前言：本站為你精心整理了電子商務(wù)安全建議范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢(xún)。

隨著信息技術(shù)的發(fā)展，架構(gòu)于互聯(lián)網(wǎng)網(wǎng)絡(luò)的商務(wù)活動(dòng)即電子商務(wù)得以普及，使經(jīng)濟(jì)全球化呈加速發(fā)展之勢(shì)，而經(jīng)濟(jì)全球化又刺激著電子商務(wù)加速發(fā)展。其涉及的領(lǐng)域從銀行、外貿(mào)、證券市場(chǎng)到貼近我們每個(gè)人的日常購(gòu)物，一場(chǎng)生活和技術(shù)的重大變革正在發(fā)生。

電子商務(wù)面臨的安全風(fēng)險(xiǎn)

電子商務(wù)的優(yōu)勢(shì)是明顯的，但電子商務(wù)安全性問(wèn)題卻日益突出。

任何在Internet上開(kāi)展業(yè)務(wù)的機(jī)構(gòu)都必須采取積極的步驟，確保系統(tǒng)有足夠的安全措施防止機(jī)密信息泄露和非法侵入所造成的損失。但I(xiàn)nternet本身就是基于開(kāi)放思想設(shè)計(jì)并逐步發(fā)展起來(lái)的。要想在Internet上實(shí)現(xiàn)絕對(duì)安全是困難的。Internet上實(shí)現(xiàn)電子商務(wù)面臨的風(fēng)險(xiǎn)主要來(lái)自機(jī)密關(guān)鍵數(shù)據(jù)安全及電子交易安全兩方面，具體到技術(shù)細(xì)節(jié)包含以下四個(gè)方面。

(1)數(shù)據(jù)的私有性和安全性。如果不采用特別的保護(hù)措施，包括電子郵件等在Internet中開(kāi)放傳輸?shù)臄?shù)據(jù)都可能被第三者監(jiān)視和閱讀?？紤]到巨大的傳輸量和難以計(jì)數(shù)的傳輸途徑，想任意竊聽(tīng)一組數(shù)據(jù)傳輸是不可能，但是一些設(shè)置在Web服務(wù)器的黑客程序卻可以查找和收集特定類(lèi)型的數(shù)據(jù)。這些數(shù)據(jù)包括信用卡、存款的帳號(hào)和相應(yīng)的口令。同時(shí)因?yàn)镮nternet的開(kāi)放性設(shè)計(jì)，數(shù)據(jù)私有性和安全性還包括數(shù)據(jù)傳輸之外的問(wèn)題，例如連入Internet的數(shù)據(jù)存儲(chǔ)網(wǎng)絡(luò)驅(qū)動(dòng)器的安全性，所以任何存儲(chǔ)在Web服務(wù)器上的數(shù)據(jù)必須采取保護(hù)措施。

(2)數(shù)據(jù)的完整性。由于Internet的開(kāi)放體系，如果具備了特定的知識(shí)和工具完全可以更改傳輸中的數(shù)據(jù)。同時(shí)要采取適當(dāng)?shù)拇嫒≡L(fǎng)問(wèn)控制，以保證數(shù)據(jù)存取系統(tǒng)的安全。在電子商務(wù)中務(wù)必保存數(shù)據(jù)最初的格式和內(nèi)容。

(3)認(rèn)證電子商務(wù)的具體實(shí)現(xiàn)中，首先要確認(rèn)當(dāng)前的通訊、交易和存取要求是合法的。例如Internet中的計(jì)算機(jī)系統(tǒng)的身份是由其IP地址確認(rèn)的。黑客通過(guò)IP欺騙，使用虛假的IP地址，從而達(dá)到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發(fā)匿名郵件，或者使用不真實(shí)的郵件用戶(hù)名。因此，在電子商務(wù)中必須建立嚴(yán)格的身份認(rèn)證機(jī)制以確保參加交易各方的身份真實(shí)有效。

(4)不可否認(rèn)性。不可否認(rèn)主要包含數(shù)據(jù)的原始記錄和發(fā)送記

錄，確認(rèn)數(shù)據(jù)已經(jīng)完成發(fā)送和接收，防止接收用戶(hù)更改原始記錄，防止用戶(hù)在已經(jīng)收到數(shù)據(jù)以后否認(rèn)收到數(shù)據(jù)，并拖延自己的下一步工作。為了保證交易過(guò)程的可操作性，必須采取可靠的方法確保交易過(guò)程的真實(shí)性，保證參加電子交易的各方承認(rèn)交易過(guò)程的合法性。

在我們把銀行的內(nèi)部網(wǎng)絡(luò)接入Internet以后，相應(yīng)地增加了許多可以訪(fǎng)問(wèn)銀行內(nèi)部網(wǎng)絡(luò)的節(jié)點(diǎn)。從理論上講從世界各個(gè)地方都可以實(shí)現(xiàn)對(duì)銀行內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)，這對(duì)銀行計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)和系統(tǒng)的安全性提出了更高的要求。這就需要我們采取嚴(yán)密的訪(fǎng)問(wèn)控制，禁止非法訪(fǎng)問(wèn)。電子商務(wù)中威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素有：破壞、更改或者盜竊數(shù)據(jù)；公開(kāi)機(jī)密信息；計(jì)算機(jī)系統(tǒng)崩潰；公共形象(如主頁(yè))被污損等。造成這些損失的因素有：黑客，公司內(nèi)部職員，電子商務(wù)軟件中的Bug，商業(yè)間諜等。

電子商務(wù)面臨的上述問(wèn)題主要是由對(duì)系統(tǒng)的非法入侵造成的。首先是網(wǎng)絡(luò)黑客，他們通過(guò)發(fā)現(xiàn)Web服務(wù)器、操作系統(tǒng)或者主頁(yè)部件在配置方面的漏洞，攻擊網(wǎng)絡(luò)系統(tǒng)。其次是內(nèi)部侵入，這主要是由企業(yè)IT部門(mén)的員工造成的，保護(hù)網(wǎng)絡(luò)的物理安全(如主控機(jī)房)及嚴(yán)格的口令管理制度是防范該類(lèi)問(wèn)題的關(guān)鍵。還有惡意代碼(如計(jì)算機(jī)病毒)，它們?cè)谄髽I(yè)的傳播會(huì)給電子商務(wù)系統(tǒng)造成嚴(yán)重的損失。另外值得關(guān)注的是計(jì)算機(jī)系統(tǒng)本身的問(wèn)題，例如由于電源造成的系統(tǒng)宕機(jī)，以及廣域網(wǎng)絡(luò)的通訊，這些都會(huì)直接造成服務(wù)的突然中止，影響電子商務(wù)的形象。我們還應(yīng)關(guān)注系統(tǒng)管理方面的問(wèn)題，有時(shí)電子商務(wù)出現(xiàn)的問(wèn)題既非黑客也非系統(tǒng)本身的毛病，而是源于對(duì)敏感數(shù)據(jù)處理不善或者是安全系統(tǒng)(如防火墻)的不正確配置。用戶(hù)的身份認(rèn)證是計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)工作，數(shù)字簽名加密等技術(shù)在這里可以充分起到作用。

保障電子商務(wù)系統(tǒng)安全的對(duì)策

(1)用戶(hù)識(shí)別文件和口令。許多互聯(lián)網(wǎng)研究機(jī)構(gòu)都將私有性和保密性列為電子商務(wù)的首要問(wèn)題。用戶(hù)識(shí)別文件和口令在Internet之前的大型主機(jī)時(shí)代，就已經(jīng)是安全的有效實(shí)現(xiàn)方法。在電子商務(wù)中，可以采用限制錯(cuò)誤登錄的次數(shù)、跟蹤錯(cuò)誤訪(fǎng)問(wèn)的辦法，保護(hù)用戶(hù)識(shí)別文件和口令的安全。

(2)數(shù)據(jù)加密。開(kāi)放的Internet本身并不提供安全的傳輸路徑，所以在電子商務(wù)中必須采用數(shù)據(jù)加密，保證帳戶(hù)和交易數(shù)據(jù)的安全。超文本安全傳輸協(xié)議S－HTTP和安全套接層協(xié)議SSL是在Web端與瀏覽器端實(shí)現(xiàn)加密的應(yīng)用技術(shù)，這兩種技術(shù)使得數(shù)據(jù)對(duì)于沒(méi)有密鑰的人是毫無(wú)用處的，并且易于在商業(yè)領(lǐng)域應(yīng)用。

(3)認(rèn)證授權(quán)和數(shù)字認(rèn)證CA是認(rèn)證授權(quán)中心(CertficateAuthority)的簡(jiǎn)稱(chēng)，它和數(shù)字認(rèn)證(DigitalCertificate)一起在電子商務(wù)的身份認(rèn)證、不可否認(rèn)性、數(shù)據(jù)私有加密鑰管理方面起著主要的作用。CA是交易雙方都信任的第三方機(jī)構(gòu)，由它來(lái)證明參加交易各方的身份。在交易過(guò)程中CA將自己的數(shù)字簽名附在所有的傳送消息和公共密鑰上。數(shù)字認(rèn)證指的是附有CA簽名的消息。參加交易方都必須信任CA，CA在交易前確認(rèn)所有各方的身份，可見(jiàn)CA的主要任務(wù)在于管理而不是技術(shù)。CA在電子商務(wù)中，起著法律仲裁的作用，其工作相當(dāng)于確定用戶(hù)的數(shù)字簽名能否得到法律的認(rèn)可。但是只有在CA擁有了仲裁權(quán)以后，這種認(rèn)證才有法律效應(yīng)。在電子商務(wù)的發(fā)展過(guò)程中，CA的重要作用正在日益顯現(xiàn)。

認(rèn)證中心與加密技術(shù)相結(jié)合產(chǎn)生了一種完全適合電子商務(wù)的加密技術(shù)安全電子交易SET。安全套接層SSL加密方法僅僅是實(shí)現(xiàn)了傳輸加密和數(shù)據(jù)完整性，相當(dāng)于在兩臺(tái)計(jì)算機(jī)之間建立一個(gè)安全的通道。而電子商務(wù)的要求則更高一點(diǎn)。例如用戶(hù)通過(guò)與商家連網(wǎng)，進(jìn)行支付和交易時(shí)，商家不應(yīng)該知道用戶(hù)的帳戶(hù)等信息，顯然SSL協(xié)議不能防止商家的欺詐。另外SSL協(xié)議也不保證交易各方身份的真實(shí)性和不可否認(rèn)性。SET的架構(gòu)是通過(guò)幾個(gè)成員所共同組成的，各個(gè)成員可以很好地模擬實(shí)際電子商務(wù)操作的角色，這些成員分別是電子錢(qián)包(ElectronicWallet)、商戶(hù)服務(wù)器(MerchantServer)、支付網(wǎng)關(guān)(PaymentGateway)和認(rèn)證中心(CertificationAuthority)。

SET通過(guò)認(rèn)證中心和認(rèn)證簽名確認(rèn)交易各方的真實(shí)身份，利用數(shù)字簽名保證交易的不可否認(rèn)性。SET的技術(shù)特點(diǎn)還有：①對(duì)訂單信息和支付信息進(jìn)行雙重簽名，這樣商家只能得到訂單信息，銀行只知道支付信息；②采用信息摘要技術(shù)保證了交易的完整性；③采用公鑰體系和密鑰體系結(jié)合進(jìn)行加密，而SSL只采用了公鑰體系。

SET已經(jīng)成為國(guó)際公認(rèn)的Internet電子商務(wù)的安全標(biāo)準(zhǔn)，非常詳細(xì)地反映了電子交易各方之間存在的各種關(guān)系。目前，一些廠(chǎng)商有專(zhuān)門(mén)的軟件產(chǎn)品與SET的各個(gè)角色相對(duì)應(yīng)。

(4)虛擬專(zhuān)用網(wǎng)(VPN)虛擬專(zhuān)用網(wǎng)是利用Internet公用網(wǎng)絡(luò)，通過(guò)隧道協(xié)議和安全方法傳輸企業(yè)專(zhuān)用數(shù)據(jù)的技術(shù)。虛擬專(zhuān)用網(wǎng)在傳送數(shù)據(jù)前將其加密，在接收端進(jìn)行解密，它的特點(diǎn)是不僅加密數(shù)據(jù)，而且加密接收雙方的網(wǎng)絡(luò)地址。同時(shí)VPN的用戶(hù)驗(yàn)證方法也提供了更高一級(jí)的遠(yuǎn)程訪(fǎng)問(wèn)安全性。

(5)路由器和防火墻。路由器是在Internet上確定數(shù)據(jù)包下一個(gè)網(wǎng)絡(luò)傳輸?shù)刂返木W(wǎng)絡(luò)設(shè)備，可能是專(zhuān)用的硬件設(shè)備，也可能是一個(gè)軟件。防火墻是企業(yè)專(zhuān)用網(wǎng)和Internet公共網(wǎng)的連接點(diǎn)，控制來(lái)往的數(shù)據(jù)流，對(duì)受到的攻擊進(jìn)行登錄、報(bào)告、報(bào)警。如果路由器和防火墻配置得當(dāng)，可以有效防范非法用戶(hù)。

(6)實(shí)施規(guī)劃和方法。實(shí)施規(guī)劃是在整個(gè)企業(yè)范圍內(nèi)，對(duì)內(nèi)、外部用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)文件進(jìn)行限制，確定企業(yè)計(jì)算機(jī)系統(tǒng)的拓樸結(jié)構(gòu)及關(guān)鍵數(shù)據(jù)的放置。在企業(yè)級(jí)的系統(tǒng)中，從硬件到軟件，從操作系統(tǒng)到數(shù)據(jù)庫(kù)，涉及各種各樣的系統(tǒng)。應(yīng)用的復(fù)雜性也在不斷增加，問(wèn)題也越來(lái)越多。如不同操作系統(tǒng)之間的資源共享，公共密鑰的集中管理等。對(duì)于這種情況可以采取管理器/器的結(jié)構(gòu)對(duì)系統(tǒng)安全進(jìn)行統(tǒng)一管理。在這種模式下，只要更改系統(tǒng)的配置要求就可以適應(yīng)系統(tǒng)結(jié)構(gòu)、規(guī)模的變化，從而實(shí)現(xiàn)了系統(tǒng)安全的統(tǒng)一管理。