随着现今社会互联网、个人终端技术的飞越发展，电子商务越来越多的出现在人们的生活与工作中，这种全新的商务模式具有便捷、高效率、低成本的特点。同时，这种全新的商务模式对管理水平、信息传递技术都提出了更高的要求，其中安全的重要性尤为突出。
　　一、电子商务中存在安全的问题
　　(一)网络信息安全方面
　　1.服务器的安全问题。电子商务服务器是电子商务的核心，安装了大量的与电子商务有关的软件和商家信息，并且服务器上的数据库里有电子商务活动过程中的一些保密数据。因此服务器特别容易受到安全的威胁，并且一旦出现安全问题，造成的后果也是非常严重。
　　2.网络信息的安全问题。非法用户在网络的传输上使用不正当手法，非法拦截会话数据获得合法用户的有效信息，最终导致合法用户的一些核心业务数据泄密或者是非法用户对截获的网络数据进行一些恶意篡改，如增加、减少和删除等操作，从而使信息失去真实性和完整性，导致合法用户无法正常交易，还有一些非法用户利用截获的网络数据包再次发送，恶意攻击对方的网络硬件和软件。
　　3.网络安全中的病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介，不少新病毒直接以互联网作为自己的传播途径，电脑病毒问世10多年来，各种新型病毒及其变种迅速增加，不少新病毒直接以互联网作为自己的传播途径，还有众多病毒借助于互联网传播得更快，如何在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
　　(二)电子商务交易方面
　　1.交易身份的不确定。电子商务是一种全球各地广泛的商业贸易活动在开放的网络环境下，基于浏览器/服务器应用方式，在买卖双方不谋面的情况下进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动。正是基于这个特点攻击者可以通过非法的手段盗窃合法用户的身份信息，仿冒合法用户的身份与他人进行交易。
　　2.交易协议安全性问题。企业和用户在电子交易过程中的数据是以数据包的形式来传送的，恶意攻击者很容易对某个电子商务网站展开数据包拦截，甚至对数据包进行修改和假冒。TCP/IP协议是建立在可信的环境之下，缺乏相应的安全机制，这种基于地址的协议本身就会泄露口令，根本没有考虑安全问题;TCP/IP协议是完全公开的，其远程访问的功能使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等这些性质使网络更加不安全。
　　二、电子商务中的信息安全对策
　　(一)数字加密技术
　　1.数字签名。数字签名是将数字摘要、公用密钥算法两种加密方法结合起来使用。通过数字签名能够实现对原始报文的鉴别。数字签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实;二是因为签名不易仿冒，从而确定了文件真实性的这一事实。
　　2.数字凭证。数字凭证是用电子手段来证实一个用户的身份和对网络资源的访问的权限。对于在网上进行交易的双方来说，数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型：个人凭证、企业(服务器)凭证、软件(开发者)凭证，大部分认证中心提供前两类凭证。
　　3.数字时间戳。交易行为中，时间是十分重要的信息。在电子交易中，需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。
　　(二)网络安全技术
　　1.防火墙技术。现有的防火墙技术包括两大类：数据包过滤和代理服务技术。其中最简单和最常用的是包过滤防火墙，它检查接受到的每个数据包的头，以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤，所以可以有效地避免对其进行的有意或无意的攻击，从而保证了专用私有网的安全。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。
　　2.虚拟专网技术VPN。VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。VPN具有投资小、易管理、适应性强等优点。VPN可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全连接，并保证数据的安全传输，以此达到在公共的互联网上或企业局域网之间实现完全的电子交易的目的。
　　(三)防病毒措施
　　1.预防病毒技术。预防病毒技术通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。
　　2.检测病毒技术。检测病毒技术是通过对计算机病毒的特征来进行判断的技术，来确定病毒的类型。
　　3.杀毒技术。杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码，反病毒程序会采取相应处理措施，防止病毒进入网络进行传播扩散。
　　三、结束语
　　电子商务作为全球商务发展的趋势，将给全球的经济、政治和法律带来深刻的影响，安全问题将会变得更加重要和突出。任何成功的电子商务必须能提供足够的安全性、可靠性和可用性，才能赢得客户的信赖和欢迎。深入加强网络安全技术开发工作，发展自己的电子商务技术，尽快完善电子商务制度，建立良好的电子商务发展环境;使得电子商务真正以其超越传统商务的独特优势为信息时代的经济发展注入新鲜的活力。
责任编辑：沫沫
作者：沫沫
延伸阅读：关键词：
分类排行榜
作者：木木博客
作者：木木
作者：何杨
作者：何杨
作者：苗元威
安全、高效、便捷的交易中介平台
中小企业首选SEO、全网营销服务
技术外包平台 一站式网站技术服务
高收益、移动广告、弹窗CPM
做有良心的cms技术服务提供商
提供公众号出售、求购、代售等交易中介以及增值服务。
增值电信业务经营许可证：苏B2-
编辑热线：6-808
A5创业网 版权所有.
扫一扫关注最新创业资讯电子商务安全问题研究-
留言内容不能
合作经济与科技杂志社
地址：石家庄市建设南大街21号
邮编：050011
□文/刘树安
电子商务安全问题研究
　　［提要］　本文概述电子商务所面临的安全问题，分析电子商务在安全方面的基本要求，提出解决电子商务安全应采取的措施，以及保证电子商务安全应注意的一些问题。
关键词：电子商务；安全技术；电子支付
中图分类号：F49　文献标识码：A
收录日期：日
　　电子商务正在成为一个全球性的经济主题，围绕电子商务安全的技术也正在逐步建立起来，所有准备或者已经开展电子商务的工商企业都应当了解其交易的技术手段，采取最先进和严密的技术措施，以便有效地维护自己的财产利益。电子商务的核心问题是安全问题，由于电子商务与生俱来的开放性和全球性的特点，使得电子商务存在着种种安全漏洞。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易，这样会导致商业机密信息或个人隐私的泄漏，从而导致巨大的利益损失。网上交易安全性若不能得到保证，就必将影响我国电子商务的顺利发展。所以，研究网络环境的电子商务安全技术具有重要的现实意义。
　　一、电子商务面临的安全问题
　　电子商务的安全性并不是一个孤立的概念，它是由计算机安全性，尤其是计算机网络的安全性发展而来的。因为电子商务就是利用计算机网络的信息交换来实现电子交易，所以凡是涉及计算机网络的安全问题，无疑对于电子商务都有着重要意义。当然，电子商务的安全也存在着自身的特点。计算机网络所面临的安全性威胁主要给电子商务带来了如下的安全问题：
　　（一）信息泄漏。在电子商务中表现为商业机密的泄漏，主要包括两个方面：1、交易双方进行交易的内容被第三方窃取；2、交易一方提供给另一方使用的文件被第三方非法使用。
　　（二）篡改。在电子商务中表现为商业信息的真实性和完整性问题。电子交易信息在网络上传输的过程中，可能被他人非法的修改、删除或重放（指只能使用一次的信息被多次使用），这样就使信息失去了真实性和完整性。
　　（三）身份识别。1、如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。进行身份识别后，交易双方就可防止“相互猜疑”的情况；2、“不可抵赖”性。交易双方对自己的行为应负有一定的责任，信息发送者和接受者都不能对此否认。进行身份识别后，如果出现抵赖的情况，就有了反驳的依据。
　　（四）信息破坏。1、网络传输的可靠性。网络的硬件或软件可能会出现问题而导致交易信息传递的丢失与谬误；2、恶意破坏。计算机网络本身容易遭到一些恶意程序的破坏，而使电子商务的信息遭到破坏，如计算机病毒等。
　　二、电子商务对安全的基本要求
　　由于网上交易的安全存在问题，为了确保交易的顺利进行，必须在互联网络通讯中进行加密，并维持一种令人可信的环境和机制。在设计和实施安全方法时，对用户应该是公开和透明的。为了保障交易各方的合法权益，保证能够在安全的前提下开展电子商务，以下基本要求必须得到满足：
　　（一）授权合法性。安全管理人员能够控制用户的权限，分配或终止用户的访问、操作、接入等权利，但被授权用户的合法要求不能被拒绝。
　　（二）不可抵赖性。不可否认性就是建立有效的责任机制，防止实体否认其行为。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方面的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业和国家提供可靠的标识，这样发送方和接受方在发送和接受数据后就都不能抵赖。
　　（三）保密性。信息的发送和接收是在安全的通道进行，保证通信双方的信息保密，交易的参与方在信息交换过程中没有被窃听的危险，非参与方不能获取交易的信息。电子商务的信息传输必须保证其不被非授权实体截获及读取。如果可能，应确保交易的匿名性，确保交易者的身份和购买习惯等隐私受到保护。
　　（四）身份的真实性。参与交易的双方在进行安全通信前，必须通过一定的机制互相确认对方的身份，保证信息是由确定对象发出。交易方的身份不能被假冒或伪造，可以有效鉴别和确定交易方的身份。
　　（五）信息的完整性。信息的接收方可以验证收到的信息是否是完整一致的，是否被人篡改。由于数据输入时的意外差错或欺诈行为等，可能导致贸易各方信息的差异。所以，网上支付必须保证传输过程中信息不被窜改、假冒、重发和丢失，保证目的信息和源信息的一致性。电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
　　三、电子商务所涉及的安全技术
　　（一）虚拟专用网。虚拟专用网络（VPN）是利用公用互联网络作为信息传输媒介，通过安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。虚拟专用网是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的信道，非常适合于电子数据交换（EDI）。在虚拟专用网中交易双方相互比较熟悉，而且彼此之间的数据通信量很大，只要交易双方取得一致，在虚拟专用网中就可以使用比较复杂的专用加密和认证技术，这样就可以大大提高电子商务的安全性。虚拟专用网是进行电子商务比较理想的一种形式。
　　以一般的生产厂家为例，生产厂家的直接合作伙伴是原料供应商和产品批发商。一方面生产厂家要想生产适销对路的产品，就要利用虚拟专用网从产品批发商那里得到产品信息，以便组织生产；另一方面为了尽量减少库存，生产厂家又要根据需求来组织原料，这一过程是通过虚拟专用网与原料供应商联系，以便原料供应商可以及时地把所需原料送到指定的地点。这样的生产方式降低了成本，提高了效率，同时由于中间都采用了虚拟专用网技术，安全性比较好。
　　当然，虚拟专用网也存在着一些问题。如果虚拟专用网使用专用线路，则受到攻击的机会比较小，安全强度比较高，但如果使用公共线路，还是很容易受到攻击的。而且正是因为攻击虚拟专用网更具有挑战性，才更容易吸引网络黑客对其进行攻击，也带来了巨大的安全隐患。
　　（二）加密技术
　　1、加密技术的基本含义。加密技术是实现信息保密性的一种重要手段，目的是为了防止合法接收者之外的人获取信息系统中的机密信息。所谓信息加密技术，就是采用数学方法对原始信息（通常称为“明文”）进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字（加密后的信息通常称为“密文”），而对于合法的接收者，因为其掌握正确的密钥，可以通过解密过程得到原始数据（即“明文”）。由此可见，在加密和解密的过程中，都要涉及信息（明文/密文）、密钥（加密密钥/解密密钥）和算法（加密算法/解密算法）这三项内容，一条信息的加密传递过程如图1。（图1）
　　由此可见，尽管在网上传递的信息可能被非法接收者捕获，但仍是比较安全的。因为想在没有密钥和解密算法的前提下恢复明文，或者读懂密文，是非常困难的。具体有多困难，就要看加密算法的复杂程度以及密钥的长度了。
　　这样，就出现了两门科学：密码编码学（进行密码体制设计）和密码分析学（在未知密钥的情况下，从密文推出明文或密钥的技术）。这两门学科结合起来就称为密码学。密码编码学是为了设计出安全的密码体制，防止被破译；而密码分析学则是如何研究破译密文。密码学正是在这种破译与反破译的过程中发展起来的。
　　2、密码体制分类。按加密密钥和解密密钥是否相同，可将现有的加密体制分为两种：单钥加密体制和双钥加密体制。单钥（私钥或对称）加密体制的加密密钥和解密密钥相同或者本质上相同（即从其中一个可以很容易地推出另一个）。其典型代表是美国的数据加密标准DES。其优点是具有很高的保密强度，但它的密钥必须按照安全途径进行传递，密钥管理成为影响系统安全的关键性因素，难以满足开放式计算机网络的需求。双钥（公钥或非对称）加密体制的加密密钥和解密密钥不相同，而且从其中一个很难推出另一个。这样加密密钥可以公开，而解密密钥可由用户自己秘密保存，其典型代表是RSA体制。
　　3、存在的问题。密码学界流传着这样一句名言：加密技术本身都是很强的，但是它们的实现却往往很差。人们需要的是一个确实贯彻了加密体制的、针对企业环境开发的、标准的加密系统。现在的加密标准很多，固然是有了更多的选择余地，但同时也带来了兼容性的问题。由于缺乏一个安全交易的通用标准，所以不同的商家可能会采用不同的标准。信息加密技术在不断发展，除了基于数学的密码理论与技术，还包括一些非数学的密码理论与技术。现在比较热门的研究是量子密码技术、信息隐藏与数字水印技术。
　　（三）认证技术。认证技术是保障电子商务交易安全的一个重要方面。从概念上说，信息的保密与信息的认证是有区别的。加密保护只能防止被动攻击，而认证保护可以防止主动攻击。信息认证是安全性很重要的一个方面。信息认证的目的有两个：一是确认信息发送者的身份；二是验证信息的完整性，即确认信息在传送或存储过程中未被篡改过。认证是为了防止有人对系统进行主动攻击的一种重要技术。与认证有关的技术包括数字签名技术、身份识别技术、数字证书、数字时间戳等。
　　1、数字签名技术。为了鉴别文件或书信的真伪，传统的做法是：要求相关人员在文件或书信上亲笔签名或印章，包括商业合同、银行提单、日常书信等。签名起到认证、核准和生效的作用。随着信息时代的来临，人们希望通过数字通信网络迅速传递贸易合同，这就出现了合同真实性认证的问题，数字或电子签名就应运而生了。数字签名技术就是利用数据加解密技术、数据变换技术，根据某种协议来产生一个反映被签署文件和签署人特性的数字化的签名。密码技术是数字签名的技术基础。数字签名必须保证以下三点：（1）接收者能够核实发送者对报文的签名；（2）发送者事后不能抵赖对报文的签名；（3）接收者不能伪造对报文的签名。
　　2、身份识别技术。通过互联网络开展电子商务，身份识别是一个不得不解决的问题。一方面只有合法用户才可以使用网络资源，所以网络资源管理要求识别用户的身份；另一方面电子交易双方并不见面，通过普通的电子传输信息很难确认对方的身份。只有采取一定的措施使商家可以确认对方的身份，商家才能放心地开展电子商务。身份识别的常用方法主要有两种，一种是使用口令的方式；另一种是使用标记的方式。
　　在交易过程中，身份认证用来判明和确认交易双方的真实身份，以确定交易对象的真伪。身份认证是网上交易中较薄弱的一个环节。某些黑客或非法用户常常采用骗取口令、修改或伪造服务等方式对网上电子商务系统进行蓄意攻击，破坏系统资源的有效应用与合法管理。
　　实现客户身份认证，可以利用以下三种基本方式及其组合来完成：（1）用户所知道的某种秘密信息，如用户知道自己的口令；（2）用户所持有的某种秘密信息，用户必须持有合法随身携带的物理介质。例如，智能卡中存储用户的个人化参数，访问系统资源时必须要有智能卡；（3）用户具有的某些生物特征，如指纹、声音、DNA图案、视网膜扫描等。
　　口令是应用最广的一种身份识别方式，使用口令进行用户鉴别可以有效防止非法用户入侵，但是由于口令的重复使用和不安全的网络传输等原因，也导致了口令有可能被破解或被盗用。口令一般是长度为5～8个的字符串，由数字、字母、特殊字符、控制字符等组成。而标记是一种个人持有物，它的作用类似于钥匙，用于启动电子设备。标记上纪录着用于机器识别的个人信息。常用的标记可以采用磁卡或智能卡等。目前已经有产品的技术有指纹识别、人脸识别、虹膜识别等。这种认证方案一般造价较高，多半适用于保密程度极高的特殊场合。
　　3、数字证书。数字证书（ID）又称数字凭证，就是由一个权威机构发行的标志在网络通信中通信各方身份信息的一系列数据，它是一种用电子手段来证实一个用户的身份和对网络资源的访问权限的方法。数字证书是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体（如人、服务器等）的身份以及其公开密钥的合法性。数字证书拥有者可以将其证书提供给其他人、Web站点及网络资源，以证实他的合法身份，并且与对方建立安全可信的通信。比如，用户可以通过浏览器使用证书于Web服务器建立SSL会话，使浏览器与服务器之间相互验证身份。另外，数字证书也可以用于发送加密和签名的电子邮件。
　　目前，数字证书格式一般采用X.509国际标准。一个标准的X.509数字证书包含以下一些内容：证书的版本号、证书的序列号、证书所使用的签名算法、证书的有效期、证书持有人的名称和联系方式等个人信息、证书持有人的公钥、证书的发放机构名称、发放机构的数字签名。
　　数字证书的种类有：个人证书（仅代表消费者个人）、商家证书（可代表商家服务器的合法性）和支付网关证书（证明其已获得金融机构的授权）。数字证书的内容一般写入IC卡等存储介质内，以确保用户信息不被非法读取及篡改。
　　4、数字时间戳。在电子商务交易文件中，时间是一个十分重要的信息。在书面合同中，文件签署的日期和签名一样是十分重要的防止被伪造和篡改的关键性内容。在电子交易中，同样需要对交易文件的时间信息采取安全保护。数字时间戳服务（DTS）就能提供电子文件的日期和时间信息的安全保护，它由专门的机构提供。数字时间戳技术是一种变种的数字签名技术应用。时间戳是一个经加密后形成的凭证文档，它包括三个部分：（1）需加时间戳的文件的摘要；（2）DTS收到文件的日期和时间；（3）DTS的数字签名。
　　一般来说，时间戳产生的过程为：用户首先将需要加时间戳的文件用Hash编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件数字签名，然后送回用户。
　　特别应注意的是，书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。
　　5、认证机构（CA）。认证机构的核心职能是发放和管理用户的数字证书。认证机构在整个电子商务环境中处于至关重要的位置，它是整个信任链的起点。认证机构是开展电子商务的基础，如果认证机构不安全或发放的证书不具有权威性，那么网上电子交易就根本无从谈起。CA的主要任务是受理数字凭证的申请、签发及对数字凭证的管理。CA中心为每个使用公开密钥的用户发放一个数字证书，同时CA机构的数字签名使得攻击者不能伪造和篡改证书。
　　认证机构发放的证书分为两类：SSL证书和SET证书。一般地说，SSL（安全套接层）证书是服务于银行对企业或企业对企业的电子商务活动的；而SET（安全电子交易）证书则服务于持卡消费、网上购物。虽然它们都是用于识别身份和数字签名的证书，但它们的信任体系完全不同，而且所符合的标准也不一样。简单地说，SSL证书的作用是通过公开密钥证明持卡人的身份；而SET证书的作用则是通过公开密钥证明持卡人在指定银行确实拥有该信用卡账号，同时也证明了持卡人的身份。
　　用户想要获得证书，首先要向认证机构提出申请，说明自己的身份。认证机构在证实用户的身份后，向用户发出相应的数字证书。认证机构发放证书时要遵循一定的原则，如要保证自己发出的证书的序列号各不相同，两个不同的实体所获得的证书的主题内容应该相异，不同主题内容的证书所包含的公开密钥相异。
　　（四）防火墙技术。“防火墙”是一种形象的说法。在计算机界，防火墙是指一种逻辑装置，用来保护内部的网络不受来自外界的侵害。防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面：其一，限制外部网对内部网的访问，从而保护内部网特定资源免受非法侵犯。其二，限制内部网对外部网的访问，主要是针对一些不健康信息及敏感信息的访问。
　　防火墙就是在内部网与外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网及外部网的访问。防火墙技术已成为实现网络安全策略的最有效的工具之一，并被广泛地应用到Internet上。防火墙具有以下优点：
　　1、保护那些易受攻击的服务。防火墙能过滤那些不安全的服务，只有预先被允许的服务才能通过防火墙，这样就降低了受到非法攻击的风险性，大大提高了网络的安全性。
　　2、控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问，而有些则要被保护起来，防止不必要的访问。
　　3、集中化的安全管理。对于一个企业而言，使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个主机上。
　　4、对网络访问进行纪录和统计。如果所有对Internet的访问都经过防火墙，那么防火墙就能纪录下这些访问，并能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能够报警并提供网络是否受到监测和攻击的详细信息。
　　（五）用备份和镜像技术提高数据完整性。“备份”是保证数据安全的最重要的一个环节。有规律地备份可以使用户避免由于硬件的故障导致数据的损失，它可以保障今天存储的数据明天还可以使用。这样的事件中的破坏者可能是个失误的芯片或者电源失效，甚至还有火灾。备份将提供安全保障。备份防范人为的破坏也至关重要。如果计算机被偷，数据的唯一的拷贝还在备份上，这就可以在另一台计算机上恢复。如果计算机黑客攻破计算机系统并抹掉所有文件，假定这个计算机黑客确实无法获得备份或者知道备份的存在，备份将能把它们恢复。
　　但是，备份也存在潜在的安全问题。后备数据是间谍偷窃的目标，因为他们能含有秘密信息的精确拷贝。确实，备份给计算机系统提供更大安全性，因为偷窃含有工作数据的介质比偷窃备份更引人注目。由于备份存在安全漏洞，一些计算机系统允许用户的特别文件不进行系统备份，这样的行动是在备份磁带被偷的损失比由于设备故障失去数据的损失更大，或者存储在计算机上的数据已经有了一个备份的情况下进行。镜像就是两个部件执行完全相同的工作，若其中一个出现故障，则另一个系统仍可以继续工作，这种技术一般用于磁盘子系统中。在这种技术中，两个系统是等同的，两个系统都完成了一个任务才算任务真正完成了。
　　（六）电子支付工具。所谓电子支付，指的是电子交易的当事人，包括消费者、厂商和金融机构，使用安全电子支付手段通过网络进行的货币支付或资金流转。随着计算机技术的迅速发展，电子支付工具的种类也越来越多。这些工具各有自己的特点和运作模式，适用于不同的交易过程。下面介绍几种典型的、具有代表性的电子支付手段。
　　1、电子现金。电子现金是一种以数据形式流通的货币。它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。电子现金的支付过程：（1）用户在银行开立E-Cash账号并预存现金；（2）使用PC的E-cash终端软件从E-cash银行取出一定数量的E-cash存入硬盘；（3）用E-cash购买商品或服务；（4）商家与E-Cash银行之间进行清算。
　　电子现金具有纸质现金的特点，可以存、取、转让，安全性比较好，适合于网上的小额交易。用电子现金方式支付，买方、卖方和E-cash银行都需要使用E-cash软件，身份验证由E-cash本身完成，E-cash银行负责买方和卖方之间资金的转移。电子现金支付具有匿名性的优点，很受提倡个人隐私权买主的欢迎。它的主要缺点是硬盘故障的时候，现金有可能丢失；存在货币兑换问题；需要一个大型数据库存储用户完成的交易和E-cash序列号以防复制和重复消费。因此，现在只有少数商家和银行提供此项服务。
　　目前，已经存在两种实用的电子现金支付系统，一种是无条件的匿名电子现金支付系统Digicash；另一种是可记录的匿名电子现金支付系统Netcash。
　　2、电子钱包。电子钱包是一种非常适合小额购物的电子支付工具。这种新式钱包用途广泛，具有信息存储和安全密码锁等多种功能，性能安全可靠。
　　客户使用电子钱包在网上购物时，在填写完订单并得到商家的确认后即可输入口令进入自己的电子钱包，从中取出一张电子信用卡进行付款。用电子钱包进行支付的过程中，虽然要进行信用卡验证、数据交换和授权等许多操作，但这些都是在极短的时间内完成的。而且对于客户来说，信用卡上的信息对他人不可见，保密性很好，所以整个购物过程自始至终都是十分安全可靠的。
　　3、电子信用卡。信用卡是指要求持卡人有较高信誉度，有小额信贷功能的银行卡，可先行透支消费，如维萨卡、万事达卡等。电子信用卡是在传统信用卡的基础上，为适应电子商务发展的需要，扩展其功能和使用范围而发展起来的。随着网上银行业务的兴起，客户可以将电脑终端直接连至银行，通过电子信用卡进行网上支付，真正实现不受时空限制的银行服务。如招商银行的“一卡通”服务就能使客户享受到足不出户的网上购物乐趣。
　　使用电子信用卡支付的过程为：（1）完成客户的购物；（2）从客户账目向商家账目转账；（3）发卡机构通知客户应支付的款项，并为客户下账。在电子信用卡中，智能卡（Smart Card or IC）凭借其存储量大、安全性好的特点，逐渐引起人们的重视。多功能智能卡内还装有高性能的CPU。智能卡中存有用户的个人信息和货币信息，用户在支付时无需记住个人识别码，提高了保密性能。但是，使用智能卡支付需要系统增加读卡器等硬件设备。
　　4、电子支票。电子支票是一种借鉴纸质支票转移支付的优点，利用数字传递将钱款从一个账户转移到另一个账户的电子付款形式。电子支票在商家与银行之间的网络上以加密方式传递，使用数字签名或个人识别码（PIN）来代替手写签名，而且电子支票的支付处理费用较低，因此电子支票有可能成为最有效率的支付手段。
　　电子支票支付过程为：先在提供电子支票服务的银行注册，开具具有银行数字签名的电子支票，买方用私钥加密电子支票进行数字签名，再用卖方公钥加密电子支票，连同订单信息传递给卖方，卖方向银行确认后，即可向买方发送订单确认。卖方定期同银行清算支票。
　　电子支票主要是通过专用网络、设备、软件以及一套完整的用户识别、标准报文、数据验证等规范化的协议来完成数据传输和安全控制的。这种方式目前已较为完善，今后发展的主要问题是逐步过渡到公共互联网络上进行传输。
　　5、第三方支付平台。所谓第三方支付，就是一些和产品所在国家以及国外各大银行签约、并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。在通过第三方支付平台的交易中，买方选购商品后，使用第三方平台提供的账户进行货款支付，由第三方通知卖家货款到达、进行发货；买方检验物品后，就可以通知付款给卖家，第三方再将款项转至卖家账户。
　　在虚拟的无形市场，交易双方互不认识，不知根底，故此，支付问题曾经成为电子商务发展的瓶颈之一，卖家不愿先发货，怕货发出后不能收回货款；买家不愿先支付，担心支付后拿不到商品或商品质量得不到保证。博弈的结果是双方都不愿意先冒险，网上购物无法进行。为应合同步交换的市场需求，第三方支付应运而生。支付宝是国内领先的第三方支付平台，由阿里巴巴集团CEO马云先生创立。马云进入C2C领域后，发现支付是C2C中需要解决的核心问题，因此就想出了支付宝这个工具，支付宝最初仅作为淘宝网公司为了解决网络交易安全所设的一个功能，该功能为首先使用的“第三方担保交易模式”，由买家将货款打到支付宝账户，由支付宝向卖家通知发货，买家收到商品确认后指令支付宝将货款放于卖家，至此完成一笔网络交易。2004年12月支付宝独立为浙江支付宝网络技术有限公司。
　　支付宝公司从2004年建立开始，始终以“信任”作为产品和服务的核心。不仅从产品上确保用户在线支付的安全，同时让用户通过支付宝在网络间建立起相互的信任，为建立纯净的互联网环境迈出了非常有意义的一步。支付宝提出的建立信任，化繁为简，以技术的创新带动信用体系完善的理念，深得人心。在不到六年的时间内，为电子商务各个领域的用户创造了丰富的价值，成长为全球最领先的第三方支付公司之一。截至2012年6月，支付宝注册用户突破7亿，日交易额超过45亿元人民币，日交易笔数达到3，369万笔。
　　支付宝创新的产品技术、独特的理念及庞大的用户群吸引越来越多的互联网商家主动选择支付宝作为其在线支付体系。除淘宝和阿里巴巴外，支持使用支付宝交易服务的商家已经超过46万家；涵盖了虚拟游戏、数码通讯、商业服务、机票等行业。这些商家在享受支付宝服务的同时，还拥有了一个极具潜力的消费市场。支付宝以稳健的作风、先进的技术、敏锐的市场预见能力及极大的社会责任感，赢得了银行等合作伙伴的认同。目前，国内工商银行、农业银行、建设银行、招商银行、上海浦发银行等各大商业银行以及中国邮政、VISA国际组织等各大机构均与支付宝建立了深入的战略合作，不断根据客户需求推出创新产品，成为金融机构在电子支付领域最为信任的合作伙伴。
　　四、保障我国电子商务安全应注意的问题
　　随着我国电子商务的发展，其安全问题也变得越来越突出。建立一个安全、便捷的电子商务应用环境，已经成为商家和用户都十分关心的话题。对于保证我国电子商务安全，促进我国电子商务的发展，应该注意以下问题：
　　（一）保证安全要做到“两高一低”。电子商务安全系统的设计要充分考虑适用性原则。系统安全性的提高是以牺牲部分网络性能为代价的，而不同企业的电子商务对安全级别的要求是不同的，所以在设计安全体系结构时，要尽力做到安全、经济、高效和可扩展的最佳结合。对电子商务的安全性，简单地讲就是“两高一低”，即提高服务的安全性，否则会制约电子商务的发展，成为发展的瓶颈；提高通讯的速度，否则电子商务就成了纯粹的电子广告而无法将商场搬到里面；降低成本，这不仅仅是降低硬件成本，特别是要降低通讯成本。
　　（二）不要让安全成为发展的瓶颈。谈到电子商务的安全与发展之间的关系时，许多人都会认为安全最重要，而实际上在信息化发展的过程中，发展自始至终都应是放在第一位的，因为没有发展安全就无从谈起，没有发展就是最大的不安全。
　　电子商务的快速发展需要业界，特别是信息安全业快速地做出反应，否则安全方面的问题将会制约它的发展。现在不仅仅是发展中国家，就连美国这样的发达国家，电子商务在很多领域还是没有像其他传统的商务那样发达，一个重要的原因就是安全问题。这就需要信息安全业的人士做出不懈的努力，不要因为安全问题而制约了电子商务的发展。
　　（三）安全是一个系统的概念。解决电子商务安全问题是一个系统工程。安全问题不仅仅只是技术问题，它还涉及到法律、道德、管理等方面的因素。只有树立全方位的安全意识，设计并实现全方位的安全体系结构，才能解决安全问题。安全问题不仅仅是一个技术性的问题，更重要的是管理，而且它还与社会道德、行业管理以及人们的行为模式紧密地联系在一起。
　　（四）安全是相对的。不要追求一个永远也攻不破的安全系统，安全与管理始终是联系在一起的。也就是说，安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是不可能的。要正确认识这个问题。由于安全领域存在太多的变动因素，网络的攻防尤其是安全技术是此消彼长，所以没有绝对的、一劳永逸的安全，这就需要不断地检查、评估和调整相应的安全策略，逐步完善电子商务的各种安全机制。
　　（五）安全是有代价的。无论是现在国外的B to B还是B to C，都要考虑到安全的代价和成本问题。如果只注重速度，就必定要以牺牲安全作为代价；如果要考虑到安全，速度就得慢一点，把安全保障得更好一些。如果不涉及到支付等敏感问题，对安全的要求就可以低一些；如果牵涉到支付问题，对安全的要求就高一些，所以安全是有成本和代价的。作为一个经营者，应综合考虑这些因素，作为安全技术的提供者，在研发技术时也要考虑到这些因素。
　　（六）安全是发展的、动态的。网络安全技术的敏感性、竞争性以及对抗性都是很强的，这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全，也没有一蹴而就的安全，电子商务的安全是相对的、发展的、动态的安全。电子商务是一个机遇和挑战共存的领域，这种挑战不仅来源于传统的商务模式，更来源于对可使用的安全技术的信赖。不断研究新的电子商务安全技术应该是我们一直努力的方向。比如，研究当前国际前沿的信息隐藏与数字水印、量子密码、基于生物特征的身份认证技术；关注移动电子商务安全；完善、改进现有的支付协议；特别是要针对我国的国情，充分借鉴国外的先进技术和经验，开发和研究出具有独立知识产权的电子商务安全产品。
（作者单位：东北财经大学管理科学与工程学院）
主要参考文献：
[1]罗宾斯著.管理学[M].中国人民大学出版社，2008.
[2]方美琪.电子商务概论[M].清华大学出版社，2002.
[3]杜风雷.浅析电子商务安全问题[J].信息与电脑（理论版），2011.11.
版权所有:合作经济与科技杂志社 备案号：冀ICP备号
您是本站第 1139771 位访客}