电子商务的安全问题

电子商务的安全问题（精选9篇）

1.电子商务的安全问题 篇一

：我所了解的电子商务发展中存在的安全问题。

可以说在电子商务的系统里面没有安全保证的系统一定是一个豆腐渣工程，没有人敢用，安全问题非常重要。

怎么看待电子商务的安全问题？安全不是一个纯技术的概念，没有绝对的安全。安全是有成本和代价的，要采取安全措施不光会带来不方便的地方，可能会带来成本和代价。在安全是发展的、动态的。包括病毒、攻击措施，不可能一蹴而就。1：程序安全

程序安全中的问题主要包括程序漏洞和恶意代码，众所周知，程序开发中的微小需错误都可能造成很大的安全问题，所以不安全编程引发的问题就会被一些恶意的攻击者所利用从而改变程序的执行流程，譬如：缓冲区溢出不完全输入验证以及“检查时刻到使用时刻”错误恶意代码是以破坏为目的的一类程序，例如病毒 蠕虫 特洛伊木马 隐蔽通道分析 因此人们对如何保证软件质量预防程序漏洞或恶意代码应当引起极大的关注。2：操作系统安全

随着电子商务运行环境通过网络访问共享资源的未知用户的增加，如何提供验证机制是一个很重要的问题 3：数据库安全

当前越来越多的应用系统依靠数据库管理系统来管理和保护大量的共享数据，数据库管理系统也成为计算机信息系统的核心部件，因此他的安全问题也变得越来越重要。4：网络安全

网络安全是信息系统安全的基础，它可以通过采用各种技术和管理措施来防御各种网络攻击，保证网络系统正常运行，并确保网络数据的可用性，完整性和保密性。随着INTERNET的发展，网络丰富的信息资源给用户带来了极大的方便，通过INTERNET 进行的各种电子商务业务也日益增多，但是由于INTERNET的开放性，电子商务应用和企业网络中的商业机密均成为攻击者的目标，因此网络安全问题也成为各种网络服务和应用能否进一步发展的关键问题之一。二：电子商务过程中遇到安全问题的解决方法。1：关于程序安全。

编程人员可以使用对缓冲区溢出攻击具有抵抗力的标准库来防御缓冲区溢出攻击。采用数字签名阻止漏洞被攻击者利用，采用软件工程控制等等方法来保护程序的安全。2：关于操作系统安全。

可以通过自主访问控制，强制访问控制给予角色访问控制等办法来控制访问权限 3：关于数据库安全。

可以采用数据库访问控制，完整性约束，推理控制和秘密通道数据库加密以及数据库用户管理来保护数据库的安全。4：关于网络安全。

防火墙是一种用来保护本地系统的设备，以防止网络攻击破坏系统或网络，另外虚拟私有网络和入侵监测系统能够阻止部分网络攻击但是要想全面防范，则还需要在网络服务或应用程序开发阶段就要开始仔细考虑安全因素这样才能减少程序漏洞，不要随意相信用户输入的任何数据对所有输入数据进行检查，此外最小特权原则也是有效的安全策略，系统管理员可以只赋予服务器上的程序所需要的最低权限，仅允许其访问完成任务所必需的资源。三：电子商务安全对策

商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，在攻击者和受保护的资源间建立多道严密的安全防线，极大地增加了恶意攻击的难度，并增加了审核信息的数量，利用这些审核信息可以跟踪入侵者。这里我们具体要了解的是商务交易安全及安全措施。商务交易安全：

当许多传统的商务方式应用在Internet上时，便会带来许多源于安全方面的问题，如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间，但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样，涉及的安全问题各不相同，但在Internet上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患：

1窃取信息

由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。2篡改信息

当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

3假冒

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

4恶意破坏

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

因此，电子商务的安全交易主要保证以下四个方面：

5信息保密性

交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉，因此在信息传播中一般均有加密的要求。

6交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。

7不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。

8不可修改性

交易的文件是不可被修改的，否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改，以保障商务交易的严肃和公正。安全措施：

在早期的电子交易中，曾采用过一些简易的安全措施，包括：

部分告知（Partial Order）：即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。

另行确认（Order Confirmation）：即当在网上传输交易信息后，再用电子邮件对交易做确认，才认为有效。

此外还有其它一些方法，这些方法均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。

近年来，针对电子交易安全的要求，IT业界与金融行业一起，推出不少有效的安全交易标准和技术。

主要的协议标准有：

安全超文本传输协议（S－HTTP）：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。

安全套接层协议（SSL）：由Netscape公司提出的安全交易协议，提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器，以完成需要的安全交易操作。

安全交易技术协议（STT，Secure Transaction Technology）：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。

安全电子交易协议（SET，Secure Electronic Transaction）

1996年6月，由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告，并于1997年5月底发布了SET Specification Version 1.0，它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET 2.0预计今年发布，它增加了一些附加的交易要求。这个版本是向后兼容的，因此符合SET 1.0的软件并不必要跟着升级，除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全，确定应用之互通性，并使全球市场接受。所有这些安全交易标准中，SET标准以推广利用信用卡支付网上交易，而广受各界瞩目，它将成为网上交易安全通信协议的工业标准，有望进一步推动Internet电子商务市场。

主要的安全技术有： 虚拟专用网（VPN）

这是用于Internet交易的一种专用网络，它可以在两个系统之间建立安全的信道（或隧道），用于电子数据交换（EDI）。它与信用卡交易和客户发送订单交易不同，因为在VPN中，双方的数据通信量要大得多，而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术，只要通信的双方默认即可，没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性，因而能够保证数据的保密性和可用性。

数字认证

数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性（如一个发票未被修改过），甚至数据媒体的有效性（如录音、照片等）。随着商家在电子商务中越来越多地使用加密技术，人们都希望有一个可信的第三方，以便对有关数据进行数字认证。

目前，数字认证一般都通过单向Hash函数来实现，它可以验证交易双方数据的完整性，Java JDK1.1也能够支持几种单向Hash算法。另外，S/MIME协议已经有了很大的进展，可以被集成到产品中，以便用户能够对通过E mail发送的信息进行签名和认证。同时，商家也可以使用PGP（Pretty Good Privacy）技术，它允许利用可信的第三方对密钥进行控制。可见，数字认证技术将具有广阔的应用前景，它将直接影响电子商务的发展。

加密技术

保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在，一些专用密钥加密（如3DES、IDEA、RC4和RC5）和公钥加密（如RSA、SEEK、PGP和EU）可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而，这些技术的广泛使用却不是一件容易的事情。密码学界有一句名言：加密技术本身都很优秀，但是它们实现起来却往往很不理想。现在虽然有多种加密标准，但人们真正需要的是针对企业环境开发的标准加密系统。加密技术的多样化为人们提供了更多的选择余地，但也同时带来了一个兼容性问题，不同的商家可能会采用不同的标准。另外，加密技术向来是由国家控制的，例如SSL的出口受到美国国家安全局（NSA）的限制。目前，美国的商家一般都可以使用128位的SSL，但美国只允许加密密钥为40位以下的算法出口。虽然40位的SSL也具有一定的加密强度，但它的安全系数显然比128位的SSL要低得多。据报载，最近美国加州已经有人成功地破译了40位的SSL，这已引起了人们的广泛关注。美国以外的国家很难真正在电子商务中充分利用SSL，这不能不说是一种遗憾。上海市电子商务安全证书管理中心推出128 位 SSL的算法，弥补国内的空缺，并采用数字签名等技术确保电子商务的安全。电子商务认证中心（CA，Certificate Authority）

实行网上安全支付是顺利开展电子商务的前提，建立安全的认证中心（CA）则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作，增强网上交易各方的相互信任，提高网上购物和网上交易的安全，控制交易的风险，从而推动电子商务的发展。为了推动电子商务的发展，首先是要确定网上参与交易的各方（例如持卡消费户、商户、收单银行的支付网关等）的身份，相应的数字证书（DC：Digital Certificate）就是代表他们身份的，数字证书是由权威的、公正的认证机构管理的。各级认证机构按照根认证中心（Root CA）、品牌认证中心（Brand CA）以及持卡人、商户或收单银行（Acquirer）的支付网关认证中心（Holder Card CA，Merchant CA 或 Payment Gateway CA）由上而下按层次结构建立的。电子商务安全认证中心(CA)的基本功能是：

生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。对数字证书和数字签名进行验证。对数字证书进行管理，重点是证书的撤消管理，同时追求实施自动管理（非手工管理）。

建立应用接口，特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。

第一代CA是由SETCO公司（由Visa ＆ MasterCard组建）建立的，以SET协议为基础，服务于B C电子商务模式的层次性结构。

由于B B电子商务模式的发展，要求CA的支付接口能够兼容支持B B与B C的模式，即同时支持网上购物、网上银行、网上交易与供应链管理等职能，要求安全认证协议透明、简单、成熟（即标准化），这样就产生了以公钥基础设施（PKI）为技术基础的平面与层次结构混合型的第二代CA体系。

近年来，PKI技术无论在理论上还是应用上以及开发各种配套产品上，都已经走向成熟，以PKI技术为基础的一系列相应的安全标准已经由Internet特别工作组（IETF）、国际标准化组织（ISO）和国际电信联盟（ITU）等国际权威机构批准颁发实施。

建立在PKI技术基础上的第二代安全认证体系与支付应用接口所使用的主要标准有：

由Internet特别工作组颁发的标准：LDAP（轻型目录访问协议）、S/MIME（安全电子邮件协议）、TLC（传输层安全套接层传输协议)、CAT（通用认证技术，Common Authentication Technology）和GSS－API（通用安全服务接口）等。

由国际标准化组织（ISO）或国际电信联盟（ITU）批准颁发的标准为9594－8/X.509（数字证书格式标准）。

在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，应该还具备以下特点： 强大的加密保证

使用者和数据的识别和鉴别 存储和加密数据的保密 联网交易和支付的可靠 方便的密钥管理

数据的完整、防止抵赖

电子商务对计算机网络安全与商务安全的双重要求，使电子商务安全的复杂程度比大多数计算机网络更高，因此电子商务安全应作为安全工程，而不是解决方案来实施。

四：关于《中华人民共和国电子签名法》

该法所涉及的技术问题是电子签名问题。电子签名也称作“数字签名”，是指用符号及代码组成电子密码进行“签名”来代替书写签名或印章，它采用规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项数据电文内容信息的认可。所谓电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据，通俗地说，也就是通过密码技术对电子文件所进行的电子形式的签名。电子签名运用一定的加密技术，将签名人信息转化为加密状态，并在需要时进行解密还原。电子文件在经过电子签名后，就可以用来识别签名人的身份以及文件内容是否是签名人所认可的原本内容。目前制约因素主要有：国内电子签名的软硬件普遍不过硬，国内真正有实力的认证企业屈指可数，其中很多没有任何国家资质，只是在行业和go-vern-ment内部使用，而且国内直接提供电子签名技术的企业更是凤毛麟角；其次，认证标准有待互联互通，在目前情况下，电子签名认证采用的技术标准不止一个，这也会在很大程度上影响电子签名的普及应用。

除了法律和技术问题之外，电子签名或许还要面对“心理”门槛。一位有多次网上购物经历的张老师，她对中国经济时报记者说，大宗交易我不敢信任电子签名，而像百元左右的小宗交易，又觉得不需要电子签名。电子商务的法律完善集中以下领域：数据与隐私权保护、电子合同、电子支付、电子商务的消费者保护、信息安全、电子商务税收、知识产权问题、相关程序法律问题。目前的法律主要解决了信息流方面的问题，包括电子签名、电子合同、电子记录的法律效力，但是对于信息流的知识产权、信息监管以及资金流的电子支付、电子发票、网上证券、网上银行与物流方面的所有权凭证的转移等没有涉及。我国《电子签名法》明确和规范了以下几个方面的问题： 1.明确了电子签名的法律效力。

2.明确了电子签名所需要的技术和法理条件。3.对电子商务认证机构和行为做了规定。

4.明确了电子商务交易双方和认证机构在电子签名活动中的权利、义务和行为规范。5.明确了“技术中立”原则。

6.增加了有关go-vern-ment监管部门法律责任的条款。

随着这部法律的出台和实施，电子签名将获得与传统手写签名和盖章同等的法律效力，意味着在网上通行有了“身份证”。专家认为，这部法律将对我国电子商务、电子政务的发展起到极其重要的促进作用。这部法律规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。尽管开始实施的《电子签名法》只是我国电子商务历程中一部从局部入手的法律，但是它的诞生却是我国在信息化领域探索法治管理的一个良好开端。这部法律将建立良好的网络信用机制和高效的网上交易途径，对我国电子商务的发展以及网络经济繁荣起到极其重要的促进作用。《电子签名法》实施后将对我国电子商务的发展起到极其重要的促进作用。在我国网络信用与数据电文法律效力保障缺乏的情况下，《电子签名法》的实施，使网上数据电文获得法律效力保障，这在很大程度上消除了网络信用危机，加强了电子商务的安全性，使得电子签名与传统手写签名和盖章有同等的法律效力。另外一个好处就是降低成本，提高效率。《电子签名法》的出台为我国电子商务发展提供了基本的法律保障，它解决了电子签名的法律效力这一基本问题，并对电子商务认证机构、电子签名的安全性、签名人的行为规范、电子交易中的纠纷认定等一系列问题做出了明确的规定。有了《电子签名法》的相关规定，电子商务发展中的许多问题就有了解决的依据，真正的网上交易将会逐步发展起来，制约电子商务发展的一些问题也会在发展中逐步解决，我国电子商务将会很快走出无法可依、盲目无序的状态。电子签名法的通过，标志着我国首部“真正意义上的信息化法律”已正式诞生，已经于2005年4月1日起施行。

2.电子商务的安全问题 篇二

电子商务的安全问题形式各种各样, 从总体上来说, 可分为“外在因素”和“内在因素”两个方面。外在因素主要是指电子商务存在的环境, 涉及的是社会文化、制度规范等方面的因素;内在因素则是指电子商务的科学技术方面, 网络技术、电子商务数据等方面的问题。

1.1 外在因素方面

(1) 网络基础设施不完善。我国互联网是近些年快速发展起来的, 与发达国家相比相对滞后。虽然也在逐步完善, 但我国在网络基础设施建设方面投入不足, 使得网络基础设施的发展与电子商务发展的要求相差较远。因此, 须加大投入, 以尽早解决制约电子商务发展的瓶颈。

(2) 缺乏完善健全的法律法规。电子商务是基于互联网的一种网上交易、网上支付的新型商业模式, 如何在开放的互联网上安全地进行交易尤为重要。同时, 随着电子商务交易方式及途径逐渐成为主流, 也对传统的知识产权保护制度提出了挑战。因此, 有必要建立和完善包括电子商务立法在内的知识产权法律体系, 采取有力措施促进电子商务的健康发展。

(3) 社会信用体系不健全。在电子商务发展中, 社会信用体系的建立健全是必不可少的条件之一。目前信用体系尚不完善, 而由于客户与电子商务企业通过计算机网络和相关信息平台进行交流, 使得电子商务比之传统贸易存在更加严重的信用风险。

(4) 物流配送体系问题。电子商务中进行着大量的有形商品的异地交易, 整个交易链条中无法回避的环节就是商品的配送问题。而我国现代物流起步较晚, 缺乏专业的管理与运作经验, 物流市场一直没有形成闭环式的网络链条。

(5) 金融体系支撑不足。网上支付是电子商务的重要环节, 它在给人们带来方便的同时, 也带来了一定的“金融风险”, 不但涉及国内跨行网上支付, 更存在跨国网上支付问题。

(6) 人才缺乏问题。电子商务实现的关键最终仍然是人, 电子商务是信息技术与商务的有机结合, 需要大量的掌握现代信息技术和现代商贸理论与实务的复合型人才。

1.2 内在因素方面

(1) 计算机系统的安全问题。系统安全与计算机系统的硬件平台、操作系统、所运行的各种应用软件等都有密切关系, 其中操作系统的安全性对整个计算机系统的安全性影响最大。计算机系统安全可包含病毒预防、审计日志、用户账号管理、备份和恢复等措施。

(2) 计算机网络的安全问题。计算机网络安全是指利用网络管理控制方法和技术措施, 保证网络环境中数据信息的保密性、完整性和可利用性。网络安全涉及多个层次, 必须采取多种技术和产品来解决各种安全问题。

(3) 电子商务数据的安全问题。保护交易数据的安全性是电子商务系统的关键。由于Internet本身的开放性, 电子商务系统就面临着各种各样的安全威胁。有以下几方面:对合法用户的身份冒充、对信息的非法窃取与监听、对信息的篡改、拒绝服务、对发出的信息予以否认、非法入侵和病毒攻击等。

为了保护电子交易数据的安全, 需要对数据进行加密, 以防止敏感信息被外部破解。数据加密的安全性在很大程度上依赖于密钥的安全性, 因此, 必须对密钥的产生、存储、分配、销毁等管理环节进行有效的管理。

(4) 电子商务交易的安全问题。电子商务交易的安全问题是指传统商务在互联网络上应用时产生的各种安全问题, 以及在计算机网络安全的基础上, 如何保障电子商务过程的顺利进行问题。

2 电了商务的安全协议

各种电子交易的安全服务都是通过安全技术来实现的, 主要包括加密技术、认证技术和电子商务安全协议等。

电子商务的运行需要一套完整的安全协议, 目前, 比较成熟的协议有SSL、SET等。

SSL, Secure Sockets Layer, 安全套接层协议, 位于传输层和应用层之间, 由SSL记录协议、SSL握手协议、SSL警报协议组成。

SSL协议支持各种加密算法, 实现简单, 独立于应用层协议, 且被大部分浏览器和Web服务器内置, 便于在电子交易中应用。

但是, SSL无法知道在传送过程中是否受到窃听;我国的SSL产品只能提供512 bits RSA公钥和40 bits对称密钥加密, 加密强度不够;SSL协议将客户的信用卡号传送给商家, 这可能是一个安全隐患;新的SSL协议被命名为TLS (Transpor Layer Security) , 安全可靠性有所提高, 但仍不能消除原有技术的基本缺陷。

SET, Secure Electronic Transaction, 安全电子交易协议, 由SET业务描述、SET程序员指南和SET协议描述组成, 用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系, 给定交易信息传送流程标准。SET协议是专门为电子商务系统而设计的, 它位于应用层, 其认证体系十分完善, 能实现多方认证。在SET的实现中, 消费者帐户信息对商家说是保密的。

但SET协议十分复杂, 目前国内仅有少数应用产品;SET认证结构仅适用于信用卡支付, 对其他支付方式有所限制;SET也并不能解决电子商务所遇到的全部问题。另外, 要完全实现SET协议安全支付还要有一个过程。

总体上说, 电子商务系统的基石是密码学算法, 其实现机制是特定的安全协议。因此, 最容易受到对密码系统的攻击和对安全协议的攻击。

3 结束语

我国电子商务起步较晚, 现在发展还不完善, 但其市场发展潜力是无穷的。虽然有着各种安全问题, 但安全实际上就是一种风险管理, 任何技术手段都不能保证100%的安全。了解了存在安全问题, 就可以采取相应的手段措施来降低风险。安全只是相对的, 而不是绝对的。因此, 为进一步促进电子商务体系的完善和行业的健康快速发展, 必须在实际运用中解决各种安全问题, 使得电子商务系统相对更加安全。

参考文献

[1]谢文.浅析SSL、SET协议及其安全技术[J].湖南商学院学报, 2008 (3) .

[2]彭银象, 白贞武.电子商务安全问题及措施研究[J].大众科技, 2005 (11) .

[3]蔡猷花, 张歧山.电子商务安全问题综述[J].科技管理研究, 2003 (6) .

[4]马新彪.电子商务及其安全技术[J].甘肃农业, 2006 (7) .

[5]IHAB M.Elfituri, ZHOU Yi-ming.Shopping System Model in Elec-tronic Commerce.Caddm, 2008 (12) .

[6]Guan Hongjun, Zhao Aiwu.The Research on Security Technology of Logistics System Under E-Commerce Environment.Proceeding of the6th Internation Conference on Material HandingICMH2008.

3.电子商务中的安全问题探讨 篇三

[关键词] 电子商务 安全问题 技术

一、引言

互联网的发展及全面普及，给现代商业带来了新的发展机遇，基于互联网的电子商务应运而生，并成为一种新的商务模式。以互联网为基础的这种新的商务模式，也存在着许多亟待解决的问题。调查显示，网络安全、互联网基础设施建设等九大问题是阻碍电子商务发展的主要因素。其中，安全问题被调查对象列在首位。人们在享受电子商务带来极大方便的同时，也经常会被安全问题所困扰。安全问题成为电子商务的核心问题。本文将对电子商务安全问题及基本解决办法做一个探讨。

二、电子商务安全问题产生的原因

电子商务安全问题，不仅仅是网络安全问题，还包括信息安全问题、交易过程安全问题:

1.管理问题

大多数电子商务网站缺乏统一的管理，没有一个合理的评价标准。同时，安全管理也存在很大隐患，大多数网站普遍易受黑客的攻击，造成服务器瘫痪，使网站的信誉受到极大损害。

2.技术问题

网络安全体系尚未形成。网络安全在全球还没有形成一个完整的体系。虽然电子商务安全的产品数量不少，但真正通过认证的却相当少。安全技术的强度普遍不够，国外有关电子商务的安全技术，虽然整体来看其结构或加密技术都不错,但这种加密算法受到外国密码政策的限制，对其他国出口的安全技术往往强度不够。

3.环境问题

社会环境对于电子商务发展带来的影响也不小。社会法制建设不够，相关法律建设跟不上电子商务发展的法律基础保证。

三、常见的电子商务安全问题

由于互联网的完全开放性，以及不可预知的管理漏洞、技术威胁等出现，带来了各种各样的安全问题。其产生的主要隐患为网络安全隐患、交易隐患。

1.网络安全隐患

计算机网络设备，电子商务依赖计算机系统的正常运行得以开展业务，网络设备本身的物理故障，将导致电子商务无法正常进行；网络恶意攻击，使得网络被破坏、导致系统瘫痪；安全产品使用不当，虽然在进行电子商务交易前采用了一些网络安全设备（如防火墙、杀毒软件等），但由于安全产品本身的问题或者使用的不当，导致这些产品并不能起到应有的作用。

2.交易隐患

交易隐患是困扰电子商务正常健康交易的最大障碍。在交易过程中，常存在以下隐患。假冒问题，攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益;在电子商务世界里谁为交易双方的纠纷进行公证。

四、解决电子商务安全问题的基本技术

为避免电子商务中存在的安全问题，合理有效的措施极为重要，在实施过程中最为关键的技术主要有网络安全技术、加密与认证技术、安全协议。

1.网络安全技术

在应用网络安全技术方面，防火墙技术是主要技术。防火墙就是在网络边界上建立相应的网络通信监控系统，用来保障计算机网络的安全，它是一种控制技术，既可以是一种软件产品，又可以制作或嵌入到某种硬件产品中。防火墙是加强Intranet (内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。

2.加密与认证技术

(1)加密技术。加密技术作为主动的信息安全防范措施，利用加密算法，将明文转换成为无意义的密文阻止非法用户理解原始数据，从而确保数据的保密性。

加密技术是电子商务采取的主要安全措施。其目的在于提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析。加密技术通常分为对称加密和非对称加密两类。目前，常用的非对称加密算法有RSA算法。

(2)认证技术。认证技术是保证电子商务安全的又一重要技术手段，是防止信息被篡改、删除、重放和伪造的一种有效方法，它使发送的消息具有被验证的能力，使接收者能够识别和确认消息的真伪。认证的实现包括数字摘要、数字信封、数字签名、数字证书和智能卡等技术。

3.安全协议

安全协议本质上是关于某种应用的一系列规定，包括功能、参数、格式、模式等，通信各方只有共同遵守协议，才能互操作。与电子商务有关的安全协议主要有SSL和SET两个。

(1)安全套接层协议SSL。SSL（Secure Sockets Layer）是由Netscape Communication公司开发的，工作在传输层的协议，主要保护信息传输的机密性和完整性，它适用于点对点之间的信息传输。SSL协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议（如HTTP、FTP、TELNET等）以保证应用层数据传输的安全性。

(2)安全电子交易SET协议。SET（Secure Electronic Transaction）是专门为电子商务而设计的，用于保证在公共网络上进行银行卡支付交易的安全性。SET采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。由于SET提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡或借记卡的网上交易的国际安全标准。

五、展望

综上所述，为应对电子商务出现的各种安全问题，电子商务安全技术虽然已经取得了一定的成绩，但是电子商务要真正成为一种主导的商务模式，还必须在其安全技术上有更大的发展和突破。

参考文献:

[1]冯昊:电子商务的安全问题及对策[J].重庆广播电视大学学报,2005,17～4:31～33

[2]张晓黎:数据加密技术在电子商务安全中的应用[J].计算机与数字工程,2005,12:24～27

[3]祁明:电子商务安全与保密[M].高等教育出版社,2001,7,44～84

4.电子商务安全问题典型案例 篇四

淘宝“错价门”引发争议

互联网上从来不乏标价1元的商品。近日，淘宝网上大量商品标价1元，引发网民争先恐后哄抢，但是之后许多订单被淘宝网取消。随后，淘宝网发布公告称，此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称：“服务器可能被攻击，已联系技术紧急处理。”这起“错价门”事件发生至今已有两周，导致“错价门”的真实原因依然是个谜，但与此同时，这一事件暴露出来的我国电子商务安全问题不容小觑。在此次“错价门”事件中，消费者与商家完成交易，成功付款下了订单，买卖双方之间形成了合同关系。作为第三方交易平台的淘宝网关闭交易，这种行为本身是否合法？蒋苏华认为，按照我国现行法律法规，淘宝网的行为涉嫌侵犯了消费者的自由交易权，损害了消费者的合法权益，应赔礼道歉并赔偿消费者的相应损失。

总结：目前，我国电子商务领域安全问题日益凸显，比如，支付宝或者网银被盗现象频频发生，给用户造成越来越多的损失，这些现象对网络交易和电子商务提出了警示。然而，监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题，严格执法、积极介入，彻查一些严重影响互联网电子商务安全的恶性事件，切实保护消费者权益，维护我国电子商务健康有序的发展。

案例二：

黑客热衷攻击重点目标

国外几年前就曾经发生过电子商务网站被黑客入侵的案例，国内的电子商务网站近两年也发生过类似事件。浙江义乌一些大型批发网站曾经遭到黑客近一个月的轮番攻击，网站图片几乎都不能显示，每天流失订单金额达上百万元。阿里巴巴网站也曾确认受到不明身份的网络黑客攻击，这些黑客采取多种手段攻击了阿里巴巴在我国大陆和美国的服务器，企图破坏阿里巴巴全球速卖通台的正常运营。随着国内移动互联网的发展，移动电子商务也将迅速发展并给人们带来更大便利，但是由此也将带来更多的安全隐患。黑客针对无线网络的窃听能获取用户的通信内容、侵犯用户的隐私权。

5.电子商务的安全问题 篇五

作者： XXX 指导老师：XXX

内容摘要：电子政务是一种全新的政府管理方式，是一个基于网络技术的综合性业务模式。建立电子政务系统参与公众服务，必然要求这一系统必须是安全、可靠、抗灾难、可恢复的。随着电子政务信息化的不断发展，电子政务对于网络系统的依赖性越来越强，政务系统作为关系国计民生的重要部分，在安全方面尤为重要。本文就主要从我国电子政务的发展历程及面临的主要挑战，信息安全管理过程中出现的相关问题做一分析以及主要的管理措施加以论述。

关键词：电子政务 信息安全 电子政务信息安全

一、我国电子政务发展的历程，特点及主要趋势

1、我国电子政务的发展历程

电子政务的发展源于技术的进步和社会的演进，信息技术的突破性进展为政府信息化创造了条件，中国政府明确提出建设电子政务虽然只是近几年的事，但从历史沿革来看，80年代中期开始的办公自动化建设，就已经拉开了电子政务建设的帷幕。从这一时间段来划分，中国电子政务的发展大体可分为四个阶段：办公自动化阶段、“三金工程”实施阶段、“政府上网”阶段和电子政务阶段。

2、我国电子政务的特点

（1）我国电子政务整体尚处在初步发展阶段。表现为相关政策，法律法规的建设不完善，电子政务信息化建设物理硬件设施不够完善，相关技术整体上还有很大的发展空间。

（2）发展的多层次性和不平衡性。由于我国经济社会发展不平稳，中央部委、沿海发达地区和中西部地区电子政务的发展水平存在较大差距，呈现出多层次、不平衡性的特点。另外，近几年政府门户网站的发展较快，但网站内容与所能提供的服务却相对不足。

（3）电子政务领域各种“矛盾”突出。部门和地区对电子政务的投资热情与应用效果之间的反差强烈，电子政务管理沿用的固定资产投资方式已不能适应电子政务发展的需要，但相关的管理制度改革却处于相对缓慢的状态。

3、我国电子政府发展的主要趋势

（1）信息安全得到加强。从政府层面来看，电子政务安全体系框架正在研究制定，电子签名法

(1)

已经推出，信息公开等方面的法律法规的前期研究工作也在进行当中；从用户层面来看，电子政务建设的用户从规划、实施等方面都已对信息安全进行了充分考虑，并且信息安全方面的费用在整个信息化建设中所占的比例越来越大；从厂商层面来看，国内外安全厂商在整个IT行业中发展速度较快，厂商数量和厂商规模都在迅速增长。可以预计，未来几年信息安全市场将会有更进一步的发展，信息安全法律法规将会更加完善。

（2）信息中心转型步伐进一步加快。未来几年，多数信息中心将不再具体承担政府部门的信息化建设任务，而转向政府信息化规划、招投标、工程管理、工程验收等方面。因此，未来的电子政务建设市场将进一步的透明，并且由于信息中心的转型，使专门从事电子政务系统集成、方案开发的厂商有了更大的发展空间和市场。

（3）标准规范将不断完善。2002年5月，国家标准化管理委员会和国务院信息化工作办公室联合发布了《电子政务标准化指南》总则部分，与之相关的电子政务工程管理、网络建设、信息共享、支撑技术、信息安全等方面的技术要求、标准和管理规定在2003年已完成。2004年，从事系统集成、网络建设、信息安全等方面的厂商，在开发建设过程中已有法可依。

二、我国电子政务信息安全存在的问题

1、法律问题

尽管近年来我国已出台了一系列与网络信息安全相关的法律法规，并取得了一定的成绩，但这些法律法规尚未形成体系。随着信息技术的发展，信息安全问题越来越复杂，现有的信息安全法律框架已经难以适应电子政务信息化模式的发展需求。因此加快电子政务信息化的法律法规建设以成为一项非常急迫的任务。

2、技术问题

（1）网络安全规划与网络结构的不合理性。

由于信息技术发展尚不完善的众多原因，我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划，如：IP 地址缺乏统一规划，广播流量可控性差，子网故障隔离性差，重要流量缺乏带宽管理和服务质量优先保证等问题显现明显。

（2）电子政务信息化建设技术人员相对缺乏，技术等素质不过硬。

我国信息化建设相对国对发达国家的信息设备和信息技术有很大的差异，技术人员培养力度也比发达国家相对来说不足，信息化核心设备严重依赖国外，对引进的技术和设备缺乏必要的信息管理和技术改造。尤其是在系统安全和安全协议的研究和应用方面与发达国家的差距很大。（3）网络技术与网络设置的不科学，造成了大量的网络安全隐患。

电子政务本身所具有的特点决定了它很容易招致来自外部或内部的各种攻击。同时，网络化政务办公导致了政府工作对网络依赖性的增强，而依赖性必然产生脆弱性，包括技术的脆弱性、社会

(2)的脆弱性、人的脆弱性等等。由于网络技术不够成熟，网络设置不够科学，目前大部分电子政务选用的系统本身存在着安全弱点或隐患，其中包括网络硬件设备的弱点、操作平台的弱点等各种安全问题。由于电子政务在很大程度上要依赖因特网，而因特网的全球性、开放性在为我们提供极大的便利的同时，也给信息安全带来了极大的威胁，这就需要我们努力的利用先进的网络技术来减少或消除这些威胁。

3、管理问题

（1）政府工作人员思想观念陈旧，安全意识淡薄。

我国电子政务建设起点低，时间短，至今仍未成熟。几十年来，政府工作人员已经习惯了手工作业，不容易适应信息化办公，对电子政务没有一个正确的认识，仍保留着陈旧的管理理念。另外，对于工作人员，在电子政务信息的安全问题上还存在不少认知盲区和制约因素。网络是新生事物，许多人一接触它就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及，安全意识相当淡薄，对网络信息不安全的事实认识不足。虽然政府已经采取了很多措施来提高工作人员的安全意识，但就其效果而言并不是很理想。

（2）管理体制问题突出，网络安全管理混乱，规范化的管理制度相对滞后，造成了很多管理安全漏洞。

一直以来，各级政府为了保证信息安全，只在技术上采取了相应的保障措施，却忽略了更重要的管理体制的建设，未把保障电子政务安全的“软措施”做细做实，未从管理体制上落实安全责任制，未建立完备的信息安全管理和认证机制等。这使电子政务系统存在很多管理安全漏洞，很难做到安全管理的统一协调性，一旦发生安全事件，故障定位不准，追查事故源困难，责任问题牵扯不清，从而造成事件的破坏性后果更为严重。

三、我国电子政务信息安全管理措施

1、完善管理体制，规范管理制度。

目前，我国电子政务领域并没有形成一个由上到下的统一的管理体制，这给信息安全的保障造成了很大的障碍。这就需要国家相关部门建立一个从中央到各级地方政府的统一的电子政务管理体制，上级部门主管或监督下级部门，面对问题，中央及各级下属部门协调步伐，统一解决，以防出现不同部门的各种差异和利益冲突。电子政务网络内部安全除了需要体系化的安全防御策略以外，还需要严格的、可操作性强的安全管理制度，以明确责任，增强员工对信息安全的重视程度。制度的制订要规范，要强调制度的强制性、法规约束力和可操作性。

2、提高工作人员的信息素养，强化信息安全意识。

对相关工作人员进行电子政务方面相关知识的培训，使其转变传统的思想观念，深入了解和认识电子政务，更好地融入政府的现代化办公。同时进行安全宣传教育，增强安全意识的培养和信息

(3)

安全知识的普及，提高工作人员的信息素养，保证安全管理制度的良好贯彻和执行。

3、加强电子政务的法治环境建设。

与电子政务快速发展的实践相比，我国的电子政务法制化进程明显滞后。对于我国电子政务发展中出现的各种问题，尤其是信息安全问题，国家立法机关及政府有必要以法律的形式加以解决和固化，以保证我国电子政务的健康发展。

4、加强网络核心技术研发，培养电子政务专业人才。

电子政务的发展已经成为我国现阶段社会发展的一个重要组成部分，为了减少在信息设备和信息技术方面对发达国家的依赖性，加强我国电子政务系统的安全性，可以成立专门的针对电子政务网络系统的技术研发机构，组成核心攻坚团队，及时解决我国电子政务发展过程中出现的相关问题。另外，为了保证电子政务系统的良好运行，我国还急需培养大批的电子政务专业人才，可以在高校中设立电子政务相关专业，专门培养针对政府电子政务系统使用的专业人才。

四、电子政务信息安全管理应用的主要技术

1、防火墙技术

防火墙技术在信息安全管理中显得尤为重要，是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。在当今政务公开，政府工作注重高效性情况下，将防火墙技术应用到电子政务中，对于信息安全的建设与发展都起到了不可忽视的作用。

2、VPN技术

VPN（Virtual Private Network）即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN 是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN 可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。将VPN技术所涉及到数据安全连接及政府网站的扩展操作，在一定意义上起到了电子政务信息安全的管理问题。

3、PKI技术

PKI（Public Key Infrastucture）即公钥基础设施，广义上讲，它是一套安全服务的集合，运用密码学的基础理论，为网络应用提供认证、授权、加密、数字签证等安全服务。PKI技术是一个广阔的研究领域，在电子政务系统中的应用研究有着重要的实用意义，它在电子政务系统的安全性、公务员的素质、决策的科学性、行政效率等方面都有着积极的贡献。因此PKI技术在电子政务中得到人们的日益重视。许多PKI技术不断涌出，PKI对数据加密、数字签名、反否认、数字完整性以及分辨所需的密钥和认证实施了统一的集中化管理。基于PKI技术可构建安全性能很好的电子政务

(4)

应用系统。我国PKI理论的研究将走向成熟期，它的非常现实的应用前景和电子政务的发展要求完美结合，推进我国基于PKI的安全的电子政务发展。

五、结束语

随着信息化技术的日新月异，电子政务信息安全的保障显得尤为重要，同时也是一项关系多领域的综合工程，必须从技术和管理两方面入手，才能最大限度地保证电子政务信息安全。在电子政务中，要达到绝对的安全是不可能的，但是，当充分的认识到电子政务信息安全所涉及的各个方面后，从综合的角度出发，就可以找到较好的办法，尽可能的达到维护电子政务系统安全的最终目的。相信经过国家和地方各级政府部门的努力和紧密配合，在社会各方的大力帮助下，我国的电子政务信息安全隐患会降到最低，以保证电子政务实践健康快速的发展！

参考文献：

6.电子商务的安全策略 篇六

如何建立一个安全、快捷、便利的电子商务应用环境,对信息在网络上的传输提供足够的保护,已成为商家和用户都非常关心的话题。

一、电子商务的定义

电子商务(E-business)是利用当前先进的电子技术从事各种商业活动的方式，其实质是一套完整的网络商务经营及管理信息系统。

更具体地说，它是利用计算机硬/软件设备和网络基础设施，通过一定协议连接起来的电子网络环境进行各种商务活动的方式。

比如：网上银行、网上营销、网上客户服务、网上调查等。

二、电子商务的基本特征

1.电子商务将传统的商务流程电子化、数字化，减少了人力、物力，降低了成本，具有开放性和全球性的特点，为企业创造了更多的贸易机会。

2.电子商务重新定义了传统的流通模式，减少了中间环节，使生产者和消费者不用谋面的网上交易成为可能，从而在一定程度上改变了社会经济运行的方式、经济布局和结构。

3.电子商务一方面突破了时间和空间的限制，另一方面又提供了丰富的信息资源，为各种社会经济要素的重新组合提供了更多的可能，使得交易活动可以在任何时间、任何地点进行，从而大幅度提高了效率。

可见，电子商务的一个重要技术特征是利用网络技术和IT技术来传输和处理商业信息的。

就整个系统而言，其安全性可以分为四个层次。

(1)网络节点的安全性。

(2)通讯的安全性。

(3)应用程序的安全性。

(4)用户的认证管理。

三、网络节点的安全性

1.防火墙的概念。

在构建安全网络环境的过程中，防火墙作为第一道安全防线，受到越来越多用户的关注与青睐。

防火墙是一个系统，主要用来执行Internet(外部网)和Intranet(内联网)之间的访问控制策略。

它可为各类企业网络提供必要的访问控制，又不造成网络的瓶颈，并通过安全策略控制进出系统的数据，保护企业资源。

2.防火墙安全策略。

防火墙保护内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等。

新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。

设置了防火墙后，可以对网络数据的流动实现有效的管理：如允许公司员工使用电子邮件、Web浏览以及文件传输等服务，但不允许外界随意访问公司内部的计算机，同样还可以限制公司中不同部门之间的互相访问。

可见，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备组合，它还是安全策略的一个重要组成部分，其安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及管理制度等。

所有可能受到网络攻击的地方都必须以同样的安全级别加以保护。

仅设置防火墙系统，而没有全面、细致的安全策略，那么防火墙就形同虚设。

3.安全操作系统。

安全的操作系统至少要有以下特征：(1)最小特权原则,即每个特权用户只拥有能进行其工作的权力。

(2)强制访问控制，包括保密性访问控制和完整性访问控制。

(3)安全审计和审计管理。

(4)安全域隔离。

其次，防火墙是基于操作系统的，如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙就不起作用了。

可见，安全是一个系统工程，操作系统安全只是其中的一个层次，还需要各个环节的配合，安全操作系统应该与各种安全软、硬件结合起来(如防火墙、杀毒软件、加密产品等)，才能让电子商务得到更广泛的应用，确保系统信息的安全达到最佳状态。

四、网络通信的安全性

1.数据通信的安全。

电子商务系统的`数据通信主要存在于：(1)客户浏览器端与电子商务WEB服务器端的通讯。

(2)电子商务WEB服务器与电子商务数据库服务器的通讯。

2.通信链路的安全。

在客户端浏览器和电子商务WEB服务器之间采用SSL(Secure Electronic Transaction,安全电子交易)协议建立安全链接，所需传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。

为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由证书授权机构(CA中心)签发。

浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥(PKI)。

单纯的建立SSL链接时，客户只需用户下载该站点的服务器证书。

若验证此证书是合法的服务器证书，再利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥，然后用此对称算法加密将要传输的明文，此时浏览器也会出现进入安全状态的提示。

五、应用程序的安全性

即使正确地配置了访问控制规则，要满足计算机系统的安全性，这些工作还是不充分的，因为编程错误也可能导致对系统的破坏与攻击。

程序错误的常见形式：程序员忘记检查传送到程序的入口参数;程序员在处理字符串的内存缓冲时，忘记检查边界条件。

整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可。

程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录，但不是显式的设置访问控制(最少许可)。

若程序员认为这个缺省的许可是正确的，则这些缺点就可能被用到攻击系统的行为中，不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。

缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的，程序不检查输入字符串长度。

输入假字符串常常是可执行的命令，特权程序可以执行指令。

六、用户的认证管理

1.身份认证。

开展电子商务的关键核心技术是保密存储与取出。

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合来实现。

CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。

个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

由于指纹具有惟一性，目前，指纹认证与网络传输便广泛的应用于银行专用网、企业营销网等各种商贸网络，使电子商务具有更现实的可操作性。

2.CA证书。

CA(Certificate Authority，即“认证机构”)，是证书的签发机构，它是PKI(Public Key Infrastructure，即“公开密钥体系”)的核心。

它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。

要在网上确认交易各方的身份及保证交易的不可否认性，便需要CA证书进行验证。

证书分为服务器证书和个人证书。

建立SSL安全链接不需要一定有个人证书，验证个人证书是为了验证来访者的合法身份。

CA也拥有一个证书(内含公钥)和私钥。

网上的公众用户通过验证CA的签字从而信任CA，任何人都可以得到CA的证书(含公钥)，用以验证它所签发的证书。

如果用户想得到一份属于自己的证书，应先向CA提出申请。

在CA判明申请者的身份后，便为其分配一个公钥，并且CA将该公钥与申请者的身份信息绑在一起，为之签字后，便形成证书发给申请者。

如果一个用户想鉴别另一个证书的真伪，可用CA的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。

七、建立安全管理机制

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。

对于所有接触系统的人员，应按其职责设定其访问系统的最小权限。

按照分级管理原则，严格管理内部用户账号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户账号和密码。

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。

定期检查日志，以便及时发现潜在的安全威胁。

对重要数据要及时进行备份。

对数据库中存放的数据，数据库系统应根据其重要性提供不同级别的数据加密。

安全管理实际上是一种风险管理，任何措施都不能保证百分之百的安全。

但安全技术的采用可降低系统遭到破坏、攻击的风险，决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

随着全球经济一体化进程的加快，尤其是Internet技术、IT技术的迅猛发展及广泛应用，我们的社会也已融入到电子商务时代的气息当中，这是一个“以客户为中心”的时代，企业的市场营销及贸易往来都必须围绕这个中心来进行。

只有保证电子商务各个环节、各个方面的安全性与稳定性，才能为其正常运作提供有力的保证，才能为其自身迎来更广阔的前景。

参考文献：

[1]陈景艳:电子商务技术基础[M].电子工业出版社,.9

7.关于电子商务安全问题的特征分析 篇七

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此, 电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题, 实施网络安全增强方案, 以保证计算机网络自身的安全性为目标。

(一) 计算机网络的潜在安全隐患。

1.未进行操作系统相关安全配置。

不论采用什么操作系统, 在缺省安装的条件下都会存在一些安全问题, 只有专门针对操作系统安全性进行相关的和严格的安全配置, 才能达到一定的安全程度。

2.未进行CGI程序代码审计。

对于网站或软件供应商专门开发的一些CGI程序, 很多存在严重的CGI问题, 对于电子商务站点来说, 会出现恶意攻击者用他人账号进行网上购物等严重后果。

3.拒绝服务 (DoS, Denial of Service) 攻击。

随着电子商务的兴起, 对网站的实时性要求越来越高, DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈, 破坏性更大, 造成危害的速度更快, 范围也更广, 而袭击者本身的风险却非常小, 甚至可以在袭击开始前就已经消失得无影无踪, 使对方没有实行报复打击的可能。

4.安全产品使用不当。

虽然不少网站采用了一些网络安全设备, 但由于安全产品本身的问题或使用问题, 这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高, 超出对普通网管人员的技术要求, 就算是厂家在最初给用户做了正确的安装、配置, 但一旦系统改动, 需要改动相关安全产品的设置时, 很容易产生许多安全问题。

5.缺少严格的网络安全管理制度。

网络安全最重要的还是要思想上高度重视, 网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

(二) 计算机网络安全体系。

一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术, 在攻击者和受保护的资源间建立多道严密的安全防线, 极大地增加了恶意攻击的难度, 并增加了审核信息的数量, 利用这些审核信息可以跟踪入侵者实施网络安全防范措施时首先要加强主机本身的安全, 做好安全配置, 及时安装安全补丁程序, 减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析, 找出可能存在的安全隐患, 并及时加以修补;从路由器到用户各级建立完善的访问控制措施, 安装防火墙, 加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。

(三) 商务交易安全。

当许多传统的商务方式应用在Internet上时, 便会带来许多源于安全方面的问题, 一般来说商务安全中普遍存在着以下几种安全隐患:一是窃取信息;二是篡改信息;三是假冒;四是恶意破坏。因此, 电子商务的安全交易主要保证以下四个方面:信息保密性、交易者身份的确定性、不可否认性、不可修改性。

二、关于电子商务的安全技术

(一) 安全性要求。

1.机密性 (Confdentiality) 。

电子商务作为贸易的一种手段, 其信息直接代表着个人、企业或国家的商业机密。建立在网络环境上的电子商务的工作方式是开放的, 因此维护商业机密是电子商务全面推广应用的重要保障。要在数据传输过程和存储过程中采用加密技术, 使数据不被别人窃取、泄露、篡改和破坏。以加密实现的通讯层次来区分, 加密可以在通讯的三个不同的层次来实现, 即链路加密、节点加密、端到端加密。

2.完整性 (Integrity) 。

电子商务简化了贸易的中间过程, 但是由于数据输入时的意外差错或欺诈行为, 可能导致贸易各方信息的差异。贸易各方信息的完整性将影响到贸易各方的交易和经营策略, 保持贸易各方信息的完整性是电子商务应用的基础。因此, 要预防对信息的随意生成、修改和删除, 同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

3.可用性 (Authentication) 。

主要体现在识别机制上, 对实体的某些参数进行有效性验证, 确认用者的身份, 交易合同、契约、或贸易单据的可靠性, 预防抵赖行为的发生。因此, 要在交易信息的传输过程中为交易的个人、企业或国家提供可靠的标识。

(二) 主要的安全技术。

1.防火墙 (Firewall) 。

防火墙是一种将内部Intranet网络与公用网络分开的方法, 它实际上是一种隔离技术, 控制着Intemet与Intranet之间的所有的数据量。防火墙有包过滤 (Packet filter) 型、代理服务 (Procxy service) 型、复合型和其他类型。防火墙有很多优点, 但也具有局限性, 它只能抵御经由防火墙的攻击, 不能防止内部应用软件所携带的数据和病毒或其他方式的袭击, 也不能对内部计算机系统未授权的物理袭击提供安全保证

2.加密技术。

密码学研究信息的重新排列和组合, 其任务就是寻求生成高强度密码的有效算法。多数情况下, 密码技术是保证信息的机密性的唯一的方法。主要的算法有两种:对称密码体制和非对称密码体制。

(三) 认证技术。

认证与认证系统, 是为了防止消息被篡改、删除、重放和伪造的一种有效方法。它使接收者能够识别和确认消息的真伪。一个安全的认证系统应满足防伪造、防抵赖、防窃听、防篡改的要求。

三、关于网络中所采用的安全机制

网络中所采用的安全机制有:一是加密和隐藏机制。加密使信息改变, 攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中, 使攻击者无法发现。二是认证机制。网络安全的基本机制, 网络设备之间应互相认证对方身份, 以保证正确的操作权力赋予和数据的存取控制。网络也必须认证用户的身份, 以保证正确的用户进行正确的操作并进行正确的审计, 三是审计。防止内部犯罪和事故后调查取证的基础, 通过对一些重要的事件进行记录, 从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计信息应具有防止非法删除和修改的措施。四是完整性保护。用于防止非法篡改, 利用密码理论的完整性保护能够很好地对付非法篡改。五是权力控制和存取控制。主机系统必备的安全手段, 系统根据正确的认证, 赋予某用户适当的操作权力, 使其不能进行越权的操作。六是业务填充。在业务闲时发送无用的随机数据, 增加攻击者通过通信流量获得信息的困难。同时, 也增加了密码通信的破译难度.发送的随机数据应具有良好模拟性能, 能够以假乱真。

电子商务具有市场全球化, 交易快捷化, 交易过程虚拟化, 交易成本低廉化, 交易透明化等特点, 是未来经济发展的趋势。而电子商务的信用与安全问题将随着我国信用法规的建立、生产力的增长、技术的创新和网络经济的发展而完善, 以适应经济全球化的发展和保证我国经济的繁荣和安全。

参考文献

[1].林枫.电子商务安全技术及应用[M].北京:电子工业出版社, 2001

[2].孟昭光.电子商务技术[M].北京:人民邮电出版社, 2001

8.电子商务交易中的安全问题分析 篇八

一、电子商务存在的安全问题

由于电子商务是以信息技术和计算机网络为基础的，与传统商务比较，它不可避免的面临着一系列的安全问题。

1.信息泄漏

在电子商务中表现为商业机密的泄漏，主要包括两个方面：交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。

2.篡改

在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传输的信息数据在中途篡改，然后再发向目的地，破坏数据的真实性和完整性。

3.伪造

由于掌握了数据的格式，并可以篡改通过的信息，如果不进行身份识别，攻击者就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。

4.信用威胁

交易者否认参加过交易，如买方提交订单后不付款，或者输入虚假银行资料使卖方不能提款；用户付款后，卖方没有把商品发送到客户手中，使客户蒙受损失。

5.电脑病毒

电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助于网络传播得更快，动辄造成数百亿美元的经济损失。

二、电子商务安全要素

安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的安全，将一直是电子商务的核心研究领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。下面介绍电子商务涉及的安全要素.

1.有效性

電子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

2.机密性

电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。

3.完整性

电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。

4.可靠性

电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方是保证电子商务顺利进行的关键。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

5.即需性

即需性是防止延迟或拒绝服务，即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中，延迟一个消息或消除它会带来灾难性的后果。

6.身份认证

指交易双方可以相互确认彼此的真实身份，确认对方就是本次交易中所称的真正交易方。这一过程为授权和审计所必需，也是实现授权、审计的访问控制过程运行的前提，是计算机网络安全系统不可缺少的组成部分。

7.审查能力

根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控，以便对其所使用的操作内容进行审计和跟踪。

三、电子商务交易安全技术

由于电子商务活动所涉及的大量机密信息都必须通过网络传播，并且以电子数据的形式存储，要求有完善的安全技术来保证电子商务交易的安全。目前，电子商务过程中主要采用的安全技术有加密技术、认证技术和安全认证协议。

1.加密技术

加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。在加密和解密的过程中，由加密者和解密者使用的加解密可变参数叫做密钥。 目前，获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。

2.认证技术

安全认证的主要作用是进行信息认证。主要包括安全认证技术和安全认证机构两个方面。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等； 电子商务认证中心就是承担网上安全交易认证服务，能签发数字证书，并能确认用户身份的服务机构。

3.安全认证协议

目前电子商务中有两种安全认证协议被广泛使用，即安全套接层SSL协议和安全电子交易SET协议。SSL协议一般服务于银行对企业或企业对企业的电子商务。SET协议位于应用层，用来保证互联网上银行卡支付交易安全性。所以SET一般服务于持卡消费、网上购物的电子商务。

四、结束语

随着网络技术的提高，基于互联网的电子商务在近年来获得了巨大的发展，成为一种全新的商务模式，具有很大的发展前途；这种电子商务模式对管理水平、信息传递技术都提出了更高的要求，其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境，对交易信息提供足够的保护，是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题，解决电子商务网络交易中的安全问题，是保证电子商务顺利发展的基础，安全性成为电子商务能否成功发展的决定性因素。电子商务网络交易中的安全问题还有待于继续探讨。

9.电子商务安全体系的发展与动态 篇九

关键词：

电子商务(Electronic Commerce)是在Internet开放的网络环境下，基于浏览器/服务器应用方式，实现消费者的网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式。

Internet上的电子商务可以分为三个方面：信息服务、交易和支付。主要内容包括：电子商情广告;电子选购和交易、电子交易凭证的交换;电子支付与结算以及售后的网上服务等。主要交易类型有企业与个人的交易(B to C方式)和企业之间的交易(B to B方式)两种。

参与电子商务的实体一般来讲有四类：顾客(个人消费者或企业集团)、商户(包括销售商、制造商、储运商)、银行(包括发卡行、收单行)及认证中心。

电子商务是Internet爆炸式发展的直接产物，是网络技术应用的全新发展方向。Internet本身所具有的开放性、全球性、低成本、高效率的特点，也成为电子商务的内在特征，并使得电子商务大大超越了作为一种新的贸易形式所具有的价值，它不仅会改变企业本身的生产、经营、管理活动，而且将影响到整个社会的经济运行与结构。

现阶段推动电子商务面临的最大问题是如何保障电子商务过程中的安全性，交易的安全是网上贸易的基础和保障，同时也是电子商务技术的难点。近年来，国际上已实施和制定了一系列的方法来解决网上交易的安全性问题。

1、电子商务的安全控制要求概述

电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性，使网上交易面临了种种危险，也由此提出了相应的安全控制要求。

1.1信息保密性

交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

1.2交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家而言要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。

1.3不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。

1.4不可修改性

交易的文件是不可被修改的，如其能改动文件内容，那么交易本身便是不可靠的，客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

2、电子商务安全交易的有关标准和实施方法

2.1安全交易的雏形

在电子商务实施初期，曾采用过一些简易的安全措施，这些措施包括：

(1) 部分告知(Partial Order)：即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。

(2) 另行确认(Order Confirmation)：即当在网上传输交易信息之后，再用电子邮件对交易作确认，才认为有效。

(3) 在线服务(Online Service)：为了保证信息传输的安全，用企业提供的内部网来提供联机服务。

以上所述的种种方法，均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。

2.2安全交易标准的制定

近年来，IT业界与金融行业一起，推出不少更有效的安全交易标准。主要有：

(1) 安全超文本传输协议(S-HTTP)：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。

(2) 安全套接层协议(SSL协议：Secure Socket Layer)是由网景(Netscape)公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。在SSL中，采用了公开密钥和私有密钥两种加密方法。

(3) 安全交易技术协议(STT：Secure Transaction Technology)：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。

(4) 安全电子交易协议(SET：Secure Electronic Transaction)：SET协议是由VISA和MasterCard两大信用卡公司于5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。

目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准，其交易形态将成为未来“电子商务”的规范。

支付系统是电子商务的关键，但支持支付系统的关键技术的未来走向尚未确定。安全套接层(SSL)和安全电子交易(SET)是两种重要的通信协议，每一种都提供了通过Internet进行支付的手段。但是，两者之中谁将领导未来呢?SET将立刻替换SSL吗?SET会因其复杂性而消亡吗?SSL真的能完全满足电子商务的需要吗?我们可以从以下几点对比作管中一窥：

SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展，但如果想要电子商务得以成功地广泛开展的话，必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置，比较容易被应用。

SET和SSL除了都采用RSA公钥算法以外，二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。

SET是一种基于消息流的协议，它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布，用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验，但大多数在Internet上购的消费者并没有真正使用SET。

SET是一个非常复杂的协议，因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，SET远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义，希望得到数字证书以及响应信息的各方应有的动作，与一笔交易紧密相关的责任分担。

3、目前安全电子交易的手段

在近年来发表的多个安全电子交易协议或标准中，均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种：

3.1密码技术

采用密码技术对信息加密，是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种：

(1)公共密钥和私用密钥(public key and private key)

这一加密方法亦称为RSA编码法，是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后，只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到，亦可在请对方发信息时主动将公共密钥传给对方，这样保证在Internet上传输信息的保密和安全。

(2)数字摘要(digital digest)

这一加密方法亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest)，由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。

上述两种方法可结合起来使用，数字签名就是上述两法结合使用的实例。

3.2数字签名(digital signature)

在书面文件上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实;二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：

a. 信息是由签名者发送的。

b. 信息在传输过程中未曾作过任何修改。

这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。

数字签名采用了双重加密的方法来实现防伪、防赖。其原理为：

(1) 被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。

(2) 发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。

(3) 将原文和加密的摘要同时传给对方。

(4) 对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。

(5) 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。

3.3数字时间戳(digital time-stamp)

交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。

在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS：digital time-stamp service)就能提供电子文件发表时间的安全保护。

数字时间戳服务(DTS)是网上安全服务项目，由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：1)需加时间戳的文件的摘要(digest)，2)DTS收到文件的日期和时间，3)DTS的数字签名。

时间戳产生的过程为：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名)，然后送回用户。由Bellcore创造的DTS采用如下的过程：加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上，这样更有效地为文件发表时间提供了佐证。注意，书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。因此，时间戳也可作为科学家的科学发明文献的时间认证。

3.4数字凭证(digital certificate, digital ID)

数字凭证又称为数字证书，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。

数字凭证的内部格式是由CCITT X.509国际标准所规定的，它包含了以下几点：

(1) 凭证拥有者的姓名，

(2) 凭证拥有者的公共密钥，

(3) 公共密钥的有效期，

(4) 颁发数字凭证的单位，

(5) 数字凭证的序列号(Serial number)，

(6) 颁发数字凭证单位的`数字签名。

数字凭证有三种类型：

(1) 个人凭证(Personal Digital ID)：它仅仅为某一个用户提供凭证，以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。

(2) 企业(服务器)凭证(Server ID)：它通常为网上的某个Web服务器提供凭证，拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。

(3) 软件(开发者)凭证(Developer ID)：它通常为Internet中被下载的软件提供凭证，该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件，以使用户在下载软件时能获得所需的信息。

上述三类凭证中前二类是常用的凭证，第三类则用于较特殊的场合，大部分认证中心提供前两类凭证，能提供各类凭证的认证中心并不普遍。

3.5认证中心(CA：Certification Authority)

在电子交易中，无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS：Certification Practice Statement)来实施服务操作。

上述五个方面介绍了安全电子交易的常用手段，各种手段常常是结合在一起使用的，从而构成比较全面的安全电子交易体系。

4、应用动态

根据最新报道,我国第一个安全电子商务系统：“网上订票与支付系统”经过半年试运行后，于8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。

系统结构采用网上订票与支付系统由四个子系统组成：商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。

商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为：www.cea.online.sh.cn;它是中国安全电子商务第一网站。

客户子系统是安装于PC机上的电子钱包软件，是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后，方可进行网上消费。

支付网关子系统通常是指由收款银行运行的一套设备，用来处理商户的付款信息以及持卡人发出的付款指令。

数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。

其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点：

1) 遵循SET国际标准、具有SET标准规定的安全机制，是目前国际互联网上运行的比较安全的电子商务系统;

2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点，具有一定的中国特色;

3) 具有开放特性，可与经SETCO国际组织认证的任何电子商务系统进行互操作;

我们可以通过其网上购票操作步骤管窥其安全交易的全过程：

第一步：申请单位或个人牡丹信用卡

第二步：到CA网页申请数字证书

第三步：到工商银行信用卡部办理注册手续并领取钱包软件光盘

第四步：在PC机上安装钱包软件，并加入信用卡信息

第五步：从CA下载数字证书

第六步：上东航网页购买机票

第七步：取票登机

以上我们详细探讨了电子商务安全体系的发展与最新动态，相信随着时间的推移和技术的发展，电子商务安全体系将越来越完善，足不出户而通过