商務(wù)安全論文范文

導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇商務(wù)安全論文，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

(一)數(shù)據(jù)的私有性和安全性

如果不采用特別的保護(hù)措施，包括電子郵件等在internet中開(kāi)放傳輸?shù)臄?shù)據(jù)都可能被第三者監(jiān)視和閱讀。考慮到巨大的傳輸量和難以計(jì)數(shù)的傳輸途徑，想任意竊聽(tīng)一組數(shù)據(jù)傳輸是不可能，但是一些設(shè)置在web服務(wù)器的黑客程序卻可以查找和收集特定類型的數(shù)據(jù)，這些數(shù)據(jù)包括信用卡、存款的賬號(hào)和相應(yīng)的口令。同時(shí)，因?yàn)閕nternet的開(kāi)放性設(shè)計(jì)，數(shù)據(jù)私有性和安全性還包括數(shù)據(jù)傳輸之外的問(wèn)題，例如：連入internet的數(shù)據(jù)存儲(chǔ)網(wǎng)絡(luò)驅(qū)動(dòng)器的安全性。所以，任何存儲(chǔ)在web服務(wù)器上的數(shù)據(jù)必須采取保護(hù)措施。

(二)數(shù)據(jù)的完整性

對(duì)完整性的安全威脅也叫主動(dòng)搭線竊取。當(dāng)未經(jīng)授權(quán)方改變了信息流時(shí)就構(gòu)成了對(duì)完整性的安全威脅。未保護(hù)的銀行交易很易受到對(duì)完整性的攻擊。當(dāng)然，破壞了完整性也就意味著破壞了保密性，因?yàn)槟芨淖冃畔⒌母`取者肯定能閱讀此信息。完整性和保密性間的差別在于：對(duì)保密性的安全威脅是指某人看到了他不應(yīng)看到的信息。而對(duì)完整性的安全威脅是指某人改動(dòng)了關(guān)鍵的傳輸。破壞他人網(wǎng)站就是破壞完整性的例子。破壞他人網(wǎng)站是指以電子方式破壞某個(gè)網(wǎng)站的網(wǎng)頁(yè)。破壞他人網(wǎng)站的行為相當(dāng)于破壞他人財(cái)產(chǎn)或在公共場(chǎng)所涂鴉。當(dāng)某人用自己的網(wǎng)頁(yè)替換某個(gè)網(wǎng)站的正常內(nèi)容時(shí)，就說(shuō)發(fā)生了破壞他人網(wǎng)站的行為。由于internct的開(kāi)放體系，如果具備了特定的知識(shí)和工具，則完全可以更改傳輸中的數(shù)據(jù)。同時(shí)，要采取適當(dāng)?shù)拇嫒≡L問(wèn)控制，以保證數(shù)據(jù)存取系統(tǒng)的安全。在電子商務(wù)中務(wù)必保存數(shù)據(jù)最初的格式和內(nèi)容。

(三)認(rèn)證

在猖獗的網(wǎng)絡(luò)欺詐或者反悔中，網(wǎng)絡(luò)交易者隱身在電腦屏幕背后，身份難以識(shí)別的問(wèn)題是其重要淵源。建立有效的網(wǎng)上交易身份認(rèn)證機(jī)制，提升交易雙方的信用度是有效控制網(wǎng)絡(luò)欺詐的重要途徑，對(duì)于電子商務(wù)的健康發(fā)展有著重要作用。交易方的信用問(wèn)題已經(jīng)成為制約電子商務(wù)發(fā)展的重要瓶頸之一。在現(xiàn)實(shí)社會(huì)中，即便有著諸多因素的制約，仍然普遍地存在著信用缺乏的現(xiàn)象，建立完善的信用機(jī)制已經(jīng)成為社會(huì)各界的共識(shí)。在電子商務(wù)的具體實(shí)現(xiàn)中，首先要確認(rèn)當(dāng)前的通訊、交易和存取要求是合法的。例如，internet中的計(jì)算機(jī)系統(tǒng)的身份是其由IP地址確認(rèn)的。黑客通過(guò)IP欺騙，使用虛假的IP地址，從而達(dá)到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發(fā)匿名郵件，或者使用不真實(shí)的郵件用戶名。因此，在電子商務(wù)中必須建立嚴(yán)格的身份認(rèn)證機(jī)制，以確保參加交易各方的身份真實(shí)有效。

(四)不可否認(rèn)性

不可否認(rèn)主要包含數(shù)據(jù)的原始記錄和發(fā)送記錄，確認(rèn)數(shù)據(jù)已經(jīng)完成發(fā)送和接收，防止接收用戶更改原始記錄，防止用戶在已經(jīng)收到數(shù)據(jù)以后否認(rèn)收到數(shù)據(jù)，并拖延自己的下一步工作。為了保證交易過(guò)程的可操作性，必須采取可靠的方法確保交易過(guò)程的真實(shí)性，保證參加電子交易的各方承認(rèn)交易過(guò)程的合法性。

簡(jiǎn)言之，在internet上實(shí)現(xiàn)電子商務(wù)面臨的任務(wù)：(1)私有性，即保證只有發(fā)送者和接收者可以接觸到信息；(2)完整性，即信息在傳輸過(guò)程中未經(jīng)任何改動(dòng)；(3)身份認(rèn)證，即接收方可以確信信息來(lái)自發(fā)信者，而不是第三者冒名發(fā)送，發(fā)送方可以確信接收方的身份是真實(shí)的，而不至于發(fā)往與交易無(wú)關(guān)的第三方；(4)不可否認(rèn)性，在交易數(shù)據(jù)發(fā)送完成以后，雙方都不能否認(rèn)自己曾經(jīng)發(fā)出或接收過(guò)信息。

電子商務(wù)面臨的上述問(wèn)題主要是由對(duì)系統(tǒng)的非法入侵造成的。首先是網(wǎng)絡(luò)黑客，他們通過(guò)發(fā)現(xiàn)web服務(wù)器、操作系統(tǒng)或者主頁(yè)部件在配置方面的漏洞，攻擊網(wǎng)絡(luò)系統(tǒng)。其次是內(nèi)部入侵，這主要是由企業(yè)IT部門(mén)的員工造成的，保護(hù)網(wǎng)絡(luò)的物理安全(如主控機(jī)房)及嚴(yán)格的口令管理制度，是防范該類問(wèn)題的關(guān)鍵。還有惡意代碼(如計(jì)算機(jī)病毒)，它們?cè)谄髽I(yè)的傳播會(huì)給電子商務(wù)系統(tǒng)造成嚴(yán)重的損失。另外，值得關(guān)注的是計(jì)算機(jī)系統(tǒng)本身的問(wèn)題，例如，由于電源造成的系統(tǒng)宕機(jī)，以及廣域網(wǎng)絡(luò)的通訊，這些都會(huì)直接造成服務(wù)的突然中止，影響電子商務(wù)的形象。我們還應(yīng)關(guān)注系統(tǒng)管理方面的問(wèn)題，有時(shí)電子商務(wù)出現(xiàn)的問(wèn)題既非黑客也非系統(tǒng)本身的毛病，而是源于對(duì)敏感數(shù)據(jù)處理不善或者是安全系統(tǒng)(如防火墻)的不正確配置。用戶的身份認(rèn)證是計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)工作，數(shù)字簽名加密等技術(shù)在這里可以充分起到作用。

二、電子商務(wù)安全系統(tǒng)關(guān)鍵技術(shù)

(一)ssLVPN技術(shù)

SSL(安全套接層)協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議。它處于應(yīng)用層。SSL用公鑰加密通過(guò)SSL連接傳輸?shù)臄?shù)據(jù)來(lái)工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議(如HTTP、Telnet和FTP等)和TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為T(mén)CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負(fù)責(zé)確定用于客戶機(jī)和服務(wù)器之間的會(huì)話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯(cuò)誤時(shí)終止兩個(gè)主機(jī)之間的會(huì)話。

VPN(虛擬專用網(wǎng))則主要應(yīng)用于虛擬連接網(wǎng)絡(luò)，它可以確保數(shù)據(jù)的機(jī)密性并且具有一定的訪問(wèn)控制功能。VPN是一項(xiàng)非常實(shí)用的技術(shù)，它可以擴(kuò)展企業(yè)的內(nèi)部網(wǎng)絡(luò)，允許企業(yè)的員工、客戶以及合作伙伴利用Internet訪問(wèn)企業(yè)網(wǎng)，而成本遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的專線接人。過(guò)去，VPN總是和IPSec聯(lián)系在一起，因?yàn)樗荲PN加密信息實(shí)際用到的協(xié)議。IPSec運(yùn)行于網(wǎng)絡(luò)層，IPSeeVPN則多用于連接兩個(gè)網(wǎng)絡(luò)或點(diǎn)到點(diǎn)之間的連接。所謂的SSLVPN，其實(shí)是YPN設(shè)備廠商為了與IPsecVPN區(qū)別所創(chuàng)造出來(lái)的名詞，指的是使用者利用瀏覽器內(nèi)建的SecureSocketLayer封包處理功能，用瀏覽器連回公司內(nèi)部SSLVPN服務(wù)器，然后透過(guò)網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，讓使用者可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。它采用標(biāo)準(zhǔn)的安全套接層(ssL)對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密，從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。高質(zhì)量的SSLVPN解決方案可保證企業(yè)進(jìn)行安全的全局訪問(wèn)。在不斷擴(kuò)展的互聯(lián)網(wǎng)Web站點(diǎn)之間、遠(yuǎn)程辦公室、傳統(tǒng)交易大廳和客戶端間，SSLVPN克服了IPSecVPN的不足，用戶可以輕松實(shí)現(xiàn)安全易用、無(wú)需客戶端安裝且配置簡(jiǎn)單的遠(yuǎn)程訪問(wèn)，從而降低用戶的總成本并增加遠(yuǎn)程用戶的工作效率。而同樣在這些地方，設(shè)置傳統(tǒng)的IPSecVPN非常困難，甚至是不可能的，這是由于必須更改網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和防火墻設(shè)置。(二)加密技術(shù)

數(shù)據(jù)加密技術(shù)作為一項(xiàng)基本技術(shù)，是電子商務(wù)的基石，是電子商務(wù)最基本的信息安全防范措施。其實(shí)質(zhì)是對(duì)信息進(jìn)行重新編碼，從而達(dá)到隱藏信息內(nèi)容，使非法用戶無(wú)法獲取真實(shí)信息的一種技術(shù)手段，確保數(shù)據(jù)的保密性。基于加/解密所使用的密鑰是否相同，可分為對(duì)稱加密和非對(duì)稱加密兩類。

(1)對(duì)稱加密。對(duì)稱加密的加密密鑰和解密密鑰相同，即在發(fā)送方和接收方進(jìn)行安全通信之前，商定一個(gè)密鑰，用這個(gè)密鑰對(duì)傳輸數(shù)據(jù)進(jìn)行加密、解密。對(duì)稱加密的突出特點(diǎn)是加解密速度快，效率高，適合對(duì)大量數(shù)據(jù)加密。缺點(diǎn)是密鑰的傳輸與交換面臨安全問(wèn)題，且若和大量用戶通信時(shí)，難以安全管理大量密鑰。目前，常用的對(duì)稱加密算法有DES、3DES、IDEA、Blowfish等。其中，DES(DataEncryptionStandard)算法由IBM公司設(shè)計(jì)，是迄今為止應(yīng)用最廣泛的一種算法，也是一種最具代表性的分組加密體制。DES是一種對(duì)二元數(shù)據(jù)進(jìn)行加密的算法，數(shù)據(jù)分組長(zhǎng)度為64bit，密文分組長(zhǎng)度也是64bit，沒(méi)有數(shù)據(jù)擴(kuò)展，密鑰長(zhǎng)度為64bit，其中有8bit奇偶校驗(yàn)，有效密鑰長(zhǎng)度為56bit。加密過(guò)程包括16輪的加密迭代，每輪都采用一種乘積密碼方式(代替和移位)。DES整個(gè)體制是公開(kāi)的，系統(tǒng)的安全性全靠密鑰的保密。DES算法的入口參數(shù)有3個(gè)：Key、Data、Mode。其中，Key為8個(gè)字節(jié)共64位，是DES算法的工作密鑰。Data也是8個(gè)字節(jié)64位，是需被加密或解密的數(shù)據(jù)。Mode為DES的工作方式，分為加密或解密兩種。DES算法的步驟為：如Mode為加密，則用Key去對(duì)數(shù)據(jù)進(jìn)行加密，生成Data的密碼形式(64位)作為DES輸出結(jié)果。如Mode為解密，則用Key去把密碼形式的數(shù)據(jù)Data解密，還原為Data的明碼形式(64位)作為DES的輸出結(jié)果。DES是一種世界公認(rèn)的較好的加密算法，具有較高的安全性，到目前為止除了用窮舉搜索法對(duì)DES算法進(jìn)行攻擊外，尚未發(fā)現(xiàn)更有效的方法。

(2)非對(duì)稱加密。非對(duì)稱加密的最大特點(diǎn)是采用兩個(gè)密鑰將加密和解密能力分開(kāi)。一個(gè)公開(kāi)作為加密密鑰；一個(gè)為用戶專用，作為解密密鑰，通信雙方無(wú)需事先交換密鑰就可進(jìn)行保密通信。而要從公開(kāi)的公鑰或密文分析出明文或密鑰，在計(jì)算上是不可行的。若以公開(kāi)鑰作為加密密鑰，以用戶專用鑰作為解密密鑰，則可實(shí)現(xiàn)多個(gè)用戶加密的信息只能由一個(gè)用戶解讀。反之，以用戶專用鑰作為加密密鑰而以公開(kāi)鑰作為解密密鑰，則可實(shí)現(xiàn)由一個(gè)用戶加密的消息而使多個(gè)用戶解讀，前者可用于保密通信，后者可用于數(shù)字簽字。非對(duì)稱加密體制的出現(xiàn)是密碼學(xué)史上劃時(shí)代的事件，為解決計(jì)算機(jī)信息網(wǎng)中的安全提供了新的理論技術(shù)基礎(chǔ)。其優(yōu)點(diǎn)是很好地解決了對(duì)稱加密中密鑰數(shù)量過(guò)多難以管理的不足，且保密性能優(yōu)于對(duì)稱加密算法；缺點(diǎn)是算法復(fù)雜，加密速度不是很理想。

目前，RSA算法是最著名且應(yīng)用最廣泛的公鑰算法，其安全性基于模運(yùn)算的整數(shù)因子分解的困難性。

算法內(nèi)容簡(jiǎn)要描述如下：①獨(dú)立選取兩大素?cái)?shù)p和q，計(jì)算n=p×q；其歐拉函數(shù)值z(mì)=(p－1)×(q－1)。②隨機(jī)選一整數(shù)e，1≤e由于RSA涉及大數(shù)計(jì)算，無(wú)論是硬件或軟件實(shí)現(xiàn)的效率都比較低，不適用對(duì)長(zhǎng)的明文加密，常用來(lái)對(duì)密鑰加密，即與對(duì)稱密碼體制結(jié)合使用。

(三)網(wǎng)上交易身份認(rèn)證機(jī)制

網(wǎng)上交易身份認(rèn)證對(duì)于建立電子商務(wù)業(yè)界的信用機(jī)制起著重要作用，因此如何確認(rèn)網(wǎng)上交易者的身份便成為諸多電子商務(wù)網(wǎng)站迫切希望解決的問(wèn)題。

(1)在目前網(wǎng)絡(luò)法律制度還不健全的時(shí)代，自律機(jī)制非常重要，網(wǎng)絡(luò)交易的有效性和真實(shí)性在一定程度上能夠反映這個(gè)國(guó)家的信用機(jī)制的完善程度。相對(duì)而言，國(guó)外的電子商務(wù)信用體系相對(duì)較高，其交易身份認(rèn)證多與信用卡等銀行信用記錄掛鉤，而我國(guó)則更多的是通過(guò)手機(jī)和身份證等方式進(jìn)行。

(2)一些網(wǎng)上交易平臺(tái)為了幫助交易雙方打消顧慮，順利進(jìn)行交易，提供第三方介入的支付方式，以保護(hù)雙方的合法利益，這種機(jī)制對(duì)于維護(hù)網(wǎng)上交易的誠(chéng)信起到了很好的作用。

(3)電子郵件在電子商務(wù)交易中對(duì)子商務(wù)交易者的身份認(rèn)證機(jī)制起著重要作用。電子郵件一旦重復(fù)則易造成無(wú)法注冊(cè)，甚至很多網(wǎng)站要求用戶兩次輸入有效的電子郵件以進(jìn)行確認(rèn)，以確保之后的所有信息能夠順利進(jìn)行，所有的網(wǎng)站均將用戶的電子郵件作為聯(lián)系用戶和確認(rèn)用戶諸多信息的重要聯(lián)系方式，其便捷性毋庸置疑。但是，在電子郵件收費(fèi)的模式基本上發(fā)展前景不甚明朗的今天其有效性和真實(shí)性還值得商榷。

(4)用戶注冊(cè)中所提交的資料即身份認(rèn)證過(guò)程中會(huì)涉及到很多可以列為用戶隱私權(quán)保護(hù)的信息，因此，在進(jìn)行身份認(rèn)證時(shí)還需要考慮隱私權(quán)保護(hù)問(wèn)題。現(xiàn)在幾乎所有的電子商務(wù)網(wǎng)站上都有隱私權(quán)法律聲明，或者在用戶填寫(xiě)過(guò)程中就通過(guò)鏈接的形式彈出窗口聲明用戶的這些資料將被用于那些用途。盡管如此，由于網(wǎng)絡(luò)上沒(méi)有絕對(duì)的安全，如果由于技術(shù)上的原因?qū)е掠脩舻纳矸菡J(rèn)證資料泄露給他人，甚至被他人用于牟利或者其他非法目的，網(wǎng)站是否應(yīng)該承擔(dān)責(zé)任、應(yīng)該承擔(dān)什么樣的責(zé)任，也是身份認(rèn)證機(jī)制應(yīng)該考慮的問(wèn)題。

電子商務(wù)的安全問(wèn)題是利害攸關(guān)的，安全遭到破壞會(huì)使他人信息泄露或?qū)е滦畔E用。電子商務(wù)安全策略必須明確保密、完整、不可否認(rèn)的要求。總之，如何建立電子商務(wù)安全策略，并逐步完善這個(gè)策略，需要政府、電子商務(wù)企業(yè)、學(xué)者等的共同努力，任重而道遠(yuǎn)。

篇2

中國(guó)如今的電子商務(wù)市場(chǎng)一直保持著40-50%的市場(chǎng)增長(zhǎng)率，它的交易規(guī)模已經(jīng)占到了中國(guó)消費(fèi)總額的5%，并開(kāi)始表現(xiàn)出明顯的GDP拉動(dòng)力。從2009年起，中國(guó)的電子商務(wù)表現(xiàn)出來(lái)星火燎原般的勢(shì)態(tài)，可以預(yù)測(cè)的是：中國(guó)的電子商務(wù)，必將成就中國(guó)另一輪的經(jīng)濟(jì)飛躍。

2緒論

伴隨著互聯(lián)網(wǎng)和信息技術(shù)的飛速發(fā)展，電子商務(wù)從零到有，并逐步向高水平、規(guī)范化發(fā)展。十年來(lái)中國(guó)電子商務(wù)始終保持40-50%的高速發(fā)展，2009年的中國(guó)電子商務(wù)并為受到全球金融危機(jī)的影響，相反卻在金融危機(jī)中爆發(fā)出更強(qiáng)的生命力和適應(yīng)力。2009年中國(guó)電子商務(wù)市場(chǎng)規(guī)模超過(guò)35000億元，同比增長(zhǎng)48.5%，高于2008年的41.2%。

電子商務(wù)的安全法律是指為了保障電子商務(wù)在交易過(guò)程中的安全性，由國(guó)家政府相關(guān)部門(mén)出臺(tái)的對(duì)交易過(guò)程進(jìn)行保護(hù)的法律。目前，我國(guó)就電子商務(wù)安全問(wèn)題已經(jīng)進(jìn)行了初步的法律立項(xiàng)實(shí)施，但是依然存在較大的漏洞和隱患，需要國(guó)家相關(guān)部門(mén)進(jìn)一步加強(qiáng)。

安全管理是有效降低我國(guó)電子商務(wù)交易過(guò)程中存在風(fēng)險(xiǎn)的重要手段，特別是在交易過(guò)程中，交易雙方進(jìn)行電子合同簽訂，安全中心不僅要監(jiān)督買(mǎi)方的及時(shí)付款，同時(shí)還要監(jiān)督賣方是否提供與合同一致的貨物。在這些交易環(huán)節(jié)中，由于網(wǎng)絡(luò)虛擬交易的緣故，存在非常大的安全管理隱患。為了有效防止這些安全隱患的爆發(fā)，降低風(fēng)險(xiǎn)帶來(lái)的損失和傷害，需要國(guó)家政府出善的法律保護(hù)制度，形成一套互相關(guān)聯(lián)、互相約束的管理制度體系。

3.電子商務(wù)安全

3.1電子商務(wù)安全概述

電子商務(wù)的運(yùn)行和交易是基于計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)而展開(kāi)的，所以安全問(wèn)題大體上可以分為計(jì)算機(jī)網(wǎng)絡(luò)安全和電子商務(wù)系統(tǒng)本身交易安全。沒(méi)有網(wǎng)絡(luò)，電子商務(wù)就不可能存在，網(wǎng)絡(luò)作為基礎(chǔ)，其安全性與電子商務(wù)安關(guān)系密切，在網(wǎng)絡(luò)安全的前提下，電子商務(wù)系統(tǒng)特有的設(shè)計(jì)加以保障，兩者相輔相成實(shí)現(xiàn)電子商務(wù)的整體安全。通俗的說(shuō)，電子商務(wù)的安全就是“電子”和“商務(wù)”雙重要求下的安全。

3.2國(guó)內(nèi)電子商務(wù)安全問(wèn)題現(xiàn)狀

3.2.1信息安全環(huán)境

2010年，由中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)和國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)在京聯(lián)合的《2009年中國(guó)網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查系列報(bào)告》中顯示，2009年，52%的網(wǎng)民曾遭遇過(guò)網(wǎng)絡(luò)安全事件，網(wǎng)民處理安全事件所支出的相關(guān)服務(wù)費(fèi)用共計(jì)153億元人民幣。電子商務(wù)發(fā)展所面臨的信息安全問(wèn)題嚴(yán)重。根據(jù)相關(guān)調(diào)查顯示，90%以上的網(wǎng)民計(jì)算機(jī)遭遇過(guò)病毒、木馬、黑客的攻擊，電子商務(wù)交易的安全環(huán)境已經(jīng)受到了嚴(yán)重影響。

3.2.2技術(shù)與意識(shí)現(xiàn)狀

電子商務(wù)的安全需要信息技術(shù)和使用者意識(shí)的同步跟進(jìn)和提高，才能使交易真正安全。目前國(guó)內(nèi)兩方面因素同時(shí)存在，導(dǎo)致電子商務(wù)交易安全性下降。一是技術(shù)方面：國(guó)內(nèi)防御殺毒軟件整體水平較低，查殺效率和效果不佳，部分電子商務(wù)平臺(tái)設(shè)計(jì)存在缺陷，為電子交易安全埋下隱患。二是網(wǎng)民、使用者意識(shí)方面：相比于高發(fā)的網(wǎng)絡(luò)安全事件，仍有4.4%的網(wǎng)民個(gè)人計(jì)算機(jī)未安裝任何安全軟件；不足8%的手機(jī)網(wǎng)民安裝手機(jī)安全防護(hù)軟件，網(wǎng)民安全意識(shí)仍有待進(jìn)一步提升；

盜版軟件使用泛濫；軟件認(rèn)知低，不懂得區(qū)分使用；交易雙方欠缺誠(chéng)信，即使交易在設(shè)計(jì)較為完善的電子商務(wù)平臺(tái)上進(jìn)行，依然存在欺騙行為。

3.2.3電子商務(wù)誠(chéng)信環(huán)境

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)購(gòu)物（B2B、B2C）作為電子商務(wù)的其中分支之一，已經(jīng)成為了一種消費(fèi)時(shí)尚、熱門(mén)購(gòu)物渠道。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心的數(shù)據(jù)顯示：2009年我國(guó)網(wǎng)購(gòu)市場(chǎng)交易規(guī)模為2500億元，較2008年翻了一番。而2010年網(wǎng)絡(luò)購(gòu)物的市場(chǎng)規(guī)模應(yīng)該已超過(guò)4300億元。網(wǎng)購(gòu)人群也大幅度增長(zhǎng)，2009年至少在網(wǎng)上買(mǎi)過(guò)一次東西的中國(guó)網(wǎng)民數(shù)歷史性地突破了1億人，達(dá)到1.08億人，增長(zhǎng)46%。而在2010年，使用過(guò)網(wǎng)絡(luò)購(gòu)物的互聯(lián)網(wǎng)用戶更是接近2億人。網(wǎng)絡(luò)購(gòu)物已經(jīng)成為發(fā)展最迅速，與網(wǎng)民利益最相關(guān)的網(wǎng)絡(luò)應(yīng)用。

與此相比，電子商務(wù)誠(chéng)信環(huán)境卻不如人意，甚至隨著電子商務(wù)的發(fā)展而出現(xiàn)惡化的局勢(shì)。2010年，有近28%的互聯(lián)網(wǎng)用戶遭遇過(guò)虛假釣魚(yú)網(wǎng)站、詐騙交易、交易劫持、網(wǎng)銀被盜等針對(duì)網(wǎng)絡(luò)購(gòu)物的安全攻擊。目前對(duì)我國(guó)網(wǎng)絡(luò)購(gòu)物用戶威脅影響最嚴(yán)重的還是釣魚(yú)網(wǎng)站，在網(wǎng)購(gòu)用戶所遭遇的安全威脅中有72.4%是釣魚(yú)網(wǎng)站的欺騙行為，2010年1-10月，平均每天新增的與網(wǎng)絡(luò)購(gòu)物相關(guān)的釣魚(yú)網(wǎng)站約為1500個(gè)。釣魚(yú)網(wǎng)站的典型的詐騙方式主要分為三大類：低價(jià)誘惑、交談詐騙、電話詐騙。

3.2.4電子商務(wù)信用管理現(xiàn)狀

因?yàn)殡娮由虅?wù)交易的特殊性，交易雙方不曾謀面，所以關(guān)于電子商務(wù)的信用管理就顯得尤為重要。為防止電子商務(wù)的欺詐行為給網(wǎng)民帶來(lái)經(jīng)濟(jì)上的損失，網(wǎng)絡(luò)企業(yè)以及第三方電子商務(wù)平臺(tái)都相繼實(shí)行信譽(yù)管理方法，如信譽(yù)評(píng)價(jià)和信譽(yù)等級(jí)系統(tǒng)的建立，網(wǎng)絡(luò)誠(chéng)信公約(自律)等等，但由于電子商務(wù)發(fā)展較晚，管理經(jīng)驗(yàn)不足，這些方法和系統(tǒng)存在較多的問(wèn)題，有待提升。如中國(guó)電子商務(wù)誠(chéng)信評(píng)價(jià)中心推出“中國(guó)電子商務(wù)誠(chéng)信評(píng)價(jià)規(guī)范”，其中的誠(chéng)信紅藍(lán)標(biāo)識(shí)制度，認(rèn)知度極低，據(jù)調(diào)查發(fā)現(xiàn)，有97%人不知紅藍(lán)標(biāo)識(shí)的含義。就目前而言，在線信譽(yù)評(píng)估、等級(jí)系統(tǒng)，在設(shè)計(jì)完善的提前下，可以較為有效的降低了交易風(fēng)險(xiǎn)，因?yàn)槠浣灰纂p方的歷史信用表現(xiàn)，信用等級(jí)都是公開(kāi)信息，可以作為買(mǎi)賣雙方交易選擇的參考，且其失信成本遠(yuǎn)遠(yuǎn)大于其利益獲得，好的信用必然可以提升銷售量，這也從側(cè)面迫使銷售者提供最好的服務(wù)，避免了雙方欺詐行為。交易講究的誠(chéng)信，信譽(yù)系統(tǒng)能最有效地維持雙方可信的商務(wù)關(guān)系。如目前國(guó)內(nèi)最大的網(wǎng)購(gòu)平臺(tái)淘寶網(wǎng)，它的網(wǎng)商信譽(yù)評(píng)價(jià)和信譽(yù)等級(jí)系統(tǒng)相對(duì)成熟，這種評(píng)價(jià)系統(tǒng)“為消費(fèi)者提供了誠(chéng)信、安全的購(gòu)物保障，大大提升了網(wǎng)絡(luò)購(gòu)物體驗(yàn)”。但它依然存在相當(dāng)多的問(wèn)題，信用評(píng)價(jià)流程不合理，在買(mǎi)到相對(duì)低劣的產(chǎn)品時(shí)，你選擇退貨的同時(shí)就喪失了評(píng)價(jià)的權(quán)利，兩者只能選其一，那到底是留著不需要的產(chǎn)品而去評(píng)價(jià)，還是選擇退貨？惡意中差評(píng)現(xiàn)象猖獗，甚至出現(xiàn)惡意差評(píng)師這一職業(yè)，嚴(yán)重影響公平競(jìng)爭(zhēng)。另外對(duì)于返修產(chǎn)品缺乏保障，筆者就遇到過(guò)產(chǎn)品寄回返修，遲遲沒(méi)有反應(yīng)，損害消費(fèi)者利益。信用可信度有待驗(yàn)證，專業(yè)刷鉆組織的出現(xiàn)，使得信用體系的可靠性降低。

4電子商務(wù)安全立法現(xiàn)狀

電子商務(wù)因其帶來(lái)的經(jīng)濟(jì)效益和流行發(fā)展趨勢(shì)而備受關(guān)注，其安全立法問(wèn)題也得到了國(guó)際性組織和各國(guó)政府的高度重視,盡快營(yíng)造全球范圍內(nèi)的電子商務(wù)安全法律環(huán)境已成為國(guó)際社會(huì)的共識(shí)。要?jiǎng)?chuàng)造一個(gè)適應(yīng)和規(guī)范電子商務(wù)安全交易、發(fā)展的法律境,政府部門(mén)職責(zé)首當(dāng)其沖，在電子商務(wù)發(fā)展的監(jiān)管和安全立法中發(fā)揮其主導(dǎo)作用。及時(shí)了解電子商務(wù)即時(shí)情況，制定出臺(tái)相應(yīng)的安全保障法律法規(guī),鼓勵(lì)、引導(dǎo)、電子商務(wù)健康發(fā)展,規(guī)范、維持必要的網(wǎng)絡(luò)市場(chǎng)秩序，這已經(jīng)成為當(dāng)前世界各國(guó)立法工作的重要任務(wù)。電子商務(wù)的廣泛性和無(wú)界性使得世界各國(guó)紛紛出臺(tái)相應(yīng)法律、行為準(zhǔn)則和規(guī)范辦法來(lái)推動(dòng)本國(guó)電子商務(wù)安全、健康的發(fā)展，旨在抓住信息技術(shù)的機(jī)遇,提高自身競(jìng)爭(zhēng)力，從而會(huì)的優(yōu)勢(shì),同時(shí)也減少電子商務(wù)的交易糾紛、欺詐行為，保障了交易的安全性,為電子商務(wù)在全球范圍內(nèi)的發(fā)展掃平障礙。

4.1當(dāng)前電子商務(wù)安全法律、制度尚不完善

電子商務(wù)因其基礎(chǔ)網(wǎng)絡(luò)這個(gè)開(kāi)放又隱蔽的環(huán)境，而顯得比較特殊，其商貿(mào)交易行為需要有專門(mén)的法律來(lái)規(guī)范和秩序的維持，目前我國(guó)已經(jīng)相繼出臺(tái)了部分法律法規(guī)、行為準(zhǔn)則，設(shè)立了相應(yīng)的部門(mén)來(lái)規(guī)范、監(jiān)管和保證電子商務(wù)的安全。但與國(guó)際電子商務(wù)立法現(xiàn)狀和國(guó)內(nèi)電子商務(wù)現(xiàn)實(shí)狀況相比，顯得比較尷尬。我國(guó)電子商務(wù)安全法律體系仍然存在較多空白，強(qiáng)針對(duì)性的立法需要加快，先行法規(guī)則亟需進(jìn)一步改進(jìn)和完善。電子商務(wù)安全法律的不足之處有：電子交易流程行為規(guī)范、用戶隱私保護(hù)、法律效力不足，法律滯后，情況描述不清，沒(méi)有有效懲戒措施，難以對(duì)電子商務(wù)中的失信者和破壞者造成較強(qiáng)的約束力。因此強(qiáng)快電子商務(wù)安全法律立法和改進(jìn)已經(jīng)迫在眉睫。

4.2現(xiàn)有電子商務(wù)安全法律

現(xiàn)行電子商務(wù)安全法律，具有較強(qiáng)針對(duì)性質(zhì)的較少，大多分散各類法規(guī)之中，或是零星提及電子交易安全問(wèn)題，目前電子商務(wù)交易安全的法律法規(guī)主要有以下四類：

（1）綜合性的法律。如：《民法通則》和《刑法》中有關(guān)對(duì)商貿(mào)交易的安全保障條文。

（2）對(duì)交易主體進(jìn)行規(guī)范的相關(guān)法律。如《公司法》、《國(guó)有企業(yè)法》、《集體企業(yè)法》、《私營(yíng)企業(yè)法》、《外資企業(yè)法》等；

（3）規(guī)范交易行為的有關(guān)法律，包括經(jīng)濟(jì)合同法、產(chǎn)品質(zhì)量法、價(jià)格法、消費(fèi)者權(quán)益保障法，反不正當(dāng)競(jìng)爭(zhēng)法等等

（4）對(duì)監(jiān)督交易行為進(jìn)行規(guī)范的法律，如會(huì)計(jì)法、票據(jù)法、銀行法等。

國(guó)務(wù)院頒布的《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》和公安部頒發(fā)的《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》是兩個(gè)對(duì)電子商務(wù)具有重大影響的行政法規(guī)。

另外《中華人民共和國(guó)電子簽名法》的頒布也具有重要意義。該法賦予電子簽名與手寫(xiě)簽名或蓋章具有同等的法律效力，明確了電子認(rèn)證服務(wù)的市場(chǎng)準(zhǔn)入制度，標(biāo)志著我國(guó)的信息化立法邁出重要步伐。

4.3電子商務(wù)安全立法困難的原因

電子商務(wù)發(fā)展壯大為商貿(mào)交易帶來(lái)極大便捷和迅速優(yōu)越性，成為了經(jīng)濟(jì)的強(qiáng)勁增長(zhǎng)點(diǎn)，為全球經(jīng)濟(jì)的發(fā)展?fàn)I造了良好的氛圍,與此同時(shí)，因?yàn)槠涮攸c(diǎn)，也對(duì)社會(huì)各個(gè)領(lǐng)域特別是立法帶來(lái)了困難和壓力。

首先電子商務(wù)的立法，需要考慮國(guó)家和地區(qū)之間的差異，協(xié)調(diào)困難。電子商務(wù)基于網(wǎng)絡(luò)，而網(wǎng)絡(luò)卻已經(jīng)全球聯(lián)通、跨越了地域的界限。它所面對(duì)的不只是一個(gè)地區(qū)、一個(gè)國(guó)家的市場(chǎng),而是全球一體化的大市場(chǎng)。各國(guó)由于社會(huì)制度、政治狀況、經(jīng)濟(jì)發(fā)展程度等不同而導(dǎo)致了現(xiàn)行法律法規(guī)的不同，要制定可以有效協(xié)調(diào)、高度一體化的商業(yè)和法律規(guī)則,談何容易。

其次是電子商務(wù)交易處理、傳輸?shù)膶?shí)質(zhì)就是對(duì)信號(hào)脈沖的傳輸和對(duì)數(shù)字流的處理,這種虛擬的平臺(tái)上，雙方的不曾謀面，使得信息資源對(duì)商家的商業(yè)信用提出了更高的要求。在信息得到廣泛傳播的同時(shí),由于互聯(lián)網(wǎng)既開(kāi)放又隱蔽的特性使得信息的真?zhèn)斡写?yàn)證，惡意的攻擊、惡意的失信難以發(fā)現(xiàn)，即使發(fā)現(xiàn)也難以揪出終端背后的那個(gè)失信或破壞者，有法難斷或者有法卻找不到應(yīng)受懲罰的人，而且對(duì)于包括制作版權(quán)、著作權(quán)、商標(biāo)使用權(quán)、數(shù)據(jù)庫(kù)等在內(nèi)的知識(shí)產(chǎn)權(quán)保護(hù)也成為無(wú)法回避的問(wèn)題。電子商務(wù)橫跨領(lǐng)域之廣、利益關(guān)聯(lián)群體之多，和其有別于傳統(tǒng)商務(wù)模式的無(wú)形化給稅收體制及稅收管理模式也帶來(lái)了巨大的挑戰(zhàn)。

再次,電子信息領(lǐng)域，技術(shù)日新月異，電子商務(wù)領(lǐng)域的技術(shù)進(jìn)步速度已經(jīng)超國(guó)家適時(shí)地調(diào)整其法律框架的能力。法律的變革無(wú)法做到像電子技術(shù)更新一樣的快,也由于新的意想不到的問(wèn)題的不斷出現(xiàn)，使得適時(shí)的法律調(diào)整總跟不上電子商務(wù)高速發(fā)展的步伐。這是需要我們對(duì)于現(xiàn)行法律框架從根本上進(jìn)行反思，困難而想而知。

5電子商務(wù)安全立法的對(duì)策研究

5.1電子商務(wù)安全需求分析

5.1.1主要內(nèi)容

電子商務(wù)是網(wǎng)上公開(kāi)直接虛擬交易的商務(wù)模式，它直接通過(guò)網(wǎng)絡(luò)進(jìn)行交易、支付、談判、下單等，在這個(gè)過(guò)程中蘊(yùn)藏了大量的商務(wù)信息，所以，電子商務(wù)的安全問(wèn)題引起了網(wǎng)民、企業(yè)、行業(yè)、國(guó)家的廣泛觀眾。根據(jù)電子商務(wù)的交易模式以及重要性分析，電子商務(wù)的安全需求主要包括以下幾個(gè)方面：

1、信息的完整性；

2、信息的保密性；

3、信息的不可否認(rèn)性；

4、交易雙方的真實(shí)身份信息；

5、系統(tǒng)的可靠性；

6、資金的安全性。

5.1.2涉及領(lǐng)域

通過(guò)吸收國(guó)外成功的經(jīng)驗(yàn)，結(jié)合我國(guó)自身電子商務(wù)發(fā)展特色以及社會(huì)主義國(guó)情特色，我國(guó)電子商務(wù)安全性的立法主要涉及以下幾大方面：

1、保護(hù)消費(fèi)者的合法權(quán)益；

2、交易雙方的個(gè)人真實(shí)信息；

3、保密和信息的合法性訪問(wèn)；

4、數(shù)字簽名以及第三方認(rèn)證；

5、計(jì)算機(jī)犯罪和侵犯問(wèn)題的有效控制。

5.2電子商務(wù)安全立法定位與模式

電子商務(wù)的安全法律保障問(wèn)題，從其整體情況來(lái)看，主要表現(xiàn)為兩大層次：第一，電子商務(wù)首先表現(xiàn)的是商品交易模式，它的安全需要通過(guò)民商法來(lái)進(jìn)行規(guī)范保護(hù)；第二，電子商務(wù)是通過(guò)計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)的，它的安全很大程度上依賴于計(jì)算機(jī)及網(wǎng)絡(luò)的自身安全程度，這需要網(wǎng)絡(luò)的安全管理法律來(lái)加以約束和保護(hù)。從第一點(diǎn)的角度來(lái)看，電子商務(wù)安全法律隸屬于商法的范圍。

因此，在立法過(guò)程中，重點(diǎn)還是需要從商法的角度，結(jié)合其依托計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的特色，從全面化的角度出發(fā)，制定出高效規(guī)范的電子商務(wù)安全法律。

從電子商務(wù)安全立法的模式角度出發(fā)，電子商務(wù)的安全法律主要有以下兩種選擇：第一，在電子商務(wù)交易活動(dòng)的法律中加入電子商務(wù)安全性法律內(nèi)容；第二，另外指定電子商務(wù)安全單行法。這兩種模式都有各自的優(yōu)點(diǎn)和缺點(diǎn)，前者的立法成本低但是保護(hù)力度不夠強(qiáng)，后者的立法程序復(fù)雜，所需資源多，但是保護(hù)力度大。在實(shí)際操作中，到底選擇哪種模式，也是當(dāng)下法律界正在研究分析的重點(diǎn)問(wèn)題。本文提出的建議是分為兩步走：先采用第一種模式，等條件成熟后而且又加強(qiáng)的需要，再進(jìn)行第二種模式的立法。這樣不僅可以快速成立相關(guān)法律體系，同時(shí)也可有效解決資源浪費(fèi)的問(wèn)題。

5.3我國(guó)電子商務(wù)安全性立法的對(duì)策分析

5.3.1健全電子商務(wù)法律，注重法律的滯后性

健全的電子商務(wù)立法體系不僅要包括有網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)管理的法律制度，同時(shí)還需要電子商務(wù)主體的立法和市場(chǎng)管理制度，以及電子商務(wù)交易支付的法律制度、網(wǎng)上商務(wù)行為制度、電子稅法制度、客戶個(gè)人隱私權(quán)保護(hù)法。只有建立系統(tǒng)性的法律制度，才能真正發(fā)揮電子商務(wù)安全法的作用。

在加強(qiáng)電子商務(wù)安全法建設(shè)的同時(shí)，同時(shí)也應(yīng)該注重法律的滯后性帶來(lái)的法律效力減弱。法律的滯后性首先表現(xiàn)為法律立法的程序，這是個(gè)嚴(yán)格的過(guò)程，需要問(wèn)題顯現(xiàn)的非常明白，并對(duì)該問(wèn)題進(jìn)行有充分的調(diào)研數(shù)據(jù)后，才可能形成立法的基本條件和背景，這個(gè)過(guò)程是繁瑣的，是復(fù)雜的，是需要長(zhǎng)時(shí)間的。另外，法律要建立起威信，必須較長(zhǎng)的時(shí)間，在這段長(zhǎng)時(shí)間里，網(wǎng)絡(luò)的發(fā)展是非常快的，會(huì)發(fā)生不同程度內(nèi)容的問(wèn)題，而且這些問(wèn)題會(huì)經(jīng)常超過(guò)法律設(shè)定的范圍，這些問(wèn)題在客觀上都表現(xiàn)為電子商務(wù)法律的滯后性，使得法律無(wú)法體現(xiàn)超前性，大大降低了法律的約束作用。

5.3.2加強(qiáng)立法部門(mén)對(duì)于電子商務(wù)的學(xué)習(xí)了解

立法部門(mén)在實(shí)際的工作經(jīng)驗(yàn)中，可能只是了解法律相關(guān)體系知識(shí)，對(duì)于電子商務(wù)交易模式、支付模式等相關(guān)內(nèi)容可能存在誤解或者不了解的情況，這容易導(dǎo)致立法部門(mén)在立法的過(guò)程中，過(guò)于偏向法律的可行性，而忽略了電子商務(wù)法律的可行性。所以，加強(qiáng)立法部門(mén)對(duì)于電子商務(wù)的學(xué)習(xí)了解，使其真正深入了解電子商務(wù)整體運(yùn)營(yíng)過(guò)程以及涉及內(nèi)容、存在的漏洞、需要加強(qiáng)的節(jié)點(diǎn)以及關(guān)聯(lián)的群體等內(nèi)容，從根本上制定高效可行規(guī)范的電子商務(wù)安全法律，從而降低因誤解帶來(lái)的時(shí)間拖延、資源耗費(fèi)等其他損失。

另外，加強(qiáng)立法部門(mén)對(duì)于電子商務(wù)的學(xué)習(xí)了解的同時(shí)，應(yīng)加強(qiáng)立法部門(mén)工作人員對(duì)于電子商務(wù)立法的重視度，從思想上加強(qiáng)工作人員對(duì)于電子商務(wù)安全立法的注重，從而加快電子商務(wù)安全立法的實(shí)施進(jìn)度。

5.2.3系統(tǒng)化完善，架構(gòu)法律體系

我國(guó)電子商務(wù)的飛速發(fā)展，對(duì)電子商務(wù)中的安全問(wèn)題提出了更高的要求。在建立我國(guó)電子商務(wù)安全法律時(shí)，應(yīng)多加考慮它與其他法律之間的關(guān)聯(lián)度，從而架構(gòu)其整體法律體系，進(jìn)一步完善安全法律的有效性。具體內(nèi)容如下：

1、在中國(guó)民法基本法原有的基礎(chǔ)上，增加交易安全的理念和內(nèi)容；

2、在計(jì)算機(jī)與網(wǎng)絡(luò)安全管理的立法上，應(yīng)針對(duì)電子商務(wù)在網(wǎng)絡(luò)虛擬環(huán)境下運(yùn)行的特點(diǎn)，加強(qiáng)電子商務(wù)交易安全保護(hù)的法律措施。

3、在商事單行法的立法上，可以適當(dāng)突破現(xiàn)有民法的一些制度，基于商法的特殊性及獨(dú)立性，滿足電子商務(wù)較高的安全保護(hù)需求。

4、在法律解釋上，全面清理我國(guó)最高人民法院作出的司法解釋，剔除掉不利于電子商務(wù)安全的言論，對(duì)電子商務(wù)的安全問(wèn)題進(jìn)行重新正確的認(rèn)識(shí)和解釋。

5.2.4配套獎(jiǎng)懲措施，提高安全法律威信度

獎(jiǎng)懲措施是任何制度得以有效實(shí)施的保障制度，這里的獎(jiǎng)懲措施具有兩個(gè)重要的含義：

第一，是對(duì)電子商務(wù)安全制度在實(shí)施過(guò)程出現(xiàn)的良性事件和惡性事件進(jìn)行適當(dāng)?shù)莫?jiǎng)勵(lì)和懲罰，或是進(jìn)行高度的獎(jiǎng)勵(lì)和懲罰，從而在加強(qiáng)良性循環(huán)的同時(shí)，對(duì)制度實(shí)施過(guò)程中的惡性事件作出嚴(yán)厲的懲罰，起到殺一儆百的作用，從而有效提高電子商務(wù)安全立法的實(shí)施力度和效果。

第二，是對(duì)進(jìn)行非法盜取電子商務(wù)信息或是破壞電子商務(wù)交易的不法分子進(jìn)行嚴(yán)厲的法律制裁，以及對(duì)保護(hù)電子商務(wù)安全的良好事跡進(jìn)行表?yè)P(yáng)。我國(guó)目前針對(duì)盜取電子商務(wù)信息或是破壞電子商務(wù)交易的不法分子還未建立有效的不法分子，才會(huì)使得這些不法分子妄想鉆空子、踩地雷，這也是導(dǎo)致我國(guó)電子商務(wù)安全出現(xiàn)問(wèn)題的一大關(guān)鍵因素。因此，建立電子商務(wù)獎(jiǎng)懲措施，有利于提高對(duì)不法分子的控制以及提高人民對(duì)電子商務(wù)安全的保護(hù)意識(shí)。

5.2.5借鑒國(guó)外成功經(jīng)驗(yàn)，結(jié)合自身特色國(guó)情

電子商務(wù)是全球性的電子商務(wù)，它是無(wú)國(guó)界、無(wú)種族之分的。所以，我國(guó)在建立電子商務(wù)安全法律時(shí)，可立足于國(guó)際立法的趨同性取向，借鑒國(guó)外成功的電子商務(wù)安全法律制度經(jīng)驗(yàn)，并且結(jié)合我國(guó)的自身特色國(guó)情。中國(guó)的電子商務(wù)安全法律，只有爭(zhēng)取與國(guó)際立法接軌，才能參與全球性的經(jīng)濟(jì)競(jìng)爭(zhēng)。例如，新加坡在制定《電子&交易法案》時(shí)幾乎全部采用了《電子商務(wù)示范法》的相關(guān)內(nèi)容，同時(shí)根據(jù)《電子商務(wù)示范法》的總體精神以及自身國(guó)情，增加了部分內(nèi)容。所以，我國(guó)在制定電子商務(wù)安全法律時(shí)，應(yīng)盡量吸收國(guó)外原有的成果，再結(jié)合我國(guó)的特色國(guó)情，在降低立法成本、節(jié)省立法時(shí)間的同時(shí)，也提高電子商務(wù)安全法律的高效性和實(shí)用性。

6總結(jié)和展望

電子商務(wù)的安全問(wèn)題是關(guān)系到電子商務(wù)能否繼續(xù)發(fā)展的關(guān)鍵因素。隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)科學(xué)的逐步發(fā)展，某些非法分子對(duì)于電子商務(wù)安全模式已經(jīng)越來(lái)越熟悉，如果電子商務(wù)再不加強(qiáng)安全防范以及法律法規(guī)的嚴(yán)加約束，電子商務(wù)的安全將成為我國(guó)經(jīng)濟(jì)法律的一大問(wèn)題，這對(duì)我國(guó)經(jīng)濟(jì)、網(wǎng)民、電子商務(wù)企業(yè)來(lái)說(shuō)都是非常不利的。因此，盡快建立我國(guó)的電子商務(wù)安全立法，建立有效可行的電子商務(wù)安全法律法規(guī)，從國(guó)家政治制度角度出發(fā)，為我國(guó)的電子商務(wù)發(fā)展進(jìn)行強(qiáng)而有力的安全管束，以促進(jìn)我國(guó)電子商務(wù)行業(yè)穩(wěn)步健康的發(fā)展。隨著我國(guó)電子商務(wù)的飛速發(fā)展，已經(jīng)在我國(guó)人民生活中扮演的越來(lái)越重要的角色，電子商務(wù)的安全立法問(wèn)題已經(jīng)成為我國(guó)法政界、金融界和學(xué)術(shù)界共同關(guān)注的熱點(diǎn)問(wèn)題，因此，研究我國(guó)電子商務(wù)安全立法工作，建立科學(xué)高效的電子商務(wù)安全法律，為我國(guó)的電子商務(wù)的穩(wěn)步健康發(fā)展奠定良好的基礎(chǔ)，具有非常重要的理論意義和實(shí)踐意義。

本文研究的主要貢獻(xiàn)在于：探討了我國(guó)電子商務(wù)安全現(xiàn)狀以及立法存在的問(wèn)題與對(duì)策。本研究以電子商務(wù)基本概念和特色為理論基礎(chǔ)，通過(guò)對(duì)我國(guó)電子商務(wù)的安全現(xiàn)狀進(jìn)行分析，從而形成本研究的整體背景，接著分析我國(guó)安全立法的現(xiàn)狀以及存在的問(wèn)題，最后結(jié)合自身所學(xué)知識(shí)，提出改善我國(guó)電子商務(wù)安全法律的對(duì)策，希望對(duì)電子商務(wù)安全立法工作的開(kāi)展能提供一些幫助。但是由于水平的限制以及實(shí)際經(jīng)驗(yàn)的不足，加上我國(guó)目前電子商務(wù)法律問(wèn)題整體上處于不成熟與多樣化的階段，使得本文在研究過(guò)程中遇到一些困難，加上文字功底不夠等等，影響到了研究的效果，使得論文尚有以下不足之處：

1、研究過(guò)程中，對(duì)于我國(guó)電子商務(wù)安全現(xiàn)狀只選取了幾個(gè)主要的現(xiàn)狀進(jìn)行描述，考慮到本研究報(bào)告的篇幅問(wèn)題，并沒(méi)有對(duì)全部的現(xiàn)狀進(jìn)行描述。

2、在對(duì)我國(guó)電子商務(wù)安全立法的現(xiàn)狀進(jìn)行分析時(shí)，只對(duì)我國(guó)電子商務(wù)安全問(wèn)題的難點(diǎn)以及現(xiàn)狀進(jìn)行代表性的描述，并未形成系統(tǒng)化的描述。

篇3

關(guān)鍵詞:電子商務(wù);身份認(rèn)證;防火墻

一、有關(guān)電子商務(wù)的安全性要求

1.對(duì)電子商務(wù)活動(dòng)安全性的要求:

(1)服務(wù)的有效性要求。電子商務(wù)系統(tǒng)應(yīng)能防止服務(wù)失敗情況的發(fā)生,預(yù)防由于網(wǎng)絡(luò)故障和病毒發(fā)作等因素產(chǎn)生的系統(tǒng)停止服務(wù)等情況,保證交易數(shù)據(jù)能準(zhǔn)確快速的傳送。

(2)交易信息的保密性要求。電子商務(wù)系統(tǒng)應(yīng)對(duì)用戶所傳送的信息進(jìn)行有效的加密,防止因信息被截取破譯,同時(shí)要防止信息被越權(quán)訪問(wèn)。

(3)數(shù)據(jù)完整性要求。數(shù)字完整性是指在數(shù)據(jù)處理過(guò)程中,原來(lái)數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務(wù)交易的嚴(yán)肅和公正,交易的文件是不可被修改的,否則必然會(huì)損害一方的商業(yè)利益。

(4)身份認(rèn)證的要求。電子商務(wù)系統(tǒng)應(yīng)提供安全有效的身份認(rèn)證機(jī)制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時(shí)提供法律依據(jù)。

2.電子商務(wù)的主要安全要素

(1)信息真實(shí)性、有效性。電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

(2)信息機(jī)密性。電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

(3)信息完整性。電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

(4)信息可靠性、可鑒別性和不可抵賴性。可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在internet上每個(gè)人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。

二、電子商務(wù)采用的主要安全技術(shù)

1.網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供一個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個(gè)安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤(pán)和數(shù)據(jù)加密、病毒防護(hù)措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒(méi)有全面的安全策略,那么防火墻就形同虛設(shè)。

2.通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過(guò)加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書(shū),證書(shū)包括一個(gè)公鑰,由一家可信證書(shū)授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書(shū)的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份,而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)(下載可以在訪問(wèn)之前或訪問(wèn)時(shí))。驗(yàn)證此證書(shū)是合法的服務(wù)器證書(shū)通過(guò)后利用該證書(shū)對(duì)稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰,然后用此對(duì)稱算法加密傳輸?shù)拿魑摹４藭r(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。[論/文/網(wǎng)LunWenNet/Com]

3.應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹＠?緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)像這些問(wèn)題一樣的錯(cuò)誤。

4.用戶的認(rèn)證管理

(1)身份認(rèn)證。電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書(shū)與IC卡相結(jié)合實(shí)現(xiàn)。CA證書(shū)用來(lái)認(rèn)證服務(wù)器的身份,IC卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒(méi)有提供交易功能,所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。

(2)CA證書(shū)。要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書(shū)進(jìn)行驗(yàn)證,這份數(shù)字證書(shū)就是CA證書(shū),它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書(shū),并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)的管理。CA中心一般是社會(huì)公認(rèn)的可靠組織,它對(duì)個(gè)人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書(shū),證書(shū)分為服務(wù)器證書(shū)和個(gè)人證書(shū)。建立SSL安全鏈接不需要一定有個(gè)人證書(shū),實(shí)際上不驗(yàn)證客戶的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)。

(3)安全套接層SSL協(xié)議。安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

SSL通過(guò)數(shù)字簽名和數(shù)字證書(shū)來(lái)實(shí)行身份驗(yàn)證,數(shù)字證書(shū)是從認(rèn)證機(jī)構(gòu)(CA,CertificateAuthority)獲得的,通常包含有唯一標(biāo)識(shí)證書(shū)所有者的名稱、唯一標(biāo)識(shí)證書(shū)者的名稱、證書(shū)所有者的公開(kāi)密鑰、證書(shū)者的數(shù)字簽名、證書(shū)的有效期及證書(shū)的序列號(hào)等。在用數(shù)字證書(shū)對(duì)雙方的身份驗(yàn)證后,雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如Ht2tp、Ftp、Telnet等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴SL協(xié)議握手流程由兩個(gè)階段組成:服務(wù)器認(rèn)證和用戶認(rèn)證。

三、電子商務(wù)安全需要進(jìn)一步完善的配套措施

電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式,尤其對(duì)發(fā)展中的中國(guó)來(lái)說(shuō),發(fā)展電子商務(wù),就必須從以下幾個(gè)方面來(lái)完善配套措施:

(1)突破關(guān)鍵技術(shù)受制于人的瓶頸。

(2)我國(guó)應(yīng)盡快對(duì)電子商務(wù)的有關(guān)細(xì)則進(jìn)行立法。

(3)大力開(kāi)發(fā)大型商務(wù)網(wǎng)站,發(fā)展與之相配套的物流公司。

(4)為了確保系統(tǒng)的安全性,除了采用技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。

(5)建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢。

(6)對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份,且對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù),數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對(duì)的,而不是絕對(duì)的。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問(wèn)題,使電子商務(wù)系統(tǒng)相對(duì)更安全。[論\文\網(wǎng)LunWenNet\Com]

參考文獻(xiàn):

[1]吳洋.電子商務(wù)安全方法研究[D].天津:天津大學(xué),2006.

[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005(6).

[3]成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評(píng)估[J].計(jì)算機(jī)工程,2003(2).

[4]甘悅.淺議電子商務(wù)信息安全體系的構(gòu)建[J].西北成人教育學(xué)報(bào),2007(2).

[5]周明,黃元江,李建設(shè).電子商務(wù)中的安全技術(shù)研究[J].株洲工學(xué)院學(xué)報(bào),2005(1).

[6]張娟.電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究[J].甘肅科技縱橫,2005(4).

[7]趙乃真.電子商務(wù)技術(shù)與應(yīng)用[M].北京:中國(guó)鐵道出版社,2003.

篇4

關(guān)鍵詞：密鑰托管證書(shū)授權(quán)認(rèn)證公開(kāi)密鑰公鑰基礎(chǔ)設(shè)施托管證書(shū)

網(wǎng)絡(luò)的安全問(wèn)題得到人們的日益重視。網(wǎng)絡(luò)面臨的威脅五花八門(mén)：內(nèi)部竊密和破壞，截收，非法訪問(wèn)，破壞信息的完整性，冒充，破壞系統(tǒng)的可用性，重演，抵賴等。于是公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）應(yīng)運(yùn)而生。PKI是電子商務(wù)和其它信息系統(tǒng)的安全基礎(chǔ)，用來(lái)建立不同實(shí)體間的“信任”關(guān)系。它的基礎(chǔ)是加密技術(shù)，核心是證書(shū)服務(wù)。用戶使用由證書(shū)授權(quán)認(rèn)證中心（CertificateAuthority，CA）簽發(fā)的數(shù)字證書(shū)，結(jié)合加密技術(shù)，可以保證通信內(nèi)容的保密性、完整性、可靠性及交易的不可抵賴性，并進(jìn)行用戶身份的識(shí)別。

1．密鑰托管KE與密鑰托管KEA的概念

在電子商務(wù)廣泛采用公開(kāi)密鑰技術(shù)后，隨之而來(lái)的是公開(kāi)密鑰的管理問(wèn)題。對(duì)于中央政府來(lái)說(shuō)，為了加強(qiáng)對(duì)貿(mào)易活動(dòng)的監(jiān)管，客觀上也需要銀行、海關(guān)、稅務(wù)、工商等管理部門(mén)緊密協(xié)作。為了打擊犯罪，還要涉及到公安和國(guó)家安全部門(mén)。這樣，交易方與管理機(jī)構(gòu)就不可避免地產(chǎn)生聯(lián)系。為了監(jiān)視和防止計(jì)算機(jī)犯罪活動(dòng)，人們提出了密鑰托管（KeyEscrow，KE）的概念。KE與CA相接合，既能保證個(gè)人通信與電子交易的安全性，又能實(shí)現(xiàn)法律職能部門(mén)的管理介入，是今后電子商務(wù)安全策略的發(fā)展方向。

密鑰托管技術(shù)又稱為密鑰恢復(fù)（KeyRecovery）,是一種能夠在緊急情況下提供獲取信息解密密集新途徑的技術(shù)。它用于保存用戶的私鑰備份，既可在必要時(shí)幫助國(guó)家司法或安全等部門(mén)獲取原始明文信息，也可在用戶丟失、損壞自己的密鑰后恢復(fù)密文。

執(zhí)行密鑰托管功能的機(jī)制是密鑰托管（KeyEscrowAgent，KEA）。KEA與CA是PKI的兩個(gè)重要組成部分，分別管理用戶的私鑰與公鑰。KEA對(duì)用戶的私鑰進(jìn)行操作，負(fù)責(zé)政府職能部門(mén)對(duì)信息的強(qiáng)制訪問(wèn)，不參與通信過(guò)程。CA作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方，為每個(gè)使用公開(kāi)密鑰的客戶發(fā)放數(shù)字證書(shū)，負(fù)責(zé)檢驗(yàn)公鑰體系中公鑰的合法性。因此它參與每次通信過(guò)程，但不涉及具體的通信內(nèi)容。

2．安全密鑰托管的步驟

密鑰托管最關(guān)鍵，也是最難解決的問(wèn)題是：如何有效地阻止用戶的欺詐行為，即逃脫托管機(jī)構(gòu)的跟蹤。為防止用戶逃避脫管，密鑰托管技術(shù)的實(shí)施需要通過(guò)政府的強(qiáng)制措施進(jìn)行。用戶必須先委托密鑰托管進(jìn)行密鑰托管，取得托管證書(shū)，才能向CA申請(qǐng)加密證書(shū)。CA必須在收到加密公鑰對(duì)應(yīng)的私鑰托管證書(shū)后，再簽發(fā)相應(yīng)的公鑰證書(shū)。

為了防止KEA濫用權(quán)限及托管密要的泄漏，用戶的私鑰被分成若干部分，由不同的密鑰托管負(fù)責(zé)保存。只有將所有的私鑰分量合在一起，才能恢復(fù)用戶私鑰的有效性。

（1）用戶選擇若干個(gè)KEA，分給每一個(gè)一部分私鑰和一部分公鑰。根據(jù)所得的密鑰分量產(chǎn)生相應(yīng)的托管證書(shū)。證書(shū)中包括該用戶的特定表示符（UniqueIdentify，UID）、被托管的那部分公鑰和私鑰、托管證書(shū)的編號(hào)。KEA還要用自己的簽名私鑰對(duì)托管證書(shū)進(jìn)行加密，產(chǎn)生數(shù)字簽名，并將其附在托管證書(shū)上。

（2）用戶收到所有的托管證書(shū)后，將證書(shū)和完整的公鑰遞交給CA，申請(qǐng)加密證書(shū)。

（3）CA驗(yàn)證每個(gè)托管證書(shū)的真實(shí)性，即是否每一個(gè)托管都托管了一部分有效的私鑰分量，并對(duì)用戶身份加以確認(rèn)。完成所有的驗(yàn)證工作后，CA生成加密證書(shū)，返回給用戶。3．司法部門(mén)利用KE對(duì)信息的強(qiáng)制訪問(wèn)

所有傳送的加密信息都帶有包含會(huì)話密鑰的數(shù)據(jù)恢復(fù)域（DataRecoveryField，DRF），它由時(shí)間戳、發(fā)送者的加密證書(shū)、會(huì)話密鑰組成，與密文綁定在一起傳送給接收方。接收方必須通過(guò)DRF才能獲得會(huì)話密鑰。在必要時(shí)，司法部門(mén)可利用KEA，通過(guò)DRF實(shí)現(xiàn)對(duì)通信內(nèi)容的強(qiáng)制訪問(wèn)。

在司法部門(mén)取得授權(quán)后，首先監(jiān)聽(tīng)并截獲可疑信息，利用DRF中發(fā)送者的加密證書(shū)獲得發(fā)送者的托管標(biāo)示符及其對(duì)應(yīng)的托管證書(shū)號(hào)，然后把自己的授權(quán)證書(shū)和托管證書(shū)號(hào)交給相應(yīng)的密鑰托管。KEA驗(yàn)證授權(quán)證書(shū)的真?zhèn)魏螅祷刈约罕９艿哪遣糠炙借€。這樣在收集了所有的私鑰成分后，司法部門(mén)就能恢復(fù)出發(fā)送者的私鑰，再結(jié)合接收者的公鑰及時(shí)間戳，就能破解會(huì)話密鑰，進(jìn)而破解整個(gè)密文。由于密鑰托管不參與通信過(guò)程，所以在通信雙方毫無(wú)察覺(jué)的情況下，司法部門(mén)就能審查通信內(nèi)容。

4．結(jié)束語(yǔ)

自從1993年美國(guó)政府頒布密鑰托管加密標(biāo)準(zhǔn)EES，有關(guān)密鑰托管的研究一直是密碼學(xué)領(lǐng)域一個(gè)持續(xù)的研究熱點(diǎn)。在電子商務(wù)時(shí)代，國(guó)家為了能夠管理和控制電子商務(wù)的健康發(fā)展，必須強(qiáng)制實(shí)施一定形式的密鑰托管技術(shù)，以便及時(shí)發(fā)現(xiàn)和阻止非法商務(wù)活動(dòng)，并為司法部門(mén)提供取證的方便。

參考文獻(xiàn)

[1].盧鐵成.信息加密技術(shù)四川科學(xué)出版社1989

[2].陳偉東，翟起濱.二類基于離散對(duì)數(shù)問(wèn)題的信息恢復(fù)多簽名體制.密碼與信息，1998.1

[3].NationalInstituteforStandardsandTechnology.EscrowedEncryptionStandard.FederalInformationProcessingStandardsPublication185，U.S.DeptofCommerce，1994

[4].BellareM，GoldwasserS.Verifiablepartialkeyescrow.In:ProceedingsofFourthAnnualConferenceonComputerandCommunicationsSecurity，ACM，1997

KeyEscrowTechnologyinElectronicCommerceBasedonPKI

篇5

[關(guān)鍵詞]電子商務(wù)安全技術(shù)密鑰數(shù)字簽名

一、引言

電子商務(wù)是以電子信息技術(shù)為基礎(chǔ)的商務(wù)運(yùn)作，是信息技術(shù)的發(fā)展對(duì)社會(huì)經(jīng)濟(jì)生活產(chǎn)生巨大影響的一個(gè)實(shí)例，也是網(wǎng)絡(luò)新經(jīng)濟(jì)迅猛發(fā)展的代表。電子商務(wù)的核心內(nèi)容是網(wǎng)上交易，尤其是通過(guò)公共的因特網(wǎng)將眾多的社會(huì)經(jīng)濟(jì)成員聯(lián)系起來(lái)的網(wǎng)上交易更是成為發(fā)展的熱點(diǎn)，

電子商務(wù)所具有的廣闊發(fā)展前景，越來(lái)越為世人所矚目。但在Internet給人們帶來(lái)巨大便利的同時(shí)，也把人們引進(jìn)了安全陷阱。目前，阻礙電子商務(wù)廣泛應(yīng)用的首要也是最大的問(wèn)題就是安全問(wèn)題。電子商務(wù)中的安全問(wèn)題如得不到妥善解決，電子商務(wù)應(yīng)用就只能是紙上談兵。從事電子商務(wù)活動(dòng)的主體都已普遍認(rèn)識(shí)到電子商務(wù)的交易安全是電子商務(wù)成功實(shí)施的基礎(chǔ)，是企業(yè)制訂電子商務(wù)策略時(shí)必須首先要考慮的問(wèn)題。對(duì)于實(shí)施電子商務(wù)戰(zhàn)略的企業(yè)來(lái)說(shuō)，保證電子商務(wù)的安全已成為當(dāng)務(wù)之急。

二、電子商務(wù)過(guò)程中面臨的主要安全問(wèn)題

從交易角度出發(fā)，電子商務(wù)面臨的安全問(wèn)題綜合起來(lái)包括以下幾個(gè)方面：

1.有效性

電子商務(wù)以電子形式取代了紙張，那么保證信息的有效性就成為開(kāi)展電子商務(wù)的前提。因此，要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。

2.真實(shí)性

由于在電子商務(wù)過(guò)程中，買(mǎi)賣雙方的所有交易活動(dòng)都通過(guò)網(wǎng)絡(luò)聯(lián)系，交易雙方可能素昧平生，相隔萬(wàn)里。要使交易成功，首先要確認(rèn)對(duì)方的身份。對(duì)于商家而言，要考慮客戶端不能是騙子，而客戶端也會(huì)擔(dān)心網(wǎng)上商店是否是一個(gè)玩弄欺詐的黑店，因此，電子商務(wù)的開(kāi)展要求能夠?qū)灰字黧w的真實(shí)身份進(jìn)行鑒別。

3.機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。如信用卡的賬號(hào)和用戶名被人知悉，就可能被盜用而蒙受經(jīng)濟(jì)損失；訂貨和付款信息被競(jìng)爭(zhēng)對(duì)手獲悉，就可能喪失商機(jī)。因此建立在開(kāi)放的網(wǎng)絡(luò)環(huán)境電子商務(wù)活動(dòng)，必須預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。

三、電子商務(wù)安全中的幾種技術(shù)手段

由于電子商務(wù)系統(tǒng)把服務(wù)商、客戶和銀行三方通過(guò)互聯(lián)網(wǎng)連接起來(lái)，并實(shí)現(xiàn)了具體的業(yè)務(wù)操作。因此，電子商務(wù)安全系統(tǒng)可以由三個(gè)安全服務(wù)器及CA認(rèn)證系統(tǒng)構(gòu)成，它們遵循共同的協(xié)議，協(xié)調(diào)工作，實(shí)現(xiàn)電子商務(wù)交易信息的完整性、保密性和不可抵賴性等要求。其中采用的安全技術(shù)主要有以下幾種:

1.防火墻(FireWall)技術(shù)

防火墻是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問(wèn)，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。

2.加密技術(shù)

數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施，貿(mào)易方可根據(jù)需要在信息交換的階段使用。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對(duì)稱加密和非對(duì)稱加密，采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)，而不能簡(jiǎn)單地根據(jù)其加密強(qiáng)度來(lái)做出判斷。

(1)對(duì)稱加密

在對(duì)稱加密方法中，對(duì)信息的加密和解密都使用相同的密鑰。也就是說(shuō)，一把鑰匙開(kāi)一把鎖。這種加密算法可簡(jiǎn)化加密處理過(guò)程，貿(mào)易雙方都不必彼此研究和交換專用的加密算法，如果進(jìn)行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得到保證。不過(guò)，對(duì)稱加密技術(shù)也存在一些不足，如果某一貿(mào)易方有n個(gè)貿(mào)易關(guān)系，那么他就要維護(hù)n個(gè)私有密鑰。對(duì)稱加密方式存在的另一個(gè)問(wèn)題是無(wú)法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享一把私有密鑰。目前廣泛采用的對(duì)稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)，它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域。DES對(duì)64位二進(jìn)制數(shù)據(jù)加密，產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位，實(shí)際密鑰長(zhǎng)度為56位(8位用于奇偶校驗(yàn))。解密時(shí)的過(guò)程和加密時(shí)相似，但密鑰的順序正好相反。

(2)非對(duì)稱加密/公開(kāi)密鑰加密

在Internet中使用更多的是公鑰系統(tǒng)，即公開(kāi)密鑰加密。在該體系中，密鑰被分解為一對(duì)：公開(kāi)密鑰PK和私有密鑰SK。這對(duì)密鑰中的任何一把都可作為公開(kāi)密鑰(加密密鑰)向他人公開(kāi)，而另一把則作為私有密鑰(解密密鑰)加以保存。公開(kāi)密鑰用于加密，私有密鑰用于解密，私有密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握，公開(kāi)密鑰可廣泛，但它只對(duì)應(yīng)于生成該密鑰的貿(mào)易方。在公開(kāi)密鑰體系中，加密算法E和解密算法D也都是公開(kāi)的。雖然SK與PK成對(duì)出現(xiàn)，但卻不能根據(jù)PK計(jì)算出SK。

公開(kāi)密鑰算法的特點(diǎn)如下：

用加密密鑰PK對(duì)明文X加密后，再用解密密鑰SK解密，即可恢復(fù)出明文，或?qū)憺椋篋SK(EPK(X))=X。

加密密鑰不能用來(lái)解密，即DPK(EPK(X))≠X

在計(jì)算機(jī)上可以容易地產(chǎn)生成對(duì)的PK和SK。

從已知的PK實(shí)際上不可能推導(dǎo)出SK。

加密和解密的運(yùn)算可以對(duì)調(diào)，即：EPK(DSK(X))=X

常用的公鑰加密算法是RSA算法，加密強(qiáng)度很高。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來(lái)。發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加上數(shù)字簽名，做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名，然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名，然后用方公布的公鑰對(duì)數(shù)字簽名進(jìn)行解密，如果成功，則確定是由發(fā)送方發(fā)出的。由于加密強(qiáng)度高，而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密，因此十分適合Internet網(wǎng)上使用。

3.數(shù)字簽名

數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全核心技術(shù)之一，它實(shí)現(xiàn)的基礎(chǔ)就是加密技術(shù)。以往的書(shū)信或文件是根據(jù)親筆簽名或印章來(lái)證明其真實(shí)性的。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何蓋章呢？這就是數(shù)字簽名所要解決的問(wèn)題。數(shù)字簽名必須保證以下幾點(diǎn)：接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名；送者事后不能抵賴對(duì)報(bào)文的簽名；接收者不能偽造對(duì)報(bào)文的簽名。現(xiàn)在己有多種實(shí)現(xiàn)數(shù)字簽名的方法，采用較多的就是公開(kāi)密鑰算法。

4.數(shù)字證書(shū)

(1)認(rèn)證中心

在電子交易中，數(shù)字證書(shū)的發(fā)放不是靠交易雙方來(lái)完成的，而是由具有權(quán)威性和公正性的第三方來(lái)完成的。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)并確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

(2)數(shù)字證書(shū)

數(shù)字證書(shū)是用電子手段來(lái)證實(shí)一個(gè)用戶的身份及他對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字證書(shū)，并用它來(lái)進(jìn)行交易操作，那么交易雙方都可不必為對(duì)方身份的真?zhèn)螕?dān)心。

5.消息摘要(MessageDigest)

消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由RonRivest所發(fā)明的。消息摘要是一個(gè)惟一對(duì)應(yīng)一個(gè)消息的值。它由單向Hash加密算法對(duì)所需加密的明文直接作用，生成一串128bit的密文，這一串密文又被稱為“數(shù)字指紋”(FingerPrint)。所謂單向是指不能被解密，不同的明文摘要成密文，其結(jié)果是絕不會(huì)相同的，而同樣的明文其摘要必定是一致的，因此，這串摘要成為了驗(yàn)證明文是否是“真身”的數(shù)字“指紋”了。

四、小結(jié)

本文詳細(xì)探討了電子商務(wù)安全體系所面臨的問(wèn)題，并提出了安全防護(hù)的幾種技術(shù)手段，相信隨著時(shí)間的推移和技術(shù)的發(fā)展，電子商務(wù)安全體系將越來(lái)越完善，足不出戶而通過(guò)Internet電子商務(wù)系統(tǒng)實(shí)現(xiàn)購(gòu)物、交易和做生意將成為人們生活的新時(shí)尚。

參考文獻(xiàn)：

[1]徐海來(lái):電子商務(wù)的運(yùn)作與安全[J].中國(guó)信息導(dǎo)報(bào),2000.6:126

[2]劉進(jìn):電子商務(wù)網(wǎng)上交易系統(tǒng)[M].第一版，北京:機(jī)械工業(yè)出版社,2003:157

篇6

電子商務(wù)作為新經(jīng)濟(jì)的代言人，集中了當(dāng)今世界最先進(jìn)的技術(shù)，實(shí)現(xiàn)著最快捷的傳播和溝通方式。在世界經(jīng)濟(jì)一體化中，它改變著人們的思維觀念、消費(fèi)方式和創(chuàng)業(yè)模式。電子商務(wù)的出現(xiàn)和發(fā)展讓所有的傳統(tǒng)產(chǎn)業(yè)面臨著巨大的挑戰(zhàn)，以互聯(lián)網(wǎng)為代表的新經(jīng)濟(jì)必將成為未來(lái)社會(huì)發(fā)展的主流。由于因特網(wǎng)的開(kāi)放性，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越引起人們的普遍關(guān)注。據(jù)報(bào)道，中國(guó)已經(jīng)成為受到互聯(lián)網(wǎng)攻擊最嚴(yán)重的國(guó)家。而電子商務(wù)往往和金融系統(tǒng)有著千絲萬(wàn)縷的聯(lián)系，因而也成為了網(wǎng)絡(luò)黑客重點(diǎn)攻擊的目標(biāo)。據(jù)權(quán)威機(jī)構(gòu)調(diào)查表明，國(guó)內(nèi)電子商務(wù)發(fā)展的最大隱患就是網(wǎng)絡(luò)交易的安全問(wèn)題。這也是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問(wèn)題。

二、電子商務(wù)信息安全機(jī)制問(wèn)題

在電子商務(wù)領(lǐng)域，最核心的安全問(wèn)題就是電子交易的安全。如何解決電子交易過(guò)程中所面臨的身份驗(yàn)證、保護(hù)信息機(jī)密性、防止信息的非法篡改以及防止交易抵賴等問(wèn)題，成為了保護(hù)電子交易安全機(jī)制的關(guān)鍵問(wèn)題。

（一）身份驗(yàn)證在傳統(tǒng)交易方式中，驗(yàn)證雙方的真實(shí)身份并不是一件非常困難的事情。交易是雙方面對(duì)面所進(jìn)行的的活動(dòng)，因此可以通過(guò)查看身份證、出示交易印章等方式驗(yàn)證對(duì)方的真實(shí)身份。但是在電子交易環(huán)境中，雙方未曾謀面、相隔遙遠(yuǎn)，更容易出現(xiàn)假冒、欺詐等違法行為。因此電子商務(wù)安全的首要問(wèn)題就是驗(yàn)證交易雙方的身份。

（二）信息機(jī)密性電子商務(wù)的交易過(guò)程通常都是直接在互聯(lián)網(wǎng)上進(jìn)行的，如前所述互聯(lián)網(wǎng)的開(kāi)放性雖然帶來(lái)通信與交流的便捷，但也給黑客提供了竊取個(gè)人或組織機(jī)密信息的可能性。當(dāng)電子交易雙方通過(guò)網(wǎng)絡(luò)交換信息的時(shí)候，他們之間傳遞的機(jī)密信息就有可能竊取。進(jìn)而威脅到個(gè)人的隱私或企業(yè)單位的經(jīng)濟(jì)利益，甚至可能導(dǎo)致商業(yè)的巨額損失。因此電子交易雙方必須解決如何保護(hù)傳遞的敏感信息，使黑客即使截獲了數(shù)據(jù)也無(wú)法破譯，進(jìn)而無(wú)法獲得真實(shí)的通信內(nèi)容。

（三）信息完整性在電子商務(wù)交易過(guò)程中，攻擊者除了可以破譯通信內(nèi)容，直接威脅通信的機(jī)密性之外，還可以通過(guò)篡改通信內(nèi)容實(shí)現(xiàn)網(wǎng)絡(luò)的主動(dòng)攻擊。通過(guò)篡改通信內(nèi)容，是交易雙方產(chǎn)生誤判，從而使攻擊者實(shí)現(xiàn)非法目的。因此電子交易雙方如何鑒別通信數(shù)據(jù)是否被篡改過(guò)，也成為了保護(hù)通信安全的一個(gè)重要環(huán)節(jié)。

（四）信息的不可抵賴性在商務(wù)活動(dòng)中，商業(yè)形式千變?nèi)f化，為了防止交易雙方的抵賴行為，人們往往要訂立合同，在合同內(nèi)明確雙方同意的條款內(nèi)容，并要求雙方簽字蓋章。這些手段都是為了防止交易抵賴。但這樣的手段在電子交易中就無(wú)法實(shí)施。電子交易的雙方由于互不見(jiàn)面，某方完全有可能出于個(gè)人的私利，否認(rèn)參與過(guò)整個(gè)交易過(guò)程。從而使對(duì)方遭受巨大的經(jīng)濟(jì)損失。因此，如何防止交易抵賴，保證交易的嚴(yán)肅性和公正性，成為電子商務(wù)發(fā)展所亟待解決的急切問(wèn)題。

三、電子商務(wù)信息的安全機(jī)制

（一）對(duì)稱和非對(duì)稱加密機(jī)制為了保護(hù)電子交易的機(jī)密性，我們必須對(duì)雙方的數(shù)據(jù)進(jìn)行加密，防止被截獲的數(shù)據(jù)被輕松破譯。加密算法有對(duì)稱和非對(duì)稱兩種。對(duì)稱加密算法主要特點(diǎn)是：電子交易雙方都必須要擁有共同的共享密鑰（即加密密鑰和解密密鑰相同），并且對(duì)稱加密算法的運(yùn)算速度很高，適合大量數(shù)據(jù)的加密和解密工作。但是對(duì)稱算法存在的一個(gè)重大問(wèn)題在于：如何安全的傳遞密鑰給通信對(duì)方。因?yàn)楣蚕砻荑€是需要在不安全的互聯(lián)網(wǎng)上直接傳遞的，如果密鑰被截獲，那整個(gè)加密體制就完全崩潰。非對(duì)稱加密機(jī)制是利用兩個(gè)不同的密鑰來(lái)完成數(shù)據(jù)的加密和解密工作（即公約和私鑰），公約和私鑰是成對(duì)產(chǎn)生的，但公約和私鑰相互之間無(wú)法直接推算出來(lái)。因此，為了保護(hù)信息的機(jī)密性，我們?nèi)绻s來(lái)加密的數(shù)據(jù)，則必須用相應(yīng)的私鑰才能解密；反之，用私鑰來(lái)加密的數(shù)據(jù)則只能用對(duì)應(yīng)的公約來(lái)解密。公約是完全公開(kāi)的，任何人均可以獲得，而私鑰則必須由持有人妥善保管。這樣的非對(duì)稱機(jī)制的主要特點(diǎn)在于，為了保護(hù)信息的機(jī)密性，發(fā)送方用對(duì)方的公約加密，接收方用自己的私鑰解密，在加密數(shù)據(jù)的傳遞過(guò)程中，即使被截獲，截獲者也因?yàn)闊o(wú)法獲得接受者的私鑰而無(wú)法解密。同時(shí)非對(duì)稱機(jī)制可鑒別發(fā)送方的身份，使交易不可抵賴，發(fā)送方需要用自己的私鑰加密數(shù)據(jù)，將加密數(shù)據(jù)傳遞給接收方。接收方如果能夠用發(fā)送方的公鑰解密，則可以充分證明這些數(shù)據(jù)一定是來(lái)自發(fā)送方，而不是某個(gè)自稱發(fā)送方的假冒者，因?yàn)橛冒l(fā)送方的公約能夠解密，則完全可以說(shuō)明數(shù)據(jù)一定是發(fā)送方的私鑰加了密。而發(fā)送方的私鑰只有持有人才知道，因而可以推導(dǎo)出這些數(shù)據(jù)一定是發(fā)送方本人親自發(fā)送的。從而有效地解決了身份驗(yàn)證和防止交易抵賴問(wèn)題。但非對(duì)稱體制的缺點(diǎn)在于，加密和解密的運(yùn)算量非常大，計(jì)算速度往往比對(duì)稱體制慢上百倍。因此實(shí)際在電子商務(wù)應(yīng)用中，往往是把對(duì)稱和非對(duì)稱加密體制結(jié)合起來(lái)使用，即發(fā)送方用對(duì)稱體制的共享密鑰對(duì)數(shù)據(jù)加密，然后用非對(duì)稱體制的接收方的公鑰對(duì)共享密鑰加密，然后傳給接收方，接收方用自己的私鑰將共享密鑰解密，再用共享密鑰對(duì)大量的數(shù)據(jù)解密。這樣的安全設(shè)計(jì)，既充分發(fā)揮了對(duì)稱體制運(yùn)算速度快的優(yōu)勢(shì)，也利用了非對(duì)稱傳遞數(shù)據(jù)安全的優(yōu)勢(shì)。

（二）散列運(yùn)算防止信息被篡改為了防止電子商務(wù)信息被篡改，發(fā)送方需要對(duì)數(shù)據(jù)進(jìn)行散列運(yùn)算，將散列值（即摘要）連同數(shù)據(jù)本身發(fā)給對(duì)方，接收方也將數(shù)據(jù)重新計(jì)算散列值，并將新散列值與傳遞而來(lái)的散列值對(duì)照，如果兩個(gè)散列值相同，則證明數(shù)據(jù)在傳遞過(guò)程中沒(méi)有被篡改。因此接受方只要對(duì)照散列值，就可以判斷電子商務(wù)信息信息是否被篡改過(guò)。從而有效地解決了信息的完整性問(wèn)題。

四、結(jié)論

篇7

[關(guān)鍵詞]移動(dòng)電子商務(wù)信息安全自組網(wǎng)隱私法律

移動(dòng)電子商務(wù)（M-Commerce），是通過(guò)手機(jī)、PDA（個(gè)人數(shù)字助理）、呼機(jī)等移動(dòng)通信設(shè)備與因特網(wǎng)有機(jī)結(jié)合所進(jìn)行的電子商務(wù)活動(dòng)。移動(dòng)電子商務(wù)能提供以下服務(wù)：PIM（個(gè)人信息服務(wù)）、銀行業(yè)務(wù)、交易、購(gòu)物、基于位置的服務(wù)、娛樂(lè)等。

移動(dòng)電子商務(wù)因其快捷方便、無(wú)所不在的特點(diǎn)，已經(jīng)成為電子商務(wù)發(fā)展的新方向。因?yàn)橹挥幸苿?dòng)電子商務(wù)才能在任何地方、任何時(shí)間，真正解決做生意的問(wèn)題。

但是對(duì)于任何通過(guò)無(wú)線網(wǎng)路（如:GSM網(wǎng)路）進(jìn)行金融交易的用戶，安全和隱私問(wèn)題無(wú)疑是其關(guān)注的焦點(diǎn)。由于移動(dòng)電子商務(wù)的特殊性，移動(dòng)電子商務(wù)的安全問(wèn)題尤其顯得重要。尤其對(duì)于有線電子商務(wù)用戶來(lái)說(shuō)，通常認(rèn)為物理線纜能帶來(lái)更好的安全性，從而排斥使用移動(dòng)電子商務(wù)。移動(dòng)電子商務(wù)是一個(gè)系統(tǒng)工程，本文從技術(shù)、安全、隱私和法制等方面討論了移動(dòng)商務(wù)的展所面臨的種種問(wèn)題，并指出這些問(wèn)題的有效解決是建設(shè)健康、安全的移動(dòng)電子商務(wù)的重要保證。

一、移動(dòng)通信新技術(shù)的驅(qū)動(dòng)

1.無(wú)線應(yīng)用協(xié)議（WAP）

無(wú)線應(yīng)用協(xié)議WAP是無(wú)線通信和互聯(lián)網(wǎng)技術(shù)發(fā)展的產(chǎn)物，它不僅為無(wú)線設(shè)備提供豐富的互聯(lián)網(wǎng)資源，也提供了開(kāi)發(fā)各種無(wú)線網(wǎng)路應(yīng)用的途徑。1998年，WAP論壇公布了WAP1.0版本，制定了一套專門(mén)為移動(dòng)互聯(lián)網(wǎng)而設(shè)計(jì)的應(yīng)用協(xié)議，具有良好的開(kāi)放性和互通性。隨著移動(dòng)通信網(wǎng)傳輸速率的顯著提高，WAP論壇于2001年頒布了WAP2.0版本，該版本增加了對(duì)HTTP、TLS和TCP等互聯(lián)網(wǎng)協(xié)議的支持，WAP的工作大大簡(jiǎn)化。WAP2.0模式有利于實(shí)現(xiàn)電子商務(wù)所需的端到端安全性，可以提供TLS隧道。

2.移動(dòng)IP技術(shù)

移動(dòng)IP技術(shù)，是指移動(dòng)用戶可在跨網(wǎng)絡(luò)隨意移動(dòng)和漫游中，使用基于TCP/IP協(xié)議的網(wǎng)絡(luò)時(shí)，不用修改計(jì)算機(jī)原來(lái)的IP地址，同時(shí)，也不必中斷正在進(jìn)行的通信。移動(dòng)IP通過(guò)AAA（Authentication,Authorization,Accounting)機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)全方位的安全移動(dòng)或者漫游功能。移動(dòng)IP在一定程度上能夠很好地支持移動(dòng)商務(wù)的應(yīng)用。

3.第三代（3G）移動(dòng)通信系統(tǒng)

第三代移動(dòng)通信系統(tǒng)，簡(jiǎn)稱3G，是指將無(wú)線通信與互聯(lián)網(wǎng)等多媒體通信結(jié)合的移動(dòng)通信系統(tǒng)。它能夠處理圖像、話音、視頻流等多種媒體形式，提供包括網(wǎng)頁(yè)瀏覽、電話會(huì)議、電子商務(wù)等多種信息服務(wù)。與2G相比，3G產(chǎn)品可提供數(shù)據(jù)速率高達(dá)2Mbps的多媒體業(yè)務(wù)。在我國(guó)，以TD-SCDMA技術(shù)為基礎(chǔ)的3G基礎(chǔ)設(shè)施和產(chǎn)品的建設(shè)和研制發(fā)展迅速，我國(guó)發(fā)展3G的條件已經(jīng)基本具備。由于3G帶來(lái)的高速率、移動(dòng)性和高安全性等特點(diǎn)，必然會(huì)給移動(dòng)電子商務(wù)的應(yīng)用帶來(lái)巨大商機(jī)。

4.無(wú)線局域網(wǎng)（WLAN）技術(shù)

美國(guó)電子電器工程師協(xié)會(huì)IEEE在1991年就啟動(dòng)了WLAN標(biāo)準(zhǔn)工作組，稱為IEEE802.11，并在1997年產(chǎn)生了WLAN標(biāo)準(zhǔn)－IEEE802.11，后來(lái)又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標(biāo)準(zhǔn)。802.11WLAN標(biāo)準(zhǔn)自公布之日起，安全問(wèn)題一直是其被關(guān)注的焦點(diǎn)問(wèn)題。802.11b采用了基于RC4算法的有線對(duì)等保密（WEP）機(jī)制，為網(wǎng)絡(luò)業(yè)務(wù)流提供安全保障，但其加密和認(rèn)證機(jī)制都存在安全漏洞。802.11i是2004年6月批準(zhǔn)的WLAN標(biāo)準(zhǔn)，其目的是解決802.11標(biāo)準(zhǔn)中存在的安全問(wèn)題。802.11i應(yīng)用TKIP（Temporalkeyintegrityprotocol）加密算法和基于AES高級(jí)加密標(biāo)準(zhǔn)的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作為其加密算法，可以向后兼容802.11a/b/g等硬件設(shè)備。中國(guó)寬帶無(wú)線IP標(biāo)準(zhǔn)工作組制訂了WLAN國(guó)家標(biāo)準(zhǔn)GB15629.11，定義了無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI，大大減少了WLAN中的安全隱患。

二、移動(dòng)電子商務(wù)面臨的安全威脅

盡管移動(dòng)電子商務(wù)給工作效率的提高帶來(lái)了諸多優(yōu)勢(shì)（如：減少了服務(wù)時(shí)間，降低了成本和增加了收入），但安全問(wèn)題仍是移動(dòng)商務(wù)推廣應(yīng)用的瓶頸。有線網(wǎng)絡(luò)安全的技術(shù)手段不完全適用于無(wú)線設(shè)備，由于無(wú)線設(shè)備的內(nèi)存和計(jì)算能力有限而不能承載大部分的病毒掃描和入侵檢測(cè)的程序。例如：目前還沒(méi)有有效抵制手機(jī)病毒的防護(hù)軟件。

1.網(wǎng)絡(luò)本身的威脅

無(wú)線通信網(wǎng)絡(luò)可以不像有線網(wǎng)絡(luò)那樣受地理環(huán)境和通信電纜的限制就可以實(shí)現(xiàn)開(kāi)放性的通信。無(wú)線信道是一個(gè)開(kāi)放性的信道，它給無(wú)線用戶帶來(lái)通信自由和靈活性的同時(shí)，也帶來(lái)了諸多不安全因素：如通信內(nèi)容容易被竊聽(tīng)、通信雙方的身份容易被假冒，以及通信內(nèi)容容易被篡改等。在無(wú)線通信過(guò)程中，所有通信內(nèi)容（如：通話信息，身份信息，數(shù)據(jù)信息等）都是通過(guò)無(wú)線信道開(kāi)放傳送的。任何擁有一定頻率接收設(shè)備的人均可以獲取無(wú)線信道上傳輸?shù)膬?nèi)容。這對(duì)于無(wú)線用戶的信息安全、個(gè)人安全和個(gè)人隱私都構(gòu)成了潛在的威脅。

2.無(wú)線adhoc應(yīng)用的威脅

除了互聯(lián)網(wǎng)在線應(yīng)用帶來(lái)的威脅外，無(wú)線裝置給其移動(dòng)性和通信媒體帶來(lái)了新的安全問(wèn)題。考慮無(wú)線裝置可以組成adhoc網(wǎng)路。Adhoc網(wǎng)絡(luò)和傳統(tǒng)的移動(dòng)網(wǎng)絡(luò)有著許多不同，其中一個(gè)主要的區(qū)別就是AdHoc網(wǎng)絡(luò)不依賴于任何固定的網(wǎng)絡(luò)設(shè)施，而是通過(guò)移動(dòng)節(jié)點(diǎn)間的相互協(xié)作來(lái)進(jìn)行網(wǎng)絡(luò)互聯(lián)。由于其網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)，使得AdHoc網(wǎng)絡(luò)的安全問(wèn)題尤為突出。Adhoc網(wǎng)路的一個(gè)重要特點(diǎn)是網(wǎng)絡(luò)決策是分散的，網(wǎng)絡(luò)協(xié)議依賴于所有參與者之間的協(xié)作。敵手可以基于該種假設(shè)的信任關(guān)系入侵協(xié)作的節(jié)點(diǎn)。

3.網(wǎng)路漫游的威脅

無(wú)線網(wǎng)路中的攻擊者不需要尋找攻擊目標(biāo)，攻擊目標(biāo)會(huì)漫游到攻擊者所在的小區(qū)。在終端用戶不知情的情況下，信息可能被竊取和篡改。服務(wù)也可被經(jīng)意或不經(jīng)意地拒絕。交易會(huì)中途打斷而沒(méi)有重新認(rèn)證的機(jī)制。由刷新引起連接的重新建立會(huì)給系統(tǒng)引入風(fēng)險(xiǎn)，沒(méi)有再認(rèn)證機(jī)制的交易和連接的重新建立是危險(xiǎn)的。連接一旦建立，使用SSL和WTLS的多數(shù)站點(diǎn)不需要進(jìn)行重新認(rèn)證和重新檢查證書(shū)。攻擊者可以利用該漏洞來(lái)獲利。

4.物理安全

無(wú)線設(shè)備另一個(gè)特有的威脅就是容易丟失和被竊。因?yàn)闆](méi)有建筑、門(mén)鎖和看管保證的物理邊界安全和其小的體積，無(wú)線設(shè)備很容易丟失和被盜竊。對(duì)個(gè)人來(lái)說(shuō)，移動(dòng)設(shè)備的丟失意味著別人將會(huì)看到電話上的數(shù)字證書(shū)，以及其他一些重要數(shù)據(jù)。利用存儲(chǔ)的數(shù)據(jù)，拿到無(wú)線設(shè)備的人就可以訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)，包括Email服務(wù)器和文件系統(tǒng)。目前手持移動(dòng)設(shè)備最大的問(wèn)題就是缺少對(duì)特定用戶的實(shí)體認(rèn)證機(jī)制。

三、移動(dòng)商務(wù)面臨的隱私和法律問(wèn)題

1.垃圾短信息

在移動(dòng)通信給人們帶來(lái)便利和效率的同時(shí)，也帶來(lái)了很多煩惱，遍地而來(lái)的垃圾短信廣告打擾著我們的生活。在移動(dòng)用戶進(jìn)行商業(yè)交易時(shí)，會(huì)把手機(jī)號(hào)碼留給對(duì)方。通過(guò)街頭的社會(huì)調(diào)查時(shí)，也往往需要被調(diào)查者填入手機(jī)號(hào)碼。甚至有的用戶把手機(jī)號(hào)碼公布在網(wǎng)上。這些都是公司獲取手機(jī)號(hào)碼的渠道。垃圾短信使得人們對(duì)移動(dòng)商務(wù)充滿恐懼，而不敢在網(wǎng)絡(luò)上使用自己的移動(dòng)設(shè)備從事商務(wù)活動(dòng)。目前，還沒(méi)有相關(guān)的法律法規(guī)來(lái)規(guī)范短信廣告，運(yùn)營(yíng)商還只是在技術(shù)層面來(lái)限制垃圾短信的群發(fā)。目前，信息產(chǎn)業(yè)部正在起草手機(jī)短信的規(guī)章制度，相信不久的將來(lái)會(huì)還手機(jī)短信一片綠色的空間。

2.定位新業(yè)務(wù)的隱私威脅

定位是移動(dòng)業(yè)務(wù)的新應(yīng)用，其技術(shù)包括:全球定位系統(tǒng)，該種技術(shù)利用24顆GPS衛(wèi)星來(lái)精確（誤差在幾米之內(nèi)）定位地面上的人和車輛；基于手機(jī)的定位技術(shù)TOA，該技術(shù)根據(jù)從GPS返回響應(yīng)信號(hào)的時(shí)間信息定位手機(jī)所處的位置。定位在受到歡迎的同時(shí)，也暴露了其不利的一面——隱私問(wèn)題。移動(dòng)酒吧就是一個(gè)典型的例子，當(dāng)你在路上時(shí)，這種服務(wù)可以在你的PDA上列出離你最近的5個(gè)酒吧的位置和其特色。或者當(dāng)你途經(jīng)一個(gè)商店時(shí)，會(huì)自動(dòng)向你的手機(jī)發(fā)送廣告信息。定位服務(wù)在給我們帶來(lái)便利的同時(shí)，也影響到了個(gè)人隱私。利用這種技術(shù)，執(zhí)法部門(mén)和政府可以監(jiān)聽(tīng)信道上的數(shù)據(jù)，并能夠跟蹤一個(gè)人的物理位置。

3.移動(dòng)商務(wù)的法律保障

電子商務(wù)的迅猛發(fā)展推動(dòng)了相關(guān)的立法工作。2005年4月1日，中國(guó)首部真正意義上的信息化法律《電子簽名法》正式實(shí)施，電子簽名與傳統(tǒng)的手寫(xiě)簽名和蓋章將具有同等的法律效力，標(biāo)志著我國(guó)電子商務(wù)向誠(chéng)信發(fā)展邁出了第一步。《電子簽名法》立法的重要目的是為了促進(jìn)電子商務(wù)和電子政務(wù)的發(fā)展，增強(qiáng)交易的安全性。

參考文獻(xiàn)：

[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77

篇8

[關(guān)鍵詞]電子商務(wù)計(jì)算機(jī)安全技術(shù)

隨著電子商務(wù)不斷的擴(kuò)大影響，勢(shì)必將成為一種新型的交易模式走入人們?nèi)粘Ｉ睿?jì)算機(jī)技術(shù)與其是密不可分，相輔相成的。電子商務(wù)的發(fā)展將帶動(dòng)計(jì)算機(jī)技術(shù)應(yīng)用的更加廣泛，計(jì)算機(jī)技術(shù)的進(jìn)步將推動(dòng)電子商務(wù)的蓬勃發(fā)展。而其在發(fā)展的過(guò)程中安全問(wèn)題也變得越來(lái)越突出，可以說(shuō)，沒(méi)有安全就沒(méi)有電子商務(wù)。

一、電子商務(wù)網(wǎng)絡(luò)的安全隱患

1.竊取信息。（1）交易雙方進(jìn)行交易的內(nèi)容被第三方竊取。(2)交易一方提供給另一方使用的文件被第三方非法使用。

2.篡改信息。電子的交易信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中，可能被他人非法的修改、刪除這樣就使信息失去了真實(shí)性和完整性。

3.假冒。第三方可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，有可能假冒一方的信謄或盜取被假冒一方的交易成果等。

4.惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，破壞網(wǎng)絡(luò)的硬件或軟件而導(dǎo)致交易信息傳遞丟失與謬誤。計(jì)算機(jī)網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞，而使電子商務(wù)信息遭到破壞。

二、電子商務(wù)的安全要求

1.交易者身份的可認(rèn)證性。在傳統(tǒng)的交易中，交易雙方往往是面對(duì)面進(jìn)行活動(dòng)的，這樣很容易確認(rèn)對(duì)方的身份。即使開(kāi)始不熟悉，不能確信對(duì)方，也可以通過(guò)對(duì)方的簽名、印章、證書(shū)等一系列有形的身份憑證來(lái)鑒別身份。然而，在進(jìn)行網(wǎng)上交易時(shí)，情況就大不一樣了，因?yàn)榫W(wǎng)上交易的雙方可能素昧平生，相隔千里，并且在整個(gè)交易過(guò)程中都可能不見(jiàn)一面。要使交易成功，首先要能驗(yàn)證對(duì)方的身份，對(duì)商家要考慮客戶端不能是騙子，而客戶也會(huì)擔(dān)心網(wǎng)上的商店是不是一個(gè)玩弄欺詐的黑店。因此能方便而可靠地確認(rèn)對(duì)方身份是交易的前提。

2.信息的機(jī)密性。由于電子商務(wù)是建立在一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。當(dāng)交易雙方通過(guò)Internet交換信息時(shí)，如果不采取適當(dāng)?shù)谋Ｃ艽胧涂赡軐⑼ㄐ艃?nèi)容泄密；另外，在網(wǎng)絡(luò)上的文件信息如果不加密的話，也有可能被黑客竊取。上述種種情況都有可能造成敏感商業(yè)信息的泄漏，導(dǎo)致商業(yè)上的巨大損失。因此，電子商務(wù)一個(gè)重要的安全需求就是信息的保密性。這意味著，一定要對(duì)敏感信息進(jìn)行加密，即使別人截獲或竊取了數(shù)據(jù)，也無(wú)法識(shí)別信息的真實(shí)內(nèi)容，以使商業(yè)機(jī)密信息難以被泄漏。

3.信息的真實(shí)完整性。信息輸入時(shí)的意外差錯(cuò)或欺詐行為、傳輸過(guò)程中信息的丟失、重復(fù)或傳送次序差異都會(huì)導(dǎo)致貿(mào)易各方信息的不同。交易的文件是不可被修改的，應(yīng)該保證接受方收到的信息確實(shí)是發(fā)送方發(fā)送的，中途沒(méi)有被非法用戶篡改過(guò)。電子交易文件必須做到不可修改，以保障交易的嚴(yán)肅和公正。

三、電子商務(wù)交易中的一些網(wǎng)絡(luò)安全技術(shù)

針對(duì)以上問(wèn)題現(xiàn)在廣泛采用了身份識(shí)別技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)和放火墻技術(shù)。

1.身份識(shí)別技術(shù)。通過(guò)電子網(wǎng)絡(luò)開(kāi)展電子商務(wù)，身份識(shí)別問(wèn)題是一個(gè)必須解決的問(wèn)題。一方面，只有合法用戶才可以使用網(wǎng)絡(luò)資源，所以網(wǎng)絡(luò)資源管理要求識(shí)別用戶的身份;另一方面，傳統(tǒng)的交易方式，交易雙方可以面對(duì)面地談判交涉，很容易識(shí)別對(duì)方的身份。通過(guò)電子網(wǎng)絡(luò)交易方式，交易雙方不見(jiàn)面，并且通過(guò)普通的電子傳輸信息很難確認(rèn)對(duì)方的身份。因此，電子商務(wù)中的身份識(shí)別問(wèn)題顯得尤為突出。

2.數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務(wù)中采取的主要安全措施，貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前，加密技術(shù)分為兩類，即對(duì)稱加密/對(duì)稱密鑰加密/專用密鑰加密和非對(duì)稱加密/公開(kāi)密鑰加密。現(xiàn)在許多機(jī)構(gòu)運(yùn)用PKI(publickeyInfrastructur的縮寫(xiě)，即“公開(kāi)密鑰體系”）技術(shù)實(shí)施構(gòu)建完整的加密/簽名體系，更有效地解決上述難題，在充分利用互聯(lián)網(wǎng)實(shí)現(xiàn)資源共享的前提下從真正意義上確保了網(wǎng)上交易與信息傳遞的安全。3.智能化防火墻技術(shù)。智能防火墻從技術(shù)特征上，是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的。新的方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問(wèn)控制。智能防火墻成功地解決了普遍存在的拒絕服務(wù)攻擊(DDOS)的問(wèn)題、病毒傳播問(wèn)題和高級(jí)應(yīng)用入侵問(wèn)題，代表著防火墻的主流發(fā)展方向。新型智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高，在特權(quán)最小化、系統(tǒng)最小化、內(nèi)核安全、系統(tǒng)加固、系統(tǒng)優(yōu)化和網(wǎng)絡(luò)性能最大化方面，與傳統(tǒng)防火墻相比較有質(zhì)的飛躍。

四、結(jié)束語(yǔ)

電子商務(wù)安全對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)安全提出了雙重要求，其復(fù)雜程度比大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)都高。在電子商務(wù)的建設(shè)過(guò)程中涉及到許多安全技術(shù)問(wèn)題，制定安全技術(shù)規(guī)則和實(shí)施安全技術(shù)手段不僅可以推動(dòng)安全技術(shù)的發(fā)展，同時(shí)也促進(jìn)安全的電子商務(wù)體系的形成。當(dāng)然，任何一個(gè)安全技術(shù)都不會(huì)提供永遠(yuǎn)和絕對(duì)的安全，因?yàn)榫W(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵和破壞的手段也在變化，只有技術(shù)的不斷進(jìn)步才是真正的安全保障。

參考文獻(xiàn):

篇9

關(guān)鍵詞：互聯(lián)網(wǎng)　電子商務(wù)　網(wǎng)絡(luò)安全　管理

1 引言

隨著互聯(lián)網(wǎng)的快速發(fā)展，人們的生活方式有了非常大的改變，對(duì)應(yīng)的經(jīng)濟(jì)社會(huì)也受到了巨大的影響。在商業(yè)貿(mào)易領(lǐng)域，因?yàn)榫W(wǎng)絡(luò)的快速發(fā)展，產(chǎn)生了電子商務(wù)這樣一種貿(mào)易方式。但是電子商務(wù)也是經(jīng)歷了一番坎坷的，因?yàn)榫W(wǎng)絡(luò)的特殊性，在電子商務(wù)發(fā)展中產(chǎn)生了交易安全的問(wèn)題，對(duì)電子商務(wù)的穩(wěn)定發(fā)展帶來(lái)了一定的沖擊。Internet網(wǎng)是一個(gè)互連通的自由空間，一些人常常會(huì)因?yàn)槟承┠康墓綦娮由虅?wù)網(wǎng)站，比如盜竊資金、商業(yè)打擊、惡作劇等，導(dǎo)致有些企業(yè)的電子商務(wù)網(wǎng)站貿(mào)易交流受損、服務(wù)暫停，甚至出現(xiàn)資金被盜的現(xiàn)象。據(jù)有關(guān)數(shù)據(jù)的統(tǒng)計(jì)，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題在經(jīng)濟(jì)上造成的損失就達(dá)到近百億美元，而國(guó)內(nèi)的情況也不容樂(lè)觀。因此，當(dāng)我們?cè)谙硎芑ヂ?lián)網(wǎng)給生活帶來(lái)的這些好處的時(shí)候，網(wǎng)絡(luò)的安全問(wèn)題，早已變成電子商務(wù)的重大難題，給電子商務(wù)企業(yè)的發(fā)展帶來(lái)了極大的阻礙。所以，計(jì)算機(jī)網(wǎng)絡(luò)安全是電子商務(wù)發(fā)展過(guò)程中所面臨的重大挑戰(zhàn)和問(wèn)題。電子商務(wù)企業(yè)必須從維護(hù)顧客利益和自身利益出發(fā)，做好安全防范和自身安全管理工作，才能得到持續(xù)快速的發(fā)展。

2 電子商務(wù)面對(duì)的網(wǎng)絡(luò)安全問(wèn)題

當(dāng)前，電子商務(wù)安全問(wèn)題受到多方面的影響，不但有技術(shù)管理的問(wèn)題，而且也有網(wǎng)絡(luò)缺陷的因素，具體地說(shuō)，直接原因有以下幾點(diǎn)：

2.1 網(wǎng)絡(luò)“黑客”侵犯電子商務(wù)網(wǎng)站

網(wǎng)絡(luò)黑客是專門(mén)在網(wǎng)絡(luò)中利用本身掌握的技術(shù)非法強(qiáng)行進(jìn)入他人網(wǎng)站后臺(tái)的人，這類人具有高超的網(wǎng)絡(luò)技術(shù)，能夠不受電子商務(wù)網(wǎng)站技術(shù)防護(hù)的限制。許多“黑客”篡改內(nèi)容信息、破壞網(wǎng)站；盜取商戶或企業(yè)的賬戶資金，極大地影響了電子商務(wù)的正常進(jìn)行。

2.2 電子商務(wù)軟件有漏洞

許多軟件研發(fā)單位研發(fā)的技術(shù)不成熟的電子商務(wù)軟件，存在許多安全漏洞，防護(hù)極易被外來(lái)入侵者利用漏洞攻破，導(dǎo)致電子商務(wù)企業(yè)受到很大的經(jīng)濟(jì)損失；有的企業(yè)即使安裝了防護(hù)軟件，但由于軟件沒(méi)有得到及時(shí)升級(jí)，致使軟件喪失了應(yīng)有防護(hù)功能。

2.3 電子商務(wù)網(wǎng)絡(luò)自身存在安全問(wèn)題

網(wǎng)絡(luò)具有共享性、開(kāi)放性等特點(diǎn)，它的設(shè)計(jì)原則是確保信息傳輸不會(huì)受到局部損壞的影響。所以，對(duì)網(wǎng)站安全帶來(lái)了極大的隱患。特別是對(duì)電子商務(wù)企業(yè)情況更加嚴(yán)峻。

2.4 網(wǎng)站管理的缺失

由于電子商務(wù)企業(yè)缺乏警惕性，不重視網(wǎng)絡(luò)安全的管理，通常只有在受到攻擊以后才會(huì)去加強(qiáng)網(wǎng)站安全；部分企業(yè)則以為只要安裝了入侵監(jiān)測(cè)系統(tǒng)、殺毒軟件、防火墻等安全產(chǎn)品，就能保障網(wǎng)站的安全，所以沒(méi)有根據(jù)企業(yè)實(shí)際情況制定相應(yīng)的管理制度，也沒(méi)有加強(qiáng)技術(shù)防范，給入侵者提供了機(jī)會(huì)。

3 應(yīng)對(duì)的措施

電子商務(wù)安全問(wèn)題是在網(wǎng)絡(luò)化、電子化技術(shù)發(fā)展的前提下出現(xiàn)的，所以很多傳統(tǒng)的解決辦法不能簡(jiǎn)單地應(yīng)用過(guò)來(lái)。電子商務(wù)企業(yè)想要取得效益，就要從企業(yè)的健康發(fā)展出發(fā)，改善企業(yè)的安全管理，提高技術(shù)投入。具體的防范措施有： 　3.1 安全技術(shù)管理需要加強(qiáng)

需要重視電子商務(wù)網(wǎng)站的維護(hù)、升級(jí)等方面，做好每天的安全備份，加強(qiáng)網(wǎng)站服務(wù)器的管理。制定安全防范預(yù)案，只要發(fā)生安全事件，能夠得到盡快解決，從而減少損失。使用權(quán)威性較強(qiáng)的安全防護(hù)軟件，并能夠正常啟動(dòng)、正常升級(jí)，發(fā)揮應(yīng)有的防護(hù)功能。

3.2 在電子安全方面擴(kuò)大管理和技術(shù)投入

企業(yè)需要加大安全方面的資金投入，購(gòu)買(mǎi)技術(shù)防護(hù)設(shè)備，加大對(duì)技術(shù)改造與設(shè)備更新的投入。引進(jìn)安全管理的相關(guān)技術(shù)，招聘相應(yīng)的管理人才，并進(jìn)行適當(dāng)?shù)拇鰞A斜，確保安全管理團(tuán)隊(duì)的穩(wěn)定。

3.3 使用密碼管理技術(shù)

電子商務(wù)中最重要的防范環(huán)節(jié)是密碼管理，要使用先進(jìn)的密碼管理手段，確保能發(fā)揮特定的功能，重點(diǎn)有交易信息安全、身份認(rèn)證安全和賬戶安全等。

3.4 電子商務(wù)企業(yè)自身的管理需要得到強(qiáng)化

安全技術(shù)是電子商務(wù)企業(yè)的首要防范措施，但發(fā)揮其作用的關(guān)鍵還是嚴(yán)密的管理，只有建立完善的安全防范管理系統(tǒng)，才能保證企業(yè)的安全。所以電子商務(wù)企業(yè)，需要制定安全防護(hù)制度，保證明確職責(zé)；要有獎(jiǎng)懲制度，責(zé)任事故的時(shí)候，能夠做到及時(shí)追究，提高技術(shù)管理人員的責(zé)任意識(shí)。

篇10

論文關(guān)鍵詞：杭州師范大學(xué),錢(qián)江學(xué)院,畢業(yè)設(shè)計(jì),畢業(yè)論文,任務(wù)書(shū),示范

二、主要內(nèi)容和基本要求（指明本課題要解決的主要問(wèn)題和大體上可從哪幾個(gè)方面去研究和論述該主要問(wèn)題的具體要求）

論文基本內(nèi)容：

隨著國(guó)內(nèi)移動(dòng)通信的快速普及,基于手機(jī)等移動(dòng)終端的移動(dòng)商務(wù)應(yīng)運(yùn)而生,從而為旅游業(yè)開(kāi)辟出一條全新路徑。杭州作為一個(gè)旅游城市，論文可以從移動(dòng)電子商務(wù)的發(fā)展現(xiàn)狀入手，分析旅游業(yè)應(yīng)用移動(dòng)電子商務(wù)的情況，重點(diǎn)指出其存在的問(wèn)題，最后提出相應(yīng)的對(duì)策。

基本要求：

廣泛查閱資料；理論聯(lián)系實(shí)際；觀點(diǎn)正確；論文要言之有物，切忌空泛；嚴(yán)格遵守論文格式規(guī)范；按規(guī)定的進(jìn)度完成各項(xiàng)任務(wù)。

在撰寫(xiě)畢業(yè)論文期間，應(yīng)完成如下工作：

1、應(yīng)查閱大量的文獻(xiàn)資料（必須查閱15篇以上的參考文獻(xiàn)，其中，外文原文參考文獻(xiàn)至少2篇），于2011年1月15日前完成不少于2000字的文獻(xiàn)綜述和譯成中文后不少于2000字的外文譯稿，同時(shí)提供外文的封面、封底、目錄和所翻譯的正文的復(fù)印件。

2、在完成“文獻(xiàn)綜述”、“外文翻譯”的基礎(chǔ)上，進(jìn)行進(jìn)一步的研究，于1月30日前完成不少于2000字的開(kāi)題報(bào)告。

3、在同意開(kāi)題后，認(rèn)真撰寫(xiě)畢業(yè)論文，須在2010~2011第二學(xué)期開(kāi)學(xué)注冊(cè)時(shí)（2月19-20日）向指導(dǎo)老師上交不少于8000字的畢業(yè)論文（設(shè)計(jì)）完整初稿。

4、根據(jù)指導(dǎo)老師的指導(dǎo)意見(jiàn)，對(duì)論文進(jìn)行多次修改，直到指導(dǎo)老師認(rèn)為可以通過(guò)為止。

5、必須在2011年4月15日之前完成論文定稿（正文不少于8000字，不含附錄的字?jǐn)?shù)）。

6、認(rèn)真準(zhǔn)備論文答辯。

三、起止日期及進(jìn)度安排

起止日期：

2010

年

12

月

2

日 至

2011

年

5

月

14

日

進(jìn)度安排：

序號(hào)

時(shí)間

內(nèi)容

1

2011.1.5之前

確定論文題目、指導(dǎo)老師下達(dá)任務(wù)書(shū)

2

2011.1.6－2011.1.15

完成文獻(xiàn)綜述和外文翻譯定稿

3

2011.1.16－2011.1.30

完成開(kāi)題報(bào)告定稿

4

2011.1.31－2011.2.20

完成完整的論文初稿

5

2011.2.21－2011.4.15

進(jìn)行多次的論文修改，完成論文定稿

6

2011.3.1－2011.3.10

畢業(yè)論文中期檢查

7

2011.5.14

論文答辯

四、推薦參考文獻(xiàn)（理工科專業(yè)應(yīng)在5篇以上，文科類專業(yè)應(yīng)在8篇以上，其中外文文獻(xiàn)至少2篇。）

[1] 袁劍君, 陳志輝. 我國(guó)旅游信息化發(fā)展?fàn)顩r、問(wèn)題與對(duì)策[J]. 長(zhǎng)沙鐵道學(xué)院學(xué)報(bào)(社會(huì)科學(xué)版) , 2009,(01).

[2] 杭志, 徐德智, . 移動(dòng)電子商務(wù)中的服務(wù)組合研究[J]. 計(jì)算機(jī)技術(shù)與發(fā)展 , 2010,(04).

[3] 李文學(xué). 四川電信與省旅游局深度合作著力提升旅游信息化服務(wù)水平[J]. 通信與信息技術(shù) , 2010,(01).

[4] 蔡安寧, 尚正永, 馬明棟. 杭州旅游地理信息系統(tǒng)的開(kāi)發(fā)[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用 , 2007,(08).

[5] 杭志, 徐德智, . 移動(dòng)電子商務(wù)中的服務(wù)組合研究[J]. 計(jì)算機(jī)技術(shù)與發(fā)展 , 2010,(04) .

[6] 為移動(dòng)電子商務(wù)(M-commerce)做好準(zhǔn)備[J]. 信息方略 , 2008,(02)

[7] 汪禮俊, 廖瑾. 移動(dòng)電子商務(wù):現(xiàn)代生活的新詮釋[J]. 上海信息化 , 2010,(05).