如何進行電子商務安全工作

⑴ 企業如何開展電子商務安全

1、數據傳輸安全隱患。

電子商務是在開放的互聯網上進行的貿易，大量的商務專信息在計算機和網路上屬上存放、傳輸，從而形成信息傳輸風險。因此措施可以通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合密鑰加密和公開密鑰加密技術實現的。

2、數據完整性的安全隱患。

數據的完整性安全隱患是指數據在傳輸過程中被篡改。因此確保數據不被篡改的措施可以通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

⑵ 如何保障電子商務的安全

一、提高服務的安全性
首先，應用防火牆技術。所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合。防火牆是近期發展起來的一種保護計算機網路安全的技術性措施，它是一個用以阻止網路中的黑客訪問某個機構網路的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路，以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型：包過濾防火牆、代理防火牆、雙穴主機防火牆。其次，應用網關技術。應用級網關是在網路應用層上建立協議過濾和轉發功能。它針對特定的網路應用服務協議使用指定的數據過濾邏輯，並在過濾的同時，對數據包進行必要的分析、登記和統計，形成報告。應用網關對某些易於登錄和控制所有輸入輸出的通訊環境給予嚴格的控制，以防有價值的程序和數據被竊取。

二、數據加密技術
加密技術和身份認證技術是電子商務交易安全的基礎技術，加密技術用於對信息的加密，保證信息的機密性。數字簽名和數字信封技術應用了加密技術，建立在公共密鑰體制基礎上。數字簽名技術對信息進行數字簽名，保證信息的完整性和不可抵賴性。由於交易信息在傳輸過程中有可能遭到侵犯者的竊聽而失去機密性，加密技術是電子商務採取的主要保密安全措施，是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。加密包括兩個元素：演算法和密鑰。密鑰和演算法對加密同等重要。密鑰加密技術的密碼體制分為對稱密鑰體制和公共密鑰體制兩種。相應地，對數據加密的技術分為兩類，即對稱加密和非對稱加密。對稱加密以數據加密標准演算法為典型代表，非對稱加密通常以演算法為代表。如果不採用加密技術，則會影響電子商務的發展，或者成為發展的瓶頸。

三、完善管理機制
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。電子商務的安全運行必須從多方面入手，僅在技術角度防範是遠遠不夠的。安全方案的實施，離不開管理。信息安全意識的加強和培育是實現安全管理的必備條件。它的基本原則是：要求發生在系統中的行為都是有許可權的行為，並且符合程序控制的要求。從管理上完善機制，加強其有效性，往往可以解決許多技術層次解決不了的問題。

⑶ 電子商務活動中，用戶怎樣進行安全防護

1、保護網路安全。

制定網路安全的管理措施，使用防火牆，盡可能記錄網路上的一切活動，注意對網路設備的物理保護，檢驗網路平台系統的脆弱性，建立可靠的識別和鑒別機制。

2、保護應用安全。

應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。

3、保護系統安全。

在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付網關軟體等，檢查和確認未知的安全漏洞。技術與管理相結合，使系統具有最小穿透風險性。

4、加密技術

加密技術為電子商務採取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。

(3)如何進行電子商務安全工作擴展閱讀

電子商務的所有活動都需要安全體系的有力支持，缺乏嚴格的制度對硬體、軟體、資料庫、密碼和用戶許可權進行科學管理，因而發生安全意外或為某些內部人員造成可乘之機。

電子商務網路系統的安全威脅主要為以下幾個方面：即軟體系統存在潛在安全隱患、安全產品使用不當、缺少嚴格的網路安全管理制度。

保證交易數據的安全性是電子商務的關鍵問題。由於網路本身所具有的開放性特點，電子商務面臨著各種各樣的威脅，這對電子商務的安全性提出了更高的要求。

⑷ 淺談如何解決電子商務面臨的安全問題

1.電子商務面臨的網路系統安全問題
電子商務系統是依賴網路實現的商務系統，需要利用Internet基礎設施和標准，所以構成電子商務安全框架的底層是網路服務層，它提供信息傳送的載體和用戶接入的手段，是各種電子商務應用系統的基礎，為電子商務系統提供了基本、靈活的網路服務。
電子商務網路系統安全問題包括以下幾個方面:
(1)網路部件的不安全因素。
(2)軟體不安全因素。
(3)工作人員的不安全因素。
(4)自然環境因素。
2.電子商務面臨的電子支付系統安全問題
眾所周知，基於Internet平台的電子商務支付系統由於涉及到客戶、商家、銀行及認證部門等多方機構，以及它們之間可能的資金劃撥，所以客戶和商家在進行網上交易時必須充分考慮其系統的安全。
目前網上支付中面臨的主要安全問題有以下幾方面:
(1)支付賬號和密碼等隱私支付信息在網路傳送過程中被竊取或盜用。
(2)支付金額被更改。
(3)不能有效驗證收款人的身份。
3.電子商務面臨的認證系統安全問題
1.信息泄漏
在電子商務中表現為商業機密的泄漏,主要包括兩個方面:交易雙方進行交易的內容被第
三方竊取；交易一方提供給另一方使用的文件被第三方非法使用。如信用卡的賬號和用戶名被人獲悉，就可能被盜用。
2.篡改
在電子商務中表現為商業信息的真實性和完整性的問題。電子的交易信息在網路上傳輸的過程中，可能被他人非法修改、刪除或重改,這樣就使信息失去了真實性和完整性。假如兩公司簽訂了一份由一公司向另一公司供應原料的合同，若趕上原料價格上漲，供貨方公司篡改價格將使自己大幅受益，而采購公司將蒙受損失。
3.身份識別
在網路交易中如果不進行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等,進行身份識別後,交易雙方就可防止相互猜疑的情況。
4.蓄意否認事實
由於商情的千變萬化，商務合同一旦簽訂就不能被否認，否則必然會損害一方的利益。因此，電子商務就提出了相應的安全控制要求。
(1)電子商務中面臨的法律安全問題。隨著國際信息化、網路化進化的不斷發展，在電子商務領域利用計算機網路進行犯罪的案件與日俱增，其犯罪的花樣和手段不斷翻新。
(2)電子合同中的法律問題。電子商務合同的訂立是在不同地點的計算機系統之間完成的。許多國家的法律要求必須有書面形式的交易單證作為證明交易有效和作為交易的證據；否則，這種合同屬於無效合同。關於電子合同能否視為書面合同，並取得與書面文件同等的效力，是各國法律尚未解決的問題，與傳統書面文件相比，電子文件有一定的不穩定性，一些來自外界的對計算機網路的干擾，都可能造成信息的丟失、損壞、更改。
(3)銀行電子化服務的法律問題。銀行是電子支付和結算的最終執行者，起著聯結買賣雙方的紐帶作用，但對一些從事電子貨幣業務的銀行來說，犯罪分子偽造電子貨幣，給銀行帶來了直接經濟損失。
(4)電子資金轉賬的法律問題。電子資金轉賬的法律是個特殊問題，但是我國現行的《票據法》並不承認經過數字簽名認證的非紙質的電子票據支付和結算方式。並且支付不可撤消，付款人或第三人不能要求撤消已經完成的電子資金轉賬。
(5)電子商務中的知識產權保護問題。電子商務活動中交易的客體及交易的行為經常涉及傳統的知識產權領域。
(6)電子商務中的消費者權益保護問題。電子商務等新的交易方式給消費者權益保護帶來各種新的維權問題。隨著科技進步，新產品的大量出現，消費知識滯後的矛盾也更加突出。

⑸ 簡述電子商務的安全隱患與解決措施

1、數據傳輸安全隱患。

電子商務是在開放的互聯網上進行的貿易，大量的商務信息在計算機和網路上上存放、傳輸，從而形成信息傳輸風險。因此措施可以通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合密鑰加密和公開密鑰加密技術實現的。

2、數據完整性的安全隱患。

數據的完整性安全隱患是指數據在傳輸過程中被篡改。因此確保數據不被篡改的措施可以通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

3、身份驗證的安全隱患。

網上通信雙方互不見面，在交易或交換敏感信息時確認對方等真實身份以及確認對方的賬戶信息的真實與否，為身份驗證的安全隱患。解決措施可以通過採用口令技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

4、交易抵賴的安全隱患。

網上交易的各方在進行數據傳輸時，當發生交易後交易雙方不認可為本人真實意願的表達而產生的抵賴安全隱患。措施為交易時必須有自身特有的、無法被別人復制的信息，以保證交易發生糾紛時有所對證，可以通過數字簽名技術和數字證書技術來實現的。

(5)如何進行電子商務安全工作擴展閱讀：

電子商務分類：

1、企業對企業的電子商務（B2B）；

2、企業對消費者的電子商務（B2C）；

3、企業對政府的電子商務（B2G）；

4、消費者對政府的電子商務（C2G）；

5、消費者對消費者的電子商務（C2C）；

6、企業、消費者、代理商三者相互轉化的電子商務（ABC）；

7、以消費者為中心的全新商業模式（C2B2S）；

8、以供需方為目標的新型電子商務（P2D）。

⑹ 如何保障電子商務安全

這個問題太寬泛了吧~
我只能給你個大概
首先基礎的文件加密
一，對自己的專本地文件進屬行加密解密。
二，對郵件進行加密和解密。（例如用PGP
交易安全管理
一，要注意交易者身份的確認
二，數字簽名等的使用
三，若是企業，肯定還需要制定交易安全管理制度
1人員管理制度2保密制度3跟蹤，審計，稽核制4網路系統的日常維護制度5病毒防範制度6應急措施
了解一下電子商務的安全需求吧
1交易實體身份真實性需求2信息保密性需求3信息完整性4交易信息認可的需求5訪問控制的需求6信息有效性

要注意電子商務安全隱患涉及許多方面，有人為因素，有設備因素，有軟體因素等
1互聯網問題。當某個用戶不採取任何安全措施是，其他用戶也可以很方便的訪問他的計算機
2操作系統的安全
3應用軟體安全4通信傳輸協議安全5網路安全管理

還必需的是掌握安全工具的使用~~~

以上只是一些理論常識,具體需求具體對策

⑺ 要實現電子商務的安全運作應當從什麼方面入手

企業電子商務安全管理對策
企業電子商務的安全管理需要一個完整的綜合保障體系。應當從技術、管理、法律等方面入手，採取行之有效的綜合解決的辦法和措施，才能真正實現電子商務的安全運作。其主要安全管理對策體現在以下幾個方面：
（一）人員管理
由於人員在很大程度上支配著市場經濟下的企業的命運，而計算機網路犯罪又具有智能型性、連續性、高技術性的特點，因而，加強對電子商務人員的管理變得十分重要。
貫徹電子商務安全運作基本原則：
1、雙人負責原則：重要業務不要安排一個人單獨管理，實行兩人或多人相互制約的機制；
2、任期有限原則：任何人不得長期擔任與交易安全有關的、職務；
3、最小許可權原則：明確規定只有網路管理員才可以進行物理訪問，只有網路人員才可進行軟體安裝工作。
（二）保密管理
電子商務涉及企業的市場、生產、財務、供應等多方面的機密，信息的安全級別又可分為絕密級、機密級和秘密級三級，因此，安全管理需要很好地劃分信息的安全防範重點，提出相應的保密措施。
保密工作的另一個重要的問題是對密鑰的管理。大量的交易必然使用大量的密鑰，密鑰管理必須貫穿於密鑰的產生、傳遞和銷毀的全過程。密鑰需要定期更換，否則可能使「黑客」通過積累密文增加破譯機會。
（三）網路系統的日常維護管理
1、硬體的日常管理和維護
企業通過自己的Intranet參與電子商務活動，Intranet的日常管理和維護變得至關重要，這就要求網路管理員必須建立系統設備檔案。一般可用一個小型的資料庫來完成這項功能，以便於一旦某地設備發生故障，進行網上查詢。
對於一些網路設備，應及時安裝網管軟體。對於不可管設備應通過手工操作來檢查狀態，做到定期檢查與隨機抽查相結合，以便及時准確地掌握網路的運行狀況，一旦有故障發生能及時處理。
2、軟體的日常管理和維護
對於操作系統，所要進行的維護工作主要包括：定期清理日誌文件、臨時文件；定期執行整理文件系統；監測伺服器上的活動狀態和用戶注冊數；處理運行中的死機情況等。
對於應用軟體的管理和維護主要是版本控制。為了保持各客戶機上的版本一致，應設置一台安裝伺服器，當遠程客戶機應用軟體需要更新時，就可以從網路上進行遠程安裝。
（四）數據備份和應急措施
為了保證網路數據安全，必須建立數據備份制度，定期或不定期地對網路數據加以備份。
應急措施是指在計算機災難事件（即緊急事件或安全事故）發生時，利用應急計劃輔助軟體和應急設施，排除災難和故障，保障計算機信息系統繼續運行或緊急恢復。在啟動電子商務業務時，就必須制定交易安全計劃和應急方案，一旦發生意外，立即實施，最大限度地減少損失，盡快恢復系統的正常工作。
災難恢復包括許多工作。一方面是硬體的恢復，使計算機系統重新運轉起來；另一方面是數據的恢復。一般來講，數據的恢復更為重要，難度也更大。目前運用的數據恢復技術主要是瞬時復制技術、遠程磁碟鏡像技術和資料庫恢復技術。
（五）跟蹤與審計管理
跟蹤制度要求企業建立網路交易系統日誌機制，用於記錄系統運行的全過程。系統日誌文件是自動生成的，內容包括操作日期、操作方式、登錄次數、運行時間、交易內容等。它對系統的運行監督、維護分析、故障恢復，對於防止案件的發生或為偵破案件提供監督數據，起到非常重要的作用。
審計制度包括經常對系統日誌的檢查、審核，及時發現對系統故意入侵行為的記錄和對系統安全功能違反的記錄，監控和捕捉各種安全事件，保存、維護和管理系統日誌。
（六）病毒防範
抗病毒是電子商務安全的一個新領域。病毒在網路環境下具有更強的傳染性，對網路交易的順利進行和交易數據的妥善保存造成極大的威脅。從事網上交易的企業和個人都應當建立病毒防範制度，排除病毒的騷擾。

⑻ 電子商務安全的管理方法有哪些

電子商務是利用各種電子化手段進行的商務活動,其價值的實現主要依託於網路,尤其是互聯網,它已經成為互聯網應用的一個必然趨勢和金融商貿的主要模式之一.如何建立一個安全的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務必須直面的一個問題.
由於電子商務的重要技術特徵是利用網路來傳輸和處理商業信息,因此,電子商務安全主要包括兩個方面:網路安全和商務安全.而這些安全的實現又依託於一些具體的安全技術,遵循相關安全協議.
1 網路安全問題
網路安全主要是指計算機和網路本身可能存在的安全問題,也就是要保障電子商務平台的可用性和安全性.網路安全是電子商務的基礎,其問題一般表現為:
1.1 計算機本身潛在的安全隱患帶來的網路安全問題
計算機使用的是未經過相關的網路安全配置的操作系統,不論是什麼操作系統,在預設安裝的條件下都會存在一些安全問題,而僅僅將操作系統按預設安裝後,再配上很長的密碼就認為安全的想法是不可靠的.因為計算機本身存在的軟體漏洞和"後門"往往是網路攻擊的首選目標.
1.2 入侵者風險降低獲利升高帶來的刺激引發的網路安全問題
由於網路的全球性,開放性,共享性的發展,使得任何人都可以自由地接入互聯網,而這其中也包括了黑客,入侵者和病毒製造者.他們採用的攻擊方法越來越多,對電子商務的威脅也顯得越來越明顯.相對而言,襲擊者本身的風險卻非常小,甚至可以在襲擊後很快就消失得無影無蹤,使對方幾乎沒有實行報復打擊的可能,這使他們的活動更加猖獗.美國的"雅虎"和"亞馬遜"曾受到攻擊的事件就說明了這一點.
1.3 安全設備使用不當帶來的網路安全問題
雖然絕大多數網站採用了網路安全設備,有的甚至還耗費巨資,但由於安全設備本身因素或使用問題,這些設備並沒有起到應有的或期望的作用.很多安全廠商的產品對配置人員的技術背景要求很高,往往超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確地安裝,配置,一旦系統改動,需要改動相關安全設備的設置時,很容易產生許多安全問題.而通常意義上的網路管理者往往無法勝任這樣的工作.
因此在實施網路安全防範措施時應做到:首先要加強主機本身的安全,做好安全配置;及時安裝安全補丁程序,減少漏洞;安裝防病毒軟體和軟體防火牆,加強內部網的整體防病毒措施;使用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;利用相應的數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網路上傳輸的敏感信息要進行一定強度的數據加密;建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊.同時充分利用已經公布的有關交易安全和計算機安全的法律法規為電子商務交易護航.再者,面對普通網路管理員的技術水平,在網路的建設和維護中可採用聯合開發維護的方式,通過前期的建設和維護不斷提高和完善自身團隊的技術水平,使其在成長中逐步勝任企業對網路安全的要求.
網路管理者在思想上高度重視安全問題也是相當有必要的.技術的產生一般相對於人們的需求有一定的滯後性,而建立和實施嚴密完善的網路安全制度和策略往往可以代替暫時無法實現的技術,畢竟這才是真正實現網路安全的基礎.
一個全方位的計算機網路安全體系結構通常包含網路的物理安全,訪問控制安全,系統安全,用戶安全,信息加密,安全傳輸和管理安全.這一切的實現依賴於各種先進的主機安全技術,身份認證技術,訪問控制技術,密碼技術,防火牆技術,安全審計技術,安全管理技術,系統漏洞檢測技術,黑客跟蹤技術.隨著安全核心系統,VPN安全隧道,身份認證,網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術的應用,從不同層面加強了計算機網路的整體安全性,漸漸在攻擊者和受保護的資源間建立了多道嚴密的安全防線,增加了惡意入侵的難度.
為了保證電子商務活動的順利進行,必須有安全完善的網路體系為其提供穩定可靠,強有力的支撐.
2 商務安全問題
商務安全指商務交易在網路媒介中體現出來的安全問題,也就是要實現電子商務信息的保密性,完整性,真實性和不可抵賴性.
在早期的電子交易中,曾採用過一些簡單的安全措施.例如將網上交易中最關鍵的數據如信用卡號碼及成交數額等用電話告知,以防泄密,網上交易後再用其他方式對交易做確認,以保證其真實性和不可抵賴性.這些方法不僅操作不便,而且有一定的局限性,也不能實現其真正的安全性.
2.1 商務安全中普遍存在的幾種安全隱患
2.1.1 竊取信息
信息在傳輸過程中未採用相應的加密措施或加密強度不夠,導致數據信息在網路上以明文或近乎明文的形式傳送.入侵者在數據包經過的設備或線路上採用截獲方法截獲正在傳送的信息,通過對竊取數據參數的分析比對,找到信息的格式和規律,進而得到傳輸信息的內容,導致消費者消費信息,賬號密碼和企業商業機密等信息的外泄.
2.1.2 篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術方法和手段對網路傳輸中的信息進行截獲修改再發至原先指定目的地,從而破壞信息的真實性.入侵者通過改變信息流的次序,更改信息的內容,刪除信息的某些部分,甚至在信息中插入一些附加內容,使接收方做出錯誤的判斷與決策.
2.1.3 信息假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以進一步冒充合法用戶獲取和發送信息,而遠端接受方或發送方通常不易分辨.常見的方式有偽造用戶和商戶的收定貨單據,套取或修改相關程序的使用許可權等.
2.1.4 信息破壞
由於攻擊者已侵入網路,已獲得對網路中信息的修改許可權,如其對網路中現有機要信息進行修改乃至於刪除,其後果是非常嚴重的.
2.2 商務安全的要求
2.2.1 信息的保密性
交易中的商務信息都需要遵循一定的保密規則.因為其信息往往代表著國家,企業和個人的商業機密.在以往傳統的紙面貿易中採用郵寄封裝或通過可靠的通信渠道傳送商業信息來達到保密的目的和要求.而電子商務是建立在一個較為開放的互聯網路環境上的,它所依託的網路本身也就是由於開放式互聯形成的市場,才贏得了電子商務,因此在這一新的支撐環境下,勢必要用相應的技術和手段來延續和改進信息的保密性.一般用密碼技術來實現.
2.2.2 信息的完整性
不可否認電子商務的出現以計算機代替了人們大多數復雜的勞動,也以信息系統的形式整合化簡了企業貿易中的各個環節,但網路的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整,統一出現了問題.由於數據輸入時的意外差錯(如計算機自動處理過程中死機,停電等),可能導致貿易各方信息的不一致.此外,數據傳輸過程中人為的或自然的信息丟失(如數據包丟失),信息重復或信息傳送的次序差異(如網路堵塞重發)也會導致貿易各方信息的不同.而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略.因此保持貿易各方信息的完整性是電子商務應用必備的基礎.完整性一般可通過提取信息消息摘要的方式來獲得.
2.2.3 信息的不可抵賴性
在交易中會出現交易抵賴的現象,如信息發送方在發送操作完成後否認曾經發送過該信息,或與之相反,接受方收到信息後並不承認曾經收到過該條消息.因此如何確定交易中的任何一方在交易過程中所收到的交易信息正是自己的合作對象發出的,而對方本身也沒有被假冒,是電子商務活動和諧順利進行的保證.信息的保證可以通過對發送的消息進行數字簽名來獲取.身份的確定一般都採用證書機構CA和證書的方法來實現.讓素昧平生,相隔千里的雙方成為合作夥伴畢竟不是一件容易的事情.
當然,在電子商務活動中還有許多要求,比如交易信息的時效界定問題,交易一旦達成後有無撤消和修改的可能等.相信在電子商務的發展中必將涌現各種技術和各項法律法規,規范人們的需求並幫助其實現,以保證電子商務交易的嚴肅性和公正性.
3 電子商務的安全技術
3.1 加密技術
加密技術是保證電子商務安全的重要手段,為保證電子商務安全使用加密技術對敏感的信息進行加密,保證電子商務的保密性,完整性,真實性和非否認服務.
3.1.1 加密技術的現狀
如同許多IT技術一樣,加密技術層出不窮,為人們提供了很多的選擇餘地,但與此同時也帶來了一個問題——兼容性,不同的企業可能會採用各自不同的標准.
另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制.目前,美國的企業一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的演算法出口.雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多.美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾.目前,我國由上海市電子商務安全證書管理中心推出的128位SSL演算法,彌補了國內的這一空缺,也為我國電子商務安全帶來了廣闊的前景.
3.1.2 常用的加密技術
對稱密鑰密碼演算法:對稱密碼體制由傳統簡單換位代替密碼發展而成,加密模式上可分為序列密碼和分組密碼兩類.
不對稱型加密演算法:也稱公用密鑰演算法,其特點是有二個密鑰即公用密鑰和私有密鑰,兩者必須成對使用才能完成加密和解密的全過程.本技術特別適用於分布式系統中的數據加密,在網路中被廣泛應用.其中公用密鑰公開,為數據源對數據加密使用,而用於解密的相應私有密鑰則由數據的接受方保管.
不可逆加密演算法:其特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有輸入同樣的數據經過同一不可逆加密演算法的比對才能得到相同的加密數據.因為其沒有密鑰所以不存在密鑰保管和分發問題,但由於它的加密計算工作量較大,所以通常只在數據量有限的情況下,例如計算機系統中的口令信息的加密.
3.1.3 電子商務領域常用的加密技術
數字摘要:又稱安全Hash編碼法.該編碼法採用單向Hash 函數將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱為數字指紋,具有固定的長度,並且不同的明文摘要其密文結果是不一樣的,而同樣的明文其摘要保持一致.
數字簽名:數字簽名是將數字摘要,公用密鑰演算法兩種加密方法結合使用.它的主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要).發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名,然後這個數字簽名將作為報文的附件和報文一起發送給報文的接收方.報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密.如果兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的.通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性,有效地防止了簽名的否認和非正當簽名者的假冒.
數字時間戳:是對交易文件的時間信息所採取的安全措施.該網上安全服務項目,由專門的機構提供.時間戳是一個經加密後形成的憑證文檔,它包括:需加時間戳的文件的摘要,數字時間戳服務收到文件的日期和時間,數字時間戳服務的數字簽名.
數字證書:數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網路資源的訪問許可權,主要有個人憑證,企業(伺服器)憑證,軟體(開發者)憑證三種.
3.2 身份認證技術
在網路上通過一個具有權威性和公正性的第三方機構——認證中心,將申請用戶的標識信息(如姓名,身份證號等)與他的公鑰捆綁在一起,用於在網路上驗證確定其用戶身份.前面所提到的數字時間戳服務和數字證書的發放,也都是由這個認證中心來完成的.
3.3 支付網關技術
支付網關,通常位於公網和傳統的銀行網路之間(或者終端和收費系統之間),其主要功能為:將公網傳來的數據包解密,並按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部傳回來的響應消息,將數據轉換為公網傳送的數據格式,並對其進行加密.支付網關技術主要完成通信,協議轉換和數據加解密功能,並且可以保護銀行內部網路.此外,支付網關還具有密鑰保護和證書管理等其它功能(有些內部使用網關還支持存儲和列印數據等擴展功能).
4 與電子商務安全有關的協議技術
4.1 SSL協議(Secure Sockets Layer)
SSL協議也叫安全套接層協議,面向連接的協議,是現在使用的主要協議之一,但當初並非為電子商務而設計.該協議使用公開密鑰體制和X.509數字證書技術來保護信息傳輸的機密性和完整性.SSL協議在應用層收發數據前,協商加密演算法,連接密鑰並認證通信雙方,從而為應用層提供了安全的傳輸通道,在該通道上可透明載入任何高層應用協議(如HTTP,FTP,TELNET等)以保證應用層數據傳輸的安全性.由於其獨立於應用層協議,在電子交易中常被用來安全傳送信用卡號碼,但由於它是個面向連接的協議,只適合於點對點之間的信息傳輸,即只能提供兩方的認證,而無法滿足現今主流的加入了認證方的三方協作式商務模式,因此在保證信息的不可抵賴性上存在著缺陷.
4.2 SET協議(Secure Electronic Transaction)
SET協議也叫安全電子交易,對基於信用卡進行電子化交易的應用提供了實現安全措施的規則,與SSL協議相比較,做了些改進.在商務安全問題中,往往持卡人希望在交易中對自己的交易信息保密,使之不會被人竊取,商家希望客戶的定單真實有效,並且在交易過程中,交易各方都希望驗明對方的身份,以防止被欺騙.針對這種情況,Visa和MasterCard兩大信用卡組織以及微軟等公司共同制定了SET協議,一個能保證通過開放網路(包括Internet)進行安全資金支付的技術標准.它採用公鑰密碼體制和X.509數字證書標准,主要應用於保障網上購物信息的安全性.由於SET 提供了消費者,商家和銀行之間的認證,彌補了SSL的不足,確保了交易數據的安全性,完整性,可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為目前公認的信用卡/借記卡網上交易的國際安全標准.
除此之外還有安全超文本傳輸協議(SHTTP),安全交易技術協議(STT)等.協議為電子商務提供了規范.
5 結語
安全是電子商務的核心和靈魂.電子商務對網路安全與商務安全的雙重要求,使網路安全與商務安全密不可分.沒有計算機網路安全作為基礎,商務交易安全猶如空中樓閣,無從談起;沒有商務安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求.而電子商務相應的實現技術和各種協議正是安全得以實現的保證.

⑼ 如何對電子商務安全進行規范管理

電子商務安全規范管理要求：
一.機密性
電子商務作為貿易的一種方式,其信息直接代版表著個人、企業或國權家的商業機密。電子商務是建立在一個較為開放的網路環境上的,維護商業機密是電子商務全面推廣應用的重要保障。
二.有效性
電子商務作為貿易的一種形式,其信息的有效性將直接關繫到個人、企業或國家的經濟利益和聲譽。因此,要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
三.完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是電子商務應用的基礎。
四.可靠性
電子商務直接關繫到貿易雙方的商業交易,如何確定要進行交易的貿易方是保證電子商務順利進行的關鍵。
五.即需性
即需性是防止延遲或拒絕服務，即需安全威脅的目的就在於破壞正常的計算機處理或完全拒絕服務。
六.身份認證
指交易雙方可以相互確認彼此的真實身份，確認對方就是本次交易中所稱的真正交易方。

⑽ 如何實施安全電子商務

電子商務這方面的東西多的，一下子也說不完，我只能大概的說一下，如果對我的回答不滿意，我給你一個網站，裡面有詳細介紹電子商務安全、流程、施行方案等等，在最下面的參考資料里。

一、電子商務的分類

電子商務按電子商務交易涉及的對象、電子商務交易所涉及的商品內容和進行電子業務的 企業所使用的網路類型等對電子商務進行不同的分類。

（一）按參與交易的對象分類 按參與電子商務交易涉及的對象分類，電子商務可以分為以下三種類型：
1．企業與消費者之間的電子商務（Business to Customer即B TO C）。這是消費者利用網際網路 直接參與經濟活動的形式，類同於商業電子化的零售商務。隨著萬維網（WWW）的出現，網上銷 售迅速地發展起來。目前，在網際網路上有許許多多各種類型的虛擬商店和虛擬企業，提供各種與 商品銷售有關的服務。通過網上商店買賣的商品可以是實體化的，如書籍、鮮花、服裝、食品、 汽車、電視等等；也可以是數字化的，如新聞、音樂、電影、資料庫、軟體及各類基於知識的商 品；還有提供的各類服務，有安排旅遊、在線醫療診斷和遠程教育等。
2．企業與企業之間的電子商務（Business to Business 即B TO B）。B TO B方式是電子商務應 用最重和最受企業重視的形式，企業可以使用Internet或其他網路對每筆交易尋找最佳合作夥伴， 完成從定購到結算的全部交易行為，包括向供應商訂貨、簽約、接受發票和使用電子資金轉移、 信用證、銀行托收等方式進行付款，以及在商貿過程中發生的其他問題如索賠、商品發送管理和 運輸跟蹤等。企業對企業的電子商務經營額大，所需的各種硬軟體環境較復雜，但在EDI商務成功 的基礎上發展得最快。
3．企業與政府方面的電子商務（Business to Government B TO G）。這種商務活動覆蓋企業與 政府組織間的各項事務。例如企業與政府之間進行的各種手續的報批，政府通過網際網路發布采購 清單、企業以電子化方式響應：政府在網上以電子交換方式來完成對企業和電子交易的征稅等， 這成為政府機關政務公開的手段和方法。

（二）按交易涉及的商品內容分類 如果按照電子商務交易所涉及的商品內容分類，電子商務主要包括兩類商業活動。
1．間接電子商務 電子商務涉及商品是有形貨物的電子訂貨，如鮮花、書籍、食品、汽車等，交易的商品需要 通過傳統的渠道如郵政業的服務和商業快遞服務來完成送貨，因此，間接電子商務要依靠送 貨的運輸系統等外部要素。
2．直接電子商務 電子商務涉及商品是無形的貨物和服務，如計算機軟體、娛樂內容的聯機訂購、付款和交付， 或者是全球規模的信息服務。直接電子商務能使雙方越過地理界線直接進行交易，充分挖掘 全球市場的潛力。目前我國大部分的農業網站都屬於這一類，但這還是真正意義上的直接電子 商務。

（三）按電子商務使用的網路類型分類 根據開展電子商務業務的企業所使用的網路類型框架的不同，電子商務可以分為如下三種形式：
1．EDI網路電子商務（Electronic Data Interchange，電子數據交換）。EDI是按照一個公認 的標准和協議，將商務活動中涉及的文件標准化和格化式，通過計算機網路，在貿易夥伴的計 算機網路系統之間進行數據交換和自動處理。EDI主要應用於企業與企業、企業與批發商、批發 商與零售商之間的批發業務。EDI電子商務在90年代已得到較大的發展，技術上也較為成熟，但 是因為開展EDI對企業有較高的管理、資金和技術的要求，因此至今尚不太普及。
2．網際網路電子商務（Internet網路）。是指利用連通全球的Internet網路開展的電子商務 活動，在網際網路上可以進行各種形式的電子商務業務，所涉及的領域廣泛，全世界各個企業 和個人都可以參與，正以飛快的速度在發展，其前景十分誘人，是目前電子商務的主要形式。
3．內聯網路電子商務（Intranet網路）。是指在一個大型企業的內部或一個行業內開展的電 子商務活動，形成一個商務活動鏈，可以大大提高工作效率和降低業務的成本。 例如中華人民共和國專利局的主頁，客戶在該網站上可以查詢到有關中國專利的所有信息和 業務流程，這是電子商務在政府機關辦公事務中的應用；已經開通的上海網上南京路一條街 主頁，包括了南京路上的主要商店，客戶可以在網上游覽著名的上海南京路商業街，並在網 上南京路上的網上商店中以電子商務的形式購物；已開始營業的北京圖書大廈主頁，客戶可 以在此查閱和購買北京圖書大廈經營的幾十萬種圖書。上述兩個都是B TO C的電子商務應用 形式。

二、常用的安全電子交易手段

在近年來發表的多個安全電子交易協議或標准中，均採納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種：
（1）、 密碼技術
採用密碼技術對信息加密，是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種：
A. 公共密鑰和私用密鑰(public key and private key)
這一加密方法亦稱為RSA編碼法，是由Rivest,Shamir和Adlernan 三人所研究發明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數，則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時，某個用戶總是將一個密鑰公開，讓需發信的人員將信息用其公共密鑰加密後發給該用戶，而一旦信息加密後，只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到，亦可在請對方發信息時主動將公共密鑰傳給對方，這樣保證在Internet上傳輸信息的保密和安全。

B. 數字摘要(digital digest)
這一加密方法亦稱安全Hash編碼法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest)，由Ron Rivest所設計。該編碼法採用單向Hash 函數將需加密的明文"摘要"成一串128bit的密文，這一串密文亦稱為數字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是"真身"的"指紋"了。
上述兩種方法可結合起來使用，數字簽名就是上述兩法結合使用的實例。

(2)、 數字簽名(digital signature)
在書面文件上簽名是確認文件的一種手段，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數字簽名與書面文件簽名有相同之處，採用數字簽名，也能確認以下兩點：
信息是由簽名者發送的。
信息自簽發後到收到為止未曾作過任何修改。
這樣數字簽名就可用來防止電子信息因易被修改而有人作偽；或冒用別人名義發送信息；或發出（收到）信件後又加以否認等情況發生。

數字簽名並非用"手書簽名"類型的圖形標志，它採用了雙重加密的方法來實現防偽、防賴。其原理為：
(1)被發送文件用SHA編碼加密產生128bit的數字摘要（見上節）。
(2)發送方用自己的私用密鑰對摘要再加密，這就形成了數字簽名。
(3)將原文和加密的摘要同時傳給對方。
(4)對方用發送方的公共密鑰對摘要解密，同時對收到的文件用SHA 編碼加密產生又一摘要。
(5)將解密後的摘要和收到的文件在接收方重新加密產生的摘要相互對比。如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過。否則不然。
（3）、 數字時間戳(digital time-stamp)
交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。
在電子交易中，同樣需對交易文件的日期和時間信息採取安全措施，而數字時間戳服務
(DTS:digital time-stamp service)就能提供電子文件發表時間的安全保護。
數字時間戳服務(DTS)是網上安全服務項目，由專門的機構提供。時間戳(time-stamp) 是一個經加密後形成的憑證文檔，它包括三個部分：1)需加時間戳的文件的摘要(digest),2)DTS收到文件的日期和時間，3)DTS的數字簽名。
時間戳產生的過程為：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然後將該摘要發送到DTS,DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密（數字簽名），然後送回用戶。由Bellcore創造的DTS採用下的過程：加密時將摘要信息歸並到二叉樹的數據結構；再將二叉樹的根值發表在報紙上，這樣更有效地為文件發表時間提供了佐證。注意，書面簽署文件的時間是由簽署人自己寫上的，而數字時間戳則不然，它是由認證單位DTS來加的，以DTS收到文件的時間為依據。因此，時間戳也可作為科學家的科學發明文獻的時間認證。

（4）、 數字憑證(digital certificate,digital ID)
數字憑證又稱為數字證書，是用電子手段來證實一個用戶的身份和對網路資源的訪問的許可權。在網上的電子交易中，如雙方出示了各自的數字憑證，並用它來進行交易操作，那麼雙方都可不必為對方身份的真偽擔心。
數字憑證可用於電子郵件、電子商務、群件、電子基金轉移等各種用途。
數字憑證的內部格式是由CCITT X.509國際標准所規定的，它包含了以下幾點：
憑證擁有者的姓名，
憑證擁有者的公共密鑰，
公共密鑰的有效期，
頒發數字憑證的單位，
數字憑證的序列號(Serial number)，
數字憑證有三種類型：
個人憑證(Personal Digital ID)：它僅僅為某一個用戶提供憑證，以幫助其個人在網上進行安全交易操作。個人身份的數字憑證通常是安裝在客戶端的瀏覽器內的。並通過安全的電子郵件(S/MIME)來進行交易操作。
企業（伺服器）憑證(Server ID)：它通常為網上的某個Web伺服器提供憑證，擁有Web伺服器的企業就可以用具有憑證的萬維網站點(Web Site)來進行安全電子交易。有憑證的Web伺服器會自動地將其與客戶端Web瀏覽器通信的信息加密。
軟體（開發者）憑證(Developer ID)：它通常為Internet中被下載的軟體提供憑證，該憑證用於和微軟公司Authenticode技術（合法化軟體）結合的軟體，以使用戶在下載軟體時能獲得所需的信息。
上述三類憑證中前二類是常用的憑證，第三類則用於較特殊的場合，大部分認證中心提供前兩類憑證，能提供各類憑證的認證中心並不普遍。

（5）、 認證中心：(CA:Certification Authority)
在電子交易中，無論是數字時間戳服務(DTS)還是數字憑證(Digital ID)的發放，都不是靠交易的自己能完成的，而需要有一個具有權威性和公正性的第三方(third party)來完成。認證中心(CA)就是承擔網上安全電子交易認證服務、能簽發數字證書、並能確認用戶身份的服務機構。認證中心通常是企業性的服務機構，主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定(CPS:Certification Practice Statement)來實施服務操作。
目前在全球處於領導地位的認證中心是美國的VeriSign公司，創建於1995年4 月，總部在美國加州的Mountain View。該公司所提供的數字憑證的服務已遍及全世界50個國家，接受該公司的伺服器數字憑證的Web站點伺服器已超過45 000個，而使用該公司個人數字憑證的用戶已超過200萬名。
上述五個方面介紹了安全電子交易的常用手段，各種手段常常是結合在一起使用的，從而構成安全電子交易的體系。
三、流程：
雙方建立項目領導小組——>全面企業需求調研——>體現企業個性化特點的解決方案——>雙方確認方案——>高層、中層領導管理理念培訓——>安裝軟體並進行實施指導（堅持以客戶為中心，充分體現企業的個性化特點）——>二次開發——>階段性驗收——>實施指導——>階段性驗收——>終驗收。在項目開始首先召開全員動員大會，將整個項目細分為若干個小項目，並將每一個小項目都責任到人，明確完成時間和驗收標准，定期進行考核。確保每個人都有壓力，每個人都有責任