電子商務網站系統安全技術

① 電子商務系統安全的概念

由於電子商務是來在開放的網上進行的貿自易，大量的商務信息計算機上存放，傳輸，從而形成信息傳輸風險 ，交易信用風險，管理方面的風險，法律方面的風險等各種風險，為了對付這種風險，從而形成了電子商務安全體系。

電子商務安全要求數據傳輸的安全性，對數據傳輸的安全性需求即是保證在公網上傳送的數據不被第三方竊取。

對數據的安全性保護是通過採用數據加密來實現的，數字信封技術是結合秘密密鑰加密和公開密鑰加密技術實現的保證數據安全性的技術。

(1)電子商務網站系統安全技術擴展閱讀：

電子商務系統安全系統結構包括以下部分：

基本加密演算法；以基本加密演算法為基礎的CA體系以及數字信封、數字簽名等基本安全技術；以基本加密演算法、安全技術、CA體系為基礎的各種安全應用協議。

以上部分構成了電子商務的安全體系，在此安全體系之上建立電子商務的支付體系和各種業務應用系統。有關基本加密演算法、數字信封、數字簽名以及各種安全協議的實現應符合相關標準的規定。

CA認證體系通常以各種基本加密演算法為基礎，同時採用各種基本安全技術，為上層的安全應用協議提供證書認證功能。

② 電子商務系統有哪些常用安全技術

電子商務安全技術
隨著Internet的發展，電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通 過Internet進行商務活動。電子商務的發展前景十分誘人，而其安全問題也變得越來越突出，如何建立一個安全、便捷的電子商務應用環境，對信息提供足夠的保護，已經成為商家和用戶都十分關心的話題。
電子商務的一個重要技術特徵是利用IT技術來傳輸和處理商業信息。因此，電子商務安全從整體上可分為兩大部分：計算機網路安全和商務交易安全。
* 計算機網路安全的內容包括：計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題，實施網路安全增強方案，以保證計算機網路自身的安全性為目標。
* 商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題，在計算機網路安全的基礎上，如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。
計算機網路安全與商務交易安全實際上是密不可分的，兩者相輔相成，缺一不可。沒有計算機網路安全作為基礎，商務交易安全就猶如空中樓閣，無從談起。沒有商務交易安全保障，即使計算機網路本身再安全，仍然無法達到電子商務所特有的安全要求。
計算機網路安全
1.計算機網路的潛在安全隱患
未進行操作系統相關安全配置
不論採用什麼操作系統，在預設安裝的條件下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統預設安裝後，再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」 是進行網路攻擊的首選目標。
未進行CGI程序代碼審計
如果是通用的CGI問題，防範起來還稍微容易一些，但是對於網站或軟體供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對於電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
拒絕服務（DoS，Denial of Service）攻擊
隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。今年2月美國「雅虎」、「亞馬遜」受攻擊事件就證明了這一點。
安全產品使用不當
雖然不少網站採用了一些網路安全設備，但由於安全產品本身的問題或使用問題，這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超出對普通網管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。
缺少嚴格的網路安全管理制度
網路安全最重要的還是要思想上高度重視，網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。
2.計算機網路安全體系
一個全方位的計算機網路安全體系結構包含網路的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火牆技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術，在攻擊者和受保護的資源間建立多道嚴密的安全防線，極大地增加了惡意攻擊的難度，並增加了審核信息的數量，利用這些審核信息可以跟蹤入侵者。
在實施網路安全防範措施時：
* 首先要加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞；
* 其次要用各種系統漏洞檢測軟體定期對網路系統進行掃描分析，找出可能存在的安全隱患，並及時加以修補；
* 從路由器到用戶各級建立完善的訪問控制措施，安裝防火牆，加強授權管理和認證；
* 利用RAID5等數據存儲技術加強數據備份和恢復措施；
* 對敏感的設備和數據要建立必要的物理或邏輯隔離措施；
* 對在公共網路上傳輸的敏感信息要進行強度的數據加密；
* 安裝防病毒軟體，加強內部網的整體防病毒措施；
* 建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。
網路安全技術是伴隨著網路的誕生而出現的，但直到80年代末才引起關注，90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起了各國計算機安全界的高度重視，計算機網路安全技術也因此出現了日新月異的變化。安全核心系統、VPN安全隧道、身份認證、網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網路的整體安全性。安全核心系統在實現一個完整或較完整的安全體系的同時也能與傳統網路協議保持一致。它以密碼核心系統為基礎，支持不同類型的安全硬體產品，屏蔽安全硬體以變化對上層應用的影響，實現多種網路安全協議，並在此之上提供各種安全的計算機網路應用。
互聯網已經日漸融入到人類社會的各個方面中，網路防護與網路攻擊之間的斗爭也將更加激烈。這就對網路安全技術提出了更高的要求。未來的網路安全技術將會涉及到計算機網路的各個層次中，但圍繞電子商務安全的防護技術將在未來幾年中成為重點，如身份認證、授權檢查、數據安全、通信安全等將對電子商務安全產生決定性影響。
商務交易安全
當許多傳統的商務方式應用在Internet上時，便會帶來許多源於安全方面的問題，如傳統的貸款和借款卡支付/保證方案及數據保護方法、電子數據交換系統、對日常信息安全的管理等。電子商務的大規模使用雖然只有幾年時間，但不少公司都已經推出了相應的軟、硬體產品。由於電子商務的形式多種多樣，涉及的安全問題各不相同，但在Internet上的電子商務交易過程中，最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患：
竊取信息
由於未採用加密措施，數據信息在網路上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。
篡改信息
當入侵者掌握了信息的格式和規律後，通過各種技術手段和方法，將網路上傳送的信息數據在中途修改，然後再發向目的地。這種方法並不新鮮，在路由器或網關上都可以做此類工作。
假冒
由於掌握了數據的格式，並可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。
惡意破壞
由於攻擊者可以接入網路，則可能對網路中的信息進行修改，掌握網上的機要信息，甚至可以潛入網路內部，其後果是非常嚴重的。
因此，電子商務的安全交易主要保證以下四個方面：
信息保密性
交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉，因此在信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
不可否認性
由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
交易的文件是不可被修改的，否則也必然會損害一方的商業利益。因此電子交易文件也要能做到不可修改，以保障商務交易的嚴肅和公正。
電子商務交易中的安全措施
在早期的電子交易中，曾採用過一些簡易的安全措施，包括：
* 部分告知（Partial Order）：即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去，然後再用電話告之，以防泄密。
* 另行確認（Order Confirmation）：即當在網上傳輸交易信息後，再用電子郵件對交易做確認，才認為有效。
此外還有其它一些方法，這些方法均有一定的局限性，且操作麻煩，不能實現真正的安全可靠性。
近年來，針對電子交易安全的要求，IT業界與金融行業一起，推出不少有效的安全交易標准和技術。
主要的協議標准有：
* 安全超文本傳輸協議（S－HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸的安全性。
* 安全套接層協議（SSL）：由Netscape公司提出的安全交易協議，提供加密、認證服務和報文的完整性。SSL被用於Netscape Communicator和Microsoft IE瀏覽器，以完成需要的安全交易操作。
* 安全交易技術協議（STT，Secure Transaction Technology）：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft在Internet Explorer中採用這一技術。
* 安全電子交易協議（SET，Secure Electronic Transaction）
1996年6月，由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標准SET發布公告，並於1997年5月底發布了SET Specification Version 1.0，它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。
SET 2.0預計今年發布，它增加了一些附加的交易要求。這個版本是向後兼容的，因此符合SET 1.0的軟體並不必要跟著升級，除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全，確定應用之互通性，並使全球市場接受。
所有這些安全交易標准中，SET標准以推廣利用信用卡支付網上交易，而廣受各界矚目，它將成為網上交易安全通信協議的工業標准，有望進一步推動Internet電子商務市場。
主要的安全技術有：
虛擬專用網（VPN）
這是用於Internet交易的一種專用網路，它可以在兩個系統之間建立安全的信道（或隧道），用於電子數據交換（EDI）。它與信用卡交易和客戶發送訂單交易不同，因為在VPN中，雙方的數據通信量要大得多，而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術，只要通信的雙方默認即可，沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性，因而能夠保證數據的保密性和可用性。
數字認證
數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性（如一個發票未被修改過），甚至數據媒體的有效性（如錄音、照片等）。隨著商家在電子商務中越來越多地使用加密技術，人們都希望有一個可信的第三方，以便對有關數據進行數字認證。
目前，數字認證一般都通過單向Hash函數來實現，它可以驗證交易雙方數據的完整性，Java JDK1.1也能夠支持幾種單向Hash演算法。另外，S/MIME協議已經有了很大的進展，可以被集成到產品中，以便用戶能夠對通過E�mail發送的信息進行簽名和認證。同時，商家也可以使用PGP（Pretty Good Privacy）技術，它允許利用可信的第三方對密鑰進行控制。可見，數字認證技術將具有廣闊的應用前景，它將直接影響電子商務的發展。
加密技術
保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。現在，一些專用密鑰加密（如3DES、IDEA、RC4和RC5）和公鑰加密（如RSA、SEEK、PGP和EU）可用來保證電子商務的保密性、完整性、真實性和非否認服務。然而，這些技術的廣泛使用卻不是一件容易的事情。
密碼學界有一句名言：加密技術本身都很優秀，但是它們實現起來卻往往很不理想。現在雖然有多種加密標准，但人們真正需要的是針對企業環境開發的標准加密系統。加密技術的多樣化為人們提供了更多的選擇餘地，但也同時帶來了一個兼容性問題，不同的商家可能會採用不同的標准。另外，加密技術向來是由國家控制的，例如SSL的出口受到美國國家安全局（NSA）的限制。目前，美國的商家一般都可以使用128位的SSL，但美國只允許加密密鑰為40位以下的演算法出口。雖然40位的SSL也具有一定的加密強度，但它的安全系數顯然比128位的SSL要低得多。據報載，最近美國加州已經有人成功地破譯了 40位的SSL，這已引起了人們的廣泛關注。美國以外的國家很難真正在電子商務中充分利用SSL，這不能不說是一種遺憾。上海市電子商務安全證書管理中心推出128 位 SSL的演算法，彌補國內的空缺，並採用數字簽名等技術確保電子商務的安全。
電子商務認證中心（CA，Certificate Authority）
實行網上安全支付是順利開展電子商務的前提，建立安全的認證中心（CA）則是電子商務的中心環節。建立CA的目的是加強數字證書和密鑰的管理工作，增強網上交易各方的相互信任，提高網上購物和網上交易的安全，控制交易的風險，從而推動電子商務的發展。
為了推動電子商務的發展，首先是要確定網上參與交易的各方（例如持卡消費戶、商戶、收單銀行的支付網關等）的身份，相應的數字證書（DC： Digital Certificate）就是代表他們身份的，數字證書是由權威的、公正的認證機構管理的。各級認證機構按照根認證中心（Root CA）、品牌認證中心（Brand CA）以及持卡人、商戶或收單銀行（Acquirer）的支付網關認證中心（Holder Card CA，Merchant CA 或 Payment Gateway CA）由上而下按層次結構建立的。
電子商務安全認證中心(CA)的基本功能是：
* 生成和保管符合安全認證協議要求的公共和私有密鑰、數字證書及其數字簽名。
* 對數字證書和數字簽名進行驗證。
* 對數字證書進行管理，重點是證書的撤消管理，同時追求實施自動管理（非手工管理）。
* 建立應用介面，特別是支付介面。CA是否具有支付介面是能否支持電子商務的關鍵。
第一代CA是由SETCO公司（由Visa ＆ MasterCard組建）建立的，以SET協議為基礎，服務於B�C電子商務模式的層次性結構。
由於B�B電子商務模式的發展，要求CA的支付介面能夠兼容支持B�B與B�C的模式，即同時支持網上購物、網上銀行、網上交易與供應鏈管理等職能，要求安全認證協議透明、簡單、成熟（即標准化），這樣就產生了以公鑰基礎設施（PKI）為技術基礎的平面與層次結構混合型的第二代CA體系。
近年來，PKI技術無論在理論上還是應用上以及開發各種配套產品上，都已經走向成熟，以PKI技術為基礎的一系列相應的安全標准已經由Internet特別工作組（IETF）、國際標准化組織（ISO）和國際電信聯盟（ITU）等國際權威機構批准頒發實施。
建立在PKI技術基礎上的第二代安全認證體系與支付應用介面所使用的主要標准有：
由Internet特別工作組頒發的標准：LDAP（輕型目錄訪問協議）、S/MIME（安全電子郵件協議）、TLC（傳輸層安全套接層傳輸協議)、CAT（通用認證技術，Common Authentication Technology）和GSS－API（通用安全服務介面）等。
由國際標准化組織（ISO）或國際電信聯盟（ITU）批准頒發的標准為9594－8/X.509（數字證書格式標准）。
小結
在計算機互聯網路上實現的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統在保證其計算機網路硬體平台和系統軟體平台安全的基礎上，應該還具備以下特點：
* 強大的加密保證
* 使用者和數據的識別和鑒別
* 存儲和加密數據的保密
* 聯網交易和支付的可靠
* 方便的密鑰管理
* 數據的完整、防止抵賴
電子商務對計算機網路安全與商務安全的雙重要求，使電子商務安全的復雜程度比大多數計算機網路更高，因此電子商務安全應作為安全工程，而不是解決方案來實施。
電子商務中的安全防範技術
為了滿足電子商務的安全要求，電子商務系統必須利用安全技術為電子商務活動參與者提供可靠的安全服務，具體可採用的技術如下：
1.數字簽名技術。「數字簽名」是通過密碼技術實現電子交易安全的形象說法,是電子簽名的主要實現形式。它力圖解決互聯網交易面臨的幾個根本問題:數據保密、數據不被篡改、交易方能互相驗證身份、交易發起方對自己的數據不能否認。「數字簽名」是目前電子商務、電子政務中應用最普遍、技術最成熟、可操作性最強的一種電子簽名方法。
它採用了規范化的程序和科學化的方法,用於鑒定簽名人的身份以及對一項電子數據內容的認可。它還能驗證出文件的原文在傳輸過程中有無變動,確保傳輸電子文件的完整性、真實性和不可抵賴性。
2.防火牆技術。防火牆是近期發展起來的一種保護計算機網路安全的技術性措施，它是一個用以阻止網路中的黑客訪問某個機構網路的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路，以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型:包過濾防火牆、代理防火牆、雙穴主機防火牆。
3.入侵檢測系統。入侵檢測系統能夠監視和跟蹤系統、事件、安全記錄和系統日誌,以及網路中的數據包,識別出任何不希望有的活動,在入侵者對系統發生危害前,檢測到入侵攻擊,並利用報警與防護系統進行報警、阻斷等響應。
4.信息加密技術。信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數據提供保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。
5.安全認證技術。安全認證的主要作用是進行信息認證，信息認證的目的就是要確認信息發送者的身份,驗證信息的完整性,即確認信息在傳送或存儲過程中未被篡改過。
6.防病毒系統。病毒在網路中存儲、傳播、感染的途徑多、速度快、方式各異,對網站的危害較大。因此,應利用全方位防病毒產品,實施「層層設防、集中控制、以防為主、防殺結合」的防病毒策略,構建全面的防病毒體系。

參照下這份資料吧，來源網路。

網路安全技術也不是一兩句話能說清楚的

③ 電子商務的安全技術

密碼技術

密碼學（在西歐語文中之源於希臘語kryptós，「隱藏的」，和gráphein，「書寫」）是研究如何隱密地傳遞信息的學科。在現代特別指對信息以及其傳輸的數學性研究，常被認為是數學和計算機科學的分支，和資訊理論也密切相關。著名的密碼學者Ron Rivest解釋道：「密碼學是關於如何在敵人存在的環境中通訊」，自工程學的角度，這相當於密碼學與純數學的異同。密碼學是 信息安全等相關議題，如認證、訪問控制的核心。密碼學的首要目是隱藏信息的涵義，並不是將隱藏信息的存在。密碼學也促進了計算機科學，特別是在於電腦與網路安全所使用的技術，如訪問控制與信息的機密性。密碼學已被應用在日常生活：包括自動櫃員機的晶元卡、電腦使用者存取密碼、電子商務等等。

術語
[編輯本段]
直到現代以前，密碼學幾乎專指加密演算法：將普通信息（明文）轉換成難以理解的資料（密文）的過程；解密演算法則是其相反的過程：由密文轉換回明文；密碼機（cipher或cypher）包含了這兩種演算法，一般加密即同時指稱加密與解密的技術。 密碼機的具體運作由兩部分決定：一個是演算法，另一個是鑰匙。鑰匙是一個用於密碼機演算法的秘密參數，通常只有通訊者擁有。歷史上，鑰匙通常未經認證或完整性測試而被直接使用在密碼機上。

密碼協議（cryptographic protocol）是使用密碼技術的通信協議（communication protocol）。近代密碼學者多認為除了傳統上的加解密演算法，密碼協議也一樣重要，兩者為密碼學研究的兩大課題。在英文中，cryptography和cryptology都可代表密碼學，前者又稱密碼術。但更嚴謹地說，前者（cryptography）指密碼技術的使用，而後者（cryptology）指研究密碼的學科，包含密碼術與密碼分析。密碼分析 （cryptanalysis）是研究如何破解密碼學的學科。但在實際使用中，通常都稱密碼學（英文通常稱cryptography），而不具體區分其含義。

口語上，編碼（code）常意指加密或隱藏信息的各種方法。然而，在密碼學中，編碼有更特定的意義：它意指以碼字（code word）取代特定的明文。例如，以『蘋果派』（apple pie）替換『拂曉攻擊』（attack at dawn）。編碼已經不再被使用在嚴謹的密碼學，它在資訊理論或通訊原理上有更明確的意義。
在漢語口語中，電腦系統或網路使用的個人帳戶口令 （password）也常被以密碼代稱，雖然口令亦屬密碼學研究的范圍，但學術上口令與密碼學中所稱的鑰匙（key）並不相同，即使兩者間常有密切的關連。

現代密碼學
[編輯本段]

現代密碼學大致可被區分為數個領域。 對稱鑰匙密碼學指的是傳送方與接收方都擁有相同的鑰匙。直到1976年這都還是唯一的公開加密法。
現代的研究主要在分組密碼（Block Cipher）與流密碼（Stream Cipher）及其應用。分組密碼在某種意義上是阿伯提的多字元加密法的現代化。分組密碼取用明文的一個區塊和鑰匙，輸出相同大小的密文區塊。由於信息通常比單一區塊還長，因此有了各種方式將連續的區塊編織在一起。 DES和AES是美國聯邦政府核定的分組密碼標准（AES將取代DES）。盡管將從標准上廢除，DES依然很流行（triple-DES變形仍然相當安全），被使用在非常多的應用上，從自動交易機、電子郵件到遠端存取。也有許多其他的區塊加密被發明、釋出，品質與應用上各有不同，其中不乏被破解者。
流密碼，相對於區塊加密，製造一段任意長的鑰匙原料，與明文依位元或字元結合，有點類似一次墊（one-time pad）。輸出的串流根據加密時的內部狀態而定。在一些流密碼上由鑰匙控制狀態的變化。RC4是相當有名的流密碼。
密碼雜湊函數（有時稱作消息摘要函數，雜湊函數又稱散列函數或哈希函數）不一定使用到鑰匙，但和許多重要的密碼演算法相關。它將輸入資料（通常是一整份文件）輸出成較短的固定長度雜湊值，這個過程是單向的，逆向操作難以完成，而且碰撞（兩個不同的輸入產生相同的雜湊值）發生的機率非常小。
信息認證碼或押碼（Message authentication codes, MACs）很類似密碼雜湊函數，除了接收方額外使用秘密鑰匙來認證雜湊值。

公開密鑰密碼體系（Public Key Infranstructures, PKI）
公開密鑰密碼體系，簡稱公鑰密碼體系，又稱非對稱密鑰密碼體系，相對於對稱密鑰密碼體系，最大的特點在於加密和解密使用不同的密鑰。
在對稱密鑰密碼體系中，加密和解密使用相同的密鑰，也許對不同的信息使用不同的密鑰，但都面臨密鑰管理的難題。由於每對通訊方都必須使用異於他組的密鑰，當網路成員的數量增加時，密鑰數量成二次方增加。更尷尬的難題是：當安全的通道不存在於雙方時，如何建立一個共有的密鑰以利安全的通訊？如果有通道可以安全地建立密鑰，何不使用現有的通道。這個『雞生蛋、蛋生雞』的矛盾是長年以來密碼學無法在真實世界應用的阻礙。

1976年， 美國學者Whitfield Diffie與Martin Hellman發表開創性的論文，提出公開密鑰密碼體系的概念：一對不同值但數學相關的密鑰，公開鑰匙（或公鑰, public key）與私密鑰匙（私鑰,private key or secret key）。在公鑰系統中，由公開密鑰推算出配對的私密密鑰於計算上是不可行的。歷史學者David Kahn這樣描述公開密鑰密碼學；「從文藝復興的多字元取代法後最革命性的概念。」在公鑰系統中，公鑰可以隨意流傳，但私鑰只有該人擁有。典型的用法是，其他人用公鑰來加密給該接受者，接受者使用自己的私鑰解密。Diffie與Hellman也展示了如何利用公開鑰匙密碼學來達成Diffie-Hellman鑰匙交換協定。

1978年，MIT的Ron Rivest、Adi Shamir和Len Adleman發明另一個公開密鑰系統，RSA。
直到1997年的公開文件中大眾才知道，早在1970年代早期，英國情報機構GCHQ的數學家James H. Ellis便已發明非對稱密鑰密碼學，而且Diffie-Hellman與RSA都曾被Malcolm J. Williamson與Clifford Cocks分別發明於前。 這兩個最早的公鑰系統提供優良的加密法基礎，因而被大量使用。其他公鑰系統還有Cramer-Shoup、Elgamal、以及橢圓曲線密碼學等等。

除了加密外，公開密鑰密碼學最顯著的成就是實現了數字簽名。數字簽名名符其實是普通簽章的數位化，他們的特性都是某人可以輕易製造簽章，但他人卻難以仿冒。數字簽名可以永久地與被簽署信息結合，無法自信息上移除。數字簽名大致包含兩個演算法：一個是簽署，使用私密密鑰處理信息或信息的雜湊值而產生簽章；另一個是驗證，使用公開鑰匙驗證簽章的真實性。RSA和DSA是兩種最流行的數字簽名機制。數字簽名是公開密鑰
基礎建設（public key infranstructures, PKI）以及許多網路安全機制（SSL/TLS, VPNs等）的基礎。

公開密鑰的演算法大多基於計算復雜度上的難題，通常來自於數論。例如，RSA源於整數因子分解問題；DSA源於離散對數問題。近年發展快速的橢圓曲線密碼學則基於和橢圓曲線相關的數學難題，與離散對數相當。由於這些底層的問題多涉及模數乘法或指數運算，相對於分組密碼需要更多計算資源。因此，公開密鑰系統通常是復合式的，內含一個高效率的對稱密鑰演算法，用以加密信息，再以公開密鑰加密對稱鑰匙系統所使用的鑰匙，以增進效率。

基於身份認證密碼體系( Identity-Based Cryptograph, IBC)
在1984年以色列科學家Shamir提出了基於標識的密碼系統的概念（IBC）。在基於標識的系統中，每個實體具有一個標識。該標識可以是任何有意義的字元串。但和傳統公鑰系統最大的不同是，在基於標識的系統中，實體的標識本身就是實體的公開密鑰。由於標識本身就是實體的公鑰，這類系統就不再依賴證書和證書管理系統如PKI，從而極大地簡化了管理密碼系統的復雜性。在提出IBC概念的同時，Shamir提出了一個採用RSA演算法的基於標識的簽名演算法(IBS)。但是基於標識的加密演算法（IBC）長時期未能找到有效解決方法。

在2000年，三位日本密碼學家R. Sakai, K. Ohgishi 和 M. Kasahara提出了使用橢圓曲線上的pairing設計基於標識的密碼系統的思路。在該論文中他們提出了一種無交互的基於標識的密鑰生成協議. 在該系統中，他們設計了一種可用於基於標識的密碼系統中的系統初始化方法和密碼生成演算法。

在2001年，D. Boneh和M. Franklin , R. Sakai, K. Ohgishi 和 M. Kasahara 以及C. Cocks 分別提出了三個基於標識的加密演算法。前兩個都是採用橢圓曲線上pairing的演算法。第三種演算法利用平方剩餘難問題。前兩種演算法都採用了與中相同的思路初試化系統並生成用戶的私鑰。由於D. Boneh和M. Franklin提出的IBC (BF-IBC)的安全性可以證明並且有較好的效率，所以引起了極大的反響。

基於標識的密碼技術在過去幾年中得到快速發展。研究人員設計了大量的新密碼系統。隨著應用的逐漸廣泛，相應演算法的標准化工作也在逐步展開。IEEE P1363.3的基於標識的密碼技術工作組正在進行相關演算法的標准化工作 。ISO/IEC已經標准化了兩個基於標識的簽名演算法。

2007年，中國國家密碼局組織了國家標識密碼體系IBC標准規范( Identity-Based Cryptograph, IBC)的編寫和評審工作。由五位院士和來自黨政軍、科研院所的密碼專家組成了評審組，對該標准規范在安全性、可靠性、實用性和創新性等方面進行了多次嚴格審查， 2007年12月16日國家IBC標准正式通過了評審。專家們一致認定，該標准擁有獨立知識產權，屬於國內首創，達到了國際領先水平，並已逐步開始應用在智能密鑰、加密郵件、網路安全設備等產品中中。

有關的法律禁令
[編輯本段]

密碼技術長期以來都是情報或司法機構的興趣。由於這些單位的隱密性以及禁令後個人隱私的減少，密碼技術也是人權支持者關心的焦點。環繞密碼技術的法律議題已有很長的歷史，特別是在可以執行高品質密碼的廉價計算機問世後。

在某些國家甚至本國的密碼技術應用也受到了限制：
直到1999年，法國仍然限制國內密碼技術的使用。
在中國，使用密碼技術需要申請執照。
許多國家有更嚴格的限制，例如白俄羅斯、哈薩克、蒙古、巴基斯坦、俄羅斯、新加坡、突尼西亞、委內瑞拉和越南。
在美國，國內密碼技術的使用是合法的，但仍然有許多法律沖突。

一個特別重要的議題是密碼軟體與硬體的出口管制。由於密碼分析在二戰時期扮演的重要腳色，也期待密碼學可以持續在國家安全上效力，許多西方國家政府嚴格規范密碼學的出口。二戰之後，在美國散布加密科技到國外曾是違法的。事實上，加密技術曾被視為軍需品，就像坦克與核武。直到個人電腦和網際網路問世後情況才改變。好的密碼學與壞的密碼學對絕大部分使用者來說是沒有差別的，其實多數情況下，大部分現行密碼技術普遍緩慢而且易出錯。然而當網際網路與個人電腦日益成長，優良的加密技術逐漸廣為人知。可見出口管制將成為商務與研究上的阻礙。

密碼技術在中國的發展狀況
[編輯本段]

我國信息網路安全研究歷經了通信保密、數據保護兩個階段，正在進入網路信息安全研究階段，現已開發研製出防火牆、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟體等。但因信息網路安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果，提出系統的、完整的和協同的解決信息網路安全的方案，目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究，各部分相互協同形成有機整體。

防火牆技術
防火牆技術，最初是針對 Internet 網路不安全因素所採取的一種保護措施。顧名思義，防火牆就是用來阻擋外部不安全因素影響的內部網路屏障，其目的就是防止外部網路用戶未經授權的訪問。目前，防火牆採取的技術，主要是包過濾、應用網關、子網屏蔽等。

防火牆的定義
[編輯本段]

所謂防火牆指的是一個有軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，
防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。

防火牆的功能
[編輯本段]

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

為什麼使用防火牆?
[編輯本段]

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

防火牆的類型
[編輯本段]

防火牆有不同類型。一個防火牆可以是硬體自身的一部分，你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行，該機器作為它背後網路中所有計算機的代理和防火牆。最後，直接連在網際網路的機器可以使用個人防火牆。

防火牆的概念
[編輯本段]

當然，既然打算由淺入深的來了解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火牆的功能
[編輯本段]

防火牆是網路安全的屏障：

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

防火牆可以強化網路安全策略：

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

對網路存取和訪問進行監控審計：

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。

除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。

防火牆的英文名為「FireWall」，它是目前一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。

防火牆在網路中經常是以下圖所示的兩種圖標出現的。左邊那個圖標非常形象，真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極體圖標。而二極體我們知道，它具有單向導電性，這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是只對外部進來的通信進行過濾，而對內部網路用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變，不僅對外部網路發出的通信連接要進行過濾，對內部網路用戶發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以說具有「單向導通」性。

防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這里所講的防火牆的「安全策略」，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的「單向導通性」。

④ 電子商務安全的技術主要有哪些

加密技術

(1)對稱加密/對稱密鑰加密/專用密鑰加密

該方法對信息的加密和解密都使用相同的密鑰。使用對稱加密方法將簡化加密的處理，每個貿易方都不必彼此研究和交換專用的加密演算法而是採用相同的加密演算法並只交換共享的專用密鑰。如果進行通信的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露，那麼機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發送報文摘要或報文散列值來實現。

(2)非對稱加密/公開密鑰加密

這種加密體系中，密鑰被分解為一對。這對密鑰中的任何一把都可作為公開密鑰通過非保密方式向他人公開，而另一把則作為專用密鑰加以保存。公開密鑰用於對機密性的加密，專用密鑰則用於對加密信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握，公開密鑰可廣泛發布，但它只對應於生成該密鑰的貿易方。

(3)數字摘要

該方法亦稱安全Hash編碼法或MD5。採用單向Hash函數將需加密的明文「摘要」成一串128bit的密文，即數字指紋，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這摘要便可成為驗證明文是否是「真身」的「指紋」了。

(4)數字簽名

信息是由簽名者發送的;信息在傳輸過程中未曾作過任何修改。這樣數字簽名就可用來防止電子信息因易被修改而有人作偽；或冒用別人名義發送信息；或發出（收到）信件後又加以否認等情況發生。

(5)數字時間戳

它是一個經加密後形成的憑證文檔，包括三個部分：需加時間戳的文件的摘要;DTS收到文件的日期和時間;DTS的數字簽名。

(6)數字憑證

數字憑證又稱為數字證書，是用電子手段來證實一個用戶的身份和對網路資源的訪問的許可權。在網上的電子交易中，如雙方出示了各自的數字憑證，並用它來進行交易操作，那麼雙方都可不必為對方身份的真偽擔心。它包含：憑證擁有者的姓名;憑證擁有者的公共密鑰;公共密鑰的有效期;頒發數字憑證的單位;數字憑證的序列號;頒發數字憑證單位的數字簽名。

數字憑證有三種類型：個人憑證，企業（伺服器）憑證，軟體（開發者）憑證。

2.Internet電子郵件的安全協議

(1)PEM：是增強Internet電子郵件隱秘性的標准草案，它在Internet電子郵件的標准格式上增加了加密、鑒別和密鑰管理的功能，允許使用公開密鑰和專用密鑰的加密方式，並能夠支持多種加密工具。對於每個電子郵件報文可以在報文頭中規定特定的加密演算法、數字鑒別演算法、散列功能等安全措施。

(2)S/MIME：是在RFC1521所描述的多功能Internet電子郵件擴充報文基礎上添加數字簽名和加密技術的一種協議，目的是在MIME上定義安全服務措施的實施方式。

(3)PEM-MIME：是將PEM和MIME兩者的特性進行了結合。

7.認證中心（CA）

CA的基本功能是：

生成和保管符合安全認證協議要求的公共和私有密鑰、數字證書及其數字簽名。

對數字證書和數字簽名進行驗證。

對數字證書進行管理，重點是證書的撤消管理，同時追求實施自動管理。

建立應用介面，特別是支付介面。CA是否具有支付介面是能否支持電子商務的關鍵。

8.防火牆技術

防火牆具有以下五大基本功能:(1)過濾進、出網路的數據;(2)管理進、出網路的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火牆的信息內容和活動;(5)對網路攻擊進行檢測和告警。

目前的防火牆主要有兩種類型。其一是包過濾型防火牆，其二是應用級防火牆。

入侵檢測技術是防火牆技術的合理補充，其主要內容有：入侵手段與技術、分布式入侵檢測技術、智能入侵檢測技術以及集成安全防禦方案等。

⑤ 簡述電子商務安全技術有哪些

主要是網站代碼安全和交易安全2塊內容！
長江商務網-提供網站製作優化、公司電子商務平台搭建、代發布產品信息到阿里巴巴慧沖等1000家主流b2b網站上等！

⑥ 電子商務中的主要安全技術有哪些

1、訪問控制技術：這種技術主要採用防火牆，最初是針對Internet網路不安全因素所採取的一種保護措施。是用來阻擋外部不安全因素影響的內部網路屏障，其目的就是防止外部網路用戶未經授權的訪問。它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成，防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體。

2、加密技術：加密技術是一種主動的信息安全防範措施，其原理是利用一定的加密演算法，將明文轉換成為無意義的密文，阻止非法用戶理解原始數據，從而確保數據的保密性。在加和解密的過程中，由加密者和解密者使用的加解密可變參數叫做密鑰。目前，獲得廣泛應用的兩種加密技術是對稱密鑰加密體制和非對稱密鑰加密體制。

3、數字簽名：利用通過某種密碼運算生成的一系列符號及代碼組成電子密碼進行「簽名」，來代替書寫簽名或印章，這種數字化的簽名在技術上還可進行演算法驗證，其驗證的准確度是在物理世界中與手工簽名和圖章的驗證是無法相比的。實現電子簽名的技術手段目前有多種，比如基於公鑰密碼技術的數字簽名;或用一個獨一無二的以生物特徵統計學為基礎的識別標識。

4、安全認證協議：安全認證協議包括安全電子商務交易協議和安全套接層協議。 安全電子交易協議，是為了在互聯網上進行在線交易時保證信用卡支付的安全而設立的一個開放的規范。由VISA和MasterCard兩大信用卡公司於1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。

(6)電子商務網站系統安全技術擴展閱讀：

電子商務是網際網路爆炸式發展的直接產物，是網路技術應用的全新發展方向。網際網路本身所具有的開放性、全球性、低成本、高效率的特點，也成為電子商務的內在特徵，並使得電子商務大大超越了作為一種新的貿易形式所具有的價值，它不僅會改變企業本身的生產、經營、管理活動，而且將影響到整個社會的經濟運行與結構。以互聯網為依託的「電子」技術平台為傳統商務活動提供了一個無比寬闊的發展空間，其突出的優越性是傳統媒介手段根本無法比擬的。

⑦ 電子商務網站的安全防範技術

5分。。3000字 還是專業性很強的內容。
看來是沒有人出手了 呵呵
防火牆技術、入侵檢測技術、網路漏洞掃描、防病毒系統和安全認證系統 這5個方面 隨便挑1個出來都可以寫3000字了

⑧ 簡述電子商務的安全技術有哪些,舉實例

簡述電子商務的安全技術事實應該有：

(1)對稱加密/對稱密鑰加密/專用密鑰加密

(2)非對稱加密/公開密鑰加密

(3)數字摘要

⑨ 電子商務安全主要包括網路安全與電商安全，網路安全有哪些主要技術

電子商務安全主要包括網路安全與電商安全，網路安全主要有以下幾方面主要技術：
一.虛擬網技術

虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換）。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此，網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器 網路層通訊可以跨越路由器，因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善，因此，在網路層發現的安全漏洞相對更多，如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。
二.防火牆技術
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.
防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統 如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施控制對系統的訪問 集中的安全管理
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Finger和DNS。 記錄和統計網路利用數據以及非法使用數據 Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。 策略執行
5、選擇防火牆的要點
(1) 安全性：即是否通過了嚴格的入侵測試。
(2) 抗攻擊能力：對典型攻擊的防禦能力
(3) 性能：是否能夠提供足夠的網路吞吐能力
(4) 自我完備能力：自身的安全性，Fail-close
(5) 可管理能力：是否支持SNMP網管
(6) VPN支持
(7) 認證和加密特性
(8) 服務的類型和原理
(9)網路地址轉換能力
三.病毒防護技術
病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯，病毒的傳播途徑和速度大大加快。 病毒防護的主要技術如下：
(1) 阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2) 檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3) 病毒資料庫的升級。
病毒資料庫應不斷更新，並下發到桌面系統。
4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體，禁止未經許可的控制項下載和安裝。
四.入侵檢測技術
利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網路保護，降低了網路安全風險。
五.安全掃描技術

網路安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
六. 認證和數宇簽名技術
認證技術主要解決網路通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用於通信過程中的不可抵賴要求的實現。 認證技術將應用到企業網路中的以下方面： (1) 路由器認證，路由器和交換機之間的認證。 (2) 操作系統認證。操作系統對用戶的認證。 (3) 網管系統對網管設備之間的認證。 (4) VPN網關設備之間的認證。
(5) 撥號訪問伺服器與客戶間的認證。
(6) 應用伺服器(如Web Server)與客戶的認證。 (7) 電子郵件通訊雙方的認證。
七.VPN技術
1、 企業對VPN 技術的需求
企業總部和各分支機構之間採用internet網路進行連接，由於internet是公用網路，因此，必須保證其安全性。我們將利用公共網路實現的私用網路稱為虛擬私用網(VPN)。 因為VPN利用了公共網路，所以其最大的弱點在於缺乏足夠的安全性。企業網路接入到internet，暴露出兩個主要危險：
來自internet的未經授權的對企業內部網的存取。
當企業通過INTERNET進行通訊時，信息可能受到竊聽和非法修改。 完整的集成化的企業范圍的VPN安全解決方案，提供在INTERNET上安全的雙向通訊，以及透明的加密方案以保證數據的完整性和保密性。 企業網路的全面安全要求保證： 保密-通訊過程不被竊聽。
通訊主體真實性確認-網路上的計算機不被假冒。
八.應用系統的安全技術
在利用域名服務時，應該注意到以上的安全問題。
主要的措施有：
(1) 內部網和外部網使用不同的域名伺服器，隱藏內部網路信息。
(2) 域名伺服器及域名查找應用安裝相應的安全補丁。
(3) 對付Denial-of-Service攻擊，應設計備份域名伺服器。

但Web伺服器越來越復雜，其被發現的安全漏洞越來越多。為了防止Web伺服器成為攻擊的犧牲品或成為進入內部網路的跳板，我們需要給予更多的關心：
加強電子郵件系統的安全性，通常有如下辦法：
(1) 設置一台位於停火區的電子郵件伺服器作為內外電子郵件通訊的中轉站(或利用防火牆的電子郵件中轉功能)。所有出入的電子郵件均通過該中轉站中轉。
(2) 同樣為該伺服器安裝實施監控系統。
(3) 該郵件伺服器作為專門的應用伺服器，不運行任何其它業務(切斷與內部網的通訊)。
（4) 升級到最新的安全版本。

⑩ .電子商務網站的安全防範技術

電子商務網站的安全措施

2.1 防火牆技術防火牆是指一個由硬體設備或軟體、或軟硬體組合而成的,在內部網與外部網之間構造的保護屏障。所有的內部網和外部網之間的連接都必須經過此保護層,並由它進行檢查和連接。只有被授權的通信才能通過防火牆,從而使內部網路與外部網路在一定意義下隔離,防止非法入侵、非法使用系統資源、執行安全管制措施。防火牆基本分為兩類:包過濾和基於代理的防火牆。包過濾防火牆對數據包進行分析、選擇,依據系統內事先設定的過濾邏輯來確定是否允許該數據包通過。代理防火牆能夠將網路通信鏈路分為兩段,使內部網與Internet不直接通信,而是使用代理伺服器作為數據轉發的中轉站,只有那些被認為可信賴的數據才允許通過。這兩種防火牆各有其優缺點:包過濾器只能結合源地址、目標地址和埠號才能起作用,如果攻擊者攻破了包過濾防火牆,整個網路就公開了。代理防火牆比包過濾器慢, 當網站訪問量較大時會影響上網速度;代理防火牆在設立和維護規則集時比較復雜,有時會導致錯誤配置和安全漏洞。由於這兩種防火牆各有優缺點,因而在實際應用中常將這兩種防火牆組合使用。目前市場上最新的防火牆產品集成了代理和包過濾技術,提供了管理數據段和實現高吞吐速度的解決方案。這些混合型的設備在安全要求比吞吐速度有更高要求時,能實行代理驗證服務,在需要高速度時,它們能靈活地採用包過濾規則作為保護方法。

2.2 入侵檢測系統防火牆是一種隔離控制技術,一旦入侵者進入了系統,他們便不受任何阻擋。它不能主動檢測和分析網路內外的危險行為,捕捉侵入罪證。而入侵檢測系統能夠監視和跟蹤系統、事件、安全記錄和系統日誌,以及網路中的數據包,識別出任何不希望有的活動,在入侵者對系統發生危害前,檢測到入侵攻擊,並利用報警與防護系統進行報警、阻斷等響應。入侵檢測系統所採用的技術有: (1)特徵檢測:這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又網路時空不會將正常的活動包含進來。 (2)異常檢測:假設入侵者活動異於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

2.3 網路漏洞掃描器沒有絕對安全的網站,任何安全漏洞都可能導致風險產生。網路漏洞掃描器是一個漏洞和風險評估工具,用於發現、發掘和報告安全隱患和可能被黑客利用的網路安全漏洞。網路漏洞掃描器分為內部掃描和外部掃描兩種工作方式: (1)外部掃描:通過遠程檢測目標主機TCP/IP不同埠的服務,記錄目標給予的回答。通過這種方法,可以搜集到很多目標主機的各種信息,例如:是否能用匿名登錄、是否有可寫的FTP目錄、是否能用TELNET等。然後與漏洞掃描系統提供的漏洞庫進行匹配,滿足匹配條件則視為漏洞。也可通過模擬黑客的進攻手法,對目標主機系統進行攻擊性的安全漏洞掃描。如果模擬攻擊成功,則可視為漏洞存在。 (2)內部掃描:漏洞掃描器以root身份登錄目標主機, 記錄系統配置的各項主要參數,將之與安全配置標准庫進行比較和匹配,凡不滿足者即視為漏洞。

2.4 防病毒系統病毒在網路中存儲、傳播、感染的途徑多、速度快、方式各異,對網站的危害較大。因此,應利用全方位防病毒產品, 實施「層層設防、集中控制、以防為主、防殺結合」的防病毒策略,構建全面的防病毒體系。常用的防病毒技術有: (1)反病毒掃描:通過對病毒代碼的分析找出能成為病毒結構線索的唯一特徵。病毒掃描軟體可搜索這些特徵或其它能表示有某種病毒存在的代碼段。 (2)完整性檢查:通過識別文件和系統的改變來發現病毒。完整性檢查程序只有當病毒正在工作並做些什麼事情時才能起作用,而網站可能在完整性檢查程序開始檢測病毒之前已感染了病毒,潛伏的病毒也可以避開檢查。 (3)行為封鎖:行為封鎖的目的是防止病毒的破壞。這種技術試圖在病毒馬上就要開始工作時阻止它。每當某一反常的事情將要發生時,行為封鎖軟體就會檢測到並警告用戶。

2.5 啟用安全認證系統企業電子商務網站的安全除網站本身硬體和軟體的安全外,還應包括傳輸信息的安全。對一些重要的的傳輸信息,應保證信息在傳輸過程中不被他人竊取、偷看或修改。因此,應在網站伺服器中啟用安全認證系統。安全認證系統對重要的信息採用密碼技術進行加密,使它成為一種不可理解的密文。接收方收到密文後再對它進行解密,將密文還原成原來可理解的形式。目前,在電子商務中普遍採用SSL安全協議。SSL安全協議主要提供三方面的服務: (1)認證用戶和伺服器,使得它們能夠確信數據將被發送到正確的客戶機和伺服器上。 (2)加密數據以隱藏被傳送的數據。 (3)維護數據的完整性,確保數據在傳輸過程中不被改變。

3 結束語

任何一種安全措施都有其局限性,企業電子商務網站的設計人員必須在精心的安全分析、風險評估、商業需求分析和網站運行效率分析的基礎上,制定出整體的安全解決方案。為保證整體安全解決方案的效率,各安全產品之間應該實現一種聯動機制。當漏洞掃描器發覺安全問題時,就會通知系統管理員,及時採取補漏措施;當入侵檢測系統檢測到攻擊行為時,就會利用防火牆進行實時阻斷;當防病毒系統發現新病毒時,也會及時更新入侵檢測系統的病毒攻擊庫,以提高入侵檢測系統的檢測效率;由於安全產品和伺服器、安全產品與安全產品之間都需要進行必要的數據通信,為了保證這些通信的保密性和完整性,可以採用安全認證手段。只有當各種安全產品真正實現聯動時,網路安全才能得到保障。