緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇商務安全論文范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

人類社會進入20世紀70年代以來,以微電子技術為基礎的計算機技術和通信技術取得了長足的進展,并滲透到經濟和社會的各個領域,從而引起了世界范圍內的新技術創新浪潮。信息化建設受到各國政府的高度重視,1991年美國提出"信息高速公路"的設想,1993年正式實施"國家信息基礎結構:行動計劃";1978年法國制定了一項有關"促進社會信息化的計劃",從那以后,法國政府不斷推進信息革命,每年投入50億美元巨款改進通信設備;早在1983年,我國政府就把發展信息技術納入了國家總體科技論文發展戰略規劃中,1999年,我國政府上網工程迅速推進,國家信息化戰略、數字化產品發展戰略、電子商務發展框架也都在加緊研究、制定中。目前全球的計算機社會擁有量迅速增加,互聯網用戶呈幾何級數增長,新的經濟消費觀正在逐步形成。電子商務的社會基礎已經形成。Internet技術的應用普及為電子商務奠定了基礎條件,萬維網及相關技術的推出開創了電子商務應用的新局面,基于Internet的網絡環境建設是開創電子商務市場的前提,安全保障等核心技術的實用化是電子商務成功的保證,商貿活動的信息網絡化加快了電子商務的發展進程,各種解決方案的推出標志著電子商務即將進入實用化階段。

從技術的角度看,電子商務的發展經歷了啟蒙階段、商業化階段、社會化階段,并開始步入智能化時代。回顧企業信息化和電子商務的發展過程,從最初各部門用數據庫管理本部門的數據,通過辦公自動化(OA)實現企業內部辦公文檔傳遞,到建立統一的ERP系統為管理決策提供信息,通過CRM和SCM將企業和客戶、供應商等整個供應鏈上的各個環節聯系起來,再到以服務形式提供各式應用,通過第三方ASP實現企業應用服務的外包,這實際上就是一個從數據、信息到服務的縱向發展過程。互聯網應用的發展也是這樣,從最初企業間使用EDI交換數據,Email通訊傳遞簡單的信息,到通過門戶網站、搜索引擎獲取所需信息,與世界各地的人在BBS上交流信息,再到如今的通過社會網絡SNS拓展自己的交際圈,社會化程度越來越高。隨著信息技術和互聯網技術的普及和深入應用,電子商務正在以前所未有的速度發展,以其方便性和靈活性向傳統商務模型提出了挑戰。互聯網的飛速發展，使得傳統的商業模式產生了深刻的變化，在相當程度上改變著人們的日常生活習慣。基于網絡的電子商務作為一種全新的商業模式，已經得到了快速的發展，但網絡交易的安全問題始終是阻礙電子商務全面發展的巨大障礙。因此采用先進的網絡信息安全防范技術，為電子商務提供完整的安全保障體系，進而推動電子商務高速發展。1．電子商務信息安全要素互聯網是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之聯接,并借助互聯網信息,進行各種網上商務活動。同時,也給那些別有用心的組織或個人提供了竊取別人的各種機密如消費者的銀行賬號、密碼,甚至妨礙或毀壞他人網絡系統運行等各種機會。影響電子商務信息安全要素主要有系統的可靠性，交易的真實性，資料的安全性，資料的完整性，交易的不可抵賴性等。概括起來,電子商務面臨的安全威脅主要有以下幾方面。

1．1系統的中斷與癱瘓。網絡故障、操作失誤、應用程序出錯、硬件故障、系統軟件設計不完善以及計算機病毒都有可能導致系統不能正常工作。如在劃撥貨款的過程中突然出現網絡中斷等。1．2信息被竊取。電子商務作為一種全新的貿易形式,其通訊的信息直接代表著個人、企業或國家的利益。攻擊者可能通過因特網、公共電話網、搭線或在電磁波輻射范圍內安裝截收裝置等方式,截獲傳輸的機密信息,或通過對信息流量和流向、通信頻度和長度等參數分析,推斷出有用的信息、如消費者的銀行賬號、密碼等。1．3信息被篡改。攻擊者可能從三個方面破壞信息的完整性。1）篡改。改變信息流的次序,更改信息的內容。2)刪除。刪除某個消息或消息中的某些部分。3)插入。在信息中插入一些其它干擾信息,讓收方讀不懂或接收錯誤的信息。腦知識與技術1．4信息被偽造。1)虛開網站和商店,給用戶發電子郵件,接受訂單。2）偽造大量用戶,發電子郵件,窮盡商家資源、使合法用戶不能正常訪問網絡資源。3)冒充他人身份,進行消費和栽贓等。1．5對交易行為進行抵賴或不承認。1)發信者事后否認曾經發送過某條消息或內容。2)收信者事后否認曾經收到過某條消息或內容。3)購買者不承認確認了的訂單。4)商家賣出的商品因價格差而不承認原有的交易。2．電子商務中的信息安全防范技術

2．1數據加密技術加密技術是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉換成為無意義的密文，阻止非法用戶理解原始數據，從而確保數據的保密性。按加密密鑰與解密密鑰的對稱性可分為對稱型加密、不對稱型加密、不可逆加密。在網絡安全技術中，加密技術是保障信息安全最關鍵和最基本的技術手段和理論基礎，但是由于大部分數據加密算法都源于美國，且受到美國出口管制法的限制，無法在互聯網上大規模使用，從而限制了以加密技術為基礎網絡安全解決方案的應用。2．2密鑰管理技術密鑰管理包括確保所產生的密鑰具有必要的屬性，把密鑰提前通知給需要它的特定系統，確保密鑰按要求得到保護以阻止暴露和／或替代。其中，對稱密鑰管理是基于共同保守秘密來實現的，采用對稱加密技術的雙方必須保證采用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時還要設定防止密鑰泄漏和更改密鑰的程序。使用公開密鑰的交易雙方可以使用證書(公開密鑰證書)來交換公開密鑰。國際電聯指定的X509對37福建電腦2008年第11期數字證書進行了定義，數字證書能夠起到標識交易雙方的作用，是目前電子商務廣泛使用的技術之一。2．3身份認證技術網上安全交易的基礎是數字證書。要建立安全的電子商務系統,必須首先建立一個穩固、健全的數字證書和認證中心(CA)。數字簽名是利用數字技術實現在網絡傳送文件時，附加個人標記，完成傳統意義上手書簽名或印章的作用，以表示確認、負責、經手等。使用數字簽名可以保證交易中的認證性和不可否認性。數字簽名可以防范：接收方偽造、發送者或接收者否認、第三方冒充、接收方篡改。常見的數字簽名技術有：RSA數字簽名、DSA數字簽名、橢圓曲線數入侵檢測技術通常通過基于應用的監控技術、基于主機的監控技術、基于目標的監控技術和基于網絡的監控技術四種檢測技術來抵御攻擊。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。認證機制是保護電子商務安全的第一條防線。任何一個在架構設計上、代碼開發中以及認證的實現時所出現的小的漏洞或不足，都有可能使電子商務處在被攻擊的風險中。因此，加強對認證攻擊的充分認識和了解，并在系統開發時選擇合適的防御措施，就可以從根本上對某些攻擊進行有效的屏蔽，減少后期頻繁維護所付出的代價，達到事半功倍的效果。2．4網絡安全掃描技術安全掃描技術是對網絡的各個環節提供可靠的分析結果，并為系統管理員提供可靠性和安全性分析報告等。包括端口掃描技術和漏洞掃描技術等。2．5病毒防范技術計算機病毒實際上就是一種在計算機系統運行過程中能夠實現傳染和侵害計算機系統的功能程序。病毒經過系統穿透或違反授權攻擊成功后，攻擊者通常要在系統中植入木馬或邏輯炸彈等程序，為以后攻擊系統、網絡提供方便條件。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁的掃描和監測，工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。2．6電子認證技術為了保證電子商務安全因素的順利實現，在電子商務中使用了基于公鑰體系的安全系統。基于公鑰體系的加密系統是按對生成的，每對密鑰由公鑰和私鑰組成，實際應用中，公鑰是以證書性質存放的，一個最基本而又是最關鍵的問題是公鑰的分發，也就是證書的分發，如果證書不能得到有效安全的分發，所有的上層應用軟件就不能得到安全的保障，解決問題的方法就是建立認證機構體系CA。2．7防火墻技術防火墻(Firewall)是近年來發展最重要的安全技術，它是通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全的一種手段，核心思想是在不安全的網絡環境中構造一個相對安全的子網環境。它所保護的對象是網絡中有明確閉合邊界的一個網塊，而它所防范的對象是來自被保護網塊外部的安全威脅。目前的防火墻分為兩大類，一類是簡單的包過濾技術，它是在網絡層對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯，檢查數據流中每個數據包后，根據數據包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態等因素來確定是否允許數據包通過。另一類是應用網管和服務器，其顯著的優點是較容易提供細顆粒度的存取控制，其可針對特別的網絡應用服務協議及數據過濾協議，并且能夠對數據包分析并形成相關的報告。通過應用防火墻技術，可以做到通過過濾不安全的服務，極大地提高網絡安全和減少網絡中主機的風險。但防火墻是一種基于網絡邊界的被動安全技術，對內部未授權訪問難以有效控制，因此較適合于內部網絡相對獨立，且與外部網絡的互連途徑有限、網絡服務種類相對集中的網絡。2．8入侵檢測技術入侵檢測技術是一種利用入侵者留下的痕跡，如試圖登錄的失敗記錄等信息來有效地發現來自外部或內部的非法入侵的技術。它以探測與控制為技術本質，起著主動防御的作用，是網絡安全中極其重要的部分。

3．企業實現電子商務的安全策略安全問題是企業應用電子商務最擔心的問題,如何保障電子商務活動的安全,一直是電子商務的核心研究領域。作為一個安全的電子商務系統,必須采用相應的網絡安全策略。安全策略包括網絡安全問題的總原則、對安全使用的要求以及如何保障網絡的安全運行。3.1制定安全策略時首先確定的最重要的原則拒絕訪問明確準許以外的所有服務。當前一些電子商務企業的安全策略存在兩個誤區:首先,企業所采取的操作系統的標準安全策略存在問題,這一標準安全策略只能提供一道脆弱的防線,很容易被攻破;其次,為滿足多種安全需求,許多企業以零碎的方式實施節點式解決方案,這雖然對電子商務的某些領域提供了有限的保護,但同時使系統管理更為復雜。阻止外來系統入侵只是電子商務安全的一個方面。成功的電子商務安全策略,必須涵蓋身份識別與認證、隱私與欺騙控制、管理與審計等傳統領域。3.2安全策略制定時還應注意的問題3.2.1將需保護的對象分類,確定需保護的資源及其保護級別;規定可以訪問資源的實體和可執行的動作;規定審計功能,記錄用戶活動及資源使用情況。3.2.2系統的安全應從物理上、技術上、管理制度上以及安全教育上全方位采取措施,相互彌補和完善,盡可能地排除安全漏洞。3.2.3根據企業的實際需要確定內部網的服務類型,規定內部用戶和外部用戶能夠使用的服務種類,建立網管站,并制定出切實可行的安全管理制度。此外還需完善電子商務企業內部安全管理體制,增強相關人員的安全意識。

4．結束語電子商務尚是一個機遇和挑戰共存的新領域,這種挑戰不僅來源于傳統的習慣,來源于計劃經濟體制和市場經濟體制的沖突,更來源于對可使用的安全技術的信賴。企業在應用電子商務時,應采取一系列的安全技術和安全策略。這種種安全措施的采用,一定能保證企業進行安全的電子商務活動。

參考文獻：

1.韓磊石松:淺談電子商務中信息安全問題[J].臨沂師范學院學報，2001；(8)：136-139

2.黃發文:計算機網絡安全技術初探[J].計算機應用研究，2002(5):46-48

3.林柏鋼.網絡與信息安全教程[M].機械工業出版社,2005.

篇（2）

一、電子商務網絡信息安全存在的問題

電子商務的前提是信息的安全性保障，信息安全，勝的含義主要是信息的完整性、可用性、保密險和可靠性。因此電子商務活動中的信安全問題主要體現在以兩個方面:

1、網絡信息安全方面

(l)安全協議問題。目前安全協議還沒有全球性的標準和規范，相對制約了國際性的商務活動。此外，在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

(3)防病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介，不少新病毒直接以網絡作為自己的傳播途徑，在電子商務領域如何有效防范病毒也是一個十分緊迫的問題。

(4)服務器的安全問題。裝有大量與電子商務有關的軟件和商戶信息的系統服務器是電子商務的核心，所以服務器特別容易受到安全的威脅，并且一旦出現安全問題，造成的后果會非常嚴重。

2、電子商務交易方面

(1)身份的不確定問題。由于電子商務的實現需要借助于虛擬的網絡平臺，在這個平臺上交易雙方是不需要見面的，因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易。

(2)交易的抵賴問題。電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認，以推卸自己應承擔的責任。

(3)交易的修改問題。交易文件是不可修改的，否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改，以保證商務交易的嚴肅和公正。

二、電子商務中的網絡信息安全對策

1、電子商務網絡安全的技術對策

(1)應用數字簽名。數字簽名是用來保證信息傳輸過程中信息的完整和提供信息發送者身份的認證，應用數字簽名可在電子商務中安全，方便地實現在線支付，而數據傳輸的安全性、完整性，身份驗證機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決。(2)配置防火墻。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能阻止網絡中的黑客來訪問你的網絡，防止他們更改、拷貝、毀壞你的重要信息。它能控制網絡內外的信息交流，提供接人控制和審查跟蹤，是一種訪問控制機制。在邏輯，防火墻是一個分離器、限制器，能有效監控內部網和工nternet之間的任何活動，保證內部網絡的安全。

(3)應用加密技術。密鑰加密技術的密碼體制分為對稱密鑰體制和公用密鑰體制兩。相應地，對數據加密的技術分為對稱加密和非討稱力日密兩類。根據電子商務系統的特點，全面加密保護應包括對遠程通信過程中和網內通信過程中傳輸的數據實施加密保護。一般來說，應根據管理級別所對應的數據保密要求進行部分加密而非全程加密。

2、電子商務網絡安全的管理策略

(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統運行狀況保密、工作日記保密等各個方面。對各類保密都需要慎重考慮，根據輕重程度劃分好不同的保密級別，并制定出相應的保密措施。

(2)建立系統維護制度。該制度是電子商務網絡系統能否保持長期安全、穩定運行的基本保證，應由專職網絡管理技術人員承擔，為安全起見，其他任何人不得介人，主要做好硬件系統日常借理維護和軟件系統日常管理維護兩方面的工作。

(3)建立病毒防范制度。病毒在網絡環境下具有極大的傳染性和危害性，除了安裝防病毒軟件之外，還要及時升級防病毒軟件版本、及時通報病毒人侵信息等工作。此外，還可將網絡系統中易感染病毒的文件屬性、權限加以限制，斷絕病毒人侵的渠道，從而達預防的目的。

(4)建立數據備份和恢復的保障制度。作為一個成功的電子商務系統，應針對信息安全至少提供三個層面的安全保護措施:一是數據在操作系統內部或者盤陣中實現快照、鏡像;二是對數據庫及郵件服務器等重要數據做到在電子交易中心內的自動備份;三是對重要的數據做到通過廣域網專線等途徑做好數據的克隆備份，通過以土保護措施可為系統數據安全提供雙保險。

三、電子商務的網絡安全體系結構

電子商務的網絡信息安全不僅與技術有關，更與社會因素、法制環境等多方面因素有關。故應對電子商務的網絡安全體系結構劃分如下:

1.電子商務系統硬件安全。主要是指保護電子商務系統所涉及計算機硬件的安全性，保證其可靠哇和為系統提供基礎性作用的安全機制。

2.電子商務系統軟件安全。主要是指保證交易記錄及相關數據不被篡改、破壞與非法復制，系統軟件安全的目標是使系統中信息的處理和傳輸滿足整個系統安全策略需求。

3.電子商務系統運行安全。主要指滿足系統能夠可靠、穩定、持續和正常的運行。

篇（3）

電子商務是一個跨國界，跨地區，跨行業的多種技術綜合集成與不同社會經濟文化背景形成的各種習俗不斷沖突，不斷協調和不斷統一的綜合性社會系統工程。電子商務安全策略保障電子商務各個主體的切身利益。電子商務安全策略是以人為本，從各主體的角度思考，綜合協調了各個市場主體的行為，從根本上保障了消費者、企業、電子商務網站等市場主體的切身利益，它為實現電子商務提供了統一的基礎平臺和安全屏障。

一、電子商務安全技術保障策略

安全技術保障技術是電子商務安全體系中的基本策略，目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有以下幾種：

1.密碼技術。密碼技術包括加密技術和解密技術。加密是將信息經過加密密鑰及加密函數轉換，變成無意義的密文。而解密則是將密文經過解密函數、解密密鑰處理還原成原文。密碼技術是網絡安全技術的基礎。

2.身份驗證技術。電子商務主體向系統證明自己身份，并由系統查核該主體的過程，是確認真實有效身份的重要環節，這個過程叫作身份驗證。常用的驗證技術有報文鑒別、身份鑒別和電子簽名。

3.訪問控制技術。訪問控制是指對電子商務網絡系統中各種資源訪問時的權限確認，防止非法訪問。它包括有關的策略、模型、機制的基礎理論與實現方法。

4.防火墻技術。防火墻是用一組網絡設備來加強一個網絡與外界之間的訪問控制。防火墻整體可以分為三大類：分組過濾、應用、電路網關。

二、企業電子商務安全運營管理制度保障策略

企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定，是保證企業取得電子商務成功的基礎，是企業電子商務人員工作的規范和準則。這些制度主要包括人員管理制度，保密制度，跟蹤審計制度，系統維護制度、數據備份制度等。

1.人員管理制度人員管理制度主要從人員的選拔，工作責任的落實和安全運作必須遵循的基本原則制定相應的工作制度。

2.保密制度電子商務系統涉及企業的市場、生產、財務、供應鏈等多方面的機密，這些方面都是需要很好地劃分信息安全級別，并確定安全防范重點，提出相應的保密措施。

3.跟蹤審計制度跟蹤制度就是要求企業建立網絡交易的日志機制，來記錄網絡交易的全過程。而審計制度是對系統日志的經常檢查、審核，及時發現對系統有安全隱患的記錄，監控各種安全事故，維護和管理系統日志。

4.網絡系統的日常維護制度網絡系統的日常維護包括硬件的日常維護和軟件的日常維護，硬件維護主要是對網絡設備服務器和客戶機以及通信線路進行定期規范地巡查、檢修；軟件維護主要是規范地對支撐軟件的定期清理和整理、監測、處理特殊情況以及對應用軟件的升級等。

5.數據備份制度數據備份主要是利用多種介質對信息系統數據進行存儲，定期為重要信息備份、系統設備備份，并定期更新，以減少安全事故發生時造成的損失。

三、電子商務立法策略

電子商務安全得到法律保障，首先必須完善電子商務安全相關的法律。如何構建一個有針對性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。

1.立法目的電子商務安全立法的目的主要是要消除電子商務發展的法律障礙；消除現有法律適用上的不確定性，保護合理的商業行為，保障電子交易安全；建立一個清晰的法律框架以統一調整電子商務的健康發展。

2.立法范圍電子商務安全方面需要的法律法規主要有：市場準入制度、合同有效認證辦法、電子支付系統安全措施、信息保密防范辦法，知識產權侵權處理規定、以及廣告的管制、網絡信息內容過濾等；電子商務調整的對象是電子商務中的各種社會關系。[3.立法途徑電子商務法律仍然是調整社會關系，所以應當繼承傳統立法的合理內核，尤其是基礎價值觀。具體的立法途徑主要是兩種：第一是制定新的法律規范。對于傳統法律沒有規定的，即由電子商務帶來的新的社會關系，應盡快制定法律規范；第二是修改或重新解釋既定的法律規范。對于傳統法律的規定不明確，或與電子商務新型社會關系有沖突甚至存在缺欠的，可以修改或重新解釋既定的法律規范。

四、政府監督管理策略

電子商務本質是一種市場運作模式，市場的正常健康有序地發展，必須有政府宏觀上的監督與管理，以協調和規范各市場主體的行為，宏觀監督與管理電子商務運行中的安全保障體系。

1.計算機信息系統安全管理計算機信息系統，是指“由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。”計算機安全保護規范主要有計算機安全等級保護制度，計算機系統使用單位安全負責制度，計算機案件強行報告制度，計算機病毒及其有害數據的專管制度與計算機信息安全專用產品銷售許可證制度。對計算機信息系統安全的保護，有利于保障國家的安全和社會安定，促進電子商務的安全交易過程，有利電子商務的健康發展。

2.網絡廣告和網絡服務業管理由于網絡的開放性，自由性等特征決定了網絡廣告監管的難度，虛假廣告、廣告充斥著網絡空間，網絡廣告已經發展成為一個社會問題。網絡廣告管理應該從三個方面入手：第一，網絡廣告組織的管理，必須對網站廣告經營主體資格進行管制，第二，規范網絡廣告內容，確保廣告內容的真實性、合法性和科學性。第三，需要有具體的廣告審查管制、評估與監測部門。

國家針對網絡服務業和網絡用戶管理已經頒布了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》，其中提出了詳細具體的限制條件。但是，網絡飛速發展，面對網絡中的新問題，還必須進一步深入全面地研究。

3.認證機構管理認證機構是電子商務活動中專門從事頒發認證證書的機構，對電子商務交易活動順利進行，電子商務活動中交易參與各方身份和信息認定，維護交易安全具有重要作用。對認證機構的管理主要是通過對設立的條件、撤消或者頒發許可證等營業資格而進行審批監督；同時，還要針對其資產和財務狀況定期審查，以免發生財務危機，對其信息披露與保密情況、安全系統運行情況等方面進行不定期或定期監督檢查。

4.加強社會信用道德建設，構建和諧安全電子商務電子商務安全問題其中有很大部分是由電子商務用戶或從業人員的信用道德問題引發的，在我國尤其嚴重，甚至大家感嘆電子商務在我國“水土不服”。對于新型的商業運作模式，必然存在不少漏洞，這需要廣大電子商務市場主體有良好的電子商務道德意識。除了從法律上采取措施，更重要的是政府要加強電子商務市場主體自身的道德建設,加強輿論監督和企業自律，充分利用網絡新聞輿論監督，消費者輿論監督和行業協會的管理監督。

五、結束語

電子商務安全不僅涉及到電子商務公司、企業、消費者的利益，而且更加廣泛地涉及經濟、政治、國防、文化等諸多方面，關系到國家的安全、和社會的穩定。電子商務安全策略確保電子商務的快速、健康地發展。電子商務安全是目前電子商務發展的瓶頸，只有解決了電子商務安全，保障了市場主體的利益，才能得到網絡用戶的認可和參與，電子商務自身也才能得到快速、健康地發展。

參考文獻

[1]林寧，吳志剛.我國信息安全技術標準化現狀[J].中國標準化，2007（4）

篇（4）

伴隨經濟的迅猛發展，電子商務成為當今世界商務活動的新模式。要在國際競爭中贏得優勢，必須保證電子商務中信息交流的安全。

一、電子商務的信息安全問題

電子商務信息安全問題主要有：

1.信息的截獲和竊取：如果采用加密措施不夠，攻擊者通過互聯網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據，獲取機密信息或通過對信息流量、流向、通信頻度和長度分析，推測出有用信息。2.信息的篡改：當攻擊者熟悉網絡信息格式后，通過技術手段對網絡傳輸信息中途修改并發往目的地，破壞信息完整性。3.信息假冒：當攻擊者掌握網絡信息數據規律或解密商務信息后，假冒合法用戶或發送假冒信息欺騙其他用戶。4.交易抵賴：交易抵賴包括多方面，如發信者事后否認曾發送信息、收信者事后否認曾收到消息、購買者做了定貨單不承認等。

二、信息安全要求

電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:

1.信息保密性：維護商業機密是電子商務推廣應用的重要保障。由于建立在開放網絡環境中，要預防非法信息存取和信息傳輸中被竊現象發生。2.信息完整性：貿易各方信息的完整性是電子商務應用的基礎，影響到交易和經營策略。要保證網絡上傳輸的信息不被篡改，預防對信息隨意生成、修改和刪除，防止數據傳送中信息的失和重復并保證信息傳送次序的統一。3.信息有效性：保證信息有效性是開展電子商務前提，關系到企業或國家的經濟利益。對網絡故障、應用程序錯誤、硬件故障及計算機病毒的潛在威脅控制和預防，以保證貿易數據在確定時刻和地點有效。4.信息可靠性：確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵。為防止計算機失效、程序錯誤、系統軟件錯誤等威脅，通過控制與預防確保系統安全可靠。

三、信息安全技術

1.防火墻技術。防火墻在網絡間建立安全屏障，根據指定策略對數據過濾、分析和審計，并對各種攻擊提供防范。安全策略有兩條：一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流，再審查要求通過信息，符合條件就通過；二是“凡是未被禁止就是允許”。防火墻先轉發所有信息，然后逐項剔除有害內容。

防火墻技術主要有：(1)包過濾技術：在網絡層根據系統設定的安全策略決定是否讓數據包通過，核心是安全策略即過濾算法設計。(2)服務技術：提供應用層服務控制，起到外部網絡向內部網絡申請服務時中間轉接作用。服務還用于實施較強數據流監控、過濾、記錄等功能。(3)狀態監控技術：在網絡層完成所有必要的包過濾與網絡服務防火墻功能。(4)復合型技術：把過濾和服務兩種方法結合形成新防火墻，所用主機稱為堡壘主機，提供服務。(5)審計技術：通過對網絡上發生的訪問進程記錄和產生日志，對日志統計分析，對資源使用情況分析，對異常現象跟蹤監視。(6)路由器加密技術：加密路由器對通過路由器的信息流加密和壓縮，再通過外部網絡傳輸到目的端解壓縮和解密。2.加密技術。為保證數據和交易安全，確認交易雙方的真實身份，電子商務采用加密技術。數據加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有：(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開；得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲：貿易方甲用另一把專用密鑰對加密信息解密。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方，保證傳輸信息的保密和安全。(2)數字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數字指紋，有固定長度且不同明文摘要成密文結果不同，而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。(3)數字簽名:將數字摘要、公用密鑰算法兩種加密方法結合。在書面文件上簽名是確認文件的手段。簽名作用有兩點：一是因為自己簽名難以否認，從而確認文件已簽署；二是因為簽名不易仿冒，從而確定文件為真。(4)數字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容，數字時間戳服務能提供電子文件發表時間的安全保護。

3.認證技術。安全認證的作用是進行信息認證。信息認證是確認信息發送者的身份，驗證信息完整性，確認信息在傳送或存儲過程中未被篡改。(1)數字證書:也叫數字憑證、數字標識，用電子手段證實用戶身份及對網絡資源的訪問權限，可控制被查看的數據庫，提高總體保密性。交易支付過程中，參與各方必須利用認證中心簽發的數字證書證明身份。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心。無論是數字時間戳服務還是數字證書發放，都需要有權威性和公正性的第三方完成。CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構，受理數字證書的申請、簽發及對數字證書管理。

4.防病毒技術。(1)預防病毒技術，通過自身常駐系統內存，優先獲取系統控制權，監視系統中是否有病毒，阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術，通過對計算機病毒特征進行判斷的偵測技術，如自身校驗、關鍵字、文件長度變化。(3)消除病毒技術，通過對計算機病毒分析，開發出具有殺除病毒程序并恢復原文件的軟件。另外要認真執行病毒定期清理制度，可以清除處于潛伏期的病毒，防止病毒突然爆發，使計算機始終處于良好工作狀態。

四、結語

信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術，提高電子商務系統的安全性和可靠性。但電子商務的安全運行，僅從技術角度防范遠遠不夠，還必須完善電子商務立法，以規范存在的各類問題，引導和促進我國電子商務快速健康發展。

參考文獻:

篇（5）

1．對稱密鑰加密體制

對稱密鑰加密，又稱私鑰加密，即信息的發送方和接收方用一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快，適合于對大數據量進行加密，但密鑰管理困難。

使用對稱加密技術將簡化加密的處理，每個參與方都不必彼此研究和交換專用設備的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過使用對稱加密方法對機密信息進行加密以及通過隨報文一起發送報文摘要或報文散列值來實現。

2．非對稱密鑰加密體制

非對稱密鑰加密系統，又稱公鑰密鑰加密。它需要使用一對密鑰來分別完成加密和解密操作，一個公開，即公開密鑰，另一個由用戶自己秘密保存，即私用密鑰。信息發送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。

在非對稱加密體系中，密鑰被分解為一對。這對密鑰中的任何一把都可作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把則作為私用密鑰（解密密鑰）加以保存。私用密鑰只能由生成密鑰對的貿易方掌握，公開密鑰可廣泛。

該方案實現信息交換的過程是：貿易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿易方公開；得到該公開密鑰的貿易方乙使用該密鑰對信息進行加密后再發送給貿易方甲；貿易方甲再用自己保存的另一把專用密鑰對加密信息進行解密。

認證技術

安全認證的主要作用是進行信息認證。信息認證的目的為：（1）確認信息發送者的身份；2）驗證信息的完整性，即確認信息在傳送或存儲過程中未被篡改過。下面從安全認證技術和安全認證機構兩個方面來做介紹。

1．常用的安全認證技

安全認證技術主要有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等。

（1）數字摘要

數字摘要是采用單向Hash函數對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼，并在傳輸信息時將之加入文件一同送給接收方，接收方收到文件后，用相同的方法進行變換運算，若得到的結果與發送來的摘要碼相同，則可斷定文件未被篡改，反之亦然。

（2）數字信封

數字信封是用加密技術來保證只有規定的特定收信人才能閱讀信的內容。在數字信封中，信息發送方采用對稱密鑰來加密信息，然后將此對稱密鑰用接收方的公開密鑰來加密（這部分稱為數字信封）之后，將它和信息一起發送給接收方，接收方先用相應的私有密鑰打開數字信封，得到對稱密鑰，然后使用對稱密鑰解開信息。這種技術的安全性相當高。

（3）數字簽名

日常生活中，通常用對某一文檔進行簽名來保證文檔的真實有效性，防止其抵賴。在網絡環境中，可以用電子數字簽名作為模擬。

把Hash函數和公鑰算法結合起來，可以在提供數據完整性的同時保證數據的真實性。完整性保證傳輸的數據沒有被修改，而真實性則保證是由確定的合法者產生的Hash，而不是由其他人假冒。而把這兩種機制結合起來就可以產生數字簽名。

（4）數字時間戳

在書面合同中，文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關鍵性內容。而在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數字時間戳服務就能提供電子文件發表時間的安全保護。數字時間戳服務（DTS）是網絡安全服務項目，由專門的機構提供。時間戳是一個經加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數字簽名。

（5）數字證書

在交易支付過程中，參與各方必須利用認證中心簽發的數字證書來證明各自的身份。所謂數字證書，就是用電子手段來證實一個用戶的身份及用戶對網絡資源的訪問權限。

數字證書是用來惟一確認安全電子商務交易雙方身份的工具。由于它由證書管理中心做了數字簽名，因此任何第三方都無法修改證書的內容。任何信用卡持有人只有申請到相應的數字證書，才能參加安全電子商務的網上交易。數字證書一般有四種類型：客戶證書、商家證書、網關證書及CA系統證書。

2．安全認證機構

電子商務授權機構（CA）也稱為電子商務認證中心（CertificateAuthority）。在電子交易中，無論是數字時間戳服務還是數字證書的發放，都不是靠交易雙方自己能完成的，而需要有一個具有權威性和公正性的第三方來完成。

認證中心（CA）就是承擔網上安全交易認證服務，能簽發數字證書，并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構，主要任務是受理數字證書的申請、簽發及對數字證書的管理。

安全認證協議

目前電子商務中有兩種安全認證協議被廣泛使用，即安全套接層SSL（SecureSocketsLayer）協議和安全電子交易SET（SecureElectronicTransaction）協議。

1．安全套接層（SSL）協議

安全套接層協議是由Netscape公司1994年設計開發的安全協議，主要用于提高應用程序之間的數據的安全系數。SSL協議的概念可以被概括為：它是一個保證任何安裝了安全套接層的客戶和服務器間事務安全的協議，該協議向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施。目的是為用戶提供Internet和企業內聯網的安全通信服務。

SSL采用了公開密鑰和專有密鑰兩種加密：在建立連接過程中采用公開密鑰；在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務器間事務的安全性。

篇（6）

一移動電子商務存在的安全問題分析

移動電子商務由于利用了很多新興的設備和技術，因此帶來了很多新的安全問題。在傳統電子商務中，很多顧客和企業由于擔心因安全問題蒙受損失而一直對這種高效便捷的商務方式持觀望態度。而移動電子商務除包含大部分傳統電子商務所面臨的各種安全問題外，由于自身的移動性所帶來的一些相關特性又產生了大量全新的安全問題。總的來說，移動電子商務的安全面臨著技術、管理和法律幾個方面的挑戰，與傳統電子商務相比，其安全問題更加復雜，解決起來難度更大。

1.無線竊聽

傳統的有線網絡是利用通信電纜作為傳播介質，這些介質大部分處于地下等一些比較安全的場所，因此中間的傳輸區域相對是受控制的。而在無線通信網絡中，所有的通信內容（如移動用戶的通話信息、身份信息、位置信息、數據信息等）都是通過無線信道傳送的，無線信道是一個開放性信道，是利用無線電波進行傳播的，在無線網絡中的信號很容易受到攔截并被解碼，只要具有適當的無線接收設備就可以很容易實現無線監聽，而且很難被發現。

2.非授權訪問數據

非授權訪問是指未經授權的主體獲得了訪問網絡資源的機會，并有可能篡改信息資源。攻擊者能在服務網內竊聽、非授權訪問用戶的敏感數據。這種訪問通常是通過在不安全信道上截取正在傳輸的信息或者利用技術及產品中固有的弱點來實現。

3.假冒攻擊

在無線通信網絡中，移動站必須通過無線信道傳送其身份信息，以便于網絡控制中心以及其他移動站能夠正確鑒別它的身份。由于無線信道傳送的任何信息都可能被竊聽，當攻擊者截獲到一個合法用戶的身份信息時，他就可以利用這個身份信息來假冒該合法用戶，這就是所謂的身份假冒攻擊。另外，主動攻擊者還可以假冒網絡控制中心。如在移動通信網絡中，主動攻擊者可能假冒網絡基站來欺騙移動用戶，以此手段獲得移動用戶的身份信息，從而假冒該移動用戶身份。

4.移動終端的安全管理問題

很多用戶容易將比較機密的個人資料或商業信息存儲在移動設備當中，如PIN碼、銀行帳號甚至密碼等，原因是這些移動設備可以隨身攜帶，數據和信息便于查找。但是由于移動設備體積較小，而且沒有建筑、門鎖和看管保證的物理邊界安全，因此很容易丟失和被竊。很多用戶對他們的移動設備沒有設置密碼保護，對存儲信息沒有備份，在這種情況下丟失數據或被他人惡意盜用，都將會造成很大的損失。

二電子商務安全管理的解決之策

1.身份認證技術

信息安全的一個重要方面是保證通信雙方身份的真實性，即防止攻擊者對系統進行主動攻擊，如假冒用戶等。身份認證是防止攻擊者主動攻擊的一個重要技術，它對于開放環境別是無線通信中各種信息的安全有重要作用。認證的主要目的，第一驗證消息發送者和接收者的真偽，第二驗證消息的完整性，驗證消息在傳送或存儲過程中是否被篡改、重放或延遲等。口令是最簡單的身份認證技術，安全性較差，因此有一次性口令等多種技術來提高它的安全性。利用密碼技術，特別是公鑰密碼技術可以獲得安全性較高的身份認證功能。保密和認證是信息系統安全的兩個重要方面，它們是兩個不同屬性的問題，一般來說，認證不能自動提供保密，保密不能自然地提供認證功能。

2.WPKI技術

在有線通信中，電子商務交易的一個重要安全保障是PKI。PKI的系統概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題，但在應用PKI的同時要考慮到移動通信環境的特點，并據此對PKI技術進行改進。

3.安全管理模型的建立及實施

對移動電子商務系統的管理過程是一個動態的管理過程，是一個循環反復、螺旋上升的過程，論文嘗試建立一個“閉環”管理模型，將安全管理的各個階段融入于模型之中，然后不斷連續審查整個過程，發現問題時及時更新，及時解決，以便形成越來越完善的安全系統。

制定一套完整的安全方案一套完整的安全方案是實現移動電子商務系統安全的有力保障，移動服務提供商應結合自己實際狀況，從人力、物力、財力等各方面做好部署與配置。由于

安全方案涉及到了安全理論、安全產品、網絡技術、系統技術實現等多方面專業技能，并且要求有較高的認知能力，因此可以聘請專業安全顧問公司來完成，大多安全顧問公司在做安全方案方面有著豐富的經驗，能夠制定出符合需要的合理的安全方案來。

4.制定并貫徹安全管理制度

篇（7）

一、前言

電子商務全球化的發展趨勢中，電子商務交易的信用危機也悄然襲來，虛假交易、假冒行為、合同詐騙、侵犯消費者合法權益等各種違法違規行為屢屢發生，這些現象在很大程度上制約了我國電子商務乃至全球電子商務快速、健康發展。限制電子商務的發展主要因素就是電子支付手段的安全性。

二、主要的電子支付手段及其安全性分析

1.電子信用卡

(1)支付方式:信用卡支付是電子支付中最常用的工具，方法是在Internet環境下通過標準的SET協議進行網絡支付，用戶在網上發送信用卡號和密碼，加密后發送到銀行進行支付。支付過程中要進行用戶、商家及付款要求的合法性驗證。

(2)安全策略:電子信用卡，是通過用戶在網上輸入賬號/密碼+數字簽名，這些信息都是通過SET或者SSL協議的支付網關平臺直接與銀行進行相關支付信息的安全交互，進行網絡支付，這種支付方式的安全性是可以得到保證的。

(3)安全隱患:單純從技術上來說，無安全隱患問題。

2.電子支票

(1)支付方式:電子支票是利用數字化手段進行網上支付，支付過程與傳統支票的支付過程相似，只是電子支票完全拋開了紙質的媒介，其支票的形式是通過網絡傳播，并用數字簽名代替了傳統的簽名方式。其交易流程如下:

(2)安全策略:和電子信用卡一樣，采用賬號/密碼+數字簽名的方式進行身份驗證。其支付目前一般是通過專用網絡、設備、軟件及一套完整的用戶識別、標準報文、數據驗證等規范化協議完成數據傳輸，從而控制安全性，從上面的交易流程，我們可以看到，電子支票的支付在專用系統上有可靠的安全措施的。

(3)安全隱患:專用網絡上的應用具有成熟的模式（例如SWIFT(環球銀行金融通訊協會、SocietyforWorldwideInterbankFinancialTelecommunication)系統）;公共網絡上的點的資金轉賬仍在實驗之中。

3.電子現金

(1)支付方式:電子現金是一種以數字化形式存在的現金貨幣，它同信用卡不一樣，信用卡本身并不是貨幣，只是一種轉賬手段，而電子現金本身就是一種貨幣，是一種以數據形式存在的現金貨幣。它把現金數值轉換成為一系列的加密序列數，通過這些序列數來表示現實中各種金額的幣值。可以直接用來購物。電子現金具有如下特點:匿名;節省交易費用;支付靈活方便；安全存儲。

(2)安全策略:沒有適當的身份認證機制，是匿名的，為防止被偽造，電子現金的傳輸是經過數字簽名的。

(3)安全隱患:①逃稅:由于電子現金可以實現跨國交易，稅收和洗錢將成為潛在的問題。電子現金不像真實的現金一樣，流通時不會留下任何記錄，稅務部門很難追查，所以即使將來調整了國際稅收規則，由于其不可跟蹤性，電子現金很可能被不法分子用以逃稅。②洗錢:電子現金使洗錢也變得很容易。因為利用電子現金可以將錢送到世界上的任何地方而不留痕跡，如果調查機關想要獲取證據，需要檢查網上所有的數據并破譯所有的密碼，這幾乎是不可能的。目前惟一的辦法是建立一定的密鑰托管機制，使政府在一定條件下能夠獲得私人的密鑰，而這又會損害客戶的隱私權，但作為預防洗錢等違法行為的措施，許多國家已經開始了這種做法。

③擾亂金融秩序：電子現金的法律地位一直難以確定。這是因為按照貨幣的實質和網絡無國界性來推斷，各國中央銀行的地位都將受到挑戰，因為任何一個有實力、有信譽的全球性公司，都可以發行購買其產品或服務的數字化等價物，從而避開銀行的繁瑣手續和稅收。而這會擾亂一國的金融秩序，任何國家都不會允許。

④重復消費:由于電子序列號可以被復制，因此需要一個大型的數據庫存儲用戶完成的交易和E-Cash序列號以防止重復消費，這對于軟件和硬件的要求都很高，因此很多銀行都不支持電子現金業務。

4.移動支付

(1)支付方式:移動支付系統將為每個移動用戶建立一個與其手機號碼關聯的支付賬戶，為移動用戶提供了一個通過手機進行交易支付和身份認證的途徑。用戶通過撥打電話、發送短信或者使用WAP功能接入移動支付系統，移動支付系統將此次交易的要求傳送給MASP，由MASP確定此次交易的金額，并通過移動支付系統通知用戶，在用戶確認后，付費方式可通過多種途徑實現，如直接轉入銀行、用戶電話賬單或者實時在專用預付賬戶上借記，這些都將由移動支付系統來完成。

(2)安全措施：身份驗證方式采用個人賬號/密碼的方式。對交易中的部分敏感信息進行了加密。

篇（8）

電子商務以電子形式取代了紙張，如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式，其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。

2.信息機密性

電子商務作為貿易的一種手段，其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的，商業防泄密是電子商務全面推廣應用的重要保障。

3.信息完整性

電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各信息的差異。因此，電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。

4.信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕；不可抵賴性要求即是能建立有效的責任機制，防止實體否認其行為；可鑒別性要求即是能控制使用資源的人或實體的使用方式。

5.系統的可靠性

電子商務系統是計算機系統，其可靠性是防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。

二、電子商務的信息安全技術

1.數據加密技術

加密技術用于網絡安全通常有二種形式，即面向網絡或面向應用服務。面向網絡的加密技術通常工作在網絡層或傳輸層，使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息，從而保證網絡的連通性和可用性不受損害。面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法，這一類加密技術的優點在于實現相對較為簡單，不需要對電子信息（數據包）所經過的網絡的安全性能提出特殊要求，對電子郵件數據實現了端到端的安全保障。

1）電子商務領域常用的加密技術數字摘要(digitaldigest)

這一加密方法亦稱安全Hash編碼法，由RonRivest所設計。該編碼法采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數字指紋(FingerPrint)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是“真身”的“指紋”了。

數字簽名(digitalsignature)

數字簽名將數字摘要、公用密鑰算法兩種加密方法結合起來使用。主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要)，用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名。然后，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密，如果兩個散列值相同，那么接收方就能確認該數字簽名是發送方的，通過數字簽名能夠實現對原始報文的鑒別。概括的說，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。

數字時間戳(digitaltime-stamp)交

易文件中，時間是十分重要的信息。在電子交易中，需對交易文件的日期和時間信息采取安全措施，而數字時間戳服務(DTS)就能提供電子文件發表時間的安全保護。時間戳(time-stamp)是一個經加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要(digest)；DTS收到文件的日期和時間；DTS的數字簽名。

數字證書(digitalcertificate,digitalID)數字證書又稱為數字憑證，是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。目前，最有效的認證方式是由權威的認證機構為參與電子商務的各方發放證書，證書作為網上交易參與各方的身份識別，就好象每個公民都用身份證來證明身份一樣。認證中心作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任，是一個負責發放和管理數定證書的權威機構。因而網絡中所有用戶可以將自己的公鑰交給這個中心，并提供自己的身份證明信息，證明自己是相應公鑰的擁有者，認證中心審查用戶提供的信息后，如果確認用戶是合法的，就給用戶一個數字證書。這樣，每個成員只需和認證中心打交道，就可以查到其他成員的公鑰信息了。對于在網上進行交易的雙方來說，數字證書對他們之間建立信任是至關重要的。數字憑證有三種類型：個人憑證、企業（服務器）憑證、軟件（開發者）憑證；大部分認證中心提供前兩類憑證。

2.身份認證技術

為解決Internet的安全問題，初步形成了一套完整的Internet安全解決方案，即被廣泛采用的公鑰基礎設施（PKI）體系結構。PKI體系結構采用證書管理公鑰，通過第三方的可信機構CA，把用戶的公鑰和用戶的其他標識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網上驗證用戶的身份，PKI體系結構把公鑰密碼和對稱密碼結合起來，在Internet網上實現密鑰的自動管理，保證網上數據的機密性、完整性。

1）認證系統的基本原理

利用RSA公開密鑰算法在密鑰自動管理、數字簽名、身份識別等方面的特性，可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統。這個可信的第三方認證系統也稱為CA，CA為用戶發放電子證書，用戶之間利用證書來保證信息安全性和雙方身份的合法性。

2）認證系統結構

整個系統是一個大的網絡環境，系統從功能上基本可以劃分為CA、RA和WebPublisher。

核心系統跟CA放在一個單獨的封閉空間中，為了保證運行的絕對安全，其人員及制度都有嚴格的規定，并且系統設計為一離線網絡。CA的功能是在收到來自RA的證書請求時，頒發證書。

證書的登記機構RegisterAuthority，簡稱RA，分散在各個網上銀行的地區中心。RA與網銀中心有機結合，接受客戶申請，并審批申請，把證書正式請求通過建設銀行企業內部網發送給CA中心。

證書的公布系統WebPublisher，簡稱WP，置于Internet網上，是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數據庫。用戶的證書由CA頒發之后，CA用E－mail通知用戶，然后用戶須用瀏覽器從這里下載證書。

3.網上支付平臺及支付網關

網上支付平臺分為CTEC支付體系（基于CTCA/GDCS）和SET支付體系（基于CTCA/SET）。網上支付平臺支付型電子商務業務提供各種支付手段，包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。

支付網關位于公網和傳統的銀行網絡之間，其主要功能為：將公網傳來的數據包解密，并按照銀行系統內部的通信協議將數據重新打包；接收銀行系統內部的傳回來的響應消息，將數據轉換為公網傳送的數據格式，并對其進行加密。此外，支付網關還具有密鑰保護和證書管理等其它功能。

三、電子商務信息安全中的其它問題

1.內部安全

最近的調查表明，至少有75%的信息安全問題來自內部，在信用卡和商業詐騙中，內部人員所占的比例最大；

2.惡意代碼

它們將繼續對所有的網絡系統構成威脅，并且，其數量將隨著Internet的發展和編程環境的豐富而增多，擴散起來也更加便利，因此，造成的破壞也就越大；

3.可靠性差

目前，Internet主干網和DNS服務器的可靠性還遠遠不能滿足人們的要求，而絕大

部分撥號PPP連接質量并不可靠，且速度很慢；

4.技術人才短缺

由于Internet和網絡購物都是在近幾年得到了迅猛的發展，因而，許多地方都缺乏足夠的技術人才來處理其中遇到的各種問題，尤其是網絡購物具有24x7（每天24小時，每周7天都能工作）的要求，因而迫切需要有一大批專業技術人員對其進行管理。如果說加密技術是電子交易安全的“硬件”，那么人才問題則可以說是“軟件”。從某種意義上講，軟件的問題解決起來可能更不容易，因此，技術人才的短缺可能成為阻礙網絡購物發展的一個重要因素。

5.Web服務器的保護意識差

在交易過程中對數據進行保護只是保證交易安全的一個方面。由于交易的信息均存儲在服務器上，因此，即使保密信息被客戶端接收之后，也必須對存儲在服務器中的數據進行保護。目前，Web服務器是黑客們最喜歡攻擊的目標。因此，建議盡量不要將Web服務和連接到任何內部網絡，而且要定期對數據進行備份，以便于服務器被攻擊之后對數據進行恢復。當然，這畢竟有些不太現實，現在許多流行的Web應用都需要Web服務器與公司的數據庫進行交互式操作，這就要求服務器必須與公司內部網絡相連，而這個連接也就成為黑客們從Web站點侵入企業內部網絡的一條通路。雖然防火墻技術有助于對web站點進行保護，但商家卻很少安裝防火墻或對其缺乏有效的維護，因而沒有對Web服務器進行很好的保護，這是商家的Web站點尤其要引起注意的地方。

四、與電子商務安全有關的協議技術討論

1．SSL協議（SecureSocketsLayer）安全套接層協議———面向連接的協議。

SSL協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用WebServer方式。但它是一個面向連接的協議，在涉及多方的電子交易中，只能提供交易中客戶與服務器間的雙方認證，而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方間的安全傳輸和信任關系。

2.SET協議（SecureElectronicTransaction）安全電子交易———專門為電子商務而設計的協議。由于SET提供了消費者、商家和銀行之間的認證，確保了交易數據的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優點，因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。雖然它在很多方面優于SSL協議，但仍然不能解決電子商務所遇到的全部問題。

結束語

本文分析了目前電子商務的安全需求，使用的安全技術及仍存在的問題，并指出了與電子商務安全有關的協議技術使用范圍及其優缺點，但必須強調說明的是，電子商務的安全運行，僅從技術角度防范是遠遠不夠的，還必須完善電子商務立法，以規范飛速發展的電子商務現實中存在的各類問題，從而引導和促進我國電子商務快速健康發展。

［摘要］電子商務對人類社會經濟產生了重大影響，在創造巨大經濟效益的同時，也從根本上改變了整個社會商務活動發展進程。我國電子商務在曲折進程中，已有很大程度的發展,同時也存在諸多問題。本文客觀地分析了電子商務的安全需求、安全技術發展現狀及存在的問題，對加快電子商務的發展步伐提出了一些重要思考。

［關鍵詞］電子商務；安全需求；安全技術；

[參考文獻]

①姚立新，新世紀商務:電子商務的知識發展與運作，中國發展出版社，1999年。

②《中國電子商務年鑒》2003卷。

篇（9）

隨著無線通信技術的發展,移動電子商務已經成為電子商務研究熱點。移動電子商務是將現代信息科學技術和傳統商務活動相結合,隨時隨地為用戶提供各種個性化的、定制的在線動態商務服務。

但在無線世界里,人們對于進行商務活動安全性的考慮比在有線環境中要多。只有當所有的用戶確信,通過無線方式所進行的交易不會發生欺詐或篡改、進行的交易受到法律的承認和隱私信息被適當的保護時,移動電子商務才有可能蓬勃開展。

移動電子商務通信安全的現狀

由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實際上,主要的無線通信技術都有各自的措施、協議和方法來保證各自體制下的通信安全。這里我們將從無線網絡和電子商務應用兩個方面作簡要討論。

無線局域網

無線局域網絡是以無線連接至局域網絡的通訊方式。它采用的是IEEE802.11系列標準。在該標準中,無線局域網的安全機制采用的是WEP協議(有線對等安全協議)。在數據鏈路用WEP加密數據,保證了信道上傳送數據的安全。另外,無線局域網的網絡管理員分配給每個授權用戶一個基于WEP算法的密鑰,這樣就有效阻止了非授權用戶的訪問。

WAP(無線應用協議)技術

WAP由一系列協議組成,用來標準化無線通信設備,例如:移動電話、移動終端;它負責將Internet和移動通信網連接到一起,客觀上已成為移動終端上網的標準。WAP協議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網絡。

WAP的安全機制是通過WTLS(無線傳輸層安全)協議來實現的。WTLS協議類似于互聯網傳輸層安全協議。在無線技術的有限的發送功率、存儲容量及帶寬的條件下,WTLS能夠實現鑒定,保證數據的完整性和提供保密服務的目標。

數字認證技術

對諸如移動電子商務和有重要使命的合作通信等活動,其安全性的一個關鍵方面是能否對信息發送者的身份進行論證,通常都要利用有線安全的公開密鑰基本構架(PKI)。

PKI提供與加密和數字證書有關的一系列技術。但在無線通信環境中,PKI是很難實現的。在只有有限計算能力和低數據流通率的設備上實現PKI中的服務一直是一個有挑戰性的難題。同時在PKI的基礎上,要將無線設備與有線設備之間進行互通也是有難度的。因此無線PKI(WPKI)協議是要將標準的PKI進行修正和簡化,使其在無線通信的環境下達到最優。

移動電子商務安全分析

IEEE802.11的安全

IEEE802.11標準規定了MAC層的存取控制規范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認證節點,使無線通信傳輸像有線網絡一樣安全。

WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發送的數據包,傳輸程序都將數據包的內容與數據包的檢驗組合在一起。然后,WEP標準要求傳輸程序創建一個特定于數據包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數據包進行加密。接收器生成自己的匹配數據包密鑰并用之對數據包進行解密。在理論上,這種方法優于單獨使用共享私鑰的顯式策略,應該使對方更難于破解。

但是,IEEE802.11中用于安全的WEP算法只是提供相當于有線局域網基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發現IEEE802.11存在安全漏洞,有經驗的黑客會利用這些漏洞進行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標準允許IV重復使用(平均大約每5小時重復一次)。WEP標準不提供自動修改密鑰的方法。

最早的WEP實施只提供40位加密,這使得它抗暴力攻擊能力差。現代的系統提供128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網絡放在機構防火墻之外,這種防范措施會強制要求將無線連接當作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。

所以,WEP應該與其他安全機制一起應用才能提供較強的安全。

WAP的安全

WAP規范的安全特性包括幾個部分:WTLS協議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。

WTLS協議:WTLS基于IETF小組的SSL/TLS協議,提供了實體鑒別、數據加密和保護數據完整性的功能,所以可以確保在WAP裝置和WAP網關之間的安全通信。有三種不同級別的WTLS:

1級:執行未經證實的Diffie-Hellman密鑰交換以建立會話密鑰。

2級:使用與SSL/TLS協議相類似的公開密鑰證書機制進行服務器端鑒別。

3級:客戶端和服務器端采用X.509格式證書相互進行鑒別。

早期WAP裝置僅僅采用了第1級別的WTLS,這種級別的安全不夠,所以不能用于電子商務。目前,支持第2和第3級別WTLS的移動裝置從市場上可以得到,它們可以確保網上銀行交易和購物等應用的機密性。

WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術的支持(RSA是強制的,而ECC是可選的)。生產廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網關建立的所有WTLS會話都將使用相同的公匙用作初始會話。每一個會話都將包括與此密鑰對應的一個不同的證書。WIM的基本要求是它們要具有抗篡改的能力。

SignText功能:這個功能為WAP用戶提供了數字簽名。同電子簽名功能一樣,這個功能可以被應用于其他無線設備,或者是手持設備,或者是內嵌SIM卡。

WAP的安全分析:由WAP提供的最好的安全是WTLS3級,多數情況下WTLS已足以確保WAP的安全。但是,由于WAP網關在WAP設備和Web服務器之間起著翻譯的作用,相應的帶來了安全問題:WTLS安全會話建立在手機與WAP網關之間,而與終端服務器無關。這意味著數據只在WAP手機與網關之間加密,網關將數據解密后,利用其他方法將數據再次加密,然后經過TLS連接發送給終端服務器。由于WAP網關可以看見所有的數據明文,而該WAP網關可能并不為服務器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數據。

目前,針對上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網關的安全。如果WAP網關位于WAP服務供應商范圍之內,可以通過諸如在內存中對加密和解密過程進行最優化以減少數據明文存在的時間、在釋放前覆蓋加密解密進程使用的內存以確保數據的安全性。對于安全要求較高的公司可以擁有自己的WAP網關,從而保障數據端到端的安全性。通過WIM實現數據安全性。

WPKI技術

在有線通信中,電子商務交易的一個重要安全保障是PKI。PKI的系統概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題,但在應用PKI的同時要考慮到移動通信環境的特點,并據此對PKI技術進行改進。

WPKI技術滿足移動電子商務安全的要求:即保密性、完整性、真實性、不可抵賴性,消除了用戶在交易中的風險。WPKI技術主要包含以下幾個方面:

認證機構(CA)CA系統是PKI的信任基礎,負責分發和驗證數字證書,規定證書的有效期,證書廢除列表。

注冊機構(RA)RA提供用戶和CA之間的一個接口。作為認證機構的校驗者,在數字證書分發給請求者之前對證書進行驗證。

智能卡智能卡將具有存儲、加密及數據處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點,在生產過程、訪問控制方面有很強的安全保障。很多種需要客戶端認證的應用都可以使用智能卡來實現。并且智能卡也是存儲移動電子商務密鑰及相關數字證書的最佳選擇。

加密算法加密算法越復雜,密鑰越長則安全性越高,但執行運算所需的時間也越長(或需要計算能力更強的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協處理器的芯片。而ECC使用較短的密鑰就可以達到和RSA算法相同的加密強度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運算量小同時能提供高加密強度的公鑰密碼體制對在智能卡上實現數字簽名應用是至關重要的,ECC在這方面具有很大的優勢。

綜上所述,在WPKI機制下,數字證書非常重要,但是由于無線信道和移動終端的限制,如何安全、便捷地交換用戶的數字證書是WPKI所必須解決的問題。可以采用以下2種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動證書標識,將標準的一個X.509證書與移動證書標識唯一對應,并且在移動終端中嵌入移動證書標識,用戶每次只需要將自己的移動證書標識與簽名數據一起提交給對方,對方再根據移動證書標識檢索相應的數字證書即可。

目前,大多數移動電子商務采用的安全方式是非PKI的方式,這種方式主要采用對稱加密算法和單向散列函數來提供安全服務,其密鑰的管理是由移動運營商建立一套主密鑰管理系統,為不同的服務提供商分配不同的密鑰,每次交易過程中,服務提供商與用戶協商產生會話加密密鑰。顯然,采用這種方式構建的系統的安全性主要取決于主密鑰的安全。

盡管非PKI方式對于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統的安全得到較好的保障,但是從長遠來說,移動電子商務有必要逐步過渡到PKI方式。

移動電子商務隨著移動互聯網技術的成熟發展迅速,其獨特的應用領域使得其安全問題倍受關注。從技術角度上看,一方面無線通信的安全處在不斷地發展和完善之中,其應用到移動電子商務中時要與其它的安全機制相結合才能滿足實際應用的需要;另一方面有線電子商務的安全技術不能解決移動電子商務的安全問題,所以WPKI技術是一個現實的選擇。因此,將這兩方面進行改進并進行有機整合,才能營造一個安全的移動電子商務環境。

參考文獻:

1.儲節旺,郭春俠.移動電子商務研究[J].現代情報,2002,3(3)

篇（10）

（2）機密性

EC作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。EC是建立在一個較為開放的網絡環境上的(尤其Internet是更為開放的網絡),維護商業機密是EC全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。電子商務

（3）完整性

EC簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是EC應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的統一。

（4）可靠性/不可抵賴性/鑒別

篇（11）

要實現電子商務，實現信息化是第一步.然而據國家經貿委信息中心總經濟師張銘介紹，中國大型企業的信息化程度在整體上不容樂觀：截至2002年，只有9%的企業實現了信息化管理；僅有4.7%的企業實現了信息共享；只有1%的企業實現了電子商務。

我國大多數企業對電子商務認識有一個誤區，就是簡單地把電子商務理解為商品的電子交易。其實，“電子”只是手段，“商務”才是核心。拿從事網上銷售的企業來說，除了把商品放在網上銷售之外，還要有傳統零售企業的特點才能成功。很多企業就是因為對此理解不夠而蒙受了巨大的損失。

就在本月初，北京西單商場公告，宣布對旗下的IGO5電子商務網站進行注銷清算。筆者曾經登錄過這家網站，在它的網頁上，小至戒指，大到汽車用品都可以看到，可以稱得上是一個真正的網上百貨商店，但浩如煙海的信息讓用戶很難找到自己想要的商品，西單商場的品牌也因此在網上失去了吸引力。一位加盟商還向記者抱怨，自從加盟后就沒見IGO5做過什么市場活動，網站點擊量上不去，自然就不會有人氣和銷售額。結果這家網站在兩年內虧損了1600萬元人民幣。據了解，目前北京近一半的連鎖零售企業開設了自己的購物網站，而這些網站幾乎全部成了企業的軟肋，存在著不同程度的虧損。這些網站失敗的原因正像業內人士分析的那樣，物質上購買了設備、軟件，但腦袋里根本沒有理解什么是電子商務，管理理念上不去，上什么都白費。

安全、信用問題制約了中國電子商務發展

去年年底，寧波人孫惠剛辦理了網上銀行注冊。網上銀行剛剛用了三個月，孫惠剛在網上銀行賬戶上的9萬元存款、有價證券就全部被盜。中國電子商務不斷暴露的信用、安全問題已經影響到了電子商務自身的發展。中國工程院院士沈昌祥認為，那種以為只要技術到位，平臺搭好了，電子商務就接近成功的觀點是錯誤的，只有認證、支付等問題解決了，建立起一個安全的商務環境，才能真正實現電子商務。

為了解決這一問題，我國從2000年起就醞釀在電子商務方面立法。今年3月24日，國務院原則通過了《電子簽名法(草案)》。專家認為，該法案一旦正式實施，將可以大大降低網上交易的風險。

立法可以解決安全問題，但電子商務的信用問題卻依然存在。與國外不同，中國信用體系面臨著信用信息條塊分割的問題。銀行、稅務、法律等部門都有各自的信息庫，但這些信息很難聯網，更不要說與全社會共享了。另外，運行電子商務所需硬件和軟件的關鍵技術都掌握在外國公司手中，對我國關鍵部門、關鍵數據造成了安全隱患，這應該引起有關部門的高度重視。

外商占領中國高端電子商務市場

盡管國內電子商務環境遠遠談不上成熟，但國外電子商務硬件、軟件制造商對從中國電子商務市場中獲利信心十足。國際數據集團的總裁麥戈文曾說：“世界范圍內信息產業的年增長率為17%，而中國則是35%。”信息產業的快速發展顯然會帶來電子商務市場的迅速增長。因此，IBM、惠普、太陽、英特爾等世界IT巨頭都看好中國電子商務市場這塊大蛋糕。

憑借著資金、技術優勢和高明的商業策略，外資公司正在逐步占據中國電子商務軟、硬件市場的主導地位，尤其是在利潤最豐厚的高端市場，中國企業簡直被徹底排擠在外。比如IBM就將中石油、中國銀行等超大客戶攬入了自己的懷抱。