电子商务中的安全问题分析

电子商务中的安全问题分析

摘 要

电子商务是现代信息技术和传统商务活动相结合的产物。它已经逐渐成为人们进行商务活动的新模式，越来越多的人们通过Internet进行商务活动,而安全问题也变得越来越突出。本文通过对电子商务面临的各种安全问题进行分析，提出了解决电子商务安全问题的安全技术策略及法律策略。电子商务改变了传统商务的运作模式，在极大提高商务效率、降低交易成本的同时，也碰到了严重的挑战。

一言以蔽之，电子商务面对的是交易信用和安全度全面降低的困局，“信用与安全”问题是电子商务大发展的严重瓶颈。对于电子商务中的安全问题，IT行业最初侧重于从提升网络运行品质、确保网络安全着手，更多关注的是怎样防范病毒和黑客的攻击。在对我国电子商务的总体发展情况与安全现状进行分析后，本文将重点对我国电子商务的安全技术发展以及如何利用现有的安全技术进行安全防范进行研究。

关键词 电子商务/网络安全/密码技术/

电子商务中的安全问题分析毕业

1 电子商务安全概述

电子商务的载体是互联网，但互联网的共享性、开放性和匿名性却给电子商务安全问题带来了极大的隐患，使得电子商务受到威胁、攻击的可能性大大增加。

由于大量网络安全方面问题的出现，特别是电子商务逐步在世界范围内得到大力开展的时期，人们对电子商务的安全信心不足也逐渐表现出来。电子商务的基本特征就是利用信息技术来传送和处理商业交易信息，因此，电子商务的安全从大体上可分为两大部分，即计算机网络信息系统的安全和电子商务交易信息系统的安全。

1．计算机网络系统安全

从技术角度看，计算机信息系统安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。我们首先介绍以下几个概念。

计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，并按一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。其中 “安全”一词是指将服务与资源的脆弱性降到最低限度。脆弱性是指计算机网络系统的任何弱点(weakness)。

在美国国家信息基础设施（NI Infrastructure）的文献中，给出了安全的五个属性：可用性、可靠性、完整性、保密性和不可抵赖性。

系统安全涉及物理安全（实体安全）、运行安全和信息安全三个方面。

（1）物理安全（Physical Security）

1

电子商务中的安全问题分析毕业

保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。特别是避免由于电磁泄漏产生信息泄露，从而干扰他人或受他人干扰。物理安全包括环境安全、设备安全和媒体安全三个方面。

（2）运行安全（Operation Security）

为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。运行安全包括风险分析、审计跟踪、备份与恢复、应急四个方面。

（3）信息安全（Information Security）

防止信息财产被敌意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即确保信息的完整性、保密性、可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别七个方面。

我国公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作。

2．电子商务交易系统安全

在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，甚至彼此远隔千山万水，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方（销售者和购买者）都面临着安全威胁。

（1）卖方（销售者）面临的安全威胁：

2

电子商务中的安全问题分析毕业

1）系统中心安全性被破坏：入侵者假冒成合法用户来改变用户数据、解除用户订单或生成虚假订单；

2）竞争者的威胁：恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况；

3）商业机密的安全：客户资料被竞争者获悉；

4）假冒的威胁：不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者、虚假订单、获取他人的机密数据；

5）信用的威胁：买方提交订单后不付款。

（2）买方（消费者）面临的安全威胁：

1）虚假订单：一个假冒者可能会打着客户的名字来订购商品，并有可能收到货，而此时此刻真正的客户却被要求付款或返还商品；

2）付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门，因而使客户收不到商品；

3）机密性丧失：客户有可能将秘密的个人数据或自己的身份数据发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃取；

4）拒绝服务：攻击者可能向销售商的服务器发送大量的虚假订单来挤占它的资源，从而使合法用户得不到正常的服务。

实际上，在电子商务中计算机网络安全与商务交易安全是不可分开的，两者相辅相成，缺一不可。如果没有计算机网络安全作为基础，商务交易安全就如空中楼台，没有基础。而没有商务交易安全的保障，即使计算机网络本身很安全，也是无法满足电子商务特定的安全需求，因此，安全方面的问题如果得不到保障，那么任何电子商务活动的开展都将是没有保证的。

3．电子商务的安全与传统商务安全的区别

3

电子商务中的安全问题分析毕业

（1）信息方面

电子商务交易活动中信息风险，主要表现为以下几方面：

1）冒名偷窃：非法攻击者为了获取重要的商业机密、资源和信息而假冒系统的合法用户，盗取想要的资源。常常采用源IP地址欺骗攻击，入侵者通过IP地址的伪装使得某台主机能够伪装成为另一台主机，而这台主机具有某种特权或者被另外的主机所信任。

2）篡改数据：入侵者未经授权进入网络交易系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据完整性，损害他人的经济利益，或干扰对方的正确决策，造成网上交易的信息传输风险。

3）信息丢失：由于线路问题、安全措施不当或者在不同的操作平台上转换操作不当等原因，可能会使信息在信息传输过程中出现丢失情况。

4）虚假信息：从买卖双方的角度看，网上交易中的信息传输风险还可能来源于用户以合法身份进入系统后，买卖双方都可能在网上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。现在还没有很好的解决信息鉴别的办法。

5）信息传递过程中的破坏：信息在网络上传递时，要经过多个环节和渠道。由于计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄漏，威胁电子商务交易的安全。各种外界的物理性干扰，如通信线路质量较差、地理位置复杂、自然灾害等，都有可能影响到数据的真实性和完整性。

（2）信用方面

电子商务交易时的信用风险主要来自以下几方面：

l）来自买方的信用风险：对于个人消费者来说，可能存在在网络上使用信用卡进行支付时的恶意透支，或者使用伪造的信用卡骗取卖方的货物；对于集体购买者来说，存在拖延货款的可能，卖方需要为此承担风险。

4

电子商务中的安全问题分析毕业

2）来自卖方的信用风险：卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方风险。

3）买卖双方都存在抵赖的可能。

（3）管理方面

传统的商务交易活动经过多年发展，交易时已有比较完善的控制机制，而且管理比较规范。而电子商务交易活动只经历了很短时间，存在许多漏洞，这就使得从事电子商务活动具有较传统商务活动更大的管理风险。这主要表现在以下几个方面：

l）交易流程管理风险：在网络商品交易的过程中，客户进入交易中心，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。在这些环节上，电子商务都存在着大量的管理问题，如果管理不善，势必造成巨大的潜在风险。

2）人员管理风险：人员管理常常是在线交易安全管理上的最薄弱的环节，近年来我国计算机犯罪大都呈现内部犯罪的趋势，其原因主要是因工作人员职业道德修养不高，安全教育和管理松懈所致。一些竞争对手还利用企业招募新人的方式潜入该企业，或利用不正当的方式收买企业网络交易管理人员，窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。

3）交易技术管理风险：网络交易技术管理的漏洞也带来较大的交易风险。有些操作系统中的某些用户是无口令的，如匿名FTP，利用远程登录命令登录这些无口令用户，允许被信任用户不需要口令就可以进入系统，然后把自己升级为超级用户。

（4）法律方面

与传统商务活动相比，电子商务的技术设计是先进的、超前的，具有强大的生命力。但正是由于它的超前性使得在目前的法律上还找不到完整的条文来保护网络交易中的交易方式，所以，开展电子商务活动可能会出现传统商务活动中几乎不会出现的由于法律滞后而带来的风险。这主要表现在以下几个方面：

5

电子商务中的安全问题分析毕业

1）无法保证合法交易的风险：由于法律滞后而无法保证合法交易的权益所造成的风险，如通过网络达成交易合同，可能因为法律条文还没有承认数字化合同的法律效力而面临失去法律保护的危险。

2）法律的事后完善所带来的风险：由于法律滞后可能承担因法律的事后完善所带来的风险，即在原来法律条文没有明确规定下而进行的网上交易，在后来颁布新的法律条文下属于违法经营所造成的损失，如一些电子商务公司在开通网上证券交易服务一段时间后，国家颁布新的法律条文规定只有证券公司才可以从事证券交易服务，从而剥夺了电子商务服务公司提供网上证券交易服务的资格，给这些电子中间商经营造成巨大损失。

1.1电子商务安全内涵

电子商务，Electronic Commerce，通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。“中国网络营销网” Tinlu相关文章指出，电子商务涵盖的范围很广，一般可分为企业对企业(Business-to-Business)，或企业对消费者

(Business-to-Consumer)两种。另外还有消费者对消费者（Consumer-to-Consumer)这种大步增长的模式。随着国内Internet使用人口之增加，利用Internet进行网络购物并以银行卡付款的消费方式已渐流行，市场份额也在快速增长，电子商务网站也层出不穷。电子商务最常见之安全机制有SSL及SET两种。

电子商务的定义：

首先将电子商务划分为广义和狭义的电子商务。广义的电子商务定义为，使用各种电子工具从事商务或活动。这些工具包括从初级的电报、电话、广播、电视、传真到计算机、计算机网络，到NII（国家信息基础结构－信息高速公路）、GII（全球信息基础结构）和Internet等现代系统。而商务活动是从泛商品（实物与非实物，商品与非商品化的生产要素等等）的需求活动到泛商品的合理、合法的消费除去典型的生产过程后的所有活动。狭义电子商务定义为，主要利用Internet从事

6

电子商务中的安全问题分析毕业

商务或活动。电子商务是在技术、经济高度发达的现代社会里，掌握信息技术和商务规则的人，系统化地运用电子工具，高效率、低成本地从事以商品交换为中心的各种活动的总称。这个分析突出了电子商务的前提、中心、重点、目的和标准，指出它应达到的水平和效果，它是对电子商务更严格和体现时代要求的定义，它从系统的观点出发，强调人在系统中的中心地位，将环境与人、人与工具、人与劳动对象有机地联系起来，用系统的目标、系统的组成来定义电子商务，从而使它具有生产力的性质。

电子商务的安全主要是指用户方和提供产品服务方的安全,即双方信息都要保密,用户账号不能被第三方获知,提供产品或服务方的订货和付款信息等商业秘密也不能为竞争对手所知,并且商务活动一旦达成,相关信息未经双方协定,不可更改、不能否认。

1.2电子商务的安全需求

电子商务主要依托运作的环境是当前的国际互联网和未来的国际信息基础设施。网络是从事电子商务机构安身立命的工作环境，其安全需求也表现在以下几个方面：

(1)网站的安全维护。 (2)电子商务中安全支付。 (3)商业秘密的安全保护。 (4)电子商务中知识产权的保护。

2．电子商务中存在的安全问题

2.1网络系统安全问题

电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准，所以构成

7

电子商务中的安全问题分析毕业

电子商务安全框架的底层是网络服务层，它提供信息传送的载体和用户接入的手段，是各种电子商务应用系统的基础，为电子商务系统提供了基本、灵活的网络服务。 电子商务网络系统安全问题包括以下几个方面: (1)网络部件的不安全因素。 (2)软件不安全因素。 (3)工作人员的不安全因素。 (4)自然环境因素。

2.2电子支付系统安全问题

众所周知，基于Internet平台的电子商务支付系统由于涉及到客户、商家、银行及认证部门等多方机构，以及它们之间可能的资金划拨，所以客户和商家在进行网上交易时必须充分考虑其系统的安全。目前网上支付中面临的主要安全问题有以下几方面:

(1)支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用。 (2)支付金额被更改。

(3)不能有效验证收款人的身份。

2.3认证系统安全问题

中国政府2002年颁布的《国民经济和社会发展第十个五年计划信息化重点专项规划》中指出:加快电子认证体系、现代支付系统和信用制度建设，大力支持发展电子商务。要加快发展电子商务，使电子商务在金融、外贸、税收、海关、农业等领域大力推广应用，其关键之一，即涉及到电子商务的安全认证问题。

1.信息泄漏

在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。如信用卡的账号和用户名被人

8

电子商务中的安全问题分析毕业

获悉，就可能被盗用。

2.篡改

在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。假如两公司签订了一份由一公司向另一公司供应原料的合同，若赶上原料价格上涨，供货方公司篡改价格将使自己大幅受益，而采购公司将蒙受损失。

3.身份识别

在网络交易中如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。

4.蓄意否认事实

由于商情的千变万化，商务合同一旦签订就不能被否认，否则必然会损害一方的利益。因此，电子商务就提出了相应的安全控制要求。

(1)电子商务中面临的法律安全问题。随着国际信息化、网络化进化的不断发展，在电子商务领域利用计算机网络进行犯罪的案件与日俱增，其犯罪的花样和手段不断翻新。

(2)电子合同中的法律问题。电子商务合同的订立是在不同地点的计算机系统之间完成的。许多国家的法律要求必须有书面形式的交易单证作为证明交易有效和作为交易的证据；否则，这种合同属于无效合同。关于电子合同能否视为书面合同，并取得与书面文件同等的效力，是各国法律尚未解决的问题，与传统书面文件相比，电子文件有一定的不稳定性，一些来自外界的对计算机网络的干扰，都可能造成信息的丢失、损坏、更改。

(3)银行电子化服务的法律问题。银行是电子支付和结算的最终执行者，起着联结买卖双方的纽带作用，但对一些从事电子货币业务的银行来说，犯罪分子伪造电子货币，给银行带来了直接经济损失。

(4)电子资金转账的法律问题。电子资金转账的法律是个特殊问题，但是我国现行的《票据法》并不承认经过数字签名认证的非纸质的电子票据支付和结算方式。并且支付不可撤消，付款人或第三人不能要求撤消已经完成的电子资金转账。

(5)电子商务中的知识产权保护问题。电子商务活动中交易的客体及交易的行为经常涉及传统的知识产权领域。

9

电子商务中的安全问题分析毕业

(6)电子商务中的消费者权益保护问题。电子商务等新的交易方式给消费者权益保护带来各种新的维权问题。随着科技进步，新产品的大量出现，消费知识滞后的矛盾也更加突出。

3．电子商务安全问题的安全策略

3.1电子商务系统的安全技术

在电子商务活动中存在着种种安全问题,但我们可以利用安全技术来为电子商务安全提供服务,从而提供更全面的安全策略和防范。

(1)网络安全技术。网络安全技术所涉及到的方面比较广,如操作系统安全、防火墙技术、虚拟专用网VPN技术和漏洞检测技术等。

(2)加密技术。数据加密技术，就是对信息进行重新编码，从而达到隐藏信息内容，使得非法用户无法获取信息真实内容的一种技术手段。加密技术是保证电子商务安全的重要手段，许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用密钥(Secret Keys)来对敏感信息进行加密，然后把加密好的数据发送给接收者，接收者可利用同样的算法和事先商定好的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性,其过程如图所示。

(3)认证技术。认证技术是电子商务安全的主要实现技术。主要利用RSA算法建立的一个为用户的公开密钥提供担保的可信的第三方认证系统，称之为CA。认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求,较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。认证技术主要涉及身份认证和报文认证两个方面的内容。身份认证用于鉴别用户的身份。它一般又涉及到两个方面的内容:一个是识别;一个是验证。

(4)安全电子交易协议。目前有两种安全在线支付协议被广泛采用，能为电子商务提供有力的安全保障。

SSL安全套接层协议是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两种加密方法。SET安全电子交易是由MasterCard和Visa以及其他一些业界主流厂商联合推出的一种规范，用来保证在公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验。

10

电子商务中的安全问题分析毕业

3.2核心安全技术

目前，电子商务系统中使用的核心安全技术包括加密、电子签名、电子信封、电子证书、 防火墙等。

H1.加密。加密技术是最基本的安全技术，其主要功能是提供机密性服务，但在实现其他安全服务时也 会使用加密技术。加密技术包括私钥加密和公钥加密。

1. 私钥加密。又称对称密钥加密，即收发信双方同用一个密钥去加密和解密数据。民间常 用的私钥加密算法包括DES和IDEA等。

2. 公钥加密。又称为非对称密钥加密，需要使用一对密钥，一个公开，一个由收信者保存 ， 发信人用公开密钥去加密，而收信人则用私用密钥去解密。民间常用的公钥密码算法有RSA 和EIGamal等。

H2.电子数据签名。日常生活中时常会有报文与签名同时发送以作为日后查证的保证。在因特网环境中，这可以 用电子数字签名作为模拟。电子签名保持了常规手写签名的本质特点，但在形式上可以完全 不同。

H3.电子信封。为解决每次传送更换密钥的问题，结合对称加密技术和公开密钥加密技术的优点，提出电子 信封的概念：发送者自动生成对称密钥，用它加密原文，将生成的密文连同密钥本身一起再 用公开密钥手段传送出去。收信者在解密以后同时得到对称密钥和用它加密的密文。这样保 证每次传送都可由发送方选定不同密钥进行。

H4.电子证书。在因特网上设立一个认证机构(CA)，它核实了用户的A真实身份以后，签名一份报文给A，其 中含有A的名字和A的公开密钥。该报文称为“电子证书”。以后A发出的任何报文中都带有 这份电子证书，以便收信方核实。同样，CA也可以给商户、银行等任何参与网上购物的个人 或集团发电子证书。

H5.防火墙技术。网络防火墙技术是一种用来加

强网络之间访问控制，防止外部网络用户以非法手段通过外部 网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备

4．电子商务安全中的法律法规策略

11

电子商务中的安全问题分析毕业

目前，电子商务法律也在逐步完善，为了电子签名能证实电子文件的合法性国家颁布了《电子签名法》。在危害计算机信息系统有害数据的防治方面的法规有《计算机病毒防治管理办法》、《计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《计算机病毒防治产品评级准则》。与电子商务安全方面有关的法规还有：《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等。（文/张丹 编选：中国电子商务研究中心）

随着社会信息化步伐的加快，利用计算机技术、网络通信技术和英特网实现商务活动的 国际 化、信息化和无纸化，已成为全球商务发展的趋势。电子商务以英特网为基础，可以提供 跨 国、多种语言、多种货币的在线服务(包括银行、保险、旅游、购物)，还可以提供包括产品 寻求、讨价还价、作出决定、支付、送货及解决纠纷等全面的商业交易服务。特别是信息 产品还可以直接在线递送，从而大大降低了交易费用。成本低、及时性和互通性好，以及在 拓展市场等方面的优势，使得电子商务受到全球的广泛关注。据统计，1997年美国企业间通 过电子商务的交易额已达80亿美元，估计到2000年在英特网上，公司对公司的交易额将增长 到1340亿美元，消费者购物将增长到100亿美元，到2001年电子商务的交易额将达到3270亿 美元，其增长速度惊人地高达4000%。在我国，电子商务的发展速度也较快，深圳CHINAEDI是统 一规划和建设的庞大的公用电子商务系统，在北京、上海、天津、广州、深圳、青岛、沈阳 、南京、杭州、西安、武汉、海口、郑州13个城市也都建了CHINAEDI的节点，系统服务覆 盖全国各地，并且与国际EDI网络相连接。网上银行也正在开通之中。电子商务不仅提供了 进行商务活动的新方式，而且从更深的层面来看，由于通过它形成了与地域、空间无关的 一体化市场，因而正在改变着全球的经济环境。但是，当今电子商务在全球贸易额中仍是极小的一部分。比如，1997年美国的整个贸易交易 额 为25200亿美元，所以80亿美元的电子商务显得微不足道，即使是2001年的电子商务估计贸 易额3270亿美元也不到1997年美国两个月的贸易交易额。这是什么原因呢?也许人们会将这 一事 实归因于全球网络化水平较低，但这只是部分原因。从网络化水平相当高的美国来看，事实 上仍有大多数网络化水平很高的公司并未使用电子商务这种新的商业方式。

人们不禁要问，是什么因素阻碍了电子商务更广泛的普及呢?为此，不少调查机构进行了广 泛的调查。众多的调查都发现，一个主要的障碍就是电子商务的安全问题。美国密执安大学 一个调查机构通过对23000名因特网用户的调查显示，超过60%的人由于担心电子商务的安全 问

12

电子商务中的安全问题分析毕业

题而不愿进行网上购物。的确，由于英特网的全球性、开放性、无缝连通性、共享性、动 态性发展，使得任何人都可以自由地接入英特网，特别是“黑客”们可能会采用各种攻击手 段进行破坏等犯罪活动。此外，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面 的考验。另外，“黑客”的犯罪行为大都具有瞬时性、广域性、专业性、时空分离性等特点 。通常“黑客”很难留下犯罪证据，这大大刺激了“黑客”们以身试法。可见，以英特网为 基础的电子商务所带来的安全问题远比传统商务的安全问题复杂得多。因此，我国在建立电 子商务应用系统时，必须将安全作为一个重要方面来加以考虑。

5．电子商务安全体系结构

电子商务体系结构可以分为网络基础平台、安全结构、支付体系和业务系统四个层次。 网络基础平台

1.电子商务的网络基础平台

电子商务以因特网为主要载体。网络带宽、网络的可靠性、稳定性成为影响电子商务系统整体性能的重要因素。 2.安全结构

电子商务活动需要一个安全的环境,以保证在线交易等数据在网络中传输的安全性和完整性,实现交易双方的身份认证,防止交易中抵赖的发生。电子安全结构建立在网络基础平台之上。 3.电子商务业务系统和支付体系

电子商务业务系统分为支付型业务和非支付型业务。支付型业务需要支付体系层完成。支付体系在安全结构之上,为支付型电子商务业务提供各种支付手段;非支付型业务直接在安全结构之上,使用安全基础层提供的各种认证手段和安全技术提供电子商务服务。

电子商务系统包括业务应用系统。例如,网上购物、证券交易、在线谈判、电信交费、电子银行等。 用户及终端系统。例如,电话终端、计算机终端、智能终端。用户使用电子支付系统,需要在计算机终端上安装电子支付软件,例如,电子钱包软件。

4、支付网关系统。它处于因特网与银行网络之间,主要完成通信、协议转换和数据加密解密功能和保护银行内部的网络。支付网关系统的使用可以过滤因特网发过来的数据包,防止黑客的攻击和不相关信息的流入。

13

电子商务中的安全问题分析毕业

1．B2B 指的是Business to Business.

As in businesses doing business with other businesses,商家(泛指企业)对商家的电子商务，即企业与企业之间通过互联网进行产品、服务及信息的交换。通俗的说法是指进行电子商务交易的供需双方都是商家(或企业、公司)，她（他）们使用了Internet的技术或各种商务网络平台，完成商务交易的过程。这些过程包括：发布供求信息，订货及确认订货，支付过程及票据的签发、传送和接收，确定配送方案并监控配送过程等。有时写作B to B，但为了简便干脆用其谐音B2B(2即two)。 B2B的典型是阿里巴巴、中国制造网、敦煌网、慧聪网等

２．B2C即Business to Customer

B2C模式是我国最早产生的电子商务模式，以8848网上商城正式运营为标志。B2C即企业通过互联网为消费者提供一个新型的购物环境——网上商店，消费者通过网络在网上购物、在网上支付。由于这种模式节省了客户和企业的时间和空间，大大提高了交易效率，特别对于工作忙碌的上班族，这种模式可以为其节省宝贵的时间。

３．C2C即Consumer To Consumer。

C2C同B2B、B2C一样，都是电子商务的几种模式之一。不同的是C2C是用户对用户的模式，C2C商务平台就是通过为买卖双方提供一个在线交易平台，使卖方可以主动提供商品上网拍卖，而买方可以自行选择商品进行竞价。 C2C的典型是百度C2C、淘宝网等。

４．B2G即Business To Government

B2G模式即企业与政府之间通过网络所进行的交易活动的运作模式，比如电子通关，电子报税等。B2G比较典型的例子是网上采购，即政府机构在网上进行产品，服务的招标和采购。这种运作模式的来源是投标费用的降低。这是因为供货商可以直接从网上下载招标书，并以电子数据的形式发回投标书。同时，供货商可以得到更多的甚至是世界范围内的投标机会。由于通过网络进行投标，即使是规模较小的公司也能获得投标的机会

由于英特网在物理上覆盖全球、在信息内容上无所不包、其用户群结构复杂，因此几乎不可能对其进行集中统一管理、控制通信路由选择、追踪和监控通信过程、控制和封闭信息流通、 保证通信的可靠性和敏感信息的安全、提供源和目标的认证、实施法律意义上的公证和仲裁 等。

14

电子商务中的安全问题分析毕业

面对如此严峻的现实，必须花大力气对安全问题进行认真研究，除了加强制度、法规等管 理措施外，还要强化信息系统的安全能力。

当前的主流思路是从内联网出发来考虑以英特网为基础的电子商务安全问题。内联网将英特 网技术用于单位、部门和企业专用网，它在原有专用网的基础上增加了服务器和服务器软件 ，Web内容制作工具和浏览器，并与英特网联通。内联网为公司和单位信息的传播和利用提 供了极为便利的条件。内联网中存有大量的内部敏感信息，具有极高的商业、政治和军事价值。内联网是一种半封闭的集中式可控网。既要保证内联网不被非法入侵和破坏，网中的敏感信息不被非法窃取和窜改，同时还要保证网内用户和网外用户之间正常联通，并提供应有的服务。要保证英特网基础上建立的电子商务安全性，最根本的是要发展各商家、各部门的 内联网并保证它们的安全性。

由于电子商务系统把服务商、客户和银行三方通过英特网连接起来，并实现具体的业务操作 ，因此电子商务安全系统可由三个安全代理服务器及CA认证系统构成，它们遵循相同的协议 ，协调工作，来实现整个电子商务交易数据的完整性、保密性、不可否认性等安全功能。银行方主要包括银行端安全代理、数据库管理系统、审计信息管理系统业务系统等几部分组 成。它与服务商或客户进行通信，实现对服务商或者客户的身份认证机制，认证客户和服务 商的身份及账号的合法性，保证业务的安全进行。

服务商方主要包括服务商端安全代理、数据库管理系统、审计信息管理系统、Web服务器系 统等几部分组成。在进行电子商务活动时，服务商的服务器与客户和银行进行双方通信。在客户方，电子商务的用户通过自己的计算机与英特网相连，在客户计算机中，除了WWW浏览器软件外，还装有电子商务系统的客户安全代理软件。客户端安全代理的主要任务是负责对客户敏感信息(如交易信息等)进行加密、解密和数字签名，以密文的形式与服务商或银行 进行通信，并通过CA和服务器端安全代理或银行端安全代理一起实现用户身份认证机。CA认证系统是为用户签发证书的机构。CA服务器由5个部分组成：用户注册机构、证书管理 机构、存放有效证书和作废证书的数据库、密钥恢复中心及CA自身密钥和证书管理中心。

电子商务系统的安全体系结构主要包括：

H1.支持服务层。包括密码服务、通信、归档、用户接口和访问控制等模块，它 提供了实现安全服务的安全通信服务。

H2.传输层。传输层发送、接收、组织商业活动所需的封装数据条，实现客户和服务器之间

15

电子商务中的安全问题分析毕业

根据规定的安 全角色来传递信息。数据条的基本类型为：签名文本、证书、收据、已签名的陈述、信息、 数字化的商品、访问某种服务所需的信息、获得物理商品所需的信息、电子钱。传输层包括 付款模块、文档服务模块和证书服务模块。

H3.交换层。交换层提供封装数据的公平交换服务。所谓公平是指，A和B同意进行交换，则A收到B的封装 数据条的充要条件是B收到A的封装数据条。

H4.商务层。商务层提供了商业方案，如“邮购零售”、“在线销售信息”等。

6．电子商务安全还需要解决的问题

安全电子商务在如下几个方面还没有满意的结果：

1．没有一种电子商务安全的完整解决方案和完整模型与体系结构。

2．尽管一些系统正逐渐成为标准，但仅有很少几个标准的API。从开放市场的角度来看，协 议间的通用API和网关是绝对需要的。

3．大多数电子商务系统都是封闭式的，即它们使用独有的技术，仅支持一些特定的协议和 机制。它们常常需要一个中央服务器来作为所有参与者的可信第三方。有时它们还要求使用 特定的服务器或浏览器。

4．尽管大多数方案都使用了公钥密码，但多方安全受到的关注远远不够。没有建立一种解 决争议的决策程序。

5．客户的匿名性和隐私尚未得到充分的考虑。

6．大多数系统都将销售商的服务器和消费者的浏览器间的关系假设为主从关系，这种非对 称关系限制了在这些系统中执行复杂的协议，而且不允许用户间进行直接交易。 7．大多数系统都限制为两方，因此难于集成一个安全连接到第三方。

8．所有方案和产品都仅考虑了在线销售，但很少考虑多方交易问题(如拍卖)和公文交换问 题(如签合同，可证实电子邮件)。

在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，应该还具备以下特点：强大的加密保证；使用者和数据的识别和鉴别；存储和加密数据的保密；连网交易和支付的可靠；方便的密钥管理；数据的完整、防止抵赖。电子商务对计算机网

16

电子商务中的安全问题分析毕业

络安全与商务安全的双重要求，使电子商务安全的复杂程度比大多数计算机网络更高，因此电子商务安全应作为安全工程，而不是解决方案来实施。

为了国家的安全，电子商务系统中所涉及到的一些关键技术特别是安全理论和技术只能依 靠开放，不能靠引进。由此可见，在我国研究电子商务中的安全性问题不仅具有特别重要的理论价值和实用价值，而且具有重要的现实意义

17