前言：我們精心挑選了數篇優質商務安全論文文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

(一)數據的私有性和安全性

如果不采用特別的保護措施，包括電子郵件等在internet中開放傳輸的數據都可能被第三者監視和閱讀。考慮到巨大的傳輸量和難以計數的傳輸途徑，想任意竊聽一組數據傳輸是不可能，但是一些設置在web服務器的黑客程序卻可以查找和收集特定類型的數據，這些數據包括信用卡、存款的賬號和相應的口令。同時，因為internet的開放性設計，數據私有性和安全性還包括數據傳輸之外的問題，例如：連入internet的數據存儲網絡驅動器的安全性。所以，任何存儲在web服務器上的數據必須采取保護措施。

(二)數據的完整性

對完整性的安全威脅也叫主動搭線竊取。當未經授權方改變了信息流時就構成了對完整性的安全威脅。未保護的銀行交易很易受到對完整性的攻擊。當然，破壞了完整性也就意味著破壞了保密性，因為能改變信息的竊取者肯定能閱讀此信息。完整性和保密性間的差別在于：對保密性的安全威脅是指某人看到了他不應看到的信息。而對完整性的安全威脅是指某人改動了關鍵的傳輸。破壞他人網站就是破壞完整性的例子。破壞他人網站是指以電子方式破壞某個網站的網頁。破壞他人網站的行為相當于破壞他人財產或在公共場所涂鴉。當某人用自己的網頁替換某個網站的正常內容時，就說發生了破壞他人網站的行為。由于internct的開放體系，如果具備了特定的知識和工具，則完全可以更改傳輸中的數據。同時，要采取適當的存取訪問控制，以保證數據存取系統的安全。在電子商務中務必保存數據最初的格式和內容。

(三)認證

在猖獗的網絡欺詐或者反悔中，網絡交易者隱身在電腦屏幕背后，身份難以識別的問題是其重要淵源。建立有效的網上交易身份認證機制，提升交易雙方的信用度是有效控制網絡欺詐的重要途徑，對于電子商務的健康發展有著重要作用。交易方的信用問題已經成為制約電子商務發展的重要瓶頸之一。在現實社會中，即便有著諸多因素的制約，仍然普遍地存在著信用缺乏的現象，建立完善的信用機制已經成為社會各界的共識。在電子商務的具體實現中，首先要確認當前的通訊、交易和存取要求是合法的。例如，internet中的計算機系統的身份是其由IP地址確認的。黑客通過IP欺騙，使用虛假的IP地址，從而達到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發匿名郵件，或者使用不真實的郵件用戶名。因此，在電子商務中必須建立嚴格的身份認證機制，以確保參加交易各方的身份真實有效。

(四)不可否認性

不可否認主要包含數據的原始記錄和發送記錄，確認數據已經完成發送和接收，防止接收用戶更改原始記錄，防止用戶在已經收到數據以后否認收到數據，并拖延自己的下一步工作。為了保證交易過程的可操作性，必須采取可靠的方法確保交易過程的真實性，保證參加電子交易的各方承認交易過程的合法性。

簡言之，在internet上實現電子商務面臨的任務：(1)私有性，即保證只有發送者和接收者可以接觸到信息；(2)完整性，即信息在傳輸過程中未經任何改動；(3)身份認證，即接收方可以確信信息來自發信者，而不是第三者冒名發送，發送方可以確信接收方的身份是真實的，而不至于發往與交易無關的第三方；(4)不可否認性，在交易數據發送完成以后，雙方都不能否認自己曾經發出或接收過信息。

電子商務面臨的上述問題主要是由對系統的非法入侵造成的。首先是網絡黑客，他們通過發現web服務器、操作系統或者主頁部件在配置方面的漏洞，攻擊網絡系統。其次是內部入侵，這主要是由企業IT部門的員工造成的，保護網絡的物理安全(如主控機房)及嚴格的口令管理制度，是防范該類問題的關鍵。還有惡意代碼(如計算機病毒)，它們在企業的傳播會給電子商務系統造成嚴重的損失。另外，值得關注的是計算機系統本身的問題，例如，由于電源造成的系統宕機，以及廣域網絡的通訊，這些都會直接造成服務的突然中止，影響電子商務的形象。我們還應關注系統管理方面的問題，有時電子商務出現的問題既非黑客也非系統本身的毛病，而是源于對敏感數據處理不善或者是安全系統(如防火墻)的不正確配置。用戶的身份認證是計算機系統安全的基礎工作，數字簽名加密等技術在這里可以充分起到作用。

二、電子商務安全系統關鍵技術

(一)ssLVPN技術

SSL(安全套接層)協議是一種在Internet上保證發送信息安全的通用協議。它處于應用層。SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協議指定了在應用程序協議(如HTTP、Telnet和FTP等)和TCP/IP協議之間進行數據交換的安全機制，為TCP/IP連接提供數據加密、服務器認證以及可選的客戶機認證。SSL協議包括握手協議、記錄協議以及警告協議三部分。握手協議負責確定用于客戶機和服務器之間的會話加密參數。記錄協議用于交換應用數據。警告協議用于在發生錯誤時終止兩個主機之間的會話。

VPN(虛擬專用網)則主要應用于虛擬連接網絡，它可以確保數據的機密性并且具有一定的訪問控制功能。VPN是一項非常實用的技術，它可以擴展企業的內部網絡，允許企業的員工、客戶以及合作伙伴利用Internet訪問企業網，而成本遠遠低于傳統的專線接人。過去，VPN總是和IPSec聯系在一起，因為它是VPN加密信息實際用到的協議。IPSec運行于網絡層，IPSeeVPN則多用于連接兩個網絡或點到點之間的連接。所謂的SSLVPN，其實是YPN設備廠商為了與IPsecVPN區別所創造出來的名詞，指的是使用者利用瀏覽器內建的SecureSocketLayer封包處理功能，用瀏覽器連回公司內部SSLVPN服務器，然后透過網絡封包轉向的方式，讓使用者可以在遠程計算機執行應用程序，讀取公司內部服務器數據。它采用標準的安全套接層(ssL)對傳輸中的數據包進行加密，從而在應用層保護了數據的安全性。高質量的SSLVPN解決方案可保證企業進行安全的全局訪問。在不斷擴展的互聯網Web站點之間、遠程辦公室、傳統交易大廳和客戶端間，SSLVPN克服了IPSecVPN的不足，用戶可以輕松實現安全易用、無需客戶端安裝且配置簡單的遠程訪問，從而降低用戶的總成本并增加遠程用戶的工作效率。而同樣在這些地方，設置傳統的IPSecVPN非常困難，甚至是不可能的，這是由于必須更改網絡地址轉換(NAT)和防火墻設置。(二)加密技術

數據加密技術作為一項基本技術，是電子商務的基石，是電子商務最基本的信息安全防范措施。其實質是對信息進行重新編碼，從而達到隱藏信息內容，使非法用戶無法獲取真實信息的一種技術手段，確保數據的保密性。基于加/解密所使用的密鑰是否相同，可分為對稱加密和非對稱加密兩類。

(1)對稱加密。對稱加密的加密密鑰和解密密鑰相同，即在發送方和接收方進行安全通信之前，商定一個密鑰，用這個密鑰對傳輸數據進行加密、解密。對稱加密的突出特點是加解密速度快，效率高，適合對大量數據加密。缺點是密鑰的傳輸與交換面臨安全問題，且若和大量用戶通信時，難以安全管理大量密鑰。目前，常用的對稱加密算法有DES、3DES、IDEA、Blowfish等。其中，DES(DataEncryptionStandard)算法由IBM公司設計，是迄今為止應用最廣泛的一種算法，也是一種最具代表性的分組加密體制。DES是一種對二元數據進行加密的算法，數據分組長度為64bit，密文分組長度也是64bit，沒有數據擴展，密鑰長度為64bit，其中有8bit奇偶校驗，有效密鑰長度為56bit。加密過程包括16輪的加密迭代，每輪都采用一種乘積密碼方式(代替和移位)。DES整個體制是公開的，系統的安全性全靠密鑰的保密。DES算法的入口參數有3個：Key、Data、Mode。其中，Key為8個字節共64位，是DES算法的工作密鑰。Data也是8個字節64位，是需被加密或解密的數據。Mode為DES的工作方式，分為加密或解密兩種。DES算法的步驟為：如Mode為加密，則用Key去對數據進行加密，生成Data的密碼形式(64位)作為DES輸出結果。如Mode為解密，則用Key去把密碼形式的數據Data解密，還原為Data的明碼形式(64位)作為DES的輸出結果。DES是一種世界公認的較好的加密算法，具有較高的安全性，到目前為止除了用窮舉搜索法對DES算法進行攻擊外，尚未發現更有效的方法。

(2)非對稱加密。非對稱加密的最大特點是采用兩個密鑰將加密和解密能力分開。一個公開作為加密密鑰；一個為用戶專用，作為解密密鑰，通信雙方無需事先交換密鑰就可進行保密通信。而要從公開的公鑰或密文分析出明文或密鑰，在計算上是不可行的。若以公開鑰作為加密密鑰，以用戶專用鑰作為解密密鑰，則可實現多個用戶加密的信息只能由一個用戶解讀。反之，以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰，則可實現由一個用戶加密的消息而使多個用戶解讀，前者可用于保密通信，后者可用于數字簽字。非對稱加密體制的出現是密碼學史上劃時代的事件，為解決計算機信息網中的安全提供了新的理論技術基礎。其優點是很好地解決了對稱加密中密鑰數量過多難以管理的不足，且保密性能優于對稱加密算法；缺點是算法復雜，加密速度不是很理想。

目前，RSA算法是最著名且應用最廣泛的公鑰算法，其安全性基于模運算的整數因子分解的困難性。

算法內容簡要描述如下：①獨立選取兩大素數p和q，計算n=p×q；其歐拉函數值z=(p－1)×(q－1)。②隨機選一整數e，1≤e由于RSA涉及大數計算，無論是硬件或軟件實現的效率都比較低，不適用對長的明文加密，常用來對密鑰加密，即與對稱密碼體制結合使用。

(三)網上交易身份認證機制

網上交易身份認證對于建立電子商務業界的信用機制起著重要作用，因此如何確認網上交易者的身份便成為諸多電子商務網站迫切希望解決的問題。

(1)在目前網絡法律制度還不健全的時代，自律機制非常重要，網絡交易的有效性和真實性在一定程度上能夠反映這個國家的信用機制的完善程度。相對而言，國外的電子商務信用體系相對較高，其交易身份認證多與信用卡等銀行信用記錄掛鉤，而我國則更多的是通過手機和身份證等方式進行。

(2)一些網上交易平臺為了幫助交易雙方打消顧慮，順利進行交易，提供第三方介入的支付方式，以保護雙方的合法利益，這種機制對于維護網上交易的誠信起到了很好的作用。

(3)電子郵件在電子商務交易中對子商務交易者的身份認證機制起著重要作用。電子郵件一旦重復則易造成無法注冊，甚至很多網站要求用戶兩次輸入有效的電子郵件以進行確認，以確保之后的所有信息能夠順利進行，所有的網站均將用戶的電子郵件作為聯系用戶和確認用戶諸多信息的重要聯系方式，其便捷性毋庸置疑。但是，在電子郵件收費的模式基本上發展前景不甚明朗的今天其有效性和真實性還值得商榷。

(4)用戶注冊中所提交的資料即身份認證過程中會涉及到很多可以列為用戶隱私權保護的信息，因此，在進行身份認證時還需要考慮隱私權保護問題。現在幾乎所有的電子商務網站上都有隱私權法律聲明，或者在用戶填寫過程中就通過鏈接的形式彈出窗口聲明用戶的這些資料將被用于那些用途。盡管如此，由于網絡上沒有絕對的安全，如果由于技術上的原因導致用戶的身份認證資料泄露給他人，甚至被他人用于牟利或者其他非法目的，網站是否應該承擔責任、應該承擔什么樣的責任，也是身份認證機制應該考慮的問題。

電子商務的安全問題是利害攸關的，安全遭到破壞會使他人信息泄露或導致信息濫用。電子商務安全策略必須明確保密、完整、不可否認的要求。總之，如何建立電子商務安全策略，并逐步完善這個策略，需要政府、電子商務企業、學者等的共同努力，任重而道遠。

第2篇

電子商務可以增加銷售額并降低成本的優勢，使得政府與企業都十分重視并推動電子商務的建設和發展。電子商務發展到今天,主要問題在于時空的分離導致了安全問題的出現,信息的安全性是當前發展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業自身情況,充分借鑒以往電子商務系統開發的先進技術和經驗,開發出符合企業特殊的電子商務系統,已經成為目前發展電子商務的關鍵，而安全體系的構建顯得尤為重要。

2電子商務的主要安全要素

目前電子商務工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性，即應保證在基于Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看，傳統的買賣雙方是面對面的，因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中，買賣雙方是通過網絡來聯系，由于距離的限制，因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現，電子商務交易雙方（銷售者和消費者）都面臨安全威脅，電子商務的安全要素主要體現在以下幾個方面：

2.1信息真實性、有效性

電子商務以電子形式取代了紙張，如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式，其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。

2.2信息機密性

電子商務作為貿易的一種手段，其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的，商業防泄密是電子商務全面推廣應用的重要保障。

3.3信息完整性

電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此，電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。

3.4信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕；不可否認要求即是能建立有效的責任機制，防止實體否認其行為；可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴，確定合同、契約、單據的可靠性并預防抵賴行為的發生。

在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在1nternet上每個人都是匿名的，電子商務系統應充分保證原發方在發送數據后不能抵賴；接收方在接收數據后也不能抵賴。

3電子商務安全系統

網絡安全是電子商務的基礎。為了保證電子商務交易能順利進行，要求電子商務平臺要穩定可靠，能不中斷地提供服務。任何系統的中斷，如硬件、軟件錯誤，網絡故障、病毒等都可能導致電子商務系統不能正常工作，而使貿易數據在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經濟損失。

所以就整個電子商務安全系統而言，安全性可以劃分為四個層次，

1)網絡節點的安全

2)通訊的安全性

3)應用程序的安全性

4)用戶的認證管理

其中2、3、4是通過操作系統和Web服務器軟件實現，而網絡節點的安全性依靠防火墻保證，我們應該首先保證網絡節點的安全性。

3.1網絡節點的安全

防火墻是一種由計算機硬件和軟件的組合，使互聯網與內部網之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入，它其實就是一個把互聯網與內部網（通常指局域網或城域網）隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊，為電子商務的施展提供個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法，防火墻能夠有效地監視網絡的通信信息，并記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統。應給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源，這種安全策略應包括：規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統，而沒有全面的安全策略，那么防火墻就形同虛設。

3.2通訊的安全

在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度，也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制，SSL首先要求服務器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（CA中心）簽發。瀏覽器要驗征服務器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法（RSA）與服務器協商一個對稱算法及密鑰，然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。

3.3應用程序的安全性

即使正確地配置了訪問控制規則，要滿足計算機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字符串的內存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。

3.4用戶的認證管理

1)身份認證

電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現的。CA證書用來認證服務器的身份，IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認機制。

2)CA證書

要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA證書，它由認證授權中心（CA中心）發行。認證中心（CA）就是承擔網上安全交易認證服務，能簽發數字證書，并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構，主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織，它對個人、組織進行審核后，為其發放數字證書，證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書（下載可以在訪問之前或訪問時進行）。

3)安全套接層SSL協議

安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。

SSL通過數字簽名和數字證書來實行身份驗證，數字證書是從認證機構（CA，CertificateAuthority）獲得的，通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后，雙方就可以用保密密鑰進行安全的會話了。

SSL協議在應用層收發數據前，協商加密算法、連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應用協議（如Http、Ftp、Telnet等）以保證應用層數據傳輸的安全性。

SSL協議握手流程由兩個階段組成：服務器認證和用戶認證。

①服務器認證

客戶端向服務器發送一個“Hello”信息，以便開始一個新的會話連接；服務器根據客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據收到的服務器響應信息，產生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數據進行加密來認證服務器，從而建立安全的通信通道。

②用戶認證

經認證的服務器發送一個提問給客戶，客戶則返回數字簽名后的提問和其公開密鑰，從而向服務器提供認證。SSL協議支持各種加密算法，實現簡單，獨立于應用層協議，且被大部分瀏覽器和Web服務器內置，便于在電子交易中應用。但SSL是一個面向連接的協議，起初并不是為了支持電子商務而設計的，只能提供交易中客戶與服務器間的雙方認證，在涉及多方的電子交易中，SSL協議不能協調各方面的安全傳輸和信任關系。為此，開發出了在網絡應用層中專為電子商務而設計的SET協議。

4安全管理

為了確保系統的安全性，除了采用上述技術手段外，還必須建立嚴格的內部安全機制。對于所有接觸系統的人員，按其職責設定其訪問系統的最小權限。按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶帳號和密碼。

建立網絡安全維護日志，記錄與安全性相關的信息及事件，有情況出現時便于跟蹤查詢。定期檢查日志，以便及時發現潛在的安全威脅。

對于重要數據要及時進行備份，且對數據庫中存放的數據，數據庫系統應視其重要性提供不同級別的數據加密。

第3篇

【關鍵詞】:電子商務信息安全網絡

人類社會進入20世紀70年代以來,以微電子技術為基礎的計算機技術和通信技術取得了長足的進展,并滲透到經濟和社會的各個領域,從而引起了世界范圍內的新技術創新浪潮。信息化建設受到各國政府的高度重視,1991年美國提出"信息高速公路"的設想,1993年正式實施"國家信息基礎結構:行動計劃";1978年法國制定了一項有關"促進社會信息化的計劃",從那以后,法國政府不斷推進信息革命,每年投入50億美元巨款改進通信設備;早在1983年,我國政府就把發展信息技術納入了國家總體科技論文發展戰略規劃中,1999年,我國政府上網工程迅速推進,國家信息化戰略、數字化產品發展戰略、電子商務發展框架也都在加緊研究、制定中。目前全球的計算機社會擁有量迅速增加,互聯網用戶呈幾何級數增長,新的經濟消費觀正在逐步形成。電子商務的社會基礎已經形成。Internet技術的應用普及為電子商務奠定了基礎條件,萬維網及相關技術的推出開創了電子商務應用的新局面,基于Internet的網絡環境建設是開創電子商務市場的前提,安全保障等核心技術的實用化是電子商務成功的保證,商貿活動的信息網絡化加快了電子商務的發展進程,各種解決方案的推出標志著電子商務即將進入實用化階段。

從技術的角度看,電子商務的發展經歷了啟蒙階段、商業化階段、社會化階段,并開始步入智能化時代。回顧企業信息化和電子商務的發展過程,從最初各部門用數據庫管理本部門的數據,通過辦公自動化(OA)實現企業內部辦公文檔傳遞,到建立統一的ERP系統為管理決策提供信息,通過CRM和SCM將企業和客戶、供應商等整個供應鏈上的各個環節聯系起來,再到以服務形式提供各式應用,通過第三方ASP實現企業應用服務的外包,這實際上就是一個從數據、信息到服務的縱向發展過程。互聯網應用的發展也是這樣,從最初企業間使用EDI交換數據,Email通訊傳遞簡單的信息,到通過門戶網站、搜索引擎獲取所需信息,與世界各地的人在BBS上交流信息,再到如今的通過社會網絡SNS拓展自己的交際圈,社會化程度越來越高。隨著信息技術和互聯網技術的普及和深入應用,電子商務正在以前所未有的速度發展,以其方便性和靈活性向傳統商務模型提出了挑戰。互聯網的飛速發展，使得傳統的商業模式產生了深刻的變化，在相當程度上改變著人們的日常生活習慣。基于網絡的電子商務作為一種全新的商業模式，已經得到了快速的發展，但網絡交易的安全問題始終是阻礙電子商務全面發展的巨大障礙。因此采用先進的網絡信息安全防范技術，為電子商務提供完整的安全保障體系，進而推動電子商務高速發展。1．電子商務信息安全要素互聯網是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之聯接,并借助互聯網信息,進行各種網上商務活動。同時,也給那些別有用心的組織或個人提供了竊取別人的各種機密如消費者的銀行賬號、密碼,甚至妨礙或毀壞他人網絡系統運行等各種機會。影響電子商務信息安全要素主要有系統的可靠性，交易的真實性，資料的安全性，資料的完整性，交易的不可抵賴性等。概括起來,電子商務面臨的安全威脅主要有以下幾方面。

1．1系統的中斷與癱瘓。網絡故障、操作失誤、應用程序出錯、硬件故障、系統軟件設計不完善以及計算機病毒都有可能導致系統不能正常工作。如在劃撥貨款的過程中突然出現網絡中斷等。1．2信息被竊取。電子商務作為一種全新的貿易形式,其通訊的信息直接代表著個人、企業或國家的利益。攻擊者可能通過因特網、公共電話網、搭線或在電磁波輻射范圍內安裝截收裝置等方式,截獲傳輸的機密信息,或通過對信息流量和流向、通信頻度和長度等參數分析,推斷出有用的信息、如消費者的銀行賬號、密碼等。1．3信息被篡改。攻擊者可能從三個方面破壞信息的完整性。1）篡改。改變信息流的次序,更改信息的內容。2)刪除。刪除某個消息或消息中的某些部分。3)插入。在信息中插入一些其它干擾信息,讓收方讀不懂或接收錯誤的信息。腦知識與技術1．4信息被偽造。1)虛開網站和商店,給用戶發電子郵件,接受訂單。2）偽造大量用戶,發電子郵件,窮盡商家資源、使合法用戶不能正常訪問網絡資源。3)冒充他人身份,進行消費和栽贓等。1．5對交易行為進行抵賴或不承認。1)發信者事后否認曾經發送過某條消息或內容。2)收信者事后否認曾經收到過某條消息或內容。3)購買者不承認確認了的訂單。4)商家賣出的商品因價格差而不承認原有的交易。2．電子商務中的信息安全防范技術

2．1數據加密技術加密技術是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉換成為無意義的密文，阻止非法用戶理解原始數據，從而確保數據的保密性。按加密密鑰與解密密鑰的對稱性可分為對稱型加密、不對稱型加密、不可逆加密。在網絡安全技術中，加密技術是保障信息安全最關鍵和最基本的技術手段和理論基礎，但是由于大部分數據加密算法都源于美國，且受到美國出口管制法的限制，無法在互聯網上大規模使用，從而限制了以加密技術為基礎網絡安全解決方案的應用。2．2密鑰管理技術密鑰管理包括確保所產生的密鑰具有必要的屬性，把密鑰提前通知給需要它的特定系統，確保密鑰按要求得到保護以阻止暴露和／或替代。其中，對稱密鑰管理是基于共同保守秘密來實現的，采用對稱加密技術的雙方必須保證采用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時還要設定防止密鑰泄漏和更改密鑰的程序。使用公開密鑰的交易雙方可以使用證書(公開密鑰證書)來交換公開密鑰。國際電聯指定的X509對37福建電腦2008年第11期數字證書進行了定義，數字證書能夠起到標識交易雙方的作用，是目前電子商務廣泛使用的技術之一。2．3身份認證技術網上安全交易的基礎是數字證書。要建立安全的電子商務系統,必須首先建立一個穩固、健全的數字證書和認證中心(CA)。數字簽名是利用數字技術實現在網絡傳送文件時，附加個人標記，完成傳統意義上手書簽名或印章的作用，以表示確認、負責、經手等。使用數字簽名可以保證交易中的認證性和不可否認性。數字簽名可以防范：接收方偽造、發送者或接收者否認、第三方冒充、接收方篡改。常見的數字簽名技術有：RSA數字簽名、DSA數字簽名、橢圓曲線數入侵檢測技術通常通過基于應用的監控技術、基于主機的監控技術、基于目標的監控技術和基于網絡的監控技術四種檢測技術來抵御攻擊。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。認證機制是保護電子商務安全的第一條防線。任何一個在架構設計上、代碼開發中以及認證的實現時所出現的小的漏洞或不足，都有可能使電子商務處在被攻擊的風險中。因此，加強對認證攻擊的充分認識和了解，并在系統開發時選擇合適的防御措施，就可以從根本上對某些攻擊進行有效的屏蔽，減少后期頻繁維護所付出的代價，達到事半功倍的效果。2．4網絡安全掃描技術安全掃描技術是對網絡的各個環節提供可靠的分析結果，并為系統管理員提供可靠性和安全性分析報告等。包括端口掃描技術和漏洞掃描技術等。2．5病毒防范技術計算機病毒實際上就是一種在計算機系統運行過程中能夠實現傳染和侵害計算機系統的功能程序。病毒經過系統穿透或違反授權攻擊成功后，攻擊者通常要在系統中植入木馬或邏輯炸彈等程序，為以后攻擊系統、網絡提供方便條件。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁的掃描和監測，工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。2．6電子認證技術為了保證電子商務安全因素的順利實現，在電子商務中使用了基于公鑰體系的安全系統。基于公鑰體系的加密系統是按對生成的，每對密鑰由公鑰和私鑰組成，實際應用中，公鑰是以證書性質存放的，一個最基本而又是最關鍵的問題是公鑰的分發，也就是證書的分發，如果證書不能得到有效安全的分發，所有的上層應用軟件就不能得到安全的保障，解決問題的方法就是建立認證機構體系CA。2．7防火墻技術防火墻(Firewall)是近年來發展最重要的安全技術，它是通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全的一種手段，核心思想是在不安全的網絡環境中構造一個相對安全的子網環境。它所保護的對象是網絡中有明確閉合邊界的一個網塊，而它所防范的對象是來自被保護網塊外部的安全威脅。目前的防火墻分為兩大類，一類是簡單的包過濾技術，它是在網絡層對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯，檢查數據流中每個數據包后，根據數據包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態等因素來確定是否允許數據包通過。另一類是應用網管和服務器，其顯著的優點是較容易提供細顆粒度的存取控制，其可針對特別的網絡應用服務協議及數據過濾協議，并且能夠對數據包分析并形成相關的報告。通過應用防火墻技術，可以做到通過過濾不安全的服務，極大地提高網絡安全和減少網絡中主機的風險。但防火墻是一種基于網絡邊界的被動安全技術，對內部未授權訪問難以有效控制，因此較適合于內部網絡相對獨立，且與外部網絡的互連途徑有限、網絡服務種類相對集中的網絡。2．8入侵檢測技術入侵檢測技術是一種利用入侵者留下的痕跡，如試圖登錄的失敗記錄等信息來有效地發現來自外部或內部的非法入侵的技術。它以探測與控制為技術本質，起著主動防御的作用，是網絡安全中極其重要的部分。

3．企業實現電子商務的安全策略安全問題是企業應用電子商務最擔心的問題,如何保障電子商務活動的安全,一直是電子商務的核心研究領域。作為一個安全的電子商務系統,必須采用相應的網絡安全策略。安全策略包括網絡安全問題的總原則、對安全使用的要求以及如何保障網絡的安全運行。3.1制定安全策略時首先確定的最重要的原則拒絕訪問明確準許以外的所有服務。當前一些電子商務企業的安全策略存在兩個誤區:首先,企業所采取的操作系統的標準安全策略存在問題,這一標準安全策略只能提供一道脆弱的防線,很容易被攻破;其次,為滿足多種安全需求,許多企業以零碎的方式實施節點式解決方案,這雖然對電子商務的某些領域提供了有限的保護,但同時使系統管理更為復雜。阻止外來系統入侵只是電子商務安全的一個方面。成功的電子商務安全策略,必須涵蓋身份識別與認證、隱私與欺騙控制、管理與審計等傳統領域。3.2安全策略制定時還應注意的問題3.2.1將需保護的對象分類,確定需保護的資源及其保護級別;規定可以訪問資源的實體和可執行的動作;規定審計功能,記錄用戶活動及資源使用情況。3.2.2系統的安全應從物理上、技術上、管理制度上以及安全教育上全方位采取措施,相互彌補和完善,盡可能地排除安全漏洞。3.2.3根據企業的實際需要確定內部網的服務類型,規定內部用戶和外部用戶能夠使用的服務種類,建立網管站,并制定出切實可行的安全管理制度。此外還需完善電子商務企業內部安全管理體制,增強相關人員的安全意識。

4．結束語電子商務尚是一個機遇和挑戰共存的新領域,這種挑戰不僅來源于傳統的習慣,來源于計劃經濟體制和市場經濟體制的沖突,更來源于對可使用的安全技術的信賴。企業在應用電子商務時,應采取一系列的安全技術和安全策略。這種種安全措施的采用,一定能保證企業進行安全的電子商務活動。

參考文獻：

1.韓磊石松:淺談電子商務中信息安全問題[J].臨沂師范學院學報，2001；(8)：136-139

2.黃發文:計算機網絡安全技術初探[J].計算機應用研究，2002(5):46-48

3.林柏鋼.網絡與信息安全教程[M].機械工業出版社,2005.

4.曹淑艷.電子商務應用基礎[M].北京:清華大學出版社,2002.