序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇電子商務安全論文范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來更深刻的閱讀感受。

篇（1）

2電子商務的主要安全要素

目前電子商務工程正在全國迅速發(fā)展。實現(xiàn)電子商務的關鍵是要保證商務活動過程中系統(tǒng)的安全性，即應保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看，傳統(tǒng)的買賣雙方是面對面的，因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中，買賣雙方是通過網(wǎng)絡來聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現(xiàn)，電子商務交易雙方（銷售者和消費者）都面臨安全威脅，電子商務的安全要素主要體現(xiàn)在以下幾個方面：

2.1信息真實性、有效性

電子商務以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿(mào)易的一種形式，其信息的有效性和真實性將直接關系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。

2.2信息機密性

電子商務作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的，商業(yè)防泄密是電子商務全面推廣應用的重要保障。

3.3信息完整性

電子商務簡化了貿(mào)易過程，減少了人為的干預，同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。因此，電子商務系統(tǒng)應充分保證數(shù)據(jù)傳輸、存儲及電子商務完整性檢查的正確和可靠。

3.4信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^；不可否認要求即是能建立有效的責任機制，防止實體否認其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。

在無紙化的電子商務方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在1nternet上每個人都是匿名的，電子商務系統(tǒng)應充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3電子商務安全系統(tǒng)

網(wǎng)絡安全是電子商務的基礎。為了保證電子商務交易能順利進行，要求電子商務平臺要穩(wěn)定可靠，能不中斷地提供服務。任何系統(tǒng)的中斷，如硬件、軟件錯誤，網(wǎng)絡故障、病毒等都可能導致電子商務系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經(jīng)濟損失。

所以就整個電子商務安全系統(tǒng)而言，安全性可以劃分為四個層次，

1)網(wǎng)絡節(jié)點的安全

2)通訊的安全性

3)應用程序的安全性

4)用戶的認證管理

其中2、3、4是通過操作系統(tǒng)和Web服務器軟件實現(xiàn)，而網(wǎng)絡節(jié)點的安全性依靠防火墻保證，我們應該首先保證網(wǎng)絡節(jié)點的安全性。

3.1網(wǎng)絡節(jié)點的安全

防火墻是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊，為電子商務的施展提供個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統(tǒng)。應給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源，這種安全策略應包括：規(guī)定的網(wǎng)絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及管理制度等。所有有可能受到網(wǎng)絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設。

3.2通訊的安全

在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度，也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制，SSL首先要求服務器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機構(gòu)（CA中心）簽發(fā)。瀏覽器要驗征服務器證書的正確性，必須事先安裝簽發(fā)機構(gòu)提供的基礎公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法（RSA）與服務器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出進入安全狀態(tài)的提示。

3.3應用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計算機系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行，而不是只有有限的指令子集在特權(quán)模式下運行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如，緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。

3.4用戶的認證管理

1)身份認證

電子商務企業(yè)用戶身份認證可以通過服務器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認證服務器的身份，IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認機制。

2)CA證書

要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性，需要一份數(shù)字證書進行驗證，這份數(shù)字證書就是CA證書，它由認證授權(quán)中心（CA中心）發(fā)行。認證中心（CA）就是承擔網(wǎng)上安全交易認證服務，能簽發(fā)數(shù)字證書，并能確認用戶身份的服務機構(gòu)。認證中心通常是企業(yè)性的服務機構(gòu)，主要任務是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認的可靠組織，它對個人、組織進行審核后，為其發(fā)放數(shù)字證書，證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書（下載可以在訪問之前或訪問時進行）。

3)安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。

SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證，數(shù)字證書是從認證機構(gòu)（CA，CertificateAuthority）獲得的，通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后，雙方就可以用保密密鑰進行安全的會話了。

SSL協(xié)議在應用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應用協(xié)議（如Http、Ftp、Telnet等）以保證應用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個階段組成：服務器認證和用戶認證。

①服務器認證

客戶端向服務器發(fā)送一個“Hello”信息，以便開始一個新的會話連接；服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務器響應信息，產(chǎn)生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進行加密來認證服務器，從而建立安全的通信通道。

②用戶認證

經(jīng)認證的服務器發(fā)送一個提問給客戶，客戶則返回數(shù)字簽名后的提問和其公開密鑰，從而向服務器提供認證。SSL協(xié)議支持各種加密算法，實現(xiàn)簡單，獨立于應用層協(xié)議，且被大部分瀏覽器和Web服務器內(nèi)置，便于在電子交易中應用。但SSL是一個面向連接的協(xié)議，起初并不是為了支持電子商務而設計的，只能提供交易中客戶與服務器間的雙方認證，在涉及多方的電子交易中，SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關系。為此，開發(fā)出了在網(wǎng)絡應用層中專為電子商務而設計的SET協(xié)議。

4安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術手段外，還必須建立嚴格的內(nèi)部安全機制。對于所有接觸系統(tǒng)的人員，按其職責設定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則，嚴格管理內(nèi)部用戶帳號和密碼，進入系統(tǒng)內(nèi)部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶帳號和密碼。

建立網(wǎng)絡安全維護日志，記錄與安全性相關的信息及事件，有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志，以便及時發(fā)現(xiàn)潛在的安全威脅。

篇（2）

1校園電子商務概述

1.1校園電子商務的概念。

校園電子商務是電子商務在校園這個特定環(huán)境下的具體應用，它是指在校園范圍內(nèi)利用校園網(wǎng)絡基礎、計算機硬件、軟件和安全通信手段構(gòu)建的滿足于校本論文由整理提供園內(nèi)單位、企業(yè)和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統(tǒng)。

1.2校園電子商務的特點。

相對于一般電子商務，校園電子商務具有客戶群本論文由整理提供穩(wěn)定、網(wǎng)絡環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務性大于盈利性等特點，這些特點也是校園開展電子商務的優(yōu)勢所在。與傳統(tǒng)校園商務活動相比，校園電子商務的特點有：交易不受時間空間限制、快捷方便、交易成本較低。

2校園電子商務的安全問題

2.1校園電子商務安全的內(nèi)容。

校園電子商務安全內(nèi)容從整體上可分為兩大部分：校園網(wǎng)絡安全和校園支付交易安全。校園網(wǎng)絡安全內(nèi)容主要包括：計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務活動在校園網(wǎng)應用時所產(chǎn)生的各種安全問題，如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務等。

2.2校園電子商務安全威脅。

校園電子商務安全威脅同樣來自網(wǎng)絡安全威脅與交易安全威脅。然而，網(wǎng)絡安全與交易安全并不是孤立的，而是密不可分且相輔相成的，網(wǎng)絡安全是基礎，是交易安全的保障。校園網(wǎng)也是一個開放性的網(wǎng)絡，它也面臨許許多多的安全威脅，比如：身份竊取、非本論文由整理提供授權(quán)訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務、交易否認、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動的安全性受到嚴重的威脅，網(wǎng)上交易面臨的威脅可以歸納為：信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術手段盜取或截獲交易信息致使信息的機密性遭到破壞；篡改信息是非法用戶對交易信息插入、刪除或修改，破壞信息的完整性；假冒是非法用戶冒充合法交易者以偽造交易信息；交易抵賴是交易雙方一方或否認交易行為，交易抵賴也是校園電子商務安全面臨的主要威脅之一。

2.3校園電子商務安全的基本安全需求。

通過對校園電子商務安全威脅的分析，可以本論文由整理提供看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統(tǒng)的整體規(guī)劃可以提高其安全需求。

3校園電子商務安全解決方案

3.1校園電子商務安全體系結(jié)構(gòu)。

校園電子商務安全是一個復雜的系統(tǒng)工程，因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務的安全需求，通過對校園人文環(huán)境、網(wǎng)絡環(huán)境、應用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃，再結(jié)合的電子商務的安全技術，總結(jié)校園電子商務安全體系本論文由整理提供結(jié)構(gòu)，如圖所示：

上述安全體系結(jié)構(gòu)中，人文環(huán)境層包括現(xiàn)有的電子商務法律法規(guī)以及校園電子商務特有的校園信息文化，它們綜合構(gòu)成了校園電子商務建設的大環(huán)境；基礎設施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認證中心；邏輯實體層包括校園一卡通、支付網(wǎng)關、認證服務器和本論文由整理提供交易服務器；安全機制層包括加密技術、認證技術以及安全協(xié)議等電子商務安全機制；應用系統(tǒng)層即校園電子商務平臺，包括網(wǎng)上交易、支付和配送服務等。

針對上述安全體系結(jié)構(gòu)，具體的方案有：

（1）營造良好校園人文環(huán)境。加強大學生本論文由整理提供的道德教育，培養(yǎng)校園電子商務參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念，共

同營造良好的校園電子商務人文環(huán)境，防止人為惡意攻擊和破壞。

（2）建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程，校園電子商務系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián)，由學校結(jié)算中心專門處理與金融機構(gòu)的業(yè)務，可以大大提高校園網(wǎng)上支付的安全性。

（3）建立統(tǒng)一身份認證系統(tǒng)。建立校園統(tǒng)一身份認證系統(tǒng)可以為校園電子商務系統(tǒng)提供安全認證的功能。

（4）組織物流配送團隊。校園師生居住地點相對集中，一般來說就在學校內(nèi)部或校園附近，只需要很少的人員就可以解決物流配送問題，而本論文由整理提供不需要委托第三方物流公司，在校園內(nèi)建立一個物流配送團隊就可以準確及時的完成配送服務。

3.2校園網(wǎng)絡安全對策。

保障校園網(wǎng)絡安全的主要措施有：

（1）防火墻技術。利用防火墻技術來實現(xiàn)校園局域網(wǎng)的安全性，以解決訪問控制問題，使只有授權(quán)的校園合法用戶才能對校園網(wǎng)的資源進行訪問本論文由整理提供，防止來自外部互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡的破壞。

（2）病毒防治技術。在任何網(wǎng)絡環(huán)境下，計算機病毒都具有不可估量的威脅性和破壞力，校園網(wǎng)雖然是局域網(wǎng)，可是免不了計算機病毒的威脅，因此，加強病毒防治是保障校園網(wǎng)絡安全的重要環(huán)節(jié)。

（3）VPN技術。目前，我國高校大都已經(jīng)建立了校園一卡通工程，如果能利用VPN技術建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的本論文由整理提供安全傳輸。有效保證了網(wǎng)絡的安全性和穩(wěn)定性且易于維護和改進。

3.3交易信息安全對策。

針對校園電子商務中交易信息安全問題，可以用電子商務的安全機制來解決，例如數(shù)據(jù)加密技術、認證技術和安全協(xié)議技術等。通過數(shù)據(jù)加密，可以保證信息的機密性；通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解本論文由整理提供決信息的完整性和不可否認性的問題；通過安全協(xié)議方法，建立安全信息傳輸通道來保證電子商務交易過程和數(shù)據(jù)的安全。

（1）數(shù)據(jù)加密技術。加密技術是電子商務中最基本的信息安全防范措施，其原理是利用一定的加密算法來保證數(shù)據(jù)的機密，主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，而解密密鑰不公開。

（2）認證技術。認證技術是保證電子商務交易安全的一項重要技術，它是網(wǎng)上交易支付的前提，負責對交易各方的身份進行確認。在校園電子商務本論文由整理提供中，網(wǎng)上交易認證可以通過校園統(tǒng)一身份認證系統(tǒng)（例如校園一卡通系統(tǒng)）來進行對交易各方的身份認證。

（3）安全協(xié)議技術。目前，電子商務發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務的需求分析，校園電子商務更適合采用SSL協(xié)議。SSL位于傳輸層與應用層之間，能夠更好地封裝應用層數(shù)據(jù)，不用改變位于應用層的應用程序，對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道，保證傳輸數(shù)據(jù)的安全。

3.4基于一卡通的校園電子商務。

目前，我國高校校園網(wǎng)建設和校園一卡通工程建設逐步完善，使用校園一卡通進行校園電子商務的網(wǎng)上支付可以增強校園電子商務的支付安全，可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風險等。同時，使用校園一卡通作為校園電子支付載體的安全保障有：

（1）校園網(wǎng)是一個內(nèi)部網(wǎng)絡，它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵，由于有防火墻及反病毒軟件等安全防范設施，來自外部網(wǎng)絡人員的破壞可能性很小。同時，校園一卡通中心有著良好的安全機制，使得使用校園一卡通在校內(nèi)進行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微。超級秘書網(wǎng)

（2）校園一卡通具有統(tǒng)一身份認證系統(tǒng)，能夠?qū)⑴c交易的各方進行身份認證，各方的交易活動受到統(tǒng)一的審計和監(jiān)控，統(tǒng)一身份認證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡管理中對不同角色的用戶享有不同級別的授權(quán)，使其網(wǎng)上活動受到其身份的限制，有效防止一些惡意事情的發(fā)生。同時，由于校內(nèi)人員身份單一，多為學生，交易中一旦發(fā)生糾紛，身份容易確認，糾紛就容易解決。

4結(jié)束語

篇（3）

電子商務是一個跨國界，跨地區(qū)，跨行業(yè)的多種技術綜合集成與不同社會經(jīng)濟文化背景形成的各種習俗不斷沖突，不斷協(xié)調(diào)和不斷統(tǒng)一的綜合性社會系統(tǒng)工程。電子商務安全策略保障電子商務各個主體的切身利益。電子商務安全策略是以人為本，從各主體的角度思考，綜合協(xié)調(diào)了各個市場主體的行為，從根本上保障了消費者、企業(yè)、電子商務網(wǎng)站等市場主體的切身利益，它為實現(xiàn)電子商務提供了統(tǒng)一的基礎平臺和安全屏障。

一、電子商務安全技術保障策略

安全技術保障技術是電子商務安全體系中的基本策略，目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有以下幾種：

1.密碼技術。密碼技術包括加密技術和解密技術。加密是將信息經(jīng)過加密密鑰及加密函數(shù)轉(zhuǎn)換，變成無意義的密文。而解密則是將密文經(jīng)過解密函數(shù)、解密密鑰處理還原成原文。密碼技術是網(wǎng)絡安全技術的基礎。

2.身份驗證技術。電子商務主體向系統(tǒng)證明自己身份，并由系統(tǒng)查核該主體的過程，是確認真實有效身份的重要環(huán)節(jié)，這個過程叫作身份驗證。常用的驗證技術有報文鑒別、身份鑒別和電子簽名。

3.訪問控制技術。訪問控制是指對電子商務網(wǎng)絡系統(tǒng)中各種資源訪問時的權(quán)限確認，防止非法訪問。它包括有關的策略、模型、機制的基礎理論與實現(xiàn)方法。

4.防火墻技術。防火墻是用一組網(wǎng)絡設備來加強一個網(wǎng)絡與外界之間的訪問控制。防火墻整體可以分為三大類：分組過濾、應用、電路網(wǎng)關。

二、企業(yè)電子商務安全運營管理制度保障策略

企業(yè)電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規(guī)定，是保證企業(yè)取得電子商務成功的基礎，是企業(yè)電子商務人員工作的規(guī)范和準則。這些制度主要包括人員管理制度，保密制度，跟蹤審計制度，系統(tǒng)維護制度、數(shù)據(jù)備份制度等。

1.人員管理制度人員管理制度主要從人員的選拔，工作責任的落實和安全運作必須遵循的基本原則制定相應的工作制度。

2.保密制度電子商務系統(tǒng)涉及企業(yè)的市場、生產(chǎn)、財務、供應鏈等多方面的機密，這些方面都是需要很好地劃分信息安全級別，并確定安全防范重點，提出相應的保密措施。

3.跟蹤審計制度跟蹤制度就是要求企業(yè)建立網(wǎng)絡交易的日志機制，來記錄網(wǎng)絡交易的全過程。而審計制度是對系統(tǒng)日志的經(jīng)常檢查、審核，及時發(fā)現(xiàn)對系統(tǒng)有安全隱患的記錄，監(jiān)控各種安全事故，維護和管理系統(tǒng)日志。

4.網(wǎng)絡系統(tǒng)的日常維護制度網(wǎng)絡系統(tǒng)的日常維護包括硬件的日常維護和軟件的日常維護，硬件維護主要是對網(wǎng)絡設備服務器和客戶機以及通信線路進行定期規(guī)范地巡查、檢修；軟件維護主要是規(guī)范地對支撐軟件的定期清理和整理、監(jiān)測、處理特殊情況以及對應用軟件的升級等。

5.數(shù)據(jù)備份制度數(shù)據(jù)備份主要是利用多種介質(zhì)對信息系統(tǒng)數(shù)據(jù)進行存儲，定期為重要信息備份、系統(tǒng)設備備份，并定期更新，以減少安全事故發(fā)生時造成的損失。

三、電子商務立法策略

電子商務安全得到法律保障，首先必須完善電子商務安全相關的法律。如何構(gòu)建一個有針對性的健全的法律體系是擺在我們面前的迫切問題?？梢詮牧⒎康?、立法原則、立法范圍和立法途徑上分析。

1.立法目的電子商務安全立法的目的主要是要消除電子商務發(fā)展的法律障礙；消除現(xiàn)有法律適用上的不確定性，保護合理的商業(yè)行為，保障電子交易安全；建立一個清晰的法律框架以統(tǒng)一調(diào)整電子商務的健康發(fā)展。

2.立法范圍電子商務安全方面需要的法律法規(guī)主要有：市場準入制度、合同有效認證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法，知識產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡信息內(nèi)容過濾等；電子商務調(diào)整的對象是電子商務中的各種社會關系。[3.立法途徑電子商務法律仍然是調(diào)整社會關系，所以應當繼承傳統(tǒng)立法的合理內(nèi)核，尤其是基礎價值觀。具體的立法途徑主要是兩種：第一是制定新的法律規(guī)范。對于傳統(tǒng)法律沒有規(guī)定的，即由電子商務帶來的新的社會關系，應盡快制定法律規(guī)范；第二是修改或重新解釋既定的法律規(guī)范。對于傳統(tǒng)法律的規(guī)定不明確，或與電子商務新型社會關系有沖突甚至存在缺欠的，可以修改或重新解釋既定的法律規(guī)范。

四、政府監(jiān)督管理策略

電子商務本質(zhì)是一種市場運作模式，市場的正常健康有序地發(fā)展，必須有政府宏觀上的監(jiān)督與管理，以協(xié)調(diào)和規(guī)范各市場主體的行為，宏觀監(jiān)督與管理電子商務運行中的安全保障體系。

1.計算機信息系統(tǒng)安全管理計算機信息系統(tǒng)，是指“由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構(gòu)成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。”計算機安全保護規(guī)范主要有計算機安全等級保護制度，計算機系統(tǒng)使用單位安全負責制度，計算機案件強行報告制度，計算機病毒及其有害數(shù)據(jù)的專管制度與計算機信息安全專用產(chǎn)品銷售許可證制度。對計算機信息系統(tǒng)安全的保護，有利于保障國家的安全和社會安定，促進電子商務的安全交易過程，有利電子商務的健康發(fā)展。

2.網(wǎng)絡廣告和網(wǎng)絡服務業(yè)管理由于網(wǎng)絡的開放性，自由性等特征決定了網(wǎng)絡廣告監(jiān)管的難度，虛假廣告、廣告充斥著網(wǎng)絡空間，網(wǎng)絡廣告已經(jīng)發(fā)展成為一個社會問題。網(wǎng)絡廣告管理應該從三個方面入手：第一，網(wǎng)絡廣告組織的管理，必須對網(wǎng)站廣告經(jīng)營主體資格進行管制，第二，規(guī)范網(wǎng)絡廣告內(nèi)容，確保廣告內(nèi)容的真實性、合法性和科學性。第三，需要有具體的廣告審查管制、評估與監(jiān)測部門。

國家針對網(wǎng)絡服務業(yè)和網(wǎng)絡用戶管理已經(jīng)頒布了《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》，其中提出了詳細具體的限制條件。但是，網(wǎng)絡飛速發(fā)展，面對網(wǎng)絡中的新問題，還必須進一步深入全面地研究。

3.認證機構(gòu)管理認證機構(gòu)是電子商務活動中專門從事頒發(fā)認證證書的機構(gòu)，對電子商務交易活動順利進行，電子商務活動中交易參與各方身份和信息認定，維護交易安全具有重要作用。對認證機構(gòu)的管理主要是通過對設立的條件、撤消或者頒發(fā)許可證等營業(yè)資格而進行審批監(jiān)督；同時，還要針對其資產(chǎn)和財務狀況定期審查，以免發(fā)生財務危機，對其信息披露與保密情況、安全系統(tǒng)運行情況等方面進行不定期或定期監(jiān)督檢查。

4.加強社會信用道德建設，構(gòu)建和諧安全電子商務電子商務安全問題其中有很大部分是由電子商務用戶或從業(yè)人員的信用道德問題引發(fā)的，在我國尤其嚴重，甚至大家感嘆電子商務在我國“水土不服”。對于新型的商業(yè)運作模式，必然存在不少漏洞，這需要廣大電子商務市場主體有良好的電子商務道德意識。除了從法律上采取措施，更重要的是政府要加強電子商務市場主體自身的道德建設,加強輿論監(jiān)督和企業(yè)自律，充分利用網(wǎng)絡新聞輿論監(jiān)督，消費者輿論監(jiān)督和行業(yè)協(xié)會的管理監(jiān)督。

五、結(jié)束語

電子商務安全不僅涉及到電子商務公司、企業(yè)、消費者的利益，而且更加廣泛地涉及經(jīng)濟、政治、國防、文化等諸多方面，關系到國家的安全、和社會的穩(wěn)定。電子商務安全策略確保電子商務的快速、健康地發(fā)展。電子商務安全是目前電子商務發(fā)展的瓶頸，只有解決了電子商務安全，保障了市場主體的利益，才能得到網(wǎng)絡用戶的認可和參與，電子商務自身也才能得到快速、健康地發(fā)展。

參考文獻

[1]林寧，吳志剛.我國信息安全技術標準化現(xiàn)狀[J].中國標準化，2007（4）

篇（4）

一移動電子商務存在的安全問題分析

移動電子商務由于利用了很多新興的設備和技術，因此帶來了很多新的安全問題。在傳統(tǒng)電子商務中，很多顧客和企業(yè)由于擔心因安全問題蒙受損失而一直對這種高效便捷的商務方式持觀望態(tài)度。而移動電子商務除包含大部分傳統(tǒng)電子商務所面臨的各種安全問題外，由于自身的移動性所帶來的一些相關特性又產(chǎn)生了大量全新的安全問題。總的來說，移動電子商務的安全面臨著技術、管理和法律幾個方面的挑戰(zhàn)，與傳統(tǒng)電子商務相比，其安全問題更加復雜，解決起來難度更大。

1.無線竊聽

傳統(tǒng)的有線網(wǎng)絡是利用通信電纜作為傳播介質(zhì)，這些介質(zhì)大部分處于地下等一些比較安全的場所，因此中間的傳輸區(qū)域相對是受控制的。而在無線通信網(wǎng)絡中，所有的通信內(nèi)容（如移動用戶的通話信息、身份信息、位置信息、數(shù)據(jù)信息等）都是通過無線信道傳送的，無線信道是一個開放性信道，是利用無線電波進行傳播的，在無線網(wǎng)絡中的信號很容易受到攔截并被解碼，只要具有適當?shù)臒o線接收設備就可以很容易實現(xiàn)無線監(jiān)聽，而且很難被發(fā)現(xiàn)。

2.非授權(quán)訪問數(shù)據(jù)

非授權(quán)訪問是指未經(jīng)授權(quán)的主體獲得了訪問網(wǎng)絡資源的機會，并有可能篡改信息資源。攻擊者能在服務網(wǎng)內(nèi)竊聽、非授權(quán)訪問用戶的敏感數(shù)據(jù)。這種訪問通常是通過在不安全信道上截取正在傳輸?shù)男畔⒒蛘呃眉夹g及產(chǎn)品中固有的弱點來實現(xiàn)。

3.假冒攻擊

在無線通信網(wǎng)絡中，移動站必須通過無線信道傳送其身份信息，以便于網(wǎng)絡控制中心以及其他移動站能夠正確鑒別它的身份。由于無線信道傳送的任何信息都可能被竊聽，當攻擊者截獲到一個合法用戶的身份信息時，他就可以利用這個身份信息來假冒該合法用戶，這就是所謂的身份假冒攻擊。另外，主動攻擊者還可以假冒網(wǎng)絡控制中心。如在移動通信網(wǎng)絡中，主動攻擊者可能假冒網(wǎng)絡基站來欺騙移動用戶，以此手段獲得移動用戶的身份信息，從而假冒該移動用戶身份。

4.移動終端的安全管理問題

很多用戶容易將比較機密的個人資料或商業(yè)信息存儲在移動設備當中，如PIN碼、銀行帳號甚至密碼等，原因是這些移動設備可以隨身攜帶，數(shù)據(jù)和信息便于查找。但是由于移動設備體積較小，而且沒有建筑、門鎖和看管保證的物理邊界安全，因此很容易丟失和被竊。很多用戶對他們的移動設備沒有設置密碼保護，對存儲信息沒有備份，在這種情況下丟失數(shù)據(jù)或被他人惡意盜用，都將會造成很大的損失。

二電子商務安全管理的解決之策

1.身份認證技術

信息安全的一個重要方面是保證通信雙方身份的真實性，即防止攻擊者對系統(tǒng)進行主動攻擊，如假冒用戶等。身份認證是防止攻擊者主動攻擊的一個重要技術，它對于開放環(huán)境別是無線通信中各種信息的安全有重要作用。認證的主要目的，第一驗證消息發(fā)送者和接收者的真?zhèn)危诙炞C消息的完整性，驗證消息在傳送或存儲過程中是否被篡改、重放或延遲等。口令是最簡單的身份認證技術，安全性較差，因此有一次性口令等多種技術來提高它的安全性。利用密碼技術，特別是公鑰密碼技術可以獲得安全性較高的身份認證功能。保密和認證是信息系統(tǒng)安全的兩個重要方面，它們是兩個不同屬性的問題，一般來說，認證不能自動提供保密，保密不能自然地提供認證功能。

2.WPKI技術

在有線通信中，電子商務交易的一個重要安全保障是PKI。PKI的系統(tǒng)概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題，但在應用PKI的同時要考慮到移動通信環(huán)境的特點，并據(jù)此對PKI技術進行改進。

3.安全管理模型的建立及實施

對移動電子商務系統(tǒng)的管理過程是一個動態(tài)的管理過程，是一個循環(huán)反復、螺旋上升的過程，論文嘗試建立一個“閉環(huán)”管理模型，將安全管理的各個階段融入于模型之中，然后不斷連續(xù)審查整個過程，發(fā)現(xiàn)問題時及時更新，及時解決，以便形成越來越完善的安全系統(tǒng)。

制定一套完整的安全方案一套完整的安全方案是實現(xiàn)移動電子商務系統(tǒng)安全的有力保障，移動服務提供商應結(jié)合自己實際狀況，從人力、物力、財力等各方面做好部署與配置。由于

安全方案涉及到了安全理論、安全產(chǎn)品、網(wǎng)絡技術、系統(tǒng)技術實現(xiàn)等多方面專業(yè)技能，并且要求有較高的認知能力，因此可以聘請專業(yè)安全顧問公司來完成，大多安全顧問公司在做安全方案方面有著豐富的經(jīng)驗，能夠制定出符合需要的合理的安全方案來。

4.制定并貫徹安全管理制度

篇（5）

伴隨經(jīng)濟的迅猛發(fā)展，電子商務成為當今世界商務活動的新模式。要在國際競爭中贏得優(yōu)勢，必須保證電子商務中信息交流的安全。

一、電子商務的信息安全問題

電子商務信息安全問題主要有：

1.信息的截獲和竊?。喝绻捎眉用艽胧┎粔颍粽咄ㄟ^互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關和路由器上截獲數(shù)據(jù)，獲取機密信息或通過對信息流量、流向、通信頻度和長度分析，推測出有用信息。2.信息的篡改：當攻擊者熟悉網(wǎng)絡信息格式后，通過技術手段對網(wǎng)絡傳輸信息中途修改并發(fā)往目的地，破壞信息完整性。3.信息假冒：當攻擊者掌握網(wǎng)絡信息數(shù)據(jù)規(guī)律或解密商務信息后，假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。4.交易抵賴：交易抵賴包括多方面，如發(fā)信者事后否認曾發(fā)送信息、收信者事后否認曾收到消息、購買者做了定貨單不承認等。

二、信息安全要求

電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:

1.信息保密性：維護商業(yè)機密是電子商務推廣應用的重要保障。由于建立在開放網(wǎng)絡環(huán)境中，要預防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生。2.信息完整性：貿(mào)易各方信息的完整性是電子商務應用的基礎，影響到交易和經(jīng)營策略。要保證網(wǎng)絡上傳輸?shù)男畔⒉槐淮鄹?，預防對信息隨意生成、修改和刪除，防止數(shù)據(jù)傳送中信息的失和重復并保證信息傳送次序的統(tǒng)一。3.信息有效性：保證信息有效性是開展電子商務前提，關系到企業(yè)或國家的經(jīng)濟利益。對網(wǎng)絡故障、應用程序錯誤、硬件故障及計算機病毒的潛在威脅控制和預防，以保證貿(mào)易數(shù)據(jù)在確定時刻和地點有效。4.信息可靠性：確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務順利進行的關鍵。為防止計算機失效、程序錯誤、系統(tǒng)軟件錯誤等威脅，通過控制與預防確保系統(tǒng)安全可靠。

三、信息安全技術

1.防火墻技術。防火墻在網(wǎng)絡間建立安全屏障，根據(jù)指定策略對數(shù)據(jù)過濾、分析和審計，并對各種攻擊提供防范。安全策略有兩條：一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流，再審查要求通過信息，符合條件就通過；二是“凡是未被禁止就是允許”。防火墻先轉(zhuǎn)發(fā)所有信息，然后逐項剔除有害內(nèi)容。

防火墻技術主要有：(1)包過濾技術：在網(wǎng)絡層根據(jù)系統(tǒng)設定的安全策略決定是否讓數(shù)據(jù)包通過，核心是安全策略即過濾算法設計。(2)服務技術：提供應用層服務控制，起到外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請服務時中間轉(zhuǎn)接作用。服務還用于實施較強數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。(3)狀態(tài)監(jiān)控技術：在網(wǎng)絡層完成所有必要的包過濾與網(wǎng)絡服務防火墻功能。(4)復合型技術：把過濾和服務兩種方法結(jié)合形成新防火墻，所用主機稱為堡壘主機，提供服務。(5)審計技術：通過對網(wǎng)絡上發(fā)生的訪問進程記錄和產(chǎn)生日志，對日志統(tǒng)計分析，對資源使用情況分析，對異常現(xiàn)象跟蹤監(jiān)視。(6)路由器加密技術：加密路由器對通過路由器的信息流加密和壓縮，再通過外部網(wǎng)絡傳輸?shù)侥康亩私鈮嚎s和解密。2.加密技術。為保證數(shù)據(jù)和交易安全，確認交易雙方的真實身份，電子商務采用加密技術。數(shù)據(jù)加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有：(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿(mào)易方甲生成一對密鑰并將其中一把作為公開密鑰公開；得到公開密鑰的貿(mào)易方乙對信息加密后再發(fā)給貿(mào)易方甲：貿(mào)易方甲用另一把專用密鑰對加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請對方發(fā)信息將公共密鑰傳給對方，保證傳輸信息的保密和安全。(2)數(shù)字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋，有固定長度且不同明文摘要成密文結(jié)果不同，而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。(3)數(shù)字簽名:將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認文件的手段。簽名作用有兩點：一是因為自己簽名難以否認，從而確認文件已簽署；二是因為簽名不易仿冒，從而確定文件為真。(4)數(shù)字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內(nèi)容，數(shù)字時間戳服務能提供電子文件發(fā)表時間的安全保護。

3.認證技術。安全認證的作用是進行信息認證。信息認證是確認信息發(fā)送者的身份，驗證信息完整性，確認信息在傳送或存儲過程中未被篡改。(1)數(shù)字證書:也叫數(shù)字憑證、數(shù)字標識，用電子手段證實用戶身份及對網(wǎng)絡資源的訪問權(quán)限，可控制被查看的數(shù)據(jù)庫，提高總體保密性。交易支付過程中，參與各方必須利用認證中心簽發(fā)的數(shù)字證書證明身份。(2)安全認證機構(gòu):電子商務授權(quán)機構(gòu)也稱電子商務認證中心。無論是數(shù)字時間戳服務還是數(shù)字證書發(fā)放，都需要有權(quán)威性和公正性的第三方完成。CA是承擔網(wǎng)上安全交易認證服務、簽發(fā)數(shù)字證書并確認用戶身份的企業(yè)機構(gòu)，受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書管理。

4.防病毒技術。(1)預防病毒技術，通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲取系統(tǒng)控制權(quán)，監(jiān)視系統(tǒng)中是否有病毒，阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)破壞。(2)檢測病毒技術，通過對計算機病毒特征進行判斷的偵測技術，如自身校驗、關鍵字、文件長度變化。(3)消除病毒技術，通過對計算機病毒分析，開發(fā)出具有殺除病毒程序并恢復原文件的軟件。另外要認真執(zhí)行病毒定期清理制度，可以清除處于潛伏期的病毒，防止病毒突然爆發(fā)，使計算機始終處于良好工作狀態(tài)。

四、結(jié)語

信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術，提高電子商務系統(tǒng)的安全性和可靠性。但電子商務的安全運行，僅從技術角度防范遠遠不夠，還必須完善電子商務立法，以規(guī)范存在的各類問題，引導和促進我國電子商務快速健康發(fā)展。

參考文獻:

篇（6）

1.身份冒充問題

攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，進行信息欺詐與信息破壞，從而獲得非法利益。主要表現(xiàn)有：冒充他人身份；冒充他人消費、栽贓；冒充主機欺騙合法主機及合法用戶等。

2.網(wǎng)絡信息安全問題

主要表現(xiàn)在攻擊者在網(wǎng)絡的傳輸信道上，通過物理或邏輯的手段，進行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過分析網(wǎng)絡物理線路傳輸時的各種特征，截獲機密信息或有用信息，如消費者的賬號、密碼等。篡改，即改變信息流的次序，更改信息的內(nèi)容；刪除，即刪除某個信息或信息的某些部分；插入，即在信息中插入一些信息，讓收方讀不懂或接受錯誤的信息。

3.拒絕服務問題

攻擊者使合法接入的信息、業(yè)務或其他資源受阻。主要表現(xiàn)為散布虛假資訊，擾亂正常的資訊通道。包括：虛開網(wǎng)站和商店，給用戶發(fā)電子郵件，收訂貨單；偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問網(wǎng)絡資源，使有嚴格時間要求的服務不能及時得到響應。

4.交易雙方抵賴問題

某些用戶可能對自己發(fā)出的信息進行惡意的否認，以推卸自己應承擔的責任。如：者事后否認曾經(jīng)發(fā)送過某條信息或內(nèi)容；收信者事后否認曾經(jīng)收到過某條信息或內(nèi)容；購買者做了訂貨單不承認；商家賣出的商品質(zhì)量差但不承認原有的交易。在網(wǎng)絡世界里誰為交易雙方的糾紛進行公證、仲裁。

5.計算機系統(tǒng)安全問題

計算機系統(tǒng)是進行電子商務的基本設備，如果不注意安全問題，它一樣會威脅到電子商務的信息安全。計算機設備本身存在物理損壞，數(shù)據(jù)丟失，信息泄露等問題。計算機系統(tǒng)也經(jīng)常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時，計算機系統(tǒng)存在工作人員管理的問題，如果職責不清，權(quán)限不明同樣會影響計算機系統(tǒng)的安全。

二、電子商務安全機制

1.加密和隱藏機制

加密使信息改變，攻擊者無法讀懂信息的內(nèi)容從而保護信息；而隱藏則是將有用的信息隱藏在其他信息中，使攻擊者無法發(fā)現(xiàn)，不僅實現(xiàn)了信息的保密，也保護了通信本身。

2.認證機制

網(wǎng)絡安全的基本機制，網(wǎng)絡設備之間應互相認證對方身份，以保證正確的操作權(quán)力賦予和數(shù)據(jù)的存取控制。網(wǎng)絡也必須認證用戶的身份，以保證正確的用戶進行正確的操作并進行正確的審計。

3.審計機制

審計是防止內(nèi)部犯罪和事故后調(diào)查取證的基礎，通過對一些重要的事件進行記錄，從而在系統(tǒng)發(fā)現(xiàn)錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計信息應具有防止非法刪除和修改的措施。

4.完整性保護機制

用于防止非法篡改，利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務，當信息源的完整性可以被驗證卻無法模仿時，收到信息的一方可以認定信息的發(fā)送者，數(shù)字簽名就可以提供這種手段。

5.權(quán)力控制和存取控制機制

主機系統(tǒng)必備的安全手段，系統(tǒng)根據(jù)正確的認證，賦予某用戶適當?shù)牟僮鳈?quán)力，使其不能進行越權(quán)的操作。該機制一般采用角色管理辦法，針對系統(tǒng)需要定義各種角色，如經(jīng)理、會計等，然后對他們賦予不同的執(zhí)行權(quán)利。

6.業(yè)務填充機制

在業(yè)務閑時發(fā)送無用的隨機數(shù)據(jù)，增加攻擊者通過通信流量獲得信息的困難。同時，也增加了密碼通信的破譯難度。發(fā)送的隨機數(shù)據(jù)應具有良好模擬性能，能夠以假亂真。

三、電子商務安全關鍵技術

安全問題是電子商務的核心，為了滿足安全服務方面的要求，除了網(wǎng)絡本身運行的安全外，電子商務系統(tǒng)還必須利用各種安全技術保證整個電子商務過程的安全與完整，并實現(xiàn)交易的防抵賴性等，綜合起來主要有以下幾種技術。

1.防火墻技術

現(xiàn)有的防火墻技術包括兩大類：數(shù)據(jù)包過濾和服務技術。其中最簡單和最常用的是包過濾防火墻，它檢查接受到的每個數(shù)據(jù)包的頭，以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M出的數(shù)據(jù)進行有選擇的過濾，所以可以有效地避免對其進行的有意或無意的攻擊，從而保證了專用私有網(wǎng)的安全。將包過濾防火墻與服務器結(jié)合起來使用是解決網(wǎng)絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于：防火墻技術只能防止經(jīng)由防火墻的攻擊，不能防止網(wǎng)絡內(nèi)部用戶對于網(wǎng)絡的攻擊;防火墻不能保證數(shù)據(jù)的秘密性，也不能保證網(wǎng)絡不受病毒的攻擊，它只能有效地保護企業(yè)內(nèi)部網(wǎng)絡不受主動攻擊和入侵。

2.虛擬專網(wǎng)技術（VPN）

VPN的實現(xiàn)過程使用了安全隧道技術、信息加密技術、用戶認證技術、訪問控制技術等。VPN具投資小、易管理、適應性強等優(yōu)點。VPN可幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商與公司的內(nèi)部網(wǎng)之間建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，以此達到在公共的Internet上或企業(yè)局域網(wǎng)之間實現(xiàn)完全的電子交易的目的。

3.數(shù)據(jù)加密技術

加密技術是保證電子商務系統(tǒng)安全所采用的最基本的安全措施，它用于滿足電子商務對保密性的需求。加密技術分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露，可通過常規(guī)密鑰密碼體系的方法加密機密信息，并隨報文發(fā)送報文摘要和報文散列值，以保證報文的機密性和完整性。目前常用的常規(guī)密鑰密碼體系的算法有：數(shù)據(jù)加密標準DES、三重DES、國際數(shù)據(jù)加密算法IDEA等，其中DES使用最普遍，被ISO采用為數(shù)據(jù)加密的標準。在公開密鑰密碼體系中，加密密鑰是公開信息，而解密密鑰是需要保護的，加密算法和解密算法也都是公開的。典型的公開密鑰密碼體系有：基于數(shù)論中大數(shù)分解的RSA體系、基于NP完全理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中，常規(guī)密鑰密碼體系的特點是加密速度快、效率高，被廣泛用于大量數(shù)據(jù)的加密，但該方法的致命缺點是密鑰的傳輸易被截獲，難以安全管理大量的密鑰，因此大范圍應用存在一定問題。而公開密鑰密碼體系很好地解決了上述不足，保密性能也優(yōu)于常規(guī)密鑰密碼體系，但公開密鑰密碼體系復雜，加密速度不夠理想。目前電子商務實際運用中常將兩者結(jié)合使用。

4.安全認證技術

安全認證技術主要有:(1)數(shù)字摘要技術，可以驗證通過網(wǎng)絡傳輸收到的明文是否被篡改，從而保證數(shù)據(jù)的完整性和有效性。(2)數(shù)字簽名技術，能夠?qū)崿F(xiàn)對原始報文的鑒別和不可否認性，同時還能阻止偽造簽名。(3)數(shù)字時間戳技術，用于提供電子文件發(fā)表時間的安全保護。(4)數(shù)字憑證技術，又稱為數(shù)字證書，負責用電子手段來證實用戶的身份和對網(wǎng)絡資源訪問的權(quán)限。(5)認證中心，負責審核用戶的真實身份并對此提供證明，而不介入具體的認證過程，從而緩解了可信第三方的系統(tǒng)瓶頸問題，而且只須管理每個用戶的一個公開密鑰，大大降低了密鑰管理的復雜性，這些優(yōu)點使得非對稱密鑰認證系統(tǒng)可用于用戶眾多的大規(guī)模網(wǎng)絡系統(tǒng)。(6)智能卡技術，它不但提供讀寫數(shù)據(jù)和存儲數(shù)據(jù)的能力，而且還具有對數(shù)據(jù)進行處理的能力，可以實現(xiàn)對數(shù)據(jù)的加密和解密，能進行數(shù)字簽名和驗證數(shù)字簽名，其存儲器部分具有外部不可讀特性。采用智能卡，可使身份識別更有效、安全，但它僅僅為身份識別提供一個硬件基礎，如果要使身份認證更安全，還需要與安全協(xié)議的配合。

5.電子商務安全協(xié)議

篇（7）

SecurityinCORBA-basedElectronicCommerceSystems

LIUHai-Yan,TIANXin-Yan,TIANXin-Yu

Abstract:Electroniccommerceprovidesbusinesswithnewwaysofadvertisingandsellinggoods,services,andinformationtolargegroupsofcustomersindynamicopenelectroniccommerceenvironments.Thisarticleaddressesthetechnologiesforrealizingelectroniccommerceapplications,focusingontherelevanceoftheCORBAframeworkforthesesolutions.

KeyWords：CORBA，electroniccommerce,security,platform

1.電子商務介紹

通俗的說，所謂電子商務，就是在網(wǎng)上開展商務活動－當企業(yè)將它的主要業(yè)務通過企業(yè)內(nèi)部網(wǎng)（Intranet）、外部網(wǎng)（Extranet）以及Internet與企業(yè)的職員、客戶供銷商以及合作伙伴直接相連時，其中發(fā)生的各種活動就是電子商務。電子商務是基于Internet/Intranet或局域網(wǎng)、廣域網(wǎng)、包括了從銷售、市場到商業(yè)信息管理的全過程。

目前，電子商務只是在對通用方針和平臺意見一致的參與者間的封閉組織內(nèi)進行。例如，電子數(shù)據(jù)交換（EDI）被用來在一個機構(gòu)的多個分支之間，或者在建立了契約聯(lián)系的機構(gòu)之間安全地傳輸數(shù)據(jù)。而在這些早期階段，電子商務系統(tǒng)只處理某幾個方面的完全商務事務。

當客戶可以通過他們的Web瀏覽器來使用的第一批基于web的商店出現(xiàn)時，建立了電子商務的一個更全面的概念作為Internet上傳遞貨物和價格的方式?，F(xiàn)在，大多數(shù)電子商務系統(tǒng)是基于web的，并且允許客戶通過他們的web瀏覽器購買貨物并用信用卡結(jié)帳。然而，基于web的應用程序的局限功能使得很難向客戶提供全范圍的服務。

未來，電子商務解決方案的需求將超過當前級別。將來的系統(tǒng)將必須通過多個自治的服務提供商來滿足動態(tài)開放式環(huán)境中的需求，電子商務將成為一個包含多個交易實體間復雜的交互作用的分布式過程。在一個開放式市場中，有許多獨立的貨物和服務的供應商，并且可能有通過合并第三方提供的服務來提供服務的調(diào)解者?？蛻舯旧硪部赡芎喜㈦S選（on-demand）產(chǎn)品或者服務來實現(xiàn)合成包。因此，現(xiàn)代的電子商務系統(tǒng)必須能集成不同種類參與系統(tǒng)和不同政策領域中互相不信任的用戶。

2．背景及未來電子商務安全性問題

Internet的爆發(fā)增長，使得通過為一大群顧客和供應商提供一個通用通訊環(huán)境的方法可以發(fā)揮電子商務的獨一無二的潛力。今天，網(wǎng)上有數(shù)以千計的面向消費者和面向交易的商務站點，并且這個數(shù)目正在快速增長。

從消費者的觀點來看，這個大型系統(tǒng)積極的方面是：用戶可以從相當大的產(chǎn)品范圍內(nèi)選擇，并且尋找最合適的產(chǎn)品。提供者可以從大量的可能顧客和減少事務花費來獲益。

然而，電子商務成為世界新熱點,但其安全性也隨著信息化的深入也隨之要求愈高了?？焖俸筒皇芸刂频脑鲩L產(chǎn)生了組織和技術天性方面的不同問題。市場依舊是封閉的，并且常常沒有完全符合顧客和提供者的需求。今天的電子商務系統(tǒng)在私人擁有的平臺上運行，因此應用程序并不能互操作，也不能建立在對方的基礎上。安全性和支付系統(tǒng)仍然不成熟，并且常常是不相稱的。只有用標準的電子商務框架才能解決這些問題。

未來的電子商務系統(tǒng)的主要安全性問題是它們必須通過復雜的組件技術和信托關系在一個動態(tài)并開放的，從而也是不受控制的環(huán)境中操作。多數(shù)電子商務使用的電子支付系統(tǒng)必須很容易使用的，也必須透明地提供鑒定、完整性保護、機密性保護和認可。另外，客戶和提供者之間的通訊連接必須保持數(shù)據(jù)的機密性和完整性，首先保護客戶的隱私，其次是確保客戶購買的服務不能被篡改。

很不幸，今天的（基于web的）電子商務系統(tǒng)不能迎合這些關于功能性和安全性的需求。下面的段落描述如何用CORBA來解決一些問題。

3．CORBA概述

通用對象請求體系結(jié)構(gòu)（CORBA）是對象管理組織（OMG）1995年首先開發(fā)出來的一個規(guī)范。其核心部分是對象請求（ORB），是一個便于實現(xiàn)不同硬件和軟件平臺上的互操作和集成的軟件總線。從軟件開發(fā)者的觀點來看，ORB抽象了分布式系統(tǒng)中遠程方法調(diào)用的內(nèi)在的復雜性。CORBA可以抽象網(wǎng)絡通訊、平臺的差異、編程語言等的差異，并且可以透明地提供電子商務所需的安全。另外，CORBA指定了大量CORBA服務，例如名字服務、事務服務、時間服務或安全，這些服務分別著重于分布式系統(tǒng)中的某些特殊方面。

圖1用一種簡單方式說明了CORBA的工作機理：在最初的綁定階段，客戶端應用程序通過ORB庫（①，②）連接到一個活化組件或名字服務上，然后依次查詢實現(xiàn)庫中的目標對象引用（③）并當目標對象還沒有運行起來時，啟動這個對象（④，⑤）。目標對象引用然后就被傳回客戶端ORB庫（⑥）?？蛻魺o論何時通過對象代碼樁（⑧）調(diào)用目標方的方法（⑦），ORB庫都要透明地連接到目標ORB庫上（⑨），然后目標ORB庫通過目標代碼骨架（⑩，⑾）將請求傳遞給目標對象。應答通過⑾和⑦之間的鏈送回。

CORBA的靈活方法調(diào)用系統(tǒng)允許客戶動態(tài)綁定到服務方上，從而使得服務靈活動態(tài)地合成，以及交互作用的調(diào)和、互操作性和購物會話過程中的狀態(tài)保持都很方便。

CORBA還使得電子商務系統(tǒng)支持合成產(chǎn)品的概念和由多個提供者的相應項構(gòu)成的服務包的概念。例如，一個旅行社可以提供一個包括飛機票、旅店預約、汽車租賃和旅游向?qū)У鹊穆眯邪?/p>

很不幸的，實際上多數(shù)CORBA的實現(xiàn)并沒有完全遵照規(guī)范，許多服務至今仍不可用。這對安全尤其不幸，因為安全對任何基于CORBA的電子商務系統(tǒng)是絕對必需的。而且，不同廠商的CORBA實現(xiàn)并不總能完全互操作，尤其當使用別的CORBA服務時。沒有定制的CORBA安全部分地或者完全不遵照使得互操作成為可能的規(guī)范。

4．CORBA安全性概述

CORBA安全性規(guī)范包括一個安全模式和為應用程序、管理程序和實現(xiàn)程序提供的接口和工具。規(guī)范中的通用安全互操作部分定義了通用安全性機制，使得可以安全互操作。

分布式對象系統(tǒng)的CORBA安全模式建立在表1所示的安全性特征的基礎上。

機密性（Confidentiality）

完整性(Integrity)

可說明性(Accountability)

表1：安全性特征

CORBA安全服務規(guī)范定義了不同的對象接口，這些接口提供了下面的安全功能來增強上面提及的安全性特征（見表2）。

安全性管理：方法和范圍（SecurityAdministration：PoliciesandDomains）

鑒定(Authentication)

安全性上下文制定（Securitycontextestablishment）

存取控制（Accesscontrol）

通訊保護（完整性，機密性）

Communicationsprotection(integrity,confidentiality)

安全性審計(Securityaudit)

認可(Non-repudiation)

表2：CORBA安全服務規(guī)范中的安全

實際上，特別是在電子商務中，CORBA安全服務規(guī)范中的安全服務將不可避免的過于沉重和復雜。個別電子商務系統(tǒng)可能有不同于最初由OMG預想中CORBA系統(tǒng)的特別安全性需求。值得指出的是，在這個階段，CORBA安全是圍繞分布式計算環(huán)境（DCE）而設計的，典型地都工作在類似于校園的封閉式環(huán)境中，下層平臺和政策都可控制（也就是說，可以安裝和管理DCE底層安全性結(jié)構(gòu)）。在這種環(huán)境中，基本的安全需求是保護系統(tǒng)，防止未驗證的使用和修改。

5．電子商務安全需求

今天的電子商務系統(tǒng)中，一些安全需求與類似于DCE的環(huán)境大相徑庭。在DCE中，客戶必須信任服務器和系統(tǒng)，但需保護服務器以防未驗證的客戶。電子商務環(huán)境中，也需要防止有惡意的會員。因此，系統(tǒng)必須保護客戶以防惡意的服務器和另外的客戶，也要保護服務器以防未驗證的客戶?；ハ嗖恍湃蔚膮⑴c者這個概念并不是DCE所固有的。

在傳統(tǒng)的環(huán)境中，通過所有權(quán)來指定系統(tǒng)的責任，并用通過這些所有權(quán)的范圍來定義信任邊界。在開放式系統(tǒng)中，信任邊界、所有權(quán)和責任范圍可能不同，這引發(fā)了不同的問題。例如，商家可能負責購物過程的安全性，而不能控制客戶系統(tǒng)。另外，也常常不能規(guī)定客戶軟件所運行的平臺（例如，CORBA產(chǎn)品，Java版本，操作系統(tǒng)）或安全政策（例如，操作系統(tǒng)安全性配置）。另一方面，客戶可能負責一段它并不理解的而后臺透明運作的軟件，而這個軟件可能是由一個后來和客戶發(fā)生糾紛的供應商提供的。這造成了系統(tǒng)中可信部分如何在供應商和客戶間分配的問題。

交易的合伙人之間的契約關系應該指明風險分派，責任分派和解決糾紛的原則。就電子商務來說，我們現(xiàn)在必須處理可能來自一些不可信任源，并且運行在不安全的下層操作系統(tǒng)上的硬件和軟件，因此建立這種契約關系的困難就更大了。這樣的軟件偶爾會失效或者惡意地運作，并且太復雜而不能成為多數(shù)終端用戶的責任。

在更技巧性的層上，事務和支付需求更強的完整性和機密性保護，同時需要保證電子兌現(xiàn)的匿名性。也可能存在購物時可以在瀏覽器端下載輕量的客戶應用程序的需求。在這些情況下，客戶機裝不上大的安全基本設施。客戶端的安全政策也許也不允許購物軟件永久安裝在客戶機上。為了使開放的電子商務能實際運作起來，安全電子商務產(chǎn)品需要不定制就可使用，也需要銀行掩飾電子支付系統(tǒng)潛在的安全漏洞。

6．CORBA和電子商務安全性

CORBA安全服務規(guī)范提供了消息層完整性和負責者的鑒定/認可，這兩項對電子商務應用程序都很關鍵。然而，OMG的電子商務域任務組織（OMG－ECDTF）為電子商務系統(tǒng)識別另外幾種安全需求。CORBA規(guī)范中并沒有下面的需求，或者由于它們?nèi)晕幢惶岢?，或者由于它們超出了CORBA所能達到的范圍：

l事務審核：CORBA安全規(guī)范提供了審核數(shù)據(jù)產(chǎn)生，但沒有提供所需數(shù)據(jù)和粒度。

l基于角色的存取控制：盡管好的粒度或者靈敏的商務交易中需要單獨的存取控制，但電子商務把基于角色的存取控制作為主要形式。CORBA安全性沒有提供基于角色的存取控制。

l認可：CORBA規(guī)定根據(jù)的生成，但是不提供存儲根據(jù)、恢復根據(jù)和確認根據(jù)的工具。電子商務所需的完全的認可功能包括根據(jù)生成、確認、存儲、恢復和遞送權(quán)力。這個服務可以提供創(chuàng)造、起源、接收、服從、贊成、遞送和行為的認可。

l完整性：應該提供將數(shù)據(jù)變成完整性所保護的數(shù)據(jù)、將完整性所保護的數(shù)據(jù)轉(zhuǎn)變回原始數(shù)據(jù)、檢查是否遺失完整性的功能。另外，也需要著手一些另外的完整性問題。例如，需要有一些用來防止惡意的軟件，例如防止計算機病毒所做未驗證的修改的機制。除消息層完整性以外，CORBA沒有提供任何電子商務系統(tǒng)需要的其他層上的完整。

l授權(quán)：CORBA提供了使得個別責任變得容易的“扮演的授權(quán)”。然而，電子商務需要別的授權(quán)選項，例如簡易授權(quán)，復合授權(quán)，組合特權(quán)授權(quán)（不允許把這些特權(quán)來追溯回某些中間節(jié)點），和追溯授權(quán)（提供了鏈中的授權(quán)追溯）。目前，CORBA并不要求提供這些授權(quán)模式。

l授權(quán)在安全性審核中發(fā)揮作用。它支持將一條復雜的對象請求鏈追溯回最初的用戶。

l安全性審核庫管理：審核服務可以用來保證所有的用戶對他們發(fā)起的安全相關事項負責任，并保證建立、保持和保護安全相關事項的審核跟蹤。另外，必須提供警告設施，并且收集、剖面、過濾、分析和查詢審核數(shù)據(jù)也是可能的。CORBA目前沒有提供任何審核管理功能。

l安全性管理：電子商務安全性管理應該關心以下三個范疇：管理功能的安全性、安全服務管理和安全機制管理。當前，CORBA并沒有提供任何安全性管理工具。

7．基于CORBA的電子商務

CORBA作為電子商務系統(tǒng)的底層結(jié)構(gòu)有許多優(yōu)點，本節(jié)概述其中幾個優(yōu)點。

開放式電子商務系統(tǒng)的兩個主要需求是互操作性和完整性。所有的客戶和供應商應用程序都應該可以在一個靈活的、動態(tài)的、開放的框架中，越過不同平臺，不同編程語言和商業(yè)布局來互操作。CORBA可以從開放的電子商務環(huán)境的復雜性中抽象出來。CORBA方便了電子商務系統(tǒng)和其它系統(tǒng)之間的交互作用，比如股票管理系統(tǒng)、會計系統(tǒng)、行銷系統(tǒng)等，并使得和以前的應用程序的之間集成變得容易，例如，一個舊的股票數(shù)據(jù)庫系統(tǒng)。

從軟件開發(fā)者的觀點來看，CORBA使得一切都變得比較簡單，尤其是如果打算進行不同的商店配置時。CORBA抽象了網(wǎng)絡和動態(tài)的遠程商店調(diào)用，允許應用程序開發(fā)者集中精力在實際的程序上，而不是集中在底層結(jié)構(gòu)的內(nèi)部工作方式上。應用程序開發(fā)者可以再利用已存在系統(tǒng)中的部分(例如安全性系統(tǒng))來開發(fā)新程序。CORBA的靈活結(jié)構(gòu)也使得開發(fā)者可以實現(xiàn)整個商業(yè)街的一部分來迎合特殊的貿(mào)易需求，并為進一步增強系統(tǒng)和容易地升級這部分商業(yè)街軟件提供堅實的基礎。將來，個別基于CORBA的可定制的商業(yè)街組件就可用了，可以購買它，并可以很容易的將之即插即用進已存在的商業(yè)街中，來增強或升級商店系統(tǒng)，。

為了使得商店組件的動態(tài)互用性運轉(zhuǎn)起來，一套定義良好的標準服務需要在電子商務環(huán)境下可用。例如，用來描述對象（例如貨物、服務、合同、發(fā)票或帳單等）的語義需要廣泛定義。因此，OMG和商業(yè)網(wǎng)（CommerceNet）共同定義了一系列電子商務服務的需求，也就是說，語義數(shù)據(jù)工具，選擇/商議工具和支付服務。語義數(shù)據(jù)工具提供了對電子市場參與者之間語義信息交換的支持，商議服務提供了一組從事商業(yè)事務的參與者，在服務或工具的選擇和配置上相互協(xié)定的支持，而電子支付工具關注支付協(xié)議的調(diào)用。

實際上，CORBA還是經(jīng)常被認為是一項不成熟的技術，尤其是CORBA沒有實現(xiàn)許多服務，例如安全。除了與不成熟的ORB實現(xiàn)相關的問題外，軟件開發(fā)者也往往沒有完全訓練到可以熟練編寫基于CORBA的組件的地步。就本地程序來說，基于CORBA的應用程序開發(fā)幾乎與普通的應用程序開發(fā)相同，因此并沒有真正造成問題，但是例如實現(xiàn)一個透明的提供了ORB層安全性的安全就需要專業(yè)知識。

目前，對基于CORBA的電子商務系統(tǒng)的評價使得這些開發(fā)足以為一些公司盈利了。例如，銀行配置基于CORBA的個人銀行業(yè)，或者股票交易系統(tǒng)可能因為它是顧客的最主要地邊緣技術的服務提供者而獲益。

8．結(jié)論

篇（8）

1.1電子商務交易系統(tǒng)的可靠性

確保電子商務系統(tǒng)的可靠性主要是為了通過一定的控制及預防措施對其系統(tǒng)安全性進行保證，以防出現(xiàn)計算機癱瘓、硬件故障、軟件失效及信息傳輸錯誤等現(xiàn)象的發(fā)生。電子商務系統(tǒng)的可靠性及安全性對其傳輸、存儲的信息數(shù)據(jù)有著十分重要的保證作用，同時對系統(tǒng)的完整性也能夠起到監(jiān)測作用，利用網(wǎng)絡安全技術能夠有效提高電子商務系統(tǒng)的可靠性。

1.2電子商務交易中的信息真實性

在電子商務交易過程中，交易雙方的身份信息安全性及真實性必須得到保證，即交易雙方必須是實際存在的。由于電子商務交易模式的特殊性，使得交易雙方能夠不同時出現(xiàn)在同地點就能夠通過網(wǎng)絡進行交易，因此在交易前必須先確定雙方建立起信任的關系，并對身份可靠性進行確認。在電子商務交易過程中供應商在履行約定后是否能準時收到貨款，而采購方在交付貨款后收到的貨物質(zhì)量等問題是否與約定的內(nèi)容相符，這兩方面的問題對電子商務交易中的信息真實性提出了很高的要求。

1.3電子商務交易中的數(shù)據(jù)安全性

在電子商務交易過程中所傳輸?shù)臄?shù)據(jù)信息，其安全性必須得到保證。信息若被泄露給未授權(quán)方會直接導致經(jīng)濟等方面的損失。電子商務這種新型的交易方式，其交易信息能夠直接反映出個人、公司或機構(gòu)等的商業(yè)機密。因此，保證傳輸數(shù)據(jù)不被非法竊取是其交易過程中的關鍵問題之一。

1.4電子商務交易中信息的完整性

在交易過程中通過網(wǎng)絡產(chǎn)生的數(shù)據(jù)信息完成性須得到保證，并且不能被隨意篡改。相較于傳統(tǒng)的交易方式，電子商務的交易過程具有較大的簡便性，相對簡化的交易程序?qū)θ藶楦蓴_因素進行了有效避免。但是，在其交易信息的傳輸過程中常常存在數(shù)據(jù)丟失、交易方欺詐行為等現(xiàn)象，導致最終交易雙方確認的信息不一致。因此，保證資料信息的完整性作為電子商務交易的基礎必須進行提高。

1.5電子商務交易的不可否認性

相較于傳統(tǒng)交易方式通過實際簽字或蓋章的形式對交易信息進行確認，在電子商務交易過程中，交易雙方需要以一種特定的形式對信息進行確認，并且承認信息的發(fā)送或者接受，不能隨意抵賴。這就要求電子商務交易中對交易雙方的信息交換通過利用無法復制、具有特點的信息對交易進行確認和保證。

2網(wǎng)絡信息安全對電子商務交易產(chǎn)生影響的主要問題

隨著計算機信息技術的廣泛使用，電子商務通過對其技術進行應用使得自身發(fā)展得到促進，同時其便捷性得到了人們的高度認可。電子商務的未來發(fā)展空間十分可觀。同時，其交易信息的安全性引起了人們的重視。在網(wǎng)絡信息安全技術的基礎上，電子商務通過利用互聯(lián)網(wǎng)信息的開放性特點，實現(xiàn)了不同地域的線上交易形式及其他商業(yè)活動的交易全部過程。電子商務這一新型交易模式成為了新時期全球的經(jīng)濟熱點。由于其交易過程的開放性特征，以及其交易的全球性、共享性及發(fā)展動態(tài)性的特點，使得電子商務發(fā)展中的安全問題受到了社會各界的關注，同時對其自身發(fā)展也有一定的制約性。因此，對網(wǎng)絡信息安全對電子商務交易產(chǎn)生影響的主要問題進行研究十分必要。

2.1電子商務系統(tǒng)在運行過程中其網(wǎng)絡信息常常會遭到外界的攻擊，其中有服務性攻擊與非服務性攻擊兩種

非服務性攻擊是指指攻擊者通過利用各種非法手段對網(wǎng)絡的路由器等通信設名進行篡改，導致網(wǎng)絡通信設備無法正常使用或網(wǎng)絡無法正常工作；服務性攻擊即攻擊者通過利用服務器提供某類服務從而使網(wǎng)絡無法運行。拒絕服務是最典型的攻擊行為，通過使電子商務系統(tǒng)的網(wǎng)絡服務器充斥大量待回復的消息致使系統(tǒng)負荷超載、網(wǎng)絡癱瘓。

2.2計算機軟件、硬件的各方面情況對電子商務交易中的網(wǎng)絡信息系統(tǒng)會直接產(chǎn)生影響

計算機硬件主要有交換機、服務器及客戶端等；計算機軟件主要包括應用軟件、網(wǎng)絡操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)等。軟件漏洞是其網(wǎng)絡信息系統(tǒng)中最為典型的問題之一，緩沖區(qū)溢出現(xiàn)象時常發(fā)生并且會造成很嚴重的影響，使得系統(tǒng)程序運行失敗、計算機死機及系統(tǒng)重啟等。因此，必須通過有效措施對計算機網(wǎng)絡的硬件及軟件工作情況進行保證，以確保電子商務系統(tǒng)的正常操作。

2.3在電子商務交易中對信息的存儲和傳輸安全性要進行有效保證

信息的存儲安全性即對聯(lián)網(wǎng)狀態(tài)中的計算機存儲的信息安全進行保證，以實現(xiàn)未經(jīng)授權(quán)的網(wǎng)絡用戶無法獲得存儲信息。未授權(quán)用戶通常會對用戶密碼進行猜測或者竊取，通過各種手段繞過網(wǎng)絡系統(tǒng)的安全認證，并對未授權(quán)信息進行非法修改、查看或者刪除；信息的傳輸安全性即對網(wǎng)絡傳輸中的信息數(shù)據(jù)的安全性進行保證，使其免遭攻擊或者泄露。

2.4電子商務的網(wǎng)絡系統(tǒng)有時也會受到內(nèi)部的授權(quán)用戶的破壞

部分授權(quán)的合法用戶在運行電子商務網(wǎng)絡系統(tǒng)時，警惕性較低，將系統(tǒng)的安全密碼等機密信息無意泄露出去，從而導致安全性降低或者網(wǎng)絡受到攻擊。由于系統(tǒng)內(nèi)部授權(quán)用戶自身的專業(yè)計算機知識缺乏，錯刪系統(tǒng)文件等行為都會直接對電子商務網(wǎng)絡信息系統(tǒng)的安全性造成破壞。

3提高電子商務中網(wǎng)絡信息安全性的對策

在電子商務交易平臺中，網(wǎng)絡信息的安全問題會出現(xiàn)各種需要解決的情況，為了保證電子商務交易能夠順利進行，對其網(wǎng)絡信息安全必須采取相應措施進行保證，當前主要有以下幾種解決對策：

3.1防火墻

防火墻的由來是中世紀的城堡防御技術，想要進入城堡的人必須通過吊橋并且接受士兵的檢查。從而引申出網(wǎng)絡防火墻技術的概念，即電子商務系統(tǒng)需要以一定的防護措施對用戶的授權(quán)等進行把關。

3.2黑客

隨著科學技術水平的提升，很多電腦愛好者的計算機水平也逐漸提高。目前已出現(xiàn)部分計算機水平較高的黑客設法繞過防火墻技術的控制，對電子商務網(wǎng)路系統(tǒng)進行干擾和入侵。因此，應利用相關入侵檢測技術即時地對外界產(chǎn)生的入侵或攻擊進行主動防御，以彌補防火墻技術的漏洞。通過在應用中采取監(jiān)控措施、在電腦主機上進行監(jiān)控措施及對網(wǎng)絡信息系統(tǒng)進行監(jiān)控等辦法能夠有效抵御外界攻擊。

3.3病毒防御軟件

網(wǎng)絡病毒的數(shù)量及多樣性對計算機系統(tǒng)及信息等多方面都造成了嚴重的影響。網(wǎng)絡病毒對電子商務系統(tǒng)的運行也造成了惡劣影響。為保證電子商務網(wǎng)絡信息系統(tǒng)的安全運行應利用網(wǎng)絡病毒防御軟件進行保護，并保證交易信息的安全可靠性及速度。

3.4加密和秘鑰

為保證電子商務信息的安全性，應通過使用加密算法對其進行加密，將信息含義隱藏起來，以防外界入侵者的攻擊行為。同時利用密鑰管理技術作為加密信息的解密手段，只有授權(quán)合法的使用者能夠操作。

3.5數(shù)字信封

在公共網(wǎng)絡上使用傳統(tǒng)的信息加密技術及密鑰管理技術進行信息傳輸十分容易遭到外界的攻擊，可以通過數(shù)字信封技術來解決這一問題，能夠?qū)π畔⒃趥鬏斶^程中的安全性進行保證。同時，為保證電子商務交易中的交易雙方能有有效辨識身份信息，通過數(shù)字簽名技術能夠?qū)崿F(xiàn)這一目的，并且對交易信息的可靠性、安全性進行保障，最大程度地提高電子商務交易的效率及質(zhì)量。

4通過建立電子商務安全機制保證其交易過程

信息及結(jié)算信息。同時商務主機需要向相關交易認證機構(gòu)對客戶的訂單信息進行確認和反饋。因此，保證信息的安全性及完整性十分重要，以避免信息在傳輸?shù)闹型颈淮鄹幕蛘吒`取，這對交易雙方來說極為重要。確保交易信息的完整性、有效性需要考慮的因素有很多，例如安全管理問題、物理安全問題、介質(zhì)安全等各種問題，同時在技術上還需保證高要求。應采取相應措施對電子商務系統(tǒng)的訪問權(quán)限進行設置并建立安全防務機制。采取驗證身份信息等手段以杜絕信息竊取等危險的發(fā)生。通過對數(shù)據(jù)信息文件進行加密并提升防護安全的級別也可以對信息進行有效保護。在保障信息完整性時即通過建立安全機制確保數(shù)據(jù)信息不會被篡改或者盜取。安全機制包括訪問限制機制、信息完整性機制及交換鑒別機制等。

4.1無權(quán)限訪問控制機制

訪問控制指的是根據(jù)已確定好的過濾規(guī)則來判定決定訪問者是否擁有對于服務器的訪問權(quán)限。訪問控制可確保未無授權(quán)權(quán)限的訪問者或以未經(jīng)授權(quán)的方式對數(shù)據(jù)、服務器以及通信系統(tǒng)等資源進行非法的修改、破壞與運行惡意代碼。

4.2數(shù)據(jù)單元的完整性機制

數(shù)據(jù)的完整性指的是數(shù)據(jù)單元的完整性與其序列的完整性。為確保數(shù)據(jù)的完整性，通常使用如下方式：發(fā)送者會在某個數(shù)據(jù)單元中加上一個經(jīng)過加密的類似分組校驗、密碼校驗函數(shù)等數(shù)據(jù)自身函數(shù)的標記。接收者擁有對應的加密標記，在受到數(shù)據(jù)后可將對應的加密標記跟接收數(shù)據(jù)中的標記進行比對，便可以保證數(shù)據(jù)在傳輸時的完整性。數(shù)據(jù)單元的序列完整性指的是確定數(shù)據(jù)的時間標記的正確性與數(shù)據(jù)的編號連續(xù)性，這樣可確保無權(quán)限者不會對數(shù)據(jù)進行創(chuàng)建、刪除、修改等非法操作。如果發(fā)生這類對數(shù)據(jù)的非法修改等惡意操作，會對經(jīng)濟產(chǎn)生巨大的沖擊。

4.3信息交換鑒別機制

交換鑒別指的是通過進行信息交換的方法來確保實體身份有效合法的機制。進行信息交換鑒別時，通常用到的技術有以下幾種：①口令：發(fā)送方設置口令，然后由接收方進行校驗。②數(shù)據(jù)加密：對將要進行交換的數(shù)據(jù)進行加密處理，只有擁有權(quán)限的用戶方可進行解密，從而得到正確的明文數(shù)據(jù)。通常實際中，數(shù)據(jù)加密往往與以下兩種技術混合使用：雙方、三方“握手”或是時間標記。③經(jīng)公證機構(gòu)認可的數(shù)字簽名：數(shù)字簽名指的是通過實體的法律所有權(quán)與生理特征進行實體身份的鑒別，實際中一般使用指紋識別與身份信息卡等。

4.4隨機數(shù)據(jù)發(fā)送機制

隨機數(shù)據(jù)發(fā)送指的是保密裝置會網(wǎng)絡中無信息傳輸?shù)娜蝿諘r，無目的性的發(fā)出隨機的數(shù)據(jù)序列。這樣可以迷惑非法的監(jiān)聽者，使其無法得知監(jiān)聽到的數(shù)據(jù)序列中是否存在有用信息。此種方式一般用來阻止非法的監(jiān)聽者在傳輸時對數(shù)據(jù)序列進行監(jiān)聽、流量流向分析等。

4.5路由器選擇機制

實際中的大型網(wǎng)絡中往往從源節(jié)點到目標節(jié)點之間會存在很多線路，這其中就存在各條線路安全與否的問題。路由器選擇機制可以為發(fā)送方提供選擇安全路由的選項，為數(shù)據(jù)的安全提供保障。

篇（9）

電子商務以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿(mào)易的一種形式，其信息的有效性和真實性將直接關系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。

2.信息機密性

電子商務作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的，商業(yè)防泄密是電子商務全面推廣應用的重要保障。

3.信息完整性

電子商務簡化了貿(mào)易過程，減少了人為的干預，同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導致貿(mào)易各信息的差異。因此，電子商務系統(tǒng)應充分保證數(shù)據(jù)傳輸、存儲及電子商務完整性檢查的正確和可靠。

4.信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^；不可抵賴性要求即是能建立有效的責任機制，防止實體否認其行為；可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式。

5.系統(tǒng)的可靠性

電子商務系統(tǒng)是計算機系統(tǒng)，其可靠性是防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。

二、電子商務的信息安全技術

1.數(shù)據(jù)加密技術

加密技術用于網(wǎng)絡安全通常有二種形式，即面向網(wǎng)絡或面向應用服務。面向網(wǎng)絡的加密技術通常工作在網(wǎng)絡層或傳輸層，使用經(jīng)過加密的數(shù)據(jù)包傳送、認證網(wǎng)絡路由及其他網(wǎng)絡協(xié)議所需的信息，從而保證網(wǎng)絡的連通性和可用性不受損害。面向網(wǎng)絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法，這一類加密技術的優(yōu)點在于實現(xiàn)相對較為簡單，不需要對電子信息（數(shù)據(jù)包）所經(jīng)過的網(wǎng)絡的安全性能提出特殊要求，對電子郵件數(shù)據(jù)實現(xiàn)了端到端的安全保障。

1）電子商務領域常用的加密技術數(shù)字摘要(digitaldigest)

這一加密方法亦稱安全Hash編碼法，由RonRivest所設計。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(FingerPrint)，它有固定的長度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是“真身”的“指紋”了。

數(shù)字簽名(digitalsignature)

數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來使用。主要方式是報文的發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)，用自己的私有密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值，接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密，如果兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的，通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別。概括的說，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。

數(shù)字時間戳(digitaltime-stamp)交

易文件中，時間是十分重要的信息。在電子交易中，需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(DTS)就能提供電子文件發(fā)表時間的安全保護。時間戳(time-stamp)是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要(digest)；DTS收到文件的日期和時間；DTS的數(shù)字簽名。

數(shù)字證書(digitalcertificate,digitalID)數(shù)字證書又稱為數(shù)字憑證，是用電子手段來證實一個用戶的身份和對網(wǎng)絡資源的訪問的權(quán)限。目前，最有效的認證方式是由權(quán)威的認證機構(gòu)為參與電子商務的各方發(fā)放證書，證書作為網(wǎng)上交易參與各方的身份識別，就好象每個公民都用身份證來證明身份一樣。認證中心作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任，是一個負責發(fā)放和管理數(shù)定證書的權(quán)威機構(gòu)。因而網(wǎng)絡中所有用戶可以將自己的公鑰交給這個中心，并提供自己的身份證明信息，證明自己是相應公鑰的擁有者，認證中心審查用戶提供的信息后，如果確認用戶是合法的，就給用戶一個數(shù)字證書。這樣，每個成員只需和認證中心打交道，就可以查到其他成員的公鑰信息了。對于在網(wǎng)上進行交易的雙方來說，數(shù)字證書對他們之間建立信任是至關重要的。數(shù)字憑證有三種類型：個人憑證、企業(yè)（服務器）憑證、軟件（開發(fā)者）憑證；大部分認證中心提供前兩類憑證。

2.身份認證技術

為解決Internet的安全問題，初步形成了一套完整的Internet安全解決方案，即被廣泛采用的公鑰基礎設施（PKI）體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰，通過第三方的可信機構(gòu)CA，把用戶的公鑰和用戶的其他標識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網(wǎng)上驗證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的機密性、完整性。

1）認證系統(tǒng)的基本原理

利用RSA公開密鑰算法在密鑰自動管理、數(shù)字簽名、身份識別等方面的特性，可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統(tǒng)。這個可信的第三方認證系統(tǒng)也稱為CA，CA為用戶發(fā)放電子證書，用戶之間利用證書來保證信息安全性和雙方身份的合法性。

2）認證系統(tǒng)結(jié)構(gòu)

整個系統(tǒng)是一個大的網(wǎng)絡環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA和WebPublisher。

核心系統(tǒng)跟CA放在一個單獨的封閉空間中，為了保證運行的絕對安全，其人員及制度都有嚴格的規(guī)定，并且系統(tǒng)設計為一離線網(wǎng)絡。CA的功能是在收到來自RA的證書請求時，頒發(fā)證書。

證書的登記機構(gòu)RegisterAuthority，簡稱RA，分散在各個網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機結(jié)合，接受客戶申請，并審批申請，把證書正式請求通過建設銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。

證書的公布系統(tǒng)WebPublisher，簡稱WP，置于Internet網(wǎng)上，是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數(shù)據(jù)庫。用戶的證書由CA頒發(fā)之后，CA用E－mail通知用戶，然后用戶須用瀏覽器從這里下載證書。

3.網(wǎng)上支付平臺及支付網(wǎng)關

網(wǎng)上支付平臺分為CTEC支付體系（基于CTCA/GDCS）和SET支付體系（基于CTCA/SET）。網(wǎng)上支付平臺支付型電子商務業(yè)務提供各種支付手段，包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。

支付網(wǎng)關位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡之間，其主要功能為：將公網(wǎng)傳來的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部的傳回來的響應消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對其進行加密。此外，支付網(wǎng)關還具有密鑰保護和證書管理等其它功能。

三、電子商務信息安全中的其它問題

1.內(nèi)部安全

最近的調(diào)查表明，至少有75%的信息安全問題來自內(nèi)部，在信用卡和商業(yè)詐騙中，內(nèi)部人員所占的比例最大；

2.惡意代碼

它們將繼續(xù)對所有的網(wǎng)絡系統(tǒng)構(gòu)成威脅，并且，其數(shù)量將隨著Internet的發(fā)展和編程環(huán)境的豐富而增多，擴散起來也更加便利，因此，造成的破壞也就越大；

3.可靠性差

目前，Internet主干網(wǎng)和DNS服務器的可靠性還遠遠不能滿足人們的要求，而絕大

部分撥號PPP連接質(zhì)量并不可靠，且速度很慢；

4.技術人才短缺

由于Internet和網(wǎng)絡購物都是在近幾年得到了迅猛的發(fā)展，因而，許多地方都缺乏足夠的技術人才來處理其中遇到的各種問題，尤其是網(wǎng)絡購物具有24x7（每天24小時，每周7天都能工作）的要求，因而迫切需要有一大批專業(yè)技術人員對其進行管理。如果說加密技術是電子交易安全的“硬件”，那么人才問題則可以說是“軟件”。從某種意義上講，軟件的問題解決起來可能更不容易，因此，技術人才的短缺可能成為阻礙網(wǎng)絡購物發(fā)展的一個重要因素。

5.Web服務器的保護意識差

在交易過程中對數(shù)據(jù)進行保護只是保證交易安全的一個方面。由于交易的信息均存儲在服務器上，因此，即使保密信息被客戶端接收之后，也必須對存儲在服務器中的數(shù)據(jù)進行保護。目前，Web服務器是黑客們最喜歡攻擊的目標。因此，建議盡量不要將Web服務和連接到任何內(nèi)部網(wǎng)絡，而且要定期對數(shù)據(jù)進行備份，以便于服務器被攻擊之后對數(shù)據(jù)進行恢復。當然，這畢竟有些不太現(xiàn)實，現(xiàn)在許多流行的Web應用都需要Web服務器與公司的數(shù)據(jù)庫進行交互式操作，這就要求服務器必須與公司內(nèi)部網(wǎng)絡相連，而這個連接也就成為黑客們從Web站點侵入企業(yè)內(nèi)部網(wǎng)絡的一條通路。雖然防火墻技術有助于對web站點進行保護，但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護，因而沒有對Web服務器進行很好的保護，這是商家的Web站點尤其要引起注意的地方。

四、與電子商務安全有關的協(xié)議技術討論

1．SSL協(xié)議（SecureSocketsLayer）安全套接層協(xié)議———面向連接的協(xié)議。

SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術保護信息傳輸?shù)臋C密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用WebServer方式。但它是一個面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務器間的雙方認證，而電子商務往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關系。

2.SET協(xié)議（SecureElectronicTransaction）安全電子交易———專門為電子商務而設計的協(xié)議。由于SET提供了消費者、商家和銀行之間的認證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點，因此它成為了目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務所遇到的全部問題。

結(jié)束語

本文分析了目前電子商務的安全需求，使用的安全技術及仍存在的問題，并指出了與電子商務安全有關的協(xié)議技術使用范圍及其優(yōu)缺點，但必須強調(diào)說明的是，電子商務的安全運行，僅從技術角度防范是遠遠不夠的，還必須完善電子商務立法，以規(guī)范飛速發(fā)展的電子商務現(xiàn)實中存在的各類問題，從而引導和促進我國電子商務快速健康發(fā)展。

［摘要］電子商務對人類社會經(jīng)濟產(chǎn)生了重大影響，在創(chuàng)造巨大經(jīng)濟效益的同時，也從根本上改變了整個社會商務活動發(fā)展進程。我國電子商務在曲折進程中，已有很大程度的發(fā)展,同時也存在諸多問題。本文客觀地分析了電子商務的安全需求、安全技術發(fā)展現(xiàn)狀及存在的問題，對加快電子商務的發(fā)展步伐提出了一些重要思考。

［關鍵詞］電子商務；安全需求；安全技術；

[參考文獻]

①姚立新，新世紀商務:電子商務的知識發(fā)展與運作，中國發(fā)展出版社，1999年。

②《中國電子商務年鑒》2003卷。

篇（10）

引言

隨著網(wǎng)絡的不斷普及和電子商務的迅猛發(fā)展，電子商務這種商務活動新模式已經(jīng)逐漸改變了人們的經(jīng)濟活動方式、工作方式和生活方式，越來越多的人們開始接受并喜愛網(wǎng)上購物，可是，電子商務發(fā)展的瓶頸——安全問題依然是制約人們進行電子商務交易的最大問題，因此，安全問題是電子商務的核心問題，是實現(xiàn)和保證電子商務順利進行的關鍵所在。校園電子商務是電子商務在校園環(huán)境下的具體應用與實現(xiàn)，其安全性也同樣是其發(fā)展所不容忽視的關鍵問題，因此應當著重研究。

一、校園電子商務概述

1.1校園電子商務的概念。

校園電子商務是電子商務在校園這個特定環(huán)境下的具體應用，它是指在校園范圍內(nèi)利用校園網(wǎng)絡基礎、計算機硬件、軟件和安全通信手段構(gòu)建的滿足于校園內(nèi)單位、企業(yè)和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統(tǒng)。

1.2校園電子商務的特點。

相對于一般電子商務，校園電子商務具有客戶群穩(wěn)定、網(wǎng)絡環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務性大于盈利性等特點，這些特點也是校園開展電子商務的優(yōu)勢所在。與傳統(tǒng)校園商務活動相比，校園電子商務的特點有：交易不受時間空間限制、快捷方便、交易成本較低。

二、校園電子商務的安全問題

2.1校園電子商務安全的內(nèi)容。

校園電子商務安全內(nèi)容從整體上可分為兩大部分：校園網(wǎng)絡安全和校園支付交易安全。校園網(wǎng)絡安全內(nèi)容主要包括：計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務活動在校園網(wǎng)應用時所產(chǎn)生的各種安全問題，如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務等。

2.2校園電子商務安全威脅。

校園電子商務安全威脅同樣來自網(wǎng)絡安全威脅與交易安全威脅。然而，網(wǎng)絡安全與交易安全并不是孤立的，而是密不可分且相輔相成的，網(wǎng)絡安全是基礎，是交易安全的保障。校園網(wǎng)也是一個開放性的網(wǎng)絡，它也面臨許許多多的安全威脅，比如：身份竊取、非授權(quán)訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務、交易否認、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動的安全性受到嚴重的威脅，網(wǎng)上交易面臨的威脅可以歸納為：信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術手段盜取或截獲交易信息致使信息的機密性遭到破壞；篡改信息是非法用戶對交易信息插入、刪除或修改，破壞信息的完整性；假冒是非法用戶冒充合法交易者以偽造交易信息；交易抵賴是交易雙方一方或否認交易行為，交易抵賴也是校園電子商務安全面臨的主要威脅之一。

2.3校園電子商務安全的基本安全需求。

通過對校園電子商務安全威脅的分析，可以看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統(tǒng)的整體規(guī)劃可以提高其安全需求。

三、校園電子商務安全解決方案

3.1校園電子商務安全體系結(jié)構(gòu)。

校園電子商務安全是一個復雜的系統(tǒng)工程，因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務的安全需求，通過對校園人文環(huán)境、網(wǎng)絡環(huán)境、應用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃，再結(jié)合的電子商務的安全技術，總結(jié)校園電子商務安全體系結(jié)構(gòu)，如圖所示：

上述安全體系結(jié)構(gòu)中，人文環(huán)境層包括現(xiàn)有的電子商務法律法規(guī)以及校園電子商務特有的校園信息文化，它們綜合構(gòu)成了校園電子商務建設的大環(huán)境；基礎設施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認證中心；邏輯實體層包括校園一卡通、支付網(wǎng)關、認證服務器和交易服務器；安全機制層包括加密技術、認證技術以及安全協(xié)議等電子商務安全機制；應用系統(tǒng)層即校園電子商務平臺，包括網(wǎng)上交易、支付和配送服務等。

針對上述安全體系結(jié)構(gòu)，具體的方案有：

（1）營造良好校園人文環(huán)境。加強大學生的道德教育，培養(yǎng)校園電子商務參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念，共同營造良好的校園電子商務人文環(huán)境，防止人為惡意攻擊和破壞。

（2）建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程，校園電子商務系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián)，由學校結(jié)算中心專門處理與金融機構(gòu)的業(yè)務，可以大大提高校園網(wǎng)上支付的安全性。

（3）建立統(tǒng)一身份認證系統(tǒng)。建立校園統(tǒng)一身份認證系統(tǒng)可以為校園電子商務系統(tǒng)提供安全認證的功能。

（4）組織物流配送團隊。校園師生居住地點相對集中，一般來說就在學校內(nèi)部或校園附近，只需要很少的人員就可以解決物流配送問題，而不需要委托第三方物流公司，在校園內(nèi)建立一個物流配送團隊就可以準確及時的完成配送服務。

3.2校園網(wǎng)絡安全對策。

保障校園網(wǎng)絡安全的主要措施有：

（1）防火墻技術。利用防火墻技術來實現(xiàn)校園局域網(wǎng)的安全性，以解決訪問控制問題，使只有授權(quán)的校園合法用戶才能對校園網(wǎng)的資源進行訪問，防止來自外部互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡的破壞。

（2）病毒防治技術。在任何網(wǎng)絡環(huán)境下，計算機病毒都具有不可估量的威脅性和破壞力，校園網(wǎng)雖然是局域網(wǎng)，可是免不了計算機病毒的威脅，因此，加強病毒防治是保障校園網(wǎng)絡安全的重要環(huán)節(jié)。

（3）VPN技術。目前，我國高校大都已經(jīng)建立了校園一卡通工程，如果能利用VPN技術建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的安全傳輸。有效保證了網(wǎng)絡的安全性和穩(wěn)定性且易于維護和改進。

3.3交易信息安全對策。

針對校園電子商務中交易信息安全問題，可以用電子商務的安全機制來解決，例如數(shù)據(jù)加密技術、認證技術和安全協(xié)議技術等。通過數(shù)據(jù)加密，可以保證信息的機密性；通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解決信息的完整性和不可否認性的問題；通過安全協(xié)議方法，建立安全信息傳輸通道來保證電子商務交易過程和數(shù)據(jù)的安全。

（1）數(shù)據(jù)加密技術。加密技術是電子商務中最基本的信息安全防范措施，其原理是利用一定的加密算法來保證數(shù)據(jù)的機密，主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，而解密密鑰不公開。

（2）認證技術。認證技術是保證電子商務交易安全的一項重要技術，它是網(wǎng)上交易支付的前提，負責對交易各方的身份進行確認。在校園電子商務中，網(wǎng)上交易認證可以通過校園統(tǒng)一身份認證系統(tǒng)（例如校園一卡通系統(tǒng)）來進行對交易各方的身份認證。

（3）安全協(xié)議技術。目前，電子商務發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務的需求分析，校園電子商務更適合采用SSL協(xié)議。SSL位于傳輸層與應用層之間，能夠更好地封裝應用層數(shù)據(jù)，不用改變位于應用層的應用程序，對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道，保證傳輸數(shù)據(jù)的安全。

3.4基于一卡通的校園電子商務。

目前，我國高校校園網(wǎng)建設和校園一卡通工程建設逐步完善，使用校園一卡通進行校園電子商務的網(wǎng)上支付可以增強校園電子商務的支付安全，可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風險等。同時，使用校園一卡通作為校園電子支付載體的安全保障有：

（1）校園網(wǎng)是一個內(nèi)部網(wǎng)絡，它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵，由于有防火墻及反病毒軟件等安全防范設施，來自外部網(wǎng)絡人員的破壞可能性很小。同時，校園一卡通中心有著良好的安全機制，使得使用校園一卡通在校內(nèi)進行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微。:

（2）校園一卡通具有統(tǒng)一身份認證系統(tǒng)，能夠?qū)⑴c交易的各方進行身份認證，各方的交易活動受到統(tǒng)一的審計和監(jiān)控，統(tǒng)一身份認證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡管理中對不同角色的用戶享有不同級別的授權(quán)，使其網(wǎng)上活動受到其身份的限制，有效防止一些惡意事情的發(fā)生。同時，由于校內(nèi)人員身份單一，多為學生，交易中一旦發(fā)生糾紛，身份容易確認，糾紛就容易解決。

四、結(jié)束語

開展校園電子商務是推進校園信息化建設的重要內(nèi)容，隨著我國校園信息化建設的不斷深入，目前已有許多高校開展了校園電子商務，它極大的方便了校園內(nèi)師生員工的工作、學習、生活?？墒桥c此同時，安全問題成為制約校園電子商務發(fā)展的障礙。因此，如何建立一個安全、便捷的校園電子商務應用環(huán)境，讓師生能夠方便可靠的進行校園在線交易和網(wǎng)上支付，是當前校園電子商務發(fā)展要著重研究的關鍵問題。

參考文獻：

[1]李洪心。電子商務安全[M].大連：東北財經(jīng)大學出版社，2008.

[2]楊堅爭，趙雯，楊立釩。電子商務安全與電子支付[M].北京：機械工業(yè)出版社，2008.