前言：本站為你精心整理了電子商務(wù)安全管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]Intenet所具有的開放性是電子商務(wù)方便快捷、廣泛傳播的基礎(chǔ)，而開放性本身又會使網(wǎng)上交易面臨種種危險。安全問題始終是電子商務(wù)的核心和關(guān)鍵問題。

[關(guān)鍵詞]電子商務(wù)安全網(wǎng)絡(luò)安全商務(wù)安全

2003年對中國來說是個多事之秋，先是SARS肆虐后接高溫威脅。但對電子商務(wù)來說，卻未必不是好事：更多的企業(yè)、個人及其他各種組織，甚至包括政府都在積極地推動電子商務(wù)的發(fā)展，越來越多的人投入到電子商務(wù)中去。電子商務(wù)是指發(fā)生在開放網(wǎng)絡(luò)上的商務(wù)活動，現(xiàn)在主要是指在Internet上完成的電子商務(wù)。

Intenet所具有的開放性是電子商務(wù)方便快捷、廣泛傳播的基礎(chǔ)，而開放性本身又會使網(wǎng)上交易面臨種種危險。一個真正的電子商務(wù)系統(tǒng)并非單純意味著一個商家和用戶之間開展交易的界面，而應(yīng)該是利用Web技術(shù)使Web站點與公司的后端數(shù)據(jù)庫系統(tǒng)相連接，向客戶提供有關(guān)產(chǎn)品的庫存、發(fā)貨情況以及賬款狀況的實時信息，從而實現(xiàn)在電子時空中完成現(xiàn)實生活中的交易活動。這種新的完整的電子商務(wù)系統(tǒng)可以將內(nèi)部網(wǎng)與Internet連接，使小到本企業(yè)的商業(yè)機(jī)密、商務(wù)活動的正常運轉(zhuǎn)，大至國家的政治、經(jīng)濟(jì)機(jī)密都將面臨網(wǎng)上黑客與病毒的嚴(yán)峻考驗。因此，安全性始終是電子商務(wù)的核心和關(guān)鍵問題。

電子商務(wù)的安全問題，總的來說分為二部分：一是網(wǎng)絡(luò)安全，二是商務(wù)安全。計算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計算機(jī)網(wǎng)絡(luò)設(shè)備安全，計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，數(shù)據(jù)庫安全，工作人員和環(huán)境等。其特征是針對計算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)安全則緊緊圍繞傳統(tǒng)商務(wù)在Internet上應(yīng)用時產(chǎn)生的各種安全問題，在計算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。即實現(xiàn)電子商務(wù)的保密性，完整性，可鑒別性，不可偽造性和不可依賴性。

一、網(wǎng)絡(luò)安全問題

一般來說，計算機(jī)網(wǎng)絡(luò)安全問題是計算機(jī)系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計算機(jī)網(wǎng)絡(luò)的潛在威脅。一方面，計算機(jī)系統(tǒng)硬件和通信設(shè)施極易遭受自然環(huán)境的影響（如溫度、濕度、電磁場等）以及自然災(zāi)害和人為（包括故意破壞和非故意破壞）的物理破壞；另一方面計算機(jī)內(nèi)的軟件資源和數(shù)據(jù)易受到非法的竊取、復(fù)制、篡改和毀壞等攻擊；同時計算機(jī)系統(tǒng)的硬件、軟件的自然損耗等同樣會影響系統(tǒng)的正常工作，造成計算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)信息的損壞、丟失和安全事故。

二、計算機(jī)網(wǎng)絡(luò)安全體系

一個全方位的計算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線，極大地增加了惡意攻擊的難度，并增加了審核信息的數(shù)量，利用這些審核信息可以跟蹤入侵者。

在實施網(wǎng)絡(luò)安全防范措施時，首先要加強(qiáng)主機(jī)本身的安全，做好安全配置，及時安裝安全補(bǔ)丁程序，減少漏洞；其次要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的安全隱患，并及時加以修補(bǔ)；從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強(qiáng)授權(quán)管理和認(rèn)證；利用RAID5等數(shù)據(jù)存儲技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施。

對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行強(qiáng)度的數(shù)據(jù)加密；安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施；建立詳細(xì)的安全審計日志，以便檢測并跟蹤入侵攻擊等。

網(wǎng)絡(luò)安全技術(shù)是伴隨著網(wǎng)絡(luò)的誕生而出現(xiàn)的，但直到80年代末才引起關(guān)注，90年代在國外獲得了飛速的發(fā)展。近幾年頻繁出現(xiàn)的安全事故引起了各國計算機(jī)安全界的高度重視，計算機(jī)網(wǎng)絡(luò)安全技術(shù)也因此出現(xiàn)了日新月異的變化。安全核心系統(tǒng)、VPN安全隧道、身份認(rèn)證、網(wǎng)絡(luò)底層數(shù)據(jù)加密和網(wǎng)絡(luò)入侵主動監(jiān)測等越來越高深復(fù)雜的安全技術(shù)極大地從不同層次加強(qiáng)了計算機(jī)網(wǎng)絡(luò)的整體安全性。安全核心系統(tǒng)在實現(xiàn)一個完整或較完整的安全體系的同時也能與傳統(tǒng)網(wǎng)絡(luò)協(xié)議保持一致。它以密碼核心系統(tǒng)為基礎(chǔ)，支持不同類型的安全硬件產(chǎn)品，屏蔽安全硬件以變化對上層應(yīng)用的影響，實現(xiàn)多種網(wǎng)絡(luò)安全協(xié)議，并在此之上提供各種安全的計算機(jī)網(wǎng)絡(luò)應(yīng)用。

互聯(lián)網(wǎng)已經(jīng)日漸融入到人類社會的各個方面中，網(wǎng)絡(luò)防護(hù)與網(wǎng)絡(luò)攻擊之間的斗爭也將更加激烈。這就對網(wǎng)絡(luò)安全技術(shù)提出了更高的要求。未來的網(wǎng)絡(luò)安全技術(shù)將會涉及到計算機(jī)網(wǎng)絡(luò)的各個層次中，但圍繞電子商務(wù)安全的防護(hù)技術(shù)將在未來的幾年中成為重點，如身份認(rèn)證，授權(quán)檢查，數(shù)據(jù)安全，通信安全等將對電子商務(wù)安全產(chǎn)生決定性影響。

三、商務(wù)安全要求

作為一個成功的電子商務(wù)系統(tǒng)，首先要消除客戶對交易過程中安全問題的擔(dān)心才能夠吸引用戶通過WEB購買產(chǎn)品和服務(wù)。使用者擔(dān)心在網(wǎng)絡(luò)上傳輸?shù)男庞每皞€人資料被截取，或者是不幸遇到“黑店”，信用卡資料被不正當(dāng)運用；而特約商店也擔(dān)心收到的是被盜用的信用卡號碼，或是交易不認(rèn)賬，還有可能因網(wǎng)絡(luò)不穩(wěn)定或是應(yīng)用軟件設(shè)計不良導(dǎo)致被黑客侵入所引發(fā)的損失。由于在消費者、特約商店甚至與金融單位之間，權(quán)責(zé)關(guān)系還未徹底理清，以及每一家電子商場或商店的支付系統(tǒng)所使用的安全控管都不盡相同，于是造成使用者有無所適從的感覺，因擔(dān)憂而猶豫不前。因些，電子商務(wù)順利開展的核心和關(guān)鍵問題是保證交易的安全性，這是網(wǎng)上交易的基礎(chǔ)，也是電子商務(wù)技術(shù)的難點。

用戶對于安全的需求主要包括以下幾下方面：

1.信息的保密性。交易中的商務(wù)信息均有保密的要求。如信用卡的賬號和用戶被人知悉，就可能被盜用；定貨和付款信息被競爭對手獲悉，就可能喪失商機(jī)。因此在電子商務(wù)中的信息一般都有加密的要求。

2.交易者身份的確定性。網(wǎng)上交易的雙方很可能素昧平生，相隔千里。因此，要使交易能夠成功，首先要想辦法確認(rèn)對方的身份。對商家而言，要考慮客戶端是否是騙子，而客戶也會擔(dān)心網(wǎng)上的商店是否是黑店。因此，能方便而可靠地確認(rèn)對方身份是交易的前提。

3.交易的不可否認(rèn)性。交易一旦達(dá)成，是不能被否認(rèn)的，否則必然會損害一方的利益。因此電子交易過程中通信的各個環(huán)節(jié)都必須是不可否認(rèn)的。主要包括：源點不可否認(rèn)：信息發(fā)送者事后無法否認(rèn)其發(fā)送了信息。接收不可否認(rèn)：信息接收方無法否認(rèn)其收到了信息?；貓?zhí)不可否認(rèn)：發(fā)送責(zé)任回執(zhí)的各個環(huán)節(jié)均無法推脫其應(yīng)負(fù)的責(zé)任。

4.交易內(nèi)容的完整性。交易的文件是不可以被修改的，否則必然會損害交易的嚴(yán)肅性和公平性。

5.訪問控制。不同訪問用戶在一個交易系統(tǒng)中的身份和職能是不同的，任何合法用戶只能訪問系統(tǒng)中授權(quán)和指定的資源，非法用戶將拒絕訪問系統(tǒng)資源。

四、電子商務(wù)安全交易標(biāo)準(zhǔn)

近年來，針對電子交易安全的要求，IT業(yè)界與金融行業(yè)一起，推出不少有效的安全交易標(biāo)準(zhǔn)和技術(shù)。主要的協(xié)議標(biāo)準(zhǔn)有：

1.安全超文本傳輸協(xié)議（S—HTTP）：依靠對密鑰的加密，保障Web站點間的交易信息傳輸?shù)陌踩浴?/p>

2.安全套接層協(xié)議（SSL）：由Netscape公司提出的安全交易協(xié)議，提供加密、認(rèn)證服務(wù)和報文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器，以完成需要的安全交易操作。

3.安全交易技術(shù)協(xié)議（STT，SecureTransactionTechnology）：由Microsoft公司提出，STT將認(rèn)證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft在InternetExplorer中采用這一技術(shù)。

4.安全電子交易協(xié)議（SET，SecureElectronicTransaction）:1996年6月，由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標(biāo)準(zhǔn)SET公告，并于1997年5月底了SETSpecificationVersion1.0，它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認(rèn)證、數(shù)據(jù)簽名等。SET2.0預(yù)計今年，它增加了一些附加的交易要求。這個版本是向后兼容的，符合SET1.0的軟件并不必要跟著升級，除非它需要新的交易要求。SET規(guī)范明確的主要目標(biāo)是保障付款安全，確定應(yīng)用之互通性，并使全球市場接受。

所有這些安全交易標(biāo)準(zhǔn)中，SET標(biāo)準(zhǔn)以推廣利用信用卡支付網(wǎng)上交易，而廣受各界矚目，它將成為網(wǎng)上交易安全通信協(xié)議的工業(yè)標(biāo)準(zhǔn)，有望進(jìn)一步推動Internet電子商務(wù)市場。

五、商務(wù)安全的關(guān)鍵CA認(rèn)證

怎樣解決電子商務(wù)安全問題呢？國際通行的做法是采用CA安全認(rèn)證系統(tǒng)。CA是CertificateAuthority的縮寫，是證書授權(quán)的意思。在電子商務(wù)系統(tǒng)中，所有實體的證書都是由證書授權(quán)中心即CA中心分發(fā)并簽名的。一個完整、安全的電子商務(wù)系統(tǒng)必須建立起一個完整、合理的CA體系。CA機(jī)構(gòu)應(yīng)包括兩大部門：一是審核授權(quán)部門，它負(fù)責(zé)對證書申請者進(jìn)行資格審查，決定是否同意給該申請者發(fā)放證書，并承擔(dān)因?qū)徍隋e誤引起的一切后果，因此它應(yīng)由能夠承擔(dān)這些責(zé)任的機(jī)構(gòu)擔(dān)任；另一個是證書操作部門，負(fù)責(zé)為已授權(quán)的申請者制作、發(fā)放和管理證書，并承擔(dān)因操作運營所產(chǎn)生的一切后果，包括失密和為沒有獲得授權(quán)者發(fā)放證書等，它可以由審核授權(quán)部門自己擔(dān)任，也可委托給第三方擔(dān)任。

CA體系主要解決幾大問題：1.解決網(wǎng)絡(luò)身份證的認(rèn)證以保證交易各方身份是真實的；2.解決數(shù)據(jù)傳輸?shù)陌踩砸员ＷC在網(wǎng)絡(luò)中流動的數(shù)據(jù)沒有受到破壞或篡改；3.解決交易的不可抵賴性以保證對方在網(wǎng)上說的話是真實的。

需要注意的是，CA認(rèn)證中心并不是安全機(jī)構(gòu)，而是一個發(fā)放”身份證”的機(jī)構(gòu)，相當(dāng)于身份的”公證處”。因此，企業(yè)開展電子商務(wù)不僅要依托于CA認(rèn)證機(jī)構(gòu)，還需要一個專業(yè)機(jī)構(gòu)作為外援來解決配置什么安全產(chǎn)品、怎樣設(shè)置安全策略等問題。外援的最合適人選當(dāng)然非那些提供信息安全軟硬件產(chǎn)品的廠商莫屬了。好的IT廠商，會讓用戶在部署安全策略時少走許多彎路。在選擇外援時，用戶為了節(jié)省成本，避免損失，應(yīng)該把握幾個基本原則：1.要知道自己究竟需要什么;2.要了解廠商的信譽(yù);3.要了解廠商推薦的安全產(chǎn)品;4.用戶要有一雙”火眼金睛”，對項目的實施效果能夠正確加以評估。有了這些基本的安全思路，用戶可以少走許多彎路。

六、相應(yīng)法律法規(guī)

電子商務(wù)要健康有序地發(fā)展，就像傳統(tǒng)商務(wù)一樣，也必須有相應(yīng)的法律法規(guī)作后盾。商務(wù)過程中不可避免地會產(chǎn)生一些矛盾，電子商務(wù)也一樣。在電子商務(wù)中，合同的意義和作用沒有發(fā)生改變，但其形式卻發(fā)生了極大的變化，1.訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作，其信用依靠密碼的辨認(rèn)或認(rèn)證機(jī)構(gòu)的認(rèn)證。2.傳統(tǒng)合同的口頭形式在貿(mào)易上常常表現(xiàn)為店堂交易，并將商家所開具的發(fā)票作為合同的依據(jù)。而在電子商務(wù)中標(biāo)的額較小、關(guān)系簡單的交易沒有具體的合同形式，表現(xiàn)為直接通過網(wǎng)絡(luò)訂購、付款，例如利用網(wǎng)絡(luò)直接購買軟件。3.表示合同生效的傳統(tǒng)簽字蓋章方式被數(shù)字簽名所代替。

電子商務(wù)合同形式的變化，對于世界各國都帶來了一系列法律新問題。電子商務(wù)作為一種新的貿(mào)易形式，與現(xiàn)存的合同法發(fā)生矛盾是非常容易理解的事情。但對于法律法規(guī)來說，就有一個怎樣修改并發(fā)展現(xiàn)存合同法，以適應(yīng)新的貿(mào)易形式的問題。

小結(jié)

在計算機(jī)互聯(lián)網(wǎng)絡(luò)上實現(xiàn)的電子商務(wù)交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務(wù)系統(tǒng)在保證其計算機(jī)網(wǎng)絡(luò)硬件平臺和系統(tǒng)軟件平臺安全的基礎(chǔ)上，應(yīng)該還具備以下特點：強(qiáng)大的加密保證；使用者和數(shù)據(jù)的識別和鑒別；存儲和加密數(shù)據(jù)的保密；連網(wǎng)交易和支付的可靠；方便的密鑰管理；數(shù)據(jù)的完整、防止抵賴。電子商務(wù)對計算機(jī)網(wǎng)絡(luò)安全與商務(wù)安全的雙重要求，使電子商務(wù)安全的復(fù)雜程度比大多數(shù)計算機(jī)網(wǎng)絡(luò)更高，因此電子商務(wù)安全應(yīng)作為安全工程，而不是解決方案來實施。

參考文獻(xiàn)：

[1]《電子商務(wù)基礎(chǔ)》尚建成主編高等教育出版社出版2000.9

[2]張小兵:《商業(yè)研究》中的《我國電子商務(wù)發(fā)展現(xiàn)狀及存在問題與對策》，2000年2期

[3]《電子商務(wù)》翟才喜楊敬杰主編東北財經(jīng)大學(xué)出版社2002.2