前言：本站為你精心整理了電子商務(wù)安全系統(tǒng)管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要］隨著電子商務(wù)這一新的商務(wù)模式逐漸為社會各界所接受并應(yīng)用，電子商務(wù)系統(tǒng)安全日益成為電子商務(wù)發(fā)展過程中的一個“瓶頸”。如何建立一個安全本文、便捷的電子商務(wù)應(yīng)用環(huán)境，已成為人們熱切關(guān)注的焦點。本文分別從管理和技術(shù)的角度闡述了解決電子商務(wù)系統(tǒng)安全的方法。

[關(guān)鍵詞]電子商務(wù)系統(tǒng)安全安全對策安全技術(shù)

2003年2月初，美國一名計算機黑客攻破了一家負責(zé)商家處理信用卡交易業(yè)務(wù)的企業(yè)數(shù)據(jù)庫，致使萬事達、維薩、運通這世界三大信用卡組織的800多萬用戶的信用卡信息被盜用，造成幾千萬美元的損失，構(gòu)成有史以來最大的信用卡資料泄密事件。世界上最大的、最安全的信用卡組織的賬戶信息都被泄密，可見網(wǎng)絡(luò)黑客有多么可怕。如何如何建立一個安全的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護，已成為人們熱切關(guān)注的焦點。下面分別從管理和技術(shù)的角度闡述了解決電子商務(wù)系統(tǒng)安全的方法。

一、電子商務(wù)信息安全的管理

要實現(xiàn)電子商務(wù)系統(tǒng)安全，僅有技術(shù)上的安全是不行的。首先必須制定一套完備的網(wǎng)絡(luò)安全管理條例，才能從根本上杜絕不安全事件的發(fā)生。就象我們常講的先要從體制上抓起。我們可以建立以下的安全管理制度。

1.提高對網(wǎng)絡(luò)信息安全重要性的認識

信息技術(shù)的發(fā)展，使網(wǎng)絡(luò)逐漸滲透到社會的各個領(lǐng)域，在未來的軍事和經(jīng)濟競爭與對抗中，因網(wǎng)絡(luò)的崩潰而促成全部或局部的失敗，決非不可能。我們在思想上要把信息資源共享與信息安全防護有機統(tǒng)一起來，樹立維護信息安全就是保生存、促發(fā)展的觀念。

2.開展網(wǎng)絡(luò)安全立法和執(zhí)法

一是要加快立法進程，健全法律體系。自1973年世界上第一部保護計算機安全法問世以來，各國與有關(guān)國際組織相繼制定了一系列的網(wǎng)絡(luò)安全法規(guī)。我國也陸續(xù)頒布了很多網(wǎng)絡(luò)安全法規(guī)。這些法規(guī)對維護網(wǎng)絡(luò)安全發(fā)揮了重要作用，但不健全之處還有許多。一是應(yīng)該結(jié)合我國實際，吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進經(jīng)驗，對現(xiàn)行法律體系進行修改與補充，使法律體系更加科學(xué)和完善；二是要執(zhí)法必嚴，違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機關(guān)辦案的制度，提高執(zhí)法的效率和質(zhì)量。

3.抓緊網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)

一個網(wǎng)絡(luò)信息系統(tǒng)，不管其設(shè)置有多少道防火墻，加了多少級保護或密碼，只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設(shè)計生產(chǎn)的，就沒有安全可言；這正是我國網(wǎng)絡(luò)信息安全的致命弱點。國民經(jīng)濟要害部門的基礎(chǔ)設(shè)施要通過建設(shè)一系列的信息安全基礎(chǔ)設(shè)施來實現(xiàn)。為此，需要建立中國的公開密鑰基礎(chǔ)設(shè)施、信息安全產(chǎn)品檢測評估基礎(chǔ)設(shè)施、應(yīng)急響應(yīng)處理基礎(chǔ)設(shè)施等。

4.把好網(wǎng)絡(luò)建設(shè)立項關(guān)

我國網(wǎng)絡(luò)建設(shè)立項時的安全評估工作沒有得到應(yīng)有重視，這給出現(xiàn)網(wǎng)絡(luò)安全問題埋下了伏筆。在對網(wǎng)絡(luò)的開放性、適應(yīng)性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關(guān)的同時，在立項時更應(yīng)注重對網(wǎng)絡(luò)的可靠性、安全性評估，力爭將安全隱患杜絕于立項、決策階段。

5.注重網(wǎng)絡(luò)建設(shè)的規(guī)范化

沒有統(tǒng)一的技術(shù)規(guī)范，局部性的網(wǎng)絡(luò)就不能互連、互通、互動，沒有技術(shù)規(guī)范也難以形成網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模。目前，國際上出現(xiàn)許多關(guān)于網(wǎng)絡(luò)安全的技術(shù)規(guī)范、技術(shù)標準，目的就是要在統(tǒng)一的網(wǎng)絡(luò)環(huán)境中保證信息的絕對安全。我們應(yīng)從這種趨勢中得到啟示，在同國際接軌的同時，拿出既符合國情又順應(yīng)國際潮流的技術(shù)規(guī)范。

二、電子商務(wù)網(wǎng)絡(luò)安全技術(shù)

有了制度，就有了根基。電子商務(wù)信息安全在很大程度上依賴于技術(shù)的完善，這些技術(shù)包括：密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護技術(shù)、軟件保護技術(shù)、病毒檢測及清除技術(shù)、內(nèi)容分類識別和過濾技術(shù)、網(wǎng)絡(luò)隱患掃描技術(shù)、系統(tǒng)安全監(jiān)測報警與審計技術(shù)等。

1.防火墻技術(shù)

防火墻（Firewall）是近年來發(fā)展的最重要的安全技術(shù)，它的主要功能是加強網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)（被保護網(wǎng)絡(luò)）。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。簡單防火墻技術(shù)可以在路由器上實現(xiàn)，而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。防火墻技術(shù)主要有包過濾技術(shù)、服務(wù)技術(shù)與狀態(tài)監(jiān)控技術(shù)。

2.加密技術(shù)

數(shù)據(jù)加密被認為是最可靠的安全保障形式，它可以從根本上滿足信息完整性的要求，是一種主動安全防范策略。密鑰加密技術(shù)分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術(shù)是在加密與解密過程中使用相同的密鑰加以控制，它的保密度主要取決于對密鑰的保密。它的特點是數(shù)字運算量小，加密速度快，弱點是密鑰管理困難，一旦密鑰泄露，將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制，加密密鑰是公開的，解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數(shù)學(xué)函數(shù)——單向陷門函數(shù)，即從一個方向求值是容易的，但其逆向計算卻很困難，從而在實際上成為不可能。除了密鑰加密技術(shù)外，還有數(shù)據(jù)加密技術(shù)。一是鏈路加密技術(shù)。鏈路加密是對通信線路加密；二是節(jié)點加密技術(shù)。節(jié)點加密是指對存儲在節(jié)點內(nèi)的文件和數(shù)據(jù)庫信息進行的加密保護。

3.數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中，數(shù)字簽名技術(shù)有著特別重要的地位，在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認服務(wù)中都要用到數(shù)字簽名技術(shù)。在書面文件上簽名是確認文件的一種手段，其作用有兩點，一是因為自己的簽名難以否認，從而確認文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數(shù)字簽名與書面簽名有相同相通之處，也能確認兩點，一是信息是由簽名者發(fā)送的，二是信息自簽發(fā)后到收到為止未曾做過任何修改。這樣，數(shù)字簽名就可用來防止：電子信息因易于修改而有人作偽；冒用別人名義發(fā)送信息；發(fā)出（收到）信件后又加以否認。廣泛應(yīng)用的數(shù)字簽名方法有RSA簽名、DSS簽名和Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰，其中一個是公開的，另一個是保密的。公開密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件信息中、電話黃頁上或公告牌里，網(wǎng)上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的，由用戶本身持有，它可以對公開密鑰加密的信息解密。DSS數(shù)字簽名是由美國政府頒布實施的，主要用于跟美國做生意的公司。它只是一個簽名系統(tǒng)，而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數(shù)字簽名方法，跟單獨簽名的RSA數(shù)字簽名不同，它是將數(shù)字簽名和要發(fā)送的信息捆在一起，所以更適合電子商務(wù)。

4.數(shù)字時間戳技術(shù)

在電子商務(wù)交易的文件中，時間是十分重要的信息，是證明文件有效性的主要內(nèi)容。在簽名時加上一個時間標記，即有數(shù)字時間戳的數(shù)字簽名方案：驗證簽名的人或以確認簽名是來自該小組，卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性，其他任何人除了得到該指定人或簽名者本人的幫助，否則不能驗證簽名。時間戳是一個經(jīng)加密后形成的憑證文檔，包括三個部分。一是需加時間戳的文件的摘要，二是DTS收到文件的日期與時間，三是DTS數(shù)字簽名。時間戳產(chǎn)生的過程是：用戶首先將需要加時間的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密（數(shù)字簽名），然后送回用戶。書面簽署文件的時間是由簽署人自己寫上的，數(shù)字時間則不然，它是由認證單位DTS來加的，以DTS收到文件的時間為依據(jù)。

5.電子商務(wù)信息安全協(xié)議

(1)安全套接層協(xié)議。安全套接層協(xié)議是由NetscapeCommunication公司1994年設(shè)計開發(fā)的，主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的整個概念可以被總結(jié)為：一個保證任何安裝了安全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。SSL安全協(xié)議主要提供三方面的服務(wù)。一是用戶和服務(wù)器的合法性保證，使得用戶與服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務(wù)器上。客戶機與服務(wù)器都有各自的識別號，由公開密鑰編排。為了驗證用戶，安全套接層協(xié)議要求在握手交換數(shù)據(jù)中作數(shù)字認證，以此來確保用戶的合法性；二是加密數(shù)據(jù)以隱藏被傳遞的數(shù)據(jù)。安全套接層協(xié)議采用的加密技術(shù)既有對稱密鑰，也有公開密鑰，在客戶機和服務(wù)器交換數(shù)據(jù)之前，先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術(shù)，以保證其機密性與數(shù)據(jù)的完整性，并且經(jīng)數(shù)字證書鑒別；三是維護數(shù)據(jù)的完整性。安全套接層協(xié)議采用Hash函數(shù)和機密共享的方法來提供完整的信息服務(wù)，建立客戶機與服務(wù)器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)能全部準確無誤地到達目的地。

(2)安全電子交易公告。安全電子交易公告是為在線交易設(shè)立的一個開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證。SET已成為全球網(wǎng)絡(luò)的工業(yè)標準。SET安全協(xié)議的主要對象包括：消費者（包括個人和團體），按照在線商店的要求填寫定貨單，用發(fā)卡銀行的信用卡付款；在線商店，提供商品或服務(wù)，具備使用相應(yīng)電子貨幣的條件；收單銀行，通過支付網(wǎng)關(guān)處理消費者與在線商店之間的交易付款；電子貨幣發(fā)行公司以及某些兼有電子貨幣發(fā)行的銀行。負責(zé)處理智能卡的審核和支付；認證中心，負責(zé)確認交易對方的身份和信譽度，以及對消費者的支付手段認證。SET協(xié)議規(guī)范的技術(shù)范圍包括：加密算法的應(yīng)用，證書信息與對象格式，購買信息和對象格式，認可信息與對象格式。SET協(xié)議要達到五個目標：保證電子商務(wù)參與者信息的相應(yīng)隔離；保證信息在互聯(lián)網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊??；解決多方認證問題；保證網(wǎng)上交易的實時性，使所有的支付過程都是在線的；效仿BDZ貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性與交互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。

在傳統(tǒng)的商務(wù)環(huán)境下進行面對面的交易也存在著這樣那樣的安全風(fēng)險，因此在電子商務(wù)活動中偶爾的信用卡密碼被盜、交易抵賴等情況也不足為奇。電子商務(wù)的安全性是相對的，但隨著電子商務(wù)的發(fā)展、計算機與網(wǎng)絡(luò)技術(shù)的不斷提高，以及各項網(wǎng)絡(luò)安全管理制度與立法的不斷完善，電子商務(wù)的安全性將會越來越高。

參考文獻:

[1]鄒文健:電子商務(wù)[M].北京：企業(yè)管理出版社，2005

[2]胡長聲:電子商務(wù)概論[M].上海：復(fù)旦大學(xué)出版社，2005

[3]劉想:我國信息安全及其技術(shù)研究[J].中國信息導(dǎo)報，2003