浅谈电子商务的安全性)

1、个人收集整理仅供参考学习浅谈电子商务的安全性摘要：本文开始介绍了电子商务的发展趋势，并由此引出电子商务中存在的安全性问题，接着对电子商务的信息安全问题进行探讨，分析了信息安全的基本原理并对信息安全技术初步研究。关键词：电子商务信息安全 安全技术一、 引言随着社会信息化步伐的加快，利用计算机技术、网络通信技术和英特网实现商务活动 的国际化、信息化和无纸化，已成为全球商务发展的趋势。电子商务以英特网为基础，可以提供跨国、多种语言、多种货币的在线服务（包括银行、保险、旅游、购物 ），还可以提供包括产品寻求、讨价还价、作出决定、支付、送货及解决纠纷等全面的商业交易服务。特别是 信息产品还可以直接在线递

2、送，从而大大降低了交易费用。成本低、及时性和互通性好，以及在拓展市场等方面的优势，使得电子商务受到全球的广泛关注。据统计，1997年美国企业间通过电子商务的交易额已达80亿美元，估计到 2000年在英特网上，公司对公司的交易额将增长到1340亿美元，消费者购物将增长到100亿美元，到2001年电子商务的交易额将达到3270亿美元，其增长速度惊人地高达4000%。在我国，电子商务的发展速度也较快，深圳CHINAEDI是统一规划和建设的庞大的公用电子商务系统，在北京、上海、天津、广州、深圳、青岛、沈阳、南京、杭州、西安、武汉、海口、郑州13个城市也都建了 CHINAEDI 的节点，系统服务覆盖全国

3、各地，并且与国际EDI网络相连接。网上银行也正在开通之中。电子商务不仅提供了进行商务活动的新方式，而且从更深的层面来看，由于通过它形成了与地域、空间无关的一体化市场，因而正在改变着全球的经济环境。资料个人收集整理，勿做商业用途但是，当今电子商务在全球贸易额中仍是极小的一部分。比如， 1997年美国的整个贸 易交易额为25200亿美元，所以80亿美元的电子商务显得彳不足道，即使是 2001年的电 子商务估计贸易额 3270亿美元也不到1997年美国两个月的贸易交易额。这是什么原因呢？ 也许人们会将这一事实归因于全球网络化水平较低，但这只是部分原因。 从网络化水平相当高的美国来看，事实上仍有大多数

4、网络化水平很高的公司并未使用电子商务这种新的商业方 式。资料个人收集整理，勿做商业用途人们不禁要问，是什么因素阻碍了电子商务更广泛的普及呢？为此，不少调查机构进行了广泛的调查。众多的调查都发现，一个主要的障碍就是电子商务的安全问题。美国密执安大学一个调查机构通过对 23000名因特网用户的调查显示，超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。的确，由于英特网的全球性、开放性、无缝连通性、共 享性、动态性发展，使得任何人都可以自由地接入英特网，特别是黑客”们可能会采用各种攻击手段进行破坏等犯罪活动。此外，网络实体还要经受诸如水灾、火灾、地震、电磁辐射 等方面的考验。另外，黑客”的

5、犯罪行为大都具有瞬时性、广域性、专业性、时空分离性等特点。通常 黑客”很难留下犯罪证据，这大大刺激了黑客”们以身试法。可见，以英特网为基础的电子商务所带来的安全问题远比传统商务的安全问题复杂得多。因此，我国在建立电子商务应用系统时，必须将安全作为一个重要方面来加以考虑。资料个人收集整理，勿做商业用途二、电子商务概况目前尚未有一个关于电子商务的准确定义。广义地讲，电子商务是指在计算机与通信网络基础上，利用电子工具实现商业交换和商业作业活动的全过程。一般情况下，电子商务主要是指将购物和商业谈判等传统商务活动的网络化。直观地看，电子商务就是将传统商务移植到信息网络上。与传统商务相似，电子商务为销售者

6、和消费者建立交易关系，使他们能商谈和进行交易。电子商务应对所有用户都是开放的，且至少应像传统商务那样方便、可靠和安全。 早在80年代后期和90年代初期，电子商务就以建立在专用网络基础上的EDI形式出现，当时主要解决企业间的商务活动。90年代中期，基于英特网的电子商务成为主流。它利用TCP/IP公众网络和技术进行在线交易和商业作业，涉及的对象包括：金融机构、商 家、生产企业，网络服务提供商家、个人用户、政府部门和事业单位等。资料个人收集整理，勿做商业用途电子商务业务可以分为两大类：非支付型业务和支付型业务。前者包括税务申报、 电子选举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务

7、、代缴代付业 务、银证转账业务、银企转账业务、电子证券业务、网上购物业务等。消费者企业FY（NFY）政府消费者FY（NFY）政府。 二、电子商务的安全需求从安全和信任关系来看，在传统交 易过程中，买卖双方是面对面的， 因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中， 买卖双方是通过网络来联系的，彼此远隔千山万水，由于英特网既不安全，也不可信，因而建立交 资料个人收集整理，勿做商业用途易双方的安全和信任关系相当困难。电子商务交易双方（销售者和消费者）都面临不同的安全威胁。1 .对销售者而言，他面临的安全威胁主要有：（1）中央系统安全性被破坏：入侵者假冒成合法用户来改变用户数据

8、（如商品送达地方 卜解除用户订单或生成虚假订单。（2）竞争者检索商品递送状况： 恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况及货物和库存情况。（3）客户资料被竞争者获悉。（4）被他人假冒而损害公司的信誉：不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。（5）消费者提交订单后不付款。6）虚假订单。（7）获取他人的机密数据：比如，某人想要了解另一人在销售商处的信誉时，他以另一人的名字向销售商订购昂贵的商品，然后观察销售商的行动。假如销售商认可该定单，则说明被观察的信誉高，否则，则说明被观察者的彳言誉不高。资料个人收集整理，勿做商业用途2 .对消费者而言，他面临

9、的安全威胁主要有：（1）虚假订单：一个假冒者可能会以客户的名字来订购商品， 而且有可能收到商品，而此时客户却被要求付款或返还商品。（2）付款后不能收到商品： 在要求客户付款后，销售商中的内部人员不将定单和钱转发给执行部 门，因而使客户不能收到商品。（3）机密性丧失：客户可能将秘密的个人数据或自己的身份数据（如PIN、口令等）发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃听（4）拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源，从而使合法用户不能得到正常的服务。资料个人收集整理，勿做商业用途由此可见， 黑客”们攻击电子商务系统的手段可以大致有以下几种：一是中断（攻击

10、 破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作。二是窃听（攻击系统的机密性）：通过搭线和电磁泄漏等手段造成泄密，或对业务流量进行 分析，获取有用情报。资料个人收集整理，勿做商业用途三是窜改（攻击系统的完整性）：窜改系统中数据内容，修正消息次序、时间（延时和重放）。四是伪造（攻击系统的真实性）：将伪造的假消息注入系统、假冒合法人接入系统、重放 截获的合法消息实现非法目的，否认消息的接收或发送等。资料个人收集整理，勿做商业用途综合而言，电子商务系统的安全性要求可归纳为：1 .信息保密性：维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中，要预防非法信息存取和信息传输

11、中被窃现象发生。资料个人收集整理，勿做商业用途2 .信息完整性：贸易各方信息的完整性是电子商务应用的基础， 影响到交易和经营策略。 要保证网络上传输的信息不被篡改， 预防对信息随意生成、修改和删除，防止数据传送中信 息的失和重复并保证信息传送次序的统一。 资料个人收集整理,勿做商业用途3 .信息有效性：保证信息有效性是开展电子商务前提，关系到企业或国家的经济利益。 对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防，以保证贸易数据在确定时亥U和地点有效。资料个人收集整理，勿做商业用途4 .信息可靠性：确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。 为防止计算机失

12、效、程序错误、系统软件错误等威胁，通过控制与预防确保系统安全可靠。 三、电子商务安全体系结构 资料个人收集整理，勿做商业用途由于英特网在物理上覆盖全球、在信息内容上无所不包、其用户群结构复杂，因此几乎 不可能对其进行集中统一管理、控制通信路由选择、追踪和监控通信过程、控制和封闭信息流通、保证通信的可靠性和敏感信息的安全、提供源和目标的认证、 实施法律意义上的公证和仲裁等。面对如此严峻的现实，必须花大力气对安全问题进行认真研究，除了加强制度、 法规等管理措施外，还要强化信息系统的安全能力。资料个人收集整理，勿做商业用途当前的主流思路是从内联网出发来考虑以英特网为基础的电子商务安全问题。内联网将英

13、特网技术用于单位、 部门和企业专用网，它在原有专用网的基础上增加了服务器和服务器 软件，Web内容制作工具和浏览器，并与英特网联通。内联网为公司和单位信息的传播和 利用提供了极为便利的条件。内联网中存有大量的内部敏感信息，具有极高的商业、 政治和军事价值。内联网是一种半封闭的集中式可控网。既要保证内联网不被非法入侵和破坏，网中的敏感信息不被非法窃取和窜改，同时还要保证网内用户和网外用户之间正常联通，并提供应有的服务。要保证英特网基础上建立的电子商务安全性，最根本的资料个人收集整理，勿做商业用途是要发展各商家、各部门的内联网并保证它们的安全性。由于电子商务系统把服务商、客户和银行三方通过英特网连

14、接起来，并实现具体的业务操作， 因此电子商务安全系统可由三个安全代理服务器及 CA认证系统构成，它们遵循相同的协议，协调工作，来实现整个电 子商务交易数据的完整性、保密性、不可否认性等安全功能。银行方资料个人收集整理，勿做商业用途主要包括银行端安全代理、数据库管理系统、审计信息管理系统业务系统等几部分组成。 它与服务商或客户进行通信，实现对服务商或者客户的身份认证机制，认证客户和服务商的身份及账号的合法性，保证业务的安全进行。资料个人收集整理，勿做商业用途服务商方主要包括服务商端安全代理、数据库管理系统、审计信息管理系统、Web服务器系统等几部分组成。 在进行电子商务活动时， 服务商的服务器与

15、客户和银行进行双方通 信。 在客户方，电子商务的用户通过自己的计算机与英特网相连，在客户计算机中，除了WWW浏览器软件外，还装有电子商务系统的客户安全代理软件。客户端安全代理的主要任务是负责对客户敏感信息（如交易信息等）进行加密、解密和数字签名，以密文的形式与服务 商或银行进行通信，并通过CA和服务器端安全代理或银行端安全代理一起实现用户身份认 证机。 CA认证系统是为用户签发证书的机构。CA服务器由5个部分组成：用户注册机构、证书管理机构、存放有效证书和作废证书的数据库、密钥恢复中心及CA自身密钥和证书管理中心、。 资料个人收集整理，勿做商业用途电子商务系统的安全体系结构主要包括：1.支持服

16、务层。包括密码服务、通信、归档、用户接口和访问控制等模块，它提供了实现安全服务的安全通信服务。资料个人收集整理，勿做商业用途5 .传输层。传输层发送、接收、组织商业活动所需的封装数据条，实现客户和服务器之 间根据规定的安全角色来传递信息。数据条的基本类型为：签名文本、证书、收据、已签名的陈述、信息、数字化的商品、访问某种服务所需的信息、获得物理商品所需的信息、电子钱。传输层包括付款模块、文档服务模块和证书服务模块。资料个人收集整理，勿做商业用途6 .交换层。交换层提供封装数据的公平交换服务。 所谓公平是指，A和B同意进行交换, 则A收到B的封装数据条的充要条件是 B收到A的封装数据条。 资料个

17、人收集整理，勿做商 业用途7 .商务层。商务层提供了商业方案，如邮购零售”、在线销售信息等。四、电子商务中使用的核心安全技术1.防火墙技术。防火墙在网络间建立安全屏障，根据指定策略对数据过滤、分析和审计， 并对各种攻击提供防范。安全策略有两条：一是凡是未被准许就是禁止防火墙先封闭 所有信息流，再审查要求通过信息，符合条件就通过；二是凡是未被禁止就是允许防火墙先转发所有信息，然后逐项剔除有害内容。资料个人收集整理，勿做商业用途防火墙技术主要有：（1）包过滤技术：在网络层根据系统设定的安全策略决定是否让数 据包通过，核心是安全策略即过滤算法设计。（2）代理服务技术：提供应用层服务控制，起到外部网络

18、向内部网络申请服务时中间转接作用。代理服务还用于实施较强数据流监 控、过滤、记录等功能。（3）状态监控技术：在网络层完成所有必要的包过滤与网络服务 代理防火墙功能。（4）复合型技术：把过滤和代理服务两种方法结合形成新防火墙，所用 主机称为堡垒主机，提供代理服务。（5）审计技术：通过对网络上发生的访问进程记录和产生日志，对日志统计分析，对资源使用情况分析，对异常现象跟踪监视。（6）路由器加密技术：加密路由器对通过路由器的信息流加密和压缩，再通过外部网络传输到目的端解压缩和角军密。资料个人收集整理，勿做商业用途2 .加密技术。为保证数据和交易安全，确认交易双方的真实身份，电子商务采用加密技 术。数

19、据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有：（1）公共密钥和私用密钥：也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将 其中一把作为公开密钥公开；得到公开密钥的贸易方乙对信息加密后再发给贸易方甲：贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方，保证传输信息的保密和安全。（2）数字要：也称安全Hash编码法。将需加密的明文摘要”成一串密文亦称数字指纹，有固定长度且不同明文摘要成密文结果不同，而同样明文摘要必定一致。这串摘要成为验证明文是否真身的指纹”。（3）数字签名：将数字摘要、公用密钥算

20、法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点：一是因为自己签名难以否认，从而确认文件已签署；二是因为签名不易仿冒，从而确定文件为真。（4）数字时间戳：电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容，数字时间戳服务能提供电子文件发表时间的安全保 护。3 .认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份，验证信息完整性，确认信息在传送或存储过程中未被篡改。（1）数字证书：也叫数字凭证、数字标识，用电子手段证实用户身份及对网络资源的访问权限，可控制被查看的数据库，提高总体保密性。交易支付过程中，参与各方必须利用认证中心签发的数字证书

21、证明身份。（2）安全认证机构：电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证 书发放，都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业性服务机构，受理数字证书的申请、签发及对数字证书管理。4 .防病毒技术。（1）预防病毒技术，通过自身常驻系统内存，优先获取系统控制权，监 视系统中是否有病毒，阻止计算机病毒进入计算机系统和对系统破坏。（2）检测病毒技术，通过对计算机病毒特征进行判断的侦测技术，如自身校验、关键字、文件长度变化。（3）消除病毒技术，通过对计算机病毒分析， 开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度， 可以清除处于潜伏期的病毒， 防止病毒突然爆发， 使计算机 始终处于良好工作状态。 资料个人收集整理，勿做商业用途五、电子商务安全还需要解决的问题安全电子商务在如下几个方面还没有满意的结果：1 .没有一种电子商务安全的完整解决方案和完整模型与体系结构。2 .尽管一些系统正逐渐成为标准，但仅有很少几个标准的API。从开放市场的角度来看，协议间的通用 API和网关是绝对需要的。资料个人收集整理，勿做商业用途3 .大多数电子商务系统