电子商务安全技术问题与对策研究.doc

2017届学生毕业设计(论文)电子商务的安全技术问题与对策研究系 别：电子商务系年 级：2014级学 号：201410440001姓 名：郭升专 业：电子商务指导教师：马叶倩二一七年四月2摘 要摘 要随着计算机信息安全的发展、法律的逐渐完善,我国电子商务中的安全问题得到了有效解决,但是随着技术的发展我国电子商务中又产生了一些新的问题,这里主要征对所出现的新问题进行了深入的研究,并提出了自己的建议、对策。电子商务具有跨越地域范围,不受时间因素制约等优势,随着全球经济一体化进程的不断发展,它将渗透到人们的日常生活中。随着技术水平的提高和发展,电子商务中的基本安全问题得到了解决,但同时也涌现出一些新的安全问题。 关键词：电子商务 隐私权 定型化契约 加密技术 入侵检测技术 20ABSTRACTABSTRACTWith the development of computer information security,legal, gradually perfect,the safety problems in Chinas e-commerce has been effectively solved,but with the development of technology and produced some new problems in the electronic commerce in our country,the main character here to carried on the thorough study of new problems,and put forward its own Suggestions and countermeasures.E-commerce has beyond geographical scope,is not subject to time constraints, etc advantages,with the continuous development of global economic integration,it will infiltrate into Peoples Daily life.With the improvement of technical level and the development,the basic security problems in e-commerce has been resolved,but also emerge some new safety problems.Key Words：Electronic commerce The right to privacy A standard contract Encryption technology Intrusion detection technology目 录目 录第1章 绪论11.1 本设计(论文)的电子商务概述11.2 论文背景和意义11.3 本论文的研究目的21.4 研究思路方法和研究内容2第2章 电子商务的国内外现状32.1 我国的电子商务的发展和现状32.2 制约我国电子商务发展的因素52.3 国外电子商务安全研究现状7第3章 电子商务交易双方的信息安全隐患103.1 电子商务信息存储安全隐患103.2 电子商务交易安全隐患及加密技术103.3 电子商务的信息流动安全隐患113.4 电子商务安全的协调管理对策11第4章 电子商务的安全性问题134.1 网络环境安全问题134.2 系统安全问题134.3 交易者身份安全问题13第5章 电子商务的安全技术155.1 虚拟专用网络155.2 加密技术155.3 数字签名技术155.4 认证技术165.5 防火墙技术16第6章 电子商务的安全防范策略176.1 对电子商务进行专门立法176.2 技术方面的安全策略17结 论19致 谢20参考文献21第1章 绪论第1章 绪论1.1 本设计(论文)的电子商务概述目前尚未有一个关于电子商务的准确定义。广义地讲，电子商务是指在计算机与通信网络基础上，利用电子工具实现商业交换和商业作业活动的全过程。一般情况下，电子商务主要是指将购物和商业谈判等传统商务活动的网络化。直观地看，电子商务就是将传统商务移植到信息网络上。与传统商务相似，电子商务为销售者和消费者建立交易关系，使他们能商谈和进行交易。电子商务应对所有用户都是开放的，且至少应像传统商务那样方便、可靠和安全。早在80年代后期和90年代初期，电子商务就以建立在专用网络基础上的EDI形式出现，当时主要解决企业间的商务活动。90年代中期，基于英特网的电子商务成为主流。它利用TCP/IP公众网络和技术进行在线交易和商业作业，涉及的对象包括：金融机构、商家、生产企业，网络服务提供商家、个人用户、政府部门和事业单位等。电子商务业务可以分为两大类：非支付型业务和支付型业务。前者包括税务申报、电子选举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务、代缴代付业务、银证转账业务、银企转账业务、电子证券业务、网上购物业务等。消费者企业FY(NFY)政府消费者FY(NFY)政府。1.2 论文背景和意义随着电子商务产业的迅猛发展，网上交易作为电子商务的重要组成部分逐渐被客户接受，一系列电子商务网站像网上商店、网上订票、网上银行、网上课堂以及各种电子商务资讯和交易站点等，大量涌现出来。以最便捷的方式来满足消费者各种服务与商品的需求。但网络毕竟是一个虚拟的空间，常常会使消费者处于不利的地位，从而引发了不少纠纷。一个成功的电子商务系统，首先要消除客户对交易过程中安全问题的担心，才能够吸引用户通过网络购买产品和服务。因此，电子商务安全问题已成为电子商务的关键和核心。电子商务对现代企业的生存和发展有着十分重大的影响。互联网技术的不断发展与完善引发了电子商务应用的迅速发展。电子商务的出现不仅给社会带来了巨大的发展机会，而且对企业现代化进程起到巨大的推动作用。正如盖茨说的那样，21世纪要么电子商务，要么无商可务。电子商务是当今世界贸易中速度最快、应用前景最广、内容不断创新的一个领域。它从某种程度上突破了商务活动在时空上的限制,从而使商贸业务的运行和发展更加趋于灵活性、实时性和国际性。电子商务已成为较为重要的商务活动模式，随着电子商务的不断发展，全球的经济政治和法律都会受到影响，而其安全问题也随之变得更加重要和突出。为保证电子商务的安全，新的安全技术将不断出现，而为了对电子商务攻击成功，攻击者也将采取新的攻击手段、技术和方法，两者之间的攻击与反攻击的斗争必将长期持续下去。1.3 本论文的研究目的随着开放的互联网络系统Internet的飞速发展，电子商务的应用和推广极大了改变了人们工作和生活方式，带来了无限的商机。然而，电子商务发展所依托的平台互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展；此外，电子商务的发展还面临着严峻的内部风险，电子商务企业内部对安全问题的盲目和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此，在考察电子商务运行环境、提供电子商务安全解决方案的同时，有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。1.4 研究思路方法和研究内容本论文采用了文献检索法、因果分析法、逻辑分析法和归纳法等方法，在查阅大量文献的前提下对电子商务安全技术进行了深入探究。首先总结出电子商务安全性的相关概念以及电子商务安全的基本原理，其次探讨了电子商务交易双方的安全隐患，接着分析了电子商务的安全问题，文章最后分析了电子商务的安全策略。第2章 电子商务的国内外现状第2章 电子商务的国内外现状2.1 我国的电子商务的发展和现状我国九十年代开始开展EDI的电子商务应用，自1990年开始，国家计委、科委将EDI列入”八五”国家科技攻关项目，如外经贸部国家外贸许可证EDI系统、中国对外贸易运输总公司中国外运海运/空运管理EDI系统、中国化工进出口公司”中化财务、石油、橡胶贸易EDI系统”及山东抽纱公司”EDI在出口贸易中的应用”等。1991年9月由国务院电子信息系统推广应用办公室牵头会同国家计委、科委、外经贸部、国内贸易部、交通部、邮电部、电子部、国家技术监督局、商检局、外汇管理局、海关总署、中国银行、人民银行、中国人民保险公司、税务局、贸促会等八个部委局发起成立”中国促进EDI应用协调小组”，同年10月成立”中国EDIFACT委员会”并参加亚洲EDIFACT理事会，目前已有18个国家部门成员和10个地方委员会。EDI在国内外贸易、交通、银行等部门应用。1993年成立国务院付总理为主席的国民经济信息化联席会议及其办公室，相继组织了金关、金卡、金税等”三金工程”，取得了重大进展。 1994年5月中国人民银行、电子部、全球信息基础设施委员会(GIIC)共同组织”北京电子商务际论坛”，来自美、英、法、德、日本、澳大利亚，埃及加拿大等国700人参加。1994年10月”亚太地区电子商务研讨会在京召开”，使电子商务概念开始在我国传播。1995年，中国互联网开始商业化。互联网公司（、公司）开始兴起1996年1月成立国务院国家信息化工作领导小组，由副总理任组长，20多个部委参加，统一领导组织我国信息化建设。1996年，全桥网与因特网正式开通。1997年，信息办组织有关部门起草编制我国信息化规划，1997年4月在深圳召开全国信息化工作会议，各省市地区相继成立信息化领导小组及其办公室各省开始制订本省包含电子商务在内的信息化建设规划。1997年，广告主开始使用网络广告。1997年4月以来，中国商品订货系统(CGOS)开始运行。 电子商务逐渐以从传统产业B2B为主体。电子商务服务商（dotcom公司）正在从虚幻、风险资本市场转向现实市场需求的变化，与有商务传统企业结合，同时开始出现一些较为成功、开始赢利的电子商务应用。由于基础设施等外部环境的进一步完善，电子商务应用方式的进一步完善，现实市场对电子商务的需求正在成熟，电子商务软件和解决方案的”本土化”趋势加快，国内企业开发或着眼于国内应用的电子商务软件和解决方案逐渐在市场上占据主导。我国电子商务全面启动并已初见成效。基于网络的电子商务的优势将进一步发挥出来。随着电脑的普及应用和互联网的快速发展，电子商务已经逐渐成为人们进行商务活动的新模式；电子商务在提高商务效率、降低商务交易成本的同时，本身安全性也随之而至，成为制约其进一步发展的重要瓶颈。目前影响电子商务安全主要有计算机网络安全和商务交易信息安全两个方面。计算机网络安全是指作为电子商务交易平台的计算机网络的安全，其内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等；商务交易信息安全则包括防止信息窃听、篡改、伪装等，确保电子商务数据的完整性、可用性、交易双方身份的确定性，交易行为的不可抵赖性等。由于互联网上电子商务交易平台的虚拟性和匿名性，计算机网络安全和商务交易信息安全问题也变得越来越突出，电子签名技术的应用及其立法为电子商务安全运行提供了重要保障。多年来我国互联网一直保持快速发展的势头，作为我国经济社会发展重要的基础平台，互联网对于促进国民经济增长和社会生活的进步影响力进一步增强。成为我国当今社会发展中最活跃的领域。2013年3月28日，中国互联网大会新闻发布会在北京新世纪日航饭店召开。中国互联网协会秘书长卢卫表示， 近年来我国互联网呈现了以下几个主要特点：第一移动互联网快速增长，进一步改变产业格局。我国互联网用户数应用水平，终端普及，市场规模等近几年迅猛发展态势。据相关数据显示，去年年底我国手机网民达到4.2亿，在网民比例达到了75%。智 能手机保有量达到3.6亿，增速达到80%。移动互联网市场规模达到了550亿元人民币，同比增速达到96%。随着用户规模，移动数据流量，智能终端，应用程序和服务的快速增长，移动互联网推动互联网进入新的产业周期，移动互联网技术和应用不断向各个领域延伸，跨界融合趋势进一步加快了移动互联网的发展。一个纵向一体化产业格局和生态体系正在形成，新的产业形态，业务形态，和商业模式不断涌现。为市场各方参与带来了新的商业机会和发展空间。同时，也加剧了市场竞争，带来了新的挑战，值得注意是 微信、米聊OTT应用对传统业务冲击，提出了如何开放创新，优势互补，如何建立协作共赢新的问题。第二，电子商务加速向传统领域渗透融合，成为拉动经济复苏的重要引擎。当前，以电子商务为代表互联网应用和服务在我国工业、农业、商贸流通、交通运输、金融、旅游、城乡消费领域不断得到拓展和深化。正在形成以实体经济深度融合发展态势。截止到去年年底我国电子商务市场交易规模达到7.85万亿元人民币，同比增长35%。国内使用第三方电子商务平台中小企业用户规模突破了1700万。网络零售市场交易规模达到了1.3万亿元人民币，同比增长65%。占社会消费品零售总额到6.3%，在网络购物，网络支付，传统制造商，渠道零售商，传统服务企业纷纷转型，不断打造自身产品销售，品牌宣传的网络新平台。探索、拓展网络营销新途径。在电子商务向传统产业融合过程当中，传统企业已经成为互联网生态体系的重要组成部分。但是，随着电子商务的发展，传统行业和互联网行业的相互进入，如何促进电子商务 服务向传统产业的纵深发展，推动互联网企业以传统产业相合融合，共同打造和谐生态圈，促进产业结构 升级和发展方式转变，创造出更大的价值，已经成为当前互联网和传统行业共同面临新课题。2012年我国本地生活服务，O2O商户用户超过了1个亿，达到1.35亿。服务是互联网创新驱动力，互联网应用于服务和大众生活息息相关，如何以用户为导向，深度聚焦用户需求，持续快速创新，为用户工作和生活带来更多便捷，更多实惠，创造出更多新模式和更大的价值。这也是互联网持续发展需要深入思考新问题。2.2 制约我国电子商务发展的因素要想实现真正实时的网上交易，要求网络有非常快的响应速度和较高的带宽，这必须由硬件提供对高速网络的支持。而我国由于经济实力和技术方面的原因等，网络的基础设施建设还比较缓慢和滞后，已建成的网络其质量离电子商务的要求相距甚远。另一方面，上网用户少，网络利用率低，致使网络资源大量闲置和浪费，投资效益低，严重制约着网络的进一步发展。同时，与银行、税务等十几个部门的联网尚未实现。因此，如何加大基础设施建设的力度，提高投资效益，改变网络通信方面的落后面貌，应是促进电子商务应用普及的首要问题。 （1）安全问题 安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的安全，将一直是电子商务的核心心研究领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。对于中国来说，网络产品几乎都是”舶来品”，本身就隐藏着不安全隐患，加之受技术、人为等因素的影响，不安全因素更显突出。目前，电子签名和认证是网上比较成熟的安全手段，而在我国大多尚处在对SSL协议的应用上，在SET协议上的的应用试验刚刚成功，而要完全实现SET协议安全支付，就必须有一个CA认证中心，而目前在我国CA的归属问题尚未确定，在信息安全保密体制上究竟谁来管理？怎么管理？采取什么有序的管理办法？这些问题亟待解决。 （2）网上支付问题 电子商务的核心内容是信息的互相沟通和交流，交易双方通过Internet进行交流，洽谈确认，最后才能发生交易。这时对于通过电子商务手段完成交易的双方来说，银行等金融机构的介入是必须的，银行所起的作用主要是支持和服务，属于商业行为。但从整个电子商务网络的发展来看，将来要在网络上直接进行交易，就需要通过银行的信用卡等各种方式来完成交易，以及在国际贸易中通过与金融网络的连接来支付和收费。而目前我国各个国有专业银行网络选用的通信平台不统一，不利于各银行间跨行业务的互联、互通和中央银行的金融监管以及宏观调控政策的实施。另外，各行信用卡标准不一样，不能通用，尚不能用信用卡实现网上支付。 （3）电子商务法律问题 作生意就避免不了发生纠纷，而网上纠纷又有其独特性。Internet是一个缺乏”警察”的信息公路，它缺少协作和管理，信息的跨地区和跨国界的传输又难以公证和仲裁，而如果没有一个成熟的、统一的法律系统进行仲裁，纠纷就不可能解决。那么，这个法律系统究竟应该如何制定，由谁来制定，应遵循什么样的原则，其效力如何保证？这些都是现在制定法律时应该考虑的问题。（4）企业计算机应用水平落后、网络意识淡薄 目前我国绝大部分企业正忙于解决吃饭问题，信息部门设在总工程师办公室，大部分企业缺乏计算机，少数企业拥有计算机也主要应用于文字处理和计算，产、供、销、人、财、物等重要资源的管理，大多未实现电子化。信息加工和处理手段落后，信息处理能力仅是世界平均水平的2.1，且仍以提供单纯的技术产品信息为主，不擅长动态信息的跟踪和获取。企业对电子商务的需求非常淡薄，12亿人中仅有210万网络用户，除去免费用户外，真正交费上网者很少，企业用户还没大量出现。企业的信息化只是在理论界、信息产业界热度很高，而在企业中热度并不高，从而造成经营决策的被动局面。 企业管理水平落后、经营方式陈旧 我国许多企业的管理处于主观、随意的经验管理阶段，而管理程序化、科学化是实现电子商务的基本要求。目前的不规范管理，只能使计算机简单模拟原来手工操作流程，从而加大系统实现的难度，增加投资成本，降低电子商务的投资收益率。电子商务的应用也会因公司的不同而五花八门，不仅不能提高工作效率，相反还会降低原来工作效率。同时，几千年来留下的传统的手工作业的商业模式在人们头脑中根深蒂固，要在现阶段改造这样的商业环境，以适应电子商务产生的新的市场竞争格局，是相当艰巨的。 （7）商家信誉问题 电子商务的应用领域分两类：企业间交易和个人消费者与企业之间的交易。就其发展过程来看，它又必然经历一个从简单的商情查询到网上购物和实现交易的阶段。据调查，1997年消费者用于购买网上服务和产品的总价值为32亿美元，但上网寻找产品信息后再进行离线购物的达42亿美元，这说明建立通畅快速的购物网络并不困难，但建立成熟可靠的消费体系和互相信任的市场运作方式，绝不是一蹴而就的事。当传统的购物方式引发的各种纠分还在”3.15”消费者权益日频频曝光的环境下，消费者如何信任互不照面的网上交易？在这方面我们与国外的差距，技术手段上的原因是次要的，而人的基本素质却是根本的。2.3 国外电子商务安全研究现状世界各国对电子商务安全问题研究的发展是相当重视的，特别是电子商务安全方面普遍存在标准先行的情况。如美国政府很早就致力于密码技术的标准化，从1977年公布的数据加密标准DES开始，就由美国国家标准技术研究院(NIST)制定了一系列有关密码技术的联邦信息处理标准(FIPS)，在技术规范的前提下对密码产品进行严格的检验。1998年7月1日，在美国政府发布的美国电子商务纲要中，明确提出要建立一些共同的标准，以确保网上购物的消费者享有与在商店购物的消费者同等权利。韩国一些主要的电子设备公司也建立联盟，签署联合协议，规定在2000年制订出整个的电子商务标准。国际范围内电子商务标准有以下发展动态： 1成立机构：电子商务业务工作组(BTEC)为了迎接电子商务给全球带来的机遇和挑战，使之在全球范围内更有序地发展，1997年6月，成立了”电子商务业务工作组(BT-EC)”。BT-EC确定了电子商务急需建立标准的三个领域： (1)用户接口，主要包括：用户界面、图像、对话设计原则等；(2)基本功能，主要包括：交易协议、支付方式、安全机制、签名与鉴别、记录的核查与保留等；(3)数据及客体(包括组织机构、商品等)的定义与编码，包括现有的信息技术标准、定义报文语义的技术、EDI本地化、注册机构、电子商务中所需的值域等。目前BT-EC仅对其中的几项内容进行了阐述，其目的是通过解决关键问题，从而就解决方法加以推广，以扫清实现全球电子商务道路的障碍。 2签署文件：电子商务标准化理解备忘录ISO、IEC和 联合国欧洲经济委员会共同致力于电子商务的标准化工作。曾签署了”理解备忘录，就EDI、开放式EDI及有关贸易单证标准领域进行合作。1998年11月三者又签署了一个电子商务领域有关标准化的”理解备忘录”。该备忘录包括总体部分、三个附录及上述的，扩充了以前的合作框架，扩展了各部门电子商务安全策略研究之间的电子商务，增加了国际用户团的参与，以确保它们的标准化要求得到满足。作为国际用户团的参加者有CALS(持续采办和全寿命支持，世界性的非政府组织，制定国际工业组织之间电子商务的标准要求)及NATO CALS组织(NATO为北大西洋公约组织的缩写)。国际用户团参与者必须满足”理解备忘录”中关于国际用户团注册规定的具体内容，而且它们的参与必须在标准化组织之间相互达成协定的基础上。”理解备忘录”提供了21世纪电子商务发展的有效基础，是国际合作的极好范例。随着电子商务在网上兴起，对电子商务的规范提出了迫切的要求。Rosetta Net推出草案Rosetta Net Implementation Framework(RNIF)Specification，该标准为因特网上的商务活动的进一步发展提供了保障。该标准草案的起草和制订汇集200多家知名的电子商务公司和研究机构，宗旨在于促进全球电子商务的广泛实施，支持和强化因特网商务活动的自我调整。目前，编纂小组正在邀请公众对该草案加以评价，以便对草案内容做出修订，并将于1999年底前发布第一个正式版本的因特网商务标准。日前公布的草案内容主要包括：网络商家信息和网上导购信息中心的设立；商品的交付方式、价格及其费用说明；产品的保质期声明和技术支持服务信息；网上购物过程中的商品查找能力；消费者个人资料的保密性和安全性；网络购物的支付方式；网络订购的确认；装运、交付和订单的完成；订购的取消及其退款的说明；向消费者提供的支持服务等。该标准的制定使消费者能够很容易地对网络商家予以鉴别和挑选，并在网上购物中体验到更高的满意程度；而商家可以此标准作为建站和开展网络销售的准则，通过改善用户服务、加速技术革新、降低运营成本，吸引并留住更多的购物者；信息技术产品及相关服务公司，也可利用该标准作为向导和目标，开发更符合商家需要的软产品和服务，从用户和市场的扩大中谋求发展。纵观电子商务的现状，很显然为了更好的发展与管理电子商务对其安全也要有相应的要求： (1)信息的完整性。数据在传输或储存的过程中不会受到非法的修改、删除或重放，要确保信息的顺序完整性和内容的完整性。 (2)信息的可认证性(可鉴别)。需要确认发出信息者的易份，防止假冒者和伪造信息的进入。 (3)信息的保密性。数据在传送过程中不被泄漏且数据不为他人所读懂。 (4)信息的不可否认性(不可抵赖性)。发送方对已发出的信息不可抵赖，收取方对已收的信息不可否认。(5)信息的可靠传输。数据在传输时不因网络的故障而丢失信息，即在故障时能恢复原传输信息。 3电子商务的安全性内容 主要包括数据的安全保证、交易的安全保证和支付的安全保证。具体要求有： (1)确保安全支付，安全处理各种类型支付信息的传递，诸如信用卡、电子支票、借贷卡和数字货币。 (2)提供不可否认的商务交易，要能保证A的订货、B收的货款、B的发货、 A收到货等都应具有不可否认性，可通过对各消息源的认证和签字技术实现。 (3)保证经过因特网传递数据的完整性，才能可靠地进行网络商务。 (4)保证经过网络传递的某些敏感信息的保密性。第3章 电子商务交易双方的信息安全隐患第3章 电子商务交易双方的信息安全隐患3.1 电子商务信息存储安全隐患信息存储安全是指电子商务信息在静态存放中的安全。企业的Intranet与Internet联接后，电子商务的信息存储安全面临着内部和外部两方面的隐患：(1)内部隐患。主要是企业的用户故意或无意地非授权调用电子商务信息或未经许可随意增加、删除、修改电子商务信息。(2)外部隐患。主要是外部人员私自闯入企业Intranet，对电子商务信息故意或无意的非授权调用或增加、删除、修改。隐患的主要来源有：竞争对手的恶意闯入、信息间谍的非法闯入以及黑客的骚扰闯入。3.2 电子商务交易安全隐患及加密技术传统商务活动是面对面进行的，交易双方能较容易地建立信任感并产生安全感。而电子商务是买卖双方通过Internet的信息流动来实现商品交换的，这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁：(1)卖方面临的信息安全威胁。例如，假冒合法用户名义改变商务信息内容，致使电子商务活动中断，造成商家名誉和用户利益等方面的受损；恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息；信息间谍通过技术手段窃取商业秘密；黑客入侵并攻击服务器，产生大量虚假订单挤占系统资源，令其无法响应正常的业务操作。(2)买方面临的信息安全威胁。如，用户身份证明信息被拦截窃用，以致被要求付账或返还商品；域名信息被监听和扩散，被迫接收许多无用信息甚至个人隐私被泄露；发送的商务信息不完整或被篡改，用户无法收到商品；受虚假广告信息息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等，而其中最主要的是加密技术以及身份认证技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据，称为解密。密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制，它的保密度主要取决于对密钥的保密。它的特点是数字运算量小，加密速度快，弱点是密钥管理困难，一旦密钥泄露，将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制，加密密钥是公开的，解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数单向陷门函数，即从一个方向求值是容易的，但其逆向计算却很困难，从而在实际上成为不可能。除了密钥加密技术外，还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密；二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行加密保护。3.3 电子商务的信息流动安全隐患信息流动安全是指电子商务运行过程中，物流、资金流汇成信息流后动态传输过程中的安全。其安全隐患主要包括：1、窃取商业机密。由于电子商务的信息流动大多以明文的方式传输，信息间谍、竞争对手等攻击者，可以较容易的对电子商务信息进行截取和监听，并窃取用户或服务方的商业机密。2、攻击商务网站。竞争对手或网络黑客通过传播计算机病毒、发送电子邮件炸弹，攻破他人电子商务网站的防火墙，损坏计算机软硬件，修改、删除、增加受害者的商务信息内容，使其无法正常营业。3、实施商务诈骗。不法分子或通过Internet发布虚假商务广告信息骗取钱，或破解储户密码盗取存款，或侵犯股民帐户借机炒股，或盗用信用卡密码恶性透支，使消费者和用户对电子商务产生强烈的不信任感，阻碍了电子商务的顺利发展。4、侵犯他人权利。不法商贩通过Internet截取商务订单，收集他人私生活信息并兜售产品，侵犯了消费者的隐私权；不法之徒通过Internet盗售他人知识产品，抢注域名侵吞他人无形资产，侵犯了他人的知识产权；不法企业通过Internet损害竞争对手形象、贬低竞争对手的产品，侵犯了企业的名誉权；不法商人盗用名人照片通过Internet 宣传、推销产品，侵犯了他人的肖像权。如此等等，扰乱了电子商务的市场秩序。5、传播不良信息。不法商人为推销自己的产品，在电子商务信息中夹带宣扬色情、暴力、迷信等不良图文信息。某些境外商人可能会有意或无意地在电子商务信息中，宣传西方世界的人生观、价值观、道德观。6、否认发出信息。基于各种原因，用户和商家可能会对自己发出的电子商务信息进行恶意地或无可奈何地否认。3.4 电子商务安全的协调管理对策电子商务安全管理，不应当只是从单纯技术角度考虑如何懈决的问题，而是应该从综合的安全管理思路来考虑，因为从电子商务的运行环境来看，技术环境是一个重要方面。但是良好的法律法规、政策环境和科学管理环境也是电子商务的顺利运行不可或缺的两个方面。加强电子商务安全的技术保障电子商务的运作涉及资金安全、信息安全、货物安全、商业秘密等多方面的安全问题，任何一点漏洞都可能导致大量资金流失，这些安全首先是对信息技术的依赖目前电子商务比较成熟的技术安全措施有以下几种：（1)加密技术为了实现信息的私密性，必须采用信息加密技术。信息加密技术是一种主动的信息安全防范措施，其原理是利一用一定的加密算法，将明文转换成为看似无意义的密文，阻止非法用户理解原始信息，从而确保信息数据的保密性。基于密钥的算法通常有两类：对称密钥算法和非对称密钥算法。(2)安全认证技术随着电子商务的发展，以互联网为交易平台的交易将越来越多。由于是通过网络签订的合作协议，其中的签名，图章透过些计算机技术就能够伪造，不少企业因此遭受了巨大的损失。但是如果采用传统的签名方式，将大大降低电子商务的效率，或者就不存在电子商务。目前，在技术上解决这个问题的手段有电子签名技术。电子签名是指在一个数据信息中或附在其后或逻辑上与其有联系的电子形式的签名，其在形式上，与传统签名差别很大，但在功能上，两者却很接近，都是用来鉴别合同的当事人并表明其同意该数据信息的内容。电子签名一方面解决了对用户的认证问题，另一方面解决了用户对商家的认证问题，建立了完善的双向认证机制。在具体的应用中，电子签名技术是通过和加密技术相结合实现的，数字签名保证了电子商务主体的身份，加密技术保证了数字签名的安全。(3)电子商务中的第三方支付 在电子商务活动中，网上支付是必不可少的环节。在这个环节中，消费者、网上商家、交易双方银行、信用卡组织之间都要承担相应的安全方面的义务。但是，尽管目前存在着网上支付的SET、SSL协议等安全协议，作为网上支付工具的网上银行中的资金仍然出现了被他人恶意交易，或者直接被盗走的现象。目前，为了解决网上支付的安全问题，采用第三方支付平台是比较先进的做法。第三方支付平合有两种代表，一种是以首信为代表的网关型支付平台，它为电子商务提供了统一的支付界面、手续费用标准，结算较为便利。另一种是以支付宝为代表的信用担保型第三方支付平台，支付宝保障了电子商务过程中双方尤其是买方的利益，保证了资金流和货物流的顺利对流，它为交易提供了担保，通过改造支付流程，保障了交易资金的安全。第4章 电子商务的安全性问题第4章 电子商务的安全性问题4.1 网络环境安全问题一般来说，计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面，计算机系统硬件和通信设施极易遭受自然环境的影响（如温度、湿度、电磁场等）以及自然灾害和人为（包括故意破坏和非故意破坏）的物理破坏；另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击；同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作，造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础，涉及的方面较广，如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等，其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制方法。4.2 系统安全问题对于任何一个系统来说，安全都是相对的。作为网站的管理者要始终保持清醒的头脑，针对出现的隐患和问题不断研究新的安全措施。对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行强度的数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。4.3 交易者身份安全问题（1）卖方面临的信息安全威胁主要有：恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息；假冒合法用户名义改变商务信息内容，致使电子商务活动中断，造成商家名誉和用户利益等方面的受损；信息间谍通过技术手段窃取商业秘密；黑客入侵并攻击服务器，产生大量虚假订单挤占系统资源，令其无法响应正常的业务操作。（2）买方面临的信息安全威胁主要有：发送的商务信息不完整或被篡改，用户无法收到商品；用户身份证明信息被拦截窃用，以致被要求付帐或返还商品；域名信息被监听和扩散，被迫接收许多无用信息甚至个人隐私被泄露；受虚假广告信息误导购买假冒伪劣商品或被骗钱财；遭黑客破坏，计算机设备发生故障导致信息丢失。第5章 电子商务的安全性技术第5章 电子商务的安全技术5.1 虚拟专用网络虚拟专用网络是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，是目前相对而言最适合进行电子商务的形式。在虚拟专用网络中交易的双方比较熟悉，而且彼此之间的数据通信量很大。只要交易双方取得一致，在虚拟专用网络中就可以使用比较复杂的专用加密和认证技术，这样就可以大大提高电子商务的安全。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。虚拟专用网络技术属于远程访问技术，简单地说就是利用公网链路架设私有有网络。5.2 加密技术加密技术是实现信息保密性的一种重要手段，目的是为了防止合法接受者之外的人获取信息系统中的机密信息。加密包括两个元素：算法和密钥。加密技术的要点是加密算法，一个加密算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合，产生不可理解的密文的步骤。密钥和算法对加密同等重要。密钥是用来对数据进行编码和解码的一种算法。5.3 数字签名技术数字签名以数字加密技术为基础，是数字加密技术的一种应用方式。其核心是采用加密技术的加、解密算法来实现电子信息的数字签名。对于电子商务中的业务款项如何分辨其真假，则需要数字签名技术来确认其交易或结算双方的真实身份及电子货币的可靠性。数字签名的防欺诈性、防更改性及确认功能是电子商务系统的一个重要安全技术。由于散列算法是公开的，所以电子商务交易中的采购订单很可能被中途拦截，在更改了订单内容后再重新生成数字摘要，为防止这种欺诈，就要对数字摘要进行加密，对于信息的安全来说，利用数字签名进行验证可以保证传输数据的完整性，实现信息在公开的网络上的安全传输。5.4 认证技术所谓认证，就是通过认证中心对数字证书进行识别。认证分为实体认证和信息认证，这里的实体是指个人、客户程序或服务程序等参与通信的实体。实体认证是指对这些参与通信实体的身份认证。对用户身份的认证，密码是最常用的，但由于许多用户采用了很容易被破解的密码，使得该方法经常失效。信息认证是指对信息体进行认证，以决定该信息的合法性。5.5 防火墙技术在计算机领域，防火墙是指一种逻辑装置，用来保护内部的网络不受来自外界的侵害。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络地互联环境中，尤其以接人Internet网络最甚。第6章 电子商务的安全防范策略第6章 电子商务的安全防范策略6.1 对电子商务进行专门立法电子商务作为一种新生事物，如果延续传统的法律体系对其进行规范还存 在着许 多空白，这一现状已经在实践中带来了很多问题。以我国1997年修订的刑法为例，虽然其中增加了关于计算机犯罪的相关条款，且1999年通过的合同法对电子合同的书面形式、生效时间 地点等做出了相关规定。但是，这些条款和规定明显简单且滞后，已经远远不能满足电子商务蓬勃发展的需要。以电子认证的效力、虚假电子认证等重要问题为例，我国的法律对此没有做出专门的规定，这已经成为阻碍我国电子商务发展的重要因素。因此 ，我国应努力加快电子商务法制化的建设进程，制订针对性强的电子商务法，从而对电子商务当事人的权利和义务、电子合同的法律关系、电子签名、电子认证 、网上知识产权的保护、电子支付等进行体系化的规范，使之适应当前的电子商务发展环境，并且要在刑法中对电子商务领域的犯罪进行明确的规定。如此以来 ，在法律上为电子商务提供一个良好的发展环境，为之保驾护航。6.2 技术方面的安全策略(1) 积极推广身份识别技术。在实际的电子商务中用户的身份识别技术，旨在确保交易中涉及到的用户身份信息的正确无误，以及信息的有效性、完整性。该