導(dǎo)語：電子商務(wù)安全管理論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

[摘要]電子商務(wù)是商務(wù)發(fā)展的內(nèi)在要求及技術(shù)發(fā)展的外在推動(dòng)下應(yīng)運(yùn)而生的，安全性是第一位要考慮的問題，是由一系列安全機(jī)制工作組成。本文主要從技術(shù)角度詳細(xì)分析了其中存在的安全隱患和威脅，詳述了安全性需求和實(shí)現(xiàn)網(wǎng)絡(luò)的安全技術(shù)策略，并探討了保證交易安全的兩個(gè)協(xié)議，即安全電子交易協(xié)議SET和安全套接層協(xié)議SSL，并對(duì)兩種協(xié)議做出了相應(yīng)的分析和比較。

[關(guān)鍵詞]安全體系加密數(shù)字證書電子商務(wù)安全交易標(biāo)準(zhǔn)

一、引言

當(dāng)前的電子商務(wù)是指通過電子方式的商務(wù)活動(dòng)。它作為一種全新的業(yè)務(wù)和服務(wù)方式，為全球客戶提供了豐富的商務(wù)信息、便捷的交易過程和廉價(jià)的交易成本。但是，電子商務(wù)給人們帶來方便的同時(shí)，也把人們引入安全憂慮之中。買方擔(dān)心在網(wǎng)絡(luò)上傳輸?shù)男庞每皞€(gè)人資料被截?。毁u方則擔(dān)心收到的是被盜用的信用卡號(hào)碼，或是交易不認(rèn)賬等，這些存在的安全漏洞問題已成為阻礙網(wǎng)上交易發(fā)展的首要問題。相對(duì)于傳統(tǒng)商務(wù)，電子商務(wù)對(duì)管理機(jī)制、實(shí)施平臺(tái)和信息傳遞技術(shù)都提出了更高的要求，其中安全體系的構(gòu)建尤為顯得重要，已成為電子商務(wù)能否得到進(jìn)一步發(fā)展和推廣的關(guān)鍵所在。

二、電子商務(wù)安全體系結(jié)構(gòu)

1.電子商務(wù)中存在的安全隱患和威脅

Internet是電子商務(wù)實(shí)現(xiàn)的網(wǎng)絡(luò)基礎(chǔ)，它采用TCP/IP完成不同網(wǎng)絡(luò)與不同計(jì)算機(jī)之間的通信，正是由于這些特點(diǎn)，使它給電子商務(wù)帶來了很多的安全問題。Internet的安全隱患主要體現(xiàn)在四個(gè)方面。

開放性和資源共享是Internet的主要優(yōu)點(diǎn)，但它帶來的問題卻不容忽視。因?yàn)楫?dāng)甲方在很容易的訪問乙方時(shí)，如果沒有采取任何措施，乙方同樣很容易的訪問甲方的計(jì)算機(jī)。

Internet采用的協(xié)議TCP/IP并未采用任何措施來保護(hù)傳輸內(nèi)容不被竊取。它是一種包交換網(wǎng)絡(luò)，每個(gè)數(shù)據(jù)包在網(wǎng)絡(luò)上都是透明傳輸?shù)?，并且可能?jīng)過不同的網(wǎng)絡(luò)，由路由器轉(zhuǎn)發(fā)到達(dá)目的計(jì)算機(jī)。數(shù)據(jù)在傳輸過程中可能會(huì)遭到IP窺探、同步信號(hào)淹沒、TCP會(huì)話竊聽、復(fù)位與結(jié)束信號(hào)攻擊等威脅。

Internet底層的操作系統(tǒng)如UNIX，由于源代碼的公開，很容易發(fā)現(xiàn)漏洞，給Internet用戶帶來安全問題。

相比較傳統(tǒng)信函，電子化信息就缺乏可信度，電子信息是否準(zhǔn)確很難由其本身來鑒別。在Internet上傳遞電子信息時(shí)，難以確認(rèn)信息發(fā)送者及信息是否被正確無誤地傳遞給對(duì)方。

由于Internet存在上述安全隱患，將給電子商務(wù)帶來如下的安全威脅。

由于非法入侵，造成商務(wù)信息被纂改、竊取或丟失。

商業(yè)機(jī)密在傳輸過程中被第三方獲悉，被惡意破壞。

虛假身份的交易對(duì)象及虛假訂單、合同。

貿(mào)易對(duì)象的抵賴。

由計(jì)算機(jī)系統(tǒng)故障造成的對(duì)交易過程和商業(yè)信息安全的破壞。

綜上所述，電子商務(wù)面臨多方面的威脅，存在許多安全隱患。

2.電子商務(wù)的安全性內(nèi)容

要使電子商務(wù)健康、順利發(fā)展，必須解決好以下幾種關(guān)鍵的安全性要求。

(1)保證信息的保密性和完整性。在交易過程中必須保證信息不被非授權(quán)用戶竊取，數(shù)據(jù)在輸入和傳輸過程中能保證數(shù)據(jù)的一致性。

(2)不可否認(rèn)性。它是指信息發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息，接收方也不可否認(rèn)已經(jīng)收到的信息。

(3)真實(shí)性。商務(wù)活動(dòng)交易雙方身份是真實(shí)的，不是假冒的，不存在的。

(4)系統(tǒng)的可靠性與內(nèi)部網(wǎng)絡(luò)的嚴(yán)密性。在計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、硬件各種及計(jì)算機(jī)病毒等潛在威脅下，有容錯(cuò)處理機(jī)制、數(shù)據(jù)恢復(fù)能力，確保系統(tǒng)安全、可靠。對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)而言，要保證內(nèi)部網(wǎng)絡(luò)不被入侵。

3.電子商務(wù)安全技術(shù)體系結(jié)構(gòu)

電子商務(wù)的安全技術(shù)體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個(gè)完整邏輯結(jié)構(gòu)，如圖所示。其中，下層是上層的基礎(chǔ)，為上層提供技術(shù)支持。上層是下層的擴(kuò)展與遞增。各層相互聯(lián)系、相互依賴的構(gòu)成一個(gè)整體。通過不同的安全控制技術(shù)，實(shí)現(xiàn)各層的安全策略，有效保證了電子商務(wù)系統(tǒng)的安全。

三、電子商務(wù)的安全技術(shù)

1.防火墻技術(shù)

防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封裝機(jī)制，內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，而外部網(wǎng)絡(luò)（通常指Internet）被認(rèn)為是不安全和不可信賴的。防火墻的主要目的是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。

防火墻的主要技術(shù)有包過濾技術(shù)、服務(wù)器技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和狀態(tài)檢測包過濾技術(shù)，現(xiàn)在最常用的是狀態(tài)檢測包過濾技術(shù)。狀態(tài)檢測防火墻對(duì)每個(gè)合法網(wǎng)絡(luò)連接保存的信息包括源地址、目的地址、協(xié)議類型、協(xié)議相關(guān)信息、連接狀態(tài)和超時(shí)時(shí)間等稱為狀態(tài)。通過狀態(tài)檢測，可實(shí)現(xiàn)比簡單包過濾防火墻具有更好的安全性。

2.加密技術(shù)

數(shù)字加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來保障安全性。利用加密技術(shù)，可以將某些重要的信息和數(shù)據(jù)從一個(gè)可以理解的明文轉(zhuǎn)換為復(fù)雜的、不可理解的密文形式，在線路上傳送或在數(shù)據(jù)庫中存儲(chǔ)，其他用戶再將密文還原為明文。

3.信息摘要

密鑰加密技術(shù)只能解決信息的保密性問題，對(duì)信息的完整性則可以使用信息摘要技術(shù)來實(shí)現(xiàn)。信息摘要又稱為Hash算法，是一種單向加密算法，其加密結(jié)果是不能解密的。通過Hash算法，得到一個(gè)固定長度（128位）的散列值，不同的原文產(chǎn)生的信息摘要必不相同，相同的原文產(chǎn)生的信息摘要必定相同。這樣，通過用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來的摘要比較，若兩者相同則表示原文在傳輸過程中沒有被修改，否則說明原文被修改過。

4.數(shù)字簽名

數(shù)字簽名是密鑰加密和信息摘要相結(jié)合的技術(shù)，用于保證信息的完整性和不可否認(rèn)性。簽名機(jī)制的特征是該簽名只有通過簽名者的私有信息才能產(chǎn)生，即一個(gè)簽名者的簽名只能惟一地由他自己生成。當(dāng)收發(fā)雙方發(fā)生爭議時(shí)，第三方就能根據(jù)消息上的數(shù)字簽名來裁定這條消息是否由發(fā)送方發(fā)出，從而實(shí)現(xiàn)不可否認(rèn)服務(wù)。

5.數(shù)字時(shí)間戳

在電子交易中，時(shí)間和簽名同等重要。數(shù)字時(shí)間戳是由專門機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項(xiàng)目，用于證明信息發(fā)送的時(shí)間。

6.數(shù)字證書與CA認(rèn)證

由于電子商務(wù)在網(wǎng)絡(luò)中完成，互相之間不見面，因此為了保證每個(gè)人及機(jī)構(gòu)都能惟一且被準(zhǔn)確無誤地識(shí)別，就需要進(jìn)行身份認(rèn)證。身份認(rèn)證可以通過驗(yàn)證參與各方的數(shù)字證書來實(shí)現(xiàn)，而數(shù)字證書是由認(rèn)證中心（CA）頒發(fā)的。

所謂CA（CertificateAuthority：證書發(fā)行機(jī)構(gòu)），是采用PKI（PublicKeyInfrastructure：公共密鑰體系）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)，其作用就像現(xiàn)實(shí)生活中頒發(fā)證件的機(jī)構(gòu)。

四、電子商務(wù)安全交易標(biāo)準(zhǔn)

要實(shí)現(xiàn)安全的電子商務(wù)交易，交易雙方必須遵照統(tǒng)一的安全標(biāo)準(zhǔn)協(xié)議。當(dāng)前，電子商務(wù)的安全機(jī)制正走向成熟，并逐漸形成了一些國際規(guī)范，比較有代表性的有安全套接層協(xié)議SSL（SecureSocketsLayer）和安全電子交易協(xié)議SET（SecureElectronicTransaction）。

1.安全套接層協(xié)議SSL

SSL協(xié)議是由Netscape公司研制的安全協(xié)議，SSL使用加密的方法建立一個(gè)安全的通信通道，以使客戶的信用卡號(hào)傳送給商家，商家再將其轉(zhuǎn)發(fā)給銀行，銀行驗(yàn)證后在通知商家付款成功。該協(xié)議已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，微軟、IBM公司都提供基于這種簡單加密模式的支付系統(tǒng)。

2.安全電子交易SET協(xié)議

SET協(xié)議向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實(shí)現(xiàn)安全措施的規(guī)則。它是由Visa國際組織和MasterCard組織制定的，用于在Internet上進(jìn)行在線交易時(shí)保證信用卡支付安全的開放性安全技術(shù)標(biāo)準(zhǔn)。由于得到了微軟、IBM、RAS公司的支持與參與，已成為工業(yè)事實(shí)上的標(biāo)準(zhǔn)。

SET協(xié)議采用了RSA公私鑰加密系統(tǒng)、數(shù)字簽名、數(shù)字證書認(rèn)證等技術(shù)，保證了支付信息的保密性、完整性和不可否認(rèn)性。該協(xié)議提供了客戶、商家和銀行之間的身份認(rèn)證，而交易信息和客戶信用卡信息相互隔離，即商家只能獲取訂單信息，銀行只能獲得持卡人信用卡支付信息，雙方互不干擾，各去所需，構(gòu)成了SET協(xié)議的主要特色，使得SET成為電子商務(wù)的安全規(guī)范。

3.SET、SSL協(xié)議比較

(1)SET是一個(gè)專門的安全電子支付協(xié)議，而SSL本質(zhì)上是一個(gè)網(wǎng)絡(luò)安全協(xié)議，僅在雙方間建立起安全連接。SET是一個(gè)多方的消息報(bào)文協(xié)議，定義了銀行、商家和持卡人間必須符合的報(bào)文規(guī)范，它比SSL在交易過程中的信任度更強(qiáng)。

(2)SSL僅有商家的服務(wù)器需要認(rèn)證，客戶端只是選擇性認(rèn)證；而SET在整個(gè)交易過程中都受到嚴(yán)密保護(hù)，其安全性比SSL高。

(3)SSL協(xié)議中若想進(jìn)行電子商務(wù)交易，只需通過瀏覽器實(shí)現(xiàn)，設(shè)置成本低廉，其交易只要幾十秒就可完成；SET盡管安全性高，但需要專門的軟件來實(shí)現(xiàn)，客戶、商家改造成本高，由于交易過程各方之間進(jìn)行多次加密傳輸，每次交易需要數(shù)分鐘。

綜上所述，SSL與SET協(xié)議是電子商務(wù)中最普遍的兩種安全電子支付協(xié)議，各有優(yōu)缺點(diǎn)。SSL雖然簡單快捷，但隨著電子商務(wù)的發(fā)展其缺點(diǎn)凸現(xiàn)出來，需采用更先進(jìn)的支付系統(tǒng)。而SET雖有更強(qiáng)的功能和安全性，但過于復(fù)雜，使得大面積推廣還有很大障礙，并且成本昂貴，所以，在未來一段時(shí)間里將會(huì)是SSL和SET兩種支付方式并存的局面。

五、結(jié)論

電子商務(wù)的本質(zhì)是商務(wù)，技術(shù)是電子商務(wù)得以實(shí)現(xiàn)的手段。沒有商務(wù)需求，技術(shù)的研究就失去了應(yīng)用價(jià)值；沒有技術(shù)實(shí)現(xiàn)，電子商務(wù)就不能得以實(shí)施，所以技術(shù)是電子商務(wù)的必要條件。而安全則是實(shí)現(xiàn)電子商務(wù)技術(shù)的前提，也是電子商務(wù)的必要條件。解決電子商務(wù)的安全問題不是一個(gè)單一的技術(shù)問題，它是由一系列工作組成，需要從電子商務(wù)安全管理、安全技術(shù)體系和法律等多方面開展工作和研究。

參考文獻(xiàn):

[1]胡道元閔京華:網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2006

[2]祝凌曦:電子商務(wù)安全[M].北京：北方交通大學(xué)，2006.

[3]李曉燕李福全郭愛芳:電子商務(wù)概論[M].陜西：電子科技大學(xué)出版社，2004

[4]何勝:電子商務(wù)中安全支付協(xié)議的對(duì)比及應(yīng)用[J].計(jì)算機(jī)時(shí)代,2004(20)

[5]王茜楊德禮:電子商務(wù)安全體系結(jié)構(gòu)及技術(shù)研究[J].計(jì)算機(jī)工程,2003,29(1)

[6]聶小逢鄭東顧健:認(rèn)證機(jī)構(gòu)CA的安全體系設(shè)計(jì)[J].計(jì)算機(jī)工程，2004，30(12)