电子商务安全技术问题

电子商务安全技术问题（共12篇）

电子商务安全技术问题 篇1

0 引言

电子商务是指政府、企业和个人利用计算机网络和通讯技术，以交易双方为主体，以银行电子支付结算为手段，以客户数据为依托的全新商务模式。由于互联网本身是一个高度开放型而又极不安全的网络，其用户遍及全世界，目前尚无完整的网络安全体制。因此，基于互联网的电子商务在安全上无疑会受到威胁，而电子商务安全是制约电子商务发展的一个关键问题，因此，电子商务安全技术就成为大家关注和研究的热点。

1 影响电子商务安全的因素

1.1 保密性

保密性是指信息在网络上传输或存储的过程中不被他人窃取、不泄露给未经授权的人或组织，或者经过加密后，使未经授权者无法了解其内容[2]。

1.2 完整性

完整性（Integrity）是指保护数据的一致性，防止数据被未授权者建立、修改、嵌入、删除、重复发送或由于其他原因被更改。

1.3 不可否认性

数据的发送方无法否认数据的传输行为，接收方不能否认已经接到的信息，这是一种法律有效性要求，交易一旦达成就不能否认，否则必然会损坏另一方的利益[3]。

1.4 认证性

认证性（Authentication）或称真实性是指网络两端的使用者在通信之前相互确认对方的身份，保证交易双方真实可靠。在电子商务方式下，要辨别参与者身份的真伪，需第三方进行认证。

1.5 不可拒绝性

不可拒绝性或可靠性是保证授权用户在正常访问数据资源时不被拒绝，也就是为用户提供稳定可靠的服务[4]。

1.6 访问控制性

访问控制性或称可控性规定了主体的操作权限，以及限制出入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制），包括人员限制、数据标识、权限控制等。访问控制性可用防火墙等技术及相关制度措施等实现。

2 电子商务的安全防范技术

为了满足电子商务的安全要求，电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务，具体可采用的技术如下：

2.1 网络安全技术

一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全涉及的方面比较多。

2.1.1 防火墙

“防火墙”是设置在被保护网络和外部网络之间起过滤作用的应用软件，以防止不可预测的、潜在的破坏性侵入。防火墙可通过监测、限制和更改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。因此，防火墙实际上是一种隔离技术，它既要限制有害数据流的通过，又要允许有益数据流的进入[5]。

目前使用的防火墙主要分为包过滤型和应用网关型两种类型。

包过滤型可以动态检查通过防火墙的TCP/IP报文头中的报文类型、源IP地址、目标IP地址、源端口号等信息，与预先保存的清单进行对照，按预定的安全策略决定哪些可以通过、哪些报文不可以通过防火墙。包过滤采访的一个缺陷就是容易产生电子欺骗，因为它不对真实性进行验证。

应用网管型使用代理技术，在内网和外网之间建立起一个独立的子网，该子网有一个代理主机，通过路由器和网关分别于内网和外网连接，代理访问主机对外部和内部的用户的网络服务请求进行认证，对于合法用户的服务请求，代理主机则连接内网与外网，自己作为通信的中介，外部用户只能获得经过代理的内网服务，从而确保了内网资源不被侵害。

2.1.2 VPN技术

VPN技术也是一项保证网络安全的技术之一，它是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，其分支机构就可以相互之间安全的传递信息。同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以进入企业网中。使用VPN技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制，是当前和今后企业网络发展的趋势[6]。

2.2 密码技术

密码技术是实现电子商务安全的重要手段，是信息安全的核心技术。主要包括加密技术、密钥管理和数字签名三大技术。

2.2.1 加密技术

加密技术是电子商务采取的主要安全措施，贸易方可根据需要在信息交换的阶段使用。

所谓加密就是使用数学方法来重新组织数据，把明文转换成密文的过程[7]。加密技术可以分为两类：对称加密和非对称加密。

2.2.1. 1 对称加密

对称加密技术又称为“私有加密”，其特点是数据的发送方和接收方使用的是同一把密钥，对信息的加密和解密是相同的，并在通信中严密保护密钥。

2.2.1. 2 非对称加密

非对称加密技术又叫做“公开密钥加密”，对信息的加密和解密都是用不同的密钥，加密用的密钥可以公开，而解密用的密钥是由系统保密持有的。

2.2.2 密钥管理

包括密钥的产生、存储、分配、装入、保护、销毁等内容。其中分配和存储是非常重要的问题。密钥管理涉及到系统的经济性、有效性和可靠性。现代信息系统的安全性主要取决于对密钥的保护，而不是对算法或硬件本身的保护[8]。

2.2.3 数字签名

数字签名是公开密钥加密技术的一种应用，是用来保证文档的真实性、有效性的一种措施，如同出示手写签名一样。实现方式是用发送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一起，合称为数字签名。通过数字签名能够实现对原始报文的鉴别与验证，保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。

2.3 认证技术

在电子商务系统中数字证书的发放需要有一个具有权威性和公正性的第三方认证机构来完成。CA认证中心就是这样的一个第三方机构。CA就是向交易双方发放电子密钥形式“电子证书”、承担网上安全电子交易认证、确保用户身份的服务机构，类似于现实生活中的公证机关或证件办理机构的角色。安全认证技术主要包括数字摘要、数字时间戳、数字信封、数字证书等。

2.3.1 数字摘要

数字摘要又称Hash算法，是一个信息唯一对应的一个散列值，主要用于保护数据的完整性。散列函数是一种可以产生一个称为“散列值”或固定长度数字摘要的算法。“单向”只指只能从信息生成散列值，而不能反向被解密。数字摘要相当于信息的指纹，它对每条信息都是唯一的。如果信息在传输时被改变，那么，原散列值就会与由接收者所收消息计算的散列值不匹配[9]。

2.3.2 数字时间戳

在电子商务交易中，时间是十分重要的信息，因此需要对电子商务交易文件的时间进行保护。数字时间戳服务（DTS）就是能提供对电子文件的日期和时间信息的安全保护，由专门的时间认真机构（TSA）提供服务。

2.3.3 数字信封

对称密钥的计算速度比较快，但必须通过不安全的传输路径将对称密钥传递给接收方。为解决这一问题，可用对称密钥对大型文件进行加密和解密，要用公钥加密方法加密和传送这把对称密钥。这种技术叫做“使用数字信封”。被公开密钥加密的对称密钥部分称为“数字信封”。在传送过程中，接收方先用相应的私有密钥打开数字信封，得到对称密钥，再使用对称密钥将密文解密，这样做可大大节约时间[10]。

2.3.4 数字证书

数字证书就是标志网络用户身份信息的一系列数据，用来在网络应用中识别通讯各方的身份，类似于现实生活中的身份证。数字证书由可信任的、公正的权威机构CA中心颁发，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的完整性、机密性，交易对象身份的真实性以及签名信息的不可否认性，从而保障网络应用的安全性。

2.4 安全协议

安全协议是电子商务系统运行的安全通信标准，是实现电子商务安全的关键技术之一，它会对电子商务的整体性产生很大的影响。目前国际上流行的电子商务所采用的协议主要有基于信用卡交易的安全电子交易协议（SET）、安全超文本传输协议（S-HTTP）、安全电子邮件协议和用于公对公交易的Internet EDI协议等。

2.5 PKI技术

PKI（公开密钥基础设施）是利用公钥算法的原理和技术为网上的通信提供通用安全服务的基础设施。它为电子商务、网上银行等提供一整套安全基础平台。

PKI的核心元素是数字证书，其核心执行者是认证中心（CA）。一个完整的PKI应具有权威认证机构、数字证书库、证书作废系统、密钥备份及恢复系统和应用接口（API）等组成部分。数字证书的应用和实施是广泛开展电子商务的前提，深入开展电子商务离不开数字证书和认证机构的正确督导。

3 结语

随着计算机技术、网络技术和通讯技术的飞速发展，基于Internet的电子商务越来越受到各行各业的高度重视，成为人们关注的焦点。但是，电子商务的安全问题却始终是电子商务发展的瓶颈之一，因此，保证电子商务数据的完整性和交易的不可否认性、可靠性等就成为电子商务发展必须解决的关键问题，但仅从技术的角度防范是远远不够的，还有赖于电子商务发展所需的政策和相应的法律、法规的建设等社会环境的不断完善，以规范飞速发展的电子商务中存在的问题，从而引导电子商务又快又好的发展。

参考文献

[1]应根基.电子商务安全技术分析与探讨[J].现代企业文化,2008,(32):131-132.

[2]张波,刘鹤.电子商务安全[M].上海:华东理工大学,2009:8.

[3]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.

[4]管有庆,王晓军,董小燕等.电子商务安全技术[M].北京:北京邮电大学出版社,2009:8.

[5]李荆洪.电子商务概论[M].北京:中国水利水电出版社,2007:112-114.

[6]张爱菊.电子商务安全技术研究[M].北京:清华大学出版社,2006:87-90.

[7]芮廷先.电子商务[M].北京:北京大学出版社,2010:104-106.

[8]蒋新滨.校园网的电子商务安全技术与应用[J].软件导刊,2008,(7):45-46.

[9]聂玲.电子商务安全技术问题研究[J].长江大学学报(自然学版),2008,5(4):320.

[10]胡明.电子商务安全技术的分析与研究[J].商场现代化,2008,(22):127.

电子商务安全技术问题 篇2

题目：电子商务存在隐患及防治措施

系部：信息工程系

专业：电子商务

班级：120502

学号：12050214

姓名：乔彪 成绩：

日期：2014年11月6日

随着电子商务不断的扩大影响，势必将成为一种新型的交易模式走入人们日常生活，计算机技术与其是密不可分，相辅相成的。电子商务的发展将带动计算机技术应用的更加广泛，计算机技术的进步将推动电子商务的蓬勃发展。而其在发展的过程中安全问题也变得越来越突出，可以说，没有安全就没有电子商务。

一、电子商务网络的安全隐患

1.窃取信息。交易双方进行交易的 内容 被第三方窃取。(2)交易一方提供给另一方使用的文件被第三方非法使用。

2.篡改信息。电子的交易信息在网络传输的过程中，可能被他人非法的修改、删除这样就使信息失去了真实性和完整性。

3.假冒。第三方可以冒充合法用户发送假冒的信息或者主动获取信息，有可能假冒一方的信誊或盗取被假冒一方的交易成果等。

4.恶意破坏。由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，破坏网络的硬件或软件而导致交易信息传递丢失与谬误。计算机网络本身容易遭到一些恶意程序的破坏，而使电子商务信息遭到破坏。

二、电子商务的安全要求

1.交易者身份的可认证性。

在传统的交易中，交易双方往往是面对面进行活动的，这样很容易确认对方的身份。即使开始不熟悉，不能确信对方，也可以通过对方的签名、印章、证书等一系列有形的身份凭证来鉴别身份。然而，在进行网上交易时，情况就大不一样了，因为网上交易的双方可能素昧平生，相隔千里，并且在整个交易过程中都可能不见一面。要使交易成功，首先要能验证对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。

2.信息的机密性。

由于电子商务是建立在一个开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。当交易双方通过Internet交换信息时，如果不采取适当的保密措施，就可能将通信内容泄密；另外，在网络上的文件信息如果不加密的话，也有可能被黑客窃取。上述种种情况都有可能造成敏感商业信息的泄漏，导致商业上的巨大损失。因此，电子商务一个重要的安全需求就是信息的保密性。这意味着，一定要对敏感信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，以使商业机密信息难以被泄漏。

3.信息的真实完整性。

信息输入时的意外差错或欺诈行为、传输过程中信息的丢失、重复或传送次序差异都会导致贸易各方信息的不同。交易的文件是不可被修改的，应该保证接受方收到的信息确实是发送方发送的，中途没有被非法用户篡改过。电子交易文件必须做到不可修改，以保障交易的严肃和公正。

三、电子商务交易中的一些网络安全技术

针对以上问题现在广泛采用了身份识别技术、数据加密技术、数字签名技术和放火墙技术、PKI技术。

1.身份识别技术。

通过电子网络开展电子商务，身份识别问题是一个必须解决的问题。一方面，只有合法用户才可以使用网络资源，所以网络资源管理要求识别用户的身份;另一方面，传统的交易方式，交易双方可以面对面地谈判交涉，很容易识别对方的身份。通过电子网络交易方式，交易双方不见面，并且通过普通的电子传输信息很难确认对方的身份。因此，电子商务中的身份识别问题显得尤为突出。

2.数据加密技术。

与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。

（1）对称加密技术

对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。

（2）非对称加密/公开密钥加密

在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。

3.智能化防火墙技术。

智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能 方法 来对数据进行识别，并达到访问控制的目的。新的方法，消除了匹配检查所需要的海量 计算，高效发现 网络 行为的特征值，直接进行访问控制。智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的 问题、病毒传播问题和高级 应用 入侵问题，代表着防火墙的主流 发展 方向。新型智能防火墙自身的安全性较传统的防火墙有很大的提高，在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面，与传统防火墙相比较有质的飞跃。

4.PKI技术。

PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。

（1）认证机构

CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职

责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。

（2）注册机构

RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。

（3）密钥备份和恢复

为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

（4）证书管理与撤消系统

证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。

四、总结

浅析电子商务安全问题 篇3

关键词：电子商务；安全问题

一、电子商务的概念

（一）电子商务的定义

目前，尚未有一个关于电子商务的准确定义，世界贸易组织（WTO）给电子商务下的定义为：电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。经济合作发展组织（OECD）认为：电子商务是指商业交易，它包括组织与个人在基于文本、声音、可视化图象等在内的数字化数据传输与处理方面的商业活动。①尽管电子商务的定义在内容上各有侧重，但是笔者认为对于电子商务的内涵，一般应至少包括下列三方面的内容：①使用电子工具，借助互联网传输信息；②在公开环境下交易；③依靠一定的技术规范和技术标准，利用数据化的信息来进行交易。

电子商务业务可以分为两大类：非支付型业务和支付型业务。前者包括税务申报、电子选举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务、代缴代付业务、银证转账业务、银企转账业务、电子证券业务、网上购物业务等。本文主要针对支付性业务的安全问题进行阐述。

（二）电子商务的特点

与传统商务相比，电子商务具有许多特点：

（1）电子商务由于借助互联网，这就使得经济交易突破了空间的限制，可以在全球范围内进行交易。

（2）在电子商务中，电子数据的传递、编制、发送、接收都由精密的电脑程序完成，更加精确、可靠。

（3）电子商务是一种快速、便捷、高效的交易方式。在电子商务中，信息的传递通过网络完成，速度很快，可以节省宝贵的交易时间。

（4）电子商务的进行采取无纸形式，因此进行过程往往以电子数据形式储存在电子系统里。

（5）EDI系统的采用使得电子商务的交易过程可能是自动化的。

上述特点，是电子商务独有的，传统商务无法实现。因此也可以看作是电子商务与传统商务的区别。

二、电子商务的安全问题

（一）电子商务的安全性要求

安全与效率，是一切经济交易必须考虑的两个问题。电子商务，作为一种新的经济交易方式，它只是在表现形式上与传统商业不同，但是这并没有改变其商业属性，这就要求电子商务的运作必须遵循商业活动的一般规律②，否则，电子商务是无法发展的。同时，从电子商务的特点来看，买卖双方是通过网络联系的，彼此远隔千山万水而仅仅是通过网络获得彼此信息，因此建立交易双方的安全和信任关系相当困难，同时也使得的上述安全和信任关系的验证也很困难。从传统商业与电子商务的不同特点来看，要满足电子商务的安全性要求，至少要有下面几个问题需要解决：

1.交易前交易双方身份的认证问题

电子商务是建立在网络平台上的虚拟空间中的商务活动，交易的当事人可能处在不同的国家，他们并不直接见面，双方只能通过数据、符号、信号等进行判断、选择，具体的商业行为也依靠电子信号和数据的交流，交易的当事人再也无法用传统商务中的方法来保障交易的安全。

2.交易中电子合同的法律效力问题以及完整性保密性问题

在传统商事法律中，合同形式要求为书面，而电子商务中的合同是电子合同，与传统的书面形式存在很大的不同，其法律效力如何取决于法律的有关规定。而且，由于电子商务所依赖的互联网平台本身具有开放性的特点，交易双方的数据如何避免被他人截取和篡改，以保证其完整性和保密性，这都是电子商务发展必须面对和解决的问题。

3.交易后电子记录的证据力问题

在我国，诉讼法中并未对电子记录的证据力作出明确规定，甚至也没有将其单列出来作为证据的一种。

上述这些问题是实现电子商务安全所必须解决的问题。笔者将针对这些问题，从电子商务的法律安全问题角度进行分析。

（二）电子商务的法律安全

1.电子合同的法律效力

要保证电子商务的安全运营，法律的保障是不容忽略的。合同是商业交易的内容，随着电子商务的发展，许多国家都运用法律手段来确定电子合同的效力。美国、欧盟等有关电子商务的法律文件都对电子合同进行了规范，我国《合同法》③也顺应时代发展的潮流，对电子合同这种新型合同形式也作了一些简单的规定。电子合同的形式及法律效力我国《合同法》第十条规定：当事人订立合同，有书面形式、口头形式和其他形式。第十一条规定：书面形式是指合同书、信件和数据电文（包括电报、电传、传真、电子数据交换和电子邮件）等可以有形地表现所载内容的形式。这说明我国已经承认了电子合同的法律效力，并规定电子合同形式为书面形式。这种规定虽很简单，但对于我国电子商务的发展却是意义深远。同时，联合国国际贸易法委员会在96年12月通过的《电子商业示范法》第6条中写明：“如果法律要求信息须采用书面形式，则假若一项数据电文所包含信息可以调取以备日后查用，即满足了该项要求。”并且在第11条中规定：“就合同的订立而言，除非当事各方另有协议，一项要约以及对要约的承诺均可通过数据电文的手段表示。如使用了一项数据电文来订立合同，则不得仅仅以使用了数据电文为理由而否定该合同的有效性或可执行性。”④美国的《统一电子交易法》中也有类似的规定。以上这些法律文件实际上已经承认了电子合同，并且赋予其与传统合同形式相同的法律效力。

2.电子签名的法律效力

在电子合同中，合同的完整性和保密性主要是通过电子签名来实现的。很多国家在法律上都承认了电子签名的效力。美国的《统一电子交易法》中规定：①一个记录或签名的效力或可执行性不得仅因其为电子形式而被否认；②一个合同的效力或可执行性不得仅因合同的成立中用了电子记录而被否认；③如果某一法律要求记录为书面形式，则电子记录即满足了该法的要求；④如果某一法律要求有签名，则电子签名即满足了该法律的要求。⑤上述规定从法律上承认了电子签名的效力，有利于加强电子商务的安全和促进电子商务的发展。

3.电子记录的证据力问题

与传统合同不同，电子合同的证据是电子化的，容易被伪造和篡改，而且很难发现改动的痕迹。因此，电子合同的证据力在传统证据规则中，是受到限制的。针对这个情况，联合国国际贸易法委员会在《电子商业示范法》第9条中规定：对于以数据电文为形式的信息，应给予应有的证据力。在评估一项数据电文的证据力时，应考虑到生成、储存或传递该数据电文的办法的可靠性，保持信息完整性的办法的可靠性，用以鉴别发端人的办法，以及任何其他相关因素。⑥这一规定既考虑到了电子记录自身的特点，又赋予了其应有的证据力，是对传统证据规则的突破，有利于电子商务的安全运营。

三、加强我国电子商务安全的思考

为了保障电子商务的安全性，目前，一些国际组织已先后制订了一些规定，但是，商家的商业信誉远远不够，在电子商务的环境中，人们对安全性更是普遍存有疑虑。这些已经成为阻碍我国电子商务发展的一个重要因素。如何保障我国的电子商务安全运营，已经成为关系到我国未来经济发展的一个重要问题。对此，笔者认为应努力做到以下几点：

（一）对电子商务进行专门立法

电子商务是一个新生事物，很多方面不同于传统商务，与传统的法律规范体系也存在着诸多的不相容之处，而且，传统的法律规范体系中还有许多电子商务方面的空白。这一情况已经在实践中引起了不少的问题。我国的电子商务是近年才发展起来的，目前规范电子商务的相关的法律法规极为有限。在法律的层次上，只有1997年《中华人民共和国刑法》和1999年《中华人民共和国合同法》对相关问题作了简单规定。例如，我国1997年修订的《刑法》中增加了关于计算机犯罪的条文，1999年通过的《合同法》对电子合同的书面形式、生效时间地点等作了规定。但是，这种规定太过简单，远远不能满足电子商务发展的需要。例如，对于电子认证的效力、虚假电子认证等重要的问题，我国法律还没有规定，这已经成为阻碍我国电子商务发展的重要问题。因此，我国应大力加强电子商务法制化建设，制订专门的《电子商务法》，对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题进行专门规定，使之适应电子商务发展的需要。在刑法中，对电子商务领域的犯罪进行规定。从而在法律上，为电子商务提供一个良好的发展环境。

（二）建设我国的电子商务认证机构体系

电子商务认证机构是电子商务中的重要部门，其担负着维护电子交易安全的责任。因此，要完善我国的电子商务安全运营，必须建立我国的电子商务认证体系。在目前存在的三种电子商务认证机构模式中，由于我国电子商务刚刚发展起来，不完善的地方很多，很多普通的消费者对电子商务还不很了解，而且在交易双方的力量对比悬殊的情况下，弱势一方很难通过谈判来取得公平的结果，因此当事人自由约定的电子商务认证体系不适合我国的实际情况。至于政府主导的电子商务认证体系，虽然政府可以对认证中的许多问题作出详细规定，并且认证结果通用性强。但是，这种方式行政色彩过浓，不利于电子商务按照商业规律自主发展。因此，目前来看，行业协会主导的电子商务认证体系是更适合我国国情的一种选择。行业协会更了解认证机构的运作，更能有效的对其进行监管。这种认证体系，把电子商务的商业发展的自主性、安全性要求与认证机构的行业特点有效地结合起来。同时，应当规定作为认证机构的指导机构，认证机构行业协会有权对认证的效力进行规定，并且有权规定认证机构的行业准则，对各个认证机构的业务活动进行监管，对违反行业规则的行为进行制裁和处罚。

但另一方面，我国的电子商务认证系统还远不成熟，仍有许多需要完善的地方。我们必须对此给予充分的重视，以便为电子商务的安全发展提供组织保障。

（三）从技术上为电子商务提供安全保障

大力推进加密技术、认证技术等技术的发展，从技术上为电子商务提供安全保障，电子商务的产生、发展是科技发展的结果，其安全运营也要依靠技术给予的保障。因此，为加强电子商务的安全性，我们必须大力推进科技的发展，使技术满足电子商务的安全运营要求。

（四）加强国际合作，与国际接轨

电子商务的一个特点就是无国界，可以全球交易。适应这一特点，我们必须加强国际合作。在立法上，我们必须考虑到国内法律、国际条约与行业惯例，使我们将来的《电子商务法》适应国际贸易发展的需要。在技术上，我们也要加强国际合作，共同推进电子商务的发展。另外，我们还要积极地参加有关的国际会议，了解电子商务发展的最新国际动态，努力与国际接轨。同时，我们也要通过国际合作，来积极维护我们的国家利益。

四、结语

电子商务出现于20世纪90年代，发展的时间并不长，但与传统商务相比，电子商务具有惊人的发展速度。我国的电子商务近年来发展也很快，但是有关的安全保障还未建立起来。这已经成为影响我国电子商务发展的一个障碍。

为此，我们必须加快建设有关的电子商务安全系统。这将是一个综合性的、涉及全社会的系统工程。惟有如此，我们才能顺应时代潮流，推动我国经济的发展；也惟有如此，我们才能在经济全球化的今天，参与到国际竞争中去，并进而赢得竞争的优势。

注释：

①周忠海.《电子商务法导论》.北京邮电大学出版社，P3

②蒋坡.《电子商务法律制度的内核》.《法学》.2000年第12期，P31

③指1999年《中华人民共和国合同法》

④阚凯力，张楚.《外国电子商务法》.北京邮电大学出版社，P266-268

⑤阚凯力，张楚.《外国电子商务法》.北京邮电大学出版社，P19

⑥阚凯力，张楚.《外国电子商务法》.北京邮电大学出版社，P267

参考文献：

[1]高媛，欧阳志明，石晓军.《电子商务》.企业管理出版社，1999年

[2]包晓闻，张海堂.《电子商务-21世纪，世界商务发展的潮流》.经济科学出版社，1999年

[3]蒋建平，杨毅.《电子合同的效力问题》.《律师世界》，1999年第11期

作者简介：

电子商务安全技术问题 篇4

在电子商务交易过程中, 每个参与者都可能受到不同类型的安全威胁。例如:销售者的中央系统的安全被入侵者破坏, 客户资料被竞争者获悉, 消费者提交订单后不付款, 收到虚假订单等。消费者也不是无忧的, 付款后不能收到商品, 机密性信息被泄漏, 受到拒绝服务攻击等等。概括起来, 电子商务所面临的安全问题可分为如下三个方面:

1.1 网络结点的安全

对于客户机, 黑客利用特定的技术非法入侵进来, 破坏用户信息的机密性和完整性。例如, Cookie管理程序、Java小应用程序和Java Script、Active控件, 以及一些图形文件、插件和电子邮件的附件都可能对客户机的安全性构成威胁。

对于服务器, 也有很多弱点会被利用, 如WWW服务器及其软件的安全漏洞、数据库的数据库服务器, 以及服务器上的公用网关接口程序都是黑客入侵的重点。

1.2 通讯的安全

电子商务系统的数据通信主要存在于客户端浏览器与电子商务WEB服务器, WEB服务器与电子商务数据库服务器, 以及银行内部网与业务网之间的通讯。通讯过程中, 数据信息的机密性、完整性对电子商务安全至关重要。

1.3 认证管理

传统的商务活动是以现有的信用体系为依托, 交易是以签订书面合同为依据的, 而电子商务的主要形式之一就是网上交易, 包括合同的处理以及资金的划转等, 所以在网上如何确定信用保护商业秘密, 对发展电子商务是一个很严重的问题。

2 电子商务中的安全技术

2.1 安全的网络平台

安全可靠的网络平台是电子商务成功运行的首要条件。提供安全网络平台的常用方法是采用防火墙技术、病毒防护技术等。防火墙是连接在Internet与Intranet之间的硬件或软件设备, 通过IP过滤和代理服务器软件方法保护企业内部网中的数据, 病毒防护技术主要用于对客户发来的订单及附件进行查毒、杀毒, 防止入侵者伪装成合法用户, 通过发送信息向服务器植入木马或其他恶意代码。

某些防火墙提供了拒绝服务和暴力攻击的防护功能, 但它们并不能执行深入的流量分析, 而入侵检测系统作为一种积极主动的安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和响应入侵。按照获得原始数据的方法, 可以将入侵检测系统分为基于网络的入侵检测系统和基于主机的入侵检测系统, 两种系统都具有监视分析用户和系统的行为、审计系统配置和漏洞、识别攻击行为、对异常行为进行统计等功能, 企业可以根据自身特点选取合适的保护措施。

2.2 数据加密技术

数据加密技术就是对信息进行重新编码, 从而隐蔽信息内容, 使非法用户无法获取信息的真实内容的一种技术手段, 该技术是电子商务所采

取的主要安全措施。目前, 加密技术主要分为两类, 即对称加密和非对称加密。

2.2.1 对称加密

对称加密又称常规加密或单密钥加密, 即对信息的加密和解密都使用相同的密钥。参见图1。

对称加密技术的主要优点是速度快、效率高, 因为贸易方公用一种加密算法, 减少了研究对方算法带来的成本。只要保证密钥在进行通信的贸易双方在交换的过程中未被泄漏, 那么文件的机密性和完整性就可以通过对称加密信息, 然后将加密后的信息随同报文一起发送报文摘要来实现。对称加密的不足在于将密钥发给贸易方是困难的, 另外, 有一个贸易伙伴就要有一个密钥, 也就是密钥的规模无法适应因特网这类大环境的要求。

2.2.2 非对称加密

非对称加密又称公开密钥加密, 该体系中, 密钥被分解为一对, 即公开密钥 (公钥) 和私人密钥 (私钥) , 顾名思义, 公钥对外公开, 私钥由个人秘密保存, 用其中一把密钥来加密, 就只能用另一把密钥来解密。 (见图2)

应用过程是:贸易方甲生成一对密钥, 并将其中一把作为公开密钥向其他贸易方公开, 得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把私钥对加密后的信息进行解密。

公开密钥加密技术解决了密钥的发布和管理问题, 是当前电子商务所主要应用的技术, 然而其运算速度较慢, 通常不适合对信息量大的文件进行加密。实际应用中, 通常是结合使用两种技术, 即采用公开密钥加密技术实现对称密钥的管理, 使相应的管理变得简单和安全。

2.3 数字签名

数字签名是公开密钥加密技术的一种应用, 它是在传输的数据信息里附加一些特定的数据或对数据信息作密码变换, 这种附加数据或密码变换使接收方能确认信息的真正来源和完整性, 并且发送方事后不能否认发送的信息, 而接收方或非法者不能伪造或篡改发送方的信息。其具体使用方式是:报文发送方采用Hash函数, 将原始报文M通过一个单向的Hash函数作用, 生成相当短的输出H (报文摘要) , 即Hash (M) =H, 在用自己的专用密钥对H进行加密形成发送方的数字签名。然后这个数字签名将作为报文附件随报文一起发送给接收方。报文接收方首先从收到的原始报文中用同样的算法计算出新的报文摘要, 再用发送方的公钥对报文附件的数字签名进行解密, 比较两个报文摘要, 如果值相同, 接收方就能确认该数字签名是发送方的。

2.4 身份认证

电子商务交易过程中企业与用户通过Internet互相交换从CA申请到的数字证书, 并验证其真实性 (包括验证数字签名、数字证书有效性等) , 如任何一方发现对方数字签名有误, 则立刻停止交易。

认证中心 (CA) 是提供身份验证的第三方机构, 通常由一个或多个用户信任的组织实体组成。而数字证书是一段包含用户身份信息、用户公钥信息以及安全认证中心 (CA) 数字签名的数据, 其中, CA的数字签名确保了证书信息的真实性, 用户公钥信息确保了数字信息传输的完整性, 而用户的数字签名又确保了数字信息的不可否认性。

在我国, 基于Internet的电子商务尚未得到长足发展, 其信息安全工作任重而道远, 这不仅有技术方面的因素, 也存在人为因素。作为企业的管理人员, 应尽量采用先进的技术措施防范黑客, 并加强企业内部的安全管理, 提高员工安全意识, 而作为电子商务的参与者, 我们要积极参与, 密切关注, 共同为电子商务的良好发展保驾护航。

摘要：随着因特网技术的迅猛发展, 电子商务的发展前景也变得更为诱人, 同时, 其安全问题也变得日趋突出, 成为决定电子商务成败的关键因素。本文首先阐述了目前电子商务所面临的几大安全问题, 继而对电子商务中的安全技术作了分析介绍, 最后对我国电子商务的发展提出了几点建议。

06电子商务的安全问题 篇5

一、选择题

1、在电子商务信息安全要求中，信息在传输过程中或存储中不被他人窃取指的是（B）。A、信息的保密性

B、信息的完成性

C、信息的不可否认性

D、交易者身份的真实性

2、加密和解密密钥不同的密码体制称为（）。

A、DES密码体制

B、公开秘钥密码体制 C、通用秘钥密码体制

D、凯撒密码体制

3、加密后的内容称为（）。

A、密钥

B、算法 C、密文

D、明文

4、用户识别方法不包括（）。

A、根据用户知道什么来判断

B、根据用户拥有什么来判断 C、根据用户地址来判断

D、根据用户是什么来判断

5、一下身份认证技术中，属于生物特征识别技术的有（）。

A、数字签名识别法

B、指纹识别法

C、语音识别法

D、头盖骨的轮廓识别法

6、触发电子商务安全问题的原因有（）。

A、黑客的攻击

B、管理的欠缺 C、网络的缺陷

D、软件的漏洞

7、不属于病毒防范制度的内容是（）。

A、为自己的电脑安装防病毒软件

B、不打开陌生地址的电子邮件 C、认真执行病毒定期清理制度

D、高度警惕网络陷阱

8、下面属于不安全口令的有（）。A、使用用户名作为口令

B、使用自己或者亲友的生日作为口令 C、使用学号或者身份证号码等作为口令 D、使用常用的英文单词作为口令

9、在使用数字证书来为邮件签名之前，还应该为电子邮件地址申请（）。A、密码

B、密钥 C、数字标识

D、账号

10、计算机病毒是指（）。

A、具有破坏作用的特制程序

B、带细菌的磁盘 C、已经损坏的磁盘D、优良程序

11、对称密码技术中DES是（）。

A、Data Encryption Standard

B、Data End System C、Data Encryption System

D、Data End Standard

12、（）协议是用于开放网络进行信用卡电子支付的安全协议。

A、SSL

B、TCP/IP C、SET

D、HTTP

13、CA认证中心主要承担电子商务中的交易认证、（）、身份审核等服务。A、伏路把关

B、数据加密 C、证书签发

D、信息传递

14、属于非对称加密算法的有（）算法。

A、RSA

B、Rivest Code C、DES

D、AES

15、防火墙可以抵御的安全威胁有（）。A、不经由防火墙的攻击

B、受到病毒感染的软件或文件的传输 C、来自内部的攻击 D、内部信息的外泄

16、以下关于防火墙的说法错误的是（）。

A、包过滤型防火墙在网络层工作，其处理对象是数据包。

B、应用网关型防火墙在应用层工作，而代理服务器型防火墙却在最高层共工作，这是它们的不同点。

C、包过滤型防火墙、应用网关型防火墙和代理服务器型防火墙的防范方式与侧重点不同。D、包过滤型防火墙通常安装在路由器上，而应用网关型防火墙和代理服务器型防火墙大多是基于主机的。

17、在保密制度里，信息的安全级别不包括（）。

A、绝密级

B、机密级 C、秘密级

D、保密级

18、数字指纹也叫（）。

A、数字签名

B、消息摘要

C、消息验证

D、数字摘要

19、目前最安全的身份认证机制是（）。

A、一次口令机制

B、双因素法

C、基于智能卡的用户身份认证

D、身份认证的单因素法

20、身份认证的主要目标包括：确保交易者是交易者本人、避免与超过权限的交易者进行交易和（）。

A、可信性

B、访问控制

C、完整性

D、保密性

二、填空题

1、互联网的安全隐患主要表现在、、、四个方面。

2、电子商务面临的主要安全隐患有、、、、对交易行为进行的抵赖和身份识别六个方面。

3、一个功能较为完整的防火墙基本组成包括、、和。

4、防火墙的类型有、、和。

5、加密算法的代表为算法。

6、不对称加密算法的代表为算法。

7、有效的身份认证的三个基础因素是、和。

8、动态口令是应用最广的一种身份识别方式，一般是长度为的字符串，由数字、字母、、等组成。

9、生物特征分为和两类。

10、访问控制的要素有、、、和。

11、目前主要的访问控制类型有3种：、、。

12、和是电子商务安全协议是在电子商务活动中比较常用的安全协议。

13、SSL协议提供的安全连接具有的3个基本特点分别是：、和。

14、现行Web浏览器普遍将和相结合，从而实现安全通信。

15、SSL记录协议为SSL连接提供了和服务。

三、简答题&论述题

1、简述电子商务面临的主要安全隐患问题。

答: 电子商务需要借助网络，而网络的开放性，会存在以下安全隐患：(1)对合法用户身份的仿冒。(2)网络传输数据的保密性。(3)网络传输数据的完整性。(4)利用网络数据恶意攻击网络硬件和软间，从而导致商务佶息传递的丢失、破坏。(5)商业诈和故意抵赖。

2、防火墙的基本概念。

答:

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障

3、简述防火墙的功能。

4、简述防火墙的局限性。

5、列举身份认证的方法。

6、短信密码认证方法具有哪些优点？

7、访问控制的定义。

8、简述访问控制的原理。

9、自主访问控制的最大的特点是什么？

10、简述SET协议采用的数据加密模型的特点。

四、案例题

案例一：360安全浏览器

360安全浏览器（360SE）是互联网上好用和安全的新一代浏览器，和360安全卫士、360杀毒等软件产品一同成为360安全中心的系列产品。木马已经取代病毒成为当前互联网上最大的威胁，90%的木马用挂马网站通过普通浏览器入侵，每天有200万用户访问挂马网站中毒。360安全浏览器拥有全国最大的恶意网址库，采用恶意网址拦截技术，可自动拦截挂马、欺诈、网银仿冒等恶意网址。独创沙箱技术，在隔离模式即使访问木马也不会受感染。除了在安全方面的特性，360安全浏览器在速度、资源占用、防假死不崩溃等基础特性上表现同样优异，在功能方面拥有翻译、截图、鼠标手势、广告过滤等几十种实用功能，在外观上设计典雅精致，是很多网民使用浏览器的选择之一。360安全浏览器在网络安全方面具有以下特点：

1.智能拦截钓鱼网站和恶意网站，开心上网安全无忧； 2.智能检测网页中恶意代码，防止木马自动下载；

3.集成全国最大的恶意网址库，网站好坏大家共同监督评价； 4.即时扫描下载文件，放心下载安全无忧；

5.内建深受好评的360安全卫士流行木马查杀功能，即时扫描下载文件； 6.木马特征库每日更新，查杀能力媲美收费级安全软件；

7.采用“沙箱”技术，真正做到百毒不侵（木马与病毒会被拦截在沙箱中无法释放威力）； 8.将网页程序的执行与真实计算机系统完全隔离，使得网页上任何木马病毒都无法感染计算机系统；

9.颠覆传统安全软件“滞后查杀”的现状，所有已知未知木马均无法穿透沙箱，确保安全。

请分析案例回答以下问题：

（1）分析360安全浏览器主要解决网络安全隐患中的哪一类问题。（2）浅谈电子商务中网络客户端方面应该注意的安全问题。

案例二：泄密案例

受害者：HBGary Federal公司（2011年2月）

随着为美国政府和500强企业提供信息安全技术服务的HBGary Federal公司CEO的黯然辞职，人们骤然醒悟，云时代保障企业信息资产安全的核心问题不是技术，而是人，不是部门职能，而是安全意识！企业门户大开的原因不是没有高价安全技术，而是缺乏一道“人力防火墙”。2011年2月6日，在美式橄榄球超级碗决赛之夜，HBGary Federal公司创始人Greg Hoglund尝试登录Google企业邮箱的时候，发现密码被人修改了，这位以研究“rootkit”而著称的安全业内资深人士立刻意识到了事态的严重性：作为一家为美国政府和500强企业提供安全技术防护的企业，自身被黑客攻陷了！更为糟糕的是，HBGary Federal企业邮箱里有涉及包括美商会、美国司法部、美洲银行和WikiLeak的大量异常敏感的甚至是见不得光的“商业机密”。

对HBgary Federal公司实施攻击的黑客组织“匿名者”随后将战利品——6万多封电子邮件在互联网上公布，直接导致HBgary Federal公司CEO Aaron Barr引咎辞职，由于此次信息泄露涉及多家公司甚至政府部门的“社交网络渗透”、“商业间谍”、“数据窃取”、“打击WikiLeak”计划，HBGary公司的员工还纷纷接到恐吓电话，整个公司几乎一夜间被黑客攻击彻底击垮。

失窃/受影响的资产：60000封机密电子邮件、公司主管的社交媒体账户和客户信息。安全公司HBGary Federal宣布打算披露关于离经叛道的Anonymous黑客组织的信息后不久，这家公司就遭到了Anonymous组织成员的攻击。Anonymous成员通过一个不堪一击的前端Web应用程序，攻入了HBGary的内容管理系统(CMS)数据库，窃取了大量登录信息。之后，他们得以利用这些登录信息，闯入了这家公司的多位主管的电子邮件、Twitter和LinkedIn账户。他们还完全通过HBGary Federal的安全漏洞，得以进入HBGary的电子邮件目录，随后公开抛售邮件信息。

汲取的经验教训：这次攻击事件再一次证明，SQL注入攻击仍是黑客潜入数据库系统的首要手段;Anonymous成员最初正是采用了这种方法，得以闯入HBGary Federal的系统。但要是存储在受影响的数据库里面的登录信息使用比MD5更强大的方法生成散列，这起攻击的后果恐怕也不至于这么严重。不过更令人窘迫的是这个事实：公司主管们使用的密码很简单，登录信息重复使用于许多账户。

电子商务安全问题及对策分析 篇6

网络信息的截获和窃取。如果网络中的信息没有经过特殊的加密措施或者只是简单的进行加密，那么一些不法人员就能够通过网络或搭线等方式，利用截获装置在电磁波范围内或网关和路由器上获得数据，也可以利用整个信息的流量以及流向、频率以及长度等数据对信息进行分析，然后获得所需的信息内容，比如说一些个人的银行账户、密码或者企事业单位的重要商业信息等。

相关信息的改变。如果不法分子对信息的传输格式和方式较为熟悉后，他们就可以利用各种手段对信息的内容进行修改，然后将改变后的信息发往接收者，通常来讲这种安全问题往往对信息内容进行以下处理：将原信息的顺序进行打乱，对部分内容进行修改，比方说收货人的地址等；将信息中的某些内容进行删除；在信息中穿插一些错误信息，使得接收者无法看懂信息或者理解错误的内容。

假冒信息。一些不法分子在解密了网络信息后，就会将自己伪装成合法用户，然后利用各种虚假的信息来对其他用户进行欺骗，通常这种欺骗主要有两种形式，第一，利用虚假电子邮件。通过一些虚假的网站，大量收取用户的订货单；假冒成用户，然后利用电子邮件的发送，使网络商家的资源被占用，无法进行正常的商务活动。第二，伪装成其他人的身份。比方说假冒成相关领导人，从而对一些机密信息进行查看；以他人的名义进行消费；非法获得网络中的通行证、使用权限等。

不承认交易。这种现象主要表现为信息的发送者不承认曾经发送过信息；接收者不承认接收到信息；购买者不承认下过订货单；商品出售者不承认交易等。

2.电子商务中常见安全问题的解决对策

A.网络安全技术

防范病毒技术。利用计算机病毒入侵网络和计算机是不法分子窃取电子商务信息的主要手段，为了有效的防范病毒给电子商务信息安全带来影响，可以从以下几个方面进行控制：利用各种防病毒软件，强化自身网络的病毒防御能力；积极使用各种数据备份以及恢复方法；对那些重要的数据信息以及设备应该采取必要的措施进行隔离保护。

身份识别技术。在计算机网络技术中，身份识别技术是一种应用较为广泛的技术，主要是对被认证者的身份和信息的真实性进行确定，通过对被认证者的一些基本信息进行确认来实现，这些基本信息通常是口令、问题、指纹、声音等信息，正确的信息输入就能够获得身份认证的通过。

防火墙技术。在计算机网络中，防火墙是对内部网络和外部网络进行分离控制的有效方法，这种技术能够实现内部网络与外部网络之间信息传递和存储的控制，防火墙是企业内部网络与外部网络之间进行信息传递的关口，可以根据实际的需要对信息进行控制，而且它能够有效的抵御网络攻击对内部网络的损害。防火墙技术作为当前一种普遍存在的网络信息安全控制技术，其作用机制主要是对访问进行控制，其设计的原则是：所有没有经过允许的访问都是被禁止的或者所有没有被禁止的访问都是允许的。防火墙技术可以有效的对网络信息数据的完整性、有效性、秘密性进行控制和保护。

虚拟专用网技术。虚拟专用网是互联网电子交易过程中一种专门的应用网络，这一技术可以在交易双方之间建立一条安全通道，进行各种电子信息数据的流通和传递。通常来讲使用这一专用网络的双方，彼此互相了解，而且相互之间进行的信息交换量巨大，因此，双方可以利用一些非常复杂的加密和认证技术来对信息数据进行处理，从而使信息数据的安全性得到大大提升。

B.交易安全技术

数据加密技术。数据加密技术的主要工作原理就是通过一些加密算法，使原来的信息转变成一些具有特殊规则的秘密信息，然后对这些秘密信息进行传递，接收者收到后再按照规则转换成原信息。数据加密技术是当前电子商务过程中较为常见的信息防护手段，能够有效的提升数据信息的安全性。一般来讲，数据加密技术可以分为以下两种：对称和非对称密钥加密。所谓对称密钥加密就是说数据信息的发送和接收双方都需要使用相同的密钥来进行数据信息的转换，这种方法的数据信息转换速度较快，对于那些数据信息量较大的加密操作比较适用，但是这种方法也有它的局限性，那就是当用户的数量较多时，对于密钥如何进行管理和使用就成为一项较为困难的工作；所谓非对称密钥加密就是说网络交易双方各自拥有一对相互对应的密钥，其中一个密钥对外公开，而另外一个密钥则由个人进行保管，使用一个密钥进行加密操作，就意味着必须使用相对应的另外一个密钥来进行解密操作。这种方式大大简化了密钥管理和使用过程中的工作，但这种方式也会使得整个加密和解密过程变得相对复杂，从而影响整个加密过程的速度，不适合那种数据信息量较大的加密操作。

认证技术。数字摘要这种方法主要是利用单向Hash函数，将信息文件中的一些重要内容进行转换，而后获得相应的摘要码，在进行数据信息的传递时，将这一摘要码同时进行传递，接收者在获得数据信息后，按照上述方法进行转换，如果所得到的摘要码与接收到的摘要码相同，那么就说明这些数据信息没有被篡改。这种方法可以对数据信息的完整性进行有效的控制和确认。

数字信封是用加密技术来保证只有规定的特定收信人才能阅读信息的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封。得到对称密钥，然后使用对称密钥解开信息。这种技术安全性相当高。

数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。

由于电子商务中的交易一般不会有使用者面对面进行，所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方，用以证实交易双方的身份，数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中，参与方必须利用认证中心签发的数字证书来证明自己的身份。从而保证信息的有效性和认证性。

安全认证协议。安全电子交易协议是由VISA和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系，给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。安全套接层协议主要用于提高应用程序之间的数据的安全系数。目的是为用户提供Internet和企业内联网的安全通信服务。

电子商务安全技术问题 篇7

一、电子商务的安全需求

由于电子商务是一种利用互联网资源进行的商业交易活动, 因此在交易安全方面与互联网的安全性密切相关。在交易过程中, 主要涉及信息的安全传输、在线支付的安全认证等问题。

1. 数据保密性需求。

在电子商务中, 无论是企业自己的数据, 如计划书、图纸、生产销售数据等, 还是企业间交换的契约、合同或者用户的订单、支付等都是十分重要和敏感的数据, 这些数据都要使用良好的加密措施, 保证其在存储和传输中的安全性。

2. 数据完整性需求。

由于在交易过程中必须保证信息的完整性和有效性, 即要保证信息从交易一方送达另一方时, 数据是准确的、有效的, 且发送方不可否认此次交易的存在性和真实性, 这需要对传送的数据进行签名和验证。

3. 身份确认需求。

由于交易是在网上进行的, 所以在进行交易前, 必须确认对方的身份, 防止交易双方的身份被假冒, 因此需为参与交易的各方提供可靠的标识, 通过验证被认证对象标识的有效性, 来证实被认证对象身份是否有效。

4. 商务活动的不可抵赖性。

为了保证商务活动的各参与方对自己的行动负责, 一方面, 电子商务系统会让参与者留下参与活动的证据;另一方面, 政府通过相应的法律条文保障参与方履行其申明的责任。为满足电子商务的安全需要, 实现安全的、有效的在线交易, 需要在Internet上建立可信的安全的通信基础设施, 通过强认证机制和加密机制来保证安全性。

二、PKI技术

1. PKI的组成。

PKI技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心, 也是电子商务的关键和基础技术。一个完整的PKI系统由策略管理、软硬件系统、认证机构 (CA) 、注册机构 (RA) 、证书管理系统和PKI应用接口等部分组成。

(1) 策略管理:它建立和定义了一个组织信息安全方面的指导方针, 同时也定义了密码系统使用的处理方法和原则。 (2) CA是可信的第三方机构, 负责颁发证书、验证用户身份的真实性。 (3) RA提供用户和CA之间的一个接口, 它收集和确认用户身份, 接受用户的注册申请, 向CA提出证书请求。 (4) 证书管理系统用来管理数字证书库, 包括发布证书、实时查询证书和证书撤销信息等。

2. PKI技术实现的主要功能

(1) 用户注册:收集用户信息, 该功能在CA完成或由独立的RA完成。 (2) 发行证书:响应用户的请求创建证书, 由CA完成。 (3) 废止证书:创建和发布废止证书列表 (CRI, Certificate Revocation List) , 由与CA相关的管理软件完成。 (4) 存储和检索证书和CRI:使具有授权的用户可以方便地使用证书和CRI, 证书及CRI通常存储在一个可通过LDAP协议访问的安全的、备份的目录。 (5) 证书路径确认:在证书确认链中加入一个基于规则的约束, 只有在约束全部满足时证书才被确认, 由CA完成。 (6) 时间戳:为每个证书打上时间标记, 规定证书的有效时限, 由CA或者是专用的时间服务器 (Time Server) 完成。 (7) 密钥生命期管理:进行密钥的更新、存档、恢复等工作, 由软件自动完成或手工完成。

3. PKI安全性分析

PKI是以公钥加密为基础的, 为网络安全提供安全保障的基础设施。从理论上来讲, 是目前比较完善和有效的实现身份认证和保证数据完整性、有效性的手段, 但在实际的实施中, 仍有一些需要注意的问题。与PKI安全相关的最主要的问题是私有密钥的存储安全性。由于私有密钥保存的责任是由持有者承担的, 而非PKI系统的责任。私钥保存丢失, 会导致PKI的整个验证过程没有意义。另一个问题是废止证书时间与废止证书的声明出现在公共可访问列表的时间之间会有一段延迟, 这会使无效证书这一段时间内被使用。另外, Internet使得获得个人身份信息很容易, 如身份证号等, 一个人可以利用别人的这些信息获得数字证书, 而使申请看起来像来自别人。同时, PKI系统的安全很大程度上依赖于运行CA的服务器、软件等, 如果黑客非法侵入一个不安全的CA服务器, 就可能危害整个PKI系统。因此, 从私钥的保存到PKI系统本身的安全方面还要加强防范。在这几方面都有比较好的安全性的前提下, PKI不失为一个保证网络安全的一个非常合理和有效的解决方案。

三、结论

由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触, 因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术。它能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的、易用的、灵活的和经济的。

参考文献

[1]Robert C Elsenpeter, Toby J Velte.电子商务技术指南[M].前导工作室译.北京:机械工业出版社, 2001

[2]李金库张德运张勇:身份认证机制及其安全性分析.计算机应用研究.2007

[3]吴晓平:PKI/CA在专用信息系统中的建设及应用研究[D].四川大学, 2006

[4]丁惠春:PKI及其在电子政务中的应用研究[D].西41SJ-业大学, 2005

电子商务安全技术问题 篇8

电子商务网络的出现给人们的日常生活和工作带来了极大的方便, 也使产业的工作效率大大的提高了。但是凡事都存在两面性, 计算机的出现给我们带来方便的同时, 由于电子商务使用中的不稳定性及网络黑客的出现经常会使我们的工作成果和财产瞬间化为泡影, 电子设备提供的信息往往具有这样的抽象性。比如在局域网上工作室会出现各种突发情况, 如无规律的掉线或IP地址冲突, 工作就不能正常进行, 甚至是所有高频率使用区段和整体局域网全体掉线, 有的情况则是在某一段VLAN段内网络表现为不稳定, 网速时而顺畅时而堵塞, 但是当我们对计算机进行重启后, 所有错误又会消失, 一切恢复正常, 并且在进行单机网络光纤检测时一切又都显示正常, 使我们难以找到问题的所在。久而久之这类问题便显现出来, 专家对此类问题开始重视, 并进行大量研究和测试, 最后经过全面的分析, 我们得出结论, 之所以出现网络异常现象是因为此段网络遭到了ARP攻击, 此网段的ARP协议必然发生异常, 黑客利用ARP协议表格对局域网内部信息进行截获造成网络延迟等现象, 更为严重的就是这样的行为会导致局域网内部资料信息的丢失。对网络安装网络防火墙可以有效的解决此类问题, 保护网络内部的IP地址和MAC地址不被截获。使用这样的方法来保障电子商务的网络安全, 下面我们就电子商务网络安全的技术做出相应的分析。

2 ARP协议在网络中的工作原理

ARP全称为Address Resolution Protocol, 译为地址解析协议, 顾名思义它的主要功能就是网络地址解析, 具体表现为在数据链路层, 根据目标计算机的IP地址, 将本层与目标设备的硬件接口搭接, 进而找到其所对应的MAC地址, 如此将这两个地址相对应起来, 同时对上层提供服务。换句话说, 就是把网络IP地址与物理实体地址联系起来, 完成它们之间的转化, 便于利用目标设备的资料更实现了计算机之间的通讯。

在以太网的环境中, 设备与设备之间的联系是通过IP地址建立的, 源设备若想将讯息传递给目标设备必须先获得目标设备的IP地址, 但是我们现在的传输工具只能获取目标设备的物理实体MAC地址, 它不能识别主机的IP地址。什么是MAC地址呢?其实他就是每个计算机设备的序列号, 每一台计算机设备都有自己的序列号, 它由12到16位进制数组成, 并且这个序列号不会与其他任意一台计算机的相重复, 可以表示代表每一台计算机的特有属性。那么若想将此MAC地址转换成IP地址使其能够在网络工作中发挥作用, 就需要对物理实体地址进行解析, 解析网络层的地址, 这样就能实现数据的连接。其实CPU之间的联系是通过网卡与网卡之间的联系实现的, 网卡只能识别计算机的MAC地址, ARP协议就是这样一种网络协议, 它通过建立ARP表格将一个数据包中的IP地址与MAC地址联系起来, 由于每一个层级都有相应的地址, ARP则将IP地址与MAC地址的对应关系记录在ARP表格中。

下面介绍一下ARP协议的工作原理。首相我们要明确, 如果想实现设备与设备之间的联系, 保障电子商务的安全, 则需要具备两方面的条件:首先, 我们要找到目标设备所在的网络层地址;其次, 我们还要知道目标设备所拥有的MAC地址。我们知道在自己的ARP缓冲区 (ARP Cache) , 每台主机都会建立一个存放有本局域网上的各主机和路由器的IP地址到硬件地址的映射表, 这些地址作为主机目前所已知的地址。ARP协议的主要作用就是为了查询MAC地址而利用与其对应的IP地址进行工作, 这样把MAC地址与IP地址相配对, 就可以保证网络通讯的顺利进行, 为设备之间的联络搭建桥梁。

假设有两台主机:

甲:硬件地址XX:XX:XX:XX:XX:XX IP地址192.168.0.1

乙:硬件地址YY:YY:YY:YY:YY:YY IP地址192.168.0.2:VLAN

第一种情况:如果目标设备与源设备在局域网的同一VLAN段, 但是主机甲之前并没有与主机乙建立连接, 当然它就不具有主机乙的IP地址, 当主机甲需要与主机乙建立连接时, 它首先会在自己的ARP列表中找寻是否有主机乙的IP地址。也可以说是源设备便会通过第二层广播形式进行ARP请求报文的发送, 此报文的发送含有源设备IP地址以和目标设备IP地址信息内容, 也就是当主机乙的IP地址存在时, 就会在ARP高速缓存中查出乙所对应的硬件地址, 然后再把这个硬件地址写入MAC帧, 源目标设备发出的报文会被全网段的主机接收, 当收到报文信号时, 主机会将所收到的IP地址与自己的相比较, 看是否一致, 若一致, 则将自己的信息反馈到源目标设备处。处于是源设备也就是此处的电脑甲便找到了它所对应的目标设备的MAC地址;最后通过局域网把该MAC帧发往此硬件地址;第二种情况:目标设备与源设备不在同一网段。这样的话, 源主机首先会对所要发送到的IP地址进行分类, 并除去与自己处于同一网段的IP地址, 并向其他的网段发送报文, 缺省网关收到信息后将信息转发给下层的主机。使用这种方法就能有效的阻止黑客对于数据终端的干扰, 以保证电子商务合理正常的运行, 对于客户的资料和财产有一定的保护作用。

3 ARP对计算机安全系统的攻击

ARP攻击是指在网络中产生大量的ARP通信量导致网络的阻塞, 通过伪造IP地址和MAC地址以实现ARP的欺骗, 病毒会一直发送攻击信号以截断设备间信号的传输, 并向目标发送自己伪造的地址, 导致网络中断或中间人的攻击。

这种攻击主要是存在于局域网络中, 当局域网中有一个人感染了ARP木马病毒, 那么感染此ARP木马病毒的系统就会试图通过这种手段截获所在网络内其它计算机的相关资料及通信信息, 并造成此网络系统的通讯故障。

在ARP攻击中影响最为恶劣的要属窃听病毒, 它虽然不会使局域网络中断, 但是会造成网络的延迟, 大大降低网络运行速度, 被感染的计算机会被截取其中包含的信息, 然后黑客会将所截获的信息发送到外网, 将企业内部资料泄露, 造成商业事故, 对局域网络安全造成巨大的威胁。

1) 处于同一网段的ARP欺骗

现在有一台想非法入侵他人电脑的电脑B, 它想入侵电脑A, 但是A装有防火墙, 不能直接入侵, 但是通过对电脑A进行监测, 得知主机A对主机C是信任的, 并且C必须持有telnet才能进入主机A。由此得知, 要想使自己让主机A取得信任, 那么就应该让主机A认为自己就是主机C, 有人会想到将自己的IP地址改成与主机C相同, 但仅仅这样做是行不通的, 这样的做法只能使IP冲突, 不能再使设备正常工作。所以要想取得主机A的信任就要先把主机C屏蔽, 然后再更改自己的IP地址, 这样就巧妙的避免了IP冲突。

2) 不同网段的ARP欺骗

对于不同网段的设备要想非法入侵目标设备, 则可以冒充目标设备的主机, 直接进入目标设备以窃取目标设备的内部资料。

4 电子商务中支付问题研究

在电子商务中, 在技术层面上保障了用户的资料安全和后台的交易安全, 还要在一定程度上规范电子商务在支付问题上的规范, 只有严格的遵循一些市场规律和管理规范才能有效的管理电子商务

4.1 完善支付过程中的安全设施管理

1) 电子商务平台的设计初期, 对于网络的安全和网络信息化的管理提前预置, 将这些都考虑到安全设计之中, 其中, 支付的全过程中, 信息的安全是重要的保障对象, 需要投入大量的技术支持和财力支持, 确定好整个支付过程中的目标, 切实的将电子商务网络安全的宗旨落实到具体的每一单业务的支付当中去。具体在操作中, 要逐步实现目标的产值, 确保交易在安全保障的环境下进行。

2) 网络安全建设阶段, 电子商务建设管理平台单位要将安全相关的信息需求的总编和安全性能功能的测试数据一并, 在后期具体的系统安全保护任务书中保留, 列入电子商务工程建设各个阶段, 之中支付工作是一项非常的重要内容, 要加强对网络系统的开发 (实施) 人员、安全版本控制的管理以及支付平台安全措施的管理, 要加强对开发周边环境、数据终端用户路由设置、关键区域的代码定期检查。

3) 在电子商务交易维护阶段, 要注意以下事项:

(1) 建立有效的安全管理组织架构, 明确职责, 理将任务分派到每个人身上, 不会出现推脱的情况发生, 有效的理顺流程, 实施电子商务的高效全面管理。

(2) 按照分级管理原则, 严格管理电子商务开发平台的内部用户帐号和相应的密码, 在进入系统内部必须通过严格的身份确认, 仔细的核对操作者的相关信息, 防止非法占用、冒用合法用户帐号和密码。

(3) 制定合理完善的安全管理分配制度, 加强计算机信息网络的桌面操作系统, 丰富现有的数据库, 更新已建立的网络设备, 保证支付平台的应用系统运行维护过程的安全管理。

(4) 要建立应急检测相关体系, 建立网络安全维护日志, 在日志中必须详尽的记录每次支付交易的记录和相关发生的信息安全记录 (包括系统自己屏蔽外界的安全危害和计算机网络受到的攻击) , 一旦发生了可疑的安全信息情况后, 要及时对计算机支付系统做出应急回应, 并追查攻击的来源, 通过检查安全日志的方法, 在最短的时间内使得支付系统受到最小的伤害, 也能够消除一些潜在的安全威胁。

4.2 建立动态的闭环管理流程

电子商务网络处于不断地建设和调整中, 在网络交易过程中可能发现新的安全漏洞, 因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下, 计算机安全系统通过安全评估和检测工具 (如漏洞扫描, 入侵检测等) 及时了解网络存在的安全问题和安全隐患, 根据这些检查指标制定安全建设规划和系统内部的加固方案, 再次选用有效的各种安全防护产品 (如系统防火墙、交易身份认证等手段) , 将电子商务支付系统调整到相对安全的状态。并要注意以下两点:1) 对于一个企业而言, 安全策略是支付信息安全的核心, 因此制定明确的有效的安全策略是非常重要的。相关的安全组织要根据这个策略通过从内部维护计算机安全系统制定详细的流程、规章制度、标准和安全建设规划、方案, 以保证这些系列策略规范在整个企业范围内贯彻实施, 从而保护企业的投资和信息资源安全。2) 要制定完善的、符合企业实际的信息安全策略, 就须先对企业信息网的安全状况进行评估, 即对信息资产的安全技术和管理现状进行评估, 让企业对自身面临的安全威胁和问题有全面的了解, 从而制定针对性的安全策略, 指导信息安全的建设和管理工作。

5 结束语

计算机网络技术正在以日新月异的速度飞速发展, 网络入侵安全事件也进入了快速增长阶段, 于此同时, 多种的解决方案也被广泛的提出和应用, 实际相结合, 联系计算机网络的具体情况是解决问题的关键手段。经过对计算机网络全面的考察和深入的分析, 以交换机端口和MAC绑定的方式, 被认为是一种有效的解决方案。MAC地址子层位于OSI参考模型的第二层—数据链路层, 负责控制与连接物理层的物理介质, 是交换机提供主要的工作场地, 一般应用于两个或者两个以上以太网段连接的情况。完善合理的支付平台对于保护用户的信息也是十分必要的, 通过加强网络内部的管理和对外部信息的处理, 自我评估电子商务支付的安全管理系统, 在一个更加安全合理的平台下提升电子商务的品质。

参考文献

[1]林宏刚, 陈麟, 王标, 等.一种主动检测和防范ARP攻击的算法研究[J].四川大学学报:工程科学版, 2008 (3) :143-149.

[2]王淼.介绍ARP与ARP攻击的防范技术—关于ARP攻击原理的分析与防范技巧[J].高校实验室工作研究, 2008 (1) :36-40.

电子商务安全技术问题 篇9

1 电子信息的安全因素

1.1 完整性

在进行交易的时候, 各个交易方的经营策略能够影响到自身的信息完整性, 因此保持信息完整性对各个交易方都非常重要。在对信息进行处理的过程中, 要预防随意生成或者修改信息, 还要防止数据丢失, 从而保证信息的完整性, 这也是进行交易的基础。

1.2 机密性

现代社会网络发达, 想要保证信息的机密性, 没有那么容易。但是企业的商业机密决定着企业的命运, 所以要保证企业信息不被篡改、破坏、窃取。如何在网络传递信息的过程中保证信息的机密性是必须解决的问题。

1.3 有效性

目前多数企业都使用电子形式传递信息, 信息是否有效关系着企业的经济利益, 也是企业交易的前提条件。所以在信息传递过程中要保证硬件, 网络的安全。预防并且控制这些因素带来的威胁, 保证信息的有效性。

2 电子信息安全技术

2.1 防火墙技术

网络给人们带来很大的方便, 同时也有网络黑客以及病毒等威胁了网络的安全, 网络受到威胁的同时, 电子信息的安全也受到了严重的威胁。最初解决这种网络不安全因素的措施就是使用防火墙, 在个人电脑中, 防火墙可以组织非黑客的入侵以及电脑信息的篡改。

2.2 加密技术

加密技术能够加强数据传送的安全性, 主要分为对称以及非对称加密两种技术。对称加密技术主要是通过序列密码或者是分组机密来完成, 主要的组成成分有:明文、密钥、加密算法、解密算法。非对称加密需要2个密码, 分别是公开密钥和私有密钥, 这两个密钥必要配对使用, 公开密钥的作用是加密, 私用密钥的作用是解密, 反过来, 用私用密钥加密, 只能用相应的公开密钥才能解密。加密技术能够保证传送的电子信息不被窃取, 在发送电子信息的时候, 发件人用加密密钥发送信息, 一旦在传输过程中被窃取, 只能得到密文, 而密文是无法理解的, 只有使用解密密钥解读密文, 才能得到正确的信息。

2.3 认证技术

认证技术两种形式分别为消息认证和身份认证, 消息认证能够确保信息的完整性, 通过消息认证可以确认信息的真假, 还能够确认信息是否被修改;身份认证是用来鉴别用户身份的, 分为2个步骤:识别和验证, 在访问一些非公开的资源时, 是必须要通过身份认证的, 例如访问二级建造师的考试成绩时, 必须同时输入用户名和密码, 才能查到自己的成绩, 没有参加考试的人是不能够查到的。

3 提高电子信息安全性的策略

电子信息的安全关系到每个人的利益, 真正安全的网络信息产品能够保证个人、企业和国家的安全, 下面是提高电子信息安全的策略。

3.1 提高电子信息安全认识

网络已经渗透到社会各个领域, 在未来的经济和军事对抗中, 由于网络的崩溃而导致的失败是很有可能的, 所以我们要认识到电子信息安全的重要性, 把信息资源共享与信息安全联系到一起, 树立维护电子信息安全能够促进发展的理念。

3.2 构建电子信息安全管理体制

安全技术很重要, 与此同时, 还应该有一套完善的安全管理体制, 最开始所建立的信息安全体制能够制约一个信息系统的安全, 一旦安全管理体制出现问题, 那么根据这个体制来选择的安全技术就不能正常运行, 信息的安全性不能有效的保证, 所以完善的管理体制是保证电子信息安全的基础。

3.3 培养电子信息安全专业人才

目前我国需要大量的信息安全人才来保护电子信息安全, 高水平的教育环境能够培养高素质的人才, 因此需要加大科研教育的投入, 多培养专业技术人才。在培养信息安全人才的时候, 要加强与国际的交流, 掌握先进的安全技术以及防范手段。还要加强对内部人员的培训, 提升内部人员的素质, 只有在高素质的队伍中才能保证工作人员能力的提高。

3.4 定期对安全防护软件系统进行评估、改进

随着企业的发展, 企业的信息化应用和信息技术也不断发展, 人们对信息安全问题的认识是随着技术的发展而不断提高的, 在电子信息安全问题不断被发现的同时, 解决信息安全问题的安全防护软件系统也应该不断的改进, 定期对系统进行评估。

3.5 强化网络技术创新

如果在基础硬件、芯片方面不能自主, 将严重影响我们对信息安全的监控。为了建立起我国自主的信息安全技术体系, 利用好国内外两个资源, 需要以我为主, 统一组织进行信息安全关键技术攻关, 以创新的思想, 超越固有的约束, 构筑具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。为了人们更加方便的生活和工作, 需要保证电子信息的安全。电子信息安全技术做为一种现代化技术手段, 会发挥巨大的作用。

摘要：我国信息技术发展迅速, 电子信息也成为人们热门的话题, 电子信息在各个方面都会影响到人们的生活, 人们对电子信息的需求也在不断增加。与此同时, 电子信息安全问题也成了人们的焦点, 本文主要以电子信息安全为基础, 介绍了信息化建设, 概况了电子信息安全技术, 并且提出解决电子信息安全的对策。

关键词：电子信息,安全技术,问题,对策

参考文献

[1]沙玉萍, 马蕾.浅析基于政府网站的电子政务建设——从网站用户评价因素角度思考[J].科技情报开发与经济.2008 (09)

[2]张学锋, 黄晓江.防火墙与入侵检测相联合的防护体系在会计信息系统中的应用[J].计算机安全.2010 (08)

车载电子通信技术的安全问题研究 篇10

一、保证车载电子通信技术安全性的意义

车载电子通信设备的应用可以实时监测行车路况的变化, 避免由于周围环境因素的变化带来不必要的安全事故。目前, 车载电子通信设备采用了基于数据传输的设备终端, 数据不容易被外界截取, 避免是被第三方人员获取, 也无法轻易破解, 有效保证了通信的安全性。车载电子通信设备的推广是一个重大的革新, 利用其中记录的数据, 交警部门可以查阅到现场事故的信息, 提升了交通部门办事的效率与公正性, 还可以避免个人信息外露, 是一项划时代的产品。

二、车载电子通信技术系统的组成

车载信息中心是车载电子通信技术体系的核心, 为中心层, 与多媒体播放模块、安全报警模块、地理信息系统模块、无线通信模块、行车状态记录模块、数据采集模块与车载导航模块相连, 这几个模块是相辅相成的。其中, 多媒体播放模块是人们最为关注的部分, 主要由语言识别模块、地理信息系统模块、数据采集模块、车载导航模块组成。

在关键技术方面, 车载电子通信技术主要有基于密钥管理安全技术、车载电子通信安全协议、入侵检测安全技术等, 车载电子通信安全协议则有Ariadne协议、SPR协议、SAODV协议等, 这些协议的应用可以有效保证车载电子通信系统的运行安全。车载电子通信系统还需要应用用户身份认证技术来保证数据的真实性与安全性, 当然这仅仅是对数据的出具保护, 还需要依靠密钥分发与证书认证来对信息进行加密处理。利用入侵检测技术, 可以查看到是否有外界因素侵入系统, 阻止第三方的入侵, 但是现阶段的技术只能够处理局部入侵和本地入侵问题, 无法处理其他的异常情况。

三、车载电子通信技术的核心内容

(一) 保证信息的隐私性

车载电子安全系统是建立在车主行车安全基础上发展而来, 如何保证车主信息的隐私性与安全性是设计工作中关注的首要任务, 车载电子通信系统需要可以为数据的正常传输提供安全通道, 且要避免车主的个人信息遭到泄露。如当车辆在行驶过程中受到碰撞或者事故的时候报警, 在接受报警系统广播站信息帮助时, 进行车载电子通信系统信息传播过程中, 遭受到第三方非正常信息截取, 类似于这种威胁通常会造成系统无法正常地运行, 无法实时地将事故全过程发送至交通部门, 不利于交通部门及时地处理问题, 也给个人车主带来不必要的麻烦。

(二) 提高信息认证率

如何提高车载电子通信系统信息认证率也是一个重点问题, 在车主使用的过程中, 必须要保证认证的安全性与软件应用的私密性。因此, 在系统的设计过程中, 需要辅以各类软件, 采用科学的方式提高信息的认证率。此外, 为了避免用户信息泄露, 需要保证所有的信息不被复制, 在设置安全系统, 在设计时要注意信息权限, 避免信息遭到泄露。此外, 在行车过程中周围是实时路况和周边环境, 道路交通安全对于驾驶员星辰安全有着重要的影响, 在车载电子通信系统中进行信息传递时, 为了防止信息在传输中间被恶意截取, 做好信息的传输和储存工作对于驾驶员的安全行驶有着重要的意义。

(三) 满足用户的需求

在科技的进步下, 部分车载电子通信系统已经无法满足用户的需求了, 为了提升系统应用的针对性, 应该更新现有的信息安全系统, 满足更多用户的需求, 为此, 设计人员需要全面了解用户的需求, 根据其需求来研发新功能, 提升车载电子通信技术的应用实用性。

四、结语

车载电子通信技术的诞生有效保证了行车的安全性, 为人们节约了大量的时间, 目前, 车载电子通信技术也在朝着信息化和智能化的方向发展, 但是, 这一系统在应用过程中也存在一系列的问题, 还需要我们进一步的努力来解决其中的漏洞。

为了强化车载电子通信系统的安全性, 确保传输终端信息的隐私性和可靠性, 这就需要我们不断地完善车载电子通信技术, 建立完整的、合理的、科学的车载电子通信整体系统。

参考文献

[1]姜黎, 高志军, 曹新星.基于光纤通信技术的数据单向传输设备研究[J].计算机与数字工程, 2012 (03) .

[2]王海洋, 孟凡勇.基于光纤的数据单向传输系统设计与实现[J].信息网络安全, 2011 (09) .

[3]陈周天, 刘欣贺, 张春旺, 刘宏宇.电子通信中电源稳定性的探究[J].通讯世界, 2016 (21) .

电子商务发展中的安全问题 篇11

[关键词] 电子商务 安全 互联网 防护

电子商务（e-business,e-comerce,e-trade）从英文的字面意思上看就是利用现在先进的电子技术从事各种商业活动的方式。是实现消费者的网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式。

电子商务是Internet迅猛发展的直接产物，是网络技术应用的全新发展方向。Internet本身所具有的开放性、全球性、低成本、高效率的特点，也成为电子商务的内在特征。

在电子商务的交易中，电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒，使网络系统连续稳定的运行。常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术。

现在，我們来主要谈谈防火墙技术和数据加密技术:

一、防火墙技术

防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。

新一代的防火墙产品一般运用了以下技术:

1.透明的访问方式

以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过SOCKS等库路径修改客户机的应用。而现在的防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。

2.灵活的代理系统

代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种代理机制：一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。

3.多级过滤技术

为保证系统的安全性和防护水平,防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透胆连接，并对服务的通行实行严格控制。

4.网络地址转换技术

防火墙利用NAT技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。

5.Internet网关技术

由于是直接串联在网络之中，防火墙必须支持用户在Internet互联的所有服务，同时还要防止与Internet服务有关的安全漏洞，故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。

6.安全服务器网络(SSN)

为了适应越来越多的用户向Internet上提供服务时对服务器的需要，新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网络的一部分，又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。

7.用户鉴别与加密

为了降低防火墙产品在Ielnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。

8.用户定制服务

为了满足特定用户的特定需求，新一代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP、出站UDP、FTP、SMTP等，如果某一用户需要建立一个数据库的代理，便可以利用这些支持，方便设置。

9.审计和告警

新一代防火墙产品采用的审计和告警功能十分健全，告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。此外,防火墙还在网络诊断、数据备份保全等方面具有特色。

网络安全单靠防火墙是不够的，还需考虑其他技术和非技术的因素，如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。

二、数据加密技术

在电子商务中，信息加密技术是其他安全技术的基础，加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式（即加密），在线路上传送或在数据库中存储，其他用户再将密文还原成明文（即解密），从而保障信息数据的安全性:

数据加密的方法很多，常用的有两大类。一种是对称加密;一种是非对称密钥加密。

此外，安装防病毒的软件并定期执行检测，使用数字签名技术和数字证书等等，都是加强电子商务安全的重要技术措施。当然，任何一个安全产品或技术都不会提供永远和绝对的安全，因为网络在变化，应用在变化，入侵和破坏的手段也在变化，只有技术的不断进步才是真正的出路。相信随着时间的推移和技术的发展，电子商务安全体系将越来越完善，足不出户而通过Internet电子商务系统实现购物、交易和做生意将成为人们生活的新时尚。

参考文献：

[1]王原原张君:经济商务信息,经济出版社

[2]陈新瑞杜文亭:电子信息,北京大学出版社

电子商务安全问题研究 篇12

(一)电子商务的概念

电子商务出现于20世纪90年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。CNN公布的资料表明,1999年度全球电子商务销售额突破1 400亿美元。但是,究竟什么是电子商务呢?实际上,迄今为止,电子商务还没有一个被广泛接受的概念。

世界贸易组织(WTO)给电子商务下的定义为:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。

经济合作发展组织(OECD)认为:电子商务是指商业交易,它包括组织与个人在基于文字、声音、可视化图像等在内的数字化数据传输与处理方面的商业活动。

世界各国对电子商务的理解也不尽相同。尽管电子商务的定义在内容上各有侧重,但是我认为电子商务的内涵一般应至少包括下列三方面内容:

(1)使用电子工具,借助互联网传输信息。

(2)在公开环境下交易。

(3)依靠一定的技术规范和技术标准,利用数据化的信息来进行交易。

电子商务使用的网络类型主要有三种形式:EDI网络、INTRANET网络和INTERNET网络。由于EDI是专线网络,而INTRANET是企业内部网,其安全性较好,对传统法律规范体系的冲击相对于INTERNET要小的多,因而本文主要讨论的电子商务主要是指借助于INTERNET网络的电子商务。

(二)电子商务的安全的内容及要求

电子商务作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一般规律,否则,电子商务是无法发展的。

安全与效率,是一切经济交易必须考虑的两个问题。电子商务的存在与发展也必须满足这两个要求。对于电子商务而言,其高效性已经得到了人们充分的认可。但是,安全性呢?电子商务作为一种新生事物,世界各国都尚未形成成熟的安全运营模式。如何在网络环境下,构建与传统法律价值接近的规则体系,已经越来越为人们所关注。

从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决。

1. 交易前交易双方身份的认证问题。

电子商务是建立在互联网络平台上的虚拟空间中的商务活动,交易的当事人可能处在不同的国家,他们并不直接见面,双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。

2. 交易中电子合同的法律效力问题以及完整性保密性问题。

在传统国际贸易法中,合同形式要求为书面,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。

3. 交易后电子记录的证据力问题。

在英美法系,传闻证据规则限制了电子记录的证据力。在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。

上述这些问题,已经对传统法律制度造成了冲击,也是实现电子商务安全所必须解决的问题。笔者将针对这些问题,从技术安全、组织安全、法律安全三个角度,对电子商务的安全运营问题进行解析。

二、电子商务安全性的现状及存在的问题

(一)电子商务安全的现状

1. 基础技术相对薄弱

国外有关电子商务的安全技术,其结构或加密算法等都不错,但由于受到本国密码政策的限制,公开的算法对于他们来说几乎不能保密了,潜在安全隐患极大。比较遗憾的是我国至今还没有自己研发成功的较为成熟的算法。

2. 体系结构不完整

电子商务安全以前大都担当着“救火队”的角色,头痛医头,脚痛医脚。这种“治标不治本”的做法下,问题总是层出不穷。近年来,人们已经开始着手从体系结构来解决问题,应当说在理论上已取得了明显的进展,但到实践运用还需要更大的努力。

3. 支持产品不过硬

目前,市场上有关电子商务安全的产品数量不少,但真正通过认证的相当少。主要是因为不少安全措施是从网上“移植”来的。另外,不少电子商务安全技术的厂商对网络技术很熟悉,但对安全技术普遍了解得不多,很难开发出真正实用的、足够的安全技术和产品。目前,构成我国信息基础设施的网络、硬件、软件等产品几乎完全建立在以美国为首的少数几个发达国家的核心信息技术之上。

4. 多种“威胁”纷杂交织、频频发生

电子商务面临的安全威胁主要来源于三个方面:一是非人为、自然力造成的数据丢失、设备失效、线路阻断;二是人为但属于操作人员无意的失误造成的数据丢失;三是来自外部和内部人员的恶意攻击和侵入。最后一种是当前电子商务所面临的最大威胁,极大地影响了电子商务的顺利发展。因此,它是电子商务安全对策最需要解决的问题。

“黑客”攻击电子商务系统的手段可以大致归纳为以下5种:

(1)中断:采取破坏硬件、线路或文件系统等,攻击系统的可用性。

(2)窃取:采取搭线、电磁窃取和分析业务流量等获取有用情报,攻击系统的机密性。

(3)篡改:结合其他手段修改秘密文件或核心内容,攻击内容完整性。

(4)伪造:采取伪造假身份注入系统、假冒合法人接入系统、破坏消息的接受和发送,攻击系统的真实性。

(5)轰炸:采取施放电子邮件炸弹等,攻击系统的健壮性。

(二)电子商务安全的问题

1. 网络的安全性问题

(1)利用IP欺骗进行攻击

黑客伪造LAN主机的IP地址,并根据这个伪造的地址进行不正当的存取。他先使被信任的主机丧失工作能力,同时采用目标主机发出的TCP序列号,猜测出他的数据序列号,然后伪装成被信任的主机,同时建立起与目标主机基于地址经验的应用连接。如果成功,黑客可以进行非授权操作,偷盗、篡改信息。

(2)捕获用户的姓名和口令

黑客通过软件程序跟踪检测软件,可检测到用户的登录名、密码,在获得用户账户的读写权之后,可以对其内容胡乱加以修改,毁坏数据,甚至输入病毒,使整个数据库陷于瘫痪。

(3)使用“拒绝服务”

黑客发送大量的“请求服务”指令,使得WEB服务器或路由器过载而停止服务,使网络处于瘫痪的状态。

(4)非法窃听

黑客通过搭线窃听,截收线路上传输的信息,或者彩电磁窃听,截收无线电传输的信息,以进行敲诈等非法活动。

(5)网络协议安全性问题

2. 交易中电子合同的法律效力问题以及完整性保密问题

在传统国际贸易法中,合同形式要求为书面形式,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。

3. 交易中的安全性问题

(1)网上诈骗

网上诈骗是世界上第二种最为常见的的投资诈骗形式,它有以下几种形式:

(1)亲和团体诈骗。利用团体内部成员对宗教、种族及专业性团体进行诈骗。

(2)不正当销售行为诈骗。向不适宜的投资者推销、欺骗性报价及市场操纵。

(3)电话推销行为诈骗。利用“电话交易所”,强行兜售非法或欺骗性的投资产品。

(4)高技术产品服务诈骗。利用不合法的优惠条件来误导高技术投资者,许诺高额利润,对高技术产品的风险轻描淡写。

(5)提供投资拍电影或其他娱乐产品行骗,欺骗投资者,对投资者隐瞒风险。

(2)冒名顶替

这是指盗用他人身份来谋取钱财。他们大多会使用一个假身份来向用户贩卖实际上并不存在的商品,借机获得用户的信用卡等信息,然后设法将用户的钱取光。

(3)抵赖

在进行网上交易时,交易双方不见面,互不知道对方的年龄、性别、住址、公司状况,当交易的一方不守信用时,他可能对已经实施的操作进行抵赖,或诬陷对方实施了其实没有实施的操作,这种抵赖往往都是恶意的。如“卖股票500股被改成5 000股,请赔偿损失”,其实,对方可能没改动任何数字。

三、改善电子商务安全性问题的技术措施及建议

(一)利用电子商务安全技术改善电子商务安全

1. 采用包过滤路由器

使用包过滤路由器(Router)除了可以完成不同网段间的寻址外,还可以滤除不受欢迎的一些主机的地址和服务。因为INTERNET/INTRANET的基础协议是TCP/IP协议。网络中的每台机器都有一个唯一的IP地址,通过该地址可以访问网络中的任何一台机器。除此之外,通信双方必须有一致的协议(如FTP、HTTP、Gopher、Telnet等)才能彼此理解所传送的数据包,这些协议是用机器的端口来标识的,而相应的服务也用端口来表示(如Gopher的端口为70、WWW的端口为80、FTP的端口为20或21),这样,包过滤路由器就通过IP地址和端口地址以及允许、禁止两种状态来控制网络对某个特定主机或服务的访问。

2. 防火墙技术

防火墙是近年来发展的最重要的安全技术,所谓防火墙就是在内部网与外部网之间的界面上构造一个保护层并强制所有的连接都必须进过此保护层在进行检查和连接。只有被授权的通信才能通过此保护层从而保护内部网资源免遭非法入侵。它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络即被保护网络。电子商务中的防火墙主要是为了防止黑客利用不安全的服务对传输数据和信息进行攻击,阻止未授权的用户对信息资源的非法访问,甚至是对网络实施检查,决定网络之间的通信权限,监视网络的进行状态。

防火墙作为最成熟、最早产品化的网络安全机制,其最初的设计就是防范外部攻击,改进的防火墙技术更可有效地控制内部和病毒的破坏。在设计防火墙时必须考虑防火墙的姿态、机构的整体安全策略、费用、基本构件和拓扑结构以及维护和管理方案。所有的防火墙设计都要遵照两条基本原则:未被允许的必须禁止,未被禁止的均允许。另外,在选择防火墙的使用时,也要考虑诸多原则,包括网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。

3. 采用防火墙体系

该技术运行于OSI的应用层,因此具有应用层的全部信息。由于防火墙的地位十分重要,所以一般采用两级的安全机制,即第一级由包过滤路由器承担,第二级由防火墙承担。带有两级防线的防火墙主要有以下几种形式:

(1)单堡垒主机、单路由器、一层网络的隔离形式

这种配置的特点是堡垒主机配两个网络接口,外部网络接口接受来自包过滤路由器的数据,数据必须经过包过滤路由器的过滤规则才能转发给堡垒主机,由于堡垒主机与包过滤路由器之间还有一个网络,外界对堡垒主机的非法侵入将更加困难。

(2)分级管理的双堡垒主机形式

所谓分级管理,是指在第一个堡垒主机与包过滤路由器之间的网络中接入一部分机器,将常用的不需保密的低保密级的数据放在此层,而把保密级较高的数据放在第二级堡垒主机之后,这种配置除具有原单层主机的包过滤及时和堡垒主机的优势外,当包过滤机制和第一级堡垒主机均被攻破时,由于第二层堡垒主机采用不同的安全策略,不会造成对堡垒主机的连续突破,从而保证了内部网络的安全。目前,这种方案是较高级别的安全方案。

4. 采用虚拟专用网(VPN)技术

VPN是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的隧道。在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这就可以使用复杂的专用加密和认证技术,只要通信的双方默认即可。拨号VPN使用隧道技术使远程访问服务器把用户数据打包到IP信息包中,这些信息通过电信服务商的网络进行传递,在Internet中要穿过不同的网络,最后到达隧道终点。然后拆数据包,转换成最初的形式。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接路由地址,这代替了电话交换网络使用的电话号码连接,允许授权移动用户或已授权的用户在任何时间任何地点访问内企业网络。

(二)网上交易中安全问题的解决方法

1. 数字认证

数字认证是一种新兴的安全性解决方法。随着现代网络技术的发展,基础设施的改善,多媒体技术运用的进一步普及,数字认证方法正被越来越多地用于网络信息的安全传输中。在发送文件时,或在交易信息处理的过程中,通过把影响、声音等各种证明发送者身份的数据传送给接收端,可大大加强信息的可靠性,这包括电子数字签名、电子信封、电子证书、以数字方式签署和电子付款表格等,这种接收方能确认发送者的真实身份和确保交易信息不被篡改。

2. 数据加密技术

数据加密技术是电子商务的最基本安全措施。目前技术条件下,通常加密技术分为对称加密和非对称加密两大类。

(1)对称密钥加密(Private Key)

采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密信息,及随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。

(2)非对称密钥加密

不同于对称加密,非对称加密的密钥被分解为:公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的发布者,私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者,而发布者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法是有RSA算法。

3. 病毒防范技术

电子商务系统一方面提高交易效率,另一方面也为计算机病毒的传播创造了条件。病毒对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。计算机病毒是指隐藏在计算机数据源中,利用系统数据源进行繁殖并生成影响计算机正常运行且能通过系统数据共享途径进行传染的一组计算机指令或程序代码,主要通过软盘、硬盘、优盘和网络渠道传播,可能导致系统瘫痪甚至完全崩溃的严重后果。从事网上交易的企业和个人都应当注重病毒防范技术,排除病毒的干扰。因此,防范计算机病毒,避免计算机系统遭受病毒的侵袭,及时清除计算机病毒将病毒危害降低到最低程度是反病毒技术刻不容缓的任务。一般我们要给自己的计算机安装防病毒软件,认真执行病毒定期清理制度,并设置控制权限,通过建立系统保护机制,来预防、检测和消除病毒,谨慎打开陌生地址的电子邮件,还要高度警惕网络陷阱。

(三)电子商务安全技术的实现

1. IDEA数据加密算法

IDEA数据加密算法是由中国学者来学嘉博士和著名的密码专家James L.Massey于1990年联合提出的。它的明文和密文都是64比特,但密钥成为128比特。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。这比DES提供了更多的安全性,但是在选择用于IDEA的密钥时,应该排除哪些称为“弱密钥”的密钥。DES只有四个弱密钥和12个次弱密钥,而IDEA中的弱密钥数相当可观,有2的51次方个。但是,如果密钥的总数非常大,达到2的128次方个,那么仍有2的77次方个密钥可供选择。IDEA被认为是极为安全的。使用128位的密钥,蛮力攻击中需要进行的测试次数与DES相比会明显增大,甚至允许对弱密钥测试。而且,它本身也显示了它尤其能抵抗专业形式的分析性攻击。

2. 用OPEN SSL实现CA认证

(1)SSL(Secure Socket Layer)协议及其主要技术

1996年由美国Netscape公司开发和倡导的SSL协议,它是目前安全电子商务交易中使用最多的协议之一,它被许多世界知名厂商的Intranet和Internet网络产品所支持。

SSL应用在Client和Server间安全的WebHTTP通信,UEL以开始替代http,并使用443端口进行通信。它主要使用加密机制、数字签名、数字摘要、身份认证、CA技术提供Client和Server之间的秘密性、完整性、认证性三种基本的安全服务。

(2)用Open SSL工具实现安全认证

目前,国外主流的电子商务安全协议在核心密码上都有出口限制,只允许40位或56位的RC4和512位的RSA算法出口等。这样的算法强度引进后无法满足我国电子商务实际应用当中的安全需求。但是,完全自主定义和开发一套安全标准体系不是一蹴而就的事情,需要人、财、物的长期投入。

在SSL未提供源代码的情况下,由澳大利亚软件工程师Eric Young与Tim Hudson联合开发的OPENSSL恰好解决了这一难题。它不仅能实现SSL的所有功能,支持目前所有基于SSL V2/V3和TSL V1的应用软件,而且由于源代码公开和提供了各种加密算法,完全可以满足国外安全协议引进后的本地化改造需求。

下面就用OPENSSL提供的强大功能在FreeBSD平台下进行手工签署证书的过程。

(1)先建立一个CA的证书,首先为CA创建一个RSA私用密钥:

#OpenSLL genrsa-des3-out ca.key 1024

该指令中genrsa表示生成RSA私有密钥文件。

-des3表示用DES3加密该文件。

-out ca.key表示生成文件ca.key。

1024是我们的RSA key的长度。

生成server.key的时候会要你输入一个密码,这个密钥用来保护你的ca.key文件,这样即使人家偷走你的ca.key文件,也打不开。拿不到你的私有密钥。

运行该指令后系统提示输入PEM pass phrase,也就是ca key文件的加密密码,我们设为12345678。

(2)用下列命令查看它的内容:

#OpenSSL.rsa-nout-text-in ca.key

该指令中rsa表示对RSA私有密钥的处理。

-nout表示不打印出key的编码版本信息。

-text表示打印出私有密钥的各个组成部分。

-in ca.key表示对ca.key文件的处理。

对RSA算法进行分析可以知道,RSA的私有密钥其实就是三个字,其中两个是质数prime numbers。产生RSA私有密钥的关键就是产生这两个质数。还有一些其他的参数,引导着整个私有密钥产生的过程。

(3)利用CA的RSA密钥创建一个自签署的CA证书

#OpenSSL req-new-x509-days 365-key ca.key-out ca.crt

该指令中req用来创建和处理CA证书,它还能够建立自签名证书,做Root CA。

-new产生一个新的CSR,他会要输入创建证书请求CSR的一些必须的信息。

-x509将产生自签名的证书,一般用来做测试用,或者自己做个Root CA用。

-days 365制定我们自己的CA给人家签证书的有效期为365天。

-key ca.key指明我们的私有密钥文件名为ca.key。

-out ca.crt指出输出的文件名为ca.crt。

执行该指令时系统要求用户输入一些用户信息,如下所示:(框内为输入的内容)

(4)用下列命令查看生成证书的内容:

#OpenSSL x509-noout-text-in ca.crt

该指令中x509表示证书处理工具。

-noout表示不打印毫key的编码版本信息。

-text表示以文本方式显示内容。

-in Ca.crt表示对ca.crt文件进行处理

系统显示证书内容为:

从上面的输出内容可以看出这个证书基本包含了X.509数字证书的内容,从发行者Issuer和接受者Subject的信息也可以看出是个自签署的证书。

下面创建服务器证书签署请求(使用指令和系统显示信息基本和以上类似):

(5)首先为Apache创建一个RSA私用密钥:

#OpenSSL genrsa-des3-out server.key 1024

这里也要设定口令pass phrase,生成server.key文件。

(6)用下列命令查看它昀内容:

#OpenSSL rsa-noout-text-in server.key

(7)用server.key生成证书签署请求CSR:

#OpenSSL req-new-key server.Key-out server.Csr

这里也要输入一些请求证书的信息,和上面的内容类似。

(8)生成证书请求后,下面可以签署证书了,需要用到Open SSL源代码中的一个脚本sign.sh,签署后就可以得到数字证书server.crt。

#sign.sh server.csr

(9)启动安全Web服务

最后在apache服务器中进行ca认证没置,拷贝server.crt和server.key到/usr/local/apache/conf

修改httpd.conf将下面的参数改为:

SSLCertificateFILE/usr/local/apache/conf/server.crt

SSLCertificateKeyFile/usr/local/apache/conf/server.key

可以启动带安全连接的Apache试一下了。

#/usr/local/apache/bin/apachectl startssl

提示输入pass phrase(就是前面为服务器设置的口令)

(10)进行安全连接

通过另一台电脑(IP地址为192.168.0.1)的IE浏览器与这台Apache服务器(IP地址为192.168.0.2)连接并且选择https协议,即:https://192.168.0.2:443。出现安全连接警告窗口,因为我的服务器证书是自己手工签署的,不是经过真正的CA颁发的证书,是个无效证书,所以按确定后如现安全证书无效的警告窗口。按“是”继续,注意这里浏览器地址栏内输入的是https而不是http,另外此时在状态栏内出现了一把小锁,这说明SSL协议超作用了,服务器和浏览器之间建立了一个安全连接,这样我们使用开放源代码的工具Open SSL来完成了电子商务的CA认证过程,同时这也只是使用现成的工具来完成的,在实际使用中还要分析它的源代码,修改源代码,来达到自己的安全需要。

(四)通过政府的效力加强我国电子商务的安全系数

1. 对电子商务进行专门立法

电子商务是一个新生事物,很多方面不同于传统商务,与传统的法律规范体系也存在着诸多不相容之处,而且,传统的法律规范体系中还有许多电子商务方面的空白。这一情况已经在实践中引起了不少的问题。

我国的电子商务是近年才发展起来的,目前规范电子商务相关的法律法规极为有限。在法律的层次上只有1997年《中华人民共和国刑法》和1999年《中华人民共和国合同法》对相关问题作了简单规定。例如,我国1997年修订的《刑法》中增加了关于计算机犯罪的条文,1999年通过的《合同法》对电子合同的书面形式、生效时间地点等作了规定。但是,这种规定太过简单,远远不能满足电子商务发展的需要。例如,对于电子认证的效力、虚假电子认证等重要的问题,我国法律还没有规定,这已经成为阻碍我国电子商务发展的重要问题。

因此,我国应大力加强电子商务法制化建设,制定专门的《电子商务法》,对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题进行专门规定,使之适应电子商务发展的需要。在刑法中,对电子商务领域的犯罪进行规定。从而在法律上,为电子商务提供一个良好的发展环境。

2. 建设我国的电子商务认证机构体系

电子商务认证机构是电子商务中的重要部门,其担负着维护电子交易安全的责任。因此,要完善我国的电子商务安全运营,必须建立我国的电子商务认证体系。

在目前存在的三种电子商务认证机构模式中,当事人自由约定的电子商务认证体系不适合我国的实际情况。我国电子商务刚刚发展起来,不完善的地方很多,很多普通的消费者对电子商务还不很了解,根本无法在自由约定时,提出对自己有利的条件。而且,在交易双方的力量对比悬殊的情况下,弱势一方很难通过谈判来取得公平的结果。再进一步说,这种模式的认证结果通用性很差,不适合我国刚起步的电子商务的发展。

近年来,我国的电子商务认证机构的发展很快。1999年3月19日,中国人民银行组织12家商业银行共建金融认证中心系统;1999年8月,我国首套拥有自主知识产权的电子商务安全认证系统通过了国家密码管理委员会和信息产业部组织的技术鉴定。但另一方面,我国的电子商务认证系统还远不成熟,仍有许多需要完善的地方。我们必须对此给予充分的重视,以便为电子商务的安全发展提供组织保障。

3. 大力推进电子签名等技术的发展,从技术上为电子商务提供安全保障

电子商务的产生、发展是科技发展的结果,其安全运营也要依靠技术给予的保障。因此,为加强电子商务的安全性,我们必须大力推进科技的发展,使技术满足电子商务的安全运营要求。在电子商务中广泛使用的电子签名,就涉及许多复杂的技术问题。为使电子签名具有与传统签名相同的法律效力,我们必须使电子签名具有像手写签名那样的独特性。这一问题的解决,需要技术发展才能实现。

目前,解决电子签名效力的途径主要有:

(1)修改法律或者进行法律解释,使签名涵盖电子签名。但对于何种电子签名才具有法律效力,立法要兼顾技术中立、开放与安全,使之适应技术发展的需要。

(2)电子商务的当事人在合同中约定电子签名方法及效力。

(3)依靠技术进步,这是最根本的方法。技术安全、成本低廉的电子签名方式是电子商务安全的有力保障。

摘要：电子商务是利用计算机网络开展的商务活动。近年来,随着电子技术的发展,“网上购物”、“电子钱包”等已渐成时尚,但安全问题始终是影响电子商务发展的关键因素。安全问题威胁着交易中每一方的利益,客户由此产生的疑虑会影响到交易的成败,甚至会影响电子商务的进一步的发展。

关键词：电子商务,安全,网上交易

参考文献

[1]张小兵.我国电子商务发展现状及存在问题与对策[J].商业研究,2004,(2).

[2]徐伟.电子商务网上支付的安全保障问题[D].合肥:合肥联合大学,2008,3.

[3]高媛,欧阳志明,石晓军.电子商务[M].北京:企业管理出版社,2005.

[4]包晓闻,张海堂.电子商务——21世纪世界商务发展的潮流[M].北京:经济科学出版社,2008.

[5]韩宝明.电子商务安全与支付[M].北京:人民邮电出版社,2009.

[6]闫心丽.浅析电子商务安全[J].内蒙古电大学刊,2005,(5).