电子商务安全技术总结

《电子商务与电子政务安全模型》

读书笔记

姓名：黄佳

班级： 2班

学号： 104972101414

学院：计算机科学与技术

2011年 6 月 29 日

电子商务安全技术总结

1 引言

电子商务是一种依托现代信息技术和网络技术集金融电子化、管理信息化、商贸信

息网络化为一体，旨在实现物流、资金流与信息流和谐统一的新型贸易方式，是网络技

术应用的全新发展方向。因特网本身具有的开放性、全球性、低成本和高效率的特点成

为电子商务的内在特征，并使得电子商务很容易遭到别有用心者的恶意攻击和破坏，信

息的泄露问题也变得日益严重。因此，计算机网络的安全性问题就变得越来越重要，如

何保证以网络为载体的电子商务的安全性已成为一个不容忽视的问题。

2 电子商务的安全隐患

电子商务的活动是在一个开放、虚拟的场所进行的，容易受到黑客的攻击，普遍存

在以下几种隐患：

(1)信息泄露。攻击者可能通过截收装置，截获机密信息，推断出有用信息，如消费

的银行帐号、密码等。交易双方的内容被第三方窃取，交易一方提供给另一方的文件被

第三方使用。

(2)信息破坏。交易信息在网络上进行传输的过程中，被他人非法修改、删除或伪造，使信息失去了真实性和完整性。

(3)身份的识别。如果不进行身份的识别，第三方就有可能假冒交易一方的身份介入

交易过程，以破坏交易、破坏一方的信誉或盗取交易成果等。

(4)黑客。黑客利用自己在计算机方面的高超技能，对网络中的一些重要信息进行修

改或伪造，造成重大的经济损失和极为恶劣的影响。

3 电子商务的安全技术措施

3.1 计算机网络安全措施

计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安

全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以

保证计算机网络自身的安全性为目标。

计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三

个方面，各个方面都要结合考虑安全防护的物理安全、防火墙安全、信息安全、Web安全、媒体安全等等。

（1）保护网络安全

网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：全面

规划网络平台的安全策略。

1）制定网络安全的管理措施。

2）使用防火墙。

3）尽可能记录网络上的一切活动

4）注意对网络设备的物理保护。

5）检验网络平台系统的脆弱性。

6）建立可靠的识别和鉴别机制。

（2）保护应用安全

保护应用安全，主要是针对特定应用 ( 如Web 服务器、网络支付专用软件系统)所建

立的安全防护措施，它独立于网络的任何其他安全防护措施虽然有些防护措施可能是网

络安全业务的一种替代或重叠，如Web 浏览器和web 服务器在应用层上对网络支付结算

信息包的加密，都通过IP 层加密，但是许多应用还有自己的特定安全要求。应用层上的

安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web 安全性、EDI 和网络支付等应用的安全性。

（3）保护安全系统

保护安全系统，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它

与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统

安全包含下述一些措施：

1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确

认未知的安全漏洞。

2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有介入数据必须进行审计，对系统用户进行严格安全管理。

3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

3.2 电子商务交易中的安全协议

SSL 协议是美国Netscape 公司于1996 年提出的一种主要用于W e b 的安全传输协议，可以为服务器和客户问的通信连接提供数据加密、服务器身份验证和消息完整性等服务，根据服务器的选项再提供对客户端的认证。SSL 协议要求建立在可靠的传输层协议上，如TCP，同时，高层的应用协议，如HTTP 、FTP 、TELNET 等可以透明地建立于SSL 协议之上。

SSL 协议是由SSL 记录协议、SSL 握手协议和SSL 警报协议组成的。SSL 握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash 算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户和服务器各自根据此秘密信息产生数据加密算法和Hash 算法参数。SSL 记录协议根据SSL 握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC ，然后经网络传输层发送给对方。SSL 警报协议用来在客户和服务器之间传递SSL 出错信息。

在电子商务交易过程中，由于有银行参与，按照SSL 协议，客户的购买信息首先发往商家，商家再将信息转发银行，银行验证客户的信息后，通知商家付款成功，商家再通知客户购买成功，并将商品寄送客户。在上述流程中我们也可以注意到，SSL 协议有利于商家而不利于客户。客户信息首先传到商家，商家阅读后再传到银行，这样，客户资料的安全性便受到威胁。商家认证客户是必要的，但整个过程中缺少了客户对商家的认证。在电子商务的开始阶段，由于参与电子商务的公司大都是一些大公司，信誉较高，这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加，对厂商的认证问题越来越突出，SSL 协议的缺点完全暴露出来。

3.3 加密技术

加密技术分为私钥加密和公钥加密技术。

私钥加密 ( 又称对称加密)的特点是文件的加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥。