電子商務中的信息安全問題

1、安徽廣播電視大學省直分校?？飘厴I(yè)論文論電子商務中的信息安全問題作 者： 張嬌嬌 院 系： 專 業(yè)： 電子商務 年 級： 2009年春 學 號： 指導老師： 陳佳 答辯日期： 成 績： 內(nèi)容提要隨著Internet和電子商務的廣泛應用，人們的生產(chǎn)和生活方式也在發(fā)生著深刻的改變，對網(wǎng)絡尤其是電子商務的應用安全關注越來越高。但是，由于Internet自身的開放性，使得在其上的電子商務應用面臨嚴峻的安全挑戰(zhàn)，黑客事件和安全事故時有發(fā)生，嚴重影響和制約著電子商務的發(fā)展。如何建立一個安全、便捷的電子商務應用環(huán)境，對信息提供足夠的保護，已經(jīng)成為商家和用戶都十分關心的話題。電子商務系統(tǒng)是一種復雜的網(wǎng)絡應用系統(tǒng)

2、，本文針對電子商務活動中存在的信息安全隱患問題，實施保障電子商務信息安全的防火墻等技術性措施，完善電子商務發(fā)展的內(nèi)外部環(huán)境，促進我國電子商務可持續(xù)發(fā)展。關鍵詞：電子商務 信息安全目錄一 電子商務中信息安全問題的概述3二 電子商務3三 電子商務信息3（一）電子商務信息的特征4（二）實現(xiàn)電子商務必備的安全因素4（三）電子商務中使用的信息安全技術5四 電子商務的信息安全隱患6（一）電子商務的信息存儲安全隱患6（二）電子商務的信息流動安全隱患7（三）電子商務交易雙方的信息安全隱患7五 保障電子商務信息安全技術性措施8（一）數(shù)據(jù)加密技術8（二）身份驗證技術9（三） 其它安全技術10六 保障電子商務信息安

3、全的環(huán)境性措施10（一） 構造中國電子商務體系10（二）加強法律法規(guī)建設10（三）加快網(wǎng)絡基礎設施建設，推動企業(yè)信息化進程11七 電子商務信息安全應注意的幾個方面11（一）提高網(wǎng)絡信息安全意識。11（二）加強網(wǎng)絡安全管理。11（三）加快網(wǎng)絡安全專業(yè)人才的培養(yǎng)。11（四）開展網(wǎng)絡安全立法和執(zhí)法。11（五）強化網(wǎng)絡技術創(chuàng)新。11八 對國內(nèi)發(fā)展電子商務的幾點建議12（一）政府行為與市場行為相結合12（二）業(yè)務主管部門與技術主管部門相配合13（三）重視現(xiàn)代密碼與信息安全技術的應用13（四）正確處理國內(nèi)外信息安全產(chǎn)品的關系14（五）加快標準與規(guī)范以及相關法律法規(guī)的制定15九 結束語16參考文獻：16電子

4、商務中的信息安全問題一、電子商務中信息安全問題的概述隨著Internet和電子商務的廣泛應用，人們的生產(chǎn)和生活方式也在發(fā)生著深刻的改變，對網(wǎng)絡尤其是電子商務的應用安全關注越來越高。但是，由于Internet自身的開放性，使得在其上的電子商務應用面臨嚴峻的安全挑戰(zhàn)，黑客事件和安全事故時有發(fā)生，嚴重影響和制約著電子商務的發(fā)展。如何建立一個安全、便捷的電子商務應用環(huán)境，對信息提供足夠的保護，已經(jīng)成為商家和用戶都十分關心的話題。電子商務系統(tǒng)是一種復雜的網(wǎng)絡應用系統(tǒng)，本文針對電子商務活動中存在的信息安全隱患問題，實施保障電子商務信息安全的防火墻等技術性措施，完善電子商務發(fā)展的內(nèi)外部環(huán)境，促進我國電子商務

5、可持續(xù)發(fā)展。二、電子商務電子商務一詞源于英文Electronic Commerce，簡寫為EC，指的是利用簡單、快捷、低成本的電子通信方式，買賣雙方不謀面地進行各種商貿(mào)活動。電子商務可以利用的電子通信方式有多種，目前主要是由EDI和Internet來完成的。隨著Internet網(wǎng)絡的日益發(fā)展，電子商務真正的發(fā)展將是建立在Internet技術上的，所以也有人把電子商務簡稱為IC（Internet Commerce）。 電子商務是一個不斷發(fā)展的概念，電子商務的先驅(qū)IBM公司于1996年提出了Electronic Commerce（E-Commerce）的概念，到了1997年，該公司又提出了Elec

6、tronic Business（E-Business）的概念。但我國在引進這些概念的時候都翻譯成電子商務，很多人對這兩者的概念產(chǎn)生了混淆。事實上這兩個概念及內(nèi)容是有區(qū)別的，E-Commerce應翻譯成電子商業(yè)，有人將E-Commerce稱為狹義的電子商務。將E-Business稱為廣義的電子商務。E-Commerce是指實現(xiàn)整個貿(mào)易過程中各階段貿(mào)易活動的電子化。E-Business是利用網(wǎng)絡實現(xiàn)所有商務活動業(yè)務流程的電子化。E-Commerce集中于電子交易，強調(diào)企業(yè)與外部的交易與合作，而E-Business則把涵蓋范圍擴大了很多。廣義上指使用各種電子工具從事商務或活動。狹義上指利用Inter

7、net從事商務或活動。其對社會的影響，不亞于蒸汽機的發(fā)明給整個社會帶來的影響。三、電子商務信息（一）、電子商務信息的特征 Internet 的誕生并不是因為商業(yè)目的。因此，在Internet 上進行電子商務活動，并將物流、資金流，部分或完全借助信息流的方式進行流通，使得電子商務的信息流動既具有網(wǎng)絡信息流動的共性，又具有自身的顯著特性。1、信息的開放性。Internet 是一個高度開放的信息網(wǎng)絡，參與電子商務的商家、消費者、金融機構、認證中心等，只要公開了自己的網(wǎng)址，便可接受任何人或組織的訪問。尤其是商家更是十分迫切地希望來自世界各地的單位或個人的造訪。另外，電子商務是不受時空限制的商務活動，不

8、管任何時間、任何地點，都可以借助信息流動的方式，從事商務活動。2、信息的多源性。電子商務的信息流動不只是在客戶和商家之間進行的，在交易簽約中，金融機構、認證中心、配送中心、海關和工商管理等部門都會參與。因此，圍繞每一筆交易的信息流動都是在多方中進行的。3、信息的完整性。涉及電子商務的各種交易信息的流動，應始終處于統(tǒng)一完整的狀態(tài)之下。商務信息流動過程中，人為造成的或網(wǎng)絡系統(tǒng)導致的信息丟失、信息篡改、信息重復、信息傳送次序的變更，將使參與電子交易各方傳送和獲取的信息不相同，從而導致交易的失敗。4、信息的保密性。涉及電子商務的消費者信息屬于個人隱私信息，而商家和金融機構等部門的信息則屬于商業(yè)秘密信息

9、。因此，電子商務的信息流動是信息發(fā)送者和信息接收者之間的保密性信息流動。5、信息的鑒別性。參與電子商務各方的身份信息，可通過信息技術的手段予以鑒別。因此，合法用戶的信息流動能得到有效保證，不會遭到拒絕。同時，商品交易信息發(fā)送后，信息的發(fā)、收方也無法否認。（二）、實現(xiàn)電子商務必備的安全因素從總體上來看，電子商務系統(tǒng)是三層框架結構，底層是網(wǎng)絡平臺，也就是信息傳送的載體和用戶接入的手段，它包括各種各樣的物理傳送平臺和傳送方式；中間層是電子商務基礎平臺，包括CA認證體系、支付網(wǎng)關和客戶服務中心等三個部分，其核心是CA認證；第三層就是各種各樣的電子商務應用系統(tǒng)。其中，電子商務基礎平臺是各種電子商務應用系

10、統(tǒng)的基礎。電子商務系統(tǒng)對信息安全的要求主要包括以下6個方面：1、信息的保密性。電子商務系統(tǒng)應該對主要信息進行加密處理，防止對信息的非法操作（包括對信息的非法存取以及非法竊取傳輸過程中的信息等），以避免非法用戶獲取和解讀原始數(shù)據(jù)。2、數(shù)據(jù)的可靠性。電子商務以電子形式取代紙張，所以應當采取一定的措施來保證電子貿(mào)易信息的有效。需要對網(wǎng)絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。3、數(shù)據(jù)的完整性。在數(shù)據(jù)處理過程中，數(shù)據(jù)輸入時的意外差錯或欺詐行為可能導致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中的信息丟失

11、、信息重復或信息傳送次序差異也會導致貿(mào)易各方信息的不同。因此，要預防對信息的隨意改動，還要防止數(shù)據(jù)傳輸過程中信息的丟失和重復并保證信息傳送次序的統(tǒng)一。所以，電子商務系統(tǒng)應該提供對數(shù)據(jù)進行完整性驗證的手段，確保能夠發(fā)現(xiàn)數(shù)據(jù)在傳輸過程中是否被改變了。4、用戶身份的鑒別。電子商務系統(tǒng)應該提供通信雙方進行身份鑒別的機制。一般可以通過數(shù)字簽名和數(shù)字證書相結合的方式實現(xiàn)用戶身份的鑒別。數(shù)字證書應該由可靠的證書認證機構簽發(fā)，簽發(fā)證書時應對申請用戶提供的身份信息進行真實性驗證。5、數(shù)據(jù)原發(fā)者的不可抵賴性。電子商務系統(tǒng)應該具備數(shù)據(jù)原發(fā)者的不可抵賴機制，確定要進行交易的貿(mào)易方正是所期望的貿(mào)易方。因此，要在交易信息

12、的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。6、合法用戶的安全性。合法用戶的安全性是指合法用戶的權利不受危害或侵犯，電子商務系統(tǒng)和電子商務的安全管理體系應該實現(xiàn)系統(tǒng)對用戶身份的有效確認、對私有密鑰和口令的有效保護、對非法攻擊的有效防范等，以保障合法用戶的安全性。（三）、電子商務中使用的信息安全技術目前世界各國都在展開電子商務系統(tǒng)的研究，通過電子貨幣完全取代目前的支票及現(xiàn)金支付模式。為了保證電子商務安全因素的順利實現(xiàn)，在電子商務中使用了各種安全技術，如加密技術、密鑰管理技術、數(shù)字簽名等。以下就是對這些技術的簡單介紹。1、加密技術。加密技術是電子商務中采用的主要安全措施，交易雙方可根據(jù)

13、需要在信息交換階段使用。目前加密技術分為兩種：對稱密鑰和非對稱密鑰。對稱加密是指在信息加密過程中，對信息的加密和解密都使用相同的密鑰。交易雙方的任何信息都通過這把密鑰加密后傳給對方。數(shù)據(jù)加密技術是由美國國家標準組織提出的目前廣泛使用的對稱加密方式之一，共有56位。非對稱加密（公開密鑰加密）是指在加密過程中，密鑰被分為一對。這對密鑰中的任何一把都可以作為公開密鑰通過非保密方式向他人公開，而另一把則作為私有密鑰加以保存。公開密鑰用于對信息的加密，私有密鑰則用于對加密信息的解密。2、密鑰管理技術。對稱密鑰管理是基于共同保守秘密來實現(xiàn)的，采用對稱加密技術的雙方必須保證采用的是相同的密鑰，要保證彼此密鑰

14、的交換是安全可靠的，同時還要設定防止密鑰泄漏和更改密鑰的程序。使用公開密鑰的交易雙方可以使用證書（公開密鑰證書）來交換公開密鑰。國際電聯(lián)指定的X。509對數(shù)字證書進行了定義。數(shù)字證書能夠起到標識交易雙方的作用，是目前電子商務廣泛使用的技術之一。3、數(shù)字簽名。數(shù)字簽名是公開密鑰加密技術的另一種應用，報文的發(fā)送方從報文文本中生成一個128位的散列值，發(fā)送方用自己的私有密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名，通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。4、防火墻技術。防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng)，對內(nèi)部網(wǎng)的應用系統(tǒng)加以保護。目前的防火墻分為兩大類。一類是簡單的包過濾技術，它是在網(wǎng)

15、絡層對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設定的過濾邏輯，檢查數(shù)據(jù)流中每個數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應用網(wǎng)管和代理服務器，其顯著的優(yōu)點是較容易提供細顆粒度的存取控制，其可針對特別的網(wǎng)絡應用服務協(xié)議及數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關的報告。5、CA技術。為了保證電子商務安全因素的順利實現(xiàn)，在電子商務中使用了基于公鑰體系的安全系統(tǒng)。基于公鑰體系的加密系統(tǒng)是按對生成的，每對密鑰由公鑰和私鑰組成，實際應用中，公鑰是以證書性質(zhì)存放的。一個最基本而又是最關鍵的問題是公鑰的分發(fā)，也就是證書的分發(fā)，如果證書不能

16、得到有效安全的分發(fā)，所有的上層應用軟件就不能得到安全的保障，解救問題的方法就是建立認證機構體系CA。所謂認證機構體系是指一些不直接從電子商務中獲利的受法律承認的可信任的權威機構，負責發(fā)放和管理電子證書，使網(wǎng)上通訊的各方能互相確認身份。它的基本功能有：接收注冊請求，處理、批準/拒絕請求、頒發(fā)證書。在實際應用中，CA可由各方都信任的一方擔當。四、電子商務的信息安全隱患電子商務是Internet 在商務活動中的一種應用，Internet 是電子商務信息流動的重要載體。隨著Internet 用戶的快速增長，電子商務的基礎工作基本完成。電子商務信息的上述特點，將使電子商務的影響范圍越來越大，而目前參與電

17、子商務的各方還難以適應和滿足這些特點的的要求，因而使電子商務的安全性和完整性受到極大的威脅。（一）、電子商務的信息存儲安全隱患信息存儲安全是指電子商務信息在靜態(tài)存放中的安全。其信息安全隱患主要包括： 非授權調(diào)用信息和篡改信息內(nèi)容。企業(yè)Intranet 與Internet 聯(lián)接后，電子商務的信息存儲安全面臨著內(nèi)部和外部兩方面的隱患。1、內(nèi)部隱患。主要是企業(yè)Intranet 的用戶故意或無意地非授權調(diào)用電子商務信息或未經(jīng)許可隨意增加、刪除、修改電子商務信息。2、外部隱患。主要是因為軟件配置的不當，造成外部人員私自闖人企業(yè)Intranet，并對電子商務信息故意或無意地非授權調(diào)用或增加、刪除、修改。其

18、隱患的主要來源有： 競爭對手的惡意闖入、信息間諜的非法闖入、閑游用戶的好奇闖人及黑客的騷擾闖入。(二)、電子商務的信息流動安全隱患信息流動安全是指電子商務運行過程中，物流、資金流匯成信息流后動態(tài)傳輸過程中的安全。其安全隱患主要包括：1、竊取商業(yè)機密。由于電子商務的信息流動大多以明文的方式傳輸，信息間諜、競爭對手等攻擊者，可以較容易的對電子商務信息進行截取和監(jiān)聽，并竊取用戶或服務方的商業(yè)機密。2、攻擊商務網(wǎng)站。競爭對手或網(wǎng)絡黑客通過傳播計算機病毒、發(fā)送電子郵件炸彈，攻破他人電子商務網(wǎng)站的防火墻，損壞計算機軟硬件，修改、刪除、增加受害者的商務信息內(nèi)容，使其無法正常營業(yè)。3、實施商務詐騙。不法分子或

19、通過Internet 發(fā)布虛假商務廣告信息騙取錢; 或破解儲戶密碼盜取存款; 或侵犯股民帳戶借機炒股; 或盜用信用卡密碼惡性透支，使消費者和用戶對電子商務產(chǎn)生強烈的不信任感，阻礙了電子商務的順利發(fā)展。4、侵犯他人權利。不法商販通過Internet 截取商務訂單，收集他人私生活信息并兜售產(chǎn)品，侵犯了消費者的隱私權; 不法之徒通過Internet 盜售他人知識產(chǎn)品，搶注域名侵吞他人無形資產(chǎn)，侵犯了他人的知識產(chǎn)權; 不法企業(yè)通過Internet 損害競爭對手形象、貶低競爭對手的產(chǎn)品，侵犯了企業(yè)的名譽權；不法商人盜用名人照片通過Internet 宣傳、推銷產(chǎn)品，侵犯了他人的肖像權。如此等等，擾亂了電子

20、商務的市場秩序。5、傳播不良信息。不法商人為推銷自己的產(chǎn)品，在電子商務信息中夾帶宣揚色情、暴力、迷信等不良圖文信息。某些境外商人可能會有意或無意地在電子商務信息中，宣傳西方世界的人生觀、價值觀、道德觀。6、否認發(fā)出信息。基于各種原因，用戶和商家可能會對自己發(fā)出的電子商務信息進行惡意地或無可奈何地否認。（三）、電子商務交易雙方的信息安全隱患傳統(tǒng)商務活動是面對面進行的，交易雙方能較容易地建立信任感并產(chǎn)生安全感。而電子商務是買賣雙方通過Internet 的信息流動來實現(xiàn)商品交換的，信息技術手段使不法之徒有機可乘，這就使得電子商務的交易雙方在安全感和信任程度等方面都存在疑慮。電子商務的交易雙方都面臨著

21、信息安全的威脅。1、商家的信息安全隱患。主要有：不法之徒假冒合法用戶名義改變商務信息內(nèi)容，致使電子商務活動中斷，造成商家名譽和用戶利益等方面的受損; 惡意競爭者冒名訂購商品或侵入網(wǎng)絡內(nèi)部以獲取營銷信息和客戶信息; 信息間諜通過技術手段竊取商業(yè)秘密; 大量虛假訂單的生成擠占了信息系統(tǒng)資源，無法從事正常的業(yè)務運營。2、用戶的信息安全隱患。主要有：用戶身份證明信息被攔截竊用，以致被要求付帳或返還商品；域名信息被監(jiān)聽和擴散，被迫接收許多無用信息甚至個人隱私被泄露。發(fā)送的商務信息不完整或被篡改，用戶無法收到商品；受虛假廣告信息誤導購買假冒偽劣商品或被騙錢財；遭受黑客暗算計算機設備被毀、信息丟失。五、保障

22、電子商務信息安全技術性措施電子商務安全是信息安全的上層應用，它包括的技術范圍比較廣，主要分為數(shù)據(jù)加密技術和身份認證技術兩大類。（一）、 數(shù)據(jù)加密技術加密技術是保證電子商務中采用的主要安全措施，交易雙方可根據(jù)需要在信息交換階段使用。在一個加密過程中有兩個基本元素： 算法和密鑰。加密過程就是根據(jù)一定的算法，將可理解的數(shù)據(jù)(明文) 與一串數(shù)字( 密鑰) 相結合，從而產(chǎn)生不可理解的密文的過程，主要加密技術是：1、常規(guī)密鑰密碼加密。所謂常規(guī)密鑰密碼加密，即加密密鑰與解密密鑰是相同的。在早期的常規(guī)密鑰密碼體制中，典型的有代替密碼，其原理可以用一個例子來說明： 字母A，B，C，D，W，X，Y，Z 的自然順序

23、保持不變，但使之與D，E，F(xiàn)，G，Z，A，B，C 分別對應( 即相差3 個字符)。若明文為WELL 則對應的密文為ZHOO ( 此時密鑰為3) 。由于英文字母中各字母出現(xiàn)的頻度早已有人進行過統(tǒng)計，所以根據(jù)字母頻度表可以很容易對這種代替密碼進行破譯。2、對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密，即收發(fā)雙方采用相同的密鑰來進行加密和解密，對稱密鑰加密的最大優(yōu)點是加解密速度快，適合于進行大量數(shù)據(jù)加密，但也存在密鑰管理、發(fā)布困難以及無法進行身份鑒別的缺點。3、非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密，每個用戶有一對密鑰： 一個用于加密，一個用于解密，兩把密鑰實際上是兩個很大的質(zhì)數(shù)，加解密過

24、程。其中，加密密鑰( 公鑰) 可以在網(wǎng)絡服務器、報刊等場合公開，而解密密鑰( 私鑰) 則屬用戶的私有密鑰，由公開的加密密鑰導出私有的解密密鑰在技術上是不可實現(xiàn)的。與對稱密鑰加密相比，采用非對稱密鑰加密方式密鑰管理較方便，且保密性比較強，但加解密實現(xiàn)速度比較慢，不適用于通信負荷較重的應用。（二）、身份驗證技術1、 認證系統(tǒng)。網(wǎng)上安全交易的基礎是數(shù)字證書。數(shù)字證書類似于現(xiàn)實生活中的身份證，用于在網(wǎng)絡上鑒別個人或組織的真實身份。數(shù)字證書的頒發(fā)機構叫做Certificate Authority，通常簡稱為CA。要建立安全的電子商務系統(tǒng)，首先必須建立一個穩(wěn)固、健全的CA，否則，一切網(wǎng)上的交易都沒有安全保

25、障。傳統(tǒng)的對稱密鑰算法具有加密強度高、運算速度快的優(yōu)點，但密鑰的傳遞與管理問題限制了它的應用。為解決此問題，20 世紀70 年代密碼界出現(xiàn)了公開密鑰算法，該算法使用一對密鑰即一個私鑰和一個公鑰，其對應關系是唯一的，公鑰對外公開，私鑰個人秘密保存。一般用公鑰來進行加密，用私鑰來進行簽名; 同時私鑰用來解密，公鑰用來驗證簽名。算法的加密強度主要取決于選定的密鑰長度。其中RSA ( Rivets Shamir Adelman) 算法是公開密鑰算法中研究最為深入，使用最為廣泛的算法，為大多數(shù)國家( 地區(qū)) 的官方或非官方所采用。整個認證系統(tǒng)是一個大的網(wǎng)絡環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA (

26、證書的登記機構，Register Authority) 和WP(證書的分頁系統(tǒng)，Web Publisher) 。2、SSL 協(xié)議。SSL 協(xié)議( Secure Socket Layer，安全套接層) 是由網(wǎng)景(Netscape) 公司推出的一種安全通信協(xié)議，該協(xié)議主要目的是解決TCP/IP 協(xié)議不能確認用戶身份的問題，在Socket 上使用非對稱的加密技術，以保證網(wǎng)絡通信服務的安全性。SSL 協(xié)議包括兩個子協(xié)議： SSL 記錄協(xié)議和SSL 握手協(xié)議。SSL 記錄協(xié)議是建立在可靠的傳輸協(xié)議( 例如： TCP) 上，用來封裝高層的協(xié)議。SSL 握手協(xié)議準許服務器端與客戶端在開始傳輸數(shù)據(jù)前，能夠通過

27、特定的加密算法相互鑒別。SSL 協(xié)議易于實現(xiàn)。它獨立于應用層協(xié)議，可以完成所需的安全交易操作，主要是使用公開密鑰體制和X.509 數(shù)字證書保護信息的機密性和完整性，但它不能保證信息的不可抵賴性。中國目前多家銀行均采用SSL 協(xié)議，從實際使用的情況來看，SSL 協(xié)議還是最值得信賴的協(xié)議。但是由于SSL 協(xié)議當初并不是為支持電子商務而設計的，所以在電子商務系統(tǒng)的應用中還存在很多弊端，在涉及多方的電子交易中，只能提供交易中客戶與服務器間的雙方認證，而電子商務往往是用戶、網(wǎng)站、銀行三家協(xié)作完成，SSL 協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關系。3、SET 協(xié)議。SET ( Secure Electro

28、nic Transaction) 安全電子交易協(xié)議是由美國Visa 和MasterCard 兩大信用卡組織提出的應用于Internet 上的以信用卡為基礎的電子支付系統(tǒng)協(xié)議。它采用公鑰密碼體制和X.509 數(shù)字證書標準，主要應用于B to C 模式中保障支付信息的安全性。SET 協(xié)議提供對消費者、商戶和銀行的認證，協(xié)議本身比較復雜，設計比較嚴格，安全性高，確保電子交易的機密性、數(shù)據(jù)完整性、身份的合法性和抗否認性，特別是保證了不會將持卡人的信用卡號泄露給商戶。其核心技術主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。SET 協(xié)議自誕生以來，通過大量的現(xiàn)場試驗和應用，取得了業(yè)界普遍的支

29、持，目前已經(jīng)呈現(xiàn)出良好的發(fā)展勢頭。盡管SET協(xié)議存在一些缺點，但是它體現(xiàn)出了進行電子交易最基本的原則，因此在不斷完善的過程中會逐步擴大其應用范圍。它的交易規(guī)范成為了未來電子商務發(fā)展的方向。（三）、其它安全技術防火墻技術： 防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng)，對內(nèi)部網(wǎng)的應用系統(tǒng)加以保護。目前的防火墻分為兩大類： 一類是簡單的包過濾技術，它是在網(wǎng)絡層對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設定的過濾邏輯，檢查數(shù)據(jù)流中每個數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP 端口和TCP 鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應用網(wǎng)管和代理服務器，可針對特別的網(wǎng)絡應用服務協(xié)議及數(shù)據(jù)過濾協(xié)議

30、，并且能夠?qū)?shù)據(jù)包分析并形成相關的報告。數(shù)字簽名： 數(shù)字簽名是公開密鑰加密技術的另一種應用，報文的發(fā)送方從報文文本中生成一個128 位的散列值，發(fā)送方用自己的私有密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名，通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。六、保障電子商務信息安全的環(huán)境性措施目前，基于Internet 的電子商務應用才初見端倪，許多內(nèi)外部環(huán)境還不夠完善，相應的法律、法規(guī)，相關的標準還都沒有建立，跨部門、跨地區(qū)的協(xié)調(diào)存在較大問題?；谏鲜龇治鼍椭袊娮由虅盏陌l(fā)展提幾點建設性意見。（一）、構造中國電子商務體系積極參與國際合作，融合國際電子商務框架，構造適合中國國情的電子商務體系

31、。作為一個主權國家，為了維護國家的利益和經(jīng)濟安全，在電子商務相關技術方面一定要注重自主知識產(chǎn)權技術的開發(fā)，不能全部依賴進口。因此，必須大力支持對電子商務技術的研究開發(fā)工作。（二）、加強法律法規(guī)建設政府部門應盡快組織力量，結合電子商務的客觀需要，對現(xiàn)有的與電子商務相關的法律法規(guī)，如：刑法、合同法、著作權法等進行修改。在這些法律中，可以適當增加對網(wǎng)絡犯罪處罰的條款，增加對網(wǎng)絡作品著作權保護的條款；對電子商務發(fā)展中亟需解決的有關問題，如：在電子支付、稅收管理、安全認證、網(wǎng)絡與信息安全、知識產(chǎn)權保護、消費者權益保護等可由相關主管部門先制定部門規(guī)章，必要時，由國務院發(fā)布行政法規(guī)，待條件成熟時，再按程序上

32、升為法律。（三）、加快網(wǎng)絡基礎設施建設，推動企業(yè)信息化進程信息基礎設施是電子商務發(fā)展的物質(zhì)基礎和載體。發(fā)展信息基礎設施需要政府和業(yè)界的共同努力，尤其是政府的大力投資和宏觀調(diào)控。七、電子商務信息安全應注意的幾個方面 （一）、提高網(wǎng)絡信息安全意識。以有效方式、途徑在全社會普及網(wǎng)絡安全知識，提高公民的網(wǎng)絡安全意識與自覺陡，學會維護網(wǎng)絡安全的基本技能。并在思想上螢把信息資源共享與信息安全防護有機統(tǒng)一起來，樹立維護信息安全就是保生存、促發(fā)展的觀念。 (二)、加強網(wǎng)絡安全管理。建立信息安全領導機構，有效統(tǒng)一、協(xié)調(diào)和研究未來趨勢，制定宏觀政策，實施重大決定。嚴格執(zhí)行中華人民共和國計算機信息系統(tǒng)安全保護條例與

33、計算機信息網(wǎng)絡安全保護管理辦法，明確責任、規(guī)范崗位職責、制定有效防范措施，并目嚴把用戶人網(wǎng)關、合理設置訪問權限等。 （三）加快網(wǎng)絡安全專業(yè)人才的培養(yǎng)。加大對有良好基礎的科研教育基地的支持和投入，加強與國外的經(jīng)驗技術交流，及時掌握國際上最先進的安全防范手段和技術措施，確保在較高層次上處于主動，加強對內(nèi)部人員的網(wǎng)絡安全培洲，防止堡壘從內(nèi)部攻破。使高素質(zhì)的人才在高水平的教研環(huán)境中迅速成長和提高。 （四）、開展網(wǎng)絡安全立法和執(zhí)法。吸取和借鑒國外網(wǎng)絡信息安全立法的先進經(jīng)驗，結合我國國情對現(xiàn)行法律體系進行修改與補充，使法律體系更加科學和完善；并建立有利于信息安全案件訴訟與公、檢、法機關辦案制度，提高執(zhí)法效

34、率和質(zhì)量。對違犯國家法律法規(guī)，對計算機信息存儲系統(tǒng)、應用程序或傳輸?shù)臄?shù)據(jù)進行刪除、修改、增加、干擾的行為依法懲處。 （五）、強化網(wǎng)絡技術創(chuàng)新。組織現(xiàn)有信息安全研究、應用的人才，創(chuàng)造優(yōu)良環(huán)境，創(chuàng)新思想、超越約束，利用國內(nèi)外資源，建立具有中國特色的信息安全體系。特別要重點研究關鍵芯片與內(nèi)核編程技術和安全基礎理論。 八、對國內(nèi)發(fā)展電子商務的幾點建議（一）、政府行為與市場行為相結合電子商務主要是商業(yè)銀行和商戶為了改善服務設施、提高服務質(zhì)量，增強同業(yè)競爭能力而提出的技術革新要求，它的發(fā)展應該主要根據(jù)市場需求，由市場驅(qū)動，按市場規(guī)律進行。政府部門（包括金融管制部門）一方面作為電子商務的用戶對電子商務有它自

35、身的需求，另一方面作為宏觀管理和決策部門，應該有更深層次的思考。筆者認為，政府部門至少應該注意兩個方面的問題：一是從發(fā)展我國信息產(chǎn)業(yè)和國民經(jīng)濟的高度制定政策和法律法規(guī)，為國內(nèi)從事電子商務的企業(yè)的發(fā)展和公平競爭創(chuàng)造條件，引導他們朝著正確的方向發(fā)展，為他們參與國際競爭掃除障礙；二是從有利于國家經(jīng)濟安全和長遠發(fā)展的角度出發(fā)，加強監(jiān)督管理，既要確保電子商務系統(tǒng)應用過程中各參與者的利益不受損害，又要有效地保護國家利益，保護公共安全。所以有關部門需要在電子商務方面多做一些引導、管理和協(xié)調(diào)等工作。國務院辦公廳關于加快電子商務發(fā)展的若干意見中不僅闡明了發(fā)展電子商務對我國國民經(jīng)濟和社會發(fā)展的重要作用，也提出了一

36、系列促進電子商務發(fā)展的基本原則和具體措施。意見指出，加快電子商務發(fā)展的基本原則第一條就是“政府推動與企業(yè)主導相結合”。政府應“完善管理體制，優(yōu)化政策環(huán)境，加強基礎設施建設，提高服務質(zhì)量，充分發(fā)揮企業(yè)在開展電子商務應用中的主體作用，建立政府與企業(yè)的良性互動機制，促進電子商務與電子政務的協(xié)調(diào)發(fā)展?！逼髽I(yè)是電子商務的主體，但沒有統(tǒng)一管理和引導，任由企業(yè)受市場利益的驅(qū)動，電子商務市場將很難健康地發(fā)展。目前虛假信息以及欺詐行為的出現(xiàn)都是市場的不良信號，政府主管部門作為監(jiān)管主體，更應擔負起相應的職責。就像意見所要求的，政府要建立有利于電子商務健康發(fā)展的管理體制，加強網(wǎng)絡環(huán)境下的市場監(jiān)管，規(guī)范在線交易行為，

37、保障信息安全，維護電子商務的正常秩序。電子商務應用是一個復雜的工程，需要各個方面的協(xié)同配合，能夠發(fā)揮出這一統(tǒng)一調(diào)配作用的只有政府主管部門，只有這樣才可以建立起一個健全的相互協(xié)調(diào)、緊密配合的組織保障體系和工作體制。正如意見中所指出的，政府應該“加強政策法規(guī)、信用服務、安全認證、標準規(guī)范、在線支付、現(xiàn)代物流等支撐體系建設，營造電子商務發(fā)展的良好環(huán)境”。 所以要管理好電子商務，政府部門帶頭應用很必要。這不僅可以提高政府部門的工作效率和服務質(zhì)量，還可以通過政府部門的帶頭示范作用，建立企業(yè)和消費者對電子商務的信心。由此可見，政府部門在電子商務的發(fā)展中發(fā)揮著規(guī)劃者、管理者和應用者的作用。為了營造良好的電子

38、商務市場氛圍，必須打破各級政府、部門對公共性信息資源的壟斷和封鎖，實現(xiàn)信息資源共享。要重視對商務信息資源的不斷開發(fā)、更新和維護。國家應鼓勵信息資源的市場化運作與商業(yè)化經(jīng)營，保護企業(yè)和消費者利益和個人隱私權。要加強行業(yè)協(xié)會的作用，發(fā)揮他們在規(guī)范市場、規(guī)范行業(yè)標準、規(guī)范行業(yè)行為、促進企業(yè)之間相互協(xié)作等方面的優(yōu)勢。為了有效解決目前信用不足的問題，并促進供應鏈和電子商務垂直市場等先進商務模式的發(fā)展。（二）、業(yè)務主管部門與技術主管部門相配合電子商務既是一個現(xiàn)代密碼和信息安全技術的應用系統(tǒng)，又涉及金融業(yè)務和商業(yè)管理，還有稅收管理等，與多個管理部門有關，其中包括中國人民銀行和國家商用密碼管理辦公室。要使電子

39、商務朝著正確的方向發(fā)展，需要有關部門的密切配合，既要明確分工，又要團結協(xié)作。有關部門需明確在建立技術部門和業(yè)務部門之間堅固的信任伙伴關系過程中所扮演的角色和擔負的職責。（三）、重視現(xiàn)代密碼與信息安全技術的應用在20世紀70年代中期以前，密碼技術主要局限于軍事、外交等重要政府部門秘密地研究和使用。美國公布的非機密數(shù)據(jù)加密標準（DES）開創(chuàng)了密碼技術在民間公開使用的先河。1976年公開鑰密碼思想的提出和1978年RSA公開鑰密碼體制的誕生，掀起了密碼技術的公開研究和應用的熱潮。正是公開鑰密碼技術和密碼技術的公開化研究使電子商務成為可能。因此，在研究電子商務發(fā)展戰(zhàn)略的時候，不可忽略其基礎技術密碼與信

40、息安全技術的應用和發(fā)展戰(zhàn)略的研究。由于信息安全涉及面很寬,它包括著技術,管理,制度,人員和法律的諸多方面.僅就技術而言,有防病毒,防電磁泄漏,物理安全防護,系統(tǒng)安全防護,密碼保護等.解決信息安全的基本策略是綜合治理.信息安全決不是單靠某一項措施或某一項技術所能奏效的. 密碼是實現(xiàn)一種變換,利用密碼變換保護信息秘密是密碼最原始,最基本的功能;然而,隨著信息和信息技術發(fā)展起來的現(xiàn)代密碼學,不僅用于解決信息的保密性,而且也用于解決信息的完整性,可用性,可控性和不可抵賴性.可以說,密碼是保護信息安全的最有效的手段,也是保護信息安全的關鍵技術. 密碼作為運用于軍事和政治斗爭的一種技術,歷史悠久.過去密碼

41、的研制,生產(chǎn),使用和管理都是在封閉的環(huán)境下進行的.七十年代以來,隨著計算機,通信和信息技術的發(fā)展,密碼領域發(fā)生了新的變化,這個變化是:密碼應用范圍日益擴大,社會對密碼的需求更加迫切,密碼研究領域不斷拓寬,密碼科研也從專用機構走向社會和民間,密碼技術得到了空前發(fā)展. 當前,密碼學不僅在保護黨政領導機關的秘密信息中具有重要的,不可代替的作用,同時,在保護經(jīng)濟,金融,貿(mào)易等系統(tǒng)的信息安全,以及在保護商業(yè)領域如網(wǎng)上購物,數(shù)字銀行,收費電視,電子錢包的正常運行中也具有重要的應用.有人以人體來比喻,芯片是細胞,計算機是大腦,網(wǎng)絡是神經(jīng)系統(tǒng),智能是營養(yǎng),信息是血液,信息安全是免疫系統(tǒng).也有人把密碼技術看作信

42、息高速公路的保護神.隨著信息和信息技術的發(fā)展,電子數(shù)據(jù)交換逐步成為人們 交換的主要形式,密碼在信息安全中的應用將會不斷拓寬,信息安全對密碼的依賴會越來越大.在開展電子商務時，現(xiàn)代密碼和信息安全技術在金融領域的應用尤其重要。保障電子商務安全的核心是證書中心，它是對非對稱密碼體制應用系統(tǒng)用戶公鑰進行分發(fā)、認證和管理的一個系統(tǒng)。然而，它是基于非對稱密碼體制應用的，沒有非對稱密碼體制的應用，就沒有CA可言。在基于非對稱密碼體制的應用系統(tǒng)中，CA是保證安全性不可缺少的一部分。因此，有關部門在積極建設CA的同時，應該鼓勵和重視公開鑰密碼技術的應用。此外，在金融領域，隨著電子化步伐的加快，信息安全技術與金融

43、風險控制和防范的關系也越來越密切。隨著信息化社會的發(fā)展，信息在社會中的地位和作用越來越重要，每個人的生活都與信息的產(chǎn)生、存儲、處理和傳遞密切相關，信息的安全與保密問題成了人人都關心的事情。商業(yè)和金融領域也由于Internet特別是e-Business的發(fā)展而更加關注信息安全問題。電子商務系統(tǒng)一方面是一個現(xiàn)代密碼與信息安全技術的應用系統(tǒng)，另一方面它將起到商業(yè)銀行分支機構的部分作用，增加金融監(jiān)管的難度。由于信息安全戰(zhàn)略地位重要,各國都給以極大的關注與投入.我國信息安全研究起步晚,投入不足,研究力量分散,總體來說與發(fā)達國家存在著較大差距.特別是,安全體系結構和安全協(xié)議的研究,是我們的薄弱環(huán)節(jié).今天,

44、面對激烈的網(wǎng)絡信息的抗爭和沖突,面對日益增強的計算能力和人類智慧,信息安全和密碼技術面臨著空前的挑戰(zhàn)和機遇.要么在數(shù)字化中生存,要么在數(shù)字化中衰亡,這是我們面臨的抉擇.我們必須吸取國外信息安全的先進技術和經(jīng)驗,但更重要的是要努力創(chuàng)新,獨立自主地發(fā)展我國的信息安全技術.我們要在國家強力度的支持下,凝聚國內(nèi)信息安全相關學科的優(yōu)勢單位和優(yōu)秀人才,加強對信息安全體系,信息安全發(fā)展戰(zhàn) 略,安全操作系統(tǒng)和安全芯片,密碼理論和應用技術,網(wǎng)絡信息安全平臺,信息安全檢測和監(jiān)控技術,以及病毒防治等的研究,為我國的信息安全建起可靠屏障. 因此對電子商務可能引入的金融風險的防范，信息安全技術的應用與業(yè)務管理工作具有同

45、等重要的地位。（四）、正確處理國內(nèi)外信息安全產(chǎn)品的關系由于我國信息產(chǎn)業(yè)的發(fā)展整體上落后于美國、日本等發(fā)達國家，要發(fā)展電子商務，國際合作是不可避免的。但由于電子商務的核心技術是信息安全技術，國內(nèi)、外對信息安全技術和密碼產(chǎn)品都有不同程度的進出口限制，因此從國家經(jīng)濟安全的角度出發(fā)，正確處理國內(nèi)、外信息安全產(chǎn)品的關系是非常重要的。目前，國內(nèi)正在建設的與電子商務有關或類似的系統(tǒng)多數(shù)基于國外的操作系統(tǒng)、瀏覽器和Web服務器。國外的這些系統(tǒng)中都采取了一些信息安全措施。然而，由于國外對信息安全產(chǎn)品的出口施加嚴格的限制，我們能夠進口的信息產(chǎn)品中所使用的密碼算法和密碼協(xié)議強度都比較低。一方面，不使用國外的信息產(chǎn)品

46、是不現(xiàn)實的；另一方面，將系統(tǒng)安全性完全依賴于國外產(chǎn)品已提供的信息安全機制也是不可取的。筆者認為，有兩種途徑解決這一矛盾：一是將有關國外系統(tǒng)軟件中的安全模塊替換成國內(nèi)自主開發(fā)的模塊；二是在應用層或者通信線路上增加使用國內(nèi)自主開發(fā)的信息安全產(chǎn)品以加強系統(tǒng)的安全保護措施。（五）、加快標準與規(guī)范以及相關法律法規(guī)的制定我國電子商務發(fā)展還處于起步階段，整體應用水平比較低，交易環(huán)境有待改善，社會公眾對電子商務的認知度和認可度有待提高，電子商務信息披露、資金支付和商品交付等行為還有待規(guī)范。因此，促進電子商務規(guī)范發(fā)展，引導交易參與方規(guī)范各類市場行為，是防范市場風險、化解交易矛盾、促進電子商務健康發(fā)展的客觀需要，

47、也是貫徹落實科學發(fā)展觀、構建社會主義和諧社會的必然要求。電子商務的實施不僅對與商業(yè)、金融、稅收及合同等相關的法律、法規(guī)注上了問號，也在技術與業(yè)務兩個方面對標準和規(guī)范提出了要求。信息安全技術和金融業(yè)務方面的問題尤為突出。目前，在金融領域使用的信息安全產(chǎn)品方面，由于缺乏公共的標準和規(guī)范的指導，國內(nèi)不同廠家開發(fā)出的同類信息安全產(chǎn)品互不兼容或者只在與國外標準一致的部分兼容，不僅給用戶帶來了一些不便，同時也使增加的一些信息安全措施形同虛設。而且從國際上看，許多國家和地區(qū)都把推進電子商務作為增強國家競爭力、贏得全球資源配置優(yōu)勢的戰(zhàn)略舉措，并相繼制定了一系列法律法規(guī)，通過法律制度來保障和促進電子商務的發(fā)展。據(jù)了解，聯(lián)合國國際貿(mào)易法委員會2001年3月通過電子簽字示范