電子商務安全

一、電子商務存在的安全問題編輯本段電子商務簡單的說就是利用Internet進行的交易活動，電子

商務："電子"+"商務"，從電子商務的定義可以了解電子商務的安全也就相應的分為兩個方面的安

全：一方面是"電子"方面的安全，就是電子商務的開展必須利用Internet

來進行，而Internet本身也屬于計算機網絡，所以電子商務的第一個方面的安全就是計算機網絡的

安全，它包括計算機網絡硬件的安全與計算機網絡軟件的安全，計算機網絡存在著很多安全威脅，也

就給電子商務帶來了安全威脅；另一方面是"商務"方面的安全，是把傳統的

商務活動在Internet上開展時，由干Internet存著很多安全隱患給電子商務帶來了安全威脅，簡稱為

"商務交易安全威脅"。這兩個方面的安全威脅也就給電子商務帶來了很多安全問題：

（一）計算機網絡安全威脅

電子商務包含"三流"：信息流、資金流、物流，"三流"中以信息流為核心為最重要，電子商務

正是通過信息流為帶動資金流、物流的完成。電子商務跟傳統商務的最重要的區別就是以計算機網絡

來傳遞信息，促進信息流的完成。計算機網絡的安全必將影響電子商務中的信息流"的傳遞，勢必

影響電子商務的開展。計算機網絡存在以下安全威脅：

1.黑客攻擊

黑客攻擊是指黑客非法進入網絡，非法使用網絡資源。隨著互聯網的發展，黑客攻擊也是經常發

生，防不勝防，黑客利用網上的任何漏洞和缺陷修改網頁、非法進入主機、竊取信息等進行相關危害

活動。2003年，僅美國國防部的"五角大樓"就受到了了230萬次對其網絡的嘗試性攻擊。從這里

可以看出，目前黑客攻擊已成為了電子商務中計算機網絡的重要安全威脅。

2.計算機病毒的攻擊

病毒是能夠破壞計算機系統正常進行，具有傳染性的一段程序。隨著互聯網的發展，病毒利用互

聯網，使得病毒的傳播速度大大加快，它侵入網絡，破壞資源，成為了電子商務中計算機網絡的又一

重要安全威脅。

3.拒絕服務攻擊

拒絕服務攻擊（DoS）是一種破壞性的攻擊，它是一個用戶采用某種手段故意占用大量的網絡

資源，使系統沒有剩余資源為其他用戶提供服務的攻擊。目前具有代表性的拒絕服務攻擊手段包括

SYNflood、ICMPflood、UDPflood等。隨著互聯網的發展，拒絕服務攻擊成為了網絡安全中的重要

威脅。

（二）商務交易安全威脅

把傳統的商務活動在Internet上進行，由于Internet本身的特點，存在著很多安全威脅，給電子

商務帶來了安全問題。Internet的產生源于計算機資源共享的需求，具有很好的開放性，但正是由子

它的開放性，使它產生了更嚴重的安全問題。Internet存在以下安全隱患：

1.開放性

開放性和資源共享是Internet最大的特點，但它的問題卻不容忽視的。正是這種開放性給電子

商務帶來了安全威脅。

2.缺乏安全機制的傳輸協議

TCP／IP協議是建立在可信的環境之下，缺乏相應的安全機制，這種基于地址的協議本身就會

泄露口令，根本沒有考慮安全問題；TCP／IP協議是完全公開的，其遠程訪問的功能

使許多攻擊者無須到現場就能夠得手，連接的主機基于互相信任的原則等這些性質使網絡更加不安

全。

3.軟件系統的漏洞

隨著軟件系統規模的不斷增大，系統中的安全漏洞或"后門"也不可避免的存在。如

cookie程序、JAVA應用程序、IE瀏覽器等這些軟件與程序都有可能給我們開展電子商務帶來安全

威脅。

4.信息電子化電子化信息的固有弱點就是缺乏可信度，電子信息是否正確完整是很難由信息本身

鑒別的，而且在Internet傳遞電子信息，存在著難以確認信息的發出者以及信息是否被正確無誤地

傳遞給接收方的問題。

（三）計算機網絡安全威脅與商務交易安全威脅給電子商務帶來的安全問題

1.信息泄露

在電子商務中表現為商業機密的泄露，以上計算機網絡安全威脅與Internet的安全隱患可能使

得電子商務中的信息泄漏，主要包括兩個方面：（1）交易一方進行交易的內容被第三

方竊取。（2）交易一方提供給另一方使用的文件第三方非法使用。

2.篡改

正是由于以上計算機網絡安全威脅與Internet的安全隱患，電子的交易信息在網絡上傳輸的過

程中，可能被他人非法地修改、刪除或重放（指只能使用一次的信息被多次使用），這樣就使信

息失去了真實性和完整性。

3.身份識別正是由于電子商務交易中交易兩方通過網絡來完成交易，雙方互不見面、互不認識，

計算機網絡的安全威脅與Internet的安全隱患，也可能使得電子商務交易中出現身交易身份偽造的

問題。

4.信息破壞

計算機網絡本身容易遭到一些惡意程序的破壞，如計算機病毒、特洛伊木馬程序、邏輯炸彈等，

導致電子商務中的信息在傳遞過程被破壞。

5.破壞信息的有效性

電子商務中的交易過程中是以電子化的信息代替紙面信息，這些信息我們也必須保證它的時間的

有效與本身信息的有效，必須能確認該信息確是由交易一方簽發的，計算機網絡安全威脅與Internet

的安全隱患，使得我們很難保證電子商務中的信息有效性。

6.泄露個人隱私

隱私權是參與電子商務的個人非常關心的一個問題。參與到電子商務中的個人就必須提供個人信

息，計算機網絡安全威脅與Internet的安全隱患有可能導致個人信息泄露，破壞到個人隱私。

二、電子商務的安全要求編輯本段正是由于電子商務的開展過程中存在著很多安全問題，我們要使得

電子商務正常有序的進行，就必須保證電子商務的安全，解決以上的安全問題，營造一個安全的電子

商務環境，那么這樣一個安全的電子商務環境又有哪些安全要求，成為我們解決電子商務存在的安全

問題接下來要解決的問題：

（一）信息的保密性

交易中的商務信息一般都有保密的要求，信息內容不能隨便被他人獲取，尤其是涉及到一些商業

機密及有支付等敏感信息時，信息的保密性就顯得更為重要了。

（二）信息的完整性

信息的完整性包括電子商務中的信息不被篡改、不被遺漏。

（三）通信的不可抵賴、不可否認

在電子商務活動中一條信息被發送或被接收后，應該通過一定的方式，保證信息的各方有足夠的

證據證明接收或發送的操作已經發生。

（四）交易各方身份的認證

要使網上交易成功，參與交易的人首先要能確認對方的身份，確定對方的真實身份與對方所聲稱

的是否一致。

五）信息的有效性

電子商務以電子形式取代了紙張，那么如何保證這種電子形式的貿易信息的有效性則是開展電子

商務的前提。

（六）個人隱私權的保護

電子商務中是否可以保護個人隱私權，勢必影響到個人消者者參與電子商務的積極性。

三、電子商務的安全對策編輯本段要營造一個滿足電子商務安全要求的電子商務環境，就相應的要解

決兩個方面安全威脅：一是計算機網絡的安全威脅，二是商務交易的安全威脅，所帶來的電子商務

的安全問題。我們營造安全的電子商務環境的對策主要有：

（一）利用電子商務安全技術

1.計算機網絡安全技術

電子商務中利用的重要工具計算機網絡，存在著很多的安全威脅，計算機網絡的建立足我們開展

電子商務的基礎，我們要保證電子商務的安全，首先就要保證計算機網絡的安全。

（1）防火墻技術

防火墻是指隔離在本地網絡與外界之間的一道防御設施，是這一類防范措施的總稱。它能夠限制

他人進入內部網絡，過濾掉不安全服務和非法用戶：允許內部網的一部分主機被外部網訪問，另一部

分被保護起來；限定內部網的用戶對互聯網上特殊站點的訪問；為監視互聯網安全提供方便。對手我

們營造安全的電子商務環境目前最安全的方法就是利用雙防火墻雙服務器方式。

（2）入侵檢測系統（IDS）

防火墻雖然很好，但是防火墻也有很多的不足，比如防火墻不能防范不經由防火墻的攻擊、防火

墻不能防范新的網絡安全問題。為了彌補防火墻的不足，我們可以利用入侵檢測系統，來保證計算機

網絡的安全。入侵檢測（IntrusionDetection），顧名思義，便是對入侵

行為的發覺。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現

網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測的軟件與硬件的組合就是入侵檢

測系統（IntrusionDetectionSystem，簡稱IDS）。

（3）虛擬專用網（VPN）技術

虛擬專用網VPN（VirtualPrivateNetwork）是一門網絡新技術。顧名思義，虛擬專用網不是真

的專用網絡，它利用不可靠的公用聯網絡作為信息傳輸媒介，通過附加的安全隧道，用戶認證和訪

問控制等技術實現與專用網絡相類似的安全功能，從而實現對重要信息的安全傳輸。利用虛擬專用網

技術，我們可以營造一個相對安全的網絡。

4）病毒防治技術

電子商務中的計算機網絡不斷受到病毒攻擊的危害，為了把計算機病毒的危害減小到最低，我們

可以從以下幾方面從入手：一是高度重視計算機病毒；二是安裝計算機病毒防治軟件，不斷更新病毒

庫。

2.商務交易安全技術

為了營造一個安全的電子商務環境，我們一定要保證傳統的商務活動在互聯網上進行的安全，我

們就應該建立一個電子商務的安全體系。

（1）基本加密技術

將明文數據進行某種變換，使其成為不可理解的形式，這個過程就是加密，這種不可理解的形式

稱為密文。解密是加密的逆過程，即將密文還原成明文。采用密碼技術對信息進行加密，是最常用的

安全手段。在電子商務中，獲得廣泛應用的現代加密技術有以下兩種：對稱加密體制和非對稱加密體

制。基本加密技術是電子商務安全體系的基礎，也是安全認證手段和安全協議的基礎，利用它可以保

證電子商務中信息的保密性。

（2）安全認證手段

利用基本加密技術還只能保證電子商務中信息的保密性，為了營造安全的電子商務環境，我們還

必須保證電子商務中的信息的完整性，通信的不可抵賴、不可否認，交易各方身份的認證，信息的有

效性，這就得利用以基本加密技術為基礎開發的安全認證手段：

①利用數字信封技術保證電子商務中信息的保密性。

②利用以Hash函數為核心的數字摘要技術來保證電子商務中信息的完整性。

③建立CA認證體系給電子商務交易各方發放數字證

書，保證電子商務中交易各方身份的認證。在電子商務中，為了使眾多的認證機構CA

（CertificationAuthority）具有一個開

放的標準，使以之間能夠互聯、互相認證，實現安全的CA管理，這就需要建立公鑰基礎設施

（PublicKeyInfrastructure，簡稱PKI）。

④利用數字時間戳來保證電子商務中信息的有效性。

⑤利用數字簽名技術來保證電子商務中的通信的不可抵賴、不可否認，信息的有效性。

（3）安全協議

要保證電子商務環境的安全，必須把安全認證手段跟安全協議配合起來建立電子商務安全解決方

案。目前電子商務中有兩種安全認證協議被廣泛使用，即安全套接層SSL（Secure

SocketsLayer）協議和安全電子交易SET（SecureElectronicTransaction）協議。

（二）制定電子商務安全管理制度

電子商務安全管理制度是用文字形式對各項安全要求所做的規定，這些制度應該包括人

員管理制度、保密制度、跟蹤審計制度、系統維護制度、數據備份制度、病毒定期清理制度

（三）加強誠信教育，建立社會誠信體系

電子商務中的很多安全問題比如交易的抵賴、否認、個人隱私權的破壞，說到底還是人的誠信問

題，為了促進電子商務更好的發展，打消消費者對于電子商務的安全顧慮，我們應該加強誠信教育，

建立社會誠信體系。

說得雖然是好不過，真得要實際上做好這一切都是有一定難度的，所以沒有風顯的交易是不存在得