導語：CA體系完善互聯網電子商務系統安全管理論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

編者按：本文主要從網絡安全問題；計算機網絡安全體系；商務安全要求；電子商務安全交易標準；商務安全的關鍵ca認證；相應法律法規；小結幾個方面進行論述。其中，主要包括：計算機網絡本身可能存在的安全問題、在攻擊者和受保護的資源間建立多道嚴密的安全防線、加強主機本身的安全、用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析、網絡安全技術是伴隨著網絡的誕生而出現的、消除客戶對交易過程中安全問題的擔心、信息的保密性、交易者身份的確定性、交易的不可否認性、交易內容的完整性、訪問控制、安全超文本傳輸協議、審核授權部門、證書操作部門、訂立合同的雙方或多方是互不見面的、傳統合同的口頭形式在貿易上常常表現為店堂交易、表示合同生效的傳統簽字蓋章方式被數字簽名所代替等，具體材料請詳見。

[摘要]Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎，而開放性本身又會使網上交易面臨種種危險。安全問題始終是電子商務的核心和關鍵問題。

[關鍵詞]電子商務安全網絡安全商務安全

2003年對中國來說是個多事之秋，先是SARS肆虐后接高溫威脅。但對電子商務來說，卻未必不是好事：更多的企業、個人及其他各種組織，甚至包括政府都在積極地推動電子商務的發展，越來越多的人投入到電子商務中去。電子商務是指發生在開放網絡上的商務活動，現在主要是指在Internet上完成的電子商務。

Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎，而開放性本身又會使網上交易面臨種種危險。一個真正的電子商務系統并非單純意味著一個商家和用戶之間開展交易的界面，而應該是利用Web技術使Web站點與公司的后端數據庫系統相連接，向客戶提供有關產品的庫存、發貨情況以及賬款狀況的實時信息，從而實現在電子時空中完成現實生活中的交易活動。這種新的完整的電子商務系統可以將內部網與Internet連接，使小到本企業的商業機密、商務活動的正常運轉，大至國家的政治、經濟機密都將面臨網上黑客與病毒的嚴峻考驗。因此，安全性始終是電子商務的核心和關鍵問題。

電子商務的安全問題，總的來說分為二部分：一是網絡安全，二是商務安全。計算機網絡安全的內容包括：計算機網絡設備安全，計算機網絡系統安全，數據庫安全，工作人員和環境等。其特征是針對計算機網絡本身可能存在的安全問題，實施網絡安全增強方案，以保證計算機網絡自身的安全性為目標。商務安全則緊緊圍繞傳統商務在Internet上應用時產生的各種安全問題，在計算機網絡安全的基礎上，如何保障電子商務過程的順利進行。即實現電子商務的保密性，完整性，可鑒別性，不可偽造性和不可依賴性。

一、網絡安全問題

一般來說，計算機網絡安全問題是計算機系統本身存在的漏洞和其他人為因素構成了計算機網絡的潛在威脅。一方面，計算機系統硬件和通信設施極易遭受自然環境的影響（如溫度、濕度、電磁場等）以及自然災害和人為（包括故意破壞和非故意破壞）的物理破壞；另一方面計算機內的軟件資源和數據易受到非法的竊取、復制、篡改和毀壞等攻擊；同時計算機系統的硬件、軟件的自然損耗等同樣會影響系統的正常工作，造成計算機網絡系統內信息的損壞、丟失和安全事故。

二、計算機網絡安全體系

一個全方位的計算機網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術，在攻擊者和受保護的資源間建立多道嚴密的安全防線，極大地增加了惡意攻擊的難度，并增加了審核信息的數量，利用這些審核信息可以跟蹤入侵者。

在實施網絡安全防范措施時，首先要加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞；其次要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析，找出可能存在的安全隱患，并及時加以修補；從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權管理和認證；利用RAID5等數據存儲技術加強數據備份和恢復措施。

對敏感的設備和數據要建立必要的物理或邏輯隔離措施；對在公共網絡上傳輸的敏感信息要進行強度的數據加密；安裝防病毒軟件，加強內部網的整體防病毒措施；建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

網絡安全技術是伴隨著網絡的誕生而出現的，但直到80年代末才引起關注，90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起了各國計算機安全界的高度重視，計算機網絡安全技術也因此出現了日新月異的變化。安全核心系統、VPN安全隧道、身份認證、網絡底層數據加密和網絡入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網絡的整體安全性。安全核心系統在實現一個完整或較完整的安全體系的同時也能與傳統網絡協議保持一致。它以密碼核心系統為基礎，支持不同類型的安全硬件產品，屏蔽安全硬件以變化對上層應用的影響，實現多種網絡安全協議，并在此之上提供各種安全的計算機網絡應用。

互聯網已經日漸融入到人類社會的各個方面中，網絡防護與網絡攻擊之間的斗爭也將更加激烈。這就對網絡安全技術提出了更高的要求。未來的網絡安全技術將會涉及到計算機網絡的各個層次中，但圍繞電子商務安全的防護技術將在未來的幾年中成為重點，如身份認證，授權檢查，數據安全，通信安全等將對電子商務安全產生決定性影響。

三、商務安全要求

作為一個成功的電子商務系統，首先要消除客戶對交易過程中安全問題的擔心才能夠吸引用戶通過WEB購買產品和服務。使用者擔心在網絡上傳輸的信用卡及個人資料被截取，或者是不幸遇到“黑店”，信用卡資料被不正當運用；而特約商店也擔心收到的是被盜用的信用卡號碼，或是交易不認賬，還有可能因網絡不穩定或是應用軟件設計不良導致被黑客侵入所引發的損失。由于在消費者、特約商店甚至與金融單位之間，權責關系還未徹底理清，以及每一家電子商場或商店的支付系統所使用的安全控管都不盡相同，于是造成使用者有無所適從的感覺，因擔憂而猶豫不前。因些，電子商務順利開展的核心和關鍵問題是保證交易的安全性，這是網上交易的基礎，也是電子商務技術的難點。

用戶對于安全的需求主要包括以下幾下方面：

1.信息的保密性。交易中的商務信息均有保密的要求。如信用卡的賬號和用戶被人知悉，就可能被盜用；定貨和付款信息被競爭對手獲悉，就可能喪失商機。因此在電子商務中的信息一般都有加密的要求。

2.交易者身份的確定性。網上交易的雙方很可能素昧平生，相隔千里。因此，要使交易能夠成功，首先要想辦法確認對方的身份。對商家而言，要考慮客戶端是否是騙子，而客戶也會擔心網上的商店是否是黑店。因此，能方便而可靠地確認對方身份是交易的前提。

3.交易的不可否認性。交易一旦達成，是不能被否認的，否則必然會損害一方的利益。因此電子交易過程中通信的各個環節都必須是不可否認的。主要包括：源點不可否認：信息發送者事后無法否認其發送了信息。接收不可否認：信息接收方無法否認其收到了信息。回執不可否認：發送責任回執的各個環節均無法推脫其應負的責任。

4.交易內容的完整性。交易的文件是不可以被修改的，否則必然會損害交易的嚴肅性和公平性。

5.訪問控制。不同訪問用戶在一個交易系統中的身份和職能是不同的，任何合法用戶只能訪問系統中授權和指定的資源，非法用戶將拒絕訪問系統資源。

四、電子商務安全交易標準

近年來，針對電子交易安全的要求，IT業界與金融行業一起，推出不少有效的安全交易標準和技術。主要的協議標準有：

1.安全超文本傳輸協議（S—HTTP）：依靠對密鑰的加密，保障Web站點間的交易信息傳輸的安全性。

2.安全套接層協議（SSL）：由Netscape公司提出的安全交易協議，提供加密、認證服務和報文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器，以完成需要的安全交易操作。

3.安全交易技術協議（STT，SecureTransactionTechnology）：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft在InternetExplorer中采用這一技術。

4.安全電子交易協議（SET，SecureElectronicTransaction）:1996年6月，由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標準SET公告，并于1997年5月底了SETSpecificationVersion1.0，它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。SET2.0預計今年，它增加了一些附加的交易要求。這個版本是向后兼容的，符合SET1.0的軟件并不必要跟著升級，除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全，確定應用之互通性，并使全球市場接受。

所有這些安全交易標準中，SET標準以推廣利用信用卡支付網上交易，而廣受各界矚目，它將成為網上交易安全通信協議的工業標準，有望進一步推動Internet電子商務市場。

五、商務安全的關鍵CA認證

怎樣解決電子商務安全問題呢？國際通行的做法是采用CA安全認證系統。CA是CertificateAuthority的縮寫，是證書授權的意思。在電子商務系統中，所有實體的證書都是由證書授權中心即CA中心分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA機構應包括兩大部門：一是審核授權部門，它負責對證書申請者進行資格審查，決定是否同意給該申請者發放證書，并承擔因審核錯誤引起的一切后果，因此它應由能夠承擔這些責任的機構擔任；另一個是證書操作部門，負責為已授權的申請者制作、發放和管理證書，并承擔因操作運營所產生的一切后果，包括失密和為沒有獲得授權者發放證書等，它可以由審核授權部門自己擔任，也可委托給第三方擔任。

CA體系主要解決幾大問題：

1.解決網絡身份證的認證以保證交易各方身份是真實的；

2.解決數據傳輸的安全性以保證在網絡中流動的數據沒有受到破壞或篡改；

3.解決交易的不可抵賴性以保證對方在網上說的話是真實的。

需要注意的是，CA認證中心并不是安全機構，而是一個發放”身份證”的機構，相當于身份的”公證處”。因此，企業開展電子商務不僅要依托于CA認證機構，還需要一個專業機構作為外援來解決配置什么安全產品、怎樣設置安全策略等問題。外援的最合適人選當然非那些提供信息安全軟硬件產品的廠商莫屬了。好的IT廠商，會讓用戶在部署安全策略時少走許多彎路。在選擇外援時，用戶為了節省成本，避免損失，應該把握幾個基本原則：

1.要知道自己究竟需要什么;

2.要了解廠商的信譽;

3.要了解廠商推薦的安全產品;

4.用戶要有一雙”火眼金睛”，對項目的實施效果能夠正確加以評估。有了這些基本的安全思路，用戶可以少走許多彎路。

六、相應法律法規

電子商務要健康有序地發展，就像傳統商務一樣，也必須有相應的法律法規作后盾。商務過程中不可避免地會產生一些矛盾，電子商務也一樣。在電子商務中，合同的意義和作用沒有發生改變，但其形式卻發生了極大的變化，

1.訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作，其信用依靠密碼的辨認或認證機構的認證。

2.傳統合同的口頭形式在貿易上常常表現為店堂交易，并將商家所開具的發票作為合同的依據。而在電子商務中標的額較小、關系簡單的交易沒有具體的合同形式，表現為直接通過網絡訂購、付款，例如利用網絡直接購買軟件。

3.表示合同生效的傳統簽字蓋章方式被數字簽名所代替。

電子商務合同形式的變化，對于世界各國都帶來了一系列法律新問題。電子商務作為一種新的貿易形式，與現存的合同法發生矛盾是非常容易理解的事情。但對于法律法規來說，就有一個怎樣修改并發展現存合同法，以適應新的貿易形式的問題。

七、小結

在計算機互聯網絡上實現的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統在保證其計算機網絡硬件平臺和系統軟件平臺安全的基礎上，應該還具備以下特點：強大的加密保證；使用者和數據的識別和鑒別；存儲和加密數據的保密；連網交易和支付的可靠；方便的密鑰管理；數據的完整、防止抵賴。電子商務對計算機網絡安全與商務安全的雙重要求，使電子商務安全的復雜程度比大多數計算機網絡更高，因此電子商務安全應作為安全工程，而不是解決方案來實施。

參考文獻：

[1]《電子商務基礎》尚建成主編高等教育出版社出版2000.9

[2]張小兵:《商業研究》中的《我國電子商務發展現狀及存在問題與對策》，2000年2期

[3]《電子商務》翟才喜楊敬杰主編東北財經大學出版社2002.2