关于电子商务安全管理体制的探讨.doc

山东凯文科技职业学院 山东凯文科技职业学院 毕业论文题 目 关于电子商务安全 管理体制的探讨 专 业 电子商务 年 级 09级 学生姓名 李星星 指导教师 2012年 6 月 20 日摘要电子商务主要是指在全球各地广泛的商业贸易活动中，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网 上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的 一种新型的商业运营模式。 电子商务可应用于小到家庭理财、个人购物，大至企业经营、 国际贸易等诸方面。但是，电子商务是一个虚拟的市场，买卖双方以网络为载 体进行交流，商品和货币也是通过虚拟的网络进行交易的。由于电子商务是在虚拟的网络市场上开展的，贸易双方不能像传统商务活动那样面对面进行交易，加之国际互联网本身具有开放性，电子商务安全问题也一直是制约电子商务发展的重要因素。因此，建立一个安全可靠的电子商务应用环境，已经成为影响电子商务健康发展的关键性课题。本文主要论述了电子商务的特点、应用领域、现阶段的电子商务安全管理体制、安全管理体系的缺陷及改善措施等。因此，电子商务的安全管理应该从技术、管理、法律等方面综合考虑，才能构建一个完整的电子商务安全管理体系。关键词：电子商务， 安全管理 ，技术，法律体系目录第一章 电子商务的特点1.1 电子商务的概念.1.2 电子商务的特点 .第二章 电子商务的应用领域 2.1 电子商务的应用范围.2.2 电子商务的应用场合.第三章 现阶段电子商务的安全管理3.1 电子商务安全管理制度.3.2电子商务安全交易的有关标准和实施方法 .3.3目前安全电子交易的手段.第四章 电子商务安全管理的缺陷4.1 企业人员安全管理问题.4.2交易的安全性得不到保障.4.3电子商务的管理还不够规范.4.4电子支付问题.4.5电子合同的法律问题.第五章 完善电子商务安全管理体系5.1提高电子技术，从科技层面加强防范措施.5.2 商务交易安全技术措施.5.3电子商务的环境安全管理措施.5.4电子商务安全的法制建设策略.设计总结.参考文献.致谢. 第一章 电子商务的特点1.1 电子商务的概念电子商务：世界贸易组织在其电子商务专题报告中指出：电子商务（ELECTRONIC COMMERCE，简写为 EC）就是通过电信网络进行的生产、营销、销售和流通等活动，它不 仅指基于因特网上的交易，而且指所有利用电子信息技术来解决问题、降低成本、增加价 值和创造商机的商务活动，包括通过网络实现原材料查询、采购、产品展示、订购、出品、 储运以及电子支付等一系列的贸易活动。 电子商务涵盖的范围很广，一般可分为企业对企业(Business-to-Business)，或企业对消 费者(Business-to-Consumer)两种。另外还有消费者对消费者（Consumer-to-Consumer)这种 大步增长的模式。随着国内 Internet 使用人口之增加，利用 Internet 进行网络购物并以银 行卡付款的消费方式已渐流行，市场份额也在快速增长，电子商务网站也层出不穷。1.2 电子商务的特点1.2.1 交易虚拟化通过以互联网为代表的计算机互联网络进行的贸易，双方从开始洽谈、签约到订货、 支付等，无须当面进行，均通过计算机互联网络完成，使得整个交易完全虚拟化。 1.2.2 成本低廉化一是距离越远，网络上进行信息传递的成本相对于信件、电话、传真而言就越低。此 外，缩短时间及减少重复的数据录入也降低了信息成本。二是买卖双方通过网络进行商务 活动，无需中介者参与，减少了交易的有关环节。三是卖方可通过互联网络进行产品介绍、 宣传， 避免了在传统方式下做广告、 发印刷品等大量费用。 四是电子商务实行 “无纸贸易” ， 可减少 90% 的文件处理费用。五是互联网使买卖双方即时沟通供需信息，使无库存生产 和无库存销售成为可能，从而使库存成本降为零等等。 1.2.3 交易效率高一是由于电子商务突破了时间和空间的限制，使得交易活动可以在任何时间、任何地 点进行，从而大大提高了效率，二是电子商务采用电子货币、信誉卡、智能卡等网上支付 手段,能迅速准确的实现交易,节省了买卖环节所需时间。 1.2.4 交易透明化买卖双方从交易的洽谈、签约以及货款的支付、交货通知等整个交易过程都在网络上 进行。通畅、快捷的信息传输可以保证各种信息之间互相核对，可以防止伪造信息的流通。综合以上优势，电子商务作为一种新的商业模式于 20世纪最后的十年出现在人们面 前和传统的交易方式相比，电子商务可以提高企业生产率，降低经营成本，优化资源配置， 从而实现社会财务最大化，但与此同时，电子商务也给审计带来了新的问题。第二章 电子商务的应用领域2.1 电子商务的应用范围由于商务活动时刻运作在我们每个人的生存空间，因此，电子商务的范围波及人们的生活、工作、学习及消费等广泛领域，其服务和管理也涉及政府、工商、金融及 用户等诸多方面。Internet 逐渐在渗透到每个人的生活中，而各种业务在网络上的相 继展开也在不断推动电子商务这一新兴领域的昌盛和繁荣。电子商务可应用于小到家 庭理财、个人购物，大至企业经营、国际贸易等诸方面。具体地说，其内容大致可以 分为三个方面：企业间的商务活动、企业内的业务运作以及个人网上服务。 自 1997 年底诞生我国第一家专业斐贝电子商务网站中国化工网以来，目前我国 已有包括百万网、阿里巴巴、网盛生意宝、焦点科技、慧聪网、际通宝等在内的多家 B2B 电子商务上市公司，淘宝网、腾讯拍拍网、百度有啊的 C2C 公司、 卓越亚马逊、当当网、新蛋中国、京东商城、VANCL、乐淘网、鹏程万里贸易商城、 红孩子、走秀网、唯品会、时尚起义、马萨玛索、麦包包、衣服网、戴维尼、钻石小 鸟、乐友、麦网、多购、SHOPEX、BONO、等 B2C 服务公司，支付宝、财付 通、百付宝、贝宝、快钱、易宝支付、我要付等知名第三方支付平台。2.2 电子商务的应用场合 电子商务的主要应用领域电子商务系统作为信息流、物流、金流的实现手段，应用极其广泛，尤其适于以下场合：1.国际旅游和各国旅行服务行业， 例如旅店、 宾馆、 饭店、 机场、 车站的订票、 订房间、 信息发布等一系列服务； 2.传统的出版社和电子书刊、音像出版部门；3.网上商城：批发、零售商品，汽车、房地产、拍卖等的交易活动；4.Web 工作站和工作网点； 5.计算机、网络、数据通信软件和硬件生产商； 6.无收入的慈善机构； 7.进行金融服务的银行和金融机构，持有各种电子货币或电子现金者(例如电子信用卡、 磁卡、智能卡、电子钱包等持有者)8.政府机关部门的电子政务，如：电子税收、电子商检、电子海关、电子政府管理；9.信息公司、咨询服务公司、顾问公司； 10.进行小规模现金交易的金融组织和证券公司；第三章 现阶段电子商务的安全管理3.1 电子商务安全管理制度参与网络交易的个人或企业，都有维护网上交易系统的安全的责任，对于在网上从事大量贸易活动的企业来说尤为重要。下面是针对企业的网上交易系统进行研究的安全管理制度，但其中的许多方法对于个人网络消费者也具有较高的借鉴意义。网上交易系统安全管理制度是用文字形式对各项安全要求的规定，它是保证企业在网上经营管理取得成功的基础。企业安全制度应当包括一下几项制度：1人员管理制度2保密制度3跟踪、审计、稽核制度4网络系统的日常维护制度5病毒防范制度3.2电子商务安全交易的有关标准和实施方法3.2.1安全交易标准的制定近年来，IT业界与金融行业一起，推出不少更有效的安全交易标准。主要有：(1) 安全超文本传输协议（S-HTTP）：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。(2) 安全套接层协议（SSL协议：Secure Socket Layer)：是由网景（Netscape）公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。在SSL中，采用了公开密钥和私有密钥两种加密方法。 (3) 安全交易技术协议(STT：Secure Transaction Technology)：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。 (4) 安全电子交易协议（SET：Secure Electronic Transaction）:SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。3.3目前安全电子交易的手段在近年来发表的多个安全电子交易协议或标准中，均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种：3.3.1密码技术采用密码技术息加密，是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种：（1）公共密钥和私用密钥（public key and private key）这一加密方法亦称为RSA编码法，是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后，只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到，亦可在请对方发信息时主动将公共密钥传给对方，这样保证在Internet上传输信息的保密和安全。（2）数字摘要(digital digest)这一加密方法亦称安全Hash编码法（SHA:Secure Hash Algorithm）或MD5(MD Standards for Message Digest)，由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。上述两种方法可结合起来使用，数字签名就是上述两法结合使用的实例。3.3.2数字签名(digital signature)在书面文件上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：a. 信息是由签名者发送的。b. 信息在传输过程中未曾作过任何修改。这样数字签名就可用来防止电子信息因被修改而有人作伪；或冒用别人名义发送信息；或发出（收到）信件后又加以否认等情况发生。数字签名采用了双重加密的方法来实现防伪、防赖。其原理为：3.3数字时间戳(digital time-stamp)交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：1）需加时间戳的文件的摘要(digest)，2）DTS收到文件的日期和时间，3）DTS的数字签名。3.4数字凭证(digital certificate, digital ID)数字凭证又称为数字证书，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。数字凭证有三种类型：(1) 个人凭证(Personal Digital ID)：它仅仅为某一个用户提供凭证，以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件（S/MIME）来进行交易操作。(2) 企业（服务器）凭证（Server ID）：它通常为网上的某个Web服务器提供凭证，拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。(3) 软件（开发者）凭证（Developer ID）：它通常为Internet中被下载的软件提供凭证，该凭证用于和微软公司Authenticode技术（合法化软件）结合的软件，以使用户在下载软件时能获得所需的信息。3.5认证中心(CA：Certification Authority)在电子交易中，无论是数字时间戳服务（DTS）还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心（CA）就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS：Certification Practice Statement)来实施服务操作。上述五个方面介绍了安全电子交易的常用手段，各种手段常常是结合在一起使用的，从而构成比较全面的安全电子交易体系。第四章 电子商务安全管理的缺陷 近年来电子商务迅速发展并已初具规模，呈现出大规模、跨行业、跨组织的发展趋势。但其发展也正面临着诸多瓶颈性问题，安全问题首当其冲，突出体现在以下几个 方面。 4.1 企业人员安全管理问题 当前，我国电子商务建设中以技术为主的安全管理体制，忽视了人员对电子商务的安全影响。但近几年案例表明：企业缺乏针对内部人员的系统安全管理体制，是导致网络交易过程中泄密和企业利益损失的主要原因。电子商务信息安全已经引起很多企业的重视，但大多数企业往往侧重于加强技术措施，如购买先进的防火墙软件，采用更高级的加密方法等，很多企业认为：员工泄密的安全事故只是偶然现象，很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务企业的通病。由于管理手段不到位，很多先进的安全技术无法发挥应有的效能。之所以出现上述问题，主要有以下原因：首先，很多企业管理高层对人员管理在信息安全中的地位认识不足。大多数企业将电子商务网络作为一项纯粹的技术工程来实施，企业内部缺乏系统的安全管理策略，只是被动的使用一些技术措施来进行防御，因此电子商务过程中一旦出现突发性事件，往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的，不安全因素随时存在。因此，安全管理措施必须渗透到系统的每一个环节和企业组织的个层面，只有构建一个人与技术相结合的安全管理体系，才能确保整个电子商务系统得安全。企业没有从整体上、有计划地考虑信息安全问题。企业各部门、各下属机构都存在“各自为政的局面，缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性，而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异，对于不同业务领域来说，信息安全具有不同的涵义和特征，信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。缺少信息安全管理配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强，没有一批业务能力强，且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才，就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发，加快信息安全人才的培养。企业对员工的信息安全教育不够。员工的信息安全意识薄弱，9O的安全事故是由于人为疏忽所造成。如有些企业不限制内部人员使用各种高科技信息载体，如U盘、移动硬盘以及笔记本等移动办公设备。4.2交易的安全性得不到保障 电子商务的安全问题仍然是影响电子商务发展的主要因素。由于网络技术的迅速发展，电子商务引起大家的广 泛注意，在开放的网络上进行商贸活动。但如何保证传输数据的安全成为电子商务能否普及的最重要的因素。交易双方进行交易的内容被第三方窃取，交易一方提 供给另一方使用的证明文件被第三方非法使用，从而进行 商业欺诈。当攻击者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传输的信息数据篡改，然后 再发向目的地，破坏数据的真实性和完整性。由于攻击者 掌握了数据的格式，并可以篡改通过的信息，如果不进行 身份识别，攻击者就有可能假冒交易一方的身份，破坏交易、破坏被假冒一方的信誉.4.3电子商务的管理还不够规范 电子商务的发展给传统贸易带来了巨大的冲击，带动 了经济结构的变革，电子商务给世界带来全新的商务规则 和销售方式，这要求在管理上要做到科学规范。攻府应积 极介入依存于网络的电子商务管理，促进网络健康稳定的 发展，制约网络上的违法行为。 电子商务交易平台也是非常重要的，WEB交易平台 直接面向消费者，是电子商务的门面，内部经营管理体系 则是完成电子商务活动的必备条件，它关系到业务最终能 不能实现。一个完善的电子商务交易系统能体现一个电子 商务公司的综合实力，它将最终决定提供给用户的是什么 样的服务，决定电子商务的管理是不是有效，决定电子商 务公司最终能不能实现赢利。4.4电子支付问题 近年来电子商务快速发展，为了完成电子商务交易， 不同的现金支付工具，如信用卡、电子收费等不断出现。 人们最常用的还是信用卡，然而，正是用卡成了影响电子商务进一步发展的主要障碍。信用卡欺诈问题一直困扰着 商家和消费者，并且愈演愈烈。银行家和电子技术专家没有对电子银行和电子商务的网络标准完全达成一致，但他们都认识到存在于虚拟空间的网络标准是和金融交易存在着联系的。钱以电子化的方 式在网上传播，使黑客有机可乘，钱易被他们截取而放入 自己的账户中或从事其他犯罪活动。习惯于用现金支付的用户改用电子货币确实需要一定的时间，用户无法真正的感受到货币，而且一些不法商家利用电子货币欺诈、电脑病毒侵入等事件更动摇了用户的信心。4.5电子合同的法律问题 在电子商务活动中，传统商务交易中所采取的书面合同已经不适用了。一方面，电子合同存在容易编造、难以证明其真实性和有效性的问题；另一方面，现有的法律制 度尚未对电子合同的数字化印章和签名的法律效力进行规 范。信息网络中的信息具有不稳定性或易变性，这就造成 了信息网络发生侵权行为时，锁定侵权证据或者获取侵权 证据难度极大，对解决侵权纠纷带来了较大的障碍。如何 保证在网络环境下信息的稳定性、真实性和有效性，是有 效解决电子商务中侵权纠纷的重要因素.由于发展和完善 网络需要解决的技术难题还很多，因此需要完善法律解决交易中的纠纷。 第五章 完善电子商务安全管理体系电子商务安全管理，不应当只是从单纯技术角度考虑如何解决的问题，而是应该从综合的安全管理思路来考虑，因为从电子商务的运行环境来看，技术环境是一个重要方面，但是良好的法律法规、政策环境和科学的企业人员安全管理环境也是电子商务的顺利运行不可或缺的若干方面。 5.1提高电子技术，从科技层面加强防范措施5.1.1 计算机网络安全措施计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施 网络安全增强方案，以保证计算机网络自身的安全性为目标。 该措施包括保护计算机网络安全、应用安全和保护系统安全三个方面，各个方面都要 考虑安全防护的物理安全、防火墙、信息安全、WEB安全、媒体安全等。 保护网络安全网络安全是为保护商务各方网络端系统之间通信过程的安全性。 保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。全面规划网络平台的 安全策略、制定网络安全的管理措施、使用防火墙、尽可能记录网络上的一切活动、注意 对网络设备的物理保护、检验网络平台系统的脆弱性、建立可靠的识别和鉴别机制等。 保护应用安全这主要是针对特定应用所建立的安全防护措施，它独立于网络其 他的安全防护措施。由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向 于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位，但 是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务还可采用认 证、访问控制、WEB安全、EDI和网络支付等应用手段。 保护系统安全保护系统安全，是指从整体电子商务系统或网络支付系统的角度 进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等相互关联。涉及网络 支付结算的系统安全措施有：在安装的软件中，如浏览器软件、电子钱包软件、支付网关 软件等，检查和确认未知的安全漏洞；技术与管理相结合，使系统具有最小穿透风险性， 如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管 理；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。5.2 商务交易安全技术措施商务交易安全是传统商务在互联网应用时产生的各种安全问 题，它在网络安全的基础上，保障电子商务过程的顺利进行。 电子商务的运作涉及资金安全、信息安全、货物安全、 商业秘密等多方面的安全问题，任何一点漏洞都可能导致 大量资金流失，这些安全首先是对信息技术的依赖。目前 电子商务比较成熟的技术安全措施有以下几种：5.2.1加密技术 为了实现信息的私密性，必须采用信息加密技术。加密技术是一种主动的信息安全防范措施，其原理是利阻止非法用户理解原始信息，从而确保信息数据的保密性。 基于密钥的算法通常有两类：对称密钥算法和非对称密钥算法。 用一定的加密算法，将明文转换成为看似无意义的密文，（1）对称密钥加密。加密和解密采用相同的加密算法，并只交换共享的私有密钥。如果进行通信的交易各方能够 确保在密钥交换阶段未曾发生私有密钥泄露，可通过对称 加密方法加密机密信息，及随报文发送报文摘要和报文散列值，来保证报文的机密性和完整性。密钥安全交换是关 系到对称加密有效性的核心环节。目前常用的对称加密算 法有DES、PCR、IDEA、3DES等。其中DES使用最普遍，被ISO采用为数据加密的标准。（2）非对称密钥加密。不同于对称加密，非对称加密的密钥被分解为公开密钥和私有密钥。密钥对生成后，公 开密钥以非保密方式对外公开，只对应于生成该密钥的发 布者，私有密钥则保存在密钥发布方手里。任何得到公开 感受到货币，而且一些不法商家利用电子货币欺诈、电脑病毒侵入等事件更动摇了用户的信心。 密钥的用户都可使用该密钥加密信息发送给该公开密钥的 发布者，而发布者得到加密信息后，使用与公开密钥相对应的私有密钥进行解密。目前常用的非对称加密算法是 万方数据 RSA算法。该算法已被ISO/TC的数据加密技术分委员会SC20推荐为非对称密钥数据加密标准。（3）复杂加密技术。由于上述两种加密技术各有长短。目前比较普遍的做法是将两种技术进行集成。例如信息发 送方使用对称密钥对信息进行加密，生成密文后再用接收 方的公钥加密对称密钥生成数字信封，然后将密文和数字信封同时发送给接收方，接收方按相反方向解密后得到明文。5.2.2 安全认证技术随着电子商务的发展，以互联网为交易平台的交易将 越来越多。由于是通过网络签订的合作协议，其中的签名、 图章透过一些计算机技术就能够伪造，不少企业因此遭受 了巨大的损失。但是如果采用传统的签名方式，将大大降 低电子商务的效率，或者就不存在电子商务。 目前，在技术上解决这个问题的手段有电子签名技术。 电子签名是指在一个数据信息中或附在其后或逻辑上与其 有联系的电子形式的签名，其在形式上，与传统签名差别 很大，但在功能上，两者却很接近，都是用来鉴别合同的 当事人并表明其同意该数据信息的内容。电子签名一方面解决了对用户的认证问题,建立了完善的双向认证机制。5.2.3 电子商务中的第三方支付 在电子商务活动中，网上支付是必不可少的环节。在 这个环节中，消费者、网上商家、交易双方银行、信用卡组织之间都要承担相应的安全方面的义务。 但是，尽管目前存在着网上支付的set协议等安全协议，作为网上支付工具的网上银行中的资金仍然出 现了被他人恶意交易，或者直接被盗走的现象。 目前，为了解决网上支付的安全问题，采用第三方支 付平台是比较先进的做法。第三方支付平合有两种代表， 一种是以首信为代表的网关型支付平台，它为电子商务提 供了统一的支付界面、手续费用标准，结算较为便利。另 一种是以支付宝为代表的信用担保型第三方支付平台，支 付宝保障了电子商务过程中双方尤其是买方的利益，保证 了资金流和货物流的顺利对流，它为交易提供了担保，通 过改造支付流程，保障了交易资金的安全。5.2.4 病毒防范技术电子商务系统虽然可以提高交易效率，但也不可避免 地为计算机病毒的传播创造了条件。病毒影响并且威胁着运行速度，重则盗取用户的信息，替用户交易，给用 户造成巨大的损失。随着互联网和电子商务的快速发展，利用网络犯罪的 行为会大量出现，为了保证电子商务的顺利发展，病毒防 范技术是必不可少的。由于病毒的攻击需要突破网关，所 以网关防御是至关重要的。当前，CSG（Content Security Gateway）内容安全网关是解决网关病毒攻击的一种技术， 它支持多种形式的防护，包括使用双病毒扫描引擎的防病 毒检测、防垃圾邮件、URL过滤，关键词过滤等。CSG 能够真正做到即插式完全透明的网关解决方案，部署到客 户网络环境中而无需修改任何设置，即可为客户提供防御保护。基于流式的病毒扫描技术，CSG可满足用户对“高吞吐量、高并发连接、低延迟”的需要。5.2.5 防火墙技术 防火墙是建立在通信技术和信息安全技术之上，由软 件或软件和硬件设备组合而成的，主要用于Intent接入和专用网与公用网之间的安全连接。只有被允许的通信才 能通过防火墙，在网络之间建立起一个安全屏障，从而起 ，另一方面解决了用户对商家的 到内部网络与外部公网的隔离，根据制定的策略对网络数据进行过滤、分析和审计，限制外界用户对内部网络的访 问，管理内部用户访问外界网络的权限，并对各种攻击提 供有效地防范。防火墙按照基于对象可分为两类：一类是基于包过滤，这类防火墙通常只包括对源和目的IP地址及端口的检查， 它对用户完全透明，速度很快，但是不能够对用户进行区 分。另一类防火墙是基于代理服务，这种类型的防火墙使 用一个客户程序与特定的中间节点（即防火墙）连接，然后中间节点与服务器进行实际连接，这使得内网与外网之 间不存在直接连接，大大提高了网络的安全性。但是，这种防火墙在使用过程中会导致网络性能的明显下降，有一 定的局限性。在具体应用上可以将这两类防火墙结合起来 组成复合式防火墙，充分发挥各自的优势，进而满足安全 性要求更高的电子商务的企业需求。目前的防火墙技术已经发展到智能防火墙阶段。与传 统防火墙相比，智能防火墙内外兼顾，它能够大大提升内部局域网的速度，阻止恶意病毒和木马对内网的攻击。智 能防火墙的防欺骗功能和MAC控制功能，能够有效地发 现内部恶意流量，帮助管理员找到攻击来源，更好地保护电子商务的安全。5.3电子商务的环境安全管理措施5.3.1提高网络安全防范意识现在许多企业虽然建立了技术防范机制，就是运用先进适用的信息安全技术建造了一道道的屏障，阻隔罪犯或竞争对手的入侵，防范和化解风险，保证电子商务的顺利进行。但没有意识到互联网的易受攻击性，据调查，目前 国内90的网站存在安全问题，其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小，不会成为黑客的攻击目标，如此态度，网络安全 更是无从谈起。应该定期由公司或安全管理小组承办信息安全讲座，只有提高网络安全防范意识，构建防范信 息风险的心理屏障，才能维护电子商务的信息安全，有效的减少信息安全事故的发生。5.3.2建立电子商务安全管理组织体系完善的组织体系应该根据企业目标及安全方针，建立信息安全指导委员会，委员会要由企业高层领导挂帅，各职能部分相关负责人参加，定期召开会议，对组织内的信 息安全问题进行讨论并作为决策，为组织的信息安全提供 指导与支持。主要职能有：审批信息安全方针、政策，分配信息安全管理职责；确认风险评估，审批信息安全预算计划及设施的购置；评审与监测信息安全措施的实施及安 全事故的处理；对与信息安全管理有关的重大更改事项进 行决策，协调信息安全管理队伍与各部门之间的关系。信息安全管理的队伍，一般由信息安全主管为核心，并由信 息安全日常管理、信息安全技术操作两方面的人员组成，在信息安全委员会的指导下具体负责安全管理工作。5.3.3制定符合机构安全需求的信息安全策略。电子商务交易过程中，需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略，策略中应明确安全的定义、目标、范围和管理责任，并制定安全策略的实施细则。 安全策略文档要由安全决策机构审查、批准，并发布和传达给所有的人安全策略还应由安全决策机构定期进行有效性审查和评估：在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时，应重新进行安全策略的审查和评估。5.3.4人员安全的管理和培训制度参与网上交易的经营管理人员在很大程度上支配着企业的命运，他们承担着防范网络犯罪的任务。而计算机网络犯罪同一般犯罪不同的是，他们具有智能性、隐蔽性、连续性、高效性的特点，因而，加强对有关人员的管理变得十分重要。首先，在人员录用时应做好人员鉴别，人员录用或人员职位调整时，一般要签署保密协议。当人员到期离开或协议到期、工作终止时，要审查保密协议。其次对有关人员进行上岗培训，建立人员培训计划，定期组织安全策略和规程方面的培训。第三，落实工作责任制，在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责，对违反网上交易安全规定的人员要进行及时的处理。第四，贯彻网上交易安全运作基本原则，包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。5.4电子商务安全的法制建设策略电子商务法制建设是一项非常复杂的系统工程，它包 括立法、司法和行政多个方面，涵盖了行业市场准入、信 息安全和认证、知识产权保护、电子支付、数字签名，互 联网内容管理以及赔偿责任等诸多法律问题。5.4.1 增强法律意识，促进电子商务立法面对电子商务这种新型的贸易形式，我国目前尚无专门法规可依，使得部分违法犯罪人员没有得到应有的惩罚。近几年里，国家加强了这方面的投入。在全国性的立法文件中，合同法的部分条款可以看作是针对电子商务的立法。此外，广东省制定的广东省电子交易管理条例这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。中华人民共和国电子签名法是对主要用于电子商务活动，电子政务等其他应用应该有新的适用法规。电子商务的快速发展需要完善的法律体系作保证。在电子商务立法过程中，应从建立我国电子商务法律体系的 全局出发，提出立法的具体步骤和内容，按照相关性和整 体性原则，确定电子商务不同层面立法的先后顺序，使不同立法阶段的各项法律能够相互衔接和支持，最终建立起 相对完整的电子商务法律体系：电子商务纠纷解决法律制 度、知识产权保护法律制度、电子商务税收法律制度、消 费者权益保护法律制度、电子支付法律制度、电子信息交 易法律制度、电子合同法律制度、电子认证法律制度、