题目企业电子商务安全及策略(共12页).doc

《题目企业电子商务安全及策略(共12页).doc》由会员分享，可在线阅读，更多相关《题目企业电子商务安全及策略(共12页).doc（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上题目：企业电子商务安全及策略摘要：本文简要介绍了关于当今企业电子商务的安全及一些对应的策略问题。关键字：企业电子商务、安全、策略引言： 随着互联网的全面普及，基于互联网的也应运而生，并在近年来获得了巨大的发展，成为一种全新的商务模式，被许多经济专家认为是新的经济增长点。什么是电子商务呢?通俗地讲,就是利用在互联网上开展商务活动,比如在线销售,在线咨询,在线谈判等一系列活动。科学地讲，电子商务就是利用电子技术开展商务活动，反过来讲，就是商务活动电子化。 电子技术包含的范围很广：广义上的电子技术包括电话技术，电报技术，超市POS技术和互联网技术，狭义电子技术仅指网络技术，

2、包括互联网和其它一些增值网因此，随着电子技术的不同，电子商务的定义也有许多版本，这儿就不深入了不是专业电子商务人员可以对电子商务这么理解，就是利用互联网技术开展企业或个人网务活支，如在线购书，在线购电脑，在线咨询，网络开店，网上销售，网上采购等如阿里巴巴就是典型的电子商务网站，如戴尔公司就是典型的电子商务销售公司，如淘宝就是典型的网上开店一、当今企业电子商务安全现状1.1现今企业电子商务安全环境（一）加密技术 加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。 (1) 对称加密/对称密钥加密/专用密钥加密 在对称加密方法中,

3、对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有n个贸易关系,那么他就要维护n个专用密钥(即每把密钥对应一贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易

4、双方的任何信息都是通过这把密钥加密后传送给对方的。 (2) 非对称加密/公开密钥加密 在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进

5、行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。（二）密钥管理技术 (1) 对称密钥管理 对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。 贸易方可以为每次交换的信息(如每次的EDI交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息(如EDI交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要

6、对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。 (2) 公开密钥管理/数字证书 贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(ITU)制定的标准X.509(即-开放系统互连-目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC 9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证

7、书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构(CA),它是贸易各方都信赖的机构。 (3)密钥管理相关的标准规范 该规范主要由3部分组成:第1部分是密钥管理框架;第2部分是采用对称技术的机制;第3部分是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段,并将很快成为正式的国际标准。（三）认证技术 (1)数字签名数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收

8、方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。普通的密钥系统可能存在以下问题： 假冒：第三方C有可能假冒A给B发消息，因为E是公开的。 否认：A可能否认向B发消息。 伪造：B有可能伪造或修改一条从A发来的消息，以对自己有利，事后否认这种行为并声称是A发来的。 (2)数字信封 在大批数据加密中所使用的对称密码是随机产生的，而接收方也需要此密码才能对消息进行正确的解密。对称密钥的传递需要加密进行，即发送

9、方用接收方的证书（公钥）加密此对称密钥。这样只有接收方用自己的私钥才能正确地解密此对称密钥，从而正确地解密消息。这种加密传送密钥的方法称为数字信封。数字信封技术可以保证接收方的唯一性。即使信息在传送途中被监听或截获，由干第三方并没有接收方的密钥，也不能对信息进行正确的解密。 (3) 虚拟专用技术 虚拟专用网VPN是用于Internet交易的一种专用网络，它可以在两个系统之间建立安全的信道（或隧道），用于电子数据交换。它与信用卡交易和客户发送定单交易不同。因为在VPN中，双方的数据通信量大得多，而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术，只要通信的双方默认即可，没有必要

10、为所有的VPN进行统一的加密和认证。为防止黑客的破坏，现有的或正在开发的数据隧道系统进一步增加VPN的安全性，从而能够保证数据的保密性和可用性。 (4) 证书和证书管理机构CA 证书就是一份文档，它纪录了用户的公开密钥和其他身份信息以及证书管理机构的数字签名。 证书管理机构是一个受大家信任的第三方机构。用户向CA提交自己的公开密钥和其他代表自己身份的信息，CA验证了用户的有效身份之后，向用户颁发一个经过CA私有密钥签名的证书。 证书和CA的存在使两个贸易方都信任CA并从CA处得到了一个证书，双方可以通过互相交换证书得到对方的公开密钥。由干证书上有CA的数字签名，用户如果有正确的CA的公开密钥，

11、就可以通过数字签名的鉴定来判断从证书中得到的公开密钥是否确实是对方的公开密钥。 而由于是以计算机网络为基础的，因此它不可避免面临着一系列的安全问题。 (1)信息泄漏 在电子商务中表现为商业机密的泄漏，主要包括两个方面：交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。 (2)窜改 在中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改，这样就使信息失去了真实性和完整性。 (3)身份识别 如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等，进行身

12、份识别后，交易双方就可防止相互猜疑的情况。 (4)电脑病毒问题 电脑病毒问世十几年来，不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助于网络传播得更快，动辄造成数百亿美元的经济损失。 (5) 黑客问题随着各种应用工具的传播，黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。1.2企业电子商务安全的弊端网络基础设施建设问题 要想实现真正实时的网上交易，要求网络有非常快的响应速度和较高的带宽，这必须由硬件提供对高速网络的支持。而我国由于经济实力和技术方面的原因等，网络的基础设施建设还比较缓慢和滞后，已建成的网络其质量离的要求相距甚远。因此，如何加大基础设施建设的力度，提高投资效益，改

13、变网络通信方面的落后面貌，应是促进电子商务应用普及的首要问题。 安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的安全，将一直是电子商务的核心心研究领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。 网上支付问题电子商务的核心内容是信息的互相沟通和交流，交易双方通过Internet进行交流，洽谈确认，最后才能发生交易。这时对于通过电子商务手段完成交易的双方来说，银行等机构的介入是必须的，银行所起的作用主要是支持和服务，属于商业行为。但从整个电子商务网络的发展来看，将来

14、要在网络上直接进行交易，就需要通过银行的信用卡等各种方式来完成交易，以及在中通过与金融网络的连接来支付和收费。而目前我国各个国有专业银行网络选用的通信平台不统一，不利于各银行间跨行业务的互联、互通和中央银行的金融监管以及宏观调控政策的实施。另外，各行信用卡标准不一样，不能通用，尚不能用信用卡实现网上支付。 电子商务法律问题作生意就避免不了发生纠纷，而网上纠纷又有其独特性。Internet是一个缺乏警察的信息公路，它缺少协作和管理，信息的跨地区和跨国界的传输又难以公证和仲裁，而如果没有一个成熟的、统一的法律系统进行仲裁，纠纷就不可能解决。那么，这个法律系统究竟应该如何制定，由谁来制定，应遵循什么

15、样的原则，其效力如何保证? 这些都是现在制定法律时应该考虑的问题。 1.3当今企业电子商务安全的实用性 在当今这个电子商务面向大众的时代企业电子商务安全的实用性也就被以下几个重要的特性所包括： （1）有效性 EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。 （2）机密性 EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报

16、文来达到保守机密的目的。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。 （3）完整性 EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。（4）可靠性/不可抵赖性/鉴别 EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴

17、别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。 (5)即需性 即需性是防止延迟或拒绝服务，即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在中，延迟一个消息或消除它会带来灾难性的后果。例如，你在上午10点向在线的股票交易公司发一个电子邮件委托购买1000股IBM公司的股票，假如这个邮件被延迟了，股票经济商在下午2点半才收到这封邮件，这时股票已经涨了15，这个消息的延迟就使你损失了交易额的 15。 （6）身份认证 指交易双方可以相互确认彼此的真实身份，确认对方就是本次交易中所称的真正交易方。认证是证实一个声称的身份或者角色，如用户、机器、节

18、点等是否真实的过程。这一过程为授权和审计所必需，也是实现授权、审计的访问控制过程运行的前提，是计算机网络安全系统不可缺少的组成部分。 （7）审查能力 根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控的，以便对其所使用的操作内容进行审计和跟踪。当贸易一方发现交易行对自己不利时否认行为。二、当今企业电子商务安全问题的应对策略2.1如何应对现今多方式的网络欺骗什 网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源，并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使

19、入侵者不知道其进攻是否奏效或成功。 在了解了网络欺骗后我们便可以以一些方法来预防其对自己造成欺骗： 方法一： 平时做好每台主机的MAC地址记录，出现状况的时候，可以利用MAC地址扫描工具扫描出当前网络中主机的MAC地址对应情况，参照之前做好的记录，也可以找出问题主机。 方法二：ARP S 可在MS-DOS窗口下运行以下命令： ARP S手工绑定网关IP和网关MAC。静态绑定，就可以尽可能的减少攻击了。需要说明的是，手工绑定在计算机重起后就会失效，需要再绑定，但是我们可以做一个批处理文件，可以减少一些烦琐的手工绑定！ 方法三：使用软件Antiarp 使用Anti ARP Sniffer可以防止利

20、用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。2.2怎样解决当今电子商务网络环境的混乱与缺陷 我个人而言我觉得现在的电子商务网络环境有十大缺陷。现在就先简述一下这十大缺陷： 1、正当性不足。并非所有的人都愿意在只看到网上的介绍之后，自行比较一下就做出购买的决定，大多数人还是用实体世界的标准来看待网络虚拟商店，相比之下，这些有几个对经营网站有些冲动的年轻人组成的商店，就缺乏说服力强的正当性。 2、过度专注特定的付款方式。过度强调从网上付费，将会对网络信用卡付费发生缺少安全信心的消费者打消消费的念头。 3、忽略凸现个别商品的特殊价值。在实体世界中，通过各种展示方式，卖方可以塑

21、造出商品的个性，但在网上却很难做的到。实体世界的优点会使消费者直接买下商品而现在的网上却不行。 4、卖方不明确。在部分网站中，我们很难找到隐藏在网页后面的老板到底是谁，甚至连电话都在列在网站上，这样的设计将无法给消费者信心，除非曾经有过成功购买的经验，否则谁都会担心。这个第一次迈出得如此困难多少机会就因此而丧失。 5、缺乏对货物的保证。大部分购物网站都没有实体仓库。但消费者是不会接受那种不愉快的消费方式的：订购一样货物之后得等上半个月，然后接到一封电子邮件告诉他们有存货。只要有一次不愉快的经历，消费者就可能永远不上门。 6、缺乏个人化的商业关系。很多网站都有所谓的个人化的服务：输入个人密码，然

22、后就会出现专门针对用户的、设计得网页。但这不是真正的个人化。商业行为的信任感需以一连串的购买经验为基础，然而大多数的网站却受人力得限制而无法做到这样的服务。 7、技术障碍过多。网页设计应以容易操作为主，加上新的花样固然可以吸引人，但是消费者必须再去找到一堆plugin或是其他软件才能看到这样的网页，这就成了技术障碍，这样的网站绝对不会成功。 8、不要试图耍小花样。当消费者收到来路不明的广告信时，绝对不会感谢寄送目录的网络商店，所以要传送Cookier之前，别忘了要先获取用户的同意。 9、缺乏良好的货物配送系统。如果十件订购中有两件以上无法将货物送到消费者的手中，网络公司就没有理由不去思考建立一

23、套完整物流体系的方式。 10、推销网站的方式不恰当。过高要发挥效用，必须针对有效群体下功夫，否则很快就会将钱花光网站的寿命也就到期了。网站需要的是大量的管理和少量的技术，技术是为了满足管理的需求，而非为技术而做技术。在了解了这些弊端后我们便可以对症下药来解决这些弊端： 首先应在网上一参照实物来面对客户要客户看的明白买的明白还应以让客户方便为出发点增加多方式的付款方式来满足用户的要求其次在个别商品的突出、对货物的保证及对买方自己的介绍上应加大投资使用户对购买商品产生信心最后应规划出一套完整的配送体系并计划出一个良好的使用户能感兴趣的脱销方式排除技术障碍增强个人化的商业关系来满足用户！这样才能使用

24、户对网络消费产生信心从而达到吸引消费者的目的。2.3如何处理当前网络黑客的多手段攻击 处理当前网络黑客的多手段攻击应以以下4点来应对1网络节点的安全2通讯的安全性3应用程序的安全性4用户的认证管理下面我就对此做一个比较深切的谈论：1 防火墙防火墙是在连接Internet和Intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。 2 防火墙安全策略 应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安

25、全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。3安全操作系统防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。二、通讯的安全 1数据通讯

26、 通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于： （1）客户浏览器端与电子商务WEB服务器端的通讯； （2）电子商务WEB服务器与电子商务数据库服务器的通讯； （3）银行内部网与业务网之间的数据通讯。2安全链路 在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它

27、的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。三、应用程序的安全性 即使正确地配置了访问控制规则，要满足计算机系统的安全性也

28、是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运 行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。 这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度

29、。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。四、用户的认证管理 1身份认证 电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。 2CA证书 要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份

30、数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。五、安全管理 为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。 对于所有接触系统的人员，按其职责设定其访问系统的最小权限。 按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认

31、，防止非法占用、冒用合法用户帐号和密码。 建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。 对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。安全实际上就是一种风险管理。任何技术手段都不能保证1OO的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。三、企业电子商务安全建设的基础问题在建立企业电子商务时最基础的问题就在于如何正确看待电子商务的安全问题，有几个观点值得注意： 其一，安全是一个系统的概念。安全问题不仅

32、仅是个技术性的问题，不仅仅只涉及到技术，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。 其二，安全是相对的。不要追求一个永远也攻不破的安全技术，安全与管理始终是联系在一起的。其三，安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C，都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价，如果能考虑到安全速度就得慢一点，把安全性保障得更好一些，当然这与电子商务的具体应用有关。 其四，安全是发展的、动态的。今天安全明天就不一定很安全，因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情，尤其是安全技术，它的敏感性、竞争性以

33、及对抗性都是很强的，这就需要不断地检查、评估和调整相应的安全策略。四、未来企业电子商务安全策略的可发展性4.1未来企业电子商务安全发展方向4.1.1 安全认证体系开展电子商务最突出的问题是要解决网上购物、交易和结算中的安全问题，其中包括建立电子商务各主体之间的信任问题，即建立安全认证体系（CA）问题；选择安全标准（如SET、SSL、PKI等）问题；采用加、解密方法和加密强度问题。其中建立安全认证体系是关键。网上交易与传统的面对面或书面的交易方式不同，它是通过网络传输商务信息和进行贸易活动的。网上交易的安全问题意味着：有效性:保证网上交易合同的有效性，防止系统故障、计算机病毒、黑客攻击。保密性:

34、对交易的内容、交易双方账号、密码不被他人识别和盗取。完整性:防止单方面对交易信息的生成和修改。所以，电子商务的安全体系应包括：安全可靠的通信网络，保证数据传输的可靠完整，防止病毒、黑客入侵；电子签名和其他身份认证系统；完备的数据加密系统等等。4.1.2 安全支付结算体系银行业务的电子化，使得电子货币正在逐步取代传统纸币，发挥越来越重要的作用。1996年英国小城斯温登宣布用电子货币取代纸币，信用卡成为一种新的货币形式。随着网上交易的增多，网络银行、数字货币等全新的概念也应运而生。实际上，因特网确实对传统的金融业务提出了挑战。全球大约1000家银行中的500家已经加入互联网，1996年有190万人

35、使用在线银行服务，预计到2000年将有1300万人使用在线银行。无论是完全依赖于网络的银行，还是传统银行利用网络开展银行业务，安全问题都是十分重要的。我国的电子商务的普及，首先要解决网络的安全问题。在金融专网和因特网之间设置支付网关，作为支付结算的安全屏障4.1.3协同作业体系 在电子商务中，所谓协同作业，包括工商、税务、银行、运输、商检、海关、外汇、保险、电信、认证等部门，以及商城、商户、企业、客户等单位按一定规范与程序相互配合，相互衔接，协同工作，共同完成有关电子商务活动。所谓协同作业体系包括：有关协同作业部门（不含广大客户）通过专线或IP隧道与电子商城互连；共同协商制定统一高效的作业规范

36、与程序；共同制定降低电子商务运行成本的资费政策；推行实施协同工作（CSCW）。4.1.4 法律政策环境建立一套法律政策体系，保证电子交易双方能按照共同的规则进行交易，对起动、发展电子商务是完全必要的，十分急需的。电子商务是世界性的经济活动，其法律框架也不应局限在一国范围内，而应适用于国际间的贸易往来，联合国国际贸易法委员会（UNCRTRAL）已经完成了一个法律范本，以支持电子商务在国际贸易中的应用。其内容应包括： 电子合同的有效性； 有效的电子文件的规范； 电子签名的合法性和其他身份辨认程序； 知识产权的保护； 商标权和域名的保护； 企业和个人隐私的保护目前在我国，统一合同法(技术合同、经济合

37、同、对外经济合同统一)即将由全国人大通过后出台，在统一合同法中已承认电子合同与书面合同一样具有合法性，意即可证明买卖成立，但不能解决合同纠纷问题，要解决此问题有两条出： (1)到法院起诉（无法律依据）；(2)通过仲裁解决(要制定协议)。 建立电子商务活动的技术标准也是至关重要的。在电子商务试点阶段，实行税费优惠政策也有利于电子商务的推广。4.2未来网络安全对电子商务安全的影响1、 运行网上安全认证体系 实施电子商务必须以网上安全支付为前提，建立安全认证（CA）机制及系统十分必要。CA应包括加密、验证、授权、抗否认、自动撤消检查等基本功能，保障在网络中交易的各方具有平等的安全地位。CA应由国家授

38、权的权威机构担任，推动电子商务在法治化的安全、有序环境中运行。2、采用双网和双机模式要完全实现内、外网络的物理隔离，我们很容易想到采用两套网络布线，相对应地配备两台电脑，一台计算机上内网，一台计算机上外网，两套网络互不干扰，从安全程度来讲是最高的，有的地方其实就是采用的这种解决方案，但这种解决方案投资巨大，资源浪费也比较严重，一般不被采用。3、采用双网机模式所谓“双网机”，其实就是在一个机箱内，安装两块主板、两块硬盘、两块CPU和网卡等，并安装了两套系统，两套系统只是公用了机箱、键盘、显示器和鼠标，相当于两台电脑，用户通过键盘上的内外网开关进行控制和选择内外网。安全专家曲成义研究员指出：双网机

39、目前有十几家已被国家审定过，它有双盘型的，也有单盘型双驱型的。它确实是物理隔离并经过严格检测出来的。虽然它用的是一个壳，但是里面有两套操作系统，有的是两个硬盘；有的是单硬盘，单硬盘是逻辑分区，但是分区是物理隔绝，这些都是很严格审查过的，双网机节约了空间，但价格昂贵，很少被采用。4、采用隔离卡技术双网线的隔离卡技术如果在以前进行网络布线时布置了两套网线，就可以采用此种方式。即在客户端计算机上安装两个硬盘（或者是一个硬盘，两个分区，分区是物理隔离的），在两个硬盘或一个硬盘的两个分区分别安装上操作系统，两套网线通过隔离卡连接到主板和硬盘上，通过切换开关在切换硬盘的同时切换网络线，达到了物理隔离的目的

40、。由于充分利用了以前的网络设备，又不更改以前的网络布线模式，因此节省了投资，但在增加节点时，我们必须同时布两套网线，比较麻烦，也加大了投资。单网线的隔离卡技术如果以前在网络布线时只布了一套网线，我们就可以采用此种模式。客户端上的隔离卡采用一个网络接口联接一条网线，在该网线联接到交换机的中间加入了网络选择设备，在隔离卡与安全选择器的配合工作下，客户端对隔离卡的操作，在对硬盘进行切换的同时通过安全选择器对网络也进行了切换，通过区分内外网信号就可以避免内外网线被交叉使用的安全风险。而且通过该技术对网络进行隔离成本较低，也节约了空间，操作简单方便，推荐采用此种方式。在前面我已多次提及电子商务是建立在网

41、络中进行运作的所以当网络安全得到有效的控制时电子商务的安全也就得到了一个切实的解决办法。因此，网络安全对电子商务安全起了决定性的影响。4.3企业电子商务安全完整体系的建立 第一、确定贸易伙伴身份的真实性； 第二、确保信息的保密性，如怎样保证用户的信用号不被窃取，如何保证货源定单等信息不被竞争对手获悉等； 第三、保证电子定单等信息的真实性(未被冒充)以及在传输过程中未被篡改； 第四、保证电子定单等信息的不可否认性，即交易的任何一方在未经对方同意的情况下都不能出尔反尔； 第五、在交易双方发生纠纷时能得到合理的仲裁和解决，电子商务安全的实现技术网络安全中所包括的安全技术众多，在电子商务中主要应用了网

42、络隔离、数据加密和身份认证等技术。4.4企业电子商务安全策略的实用性一、网络节点的安全1防火墙 2防火墙安全策略 3安全操作系统 二、通讯的安全1数据通讯 2安全链路 三、应用程序的安全性 四、用户的认证管理 1身份认证 2CA证书 五、安全管理 通过以上各种策略可以大大的降低网络安全隐患对电子商务安全所造成的不良影响。因此，一个良好的安全策略对于电子商务来说是不可获缺的。五、企业电子商务对网络环境的要求 是在电信网络上发展起来的。因此，先进的计算机网络基础设施和宽松的电信政策就成为发展的前提。目前，电信服务价格过高，带宽有限，服务不及时或不可靠等因素已经成为发展的制约因素。加快电信基础设施建

43、设，打破电信市场的垄断，引进竞争机制，保证电信业务公平竞争，促进网络互联，确保为用户提供廉价，高速，可靠的通信服务是良好网络环境的建设目标，也是世界各国面临的共同课题。 我国电信业务长期受到计划经济的影响，独家垄断的局面尚未打破。近年来因特网迅猛发展，电信政策不适应形势的矛盾日益突出。主要表现在： 网络供应商（ISP）租用线路的价格过高，使他们无利可图。一批前期进入这一领域的ISP由于亏损，已经退出。 ISP与电信网络互联，遇到了来自电信部门的阻力，互联费用过高，以各种借口的刁难。 由于电信部门垄断了接入业务，用户接入费用过高，一般都难以承受。也无法选择有良好服务的接入服务商。为了促进电信市场

44、的开放和协调世界各国的电信政策，世界贸易组织在1997年成功地缔结了基础通信协定。该协定将保证全球电信市场的竞争，加强国家之间的合作。六、结论 综合以上观点我们可以看到企业电子商务的安全问题不仅是一个企业是否可以扩大自身销售市场的问题，它更是一个是否可以将我们的生活带入另一个信息数字时代的问题，在当今这个网络安全不稳定，网络诈骗层出不穷的时代一个良好的、有效的、完整的企业电子商务安全问题正摆在我们的面前，虽然现今的商务安全已有一定的规范，但其并不完善还有许多需要我们努力改进的地方，我相信通过我们不懈的努力，在不久的将来一定会有一个近乎完整的企业电子商务安全体系展现在我们大家面前，让我们真正对这个所谓的数字时代产生新的动力和信心。七、参考文献书名：电子商务安全 作者：钟 诚 出版社：重庆大学出版社书名：Web安全与电子商务（第2版） 作者： 出版社：清华大学出版社书名：网络安全与电子商务 作者： 出版社： 北京大学出版社书名：电子商务安全与管理 作者： 出版社： 电子工业出版社书名：电子商务中的信息安全 作者：唐哓东 出版社：出版社： 清华大学出版社 北京交通大学出版社书名：电子商务支付与安全 作者： 出版社：电子工业出版社 书名：电子商务交易风险与安全保障 作者： 出版社：科学出版社书名：电子商务安全保密 作者： 出版社：高等教育出版社专心-专注-专业