电子商务的安全

① 如何保障电子商务的安全

一、提高服务的安全性
首先，应用防火墙技术。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。目前的防火墙主要有以下三种类型：包过滤防火墙、代理防火墙、双穴主机防火墙。其次，应用网关技术。应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。应用网关对某些易于登录和控制所有输入输出的通讯环境给予严格的控制，以防有价值的程序和数据被窃取。

二、数据加密技术
加密技术和身份认证技术是电子商务交易安全的基础技术，加密技术用于对信息的加密，保证信息的机密性。数字签名和数字信封技术应用了加密技术，建立在公共密钥体制基础上。数字签名技术对信息进行数字签名，保证信息的完整性和不可抵赖性。由于交易信息在传输过程中有可能遭到侵犯者的窃听而失去机密性，加密技术是电子商务采取的主要保密安全措施，是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密包括两个元素：算法和密钥。密钥和算法对加密同等重要。密钥加密技术的密码体制分为对称密钥体制和公共密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密和非对称加密。对称加密以数据加密标准算法为典型代表，非对称加密通常以算法为代表。如果不采用加密技术，则会影响电子商务的发展，或者成为发展的瓶颈。

三、完善管理机制
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手，仅在技术角度防范是远远不够的。安全方案的实施，离不开管理。信息安全意识的加强和培育是实现安全管理的必备条件。它的基本原则是：要求发生在系统中的行为都是有权限的行为，并且符合程序控制的要求。从管理上完善机制，加强其有效性，往往可以解决许多技术层次解决不了的问题。

② 电子商务安全包括哪些方面

在正确看待电子商务的安全问题时，有几个观念值得注意：
其一，安全是一个系统的概念。安全问题不仅仅是个技术性的问题，不仅仅只涉及到技术，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二，安全是相对的。房子的窗户上只有一块玻璃，一般说来这已经很安全，但是如果非要用石头去砸，那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性，因为大家都有一个普遍的认识：玻璃是不能砸的，有了窗玻璃就可以保证房子的安全。同样，不要追求一个永远也攻不破的安全技术，安全与管理始终是联系在一起的。也就是说安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是很难的，我们要正确认识这个问题。
其三，安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C，都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价，如果能考虑到安全速度就得慢一点，把安全性保障得更好一些，当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；如果牵涉到支付问题对安全的要求就要高一些，所以安全是有成本和代价的。...在正确看待电子商务的安全问题时，有几个观念值得注意：
其一，安全是一个系统的概念。安全问题不仅仅是个技术性的问题，不仅仅只涉及到技术，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二，安全是相对的。房子的窗户上只有一块玻璃，一般说来这已经很安全，但是如果非要用石头去砸，那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性，因为大家都有一个普遍的认识：玻璃是不能砸的，有了窗玻璃就可以保证房子的安全。同样，不要追求一个永远也攻不破的安全技术，安全与管理始终是联系在一起的。也就是说安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是很难的，我们要正确认识这个问题。
其三，安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C，都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价，如果能考虑到安全速度就得慢一点，把安全性保障得更好一些，当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；如果牵涉到支付问题对安全的要求就要高一些，所以安全是有成本和代价的。作为一个经营者，应该综合考虑这些因素；作为安全技术的提供者，在研发技术时也要考虑到这些因素。
其四，安全是发展的、动态的。今天安全明天就不一定很安全，因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情，尤其是安全技术，它的敏感性、竞争性以及对抗性都是很强的，这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全，也没有一蹴而就的安全。

③ 电子商务安全是什么

【论文摘要】安全是电子商务健康发展的关键因素，电子商务系统安全的问题是电子商务活动中的重要保障。本文主要介绍电子商务系统中的安全问题、网络安全技术、密码技术基础知识与信息认证技术、电子商务安全体系与安全交易标准。

【关键词】电子商务安全、网络安全技术、密码技术

一、计算机网络面临的安全性威胁主要给电子商务带来了一下的安全问题：

1、信息泄露
（1）交易双方的内容被第三方窃取
（2）交易一方提供给另一方使用的文件被第三方非法使用。

2、篡改
电子交易信息在网络上传输的过程中，可能被他人非法地修改、删除或重放，失去了真实性和完整性。

3、身份识别

4、信息破坏
（1）网络传输的可靠性；
（2）恶意破坏。

二、 网络安全技术：
主要是从防火墙技术及路由技术等方面来阐述网络安全的一些特点。

1、防火墙技术
“防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway),从而保护内部网免受非法用户的侵入。 所谓防火墙就是一个把互联网与内部网隔开的屏障。
防火墙有二类, 标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界, 即公用网; 另一个则联接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关(al home gateway) 则是标准防火墙的扩充,又称堡垒主机(bation host) 或应用层网关(applications layer gateway), 它是一个单个的系统, 但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用, 同时防止在互联网和内部系统之间建立的任何直接的边疆, 可以确保数据包不能直接从外部网络到达内部网络,反之亦然。
随着防火墙技术的进步, 双家网关的基础上又演化出两种防火墙配置, 一种是隐蔽主机网关, 另一种是隐蔽智能网关( 隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽, 另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上, 通过路由器的配置, 使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最商的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问者对专用网络的非法访问。一般来说, 这种防火墙是最不容易被破坏的。

2、电子商务所涉及的安全技术
（一）、访问控制技术
访问控制是指对网络中的某些资源的访问要进行控制，只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。
（二）、密码技术
保证电子商务安全的最重要的一点就是使用面膜技术对敏感的信息进行加密，如密钥加密（如3DES、IDEA、RC4和RC5）和公钥加密（如RSA、SEEK、PGP、EU）可用来保证电子商务的保密性、完整性、真实性和不可否认服务。
（三）、数字认证技术
数字认证也称数字签名，即用电子方式来证明信息发送者和接收者的身份、文件的完整性，甚至数据媒体的有效性（如录音、照片等）。
（四）、密钥管理技术
对称加密时基于共同保守秘密来实现。采用对称加密技术的贸易栓放必须要保证采用的是相同的密钥，要保证彼此密钥的交换时安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。
（五）、CA技术
所谓认知结构体系是指一些不直接从电子商务贸易中获利的受法律承认的可信任的权威机构，负责发放和管理电子证书，使网上通信的各方互相确认身份。

三、密码技术基础知识与信息认证技术

采用密码技术对信息加密，是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种：
（1）公共密钥和私用密钥（public key and private key）
这一加密方法亦称为RSA编码法，是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到，亦可在请对方发信息时主动将公共密钥传给对方，这样保证在Internet上传输信息的保密和安全。

④ 未来电子商务安全问题及预防措施

电子商务是互联网应用的重要趋势之一，也是国际金融贸易中越来越重要的经营模式之一，以后会逐渐地成为我们经济生活中一个重要的部分，安全是保证电子商务健康有序发展的关键因素，也是目前大家十分关注的话题，下面将就电子商务发展中的几个热点问题，谈谈个人的看法。
一、怎么看待安全与发展的关系
谈到安全与发展两者之间的关系时，许多人都会认为安全更重要，而实际上在信息化发展的过程中，发展自始至终都应是放在第一位的，因为没有发展安全就无从谈起，没有发展就是最大的不安全。
从国内外的情况来看，电子商务发展的速度太快，致使其安全技术和安全管理跟不上，这是一个越来越突出的问题。电子商务的快速发展需要业界，特别是信息安全业快速地作出反应，否则安全方面的问题将会制约它的发展。现在不仅仅是发展中国家，就连美国这样的发达国家，电子商务在很多领域还是没有像其它传统的商务那样发达，一个重要的原因就是安全问题。这就需要信息安全业的同行作出不懈的努力，不要因为安全问题而制约了电子商务的发展。
二、如何看待电子商务的安全问题
在正确看待电子商务的安全问题时，有几个观念值得注意:
其一，安全是一个系统的概念。安全问题不仅仅是个技术性的问题，不仅仅只涉及到技术，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二，安全是相对的。房子的窗户上只有一块玻璃，一般说来这已经很安全，但是如果非要用石头去砸，那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性，因为大家都有一个普遍的认识:玻璃是不能砸的，有了窗玻璃就可以保证房子的安全。同样，不要追求一个永远也攻不破的安全技术，安全与管理始终是联系在一起的。也就是说安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是很难的，我们要正确认识这个问题。
其三，安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C，都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价，如果能考虑到安全速度就得慢一点，把安全性保障得更好一些，当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些，所以安全是有成本和代价的。作为一个经营者，应该综合考虑这些因素;作为安全技术的提供者，在研发技术时也要考虑到这些因素。
其四，安全是发展的、动态的。今天安全明天就不一定很安全，因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情，尤其是安全技术，它的敏感性、竞争性以及对抗性都是很强的，这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全，也没有一蹴而就的安全。
三、社会上对电子商务的需求有哪些
电子商务是用电子化的方式实现传统商务的模式或者说对传统商务的革命，它的发展需要以下几个必备的条件。
其一，对电子商务的发展要有广泛的认同。无论是现在的银行、证券也好还是传统的物物交换，社会认同是交易得以实现的基础。对电子商务的发展也必须有广泛的认同。
其二，电子商务的交易模式不能被假冒。也就是说必须要有足够的安全保障。
其三，能真正节省开支。人类从最原始的物物交换到一般等价物、到信用体制等等都是在不断地降低交易成本，如果我们引进电子商务不但不能减少成本，反而会使成本增加，就不会得到社会的认同。
其四，要求方便易用，这一点十分重要。目前我国电子商务发展的发展过程中最致命就是使用不方便。
其五，要能满足社会大众的商业心态。它可以是“实名制”也可以是“隐名”的(当然现在也正讨论怎么使存款“实名制”)，原来的金融体系或经济体系的优势就在于既可以是“实名”的也可以是“隐名”的，所以发展电子商务时也要考虑这个问题，否则用户就没有选择，其发展就会受到阻碍。
社会对电子商务安全的需求简单归纳起来主要有以下几点:
1.信息要求真实和完整。因为无论中国人还是外国人，都会觉得“隔山买牛”是一件心里没底的事情，因此都希望电子商务上的信息是真实的、完整的。
2.所有交易不能够抵赖，否则，生意就没法做了。这不但需要用道德和法律进行约束，更需要相关技术进行保障。如果总是发生扯皮或纠纷，再好的电子商务也会因此而黄掉。
3.支付和交易必须是安全而可靠的。目前，如何保障支付和交易的安全可靠是一个全球性问题，电子商务要有大的发展，就必须管好这些瓶颈。
4.用户或商家的身份在网络上能够被准确地识别。如果不能准确识别交易双方的身份，发生纠纷时就无法进行有效的仲裁。
5.能够保护个人隐私。对个人隐私的保护现在越来越受到重视，以前我们可能不太看重这个问题。越是开放，越是信息化，个人隐私越重要。
四、对电子商务现状的看法
现在，电子商务网站的经营很热闹，但其实也很艰难。根据我们了解的情况，我国的电子商务虽然收益不佳的现状有望改观，但技术和管理方面的问题还依然存在，安全隐患仍令人担忧。
从技术上看:首先是数据传输的速度太慢;第二是没有安全、可靠的结账方式，这严重制约着电子商务的发展;第三是IT技术的发展速度太快，商务模式的形成和人们使用习惯的养成都需要一定的时间，虽然技术不断发展，但社会对技术的认同是有阶段的，这使得用户和经营者都难以消化，难以跟上这种快速发展的步伐;第四是难以及时处理用户的有关问题，开通一个网站，如果一段时间以后用户的反馈多了，网络的速度就会慢下来，这也许是线路本身的问题，但也存在技术处理的问题，目前尚没有解决的良策。第五是在安全保障上，难以防范现在的网络犯罪，特别是黑客的攻击。
从管理上看，存在的主要问题有:1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多;2)电子商务网站的经营收益远低于预期，使有网络泡沫之虞;3)缺乏能适应中国国情的市场技巧。现在的电子商务网站动作的市场方式基本上是照搬美国的，在造势上不无奢华，但在收效上却无殷实，不充分考虑中国人的商业行为和方式，恐怕是难以成功的。4)网站运营成本太高。由于运行成本居高不下，再好的商业模式也不堪重负。5)收费困难。除BtoB稍好一点外，BtoC电子商务一直没有找到方便可行的收费方式。
从安全上看，电子商务的隐患，令人担忧，主要表现在:
1.网络信息安全在全球还没有形成一个完整的体系，我国也不例外。虽然有关电子商务安全的产品数量不少，但真正通过认证的却相当少。近两年，有将近20家有关电子商务安全的产品申请认证，但最后通过的非常少，这主要是因为不少安全措施是从网上“down”下来的，另外，不少电子商务安全技术的厂商对网络技术很熟悉，但是对安全技术普通了解得较少，因而他们很难开发出真正实用的、安全性足用的安全技术和产品。
2.安全技术的强度普遍不够。国外有关电子商务的安全技术，虽然其结构或加密技术等都不错，但这种算法(无论是对称的还是非对称的)受到了外国密码政策的限制，因此强度普遍不够。这种技术用在B-to-C方面还勉强可行，但用在B-to-B上就显然不够。
3.电子商务网站的安全管理存在很大隐患，普遍难以经受黑客的攻击。这个问题应当引起高度重视，国内电子商务网站被攻击的事件较少并不表示是牢不可破，而是网站本身很小，没有多少可攻的价值。
4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域，这些因素的存在必将影响我国电子商务进一步的发展。
五、关于面向社会服务的CA中心
现在大家都在关注CA中心，从国外的发展看，认证应该是第三方的，政府干预最好少一些，只需作些必要的引导。在我国，最大的问题是多人过早地把CA认证看作是一种产业，把它当作生意来做，而过少地考虑到应该担负的责任。其实，面向社会服务的CA中心必须达到一定的要求。首先要看建设单位是否具备管理能力，以及责任和义务是否很明确，一旦证书出了问题，各方的责任是否清楚;其次是看技术能力和运行条件，CA要为社会服务，能否保证安全可信，运转有效;这需要专门的技术能力和安全完整的网上认证技术体系。比如在炒股票时，如果认证的周期太长，别人已经成交了，你这里还堵着，那肯定不行。第三是看是否有足够的财力支持。没有数千万乃至上亿的投入，是无法面向社会提供可信赖的CA服务。第四是看整个CA系统和设施是否安全。总之，CA中心能否提供安全可靠的服务，不能仅凭自身的宣传，而是要通过“国家信息安全认证”。到目前为止已经通过认证的只有一家，还有其它几家也正在审查之中。主要的问题不在于能否发出证书，而在于能否保障证书的使用者的利益。
六、如何看待电子商务网站受到的攻击
刚才我们提到过黑客的问题，黑客的威力到底有多大?
目前，我国网站所受到黑客的攻击，还不能与美国的相提并论，因为我们的用户数、规模和级别还是处在很初级的阶段。如果遇到类似于DDOS的攻击时应该引起注意，但不必很惊慌，因为在目前的情况下，一个电子商务网站停一两天所受的损失不是很大，毕竟业务量和交易额都还不大。从以往遭遇过的攻击中我们可以得到以下几点启示:
1.纯技术难以防范原始攻击方式。如果我们按照西方人的思维方式去思考，不断的追求和更新安全技术，防火墙可以做得非常强，但如果黑客不去窃取信息或数据，而只是去阻塞网站，这种非常野蛮的攻击方式用单纯的技术是很难解决的，而要靠管理或其它的方法去防范。美国电子商务网站遭受那么大规模的攻击，虽然有技术方面的原因，但总的看来还是一个管理的问题，这里的管理包括网站的经营者要如何防止自己的网站被攻击，上网的用户如何保证自己的机器不会无辜地被别人利用，现在网上的安全补丁很多，但很少有人真正用它或不知道怎么去用。所以，在信息化发展的初期，管理比技术显得更为重要。
2.病毒比一般攻击更可怕。现在的病毒(包括恶性代码)破坏性越来越大。现在电子商务上的交易都是非时间敏感性的项目，所以时效性并不太突出，可怕的是病毒对数据的破坏。
3.从目前的情况看，危及电子商务的首先是病毒或恶意代码;然后是内部人员滥用计算资源，对此国外强调的比较多，国内强调的比较少，随着技术人员流动性增大，道德也有待提高;第三是黑客攻击;第四是用户数据的泄漏;第五是假冒的交易。
七、关于电子商务需要的安全技术与产品
目前，国内市场需要较大的网络安全产品还是防火墙，从国内外采购的数量来看，防火墙均居于首位的;其次是通信保密设备;第三是现在电子商务里面应用最多的客户机服务器中的安全模式;第四是局域网或广域网上的安全技术;第五是web安全技术;第六是灾难恢复技术，从银行和金融界的一些情况看，大家对这方面的重视还不够，普遍的电子商务网站对灾难恢复考虑得都不是很好，这也是迫切需要的。
八、制约我国电子商务发展的主要因素
制约我国电子商务的因素主要有:其一是商业信息化程度太低;其二是交易过程不规范;其三是信用制度不健全;其四是技术发展太快，没有一定的稳定过程;其五是出现问题后客户去找谁负责。由于有关电子商务的立法和管理刚刚开始，有人开玩笑说“电子商务目前是个‘三无’行业:无法可依、无安全可言、无规可循”，当然这只有一定的道理，我国政府对电子商务的管理已经报上议事日程，各个部门都在抓紧制定推进电子商务的政策。
九、加快电子商务发展的建议
对电子商务发展的建议简单地讲是“两高一低”，即:1)不断提高服务的安全性，否则会制约电子商务的发展;成为发展的瓶颈;2)提高通讯的速度，否则电子商务就成了纯粹的电子广告而无法将商场搬到里面，许多东西我们无法看到，也更谈不上交易;3)降低成本，这不仅仅是降低硬件成本，特别是要降低通讯成本。因为电子商务发展的目的本来就是为了降低交易成本，交易成本反而高了就不正常。许多人都认为花那么大的投入去搞电子商务还不如去面对面地谈生意，打个电话许多货就发过来了，用不着去识别身份什么的。
电子商务安全管理的基本趋势似乎可用:“谁经营、谁负责”六个字来概括，也可以说是谁管理谁负责。这就强调业界要自律，要对安全问题承担责任。

⑤ 电子商务安全是什么

电子商务主要的安全要素

（1）有效性
EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
（2）机密性
EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。

（3）完整性
EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

⑥ 电子商务的安全需求及解决技术是什么

电子商务面临的威胁的出现导致了对电子商务安全的需求，也是真正实现一个安全电子商务系统所要求做到的各个方面，主要包括机密性、完整性、认证性和不可抵赖性。
1. 机密性。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的（尤其Internet 是更为开放的网络），维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术来对传输的信息进行加密处理来实现。
2. 完整性。电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。
3. 认证性。由于网络电子商务交易系统的特殊性，企业或个人的交易通常都是在虚拟的网络环境中进行，所以对个人或企业实体进行身份性确认成了电子商务中得很重要的一环。对人或实体的身份进行鉴别，为身份的真实性提供保证，即交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时，鉴别服务将提供一种方法来验证其声明的正确性，一般都通过证书机构CA和证书来实现。
4. 不可抵赖性。电子商务可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的"白纸黑字"。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。
5. 有效性。电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

电子商务安全中的主要技术
电子商务安全是信息安全的上层应用，它包括的技术范围比较广，主要分为网络安全技术和密码技术两大类，其中密码技术可分为加密、数字签名和认证技术等。
1. 网络安全技术
网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及到的方面比较，如操作系统安全、防火墙技术、虚拟专用网VPN技术和各种反黑客技术和漏洞检测技术等。其中最重要的就是防火墙技术。
防火墙是建立在通信技术和信息安全技术之上，它用于在网络之间建立一个安全屏障，根据指定的策略对网络数据进行过滤、分析和审计，并对各种攻击提供有效的防范。主要用于Internet接入和专用网与公用网之间的安全连接。
目前国内使用的需到防火墙产品都是国外一些大厂商提供的，国内在防火墙技术方面的研究和产品开发方面相对比较簿弱，起步也晚。由于国外对加密技术的限制和保护，国内无法得到急需的安全而实用的网络安全系统和数据加密软件。因此即使国外优秀的防火墙产品也不能完全在国内市场上使用，同时由于政治、军事、经济上的原因，我国也应研制开发并采用自己的防火墙系统和数据加密软件，以满足用户和市场的巨大需要，也对我国的信息安全基础设施建设有巨大的作用。
VPN 也使一项保证网络安全的技术之一，它是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，其各地的分支机构就可以互相之间安全传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。
2. 加密技术
加密技术是保证电子商务安全的重要手段，许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用密秘密钥（secret keys）来对敏感信息进行加密，然后把加密好的数据和密钥（要通过安全方式）发送给接收者，接收者可利用同样的算法和传递来的密钥对数据进行解密，从而获取敏感信息并保证了网络数据的机密性。利用另外一种称为数字签名（digital signature）的密码技术可同时保证网络数据的完整性和真实性。利用密码技术可以达到对电子商务安全的需求，保证商务交易的机密性、完整性、真实性和不可否认性等。
密码技术虽然在第二次世界大战期间才开始流行，在当前才广泛应用于网络安全和电子商务安全之中，但其起源可追溯到几千年前，其思想目前还在使用，只是在处理过程中增加了数学上的复杂性。
加密技术包括私钥加密和公钥加密。私钥加密，又称对称密钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据，目前常用的私钥加密算法包括DES和 IDEA等。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。对称加密技术要求通信双方事先交换密钥，当系统用户多时，例如，在网上购物的环境中，商户需要与成千上万的购物者进行交易，若采用简单的对陈密钥加密技术，商户需要管理成千上万的密钥与不同的对象通信，除了存储开销以外，密钥管理是一个几乎不可能解决的问题；另外，双方如何交换密钥？通过传统手段？通过因特网？无论何者都会遇到密钥传送的安全性问题。另外，环境中，密钥通常会经常更换，更为极端的是，每次传送都使用不同的密钥，对称技术的密钥管理和发布都是远远无法满足使用要求的。
公钥密钥加密，又称不对称密钥加密系统，它需要使用一对密钥来分别完整家密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。信息发送者人用公开密钥去加密，而信息接收者则用私有密钥去解密。通过数学的手段保证加密过程是一个不可逆过程，即用公钥加密的信息只能是用与该公钥配对的私有密钥才能解密。常用的算法是RSA、ElGamal等。公钥机制灵活，但加密和解密速度却比对称密钥加密慢的多
为了充分利用公钥密码和对称密码算法的优点，克服其缺点，解决每次传送更换密钥的问题，提出混合密码系统，即所谓的电子信封（envelope）技术。发送者自动生成对称密钥，用对称密钥加密钥发送的信息，将生成的密文连同用接收方的公钥加密后的对称密钥一起传送出去。收信者用其秘密密钥解密被加密的密钥来得到对称密钥，并用它来解密密文。这样保证每次传送都可由发送方选定不同密钥进行，更好的保证了数据通信的安全性。
使用混合密码系统可同时提供机密性保障和存取控制。利用对称加密算法加密大量输入数据可提供机密性保障，然后利用公钥加密对称密钥。如果想使多个接收者都能使用该信息，可以对每一个接收者利用其公钥加密一份对称密钥即可，从而提供存取控制功能。
3. 数字签名
数字签名中很常用的就是散列（HASH）函数，也称消息摘要(Message Digest)、哈希函数或杂凑函数等，其输入为一可变长输入，返回一固定长度串，该串被称为输入的散列值(消息摘要)
日常生活中，通常通过对某一文档进行签名来保证文档的真实有效性，可以对签字方进行约束，防止其抵赖行为，并把文档与签名同时发送以作为日后查证的依据。在网络环境中，可以用电子数字签名作为模拟，从而为电子商务提供不可否认服务。
把 HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH，而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名（Digital Signature）。
将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要（Mes-sage Digest）值。在数学上保证：只要改动报文的任何一位，重新计算出的报文摘要就会与原先值不符。这样就保证了报文的不可更改。然后把该报文的摘要值用发送者的私人密钥加密，然后将该密文同原报文一起发送给接收者，所产生的报文即称数字签名。
接收方收到数字签名后，用同样的HASH算法对报文计算摘要值，然后与用发送者的公开密钥进行解密解开的报文摘要值相比较。如相等则说明报文确实来自发送者，因为只有用发送者的签名私钥加密的信息才能用发送者的公钥解开，从而保证了数据的真实性。
数字签名相对于手写签名在安全性方面具有如下好处：数字签名不仅与签名者的私有密钥有关，而且与报文的内容有关，因此不能将签名者对一份报文的签名复制到另一份报文上，同时也能防止篡改报文的内容。
4. 认证机构和数字证书
对数字签名和公开密钥加密技术来说，都会面临公开密钥的分发问题，即如果把一个用户的公钥以一种安全可靠的方式发送给需要的另一方。这就要求管理这些公钥的系统必须是值得信赖的。在这样的系统中，如果Alice想要给Bob发送一些加密数据，Alice需要知道Bob的公开密钥；如果Bob想要检验 Alice发来的文档的数字签名，Bob需要知道Alice的公开密钥。

电子商务中的安全措施包括有下述几类：
（1）保证交易双方身份的真实性：常用的处理技术是身份认证，依赖某个可信赖的机构（CA认证中心）发放证书，并以此识别对方。目的是保证身份的精确性，分辨参与者身份的真伪，防止伪装攻击。
（2）保证信息的保密性：保护信息不被泄露或被披露给未经授权的人或组织，常用的处理技术是数据加密和解密，其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术（如DES算法）和公开密钥加密技术（如RSA算法）。
（3）保证信息的完整性：常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者（非法用户）建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。
（4）保证信息的真实性：常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈，如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等，而不是对付未知的攻击者，其基础是公开密钥加密技术。目前，可用的数字签名算法较多，如RSA数字签名、ELGamal数字签名等。
（5）保证信息的不可否认性：通常要求引入认证中心（CA）进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。
（6）保证存储信息的安全性：规范内部管理，使用访问控制权限和日志，以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时，应注意数据的备份和恢复，并采用防火墙技术保护内部网络的安全性。

⑦ 电子商务有哪些安全要素

（1）可靠性

可靠性是指电子商务系统的可靠程度，是指为防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁，采取了一系列的控制和预防措施来防止数据信息资源不受到破坏的可靠程度。

（2）真实性

真实性是指商务活动中交易者身份的真实性，确保交易双方确实是存在的，不是假冒的。网上交易的双方相隔很远，互不了解，要使交易成功，必须互相信任，确认对方是真实的。能否方便而又可靠地确认交易双方身份的真实性，是顺利进行电子商务交易的前提。

（3）机密性

机密性是指交易过程中必须保留信息不会泄露给非授权的人或实体。电子商务的交易信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来保守机密的；而电子商务则建立在一个较为开放的网络环境上，商业保密就成为电子商务全面推广的重要屏障。因此要预防非法的信息存取和信息在传输过程中被非法窃取，确保只有合法用户才能看到数据，防止泄密事件。

（4）完整性

完整性是指数据在输入、输出和传输过程中，要求能保证数据的一致性，防止数据非授权建立、修改和破坏。电子商务简化了贸易过程，减少了认为的干预，但同时也带来了需要维护商业信息完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息不相同。信息的完整性将影响到贸易各方的交易和经营策略，保持这种完整性是电子商务应用的基础。

（5）有效性

电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息为交易各方共同认可是开展电子商务的前提。电子商务作为一种新的贸易形势，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后，这项交易就应受到保护，以防止被篡改或伪造。交易的有效性在其价格、期限及数量作为协议一部分时尤为重要。

（6）不可抵赖性

电子商务可能直接关系到贸易双方的商业交易，如何确定将要进行的交易方正是所期望的贸易方这一问题，则是保证电子商务顺利进行的关键。在电子商务方式下，通过手写签名和印章是不可能的。因此要求在交易信息中为参与交易的个人、企业或国家提供可靠的标识，使原发送方在发送数据后不能抵赖；接收方在接收数据后也不能抵赖。

（7）内部网的严密性

企业的内部网一方面有着大量需要保密的信息，另一方面传递着企业内部的大量指令，控制着企业的业务流程。企业内部网一旦被恶意侵入，可能给企业带来极大的混乱与损失。保证内部网不被非法侵入，也是开展电子商务的企业应着重考虑的一个安全问题。

⑧ 电子商务安全及包括哪些方面

电子商务系统的安全重点主要基于以下两个方面：
(1)系统安全性：指系统的稳回定性和抗攻击能力，答以及在受到攻击或系统出现软、硬件故障后的系统恢复能力。
(2)数据安全性：是指保持数据的一致性、完整性，和使用权限的可控制性等。数据安全性包含以下几个方面：
①数据的机密性。任何人不能看到其无权看到的信息；其中，比普通加密方式更进一步的是，任何人都不能看到或修改其行政管理概念上的权限无权获得的数据(数据加密)，这将更符合实际的要求。
②数据的完整性。对发出的数据只有完整到达，才能被完全确认，否则数据不能被认可。
③不可抵赖性。对任何人已经发出的信息，能够根据信息本身确定数据只能由该人发出，并能确定发出时间等重要信息。

⑨ 电子商务安全的措施

适当设置防护措施可以降低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施，整个系统的安全取决于系统中最薄弱环节的安全水平，这就需要从系统设计上进行全面的考虑，折中选取。电子商务中的安全措施包括有下述几类：
(1)保证交易双方身份的真实性：
常用的处理技术是身份认证，依赖某个可信赖的机构(CA认证中心)发放证书，并以此识别对方。目的是保证身份的精确性，分辨参与者身份的真伪，防止伪装攻击。
(2)保证信息的保密性：
保护信息不被泄露或被披露给未经授权的人或组织，常用的处理技术是数据加密和解密，其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术(如DES算法)和公开密钥加密技术(如RSA算法)。(3)保证信息的完整性：
常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者(非法用户)建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。
(4)保证信息的真实性：
常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈，如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等，而不是对付未知的攻击者，其基础是公开密钥加密技术。目前，可用的数字签名算法较多，如RSA数字签名、ELGamal数字签名等。
(5)保证信息的不可否认性：
通常要求引入认证中心(CA)进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。
(6)保证存储信息的安全性：
规范内部管理，使用访问控制权限和日志，以及敏感信息的加密存储等。

⑩ 电子商务安全威胁及防范措施分别是什么

1、未进行操作系统相关安全配置

不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。

2、未进行CGI程序代码审计

如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

3、拒绝服务（DoS，DenialofService）攻击

随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。

4、安全产品使用不当

虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。

5、缺少严格的网络安全管理制度

网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

6、窃取信息

由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

7、篡改信息

当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

8、假冒

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

9、恶意破坏

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

安全对策

1、保护网络安全。

保护网络安全的主要措施如下：全面规划网络平台的安全策略，制定网络安全的管理措施，使用防火墙，尽可能记录网络上的一切活动，注意对网络设备的物理保护，检验网络平台系统的脆弱性，建立可靠的识别和鉴别机制。

2、保护应用安全。

应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

3、保护系统安全。

在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

4、加密技术

加密技术为电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。

5、认证技术。

用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。包括数字签名、数字证书。

6、电子商务的安全协议。

电子商务的运行还有一套完整的安全协议，有SET、SSL等。

(10)电子商务的安全扩展阅读

从电子商务的含义及发展历程可以看出电子商务具有如下基本特征：

1、普遍性。电子商务作为一种新型的交易方式，将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地。

2、方便性。在电子商务环境中，人们不再受地域的限制，客户能以非常简捷的方式完成过去较为繁杂的商业活动。如通过网络银行能够全天候地存取账户资金、查询信息等，同时使企业对客户的服务质量得以大大提高。在电子商务商业活动中，有大量的人脉资源开发和沟通，从业时间灵活，完成公司要求，有钱有闲。

3、整体性。电子商务能够规范事务处理的工作流程，将人工操作和电子信息处理集成为一个不可分割的整体，这样不仅能提高人力和物力的利用率，也可以提高系统运行的严密性。

4、安全性。在电子商务中，安全性为一个至关重要的核心问题，它要求网络能提供一种端到端的安全解决方案，如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等，这与传统的商务活动有着很大的不同。

5、协调性。商业活动本身为一种协调过程，它需要客户与公司内部、生产商、批发商、零售商间的协调。在电子商务环境中，它更要求银行、配送中心、通信部门、技术服务等多个部门的通力协作，电子商务的全过程往往是一气呵成的。