电子商务安全[编辑]

电子商务安全的基本内涵

安全问题一直是制约电子商务发展的瓶颈。在电子商务交易过程中，人们担心自己的隐私被泄漏，担心信用卡信息被人盗用，从事电子商务的公司同样面临着巨大的交易风险。电子商务的重要技术特征是利用计算机网络技术来传输和处理商业信息。因此，电子商务安全从整体上可分为计算机安全、网络安全和商务交易安全。计算机及网络安全包括计算机及网络设备安全、计算机及网络系统安全、数据库安全等；商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机及网络安全与商务交易安全实际上是密不可分的，相辅相成，缺一不可。没有计算机及网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机及网络本身再安全，仍然无法达到电子商务所特有的安全要求。

电子商务安全的要求

（一）电子商务交易主体身份的真实性

1、服务器的真实性

TCP/IP协议不能确认一个信息包是否确实来自用户指定弟弟域名地址。当网络入侵者可以利用IP欺骗技术时，可以改变其他使用者的链接，使其进入网络入侵者所指定的网站服务器，但使用者却无法察觉这一改变。

2、交易双方身份的真实性

网上交易双方没有面对面的接触，如果不进行身份真实性的识别，第三方就有可能假冒交易一方的身份，以破坏交易。

（二）保证交易信息质量

1、保证交易信息的完整性

在电子商务中，信息的内容可能在传输中被更改或删除，所以应当保证交易信息的完整性。交易信息的完整性是指在传输过程中受到保护，没有在未经授权或偶然的情况下被更改或破坏。

2、交易信息的保密性

交易信息的保密性包括交易信息的隐私问题和交易内容的保密性。

（1）交易信息的隐私问题。这里所说的信息隐私问题，是指用户在上网过程中所涉及的各种操作行为和事项，如日期、时间、浏览过的网页等。

(2) 交易内容的保密性。信息在传输过程中，只有发送者和接收者知道，保证信息不被他人截取或即使截取了也无法知道真实内容。因此，需要对网上传输的信息先加密再传输。

3、交易信息的不可抵赖性

交易信息的不可抵赖性是指在电子商务交易过程中，信息双方必须对他们发送的信息进行认可。交易双方必须对自己的交易行为负责任，信息发送者和接收者都不能予以否认。进行身份识别信息进行“数字签名”，使得他们难以抵赖。

4 、交易信息的有效性

交易信息的有效性是指保证交易数据在确定价格、期限、数量以及确定时刻、地点时是有效的。在电子商务中，由于电子形式取代了纸张，保证电子形式的交易信息的有效性，对于顺利开展电子商务来说非常重要。

我国电子商务安全现状及存在的隐患

具体而言，电子商务中的安全隐患可分为如下几类：

（一）计算机安全隐患

计算机存在的安全隐患主要是指硬件设备与系统软件及数据库存在的问题。

硬件设备安全是指保护计算机主机硬件和物理线路的安全，保证其自身的可靠性和为系统提供基本安全机制。影响无聊安全的重要因素有火灾、自然灾害、辐射、硬件故障、搭线窃听、强窃和超负荷等。

系统软件安全是指保护软件和资料不被串改、泄漏、破坏、非法复制。系统软件安全的目标是使计算机系统逻辑上安全，使系统中的信息存取、处理和传输满足系统安全策略的要求。系统软件可分为操作系统和应用软件。

（二）互联网存在的安全隐患

互联网的最大特点就是具有开放性和资源公享，当某个用户不采取任何安全措施时，其他用户也可以非常方便地访问他的计算机。互联网上使用的传输协议或多或少存在泄漏，从而给电子商务的正常交易带来了一定的不安全因素。另外，现行网络安全管理也存在一定的问题，主要体现在许多信息系统缺少安全管理员、缺少信息系统安全管理的技术规范、缺少定期的安全测试和检验、缺少安全审计等。

（三）电子商务交易存在的安全隐患

交易安全性仍是目前我国开展电子商务的主要障碍，因为在我国电子商务交易仍存在以下安全隐患：

1、交易主体的真实性

当攻击者掌握了网络信息数据规律或解剖了商务信息以后，可以假冒或伪造合法用户或发送虚假信息欺骗其他用户，主要有两种方式，一是假冒或伪造他人身份，二是虚拟或伪造电子信息，虚开网站和商店，给用户发电子邮件，收订货单等。

2、电子商务交易信息的截取和窃取

如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电缆被辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式，获取传输的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推测出有用信息，如消费者的银行账号、密码以及企业的商业机密等。

3、交易信息的篡改

当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。

4、交易抵赖

交易抵赖包括多个方面，如发信者时候否认曾经发送过某条信息或内容，收信者时候否认曾经收到过某条信息或内容，购买者“做”了订货单不承认，商家卖出的商品因价格差而不承认原有的交易等。

电子商务安全的技术

电子商务安全技术主要由网络安全技术和电子交易安全技术实现，主要有：数据加密技术、密钥管理技术、公钥基础设施、身份认证与访问控制技术、网络安全技术等

1、数据加密技术

1）对称加密

对称加密又称私钥加密，加密秘钥与解密秘钥是相同的。算法简单，适合加密大文本，不易泄露。但是密钥管理难度大、不适合大范围使用、应用不灵活。目前常用的对称加密算法有：DES、3DES、AES、和IDEA等

2）非对称加密

与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，它不适合于对文件加密而只适用于对少量数据进行加密。
经典的非对称加密算法如RSA算法等安全性都相当高.
非对称加密的典型应用是数字签名。
采用双钥密码系统的加密方法，在一个过程中使用两个密钥，一个用于加密，另一个用于解密，这种加密方法称为非对称加密，也称为公钥加密，因为其中一个密钥是公开的（另一个则需要保密）。

3）电子信封技术

就是用对称密钥将发送的信息加密成密文，用接收方的公钥加密对称密钥，然后将生成的密文连同加密后的对称秘钥一起送出去。收信者用其私钥解密被加密的秘钥得到对称秘钥，并用它来解密密文。

2、秘钥管理技术

1）对称密钥管理。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。这样，对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。

2）公开密钥管理/数字证书。贸易伙伴间可以使用数字证书（公开密钥证书）来交换公开密钥。国际电信联盟（ITU）制定的标准X.509，对数字证书进行了定义该标准等同于国际标准化组织（ISO）与国际电工委员会（IEC）联合发布的ISO/IEC 9594-8：195标准。数字证书通常包含有唯一标识证书所有者（即贸易方）的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构（CA），它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用，是目前电子商务广泛采用的技术之一。

3）密钥管理相关的标准规范。目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会（JTC1）已起草了关于密钥管理的国际标准规范。该规范主要由三部分组成：一是密钥管理框架；二是采用对称技术的机制；三是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段，并将很快成为正式的国际标准。

3、公钥基础设施(PKI)

数字证书和数字签名是PKI的两个基本要素。

PKI提供的安全服务主要有：数字签名、身份认证、时间戳、安全公证服务和不可否认服务。

4、身份认证和访问控制技术

身份认证是电子商务系统安全的第一道屏障。电子商务中常用的认证技术主要有：口令、令牌、生物特征识别、数字签名、数字摘要、数字证书和PKI等

身份认证解决了访问者是否合法的问题。

访问控制是建立在身份认证的基础之上，目的是控制和管理合法用户访问资源的范围和访问的方式。访问控制的要素有主体、客体和访问控制安全策略。访问控制的类型有：自主访问控制、强制访问控制、基于角色的访问控制和基于任务的访问控制。

通过访问控制使主体对客体的访问时可控制的。访问控制不仅保护了客体的安全，维护了主体的利益，更重要的是建立了良好的电子商务秩序。

5、网络安全技术

网络安全技术关键产品有：防火墙、虚拟专用网络、入侵检测系统等

参考资料： http://www.youlu.net/5352 http://baike.baidu.com/view/1690723.htm 百度百科电子商务安全王丽芳主编

扩展阅读： http://bbs.sun0769.com/viewthread.php?tid=68595 http://www.youlu.net/5352 http://www.tushulian.com/detailApp.asp?d=bkbk847142