導(dǎo)語：在電子商務(wù)安全的撰寫旅程中，學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑，好期刊匯集了九篇優(yōu)秀范文，愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感，引領(lǐng)您探索更多的創(chuàng)作可能。

第1篇

[關(guān)鍵詞]電子商務(wù)；安全策略

1．引言

隨著信息技術(shù)和Internet的飛速發(fā)展，電子商務(wù)，特別是通過Internet進(jìn)行的電子商務(wù)成了電子商務(wù)應(yīng)用和發(fā)展的主要推動力。然而，由于Internet的高度開放性而隨之帶來的安全問題，嚴(yán)重影響了電子商務(wù)的廣泛應(yīng)用和發(fā)展。而目前的各種電子商務(wù)安全技術(shù)和安全協(xié)議的局限性，使得加強對基于Internet的電子商務(wù)安全管理策略的研究，有效地對各種電子商務(wù)安全技術(shù)和安全協(xié)議進(jìn)行有效協(xié)調(diào)和應(yīng)用，對于抵擋各種電子商務(wù)安全問題的沖擊，無疑為人們在電子商務(wù)安全技術(shù)研究領(lǐng)域之外，提供了一個新的途徑和方法。

2．電子商務(wù)安全管理策略的制定

2．1制定電子商務(wù)安全管理策略的目的

制定電子商務(wù)安全管理策略的目的是為了能夠有效地保障電子商務(wù)系統(tǒng)安全、完整、正常地運行而不受破壞和于擾；能夠有序地、客觀地鑒別和測試電子商務(wù)系統(tǒng)的安全狀態(tài)；能夠?qū)赡艽嬖诘娘L(fēng)險有一個基本的評估；而當(dāng)電子商務(wù)系統(tǒng)遭受破壞后能夠采取及時有效的恢復(fù)措施和手段，并且對其所需代價有一定的估計。

對基于Internet的電子商務(wù)活動來說，構(gòu)建一個安全的電子商務(wù)網(wǎng)絡(luò)系統(tǒng)應(yīng)首先確定其安全管理策略。解決電子商務(wù)安全問題，制定電子商務(wù)安全管理策略應(yīng)從物理安全、網(wǎng)絡(luò)安全、信息安全訪問授權(quán)、病毒防范、災(zāi)難恢復(fù)等多角度、多方面考慮。

2．2電子商務(wù)安全管理策略制定原則

電子商務(wù)安全管理策略的制定就是針對電子商務(wù)系統(tǒng)中所要保護(hù)信息的、被攻擊的可能性、投入的資金狀況等，在電子商務(wù)系統(tǒng)管理的整個過程中，根據(jù)實際情況具體地對各種電子商務(wù)安全措施進(jìn)行選擇。有效的電子商務(wù)管理策略可以說是在一定條件下的成本和效率的平衡。雖然電子商務(wù)的具體應(yīng)用環(huán)境不同，但我們在制定電子商務(wù)安全管理策略時一般都應(yīng)遵守下面一些原則。

(1)綜合性、系統(tǒng)性原則

該原則要求用系統(tǒng)的觀點和方法來分析整個電子商務(wù)系統(tǒng)的安全問題，要求在綜合各方面情況后制定相應(yīng)的具體可行的安全措施。

(2)平衡分析原則

由于目前技術(shù)條件的限制，絕對安全的電子商務(wù)系統(tǒng)是做不到的。因此，要在對電子商務(wù)系統(tǒng)面臨的威脅和可能承擔(dān)的風(fēng)險進(jìn)行充分研究后，再結(jié)合目前的技術(shù)和資金條件制定相應(yīng)的安全措旆以達(dá)到安全與價值的平衡。

(3)易操作性原則

再好的安全措施，都要由人來完成．因此，如果措施過于復(fù)雜，不便操作，那么電子商務(wù)系統(tǒng)的安全性也就無從談起。

(4)適應(yīng)性和靈活性原則

安全防范措施必須要能夠隨著電子商務(wù)系統(tǒng)性能、技術(shù)環(huán)境以及安全需求的變化而作出相應(yīng)的調(diào)整以適應(yīng)安全要求。

(5)多級保護(hù)原則

受目前技術(shù)條件限制，任何安全措施都有可能被攻破。因此，建立一個多級保護(hù)的系統(tǒng)，當(dāng)其中某一層被破壞時，另外的層次也能起到防護(hù)作用。

2．3電子商務(wù)安全管理策略制定步驟

制定電子商務(wù)安全管理策略通常都包括以下幾個步驟：

(1)確定目標(biāo)

安全管理策略目標(biāo)包括電子商務(wù)系統(tǒng)中被保護(hù)的對象，實現(xiàn)的方法和途徑。

(2)明確范圍

確定電子商務(wù)安全管理策略所要保護(hù)的資源范圍以及相關(guān)保護(hù)環(huán)境的界定。

(3)爭取來自高層管理的支持

來自電子商務(wù)系統(tǒng)所屬單位的高層支持，對于保障電子商務(wù)安全管理措施的順利運行，以及技術(shù)資金上的保證，都有重要的意義。

(4)評估危險

盡可能地對影響電子商務(wù)安全的各方面因素考慮周全，對可能存在的危險作出較為準(zhǔn)確的評估，以便為制定安全管理策略提供依據(jù)。

(5)制定策略

完成前面幾個步驟后，接著就根據(jù)經(jīng)濟和技術(shù)實力確定一個相對滿意的安全策略。

(6)策略評估調(diào)整

在策略制定后，應(yīng)評估其是否達(dá)到目標(biāo)，以及當(dāng)安全需求變化時作出適時的調(diào)整。

3．電子商務(wù)安全管理策略的基本內(nèi)容

基于Internet的電子商務(wù)安全管理策略涵蓋范圍很廣，一個完整的電子商務(wù)安全管理策略一般都可以分為物理安全策略、網(wǎng)絡(luò)安全策略以及災(zāi)難恢復(fù)策略等。

3．1物理安全策略

物理安全策略是整個電子商務(wù)安全管理策略的不可忽視的重要基礎(chǔ)。在基于Internet的電子商務(wù)整個交易過程中，對電子商務(wù)系統(tǒng)包含的相關(guān)物理設(shè)備有相當(dāng)高的安全要求。影響電子商務(wù)系統(tǒng)安全的物理安全風(fēng)險主要有自然災(zāi)害風(fēng)險、人為風(fēng)險和硬件防護(hù)風(fēng)險。相應(yīng)的物理安全策略也圍繞上述三個物理安全風(fēng)險展開。

(1)自然災(zāi)害安全防范策略

主要包括防火、防水和防雷措施。設(shè)備所在場所應(yīng)避免火災(zāi)、水災(zāi)的發(fā)生并采取相應(yīng)的隔離措施以保證在意外火災(zāi)、水災(zāi)下的設(shè)備防護(hù)。另外，電子商務(wù)系統(tǒng)的設(shè)備主要由電路組成，因此制定全方位、安全靈活的防雷措6S顯得非常有必要。

(2)人為風(fēng)險防范策略

人為風(fēng)險包括人為的操作錯誤引起的安全問題、設(shè)備防盜以及計算機犯罪問題等。

人為操作方面引起的風(fēng)險可以通過建立和健全安全制度來加以防止，同時加強和培育安全意識。對于設(shè)備防盜問題，如果資金允許，可以建立較為完善的防盜系統(tǒng)，如果資金不足，可以通過加強內(nèi)部管理的方法加以解決。對于內(nèi)外部人員的計算機犯罪問題，一是通過法律途徑解決；二是加強自身安全防范。

(3)硬件防護(hù)策略

硬件防護(hù)包括電磁防護(hù)和硬件設(shè)備維護(hù)。

硬件維護(hù)包括服務(wù)器及其他相關(guān)設(shè)備的電源保護(hù)、有效的防靜電措施以及要抑制和防范電磁泄露與電磁干擾。關(guān)于硬件設(shè)備維護(hù)，如果條件允許，可以增加設(shè)備信息保護(hù)裝置。另外除了日常維護(hù)以外，還需要定期對設(shè)備進(jìn)行檢修。

3．2網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全是電子商務(wù)系統(tǒng)安全的核心，需要從技術(shù)和管理兩方面入手，因此，網(wǎng)絡(luò)安全策略分為技術(shù)策略和管理策略。

(1)技術(shù)策略

安裝使用網(wǎng)絡(luò)安全檢測設(shè)備和相關(guān)軟件

借助一些專用的網(wǎng)絡(luò)安全監(jiān)控設(shè)備和軟件，加強對各種不法行為的監(jiān)控和防范。

加強網(wǎng)絡(luò)訪問控制

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制等。

采用防火墻技術(shù)

防火墻用來檢查通過內(nèi)部網(wǎng)和外部網(wǎng)間的信息往來，它可以鑒別網(wǎng)絡(luò)服務(wù)請求是否合法，以便采取響應(yīng)或拒絕的措施。

數(shù)據(jù)加密

數(shù)據(jù)加密是采用一定的加密技術(shù)，以防在傳輸過程中數(shù)據(jù)一旦被截獲不致造成信息的泄露，其核心是加密的方式以及密鑰的分配和管理。

引入鑒別機制

鑒別是查明另外一個實體身份和特權(quán)的過程，以確定其合法性，并作出響應(yīng)。

(2)管理策略

加強電子商務(wù)網(wǎng)絡(luò)系統(tǒng)的日常管理和維護(hù)

建立嚴(yán)格的保密制度

加強對管理人員監(jiān)督和培訓(xùn)，落實工作責(zé)任制

建立跟蹤、審計和稽核制度

完善病毒防范制度

建立健全相關(guān)法律法規(guī)制度

3．3災(zāi)難恢復(fù)策略

對于電子商務(wù)系統(tǒng)來說，災(zāi)難主要指意外的自然災(zāi)害以及黑客攻擊等原因造成數(shù)據(jù)庫受到的破壞。災(zāi)難恢復(fù)策略是為了在數(shù)據(jù)資源遭受破壞后迅速恢復(fù)系統(tǒng)功能，最大程度地保持?jǐn)?shù)據(jù)資源的完整性，將損失降至最低。因此，災(zāi)難恢復(fù)主要包括備份和恢復(fù)兩個環(huán)節(jié)。

(1)災(zāi)難備份

確定備份方案

建立數(shù)據(jù)恢復(fù)中心

建立完善的備份制度

(2)數(shù)據(jù)恢復(fù)

評估數(shù)據(jù)損失情況

確定數(shù)據(jù)恢復(fù)方案

恢復(fù)數(shù)據(jù)

4．結(jié)論

對基于Internet的電子商務(wù)系統(tǒng)來說，一個完善的安全管理策略，能夠保障系統(tǒng)的正常運行；能夠有序地、經(jīng)常地測試安全狀態(tài)；能夠?qū)赡艿陌踩L(fēng)險有一個基本的評估；能夠在系統(tǒng)遭破壞后及時采取補救措施。

基于Internet的電子商務(wù)安全所面臨的威脅是多種多樣的，各種問題還會不斷出現(xiàn)，同樣，電子商務(wù)安全技術(shù)和安全協(xié)議也是不斷發(fā)展的，因此，電子商務(wù)安全管理策略需要電子商務(wù)理論界和實業(yè)界進(jìn)一步研究和完善。

主要參考文獻(xiàn)

[1]甘早斌．電子商務(wù)概論(第二版)[M]．華中科技大學(xué)出版社，2003．

[2]鐘誠．電子商務(wù)安全[M]．重慶；重慶大學(xué)出版社，2004．6．

[3]唐華．電子商務(wù)安全策略[J]．湖南農(nóng)業(yè)大學(xué)學(xué)報，2002，(6)．

第2篇

[關(guān)鍵詞] 安全體系 加密 數(shù)字證書 電子商務(wù) 安全交易標(biāo)準(zhǔn)

一、引言

當(dāng)前的電子商務(wù)是指通過電子方式的商務(wù)活動。它作為一種全新的業(yè)務(wù)和服務(wù)方式，為全球客戶提供了豐富的商務(wù)信息、便捷的交易過程和廉價的交易成本。但是，電子商務(wù)給人們帶來方便的同時，也把人們引入安全憂慮之中。買方擔(dān)心在網(wǎng)絡(luò)上傳輸?shù)男庞每皞€人資料被截??；賣方則擔(dān)心收到的是被盜用的信用卡號碼，或是交易不認(rèn)賬等，這些存在的安全漏洞問題已成為阻礙網(wǎng)上交易發(fā)展的首要問題。相對于傳統(tǒng)商務(wù)，電子商務(wù)對管理機制、實施平臺和信息傳遞技術(shù)都提出了更高的要求，其中安全體系的構(gòu)建尤為顯得重要，已成為電子商務(wù)能否得到進(jìn)一步發(fā)展和推廣的關(guān)鍵所在。

二、電子商務(wù)安全體系結(jié)構(gòu)

1.電子商務(wù)中存在的安全隱患和威脅

Internet是電子商務(wù)實現(xiàn)的網(wǎng)絡(luò)基礎(chǔ)，它采用TCP/IP完成不同網(wǎng)絡(luò)與不同計算機之間的通信，正是由于這些特點，使它給電子商務(wù)帶來了很多的安全問題。Internet的安全隱患主要體現(xiàn)在四個方面。

開放性和資源共享是Internet的主要優(yōu)點，但它帶來的問題卻不容忽視。因為當(dāng)甲方在很容易的訪問乙方時，如果沒有采取任何措施，乙方同樣很容易的訪問甲方的計算機。

Internet采用的協(xié)議TCP/IP并未采用任何措施來保護(hù)傳輸內(nèi)容不被竊取。它是一種包交換網(wǎng)絡(luò)，每個數(shù)據(jù)包在網(wǎng)絡(luò)上都是透明傳輸?shù)?，并且可能?jīng)過不同的網(wǎng)絡(luò)，由路由器轉(zhuǎn)發(fā)到達(dá)目的計算機。數(shù)據(jù)在傳輸過程中可能會遭到IP窺探、同步信號淹沒、TCP會話竊聽、復(fù)位與結(jié)束信號攻擊等威脅。

Internet底層的操作系統(tǒng)如UNIX，由于源代碼的公開，很容易發(fā)現(xiàn)漏洞，給Internet用戶帶來安全問題。

相比較傳統(tǒng)信函，電子化信息就缺乏可信度，電子信息是否準(zhǔn)確很難由其本身來鑒別。在Internet上傳遞電子信息時，難以確認(rèn)信息發(fā)送者及信息是否被正確無誤地傳遞給對方。

由于Internet存在上述安全隱患，將給電子商務(wù)帶來如下的安全威脅。

由于非法入侵，造成商務(wù)信息被纂改、竊取或丟失。

商業(yè)機密在傳輸過程中被第三方獲悉，被惡意破壞。

虛假身份的交易對象及虛假訂單、合同。

貿(mào)易對象的抵賴。

由計算機系統(tǒng)故障造成的對交易過程和商業(yè)信息安全的破壞。

綜上所述，電子商務(wù)面臨多方面的威脅，存在許多安全隱患。

2.電子商務(wù)的安全性內(nèi)容

要使電子商務(wù)健康、順利發(fā)展，必須解決好以下幾種關(guān)鍵的安全性要求。

(1)保證信息的保密性和完整性。在交易過程中必須保證信息不被非授權(quán)用戶竊取，數(shù)據(jù)在輸入和傳輸過程中能保證數(shù)據(jù)的一致性。

(2)不可否認(rèn)性。它是指信息發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息，接收方也不可否認(rèn)已經(jīng)收到的信息。

(3)真實性。商務(wù)活動交易雙方身份是真實的，不是假冒的，不存在的。

(4)系統(tǒng)的可靠性與內(nèi)部網(wǎng)絡(luò)的嚴(yán)密性。在計算機失效、程序錯誤、傳輸錯誤、硬件各種及計算機病毒等潛在威脅下，有容錯處理機制、數(shù)據(jù)恢復(fù)能力，確保系統(tǒng)安全、可靠。對企業(yè)內(nèi)部網(wǎng)絡(luò)而言，要保證內(nèi)部網(wǎng)絡(luò)不被入侵。

3.電子商務(wù)安全技術(shù)體系結(jié)構(gòu)

電子商務(wù)的安全技術(shù)體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個完整邏輯結(jié)構(gòu)，如圖所示。其中，下層是上層的基礎(chǔ)，為上層提供技術(shù)支持。上層是下層的擴展與遞增。各層相互聯(lián)系、相互依賴的構(gòu)成一個整體。通過不同的安全控制技術(shù)，實現(xiàn)各層的安全策略，有效保證了電子商務(wù)系統(tǒng)的安全。

三、電子商務(wù)的安全技術(shù)

1.防火墻技術(shù)

防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封裝機制，內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，而外部網(wǎng)絡(luò)（通常指Internet）被認(rèn)為是不安全和不可信賴的。防火墻的主要目的是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強化內(nèi)部網(wǎng)絡(luò)的安全策略。

防火墻的主要技術(shù)有包過濾技術(shù)、服務(wù)器技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和狀態(tài)檢測包過濾技術(shù)，現(xiàn)在最常用的是狀態(tài)檢測包過濾技術(shù)。狀態(tài)檢測防火墻對每個合法網(wǎng)絡(luò)連接保存的信息包括源地址、目的地址、協(xié)議類型、協(xié)議相關(guān)信息、連接狀態(tài)和超時時間等稱為狀態(tài)。通過狀態(tài)檢測，可實現(xiàn)比簡單包過濾防火墻具有更好的安全性。

2.加密技術(shù)

數(shù)字加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來保障安全性。利用加密技術(shù)，可以將某些重要的信息和數(shù)據(jù)從一個可以理解的明文轉(zhuǎn)換為復(fù)雜的、不可理解的密文形式，在線路上傳送或在數(shù)據(jù)庫中存儲，其他用戶再將密文還原為明文。

3.信息摘要

密鑰加密技術(shù)只能解決信息的保密性問題，對信息的完整性則可以使用信息摘要技術(shù)來實現(xiàn)。信息摘要又稱為Hash算法，是一種單向加密算法，其加密結(jié)果是不能解密的。通過Hash算法，得到一個固定長度（128位）的散列值，不同的原文產(chǎn)生的信息摘要必不相同，相同的原文產(chǎn)生的信息摘要必定相同。這樣，通過用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來的摘要比較，若兩者相同則表示原文在傳輸過程中沒有被修改，否則說明原文被修改過。

4.數(shù)字簽名

數(shù)字簽名是密鑰加密和信息摘要相結(jié)合的技術(shù)，用于保證信息的完整性和不可否認(rèn)性。簽名機制的特征是該簽名只有通過簽名者的私有信息才能產(chǎn)生，即一個簽名者的簽名只能惟一地由他自己生成。當(dāng)收發(fā)雙方發(fā)生爭議時，第三方就能根據(jù)消息上的數(shù)字簽名來裁定這條消息是否由發(fā)送方發(fā)出，從而實現(xiàn)不可否認(rèn)服務(wù)。

5.數(shù)字時間戳

在電子交易中，時間和簽名同等重要。數(shù)字時間戳是由專門機構(gòu)提供的電子商務(wù)安全服務(wù)項目，用于證明信息發(fā)送的時間。

6.數(shù)字證書與CA認(rèn)證

由于電子商務(wù)在網(wǎng)絡(luò)中完成，互相之間不見面，因此為了保證每個人及機構(gòu)都能惟一且被準(zhǔn)確無誤地識別，就需要進(jìn)行身份認(rèn)證。身份認(rèn)證可以通過驗證參與各方的數(shù)字證書來實現(xiàn)，而數(shù)字證書是由認(rèn)證中心（CA）頒發(fā)的。

所謂CA（Certificate Authority：證書發(fā)行機構(gòu)），是采用PKI（Public Key Infrastructure：公共密鑰體系）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，具有權(quán)威性和公正性的第三方信任機構(gòu)，其作用就像現(xiàn)實生活中頒發(fā)證件的機構(gòu)。

四、電子商務(wù)安全交易標(biāo)準(zhǔn)

要實現(xiàn)安全的電子商務(wù)交易，交易雙方必須遵照統(tǒng)一的安全標(biāo)準(zhǔn)協(xié)議。當(dāng)前，電子商務(wù)的安全機制正走向成熟，并逐漸形成了一些國際規(guī)范，比較有代表性的有安全套接層協(xié)議SSL（Secure Sockets Layer）和安全電子交易協(xié)議SET（Secure Electronic Transaction）。

1.安全套接層協(xié)議SSL

SSL協(xié)議是由Netscape公司研制的安全協(xié)議，SSL使用加密的方法建立一個安全的通信通道，以使客戶的信用卡號傳送給商家，商家再將其轉(zhuǎn)發(fā)給銀行，銀行驗證后在通知商家付款成功。該協(xié)議已成為事實上的工業(yè)標(biāo)準(zhǔn)，微軟、IBM公司都提供基于這種簡單加密模式的支付系統(tǒng)。

2.安全電子交易SET協(xié)議

SET協(xié)議向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實現(xiàn)安全措施的規(guī)則。它是由Visa國際組織和MasterCard組織制定的，用于在Internet上進(jìn)行在線交易時保證信用卡支付安全的開放性安全技術(shù)標(biāo)準(zhǔn)。由于得到了微軟、IBM、RAS公司的支持與參與，已成為工業(yè)事實上的標(biāo)準(zhǔn)。

SET協(xié)議采用了RSA公私鑰加密系統(tǒng)、數(shù)字簽名、數(shù)字證書認(rèn)證等技術(shù)，保證了支付信息的保密性、完整性和不可否認(rèn)性。該協(xié)議提供了客戶、商家和銀行之間的身份認(rèn)證，而交易信息和客戶信用卡信息相互隔離，即商家只能獲取訂單信息，銀行只能獲得持卡人信用卡支付信息，雙方互不干擾，各去所需，構(gòu)成了SET協(xié)議的主要特色，使得SET成為電子商務(wù)的安全規(guī)范。

3.SET、SSL協(xié)議比較

(1)SET是一個專門的安全電子支付協(xié)議，而SSL本質(zhì)上是一個網(wǎng)絡(luò)安全協(xié)議，僅在雙方間建立起安全連接。SET是一個多方的消息報文協(xié)議，定義了銀行、商家和持卡人間必須符合的報文規(guī)范，它比SSL在交易過程中的信任度更強。

(2)SSL僅有商家的服務(wù)器需要認(rèn)證，客戶端只是選擇性認(rèn)證；而SET在整個交易過程中都受到嚴(yán)密保護(hù)，其安全性比SSL高。

(3)SSL協(xié)議中若想進(jìn)行電子商務(wù)交易，只需通過瀏覽器實現(xiàn)，設(shè)置成本低廉，其交易只要幾十秒就可完成；SET盡管安全性高，但需要專門的軟件來實現(xiàn)，客戶、商家改造成本高，由于交易過程各方之間進(jìn)行多次加密傳輸，每次交易需要數(shù)分鐘。

綜上所述，SSL與SET協(xié)議是電子商務(wù)中最普遍的兩種安全電子支付協(xié)議，各有優(yōu)缺點。SSL雖然簡單快捷，但隨著電子商務(wù)的發(fā)展其缺點凸現(xiàn)出來，需采用更先進(jìn)的支付系統(tǒng)。而SET雖有更強的功能和安全性，但過于復(fù)雜，使得大面積推廣還有很大障礙，并且成本昂貴，所以，在未來一段時間里將會是SSL和SET兩種支付方式并存的局面。

五、結(jié)論

電子商務(wù)的本質(zhì)是商務(wù)，技術(shù)是電子商務(wù)得以實現(xiàn)的手段。沒有商務(wù)需求，技術(shù)的研究就失去了應(yīng)用價值；沒有技術(shù)實現(xiàn)，電子商務(wù)就不能得以實施，所以技術(shù)是電子商務(wù)的必要條件。而安全則是實現(xiàn)電子商務(wù)技術(shù)的前提，也是電子商務(wù)的必要條件。解決電子商務(wù)的安全問題不是一個單一的技術(shù)問題，它是由一系列工作組成，需要從電子商務(wù)安全管理、安全技術(shù)體系和法律等多方面開展工作和研究。

參考文獻(xiàn):

[1]胡道元 閔京華:網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2006

[2]祝凌曦:電子商務(wù)安全[M].北京：北方交通大學(xué)，2006.

[3]李曉燕 李福全 郭愛芳:電子商務(wù)概論[M].陜西：電子科技大學(xué)出版社，2004

[4]何 勝:電子商務(wù)中安全支付協(xié)議的對比及應(yīng)用[J].計算機時代,2004(20)

第3篇

【關(guān)鍵詞】電子商務(wù)安全技術(shù)

【中圖分類號】F713.36【文獻(xiàn)標(biāo)識碼】A【文章編號】1006-9682(2010)02-0192-02

一、安全問題

目前電子商務(wù)所面臨的安全問題主要包括以下幾個方面。

1.竊取信息

數(shù)據(jù)信息在未采用加密措施情況下,以明文形式在網(wǎng)絡(luò)上傳送,攻擊者在傳輸信道上對數(shù)據(jù)進(jìn)行非法截獲、監(jiān)聽,獲取通信中的敏感信息,造成網(wǎng)上傳輸信息泄漏。即使數(shù)據(jù)經(jīng)過加密,但若加密強度不夠,攻擊者也可通過密碼破譯得到信息內(nèi)容,造成信息泄漏。

2.篡改信息

攻擊者在掌握了信息格式和規(guī)律后,采用各種手段對截取的信息進(jìn)行篡改,破壞商業(yè)信息的真實性和完整性。

3.身份仿冒

攻擊者運用非法手段用合法用戶身份信息,利用仿冒的身份與他人交易,獲取非法利益,從而破壞交易的可靠性。

4.抵 賴

某些用戶對發(fā)出或收到的信息進(jìn)行惡意否認(rèn),以逃避應(yīng)承擔(dān)的責(zé)任。

5.病 毒

網(wǎng)絡(luò)化,特別是Internet的發(fā)展,大大加速了病毒的傳播,同時病毒的破壞性越來越大,嚴(yán)重威脅著電子商務(wù)的發(fā)展。

6.其他安全威脅

電子商務(wù)的安全威脅種類繁多,有故意的也有偶然的,存在于各種潛在方面。例如:業(yè)務(wù)流分析,操作人員的不慎重所導(dǎo)致的信息泄漏,媒體廢棄物所導(dǎo)致的信息泄漏等都對電子商務(wù)的安全性構(gòu)成不同程度的威脅。

二、安全要求

從電子商務(wù)的安全要素出發(fā)分析電子商務(wù)的安全性問題,主要包括以下幾個方面:

1.有效性

有效性是開展電子商務(wù)的前提,要求對網(wǎng)絡(luò)故障,操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定時刻、確定地點是有效的。

2.機密性

電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上(尤其Internet具有更大的開放性),維護(hù)商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障,必須預(yù)防非法的信息存取和信息在傳輸中被非法竊取。

3.完整性

保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ),要預(yù)防對信息的隨意生成、修改和刪除,同時要防止數(shù)據(jù)傳送過程中信息的丟失和重要并保證信息傳送次序的統(tǒng)一。

4.可靠性\不可抵賴性\可鑒別性

如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方,這一問題是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。

5.審查能力

根據(jù)機密性和完整性的要求,應(yīng)對數(shù)據(jù)審核的結(jié)果進(jìn)行記錄。

三、安全技術(shù)

1.加密技術(shù)

數(shù)據(jù)加密技術(shù)作為一項基本技術(shù),是電子商務(wù)的基石,是電子商務(wù)最基本的信息安全防范措施。其實質(zhì)是對信息進(jìn)行重新編碼,從而達(dá)到隱藏信息內(nèi)容、使非法用戶無法獲取真實信息的一種技術(shù)手段,確保數(shù)據(jù)的保密性。

2.認(rèn)證技術(shù)

認(rèn)證是防止主動攻擊的重要性,對于開放環(huán)境中各種信息系統(tǒng)的安全性有重要作用。認(rèn)證的主要技術(shù)是:第一,驗證信息的發(fā)送者是真的,而不是冒充的,此為實體認(rèn)證;第二,驗證信息的完整性,此為信息認(rèn)證。

(1)數(shù)字摘要

數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進(jìn)行某種變換運算得到固定長度的摘要碼,這一串摘要亦稱為數(shù)字指紋(Finger Print),有固定的長度,不同消息其摘要不同,相同消息其摘要相同。因此,摘要成為消息的“指紋”以驗證消息是否“真身”,消息摘要解決了信息的完整性問題。

(2)數(shù)字簽名

數(shù)字簽名是實現(xiàn)認(rèn)證的重要工具。所謂數(shù)字簽名就是附加在信息單元的一些數(shù)據(jù),或者對信息單元所作的密碼變換,這種數(shù)據(jù)或密碼變換允許信息接受者確認(rèn)信息的來源和信息的完整性并保護(hù)數(shù)據(jù)防止被人偽造。其實現(xiàn)方式是把信息摘要和公開密鑰算法結(jié)合起來。發(fā)送方從報文文本中生成數(shù)字摘要并用自己的私有密鑰對摘要進(jìn)行加密,形成發(fā)送方的數(shù)字簽名,然后將數(shù)字簽名作為報文的附加和報文一起發(fā)送給接收方;接收方首先從接收到的原始報文中計算出數(shù)字摘要,接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進(jìn)行解密。若兩個摘要相同,則接收方能確認(rèn)該數(shù)字簽名的發(fā)送方的。

(3)數(shù)字證書與CA

數(shù)字簽名中最麻煩的問題是接收方往往無法確認(rèn)自己得到的公鑰確實是發(fā)送方的,因此必須要公鑰與擁有者做緊密結(jié)合才可防止假冒與欺騙發(fā)生,數(shù)字證書系統(tǒng)是使用最廣泛的解決方法。數(shù)字證書是由CA(Certificate Authority)發(fā)放的,利用電子手段來證實一個用戶的身份及用戶網(wǎng)絡(luò)資源的訪問權(quán)限。包括用戶的姓名、公共密鑰、公共密鑰的有限期、頒發(fā)數(shù)字證書的CA、數(shù)字證書的序列號以及用戶本人的數(shù)字簽名。它是電子商務(wù)交易雙方身份確定的惟一安全工具。

認(rèn)證中心CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機構(gòu),主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。

(4)電子商務(wù)的安全協(xié)議

目前電子商務(wù)中有許多種安全體制可以保證電子商務(wù)的安全性,其中SSL和SET是電子商務(wù)安全中兩個最重要的協(xié)議。

(5)SSL安全協(xié)議

SSL(Secure Sockets Layer)安全協(xié)議最初由Netscape Communication公司設(shè)計開放,又稱“安全套層協(xié)議”,是指通信雙方在通信前約定使用的一種協(xié)議方法,該雙方能夠在雙方計算機之間建立一個秘密信道,凡是一些不希望被他人知道的機密數(shù)據(jù)都可以通過公開的通道傳輸,不用擔(dān)心數(shù)據(jù)會被別人偷竊。SSL安全協(xié)議能夠?qū)CP/IP以上的網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)流加密。SSL協(xié)議只負(fù)責(zé)端到端的安全連接,只保證信息傳輸過程中不被竊取、篡改,但不提供其他安全保證,因而SSL實質(zhì)上僅僅提供對瀏覽器和服務(wù)器的鑒別,不能細(xì)化到對商家和客戶的身份認(rèn)證,這個缺陷會導(dǎo)致交易的假冒欺詐行為出現(xiàn),又由于SSL協(xié)議早已嵌入Web瀏覽器和服務(wù)器,使用方便,因此對進(jìn)行電子商務(wù)交易的廣大用戶而言,SSL使用非常方便,這是其優(yōu)點。

(6)SET安全協(xié)議

SET(Secure Electronic Transaction)協(xié)議也稱為“安全電子交易”,由MasterCard、Visa、IBM以及微軟等公司開發(fā),是為了在互聯(lián)網(wǎng)上進(jìn)行在線交易時保證信用卡支付的安全而設(shè)立的一個開放的規(guī)范。SET協(xié)議提供了強大的驗證功能,凡與交易有關(guān)的各方必須持有合法證書機構(gòu)發(fā)放的有效證書,SET不僅具有加密機制,更重要的是通過數(shù)字簽名、數(shù)字信封等實現(xiàn)身份鑒別和不可否認(rèn)性,最大限度地降低了電子商務(wù)交易可能遭受的欺詐風(fēng)險。但是由于SET是基于信用卡進(jìn)行電子商務(wù)交易的,因此中間環(huán)節(jié)增加了CA與銀行、用戶與銀行之間的認(rèn)證,從而提高了軟硬件的環(huán)境要求,也增加了交易成本。

四、結(jié)束語

隨著電子商務(wù)的不斷發(fā)展,電子商務(wù)手段將更加多樣化,安全問題變得更加和突出,安全是電子商務(wù)的核心和靈魂,在發(fā)展電子商務(wù)的道路上,最受重視并使其放慢速度的也正是安全問題。目前,電子商務(wù)也有許多新技術(shù)的提出,但尚未能形成一個有效的、安全的電子商務(wù)安全系統(tǒng),這需要加大力度來研究和發(fā)展信息安全保密技術(shù)。電子商務(wù)的發(fā)展促使人民對安全技術(shù)不斷探索研究和開發(fā)應(yīng)用,以建立一個安全的商務(wù)環(huán)境。

參考文獻(xiàn)

1 許統(tǒng)邦、寧亞萍.網(wǎng)絡(luò)時代的個性化服務(wù)[J].華南理工大學(xué)學(xué)報(社會科學(xué)版),2001.3(1)

第4篇

[關(guān)鍵詞]安全問題；安全要求；安全技術(shù)

[中圖分類號]TN915.08 [文獻(xiàn)標(biāo)識碼]A [文章編號]1672-5158（2013）06-0054-01

1 要分析和保證電子商務(wù)的安全性，首先應(yīng)該了解目前電子商務(wù)安全問題有哪些

1.1 交易信息遭到竊取

在電子商務(wù)的過程中，用戶的身份信息或者交易信息會被黑客或者有意者通過木馬、病毒及計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)本身的漏洞所竊取。攻擊者通過對數(shù)據(jù)的竊聽、非法截獲等手段，可以對截獲信息的數(shù)據(jù)分析，竊取用戶的賬號、密碼等信息內(nèi)容。

1.2 交易信息遭到篡改

攻擊者通過竊取了交易信息之后，通過技術(shù)手段，可以對交易信息進(jìn)行篡改。例如篡改交易時間、交易地點、交易金額等，破壞交易信息的完整性與真實性，容易誤導(dǎo)交易人，造成經(jīng)濟損失。

1.3 交易信息遭到冒充

攻擊者在得到交易者的信息之后，通過交易者的信息規(guī)律，冒充交易者與對方進(jìn)行交易，從而獲得非法利益，進(jìn)而破壞了電子交易的安全性。

1.4 交易信息遭到抵賴

某些交易者，面對交易信息，選擇故意逃避，不承認(rèn)訂單，或者接到訂單后卻因為種種借口不承認(rèn)產(chǎn)品交易；發(fā)送信息者不承認(rèn)發(fā)送過信息，或者接收信息者不承認(rèn)接收過信息，以種種方式進(jìn)行交易抵賴。以期達(dá)到逃避責(zé)任的目的。

1.5 交易信息受到病毒感染

由于計算機網(wǎng)絡(luò)的開放性，惡意制作和使用計算機病毒的攻擊者越來越多，并且難以防范，這成為對電子商務(wù)交易最大的威脅之一。

1.6 非故意的電子商務(wù)信息泄露

由于電子商務(wù)需要使用計算機及計算機網(wǎng)絡(luò)，而日常工作中，計算機維修、計算機操作者操作不當(dāng)，都可能會導(dǎo)致電子商務(wù)信息的泄露。

2 那么，面對種種電子商務(wù)的安全問題，現(xiàn)代電子商務(wù)的安全要求有哪些呢

2.1 有效的服務(wù)性要求

電子商務(wù)開展的前提是能夠預(yù)防或能應(yīng)對網(wǎng)絡(luò)服務(wù)失敗的問題，通過監(jiān)測來減少網(wǎng)絡(luò)故障的發(fā)生，通過監(jiān)督來減少錯誤的操作，通過維護(hù)來降低軟、硬件問題，通過防火墻、殺毒軟件等手段來阻止網(wǎng)絡(luò)病毒的侵入，以諸如此類的方式來保證電子商務(wù)交易快速、有效和準(zhǔn)確。

2.2 有力的保密性要求

電子商務(wù)是在互聯(lián)網(wǎng)的大背景下展開的，而互聯(lián)網(wǎng)是一個開放的資源庫與數(shù)據(jù)庫，具備網(wǎng)絡(luò)知識與上網(wǎng)設(shè)備的人，幾乎都可以使用互聯(lián)網(wǎng)，這就造成了，有更多的惡意攻擊者也可以在毫不費力的情況下，侵入互聯(lián)網(wǎng)，這就給電子商務(wù)交易，埋下了潛在的威脅。因此，電子商務(wù)的順利進(jìn)行，必須要有有力的措施，來保證電子交易的機密性，交易信息不會遭到攻擊者的截取和盜用。

2.3 高度的完整性要求

電子商務(wù)的交易，不再是面對面的交易，而是通過網(wǎng)絡(luò)等手段進(jìn)行的跨區(qū)域交易。這就要求，在信息的傳輸過程中，信息必須是高度完整的，如果在信息的傳輸過程中遭到破壞、刪除或者是篡改，會導(dǎo)致交易者的利益受損。

2.4 可靠的身份性要求

由于電子商務(wù)是建立在互相信任的基礎(chǔ)上，交易雙方可能未曾見面，就完成了交易。這就要求，交易雙方，不論是個人還是企業(yè)、組織甚至是國家之間，都必須提供可靠的、有效的身份信息。這樣，不僅能使得交易雙方更加信任，也能夠在以后發(fā)生法律糾紛時，提供有力的依據(jù)。

2.5 嚴(yán)密的審查性要求

因為電子商務(wù)交易要具有有力的保密性與高度的完整性，所以，應(yīng)對電子商務(wù)交易完成后的審查數(shù)據(jù)進(jìn)行完整的記錄與妥善的保存。

3 為了應(yīng)對電子商務(wù)安全問題，滿足電子商務(wù)安全要求，電子商務(wù)安全技術(shù)也在不斷發(fā)展

目前，主要的電子商務(wù)安全技術(shù)如下：

3.1 數(shù)字認(rèn)證技術(shù)

認(rèn)證技術(shù)是電子商務(wù)防止攻擊的有效武器。在互聯(lián)網(wǎng)的開放環(huán)境中，信息安全的有效保證就是通過數(shù)字認(rèn)證技術(shù)。數(shù)字認(rèn)證技術(shù)又可以分為：數(shù)字簽名、數(shù)字摘要及數(shù)字證書等三種。數(shù)字簽名是確保實現(xiàn)認(rèn)證、保證文檔真實的有效措施。就好像出示手寫簽名一般。數(shù)字簽名就是在信息之后附件一些數(shù)據(jù)，將數(shù)字摘要進(jìn)行私鑰加密，然后一起發(fā)送給接收方。在接收方通過公鑰解密摘要后，與原始數(shù)字摘要進(jìn)行對比，若二者相同，則確認(rèn)該數(shù)字簽名是發(fā)送方發(fā)送的。數(shù)字簽名能夠保證報文與網(wǎng)絡(luò)數(shù)據(jù)的完整、真實與不可抵賴。數(shù)字摘要是固定長度的再要碼，是文件中的部分重要的要素經(jīng)過單向函數(shù)運算得到的。摘要長度與信息相對應(yīng)，即相同信息的摘要相同，不同信息摘要不同。數(shù)字證書它是由證書授權(quán)機構(gòu)頒發(fā)的，通過其來辨別用戶身份及權(quán)限，如同身份證一樣，是交易雙方身份確認(rèn)的唯一最有效、最安全的方式。

3.2 防火墻技術(shù)

防火墻是在網(wǎng)絡(luò)邊界上建立起來的，防止黑客入侵的屏障。防火墻隔離了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)。“目前的防火墻主要有以下三種類型：包過濾防火墻、防火墻、雙穴主機防火墻?！?/p>

3.3 入侵檢測及加密技術(shù)

雖然網(wǎng)絡(luò)的開放性可以讓攻擊者有侵入的機會，但是，同樣，可以通過入侵檢測的技術(shù)對侵入的數(shù)據(jù)進(jìn)行識別和跟蹤，并向用戶報警。同時，通過加密技術(shù)，將數(shù)據(jù)進(jìn)行加密，變成需要密鑰才能還原成明文。加密技術(shù)又分為對稱與非對稱加密兩種。入侵檢測與加密技術(shù)，屬于主動的防范的技術(shù)。

3.4 電子商務(wù)安全協(xié)議技術(shù)。

SSL安全協(xié)議

Secure Sockets Layer安全協(xié)議，即“安全套接層協(xié)議”，用于提高應(yīng)用程序間數(shù)據(jù)的安全性。在通信之前，通信的雙方需要約定一種協(xié)議，從而在雙方的計算機之間形成一個通道，這個通道只被通信的雙方所擁有，可以避免被第三方竊取信息。

SET安全協(xié)議

Secure Electronic Transaction協(xié)議，即“安全電子交易”，是一種新的電子支付模式，是為了在互聯(lián)網(wǎng)上進(jìn)行在線交易時保證信用卡支付的安全而設(shè)立的一個開放的規(guī)范。SET協(xié)議以其強大的驗證功能，保證“用戶、商家、銀行之間通過信用卡交易產(chǎn)生的數(shù)據(jù)”能夠“最大限度地降低了電子商務(wù)交易可能遭受的欺詐風(fēng)險?！庇捎谄鋬?yōu)越的性能，目前豬價成為世界“公認(rèn)的信用卡交易國際標(biāo)準(zhǔn)?！?/p>

4 其他非技術(shù)手段

4.1 加強電子商務(wù)交易法律管理

應(yīng)該重視法律的力量，不斷完善電子商務(wù)交易的法律法規(guī)，規(guī)范電子商務(wù)的交易過程。通過法律來約束進(jìn)行電子交易雙方。同時給企圖利用電子商務(wù)漏洞的不法分子敲響警鐘。

4.2 加強電子商務(wù)交易本身的管理

電子商務(wù)交易要有有效的管理制度，加強對用戶、對信息、對設(shè)備、對軟件、對密鑰等的管理。

總之，電子商務(wù)交易的發(fā)展離不開安全的電子商務(wù)交易環(huán)節(jié)。而創(chuàng)作安全的電子商務(wù)環(huán)境要從技術(shù)與非技術(shù)兩個方面人手，既要重視加密、檢測、認(rèn)證等技術(shù)手段的發(fā)展，又要重視電子商務(wù)交易法律法規(guī)的完善、電子商務(wù)交易自身管理的規(guī)范性。進(jìn)而不斷促進(jìn)電子商務(wù)交易的有效性、機密性及不可抵賴性。只有用戶能放心的使用電子商務(wù)交易，才能彰顯電子商務(wù)交易平臺的優(yōu)越性。

參考文獻(xiàn)

第5篇

電子商務(wù)信息安全問題主要有：

1.信息的截獲和竊?。喝绻捎眉用艽胧┎粔?，攻擊者通過互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)，獲取機密信息或通過對信息流量、流向、通信頻度和長度分析，推測出有用信息。2.信息的篡改：當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后，通過技術(shù)手段對網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地，破壞信息完整性。3.信息假冒：當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后，假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。4.交易抵賴：交易抵賴包括多方面，如發(fā)信者事后否認(rèn)曾發(fā)送信息、收信者事后否認(rèn)曾收到消息、購買者做了定貨單不承認(rèn)等。

二、信息安全要求

電子商務(wù)的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護(hù)。信息安全包括以下幾方面:

1.信息保密性：維護(hù)商業(yè)機密是電子商務(wù)推廣應(yīng)用的重要保障。由于建立在開放網(wǎng)絡(luò)環(huán)境中，要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生。2.信息完整性：貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)，影響到交易和經(jīng)營策略。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹?，預(yù)防對信息隨意生成、修改和刪除，防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一。3.信息有效性：保證信息有效性是開展電子商務(wù)前提，關(guān)系到企業(yè)或國家的經(jīng)濟利益。對網(wǎng)絡(luò)故障、應(yīng)用程序錯誤、硬件故障及計算機病毒的潛在威脅控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定時刻和地點有效。4.信息可靠性：確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。為防止計算機失效、程序錯誤、系統(tǒng)軟件錯誤等威脅，通過控制與預(yù)防確保系統(tǒng)安全可靠。

三、信息安全技術(shù)

1.防火墻技術(shù)。防火墻在網(wǎng)絡(luò)間建立安全屏障，根據(jù)指定策略對數(shù)據(jù)過濾、分析和審計，并對各種攻擊提供防范。安全策略有兩條：一是“凡是未被準(zhǔn)許就是禁止”。防火墻先封閉所有信息流，再審查要求通過信息，符合條件就通過；二是“凡是未被禁止就是允許”。防火墻先轉(zhuǎn)發(fā)所有信息，然后逐項剔除有害內(nèi)容。

防火墻技術(shù)主要有：(1)包過濾技術(shù)：在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過，核心是安全策略即過濾算法設(shè)計。(2)服務(wù)技術(shù)：提供應(yīng)用層服務(wù)控制，起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用。服務(wù)還用于實施較強數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。(3)狀態(tài)監(jiān)控技術(shù)：在網(wǎng)絡(luò)層完成所有必要的包過濾與網(wǎng)絡(luò)服務(wù)防火墻功能。(4)復(fù)合型技術(shù)：把過濾和服務(wù)兩種方法結(jié)合形成新防火墻，所用主機稱為堡壘主機，提供服務(wù)。(5)審計技術(shù)：通過對網(wǎng)絡(luò)上發(fā)生的訪問進(jìn)程記錄和產(chǎn)生日志，對日志統(tǒng)計分析，對資源使用情況分析，對異?，F(xiàn)象跟蹤監(jiān)視。(6)路由器加密技術(shù)：加密路由器對通過路由器的信息流加密和壓縮，再通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密。2.加密技術(shù)。為保證數(shù)據(jù)和交易安全，確認(rèn)交易雙方的真實身份，電子商務(wù)采用加密技術(shù)。數(shù)據(jù)加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應(yīng)用的加密技術(shù)有：(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿(mào)易方甲生成一對密鑰并將其中一把作為公開密鑰公開；得到公開密鑰的貿(mào)易方乙對信息加密后再發(fā)給貿(mào)易方甲：貿(mào)易方甲用另一把專用密鑰對加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請對方發(fā)信息將公共密鑰傳給對方，保證傳輸信息的保密和安全。(2)數(shù)字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋，有固定長度且不同明文摘要成密文結(jié)果不同，而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。(3)數(shù)字簽名:將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認(rèn)文件的手段。簽名作用有兩點：一是因為自己簽名難以否認(rèn)，從而確認(rèn)文件已簽署；二是因為簽名不易仿冒，從而確定文件為真。(4)數(shù)字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容，數(shù)字時間戳服務(wù)能提供電子文件發(fā)表時間的安全保護(hù)。

3.認(rèn)證技術(shù)。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份，驗證信息完整性，確認(rèn)信息在傳送或存儲過程中未被篡改。(1)數(shù)字證書:也叫數(shù)字憑證、數(shù)字標(biāo)識，用電子手段證實用戶身份及對網(wǎng)絡(luò)資源的訪問權(quán)限，可控制被查看的數(shù)據(jù)庫，提高總體保密性。交易支付過程中，參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書證明身份。(2)安全認(rèn)證機構(gòu):電子商務(wù)授權(quán)機構(gòu)也稱電子商務(wù)認(rèn)證中心。無論是數(shù)字時間戳服務(wù)還是數(shù)字證書發(fā)放，都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的企業(yè)機構(gòu)，受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書管理。

4.防病毒技術(shù)。(1)預(yù)防病毒技術(shù)，通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲取系統(tǒng)控制權(quán)，監(jiān)視系統(tǒng)中是否有病毒，阻止計算機病毒進(jìn)入計算機系統(tǒng)和對系統(tǒng)破壞。(2)檢測病毒技術(shù)，通過對計算機病毒特征進(jìn)行判斷的偵測技術(shù)，如自身校驗、關(guān)鍵字、文件長度變化。(3)消除病毒技術(shù)，通過對計算機病毒分析，開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。另外要認(rèn)真執(zhí)行病毒定期清理制度，可以清除處于潛伏期的病毒，防止病毒突然爆發(fā)，使計算機始終處于良好工作狀態(tài)。

四、結(jié)語

信息安全是電子商務(wù)的核心。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù)，提高電子商務(wù)系統(tǒng)的安全性和可靠性。但電子商務(wù)的安全運行，僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠，還必須完善電子商務(wù)立法，以規(guī)范存在的各類問題，引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn):

[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006

第6篇

計算機網(wǎng)絡(luò)安全的內(nèi)容包括：計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全增強方案，以保證計算機網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。

關(guān)鍵字：計算機網(wǎng)絡(luò)安全 商務(wù)交易安全

一 前言

隨著INTERNET的發(fā)展，電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動的新模式。越來越多的人通過INTERNET進(jìn)行商務(wù)活動。電子商務(wù)的發(fā)展前景十分誘人，而其安全問題也變得越來越突出，如何建立一個安全，便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護(hù)，已經(jīng)成為商家和用戶都十分關(guān)注的話題。

點擊查看全文

第7篇

[關(guān)鍵詞] 網(wǎng)絡(luò)安全交易安全安全技術(shù)安全措施

一、引言

電子商務(wù)的發(fā)展前景十分誘人，而其安全問題也變得越來越突出，如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護(hù)，已經(jīng)成為商家和用戶都十分關(guān)心的話題。

二、電子商務(wù)存在的安全問題

1.計算機網(wǎng)絡(luò)安全

(1)潛在的安全隱患。未進(jìn)行操作系統(tǒng)相關(guān)安全配置。不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置，才能達(dá)到一定的安全程度。

(2)未進(jìn)行CGI程序代碼審計。網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序，很多存在嚴(yán)重的CGI問題，對于電子商務(wù)站點來說，會出現(xiàn)惡意攻擊者冒用他人賬號進(jìn)行網(wǎng)上購物等嚴(yán)重后果。

(3)安全產(chǎn)品使用不當(dāng)。由于一些網(wǎng)絡(luò)安全設(shè)備本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。很多廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高，超出對普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但系統(tǒng)改動，在改動相關(guān)安全產(chǎn)品的設(shè)置時，很容易產(chǎn)生許多安全問題。

(4)缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度

網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實施嚴(yán)密的計算機網(wǎng)絡(luò)安全制度與策略是真正實現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

2.商務(wù)交易安全

(1)竊取信息。由于未采用加密措施，信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

(2)篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。

(3)假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠(yuǎn)端用戶通常很難分辨。

(4)惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，則可能對網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

三、電子商務(wù)安全技術(shù)

1.加密技術(shù)

(1)對稱加密/對稱密鑰加密/專用密鑰加密

該方法對信息的加密和解密都使用相同的密鑰。使用對稱加密方法將簡化加密的處理，每個貿(mào)易方都不必彼此研究和交換專用的加密算法而是采用相同的加密算法并只交換共享的專用密鑰。如果進(jìn)行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。

(2)非對稱加密/公開密鑰加密

這種加密體系中，密鑰被分解為一對。這對密鑰中的任何一把都可作為公開密鑰通過非保密方式向他人公開，而另一把則作為專用密鑰加以保存。公開密鑰用于對機密性的加密，專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛，但它只對應(yīng)于生成該密鑰的貿(mào)易方。

(3)數(shù)字摘要

該方法亦稱安全Hash編碼法或MD5。采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，即數(shù)字指紋，它有固定的長度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這摘要便可成為驗證明文是否是“真身”的“指紋”了。

(4)數(shù)字簽名

信息是由簽名者發(fā)送的;信息在傳輸過程中未曾作過任何修改。這樣數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽；或冒用別人名義發(fā)送信息；或發(fā)出（收到）信件后又加以否認(rèn)等情況發(fā)生。

(5)數(shù)字時間戳

它是一個經(jīng)加密后形成的憑證文檔，包括三個部分：需加時間戳的文件的摘要;DTS收到文件的日期和時間;DTS的數(shù)字簽名。

(6)數(shù)字憑證

數(shù)字憑證又稱為數(shù)字證書，是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字憑證，并用它來進(jìn)行交易操作，那么雙方都可不必為對方身份的真?zhèn)螕?dān)心。它包含：憑證擁有者的姓名; 憑證擁有者的公共密鑰;公共密鑰的有效期;頒發(fā)數(shù)字憑證的單位;數(shù)字憑證的序列號;頒發(fā)數(shù)字憑證單位的數(shù)字簽名。

數(shù)字憑證有三種類型：個人憑證，企業(yè)（服務(wù)器）憑證， 軟件（開發(fā)者）憑證。

2.Internet電子郵件的安全協(xié)議

(1)PEM：是增強Internet電子郵件隱秘性的標(biāo)準(zhǔn)草案，它在Internet電子郵件的標(biāo)準(zhǔn)格式上增加了加密、鑒別和密鑰管理的功能，允許使用公開密鑰和專用密鑰的加密方式，并能夠支持多種加密工具。對于每個電子郵件報文可以在報文頭中規(guī)定特定的加密算法、數(shù)字鑒別算法、散列功能等安全措施。

(2)S/MIME：是在RFC1521所描述的多功能Internet電子郵件擴充報文基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一種協(xié)議，目的是在MIME上定義安全服務(wù)措施的實施方式。

(3)PEM-MIME：是將PEM和MIME兩者的特性進(jìn)行了結(jié)合。

3.Internet主要的安全協(xié)議

(1)SSL:是向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。該協(xié)議通過在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的審查。在SSL握手信息中采用了DES、MD5等加密技術(shù)來實現(xiàn)機密性和數(shù)據(jù)完整性，并采用X.509的數(shù)字證書實現(xiàn)鑒別。

(2)S-HTTP：是對HTTP擴充安全特性、增加了報文的安全性，它是基于SSL技術(shù)的。該協(xié)議向WWW的應(yīng)用提供完整性、鑒別、不可抵賴性及機密性等安全措施。

(3)STT： STT將認(rèn)證和解密在瀏覽器中分離開，用以提高安全控制能力。

(4)SET：主要文件是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET 1.0版己經(jīng)公布并可應(yīng)用于任何銀行支付服務(wù)。它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認(rèn)證、數(shù)據(jù)簽名等。

SET規(guī)范明確的主要目標(biāo)是保障付款安全，確定應(yīng)用之互通性，并使全球市場接受。

4.UN/EDIFACT的安全

UN/EDIFACT報文是唯一的國際通用的EDI標(biāo)準(zhǔn)。利用Internet進(jìn)行EDI己成為人們?nèi)找骊P(guān)注的領(lǐng)域，保證EDI的安全成為主要解決的問題。

5.虛擬專用網(wǎng)（VPN）

它可以在兩個系統(tǒng)之間建立安全的信道（或隧道），用于電子數(shù)據(jù)交換。它與信用卡交易和客戶發(fā)送訂單交易不同，因為在VPN中，雙方的數(shù)據(jù)通信量要大得多，而且通信的雙方彼此都很熟悉。這意味著可以使用復(fù)雜的專用加密和認(rèn)證技術(shù)，只要通信的雙方默認(rèn)即可，沒有必要為所有的VPN進(jìn)行統(tǒng)一的加密和認(rèn)證。

6.數(shù)字認(rèn)證

用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性（如一張發(fā)票未被修改過），甚至數(shù)據(jù)媒體的有效性（如錄音、照片等）。目前，數(shù)字認(rèn)證一般都通過單向Hash函數(shù)來實現(xiàn)，它可以驗證交易雙方數(shù)據(jù)的完整性，

7.認(rèn)證中心（CA）

CA的基本功能是：

生成和保管符合安全認(rèn)證協(xié)議要求的公共和私有密鑰、數(shù)字證書及其數(shù)字簽名。

對數(shù)字證書和數(shù)字簽名進(jìn)行驗證。

對數(shù)字證書進(jìn)行管理，重點是證書的撤消管理，同時追求實施自動管理。

建立應(yīng)用接口，特別是支付接口。CA是否具有支付接口是能否支持電子商務(wù)的關(guān)鍵。

8.防火墻技術(shù)

防火墻具有以下五大基本功能:(1)過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內(nèi)容和活動;(5)對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。

目前的防火墻主要有兩種類型。其一是包過濾型防火墻，其二是應(yīng)用級防火墻。

9.入侵檢測

入侵檢測技術(shù)是防火墻技術(shù)的合理補充，其主要內(nèi)容有：入侵手段與技術(shù)、分布式入侵檢測技術(shù)、智能入侵檢測技術(shù)以及集成安全防御方案等。

四、電子商務(wù)網(wǎng)站安全體系與安全措施

一個全方位的計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線，極大地增加了惡意攻擊的難度，并增加了審核信息的數(shù)量，利用這些審核信息可以跟蹤入侵者。

1.采取特殊措施以保證電子商務(wù)之可靠性、可用性及安全性

使用容錯計算機系統(tǒng)或創(chuàng)造高可用性的計算機環(huán)境，以確保信息系統(tǒng)保持可用及不間斷動作。災(zāi)害復(fù)原計劃提供一套程序與設(shè)備來重建被中斷的計算與通信服務(wù)。當(dāng)組織利用企業(yè)內(nèi)部網(wǎng)或因特網(wǎng)時，防火墻和入侵偵測系統(tǒng)協(xié)助防衛(wèi)專用網(wǎng)絡(luò)避免未授權(quán)者的存取。加密是一種廣泛使用的技術(shù)來確保因特網(wǎng)上傳輸?shù)陌踩?shù)字證書可確認(rèn)使用者的身份，提供了電子交易更進(jìn)一步的保護(hù)。

2.實施網(wǎng)絡(luò)安全防范措施

首先要加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞；

其次要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的安全隱患，并及時加以修補；從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權(quán)管理和認(rèn)證;利用RAID5等數(shù)據(jù)存儲技術(shù)加強數(shù)據(jù)備份和恢復(fù)措施；對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行強度的數(shù)據(jù)加密；安裝防病毒軟件，加強內(nèi)部網(wǎng)的整體防病毒措施；建立詳細(xì)的安全審計日志，以便檢測并跟蹤入侵攻擊等。

3.電子商務(wù)交易中的安全措施

在早期的電子交易中，曾采用過安全措施有：部分告知；另行確認(rèn)；在線服務(wù)等。這些方法均有一定的局限性，且操作麻煩，不能實現(xiàn)真正的安全可靠性。近年來，針對電子交易安全的要求，IT業(yè)界與金融行業(yè)一起，推出不少有效的安全交易標(biāo)準(zhǔn)和技術(shù)，正如上述所列的九種技術(shù)。

另外，還可以選擇一些加密產(chǎn)品和系統(tǒng)。如：PGP for Group Wise、File Lock Series、Point`n Crypt World、PrivaSuite、Crypt。可以實現(xiàn)加密、簽名和認(rèn)證。訪問控制類產(chǎn)品。如：SunScreen、WebST安全平臺、HP Preaesidium 授權(quán)服務(wù)器、NetKey網(wǎng)絡(luò)安全認(rèn)證系統(tǒng)、Cisco NetRanger等。這些產(chǎn)品的功能可以提供對口令字的管理和控制功能；防止入侵者對口令字的探測；監(jiān)測用戶對某一分區(qū)或域的存??；提供系統(tǒng)主體對客體訪問權(quán)限的控制。

第8篇

關(guān)鍵詞:電子商務(wù);網(wǎng)絡(luò)銀行;私有密鑰加密法;公開密鑰加密法

對數(shù)據(jù)進(jìn)行有效加密與解密,稱為密碼技術(shù),即數(shù)據(jù)機密性技術(shù)。其目的是為了隱蔽數(shù)據(jù)信息,將明文偽裝成密文,使機密性數(shù)據(jù)在網(wǎng)絡(luò)上安全地傳遞而不被非法用戶截取和破譯。偽裝明文的操作稱為加密,合法接收者將密文恢復(fù)出原明文的過程稱為解密,非法接收者將密文恢復(fù)出原明文的過程稱為破譯。密碼是明文和加密密鑰相結(jié)合,然后經(jīng)過加密算法運算的結(jié)果。加密包括兩個元素,加密算法和密鑰。加密時所使用的信息變換規(guī)則稱為加密算法,是用來加密的數(shù)學(xué)函數(shù),一個加密算法是將普通的文本(或者可以理解的信息)與一串字符串即密鑰結(jié)合運算,產(chǎn)生不可理解的密文的步驟。密鑰是借助一種數(shù)學(xué)算法生成的,它通常是由數(shù)字、字母或特殊符號組成的一組隨機字符串,是控制明文和密文變換的唯一關(guān)鍵參數(shù)。對于相同的加密算法,密鑰的位數(shù)越多,破譯的難度就越大,安全性就越好。目前,電子商務(wù)通信中常用的有私有(對稱)密鑰加密法和公開(非對稱)密鑰加密法。

一、私有密鑰加密法

(一)定義

私有密鑰加密,指在計算機網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時,發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用同樣的一把密鑰A對收到的密文M進(jìn)行解密,得到明文信息,從而完成密文通信目的的方法。這種信息加密傳輸方式,就稱為私有密鑰加密法。上述加密法的一個最大特點是,信息發(fā)送方與信息接收方均需采用同樣的密鑰,具有對稱性,所以私有密鑰加密又稱為對稱密鑰加密。

(二)使用過程

具體到電子商務(wù),很多環(huán)節(jié)要用到私有密鑰加密法。例如,在兩個商務(wù)實體或兩個銀行之間進(jìn)行資金的支付結(jié)算時,涉及大量的資金流信息的傳輸與交換。這里以發(fā)送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應(yīng)用私有密鑰加密法的過程:銀行甲借助專業(yè)私有密鑰加密算法生成私有密鑰A,并且復(fù)制一份密鑰A借助一個安全可靠通道(如采用數(shù)字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網(wǎng)絡(luò)通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文。這樣銀行乙就知道銀行甲的資金轉(zhuǎn)賬通知單的內(nèi)容,結(jié)束通信。

(三)常用算法

世界上一些專業(yè)組織機構(gòu)研發(fā)了許多種私有密鑰加密算法,比較著名的有DES算法及其各種變形、國際數(shù)據(jù)加密算法IDEA等。DES算法由美國國家標(biāo)準(zhǔn)局提出,1977年公布實施,是目前廣泛采用的私有密鑰加密算法之一,主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬、軍事定點通信等領(lǐng)域,比如電子支票的加密傳送。經(jīng)過20多年的使用,已經(jīng)發(fā)現(xiàn)DES很多不足之處,隨著計算機技術(shù)進(jìn)步,對DES的破解方法也日趨有效,所以更安全的高級加密標(biāo)準(zhǔn)AES將會替代DES成為新一代加密標(biāo)準(zhǔn)。

(四)優(yōu)缺點

私有密鑰加密法的主要優(yōu)點是運算量小,加解密速度快,由于加解密應(yīng)用同一把密鑰而應(yīng)用簡單。在專用網(wǎng)絡(luò)中由于通信各方相對固定、所以應(yīng)用效果較好。但是,私有密鑰加密技術(shù)也存在著以下一些問題:一是分發(fā)不易。由于算法公開,其安全性完全依賴于對私有密鑰的保護(hù)。因此,密鑰使用一段時間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對的,通過電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問題。二是管理復(fù)雜,代價高昂。私有密鑰密碼體制用于公眾通信網(wǎng)時,每對通信對象的密鑰不同,必須由不被第三者知道的方式,事先通知對方。隨著通信對象的增加,公眾通信網(wǎng)上的密碼使用者必須保存所有通信對象的大量的密鑰。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題。三是難以進(jìn)行用戶身份的認(rèn)定。采用私有密鑰加密法實現(xiàn)信息傳輸,只是解決了數(shù)據(jù)的機密性問題,并不能認(rèn)證信息發(fā)送者的身份。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發(fā)送偽造信息。在電子商務(wù)中,有可能存在欺騙,別有用心者可能冒用別人的名義發(fā)送資金轉(zhuǎn)賬指令。因此,必須經(jīng)常更換密鑰,以確保系統(tǒng)安全。四是采用私有密鑰加密法的系統(tǒng)比較脆弱,較易遭到不同密碼分析的攻擊。五是它僅能用于對數(shù)據(jù)進(jìn)行加解密處理,提供數(shù)據(jù)的機密性,不能用于數(shù)字簽名。

二、公開密鑰加密法

(一)定義與應(yīng)用原理

公開密鑰加密法是針對私有密鑰加密法的缺陷而提出來的。是電子商務(wù)應(yīng)用的核心密碼技術(shù)。所謂公開密鑰加密,就是指在計算機網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時,發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用另一把密鑰B對收到的密文M進(jìn)行解密,得到明文信息完密文通信目的的方法。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對網(wǎng)絡(luò)上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法。與私有(對稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對稱,所以公開私有密鑰加密法又稱為非對稱密鑰加密法。

公開密鑰加密法的應(yīng)用原理是:借助密鑰生成程序生產(chǎn)密鑰A與密鑰B,這兩把密鑰在數(shù)學(xué)上相關(guān),對稱作密鑰對。用密鑰對其中任何一個密鑰加密時,可以用另一個密鑰解密,而且只能用此密鑰對其中的另一個密鑰解密。在實際應(yīng)用中,某商家可以把生成的密鑰A與密鑰B做一個約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網(wǎng)絡(luò)公開散發(fā)出去,誰都可以獲取一把并能應(yīng)用,屬于公開的共享密鑰,叫做公開密鑰。如果一個人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個人的消息。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對密文進(jìn)行解密,而且非法用戶幾乎不可能從公鑰推導(dǎo)出私鑰。存在下面兩種應(yīng)用情況:一是任何一個收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發(fā)送給這個商家,那么這些加密信息就只能被這個商家的私人密鑰A解密。實現(xiàn)保密性。二是商家利用自己的私人密鑰A對要發(fā)送的信息進(jìn)行加密進(jìn)成密文信息,發(fā)送給商業(yè)合作伙伴,那么這個加密信息就只能被公開密鑰B解密。這樣,由于只能應(yīng)用公開密鑰B解密,根據(jù)數(shù)學(xué)相關(guān)關(guān)系可以斷定密文的形成一定是運用了私人密鑰A進(jìn)行加密的結(jié)果,而私人密鑰A只有商家擁有,由此可以斷定網(wǎng)上收到的密文一定是擁有私人密鑰A的商家發(fā)送的。

(二)使用過程

具體到電子商務(wù),很多環(huán)節(jié)要用到公開密鑰加密法,例如在網(wǎng)絡(luò)銀行客戶與銀行進(jìn)行資金的支付結(jié)算操作時,就涉及大量的資金流信息的安全傳輸與交換。以客戶甲與乙網(wǎng)絡(luò)銀行的資金信息傳輸為例,來描述應(yīng)用公開密鑰加密法在兩種情況下的使用過程。首先,網(wǎng)絡(luò)銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B并數(shù)學(xué)相關(guān),私人密鑰A由網(wǎng)絡(luò)銀行乙自己獨自保存,而公開密鑰B已經(jīng)通過網(wǎng)絡(luò)某種應(yīng)用形式(如數(shù)字證書)分發(fā)給網(wǎng)絡(luò)銀行的眾多客戶,當(dāng)然客戶甲也擁有一把網(wǎng)絡(luò)銀行乙的公開密鑰B。

1、客戶甲傳送一“支付通知”給網(wǎng)絡(luò)銀行乙,要求“支付通知”在傳送中是密文,并且只能由網(wǎng)絡(luò)銀行乙解密知曉,從而實現(xiàn)了定點保密通信?？蛻艏桌毛@得的公開密鑰B在本地對“支付通知”明文進(jìn)行加密,形成“支付通知”密文,通過網(wǎng)絡(luò)將密文傳輸給網(wǎng)絡(luò)銀行乙。網(wǎng)絡(luò)銀行乙收到“支付通知”密文后,發(fā)現(xiàn)只能用自己的私人密鑰A進(jìn)行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內(nèi)容,的確是發(fā)給自己的。

2、網(wǎng)絡(luò)銀行乙在按照收到的“支付通知”指令完成支付轉(zhuǎn)賬服務(wù)后,必須回送客戶甲“支付確認(rèn)”,客戶甲在收到“支付確認(rèn)”后,斷定只能是網(wǎng)絡(luò)銀行乙發(fā)來的,而不是別人假冒的,將來可作支付憑證,從而實現(xiàn)對網(wǎng)絡(luò)銀行業(yè)務(wù)行為的認(rèn)證,網(wǎng)絡(luò)銀行不能隨意否認(rèn)或抵賴。網(wǎng)絡(luò)用戶乙在按照客戶甲的要求完成相關(guān)資金轉(zhuǎn)賬后,準(zhǔn)備一個“支付確認(rèn)”明文,在本地利用自己的私人密鑰A對“支付確認(rèn)”明文進(jìn)行加密,形成“支付確認(rèn)”密文,通過網(wǎng)絡(luò)將密文傳輸給客戶甲?？蛻艏资盏健爸Ц洞_認(rèn)”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發(fā)現(xiàn)只能用獲得的網(wǎng)絡(luò)銀行乙的公開密鑰B進(jìn)行解密,形成“支付確認(rèn)”明文,由于公開密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網(wǎng)絡(luò)銀行乙所有,因此客戶甲斷定這個“支付確認(rèn)”只能是網(wǎng)絡(luò)銀行乙發(fā)來的,不是別人假冒的,可作支付完成的憑證。

(三)算法

當(dāng)前最著名、應(yīng)用最廣泛的公開密鑰系統(tǒng)是RSA(取自三個創(chuàng)始人的名字的第一個字母)算法。目前電子商務(wù)中大多數(shù)使用公開密鑰加密法進(jìn)行加解密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法。RSA算法是基于大數(shù)的因子分解,而大數(shù)的因子分解是數(shù)學(xué)上的一個難題,其難度隨數(shù)的位數(shù)加多而提高。

(四)優(yōu)缺點

優(yōu)點是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發(fā)往任何地方,公鑰在傳遞與過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。

能夠解決信息的否認(rèn)與抵賴問題,身份認(rèn)證較為方便。密鑰分配簡單,公開密鑰可以像電話號碼一樣,告訴每一個網(wǎng)絡(luò)成員,商業(yè)伙伴需要好好保管的只是一個私人密鑰。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便。最大的缺陷就在于它的加解密速度。

三、兩種加密法的比較

通過DES算法和RSA算法的比較說明公開密鑰加密法和私有密鑰加密法的區(qū)別:在加密、解密的處理效率方面,DES算法明顯優(yōu)于RSA算法,即DES算法快得多;在密鑰的分發(fā)與管理方面,RSA算法比DES算法更加優(yōu)越;在安全性方面,只要密鑰夠長,如112b密鑰的DES算法和1024b的RSA算法的安全性就很好,目前還沒找到在可預(yù)見的時間內(nèi)破譯它們的有效方法;在簽名和認(rèn)證方面,DES算法從原理上不可能實現(xiàn)數(shù)字簽名和身份認(rèn)證,但RSA算法能夠方便容易的進(jìn)行數(shù)字簽名和身份認(rèn)證。

基于以上比較的結(jié)果可以看出,私有密鑰加密法與公開密鑰加密法各有長短,公開密鑰加密在簽名認(rèn)證方面功能強大,而私有密鑰加密在加/解密速度方面具有很大優(yōu)勢。為了充分發(fā)揮對稱加密法和非對稱加密法各自的優(yōu)點,在實際應(yīng)用中通常將這兩種加密法結(jié)合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。這樣不僅數(shù)據(jù)信息的加解密速度快,同時保障了密鑰傳遞的安全性。數(shù)據(jù)加密技術(shù)是信息安全的基本技術(shù),在網(wǎng)絡(luò)中使用的越來越廣泛。針對不同的業(yè)務(wù)要求可以設(shè)計或采取不同的加密技術(shù)及實現(xiàn)方式。另外還要注意的是,數(shù)據(jù)加密技術(shù)所討論的安全性只是暫時的,因此還要投入對密碼技術(shù)新機制、新理論的研究才能滿足不斷增長的信息安全需求。

參考文獻(xiàn):

[1]丁學(xué)君.電子商務(wù)中的信息安全問題及其對策[J].計算機安全,2009,(2).

[2]余紹軍,彭銀香.電子商務(wù)安全與數(shù)據(jù)加密技術(shù)淺析[J].中國管理信息化(綜合版),2007,(04).

[3]王俊杰.電子商務(wù)安全問題及其應(yīng)對策略[J].特區(qū)經(jīng)濟,2007,(07).

[4]秦昌友.淺析電子商務(wù)的安全技術(shù)[J].蘇南科技開發(fā),2007,(08).

[5]佩,趙丹.電子商務(wù)的安全問題及技術(shù)手段[J].光盤技術(shù),2007,(05).

第9篇

關(guān)鍵詞：電子商務(wù)；安全；評估；標(biāo)準(zhǔn)

中圖分類號：F239 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-291X（2012）13-0136-02

一、電子商務(wù)安全評估概述

1.電子商務(wù)安全評估重要性電子商務(wù)安全評估是運用系統(tǒng)的方法，對電子商務(wù)系統(tǒng)、各種電子商務(wù)安全保護(hù)措施、管理機制以及結(jié)合所產(chǎn)生的客觀效果作出是否安全的結(jié)論。由于信息技術(shù)本身有其固有的敏感性和特殊性，這就使得對企業(yè)電子商務(wù)產(chǎn)品是否安全，電子商務(wù)安全產(chǎn)品及其網(wǎng)絡(luò)系統(tǒng)是否可靠，企業(yè)電子商務(wù)系統(tǒng)是否健壯，電子商務(wù)管理是否嚴(yán)格，信息風(fēng)險防范的準(zhǔn)備是否充足等方面都成為需要科學(xué)評價和證實的問題。電子商務(wù)安全系統(tǒng)所保護(hù)的是敏感信息，評估必須可靠、可信、可操作，并且能依賴于成熟的信息安全理論、科學(xué)的評估方法和完善的標(biāo)準(zhǔn)體系，具有令人信服的科學(xué)性和公正性。

2.電子商務(wù)安全評估內(nèi)容。電子商務(wù)安全評估的主要內(nèi)容有環(huán)境控制、應(yīng)用安全、管理機制、遠(yuǎn)程通信安全、審計機制等五個方面的內(nèi)容。環(huán)境控制分為實體的、操作系統(tǒng)的及管理的三個部分。應(yīng)用安全包括輸出輸入控制、系統(tǒng)內(nèi)部控制、責(zé)任劃分、輸出的用途、程序的敏感性和脆弱性、用戶滿意度等。管理機制包括規(guī)章制度、緊急恢復(fù)措施、人事制度（如防止工作人員調(diào)入、調(diào)離對安全的影響）等。遠(yuǎn)程通信安全包括加密、數(shù)據(jù)簽名等。

二、電子商務(wù)安全

1.電子商務(wù)安全需求與隱患。在電子商務(wù)中，任何與交易有關(guān)的信息都通過網(wǎng)絡(luò)交換，都有可能會被篡改、竊聽、冒名使用或交易后否認(rèn)。保證電子商務(wù)的安全需提供以下安全保護(hù)：（1）完整性保護(hù)。確保消息內(nèi)容在傳輸和處理過程中沒有被添加、刪除或修改。（2）真實性保護(hù)。能對交易者身份進(jìn)行鑒別，為身份的真實性提供保證。（3）機密性保護(hù)。能防止電子商務(wù)參與者的信息在存儲、處理、傳輸過程中泄漏給未經(jīng)授權(quán)的人或?qū)嶓w。（4）抗抵賴?？沟仲嚲褪菫榻灰椎碾p方提供證據(jù)，以解決因否認(rèn)而產(chǎn)生的糾紛。它實際上建立了交易雙方的責(zé)任機制。

電子商務(wù)面臨著其系統(tǒng)自身的安全性問題，計算機及通信網(wǎng)絡(luò)的安全性問題同樣會蔓延到電子商務(wù)中。歸結(jié)起來，電子商務(wù)中的安全患主要有其應(yīng)用層、傳輸層、存儲層和系統(tǒng)層等四個方面：（1）系統(tǒng)層安全性漏洞。電子商務(wù)系統(tǒng)的運作須以系統(tǒng)層的軟硬件為基礎(chǔ)，因此系統(tǒng)層的安全性漏洞將直接會造成電子商務(wù)中的安全患。（2）存儲層的安全漏洞。存儲層的安全漏洞包括兩個方面的問題：1）意外情況造成的數(shù)據(jù)破壞。無論多么穩(wěn)定的系統(tǒng)，意外情況總是不可避免的，電子商務(wù)系統(tǒng)也不例外。如果對意外情況造成的損失沒有充分的估計和完備的補救措施，那么意外情祝造成的數(shù)據(jù)破壞是不可避免的。而數(shù)據(jù)破壞將對整個電子商務(wù)系統(tǒng)的穩(wěn)定性和安全性造成威脅。2）有意人為侵害造成的破壞。電子商務(wù)起步不久，安全性措施尚不完善，是網(wǎng)絡(luò)黑客攻擊的焦點。黑客往往利用電子商務(wù)系統(tǒng)中的種種安全性漏洞，竊取和破壞系統(tǒng)數(shù)據(jù)，甚至修改系統(tǒng)，對整個系統(tǒng)的正常運作造成嚴(yán)重危害。因此，一個成功的電子商務(wù)系統(tǒng)必須能有效的防止人為侵害。（3）傳輸層的安全漏洞。傳輸層的安全漏洞包括傳輸過程中的數(shù)據(jù)截獲電子商務(wù)系統(tǒng)中的數(shù)據(jù)在傳輸過程中可能受到截獲，傳輸過程中的數(shù)據(jù)完整性破壞以及跨平臺數(shù)據(jù)交換引起的數(shù)據(jù)丟失等三個方面的問題。（4）應(yīng)用層的安全漏洞。應(yīng)用層的安全漏洞包括冒充他人身份和抵賴已經(jīng)做過的交易兩個方面的問題。

2.電子商務(wù)安全要求與技術(shù)。電子商務(wù)安全要求主要有以下六點：（1）信息的有效性要求。電子形式貿(mào)易信息的有效性則是電子商務(wù)活動的前提。電子商務(wù)信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。一旦簽訂交易后，這項交易就應(yīng)受到保護(hù)以防止被篡改或偽造。（2）信息的保密性要求。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。電子商務(wù)是建立在開放的網(wǎng)絡(luò)環(huán)境上，維護(hù)商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。（3）信息的完整性要求。電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此，要預(yù)防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。（4）信息的不可抵賴性要求。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方，這一問題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。（5）交易身份的真實性要求。交易者身份的真實性是指交易雙方確實是存在的。網(wǎng)上交易的雙方要使交易成功，必須互相信任，確認(rèn)對方真實，對商家要考慮客戶是否有信譽。（6）系統(tǒng)的可靠性要求。電子商務(wù)系統(tǒng)的可靠性是指防止由于計算機失效、程序錯誤、傳輸錯誤、硬件故障、系統(tǒng)軟件錯誤、數(shù)據(jù)庫出錯、計算機病毒和自然災(zāi)害所產(chǎn)生的潛在威脅，并加以控制和預(yù)防，確保系統(tǒng)安全可靠性。保證計算機系統(tǒng)的安全是保證電子商務(wù)系統(tǒng)數(shù)據(jù)傳輸及電子商務(wù)完整性檢查的正確和可靠的根基。

通過使用以下四種電子商務(wù)安全密碼技術(shù)，可以基本滿足不同的電子商務(wù)安全需求。（1）完整性保護(hù)技術(shù)。完整性保護(hù)技術(shù)是用于提供消息認(rèn)證的安全機制。典型的完整性保護(hù)技術(shù)是消息認(rèn)證碼是將利用一個帶密鑰的雜湊函數(shù)對消息進(jìn)行計算，產(chǎn)生消息認(rèn)證碼，并將它附著在消息之后一起傳給接收方，接收方在收到消息后可以重新計算消息認(rèn)證碼，并將其與接收到的消息認(rèn)證碼進(jìn)行比較:如果它們相等，接收方就認(rèn)為消息沒有被篡改；如果它們不相等，接收方就知道消息在傳輸過程中被篡改了。（2）真實性保護(hù)技術(shù)。真實性保護(hù)技術(shù)用來確認(rèn)某一實體所聲稱的身份，以對抗假冒攻擊。在電子商務(wù)中，交易信息通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)，可能在傳輸過程有一定的延遲，需要通過數(shù)據(jù)源鑒別來確認(rèn)交易信息的真正來源。（3）機密性保護(hù)技術(shù)。機密性保護(hù)技術(shù)是為了防止敏感數(shù)據(jù)泄漏給那些未經(jīng)授權(quán)的實體。（4）抗抵賴技術(shù)?？沟仲嚰夹g(shù)是為了防止惡意主體事后否認(rèn)所發(fā)生的事實或行為。要解決上述問題，必須在每一事件發(fā)生時，留下關(guān)于該事件的不可否認(rèn)證據(jù)。當(dāng)出現(xiàn)糾紛時，可由可信第三方驗證這些留下的證據(jù).這些證據(jù)必須具有不可偽造或防篡改的特點。

三、電子商務(wù)安全審計

（一）電子商務(wù)安全外部審計

外部審計是指審計師對公司電子商務(wù)網(wǎng)站的安全工作進(jìn)行審計，對消費者提供數(shù)據(jù)安全、商業(yè)政策、交易完整、數(shù)據(jù)隱私等方面的審計。消費者可以通過查詢這些第三方組織的網(wǎng)站進(jìn)行了解。1998年美國注冊會計師協(xié)會（AICPA）先后成立的Elliott委員會和Cohen委員會，可以對電子商務(wù)的這方面內(nèi)容提供鑒證。AICPA對電子商務(wù)提供的保證服務(wù)主要分為兩個方面：完整性保證系統(tǒng)（Integrity Assurance System）：電子交易中的數(shù)據(jù)要素是各方同意達(dá)成的，并且在數(shù)據(jù)處理與存儲的過程中保持其完整性，沒有未經(jīng)授權(quán)的修改。安全性保證系統(tǒng)（SecurityAssuranceSystem）：交易雙方的身份驗證以及電子數(shù)據(jù)沒有未經(jīng)授權(quán)的泄漏。

（二）電子商務(wù)安全內(nèi)部審計

內(nèi)部審計的作用主要體現(xiàn)在對于電子商務(wù)公司內(nèi)部系統(tǒng)安全和財務(wù)風(fēng)險的管理上，主要包括兩個方面的內(nèi)容：對電子商務(wù)系統(tǒng)的技術(shù)審計；對電子商務(wù)公司的財務(wù)進(jìn)行審計。

1.技術(shù)審計。對電子商務(wù)系統(tǒng)進(jìn)行技術(shù)審計的主要內(nèi)容有三項：（1）紀(jì)錄、跟蹤系統(tǒng)的運行狀況。利用審計工具，監(jiān)視和紀(jì)錄系統(tǒng)的活動情況，如紀(jì)錄用戶登錄賬號、登錄時間、登錄的終端以及所訪問的文件、存取操作，并放人系統(tǒng)日志中保存在磁盤上，使影響系統(tǒng)安全性的存取以及其他非法操作留下線索，以便審查。（2）檢測各種安全事故。審計工具能檢測和判定對系統(tǒng)的攻擊，如多次使用非法口令登錄系統(tǒng)的嘗試，及時提供報警甚至自動處理，使系統(tǒng)安全管理人員能夠了解系統(tǒng)的運行情況，及時堵住非法入侵者。審計工具還能識別合法用戶的誤操作等。（3）保存、維護(hù)和管理審計日志。由于審計日志記錄了審計、跟蹤、檢測各種安全事件的結(jié)果，是查找、分析網(wǎng)絡(luò)系統(tǒng)安全事件的客觀依據(jù)，是重要的系統(tǒng)文檔，必須有可靠的存儲和管理機制。在現(xiàn)代的經(jīng)濟環(huán)境下對電子商務(wù)公司的財務(wù)進(jìn)行審計，其審計的職能已經(jīng)發(fā)生了根本性的變化。審計已經(jīng)從傳統(tǒng)的財務(wù)審計過渡到了風(fēng)險審計與內(nèi)部控制。因此，運用內(nèi)部審計可以很好地控制風(fēng)險的發(fā)生。

2.財務(wù)審計。對電子商務(wù)系統(tǒng)進(jìn)行財務(wù)審計的主要內(nèi)容有兩項：（1）對電子商務(wù)風(fēng)險設(shè)定非財務(wù)化監(jiān)測工具，這種工具可以是數(shù)量化的，也可以是非數(shù)量化的。比如實時監(jiān)測服務(wù)器訪問者數(shù)量，或者使用嗅探器工具網(wǎng)絡(luò)監(jiān)視工具對公司內(nèi)部網(wǎng)以及國際互聯(lián)網(wǎng)出口進(jìn)行監(jiān)測。（2）對電子商務(wù)風(fēng)險實行與商業(yè)風(fēng)險并行的另外一套防范方法，但是這種防范措施要與其他風(fēng)險的防范一起進(jìn)入風(fēng)險管理的總的成本與人員控制。

參考文獻(xiàn)：

[1] 劉艷慧.電子商務(wù)及其安全性研究與應(yīng)用[D].天津:天津大學(xué)，2008.

[2] 王鐵柱，等.中國電子商務(wù)安全性分析與研究[J].河北公安警察職業(yè)學(xué)院學(xué)報，2010，(3).