前言：本站為你精心整理了電子商務信息風險管理范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]該文首先分析了電子商務系統在安全方面的需求，介紹了相關核心技術。然后提出了相關的防范策略，具體分析各種電子交易模式以及這些模式如何克服電子商務系統在信息安全方面的脆弱性。

[關鍵詞]電子商務安全風險協議防范

一、引言

Intemet的迅速發展使電子商務應運而生，對電子商務可以有狹義和廣義兩種理解：作為在線銷售的電子商務；作為現有業務擴展的電子商務。電子商務具有許多優勢，譬如高效率、低成本；同時，電子商務也會提供各種各樣的機會，因為中小型公司和太公司站在相同的起跑線上但迄今為止，真正開始實施電子商務的企業還不多，絕大多數企業還在持觀望態度，電子商務通遠遠談不上普及。這其中的原因主要有以下三個點：(1)人的因素；(2)立法問題；(3)安全問題。其中信息安全問題可以說是電子商務活動的最大障礙，電子商務信息安全是制約電子商務建設與發展的首要問題和核心問題。

二、電子商務對信息安全的需求和風險分析

信息安全的目的是：保護一個系統不會受到未經授權的訪問，使系統的正常工作不會被非法干預，同所有計算機系統一樣，電子商務系統安全必須具有保密性、完整性及可用性三個特征。

1.保密性(Confidentiality)

保密性是指計算機系統的資源應該僅能由授權團體讀取。對電子商務系統來說，它意味著系統所提供的服務應滿足:(1)私有交易不會被其他人截獲及讀取;(2)如果可能，應確保交易的匿名性，使交易不會被追蹤，任何人無法利用“發生交易”這樣一個事實本身來達到別的目的。

2.完整性(Integrity)

完整性指資源只能由授權實體修改。電子商務系統的完整性要求它提供的服務應滿足：（1）消息完整性，指通信過程中接收到的消息確實是實際發送的消息，不可能在傳輸過程中被篡改，也不可能是一條偽造的消息；（2）身份認證(Authendcation)，通信的雙方應能確定對方的身份，知道對方確實是他所自稱的那一位。在這里，確定的意思并不完全意味著確實知道對方的身份，因有時由于交易匿名性的需要，不能確知對方的準確身份，但應能做到知道自己是在與一個可靠的對象通信。端否認性(Non-repudiation)：一旦事務結束，有關各方都不能否認自己參與過這次事務。

3.可用性(Availability)

可用性指一旦用戶得到訪問某一資源的極限，該資源就應該能夠隨時為他使用，而不應該將其保護起來使用戶的合法權益受到損害。在電子商務系統中，提高系統可用性有時還意味著用戶僅需經一次登錄就可以訪問任何其他有權訪問的資源，避免對訪問不同的服務使用不同的登錄過程。

4.風險分析

針對電子商務系統進行的攻擊實際上就是試圖破壞上述三大信息安全特征，進一步細分。電子商務的風險有以下4類：

(1)中斷(干擾)，包括拒絕服務(DenialofServices)、刪除數據。

(2)修改，如修改傳輸信息、修改可執行代碼等。

(3)偽造，如冒充頤客或服務器進行交易、特洛伊木馬等。

(4)截取，如設置網絡竊聽器、監視網上數據流、從數據包中獲取敏感信息等。

三、電子商務信息安全的防范策略

1.通用技術

用于保證信息安全的技術通常有：加密、數字簽名、身份認證、訪問控制、審計以及相關方面的管理。此外，信息安全還將會影響到系統的許多組成部分，包括那些并不直接同安全相關聯的成分。各種通用的安全技術，如加密技術算法(保密密鑰、公開密鑰)、公開密鑰系統基礎設施(PKI)、各種認證技術(一次性口令、Kerberos、CA)、網絡系統各層安全協議(SSL、TLS、IPSEC、PPTP、VPN)、防火墻及保密網關技術等。

2.電子支付協議

在現實生活中，人們一般有3種支付方式：現金、支票及卡，同樣，電子支付協議也可分為這3種模式。事實上，它的目標就是使用電子手段來實現日常所進行的交易。一個有效的可能成功的電子支付系統必須被廣泛認可，該系統必須保證有關各方不易受到欺騙；此外最為重要的一點是必須方便易行。

（1）基于卡的支付協議

基于卡的支付模式有：明文發送信用卡號碼；經保密路徑發送信用卡號碼；通過第三方進行交易。

上述幾種方案是在web商務的早期就采用的，對安全性、可靠性以及抗否認性等方面并沒有過多的考慮，支付過程實際上還是非在線的，商家在檢驗信用卡時往往通過專門的網絡同信用卡授權機構聯系。這一過程如圖1所示。

圖1經安全Web服務進行的交易

web交易的發展迫切需要新的支付模式，現在的支付模式大致結構如圖2。

在安全電子支付協議中，客戶瀏覽Web頁面通過常規HTTP協議進行，當需要進行支付時，瀏覽器啟動-支付模塊(通常稱為電子錢包E-wallet)處理支付協議。

（2）基于支票的支付協議

支票模型模擬了現實生活中支票的使用。同信用卡模式一樣，它也同樣需要支票發行機構如銀行等來確認支票的有效性。這種模型同銀行存取款方式相似，使用借-貸模型，用戶需要在支付服務器上開設一個賬戶，支付服務器維護賬目的絕對平衡。

（3）基于現金的支付協議

在交易中，有時會希望交易能匿名進行，即無法對交易過程進行追蹤，無法確認交易者的身份。卡和支票模式都不能滿足這樣的需求，而基于現金的支付模式模擬了日常現金的使用，可以做到這一點。

多數電子現金的實現的思想：每一枚電子硬幣都有一個編號。銀行維護若干密鑰對，每一對密鑰可用于對某種特定面值的硬幣進行簽名。但如果硬幣是由銀行生成并交給用戶的話，它可以記錄下每枚硬幣的去向，從而當這枚硬幣用于支付時可以跟蹤到用戶的交易。而盲簽名機制可以允許用戶自己生成硬幣．讓銀行對這枚硬幣標定面值。如當用戶從銀行提款時，他先為硬幣隨機生成一個很大的編號，然后利用盲簽名機制，銀行可以用代表不同面值的密鑰對這救硬幣進行簽名，從而標定硬幣的面值。由于序號很大(大于200位數字)，重復的概率可以忽略不計，再加上盲簽名讓銀行無法知道硬幣的編號，也就不可能將它記錄下來。

同時，必須要有一種機制來保證電子硬幣不被重復使用。鑒于無法控制遠程用戶對電子現金的復制，提出了一種依靠處罰措施來禁止重復消費這一行為，引人一種“盲記錄”的機制，第一次使用電子硬幣時，無法進行跟蹤，而如果重復使用，就有足夠多的信息能查出使用者的賬戶信息．從而采取相應的反措施。

四、結論

本文首先提出了電子商務對信息安全的要求，從各個方面討論了電子商務技術及其安全問題，說明了安全問題是電子商務發展過程中最大的障礙，但對于安全問題，已經有了許多可解決它的技術，如何將這些技術有機地結合起來用于保護電子商務安全，是一個值得研究的問題。