引論：我們?yōu)槟砹?3篇商務安全論文范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

篇1

電子商務可以增加銷售額并降低成本的優(yōu)勢，使得政府與企業(yè)都十分重視并推動電子商務的建設和發(fā)展。電子商務發(fā)展到今天,主要問題在于時空的分離導致了安全問題的出現(xiàn),信息的安全性是當前發(fā)展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務系統(tǒng)開發(fā)的先進技術(shù)和經(jīng)驗,開發(fā)出符合企業(yè)特殊的電子商務系統(tǒng),已經(jīng)成為目前發(fā)展電子商務的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2電子商務的主要安全要素

目前電子商務工程正在全國迅速發(fā)展。實現(xiàn)電子商務的關(guān)鍵是要保證商務活動過程中系統(tǒng)的安全性，即應保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看，傳統(tǒng)的買賣雙方是面對面的，因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務過程中，買賣雙方是通過網(wǎng)絡來聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當困難。時空的分離導致了安全問題的出現(xiàn)，電子商務交易雙方（銷售者和消費者）都面臨安全威脅，電子商務的安全要素主要體現(xiàn)在以下幾個方面：

2.1信息真實性、有效性

電子商務以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿(mào)易的一種形式，其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。

2.2信息機密性

電子商務作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的，商業(yè)防泄密是電子商務全面推廣應用的重要保障。

3.3信息完整性

電子商務簡化了貿(mào)易過程，減少了人為的干預，同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。因此，電子商務系統(tǒng)應充分保證數(shù)據(jù)傳輸、存儲及電子商務完整性檢查的正確和可靠。

3.4信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^；不可否認要求即是能建立有效的責任機制，防止實體否認其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。

在無紙化的電子商務方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在1nternet上每個人都是匿名的，電子商務系統(tǒng)應充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3電子商務安全系統(tǒng)

網(wǎng)絡安全是電子商務的基礎。為了保證電子商務交易能順利進行，要求電子商務平臺要穩(wěn)定可靠，能不中斷地提供服務。任何系統(tǒng)的中斷，如硬件、軟件錯誤，網(wǎng)絡故障、病毒等都可能導致電子商務系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經(jīng)濟損失。

所以就整個電子商務安全系統(tǒng)而言，安全性可以劃分為四個層次，

1)網(wǎng)絡節(jié)點的安全

2)通訊的安全性

3)應用程序的安全性

4)用戶的認證管理

其中2、3、4是通過操作系統(tǒng)和Web服務器軟件實現(xiàn)，而網(wǎng)絡節(jié)點的安全性依靠防火墻保證，我們應該首先保證網(wǎng)絡節(jié)點的安全性。

3.1網(wǎng)絡節(jié)點的安全

防火墻是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊，為電子商務的施展提供個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統(tǒng)。應給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源，這種安全策略應包括：規(guī)定的網(wǎng)絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及管理制度等。所有有可能受到網(wǎng)絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設。

3.2通訊的安全

在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度，也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制，SSL首先要求服務器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機構(gòu)（CA中心）簽發(fā)。瀏覽器要驗征服務器證書的正確性，必須事先安裝簽發(fā)機構(gòu)提供的基礎公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法（RSA）與服務器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑摹４藭r瀏覽器也會出進入安全狀態(tài)的提示。

3.3應用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計算機系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行，而不是只有有限的指令子集在特權(quán)模式下運行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹＠纾彌_溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。

3.4用戶的認證管理

1)身份認證

電子商務企業(yè)用戶身份認證可以通過服務器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認證服務器的身份，IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認機制。

2)CA證書

要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性，需要一份數(shù)字證書進行驗證，這份數(shù)字證書就是CA證書，它由認證授權(quán)中心（CA中心）發(fā)行。認證中心（CA）就是承擔網(wǎng)上安全交易認證服務，能簽發(fā)數(shù)字證書，并能確認用戶身份的服務機構(gòu)。認證中心通常是企業(yè)性的服務機構(gòu)，主要任務是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認的可靠組織，它對個人、組織進行審核后，為其發(fā)放數(shù)字證書，證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書（下載可以在訪問之前或訪問時進行）。

3)安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術(shù)。

SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證，數(shù)字證書是從認證機構(gòu)（CA，CertificateAuthority）獲得的，通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后，雙方就可以用保密密鑰進行安全的會話了。

SSL協(xié)議在應用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應用協(xié)議（如Http、Ftp、Telnet等）以保證應用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個階段組成：服務器認證和用戶認證。

①服務器認證

客戶端向服務器發(fā)送一個“Hello”信息，以便開始一個新的會話連接；服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務器響應信息，產(chǎn)生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進行加密來認證服務器，從而建立安全的通信通道。

②用戶認證

經(jīng)認證的服務器發(fā)送一個提問給客戶，客戶則返回數(shù)字簽名后的提問和其公開密鑰，從而向服務器提供認證。SSL協(xié)議支持各種加密算法，實現(xiàn)簡單，獨立于應用層協(xié)議，且被大部分瀏覽器和Web服務器內(nèi)置，便于在電子交易中應用。但SSL是一個面向連接的協(xié)議，起初并不是為了支持電子商務而設計的，只能提供交易中客戶與服務器間的雙方認證，在涉及多方的電子交易中，SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此，開發(fā)出了在網(wǎng)絡應用層中專為電子商務而設計的SET協(xié)議。

4安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴格的內(nèi)部安全機制。對于所有接觸系統(tǒng)的人員，按其職責設定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則，嚴格管理內(nèi)部用戶帳號和密碼，進入系統(tǒng)內(nèi)部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶帳號和密碼。

建立網(wǎng)絡安全維護日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志，以便及時發(fā)現(xiàn)潛在的安全威脅。

對于重要數(shù)據(jù)要及時進行備份，且對數(shù)據(jù)庫中存放的數(shù)據(jù)，數(shù)據(jù)庫系統(tǒng)應視其重要性提供不同級別的數(shù)據(jù)加密。

5結(jié)束語

安全實際上就是一種風險管理。任何技術(shù)手段都不能保證1OO％的安全。但是，安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統(tǒng)的風險要控制在什么程度范圍內(nèi)。電子商務的安全運行必須從多方面入手，僅在技術(shù)角度防范是遠遠不夠的。安全只是相對的，而不是絕對的。因此，為進一步促進電子商務體系的完善和行業(yè)的健康快速發(fā)展，必須在實際運用中解決電子商務中出現(xiàn)的各類問題，使電子商務系統(tǒng)相對更安全。

參考文獻:

[1]吳洋.電子商務安全方法研究[D].天津大學,2006.

[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005,(06)

篇2

1.1校園電子商務的概念。

校園電子商務是電子商務在校園這個特定環(huán)境下的具體應用，它是指在校園范圍內(nèi)利用校園網(wǎng)絡基礎、計算機硬件、軟件和安全通信手段構(gòu)建的滿足于校本論文由整理提供園內(nèi)單位、企業(yè)和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統(tǒng)。

1.2校園電子商務的特點。

相對于一般電子商務，校園電子商務具有客戶群本論文由整理提供穩(wěn)定、網(wǎng)絡環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務性大于盈利性等特點，這些特點也是校園開展電子商務的優(yōu)勢所在。與傳統(tǒng)校園商務活動相比，校園電子商務的特點有：交易不受時間空間限制、快捷方便、交易成本較低。

2校園電子商務的安全問題

2.1校園電子商務安全的內(nèi)容。

校園電子商務安全內(nèi)容從整體上可分為兩大部分：校園網(wǎng)絡安全和校園支付交易安全。校園網(wǎng)絡安全內(nèi)容主要包括：計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務活動在校園網(wǎng)應用時所產(chǎn)生的各種安全問題，如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務等。

2.2校園電子商務安全威脅。

校園電子商務安全威脅同樣來自網(wǎng)絡安全威脅與交易安全威脅。然而，網(wǎng)絡安全與交易安全并不是孤立的，而是密不可分且相輔相成的，網(wǎng)絡安全是基礎，是交易安全的保障。校園網(wǎng)也是一個開放性的網(wǎng)絡，它也面臨許許多多的安全威脅，比如：身份竊取、非本論文由整理提供授權(quán)訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務、交易否認、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動的安全性受到嚴重的威脅，網(wǎng)上交易面臨的威脅可以歸納為：信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使信息的機密性遭到破壞；篡改信息是非法用戶對交易信息插入、刪除或修改，破壞信息的完整性；假冒是非法用戶冒充合法交易者以偽造交易信息；交易抵賴是交易雙方一方或否認交易行為，交易抵賴也是校園電子商務安全面臨的主要威脅之一。

2.3校園電子商務安全的基本安全需求。

通過對校園電子商務安全威脅的分析，可以本論文由整理提供看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統(tǒng)的整體規(guī)劃可以提高其安全需求。

3校園電子商務安全解決方案

3.1校園電子商務安全體系結(jié)構(gòu)。

校園電子商務安全是一個復雜的系統(tǒng)工程，因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務的安全需求，通過對校園人文環(huán)境、網(wǎng)絡環(huán)境、應用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃，再結(jié)合的電子商務的安全技術(shù)，總結(jié)校園電子商務安全體系本論文由整理提供結(jié)構(gòu)，如圖所示：

上述安全體系結(jié)構(gòu)中，人文環(huán)境層包括現(xiàn)有的電子商務法律法規(guī)以及校園電子商務特有的校園信息文化，它們綜合構(gòu)成了校園電子商務建設的大環(huán)境；基礎設施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認證中心；邏輯實體層包括校園一卡通、支付網(wǎng)關(guān)、認證服務器和本論文由整理提供交易服務器；安全機制層包括加密技術(shù)、認證技術(shù)以及安全協(xié)議等電子商務安全機制；應用系統(tǒng)層即校園電子商務平臺，包括網(wǎng)上交易、支付和配送服務等。

針對上述安全體系結(jié)構(gòu)，具體的方案有：

（1）營造良好校園人文環(huán)境。加強大學生本論文由整理提供的道德教育，培養(yǎng)校園電子商務參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念，共

同營造良好的校園電子商務人文環(huán)境，防止人為惡意攻擊和破壞。

（2）建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程，校園電子商務系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián)，由學校結(jié)算中心專門處理與金融機構(gòu)的業(yè)務，可以大大提高校園網(wǎng)上支付的安全性。

（3）建立統(tǒng)一身份認證系統(tǒng)。建立校園統(tǒng)一身份認證系統(tǒng)可以為校園電子商務系統(tǒng)提供安全認證的功能。

（4）組織物流配送團隊。校園師生居住地點相對集中，一般來說就在學校內(nèi)部或校園附近，只需要很少的人員就可以解決物流配送問題，而本論文由整理提供不需要委托第三方物流公司，在校園內(nèi)建立一個物流配送團隊就可以準確及時的完成配送服務。

3.2校園網(wǎng)絡安全對策。

保障校園網(wǎng)絡安全的主要措施有：

（1）防火墻技術(shù)。利用防火墻技術(shù)來實現(xiàn)校園局域網(wǎng)的安全性，以解決訪問控制問題，使只有授權(quán)的校園合法用戶才能對校園網(wǎng)的資源進行訪問本論文由整理提供，防止來自外部互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡的破壞。

（2）病毒防治技術(shù)。在任何網(wǎng)絡環(huán)境下，計算機病毒都具有不可估量的威脅性和破壞力，校園網(wǎng)雖然是局域網(wǎng)，可是免不了計算機病毒的威脅，因此，加強病毒防治是保障校園網(wǎng)絡安全的重要環(huán)節(jié)。

（3）VPN技術(shù)。目前，我國高校大都已經(jīng)建立了校園一卡通工程，如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的本論文由整理提供安全傳輸。有效保證了網(wǎng)絡的安全性和穩(wěn)定性且易于維護和改進。

3.3交易信息安全對策。

針對校園電子商務中交易信息安全問題，可以用電子商務的安全機制來解決，例如數(shù)據(jù)加密技術(shù)、認證技術(shù)和安全協(xié)議技術(shù)等。通過數(shù)據(jù)加密，可以保證信息的機密性；通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解本論文由整理提供決信息的完整性和不可否認性的問題；通過安全協(xié)議方法，建立安全信息傳輸通道來保證電子商務交易過程和數(shù)據(jù)的安全。

（1）數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務中最基本的信息安全防范措施，其原理是利用一定的加密算法來保證數(shù)據(jù)的機密，主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎的技術(shù)，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，而解密密鑰不公開。

（2）認證技術(shù)。認證技術(shù)是保證電子商務交易安全的一項重要技術(shù)，它是網(wǎng)上交易支付的前提，負責對交易各方的身份進行確認。在校園電子商務本論文由整理提供中，網(wǎng)上交易認證可以通過校園統(tǒng)一身份認證系統(tǒng)（例如校園一卡通系統(tǒng)）來進行對交易各方的身份認證。

（3）安全協(xié)議技術(shù)。目前，電子商務發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務的需求分析，校園電子商務更適合采用SSL協(xié)議。SSL位于傳輸層與應用層之間，能夠更好地封裝應用層數(shù)據(jù)，不用改變位于應用層的應用程序，對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道，保證傳輸數(shù)據(jù)的安全。

3.4基于一卡通的校園電子商務。

目前，我國高校校園網(wǎng)建設和校園一卡通工程建設逐步完善，使用校園一卡通進行校園電子商務的網(wǎng)上支付可以增強校園電子商務的支付安全，可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風險等。同時，使用校園一卡通作為校園電子支付載體的安全保障有：

（1）校園網(wǎng)是一個內(nèi)部網(wǎng)絡，它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵，由于有防火墻及反病毒軟件等安全防范設施，來自外部網(wǎng)絡人員的破壞可能性很小。同時，校園一卡通中心有著良好的安全機制，使得使用校園一卡通在校內(nèi)進行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微。超級秘書網(wǎng)

（2）校園一卡通具有統(tǒng)一身份認證系統(tǒng)，能夠?qū)⑴c交易的各方進行身份認證，各方的交易活動受到統(tǒng)一的審計和監(jiān)控，統(tǒng)一身份認證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡管理中對不同角色的用戶享有不同級別的授權(quán)，使其網(wǎng)上活動受到其身份的限制，有效防止一些惡意事情的發(fā)生。同時，由于校內(nèi)人員身份單一，多為學生，交易中一旦發(fā)生糾紛，身份容易確認，糾紛就容易解決。

4結(jié)束語

篇3

電子商務的前提是信息的安全性保障，信息安全，勝的含義主要是信息的完整性、可用性、保密險和可靠性。因此電子商務活動中的信安全問題主要體現(xiàn)在以兩個方面:

1、網(wǎng)絡信息安全方面

(l)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標準和規(guī)范，相對制約了國際性的商務活動。此外，在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

(3)防病毒問題。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介，不少新病毒直接以網(wǎng)絡作為自己的傳播途徑，在電子商務領域如何有效防范病毒也是一個十分緊迫的問題。

(4)服務器的安全問題。裝有大量與電子商務有關(guān)的軟件和商戶信息的系統(tǒng)服務器是電子商務的核心，所以服務器特別容易受到安全的威脅，并且一旦出現(xiàn)安全問題，造成的后果會非常嚴重。

2、電子商務交易方面

(1)身份的不確定問題。由于電子商務的實現(xiàn)需要借助于虛擬的網(wǎng)絡平臺，在這個平臺上交易雙方是不需要見面的，因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易。

(2)交易的抵賴問題。電子商務的交易應該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進行惡意的否認，以推卸自己應承擔的責任。

(3)交易的修改問題。交易文件是不可修改的，否則必然會影響到另一方的商業(yè)利益。電子商務中的交易文件同樣也不能修改，以保證商務交易的嚴肅和公正。

二、電子商務中的網(wǎng)絡信息安全對策

1、電子商務網(wǎng)絡安全的技術(shù)對策

(1)應用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者身份的認證，應用數(shù)字簽名可在電子商務中安全，方便地實現(xiàn)在線支付，而數(shù)據(jù)傳輸?shù)陌踩浴⑼暾裕矸蒡炞C機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決。(2)配置防火墻。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡，防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡內(nèi)外的信息交流，提供接人控制和審查跟蹤，是一種訪問控制機制。在邏輯，防火墻是一個分離器、限制器，能有效監(jiān)控內(nèi)部網(wǎng)和工nternet之間的任何活動，保證內(nèi)部網(wǎng)絡的安全。

(3)應用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和公用密鑰體制兩。相應地，對數(shù)據(jù)加密的技術(shù)分為對稱加密和非討稱力日密兩類。根據(jù)電子商務系統(tǒng)的特點，全面加密保護應包括對遠程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實施加密保護。一般來說，應根據(jù)管理級別所對應的數(shù)據(jù)保密要求進行部分加密而非全程加密。

2、電子商務網(wǎng)絡安全的管理策略

(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運行狀況保密、工作日記保密等各個方面。對各類保密都需要慎重考慮，根據(jù)輕重程度劃分好不同的保密級別，并制定出相應的保密措施。

(2)建立系統(tǒng)維護制度。該制度是電子商務網(wǎng)絡系統(tǒng)能否保持長期安全、穩(wěn)定運行的基本保證，應由專職網(wǎng)絡管理技術(shù)人員承擔，為安全起見，其他任何人不得介人，主要做好硬件系統(tǒng)日常借理維護和軟件系統(tǒng)日常管理維護兩方面的工作。

(3)建立病毒防范制度。病毒在網(wǎng)絡環(huán)境下具有極大的傳染性和危害性，除了安裝防病毒軟件之外，還要及時升級防病毒軟件版本、及時通報病毒人侵信息等工作。此外，還可將網(wǎng)絡系統(tǒng)中易感染病毒的文件屬性、權(quán)限加以限制，斷絕病毒人侵的渠道，從而達預防的目的。

(4)建立數(shù)據(jù)備份和恢復的保障制度。作為一個成功的電子商務系統(tǒng)，應針對信息安全至少提供三個層面的安全保護措施:一是數(shù)據(jù)在操作系統(tǒng)內(nèi)部或者盤陣中實現(xiàn)快照、鏡像;二是對數(shù)據(jù)庫及郵件服務器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動備份;三是對重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份，通過以土保護措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險。

三、電子商務的網(wǎng)絡安全體系結(jié)構(gòu)

電子商務的網(wǎng)絡信息安全不僅與技術(shù)有關(guān)，更與社會因素、法制環(huán)境等多方面因素有關(guān)。故應對電子商務的網(wǎng)絡安全體系結(jié)構(gòu)劃分如下:

1.電子商務系統(tǒng)硬件安全。主要是指保護電子商務系統(tǒng)所涉及計算機硬件的安全性，保證其可靠哇和為系統(tǒng)提供基礎性作用的安全機制。

2.電子商務系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改、破壞與非法復制，系統(tǒng)軟件安全的目標是使系統(tǒng)中信息的處理和傳輸滿足整個系統(tǒng)安全策略需求。

3.電子商務系統(tǒng)運行安全。主要指滿足系統(tǒng)能夠可靠、穩(wěn)定、持續(xù)和正常的運行。

篇4

那么，第三方支付具體指的是什么呢？所謂第三方支付，是指為了保障電子商務的支付安全，支付通過買賣雙方之間完全中立的一家企業(yè)來完成。用E-mail來進行網(wǎng)上支付；打個電話報上信用卡號就能預訂機票；用手機上網(wǎng)交水費電費游戲費……在中國人還沒有完全適應從紙制貨幣進化到“塑膠貨幣”（信用卡）的今天，網(wǎng)絡銀行、手機錢包等第三方支付工具已經(jīng)迫不及待地登場了。

近日，有媒體報道，有網(wǎng)民利用三方支付工具從信用卡套現(xiàn)。就此，該文進而對第三方支付的安全性問題提出質(zhì)疑，認為電子支付有可能被金融犯罪分子所利用，充當其洗錢的工具。且不管該文提到的套現(xiàn)現(xiàn)象是否屬于依然在可控范圍內(nèi)的小概率事件，也不提所謂的套現(xiàn)行為是否緣于第三方支付的安全漏洞，單就所謂洗錢的擔心而論，可以說，該文是嚴重低估了央行以及各商業(yè)銀行的風險控制能力，也大大低估了各大第三方支付公司的風險把控能力。

實際情況是，早在1996年4月1日，中國人民銀行就頒布并實施了《信用卡業(yè)務管理辦法》，其中明確規(guī)定，持卡人不允許利用信用卡套取現(xiàn)金以及惡意透支。對于信用卡套現(xiàn)這個問題，不光招商銀行等商業(yè)銀行關(guān)注有加，第三方支付公司支付寶、貝寶等亦是小心翼翼，如履薄冰，先后出臺了多項嚴格的風險控制系統(tǒng)，協(xié)助銀行解決問題。

在如何對待信用卡套現(xiàn)的問題上，國內(nèi)領先的第三方支付平臺如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。

例如，PAYPAL(貝寶)在防止盜號、提供密碼加密以及減少信用卡套現(xiàn)等方面，已經(jīng)配合銀行做了大量工作;快錢除了從技術(shù)手段上防范盜卡之外，還在安全方面加設了用戶的認證系統(tǒng)等六道功能，試圖將安全隱患壓低到最小程度。

作為國內(nèi)最大的第三方支付平臺，支付寶的做法就更為完備。早在2006年7月，支付寶就推出“支付寶認證”服務，對所有使用支付寶的賣家進行雙重身份認證，即身份證認證和銀行卡認證。除了與公安部全國公民身份證號碼查詢服務中心合作校驗身份證的真?zhèn)危Ц秾氝€與各大商業(yè)銀行進行合作，利用銀行賬戶實名制信息來校驗用戶填寫的姓名和銀行賬戶號碼是否準確，摒棄了某些購物網(wǎng)站僅憑一個手機號碼或者身份證號碼進行簡單認證的模式。支付寶公司還在國內(nèi)率先推出了“全額賠付”制度和交易安全基金，網(wǎng)絡欺詐發(fā)生率僅為萬分之二。

為了保證支付寶的安全性，支付寶技術(shù)團隊還自發(fā)研制了數(shù)字證書，其安全性能得到各銀行認同。相對于目前國內(nèi)所有第三方認證公司采用的認證形式，支付寶的數(shù)字證書從技術(shù)上擺脫了普通6位密碼驗證，改以1024位加密的數(shù)字簽名技術(shù)，因而更為安全。而數(shù)字密碼的惟一性，也更有助于客戶身份的識別。

央行的《電子支付指引》規(guī)定，銀行通過互聯(lián)網(wǎng)為個人客戶辦理電子支付業(yè)務，除采用數(shù)字證書、電子簽名等安全認證方式外，單筆金額不應超過1000元人民幣，每日累計金額不應超過5000元人民幣，并規(guī)定信用卡的網(wǎng)上支付不得超過提現(xiàn)額度。國內(nèi)目前沒有一家銀行和任何一家網(wǎng)上支付公司允許網(wǎng)上“單日支付額度由信用卡額度決定”。在這方面，支付寶也早已主動和和很多發(fā)卡銀行聯(lián)手，針對套現(xiàn)現(xiàn)象做了信用卡網(wǎng)上支付單筆限額的規(guī)定，例如，招商銀行的信用卡支付限制的是單筆最高限額499元。為了保證支付寶的安全性，支付寶還有CTU風險控制系統(tǒng)來隨時掃描和監(jiān)控交易的進行，防范可能存在的盜卡及套現(xiàn)行為。

實際上，從2006年5月開始，支付寶就已委托中國工商銀行對支付寶公司開立在各家銀行的客戶交易保證金賬戶的余額進行核查，工行并定期出具《支付寶客戶交易保證金托管報告》。這是中國銀行界第一次為第三方支付平臺做資金托管的審核報告，也是當前唯一銀行愿意托管的第三方支付平臺。2006年12月8日，從工行對11月1日～11月30日期間所有發(fā)生的支付寶公司的客戶提現(xiàn)及余額支付進行的抽查情況看，支付寶存放在各家銀行的客戶交易保證金余額總和等于支付寶客戶存放在貴公司的資金余額與待處理款、未達款余額之和，報告期間內(nèi)未發(fā)現(xiàn)支付寶客戶交易保證金被挪用情況。

篇5

1.2對分銷商的影響

對航空業(yè)來講，分銷是指航空公司如何把機票分配給消費者。在網(wǎng)絡沒有盛行的年代，旅行社是重要的購買機票的渠道。而現(xiàn)在購買機票方式的變化是顯而易見的。許多航空公司設立了官方網(wǎng)站來吸引消費者購票。Law和Leung（2000）認為網(wǎng)絡能夠在不通過旅行社和電腦預訂系統(tǒng)（ComputerReservationSystems，CRS）直接與消費者溝通，從而降低了機票的分銷費用。EasyJet航空公司就是通過各種方式來降低不必要成本的典型，比如通過網(wǎng)絡售票。2001年9月75%的人上網(wǎng)買票，這可以看作是一種脫媒方式。隨著網(wǎng)絡的普及，幾乎所有的航空公司都建立自己的網(wǎng)站，同時網(wǎng)絡訂機票的中介也應運而生，這就意味著航空公司之間的競爭越發(fā)激烈，尤其對那些以價格為導向的消費者來說，他們更傾向于價格更便宜的機票。以2012年4月22日從倫敦到巴塞羅那的機票為例，大英航空的最低票價為196英鎊，而Easyjet的票價只有62.99英鎊，可見Easyjet在降低成本上所做的努力。可以看出，網(wǎng)絡在降低了航空業(yè)分銷渠道成本的同時，也加大了行業(yè)內(nèi)部之間的競爭。

1.3對客戶關(guān)系的影響

如上所述，航空業(yè)屬于服務業(yè)范疇，因而公司與消費者的關(guān)系是至關(guān)重要的。Chaffey(2002)認為客戶關(guān)系主要有兩個部分，即客戶獲取（customeracquisition）和客戶維系(customerretention)，其中獲取一個客戶要比維系一個客戶成本更高。因而公司希望與已獲得的客戶保持長期而良好的關(guān)系，而網(wǎng)絡讓維持這種關(guān)系變得更加容易。荷蘭皇家航空公司（KLM）的網(wǎng)絡客戶關(guān)系管理團隊（CRMteam）會根據(jù)客戶在網(wǎng)上訂票后所留下的cookies（小型文本本件）來判定客戶的消費習慣，從而為客戶提供更加個性化的信息，比如給他們發(fā)送專門為他們定制的郵件。他們也為常旅客（frequentflyers）提供專屬的服務，并稱之為常旅客計劃會員（frequentflyerprogrammem-bership）。其次，對消費者來說，網(wǎng)絡的產(chǎn)生讓消費者能夠隨時隨地查詢相關(guān)信息，比如網(wǎng)上值機系統(tǒng)（onlinecheck-insystem）能夠節(jié)省消費者的時間同時也能降低公司人力成本。航空公司通過電子商務（網(wǎng)絡，手機等）可以更好與消費者維持良好的關(guān)系。廉價航空公司EasyJet通過使用RightNow公司的客戶關(guān)系管理軟件使該公司運行成本降低了75萬英鎊。

2電子商務在未來發(fā)展中的隱患

2.1網(wǎng)絡安全問題

對消費者來說網(wǎng)絡安全是他們進行網(wǎng)上購物的顧慮之一，這種顧慮不僅僅存在于航空業(yè)之中，其中就包括網(wǎng)上轉(zhuǎn)賬安全。2011年美國社交網(wǎng)絡臉書（Facebook）的大規(guī)模用戶信息泄露事件讓網(wǎng)絡安全問題處在了風口浪尖上。網(wǎng)絡詐騙及其他網(wǎng)絡問題的出現(xiàn)讓消費者們對網(wǎng)上轉(zhuǎn)賬產(chǎn)生了疑慮。據(jù)統(tǒng)計，僅2008年美國航空業(yè)損失費用達到14億美元，占了當年世界航空業(yè)總產(chǎn)值的百分之1.3。Cunningham等（2004）認為“對于基于網(wǎng)絡和傳統(tǒng)的航空預訂服務來說，對風險的感知是系統(tǒng)的模式”這就意味著盡管航空公司不斷強調(diào)他們采用多么現(xiàn)實的網(wǎng)絡安全技術(shù)，消費者始終會對網(wǎng)上支付有一定的顧慮。其次，消費者也擔心在網(wǎng)上注冊賬號會導致更多的個人信息被泄露。美國廉價航空公司捷藍（JetBlue）航空在顧客信息保護上面下了很大功夫，公司信息技術(shù)副總裁ToddThompson認為“網(wǎng)絡能夠提升他們?yōu)轭櫩吞峁﹥?yōu)質(zhì)服務的能力，但不幸的是，電子通信總是會被轉(zhuǎn)發(fā)、打印或復制，因此完全的保密是幾乎不可能完成的”。捷藍航空計劃為WindowsServerTM2003和微軟辦公系統(tǒng)使用微軟公司的權(quán)限管理服務MicrosoftRWindowsRRightsManagementSer-vices(RMS)，這種信息保護技術(shù)是建立在文件級別上了，內(nèi)部信息的交流會降低信息被他人誤讀，從而提高了消費者信息的安全性。但根據(jù)Krishnamurthy(P.5)的研究，通過旅行網(wǎng)站所泄露的個人信息占據(jù)所有網(wǎng)站之首，旅行網(wǎng)站的直接泄露指數(shù)（directleakageindex）為9，而像購物網(wǎng)站和新聞網(wǎng)站分別只有3和5。由此可以看出，航空業(yè)在未來發(fā)展電子商務方面還存在著潛在的風險。而且提高升級網(wǎng)絡系統(tǒng)容易，但是改變?nèi)藗儗W(wǎng)絡隱患的擔憂卻不是那么容易。

2.2硬件問題

Phaladsingh(2006)認為“個人電腦的普及率”是影響電子商務發(fā)展的阻礙之一，這就意味著不管網(wǎng)絡技術(shù)有多發(fā)達，如果人們買不起電腦和其他數(shù)碼設備，電子商務就很難發(fā)揮其作用。對于航空業(yè)來說同樣是如此，網(wǎng)上值機、網(wǎng)上購票等服務只有在有電腦設備的時候才會體現(xiàn)出其優(yōu)越性。顯而易見，發(fā)達國家更容易接觸到電子產(chǎn)品也更容易享受到電子產(chǎn)品帶來的便捷體驗。2004年在美國每1000人中有763個人擁有電腦，而在一些欠發(fā)達國家每1000人中平均只有1到2個人擁有電腦，非洲國家尼日爾每1000人中只有0.1716人使用電腦，這個數(shù)量在增加，但不可否認的是在發(fā)展中國家尤其是一些欠發(fā)達國家電子商務并不能產(chǎn)生很好的效果。

篇6

對稱密鑰加密，又稱私鑰加密，即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進行加密，但密鑰管理困難。

使用對稱加密技術(shù)將簡化加密的處理，每個參與方都不必彼此研究和交換專用設備的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過使用對稱加密方法對機密信息進行加密以及通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。

2．非對稱密鑰加密體制

非對稱密鑰加密系統(tǒng)，又稱公鑰密鑰加密。它需要使用一對密鑰來分別完成加密和解密操作，一個公開，即公開密鑰，另一個由用戶自己秘密保存，即私用密鑰。信息發(fā)送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。

在非對稱加密體系中，密鑰被分解為一對。這對密鑰中的任何一把都可作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把則作為私用密鑰（解密密鑰）加以保存。私用密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛。

該方案實現(xiàn)信息交換的過程是：貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開；得到該公開密鑰的貿(mào)易方乙使用該密鑰對信息進行加密后再發(fā)送給貿(mào)易方甲；貿(mào)易方甲再用自己保存的另一把專用密鑰對加密信息進行解密。

認證技術(shù)

安全認證的主要作用是進行信息認證。信息認證的目的為：（1）確認信息發(fā)送者的身份；2）驗證信息的完整性，即確認信息在傳送或存儲過程中未被篡改過。下面從安全認證技術(shù)和安全認證機構(gòu)兩個方面來做介紹。

1．常用的安全認證技

安全認證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書等。

（1）數(shù)字摘要

數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼，并在傳輸信息時將之加入文件一同送給接收方，接收方收到文件后，用相同的方法進行變換運算，若得到的結(jié)果與發(fā)送來的摘要碼相同，則可斷定文件未被篡改，反之亦然。

（2）數(shù)字信封

數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中，信息發(fā)送方采用對稱密鑰來加密信息，然后將此對稱密鑰用接收方的公開密鑰來加密（這部分稱為數(shù)字信封）之后，將它和信息一起發(fā)送給接收方，接收方先用相應的私有密鑰打開數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰解開信息。這種技術(shù)的安全性相當高。

（3）數(shù)字簽名

日常生活中，通常用對某一文檔進行簽名來保證文檔的真實有效性，防止其抵賴。在網(wǎng)絡環(huán)境中，可以用電子數(shù)字簽名作為模擬。

把Hash函數(shù)和公鑰算法結(jié)合起來，可以在提供數(shù)據(jù)完整性的同時保證數(shù)據(jù)的真實性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改，而真實性則保證是由確定的合法者產(chǎn)生的Hash，而不是由其他人假冒。而把這兩種機制結(jié)合起來就可以產(chǎn)生數(shù)字簽名。

（4）數(shù)字時間戳

在書面合同中，文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。而在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務就能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳服務（DTS）是網(wǎng)絡安全服務項目，由專門的機構(gòu)提供。時間戳是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數(shù)字簽名。

（5）數(shù)字證書

在交易支付過程中，參與各方必須利用認證中心簽發(fā)的數(shù)字證書來證明各自的身份。所謂數(shù)字證書，就是用電子手段來證實一個用戶的身份及用戶對網(wǎng)絡資源的訪問權(quán)限。

數(shù)字證書是用來惟一確認安全電子商務交易雙方身份的工具。由于它由證書管理中心做了數(shù)字簽名，因此任何第三方都無法修改證書的內(nèi)容。任何信用卡持有人只有申請到相應的數(shù)字證書，才能參加安全電子商務的網(wǎng)上交易。數(shù)字證書一般有四種類型：客戶證書、商家證書、網(wǎng)關(guān)證書及CA系統(tǒng)證書。

2．安全認證機構(gòu)

電子商務授權(quán)機構(gòu)（CA）也稱為電子商務認證中心（CertificateAuthority）。在電子交易中，無論是數(shù)字時間戳服務還是數(shù)字證書的發(fā)放，都不是靠交易雙方自己能完成的，而需要有一個具有權(quán)威性和公正性的第三方來完成。

認證中心（CA）就是承擔網(wǎng)上安全交易認證服務，能簽發(fā)數(shù)字證書，并能確認用戶身份的服務機構(gòu)。認證中心通常是企業(yè)性的服務機構(gòu)，主要任務是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。

安全認證協(xié)議

目前電子商務中有兩種安全認證協(xié)議被廣泛使用，即安全套接層SSL（SecureSocketsLayer）協(xié)議和安全電子交易SET（SecureElectronicTransaction）協(xié)議。

1．安全套接層（SSL）協(xié)議

安全套接層協(xié)議是由Netscape公司1994年設計開發(fā)的安全協(xié)議，主要用于提高應用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的概念可以被概括為：它是一個保證任何安裝了安全套接層的客戶和服務器間事務安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。目的是為用戶提供Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務。

SSL采用了公開密鑰和專有密鑰兩種加密：在建立連接過程中采用公開密鑰；在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務器間事務的安全性。

篇7

當今世界是數(shù)字化的信息社會，高新技術(shù)尤其是電子信息技術(shù)對各行各業(yè)的影響從未像現(xiàn)在這樣明顯。電子商務就是在這個信息時代背景下產(chǎn)生并迅速發(fā)展起來，它已逐漸成為人們進行商務活動的新模式。近幾年，我國的電子商務也蓬勃發(fā)展，像阿里巴巴、E-BAY、淘寶網(wǎng)等已取得相當?shù)某晒Γo人們的生活觀念與方式帶來了巨大的改變。但同時由于我國電子商務起步晚、發(fā)展快，以致配套的技術(shù)及管理等方面跟不上，致使安全成為其發(fā)展過程中的阻礙因素。

二、我國電子商務發(fā)展面臨的安全問題分析

在我國電子商務面臨的安全問題主要由三個方面造成，即技術(shù)落后、信用缺失及法律法制體系不完善。

（一）技術(shù)落后。對電子商務的安全而言，其首先要解決的就是安全技術(shù)問題，即我國現(xiàn)有的網(wǎng)絡安全技術(shù)落后，難以建立一個安全可信賴的電子商務環(huán)境。一般來說，電子商務所面臨的安全威脅主要表現(xiàn)在以下方面：

1、信息篡改。電子的交易信息在網(wǎng)絡上傳輸?shù)倪^程中，可能被他人非法修改、刪除、插入或重放，從而使信息失去了真實性和完整性。

2、信息破壞。信息破壞既包括網(wǎng)絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤，也包括一些惡意程序的破壞而導致電子商務信息遭到破壞。由于攻擊者可以接入網(wǎng)絡，就可能對網(wǎng)絡中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入兩方的網(wǎng)絡內(nèi)部，其后果是非常嚴重的。

3、身份識別。（1）假冒他人身份。假冒他人身份有以下幾種方式：第一，假冒交易一方的身份，破壞交易，敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等；第二，冒充主機欺騙合法主機及合法用戶；第三，冒充網(wǎng)絡控制程序，套取或修改使用權(quán)限、通行字、密鑰等信息；第四，接管合法用戶，欺騙系統(tǒng)，占用合法用戶的資源。（2）不承認已經(jīng)做過的交易。交易的一方可不為自己的行為負責任，進行否認，相互欺詐。具體包括以下幾種情況：第一，發(fā)信者事后否認曾經(jīng)發(fā)送過某信息或內(nèi)容；第二，收信者事后否認曾經(jīng)收到過某信息或內(nèi)容；第三，購貨者下了訂貨單不承認；第四，商家賣出的商品因價格差而不承認原有的交易。

4、信息泄密。信息泄密主要包括兩個方面，即交易雙方進行交易的內(nèi)容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。攻擊者可能通過互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線或在電磁波輻射范圍內(nèi)安裝截獲裝置等方式，截獲傳輸?shù)臋C密信息，或者是通過對信息流量和流向、通信頻度和長度等參數(shù)的分析，獲取有用信息，如消費者的銀行卡號、密碼，銷售者的（二）信用缺失。信用缺失的現(xiàn)象在當今的商務貿(mào)易中已成為一個日益嚴重的問題。基于網(wǎng)絡的電子商務，連接的是相隔時間與空間距離的買賣雙方，信用問題則顯得更為突出。很多買方在付款之前會由于看不到實體物品，而擔心其質(zhì)量問題或商品是否真正符合自己的要求；在付款之后，還會擔心賣方是否能真正遵守承諾交付貨品。同樣，賣方也對買方能否按期付款存在疑慮。在信用問題帶來的顧慮重重之下，電子商務很難為大眾所普遍接受。我國已加入WTO，會進行更多的跨國貿(mào)易，信用問題不僅關(guān)系到國內(nèi)電子商務貿(mào)易能否正常有序進行，也關(guān)系到我國與國外的網(wǎng)上貿(mào)易能否順利進行。

（三）法律法制體系不完善。當電子商務日益深入我們的生活之時，越來越迫切地感覺到缺少一套專門的完善的法律法規(guī)來解決這些問題。電子商務最大的特征是它存在于虛擬世界，極易產(chǎn)生如網(wǎng)上交易糾紛的仲裁、電子合同和網(wǎng)上契約的效力、納稅、隱私或產(chǎn)權(quán)的保護等問題，加之國際化的電子商務又涉及到各國的政治制度、社會狀況、經(jīng)濟水平、現(xiàn)行法律法規(guī)及文化社會傳統(tǒng)等問題，所以對它進行立法是非常復雜的。

目前，我國規(guī)范電子商務的相關(guān)法律法規(guī)極為有限。在法律層次上，只有1997年修訂的《刑法》中增加了關(guān)于計算機犯罪的條文，1999年通過的《合同法》對電子合同的書面形式、生效時間地點等做了規(guī)定，但有關(guān)電子合同的描述是粗線條的，缺乏細化措施和可操作性，遠遠不能滿足電子商務發(fā)展的需要。因此，法律問題是為實現(xiàn)電子商務安全必須解決的又一個重要問題。

三、解決中國電子商務發(fā)展面臨的安全問題的有效方法

（一）技術(shù)問題的解決方法。對于技術(shù)問題，國內(nèi)國外都已有較為常用有效的解決方法。概括地來說，有以下兩個方面：一是確定安全控制的范圍；二是建立電子商務安全體系。

1、安全控制的范圍。電子商務安全的控制應涉及以下六個方面：第一，信息的保密性。EC作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。它是建立在一個較為開放的網(wǎng)絡環(huán)境上的（尤其Internet是更為開放的網(wǎng)絡），維護商業(yè)機密是EC全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取；第二，數(shù)據(jù)的完整性。EC簡化了貿(mào)易過程，減少了人為的干預，同時也帶來維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是EC應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復，并保證信息傳送次序的統(tǒng)一；第三，非偽裝性。在電子商務環(huán)境中，網(wǎng)上交易的雙方可能素昧平生、遠隔千里。要使交易成功，首先要能方便可靠地確認對方的身份，這是雙方交易的前提。非偽裝性也能大大加強交易雙方的信任程度，可以促進交易廣泛地進行；第四，不可否認性。商情千變?nèi)f化，交易一旦達成是不能被否認的，否則必然會損害一方的利益。因此，電子交易通信過程的各個環(huán)節(jié)都必須是不可否認的，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識；第五，不可修改性。電子交易的文件要做到不可修改，以保證交易的嚴肅和公正。同時，電子交易的文件也可以作為法律承認的一種證據(jù)，為交易雙方出現(xiàn)的糾紛提供解決依據(jù)；第六，審查能力。根據(jù)機密性和完整性的要求，應對數(shù)據(jù)審查的結(jié)果進行記錄，以備交易雙方產(chǎn)生糾紛時交由第三方處理。客戶資料等。2、建立電子商務安全體系。為實現(xiàn)電子商務的安全，現(xiàn)在較為通用的是建立包括以下三個層次的電子商務安全體系：第一，建立密碼機制。密碼機制即基本加密算法，包括對稱密鑰加密、非對稱密鑰加密等，密碼機制的建立可以保證交易數(shù)據(jù)與交易人個人信息不受惡意的侵犯；第二，完善基本安全技術(shù)。基本安全技術(shù)包括以密鑰機制為基礎的CA體系以及數(shù)字信封、數(shù)字簽名、數(shù)字時間戳、防火墻等。基本安全技術(shù)的不斷完善為電子商務的發(fā)展提供一個良好的技術(shù)平臺，使其發(fā)展過程中的技術(shù)障礙得以消除；第三，建立安全應用協(xié)議。安全應用協(xié)議以密碼機制、基本安全技術(shù)、CA體系為基礎。如，Internet電子郵件的安全協(xié)議（PEM，S/MIME，PEM-MIME（MOSS））、網(wǎng)絡安全交易協(xié)議（SSL，S-HTTP，STT，iKP，SEPP，SET）。

（二）信用問題的解決方法。美國是世界上消費信貸最成熟的國家之一，有一整套完善的個人信用制度，我國可以借鑒其做法，建立一個適合中國國情的信用制度。第一，我國可以成立一個專門的征信機構(gòu)——信用局，由政府管理，如銀行一般具有社會公信力；第二，建立一個準確公正的個人信用檔案。信用檔案的信息應包括工商、稅務、公安、司法、銀行、證券、保險、經(jīng)貿(mào)等多個方面。另外，信用檔案應實現(xiàn)全面動態(tài)的管理，以實現(xiàn)對每個人全面有效的信用監(jiān)督；第三，設計一個科學透明的信用分模型。最好由國家出面招標開發(fā)信用分模型，設計一個科學透明的信用分模型，產(chǎn)權(quán)歸國家所有，無償提供給社會使用；第四，完善個人信用的外部環(huán)境。具體可以從下面兩個方面著手：一方面國家的組織和協(xié)調(diào)。建立個人信用制度是一項非常龐大的系統(tǒng)工程，需要政府各有關(guān)部門、中央銀行、商業(yè)銀行、個人信用中介公司等機構(gòu)密切合作、協(xié)調(diào)配合。由國家應出臺有關(guān)個人信用制度的政策，落實相關(guān)的配套措施，明確各部門所負的職責；另一方面是法律的保障。個人信用檔案收集的個人信用資料屬于個人隱私，國家應當對個人信用數(shù)據(jù)的收集、個人信用分的評定、個人信用數(shù)據(jù)的使用和披露做出明確規(guī)定，對于各種違規(guī)以及破壞公民隱私的行為規(guī)定制裁措施。

篇8

第三方的電子交易平臺在網(wǎng)絡上對于信息進行儲存、記錄、處理、和傳遞，以此來協(xié)助一次網(wǎng)絡消費行為的完成。一般情況下，這些信息都具有真實性和保密性，屬于大眾的隱私。但是，現(xiàn)在的網(wǎng)絡環(huán)境比較惡劣，有很多網(wǎng)絡陷阱以及刻意挖掘用戶信息的“黑客”，從而導致基本信息出現(xiàn)失真、泄露和刪除的危機，不利于正常電子商務交易的完成。對于電子商務信息大致上可以分為以下幾類：第一，信息的真實性；第二，信息的實時性；第三，信息的安全性。首先，是信息的真實性。電子商務上的基本信息是賣家和買家進行認識對方和分辨商品真實性可靠性的唯一途徑，應該絕對真實。一旦出現(xiàn)虛假信息，則屬于欺騙消費者，是危害消費者權(quán)益的不法行為。其次，是信息的實時性。信息的實時性主要是指信息的保質(zhì)期。因為很多信息只在一段時間內(nèi)有效，具有時效性，一旦錯過這段關(guān)鍵時期，那么該信息則失去自身的價值，變得一文不值。最后，就是信息的安全性，這也是消費者最為關(guān)心的問題。電子商務出現(xiàn)的安全性問題主要表現(xiàn)為客戶的信息被刪除、篡改從而失真，同時也表現(xiàn)為用戶的信息被竊取從而達成其他目的，使得用戶的隱私被侵犯，正常的生活受到打擾。

二、電子商務的信息安全技術(shù)的內(nèi)容

篇9

2.信息機密性

電子商務作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的，商業(yè)防泄密是電子商務全面推廣應用的重要保障。

3.信息完整性

電子商務簡化了貿(mào)易過程，減少了人為的干預，同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導致貿(mào)易各信息的差異。因此，電子商務系統(tǒng)應充分保證數(shù)據(jù)傳輸、存儲及電子商務完整性檢查的正確和可靠。

4.信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^；不可抵賴性要求即是能建立有效的責任機制，防止實體否認其行為；可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式。

5.系統(tǒng)的可靠性

電子商務系統(tǒng)是計算機系統(tǒng)，其可靠性是防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。

二、電子商務的信息安全技術(shù)

1.數(shù)據(jù)加密技術(shù)

加密技術(shù)用于網(wǎng)絡安全通常有二種形式，即面向網(wǎng)絡或面向應用服務。面向網(wǎng)絡的加密技術(shù)通常工作在網(wǎng)絡層或傳輸層，使用經(jīng)過加密的數(shù)據(jù)包傳送、認證網(wǎng)絡路由及其他網(wǎng)絡協(xié)議所需的信息，從而保證網(wǎng)絡的連通性和可用性不受損害。面向網(wǎng)絡應用服務的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法，這一類加密技術(shù)的優(yōu)點在于實現(xiàn)相對較為簡單，不需要對電子信息（數(shù)據(jù)包）所經(jīng)過的網(wǎng)絡的安全性能提出特殊要求，對電子郵件數(shù)據(jù)實現(xiàn)了端到端的安全保障。

1）電子商務領域常用的加密技術(shù)數(shù)字摘要(digitaldigest)

這一加密方法亦稱安全Hash編碼法，由RonRivest所設計。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(FingerPrint)，它有固定的長度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是“真身”的“指紋”了。

數(shù)字簽名(digitalsignature)

數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來使用。主要方式是報文的發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)，用自己的私有密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值，接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密，如果兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的，通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別。概括的說，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。

數(shù)字時間戳(digitaltime-stamp)交

易文件中，時間是十分重要的信息。在電子交易中，需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(DTS)就能提供電子文件發(fā)表時間的安全保護。時間戳(time-stamp)是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要(digest)；DTS收到文件的日期和時間；DTS的數(shù)字簽名。

數(shù)字證書(digitalcertificate,digitalID)數(shù)字證書又稱為數(shù)字憑證，是用電子手段來證實一個用戶的身份和對網(wǎng)絡資源的訪問的權(quán)限。目前，最有效的認證方式是由權(quán)威的認證機構(gòu)為參與電子商務的各方發(fā)放證書，證書作為網(wǎng)上交易參與各方的身份識別，就好象每個公民都用身份證來證明身份一樣。認證中心作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任，是一個負責發(fā)放和管理數(shù)定證書的權(quán)威機構(gòu)。因而網(wǎng)絡中所有用戶可以將自己的公鑰交給這個中心，并提供自己的身份證明信息，證明自己是相應公鑰的擁有者，認證中心審查用戶提供的信息后，如果確認用戶是合法的，就給用戶一個數(shù)字證書。這樣，每個成員只需和認證中心打交道，就可以查到其他成員的公鑰信息了。對于在網(wǎng)上進行交易的雙方來說，數(shù)字證書對他們之間建立信任是至關(guān)重要的。數(shù)字憑證有三種類型：個人憑證、企業(yè)（服務器）憑證、軟件（開發(fā)者）憑證；大部分認證中心提供前兩類憑證。

2.身份認證技術(shù)

為解決Internet的安全問題，初步形成了一套完整的Internet安全解決方案，即被廣泛采用的公鑰基礎設施（PKI）體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰，通過第三方的可信機構(gòu)CA，把用戶的公鑰和用戶的其他標識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網(wǎng)上驗證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的機密性、完整性。

1）認證系統(tǒng)的基本原理

利用RSA公開密鑰算法在密鑰自動管理、數(shù)字簽名、身份識別等方面的特性，可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統(tǒng)。這個可信的第三方認證系統(tǒng)也稱為CA，CA為用戶發(fā)放電子證書，用戶之間利用證書來保證信息安全性和雙方身份的合法性。

2）認證系統(tǒng)結(jié)構(gòu)

整個系統(tǒng)是一個大的網(wǎng)絡環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA和WebPublisher。

核心系統(tǒng)跟CA放在一個單獨的封閉空間中，為了保證運行的絕對安全，其人員及制度都有嚴格的規(guī)定，并且系統(tǒng)設計為一離線網(wǎng)絡。CA的功能是在收到來自RA的證書請求時，頒發(fā)證書。

證書的登記機構(gòu)RegisterAuthority，簡稱RA，分散在各個網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機結(jié)合，接受客戶申請，并審批申請，把證書正式請求通過建設銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。

證書的公布系統(tǒng)WebPublisher，簡稱WP，置于Internet網(wǎng)上，是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數(shù)據(jù)庫。用戶的證書由CA頒發(fā)之后，CA用E－mail通知用戶，然后用戶須用瀏覽器從這里下載證書。

3.網(wǎng)上支付平臺及支付網(wǎng)關(guān)

網(wǎng)上支付平臺分為CTEC支付體系（基于CTCA/GDCS）和SET支付體系（基于CTCA/SET）。網(wǎng)上支付平臺支付型電子商務業(yè)務提供各種支付手段，包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。

支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡之間，其主要功能為：將公網(wǎng)傳來的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部的傳回來的響應消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對其進行加密。此外，支付網(wǎng)關(guān)還具有密鑰保護和證書管理等其它功能。

三、電子商務信息安全中的其它問題

1.內(nèi)部安全

最近的調(diào)查表明，至少有75%的信息安全問題來自內(nèi)部，在信用卡和商業(yè)詐騙中，內(nèi)部人員所占的比例最大；

2.惡意代碼

它們將繼續(xù)對所有的網(wǎng)絡系統(tǒng)構(gòu)成威脅，并且，其數(shù)量將隨著Internet的發(fā)展和編程環(huán)境的豐富而增多，擴散起來也更加便利，因此，造成的破壞也就越大；

3.可靠性差

目前，Internet主干網(wǎng)和DNS服務器的可靠性還遠遠不能滿足人們的要求，而絕大

部分撥號PPP連接質(zhì)量并不可靠，且速度很慢；

4.技術(shù)人才短缺

由于Internet和網(wǎng)絡購物都是在近幾年得到了迅猛的發(fā)展，因而，許多地方都缺乏足夠的技術(shù)人才來處理其中遇到的各種問題，尤其是網(wǎng)絡購物具有24x7（每天24小時，每周7天都能工作）的要求，因而迫切需要有一大批專業(yè)技術(shù)人員對其進行管理。如果說加密技術(shù)是電子交易安全的“硬件”，那么人才問題則可以說是“軟件”。從某種意義上講，軟件的問題解決起來可能更不容易，因此，技術(shù)人才的短缺可能成為阻礙網(wǎng)絡購物發(fā)展的一個重要因素。

5.Web服務器的保護意識差

在交易過程中對數(shù)據(jù)進行保護只是保證交易安全的一個方面。由于交易的信息均存儲在服務器上，因此，即使保密信息被客戶端接收之后，也必須對存儲在服務器中的數(shù)據(jù)進行保護。目前，Web服務器是黑客們最喜歡攻擊的目標。因此，建議盡量不要將Web服務和連接到任何內(nèi)部網(wǎng)絡，而且要定期對數(shù)據(jù)進行備份，以便于服務器被攻擊之后對數(shù)據(jù)進行恢復。當然，這畢竟有些不太現(xiàn)實，現(xiàn)在許多流行的Web應用都需要Web服務器與公司的數(shù)據(jù)庫進行交互式操作，這就要求服務器必須與公司內(nèi)部網(wǎng)絡相連，而這個連接也就成為黑客們從Web站點侵入企業(yè)內(nèi)部網(wǎng)絡的一條通路。雖然防火墻技術(shù)有助于對web站點進行保護，但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護，因而沒有對Web服務器進行很好的保護，這是商家的Web站點尤其要引起注意的地方。

四、與電子商務安全有關(guān)的協(xié)議技術(shù)討論

1．SSL協(xié)議（SecureSocketsLayer）安全套接層協(xié)議———面向連接的協(xié)議。

SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用WebServer方式。但它是一個面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務器間的雙方認證，而電子商務往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

2.SET協(xié)議（SecureElectronicTransaction）安全電子交易———專門為電子商務而設計的協(xié)議。由于SET提供了消費者、商家和銀行之間的認證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點，因此它成為了目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務所遇到的全部問題。

結(jié)束語

本文分析了目前電子商務的安全需求，使用的安全技術(shù)及仍存在的問題，并指出了與電子商務安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點，但必須強調(diào)說明的是，電子商務的安全運行，僅從技術(shù)角度防范是遠遠不夠的，還必須完善電子商務立法，以規(guī)范飛速發(fā)展的電子商務現(xiàn)實中存在的各類問題，從而引導和促進我國電子商務快速健康發(fā)展。

［摘要］電子商務對人類社會經(jīng)濟產(chǎn)生了重大影響，在創(chuàng)造巨大經(jīng)濟效益的同時，也從根本上改變了整個社會商務活動發(fā)展進程。我國電子商務在曲折進程中，已有很大程度的發(fā)展,同時也存在諸多問題。本文客觀地分析了電子商務的安全需求、安全技術(shù)發(fā)展現(xiàn)狀及存在的問題，對加快電子商務的發(fā)展步伐提出了一些重要思考。

［關(guān)鍵詞］電子商務；安全需求；安全技術(shù)；

[參考文獻]

①姚立新，新世紀商務:電子商務的知識發(fā)展與運作，中國發(fā)展出版社，1999年。

②《中國電子商務年鑒》2003卷。

篇10

一、網(wǎng)絡隱私權(quán)侵權(quán)現(xiàn)象

1.個人的侵權(quán)行為。個人未經(jīng)授權(quán)在網(wǎng)絡上宣揚、公開、傳播或轉(zhuǎn)讓他人、自己和他人之間的隱私;個人未經(jīng)授權(quán)而進入他人計算機系統(tǒng)收集、獲得信息或騷擾他人;未經(jīng)授權(quán)截取、復制他人正在傳遞的電子信息;未經(jīng)授權(quán)打開他人的電子郵箱或進入私人網(wǎng)上信息領域收集、竊取他人信息資料。

2.商業(yè)組織的侵權(quán)行為。專門從事網(wǎng)上調(diào)查業(yè)務的商業(yè)組織進行窺探業(yè)務,非法獲取他人信息,利用他人隱私。大量網(wǎng)站為廣告商濫發(fā)垃圾郵件。利用收集用戶個人信息資料,建立用戶信息資料庫,并將用戶的個人信息資料轉(zhuǎn)讓、出賣給其他公司以謀利,或是用于其他商業(yè)目的。根據(jù)紐約時報報道,、Toysmart和等網(wǎng)站,都曾將客戶姓名、住址、電子郵件甚至信用卡號碼等統(tǒng)計分析結(jié)果標價出售,以換取更多的資金。

3.部分軟硬件設備供應商的蓄意侵權(quán)行為。某些軟件和硬件生產(chǎn)商在自己銷售的產(chǎn)品中做下手腳,專門從事收集消費者的個人信息的行為。例如,某公司就曾經(jīng)在其生產(chǎn)的某代處理器內(nèi)設置“安全序號”,每個使用該處理器的計算機能在網(wǎng)絡中被識別,生產(chǎn)廠商可以輕易地收到用戶接、發(fā)的信息,并跟蹤計算機用戶活動,大量復制、存儲用戶信息。

4.網(wǎng)絡提供商的侵權(quán)行為

(1)互聯(lián)網(wǎng)服務提供商(ISPInternetServiceProvider)的侵權(quán)行為:①ISP具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私權(quán)。例:ISP把其客戶的郵件轉(zhuǎn)移或關(guān)閉,造成客戶郵件丟失、個人隱私、商業(yè)秘密泄露。②ISP對他人在網(wǎng)站上發(fā)表侵權(quán)信息應承擔責任。

(2)互聯(lián)網(wǎng)內(nèi)容提供商(ICPInternetContentProvider)的侵權(quán)行為。ICP是通過建立網(wǎng)站向廣大用戶提供信息,如果ICP發(fā)現(xiàn)明顯的公開宣揚他人隱私的言論,采取放縱的態(tài)度任其擴散,ICP構(gòu)成侵害用戶隱私權(quán),應當承擔過錯責任。

5.網(wǎng)絡所有者或管理者的監(jiān)視及竊聽。對于局域網(wǎng)內(nèi)的電腦使用者,某些網(wǎng)絡的所有者或管理者會通過網(wǎng)絡中心監(jiān)視使用者的活動,竊聽個人信息,尤其是監(jiān)控使用人的電子郵件,這種行為嚴重地侵犯了用戶的隱私權(quán)。

二、網(wǎng)絡隱私權(quán)問題產(chǎn)生的原因

網(wǎng)絡隱私權(quán)遭受侵犯主要是由于互聯(lián)網(wǎng)固有的結(jié)構(gòu)特性和電子商務發(fā)展導致的利益驅(qū)動這兩個方面的原因。

1.互聯(lián)網(wǎng)的開放性。從網(wǎng)絡本身來看,網(wǎng)絡是一個自由、開放的世界,它使全球連成一個整體,它一方面使得搜集個人隱私極為方便,另一方面也為非法散布隱私提供了一個大平臺。由于互聯(lián)網(wǎng)成員的多樣和位置的分散,其安全性并不好。互聯(lián)網(wǎng)上的信息傳送是通過路由器來傳送的,而用戶是不可能知道是通過哪些路由進行的,這樣,有些人或組織就可以通過對某個關(guān)鍵節(jié)點的掃描跟蹤來竊取用戶信息。也就是說從技術(shù)層面上截取用戶信息的可能性是顯然存在的。

2.網(wǎng)絡小甜餅cookie。某些Web站點會在用戶的硬盤上用文本文件存儲一些信息,這些文件被稱為Cookie,包含的信息與用戶和用戶的愛好有關(guān)。現(xiàn)在的許多網(wǎng)站在每個訪客進入網(wǎng)站時將cookie放入訪客電腦,不僅能知道用戶在網(wǎng)站上買了些什么,還能掌握該用戶在網(wǎng)站上看過哪些內(nèi)容,總共逗留了多長時間等,以便了解網(wǎng)站的流量和頁面瀏覽數(shù)量。另外,網(wǎng)絡廣告商也經(jīng)常用cookie來統(tǒng)計廣告條幅的點擊率和點擊量,從而分析訪客的上網(wǎng)習慣,并由此調(diào)整廣告策略。一些廣告公司還進一步將所收集到的這類信息與用戶在其他許多網(wǎng)站的瀏覽活動聯(lián)系起來。這顯然侵犯了他人的隱私。

3.網(wǎng)絡服務提供商(ISP)在網(wǎng)絡隱私權(quán)保護中的責任。ISP對電子商務中隱私權(quán)保護的責任,包括:在用戶申請或開始使用服務時告知使用因特網(wǎng)可能帶來的對個人權(quán)利的危害;告知用戶可以合法使用的降低風險的技術(shù)方法;采取適當?shù)牟襟E和技術(shù)保護個人的權(quán)利,特別是保證數(shù)據(jù)的統(tǒng)一性和秘密性,以及網(wǎng)絡和基于網(wǎng)絡提供的服務的物理和邏輯上的安全;告知用戶匿名訪問因特網(wǎng)及參加一些活動的權(quán)利;不為促銷目的而使用數(shù)據(jù),除非得到用戶的許可;對適當使用數(shù)據(jù)負有責任,必須向用戶明確個人權(quán)利保護措施;在用戶開始使用服務或訪問ISP站點時告知其所采集、處理、存儲的信息內(nèi)容、方式、目的和使用期限;在網(wǎng)上公布數(shù)據(jù)應謹慎。

目前,網(wǎng)上的許多服務都是免費的,如免費電子郵箱、免費下載軟件、免費登錄為用戶或會員以接收一些信息以及一些免費的咨詢服務等,然而人們發(fā)現(xiàn)在接受這些免費服務時,必經(jīng)的一道程序就是登錄個人的一些資料,如姓名、地址、工作、興趣愛好等,服務提供商會聲稱這是為了方便管理,但是,也存在著服務商將這些信息挪作他用甚至出賣的可能。

三、安全技術(shù)對網(wǎng)絡隱私權(quán)保護

1.電子商務中的信息安全技術(shù)

電子商務的信息安全在很大程度上依賴于安全技術(shù)的完善,這些技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護技術(shù)、軟件保護技術(shù)、病毒檢測及清除技術(shù)、內(nèi)容分類識別和過濾技術(shù)、系統(tǒng)安全監(jiān)測報警技術(shù)等。

(1)防火墻技術(shù)。防火墻(Firewall)是近年來發(fā)展的最重要的安全技術(shù),它的主要功能是加強網(wǎng)絡之間的訪問控制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡(被保護網(wǎng)絡)。

(2)加密技術(shù)。數(shù)據(jù)加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數(shù)據(jù)加密原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。

(3)數(shù)字簽名技術(shù)。數(shù)字簽名(Digital??Signature)技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統(tǒng)中,數(shù)字簽名技術(shù)有著特別重要的地位,在電子商務安全服務中的源鑒別、完整、不可否認服務中都要用到數(shù)字簽名技術(shù)。

(4)數(shù)字時間戳技術(shù)。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內(nèi)容。在簽名時加上一個時間標記,即有數(shù)字時間戳(DigitaTime-stamp)的數(shù)字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。

2.電子商務信息安全協(xié)議

(1)安全套接層協(xié)議(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年設計開發(fā)的,主要用于提高應用程序之間的數(shù)據(jù)的安全系數(shù)。SSL的整個概念可以被總結(jié)為:一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶、服務器應用程序提供了客戶端與服務的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。

(2)安全電子交易公告(SecureElectronicTransactions,SET)。SET是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。SET已成為全球網(wǎng)絡的工業(yè)標準。

(3)安全超文本傳輸協(xié)議(S-HTTP)。依靠密鑰的加密,保證Web站點間的交換信息傳輸?shù)陌踩浴HTTP對HT-TP的安全性進行了擴充,增加了報文的安全性,是基于SSL技術(shù)上發(fā)展的。該協(xié)議向互聯(lián)網(wǎng)的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。

(4)安全交易技術(shù)協(xié)議(STT)。STT將認證與解密在瀏覽器中分離開,以提高安全控制能力。

(5)UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。

3.P2P技術(shù)與網(wǎng)絡信息安全。P2P(Peer-to-Peer,即對等網(wǎng)絡)是近年來廣受IT業(yè)界關(guān)注的一個概念。P2P是一種分布式網(wǎng)絡,最根本的思想,同時它與C/S最顯著的區(qū)別在于網(wǎng)絡中的節(jié)點(peer)既可以獲取其它節(jié)點的資源或服務,同時,又是資源或服務的提供者,即兼具Client和Server的雙重身份。一般P2P網(wǎng)絡中每一個節(jié)點所擁有的權(quán)利和義務都是對等的,包括通訊、服務和資源消費。

(1)隱私安全性

①目前的Internet通用協(xié)議不支持隱藏通信端地址的功能。攻擊者可以監(jiān)控用戶的流量特征,獲得IP地址。甚至可以使用一些跟蹤軟件直接從IP地址追蹤到個人用戶。SSL之類的加密機制能夠防止其他人獲得通信的內(nèi)容,但是這些機制并不能隱藏是誰發(fā)送了這些信息。而在P2P中,系統(tǒng)要求每個匿名用戶同時也是服務器,為其他用戶提供匿名服務。由于信息的傳輸分散在各節(jié)點之間進行而無需經(jīng)過某個集中環(huán)節(jié),用戶的隱私信息被竊聽和泄漏的可能性大大縮小。P2P系統(tǒng)的另一個特點是攻擊者不易找到明確的攻擊目標,在一個大規(guī)模的環(huán)境中,任何一次通信都可能包含許多潛在的用戶。

②目前解決Internet隱私問題主要采用中繼轉(zhuǎn)發(fā)的技術(shù)方法,從而將通信的參與者隱藏在眾多的網(wǎng)絡實體之中。而在P2P中,所有參與者都可以提供中繼轉(zhuǎn)發(fā)的功能,因而大大提高了匿名通訊的靈活性和可靠性,能夠為用戶提供更好的隱私保護。

(2)對等誠信

為使得P2P技術(shù)在更多的電子商務中發(fā)揮作用,必須考慮到網(wǎng)絡節(jié)點之間的信任問題。實際上,對等誠信由于具有靈活性、針對性并且不需要復雜的集中管理,可能是未來各種網(wǎng)絡加強信任管理的必然選擇。

對等誠信的一個關(guān)鍵是量化節(jié)點的信譽度。或者說需要建立一個基于P2P的信譽度模型。信譽度模型通過預測網(wǎng)絡的狀態(tài)來提高分布式系統(tǒng)的可靠性。一個比較成功的信譽度應用例子是在線拍賣系統(tǒng)eBay。在eBay的信譽度模型中,買賣雙方在每次交易以后可以相互提升信譽度,一名用戶的總的信譽度為過去6個月中這些信譽度的總和。eBay依靠一個中心來管理和存儲信譽度。同樣,在一個分布式系統(tǒng)中,對等點也可以在每次交易以后相互提升信譽度,就象在eBay中一樣。例如,對等點i每次從j下載文件時,它的信譽度就提升(+1)或降低(-1)。如果被下載的文件是不可信的,或是被篡改過的,或者下載被中斷等,則對等點i會把本次交易的信譽度記為負值(-1)。就象在eBay中一樣,我們可以把局部信譽度定義為對等點i從對等點j下載文件的所有交易的信譽度之和。

每個對等點i可以存貯它自身與對等點j的滿意的交易數(shù),以及不滿意的交易數(shù),則可定義為:

Sij=sat(i,j)-unsat(i,j)

四、電子商務中的隱私安全對策

1.加強網(wǎng)絡隱私安全管理。我國網(wǎng)絡隱私安全管理除現(xiàn)有的部門分工外,要建立一個具有高度權(quán)威的信息安全領導機構(gòu),才能有效地統(tǒng)一、協(xié)調(diào)各部門的職能,研究未來趨勢,制定宏觀政策,實施重大決定。

2.加快網(wǎng)絡隱私安全專業(yè)人才的培養(yǎng)。在人才培養(yǎng)中,要注重加強與國外的經(jīng)驗技術(shù)交流,及時掌握國際上最先進的安全防范手段和技術(shù)措施,確保在較高層次上處于主動。

3.開展網(wǎng)絡隱私安全立法和執(zhí)法。加快立法進程,健全法律體系。結(jié)合我國實際,吸取和借鑒國外網(wǎng)絡信息安全立法的先進經(jīng)驗,對現(xiàn)行法律體系進行修改與補充,使法律體系更加科學和完善。

4.抓緊網(wǎng)絡隱私安全基礎設施建設。國民經(jīng)濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現(xiàn)。為此,需要建立中國的公開密鑰基礎設施、信息安全產(chǎn)品檢測評估基礎設施、應急響應處理基礎設施等。

5.建立網(wǎng)絡風險防范機制。在網(wǎng)絡建設與經(jīng)營中,因為安全技術(shù)滯后、道德規(guī)范蒼白、法律疲軟等原因,往往會使電子商務陷于困境,這就必須建立網(wǎng)絡風險防范機制。建議網(wǎng)絡經(jīng)營者可以在保險標的范圍內(nèi)允許標保的財產(chǎn)進行標保,并在出險后進行理賠。

6.強化網(wǎng)絡技術(shù)創(chuàng)新,重點研究關(guān)鍵芯片與內(nèi)核編程技術(shù)和安全基礎理論。統(tǒng)一組織進行信息安全關(guān)鍵技術(shù)攻關(guān),以創(chuàng)新的思想,超越固有的約束,構(gòu)筑具有中國特色的信息安全體系。

7.注重網(wǎng)絡建設的規(guī)范化。沒有統(tǒng)一的技術(shù)規(guī)范,局部性的網(wǎng)絡就不能互連、互通、互動,沒有技術(shù)規(guī)范也難以形成網(wǎng)絡安全產(chǎn)業(yè)規(guī)模。目前,國際上出現(xiàn)許多關(guān)于網(wǎng)絡隱私安全的技術(shù)規(guī)范、技術(shù)標準,目的就是要在統(tǒng)一的網(wǎng)絡環(huán)境中保證隱私信息的絕對安全。我們應從這種趨勢中得到啟示,在同國際接軌的同時,拿出既符合國情又順應國際潮流的技術(shù)規(guī)范。

參考文獻:

[1]屈云波.電子商務[M].北京:企業(yè)管理出版社,1999.

[2]趙立平.電子商務概論[M].上海:復旦大學出版社,2000.

篇11

計算機安全技術(shù)既計算機信息系統(tǒng)安全技術(shù)，是指為防止外部破壞、攻擊及信息竊取，以保證計算機系統(tǒng)正常運行的防護技術(shù)。下面我就從計算機安全技術(shù)的研究領域、包括方面兩個角度出發(fā)來進行探討。

1.1計算機安全技術(shù)主要有兩個研究領域

一是計算機防泄漏技術(shù)。即通過無線電技術(shù)對計算機進行屏蔽、濾波、接地，以達到防泄漏作用。

二是計算機信息系統(tǒng)安全技術(shù)。即通過加強安全管理，改進、改造系統(tǒng)的安全配置等方法，以防御由于利用計算機網(wǎng)絡服務、系統(tǒng)配置、操作系統(tǒng)及系統(tǒng)源代碼等安全隱患而對計算機信息系統(tǒng)進行的攻擊，使計算機信息系統(tǒng)安全運行。

1.2計算機安全技術(shù)包括方面

計算機的安全技術(shù)包括兩個方面：個人計算機的安全技術(shù)，計算機網(wǎng)絡的安全技術(shù)。

1.2.1個人計算機的安全技術(shù)

個人計算機的安全技術(shù)是影響到使用個人電腦的每個用戶的大事。它包括硬件安全技術(shù)、操作系統(tǒng)安全技術(shù)、應用軟件安全技術(shù)、防病毒技術(shù)。在這里我們主要討論硬件安全技術(shù)和操作系統(tǒng)安全技術(shù)。

硬件安全技術(shù)是指外界強電磁對電腦的干擾、電腦在工作時對外界輻射的電磁影響，電腦電源對電網(wǎng)電壓的波動的反應、CPU以及主板的電壓和電流適應范圍、串并口時熱拔插的保護、機箱內(nèi)絕緣措施、顯示器屏幕對周圍電磁干擾的反應和存儲介質(zhì)的失效等等。目前，這種單機的硬件保護問題在技術(shù)上相對簡單一點，一般來說，凡是嚴格按照IS9001標準進行采購、生產(chǎn)、管理、銷售的企業(yè)都可以保證上述安全問題能有相應的解決措施。

操作系統(tǒng)安全技術(shù)是指目前常用的PC操作系統(tǒng)的安全問題，包括DOS、WINDOWS的安全問題。由于WIN—DOWS系統(tǒng)在日常生活中被大多數(shù)人所熟知，這里我們就以WINDOWS系統(tǒng)為例來分析操作系統(tǒng)的安全技術(shù)。

WINDOWS系統(tǒng)在安全技術(shù)方面采取了軟件加密和病毒防治兩種手段來保證操作系統(tǒng)的安全。軟件加密由三個部分組成：反跟蹤、指紋識別、目標程序加/解密變換。三個部分相互配合，反跟蹤的目的是保護指紋識別和解密算法。指紋識別判定軟件的合法性，而加/解密變換則是避免暴露目標程序。病毒防治原理是由于Windows的文件系統(tǒng)依賴于DOS，所以擴充現(xiàn)有的基于DOS的病毒防治軟件。使之能夠識別Windows可執(zhí)行文件格式（NE格式），是一種行之有效的方法，在病毒的檢測、清除方面則需要分析Win—dows病毒的傳染方式和特征標識，擴充現(xiàn)有的查毒、殺毒軟件。

1.2.2計算機網(wǎng)絡的安全技術(shù)

計算機安全特別是計算機網(wǎng)絡安全技術(shù)越來越成為能夠謀取較高經(jīng)濟效益并具有良好市場發(fā)展前景的高新技術(shù)及產(chǎn)業(yè)。自從計算機網(wǎng)絡暴露出安全脆弱問題且受到攻擊后，人們就一直在研究計算機網(wǎng)絡安全技術(shù)，以求把安全漏洞和風險降低到力所能及的限度，因此出現(xiàn)了一批安全技術(shù)和產(chǎn)品。

（1）安全內(nèi)核技術(shù)。

人們開始在操作系統(tǒng)的層次上考慮安全性。嘗試把系統(tǒng)內(nèi)核中可能引起安全問題的部分從內(nèi)核中剔出去。使系統(tǒng)更安全。如So-laris操作系統(tǒng)把靜態(tài)的口令放在一個隱含文件中，使系統(tǒng)更安全。

（2）Kerberos系統(tǒng)的鑒別技術(shù)。

它的安全機制在于首先對發(fā)出請求的用戶進行身份驗證，確認其是否是合法的用戶。如是合法用戶，再審核該用戶是否有權(quán)對他所請求的服務或主機進行訪問。Kerberos系統(tǒng)在分布式計算機環(huán)境中得到了廣泛的應用，其特點是：安全性高、明性高、擴展性好。

（3）防火墻技術(shù)。

防火墻即在被保護網(wǎng)絡和因特網(wǎng)之間，或在其他網(wǎng)絡之間限制訪問的一種部件或一系列部件。

防火墻技術(shù)是目前計算機網(wǎng)絡中備受關(guān)注的安全技術(shù)。在目前的防火墻產(chǎn)品的設計與開發(fā)中，安全內(nèi)核、系統(tǒng)、多級過濾、安全服務器和鑒別與加密是其關(guān)鍵所在。防火墻技術(shù)主要有數(shù)據(jù)包過濾、服務器、SOCKS協(xié)議、網(wǎng)絡反病毒技術(shù)等方面組成，共同完成防火墻的功能效應。

2其在電子商務中的應用

隨著網(wǎng)絡技術(shù)和信息技術(shù)的飛速發(fā)展

，電子商務得到了越來越廣泛的應用，但電子商務是以計算機網(wǎng)絡為基礎載體的，大量重要的身份信息、會計信息、交易信息都需要在網(wǎng)上進行傳遞，在這樣的情況下，電子商務的安全性是影響其成敗的一個關(guān)鍵因素。

2.1電子商務含義

電子商務是利用計算機技術(shù)、網(wǎng)絡技術(shù)和遠程通信技術(shù)實現(xiàn)整個商務過程中的電子化、數(shù)字化和網(wǎng)絡化。人們不再是面對面的、看著實實在在的貨物、靠紙介質(zhì)單據(jù)進行買賣交易，而是通過網(wǎng)絡，通過網(wǎng)上琳瑯滿目的商品信息、完善的物流配送系統(tǒng)和方便安全的資金結(jié)算系統(tǒng)進行交易。

整個交易的過程可以分為三個階段：第一個階段是信息交流階段；第二階段是簽定商品合同階段；第三階段是按照合同進行商品交接、資金結(jié)算階段。

2.2電子商務安全隱患

2.2.1截獲傳輸信息

攻擊者可能通過公共電話網(wǎng)、互聯(lián)網(wǎng)或在電磁波輻射范圍內(nèi)安裝接收裝置等方式。截取機密信息；或通過對信息長度、流量、流向和通信頻度等參數(shù)進行分析。獲得如用戶賬號、密碼等有用信息。

2.2.2偽造電子郵件

虛開網(wǎng)上商店。給用戶發(fā)電子郵件，偽造大量用戶的電子郵件，窮盡商家資源，使合法用戶不能訪問網(wǎng)絡。使有嚴格時間要求的服務不能及時得到響應。

2.2.3否認已有交易

者事后否認曾發(fā)送過某條信息或內(nèi)容，接收者事后否認曾收到過某條信息或內(nèi)容；購買者不承認下過訂貨單；商家不承認賣出過次品等。

2.3電子商務交易中的一些計算機安全安全技術(shù)

針對以上問題現(xiàn)在廣泛采用了身份識別技術(shù)數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)和放火墻技術(shù)。

2.3.1身份識別技術(shù)

通過電子網(wǎng)絡開展電子商務。身份識別問題是一個必須解決的同題。一方面，只有合法用戶才可以使用網(wǎng)絡資源，所以網(wǎng)絡資源管理要求識別用戶的身份；另一方面，傳統(tǒng)的交易方式，交易雙方可以面對面地談判交涉。很容易識別對方的身份。通過電子網(wǎng)絡交易方式。交易雙方不見面，并且通過普通的電子傳輸信息很難確認對方的身份，因此，電子商務中的身份識別問題顯得尤為突出。

2.3.2數(shù)據(jù)加密技術(shù)

篇12

我國大多數(shù)企業(yè)對電子商務認識有一個誤區(qū)，就是簡單地把電子商務理解為商品的電子交易。其實，“電子”只是手段，“商務”才是核心。拿從事網(wǎng)上銷售的企業(yè)來說，除了把商品放在網(wǎng)上銷售之外，還要有傳統(tǒng)零售企業(yè)的特點才能成功。很多企業(yè)就是因為對此理解不夠而蒙受了巨大的損失。

就在本月初，北京西單商場公告，宣布對旗下的IGO5電子商務網(wǎng)站進行注銷清算。筆者曾經(jīng)登錄過這家網(wǎng)站，在它的網(wǎng)頁上，小至戒指，大到汽車用品都可以看到，可以稱得上是一個真正的網(wǎng)上百貨商店，但浩如煙海的信息讓用戶很難找到自己想要的商品，西單商場的品牌也因此在網(wǎng)上失去了吸引力。一位加盟商還向記者抱怨，自從加盟后就沒見IGO5做過什么市場活動，網(wǎng)站點擊量上不去，自然就不會有人氣和銷售額。結(jié)果這家網(wǎng)站在兩年內(nèi)虧損了1600萬元人民幣。據(jù)了解，目前北京近一半的連鎖零售企業(yè)開設了自己的購物網(wǎng)站，而這些網(wǎng)站幾乎全部成了企業(yè)的軟肋，存在著不同程度的虧損。這些網(wǎng)站失敗的原因正像業(yè)內(nèi)人士分析的那樣，物質(zhì)上購買了設備、軟件，但腦袋里根本沒有理解什么是電子商務，管理理念上不去，上什么都白費。

安全、信用問題制約了中國電子商務發(fā)展

去年年底，寧波人孫惠剛辦理了網(wǎng)上銀行注冊。網(wǎng)上銀行剛剛用了三個月，孫惠剛在網(wǎng)上銀行賬戶上的9萬元存款、有價證券就全部被盜。中國電子商務不斷暴露的信用、安全問題已經(jīng)影響到了電子商務自身的發(fā)展。中國工程院院士沈昌祥認為，那種以為只要技術(shù)到位，平臺搭好了，電子商務就接近成功的觀點是錯誤的，只有認證、支付等問題解決了，建立起一個安全的商務環(huán)境，才能真正實現(xiàn)電子商務。

為了解決這一問題，我國從2000年起就醞釀在電子商務方面立法。今年3月24日，國務院原則通過了《電子簽名法(草案)》。專家認為，該法案一旦正式實施，將可以大大降低網(wǎng)上交易的風險。

立法可以解決安全問題，但電子商務的信用問題卻依然存在。與國外不同，中國信用體系面臨著信用信息條塊分割的問題。銀行、稅務、法律等部門都有各自的信息庫，但這些信息很難聯(lián)網(wǎng)，更不要說與全社會共享了。另外，運行電子商務所需硬件和軟件的關(guān)鍵技術(shù)都掌握在外國公司手中，對我國關(guān)鍵部門、關(guān)鍵數(shù)據(jù)造成了安全隱患，這應該引起有關(guān)部門的高度重視。

外商占領中國高端電子商務市場

盡管國內(nèi)電子商務環(huán)境遠遠談不上成熟，但國外電子商務硬件、軟件制造商對從中國電子商務市場中獲利信心十足。國際數(shù)據(jù)集團的總裁麥戈文曾說：“世界范圍內(nèi)信息產(chǎn)業(yè)的年增長率為17%，而中國則是35%。”信息產(chǎn)業(yè)的快速發(fā)展顯然會帶來電子商務市場的迅速增長。因此，IBM、惠普、太陽、英特爾等世界IT巨頭都看好中國電子商務市場這塊大蛋糕。

憑借著資金、技術(shù)優(yōu)勢和高明的商業(yè)策略，外資公司正在逐步占據(jù)中國電子商務軟、硬件市場的主導地位，尤其是在利潤最豐厚的高端市場，中國企業(yè)簡直被徹底排擠在外。比如IBM就將中石油、中國銀行等超大客戶攬入了自己的懷抱。

篇13

一、電子商務的安全威脅美國密執(zhí)安大學的一個調(diào)查機構(gòu)曾對23000名因特網(wǎng)用戶做了一個調(diào)查。調(diào)查顯示超過60％的人由于擔心電子商務的安全問題而不愿意在網(wǎng)上購物。同樣的調(diào)查顯示，任何個人、企業(yè)或商業(yè)機構(gòu)以及銀行都不會通過一個不安全的網(wǎng)絡進行商務交易，一旦遭到攻擊，就會導致商業(yè)機密信息或個人隱私的泄漏，從而造成巨大的損失，對電子商務的安全威脅主要包括：信息的截獲和竊取、信息的篡改、信息假冒、交易抵賴等。

二、電子商務的安全要素

1。有效性。EC作為貿(mào)易的一種形式，其信息的有效性直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。因此，要對網(wǎng)絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。

2。機密性。EC是建立在開放的網(wǎng)絡環(huán)境上的，維護商業(yè)機密是EC全面推廣應用的重要保障。因此，要預防非法信息存取和信息在傳輸過程中被非法竊取。

3。完整性。EC簡化了貿(mào)易過程，減少了人為的干預，同時也帶來維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是EC應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復并保證信息傳送次序的統(tǒng)一。

4。可靠性。如何確定要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易方，這一問題則是保證EC順利進行的關(guān)鍵。在傳統(tǒng)紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。這就是人們常說的“白紙黑字”。在無紙化的EC方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已不可能，因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。

三、電子商務安全的主要技術(shù)對策電子商務安全是信息安全的應用，它的技術(shù)范圍主要分為網(wǎng)絡安全技術(shù)、防火墻技術(shù)、加密技術(shù)和認證技術(shù)等。

1。網(wǎng)絡安全技術(shù)。網(wǎng)絡安全是電子商務安全的基礎，一個完整的電子商務系統(tǒng)應建立在安全的網(wǎng)絡基礎設施之上。網(wǎng)絡安全所涉及到的地方比較廣，如操作系統(tǒng)安全，防火墻技術(shù)，虛擬專用網(wǎng)技術(shù)和各種反黑客技術(shù)及漏洞檢測技術(shù)等。其中最重要的就是防火墻技術(shù)，防火墻是在連接Internet和Intranet保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡的通信信息，并記憶通信狀態(tài)，從而做出允許/拒絕等正確的判斷。

2。加密技術(shù)。加密技術(shù)是保證電子商務安全的重要手段。許多密碼算法現(xiàn)己成為網(wǎng)絡安全和商務信息安全的基礎。密碼算法利用密鑰(secretkeys)來對敏感信息進行加密，然后把加密好的數(shù)據(jù)和密鑰發(fā)送給接收者，接收者可利用同樣的算法和傳遞來的密鑰對數(shù)據(jù)進行解密，從而獲取敏感信息并保證網(wǎng)絡數(shù)據(jù)的機密性。

3。加密技術(shù)包括私鑰加密和公鑰加密。私鑰加密，又稱對稱密鑰加密。即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)。目前常用的私鑰加密算法包括DES和IDEA等。公鑰密鑰加密，又稱不對稱密鑰加密系統(tǒng)，它需要使用一對密鑰來分別完成加密和解密操作。一個公開，稱為公開密鑰(PublicKey)；另一個由用戶自己秘密保存，稱為私有密鑰(Private-Key)。為了充分利用公鑰密碼和對稱密碼算法的優(yōu)點，克服其缺點，解決每次傳送更換密鑰的問題，可采取混合密碼系統(tǒng)，即所謂的電子信封(envelope)技術(shù)。

4。認證與識別。全面的保護還要求認證和識別，確保參與加密對話的人確實是其本人。認證和識別是指用戶必須提供他是誰的證明。

這個“他”可能是某個雇員，某個組織的、某個軟件過程等等認證的標準方法就是弄清楚他是誰，他具有什么特征，他知道什么可用于識別他的東西。比如說，系統(tǒng)中存儲了他的指紋，他接入網(wǎng)絡時，就必須在連接到網(wǎng)絡的電子指紋機上提供他的指紋，只有指紋相符才允許他訪問系統(tǒng)。更普通的是通過視網(wǎng)膜血管分布圖來識別，原理與指紋識別相同，另外聲波紋識別也是商業(yè)系統(tǒng)采用的一種識別方式。

網(wǎng)絡通過用戶擁有什么東西來識別的方法，一般是用智能卡或其它特殊形式的標志，這類標志可以從連接到計算機的讀出器上讀出來。至于說到“他知道什么”，最普通的就是口令，口令具有共享秘密的屬性。更保密的認證可以是幾種方法組合而成。智能卡技術(shù)將成為用戶接入和用戶身份認證等安全要求的首選技術(shù)。用戶將從持有認證執(zhí)照的可信發(fā)行者手里取得智能卡安全設備，也可從其他公共密鑰密碼安全方案發(fā)行者那里獲得。這樣智能卡的讀取器將成為用戶接入和認證安全解決方案的一個關(guān)鍵部分。

四、結(jié)束語電子商務交易安全的一些典型技術(shù)和協(xié)議都是對有關(guān)電子商務交易安全的外部防范，但是要想使一個商用網(wǎng)絡真正做到安全，不僅要看它所采用的防范措施，而且還要看它的管理措施。只有將這兩者綜合起來考察，才能最終得出該網(wǎng)絡是否安全的結(jié)論。因此，只有每個電子商務系統(tǒng)的領導、網(wǎng)絡管理員和用戶都能提高安全意識，健全并嚴格有關(guān)網(wǎng)絡安全措施，才能在現(xiàn)有的技術(shù)條件下，將電子商務安全風險降至最低。