网络安全对电子商务发展的影响及对策(1).doc

论文题目：网络安全对电子商务发展的影响及对策专 业： 电子商务（文）学 生： 张 岩 签 名： 指导老师： 刘 春 光 签 名： 摘要随着互联网技术和经济全球化进程的快速发展，电子商务已经成为一切经济活动不可或缺的组成元素，随着电子商务的快速发展，不仅给个人、企业而且给社会带来了显而易见的收益。相对与传统的商务模式来说电子商务具有高效率、低成本的优势。但其安全问题始终是影响电子商务发展的瓶颈，要保证电子商务的顺利发展，就必须高度重视安全问题，而网络安全更是研究的重点。本文首先介绍了课题的研究背景，总结了国内外电子商务网络安全研究现状；其次，对电子商务网络安全做了简要介绍；提出了引起网络安全问题的原因，以及针对这些安全问题提出技术保障策略和管理策略。总之本文从电子商务的网络安全问题出发，制定科学的安全策略、重视管理和技术的运用，为电子商务的发展创造良好的环境，更好的促进电子商务的发展。关键词 电子商务 网络安全 安全技术保障 安全管理策略论文类型 应用型Title： The development of e-commerce network security and CountermeasuresMajor：E-commerce(text)Name：zhangyanSignature： Supervisor：liuchunguang Signature： ABSTRACTWith the rapid development of Internet technology and economic globalization, e-commerce has become an indispensable element of all economic activities, with the rapid development of electronic commerce, not only to individuals, enterprises and brings obviously benefits to society. Compared with the traditional business model of electronic commerce has high efficiency, low cost advantage. But the security problem is always the bottleneck of the development of electronic commerce, in order to guarantee the smooth development of e-commerce, we must attach great importance to security issues, and network security is the focus of the study. This paper first introduces the research background, summarizes the research status of network security in electronic commerce; secondly, give a brief introduction of e-commerce network security; the cause of the problem of network security is presented, and in view of these safety issues and technical support strategies and management strategies. In this paper from the point of view of the network security problem of e-commerce, security policy, scientific attention to the use of management and technology, to create a good environment for the development of electronic commerce, to better promote the development of electronic commerce. E-commerce, e-commerce network security, security technology, safety management, evaluation method。Key words Electronic Commerce network security Safety management strategy, security techniqueType of Thesis Application type目录1 引言41.1 研究背景41.2 国内外研究现状51.2.1 国外研究现状51.2.2 国内研究现状61.3 研究意义71.3.1 理论意义71.3.2 现实意义72 电子商务网络安全现状及安全内容82.1 电子商务安全现状82.2 电子商务网络安全的内容82.3 电子商务安全要素93 电子商务中的安全问题113.1 电子商务中主要存在的网络安全问题113.1.1 商务信息安全113.1.2 电子商务平台漏洞123.1.3 交易身份认证、身份仿冒问题123.1.4 木马威胁133.1.5 网络系统软件自身及数据库设计中的安全问题143.1.6 其他威胁143.2 引起电子商务网络安全问题的根本原因153.2.1 数据库的安全具有脆弱性153.2.2 网络通信安全问题153.2.3 配置的错误和疏忽163.2.4 安全管理不力164 电子商务中的网络安全技术保障策略164.1 电子商务网络安全技术策略164.1.1 防火墙技术164.1.2 信息加密技术184.1.3 数字签名184.1.4 认证技术194.1.5 电子支付安全协议(SSL和SET)204.2 电子商务中网络安全的管理策略224.2.1 完善自身电子商务规划224.2.2 加强安全技术管理224.2.3 企业加强自身管理234.2.4 建立病毒防范制度234.2.5 建立数据备份和恢复的保障制度244.2.6 建立系统维护制度244.3 加强国家的安全立法工作244.3.1 发挥政府的宏观调控与引导作用244.3.2 营造良好的法律政策环境254.3.3 加强电子商务安全技术的研究和标准的制订255 案例分析266 结束语28致 谢29参考文献301 引言1.1 研究背景电子商务作为信息时代的产物,随着它的迅速发展不仅仅给生产制造企业、经营商铺同时也为消费者和社会带来了显而易见的收益,电子商务相对于传统的商务具有高效率、低成本的优势，它的迅猛发展带动了全球商业的革命，商务运作模式必将被电子商务所取代，从而成为在信息时代下市场的主导和核心,推动全球经济更好更快速的发展。电子商务作为一种全新的商业模式,它以电子通信为主要方式，为全世界的用户提供更为丰富的商务信息、更为低廉的商业交易成本、更为简洁的交易过程。而随着计算机网络技术的不断发展,网民数量的迅速增加,电子商务交易的金额也急剧上升，随之而来的风险也是急剧增涨。我们在享受这互联网给生活带来的这些好处的时候，网络的安全问题早已成为电子商务发展的一个重大难题，严重阻碍了电子商务企业的发展。主要表现在：一方面由于Internet是一个开放的网络平台，使其极易受到黑客的攻击或者有组织的群体的入侵；另一方面由于系统内部人员的不规范使用和恶意破坏，使得网络安全问题危机四伏，因此使依赖于网络安全的电子商务变得十分脆弱，病毒、口令攻击、路由攻击等都可能突破网络防线，引发这样或那样的问题。 电子商务的网络安全问题一直以来不仅受到人们的关注而且安全专家的重视也是逐步的提高，通过这两方面的努力网络安全问题不断得到发展，例如：加密技术，防火墙技术，数字签名技术等的应用。这些技术的应用极大的促进了电子商务的发展。虽然一些电子商务的安全技术都制定了相应的安全标准，但是就整个系统而言还远远不够。因此，必须制定科学的安全策略、重视管理和技术的运用，为电子商务的发展创造良好的环境，更好的促进电子商务的发展。1.2 国内外研究现状1.2.1 国外研究现状世界各国对电子商务网络安全问题研究的发展是相当重视的，在电子商务网络安全方面普遍存在标准先行的情况。如在电子商务法规方面美国于1987年通过了计算机安全法，1998年发布了使用电子媒介作传递用途的声明，将电子传递的文件视为与纸介质文件相同；2000年通过了全球和全国商务电子签名法案，使电子签名与手写签名具有同样的法律效力。另外美国政府很早就研究密码技术，并于1977年公布数据加密标准（Data Encryption Standard，DES），同时由美国国家标准技术研究院（National Institute of Standards and Technology，NIST）制定了一系列有关密码技术的联邦信息处理标准（The Federal Information Processing Standards，FIPS），通过以上方式并在技术规范的前提下，对密码产品进行严格的检验。PKI系统的应用已经出现在美国许多大企业之中。例如，最早广泛推广及应用也是最大的应用PKI公司之一-VeriSign。VeriSign除了是全美公认的最可信公共CA之一，同时还提供专用PKI工具，包括称为证书颁发服务，这项服务充当了本地CA。这对于内部的CA操作具有非常重要的现实意义，并且可以通过减少与手工CA交互操作来降低PKI的某些实际成本。既为企业节省了开支同时也保护了企业网络信息的安全。另外世界万维网联盟根据XML数据安全标准，把加密或签名后的密文信息加入原XML文档中，与原XML文档一起进行传输。通过这种传输方式，在加密和签名算法可靠的前提下，可以实现XML文档细粒度的加密和签名，不存在数据安全的问题，提高了信息传输的安全性。1.2.2 国内研究现状相对于欧美等发达国家，我国虽然在电子商务网络安全方面起步晚，在重视程度和投入上虽未达到欧美等发达国家，但近年来随着我国电子商务的迅猛发展，在对电子商务网络安全的认识程度上已经有了很大的提高，目前已经或正在进入网络信息安全的研究阶段，并制定了国家、行业信息安全管理的政策、法律法规。从行业规范和立法的角度保证电子商务的顺利进行。从法律法规上看，国务院颁布中华人民共和国计算机信息网络国际联网管理暂行规定（以下简称规定）和公安部颁发的计算机信息网络国际联网安全保护管理办法（以下简称办法）就是两个对电子商务具有重大影响的重要行政法规。从安全管理、适应范围与调整对象、加强国际互联网出入信道的管理、市场准入制度、行政处罚等方面以法律法规的形式从而保障电子商务的网络安全。另外，国内的阿里巴巴和淘宝网都是使用支付宝来确保用户的交易安全。支付宝网站采用先进的128位SSL加密技术，确保用户在支付宝页面上输入的任何信息可以安全传送到支付宝，而不用担心会通过网络窃取自己的敏感信息。同时，同一天内系统只允许密码输入出错两次，第三次输入密码出错，系统将会自动锁定该用户，三个小时后会自动解除锁定。总之，中国的网络安全对电子商务的发展虽然取得了一定的成果，但面临的困难和需要解决的问题依然很多。1.3 研究意义1.3.1 理论意义使基于Internet开展的电子商务正随着网络应用的日益普及和发展，已逐渐成为人们进行商务活动的新模式,已经有越来越多的企业和个人通过Internet进行商务活动,电子商务的发展前景将是十分诱人的。然而伴随着电子商务的迅猛发展，网络安全事件不断出现，电子商务的安全问题日益突出，构建一个安全、快捷、优质、高效的电子商务运行环境从而最大限度的保障现代电子商务的安全有效运行已经成为摆在我们面前的一个重要的研究课题。现代电子商务的运行交易过程是通过网络完成的，影响现代电子商务安全的的最为关键的因素依然是网络的安全问题。因此，只有全面保证网络安全，才能使现代电子商务顺利完成商务交易，进而达到电子商务活动的目的。1.3.2 现实意义目前企业发展电子商务的一大顾虑是网络安全性问题。研究和分析电子商务的网络安全性问题,特别是针对我国自己国情,充分借鉴国外的先进技术和经验,开发和研究出符合电子商务系统的安全技术对我国电子商务的发展具有至关重要的意义。本文从网络安全对电子商务发展的影响去分析并对电子商务发展中的安全问题进行列举与分析有很深的实际意义。2 电子商务网络安全现状及安全内容2.1 电子商务安全现状电子商务泛指在互联网络覆盖的全球各个国家和地区进行的商务活动，通过网络和商务平台来完成商务信息交流和商品的交易等商务行为，而这一过程中买卖的双方未曾谋面。伴随着计算机技术和互联网络的飞速发展，电子商务一经推出就得到了广泛的推广，时至今日电子商务仍然被人们看作是IT 领域在未来最有潜力的聚焦点然而目前电子商务的安全问题却是比较严重的，最突出表现在计算机网络安全和商业诚信问以及企业网络安全管理上。随着网络技术的广泛应用，我国电子商务的安全问题也日益突出。根据“2011年，计算机病毒和互联网安全报告疫情”的数据表明，计算机病毒感染率为70.51%,较去年有所下降,但仍然维持在比较高的水平；网络安全问题仍然是目前制约电子商务迅速发展的瓶颈，如何解决好网络安全问题一直是各方关注的焦点。2.2 电子商务网络安全的内容 电子商务的一个重要的技术特征就是利用IT技术来传输和处理商务信息。因此电子商务网络安全从整体上来说可以分成两大部分：一是计算机网络安全和二是商务交易的安全。其中计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、网络系统软件自身及数据库设计中的安全问题、传输线路安全与质量问题等。其特点是针对计算机本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。其中计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。对计算机信息构成不安全的因素很多，其中包括人为的因素、自然的因素和偶发的因素。其中，人为因素是指，一些不法之徒利用计算机网络存在的漏洞，或者是潜入计算机机房，盗用计算机系统资源，非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面：保密性、完整性、可用性、可控性、可审查性。传输线路安全与质量问题，从安全的角度来说，没有绝对安全的通信线路，同时无论采用何种传输线路，当线路的通信质量不好时，将直接影响联网效果，严重的时候甚至导致网络中断，这就会严重的危害通信数据的完整性。商务交易安全问题主要是针对商务活动在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保证电子商务过程的顺利进行。即实现电子商务网络交易的完整性、保密性、可鉴别性和不可抵赖性。计算机网络安全与电子商务交易安全实际上是密不可分的，两者相辅相成，缺一不可，共同构成电子商务顺利进行。2.3 电子商务安全要素电子商务是在Internet环境下进行的商务活动，交易的安全性、可靠性、有效性一直是人们在交易活动中最为关切的问题。因此，为了更好地保障电子商务整个交易活动的安全顺利进行。电子商务系统必须具备以下几个安全要素：(1)有效性、真实性 有效性和真实性具有传统口头协议、书面协议的一样效力不能加以反悔或抵赖。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业和国家的经济利益和声誉。如何保证这种电子贸易信息的有效性和真实性成了成功经营电子商务的一个重要前提。因此，要对网络故障、操作失误、应用程序错误、硬件故障、系统软件错误及计算机病毒的潜在威胁加以控制和预防，保障贸易数据在确定的地点的有效性和真实性。(2)机密性 机密性是指保证信息不会泄漏给非授权人或实体。电子商务作为一种贸易手段，其信息是个人、企业或国家的商业机密。网络交易必须保证发送者和接受者之间交换信息的保密性，而电子商务建立在一个较为开放的网络平台上，商业保密就成为电子商务全面推广应用的重点保护对象。因此，要预防非法信息存取和信息在传输过程中被非法窃取，确保只有合法的用户才能看到数据，防止泄密事件的发生。(3)数据的完整性 数据的完整性要求防止数据非授权的输入、修改、删除或破坏，保证数据的一致性。数据的完整性将影响到贸易各方的交易和经营策略，保持这种完整性是电子商务应用的基础，数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异。数据传输过程中的信息丢失、信息重发或信息传送次序的差异也会导致贸易各方信息不相同。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中和重复信息并保证信息传送次序的统一。 (5)可靠性、不可抵赖性 可靠性是要求保证合法用户对信息和资源的使用不会遭到不正当的拒绝；不可抵赖性是要求建立有效的责任机制，防止实体否认其行为在互联网上每个人都是匿名的，发送数据后不能抵赖；接收方在接收数据后也不能抵赖。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已经不可能。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，为了交易的完成，各方必须能够鉴别另一方的身份。一旦一方签订交易后，这项交易就应收到保护以防止被篡改或伪造。（6）内部网的严密性企业的内部网一方面有着大量需要保密的信息，另一方面传递着企业内部的大量指令，控制着企业的业务流程。企业内部网一旦被恶意侵入，可能给企业带来极大的混乱与损失。保证内部网不被非法侵入，也是开展电子商务的企业应着重考虑的一个安全问题。3 电子商务中的安全问题3.1 电子商务中主要存在的网络安全问题在电子商务中网络安全问题是必须要考虑的。商务信息安全问题、电子商务平台漏洞、交易身份认证问题、木马威胁等都威胁着电子商务的顺利发展，由此引发的一系列安全问题迫切需要有效的解决方案。3.1.1 商务信息安全 商务信息作为企业中的机密数据，一旦被不法份子截获或篡改必然会对企业带来极大的困扰。然而即便如此，当前仍然有很多企业对其重视程度不高。有些企业对商业数据的加密力度不够甚至是根本没有对商业数据加密，不法分子可以通过对互联网络、电话线或者电磁波设置数据拦截装置来截获商业数据。可以想象在企业的交易过程中，企业内部数据或者是传输给交易方的数据一旦遭到篡改或毁坏，不但会对当前的交易造成混乱更是会在一定程度上影响企业的形象和信誉。商务信息的安全主要包括信息的泄露。攻击这获取信息的方式主要有两种，一是窃听，信息在网络传输的过程中，攻击者可在传输信道上对数据进行非法截取、监听。获取通信中的敏感信息，造成网上传输信息的泄露。二是通过攻击数据库服务器，即利用WEB程序或网络数据库的缺陷，通过多种技术手段，绕过网站系统、WEB程序或者网络数据库的安全限制，直接从网站中获取机密信息。用户泄露一般包括技术泄密即数据库被盗取或者是快递公司泄密。相对而言前者发生的更多。因此，一方面运用电子商务的企业必须加强自己电子商务网站的安全，防止自己的数据库被盗，另一方面也要加强对快递公司的监管，防止用户信息的泄露。3.1.2 电子商务平台漏洞由于互联网络的开放性、广泛性，造成了电子商务平台或者网络自身可能存在很多的安全问题，很多企业对电子商务平台自身缺乏应有的警惕性，对自身的电子交易平台不够重视，缺乏基本的电子平台运维管理意识，只有在企业信息泄露或是企业内部服务器被恶意入侵之后才意识到电子商务平台的安全配置不够。另外还有一些企业虽然对电子商务平台拥有足够的重视，却在安全技术产品的选择问题中盲目追随，反而忽视了自身应有的企业管理制度。总之企业的电子商务平台架构缺陷、应用安全技术软件的漏洞和企业自身管理统统可以归结为电子商务平台的缺陷，而这些缺陷不但会给企业带来巨大的经济损失更会给企业遭受更多的信息安全问题埋下伏笔。3.1.3 交易身份认证、身份仿冒问题 部分不法分子能够通过特定的技术盗取合法用户的身份信息和相关权限，并且在这一合法身份的掩护下与其他企业进行欺诈交易，或者是利用虚假信息诈骗用户的机密信息来盗取资金。在这些例子中不法分子都是通过获得合法身份的手段进行犯罪活动，由此可见交易身份的认证在电子商务中的重要性。 国反钓鱼网站联盟在2010年4月，联盟受理并暂停域名解析的钓鱼网站多达1800个，七成“钓鱼”网站仿冒淘宝网，以淘宝网为代表的电子商务网站依然是网络钓鱼的重点仿冒对象，在联盟公布的处理结果中，仿冒淘宝网的钓鱼网站投诉高达1300多个，占被处理的钓鱼网站的74%，其他的依次为腾讯和工行。 仿冒欺诈钓鱼类网站对网民危害极大，而创建这些欺诈钓鱼网站的成本却非常低廉。只需换换IP、换换域名，内容可以直接从正常网站复制粘贴。具体到针对证劵、股票、理财等财经领域的钓鱼网站，这些网站以所谓高收益、黑马、潜力股推荐等手段，欺骗网民注册会员，轻则骗取会员费，重则血本无归。面对日益复杂的钓鱼欺诈，目前不少网站已经在首页底部安装了第三方网站资质认证，网民应首先通过第三方权威机构的网站资质信息来判断网站的真实身份，以规避网络风险。网民在应用电子商务时应养成查看网站资质信息的使用习惯。在国家加强域名信息准确性治理后，域名注册信息更能反映网站真实的资质信息。对于网络操作，不要轻易相信各种所谓的中奖信息，不要轻易透漏自己的个人信息，尤其是银行帐号、个人身份信息等重要数据，需要登录网上银行或者电子商务网站时，应直接在网址栏填写正确的网站地址，最好不要使用检索页搜索网站。其实，单一的查封域名、停止网站运营等手段并不能彻底杜绝仿冒钓鱼网站。治本之策还在于提高网民的安全防范意识和技能，同时商家和各种支付系统要对用户负责，自身具有很好的配套措施。3.1.4 木马威胁 黑客编写一些看起来“合法”的程序。上传到一些FTP站点或是提供给某些个人主页，诱导用户下载。当一个用户下载软件时，黑客的软件一起下载到用户的电脑上。该软件会跟踪用户的电脑操作，它静静地记录着用户输入的每个口令。然后把它们发送给黑客指定的Internet信箱。黑客利用这些工具可以远程控制、检查、监控目标用户的信息。他们能使用目标设备像合法用户一样向网络发送信息，因而具有很大的欺骗性，往往能够得逞而不被发现。 这些工具很容易通过email被安装到目标用户的电脑上。攻击者可以完全控制被攻击者的电脑系统，可以修改和删除文件，可以运行任何程序。这种程序对电子商务系统的威胁要比病毒严重的多，与因特网连接的电子商务系统对这种攻击还缺乏有效的防护措施。电子商务系统的运营者要采取措施和策略加强对客户端的安全防护。一些木马程序可以破环任何类型的加密系统，它在数据还没有被加密以前能够捕获要加密的数据信息。即使知道了这些工具的源代码，要设计能够检测这种攻击的过滤工具是非常困难的，防御这些攻击的机制总是被动的。病毒对电子商务系统的威胁可以被看作是恶作剧，它仅仅干扰电子商务系统的运作，应被归类为阻断服务(denialof service)的工具，然而木马程序和一些具有木马程序同样功能的商业工具则是电子商务系统最大的威胁，木马程序能够使黑客伪装成合法的客户因而很难对付。黑客可以假冒合法客户发送商品订单，而电子商务系统服务器并不能区分它的真假。密码保护、客户端服务器之间的通信加密、公私钥加密机制都是徒劳的，在传递的数据信息被加密以前，木马程序就能使黑客看到这些信息的明文，这严重威胁电子商务的网络安全。3.1.5 网络系统软件自身及数据库设计中的安全问题一方面，网络系统软件自身安全与否直接关系网络安全。网络系统软件的安全功能较少或不全，以及系统设计时的疏忽或考虑不周而留下的“破绽”，都等于给危害网络安全的因素留下许多“后门”，另一方面，信息数据是存放在数据库中的供不同的用户来共享。数据库设计过程中本身也有它的安全性和危险性，如授权用户超出了他们的访问权限进行更改活动：非法用户绕过安全内核，窃取，篡改信息资源等。3.1.6 其他威胁电子商务除了面临信息泄露、木马威胁、身份仿冒等这些方面的威胁，一些偶然因素对其安全性也会构成威胁，如突发自然灾害造成的商务活动中断、操作人员的不慎重所导致的信息泄露等3.2 引起电子商务网络安全问题的根本原因当许多传统的商务方式应用在互联网上时便会由此产生许多源于安全方面的问题。商务信息的存储依靠计算机的数据库技术来实现，信息传输的主要途径是互联网。电子商务的不安全因素也正是以计算机的数据库技术和网络通信技术的安全漏洞为主要目标构成了威胁电子商务活动的主要原因，成为不法分子入侵的主要途径。 3.2.1 数据库的安全具有脆弱性实现电子商务的企业大都建立用来存储和管理各种业务数据的核心数据库。对于大多合法用户来说，这个核心数据库是存储关键信息的一种非常便捷的方式。而从攻击者的角度来看直接破解这个数据库所带来的利益要比在网络中嗅探数据带来的利益大得多攻击者一旦窃取到数据库的访问权，就可以通过数据库的查询命令方便的获取想要的信息，电子商务在数据库中所面临的安全问题表现在非法入侵者对数据库的攻击。 3.2.2 网络通信安全问题电子商务在网络通信中所面临的安全问题主要体现在以下几个方面。一是网络传输的可靠性。电子的交易信息在网络上传输的过程中可能被他人非法修改、删除或被多次使用。这样就使信息失去了其真实性和完整性；二是网络传输的可靠性受硬件设备或软件缺陷的限制使信息传输过程得不到保障。信息的存储和传输以及计算机网络本身受到恶意程序破坏的威胁(如病毒、木马、黑客入侵等的威胁)。3.2.3 配置的错误和疏忽由于网络系统本身的复杂性，配置防火墙是一件相当复杂的事情。在没有更好的辅助工具出现之前，缺乏训练的网络管理员很有可能发生配置错误，给黑客造成可乘之机。在系统配置时过于宽容，或者由于对某些服务的安全性了解不够而没有限制或禁止这些不安全的服务，或者对于某些节点的访问要求给予太多的权力，都会给安全带来危害。3.2.4 安全管理不力在国内的多数计算机网络，都缺少经过正规教育和训练的专职的网络安全管理员，缺少网络安全管理的技术规范，没有定期的安全测试和检查，更没有安全监控。甚至有许多网络已经运行多年了，而系统管理员和用户的登录名字和口令还是缺省状态未予改动，这给黑客们了一个可乘之机。4 电子商务中的网络安全技术保障策略 4.1 电子商务网络安全技术策略电子商务的安全问题涉及到电子商务的各个环节和参加交易的各个方面。解决电子商务的安全问题是一个系统工程和社会问题。在电子商务的交易中电子商务的安全性主要是网络安全和交易信息的安全。而网络安全是指网络操作系统对抗网络攻击、病毒使网络系统连续稳定的运行，交易信息的安全是指保护交易双方不被破坏、不被泄密和交易双方身份的正常确认。 4.1.1 防火墙技术防火墙是一个保护装置，它是一个或一组网络设备装置，目的就是保护内部网的访问。防火墙可以安装在两个组织结构的内部网与外部网的Ieternet之间，同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制，它的主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测、控制管理规则过滤、监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙技术主要用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进人内部网络。它是一种控制技术既可以是一种软件产品，又可以制作或嵌入到某种硬件产品中。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公共网络的互联环境中。大型网络系统与Internet互联的第一道屏障就是防火墙，防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理：过滤进、出网络的数据 管理进、出网络的访问行为，封堵某些禁止行为。记录通过防火墙的信息内容和活动对网络攻击行为进行检测和预警。防火墙主要解决以下问题：(1)防火墙可以过滤不安全的服务而降低风险，如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护的网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络；防火墙同时可以保护网络免受基于路由的攻击，如IP选项的源路由攻击和ICMC重定向中的重定向路径，防火墙可以拒绝所有以上类型攻击的豹纹并通知防火墙管理员。(2)当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息，这是因为所有的访问都经过防火墙，防火墙能够记录下这些访问并作出日志记录。(3)防火墙能够防止内部信息的外泄，通过利用防火墙对内部网络的划分，可以实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。(4)被拦阻时能够通过声音或闪烁图标给用户报警提示。防火墙虽然能对外部网络的攻击实施有效的防护，但对网络内部信息传输的安全却无能为力实现电子商务的安全还需要一些保障动态安全的技术。宏基恒信防火墙的应用就是一个很好的例子极大的提高了公司的网络安全运行。4.1.2 信息加密技术信息加密技术作为主动的信息安全防范措施，利用加密算法将明文转换成为无意义的密文，阻止非法用户理解原始数据。从而确保数据的保密性。在电子商务中，数据加密技术是其他安全技术的基础，也是最主要的安全措施。加密技术主要包括对称加密和非对称加密。对称加密又称为私钥加密，非对称加密又称为公钥加密。为了充分发挥对称和非对称加密体制各自的优点，在实际应用中通常将这两种加密体制结合在一起使用。比如利用DES来加密信息而采用RSA来传递对称加密体制中的密钥。加密技术例如DES是一种世界上公认的较好的加密算法，自从问世20多年来，成为密码界研究的重点，经受住了很多科学家的研究和破译，在民用密码领域得到了广泛的应用。4.1.3 数字签名在现实世界里，为了证明对某一个文件负责，我们常在该文件上签名。在电子商务中，相类似的机制就是数字签名，数字签名主要是为了预防交易抵赖行为。数字签名（Digital Signature）是密钥加密和信息摘要相结合的技术，可以保证信息的完整性和不可否认性。数字签名的过程如下：发送方用自己的私钥对信息摘要加密；发送方将加密后的信息摘要与原文一起发送；接收方用发送方的公钥对收到的加密摘要进行解密；接收方对收到的原文用Hash算法得到接收方的信息摘要；将解密后的摘要与接收方的信息摘要对比，相同说明信息完整且发送方身份是真实的，否则说明信息被修改或不是该发送者发送，由于私钥是自己保管的他人无法仿冒，同时发送方也不能否认用自己的私钥加密发送的信息，所以数字签名解决了信息的完整性和不可否认性问题。数字签名加密和密钥加密技术不同，密钥加密是发送方用接收方的公钥加密，接收方在用自己的私钥解密，是多对一的关系；而数字签名中的加密是发送方用自己的私钥对摘要进行加密，接收方用发送方的公钥对数字签名解密，是一对多的关系，表明公司的任何一个贸易伙伴都可以验证数字签名的真伪性。数字签名机制解决以下安全问题：(1)否认：事后发送者不承认文件是他发送的；(2)伪造：有人自己伪造了一份文件，却声称是某人发送的；(3)冒充：冒充别人的身份在网上发送文件；(4)篡改：接收者私自篡改文件的内容。数字签名机制具有可证实性、不可否认性、不可伪造性和不可重用性。文件的伪造者可能企图杜撰别人的签名，也可能企图从别人在他所掌握的签名文件上把签名拷贝过来，所谓不可重用性就是为了杜绝后一种情况。数字签名在电子商务中的一大应用可以体现在防卫票据上，在很大程度上解决了电子商务交易过程中票据的真伪性问题。4.1.4 认证技术 CA认证中心。它为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书。它是电子商务及网上银行操作中，具有权威性、可信赖性及公正性的第三方机构。如中国金融认证中心(cFcA)。有关的认证技术包括数字签名与数字证书。数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对数字签名进行解密，获得哈希摘要。并将收到的原始数据产生的哈希摘要与获得的哈希摘要相对照，便可确信原始信息是否被篡改，这样就保证了数据传输的不可否认性。数字证书是各类实体(持卡人/个人、商户/2业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。CA安全认证体系主要解决几大问题：(1)解决网络身份证的认证以保证交易各方身份是真实的；(2)解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改；(3)解决交易的不可抵赖性以保证对方在网上说的话是真实的。需要注意的是，CA认证中心并不是安全机构，而是一个发放“身份证”的机构，相当于身份的“公证处”。因此，企业开展电子商务不仅要依托于CA认证机构，还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。好的IT厂商，会让用户在部署安全策略时少走许多弯路。用户在选择外援时，为了节省成本，避免损失，应该把握几个基本原则：(1)要知道自己究竟需要什么；(2)要了解厂商的信誉；(3)要了解厂商推荐的安全产品；(4)用户要有一双“火眼金睛”，对项目的实施效果能够正确加以评估。有了这些基本的安全思路，用户可以少走许多弯路。4.1.5 电子支付安全协议(SSL和SET)SSL安全协议SSL(安全套接层协议)是一种安全通信协议。SSL提供了两台计算机之间的安全连接对整个会话进行了加密，从而保证了信息的安全传输。采用对称密码体制来加密数据，采用信息验证算法进行完整性检验对实体的鉴别采用非对称密码体制进行认证。 SSL安全协议最初是由NetseapeCommunieation公司设计开发的,又叫安全套接层(SecureSocketsLayer)协议,主要用于提高应用程序之间的数据的安全系数SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器间事务安全的协议SSL安全协议主要提供三方面的服务:（1）认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上。（2）加密数据以隐藏被传送的数据（3）维护数据的完整性,确保数据在传输过程中不被改变SSL安全协议的应用SSL安全协议也是国际上最早应用于电子商务的一种网络安全协议,至今仍能有许多网上商店在使用。然而,在使用时SSL协议根据邮购的原理进行了部分改进。在传统的邮购活动中,客户首先寻找商品信息,然后汇款给商家,商家再把商品寄给客户。这里,商家是可以信赖的。所以,客户须先付款给商家。在电子商务的开始阶段,商家也是担心客户购买后不付款,或使用过期废的信用卡,因而希望银行给予认证。SSL安全协议正是在这种背景下应用于电子商务的。SSL协议运行的基本特点是商家对客户信息保密的承诺。如美国著名的亚马逊(Anazon)网上书店在它的购买说明中明确且示:当你在亚马逊公司购书时,受到-亚马逊公司安全购买保证保护。所以,你永远不用为你的信息卡安全担心，但在上述流程中我们也可以注意到,SSL协议有利于商家而不利于客户。客户的信息首先是必要的,但整个过程中缺少了客户对商家的认证。在电子商务的开始阶段,由于参与电子商务的公司大都是一些大公司,信誉较高,这个问题没有引起人们的重视。然而，随着电子商务参与的厂商迅速增加,对厂商的认证问题越来越突出。SSL协议的缺点完全暴露出来，SSL协议逐渐被新的SSL协议所取代。SET(安全电子交易)是通过开放网络进行安全资金支付的技术标准，SET向基于信用卡进行电子化交易的应用提供实现安全措施的规则信息在Internet上安全传输保证传输的数据不被黑客窃取：其订单信息和个人账号信息的隔离，当包含持卡人账号信息的订单送到商家时商家只能看到订货信息，而看不到持卡人的账户信息。持卡人和商家相互认证，以确定通信双方的身份。一般由第三方机构负责为在线通信双方提供信用担保，要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能，并可运行在不同的硬件和操作系统平台上。如何通过电子支付安全地完成整个交易过程,也是人们在选择网上交易时所必须面对的而且是首先要考虑的问题就目前而言,虽然电子支付安全问题还没有形成一个公认的成熟的解决办法,但人们还是不断通过各种途径进行大量探索，SSL安全协议和SET安全协议就是这种探索的两个重要结果,它们己经广泛在国际间的电子支付中使用。4.2 电子商务中网络安全的管理策略4.2.1 完善自身电子商务规划 站在企业的角度来说，选择电子商务可以省去很多的交易过程中难以避免的成本问题并且更加高效。而对于电子商务中最大的弊端安全问题，企业应该尤其重视。为了将电子商务的优势最大化，企业对于安全问题的重视不能只停留在理论方面。务必要落实企业电子商务安全规范的制定、安全管理人员的配置和完善电子商务平台。 4.2.2 加强安全技术管理 安全技术作为企业电子商务系统中的安全性保障核心，一定要做到完善配置定期更新维护。细化来讲，包括：电子商务平台建设、系统运维、应用升级等详细项目。企业服务器管理需要加强，不能忽视常规的安全信息备份和记录。提早设置完善的微机处理预案，做到有备无患。预案要包括服务器还原点的设置，系统恢复信息备份和数据信息备份等。应用公认强力的防火墙和病毒防护程序，并且保证专门人员进行定期的维护和升级，这样才能使其发挥应有的作用。 4.2.3 企业加强自身管理 仅仅在电子商务框架中完善安全技术不足以保障电子商务绝对的安全性，除了制定详细的电子商务规划和完善安全技术之余，企业自身的安全管理才是企业信息安全的重中之重。首先，企业的管理层应该将电子商务安全问题视为首要问题并且加强安全技术部署。其次，企业员工的信息安全素质应该得到加强，通过培训建立员工的信息安全意识和职业操守。纵然电子商务的安全技术布置能够在一定程度上化解电子商务中的安全问题，但是完善的电子商务安全技术规划也要得到管理人员和操作人员的共同管理和维护才能保证其稳定运行。4.2.4 建立病毒防范制度病毒在网络环境下具有极大的传染性和危害性，除了安装防病毒软件之外，还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外，还可将网络系统中易感染病毒的文件属性、权限加以限制，断绝病毒人侵的渠道，从而达预防的目的。加强对病毒防范技术的研究不仅可以有效的降低电子商务系统中病毒感染几率，并且能够为企业正常的电子交易提供良好的网络环境。常规的病毒防范技术包括防备、监视、扫描和消灭等几个步骤。对于现有的病毒防范软件来说病毒库的更新始终不能做到实时化和完善化，这会给病毒的入侵带来可乘之机。由此看来加强病毒防范技术的研究和增强病毒防范意识，是准确判断查杀病毒、防止病毒入侵电子商务系统，以及为电子商务带来更健康的网络环境的必要条件。4.2.5 建立数据备份和恢复的保障制度作为一个成功的电子商务系统，应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像；二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份；三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份，通过以土保护措施可为系统数据安全提供双保险。4.2.6 建立系统维护制度该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证，应由专职网络管理技术人员承担，为安全起见，其他任何人不得介人，主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。4.3 加强国家的安全立法工作4.3.1 发挥政府的宏观调控与引导作用从世界各国电子商务发展的实践看，加强政府的宏观调控与引导，对于加快推进电子商务是十分重要的。因此，我国政府有关部门应在制定“十一五”信息化发展总体规划的基础上，尽快出台国家电子商务发展总体框架，确定战略方针、战略目标、战略重点以及实施对策。各地方政府应根据国家电子商务发展的总体框架和地区电子商务发展的实际，确定地区总体发展思路和切实可行的发展对策，以使我国电子商务在政府的宏观规划和引导下稳步推进。4.3.2 营造良好的法律政策环境电子商务带给世界全新的商务规则和方式，对现行法律也提出了新的挑战。为了保证电子商务的发展，围绕电子商务相关的网络管理、信息安全、金融结算、知识产权保护等问题，各国都加快了电子商务法律制定的步伐。联合国贸易法委员会自1985年以来主特制定了一系列调整国际电子商务的法律文件。我国应积极抓紧制定相关法律法规，建立和完善法律体系。另外，在利用电子商务发展对外贸易时，政府还要积极参与电子商务问题的国际谈判，参与国际环境下的电子商务法律法规的制定，提出对我国有利的商务规则。同时，政府还应加强电子商务的政策研究，创造有利于电子商务快速发展的政策环境。应针对电子商务发展中的问题，借鉴国际经验研究制定相关鼓励、扶持性政策。例如可以在近3至5年内对无形商品(如电子出版物、软件、网上服务等)的电子商务实行免税政策，对有形商品的电子商务给予一定的税收优惠等，鼓励企业开展电子商务。4.3.3 加强电子商务安全技术的研究和标准的制订国家有关部门应组织高层次的安全技术研究队伍，集中力量尽快解决电子商务的安