电子商务安全电子商务安全措施有哪些

电子商务的安全性重要吗？

在电子商务中，安全性是一个至关重要的核心问题，它要求网络能提供一种端到端的安全解决方案，如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等，这与传统的商务活动有着很大的不同。

电子商务所面临的安全问题有哪些？

电子商务简单的说就是利用进行的交易活动，电子商务："电子"+"商务"，从电子商务的定义可以了解电子商务的安全也就相应的分为两个方面的安全：一方面是"电子"方面的安全，就是电子商务的开展必须利用来进行，而本身也属于计算机网络，所以电子商务的第一个方面的安全就是计算机网络的安全，它包括计算机网络硬件的安全与计算机网络软件的安全，计算机网络存在着很多安全威胁，也就给电子商务带来了安全威胁；另一方面是"商务"方面的安全，是把传统的商务活动在上开展时，由干存着很多安全隐患给电子商务带来了安全威胁，简称为"商务交易安全威胁"。

这两个方面的安全威胁也就给电子商务带来了很多安全问题： 　　（一）计算机网络安全威胁 　　电子商务包含"三流"：信息流、资金流、物流，"三流"中以信息流为核心为最重要，电子商务正是通过信息流为带动资金流、物流的完成。

电子商务跟传统商务的最重要的区别就是以计算机网络来传递信息，促进信息流的完成。

计算机网络的安全必将影响电子商务中的"信息流"的传递，势必影响电子商务的开展。

计算机网络存在以下安全威胁： 　　1、黑客攻击 　　黑客攻击是指黑客非法进入网络，非法使用网络资源。

随着互联网的发展，黑客攻击也是经常发生，防不胜防，黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、窃取信息等进行相关危害活动。

2003年，仅美国国防部的"五角大楼"就受到了了230万次对其网络的尝试性攻击。

从这里可以看出，目前黑客攻击已成为了电子商务中计算机网络的重要安全威胁。

　　2、计算机病毒的攻击 　　病毒是能够破坏计算机系统正常进行，具有传染性的一段程序。

随着互联网的发展，病毒利用互联网，使得病毒的传播速度大大加快，它侵入网络，破坏资源，成为了电子商务中计算机网络的又一重要安全威胁。

　　3、拒绝服务攻击 　　拒绝服务攻击（DoS）是一种破坏性的攻击，它是一个用户采用某种手段故意占用大量的网络资源，使系统没有剩余资源为其他用户提供服务的攻击。

目前具有代表性的拒绝服务攻击手段包括SYNflood、ICMPflood、UDPflood等。

随着互联网的发展，拒绝服务攻击成为了网络安全中的重要威胁。

　　（二）商务交易安全威胁 　　把传统的商务活动在上进行，由于本身的特点，存在着很多安全威胁，给电子商务带来了安全问题。

的产生源于计算机资源共享的需求，具有很好的开放性，但正是由子它的开放性，使它产生了更严重的安全问题。

存在以下安全隐患： 　　1、开放性 　　开放性和资源共享是最大的特点，但它的问题却不容忽视的。

正是这种开放性给电子商务带来了安全威胁。

　　2、缺乏安全机制的传输协议 　　TCP／IP协议是建立在可信的环境之下，缺乏相应的安全机制，这种基于地址的协议本身就会泄露口令，根本没有考虑安全问题；TCP／IP协议是完全公开的，其远程访问的功能使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等这些性质使网络更加不安全。

　　3、软件系统的漏洞 　　随着软件系统规模的不断增大，系统中的安全漏洞或"后门"也不可避免的存在。

如cookie程序、JAVA应用程序、IE浏览器等这些软件与程序都有可能给我们开展电子商务带来安全威胁。

　　4、信息电子化 　　电子化信息的固有弱点就是缺乏可信度，电子信息是否正确完整是很难由信息本身鉴别的，而且在传递电子信息，存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。

　　（三）计算机网络安全威胁与商务交易安全威胁给电子商务带来的安全问题 　　1、信息泄露 　　在电子商务中表现为商业机密的泄露，以上计算机网络安全威胁与的安全隐患可能使得电子商务中的信息泄漏，主要包括两个方面：（1）交易一方进行交易的内容被第三方窃取。

（2）交易一方提供给另一方使用的文件第三方非法使用。

　　2、篡改 　　正是由于以上计算机网络安全威胁与的安全隐患，电子的交易信息在网络上传输的过程中，可能被他人非法地修改、删除或重放（指只能使用一次的信息被多次使用），这样就使信息失去了真实性和完整性。

　　3、身份识别 　　正是由于电子商务交易中交易两方通过网络来完成交易，双方互不见面、互不认识，计算机网络的安全威胁与的安全隐患，也可能使得电子商务交易中出现身交易身份伪造的问题。

　　4、信息破坏 　　计算机网络本身容易遭到一些恶意程序的破坏，如计算机病毒、特洛伊木马程序、逻辑炸弹等，导致电子商务中的信息在传递过程被破坏。

　　5、破坏信息的有效性 　　电子商务中的交易过程中是以电子化的信息代替纸面信息，这些信息我们也必须保证它的时间的有效与本身信息的有效，必须能确认该信息确是由交易一方签发的，计算机网络安全威胁与的安全隐患，使得我们很难保证电子商务中的信息有效性。

　　6、泄露个人隐私 　　隐私权是参与电子商务的个人非常关心的一个问题。

参与到电子商务中的个人就必须提供个人信息，计算机网络安全威胁与的安全隐患有可能导致个人信息泄露，破坏到个人隐私。

电子商务安全

本书内容分为8章。

第1章介绍电子商务安全的基本概念、电子商务安全系统的体系结构及相关技术；第2章介绍信息加密技术与应用；第3章介绍计算机网络安全技术，包括防火墙、虚拟专用网、病毒知识等；第4章介绍公钥基础设施；第5章介绍电子支付技术；第6章介绍安全套接层协议，包括认证算法、实现和协议分析等；第7章介绍电子商务安全的SET安全电子交易协议；第8章介绍其他电子商务安全技术，包括无线电子商务安全技术、信息隐藏、数字水印和数字版权。

本书可作为电子商务、信息管理、计算机、国际贸易类专业本科生和研究生的教材，也可以作为相关领域高级管理人员的培训教材或参考用书。

电子商务安全技术 本书目录 第1章电子商务安全概论 第2章信息加密技术与应用 第3章计算机网络安全 第4章公钥基础设施 第5章电子支付技术 第6章安全套接层协议SSL 第7章安全电子交易协议SET 第8章其他电子商务安全技术 参考文献

电子商务安全的管理方法有哪些

电子商务的安全技术 1.1 加密技术 加密技术是保证电子商务安全的重要手段,为保证电子商务安全使用加密技术对敏感的信息进行加密,保证电子商务的保密性,完整性,真实性和非否认服务. 1.1.1 加密技术的现状 如同许多IT技术一样,加密技术层出不穷,为人们提供了很多的选择余地,但与此同时也带来了一个问题——兼容性,不同的企业可能会采用各自不同的标准. 另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制.目前,美国的企业一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口.虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多.美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾.目前,我国由上海市电子商务安全证书管理中心推出的128位SSL算法,弥补了国内的这一空缺,也为我国电子商务安全带来了广阔的前景. 11.2 常用的加密技术 对称密钥密码算法:对称密码体制由传统简单换位代替密码发展而成,加密模式上可分为序列密码和分组密码两类. 不对称型加密算法:也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,两者必须成对使用才能完成加密和解密的全过程.本技术特别适用于分布式系统中的数据加密,在网络中被广泛应用.其中公用密钥公开,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的接受方保管. 不可逆加密算法:其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入同样的数据经过同一不可逆加密算法的比对才能得到相同的加密数据.因为其没有密钥所以不存在密钥保管和分发问题,但由于它的加密计算工作量较大,所以通常只在数据量有限的情况下,例如计算机系统中的口令信息的加密. 1.1.3 电子商务领域常用的加密技术 数字摘要:又称安全Hash编码法.该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致. 数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用.它的主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要).发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方.报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密.如果两个散列值相同,那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性,有效地防止了签名的否认和非正当签名者的假冒. 数字时间戳:是对交易文件的时间信息所采取的安全措施.该网上安全服务项目,由专门的机构提供.时间戳是一个经加密后形成的凭证文档,它包括:需加时间戳的文件的摘要,数字时间戳服务收到文件的日期和时间,数字时间戳服务的数字签名. 数字证书:数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限,主要有个人凭证,企业(服务器)凭证,软件(开发者)凭证三种. 1.2 身份认证技术 在网络上通过一个具有权威性和公正性的第三方机构——认证中心,将申请用户的标识信息(如姓名,身份证号等)与他的公钥捆绑在一起,用于在网络上验证确定其用户身份.前面所提到的数字时间戳服务和数字证书的发放,也都是由这个认证中心来完成的. 1.3 支付网关技术 支付网关,通常位于公网和传统的银行网络之间(或者终端和收费系统之间),其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密.支付网关技术主要完成通信,协议转换和数据加解密功能,并且可以保护银行内部网络.此外,支付网关还具有密钥保护和证书管理等其它功能(有些内部使用网关还支持存储和打印数据等扩展功能). 2 与电子商务安全有关的协议技术 2.1 SSL协议(Secure Sockets Layer) SSL协议也叫安全套接层协议,面向连接的协议,是现在使用的主要协议之一,但当初并非为电子商务而设计.该协议使用公开密钥体制和X.509数字证书技术来保护信息传输的机密性和完整性.SSL协议在应用层收发数据前,协商加密算法,连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如HTTP,FTP,TELNET等)以保证应用层数据传输的安全性.由于其独立于应用层协议,在电子交易中常被用来安全传送信用卡号码,但由于它是个面向连接的协议,只适合于点对点之间的信息传输,即只能提供两方的认证,而无法满足现今主流的加入了认证方的三方协作式商务模式,因此在保证信息的不可抵赖性上存在着缺陷. 2.2 SET协议(Secure Electronic Transaction) SET协议也叫安全电子交易,对基于信用卡进行电子化交易的应用提供了实现安全措施的规则,与SSL协议相比较,做了些改进.在商务安全问题中,往往持卡人希望在交易中对自己的交易信息保密,使之不会被人窃取,商家希望客户的定单真实有效,并且在交易过程中,交易各方都希望验明对方的身份,以防止被欺骗.针对这种情况,Visa和MasterCard两大信用卡组织以及微软等公司共同制定了SET协议,一个能保证通过开放网络(包括)进行安全资金支付的技术标准.它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性.由于SET 提供了消费者,商家和银行之间的认证,弥补了SSL的不足,确保了交易数据的安全性,完整性,可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡网上交易的国际安全标准. 除此之外还有安全超文本传输协议(SHTTP),安全交易技术协议(STT)等.协议为电子商务提供了规范

电子商务安全是什么？

【论文摘要】安全是电子商务健康发展的关键因素，电子商务系统安全的问题是电子商务活动中的重要保障。

本文主要介绍电子商务系统中的安全问题、网络安全技术、密码技术基础知识与信息认证技术、电子商务安全体系与安全交易标准。

【关键词】电子商务安全、网络安全技术、密码技术 一、计算机网络面临的安全性威胁主要给电子商务带来了一下的安全问题： 1、信息泄露 （1）交易双方的内容被第三方窃取 （2）交易一方提供给另一方使用的文件被第三方非法使用。

2、篡改 电子交易信息在网络上传输的过程中，可能被他人非法地修改、删除或重放，失去了真实性和完整性。

3、身份识别 4、信息破坏 （1）网络传输的可靠性； （2）恶意破坏。

二、 网络安全技术： 主要是从防火墙技术及路由技术等方面来阐述网络安全的一些特点。

1、防火墙技术 “防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway),从而保护内部网免受非法用户的侵入。

所谓防火墙就是一个把互联网与内部网隔开的屏障。

防火墙有二类, 标准防火墙和双家网关。

标准防火墙系统包括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。

其中一个路由器的接口是外部世界, 即公用网; 另一个则联接内部网。

标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。

双家网关(dual home gateway) 则是标准防火墙的扩充,又称堡垒主机(bation host) 或应用层网关(applications layer gateway), 它是一个单个的系统, 但却能同时完成标准防火墙的所有功能。

其优点是能运行更复杂的应用, 同时防止在互联网和内部系统之间建立的任何直接的边疆, 可以确保数据包不能直接从外部网络到达内部网络,反之亦然。

随着防火墙技术的进步, 双家网关的基础上又演化出两种防火墙配置, 一种是隐蔽主机网关, 另一种是隐蔽智能网关( 隐蔽子网)。

隐蔽主机网关是当前一种常见的防火墙配置。

顾名思义,这种配置一方面将路由器进行隐蔽, 另一方面在互联网和内部网之间安装堡垒主机。

堡垒主机装在内部网上, 通过路由器的配置, 使该堡垒主机成为内部网与互联网进行通信的唯一系统。

目前技术最为复杂而且安全级别最商的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。

隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问者对专用网络的非法访问。

一般来说, 这种防火墙是最不容易被破坏的。

2、电子商务所涉及的安全技术 （一）、访问控制技术 访问控制是指对网络中的某些资源的访问要进行控制，只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。

（二）、密码技术 保证电子商务安全的最重要的一点就是使用面膜技术对敏感的信息进行加密，如密钥加密（如3DES、IDEA、RC4和RC5）和公钥加密（如RSA、SEEK、PGP、EU）可用来保证电子商务的保密性、完整性、真实性和不可否认服务。

（三）、数字认证技术 数字认证也称数字签名，即用电子方式来证明信息发送者和接收者的身份、文件的完整性，甚至数据媒体的有效性（如录音、照片等）。

（四）、密钥管理技术 对称加密时基于共同保守秘密来实现。

采用对称加密技术的贸易栓放必须要保证采用的是相同的密钥，要保证彼此密钥的交换时安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。

（五）、CA技术 所谓认知结构体系是指一些不直接从电子商务贸易中获利的受法律承认的可信任的权威机构，负责发放和管理电子证书，使网上通信的各方互相确认身份。

三、密码技术基础知识与信息认证技术 采用密码技术对信息加密，是最常用的安全交易手段。

在电子商务中获得广泛应用的加密技术有以下两种： （1）公共密钥和私用密钥（public key and private key） 这一加密方法亦称为RSA编码法，是由Rivest、Shamir和Adlernan三人所研究发明的。

它利用两个很大的质数相乘所产生的乘积来加密。

这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。

但要用一个质数来求出另一个质数，则是十分困难的。

因此将这一对质数称为密钥对(Key Pair)。

在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后只有用该用户一个人知道的私用密钥才能解密。

具有数字凭证身份的人员的公共密钥可在网上查到，亦可在请对方发信息时主动将公共密钥传给对方，这样保证在上传输信息的保密和安全。

电子商务安全措施有哪些

就整个系统而言，安全性可以分为四个层次 　　1．网络节点的安全 　　2．通讯的安全性 　　3．程序的安全性 　　4．用户的认证管理 其中2、3、4层是通过操作系统和Web服务器软件实现，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。

　　一、网络节点的安全 　　1．防火墙 　　防火墙是在连接和保证安全最为有效的，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。

通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的系统。

　　2．防火墙安全策略 　　应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。

安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。

所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。

仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

　　3．安全操作系统 　　防火墙是基于操作系统的。

如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。

所以，要保证防火墙发挥作用，必须保证操作系统的安全。

只有在安全操作系统的基础上，才能充分发挥防火墙的功能。

在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。

　　二、通讯的安全 　　1．数据通讯 　　通讯的安全主要依靠对通信数据的加密来保证。

在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。

电子商务系统的数据通信主要存在于： 　　（1）客户浏览器端与电子商务WEB服务器端的通讯； 　　（2）电子商务WEB服务器与电子商务数据库服务器的通讯； 　　（3）银行内部网与业务网之间的数据通讯。

其中（3）不在本系统的安全策略范围内考虑。

2．安全链路 在客户端浏览器和商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。

采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。

为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。

浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。

建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。

验证个人证书是为了验证来访者的合法身份。

而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。

验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。

此时浏览器也会出进入安全状态的提示。

三、程序的安全性 即使正确地配置了访问控制规则，要满足机系统的安全性也是不充分的，因为编程错误也可能引致攻击。

程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。

整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运 行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。

不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。

　　这些缺点都被使用到攻击系统的行为中。

不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。

缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。

程序不检查输入字符串长度。

假的输入字符串常常是可执行的命令，特权程序可以执行指令。

程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。

例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。

访问控制系统中没有什么可以检测到这些。

只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。

　　四、用户的认证管理 　　1．身份认证 　　电子商务用户身份认证可以通过服务器CA证书与IC卡相结合实现的。

CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。

个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

　　2．CA证书 　　要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。

CA中心一般是公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。

建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。

验证个人证书是为了验证来访者的合法身份。

而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。

　　五、安全管理 　　为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。

　　对于所有接触系统的人员，按其职责设定其访问系统的最小权限。

　　按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。

　　建立安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。

定期检查日志，以便及时发现潜在的安全威胁。

　　对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

　　安全实际上就是一种风险管理。

任何技术手段都不能保证1OO％的安全。

但是，安全技术可以降低系统遭到破坏、攻击的风险。

决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。