引言

    随着互联网的全面普及，基于互联网的电子商务也应运而生，并在近年来获得了巨大的发展，成为一种全新的商务模式，被许多经济专家认为是新的经济增长点。

    作为一种全新的商务模式，它有很大的发展前途，同时，这种电子商务模式对管理水平、信息传递技术都提出了更高的要求，其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境，对信息提供足够的保护，是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。本文将对电子商务安全问题作一个基本的探讨.

    1 电子商务模式

    现代电子商务技术已经集中于网络商店的建立和运作。网络商店和真实商店在部门结构和功能上没有区别，不同点在于其实现这些功能和结构的方法以及商务运作的方式。

    网络商店从前台看是一种特殊的WEB服务器。现代WEB网站的多媒体支持和良好的交互性功能成为建立这种虚拟商店的基础，使得顾客可以像在真实的超级市场一样推着购物车挑选商品，并最后在付款台结账。这也就构成网上商店软件的三大支柱：商品目录、顾客购物车和付款台。好的商品目录可以使顾客通过最简单的方式找到其需要的商品，并可以通过文字说明、图像显示、客户评论等充分了解产品各种信息；商品购物车则衔接商店和个人，客户既可以把他喜欢的商品一个个放到购物车里，也可以从购物车中取出，直到最后付款；付款台是网络交易的最终环节，也是最关键的环节。顾客运用某种电子货币和商店进行交易必须对顾客和商店都是安全可靠的。

    在美国，网上商店收取信用卡必须具备三个条件：

    1) 需要在美国的某个商业银行中建立一个商业账户。这个账户使你可以进行接收信用卡支付和处理信用卡业务,最终获得资金。

    2) 必须为直接商品购买者提供一个符合SSL规范的加密站点用于他们安全地提交自己的信用卡资料,在保证他们提交的信息准确可靠的同时,还必须保证这些资料不被第三方窃取。美中通联通过和美国最大的CA中心"Verisign"合作建立这种用户可以高度信任的加密站点为客户服务。

    3) 购买者提供的信用卡资料将直接被送到专门提供信用卡服务的专业公司（支付网关）进行处理,他们将进行信用卡的验证,转账,最终将资金转入商业账户。美中通联的合作伙伴Cybercash也是美国最为著名的网络支付提供商。不但可以提供VISA,万事达信用卡服务业务,同时也提供American Express, Discover等信用卡的支付以及Digital Cash, Digital Coins, Smart Card等电子货币的结算方式。

    而在网络商店的背后，企业首先要具备商品的存储仓库和管理机构；其次要将网络上销售的产品通过邮政或其他渠道投递到顾客手里；第三，企业同样要负责产品的售后服务，这种服务可能是通过网络的，也可能不是。

    网络交易通常是一种"先交钱后拿货"的购物方式。对客户而言，其方便处在于购得的商品会直接投递到自己家里，而难以放心的是在商品到达手中之前并不能确认到自己手中的究竟是什么。因此网络商店的信誉和服务质量实际上是电子商务成功与否的关键。

    网络商店必备条件：

    商店名称：它就像是注册商标，在网络上称为域名，整个网络世界它是唯一的。一个与您公司名称相关的网络名称可以使顾客更容易记住您的商店。

    商店地点：也就是开设您的商店的网络服务器地址，高速的网络连接，就像是把商店开设闹市黄金地段，可以使顾客快速容易地抵达，这对客户的影响是十分关键的。

    商店装修：网站的设计对用户来讲自然非常重要，动人的网页就像一流装修的商场，不但吸引顾客，而且增加顾客的信心。

    货物摆放：在网上商店中，其反映在如何建立商品的目录结构，提供何种网站导航和搜索功能，以使得用户可以快速、便利地寻找到他需要的商品和相关信息。

    购物车：方便灵巧的购物车可以使顾客感觉到受到良好的服务，增加顾客的信心。它是连接商品和付款台的关键环节。

    货币结算：支付系统是网络交易的重要环节。在美国和欧洲，信用卡已经成为最普遍的电子交易方式。通过提供必要的个人信用卡资料，商店就可以通过银行计算机网络与顾客进行结算。这也是建立网络商店的必要条件。而且货币结算的安全可靠，不但关系到顾客的切身利益，同时直接关系到您商业经营的安全可靠。

    商品盘点更新：对网络商店的日常维护，例如去除销售完的商品，摆上新货等等，是必须经常进行的业务。

    库存商品管理：后勤保证是任何商务运作的基础。无论网络商店还是真实商店，货物和货币都是一样真实的，对库存货物的存储和管理也是一样真实的。

    商品最终送达用户：网上购物实际上是邮购。最后一个步骤自然是通过邮政或其他系统将货物快速可靠地送达最终用户手中。

    售后服务：不言而喻，这同样是现代商品销售的重要环节。而网络技术可以为用户提供24小时不间断的服务，这也是网络商店的优势之一。通常网络商店还要提供30天的退/换货承诺。

    因此一个企业在进入电子商务领域时必须考虑如下的问题：

    如何申请一个自己的域名？如何设立一个电子商务服务器？服务器如何和Internet连接？如何设计这个网上商店，实现各种功能？谁来设计？谁来维护这个网站？如何实现在线交易？如何安全可靠地进行网络电子货币结算？网上商店和商品库存之间如何协调？如何快速便利地将商品投递到用户手中？售后服务如何进行？

    2 电子商务发展的关键环节

    2.1 良好的网络环境

    电子商务是在电信网络上发展起来的。因此，先进的计算机网络基础设施和宽松的电信政策就成为发展电子商务的前提。目前，电信服务价格过高，带宽有限，服务不及时或不可靠等因素已经成为发展电子商务的制约因素。加快电信基础设施建设，打破电信市场的垄断，引进竞争机制，保证电信业务公平竞争，促进网络互联，确保为用户提供廉价，高速，可靠的通信服务是良好网络环境的建设目标，也是世界各国面临的共同课题。

    我国电信业务长期受到计划经济的影响，独家垄断的局面尚未打破。近年来因特网迅猛发展，电信政策不适应形势的矛盾日益突出。主要表现在：

    网络供应商（ISP）租用线路的价格过高，使他们无利可图。一批前期进入这一领域的ISP由于亏损，已经退出。

    ISP与电信网络互联，遇到了来自电信部门的阻力，互联费用过高，以各种借口的刁难。

    由于电信部门垄断了接入业务，用户接入费用过高，一般都难以承受。也无法选择有良好服务的接入服务商。

    为了促进电信市场的开放和协调世界各国的电信政策，世界贸易组织在1997年成功地缔结了基础通信协定。该协定将保证全球电信市场的竞争，加强国家之间的合作。

    2.2 公共电子商品导购平台

    公共电子商品导购平台，是保证网上电子商务活动顺利完成的物理保证。它主要涉及网络平台建设和企业信息库建设两方面的问题。人们发送到网络上的交易信息，必须准确、迅速地在供应商、流通商、管理部门、银行、交通运输等部门之间传送，这需要各国家、各部门统一信息存储、通讯、处理的标准和协议，具有一个协调一致的导购平台。同时，各企业的商品信息库建设是平台的基础，企业没有与平台标准一致的商品信息库，电子商务就失去了生存的基础。我国的企业信息化程度不高，目前只有少数企业主要是信息技术企业建立了企业商品信息库，这就减缓了我国公共电子商品导购平台的建设。

    2.3 企业级电子商务体系

    企业级电子商务是电子商务体系的基础。在科技高速发展、经济形势快速变化的今天，人们不再是先生产而后去寻找市场，而是先获取市场信息再组织生产。随着知识经济时代的来临，信息已成为主导全球经济的基础。企业内部信息网络：Intranet，是一种新的企业内部信息管理和交换的基础设施，在网络、事务处理以及数据库上继承了以往的MIS（管理信息系统）成果，而在软件上则引入因特网的通信标准和WWW内容的标准。Intranet的兴起，将封闭的、单项系统的MIS改造为一个开放、易用、高效及内容和形式丰富多彩的企业信息网络，实现企业的全面信息化。企业信息网络应包含生产、产品开发、销售和市场、决策支持、客户服务和支持及办公事务管理等方面。对于大型企业，同时要注意建设企业内部科技信息数据库，如对技术革新、新产品开发、科技档案、科技图书、科技论文、科技成果、能源消耗、原辅材料等各种数据库的建设。当然还要选择一些专业网络和地方网络入网。

    2.4 安全认证体系

    开展电子商务最突出的问题是要解决网上购物、交易和结算中的安全问题，其中包括建立电子商务各主体之间的信任问题，即建立安全认证体系（CA）问题；选择安全标准（如SET、SSL、PKI等）问题；采用加、解密方法和加密强度问题。其中建立安全认证体系是关键。

    网上交易与传统的面对面或书面的交易方式不同，它是通过网络传输商务信息和进行贸易活动的。网上交易的安全问题意味着：

    有效性:保证网上交易合同的有效性，防止系统故障、计算机病毒、黑客攻击。

    保密性:对交易的内容、交易双方账号、密码不被他人识别和盗取。

    完整性:防止单方面对交易信息的生成和修改。

    所以，电子商务的安全体系应包括：安全可靠的通信网络，保证数据传输的可靠完整，防止病毒、黑客入侵；电子签名和其他身份认证系统；完备的数据加密系统等等。

    2.5 安全支付结算体系

    银行业务的电子化，使得电子货币正在逐步取代传统纸币，发挥越来越重要的作用。1996年英国小城斯温登宣布用电子货币取代纸币，信用卡成为一种新的货币形式。随着网上交易的增多，网络银行、数字货币等全新的概念也应运而生。1994年比尔盖茨曾经嘲笑传统的银行是跟不上时代的恐龙。实际上，因特网确实对传统的金融业务提出了挑战。全球大约1000家银行中的500家已经加入互联网，1996年有190万人使用在线银行服务，预计到2000年将有1300万人使用在线银行。无论是完全依赖于网络的银行，还是传统银行利用网络开展银行业务，安全问题都是十分重要的。我国的电子商务的普及，首先要解决网络的安全问题。在金融专网和因特网之间设置支付网关，作为支付结算的安全屏障

    2.6 协同作业体系

    在电子商务中，所谓协同作业，包括工商、税务、银行、运输、商检、海关、外汇、保险、电信、认证等部门，以及商城、商户、企业、客户等单位按一定规范与程序相互配合，相互衔接，协同工作，共同完成有关电子商务活动。所谓协同作业体系包括：①有关协同作业部门（不含广大客户）通过专线或IP隧道与电子商城互连；②共同协商制定统一高效的作业规范与程序；③共同制定降低电子商务运行成本的资费政策；④推行实施协同工作（CSCW）。

    2.7 法律政策环境

    建立一套法律政策体系，保证电子交易双方能按照共同的规则进行交易，对起动、发展电子商务是完全必要的，十分急需的。电子商务是世界性的经济活动，其法律框架也不应局限在一国范围内，而应适用于国际间的贸易往来，联合国国际贸易法委员会（UNCRTRAL）已经完成了一个法律范本，以支持电子商务在国际贸易中的应用。其内容应包括：

    电子合同的有效性；

    有效的电子文件的规范；

    电子签名的合法性和其他身份辨认程序；

    知识产权的保护；

    商标权和域名的保护；

    企业和个人隐私的保护

    目前在我国，统一合同法(技术合同、经济合同、对外经济合同统一)即将由全国人大通过后出台，在统一合同法中已承认电子合同与书面合同一样具有合法性，意即可证明买卖成立，但不能解决合同纠纷问题，要解决此问题有两条出路：(1)到法院起诉（无法律依据）；(2)通过仲裁解决(要制定协议)。

    建立电子商务活动的技术标准也是至关重要的。在电子商务试点阶段，实行税费优惠政策也有利于电子商务的推广。

    3 电子商务面临的安全问题

    由于电子商务是以计算机网络为基础的，因此它不可避免面临着一系列的安全问题。

    (1)信息泄漏

    在电子商务中表现为商业机密的泄漏，主要包括两个方面：交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。

    (2)窜改

    在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改，这样就使信息失去了真实性和完整性。

    (3)身份识别

    如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等，进行身份识别后，交易双方就可防止"相互猜疑"的情况。

    (4)电脑病毒问题

    电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助干网络传播得更快，动辄造成数百亿美元的经济损失。

    (5) 黑客问题

    随着各种应用工具的传播，黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。曾经大闹雅虎网站的"黑手党男孩"就没有受过什么专门训练，只是向网友下载了几个攻击软件并学会了如何使用，就在互联网上大干了一场。

    4 电子商务安全因素与安全技术

    安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的安全，将一直是电子商务的核心研究领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。

    4.1电子商务的安全要素

    （1）有效性

    EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

    （2）机密性

    EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。

    （3）完整性

    EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

    （4）可靠性/不可抵赖性/鉴别

    EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的"白纸黑字"。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

    （5）即需性

    即需性是防止延迟或拒绝服务，即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中，延迟一个消息或消除它会带来灾难性的后果。例如，你在上午10点向在线的股票交易公司发一个电子邮件委托购买1000股IBM公司的股票，假如这个邮件被延迟了，股票经济商在下午2点半才收到这封邮件，这时股票已经涨了15％，这个消息的延迟就使你损失了交易额的 15％。

    （6）身份认证

    指交易双方可以相互确认彼此的真实身份，确认对方就是本次交易中所称的真正交易方。认证是证实一个声称的身份或者角色，如用户、机器、节点等是否真实的过程。这一过程为授权和审计所必需，也是实现授权、审计的访问控制过程运行的前提，是计算机网络安全系统不可缺少的组成部分。

    （7）审查能力

    根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控的，以便对其所使用的操作内容进行审计和跟踪。当贸易一方发现交易行对自己不利时否认电子商务行为。例如，某股民以每股12元购买了1000股后，行情发生了变化，每股价格降到了10元，于是该股民否认以前的购买行为。因此，要求系统要有审查能力，使交易的任何一方都不能抵赖已经发生的交易行为。

    4.2 电子商务采用的主要安全技术及其标准规范

    考虑到安全服务各方面要求的技术方案已经研究出来了,安全服务可在网络上任何一处加以实施。但是,在两个贸易伙伴间进行的EC,安全服务通常是以"端到端"形式实施的(即不考虑通信网络及其节点上所实施的安全措施)。所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息的价值等因素后确定的。这里将介绍EC应用过程中主要采用的几种安全技术及其相关标准规范。

    4.2.1 防火墙技术

    (1)防火墙定义

    防火墙是在内部网与外部网之间实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。实现防火墙技术的主要途径有：数据包过滤、应用网关和代理服务。

    (2)包过滤技术

    包过滤技术是在网络层中对数据包实施有选择的通过，依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的 TCP／ UDP端口与 TCP链路状态等因素来确定是否允许数据包通过。包过滤的核心是安全策略，即过滤算法的设计。包过滤技术速度快、实现方便，但审计功能差。过滤规则的设计存在矛盾关系，过滤规则简单时

[1] [2] 下一页

上一篇电子商务： 网络安全市场前景看好

下一篇电子商务： 间碟软件