電子商務安全管理論文

導語：電子商務安全管理論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

[摘要]電子商務是商務發展的內在要求及技術發展的外在推動下應運而生的，安全性是第一位要考慮的問題，是由一系列安全機制工作組成。本文主要從技術角度詳細分析了其中存在的安全隱患和威脅，詳述了安全性需求和實現網絡的安全技術策略，并探討了保證交易安全的兩個協議，即安全電子交易協議SET和安全套接層協議SSL，并對兩種協議做出了相應的分析和比較。

[關鍵詞]安全體系加密數字證書電子商務安全交易標準

一、引言

當前的電子商務是指通過電子方式的商務活動。它作為一種全新的業務和服務方式，為全球客戶提供了豐富的商務信息、便捷的交易過程和廉價的交易成本。但是，電子商務給人們帶來方便的同時，也把人們引入安全憂慮之中。買方擔心在網絡上傳輸的信用卡及個人資料被截取；賣方則擔心收到的是被盜用的信用卡號碼，或是交易不認賬等，這些存在的安全漏洞問題已成為阻礙網上交易發展的首要問題。相對于傳統商務，電子商務對管理機制、實施平臺和信息傳遞技術都提出了更高的要求，其中安全體系的構建尤為顯得重要，已成為電子商務能否得到進一步發展和推廣的關鍵所在。

二、電子商務安全體系結構

1.電子商務中存在的安全隱患和威脅

Internet是電子商務實現的網絡基礎，它采用TCP/IP完成不同網絡與不同計算機之間的通信，正是由于這些特點，使它給電子商務帶來了很多的安全問題。Internet的安全隱患主要體現在四個方面。

開放性和資源共享是Internet的主要優點，但它帶來的問題卻不容忽視。因為當甲方在很容易的訪問乙方時，如果沒有采取任何措施，乙方同樣很容易的訪問甲方的計算機。

Internet采用的協議TCP/IP并未采用任何措施來保護傳輸內容不被竊取。它是一種包交換網絡，每個數據包在網絡上都是透明傳輸的，并且可能經過不同的網絡，由路由器轉發到達目的計算機。數據在傳輸過程中可能會遭到IP窺探、同步信號淹沒、TCP會話竊聽、復位與結束信號攻擊等威脅。

Internet底層的操作系統如UNIX，由于源代碼的公開，很容易發現漏洞，給Internet用戶帶來安全問題。

相比較傳統信函，電子化信息就缺乏可信度，電子信息是否準確很難由其本身來鑒別。在Internet上傳遞電子信息時，難以確認信息發送者及信息是否被正確無誤地傳遞給對方。

由于Internet存在上述安全隱患，將給電子商務帶來如下的安全威脅。

由于非法入侵，造成商務信息被纂改、竊取或丟失。

商業機密在傳輸過程中被第三方獲悉，被惡意破壞。

虛假身份的交易對象及虛假訂單、合同。

貿易對象的抵賴。

由計算機系統故障造成的對交易過程和商業信息安全的破壞。

綜上所述，電子商務面臨多方面的威脅，存在許多安全隱患。

2.電子商務的安全性內容

要使電子商務健康、順利發展，必須解決好以下幾種關鍵的安全性要求。

(1)保證信息的保密性和完整性。在交易過程中必須保證信息不被非授權用戶竊取，數據在輸入和傳輸過程中能保證數據的一致性。

(2)不可否認性。它是指信息發送方不可否認已經發送的信息，接收方也不可否認已經收到的信息。

(3)真實性。商務活動交易雙方身份是真實的，不是假冒的，不存在的。

(4)系統的可靠性與內部網絡的嚴密性。在計算機失效、程序錯誤、傳輸錯誤、硬件各種及計算機病毒等潛在威脅下，有容錯處理機制、數據恢復能力，確保系統安全、可靠。對企業內部網絡而言，要保證內部網絡不被入侵。

3.電子商務安全技術體系結構

電子商務的安全技術體系結構是保證電子商務中數據安全的一個完整邏輯結構，如圖所示。其中，下層是上層的基礎，為上層提供技術支持。上層是下層的擴展與遞增。各層相互聯系、相互依賴的構成一個整體。通過不同的安全控制技術，實現各層的安全策略，有效保證了電子商務系統的安全。

三、電子商務的安全技術

1.防火墻技術

防火墻是建立在內外網絡邊界上的過濾封裝機制，內部網絡被認為是安全和可信賴的，而外部網絡（通常指Internet）被認為是不安全和不可信賴的。防火墻的主要目的是防止不希望的、未經授權的通信進出被保護的內部網絡，通過邊界控制強化內部網絡的安全策略。

防火墻的主要技術有包過濾技術、服務器技術、應用網關技術和狀態檢測包過濾技術，現在最常用的是狀態檢測包過濾技術。狀態檢測防火墻對每個合法網絡連接保存的信息包括源地址、目的地址、協議類型、協議相關信息、連接狀態和超時時間等稱為狀態。通過狀態檢測，可實現比簡單包過濾防火墻具有更好的安全性。

2.加密技術

數字加密技術是網絡中最基本的安全技術，主要是通過對網絡中傳輸的信息進行數據加密來保障安全性。利用加密技術，可以將某些重要的信息和數據從一個可以理解的明文轉換為復雜的、不可理解的密文形式，在線路上傳送或在數據庫中存儲，其他用戶再將密文還原為明文。

3.信息摘要

密鑰加密技術只能解決信息的保密性問題，對信息的完整性則可以使用信息摘要技術來實現。信息摘要又稱為Hash算法，是一種單向加密算法，其加密結果是不能解密的。通過Hash算法，得到一個固定長度（128位）的散列值，不同的原文產生的信息摘要必不相同，相同的原文產生的信息摘要必定相同。這樣，通過用接收方產生的摘要與發送方發來的摘要比較，若兩者相同則表示原文在傳輸過程中沒有被修改，否則說明原文被修改過。

4.數字簽名

數字簽名是密鑰加密和信息摘要相結合的技術，用于保證信息的完整性和不可否認性。簽名機制的特征是該簽名只有通過簽名者的私有信息才能產生，即一個簽名者的簽名只能惟一地由他自己生成。當收發雙方發生爭議時，第三方就能根據消息上的數字簽名來裁定這條消息是否由發送方發出，從而實現不可否認服務。

5.數字時間戳

在電子交易中，時間和簽名同等重要。數字時間戳是由專門機構提供的電子商務安全服務項目，用于證明信息發送的時間。

6.數字證書與CA認證

由于電子商務在網絡中完成，互相之間不見面，因此為了保證每個人及機構都能惟一且被準確無誤地識別，就需要進行身份認證。身份認證可以通過驗證參與各方的數字證書來實現，而數字證書是由認證中心（CA）頒發的。

所謂CA（CertificateAuthority：證書發行機構），是采用PKI（PublicKeyInfrastructure：公共密鑰體系）公開密鑰基礎架構技術，專門提供網絡身份認證服務，負責簽發和管理數字證書，具有權威性和公正性的第三方信任機構，其作用就像現實生活中頒發證件的機構。

四、電子商務安全交易標準

要實現安全的電子商務交易，交易雙方必須遵照統一的安全標準協議。當前，電子商務的安全機制正走向成熟，并逐漸形成了一些國際規范，比較有代表性的有安全套接層協議SSL（SecureSocketsLayer）和安全電子交易協議SET（SecureElectronicTransaction）。

1.安全套接層協議SSL

SSL協議是由Netscape公司研制的安全協議，SSL使用加密的方法建立一個安全的通信通道，以使客戶的信用卡號傳送給商家，商家再將其轉發給銀行，銀行驗證后在通知商家付款成功。該協議已成為事實上的工業標準，微軟、IBM公司都提供基于這種簡單加密模式的支付系統。

2.安全電子交易SET協議

SET協議向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。它是由Visa國際組織和MasterCard組織制定的，用于在Internet上進行在線交易時保證信用卡支付安全的開放性安全技術標準。由于得到了微軟、IBM、RAS公司的支持與參與，已成為工業事實上的標準。

SET協議采用了RSA公私鑰加密系統、數字簽名、數字證書認證等技術，保證了支付信息的保密性、完整性和不可否認性。該協議提供了客戶、商家和銀行之間的身份認證，而交易信息和客戶信用卡信息相互隔離，即商家只能獲取訂單信息，銀行只能獲得持卡人信用卡支付信息，雙方互不干擾，各去所需，構成了SET協議的主要特色，使得SET成為電子商務的安全規范。

3.SET、SSL協議比較

(1)SET是一個專門的安全電子支付協議，而SSL本質上是一個網絡安全協議，僅在雙方間建立起安全連接。SET是一個多方的消息報文協議，定義了銀行、商家和持卡人間必須符合的報文規范，它比SSL在交易過程中的信任度更強。

(2)SSL僅有商家的服務器需要認證，客戶端只是選擇性認證；而SET在整個交易過程中都受到嚴密保護，其安全性比SSL高。

(3)SSL協議中若想進行電子商務交易，只需通過瀏覽器實現，設置成本低廉，其交易只要幾十秒就可完成；SET盡管安全性高，但需要專門的軟件來實現，客戶、商家改造成本高，由于交易過程各方之間進行多次加密傳輸，每次交易需要數分鐘。

綜上所述，SSL與SET協議是電子商務中最普遍的兩種安全電子支付協議，各有優缺點。SSL雖然簡單快捷，但隨著電子商務的發展其缺點凸現出來，需采用更先進的支付系統。而SET雖有更強的功能和安全性，但過于復雜，使得大面積推廣還有很大障礙，并且成本昂貴，所以，在未來一段時間里將會是SSL和SET兩種支付方式并存的局面。

五、結論

電子商務的本質是商務，技術是電子商務得以實現的手段。沒有商務需求，技術的研究就失去了應用價值；沒有技術實現，電子商務就不能得以實施，所以技術是電子商務的必要條件。而安全則是實現電子商務技術的前提，也是電子商務的必要條件。解決電子商務的安全問題不是一個單一的技術問題，它是由一系列工作組成，需要從電子商務安全管理、安全技術體系和法律等多方面開展工作和研究。

參考文獻:

[1]胡道元閔京華:網絡安全[M].北京:清華大學出版社，2006

[2]祝凌曦:電子商務安全[M].北京：北方交通大學，2006.

[3]李曉燕李福全郭愛芳:電子商務概論[M].陜西：電子科技大學出版社，2004

[4]何勝:電子商務中安全支付協議的對比及應用[J].計算機時代,2004(20)

[5]王茜楊德禮:電子商務安全體系結構及技術研究[J].計算機工程,2003,29(1)

[6]聶小逢鄭東顧健:認證機構CA的安全體系設計[J].計算機工程，2004，30(12)