电子商务安全性问题文献综述

1、电子商务的安全性问题及对策电子商务就是计算机网络及应用，指的是利用简单，快捷，低成本的电子通 讯方式，交易双方不谋面地进行各种商贸活动。从它的概念很明显可以看出电子 商务是基于因特网的，可是因特网最明显的特性就开放性，而电子商务呢，则要 求其信息的保密性。这就要求我们有一系列的电子安全技术来确保电子商务的正 常，有序，快捷的进行。(引自 周学广信息安全学第二版机械工业出版社一、商务的安全要求。随着电子商务的普及应用，安全性显得越来越重要。电子商务只是在表现形 式上与传统的商业不同，但着并有改变其商业属性，这就要求电子商务必须遵循 商业的一般规律一一安全与效率。对于电子商务来说，其高效性已经得到

2、人们的 认可。可是电子商务作为一种新生事物，目前世界各国都还没有形成成熟的安全 运营模式，所以对其安全性的研究越来越成为人们所关注，这方面的研究也越来 越重要。电子商务本身呼吁有一个安全的环境来保证其本身的飞速发展。(引自古月走近电子商务.计算机与生活1999,11:814；龚炳铮 等从信息增值到电子商务.计算机世界2000,11,20 (D45期)二、商务的安全威胁。从安全和信任的角度来看，传统的交易双方是面对面的，因此很容易保证交 易过程安全性和建立信任关系。但在电子商务中，交易双方是通过网络来联系的， 由于存在空间的距离，交易双方要建立起信任关系相当的困难，交易双方都面临 着威胁。这些威

3、胁可以归结为以下几点。(引自李剑信息安全导论北京邮电大学)信息泄露在电子上午中表现为商业的泄露，主要包括两个方面：交易双方在进行交易 的内容被第三方窃取；交易一方提供给另一方的信息被第三方非法使用。信息窜改在电子商务中表现为真实性和完整性的问题。电子交易的信息在网上传输的 过程中，可能被他人非法修改，删除或重改，这样就使信息失去了真实性和完整 性。身份识别如果不进行身份识别，第三方有可能假冒交易一方的身份，以破坏交易、破 坏被假冒一方的信息或盗取被假冒一方的交易成果等，进去身份识别后就可以使 交易双方增加对彼此的信任度。(以上大部分引自信息安全管理作者：影印清华大学出版社)电脑病毒问题自从有了

4、计算机网络，电脑病毒问题就一直捆饶着广大计算机使用者。各种 新型病毒及其变种迅速增加，互联网又为各种病毒的传播提供最好的媒介，传播 到计算机上，威胁着电子商务，甚至是整个网络的安全。黑客问题随着各种应用工具的传播与应用，黑客已经越来越大众化了，在过去的岁月 里只有那些电脑高手才是黑客，而如今只要那些会一点应用工具的人都能成为黑 客。要是没有足够好的安全技术，没有够“坚硬”防火墙，个人、企业的信息都 将被互联网上流传，甚至计算机都会处于瘫痪状态。以上6点引自信息安全与运用原理第四版李毅超 电子工业出版社（6）金融体系安全金融体系是商务活动的基础保证。电子商务的支付与结算需要电子化金融体 系的密切

5、配合。世界发达国家的金融体系相对我国来说还是比较健全的，目前我 国的金融体系及其电子化水平比较落后，各种电子化系统，各种电子化方式都还 没建立完善，种种金融体系问题严重阻碍着我国电子商务发展。（7）相关法律政策的不完善就目前我国的状况来说，电子商务的发展的步比较慢，各种相关的法律法规 还不够完善，需要建立一个完善的规章制度来约束人们的电子商务行为，进而保 证电子商务安全，高效的发展。.以上2点引自步山岳计算机信息安全技术高等教育出版社三、电子商务的安全防范技术安全性技术是保证电子商务健康有序发展的关键因素，也是目前大家十分关 注的问题。虽然互联网开放的信息交换使之在安全方面存在脆弱性，但现在几

6、 乎网络的各个层次都制定了安全协议和具备了相应的安全技术，以保证电子商 务的安全性。1人证技术（1）数字签名数字签名是指在一个数据信心中附在其后面或逻辑上与其有联系的电子形 式签名。在形式上，与传统签名差别很大，但在功能上，两者却很相近，都是用 来鉴别合同的当事人表明其同意该数据信息的内容。（2）数字信封在大批数据加密中所使用的对称密码是随机产生的，而接收方也需要此密码 才能对消息进行正确的解密。对称密钥的传递需要加密进行，即发送方用接收方 的证书（公钥）加密此对称密钥。这样只有接收方用自己的私钥才能正确地解密 此对称密钥,从而正确地解密消息。这种加密传送密钥的方法称为数字信封。（3）虚拟专用

7、技术:虚拟专用网VPN是用于Internet交易的一种专用网络， 它可以在两个系统之间建立安全的信道（或隧道），用于电子数据交换。它与信用 卡交易和客户发送定单交易不同。因为在VPN中，双方的数据通信量大得多， 而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术， 只要通信的双方默认即可，没有必要为所有的VPN进行统一的加密和认证。（4）证书和证书管理机构CA:证书就是一份文档，它纪录了用户的公开密钥 和其他身份信息（如身份证号码或者E-mail地址），以及证书管理机构的数字 签名。证书管理机构是一个受大家信任的第三方机构。以上4点引自信息安全管理之道Mark Osborne

8、翻译周广辉等2.防火墙技术防火墙是在内部网与外部网之间实施安全防范的系统，可被认为是一种访问 控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内 部服务。实现防火墙技术的主要途径有:数据包过滤、应用网关和代理服务。（1）包过滤技术：包过滤技术是在网络层中对数据包实施有选择的通过，依 据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地 址、目的地址、所用的TCP/U端口与TCP链路状态等因素来确定是否允许数据 包通过。（2）应用网关技术:应用网关技术是建立在网络应用层上的协议过滤，它针 对特别的网络应用服务协议，即数据过滤协议，能够对数据包分析并形成相关的

9、 报告。（3）代理服务技术:代理服务作用在应用层，用来提供应用层服务的控制。引自构建信息安全保障新体系卢新德中国经济出版社3.Internet电子邮件的安全协议电子邮件是Internet上主要的信息传输手段，也是EC应用的主要途径之一。PEM 是增强Internet电子邮件隐秘性的标准草案，它在Internet电子邮件的标准格式 上增加了加密、鉴别和密钥管理的功能，允许使用公开密钥和专用密钥的加密方 式，并能够支持多种加密工具。S/MIME （安全的多功能Internet电子邮件扩充） 是在RFC152所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和 加密技术的一种协议。MI

10、ME是正式的Internet电子邮件扩充标准格式，但它未 提供任何的安全服务功能。Internet主要的安全协议之一 SSL（安全槽层）协议， 是由Netscape公司研究制定的安全协议，该协议向基于TCP/IP的客户/服务器应 用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该 协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特 性的审查。UN/EDIFAC的安全措施主要是通过集成式和分离式两种途径来实现。 引自信息安全基础和安全策略李建华清华大学出版社 信息加密技术_由于电子商务是借助INTERNET平台运作的，而INTERNET网络本身具有 开放性

11、的特点，因而安全性方面存在先天不足。而交易双方在交易过程中，都希 望信息不会被他人篡改和截取。信息加密技术正是针对这个问题的技术解决方 案。加密技术是EC采取的主要安全措施，贸易方可根据需要在信息交换的阶段 使用。目前，加密技术分为两类：即对称加密和非对称加密。引自步山岳计算机信息安全技术高等教育出版社电子合同的法律效力要保证电子商务的安全运营，法律的保障是不容忽略的。而且，技术支持和 组织保障最后都需要由法律来规定其效力。合同是商业交易的内容，随着电子商 务的发展，许多国家都运用法律手段来确定电子合同的效力。美国、欧盟等有关 电子商务的法律文件都对电子合同进行了规范，我国合同法也顺应时代发展 的潮流，对电子合同这种新型合同形式也做了一些简单的规定。在线支付的安全电子商务的另一个关键问题是要保证在线支付的安全，它是网上购物的重要 保证。目前采用的在线支付协议有两种：安全套接层SSL（Secure Sockets Layer） 协议和安全电子交易SET （SecurElectronic Transaction）协议。（以上引自计算机网络与信息安全作者:梁军北京邮电大学出版电子商务信息安全作者：翁贤明浙江大