浅谈电子商务安全问题.doc

山东华宇职业技术学院高职经济管理系毕业论文 目 录一、电子商务安全基础3(一) 电子商务存在的安全隐患3(二) 电子商务系统可能遭受的攻击5(三) 电子商务安全的中心内容6二、我国电子商务面临的问题7三、移动电子商务面临的安全威胁7(一) 无线ad hoc应用的威胁8(二) 网络本身的威胁8(三) 物理安全8(四) 网路漫游的威胁9(五) 电子商务安全威胁现状9四、网络隐私权侵权现象9(一) 网络所有者或管理者的监视及窃听。9(二) 商业组织的侵权行为10(三) 部分软硬件设备供应商的蓄意侵权行为10(四）网络提供商的侵权行为10(五）个人的侵权行为10五、网络隐私权问题产生的原因11(一) 互联网的开放性11(二) 网络小甜饼cookie11(三）网络服务提供商(ISP)在网络隐私权保护中的责任12六、安全技术对网络隐私权保护12(一) 电子商务中的信息安全技术12(二) 电子商务信息安全协议13(三) P2P技术与网络信息安全13七、可以采取的相应对策14（一）保密业务14（二）认证业务14（三）接入控制业务14（四）数据完整性业务14（五）不可否认业务14八、电子商务的安全性需求分析15（一）机密性15（二）有效性15（三）完整性15（四）可靠性16（五）法律性16电子商务安全浅议摘 要 随着电子商务技术的发展，网络交易安全成为了电子商务发展的核心和关键问题，对网络隐私数据(网络隐私权)安全的有效保护，成为电子商务顺利发展的重要市场环境条件。因特网的迅速发展给社会生活带来了前所未有的便利，这主要是得益于因特网络的开放性和匿名性特征。然而，正是这些特征也决定了因特网不可避免地存在着信息安全隐患。介绍网络安全方面存在的问题及其解决方法，即网络通信中的数据保密技术和签名与认证技术，以及有关网络安全威胁的理论和解决方案。关键词 电子商务 ；电子商务安全隐患； 信息安全； 信息安全技术电子商务利用现有的计算机硬件设备、软件和网络基础设施，通过一定的协议连接起来的电子网络环境进行各种各样商务活动的总称。狭义上讲，电子商务可定义为：在技术、经济高度发达的现代社会里，掌握信息技术和商务规则的人，系统化运用企业内联网、外联网及因特网等现代系统，进行高效率、低成本的商务活动。一、电子商务安全基础 (一)、电子商务存在的安全隐患1、计算机系统的安全隐患(1)、硬件系统计算机是现代电子科技发展的结晶，是一个极其精密的系统，它的每一个零件都是由成千上万个电子元件构成的。这一方面使计算机的功能变得十分强大，另一方面又使它极易受到损坏。现在人们把计算机系统的漏洞或错误称为“Bug(臭虫)”，你知道为什么吗？有这样一种解释：计算机发展的初期，庞大的计算机在运行一个任务时往往发生错误而停止工作。于是操作人员查遍了它的每一部分电路，最终才发现原来只是一只臭虫死在某块电路板上，导致了短路，所以后来人们开始用“Bug”比喻系统错误。由此也可以看出计算机的硬件系统是如何的脆弱。当然，现代的计算机硬件已经“健壮”了许多，但它毕竟属于精密仪器，震荡、静电、潮湿、过热等都会使其受到严重的损伤。而且，由于现代的计算机硬件体积很小，很容易被人偷窃。想一想，如果你用来存放更重要数据的硬盘被人偷走，并采取措施加以保护。具体的方法我们后面还讲详细讨论。(2)、软件系统软件是用户与计算机硬件联系的桥梁。我们正是通过它来管理CPU等硬件，让他们执行命令的。任何一个软件都有自身的弱点，而大多数安全问题都是围绕着系统的软件部分发生，即包括系统软件也包括应用软件。这里有两个有趣的例子：最近发现，Microsoft的Windows NT中的加密机制可以被有效地关闭。其工作方式是：由于法国不允许普通公众对具有高度保密信息的站点进行访问，因此如果Windows NT把用户的工作地点解释为法国，那么，NT强大的加密机制就被禁止了，所以NT也不安全。1996年1月，加州大学伯克利分校计算机系的两个学生公开了Netscape加密方案中的一个严重缺陷。文章的题目是“随机性和Netscape”浏览器，作者是Goldberg和David。在文章中，他们解释了Netscape 中的称为安全套接层（SSL）的加密协议实现方式中有一个内在的缺陷。这个缺陷使得当安全通信在WWW上被截取时可能被破译。这是一个绝好的基本缺陷的例子。可见，软件系统的漏洞可谓多种多样、防不胜防。遗憾的是，到目前为止，人们还没有找到能够彻底查出或纠正软件所有漏洞的方法。所以，从安全的角度考虑，我们必须熟悉各种软件的特点，正确选择并配置、使用自己的平台。关于这方面的内容我们会在后面详细探讨。2、电子商务的安全隐患电子商务系统的安全问题不仅包括了计算机系统的隐患，还包括了一些自身独有的问题。数据的安全。一个电子商务系统必然要存储大量的商务数据，这是其运转的核心。一旦发生数据丢失或损坏，后果不堪设想。尤其这些数据大部分是商业秘密，一旦泄露，将造成不可挽回的损失。交易的安全。这也是电子商务系统独有的。在我们日常生活中，进行一次交易必须办理一定的手续，由双方签发各种收据凭证，并签名盖子以作为法律凭据。但在电子商务中，交易在网上进行，双方甚至不会见面，那么一旦一方反悔，另一方怎样能够向法院证明合同呢？这就需要一个网上认证机构对每一笔业务进行认证，以确保交易的安全，避免恶意欺诈。(二)、电子商务系统可能遭受的攻击一般说来，电子商务系统可能遭受的攻击有以下几种。1、系统穿透：未经授权人通过一定手段假冒合法用户接入系统，对文件进行篡改，窃取机密信息、非法使用资源等。他们一般采取伪装(Masquerade)或利用系统的薄弱环节（如绕过检测控制）、收集情报（如口令）等方式实现。这也是大多数黑客使用的方法。黑客们常常利用各种试探软件反复猜测某个网站的用户密码，一旦成功就可假冒该用户进入系统。更高级的黑客则会利用系统的缺陷巧妙地绕过检测机制，进入系统。1998年2月，五角大楼的关键主机遭到了“迄今为止最有组织、有系统的攻击”。这次破译是一个以色列年轻人领导，他向两个加州的年轻人演示了进入五角大楼安全分支的不同方法，于是那两个年轻人在数天之内进入了全美数以百计的网络。2、违反授权原则：一个被授权进入系统做某件事的用户，在系统中做未经授权的其他事情。表面看来这是系统内部的误用或滥用问题，但这种威胁与外部穿透有关联。3、植入：在系统穿透或违反授权攻击成功后，入侵者常要在系统中植入一种能力，为其以后攻击系统提供方便条件。如向系统中注入病毒、蛀虫、特洛伊木马、陷阱、逻辑炸弹等来破坏系统正常工作。特洛伊木马为攻击者服务，例如一种表面上合法的字处理软件能将所提编辑文档复制存入一个隐蔽的文件中，供攻击者检索。前一段时间流行的“美丽杀”病毒就是一种典型的植入攻击。黑客把病毒作为电子邮件的附近发给受攻击者。一旦对方运行了该附件，其系统就会感染该病毒感染该病毒。更有甚者，如果附件不是病毒，而上远程控制程序，如有名的B002K，则被攻击方的系统将完全被黑客控制，黑客可以随心所欲地浏览对方的文件，甚至执行关机、重启等操作。4、通信监视：这是一种在通信过程中从信道进行撘线窃听的方式。通过撘线盒电磁泄漏等对机密性进行攻击，造成泄密，或对业务流量进行分析，获取有用情报。5、通信串扰：攻击者对通信数据或通信过程进行干预，对完整性进行攻击，篡改系统中数据的内容，修正消息次序、时间（延迟和重放），注入伪造消息。6、中断：对可用性进行攻击，破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作，破坏信息和网络资源。高能量电磁脉冲发射设备可以摧毁附近建筑物中的电子器件，正在研究中的电子生物可以吞噬电子器件。7、拒绝服务：指合法接入信息、业务或其他资源受阻。8、否认：一个实体进行某种通信或交易活动，稍后否认曾进行过这一活动，不管这种行为是有意的还是无意的，一旦出现再要解决双方的争执就不太容易了。9、病毒：由于Internet的开放性，病毒在网络上的传播比以前快了许多，而且Internet的出现又促进了病毒制造者间的交流，使病毒层出不穷，杀伤力也大有提高。著名的CIH病毒出现不久，其源码就在网上传开。很快根据它改编的更隐蔽、更厉害的变种病毒大量出现，并造成了巨大的损失。(三)、电子商务安全的中心内容电子商务安全的中心内容一共六项，他们是机密性、完整性、认证性、不可否认性、不可拒绝性、访问控制性。电子商务安全的内容对于理解整个电子商务安全是非常重要的，所有的安全威胁都是针对这六项内容的，所有的安全技术都是为了保证这六项内容。下面逐一说明六项电子商务安全的具体内容。1商务数据的机密性商务数据的机密性（Confidentiality）或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或被披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。2.商务数据的完整性商务数据的完整性(Integrity)或称正确性是保护数据不被未授权者修改、建立、嵌入、重复传送或由于其他原因使原始数据被更改。3.商务对象的认证性商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份，保证身份的正确性，分辨参与者所称身份的真伪，防止伪装攻击。认证性用数字签名和身份认证技术实现。4.商务服务的不可否认性商务服务的不可否认性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，这是一种法律有效性要求。 二、我国电子商务面临的问题(一).目前依然缺乏电子合同法、网上知识产权保护、隐私保护法、网上信息管制等多个法律法规，国家发展电子商务还缺乏明确的发展战略和有力的技术经济政策。 (二).电子商务的发展所需要的市场经济环境、运行环境尚不完善，社会信用体系尚未完全建立，网络带宽、反应速度尚不满足要求，电子支付手段尚不完备，物流配送体系尚不配套。(三).我国信息产业国产化产品技术水平与市场占有率低，重大电子商务应用工程、应用系统所用的软硬件产品主要依靠国外公司，系统集成、信息服务水平有待提高。企业采用电子商务等高新技术尚缺少内在的动力、人力、财力与物力。(四).电子商务法律法规、电子商务标准、规范严重滞后，急需加强。 现有的行政法规不适应电子商务发展之处未得到及时修订。研究制定电子商务的相关法律法规较滞缓，对网络犯罪的定罪和处罚尚没有实施细则。(五).计算机应用水平低，上网企业与上网家庭数量还较少，信息技术在企业与家庭中应用不够普及。电子商务技术的发展，网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下，有些商家在网络应用者不知情或不情愿的情况下，采取各种技术手段取得和利用其信息，侵犯了上网者的隐私权。三、移动电子商务面临的安全威胁 尽管移动电子商务给工作效率的提高带来了诸多优势(如:减少了服务时间，降低了成本和增加了收入)，但安全问题仍是移动商务推广应用的瓶颈。有线网络安全的技术手段不完全适用于无线设备，由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。例如:目前还没有有效抵制手机病毒的防护软件。 (一).无线ad hoc应用的威胁 除了互联网在线应用带来的威胁外，无线装置给其移动性和通信媒体带来了新的安全问题。考虑无线装置可以组成ad hoc网路。Ad hoc网络和传统的移动网络有着许多不同，其中一个主要的区别就是Ad Hoc网络不依赖于任何固定的网络设施，而是通过移动节点间的相互协作来进行网络互联。由于其网络的结构特点，使得Ad Hoc网络的安全问题尤为突出。Ad hoc网路的一个重要特点是网络决策是分散的，网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点。 (二).网络本身的威胁 无线通信网络可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。无线信道是一个开放性的信道，它给无线用户带来通信自由和灵活性的同时，也带来了诸多不安全因素:如通信内容容易被窃听、通信双方的身份容易被假冒，以及通信内容容易被篡改等。在无线通信过程中，所有通信内容(如:通话信息，身份信息，数据信息等)都是通过无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。(三).物理安全 无线设备另一个特有的威胁就是容易丢失和被窃。因为没有建筑、门锁和看管保证的物理边界安全和其小的体积，无线设备很容易丢失和被盗窃。对个人来说，移动设备的丢失意味着别人将会看到电话上的数字证书，以及其他一些重要数据。利用存储的数据，拿到无线设备的人就可以访问企业内部网络，包括Email服务器和文件系统。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。 (四).网路漫游的威胁 无线网路中的攻击者不需要寻找攻击目标，攻击目标会漫游到攻击者所在的小区。在终端用户不知情的情况下，信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险，没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立，使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书。攻击者可以利用该漏洞来获利。移动电子商务通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务因其快捷方便、无所不在的特点，已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间，真正解决做生意的问题。 (五)、电子商务安全威胁现状1999年信息安全业调查表面，和那些不从事在线商务的公司相比，从事电子商务的公司遭遇黑客非法入侵的可能性高出57%。国内统计资料显示，2000年，约有64%的公司信息收到黑客的危害性攻击，其中金融业占总数的57%。四、网络隐私权侵权现象 (一).网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者，某些网络的所有者或管理者会通过网络中心监视使用者的活动，窃听个人信息，尤其是监控使用人的电子邮件，这种行为严重地侵犯了用户的隐私权。 (二).商业组织的侵权行为专门从事网上调查业务的商业组织进行窥探业务，非法获取他人信息，利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料，建立用户信息资料库，并将用户的个人信息资料转让、出卖给其他公司以谋利，或是用于其他商业目的。根据纽约时报报道，都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售，以换取更多的资金。(三).部分软硬件设备供应商的蓄意侵权行为某些软件和硬件生产商在自己销售的产品中做下手脚，专门从事收集消费者的个人信息的行为。例如，某公司就曾经在其生产的某代处理器内设置“安全序号”，每个使用该处理器的计算机能在网络中被识别，生产厂商可以轻易地收到用户接、发的信息，并跟踪计算机用户活动，大量复制、存储用户信息。 (四）.网络提供商的侵权行为 1.互联网服务提供商(ISP Internet Service Provider)的侵权行为:ISP具有主观故意(直接故意或间接故意)，直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭，造成客户邮件丢失、个人隐私、商业秘密泄露。ISP对他人在网站上发表侵权信息应承担责任。 2.互联网内容提供商(ICP Internet Content Provider)的侵权行为。ICP是通过建立网站向广大用户提供信息，如果ICP发现明显的公开宣扬他人隐私的言论，采取放纵的态度任其扩散，ICP构成侵害用户隐私权，应当承担过错责任。 (五）.个人的侵权行为个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。随着网络信息平台的不断发展，银行使用网络技术和计算机技术，收集，处理个人信息的能力大大增强，使银行电子商务迅速发展，但是其产生的诸多问题也接踵而来，其中就包括了个人隐私权的问题。五、网络隐私权问题产生的原因 网络隐私权遭受侵犯主要是由于互联网固有的结构特性和电子商务发展导致的利益驱动这两个方面的原因。 (一).互联网的开放性从网络本身来看，网络是一个自由、开放的世界，它使全球连成一个整体，它一方面使得搜集个人隐私极为方便，另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散，其安全性并不好。互联网上的信息传送是通过路由器来传送的，而用户是不可能知道是通过哪些路由进行的，这样，有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。 (二).网络小甜饼cookie某些Web站点会在用户的硬盘上用文本文件存储一些信息，这些文件被称为Cookie，包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑，不仅能知道用户在网站上买了些什么，还能掌握该用户在网站上看过哪些内容，总共逗留了多长时间等，以便了解网站的流量和页面浏览数量。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。 (三）.网络服务提供商(ISP)在网络隐私权保护中的责任ISP对电子商务中隐私权保护的责任，包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利，特别是保证数据的统一性和秘密性，以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据，除非得到用户的许可;对适当使用数据负有责任，必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。 目前，网上的许多服务都是免费的，如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等，然而人们发现在接受这些免费服务时，必经的一道程序就是登录个人的一些资料，如姓名、地址、工作、兴趣爱好等，服务提供商会声称这是为了方便管理，但是，也存在着服务商将这些信息挪作他用甚至出卖的可能。 六、安全技术对网络隐私权保护 (一).电子商务中的信息安全技术 电子商务的信息安全在很大程度上依赖于安全技术的完善，这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。 1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术，它的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。 2.加密技术。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。数据加密原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。 3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。 4.数字时间戳技术。在电子商务交易的文件中，时间是十分重要的信息，是证明文件有效性的主要内容。在签名时加上一个时间标记，即有数字时间戳的数字签名方案:验证签名的人或以确认签名是来自该小组，却不知道是小组中的哪一个人签署的。指定批准人签名的真实性，其他任何人除了得到该指定人或签名者本人的帮助，否则不能验证签名。 (二).电子商务信息安全协议 1.安全套接层协议(Secure Sockets Layer，SSL)。SSL是由Netscape Communication公司1994年设计开发的，主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议，该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。 2.安全电子交易公告(Secure Electronic Transactions，SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET已成为全球网络的工业标准。 3.安全超文本传输协议(S-HTTP)。依靠密钥的加密，保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充，增加了报文的安全性，是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。 4.安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开，以提高安全控制能力。 (三).P2P技术与网络信息安全P2P(Peer-to-Peer，即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络，最根本的思想，同时它与C/S最显着的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务，同时，又是资源或服务的提供者，即兼具Client和Server的双重身份。七、可以采取的相应对策适当设置防护措施可以减低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施，防止恶意侵扰。整个系统的安全取决于系统中最薄弱环节的安全水平，这需要从系统设计上进行考虑。（一）保密业务保护信息不被泄漏或披露给未经授权的人或组织。保密性可用加密和信息隐蔽技术实现。（二）认证业务保证身份的精确性，分辨参与者所声称身份的真伪，防止伪装攻击。认证性可用数字签字和身份认证技术实现（三）接入控制业务保护系统资源（信息、计算和通信资源）不被未经授权人或以未授权方式接入、使用、披露、修改、毁坏和发出指令等。防火墙技术就是这一业务的实现。（四）数据完整性业务保护数据不会被未经授权者建立、嵌入、篡改、重放。（五）不可否认业务主要用于保护通信用户对付来自其他合法用户的威胁，如发送用户对他所发消息的否认、接受用户对他已收消息的否认等，而不是对付来自未知的攻击者。加快我国自主知识产权的计算机网络和电子商务安全产品的研制和开发，摆脱我国计算机网络和电子商务安全产品完全依赖进口的局面，将自主权掌握在自己手里。八、电子商务的安全性需求分析（一）机密性电子商务作为贸易的一种手段，其信息直接代表着个人、企业或者国家的商业机密。因此，能否维护好商业机密成为了电子商务全面推广应用的前提条件。电子商务系统应能够对公众网络上传输的信息进行加密处理，防止交易中信息被非法截获或读取。（二）有效性电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。因此，要对网络故障、操作错误、应用程序错误等所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。（三）完整性电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、同意问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，在数据传输过程中信息丢失、信息重复或者信息传送的次序差异也会导致贸易各方信息不同。贸易各方信息的完整性将影响贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息丢失和重复，并保证信息传送次序的统一。 （四）可靠性由于网上通信双方互不见面，所以在交易前必须首先确认对方的真实身份；支付时还要确认对方帐号等信息是否真实有效。电子商务系统应提供通信双方进行身份鉴别的机制，确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认，对私有密钥和口令的有效保护，对非法攻击能够防范，防止假冒身份在网上进行交易。（五）法律性电子商务系统应有效防止商业欺诈行为的发生。最新合同法已确认双方同意电子贸易的电子档案为有效书面合同，为产生贸易纠纷双方提供法律凭证。网上交易的各方在进行数据传输时必须携有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证，以保证商业信任和行为的不可否认性，保证交易各方对已做的交易无法抵赖，为法律举证提高有效数据。结束语：电子商务的发展将逐步改变我们的生活及工作方式，原来面对面谈判、纸上交流的管理与商务活动方式逐步变成了由计算机远距离操作完成的数字化活动方式。没有了时间、空间