电子商务安全集锦9篇

时间：2023-03-15 14:53:01

电子商务安全

电子商务安全范文1

[关键词] 电子商务信息安全网络安全交易安全技术保障

电子商务是利用互联网络进行的商务活动。电子商务有多种定义，但内涵大致相同，即电子商务是利用电子数据交换、电子邮件、电子资金转账等方式及互联网的主要技术在个人、企业和国家之间进行的网上广告及交易活动，内容包括商品及其订购信息、资金及其支付信息、安全及其认证信息等方面。信息安全是指利用网络管理控制和技术措施,防止网络本身及网上传输的信息财产被故意的或偶然的非授权泄漏、更改、破坏,或使网上传输的信息被非法系统辨认、控制。电子商务信息安全的具体表现有:窃取商业机密；泄漏商业机密；篡改交易信息，破坏信息的真实性和完整性；接收或发送虚假信息，破坏交易、盗取交易成果;伪造交易信息；非法删除交易信息；交易信息丢失；病毒破坏;黑客入侵等。随着互联网的快速扩张和电子商务的迅猛发展，电子商务系统的安全性已受到计算机病毒、网络黑客、计算机系统自身防御性脆弱等方面的严峻挑战。

一、我国电子商务发展及其信息安全现状

我国电子商务始于20上世纪90年代，政府主导相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐。目前，我国电子商务的广度和深度空前扩展，已经深入国民经济和日常生活的各个方面。艾瑞市场咨询公司最新的调查数据显示：截至2006年底，中国网络购物市场总用户数达到 4310万人，b2c和c2c总交易额分别为82亿元和230亿元。然而，据中国互联网络信息中心（cnnic）的一份最新调研显示，只有约15%的网民平时有网上购物的习惯，而不选择网络购物的原因主要由于对网站不信任、怕受骗，担心商品质量问题和售后服务，质疑其安全性等。

电子商务自从诞生之日起，安全问题就像幽灵一样如影随形而至，成为制约其进一步发展的重要瓶颈。电子商务系统的安全是与计算机安全尤其是计算机网络安全密切相关的，综合当前电子商务所面临的网络安全现状不容乐观。公安部公布了2006 年全国信息网络安全调查结果，结果显示，半数以上的被调查单位发生过信息网络安全事件，病毒或木马程序感染率达84%，目前，全国已有8成左右的单位安装了防火墙和病毒查杀系统。对数据统计分析，2005年5月至2006年5月间，有54％的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序为84%，遭到端口扫描或网络攻击的占36%，垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73%。

二、电子商务安全威胁的主要方面

电子商务的一个重要技术特征是利用it技术来传输和处理商业信息。因此，从整体而言，电子商务安全有计算机网络安全和商务交易安全两个方面。计算机网络安全是商务交易安全的基础；商务交易安全是电子商务安全的主要内容。

计算机网络安全的内容主要包括：计算机网络设备安全、计算机网络系统安全。网络设备安全是指保护计算机主机硬件和物理线路的安全，保证其自身的可靠性和为系统提供基本安全前提；设备安全风险来自硬件器件与部件失效、老化、损害，自然雷击、静电、电磁场干扰等多方面，有人为因素还有自然灾害所引起的故障。例如，2006年12月26日，我国台湾附近海域发生强烈地震，造成中美海缆等6条国际海底通信光缆发生中断，使附近国家和地区的国际和地区性通信受到严重影响，给有关企业和个人造成巨大影响和严重经济损失。网络系统安全是指保护用户计算机、网络服务器等网络资源上的软件系统能正常工作，网络通信及其网络操作能安全、正常完成。网络系统安全风险来自系统的结构设计缺陷、网络安全配置缺陷、系统存在的安全漏洞、恶意的网络攻击和病毒侵入等多方面。网络系统安全是计算机网络安全的主要方面。计算机网络安全的特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。

商务交易安全是指商务活动在公开网络上进行时的安全，其实质是在计算机网络安全的基础上，保障商务过程顺利进行，即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性，核心内容是电子商务信息的安全。一般情况下，我们可以把电子商务安全归结为电子商务信息的安全。目前，电子商务主要存在的安全威胁有：

1.身份仿冒

攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益。主要表现有：冒充他人身份、冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户、使用欺诈邮件和虚假网页设计设骗。近年来随着电子商务、网上结算、网上银行等业务在日常生活中的普及，网络仿冒已经成为电子商务应用的主要威胁之一。

2.未经授权的访问

未经授权而不能接入系统的人通过一定手段对认证性进行攻击，假冒合法人接入系统，实现对文件进行篡改、窃取机密信息、非法使用资源等。一般采取伪装或利用系统的薄弱环节（如绕过检测控制）、收集情报（如口令）等方式实现。

3.服务拒绝

攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯，扰乱正常的资讯通道。包括：虚开网站和商店、伪造用户，对特定计算机大规模访问等，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应。

4.恶意程序侵入

任何系统都可能是有漏洞的，漏洞的存在给恶意程序侵入提供了可乘之机。恶意程序是所有含有特殊目的、非法进入计算机系统、并待机运行，能给系统或者网络带来严重干扰和破坏的程序的总称。一般可以分为独立运行类(细菌和蠕虫)和需要宿主类(病毒和特洛依木马)。恶意程序是网络安全的重要天敌，具有防不胜防的重大破坏性。例如：网络蠕虫是一种可以不断复制自己并在网络中传播的程序，蠕虫的不断蜕变并在网络上的传播，可能导致网络阻塞，致使网络瘫痪，使各种基于网络的电子商务等应用系统失效。

5.交易抵赖和修改

有些用户企图对自己在网络上发出的有效交易信息刻意抵赖，安全的电子商务系统应该有措施避免交易抵赖。为保证交易双方的商业利益、维护交易的严肃和公正，电子商务的交易文件也应该是不可修改的。

6．其他安全威胁

电子商务安全威胁种类繁多、来自各种可能的潜在方面，有蓄意而为的，也有无意造成的，例如电子交易衍生了一系列法律问题：网络交易纠纷的仲裁、网络交易契约等问题，急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。

三、电子商务安全的技术保障机制

电子商务安全包括网络安全和交易安全。因此，电子商务安全技术主要有计算机网络安全技术和商务交易安全技术两方面的保障机制。

1.计算机网络安全技术

网络安全技术伴随着网络的诞生就出现，如今已出现了日新月异的变化。vpn安全隧道、防火墙和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。目前，主要的网络安全保障技术有：

(1)vpn安全隧道，vpn即虚拟专用网(virtual private network)，是一条穿过混乱的公用网络的安全、稳定的隧道。 vpn架构中采用了多种安全机制,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

(2)防火墙技术,防火墙是企业内部网络和外网之间的一套安全屏障。防火墙能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

(3)病毒防护和入侵检测技术, 病毒防护技术可降低病毒和恶意代码攻击风险，并防止有害软件通过服务器或网络执行和传播。入侵检测系统则能够帮助网络系统快速发现攻击的发生，扩展系统管理员的安全管理能力，从而提高信息安全基础结构的完整性。

2.商务交易安全技术

商务交易安全是为了实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。它是电子商务交易过程中最核心和最关键的安全问题。目前，主要的商务交易安全保障技术有：

(1)数据加密技术, 加密一般是利用密码算法把可懂的信息变成不可懂的信息。利用各种复杂的加密算法，通过对网络中传输的信息进行数据加密，用很小的代价即可为信息提供相当大的安全保护。

(2)数字签名技术,数字签名是通过密码算法对数据进行加、解密变换实现的。应用广泛的数字签名方法主要有三种，即：rsa签名、dss签名和hash签名。这三种算法可单独使用，也可综合在一起使用。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中，都要用到数字签名技术。

(3)安全协议技术,使用set和ssi等安全协议能有效地保障交易安全。set即安全电子交易（secure electronic transaction）的简称，set 提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，已成为目前公认的信用卡/借记卡的网上交易的国际安全标准。ssl即安全套接层（secure sockets layer）协议的简称，主要用于提高应用程序之间数据的安全系数。

四、结束语

电子商务的安全威胁既有来自恶意攻击、防范疏漏，还可能来自管理松散、操作疏忽等方面。因此，保障电子商务安全是一项综合工程。除了主要从技术上提高防范和保障机制外，还需要单位完善网络系统管理体制，人员加强信息安全意识。另外，电子商务实践要求有透明、和谐的交易秩序和环境保障，为此还需要政府建立和完善相应的法律体系。

参考文献:

[1]王云峰:信息安全技术及策略 [j].广东广播电视大学学报，2006,(1):101-104

[2]殷凤琴赵喜清王新钢:我国电子商务安全问题的表现来源和对策[j].商场现代化,2007年6月（上旬刊）总第505期：90-91

[3]刘明珍:电子商务中的信息安全技术[j]．湖南人文科技学院学报，2006,(6):89-93

[4]肖质红:电子商务的安全问题和系统建设[j]．集团经济研究，2006年9下旬刊（总第207期）：250

电子商务安全范文2

关键词：电子商务；安全技术

电子商务不同于传统的经济交易模式，是一种依托计算机技术与互联网平台而建立起来的新型交易模式。电子商务提供给消费者更多的消费选择、更丰富的消费种类以及更方便快捷的交易方式。近年来，电子商务在我国乃至全球都处于一种高速发展的态势，与此同时，由于电子商务建立在互联网这样一个开放的交流平台上，利用现代信息技术，交易方之间的联系相比传统的交易方式也更加多样且密切。互联网本身就存在各种安全问题，电子商务的安全问题也就越来越突出。牵一发而动全身，网络交易中出现的安全问题会使小至个人交易，大至国家金融都受到威胁。提高电子商务的安全性迫在眉睫。

1电子商务的安全问题

在电子商务发展的过程中最主要的一个问题就是要切实保障交易双方在交易过程中的安全性。目前我国电子商务的安全技术比较落后，缺乏国际水平的安全技术的加持。设备体系不够健全、完善。保证安全性的产品技术不过硬，不能够适应越来越复杂的电子交易环境。在电子商务的发展过程中，容易出现各种人为导致或自然产生的机器与系统故障，以及来自内部和外部的病毒入侵。严重影响到电子商务的安全。在交易过程中，则存在买卖双方的欺诈行为，各种不良交易方式与投机手段，对买家的个人信息进行窃取，不承认交易事项等。

2电子商务安全的要素

1）有效性。电子商务的发展需要我们对更多的经济事项予以确认。信息的有效性保证到交易过程中每一位参与者的利益。要对信息技术与网络过程中的问题与故障做到有效、及时的预防与处理，防止各种病毒的入侵，技术故障对正常交易的影响。并保证交易过程中数据等的有效性。2）机密性。传统的交易模式中，信息之间有着可靠的交换渠道。互联网是一个开放的平台，在此平台运作的电子商务更需要提高自身的机密性，电子系统将信息进行加密，对信息的传送过程更严格的监控，以预防信息随时被不法分子拦截。3）可靠性。传统的交易中。交易双方的交易有签名、印章等来保证交易的真实性与可靠性。在电子交易中，交易则突破了空间的界限，不能通过太多保证性质的契约来确保交易的可靠性。电子商务系统要为交易双方提供可以检验对方具体情况的体系，来验证双方的真实性。为电子交易保驾护航。

3电子商务的安全技术

电子商务的发展依赖于互联网环境，而互联网中常常发生各种不可控的安全问题。电子商务发展的不断深入也需要其提高自身的安全性，下面的各项技术对提高电子商务的安全性有很大的帮助。1）加密技术。作为电子商务中基础的安全技术，加密技术分为对称加密和非对称加密。对称加密就是使用相同的加密算法，将专用的密匙交换。在密匙交换的过程中要保证交易双方的交易信息没有外泄。非对称密匙则分为公开密匙和私有密匙。公开密匙对外公布，私有密匙的信息由密匙者保管。得到公开密匙的用户可以将加密信息发送给密匙的者，跟据加密信息将公开密匙与私有密匙解密。对称密匙的优点是加密速度快，但是在密匙传达过程中容易被不法分子拦截、破解。非对称密匙的算法难度系数高，效率比较低，但是保密性则优于对称加密。2）防火墙技术。防火墙技术就是在网络之间建立一个保护层，对网络之间的访问进行监管与控制，内部网络与外部网络之间的任何联系与交流都需要受到保护层的监控，使防火墙内的网络免受外部不安全的服务和非法信息的攻击与入侵，在内部网络之外形成一道防火墙来保证内部网络的安全与顺畅。3）数字摘要。数字摘要就是使用函数将加密的明文摘要成固定长度的密文。密文与明文相互关联，不同的明文加密为不同的密文，相同的密文数字摘要也相同。收到信息之后利用方法计算出结果，如果计算结果与摘要相同，通过数字摘要就可以检测出接收到的明文是否是原始的有没有经过改动。从而确保信息的完整性与真实性。4）数字签名。数字签名是发送方从报文文本中生成一个散列值，利用公开密匙的计算方法与散列函数，将散列值加密形成数字签名。再将数字签名传输给接受方，接收方根据内容计算出散列值，再用发送方的公开密匙对报文的数字签名进行解密，若散列值一致，则说明接收方接收到了来自发送方的数字签名。通过数字签名可以对电子商务交易事项的真实性做出判断。5）数字凭证。数字凭证是利用电子手段来判断用户的身份，在电子交易过程中，双方利用各自的数字凭证来进行各项操作。公匙对应各自的数字证书，私匙则通过安全的方式传给用户。在凭证中，常用的是个人凭证与企业凭证，个人凭证在单人用户的电子商务交易过程中保障其的安全，拥有企业凭证的企业则可以通过网络服务器，来进行安全的电子商务交易。6）数字信封。数字信封则是对数据进行加密。SET消息发送时，利用DES密匙将SET消息进行加密，并用公匙把密匙加密，形成数字信封，将信息一起发送给接受者。私人密匙只有接受者才能得到，数字信封中的信息也只有接受者才能看到。数字信封加大了安全性能，保障了信息的私密性。7）CA认证。在以上各安全措施得以顺利进行的过程中，需要一个第三方认证机构的参与。CA认证中心就是这样一个具有权威性的认证机构。电子商务交易过程中的用户在申请数字证书的时候，CA认证中心就对各用户的具体情况进行检查与核实，提供身份认证服务，达到申请条件的用户则颁发数字证书。认证中心只掌握用户的公开密匙，使认证中心自身的安全性得到保障。

4结语

现代经济的不断发展与进步也会催生越来越多的经济交易新模式。电子商务在目前的经济发展领域与互联网发展领域中都占有越来越重要的地位。建立一套完整的电子商务安全体系，保证交易事项单位顺利进行，保障交易参与者的利益，提高电子商务的安全性。使我国的电子商务能更快、更好、更安全的发展。

作者:张云青单位:长春信息技术职业学院

参考文献：

[1]孙晓茹.当前电子商务安全技术的研究及发展趋势[J].商场现代化,2013,(26):75.

电子商务安全范文3

[关键词] 安全体系加密数字证书电子商务安全交易标准

一、引言

当前的电子商务是指通过电子方式的商务活动。它作为一种全新的业务和服务方式，为全球客户提供了丰富的商务信息、便捷的交易过程和廉价的交易成本。但是，电子商务给人们带来方便的同时，也把人们引入安全忧虑之中。买方担心在网络上传输的信用卡及个人资料被截取；卖方则担心收到的是被盗用的信用卡号码，或是交易不认账等，这些存在的安全漏洞问题已成为阻碍网上交易发展的首要问题。相对于传统商务，电子商务对管理机制、实施平台和信息传递技术都提出了更高的要求，其中安全体系的构建尤为显得重要，已成为电子商务能否得到进一步发展和推广的关键所在。

二、电子商务安全体系结构

1.电子商务中存在的安全隐患和威胁

internet是电子商务实现的网络基础，它采用tcp/ip完成不同网络与不同计算机之间的通信，正是由于这些特点，使它给电子商务带来了很多的安全问题。internet的安全隐患主要体现在四个方面。

开放性和资源共享是internet的主要优点，但它带来的问题却不容忽视。Www.133229.CoM因为当甲方在很容易的访问乙方时，如果没有采取任何措施，乙方同样很容易的访问甲方的计算机。

internet采用的协议tcp/ip并未采用任何措施来保护传输内容不被窃取。它是一种包交换网络，每个数据包在网络上都是透明传输的，并且可能经过不同的网络，由路由器转发到达目的计算机。数据在传输过程中可能会遭到ip窥探、同步信号淹没、tcp会话窃听、复位与结束信号攻击等威胁。

internet底层的操作系统如unix，由于源代码的公开，很容易发现漏洞，给internet用户带来安全问题。

相比较传统信函，电子化信息就缺乏可信度，电子信息是否准确很难由其本身来鉴别。在internet上传递电子信息时，难以确认信息发送者及信息是否被正确无误地传递给对方。

由于internet存在上述安全隐患，将给电子商务带来如下的安全威胁。

由于非法入侵，造成商务信息被纂改、窃取或丢失。

商业机密在传输过程中被第三方获悉，被恶意破坏。

虚假身份的交易对象及虚假订单、合同。

贸易对象的抵赖。

由计算机系统故障造成的对交易过程和商业信息安全的破坏。

综上所述，电子商务面临多方面的威胁，存在许多安全隐患。

2.电子商务的安全性内容

要使电子商务健康、顺利发展，必须解决好以下几种关键的安全性要求。

(1)保证信息的保密性和完整性。在交易过程中必须保证信息不被非授权用户窃取，数据在输入和传输过程中能保证数据的一致性。

(2)不可否认性。它是指信息发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。

(3)真实性。商务活动交易双方身份是真实的，不是假冒的，不存在的。

(4)系统的可靠性与内部网络的严密性。在计算机失效、程序错误、传输错误、硬件各种及计算机病毒等潜在威胁下，有容错处理机制、数据恢复能力，确保系统安全、可靠。对企业内部网络而言，要保证内部网络不被入侵。

3.电子商务安全技术体系结构

电子商务的安全技术体系结构是保证电子商务中数据安全的一个完整逻辑结构，如图所示。其中，下层是上层的基础，为上层提供技术支持。上层是下层的扩展与递增。各层相互联系、相互依赖的构成一个整体。通过不同的安全控制技术，实现各层的安全策略，有效保证了电子商务系统的安全。

三、电子商务的安全技术

1.防火墙技术

防火墙是建立在内外网络边界上的过滤封装机制，内部网络被认为是安全和可信赖的，而外部网络（通常指internet）被认为是不安全和不可信赖的。防火墙的主要目的是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全策略。

防火墙的主要技术有包过滤技术、服务器技术、应用网关技术和状态检测包过滤技术，现在最常用的是状态检测包过滤技术。状态检测防火墙对每个合法网络连接保存的信息包括源地址、目的地址、协议类型、协议相关信息、连接状态和超时时间等称为状态。通过状态检测，可实现比简单包过滤防火墙具有更好的安全性。

2.加密技术

数字加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密来保障安全性。利用加密技术，可以将某些重要的信息和数据从一个可以理解的明文转换为复杂的、不可理解的密文形式，在线路上传送或在数据库中存储，其他用户再将密文还原为明文。

3.信息摘要

密钥加密技术只能解决信息的保密性问题，对信息的完整性则可以使用信息摘要技术来实现。信息摘要又称为hash算法，是一种单向加密算法，其加密结果是不能解密的。通过hash算法，得到一个固定长度（128位）的散列值，不同的原文产生的信息摘要必不相同，相同的原文产生的信息摘要必定相同。这样，通过用接收方产生的摘要与发送方发来的摘要比较，若两者相同则表示原文在传输过程中没有被修改，否则说明原文被修改过。

4.数字签名

数字签名是密钥加密和信息摘要相结合的技术，用于保证信息的完整性和不可否认性。签名机制的特征是该签名只有通过签名者的私有信息才能产生，即一个签名者的签名只能惟一地由他自己生成。当收发双方发生争议时，第三方就能根据消息上的数字签名来裁定这条消息是否由发送方发出，从而实现不可否认服务。

5.数字时间戳

在电子交易中，时间和签名同等重要。数字时间戳是由专门机构提供的电子商务安全服务项目，用于证明信息发送的时间。

6.数字证书与ca认证

由于电子商务在网络中完成，互相之间不见面，因此为了保证每个人及机构都能惟一且被准确无误地识别，就需要进行身份认证。身份认证可以通过验证参与各方的数字证书来实现，而数字证书是由认证中心（ca）颁发的。

所谓ca（certificate authority：证书发行机构），是采用pki（public key infrastructure：公共密钥体系）公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，具有权威性和公正性的第三方信任机构，其作用就像现实生活中颁发证件的机构。

四、电子商务安全交易标准

要实现安全的电子商务交易，交易双方必须遵照统一的安全标准协议。当前，电子商务的安全机制正走向成熟，并逐渐形成了一些国际规范，比较有代表性的有安全套接层协议ssl（secure sockets layer）和安全电子交易协议set（secure electronic transaction）。

1.安全套接层协议ssl

ssl协议是由netscape公司研制的安全协议，ssl使用加密的方法建立一个安全的通信通道，以使客户的信用卡号传送给商家，商家再将其转发给银行，银行验证后在通知商家付款成功。该协议已成为事实上的工业标准，微软、ibm公司都提供基于这种简单加密模式的支付系统。

2.安全电子交易set协议

set协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由visa国际组织和mastercard组织制定的，用于在internet上进行在线交易时保证信用卡支付安全的开放性安全技术标准。由于得到了微软、ibm、ras公司的支持与参与，已成为工业事实上的标准。

set协议采用了rsa公私钥加密系统、数字签名、数字证书认证等技术，保证了支付信息的保密性、完整性和不可否认性。该协议提供了客户、商家和银行之间的身份认证，而交易信息和客户信用卡信息相互隔离，即商家只能获取订单信息，银行只能获得持卡人信用卡支付信息，双方互不干扰，各去所需，构成了set协议的主要特色，使得set成为电子商务的安全规范。

3.set、ssl协议比较

(1)set是一个专门的安全电子支付协议，而ssl本质上是一个网络安全协议，仅在双方间建立起安全连接。set是一个多方的消息报文协议，定义了银行、商家和持卡人间必须符合的报文规范，它比ssl在交易过程中的信任度更强。

(2)ssl仅有商家的服务器需要认证，客户端只是选择性认证；而set在整个交易过程中都受到严密保护，其安全性比ssl高。

(3)ssl协议中若想进行电子商务交易，只需通过浏览器实现，设置成本低廉，其交易只要几十秒就可完成；set尽管安全性高，但需要专门的软件来实现，客户、商家改造成本高，由于交易过程各方之间进行多次加密传输，每次交易需要数分钟。

综上所述，ssl与set协议是电子商务中最普遍的两种安全电子支付协议，各有优缺点。ssl虽然简单快捷，但随着电子商务的发展其缺点凸现出来，需采用更先进的支付系统。而set虽有更强的功能和安全性，但过于复杂，使得大面积推广还有很大障碍，并且成本昂贵，所以，在未来一段时间里将会是ssl和set两种支付方式并存的局面。

五、结论

电子商务的本质是商务，技术是电子商务得以实现的手段。没有商务需求，技术的研究就失去了应用价值；没有技术实现，电子商务就不能得以实施，所以技术是电子商务的必要条件。而安全则是实现电子商务技术的前提，也是电子商务的必要条件。解决电子商务的安全问题不是一个单一的技术问题，它是由一系列工作组成，需要从电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。

参考文献:

[1]胡道元闵京华:网络安全[m].北京:清华大学出版社，2006

[2]祝凌曦:电子商务安全[m].北京：北方交通大学，2006.

[3]李晓燕李福全郭爱芳:电子商务概论[m].陕西：电子科技大学出版社，2004

[4]何胜:电子商务中安全支付协议的对比及应用[j].计算机时代,2004(20)

电子商务安全范文4

关键词：电子商务；身份认证；防火墙

1引言

电子商务可以增加销售额并降低成本的优势，使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键，而安全体系的构建显得尤为重要。

2电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看，传统的买卖双方是面对面的，因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系，由于距离的限制，因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现，电子商务交易双方（销售者和消费者）都面临安全威胁，电子商务的安全要素主要体现在以下几个方面：

2.1信息真实性、有效性

电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.2信息机密性

电子商务作为贸易的一种手段，其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，商业防泄密是电子商务全面推广应用的重要保障。

3.3信息完整性

电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此，电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

3.4信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可否认要求即是能建立有效的责任机制，防止实体否认其行为；可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的，电子商务系统应充分保证原发方在发送数据后不能抵赖；接收方在接收数据后也不能抵赖。

3电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行，要求电子商务平台要稳定可靠，能不中断地提供服务。任何系统的中断，如硬件、软件错误，网络故障、病毒等都可能导致电子商务系统不能正常工作，而使贸易数据在确定的时刻和地点的有效性得不到保证，往往会造成巨大的经济损失。

所以就整个电子商务安全系统而言，安全性可以划分为四个层次，

1)网络节点的安全

2)通讯的安全性

3)应用程序的安全性

4)用户的认证管理

其中2、3、4是通过操作系统和Web服务器软件实现，而网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。

3.1网络节点的安全

防火墙是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，它其实就是一个把互联网与内部网（通常指局域网或城域网）隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击，为电子商务的施展提供个相对更安全的平台。

防火墙是在连接Internet和Intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

3.2通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度，也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

3.3应用程序的安全性

即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。

3.4用户的认证管理

1)身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

2)CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。认证中心（CA）就是承担网上安全交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。

3)安全套接层SSL协议

安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSL通过数字签名和数字证书来实行身份验证，数字证书是从认证机构（CA，CertificateAuthority）获得的，通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后，双方就可以用保密密钥进行安全的会话了。

SSL协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议（如Http、Ftp、Telnet等）以保证应用层数据传输的安全性。

SSL协议握手流程由两个阶段组成：服务器认证和用户认证。

①服务器认证

客户端向服务器发送一个“Hello”信息，以便开始一个新的会话连接；服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器，从而建立安全的通信通道。

②用户认证

经认证的服务器发送一个提问给客户，客户则返回数字签名后的提问和其公开密钥，从而向服务器提供认证。SSL协议支持各种加密算法，实现简单，独立于应用层协议，且被大部分浏览器和Web服务器内置，便于在电子交易中应用。但SSL是一个面向连接的协议，起初并不是为了支持电子商务而设计的，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议不能协调各方面的安全传输和信任关系。为此，开发出了在网络应用层中专为电子商务而设计的SET协议。

4安全管理

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。对于所有接触系统的人员，按其职责设定其访问系统的最小权限。按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

5结束语

安全实际上就是一种风险管理。任何技术手段都不能保证1OO％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手，仅在技术角度防范是远远不够的。安全只是相对的，而不是绝对的。因此，为进一步促进电子商务体系的完善和行业的健康快速发展，必须在实际运用中解决电子商务中出现的各类问题，使电子商务系统相对更安全。

参考文献:

[1]吴洋.电子商务安全方法研究[D].天津大学,2006.

[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005,(06)

[3]成卫青,龚俭.网络安全评估[J].计算机工程,2003,(02).

电子商务安全范文5

关键词：电子商务；身份认证；防火墙

1 引言

2 电子商务的主要安全要素

2.1 信息真实性、有效性

2.2 信息机密性

3.3 信息完整性

3.4 信息可靠性、不可抵赖性和可鉴别性

在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet 上每个人都是匿名的，电子商务系统应充分保证原发方在发送数据后不能抵赖；接收方在接收数据后也不能抵赖。

3 电子商务安全系统

所以就整个电子商务安全系统而言，安全性可以划分为四个层次，

1) 网络节点的安全

2) 通讯的安全性

3) 应用程序的安全性

4) 用户的认证管理

其中2、3、4 是通过操作系统和Web 服务器软件实现，而网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。

3.1 网络节点的安全

防火墙是在连接Internet 和Intranet 保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet 系统。应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

3.2 通讯的安全

在客户端浏览器和电子商务WEB 服务器之间采用SSL 协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40 位加密强度，也可以考虑将加密强度增加到128 位。为在浏览器和服务器之间建立安全机制，SSL 首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL 链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[论文网 LunWenData.Com]

3.3 应用程序的安全性

3.4 用户的认证管理

1) 身份认证

电子商务企业用户身份认证可以通过服务器CA 证书与IC 卡相结合实现的。CA 证书用来认证服务器的身份，IC 卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID 号和密码口令的身份确认机制。

2) CA 证书

要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA 证书，它由认证授权中心（CA 中心）发行。认证中心（CA）就是承担网上安全交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。CA 中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL 安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。

3) 安全套接层SSL 协议

安全套接层SSL 协议是Netscape 公司在网络传输层与应用层之间提供的一种基于RSA 和保密密钥的用于浏览器与Web 服务器之间的安全连接技术。

SSL 通过数字签名和数字证书来实行身份验证，数字证书是从认证机构（CA，Certificate Authority）获得的，通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后，双方就可以用保密密钥进行安全的会话了。

SSL 协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议（如Http、Ftp、Telnet 等）以保证应用层数据传输的安全性。

SSL 协议握手流程由两个阶段组成：服务器认证和用户认证。

①服务器认证

②用户认证

经认证的服务器发送一个提问给客户，客户则返回数字签名后的提问和其公开密钥，从而向服务器提供认证。SSL 协议支持各种加密算法，实现简单，独立于应用层协议，且被大部分浏览器和Web 服务器内置，便于在电子交易中应用。但SSL 是一个面向连接的协议，起初并不是为了支持电子商务而设计的，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL 协议不能协调各方面的安全传输和信任关系。为此，开发出了在网络应用层中专为电子商务而设计的SET 协议。

4 安全管理

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

5 结束语

参考文献:

[1] 吴洋.电子商务安全方法研究[D].天津大学, 2006.

[2] 李艳.电子商务信息安全策略研究[J].甘肃科技, 2005,(06)

电子商务安全范文6

关键词:电子商务安全密码数字签名协议网络安全交易安全

电子商务是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的全过程；它是一种基于互联网，以交易双方为主体，以银行电子支付和结算为手段，以客户数据为依托的全新商务模式。本质是建立一种全社会的“网络计算环境”或“数字化神经系统”，以实现信息资源在国民经济和大众生活中的全方位应用。

一、从安全上看，电子商务的现状

1.网络信息安全在全球还没有形成一个完整的体系，我国也不例外。

2.安全技术的强度普遍不够。国外有关电子商务的安全技术，虽然其结构或加密技术等都不错，但受到了外国密码政策的限制，因此强度普遍不够。

3.电子商务网站的安全管理存在很大隐患，普遍难以经受黑客的攻击。www.lw881.com

4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域，这些因素的存在必将影响我国电子商务进一步的发展。

二、电子商务安全性要求

从传统商业与电子商务的不同特点来看，要满足电子商务的安全性要求，至少要有下面几个问题需要解决：

1.交易前交易双方身份的认证问题。电子商务是建立在互联网络平台上的虚拟空间中的商务活动，交易的双方只能通过数据、符号、信号等进行判断、选择，具体的商业行为也依靠电子信号和数据的交流，交易的当事人再也无法用传统商务中的方法来保障交易的安全。

2.交易中电子合同的法律效力问题以及完整性保密性问题。

3.交易后电子记录的证据力问题。在英美法系，传闻证据规则限制了电子记录的证据力。在我国，诉讼法中并未对电子记录的证据力作出明确规定，甚至也没有将其单列出来作为证据的一种。

三、网络安全技术及解决思路

计算机网络安全的特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。其问题有：

1.未进行操作系统相关安全配置。不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。

2.未进行cgi程序代码审计。如果是通用的cgi问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些cgi程序，很多存在严重的cgi问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

3.拒绝服务（dos，denial　of　service）攻击。随着电子商务的兴起，对网站的实时性要求越来越高，dos或ddos对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。

4.安全产品使用不当。虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。

5.缺少严格的网络安全管理制度。网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

分析计算机网络安全面临的问题本人提出的解决思路有：

1.加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞。

2.要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在安全隐患，并及时加以修补。

3.从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证。

4.利用raid5等数据存储技术加强数据备份和恢复措施。

5.对敏感的设备和数据要建立必要的物理或逻辑隔离措施。

6.对在公共网络上传输的敏感信息要进行强度的数据加密。

7.建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

四、电子商务交易安全面临的问题及解决思路

一般来说商务安全中普遍存在着以下几种安全隐患：

1.窃取信息。由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

2.篡改信息。当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

3.假冒。由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

4.恶意破坏。由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

电子商务交易安全面临的问题本人提出的解决思路：

1.部分告知（partial　order）：即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。

2.另行确认（order　confirmation）：即当在网上传输交易信息后，再用电子邮件对交易做确认，才认为有效。

3.建立有效的安全交易标准和技术：如现在建立的安全超文本传输协议（s－http）、　安全套接层协议（ssl）、安全交易技术协议（stt，secure　transaction　technology）等。

4.数字认证：数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性，甚至数据媒体的有效性。

5.加密技术：保证电子商务安全的最重要的一点是使用加密技术对敏感的信息进行加密。

6.电子商务认证中心（ca，certificate　authority）实行网上安全支付是顺利开展电子商务的前提，建立安全的认证中心（ca）则是电子商务的中心环节。

五、结束语

我国的电子商务近年来发展很快，但是有关的安全保障还未建立起来。这已经成为影响我国电子商务发展的一个障碍。为此，我们必须加快建设有关的电子商务安全系统。这将是一个综合性的、涉及全社会的系统工程。具体而言，我们要从法律上承认电子通讯记录的效力，给电子商务以法律保障；我们要加强对电子签名等的研究，给电子商务以技术保障；我们还要尽快建立电子商务认证体系，给电子商务以组织保障。而且，针对电子商务无国界的特点，我们还应该加强国际合作，使电子商务真正发挥其应有的作用。惟有如此，我们才能顺应时代潮流，推动我国经济的发展；也惟有如此，我们才能在经济全球化的今天，参与到国际竞争中去，并进而赢得竞争的优势。

参考文献:

电子商务安全范文7

关键词：电子商务安全；网络安全；加密；认证；安全协议

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)05-11236-02

1 引言

随着计算机网络与通信技术的迅猛发展，电子商务作为一种新型的商务模式，在全球范围内正以惊人的速度向前发展。然而由于它是基于Internet开展的商务活动，大量重要的信息都需要在网上进行传递，尤其还涉及到资金的流动问题，必然要求传递信息的过程足够安全。因此如何保障交易过程和传递信息的安全性就成为影响电子商务发展的一个至关重要的问题。

2 电子商务安全的中心内容

电子商务系统的安全问题除了包含计算机系统本身存在的安全隐患外，还包含了电子商务中数据的安全隐患和交易的安全隐患。要克服这些安全隐患，就需要实现以下六个方面的安全性。

2.1 商务数据的机密性

商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。机密性可用加密和信息隐匿技术实现，使截获者不能解读加密信息的内容。机密性的另一方面是保护通信流特性以防止被分析。

2.2 商务数据的完整性

商务数据的完整性或称正确性是保护数据不被伪授权者修改、建立、嵌入、删除、重复传送或由于其他的原因使原始数据被更改。在存储时，要防止非法篡改，防止网站上的信息被破坏。在传输过程中，如果接收方收到的信息与发送方的信息完全一样则说明在传输过程中信息没有遭到破坏，具有完整性。

2.3 商务对象的认证性

商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份，保证身份的正确性。分辨参与者声称身份的真伪，防止伪装攻击。认证性用数字签名和身份认证技术实现。

2.4 商务服务的不可否认性

商务服务的不可否认性是指信息的发送方不能否认已发送的信息，接受方不能否认已收到的信息。这是一种法律有效性要求。交易一旦达成是不能被否认的。否则必然会损害一方的利益。信息的不可否认性主要用于保护通信用户对付来自其他合法用户的威胁。

2.5 商务服务的不可拒绝性

商务服务的不可拒绝性或称可用性是保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。可用性的不安全是指“延迟”的威胁或“拒绝服务”的威胁，这类威胁的结果是破坏计算机的正常的处理速度或完全拒绝处理。

2.6 访问的控制性

访问的控制性是指在网络上限制和控制通信链路对主机系统和应用的访问：用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。

3 电子商务安全解决方案

3.1 网络安全技术

网络安全是保证电子商务安全最基本的技术，通常采用的主要有防火墙技术、VPN技术、反病毒技术等。

3.1.1 防火墙技术

防火墙技术是一种安全访问控制技术，用来在不安全的公共网络环境下实现局部网络的安全性。它在内部网络和外部公共网络之间构造一个保护层，只有授权的合法用户才能通过防火墙对内部网络的资源进行访问，从而防止来自外部互联网的破坏。

3.1.2 VPN技术

VPN技术是利用不可靠的公共网络(通常是Internet)作为信息的传输媒介，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能。它可以帮助远程用户、公司分支机构、商业合作伙伴同公司之间建立可信的安全连接，保证数据的安全传输。

3.1.3 反病毒技术

由于在网络环境下，计算机病毒具有不可估量的威胁性和破坏力，因此计算机病毒的防范也是网络安全性建设中重要的一环。网络反病毒技术包括了预防病毒技术、检测病毒技术和消毒技术等。预防病毒技术通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。检测病毒技术是通过对计算机病毒的特征来进行判断的技术。而消毒技术则是通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。

3.2 数据加密技术

加密技术是电子商务的最基本信息安全防范措施，其原理是利用一定的加密算法，将明文转换成难以识别和理解的密文并进行传输，从而确保数据的机密。主要有对称加密技术和非对称加密技术两种。

3.2.1 对称加密技术

对称加密技术，即信息的发送方和接收方用一个密钥去加密和解密数据，也就是说加密和解密用同一个密钥。它要求发送方、接收方在安全通信之前，商定一个密钥，对称密钥算法的安全性依赖于密钥，泄露密钥就意味着任何人都能对消息进行加、解密。只要通信需要保密，密钥就必须保密。它的最大优势是加、解密速度快，便于用硬件实现、适合于对大数据量进行加密等，但密钥管理困难。

3.2.2 非对称加密技术

非对称加密技术就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥” 和“私钥”。“公钥” 和“私钥” 不能由一个推出另一个，但是“公钥”加密的信息只能由“私钥”解密，反之亦然。非对称密钥机制灵活，但加密和解密速度比对称密钥加密慢得多，所以它不适合于对文件进行加密，而只适用于对少量数据进行加密。

3.3 认证技术

目前，仅有加密技术不足以保证电子商务中的交易安全，身份认证技术是保证电子商务安全的又一重要技术手段。认证的实现包括数字摘要技术、数字签名技术、数字信封技术、数字时间戳技术和数字证书技术等。

3.3.1 数字摘要

数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样，在传输信息时将摘要加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件末被篡改，反之亦然。

3.3.2 数字签名

数字签名如同手写签名，在电子商务中有如下优点：(1)发送者事后不能否认自己发送的报文签名。(2)接受者能够核实发送者发送的报文签名。(3)接受者不能伪造发送者的报文签名。(4)接受者不能对发送者的报文进行篡改。(5)交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密算法，实现方式为：发送方从报文文本中生成一个128位的散列值，并用自己的私有密钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接受方；报文的接受方首先从接受到的原始报文中计算出128位的散列值，再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接受方就能确认该数字签名是发送方的。

3.3.3 数字信封

数字信封的功能类似于普通信封。普通信封是在法律的约束下保证只有收信人才能阅读信的内容，而数字信封则采用密码技术保证只有规定的接收人才能阅读信的内容数字信封中采用了对称密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息．再利用接收方的公钥加密对称密码．被公钥加密后的对称密码被称之为数字信封。在传递信息时，信息接收方若要解密信息，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。

3.3.4 数字时间戳

数字时间戳DTS，如同传统商务中的日期和时间，在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成：需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS的数字签名。

3.3.5 数字证书

数字证书又称数字凭证，是由CA 发放的，利用电子手段来证实一个用户的身份及用户对网络资源的访问权限。它包括用户的姓名、公共密钥、公共密钥的有效期、颁发数字证书的CA 、数字证书的序列号以及用户本人的数字签名。它是电子商务交易双方身份确定的惟一安全工具。因此，任何信用卡持有人只有申请到相应的数字证书，才能参加网上的电子商务交易。数字证书一般有4种类型：客户证书、商家证书、网关证书及CA 系统证书。

3.4 安全协议技术

除上面提到的各种安全控制技术之外，电子商务的运行需要一套完整的安全协议。目前，比较成熟的协议有SET、SSL等。

3.4.1 SET协议

安全套接字层协议SSL是Netscape公司于1996年推出的安全协议。它位于运输层和应用层之间，由SSL记录协议和SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和HASH算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息．客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数，对应用层进来的数据进行加密、压缩、计算消息鉴别码MAC，然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。

3.4.2 SSL协议

SET协议是由VISA和Master Card两大信用卡组织制定的标准，SET用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系．给定交易信息传送流程标准。SET主要由三个文件组成．分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。SET协议位于应用层，可为电子商务提供以下功能：通过使用信息加密来保证机密性，实现付款数据私有化和订货信息与付款信息、传送的保密化。

3.5 电子商务安全体系

结合电子商务安全的六项具体内容及现有的电子商务安全技术，可以形成如下的电子商务安全体系结构，如图1所示。

图1 电子商务安全体系结构

上述安全体系结构中，网络安全层主要采用防火墙、VPN、反病毒技术来解决电子商务安全的不可拒绝性和访问控制性的问题；加密技术层主要采用对称加密技术和非对称加密技术解决机密性的问题；安全认证层采用数字摘要、数字签名、数字信封、数字时间戳和数字证书来解决完整性、认证性和不可否认性的问题；安全协议层采用SET和SSL协议。它们结合起来保证电子商务交易过程和数据的安全。

4 结束语

电子商务是国民经济和社会信息化的重要组成部分，而安全性则是关系电子商务能否迅速发展的重要因素。目前虽然已出现了很多保护电子商务安全的控制技术，但尚未形成一个有效的、安全的、系统的电子商务安全体系。文章在介绍了现有的网络安全技术、数据加密技术、认证技术及安全协议的基础上，提出了一个合理的电子商务安全体系。不过，要从根本上解决电子商务的安全问题，还应从社会角度多方面多层次去构建电子商务的安全体系。

参考文献：

[1]张明光,魏琦.电子商务安全体系的探讨[M].计算机工程与设计,2006,26(2):394-396.

[2]刘叶飞,赵德安,单正娅.电子商务安全的探讨[N].中国安全科学学报,2006,16(2):109-112.

电子商务安全范文8

关键词：电子商务安全威胁安全解决方案

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2016）10-0213-01

现在，电子商务购物活动发展迅速，特别是中国的电商市场，随着阿里的buy+上市推广，电商在中国的市场推广将更加广阔。可就在我们畅游在电商世界的同时，我们的电商安全也成了我们最大的敌人，各大报纸媒体每天都有报到关于某人支付宝的钱一瞬间被盗多少万。我们的个人电话号泄露，身份证号泄露，名字与银行卡号泄露，账号丢失、密码和银行卡里的钱被盗等等。现如今，建立一个安全的电子商务环境是对技术人员的一个时代性的挑战，而对电子商务活动过程中所涉及的信息提供安全的加密和保护，也已经是客户和电子商务商家最关心的问题。

我们现在的电商安全问题主要来自于两个方面，意识我们计算机或者网络本身存在漏洞，再有就是从事电子商务活动的用户安全意识薄弱，所以，在进行商务活动中，商家或者是个人的利益受到了严重的损害。网络信息安全首先要求信息必须具有：可用性、完整性、保密性、真实性、不可否认性。只有这样，才是电子商务顺利进行的前提。

1 电子商务所面临的网络威胁

1.1 操作系统漏洞

每个操作系统都是有漏洞的，而网络的入侵者为了在电子商务活动中得到利益，他能够利用系统本身的安全漏洞，进入系统，得到很多数据操作权限，从而为所欲为，得到他想得到的一切。那么这些漏洞是如何产生的呢，其实就是我们没有及时为系统打补丁再有就是可能借助第三方软件进行了打补丁，在设置中，总是选择默认的最低级别。再有，就是我们没有为系统加强防护，例如：防火墙系统，入侵检测系统，还有就是别有用心的人给你下的木马。这些都是给入侵者提供了很好的便利条件。

1.2 黑客的攻击

黑客是电子商务安全中的最大的危险。他的目的就是窃取利益，例如商业机密和个人的账号和密码，以达到经济的利益。而黑客也是我们现在安全威胁中最大的隐患。他们的攻击方法和手段之多，真是让人防不胜防。

1.3 管理者意识薄弱

良好的企业和个人账户都有严密的管理机制，使我们的利益免于损害。但是，其实很多电商企业都没有建立严密的系统和硬件管理系统，没有专人负责，即使有的电商企业意识到安全的重要性，买了产品，例如：防火墙，入侵检测系统（IDS），杀毒软件，在设置上和更新上也是疏于管理，更有甚者，使用的都是盗版软件，这些对我们的网络安全都造成了重大的影响，纠于原因，都是我们的安全意识薄弱，等到出现了问题，才想到亡羊补牢，但是，这时，我们已经造成了巨大的损失。而中国今年的315晚会上，也是公布了很惊人的数据，由于酒店管理的疏漏，泄露了个人信息，而这些信息有的已经和淘宝，苹果的ID等账号绑定，多少iPhone手机变成了砖头，同时，这也就造成了很多的个人机密信息的泄露，给人们造成无法挽回的经济损失。

2 解决电子商务安全的方案

2.1 完善的网络操作系统为电商提供良好的环境和平台

电子商务的平台依附于网络的操作系统，而无论是Windows操作系统，Android操作系统还是苹果的ios的操作系统，都有漏洞的存在，而盗取经济利益的网络黑客分子就是根据操作系统本身的漏洞，进入我们的系统，看看有没有可图的利益，而这些问题产生的原因都是我们平时没有及时给系统打上补丁，或者是利用第三方软件进行打补丁。这就要求我们在使用系统的时候一定要从官方网站及时下载系统的补丁，而不要借助于第三方软件平台进行漏洞补丁。针对这种问题，我们需要在系统中装上网络入侵检测系统（IDS）和网络防火墙（firewall）。作为保护我们网络系统的强有力的支撑。

2.2 完善的防御系统为其提供安全的保证

黑客的攻击手段很多，我们没办法主动攻击，只能被动防范，第一，安装杀毒软件，阻止其对端口的扫描和对系统的病毒的投放。还要及时的更新病毒库，这样才能有效的防范黑客的攻击。第二，关闭不必要的端口。比如：ftp的21端口，远程登录的23号端口，为了不影响上网，只要开启80号端口即可。第三，取消其共享，这个需要在注册表里改，可以请教专业人士或者百度都可以。第四，提高浏览器的安全指标。设置高的安全值。第五，就是不要上一些不好的网站，扫码，点图片都可能是黑客在你的客户端下马的惯用伎俩。总之，黑客无处不在，我们提高安全意识，才是重中之重。

2.3 管理者高度的安全意识才是电商安全的重中之重

任何的问题都不仅仅是技术可以解决的，涉及到人的问题，就是管理的问题，只有管理者的高度重视，才能使安全意识提高，而各大媒体的宣传，也是提高管理者意识的一个重要方面，意识上来接下来就是全方位的制定合理的安全方案，加强网络安全的管理，制定相关的制度，定期的检查，更新网络设备等等，只有这样，才能让我们的电子商务环境安全、可靠，用户才能更放心的进行网络购物。

3 结语

综上所述，电子商务的安全问题变得越来越严重，如何建立一个安全可靠的电子商务技术方案，如何创造一个安全可靠的电子商务应用环境，已经成为广大电商和用户都迫切关心的问题。但是，网络中没有绝对的安全，只有相对的安全，要做到电子商务的网络安全，需要我们全社会的共同努力，营造一个健康，安全的网络环境。

参考文献

[1]吴凌娇.网上购物安全问题探讨[J].江苏技术师范学院学报，2006，（04）.

[2]阚晓初.浅谈电子商务安全策略与技术[J].商场现代化，2007，（01）.

[3]徐效美，林冬梅. 浅析电子商务的安全[J].商场现代化，2007，（01）.

[4]宋苑.影电子商务发展的网络安全事件分析与对策[J].计算机与信息技术，2006，（Z1）.

电子商务安全范文9

[摘要] 电子商务系统安全的问题是电子商务活动中的重要保障。它是可以通过安全技术手段来保证电子商务活动正常进行，本文介绍了常用的几种安全技术手段，加密技术、认证技术、防火墙技术等，这些技术应用可使电子商务系统在安全的模式下进行正常交易和信息的传输。

[关键词] 电子商务加密技术认证技术防火墙技术

电子商务(Electronic Commerce）是在开放Internet网络环境下，实现买卖双方的网上交易和在线电子支付的一种新型的商业运营模式。

电子商务分为三个方面：信息服务、交易和支付。主要内容包括:电子商情广告；电子选购和交易、电子交易凭证的交换;电子支付与结算以及售后的网上服务等。主要交易类型有企业与个人的交易(B to C方式)和企业之间的交易(B to B方式)两种。

参与电子商务的实体一般有四类：顾客(个人消费者或企业集团)、商户(包括销售商、制造商、储运商)、银行(包括发卡行、收单行)及认证中心。这些实体之间的信息的传递应具有保密性、确定性、不可否认性、不可修改性，这样才能保证电子商务的正常交易，使电子商务正常有序的发展。那么，电子商务的安全性就显得十分重要了。

电子商务面临的安全问题，导致了对电子商务安全的需求。电子商务的安全问题是一个复杂的系统问题，实现系统的安全，保证交易的可靠性，要求电子商务做到机密性、完整性、认证性和不可抵赖性。解决方法有以下技术手段。

一、加密技术

就是基于数学算法的程序和保密的密钥对信息进行编码，生成难以理解的字符串。它保证了信息的完整性、用户身份的不可否认性、身份的验证和消息的保密性。密钥就是对发送、接受信息进行加/解的方法。密钥加密的算法通常有两类:对称密钥算法和非对称密钥算法。

1.对称密钥加密。又叫秘密/专用密钥加密，是指使用同一把密钥对信息进行加密、解密运算。也就是说，一把钥匙开一把锁。它要求发送方、接收方在安全通信之前，商定一个密钥，对称密钥算法的安全性依赖于密钥，泄露密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密，密钥就必须保密。对称密钥加密算法包括DES加密算法和IDEA算法，RC2、RC4算法，Skipjack算法等。

2.非对称密钥算法。也叫公开密钥体制，是指将一个加密系统的加密密钥和解密密钥分开，加密和解密分别由两个密钥来实现，并使得由加密密钥推导出解密密钥在计算机上是不可行的，则该系统称为非对称密钥算法。商户可以公开其公钥，而保留其私钥；客户可以用商户的公钥对发送的信息进行加密，安全地传送到商户，然后由商户用自己的私钥进行解密。公开密钥加密技术解决了密钥的和管理问题，是目前商业密码的核心。使用公开密钥技术，进行数据通信的双方可以安全地确认对方身份和公开密钥，提供通信的可鉴别性。由此，公开密钥体制的建设是开展电子商务的前提。

非对称加密算法主要有RSA、DSA、Diffie-Hellman、PKCS、PGP等。公开密钥加密算法的典型代表是RSA算法。它利用两个很大的质数相乘所产生的乘积来加密。非对称密钥算法既可以实现信息加密又可以实现数字签名。

二、认证技术

认证是判明和确认交易双方真实身份的重要环节，是开展电子商务的重要条件。

1.数字签名技术。是指用发送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一起，合称为数字签名。其使用方式是:报文的发送方从报文文本中生成一个128位或160位的单向散列值（或报文摘要），并用自己的私有密钥对这个散列值进行加密，形成发送方的数字签名;然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出128位的散列值（或报文摘要），接着再用发送方的公开密钥来对报文附加的数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别与验证，保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。即发送者事后不能抵赖对文件的签名、接收者不能伪造对文件的签名等。

2.身份验证技术又称数字证书。它作为网上交易双方真实身份证明的依据，是一个经证书授权中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。身份识别是用户向系统出示自己的身份证明过程。身份认证是系统查核用户的身份证明的过程。人们常把这两项工作统称为身份验证(或身份鉴别)，是判明和确认通信双方真实身份的两个重要环节。最简单的方法是输入User ID和Password，但是最不安全的。身份认证是安全系统最重要且最困难的工作。

3.认证机构。认证机构(CA) 是由大型用户群体（如政府机关或金融机构）所信赖的第三方，负责证书的颁发和管理。在证书申请被审批部门批准后，CA通过登记服务器将证书发放给申请者。CA通过向电子商务各参与方发放数字证书，来确认各方的身份，保证在INTERNET及内部网上传送数据的安全，及网上支付的安全性。通过认证机构来认证买卖双方的身份是保证网络交易安全的重要措施。

三、防火墙技术

所谓防火墙，就是在内部网与外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网资源免遭非法入侵。防火墙的功能包括:其一是限制外部网对内部网的访问，从而保护内部网特定资源免受非法侵犯；其二是限制内部网对外部网的访问，主要是针对一些不健康信息及敏感信息的访问。防火墙系统的实现技术主要分为包过滤和服务器两种，比较完善的防火墙系统通常结合使用这两种技术。

综上所述，电子商务系统存在的安全问题，是可以解决的。采用安全技术手段可以保证电子商务的正常交易。但是，任何技术手段都不能保证100％的安全。安全技术可以降低电子商务系统遭到破坏、攻击的风险。随着安全技术提高，整个电子商务系统会越来越安全。

参考文献:

[1]张贤:电子商务安全问题[J].中国科技信息，2006．3

[2]李川:浅谈电子商务的安全与技术保障[J].汉江职工大学学报，2005.8

精品推荐