1 电子商务套用和发展

电子商务概念

·电子商务（ElectronicCommerce）是指对整个贸易活动实现电子化。·从涵盖範围方面可以定义为：·交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易；·从技术方面可以定义为：·电子商务是一种多技术的集合体，包括数据交换、数据获取以及数据的自动捕获。电子商务的发展因素

·计算机的普及·网路技术的迅速发展·信用卡的普及套用·SET安全电子交易协定的出台世界电子商务的发展

·1996年6月，联合国国际贸易法委员会提出电子商务示範法蓝本。·1997年4月欧盟提出“欧盟”电子商务行动方案·1997年7月美国政府发表“全球电子商务框架”档案，柯林顿政府将Internet的影响与工业革命相提并论。·1997年12月，欧盟和美国发表有关电子商务的联合宣言，就跨国电子商务的有关原则达成一致意见。国内电子商务的发展

·1997年10月，中国商品交易网正式开通，标誌中国政府在电子商务领域的实质性突破。·1998年3月国内第一笔Internet网上支付实现·1999年3月北京图书大厦网上书店正式开业，标誌首都电子商务建设全面启动。电子商务的分类

·企业内部电子商务·企业对消费者的电子商务（BtoC）·企业对企业的电子商务（BtoB）·企业对政府机构的电子商务（BtoG）·消费者对政府机构的电子商务（CtoG）

2 电子商务安全威胁

·电子商务发展的核心和关键问题是交易的安全性·技术威胁·信息的截获和窃取·信息的篡改·信息的假冒·交易抵赖·案例一：美国NASDAQ事故·1994年8月1日，由于一只松鼠通过位于康乃狄克网路主计算机附近的一条电话线挖洞，造成电源紧急控制系统损坏，NASDAQ电子交易系统日均超过3亿股的股票市场暂停营业近34分钟。·案例二：花旗银行损失·1995年8月21日，一自称是前苏联克格勃人员通过计算机网路进入美国花旗银行。转走1160万元美金的巨款。·案例三：江苏扬州金融盗窃案·1998年9月，郝景龙、郝景文两兄弟通过在工行储蓄所安装遥控发射装置，侵入银行电脑系统，非法存入72万元，取走26万元。这是被我国法学界称为98年中国十大罪案之一的全国首例利用计算机网路盗窃银行巨款的案件。·对电子商务交易各方的威胁·对商家的威胁·对消费者的威胁·中国电子商务面临的安全威胁·国内几乎所有的计算机主机、网路交换机、路由器和网路作业系统都来自国外。·进入我国的电子商务和网路安全产品均只能提供较短密钥长度的弱加密算法。

3 电子商务安全要求

电子商务安全的中心内容

电子商务安全的中心内容

电子商务安全保密

1商务数据的机密性（Confidentiality）

信息在网路上传送或存储的过程中，不被他人窃取，不被泄露给未经授权的人或组织，或者经过加密后，使未经授权者无法了解其内容。

机密性的另一方面是保护通信流特性（通信源、目的地、频率、长度等），以防止被分析。2商务数据的完整性（Integrity）

保护数据不被未授权者修改、删除、重複传送、建立、嵌入或由于其他原因使原始数据被更改。在传输过程中，如果接收端收到的信息与传送的信息完全一样，则说明在传输过程中信息具有完整性。注意：

加密的信息在传输过程中，完整性也可能遭到破坏。3商务对象的认证性（Authentication）商务对象的认证性是指网路两端的使用者在沟通之前相互确认对方的身份。认证性用数字签名和身份认证技术实现。

4商务服务的不可否认性（Non-repudiation）信息的传送方不能否认已传送的信息，接收方不能否认已收到的信息。不可否认性主要用于对付来自其他合法用户的威胁。5商务服务的不可拒绝性（Denialofservice）商务服务的不可拒绝性，也称可用性，是保证授权用户在正常访问信息和资源时不被拒绝或延迟，即保证为用户提供稳定的服务。

6访问的控制性（Accesscontrol）访问控制性用于保护计算机系统的资源不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程式等。电子商务安全要求的特殊性

1更加複杂的机密性概念电子商务交易的参与者可能涉及多方，其中的机密性概念不单是针对内部或外部的攻击者，也针对交易过程中信息不需要知道的其它几方。

2严格的身份认证电子商务要求认证交易各方的真实身份，而不是普通网路中只是伺服器对访问者身份的认证。电子商务中的认证要求第三方机构的参与。3法律依据性电子商务安全需要在交易一方事后否认交易、抵赖交易的情况下，提供法律依据作为证明。

4不可拒绝性至关重要电子商务如果不能保证不可拒绝性的安全，可能直接导致交易一方的经济损失。

5货币直接流通性在电子商务中，电子货币直接在网路上“流通”，因此还要保证数字货币在网路上流通的安全。案例：八佰拜折扣店“8210事件”

2000年7月22日，在八佰拜折扣店手机专拍场的倒置式竞买（即如果1小时内无人购买，价格自动下调100元，直到有人购买为止）过程中，由于伺服器上有黑客入侵，网民所下订单始终得不到网站的回应，导致以前成交价在2700元左右的诺基亚8210手机，一路降到1760元，但网民一直无法购买。

4 电子商务系统安全一般措施

1)安全立法 1.1社会规範社会规範是调整信息活动中人与人之间的行为準则。例如：《中华人民共和国保守国家秘密法》《中华人民共和国计算机信息系统安全保护条例》1.2技术规範技术规範是调整人和物、人与自然界之间的关係準则。其内容十分广泛，包括各种技术标準和规程。例如：《计算机病毒防治产品评级準则》

《计算机信息系统安全保护等级划分準则》

《计算机信息系统安全专用产品分类原则》

《电子计算机机房设计规範》2)行政管理 2.1人员教育和培训2.2健全机构、岗位设定和规章制度岗位责任制运行管理维护制度计算机处理控制管理制度文档资料管理制度3)技术措施 安全技术措施是电子商务系统安全的物质技术基础，是安全电子商务系统的有机组成部分。安全技术措施的实施应贯彻落实在系统开发的各个阶段，从系统规划、系统分析、系统实施、系统评价到系统的运行、维护和管理。

5 电子商务安全技术的内容

1实体硬体安全计算机实体硬体安全主要指为保证计算机设备和通讯线路及设施、建筑物等的安全，满足设备正常运行环境的要求。包括：计算机系统环境安全技术抗电磁干扰技术计算机故障诊断技术介质存放管理技术2软体系统安全软体系统安全主要针对电脑程式和文档资料，是保证程式和资料免遭破坏、非法拷贝和非法使用而採取的技术和方法。包括：作业系统、资料库系统及套用软体安全技术口令控制、鉴别技术软体加密、压缩技术软体防拷贝、防跟蹤技术3数据信息安全数据信息安全保密指为保证计算机系统的资料库、数据档案和所有数据信息免遭破坏、修改、泄露和窃取，为防止这些威胁和攻击而採取的技术、方法和措施。包括：用户身份识别技术口令、指纹验证技术存取控制技术数据加密技术4网路站点安全网路站点安全指为保证计算机系统中网路通信和站点安全而採取的各种技术措施。包括：防火墙技术 网路跟蹤技术报文鉴别技术网路监测技术数字签名技术 密钥管理技术访问控制技术 加压加密技术5.5运行服务安全电子商务系统运行服务安全主要指安全运行的管理技术。其实施目的在于及时发现运行中的异常，及时报警，及时提示用户採取措施。包括：系统使用与维护技术软体可靠性、可维护性保证技术作业系统故障分析处理技术系统设备运行状态实测、分析记录技术5.6病毒防治技术计算机病毒防治技术涉及计算机病毒的检测、诊断、杀除和预防。5.7防火墙技术防火墙是介于内部网路或Web站点与Internet之间的路由器或计算机，目的是提供安全保护，控制谁可以访问内部受保护的环境，谁可以从内部网路访问Internet。5.8系统安全评价标準电子商务系统安全性是相对的。在保证系统安全的同时，必须在代价、威胁和风险之间做出综合平衡。不同的系统、不同的任务和功能、不同的规模和不同的工作方式对电子商务系统的安全要求不同。

在电子商务系统规划和运行时都需要安全评价标準，作为安全保密工作的尺度。6电子商务安全标準和法规6.1部门规章及规範性档案中华人民共和国公安部令第32号计算机信息系统安全专用产品检测和销售许可证管理办法中华人民共和国公安部令第33号计算机信息网路国际联网安全保护管理办法中华人民共和国公安部令第51号计算机病毒防治管理办法中华人民共和国公共安全行业标準计算机信息系统安全专用产品分类原则6.2国家法律中华人民共和国主席令第6号 中华人民共和国保守国家秘密法6.3行政法规中华人民共和国国务院令147号 中华人民共和国计算机信息系统安全保护条例中华人民共和国国务院令第195号 中华人民共和国计算机信息网路国际联网管理暂行规定中华人民共和国计算机信息网路国际联网管理暂行规定实施办法中华人民共和国国务院令第273号 商用密码管理条例中华人民共和国国务院令第291号 中华人民共和国电信条例6.4安全标準计算机病毒防治产品评级準则计算机信息系统安全保护等级划分準则信息处理系统开放系统互连基本参考模型第2部分：安全体系结构计算机信息系统安全专用产品分类原则信息技术设备的无线电干扰极限值和测量方法计算机机房用活动地板技术条件DOS作业系统环境中计算机病毒防治产品测试方法基于DOS的信息安全产品评级準则电子计算机机房设计规範电子计算机机房施工及验收规範计算站场地安全要求计算站场地技术条件信息处理64bit分组密码算法的工作方式信息技术安全技术带讯息恢复的数字签名方案测量控制和试验室用电气设备的安全要求军用通信设备及系统安全要求军队通用计算机系统使用安全要求指挥自动化计算机网路安全要求军用计算机安全评估準则军用计算机安全术语GB/T15843-1999信息技术安全技术实体鉴别GB/T15851-1995信息技术安全技术带讯息恢复的安全技术要求GB/T15852-1995信息技术安全技术用块密码算法做密码校验函式的数据完整性机制GB/T15852-1995信息技术安全技术密钥管理GB/T15852-1995信息技术安全技术带附录的数字签名GB/T15852-1995信息技术安全技术抗抵赖GB/T17900-1999网路代理伺服器安全技术要求GB/T18018-1999路由器安全技术要求GB/T18019-1999信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术套用级防火墙安全技术要求

1软体安全基本要求1.1计算机软体安全涉及的範围

1）软体本身的安全保密

指软体完整，即保证作业系统软体、资料库管理软体、网路软体、套用软体及相关资料的完整。