电子商务的安全协议不包括

㈠ SSL安全协议的主要功能不包括

SSL通信的工作原理
SSL协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过程通过3个元素来完成：

（1）握手协议：这个协议负责被子用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加密算法和认证方式，并使用公钥技术来生成共享密钥。

（2）记录协议：这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块，还可以压缩，并产生一个MAC（消息认证代码），然后结果被加密并传输。接受方接受数据并对它解密，校验MAC，解压并重新组合，把结果提供给应用程序协议。

（3）警告协议：这个协议用于每时示在什么时候发生了错误或两个主机之间的会话在什么时候终止。

SSL协议通信的握手步骤如下：

第1步，SSL客户机连接至SSL服务器，并要求服务器验证它自身的身份；

第2步，服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书链，直到某个根证书颁发机构（CA）。通过检查有效日期并确认证书包含可信任CA的数字签名来验证证书的有效性。

第3步，服务器发出一个请求，对客户端的证书进行验证，但是由于缺乏公钥体系结构，当今的大多数服务器不进行客户端认证。

第4步，协商用于加密的消息加密算法和用于完整性检查的哈希函数，通常由客户端提供它支持的所有算法列表，然后由服务器选择最强大的加密算法。

第5步，客户机和服务器通过以下步骤生成会话密钥：

·客户机生成一个随机数，并使用服务器的公钥（从服务器证书中获取）对它加密，以送到服务器上。

·服务器用更加随机的数据（客户机的密钥可用时则使用客户机密钥，否则以明文方式发送数据）响应。

·使用哈希函数从随机数据中生成密钥。
SSL VPN的主要优势和不足

上面我们介绍了有关SSL VPN的一些基本情况，但是就像任何新技术的产生一样，相对传统的技术肯定会存在一些重要的优点，当然不足之处通常也是有的，下面就分别予以介绍。

1．SSL VPN的主要优点

这样一种新型的VPN技术主要优势体现在哪里呢？目前这种VPN技术的应用正逐渐呈上升趋势，原因何在呢？下面就是几个主要的方面：

（1）无需安装客户端软件：在大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件。只需通过标准的Web浏览器连接因特网，即可以通过网页访问到企业总部的网络资源。这样无论是从软件协议购买成本上，还是从维护、管理成本上都可以节省一大笔资金，特别是对于大、中型企业和网络服务提供商。

（2）适用大多数设备：基于Web访问的开放体系可以在运行标准的浏览器下可以访问任何设备，包括非传统设备，如可以上网的电话和PDA通讯产品。这些产品目前正在逐渐普及，因为它们在不进行远程访问时也是一种非常理想的现代时尚产品。

（3）适用于大多数操作系统：可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于Web的远程访问，不管操作系统是Windows、Macintosh、UNIX还是 Linux。可以对企业内部网站和Web站点进行全面的访问。用户可以非常容易地得到基于企业内部网站的资源，并进行应用。

（4）支持网络驱动器访问：用户通过SSL VPN通信可以访问在网络驱动器上的资源。

（5）良好的安全性：用户通过基于SSL的Web访问并不是网络的真实节点，就像IPSec安全协议一样。而且还可代理访问公司内部资源。因此，这种方法可以非常安全的，特别是对于外部用户的访问。

（6）较强的资源控制能力：基于Web的代理访问允许公司为远程访问用户进行详尽的资源访问控制。

（7）减少费用：为那些简单远程访问用户（仅需进入公司内部网站或者进行Email通信），基于SSL 的VPN网络可以非常经济地提供远程访问服务。

（8）可以绕过防火墙和代理服务器进行访问：基于SSL的远程访问方案中，使用NAT（网络地址转换）服务的远程用户或者因特网代理服务的用户可以从中受益，因为这种方案可以绕过防火墙和代理服务器进行访问公司资源，这是采用基于IPSec安全协议的远程访问所很难或者根本做不到的。

2．SSL VPN的主要不足之处

上面介绍SSL VPN技术这么多优势，那么为什么现在不是所有用户都使用SSL VPN，且据权威调查机构调查显示目前绝大多部分企业仍采用IPSec VPN呢？SSL VPN的主要不足在哪里呢？

（1）必须依靠因特网进行访问：为了通过基于SSL VPN进行远程工作，当前必须与因特网保持连通性。因为此时Web浏览器实质上是扮演客户服务器的角色，远程用户的Web浏览器依靠公司的服务器进行所有进程。正因如此，如果因特网没有连通，远程用户就不能与总部网络进行连接，只能单独工作。

（2）对新的或者复杂的Web技术提供有限支持：基于SSL的VPN方案是依赖于反代理技术来访问公司网络的。因为远程用户是从公用因特网来访问公司网络的，而公司内部网络信息通常不仅是处于防火墙后面，而且通常是处于没有内部网IP地址路由表的空间中。反代理的工作就是翻译出远程用户Web浏览器的需求，通常使用常见的URL地址重写方法，例如，内部网站也许使用内部DNS服务器地址链接到其他的内部网链接，而URL地址重写必需完全正确地读出以上链接信息，并且重写这些URL地址，以便这些链接可以通过反代理技术获得路由，当有需要时，远程用户可以轻松地通过点击路由进入公司内部网络。对于URL地址重写器完全正确理解所传输的网页结构是极其重要的，只有这样才可正确显示重写后的网页，并在远程用户计算机浏览器上进行正确地操作。

（3）只能有限地支持Windows应用或者其它非Web系统：因为大多数基于SSL的VPN都是基Web浏览器工作的，远程用户不能在Windows,、UNIX、Linux、AS400或者大型系统上进行非基于Web界面的应用。虽然有些SSL提供商已经开始合并终端服务来提供上述非Web应用，但不管如何，目前SSL VPN还未正式提出全面支持，这一技术还有待讨论，也可算是一个挑战。

（4）只能为访问资源提供有限安全保障：当使用基于SSL协议通过Web浏览器进行VPN通信时，对用户来说外部环境并不是完全安全、可达到无缝连接的。因为SSL VPN只对通信双方的某个应用通道进行加密，而不是对在通信双方的主机之间的整个通道进行加密。在通信时，在Web页面中呈现的文件很难也基本上无法保证只出现类似于上传的文件和邮件附件等简单的文件，这样就很难保证其它文件不被暴露在外部，存在一定的安全隐患

㈡ 电子商务中的主要安全技术有哪些

1、访问控制技术：这种技术主要采用防火墙，最初是针对Internet网络不安全因素所采取的一种保护措施。是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

2、加密技术：加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。在加和解密的过程中，由加密者和解密者使用的加解密可变参数叫做密钥。目前，获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。

3、数字签名：利用通过某种密码运算生成的一系列符号及代码组成电子密码进行“签名”，来代替书写签名或印章，这种数字化的签名在技术上还可进行算法验证，其验证的准确度是在物理世界中与手工签名和图章的验证是无法相比的。实现电子签名的技术手段目前有多种，比如基于公钥密码技术的数字签名;或用一个独一无二的以生物特征统计学为基础的识别标识。

4、安全认证协议：安全认证协议包括安全电子商务交易协议和安全套接层协议。 安全电子交易协议，是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。

(2)电子商务的安全协议不包括扩展阅读：

电子商务是因特网爆炸式发展的直接产物，是网络技术应用的全新发展方向。因特网本身所具有的开放性、全球性、低成本、高效率的特点，也成为电子商务的内在特征，并使得电子商务大大超越了作为一种新的贸易形式所具有的价值，它不仅会改变企业本身的生产、经营、管理活动，而且将影响到整个社会的经济运行与结构。以互联网为依托的“电子”技术平台为传统商务活动提供了一个无比宽阔的发展空间，其突出的优越性是传统媒介手段根本无法比拟的。

㈢ 互联网电子商务交易中网络安全要素应不包括什么发面的答案是

随着信息技术和计算机网络的迅猛发展，基于Internet的电子商务也随之而生，并在近年来获得了巨大的发展。电子商务作为一种全新的商业应用形式，改变了传统商务的运作模式，极大地提高了商务效率，降低了交易的成本。然而，由于互联网开放性的特点，安全问题也自始至终制约着电子商务的发展。因此，建立一个安全可靠的电子商务应用环境，已经成为影响到电子商务发展的关键性课题。在互联网电子商务交易中网络安全协议要素中不包括四点
1、对交易双方身份的认证
2、 保障交易信息的保密性
3、 保障交易信息的完整性
4、 防止攻击者通过网络对网站的设备的攻击

㈣ 通常电子商务信息安全协议有哪些

图片，要打上水印好点

㈤ 电子商务中的安全协议是什么意思

安全协议是以密码学为基础的消息交换协议，其目的是在网络环境中提供各种安全服务。密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法。安全协议是网络安全的一个重要组成部分，我们需要通过安全协议进行实体之间的认证、在实体之间安全地分配密钥或其它各种秘密、确认发送和接收的消息的非否认性等。

安全协议是建立在密码体制基础上的一种交互通信协议，它运用密码算法和协议逻辑来实现认证和密钥分配等目标。

安全协议可用于保障计算机网络信息系统中秘密信息的安全传递与处理，确保网络用户能够安全、方便、透明地使用系统中的密码资源。安全协议在金融系统、商务系统、政务系统、军事系统和社会生活中的应用日益普遍，而安全协议的安全性分析验证仍是一个悬而未决的问题。在实际社会中，有许多不安全的协议曾经被人们作为正确的协议长期使用，如果用于军事领域的密码装备中，则会直接危害到军事机密的安全性，会造成无可估量的损失。这就需要对安全协议进行充分的分析、验证，判断其是否达到预期的安全目标。

网络安全是实现电子商务的基础，而一个通用性强，安全可靠的网络协议则是实现电子商务安全交易的关键技术之一，它也会对电子商务的整体性能产生很大的影响。由美国Netscape公司开发和倡导的SSL协议（Secure Sockets Layer，安全套接层），它是目前安全电子商务交易中使用最多的协议之一，内容主要包括协议简介、记录协议、握手协议、协议安全性分析以及应用等。本文在简单介绍SSL协议特点和流程的基础上，详细介绍了SSL协议的应用和配置过程。

1 、SSL协议简介

SSL作为目前保护Web安全和基于HTTP的电子商务交易安全的事实上的，被许多世界知名厂商的Intranet和Internet网络产品所支持，其中包括Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客户机和服务器产品，如IE和Netscape浏览器，IIS、Domino Go WebServer、Netscape Enterprise Server和Appache等Web Server等。

SSL采用对称密码技术和公开密码技术相结合，提供了如下三种基本的安全服务：秘密性。SSL客户机和服务器之间通过密码算法和密钥的协商，建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理，网络中的非法窃听者所获取的信息都将是无意义的密文信息。

完整性。SSL利用密码算法和hash函数，通过对传输信息特征值的提取来保证信息的完整性，确保要传输的信息全部到达目的地，可以避免服务器和客户机之间的信息内容受到破坏。

认证性。利用证书技术和可信的第三方CA，可以让客户机和服务器相互识别的对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户)，SSL要求证书持有者在握手时相互交换数字证书，通过验证来保证对方身份的合法性。

SSL协议的实现属于SOCKET层，处于应用层和传输层之间，由SSL记录协议（SSL RECORD PROTOCOL）和SSL握手协议（SSL HAND-SHAKE PROTOCOL）组成的，其结构如图1所示：

SSL可分为两层，一是握手层，二是记录层。SSL握手协议描述建立安全连接的过程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能；SSL记录协议则定义了数据传送的格式，上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样，应用层通过SSL协议把数据传给传输层时，已是被加密后的数据，此时TCP/IP协议只需负责将其可靠地传送到目的地，弥补了 TCP/IP协议安全性较差的弱点。

Netscape公司已经向公众推出了SSL的参考实现（称为SSLref）。另一免费的SSL实现叫做SSLeay。SSLref和SSLeay均可给任何TCP/IP应用提供SSL功能，并且提供部分或全部源代码。Internet号码分配当局（IANA）已经为具备SSL功能的应用分配了固定端口号，例如，带SSL的HTTP（https）被分配以端口号443，带SSL的SMTP（ssmtp）被分配以端口号465，带SSL的NNTP （snntp）被分配以端口号563。

微软推出了SSL版本2的改进版本，叫做PCT（私人通信技术）。SSL和PCT非常类似。它们的主要差别是它们在版本号字段的最显著位（The Most Significant Bit）上的取值有所不同：SSL该位取0，PCT该位取1。这样区分之后，就可以对这两个协议都给予支持。

1996年4月，IETF授权一个传输层安全（TLS）工作组着手制订一个传输层安全协议（TLSP），以便作为标准提案向IESG正式提交。TLSP将会在许多地方酷似SSL。

2 、SSL安全性

目前，几乎所有操作平台上的WEB浏览器（IE、Netscatp）以及流行的Web服务器（IIS、Netscape Enterprise Server等）都支持SSL协议。因此使得使用该协议便宜且开发成本小。但应用SSL协议存在着不容忽视的缺点：

1. 系统不符合国务院最新颁布的《商用密码管理条例》中对商用密码产品不得使用国外密码算法的规定，要通过国家密码管理委员会的审批会遇到相当困难。

2. 系统安全性差。SSL协议的数据安全性其实就是建立在RSA等算法的安全性上，因此从本质上来讲，攻破RSA等算法就等同于攻破此协议。由于美国政府的出口限制，使得进入我国的实现了SSL的产品（Web浏览器和服务器）均只能提供512比特RSA公钥、40比特对称密钥的加密。目前已有攻破此协议的例子：1995年8月，一个法国学生用上百台工作站和二台小型机攻破了Netscape对外出口版本；另外美国加州两个大学生找到了一个“陷门”，只用了一台工作站几分钟就攻破了Netscape对外出口版本。

但是，一个安全协议除了基于其所采用的加密算法安全性以外，更为关键的是其逻辑严密性、完整性、正确性，这也是研究协议安全性的一个重要方面，如果一个安全协议在逻辑上有问题，那么它的安全性其实是比它所采用的加密算法的安全性低，很容易被攻破。从目前来看，SSL比较好地解决了这一问题。不过SSL协议的逻辑体现在SSL握手协议上，SSL握手协议本身是一个很复杂的过程，情况也比较多，因此我们并不能保证SSL握手协议在所有的情况下逻辑上都是正确的，所以研究SSL协议的逻辑正确性是一个很有价值的问题。

另外，SSL协议在“重传攻击”上，有它独到的解决办法。SSL协议为每一次安全连接产生了一个128位长的随机数——“连接序号”。理论上，攻击者提前无法预测此连接序号，因此不能对服务器的请求做出正确的应答。但是计算机产生的随机数是伪随机数，它的实际周期要远比2128小，更为危险的是有规律性，所以说SSL协议并没有从根本上解决“信息重传”这种攻击方法，有效的解决方法是采用“时间戳”。但是这需要解决网络上所有节点的时间同步问题。

总的来讲，SSL协议的安全性能是好的，而且随着SSL协议的不断改进，更多的安全性能、好的加密算法被采用，逻辑上的缺陷被弥补，SSL协议的安全性能会不断加强。

3、 windows 2000中SSL的配置与应用SSL的典型应用主要有两个方面，一是客户端，如浏览器等；另外一个就是服务器端，如Web服务器和应用服务器等。目前，一些主流浏览器（如IE和 Netscape等）和IIS、Domino Go WebServer、Netscape Enterprise Server、Appache等Web服务器都提供了对SSL的支持。要实现浏览器（或其他客户端应用）和Web服务器（或其他服务器）之间的安全SSL 信息传输，必须在Web服务器端安装支持SSL的Web服务器证书，在浏览器端安装支持SSL的客户端证书（可选），然后把URL中的“http://” 更换。

㈥ 电子商务的安全协议中的哪个协议的作用是保障web网站数据的安全

Web数据库是基于Internet/Intranet的应用系统，由于互连网开放性和通信协议的安全缺陷，以及在网络环境中数据存储和对其访问与处理的分布性特点，网上传输的数据容易受到破坏、窃取、篡改、转移和丢失。这些危害通常是对网络的攻击引起的。到现在，针对Web数据库的应用级入侵已经变得越来越猖獗，如SQL注入、跨站点脚本攻击和未经授权的用户访问等。所有这些入侵都有可能绕过前台安全系统并对数据库系统攻击。如何保证Web数据库的安全性已成为新的课题。电子商务营销http://www.zhangxiaolei.com/

㈦ 什么是电子商务安全协议

隆力奇直销
Modern e-commerce security policy
[Abstract] In this paper, an open Internet environment, e-commerce security threats and security needs of e-commerce security technologies, including encryption, authentication, security protocols and firewall technology, VPN technology, and on this basis a reasonable strategy for e-commerce security.
[Key words] e-commerce encryption technology, authentication technology security policy

With the continuous development of the Internet, e-commerce as a combination of network and commercial procts, is close to people's lives, more and more people attracted attention. However, e to the openness of the Internet and the anonymity, there are a lot of inevitable security risks. In e-commerce, security is the core issue must be taken into account, the requirements to provide network security solutions.
A, e-commerce security issues
E-commerce in the Internet an open network environment, always a threat to security, the security threats can be divided into four broad categories: 1. The interception and theft of information: If no measures taken or encryption strength of encryption is not enough to attack through the use of various means of illegal access to confidential user information. 2. The distortion of information: the attacker using various technologies and means of information on the network mid-course correction, concurrent to the destination, thereby undermining the integrity of information. 3. Information counterfeiting: the attacker through the network to decrypt data or business law information, pseudo-legal users or send fake messages to deceive their customers. 4. Transaction repudiation: refers to the transaction or both unilateral repudiation of the transaction.
E-commerce security threats faced by the emergence of electronic commerce has led to the demand for security, including confidentiality, integrity, authentication and non-repudiation, validity of five aspects.
Second, e-commerce security technology
For e-commerce security technologies, including encryption, authentication technology and e-commerce security protocols, firewall technology.
1. Encryption technology
In order to ensure the security of data and transactions to prevent fraud, to confirm the true identity of the transaction between the two sides, e-commerce encryption technology to be used, encryption technology means that by using the code or password to protect data security. For data encryption as an express, express, after effects of a certain encryption algorithm, to convert ciphertext, we will be expressly for the ciphertext for this process is known as encryption, to ciphertext by the decryption algorithm output express after the formation of this a process known as decryption. Encryption algorithm used as the key parameters. The longer the key length, the space key, and traverse the key space, the more time spent, the smaller the possibility of deciphering. Encryption technology can be divided into two categories: symmetric and asymmetric encryption technology, encryption technology. Symmetric encryption technology, data encryption standard DES (Data Encryption Standard) algorithm for a typical representative. Usually non-symmetric encryption technology to RSA (Rivest Shamir Adleman) algorithm to represent.
2. Authentication
Commonly used security authentication technology are:
(1) digital signature. Signature is used to ensure the authenticity of documents, the validity of a measure, as to proce the same as handwritten signatures. Ways is to hash function and public key algorithm combining sender text from the message generates a hash value, and use their own private key to encrypt the hash value to form a sender's digital signature; then this digital signature as the message text of the annex and the reported message to send to the receiver; message from the receiver to receive the first message in the original hash value is calculated, and then using the sender's public key to attached to the message to decrypt the digital signature; If these two the same hash value, then the recipient will be able to confirm the digital signature is the sender.
(2) digital certificates. CA digital certificate is issued for the identity of the parties to the transaction documents, it is a digital signature by the CA, including the applicant a certificate (public key owner) personal information and public key files. Based on public key system (PKI) digital certificate is used to verify both the identity of e-commerce transaction security tool, since it was made by the Certificate Authority Center digital signature, so that no third parties can not modify the contents of the certificate. Only the parties to apply for any transaction to the appropriate digital certificate in order to participate in the security of e-commerce transactions on the Internet.
(3) digital time stamp. In order to prevent transactions in the electronic document signed by the time the information is modified, the digital time-stamp provided by the corresponding security. Digital Time Stamp Service (DTS) is provided by specialized agencies. Digital Time Stamp is an encrypted certificate after the formation of the document, which includes three components: the documents need to add time stamp Abstract; DTS document received date and time; DTS digital signature institutions.

㈧ 电子商务安全是指什么

简单说就是计算机网络安全和商务交易安全。
网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域，包括物理安全、网络安全、传输安全、应用安全、用户安全。
电子商务安全要素体现在：
信息的机密性：密码技术
信息的完整性：散列函数
数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异；
数据传输过程中的信息丢失、重复、差异；
黑客对信息的篡改和假冒
完整性一般可通过提取消息文摘获得，包括两方面：
数据传输的完整性
完整性检查、上下文检查：内容的差异和语法规则
信息的有效性：电子文档的法律确认
认证性：身份确认
信息的不可抵赖性：数字签名
不可修改性：完整性
部分告知：交易与支付的部分分离
另行确认
系统的可靠性
计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒、自然灾害等

电子商务安全技术主要有：
密码技术
加密技术是保证电子商务安全的重要手段，是信息安全的核心。
密钥管理技术
最棘手的问题：分发和存储
数字签名：公钥加密技术
网络安全技术
操作系统安全、防火墙技术、VPN、漏洞检测、审核技术等

㈨ 电子商务的安全策略包括哪些

一、网络节点的安全

1.防火墙

防火墙是在连接Internet和Intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。

2.防火墙安全策略

应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

3.安全操作系统

防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。

二、通讯的安全

1.数据通讯

通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于：

(1)客户浏览器端与电子商务WEB服务器端的通讯;

(2)电子商务WEB服务器与电子商务数据库服务器的通讯;

(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。

2.安全链路

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

三、应用程序的安全性

即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件，特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制(最少许可)，程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。

四、用户的认证管理

1.身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

2.CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

五、安全管理

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。

对于所有接触系统的人员，按其职责设定其访问系统的最小权限。

按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。