保障电子商务安全信息技术更有效

⑴ 电子商务安全有哪些效果如何

（1）有效性

EC以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

（2）机密性

EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的（尤其Internet是更为开放的网络），维护商业机密是EC全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。

（3）完整性

EC简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是EC应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

（4）可靠性/不可抵赖性/鉴别

EC可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的EC方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

（5）审查能力

根据机密性和完整性的要求，应对数据审查的结果进行记录。

3.2 电子商务采用的主要安全技术及其标准规范

考虑到安全服务各方面要求的技术方案已经研究出来了，安全服务可在网络上任何一处加以实施。但是，在两个贸易伙伴间进行的EC，安全服务通常是以“端到端”形式实施的（即不考虑通信网络及其节点上所实施的安全措施）。所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息的价值等因素后确定的。这里将介绍EC应用过程中主要采用的几种安全技术及其相关标准规范。

（1）加密技术

加密技术是EC采取的主要安全措施，贸易方可根据需要在信息交换的阶段使用。目前，加密技术分为两类，即对称加密和非对称加密。

①对称加密/对称密钥加密/专用密钥加密

在对称加密方法中，对信息的加密和解密都使用相同的密钥。也就是说，一把钥匙开一把锁。使用对称加密方法将简化加密的处理，每个贸易方都不必彼此研究和交换专用的加密算法，而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外，当某一贸易方有“n”个贸易关系，那么他就要维护“n”个专用密钥（即每把密钥对应一贸易方）。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥，贸易双方的任何信息都是通过这把密钥加密后传送给对方的。

数据加密标准（DES）由美国国家标准局提出，是目前广泛采用的对称加密方式之一，主要应用于银行业中的电子资金转帐（EFT）领域。DES的密钥长度为56位。三重DES是DES的一种变形。这种方法使用两个独立的56位密钥对交换的信息（如EDI数据）进行3次加密，从而使其有效密钥长度达到112位。RC2和RC4方法是RSA数据安全公司的对称加密专利算法。RC2和RC4不同于DES，它们采用可变密钥长度的算法。通过规定不同的密钥长度，RC2和RC4能够提高或降低安全的程度。一些电子邮件产品（如Lotus Notes和Apple的Opn Collaboration Environment）已采用了这些算法。

②非对称加密/公开密钥加密

在非对称加密体系中，密钥被分解为一对（即一把公开密钥或加密密钥和一把专用密钥或解密密钥）。这对密钥中的任何一把都可作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把则作为专用密钥（解密密钥）加以保存。公开密钥用于对机密性的加密，专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握，公开密钥可广泛发布，但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是：贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开；得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲；贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。

RSA（即Rivest， Shamir Adleman）算法是非对称加密领域内最为著名的算法，但是它存在的主要问题是算法的运算速度较慢。因此，在实际的应用中通常不采用这一算法对信息量大的信息（如大的EDI交易）进行加密。对于加密量大的应用，公开密钥加密算法通常用于对称加密方法密钥的加密。

（2）密钥管理技术

①对称密钥管理

对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。这样，对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。

贸易方可以为每次交换的信息（如每次的EDI交换）生成唯一一把对称密钥并用公开密钥对该密钥进行加密，然后再将加密后的密钥和用该密钥加密的信息（如EDI交换）一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥，因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易，而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。

②公开密钥管理/数字证书

贸易伙伴间可以使用数字证书（公开密钥证书）来交换公开密钥。国际电信联盟（ITU）制定的标准X.509（即信息技术——开放系统互连——目录：鉴别框架）对数字证书进行了定义该标准等同于国际标准化组织（ISO）与国际电工委员会（IEC）联合发布的ISO/IEC 9594-8：195标准。数字证书通常包含有唯一标识证书所有者（即贸易方）的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构（CA），它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用，是目前EC广泛采用的技术之一。微软公司的InternetExplorer 3.0和网景公司的Navigator 3.0都提供了数字证书的功能来作为身份鉴别的手段。

③密钥管理相关的标准规范

目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会（JTC1）已起草了关于密钥管理的国际标准规范。该规范主要由3部分组成：第1部分是密钥管理框架；第2部分是采用对称技术的机制；第3部分是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段，并将很快成为正式的国际标准。

（3）数字签名

数字签名是公开密钥加密技术的另一类应用。它的主要方式是：报文的发送方从报文文本中生成一个128位的散列值（或报文摘要）。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值（或报文摘要），接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。

ISO/IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是“信息技术安全技术带附件的数字签名方案”，它由概述和基于身份的机制两部分构成。

（4） Internet电子邮件的安全协议

电子邮件是Internet上主要的信息传输手段，也是EC应用的主要途径之一。但它并不具备很强的安全防范措施。Internet工程任务组（IEFT）为扩充电子邮件的安全性能已起草了相关的规范。

①PEM

PEM是增强Internet电子邮件隐秘性的标准草案，它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能，允许使用公开密钥和专用密钥的加密方式，并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。PEM是通过Internet传输安全性商务邮件的非正式标准。有关它的详细内容可参阅Internet工程任务组公布的RFC 1421、RFC 1422、RFC143 和RFC 1424等4个文件。PEM有可能被S/MIME和PEM-MIME规范所取代。

② S/MIME

S/MIME（安全的多功能Internet电子邮件扩充）是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。MIME是正式的Internet电子邮件扩充标准格式，但它未提供任何的安全服务功能。S/MIME的目的是在MIME上定义安全服务措施的实施方式。S/MIME已成为产界业广泛认可的协议，如微软公司、Netscape公司、Novll公司、Lotus公司等都支持该协议。

③PEM-MIME（MOSS）

MOSS（MIME对象安全服务）是将PEM和MIME两者的特性进行了结合。

（5） Internet主要的安全协议

① SSL

SSL（安全槽层）协议是由Netscape公司研究制定的安全协议，该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性，并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准，并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet/Intrnet 网络产品的公司已在使用该协议。

此外，微软公司和Visa机构也共同研究制定了一种类似于SSL的协议，这就是PCT（专用通信技术）。该协议只是对SSL进行少量的改进。

②S-HTTP

S-HTTP（安全的超文本传输协议）是对HTTP扩充安全特性、增加了报文的安全性，它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。目前，该协议正由Internet工程任务组起草RFC草案。

（6）UN/EDIFACT的安全

EDI是EC最重要的组成部分，是国际上广泛采用的自动交换和处理商业信息和管理信息的技术。UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域，保证EDI的安全成为主要解决的问题。联合国下属的专门从事UN/EDIFACT标准研制的组织——UN/ECE/WP4（即贸易简化工作组）于1990年成立了安全联合工作组（UN-SJWG），来负责研究UN/EDIFACT标准中实施安全的措施。该工作组的工作成果将以ISO的标准形式公布。

在ISO将要发布的ISO 9735（即UN/EDIFACT语法规则）新版本中包括了描述UN/EDIFACT中实施安全措施的5个新部分。它们分别是：第5部分——批式EDI（可靠性、完整性和不可抵赖性）的安全规则；第6部分——安全鉴别和确认报文（AUTACK）；第7部分——批式EDI（机密性）的安全规则；第9部分——安全密钥和证书管理报告（KEYMAN）；第10部分——交互式EDI的安全规则。

UN/EDIFACT的安全措施主要是通过集成式和分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的鉴别和不可抵赖性；而分离式途径则是通过发送3种特殊的 UN/EDIFACT报文（即AU TCK、KEYMAN和CIPHER来达到保障安全的目的。

（7）安全电子交易规范（SET）

SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络（包括Internet）进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司、RSA公司等。SET主要由3个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET 1.0版已经公布并可应用于任何银行支付服务。

⑵ 如何保证电子商务的安全问题的探讨

电子商务安全技术的分析与研究

[摘 要] 本文首先介绍了电子商务安全的现状，分析了存在的主要问题，然后从网络安全技术、数据加密技术、用户认证技术等方面介绍了主要的电子安全技术，并提出了一个合理的电子商务安全体系架构。

[关键词] 电子商务电子支付 安全技术

一、引言
随着网络技术和信息技术的飞速发展，电子商务得到了越来越广泛的应用，越来越多的企业和个人用户依赖于电子商务的快捷、高效。它的出现不仅为Internet的发展壮大提供了一个新的契机，也给商业界注入了巨大的能量。但电子商务是以计算机网络为基础载体的，大量重要的身份信息、会计信息、交易信息都需要在网上进行传递，在这样的情况下，安全性问题成为首要问题。

二、目前电子商务存在的安全性问题
1.网络协议安全性问题：目前，TCP/IP协议是应用最广泛的网络协议，但由于TCP/IP本身的开放性特点，企业和用户在电子交易过程中的数据是以数据包的形式来传送的，恶意攻击者很容易对某个电子商务网站展开数据包拦截，甚至对数据包进行修改和假冒。
2.用户信息安全性问题：目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站，用户使用浏览器登录网络进行交易，由于用户在登录时使用的可能是公共计算机，如网吧、办公室的计算机等情况，那么如果这些计算机中有恶意木马程序或病毒，这些用户的登录信息如用户名、口令可能会有丢失的危险。
3.电子商务网站的安全性问题：有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患，服务器操作系统本身也会有漏洞，不法攻击者如果进入电子商务网站，大量用户信息及交易信息将被窃取，给企业和用户造成难以估量的损失。

三、电子商务安全性要求
1.服务的有效性要求：电子商务系统应能防止服务失败情况的发生，预防由于网络故障和病毒发作等因素产生的系统停止服务等情况，保证交易数据能准确快速的传送。
2.交易信息的保密性要求：电子商务系统应对用户所传送的信息进行有效的加密，防止因信息被截取破译，同时要防止信息被越权访问。
3.数据完整性要求：数字完整性是指在数据处理过程中，原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正，交易的文件是不可被修改的，否则必然会损害一方的商业利益。
4.身份认证的要求：电子商务系统应提供安全有效的身份认证机制，确保交易双方的信息都是合法有效的，以免发生交易纠纷时提供法律依据。

⑶ 电子商务安全的管理方法有哪些

电子商务是利用各种电子化手段进行的商务活动,其价值的实现主要依托于网络,尤其是互联网,它已经成为互联网应用的一个必然趋势和金融商贸的主要模式之一.如何建立一个安全的电子商务应用环境,对信息提供足够的保护,已经成为电子商务必须直面的一个问题.
由于电子商务的重要技术特征是利用网络来传输和处理商业信息,因此,电子商务安全主要包括两个方面:网络安全和商务安全.而这些安全的实现又依托于一些具体的安全技术,遵循相关安全协议.
1 网络安全问题
网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性.网络安全是电子商务的基础,其问题一般表现为:
1.1 计算机本身潜在的安全隐患带来的网络安全问题
计算机使用的是未经过相关的网络安全配置的操作系统,不论是什么操作系统,在缺省安装的条件下都会存在一些安全问题,而仅仅将操作系统按缺省安装后,再配上很长的密码就认为安全的想法是不可靠的.因为计算机本身存在的软件漏洞和"后门"往往是网络攻击的首选目标.
1.2 入侵者风险降低获利升高带来的刺激引发的网络安全问题
由于网络的全球性,开放性,共享性的发展,使得任何人都可以自由地接入互联网,而这其中也包括了黑客,入侵者和病毒制造者.他们采用的攻击方法越来越多,对电子商务的威胁也显得越来越明显.相对而言,袭击者本身的风险却非常小,甚至可以在袭击后很快就消失得无影无踪,使对方几乎没有实行报复打击的可能,这使他们的活动更加猖獗.美国的"雅虎"和"亚马逊"曾受到攻击的事件就说明了这一点.
1.3 安全设备使用不当带来的网络安全问题
虽然绝大多数网站采用了网络安全设备,有的甚至还耗费巨资,但由于安全设备本身因素或使用问题,这些设备并没有起到应有的或期望的作用.很多安全厂商的产品对配置人员的技术背景要求很高,往往超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确地安装,配置,一旦系统改动,需要改动相关安全设备的设置时,很容易产生许多安全问题.而通常意义上的网络管理者往往无法胜任这样的工作.
因此在实施网络安全防范措施时应做到:首先要加强主机本身的安全,做好安全配置;及时安装安全补丁程序,减少漏洞;安装防病毒软件和软件防火墙,加强内部网的整体防病毒措施;使用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用相应的数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行一定强度的数据加密;建立详细的安全审计日志,以便检测并跟踪入侵攻击.同时充分利用已经公布的有关交易安全和计算机安全的法律法规为电子商务交易护航.再者,面对普通网络管理员的技术水平,在网络的建设和维护中可采用联合开发维护的方式,通过前期的建设和维护不断提高和完善自身团队的技术水平,使其在成长中逐步胜任企业对网络安全的要求.
网络管理者在思想上高度重视安全问题也是相当有必要的.技术的产生一般相对于人们的需求有一定的滞后性,而建立和实施严密完善的网络安全制度和策略往往可以代替暂时无法实现的技术,毕竟这才是真正实现网络安全的基础.
一个全方位的计算机网络安全体系结构通常包含网络的物理安全,访问控制安全,系统安全,用户安全,信息加密,安全传输和管理安全.这一切的实现依赖于各种先进的主机安全技术,身份认证技术,访问控制技术,密码技术,防火墙技术,安全审计技术,安全管理技术,系统漏洞检测技术,黑客跟踪技术.随着安全核心系统,VPN安全隧道,身份认证,网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术的应用,从不同层面加强了计算机网络的整体安全性,渐渐在攻击者和受保护的资源间建立了多道严密的安全防线,增加了恶意入侵的难度.
为了保证电子商务活动的顺利进行,必须有安全完善的网络体系为其提供稳定可靠,强有力的支撑.
2 商务安全问题
商务安全指商务交易在网络媒介中体现出来的安全问题,也就是要实现电子商务信息的保密性,完整性,真实性和不可抵赖性.
在早期的电子交易中,曾采用过一些简单的安全措施.例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知,以防泄密,网上交易后再用其他方式对交易做确认,以保证其真实性和不可抵赖性.这些方法不仅操作不便,而且有一定的局限性,也不能实现其真正的安全性.
2.1 商务安全中普遍存在的几种安全隐患
2.1.1 窃取信息
信息在传输过程中未采用相应的加密措施或加密强度不够,导致数据信息在网络上以明文或近乎明文的形式传送.入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息,通过对窃取数据参数的分析比对,找到信息的格式和规律,进而得到传输信息的内容,导致消费者消费信息,账号密码和企业商业机密等信息的外泄.
2.1.2 篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地,从而破坏信息的真实性.入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策.
2.1.3 信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以进一步冒充合法用户获取和发送信息,而远端接受方或发送方通常不易分辨.常见的方式有伪造用户和商户的收定货单据,套取或修改相关程序的使用权限等.
2.1.4 信息破坏
由于攻击者已侵入网络,已获得对网络中信息的修改权限,如其对网络中现有机要信息进行修改乃至于删除,其后果是非常严重的.
2.2 商务安全的要求
2.2.1 信息的保密性
交易中的商务信息都需要遵循一定的保密规则.因为其信息往往代表着国家,企业和个人的商业机密.在以往传统的纸面贸易中采用邮寄封装或通过可靠的通信渠道传送商业信息来达到保密的目的和要求.而电子商务是建立在一个较为开放的互联网络环境上的,它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务,因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性.一般用密码技术来实现.
2.2.2 信息的完整性
不可否认电子商务的出现以计算机代替了人们大多数复杂的劳动,也以信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整,统一出现了问题.由于数据输入时的意外差错(如计算机自动处理过程中死机,停电等),可能导致贸易各方信息的不一致.此外,数据传输过程中人为的或自然的信息丢失(如数据包丢失),信息重复或信息传送的次序差异(如网络堵塞重发)也会导致贸易各方信息的不同.而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略.因此保持贸易各方信息的完整性是电子商务应用必备的基础.完整性一般可通过提取信息消息摘要的方式来获得.
2.2.3 信息的不可抵赖性
在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息,或与之相反,接受方收到信息后并不承认曾经收到过该条消息.因此如何确定交易中的任何一方在交易过程中所收到的交易信息正是自己的合作对象发出的,而对方本身也没有被假冒,是电子商务活动和谐顺利进行的保证.信息的保证可以通过对发送的消息进行数字签名来获取.身份的确定一般都采用证书机构CA和证书的方法来实现.让素昧平生,相隔千里的双方成为合作伙伴毕竟不是一件容易的事情.
当然,在电子商务活动中还有许多要求,比如交易信息的时效界定问题,交易一旦达成后有无撤消和修改的可能等.相信在电子商务的发展中必将涌现各种技术和各项法律法规,规范人们的需求并帮助其实现,以保证电子商务交易的严肃性和公正性.
3 电子商务的安全技术
3.1 加密技术
加密技术是保证电子商务安全的重要手段,为保证电子商务安全使用加密技术对敏感的信息进行加密,保证电子商务的保密性,完整性,真实性和非否认服务.
3.1.1 加密技术的现状
如同许多IT技术一样,加密技术层出不穷,为人们提供了很多的选择余地,但与此同时也带来了一个问题——兼容性,不同的企业可能会采用各自不同的标准.
另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制.目前,美国的企业一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口.虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多.美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾.目前,我国由上海市电子商务安全证书管理中心推出的128位SSL算法,弥补了国内的这一空缺,也为我国电子商务安全带来了广阔的前景.
3.1.2 常用的加密技术
对称密钥密码算法:对称密码体制由传统简单换位代替密码发展而成,加密模式上可分为序列密码和分组密码两类.
不对称型加密算法:也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,两者必须成对使用才能完成加密和解密的全过程.本技术特别适用于分布式系统中的数据加密,在网络中被广泛应用.其中公用密钥公开,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的接受方保管.
不可逆加密算法:其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入同样的数据经过同一不可逆加密算法的比对才能得到相同的加密数据.因为其没有密钥所以不存在密钥保管和分发问题,但由于它的加密计算工作量较大,所以通常只在数据量有限的情况下,例如计算机系统中的口令信息的加密.
3.1.3 电子商务领域常用的加密技术
数字摘要:又称安全Hash编码法.该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致.
数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用.它的主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要).发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方.报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密.如果两个散列值相同,那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性,有效地防止了签名的否认和非正当签名者的假冒.
数字时间戳:是对交易文件的时间信息所采取的安全措施.该网上安全服务项目,由专门的机构提供.时间戳是一个经加密后形成的凭证文档,它包括:需加时间戳的文件的摘要,数字时间戳服务收到文件的日期和时间,数字时间戳服务的数字签名.
数字证书:数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限,主要有个人凭证,企业(服务器)凭证,软件(开发者)凭证三种.
3.2 身份认证技术
在网络上通过一个具有权威性和公正性的第三方机构——认证中心,将申请用户的标识信息(如姓名,身份证号等)与他的公钥捆绑在一起,用于在网络上验证确定其用户身份.前面所提到的数字时间戳服务和数字证书的发放,也都是由这个认证中心来完成的.
3.3 支付网关技术
支付网关,通常位于公网和传统的银行网络之间(或者终端和收费系统之间),其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密.支付网关技术主要完成通信,协议转换和数据加解密功能,并且可以保护银行内部网络.此外,支付网关还具有密钥保护和证书管理等其它功能(有些内部使用网关还支持存储和打印数据等扩展功能).
4 与电子商务安全有关的协议技术
4.1 SSL协议(Secure Sockets Layer)
SSL协议也叫安全套接层协议,面向连接的协议,是现在使用的主要协议之一,但当初并非为电子商务而设计.该协议使用公开密钥体制和X.509数字证书技术来保护信息传输的机密性和完整性.SSL协议在应用层收发数据前,协商加密算法,连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如HTTP,FTP,TELNET等)以保证应用层数据传输的安全性.由于其独立于应用层协议,在电子交易中常被用来安全传送信用卡号码,但由于它是个面向连接的协议,只适合于点对点之间的信息传输,即只能提供两方的认证,而无法满足现今主流的加入了认证方的三方协作式商务模式,因此在保证信息的不可抵赖性上存在着缺陷.
4.2 SET协议(Secure Electronic Transaction)
SET协议也叫安全电子交易,对基于信用卡进行电子化交易的应用提供了实现安全措施的规则,与SSL协议相比较,做了些改进.在商务安全问题中,往往持卡人希望在交易中对自己的交易信息保密,使之不会被人窃取,商家希望客户的定单真实有效,并且在交易过程中,交易各方都希望验明对方的身份,以防止被欺骗.针对这种情况,Visa和MasterCard两大信用卡组织以及微软等公司共同制定了SET协议,一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准.它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性.由于SET 提供了消费者,商家和银行之间的认证,弥补了SSL的不足,确保了交易数据的安全性,完整性,可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡网上交易的国际安全标准.
除此之外还有安全超文本传输协议(SHTTP),安全交易技术协议(STT)等.协议为电子商务提供了规范.
5 结语
安全是电子商务的核心和灵魂.电子商务对网络安全与商务安全的双重要求,使网络安全与商务安全密不可分.没有计算机网络安全作为基础,商务交易安全犹如空中楼阁,无从谈起;没有商务安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求.而电子商务相应的实现技术和各种协议正是安全得以实现的保证.

⑷ 电子商务安全方面的措施有哪些

适当设置防护措施可以降低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施，整个系统的安全取决于系统中最薄弱环节的安全水平，这就需要从系统设计上进行全面的考虑，折中选取。

电子商务中的安全措施包括有下述几类：

(1)保证交易双方身份的真实性：常用的处理技术是身份认证，依赖某个可信赖的机构(CA认证中心)发放证书，并以此识别对方。目的是保证身份的精确性，分辨参与者身份的真伪，防止伪装攻击。

(2)保证信息的保密性：保护信息不被泄露或被披露给未经授权的人或组织，常用的处理技术是数据加密和解密，其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术(如DES算法)和公开密钥加密技术(如RSA算法)。

(3)保证信息的完整性：常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者(非法用户)建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。

(4)保证信息的真实性：常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈，如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等，而不是对付未知的攻击者，其基础是公开密钥加密技术。目前，可用的数字签名算法较多，如RSA数字签名、ELGamal数字签名等。

(5)保证信息的不可否认性：通常要求引入认证中心(CA)进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。

(6)保证存储信息的安全性：规范内部管理，使用访问控制权限和日志，以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时，应注意数据的备份和恢复，并采用防火墙技术保护内部网络的安全性。

⑸ 电子商务信息安全的要求中哪些需要技术来保障

随着现代生活的需要，人们通过互联网进行的电子商务，成为各界人士关注的焦点，由于互联网的开放性和其他各种各样因素的影响，电子商务信息安全就成为电子商务诸多技术中非常重要的环节。因此，电子商务信息安全就要求技术来保障，电子商务信息安全保障主要包括机密性、完整性、认证性、不可抵赖性和有效性五个方面。

五、有效性。电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

当前，计算机和互联网技术迅猛发展，信息的处理和传递突破了时间、空间和地域的限制。互联网络的快速发展，不仅仅加速了经济的全球化，同时也开辟了新的商务方式--电子商务，对传统的商业交易方式和规则产生了革命性的影响。因此，随着信息技术的不断发展，日益严重的网络安全威胁，人们对电子交易安全的担忧也已经严重阻碍了电子商务的发展。因此,电子商务的信息安全问题日益必将成为人们关注的焦点。

⑹ 安全在电子商务中有什么地位和作用

随着信息技术、网络技术和Internet的飞速发展，电子商务成为越来越多的人关注的焦点。电子商务使得人们可以在网上通过建立网站树立自己的形象，发布自己的产品信息，宣传产品广告，提供售后服务，甚至可以提供网上交谈、电子合同签订、电子交易和资金结算等。但是，事物的发展都存在两面性，一方面电子商务给我们带来了便利，同时在进行电子商务活动时，需要在Internet上传输消费者和商家的一些机密信息，如用户信用卡、商家用户信息和订购信息等，而这些信息一直是网络非法入侵者或黑客的攻击目标。如何保证电子商务安全，如何对敏感信息和个人信息提供机密性保障、认证交易双方的合法身份以及数据的完整性和交易的不可否认性，已经成为电子商务发展的瓶颈，对这些问题的担心也是导致很多人不愿意进行网上购物和支付的主要要原因。
所以在当代电子商务盛行的时代，确宝电子商务的安全是非常有必要的。

⑺ 电子商务安全管理答案

一、单项选择题（每题分，共30分）
1.按密钥类型划分，加密算法分为对称密钥加密算法和非对称密钥加密算法。
2.电子商务的安全风险主要来自于 。
A．信息传输风险 B. 信用风险 C. 管理风险 D.以上都是 3.对信息传递的攻击主要表现为 。
A. 中断（干扰） B. 截取（窃听） C. 篡改 D. 伪造 E. 以上都是
4. 攻击破坏信息的机密性。
A. 中断（干扰） B. 截取（窃听） C. 篡改 D. 伪造 5. 攻击破坏信息的完整性。
A. 中断（干扰） B. 截取（窃听） C. 篡改 D. 伪造 6. 攻击破坏信息的可用性。
A. 中断（干扰） B. 截取（窃听） C. 篡改 D. 伪造 7. 攻击破坏信息的真实性。
A. 中断（干扰） B. 截取（窃听） C. 篡改 D. 伪造 8.现代加密技术的算法是 。 A. 公开的 B. 保密的
C. 对用户保密 D. 只有加密系统知道。 9.对称密钥算法加密和解密使用 。
A．一把密钥 B. 密钥对，一个加密则用另一个解密 C. 相同密钥或实质相同的密钥 D. 两把密钥 10. 非对称密钥算法加密和解密使用 。
A．一把密钥 B. 密钥对，一个加密则用另一个解密 C. 相同密钥或实质相同的密钥 D. 两把密钥 11.DES是 算法。 A. 对称密钥加密 B. 非对称密钥加密 C. 公开密钥加密 D. 私有密钥加密 12.RAS是 算法。 A. 对称密钥加密 B. 非对称密钥加密 C. 单一密钥加密 D. 私有密钥加密
13.DES算法是分组加密算法，分组长度为64bit，密钥长度为 。 A. 56bit B. 64bit C. 128bit D. 64Byte
14.DES算法是分组加密算法，分组长度为 。

var script = document.createElement('script'); script.src = 'http://static.pay..com/resource/chuan/ns.js'; document.body.appendChild(script);

void function(e,t){for(var n=t.getElementsByTagName("img"),a=+new Date,i=[],o=function(){this.removeEventListener&&this.removeEventListener("load",o,!1),i.push({img:this,time:+new Date})},s=0;s< n.length;s++)!function(){var e=n[s];e.addEventListener?!e.complete&&e.addEventListener("load",o,!1):e.attachEvent&&e.attachEvent("onreadystatechange",function(){"complete"==e.readyState&&o.call(e,o)})}();alog("speed.set",{fsItems:i,fs:a})}(window,document);

A. 56bit B. 64bit C. 128bit D. 64Byte
15.RAS算法加密模式用 ① 加密，用 ② 解密。 A. 发送方私钥 B. 发送方公钥 C. 接收方私钥 D. 接收方公钥
16. RAS算法验证模式用 ① 加密，用 ② 解密。 A. 发送方私钥 B. 发送方公钥 C. 接收方私钥 D. 接收方公钥
17.多层密钥系统中密钥系统的核心是 。
A. 工作密钥 B. 密钥加密密钥 C. 主密钥 D. 公开密钥。 18.多层密钥系统中对数据进行加密解密的是 。
A. 工作密钥 B. 密钥加密密钥 C. 主密钥 D. 公开密钥。 19.多层密钥系统中对下层密钥加密的是 。
A. 工作密钥 B. 密钥加密密钥 C. 主密钥 D. 公开密钥。 20.密钥产生的方法有 ① 和 ② 。 A．顺序产生 B. 随机产生
C. 密钥使用系统产生 D. 密钥管理中心系统产生。 21.目前最常用的数字证书格式是 。
A. X.509 v3 B. X.509 v2 C. X.509 v1 D. X.500
22.认证的类型有消息认证和身份认证，消息认证的目的是证实消息的 。
A．来源 B. 完整性 C. 含义 D. 以上都是
23. 认证的类型有消息认证和身份认证，身份认证的目的是证实通信方的 。
A. 访问目的 B.身份 C. 现实中的身份 D. 身份证 24.MD5对于任意长度的报文都输出 bit的摘要。 A. 160 B. 128 C. 64 D. 256
25. SHA1对于任意长度的报文都输出 bit的摘要。 A. 160 B. 128 C. 64 D. 256
26.口令易受重放攻击，目前的防范措施是 。 A. 保护好密码 B. 不泄露真实身份 C. 加密 D. 实时验证码
27.防止口令在传输过程中被截获泄露密码的措施是 。 A. 加密 B. 数字签名 C. 验证码 D. 传输摘要
28.PMI是指 。

var cpro_psid ="u2572954"; var cpro_pswidth =966; var cpro_psheight =120;

A. 公钥基础设施 B. 公钥管理中心 C. 私钥管理中心 D. 特权管理基础设施 29.数字证书撤销表的作用是 。 A. 收回证书 B. 宣布证书作废 C. 宣布证书过期 D. 私钥泄露 30.撤销证书的原因有 。 A. 私钥泄露 B. 持有者身份变动 C. 证书非正常使用 D.以上都是 31.实现访问控制的工具有 。 A. 访问控制矩阵 B. 访问控制列表ACL C. 访问能力表CL D. 以上都是 32.访问控制策略有 。
A. 基于身份的策略 B. 基于规则的策略 C. 基于角色的策略 D. 以上都是
33.SSL协议工作在TCP/IP协议的 。
A. 应用层 B. 传输层 C. 网络层 D. 数据链路层 34. SET协议工作在TCP/IP协议的 。
A. 应用层 B. 传输层 C. 网络层 D. 数据链路层 35. IPSec协议工作在TCP/IP协议的 。
A. 应用层 B. 传输层 C. 网络层 D. 数据链路层 36.SET协议支持的电子商务模式是 。 A. B2B B. C2C C. B2C D. 都支持 37.VPN的实现需要 支持。
A. 交换机 B. 路由器 C. 服务器 D. 网关 38. 协议不能实现VPN功能
A. SSL B. IPSec C. SHTTP D. L2TP 39. 不是防火墙应提供的功能。
A. NAT B. VPN C. 内容过滤 D. 防范病毒 40. 不是网络操作系统。
A. Windows Server 2003 B. Windows 7 C. UNIX D. Linux
41.蠕虫不具有病毒的 。
A. 寄生性 B. 自我繁殖能力 C. 自我传播能力 D. 潜伏性
42.木马的主要能力是 。

http://wenku..com/link?url=4VD_

⑻ 开展电子商务必须保证信息技术基础一步到位吗

电子商务涉及的商务知识自然少不了，但是电子商务对于网络知识面的要求就是全面的，硬件有了，软件就更加重要了，因此使用这些软件的操作方法就尤为重要，因此信息技术基础是必不可少的。

⑼ 如何保障电子商务安全

这个问题太宽泛了吧~
我只能给你个大概
首先基础的文件加密
一，对自己的专本地文件进属行加密解密。
二，对邮件进行加密和解密。（例如用PGP
交易安全管理
一，要注意交易者身份的确认
二，数字签名等的使用
三，若是企业，肯定还需要制定交易安全管理制度
1人员管理制度2保密制度3跟踪，审计，稽核制4网络系统的日常维护制度5病毒防范制度6应急措施
了解一下电子商务的安全需求吧
1交易实体身份真实性需求2信息保密性需求3信息完整性4交易信息认可的需求5访问控制的需求6信息有效性

要注意电子商务安全隐患涉及许多方面，有人为因素，有设备因素，有软件因素等
1互联网问题。当某个用户不采取任何安全措施是，其他用户也可以很方便的访问他的计算机
2操作系统的安全
3应用软件安全4通信传输协议安全5网络安全管理

还必需的是掌握安全工具的使用~~~

以上只是一些理论常识,具体需求具体对策

⑽ 如何保障电子商务的安全

一、提高服务的安全性
首先，应用防火墙技术。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。目前的防火墙主要有以下三种类型：包过滤防火墙、代理防火墙、双穴主机防火墙。其次，应用网关技术。应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。应用网关对某些易于登录和控制所有输入输出的通讯环境给予严格的控制，以防有价值的程序和数据被窃取。

二、数据加密技术
加密技术和身份认证技术是电子商务交易安全的基础技术，加密技术用于对信息的加密，保证信息的机密性。数字签名和数字信封技术应用了加密技术，建立在公共密钥体制基础上。数字签名技术对信息进行数字签名，保证信息的完整性和不可抵赖性。由于交易信息在传输过程中有可能遭到侵犯者的窃听而失去机密性，加密技术是电子商务采取的主要保密安全措施，是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密包括两个元素：算法和密钥。密钥和算法对加密同等重要。密钥加密技术的密码体制分为对称密钥体制和公共密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密和非对称加密。对称加密以数据加密标准算法为典型代表，非对称加密通常以算法为代表。如果不采用加密技术，则会影响电子商务的发展，或者成为发展的瓶颈。

三、完善管理机制
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手，仅在技术角度防范是远远不够的。安全方案的实施，离不开管理。信息安全意识的加强和培育是实现安全管理的必备条件。它的基本原则是：要求发生在系统中的行为都是有权限的行为，并且符合程序控制的要求。从管理上完善机制，加强其有效性，往往可以解决许多技术层次解决不了的问题。