序言：寫作是分享個人見解和探索未知領域的橋梁，我們為您精選了8篇的電子商務安全事件樣本，期待這些樣本能夠為您提供豐富的參考和啟發，請盡情閱讀。

第1篇

一、私有密鑰加密法

(一)含義

私有密鑰加密,指在計算機網絡上甲、乙兩用戶之間進行通信時,發送方甲為了保護要傳輸的明文信息不被第三方竊取,采用密鑰A對信息進行加密而形成密文M并發送給接收方乙,接收方乙用同樣的一把密鑰A對收到的密文M進行解密,得到明文信息,從而完成密文通信目的的方法。這種信息加密傳輸方式,就稱為私有密鑰加密法。此加密法的一個最大特點是,信息發送方與信息接收方均需采用同樣的密鑰,具有對稱性,所以私有密鑰加密又稱為對稱密鑰加密。

(二)應用原理

具體到電子商務,很多環節要用到私有密鑰加密法。例如,在兩個商務實體或兩個銀行之間進行資金的支付結算時,涉及大量的資金流信息的傳輸與交換。這里以發送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應用私有密鑰加密法的過程:銀行甲借助專業私有密鑰加密算法生成私有密鑰A,并且復制一份密鑰A借助一個安全可靠通道(如采用數字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網絡通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文。這樣銀行乙就知道銀行甲的資金轉賬通知單的內容,結束通信。

(三)常用算法

世界上一些專業組織機構研發了許多種私有密鑰加密算法,比較著名的有DES（DataEncryptionStandard，數據加密標準）算法及其各種變形、國際數據加密算法IDEA等。DES算法由美國國家標準局提出,1977年公布實施,是目前廣泛采用的私有密鑰加密算法之一,主要應用于銀行業中的電子資金轉賬、軍事定點通信等領域,比如電子支票的加密傳送。經過20多年的使用,已經發現DES很多不足之處,隨著計算機技術進步,對DES的破解方法也日趨有效,所以更安全的高級加密標準AES（AdvancedEncryptionStandard，先進加密標準）將會替代DES成為新一代加密標準。

(四)優缺點

私有密鑰加密法的主要優點是運算量小,加解密速度快,由于加解密應用同一把密鑰而應用簡單。在專用網絡中由于通信各方相對固定、所以應用效果較好。但是,私有密鑰加密技術也存在著以下一些問題:一是分發不易。由于算法公開,其安全性完全依賴于對私有密鑰的保護。因此,密鑰使用一段時間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對的,通過電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問題。二是管理復雜,代價高昂。私有密鑰密碼體制用于公眾通信網時,每對通信對象的密鑰不同,必須由不被第三者知道的方式,事先通知對方。隨著通信對象的增加,公眾通信網上的密碼使用者必須保存所有通信對象的大量的密鑰。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題。三是難以進行用戶身份的認定。采用私有密鑰加密法實現信息傳輸,只是解決了數據的機密性問題,并不能認證信息發送者的身份。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發送偽造信息。在電子商務中,有可能存在欺騙,別有用心者可能冒用別人的名義發送資金轉賬指令。因此,必須經常更換密鑰,以確保系統安全。四是采用私有密鑰加密法的系統比較脆弱,較易遭到不同密碼分析的攻擊。五是它僅能用于對數據進行加解密處理,提供數據的機密性,不能用于數字簽名。

二、公開密鑰加密法

(一)定義與應用原理

公開密鑰加密法是針對私有密鑰加密法的缺陷而提出來的。是電子商務應用的核心密碼技術。所謂公開密鑰加密,就是指在計算機網絡上甲、乙兩用戶之間進行通信時,發送方甲為了保護要傳輸的明文信息不被第三方竊取,采用密鑰A對信息進行加密而形成密文M并發送給接收方乙,接收方乙用另一把密鑰B對收到的密文M進行解密,得到明文信息完密文通信目的的方法。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對網絡上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法。與私有(對稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對稱,所以公開私有密鑰加密法又稱為非對稱密鑰加密法。公開密鑰加密法的應用原理是:借助密鑰生成程序生產密鑰A與密鑰B,這兩把密鑰在數學上相關,對稱作密鑰對。用密鑰對其中任何一個密鑰加密時,可以用另一個密鑰解密,而且只能用此密鑰對其中的另一個密鑰解密。在實際應用中,某商家可以把生成的密鑰A與密鑰B做一個約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網絡公開散發出去,誰都可以獲取一把并能應用,屬于公開的共享密鑰,叫做公開密鑰。如果一個人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個人的消息。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對密文進行解密,而且非法用戶幾乎不可能從公鑰推導出私鑰。存在下面兩種應用情況:一是任何一個收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發送給這個商家,那么這些加密信息就只能被這個商家的私人密鑰A解密。實現保密性。二是商家利用自己的私人密鑰A對要發送的信息進行加密進成密文信息,發送給商業合作伙伴,那么這個加密信息就只能被公開密鑰B解密。這樣,由于只能應用公開密鑰B解密,根據數學相關關系可以斷定密文的形成一定是運用了私人密鑰A進行加密的結果,而私人密鑰A只有商家擁有,由此可以斷定網上收到的密文一定是擁有私人密鑰A的商家發送的。

(二)應用過程

具體到電子商務,很多環節要用到公開密鑰加密法,例如在網絡銀行客戶與銀行進行資金的支付結算操作時,就涉及大量的資金流信息的安全傳輸與交換。以客戶甲與乙網絡銀行的資金信息傳輸為例,來描述應用公開密鑰加密法在兩種情況下的使用過程。首先,網絡銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B,私人密鑰A由網絡銀行乙自己獨自保存,而公開密鑰B已經通過網絡某種應用形式(如數字證書)分發給網絡銀行的眾多客戶,當然客戶甲也擁有一把網絡銀行乙的公開密鑰B。

1.客戶甲傳送一“支付通知”給網絡銀行乙,要求

“支付通知”在傳送中是密文,并且只能由網絡銀行乙解密知曉,從而實現了定點保密通信。客戶甲利用獲得的公開密鑰B在本地對“支付通知”明文進行加密,形成“支付通知”密文,通過網絡將密文傳輸給網絡銀行乙。網絡銀行乙收到“支付通知”密文后,發現只能用自己的私人密鑰A進行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內容,的確是發給自己的。

2.網絡銀行乙在按照收到的“支付通知”指令完成支付轉賬服務后,必須回送客戶甲“支付確認”,客戶甲在收到“支付確認”后,斷定只能是網絡銀行乙發來的,而不是別人假冒的,將來可作支付憑證,從而實現對網絡銀行業務行為的認證,網絡銀行不能隨意否認或抵賴。網絡用戶乙在按照客戶甲的要求完成相關資金轉賬后,準備一個“支付確認”明文,在本地利用自己的私人密鑰A對“支付確認”明文進行加密,形成“支付確認”密文,通過網絡將密文傳輸給客戶甲。客戶甲收到“支付確認”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發現只能用獲得的網絡銀行乙的公開密鑰B進行解密,形成“支付確認”明文,由于公開密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網絡銀行乙所有,因此客戶甲斷定這個“支付確認”只能是網絡銀行乙發來的,不是別人假冒的,可作支付完成的憑證。

(三)算法

當前最著名、應用最廣泛的公開密鑰系統是RSA(取自三個創始人的名字的第一個字母)算法，RSA算法是第一個能同時用于加密和數字簽名的算法，也易于理解和操作。目前電子商務中大多數使用公開密鑰加密法進行加解密和數字簽名的產品和標準使用的都是RSA算法。RSA算法是基于大數的因子分解，而大數的因子分解是數學上的一個難題，其難度隨著模數n的位數加多而提高，網絡交易安全隨之提高。(四)優缺點優點是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發往任何地方,公鑰在傳遞與過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。能夠解決信息的否認與抵賴問題,身份認證較為方便。密鑰分配簡單,公開密鑰可以像電話號碼一樣,告訴每一個網絡成員,商業伙伴需要好好保管的只是一個私人密鑰。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便。最大的缺陷就在于它的加解密速度慢。

第2篇

本文通過對不同電子商務強度的公司做網絡安全投資回報計算,進而在經濟性的基礎上，對采用各種主要措施來加強網絡安全技術防范進行評價,從而幫助企業在投資網絡安全上做有效選擇，此研究無論從理論上還是實踐上都具有重要的現實意義。

[關鍵詞] 投資 網絡安全 經濟性

筆者所在公司的計算機網絡經常會遇到各種各樣的安全問題，主要包括病毒感染、惡意攻擊和疏忽大意。公司內部建立了一個局域網，有400多臺電腦通過一個服務器與外網連接，同時，公司有自己的OA系統和正式對外信息的網站，這些都對網絡系統的安全性提出了較高要求。

幾年來，我在管理公司整個網絡系統安全的過程中，在為地稅系統做安全服務時，參照研究了國內外一些主要從事電子商務網站的經驗（主要是阿里巴巴網站和CISCO公司），并根據本企業實際情況和經常發生的安全問題，采取了一些較為適用的安全防范措施。在不斷的選用和比較中，我對投資網絡安全所帶來的經濟回報有了一定的認識。

事實上，許多企業都愿意采用一個相對通用的方案來評價在網絡安全活動和過程中的投資行為，一般是由一個專門的部門用多年時間來搜集數據，然后幫助企業形成一個結構良好的通用的投資回報分析報告。處理這些通用數據需要一些步驟，如下所示：

1.分析潛在經濟影響

2.明確電子商務強度

3.檢驗安全成本

4.計算一個通用的安全投資回報

一、分析潛在經濟影響

對于病毒和入侵，企業一般面臨三種類型的經濟性影響――直接性經濟影響、短期性經濟影響和長期性經濟影響。據國家公安部公共信息網絡安全監察局的調查結果顯示，2005年5月～2006年5月間，有54％的被調查單位發生過信息網絡安全事件，其中，感染計算機病毒、蠕蟲和木馬程序的安全事件為84％，遭到端口掃描或網絡攻擊的占36％，垃圾郵件占35％。未修補和防范軟件漏洞仍然是導致安全事件發生的最突出原因，占發生安全事件總數的73％。

對于一個以網絡為支撐的、單一業務的企業，惡意攻擊給其帶來的經濟性影響如表1所示。

表 1

來源: 《公安部公共信息網絡安全監察局》

在提交公司的調研報告上，我參照研究了《計算機經濟》上的數據，如表2所示。如果針對惡意攻擊，企業沒有采用足夠的安全防護，那些能夠預測到發生的平均經濟影響。可以看出，對電子商務技術依賴的越多，惡意攻擊所帶來的負面經濟影響就越大（表中節點數是指連接到網絡上的設備）。

表2

來源:《計算機經濟》

表中的結果是過去五年的歷史數據所做的平均值，主要包括清除被惡意代碼感染系統的成本，黑客攻擊和入侵的恢復成本，收入損失和員工生產率降低。我公司屬于低強度電子商務公司，有500個節點，從2005年、2006年兩年的各種安全技術、設備的使用對比中發現:惡意攻擊給我公司帶來的經濟影響要相對小于表2提供的數據，但如果算上短期經濟影響，基本符合了數值取向。阿里巴巴網站算是一家高強度電子商務公司，由于其具備網上實時交易的特性，所以它的安全等級要求極高，而根據該公司曾提及的蠕蟲病毒等網絡攻擊給其帶來的損失來看，要遠大于表2提供數據。

二、明確電子商務的強度

在明確一家企業電子商務強度的時候，需要考慮的、能支持該公司電子商務強度的因素如下：

1.信息系統員工崗位是否多樣化

2.是否有合適的電子商務軟件

3.是否有自己的網站、有多條互聯網接入

4.是否用信息技術支持電子通信

5.是否有基于網絡的B2B、B2C交易

6.是否通過網站進行電子數據交換

7.是否支持通過直接撥號與供應商、消費者進行電子數據交換

三、安全成本有哪些

花費在安全方面的IT預算很難確定標準。近來大部分的研究表明，多數企業在安全方面花費不足2％的IT預算。在企業內，系統的可用性、數據的完整性和保密性都極度重要，國內有些專家呼吁，企業應花費其IT預算總額的5％用于安全。

事實上，安全方面的預算支出常常是一個經驗值，通過一些基礎數據，逐步摸索出一個相對經濟的安全防范成本。安全防范的成本可以被劃分為許多子類，而且不同的企業差異也很大。

四、計算一個通用的安全投資回報

當要計算安全投資回報時，一定要考慮使用一些變量。首先應該考慮的是耗費在安全方面的資金量。其次，明確當前的威脅水平，或者至少是知道當前的威脅大概什么樣。最后，還有法律、法規和安全的要求，這需要不同類型的組織采取一些有效措施來保護信息免受攻擊。為達到合法、合規的目的，這些組織就需要花費成本，也許會超過平衡點，以此來幫助企業告知當前威脅水平（這點，我們企業經常會接到哈爾濱市網絡安全管理局定期的網絡病毒報告）。

在電子商務企業中，惡意攻擊對潛在的經濟影響是相當大的，這也增加企業對安全產品和相關人員的需求。

五、總結

如果能夠相對清晰地計算你的投資回報，這將有利于你在網絡安全方面做正確的決定，將擁有一個安全的基礎來進行信息共享，可以通過電子商務來增加你的收入，可以通過提高人員效率來增加企業利潤。

參考文獻:

[1]張寬海:《電子商務概論》,機械工業出版社,2003年

[2]丘曉理:《部屬安全的無線局域網絡》，摘自《計算機世界――技術與應用》，2006年第37期

第3篇

隨著現代計算機網絡技術和信息技術的飛速發展，電子商務得到了越來越廣泛的應用，越來越多的企業和個人用戶依賴于電子商務的高效和快捷而進行著各種商務活動。電子商務順利開展的核心和關鍵問題是保證交易的安全性，這是網上交易的基礎。電子商務是以計算機和開放的網絡為基礎載體的，大量重要的身份信息、金融信息、交易信息都需要在網上進行電子的傳輸，電子商務安全支付問題成為大家共同關心的問題。伴隨著各種移動終端和無線網絡的不斷發展和完善，移動支付在不僅是一個重要的機遇，同時也帶來了一個重大的挑戰。

2電子商務及信息安全現狀

近年來，電子商務開始了蓬勃地發展，但電子商務安全隱患嚴重地影響了電子商務的進行。信息安全問題成為制約我國電子商務發展的重要因素還是，因此，必須從技術上為電子商務交易活動提供機密性、完整性、真實性和抗抵賴性等安全保障。我們將從電子商務和信息安全兩個方面分別進行討論。

2.1 電子商務發展現狀

依據國家互聯網中心（CNNIC）的最新報告，2013年網絡購物市場繼續快速向前發展，交易金額達到1.85萬億元，較2012年增長40.9%。2013年網絡零售市場交易總額占社會消費品零售總額的7.9%。

截至2013年12月，我國網絡購物用戶規模達到3.02億，較上年增加5987萬，增長率為24.7%，使用率從42.9%提升至48.9%。網購用戶規模的快速擴張為網購市場的發展奠定良好的用戶基礎，釋放著巨大的市場潛力。

2.2 信息安全現狀

近年來，雖然安全軟件逐漸普及、防范能力不斷加強，但新的病毒、詐騙手段和騷擾手段不斷涌現，安全軟件防范難度加大，安全事件發生概率仍然較高。整體上來講，我國信息安全環境仍不容樂觀，有74.1%的網民在過去半年內遇到過安全事件，總人數達4.38億。

電腦網上購物發生安全問題的網民數占整體電腦上網人數的4.0%，影響人口達2010.6萬人。電腦網上購物發生安全事故較多的是遇到欺詐信息，在網購安全事故發生人群中的發生比例達75.0%；其次為假冒網站/詐騙網站，比例為60.7%；其它方面，個人信息泄露比例達42.9%、賬號密碼被盜比例達23.8%、中病毒和木馬的情況為22.6%。

網購時發生這些安全事件，不僅給購物者造成損失，同時也影響電子商務的健康發展。

3電子支付安全

在電子商務的交易完成后，如何保證交易的任何一方無法否認已發生的交易。這些安全問題將在很大程度上限制電子商務的進一步發展，因此如何保證Internet 網上信息傳輸的安全，已成為發展電子商務的重要環節。電子支付涉及到大量資金流的轉移以及個人隱私或商業機密，而這種支付是發生在開放性程度非常高的互聯網上，必須從技術上為電子商務交易活動提供機密性、完整性、真實性和抗抵賴性等安全保降。因此，要對網上安全電子支付提出以下的要求：

（1）交易數據的保密性。保密性是網絡信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性。即，防止信息泄漏給非授權個人或實體，信息只為授權用戶使用的特性。電子支付過程主要處理與金融數據有關的信息， 數據處理量大，且每筆數據都會影響到一定的經濟利益，因此，交易過程中產生的與支付有關的數據應該被嚴格保密， 除交易雙方以及被授權第三方外，必須保護支付交易的私密性，同時要防止信息被越權訪問。

（2）交易數據的完整性。完整性是網絡信息未經授權不能進行改變的特性。即網絡信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。交易數據在網絡上傳輸過程中的完整性和有效性，即發送方發出的數據與接收方收到數據應該是相同的、未經更改的。

（3）交易數據的不可抵賴性。不可抵賴性也稱作不可否認性，在網絡信息系統的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認或抵賴曾經完成的操作和承諾。利用信息源證據可以防止發信方不真實地否認已發送信息，利用遞交接收證據可以防止收信方事后否認已經接收的信息。

電子商務交易過程是雙方或者是多方的，其中一方抵賴自己的交易都會給另一方帶來利益損失，因此必須保證交易雙方在交易后都無法否認和抵賴。

4電子商務支付安全中主流技術

電子支付中交易信息的安全在很大程度上依賴于網絡信息安全技術的完善，電子商務安全是信息安全的上層應用， 它包括的技術范圍比較廣， 主要分為數據加密技術和身份認證技術兩大類。

4.1數據加密技術

加密技術是保證電子商務中采用的主要安全措施， 交易雙方可根據需要在信息交換階段使用。在一個加密過程中有兩個基本元素： 算法和密鑰。加密過程就是根據一定的算法， 將可理解的數據（明文） 與一串數字（ 密鑰） 相結合， 從而產生不可理解的密文的過程， 主要加密技術是對稱密文加密和非對稱加密

（1）對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密， 即收發雙方采用相同的密鑰來進行加密和解密， 對稱密鑰加密的最大優點是加解密速度快， 適合于進行大量數據加密， 但也存在密鑰管理、困難以及無法進行身份鑒別的缺點。

（2）非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密， 每個用戶有一對密鑰：一個用于加密， 一個用于解密， 兩把密鑰實際上是兩個很大的質數， 加解密過程。其中， 加密密鑰（公鑰） 可以在網絡服務器、報刊等場合公開， 而解密密鑰（私鑰） 則屬用戶的私有密鑰， 由公開的加密密鑰導出私有的解密密鑰在技術上是不可實現的。與對稱密鑰加密相比， 采用非對稱密鑰加密方式密鑰管理較方便， 且保密性比較強， 但加解密實現速度比較慢， 不適用于通信負荷較重的應用。

數據加密技術是信息安全的基礎，加密的主要目的是防止信息的非授權泄露、保證交易信息的保密性、完整性和不可抵賴性的要求。

4.2主流身份認證方式

身份認證技術是指計算機及網絡系統確認操作者身份的過程所應用的技術手段。如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者，也就是說保證操作者的物理身份與數字身份相對應。

（1）用戶名口令。針對盜取密碼的惡意軟件越來越多

（2）動態口令。動態口令也稱動態密碼，是根據專門的算法每隔一定時間生成一個與時間相關的隨機密碼。用戶進行認證時候，除輸入賬號和靜態口令之外，必須要求輸入動態口令。通過“動態密碼”登錄的用戶沒有電子簽名，這樣也就沒有具有法律效力的認證材料。因此，“動態密碼”它只適用于金額小的交易，對于金額大、使用頻繁的用戶，其安全性存在一定的風險。

（3）數字證書。數字證書是由權威公正的第三方機構（即CA中心）簽發的證書。它的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性。為解決這些Internet 的安全問題，世界各國對其進行了多年的研究，初步形成了一套完 整的Internet 安全解決方案，即被廣泛采用的PKI 技術（Public Key Infrastructure-公鑰基礎設施）。公鑰基礎設施PKI是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范。采用基于PKI 結構結合數字證書，通過把要傳輸的數字信息進行加密，保證信息傳輸的保密性、完整性，簽名保證身份的真實性和抗抵賴。

（4）生物特征識別。生物識別技術主要是指通過人類生物特征進行身份認證的一種技術。由于人的生物特征具有唯一性和穩定性的特點，并且可隨身攜帶、不易被盜、不易被偽造、不易丟失，所以生物特征識別成為目前最安全的身份認證技術。但是，生物特征識別通常需要昂貴的專用設備、受使用環境限制等缺點，在電子支付中較少采用。

每一種身份認證方式都有其優勢也存在一定的局限性。動態密碼以方便便捷且與平臺無關性，通過電腦、手機、IPAD都可以使用等優點在網銀、網游、電信領域成為電子支付重要的身份認證方式，主流產生形式有手機短信、硬件令牌、手機令牌等。基于數字證書的身份認證是電子支付中最安全解決方案。但是，需要專用的硬件和客戶支持，使用不如動態密碼方便快捷，一般用于大額電子交易。

5電子商務發展趨勢

依據CNNIC報告，2014年電子商務類應用整體行業發展態勢良好，手機支付是亮點。隨著線上與線下渠道的打通及多類移動應用的服務帶動，手機支付呈現爆發式增長，手機網上支付、手機網絡購物、手機網上銀行和手機網上預訂應用網民規模年增長速度均超過100%。手機網絡購物在移動端商務市場發展迅速，用戶規模達到1.44億，使用率從13.2%提升到28.9%。

截至2014年6月，我國手機網民規模達5.27億，較2013年底增加2699萬人，網民中使用手機上網的人群占比進一步提升，由2013年的81.0%提升至83.4%，手機網民規模首次超越傳統PC網民規模。

隨著移動電子商務的普及和發展，移動支付業務受到了越來越多的關注，而其安全性更是成為大眾關注的焦點。由于移動終端種類繁雜、使用環境也更為復雜、基于數字證書的身份認證和數字簽名技術兼容性和成熟度遠不及PC平臺，并且移動終端本身的安全性問題也給動態口令等身份認證方式帶來了新的安全問題和挑戰。

第4篇

[關鍵詞] 電子商務 靜態密碼 網絡安全 客戶證書 動態密碼

電子商務源于英文ELECTRONIC COMMERCE，指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。隨著電子商務的普及，人們已經習慣于網上購物，網上銀行和電子支付等新興事物，然而網絡安全始終是制約電子商務發展的一個主要瓶頸。

一、電子商務的身份認證

在電子商務活動中，由于所有的個人和交易信息要在一個開放的網絡（如Internet）進行傳輸和交換，故我們需要身份認證技術去驗證客戶的身份。身份認證一般基于客戶擁有什么（如令牌，智能卡或者ID卡），客戶知道什么（如靜態密碼），客戶有什么特征（如指紋，虹膜和腦電波等）。國內外常見身份認證技術包括：用戶名/密碼方式 、IC卡認證、USB Key認證和生物特征認證等。隨著網絡和黑客技術的發展，用戶名/密碼方式認證已經被證明是不安全的。由于靜態的密碼方案不能抵御重放攻擊，字典攻擊且密碼容易忘記， 所以其安全性是很低的，不能滿足電子商務中身份認證的要求。目前國內外的一些較成熟的身份認證技術，基本上是用硬件來實現的（如IC卡和USB Key認證技術等）。

二、各種身份認證技術的比較

1. 靜態的用戶名和口令方案。在眾多的身份認證方案中，靜態的用戶名和口令方案至今仍是使用最廣泛的方案，特別是針對那些安全性要求不強的應用場合，如論壇，BBS和電子信箱。目前公司和個人受到網絡攻擊的主要原因是靜態密碼政策管理不善。大多數用戶使用的密碼都是字典中可查到的普通單詞、姓名或者其他簡單的密碼。有86％的用戶在所有網站上使用的都是同一個密碼或者有限的幾個密碼。最近一次全國性安全事件發生在2011年12月。當時CSDN的安全系統遭到黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄漏。黑客在獲取了CSDN的用戶登錄名和密碼后，再用這個密碼嘗試登錄注冊郵箱，如果成功則利用很多網站常用的密碼取回功能得到了該用戶的其他關聯網站的賬號和密碼。總而言之，靜態密碼身份認證方案的優點是實施成本低，不需要購置特殊的設備，用戶體驗性好，但其安全性較低。

2. 客戶證書USBKey（U盾）方案。從技術角度看，客戶證書USBKey是用于網上銀行電子簽名和數字認證的工具，它內置微型智能卡處理器，采用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名，確保網上交易的保密性、真實性、完整性和不可否認性。目前國內幾大商業銀行，如工商銀行、農業銀行和交通銀行等都采用了USBKey方案。網絡黑客即使知道了客戶的登錄密碼和支付密碼，但如果沒有USBKey在手，黑客還是不能夠從你的帳戶轉出一分錢。故這種身份認證方式可以很好地避免賬號、密碼被盜等可能出現的風險。USBKey方案的優點是安全性很強，但由于涉及到了硬件故其成本較高，且USBKey使用前需要先安裝驅動。對于一些常常出差或者需要在不同機器上使用USBKey的客戶來說，由于計算機各種操作系統（如Windows和Linux）和硬件（各種不同品牌機器）的差異性，可能在安裝時會遇到一些兼容性問題，這大大減低了用戶的體驗滿意度。

3.短信認證方案。目前一些大型電子商務網站往往采取“靜態密碼+短信認證”方案。該類系統使用數字物理噪聲源產生完全隨機變化的動態（驗證）密碼,并通過無線通信方式將該動態密碼發送到用戶的無線通信終端(尋呼機或移動電話等) 上。譬如支付寶網站在用戶支付小額金額時只需輸入支付密碼，但額度如果超過一定額度（如200元），則支付寶網站向用戶手機（注冊時登記的號碼）發一條驗證短信，然后用戶在網站上輸入6位的手機驗證碼和支付密碼后才能完成付款。采用這種身份認證方式的優點是既保證了小額支付的快捷性，又保證了大額支付的安全性。但由于該認證系統的實時性和穩定性在很大的程度上依賴于無線通信網的狀態，當網絡出現擁塞時將導致驗證密碼傳輸會有較大的時延,甚至將使系統無法正常完成身份認證過程，而且由于短信的發送會產生大量的短信費用，對中小型電子商務網站來說仍然是不小的開銷。

4.動態口令認證方案。動態口令又稱為一次性口令OTP(One-Time-Password)，其特點是用戶根據服務商提供的動態口令令牌的顯示數字來輸入動態口令，而且每個登錄服務器的口令只使用一次，竊聽者無法用竊聽到的登錄口令來做下一次登錄，同時利用單向散列函數（如 Sha-1算法等）的不可逆性，防止竊聽者從竊聽到的登錄口令推出下一次登錄口令。中國銀行就是采用了動態口令認證方案。該方案的特點使用簡單，用戶無須安裝任何驅動，操作時只需輸入當前顯示的6位動態口令即可。其不足之處是安全性沒有USBKey強，如在2011年上半年，全國各地出現了多起中國銀行動態口令泄露安全事件。黑客們首先設計了多個釣魚網站，然后引誘中銀用戶輸入登錄密碼和動態口令。動態口令雖然為一次性口令，但其在60秒之內是可反復使用的。故黑客得到了用戶的登錄密碼和動態口令之后，只要在1分鐘內登錄進真正的中銀系統后就可以完成轉賬等竊取用戶資金的操作了。

三、結束語

作為一種商務活動過程，電子商務將帶來一場史無前例的革命，而電子商務網站的安全性問題也越來越受到人們的重視，其身份認證也已從最初的邏輯認證發展到物理認證最終將達到生物認證，希望在不久的將來安全可靠的電子商務會將人類真正帶入信息社會。

第5篇

[關鍵詞] 電子商務 加密技術 數字簽名

一、引言

隨著Internet的發展，電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業信息。電子商務安全問題是電子商務發展中的一個主要障礙。電子商務安全技術的應用為建立一個安全、便捷的電子商務應用環境,對商家和客戶的信息提供足夠的保護,起著關鍵性的作用。

二、電子商務面臨的安全問題

1.信息的截獲和竊取

由于未采用加密措施,信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。

2.篡改信息

當入侵者掌握了信息的格式和規律后，通過各種技術手段和方法，將網絡上傳送的信息數據在中途修改，然后再發向目的地。

3.信息假冒

由于掌握了數據的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

4.交易抵賴

交易抵賴包括多個方面，如發信者事后否認曾經發送過某條信息或內容；收信者事后否認曾經收到過某條消息或內容；購買者做了訂單不承認；商家賣出的商品因價格差而不承認原有的交易等。

5.惡意破壞

由于攻擊者可以接入網絡，則可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入網絡內部，其后果是非常嚴重的。

三、電子商務安全技術

1.密碼技術

密碼技術是信息安全的核心技術。對信息安全的需求大部分可以通過密碼技術來實現。密碼技術包括加密、簽名認證和密鑰管理技術等。

(1)加密技術。數據加密的基本過程就是對原來為明文的文件或數據按某種算法進行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應的密鑰之后才能顯示出本來內容,通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。加密技術通常分為兩大類:“對稱式”和“非對稱式”。加密技術是保證電子商務安全的重要手段，許多密碼算法現已成為網絡安全和商務信息安全的基礎。

(2)數字簽名。在電子商務安全系統中,數字簽名技術占有重要的地位。在電子商務安全服務中的源鑒別、完整、不可否認服務中,都要用到數字簽名技術。數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。目前,數字簽名一般都通過單向Hash函數來實現,它可以驗證交易雙方數據的完整性。通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。數字簽名技術將具有廣闊的應用前景,它將直接影響電子商務的發展。

(3)密鑰管理技術。密鑰管理包括密鑰的產生、存儲、裝入、分配、保護、丟失、銷毀以及保密等內容。其中分配和存儲是最棘手的問題。密鑰管理不僅影響系統的安全性，而且涉及系統的可靠性、有效性和經濟性。在用密碼技術保護的現代信息系統的安全性主要取決于對密鑰的保護。密鑰管理技術主要包括：對稱密鑰管理;公開密鑰管理，第三方托管技術。

2.網絡安全技術

（1)防火墻技術。防火墻可以根據網絡安全水平和可信任關系將網絡劃分成一些相對獨立的子網，兩側間的通信受到防火墻的檢查控制；可以根據既定的安全策略允許特定的用戶和數據包穿過，同時將安全策略不允許的用戶與數據包隔斷，達到保護高安全等級的子網、防止墻外黑客的攻擊、限制入侵蔓延等目的。防火墻具有以下五大基本功能:過濾進、出網絡的數據;管理進、出網絡的訪問行為；封堵某些禁止行為；記錄通過防火墻的信息內容和活動；對網絡攻擊進行檢測和告警。目前的防火墻主要有兩種類型。其一是包過濾型防火墻，其二是應用級防火墻。

（2)虛擬專用網VPN技術。虛擬專用網VPN是一種特殊的網絡，它采用一種叫做“通道”或“數據封裝”的系統，用公共網絡及其協議向貿易伙伴、顧客、供應商和雇員發送敏感的數據。這種通道是Internet上的一種專用通道，可保證數據在外部網上的企業之間安全地傳輸。在VPN中，只要通信的雙方默認即可，沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性，因而能夠保證數據的保密性和可用性。VPN實現的關鍵技術是隧道技術、加密技術和QoS（服務質量）技術。

（3)入侵檢測技術。入侵檢測技術是防火墻技術的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。其最重要的價值之一是它能提供事后統計分析，所有安全事件或審計事件的信息都將被記錄在數據庫中，通過從各個角度對這些事件進行分析歸類，可以總結出被保護網絡的安全狀態的現狀和趨勢，及時發現網絡或主機中存在的問題或漏洞，并可歸納出相應的解決方案。入侵檢測的主要方法有：靜態配置分析，異常性檢測方法、基于行為的檢測方法及幾種方法的組合。

（4)安全交易協議。除了各種安全控制技術之外，電子商務的運行還需要一套完整的安全交易協議。不同交易協議的復雜性、開銷、安全性各不同。同時，不同的應用環境對協議目標的要求也不盡相同。目前，比較成熟的協議有安全套接層協議(SSL)和安全電子交易協議(SET)。

三、小結

用于保護電子商務的安全控制技術很多，并非把這些技術簡單地組合就可以得到安全。但是通過合理應用安全控制技術，并進行有機結合，就可從技術上實現系統、有效的電子商務安全。

參考文獻:

[1]張立克:電子商務及其安全保障技術[J].水利電力機械,2007,29(2):69～74

[2]祝凌曦:電子商務安全[D].北京:清華大學出版社,2006

第6篇

關鍵詞：網絡安全 電子商務

隨著互聯網的快速發展，電子商務已經逐漸成為人們進行商務活動的新模式。據中國互聯網絡信息中心（CNNIC）的《第27次中國互聯網絡發展狀況統計報告》統計，中小企業互聯網接入比例達92.7%，規模較大的企業互聯網接入比例更是接近100%。43%的中國企業擁有獨立網站或在電子商務平臺建立網店；57.2%的企業利用互聯網與客戶溝通，為客戶提供咨詢服務；中小企業電子商務/網絡營銷應用水平為42.1%。可以說，電子商務已經深入國民經濟和人們日常生活的各個方面。但其安全問題也越來越突出，知名安全企業RSA執行主席亞瑟?科維洛的一份中國報告稱，2.17億中國用戶遭受木馬攻擊，1.21億用戶賬戶或密碼曾被盜。如何建立一個安全便捷的電子商務環境，是擺在電子商務眾多商家和買家面前的一個難題。

一、網絡安全問題主要有以下幾種

1、特羅伊木馬

特羅伊木馬，簡稱木馬。在近期，黑客開始利用人性的弱點開始發起行動，他們往往利用免費破解軟件、誘惑視頻播放器、免費外掛軟件以及網絡傳送文件等捆綁木馬。木馬在用戶安裝破解軟件、播放器及外掛時，在運行安裝程序的時候隱藏在計算機系統，隱蔽的與外界連接，接受外界的指令。被植入木馬的電腦系統所有文件將會被黑客獲得，在用戶登陸電子商務網站輸入用戶名密碼及行進支付的時候的賬號及密碼會被木馬竊取發送給黑客。而且系統也會被黑客所控制，被利用作為攻擊其它系統的攻擊源。據360安全中心統計，今年上半年，國內新增木馬病毒樣本4.48億個（以惡意程序的文件指紋數量計算），平均每秒出現29個新木馬，是去年同期的4.46倍，受攻擊的電腦數量日均則達到452.5萬臺。

2、釣魚網站

又稱網絡仿冒、網絡欺詐等。是一種網絡欺詐行為，一般通常偽裝成為銀行網站，黑客等不法份子利用郵件、QQ、群發短信等手段，利用中獎信息、網站升級、客戶服務等信息，在其中提供偽裝的鏈接使其鏈接到釣魚網站。一般來說，釣魚網站和真實網站界面完全一致，在要求用戶登陸的過程中竊取用戶的信用卡號、賬戶名、密碼等信息。據中國互聯網絡信息中心（CNNIC）聯合國家互聯網應急中心（CNCERT）最新的《2009年中國網民網絡信息安全狀況調查報告》顯示，2009年有超過九成網民遇到過網絡釣魚，在遭遇過網絡釣魚事件中的網民中，4500萬網民蒙受了損失，直接經濟損失已經達到了76億元。

3、分布式拒絕服務(DDoS)

分布式拒絕服務攻擊就是黑客利用其在互聯網上控制的很多計算機，同時向某一電子商務網站服務器發送數據包，達到妨害其網絡與系統之間的正常服務，讓用戶不能得到正常服務。近年，DDoS呈轉嫁及流量攻擊等特點。2010年騰訊業務受到多次攻擊就是因為某些小網站受到攻擊后，惡意的將網站域名指向騰訊所致。另一方面，DDoS的攻擊流量越來越大，針對“456 游戲”網站的攻擊流量峰值甚至超過100Gbps。

4、網站首頁篡改

網站首頁篡改是指開展電子商務企業網站的首頁被黑客等不法份子修改為他們提供的首頁。在首頁被篡改后，對電子商務這樣需要與用戶通過網站進行溝通的企業來說，就意味著電子商務將無商可務。尤其對具有攻擊性質的篡改，用戶賬戶信息被盜竊，丑化企業的信息等，都是對企業形象信譽的嚴重損害。據國家計算機網絡應急技術處理協調中心（簡稱CNCERT）監測，2010 年中國大陸有近3.5萬個網站被黑客篡改。

二、網絡安全趨勢預測

1、網絡購物將是攻擊的首選

伴隨著電子商務市場的蓬勃發展，這個領域必然是黑客攻擊的重點。 在過去的一年，針對電子商務的攻擊給眾多企業及用戶帶來嚴重損失，電子商務平臺提供者及眾多安全軟硬件制造商在努力的幫助他們減少損失，從目前看效果并不理想，網絡騙術正在不停翻新，黑客正在編寫著新的網購木馬。

2、針對大型虛擬社交網絡的攻擊不斷加強

以QQ社區為代表的網絡社區，人數眾多，普遍支持分享鏈接。此鏈接很容易被用來傳遞不良信息，比如指向釣魚網站的鏈接。而且社區人數眾多，只要社區系統被黑客發現漏洞，那么龐大的用戶群的相關信息及權益得不到保障。

三、對策

隨著網絡應用日益普及及其開放性的特點，網絡安全事件又不斷出現，電子商務的安全問題日益突出，怎么樣才能有效保護電子商務的正常開展？我國政府主管部門、互聯網企業及普通用戶都應重視互聯網安全問題，上下聯動，發揮各自的作用，共同提供互聯網安全的水平。

1、加強網絡安全立法工作

國家應提高對網絡安全的重視，加強高層次立法，加大網絡犯罪懲治，量刑力度，形成有效震懾，增加其犯罪成本。

2、進一步加大網絡安全行政監管力度

抓好《公共互聯網網絡安全應急預案》和《互聯網網絡安全信息通報實施辦法》等網絡安全相關政策文件的落實。對容易照到攻擊的金融、證券等重要聯網信息系統主管部門應加強網絡安全管理和保障工作。

3、加強網絡身份認證服務體系

迅速蓬勃發展的電子商務，和傳統的商務行為不同。電子商務進行的是無紙貿易，交易雙方基本不見面，通過網絡虛擬平成整個交易，其信用及身份的認證僅僅依靠提供服務平臺的密碼認證。由于平臺的多樣性及密碼的虛擬性，決定信用體系存在較大的疑問。國家應牽頭依托合法電子商務認證服務機構，形成覆蓋全國的網絡身份認證服務體系。

4、加強網絡安全防范意識

對于我們普通網民，我們要提高對網絡安全對電子商務威脅的認識及加強網絡安全防護的意識。做好個人計算機的安全防護，養成良好的上網習慣，學習一些基本的網絡安全知識，不訪問一些不確定安全性的網站，不下載無法確定安全性的軟件，電腦中安裝殺毒軟件和防火墻，經常掃描自己的電腦。

參考文獻：

[1]CNNIC、CNCERT.2009年中國網民網絡信息安全狀況調查報告

第7篇

論文摘 要：隨著電子商務時代的到來，電子商務安全問題越來越受到關注。特別是近年來的威脅網絡安全事件成出不窮，成為阻礙電子商務發展的一個大問題。對電子商務安全面臨的的威脅進行研究分析，提出電子商務安全策略的總體原則及使用的主要技術。

電子商務安全策略是對企業的核心資產進行全面系統的保護，不斷的更新企業系統的安全防護，找出企業系統的潛在威脅和漏洞，識別，控制，消除存在安全風險的活動。電子商務安全是相對的，不是絕對的，不能認為存在永遠不被攻破的系統，當然無論是何種模式的電子商務網站都要考慮到為了系統安全所要付出的代價和消耗的成本。作為一個安全系統的使用者，必須應該綜合考慮各方因素合理使用電子商務安全策略技術，作為系統的研發設計者，也必須在設計的同時考慮到成本與代價的因素。在這個網絡攻防此消彼長的時代，更應該根據安全問題的不斷出現來檢查，評估和調整相應的安全策略，采用適合當前的技術手段，來達到提升整體安全的目的。電子商務所帶來的巨大商機背后同樣隱藏著日益嚴重的電子商務安全問題，不僅為企業機構帶來了巨大的經濟損失，更使社會經濟的安全受到威脅。

1 電子商務面臨的安全威脅

在電子商務運作的大環境中，時時刻刻面臨著安全威脅，這不僅僅設計技術問題，更重要的是管理上的漏洞，而且與人們的行為模式有著密不可分的聯系。電子商務面臨的安全威脅可以分為以下幾類：

1.1 信息內容被截取竊取

這一類的威脅發生主要由于信息傳遞過程中加密措施或安全級別不夠，或者通過對互聯網，電話網中信息流量和流向等參數的分析來竊取有用信息。

1.2 中途篡改信息

主要破壞信息的完整性，通過更改、刪除、插入等手段對網絡傳輸的信息進行中途篡改，并將篡改后的虛假信息發往接受端。

1.3 身份假冒

建立與銷售者服務器名稱相似的假冒服務器、冒充銷售者、建立虛假訂單進行交易。

1.4 交易抵賴

比如商家對賣出的商品因價格原因不承認原有交易，購買者因簽訂了訂單卻事后否認。

1.5同行業者惡意競爭

同行業者利用購買者名義進行商品交易，暗中了解買賣流程、庫存狀況、物流狀況。

1.6 電子商務系統安全性被破壞

不法分子利用非法手段進入系統，改變用戶信息、銷毀訂單信息、生成虛假信息等。

2 電子商務安全策略原則

電子商務安全策略是在現有情況，實現投入的成本與效率之間的平衡，減少電子商務安全所面臨的威脅。據電子商務網絡環境的不同，采用不同的安全技術來制定安全策略。在制定安全策略時應遵循以下總體原則：

2.1 共存原則

是指影響網絡安全的問題是與整個網絡的運作生命周期同時存在，所以在設計安全體系結構時應考慮與網絡安全需求一致。如果不在網站設計開始階段考慮安全對策，等網站建設好后在修改會耗費更大的人力物力。

2.2 靈活性原則

安全策略要能隨著網絡性能及安全威脅的變化而變化，要及時的適應系統和修改。

2.3 風險與代價相互平衡的分析原則

任何一個網絡，很難達到絕對沒有安全威脅。對一個網絡要進行實際分析，并且對網絡面臨的威脅以及可能遇到的風險要進行定量與定性的綜合分析，制定規范的措施，并確定本系統的安全范疇，使花費在網絡安全的成本與在安全保護下的信息的價值平衡。

2.4 易使用性原則

安全策略的實施由人工完成，如果實施過程過于復雜，對于人的要求過高，對本身的安全性也是一種降低。

2.5 綜合性原則

一個好的安全策略在設計時往往采用是多種方法綜合應用的結果，以系統工程的觀點，方法分析網絡安全問題，才可能獲得有效可行的措施。

2.6 多層保護原則

任何單一的安全保護措施都不是能獨當一面，絕對安全的，應該建立一個多層的互補系統，那么當一層被攻破時，其它保護層仍然可以安全的保護信息。 轉貼于

3 電子商務安全策略主要技術

3.1 防火墻技術

防火墻技術是一種保護本地網絡，并對外部網絡攻擊進行抵制的重要網絡安全技術之一，是提供信息安全服務，實現網絡信息安全的基礎設施。總體可以分為：數據包過濾型防火墻、應用級網關型防火墻、服務型防火墻等幾類。防火墻具有5種基本功能：

（1）抵擋外部攻擊；

（2）防止信息泄露；

（3）控制管理網絡存取和訪問；

（4）VPN虛擬專用網功能；

（5）自身抗攻擊能力。

防火墻的安全策略有兩種情形：

（1）違背允許的訪問服務都是被禁止的；

（2）未被禁止的訪問服務都是被允許的。

多數防火墻是在兩者之間采取折中策略，在安全的情況之下提高訪問效率。

3.2 加密技術

加密技術是對傳輸的信息以某種方法進行偽裝并隱藏其內容，而達到不被第三方所獲取其真實內容的一種方法。在電子商務過程中，采用加密技術將信息隱藏起來，再將隱藏的信息傳輸出去，這樣即使信息在傳輸的過程中被竊取，非法截獲者也無法了解信息內容，進而保證了信息在交換過程中安全性、真實性、能夠有效的為安全策略提供幫助。

3.3 數字簽名技術

是指在對文件進行加密的基礎上，為了防止有人對傳輸過程中的文件進行更改破壞以及確定發信人的身份所采取的手段。在電子商務安全中占有特別重要的地位，能夠解決貿易過程中的身份認證、內容完整性、不可抵賴等問題。數字簽名過程：發送方首先將原文通過Hash算法生成摘要，并用發送者的私鑰進行加密生成數字簽名發送給接受方，接收方用發送者的公鑰進行解密，得到發送方的報文摘要，最后接收方將收到的原文用Hash算法生成其摘要，與發送方的摘要進行比對。

3.4 數字證書技術

數字證書是網絡用戶身份信息的一系列數據，由第三方公正機構頒發，以數字證書為依據的信息加密技術可以確保網上傳輸信息的的保密性、完整性和交易的真實性、不可否認性，為電子商務的安全提供保障。標準的數字證書包含：版本號，簽名算法，序列號，頒發者姓名，有效日期，主體公鑰信息，頒發者唯一標識符，主體唯一標示符等內容。一個合理的安全策略離不開數字證書的支持。

3.5 安全協議技術

安全協議能夠為交易過程中的信息傳輸提供強而有力的保障。目前通用的為電子商務安全策略提供的協議主要有電子商務支付安全協議、通信安全協議、郵件安全協議三類。用于電子商務的主要安全協議包括：通訊安全的SSL協議（Secure Socket Layer），信用卡安全的SET協議（Secure Electronic Transaction），商業貿易安全的超文本傳輸協議（S-HTTP），InternetEDI電子數據交換協議以及電子郵件安全協議S/MIME和PEM等。

4 結論

在電子商務飛速發展的過程中，電子商務安全所占的比重越發重要。研究電子商務安全策略，意在于減少由電子商務安全威脅帶給人們電子商務交易上的疑慮，以推動電子商務前進的步伐。解除這種疑慮的方法，依賴著安全策略原則的制定和主要技術的不斷開發與完善。

參考文獻

［1］田沛. 淺談電子商務安全發展戰略［J］. 知識經濟， 2010， （2）.

［2］如先姑力阿布都熱西提. 計算機網絡安全對策的研究［J］. 科技信息（學術研究）， 2008， （10）.

［3］陳偉. 電子商務安全策略初探［J］.才智， 2009，（11）.

第8篇

安全防范

“網絡安全問題一直存在。”艾瑞咨詢行業研究部部門經理王芳對《中國聯合商報》記者表示。

IBM最新消息稱，根據它在全球各地的3700個管理安全服務客戶提供的數據，在過去的四個月里，安全事件的數量從每天18億次增加到了25億次。在過去的120天里，網絡中和基于網絡的安全攻擊事件增長了30%；訪問IBM虛擬安全操作中心的用戶數量增長了40%。

“主要因為網絡安全的考慮，企業間進行電子采購顧慮很多。不管是電子資金流、信息流、還是電子物流，其中資金安全顧慮最高。”王芳表示。由于從事電子采購的采購量通常很大，因此涉及企業的資金流一般也都比較大，現在網絡安全問題一直存在，不管大企業還是中小企業對于資金安全的顧慮是最高的。

“因為傳統的商務流程里，不太習慣沒有見到采購方，甚至沒有看到商品的情況下，去完成采購的相關交付。”王芳解釋，對于電子采購的安全擔憂還部分受到傳統交易方式的影響。此外，還有一點很重要――信用保障體系有待完善。

信用保障

信用是電子商務企業發展不可或缺的主要競爭力。雖然電子采購價格相對便宜，大多數的企業還都是在信用的前提下去選擇價格。

國外的電子采購無論從交易額還是交易比例絕大部分都要比國內高。“很大程度上是因為國外企業的信用體系，包括整個支付和物流的社會信用環境相對比較成熟。”王芳分析，只有通過成熟的市場主體為市場提供面向個人和企業、覆蓋社會領域各個方面的信用服務，才能真正創造一種適應并規范信用交易發展的市場環境，電子商務領域尤其如此。而國內來說，信用保障體系不夠完善，加上認證費用較高，很多企業經常通過自己的銷售額等一些簡單數據來證明自己的信用條件，這里就存在很大風險，而且這種風險目前更多的由采購方來承擔。

此外，國外企業對于信息化的接受程度，包括企業內部的信息化建設都已經相對完善，這都影響到信用保障的建設問題。

資質認證

電子采購環節上，是信譽核心還是價格核心？“信譽和價格必需要有一個平衡點，這就需要資質認證”。王芳對《中國聯合商報》記者分析。