正文

簡述電子商務對安全的基本要求（簡述電子商務對安全的基本要求）

發(fā)布時間：2023-03-09 02:33:27 稿源：創(chuàng)意嶺閱讀： 892 問大家

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關于簡述電子商務對安全的基本要求的問題，以下是小編對此問題的歸納整理，讓我們一起來看看吧。

創(chuàng)意嶺作為行業(yè)內優(yōu)秀的企業(yè)，服務客戶遍布全球各地，相關業(yè)務請撥打電話：175-8598-2043，或添加微信：1454722008

本文目錄:

1、電子商務安全控制的要求
2、如何保證電子商務中的安全問題
3、電子商務的安全需求及解決技術
4、電子商務安全方面的措施有哪些?

簡述電子商務對安全的基本要求（簡述電子商務對安全的基本要求）

一、電子商務安全控制的要求

電子商務的安全控制要求概述

電子商務發(fā)展的核心和關鍵問題是交易的安全性。由于Internet本身的開放性，使網上交易面臨了種種危險，也由此提出了相應的安全控制要求。

（1）、信息保密性

交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

（2）、交易者身份的確定性

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。

（3）、不可否認性

由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單后，金價上漲了，如收單方能滯認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認的。

（4）、不可修改性

交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單后，發(fā)現(xiàn)金價大幅上漲了，如其能改動文件內容，將訂購數(shù)1噸改為1克，則可大幅受益，那么訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。

二、如何保證電子商務中的安全問題

1、保護網絡安全。

制定網絡安全的管理措施，使用防火墻，盡可能記錄網絡上的一切活動，注意對網絡設備的物理保護，檢驗網絡平臺系統(tǒng)的脆弱性，建立可靠的識別和鑒別機制。

2、保護應用安全。

應用層上的安全業(yè)務可以涉及認證、訪問控制、機密性、數(shù)據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。

3、保護系統(tǒng)安全。

在安裝的軟件中，如瀏覽器軟件、電子錢包軟件、支付網關軟件等，檢查和確認未知的安全漏洞。技術與管理相結合，使系統(tǒng)具有最小穿透風險性。

4、加密技術

加密技術為電子商務采取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。

擴展資料

電子商務的所有活動都需要安全體系的有力支持，缺乏嚴格的制度對硬件、軟件、數(shù)據庫、密碼和用戶權限進行科學管理，因而發(fā)生安全意外或為某些內部人員造成可乘之機。

電子商務網絡系統(tǒng)的安全威脅主要為以下幾個方面：即軟件系統(tǒng)存在潛在安全隱患、安全產品使用不當、缺少嚴格的網絡安全管理制度。

保證交易數(shù)據的安全性是電子商務的關鍵問題。由于網絡本身所具有的開放性特點，電子商務面臨著各種各樣的威脅，這對電子商務的安全性提出了更高的要求。

三、電子商務的安全需求及解決技術

電子商務面臨的威脅的出現(xiàn)導致了對電子商務安全的需求，也是真正實現(xiàn)一個安全電子商務系統(tǒng)所要求做到的各個方面，主要包括機密性、完整性、認證性和不可抵賴性。

1. 機密性。電子商務作為貿易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環(huán)境上的（尤其Internet 是更為開放的網絡），維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。機密性一般通過密碼技術來對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)。

2. 完整性。電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數(shù)據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是電子商務應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數(shù)據傳送過程中信息的丟失和重復并保證信息傳送次序的統(tǒng)一。完整性一般可通過提取信息消息摘要的方式來獲得。

3. 認證性。由于網絡電子商務交易系統(tǒng)的特殊性，企業(yè)或個人的交易通常都是在虛擬的網絡環(huán)境中進行，所以對個人或企業(yè)實體進行身份性確認成了電子商務中得很重要的一環(huán)。對人或實體的身份進行鑒別，為身份的真實性提供保證，即交易雙方能夠在相互不見面的情況下確認對方的身份。這意味著當某人或實體聲稱具有某個特定的身份時，鑒別服務將提供一種方法來驗證其聲明的正確性，一般都通過證書機構CA和證書來實現(xiàn)。

4. 不可抵賴性。電子商務可能直接關系到貿易雙方的商業(yè)交易，如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證電子商務順利進行的關鍵。在傳統(tǒng)的紙面貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴，確定合同、契約、單據的可靠性并預防抵賴行為的發(fā)生。這也就是人們常說的"白紙黑字"。在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。不可抵賴性可通過對發(fā)送的消息進行數(shù)字簽名來獲取。

5. 有效性。電子商務以電子形式取代了紙張，那么如何保證這種電子形式的貿易信息的有效性則是開展電子商務的前提。電子商務作為貿易的一種形式，其信息的有效性將直接關系到個人、企業(yè)或國家的經濟利益和聲譽。因此，要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數(shù)據在確定的時刻、確定的地點是有效的。

電子商務安全中的主要技術

電子商務安全是信息安全的上層應用，它包括的技術范圍比較廣，主要分為網絡安全技術和密碼技術兩大類，其中密碼技術可分為加密、數(shù)字簽名和認證技術等。

1. 網絡安全技術

網絡安全是電子商務安全的基礎，一個完整的電子商務系統(tǒng)應建立在安全的網絡基礎設施之上。網絡安全所涉及到的方面比較，如操作系統(tǒng)安全、防火墻技術、虛擬專用網VPN技術和各種反黑客技術和漏洞檢測技術等。其中最重要的就是防火墻技術。

防火墻是建立在通信技術和信息安全技術之上，它用于在網絡之間建立一個安全屏障，根據指定的策略對網絡數(shù)據進行過濾、分析和審計，并對各種攻擊提供有效的防范。主要用于Internet接入和專用網與公用網之間的安全連接。

目前國內使用的需到防火墻產品都是國外一些大廠商提供的，國內在防火墻技術方面的研究和產品開發(fā)方面相對比較簿弱，起步也晚。由于國外對加密技術的限制和保護，國內無法得到急需的安全而實用的網絡安全系統(tǒng)和數(shù)據加密軟件。因此即使國外優(yōu)秀的防火墻產品也不能完全在國內市場上使用，同時由于政治、軍事、經濟上的原因，我國也應研制開發(fā)并采用自己的防火墻系統(tǒng)和數(shù)據加密軟件，以滿足用戶和市場的巨大需要，也對我國的信息安全基礎設施建設有巨大的作用。

VPN 也使一項保證網絡安全的技術之一，它是指在公共網絡中建立一個專用網絡，數(shù)據通過建立好的虛擬安全通道在公共網絡中傳播。企業(yè)只需要租用本地的數(shù)據專線，連接上本地的公眾信息網，其各地的分支機構就可以互相之間安全傳遞信息；同時，企業(yè)還可以利用公眾信息網的撥號接入設備，讓自己的用戶撥號到公眾信息網上，就可以連接進入企業(yè)網中。使用VPN有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等好處，是目前和今后企業(yè)網絡發(fā)展的趨勢。

2. 加密技術

加密技術是保證電子商務安全的重要手段，許多密碼算法現(xiàn)已成為網絡安全和商務信息安全的基礎。密碼算法利用密秘密鑰（secret keys）來對敏感信息進行加密，然后把加密好的數(shù)據和密鑰（要通過安全方式）發(fā)送給接收者，接收者可利用同樣的算法和傳遞來的密鑰對數(shù)據進行解密，從而獲取敏感信息并保證了網絡數(shù)據的機密性。利用另外一種稱為數(shù)字簽名（digital signature）的密碼技術可同時保證網絡數(shù)據的完整性和真實性。利用密碼技術可以達到對電子商務安全的需求，保證商務交易的機密性、完整性、真實性和不可否認性等。

密碼技術雖然在第二次世界大戰(zhàn)期間才開始流行，在當前才廣泛應用于網絡安全和電子商務安全之中，但其起源可追溯到幾千年前，其思想目前還在使用，只是在處理過程中增加了數(shù)學上的復雜性。

加密技術包括私鑰加密和公鑰加密。私鑰加密，又稱對稱密鑰加密，即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據，目前常用的私鑰加密算法包括DES和 IDEA等。對稱加密技術的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據量進行加密，但密鑰管理困難。對稱加密技術要求通信雙方事先交換密鑰，當系統(tǒng)用戶多時，例如，在網上購物的環(huán)境中，商戶需要與成千上萬的購物者進行交易，若采用簡單的對陳密鑰加密技術，商戶需要管理成千上萬的密鑰與不同的對象通信，除了存儲開銷以外，密鑰管理是一個幾乎不可能解決的問題；另外，雙方如何交換密鑰？通過傳統(tǒng)手段？通過因特網？無論何者都會遇到密鑰傳送的安全性問題。另外，環(huán)境中，密鑰通常會經常更換，更為極端的是，每次傳送都使用不同的密鑰，對稱技術的密鑰管理和發(fā)布都是遠遠無法滿足使用要求的。

公鑰密鑰加密，又稱不對稱密鑰加密系統(tǒng)，它需要使用一對密鑰來分別完整家密和解密操作，一個公開發(fā)布，稱為公開密鑰（Public-Key）；另一個由用戶自己秘密保存，稱為私有密鑰（Private-Key）。信息發(fā)送者人用公開密鑰去加密，而信息接收者則用私有密鑰去解密。通過數(shù)學的手段保證加密過程是一個不可逆過程，即用公鑰加密的信息只能是用與該公鑰配對的私有密鑰才能解密。常用的算法是RSA、ElGamal等。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢的多

為了充分利用公鑰密碼和對稱密碼算法的優(yōu)點，克服其缺點，解決每次傳送更換密鑰的問題，提出混合密碼系統(tǒng)，即所謂的電子信封（envelope）技術。發(fā)送者自動生成對稱密鑰，用對稱密鑰加密鑰發(fā)送的信息，將生成的密文連同用接收方的公鑰加密后的對稱密鑰一起傳送出去。收信者用其秘密密鑰解密被加密的密鑰來得到對稱密鑰，并用它來解密密文。這樣保證每次傳送都可由發(fā)送方選定不同密鑰進行，更好的保證了數(shù)據通信的安全性。

使用混合密碼系統(tǒng)可同時提供機密性保障和存取控制。利用對稱加密算法加密大量輸入數(shù)據可提供機密性保障，然后利用公鑰加密對稱密鑰。如果想使多個接收者都能使用該信息，可以對每一個接收者利用其公鑰加密一份對稱密鑰即可，從而提供存取控制功能。

3. 數(shù)字簽名

數(shù)字簽名中很常用的就是散列（HASH）函數(shù)，也稱消息摘要(Message Digest)、哈希函數(shù)或雜湊函數(shù)等，其輸入為一可變長輸入，返回一固定長度串，該串被稱為輸入的散列值(消息摘要)

日常生活中，通常通過對某一文檔進行簽名來保證文檔的真實有效性，可以對簽字方進行約束，防止其抵賴行為，并把文檔與簽名同時發(fā)送以作為日后查證的依據。在網絡環(huán)境中，可以用電子數(shù)字簽名作為模擬，從而為電子商務提供不可否認服務。

把 HASH函數(shù)和公鑰算法結合起來，可以在提供數(shù)據完整性的同時，也可以保證數(shù)據的真實性。完整性保證傳輸?shù)臄?shù)據沒有被修改，而真實性則保證是由確定的合法者產生的HASH，而不是由其他人假冒。而把這兩種機制結合起來就可以產生所謂的數(shù)字簽名（Digital Signature）。

將報文按雙方約定的HASH算法計算得到一個固定位數(shù)的報文摘要（Mes-sage Digest）值。在數(shù)學上保證：只要改動報文的任何一位，重新計算出的報文摘要就會與原先值不符。這樣就保證了報文的不可更改。然后把該報文的摘要值用發(fā)送者的私人密鑰加密，然后將該密文同原報文一起發(fā)送給接收者，所產生的報文即稱數(shù)字簽名。

接收方收到數(shù)字簽名后，用同樣的HASH算法對報文計算摘要值，然后與用發(fā)送者的公開密鑰進行解密解開的報文摘要值相比較。如相等則說明報文確實來自發(fā)送者，因為只有用發(fā)送者的簽名私鑰加密的信息才能用發(fā)送者的公鑰解開，從而保證了數(shù)據的真實性。

數(shù)字簽名相對于手寫簽名在安全性方面具有如下好處：數(shù)字簽名不僅與簽名者的私有密鑰有關，而且與報文的內容有關，因此不能將簽名者對一份報文的簽名復制到另一份報文上，同時也能防止篡改報文的內容。

4. 認證機構和數(shù)字證書

對數(shù)字簽名和公開密鑰加密技術來說，都會面臨公開密鑰的分發(fā)問題，即如果把一個用戶的公鑰以一種安全可靠的方式發(fā)送給需要的另一方。這就要求管理這些公鑰的系統(tǒng)必須是值得信賴的。在這樣的系統(tǒng)中，如果Alice想要給Bob發(fā)送一些加密數(shù)據，Alice需要知道Bob的公開密鑰；如果Bob想要檢驗 Alice發(fā)來的文檔的數(shù)字簽名，Bob需要知道Alice的公開密鑰。

電子商務中的安全措施包括有下述幾類：

（1）保證交易雙方身份的真實性：常用的處理技術是身份認證，依賴某個可信賴的機構（CA認證中心）發(fā)放證書，并以此識別對方。目的是保證身份的精確性，分辨參與者身份的真?zhèn)?，防止偽裝攻擊。

（2）保證信息的保密性：保護信息不被泄露或被披露給未經授權的人或組織，常用的處理技術是數(shù)據加密和解密，其安全性依賴于使用的算法和密鑰長度。常見的加密方法有對稱式密鑰加密技術（如DES算法）和公開密鑰加密技術（如RSA算法）。

（3）保證信息的完整性：常用數(shù)據雜湊等技術來實現(xiàn)。通過散列算法來保護數(shù)據不被未授權者（非法用戶）建立、嵌入、刪除、篡改、重放。典型的散列算法為美國國家安全局開發(fā)的單向散列算法之一。

（4）保證信息的真實性：常用的處理手段是數(shù)字簽名技術。目的是為了解決通信雙方相互之間可能的欺詐，如發(fā)送用戶對他所發(fā)送信息的否認、接收用戶對他已收到信息的否認等，而不是對付未知的攻擊者，其基礎是公開密鑰加密技術。目前，可用的數(shù)字簽名算法較多，如RSA數(shù)字簽名、ELGamal數(shù)字簽名等。

（5）保證信息的不可否認性：通常要求引入認證中心（CA）進行管理，由CA發(fā)放密鑰，傳輸?shù)膯巫C及其簽名的備份發(fā)至CA保存，作為可能爭議的仲裁依據。

（6）保證存儲信息的安全性：規(guī)范內部管理，使用訪問控制權限和日志，以及敏感信息的加密存儲等。當使用WWW服務器支持電子商務活動時，應注意數(shù)據的備份和恢復，并采用防火墻技術保護內部網絡的安全性。

四、電子商務安全方面的措施有哪些?

電子商務系統(tǒng)的安全重點主要基于以下兩個方面：

(1)系統(tǒng)安全性：指系統(tǒng)的穩(wěn)定性和抗攻擊能力，以及在受到攻擊或系統(tǒng)出現(xiàn)軟、硬件故障后的系統(tǒng)恢復能力。

(2)數(shù)據安全性：是指保持數(shù)據的一致性、完整性，和使用權限的可控制性等。數(shù)據安全性包含以下幾個方面：

①數(shù)據的機密性。任何人不能看到其無權看到的信息；其中，比普通加密方式更進一步的是，任何人都不能看到或修改其行政管理概念上的權限無權獲得的數(shù)據(數(shù)據加密)，這將更符合實際的要求。

②數(shù)據的完整性。對發(fā)出的數(shù)據只有完整到達，才能被完全確認，否則數(shù)據不能被認可。

③不可抵賴性。對任何人已經發(fā)出的信息，能夠根據信息本身確定數(shù)據只能由該人發(fā)出，并能確定發(fā)出時間等重要信息。

以上就是關于簡述電子商務對安全的基本要求相關問題的回答。希望能幫到你，如有更多相關問題，您也可以聯(lián)系我們的客服進行咨詢，客服也會為您講解更多精彩的知識和內容。