電子商務安全建議

前言：本站為你精心整理了電子商務安全建議范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

隨著信息技術的發展，架構于互聯網網絡的商務活動即電子商務得以普及，使經濟全球化呈加速發展之勢，而經濟全球化又刺激著電子商務加速發展。其涉及的領域從銀行、外貿、證券市場到貼近我們每個人的日常購物，一場生活和技術的重大變革正在發生。

電子商務面臨的安全風險

電子商務的優勢是明顯的，但電子商務安全性問題卻日益突出。

任何在Internet上開展業務的機構都必須采取積極的步驟，確保系統有足夠的安全措施防止機密信息泄露和非法侵入所造成的損失。但Internet本身就是基于開放思想設計并逐步發展起來的。要想在Internet上實現絕對安全是困難的。Internet上實現電子商務面臨的風險主要來自機密關鍵數據安全及電子交易安全兩方面，具體到技術細節包含以下四個方面。

(1)數據的私有性和安全性。如果不采用特別的保護措施，包括電子郵件等在Internet中開放傳輸的數據都可能被第三者監視和閱讀。考慮到巨大的傳輸量和難以計數的傳輸途徑，想任意竊聽一組數據傳輸是不可能，但是一些設置在Web服務器的黑客程序卻可以查找和收集特定類型的數據。這些數據包括信用卡、存款的帳號和相應的口令。同時因為Internet的開放性設計，數據私有性和安全性還包括數據傳輸之外的問題，例如連入Internet的數據存儲網絡驅動器的安全性，所以任何存儲在Web服務器上的數據必須采取保護措施。

(2)數據的完整性。由于Internet的開放體系，如果具備了特定的知識和工具完全可以更改傳輸中的數據。同時要采取適當的存取訪問控制，以保證數據存取系統的安全。在電子商務中務必保存數據最初的格式和內容。

(3)認證電子商務的具體實現中，首先要確認當前的通訊、交易和存取要求是合法的。例如Internet中的計算機系統的身份是由其IP地址確認的。黑客通過IP欺騙，使用虛假的IP地址，從而達到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發匿名郵件，或者使用不真實的郵件用戶名。因此，在電子商務中必須建立嚴格的身份認證機制以確保參加交易各方的身份真實有效。

(4)不可否認性。不可否認主要包含數據的原始記錄和發送記

錄，確認數據已經完成發送和接收，防止接收用戶更改原始記錄，防止用戶在已經收到數據以后否認收到數據，并拖延自己的下一步工作。為了保證交易過程的可操作性，必須采取可靠的方法確保交易過程的真實性，保證參加電子交易的各方承認交易過程的合法性。

在我們把銀行的內部網絡接入Internet以后，相應地增加了許多可以訪問銀行內部網絡的節點。從理論上講從世界各個地方都可以實現對銀行內部網絡的訪問，這對銀行計算機網絡的數據和系統的安全性提出了更高的要求。這就需要我們采取嚴密的訪問控制，禁止非法訪問。電子商務中威脅計算機網絡安全的因素有：破壞、更改或者盜竊數據；公開機密信息；計算機系統崩潰；公共形象(如主頁)被污損等。造成這些損失的因素有：黑客，公司內部職員，電子商務軟件中的Bug，商業間諜等。

電子商務面臨的上述問題主要是由對系統的非法入侵造成的。首先是網絡黑客，他們通過發現Web服務器、操作系統或者主頁部件在配置方面的漏洞，攻擊網絡系統。其次是內部侵入，這主要是由企業IT部門的員工造成的，保護網絡的物理安全(如主控機房)及嚴格的口令管理制度是防范該類問題的關鍵。還有惡意代碼(如計算機病毒)，它們在企業的傳播會給電子商務系統造成嚴重的損失。另外值得關注的是計算機系統本身的問題，例如由于電源造成的系統宕機，以及廣域網絡的通訊，這些都會直接造成服務的突然中止，影響電子商務的形象。我們還應關注系統管理方面的問題，有時電子商務出現的問題既非黑客也非系統本身的毛病，而是源于對敏感數據處理不善或者是安全系統(如防火墻)的不正確配置。用戶的身份認證是計算機系統安全的基礎工作，數字簽名加密等技術在這里可以充分起到作用。

保障電子商務系統安全的對策

(1)用戶識別文件和口令。許多互聯網研究機構都將私有性和保密性列為電子商務的首要問題。用戶識別文件和口令在Internet之前的大型主機時代，就已經是安全的有效實現方法。在電子商務中，可以采用限制錯誤登錄的次數、跟蹤錯誤訪問的辦法，保護用戶識別文件和口令的安全。

(2)數據加密。開放的Internet本身并不提供安全的傳輸路徑，所以在電子商務中必須采用數據加密，保證帳戶和交易數據的安全。超文本安全傳輸協議S－HTTP和安全套接層協議SSL是在Web端與瀏覽器端實現加密的應用技術，這兩種技術使得數據對于沒有密鑰的人是毫無用處的，并且易于在商業領域應用。

(3)認證授權和數字認證CA是認證授權中心(CertficateAuthority)的簡稱，它和數字認證(DigitalCertificate)一起在電子商務的身份認證、不可否認性、數據私有加密鑰管理方面起著主要的作用。CA是交易雙方都信任的第三方機構，由它來證明參加交易各方的身份。在交易過程中CA將自己的數字簽名附在所有的傳送消息和公共密鑰上。數字認證指的是附有CA簽名的消息。參加交易方都必須信任CA，CA在交易前確認所有各方的身份，可見CA的主要任務在于管理而不是技術。CA在電子商務中，起著法律仲裁的作用，其工作相當于確定用戶的數字簽名能否得到法律的認可。但是只有在CA擁有了仲裁權以后，這種認證才有法律效應。在電子商務的發展過程中，CA的重要作用正在日益顯現。

認證中心與加密技術相結合產生了一種完全適合電子商務的加密技術安全電子交易SET。安全套接層SSL加密方法僅僅是實現了傳輸加密和數據完整性，相當于在兩臺計算機之間建立一個安全的通道。而電子商務的要求則更高一點。例如用戶通過與商家連網，進行支付和交易時，商家不應該知道用戶的帳戶等信息，顯然SSL協議不能防止商家的欺詐。另外SSL協議也不保證交易各方身份的真實性和不可否認性。SET的架構是通過幾個成員所共同組成的，各個成員可以很好地模擬實際電子商務操作的角色，這些成員分別是電子錢包(ElectronicWallet)、商戶服務器(MerchantServer)、支付網關(PaymentGateway)和認證中心(CertificationAuthority)。

SET通過認證中心和認證簽名確認交易各方的真實身份，利用數字簽名保證交易的不可否認性。SET的技術特點還有：①對訂單信息和支付信息進行雙重簽名，這樣商家只能得到訂單信息，銀行只知道支付信息；②采用信息摘要技術保證了交易的完整性；③采用公鑰體系和密鑰體系結合進行加密，而SSL只采用了公鑰體系。

SET已經成為國際公認的Internet電子商務的安全標準，非常詳細地反映了電子交易各方之間存在的各種關系。目前，一些廠商有專門的軟件產品與SET的各個角色相對應。

(4)虛擬專用網(VPN)虛擬專用網是利用Internet公用網絡，通過隧道協議和安全方法傳輸企業專用數據的技術。虛擬專用網在傳送數據前將其加密，在接收端進行解密，它的特點是不僅加密數據，而且加密接收雙方的網絡地址。同時VPN的用戶驗證方法也提供了更高一級的遠程訪問安全性。

(5)路由器和防火墻。路由器是在Internet上確定數據包下一個網絡傳輸地址的網絡設備，可能是專用的硬件設備，也可能是一個軟件。防火墻是企業專用網和Internet公共網的連接點，控制來往的數據流，對受到的攻擊進行登錄、報告、報警。如果路由器和防火墻配置得當，可以有效防范非法用戶。

(6)實施規劃和方法。實施規劃是在整個企業范圍內，對內、外部用戶訪問數據文件進行限制，確定企業計算機系統的拓樸結構及關鍵數據的放置。在企業級的系統中，從硬件到軟件，從操作系統到數據庫，涉及各種各樣的系統。應用的復雜性也在不斷增加，問題也越來越多。如不同操作系統之間的資源共享，公共密鑰的集中管理等。對于這種情況可以采取管理器/器的結構對系統安全進行統一管理。在這種模式下，只要更改系統的配置要求就可以適應系統結構、規模的變化，從而實現了系統安全的統一管理。