电子商务的安全技术有哪些

1.1.3　电子商务安全要素

电子商务的安全要素是电子商务系统的中心内容，是理解整个电子商务安全的基础，所有的安全威胁都是针对安全要素中的六项内容而言的，所有的安全技术也都是为保证这六项内容的实现，可见电子商务安全要素在整个安全问题中占据的位置。这六项内容分别是：保密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性。

1.保密性

商务数据的保密性（Confidentiality）是指信息在网络上传输或存储的过程中不被他人窃取、不泄露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。

在商务活动的过程中，交易信息直接代表着个人、企业或国家的商业机密，如信用卡账号及密码、定货单、内部报价单等等。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。而电子商务是建立在一个较为开放的网络环境上的，必须采用必要的技术手段来保证发送方和接收方之间交换信息的保密性，要预防非法的信息存取和信息在传输过程中被非法窃取，确保只有合法用户才能看到数据，防止泄密事件。

保密性可用信息加密技术实现，使信息截获者不能解读加密信息的内容。另外，保密性还要求保护通信流特性，如通信源与目的、流量、频率等，以防止被分析，从而丧失有价值的商业情报。

2.完整性

商务数据的完整性（Integrity）是指保护数据的一致性，防止数据被未授权者修改、建立、嵌入、删除、重复发送或由于其他原因被更改。

加密的信息在传输过程中，虽能保证其保密性，但并不能保证不被修改。电子商务系统应充分保证数据传输、存储完整性检查的正确性和可靠性。首先，为保证数据传输的完整性，网络传输所使用的协议必须具有查错纠错功能，并且应具有消息投递的确认与通知信息，以保证传送准确无误，防止数据的丢失和篡改；其次，为保证数据存储的完整性，电子商务系统信息存储必须保证正确无误。作为存储介质的磁盘，可采用容错磁盘和磁盘的热修补技术；第三，对电子商务报文进行完整性检查，抛弃不完整的电子商务文件。对接收的电子商务报文数据要进行扫描，按电子商务所规定的语法规则进行上、下文检查，把不符合语法规则的非法字符从数据流中移走。

贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础，因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。

3.认证性

商务对象的认证性（Authentication）或称真实性是指网络两端的使用者在通信之前相互确认对方的身份，保证交易方确实存在，而并非有人假冒。

认证性所解决的问题是，确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题。传统的纸介质贸易通过双方在合同、契约或单据等书面文件上手写签名或盖章来鉴别。在无纸化的电子商务方式下，要保证交易双方身份的正确性，分辨参与者所声称身份的真伪，防止伪装攻击，需为参与实体提供可靠的标识。这往往需要第三方的介入，认证性用数字签名和身份认证技术实现。

4.不可否认性

商务服务的不可否认性（Non－repudiation）或称不可抵赖性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，这是一种法律有效性要求，通过这一特性，建立有效的责任机制，防止实体否认其行为。交易一旦达成就不能否认，如果否认必然会损害另一方的利益。信息的不可否认性用来保护通信用户对付来自其他合法用户的威胁，比如发送方对其所发消息的否认，接收方对其所收消息的否认等等。这种威胁并非来自未知身份的攻击者。不可否认性能够提供充分的证据迅速辨别出谁是谁非，采用的技术如数字签名等。

5.不可拒绝性

商务服务的不可拒绝性（Denial of service）或称可靠性是保证授权用户在正常访问信息和资源时不被拒绝，即为用户提供稳定可靠的服务。

要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒甚至自然灾害所产生的潜在威胁加以控制和预防。这类威胁的结果是破坏了计算机的正常处理速度或使计算机完全拒绝服务。贸易数据在确定的时刻、确定的地点必须是可访问的，延迟或拒绝服务都会把自己的顾客和贸易伙伴推向竞争对手那里，或者在竞争性交易中错过商机。

6.访问控制性

访问控制性（Access control）或称可控性规定了主体访问客体的操作权力限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制），包括人员限制、数据标识、权限控制、控制类型和风险分析等。可控性在这里主要指能控制使用资源的人或实体的使用方式，在网络上限制和控制通信信道对主机系统和应用的访问，保护计算机系统的资源不被未经授权的人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等，即防止未授权的数据暴露。访问控制性可用防火墙等技术及相关制度措施等实现。

电子商务除了以上六个主要的安全要素外，还有匿名性服务（隐匿参与者身份、保护个人或组织隐私）等要素，以及一些特殊环境的特殊要素。