導(dǎo)語：如何才能寫好一篇電子商務(wù)安全管理策略，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

摘要:電子商務(wù)作為一種全新的商務(wù)模式,它有很大的發(fā)展前途,且隨之而來的安全問題也越來越突出,如何建立一個(gè)安全、便捷的電于商務(wù)應(yīng)用環(huán)境,對(duì)信息提供足夠的保護(hù),是商家和用戶都十分關(guān)注的話題。安全問題己成為電子商務(wù)的核心問題。分析了電子商務(wù)中存在的安全問題,并闡述目前解決電子商務(wù)安全隱患的主要安全技術(shù)及相關(guān)策略。

關(guān)鍵詞:電子商務(wù);安全問題;安全策略

1電子商務(wù)中存在的兩大類安全問題

1.1網(wǎng)絡(luò)安全問題

現(xiàn)在隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全成了新的安全研究熱點(diǎn)。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲(chǔ)和傳輸?shù)男畔⒌陌踩浴＞W(wǎng)絡(luò)安全問題是計(jì)算機(jī)系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅,概括來說網(wǎng)絡(luò)安全的內(nèi)容包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等

1.2商務(wù)安全問題

商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題,在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網(wǎng)上交易日益成為新的商務(wù)模式,基于網(wǎng)絡(luò)資源的電子商務(wù)交易已為大眾接受,人們?cè)谙硎芫W(wǎng)上交易帶來的便捷的同時(shí),交易的安全性備受關(guān)注,網(wǎng)絡(luò)所固有的開放性與資源共享性導(dǎo)致網(wǎng)上交易的安全性受到嚴(yán)重威脅。所以在電子商務(wù)交易過程中,保證交易數(shù)據(jù)的安全是電子商務(wù)系統(tǒng)的關(guān)鍵。

1.3目前電子商務(wù)中存在的主要安全問題

(1)對(duì)合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易,從而獲得非法利益。

(2)對(duì)信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上,通過物理或邏輯的手段,對(duì)數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號(hào),還能以欺騙的手法進(jìn)行產(chǎn)品交易,甚至能洗黑錢。

(3)對(duì)信息的篡改。攻擊者有可能對(duì)網(wǎng)絡(luò)上的信息進(jìn)行截獲后篡改其內(nèi)容,如修改消息次序、時(shí)間,注入偽造消息等,從而使信息失去真實(shí)性和完整性。

(4)拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。

(5)對(duì)發(fā)出的信息予以否認(rèn)。某些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。

(6)信用威脅。交易者否認(rèn)參加過交易,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款;用戶付款后,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失。

(7)電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。如,CIH病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬計(jì)的計(jì)算機(jī)以沉重打擊。

2電子商務(wù)中的主要安全技術(shù)

2.1電子商務(wù)的安全技術(shù)

互聯(lián)網(wǎng)已經(jīng)日漸融入到人類社會(huì)的各個(gè)方面中,網(wǎng)絡(luò)防護(hù)與網(wǎng)絡(luò)攻擊之間的斗爭(zhēng)也將更加激烈,這就對(duì)安全技術(shù)提出了更高的要求。安全技術(shù)是電子商務(wù)安全體系中的基本策略,是伴隨著安全問題的誕生而出現(xiàn)的,安全技術(shù)極大地從不同層次加強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性。要加強(qiáng)電子商務(wù)的安全,需要企業(yè)本身采取更為嚴(yán)格的管理措施,需要國(guó)家建立健全法律制度,更需要有科學(xué)的先進(jìn)的安全技術(shù)。安全問題是電子商務(wù)發(fā)展的核心和關(guān)鍵問題,安全技術(shù)是解決安全問題保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。

2.2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

目前,常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有病毒防范技術(shù)、身份認(rèn)證技術(shù)、防火墻技術(shù)和虛擬專用網(wǎng)VPN技術(shù)等。

(1)病毒是一種惡意的計(jì)算機(jī)程序,它可分為引導(dǎo)區(qū)病毒、可執(zhí)行病毒、宏病毒和郵件病毒等,不同的病毒的危害性也不一樣。為了防范病毒,可以采用以下的措施:

①安裝防病毒軟件,加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施;

②加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施;

③對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等。

(2)身份識(shí)別技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一。它的目的是證實(shí)被認(rèn)證對(duì)象是否屬實(shí)和是否有效。其基本思想是通過驗(yàn)證被認(rèn)證對(duì)象的屬性來達(dá)到確認(rèn)被認(rèn)證對(duì)象是否真實(shí)有效的目的。被認(rèn)證對(duì)象的屬性可以是口令、問題解答或者像指紋、聲音等生理特征,常用的身份認(rèn)證技術(shù)有口令、標(biāo)記法和生物特征法。

(3)防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法,它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間,或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。它是電子商務(wù)的最常用的設(shè)備。

(4)虛擬專用網(wǎng)是用于Internet電子交易的一種專用網(wǎng)絡(luò),它可以在兩個(gè)系統(tǒng)之間建立安全的通道,非常適合于電子數(shù)據(jù)交換(EDI)。在虛擬專用網(wǎng)中交易雙方比較熟悉,而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致,在虛擬專用網(wǎng)中就可以使用比較復(fù)雜的專用加密和認(rèn)證技術(shù),這樣就可以大大提高電子商務(wù)的安全性。VPN可以支持?jǐn)?shù)據(jù)、語音及圖像業(yè)務(wù),其優(yōu)點(diǎn)是經(jīng)濟(jì)、便于管理、方便快捷地適應(yīng)變化,但也存在安全性低,容易受到攻擊等問題。

2.3商務(wù)交易安全技術(shù)

(1)加密技術(shù)是電子商務(wù)安全的一項(xiàng)基本技術(shù),它是認(rèn)證技術(shù)的基礎(chǔ)。

采用加密技術(shù)對(duì)信息進(jìn)行加密,是最常見的安全手段。加密技術(shù)是一種主動(dòng)的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。目前,在電子商務(wù)中,獲得廣泛應(yīng)用的兩種加密技術(shù)是對(duì)稱密鑰加密體制(私鑰加密體制)和非對(duì)稱密鑰加密體制(公鑰加密體制)。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。

(2)安全認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等。

①數(shù)字摘要。

數(shù)字摘要是采用單向Hash函數(shù)對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼(數(shù)字指紋FingerPrint),并在傳輸信息時(shí)將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進(jìn)行變換運(yùn)算,若得到的結(jié)果與發(fā)送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。

②數(shù)字信封。

數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中,信息發(fā)送方采用對(duì)稱密鑰來加密信息,然后將此對(duì)稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后,將它和信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開數(shù)字信封,得到對(duì)稱密鑰,然后使用對(duì)稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。

③數(shù)字簽名。

把HASH函數(shù)和公鑰算法結(jié)合起來,可以在提供數(shù)據(jù)完整性的同時(shí),也可以保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改,而真實(shí)性則保證是由確定的合法者產(chǎn)生的HASH,而不是由其他人假冒。而把這兩種機(jī)制結(jié)合起來就可以產(chǎn)生所謂的數(shù)字簽名(DigitalSignature)。

④數(shù)字時(shí)間戳。

交易文件中,時(shí)間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的,是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。而在電子交易中,同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)(DTS-DigitalTime-stampService)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)絡(luò)安全服務(wù)項(xiàng)目,由專門的機(jī)構(gòu)提供。

⑤數(shù)字證書。

在交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書來證明各自的身份。所謂數(shù)字證書,就是用電子手段來證實(shí)一個(gè)用戶的身份及用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限。在網(wǎng)上電子交易中,如果雙方出示了各自的數(shù)字證書,并用它來進(jìn)行交易操作,那么雙方都可不必為對(duì)方身份的真?zhèn)螕?dān)心。

3電子商務(wù)的安全性策略

3.1電子商務(wù)安全技術(shù)保障策略

安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有:密碼技術(shù),身份驗(yàn)證技術(shù),訪問控制技術(shù),防火墻技術(shù)。

3.2企業(yè)電子商務(wù)安全運(yùn)營(yíng)管理制度保障策略

企業(yè)電子商務(wù)安全運(yùn)營(yíng)管理制度是用文字的形式對(duì)各項(xiàng)安全要求所做的規(guī)定,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ),是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則。這些制度主要包括人員管理制度,保密制度,跟蹤審計(jì)制度,系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度等。

3.3電子商務(wù)立法策略

(1)立法目的。電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙;消除現(xiàn)有法律適用上的不確定性,保護(hù)合理的商業(yè)行為,保障電子交易安全;建立一個(gè)清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。

(2)立法范圍。電子商務(wù)安全方面需要的法律法規(guī)主要有:市場(chǎng)準(zhǔn)入制度、合同有效認(rèn)證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法,知識(shí)產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過濾等;

(3)立法途徑。電子商務(wù)法律仍然是調(diào)整社會(huì)關(guān)系,所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核,尤其是基礎(chǔ)價(jià)值觀。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。第二是修改或重新解釋既定的法律規(guī)范。

3.4政府監(jiān)督管理策略

電子商務(wù)本質(zhì)是一種市場(chǎng)運(yùn)作模式,市場(chǎng)的正常健康有序地發(fā)展,必須有政府宏觀上的監(jiān)督與管理,以協(xié)調(diào)和規(guī)范各市場(chǎng)主體的行為,宏觀監(jiān)督與管理電子商務(wù)運(yùn)行中的安全保障體系。政府監(jiān)督管理主要體現(xiàn)在:計(jì)算機(jī)信息系統(tǒng)安全管理,網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理,認(rèn)證機(jī)構(gòu)管理,加強(qiáng)社會(huì)信用道德建設(shè)。

4電子商務(wù)安全中還需解決的問題

(1)沒有一種電子商務(wù)安全的完整解決方案和完整模型與體系結(jié)構(gòu)。

(2)盡管一些系統(tǒng)正在逐漸成為標(biāo)準(zhǔn),但僅有很少幾個(gè)標(biāo)準(zhǔn)的應(yīng)用程序接口(APIA)。從協(xié)議間的通用API和網(wǎng)關(guān)是絕對(duì)需要的。

(3)大多數(shù)電子商務(wù)系統(tǒng)都是封閉式的,即它們使用獨(dú)有的技術(shù),僅支持一些特定的協(xié)議和機(jī)制。通常需要一個(gè)中央服務(wù)器作為所有參與者的可信第三方,有時(shí)還要求使用特定的服務(wù)器和瀏覽器。

(4)盡管大多數(shù)方案都使用了公鑰密碼,但多方安全受到的關(guān)注遠(yuǎn)遠(yuǎn)不夠。沒有建立一種解決爭(zhēng)議的決策程序。

(5)客戶的匿名性和隱私尚未得到充分的考慮。

參考文獻(xiàn)

[1]EricRescorla.著,崔凱譯.SSL與TLSDesigningandBuild-ingSecureSystems[M].北京:中國(guó)電力出版社,2002.

[2]ChristopherSteel,RameshNagappan,RayLai.著.安全模式(CoreSecurityPatterns)[M].北京:機(jī)械工業(yè)出版社,2006.

篇2

一、電子商務(wù)出現(xiàn)安全問題的原因

電子商務(wù)出現(xiàn)安全問題的原因是多方面，主要有以下幾種：

1、企業(yè)管理缺乏對(duì)于人員管理的認(rèn)識(shí)。

如今，很多企業(yè)都認(rèn)為電子商務(wù)僅僅在于技術(shù)而非人員管理，因此，企業(yè)在管理當(dāng)中也會(huì)自覺地把電子商務(wù)當(dāng)做一項(xiàng)技術(shù)來研究管理，缺乏對(duì)于企業(yè)內(nèi)?a href="xuexila.com/yangsheng/kesou/" target="_blank">咳嗽鋇南低徹芾恚皇墻屑際豕タ死唇邪踩喙堋R虼?，覊末企覔v⑸宋薹植溝木盟鶚保39討吹娜銜羌際醪還厝塹幕觶斐賞環(huán)⑹錄搗ⅰD殼埃詮芾淼敝忻揮幸桓魷嘍醞暾耐綣芾硐低癡饈悄贛怪靡傻?，铜h(huán)⑹錄媸倍伎贍艽嬖冢虼?，安全管?a href="xuexila.com/fanwen/cuoshi/" target="_blank">措施就必須要管理到電子商務(wù)的每一個(gè)角落和環(huán)節(jié)當(dāng)中，只有是人與與技術(shù)相結(jié)合，才能夠保證電子商務(wù)安全的進(jìn)行下去。

2、企業(yè)規(guī)劃當(dāng)中沒有詳細(xì)的考慮信息安全問題

在電子商務(wù)安全的管理當(dāng)中，并不是僅僅依靠一個(gè)部分或幾個(gè)部門，而是整個(gè)企業(yè)的所有部門來維護(hù)和監(jiān)管，雖然，各部門在職能的分工上各有不同，各有優(yōu)勢(shì)也存在差異，但是信息安全是每個(gè)部門都必須要重視的事情。信息安全保障體系必須是各部門整體的協(xié)調(diào)統(tǒng)一，才能夠確保信息安全體系的有效管理。

3、企業(yè)缺乏相應(yīng)的安全管理人力

企業(yè)在進(jìn)行信息安全管理當(dāng)中，很容易忽視對(duì)于信息安全管理的物質(zhì)基礎(chǔ)，在信息管理當(dāng)中人才是保障信息安全的重中之重，信息安全是一項(xiàng)技術(shù)性活，假如缺乏業(yè)務(wù)能力強(qiáng)并且具備信息安全網(wǎng)絡(luò)知識(shí)、技術(shù)、法律知識(shí)和管理能力的人才，就不可能把安全管理做好，電子商務(wù)安全管理就沒有保障，容易導(dǎo)致信息的丟失和安全的缺乏。

4、企業(yè)對(duì)人員關(guān)于信息安全的宣傳不到位

很多企業(yè)度忽視對(duì)于內(nèi)部工作人員的信息安全的培訓(xùn)，這樣就容易導(dǎo)致內(nèi)部人員的信息安全意識(shí)薄弱，等不到企業(yè)安全管理的目的，因此就可能導(dǎo)致安全事故的發(fā)生，如今絕大部分的安全信息泄密事件都是由于參與網(wǎng)絡(luò)交易的人員信息安全意識(shí)的缺乏而發(fā)生的，這就是企業(yè)在安全管理上的疏忽造成經(jīng)濟(jì)的損失。

二、電子商務(wù)安全管理體制的建議

網(wǎng)上交易安全管理必須采用較為綜合的管理思路，從技術(shù)考慮確保技術(shù)能夠跟得上時(shí)代的潮流，加強(qiáng)安全監(jiān)管建立合法的管理制度，杜絕信息的泄密，對(duì)交易安全進(jìn)行實(shí)時(shí)監(jiān)控等等手段來保障安全，因此本文提出電子商務(wù)安全管理建議如下：

1、企業(yè)需提高網(wǎng)絡(luò)安全防范的意識(shí)

目前，很多國(guó)內(nèi)的網(wǎng)站都存在網(wǎng)絡(luò)上的安全問題，主要是管理者沒有重視安全的監(jiān)管，甚至一些企業(yè)認(rèn)為自己的公司規(guī)模小不具備安全管理的經(jīng)驗(yàn)甚至是不需要進(jìn)行安全的管理，因?yàn)椴粫?huì)成為黑客攻擊的目標(biāo)，這樣的安全監(jiān)管就無從談起。因此，不管是大企業(yè)還是小企業(yè)都需要樹立其安全管理的意識(shí)，定期舉辦安全信息培訓(xùn)，只有是提高網(wǎng)絡(luò)安全的防范意識(shí)才能夠避免信息泄露的事故發(fā)生。

2、加強(qiáng)電子商務(wù)安全管理組織上的體系

電子商務(wù)安全管理最主要的是組織上需要更加的完善，因此需要建立行政指揮領(lǐng)導(dǎo)、技術(shù)人才管理、信息安全監(jiān)管以及安全顧問等等的安全決策，而他們的職責(zé)是建立相對(duì)完整的組織機(jī)構(gòu)，組織安全策略、分配安全職責(zé)并且定期檢查安全職責(zé)是否按時(shí)旅行等等。不僅如此，企業(yè)還需要建立起網(wǎng)絡(luò)安全員、管理員等等的安全執(zhí)行機(jī)構(gòu)，能夠負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的安全策略和日常的安全運(yùn)行維護(hù)檢查等。而安全顧問也必不可少，可以聘請(qǐng)安全專家負(fù)責(zé)提供安全的建議，尤其是在突發(fā)事故發(fā)生后，安全顧問就顯得特別重要，可以被安全決策機(jī)構(gòu)負(fù)責(zé)事故的調(diào)查并且能夠提出相對(duì)合理的評(píng)估意見與建議等。

3、加強(qiáng)人員的安全管理意識(shí)

在網(wǎng)絡(luò)交易的時(shí)候大部分都是內(nèi)部人員參與網(wǎng)絡(luò)交易，因此，他們更容易進(jìn)行網(wǎng)絡(luò)犯罪，而他們?cè)谶`法過程中比其他的違法人員具有更大的隱蔽性和高效性。因而企業(yè)需要加強(qiáng)人員的監(jiān)管，可以先從人員的錄用上進(jìn)行人員的甄選，在人員的錄用過程當(dāng)中要簽署保密協(xié)議，當(dāng)人員到期或者合同終止時(shí)也需要簽署保密協(xié)議。其次還可以對(duì)內(nèi)部人員進(jìn)行在崗培訓(xùn)，建立起人員的安全意識(shí)，定期組織安全策略練習(xí)和規(guī)程方面的操作等。第三，還可以讓企業(yè)人員明確本崗位的安全政策和職責(zé)，對(duì)違反網(wǎng)絡(luò)交易的人員要進(jìn)行相應(yīng)的處罰，情節(jié)嚴(yán)重時(shí)可讓其承擔(dān)法律責(zé)任。[1]

4、企業(yè)需加強(qiáng)法律意識(shí)，并促進(jìn)電子商務(wù)有法可依

如今，電子商務(wù)的發(fā)展越來越快速，企業(yè)也從電子商務(wù)的交易上獲得了巨大的經(jīng)濟(jì)效益，但是在目前來看，我國(guó)卻沒有電子商務(wù)相對(duì)應(yīng)的法律依據(jù)，這樣容易使得部分犯罪人員得不到相應(yīng)的處罰，當(dāng)然，我國(guó)也在電子商務(wù)的立法上逐漸的完善，但是到雖然在電子商務(wù)上信息安全取得了一些成績(jī)，卻總體來說法律依舊還是不健全的，對(duì)于電子商務(wù)的安全保護(hù)依舊是缺少，專門的法律還是比較的分散，并且法律的效率依舊還是不高，面對(duì)這樣的新型情況的突發(fā)，還是缺乏有力性和有效性，適應(yīng)性相對(duì)較弱，因此，國(guó)家的對(duì)于電子商務(wù)的專門立法需要各個(gè)企業(yè)和國(guó)家的有關(guān)部門不斷地摸索，才能夠讓電子商務(wù)的立法環(huán)境得到良好的發(fā)展。[2]

三、結(jié)論

篇3

[關(guān)鍵詞] J2EE 電子商務(wù) 安全架構(gòu)

一、背景介紹

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，電子商務(wù)作為一種新的商務(wù)系統(tǒng)得到了廣泛的應(yīng)用。目前電子商務(wù)的使用越來越廣，電子商務(wù)的安全性成為人們關(guān)注的焦點(diǎn)。事實(shí)上，電子商務(wù)由于黑客的入侵，系統(tǒng)存在的安全漏洞而造成各方面的損失的報(bào)道也屢見不鮮。因此，電子商務(wù)的開發(fā)設(shè)計(jì)必須要把安全作為應(yīng)用系統(tǒng)的一個(gè)重要的方面加入到電子商務(wù)系統(tǒng)的開發(fā)的整體設(shè)計(jì)中來。

當(dāng)前電子商務(wù)應(yīng)用的主流開發(fā)技術(shù)則是以J2EE為主,J2EE(Java 2 Platform Enterprise Edition)是美國(guó)Sun公司推出的多層企業(yè)應(yīng)用開發(fā)模型。J2EE簡(jiǎn)化了基于工業(yè)標(biāo)準(zhǔn)的、組件化的企業(yè)應(yīng)用開發(fā)，提供了一套完整的企業(yè)應(yīng)用的開發(fā)框架和服務(wù)的支持。由于J2EE完善和靈活的框架設(shè)計(jì)、強(qiáng)大服務(wù)支持等優(yōu)點(diǎn)，使其迅速成為電子商務(wù)應(yīng)用系統(tǒng)開發(fā)的主流技術(shù)。本文則主要介紹了如何在基于J2EE的電子商務(wù)系統(tǒng)設(shè)計(jì)中加入安全架構(gòu)的設(shè)計(jì)，并介紹了安全架構(gòu)設(shè)計(jì)中的一些概念和實(shí)現(xiàn)技術(shù)。

二、電子商務(wù)的安全架構(gòu)及其概念

電子商務(wù)的安全架構(gòu)的根本目標(biāo)是為了實(shí)現(xiàn)對(duì)用戶訪問系統(tǒng)和使用系統(tǒng)資源進(jìn)行控制，達(dá)到合法用戶合法使用系統(tǒng)的目的，因此在電子商務(wù)中采用的安全架構(gòu)一般涉及到以下幾個(gè)概念:

1.合法用戶:合法用戶是指通過驗(yàn)證的，擁有一定系統(tǒng)使用權(quán)限的用戶。當(dāng)一個(gè)用戶進(jìn)入系統(tǒng)時(shí)，只要通過驗(yàn)證后才可以獲得進(jìn)入系統(tǒng)的資格和使用系統(tǒng)的權(quán)限。

2.角色:由于一個(gè)電子商務(wù)系統(tǒng)可能對(duì)不同的用戶給予不同的權(quán)限。如果對(duì)每個(gè)用戶都要進(jìn)行權(quán)限的設(shè)置，這樣的做法顯然是不合理的，因此在電子商務(wù)系統(tǒng)中一般將相同使用權(quán)限的用戶歸并成一類，稱之為角色，相同的角色擁有相同的系統(tǒng)使用權(quán)限。

3.安全域:是一個(gè)邏輯范圍或區(qū)域，在這一范圍或區(qū)域中安全服務(wù)的管理員定義和實(shí)施通用的安全策略。它是比角色更高的層的抽象。一個(gè)組織可以劃分成眾多的安全域，而一個(gè)安全域中可以包含眾多的角色。

4.資源:泛指電子商務(wù)系統(tǒng)中可以被用戶使用，訪問的有價(jià)值信息。比如說報(bào)價(jià)系統(tǒng)，訂單系統(tǒng)等都屬于電子商務(wù)系統(tǒng)的資源。

5.映射:映射是電子商務(wù)將一個(gè)合法用戶與系統(tǒng)內(nèi)的某個(gè)角色相關(guān)聯(lián)的動(dòng)作，從而該合法用戶即擁有對(duì)應(yīng)角色的系統(tǒng)使用權(quán)限。一個(gè)用戶可以在不同的策略配置下對(duì)應(yīng)不同的角色，達(dá)到實(shí)現(xiàn)系統(tǒng)用戶權(quán)限管理的靈活性。

以上述的概念可知，一個(gè)組織的電子商務(wù)系統(tǒng)的安全架構(gòu)可以首先看成是由安全域組成的，每個(gè)安全域內(nèi)包含了眾多的角色和資源。用戶通過驗(yàn)證后進(jìn)入系統(tǒng)，即根據(jù)其所屬安全域的安全配置策略被映射到其對(duì)應(yīng)的角色上，從而擁有該角色使用系統(tǒng)的權(quán)限。

三、電子商務(wù)的安全架構(gòu)設(shè)計(jì)

1.用戶身份驗(yàn)證:用戶身份認(rèn)證是用戶進(jìn)入系統(tǒng)的第一步，也是系統(tǒng)安全性保障的基本前提，用戶身份驗(yàn)證有很多種方式和實(shí)現(xiàn)技術(shù)，就J2EE而言，主要有通過WEB客戶端來實(shí)現(xiàn)對(duì)用戶的身份驗(yàn)證和基于應(yīng)用程序客戶端驗(yàn)證兩種方式， J2EE中提供了三種基于WEB客戶端的用戶身份驗(yàn)證技術(shù)，主要有HTTP基本驗(yàn)證，基于表單的驗(yàn)證，基于客戶端證書的驗(yàn)證。而利用基于應(yīng)用程序客戶端驗(yàn)證的方式，這種方式主要是通過應(yīng)用程序客戶端在運(yùn)行前由其應(yīng)用程序客戶端容器來完成驗(yàn)證過程。

2.安全域的劃分:安全域涉及到更高抽象層的安全策略的配置，因此安全域的劃分一般是依據(jù)電子商務(wù)系統(tǒng)用戶所屬組織的結(jié)構(gòu)來劃分。

3.用戶角色設(shè)置主要是根據(jù)用戶使用系統(tǒng)的需求來進(jìn)行設(shè)置，將相同使用權(quán)限需求的用戶歸并為一類，設(shè)置成相同的角色。并針對(duì)該角色依據(jù)最小有限使用權(quán)限的原則配置該角色在系統(tǒng)中的使用權(quán)限。最后根據(jù)角色和權(quán)限配置，再結(jié)合實(shí)際的使用情況設(shè)置詳細(xì)的安全管理策略。

4.以上第二、第三步驟主要集中在電子商務(wù)的安全管理邏輯設(shè)計(jì)，當(dāng)邏輯設(shè)計(jì)完成后，就需要將邏輯的安全管理規(guī)則在電子商務(wù)系統(tǒng)中予以實(shí)現(xiàn)，在電子商務(wù)系統(tǒng)中加入安全管理功能模塊。具有的實(shí)現(xiàn)方式有多種，以下本文將簡(jiǎn)要說明在電子商務(wù)應(yīng)用系統(tǒng)中加入用戶權(quán)限控制的過程和方法。

四、應(yīng)用舉例

在J2EE的架構(gòu)中實(shí)現(xiàn)對(duì)用戶訪問權(quán)限的控制主要有二種實(shí)現(xiàn)方式:一種是通過SESSION對(duì)象來實(shí)現(xiàn)，即當(dāng)用戶通過身份驗(yàn)證后，為用戶建立一個(gè)SESSION對(duì)象用以記錄用戶的角色,以及權(quán)限，當(dāng)用戶訪問系統(tǒng)中的資源時(shí)，首先對(duì)用戶的SESSION對(duì)象中的用戶角色權(quán)限進(jìn)行審計(jì)。如果用戶的角色擁有訪問該資源的權(quán)限，則允許其訪問資源，否則拒絕;另一種方式則是通過對(duì)WEB應(yīng)用容器進(jìn)行設(shè)置來實(shí)現(xiàn)的。以TOMCAT為例,它可以用其WEB.XML配置文件進(jìn)行配置，該配置文件實(shí)質(zhì)上是定義的三元組，在該配置文件將系統(tǒng)的資源定義成用戶角色將要訪問的頁面集合，并將相關(guān)的頁面資源進(jìn)行合并，也可以通過通用匹配符來表示成WEB資源集合,然后根據(jù)安全策略的設(shè)置,定義針對(duì)該集合允許訪問的角色集合,在集合中定義允許訪問的用戶角色，最后是說明角色的驗(yàn)證方式，指出用戶的角色名和其所屬的安全域。對(duì)TOMCAT配置完成后,則可以由TOMCAT容器來實(shí)現(xiàn)對(duì)用戶訪問資源的控制。

從兩種方式對(duì)比來看，第一種方式應(yīng)該說安全策略的配置粒度更細(xì)，而且訪問權(quán)限的控制能力也更強(qiáng)些，但是模塊的功能設(shè)計(jì)復(fù)雜而靈活性也會(huì)受一定的影響，后一種方式直接在WEB容器中配置安全策略，實(shí)現(xiàn)方便，靈活性也高，但是功能則會(huì)受限制。因而其更適合一些小型的應(yīng)用。

參考文獻(xiàn):

篇4

關(guān)鍵詞：電子商務(wù)，風(fēng)險(xiǎn)，安全管理

1 引言

美國(guó)IBM公司從企業(yè)電子商務(wù)的運(yùn)作過程中認(rèn)為電子商務(wù)(E-Business)就是企業(yè)的“商務(wù)整合”，它將IT技術(shù)策略與企業(yè)商務(wù)策略整合起來，形成企業(yè)全新的組織構(gòu)架、全新的商業(yè)模式、全新的業(yè)務(wù)流程。它是傳統(tǒng)企業(yè)商務(wù)電子化的過程，即傳統(tǒng)商務(wù)向電子商務(wù)轉(zhuǎn)型的過程。電子商務(wù)作為一種新的生產(chǎn)方式，正在顯示其巨大的現(xiàn)代經(jīng)濟(jì)管理的價(jià)值和社會(huì)變革的影響力。

如何使電子商務(wù)運(yùn)作過程的安全性和風(fēng)險(xiǎn)控制得到保證，是關(guān)系到電子商務(wù)能否順利發(fā)展的關(guān)鍵問題。

2 我國(guó)電子商務(wù)發(fā)展現(xiàn)狀

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)最新的中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告顯示：截至2009年6月底，我國(guó)網(wǎng)民數(shù)達(dá)到3.32億，互聯(lián)網(wǎng)普及率更是以25.5%的比例超過了21.9%的全球平均水平。與此同時(shí)，有關(guān)部門的2008中國(guó)網(wǎng)上購(gòu)物調(diào)查報(bào)告顯示，上半年國(guó)內(nèi)網(wǎng)購(gòu)交易總額已經(jīng)達(dá)到531.5億元，參與網(wǎng)購(gòu)的人群達(dá)到1.2億。

隨著網(wǎng)購(gòu)人數(shù)的增長(zhǎng)，互聯(lián)網(wǎng)的各種應(yīng)用還將從大城市向中小城市滲透，網(wǎng)民數(shù)的不斷增加和主流消費(fèi)人群消費(fèi)習(xí)慣的改變，將成為推動(dòng)中國(guó)網(wǎng)購(gòu)市場(chǎng)激增的重要原因。

3 電子商務(wù)發(fā)展中面臨的風(fēng)險(xiǎn)

互聯(lián)網(wǎng)正在改變?nèi)蚪?jīng)濟(jì)，電子商務(wù)向人們展示了“快、便、省”的優(yōu)勢(shì)。

但是電子商務(wù)與其它新生事物一樣，在帶來巨大機(jī)遇的同時(shí)，也存在著許多風(fēng)險(xiǎn)。

（1）技術(shù)風(fēng)險(xiǎn)

具體包括交易安全、認(rèn)證安全、數(shù)據(jù)加密、支付安全、網(wǎng)站安全等。

（2）金融與支付風(fēng)險(xiǎn)

具體包括訂購(gòu)、付款、銀行結(jié)算以及其他金融交易業(yè)務(wù)的在線安全。論文格式。

（3）稅收風(fēng)險(xiǎn)

由于電子商務(wù)具有跨地域交易的特點(diǎn)，使得電子商務(wù)稅收變得十分重要而復(fù)雜，國(guó)際上普遍接受的是稅收中性的觀點(diǎn)，即對(duì)國(guó)際性稅收原則不做根本改變，但對(duì)全球電子商務(wù)發(fā)展中面臨的有關(guān)稅收方面的政策改變將大大影響電子商務(wù)的發(fā)展。

（4）人才與培養(yǎng)風(fēng)險(xiǎn)

電子商務(wù)的發(fā)展需要大量計(jì)算機(jī)人才和網(wǎng)絡(luò)經(jīng)濟(jì)商務(wù)人才以及相關(guān)復(fù)合人才，我國(guó)在這方面的人才較為欠缺。

（5）政策法規(guī)風(fēng)險(xiǎn)

電子商務(wù)的發(fā)展如同網(wǎng)絡(luò)的發(fā)展一樣是非常快的，與之相比國(guó)家有關(guān)管理部門的政策、法規(guī)的制定不可避免的存在滯后的可能，使得新興的電子商務(wù)發(fā)展可能處于缺乏保障的地位，而且電子商務(wù)中個(gè)性化特點(diǎn)日趨突出，給政策、法規(guī)的制定也提高了難度。

（6）競(jìng)爭(zhēng)風(fēng)險(xiǎn)

電子商務(wù)的發(fā)展將使我國(guó)的企業(yè)同時(shí)面臨與國(guó)外大公司、企業(yè)的競(jìng)爭(zhēng)，還要面對(duì)傳統(tǒng)商務(wù)與之的競(jìng)爭(zhēng)。

3.3 電子商務(wù)的風(fēng)險(xiǎn)特征

電子商務(wù)中出現(xiàn)的風(fēng)險(xiǎn)，雖然多為傳統(tǒng)經(jīng)濟(jì)中所固有，但它無論在表現(xiàn)形式、強(qiáng)烈程度還是影響范圍上與傳統(tǒng)經(jīng)濟(jì)中的風(fēng)險(xiǎn)都不相同。概括起來說，電子商務(wù)風(fēng)險(xiǎn)具有以下特征。

（1) 全球性

電子商務(wù)風(fēng)險(xiǎn)具有全球性特征。論文格式。風(fēng)險(xiǎn)既可能來自國(guó)內(nèi)，也可能來自世界任何一個(gè)地方。四通八達(dá)的通訊網(wǎng)絡(luò)，把世界各地都緊緊地聯(lián)系在一起。例如，技術(shù)風(fēng)險(xiǎn)就是這樣。當(dāng)黑客發(fā)動(dòng)攻擊時(shí)，遇到的唯一障礙就是技術(shù)上的可行性。

（2) 傳染性

電子商務(wù)風(fēng)險(xiǎn)可以在全球范圍內(nèi)迅速傳播，具有很強(qiáng)的傳染性和廣泛的影響力，使人們很難進(jìn)行有效防范。實(shí)時(shí)性和交互性是電子商務(wù)的兩個(gè)基本特征。一旦風(fēng)險(xiǎn)產(chǎn)生，它就會(huì)借助信息的實(shí)時(shí)傳遞和市場(chǎng)交易主體之間的交互關(guān)系而迅速擴(kuò)散。

（3) 成長(zhǎng)性

在一定條件下，電子商務(wù)風(fēng)險(xiǎn)會(huì)迅速成長(zhǎng)和壯大，具有一股強(qiáng)大的、摧毀一切的力量。這種異乎尋常的成長(zhǎng)性，來自于電子商務(wù)中所特有的不穩(wěn)定均衡和正反饋效應(yīng)。電子商務(wù)中的均衡是不穩(wěn)定均衡。如果企業(yè)正處于成長(zhǎng)過程中，它就會(huì)在正反饋效應(yīng)的刺激作用下，成長(zhǎng)得越來越快、越來越強(qiáng)大，直至成為市場(chǎng)主流，占有決定性的市場(chǎng)份額。反之，一個(gè)企業(yè)即使是市場(chǎng)的主流，如果受到一些致命的打擊，則有可能在正反饋效應(yīng)的作用下迅速衰退，甚至在很短時(shí)期內(nèi)消逝得無影無蹤。

（4) 隱蔽性

電子商務(wù)風(fēng)險(xiǎn)具有很強(qiáng)的隱蔽性。風(fēng)險(xiǎn)初起時(shí)可能不大容易覺察，當(dāng)風(fēng)險(xiǎn)變得清晰可辨時(shí)，危機(jī)就無法避免了。這種隱蔽性，來自信息的非對(duì)稱性。在網(wǎng)絡(luò)中，人們可以自由遨游，不需要提供真實(shí)的姓名和身份。如果再缺少相關(guān)的法律進(jìn)行約束，投機(jī)和欺詐就會(huì)泛濫，電子商務(wù)就會(huì)趨向崩潰。

（5) 復(fù)雜性

在電子商務(wù)中，風(fēng)險(xiǎn)不是單一的，而是綜合的。多種風(fēng)險(xiǎn)往往交叉在一起，它們相互影響和助長(zhǎng)，使得風(fēng)險(xiǎn)防范的難度大大增加。

4 電子商務(wù)安全管理措施

電子商務(wù)交易安全管理，不應(yīng)當(dāng)只從單純技術(shù)角度考慮如何解決的問題，而是應(yīng)該從綜合的安全管理思路來考慮，因?yàn)閺碾娮由虅?wù)的運(yùn)行環(huán)境來看，技術(shù)環(huán)境是一個(gè)重要方面，但是良好的法律法規(guī)、政策環(huán)境和科學(xué)管理環(huán)境也是電子商務(wù)的順利運(yùn)行不可或缺的兩個(gè)方面。安全的電子商務(wù)環(huán)境包括精心規(guī)劃的管理體系，嚴(yán)密的技術(shù)措施和完善的法律體系。所以電子商務(wù)的安全管理應(yīng)該從技術(shù)、管理、法律等方面綜合考慮。建立一個(gè)完整的電子商務(wù)交易安全體系。

4.1 加快基礎(chǔ)設(shè)施建設(shè)

計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)通信設(shè)備、網(wǎng)絡(luò)通信線路、網(wǎng)絡(luò)服務(wù)器等設(shè)備，在靜電、電磁泄漏和意外事故等情況下會(huì)造成數(shù)據(jù)的丟失，機(jī)密信息泄漏。所以，加快電子商務(wù)的基礎(chǔ)設(shè)施建設(shè)，選擇高性能的網(wǎng)絡(luò)設(shè)備， 建設(shè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，才能為電子商務(wù)交易的信息提供硬件保障。

4.2 實(shí)施技術(shù)防范措施

電子商務(wù)的運(yùn)作涉及資金安全、信息安全、貨物安全、商業(yè)秘密等多方面的安全問題，任何一點(diǎn)漏洞都可能導(dǎo)致大量資金流失，這些安全首先是對(duì)信息技術(shù)的依賴。目前電子商務(wù)比較成熟的技術(shù)安全措施有以下幾種：

（1）防火墻技術(shù)：防火墻是在本地系統(tǒng)或網(wǎng)絡(luò)與Internet 之間構(gòu)筑的一道屏障，用以保護(hù)本地系統(tǒng)或網(wǎng)絡(luò)中的信息、資源等不受來自Internet 中非法用戶的侵犯；用以控制和防止本地系統(tǒng)或網(wǎng)絡(luò)中的敏感數(shù)據(jù)流入Internet，也控制和防止來自Internet 的無用數(shù)據(jù)流入本地系統(tǒng)或網(wǎng)絡(luò)。所以，防火墻能起到保護(hù)本地系統(tǒng)或網(wǎng)絡(luò)中信息安全保密的重要作用，成為電子商務(wù)系統(tǒng)的安全屏障。

（2）數(shù)字簽名技術(shù)：數(shù)字簽名是通過某種密碼運(yùn)算生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名，代替書寫簽名或印章。對(duì)于這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證，其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章的驗(yàn)證而無法比擬的。數(shù)字簽名是目前電子商務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可操作性最強(qiáng)的一種電子簽名方法。

（3）安全證書認(rèn)證中心(Certification Authority中心)：網(wǎng)上交易需要由一個(gè)權(quán)威的第三方來擔(dān)任信用認(rèn)證機(jī)構(gòu)，確認(rèn)買賣雙方的身份，這就是電子商務(wù)的安全證書認(rèn)證中心(CA 中心) 。CA 中心是承擔(dān)網(wǎng)上認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的受大家信任的第三方機(jī)構(gòu)，它的作用在于確保網(wǎng)上交易合同的有效性，確保交易內(nèi)容、交易雙方賬號(hào)、密碼不被他人識(shí)別和盜取，防止單方面對(duì)交易信息的生成和修改，保證電子商務(wù)的交易安全。

4.3 健全管理與控制

由于電子商務(wù)企業(yè)一般都是新興企業(yè)，管理制度、管理手段沒有傳統(tǒng)企業(yè)成熟、嚴(yán)密，加上一些電子商務(wù)企業(yè)一般更注重技術(shù)創(chuàng)新而非管理。因而，電子商務(wù)建立先進(jìn)的管理與控制更為迫切。

建立交易授權(quán)控制制度：電子商務(wù)交易程序的簡(jiǎn)單化，必須在業(yè)務(wù)流程方面建立嚴(yán)格的業(yè)務(wù)授權(quán)與執(zhí)行內(nèi)部控制制度，并對(duì)關(guān)鍵業(yè)務(wù)流程的內(nèi)部控制進(jìn)行定期的審核。

建立責(zé)任控制制度：它是以經(jīng)濟(jì)組織內(nèi)部各部門、各環(huán)節(jié)、各層次及其人員的經(jīng)濟(jì)責(zé)任為中心的內(nèi)部控制制度，使得各職能部門和經(jīng)辦人員分工明確，職責(zé)分明。

建立會(huì)計(jì)控制和內(nèi)部牽制制度：主要檢查會(huì)計(jì)事項(xiàng)的處理是否遵循不相容的職務(wù)或者經(jīng)過兩個(gè)以上的人員或部門的原則，以防止差錯(cuò)、舞弊的發(fā)生，保護(hù)財(cái)產(chǎn)的安全。論文格式。

建立經(jīng)營(yíng)方面各個(gè)循環(huán)系統(tǒng)的控制制度：它是經(jīng)濟(jì)組織內(nèi)部為實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)而實(shí)現(xiàn)生產(chǎn)經(jīng)營(yíng)和管理所必須經(jīng)過的環(huán)節(jié)和業(yè)務(wù)操作的控制制度。如成本控制、購(gòu)銷控制、物資控制、生產(chǎn)經(jīng)營(yíng)過程的控制以及計(jì)劃、預(yù)算、合同管理等控制制度。

建立一定的應(yīng)急措施：在信息流程方面，加強(qiáng)對(duì)信息的記錄、維護(hù)和報(bào)告相關(guān)環(huán)節(jié)的控制。例如數(shù)據(jù)文件的定期備份、備份數(shù)據(jù)的存放地點(diǎn)、存放條件要求、系統(tǒng)數(shù)據(jù)文件損壞后的再生規(guī)則等。

4. 4 健全法制，倡導(dǎo)誠(chéng)信

1996 年聯(lián)合國(guó)貿(mào)易法委員會(huì)制訂了《聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)電子商務(wù)示范法》，2005 年初，國(guó)務(wù)院頒發(fā)了《加強(qiáng)電子商務(wù)的若干意見》，2005 年4 月1 日開始正式實(shí)施的《電子簽名法》，對(duì)我國(guó)正在興起的電子商務(wù)給予了強(qiáng)有力的法律支持，為我國(guó)電子商務(wù)安全認(rèn)證體系和網(wǎng)絡(luò)信任體系的建立奠定了基礎(chǔ)。但是，網(wǎng)絡(luò)環(huán)境中的誠(chéng)信問題不是僅僅靠《電子簽名法》所能夠解決的，要想根本鏟除互聯(lián)網(wǎng)交易中的種種弊端，歸根到底要靠安全認(rèn)證和行業(yè)的自律。所以，倡導(dǎo)誠(chéng)信，維護(hù)消費(fèi)者合法權(quán)益，是推動(dòng)我國(guó)電子商務(wù)健康發(fā)展的內(nèi)在因素。

4.5 大力培養(yǎng)電子商務(wù)專業(yè)人才

電子商務(wù)是信息現(xiàn)代化與商務(wù)的有機(jī)結(jié)合，雖然強(qiáng)調(diào)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)對(duì)交易活動(dòng)的促進(jìn)作用，但電子商務(wù)實(shí)現(xiàn)的關(guān)鍵仍然是人才。要發(fā)展電子商務(wù)，需要大量的掌握現(xiàn)代信息技術(shù)和現(xiàn)代商貿(mào)理論與實(shí)務(wù)的復(fù)合型人才。政府應(yīng)充分利用各種途徑和手段，培養(yǎng)、引進(jìn)并合理使用好一批素質(zhì)較高、層次合理、專業(yè)配套的網(wǎng)絡(luò)、計(jì)算機(jī)及經(jīng)營(yíng)管理等方面的專業(yè)人才，以加快我國(guó)電子商務(wù)的發(fā)展。

5 結(jié)束語

電子商務(wù)在給我們帶來廣泛的機(jī)遇的同時(shí)，也給我們帶來了新的風(fēng)險(xiǎn)。安全的電子商務(wù)環(huán)境包括精心規(guī)劃的管理體系，嚴(yán)密的技術(shù)措施和完善的法律體系。所以電子商務(wù)的安全管理應(yīng)該從技術(shù)、管理、法律等方面綜合考慮。建立一個(gè)完整的電子商務(wù)交易安全體系。

參考文獻(xiàn)

1.伊志宏 張航宇著我國(guó)電子商務(wù)發(fā)展中的風(fēng)險(xiǎn)管理 中國(guó)期刊網(wǎng)

2.洪國(guó)彬 范月嬌著《電子商務(wù)安全與管理》電子工業(yè)出版社 2006年出版

3.董雪兵 朱慧著《電子商務(wù)教程》浙江大學(xué)出版社

4.陶世懷 徐國(guó)芹著《電子商務(wù)概論》第二版 大連理工大學(xué)出版社

5.瞿彭志著 《網(wǎng)絡(luò)營(yíng)銷》第二版高等教育出版社

篇5

關(guān)鍵詞：電子商務(wù)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 07-0000-02

E-Commerce Network Security Research

Wang Baodong,Liu Na

(College of Information&Business,Zhongyuan University of Technology,Zhengzhou45000,China)

Abstract:With the development of information technology,e-commerce become the new business development.This article discusses how to eliminate the network problems,the establishment of a secure e-business use of the environment,and promote China's economic development.

Keywords:Electronic commerce;Network security

隨著信息技術(shù)的發(fā)展，電子商務(wù)成為當(dāng)今商務(wù)活動(dòng)的新模式。許多企業(yè)開始通過因特網(wǎng)進(jìn)行商務(wù)活動(dòng)，電子商務(wù)也具有了廣闊的發(fā)展前景，但是與此同時(shí)，其安全問題也變得日益突出。目前，網(wǎng)上金融服務(wù)面臨著和很多普通互聯(lián)網(wǎng)服務(wù)相同的安全威脅，如信息****、解密、****賬號(hào)、拒絕服務(wù)等。利用一些思維方法和相關(guān)技術(shù)建立一個(gè)安全的電子商務(wù)使用環(huán)境，對(duì)商務(wù)傳輸和交換的信息提供必要的加密和防護(hù)，已經(jīng)成為用戶和業(yè)界關(guān)注的問題。

一、網(wǎng)絡(luò)安全相關(guān)的因素

針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。為了保證電子商務(wù)整個(gè)交易活動(dòng)的安全順利的進(jìn)行，電子商務(wù)系統(tǒng)必須具備幾個(gè)安全要素：網(wǎng)絡(luò)電子商務(wù)信息的保密性、完整性、一致性、可用性和抗否認(rèn)性。網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上信息的安全，包括靜態(tài)信息的存儲(chǔ)安全和信息的傳輸安全。從廣義上講，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整心、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。因此為保證網(wǎng)絡(luò)的安全，必須保證一下四個(gè)方面的安全：

1.運(yùn)行系統(tǒng)的安全。

2.網(wǎng)絡(luò)上系統(tǒng)信息的安全。

3.網(wǎng)絡(luò)上信息傳播安全。

4.網(wǎng)絡(luò)上信息內(nèi)容的安全。

為了保證這些方面的安全，大家通常會(huì)使用一些網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、VPN、數(shù)字簽名等，這些安全產(chǎn)品和技術(shù)的使用樂意從一定程度上滿足網(wǎng)絡(luò)安全需求，但不能滿足整體的安全需求，因?yàn)樗鼈冎荒鼙Ｗo(hù)特定的某一方面的，而對(duì)于網(wǎng)絡(luò)系統(tǒng)來講，它需要的是一個(gè)整體的安全策略，這個(gè)策略不僅包括安全保護(hù)，它還應(yīng)該包括安全管理、實(shí)時(shí)監(jiān)控、響應(yīng)和恢復(fù)措施，因?yàn)槟壳皼]有絕對(duì)的安全，無論你的網(wǎng)絡(luò)系統(tǒng)部署的如何周密，你的系統(tǒng)總會(huì)有被攻擊和攻破的可能，而這時(shí)你會(huì)怎么半呢？采用一些恢復(fù)措施，幫助你在最短的時(shí)間使網(wǎng)絡(luò)系統(tǒng)恢復(fù)正常工作恐怕是最主要的了。因此在構(gòu)筑你的網(wǎng)絡(luò)安全解決方案中一定要注重一個(gè)整體的策略，下面我們將介紹一種整體的安全構(gòu)架。

二、電子商務(wù)安全的整體構(gòu)架

我們介紹的電子商務(wù)構(gòu)架概括為“一個(gè)中心，四個(gè)基本點(diǎn)”。一個(gè)中心就是以安全管理為中心，四個(gè)基本點(diǎn)是保護(hù)、監(jiān)控、響應(yīng)和恢復(fù)。這樣一種構(gòu)架機(jī)制囊括了從保護(hù)到在線監(jiān)控，到響應(yīng)和恢復(fù)的各個(gè)方面，是一種層層防御的機(jī)制，因此這種構(gòu)架可以為用戶構(gòu)筑一個(gè)整體的安全方案。

（一）安全管理。安全管理就是通過一些管理手段來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。它所包含的內(nèi)容有安全管理制度的制定、實(shí)施和監(jiān)督，安全策略的制定、實(shí)施、評(píng)估和修改，以及對(duì)人員的安全意識(shí)的培訓(xùn)、教育等。

（二）保護(hù)。保護(hù)就是采用一些網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)和用戶。這種保護(hù)可以稱作靜態(tài)保護(hù)，它通常是指一些基本防護(hù)，不具有實(shí)時(shí)性，因此我們就可以在防火墻的規(guī)則中加入一條，禁止所有從外部網(wǎng)用戶到內(nèi)部網(wǎng)WEB服務(wù)器的連接請(qǐng)求，這樣一旦這條規(guī)則生效，它就會(huì)持續(xù)有效，除非我們改變了這條規(guī)則。這樣的保護(hù)可以預(yù)防已知的一些安全威脅，而且通常這些威脅不會(huì)變化，所以稱為靜態(tài)保護(hù)。

（三）監(jiān)控/審計(jì)。監(jiān)控就是實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上正在發(fā)生的事情，這是任何一個(gè)網(wǎng)絡(luò)管理員都想知道的，審計(jì)一直被認(rèn)為是經(jīng)典安全模型的一個(gè)重要組成部分。審計(jì)是通過記錄下通過網(wǎng)絡(luò)的所有數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，幫助你查找已知的攻擊手段，可疑的破壞行為，來達(dá)到保護(hù)網(wǎng)絡(luò)的目的。

監(jiān)控和審計(jì)是實(shí)時(shí)保護(hù)的一種策略，它主要滿足一種動(dòng)態(tài)安全的需求。因?yàn)榫W(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時(shí)，黑客技術(shù)也在不斷的發(fā)展，因此網(wǎng)絡(luò)安全不是一層不變的，也許今天對(duì)你來說安全的策略，明天就會(huì)變得不安全，因此我們應(yīng)該時(shí)刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動(dòng)向以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情，以便及時(shí)發(fā)現(xiàn)新的攻擊，制定新的安全策略。有些人可能會(huì)認(rèn)為這樣就不需要基本的安全保護(hù)，這種想法是錯(cuò)誤的，因?yàn)榘踩Ｗo(hù)是基本，監(jiān)控和審計(jì)是其有效的補(bǔ)充，只有這兩者有效結(jié)合，才能夠滿足動(dòng)態(tài)安全的需要。

（四）響應(yīng)。響應(yīng)就是當(dāng)攻擊正在發(fā)生時(shí)，能夠及時(shí)做出響應(yīng)，職向管理員報(bào)告，或者自動(dòng)阻斷連接等，防止攻擊進(jìn)一步的發(fā)生。響應(yīng)是整個(gè)安全架構(gòu)中的重要組成部分，為什么呢？因?yàn)榧词鼓愕木W(wǎng)絡(luò)構(gòu)筑的相當(dāng)安全，攻擊或非法事件也是不可避免的要發(fā)生的，所以當(dāng)攻擊或非法事件發(fā)生的時(shí)候，應(yīng)該有一種機(jī)制對(duì)此做出反應(yīng)，以便讓管理員及時(shí)了解到什么時(shí)候網(wǎng)絡(luò)遭到了攻擊，攻擊的行為是什么樣的，攻擊結(jié)果如何，應(yīng)該采取什么樣的措施來修補(bǔ)安全策略，彌補(bǔ)這次攻擊的損失，以及防止此類攻擊再次發(fā)生。

（五）恢復(fù)。當(dāng)入侵發(fā)生后，對(duì)系統(tǒng)贊成了一定有破壞，如網(wǎng)絡(luò)不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等，這時(shí)，必須有一套機(jī)制來及時(shí)恢復(fù)系統(tǒng)正常工作，因此恢復(fù)電子商務(wù)安全的整體架構(gòu)中也是不可少的一個(gè)組成部分。恢復(fù)是歸終措施，因?yàn)楣艏热灰呀?jīng)發(fā)生了，系統(tǒng)也遭到了破壞，這時(shí)只有讓系統(tǒng)以最快的速度運(yùn)行起來才是最重要的，否則損失將更為嚴(yán)重。

三、安全架構(gòu)的工作機(jī)制

在這處安全架構(gòu)中，五個(gè)方面是如何協(xié)調(diào)工作的呢？下面將以一個(gè)例子一介紹。假設(shè)有一個(gè)黑客欲攻擊一內(nèi)部網(wǎng)，這個(gè)內(nèi)部網(wǎng)整體安全架構(gòu)就如前面介紹的一樣，那么現(xiàn)在讓我們來看看這個(gè)安全架構(gòu)是如何工作來抵制黑客的。

（一）當(dāng)這處黑客開始向內(nèi)部網(wǎng)發(fā)起攻擊的時(shí)候，在內(nèi)部網(wǎng)的最外面有一個(gè)保護(hù)屏障，如果保護(hù)屏障可以制止黑客進(jìn)入內(nèi)部網(wǎng)，那么內(nèi)部網(wǎng)就不可能受到黑客的破壞，別的機(jī)制不用起作用，這時(shí)網(wǎng)絡(luò)的安全得以保證。

（二）黑客通過繼續(xù)努力，可能獲得了進(jìn)入內(nèi)部網(wǎng)的權(quán)力，也就是說他可能欺騙了保護(hù)機(jī)制而進(jìn)入內(nèi)部網(wǎng)，這時(shí)監(jiān)控/審計(jì)機(jī)制開始起作用，監(jiān)控/審計(jì)機(jī)制能夠在線看到發(fā)生在網(wǎng)絡(luò)上的事情，它們能夠識(shí)別出這種攻擊，如發(fā)現(xiàn)可疑人員進(jìn)入網(wǎng)絡(luò)，這樣它們就會(huì)給響應(yīng)機(jī)制一些信息，響應(yīng)機(jī)制根據(jù)監(jiān)控/審計(jì)結(jié)果來采取一些措施，立刻斷開這條連接、取消服務(wù)、查找黑客通過何種手段進(jìn)入網(wǎng)絡(luò)等等，來達(dá)到保護(hù)網(wǎng)絡(luò)的目的。

（三）黑客通過種種努力，終于進(jìn)入了內(nèi)部網(wǎng)，如果一旦黑客對(duì)系統(tǒng)進(jìn)行了破壞，這時(shí)及時(shí)恢復(fù)系統(tǒng)可用將是最主要的事情了，這樣恢復(fù)機(jī)制就是必須的了，當(dāng)系統(tǒng)恢復(fù)完畢后，又是新一輪的安全保護(hù)開始了。

四、電子商務(wù)網(wǎng)絡(luò)安全面臨的威脅

（一）黑客攻擊。網(wǎng)絡(luò)中總是存在各種安全漏洞，因此黑客的攻擊行為是威脅電子商務(wù)安全的一大隱患。黑客攻擊網(wǎng)絡(luò)的目的通常是擾亂系統(tǒng)正常運(yùn)行或者竊取重要的商業(yè)機(jī)密，其慣用的攻擊手段為：竊聽，即黑客通過截獲通訊信道上的重要數(shù)據(jù)并破譯來達(dá)到竊取用戶機(jī)密的目的；重發(fā)攻擊，黑客為達(dá)到影響系統(tǒng)正常運(yùn)行的目的，而將竊聽得到的數(shù)據(jù)經(jīng)過篡改之后重新發(fā)回服務(wù)器或者數(shù)據(jù)庫(kù)用戶；迂回攻擊，黑客掌握電子商務(wù)數(shù)據(jù)庫(kù)系統(tǒng)的安全漏洞之后，繞過數(shù)據(jù)庫(kù)系統(tǒng)而直接訪問機(jī)密數(shù)據(jù)；假冒攻擊，黑客先是采取發(fā)送大量無意義的報(bào)文而堵塞服務(wù)器和客戶終端的通訊端口以后，再通過假冒該客戶或者該服務(wù)器的方法來非法操作數(shù)據(jù)庫(kù)系統(tǒng)；越權(quán)攻擊，黑客屬于一個(gè)合法用戶，但是其通過某種手段使自己去訪問沒有得到授權(quán)的數(shù)據(jù)。

（二）系統(tǒng)漏洞。電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)入侵者能夠根據(jù)系統(tǒng)本身的安全漏洞得到系統(tǒng)的數(shù)據(jù)操作權(quán)限。而漏洞產(chǎn)生的原因往往是管理系統(tǒng)沒有及時(shí)打補(bǔ)丁或者在安全方面的設(shè)置中總是選擇默認(rèn)設(shè)置。此外，如果由于安全檢查措施級(jí)別太低，或者審核機(jī)制應(yīng)用不當(dāng)、軟件存在的風(fēng)險(xiǎn)以及管理風(fēng)險(xiǎn)等，都會(huì)使系統(tǒng)形成安全漏洞，從而給破壞者以入侵的機(jī)會(huì)。

五、電子商務(wù)網(wǎng)絡(luò)安全的解決方案

（一）電子商務(wù)安全協(xié)議。安全協(xié)議的確立和完善是安全系統(tǒng)走上規(guī)范化、標(biāo)準(zhǔn)化道路的基本因素。一個(gè)較為完善的電子商務(wù)系統(tǒng)，應(yīng)該滿足電子商務(wù)的安全需求，實(shí)現(xiàn)加密機(jī)制、驗(yàn)證機(jī)制和保護(hù)機(jī)制等功能。目前，已開發(fā)和應(yīng)用的協(xié)議有：IPv6、安全套接層協(xié)議、安全HTTP協(xié)議和安全電子交易協(xié)議等。本部分著重論述其中安全電子交易協(xié)議的具體實(shí)現(xiàn)機(jī)制。

（二）安全協(xié)議。安全電子交易協(xié)議簡(jiǎn)稱SET，是一種基于信息流的安全協(xié)議，其目的是保證用戶、商家和銀行之間在開放的網(wǎng)絡(luò)環(huán)境之下進(jìn)行安全可靠的信用卡交易。它的出現(xiàn)，使從前只能在銀行之間進(jìn)行的電子貨幣交易行為范圍擴(kuò)展到了普通用戶的個(gè)人電腦領(lǐng)域。SET的技術(shù)核心是認(rèn)證與加密，包括公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。以加密技術(shù)為核心，結(jié)合其他技術(shù)體制，滿足用戶在電子商務(wù)交易中的保密性、完整性和不可抵賴性等安全需求?；赟ET安全協(xié)議的網(wǎng)絡(luò)電子商務(wù)交易流程，幾乎完全等同于現(xiàn)實(shí)物理世界的交易過程，唯一的不同點(diǎn)是交易發(fā)生環(huán)境為因特網(wǎng)。

（三）SET的主要安全措施為：

1.電子數(shù)字簽名技術(shù)。這種方式結(jié)合了私鑰和公鑰體制，采用安全性高、管理方便的RSA算法，交易數(shù)據(jù)的發(fā)出者先將數(shù)據(jù)用私鑰加密，而數(shù)據(jù)抵達(dá)接收方后，用發(fā)送者的公鑰對(duì)數(shù)據(jù)進(jìn)行解密還原。一個(gè)私鑰嚴(yán)格關(guān)聯(lián)著一個(gè)公鑰，因此，數(shù)據(jù)發(fā)出者的信息只能被相應(yīng)的接收者收到。這種方式的發(fā)送方無法抵賴自己曾經(jīng)發(fā)出過的交易數(shù)據(jù)信息。

2.電子信封技術(shù)。交易信息數(shù)據(jù)的發(fā)出者將所發(fā)的信息用DES加密，然后再使用接收者的公鑰把DES的對(duì)稱密鑰加密，這個(gè)過程叫做給信息加了電子數(shù)字信封。隨后，交易信息的發(fā)出者將DES加密交易數(shù)據(jù)和電子信封本身一起發(fā)給交易數(shù)據(jù)的信息接收者。對(duì)方收到這些數(shù)據(jù)之后，用其自己的公鑰打開電子信封，還原出發(fā)送者的DES對(duì)稱密鑰，接著用這個(gè)對(duì)稱密鑰去還原交易數(shù)據(jù)。這就確保了只有用交易信息接收者的密鑰才可以查看電子信封，因此接收者的身份就可以確定。SET協(xié)議的目標(biāo)是解決交易環(huán)節(jié)中各個(gè)參與者（用戶、商家和銀行）之間使用信用卡支付的安全問題。它應(yīng)用于電子交易環(huán)節(jié)，可以有效地保證商務(wù)數(shù)據(jù)的保密性、一致性、完整性和不可抵賴性。

（四）電子商務(wù)安全技術(shù)。電子商務(wù)安全技術(shù)包括備份技術(shù)、密碼技術(shù)、認(rèn)證技術(shù)以及訪問控制技術(shù)等。

1.備份技術(shù)。所謂數(shù)據(jù)庫(kù)備份與恢復(fù)方案，目的是在數(shù)據(jù)庫(kù)系統(tǒng)故障并且短時(shí)間內(nèi)難以恢復(fù)時(shí)，用存儲(chǔ)在備份介質(zhì)中的數(shù)據(jù)將數(shù)據(jù)庫(kù)還原到備份時(shí)的狀態(tài)。數(shù)據(jù)備份根據(jù)數(shù)據(jù)庫(kù)管理系統(tǒng)類型的不同，有多種備份實(shí)施計(jì)劃。比如對(duì)SQL Server而言，有數(shù)據(jù)庫(kù)備份、事務(wù)日志備份、增量備份和文件及文件組備份。電子商務(wù)信息系統(tǒng)的數(shù)據(jù)庫(kù)管理系統(tǒng)中必須建立詳細(xì)的備份與恢復(fù)策略。可以把電子商務(wù)數(shù)據(jù)庫(kù)的故障或障礙分為以下三類：系統(tǒng)故障、事務(wù)故障以及介質(zhì)故障。當(dāng)發(fā)生某種類型的故障時(shí)，為了把企業(yè)的損失減少到最低，必須在最短的時(shí)間內(nèi)恢復(fù)數(shù)據(jù)，因此，根據(jù)企業(yè)的實(shí)際情況和數(shù)據(jù)類型與特點(diǎn)，制定出一套合理而經(jīng)濟(jì)的備份和恢復(fù)策略是必要的。

2.認(rèn)證技術(shù)。認(rèn)證技術(shù)可以阻止不擁有系統(tǒng)授權(quán)的用戶非法破壞敏感機(jī)密的數(shù)據(jù)，是數(shù)據(jù)庫(kù)管理系統(tǒng)為防止各種假冒攻擊安全策略?？诹畹淖R(shí)別是數(shù)據(jù)庫(kù)管理系統(tǒng)進(jìn)行身份認(rèn)證的一種方式，每個(gè)具體用戶都被系統(tǒng)事先分配一個(gè)固定的用戶名與密碼，電子商務(wù)系統(tǒng)的許多數(shù)據(jù)具有開放性特征，因此必須對(duì)每個(gè)訪問系統(tǒng)的用戶的身份進(jìn)行認(rèn)證。在用戶對(duì)敏感關(guān)鍵的數(shù)據(jù)進(jìn)行存取時(shí)，必須在客戶與數(shù)據(jù)庫(kù)管理系統(tǒng)之間進(jìn)行身份認(rèn)證。

3.訪問控制技術(shù)。訪問控制方案有三種，分別叫做自主存取控制（DAC）、強(qiáng)制存取控制（MAC）和基于角色的存取控制（RBAC）。當(dāng)用戶對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問時(shí)，系統(tǒng)會(huì)根據(jù)用戶的級(jí)別與權(quán)限來判定此操作是允許的或者禁止的，從而達(dá)到保護(hù)敏感數(shù)據(jù)不被泄露或者篡改的目的。在數(shù)據(jù)庫(kù)管理系統(tǒng)中，不同的用戶擁有不同的權(quán)限。因此必須保證某個(gè)用戶只能訪問或者存取與自己權(quán)限相應(yīng)的數(shù)據(jù)范圍。用戶所擁有的權(quán)限包括兩方面的內(nèi)容：一是用戶可以訪問數(shù)據(jù)庫(kù)中什么樣的數(shù)據(jù)對(duì)象，二是用戶可以對(duì)這些數(shù)據(jù)對(duì)象進(jìn)行什么樣的操作。

4.加密技術(shù)。數(shù)據(jù)庫(kù)管理系統(tǒng)的加密以字段為最小單位進(jìn)行，加密和解密通常是通過對(duì)稱密碼機(jī)制的密鑰來實(shí)現(xiàn)。數(shù)據(jù)加密時(shí)，數(shù)據(jù)庫(kù)管理系統(tǒng)把明文數(shù)據(jù)經(jīng)過密鑰轉(zhuǎn)換為密文數(shù)據(jù)，數(shù)據(jù)庫(kù)中數(shù)據(jù)的存儲(chǔ)狀態(tài)都是密文數(shù)據(jù)，而在得到權(quán)限的用戶查詢時(shí)，再將密文數(shù)據(jù)取出并解密，從而恢復(fù)明文數(shù)據(jù)。使數(shù)據(jù)庫(kù)的安全性得到進(jìn)一步提升。電子商務(wù)系統(tǒng)中的一些商業(yè)機(jī)密數(shù)據(jù)是不允許普通用戶進(jìn)行隨意訪問的。加密方案的目的是控制以上這些機(jī)密數(shù)據(jù)只能被得到相應(yīng)授權(quán)的特定人群所訪問和存取。

六、結(jié)束語

電子商務(wù)領(lǐng)域的安全問題一直是備受關(guān)注的問題，因此更好的解決安全問題是推進(jìn)電子商務(wù)更好更快發(fā)展的動(dòng)力。但是因?yàn)榘踩珕栴}是不斷發(fā)展變化的，所以解決安全問題的手段也會(huì)不斷變化，但變化中有不變，所以應(yīng)用這種架構(gòu)來保證電子商務(wù)的安全無疑是有效的。

參考文獻(xiàn)：

[1]張瑞君.網(wǎng)絡(luò)環(huán)境會(huì)計(jì)實(shí)時(shí)控制[M].北京:中國(guó)人民大學(xué)出版社,2004,8

[2]王偉國(guó).網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代企業(yè)財(cái)務(wù)管理模式探析[J].石河子大學(xué)學(xué)報(bào)（哲社版）,2004,9

篇6

論文摘要：電子商務(wù)是基于網(wǎng)絡(luò)盼新興商務(wù)模式，有效的網(wǎng)絡(luò)信息安全保障是電子商務(wù)健康發(fā)展的前提。本文著重分析了電子商務(wù)活動(dòng)申存在的網(wǎng)絡(luò)信息安全問題，提出保障電子商務(wù)信息安全的技術(shù)對(duì)策、管理策略和構(gòu)建網(wǎng)絡(luò)安全體系結(jié)構(gòu)等措施，促進(jìn)我國(guó)電子商務(wù)可持續(xù)發(fā)展。

隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運(yùn)而生并迅速發(fā)展。所謂電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動(dòng)中，在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器／服務(wù)器應(yīng)用方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)，實(shí)現(xiàn)消費(fèi)者的網(wǎng)購(gòu)物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動(dòng)和相關(guān)的綜合眼務(wù)活動(dòng)的一種新型的商業(yè)運(yùn)營(yíng)模式。信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展使電子商務(wù)得到了極大的推廣，然而由于互聯(lián)網(wǎng)的開放性，網(wǎng)絡(luò)安全問題日益成為制約電予商務(wù)發(fā)展的一個(gè)關(guān)鍵性問題。

一、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問題

電子商務(wù)的前提是信息的安全性保障，信息安全性的含義主要是信息的完整性、可用性、保密和可靠。因此電商務(wù)活動(dòng)中的信息安全問題豐要體現(xiàn)在以下兩個(gè)方面：

1　網(wǎng)絡(luò)信息安全方面

(1)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范，相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)。此外，在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

(3)防病毒問題?；ヂ?lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介，不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑，在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問題。

(4)服務(wù)器的安全問題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電予商務(wù)的核心，所以服務(wù)器特別容易受到安全的威脅，并且一旦出現(xiàn)安全問題，造成的后果會(huì)非常嚴(yán)重。

2．電子商務(wù)交易方面

(1)身份的不確定問題。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái)，在這個(gè)平臺(tái)上交易雙方是不需要見面的，因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息，仿冒合法用戶的身份與他人進(jìn)行交易。

(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。

(3)交易的修改問題。交易文件是不可修改的，否則必然會(huì)影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改，以保證商務(wù)交易的嚴(yán)肅和公正。

二　電子商務(wù)中的網(wǎng)絡(luò)信息安全對(duì)策

1　電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對(duì)策

(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信皂的完整和提供信包發(fā)送者身份的認(rèn)證，應(yīng)用數(shù)字簽名可在電子商務(wù)中安全、方便地實(shí)現(xiàn)在線支付，而數(shù)據(jù)傳輸?shù)陌踩浴⑼暾?，身份?yàn)證機(jī)制以及交易的不可抵賴性等均可通過電子簽名的安全認(rèn)證手段加以解決。

(2)配置防火墻。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流，提供接入控制和審查跟蹤，是一一種訪問控制機(jī)制。在邏輯，防火墻是一個(gè)分離器、限制器，能有效監(jiān)控內(nèi)部網(wǎng)和intemet之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。

(3)應(yīng)用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和公用密鑰體制兩種。相應(yīng)地，對(duì)數(shù)據(jù)加密的技術(shù)分為對(duì)稱加密和非對(duì)稱加密兩類。根據(jù)電子商務(wù)系統(tǒng)的特點(diǎn)，全面加密保護(hù)應(yīng)包括對(duì)遠(yuǎn)程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實(shí)施加密保護(hù)。一般來說，應(yīng)根據(jù)管理級(jí)別所對(duì)應(yīng)的數(shù)據(jù)保密要求進(jìn)行部分加密而非全程加密。

2、電子商務(wù)網(wǎng)絡(luò)安全的管理策略

(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運(yùn)行狀況保密、工作日記保密等各個(gè)方面。對(duì)各類保密都需要慎重考慮，根據(jù)輕重程度劃分好不同的保密級(jí)別，并制定出相應(yīng)的保密措施。

(2)建立系統(tǒng)維護(hù)制度。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長(zhǎng)期安全、穩(wěn)定運(yùn)行的基本保證，應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān)，為安全起見，其他任何人不得介入，主要做好硬件系統(tǒng)日常管理維護(hù)和軟件系統(tǒng)日常管理維護(hù)兩方面的工作。

(3)建立病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性，除了安裝防病毒軟件之外，還要及時(shí)升級(jí)防病毒軟件版本、及時(shí)通報(bào)病毒入侵信息等工作。此外，還可將剛絡(luò)系統(tǒng)中易感染病毒的文什屬性、權(quán)限加以限制，斷絕病毒入侵的渠道，從而達(dá)到預(yù)防的目的。

(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個(gè)成功的電子商務(wù)系統(tǒng)，應(yīng)引對(duì)信息安全至少提供三個(gè)層而的安全保護(hù)措施：一是數(shù)據(jù)存操作系統(tǒng)內(nèi)部或者盤陣中實(shí)現(xiàn)快照、鏡像；二是對(duì)數(shù)據(jù)庫(kù)及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動(dòng)備份；三是對(duì)重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份，通過以上保護(hù)措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險(xiǎn)。

三　電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)

電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān)，更與社會(huì)因素、法制環(huán)境等多方面因素有關(guān)。故應(yīng)對(duì)電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下：1．電子商務(wù)系統(tǒng)硬件安全。主要是指保護(hù)電子商務(wù)系統(tǒng)所涉及計(jì)算機(jī)硬件的安全性，保證其可靠眭和為系統(tǒng)提供基礎(chǔ)性作用的安全機(jī)制。2．電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改、破壞與非法復(fù)制，系統(tǒng)軟件安全的目標(biāo)是使系統(tǒng)中信息的處理和傳輸滿足整個(gè)系統(tǒng)安全策略需求。3．電子商務(wù)系統(tǒng)運(yùn)行安全。主要指滿足系統(tǒng)能夠可靠、穩(wěn)定、持續(xù)和正常的運(yùn)行。4．電商務(wù)網(wǎng)絡(luò)安全的立法保障。結(jié)合我閣實(shí)際，借鑒國(guó)外先進(jìn)網(wǎng)絡(luò)信息安全立法、執(zhí)法經(jīng)驗(yàn)，完善現(xiàn)行的網(wǎng)絡(luò)安全法律體系。

篇7

論文摘要：隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運(yùn)而生并迅速發(fā)展。所謂電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動(dòng)中，在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)，實(shí)現(xiàn)消費(fèi)者的網(wǎng)土購(gòu)物、商戶之間的網(wǎng)交易和在線電子支付以及各種商務(wù)活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)的一種新型的商業(yè)運(yùn)營(yíng)模式。信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展使電子商務(wù)得到了極大的推廠，然而由于互聯(lián)網(wǎng)的開放性，網(wǎng)絡(luò)安全問題日益成為制約電子商務(wù)發(fā)展的一個(gè)關(guān)鍵性問題。

一、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問題

電子商務(wù)的前提是信息的安全性保障，信息安全，勝的含義主要是信息的完整性、可用性、保密險(xiǎn)和可靠性。因此電子商務(wù)活動(dòng)中的信安全問題主要體現(xiàn)在以兩個(gè)方面:

1、網(wǎng)絡(luò)信息安全方面

(l)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范，相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)。此外，在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

(3)防病毒問題?；ヂ?lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介，不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑，在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問題。

(4)服務(wù)器的安全問題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電子商務(wù)的核心，所以服務(wù)器特別容易受到安全的威脅，并且一旦出現(xiàn)安全問題，造成的后果會(huì)非常嚴(yán)重。

2、電子商務(wù)交易方面

(1)身份的不確定問題。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái)，在這個(gè)平臺(tái)上交易雙方是不需要見面的，因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息，仿冒合法用戶的身份與他人進(jìn)行交易。

(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。

(3)交易的修改問題。交易文件是不可修改的，否則必然會(huì)影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改，以保證商務(wù)交易的嚴(yán)肅和公正。

二、電子商務(wù)中的網(wǎng)絡(luò)信息安全對(duì)策

1、電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對(duì)策

(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者身份的認(rèn)證，應(yīng)用數(shù)字簽名可在電子商務(wù)中安全，方便地實(shí)現(xiàn)在線支付，而數(shù)據(jù)傳輸?shù)陌踩?、完整性，身份?yàn)證機(jī)制以及交易的不可抵賴性等均可通過電子簽名的安全認(rèn)證手段加以解決。(2)配置防火墻。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流，提供接人控制和審查跟蹤，是一種訪問控制機(jī)制。在邏輯，防火墻是一個(gè)分離器、限制器，能有效監(jiān)控內(nèi)部網(wǎng)和工nternet之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。

(3)應(yīng)用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和公用密鑰體制兩。相應(yīng)地，對(duì)數(shù)據(jù)加密的技術(shù)分為對(duì)稱加密和非討稱力日密兩類。根據(jù)電子商務(wù)系統(tǒng)的特點(diǎn)，全面加密保護(hù)應(yīng)包括對(duì)遠(yuǎn)程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實(shí)施加密保護(hù)。一般來說，應(yīng)根據(jù)管理級(jí)別所對(duì)應(yīng)的數(shù)據(jù)保密要求進(jìn)行部分加密而非全程加密。

2、電子商務(wù)網(wǎng)絡(luò)安全的管理策略

(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運(yùn)行狀況保密、工作日記保密等各個(gè)方面。對(duì)各類保密都需要慎重考慮，根據(jù)輕重程度劃分好不同的保密級(jí)別，并制定出相應(yīng)的保密措施。

(2)建立系統(tǒng)維護(hù)制度。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長(zhǎng)期安全、穩(wěn)定運(yùn)行的基本保證，應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān)，為安全起見，其他任何人不得介人，主要做好硬件系統(tǒng)日常借理維護(hù)和軟件系統(tǒng)日常管理維護(hù)兩方面的工作。

(3)建立病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性，除了安裝防病毒軟件之外，還要及時(shí)升級(jí)防病毒軟件版本、及時(shí)通報(bào)病毒人侵信息等工作。此外，還可將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件屬性、權(quán)限加以限制，斷絕病毒人侵的渠道，從而達(dá)預(yù)防的目的。

(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個(gè)成功的電子商務(wù)系統(tǒng)，應(yīng)針對(duì)信息安全至少提供三個(gè)層面的安全保護(hù)措施:一是數(shù)據(jù)在操作系統(tǒng)內(nèi)部或者盤陣中實(shí)現(xiàn)快照、鏡像;二是對(duì)數(shù)據(jù)庫(kù)及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動(dòng)備份;三是對(duì)重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份，通過以土保護(hù)措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險(xiǎn)。

三、電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)

電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān)，更與社會(huì)因素、法制環(huán)境等多方面因素有關(guān)。故應(yīng)對(duì)電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:

1.電子商務(wù)系統(tǒng)硬件安全。主要是指保護(hù)電子商務(wù)系統(tǒng)所涉及計(jì)算機(jī)硬件的安全性，保證其可靠哇和為系統(tǒng)提供基礎(chǔ)性作用的安全機(jī)制。

2.電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改、破壞與非法復(fù)制，系統(tǒng)軟件安全的目標(biāo)是使系統(tǒng)中信息的處理和傳輸滿足整個(gè)系統(tǒng)安全策略需求。

3.電子商務(wù)系統(tǒng)運(yùn)行安全。主要指滿足系統(tǒng)能夠可靠、穩(wěn)定、持續(xù)和正常的運(yùn)行。

4.電子商務(wù)網(wǎng)絡(luò)安全的立法保障。結(jié)合我國(guó)實(shí)際，借鑒國(guó)外先進(jìn)網(wǎng)絡(luò)信息安全立法、執(zhí)法經(jīng)驗(yàn)，完善現(xiàn)行的網(wǎng)絡(luò)安全法律體系。

篇8

電子商務(wù)是指以信息網(wǎng)絡(luò)技術(shù)為手段，以商品交換為中心的商務(wù)活動(dòng)。也可理解為在互聯(lián)網(wǎng)（Internet）、企業(yè)內(nèi)部網(wǎng)（Intranet）和增值網(wǎng)（VAN，Value Added Network）上以電子交易方式進(jìn)行交易活動(dòng)和相關(guān)服務(wù)的活動(dòng)，是傳統(tǒng)商業(yè)活動(dòng)各環(huán)節(jié)的電子化、網(wǎng)絡(luò)化、信息化。

電子商務(wù)通常是指在全球各地廣泛的商業(yè)貿(mào)易活動(dòng)中，在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)，實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購(gòu)物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動(dòng)、交易活動(dòng)、金融活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)的一種新型的商業(yè)運(yùn)營(yíng)模式。各國(guó)政府、學(xué)者、企業(yè)界人士根據(jù)自己所處的地位和對(duì)電子商務(wù)參與的角度和程度的不同，給出了許多不同的定義。電子商務(wù)分為：ABC、B2B、B2C、C2C、B2M、M2C、B2A（即B2G）、C2A（即C2G）、O2O 等。

二、電子商務(wù)環(huán)境下企業(yè)財(cái)務(wù)管理現(xiàn)狀

電子商務(wù)的經(jīng)濟(jì)環(huán)境是非常復(fù)雜的，基礎(chǔ)要求高，是網(wǎng)絡(luò)化、信息化的企業(yè)經(jīng)濟(jì)轉(zhuǎn)型，在這樣的經(jīng)濟(jì)環(huán)境下，企業(yè)的老舊財(cái)務(wù)管理模式必定不能適應(yīng)企業(yè)的現(xiàn)代化發(fā)展。

（一）財(cái)務(wù)管理軟件配套設(shè)施不完善

企業(yè)實(shí)現(xiàn)了網(wǎng)絡(luò)化，信息化，其財(cái)務(wù)管理也必須走上網(wǎng)絡(luò)化、信息化的道路，電子商務(wù)環(huán)境下，企業(yè)的財(cái)務(wù)管理技術(shù)需要作出對(duì)應(yīng)的變化。當(dāng)前的企業(yè)財(cái)務(wù)管理模式缺乏對(duì)網(wǎng)絡(luò)技術(shù)的運(yùn)用，其財(cái)務(wù)管理技術(shù)過于陳舊，還是側(cè)重于通過會(huì)計(jì)的財(cái)務(wù)報(bào)表了解公司財(cái)務(wù)狀況，這樣的管理面方式不僅效率低，而且容易出錯(cuò)，財(cái)務(wù)信息更新緩慢，不便于管理者及時(shí)了解公司財(cái)務(wù)狀況。

（二）國(guó)家相關(guān)法律制度有漏洞

由于電子商務(wù)的開展時(shí)間還比較段，盡管國(guó)家制定了一些相關(guān)的法律制度，但是任然趕不上一些不法分子尋找法律漏洞的速度。在法律方面國(guó)家對(duì)網(wǎng)絡(luò)侵權(quán)，網(wǎng)絡(luò)經(jīng)濟(jì)犯罪等行為沒有進(jìn)行細(xì)致的劃分，導(dǎo)致很多被害企業(yè)找不到相關(guān)的法律法規(guī)來維護(hù)自己的權(quán)益；另一方面，對(duì)網(wǎng)絡(luò)犯罪的界定不明確，這使得那些網(wǎng)絡(luò)犯罪分子得不到應(yīng)有的懲罰，繼續(xù)危害市場(chǎng)經(jīng)濟(jì)，企業(yè)的財(cái)務(wù)管理部門就很難根據(jù)公司的發(fā)展確定管理方式。

（三）電子商務(wù)背景下的財(cái)務(wù)管理存在技術(shù)漏洞

隨著電子商務(wù)的崛起，很多企業(yè)也引進(jìn)了相關(guān)的網(wǎng)絡(luò)技術(shù)用于企業(yè)財(cái)務(wù)管理，但這些網(wǎng)絡(luò)技術(shù)發(fā)展還不夠成熟，存在很多的技術(shù)缺陷，諸如木馬、黑客之類的很輕松就可以進(jìn)入企業(yè)的財(cái)務(wù)管理系統(tǒng)，利用網(wǎng)絡(luò)手段轉(zhuǎn)移企業(yè)的資金，在網(wǎng)絡(luò)技術(shù)發(fā)達(dá)的年代，電子商務(wù)環(huán)境下的企業(yè)財(cái)務(wù)管理容易發(fā)生數(shù)據(jù)篡改、數(shù)據(jù)丟失、資金被盜等風(fēng)險(xiǎn)，企業(yè)的財(cái)務(wù)安全管理有待提高。

（四）企業(yè)財(cái)務(wù)管理工作路程不能適應(yīng)電子商務(wù)的發(fā)展

電子商務(wù)要求企業(yè)的財(cái)務(wù)管理工作流程更加簡(jiǎn)潔、快速，必須要實(shí)現(xiàn)企業(yè)財(cái)務(wù)管理高效化。如今的企業(yè)財(cái)務(wù)流程過于繁瑣，一本賬目的確認(rèn)要經(jīng)過多人蓋章簽字最終才能遞送到領(lǐng)導(dǎo)面前。

三、電子商務(wù)環(huán)境下企業(yè)財(cái)務(wù)管理的應(yīng)對(duì)策略

（一）構(gòu)建網(wǎng)絡(luò)化財(cái)務(wù)管理體系

從電子商務(wù)的特征來看，他要求企業(yè)的財(cái)務(wù)管理必須要實(shí)現(xiàn)網(wǎng)絡(luò)化管理。要實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)化財(cái)務(wù)管理，前提就是要引進(jìn)相關(guān)的網(wǎng)絡(luò)財(cái)務(wù)軟件，公司應(yīng)該根據(jù)自己的業(yè)務(wù)范圍和職能需求，選取財(cái)務(wù)軟件；然后逐步縮減財(cái)務(wù)管理流程，裁剪掉一些財(cái)務(wù)人員；實(shí)現(xiàn)資金交易網(wǎng)絡(luò)化，節(jié)約交易和財(cái)務(wù)管理成本。

（二）增進(jìn)網(wǎng)絡(luò)財(cái)務(wù)安全管理，建立財(cái)務(wù)監(jiān)管網(wǎng)絡(luò)系統(tǒng)

電子商務(wù)背景下，企業(yè)財(cái)務(wù)信息安全管理出現(xiàn)了很多的破綻，為了應(yīng)對(duì)此問題，我們必須做好財(cái)務(wù)網(wǎng)絡(luò)監(jiān)管準(zhǔn)備，加強(qiáng)對(duì)財(cái)務(wù)網(wǎng)絡(luò)系統(tǒng)的維護(hù)，使用合法正規(guī)的財(cái)務(wù)軟件，不斷的更新電腦安全管理軟件，對(duì)財(cái)務(wù)系統(tǒng)實(shí)施嚴(yán)格的信息加密；規(guī)范財(cái)務(wù)網(wǎng)絡(luò)管理流程，建立嚴(yán)格的網(wǎng)絡(luò)財(cái)務(wù)操作流程，在財(cái)務(wù)信息的編輯、處理、存檔、傳輸方面一定要時(shí)刻嚴(yán)防病毒和黑客的入侵，加強(qiáng)工作的保密性，重要信息要求原盤備份，細(xì)化財(cái)務(wù)系統(tǒng)的操作權(quán)限，推行管理責(zé)任制，限制權(quán)利使用。

（三）國(guó)家要完善相關(guān)政策，以保障電子商務(wù)的權(quán)益

國(guó)家相關(guān)部門要根據(jù)市場(chǎng)經(jīng)濟(jì)實(shí)際需求，完善相關(guān)法律法規(guī)，制定相關(guān)的網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)、網(wǎng)絡(luò)技術(shù)產(chǎn)權(quán)保護(hù)法，確保電子交易的公平。嚴(yán)厲懲罰網(wǎng)絡(luò)犯罪人員，建立獨(dú)立的網(wǎng)絡(luò)警察系統(tǒng)，成立專項(xiàng)整治部門，整頓電子交易環(huán)境，加強(qiáng)國(guó)家在網(wǎng)絡(luò)監(jiān)管這一塊的技術(shù)力量，嚴(yán)防不法分子入侵公安網(wǎng)絡(luò)系統(tǒng)。

（四）企業(yè)內(nèi)部要加強(qiáng)財(cái)務(wù)人員的網(wǎng)絡(luò)財(cái)務(wù)管理素質(zhì)

引進(jìn)了先進(jìn)的財(cái)務(wù)網(wǎng)絡(luò)管理系統(tǒng)就必須要有會(huì)操作系統(tǒng)的人員，必須要求能夠管理系統(tǒng)安全的人員。企業(yè)第一部要加強(qiáng)財(cái)務(wù)人員的網(wǎng)絡(luò)基礎(chǔ)培訓(xùn)，要求每一位財(cái)務(wù)人員熟練的掌握計(jì)算機(jī)系統(tǒng)的操作技巧；其次聘請(qǐng)相關(guān)的財(cái)務(wù)監(jiān)管網(wǎng)絡(luò)系統(tǒng)人才，提高網(wǎng)絡(luò)財(cái)務(wù)管理安全性，確保每企業(yè)的財(cái)務(wù)信息安全和資金安全；最后，一切的人員素質(zhì)都要在招聘時(shí)嚴(yán)格把關(guān)，業(yè)務(wù)技術(shù)不高的人不能用，職業(yè)道德低的不能用。

篇9

30分鐘過去了，Jason還是找不到到底發(fā)生了什么安全事件導(dǎo)致網(wǎng)站被黑；黑客是怎么進(jìn)來的？以前是我黑別人（游戲），今天怎么被別人黑了？Jason心里想。

原來Jason在進(jìn)入到馬來西亞AAA銀行之前，曾經(jīng)是一個(gè)黑客，Jason對(duì)黑客攻擊和防守技術(shù)十分熟悉，并且能夠進(jìn)行入侵，占領(lǐng)主機(jī)，獲得控制權(quán)，遠(yuǎn)程指揮作戰(zhàn)。

“Jason！快看一下我們的銀行電子商務(wù)網(wǎng)站，出什么問題了！”，聽到馬來西亞AAA銀行IT部總經(jīng)理Tom的電話，Jason馬上登陸銀行的電子商務(wù)網(wǎng)站，發(fā)現(xiàn)一個(gè)獰笑的骷髏正對(duì)著自己，心里感覺到不妙：網(wǎng)站真的被黑了！

雖然在黑客界很有名氣，但是大學(xué)畢業(yè)1年，靠寫一些文章和安全工具小軟件給一些安全雜志與報(bào)紙，Jason很難維持生活。

正好馬來西亞AAA銀行招聘銀行網(wǎng)絡(luò)安全管理員，考慮自己的興趣和愛好，Jason選擇了銀行的網(wǎng)絡(luò)安全管理員職位。

當(dāng)時(shí)馬來西亞各家媒體、網(wǎng)站都在宣傳電子商務(wù)，那時(shí)就聽說了中國(guó)的阿里巴巴、易趣、淘寶網(wǎng)、當(dāng)當(dāng)書店等電子商務(wù)網(wǎng)站，Jason對(duì)電子商務(wù)網(wǎng)站十分著迷，夢(mèng)想著有一天自己也可以象中國(guó)的馬云、邵亦波一樣通過網(wǎng)站把馬來西亞很多質(zhì)量好價(jià)格低的產(chǎn)品遠(yuǎn)銷國(guó)際。

Jason憑借自己的實(shí)力很順利進(jìn)入到了馬來西亞AAA銀行，到了銀行工作之后，Jason很快就進(jìn)入了角色，經(jīng)過對(duì)銀行內(nèi)部的考察發(fā)現(xiàn)了很多網(wǎng)絡(luò)信息安全問題。

Jason發(fā)現(xiàn)好多問題需要求助于專業(yè)的安全公司，于是就打電話給e-COP公司，e－COP公司派來專業(yè)安全顧問Brian，對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全評(píng)估，發(fā)現(xiàn)銀行電子商務(wù)網(wǎng)絡(luò)有很多安全問題：

?數(shù)據(jù)分散，并且量極大

由于馬來西亞AAA銀行購(gòu)買“最佳品牌”產(chǎn)品，這些安全產(chǎn)品（防火墻、入侵檢測(cè)、防病毒等）通常從不同廠家購(gòu)得，每個(gè)產(chǎn)品都有自己的信息日志和控制臺(tái)，目前各種安全設(shè)備缺乏統(tǒng)一管理平臺(tái)，只能通過這些安全產(chǎn)品各自的控制臺(tái)去查看事件，窗口繁多，而且所有的事件都是孤立的，不同設(shè)備之間的事件缺乏關(guān)聯(lián)，分析起來極為麻煩；無法弄清楚真實(shí)的狀況。

?安全管理人員必須具備很高的技巧，了解各廠商的各種安全設(shè)備

不同廠家的設(shè)備對(duì)同一個(gè)事件的描述可能是不同的，這意味著馬來西亞AAA銀行安全管理人員必須分析各種不同格式的信息，才有可能進(jìn)行管理，這導(dǎo)致安全管理人員的工作非常繁重，大量的時(shí)間用于一些價(jià)值不大的任務(wù)上。

?無法做到快速識(shí)別和響應(yīng)

對(duì)于網(wǎng)絡(luò)安全人員來說，海量信息不但無法幫助找出真正的問題，反而因?yàn)樘喽斐蔁o法管理，并且不同廠商所制造的軟硬件可能送出不同的信息格式，使得在網(wǎng)絡(luò)安全威脅的鎖定上，變得難上加難，原本的安全系統(tǒng)反而成為管理上的負(fù)擔(dān)。

?運(yùn)維關(guān)鍵

以往的安全管理運(yùn)維工作都是基于資產(chǎn)的運(yùn)維，但是安全卻是基于安全事件的運(yùn)維。企業(yè)每出現(xiàn)一個(gè)安全問題就需要進(jìn)行一次大范圍的維護(hù)，比如出現(xiàn)病毒問題。這使得安全的運(yùn)維工作不同于以往的運(yùn)維工作習(xí)慣，造成運(yùn)維工作效率低下，并且難以規(guī)劃。

Brian還提出了安全建議：在馬來西亞AAA銀行部署的Cyclops企業(yè)安全管理系統(tǒng)(CESM)能夠?qū)︺y行所有不同IT安全產(chǎn)品和相關(guān)設(shè)備發(fā)出的事件進(jìn)行采集、格式化和智能關(guān)聯(lián)，具有嚴(yán)密的處理層次和流程。CESM能夠?yàn)榘踩珜I(yè)人員提供可管理的安全信息，如事件趨勢(shì)分析，攻擊處理對(duì)策和日志分析取證。

在馬來西亞AAA銀行的實(shí)際應(yīng)用中，CESM提供如下的管理過程和事件處理過程:

?原始告警的數(shù)據(jù)歸并

CESM首先歸并來自安全設(shè)備的所有安全數(shù)據(jù)，這些安全設(shè)備包括防火墻、網(wǎng)絡(luò)IDS,主機(jī)IDS，安全應(yīng)用程序和服務(wù)器的日志等。

?數(shù)據(jù)正規(guī)化

為分析安全事件，“技術(shù)規(guī)范解碼器”將原始數(shù)據(jù)處理成有意義的有用信息。通過這個(gè)過程，將原始數(shù)據(jù)轉(zhuǎn)化為TIF（Transportable-Incident-Format）格式。

?數(shù)據(jù)挖掘和關(guān)聯(lián)

CESM 以其獨(dú)特的數(shù)據(jù)挖掘和關(guān)聯(lián)技術(shù)能力，實(shí)現(xiàn)三級(jí)推理的邏輯信息處理流程。這種能力可以減少虛假告警，增加對(duì)攻擊的實(shí)時(shí)檢測(cè)能力。通過自動(dòng)事件關(guān)聯(lián)和基于經(jīng)驗(yàn)的自學(xué)習(xí)，從大量安全設(shè)備產(chǎn)生的入侵模式將被立即比較和觀測(cè)。

?經(jīng)過專家建議和分析的統(tǒng)一處理

提供易用的界面，同時(shí)處理CESM安全控制臺(tái)產(chǎn)生的多個(gè)安全事件。通過這種統(tǒng)一的處理方法有效地分析所有的安全事件。

?實(shí)時(shí)的防范措施

一旦發(fā)現(xiàn)來自外部或內(nèi)部的攻擊企圖發(fā)生，立即采取防范措施，在信息損失前抵御入侵。

Jason馬上向IT部總經(jīng)理Tom匯報(bào)Brian對(duì)網(wǎng)絡(luò)安全的分析，并且請(qǐng)Brian進(jìn)行現(xiàn)場(chǎng)演示，Tom感覺非常不錯(cuò)，但是Tom還是認(rèn)為，馬來西亞AAA銀行已經(jīng)有了最好品牌的防火墻、入侵檢測(cè)、防病毒等安全產(chǎn)品，安全管理平臺(tái)應(yīng)該沒有必要上了，于是此項(xiàng)目就此擱淺。

Jason從回憶中回到了現(xiàn)實(shí)：現(xiàn)在需要解決網(wǎng)站被黑問題，怎么辦?。?/p>

Jason馬上打電話給Tom，匯報(bào)現(xiàn)在一時(shí)之間看不出到底發(fā)生了什么事情，需要e-COP公司協(xié)助完成，Tom馬上答應(yīng)。

30分鐘后，Brian到達(dá)現(xiàn)場(chǎng)，在銀行內(nèi)部部署了一套安全管理平臺(tái)，然后對(duì)各種產(chǎn)品的日志進(jìn)行分析。

Brian通過一個(gè)統(tǒng)一平臺(tái)看到了防火墻、入侵檢測(cè)、防病毒等事件信息，通過設(shè)備的關(guān)聯(lián)，很快確定了黑客攻擊路徑，原來黑客通過了兩層防火墻，然后到內(nèi)部一臺(tái)剛買回來的主機(jī)上，利用這臺(tái)主機(jī)作為跳板，攻擊了網(wǎng)站服務(wù)器。

Brian馬上建議對(duì)剛買回來的主機(jī)進(jìn)行加固，然后修改里外兩層防火墻策略，重新?lián)Q上了網(wǎng)站的頁面，解決安全問題。

這時(shí)，Tom也出現(xiàn)在了Jason和Brian面前，連聲稱謝，表示：

“說得對(duì)，現(xiàn)在已不是單兵作戰(zhàn)的年代，而是團(tuán)隊(duì)作戰(zhàn)，整體作戰(zhàn)，需要整體協(xié)調(diào)才能夠減少經(jīng)濟(jì)損失，希望你們的產(chǎn)品能夠在此使用。”

過了一個(gè)月后，Jason又發(fā)現(xiàn)銀行電子商務(wù)網(wǎng)絡(luò)的一些安全問題，于是銀行又購(gòu)買了一套CESM產(chǎn)品。

采用CESM安全事件管理系統(tǒng)做為安全管理平臺(tái)，參考e-COP多年的安全事件處理流程經(jīng)驗(yàn)SOP，銀行建立起了標(biāo)準(zhǔn)的內(nèi)部安全事件處理體系，如圖所示。

馬來西亞AAA銀行通過安全事件處理體系，相關(guān)安全管理人員從海量事件中解脫出來，只關(guān)心少量的最為緊迫、最為關(guān)鍵的事件信息。并且，安全事件處理體系的成果為后續(xù)整體安全策略的規(guī)劃和調(diào)優(yōu)提供了有力的依據(jù)。

篇10

關(guān)鍵詞：電子商務(wù) 信息安全

計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全實(shí)際上是密不可分的，兩者相輔相成，缺一不可。針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全，常用的保護(hù)措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)防毒技術(shù)等。交易信息的安全是可以用數(shù)據(jù)加密、數(shù)字簽名、數(shù)字證書、ssl、set安全協(xié)議等技術(shù)來保護(hù)。下面就防火墻技術(shù)、數(shù)字加密技術(shù)、身份驗(yàn)證技術(shù)等進(jìn)行介紹。

1，防火墻技術(shù)

目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實(shí)現(xiàn)，故也被稱為包過濾路由器。其二是應(yīng)用級(jí)防火墻。大多數(shù)的應(yīng)用級(jí)防火墻產(chǎn)品使用的是應(yīng)用機(jī)制，內(nèi)置了應(yīng)用程序，可用服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。

防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，用來保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，它是一種控制技術(shù)，既可以是一種軟件產(chǎn)品，又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講，防火墻是起分隔、限制、分析的作用。實(shí)際上，防火墻是加強(qiáng)Intranet《內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng)，它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣，防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下五大基本功能：(1)過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)：(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問行為：(3)封堵某些禁止行為：(4)記錄通過防火墻的信息內(nèi)容和活動(dòng)：(5J對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù)，但對(duì)來自內(nèi)部網(wǎng)絡(luò)的功擊卻無能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需考慮其它技術(shù)和非技術(shù)的因素。

2，反病毒技術(shù)

反病毒技術(shù)包括與防病毒、檢測(cè)病毒和消毒三個(gè)環(huán)節(jié)，反病毒必須做到“以預(yù)防為主“，正所謂”防患于未然”，等病毒出現(xiàn)了再去清除，可能已經(jīng)給用戶造成了巨大的損失。

3，數(shù)據(jù)加密技術(shù)

加密技術(shù)是保證電子商務(wù)中采用的主要安全措施，交易雙方可根據(jù)需要在信息交換階段使用。加密技術(shù)的主要問題是加密方式及實(shí)現(xiàn)加密的網(wǎng)絡(luò)協(xié)議層和密鑰的分配及管理。在一個(gè)加密過程中有兩個(gè)基本元素：算法和密鑰。加密過程就是根據(jù)一定的算法，將可理解的數(shù)據(jù)(明文}與一串?dāng)?shù)字(密鑰)相結(jié)合，從而產(chǎn)生不可理解的密文的過程，主要加密技術(shù)是：

(1)常規(guī)密鑰密碼加密。所謂常規(guī)密鑰密碼加密，即加密密鑰與解密密鑰是相同的。在早期的常規(guī)密鑰密碼體制中，典型的有代替密碼，其原理可以用一個(gè)例子來說明：字母A,B，C，D，…，W，X，Y,Z的自然順序保持不變，但使之與D，E，F(xiàn)，G，…，Z,A,B，C分別對(duì)應(yīng)(即相差3個(gè)字符)。若明文為WELL則對(duì)應(yīng)的密文為ZH00(此時(shí)密鑰為3)。但存在幾個(gè)問題：第一，不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏，黑客可用它解密信息，也可假冒一方做壞事。第二，假設(shè)每對(duì)交易方用不同的密鑰，N對(duì)交易方需要N’(N一1)，2個(gè)密鑰，難于管理。第三，不能鑒別數(shù)據(jù)的完整性。

(2)對(duì)稱密文加密。對(duì)稱密鑰加密又稱為秘密密鑰加密，即收發(fā)雙方采用相同的密鑰來進(jìn)行加密和解密。對(duì)稱密鑰加密的最大優(yōu)點(diǎn)是加解密速度快，適合于進(jìn)行大量數(shù)據(jù)加密，但也存在密鑰管理、困難以及無法進(jìn)行身份鑒別的缺點(diǎn)。

(3)非對(duì)稱密鑰加密。非對(duì)稱密鑰加密也稱為公開密鑰加密，每個(gè)用戶有一對(duì)密鑰：一個(gè)用于加密，一個(gè)用于解密，兩把密鑰實(shí)際上是兩個(gè)很大的質(zhì)數(shù)。其中，加密密鑰(公鑰)可以在網(wǎng)絡(luò)服務(wù)器、報(bào)刊等場(chǎng)合公開，而解密密鑰(私鑰)則屬用戶的私有密鑰，由公開的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實(shí)現(xiàn)的。與對(duì)稱密鑰加密相比，采用非對(duì)稱密鑰加密方式密鑰管理較方便，且保密性比較強(qiáng)，但加解密實(shí)現(xiàn)速度比較慢，不適用于通信負(fù)荷較重的應(yīng)用。

具體加密傳輸過程如下：

a發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。

b發(fā)送方家用自己的私鑰加密文件，然后將加密后的私鑰和文件傳輸給接收方。

c接收方乙用自己的私鑰解密，得到甲的私鑰。

d接收方乙用甲的公鑰解密，得到明文。

在密鑰的加密過程中，由于發(fā)送方甲用乙的公鑰加密了自己的私鑰，如果文件被竊取，由于只有乙保管自己的私鑰，黑客無法解密。這就保證了信息的機(jī)密性。另外，發(fā)送方甲用自己的私鑰加密信息，因?yàn)樾畔⑹怯眉椎乃借€加密，只有甲保管它，可以認(rèn)定信息是甲發(fā)出的，而且沒有甲的私鑰不能修改數(shù)據(jù)。

4，身份驗(yàn)證技術(shù)

僅有加密技術(shù)不足以保證電子商務(wù)中的交易安全，身份認(rèn)證技術(shù)是保證電子商務(wù)安全不可缺少的又一重要技術(shù)手段。

(1)認(rèn)證系統(tǒng)。網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證，用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份。數(shù)字證書的頒發(fā)機(jī)構(gòu)叫做Certificate Authority，通常簡(jiǎn)稱為CA。要建立安全的電子商務(wù)系統(tǒng)，首先必須建立一個(gè)穩(wěn)固、健全的CA，否則，一切網(wǎng)上的交易都沒有安全保障。

(2)SSL協(xié)議。SSL協(xié)議{Secure Socket Layer,安全套接層)主要目的是解決TCP／IP協(xié)議不能確認(rèn)用戶身份的問題，在Socket上使用非對(duì)稱的加密技術(shù)，以保證網(wǎng)絡(luò)通信服務(wù)的安全性。SSL協(xié)議易于實(shí)現(xiàn)。SSL協(xié)議還是最值得信賴的協(xié)議。但是由于SSL協(xié)議當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的，所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

(3)SET協(xié)議。SET(Secure EIectronic Transaction)安全電子交易協(xié)議是用于Internet上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。主要應(yīng)用于B／C模式中保障支付信息的安全性。SET協(xié)議提供對(duì)消費(fèi)者、商戶和銀行的認(rèn)證，協(xié)議本身比較復(fù)雜，設(shè)計(jì)比較嚴(yán)格，安全性高，確保電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性，特別是保證了不會(huì)將持卡人的信用卡號(hào)泄露給商戶。其核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。

5，電子商務(wù)系統(tǒng)的安全管理制度

電子商務(wù)系統(tǒng)的安全管理制度尤為重要，它是用文字形式對(duì)各項(xiàng)安全要求所作的規(guī)定，它是保證網(wǎng)絡(luò)營(yíng)銷取得成功的重要基礎(chǔ)工作，是網(wǎng)絡(luò)交易人員應(yīng)該而且必須遵守的規(guī)范和準(zhǔn)則。任何電子商務(wù)系統(tǒng)都要制定一套完整、適用于自身的安全管理制度，這些制度應(yīng)該包括人員管理制度、保密制度、系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度、應(yīng)急措施和病毒防治制度等。