引言：易發(fā)表網(wǎng)憑借豐富的文秘實踐，為您精心挑選了九篇電子商務(wù)安全策略范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時聯(lián)系我們的客服老師。

第1篇

關(guān)鍵詞：電子商務(wù)；身份認(rèn)證；防火墻

中圖分類號：TP3 文獻標(biāo)識碼：A文章編號：1009-3044(2008)30-0559-02

A Brief Analysis on the Security Strategy of E-business

WANG Gai-xiang

(Shanxi Professional College of Finance,Taiyuan 030008,China)

Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.

Key words:E-business; identity authentication; firewall

1 引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢，使得政府與企業(yè)都十分重視并推動電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問題在于時空的分離導(dǎo)致了安全問題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問題之一。研究和分析電子商務(wù)的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開發(fā)的先進技術(shù)和經(jīng)驗,開發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國迅速發(fā)展。實現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看，傳統(tǒng)的買賣雙方是面對面的，因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時空的分離導(dǎo)致了安全問題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個方面：

2.1 信息真實性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。

2.2 信息機密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3 信息完整性

電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機制，防止實體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。在1nternet上每個人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3 電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進行，要求電子商務(wù)平臺要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經(jīng)濟損失。

所以就整個電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個層次，

1) 網(wǎng)絡(luò)節(jié)點的安全

2) 通訊的安全性

3) 應(yīng)用程序的安全性

4) 用戶的認(rèn)證管理

其中2、3、4是通過操作系統(tǒng)和Web服務(wù)器軟件實現(xiàn)，而網(wǎng)絡(luò)節(jié)點的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點的安全性。

3.1 網(wǎng)絡(luò)節(jié)點的安全

防火墻是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法 ，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統(tǒng)。 應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2 通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。 目前采用的是瀏覽器缺省的40位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和服務(wù)器之間建立安全機制，SSL首先要求服務(wù)器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機構(gòu)（CA中心）簽發(fā)。瀏覽器要驗征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法（RSA）與服務(wù)器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑摹４藭r瀏覽器也會出進入安全狀態(tài)的提示。

3.3 應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計算機系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行，而不是只有有限的指令子集在特權(quán)模式下運 行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認(rèn)為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹＠纾彌_溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。 訪問控制系統(tǒng)中沒有什么可以檢測到這些問題 。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。

3.4 用戶的認(rèn)證管理

1) 身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認(rèn)證服務(wù)器的身份，IC卡用來認(rèn)證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認(rèn)機制。

2) CA證書

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書進行驗證，這份數(shù)字證書就是CA證書，它由認(rèn)證授權(quán)中心（CA中心）發(fā)行。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認(rèn)的可靠組織，它對個人、組織進行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時進行）。

3) 安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

第2篇

[關(guān)鍵詞] 安全體系 加密 數(shù)字證書 電子商務(wù) 安全交易標(biāo)準(zhǔn)

一、引言

當(dāng)前的電子商務(wù)是指通過電子方式的商務(wù)活動。它作為一種全新的業(yè)務(wù)和服務(wù)方式，為全球客戶提供了豐富的商務(wù)信息、便捷的交易過程和廉價的交易成本。但是，電子商務(wù)給人們帶來方便的同時，也把人們引入安全憂慮之中。買方擔(dān)心在網(wǎng)絡(luò)上傳輸?shù)男庞每皞€人資料被截取；賣方則擔(dān)心收到的是被盜用的信用卡號碼，或是交易不認(rèn)賬等，這些存在的安全漏洞問題已成為阻礙網(wǎng)上交易發(fā)展的首要問題。相對于傳統(tǒng)商務(wù)，電子商務(wù)對管理機制、實施平臺和信息傳遞技術(shù)都提出了更高的要求，其中安全體系的構(gòu)建尤為顯得重要，已成為電子商務(wù)能否得到進一步發(fā)展和推廣的關(guān)鍵所在。

二、電子商務(wù)安全體系結(jié)構(gòu)

1.電子商務(wù)中存在的安全隱患和威脅

Internet是電子商務(wù)實現(xiàn)的網(wǎng)絡(luò)基礎(chǔ)，它采用TCP/IP完成不同網(wǎng)絡(luò)與不同計算機之間的通信，正是由于這些特點，使它給電子商務(wù)帶來了很多的安全問題。Internet的安全隱患主要體現(xiàn)在四個方面。

開放性和資源共享是Internet的主要優(yōu)點，但它帶來的問題卻不容忽視。因為當(dāng)甲方在很容易的訪問乙方時，如果沒有采取任何措施，乙方同樣很容易的訪問甲方的計算機。

Internet采用的協(xié)議TCP/IP并未采用任何措施來保護傳輸內(nèi)容不被竊取。它是一種包交換網(wǎng)絡(luò)，每個數(shù)據(jù)包在網(wǎng)絡(luò)上都是透明傳輸?shù)模⑶铱赡芙?jīng)過不同的網(wǎng)絡(luò)，由路由器轉(zhuǎn)發(fā)到達目的計算機。數(shù)據(jù)在傳輸過程中可能會遭到IP窺探、同步信號淹沒、TCP會話竊聽、復(fù)位與結(jié)束信號攻擊等威脅。

Internet底層的操作系統(tǒng)如UNIX，由于源代碼的公開，很容易發(fā)現(xiàn)漏洞，給Internet用戶帶來安全問題。

相比較傳統(tǒng)信函，電子化信息就缺乏可信度，電子信息是否準(zhǔn)確很難由其本身來鑒別。在Internet上傳遞電子信息時，難以確認(rèn)信息發(fā)送者及信息是否被正確無誤地傳遞給對方。

由于Internet存在上述安全隱患，將給電子商務(wù)帶來如下的安全威脅。

由于非法入侵，造成商務(wù)信息被纂改、竊取或丟失。

商業(yè)機密在傳輸過程中被第三方獲悉，被惡意破壞。

虛假身份的交易對象及虛假訂單、合同。

貿(mào)易對象的抵賴。

由計算機系統(tǒng)故障造成的對交易過程和商業(yè)信息安全的破壞。

綜上所述，電子商務(wù)面臨多方面的威脅，存在許多安全隱患。

2.電子商務(wù)的安全性內(nèi)容

要使電子商務(wù)健康、順利發(fā)展，必須解決好以下幾種關(guān)鍵的安全性要求。

(1)保證信息的保密性和完整性。在交易過程中必須保證信息不被非授權(quán)用戶竊取，數(shù)據(jù)在輸入和傳輸過程中能保證數(shù)據(jù)的一致性。

(2)不可否認(rèn)性。它是指信息發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息，接收方也不可否認(rèn)已經(jīng)收到的信息。

(3)真實性。商務(wù)活動交易雙方身份是真實的，不是假冒的，不存在的。

(4)系統(tǒng)的可靠性與內(nèi)部網(wǎng)絡(luò)的嚴(yán)密性。在計算機失效、程序錯誤、傳輸錯誤、硬件各種及計算機病毒等潛在威脅下，有容錯處理機制、數(shù)據(jù)恢復(fù)能力，確保系統(tǒng)安全、可靠。對企業(yè)內(nèi)部網(wǎng)絡(luò)而言，要保證內(nèi)部網(wǎng)絡(luò)不被入侵。

3.電子商務(wù)安全技術(shù)體系結(jié)構(gòu)

電子商務(wù)的安全技術(shù)體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個完整邏輯結(jié)構(gòu)，如圖所示。其中，下層是上層的基礎(chǔ)，為上層提供技術(shù)支持。上層是下層的擴展與遞增。各層相互聯(lián)系、相互依賴的構(gòu)成一個整體。通過不同的安全控制技術(shù)，實現(xiàn)各層的安全策略，有效保證了電子商務(wù)系統(tǒng)的安全。

三、電子商務(wù)的安全技術(shù)

1.防火墻技術(shù)

防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封裝機制，內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，而外部網(wǎng)絡(luò)（通常指Internet）被認(rèn)為是不安全和不可信賴的。防火墻的主要目的是防止不希望的、未經(jīng)授權(quán)的通信進出被保護的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強化內(nèi)部網(wǎng)絡(luò)的安全策略。

防火墻的主要技術(shù)有包過濾技術(shù)、服務(wù)器技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和狀態(tài)檢測包過濾技術(shù)，現(xiàn)在最常用的是狀態(tài)檢測包過濾技術(shù)。狀態(tài)檢測防火墻對每個合法網(wǎng)絡(luò)連接保存的信息包括源地址、目的地址、協(xié)議類型、協(xié)議相關(guān)信息、連接狀態(tài)和超時時間等稱為狀態(tài)。通過狀態(tài)檢測，可實現(xiàn)比簡單包過濾防火墻具有更好的安全性。

2.加密技術(shù)

數(shù)字加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障安全性。利用加密技術(shù)，可以將某些重要的信息和數(shù)據(jù)從一個可以理解的明文轉(zhuǎn)換為復(fù)雜的、不可理解的密文形式，在線路上傳送或在數(shù)據(jù)庫中存儲，其他用戶再將密文還原為明文。

3.信息摘要

密鑰加密技術(shù)只能解決信息的保密性問題，對信息的完整性則可以使用信息摘要技術(shù)來實現(xiàn)。信息摘要又稱為Hash算法，是一種單向加密算法，其加密結(jié)果是不能解密的。通過Hash算法，得到一個固定長度（128位）的散列值，不同的原文產(chǎn)生的信息摘要必不相同，相同的原文產(chǎn)生的信息摘要必定相同。這樣，通過用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來的摘要比較，若兩者相同則表示原文在傳輸過程中沒有被修改，否則說明原文被修改過。

4.數(shù)字簽名

數(shù)字簽名是密鑰加密和信息摘要相結(jié)合的技術(shù)，用于保證信息的完整性和不可否認(rèn)性。簽名機制的特征是該簽名只有通過簽名者的私有信息才能產(chǎn)生，即一個簽名者的簽名只能惟一地由他自己生成。當(dāng)收發(fā)雙方發(fā)生爭議時，第三方就能根據(jù)消息上的數(shù)字簽名來裁定這條消息是否由發(fā)送方發(fā)出，從而實現(xiàn)不可否認(rèn)服務(wù)。

5.數(shù)字時間戳

在電子交易中，時間和簽名同等重要。數(shù)字時間戳是由專門機構(gòu)提供的電子商務(wù)安全服務(wù)項目，用于證明信息發(fā)送的時間。

6.數(shù)字證書與CA認(rèn)證

由于電子商務(wù)在網(wǎng)絡(luò)中完成，互相之間不見面，因此為了保證每個人及機構(gòu)都能惟一且被準(zhǔn)確無誤地識別，就需要進行身份認(rèn)證。身份認(rèn)證可以通過驗證參與各方的數(shù)字證書來實現(xiàn)，而數(shù)字證書是由認(rèn)證中心（CA）頒發(fā)的。

所謂CA（Certificate Authority：證書發(fā)行機構(gòu)），是采用PKI（Public Key Infrastructure：公共密鑰體系）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，具有權(quán)威性和公正性的第三方信任機構(gòu)，其作用就像現(xiàn)實生活中頒發(fā)證件的機構(gòu)。

四、電子商務(wù)安全交易標(biāo)準(zhǔn)

要實現(xiàn)安全的電子商務(wù)交易，交易雙方必須遵照統(tǒng)一的安全標(biāo)準(zhǔn)協(xié)議。當(dāng)前，電子商務(wù)的安全機制正走向成熟，并逐漸形成了一些國際規(guī)范，比較有代表性的有安全套接層協(xié)議SSL（Secure Sockets Layer）和安全電子交易協(xié)議SET（Secure Electronic Transaction）。

1.安全套接層協(xié)議SSL

SSL協(xié)議是由Netscape公司研制的安全協(xié)議，SSL使用加密的方法建立一個安全的通信通道，以使客戶的信用卡號傳送給商家，商家再將其轉(zhuǎn)發(fā)給銀行，銀行驗證后在通知商家付款成功。該協(xié)議已成為事實上的工業(yè)標(biāo)準(zhǔn)，微軟、IBM公司都提供基于這種簡單加密模式的支付系統(tǒng)。

2.安全電子交易SET協(xié)議

SET協(xié)議向基于信用卡進行電子化交易的應(yīng)用提供了實現(xiàn)安全措施的規(guī)則。它是由Visa國際組織和MasterCard組織制定的，用于在Internet上進行在線交易時保證信用卡支付安全的開放性安全技術(shù)標(biāo)準(zhǔn)。由于得到了微軟、IBM、RAS公司的支持與參與，已成為工業(yè)事實上的標(biāo)準(zhǔn)。

SET協(xié)議采用了RSA公私鑰加密系統(tǒng)、數(shù)字簽名、數(shù)字證書認(rèn)證等技術(shù)，保證了支付信息的保密性、完整性和不可否認(rèn)性。該協(xié)議提供了客戶、商家和銀行之間的身份認(rèn)證，而交易信息和客戶信用卡信息相互隔離，即商家只能獲取訂單信息，銀行只能獲得持卡人信用卡支付信息，雙方互不干擾，各去所需，構(gòu)成了SET協(xié)議的主要特色，使得SET成為電子商務(wù)的安全規(guī)范。

3.SET、SSL協(xié)議比較

(1)SET是一個專門的安全電子支付協(xié)議，而SSL本質(zhì)上是一個網(wǎng)絡(luò)安全協(xié)議，僅在雙方間建立起安全連接。SET是一個多方的消息報文協(xié)議，定義了銀行、商家和持卡人間必須符合的報文規(guī)范，它比SSL在交易過程中的信任度更強。

(2)SSL僅有商家的服務(wù)器需要認(rèn)證，客戶端只是選擇性認(rèn)證；而SET在整個交易過程中都受到嚴(yán)密保護，其安全性比SSL高。

(3)SSL協(xié)議中若想進行電子商務(wù)交易，只需通過瀏覽器實現(xiàn)，設(shè)置成本低廉，其交易只要幾十秒就可完成；SET盡管安全性高，但需要專門的軟件來實現(xiàn)，客戶、商家改造成本高，由于交易過程各方之間進行多次加密傳輸，每次交易需要數(shù)分鐘。

綜上所述，SSL與SET協(xié)議是電子商務(wù)中最普遍的兩種安全電子支付協(xié)議，各有優(yōu)缺點。SSL雖然簡單快捷，但隨著電子商務(wù)的發(fā)展其缺點凸現(xiàn)出來，需采用更先進的支付系統(tǒng)。而SET雖有更強的功能和安全性，但過于復(fù)雜，使得大面積推廣還有很大障礙，并且成本昂貴，所以，在未來一段時間里將會是SSL和SET兩種支付方式并存的局面。

五、結(jié)論

電子商務(wù)的本質(zhì)是商務(wù)，技術(shù)是電子商務(wù)得以實現(xiàn)的手段。沒有商務(wù)需求，技術(shù)的研究就失去了應(yīng)用價值；沒有技術(shù)實現(xiàn)，電子商務(wù)就不能得以實施，所以技術(shù)是電子商務(wù)的必要條件。而安全則是實現(xiàn)電子商務(wù)技術(shù)的前提，也是電子商務(wù)的必要條件。解決電子商務(wù)的安全問題不是一個單一的技術(shù)問題，它是由一系列工作組成，需要從電子商務(wù)安全管理、安全技術(shù)體系和法律等多方面開展工作和研究。

參考文獻:

[1]胡道元 閔京華:網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2006

[2]祝凌曦:電子商務(wù)安全[M].北京：北方交通大學(xué)，2006.

[3]李曉燕 李福全 郭愛芳:電子商務(wù)概論[M].陜西：電子科技大學(xué)出版社，2004

[4]何 勝:電子商務(wù)中安全支付協(xié)議的對比及應(yīng)用[J].計算機時代,2004(20)

第3篇

[關(guān)鍵詞] 電子商務(wù)安全策略信息安全認(rèn)證

電子商務(wù)是在Internet開放的網(wǎng)絡(luò)環(huán)境下，實現(xiàn)消費者的網(wǎng)上購物、企業(yè)之間的網(wǎng)上交易和在線電子支付的一種新型的交易方式。由于電子商務(wù)具有高效益、低成本、高效率、范圍全球性等特點很快遍及全世界。電子商務(wù)已成為全球經(jīng)濟最具活力的增長點，它的應(yīng)用和推廣將給社會和經(jīng)濟發(fā)展帶來巨大的變革和收益。然而，目前全球通過電子商務(wù)渠道完成的貿(mào)易額仍只是同期全球貿(mào)易額中的一小部分。究其原因，電子商務(wù)是一個復(fù)雜的系統(tǒng)工程，它的實施還依賴于相應(yīng)的社會問題和技術(shù)問題的逐步解決與完善。其中，電子商務(wù)的安全是制約電子商務(wù)發(fā)展的一個關(guān)鍵問題。

一、電子商務(wù)的安全性需求

有效性:電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式的貿(mào)易信息的有效性則是開展電子商務(wù)的前提。因此，要對網(wǎng)絡(luò)過障、操作錯誤、應(yīng)用程序錯誤等所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。

1.機密性:電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或者國家的商業(yè)機密。因此，能否維護好商業(yè)機密成為了電子商務(wù)全面推廣應(yīng)用的前提條件。電子商務(wù)系統(tǒng)應(yīng)能夠?qū)娋W(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密處理，防止交易中信息被非法截獲或讀取。

2.完整性:電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護貿(mào)易各方商業(yè)信息的完整、同意問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，在數(shù)據(jù)傳輸過程中信息丟失、信息重復(fù)或者信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息不同。貿(mào)易各方信息的完整性將影響貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此，要預(yù)防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息丟失和重復(fù)，并保證信息傳送次序的統(tǒng)一。

3.可靠性:由于網(wǎng)上通信雙方互不見面，所以在交易前必須首先確認(rèn)對方的真實身份；支付時還要確認(rèn)對方帳號等信息是否真實有效。電子商務(wù)系統(tǒng)應(yīng)提供通信雙方進行身份鑒別的機制，確保交易雙方身份信息的可靠和合法。應(yīng)實現(xiàn)系統(tǒng)對用戶身份的有效確認(rèn)，對私有密鑰和口令的有效保護，對非法攻擊能夠防范，防止假冒身份在網(wǎng)上進行交易。

4.法律性:電子商務(wù)系統(tǒng)應(yīng)有效防止商業(yè)欺詐行為的發(fā)生。最新《合同法》已確認(rèn)雙方同意電子貿(mào)易的電子檔案為有效書面合同，為產(chǎn)生貿(mào)易糾紛雙方提供法律憑證。網(wǎng)上交易的各方在進行數(shù)據(jù)傳輸時必須攜有自身特有的、無法被別人復(fù)制的信息，以保證交易發(fā)生糾紛時有所對證，以保證商業(yè)信任和行為的不可否認(rèn)性，保證交易各方對已做的交易無法抵賴，為法律舉證提高有效數(shù)據(jù)。

審查能力:根據(jù)機密性和完整性的要求，應(yīng)對數(shù)據(jù)審查的結(jié)果進行記錄。

二、電子商務(wù)面臨的安全威脅

1.信息在網(wǎng)絡(luò)的傳輸中被截獲：攻擊者可能通過互聯(lián)網(wǎng)、公共電話網(wǎng)或在電磁波輻射范圍內(nèi)安裝裝置等方式，截獲機密信息，或通過對信息流量和流向、通信頻度和長度等參數(shù)的分析，獲取有用信息，如消費者的賬號、密碼等。

2.傳輸?shù)奈募赡鼙淮鄹?改變信息流的次序，更改信息的內(nèi)容，如購買商品的出貨地址;刪除某個信息或信息的某些部分；在信息中插入一些信息，讓收方讀不懂或接受錯誤的信息。

3.偽造電子郵件:虛開網(wǎng)站和商店，給用戶發(fā)電子郵件，收定貨單;偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格時間要求的服務(wù)不能及時得到響應(yīng);偽造用戶，發(fā)大量的電子郵件，竊取商家的商品信息和用戶等信息。

4.假冒他人身份:冒充他人身份，如冒充領(lǐng)導(dǎo)命令、調(diào)閱文件;冒充他人消費、栽贓;冒充網(wǎng)絡(luò)控制程序，套取或修改使用權(quán)限、密鑰等信息。

5.否認(rèn)已經(jīng)做過的交易：者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認(rèn)曾經(jīng)收到過某條信息或內(nèi)容；購買者做了訂貨單不承認(rèn);商家賣出的商品質(zhì)量差，但不承認(rèn)原有的交易。

三、電子商務(wù)活動的安全保證

為了滿足電子商務(wù)在安全服務(wù)方面的要求，除了網(wǎng)絡(luò)本身運行的安全外，電子商務(wù)系統(tǒng)還必須利用各種安全控制技術(shù)保證整個電子商務(wù)過程的安全與完整，并實現(xiàn)交易的防抵賴性等。具體實現(xiàn)有以下幾種技術(shù)。

1.加密技術(shù)是電子商務(wù)的最基本的安全措施。在目前技術(shù)條件下，加密技術(shù)通常分為對稱加密和非對稱加密兩類。

(1)對稱密鑰加密：采用相同的加密算法，并只交換共享的專用密鑰（加密和解密都使用相同的密鑰）。如果進行通信的交易各方能夠確保專用密鑰在密鑰交換階段未曾發(fā)生泄露，則可以通過對稱加密方法加密機密信息，并隨報文發(fā)送報文摘要和報文散列值，來保證報文的機密性和完整性。密鑰安全交換是關(guān)系到對稱加密有效性的核心環(huán)節(jié)。目前常用的對稱加密算法有DES、PCR、IDEA、3DES等。其DES使用最普遍，被ISO采用作為數(shù)據(jù)加密的標(biāo)準(zhǔn)。

(2)非對稱密鑰加密:非對稱加密不同于對稱加密，其密鑰被分解為公開密鑰和私有密鑰。密鑰對生成后，公開密鑰以非保密方式對外公開，只對應(yīng)于生成該密鑰的者，私有密鑰則保存在密鑰方手里。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發(fā)送給該公開密鑰的者，而者得到加密信息后，使用與公開密鑰相應(yīng)對的私有密鑰進行解密。目前，常用的非對稱加密算法有RSA算法。該算法已被ISO/TC的數(shù)據(jù)加密技術(shù)分委員會SC20推薦為非對稱密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。

在對稱和非對稱兩類加密方法中，對稱加密的突出特點是加密速度快（通常比非對稱加密快10倍以上）、效率高，被廣泛用于大量數(shù)據(jù)的加密。但該方法的致命缺點是密鑰的傳輸與交換也面臨著安全問題，密鑰易被截獲，而且，若和大量用戶通信，難以安全管理大量的密鑰，因此大范圍應(yīng)用存在一定問題。而非對稱密鑰則相反，很好地解決了對稱加密中密鑰數(shù)量過多難管理及費用高的不足，也無需擔(dān)心傳輸中私有密鑰的泄露，保密性能優(yōu)于對稱加密技術(shù)。但非對稱加密算法復(fù)雜，加密速度不很理想。目前.電子商務(wù)實際運用中常常是兩者結(jié)合使用。

2.防火墻技術(shù)是確保基礎(chǔ)設(shè)施完整性一種常用方法。它通過在網(wǎng)絡(luò)邊界上建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，控制進/出兩個方向的通信流。它制定一系列規(guī)則來準(zhǔn)許或拒絕不同類型的通信，并執(zhí)行所做的路由決策，以阻擋外部的侵入。目前，防火墻技術(shù)主要有分組過濾和服務(wù)兩種類型。

(1)分組過濾:這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器按網(wǎng)絡(luò)安全策略設(shè)置一張訪問表或黑名單，即借助數(shù)據(jù)分組中的49 地址確定什么類型的信息允許通過防火墻，什么類型的信息不允許通過。防火墻的職責(zé)就是根據(jù)防問表（或黑名單）對進出路由器的分組進行檢查和過濾，凡符合要求的放行，不符合的拒之門外。這種防火墻簡單易行，但不能完全有效地防范非法攻擊。

(2)服務(wù):是一種基于服務(wù)防火墻，它的安全性高，增加了身份認(rèn)證與審計跟蹤，發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù)，然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等。

3.安全認(rèn)證技術(shù)。目前，僅有加密技術(shù)不足以保證電子商務(wù)中的交易安全，身份認(rèn)證技術(shù)是保證電子商務(wù)安全的又一重要技術(shù)手段。認(rèn)證的實現(xiàn)包括數(shù)字摘要技術(shù)、數(shù)字簽名技術(shù)、數(shù)字證書技術(shù)和智能卡技術(shù)等。

(1)數(shù)字摘要。采用單向Hash函數(shù)對信息進行某種變換運算得到固定長度的摘要，并在傳輸信息時將之加入文件一同送給接收方;接收方收到文件后，用相同的方法進行變換運算得到另一個摘要;然后將自己運算得到的摘要與發(fā)送過來的摘要進行比較。這種方法可以驗證數(shù)據(jù)的完整性。

(2)數(shù)字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是：報文的發(fā)送方從報文文本中生成一個的散列值（或報文摘要）。發(fā)送方用自己的專用密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出散列值(或報文摘要)，接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。

(3)數(shù)字時間戳（DTS）。交易文件中，時間是十分重要的信息，在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(wù)就能提供電子文件發(fā)表時間安全保護。

數(shù)字時間戳服務(wù)是網(wǎng)上安全服務(wù)項目， 由專門的機構(gòu)提供。時間戳是一個經(jīng)過加密后形成的憑證文檔，它包括需加時間戳的文件的摘要收到文件的日期和時間和DTS的數(shù)字簽名。用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密（數(shù)字簽名），然后送回用戶。書面簽署文件的時間是由簽署人自己寫上的，而數(shù)字時間戳則不然，它是由認(rèn)證單位DTS來加的，以DTS收到文件的時間為依據(jù)。

(4)數(shù)字憑證（Digital ID）又稱為數(shù)字證書，是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源訪問的權(quán)限。在網(wǎng)上的電子交易中，需要雙方出示各自的數(shù)字憑證，并用它來進行交易操作。數(shù)字憑證的內(nèi)部格式是由CCITT X.509 國際標(biāo)準(zhǔn)所規(guī)定的，包含以下內(nèi)容:憑證擁有者的姓名、憑證擁有者的公共密鑰、公共密鑰的有效期、頒發(fā)數(shù)字憑證的單位、數(shù)字憑證的序列號。數(shù)字證書的使用涉及到數(shù)字認(rèn)證中心CA(Certificate Authority)。

目前，數(shù)字憑證有個人憑證、企業(yè)憑證、軟件憑證，其中前兩類較為常用。個人憑證（Personal Digital ID）：僅僅為某單個用戶提供憑證，用以幫助其個人在網(wǎng)上進行安全交易操作;企業(yè)憑證（Server ID）：通常為網(wǎng)上的某個電子商務(wù)網(wǎng)站服務(wù)器提供憑證，使其用來進行安全電子交易。

(5)CA認(rèn)證。在電子商務(wù)系統(tǒng)中，無論是數(shù)字時間戳服務(wù)，還是數(shù)字憑證的發(fā)放，都需要有一個具有權(quán)威性和公正性的第三方認(rèn)證機構(gòu)來承擔(dān)。CA正是這樣的一個受信任的第三方。CA用來為用戶簽發(fā)證書，提供身份認(rèn)證服務(wù)，是整個系統(tǒng)的安全核心[4]。在非對稱密鑰認(rèn)證系統(tǒng)中，用戶的簽名密鑰和加密密鑰通常是分開的，而CA只知道用戶的簽名公鑰，這樣就降低了由于CA受到攻擊的危害程度，避免了可信第三方被攻擊則整個系統(tǒng)即陷入癱瘓的嚴(yán)重問題。此外，在認(rèn)證系統(tǒng)中，CA只負(fù)責(zé)審核用戶的真實身份并對此提供證明，而不介入具體的認(rèn)證過程，從而緩解了可信第三方的系統(tǒng)瓶頸問題。而且CA只需管理每個用戶的一個公開密鑰，大大降低了密鑰管理的復(fù)雜性。這些優(yōu)點使得非對稱密鑰認(rèn)證系統(tǒng)可用于用戶眾多的大規(guī)模網(wǎng)絡(luò)

4.電子商務(wù)亟待解決的難題。安全電子商務(wù)在如下幾個方面還沒有滿意的結(jié)果。

(1)沒有一種電子商務(wù)安全的完整解決方案和完整模型與體系結(jié)構(gòu)。

(2)大多數(shù)電子商務(wù)系統(tǒng)都是封閉式的，即它們使用獨有的技術(shù)，僅支持一些特定的協(xié)議和機制。

(3)盡管大多數(shù)方案都使用了公鑰密碼，但多方安全受到的關(guān)注遠遠不夠。沒有建立一種解決爭議的決策程序。

(4)大多數(shù)系統(tǒng)都將銷售商的服務(wù)器和消費者的瀏覽器間的關(guān)系假設(shè)為主從關(guān)系，不允許用戶間進行直接交易。

(5)大多數(shù)系統(tǒng)都限制為兩方，因此難于集成一個安全連接到第三方。

(6)客戶的匿名性和隱私尚未得到充分的考慮。

四、結(jié)束語

電子商務(wù)的安全涉及技術(shù)、管理和法律等廣泛領(lǐng)域。技術(shù)上，需要一個有效的計算機網(wǎng)絡(luò)安全體系，包括硬件和軟件的全面防范。在管理上要規(guī)范電子商務(wù)交易行為，制定交易標(biāo)準(zhǔn)和規(guī)范;在法律上要建立一套完整的法律體系，為電子商務(wù)提供操作依據(jù);同時還要大力加強用戶的安全意識。隨著電子商務(wù)的發(fā)展，電子交易手段更加多樣化，安全問題會變得更加重要和突出。

參考文獻:

[1]李嵩泉:電子商務(wù)安全技術(shù)[J].計算機與通信，2004,2:55～59

[2]龔靜:電子商務(wù)的安全策略[J].福建電腦，2004，1:52～53

[3]寧厲鋒:電子商務(wù)中的安全技術(shù)[J].計算機與網(wǎng)絡(luò)，2004

第4篇

[關(guān)鍵詞]電子商務(wù)，安全技術(shù)，安全對策

在電子商務(wù)迅速發(fā)展的今天，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入。而網(wǎng)絡(luò)所具有的開放性、自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。如何建立起一個完善的、實用的、安全的電子商務(wù)網(wǎng)站，已成為企事業(yè)單位信息化發(fā)展中一個急切需要討論的問題。

一、電子商務(wù)的安全問題

電子商務(wù)的安全問題可以概括為以下幾個方面：

(一)信息泄漏：在電子商務(wù)中表現(xiàn)出來的信息泄露主要有兩種，一種是交易雙方進行交易的內(nèi)容被第三方所竊取：一種是交易一方提供給另一方的文件、資料等被第三方非法使用。(二)篡改：在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實性和完整性問題。電子的信息在網(wǎng)絡(luò)傳輸?shù)倪^程中，可能被他人非法地修改、刪除或重放．這樣就使信息丟失了真實性和完整性。(三)身份識別：這涉及到電子商務(wù)中的兩個問題。1．如果不進行身份識別，第三方就有可能假冒交易方的身份，以破壞交易、敗壞被假冒一方的信譽或盜取被假冒一方的交易成果等。2．“不可抵賴”性。交易雙方對自己的行為應(yīng)負(fù)有一定的責(zé)任，信息發(fā)送者和接受者都不能對此予以否認(rèn)。(四)信息破壞：涉及到兩方面內(nèi)容。1．網(wǎng)絡(luò)傳輸?shù)目煽啃浴＞W(wǎng)絡(luò)的硬件或軟件可能會出現(xiàn)問題而導(dǎo)致交易信息傳遞的丟失與謬誤。2．惡意破壞。計算機網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞，而使電子商務(wù)信息遭到破壞。這種情況主要由以下問題引起：①計算機病毒。②計算機蠕蟲。這種程序?qū)W(wǎng)絡(luò)造成嚴(yán)重的損失，甚至?xí)ㄟ^過多占用網(wǎng)絡(luò)資源的方式來使網(wǎng)絡(luò)癱瘓，加上這種程序多數(shù)會帶有破壞性指令，因而破壞性更強，它已經(jīng)由點的破壞向面的破壞開始發(fā)展了。③特洛伊木馬。這是一種執(zhí)行超出程序定義之外的程序，它將會把自己隱藏到安全的程序中，并由此傳播出去。④邏輯炸彈。這是一種當(dāng)運行環(huán)境滿足某種特定條件時執(zhí)行特殊功能的程序。

二、電子商務(wù)的安全技術(shù)

電子商務(wù)的開展在安全方面上還存在很多問題。面對電子商務(wù)中形形的安全漏洞，我們必須要采取相應(yīng)的方法來保障電子商務(wù)活動的安全進行，下面就著重探討了電子商務(wù)的安全技術(shù)。

(一)虛擬專用網(wǎng)絡(luò)：虛擬專用網(wǎng)絡(luò)是用于Internet電子交易的一種專用網(wǎng)絡(luò)，它可以在兩個系統(tǒng)之間建立安全的通道，是目前相對而言最適合進行電子商務(wù)的形式。在虛擬專用網(wǎng)絡(luò)中交易的雙方比較熟悉，而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致，在虛擬專用網(wǎng)絡(luò)中就可以使用比較復(fù)雜的專用加密和認(rèn)證技術(shù)，這樣就可以大大提高電子商務(wù)的安全。

(二)加密技術(shù)：加密技術(shù)是實現(xiàn)信息保密性的一種重要手段，目的是為了防止合法接受者之外的人獲取信息系統(tǒng)中的機密信息。

加密包括兩個元素：算法和密鑰。加密技術(shù)的要點是加密算法，一個加密算法是將普通的文本(或者可以理解的信息)與一竄數(shù)字(密鑰)的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰和算法對加密同等重要。密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。加密算法可以分為對稱加密、非對稱加密和不可逆加密三類算法。對稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)(DES，Data Encryption Standard)算法為典型代表，非對稱加密通常以RSA(Rivest Shamir Adleman)算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。通過對數(shù)據(jù)進行加密，可以使在網(wǎng)絡(luò)上傳播的信息對非法用戶來說是無意義的，因此，雖然信息在網(wǎng)絡(luò)上易被非法接收，但是由于被加密，也就保證了信息的隱秘性。

(三)數(shù)字簽名技術(shù)：數(shù)字簽名以數(shù)字加密技術(shù)為基礎(chǔ)，是數(shù)字加密技術(shù)的一種應(yīng)用方式。其核心是采用加密技術(shù)的加、解密算法來實現(xiàn)電子信息的數(shù)字簽名。對于電子商務(wù)中的業(yè)務(wù)款項如何分辨其真假，則需要數(shù)字簽名技術(shù)來確認(rèn)其交易或結(jié)算雙方的真實身份及電子貨幣的可靠性。數(shù)字簽名的防欺詐性、防更改性及確認(rèn)功能是電子商務(wù)系統(tǒng)的一個重要安全技術(shù)。數(shù)字簽名是公開密鑰技術(shù)的另一類應(yīng)用，它的主要方式是：信息的披露方從信息文本中生成一個128位的散列值，并且用自己的專用密鑰對這個散列值進行加密．來形成披露方的數(shù)字簽名：關(guān)聯(lián)方首先從收到的信息文本中計算128位的散列值，接著再用披露方一同發(fā)來的公開密鑰來對數(shù)字簽名進行解密，如果兩個散列值相同，那就可確認(rèn)該數(shù)字簽名是披露的。通過數(shù)字簽名技術(shù)能夠?qū)崿F(xiàn)對原始信息和關(guān)聯(lián)方身份的鑒別，有一定的公正及較好地防范關(guān)聯(lián)方和非關(guān)聯(lián)方的道德風(fēng)險。

(四)認(rèn)證技術(shù)：所謂認(rèn)證，就是通過認(rèn)證中心對數(shù)字證書進行識別。認(rèn)證分為實體認(rèn)證和信息認(rèn)證，這里的實體是指個人、客戶程序或服務(wù)程序等參與通信的實體。實體認(rèn)證是指對這些參與通信實體的身份認(rèn)證。對用戶身份的認(rèn)證，密碼是最常用的，但由于許多用戶采用了很容易被破解的密碼，使得該方法經(jīng)常失效。信息認(rèn)證是指對信息體進行認(rèn)證，以決定該信息的合法性。信息認(rèn)證發(fā)生在信息接收者收到信息后，使用相關(guān)技術(shù)對信息進行認(rèn)證，以確認(rèn)信息的發(fā)送者是誰，信息在傳遞過程中是否被篡改等。身份驗證是對進入電子商務(wù)信息系統(tǒng)網(wǎng)絡(luò)的用戶進行身份合法性的整別，主要通過所掌握的特有信息對探訪者進行驗證。目前，數(shù)字簽名和認(rèn)證是網(wǎng)上比較成熟的安全手段，而我國大多數(shù)企業(yè)尚處于SSL協(xié)議應(yīng)用階段，在SET協(xié)議的應(yīng)用試驗剛剛成功，而要完全實現(xiàn)SET協(xié)議安全支付，則必須有一個CA認(rèn)證中心。

(五)防火墻技術(shù)：在計算機領(lǐng)域，防火墻是指一種邏輯裝置，用來保護內(nèi)部的網(wǎng)絡(luò)不受來自外界的侵害。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)地互聯(lián)環(huán)境中，尤其以接人Internet網(wǎng)絡(luò)最甚。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之問的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它主要用于實現(xiàn)網(wǎng)絡(luò)路由的安全，這主要包括兩個方面：①限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問，從而保護內(nèi)部網(wǎng)特定資源免受非法侵害；②限制內(nèi)部網(wǎng)的訪問，主要是針對內(nèi)部一些不健康信息及敏感信息的訪問。目前防火墻的主要有網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻和雙端主機防火墻等。網(wǎng)絡(luò)層防火墻是一個屏蔽的路由器，經(jīng)檢查后最終決定是批準(zhǔn)進入或拒絕請求，并將信包引導(dǎo)往內(nèi)部的適當(dāng)?shù)慕邮拯c。這種防火墻成本較低但安全性亦相對來說亦比較差。應(yīng)用層防火墻的主要構(gòu)成由服務(wù)器端程序和客戶端程序，它通過執(zhí)行登錄或?qū)π畔⒌恼J(rèn)證使系統(tǒng)的訪問與保密關(guān)系更加完善。更加設(shè)置了日志及審計方式以監(jiān)控各方發(fā)送的登錄和任何未經(jīng)授權(quán)的活動，并將那些未授權(quán)的登錄情況告訴網(wǎng)絡(luò)管理者或安全小組。雙端主機防火墻只設(shè)有兩個防火墻出口，一端對互聯(lián)網(wǎng)上的請求過濾，而另一端提供訪問到某部門的局域網(wǎng)之安全信道。

第5篇

論文摘要：電子商務(wù)安全問題已成為制約電子商務(wù)發(fā)展的重要問題，安全問題包括電子商務(wù)交易安全、計算機網(wǎng)絡(luò)安全等顯性的問題，還包括管理、法律和標(biāo)準(zhǔn)等方面的隱性問題。通過對電子商務(wù)安全體系的分析，研究電子商務(wù)安全策略，建立一個安全電子商務(wù)環(huán)境，將促進電子商務(wù)健康快速地發(fā)展。

電子商務(wù)是一個跨國界，跨地區(qū)，跨行業(yè)的多種技術(shù)綜合集成與不同社會經(jīng)濟文化背景形成的各種習(xí)俗不斷沖突，不斷協(xié)調(diào)和不斷統(tǒng)一的綜合性社會系統(tǒng)工程。電子商務(wù)安全策略保障電子商務(wù)各個主體的切身利益。電子商務(wù)安全策略是以人為本，從各主體的角度思考，綜合協(xié)調(diào)了各個市場主體的行為，從根本上保障了消費者、企業(yè)、電子商務(wù)網(wǎng)站等市場主體的切身利益，它為實現(xiàn)電子商務(wù)提供了統(tǒng)一的基礎(chǔ)平臺和安全屏障。

一、電子商務(wù)安全技術(shù)保障策略

安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略，目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有以下幾種：

1.密碼技術(shù)。密碼技術(shù)包括加密技術(shù)和解密技術(shù)。加密是將信息經(jīng)過加密密鑰及加密函數(shù)轉(zhuǎn)換，變成無意義的密文。而解密則是將密文經(jīng)過解密函數(shù)、解密密鑰處理還原成原文。密碼技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)。

2.身份驗證技術(shù)。電子商務(wù)主體向系統(tǒng)證明自己身份，并由系統(tǒng)查核該主體的過程，是確認(rèn)真實有效身份的重要環(huán)節(jié)，這個過程叫作身份驗證。常用的驗證技術(shù)有報文鑒別、身份鑒別和電子簽名。

3.訪問控制技術(shù)。訪問控制是指對電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中各種資源訪問時的權(quán)限確認(rèn)，防止非法訪問。它包括有關(guān)的策略、模型、機制的基礎(chǔ)理論與實現(xiàn)方法。

4.防火墻技術(shù)。防火墻是用一組網(wǎng)絡(luò)設(shè)備來加強一個網(wǎng)絡(luò)與外界之間的訪問控制。防火墻整體可以分為三大類：分組過濾、應(yīng)用、電路網(wǎng)關(guān)。

二、企業(yè)電子商務(wù)安全運營管理制度保障策略

企業(yè)電子商務(wù)安全運營管理制度是用文字的形式對各項安全要求所做的規(guī)定，是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ)，是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則。這些制度主要包括人員管理制度，保密制度，跟蹤審計制度，系統(tǒng)維護制度、數(shù)據(jù)備份制度等。

1.人員管理制度 人員管理制度主要從人員的選拔，工作責(zé)任的落實和安全運作必須遵循的基本原則制定相應(yīng)的工作制度。

2.保密制度 電子商務(wù)系統(tǒng)涉及企業(yè)的市場、生產(chǎn)、財務(wù)、供應(yīng)鏈等多方面的機密，這些方面都是需要很好地劃分信息安全級別，并確定安全防范重點，提出相應(yīng)的保密措施。

3.跟蹤審計制度 跟蹤制度就是要求企業(yè)建立網(wǎng)絡(luò)交易的日志機制，來記錄網(wǎng)絡(luò)交易的全過程。而審計制度是對系統(tǒng)日志的經(jīng)常檢查、審核，及時發(fā)現(xiàn)對系統(tǒng)有安全隱患的記錄，監(jiān)控各種安全事故，維護和管理系統(tǒng)日志。

4.網(wǎng)絡(luò)系統(tǒng)的日常維護制度 網(wǎng)絡(luò)系統(tǒng)的日常維護包括硬件的日常維護和軟件的日常維護，硬件維護主要是對網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機以及通信線路進行定期規(guī)范地巡查、檢修；軟件維護主要是規(guī)范地對支撐軟件的定期清理和整理、監(jiān)測、處理特殊情況以及對應(yīng)用軟件的升級等。

5.數(shù)據(jù)備份制度 數(shù)據(jù)備份主要是利用多種介質(zhì)對信息系統(tǒng)數(shù)據(jù)進行存儲，定期為重要信息備份、系統(tǒng)設(shè)備備份，并定期更新，以減少安全事故發(fā)生時造成的損失。

三、電子商務(wù)立法策略

電子商務(wù)安全得到法律保障，首先必須完善電子商務(wù)安全相關(guān)的法律。如何構(gòu)建一個有針對性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。

轉(zhuǎn)貼于

1.立法目的 電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙；消除現(xiàn)有法律適用上的不確定性，保護合理的商業(yè)行為，保障電子交易安全；建立一個清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。

2.立法范圍 電子商務(wù)安全方面需要的法律法規(guī)主要有：市場準(zhǔn)入制度、合同有效認(rèn)證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法，知識產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過濾等；電子商務(wù)調(diào)整的對象是電子商務(wù)中的各種社會關(guān)系。

3.立法途徑 電子商務(wù)法律仍然是調(diào)整社會關(guān)系，所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核，尤其是基礎(chǔ)價值觀。具體的立法途徑主要是兩種：第一是制定新的法律規(guī)范。對于傳統(tǒng)法律沒有規(guī)定的，即由電子商務(wù)帶來的新的社會關(guān)系，應(yīng)盡快制定法律規(guī)范；第二是修改或重新解釋既定的法律規(guī)范。對于傳統(tǒng)法律的規(guī)定不明確，或與電子商務(wù)新型社會關(guān)系有沖突甚至存在缺欠的，可以修改或重新解釋既定的法律規(guī)范。

四、政府監(jiān)督管理策略

電子商務(wù)本質(zhì)是一種市場運作模式，市場的正常健康有序地發(fā)展，必須有政府宏觀上的監(jiān)督與管理，以協(xié)調(diào)和規(guī)范各市場主體的行為，宏觀監(jiān)督與管理電子商務(wù)運行中的安全保障體系。

1.計算機信息系統(tǒng)安全管理 計算機信息系統(tǒng)，是指“由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。”計算機安全保護規(guī)范主要有計算機安全等級保護制度，計算機系統(tǒng)使用單位安全負(fù)責(zé)制度，計算機案件強行報告制度，計算機病毒及其有害數(shù)據(jù)的專管制度與計算機信息安全專用產(chǎn)品銷售許可證制度。對計算機信息系統(tǒng)安全的保護，有利于保障國家的安全和社會安定，促進電子商務(wù)的安全交易過程，有利電子商務(wù)的健康發(fā)展。

2.網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理 由于網(wǎng)絡(luò)的開放性，自由性等特征決定了網(wǎng)絡(luò)廣告監(jiān)管的難度，虛假廣告、廣告充斥著網(wǎng)絡(luò)空間，網(wǎng)絡(luò)廣告已經(jīng)發(fā)展成為一個社會問題。網(wǎng)絡(luò)廣告管理應(yīng)該從三個方面入手：第一，網(wǎng)絡(luò)廣告組織的管理，必須對網(wǎng)站廣告經(jīng)營主體資格進行管制，第二，規(guī)范網(wǎng)絡(luò)廣告內(nèi)容，確保廣告內(nèi)容的真實性、合法性和科學(xué)性。第三，需要有具體的廣告審查管制、評估與監(jiān)測部門。

國家針對網(wǎng)絡(luò)服務(wù)業(yè)和網(wǎng)絡(luò)用戶管理已經(jīng)頒布了《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》，其中提出了詳細(xì)具體的限制條件。但是，網(wǎng)絡(luò)飛速發(fā)展，面對網(wǎng)絡(luò)中的新問題，還必須進一步深入全面地研究。

3.認(rèn)證機構(gòu)管理 認(rèn)證機構(gòu)是電子商務(wù)活動中專門從事頒發(fā)認(rèn)證證書的機構(gòu)，對電子商務(wù)交易活動順利進行，電子商務(wù)活動中交易參與各方身份和信息認(rèn)定，維護交易安全具有重要作用。對認(rèn)證機構(gòu)的管理主要是通過對設(shè)立的條件、撤消或者頒發(fā)許可證等營業(yè)資格而進行審批監(jiān)督；同時，還要針對其資產(chǎn)和財務(wù)狀況定期審查，以免發(fā)生財務(wù)危機，對其信息披露與保密情況、安全系統(tǒng)運行情況等方面進行不定期或定期監(jiān)督檢查。

4.加強社會信用道德建設(shè)，構(gòu)建和諧安全電子商務(wù) 電子商務(wù)安全問題其中有很大部分是由電子商務(wù)用戶或從業(yè)人員的信用道德問題引發(fā)的，在我國尤其嚴(yán)重，甚至大家感嘆電子商務(wù)在我國“水土不服”。對于新型的商業(yè)運作模式，必然存在不少漏洞，這需要廣大電子商務(wù)市場主體有良好的電子商務(wù)道德意識。除了從法律上采取措施，更重要的是政府要加強電子商務(wù)市場主體自身的道德建設(shè)，加強輿論監(jiān)督和企業(yè)自律，充分利用網(wǎng)絡(luò)新聞輿論監(jiān)督，消費者輿論監(jiān)督和行業(yè)協(xié)會的管理監(jiān)督。

五、結(jié)束語

電子商務(wù)安全不僅涉及到電子商務(wù)公司、企業(yè)、消費者的利益，而且更加廣泛地涉及經(jīng)濟、政治、國防、文化等諸多方面，關(guān)系到國家的安全、主權(quán)和社會的穩(wěn)定。電子商務(wù)安全策略確保電子商務(wù)的快速、健康地發(fā)展。電子商務(wù)安全是目前電子商務(wù)發(fā)展的瓶頸，只有解決了電子商務(wù)安全，保障了市場主體的利益，才能得到網(wǎng)絡(luò)用戶的認(rèn)可和參與，電子商務(wù)自身也才能得到快速、健康地發(fā)展。

參考文獻

[1]林寧，吳志剛.我國信息安全技術(shù)標(biāo)準(zhǔn)化現(xiàn)狀[J].中國標(biāo)準(zhǔn)化，2007（4）

[2]胡艷春.電子商務(wù)網(wǎng)站建設(shè)中的安全問題研究[J].商場現(xiàn)代化，2006，（10）

第6篇

1電子商務(wù)安全涵蓋的內(nèi)容

1.1計算機網(wǎng)絡(luò)安全計算機網(wǎng)絡(luò)安全，其中主要包括計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全以及數(shù)據(jù)庫安全等。關(guān)于網(wǎng)絡(luò)安全方面的基本特征，具體表現(xiàn)在計算機網(wǎng)絡(luò)技術(shù)層面。對計算機網(wǎng)絡(luò)安全本身存在的安全問題，實施網(wǎng)絡(luò)安全的增強方案，確保計算機網(wǎng)絡(luò)自身的安全性并將其作為基本指標(biāo)。威脅計算機網(wǎng)絡(luò)安全的因素很多，其中分為自然因素和人為因素，其中人為因素是最主要的因素，主要是指不法之徒利用網(wǎng)絡(luò)存在的漏洞盜非法獲取重要的數(shù)據(jù)、篡改數(shù)據(jù)、破壞硬件設(shè)備、制造病毒等。

1.2電子商務(wù)交易安全電子商務(wù)交易安全圍繞貿(mào)易雙方在進行交易過程中存在的諸多安全因素。在計算機網(wǎng)絡(luò)安全基礎(chǔ)之上，確保電子商務(wù)交易過程的順利開展，努力實現(xiàn)電子商務(wù)的保密性、完整性、不可否認(rèn)性、不可抵賴性以及不可偽造性。

2電子商務(wù)安全面臨的威脅

電子商務(wù)安全方面面臨的威脅主要有：

2.1泄露信息電子商務(wù)在交易期間，黑客或外來入侵者運用各種技術(shù)手段獲取銷售信息或商業(yè)機密，這就會使系統(tǒng)資源失竊。在電子商務(wù)中經(jīng)常發(fā)生的就是系統(tǒng)信息泄露，如2012年當(dāng)當(dāng)網(wǎng)賬戶集體被盜事件就是由于用戶信息被非法泄露造成的。

2.2身份仿冒在電子商務(wù)中，第三方假冒合法身份與他人發(fā)生交易，進行信息欺詐和信息破壞，進而獲取非法的利益。主要表現(xiàn)有：冒充賣家或買家，使賣家名譽受損或使買家財產(chǎn)受損。其中較為典型的案例有2014年有一小伙在微信上假冒他人推銷名牌山寨手機，在十幾天時間內(nèi)就有6名受害人上當(dāng)。

2.3木馬威脅許多黑客工具可以進行遠程控制、檢查以及監(jiān)控目標(biāo)用戶的信息，能夠使目標(biāo)設(shè)備與用戶的合法設(shè)備一樣，向網(wǎng)絡(luò)方面發(fā)送信息，具有一定的欺騙性。黑客可以運用網(wǎng)絡(luò)下載的木馬程序，進行對電子商務(wù)當(dāng)中的交易信息的竊取以及數(shù)據(jù)的修改等。木馬工具能夠通過電子郵件的方式，被安裝到目標(biāo)用戶的電腦終端，修改電腦中涉及到的文件與數(shù)據(jù)等。這種程序在進行電子商務(wù)的開展中，嚴(yán)重地影響雙方的正常交易，并且由于對該病毒的防治方面存在一定的欠缺，造成電子商務(wù)系統(tǒng)數(shù)據(jù)以及交易內(nèi)容受到木馬威脅。木馬威脅中常見的威脅有假冒類木馬、含木馬短信、二維碼病毒、惡意插件等。在手機客戶端的安全中，惡意APP引發(fā)的資金賬戶風(fēng)險是其中很大的安全問題。

2.4篡改信息電子商務(wù)中交易的信息在傳輸過程中，可能會被不法之人非法地進行修改、刪除，造成信息失真、不完整。

2.5交易抵賴有些用戶通過對自己發(fā)送的信息進行惡意否定，推卸責(zé)任。交易抵賴現(xiàn)象主要體現(xiàn)在以下狀況中：者否定所發(fā)送的信息，接收者否認(rèn)接受過的信息，購買者否認(rèn)訂過的訂單，商家出于售出商品的質(zhì)量問題而否認(rèn)交易。

3電子商務(wù)安全技術(shù)

針對電子商務(wù)存在的安全威脅所采取的應(yīng)對措施主要有：

3.1防火墻在網(wǎng)絡(luò)安全中的一道屏障就是防火墻，因此在電子商務(wù)中必須要安裝防火墻來保障交易中的安全。防火墻一般是在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間放置的，可以防止未經(jīng)授權(quán)的通訊進出能夠得到保護，它是一種對邊界進行控制進而使內(nèi)部網(wǎng)絡(luò)得到強化的政策。防火墻主要有五大功能：（1）對進出口網(wǎng)絡(luò)的數(shù)據(jù)進行過濾。（2）對進出網(wǎng)絡(luò)的訪問行為進行管理。（3）對某些未授權(quán)的行為進行封堵。（4）將通過防火墻的信息內(nèi)容和活動記錄下來。（5）檢測和警告所受到的網(wǎng)絡(luò)攻擊。防火墻對于外部的網(wǎng)絡(luò)攻擊可以進行有效的保護，但卻毫無能力抵御來自內(nèi)部網(wǎng)絡(luò)的攻擊。在電子商務(wù)安全中若只是運用防火墻技術(shù)來保障是遠遠不夠的，還必須要運用其他技術(shù)和手段。

3.2計算機病毒技術(shù)在電子商務(wù)中進行的交易是十分廣泛和開放的，這就導(dǎo)致在交易中易被病毒攻擊。為了避免病毒攻擊就要在電腦中安裝病毒軟件，并定期對電腦進行殺毒、更新軟件。對硬件設(shè)備的管理與維護一般是在交易時安裝網(wǎng)管軟件，網(wǎng)管軟件在對硬件進行維護時還能對日志或臨時性的文件進行清理，并對服務(wù)器的活動和用戶注冊情況進行檢驗，以便于電子商務(wù)系統(tǒng)可以穩(wěn)定。

3.3數(shù)據(jù)加密技術(shù)加密技術(shù)指使用代碼或密碼對重要的信息進行加密后再進行傳送或存儲，其他用戶在使用時再進行解密，這就可以很好地保障數(shù)據(jù)信息的安全性。在電子商務(wù)中安全技術(shù)的基礎(chǔ)就是信息加密技術(shù)。數(shù)據(jù)加密技術(shù)一般分為對稱加密和非對稱加密。對稱加密，其做法是信息的發(fā)送方將信息加密，接收方收到信息后再對信息進行解密，這一方法的主要特點是加密和解密中的密匙是同一個，其中最為典型的代表案例就是美國國家安全局的DES。這種方法使用起來較為簡單，加密和解密速度很快，主要針對大量信息進行加密。非對稱加密。這種方法在使用中主要是使用不同的密匙對信息進行解密，通信雙方都擁有兩把密匙，即一把公匙和一把密匙。其中公匙是公開的，密匙則自己保管。信息用公匙加密后，要想解密只能使用密匙。這種方法中典型的案例是RSA算法，但是這種算法加密和解密都需要進行兩次，處理和計算量較大，加密和解密速度較慢，因此只針對少量數(shù)據(jù)進行加密。

3.4安全認(rèn)證技術(shù)安全認(rèn)證技術(shù)主要是對信息進行認(rèn)證，保證信息在通信中的真實性。主要包括安全認(rèn)證技術(shù)和安全認(rèn)證機構(gòu)兩方面。安全技術(shù)認(rèn)證有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字證書等。能夠承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)的就是電子商務(wù)認(rèn)證中心，在這個認(rèn)證中心可以簽發(fā)數(shù)字證書，能夠確認(rèn)用戶的身份。

3.5安全認(rèn)證協(xié)議在電子商務(wù)中應(yīng)用最為廣泛的安全認(rèn)證協(xié)議主要有安全套接層SSL協(xié)議和安全電子交易SET協(xié)議。SSL協(xié)議主要是用于銀行與企業(yè)或企業(yè)與企業(yè)間的電子商務(wù)，SET則是為持卡消費、網(wǎng)購等電子商務(wù)服務(wù)的。SET協(xié)議認(rèn)證體系較為完善，可以進行多方認(rèn)證，可以提供更為可靠的安全保障。使用SET協(xié)議期間，賣家是無法看到用戶的賬戶信息的，而對于用戶訂購的具體內(nèi)容銀行也是不清楚的。

3.6不輕易打開網(wǎng)站鏈接不輕易打開網(wǎng)站鏈接主要是針對身份仿冒問題的。為了防范這種騙局，對于不信任的網(wǎng)站、別人發(fā)來的鏈接，我們都不要輕易去打開，以免被不法之徒利用從而發(fā)生賬戶信息泄露等問題。

4安全管理策略

除了運用上述技術(shù)來保證電子商務(wù)系統(tǒng)的安全外，電子商務(wù)平臺還還必須要有嚴(yán)格的內(nèi)部安全機制，以此杜絕2012年發(fā)生的一號店員工泄露用戶信息類似事件。內(nèi)部安全機制可以從以下幾方面來建立：

4.1人員權(quán)限電子商務(wù)系統(tǒng)的所有人員，必須按照其職責(zé)范圍對其權(quán)限進行設(shè)定，對于不屬于自己職責(zé)范圍的，沒有權(quán)限進行訪問。

4.2管理原則安裝分級進行管理，對于電子商務(wù)中內(nèi)部用戶帳戶和密碼必須嚴(yán)格的管理，要進行嚴(yán)格的身份確認(rèn)后才能進入系統(tǒng)。

4.3工作記錄要建立網(wǎng)絡(luò)安全的維護日志，對與安全相關(guān)的所有信息進行記錄，以便發(fā)生突發(fā)狀況時可以進行查詢，并要對工作記錄定期地檢查，這樣就可以及時發(fā)現(xiàn)存在的安全隱患。

4.4信息備份對重要的信息、數(shù)據(jù)進行備份，在備份后針對不同數(shù)據(jù)信息的重要程度，對此再進行加密處理。

5結(jié)論

第7篇

1電子商務(wù)中信息安全的檢驗

電子商務(wù)的檢驗可以從以下四個方面進行比較:(1)完整性。交易的成交需要信息的完整，不能隨意修改、重復(fù)發(fā)送信息。(2)保密性。電子商務(wù)中交易能夠正常進行的基礎(chǔ)就是信息一定要保密。(3)可用性。交易雙方提供的信息必須為有效的可用信息。(4)可靠性。必須有一個安全的交易系統(tǒng)，并且保證交易雙方提供信息的可靠性。只有信息安全了，電子商務(wù)才能真正的發(fā)揮它的作用

2電子商務(wù)的各種問題

2．1電子商務(wù)有可能存在損害消費者權(quán)益的虛假信息

在電子商務(wù)方面，如“天貓”和“淘寶”等就是最具代表性的網(wǎng)站。當(dāng)今電子商務(wù)的第一人非馬云莫屬，他將各行各業(yè)的賣家都集中在“淘寶”上，由顧客對自己要買的產(chǎn)品進行對比，最后選擇合適的商家進行交易，同時為了交易的方便進行，他增加了支付寶支付功能，極大地方便了消費者的購物流程。他將傳統(tǒng)的交易方式變成了這種虛擬的電子商務(wù)。這種交易方式極大地方便了人們的經(jīng)濟生活，而且相比于實體店的商品，網(wǎng)上的更加便宜，給消費者帶來了真正的實惠，但是由于消費者看不到網(wǎng)店的實際商品，只能通過圖片或者文字來獲取信息，很多黑心商家利用這點出售假冒商品，給消費者帶來很大的經(jīng)濟損失。

2．2電子商務(wù)管理的不規(guī)范性

隨著時代的發(fā)展，互聯(lián)網(wǎng)成為人們生活中不可缺少的一部分，同時也推動了電子商務(wù)的發(fā)展，嚴(yán)重影響了以前的傳統(tǒng)商業(yè)模式，造成了整個商業(yè)模式的變化，所以有越來越多的人在關(guān)注電子商務(wù)，但是對于電子商務(wù)的信息安全問題，卻很少提及，國家也沒有個統(tǒng)一標(biāo)準(zhǔn)，所以造成了交易過程中的各種不規(guī)范。同時由于我國沒有在網(wǎng)絡(luò)方面進行立法，人們在互聯(lián)網(wǎng)上想干什么就干什么，造成的網(wǎng)絡(luò)安全問題越來越多，嚴(yán)重的破壞了普通民眾上網(wǎng)的網(wǎng)絡(luò)環(huán)境。所以我國應(yīng)該針對網(wǎng)絡(luò)安全問題制定相關(guān)的法律，對電子商務(wù)進行宏觀控制，完善電子商務(wù)的交易方式和操作模式，減少消費者的損失，維護人民的權(quán)益。

2．3信息存儲安全性比較弱

我國的互聯(lián)網(wǎng)發(fā)展起步較晚，雖然發(fā)展的比較迅速，但對與互聯(lián)網(wǎng)的技術(shù)和水平掌握的比較少，所以容易受到攻擊破壞。而對電子商務(wù)中信息的存儲威脅最大的形式主要有兩個，一個就是“非授權(quán)用戶修改”，另一個是“查看信息”。當(dāng)企業(yè)連接上互聯(lián)網(wǎng)后，電子商務(wù)操作過程中如果一些環(huán)節(jié)出現(xiàn)問題，便會對企業(yè)造成很大的影響，使企業(yè)受到外部和內(nèi)部的兩重威脅。外部威脅指的是企業(yè)以外的人員(如黑客)等攻擊了企業(yè)的網(wǎng)絡(luò)，入侵了內(nèi)部網(wǎng)絡(luò)，在未經(jīng)授權(quán)的情況下私自篡改了電子商務(wù)信息，竊取了企業(yè)和客戶的信息，造成相當(dāng)大的損失。內(nèi)部威脅指的是企業(yè)內(nèi)部的人員在沒有獲得授權(quán)的情況下私自修改了信息，比如最近新聞上熱議的“各大銀行客戶的銀行存款莫名其妙被轉(zhuǎn)走”，經(jīng)過調(diào)查，是由于內(nèi)部人員私自篡改了信息，將用戶儲蓄的存款轉(zhuǎn)移了。

3改進方法

3．1加強安全意識

無論是建立和完善相關(guān)的電子商務(wù)信息安全的法律還是加強網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)，或者是提高網(wǎng)絡(luò)技術(shù)水平，都是從外部環(huán)境方面著手，只有提高用戶的網(wǎng)絡(luò)安全知識，加強用戶對信息的保密意識下能從內(nèi)部解決信息安全問題。外部環(huán)境的不斷加強和完善使得網(wǎng)絡(luò)環(huán)境固若金湯，使得不法分子很難入侵成功，所以他們只能轉(zhuǎn)移目標(biāo)，從使用的用戶入手，從內(nèi)部入侵，盜取個人賬號，獲得管理員的權(quán)限來竊取電子商務(wù)信息，給用戶造成極大的損失。所以提高用戶所掌握的安全知識，加強用戶的保密意識也是相當(dāng)重要的。

3．2提高并掌握高端技術(shù)

電子商務(wù)有利有弊，在推動社會進步，給大家?guī)砀喾奖愕耐瑫r，同樣的也存在著許多問題和隱患，對我國國家信息安全是個很大的考驗，也增大了個人信息泄露的機會，但是不能因為有問題就不發(fā)展，那樣永遠不會進步，所以如何解決這些問題就是現(xiàn)在的重中之重。因此國家應(yīng)該更加重視網(wǎng)絡(luò)技術(shù)，增加對網(wǎng)絡(luò)技術(shù)的支持，不斷的引進國外的先進技術(shù)和設(shè)備，重點培養(yǎng)一些具有網(wǎng)絡(luò)安全技術(shù)方面的人才。加強我國的網(wǎng)絡(luò)安全建設(shè)要重點研究以下技術(shù):(1)防火墻技術(shù)。可以阻止非法入侵，從源頭刪除掉一些不安全的協(xié)議領(lǐng)域。(2)數(shù)據(jù)加密技術(shù)。對文件、數(shù)據(jù)及口令等信息進行加密，使的這些信息不會被隨便損壞。(3)身份識別技術(shù)。運用身份識別技術(shù)對雙方進行嚴(yán)密的核實，確定所發(fā)信息是否完整。(4)防病毒技術(shù)。防止病毒進入信息安全系統(tǒng)，使內(nèi)部安全系統(tǒng)遭到損壞，造成信息的泄露以及不必要的損失。而且我國電腦的系統(tǒng)軟件的核心技術(shù)以及中央處理器等核心部件都是從國外進口的，信息的安全性沒辦法保證。因此我國的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也是必須要加強的。只有從內(nèi)部和外部兩方面著手，才能從根本上解決我國電子商務(wù)信息安全方面的問題。

3．3對網(wǎng)絡(luò)安全進行立法，提供法律依據(jù)

對網(wǎng)絡(luò)安全以及電子商務(wù)安全進行立法，明確規(guī)定相關(guān)法律，對網(wǎng)絡(luò)安全及電子商務(wù)安全提供法律依據(jù)，用法律來保護網(wǎng)絡(luò)的安全。同時我國也要設(shè)立專門的行政部門對電子商務(wù)進行統(tǒng)計的管理和監(jiān)督，行政部門和相關(guān)法律政策相結(jié)合，加強對商家的審核，嚴(yán)厲打擊假冒偽劣產(chǎn)品，對商家進行嚴(yán)厲的批評和適當(dāng)?shù)牧P款，并進行應(yīng)有的法律教育，提高其遵紀(jì)守法的意識，加強職業(yè)操守，為當(dāng)今社會的電子商務(wù)創(chuàng)造良好的環(huán)境，使電子商務(wù)能夠有序的進行。對于構(gòu)建社會主義和諧社會有很大的推動作用。

4結(jié)語

總而言之，隨著經(jīng)濟和社會的不斷發(fā)展和進步，互聯(lián)網(wǎng)越來越成為人們生活中不可缺少的一部分，電子商務(wù)也必將取代傳統(tǒng)商務(wù)模式，成為將來購物的主要形式。但是電子商務(wù)發(fā)展過程中也存在著很多問題和隱患，其中問題最嚴(yán)中的就是信息安全問題，通過對電子商務(wù)發(fā)展中的各種問題進行解析，并且找出相對應(yīng)的解決辦法，是做好電子商務(wù)信息安全的必要選擇，也是做好網(wǎng)絡(luò)安全的必要選擇，同時也是做好國家信息安全的必要選擇。

作者:鄧志龍 單位:陜西青年職業(yè)學(xué)院

參考文獻:

［1］馬偉．新時期計算機電子商務(wù)的安全策略分析［J］．中國商貿(mào)，2013(18)．

［2］劉秀平，武守勇．淺析計算機信息安全策略的維度思考［J］．無線互聯(lián)科技，2013(04)．

第8篇

[關(guān)鍵詞] 電子商務(wù)SSL瀏覽器客戶端服務(wù)器數(shù)字證書CA

一、 引言

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，電子商務(wù)開始蓬勃發(fā)展起來，通過Internet進行的網(wǎng)上購物、在線交易、網(wǎng)上銀行等業(yè)務(wù)雖然為人們的工作和生活提供了極大的便利。但是，由于Internet本身具有的開放性、靈活性、共享性等特點，也為信息安全帶來了巨大威脅。所以，電子商務(wù)的安全問題是事關(guān)能否正常開展電子商務(wù)的首要問題。

目前，世界上提出了很多加強網(wǎng)上交易安全性的協(xié)議,如SSL、SET等。由于SET協(xié)議非常復(fù)雜,實現(xiàn)比較困難,而且執(zhí)行效率比較低，所以目前大部分網(wǎng)上交易都是采用SSL協(xié)議來實現(xiàn)。當(dāng)前，網(wǎng)上銀行等大型電子商務(wù)交易系統(tǒng)一般都采用HTTP和SSL相結(jié)合的方式,即在服務(wù)器端采用支持SSL的WWW服務(wù)器，在客戶端采用支持SSL的瀏覽器,雙方共同協(xié)作來實現(xiàn)安全的網(wǎng)絡(luò)通信。

二、SSL協(xié)議的介紹

安全套接層協(xié)議(Secure Sock Layer Protocol，簡稱SSL)是在電子商務(wù)發(fā)展初期發(fā)展起來的，最早由Netscape公司設(shè)計開發(fā)，它是在TCP/IP上實現(xiàn)的一種安全協(xié)議，其采用了不對稱加密技術(shù)。它為C/S(客戶端/服務(wù)器)通信安全提供面向連接的機制，建立安全通道，通過在安全通道上傳輸信用卡卡號的方式，可以構(gòu)建電子商務(wù)支付系統(tǒng)。SSL安全通道能使客戶端/服務(wù)器應(yīng)用之間的通信不被第三者竊聽，并且始終對服務(wù)器進行身份認(rèn)證，還可選擇對客戶端進行認(rèn)證。目前，大部分Web瀏覽器(Netscape Navigator和Microsoft IE)和Web服務(wù)器都已內(nèi)置了SSL協(xié)議，SSL已成為在電子商務(wù)中應(yīng)用最廣泛的安全協(xié)議之一。

SSL協(xié)議要求建立在可靠的傳輸層協(xié)議(例如：TCP)之上。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨立無關(guān)的。高層的應(yīng)用層協(xié)議(例如：HTTP，F(xiàn)TP，TELNET)能透明地建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成了加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的機密性。

SSL協(xié)議主要由SSL記錄協(xié)議和SSL握手協(xié)議兩部分組成。

1.SSL記錄協(xié)議。SSL記錄協(xié)議位于SSL協(xié)議的底層，用于封裝上層的協(xié)議。其規(guī)定了會話中傳遞的所有數(shù)據(jù)項的基本格式，提供壓縮數(shù)據(jù)、生成數(shù)據(jù)的完整性校驗值(MAC)、對數(shù)據(jù)進行加密、標(biāo)示數(shù)據(jù)長度、填充、流水作業(yè)號，并支持不同的加解密和雜湊算法。

2.SSL握手協(xié)議。SSL握手協(xié)議使得服務(wù)器和客戶端能夠相互認(rèn)證對方的身份、傳送所需的數(shù)字證書、建立所需的會話密鑰。SSL握手協(xié)議是較SSL記錄協(xié)議更高層的協(xié)議，必須先執(zhí)行握手協(xié)議后，才可能實現(xiàn)SSL記錄協(xié)議中的加密和完整性校驗。SSL協(xié)議通過在應(yīng)用程序進行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的建立。SSL握手過程一般分為4個階段：

(1)建立安全能力:該階段是用來初始化邏輯連接，并建立與之相關(guān)的安全能力。交換在客戶端發(fā)起，客戶端發(fā)送Client_hello消息，并包含以下數(shù)據(jù)(SSL版本、初始隨機參數(shù)、會話ID、密碼組參數(shù)、壓縮方法)，在發(fā)送了Client_hello消息之后，客戶端將等待包含與Client_hello消息參數(shù)一樣的Server_hello消息。

(2)服務(wù)器身份認(rèn)證和密碼交換：服務(wù)器發(fā)送自己的數(shù)字證書給客戶端，該證書帶有證書授權(quán)中心(CA)的數(shù)字簽名和服務(wù)器的公鑰以及其數(shù)字簽名，可以證明自己的合法性，然后開始密鑰交換。如果服務(wù)器要求認(rèn)證客戶端，則要請求客戶端數(shù)字證書。該階段以Hello消息段結(jié)束，之后服務(wù)器等待客戶端的響應(yīng)。

(3)客戶端認(rèn)證和密鑰交換：在這一階段，客戶端認(rèn)證服務(wù)器數(shù)字證書的合法性。如果服務(wù)器要求客戶端的數(shù)字證書，客戶端應(yīng)提供其數(shù)字證書，供服務(wù)器認(rèn)證客戶端的合法性。此外，還要發(fā)送交換密鑰。

(4)完成:該階段完成安全通道的建立，該消息并不被認(rèn)為是握手協(xié)議的一部分，而是改變密碼規(guī)格協(xié)議發(fā)送的。至此，客戶端和服務(wù)器完成了握手協(xié)議，可以開始交換應(yīng)用層的數(shù)據(jù)了。

三、SSL協(xié)議在服務(wù)器上的應(yīng)用

實現(xiàn)SSL協(xié)議，首先要在服務(wù)器上加裝SSL，其步驟為先在“Internet服務(wù)管理器”的“識別碼管理器”上填入網(wǎng)站的相關(guān)信息，以它為內(nèi)容產(chǎn)生一組公鑰，識別碼管理器還會將以上信息都寫入文件，接下來就可以用這份數(shù)據(jù)向證書授權(quán)中心(Certification Authority)申請SSL服務(wù)器數(shù)字證書了。CA是一個公開而且公正的組織單位，其專門負(fù)責(zé)受理數(shù)字證書的核準(zhǔn)，發(fā)放，注銷等管理工作(例如：VeriSign)。不同的CA有不同的申請方法。當(dāng)申請好數(shù)字證書后，選擇識別碼管理器下的安裝識別碼認(rèn)證，輸人密碼和數(shù)字證書文件的位置，就把數(shù)字證書安裝好了。然后就是指定哪些頁面需要用到SSL功能，打開Internet服務(wù)管理器，單擊所要設(shè)置的頁面目錄后按右鍵，單擊“屬性”，再選擇“目錄安全設(shè)定”下“安全通信”，按下編輯按鍵后在“當(dāng)存取這個資源必須使用安全通道”選項上打上勾，表示當(dāng)客戶端存取這個目錄時就會激活SSL功能。

服務(wù)器通過SSL服務(wù)器數(shù)字證書的兩個必要功能來建立電子商務(wù)信任體系。SSL服務(wù)器數(shù)字證書的兩個必要功能是：

1.SSL服務(wù)器認(rèn)證：服務(wù)器數(shù)字證書允許用戶確認(rèn)Web服務(wù)器的身份。Web瀏覽器自動檢查服務(wù)器數(shù)字證書和公共ID是有效的并已經(jīng)被CA(如：VeriSign)所，包括在可信任的內(nèi)嵌于瀏覽器中的CA列表。SSL服務(wù)器認(rèn)證對安全的電子商務(wù)交易是至關(guān)重要的。例如，用戶通過網(wǎng)絡(luò)發(fā)送信用卡號并想校驗接收服務(wù)器的身份。

2.SSL加密:SSL服務(wù)器數(shù)字證書建立了一個安全通道，在用戶瀏覽器和Web服務(wù)器之間傳送的所有信息由發(fā)送軟件加密、接收軟件解密，從而保護私有信息不被第三方所竊取。

四、SSL協(xié)議在客戶端的應(yīng)用

1.客戶連接一個站點和訪問一個安全的URL，即受服務(wù)器ID所保護的網(wǎng)頁。

2.客戶的瀏覽器自動向服務(wù)器發(fā)送瀏覽器的SSL版本號、密碼設(shè)置、產(chǎn)生的隨機數(shù)和服務(wù)器需要和客戶用SSL通信的其他信息。

3.服務(wù)器做出反應(yīng)，自動向瀏覽器發(fā)送站點的數(shù)字證書，包括服務(wù)器的SSL版本號、密碼設(shè)置等等。

4.客戶的瀏覽器檢查包含在服務(wù)器數(shù)字證書中的信息并校驗。

(1)服務(wù)器數(shù)字證書是否有效，日期是否有效。

(2)服務(wù)器數(shù)字證書的CA是否被可信任的CA所簽名，可信任的CA證書已嵌入瀏覽器中。

(3)嵌入瀏覽器中的CA的公鑰是否使者的數(shù)字簽名有效。

(4)服務(wù)器數(shù)字證書所指定的域名與服務(wù)器的真實域名是否匹配。

如果服務(wù)器不能通過認(rèn)證，那么用戶就會接收到警告信息，從而不能建立SSL安全通道。

5.如果服務(wù)器通過認(rèn)證，客戶瀏覽器就會產(chǎn)生一個唯一的“會話密鑰”來加密所有與服務(wù)器的通信內(nèi)容。

6.客戶的瀏覽器用服務(wù)器數(shù)字證書中的公鑰加密“會話密鑰”發(fā)送給服務(wù)器。這樣就可以確保只有服務(wù)器才能讀出“會話密鑰”。

7.服務(wù)器用自己的私鑰解密“會話密鑰”。

8.瀏覽器向服務(wù)器發(fā)送信息，表明以后從客戶端發(fā)送的信息都將用“會話密鑰”加密。

9.服務(wù)器向瀏覽器發(fā)送信息，表明以后從服務(wù)器發(fā)送的信息也將用“會話密鑰”加密。

10.這樣，在客戶端與服務(wù)器就建立了一個SSL安全通道。之后，所有通信內(nèi)容就在SSL安全通道內(nèi)用“會話密鑰”來加密和解密信息。

11.一旦本次會話結(jié)束，“會話密鑰”也就隨之失效。

上述過程只要花費幾秒鐘的時間，且不需要客戶的干涉。

另外，用戶還可以通過以下情況來確認(rèn)是否已經(jīng)和正在訪問的服務(wù)器建立了SSL安全通道：

> 在瀏覽器窗口的URL中以HTTPS：//開頭

> 在Netscape中，在窗口左下角的掛鎖是關(guān)閉的，而不是打開的。

> 在IE中，掛鎖出現(xiàn)在窗口狀態(tài)條的右下角。

五、SSL在現(xiàn)實中的應(yīng)用

以中國工商銀行“個人網(wǎng)上銀行”為例。首先訪問工商銀行首頁(省略/)。單擊“個人網(wǎng)上銀行登錄”圖標(biāo)。然后填入必要的信息，之后單擊同意按鈕就可以打開“個人網(wǎng)上銀行”。

首次使用時，會彈出一個要求安裝SSL數(shù)字證書的對話框，單擊“是”按鈕即可。在安裝好SSL數(shù)字證書之后，在IE瀏覽器的右下方就會出現(xiàn)一把閉合的黃色小鎖，其代表瀏覽器正在使用SSL加密傳輸?shù)馁Y料，從而避免敏感信息在傳輸?shù)倪^程中被竊取或者篡改。用戶可以通過雙擊這把小鎖來查看服務(wù)器SSL數(shù)字證書的詳細(xì)內(nèi)容。

值得一提的是個別瀏覽器只支持40位以下的加密算法。這對于傳輸重要信息是遠遠不夠的。在IE瀏覽器中，只要將鼠標(biāo)指向瀏覽器右下方的黃色小鎖，就可以看到SSL加密的位數(shù)。假如不是128位的話，可以通過單擊瀏覽器“幫助”菜單下的“關(guān)于Internet Explorer”。如果顯示的密鑰長度小于128位，則可以單擊“工具”菜單上的“Windows Update”，然后依據(jù)提示將瀏覽器更新為最新版本，使其支持128位的SSL加密算法。

六、SSL的功能及SSL的局限性

1.信息加密。SSL所采用的加密技術(shù)既有對稱加密技術(shù)，如DES；也有不對稱加密技術(shù)，如RSA。具體來說，客戶端與服務(wù)器在進行數(shù)據(jù)交換之前，先交換SSL握手信息，在SSL握手信息中采用了各種加密技術(shù)對其加密，以保證其機密性和數(shù)據(jù)的完整性，并且用數(shù)字證書進行認(rèn)證。

2.信息完整。SSL提供了信息完整服務(wù)，以建立客戶端與服務(wù)器之間的安全通道，使所有經(jīng)過SSL協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無誤地到達其目的地。

3.身份認(rèn)證。客戶端和服務(wù)器都有各自的識別號，這些識別號由公開密鑰進行編號。為了驗證用戶是否合法，SSL協(xié)議要求在握手交換數(shù)據(jù)前進行認(rèn)證，以此來確保用戶的合法性。 SSL堅持對服務(wù)器進行身份認(rèn)證，還可選擇性的對客戶端進行認(rèn)證。

然而，SSL當(dāng)初并不是為支持電子商務(wù)而設(shè)計的，所以其在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端。它只是簡單地在雙方之間建立了一條安全通道，在涉及多方的電子交易中，只能提供交易中客戶端與服務(wù)器之間的雙方認(rèn)證。而電子商務(wù)往往是用戶、網(wǎng)站、銀行三方協(xié)作完成，SSL協(xié)議并不能協(xié)調(diào)各方之間的安全傳輸和信任關(guān)系；另外還有購物時用戶要輸入通信地址，這樣將有可能使得用戶收到大量的垃圾信件。 此外，SSL協(xié)議不能防止心術(shù)不正的商家的欺詐，因為該商家掌握了客戶的信用卡號。商家欺詐是信用卡業(yè)發(fā)展所面臨的最嚴(yán)重的問題之一。但是，SSL除了傳輸過程以外不能提供任何安全保證，它并不能使客戶確信此公司接受信用卡支付是得到授權(quán)的。再者，SSL協(xié)議的最大不足之處在于，其不對應(yīng)用層的消息進行數(shù)字簽名，因此SSL不能提供交易的不可否認(rèn)性。

第9篇

關(guān)鍵詞：電子商務(wù) 物流 信息安全 數(shù)據(jù)加密

中圖分類號: TP309 文獻標(biāo)識碼: A

當(dāng)今世界網(wǎng)絡(luò)，通信和信息技術(shù)飛速發(fā)展，Internet在全球迅速普及，使得商務(wù)空間發(fā)展到全球的規(guī)模，促進企業(yè)組織改革自己的思維觀念、組織結(jié)構(gòu)、戰(zhàn)略方針和運行方式來適應(yīng)全球性的發(fā)展變化。電子商務(wù)就是適應(yīng)以全球為市場而出現(xiàn)和發(fā)展起來的一種新的商貿(mào)模式，通過網(wǎng)絡(luò)技術(shù)快速而有效地進行各種商務(wù)行為，即在商務(wù)運作的整個過程中實現(xiàn)交易無紙化、直接化。電子商務(wù)可以使商家與供應(yīng)商，在全球市場上銷售產(chǎn)品;也可以讓用戶足不出戶在全球范圍內(nèi)選擇最佳商品，享受全過程的電子服務(wù)。

一、物流在電子商務(wù)流程中的作用

電子商務(wù)對象是整個交易過程，任何一筆交易都由信息流、商流、資金流和物流等四個基本部分組成。開展電子商務(wù)的最終目的是為了解決信息流和資金流處理上的延遲，從而提高對物流過程管理的現(xiàn)代化水平，進一步提高現(xiàn)代化物流速度。物流做為網(wǎng)上電子交易的最后一個過程，執(zhí)行結(jié)果的好壞將對電子交易的成敗起著十分重要的作用，是實現(xiàn)電子商務(wù)的重要環(huán)節(jié)和基本保證。電子商務(wù)必須有現(xiàn)代化的物流技術(shù)的支持，才能體現(xiàn)出其所具有的無可比擬的先進性和優(yōu)越性，在最大限度上使交易雙方得到便利，獲得效益。

二、電子商務(wù)流程中物流的實現(xiàn)

在電子商務(wù)中，信息流、商流、資金流的處理可以通過計算機和網(wǎng)絡(luò)通信設(shè)備實現(xiàn)。對于有形的商品和服務(wù)來說，物流仍然要由物理的方式進行傳輸；對于無形的商品及服務(wù)如各種電子出版物、信息咨詢服務(wù)以及有價信息軟件等，可以直接通過網(wǎng)絡(luò)傳輸?shù)姆绞竭M行電子化配送。電子商務(wù)環(huán)境下的物流，通過機械化和自動化工具的應(yīng)用和準(zhǔn)確、及時的物流信息對物流過程的監(jiān)控，使物流的速度加快、準(zhǔn)確率提高，能有效地減少庫存，縮短生產(chǎn)周期。

三、電子商務(wù)中物流信息安全問題

物流正在向信息化、自動化、網(wǎng)絡(luò)化和智能化的方向發(fā)展，越來越依賴于網(wǎng)絡(luò)傳輸信息的安全性能。由于Internet具有開放性和匿名性，其安全問題變得越來越突出。物流信息在網(wǎng)絡(luò)傳輸過程中，經(jīng)常會遭到黑客的攔截、竊取、篡改、盜用、監(jiān)聽等惡意破壞，給商戶帶來重大損失。以各種非法手段企圖入侵計算機網(wǎng)絡(luò)的黑客，其惡意攻擊構(gòu)成電子商務(wù)系統(tǒng)中網(wǎng)絡(luò)安全的最大威脅，已經(jīng)成為物流信息安全的最大隱患。黑客攻擊經(jīng)常使用的手段有：

1、獲取口令

有三種方法：一是精心偽造一個登錄頁面，并嵌入到相關(guān)網(wǎng)頁上，當(dāng)商戶鍵入登錄信息（用戶名和密碼等）后，將這些信息傳送到黑客的主機，然后關(guān)閉頁面給出“系統(tǒng)故障”等提示，要求商戶重新登錄，此后才出現(xiàn)真正的登錄頁面。二是通過網(wǎng)絡(luò)監(jiān)聽得到商戶口令，監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號和口令，對LAN威脅巨大。三是知道商戶賬號后利用一些專門軟件強行破解商戶口令。

2、郵件炸彈

用偽造的IP地址和電子郵件地址向商戶信箱發(fā)送無數(shù)封內(nèi)容相同的惡意郵件，擠滿郵箱，把正常郵件沖掉。同時占用大量網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)路阻塞，甚至使電子郵件服務(wù)器癱瘓。

3、特洛伊木馬

在商戶的電腦中隱藏一個會在系統(tǒng)啟動時運行的程序，采用服務(wù)器/客戶機的運行方式，在上網(wǎng)時控制商戶電腦，竊取口令、瀏覽商戶的驅(qū)動器、修改商戶文件和登錄注冊表等。

4、誘敵深入

黑客編寫“合法”程序，上傳到FTP站點或提供給個人主頁誘導(dǎo)客戶。當(dāng)客戶下載該軟件時，黑客的軟件一并進入客戶的計算機上，跟蹤客戶的操作，記錄客戶輸入的每一個口令，發(fā)送到黑客指定的E-mail中。

5、尋找漏洞

尋找攻擊目標(biāo)的系統(tǒng)安全漏洞或安全弱點，以便獲取攻擊目標(biāo)系統(tǒng)的非法訪問權(quán)。

四、物流信息安全防護策略

合法商戶進行網(wǎng)上查詢、交易雙方業(yè)務(wù)洽談、買方下訂單并得到賣方確認(rèn)、商品配送、售后服務(wù)、技術(shù)支持等在線操作時對商務(wù)數(shù)據(jù)的安全需求比較高，同時希望私有信息（口令、賬戶數(shù)據(jù)等）保密。采用身份認(rèn)證和數(shù)據(jù)加密技術(shù)能夠保護商戶私人信息及商務(wù)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸時不被竊聽、篡改、頂替及非法使用。

1、身份驗證

采用數(shù)字證書身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)。每個企業(yè)用戶應(yīng)該申請一張數(shù)字證書，上網(wǎng)進行賬戶查詢時，網(wǎng)上銀行系統(tǒng)首先驗證該用戶數(shù)字證書是否合法，然后將查詢請求和口令一起發(fā)送給業(yè)務(wù)前置機，對口令再次進行認(rèn)證。當(dāng)服務(wù)器獲得用戶證書后，還要檢索該證書是否在廢止證書列表之中。對于個人用戶，可以采用對口令加密的方式進行身份驗證，不需要申請證書，比較方便。

2、數(shù)據(jù)加密

物流信息在網(wǎng)絡(luò)中傳輸時，通常不是以明文方式而是以密文的方式進行通信傳輸。因為以明文傳輸?shù)男畔?shù)據(jù)，一旦被他人截獲會輕而易舉地被讀懂、竊取盜用及篡改，很難保證物流配送活動的機密性、可靠性和安全性。下面利用C語言編程實現(xiàn)替換加密方法。

Caesar（愷撒）密碼是一種最古老的技術(shù)，將明文中每個字母替換為字母表中其后面固定數(shù)目位置的字母。如要傳輸?shù)拿魑氖恰癐 am a teacher!”，經(jīng)過加密，密鑰為5，對方接收到的密文是“N fr f yjfhmjw!”，對第三方來說，這是毫無意義的一串字符，避免了泄密。合法接收方進行解密，又會得到“I am a teacher!”字符串。加密算法代碼如下：

#include "string.h"

main()

{ int i,ld, newasc;

char mingwen[20], miwen[20], c;

strcpy(mingwen,"I am a teacher!"); /*明文*/

ld = strlen(mingwen);

for (i=0; i

{ c =mingwen[i];

if (c>='A' && c

{ newasc = c + 5; /*密鑰為5*/

if (newasc > 'Z')newasc = newasc - 26 ;

miwen[i] = newasc;}

else if (c>='a' && c

{ newasc = c + 5 ;

if (newasc >'z') newasc = newasc - 26;

miwen[i] = newasc ; }

else

miwen[i] =c;

}

for(i=0;i

}

數(shù)據(jù)加密后傳輸，一定程度上保證了信息的安全性，密鑰的保密是很關(guān)鍵的。否則，網(wǎng)絡(luò)攻擊者掌握加密、解密算法，又得到密鑰，對合法商戶會造成致命的損失。因此加強對密鑰的管理，要貫穿于密鑰的整個生存期：密鑰的生成、驗證、傳遞、保管、使用和銷毀。

電子商務(wù)作為網(wǎng)絡(luò)時代的一種全新的交易模式，相對于傳統(tǒng)商務(wù)是一場革命。電子商務(wù)的優(yōu)勢之一就是能大大簡化業(yè)務(wù)流程，降低企業(yè)運作成本。而電子商務(wù)企業(yè)成本優(yōu)勢的建立和保持必須以可靠和高效的物流運作作為保證。所以，加大力度防護物流信息的安全，大力發(fā)展現(xiàn)代化物流，電子商務(wù)才能得到更好的發(fā)展。

作者單位：渤海大學(xué)

參考文獻：

[1]曹淑艷.電子商務(wù)應(yīng)用基礎(chǔ)[M].北京：清華大學(xué)出版社，2005.9.