電子商務安全范例6篇

前言：中文期刊網精心挑選了電子商務安全范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

電子商務安全范文1

關鍵詞：電子商務；身份認證；防火墻

1 引言

電子商務可以增加銷售額并降低成本的優勢，使得政府與企業都十分重視并推動電子商務的建設和發展。電子商務發展到今天，主要問題在于時空的分離導致了安全問題的出現，信息的安全性是當前發展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題，特別是針對企業自身情況，充分借鑒以往電子商務系統開發的先進技術和經驗，開發出符合企業特殊的電子商務系統，已經成為目前發展電子商務的關鍵，而安全體系的構建顯得尤為重要。

2 電子商務的主要安全要素

目前電子商務工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性，即應保證在基于Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看，傳統的買賣雙方是面對面的，因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中，買賣雙方是通過網絡來聯系，由于距離的限制，因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現，電子商務交易雙方（銷售者和消費者）都面臨安全威脅，電子商務的安全要素主要體現在以下幾個方面：

2.1 信息真實性、有效性

電子商務以電子形式取代了紙張，如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式，其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。

2.2 信息機密性

電子商務作為貿易的一種手段，其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的，商業防泄密是電子商務全面推廣應用的重要保障。

3.3 信息完整性

電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此，電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕；不可否認要求即是能建立有效的責任機制，防止實體否認其行為；可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴，確定合同、契約、單據的可靠性并預防抵賴行為的發生。

在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在1nternet 上每個人都是匿名的，電子商務系統應充分保證原發方在發送數據后不能抵賴；接收方在接收數據后也不能抵賴。

3 電子商務安全系統

網絡安全是電子商務的基礎。為了保證電子商務交易能順利進行，要求電子商務平臺要穩定可靠，能不中斷地提供服務。任何系統的中斷，如硬件、軟件錯誤，網絡故障、病毒等都可能導致電子商務系統不能正常工作，而使貿易數據在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經濟損失。

所以就整個電子商務安全系統而言，安全性可以劃分為四個層次，

1) 網絡節點的安全

2) 通訊的安全性

3) 應用程序的安全性

4) 用戶的認證管理

其中2、3、4 是通過操作系統和Web 服務器軟件實現，而網絡節點的安全性依靠防火墻保證，我們應該首先保證網絡節點的安全性。

3.1 網絡節點的安全

防火墻是一種由計算機硬件和軟件的組合，使互聯網與內部網之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入，它其實就是一個把互聯網與內部網（通常指局域網或城域網）隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊，為電子商務的施展提供個相對更安全的平臺。

防火墻是在連接Internet 和Intranet 保證安全最為有效的方法，防火墻能夠有效地監視網絡的通信信息，并記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet 系統。應給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源，這種安全策略應包括：規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統，而沒有全面的安全策略，那么防火墻就形同虛設。

3.2 通訊的安全

在客戶端瀏覽器和電子商務WEB 服務器之間采用SSL 協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40 位加密強度，也可以考慮將加密強度增加到128 位。為在瀏覽器和服務器之間建立安全機制，SSL 首先要求服務器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（CA中心）簽發。瀏覽器要驗征服務器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（PKI）。建立SSL 鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL 鏈接時客戶只需用戶下載該站點的服務器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法（RSA）與服務器協商一個對稱算法及密鑰，然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。

3.3 應用程序的安全性

即使正確地配置了訪問控制規則，要滿足計算機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字符串的內存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。

3.4 用戶的認證管理

1) 身份認證

電子商務企業用戶身份認證可以通過服務器CA 證書與IC 卡相結合實現的。CA 證書用來認證服務器的身份，IC 卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID 號和密碼口令的身份確認機制。

2) CA 證書

要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA 證書，它由認證授權中心（CA 中心）發行。認證中心（CA）就是承擔網上安全交易認證服務，能簽發數字證書，并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構，主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA 中心一般是社會公認的可靠組織，它對個人、組織進行審核后，為其發放數字證書，證書分為服務器證書和個人證書。建立SSL 安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL 鏈接時客戶只需用戶下載該站點的服務器證書（下載可以在訪問之前或訪問時進行）。

3) 安全套接層SSL 協議

安全套接層SSL 協議是Netscape 公司在網絡傳輸層與應用層之間提供的一種基于RSA 和保密密鑰的用于瀏覽器與Web 服務器之間的安全連接技術。

SSL 通過數字簽名和數字證書來實行身份驗證，數字證書是從認證機構（CA，Certificate Authority）獲得的，通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后，雙方就可以用保密密鑰進行安全的會話了。

SSL 協議在應用層收發數據前，協商加密算法、連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應用協議（如Http、Ftp、Telnet 等）以保證應用層數據傳輸的安全性。

SSL 協議握手流程由兩個階段組成：服務器認證和用戶認證。

①服務器認證

客戶端向服務器發送一個“Hello”信息，以便開始一個新的會話連接；服務器根據客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據收到的服務器響應信息，產生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數據進行加密來認證服務器，從而建立安全的通信通道。

②用戶認證

經認證的服務器發送一個提問給客戶，客戶則返回數字簽名后的提問和其公開密鑰，從而向服務器提供認證。SSL 協議支持各種加密算法，實現簡單，獨立于應用層協議，且被大部分瀏覽器和Web 服務器內置，便于在電子交易中應用。但SSL 是一個面向連接的協議，起初并不是為了支持電子商務而設計的，只能提供交易中客戶與服務器間的雙方認證，在涉及多方的電子交易中，SSL 協議不能協調各方面的安全傳輸和信任關系。為此，開發出了在網絡應用層中專為電子商務而設計的SET 協議。

4 安全管理

為了確保系統的安全性，除了采用上述技術手段外，還必須建立嚴格的內部安全機制。對于所有接觸系統的人員，按其職責設定其訪問系統的最小權限。按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶帳號和密碼。

建立網絡安全維護日志，記錄與安全性相關的信息及事件，有情況出現時便于跟蹤查詢。定期檢查日志，以便及時發現潛在的安全威脅。

對于重要數據要及時進行備份，且對數據庫中存放的數據，數據庫系統應視其重要性提供不同級別的數據加密。

5 結束語

安全實際上就是一種風險管理。任何技術手段都不能保證1OO％的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手，僅在技術角度防范是遠遠不夠的。安全只是相對的，而不是絕對的。因此，為進一步促進電子商務體系的完善和行業的健康快速發展，必須在實際運用中解決電子商務中出現的各類問題，使電子商務系統相對更安全。

參考文獻

[1] 吳洋.電子商務安全方法研究[D].天津大學， 2006.

[2] 李艷.電子商務信息安全策略研究[J].甘肅科技， 2005，(06)

電子商務安全范文2

關鍵詞：電子商務；安全技術

電子商務不同于傳統的經濟交易模式，是一種依托計算機技術與互聯網平臺而建立起來的新型交易模式。電子商務提供給消費者更多的消費選擇、更豐富的消費種類以及更方便快捷的交易方式。近年來，電子商務在我國乃至全球都處于一種高速發展的態勢，與此同時，由于電子商務建立在互聯網這樣一個開放的交流平臺上，利用現代信息技術，交易方之間的聯系相比傳統的交易方式也更加多樣且密切?；ヂ摼W本身就存在各種安全問題，電子商務的安全問題也就越來越突出。牽一發而動全身，網絡交易中出現的安全問題會使小至個人交易，大至國家金融都受到威脅。提高電子商務的安全性迫在眉睫。

1電子商務的安全問題

在電子商務發展的過程中最主要的一個問題就是要切實保障交易雙方在交易過程中的安全性。目前我國電子商務的安全技術比較落后，缺乏國際水平的安全技術的加持。設備體系不夠健全、完善。保證安全性的產品技術不過硬，不能夠適應越來越復雜的電子交易環境。在電子商務的發展過程中，容易出現各種人為導致或自然產生的機器與系統故障，以及來自內部和外部的病毒入侵。嚴重影響到電子商務的安全。在交易過程中，則存在買賣雙方的欺詐行為，各種不良交易方式與投機手段，對買家的個人信息進行竊取，不承認交易事項等。

2電子商務安全的要素

1）有效性。電子商務的發展需要我們對更多的經濟事項予以確認。信息的有效性保證到交易過程中每一位參與者的利益。要對信息技術與網絡過程中的問題與故障做到有效、及時的預防與處理，防止各種病毒的入侵，技術故障對正常交易的影響。并保證交易過程中數據等的有效性。2）機密性。傳統的交易模式中，信息之間有著可靠的交換渠道。互聯網是一個開放的平臺，在此平臺運作的電子商務更需要提高自身的機密性，電子系統將信息進行加密，對信息的傳送過程更嚴格的監控，以預防信息隨時被不法分子攔截。3）可靠性。傳統的交易中。交易雙方的交易有簽名、印章等來保證交易的真實性與可靠性。在電子交易中，交易則突破了空間的界限，不能通過太多保證性質的契約來確保交易的可靠性。電子商務系統要為交易雙方提供可以檢驗對方具體情況的體系，來驗證雙方的真實性。為電子交易保駕護航。

3電子商務的安全技術

電子商務的發展依賴于互聯網環境，而互聯網中常常發生各種不可控的安全問題。電子商務發展的不斷深入也需要其提高自身的安全性，下面的各項技術對提高電子商務的安全性有很大的幫助。1）加密技術。作為電子商務中基礎的安全技術，加密技術分為對稱加密和非對稱加密。對稱加密就是使用相同的加密算法，將專用的密匙交換。在密匙交換的過程中要保證交易雙方的交易信息沒有外泄。非對稱密匙則分為公開密匙和私有密匙。公開密匙對外公布，私有密匙的信息由密匙者保管。得到公開密匙的用戶可以將加密信息發送給密匙的者，跟據加密信息將公開密匙與私有密匙解密。對稱密匙的優點是加密速度快，但是在密匙傳達過程中容易被不法分子攔截、破解。非對稱密匙的算法難度系數高，效率比較低，但是保密性則優于對稱加密。2）防火墻技術。防火墻技術就是在網絡之間建立一個保護層，對網絡之間的訪問進行監管與控制，內部網絡與外部網絡之間的任何聯系與交流都需要受到保護層的監控，使防火墻內的網絡免受外部不安全的服務和非法信息的攻擊與入侵，在內部網絡之外形成一道防火墻來保證內部網絡的安全與順暢。3）數字摘要。數字摘要就是使用函數將加密的明文摘要成固定長度的密文。密文與明文相互關聯，不同的明文加密為不同的密文，相同的密文數字摘要也相同。收到信息之后利用方法計算出結果，如果計算結果與摘要相同，通過數字摘要就可以檢測出接收到的明文是否是原始的有沒有經過改動。從而確保信息的完整性與真實性。4）數字簽名。數字簽名是發送方從報文文本中生成一個散列值，利用公開密匙的計算方法與散列函數，將散列值加密形成數字簽名。再將數字簽名傳輸給接受方，接收方根據內容計算出散列值，再用發送方的公開密匙對報文的數字簽名進行解密，若散列值一致，則說明接收方接收到了來自發送方的數字簽名。通過數字簽名可以對電子商務交易事項的真實性做出判斷。5）數字憑證。數字憑證是利用電子手段來判斷用戶的身份，在電子交易過程中，雙方利用各自的數字憑證來進行各項操作。公匙對應各自的數字證書，私匙則通過安全的方式傳給用戶。在憑證中，常用的是個人憑證與企業憑證，個人憑證在單人用戶的電子商務交易過程中保障其的安全，擁有企業憑證的企業則可以通過網絡服務器，來進行安全的電子商務交易。6）數字信封。數字信封則是對數據進行加密。SET消息發送時，利用DES密匙將SET消息進行加密，并用公匙把密匙加密，形成數字信封，將信息一起發送給接受者。私人密匙只有接受者才能得到，數字信封中的信息也只有接受者才能看到。數字信封加大了安全性能，保障了信息的私密性。7）CA認證。在以上各安全措施得以順利進行的過程中，需要一個第三方認證機構的參與。CA認證中心就是這樣一個具有權威性的認證機構。電子商務交易過程中的用戶在申請數字證書的時候，CA認證中心就對各用戶的具體情況進行檢查與核實，提供身份認證服務，達到申請條件的用戶則頒發數字證書。認證中心只掌握用戶的公開密匙，使認證中心自身的安全性得到保障。

4結語

現代經濟的不斷發展與進步也會催生越來越多的經濟交易新模式。電子商務在目前的經濟發展領域與互聯網發展領域中都占有越來越重要的地位。建立一套完整的電子商務安全體系，保證交易事項單位順利進行，保障交易參與者的利益，提高電子商務的安全性。使我國的電子商務能更快、更好、更安全的發展。

作者:張云青 單位:長春信息技術職業學院

參考文獻：

[1]孫曉茹.當前電子商務安全技術的研究及發展趨勢[J].商場現代化,2013,(26):75.

電子商務安全范文3

[關鍵詞] 電子商務 加密技術 認證技術 安全策略

隨著互聯網的不斷發展,電子商務作為網絡和商業結合的產物,正在靠近人們的生活,越來越引起更多人的關注。然而,由于互聯網的開放性和匿名性,不可避免的存在許多安全隱患。在電子商務中,安全性是必須考慮的核心問題,要求網絡能夠提供安全的解決方案。

一、電子商務安全問題

電子商務在這樣開放的Internet網絡環境中,時時處處受到安全的威脅,其安全威脅可分為以下四大類:1.信息的截獲和竊取:如沒有采取加密措施或加密強度不夠,攻擊者通過采用各種手段非法獲得用戶機密的信息。2.信息的篡改:攻擊者利用各種技術和手段對網絡中的信息進行中途修改,并發往目的地,從而破壞信息的完整性。3.信息假冒:攻擊者通過掌握網絡信息數據規律或解密商務信息后,假冒合法用戶或發送假冒信息來欺騙其用戶。4.交易抵賴:指交易單方或雙方否認曾進行的交易行為。

電子商務面臨的安全威脅的出現導致了對電子商務安全的需求，主要包括機密性、完整性、認證性和不可抵賴性、有效性五個方面。

二、電子商務安全技術

用于電子商務安全的技術主要包括加密技術、認證技術和電子商務安全協議，防火墻技術等。

1.加密技術

為保證數據和交易的安全、防止欺騙，確認交易雙方的真實身份，電子商務須采用加密技術，加密技術是指通過使用代碼或密碼來保障數據的安全性。欲加密的數據稱為明文，明文經過某種加密算法作用后，轉換成密文，我們將明文換為密文的這一過程稱為加密，將密文經解密算法作用后形成明文輸出的這一程稱為解密。加密算法中使用的參數稱為密鑰。密鑰長度越長，密鑰的空間就大，遍歷密鑰空間所花的時間就越多，破譯的可能性就越小。加密技術可以分為兩類:對稱加密技術和非對稱加密技術。對稱加密技術以數據加密標準DES (Data Encryption Standard)算法為典型代表。非對稱加密技術通常以RSA(Rivest Shamir Adleman)算法為代表。

2.認證技術

常用的安全認證技術有：

(1)數字簽名。簽名是用來保證文檔的真實性、有效性的一種措施,如同出示手寫簽名一樣。實現方式是把散列函數和公開密鑰算法結合起來,發送方從報文文本中生成一個散列值,并用自己的私有密鑰對這個散列值進行加密,形成發送方的數字簽名;然后將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密;如果這兩個散列值相同,那么接收方就能確認該數字簽名是發送方的。

(2)數字證書。數字證書就是認證中心為交易各方頒發的身份憑證,它是一個經CA數字簽名的、包含證書申請者(公開密鑰擁有者)個人信息及其公開密鑰的文件?；诠_密鑰體制(PKI)的數字證書是用來確認安全電子商務交易雙方身份的工具,由于它由證書管理中心作了數字簽名,因此任何第三方都無法修改證書的內容。任何交易雙方只有申請到相應的數字證書,才能參加安全電子商務的網上交易。

(3)數字時間戳。為了防止在電子交易中文件簽署的時間信息被修改,數字時間戳提供了相應的安全保護。數字時間戳服務(DTS)是由專門的機構提供的。數字時間戳是一個經加密處理后形成的憑證文檔,它包括3個部分:需加時間戳的文件摘要;DTS機構收到文件的日期和時間;DTS機構的數字簽名。

3.電子商務安全協議

目前電子商務安全協議主要有SSL協議和SET協議。

(1)SSL協議

SSL安全套接層協議是Netscape公司1995年推出的一種安全通信協議。SSL提供了兩臺計算機之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸。SSL協議并不是專門針對電子商務開發的，它是一種廣泛應用于服務器和客戶機之間相互認證并建立加密的通信連接的協議。但是目前，大多數的電子商務網站和開展網上業務的銀行均采用這種方式來保證交易的安全性。

(2)SET協議

SET即安全電子交易協議，是美國Visa和MasterCard兩大信用卡組織聯合其他一些業界廠商制定的一個能保證在開放網絡（包括Internet）上進行安全支付的技術標準。SET協議針對開放網絡上安全、有效的銀行卡交易，為Internet上卡支付交易提供高層的安全和反欺詐保證.SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以確保支付信息的保密性、支付過程的完整性、商家及持卡人身份的合法性以及可操作性。SET得到了IBM、HP、Microsoft、Netscape等很多公司的支持并已作為開放的工業標準。

4.防火墻技術

防火墻是加強Internet和Intranet之間安全防范的、由硬件設備和軟件系統組成的、在外部網和內部網之間的界面上構成的保護層。防火墻可以確定哪些內部服務允許外部訪問，哪些外部服務可以由內部人員訪問，可以用來控制網絡內外的信息交流，提供接入控制和審查跟蹤。為了發揮防火墻的作用，來自和發往Internet的所有信息必須經由防火墻出入，防火墻禁止Internet中未經授權的用戶入侵，由它保護的計算機系統，它只允許授權信息通過，自身則不能被滲透。

5.VPN技術

虛擬專用網絡是企業網在因特網等公共網絡上的延伸。虛擬專用網技術（VPN）是通過公共網絡建立的一個提供數據加密，訪問控制及認證服務的臨時、安全的連接。由于它可以在兩個系統中建立安全的信道，非常適合電子數據交換（EDI）。在虛擬專用網中交易雙方相互比較熟悉，而且彼此之間的數據通信量很大。只要交易雙方取得一致，在虛擬專用網中就可以使用比較復雜的專用加密和認證技術，這樣就可以大大提高電子商務的安全。虛擬專用網是進行電子商務比較理想的一種形式

三、電子商務安全策略

電子商務的安全體系結構是保證電子商務中數據安全的一個完整的邏輯結構，由網絡服務層、加密技術層、安全認證層、安全協議層、應用系統層五個部分組成，如圖3.1所示。

電子商務安全體系結構圖

針對電子商務的各層次安全需求，本方案的主要思想是通過在網絡層、應用層上采用各種成熟的安全技術來解決相關的安全需求。

1.網絡層安全解決方案

（1）要保證電子商務的網絡結構不能被攻破。防火墻系統的實現技術主要分為分組過濾(Packet Filter)和服務(Proxy Service)兩種。同時，服務器對正常途徑的服務和可能的攻擊均有日志記錄，使得安全更有保障。但防火墻最大的問題是沒有一套身份認證和授權管理系統。對于貿易伙伴間或大型企業跨地區的各分支機構間的數據傳輸過程，要實施安全護，目前最實用的技術是VPN。VPN產品可以基于公共的IP網絡環境進行組網，使用戶感覺在公網上獨占信道，也是隧道的概念。在產品形態上是專有硬件，嵌入式操作系統，專用加密算法。在性能上可以允許上千對通道，網絡加密速度達到很高。有的VPN產品將防火墻功能結合在一起形成安全網關。在分布式環境中，按點到點方式安裝VPN產品，可以保證數據的加密傳輸。

（2）要求對攻擊能夠及時預警。對于電子商務這種關鍵應用，在網絡應有安全檢測措施，主要是預防黑客的攻擊。這種預防是主動的，在網絡運行之前和運當中通過不斷的自測、自檢來發現問題，然后及時采取補救措施。安全檢測的具體功能包括兩個方面：一是檢測網絡的安全漏洞，再者是檢測系統配置錯誤，入侵檢測系統（IDS）可分為兩類：基于主機和基于網絡?；谥鳈C的入侵檢測系統用于保關鍵應用的服務器，實時監視可疑的連接、系統日志檢查、非法訪問的闖入等，并且提對典型應用的監視，如Web服務器應用?；诰W絡的入侵檢測系統則主要用于實時監控絡關鍵路徑的信息。針對電子商務實際應用，建議采用基于主機的IDS，將其安裝在非軍事化區中，主檢測針對安全的攻擊。

（3）要能防殺病毒。防病毒產品包括網絡防病毒產品和主機防病毒產品。主機防病毒產品只能對單一主機進行保護，而網絡防病毒產品通過在網絡入口實施內容檢查過濾，可以防止病毒通過郵件、FTP等方式從Internet進入企業網。

（4）要保證內網和Internet安全連接。企業在防火墻外將建立獨立的Web服務器和郵件服務器供企業外部訪問用，同時在防火墻與企業內部網(Intarnet)之間，將有一臺服務器。該服務器的功能有兩個，一是安全功能，即通過服務器，可以屏蔽企業內部網內服務器或CP機;二是緩沖功能，服務器可以保存經常訪問的互聯網上的信息，當CP機訪問互聯網時，如果被訪問的信息存放在服務器的緩沖區中，那么服務器可以直接從其緩沖區中把信息直接送到CP機上，而不用再次去執行相應的網絡操作。這樣，就可以省去對互聯網的再一次訪問，可以節省費用。

2.應用層安全解決方案

(1)建立全局的電子身份認證系統；在電子商務應用方案和安全解決方案中，一定要配備認證中心（CA，ertificationAuthority）設施，為會員客戶頒發代表身份的CA證書。

(2)對全局資源的統一管理，在身份認證和資源管理基礎之上，實現全局的統一授權管理，就是說對全局用戶和資源進行集中的授權管理；

(3)信息傳輸加密，這里包括兩個方面一類是數據的完整性，是指數據本身是不能改寫的，你可以看到但是不能去改動它；第二類是數據的保密性，數據不可竊聽，通過加密來完成；

(4)實現審計記錄和統計分析。先要建立一套事件發生的記錄體制，在這個體制之上我們對記錄信息進行統計分析，得來我們所需的各方面的信息。一般來管理級別越高，所擁有的數據保密要求也越高，而某些用戶涉及的數據可能不需要任何別的加密。因此，電子商務系統應以采用端對端加密方式為主，根據具體情況輔以鏈路密方式，這樣就可以根據需要對網中的數據有選擇地采取不同級別的加密保護。

四、結束語

現代電子商務面臨計算機網絡安全與商務安全的雙重要求，電子商務安全的復雜程度比大多數計算機網絡更高，一方面電子商務中的安全技術在不斷得到完善，另一方面網絡攻擊的手段也越來越先進。隨著電子商務的不斷發展，電子商務中的安全問題和安全技術必將得到持續的關注和研究。同時一個完善的電子商務系統在保證技術的前提下,還與國家法律政策、誠信等級制度、物流部門密切相關。因此電子商務安全體系的建立和實施是一個復雜的社會系統工程，因篇幅關系，本文僅從技術上加以研究。

參考文獻:

[1]楊鼎新李恒杰緱婷:《電子商務教程》[M].蘭州:蘭州大學出版社.2006

電子商務安全范文4

關鍵詞：電子商務；安全措施；探討

1引言

電子商務是通過電子方式處理和傳遞數據，它涉及許多方面的活動，包括貨物電子貿易和服務、在線數據傳遞、電子資金劃拔、電子證券交易、商業拍賣、合作設計和工程、在線資料、公共產品獲得等內容。電子商務的發展勢頭非常驚人，但它的產值在全球生產總值中卻只占極小的份額，其原因就在于電子商務的安全問題，根據美國一個調查機構對近30000名因特網用戶的調查顯示，由于擔心電子商務的安全性問題，超過60%的網民不愿意進行網上交易，因此，如何建立一個安全、便捷的電子商務應用環境，對信息提供足夠的保護，已經成為影響到電子商務健康發展的關鍵性課題。

2電子商務對安全的要求

對電子商務活動安全性的需求以及可使用的網絡安全措施，主要包含如下幾方面。

(1)如何確定通信中的貿易伙伴的真實性？常用的處理技術是身份認證，依賴某個可信賴的機構發放證書，雙方交換信息之前通過CA獲取對方的證書，并以此識別對方。

(2)如何保證電子單證的秘密性，防范電子單證的內容被第三方讀取?常用的處理技術是數據加密和解密。

(3)如何保證被傳輸的業務單證不會丟失，或者發送方可以察覺所發單證的丟失?對于固定且具有頻繁貿易往來的伙伴，可以采用單證傳輸的序列性檢驗；也可采用雙方約定的方法（即在規定的時間內，通過某種方式進行確認）。

(4)如何確定電子單證的內容未被篡改；單證傳輸完整性主要采用散列技術來防止非法用戶對單證的篡改，通過散列算法對被傳輸的單證進行處理，產生一個依賴于該單證的短小的散列值，并將該散列值附接在單證之后傳輸給接收方。以便接收方采用相同的散列算法對接收的單證進行檢驗。

(5)如何確定電子單證的真實性？鑒別單證真實性的主要手段是數字簽名技術，其基礎是數據加密中的公開密鑰加密技術，實用中常結合單證完整性一起考慮，利用發送方的密鑰對散列值進行加密。

(6)如何解決或者仲裁收發雙方對交換的單證所產生的爭議，包括發方或收方可能的否認或抵賴?通常要求引入認證中心進行管理，由CA發放密鑰，傳輸的單證及其簽名的備份發至CA保存，作為可能爭議的仲裁依據。

(7)如何保證存儲信息的安全性?如何規范內部管理？如何使用訪問控制權限和日志以及敏感信息加密存儲?當使用WWW服務器支持電子商務活動時，應注意數據的備份和恢復，并采用防火墻技術來保護內部網絡的安全性。

3電子商務采用的主要安全技術

為了確保電子商務在交易過程中信息有效、真實、可靠且保密，目前主要采用的安全技術有加密技術、身份認證技術和交易的安全認證協議。安全認證協議用來保證電子商務中交易的安全性，如set、ssl、s/mime、s-http等。下面我們主要來介紹這些技術。

3.1加密技術

加密技術是電子商務系統所采取的最基本的安全措施，加密的主要目的是防止信息的非授權泄漏。密碼算法是一些數學公式、法則或程序，算法中的可變參數是密鑰。根據密碼算法所使用的加密密鑰和解密密鑰是否相同，能否由加密密鑰推導出解密密鑰，可以將密碼算法分為對稱密碼算法和非對稱密碼算法。一般來說，在一個加密系統中，信息使用加密密鑰加密后，接收方使用解密密鑰對密文解密得到原文。

3.1.1對稱加密/對稱密鑰加密

在對稱加密方法中，對信息的加密和解密都使用相同的密鑰，即一把鑰匙開一把鎖。這樣可以簡化加密的處理，每個交易方都不必彼此研究和交換專用的加密算法。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發生私有密鑰泄漏，那么機密性和報文完整性就可以得以保證。這樣密鑰安全交換是關系到對稱加密有效的核心環節。而對稱加密技術存在著在通信的交易各方之間確保密鑰安全交換的問題。對稱加密方式存在的另一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享同一把專用密鑰，貿易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。目前常用的對稱加密算法有DES、PCR、IDEA等。其中DES使用最普遍，被采用為數據加密的標準。

3.1.2非對稱加密/公開密鑰加密

在非對稱加密體系中,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把私有密鑰或解密密鑰)。密鑰對生成后，公開密鑰以非保密方式對外公開，只對應于生成該密鑰的者；私有密鑰則保存在密鑰方手中。任何得到公開密鑰的用戶都可使用該密鑰加密信息發送給該公開密鑰的者，而者得到加密信息后，使用與公開密鑰相應對的私有密鑰進行解密。由此可知，公開密鑰用于對機密性的加密，私有密鑰則用于對加密信息的解密。目前常用的非對稱加密算法是RSA算法。它是非對稱加密領域內最為著名的算法，但是它存在的主要問題是算法的運算速度較慢，并且也難以做到一次一密。因此，在實際的應用中通常不采用這一算法對信息量大的信息進行加密。對于加密量大的應用，公開密鑰加密算法通常用于對稱加密方法密鑰的加密。

3.2身份認證技術

身份認證技術保證電子商務安全不可缺少的又一重要技術手段。常見的安全認證技術有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等技術。

3.2.1數字摘要

數字摘要是一種防止數據被改動的方法，它采用單向HASH函數將需要加密的文件中若干重要元素進行某種變換運算得到固定長度的摘要碼，并在傳輸信息時將之加入文件一同送給接收方，接收方收到文件后，用相同的方法進行變換運算，若得到的結果與發送來的摘要碼相同，則可斷定文件未被篡改，反之亦然。在數字摘要中HASH函數的輸入可以是任意大小的文件消息，而輸出是一個固定長度的摘要。且摘要有這樣一個性質，如果改變了輸入消息中的任何東西，甚至只有一位，輸出的摘要將會發生不可預測的改變，故而常用數字摘要來判定信息是否被篡改的一項重要技術。

3.2.2數字信封

在大批數據加密中所使用的對稱密碼是隨機產生的，而接收方也需要此密碼才能對消息進行正確的解密。對稱密鑰的傳遞需要加密進行，即發送方用接收方的公鑰加密此對稱密鑰。這樣只有接收方用自己的私鑰才能正確地解密此對稱密鑰，從而正確地解密消息。這種加密傳送密鑰的方法稱為數字信封。數字信封技術可以保證接收方的唯一性。即使信息在傳送途中被監聽或截獲，由干第三方并沒有接收方的密鑰，也不能對信息進行正確的解密。

3.2.3數字簽名

數字簽名能夠實現對原始報文的鑒別與驗證，保證報文的完整性、權威性和發送者對所發報文的不可抵賴性。在實際生活中，簽名通常采用書面形式，由甲乙雙方完成，在網絡環境下，可以用電子簽名作為模擬。

數字簽名是將數字摘要和公鑰算法兩種加密方法結合起來使用，其可以在提供數據完整性的同時保證數據的真實性。完整性保證傳輸的數據未被篡改，真屬性則保證傳輸過來的數據是由合法者產生的，而不是由其他人假冒。如假設用戶A要寄信給用戶B，他們互相知道對方的公鑰，A用自己的私鑰將簽名內容加密，附加在郵件中，再用B的公鑰將整個郵件加密（注意這里的次序，如果先加密再簽名的話，別人可以將簽名去掉后簽上自己的簽名，從而篡改了簽名）。這樣這份密文被B收到后，B用自己的私鑰將郵件解密，得到A的原文和數字簽名，然后用A的公鑰解密簽名，這樣一來就保兩方面的安全了。

3.2.4數字時間戳

在電子商務的交易文件中，時間是一條重要的信息，文件的簽署日期和簽名一樣均是防止文件被偽造和篡改的關鍵性內容。為了防止在電子交易中，文件簽署的時間信息被修改，數字時間戳提供了相應的安全保護。數字時間戳服務（DTS）是由專門的機構提供的。數字時間戳是一個經加密處理后形成的憑證文檔，它包括三個部分：需加時間戳的文件摘要；DTS機構收到文件的日期和時間；DTS機構的數字簽名。

3.2.5數字證書

數字證書是由證書授權中心CA管理和發放的。CA是數字證書的最高管理機構，是安全電子交易的核心環節。它作為電子商務交易中中立的、受信任的、可仲裁的第三方，也是為了解決電子商務中，交易雙方的信息和身份驗證問題，從根本上保障電子商務交易活動順利進行而設立的。在交易支付的過程中，參與各方為了證實自己的身份，需到第三方即認證中心（CA）去認證。數字證書就是認證中心為交易各方頒發的身份憑證。它是一個經CA數字簽名的、包含證書申請者（公開密鑰擁有者）個人信息及其公開密鑰的文件。任何交易雙方只有申請到相應的數字證書，才能參加安全電子商務的網上交易。

3.3安全認證協議

目前電子商務中有兩種安全認證協議被廣泛使用，即安全套接層SSL協議和安全電子交易SET協議。

3.3.1SSL協議

SSL安全協議的中文全稱是“加密套接字協議層”，最初由Netscape公司推出的一種基于RSA和保密密鑰的安全通信協議，是目前使用最廣泛的電子商務協議。該協議位于HTTP協議層和TCP協議層之間，向基于TCP/IP的客戶/服務器應用程序，提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施。該協議在應用程序進行數據交換前，通過交換SSL初始握手信息來實現有關安全特性的審查。SSL協議可內置于用戶瀏覽器和商家的服務器中，能方便而低開銷地進行信息加密，多用于WEB信用卡的傳送。這樣利用它能夠對信用卡和個人信息提供較強的保護。

SSL協議運行的基點是商家對客戶信息保密的承諾?？蛻舻男畔⑼紫葌鞯缴碳?，商家閱讀后再傳到銀行；這樣，客戶資料的安全性便受到威脅。另外，整個過程只有商家對客戶的認證，缺少客戶對商家的認證，不能防止商家利用獲取的信用卡號進行欺詐。隨著電子商務與廠商的迅速增加，對廠商的認證問題越來越突出，SSL協議的缺點則越加明顯。SSL協議逐漸被新的SET協議所取代。

3.3.2SET協議

SET協議的中文全稱“安全電子交易協議”，它向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。它是由Vsia國際組織和Mastercard組織聯合國際上多家科技機構，共同制定的應用于INTERNET上的以銀行卡為基礎進行在線交易的安全技術標準。它采用公鑰密碼體制和X.509數字證書標準，主要應用于保障網上購物信息的安全性。SET主要由3個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證。它可以對交易各方進行認證，可防止商家身份的欺詐。為了進一步加強安全性，使用兩組密鑰對分別用于加密和簽名，通過雙簽名機制將訂購信息同賬戶信息鏈在一起簽名。由于設計較為合理，得到了諸如微軟公司、IBM公司、Netscape公司等大公司的支持，已成為實際上工業技術標準。

SET協議的不足之處在于協議復雜，且只適用于用戶安裝了“電子錢包”的場合。根據統計，在一個典型的SET交易過程中，需驗證數字證書9次，驗證數字簽名6次；需傳送證書7次，進行5次簽名、4次對稱加密和4次非對稱加密；整個交易過程可能會花費1.5～2分鐘。

4電子商務安全需要進一步完善的配套措施

電子商務要真正成為一種主導的商務模式，尤其對發展中的中國來說，發展電子商務，就必須從以下幾個方面來完善配套措施：

(1)突破關鍵技術受制于人的瓶頸。當前不僅國內幾乎所有的主機、交換機、路由器、網絡操作系統都來自國外，而且美國對出口別國的產品實行密鑰信前控制和長密鑰限制，因此我們必須依靠自身的力量研制自己的加密算法，以保證中國電子商務的正常發展。

(2)我國應盡快對電子商務的有關細則進行立法。當前大多數人信息安全意識淡薄，以銀行和金融界來看，大家對安全方面的重視還不夠，由于有關電子商務的立法和管理剛剛開始，有人開玩笑說“電子商務目前是個‘三無’行業：無法可依、無安全可言、無規可循”，當然這種說法欠妥，但目前我國關于網絡安全的法律的確還有待完善。

(3)大力開發大型商務網站、發展與之相配套的物流公司。目前我國的電子商務沒有真正深入商務領域而僅僅局限于信息領域，這必將影響我國電子商務進一步的發展。

參考文獻：

[1]周明,黃元江,李建設.株洲工學院學報[J].電子商務中的安全技術研究,2005.1.

[2]張娟.甘肅科技縱橫[M].電子商務網絡安全技術探究,2005.4.

[3]趙乃真.電子商務技術與應用[M].中國鐵道出版社,2003.

電子商務安全范文5

關鍵詞：電子商務 安全問題 安全策略

中圖分類號：G642 文獻標識碼：A 文章編號：1672-8882（2012）10-047-01

1.引言

電子商務作為一種全新的業務和服務方式為全球客戶提供了豐富的商務信息、簡捷的交易過程和低廉的交易成本，這種商務活動模式正在被全世界的人們所關注和青睞。但是，電子商務的安全性也制約了它的發展，安全問題已經成為電子商務推進中的最大障礙。

2.電子商務的安全問題

電子商務系統從一定意義上來講就是一種計算機信息系統，信息系統安全主要是網絡的信息安全，從這個角度來闡述電子商務系統的安全問題的根源，則主要包含以下幾個方面物理安全、方案設計的缺陷、系統的安全漏洞和人的因素等幾個方面。

2.1物理安全問題

物理安全問題主要包括物理設備本身的問題、設備的位置安全、限制物理訪問、物理環境安全和地域因素等。物理設備的安全威脅包括溫度、濕度、灰塵、供電系統對系統運行可靠性的影響，由于電磁輻射造成信息泄露，自然災害如地震、閃電、風暴等對系統的破壞。設備的位置極為重要，所有的基礎網絡設施都應該放置在嚴格限制來訪人員的地方，以降低出現未經授權訪問的可能性。如果物理設備擺放不當，受到攻擊者對物理設備的故意破壞，其他的安全措施都沒有用。還要嚴格限制對接線柜和關鍵網絡基礎設施所在地的物理訪問，除非經過授權或因工作需要而必須訪問之外，禁止對這些區域的訪問。地域因素，互聯網往往跨越城際、國際，地理位置錯綜復雜，通信線路質量難以保證，會給上傳信息造成損壞、丟失，也給“搭線竊聽”的黑客以可乘之機，增加更多的安全隱患。

2.2方案設計的缺陷

在實際中，網絡結構比較復雜，會包含星型、總線和環型等各種拓撲結構，結構的復雜給網絡系統管理、拓撲設計帶來很多問題。為了實現異構網絡間信息的通信，就必須要犧牲一些安全機制的設置和實現，從而提出更高的網絡開放性的要求。有時特定的環境往往會有特定的安全需求，所以不存在可以通用的解決方案，需要制定不同的方案。如果設計者的安全理論與實踐水平不夠的話，設計出來的方案經常是存在漏洞的，這是安全威脅的根源之一。

2.3系統的安全漏洞

軟件系統規模不斷增大，系統中的安全漏洞不可避免的存在，任何一個軟件都可能會因為程序員的一個疏忽、設計中的一個缺陷等原因而存在漏洞。主要包括操作系統類的安全漏洞、網絡系統類安全漏洞和應用系統類安全漏洞。

2.4人的因素

人是信息活動的主體，人的因素其實是網絡安全的最主要因素體現在以下三個方面：一、人的無意失誤，操作人員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享都會給網絡安全帶來威脅。二、人為的惡意攻擊，就是黑客攻擊，是計算機網絡面臨的最大威脅。這類攻擊主要分為兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄露。三、管理上的因素，網絡系統的嚴格管理是企業、機構及用戶免受攻擊的重要措施，很多企業、機構及用戶的網站或系統都疏于安全方面的管理。管理的缺陷可能會出現系統內部人員泄露機密或外部人員通過非法手段截獲而導致機密信息的泄露，為一些不法分子制造了可乘之機。

3.電商務安全的策略

電子商務安全，首先想到的是技術保障措施，僅從技術角度安全保障還遠遠不夠。電子商務的安全需要一個完整的綜合保障體系，采用綜合防范的思路，從技術、管理、法律等方面去認識，根據我國的實際和國外的經驗，采取適合我國的安全保障辦法和措施。

3.1信息技術措施

信息技術措施主要涉及物理安全策略、訪問控制策略、信息加密技術、數字簽名技術以及防火墻等等。

3.1.1物理安全策略

保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故以及人為操作失誤和各種計算機犯罪行為導致的破壞。

3.1.2訪問控制策略

訪問控制策略隸屬于系統安全策略，他迫使在計算機系統和網絡中自動的執行授權，被分成指令性訪問控制策略和選擇性訪問控制策略兩類。指令性訪問控制策略是由安全區域權力機構強制實施的任何用戶不能回避它。選擇性訪問控制策略為一些特殊的用戶提供了對資源的訪問權這些用戶可以利用此權限控制對資源進行訪問。

3.1.3信息加密技術

信息加密技術是電子商務安全技術中一個重要的組成部分。數據傳輸加密技術主要是對傳輸中的數據流進行加密，常用的有鏈路—鏈路加密、節點加密、端—端加密、ATM網絡加密和衛星通信加密五種方式。應該根據信息系統安全策略來制定保密策略，選擇合適的加密方式。

3.1.4數字簽名技術

數字簽名技術可以防止他人對傳輸的文件進行破壞以及確定發信人的身份。RSA簽名方法和EIGamal數字簽名方法是兩種基本的數字簽名方法，許多數字簽名方法都基于這兩種算法。RSA是可逆的公開秘鑰加密系統，在數字簽名過程中運用了消息的驗證模式。EIGamal是一種非確定性的雙鑰體制，它對同一明文消息的簽名會因隨機參數選擇的不同而不同。

3.1.5防火墻技術

防火墻是指隔離在本地網絡與外界之間的一道或一組執行策略的防御系統。防火墻可以隔離不同的網絡，限制安全問題的擴散，可以很方便地記錄網絡上的各種非法活動，監視網絡的安全性，遇到緊急情況報警。

3.2信息安全管理制度

建立完善的安全管理制度，進一步保證電子商務的安全。信息安全管理制度主要包括人員管理制度，保密制度，跟蹤、審計、稽核制度，應急措施以及其他一些措施等。

3.2.1人員管理制度

電子商務活動中的主要參與者是人，尤其是網絡管理員這樣的人員，需要具備高尚的職業道德，才能保證管理有效。在人員管理時應注意以下幾個方面：一要嚴格選拔，對網絡工作者的選拔應不僅考核他們的技術，更要考察他們的責任心、道德感和紀律性。二要落實工作責任制，網絡工作者尤其是超級管理員，掌握著很多重要的資料，他們必須嚴格遵守企業的安全制度，不能隨意將工作內容向不相關的人泄露。三要貫徹電子商務安全運作基本原則，為便于管理，應遵循多人負責、任期有限、最小權限的原則。

3.2.2保密制度

從事電子商務工作的企業，內部會涉及許多保密信息，每類信息安全級別不同，要制定明確的保密制度，規定訪問級別，與相關人員簽訂保密協議，保證保密信息不會外泄。

3.2.3跟蹤、審計、稽核制度

跟蹤制度是以系統自動生成日志文件的形式來記錄系統運行的全過程。通過日志文件可以對系統進行監督、維護分析和故障排除，對于安全案件的偵破提供事實依據。

審計制度是規定網絡審計員應經常對系統的日志文件檢查、審核，及時發現異常狀況，監控和捕捉各種安全事件，并對系統日志進行保存、維護和管理。

稽核制度是指工商管理、銀行、稅務人員利用計算機及網絡系統，借助稽核業務，應用軟件調閱、查詢、審核、判斷轄區內電子商務參與單位業務經營活動的合理性、安全性，堵塞漏洞，保證電子商務交易安全，發出相應的警示或作出處理處罰的有關決定的一系列步驟及措施。

3.2.4應急措施

應急措施是指計算機災難事件發生時，利用應急計劃、輔助軟件和應急設施，排除災難和故障，保障計算機信息系統繼續運行或緊急恢復正常運行。災難恢復包括許多工作，一方面是硬件恢復，使計算機系統重新運轉起來；另一面是數據的恢復。數據的恢復更為重要，難度也更大。在啟動電子商務業務之初，就必須制定交易安全計劃和應急方案，以防萬一。一旦發生意外，有備無患，可最大限度地減少損失，盡快恢復系統的正常工作，保證交易的正常運行。

3.2.4其他一些措施

在電子商務安全問題中，病毒對網絡交易的順利進行和交易數據的妥善保存造成極大的威脅。從事網上交易的企業和個人都應當建立病毒防范制度，排除病毒的干擾。其次，還要經常進行系統維護，系統維護主要包括硬件的日常管理與維護和軟件的日常管理與維護。企業里的硬件應建立系統設備檔案，便于以后對設備的更新和管理。對于軟件的管理和維護工作主要是版本控制，及時更新添補漏洞，降低出現意外的可能。

3.3法律政策與法律保障

電子商務的安全發展必須依靠法律的保障，通過法律等條文的形式來保護電子商務信息的安全，懲罰網絡犯罪違法行為，建立一個良好的電子商務法制環境來約束人們的行為。

目前電子商務相關法律主要涉及計算機犯罪立法、計算機安全法規、隱私保護、網絡知識產權保護、電子合同相關法規等方面，初步滿足了電子商務保密性、完整性、認證性、可控性和不可否認性的安全需求。隨著信息技術的發展，電子商務安全不可能一勞永逸，必須用發展的眼光來看待，法制建設也應該進一步完善。

電子商務的安全問題是一個涉及范圍極廣的社會問題，網上交易安全性若不能得到有效的保障，就必然會影響到電子商務的順利發展。因此，要使電子商務能夠健康、快速、蓬勃的發展，就必須用全面的電子商務安全解決方案提供交易的信任保障，希望越來越多的企業和個人加入到關心電子商務的行列中來，一起為開創嶄新的商務時代出力獻策。

參考文獻：

[1]祁明.電子商務安全與保密 [M].高等教育出版社.

電子商務安全范文6

[關鍵詞] 電子商務 安全 對策

隨著Internet和IT技術的迅猛發展，電子商務因其自身獨有的特點與優勢,逐漸成為進行商務活動的新模式,在人們的生活中也占據著日益重要的地位,但其安全問題也變得越來越突出。如何建立一個安全、快捷、便利的電子商務應用環境,對信息在網絡上的傳輸提供足夠的保護,已成為商家和用戶都非常關心的話題。

一、電子商務的定義

電子商務（E-business）是利用當前先進的電子技術從事各種商業活動的方式，其實質是一套完整的網絡商務經營及管理信息系統。更具體地說，它是利用計算機硬/軟件設備和網絡基礎設施，通過一定協議連接起來的電子網絡環境進行各種商務活動的方式。比如：網上銀行、網上營銷、網上客戶服務、網上調查等。

二、電子商務的基本特征

1.電子商務將傳統的商務流程電子化、數字化，減少了人力、物力，降低了成本，具有開放性和全球性的特點，為企業創造了更多的貿易機會。

2.電子商務重新定義了傳統的流通模式，減少了中間環節，使生產者和消費者不用謀面的網上交易成為可能，從而在一定程度上改變了社會經濟運行的方式、經濟布局和結構。

3.電子商務一方面突破了時間和空間的限制，另一方面又提供了豐富的信息資源，為各種社會經濟要素的重新組合提供了更多的可能，使得交易活動可以在任何時間、任何地點進行，從而大幅度提高了效率。

可見，電子商務的一個重要技術特征是利用網絡技術和IT技術來傳輸和處理商業信息的。就整個系統而言，其安全性可以分為四個層次。(1)網絡節點的安全性。(2)通訊的安全性。(3)應用程序的安全性。(4)用戶的認證管理。

三、網絡節點的安全性

1.防火墻的概念。在構建安全網絡環境的過程中，防火墻作為第一道安全防線，受到越來越多用戶的關注與青睞。防火墻是一個系統，主要用來執行Internet（外部網）和Intranet（內聯網）之間的訪問控制策略。它可為各類企業網絡提供必要的訪問控制，又不造成網絡的瓶頸，并通過安全策略控制進出系統的數據，保護企業資源。

2.防火墻安全策略。防火墻保護內部網絡的敏感數據不被竊取和破壞，并記錄內外通信的有關狀態信息日志，如通信發生的時間和進行的操作等。新一代的防火墻甚至可以阻止內部人員將敏感數據向外傳輸。設置了防火墻后，可以對網絡數據的流動實現有效的管理：如允許公司員工使用電子郵件、Web瀏覽以及文件傳輸等服務，但不允許外界隨意訪問公司內部的計算機，同樣還可以限制公司中不同部門之間的互相訪問。

可見，防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備組合，它還是安全策略的一個重要組成部分，其安全策略建立了全方位的防御體系來保護機構的信息資源，這種安全策略應包括：規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施及管理制度等。所有可能受到網絡攻擊的地方都必須以同樣的安全級別加以保護。僅設置防火墻系統，而沒有全面、細致的安全策略，那么防火墻就形同虛設。

3.安全操作系統。安全的操作系統至少要有以下特征：(1)最小特權原則,即每個特權用戶只擁有能進行其工作的權力。(2)強制訪問控制，包括保密性訪問控制和完整性訪問控制。(3)安全審計和審計管理。(4)安全域隔離。

其次，防火墻是基于操作系統的，如果信息通過操作系統的后門繞過防火墻進入內部網，則防火墻就不起作用了?？梢?，安全是一個系統工程，操作系統安全只是其中的一個層次，還需要各個環節的配合，安全操作系統應該與各種安全軟、硬件結合起來（如防火墻、殺毒軟件、加密產品等），才能讓電子商務得到更廣泛的應用，確保系統信息的安全達到最佳狀態。

四、網絡通信的安全性

1.數據通信的安全。電子商務系統的數據通信主要存在于：（1)客戶瀏覽器端與電子商務WEB服務器端的通訊。（2)電子商務WEB服務器與電子商務數據庫服務器的通訊。

2.通信鏈路的安全。在客戶端瀏覽器和電子商務WEB服務器之間采用SSL（Secure Electronic Transaction,安全電子交易）協議建立安全鏈接，所需傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。為在瀏覽器和服務器之間建立安全機制，SSL首先要求服務器向瀏覽器出示它的證書，證書包括一個公鑰，由證書授權機構（CA中心）簽發。瀏覽器要驗征服務器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（PKI）。單純的建立SSL鏈接時，客戶只需用戶下載該站點的服務器證書。若驗證此證書是合法的服務器證書，再利用該證書對稱加密算法（RSA）與服務器協商一個對稱算法及密鑰，然后用此對稱算法加密將要傳輸的明文，此時瀏覽器也會出現進入安全狀態的提示。

五、應用程序的安全性

即使正確地配置了訪問控制規則，要滿足計算機系統的安全性，這些工作還是不充分的，因為編程錯誤也可能導致對系統的破壞與攻擊。

程序錯誤的常見形式：程序員忘記檢查傳送到程序的入口參數；程序員在處理字符串的內存緩沖時，忘記檢查邊界條件。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運行，其他的部分只有縮小的許可。程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄，但不是顯式的設置訪問控制（最少許可）。若程序員認為這個缺省的許可是正確的，則這些缺點就可能被用到攻擊系統的行為中，不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。

緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的，程序不檢查輸入字符串長度。輸入假字符串常常是可執行的命令，特權程序可以執行指令。

六、用戶的認證管理

1.身份認證。開展電子商務的關鍵核心技術是保密存儲與取出。電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合來實現。CA證書用來認證服務器的身份，IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認機制。由于指紋具有惟一性，目前，指紋認證與網絡傳輸便廣泛的應用于銀行專用網、企業營銷網等各種商貿網絡，使電子商務具有更現實的可操作性。

2.CA證書。CA（Certificate Authority，即“認證機構”），是證書的簽發機構，它是PKI（Public Key Infrastructure，即“公開密鑰體系”）的核心。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。要在網上確認交易各方的身份及保證交易的不可否認性，便需要CA證書進行驗證。證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，驗證個人證書是為了驗證來訪者的合法身份。

CA也擁有一個證書（內含公鑰）和私鑰。網上的公眾用戶通過驗證CA的簽字從而信任CA，任何人都可以得到CA的證書（含公鑰），用以驗證它所簽發的證書。如果用戶想得到一份屬于自己的證書，應先向CA提出申請。在CA判明申請者的身份后，便為其分配一個公鑰，并且CA將該公鑰與申請者的身份信息綁在一起，為之簽字后，便形成證書發給申請者。如果一個用戶想鑒別另一個證書的真偽，可用CA的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。

七、建立安全管理機制

為了確保系統的安全性，除了采用上述技術手段外，還必須建立嚴格的內部安全機制。對于所有接觸系統的人員，應按其職責設定其訪問系統的最小權限。

按照分級管理原則，嚴格管理內部用戶賬號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶賬號和密碼。建立網絡安全維護日志，記錄與安全性相關的信息及事件，有情況出現時便于跟蹤查詢。定期檢查日志，以便及時發現潛在的安全威脅。對重要數據要及時進行備份。對數據庫中存放的數據，數據庫系統應根據其重要性提供不同級別的數據加密。安全管理實際上是一種風險管理，任何措施都不能保證百分之百的安全。但安全技術的采用可降低系統遭到破壞、攻擊的風險，決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。隨著全球經濟一體化進程的加快，尤其是Internet技術、IT技術的迅猛發展及廣泛應用，我們的社會也已融入到電子商務時代的氣息當中，這是一個“以客戶為中心”的時代，企業的市場營銷及貿易往來都必須圍繞這個中心來進行。只有保證電子商務各個環節、各個方面的安全性與穩定性，才能為其正常運作提供有力的保證，才能為其自身迎來更廣闊的前景。

參考文獻：