一、解决电子商务安全问题的必要性与重要性

（一）. 安全管理

（二）.安全认证体系

（三）.安全支付结算体系 

（四）.法律政策环境

二、电子商务面临的安全问题

（一）.信息泄漏

（二）.窜改

（三）.身份识别

（四）.电脑病毒问题

（五）.黑客问题

三、电子商务安全因素

（一）.有效性

（二）.机密性

（三）.完整性

 （四）.可靠性/不可抵赖性/鉴别

（五）.即需性

（六）.身份认证

（七）.审查能力

四、电子的安全技术

（一）.防火墙技术

（二）.加密技术

（三）.密钥管理技术

（四）.Internet电子邮件的安全协议

（五）.Internet主要的安全协议

五． 对电子商务安全的展望

总

内 容 摘 要

 随着互联网的全面普及，基于互联网的电子商务也应运而生，并在近年来获得了巨发展，成为一种全新的商务模式，被许多经济专家认为是新的经济增长点。作为一种全新的商务模式，它有很大的发展前途，同时，这种电子商务模式对管理水平、信息传递技术都提出了更高的要求，其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境，对信息提供足够的保护，是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。本文将对电子商务安全问题作一个基本的探讨。

一.解决电子商务安全问题的必要性与重要性

（一）安全管理

基于电子商务的安全现状及要求,提出了现代人应如何正确看待电子商务的安全管理问题, 并针对电子商务的日常维护、交易过程、攻击发生时的种种情况给出了相应的管理对策和建议。

电子商务的发展给人们的工作和生活带来了 全新的尝试和便利，但它远远没有达到其应有的 普及程度和深人程度，究其根源，其中一个很重要 的原因就是电子商务的安全问题，它已成为阻碍 电子商务发展的瓶颈。

 电子商务是在电信网络上发展起来的。因此，先进的计算机网络基础设施和宽松的电信政策就成为发展电子商务的前提。目前，电信服务价格过高，带宽有限，服务不及时或不可靠等因素已经成为发展电子商务的制约因素。加快电信基础设施建设，打破电信市场的垄断，引进竞争机制，保证电信业务公平竞争，促进网络互联，确保为用户提供廉价，高速，可靠的通信服务是良好网络环境的建设目标，也是世界各国面临的共同课题。

 我国电信业务长期受到计划经济的影响，独家垄断的局面尚未打破。近年来因特网迅猛发展，电信政策不适应形势的矛盾日益突出。主要表现在：

 公共电子商品导购平台，是保证网上电子商务活动顺利完成的物理保证。它主要涉及网络平台建设和企业信息库建设两方面的问题。人们发送到网络上的交易信息，必须准确、迅速地在供应商、流通商、管理部门、银行、交通运输等部门之间传送，这需要各国家、各部门统一信息存储、通讯、处理的标准和协议，具有一个协调一致的导购平台。同时，各企业的商品信息库建设是平台的基础，企业没有与平台标准一致的商品信息库，电子商务就失去了生存的基础。我国的企业信息化程度不高，目前只有少数企业主要是信息技术企业建立了企业商品信息库，这就减缓了我国公共电子商品导购平台的建设。

（二）.安全认证体系

 开展电子商务最突出的问题是要解决网上购物、交易和结算中的安全问题，其中包括建立电子商务各主体之间的信任问题，即建立安全认证体系（CA）问题；选择安全标准（如SET、SSL、PKI等）问题；采用加、解密方法和加密强度问题。其中建立安全认证体系是关键。

网上交易与传统的面对面或书面的交易方式不同，它是通过网络传输商务信息和进行贸易活动的。网上交易的安全问题意味着：

 有效性:保证网上交易合同的有效性，防止系统故障、计算机病毒、黑客攻击。

 保密性:对交易的内容、交易双方账号、密码不被他人识别和盗取。

 完整性:防止单方面对交易信息的生成和修改。 

 所以，电子商务的安全体系应包括：安全可靠的通信网络，保证数据传输的可靠完整，防止病毒、黑客入侵；电子签名和其他身份认证系统；完备的数据加密系统等等。

（三）.安全支付结算体系

 银行业务的电子化，使得电子货币正在逐步取代传统纸币，发挥越来越重要的作用。1996年英国小城斯温登宣布用电子货币取代纸币，信用卡成为一种新的货币形式。随着网上交易的增多，网络银行、数字货币等全新的概念也应运而生。1994年比尔盖茨曾经嘲笑传统的银行是跟不上时代的恐龙。实际上，因特网确实对传统的金融业务提出了挑战。全球大约1000家银行中的500家已经加入互联网，1996年有190万人使用在线银行服务，预计到2000年将有1300万人使用在线银行。无论是完全依赖于网络的银行，还是传统银行利用网络开展银行业务，安全问题都是十分重要的。我国的电子商务的普及，首先要解决网络的安全问题。在金融专网和因特网之间设置支付网关，作为支付结算的安全屏障

（四）.法律政策环境

建立一套法律政策体系，保证电子交易双方能按照共同的规则进行交易，对起动、发展电子商务是完全必要的，十分急需的。电子商务是世界性的经济活动，其法律框架也不应局限在一国范围内，而应适用于国际间的贸易往来，联合国国际贸易法委员会（UNCRTRAL）已经完成了一个法律范本，以支持电子商务在国际贸易中的应用。其内容应包括：

电子合同的有效性；

 有效的电子文件的规范；

 电子签名的合法性和其他身份辨认程序；

 知识产权的保护；

 商标权和域名的保护；

 企业和个人隐私的保护

 目前在我国，统一合同法(技术合同、经济合同、对外经济合同统一)即将由全国人大通过后出台，在统一合同法中已承认电子合同与书面合同一样具有合法性，意即可证明买卖成立，但不能解决合同纠纷问题，要解决此问题有两条出路：(1)到法院起诉（无法律依据）；(2)通过仲裁解决(要制定协议)。

 建立电子商务活动的技术标准也是至关重要的。在电子商务试点阶段，实行税费优惠政策也有利于电子商务的推广。

二.电子商务面临的安全问题

 由于电子商务是以计算机网络为基础的，因此它不可避免面临着一系列的安全问题。

（一）.信息泄漏

 在电子商务中表现为商业机密的泄漏，主要包括两个方面：交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。

（二）.窜改

 在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改，这样就使信息失去了真实性和完整性。

（三）.身份识别

 如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等，进行身份识别后，交易双方就可防止相互猜疑的情况。

（四）.电脑病毒问题

 电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助干网络传播得更快，动辄造成数百亿美元的经济损失。

（五）.黑客问题

 随着各种应用工具的传播，黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。曾经大闹雅虎网站的黑手党男孩就没有受过什么专门训练，只是向网友下载了几个攻击软件并学会了如何使用，就在互联网上大干了一场。

三. 电子商务安全因素 

 安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的安全，将一直是电子商务的核心研究领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。

（一）.有效性

 EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

（二）.机密性

 EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。

（三）.完整性 

 EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

（四）.可靠性/不可抵赖性/鉴别

 EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

（五）.即需性

 即需性是防止延迟或拒绝服务，即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中，延迟一个消息或消除它会带来灾难性的后果。例如，你在上午10点向在线的股票交易公司发一个电子邮件委托购买1000股IBM公司的股票，假如这个邮件被延迟了，股票经济商在下午2点半才收到这封邮件，这时股票已经涨了15％，这个消息的延迟就使你损失了交易额的 15％。

（六）.身份认证

 指交易双方可以相互确认彼此的真实身份，确认对方就是本次交易中所称的真正交易方。认证是证实一个声称的身份或者角色，如用户、机器、节点等是否真实的过程。这一过程为授权和审计所必需，也是实现授权、审计的访问控制过程运行的前提，是计算机网络安全系统不可缺少的组成部分。

（七）.审查能力

 根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控的，以便对其所使用的操作内容进行审计和跟踪。当贸易一方发现交易行对自己不利时否认电子商务行为。例如，某股民以每股12元购买了1000股后，行情发生了变化，每股价格降到了10元，于是该股民否认以前的购买行为。因此，要求系统要有审查能力，使交易的任何一方都不能抵赖已经发生的交易行为。

四.电子商务的安全技术

 考虑到安全服务各方面要求的技术方案已经研究出来了,安全服务可在网络上任何一处加以实施。但是,在两个贸易伙伴间进行的EC,安全服务通常是以端到端形式实施的(即不考虑通信网络及其节点上所实施的安全措施)。所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息的价值等因素后确定的。这里将介绍EC应用过程中主要采用的几种安全技术及其相关标准规范。

（一）.防火墙技术

 防火墙是在内部网与外部网之间实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。实现防火墙技术的主要途径有：数据包过滤、应用网关和代理服务。防火墙技术的优点，可以产生通用、高效和安全的防火墙。目前，除了基于以上三种技术的防火墙以外，又出现了许多新技术。如：动态包过滤技术，网络地址翻译技术，加密路由器技术等。防火墙技术将不断向着高度安全性、高度透明化的方向发展。 

（二）.加密技术

 加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密

在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有n个贸易关系,那么他就要维护n个专用密钥(即每把密钥对应一贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。

 在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。 贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。

（三）.密钥管理技术

对称密钥管理对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。

 贸易方可以为每次交换的信息(如每次的EDI交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息(如EDI交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。

（四）.Internet电子邮件的安全协议

 电子邮件是Internet上主要的信息传输手段,也是EC应用的主要途径之一。但它并不具备很强的安全防范措施。Internet工程任务组(IEFT)为扩充电子邮件的安全性能已起草了相关的规范。

（五）.Internet主要的安全协议

 SSL(安全槽层)协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet/Internet 网络产品的公司已在使用该协议。

 此外,微软公司和Visa机构也共同研究制定了一种类似于SSL的协议,这就是PCT(专用通信技术)。该协议只是对SSL进行少量的改进。

 S-(安全的超文本传输协议)是对扩充安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。目前,该协议正由Internet工程任务组起草RFC草案。

 EDI是EC最重要的组成部分,是国际上广泛采用的自动交换和处理商业信息和管理信息的技术。UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全成为主要解决的问题。联合国下属的专门从事UN/EDIFACT标准研制的组织--UN/ECE/WP4(即贸易简化工作组)于1990年成立了安全联合工作组(UN-SJWG),来负责研究UN/EDIFACT标准中实施安全的措施。该工作组的工作成果将以ISO的标准形式公布。

 在ISO将要发布的ISO 9735(即UN/EDIFACT语法规则)新版本中包括了描述UN/EDIFACT中实施安全措施的5个新部分。它们分别是:第5部分--批式EDI(可靠性、完整性和不可抵赖性)的安全规则;第6部分--安全鉴别和确认报文(AUTACK);第7部分--批式EDI(机密性)的安全规则;第9部分--安全密钥和证书管理报告(KEYMAN);第10部分--交互式EDI的安全规则。

 UN/EDIFACT的安全措施主要是通过集成式和分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的鉴别和不可抵赖性; 

而分离式途径则是通过发送3种特殊的 UN/EDIFACT报文(即AU TCK、KEYMAN和CIPHER来达到保障安全的目的。

五.对电子商务安全的展望

 我国应尽快对电子商务的有关细则进行立法，否则就会使该电子商务行业变得混乱，不能成为新的经济增长点。大多数系统都将销售商的服务器和消费者的浏览器间的关系假设为主从关系，这种非对称关系限制了在这些系统中执行复杂的协议，而且不允许用户间进行直接交易。客户的匿名性和隐私尚未得到充分的考虑。

综上所述：电子商务安全技术虽然已经取得了一定的成绩，但是电子商务要真正成为一种主导的商务模式，还必须在安全技术上有更大的突破。

收费专业论文
汉语言文学论文
物理学论文
自动化专业论文
测控技术专业论文
历史学专业论文
机械模具专业论文
金融专业论文
电子通信专业论文
材料科学专业论文
英语专业论文
会计专业论文
行政管理专业论文
财务管理专业论文
电子商务国贸专业
法律专业论文
教育技术学专业论文
物流专业论文
人力资源专业论文
生物工程专业论文
市场营销专业论文
土木工程专业论文
化学工程专业论文
文化产业管理论文
工商管理专业论文
护理专业论文
数学教育专业论文
数学与应用数学专业
心理学专业论文
信息管理专业论文
工程管理专业论文
工业工程专业论文
制药工程专业论文
电子机电信息论文
现代教育技术专业
新闻专业论文
艺术设计专业论文
采矿专业论文
环境工程专业论文
西班牙语专业论文
热能与动力设计论文
工程力学专业论文
酒店管理专业论文
安全管理专业论文
交通工程专业论文
体育教育专业论文
教育管理专业论文
日语专业论文
德语专业论文
理工科专业论文
轻化工程专业论文
社会工作专业论文
乡镇企业管理
给水排水专业
服装设计专业论文
电视制片管理专业
旅游管理专业论文
物业管理专业论文
信息管理专业论文
包装工程专业论文
印刷工程专业论文
动画专业论文
环境艺术专业论文
信息计算科学专业
物流专业论文范文
人力资源论文范文
营销专业论文范文
工商管理论文范文
汉语言文学论文范文
法律专业论文范文
教育管理论文范文
小学教育论文范文
学前教育论文范文
财务会计论文范文

电子商务论文范文