chǔ)，要求有完善的安全技術(shù)來(lái)保證電子商務(wù)交易的安全。目前，電子商務(wù)過(guò)程中主要采用的安全技術(shù)有加密技術(shù)、認(rèn)證技術(shù)和安全認(rèn)證協(xié)議。

1.加密技術(shù)

加密技術(shù)是一種主動(dòng)的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無(wú)意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。在加密和解密的過(guò)程中，由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。目前，獲得廣泛應(yīng)用的兩種加密技術(shù)是對(duì)稱密鑰加密體制和非對(duì)稱密鑰加密體制。

2.認(rèn)證技術(shù)

安全認(rèn)證的主要作用是進(jìn)行信息認(rèn)證。主要包括安全認(rèn)證技術(shù)和安全認(rèn)證機(jī)構(gòu)兩個(gè)方面。安全認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等；電子商務(wù)認(rèn)證中心就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

3.安全認(rèn)證協(xié)議

篇9

1 引言

電子商務(wù)是通過(guò)電子方式處理和傳遞數(shù)據(jù)，它涉及許多方面的活動(dòng)，包括貨物電子貿(mào)易和服務(wù)、在線數(shù)據(jù)傳遞、電子資金劃拔、電子證券交易、商業(yè)拍賣、合作設(shè)計(jì)和工程、在線資料、公共產(chǎn)品獲得等內(nèi)容。電子商務(wù)的發(fā)展勢(shì)頭非常驚人，但它的產(chǎn)值在全球生產(chǎn)總值中卻只占極小的份額，其原因就在于電子商務(wù)的安全問(wèn)題，根據(jù)美國(guó)一個(gè)調(diào)查機(jī)構(gòu)對(duì)近30000名因特網(wǎng)用戶的調(diào)查顯示，由于擔(dān)心電子商務(wù)的安全性問(wèn)題，超過(guò)60%的網(wǎng)民不愿意進(jìn)行網(wǎng)上交易， 因此，如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，已經(jīng)成為影響到電子商務(wù)健康發(fā)展的關(guān)鍵性課題。

2 電子商務(wù)對(duì)安全的要求

對(duì)電子商務(wù)活動(dòng)安全性的需求以及可使用的網(wǎng)絡(luò)安全措施，主要包含如下幾方面。

(1)如何確定通信中的貿(mào)易伙伴的真實(shí)性？常用的處理技術(shù)是身份認(rèn)證，依賴某個(gè)可信賴的機(jī)構(gòu)發(fā)放證書，雙方交換信息之前通過(guò)CA獲取對(duì)方的證書，并以此識(shí)別對(duì)方。

(2)如何保證電子單證的秘密性，防范電子單證的內(nèi)容被第三方讀取?常用的處理技術(shù)是數(shù)據(jù)加密和解密。

(3)如何保證被傳輸?shù)臉I(yè)務(wù)單證不會(huì)丟失，或者發(fā)送方可以察覺所發(fā)單證的丟失?對(duì)于固定且具有頻繁貿(mào)易往來(lái)的伙伴，可以采用單證傳輸?shù)男蛄行詸z驗(yàn)；也可采用雙方約定的方法（即在規(guī)定的時(shí)間內(nèi)，通過(guò)某種方式進(jìn)行確認(rèn)）。

(4)如何確定電子單證的內(nèi)容未被篡改；單證傳輸完整性主要采用散列技術(shù)來(lái)防止非法用戶對(duì)單證的篡改，通過(guò)散列算法對(duì)被傳輸?shù)膯巫C進(jìn)行處理，產(chǎn)生一個(gè)依賴于該單證的短小的散列值，并將該散列值附接在單證之后傳輸給接收方。以便接收方采用相同的散列算法對(duì)接收的單證進(jìn)行檢驗(yàn)。

(5)如何確定電子單證的真實(shí)性？鑒別單證真實(shí)性的主要手段是數(shù)字簽名技術(shù)，其基礎(chǔ)是數(shù)據(jù)加密中的公開密鑰加密技術(shù)，實(shí)用中常結(jié)合單證完整性一起考慮，利用發(fā)送方的密鑰對(duì)散列值進(jìn)行加密。

(6)如何解決或者仲裁收發(fā)雙方對(duì)交換的單證所產(chǎn)生的爭(zhēng)議，包括發(fā)方或收方可能的否認(rèn)或抵賴?通常要求引入認(rèn)證中心進(jìn)行管理，由CA發(fā)放密鑰，傳輸?shù)膯巫C及其簽名的備份發(fā)至CA保存，作為可能爭(zhēng)議的仲裁依據(jù)。

(7)如何保證存儲(chǔ)信息的安全性?如何規(guī)范內(nèi)部管理？如何使用訪問(wèn)控制權(quán)限和日志以及敏感信息加密存儲(chǔ)?當(dāng)使用WWW服務(wù)器支持電子商務(wù)活動(dòng)時(shí)，應(yīng)注意數(shù)據(jù)的備份和恢復(fù)，并采用防火墻技術(shù)來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全性。

3 電子商務(wù)采用的主要安全技術(shù)

為了確保電子商務(wù)在交易過(guò)程中信息有效、真實(shí)、可靠且保密，目前主要采用的安全技術(shù)有加密技術(shù)、身份認(rèn)證技術(shù)和交易的安全認(rèn)證協(xié)議。安全認(rèn)證協(xié)議用來(lái)保證電子商務(wù)中交易的安全性，如set、ssl、s/mime、s-http等。下面我們主要來(lái)介紹這些技術(shù)。

3.1 加密技術(shù)

加密技術(shù)是電子商務(wù)系統(tǒng)所采取的最基本的安全措施，加密的主要目的是防止信息的非授權(quán)泄漏。密碼算法是一些數(shù)學(xué)公式、法則或程序，算法中的可變參數(shù)是密鑰。根據(jù)密碼算法所使用的加密密鑰和解密密鑰是否相同，能否由加密密鑰推導(dǎo)出解密密鑰，可以將密碼算法分為對(duì)稱密碼算法和非對(duì)稱密碼算法。一般來(lái)說(shuō)，在一個(gè)加密系統(tǒng)中，信息使用加密密鑰加密后，接收方使用解密密鑰對(duì)密文解密得到原文。

3.1.1 對(duì)稱加密/對(duì)稱密鑰加密

在對(duì)稱加密方法中，對(duì)信息的加密和解密都使用相同的密鑰，即一把鑰匙開一把鎖。這樣可以簡(jiǎn)化加密的處理，每個(gè)交易方都不必彼此研究和交換專用的加密算法。如果進(jìn)行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄漏，那么機(jī)密性和報(bào)文完整性就可以得以保證。這樣密鑰安全交換是關(guān)系到對(duì)稱加密有效的核心環(huán)節(jié)。而對(duì)稱加密技術(shù)存在著在通信的交易各方之間確保密鑰安全交換的問(wèn)題。對(duì)稱加密方式存在的另一個(gè)問(wèn)題是無(wú)法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享同一把專用密鑰，貿(mào)易雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。目前常用的對(duì)稱加密算法有DES、PCR、IDEA等。其中DES使用最普遍，被采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)。

3.1.2 非對(duì)稱加密/公開密鑰加密

在非對(duì)稱加密體系中，密鑰被分解為一對(duì)(即一把公開密鑰或加密密鑰和一把私有密鑰或解密密鑰)。密鑰對(duì)生成后，公開密鑰以非保密方式對(duì)外公開，只對(duì)應(yīng)于生成該密鑰的者；私有密鑰則保存在密鑰方手中。任何得到公開密鑰的用戶都可使用該密鑰加密信息發(fā)送給該公開密鑰的者，而者得到加密信息后，使用與公開密鑰相應(yīng)對(duì)的私有密鑰進(jìn)行解密。由此可知，公開密鑰用于對(duì)機(jī)密性的加密，私有密鑰則用于對(duì)加密信息的解密。目前常用的非對(duì)稱加密算法是RSA算法。它是非對(duì)稱加密領(lǐng)域內(nèi)最為著名的算法，但是它存在的主要問(wèn)題是算法的運(yùn)算速度較慢，并且也難以做到一次一密。因此，在實(shí)際的應(yīng)用中通常不采用這一算法對(duì)信息量大的信息進(jìn)行加密。對(duì)于加密量大的應(yīng)用，公開密鑰加密算法通常用于對(duì)稱加密方法密鑰的加密。

3.2 身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)保證電子商務(wù)安全不可缺少的又一重要技術(shù)手段。常見的安全認(rèn)證技術(shù)有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等技術(shù)。

3.2.1 數(shù)字摘要

數(shù)字摘要是一種防止數(shù)據(jù)被改動(dòng)的方法，它采用單向HASH函數(shù)將需要加密的文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼，并在傳輸信息時(shí)將之加入文件一同送給接收方，接收方收到文件后，用相同的方法進(jìn)行變換運(yùn)算，若得到的結(jié)果與發(fā)送來(lái)的摘要碼相同，則可斷定文件未被篡改，反之亦然。在數(shù)字摘要中HASH函數(shù)的輸入可以是任意大小的文件消息，而輸出是一個(gè)固定長(zhǎng)度的摘要。且摘要有這樣一個(gè)性質(zhì)，如果改變了輸入消息中的任何東西，甚至只有一位，輸出的摘要將會(huì)發(fā)生不可預(yù)測(cè)的改變，故而常用數(shù)字摘要來(lái)判定信息是否被篡改的一項(xiàng)重要技術(shù)。

3.2.2 數(shù)字信封

在大批數(shù)據(jù)加密中所使用的對(duì)稱密碼是隨機(jī)產(chǎn)生的，而接收方也需要此密碼才能對(duì)消息進(jìn)行正確的解密。對(duì)稱密鑰的傳遞需要加密進(jìn)行，即發(fā)送方用接收方的公鑰加密此對(duì)稱密鑰。這樣只有接收方用自己的私鑰才能正確地解密此對(duì)稱密鑰，從而正確地解密消息。這種加密傳送密鑰的方法稱為數(shù)字信封。數(shù)字信封技術(shù)可以保證接收方的唯一性。即使信息在傳送途中被監(jiān)聽或截獲，由干第三方并沒有接收方的密鑰，也不能對(duì)信息進(jìn)行正確的解密。

3.2.3 數(shù)字簽名

數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別與驗(yàn)證，保證報(bào)文的完整性、權(quán)威性和發(fā)送者對(duì)所發(fā)報(bào)文的不可抵賴性。在實(shí)際生活中，簽名通常采用書面形式，由甲乙雙方完成，在網(wǎng)絡(luò)環(huán)境下，可以用電子簽名作為模擬。

數(shù)字簽名是將數(shù)字摘要和公鑰算法兩種加密方法結(jié)合起來(lái)使用，其可以在提供數(shù)據(jù)完整性的同時(shí)保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)未被篡改，真屬性則保證傳輸過(guò)來(lái)的數(shù)據(jù)是由合法者產(chǎn)生的，而不是由其他人假冒。如假設(shè)用戶A要寄信給用戶B，他們互相知道對(duì)方的公鑰，A用自己的私鑰將簽名內(nèi)容加密，附加在郵件中，再用B的公鑰將整個(gè)郵件加密（注意這里的次序，如果先加密再簽名的話，別人可以將簽名去掉后簽上自己的簽名，從而篡改了簽名）。這樣這份密文被B收到后，B用自己的私鑰將郵件解密，得到A的原文和數(shù)字簽名，然后用A的公鑰解密簽名，這樣一來(lái)就保兩方面的安全了。

3.2.4 數(shù)字時(shí)間戳

在電子商務(wù)的交易文件中，時(shí)間是一條重要的信息，文件的簽署日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。為了防止在電子交易中，文件簽署的時(shí)間信息被修改，數(shù)字時(shí)間戳提供了相應(yīng)的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)（DTS）是由專門的機(jī)構(gòu)提供的。數(shù)字時(shí)間戳是一個(gè)經(jīng)加密處理后形成的憑證文檔，它包括三個(gè)部分：需加時(shí)間戳的文件摘要；DTS機(jī)構(gòu)收到文件的日期和時(shí)間；DTS機(jī)構(gòu)的數(shù)字簽名。

3.2.5 數(shù)字證書

數(shù)字證書是由證書授權(quán)中心CA管理和發(fā)放的。CA是數(shù)字證書的最高管理機(jī)構(gòu)，是安全電子交易的核心環(huán)節(jié)。它作為電子商務(wù)交易中中立的、受信任的、可仲裁的第三方，也是為了解決電子商務(wù)中，交易雙方的信息和身份驗(yàn)證問(wèn)題，從根本上保障電子商務(wù)交易活動(dòng)順利進(jìn)行而設(shè)立的。在交易支付的過(guò)程中，參與各方為了證實(shí)自己的身份，需到第三方即認(rèn)證中心（CA）去認(rèn)證。數(shù)字證書就是認(rèn)證中心為交易各方頒發(fā)的身份憑證。它是一個(gè)經(jīng)CA數(shù)字簽名的、包含證書申請(qǐng)者（公開密鑰擁有者）個(gè)人信息及其公開密鑰的文件。任何交易雙方只有申請(qǐng)到相應(yīng)的數(shù)字證書，才能參加安全電子商務(wù)的網(wǎng)上交易。

3.3 安全認(rèn)證協(xié)議

目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用，即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議。

3.3.1 SSL協(xié)議

SSL安全協(xié)議的中文全稱是“加密套接字協(xié)議層”，最初由Netscape公司推出的一種基于RSA和保密密鑰的安全通信協(xié)議，是目前使用最廣泛的電子商務(wù)協(xié)議。該協(xié)議位于HTTP協(xié)議層和TCP協(xié)議層之間，向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序，提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。該協(xié)議在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前，通過(guò)交換SSL初始握手信息來(lái)實(shí)現(xiàn)有關(guān)安全特性的審查。SSL協(xié)議可內(nèi)置于用戶瀏覽器和商家的服務(wù)器中，能方便而低開銷地進(jìn)行信息加密，多用于WEB信用卡的傳送。這樣利用它能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。

SSL協(xié)議運(yùn)行的基點(diǎn)是商家對(duì)客戶信息保密的承諾。客戶的信息往往首先傳到商家，商家閱讀后再傳到銀行；這樣，客戶資料的安全性便受到威脅。另外，整個(gè)過(guò)程只有商家對(duì)客戶的認(rèn)證，缺少客戶對(duì)商家的認(rèn)證，不能防止商家利用獲取的信用卡號(hào)進(jìn)行欺詐。隨著電子商務(wù)與廠商的迅速增加，對(duì)廠商的認(rèn)證問(wèn)題越來(lái)越突出，SSL協(xié)議的缺點(diǎn)則越加明顯。SSL協(xié)議逐漸被新的SET協(xié)議所取代。

3.3.2 SET 協(xié)議

SET協(xié)議的中文全稱“安全電子交易協(xié)議”，它向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實(shí)現(xiàn)安全措施的規(guī)則。它是由Vsia國(guó)際組織 和Mastercard組織聯(lián)合國(guó)際上多家科技機(jī)構(gòu)，共同制定的應(yīng)用于INTERNET上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全技術(shù)標(biāo)準(zhǔn)。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于保障網(wǎng)上購(gòu)物信息的安全性。SET主要由3個(gè)文件組成，分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET協(xié)議在保留對(duì)客戶信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證。它可以對(duì)交易各方進(jìn)行認(rèn)證，可防止商家身份的欺詐。為了進(jìn)一步加強(qiáng)安全性，使用兩組密鑰對(duì)分別用于加密和簽名，通過(guò)雙簽名機(jī)制將訂購(gòu)信息同賬戶信息鏈在一起簽名。由于設(shè)計(jì)較為合理，得到了諸如微軟公司、IBM公司、Netscape公司等大公司的支持，已成為實(shí)際上工業(yè)技術(shù)標(biāo)準(zhǔn)。

SET協(xié)議的不足之處在于協(xié)議復(fù)雜，且只適用于用戶安裝了“電子錢包”的場(chǎng)合。根據(jù)統(tǒng)計(jì)，在一個(gè)典型的SET交易過(guò)程中，需驗(yàn)證數(shù)字證書9次，驗(yàn)證數(shù)字簽名6次；需傳送證書7次，進(jìn)行5次簽名、4次對(duì)稱加密和4次非對(duì)稱加密；整個(gè)交易過(guò)程可能會(huì)花費(fèi)1.5～2分鐘。

4 電子商務(wù)安全需要進(jìn)一步完善的配套措施

電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式，尤其對(duì)發(fā)展中的中國(guó)來(lái)說(shuō)，發(fā)展電子商務(wù)，就必須從以下幾個(gè)方面來(lái)完善配套措施：

(1)突破關(guān)鍵技術(shù)受制于人的瓶頸。當(dāng)前不僅國(guó)內(nèi)幾乎所有的主機(jī)、交換機(jī)、路由器、網(wǎng)絡(luò)操作系統(tǒng)都來(lái)自國(guó)外，而且美國(guó)對(duì)出口別國(guó)的產(chǎn)品實(shí)行密鑰信前控制和長(zhǎng)密鑰限制，因此我們必須依靠自身的力量研制自己的加密算法，以保證中國(guó)電子商務(wù)的正常發(fā)展。

(2)我國(guó)應(yīng)盡快對(duì)電子商務(wù)的有關(guān)細(xì)則進(jìn)行立法。當(dāng)前大多數(shù)人信息安全意識(shí)淡薄，以銀行和金融界來(lái)看，大家對(duì)安全方面的重視還不夠，由于有關(guān)電子商務(wù)的立法和管理剛剛開始，有人開玩笑說(shuō)“電子商務(wù)目前是個(gè)‘三無(wú)’行業(yè)：無(wú)法可依、無(wú)安全可言、無(wú)規(guī)可循”，當(dāng)然這種說(shuō)法欠妥，但目前我國(guó)關(guān)于網(wǎng)絡(luò)安全的法律的確還有待完善。

(3)大力開發(fā)大型商務(wù)網(wǎng)站、發(fā)展與之相配套的物流公司。目前我國(guó)的電子商務(wù)沒有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域，這必將影響我國(guó)電子商務(wù)進(jìn)一步的發(fā)展。

參考文獻(xiàn)

[1]周明，黃元江，李建設(shè).株洲工學(xué)院學(xué)報(bào)[J].電子商務(wù)中的安全技術(shù)研究，2005.1.

[2]張娟.甘肅科技縱橫[M].電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究，2005.4.

篇10

一、引言

電子商務(wù)的發(fā)展前景十分誘人，而其安全問(wèn)題也變得越來(lái)越突出，如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，已經(jīng)成為商家和用戶都十分關(guān)心的話題。

二、電子商務(wù)存在的安全問(wèn)題

1.計(jì)算機(jī)網(wǎng)絡(luò)安全

(1)潛在的安全隱患。未進(jìn)行操作系統(tǒng)相關(guān)安全配置。不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會(huì)存在一些安全問(wèn)題，只有專門針對(duì)操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置，才能達(dá)到一定的安全程度。

(2)未進(jìn)行CGI程序代碼審計(jì)。網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序，很多存在嚴(yán)重的CGI問(wèn)題，對(duì)于電子商務(wù)站點(diǎn)來(lái)說(shuō)，會(huì)出現(xiàn)惡意攻擊者冒用他人賬號(hào)進(jìn)行網(wǎng)上購(gòu)物等嚴(yán)重后果。

(3)安全產(chǎn)品使用不當(dāng)。由于一些網(wǎng)絡(luò)安全設(shè)備本身的問(wèn)題或使用問(wèn)題，這些產(chǎn)品并沒有起到應(yīng)有的作用。很多廠商的產(chǎn)品對(duì)配置人員的技術(shù)背景要求很高，超出對(duì)普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但系統(tǒng)改動(dòng)，在改動(dòng)相關(guān)安全產(chǎn)品的設(shè)置時(shí)，很容易產(chǎn)生許多安全問(wèn)題。

(4)缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度

網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來(lái)保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

2.商務(wù)交易安全

(1)竊取信息。由于未采用加密措施，信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過(guò)多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

(2)篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過(guò)各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。

(3)假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過(guò)的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶通常很難分辨。

(4)惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

三、電子商務(wù)安全技術(shù)

1.加密技術(shù)

(1)對(duì)稱加密/對(duì)稱密鑰加密/專用密鑰加密

該方法對(duì)信息的加密和解密都使用相同的密鑰。使用對(duì)稱加密方法將簡(jiǎn)化加密的處理，每個(gè)貿(mào)易方都不必彼此研究和交換專用的加密算法而是采用相同的加密算法并只交換共享的專用密鑰。如果進(jìn)行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機(jī)密性和報(bào)文完整性就可以通過(guò)對(duì)稱加密方法加密機(jī)密信息和通過(guò)隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來(lái)實(shí)現(xiàn)。

(2)非對(duì)稱加密/公開密鑰加密

這種加密體系中，密鑰被分解為一對(duì)。這對(duì)密鑰中的任何一把都可作為公開密鑰通過(guò)非保密方式向他人公開，而另一把則作為專用密鑰加以保存。公開密鑰用于對(duì)機(jī)密性的加密，專用密鑰則用于對(duì)加密信息的解密。專用密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握，公開密鑰可廣泛，但它只對(duì)應(yīng)于生成該密鑰的貿(mào)易方。

(3)數(shù)字摘要

該方法亦稱安全Hash編碼法或MD5。采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，即數(shù)字指紋，它有固定的長(zhǎng)度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了。

(4)數(shù)字簽名

信息是由簽名者發(fā)送的;信息在傳輸過(guò)程中未曾作過(guò)任何修改。這樣數(shù)字簽名就可用來(lái)防止電子信息因易被修改而有人作偽；或冒用別人名義發(fā)送信息；或發(fā)出（收到）信件后又加以否認(rèn)等情況發(fā)生。

(5)數(shù)字時(shí)間戳

它是一個(gè)經(jīng)加密后形成的憑證文檔，包括三個(gè)部分：需加時(shí)間戳的文件的摘要;DTS收到文件的日期和時(shí)間;DTS的數(shù)字簽名。

(6)數(shù)字憑證

數(shù)字憑證又稱為數(shù)字證書，是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)的權(quán)限。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字憑證，并用它來(lái)進(jìn)行交易操作，那么雙方都可不必為對(duì)方身份的真?zhèn)螕?dān)心。它包含：憑證擁有者的姓名; 憑證擁有者的公共密鑰;公共密鑰的有效期;頒發(fā)數(shù)字憑證的單位;數(shù)字憑證的序列號(hào);頒發(fā)數(shù)字憑證單位的數(shù)字簽名。

數(shù)字憑證有三種類型：個(gè)人憑證，企業(yè)（服務(wù)器）憑證， 軟件（開發(fā)者）憑證。

2.Internet電子郵件的安全協(xié)議

(1)PEM：是增強(qiáng)Internet電子郵件隱秘性的標(biāo)準(zhǔn)草案，它在Internet電子郵件的標(biāo)準(zhǔn)格式上增加了加密、鑒別和密鑰管理的功能，允許使用公開密鑰和專用密鑰的加密方式，并能夠支持多種加密工具。對(duì)于每個(gè)電子郵件報(bào)文可以在報(bào)文頭中規(guī)定特定的加密算法、數(shù)字鑒別算法、散列功能等安全措施。

(2)S/MIME：是在RFC1521所描述的多功能Internet電子郵件擴(kuò)充報(bào)文基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一種協(xié)議，目的是在MIME上定義安全服務(wù)措施的實(shí)施方式。

(3)PEM-MIME：是將PEM和MIME兩者的特性進(jìn)行了結(jié)合。

3.Internet主要的安全協(xié)議

(1)SSL:是向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。該協(xié)議通過(guò)在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來(lái)實(shí)現(xiàn)有關(guān)安全特性的審查。在SSL握手信息中采用了DES、MD5等加密技術(shù)來(lái)實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性，并采用X.509的數(shù)字證書實(shí)現(xiàn)鑒別。

(2)S-HTTP：是對(duì)HTTP擴(kuò)充安全特性、增加了報(bào)文的安全性，它是基于SSL技術(shù)的。該協(xié)議向WWW的應(yīng)用提供完整性、鑒別、不可抵賴性及機(jī)密性等安全措施。

(3)STT： STT將認(rèn)證和解密在瀏覽器中分離開，用以提高安全控制能力。

(4)SET：主要文件是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET 1.0版己經(jīng)公布并可應(yīng)用于任何銀行支付服務(wù)。它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認(rèn)證、數(shù)據(jù)簽名等。

SET規(guī)范明確的主要目標(biāo)是保障付款安全，確定應(yīng)用之互通性，并使全球市場(chǎng)接受。

4.UN/EDIFACT的安全

UN/EDIFACT報(bào)文是唯一的國(guó)際通用的EDI標(biāo)準(zhǔn)。利用Internet進(jìn)行EDI己成為人們?nèi)找骊P(guān)注的領(lǐng)域，保證EDI的安全成為主要解決的問(wèn)題。

5.虛擬專用網(wǎng)（VPN）

它可以在兩個(gè)系統(tǒng)之間建立安全的信道（或隧道），用于電子數(shù)據(jù)交換。它與信用卡交易和客戶發(fā)送訂單交易不同，因?yàn)樵赩PN中，雙方的數(shù)據(jù)通信量要大得多，而且通信的雙方彼此都很熟悉。這意味著可以使用復(fù)雜的專用加密和認(rèn)證技術(shù)，只要通信的雙方默認(rèn)即可，沒有必要為所有的VPN進(jìn)行統(tǒng)一的加密和認(rèn)證。

6.數(shù)字認(rèn)證

用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性（如一張發(fā)票未被修改過(guò)），甚至數(shù)據(jù)媒體的有效性（如錄音、照片等）。目前，數(shù)字認(rèn)證一般都通過(guò)單向Hash函數(shù)來(lái)實(shí)現(xiàn)，它可以驗(yàn)證交易雙方數(shù)據(jù)的完整性，

7.認(rèn)證中心（CA）

CA的基本功能是：

生成和保管符合安全認(rèn)證協(xié)議要求的公共和私有密鑰、數(shù)字證書及其數(shù)字簽名。

對(duì)數(shù)字證書和數(shù)字簽名進(jìn)行驗(yàn)證。

對(duì)數(shù)字證書進(jìn)行管理，重點(diǎn)是證書的撤消管理，同時(shí)追求實(shí)施自動(dòng)管理。

建立應(yīng)用接口，特別是支付接口。CA是否具有支付接口是能否支持電子商務(wù)的關(guān)鍵。

8.防火墻技術(shù)

防火墻具有以下五大基本功能:(1)過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;(3)封堵某些禁止行為;(4)記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);(5)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

目前的防火墻主要有兩種類型。其一是包過(guò)濾型防火墻，其二是應(yīng)用級(jí)防火墻。

9.入侵檢測(cè)

入侵檢測(cè)技術(shù)是防火墻技術(shù)的合理補(bǔ)充，其主要內(nèi)容有：入侵手段與技術(shù)、分布式入侵檢測(cè)技術(shù)、智能入侵檢測(cè)技術(shù)以及集成安全防御方案等。

四、電子商務(wù)網(wǎng)站安全體系與安全措施

一個(gè)全方位的計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問(wèn)控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測(cè)技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線，極大地增加了惡意攻擊的難度，并增加了審核信息的數(shù)量，利用這些審核信息可以跟蹤入侵者。

1.采取特殊措施以保證電子商務(wù)之可靠性、可用性及安全性

使用容錯(cuò)計(jì)算機(jī)系統(tǒng)或創(chuàng)造高可用性的計(jì)算機(jī)環(huán)境，以確保信息系統(tǒng)保持可用及不間斷動(dòng)作。災(zāi)害復(fù)原計(jì)劃提供一套程序與設(shè)備來(lái)重建被中斷的計(jì)算與通信服務(wù)。當(dāng)組織利用企業(yè)內(nèi)部網(wǎng)或因特網(wǎng)時(shí)，防火墻和入侵偵測(cè)系統(tǒng)協(xié)助防衛(wèi)專用網(wǎng)絡(luò)避免未授權(quán)者的存取。加密是一種廣泛使用的技術(shù)來(lái)確保因特網(wǎng)上傳輸?shù)陌踩?。?shù)字證書可確認(rèn)使用者的身份，提供了電子交易更進(jìn)一步的保護(hù)。

2.實(shí)施網(wǎng)絡(luò)安全防范措施

首先要加強(qiáng)主機(jī)本身的安全，做好安全配置，及時(shí)安裝安全補(bǔ)丁程序，減少漏洞；

其次要用各種系統(tǒng)漏洞檢測(cè)軟件定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的安全隱患，并及時(shí)加以修補(bǔ)；從路由器到用戶各級(jí)建立完善的訪問(wèn)控制措施，安裝防火墻，加強(qiáng)授權(quán)管理和認(rèn)證;利用RAID5等數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；對(duì)在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行強(qiáng)度的數(shù)據(jù)加密；安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施；建立詳細(xì)的安全審計(jì)日志，以便檢測(cè)并跟蹤入侵攻擊等。

3.電子商務(wù)交易中的安全措施

在早期的電子交易中，曾采用過(guò)安全措施有：部分告知；另行確認(rèn)；在線服務(wù)等。這些方法均有一定的局限性，且操作麻煩，不能實(shí)現(xiàn)真正的安全可靠性。近年來(lái)，針對(duì)電子交易安全的要求，IT業(yè)界與金融行業(yè)一起，推出不少有效的安全交易標(biāo)準(zhǔn)和技術(shù)，正如上述所列的九種技術(shù)。

另外，還可以選擇一些加密產(chǎn)品和系統(tǒng)。如：PGP for Group Wise、File Lock Series、Point`n Crypt World、PrivaSuite、Crypt?？梢詫?shí)現(xiàn)加密、簽名和認(rèn)證。訪問(wèn)控制類產(chǎn)品。如：SunScreen、WebST安全平臺(tái)、HP Preaesidium 授權(quán)服務(wù)器、NetKey網(wǎng)絡(luò)安全認(rèn)證系統(tǒng)、Cisco NetRanger等。這些產(chǎn)品的功能可以提供對(duì)口令字的管理和控制功能；防止入侵者對(duì)口令字的探測(cè)；監(jiān)測(cè)用戶對(duì)某一分區(qū)或域的存??；提供系統(tǒng)主體對(duì)客體訪問(wèn)權(quán)限的控制。

篇11

一、引言

電子商務(wù)的發(fā)展前景十分誘人，而其安全問(wèn)題也變得越來(lái)越突出，如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，已經(jīng)成為商家和用戶都十分關(guān)心的話題。

二、電子商務(wù)存在的安全問(wèn)題

1.計(jì)算機(jī)網(wǎng)絡(luò)安全

(1)潛在的安全隱患。未進(jìn)行操作系統(tǒng)相關(guān)安全配置。不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會(huì)存在一些安全問(wèn)題，只有專門針對(duì)操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置，才能達(dá)到一定的安全程度。

(2)未進(jìn)行CGI程序代碼審計(jì)。網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序，很多存在嚴(yán)重的CGI問(wèn)題，對(duì)于電子商務(wù)站點(diǎn)來(lái)說(shuō)，會(huì)出現(xiàn)惡意攻擊者冒用他人賬號(hào)進(jìn)行網(wǎng)上購(gòu)物等嚴(yán)重后果。

(3)安全產(chǎn)品使用不當(dāng)。由于一些網(wǎng)絡(luò)安全設(shè)備本身的問(wèn)題或使用問(wèn)題，這些產(chǎn)品并沒有起到應(yīng)有的作用。很多廠商的產(chǎn)品對(duì)配置人員的技術(shù)背景要求很高，超出對(duì)普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但系統(tǒng)改動(dòng)，在改動(dòng)相關(guān)安全產(chǎn)品的設(shè)置時(shí)，很容易產(chǎn)生許多安全問(wèn)題。

(4)缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度

網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來(lái)保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

2.商務(wù)交易安全

(1)竊取信息。由于未采用加密措施，信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過(guò)多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

(2)篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過(guò)各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。

(3)假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過(guò)的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶通常很難分辨。

(4)惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

三、電子商務(wù)安全技術(shù)

1.加密技術(shù)

(1)對(duì)稱加密/對(duì)稱密鑰加密/專用密鑰加密

該方法對(duì)信息的加密和解密都使用相同的密鑰。使用對(duì)稱加密方法將簡(jiǎn)化加密的處理，每個(gè)貿(mào)易方都不必彼此研究和交換專用的加密算法而是采用相同的加密算法并只交換共享的專用密鑰。如果進(jìn)行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機(jī)密性和報(bào)文完整性就可以通過(guò)對(duì)稱加密方法加密機(jī)密信息和通過(guò)隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來(lái)實(shí)現(xiàn)。

(2)非對(duì)稱加密/公開密鑰加密

這種加密體系中，密鑰被分解為一對(duì)。這對(duì)密鑰中的任何一把都可作為公開密鑰通過(guò)非保密方式向他人公開，而另一把則作為專用密鑰加以保存。公開密鑰用于對(duì)機(jī)密性的加密，專用密鑰則用于對(duì)加密信息的解密。專用密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握，公開密鑰可廣泛，但它只對(duì)應(yīng)于生成該密鑰的貿(mào)易方。

(3)數(shù)字摘要

該方法亦稱安全Hash編碼法或MD5。采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，即數(shù)字指紋，它有固定的長(zhǎng)度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了。

(4)數(shù)字簽名

信息是由簽名者發(fā)送的;信息在傳輸過(guò)程中未曾作過(guò)任何修改。這樣數(shù)字簽名就可用來(lái)防止電子信息因易被修改而有人作偽；或冒用別人名義發(fā)送信息；或發(fā)出（收到）信件后又加以否認(rèn)等情況發(fā)生。

(5)數(shù)字時(shí)間戳

它是一個(gè)經(jīng)加密后形成的憑證文檔，包括三個(gè)部分：需加時(shí)間戳的文件的摘要;DTS收到文件的日期和時(shí)間;DTS的數(shù)字簽名。

(6)數(shù)字憑證

數(shù)字憑證又稱為數(shù)字證書，是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)的權(quán)限。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字憑證，并用它來(lái)進(jìn)行交易操作，那么雙方都可不必為對(duì)方身份的真?zhèn)螕?dān)心。它包含：憑證擁有者的姓名; 憑證擁有者的公共密鑰;公共密鑰的有效期;頒發(fā)數(shù)字憑證的單位;數(shù)字憑證的序列號(hào);頒發(fā)數(shù)字憑證單位的數(shù)字簽名。

數(shù)字憑證有三種類型：個(gè)人憑證，企業(yè)（服務(wù)器）憑證， 軟件（開發(fā)者）憑證。

2.Internet電子郵件的安全協(xié)議

(1)PEM：是增強(qiáng)Internet電子郵件隱秘性的標(biāo)準(zhǔn)草案，它在Internet電子郵件的標(biāo)準(zhǔn)格式上增加了加密、鑒別和密鑰管理的功能，允許使用公開密鑰和專用密鑰的加密方式，并能夠支持多種加密工具。對(duì)于每個(gè)電子郵件報(bào)文可以在報(bào)文頭中規(guī)定特定的加密算法、數(shù)字鑒別算法、散列功能等安全措施。

(2)S/MIME：是在RFC1521所描述的多功能Internet電子郵件擴(kuò)充報(bào)文基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一種協(xié)議，目的是在MIME上定義安全服務(wù)措施的實(shí)施方式。

(3)PEM-MIME：是將PEM和MIME兩者的特性進(jìn)行了結(jié)合。

3.Internet主要的安全協(xié)議

(1)SSL:是向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。該協(xié)議通過(guò)在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來(lái)實(shí)現(xiàn)有關(guān)安全特性的審查。在SSL握手信息中采用了DES、MD5等加密技術(shù)來(lái)實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性，并采用X.509的數(shù)字證書實(shí)現(xiàn)鑒別。

(2)S-HTTP：是對(duì)HTTP擴(kuò)充安全特性、增加了報(bào)文的安全性，它是基于SSL技術(shù)的。該協(xié)議向WWW的應(yīng)用提供完整性、鑒別、不可抵賴性及機(jī)密性等安全措施。

(3)STT： STT將認(rèn)證和解密在瀏覽器中分離開，用以提高安全控制能力。

(4)SET：主要文件是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET 1.0版己經(jīng)公布并可應(yīng)用于任何銀行支付服務(wù)。它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認(rèn)證、數(shù)據(jù)簽名等。

SET規(guī)范明確的主要目標(biāo)是保障付款安全，確定應(yīng)用之互通性，并使全球市場(chǎng)接受。

4.UN/EDIFACT的安全

UN/EDIFACT報(bào)文是唯一的國(guó)際通用的EDI標(biāo)準(zhǔn)。利用Internet進(jìn)行EDI己成為人們?nèi)找骊P(guān)注的領(lǐng)域，保證EDI的安全成為主要解決的問(wèn)題。

5.虛擬專用網(wǎng)（VPN）

它可以在兩個(gè)系統(tǒng)之間建立安全的信道（或隧道），用于電子數(shù)據(jù)交換。它與信用卡交易和客戶發(fā)送訂單交易不同，因?yàn)樵赩PN中，雙方的數(shù)據(jù)通信量要大得多，而且通信的雙方彼此都很熟悉。這意味著可以使用復(fù)雜的專用加密和認(rèn)證技術(shù)，只要通信的雙方默認(rèn)即可，沒有必要為所有的VPN進(jìn)行統(tǒng)一的加密和認(rèn)證。

6.數(shù)字認(rèn)證

用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性（如一張發(fā)票未被修改過(guò)），甚至數(shù)據(jù)媒體的有效性（如錄音、照片等）。目前，數(shù)字認(rèn)證一般都通過(guò)單向Hash函數(shù)來(lái)實(shí)現(xiàn)，它可以驗(yàn)證交易雙方數(shù)據(jù)的完整性，

7.認(rèn)證中心（CA）

CA的基本功能是：

生成和保管符合安全認(rèn)證協(xié)議要求的公共和私有密鑰、數(shù)字證書及其數(shù)字簽名。

對(duì)數(shù)字證書和數(shù)字簽名進(jìn)行驗(yàn)證。

對(duì)數(shù)字證書進(jìn)行管理，重點(diǎn)是證書的撤消管理，同時(shí)追求實(shí)施自動(dòng)管理。

建立應(yīng)用接口，特別是支付接口。CA是否具有支付接口是能否支持電子商務(wù)的關(guān)鍵。

8.防火墻技術(shù)

防火墻具有以下五大基本功能:(1)過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;(3)封堵某些禁止行為;(4)記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);(5)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

目前的防火墻主要有兩種類型。其一是包過(guò)濾型防火墻，其二是應(yīng)用級(jí)防火墻。

9.入侵檢測(cè)

入侵檢測(cè)技術(shù)是防火墻技術(shù)的合理補(bǔ)充，其主要內(nèi)容有：入侵手段與技術(shù)、分布式入侵檢測(cè)技術(shù)、智能入侵檢測(cè)技術(shù)以及集成安全防御方案等。

四、電子商務(wù)網(wǎng)站安全體系與安全措施

一個(gè)全方位的計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問(wèn)控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測(cè)技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線，極大地增加了惡意攻擊的難度，并增加了審核信息的數(shù)量，利用這些審核信息可以跟蹤入侵者。

1.采取特殊措施以保證電子商務(wù)之可靠性、可用性及安全性

使用容錯(cuò)計(jì)算機(jī)系統(tǒng)或創(chuàng)造高可用性的計(jì)算機(jī)環(huán)境，以確保信息系統(tǒng)保持可用及不間斷動(dòng)作。災(zāi)害復(fù)原計(jì)劃提供一套程序與設(shè)備來(lái)重建被中斷的計(jì)算與通信服務(wù)。當(dāng)組織利用企業(yè)內(nèi)部網(wǎng)或因特網(wǎng)時(shí)，防火墻和入侵偵測(cè)系統(tǒng)協(xié)助防衛(wèi)專用網(wǎng)絡(luò)避免未授權(quán)者的存取。加密是一種廣泛使用的技術(shù)來(lái)確保因特網(wǎng)上傳輸?shù)陌踩?。?shù)字證書可確認(rèn)使用者的身份，提供了電子交易更進(jìn)一步的保護(hù)。

2.實(shí)施網(wǎng)絡(luò)安全防范措施

首先要加強(qiáng)主機(jī)本身的安全，做好安全配置，及時(shí)安裝安全補(bǔ)丁程序，減少漏洞；

其次要用各種系統(tǒng)漏洞檢測(cè)軟件定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的安全隱患，并及時(shí)加以修補(bǔ)；從路由器到用戶各級(jí)建立完善的訪問(wèn)控制措施，安裝防火墻，加強(qiáng)授權(quán)管理和認(rèn)證;利用RAID5等數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；對(duì)在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行強(qiáng)度的數(shù)據(jù)加密；安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施；建立詳細(xì)的安全審計(jì)日志，以便檢測(cè)并跟蹤入侵攻擊等。

3.電子商務(wù)交易中的安全措施

在早期的電子交易中，曾采用過(guò)安全措施有：部分告知；另行確認(rèn)；在線服務(wù)等。這些方法均有一定的局限性，且操作麻煩，不能實(shí)現(xiàn)真正的安全可靠性。近年來(lái)，針對(duì)電子交易安全的要求，IT業(yè)界與金融行業(yè)一起，推出不少有效的安全交易標(biāo)準(zhǔn)和技術(shù)，正如上述所列的九種技術(shù)。