保障電子商務安全信息技術更有效

⑴ 電子商務安全有哪些效果如何

（1）有效性

EC以電子形式取代了紙張，那麼如何保證這種電子形式的貿易信息的有效性則是開展E的前提。EC作為貿易的一種形式，其信息的有效性將直接關繫到個人、企業或國家的經濟利益和聲譽。因此，要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。

（2）機密性

EC作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。EC是建立在一個較為開放的網路環境上的（尤其Internet是更為開放的網路），維護商業機密是EC全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。

（3）完整性

EC簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業信息的完整、統一的問題。由於數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是EC應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數據傳送過程中信息的丟失和重復並保證信息傳送次序的統一。

（4）可靠性/不可抵賴性/鑒別

EC可能直接關繫到貿易雙方的商業交易，如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證EC順利進行的關鍵。在傳統的紙面貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易夥伴，確定合同、契約、單據的可靠性並預防抵賴行為的發生。這也就是人們常說的「白紙黑字」。在無紙化的EC方式下，通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。

（5）審查能力

根據機密性和完整性的要求，應對數據審查的結果進行記錄。

3.2 電子商務採用的主要安全技術及其標准規范

考慮到安全服務各方面要求的技術方案已經研究出來了，安全服務可在網路上任何一處加以實施。但是，在兩個貿易夥伴間進行的EC，安全服務通常是以「端到端」形式實施的（即不考慮通信網路及其節點上所實施的安全措施）。所實施安全的等級則是在均衡了潛在的安全危機、採取安全措施的代價及要保護信息的價值等因素後確定的。這里將介紹EC應用過程中主要採用的幾種安全技術及其相關標准規范。

（1）加密技術

加密技術是EC採取的主要安全措施，貿易方可根據需要在信息交換的階段使用。目前，加密技術分為兩類，即對稱加密和非對稱加密。

①對稱加密/對稱密鑰加密/專用密鑰加密

在對稱加密方法中，對信息的加密和解密都使用相同的密鑰。也就是說，一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理，每個貿易方都不必彼此研究和交換專用的加密演算法，而是採用相同的加密演算法並只交換共享的專用密鑰。如果進行通信的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露，那麼機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發送報文摘要或報文散列值來實現。對稱加密技術存在著在通信的貿易方之間確保密鑰安全交換的問題。此外，當某一貿易方有「n」個貿易關系，那麼他就要維護「n」個專用密鑰（即每把密鑰對應一貿易方）。對稱加密方式存在的另一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享同一把專用密鑰，貿易雙方的任何信息都是通過這把密鑰加密後傳送給對方的。

數據加密標准（DES）由美國國家標准局提出，是目前廣泛採用的對稱加密方式之一，主要應用於銀行業中的電子資金轉帳（EFT）領域。DES的密鑰長度為56位。三重DES是DES的一種變形。這種方法使用兩個獨立的56位密鑰對交換的信息（如EDI數據）進行3次加密，從而使其有效密鑰長度達到112位。RC2和RC4方法是RSA數據安全公司的對稱加密專利演算法。RC2和RC4不同於DES，它們採用可變密鑰長度的演算法。通過規定不同的密鑰長度，RC2和RC4能夠提高或降低安全的程度。一些電子郵件產品（如Lotus Notes和Apple的Opn Collaboration Environment）已採用了這些演算法。

②非對稱加密/公開密鑰加密

在非對稱加密體系中，密鑰被分解為一對（即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰）。這對密鑰中的任何一把都可作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把則作為專用密鑰（解密密鑰）加以保存。公開密鑰用於對機密性的加密，專用密鑰則用於對加密信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握，公開密鑰可廣泛發布，但它只對應於生成該密鑰的貿易方。貿易方利用該方案實現機密信息交換的基本過程是：貿易方甲生成一對密鑰並將其中的一把作為公開密鑰向其他貿易方公開；得到該公開密鑰的貿易方乙使用該密鑰對機密信息進行加密後再發送給貿易方甲；貿易方甲再用自己保存的另一把專用密鑰對加密後的信息進行解密。貿易方甲只能用其專用密鑰解密由其公開密鑰加密後的任何信息。

RSA（即Rivest， Shamir Adleman）演算法是非對稱加密領域內最為著名的演算法，但是它存在的主要問題是演算法的運算速度較慢。因此，在實際的應用中通常不採用這一演算法對信息量大的信息（如大的EDI交易）進行加密。對於加密量大的應用，公開密鑰加密演算法通常用於對稱加密方法密鑰的加密。

（2）密鑰管理技術

①對稱密鑰管理

對稱加密是基於共同保守秘密來實現的。採用對稱加密技術的貿易雙方必須要保證採用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時還要設定防止密鑰泄密和更改密鑰的程序。這樣，對稱密鑰的管理和分發工作將變成一件潛在危險的和繁瑣的過程。通過公開密鑰加密技術實現對稱密鑰的管理使相應的管理變得簡單和更加安全，同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。

貿易方可以為每次交換的信息（如每次的EDI交換）生成唯一一把對稱密鑰並用公開密鑰對該密鑰進行加密，然後再將加密後的密鑰和用該密鑰加密的信息（如EDI交換）一起發送給相應的貿易方。由於對每次信息交換都對應生成了唯一一把密鑰，因此各貿易方就不再需要對密鑰進行維護和擔心密鑰的泄露或過期。這種方式的另一優點是即使泄露了一把密鑰也只將影響一筆交易，而不會影響到貿易雙方之間所有的交易關系。這種方式還提供了貿易夥伴間發布對稱密鑰的一種安全途徑。

②公開密鑰管理/數字證書

貿易夥伴間可以使用數字證書（公開密鑰證書）來交換公開密鑰。國際電信聯盟（ITU）制定的標准X.509（即信息技術——開放系統互連——目錄：鑒別框架）對數字證書進行了定義該標准等同於國際標准化組織（ISO）與國際電工委員會（IEC）聯合發布的ISO/IEC 9594-8：195標准。數字證書通常包含有唯一標識證書所有者（即貿易方）的名稱、唯一標識證書發布者的名稱、證書所有者的公開密鑰、證書發布者的數字簽名、證書的有效期及證書的序列號等。證書發布者一般稱為證書管理機構（CA），它是貿易各方都信賴的機構。數字證書能夠起到標識貿易方的作用，是目前EC廣泛採用的技術之一。微軟公司的InternetExplorer 3.0和網景公司的Navigator 3.0都提供了數字證書的功能來作為身份鑒別的手段。

③密鑰管理相關的標准規范

目前國際有關的標准化機構都著手制定關於密鑰管理的技術標准規范。ISO與IEC下屬的信息技術委員會（JTC1）已起草了關於密鑰管理的國際標准規范。該規范主要由3部分組成：第1部分是密鑰管理框架；第2部分是採用對稱技術的機制；第3部分是採用非對稱技術的機制。該規范現已進入到國際標准草案表決階段，並將很快成為正式的國際標准。

（3）數字簽名

數字簽名是公開密鑰加密技術的另一類應用。它的主要方式是：報文的發送方從報文文本中生成一個128位的散列值（或報文摘要）。發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名。然後，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值（或報文摘要），接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同，那麼接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。

ISO/IEC JTC1已在起草有關的國際標准規范。該標準的初步題目是「信息技術安全技術帶附件的數字簽名方案」，它由概述和基於身份的機制兩部分構成。

（4） Internet電子郵件的安全協議

電子郵件是Internet上主要的信息傳輸手段，也是EC應用的主要途徑之一。但它並不具備很強的安全防範措施。Internet工程任務組（IEFT）為擴充電子郵件的安全性能已起草了相關的規范。

①PEM

PEM是增強Internet電子郵件隱秘性的標准草案，它在Internet電子郵件的標准格式上增加了加密、鑒別和密鑰管理的功能，允許使用公開密鑰和專用密鑰的加密方式，並能夠支持多種加密工具。對於每個電子郵件報文可以在報文頭中規定特定的加密演算法、數字鑒別演算法、散列功能等安全措施。PEM是通過Internet傳輸安全性商務郵件的非正式標准。有關它的詳細內容可參閱Internet工程任務組公布的RFC 1421、RFC 1422、RFC143 和RFC 1424等4個文件。PEM有可能被S/MIME和PEM-MIME規范所取代。

② S/MIME

S/MIME（安全的多功能Internet電子郵件擴充）是在RFC1521所描述的多功能Internet電子郵件擴充報文基礎上添加數字簽名和加密技術的一種協議。MIME是正式的Internet電子郵件擴充標准格式，但它未提供任何的安全服務功能。S/MIME的目的是在MIME上定義安全服務措施的實施方式。S/MIME已成為產界業廣泛認可的協議，如微軟公司、Netscape公司、Novll公司、Lotus公司等都支持該協議。

③PEM-MIME（MOSS）

MOSS（MIME對象安全服務）是將PEM和MIME兩者的特性進行了結合。

（5） Internet主要的安全協議

① SSL

SSL（安全槽層）協議是由Netscape公司研究制定的安全協議，該協議向基於TCP/IP的客戶/伺服器應用程序提供了客戶端和伺服器的鑒別、數據完整性及信息機密性等安全措施。該協議通過在應用程序進行數據交換前交換SSL初始握手信息來實現有關安全特性的審查。在SSL握手信息中採用了DES、MD5等加密技術來實現機密性和數據完整性，並採用X.509的數字證書實現鑒別。該協議已成為事實上的工業標准，並被廣泛應用於Internet和Intranet的伺服器產品和客戶端產品中。如Netscape公司、微軟公司、IBM公司等領導Internet/Intrnet 網路產品的公司已在使用該協議。

此外，微軟公司和Visa機構也共同研究制定了一種類似於SSL的協議，這就是PCT（專用通信技術）。該協議只是對SSL進行少量的改進。

②S-HTTP

S-HTTP（安全的超文本傳輸協議）是對HTTP擴充安全特性、增加了報文的安全性，它是基於SSL技術的。該協議向WWW的應用提供完整性、鑒別、不可抵賴性及機密性等安全措施。目前，該協議正由Internet工程任務組起草RFC草案。

（6）UN/EDIFACT的安全

EDI是EC最重要的組成部分，是國際上廣泛採用的自動交換和處理商業信息和管理信息的技術。UN/EDIFACT報文是唯一的國際通用的EDI標准。利用Internet進行EDI已成為人們日益關注的領域，保證EDI的安全成為主要解決的問題。聯合國下屬的專門從事UN/EDIFACT標准研製的組織——UN/ECE/WP4（即貿易簡化工作組）於1990年成立了安全聯合工作組（UN-SJWG），來負責研究UN/EDIFACT標准中實施安全的措施。該工作組的工作成果將以ISO的標准形式公布。

在ISO將要發布的ISO 9735（即UN/EDIFACT語法規則）新版本中包括了描述UN/EDIFACT中實施安全措施的5個新部分。它們分別是：第5部分——批式EDI（可靠性、完整性和不可抵賴性）的安全規則；第6部分——安全鑒別和確認報文（AUTACK）；第7部分——批式EDI（機密性）的安全規則；第9部分——安全密鑰和證書管理報告（KEYMAN）；第10部分——互動式EDI的安全規則。

UN/EDIFACT的安全措施主要是通過集成式和分離式兩種途徑來實現。集成式的途徑是通過在UN/EDIFACT報文結構中使用可選擇的安全頭段和安全尾段來保證報文內容的完整性、報文來源的鑒別和不可抵賴性；而分離式途徑則是通過發送3種特殊的 UN/EDIFACT報文（即AU TCK、KEYMAN和CIPHER來達到保障安全的目的。

（7）安全電子交易規范（SET）

SET向基於信用卡進行電子化交易的應用提供了實現安全措施的規則。它是由Visa國際組織和萬事達組織共同制定的一個能保證通過開放網路（包括Internet）進行安全資金支付的技術標准。參與該標准研究的還有微軟公司、IBM公司、Netscape公司、RSA公司等。SET主要由3個文件組成，分別是SET業務描述、SET程序員指南和SET協議描述。SET 1.0版已經公布並可應用於任何銀行支付服務。

⑵ 如何保證電子商務的安全問題的探討

電子商務安全技術的分析與研究

[摘 要] 本文首先介紹了電子商務安全的現狀，分析了存在的主要問題，然後從網路安全技術、數據加密技術、用戶認證技術等方面介紹了主要的電子安全技術，並提出了一個合理的電子商務安全體系架構。

[關鍵詞] 電子商務電子支付 安全技術

一、引言
隨著網路技術和信息技術的飛速發展，電子商務得到了越來越廣泛的應用，越來越多的企業和個人用戶依賴於電子商務的快捷、高效。它的出現不僅為Internet的發展壯大提供了一個新的契機，也給商業界注入了巨大的能量。但電子商務是以計算機網路為基礎載體的，大量重要的身份信息、會計信息、交易信息都需要在網上進行傳遞，在這樣的情況下，安全性問題成為首要問題。

二、目前電子商務存在的安全性問題
1.網路協議安全性問題：目前，TCP/IP協議是應用最廣泛的網路協議，但由於TCP/IP本身的開放性特點，企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的，惡意攻擊者很容易對某個電子商務網站展開數據包攔截，甚至對數據包進行修改和假冒。
2.用戶信息安全性問題：目前最主要的電子商務形式是基於B/S(Browser/Server)結構的電子商務網站，用戶使用瀏覽器登錄網路進行交易，由於用戶在登錄時使用的可能是公共計算機，如網吧、辦公室的計算機等情況，那麼如果這些計算機中有惡意木馬程序或病毒，這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。
3.電子商務網站的安全性問題：有些企業建立的電子商務網站本身在設計製作時就會有一些安全隱患，伺服器操作系統本身也會有漏洞，不法攻擊者如果進入電子商務網站，大量用戶信息及交易信息將被竊取，給企業和用戶造成難以估量的損失。

三、電子商務安全性要求
1.服務的有效性要求：電子商務系統應能防止服務失敗情況的發生，預防由於網路故障和病毒發作等因素產生的系統停止服務等情況，保證交易數據能准確快速的傳送。
2.交易信息的保密性要求：電子商務系統應對用戶所傳送的信息進行有效的加密，防止因信息被截取破譯，同時要防止信息被越權訪問。
3.數據完整性要求：數字完整性是指在數據處理過程中，原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正，交易的文件是不可被修改的，否則必然會損害一方的商業利益。
4.身份認證的要求：電子商務系統應提供安全有效的身份認證機制，確保交易雙方的信息都是合法有效的，以免發生交易糾紛時提供法律依據。

⑶ 電子商務安全的管理方法有哪些

電子商務是利用各種電子化手段進行的商務活動,其價值的實現主要依託於網路,尤其是互聯網,它已經成為互聯網應用的一個必然趨勢和金融商貿的主要模式之一.如何建立一個安全的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務必須直面的一個問題.
由於電子商務的重要技術特徵是利用網路來傳輸和處理商業信息,因此,電子商務安全主要包括兩個方面:網路安全和商務安全.而這些安全的實現又依託於一些具體的安全技術,遵循相關安全協議.
1 網路安全問題
網路安全主要是指計算機和網路本身可能存在的安全問題,也就是要保障電子商務平台的可用性和安全性.網路安全是電子商務的基礎,其問題一般表現為:
1.1 計算機本身潛在的安全隱患帶來的網路安全問題
計算機使用的是未經過相關的網路安全配置的操作系統,不論是什麼操作系統,在預設安裝的條件下都會存在一些安全問題,而僅僅將操作系統按預設安裝後,再配上很長的密碼就認為安全的想法是不可靠的.因為計算機本身存在的軟體漏洞和"後門"往往是網路攻擊的首選目標.
1.2 入侵者風險降低獲利升高帶來的刺激引發的網路安全問題
由於網路的全球性,開放性,共享性的發展,使得任何人都可以自由地接入互聯網,而這其中也包括了黑客,入侵者和病毒製造者.他們採用的攻擊方法越來越多,對電子商務的威脅也顯得越來越明顯.相對而言,襲擊者本身的風險卻非常小,甚至可以在襲擊後很快就消失得無影無蹤,使對方幾乎沒有實行報復打擊的可能,這使他們的活動更加猖獗.美國的"雅虎"和"亞馬遜"曾受到攻擊的事件就說明了這一點.
1.3 安全設備使用不當帶來的網路安全問題
雖然絕大多數網站採用了網路安全設備,有的甚至還耗費巨資,但由於安全設備本身因素或使用問題,這些設備並沒有起到應有的或期望的作用.很多安全廠商的產品對配置人員的技術背景要求很高,往往超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確地安裝,配置,一旦系統改動,需要改動相關安全設備的設置時,很容易產生許多安全問題.而通常意義上的網路管理者往往無法勝任這樣的工作.
因此在實施網路安全防範措施時應做到:首先要加強主機本身的安全,做好安全配置;及時安裝安全補丁程序,減少漏洞;安裝防病毒軟體和軟體防火牆,加強內部網的整體防病毒措施;使用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;利用相應的數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網路上傳輸的敏感信息要進行一定強度的數據加密;建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊.同時充分利用已經公布的有關交易安全和計算機安全的法律法規為電子商務交易護航.再者,面對普通網路管理員的技術水平,在網路的建設和維護中可採用聯合開發維護的方式,通過前期的建設和維護不斷提高和完善自身團隊的技術水平,使其在成長中逐步勝任企業對網路安全的要求.
網路管理者在思想上高度重視安全問題也是相當有必要的.技術的產生一般相對於人們的需求有一定的滯後性,而建立和實施嚴密完善的網路安全制度和策略往往可以代替暫時無法實現的技術,畢竟這才是真正實現網路安全的基礎.
一個全方位的計算機網路安全體系結構通常包含網路的物理安全,訪問控制安全,系統安全,用戶安全,信息加密,安全傳輸和管理安全.這一切的實現依賴於各種先進的主機安全技術,身份認證技術,訪問控制技術,密碼技術,防火牆技術,安全審計技術,安全管理技術,系統漏洞檢測技術,黑客跟蹤技術.隨著安全核心系統,VPN安全隧道,身份認證,網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術的應用,從不同層面加強了計算機網路的整體安全性,漸漸在攻擊者和受保護的資源間建立了多道嚴密的安全防線,增加了惡意入侵的難度.
為了保證電子商務活動的順利進行,必須有安全完善的網路體系為其提供穩定可靠,強有力的支撐.
2 商務安全問題
商務安全指商務交易在網路媒介中體現出來的安全問題,也就是要實現電子商務信息的保密性,完整性,真實性和不可抵賴性.
在早期的電子交易中,曾採用過一些簡單的安全措施.例如將網上交易中最關鍵的數據如信用卡號碼及成交數額等用電話告知,以防泄密,網上交易後再用其他方式對交易做確認,以保證其真實性和不可抵賴性.這些方法不僅操作不便,而且有一定的局限性,也不能實現其真正的安全性.
2.1 商務安全中普遍存在的幾種安全隱患
2.1.1 竊取信息
信息在傳輸過程中未採用相應的加密措施或加密強度不夠,導致數據信息在網路上以明文或近乎明文的形式傳送.入侵者在數據包經過的設備或線路上採用截獲方法截獲正在傳送的信息,通過對竊取數據參數的分析比對,找到信息的格式和規律,進而得到傳輸信息的內容,導致消費者消費信息,賬號密碼和企業商業機密等信息的外泄.
2.1.2 篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術方法和手段對網路傳輸中的信息進行截獲修改再發至原先指定目的地,從而破壞信息的真實性.入侵者通過改變信息流的次序,更改信息的內容,刪除信息的某些部分,甚至在信息中插入一些附加內容,使接收方做出錯誤的判斷與決策.
2.1.3 信息假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以進一步冒充合法用戶獲取和發送信息,而遠端接受方或發送方通常不易分辨.常見的方式有偽造用戶和商戶的收定貨單據,套取或修改相關程序的使用許可權等.
2.1.4 信息破壞
由於攻擊者已侵入網路,已獲得對網路中信息的修改許可權,如其對網路中現有機要信息進行修改乃至於刪除,其後果是非常嚴重的.
2.2 商務安全的要求
2.2.1 信息的保密性
交易中的商務信息都需要遵循一定的保密規則.因為其信息往往代表著國家,企業和個人的商業機密.在以往傳統的紙面貿易中採用郵寄封裝或通過可靠的通信渠道傳送商業信息來達到保密的目的和要求.而電子商務是建立在一個較為開放的互聯網路環境上的,它所依託的網路本身也就是由於開放式互聯形成的市場,才贏得了電子商務,因此在這一新的支撐環境下,勢必要用相應的技術和手段來延續和改進信息的保密性.一般用密碼技術來實現.
2.2.2 信息的完整性
不可否認電子商務的出現以計算機代替了人們大多數復雜的勞動,也以信息系統的形式整合化簡了企業貿易中的各個環節,但網路的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整,統一出現了問題.由於數據輸入時的意外差錯(如計算機自動處理過程中死機,停電等),可能導致貿易各方信息的不一致.此外,數據傳輸過程中人為的或自然的信息丟失(如數據包丟失),信息重復或信息傳送的次序差異(如網路堵塞重發)也會導致貿易各方信息的不同.而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略.因此保持貿易各方信息的完整性是電子商務應用必備的基礎.完整性一般可通過提取信息消息摘要的方式來獲得.
2.2.3 信息的不可抵賴性
在交易中會出現交易抵賴的現象,如信息發送方在發送操作完成後否認曾經發送過該信息,或與之相反,接受方收到信息後並不承認曾經收到過該條消息.因此如何確定交易中的任何一方在交易過程中所收到的交易信息正是自己的合作對象發出的,而對方本身也沒有被假冒,是電子商務活動和諧順利進行的保證.信息的保證可以通過對發送的消息進行數字簽名來獲取.身份的確定一般都採用證書機構CA和證書的方法來實現.讓素昧平生,相隔千里的雙方成為合作夥伴畢竟不是一件容易的事情.
當然,在電子商務活動中還有許多要求,比如交易信息的時效界定問題,交易一旦達成後有無撤消和修改的可能等.相信在電子商務的發展中必將涌現各種技術和各項法律法規,規范人們的需求並幫助其實現,以保證電子商務交易的嚴肅性和公正性.
3 電子商務的安全技術
3.1 加密技術
加密技術是保證電子商務安全的重要手段,為保證電子商務安全使用加密技術對敏感的信息進行加密,保證電子商務的保密性,完整性,真實性和非否認服務.
3.1.1 加密技術的現狀
如同許多IT技術一樣,加密技術層出不窮,為人們提供了很多的選擇餘地,但與此同時也帶來了一個問題——兼容性,不同的企業可能會採用各自不同的標准.
另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制.目前,美國的企業一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的演算法出口.雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多.美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾.目前,我國由上海市電子商務安全證書管理中心推出的128位SSL演算法,彌補了國內的這一空缺,也為我國電子商務安全帶來了廣闊的前景.
3.1.2 常用的加密技術
對稱密鑰密碼演算法:對稱密碼體制由傳統簡單換位代替密碼發展而成,加密模式上可分為序列密碼和分組密碼兩類.
不對稱型加密演算法:也稱公用密鑰演算法,其特點是有二個密鑰即公用密鑰和私有密鑰,兩者必須成對使用才能完成加密和解密的全過程.本技術特別適用於分布式系統中的數據加密,在網路中被廣泛應用.其中公用密鑰公開,為數據源對數據加密使用,而用於解密的相應私有密鑰則由數據的接受方保管.
不可逆加密演算法:其特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有輸入同樣的數據經過同一不可逆加密演算法的比對才能得到相同的加密數據.因為其沒有密鑰所以不存在密鑰保管和分發問題,但由於它的加密計算工作量較大,所以通常只在數據量有限的情況下,例如計算機系統中的口令信息的加密.
3.1.3 電子商務領域常用的加密技術
數字摘要:又稱安全Hash編碼法.該編碼法採用單向Hash 函數將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱為數字指紋,具有固定的長度,並且不同的明文摘要其密文結果是不一樣的,而同樣的明文其摘要保持一致.
數字簽名:數字簽名是將數字摘要,公用密鑰演算法兩種加密方法結合使用.它的主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要).發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名,然後這個數字簽名將作為報文的附件和報文一起發送給報文的接收方.報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密.如果兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的.通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性,有效地防止了簽名的否認和非正當簽名者的假冒.
數字時間戳:是對交易文件的時間信息所採取的安全措施.該網上安全服務項目,由專門的機構提供.時間戳是一個經加密後形成的憑證文檔,它包括:需加時間戳的文件的摘要,數字時間戳服務收到文件的日期和時間,數字時間戳服務的數字簽名.
數字證書:數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網路資源的訪問許可權,主要有個人憑證,企業(伺服器)憑證,軟體(開發者)憑證三種.
3.2 身份認證技術
在網路上通過一個具有權威性和公正性的第三方機構——認證中心,將申請用戶的標識信息(如姓名,身份證號等)與他的公鑰捆綁在一起,用於在網路上驗證確定其用戶身份.前面所提到的數字時間戳服務和數字證書的發放,也都是由這個認證中心來完成的.
3.3 支付網關技術
支付網關,通常位於公網和傳統的銀行網路之間(或者終端和收費系統之間),其主要功能為:將公網傳來的數據包解密,並按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部傳回來的響應消息,將數據轉換為公網傳送的數據格式,並對其進行加密.支付網關技術主要完成通信,協議轉換和數據加解密功能,並且可以保護銀行內部網路.此外,支付網關還具有密鑰保護和證書管理等其它功能(有些內部使用網關還支持存儲和列印數據等擴展功能).
4 與電子商務安全有關的協議技術
4.1 SSL協議(Secure Sockets Layer)
SSL協議也叫安全套接層協議,面向連接的協議,是現在使用的主要協議之一,但當初並非為電子商務而設計.該協議使用公開密鑰體制和X.509數字證書技術來保護信息傳輸的機密性和完整性.SSL協議在應用層收發數據前,協商加密演算法,連接密鑰並認證通信雙方,從而為應用層提供了安全的傳輸通道,在該通道上可透明載入任何高層應用協議(如HTTP,FTP,TELNET等)以保證應用層數據傳輸的安全性.由於其獨立於應用層協議,在電子交易中常被用來安全傳送信用卡號碼,但由於它是個面向連接的協議,只適合於點對點之間的信息傳輸,即只能提供兩方的認證,而無法滿足現今主流的加入了認證方的三方協作式商務模式,因此在保證信息的不可抵賴性上存在著缺陷.
4.2 SET協議(Secure Electronic Transaction)
SET協議也叫安全電子交易,對基於信用卡進行電子化交易的應用提供了實現安全措施的規則,與SSL協議相比較,做了些改進.在商務安全問題中,往往持卡人希望在交易中對自己的交易信息保密,使之不會被人竊取,商家希望客戶的定單真實有效,並且在交易過程中,交易各方都希望驗明對方的身份,以防止被欺騙.針對這種情況,Visa和MasterCard兩大信用卡組織以及微軟等公司共同制定了SET協議,一個能保證通過開放網路(包括Internet)進行安全資金支付的技術標准.它採用公鑰密碼體制和X.509數字證書標准,主要應用於保障網上購物信息的安全性.由於SET 提供了消費者,商家和銀行之間的認證,彌補了SSL的不足,確保了交易數據的安全性,完整性,可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為目前公認的信用卡/借記卡網上交易的國際安全標准.
除此之外還有安全超文本傳輸協議(SHTTP),安全交易技術協議(STT)等.協議為電子商務提供了規范.
5 結語
安全是電子商務的核心和靈魂.電子商務對網路安全與商務安全的雙重要求,使網路安全與商務安全密不可分.沒有計算機網路安全作為基礎,商務交易安全猶如空中樓閣,無從談起;沒有商務安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求.而電子商務相應的實現技術和各種協議正是安全得以實現的保證.

⑷ 電子商務安全方面的措施有哪些

適當設置防護措施可以降低或防止來自現實的威脅。在通信安全、計算機安全、物理安全、人事安全、管理安全和媒體安全方面均可採取一定的措施，整個系統的安全取決於系統中最薄弱環節的安全水平，這就需要從系統設計上進行全面的考慮，折中選取。

電子商務中的安全措施包括有下述幾類：

(1)保證交易雙方身份的真實性：常用的處理技術是身份認證，依賴某個可信賴的機構(CA認證中心)發放證書，並以此識別對方。目的是保證身份的精確性，分辨參與者身份的真偽，防止偽裝攻擊。

(2)保證信息的保密性：保護信息不被泄露或被披露給未經授權的人或組織，常用的處理技術是數據加密和解密，其安全性依賴於使用的演算法和密鑰長度。常見的加密方法有對稱式密鑰加密技術(如DES演算法)和公開密鑰加密技術(如RSA演算法)。

(3)保證信息的完整性：常用數據雜湊等技術來實現。通過散列演算法來保護數據不被未授權者(非法用戶)建立、嵌入、刪除、篡改、重放。典型的散列演算法為美國國家安全局開發的單向散列演算法之一。

(4)保證信息的真實性：常用的處理手段是數字簽名技術。目的是為了解決通信雙方相互之間可能的欺詐，如發送用戶對他所發送信息的否認、接收用戶對他已收到信息的否認等，而不是對付未知的攻擊者，其基礎是公開密鑰加密技術。目前，可用的數字簽名演算法較多，如RSA數字簽名、ELGamal數字簽名等。

(5)保證信息的不可否認性：通常要求引入認證中心(CA)進行管理，由CA發放密鑰，傳輸的單證及其簽名的備份發至CA保存，作為可能爭議的仲裁依據。

(6)保證存儲信息的安全性：規范內部管理，使用訪問控制許可權和日誌，以及敏感信息的加密存儲等。當使用WWW伺服器支持電子商務活動時，應注意數據的備份和恢復，並採用防火牆技術保護內部網路的安全性。

⑸ 電子商務信息安全的要求中哪些需要技術來保障

隨著現代生活的需要，人們通過互聯網進行的電子商務，成為各界人士關注的焦點，由於互聯網的開放性和其他各種各樣因素的影響，電子商務信息安全就成為電子商務諸多技術中非常重要的環節。因此，電子商務信息安全就要求技術來保障，電子商務信息安全保障主要包括機密性、完整性、認證性、不可抵賴性和有效性五個方面。

五、有效性。電子商務以電子形式取代了紙張，那麼如何保證這種電子形式的貿易信息的有效性則是開展電子商務的前提。電子商務作為貿易的一種形式，其信息的有效性將直接關繫到個人、企業或國家的經濟利益和聲譽。因此，要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。

當前，計算機和互聯網技術迅猛發展，信息的處理和傳遞突破了時間、空間和地域的限制。互聯網路的快速發展，不僅僅加速了經濟的全球化，同時也開辟了新的商務方式--電子商務，對傳統的商業交易方式和規則產生了革命性的影響。因此，隨著信息技術的不斷發展，日益嚴重的網路安全威脅，人們對電子交易安全的擔憂也已經嚴重阻礙了電子商務的發展。因此,電子商務的信息安全問題日益必將成為人們關注的焦點。

⑹ 安全在電子商務中有什麼地位和作用

隨著信息技術、網路技術和Internet的飛速發展，電子商務成為越來越多的人關注的焦點。電子商務使得人們可以在網上通過建立網站樹立自己的形象，發布自己的產品信息，宣傳產品廣告，提供售後服務，甚至可以提供網上交談、電子合同簽訂、電子交易和資金結算等。但是，事物的發展都存在兩面性，一方面電子商務給我們帶來了便利，同時在進行電子商務活動時，需要在Internet上傳輸消費者和商家的一些機密信息，如用戶信用卡、商家用戶信息和訂購信息等，而這些信息一直是網路非法入侵者或黑客的攻擊目標。如何保證電子商務安全，如何對敏感信息和個人信息提供機密性保障、認證交易雙方的合法身份以及數據的完整性和交易的不可否認性，已經成為電子商務發展的瓶頸，對這些問題的擔心也是導致很多人不願意進行網上購物和支付的主要要原因。
所以在當代電子商務盛行的時代，確寶電子商務的安全是非常有必要的。

⑺ 電子商務安全管理答案

一、單項選擇題（每題分，共30分）
1.按密鑰類型劃分，加密演算法分為對稱密鑰加密演算法和非對稱密鑰加密演算法。
2.電子商務的安全風險主要來自於 。
A．信息傳輸風險 B. 信用風險 C. 管理風險 D.以上都是 3.對信息傳遞的攻擊主要表現為 。
A. 中斷（干擾） B. 截取（竊聽） C. 篡改 D. 偽造 E. 以上都是
4. 攻擊破壞信息的機密性。
A. 中斷（干擾） B. 截取（竊聽） C. 篡改 D. 偽造 5. 攻擊破壞信息的完整性。
A. 中斷（干擾） B. 截取（竊聽） C. 篡改 D. 偽造 6. 攻擊破壞信息的可用性。
A. 中斷（干擾） B. 截取（竊聽） C. 篡改 D. 偽造 7. 攻擊破壞信息的真實性。
A. 中斷（干擾） B. 截取（竊聽） C. 篡改 D. 偽造 8.現代加密技術的演算法是 。 A. 公開的 B. 保密的
C. 對用戶保密 D. 只有加密系統知道。 9.對稱密鑰演算法加密和解密使用 。
A．一把密鑰 B. 密鑰對，一個加密則用另一個解密 C. 相同密鑰或實質相同的密鑰 D. 兩把密鑰 10. 非對稱密鑰演算法加密和解密使用 。
A．一把密鑰 B. 密鑰對，一個加密則用另一個解密 C. 相同密鑰或實質相同的密鑰 D. 兩把密鑰 11.DES是 演算法。 A. 對稱密鑰加密 B. 非對稱密鑰加密 C. 公開密鑰加密 D. 私有密鑰加密 12.RAS是 演算法。 A. 對稱密鑰加密 B. 非對稱密鑰加密 C. 單一密鑰加密 D. 私有密鑰加密
13.DES演算法是分組加密演算法，分組長度為64bit，密鑰長度為 。 A. 56bit B. 64bit C. 128bit D. 64Byte
14.DES演算法是分組加密演算法，分組長度為 。

var script = document.createElement('script'); script.src = 'http://static.pay..com/resource/chuan/ns.js'; document.body.appendChild(script);

void function(e,t){for(var n=t.getElementsByTagName("img"),a=+new Date,i=[],o=function(){this.removeEventListener&&this.removeEventListener("load",o,!1),i.push({img:this,time:+new Date})},s=0;s< n.length;s++)!function(){var e=n[s];e.addEventListener?!e.complete&&e.addEventListener("load",o,!1):e.attachEvent&&e.attachEvent("onreadystatechange",function(){"complete"==e.readyState&&o.call(e,o)})}();alog("speed.set",{fsItems:i,fs:a})}(window,document);

A. 56bit B. 64bit C. 128bit D. 64Byte
15.RAS演算法加密模式用 ① 加密，用 ② 解密。 A. 發送方私鑰 B. 發送方公鑰 C. 接收方私鑰 D. 接收方公鑰
16. RAS演算法驗證模式用 ① 加密，用 ② 解密。 A. 發送方私鑰 B. 發送方公鑰 C. 接收方私鑰 D. 接收方公鑰
17.多層密鑰系統中密鑰系統的核心是 。
A. 工作密鑰 B. 密鑰加密密鑰 C. 主密鑰 D. 公開密鑰。 18.多層密鑰系統中對數據進行加密解密的是 。
A. 工作密鑰 B. 密鑰加密密鑰 C. 主密鑰 D. 公開密鑰。 19.多層密鑰系統中對下層密鑰加密的是 。
A. 工作密鑰 B. 密鑰加密密鑰 C. 主密鑰 D. 公開密鑰。 20.密鑰產生的方法有 ① 和 ② 。 A．順序產生 B. 隨機產生
C. 密鑰使用系統產生 D. 密鑰管理中心系統產生。 21.目前最常用的數字證書格式是 。
A. X.509 v3 B. X.509 v2 C. X.509 v1 D. X.500
22.認證的類型有消息認證和身份認證，消息認證的目的是證實消息的 。
A．來源 B. 完整性 C. 含義 D. 以上都是
23. 認證的類型有消息認證和身份認證，身份認證的目的是證實通信方的 。
A. 訪問目的 B.身份 C. 現實中的身份 D. 身份證 24.MD5對於任意長度的報文都輸出 bit的摘要。 A. 160 B. 128 C. 64 D. 256
25. SHA1對於任意長度的報文都輸出 bit的摘要。 A. 160 B. 128 C. 64 D. 256
26.口令易受重放攻擊，目前的防範措施是 。 A. 保護好密碼 B. 不泄露真實身份 C. 加密 D. 實時驗證碼
27.防止口令在傳輸過程中被截獲泄露密碼的措施是 。 A. 加密 B. 數字簽名 C. 驗證碼 D. 傳輸摘要
28.PMI是指 。

var cpro_psid ="u2572954"; var cpro_pswidth =966; var cpro_psheight =120;

A. 公鑰基礎設施 B. 公鑰管理中心 C. 私鑰管理中心 D. 特權管理基礎設施 29.數字證書撤銷表的作用是 。 A. 收回證書 B. 宣布證書作廢 C. 宣布證書過期 D. 私鑰泄露 30.撤銷證書的原因有 。 A. 私鑰泄露 B. 持有者身份變動 C. 證書非正常使用 D.以上都是 31.實現訪問控制的工具有 。 A. 訪問控制矩陣 B. 訪問控制列表ACL C. 訪問能力表CL D. 以上都是 32.訪問控制策略有 。
A. 基於身份的策略 B. 基於規則的策略 C. 基於角色的策略 D. 以上都是
33.SSL協議工作在TCP/IP協議的 。
A. 應用層 B. 傳輸層 C. 網路層 D. 數據鏈路層 34. SET協議工作在TCP/IP協議的 。
A. 應用層 B. 傳輸層 C. 網路層 D. 數據鏈路層 35. IPSec協議工作在TCP/IP協議的 。
A. 應用層 B. 傳輸層 C. 網路層 D. 數據鏈路層 36.SET協議支持的電子商務模式是 。 A. B2B B. C2C C. B2C D. 都支持 37.VPN的實現需要 支持。
A. 交換機 B. 路由器 C. 伺服器 D. 網關 38. 協議不能實現VPN功能
A. SSL B. IPSec C. SHTTP D. L2TP 39. 不是防火牆應提供的功能。
A. NAT B. VPN C. 內容過濾 D. 防範病毒 40. 不是網路操作系統。
A. Windows Server 2003 B. Windows 7 C. UNIX D. Linux
41.蠕蟲不具有病毒的 。
A. 寄生性 B. 自我繁殖能力 C. 自我傳播能力 D. 潛伏性
42.木馬的主要能力是 。

http://wenku..com/link?url=4VD_

⑻ 開展電子商務必須保證信息技術基礎一步到位嗎

電子商務涉及的商務知識自然少不了，但是電子商務對於網路知識面的要求就是全面的，硬體有了，軟體就更加重要了，因此使用這些軟體的操作方法就尤為重要，因此信息技術基礎是必不可少的。

⑼ 如何保障電子商務安全

這個問題太寬泛了吧~
我只能給你個大概
首先基礎的文件加密
一，對自己的專本地文件進屬行加密解密。
二，對郵件進行加密和解密。（例如用PGP
交易安全管理
一，要注意交易者身份的確認
二，數字簽名等的使用
三，若是企業，肯定還需要制定交易安全管理制度
1人員管理制度2保密制度3跟蹤，審計，稽核制4網路系統的日常維護制度5病毒防範制度6應急措施
了解一下電子商務的安全需求吧
1交易實體身份真實性需求2信息保密性需求3信息完整性4交易信息認可的需求5訪問控制的需求6信息有效性

要注意電子商務安全隱患涉及許多方面，有人為因素，有設備因素，有軟體因素等
1互聯網問題。當某個用戶不採取任何安全措施是，其他用戶也可以很方便的訪問他的計算機
2操作系統的安全
3應用軟體安全4通信傳輸協議安全5網路安全管理

還必需的是掌握安全工具的使用~~~

以上只是一些理論常識,具體需求具體對策

⑽ 如何保障電子商務的安全

一、提高服務的安全性
首先，應用防火牆技術。所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合。防火牆是近期發展起來的一種保護計算機網路安全的技術性措施，它是一個用以阻止網路中的黑客訪問某個機構網路的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路，以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型：包過濾防火牆、代理防火牆、雙穴主機防火牆。其次，應用網關技術。應用級網關是在網路應用層上建立協議過濾和轉發功能。它針對特定的網路應用服務協議使用指定的數據過濾邏輯，並在過濾的同時，對數據包進行必要的分析、登記和統計，形成報告。應用網關對某些易於登錄和控制所有輸入輸出的通訊環境給予嚴格的控制，以防有價值的程序和數據被竊取。

二、數據加密技術
加密技術和身份認證技術是電子商務交易安全的基礎技術，加密技術用於對信息的加密，保證信息的機密性。數字簽名和數字信封技術應用了加密技術，建立在公共密鑰體制基礎上。數字簽名技術對信息進行數字簽名，保證信息的完整性和不可抵賴性。由於交易信息在傳輸過程中有可能遭到侵犯者的竊聽而失去機密性，加密技術是電子商務採取的主要保密安全措施，是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。加密包括兩個元素：演算法和密鑰。密鑰和演算法對加密同等重要。密鑰加密技術的密碼體制分為對稱密鑰體制和公共密鑰體制兩種。相應地，對數據加密的技術分為兩類，即對稱加密和非對稱加密。對稱加密以數據加密標准演算法為典型代表，非對稱加密通常以演算法為代表。如果不採用加密技術，則會影響電子商務的發展，或者成為發展的瓶頸。

三、完善管理機制
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。電子商務的安全運行必須從多方面入手，僅在技術角度防範是遠遠不夠的。安全方案的實施，離不開管理。信息安全意識的加強和培育是實現安全管理的必備條件。它的基本原則是：要求發生在系統中的行為都是有許可權的行為，並且符合程序控制的要求。從管理上完善機制，加強其有效性，往往可以解決許多技術層次解決不了的問題。