緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇電子商務安全論文范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

如果不采用特別的保護措施，包括電子郵件等在internet中開放傳輸的數據都可能被第三者監視和閱讀?？紤]到巨大的傳輸量和難以計數的傳輸途徑，想任意竊聽一組數據傳輸是不可能，但是一些設置在web服務器的黑客程序卻可以查找和收集特定類型的數據，這些數據包括信用卡、存款的賬號和相應的口令。同時，因為internet的開放性設計，數據私有性和安全性還包括數據傳輸之外的問題，例如：連入internet的數據存儲網絡驅動器的安全性。所以，任何存儲在web服務器上的數據必須采取保護措施。

(二)數據的完整性

對完整性的安全威脅也叫主動搭線竊取。當未經授權方改變了信息流時就構成了對完整性的安全威脅。未保護的銀行交易很易受到對完整性的攻擊。當然，破壞了完整性也就意味著破壞了保密性，因為能改變信息的竊取者肯定能閱讀此信息。完整性和保密性間的差別在于：對保密性的安全威脅是指某人看到了他不應看到的信息。而對完整性的安全威脅是指某人改動了關鍵的傳輸。破壞他人網站就是破壞完整性的例子。破壞他人網站是指以電子方式破壞某個網站的網頁。破壞他人網站的行為相當于破壞他人財產或在公共場所涂鴉。當某人用自己的網頁替換某個網站的正常內容時，就說發生了破壞他人網站的行為。由于internct的開放體系，如果具備了特定的知識和工具，則完全可以更改傳輸中的數據。同時，要采取適當的存取訪問控制，以保證數據存取系統的安全。在電子商務中務必保存數據最初的格式和內容。

(三)認證

在猖獗的網絡欺詐或者反悔中，網絡交易者隱身在電腦屏幕背后，身份難以識別的問題是其重要淵源。建立有效的網上交易身份認證機制，提升交易雙方的信用度是有效控制網絡欺詐的重要途徑，對于電子商務的健康發展有著重要作用。交易方的信用問題已經成為制約電子商務發展的重要瓶頸之一。在現實社會中，即便有著諸多因素的制約，仍然普遍地存在著信用缺乏的現象，建立完善的信用機制已經成為社會各界的共識。在電子商務的具體實現中，首先要確認當前的通訊、交易和存取要求是合法的。例如，internet中的計算機系統的身份是其由IP地址確認的。黑客通過IP欺騙，使用虛假的IP地址，從而達到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發匿名郵件，或者使用不真實的郵件用戶名。因此，在電子商務中必須建立嚴格的身份認證機制，以確保參加交易各方的身份真實有效。

(四)不可否認性

不可否認主要包含數據的原始記錄和發送記錄，確認數據已經完成發送和接收，防止接收用戶更改原始記錄，防止用戶在已經收到數據以后否認收到數據，并拖延自己的下一步工作。為了保證交易過程的可操作性，必須采取可靠的方法確保交易過程的真實性，保證參加電子交易的各方承認交易過程的合法性。

簡言之，在internet上實現電子商務面臨的任務：(1)私有性，即保證只有發送者和接收者可以接觸到信息；(2)完整性，即信息在傳輸過程中未經任何改動；(3)身份認證，即接收方可以確信信息來自發信者，而不是第三者冒名發送，發送方可以確信接收方的身份是真實的，而不至于發往與交易無關的第三方；(4)不可否認性，在交易數據發送完成以后，雙方都不能否認自己曾經發出或接收過信息。

電子商務面臨的上述問題主要是由對系統的非法入侵造成的。首先是網絡黑客，他們通過發現web服務器、操作系統或者主頁部件在配置方面的漏洞，攻擊網絡系統。其次是內部入侵，這主要是由企業IT部門的員工造成的，保護網絡的物理安全(如主控機房)及嚴格的口令管理制度，是防范該類問題的關鍵。還有惡意代碼(如計算機病毒)，它們在企業的傳播會給電子商務系統造成嚴重的損失。另外，值得關注的是計算機系統本身的問題，例如，由于電源造成的系統宕機，以及廣域網絡的通訊，這些都會直接造成服務的突然中止，影響電子商務的形象。我們還應關注系統管理方面的問題，有時電子商務出現的問題既非黑客也非系統本身的毛病，而是源于對敏感數據處理不善或者是安全系統(如防火墻)的不正確配置。用戶的身份認證是計算機系統安全的基礎工作，數字簽名加密等技術在這里可以充分起到作用。

二、電子商務安全系統關鍵技術

(一)ssLVPN技術

SSL(安全套接層)協議是一種在Internet上保證發送信息安全的通用協議。它處于應用層。SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協議指定了在應用程序協議(如HTTP、Telnet和FTP等)和TCP/IP協議之間進行數據交換的安全機制，為TCP/IP連接提供數據加密、服務器認證以及可選的客戶機認證。SSL協議包括握手協議、記錄協議以及警告協議三部分。握手協議負責確定用于客戶機和服務器之間的會話加密參數。記錄協議用于交換應用數據。警告協議用于在發生錯誤時終止兩個主機之間的會話。

VPN(虛擬專用網)則主要應用于虛擬連接網絡，它可以確保數據的機密性并且具有一定的訪問控制功能。VPN是一項非常實用的技術，它可以擴展企業的內部網絡，允許企業的員工、客戶以及合作伙伴利用Internet訪問企業網，而成本遠遠低于傳統的專線接人。過去，VPN總是和IPSec聯系在一起，因為它是VPN加密信息實際用到的協議。IPSec運行于網絡層，IPSeeVPN則多用于連接兩個網絡或點到點之間的連接。所謂的SSLVPN，其實是YPN設備廠商為了與IPsecVPN區別所創造出來的名詞，指的是使用者利用瀏覽器內建的SecureSocketLayer封包處理功能，用瀏覽器連回公司內部SSLVPN服務器，然后透過網絡封包轉向的方式，讓使用者可以在遠程計算機執行應用程序，讀取公司內部服務器數據。它采用標準的安全套接層(ssL)對傳輸中的數據包進行加密，從而在應用層保護了數據的安全性。高質量的SSLVPN解決方案可保證企業進行安全的全局訪問。在不斷擴展的互聯網Web站點之間、遠程辦公室、傳統交易大廳和客戶端間，SSLVPN克服了IPSecVPN的不足，用戶可以輕松實現安全易用、無需客戶端安裝且配置簡單的遠程訪問，從而降低用戶的總成本并增加遠程用戶的工作效率。而同樣在這些地方，設置傳統的IPSecVPN非常困難，甚至是不可能的，這是由于必須更改網絡地址轉換(NAT)和防火墻設置。(二)加密技術

數據加密技術作為一項基本技術，是電子商務的基石，是電子商務最基本的信息安全防范措施。其實質是對信息進行重新編碼，從而達到隱藏信息內容，使非法用戶無法獲取真實信息的一種技術手段，確保數據的保密性。基于加/解密所使用的密鑰是否相同，可分為對稱加密和非對稱加密兩類。

(1)對稱加密。對稱加密的加密密鑰和解密密鑰相同，即在發送方和接收方進行安全通信之前，商定一個密鑰，用這個密鑰對傳輸數據進行加密、解密。對稱加密的突出特點是加解密速度快，效率高，適合對大量數據加密。缺點是密鑰的傳輸與交換面臨安全問題，且若和大量用戶通信時，難以安全管理大量密鑰。目前，常用的對稱加密算法有DES、3DES、IDEA、Blowfish等。其中，DES(DataEncryptionStandard)算法由IBM公司設計，是迄今為止應用最廣泛的一種算法，也是一種最具代表性的分組加密體制。DES是一種對二元數據進行加密的算法，數據分組長度為64bit，密文分組長度也是64bit，沒有數據擴展，密鑰長度為64bit，其中有8bit奇偶校驗，有效密鑰長度為56bit。加密過程包括16輪的加密迭代，每輪都采用一種乘積密碼方式(代替和移位)。DES整個體制是公開的，系統的安全性全靠密鑰的保密。DES算法的入口參數有3個：Key、Data、Mode。其中，Key為8個字節共64位，是DES算法的工作密鑰。Data也是8個字節64位，是需被加密或解密的數據。Mode為DES的工作方式，分為加密或解密兩種。DES算法的步驟為：如Mode為加密，則用Key去對數據進行加密，生成Data的密碼形式(64位)作為DES輸出結果。如Mode為解密，則用Key去把密碼形式的數據Data解密，還原為Data的明碼形式(64位)作為DES的輸出結果。DES是一種世界公認的較好的加密算法，具有較高的安全性，到目前為止除了用窮舉搜索法對DES算法進行攻擊外，尚未發現更有效的方法。

(2)非對稱加密。非對稱加密的最大特點是采用兩個密鑰將加密和解密能力分開。一個公開作為加密密鑰；一個為用戶專用，作為解密密鑰，通信雙方無需事先交換密鑰就可進行保密通信。而要從公開的公鑰或密文分析出明文或密鑰，在計算上是不可行的。若以公開鑰作為加密密鑰，以用戶專用鑰作為解密密鑰，則可實現多個用戶加密的信息只能由一個用戶解讀。反之，以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰，則可實現由一個用戶加密的消息而使多個用戶解讀，前者可用于保密通信，后者可用于數字簽字。非對稱加密體制的出現是密碼學史上劃時代的事件，為解決計算機信息網中的安全提供了新的理論技術基礎。其優點是很好地解決了對稱加密中密鑰數量過多難以管理的不足，且保密性能優于對稱加密算法；缺點是算法復雜，加密速度不是很理想。

目前，RSA算法是最著名且應用最廣泛的公鑰算法，其安全性基于模運算的整數因子分解的困難性。

算法內容簡要描述如下：①獨立選取兩大素數p和q，計算n=p×q；其歐拉函數值z=(p－1)×(q－1)。②隨機選一整數e，1≤e由于RSA涉及大數計算，無論是硬件或軟件實現的效率都比較低，不適用對長的明文加密，常用來對密鑰加密，即與對稱密碼體制結合使用。

(三)網上交易身份認證機制

網上交易身份認證對于建立電子商務業界的信用機制起著重要作用，因此如何確認網上交易者的身份便成為諸多電子商務網站迫切希望解決的問題。

(1)在目前網絡法律制度還不健全的時代，自律機制非常重要，網絡交易的有效性和真實性在一定程度上能夠反映這個國家的信用機制的完善程度。相對而言，國外的電子商務信用體系相對較高，其交易身份認證多與信用卡等銀行信用記錄掛鉤，而我國則更多的是通過手機和身份證等方式進行。

(2)一些網上交易平臺為了幫助交易雙方打消顧慮，順利進行交易，提供第三方介入的支付方式，以保護雙方的合法利益，這種機制對于維護網上交易的誠信起到了很好的作用。

(3)電子郵件在電子商務交易中對子商務交易者的身份認證機制起著重要作用。電子郵件一旦重復則易造成無法注冊，甚至很多網站要求用戶兩次輸入有效的電子郵件以進行確認，以確保之后的所有信息能夠順利進行，所有的網站均將用戶的電子郵件作為聯系用戶和確認用戶諸多信息的重要聯系方式，其便捷性毋庸置疑。但是，在電子郵件收費的模式基本上發展前景不甚明朗的今天其有效性和真實性還值得商榷。

(4)用戶注冊中所提交的資料即身份認證過程中會涉及到很多可以列為用戶隱私權保護的信息，因此，在進行身份認證時還需要考慮隱私權保護問題?，F在幾乎所有的電子商務網站上都有隱私權法律聲明，或者在用戶填寫過程中就通過鏈接的形式彈出窗口聲明用戶的這些資料將被用于那些用途。盡管如此，由于網絡上沒有絕對的安全，如果由于技術上的原因導致用戶的身份認證資料泄露給他人，甚至被他人用于牟利或者其他非法目的，網站是否應該承擔責任、應該承擔什么樣的責任，也是身份認證機制應該考慮的問題。

篇（2）

電子商務是一個跨國界，跨地區，跨行業的多種技術綜合集成與不同社會經濟文化背景形成的各種習俗不斷沖突，不斷協調和不斷統一的綜合性社會系統工程。電子商務安全策略保障電子商務各個主體的切身利益。電子商務安全策略是以人為本，從各主體的角度思考，綜合協調了各個市場主體的行為，從根本上保障了消費者、企業、電子商務網站等市場主體的切身利益，它為實現電子商務提供了統一的基礎平臺和安全屏障。

一、電子商務安全技術保障策略

安全技術保障技術是電子商務安全體系中的基本策略，目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有以下幾種：

1.密碼技術。密碼技術包括加密技術和解密技術。加密是將信息經過加密密鑰及加密函數轉換，變成無意義的密文。而解密則是將密文經過解密函數、解密密鑰處理還原成原文。密碼技術是網絡安全技術的基礎。

2.身份驗證技術。電子商務主體向系統證明自己身份，并由系統查核該主體的過程，是確認真實有效身份的重要環節，這個過程叫作身份驗證。常用的驗證技術有報文鑒別、身份鑒別和電子簽名。

3.訪問控制技術。訪問控制是指對電子商務網絡系統中各種資源訪問時的權限確認，防止非法訪問。它包括有關的策略、模型、機制的基礎理論與實現方法。

4.防火墻技術。防火墻是用一組網絡設備來加強一個網絡與外界之間的訪問控制。防火墻整體可以分為三大類：分組過濾、應用、電路網關。

二、企業電子商務安全運營管理制度保障策略

企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定，是保證企業取得電子商務成功的基礎，是企業電子商務人員工作的規范和準則。這些制度主要包括人員管理制度，保密制度，跟蹤審計制度，系統維護制度、數據備份制度等。

1.人員管理制度人員管理制度主要從人員的選拔，工作責任的落實和安全運作必須遵循的基本原則制定相應的工作制度。

2.保密制度電子商務系統涉及企業的市場、生產、財務、供應鏈等多方面的機密，這些方面都是需要很好地劃分信息安全級別，并確定安全防范重點，提出相應的保密措施。

3.跟蹤審計制度跟蹤制度就是要求企業建立網絡交易的日志機制，來記錄網絡交易的全過程。而審計制度是對系統日志的經常檢查、審核，及時發現對系統有安全隱患的記錄，監控各種安全事故，維護和管理系統日志。

4.網絡系統的日常維護制度網絡系統的日常維護包括硬件的日常維護和軟件的日常維護，硬件維護主要是對網絡設備服務器和客戶機以及通信線路進行定期規范地巡查、檢修；軟件維護主要是規范地對支撐軟件的定期清理和整理、監測、處理特殊情況以及對應用軟件的升級等。

5.數據備份制度數據備份主要是利用多種介質對信息系統數據進行存儲，定期為重要信息備份、系統設備備份，并定期更新，以減少安全事故發生時造成的損失。

三、電子商務立法策略

電子商務安全得到法律保障，首先必須完善電子商務安全相關的法律。如何構建一個有針對性的健全的法律體系是擺在我們面前的迫切問題?？梢詮牧⒎康?、立法原則、立法范圍和立法途徑上分析。

1.立法目的電子商務安全立法的目的主要是要消除電子商務發展的法律障礙；消除現有法律適用上的不確定性，保護合理的商業行為，保障電子交易安全；建立一個清晰的法律框架以統一調整電子商務的健康發展。

2.立法范圍電子商務安全方面需要的法律法規主要有：市場準入制度、合同有效認證辦法、電子支付系統安全措施、信息保密防范辦法，知識產權侵權處理規定、以及廣告的管制、網絡信息內容過濾等；電子商務調整的對象是電子商務中的各種社會關系。[3.立法途徑電子商務法律仍然是調整社會關系，所以應當繼承傳統立法的合理內核，尤其是基礎價值觀。具體的立法途徑主要是兩種：第一是制定新的法律規范。對于傳統法律沒有規定的，即由電子商務帶來的新的社會關系，應盡快制定法律規范；第二是修改或重新解釋既定的法律規范。對于傳統法律的規定不明確，或與電子商務新型社會關系有沖突甚至存在缺欠的，可以修改或重新解釋既定的法律規范。

四、政府監督管理策略

電子商務本質是一種市場運作模式，市場的正常健康有序地發展，必須有政府宏觀上的監督與管理，以協調和規范各市場主體的行為，宏觀監督與管理電子商務運行中的安全保障體系。

1.計算機信息系統安全管理計算機信息系統，是指“由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統?！庇嬎銠C安全保護規范主要有計算機安全等級保護制度，計算機系統使用單位安全負責制度，計算機案件強行報告制度，計算機病毒及其有害數據的專管制度與計算機信息安全專用產品銷售許可證制度。對計算機信息系統安全的保護，有利于保障國家的安全和社會安定，促進電子商務的安全交易過程，有利電子商務的健康發展。

2.網絡廣告和網絡服務業管理由于網絡的開放性，自由性等特征決定了網絡廣告監管的難度，虛假廣告、廣告充斥著網絡空間，網絡廣告已經發展成為一個社會問題。網絡廣告管理應該從三個方面入手：第一，網絡廣告組織的管理，必須對網站廣告經營主體資格進行管制，第二，規范網絡廣告內容，確保廣告內容的真實性、合法性和科學性。第三，需要有具體的廣告審查管制、評估與監測部門。

國家針對網絡服務業和網絡用戶管理已經頒布了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》，其中提出了詳細具體的限制條件。但是，網絡飛速發展，面對網絡中的新問題，還必須進一步深入全面地研究。

3.認證機構管理認證機構是電子商務活動中專門從事頒發認證證書的機構，對電子商務交易活動順利進行，電子商務活動中交易參與各方身份和信息認定，維護交易安全具有重要作用。對認證機構的管理主要是通過對設立的條件、撤消或者頒發許可證等營業資格而進行審批監督；同時，還要針對其資產和財務狀況定期審查，以免發生財務危機，對其信息披露與保密情況、安全系統運行情況等方面進行不定期或定期監督檢查。

4.加強社會信用道德建設，構建和諧安全電子商務電子商務安全問題其中有很大部分是由電子商務用戶或從業人員的信用道德問題引發的，在我國尤其嚴重，甚至大家感嘆電子商務在我國“水土不服”。對于新型的商業運作模式，必然存在不少漏洞，這需要廣大電子商務市場主體有良好的電子商務道德意識。除了從法律上采取措施，更重要的是政府要加強電子商務市場主體自身的道德建設,加強輿論監督和企業自律，充分利用網絡新聞輿論監督，消費者輿論監督和行業協會的管理監督。

五、結束語

電子商務安全不僅涉及到電子商務公司、企業、消費者的利益，而且更加廣泛地涉及經濟、政治、國防、文化等諸多方面，關系到國家的安全、和社會的穩定。電子商務安全策略確保電子商務的快速、健康地發展。電子商務安全是目前電子商務發展的瓶頸，只有解決了電子商務安全，保障了市場主體的利益，才能得到網絡用戶的認可和參與，電子商務自身也才能得到快速、健康地發展。

參考文獻

[1]林寧，吳志剛.我國信息安全技術標準化現狀[J].中國標準化，2007（4）

篇（3）

電子商務是一個跨國界，跨地區，跨行業的多種技術綜合集成與不同社會經濟文化背景形成的各種習俗不斷沖突，不斷協調和不斷統一的綜合性社會系統工程。電子商務安全策略保障電子商務各個主體的切身利益。電子商務安全策略是以人為本，從各主體的角度思考，綜合協調了各個市場主體的行為，從根本上保障了消費者、企業、電子商務網站等市場主體的切身利益，它為實現電子商務提供了統一的基礎平臺和安全屏障。

一、電子商務安全技術保障策略

安全技術保障技術是電子商務安全體系中的基本策略，目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有以下幾種：

1.密碼技術。密碼技術包括加密技術和解密技術。加密是將信息經過加密密鑰及加密函數轉換，變成無意義的密文。而解密則是將密文經過解密函數、解密密鑰處理還原成原文。密碼技術是網絡安全技術的基礎。

2.身份驗證技術。電子商務主體向系統證明自己身份，并由系統查核該主體的過程，是確認真實有效身份的重要環節，這個過程叫作身份驗證。常用的驗證技術有報文鑒別、身份鑒別和電子簽名。

3.訪問控制技術。訪問控制是指對電子商務網絡系統中各種資源訪問時的權限確認，防止非法訪問。它包括有關的策略、模型、機制的基礎理論與實現方法。

4.防火墻技術。防火墻是用一組網絡設備來加強一個網絡與外界之間的訪問控制。防火墻整體可以分為三大類：分組過濾、應用、電路網關。

二、企業電子商務安全運營管理制度保障策略

企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定，是保證企業取得電子商務成功的基礎，是企業電子商務人員工作的規范和準則。這些制度主要包括人員管理制度，保密制度，跟蹤審計制度，系統維護制度、數據備份制度等。

1.人員管理制度人員管理制度主要從人員的選拔，工作責任的落實和安全運作必須遵循的基本原則制定相應的工作制度。

2.保密制度電子商務系統涉及企業的市場、生產、財務、供應鏈等多方面的機密，這些方面都是需要很好地劃分信息安全級別，并確定安全防范重點，提出相應的保密措施。

3.跟蹤審計制度跟蹤制度就是要求企業建立網絡交易的日志機制，來記錄網絡交易的全過程。而審計制度是對系統日志的經常檢查、審核，及時發現對系統有安全隱患的記錄，監控各種安全事故，維護和管理系統日志。

4.網絡系統的日常維護制度網絡系統的日常維護包括硬件的日常維護和軟件的日常維護，硬件維護主要是對網絡設備服務器和客戶機以及通信線路進行定期規范地巡查、檢修；軟件維護主要是規范地對支撐軟件的定期清理和整理、監測、處理特殊情況以及對應用軟件的升級等。

5.數據備份制度數據備份主要是利用多種介質對信息系統數據進行存儲，定期為重要信息備份、系統設備備份，并定期更新，以減少安全事故發生時造成的損失。

三、電子商務立法策略

電子商務安全得到法律保障，首先必須完善電子商務安全相關的法律。如何構建一個有針對性的健全的法律體系是擺在我們面前的迫切問題?？梢詮牧⒎康?、立法原則、立法范圍和立法途徑上分析。

1.立法目的電子商務安全立法的目的主要是要消除電子商務發展的法律障礙；消除現有法律適用上的不確定性，保護合理的商業行為，保障電子交易安全；建立一個清晰的法律框架以統一調整電子商務的健康發展。

2.立法范圍電子商務安全方面需要的法律法規主要有：市場準入制度、合同有效認證辦法、電子支付系統安全措施、信息保密防范辦法，知識產權侵權處理規定、以及廣告的管制、網絡信息內容過濾等；電子商務調整的對象是電子商務中的各種社會關系。

3.立法途徑電子商務法律仍然是調整社會關系，所以應當繼承傳統立法的合理內核，尤其是基礎價值觀。具體的立法途徑主要是兩種：第一是制定新的法律規范。對于傳統法律沒有規定的，即由電子商務帶來的新的社會關系，應盡快制定法律規范；第二是修改或重新解釋既定的法律規范。對于傳統法律的規定不明確，或與電子商務新型社會關系有沖突甚至存在缺欠的，可以修改或重新解釋既定的法律規范。

四、政府監督管理策略

電子商務本質是一種市場運作模式，市場的正常健康有序地發展，必須有政府宏觀上的監督與管理，以協調和規范各市場主體的行為，宏觀監督與管理電子商務運行中的安全保障體系。

1.計算機信息系統安全管理計算機信息系統，是指“由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。”計算機安全保護規范主要有計算機安全等級保護制度，計算機系統使用單位安全負責制度，計算機案件強行報告制度，計算機病毒及其有害數據的專管制度與計算機信息安全專用產品銷售許可證制度。對計算機信息系統安全的保護，有利于保障國家的安全和社會安定，促進電子商務的安全交易過程，有利電子商務的健康發展。

2.網絡廣告和網絡服務業管理由于網絡的開放性，自由性等特征決定了網絡廣告監管的難度，虛假廣告、廣告充斥著網絡空間，網絡廣告已經發展成為一個社會問題。網絡廣告管理應該從三個方面入手：第一，網絡廣告組織的管理，必須對網站廣告經營主體資格進行管制，第二，規范網絡廣告內容，確保廣告內容的真實性、合法性和科學性。第三，需要有具體的廣告審查管制、評估與監測部門。

國家針對網絡服務業和網絡用戶管理已經頒布了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》，其中提出了詳細具體的限制條件。但是，網絡飛速發展，面對網絡中的新問題，還必須進一步深入全面地研究。

3.認證機構管理認證機構是電子商務活動中專門從事頒發認證證書的機構，對電子商務交易活動順利進行，電子商務活動中交易參與各方身份和信息認定，維護交易安全具有重要作用。對認證機構的管理主要是通過對設立的條件、撤消或者頒發許可證等營業資格而進行審批監督；同時，還要針對其資產和財務狀況定期審查，以免發生財務危機，對其信息披露與保密情況、安全系統運行情況等方面進行不定期或定期監督檢查。

4.加強社會信用道德建設，構建和諧安全電子商務電子商務安全問題其中有很大部分是由電子商務用戶或從業人員的信用道德問題引發的，在我國尤其嚴重，甚至大家感嘆電子商務在我國“水土不服”。對于新型的商業運作模式，必然存在不少漏洞，這需要廣大電子商務市場主體有良好的電子商務道德意識。除了從法律上采取措施，更重要的是政府要加強電子商務市場主體自身的道德建設,加強輿論監督和企業自律，充分利用網絡新聞輿論監督，消費者輿論監督和行業協會的管理監督。

五、結束語

電子商務安全不僅涉及到電子商務公司、企業、消費者的利益，而且更加廣泛地涉及經濟、政治、國防、文化等諸多方面，關系到國家的安全、和社會的穩定。電子商務安全策略確保電子商務的快速、健康地發展。電子商務安全是目前電子商務發展的瓶頸，只有解決了電子商務安全，保障了市場主體的利益，才能得到網絡用戶的認可和參與，電子商務自身也才能得到快速、健康地發展。

參考文獻

[1]林寧，吳志剛.我國信息安全技術標準化現狀[J].中國標準化，2007（4）

篇（4）

2電子商務安全教學方法改革

目前電子商務安全課程在教學過程中，學生對教材的知識缺乏主動理解和接受，學習的興趣和主動性不高。因此要對現有以教學大綱為主要目標的方法進行改革，能讓學生融會貫通理論知識，主動思考問題，具有理解分析解決實際問題能力。本文提出電子商務安全課程在課堂講授的進行：教師準備階段，學生準備階段，小組討論階段、集中討論階段和總結階段。主要目的是使老師和學生在課堂上有較大的自我發揮空間。在教學法的五個階段中，教師準備階段和學生預備階段是教學法中最為關鍵的環節。教師準備階段：教師準備是教學的第一環節，也是為明確教學目而準備，是有序進行教學組織與設計的基礎。明確教學目標后，就應選擇合適教學背景，教學背景應且具有高啟發性素材，并且滿足教學目標切合實際的教學案例。對選擇的教學案例或素材還需要對及進行典型化處理，最后準備在課堂上提出讓學生思考的問題，引導介紹學生學習相關資料。學生預備階段：課前讓學生閱讀典型化處理相關學習資料，老師指導學生查閱相關學習資料，讓學生課前主動準備課堂講授知識的信息，對老師提出的思考問題要求學生獨立思考并形成初步的解決方法。小組討論階段：首先根據學生人數將學生分為3到5人小組，然后在小組范圍內自行組織討論，再確定小組成員的任務分工，最后形成小組在課堂上展示方案。課堂展示階段：在時間控制在半個課時以內前提條件下各小組派代表對問題解決方案進行展示，其他小組對解決方法進行互動式提問和回答，這個過程需要教師加以正確引導。老師總結階段：老師總結出意見比較集中的問題，針對重點問題組織大家集中討論，并提出引導性建議擴展深化學生對有疑慮問題的理解。

3電子商務安全課程實踐

傳統的電子商務安全課程教學是以理論知識為中心的教育體系，對實踐操作課程和技能的要求不高，很可能會導致學生在畢業后難以適應工作的要求，在現行教育模式中，用人單位也很難選擇到合格的專業技術人才。為此，本課題對信息安全專業開設的電子商務安全課程特點及開發合適的教學模式，尤其是如何建立創新性實踐教學體系進行了研究，以教學目標為指導、以社會需求為導向，開發以學生就業為宗旨的高技能型人才培養模式，根據電子商務安全課程特點，將信息安全未來發展的創新技術運用到電子商務安全教學方法中，建立較為全面的以人才培養目標為基礎的創新環境和教學模式。另外，本課程實踐教學內容的要求是讓學生對電子商務安全和信息安全的理論和實踐聯系建立一個全面的知識結構。通過實踐環節設置，讓學生了解電子商務安全加密技術及使用技能；了解電子商務郵件和數字簽名的聯系及作用；熟練掌握電子商務安全協議的設置；掌握PKI的應用及數字證書的申請、安裝和使用流程；熟悉基本的電子支付工具的使用。本課程的為實現實踐培養目標對實驗教學進行合理的安排。

篇（5）

1.身份冒充問題

攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易，進行信息欺詐與信息破壞，從而獲得非法利益。主要表現有：冒充他人身份；冒充他人消費、栽贓；冒充主機欺騙合法主機及合法用戶等。

2.網絡信息安全問題

主要表現在攻擊者在網絡的傳輸信道上，通過物理或邏輯的手段，進行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過分析網絡物理線路傳輸時的各種特征，截獲機密信息或有用信息，如消費者的賬號、密碼等。篡改，即改變信息流的次序，更改信息的內容；刪除，即刪除某個信息或信息的某些部分；插入，即在信息中插入一些信息，讓收方讀不懂或接受錯誤的信息。

3.拒絕服務問題

攻擊者使合法接入的信息、業務或其他資源受阻。主要表現為散布虛假資訊，擾亂正常的資訊通道。包括：虛開網站和商店，給用戶發電子郵件，收訂貨單；偽造大量用戶，發電子郵件，窮盡商家資源，使合法用戶不能正常訪問網絡資源，使有嚴格時間要求的服務不能及時得到響應。

4.交易雙方抵賴問題

某些用戶可能對自己發出的信息進行惡意的否認，以推卸自己應承擔的責任。如：者事后否認曾經發送過某條信息或內容；收信者事后否認曾經收到過某條信息或內容；購買者做了訂貨單不承認；商家賣出的商品質量差但不承認原有的交易。在網絡世界里誰為交易雙方的糾紛進行公證、仲裁。

5.計算機系統安全問題

計算機系統是進行電子商務的基本設備，如果不注意安全問題，它一樣會威脅到電子商務的信息安全。計算機設備本身存在物理損壞，數據丟失，信息泄露等問題。計算機系統也經常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時，計算機系統存在工作人員管理的問題，如果職責不清，權限不明同樣會影響計算機系統的安全。

二、電子商務安全機制

1.加密和隱藏機制

加密使信息改變，攻擊者無法讀懂信息的內容從而保護信息；而隱藏則是將有用的信息隱藏在其他信息中，使攻擊者無法發現，不僅實現了信息的保密，也保護了通信本身。

2.認證機制

網絡安全的基本機制，網絡設備之間應互相認證對方身份，以保證正確的操作權力賦予和數據的存取控制。網絡也必須認證用戶的身份，以保證正確的用戶進行正確的操作并進行正確的審計。

3.審計機制

審計是防止內部犯罪和事故后調查取證的基礎，通過對一些重要的事件進行記錄，從而在系統發現錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計信息應具有防止非法刪除和修改的措施。

4.完整性保護機制

用于防止非法篡改，利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務，當信息源的完整性可以被驗證卻無法模仿時，收到信息的一方可以認定信息的發送者，數字簽名就可以提供這種手段。

5.權力控制和存取控制機制

主機系統必備的安全手段，系統根據正確的認證，賦予某用戶適當的操作權力，使其不能進行越權的操作。該機制一般采用角色管理辦法，針對系統需要定義各種角色，如經理、會計等，然后對他們賦予不同的執行權利。

6.業務填充機制

在業務閑時發送無用的隨機數據，增加攻擊者通過通信流量獲得信息的困難。同時，也增加了密碼通信的破譯難度。發送的隨機數據應具有良好模擬性能，能夠以假亂真。

三、電子商務安全關鍵技術

安全問題是電子商務的核心，為了滿足安全服務方面的要求，除了網絡本身運行的安全外，電子商務系統還必須利用各種安全技術保證整個電子商務過程的安全與完整，并實現交易的防抵賴性等，綜合起來主要有以下幾種技術。

1.防火墻技術

現有的防火墻技術包括兩大類：數據包過濾和服務技術。其中最簡單和最常用的是包過濾防火墻，它檢查接受到的每個數據包的頭，以決定該數據包是否發送到目的地。由于防火墻能夠對進出的數據進行有選擇的過濾，所以可以有效地避免對其進行的有意或無意的攻擊，從而保證了專用私有網的安全。將包過濾防火墻與服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于：防火墻技術只能防止經由防火墻的攻擊，不能防止網絡內部用戶對于網絡的攻擊;防火墻不能保證數據的秘密性，也不能保證網絡不受病毒的攻擊，它只能有效地保護企業內部網絡不受主動攻擊和入侵。

2.虛擬專網技術（VPN）

VPN的實現過程使用了安全隧道技術、信息加密技術、用戶認證技術、訪問控制技術等。VPN具投資小、易管理、適應性強等優點。VPN可幫助遠程用戶、公司分支機構、商業伙伴及供應商與公司的內部網之間建立可信的安全連接，并保證數據的安全傳輸，以此達到在公共的Internet上或企業局域網之間實現完全的電子交易的目的。

3.數據加密技術

加密技術是保證電子商務系統安全所采用的最基本的安全措施，它用于滿足電子商務對保密性的需求。加密技術分為常規密鑰密碼體系和公開密鑰密碼體系兩大類。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發生私有密鑰泄露，可通過常規密鑰密碼體系的方法加密機密信息，并隨報文發送報文摘要和報文散列值，以保證報文的機密性和完整性。目前常用的常規密鑰密碼體系的算法有：數據加密標準DES、三重DES、國際數據加密算法IDEA等，其中DES使用最普遍，被ISO采用為數據加密的標準。在公開密鑰密碼體系中，加密密鑰是公開信息，而解密密鑰是需要保護的，加密算法和解密算法也都是公開的。典型的公開密鑰密碼體系有：基于數論中大數分解的RSA體系、基于NP完全理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中，常規密鑰密碼體系的特點是加密速度快、效率高，被廣泛用于大量數據的加密，但該方法的致命缺點是密鑰的傳輸易被截獲，難以安全管理大量的密鑰，因此大范圍應用存在一定問題。而公開密鑰密碼體系很好地解決了上述不足，保密性能也優于常規密鑰密碼體系，但公開密鑰密碼體系復雜，加密速度不夠理想。目前電子商務實際運用中常將兩者結合使用。

4.安全認證技術

安全認證技術主要有:(1)數字摘要技術，可以驗證通過網絡傳輸收到的明文是否被篡改，從而保證數據的完整性和有效性。(2)數字簽名技術，能夠實現對原始報文的鑒別和不可否認性，同時還能阻止偽造簽名。(3)數字時間戳技術，用于提供電子文件發表時間的安全保護。(4)數字憑證技術，又稱為數字證書，負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。(5)認證中心，負責審核用戶的真實身份并對此提供證明，而不介入具體的認證過程，從而緩解了可信第三方的系統瓶頸問題，而且只須管理每個用戶的一個公開密鑰，大大降低了密鑰管理的復雜性，這些優點使得非對稱密鑰認證系統可用于用戶眾多的大規模網絡系統。(6)智能卡技術，它不但提供讀寫數據和存儲數據的能力，而且還具有對數據進行處理的能力，可以實現對數據的加密和解密，能進行數字簽名和驗證數字簽名，其存儲器部分具有外部不可讀特性。采用智能卡，可使身份識別更有效、安全，但它僅僅為身份識別提供一個硬件基礎，如果要使身份認證更安全，還需要與安全協議的配合。

5.電子商務安全協議

篇（6）

二、數字簽名

在網絡環境中，網絡安全的最基本要求就是通信信息的真實和不可否認性，它要求通信雙方能互相證實，以防止第三者假冒通信的一方竊取、偽造信息。在網絡中實現通信真實性的方法是數字簽名（DigitalSignature)。我們在教學過程中讓學生能掌握的是正確使用自己的數字簽名，學生走上社會做的不是科學研究，是應用型電子商務，主要包括銀行賬號的安全、交易賬號的安全，可以使用不同的認證方法保證信息安全，數字簽名就是一種很好的方法。例如，作為商業機構可以選擇一家公信度較強、通過國際認證的CA認證中心，CA認證中心會對于你每次交易中數字簽名進行處理，證明交易中的身份，保證簽名的不可否認性，加快交易速度，節省交易時間。

三、不輕易打開網站鏈接

在日常店鋪管理中，交易身份的假冒和網站的假冒時有發生，為了防范這種騙局，我們要做的就是不打開不信任的網站，不打開別人發來的鏈接。現在有一些騙子不僅是把自己偽裝成購物網站去騙買家，從而盜取買家的賬號、密碼。也有一些騙子專門去搜索一些新開的網店去欺騙賣家，一是因為新賣家經驗不足防騙知識薄弱，二是新賣家急于讓店鋪發生買賣，因此在交易時當這些不法分子告訴賣家自己進行的交易出現問題而發送鏈接時，賣家沒有仔細查看確認交易就貿然打開了鏈接，給店鋪造成了損失。

四、防火墻設置

近年來，作為保護計算機系統網絡安全的重要措施，防火墻技術正日趨成熟。對于一些與防火墻相沖突的軟件，需要關閉防火墻，有時網絡安全有問題時，又需要啟用防火墻。我們作為專業電子商務人員，要會對自己的電腦進行防火墻設置，設置時可以通過電腦的“控制面板”找到“防火墻”，打開“防火墻”自行設置。防火墻應該一直都處于打開的狀態。

五、計算機病毒防范

電子商務強調企業與商家通過網絡進行實時交流，安全防護的一點疏漏就可能使計算機病毒擴散到整個企業的網絡，可能感染客戶的計算機。因此應對計算機病毒進行防范。要想安全、可靠地防殺病毒，至少應該進行如下的工作：選擇好的防殺病毒軟件保護工作站、服務器；定期進行文件備份工作；定期對網絡進行病毒掃描，異常檢測；盡量多用無盤工作站；對遠程工作站的登陸權限實施嚴格控制，盡量少用超級用戶登錄；定期更新病毒庫；對網絡設備的安全隔離。

篇（7）

一、前言

電子商務全球化的發展趨勢中，電子商務交易的信用危機也悄然襲來，虛假交易、假冒行為、合同詐騙、侵犯消費者合法權益等各種違法違規行為屢屢發生，這些現象在很大程度上制約了我國電子商務乃至全球電子商務快速、健康發展。限制電子商務的發展主要因素就是電子支付手段的安全性。

二、主要的電子支付手段及其安全性分析

1.電子信用卡

(1)支付方式:信用卡支付是電子支付中最常用的工具，方法是在Internet環境下通過標準的SET協議進行網絡支付，用戶在網上發送信用卡號和密碼，加密后發送到銀行進行支付。支付過程中要進行用戶、商家及付款要求的合法性驗證。

(2)安全策略:電子信用卡，是通過用戶在網上輸入賬號/密碼+數字簽名，這些信息都是通過SET或者SSL協議的支付網關平臺直接與銀行進行相關支付信息的安全交互，進行網絡支付，這種支付方式的安全性是可以得到保證的。

(3)安全隱患:單純從技術上來說，無安全隱患問題。

2.電子支票

(1)支付方式:電子支票是利用數字化手段進行網上支付，支付過程與傳統支票的支付過程相似，只是電子支票完全拋開了紙質的媒介，其支票的形式是通過網絡傳播，并用數字簽名代替了傳統的簽名方式。其交易流程如下:

(2)安全策略:和電子信用卡一樣，采用賬號/密碼+數字簽名的方式進行身份驗證。其支付目前一般是通過專用網絡、設備、軟件及一套完整的用戶識別、標準報文、數據驗證等規范化協議完成數據傳輸，從而控制安全性，從上面的交易流程，我們可以看到，電子支票的支付在專用系統上有可靠的安全措施的。

(3)安全隱患:專用網絡上的應用具有成熟的模式（例如SWIFT(環球銀行金融通訊協會、SocietyforWorldwideInterbankFinancialTelecommunication)系統）;公共網絡上的點的資金轉賬仍在實驗之中。

3.電子現金

(1)支付方式:電子現金是一種以數字化形式存在的現金貨幣，它同信用卡不一樣，信用卡本身并不是貨幣，只是一種轉賬手段，而電子現金本身就是一種貨幣，是一種以數據形式存在的現金貨幣。它把現金數值轉換成為一系列的加密序列數，通過這些序列數來表示現實中各種金額的幣值?？梢灾苯佑脕碣徫铩ｋ娮蝇F金具有如下特點:匿名;節省交易費用;支付靈活方便；安全存儲。

(2)安全策略:沒有適當的身份認證機制，是匿名的，為防止被偽造，電子現金的傳輸是經過數字簽名的。

(3)安全隱患:①逃稅:由于電子現金可以實現跨國交易，稅收和洗錢將成為潛在的問題。電子現金不像真實的現金一樣，流通時不會留下任何記錄，稅務部門很難追查，所以即使將來調整了國際稅收規則，由于其不可跟蹤性，電子現金很可能被不法分子用以逃稅。②洗錢:電子現金使洗錢也變得很容易。因為利用電子現金可以將錢送到世界上的任何地方而不留痕跡，如果調查機關想要獲取證據，需要檢查網上所有的數據并破譯所有的密碼，這幾乎是不可能的。目前惟一的辦法是建立一定的密鑰托管機制，使政府在一定條件下能夠獲得私人的密鑰，而這又會損害客戶的隱私權，但作為預防洗錢等違法行為的措施，許多國家已經開始了這種做法。

③擾亂金融秩序：電子現金的法律地位一直難以確定。這是因為按照貨幣的實質和網絡無國界性來推斷，各國中央銀行的地位都將受到挑戰，因為任何一個有實力、有信譽的全球性公司，都可以發行購買其產品或服務的數字化等價物，從而避開銀行的繁瑣手續和稅收。而這會擾亂一國的金融秩序，任何國家都不會允許。

④重復消費:由于電子序列號可以被復制，因此需要一個大型的數據庫存儲用戶完成的交易和E-Cash序列號以防止重復消費，這對于軟件和硬件的要求都很高，因此很多銀行都不支持電子現金業務。

4.移動支付

(1)支付方式:移動支付系統將為每個移動用戶建立一個與其手機號碼關聯的支付賬戶，為移動用戶提供了一個通過手機進行交易支付和身份認證的途徑。用戶通過撥打電話、發送短信或者使用WAP功能接入移動支付系統，移動支付系統將此次交易的要求傳送給MASP，由MASP確定此次交易的金額，并通過移動支付系統通知用戶，在用戶確認后，付費方式可通過多種途徑實現，如直接轉入銀行、用戶電話賬單或者實時在專用預付賬戶上借記，這些都將由移動支付系統來完成。

(2)安全措施：身份驗證方式采用個人賬號/密碼的方式。對交易中的部分敏感信息進行了加密。

篇（8）

電子商務以電子形式取代了紙張，如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式，其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。

2.信息機密性

電子商務作為貿易的一種手段，其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的，商業防泄密是電子商務全面推廣應用的重要保障。

3.信息完整性

電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各信息的差異。因此，電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。

4.信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕；不可抵賴性要求即是能建立有效的責任機制，防止實體否認其行為；可鑒別性要求即是能控制使用資源的人或實體的使用方式。

5.系統的可靠性

電子商務系統是計算機系統，其可靠性是防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。

二、電子商務的信息安全技術

1.數據加密技術

加密技術用于網絡安全通常有二種形式，即面向網絡或面向應用服務。面向網絡的加密技術通常工作在網絡層或傳輸層，使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息，從而保證網絡的連通性和可用性不受損害。面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法，這一類加密技術的優點在于實現相對較為簡單，不需要對電子信息（數據包）所經過的網絡的安全性能提出特殊要求，對電子郵件數據實現了端到端的安全保障。

1）電子商務領域常用的加密技術數字摘要(digitaldigest)

這一加密方法亦稱安全Hash編碼法，由RonRivest所設計。該編碼法采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數字指紋(FingerPrint)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是“真身”的“指紋”了。

數字簽名(digitalsignature)

數字簽名將數字摘要、公用密鑰算法兩種加密方法結合起來使用。主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要)，用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名。然后，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密，如果兩個散列值相同，那么接收方就能確認該數字簽名是發送方的，通過數字簽名能夠實現對原始報文的鑒別。概括的說，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。

數字時間戳(digitaltime-stamp)交

易文件中，時間是十分重要的信息。在電子交易中，需對交易文件的日期和時間信息采取安全措施，而數字時間戳服務(DTS)就能提供電子文件發表時間的安全保護。時間戳(time-stamp)是一個經加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要(digest)；DTS收到文件的日期和時間；DTS的數字簽名。

數字證書(digitalcertificate,digitalID)數字證書又稱為數字憑證，是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。目前，最有效的認證方式是由權威的認證機構為參與電子商務的各方發放證書，證書作為網上交易參與各方的身份識別，就好象每個公民都用身份證來證明身份一樣。認證中心作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任，是一個負責發放和管理數定證書的權威機構。因而網絡中所有用戶可以將自己的公鑰交給這個中心，并提供自己的身份證明信息，證明自己是相應公鑰的擁有者，認證中心審查用戶提供的信息后，如果確認用戶是合法的，就給用戶一個數字證書。這樣，每個成員只需和認證中心打交道，就可以查到其他成員的公鑰信息了。對于在網上進行交易的雙方來說，數字證書對他們之間建立信任是至關重要的。數字憑證有三種類型：個人憑證、企業（服務器）憑證、軟件（開發者）憑證；大部分認證中心提供前兩類憑證。

2.身份認證技術

為解決Internet的安全問題，初步形成了一套完整的Internet安全解決方案，即被廣泛采用的公鑰基礎設施（PKI）體系結構。PKI體系結構采用證書管理公鑰，通過第三方的可信機構CA，把用戶的公鑰和用戶的其他標識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網上驗證用戶的身份，PKI體系結構把公鑰密碼和對稱密碼結合起來，在Internet網上實現密鑰的自動管理，保證網上數據的機密性、完整性。

1）認證系統的基本原理

利用RSA公開密鑰算法在密鑰自動管理、數字簽名、身份識別等方面的特性，可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統。這個可信的第三方認證系統也稱為CA，CA為用戶發放電子證書，用戶之間利用證書來保證信息安全性和雙方身份的合法性。

2）認證系統結構

整個系統是一個大的網絡環境，系統從功能上基本可以劃分為CA、RA和WebPublisher。

核心系統跟CA放在一個單獨的封閉空間中，為了保證運行的絕對安全，其人員及制度都有嚴格的規定，并且系統設計為一離線網絡。CA的功能是在收到來自RA的證書請求時，頒發證書。

證書的登記機構RegisterAuthority，簡稱RA，分散在各個網上銀行的地區中心。RA與網銀中心有機結合，接受客戶申請，并審批申請，把證書正式請求通過建設銀行企業內部網發送給CA中心。

證書的公布系統WebPublisher，簡稱WP，置于Internet網上，是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數據庫。用戶的證書由CA頒發之后，CA用E－mail通知用戶，然后用戶須用瀏覽器從這里下載證書。

3.網上支付平臺及支付網關

網上支付平臺分為CTEC支付體系（基于CTCA/GDCS）和SET支付體系（基于CTCA/SET）。網上支付平臺支付型電子商務業務提供各種支付手段，包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。

支付網關位于公網和傳統的銀行網絡之間，其主要功能為：將公網傳來的數據包解密，并按照銀行系統內部的通信協議將數據重新打包；接收銀行系統內部的傳回來的響應消息，將數據轉換為公網傳送的數據格式，并對其進行加密。此外，支付網關還具有密鑰保護和證書管理等其它功能。

三、電子商務信息安全中的其它問題

1.內部安全

最近的調查表明，至少有75%的信息安全問題來自內部，在信用卡和商業詐騙中，內部人員所占的比例最大；

2.惡意代碼

它們將繼續對所有的網絡系統構成威脅，并且，其數量將隨著Internet的發展和編程環境的豐富而增多，擴散起來也更加便利，因此，造成的破壞也就越大；

3.可靠性差

目前，Internet主干網和DNS服務器的可靠性還遠遠不能滿足人們的要求，而絕大

部分撥號PPP連接質量并不可靠，且速度很慢；

4.技術人才短缺

由于Internet和網絡購物都是在近幾年得到了迅猛的發展，因而，許多地方都缺乏足夠的技術人才來處理其中遇到的各種問題，尤其是網絡購物具有24x7（每天24小時，每周7天都能工作）的要求，因而迫切需要有一大批專業技術人員對其進行管理。如果說加密技術是電子交易安全的“硬件”，那么人才問題則可以說是“軟件”。從某種意義上講，軟件的問題解決起來可能更不容易，因此，技術人才的短缺可能成為阻礙網絡購物發展的一個重要因素。

5.Web服務器的保護意識差

在交易過程中對數據進行保護只是保證交易安全的一個方面。由于交易的信息均存儲在服務器上，因此，即使保密信息被客戶端接收之后，也必須對存儲在服務器中的數據進行保護。目前，Web服務器是黑客們最喜歡攻擊的目標。因此，建議盡量不要將Web服務和連接到任何內部網絡，而且要定期對數據進行備份，以便于服務器被攻擊之后對數據進行恢復。當然，這畢竟有些不太現實，現在許多流行的Web應用都需要Web服務器與公司的數據庫進行交互式操作，這就要求服務器必須與公司內部網絡相連，而這個連接也就成為黑客們從Web站點侵入企業內部網絡的一條通路。雖然防火墻技術有助于對web站點進行保護，但商家卻很少安裝防火墻或對其缺乏有效的維護，因而沒有對Web服務器進行很好的保護，這是商家的Web站點尤其要引起注意的地方。

四、與電子商務安全有關的協議技術討論

1．SSL協議（SecureSocketsLayer）安全套接層協議———面向連接的協議。

SSL協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用WebServer方式。但它是一個面向連接的協議，在涉及多方的電子交易中，只能提供交易中客戶與服務器間的雙方認證，而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方間的安全傳輸和信任關系。

2.SET協議（SecureElectronicTransaction）安全電子交易———專門為電子商務而設計的協議。由于SET提供了消費者、商家和銀行之間的認證，確保了交易數據的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優點，因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。雖然它在很多方面優于SSL協議，但仍然不能解決電子商務所遇到的全部問題。

結束語

本文分析了目前電子商務的安全需求，使用的安全技術及仍存在的問題，并指出了與電子商務安全有關的協議技術使用范圍及其優缺點，但必須強調說明的是，電子商務的安全運行，僅從技術角度防范是遠遠不夠的，還必須完善電子商務立法，以規范飛速發展的電子商務現實中存在的各類問題，從而引導和促進我國電子商務快速健康發展。

［摘要］電子商務對人類社會經濟產生了重大影響，在創造巨大經濟效益的同時，也從根本上改變了整個社會商務活動發展進程。我國電子商務在曲折進程中，已有很大程度的發展,同時也存在諸多問題。本文客觀地分析了電子商務的安全需求、安全技術發展現狀及存在的問題，對加快電子商務的發展步伐提出了一些重要思考。

［關鍵詞］電子商務；安全需求；安全技術；

[參考文獻]

①姚立新，新世紀商務:電子商務的知識發展與運作，中國發展出版社，1999年。

②《中國電子商務年鑒》2003卷。

篇（9）

隨著無線通信技術的發展,移動電子商務已經成為電子商務研究熱點。移動電子商務是將現代信息科學技術和傳統商務活動相結合,隨時隨地為用戶提供各種個性化的、定制的在線動態商務服務。

但在無線世界里,人們對于進行商務活動安全性的考慮比在有線環境中要多。只有當所有的用戶確信,通過無線方式所進行的交易不會發生欺詐或篡改、進行的交易受到法律的承認和隱私信息被適當的保護時,移動電子商務才有可能蓬勃開展。

移動電子商務通信安全的現狀

由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實際上,主要的無線通信技術都有各自的措施、協議和方法來保證各自體制下的通信安全。這里我們將從無線網絡和電子商務應用兩個方面作簡要討論。

無線局域網

無線局域網絡是以無線連接至局域網絡的通訊方式。它采用的是IEEE802.11系列標準。在該標準中,無線局域網的安全機制采用的是WEP協議(有線對等安全協議)。在數據鏈路用WEP加密數據,保證了信道上傳送數據的安全。另外,無線局域網的網絡管理員分配給每個授權用戶一個基于WEP算法的密鑰,這樣就有效阻止了非授權用戶的訪問。

WAP(無線應用協議)技術

WAP由一系列協議組成,用來標準化無線通信設備,例如:移動電話、移動終端;它負責將Internet和移動通信網連接到一起,客觀上已成為移動終端上網的標準。WAP協議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網絡。

WAP的安全機制是通過WTLS(無線傳輸層安全)協議來實現的。WTLS協議類似于互聯網傳輸層安全協議。在無線技術的有限的發送功率、存儲容量及帶寬的條件下,WTLS能夠實現鑒定,保證數據的完整性和提供保密服務的目標。

數字認證技術

對諸如移動電子商務和有重要使命的合作通信等活動,其安全性的一個關鍵方面是能否對信息發送者的身份進行論證,通常都要利用有線安全的公開密鑰基本構架(PKI)。

PKI提供與加密和數字證書有關的一系列技術。但在無線通信環境中,PKI是很難實現的。在只有有限計算能力和低數據流通率的設備上實現PKI中的服務一直是一個有挑戰性的難題。同時在PKI的基礎上,要將無線設備與有線設備之間進行互通也是有難度的。因此無線PKI(WPKI)協議是要將標準的PKI進行修正和簡化,使其在無線通信的環境下達到最優。

移動電子商務安全分析

IEEE802.11的安全

IEEE802.11標準規定了MAC層的存取控制規范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認證節點,使無線通信傳輸像有線網絡一樣安全。

WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發送的數據包,傳輸程序都將數據包的內容與數據包的檢驗組合在一起。然后,WEP標準要求傳輸程序創建一個特定于數據包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數據包進行加密。接收器生成自己的匹配數據包密鑰并用之對數據包進行解密。在理論上,這種方法優于單獨使用共享私鑰的顯式策略,應該使對方更難于破解。

但是,IEEE802.11中用于安全的WEP算法只是提供相當于有線局域網基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發現IEEE802.11存在安全漏洞,有經驗的黑客會利用這些漏洞進行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標準允許IV重復使用(平均大約每5小時重復一次)。WEP標準不提供自動修改密鑰的方法。

最早的WEP實施只提供40位加密,這使得它抗暴力攻擊能力差?，F代的系統提供128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網絡放在機構防火墻之外,這種防范措施會強制要求將無線連接當作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。

所以,WEP應該與其他安全機制一起應用才能提供較強的安全。

WAP的安全

WAP規范的安全特性包括幾個部分:WTLS協議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。

WTLS協議:WTLS基于IETF小組的SSL/TLS協議,提供了實體鑒別、數據加密和保護數據完整性的功能,所以可以確保在WAP裝置和WAP網關之間的安全通信。有三種不同級別的WTLS:

1級:執行未經證實的Diffie-Hellman密鑰交換以建立會話密鑰。

2級:使用與SSL/TLS協議相類似的公開密鑰證書機制進行服務器端鑒別。

3級:客戶端和服務器端采用X.509格式證書相互進行鑒別。

早期WAP裝置僅僅采用了第1級別的WTLS,這種級別的安全不夠,所以不能用于電子商務。目前,支持第2和第3級別WTLS的移動裝置從市場上可以得到,它們可以確保網上銀行交易和購物等應用的機密性。

WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術的支持(RSA是強制的,而ECC是可選的)。生產廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網關建立的所有WTLS會話都將使用相同的公匙用作初始會話。每一個會話都將包括與此密鑰對應的一個不同的證書。WIM的基本要求是它們要具有抗篡改的能力。

SignText功能:這個功能為WAP用戶提供了數字簽名。同電子簽名功能一樣,這個功能可以被應用于其他無線設備,或者是手持設備,或者是內嵌SIM卡。

WAP的安全分析:由WAP提供的最好的安全是WTLS3級,多數情況下WTLS已足以確保WAP的安全。但是,由于WAP網關在WAP設備和Web服務器之間起著翻譯的作用,相應的帶來了安全問題:WTLS安全會話建立在手機與WAP網關之間,而與終端服務器無關。這意味著數據只在WAP手機與網關之間加密,網關將數據解密后,利用其他方法將數據再次加密,然后經過TLS連接發送給終端服務器。由于WAP網關可以看見所有的數據明文,而該WAP網關可能并不為服務器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數據。

目前,針對上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網關的安全。如果WAP網關位于WAP服務供應商范圍之內,可以通過諸如在內存中對加密和解密過程進行最優化以減少數據明文存在的時間、在釋放前覆蓋加密解密進程使用的內存以確保數據的安全性。對于安全要求較高的公司可以擁有自己的WAP網關,從而保障數據端到端的安全性。通過WIM實現數據安全性。

WPKI技術

在有線通信中,電子商務交易的一個重要安全保障是PKI。PKI的系統概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題,但在應用PKI的同時要考慮到移動通信環境的特點,并據此對PKI技術進行改進。

WPKI技術滿足移動電子商務安全的要求:即保密性、完整性、真實性、不可抵賴性,消除了用戶在交易中的風險。WPKI技術主要包含以下幾個方面:

認證機構(CA)CA系統是PKI的信任基礎,負責分發和驗證數字證書,規定證書的有效期,證書廢除列表。

注冊機構(RA)RA提供用戶和CA之間的一個接口。作為認證機構的校驗者,在數字證書分發給請求者之前對證書進行驗證。

智能卡智能卡將具有存儲、加密及數據處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點,在生產過程、訪問控制方面有很強的安全保障。很多種需要客戶端認證的應用都可以使用智能卡來實現。并且智能卡也是存儲移動電子商務密鑰及相關數字證書的最佳選擇。

加密算法加密算法越復雜,密鑰越長則安全性越高,但執行運算所需的時間也越長(或需要計算能力更強的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協處理器的芯片。而ECC使用較短的密鑰就可以達到和RSA算法相同的加密強度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運算量小同時能提供高加密強度的公鑰密碼體制對在智能卡上實現數字簽名應用是至關重要的,ECC在這方面具有很大的優勢。

綜上所述,在WPKI機制下,數字證書非常重要,但是由于無線信道和移動終端的限制,如何安全、便捷地交換用戶的數字證書是WPKI所必須解決的問題。可以采用以下2種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動證書標識,將標準的一個X.509證書與移動證書標識唯一對應,并且在移動終端中嵌入移動證書標識,用戶每次只需要將自己的移動證書標識與簽名數據一起提交給對方,對方再根據移動證書標識檢索相應的數字證書即可。

目前,大多數移動電子商務采用的安全方式是非PKI的方式,這種方式主要采用對稱加密算法和單向散列函數來提供安全服務,其密鑰的管理是由移動運營商建立一套主密鑰管理系統,為不同的服務提供商分配不同的密鑰,每次交易過程中,服務提供商與用戶協商產生會話加密密鑰。顯然,采用這種方式構建的系統的安全性主要取決于主密鑰的安全。

盡管非PKI方式對于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統的安全得到較好的保障,但是從長遠來說,移動電子商務有必要逐步過渡到PKI方式。

移動電子商務隨著移動互聯網技術的成熟發展迅速,其獨特的應用領域使得其安全問題倍受關注。從技術角度上看,一方面無線通信的安全處在不斷地發展和完善之中,其應用到移動電子商務中時要與其它的安全機制相結合才能滿足實際應用的需要;另一方面有線電子商務的安全技術不能解決移動電子商務的安全問題,所以WPKI技術是一個現實的選擇。因此,將這兩方面進行改進并進行有機整合,才能營造一個安全的移動電子商務環境。

參考文獻:

1.儲節旺,郭春俠.移動電子商務研究[J].現代情報,2002,3(3)

篇（10）

網絡的安全問題得到人們的日益重視。網絡面臨的威脅五花八門：內部竊密和破壞，截收，非法訪問，破壞信息的完整性，冒充，破壞系統的可用性，重演，抵賴等。于是公鑰基礎設施（PublicKeyInfrastructure，PKI）應運而生。PKI是電子商務和其它信息系統的安全基礎，用來建立不同實體間的“信任”關系。它的基礎是加密技術，核心是證書服務。用戶使用由證書授權認證中心（CertificateAuthority，CA）簽發的數字證書，結合加密技術，可以保證通信內容的保密性、完整性、可靠性及交易的不可抵賴性，并進行用戶身份的識別。

1．密鑰托管KE與密鑰托管KEA的概念

在電子商務廣泛采用公開密鑰技術后，隨之而來的是公開密鑰的管理問題。對于中央政府來說，為了加強對貿易活動的監管，客觀上也需要銀行、海關、稅務、工商等管理部門緊密協作。為了打擊犯罪，還要涉及到公安和國家安全部門。這樣，交易方與管理機構就不可避免地產生聯系。為了監視和防止計算機犯罪活動，人們提出了密鑰托管（KeyEscrow，KE）的概念。KE與CA相接合，既能保證個人通信與電子交易的安全性，又能實現法律職能部門的管理介入，是今后電子商務安全策略的發展方向。

密鑰托管技術又稱為密鑰恢復（KeyRecovery）,是一種能夠在緊急情況下提供獲取信息解密密集新途徑的技術。它用于保存用戶的私鑰備份，既可在必要時幫助國家司法或安全等部門獲取原始明文信息，也可在用戶丟失、損壞自己的密鑰后恢復密文。

執行密鑰托管功能的機制是密鑰托管（KeyEscrowAgent，KEA）。KEA與CA是PKI的兩個重要組成部分，分別管理用戶的私鑰與公鑰。KEA對用戶的私鑰進行操作，負責政府職能部門對信息的強制訪問，不參與通信過程。CA作為電子商務交易中受信任和具有權威性的第三方，為每個使用公開密鑰的客戶發放數字證書，負責檢驗公鑰體系中公鑰的合法性。因此它參與每次通信過程，但不涉及具體的通信內容。

2．安全密鑰托管的步驟

密鑰托管最關鍵，也是最難解決的問題是：如何有效地阻止用戶的欺詐行為，即逃脫托管機構的跟蹤。為防止用戶逃避脫管，密鑰托管技術的實施需要通過政府的強制措施進行。用戶必須先委托密鑰托管進行密鑰托管，取得托管證書，才能向CA申請加密證書。CA必須在收到加密公鑰對應的私鑰托管證書后，再簽發相應的公鑰證書。

為了防止KEA濫用權限及托管密要的泄漏，用戶的私鑰被分成若干部分，由不同的密鑰托管負責保存。只有將所有的私鑰分量合在一起，才能恢復用戶私鑰的有效性。

（1）用戶選擇若干個KEA，分給每一個一部分私鑰和一部分公鑰。根據所得的密鑰分量產生相應的托管證書。證書中包括該用戶的特定表示符（UniqueIdentify，UID）、被托管的那部分公鑰和私鑰、托管證書的編號。KEA還要用自己的簽名私鑰對托管證書進行加密，產生數字簽名，并將其附在托管證書上。

（2）用戶收到所有的托管證書后，將證書和完整的公鑰遞交給CA，申請加密證書。

（3）CA驗證每個托管證書的真實性，即是否每一個托管都托管了一部分有效的私鑰分量，并對用戶身份加以確認。完成所有的驗證工作后，CA生成加密證書，返回給用戶。3．司法部門利用KE對信息的強制訪問

所有傳送的加密信息都帶有包含會話密鑰的數據恢復域（DataRecoveryField，DRF），它由時間戳、發送者的加密證書、會話密鑰組成，與密文綁定在一起傳送給接收方。接收方必須通過DRF才能獲得會話密鑰。在必要時，司法部門可利用KEA，通過DRF實現對通信內容的強制訪問。

在司法部門取得授權后，首先監聽并截獲可疑信息，利用DRF中發送者的加密證書獲得發送者的托管標示符及其對應的托管證書號，然后把自己的授權證書和托管證書號交給相應的密鑰托管。KEA驗證授權證書的真偽后，返回自己保管的那部分私鑰。這樣在收集了所有的私鑰成分后，司法部門就能恢復出發送者的私鑰，再結合接收者的公鑰及時間戳，就能破解會話密鑰，進而破解整個密文。由于密鑰托管不參與通信過程，所以在通信雙方毫無察覺的情況下，司法部門就能審查通信內容。

4．結束語

自從1993年美國政府頒布密鑰托管加密標準EES，有關密鑰托管的研究一直是密碼學領域一個持續的研究熱點。在電子商務時代，國家為了能夠管理和控制電子商務的健康發展，必須強制實施一定形式的密鑰托管技術，以便及時發現和阻止非法商務活動，并為司法部門提供取證的方便。

參考文獻

[1].盧鐵成.信息加密技術四川科學出版社1989

[2].陳偉東，翟起濱.二類基于離散對數問題的信息恢復多簽名體制.密碼與信息，1998.1

[3].NationalInstituteforStandardsandTechnology.EscrowedEncryptionStandard.FederalInformationProcessingStandardsPublication185，U.S.DeptofCommerce，1994

[4].BellareM，GoldwasserS.Verifiablepartialkeyescrow.In:ProceedingsofFourthAnnualConferenceonComputerandCommunicationsSecurity，ACM，1997

篇（11）

電子商務從產生至今雖然時間不長，但發展十分迅速，已經引起各國政府和企業的廣泛關注和參與。但是，由于電子商務交易平臺的虛擬性和匿名性，其安全問題也變得越來越突出，電子簽名技術的應用及其立法為電子商務安全運行提供了重要保障。

一、電子商務的安全威脅美國密執安大學的一個調查機構曾對23000名因特網用戶做了一個調查。調查顯示超過60％的人由于擔心電子商務的安全問題而不愿意在網上購物。同樣的調查顯示，任何個人、企業或商業機構以及銀行都不會通過一個不安全的網絡進行商務交易，一旦遭到攻擊，就會導致商業機密信息或個人隱私的泄漏，從而造成巨大的損失，對電子商務的安全威脅主要包括：信息的截獲和竊取、信息的篡改、信息假冒、交易抵賴等。

二、電子商務的安全要素

1。有效性。EC作為貿易的一種形式，其信息的有效性直接關系到個人、企業或國家的經濟利益和聲譽。因此，要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。

2。機密性。EC是建立在開放的網絡環境上的，維護商業機密是EC全面推廣應用的重要保障。因此，要預防非法信息存取和信息在傳輸過程中被非法竊取。

3。完整性。EC簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是EC應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的統一。

4。可靠性。如何確定要進行交易的貿易方正是進行交易所期望的貿易方，這一問題則是保證EC順利進行的關鍵。在傳統紙面貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴，確定合同、契約、單據的可靠性并預防抵賴行為的發生。這就是人們常說的“白紙黑字”。在無紙化的EC方式下，通過手寫簽名和印章進行貿易方的鑒別已不可能，因此，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。

三、電子商務安全的主要技術對策電子商務安全是信息安全的應用，它的技術范圍主要分為網絡安全技術、防火墻技術、加密技術和認證技術等。

1。網絡安全技術。網絡安全是電子商務安全的基礎，一個完整的電子商務系統應建立在安全的網絡基礎設施之上。網絡安全所涉及到的地方比較廣，如操作系統安全，防火墻技術，虛擬專用網技術和各種反黑客技術及漏洞檢測技術等。其中最重要的就是防火墻技術，防火墻是在連接Internet和Intranet保證安全最為有效的方法，防火墻能夠有效地監視網絡的通信信息，并記憶通信狀態，從而做出允許/拒絕等正確的判斷。

2。加密技術。加密技術是保證電子商務安全的重要手段。許多密碼算法現己成為網絡安全和商務信息安全的基礎。密碼算法利用密鑰(secretkeys)來對敏感信息進行加密，然后把加密好的數據和密鑰發送給接收者，接收者可利用同樣的算法和傳遞來的密鑰對數據進行解密，從而獲取敏感信息并保證網絡數據的機密性。

3。加密技術包括私鑰加密和公鑰加密。私鑰加密，又稱對稱密鑰加密。即信息的發送方和接收方用一個密鑰去加密和解密數據。目前常用的私鑰加密算法包括DES和IDEA等。公鑰密鑰加密，又稱不對稱密鑰加密系統，它需要使用一對密鑰來分別完成加密和解密操作。一個公開，稱為公開密鑰(PublicKey)；另一個由用戶自己秘密保存，稱為私有密鑰(Private-Key)。為了充分利用公鑰密碼和對稱密碼算法的優點，克服其缺點，解決每次傳送更換密鑰的問題，可采取混合密碼系統，即所謂的電子信封(envelope)技術。

4。認證與識別。全面的保護還要求認證和識別，確保參與加密對話的人確實是其本人。認證和識別是指用戶必須提供他是誰的證明。

這個“他”可能是某個雇員，某個組織的、某個軟件過程等等認證的標準方法就是弄清楚他是誰，他具有什么特征，他知道什么可用于識別他的東西。比如說，系統中存儲了他的指紋，他接入網絡時，就必須在連接到網絡的電子指紋機上提供他的指紋，只有指紋相符才允許他訪問系統。更普通的是通過視網膜血管分布圖來識別，原理與指紋識別相同，另外聲波紋識別也是商業系統采用的一種識別方式。

網絡通過用戶擁有什么東西來識別的方法，一般是用智能卡或其它特殊形式的標志，這類標志可以從連接到計算機的讀出器上讀出來。至于說到“他知道什么”，最普通的就是口令，口令具有共享秘密的屬性。更保密的認證可以是幾種方法組合而成。智能卡技術將成為用戶接入和用戶身份認證等安全要求的首選技術。用戶將從持有認證執照的可信發行者手里取得智能卡安全設備，也可從其他公共密鑰密碼安全方案發行者那里獲得。這樣智能卡的讀取器將成為用戶接入和認證安全解決方案的一個關鍵部分。

四、結束語電子商務交易安全的一些典型技術和協議都是對有關電子商務交易安全的外部防范，但是要想使一個商用網絡真正做到安全，不僅要看它所采用的防范措施，而且還要看它的管理措施。只有將這兩者綜合起來考察，才能最終得出該網絡是否安全的結論。因此，只有每個電子商務系統的領導、網絡管理員和用戶都能提高安全意識，健全并嚴格有關網絡安全措施，才能在現有的技術條件下，將電子商務安全風險降至最低。