前言：本站為你精心整理了電子商務(wù)安全系統(tǒng)管理范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢(xún)。

[摘要］隨著電子商務(wù)這一新的商務(wù)模式逐漸為社會(huì)各界所接受并應(yīng)用，電子商務(wù)系統(tǒng)安全日益成為電子商務(wù)發(fā)展過(guò)程中的一個(gè)“瓶頸”。如何建立一個(gè)安全本文、便捷的電子商務(wù)應(yīng)用環(huán)境，已成為人們熱切關(guān)注的焦點(diǎn)。本文分別從管理和技術(shù)的角度闡述了解決電子商務(wù)系統(tǒng)安全的方法。

[關(guān)鍵詞]電子商務(wù)系統(tǒng)安全安全對(duì)策安全技術(shù)

2003年2月初，美國(guó)一名計(jì)算機(jī)黑客攻破了一家負(fù)責(zé)商家處理信用卡交易業(yè)務(wù)的企業(yè)數(shù)據(jù)庫(kù)，致使萬(wàn)事達(dá)、維薩、運(yùn)通這世界三大信用卡組織的800多萬(wàn)用戶(hù)的信用卡信息被盜用，造成幾千萬(wàn)美元的損失，構(gòu)成有史以來(lái)最大的信用卡資料泄密事件。世界上最大的、最安全的信用卡組織的賬戶(hù)信息都被泄密，可見(jiàn)網(wǎng)絡(luò)黑客有多么可怕。如何如何建立一個(gè)安全的電子商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，已成為人們熱切關(guān)注的焦點(diǎn)。下面分別從管理和技術(shù)的角度闡述了解決電子商務(wù)系統(tǒng)安全的方法。

一、電子商務(wù)信息安全的管理

要實(shí)現(xiàn)電子商務(wù)系統(tǒng)安全，僅有技術(shù)上的安全是不行的。首先必須制定一套完備的網(wǎng)絡(luò)安全管理?xiàng)l例，才能從根本上杜絕不安全事件的發(fā)生。就象我們常講的先要從體制上抓起。我們可以建立以下的安全管理制度。

1.提高對(duì)網(wǎng)絡(luò)信息安全重要性的認(rèn)識(shí)

信息技術(shù)的發(fā)展，使網(wǎng)絡(luò)逐漸滲透到社會(huì)的各個(gè)領(lǐng)域，在未來(lái)的軍事和經(jīng)濟(jì)競(jìng)爭(zhēng)與對(duì)抗中，因網(wǎng)絡(luò)的崩潰而促成全部或局部的失敗，決非不可能。我們?cè)谒枷肷弦研畔①Y源共享與信息安全防護(hù)有機(jī)統(tǒng)一起來(lái)，樹(shù)立維護(hù)信息安全就是保生存、促發(fā)展的觀念。

2.開(kāi)展網(wǎng)絡(luò)安全立法和執(zhí)法

一是要加快立法進(jìn)程，健全法律體系。自1973年世界上第一部保護(hù)計(jì)算機(jī)安全法問(wèn)世以來(lái)，各國(guó)與有關(guān)國(guó)際組織相繼制定了一系列的網(wǎng)絡(luò)安全法規(guī)。我國(guó)也陸續(xù)頒布了很多網(wǎng)絡(luò)安全法規(guī)。這些法規(guī)對(duì)維護(hù)網(wǎng)絡(luò)安全發(fā)揮了重要作用，但不健全之處還有許多。一是應(yīng)該結(jié)合我國(guó)實(shí)際，吸取和借鑒國(guó)外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn)，對(duì)現(xiàn)行法律體系進(jìn)行修改與補(bǔ)充，使法律體系更加科學(xué)和完善；二是要執(zhí)法必嚴(yán)，違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機(jī)關(guān)辦案的制度，提高執(zhí)法的效率和質(zhì)量。

3.抓緊網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)

一個(gè)網(wǎng)絡(luò)信息系統(tǒng)，不管其設(shè)置有多少道防火墻，加了多少級(jí)保護(hù)或密碼，只要其芯片、中央處理器等計(jì)算機(jī)的核心部件以及所使用的軟件是別人設(shè)計(jì)生產(chǎn)的，就沒(méi)有安全可言；這正是我國(guó)網(wǎng)絡(luò)信息安全的致命弱點(diǎn)。國(guó)民經(jīng)濟(jì)要害部門(mén)的基礎(chǔ)設(shè)施要通過(guò)建設(shè)一系列的信息安全基礎(chǔ)設(shè)施來(lái)實(shí)現(xiàn)。為此，需要建立中國(guó)的公開(kāi)密鑰基礎(chǔ)設(shè)施、信息安全產(chǎn)品檢測(cè)評(píng)估基礎(chǔ)設(shè)施、應(yīng)急響應(yīng)處理基礎(chǔ)設(shè)施等。

4.把好網(wǎng)絡(luò)建設(shè)立項(xiàng)關(guān)

我國(guó)網(wǎng)絡(luò)建設(shè)立項(xiàng)時(shí)的安全評(píng)估工作沒(méi)有得到應(yīng)有重視，這給出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題埋下了伏筆。在對(duì)網(wǎng)絡(luò)的開(kāi)放性、適應(yīng)性、成熟性、先進(jìn)性、靈活性、易操作性、可擴(kuò)充性綜合把關(guān)的同時(shí)，在立項(xiàng)時(shí)更應(yīng)注重對(duì)網(wǎng)絡(luò)的可靠性、安全性評(píng)估，力爭(zhēng)將安全隱患杜絕于立項(xiàng)、決策階段。

5.注重網(wǎng)絡(luò)建設(shè)的規(guī)范化

沒(méi)有統(tǒng)一的技術(shù)規(guī)范，局部性的網(wǎng)絡(luò)就不能互連、互通、互動(dòng)，沒(méi)有技術(shù)規(guī)范也難以形成網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模。目前，國(guó)際上出現(xiàn)許多關(guān)于網(wǎng)絡(luò)安全的技術(shù)規(guī)范、技術(shù)標(biāo)準(zhǔn)，目的就是要在統(tǒng)一的網(wǎng)絡(luò)環(huán)境中保證信息的絕對(duì)安全。我們應(yīng)從這種趨勢(shì)中得到啟示，在同國(guó)際接軌的同時(shí)，拿出既符合國(guó)情又順應(yīng)國(guó)際潮流的技術(shù)規(guī)范。

二、電子商務(wù)網(wǎng)絡(luò)安全技術(shù)

有了制度，就有了根基。電子商務(wù)信息安全在很大程度上依賴(lài)于技術(shù)的完善，這些技術(shù)包括：密碼技術(shù)、鑒別技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、軟件保護(hù)技術(shù)、病毒檢測(cè)及清除技術(shù)、內(nèi)容分類(lèi)識(shí)別和過(guò)濾技術(shù)、網(wǎng)絡(luò)隱患掃描技術(shù)、系統(tǒng)安全監(jiān)測(cè)報(bào)警與審計(jì)技術(shù)等。

1.防火墻技術(shù)

防火墻（Firewall）是近年來(lái)發(fā)展的最重要的安全技術(shù)，它的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪(fǎng)問(wèn)控制，防止外部網(wǎng)絡(luò)用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)（被保護(hù)網(wǎng)絡(luò)）。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對(duì)其進(jìn)行檢查，來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。簡(jiǎn)單防火墻技術(shù)可以在路由器上實(shí)現(xiàn)，而專(zhuān)用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。防火墻技術(shù)主要有包過(guò)濾技術(shù)、服務(wù)技術(shù)與狀態(tài)監(jiān)控技術(shù)。

2.加密技術(shù)

數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式，它可以從根本上滿(mǎn)足信息完整性的要求，是一種主動(dòng)安全防范策略。密鑰加密技術(shù)分為對(duì)稱(chēng)密鑰加密和非對(duì)稱(chēng)密鑰加密兩類(lèi)。對(duì)稱(chēng)加密技術(shù)是在加密與解密過(guò)程中使用相同的密鑰加以控制，它的保密度主要取決于對(duì)密鑰的保密。它的特點(diǎn)是數(shù)字運(yùn)算量小，加密速度快，弱點(diǎn)是密鑰管理困難，一旦密鑰泄露，將直接影響到信息的安全。非對(duì)稱(chēng)密鑰加密法是在加密和解密過(guò)程中使用不同的密鑰加以控制，加密密鑰是公開(kāi)的，解密密鑰是保密的。它的保密度依賴(lài)于從公開(kāi)的加密密鑰或密文與明文的對(duì)照推算解密密鑰在計(jì)算上的不可能性。算法的核心是運(yùn)用一種特殊的數(shù)學(xué)函數(shù)——單向陷門(mén)函數(shù)，即從一個(gè)方向求值是容易的，但其逆向計(jì)算卻很困難，從而在實(shí)際上成為不可能。除了密鑰加密技術(shù)外，還有數(shù)據(jù)加密技術(shù)。一是鏈路加密技術(shù)。鏈路加密是對(duì)通信線(xiàn)路加密；二是節(jié)點(diǎn)加密技術(shù)。節(jié)點(diǎn)加密是指對(duì)存儲(chǔ)在節(jié)點(diǎn)內(nèi)的文件和數(shù)據(jù)庫(kù)信息進(jìn)行的加密保護(hù)。

3.數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中，數(shù)字簽名技術(shù)有著特別重要的地位，在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中都要用到數(shù)字簽名技術(shù)。在書(shū)面文件上簽名是確認(rèn)文件的一種手段，其作用有兩點(diǎn)，一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)文件已簽署這一事實(shí)；二是因?yàn)楹灻灰追旅埃瑥亩_定了文件是真的這一事實(shí)。數(shù)字簽名與書(shū)面簽名有相同相通之處，也能確認(rèn)兩點(diǎn)，一是信息是由簽名者發(fā)送的，二是信息自簽發(fā)后到收到為止未曾做過(guò)任何修改。這樣，數(shù)字簽名就可用來(lái)防止：電子信息因易于修改而有人作偽；冒用別人名義發(fā)送信息；發(fā)出（收到）信件后又加以否認(rèn)。廣泛應(yīng)用的數(shù)字簽名方法有RSA簽名、DSS簽名和Hash簽名三種。RSA的最大方便是沒(méi)有密鑰分配問(wèn)題。公開(kāi)密鑰加密使用兩個(gè)不同的密鑰，其中一個(gè)是公開(kāi)的，另一個(gè)是保密的。公開(kāi)密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件信息中、電話(huà)黃頁(yè)上或公告牌里，網(wǎng)上的任何用戶(hù)都可獲得公開(kāi)密鑰。保密密鑰是用戶(hù)專(zhuān)用的，由用戶(hù)本身持有，它可以對(duì)公開(kāi)密鑰加密的信息解密。DSS數(shù)字簽名是由美國(guó)政府頒布實(shí)施的，主要用于跟美國(guó)做生意的公司。它只是一個(gè)簽名系統(tǒng)，而且美國(guó)不提倡使用任何削弱政府竊聽(tīng)能力的加密軟件。Hash簽名是最主要的數(shù)字簽名方法，跟單獨(dú)簽名的RSA數(shù)字簽名不同，它是將數(shù)字簽名和要發(fā)送的信息捆在一起，所以更適合電子商務(wù)。

4.數(shù)字時(shí)間戳技術(shù)

在電子商務(wù)交易的文件中，時(shí)間是十分重要的信息，是證明文件有效性的主要內(nèi)容。在簽名時(shí)加上一個(gè)時(shí)間標(biāo)記，即有數(shù)字時(shí)間戳的數(shù)字簽名方案：驗(yàn)證簽名的人或以確認(rèn)簽名是來(lái)自該小組，卻不知道是小組中的哪一個(gè)人簽署的。指定批準(zhǔn)人簽名的真實(shí)性，其他任何人除了得到該指定人或簽名者本人的幫助，否則不能驗(yàn)證簽名。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，包括三個(gè)部分。一是需加時(shí)間戳的文件的摘要，二是DTS收到文件的日期與時(shí)間，三是DTS數(shù)字簽名。時(shí)間戳產(chǎn)生的過(guò)程是：用戶(hù)首先將需要加時(shí)間的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密（數(shù)字簽名），然后送回用戶(hù)。書(shū)面簽署文件的時(shí)間是由簽署人自己寫(xiě)上的，數(shù)字時(shí)間則不然，它是由認(rèn)證單位DTS來(lái)加的，以DTS收到文件的時(shí)間為依據(jù)。

5.電子商務(wù)信息安全協(xié)議

(1)安全套接層協(xié)議。安全套接層協(xié)議是由NetscapeCommunication公司1994年設(shè)計(jì)開(kāi)發(fā)的，主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的整個(gè)概念可以被總結(jié)為：一個(gè)保證任何安裝了安全套接層的客戶(hù)和服務(wù)器之間事務(wù)安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶(hù)/服務(wù)器應(yīng)用程序提供了客戶(hù)端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。SSL安全協(xié)議主要提供三方面的服務(wù)。一是用戶(hù)和服務(wù)器的合法性保證，使得用戶(hù)與服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶(hù)機(jī)和服務(wù)器上?？蛻?hù)機(jī)與服務(wù)器都有各自的識(shí)別號(hào)，由公開(kāi)密鑰編排。為了驗(yàn)證用戶(hù)，安全套接層協(xié)議要求在握手交換數(shù)據(jù)中作數(shù)字認(rèn)證，以此來(lái)確保用戶(hù)的合法性；二是加密數(shù)據(jù)以隱藏被傳遞的數(shù)據(jù)。安全套接層協(xié)議采用的加密技術(shù)既有對(duì)稱(chēng)密鑰，也有公開(kāi)密鑰，在客戶(hù)機(jī)和服務(wù)器交換數(shù)據(jù)之前，先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術(shù)，以保證其機(jī)密性與數(shù)據(jù)的完整性，并且經(jīng)數(shù)字證書(shū)鑒別；三是維護(hù)數(shù)據(jù)的完整性。安全套接層協(xié)議采用Hash函數(shù)和機(jī)密共享的方法來(lái)提供完整的信息服務(wù)，建立客戶(hù)機(jī)與服務(wù)器之間的安全通道，使所有經(jīng)過(guò)安全套接層協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無(wú)誤地到達(dá)目的地。

(2)安全電子交易公告。安全電子交易公告是為在線(xiàn)交易設(shè)立的一個(gè)開(kāi)放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對(duì)客戶(hù)信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證。SET已成為全球網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn)。SET安全協(xié)議的主要對(duì)象包括：消費(fèi)者（包括個(gè)人和團(tuán)體），按照在線(xiàn)商店的要求填寫(xiě)定貨單，用發(fā)卡銀行的信用卡付款；在線(xiàn)商店，提供商品或服務(wù)，具備使用相應(yīng)電子貨幣的條件；收單銀行，通過(guò)支付網(wǎng)關(guān)處理消費(fèi)者與在線(xiàn)商店之間的交易付款；電子貨幣發(fā)行公司以及某些兼有電子貨幣發(fā)行的銀行。負(fù)責(zé)處理智能卡的審核和支付；認(rèn)證中心，負(fù)責(zé)確認(rèn)交易對(duì)方的身份和信譽(yù)度，以及對(duì)消費(fèi)者的支付手段認(rèn)證。SET協(xié)議規(guī)范的技術(shù)范圍包括：加密算法的應(yīng)用，證書(shū)信息與對(duì)象格式，購(gòu)買(mǎi)信息和對(duì)象格式，認(rèn)可信息與對(duì)象格式。SET協(xié)議要達(dá)到五個(gè)目標(biāo)：保證電子商務(wù)參與者信息的相應(yīng)隔離；保證信息在互聯(lián)網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊??；解決多方認(rèn)證問(wèn)題；保證網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過(guò)程都是在線(xiàn)的；效仿BDZ貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠(chǎng)家開(kāi)發(fā)的軟件具有兼容性與交互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。

在傳統(tǒng)的商務(wù)環(huán)境下進(jìn)行面對(duì)面的交易也存在著這樣那樣的安全風(fēng)險(xiǎn)，因此在電子商務(wù)活動(dòng)中偶爾的信用卡密碼被盜、交易抵賴(lài)等情況也不足為奇。電子商務(wù)的安全性是相對(duì)的，但隨著電子商務(wù)的發(fā)展、計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的不斷提高，以及各項(xiàng)網(wǎng)絡(luò)安全管理制度與立法的不斷完善，電子商務(wù)的安全性將會(huì)越來(lái)越高。

參考文獻(xiàn):

[1]鄒文健:電子商務(wù)[M].北京：企業(yè)管理出版社，2005

[2]胡長(zhǎng)聲:電子商務(wù)概論[M].上海：復(fù)旦大學(xué)出版社，2005

[3]劉想:我國(guó)信息安全及其技術(shù)研究[J].中國(guó)信息導(dǎo)報(bào)，2003