2.5　电子商务安全体系与安全技术

2.5.1　电子商务安全体系结构

1.电子商务安全

什么是电子商务安全？在给其下定义之前，先要了解计算机安全、网络安全、信息安全、电子商务安全的关系。

计算机安全是使处理的数据和程序文件不被非授权人员、计算机或其他程序所访问、获取或修改。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。信息安全是为了保障电子信息的有效性，涉及信息的保密性、完整性、抗否认性、可用性。

电子商务安全从整体上可分为两部分：计算机网络安全和商务信息安全。商务信息安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、抗否认性、可用性。计算机网络安全与商务信息安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有信息安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。

因此，计算机网络安全是实现电子商务安全的基础和保障，信息安全是实现安全技术的目标，而电子商务安全是这一目标的具体应用和体现。

2.电子商务的安全体系结构

电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构，同时它也为交易过程的安全提供了基本保障。电子商务的安全体系结构如图2-8所示。电子商务安全技术可以进一步分为网络安全技术和交易安全技术两部分。网络安全技术为电子商务运行平台的安全提供技术支持，主要安全技术有：信息加密、防火墙、访问控制、入侵检测、病毒防范等。交易安全技术是为电子商务安全交易提供技术支持，主要的安全技术有：加密技术、报文鉴别、数字签名、身份认证、安全协议等。

电子商务安全体系结构由网络服务层、加密技术层、安全认证层、交易协议层、电子商务应用系统层5个层次组成。从图2-8中可以看出，下层是上层的基础，为上层提供了技术支持；上层是下层的扩展与递进。各层之间相互依赖、相互关联，构成统一整体。计算机网络安全和商务交易安全是密不可分的，两者相辅相成、缺一不可。没有计算机网络安全作为基础，商务交易安全无从谈起；没有商务交易安全，即使计算机网络本身再安全，也无法满足电子商务所特有的安全要求，电子商务安全也无法实现。

图2-8　电子商务安全体系结构图

电子商务安全体系结构图中各层通过控制技术的递进，实现电子商务系统的安全。下层是上层的基础，为上层提供技术支持，底层网络安全技术是电子商务安全的基础，网络安全技术涉及的方面也比较广，如操作系统安全、防火墙技术、虚拟专用网VPN技术、各种反黑客技术和漏洞技术等。上层还有密码技术和PKI技术，其中密码技术主要有加密、数字签名、认证技术等；PKI技术是公钥基础实施技术，它为电子商务、电子政务、网上银行证券等提供了一整套安全基础平台。

具体来说，电子商务的安全要素包括：有效性、机密性、完整性和不可否认性。

（1）有效性：电子商务作为贸易的一种电子形式，直接关系到个人、企业和国家的经济利益和声誉，因此，保证其有效性，必须对网络故障、操作错误、应用程序错误、硬件故障计算机病毒及黑客破坏攻击等产生的潜在威胁加以控制和预防，以保证贸易数据时刻有效。

（2）保密性：电子商务建立在较为开放的Internet网络环境上，加大了商业机密维护的难度。因此，必须预防非法的信息存取和传输过程中被非法窃取篡改，以保证信息的保密性

（3）完整性：电子商务简化了贸易交易过程，减少了人为干预，维护贸易各方面商业信息的完整性和统一性。但是由于数据输入时的意外差错甚至欺诈行为，也可能导致贸易各方面的不同。此外，传输过程中，数据信息的丢失、重复或传送次序差异都可能导致贸易各方的差异。信息的完整性影响到贸易各方的交易和经营策略，保持贸易各方面的信息完整性是电子商务应用的基础。因此，必须要预防随意生成信息，对数据进行修改和删除，防止数据信息在传输过程中丢失和重复，并能够保证信息传输次序的正确、统一。

（4）不可否认性：不可否认性直接关系到贸易交易的进行，是电子商务顺利进行的关键。传统贸易通过交易双方在合同、契约或单据等书面纸质文件上手写签名或印章来鉴别身份，确认其可靠性、承认合法性并防止抵赖行为的发生。所以电子商务中，必须保证传输过程中参与交易的个人、企业或国家能够提供可靠的标识。