商务安全

商务安全（精选6篇）

篇1：商务安全

电子商务安全保密技术及应用论文

题目：电子商务存在隐患及防治措施

系部：信息工程系

专业：电子商务

班级：120502

学号：12050214

姓名：乔彪 成绩：

日期：2014年11月6日

随着电子商务不断的扩大影响，势必将成为一种新型的交易模式走入人们日常生活，计算机技术与其是密不可分，相辅相成的。电子商务的发展将带动计算机技术应用的更加广泛，计算机技术的进步将推动电子商务的蓬勃发展。而其在发展的过程中安全问题也变得越来越突出，可以说，没有安全就没有电子商务。

一、电子商务网络的安全隐患

1.窃取信息。交易双方进行交易的 内容 被第三方窃取。(2)交易一方提供给另一方使用的文件被第三方非法使用。

2.篡改信息。电子的交易信息在网络传输的过程中，可能被他人非法的修改、删除这样就使信息失去了真实性和完整性。

3.假冒。第三方可以冒充合法用户发送假冒的信息或者主动获取信息，有可能假冒一方的信誊或盗取被假冒一方的交易成果等。

4.恶意破坏。由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，破坏网络的硬件或软件而导致交易信息传递丢失与谬误。计算机网络本身容易遭到一些恶意程序的破坏，而使电子商务信息遭到破坏。

二、电子商务的安全要求

1.交易者身份的可认证性。

在传统的交易中，交易双方往往是面对面进行活动的，这样很容易确认对方的身份。即使开始不熟悉，不能确信对方，也可以通过对方的签名、印章、证书等一系列有形的身份凭证来鉴别身份。然而，在进行网上交易时，情况就大不一样了，因为网上交易的双方可能素昧平生，相隔千里，并且在整个交易过程中都可能不见一面。要使交易成功，首先要能验证对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。

2.信息的机密性。

由于电子商务是建立在一个开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。当交易双方通过Internet交换信息时，如果不采取适当的保密措施，就可能将通信内容泄密；另外，在网络上的文件信息如果不加密的话，也有可能被黑客窃取。上述种种情况都有可能造成敏感商业信息的泄漏，导致商业上的巨大损失。因此，电子商务一个重要的安全需求就是信息的保密性。这意味着，一定要对敏感信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，以使商业机密信息难以被泄漏。

3.信息的真实完整性。

信息输入时的意外差错或欺诈行为、传输过程中信息的丢失、重复或传送次序差异都会导致贸易各方信息的不同。交易的文件是不可被修改的，应该保证接受方收到的信息确实是发送方发送的，中途没有被非法用户篡改过。电子交易文件必须做到不可修改，以保障交易的严肃和公正。

三、电子商务交易中的一些网络安全技术

针对以上问题现在广泛采用了身份识别技术、数据加密技术、数字签名技术和放火墙技术、PKI技术。

1.身份识别技术。

通过电子网络开展电子商务，身份识别问题是一个必须解决的问题。一方面，只有合法用户才可以使用网络资源，所以网络资源管理要求识别用户的身份;另一方面，传统的交易方式，交易双方可以面对面地谈判交涉，很容易识别对方的身份。通过电子网络交易方式，交易双方不见面，并且通过普通的电子传输信息很难确认对方的身份。因此，电子商务中的身份识别问题显得尤为突出。

2.数据加密技术。

与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。

（1）对称加密技术

对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。

（2）非对称加密/公开密钥加密

在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。

3.智能化防火墙技术。

智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能 方法 来对数据进行识别，并达到访问控制的目的。新的方法，消除了匹配检查所需要的海量 计算，高效发现 网络 行为的特征值，直接进行访问控制。智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的 问题、病毒传播问题和高级 应用 入侵问题，代表着防火墙的主流 发展 方向。新型智能防火墙自身的安全性较传统的防火墙有很大的提高，在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面，与传统防火墙相比较有质的飞跃。

4.PKI技术。

PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。

（1）认证机构

CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职

责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。

（2）注册机构

RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。

（3）密钥备份和恢复

为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

（4）证书管理与撤消系统

证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。

四、总结

电子商务安全对计算机网络安全与商务安全提出了双重要求，其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题，制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展，同时也促进安全的电子商务体系的形成。当然，任何一个安全技术都不会提供永远和绝对的安全，因为网络在变化，应用在变化，入侵和破坏的手段也在变化，只有技术的不断进步才是真正的安全保障。

篇2：商务安全

一、IBM、HP公司是如何展开电子商务的，他们有哪些好的电子商务安全措施以及他们对电子商务有什么新的看法。

IBM的展开“电子商务e代”

1997年3月，IBM第一个提出“电子商务”的概念，希望以此来推动IBM的整体业务，包括软件、硬件与服务。以当年美国为例，只有20％的美国人了解“电子商务”。IBM为了推广“电子商务”的概念发动了一个大型品牌营销战役。IBM当时的策划营销宣传战的主旨是，借助互联网引起讨论电子商务问题的热潮。IBM采取了全方位的品牌传播策略，以使目标受众群理解电子商务的概念，认识到它的优势。当时电子商务方兴未艾，营销宣传战役明确了电子商务所面临的问题，将IBM定位为解决问题的方案提供者，从而使IBM在虚拟世界新兴的“圈地运动”中，夺取了更广泛的领地。整个战役十分成功，同时引发了全球的电子商务热潮。网络发展的命运确令人们始料不及。2000年下半年，网络经济泡沫破裂，大批.com公司倒闭，人们依托互联网的电子商务能否真正盈利，深表怀疑。此时，谁如果能够迅速指出电子商务的发展方向，阐明发展前景，必将获得电子商务进入大发展时期的主动权与领导权。

IBM推出“电子商务e代”的营销宣传战役。IBM通过整个战役希望达到以下两个目标：第一、增加品牌认知度；第二、保持与电子商务概念紧密联系的领导地位。

这次的宣传战主要是推出IBM对于电子商务的全新诠释。宣传战前后分为两个战役。前一个战役的主题信息是“宣告电子商务的本质：就是商务”；紧接着的后一战役，着力推广“电子商务基础设施与电子商务解决方案”的核心思想。IBM HP安全措施：惠普安全智能和风险管理平台可以帮助客户转型其安全环境的关键，它是一个整合与关联平台，能够在成百上千的输入源中寻找威胁模式。这些输入源包括日志文件、应用安全情报、防火墙和入侵检测，以及保护服务数据。该平台包括ArcSight Express 3.0，通过CORR引擎驱动的先进的日志分析、关联分析和报告功能，帮助客户检测并防御网络威胁。CORR将每秒处理的事件数量提升500%，从而加快了分析和检测速度。它还将每个ArcSight设备上可存储和可搜索的数据量提高1000%，从而降低了成本。现在很多网络攻击80%都是从应用层面开展的，惠普Fortify安全中心通过静态编码分析，识别并消除应用漏洞，通过消除已部署应用中的安全隐患，保护软件免受网络工具，为安全的应用提供更快的价值转化。

IBM、HP公司对电子商务新的看法

2010年 3月 5日，IBM 在古都西安成功举办了“2010 IBM 智慧的地球之动态架构高峰论坛”。会议当天盛况空前，到会专家与现场 149名客户嘉宾，共同探讨了如何在“智慧的地球”理念下，创建一个灵活、弹性、智能、面向服务的世界级数据中心，使之成为探索创新商业模式的“智慧”引擎。会议围绕依托动态架构创建世界级数据中心，带来了云计算、动态工作负载优化、业务连续性规划

等多领域精彩内容；同时，期待已久的 POWER7 也隆重登场，带来了高端服务器发展的最新旗舰！

惠普海航战略合作四大领域 信息产业化突破未来。中国惠普有限公司与海航集团有限公司在海南省海口市共同签署了战略性合作框架协议。根据协议，海航集团和惠普公司将在四大领域建立战略合作伙伴关系：双方将共建海航-惠普信息管理培训中心和海航新一代绿色数据中心、合作运营互联网数据中心

（IDC），并在IT基础架构产品和解决方案领域进行深入合作，以推动地区和相关行业的信息化进程。惠普公司全球副总裁、中国惠普总裁符标榜，中国惠普副总裁潘家驰，海航集团董事局董事长陈峰，海航集团执行总裁助理喻龑冰等出席了签字仪式。

海航集团执行总裁助理兼信息管理部总经理喻龑冰说：“在数字化战略的指引下，经过多年的不断发展，海航集团信息化建设取了骄人的成果，在2008年中国企业信息化500强中排名第31名。在服务集团信息化的过程中，海航集团旗下的海南海航航空信息系统有限公司在IT技术、产品、人才等方面实现了雄厚的积累，通过多次卓越的技术实践为海南经济社会的发展作出了贡献。为了不断加强海航的信息化建设力度，实现信息产业化的发展目标，进一步推动区域经济的发展，海航希望通过强强合作，借助惠普公司的力量加快这一进程。海航相信，惠普在企业战略规划、新一代数据中心、IT基础设施和服务等方面的领先技术和雄厚实力，将为海航的战略发展提供更多新鲜血液。”惠普公司全球副总裁、中国惠普有限公司总裁暨中国惠普企业计算及专业服务集团总经理符标榜表示：“海航是中国信息化建设领域的领导者，制定了面向未来的清晰发展战略。惠普是全球最大的IT企业之一，也是全球新一代数据中心建设的领导者，以及全球信息服务业的领导者。此次战略合作，将惠普公司在企业战略和信息化规划、新一代绿色数据中心建设以及IT设备和IT外包服务等方面的优势，与海航集团的信息化建设和信息产业化发展战略相结合，全面扩展了双方既有的合作关系，加快了海航集团在信息服务领域的发展步伐。双方的合作同时也将更好地促进海南本地的IT人才培养，提升就业，助力海南信息产业发展和国际旅游岛的建设步伐

二、生活中你所涉及到的和电子商务有关的安全问题都有哪些？

1、对电子商务活动安全性的要求:

(1)服务的有效性要求。

(2)交易信息的保密性要求。

(3)数据完整性要求。

(4)身份认证的要求。

2、电子商务的主要安全要素

(1)信息真实性、有效性。

(2)信息机密性。

(3)信息完整性。

(4)信息可靠性、可鉴别性和不可抵赖性。

三、作为一名电子商务专业的学生，请罗列出你记忆中所参与过的电子商务活动并搜集中国2009年电子商务大事记。

中国2009年电子商务大事记：

2009年1月，网易“有道”搜索推出国内首个面向普通大众提供购物搜索服务的购物搜索，随后谷歌(中国)也采取市场跟进策略，推出类似搜索产品，这标志着“购物搜索时代”的启幕。

2009年1月，今日资本、雄牛资本等向京东商城联合注资2100万美元，引发国内家电B2C领域投资热。

2009年2月，慧聪网行业公司获ISO9001质量管理体系的证书，成国内首家获得ISO质量管理体系认证的互联网企业。

2009年4月8日，B2B上市公司生意宝宣布“同时在线人数”与“日商机发布量”这两大B2B平台重要指标，双双突破百万大关，参照国内外同行已位居全球领先水平，仅用两年走完了同行近10年的历程，创造了我国B2B乃至电子商务历史上的又一“中国式速度”。

2009年5月1日起，由中国国际经济贸易仲裁委员会颁布的《中国国际经济贸易仲裁委员会网上仲裁规则》正式施行，该规则特别适用于解决电子商务争议。

2009年5月3日，当当网宣布率先实现盈利，平均毛利率达20%，成为目前国内首家实现全面盈利的网上购物企业。

2009年5月，继生意宝推出“生意人脉圈”涉水SNS后，淘宝、阿里巴巴也随之先后推出相应SNS产品，由此，标志着当前最热门的SNS在我国跨入“电子商务时代”。

2009年6月，宁波市在提出打造“行业网站总部基地”之后，又宣布打造“电子服务之都”的目标。

2009年6月，视频网站土豆网、优酷网先后启动将视频技术与淘宝的网购平台相结合，共同提升用户网络购物的真实体验，推出“视频电子商务”应用技术。

2009年6月，“国家队”银联支付与B2C企业当当网签订合作协议，这是银联支付成立七年来，首度进入电子商务支付领域，与在线第三方支付市场领导支付宝形成了正面竞争。

2009年7月24日，淘宝网“诚信自查系统”上线，为C2C历史上规模最大的一次反涉嫌炒作卖家的自查举措。

2009年8月，百度宣布以“X2C”为核心的电子商务战略，并公布“凤鸣计划”。

2009年8月，中国电子商务协会授予金华为“中国电子商务应用示范城市”。2009年9月，卓越亚马逊再次推出全场免运费与当当网相持，这是两大行

业竞争者十年来首次同时免运费，标志着“免运费”将开始成为B2C行业标准规则。

2009年9月，“首届电子商务与快递物流大会”在杭州休博园召开，其宏观背景是，物流快递行业作为电子商务的支撑产业之一，近几年在第三方电子商务平台的带动下得到了快速发展

2009年9月，杭州政府发布鼓励电子商务创业优惠政策，杭州市居民在家开网店每月可领200元补贴。

2009年9月，中国电子商务研究中心发布了《1997—2009：中国电子商务十二年调查报告》，该报告是我国电子商务12年来首份较为系统、全面、详实的第三方调查报告，首度对我国电子商务12年来发生的大事记进行了梳理归类与历史记录。

2009年12月，申通“封杀”淘宝，圆通、韵达、中通齐涨价。淘宝、京东商城纷纷自建配送中心。

2009年12月，中国制造网在国内A股市场上市，成为B2B市场中除阿里巴巴、环球资源、网盛生意宝、慧聪网外的第五家上市公司。

4、请简单总结2009年电子商务安全领域在国际和国内发生的重要事件，从中你能得到什么启发？

答：1月，淘宝网对外宣布2008年交易额达999.6亿元，同比增长131%，已成为亚洲最大网上零售商圈

3月，阿里软件全面进入管理软件市场，将投入十亿元巨资，向中小企业推广管理软件，并承诺未来三年免费

5月，首届网货交易会在广州举行

6月，淘宝开放平台(Taobao Open Platform，简称TOP)Beta发布，“大淘宝战略”又有了实质性的进展

7月，阿里软件与阿里巴巴集团研发院合并

8月，阿里软件的业务管理软件分部注入阿里巴巴B2B公司；作为“大淘宝”战略的一部分，口碑网注入淘宝，使淘宝成为一站式电子商务服务提供商，为更多的电子商务用户提供服务

9月，阿里巴巴集团庆祝创立十周年，同时成立阿里云计算

篇3：电子商务安全技术

1电子商务的安全问题

在电子商务发展的过程中最主要的一个问题就是要切实保障交易双方在交易过程中的安全性。目前我国电子商务的安全技术比较落后,缺乏国际水平的安全技术的加持。设备体系不够健全、完善。保证安全性的产品技术不过硬,不能够适应越来越复杂的电子交易环境。在电子商务的发展过程中,容易出现各种人为导致或自然产生的机器与系统故障,以及来自内部和外部的病毒入侵。严重影响到电子商务的安全。在交易过程中,则存在买卖双方的欺诈行为,各种不良交易方式与投机手段,对买家的个人信息进行窃取,不承认交易事项等。

2电子商务安全的要素

1)有效性。电子商务的发展需要我们对更多的经济事项予以确认。信息的有效性保证到交易过程中每一位参与者的利益。要对信息技术与网络过程中的问题与故障做到有效、及时的预防与处理,防止各种病毒的入侵,技术故障对正常交易的影响。并保证交易过程中数据等的有效性。2)机密性。传统的交易模式中,信息之间有着可靠的交换渠道。互联网是一个开放的平台,在此平台运作的电子商务更需要提高自身的机密性,电子系统将信息进行加密,对信息的传送过程更严格的监控,以预防信息随时被不法分子拦截。3)可靠性。传统的交易中。交易双方的交易有签名、印章等来保证交易的真实性与可靠性。在电子交易中,交易则突破了空间的界限,不能通过太多保证性质的契约来确保交易的可靠性。电子商务系统要为交易双方提供可以检验对方具体情况的体系,来验证双方的真实性。为电子交易保驾护航。

3电子商务的安全技术

电子商务的发展依赖于互联网环境,而互联网中常常发生各种不可控的安全问题。电子商务发展的不断深入也需要其提高自身的安全性,下面的各项技术对提高电子商务的安全性有很大的帮助。1)加密技术。作为电子商务中基础的安全技术,加密技术分为对称加密和非对称加密。对称加密就是使用相同的加密算法,将专用的密匙交换。在密匙交换的过程中要保证交易双方的交易信息没有外泄。非对称密匙则分为公开密匙和私有密匙。公开密匙对外公布,私有密匙的信息由密匙发布者保管。得到公开密匙的用户可以将加密信息发送给密匙的发布者,跟据加密信息将公开密匙与私有密匙解密。对称密匙的优点是加密速度快,但是在密匙传达过程中容易被不法分子拦截、破解。非对称密匙的算法难度系数高,效率比较低,但是保密性则优于对称加密。2)防火墙技术。防火墙技术就是在网络之间建立一个保护层,对网络之间的访问进行监管与控制,内部网络与外部网络之间的任何联系与交流都需要受到保护层的监控,使防火墙内的网络免受外部不安全的服务和非法信息的攻击与入侵,在内部网络之外形成一道防火墙来保证内部网络的安全与顺畅。3)数字摘要。数字摘要就是使用函数将加密的明文摘要成固定长度的密文。密文与明文相互关联,不同的明文加密为不同的密文,相同的密文数字摘要也相同。收到信息之后利用方法计算出结果,如果计算结果与摘要相同,通过数字摘要就可以检测出接收到的明文是否是原始的有没有经过改动。从而确保信息的完整性与真实性。4)数字签名。数字签名是发送方从报文文本中生成一个散列值,利用公开密匙的计算方法与散列函数,将散列值加密形成数字签名。再将数字签名传输给接受方,接收方根据内容计算出散列值,再用发送方的公开密匙对报文的数字签名进行解密,若散列值一致,则说明接收方接收到了来自发送方的数字签名。通过数字签名可以对电子商务交易事项的真实性做出判断。5)数字凭证。数字凭证是利用电子手段来判断用户的身份,在电子交易过程中,双方利用各自的数字凭证来进行各项操作。公匙对应各自的数字证书,私匙则通过安全的方式传给用户。在凭证中,常用的是个人凭证与企业凭证,个人凭证在单人用户的电子商务交易过程中保障其的安全,拥有企业凭证的企业则可以通过网络服务器,来进行安全的电子商务交易。6)数字信封。数字信封则是对数据进行加密。SE T消息发送时,利用D E S密匙将SE T消息进行加密,并用公匙把密匙加密,形成数字信封,将信息一起发送给接受者。私人密匙只有接受者才能得到,数字信封中的信息也只有接受者才能看到。数字信封加大了安全性能,保障了信息的私密性。7)CA认证。在以上各安全措施得以顺利进行的过程中,需要一个第三方认证机构的参与。CA认证中心就是这样一个具有权威性的认证机构。电子商务交易过程中的用户在申请数字证书的时候,CA认证中心就对各用户的具体情况进行检查与核实,提供身份认证服务,达到申请条件的用户则颁发数字证书。认证中心只掌握用户的公开密匙,使认证中心自身的安全性得到保障。

4结语

现代经济的不断发展与进步也会催生越来越多的经济交易新模式。电子商务在目前的经济发展领域与互联网发展领域中都占有越来越重要的地位。建立一套完整的电子商务安全体系,保证交易事项单位顺利进行,保障交易参与者的利益,提高电子商务的安全性。使我国的电子商务能更快、更好、更安全的发展。

参考文献

[1]孙晓茹.当前电子商务安全技术的研究及发展趋势[J].商场现代化,2013,(26):75.

[2]孙艳凤.电子商务交易中应用的计算机网络安全技术[J].中国电子商务,2014,(1):24.

篇4：“安全隧道”也商务

VPN建在互联网的公共网络架构上，通过“安全隧道”协议，在发送端加密数据、在接收端解密数据，以保证数据的私密性。但是，现行IPSec标准 VPN的广泛使用却给公司内部IT部门带来无穷的烦恼，因为IPSec VPN的使用者在下载软件和维持连接时需要IT部门的支持。另外，在接入网络和宽带网络广泛使用NAT技术，也给IPSec VPN的接入带来了麻烦，因为数据包在进入Internet之前，必须进行一次从私有Internet地址到公用Internet地址的转换，而IPSec 本身却要求包在发出和被收到期间都不能发生任何改变。虽然最近新的NAT-T 协议支持IPSec VPN，但是配置的复杂程度非常高。

因此，人们又把目光投向原先用于应用层加密的SSL（Secure Socket Layer，安全套接层）技术。希望这种面向应用的SSL协议能够承载比原来更多的内容，为用户提供更简便的接入方式，以替代复杂的IPSec VPN技术。

左看右看SSL

SSL协议最初由Netscape公司发起，现已成为网络用来鉴别网站和网页浏览者身份以及在浏览器使用者和网页服务器之间进行加密通信的全球化标准。由于SSL技术已建立到所有主要的浏览器和Web服务器程序中，因此，仅需安装数字证书或服务器证书就可以激活服务器功能了。我们常用的IE浏览器和IIS Web 服务器就默认支持SSL协议。

适用范围

大多数SSL VPN本质上都是支持SSL方式的Http反向代理和加密通道，由IE浏览器客户端开始，以Http代理服务器为总结。这样，它们非常适合于具有Web功能的应用，只要通过任何Web浏览器即可访问。Http反向代理支持其他的查询/应答应用，譬如基本的电子邮件、复杂的ERP和CRM等客户机/服务器应用。换句话说，SSL VPN技术最为适用的典型应用环境包括ERP、CRM、SCM、OA、财务、人力资源及物流管理等应用管理系统，还有电子商务交易平台、局域网内共享文件资源、电子邮件或者是IT年投入在50万元（人民币）以上的企业应用。如果从行业角度来看，像具有分布式网络应用、诸如金融、电信、政府机关及制造业等中大型企业都适合选用这种技术。对于这些类型应用的访问，SSL VPN为远程连接提供了简单、经济的方案，是一种即插即用型、不需要任何附加的客户端软件或硬件的安全产品。

绝对优势

与IPSec的第三层加密的VPN技术相比，SSL VPN显然和SSL一样，是一个第七层（应用层）加密的技术。因此它的优点是明显的，不会受到三到四层网络协议变化的影响，实施和部署起来也更加灵活，不必考虑太多网络的拓扑结构及对连接可能产生的影响。此外，SSL VPN不需要另外安装客户端软件的特性和IPSec VPN配置的复杂性形成了鲜明的对比。

相对劣势

然而，大多数SSL VPN也存在一个弱点，就是它们仅提供访问Web应用的能力，不能满足企业用户所需的访问C/S应用的能力。目前，许多公司都依赖一些遗留下来的系统，如Oracle和SAP等厂商提供的C/S应用，所以它们不能考虑SSL VPN，或者仅仅部分使用SSL VPN。但是，事实并非如此。由于代理技术的使用，使得除了SSL能访问的传统应用类型外，现在能提供对更多类型应用的访问能力。

VPN流行色

目前，能够提供支持SSL VPN技术的解决方案还不多，大多数VPN安全厂商还锁定在IPSec VPN技术上，但随着移动商务的普及，有不少厂商开始将目光转向了SSL VPN。附表便描述了国外主流VPN厂家对SSL VPN的支持情况。

从附表我们可以看到，北电网络（Nortel ）、彩虹天地和诺基亚（Nokia）及（NetScreen）是同时提供支持IPSec VPN和SSL VPN技术的安全厂商。

朴实无华的SSL VPN

北电网络在Alteon 交换机的先进技术的基础上推出 Alteon SSL的SSL VPN解决方案。除了支持常用的Web方式以外，还通过Java Applet的方式和增强的客户端方式，保证Web为主的各种应用程序都能通过SSL VPN来进行访问。这种SSL VPN是通过在传统IPSec VPN上加载SSL软件来实现的。

10月21～24日，在北展举办的第5届安全展上，用户可以看到与国外几乎同步上市的SSL VPN产品。一个是彩虹天地的NetSwift iGate，一个是诺基亚的NSAS。

密钥在握的SSL VPN

彩虹天地SSL VPN方案又称“一站式”Web安全解决方案，它通过USB硬件密钥的方式来加强客户端的身份认证功能。

NetSwift iGate由硬件和软件两部分组成：硬件是指标准1U（或2U）设备iGate和iKey密钥（如图1所示），前者工作于防火墙和后端服务器之间，从客户端到iGate采用SSL协议加密，而iGate与服务器间的通信使用标准Http协议，它内置10/100/1000Mbps自适应网卡，使用Rainbow特有的CryptoSwift SSL加速卡完成SSL加解密工作；后者用于客户端登录，用户只要将它插入客户机，通过iKey+PIN码的双因素认证方式，即可将信息安全地传递到iGate，由iGate将其解密后以Https协议传递到后端服务器，而从服务器返回的信息再由iGate加密后传递到客户端。软件是指内置在硬件中的操作系统和管理软件，以及ACM访问控制管理工具及客户端软件（iKey驱动和浏览器插件）。

NetSwift iGate独特之处在于不仅针对网页或非网页应用程序进行保护，更能将SSL加密隧道结合独有的双因素身份认证来确认远程访问者的真实身份，避免口令泄露和黑客入侵等可能带来的损失。

控于掌股间的SSL VPN

诺基亚安全接入系统Nokia Secure Access System（NSAS）即是SSL远程接入解决方案，它是一个单一的、工作于防火墙之后的硬件设备。NSAS具有两大与众不同之处，一是采用先进的接入控制技术。NSAS不仅仅是一个基于SSL的VPN解决方案，它还是一个采用了比一般的SSL VPN更高明技术的方案——基于连接状态的安全接入控制。通常的SSL VPN只为特定用户设定权限，但不能根据客户端状况发放访问权限，而NSAS却能够透过诺基亚完整性扫描和数字证书的出示，辨别用户身份、所采用的通信工具、接入时的安全状况（比如是否安装了防毒软件等），自动调整用户的接入权限。如果用户得到完全信任，则开放所有访问权限；如果身份被认可而安全性证明不足，则只开放邮件系统。可以说，客户端完整性扫描是NSAS独有的技术，它可以让网管监测到远端用户是否使用系统规定的安全产品（如防毒或防火墙等），也可以帮助网管判断远端用户机是否为其他计算机所控制及属于何种接入设备等。

NSAS的另一个独特性质是具有持续性会话（Session Persistence）功能。当用户的SSL会话因没有话务活动而超时后，允许用户进行恢复工作，以避免数据丢失，并使用户对话不出现中断。

应用“三家巷”

通过在防火墙后面部署一个 SSL VPN的Gateway，同时开放一个响应的SSL VPN端口，就可以让Internet上的用户访问到公司内部网络了（如图2所示）。

用户可以通过3种不同的客户端形式，在任意类型的网络中，访问到公司内部的资源。

第1种方式：完全通过浏览器方式访问公司。这种方式对于Web应用是最直接的方式。

第2种方式：通过浏览器和Java Applet的方式。主要用于访问诸如E-mail或者Telnet等服务时候使用。

第3种方式：通过特定的客户机来访问公司内部网络，主要为支持客户机和服务器方式的应用程序。

同时这3种方式都可以支持用户认证和访问控制，并且和公司本身身份认证系统相结合（如Radius和LDAP身份认证等）。

后记

SSL VPN作为一个新兴的技术，有着强大的生命力。但是它只能解决一部分IPSec VPN所不能解决的问题。因此它会作为 PC to Gateway方式的VPN一个主要解决方案，来提供客户端到公司内部网络的访问需求。而对于 LAN to LAN的VPN 方案而言，IPSec依然有它速度和性能上的强大优势。因此这两种技术会相辅相成，长期共存很长一段时间，一直到IPv6到来的那一天。

安全新风向

移动商务风起云涌，安全问题随风而至。SSL VPN可谓服务于移动商务的急先锋，接下来，将有不胜枚举的各式各样支持移动商务的安全产品迭出。比如在第5届安全展上，人们看到的诺基亚Nokia Access Mobilizer（NAM），一种允许企业员工通过无线网络使用任何配有浏览器的设备，让用户可以安全、直观和简单的方式访问企业的电子邮件、附件、日历、联系人列表、任务列表、内部网和启用HTML的企业应用等。用户可以阅读Microsoft Word文档、RTF文件、Adobe PDF文档、Microsoft Excel文件和Microsoft PowerPoint文件，查看图像文件，阅读网站新闻，回复或转发电子邮件并保留“已发送（Sent）”的内容。当用户选择查看一封电子邮件或浏览内部网站点时，NAM在数据传输过程中重新制作数据的格式，根据用户选择的偏好提供对内容的实时访问，并动态地对用户的这种偏好进行优化，使其能够显示在不同外形（和物理限制）的设备上。

又如针对使用Symbian操作系统的手机推出可应用于60系列的移动设备（如诺基亚3650和7650手机）的移动VPN客户机和安全服务管理器，前者是开放的、标准的IPSec VPN客户机，后者可以方便地在不同的网络和手机上部署和管理这种移动客户机，而且可以提供自动安全策略和其他内容更新功能。

篇5：电子商务的安全

摘要：随着互联网的迅猛发展,网上交易日益成为新的商务模式，基于网络资源的电子商务交易已为大众接受。在享受网上交易带来的便捷的同时，交易的安全性备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。因此，网络信息安全性就成了电子商务成功发展的关键因素，下面从电子商务中存在的安全问题、电子商务的安全要素以及安全技术等方面对电子商务交易中的安全问题进行分析。

从消费者得角度出发，消费者在网上订购并确认了向某个商家购买某一个产品，在支付环节会存在如下一些问题：

（1）例如，消费者在网上订购了某件商品，他之所以付款，是相信网上商城的信誉，但如果出现经济纠纷，谁知道我付了款呢？凭证在哪？怎么打官司？给了钱，没凭证，支付后一直担忧。

（2）消费者没拿到货，就找商家，商家给了答复：“我们却是知道你要买某个商品，但是我们没有收到钱，怎么给你发货呢？”给了钱，商家说没收到，消费者去找谁呢？在支付过程中，钱的去向无法确认。

（3）消费者找到开户银行，经过查找，银行说：“你的账户上却是扣除了商品价值的金额，不是实时发生的，划出去了，但我方也无法证明这笔划出的钱就是用于购买该商品的钱。”给了钱在账户划付过程中，款项用途不清，就存在划出去的这笔资金丢失的风险。

（4）消费者无权查看商家的开户行，因为与之无业务往来，但是还是去问了，当然，商家的开户行不予理睬。给了钱，四处奔波，比传统购物花费的时间更多。

（5）后来一直是没收到货，消费者哑巴吃黄连，自认倒霉。给了钱，花了时间和精力，却什么也没得到。消费者最后的选择结果很可能是，再也不上网购物了！

消费者可能遇到的这些问题，却是是网上购买实物商品过程中常常会出现的问题。这些问题产生的原因可能是:网上支付的实时问题，交易过程凭证的产生和法律保证问题，款付货到期限的商业信用无法建立的问题，网上交易消费者的权益保护问题等。因此网上支付的安全问题的解决可以从三个方面入手：一是实施技术保障，而是加强制度管理，三是，加强法律社会保障。只有解决了这三个层面的问题，才能侧地解决支付安全的问题。而这其中消费者最熟知和最信任的关键部门就是银行了。

商家角度上的安全问题，在网上购物刚兴起的一段时间里，通过网络销售的商品主要以家庭日用品，图书，音像制品为主，这样商品可以通过信息加以详尽的描述，但是现在，随着网上购物的不断发展，通讯商品，电子产品及其其他各种能够想到的东西基本上都能在网上找到，但这时，过去那样的简单描述已经不能适应整个网络市场的发展了。一些不法商家也就正是盯上了网上购物的这种潜在缺陷，肆意的夸大产品功能，或是直接作虚假广告，用不切合实际的产品描述来引诱购买者。很多消费者也常会因为刚刚接触网上购物而无辜的上当受骗。除此之外，也有一部分蓄意欺骗的商家收到了购买者汇来的钱而故意不发货，私吞下这笔资金。对于这类情况，淘宝和易趣网都采取了通过一系列的信用等级评价机制透明地如实反映卖家的信用额度以及过去的每一笔交易的明细的方法来减少这种不安全性，买家可以参考这些信息，甚至与曾经与此卖家交易过的买家沟通。但这些方式都只能降低商家网上欺骗成功的概率，不能从根本上减少这种事件的发生。要想彻底根治，还是要从商家本身以及交易平台的总体设计入手。

在电子商务中主要表现为商业机密的泄露，包括两个方面:一是交易双方进行交易的内容被第三方窃取；二是交易一方提供给另一方使用的文件被第三方非法使用。2.信息被篡改。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或被多次使用，这样就使信息失去了真实性和完整性。3.身份识别。身份识别在电子商务中涉及两个方面的问题：一是如果不进行身份识别，第三方就有可能假冒交易一方的身份，破坏交易、败坏被假冒一方的信誉或盗取交易成果；二是不可抵赖性，交易双方对自己的行为应负有一定的责任，信息发送者和接受者都不能对此予以否认。进行身份识别就是防止电子商务活动中的假冒行为和交易被否认的行为。4.信息破坏。一是网络传输的可靠性，网络的硬件或软件可能会出现问题而导致交易信息丢失与谬误；二是恶意破坏，计算机网络本身遭到一些恶意程序的破坏，例如 病毒破坏、黑客入侵等。

篇6：电子商务安全论文

电子商务安全论文【1】

[摘要] 本文首先澄清了电子商务及EDI的相关概念，而后进一步对安全的重要性做出评述。

最后，重点阐述了目前常见的几种EDI安全保障技术，并对其相关措施简明描述。

[关键词] 电子商务 EDI 安全

一、电子商务安全问题概述

近年来，随着互联网的激速发展，电子商务也在迅速崛起。

电子商务这一新的商业形式彻底改变了传统的交易方式，也随之打破了旧有工作经营模式。

它通过网络使企业获得一次近乎平等的竞争机会，并且也从各个细微的领域影响着全国乃至世界的经济发展趋势。

就在电子商务为我们带来极大便利的同时，相关的安全问题也日益凸现出来。

众所周知，电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息，因此，IT技术本身的一些缺陷和弊端便不可避免地带入了电子商务的领域。

电子商务的安全问题，基本可以划分为两大部分，即计算机网络安全和商务交易安全。

计算机网络安全问题是IT技术所固有的问题，主要包括网络设备安全、网络系统安全、数据库安全等多个方面，其特征是针对计算机系统及网络本身的安全问题。

目前针对这一方面的问题提出的解决方案不胜枚举，从针对个人终端的各种杀毒和预防性软硬件体系，一直到针对大型企业及专业支付平台的多层安全机制应有尽有。

而商务交易安全则紧紧围绕电子商务所产生的网上交易展开，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。

即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。

二、EDI的概念

随着电子商务的日渐成熟，EDI的应用也日趋普遍，目前，EDI已经遍布于电子商务的各个角落，电子商务安全的问题也随之转化成了EDI的安全问题。

EDI是英文Electronic Data Interchange的缩写，即电子数据互换，目前，EDI已经成为了在公司之问传输订单、发票等作业文件必不可少的电子化手段。

EDI的本质在于，通过常用的计算机通信网络，传输与企业业务密切相关的报文数据，而报文数据的格式及内容等特征，则被明确的规范出来。

目前，由于EDI的出现减少甚至消除了商业交易过程中的众多纸面文件，因此EDI又被人们通俗地称为“无纸贸易”。

既然EDI和核心在于传输数据，因此一般电子商务所面临的传输方面的安全问题都会相应的出现在EDI的使用领域。

三、EDI的安全技术

既然EDI的主要职能在于传输数据，并且由于EDI是服务于电子商务的一个重要组成部分，因此EDI所涉及到的传输内容常常是一些商务数据，而这些数据一旦丢失，企业就有可能遭受损失，甚至面临危机，因此安全对于EDI来说至关重要。

EDI的安全，几乎已经成为了电子商务安全的核心部分。

然而计算机网络是一个相对开放的环境，不安全的因素来自四面八方，难以预测，更不能控制。

人们一直都在为网络环境的安全作着不懈的努力，目前，应用于EDI体系中的安全手段可以主要划分为如下几个方面：

1.存储安全技术

存储安全是指当数据保持相对静止的状态时，为确保数据安全而采取的各项技术。

具体包括了数据的本地存放状态的安全，以及传输过程中的安全。

通常而言，常用的存储安全技术主要是指封装技术。

目前密码封装是常见的数据安全封装技术，主要包括两个重要类别，即私钥加密体制以及公钥加密体制。

其中私钥加密体制又称对称加密体制，即加密与解密时使用相同的密码。

具体又包括两种，即分组密码，如美国数据加密标准(DES)采用的密码算法，以及可以将明文符号立即转换为密文符号的序列密码。

相比之下，序列密码具有运算速度更快、安全性更高的特点。

2.传输安全技术

EDI安全体系最重要的职能之一，是数据一旦发出，系统就必须要有效跟踪数据以确保被收到。

在这一方面，根据安全技术实施的对象可以划分为两大类，即链路加密及端对端加密两种方式。

具体来说，链路加密是对保密信息通过的各条线路采用不同的加密密钥以提供安全保护的措施。

这种安全手段的特点在于可以确保每条链路上的传输的都是经过加密保护的数据，但是链路之间的节点上却会出现未经加密的明文。

端对端加密与链路加密有所不同，它可以为两个用户之间传送的数据提供连续保护，数据在信息源一端被加密，到达目的一端才会被解密。

这样数据在中间节点和链路上均以密文形式出现，相比之下大大提高了信息位于中间节点上的安全性。

但是端对端加密同样存在问题。

由于数据在端对端加密技术的控制下中途不得解密，因此包含着数据源头和目的地等一些信息的数据报文报头必须裸露在加密内容的外面，这就为报文流量分析提供了可乘之机。

而链路加密则可以对包括报头在内的整个数据报文进行加密，这就使得报文流量分析无孔可入。

3.网络安全技术

对于EDI而言，网络安全技术的主要形式即防火墙技术。

在这一类安全技术下，具体可以分为两个大类，即包过滤技术和应用级网关技术。

包过滤技术就是在网络中的适当位置对数据包实施有选择放行。

这种技术有赖于在路由器上安装包过滤软件来实现。

而应用级网关技术则直接提供一种代理服务。

它负责对外来的应用连接请求进行回应，并将通过其安全检查的连接请求与被保护的网络应用服务器连接，为外部服务用户提供在受控制的前提下访问并使用内部网络的服务。

参考文献:

[1]俞之杭:电子商务质量和安全分析[J].集团经济研究，(12):395―396

[2]杨晋:现代电子商务安全技术研究[J].网络安全技术与应用，(1):66―68

电子商务安全策略【2】

[摘 要] 电子商务是商务发展的内在要求及技术发展的外在推动下应运而生的，安全性是第一位要考虑的问题，是由一系列安全机制工作组成。

本文主要从技术角度详细分析了其中存在的安全隐患和威胁，详述了安全性需求和实现网络的安全技术策略，并探讨了保证交易安全的两个协议，即安全电子交易协议SET和安全套接层协议SSL，并对两种协议做出了相应的分析和比较。

[关键词] 安全体系 加密 数字证书 电子商务 安全交易标准

一、引言

当前的电子商务是指通过电子方式的商务活动。

它作为一种全新的业务和服务方式，为全球客户提供了丰富的商务信息、便捷的交易过程和廉价的交易成本。

但是，电子商务给人们带来方便的同时，也把人们引入安全忧虑之中。

买方担心在网络上传输的信用卡及个人资料被截取;卖方则担心收到的是被盗用的信用卡号码，或是交易不认账等，这些存在的安全漏洞问题已成为阻碍网上交易发展的首要问题。

相对于传统商务，电子商务对管理机制、实施平台和信息传递技术都提出了更高的要求，其中安全体系的构建尤为显得重要，已成为电子商务能否得到进一步发展和推广的关键所在。

二、电子商务安全体系结构

1.电子商务中存在的安全隐患和威胁

Internet是电子商务实现的网络基础，它采用TCP/IP完成不同网络与不同计算机之间的通信，正是由于这些特点，使它给电子商务带来了很多的安全问题。