1.3 电子商务安全对策

1.3.1 电子商务安全技术

1．网络安全技术

（1）防火墙技术。防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一，可用于防止未授权的用户访问企业内部网，也可用于防止企业内部的保密数据未经授权而发出。即使企业内部网络与Internet相连，也可用防火墙管理用户对内部网中某些部分的访问，保护敏感信息或保密信息。防火墙技术主要有：包过滤、代理服务、状态监控等。

（2）虚拟专用网VPN。虚拟专用网（Virtual Private Networks，VPN）是企业内部网在Internet上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。虚拟专用网是企业常用的一种安全解决方案，它利用不可靠的公用互联网作为信息传输媒介，通过附加的安全隧道、用户认证和访问控制等技术，实现与专用网相类似的安全性能。

对于商务网站来说，它是一种理想的性价比较高的安全防护手段，既可以为企业提供类似专用网的安全性，同时又可以为企业节约成本。

（3）入侵检测技术。入侵检测是继防火墙之后的又一道防线。防火墙只能对黑客的攻击实施被动防御，一旦黑客攻入系统内部，则没有切实的防护策略，而入侵检测系统则是针对这种情况而提出的又一道防线。

（4）蜜罐技术。蜜罐是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞；还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

（5）防病毒技术。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。病毒具有寄生性、传染性、隐蔽性、潜伏性、可触发性、破坏性。

2．信息与交易安全技术

（1）信息加密技术。信息加密技术作为主动的信息安全防范措施，利用加密算法，将明文转换成无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。

（2）数字证书和认证技术。数字证书和认证技术是网络通信中标志通信各方身份信息的一系列数据，通过运用对称和非对称密码体制建立起一套严密的身份认证系统。

（3）安全通信技术。SSL（安全套接层协议）提供了两台计算机之间的安全连接，对整个会话进行了加密，从而保证了信息的安全传输。SSL具有三个特点：采用对称密码体制来加密数据；采用信息验证算法进行完整性检验；对端实体的鉴别采用非对称密码体制进行认证。

（4）安全电子交易技术。SET（安全电子交易）是通过开放网络进行安全资金支付的技术标准，SET向基于信用卡进行电子化交易的应用提供实现安全措施的规则：信息在Internet上安全传输，保证传输的数据不被黑客窃取；其订单信息和个人账号信息隔离，当包含持卡人账号信息的订单送到商家时，商家只能看到订货信息，而看不到持卡人的账户信息；持卡人和商家相互认证，以确定通信双方的身份。

3．安全管理技术

俗话说“三分技术、七分管理”，大力加强电子商务系统的安全管理是十分必要的。在行政管理方面应加强安全组织机构的责任和监督、加强业务运行安全和规章制度。安全管理技术主要包括：加强企业内部安全管理、加速培养电子商务人才、加强政府监管和法律法规建设等方面内容。

电子商务的迅猛发展，冲击了国际贸易和市场营销的传统观念、管理体制和运行模式，也对信息、贸易、管理等教育提出了新的课题。电子商务既需要互联网技术、大型数据库技术、电子支付系统、电子商务平台以及基于这个平台的开发技术，又需要国际贸易、市场营销、广告策划、工商管理方面的专业知识。

目前中国没有专门的电子商务法。目前电子商务迅猛发展，电子商务法律法规急需跟进，要根据不同的细分领域逐步完善，其他先前颁布的电子商务法律规范包括：《中华人民共和国合同法》《中华人民共和国电子签名法》《计算机信息系统安全保护条例》《中国互联网络域名注册实施细则》《互联网电子公告服务管理规定》《中国互联网络域名管理办法》《非经营性互联网信息服务备案管理办法》《互联网IP地址备案管理办法》《电子认证服务管理办法》《公用电信网间通信质量监督管理办法》《中华人民共和国计算机信息网络国际联网管理暂行规定》《中国公众多媒体通信管理办法》《互联网信息服务管理办法》《地震信息网络运行管理办法》等。

1.3.2 电子商务安全体系

电子商务安全不单单是一个技术问题，更是一个管理问题；不单单是消费者的问题，更是电商企业平台的问题；也不单单是电商经营者的问题，更需要行业自律、政府监管、整个社会关心的问题。

所以要保证电子商务系统的安全，必须将安全网络设备、安全技术、安全管理、法律法规等有机结合才能形成较为完整的电子商务安全体系（见图1-5）。

1．网络基础设施层

互联网是电子商务系统的基础，网络本身的安全是电子商务安全的基本保证。电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准，所以构成电子商务安全框架的底层是网络安全基础设施。它包括：安全物理设备、安全操作系统、安全数据库系统等内容。网络基础设施是电子商务的最底层，它是各种电子商务应用系统的基础，并提供信息传送的载体和用户接入的手段及安全通信服务，保证网络最基本的运行安全。主要内容包括：网络隐患扫描、网络安全监控、内容识别、访问控制、防火墙技术等。

2．加密技术层

加密技术是电子商务采取的主要安全措施，其目的在于提高信息系统及数据的安全性和保密性，防止秘密数据被外部破坏和分析。加密技术通常分为对称加密和非对称加密两类。

目前，常用的非对称加密算法有RSA算法，对称加密算法有DES，在实际应用中通常将两种加密技术结合起来使用，综合DES高速简便性和RSA密钥管理的方便性和安全性，既保证了数据安全，又提高了加密和解密的速度。

3．安全认证层

安全认证层中的认证技术是保证电子商务安全的必要手段，它对加密技术层中提供的多种加密算法进行综合运用，进一步满足电子商务对完整性、抗否认性、可靠性的要求。目前，仅有加密技术不足以保证电子商务中的交易安全，身份认证技术是保证电子商务安全不可缺少的又一重要技术手段。安全认证技术主要有：数字摘要、数字签名、数字时间戳、数字证书、认证中心、智能卡技术等。

4．交易协议层

除了各种安全控制技术之外，电子商务的运行还需要一套完善的安全交易协议。不同交易协议的复杂性、开销、安全性各不相同。同时，不同的应用环境对协议目标的要求也不尽相同。目前，比较成熟的协议有：安全电子交易协议SET、安全套接字层协议SSL等。

5．电子商务安全管理

安全管理除了电商企业内部管理外，还涉及政府和社会监管。目前，国际上信息安全方面的协调机构主要有计算机应急响应小组、信息安全问题小组论坛。计算机应急响应小组以协调Internet安全问题解决方案为目的。它的主要作用是解决Internet上存在的安全问题，调查Internet的脆弱性并发布有关信息，是信息安全方面规模最大、最著名和最具权威性的组织。

政府有关信息安全的其他管理和执法部门，如公安部、国家安全部、国家保密局、国家密码管理委员会和国务院新闻办公室等，分别依据其职能和权限进行信息安全的管理和执法活动。

6．电子商务法律法规

我国互联网起步较晚，而电商发展较快，相应的法律法规还跟不上电商发展的步伐，支撑环境和保障体系相对缺乏。例如，美国拥有良好的物流体系、支付体系和信用体系等，而我国还不具备这些条件；相关法律、法规的制定滞后于电子商务的发展；监管、管理不到位。