導(dǎo)言：作為寫作愛(ài)好者，不可錯(cuò)過(guò)為您精心挑選的10篇電子商務(wù)安全論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

1引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢(shì)，使得政府與企業(yè)都十分重視并推動(dòng)電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問(wèn)題在于時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問(wèn)題之一。研究和分析電子商務(wù)的安全性問(wèn)題,特別是針對(duì)企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開(kāi)發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開(kāi)發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看，傳統(tǒng)的買賣雙方是面對(duì)面的，因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中，買賣雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面：

2.1信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

3.4信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在1nternet上每個(gè)人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行，要求電子商務(wù)平臺(tái)要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯(cuò)誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證，往往會(huì)造成巨大的經(jīng)濟(jì)損失。

所以就整個(gè)電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個(gè)層次，

1)網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2)通訊的安全性

3)應(yīng)用程序的安全性

4)用戶的認(rèn)證管理

其中2、3、4是通過(guò)操作系統(tǒng)和Web服務(wù)器軟件實(shí)現(xiàn)，而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

3.1網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet和Intranet保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能，制定正確的安全策略，將能提供一個(gè)安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒(méi)有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過(guò)加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書，證書包括一個(gè)公鑰，由一家可信證書授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個(gè)人證書，實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問(wèn)之前或訪問(wèn)時(shí)）。驗(yàn)證此證書是合法的服務(wù)器證書通過(guò)后利用該證書對(duì)稱加密算法（RSA）與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰，然后用此對(duì)稱算法加密傳輸?shù)拿魑摹４藭r(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。

3.3應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時(shí)；程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn)行，其他的部分只有縮小的許可；程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源，如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制（最少許可），程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹＠?，緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問(wèn)題一樣的錯(cuò)誤。

3.4用戶的認(rèn)證管理

1)身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書用來(lái)認(rèn)證服務(wù)器的身份，IC卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒(méi)有提供交易功能，所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。

2)CA證書

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書進(jìn)行驗(yàn)證，這份數(shù)字證書就是CA證書，它由認(rèn)證授權(quán)中心（CA中心）發(fā)行。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。CA中心一般是社會(huì)公認(rèn)的可靠組織，它對(duì)個(gè)人、組織進(jìn)行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個(gè)人證書。建立SSL安全鏈接不需要一定有個(gè)人證書，實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問(wèn)之前或訪問(wèn)時(shí)進(jìn)行）。

3)安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

SSL通過(guò)數(shù)字簽名和數(shù)字證書來(lái)實(shí)行身份驗(yàn)證，數(shù)字證書是從認(rèn)證機(jī)構(gòu)（CA，CertificateAuthority）獲得的，通常包含有唯一標(biāo)識(shí)證書所有者的名稱、唯一標(biāo)識(shí)證書者的名稱、證書所有者的公開(kāi)密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如Http、Ftp、Telnet等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個(gè)階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證。

①服務(wù)器認(rèn)證

客戶端向服務(wù)器發(fā)送一個(gè)“Hello”信息，以便開(kāi)始一個(gè)新的會(huì)話連接；服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開(kāi)密鑰加密后傳給服務(wù)器；服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。這樣通過(guò)主密鑰引出的密鑰對(duì)一系列數(shù)據(jù)進(jìn)行加密來(lái)認(rèn)證服務(wù)器，從而建立安全的通信通道。

②用戶認(rèn)證

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶，客戶則返回?cái)?shù)字簽名后的提問(wèn)和其公開(kāi)密鑰，從而向服務(wù)器提供認(rèn)證。SSL協(xié)議支持各種加密算法，實(shí)現(xiàn)簡(jiǎn)單，獨(dú)立于應(yīng)用層協(xié)議，且被大部分瀏覽器和Web服務(wù)器內(nèi)置，便于在電子交易中應(yīng)用。但SSL是一個(gè)面向連接的協(xié)議，起初并不是為了支持電子商務(wù)而設(shè)計(jì)的，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此，開(kāi)發(fā)出了在網(wǎng)絡(luò)應(yīng)用層中專為電子商務(wù)而設(shè)計(jì)的SET協(xié)議。

4安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對(duì)于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問(wèn)系統(tǒng)的最小權(quán)限。按照分級(jí)管理原則，嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過(guò)嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號(hào)和密碼。

建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時(shí)便于跟蹤查詢。定期檢查日志，以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。

對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份，且對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù)，數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。

5結(jié)束語(yǔ)

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證1OO％的安全。但是，安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手，僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對(duì)的，而不是絕對(duì)的。因此，為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展，必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問(wèn)題，使電子商務(wù)系統(tǒng)相對(duì)更安全。

參考文獻(xiàn):

[1]吳洋.電子商務(wù)安全方法研究[D].天津大學(xué),2006.

[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005,(06)

篇2

2電子商務(wù)誠(chéng)信缺失的原因與表現(xiàn)

2.1 我國(guó)誠(chéng)信基礎(chǔ)薄弱，電子商務(wù)交易社會(huì)信任度低

電子商務(wù)參與者的誠(chéng)信觀念、規(guī)則意識(shí)不強(qiáng)。電子商務(wù)作為不見(jiàn)面的交易模式，難以得到消費(fèi)者的認(rèn)同，而“無(wú)商不奸”的觀念在人們的思想中根深蒂固，這是電子商務(wù)發(fā)展的心理障礙。

2.2 社會(huì)信用體制尚未完全建立，電子商務(wù)難于運(yùn)營(yíng)

電子商務(wù)貿(mào)易內(nèi)的信用評(píng)級(jí)還完全屬于行業(yè)和個(gè)人行為，還沒(méi)有得到政府的支持和認(rèn)可，所以評(píng)級(jí)中介機(jī)構(gòu)、評(píng)級(jí)依據(jù)都未得到法律認(rèn)同，從而評(píng)級(jí)也就沒(méi)有法律效力。

2.3 商業(yè)秘密和客戶隱私得不到保護(hù)

網(wǎng)絡(luò)具有公開(kāi)性，商家和消費(fèi)者的個(gè)體信息在未征得同意時(shí)不得公開(kāi)，否則將構(gòu)成對(duì)隱私權(quán)的侵犯。而目前很多商業(yè)性網(wǎng)站并不注重對(duì)客戶信息的保護(hù)，商業(yè)秘密和隱私隨時(shí)可能受到侵犯，且難以獲得有效的法律救濟(jì)。

另外，還有網(wǎng)絡(luò)詐騙、商品質(zhì)量低劣、不履行服務(wù)承諾等一系列誠(chéng)信缺失的表現(xiàn)。

3電子商務(wù)的誠(chéng)信建設(shè)

3.1 加大誠(chéng)信建設(shè)和教育，提高全民誠(chéng)信素質(zhì)

倡導(dǎo)誠(chéng)信觀念，提高社會(huì)公德和全民誠(chéng)信素質(zhì)，形成誠(chéng)實(shí)守信的社會(huì)環(huán)境，促進(jìn)電子商務(wù)的發(fā)展。

3.2 健全相關(guān)法律、法規(guī)和制度的建設(shè)

法律、法規(guī)作為誠(chéng)信的最后一道保障，不僅能打擊違法行為，維護(hù)消費(fèi)者的合法權(quán)益，也能營(yíng)造良好的社會(huì)誠(chéng)信環(huán)境，促進(jìn)電子商務(wù)的繁榮發(fā)展。根據(jù)電子商務(wù)的環(huán)境和交易特點(diǎn)，建立電子交易法律和制度、電子支付制度、信用卡制度等。

3.3 完善信用體系建設(shè)

(1)建立電子商務(wù)信用模式。電子商務(wù)的信用模式主要是指電子商務(wù)企業(yè)(網(wǎng)站)通過(guò)制定和實(shí)施確定交易規(guī)則，為電子商務(wù)交易的當(dāng)事人建立一個(gè)公平、公正的平臺(tái)，以確保電子商務(wù)交易的安全可靠。其基礎(chǔ)性設(shè)施主要體現(xiàn)在資格認(rèn)證和信用認(rèn)證。

(2)加強(qiáng)行業(yè)自律。電子商務(wù)行業(yè)應(yīng)當(dāng)反對(duì)采用一切不正當(dāng)手段進(jìn)行行業(yè)內(nèi)競(jìng)爭(zhēng)，自覺(jué)維護(hù)用戶的合法權(quán)益，保守用戶信息秘密。

(3)建立在線信用信息數(shù)據(jù)庫(kù)。政府有關(guān)部門要盡早建立跨區(qū)域的在線信用信息數(shù)據(jù)庫(kù)，通過(guò)提供信用查詢、公示企業(yè)守信或誠(chéng)信信息、受理信用的投訴、受理信用的異議等服務(wù)，來(lái)營(yíng)造電子商務(wù)信用環(huán)境。

另外，還要增強(qiáng)政府引導(dǎo)與管理能力，促進(jìn)中國(guó)電子商務(wù)誠(chéng)信聯(lián)盟的發(fā)展。可以營(yíng)造良好的電子商務(wù)誠(chéng)信環(huán)境。

4 電子商務(wù)的安全要素與安全技術(shù)

實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性，從安全和信任的角度來(lái)看,傳統(tǒng)的買賣雙方是面對(duì)面的,因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中，買賣雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系，由于距離的限制，電子商務(wù)交易雙方都面臨安全威脅。這些安全因素包含：信息有效性、真實(shí)性;信息機(jī)密性;信息完整性;信息可靠性、不可抵賴性和可鑒別性。;

4.1 電子商務(wù)的安全技術(shù)

(1)數(shù)據(jù)加密技術(shù)

加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)，可分為：對(duì)稱密鑰密碼算法、不對(duì)稱型加密算法、不可逆加密算法三種。電子商務(wù)領(lǐng)域常用的加密技術(shù)有數(shù)字摘要、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等。

(2)與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)

SSL協(xié)議(安全套接層協(xié)議)，主要是使用公開(kāi)密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸。從目前實(shí)際使用的情況來(lái)看，SSL還是人們最信賴的協(xié)議，但是SSL并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系;還有，購(gòu)貨時(shí)用戶要輸入通信地址，這樣將可能使得用戶收到大量垃圾信件。

SET協(xié)議(安全電子交易)，由美國(guó)Visa和MasterCard兩大信用卡組織聯(lián)合國(guó)際上多家科技機(jī)構(gòu)，共同制定了應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn)，它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于保障網(wǎng)上購(gòu)物信息的安全性，是目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。

(3)身份認(rèn)證技術(shù)

在電子交易中，無(wú)論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書的發(fā)放，都不是靠交易的自己能完成的，而需要有一個(gè)具有權(quán)威性和公正性的第三方來(lái)完成。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

4.2網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)

網(wǎng)上支付平臺(tái)分為CTEC支付體系和SET支付體系。網(wǎng)上支付平臺(tái)支付型電子商務(wù)業(yè)務(wù)提供各種支付手段，包括基于SET標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段。支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間，主要完成通信、協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能，并且可以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)。此外，支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能。

5小結(jié)

本文分析了目前電子商務(wù)領(lǐng)域所面臨的誠(chéng)信危機(jī)與安全威脅，指出要將行業(yè)誠(chéng)信、政府監(jiān)管、國(guó)家立法、安全技術(shù)等多方面相結(jié)合，從而保障電子商務(wù)的安全運(yùn)行，引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

[3]梁露，電子商務(wù)網(wǎng)站建設(shè)與實(shí)踐[M]，北京：人民郵電出版社，2008:180-182

篇3

電子商務(wù)是一個(gè)跨國(guó)界，跨地區(qū)，跨行業(yè)的多種技術(shù)綜合集成與不同社會(huì)經(jīng)濟(jì)文化背景形成的各種習(xí)俗不斷沖突，不斷協(xié)調(diào)和不斷統(tǒng)一的綜合性社會(huì)系統(tǒng)工程。電子商務(wù)安全策略保障電子商務(wù)各個(gè)主體的切身利益。電子商務(wù)安全策略是以人為本，從各主體的角度思考，綜合協(xié)調(diào)了各個(gè)市場(chǎng)主體的行為，從根本上保障了消費(fèi)者、企業(yè)、電子商務(wù)網(wǎng)站等市場(chǎng)主體的切身利益，它為實(shí)現(xiàn)電子商務(wù)提供了統(tǒng)一的基礎(chǔ)平臺(tái)和安全屏障。

一、電子商務(wù)安全技術(shù)保障策略

安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略，目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有以下幾種：

1.密碼技術(shù)。密碼技術(shù)包括加密技術(shù)和解密技術(shù)。加密是將信息經(jīng)過(guò)加密密鑰及加密函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文。而解密則是將密文經(jīng)過(guò)解密函數(shù)、解密密鑰處理還原成原文。密碼技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)。

2.身份驗(yàn)證技術(shù)。電子商務(wù)主體向系統(tǒng)證明自己身份，并由系統(tǒng)查核該主體的過(guò)程，是確認(rèn)真實(shí)有效身份的重要環(huán)節(jié)，這個(gè)過(guò)程叫作身份驗(yàn)證。常用的驗(yàn)證技術(shù)有報(bào)文鑒別、身份鑒別和電子簽名。

3.訪問(wèn)控制技術(shù)。訪問(wèn)控制是指對(duì)電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中各種資源訪問(wèn)時(shí)的權(quán)限確認(rèn)，防止非法訪問(wèn)。它包括有關(guān)的策略、模型、機(jī)制的基礎(chǔ)理論與實(shí)現(xiàn)方法。

4.防火墻技術(shù)。防火墻是用一組網(wǎng)絡(luò)設(shè)備來(lái)加強(qiáng)一個(gè)網(wǎng)絡(luò)與外界之間的訪問(wèn)控制。防火墻整體可以分為三大類：分組過(guò)濾、應(yīng)用、電路網(wǎng)關(guān)。

二、企業(yè)電子商務(wù)安全運(yùn)營(yíng)管理制度保障策略

企業(yè)電子商務(wù)安全運(yùn)營(yíng)管理制度是用文字的形式對(duì)各項(xiàng)安全要求所做的規(guī)定，是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ)，是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則。這些制度主要包括人員管理制度，保密制度，跟蹤審計(jì)制度，系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度等。

1.人員管理制度人員管理制度主要從人員的選拔，工作責(zé)任的落實(shí)和安全運(yùn)作必須遵循的基本原則制定相應(yīng)的工作制度。

2.保密制度電子商務(wù)系統(tǒng)涉及企業(yè)的市場(chǎng)、生產(chǎn)、財(cái)務(wù)、供應(yīng)鏈等多方面的機(jī)密，這些方面都是需要很好地劃分信息安全級(jí)別，并確定安全防范重點(diǎn)，提出相應(yīng)的保密措施。

3.跟蹤審計(jì)制度跟蹤制度就是要求企業(yè)建立網(wǎng)絡(luò)交易的日志機(jī)制，來(lái)記錄網(wǎng)絡(luò)交易的全過(guò)程。而審計(jì)制度是對(duì)系統(tǒng)日志的經(jīng)常檢查、審核，及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)有安全隱患的記錄，監(jiān)控各種安全事故，維護(hù)和管理系統(tǒng)日志。

4.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)包括硬件的日常維護(hù)和軟件的日常維護(hù)，硬件維護(hù)主要是對(duì)網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機(jī)以及通信線路進(jìn)行定期規(guī)范地巡查、檢修；軟件維護(hù)主要是規(guī)范地對(duì)支撐軟件的定期清理和整理、監(jiān)測(cè)、處理特殊情況以及對(duì)應(yīng)用軟件的升級(jí)等。

5.數(shù)據(jù)備份制度數(shù)據(jù)備份主要是利用多種介質(zhì)對(duì)信息系統(tǒng)數(shù)據(jù)進(jìn)行存儲(chǔ)，定期為重要信息備份、系統(tǒng)設(shè)備備份，并定期更新，以減少安全事故發(fā)生時(shí)造成的損失。

三、電子商務(wù)立法策略

電子商務(wù)安全得到法律保障，首先必須完善電子商務(wù)安全相關(guān)的法律。如何構(gòu)建一個(gè)有針對(duì)性的健全的法律體系是擺在我們面前的迫切問(wèn)題?？梢詮牧⒎康摹⒘⒎ㄔ瓌t、立法范圍和立法途徑上分析。

1.立法目的電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙；消除現(xiàn)有法律適用上的不確定性，保護(hù)合理的商業(yè)行為，保障電子交易安全；建立一個(gè)清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。

2.立法范圍電子商務(wù)安全方面需要的法律法規(guī)主要有：市場(chǎng)準(zhǔn)入制度、合同有效認(rèn)證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法，知識(shí)產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過(guò)濾等；電子商務(wù)調(diào)整的對(duì)象是電子商務(wù)中的各種社會(huì)關(guān)系。[3.立法途徑電子商務(wù)法律仍然是調(diào)整社會(huì)關(guān)系，所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核，尤其是基礎(chǔ)價(jià)值觀。具體的立法途徑主要是兩種：第一是制定新的法律規(guī)范。對(duì)于傳統(tǒng)法律沒(méi)有規(guī)定的，即由電子商務(wù)帶來(lái)的新的社會(huì)關(guān)系，應(yīng)盡快制定法律規(guī)范；第二是修改或重新解釋既定的法律規(guī)范。對(duì)于傳統(tǒng)法律的規(guī)定不明確，或與電子商務(wù)新型社會(huì)關(guān)系有沖突甚至存在缺欠的，可以修改或重新解釋既定的法律規(guī)范。

四、政府監(jiān)督管理策略

電子商務(wù)本質(zhì)是一種市場(chǎng)運(yùn)作模式，市場(chǎng)的正常健康有序地發(fā)展，必須有政府宏觀上的監(jiān)督與管理，以協(xié)調(diào)和規(guī)范各市場(chǎng)主體的行為，宏觀監(jiān)督與管理電子商務(wù)運(yùn)行中的安全保障體系。

1.計(jì)算機(jī)信息系統(tǒng)安全管理計(jì)算機(jī)信息系統(tǒng)，是指“由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)?！庇?jì)算機(jī)安全保護(hù)規(guī)范主要有計(jì)算機(jī)安全等級(jí)保護(hù)制度，計(jì)算機(jī)系統(tǒng)使用單位安全負(fù)責(zé)制度，計(jì)算機(jī)案件強(qiáng)行報(bào)告制度，計(jì)算機(jī)病毒及其有害數(shù)據(jù)的專管制度與計(jì)算機(jī)信息安全專用產(chǎn)品銷售許可證制度。對(duì)計(jì)算機(jī)信息系統(tǒng)安全的保護(hù)，有利于保障國(guó)家的安全和社會(huì)安定，促進(jìn)電子商務(wù)的安全交易過(guò)程，有利電子商務(wù)的健康發(fā)展。

2.網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理由于網(wǎng)絡(luò)的開(kāi)放性，自由性等特征決定了網(wǎng)絡(luò)廣告監(jiān)管的難度，虛假?gòu)V告、廣告充斥著網(wǎng)絡(luò)空間，網(wǎng)絡(luò)廣告已經(jīng)發(fā)展成為一個(gè)社會(huì)問(wèn)題。網(wǎng)絡(luò)廣告管理應(yīng)該從三個(gè)方面入手：第一，網(wǎng)絡(luò)廣告組織的管理，必須對(duì)網(wǎng)站廣告經(jīng)營(yíng)主體資格進(jìn)行管制，第二，規(guī)范網(wǎng)絡(luò)廣告內(nèi)容，確保廣告內(nèi)容的真實(shí)性、合法性和科學(xué)性。第三，需要有具體的廣告審查管制、評(píng)估與監(jiān)測(cè)部門。

國(guó)家針對(duì)網(wǎng)絡(luò)服務(wù)業(yè)和網(wǎng)絡(luò)用戶管理已經(jīng)頒布了《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》，其中提出了詳細(xì)具體的限制條件。但是，網(wǎng)絡(luò)飛速發(fā)展，面對(duì)網(wǎng)絡(luò)中的新問(wèn)題，還必須進(jìn)一步深入全面地研究。

3.認(rèn)證機(jī)構(gòu)管理認(rèn)證機(jī)構(gòu)是電子商務(wù)活動(dòng)中專門從事頒發(fā)認(rèn)證證書的機(jī)構(gòu)，對(duì)電子商務(wù)交易活動(dòng)順利進(jìn)行，電子商務(wù)活動(dòng)中交易參與各方身份和信息認(rèn)定，維護(hù)交易安全具有重要作用。對(duì)認(rèn)證機(jī)構(gòu)的管理主要是通過(guò)對(duì)設(shè)立的條件、撤消或者頒發(fā)許可證等營(yíng)業(yè)資格而進(jìn)行審批監(jiān)督；同時(shí)，還要針對(duì)其資產(chǎn)和財(cái)務(wù)狀況定期審查，以免發(fā)生財(cái)務(wù)危機(jī)，對(duì)其信息披露與保密情況、安全系統(tǒng)運(yùn)行情況等方面進(jìn)行不定期或定期監(jiān)督檢查。

4.加強(qiáng)社會(huì)信用道德建設(shè)，構(gòu)建和諧安全電子商務(wù)電子商務(wù)安全問(wèn)題其中有很大部分是由電子商務(wù)用戶或從業(yè)人員的信用道德問(wèn)題引發(fā)的，在我國(guó)尤其嚴(yán)重，甚至大家感嘆電子商務(wù)在我國(guó)“水土不服”。對(duì)于新型的商業(yè)運(yùn)作模式，必然存在不少漏洞，這需要廣大電子商務(wù)市場(chǎng)主體有良好的電子商務(wù)道德意識(shí)。除了從法律上采取措施，更重要的是政府要加強(qiáng)電子商務(wù)市場(chǎng)主體自身的道德建設(shè),加強(qiáng)輿論監(jiān)督和企業(yè)自律，充分利用網(wǎng)絡(luò)新聞?shì)浾摫O(jiān)督，消費(fèi)者輿論監(jiān)督和行業(yè)協(xié)會(huì)的管理監(jiān)督。

五、結(jié)束語(yǔ)

電子商務(wù)安全不僅涉及到電子商務(wù)公司、企業(yè)、消費(fèi)者的利益，而且更加廣泛地涉及經(jīng)濟(jì)、政治、國(guó)防、文化等諸多方面，關(guān)系到國(guó)家的安全、和社會(huì)的穩(wěn)定。電子商務(wù)安全策略確保電子商務(wù)的快速、健康地發(fā)展。電子商務(wù)安全是目前電子商務(wù)發(fā)展的瓶頸，只有解決了電子商務(wù)安全，保障了市場(chǎng)主體的利益，才能得到網(wǎng)絡(luò)用戶的認(rèn)可和參與，電子商務(wù)自身也才能得到快速、健康地發(fā)展。

參考文獻(xiàn)

[1]林寧，吳志剛.我國(guó)信息安全技術(shù)標(biāo)準(zhǔn)化現(xiàn)狀[J].中國(guó)標(biāo)準(zhǔn)化，2007（4）

篇4

在電子商務(wù)中，網(wǎng)上交易的支付問(wèn)題的安全性問(wèn)題越來(lái)越突出，為確保顧客在購(gòu)買東西的時(shí)候不會(huì)錢財(cái)兩空，一種新的支付方式——第三方支付出現(xiàn)了，第三方支付平臺(tái)的出現(xiàn)解決了電子商務(wù)的瓶頸——網(wǎng)上支付信用與安全問(wèn)題,充當(dāng)商家與消費(fèi)者之間的信用紐帶,作為交易各方與銀行的接口,消除消費(fèi)者對(duì)商家的疑慮，提供方便快捷簡(jiǎn)易的支付方式,在很大程度上推動(dòng)了電子商務(wù)的發(fā)展。

那么，第三方支付具體指的是什么呢？所謂第三方支付，是指為了保障電子商務(wù)的支付安全，支付通過(guò)買賣雙方之間完全中立的一家企業(yè)來(lái)完成。用E-mail來(lái)進(jìn)行網(wǎng)上支付；打個(gè)電話報(bào)上信用卡號(hào)就能預(yù)訂機(jī)票；用手機(jī)上網(wǎng)交水費(fèi)電費(fèi)游戲費(fèi)……在中國(guó)人還沒(méi)有完全適應(yīng)從紙制貨幣進(jìn)化到“塑膠貨幣”（信用卡）的今天，網(wǎng)絡(luò)銀行、手機(jī)錢包等第三方支付工具已經(jīng)迫不及待地登場(chǎng)了。

近日，有媒體報(bào)道，有網(wǎng)民利用三方支付工具從信用卡套現(xiàn)。就此，該文進(jìn)而對(duì)第三方支付的安全性問(wèn)題提出質(zhì)疑，認(rèn)為電子支付有可能被金融犯罪分子所利用，充當(dāng)其洗錢的工具。且不管該文提到的套現(xiàn)現(xiàn)象是否屬于依然在可控范圍內(nèi)的小概率事件，也不提所謂的套現(xiàn)行為是否緣于第三方支付的安全漏洞，單就所謂洗錢的擔(dān)心而論，可以說(shuō)，該文是嚴(yán)重低估了央行以及各商業(yè)銀行的風(fēng)險(xiǎn)控制能力，也大大低估了各大第三方支付公司的風(fēng)險(xiǎn)把控能力。

實(shí)際情況是，早在1996年4月1日，中國(guó)人民銀行就頒布并實(shí)施了《信用卡業(yè)務(wù)管理辦法》，其中明確規(guī)定，持卡人不允許利用信用卡套取現(xiàn)金以及惡意透支。對(duì)于信用卡套現(xiàn)這個(gè)問(wèn)題，不光招商銀行等商業(yè)銀行關(guān)注有加，第三方支付公司支付寶、貝寶等亦是小心翼翼，如履薄冰，先后出臺(tái)了多項(xiàng)嚴(yán)格的風(fēng)險(xiǎn)控制系統(tǒng)，協(xié)助銀行解決問(wèn)題。

在如何對(duì)待信用卡套現(xiàn)的問(wèn)題上，國(guó)內(nèi)領(lǐng)先的第三方支付平臺(tái)如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。

例如，PAYPAL(貝寶)在防止盜號(hào)、提供密碼加密以及減少信用卡套現(xiàn)等方面，已經(jīng)配合銀行做了大量工作;快錢除了從技術(shù)手段上防范盜卡之外，還在安全方面加設(shè)了用戶的認(rèn)證系統(tǒng)等六道功能，試圖將安全隱患?jí)旱偷阶钚〕潭取?/p>

作為國(guó)內(nèi)最大的第三方支付平臺(tái)，支付寶的做法就更為完備。早在2006年7月，支付寶就推出“支付寶認(rèn)證”服務(wù)，對(duì)所有使用支付寶的賣家進(jìn)行雙重身份認(rèn)證，即身份證認(rèn)證和銀行卡認(rèn)證。除了與公安部全國(guó)公民身份證號(hào)碼查詢服務(wù)中心合作校驗(yàn)身份證的真?zhèn)?，支付寶還與各大商業(yè)銀行進(jìn)行合作，利用銀行賬戶實(shí)名制信息來(lái)校驗(yàn)用戶填寫的姓名和銀行賬戶號(hào)碼是否準(zhǔn)確，摒棄了某些購(gòu)物網(wǎng)站僅憑一個(gè)手機(jī)號(hào)碼或者身份證號(hào)碼進(jìn)行簡(jiǎn)單認(rèn)證的模式。支付寶公司還在國(guó)內(nèi)率先推出了“全額賠付”制度和交易安全基金，網(wǎng)絡(luò)欺詐發(fā)生率僅為萬(wàn)分之二。

為了保證支付寶的安全性，支付寶技術(shù)團(tuán)隊(duì)還自發(fā)研制了數(shù)字證書，其安全性能得到各銀行認(rèn)同。相對(duì)于目前國(guó)內(nèi)所有第三方認(rèn)證公司采用的認(rèn)證形式，支付寶的數(shù)字證書從技術(shù)上擺脫了普通6位密碼驗(yàn)證，改以1024位加密的數(shù)字簽名技術(shù)，因而更為安全。而數(shù)字密碼的惟一性，也更有助于客戶身份的識(shí)別。

央行的《電子支付指引》規(guī)定，銀行通過(guò)互聯(lián)網(wǎng)為個(gè)人客戶辦理電子支付業(yè)務(wù)，除采用數(shù)字證書、電子簽名等安全認(rèn)證方式外，單筆金額不應(yīng)超過(guò)1000元人民幣，每日累計(jì)金額不應(yīng)超過(guò)5000元人民幣，并規(guī)定信用卡的網(wǎng)上支付不得超過(guò)提現(xiàn)額度。國(guó)內(nèi)目前沒(méi)有一家銀行和任何一家網(wǎng)上支付公司允許網(wǎng)上“單日支付額度由信用卡額度決定”。在這方面，支付寶也早已主動(dòng)和和很多發(fā)卡銀行聯(lián)手，針對(duì)套現(xiàn)現(xiàn)象做了信用卡網(wǎng)上支付單筆限額的規(guī)定，例如，招商銀行的信用卡支付限制的是單筆最高限額499元。為了保證支付寶的安全性，支付寶還有CTU風(fēng)險(xiǎn)控制系統(tǒng)來(lái)隨時(shí)掃描和監(jiān)控交易的進(jìn)行，防范可能存在的盜卡及套現(xiàn)行為。

實(shí)際上，從2006年5月開(kāi)始，支付寶就已委托中國(guó)工商銀行對(duì)支付寶公司開(kāi)立在各家銀行的客戶交易保證金賬戶的余額進(jìn)行核查，工行并定期出具《支付寶客戶交易保證金托管報(bào)告》。這是中國(guó)銀行界第一次為第三方支付平臺(tái)做資金托管的審核報(bào)告，也是當(dāng)前唯一銀行愿意托管的第三方支付平臺(tái)。2006年12月8日，從工行對(duì)11月1日～11月30日期間所有發(fā)生的支付寶公司的客戶提現(xiàn)及余額支付進(jìn)行的抽查情況看，支付寶存放在各家銀行的客戶交易保證金余額總和等于支付寶客戶存放在貴公司的資金余額與待處理款、未達(dá)款余額之和，報(bào)告期間內(nèi)未發(fā)現(xiàn)支付寶客戶交易保證金被挪用情況。

篇5

降低成本，提高效率一直是航空公司經(jīng)理們所要考慮的問(wèn)題。在傳統(tǒng)情況下，當(dāng)公司需要進(jìn)行采購(gòu)的時(shí)候組織采購(gòu)部門會(huì)填寫請(qǐng)購(gòu)單，這個(gè)請(qǐng)購(gòu)單會(huì)交付給供應(yīng)商。表格交付后，確認(rèn)產(chǎn)品信息確認(rèn)后付款。采購(gòu)過(guò)程非常耗時(shí)。在網(wǎng)絡(luò)沒(méi)有出現(xiàn)的年代，尋找要購(gòu)買的商品通常需要一個(gè)半天的時(shí)間，而電子采購(gòu)只需要20分鐘。(Chaffey，2002)可以說(shuō)企業(yè)機(jī)構(gòu)從電子采購(gòu)中獲益很多。

1.2對(duì)分銷商的影響

對(duì)航空業(yè)來(lái)講，分銷是指航空公司如何把機(jī)票分配給消費(fèi)者。在網(wǎng)絡(luò)沒(méi)有盛行的年代，旅行社是重要的購(gòu)買機(jī)票的渠道。而現(xiàn)在購(gòu)買機(jī)票方式的變化是顯而易見(jiàn)的。許多航空公司設(shè)立了官方網(wǎng)站來(lái)吸引消費(fèi)者購(gòu)票。Law和Leung（2000）認(rèn)為網(wǎng)絡(luò)能夠在不通過(guò)旅行社和電腦預(yù)訂系統(tǒng)（ComputerReservationSystems，CRS）直接與消費(fèi)者溝通，從而降低了機(jī)票的分銷費(fèi)用。EasyJet航空公司就是通過(guò)各種方式來(lái)降低不必要成本的典型，比如通過(guò)網(wǎng)絡(luò)售票。2001年9月75%的人上網(wǎng)買票，這可以看作是一種脫媒方式。隨著網(wǎng)絡(luò)的普及，幾乎所有的航空公司都建立自己的網(wǎng)站，同時(shí)網(wǎng)絡(luò)訂機(jī)票的中介也應(yīng)運(yùn)而生，這就意味著航空公司之間的競(jìng)爭(zhēng)越發(fā)激烈，尤其對(duì)那些以價(jià)格為導(dǎo)向的消費(fèi)者來(lái)說(shuō)，他們更傾向于價(jià)格更便宜的機(jī)票。以2012年4月22日從倫敦到巴塞羅那的機(jī)票為例，大英航空的最低票價(jià)為196英鎊，而Easyjet的票價(jià)只有62.99英鎊，可見(jiàn)Easyjet在降低成本上所做的努力?？梢钥闯觯W(wǎng)絡(luò)在降低了航空業(yè)分銷渠道成本的同時(shí)，也加大了行業(yè)內(nèi)部之間的競(jìng)爭(zhēng)。

1.3對(duì)客戶關(guān)系的影響

如上所述，航空業(yè)屬于服務(wù)業(yè)范疇，因而公司與消費(fèi)者的關(guān)系是至關(guān)重要的。Chaffey(2002)認(rèn)為客戶關(guān)系主要有兩個(gè)部分，即客戶獲?。╟ustomeracquisition）和客戶維系(customerretention)，其中獲取一個(gè)客戶要比維系一個(gè)客戶成本更高。因而公司希望與已獲得的客戶保持長(zhǎng)期而良好的關(guān)系，而網(wǎng)絡(luò)讓維持這種關(guān)系變得更加容易。荷蘭皇家航空公司（KLM）的網(wǎng)絡(luò)客戶關(guān)系管理團(tuán)隊(duì)（CRMteam）會(huì)根據(jù)客戶在網(wǎng)上訂票后所留下的cookies（小型文本本件）來(lái)判定客戶的消費(fèi)習(xí)慣，從而為客戶提供更加個(gè)性化的信息，比如給他們發(fā)送專門為他們定制的郵件。他們也為常旅客（frequentflyers）提供專屬的服務(wù)，并稱之為常旅客計(jì)劃會(huì)員（frequentflyerprogrammem-bership）。其次，對(duì)消費(fèi)者來(lái)說(shuō)，網(wǎng)絡(luò)的產(chǎn)生讓消費(fèi)者能夠隨時(shí)隨地查詢相關(guān)信息，比如網(wǎng)上值機(jī)系統(tǒng)（onlinecheck-insystem）能夠節(jié)省消費(fèi)者的時(shí)間同時(shí)也能降低公司人力成本。航空公司通過(guò)電子商務(wù)（網(wǎng)絡(luò)，手機(jī)等）可以更好與消費(fèi)者維持良好的關(guān)系。廉價(jià)航空公司EasyJet通過(guò)使用RightNow公司的客戶關(guān)系管理軟件使該公司運(yùn)行成本降低了75萬(wàn)英鎊。

2電子商務(wù)在未來(lái)發(fā)展中的隱患

2.1網(wǎng)絡(luò)安全問(wèn)題

對(duì)消費(fèi)者來(lái)說(shuō)網(wǎng)絡(luò)安全是他們進(jìn)行網(wǎng)上購(gòu)物的顧慮之一，這種顧慮不僅僅存在于航空業(yè)之中，其中就包括網(wǎng)上轉(zhuǎn)賬安全。2011年美國(guó)社交網(wǎng)絡(luò)臉書（Facebook）的大規(guī)模用戶信息泄露事件讓網(wǎng)絡(luò)安全問(wèn)題處在了風(fēng)口浪尖上。網(wǎng)絡(luò)詐騙及其他網(wǎng)絡(luò)問(wèn)題的出現(xiàn)讓消費(fèi)者們對(duì)網(wǎng)上轉(zhuǎn)賬產(chǎn)生了疑慮。據(jù)統(tǒng)計(jì)，僅2008年美國(guó)航空業(yè)損失費(fèi)用達(dá)到14億美元，占了當(dāng)年世界航空業(yè)總產(chǎn)值的百分之1.3。Cunningham等（2004）認(rèn)為“對(duì)于基于網(wǎng)絡(luò)和傳統(tǒng)的航空預(yù)訂服務(wù)來(lái)說(shuō)，對(duì)風(fēng)險(xiǎn)的感知是系統(tǒng)的模式”這就意味著盡管航空公司不斷強(qiáng)調(diào)他們采用多么現(xiàn)實(shí)的網(wǎng)絡(luò)安全技術(shù)，消費(fèi)者始終會(huì)對(duì)網(wǎng)上支付有一定的顧慮。其次，消費(fèi)者也擔(dān)心在網(wǎng)上注冊(cè)賬號(hào)會(huì)導(dǎo)致更多的個(gè)人信息被泄露。美國(guó)廉價(jià)航空公司捷藍(lán)（JetBlue）航空在顧客信息保護(hù)上面下了很大功夫，公司信息技術(shù)副總裁ToddThompson認(rèn)為“網(wǎng)絡(luò)能夠提升他們?yōu)轭櫩吞峁﹥?yōu)質(zhì)服務(wù)的能力，但不幸的是，電子通信總是會(huì)被轉(zhuǎn)發(fā)、打印或復(fù)制，因此完全的保密是幾乎不可能完成的”。捷藍(lán)航空計(jì)劃為WindowsServerTM2003和微軟辦公系統(tǒng)使用微軟公司的權(quán)限管理服務(wù)MicrosoftRWindowsRRightsManagementSer-vices(RMS)，這種信息保護(hù)技術(shù)是建立在文件級(jí)別上了，內(nèi)部信息的交流會(huì)降低信息被他人誤讀，從而提高了消費(fèi)者信息的安全性。但根據(jù)Krishnamurthy(P.5)的研究，通過(guò)旅行網(wǎng)站所泄露的個(gè)人信息占據(jù)所有網(wǎng)站之首，旅行網(wǎng)站的直接泄露指數(shù)（directleakageindex）為9，而像購(gòu)物網(wǎng)站和新聞網(wǎng)站分別只有3和5。由此可以看出，航空業(yè)在未來(lái)發(fā)展電子商務(wù)方面還存在著潛在的風(fēng)險(xiǎn)。而且提高升級(jí)網(wǎng)絡(luò)系統(tǒng)容易，但是改變?nèi)藗儗?duì)網(wǎng)絡(luò)隱患的擔(dān)憂卻不是那么容易。

2.2硬件問(wèn)題

Phaladsingh(2006)認(rèn)為“個(gè)人電腦的普及率”是影響電子商務(wù)發(fā)展的阻礙之一，這就意味著不管網(wǎng)絡(luò)技術(shù)有多發(fā)達(dá)，如果人們買不起電腦和其他數(shù)碼設(shè)備，電子商務(wù)就很難發(fā)揮其作用。對(duì)于航空業(yè)來(lái)說(shuō)同樣是如此，網(wǎng)上值機(jī)、網(wǎng)上購(gòu)票等服務(wù)只有在有電腦設(shè)備的時(shí)候才會(huì)體現(xiàn)出其優(yōu)越性。顯而易見(jiàn)，發(fā)達(dá)國(guó)家更容易接觸到電子產(chǎn)品也更容易享受到電子產(chǎn)品帶來(lái)的便捷體驗(yàn)。2004年在美國(guó)每1000人中有763個(gè)人擁有電腦，而在一些欠發(fā)達(dá)國(guó)家每1000人中平均只有1到2個(gè)人擁有電腦，非洲國(guó)家尼日爾每1000人中只有0.1716人使用電腦，這個(gè)數(shù)量在增加，但不可否認(rèn)的是在發(fā)展中國(guó)家尤其是一些欠發(fā)達(dá)國(guó)家電子商務(wù)并不能產(chǎn)生很好的效果。

篇6

1.身份冒充問(wèn)題

攻擊者通過(guò)非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進(jìn)行交易，進(jìn)行信息欺詐與信息破壞，從而獲得非法利益。主要表現(xiàn)有：冒充他人身份；冒充他人消費(fèi)、栽贓；冒充主機(jī)欺騙合法主機(jī)及合法用戶等。

2.網(wǎng)絡(luò)信息安全問(wèn)題

主要表現(xiàn)在攻擊者在網(wǎng)絡(luò)的傳輸信道上，通過(guò)物理或邏輯的手段，進(jìn)行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過(guò)分析網(wǎng)絡(luò)物理線路傳輸時(shí)的各種特征，截獲機(jī)密信息或有用信息，如消費(fèi)者的賬號(hào)、密碼等。篡改，即改變信息流的次序，更改信息的內(nèi)容；刪除，即刪除某個(gè)信息或信息的某些部分；插入，即在信息中插入一些信息，讓收方讀不懂或接受錯(cuò)誤的信息。

3.拒絕服務(wù)問(wèn)題

攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。主要表現(xiàn)為散布虛假資訊，擾亂正常的資訊通道。包括：虛開(kāi)網(wǎng)站和商店，給用戶發(fā)電子郵件，收訂貨單；偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源，使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。

4.交易雙方抵賴問(wèn)題

某些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。如：者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容；收信者事后否認(rèn)曾經(jīng)收到過(guò)某條信息或內(nèi)容；購(gòu)買者做了訂貨單不承認(rèn)；商家賣出的商品質(zhì)量差但不承認(rèn)原有的交易。在網(wǎng)絡(luò)世界里誰(shuí)為交易雙方的糾紛進(jìn)行公證、仲裁。

5.計(jì)算機(jī)系統(tǒng)安全問(wèn)題

計(jì)算機(jī)系統(tǒng)是進(jìn)行電子商務(wù)的基本設(shè)備，如果不注意安全問(wèn)題，它一樣會(huì)威脅到電子商務(wù)的信息安全。計(jì)算機(jī)設(shè)備本身存在物理?yè)p壞，數(shù)據(jù)丟失，信息泄露等問(wèn)題。計(jì)算機(jī)系統(tǒng)也經(jīng)常會(huì)遭受非法的入侵攻擊以及計(jì)算機(jī)病毒的破壞。同時(shí)，計(jì)算機(jī)系統(tǒng)存在工作人員管理的問(wèn)題，如果職責(zé)不清，權(quán)限不明同樣會(huì)影響計(jì)算機(jī)系統(tǒng)的安全。

二、電子商務(wù)安全機(jī)制

1.加密和隱藏機(jī)制

加密使信息改變，攻擊者無(wú)法讀懂信息的內(nèi)容從而保護(hù)信息；而隱藏則是將有用的信息隱藏在其他信息中，使攻擊者無(wú)法發(fā)現(xiàn)，不僅實(shí)現(xiàn)了信息的保密，也保護(hù)了通信本身。

2.認(rèn)證機(jī)制

網(wǎng)絡(luò)安全的基本機(jī)制，網(wǎng)絡(luò)設(shè)備之間應(yīng)互相認(rèn)證對(duì)方身份，以保證正確的操作權(quán)力賦予和數(shù)據(jù)的存取控制。網(wǎng)絡(luò)也必須認(rèn)證用戶的身份，以保證正確的用戶進(jìn)行正確的操作并進(jìn)行正確的審計(jì)。

3.審計(jì)機(jī)制

審計(jì)是防止內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ)，通過(guò)對(duì)一些重要的事件進(jìn)行記錄，從而在系統(tǒng)發(fā)現(xiàn)錯(cuò)誤或受到攻擊時(shí)能定位錯(cuò)誤和找到攻擊成功的原因。審計(jì)信息應(yīng)具有防止非法刪除和修改的措施。

4.完整性保護(hù)機(jī)制

用于防止非法篡改，利用密碼理論的完整性保護(hù)能夠很好地對(duì)付非法篡改。完整性的另一用途是提供不可抵賴服務(wù)，當(dāng)信息源的完整性可以被驗(yàn)證卻無(wú)法模仿時(shí)，收到信息的一方可以認(rèn)定信息的發(fā)送者，數(shù)字簽名就可以提供這種手段。

5.權(quán)力控制和存取控制機(jī)制

主機(jī)系統(tǒng)必備的安全手段，系統(tǒng)根據(jù)正確的認(rèn)證，賦予某用戶適當(dāng)?shù)牟僮鳈?quán)力，使其不能進(jìn)行越權(quán)的操作。該機(jī)制一般采用角色管理辦法，針對(duì)系統(tǒng)需要定義各種角色，如經(jīng)理、會(huì)計(jì)等，然后對(duì)他們賦予不同的執(zhí)行權(quán)利。

6.業(yè)務(wù)填充機(jī)制

在業(yè)務(wù)閑時(shí)發(fā)送無(wú)用的隨機(jī)數(shù)據(jù)，增加攻擊者通過(guò)通信流量獲得信息的困難。同時(shí)，也增加了密碼通信的破譯難度。發(fā)送的隨機(jī)數(shù)據(jù)應(yīng)具有良好模擬性能，能夠以假亂真。

三、電子商務(wù)安全關(guān)鍵技術(shù)

安全問(wèn)題是電子商務(wù)的核心，為了滿足安全服務(wù)方面的要求，除了網(wǎng)絡(luò)本身運(yùn)行的安全外，電子商務(wù)系統(tǒng)還必須利用各種安全技術(shù)保證整個(gè)電子商務(wù)過(guò)程的安全與完整，并實(shí)現(xiàn)交易的防抵賴性等，綜合起來(lái)主要有以下幾種技術(shù)。

1.防火墻技術(shù)

現(xiàn)有的防火墻技術(shù)包括兩大類：數(shù)據(jù)包過(guò)濾和服務(wù)技術(shù)。其中最簡(jiǎn)單和最常用的是包過(guò)濾防火墻，它檢查接受到的每個(gè)數(shù)據(jù)包的頭，以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過(guò)濾，所以可以有效地避免對(duì)其進(jìn)行的有意或無(wú)意的攻擊，從而保證了專用私有網(wǎng)的安全。將包過(guò)濾防火墻與服務(wù)器結(jié)合起來(lái)使用是解決網(wǎng)絡(luò)安全問(wèn)題的一種非常有效的策略。防火墻技術(shù)的局限性主要在于：防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊，不能防止網(wǎng)絡(luò)內(nèi)部用戶對(duì)于網(wǎng)絡(luò)的攻擊;防火墻不能保證數(shù)據(jù)的秘密性，也不能保證網(wǎng)絡(luò)不受病毒的攻擊，它只能有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受主動(dòng)攻擊和入侵。

2.虛擬專網(wǎng)技術(shù)（VPN）

VPN的實(shí)現(xiàn)過(guò)程使用了安全隧道技術(shù)、信息加密技術(shù)、用戶認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)等。VPN具投資小、易管理、適應(yīng)性強(qiáng)等優(yōu)點(diǎn)。VPN可幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)之間建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，以此達(dá)到在公共的Internet上或企業(yè)局域網(wǎng)之間實(shí)現(xiàn)完全的電子交易的目的。

3.數(shù)據(jù)加密技術(shù)

加密技術(shù)是保證電子商務(wù)系統(tǒng)安全所采用的最基本的安全措施，它用于滿足電子商務(wù)對(duì)保密性的需求。加密技術(shù)分為常規(guī)密鑰密碼體系和公開(kāi)密鑰密碼體系兩大類。如果進(jìn)行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露，可通過(guò)常規(guī)密鑰密碼體系的方法加密機(jī)密信息，并隨報(bào)文發(fā)送報(bào)文摘要和報(bào)文散列值，以保證報(bào)文的機(jī)密性和完整性。目前常用的常規(guī)密鑰密碼體系的算法有：數(shù)據(jù)加密標(biāo)準(zhǔn)DES、三重DES、國(guó)際數(shù)據(jù)加密算法IDEA等，其中DES使用最普遍，被ISO采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)。在公開(kāi)密鑰密碼體系中，加密密鑰是公開(kāi)信息，而解密密鑰是需要保護(hù)的，加密算法和解密算法也都是公開(kāi)的。典型的公開(kāi)密鑰密碼體系有：基于數(shù)論中大數(shù)分解的RSA體系、基于NP完全理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中，常規(guī)密鑰密碼體系的特點(diǎn)是加密速度快、效率高，被廣泛用于大量數(shù)據(jù)的加密，但該方法的致命缺點(diǎn)是密鑰的傳輸易被截獲，難以安全管理大量的密鑰，因此大范圍應(yīng)用存在一定問(wèn)題。而公開(kāi)密鑰密碼體系很好地解決了上述不足，保密性能也優(yōu)于常規(guī)密鑰密碼體系，但公開(kāi)密鑰密碼體系復(fù)雜，加密速度不夠理想。目前電子商務(wù)實(shí)際運(yùn)用中常將兩者結(jié)合使用。

4.安全認(rèn)證技術(shù)

安全認(rèn)證技術(shù)主要有:(1)數(shù)字摘要技術(shù)，可以驗(yàn)證通過(guò)網(wǎng)絡(luò)傳輸收到的明文是否被篡改，從而保證數(shù)據(jù)的完整性和有效性。(2)數(shù)字簽名技術(shù)，能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可否認(rèn)性，同時(shí)還能阻止偽造簽名。(3)數(shù)字時(shí)間戳技術(shù)，用于提供電子文件發(fā)表時(shí)間的安全保護(hù)。(4)數(shù)字憑證技術(shù)，又稱為數(shù)字證書，負(fù)責(zé)用電子手段來(lái)證實(shí)用戶的身份和對(duì)網(wǎng)絡(luò)資源訪問(wèn)的權(quán)限。(5)認(rèn)證中心，負(fù)責(zé)審核用戶的真實(shí)身份并對(duì)此提供證明，而不介入具體的認(rèn)證過(guò)程，從而緩解了可信第三方的系統(tǒng)瓶頸問(wèn)題，而且只須管理每個(gè)用戶的一個(gè)公開(kāi)密鑰，大大降低了密鑰管理的復(fù)雜性，這些優(yōu)點(diǎn)使得非對(duì)稱密鑰認(rèn)證系統(tǒng)可用于用戶眾多的大規(guī)模網(wǎng)絡(luò)系統(tǒng)。(6)智能卡技術(shù)，它不但提供讀寫數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)的能力，而且還具有對(duì)數(shù)據(jù)進(jìn)行處理的能力，可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密和解密，能進(jìn)行數(shù)字簽名和驗(yàn)證數(shù)字簽名，其存儲(chǔ)器部分具有外部不可讀特性。采用智能卡，可使身份識(shí)別更有效、安全，但它僅僅為身份識(shí)別提供一個(gè)硬件基礎(chǔ)，如果要使身份認(rèn)證更安全，還需要與安全協(xié)議的配合。

5.電子商務(wù)安全協(xié)議

篇7

一、有關(guān)電子商務(wù)的安全性要求

1.對(duì)電子商務(wù)活動(dòng)安全性的要求:

(1)服務(wù)的有效性要求。電子商務(wù)系統(tǒng)應(yīng)能防止服務(wù)失敗情況的發(fā)生,預(yù)防由于網(wǎng)絡(luò)故障和病毒發(fā)作等因素產(chǎn)生的系統(tǒng)停止服務(wù)等情況,保證交易數(shù)據(jù)能準(zhǔn)確快速的傳送。

(2)交易信息的保密性要求。電子商務(wù)系統(tǒng)應(yīng)對(duì)用戶所傳送的信息進(jìn)行有效的加密,防止因信息被截取破譯,同時(shí)要防止信息被越權(quán)訪問(wèn)。

(3)數(shù)據(jù)完整性要求。數(shù)字完整性是指在數(shù)據(jù)處理過(guò)程中,原來(lái)數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務(wù)交易的嚴(yán)肅和公正,交易的文件是不可被修改的,否則必然會(huì)損害一方的商業(yè)利益。

(4)身份認(rèn)證的要求。電子商務(wù)系統(tǒng)應(yīng)提供安全有效的身份認(rèn)證機(jī)制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時(shí)提供法律依據(jù)。

2.電子商務(wù)的主要安全要素

(1)信息真實(shí)性、有效性。電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

(2)信息機(jī)密性。電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

(3)信息完整性。電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

(4)信息可靠性、可鑒別性和不可抵賴性?？煽啃砸蠹词悄鼙ＷC合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在internet上每個(gè)人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。

二、電子商務(wù)采用的主要安全技術(shù)

1.網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供一個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個(gè)安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒(méi)有全面的安全策略,那么防火墻就形同虛設(shè)。

2.通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過(guò)加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書,證書包括一個(gè)公鑰,由一家可信證書授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份,而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載可以在訪問(wèn)之前或訪問(wèn)時(shí))。驗(yàn)證此證書是合法的服務(wù)器證書通過(guò)后利用該證書對(duì)稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰,然后用此對(duì)稱算法加密傳輸?shù)拿魑?。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。[論/文/網(wǎng)LunWenNet/Com]

3.應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例?緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)像這些問(wèn)題一樣的錯(cuò)誤。

4.用戶的認(rèn)證管理

(1)身份認(rèn)證。電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)。CA證書用來(lái)認(rèn)證服務(wù)器的身份,IC卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒(méi)有提供交易功能,所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。

(2)CA證書。要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書進(jìn)行驗(yàn)證,這份數(shù)字證書就是CA證書,它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。CA中心一般是社會(huì)公認(rèn)的可靠組織,它對(duì)個(gè)人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個(gè)人證書。建立SSL安全鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書。

(3)安全套接層SSL協(xié)議。安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

SSL通過(guò)數(shù)字簽名和數(shù)字證書來(lái)實(shí)行身份驗(yàn)證,數(shù)字證書是從認(rèn)證機(jī)構(gòu)(CA,CertificateAuthority)獲得的,通常包含有唯一標(biāo)識(shí)證書所有者的名稱、唯一標(biāo)識(shí)證書者的名稱、證書所有者的公開(kāi)密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后,雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如Ht2tp、Ftp、Telnet等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩?。SSL協(xié)議握手流程由兩個(gè)階段組成:服務(wù)器認(rèn)證和用戶認(rèn)證。

三、電子商務(wù)安全需要進(jìn)一步完善的配套措施

電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式,尤其對(duì)發(fā)展中的中國(guó)來(lái)說(shuō),發(fā)展電子商務(wù),就必須從以下幾個(gè)方面來(lái)完善配套措施:

(1)突破關(guān)鍵技術(shù)受制于人的瓶頸。

(2)我國(guó)應(yīng)盡快對(duì)電子商務(wù)的有關(guān)細(xì)則進(jìn)行立法。

(3)大力開(kāi)發(fā)大型商務(wù)網(wǎng)站,發(fā)展與之相配套的物流公司。

(4)為了確保系統(tǒng)的安全性,除了采用技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。

(5)建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢。

(6)對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份,且對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù),數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對(duì)的,而不是絕對(duì)的。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問(wèn)題,使電子商務(wù)系統(tǒng)相對(duì)更安全。[論\文\網(wǎng)LunWenNet\Com]

參考文獻(xiàn):

[1]吳洋.電子商務(wù)安全方法研究[D].天津:天津大學(xué),2006.

[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005(6).

[3]成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評(píng)估[J].計(jì)算機(jī)工程,2003(2).

[4]甘悅.淺議電子商務(wù)信息安全體系的構(gòu)建[J].西北成人教育學(xué)報(bào),2007(2).

[5]周明,黃元江,李建設(shè).電子商務(wù)中的安全技術(shù)研究[J].株洲工學(xué)院學(xué)報(bào),2005(1).

[6]張娟.電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究[J].甘肅科技縱橫,2005(4).

篇8

計(jì)算機(jī)安全技術(shù)多種多樣，要結(jié)合實(shí)際進(jìn)行應(yīng)用才能發(fā)揮其自身的作用。電子商務(wù)的快速發(fā)展在安全問(wèn)題上也不斷出現(xiàn)，將計(jì)算機(jī)安全技術(shù)在其中得以應(yīng)用能從很大程度上解決其安全問(wèn)題。將計(jì)算機(jī)安全技術(shù)中的數(shù)據(jù)加密技術(shù)在電子商務(wù)中進(jìn)行應(yīng)用能起到很好的效果，電子商務(wù)交易中數(shù)據(jù)信息進(jìn)行加密處理的方式主要就是采取專用密鑰以及公開(kāi)密鑰，不僅能夠?qū)﹄娮由虅?wù)的活動(dòng)得以安全保障，同時(shí)也能對(duì)入侵者對(duì)信息的破壞進(jìn)行有效防止，從而對(duì)電子商務(wù)交易活動(dòng)的信息安全性以及可靠性得到保證。

2、電子商務(wù)中計(jì)算機(jī)安全內(nèi)核技術(shù)應(yīng)用

安全內(nèi)核技術(shù)主要是將所產(chǎn)生的問(wèn)題部分內(nèi)核從系統(tǒng)中進(jìn)行抽離，從而保障系統(tǒng)的安全性。在電子商務(wù)交易活動(dòng)中，所出現(xiàn)的問(wèn)題主要是在系統(tǒng)的某一內(nèi)核發(fā)生了異常情況，只有保障內(nèi)核的安全就能解決實(shí)際的問(wèn)題。最為常見(jiàn)的就是操作系統(tǒng)將一些口令放置在了隱含文件當(dāng)中，這樣就能保障系統(tǒng)的安全性。

3、電子商務(wù)中計(jì)算機(jī)防火墻技術(shù)應(yīng)用

防火墻主要是軟件及硬件設(shè)備所組合而成的，這是對(duì)電子商務(wù)活動(dòng)中信息保障的有效屏障，其中的包過(guò)濾技術(shù)防火墻主要是對(duì)通過(guò)的每個(gè)數(shù)據(jù)包進(jìn)行的檢驗(yàn)，然后根據(jù)其屬性對(duì)數(shù)據(jù)包的通過(guò)與否進(jìn)行判斷，這是計(jì)算機(jī)的首道防線，倘若防火墻所設(shè)定的IP是危險(xiǎn)的，那么所輸出的數(shù)據(jù)也會(huì)被防火墻攔截。還有地址遷移防火墻技術(shù)以及服務(wù)防火墻技術(shù)，前者主要是結(jié)合應(yīng)用需求進(jìn)行的限定，可以屏蔽內(nèi)網(wǎng)地址保障其安全；后者則主要是起中介作用，監(jiān)視以及控制應(yīng)用層的通信信息。

4、電子商務(wù)中計(jì)算機(jī)身份認(rèn)證技術(shù)的應(yīng)用

在電子商務(wù)平臺(tái)上進(jìn)行購(gòu)物或是通過(guò)網(wǎng)絡(luò)平臺(tái)進(jìn)行業(yè)務(wù)的開(kāi)展，就要在身份識(shí)別技術(shù)上進(jìn)行規(guī)范化，如此才能真正解決實(shí)質(zhì)問(wèn)題。也只有經(jīng)過(guò)身份識(shí)別技術(shù)才能正常的登錄網(wǎng)絡(luò)，網(wǎng)絡(luò)交往由于身份的不確定性，所以身份識(shí)別技術(shù)是有著其必要性的。不只是身份識(shí)別技術(shù)，訪問(wèn)控制技術(shù)的應(yīng)用也比較重要，它能對(duì)數(shù)據(jù)以及信息內(nèi)容的訪問(wèn)有效控制，可預(yù)防入侵者的惡意攻擊和破壞，從而保障電子商務(wù)交易活動(dòng)的正常有序運(yùn)行。

篇9

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各信息的差異。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

4.信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^；不可抵賴性要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式。

5.系統(tǒng)的可靠性

電子商務(wù)系統(tǒng)是計(jì)算機(jī)系統(tǒng)，其可靠性是防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、自然災(zāi)害等引起的計(jì)算機(jī)信息失誤或失效。

二、電子商務(wù)的信息安全技術(shù)

1.數(shù)據(jù)加密技術(shù)

加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過(guò)加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法，這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)較為簡(jiǎn)單，不需要對(duì)電子信息（數(shù)據(jù)包）所經(jīng)過(guò)的網(wǎng)絡(luò)的安全性能提出特殊要求，對(duì)電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。

1）電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要(digitaldigest)

這一加密方法亦稱安全Hash編碼法，由RonRivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(FingerPrint)，它有固定的長(zhǎng)度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了。

數(shù)字簽名(digitalsignature)

數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來(lái)使用。主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要)，用自己的私有密鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名。然后，這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值，接著再用發(fā)送方的公開(kāi)密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密，如果兩個(gè)散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別。概括的說(shuō)，簽名的作用有兩點(diǎn)，一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰追旅?，從而確定了文件是真的這一事實(shí)。

數(shù)字時(shí)間戳(digitaltime-stamp)交

易文件中，時(shí)間是十分重要的信息。在電子交易中，需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：需加時(shí)間戳的文件的摘要(digest)；DTS收到文件的日期和時(shí)間；DTS的數(shù)字簽名。

數(shù)字證書(digitalcertificate,digitalID)數(shù)字證書又稱為數(shù)字憑證，是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)的權(quán)限。目前，最有效的認(rèn)證方式是由權(quán)威的認(rèn)證機(jī)構(gòu)為參與電子商務(wù)的各方發(fā)放證書，證書作為網(wǎng)上交易參與各方的身份識(shí)別，就好象每個(gè)公民都用身份證來(lái)證明身份一樣。認(rèn)證中心作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任，是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)定證書的權(quán)威機(jī)構(gòu)。因而網(wǎng)絡(luò)中所有用戶可以將自己的公鑰交給這個(gè)中心，并提供自己的身份證明信息，證明自己是相應(yīng)公鑰的擁有者，認(rèn)證中心審查用戶提供的信息后，如果確認(rèn)用戶是合法的，就給用戶一個(gè)數(shù)字證書。這樣，每個(gè)成員只需和認(rèn)證中心打交道，就可以查到其他成員的公鑰信息了。對(duì)于在網(wǎng)上進(jìn)行交易的雙方來(lái)說(shuō)，數(shù)字證書對(duì)他們之間建立信任是至關(guān)重要的。數(shù)字憑證有三種類型：個(gè)人憑證、企業(yè)（服務(wù)器）憑證、軟件（開(kāi)發(fā)者）憑證；大部分認(rèn)證中心提供前兩類憑證。

2.身份認(rèn)證技術(shù)

為解決Internet的安全問(wèn)題，初步形成了一套完整的Internet安全解決方案，即被廣泛采用的公鑰基礎(chǔ)設(shè)施（PKI）體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰，通過(guò)第三方的可信機(jī)構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息（如名稱、e-mail、身份證號(hào)等）捆綁在一起，在Internet網(wǎng)上驗(yàn)證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對(duì)稱密碼結(jié)合起來(lái)，在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理，保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。

1）認(rèn)證系統(tǒng)的基本原理

利用RSA公開(kāi)密鑰算法在密鑰自動(dòng)管理、數(shù)字簽名、身份識(shí)別等方面的特性，可建立一個(gè)為用戶的公開(kāi)密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱為CA，CA為用戶發(fā)放電子證書，用戶之間利用證書來(lái)保證信息安全性和雙方身份的合法性。

2）認(rèn)證系統(tǒng)結(jié)構(gòu)

整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA和WebPublisher。

核心系統(tǒng)跟CA放在一個(gè)單獨(dú)的封閉空間中，為了保證運(yùn)行的絕對(duì)安全，其人員及制度都有嚴(yán)格的規(guī)定，并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)。CA的功能是在收到來(lái)自RA的證書請(qǐng)求時(shí)，頒發(fā)證書。

證書的登記機(jī)構(gòu)RegisterAuthority，簡(jiǎn)稱RA，分散在各個(gè)網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機(jī)結(jié)合，接受客戶申請(qǐng)，并審批申請(qǐng)，把證書正式請(qǐng)求通過(guò)建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。

證書的公布系統(tǒng)WebPublisher，簡(jiǎn)稱WP，置于Internet網(wǎng)上，是普通用戶和CA直接交流的界面。對(duì)用戶來(lái)講它相當(dāng)于一個(gè)在線的證書數(shù)據(jù)庫(kù)。用戶的證書由CA頒發(fā)之后，CA用E－mail通知用戶，然后用戶須用瀏覽器從這里下載證書。

3.網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)

網(wǎng)上支付平臺(tái)分為CTEC支付體系（基于CTCA/GDCS）和SET支付體系（基于CTCA/SET）。網(wǎng)上支付平臺(tái)支付型電子商務(wù)業(yè)務(wù)提供各種支付手段，包括基于SET標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段。

支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間，其主要功能為：將公網(wǎng)傳來(lái)的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部的傳回來(lái)的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對(duì)其進(jìn)行加密。此外，支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能。

三、電子商務(wù)信息安全中的其它問(wèn)題

1.內(nèi)部安全

最近的調(diào)查表明，至少有75%的信息安全問(wèn)題來(lái)自內(nèi)部，在信用卡和商業(yè)詐騙中，內(nèi)部人員所占的比例最大；

2.惡意代碼

它們將繼續(xù)對(duì)所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅，并且，其數(shù)量將隨著Internet的發(fā)展和編程環(huán)境的豐富而增多，擴(kuò)散起來(lái)也更加便利，因此，造成的破壞也就越大；

3.可靠性差

目前，Internet主干網(wǎng)和DNS服務(wù)器的可靠性還遠(yuǎn)遠(yuǎn)不能滿足人們的要求，而絕大

部分撥號(hào)PPP連接質(zhì)量并不可靠，且速度很慢；

4.技術(shù)人才短缺

由于Internet和網(wǎng)絡(luò)購(gòu)物都是在近幾年得到了迅猛的發(fā)展，因而，許多地方都缺乏足夠的技術(shù)人才來(lái)處理其中遇到的各種問(wèn)題，尤其是網(wǎng)絡(luò)購(gòu)物具有24x7（每天24小時(shí)，每周7天都能工作）的要求，因而迫切需要有一大批專業(yè)技術(shù)人員對(duì)其進(jìn)行管理。如果說(shuō)加密技術(shù)是電子交易安全的“硬件”，那么人才問(wèn)題則可以說(shuō)是“軟件”。從某種意義上講，軟件的問(wèn)題解決起來(lái)可能更不容易，因此，技術(shù)人才的短缺可能成為阻礙網(wǎng)絡(luò)購(gòu)物發(fā)展的一個(gè)重要因素。

5.Web服務(wù)器的保護(hù)意識(shí)差

在交易過(guò)程中對(duì)數(shù)據(jù)進(jìn)行保護(hù)只是保證交易安全的一個(gè)方面。由于交易的信息均存儲(chǔ)在服務(wù)器上，因此，即使保密信息被客戶端接收之后，也必須對(duì)存儲(chǔ)在服務(wù)器中的數(shù)據(jù)進(jìn)行保護(hù)。目前，Web服務(wù)器是黑客們最喜歡攻擊的目標(biāo)。因此，建議盡量不要將Web服務(wù)和連接到任何內(nèi)部網(wǎng)絡(luò)，而且要定期對(duì)數(shù)據(jù)進(jìn)行備份，以便于服務(wù)器被攻擊之后對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。當(dāng)然，這畢竟有些不太現(xiàn)實(shí)，現(xiàn)在許多流行的Web應(yīng)用都需要Web服務(wù)器與公司的數(shù)據(jù)庫(kù)進(jìn)行交互式操作，這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連，而這個(gè)連接也就成為黑客們從Web站點(diǎn)侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通路。雖然防火墻技術(shù)有助于對(duì)web站點(diǎn)進(jìn)行保護(hù)，但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護(hù)，因而沒(méi)有對(duì)Web服務(wù)器進(jìn)行很好的保護(hù)，這是商家的Web站點(diǎn)尤其要引起注意的地方。

四、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論

1．SSL協(xié)議（SecureSocketsLayer）安全套接層協(xié)議———面向連接的協(xié)議。

SSL協(xié)議主要是使用公開(kāi)密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用WebServer方式。但它是一個(gè)面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

2.SET協(xié)議（SecureElectronicTransaction）安全電子交易———專門為電子商務(wù)而設(shè)計(jì)的協(xié)議。由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn)，因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務(wù)所遇到的全部問(wèn)題。

結(jié)束語(yǔ)

本文分析了目前電子商務(wù)的安全需求，使用的安全技術(shù)及仍存在的問(wèn)題，并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn)，但必須強(qiáng)調(diào)說(shuō)明的是，電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問(wèn)題，從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

［摘要］電子商務(wù)對(duì)人類社會(huì)經(jīng)濟(jì)產(chǎn)生了重大影響，在創(chuàng)造巨大經(jīng)濟(jì)效益的同時(shí)，也從根本上改變了整個(gè)社會(huì)商務(wù)活動(dòng)發(fā)展進(jìn)程。我國(guó)電子商務(wù)在曲折進(jìn)程中，已有很大程度的發(fā)展,同時(shí)也存在諸多問(wèn)題。本文客觀地分析了電子商務(wù)的安全需求、安全技術(shù)發(fā)展現(xiàn)狀及存在的問(wèn)題，對(duì)加快電子商務(wù)的發(fā)展步伐提出了一些重要思考。

［關(guān)鍵詞］電子商務(wù)；安全需求；安全技術(shù)；

[參考文獻(xiàn)]

①姚立新，新世紀(jì)商務(wù):電子商務(wù)的知識(shí)發(fā)展與運(yùn)作，中國(guó)發(fā)展出版社，1999年。

②《中國(guó)電子商務(wù)年鑒》2003卷。

篇10

（2）機(jī)密性

EC作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。EC是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的(尤其Internet是更為開(kāi)放的網(wǎng)絡(luò)),維護(hù)商業(yè)機(jī)密是EC全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。電子商務(wù)

（3）完整性

EC簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略,保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。因此,要預(yù)防對(duì)信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過(guò)程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。

（4）可靠性/不可抵賴性/鑒別