（工商管理专业论文）电子商务安全策略研究.pdf

电子商务安全策略研究 摘要 随着互联网的不断发展，在世界范围内掀起了一股电子商务热潮。 许多国家政府部门对电子商务的发展十分重视，把这场以电子商务为标 志的信息化革命与十九世纪以蒸汽机为标志的工业化革命相提并论，并 纷纷出台了有关政策和举措。电子商务正得到越来越广泛的应用。其发 展给人类社会带来巨大的影响，其一系列的相关领域的研究成为全球的 热点。但近年来，电子商务的发展逐步放慢了脚步，其安全问题是阻碍 发展的主要原因之一。所以本人选择这一课题进行了探索性研究，有着 重要的实际意义。 论文第一章介绍课题的研究背景，总结国内外电子商务安全研究现 状及我国电子商务安全存在的问题和该问题研究的发展趋势。论文第二 章对电子商务安全的内容做了简要的概述，提出电子商务安全的五个方 面的需求：信息的保密性，信息的完整，信息的真实性，信息的不可抵 赖性，信息的有效性。并对电子商务信息安全面临的威胁进行了描述。 接下来论述了电子商务的安全技术机制，利用分层模型将各安全措施映 射到对应层次中进行了四个方面的论述，其中包括网络层技术，加密层 技术，认证层技术，协议层技术。在论述了电子商务系统的安全机制的 基础上，提出电子商务系统安全技术的架构。论文还在第三章论述电子 商务安全评价方法，介绍国内外电子商务系统的安全评价标准，设计电 子商务安全评价的指标，提出对电子商务安全进行评价的一种可行性方 法一模糊综合评价法。此后论文在第四章介绍电子商务交易支付系统模 型，并设计了一个基于s e t 协议的交易模型。第五章对电子商务信息 安全认证进行了论述。最后一章对电子商务企业安全在技术和管理以及 第三方外包服务进行了全面的分析。论文结尾提出了电子商务的正确安 全观念，并进一步指出解决电子商务安全问题尚需努力的方向。 关键词：电子商务，电子商务安全，安全技术，评价方法，安全认证 t h es t u d yo fe - c o m m e r c es e c u r i t ys t r a t e g y a b s t r a c t w i t ht h ed e v e l o p m e n to fi n t e r n e t ，e l e c t r o n i cc o m m e r c eh a sb e c o m eat r e n di na l l o v e rt h ew o r l d w i d e g o v e r n m e n td e p a r t m e n t s i nm a n yc o u n t r i e sa t t a c hg r e a t i m p o r t a n c et o t h ee l e c t r o n i cc o m m e r c ed e v e l o p m e n t t h e yt a k et h ei n f o r m a t i o n r e v o l u t i o nw i t ht h eh a l l m a r ko fe l e c t r o n i c c o m m e r c e e q u a l l yi m p o r t a n t w i t h i n d u s t r i a l i z a t i o no ft h es t e a me n g i n er e v o l u t i o nf o rt h es a m em a r k ，a n dh a v ei n t r o d u c e d ar e l e v a n tp o l i c i e sa n di n i t i a t i v e s e c o m m e r c ei sg a i n i n gw i d ea p p l i c a t i o n ，i tb r i n g s h u g ea f f e c t i o nt ot h eh u m a ns o c i e t y , a n da s e r i e so fi t sr e l a t e dr e s e a r c hi nt h i sf i e l dh a s b e c o m et h ew o r l d sh o ts p o t s r e c e n t l y t h ed e v e l o p m e n to fe - c o m m e r c ea n dg r a d u a l l y s l o w e dd o w nt h ep a c e i t ss e c u r i t yp r o b l e m sa r eo n eo ft h em a i nr e a s o n sh i n d e r i n g d e v e l o p m e n t t h e r e f o r e ，ic h o o s et oe x p l o r et h es u b j e c to ft h i ss t u d yh a si m p o r t a n t p r a c t i c a ls i g n i f i c a n c e t h ef i r s tc h a p t e ro ft h i st h e s i si n t r o d u c e st h er e s e a r c hb a c k g r o u n d ，s u m m e du p s e c u r i t ya th o m ea n da b r o a do ne - c o m m e r c ea n dt h e s t a t u so fc h i n a se - c o m m e r c e s e c u r i t yo nt h ei s s u ea n dt h ed e v e l o p m e n tt r e n da tp r e s e n c e p a p e r s s e c o n dc h a p t e r p r e s e n tb r i e fo v e r v i e wo ft h ec o n t e n to f t h ee c o m m e r c es e c u r i t y , p u to u tb r i e fo v e r v i e w p r o p o s e di ne c o m m e r c es e c u r i t y ：c o n f i d e n t i a l i t yo fi n f o r m a t i o n ，t h ei n t e g r i t yo ft h e i n f o n n a t i o n i n f o r m a t i o na u t h e n t i c i t y , n o n r e p u d i a t i o no fi n f o r m a t i o n ，t h ev a l i d i t yo f i n f o r m a t i o n t h i sc h a p t e rd e s c r i b e di n f o r m a t i o ns e c u r i t yt h r e a t so ne 。c o m m e r c e ，a n d t h ee c o m m e r c es e c u r i t yt e c h n o l o g ym e c h a n i s m i nt h i sp a p e r t h eh i e r a r c h i c a lm o d e l w i l lb em a p p e dt ot h ec o r r e s p o n d i n gl e v e lo fs a f e t ym e a s u r e si nf o u ra s p e c t st ot h e e x p o s i t i o n ，i n c l u d i n gt h en e t w o r kl a y e r , l a y e re n c r 帅t i o nt e c h n o l o g y , c e r t i f i c a t i o no ft h e t e c h n o l o g y , p r o t o c o ll a y e rt e c h n o l o g y b a s e du p o nt h ed i s c u s s i o ni nt h ee 。c o m m e r c e s y s t e ms e c u r i t ym e c h a n i s m s ，t h i sp a p e rg i v e o u te - c o m m e r c es y s t e ma r c h i t e c t u r e p a p e r si nt h et h i r dc h a p t e rd e s c r i b e ss e c u r i t y e v a l u a t i o nm e t h o d so ne - c o m m e r c e ， e - c o m m e r c es y s t e m se v a l u a t i o nc r i t e r i ab o t ha th o m ea n da b r o a d ，d e s i g n se - c o m m e r c e s e c u r i t ya s s e s s m e n ti n d i c a t o r s ，g i v eo u ta t h es a f e t yo fe c o m m e r c ef e a s i b i l i t ym e t h o d f u z z vc o m p r e h e n s i v ee v a l u a t i o n m e t h o d i nt h ef o u r t hc h a p t e r , i ti n t r o d u c e d e c o m m e r c et r a n s a c t i o n sp a y m e n ts y s t e mm o d e l ，a n dd e s i g n e dat r a n s a c t i o n - b a s e d m o d e la g r e e m e n ts e t i nt h ef i f t hc h a p t e r , t h ee - c o m m e r c ei n f o r m a t i o ns e c u r i t y c e r t i f i c a t i o ni sd i s c u s s e d t h ef i n a lc h a p t e rs o m er e c o m m e n d a t i o n s a r eg i v e no n e - c o m m e r c ee n t e r p r i s es e c u r i t ym a n a g e m e n t t h ec o r r e c te - c o m m e r c es e c u r i t yc o n c e p t s p r e s e n t e da tt h ee n do fp a p e r s ，a n df u r t h e rp o i n t so u tt h ee f f o r t sd i r e c t i o nt h a tt os o l v e t h ep r o b l e mo fe - c o m m e r c es e c u r i t y k e yw o r d s ：e c o m m e r c e ，e c o m m e r c es e c u r i t y , s e c u r i t yt e c h n o l o g y , e v a l u a t i o n m e t h o d ，s e c u r i t yc e r t i f i c a t i o n 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机 构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处， 本人签名：丞监 本人承担一切相关责任。 e t 期：! 竺：! ：! ： 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国 家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以 公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇 编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：丛望：孟日期： 导师签名：啪匍匙 c 珈孑枷 北京邮电大学硕士学位论文第1 页共5 7 页 1 1 论文选题背景 第一章绪论 随着信息技术日新月异的发展，人类正在进入以网络为主的信息时代， i n t e r n e t 的高速发展不仅方便了人们的通信和交流，同时带来了商业和经济 模式的变革。更多的企业、个人及其他各种组织，甚至包括政府都在积极地 推动电子商务的发展，越来越多的人投入到电子商务中去。 电子商务是指发生在开放网络上的商务活动，现在主要是指在i n t e r n e t 上完成的电子商务。基于i n t e r n e t 开展的电子商务已逐渐成为人们进行商 务活动的新模式，电子商务的发展前景十分诱人。i n t e r n e t 所具有的开放性 是电子商务方便快捷、广泛传播的基础，而开放性本身又会使网上交易面临 种种危险。这种新的完整的电子商务系统可以将内部网与i n t e r n e t 连接， 使小到本企业的商业机密、商务活动的正常运转，大至国家的政治、经济机 密都将面临网上黑客与病毒的严峻考验。因此，安全性始终是电子商务的核 心和关键问题。安全问题是制约其发展的重要因素，是关系到电子商务系统 能否成功运行的最为重要的问题。如何建立一个安全、便捷的电子商务应用 环境，保证整个商务活动中信息的安全性，使基于i n t e r n e t 的电子交易方 式与传统交易方式一样安全可靠，已经成为大家十分关心的问题。 电子商务安全技术的应用极大的促进了电子商务的发展，无论在软件上 还是硬件上都为电子商务的发展提供了良好的安全保证和发展环境。但是还 没有一个有效的电子商务系统安全的评价体系，虽然一些电子商务的安全技 术都制定了相应的安全标准，但是就整个系统而言，这还远远不够。在电子 商务安全方面，人们往往从技术方面考虑，而往往忽略了安全管理，其实安 全管理比技术更重要。制定和实施良好的安全策略比安全技术更有效更持 久。技术的发展非常的快，而且实施系统侵害的手段和方法不断在变化，因 而制定良好的安全策略就显得尤其重要。因此，必须制定科学的安全策略和 评价体系，重视管理和技术的运用，为电子商务的发展创造良好的环境。 电子商务安全策略研究 北京邮电大学硕士学位论文 第2 页共5 7 页 1 2 国内外研究现状 1 2 1 国外电子商务安全研究现状 世界各国对电子商务安全问题研究的发展是相当重视的，特别是电子商 务安全方面普遍存在标准先行的情况。如美国政府很早就致力于密码技术的 标准化，从1 9 7 7 年公布的数据加密标准d e s 开始，就由美国国家标准技术 研究院( n i s t ) 制定了一系列有关密码技术的联邦信息处理标准( f i p s ) ， 在技术规范的前提下对密码产品进行严格的检验。1 9 9 8 年7 月1 日，在美国 政府发布的美国电子商务纲要中，明确提出要建立一些共同的标准，以确保 网上购物的消费者享有与在商店购物的消费者同等权利。韩国一些主要的电 子设备公司也建立联盟，签署联合协议，规定在2 0 0 0 年制订出整个的电子 商务标准。国际范围内电子商务标准有以下发展动态： 1 成立机构：电子商务业务工作组( b t e c ) 为了迎接电子商务给全球 带来的机遇和挑战，使之在全球范围内更有序地发展，1 9 9 7 年6 月，i s o i e c j t c l 成立了”电子商务业务工作组( b t - e c ) 。b t - e c 确定了电子商务急需 建立标准的三个领域： ( 1 ) 用户接口，主要包括：用户界面、图像、对话设计原则等； ( 2 ) 基本功能，主要包括：交易协议、支付方式、安全机制、签名与 鉴别、记录的核查与保留等； ( 3 ) 数据及客体( 包括组织机构、商品等) 的定义与编码，包括现有 的信息技术标准、定义报文语义的技术、e d i 本地化、注册机构、电子商务 中所需的值域等。目前b t - e c 仅对其中的几项内容进行了阐述，其目的是通 过解决关键问题，从而就解决方法加以推广，以扫清实现全球电子商务道路 的障碍。 2 签署文件：电子商务标准化理解备忘录i s o 、i e c 和t j n e c e ( 联合 国欧洲经济委员会) 共同致力于电子商务的标准化工作。曾签署了”理解备 忘录，就e d i 、开放式e d i 及有关贸易单证标准领域进行合作。1 9 9 8 年1 1 月三者又签署了一个电子商务领域有关标准化的”理解备忘录”。该备忘录 包括总体部分、三个附录及上述的，扩充了以前的合作框架，扩展了各部门 电子商务安全策略研究 北京邮电大学硕士学位论文 第3 页共5 7 页 之间的电子商务，增加了国际用户团的参与，以确保它们的标准化要求得到 满足。作为国际用户团的参加者有c a l s ( 持续采办和全寿命支持，世界性的 非政府组织，制定国际工业组织之间电子商务的标准要求) 及n a t oc a l s 组 织( n a t o 为北大西洋公约组织的缩写) 。国际用户团参与者必须满足”理解 备忘录”中关于国际用户团注册规定的具体内容，而且它们的参与必须 在标准化组织之间相互达成协定的基础上。”理解备忘录”提供了2 1 世纪电 子商务发展的有效基础，是国际合作的极好范例。 随着电子商务在网上兴起，对电子商务的规范提出了迫切的要求。 r o s e t t a n e t 于1 9 9 9 年7 月8 日推出草案r o s e t t a n e ti m p l e m e n t a t i o n f r a m e w o r k ( r n i f ) s p e c i f i c a t i o n ，该标准为因特网上的商务活动的进一 步发展提供了保障。该标准草案的起草和制订汇集2 0 0 多家知名的电子商务 公司和研究机构，宗旨在于促进全球电子商务的广泛实施，支持和强化因特 网商务活动的自我调整。目前，编纂小组正在邀请公众对该草案加以评价， 以便对草案内容做出修订，并将于1 9 9 9 年底前发布第一个正式版本的因特 网商务标准。日前公布的草案内容主要包括：网络商家信息和网上导购信息 中心的设立；商品的交付方式、价格及其费用说明；产品的保质期声明和技 术支持服务信息；网上购物过程中的商品查找能力；消费者个人资料的保密 性和安全性；网络购物的支付方式；网络订购的确认；装运、交付和订单的 完成；订购的取消及其退款的说明；向消费者提供的支持服务等。该标准的 ，制定使消费者能够很容易地对网络商家予以鉴别和挑选，并在网上购物中体 验到更高的满意程度；而商家可以此标准作为建站和开展网络销售的准则， 通过改善用户服务、加速技术革新、降低运营成本，吸引并留住更多的购物 者；信息技术产品及相关服务公司，也可利用该标准作为向导和目标，开发 更符合商家需要的软产品和服务，从用户和市场的扩大中谋求发展。 1 2 2 我国电子商务安全研究现状 当前，电子商务所面临的信息安全现状不容乐观。据美国网络界权威杂 志信息安全杂志披露，从事电子商务的企业比一般企业承担着更大的信 息风险。其中，前者遭黑客攻击的比例高出一倍，感染病毒、恶意代码的可 电子商务安全策略研究 北京邮电大学硕士学位论文第4 页共5 7 页 能性高出9 ，被非法入侵的频率高出1 0 ，而被诈骗的可能性更是比一般企 业高出2 2 倍。 调查显示，近年来，我国发生的通过网络进行的电子商务金融犯罪多达 2 0 0 起，造成上亿元的经济损失。中国网民对网上交易的最大担心莫过于支 付信息的安全问题，超过八成的网民对网上交易的安全性表示担忧。信息安 全问题成为困扰网上交易的一大难题。 中国于1 9 9 5 年起发展电子商务安全产业，电子商务安全科研、生产与 应用同时起步，科研与生产从无到有，市场从小到大逐步发展起来，到目前 为止已初具规模。其信息安全研究已经历了通信保密、计算机数据保护两个 发展阶段，现正处于网络信息安全研究阶段。通过学习、吸收、消化等手段， 已逐步掌握了部分网络安全和电子商务安全技术，进行了安全操作系统、多 级安全数据库的研制探索，但由于没有掌握系统核心技术，使得要开发出有 自主知识产权的信息产品困难重重，而基于国外具体产品开发出的安全系统 则难以完全杜绝安全漏洞或“后门”。在借鉴国外先进技术的基础上，国内 一些企业也研制开发出一些安全产品，如防火墙、黑客入侵检测系统、电子 商务安全交易系统、安全路由器等。但这些产品安全技术的规范性、完善性、 实用性还存在许多不足，理论基础和自主的技术手段需要发展和强化。 此外，国内不少电子商务企业对网络信息安全意识不强。无论在建网立 项、规划设计上，还是在网络运行管理和使用中，更多的是考虑效益、方便、 快捷，而把安全、保密、抗攻击放在了次要地位，出现了诸如对网络实用性 要求多，对系统安全性论证少；对网络设备投资多，对安全设施投入少；在 操作技能培训上用时多，在安全防范知识的普及与提高上用时少的短期行 为。 总之，中国的网络信息安全事业得到了很大的发展，但是面临的困难和 需要解决的问题依然很多。 电子商务安全策略研究 北京邮电大学硕士学位论文 第5 页共5 7 页 1 3 我国电子商务所面临的安全问题及发展趋势 1 3 1 电子商务所面临的主要安全问题 目前，中国大力发展电子商务经济，必须重视和急需解决的主要问题有： 第一，在思想上清醒地认识到网络安全与国家安全息息相关。对网络信 息安全问题国家要成立专门的领导协调机构，以超常规的速度组织人、财、 物予以进行研发，建立安全可靠、高效有序的信息网络系统，以保障电子商 务系统安全、防范金融风险、避免经济动荡，以及保障国家政治稳定和维护 国家安全，为保卫共和国的安全的筑起一道电子“钢铁长城 。 第二，认清网络信息系统安全问题的根本原因： ( 1 ) 网络信息技术及网络安全设备绝大多数是西方发明的，有“先天”不 足带来的安全问题( 网络系统本身的缺陷和漏洞) 。 ( 2 ) 我国网络信息系统中所用的安全设备、技术大多数是旧的，关键时候 根本就不起安全防范作用。 ( 3 ) 我们在思想上对网络安全的重视不够。在规划设计网络系统时，对网 络和这些安全设备、技术所带来的安全问题没有采取相应的技术措施予以补 救，或在网络安全的设计中设计不到位、技术不到位。 ( 4 ) 重网络设施的建设，轻网络安全的投入。如果电子商务运行在这样的 网络系统上，电子商务的安全将是无法保证的。根据中国互联网研究与发展 中心( c i o ) 于2 0 0 0 年5 、6 月份的一次全国范围的调查显示，我国电子商务中 还存在着很大的不安全因素，其中有6 0 9 8 的企业计算机被病毒侵袭过，造 成的直接经济损失是电子商务交易总额的2 5 。 第三，急需建立、健全社会化信用体系。目前中国的社会化信用体系很 不健全，信用心理不成熟。交易行为缺乏必要的自律和严厉的社会监督。在 这种情况下，要发展电子商务，必须加速培育市场，创造比较成熟和规范的 社会信用环境，以利于传统商务向现代电子商务的顺利转变。 第四，国家海关、+ 工商、税务等管理机关的信息化问题，是电子商务的 一项基础工作。信用卡、电子支票和数字化货币将是电子商务中常用的电子 货币形式，这就意味着在未来的电子商务活动环境中，产销双方无须通过中 电子商务安全镱略研究 北京邮电大学硕士学位论文第6 页共5 7 页 介机构就可直接进行交易，这种不需要货币为中介的交易形式，是因电子商 务增加了避税和转移定价的可能性，这也是急需解决的电子商务安全问题之 一。因此在建设和研究电子商务系统时，必须首要解决这一问题，强化国家 在电子商务系统中的管理职能，以保障国家的权益。 第五，解决电子商务立法滞后问题，形成对网上违法犯罪行为的威慑力。 电子商务的指数级发展速度和特点，给现行的法律体系带来的新的挑战。网 络信息时代社会中出现的虚拟与现实的种种问题，使人们对世界的看法大大 不同于以前，社会的信息化和知识的商品化，改变着人们的思维和行动的方 式，以信息为载体的知识就是资源和财富的观念以深入人心。信息化社会所 带来的一切新的问题，需要规范网络环境下的虚拟社会中人们的行为，使人 们的活动在信息社会中始终处于良性、有序的发展之中。就必须把信息社会 纳入规范化、法律化的轨道，运用法律手段对新的社会关系予以规范和调整， 而仅靠传统的法律体系己经越来越不能满足信息社会的需要，这也需要制定 出适应信息化社会的法律制度。 1 3 2 我国电子商务安全发展趋势 中国的网络安全技术在近几年得到快速的发展，这一方面得益于从中央 到地方政府的广泛重视，另一方面因为网络安全问题日益突出，网络安全企 业不断跟进最新安全技术，不断推出满足用户需求、具有时代特色的安全产 品，进一步促进了网络安全技术的发展。就目前中国电子商务发展的势头看， 电子商务安全问题研究的有以下发展趋势： 一是政府越来越高度重视电子商务安全问题研究。由于电子商务安全与 国家安全密切相关，涉及社会政治稳定，经济、金融的稳定等。因此，政府 高层及其职能部门空前重视电子商务安全研究问题，将有关问题列入国家宏 观发展战略之中，充分发挥国家的整体优势，在政策上积极引导、重点支持， 同时加大经费投入的力度，在人、财、物等全方位予以支持。 二是电子商务安全研究的专门科研机构不断增加，科研实力不断增强。 在国家有关政策的支持的指导和支持下，有许多国家级的研究所、重点大专 院校，有实力的企业纷纷涉足电子商务安全问题研究，相继建立了一批院、 电子商务安全策略研究 北京邮电大学硕士学位论文 第7 页共5 7 页 所等电子商务安全科研基地，经过组织科研力量进行专项攻关，取得一批研 究成果。同时，院、所培养出一批专门从事电子商务安全研究和管理工作的 博士、硕士和本科人才，满足了社会对各个层次电子商务安全专门人才的需 求。 三是科研以研发具有独立自主知识产权的电子商务安全产品为目标，力 争打破国外信息安全产品的垄断。由于历史的原因，国内网络上信息安全产 品有相当一部分是进口产品，因此我国的信息系统存在着很大的安全隐患。 为了保证我们国家的信息系统的安全，保证电子商务系统的正常运行，以及 电子商务安全研究及其产品使用的特殊性，电子商务安全研究的项目基本上 是国家规划、组织、实施，由科研机构组织科研力量独立研发，目前己研发 出一些世界水平的信息安全产品，一些软件和硬件安全产品解决了实际中的 需要。 。 四是国家有关部门逐步加快了与电子商务相关的政策、法规和法律的研 究与制定。随着电子商务在全社会的广泛应用，以及电子商务问题的不断出 现，面向社会的有关道德、法规和法律等方面的研究工作也逐步开展，已出 台的电子商务的有关政策、法规，基本解决了电子商务应用中一些急需解决 的问题，保障了现阶段电子商务的正常运行。可以预见，随着电子商务安全 技术研究的深入，与电子商务安全有关的政策、法规和法律将会不断完善和 发展。 。 五是电子商务安全产业规模将逐步扩大。据有关部门统计，2 0 0 1 年全国 的信息安全产品的市场销售额已达5 0 亿，2 0 0 2 年的电子商务安全市场销售 额达数百亿元，全球的信息安全费用在今后的5 年内将年平均增长约2 0 。 电子商务安全策略研究 北京邮电大学硕士学位论文第8 页共5 7 页 第二章电子商务安全概述及安全机制 2 1 电子商务安全的内容 电子商务的一个重要技术特征是利用i t 技术来传输和处理商业信息。 因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易 安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统 安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题， 实施网络安全增强方案，以保证计算机网络自身的安全性为目标。 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安 全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行。即实 现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算 机网络安全与电子商务交易安全实际上是密不可分的，两者相辅相成，缺一 不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从 谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到 电子商务所特有的安全要求。 2 2 电子商务对信息安全的需求 在电子商务环境下所进行的交易活动中，其安全性，可靠性，等一直是 人们关注的问题。为了保障在整个电子交易过程中能够安全顺利的完成网上 交易，电子商务的信息安全有以下几方面需求： ( 1 ) 信息的保密性。电子商务作为贸易的一种手段，其信息直接代表 着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件 或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务则建 立在一个开放的网络环境( i n t e r n e t ) 上，维护商业机密是电子商务全面推 广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非 法窃取。保密性一般通过密码技术对传输的信息进行加密处理来实现。 电子商务安全簧略研究 北京邮电大学硕上学位论文第9 页共5 7 页 ( 2 ) 信息的完整性。电子商务简化了贸易过程，减少了人为的干预， 同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外 差错或欺诈行为，可能会导致贸易各方信息的差异。另外，数据传输过程中 信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不 同。因此，贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保 持贸易各方信息的完整性是电子商务应用的基础。一般可通过提取信息摘要 的方式来保持信息的完整性。 ( 3 ) 信息的真实性。只有信息流、资金流、物流的有效转换，才能保 证电子商务的顺利实现，而这一切是以信息的真实性为基础。信息的真实性 一方面是指网上交易双方提供信息内容的真实性：另一方面是指网上交易双 方身份信息的真实性，即对人或实体的身份进行鉴别，为身份的真实性提供 保证，使交易的双方能够在相互不见面的情况下确认对方的身份。这意味着 当某人或实体声称具有某个特定身份时，鉴别服务将验证其声明的正确性。 一般可通过认证机构和证书来实现。 ( 4 ) 信息的不可抵赖性。对进行电子商务交易的贸易双方来说，一个 很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无 纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已经不可 能。因此，要在交易信息的传输过程中为参与交易的个人，企业或国家提供 可靠的标识。 ( 5 ) 信息的有效性。电子商务以电子形式取代了纸张，那么如何保证 这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务信息的 有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络 故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所 产生的潜在威胁加以控制和预防，这对于保证贸易数据在确定的时刻、确定 的地点是有效的。 电子商务安全策略研究 北京邮电大学硕士学位论文第1 0 页共5 7 页 2 3 电子商务信息安全面临的威胁 2 3 1 电子商务信息存储安全隐患 信息存储安全是指电子商务信息在静态存放中的安全。其信息安全隐患 主要包括：非授权调用信息和篡改信息内容。企业的i n t r a n e t 与i n t e r n e t 联接后，电子商务的信息存储安全面临着内部和外部两方面的隐患： ( 1 ) 内部隐患。主要是企业的用户故意或无意的非授权调用电子商务 信息或未经许可随意增加、删除、修改电子商务信息。 ( 2 ) 外部隐患。主要是外部人员私自闯入企业i n t e r n e t ，对电子商务 信息故意或无意的非授权调用或增加、删除、修改。隐患的主要来源有：竞 争对手的恶意闯入、信息间谍的非法闯入以及黑客的骚扰闯入。 2 3 2 电子商务信息传输安全隐患 信息传输安全是指电子商务运行过程中，物流、资金流汇成信息流后动 态传输过程中的安全。其安全隐患主要包括： ( 1 ) 窃取商业秘密； ( 2 ) 攻击网站； ( 3 ) 网上诈骗； ( 4 ) 否认发出信息。 2 3 3 电子商务交易双方的信息安全隐患 传统商务活动是面对面进行的，交易双方能较容易地建立信任感并产生 安全感。而电子商务是买卖双方通过i n t e r n e t 的信息流动来实现商品交换 的，信息技术手段使不法之徒有机可乘，这就使得电子商务的交易双方在安 全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全 的威胁。 ( 1 ) 卖方面临的信息安全威胁。例如，假冒合法用户名义改变商务信 息内容，致使电子商务活动中断，造成商家名誉和用户利益等方面的受损； 电子商务安全策略研究 北京邮电大学硕士学位论文 第l l 页共5 7 页 恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息；信息 间谍通过技术手段窃取商业秘密；黑客入侵并攻击服务器，产生大量虚假订 单挤占系统资源，令其无法响应正常的业务操作。 ( 2 ) 买方面临的信息安全威胁。如用户身份证明信息被拦截窃用，以 致被要求付帐或返还商品；域名信息被监听和扩散，被迫接收许多无用信息 甚至个人隐私被泄露；发送的商务信息不完整或被篡改，用户无法收到商品； 受虚假广告信息误导购买假冒伪劣商品或被骗钱财；遭黑客破坏，计算机设 备发生故障导致信息丢失。 2 4 电子商务安全技术 电子商务的应用是以i n t e r n e t 的基础设施和标准为基础，涉及从通信 协议到应用集成的广泛领域，套用国际标准化组织i s o 的开放系统互联o s i 七层协议模型，相应地将各安全措施映射到对应层次中，可以较好地描述电 子商务安全技术体系。 2 4 1 网络层技术 网络安全是电子商务系统安全的基础，涉及的方面较广，如防火墙技术、 网络监控、网络隐患扫描及各种反黑客技术等，其中最重要的就是防火墙技 术。防火墙的主要功能是加强网络之间的访问控制，防止外部网络用户以非 法手段通过外部网络侵入内部网络( 被保护网络) 。它对两个或多个网络之间 传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之 间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器 上实现，而专用防火墙提供更加可靠的网络安全控制。 1 、防火墙技术 ( 1 ) 什么是防火墙 防火墙是指在内部网与外部网之间实施安全防范的系统，可以认为它是 一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外 部服务访问内部服务。 ( 2 ) 防火墙的基本准则 电子商务安全簧赂研究 北京邮电大学硕士学位论文第1 2 页共5 7 页 未被允许的就是禁止的。基于该准则，防火墙应封锁所有信息流，然后 对希望提供的服务逐项开放。这是一种非常实用的方法，可以造成一种相当 安全的环境，因为只有经过仔细挑选的服务才被允许使用。其弊端是，安全 性高于用户使用的方便性，用户所能使用的范围大大受到限制。 未被禁止的就是允许的。基于该准则，防火墙应转发所有信息流，然后 逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境，可为 用户提供更多的服务。其弊病是，在日益增多的网络服务面前，网管人员将 疲于奔命，特别是受保护的网络范围增大时，很难提供可靠的安全防护。 ( 3 ) 防火墙的基本类型 包过滤型：包过滤通常安装在路由器上，并且大多数商用路由器都提供 了包过滤的功能。另外，p c 机上同样可以安装包过滤软件。包过滤规则以 i p 包信息为基础，对i p 源地址、i p 目标地址、封装协议、端口号等进行筛 选。 代理服务型：代理服务型防火墙通常由两部分构成：服务器端程序和客 户端程序。客户端程序与中间节点连接，中间节点再与要访问的外部服务器 实际连接。与包过滤型防火墙不同的是，内部网与外部网之间不存在直接的 连接，同时提供日志及审计服务。 复合型：把包过滤和代理服务两种方法结合起来，可以形成新的防火墙， 所用主机称为堡垒主机，负责提供代理服务。其他：路由器和各种主机按 其配置和功能可组成各种类型的防火墙。 ( 4 ) 防火墙的局限性 防火墙不能防范不经由防火墙的攻击。如果内部网用户直接从i n t e r n e t 服务提供商那里购置直接的s l i p 或p p p 连接，就可绕过防火墙系统所提供 的安全保护，从而造成了一种潜在的后门攻击渠道。 防火墙不能防范人为因素的攻击。不能防止由内奸或用户误操作造成的 威胁，以及由于口令泄露而受到的攻击。 二 防火墙不能防止受病毒感染的软件或文件的传输。由于操作系统、病毒、 二进制文件类型( 加密、压缩) 的种类太多且更新很快，所以防火墙无法逐 个扫描每个文件以查找病毒。防火墙不能防止数据驱动式的攻击。当有些 电子商务安全策略研究 北京邮电大学硕士学位论文第1 3 页共5 7 页 表面上看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发 生数据驱动式的攻击。例如，一种数据驱动式的攻击可以使主机修改与系统 安全有关的配置文件，从而使入侵者下一次更容易攻击该系统。 2 4 2 加密层技术 数据加密被认为是电子商务最基本的安全保障形式，可以从根本上满足 信息完整性的要求，它是通过一定的加密算法，利用密钥( s e c r e tk e y s ) 来对敏感信息进行加密，然后把加密好的数据和密钥通过安全方式发送给接 收者，接收者可利用同样的算法和传递过来的密钥对数据进行解密，从而获 取敏感信息并保证网络数据的机密性。 2 、加解密技术 加密的主要目的是防止信息的非授权泄露。加密可用于传输信息和存储 信息。从谱分析的角度看，加密把声音变成噪声，把图像变成雪花，把计算 机数据变成一堆无规律的、杂乱无章的字符。攻击者即使得到经过加密的信 息即密文，也无法辨认原文。因此，加密可以有效的对抗截收、非法访问数 据库窃取信息等威胁。 加密一般是利用信息变换规则把可懂的信息变成不可懂的信息，其中的 变换规则称为密码算法。可懂的信息称为明文，不可懂的信息称为密文。密 码算法是一些数学公式、法则或程序，算法中的可变参数是密钥。密钥不同， 明文与密文的对应关系就不同。密码算法总是设计成相对稳定的，在这个意 义上可以把密码算法视为常量，而密码是变量。 现代密码学的一个基本原则是：一切密码属于密钥之中。在设计加密系 统时，总是假设密码算法是公开的，真正需要保密的是密钥。所以在分发密 钥时必须要采用安全方式。衡量一个加密技术的可靠性，主要取决于解密过 程的数学问题难度，而不是对加密算法的保密。可靠的加密系统应当不怕公 开它的加密算法。另外，可靠性还与密钥的长度有关。 根据密码算法所使用的加密密码和解密密码是否相同、能否由加密密钥 推导出解密密钥( 或者由后者推出前者) ，可将密码算法分为对称密码算法 ( 也叫单钥密码算法、秘密密钥密码算法、对称密钥密码算法) 和非对称密 电子商务安全策略研究 北京邮电人学硕士学位论文第1 4 页共5 7 页 码算法( 也叫做双钥密码算法、公开密钥密码算法、非对称密钥密码算法) 。 ( 1 ) 对称加密 。如果一个加密系统的加密密钥和解密密钥相同，或者虽然不相同，但是 由其中任意一个可以很容易的推导出另一个，所采用的就是对称密码算法。 对称密码算法的密钥必须妥善保管，因为任何人拥有了它就可以解开加密信 息。对称密码算法的优点是计算开销小，加密速度快，是目前用于信息加密 的主要算法。但是，对称加密技术存在着通信的贸易方之间确保密钥安全交 换的问题。此外，当某一贸易方有n 个贸易关系，那么他就要拥有并维护n 个专用密钥( 即每把密钥对应一个贸易方) 。对称加密方式存在的另一个问 题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密 钥，贸易双方的任何信息都是通过这把密钥加密后传送给对方的，也不能保 证信息传送的完整性。 ( 2 ) 非对称加密 如果一个加密系统的加密密钥和解密密钥不相同，并且由加密密钥推导 出解密密钥( 或者由后者推出前者) 是计算上不可行的，所采用的就是非对 称加密算法。在采用非对称密码算法的加密系统中，每个用户有两个密码： 一个是可以告诉信息团体内所有用户的，称为公用密钥( 公钥) ；一个是由 用户自己秘密保存的，称为秘密密钥( 私钥) 。由于它具有每对密钥为用户 专用，并且其中一个可以公开的特点，所以他非常适用于密钥分发和鉴别。 其缺点是计算量大，不适合信息量大、速度要求快的加密。 、 电子商务的安全加密系统，倾向于组合应用对称密码算法和非对称密码 算法。对称密码算法用于信息加密，非对称密码算法用于密码分发、数字签 名及身份鉴别等。对文件加密传输的实际过程包括四步： 第一步，文件发送方产生一个对称密钥，并将此密钥用文件接收方的公 钥加密后，通过网络传送给接收方。 第二步，文件发送方用对称密钥将需要传输的文件加密后，再通过网络 传送给接收方。 第三步，接收方用自己的私钥将收到的经过加密的对称密钥进行解密， 得到发送方的对称密钥。 电子商务安全策略研究 北京邮电大学硕士学位论文 第1 5 页共5 7 页 第四步，接收方用得到的对称密钥讲解收到的经过加密的文件进行解 密，从而得到文件的原文