美國著名未來學家阿爾溫·托夫勒說：“電腦網絡的建立和普及將徹底改變人類生存及生活的模式，控制與掌握網絡的人就是未來命運的主宰。誰掌握了信息，控制了網絡，誰就擁有整個世界。”的確，網絡的國際化、社會化、開放化、個人化誘發出無限的商機，電子商務的迅速崛起，使網絡成為國際競爭的新戰場。然而，由于網絡技術本身的缺陷，使得網絡社會的脆性大大增加，一旦計算機網絡受到攻擊不能正常運作時，整個社會就會陷入危機。所以，構筑安全的電子商務信息環境，就成為了網絡時代發展到一定階段而不可逾越的“瓶頸”性問題，愈來愈受到國際社會的高度關注。

　　一、電子商務中的信息安全技術

　　電子商務的信息安全在很大程度上依賴于技術的完善，這些技術包括：密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、網絡隱患掃描技術、系統安全監測報警與審計技術等。

　　1.防火墻技術。防火墻(Firewall)是近年來發展的重要的安全技術，它的主要功能是加強網絡之間的訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查，來決定網絡之間的通信是否被允許，并監視網絡運行狀態。簡單防火墻技術可以在路由器上實現，而專用防火墻提供更加可靠的網絡安全控制方法。

　　防火墻的安全策略有兩條。一是“凡是未被準許的就是禁止的”。防火墻先是封閉所有信息流，然后審查要求通過的信息，符合條件的就讓通過;二是“凡是未被禁止的就是允許的”，防火墻先是轉發所有的信息，然后再逐項剔除有害的內容，被禁止的內容越多，防火墻的作用就越大。網絡是動態發展的，安全策略的制定不應建立在靜態的基礎之上。在制定防火墻安全規則時，應符合“可適應性的安全管理”模型的原則，即：安全=風險分析+執行策略+系統實施+漏洞監測+實時響應。防火墻技術主要有以下三類：

　　●包過濾技術(Packct Filtering)。它一般用在網絡層，主要根據防火墻系統所收到的每個數據包的源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包中的各種標志位來進行判定，根據系統設定的安全策略來決定是否讓數據包通過，其核心就是安全策略，即過濾算法的設計。

　　●代理(Proxy)服務技術。它用來提供應用層服務的控制，起到外部網絡向內部網絡申請服務時的中間轉接作用。內部網絡只接受代理提出的服務請求，拒絕外部網絡其它節點的直接請求。運行代理服務的主機被稱為應用機關。代理服務還可以用于實施較強的數據流監控、過濾、記錄等功能。

　　●狀態監控(Statc Innspection)技術。它是一種新的防火墻技術。在網絡層完成所有必要的防火墻功能——包過濾與網絡服務代理。目前有效的實現方法是采用Check Point)提出的虛擬機方式(Inspect Virtual Machine)。

　　防火墻技術的優點很多，一是通過過濾不安全的服務，極大地提高網絡安全和減少子網中主機的風險;二是可以提供對系統的訪問控制;三是可以阻擊攻擊者獲取攻擊網絡系統的有用信息;四是防火墻還可以記錄與統計通過它的網絡通信，提供關于網絡使用的統計數據，根據統計數據來判斷可能的攻擊和探測;五是防火墻提供制定與執行網絡安全策略的手段，它可以對企業內部網實現集中的安全管理。

　　防火墻技術的不足有三。一是防火墻不能防止繞過防火墻的攻擊;二是防火墻經不起人為因素的攻擊。由于防火墻對網絡安全實施單點控制，因此可能受到黑客的攻擊;三是防火墻不能保證數據的秘密性，不能對數據進行鑒別，也不能保證網絡不受病毒的攻擊。

　　2.加密技術。數據加密被認為是可靠的安全保障形式，它可以從根本上滿足信息完整性的要求，是一種主動安全防范策略。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據。通過使用不同的密鑰，可用同一加密算法，將同一明文加密成不同的密文。當需要時可使用密鑰將密文數據還原成明文數據，稱為解密。[Page]

　　密鑰加密技術分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術是在加密與解密過程中使用相同的密鑰加以控制，它的保密度主要取決于對密鑰的保密。它的特點是數字運算量小，加密速度快，弱點是密鑰管理困難，一旦密鑰泄露，將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制，加密密鑰是公開的，解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數學函數——單向陷門函數，即從一個方向求值是容易的，但其逆向計算卻很困難，從而在實際上成為不可能。

　　除了密鑰加密技術外，還有數據加密技術。一是鏈路加密技術。鏈路加密是對通信線路加密;二是節點加密技術。節點加密是指對存儲在節點內的文件和數據庫信息進行的加密保護。

　　3.數字簽名技術。數字簽名(Digital Signature)技術是將摘要用發送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中，數字簽名技術有著特別重要的地位，在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。

　　在書面文件上簽名是確認文件的一種手段，其作用有兩點，一是因為自己的簽名難以否認，從而確認文件已簽署這一事實;二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數字簽名與書面簽名有相同相通之處，也能確認兩點，一是信息是由簽名者發送的，二是信息自簽發后到收到為止未曾做過任何修改。這樣，數字簽名就可用來防止：電子信息因易于修改而有人作偽;冒用別人名義發送信息;發出(收到)信件后又加以否認。廣泛應用的數字簽名方法有RSA簽名、DSS簽名和Hash簽名三種。RSA的大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰，其中一個是公開的，另一個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁上或公告牌里，網上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的，由用戶本身持有，它可以對公開密鑰加密的信息解密。DSS數字簽名是由美國政府頒布實施的，主要用于跟美國做生意的公司。它只是一個簽名系統，而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是主要的數字簽名方法，跟單獨簽名的RSA數字簽名不同，它是將數字簽名和要發送的信息捆在一起，所以更適合電子商務。

　　4.數字時間戳技術。在電子商務交易的文件中，時間是十分重要的信息，是證明文件有效性的主要內容。在簽名時加上一個時間標記，即有數字時間戳(Digita Timestamp)的數字簽名方案：驗證簽名的人或以確認簽名是來自該小組，卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性，其他任何人除了得到該指定人或簽名者本人的幫助，否則不能驗證簽名。

　　時間戳(Time-Stamp)是一個經加密后形成的憑證文檔，包括三個部分。一是需加時間戳的文件的摘要(Digest)，二是DTS收到文件的日期與時間，三是DIS數字簽名。

　　時間戳產生的過程是：用戶首先將需要加時間的文件用HASH編碼加密形成摘要，然后將該摘要發送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密(數字簽名)，然后送回用戶。書面簽署文件的時間是由簽署人自己寫上的，數字時間則不然，它是由認證單位DIS來加的，以DIS收到文件的時間為依據。

　　二、數字認證及數字認證授權機構

　　1.數字證書。數字證書也叫數字憑證、數字標識，它含有證書持有者的有關信息，以標識他的身份。數字證書克服了密碼在安全性和方便性方面的局限性，可以控制哪些數據庫能夠被查看，因此提高了總體的保密性。

　　數字證書的內容格式是CCTTTX.509國際標準規定的，通常包括以下內容：證書所有者的姓名;證書所有者的公共密鑰;公共密鑰(證書)的有效期;頒發數字證書單位名稱;數字證書的序列號;頒發數字證書單位的數字簽名。[Page]

　　數字證書通常分為三種類型，即個人證書、企業證書、軟件證書。個人證書(Personal Digital)為某一個用戶提供證書，幫助個人在網上安全操作電子交易。個人數字證書是向瀏覽器申請獲得的，認證中心對申請者的電子郵件地址、個人身份及信用卡號等核實后，就發給個人數字證書，并安置在用戶所用的瀏覽器或電子郵件的應用系統中，同時也給申請者發一個通知。企業證書，就是服務器證書(Server ID)，是對網上服務器提供的一個證書，擁有Web服務器的企業可以用具有證書的Internet網站(Web Site)來做安全的電子交易。軟件證書通常是為網上下載的軟件提供證書，證明該軟件的合法性。

　　2.電子商務數字認證授權機構。電子商務交易需要電子商務證書，而電子商務認證中心(CA)就承擔著網上安全電子交易認證服務、簽發數字證書并確認用戶身份的功能。

　　CA主要提供下列服務：有效實行安全管理的設施;可靠的風險管理以及得到確認和充分理解。接受該系統服務的電子商務用戶也應充分信任該系統的可信度。CA具有證書發放、證書更新、證書撤銷、證書驗證等四大職能。

　　若未建立獨立的注冊機構，認證中心則在完成注冊機構的功能以外還要完成下列功能：接收、處理證書申請，確立是否接受或拒絕證書申請，向申請者頒發或拒絕頒發證書，證書延期，管理證書吊銷目錄，提供證書的在線狀況，證書歸檔;提供支持服務，提供電話支持，幫助用戶解決與證書有關的問題;審核記錄所有同安全有關的活動;提供靈活的結構，使用戶可以用自己的名字對服務命名;為認證中心系統提供可靠的安全支持;為認證中心的可靠運營提供一套政策、程序及操作指南。

　　三、電子商務信息安全協議

　　1.安全套接層協議。安全套接層協議(Secure Sockets Layer，SSL)是由Netscape Communication公司1994年設計開發的，主要用于提高應用程序之間的數據的安全系數。SSL協議的整個概念可以被總結為：一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協議，該協議向基于TCP/IP的客戶/服務器應用程序提供了客戶端與服務的鑒別、數據完整性及信息機密性等安全措施。

　　SSL安全協議主要提供三方面的服務。一是用戶和服務器的合法性保證，使得用戶與服務器能夠確信數據將被發送到正確的客戶機和服務器上。客戶機與服務器都有各自的識別號，由公開密鑰編排。為了驗證用戶，安全套接層協議要求在握手交換數據中作數字認證，以此來確保用戶的合法性;二是加密數據以隱藏被傳遞的數據。安全套接層協議采用的加密技術既有對稱密鑰，也有公開密鑰，在客戶機和服務器交換數據之前，先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術，以保證其機密性與數據的完整性，并且經數字證書鑒別;三是維護數據的完整性。安全套接層協議采用Hash函數和機密共享的方法來提供完整的信息服務，建立客戶機與服務器之間的安全通道，使所有經過安全套接層協議處理的業務能全部準確無誤地到達目的地。

　　2.安全電子交易公告。安全電子交易公告(SET：Secure Electronic Transactions)是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統規范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證。SET已成為全球網絡的工業標準。

　　SET安全協議的主要對象包括：消費者(包括個人和團體)，按照在線商店的要求填寫定貨單，用發卡銀行的信用卡付款;在線商店，提供商品或服務，具備使用相應電子貨幣的條件;收單銀行，通過支付網關處理消費者與在線商店之間的交易付款;電子貨幣發行公司以及某些兼有電子貨幣發行的銀行。負責處理智能卡的審核和支付;認證中心，負責確認交易對方的身份和信譽度，以及對消費者的支付手段認證。

　　SET協議規范的技術范圍包括：加密算法的應用，證書信息與對象格式，購買信息和對象格式，認可信息與對象格式。[Page]

　　SET協議要達到五個目標：保證電子商務參與者信息的相應隔離;保證信息在互聯網上安全傳輸，防止數據被黑客或被內部人員竊取;解決多方認證問題;保證網上交易的實時性，使所有的支付過程都是在線的;效仿BDZ貿易的形式，規范協議和消息格式，促使不同廠家開發的軟件具有兼容性與交互操作功能，并且可以運行在不同的硬件和操作系統平臺上。

　　3.安全超文本傳輸協議(S-HTTP)。依靠密鑰的加密，保證Web站點間的交換信息傳輸的安全性。SHTTP對HT-TP的安全性進行了擴充，增加了報文的安全性，是基于SSL技術的。該協議向互聯網的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。

　　4.安全交易技術協議(STT)。STT將認證與解密在瀏覽器中分離開，以提高安全控制能力。

　　5.UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。在ISO發布的IS09735(即UN/EDI-FACT語法規則)新版本中，包括描述UN/EDIFACT中實施安全措施的五個新部分，即：第五部分——批式電子商務(可靠性、完整性和不可抵賴性)的安全規則;第六部分——安全鑒別與確認報文(AUTACK);第七部分——批式電子商務(機密性)的安全規則;第九部分——安全密鑰和證書管理報告(KEYMAN);第十部分——交互式電子商務的安全規則。

　　UN/EDIFACT的安全措施通過集成式與分離式兩種途徑來實現。集成式的途徑是通過在UN/EDIFACT報文結構中使用可選擇的安全頭段和安全尾段來保證報文內容的完整性、報文來源的不可抵賴性;分離式途徑是通過發送三種特殊的UN/EDIFACT報文(即AUTCK、KEYMAN和CI-PHER)來達到安全目的。

　　6.《電子交換貿易數據統一行為守則》(UNCID)。UNCID由國際商會制定，該守則第六條、第七條、第九條分別就數據的保密性、完整性及貿易雙方簽訂協議等問題做了規定。　　四、電子商務中的信息安全對策

　　1.提高對網絡信息安全重要性的認識。信息技術的發展，使網絡逐漸滲透到社會的各個領域，在未來的軍事和經濟競爭與對抗中，因網絡的崩潰而促成全部或局部的失敗，決非不可能。我們在思想上要把信息資源共享與信息安全防護有機統一起來，樹立維護信息安全就是保生存、促發展的觀念。我國公民中的大多數人還是“機盲”、“網盲”，另有許多人僅知道一些關于網絡的膚淺知識，或僅會進行簡單的計算機操作，對網絡安全沒有深刻認識。應該以有效方式、途徑在全社會普及網絡安全知識，提高公民的網絡安全意識與自覺性，學會維護網絡安全的基本技能。

　　2.加強網絡安全管理。我國網絡安全管理除現有的部門分工外，要建立一個具有高度權威的信息安全領導機構。只有在中央建立起這樣一個組織，才能有效地統一、協調各部門的職能，研究未來趨勢，制定宏觀政策，實施重大決定。對于計算機網絡使用單位，要嚴格執行《中華人民共和國計算機信息系統安全保護條例》與《計算機信息網絡安全保護管理辦法》，建立本單位、本部門、本系統的組織領導管理機構，明確領導及工作人員責任，制定管理崗位責任制及有關措施，嚴格內部安全管理機制。具體的安全措施如：把好用戶入網關、嚴格設置目錄和文件訪問的權限，建立對應的屬性措施，采用控制臺加密封鎖，使文件服務器安全可靠;用先進的材料技術，如低阻材料或梯性材料將隔離設備屏蔽起來，降低或杜絕重要信息的泄露，防止病毒信息的入侵;運用現代密碼技術，對數據庫與重要信息加密;采用防火墻技術，在內部網和外部網的界面上構造保護層。

　　3.加快網絡安全專業人才的培養。我國需要大批信息安全人才來適應新的網絡安全保護形勢。高素質的人才只有在高水平的研究教育環境中迅速成長，只有在高素質的隊伍保障中不斷提高。應該加大對有良好基礎的科研教育基地的支持和投入，多出人才，多出成果。在人才培養中，要注重加強與國外的經驗技術交流，及時掌握國際上先進的安全防范手段和技術措施，確保在較高層次上處于主動。要加強對內部人員的網絡安全培訓，防止堡壘從內部攻破。[Page]

　　4.開展網絡安全立法和執法。一是要加快立法進程，健全法律體系。自1973年世界上第一部保護計算機安全法問世以來，各國與有關國際組織相繼制定了一系列的網絡安全法規。我國政府也十分重視網絡安全立法問題，1996年成立的國務院信息化工作領導小組曾設立政策法規組、安全工作專家組，并和國家保密局、安全部、公安部等職能部門進一步加強了信息安全法制建設的組織領導與分工協調。我國已經頒布的網絡法規如：《計算機軟件保護條例》、《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國信息網絡國際聯網安全管理暫行規定》、《計算機信息網絡國際聯網管理辦法》、《計算機信息系統國際聯網保密管理規定》等。1997年10月1日起生效的新《刑法》增加了專門針對信息系統安全的計算機犯罪的規定：違犯國家規定，侵入國家事務、國防建設、尖端科學領域的計算機系統，處三年以下有期徒刑或拘役;違犯國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機系統不能正常運行，后果嚴重的處五年以下有期徒刑，后果特別嚴重的處五年以上有期徒刑;違犯國家規定，對計算機信息系統存儲、處理或者傳輸的數據與應用程序進行刪除、修改、增加操作，后果嚴重的應負刑事責任。這些法規對維護網絡安全發揮了重要作用，但不健全之處還有許多。一是應該結合我國實際，吸取和借鑒國外網絡信息安全立法的先進經驗，對現行法律體系進行修改與補充，使法律體系更加科學和完善;二是要執法必嚴，違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機關辦案的制度，提高執法的效率和質量。

　　5.抓緊網絡安全基礎設施建設。一個網絡信息系統，不管其設置有多少道防火墻，加了多少級保護或密碼，只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產的，就沒有安全可言;這正是我國網絡信息安全的致命弱點。國民經濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現。為此，需要建立中國的公開密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。

　　6.把好網絡建設立項關。我國網絡建設立項時的安全評估工作沒有得到應有重視，這給出現網絡安全問題埋下了伏筆。在對網絡的開放性、適應性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關的同時，在立項時更應注重對網絡的可靠性、安全性評估，力爭將安全隱患杜絕于立項、決策階段。

　　7.建立網絡風險防范機制。在網絡建設與經營中，因為安全技術滯后、道德規范蒼白、法律疲軟等原因，往往會使網絡經營陷于困境，這就必須建立網絡風險防范機制。為網絡安全而產生的防止和規避風險的方法有多種，但總的來講不外乎危險產生前的預防、危險發生中的抑制和危險發生后的補救。有學者建議，網絡經營者可以在保險標的范圍內允許標保的財產進行標保，并在出險后進行理賠。

　　8.強化網絡技術創新。如果在基礎硬件、芯片方面不能自主，將嚴重影響我們對信息安全的監控。為了建立起我國自主的信息安全技術體系，利用好國內外兩個資源，需要以我為主，統一組織進行信息安全關鍵技術攻關，以創新的思想，超越固有的約束，構筑具有中國特色的信息安全體系。特別要重點研究關鍵芯片與內核編程技術和安全基礎理論。

　　9.注重網絡建設的規范化。沒有統一的技術規范，局部性的網絡就不能互連、互通、互動，沒有技術規范也難以形成網絡安全產業規模。目前，國際上出現許多關于網絡安全的技術規范、技術標準，目的就是要在統一的網絡環境中保證信息的絕對安全。我們應從這種趨勢中得到啟示，在同國際接軌的同時，拿出既符合國情又順應國際潮流的技術規范。

　　10.建設網絡安全研究基地。應該把我國現有的從事信息安全研究、應用的人才很好地組織起來，為他們創造更優良的工作學習環境，調動他們在信息安全創新中的積極性。一是要落實相關政策，在收入、福利、住房、職稱等方面采取優惠政策;二是在他們的科研立項、科研經費方面采取傾斜措施;三是創造有利于研究的硬環境，如儀器、設備等;四是提供學習交流的機會。[Page]

　　11.促進網絡安全產業的發展。扶持具有中國特色的信息安全產業的發展是振興民族信息產業的一個切入點，也是維護網絡安全的必要對策。為了加速發展我國的信息安全產業，需要盡快解決資金投入、對外合作、產品開發、安全評測、銷售管理、采購政策、利益分配等方面存在的問題。