电子商务安全管理-论文

目录
目录 (Ⅰ)
摘要 (Ⅱ)
关键词 (Ⅲ)
一、电子商务中存在的安全问题 (3)
（一）商务安全中普遍存在的几种安全隐患 (3)
（二）商务安全的要求 (4)
二、电子商务的安全技术 (4)
三、电子商务中的安全控制 (5)
四、电子商务中的网络信息安全管理 (5)
五、电子商务信息安全中的其它问题 (6)
六、结语 (7)
参考文献 (8)
致谢 (9)
摘要
随着互联网的全面普及，基于互联网的电子商务应运而生，近年来获得了巨大的发展。

Internet所具有的开放性是电子商务方便快捷、广泛传播的基础，而开放性本身又会使网上交易面临种种危险。

作为一种全新的商务模式，本文从电子商务的技术问题以及管理问题作了基本的探讨，阐述了电子商务系统中的安全问题。

分析了电子商务安全管理体制方面存在的不足和原因，提出了一些加强人员安全管理的建议，为电子商务企业的安全管理提供借鉴。

关键词：电子商务安全控制安全对策网络安全商务安全
Internet所具有的开放性是电子商务方便快捷、广泛传播的基础，而开放性本身又会使网上交易面临种种危险。

一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面，而应该是利用Web技术使Web站点与公司的后端数据库系统相连接，向客户提供有关产品的库存、发货情况以及账款状况的实时信息，从而实现在电子时空中完成现实生活中的交易活动。

这种新的完整的电子商务系统可以将内部网与Internet连接，使小到本企业的商业机密、商务活动的正常运转，大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。

因此，安全性始终是电子商务的核心和关键问题。

电子商务的安全问题，总的来说分为二部分：一是网络安全，二是商务安全。

计算机网络安全的内容包括：计算机网络设备安全，计算机网络系统安全，数据库安全，工作人员和环境等。

商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。

即实现电子商务的保密性，完整性，可鉴别性，不可伪造性和不可依赖性。

一、电子商务中存在的安全问题
网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性。

作为一个成功的电子商务系统，首先要消除客户对交易过程中安全问题的担心才能够吸引用户通过WEB购买产品和服务。

使用者担心在网络上传输的信用卡及个人资料被截取，或者是不幸遇到“黑店”，信用卡资料被不正当运用；而特约商店也担心收到的是被盗用的信用卡号码，或是交易不认账，还有可能因网络不稳定或是应用软件设计不良导致被黑客侵入所引发的损失。

由于在消费者、特约商店甚至与金融单位之间，权责关系还未彻底理清，以及每一家电子商场或商店的支付系统所使用的安全控管都不尽相同，于是造成使用者有无所适从的感觉，因担忧而犹豫不前。

因此，电子商务顺利开展的核心和关键问题是保证交易的安全性，这是网上交易的基础，也是电子商务技术的难点。

商务安全指商务交易在网络媒介中体现出来的安全问题,也就是要实现电子商务信息的保密性,完整性,真实性和不可抵赖性。

在早期的电子交易中,曾采用过一些简单的安全措施。

例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知,以防泄密,网上交易后再用其他方式对交易做确认,以保证其真实性和不可抵赖性。

这些方法不仅操作不便,而且有一定的局限性,也不能实现其真正的安全性。

用户对于安全的需求主要包括以下几下方面：
（一）商务安全中普遍存在的几种安全隐患
1窃取信息
信息在传输过程中未采用相应的加密措施或加密强度不够,导致数据信息在网络上以明文或近乎明文的形式传送。

入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息,通过对窃取数据参数的分析比对,找到信息的格式和规律,进而得到传输信息的内容,导致消费者消费信息,账号密码和企业商业机密等信息的外泄.
2篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地,从而破坏信息的真实性。

入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策。

3信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以进一步冒充合法用户获取和发送信息,而远端接受方或发送方通常不易分辨。

常见的方式有伪造用户和商户的收定货单据,套取或修改相关程序的使用权限等。

4信息破坏
由于攻击者已侵入网络,已获得对网络中信息的修改权限,如其对网络中现有机要信息进
行修改乃至于删除,其后果是非常严重的。

（二）商务安全的要求
1信息的保密性
交易中的商务信息都需要遵循一定的保密规则，因为其信息往往代表着国家,企业和个人的商业机密，在以往传统的纸面贸易中采用邮寄封装或通过可靠的通信渠道传送商业信息来达到保密的目的和要求，而电子商务是建立在一个较为开放的互联网络环境上的,它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务,因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性。

2信息的完整性
不可否认电子商务的出现以计算机代替了人们大多数复杂的劳动,也以信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整,统一出现了问题，由于数据输入时的意外差错(如计算机自动处理过程中死机,停电等),可能导致贸易各方信息的不一致，此外,数据传输过程中人为的或自然的信息丢失(如数据包丢失),信息重复或信息传送的次序差异(如网络堵塞重发)也会导致贸易各方信息的不同，而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略，因此保持贸易各方信息的完整性是电子商务应用必备的基础。

3信息的不可抵赖性
在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息,或与之相反,接受方收到信息后并不承认曾经收到过该条消息，因此如何确定交易中的任何一方在交易过程中所收到的交易信息正是自己的合作对象发出的,而对方本身也没有被假冒,是电子商务活动和谐顺利进行的保证，信息的保证可以通过对发送的消息进行数字签名来获取，身份的确定一般都采用证书机构CA和证书的方法来实现，让素昧平生,相隔千里的双方成为合作伙伴毕竟不是一件容易的事情。

二、电子商务的安全技术
近年来，针对电子交易安全的要求，IT业界与金融行业一起，推出不少有效的安全交易标准和技术。

主要的协议标准有：
数字摘要:又称安全Hash编码法。

该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致。

数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用。

它的主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)，发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方。

如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。

数字时间戳:是对交易文件的时间信息所采取的安全措施，该网上安全服务项目,由专门的机构提供。

时间戳是一个经加密后形成的凭证文档,它包括:需加时间戳的文件的摘要,数字时间戳服务收到文件的日期和时间,数字时间戳服务的数字签名。

数字证书:数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限,主要有个人凭证,企业(服务器)凭证,软件(开发者)凭证三种。

身份认证技术：在网络上通过一个具有权威性和公正性的第三方机构——认证中心,将申请用户的标识信息(如姓名,身份证号等)与他的公钥捆绑在一起,用于在网络上验证确定其用户身份。

三、电子商务中的安全控制
电子商务的基础平台是互联网，电子商务发展的核心和关键问题就是交易的安全，由于Internet本身的开放性，使网上交易面临着种种危险，也由此提出了相应的安全控制要求。

下面从技术手段的角度，从系统安全层面来探讨电子商务中出现的网络安全问题。

在电子商务中，网络安全一般包括以下两个方面：对于一个企业来说，首先是信息的安全与交易者身份的安全，但是信息安全的前提条件是系统的安全。

系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。

网络系统安全是网络的开放性、无边界性、自由性造成，安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来，使网络成为可控制、管理的内部系统，由于网络系统是应用系统的基础，网络安全便成为首要问题。

解决网络安全主要方式有：网络冗余——它是解决网络系统单点故障的重要措施。

对关键性的网络线路、设备，通常采用双备份或多备份的方式。

网络运行时双方对运营状态相互实时监控井自动调整，当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配，保证网络正常的运行。

系统隔离——分为物理隔离和逻辑隔离，主要从网络安全等级考虑划分合理的网络安全边界，使不同安全级别的网络或信息媒介不能相互访问，从而达到安全目的。

访问控制——对于网络不同信任域实现双向控制或有限访问原则，使受控的子网或主机访问权限和信息流向能得到有效控制。

身份鉴别——是对网络访问者权限的识别，一般通过三种方式验证主体身份，一是主体了解的秘密，如用户名口令、密钥；二是主体携带的物品，如磁卡、IC卡、动态口令卡和令牌卡等；三是主体特征或能力，如指纹、声音、视网膜、签名等。

安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为，包括网络系统的扫描、预警、阻断、记录、跟踪等，从而发现系统遭受的攻击伤害。

四、电子商务中的网络信息安全管理
电子商务要健康有序地发展，就像传统商务一样，也必须有相应的法律法规作后盾。

商务过程中不可避免地会产生一些矛盾，电子商务也一样。

电子商务信息安全管理实践表明，大多数安全问题是由于管理不善造成的。

安全管理是一项系统工程，不仅涉及到企业的组织架构、信息技术、人员素质等各个方面，还牵扯到国家法律和商业规则。

企业内部存在着诸多影响信息安全的因素：改变IT系统不等于改变企业的信息安全管理，要使企业信息尽可能的安全，必须在技术投入的基础上融入人在管理方面的智慧，同时，不仅要防外，更要防内，即对组织内部人员的管理。

故“三分技术，七分管理”阐述了信息安全的本质。

为了加强企业电子商务的信息安全，我们提出如下建议：
1提高网络安全防范意识
现在许多企业没有意识到互联网的易受攻击性，盲目相信国外的加密软件，对于系统的访问权限和密钥缺乏有力度的管理。

这样的系统一旦受到攻击将十分脆弱，其中的机密数据得不到应有的保护。

据调查，目前国内90％的网站存在安全问题，其主要原因是企业管理者缺少或没有安全意识。

某些企业网络管理员甚至认为其公司规模较小，不会成为黑客的攻击目标，如此态度，网络安全更是无从谈起。

应该定期由公司或安全管理小组承办信息安全讲座，只有提高网络安全防范意识，才能有效的减少信息安全事故的发生。

2建立电子商务安全管理组织体系
一个完整的信息安全管理体系首先应建立完善的组织体系。

即建立由行政领导、IT技术
主管、信息安全主管、系统用户代表和安全顾问组成的安全决策机构。

其职责是建立管理框架，组织审批安全策略、安全管理制度，指派安全角色，分配安全职责，并检查安全职责是否已被正确履行，核准新信息处理设施的启用、组织安全管理专题会等。

还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。

该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。

如果需要，还可建立安全顾问机构。

安全顾问机构可聘请信息安全专家担任系统安全顾问，负责提供安全建议，特别是在安全事故或违反安全策略事件发生后，可以被安全决策机构指定负责事故(事件)调查，并为安全策略评审和评估提供意见。

3制定符合机构安全需求的信息安全策略
电子商务交易过程中，需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。

安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略，策略中应明确安全的定义、目标、范围和管理责任，并制定安全策略的实施细则。

安全策略文档要由安全决策机构审查、批准，并发布和传达给所有人的安全策略，还应由安全决策机构定期进行有效性审查和评估：在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时，应重新进行安全策略的审查和评估。

4人员安全的管理和培训
参与网上交易的经营管理人员在很大程度上支配着企业的命运，他们承担着防范网络犯罪的任务。

而计算机网络犯罪同一般犯罪不同的是，他们具有智能性、隐蔽性、连续性、高效性的特点，因而，加强对有关人员的管理变得十分重要。

首先，在人员录用时应做好人员鉴别，人员录用或人员职位调整时，一般要签署保密协议。

当人员到期离开或协议到期、工作终止时，要审查保密协议。

其次，对有关人员进行上岗培训，建立人员培训计划，定期组织安全策略和规程方面的培训。

第三，落实工作责任制，在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责，对违反网上交易安全规定的人员要进行及时的处理。

第四，贯彻网上交易安全运作基本原则，包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。

5增强法律意识，促进电子商务立法
面对电子商务这种新型的贸易形式，我国目前尚无专门法规可依，使得部分违法犯罪人员没有得到应有的惩罚。

近几年里，国家加强了这方面的投入。

在全国性的立法文件中，《合同法》的部分条款可以看作是针对电子商务的立法。

此外，广东省制定的《广东省电子交易管理条例》这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。

《中华人民共和国电子签名法》是对主要用于电子商务活动，电子政务等其他应用应该有新的适用法规。

尽管在电子商务信息安全立法方面取得了一些成就，但总的来说，我国的电子商务立法还很不健全，对电子商务活动的安全保护缺少直接性；相关立法比较分散，而且效力不高；对新出现的情况缺乏适应能力；立法速度慢。

这些都需要电子商务企业和国家有关部门不断探索，共同促进电子商务信息安全的法制环境建设。

五、电子商务信息安全中的其它问题
1内部安全
最近的调查表明，至少有75% 的信息安全问题来自内部，在信用卡和商业诈骗中，内部人员所占的比例最大；
2恶意代码
它们将继续对所有的网络系统构成威胁，并且，其数量将随着Internet 的发展和编程环境的丰富而增多，扩散起来也更加便利，因此，造成的破坏也就越大；
3可靠性差
目前，Internet 主干网和DNS 服务器的可靠性还远远不能满足人们的要求，而绝大部
分拨号PPP 连接质量并不可靠，且速度很慢；
4技术人才短缺
由于Internet 和网络购物都是在近几年得到了迅猛的发展，因而，许多地方都缺乏足够的技术人才来处理其中遇到的各种问题，尤其是网络购物具有24 x 7（每天24 小时，每周7 天都能工作）的要求，因而迫切需要有一大批专业技术人员对其进行管理。

如果说加密技术是电子交易安全的“ 硬件”，那么人才问题则可以说是“ 软件”。

从某种意义上讲，软件的问题解决起来可能更不容易，因此，技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。

5 Web 服务器的保护意识差
在交易过程中对数据进行保护只是保证交易安全的一个方面。

由于交易的信息均存储在服务器上，因此，即使保密信息被客户端接收之后，也必须对存储在服务器中的数据进行保护。

目前，Web 服务器是黑客们最喜欢攻击的目标。

因此，建议尽量不要将Web 服务和连接到任何内部网络，而且要定期对数据进行备份，以便于服务器被攻击之后对数据进行恢复。

当然，这毕竟有些不太现实，现在许多流行的Web应用都需要Web 服务器与公司的数据库进行交互式操作，这就要求服务器必须与公司内部网络相连，而这个连接也就成为黑客们从Web 站点侵入企业内部网络的一条通路。

虽然防火墙技术有助于对web 站点进行保护，但商家却很少安装防火墙或对其缺乏有效的维护，因而没有对Web 服务器进行很好的保护，这是商家的Web 站点尤其要引起注意的地方。

六、结语
在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。

安全是电子商务的核心和灵魂，没有计算机网络安全作为基础,商务交易安全犹如空中楼阁,无从谈起；没有商务安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。

而电子商务相应的实现技术和各种协议，正是安全得以实现的保证。

一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，应该还具备以下特点：强大的加密保证；使用者和数据的识别和鉴别；存储和加密数据的保密；联网交易和支付的可靠；方便的密钥管理；数据的完整、防止抵赖。

电子商务对计算机网络安全与商务安全的双重要求，使电子商务安全的复杂程度比大多数计算机网络更高，因此，电子商务安全应作为安全工程来管理，而不是解决方案来实施。

参考文献：
1.尚建成主编.电子商务基础[M].北京:高等教育出版社出版 2000.
2.张小兵,我国电子商务发展现状及存在问题与对策[J].商业研究.2000.
3.翟才喜、杨敬杰主编.电子商务[M].北京：东北财经大学出版社 2002.
4.姚立新主编.新世纪商务:电子商务的知识发展与运作[M].北京：中国发展出版1999.
5.中国电子商务年鉴2003.
6.陈海滨，企业电子营销发展对策浅析[J]，湖南大学学报2001.
7.黄京华主编.电子商务教程[M].北京：清华大学出版社2006.
致谢
感谢华南师范大学、感谢在学堂教授我知识的各位老师、感谢我的指导老师――聂新军老师，你们的严谨细致、一丝不苟的作风将是我今后工作、学习中的榜样。

论文即将完成，我将面临新的工作和学习，心情无法平静，从开始进入课题到论文的顺利完成，有许多可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚挚的谢意！
此外还要感谢相处二年的同学，在华泰教育学校这个学习的平台上我们相识，这段时光是美好的，短暂的，刻骨铭心的，我在这里不光学会了知识，还学会了做人，我现在将带着自己的理想，去寻找属于自己的天空，祝愿华南师范大学能在未来培养更多更优秀的人才。

欧阳小勇
2012年2月10日。