電子商務安全問題研究

摘要：電子商務是利用計算機網絡開展的商務活動。近年來，隨著電子技術的發展，“網上購物”、“電子錢包”等已漸成時尚，但安全問題始終是影響電子商務發展的關鍵因素。安全問題威脅著交易中每一方的利益，客戶由此產生的疑慮會影響到交易的成敗，甚至會影響電子商務的進一步的發展。

關鍵詞：電子商務 安全 網上交易

中圖分類號：F626.5 文獻標志碼：Ａ文章編號：１６７３－２９１Ｘ（２０11）26－０279－06

一、電子商務安全的基本理論

（一）電子商務的概念

電子商務出現于20世紀90年代，發展的時間并不長，但與傳統商務相比，電子商務具有驚人的發展速度。CNN公布的資料表明，1999年度全球電子商務銷售額突破1 400億美元。但是，究竟什么是電子商務呢？實際上，迄今為止，電子商務還沒有一個被廣泛接受的概念。

世界貿易組織（WTO）給電子商務下的定義為：電子商務是指以電子方式進行的商品和服務之生產、分配、市場營銷、銷售或交付。

經濟合作發展組織（OECD）認為：電子商務是指商業交易，它包括組織與個人在基于文字、聲音、可視化圖像等在內的數字化數據傳輸與處理方面的商業活動。

世界各國對電子商務的理解也不盡相同。盡管電子商務的定義在內容上各有側重，但是我認為電子商務的內涵一般應至少包括下列三方面內容：

（1）使用電子工具，借助互聯網傳輸信息。

（2）在公開環境下交易。

（3）依靠一定的技術規范和技術標準，利用數據化的信息來進行交易。

電子商務使用的網絡類型主要有三種形式：EDI網絡、INTRANET網絡和INTERNET網絡。由于EDI是專線網絡，而INTRANET是企業內部網，其安全性較好，對傳統法律規范體系的沖擊相對于INTERNET要小的多，因而本文主要討論的電子商務主要是指借助于INTERNET網絡的電子商務。

（二）電子商務的安全的內容及要求

電子商務作為一種新的經濟交易方式，它只是在表現形式上與傳統商業不同，但是這并沒有改變其商業屬性，這就要求電子商務的運作必須遵循商業活動的一般規律，否則，電子商務是無法發展的。

安全與效率，是一切經濟交易必須考慮的兩個問題。電子商務的存在與發展也必須滿足這兩個要求。對于電子商務而言，其高效性已經得到了人們充分的認可。但是，安全性呢？電子商務作為一種新生事物，世界各國都尚未形成成熟的安全運營模式。如何在網絡環境下，構建與傳統法律價值接近的規則體系，已經越來越為人們所關注。

從傳統商業與電子商務的不同特點來看，要滿足電子商務的安全性要求，至少要有下面幾個問題需要解決。

1.交易前交易雙方身份的認證問題。電子商務是建立在互聯網絡平臺上的虛擬空間中的商務活動，交易的當事人可能處在不同的國家，他們并不直接見面，雙方只能通過數據、符號、信號等進行判斷、選擇，具體的商業行為也依靠電子信號和數據的交流，交易的當事人再也無法用傳統商務中的方法來保障交易的安全。

2.交易中電子合同的法律效力問題以及完整性保密性問題。在傳統國際貿易法中，合同形式要求為書面，而電子商務中的合同是電子合同，與傳統的書面形式存在很大的不同，其法律效力如何取決于法律的有關規定。而且，由于電子商務所依賴的互聯網平臺本身具有開放性的特點，交易雙方的數據如何避免被他人截取和篡改，以保證其完整性和保密性，這都是電子商務發展必須面對和解決的問題。

3.交易后電子記錄的證據力問題。在英美法系，傳聞證據規則限制了電子記錄的證據力。在我國，訴訟法中并未對電子記錄的證據力作出明確規定，甚至也沒有將其單列出來作為證據的一種。

上述這些問題，已經對傳統法律制度造成了沖擊，也是實現電子商務安全所必須解決的問題。筆者將針對這些問題，從技術安全、組織安全、法律安全三個角度，對電子商務的安全運營問題進行解析。

二、電子商務安全性的現狀及存在的問題

（一）電子商務安全的現狀

1.基礎技術相對薄弱

國外有關電子商務的安全技術，其結構或加密算法等都不錯，但由于受到本國密碼政策的限制，公開的算法對于他們來說幾乎不能保密了，潛在安全隱患極大。比較遺憾的是我國至今還沒有自己研發成功的較為成熟的算法。

2.體系結構不完整

電子商務安全以前大都擔當著“救火隊”的角色，頭痛醫頭，腳痛醫腳。這種“治標不治本”的做法下，問題總是層出不窮。近年來，人們已經開始著手從體系結構來解決問題，應當說在理論上已取得了明顯的進展，但到實踐運用還需要更大的努力。

3.支持產品不過硬

目前，市場上有關電子商務安全的產品數量不少，但真正通過認證的相當少。主要是因為不少安全措施是從網上“移植”來的。另外，不少電子商務安全技術的廠商對網絡技術很熟悉，但對安全技術普遍了解得不多，很難開發出真正實用的、足夠的安全技術和產品。目前，構成我國信息基礎設施的網絡、硬件、軟件等產品幾乎完全建立在以美國為首的少數幾個發達國家的核心信息技術之上。

4.多種“威脅”紛雜交織、頻頻發生

電子商務面臨的安全威脅主要來源于三個方面：一是非人為、自然力造成的數據丟失、設備失效、線路阻斷；二是人為但屬于操作人員無意的失誤造成的數據丟失；三是來自外部和內部人員的惡意攻擊和侵入。最后一種是當前電子商務所面臨的最大威脅，極大地影響了電子商務的順利發展。因此，它是電子商務安全對策最需要解決的問題。

“黑客”攻擊電子商務系統的手段可以大致歸納為以下5種：

（1）中斷：采取破壞硬件、線路或文件系統等，攻擊系統的可用性。

（2）竊取：采取搭線、電磁竊取和分析業務流量等獲取有用情報，攻擊系統的機密性。

（3）篡改：結合其他手段修改秘密文件或核心內容，攻擊內容完整性。

（4）偽造：采取偽造假身份注入系統、假冒合法人接入系統、破壞消息的接受和發送，攻擊系統的真實性。

（5）轟炸：采取施放電子郵件炸彈等，攻擊系統的健壯性。

（二）電子商務安全的問題

1.網絡的安全性問題

（1）利用IP欺騙進行攻擊

黑客偽造LAN主機的IP地址，并根據這個偽造的地址進行不正當的存取。他先使被信任的主機喪失工作能力，同時采用目標主機發出的TCP序列號，猜測出他的數據序列號，然后偽裝成被信任的主機，同時建立起與目標主機基于地址經驗的應用連接。如果成功，黑客可以進行非授權操作，偷盜、篡改信息。

（2）捕獲用戶的姓名和口令

黑客通過軟件程序跟蹤檢測軟件，可檢測到用戶的登錄名、密碼，在獲得用戶賬戶的讀寫權之后，可以對其內容胡亂加以修改，毀壞數據，甚至輸入病毒，使整個數據庫陷于癱瘓。

（3）使用“拒絕服務”

黑客發送大量的“請求服務”指令，使得WEB服務器或路由器過載而停止服務，使網絡處于癱瘓的狀態。

（4）非法竊聽

黑客通過搭線竊聽，截收線路上傳輸的信息，或者彩電磁竊聽，截收無線電傳輸的信息，以進行敲詐等非法活動。

（5）網絡協議安全性問題

2.交易中電子合同的法律效力問題以及完整性保密問題

在傳統國際貿易法中，合同形式要求為書面形式，而電子商務中的合同是電子合同，與傳統的書面形式存在很大的不同，其法律效力如何取決于法律的有關規定。而且，由于電子商務所依賴的互聯網平臺本身具有開放性的特點，交易雙方的數據如何避免被他人截取和篡改，以保證其完整性和保密性，這都是電子商務發展必須面對和解決的問題。

3.交易中的安全性問題

（1）網上詐騙

網上詐騙是世界上第二種最為常見的的投資詐騙形式，它有以下幾種形式：

①親和團體詐騙。利用團體內部成員對宗教、種族及專業性團體進行詐騙。

②不正當銷售行為詐騙。向不適宜的投資者推銷、欺騙性報價及市場操縱。

③電話推銷行為詐騙。利用“電話交易所”，強行兜售非法或欺騙性的投資產品。

④高技術產品服務詐騙。利用不合法的優惠條件來誤導高技術投資者，許諾高額利潤，對高技術產品的風險輕描淡寫。

⑤提供投資拍電影或其他娛樂產品行騙，欺騙投資者，對投資者隱瞞風險。

（2）冒名頂替

這是指盜用他人身份來謀取錢財。他們大多會使用一個假身份來向用戶販賣實際上并不存在的商品，借機獲得用戶的信用卡等信息，然后設法將用戶的錢取光。

（3）抵賴

在進行網上交易時，交易雙方不見面，互不知道對方的年齡、性別、住址、公司狀況，當交易的一方不守信用時，他可能對已經實施的操作進行抵賴，或誣陷對方實施了其實沒有實施的操作，這種抵賴往往都是惡意的。如“賣股票500股被改成5 000股，請賠償損失”，其實，對方可能沒改動任何數字。

三、改善電子商務安全性問題的技術措施及建議

（一）利用電子商務安全技術改善電子商務安全

1.采用包過濾路由器

使用包過濾路由器（Router）除了可以完成不同網段間的尋址外，還可以濾除不受歡迎的一些主機的地址和服務。因為INTERNET/INTRANET的基礎協議是TCP/IP協議。網絡中的每臺機器都有一個唯一的IP地址，通過該地址可以訪問網絡中的任何一臺機器。除此之外，通信雙方必須有一致的協議（如FTP、HTTP、Gopher、Telnet等）才能彼此理解所傳送的數據包，這些協議是用機器的端口來標識的，而相應的服務也用端口來表示（如Gopher的端口為70、WWW的端口為80、FTP的端口為20或21），這樣，包過濾路由器就通過IP地址和端口地址以及允許、禁止兩種狀態來控制網絡對某個特定主機或服務的訪問。

2.防火墻技術

防火墻是近年來發展的最重要的安全技術，所謂防火墻就是在內部網與外部網之間的界面上構造一個保護層并強制所有的連接都必須進過此保護層在進行檢查和連接。只有被授權的通信才能通過此保護層從而保護內部網資源免遭非法入侵。它的主要功能是加強網絡之間的訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡即被保護網絡。電子商務中的防火墻主要是為了防止黑客利用不安全的服務對傳輸數據和信息進行攻擊，阻止未授權的用戶對信息資源的非法訪問，甚至是對網絡實施檢查，決定網絡之間的通信權限，監視網絡的進行狀態。

防火墻作為最成熟、最早產品化的網絡安全機制，其最初的設計就是防范外部攻擊，改進的防火墻技術更可有效地控制內部和病毒的破壞。在設計防火墻時必須考慮防火墻的姿態、機構的整體安全策略、費用、基本構件和拓撲結構以及維護和管理方案。所有的防火墻設計都要遵照兩條基本原則：未被允許的必須禁止，未被禁止的均允許。另外，在選擇防火墻的使用時，也要考慮諸多原則，包括網絡結構、業務應用系統需求、用戶及通信流量規模方面的需求以及可靠性、可用性和易用性等方面的需求。

3.采用防火墻體系

該技術運行于OSI的應用層，因此具有應用層的全部信息。由于防火墻的地位十分重要，所以一般采用兩級的安全機制，即第一級由包過濾路由器承擔，第二級由防火墻承擔。帶有兩級防線的防火墻主要有以下幾種形式：

（1）單堡壘主機、單路由器、一層網絡的隔離形式

這種配置的特點是堡壘主機配兩個網絡接口，外部網絡接口接受來自包過濾路由器的數據，數據必須經過包過濾路由器的過濾規則才能轉發給堡壘主機，由于堡壘主機與包過濾路由器之間還有一個網絡，外界對堡壘主機的非法侵入將更加困難。

（2）分級管理的雙堡壘主機形式

所謂分級管理，是指在第一個堡壘主機與包過濾路由器之間的網絡中接入一部分機器，將常用的不需保密的低保密級的數據放在此層，而把保密級較高的數據放在第二級堡壘主機之后，這種配置除具有原單層主機的包過濾及時和堡壘主機的優勢外，當包過濾機制和第一級堡壘主機均被攻破時，由于第二層堡壘主機采用不同的安全策略，不會造成對堡壘主機的連續突破，從而保證了內部網絡的安全。目前，這種方案是較高級別的安全方案。

4.采用虛擬專用網（VPN）技術

VPN是用于Internet交易的一種專用網絡，它可以在兩個系統之間建立安全的隧道。在VPN中，雙方的數據通信量要大得多，而且通信的雙方彼此都很熟悉。這就可以使用復雜的專用加密和認證技術，只要通信的雙方默認即可。撥號VPN使用隧道技術使遠程訪問服務器把用戶數據打包到IP信息包中，這些信息通過電信服務商的網絡進行傳遞，在Internet中要穿過不同的網絡，最后到達隧道終點。然后拆數據包，轉換成最初的形式。隧道技術使用點對點通信協議代替了交換連接，通過路由網絡來連接路由地址，這代替了電話交換網絡使用的電話號碼連接，允許授權移動用戶或已授權的用戶在任何時間任何地點訪問內企業網絡。

（二）網上交易中安全問題的解決方法

1.數字認證

數字認證是一種新興的安全性解決方法。隨著現代網絡技術的發展，基礎設施的改善，多媒體技術運用的進一步普及，數字認證方法正被越來越多地用于網絡信息的安全傳輸中。在發送文件時，或在交易信息處理的過程中，通過把影響、聲音等各種證明發送者身份的數據傳送給接收端，可大大加強信息的可靠性，這包括電子數字簽名、電子信封、電子證書、以數字方式簽署和電子付款表格等，這種接收方能確認發送者的真實身份和確保交易信息不被篡改。

2.數據加密技術

數據加密技術是電子商務的最基本安全措施。目前技術條件下，通常加密技術分為對稱加密和非對稱加密兩大類。

（1）對稱密鑰加密（Private Key）

采用相同的加密算法，并只交換共享的專用密鑰（加密和解密都使用相同的密鑰）。如果進行通信的交易各方能夠確保專用密鑰交換階段未曾發生泄露，則可以通過對稱加密方法加密信息，及隨報文發送報文摘要和報文散列值，來保證報文的機密性和完整性。密鑰安全交換是關系到對稱加密有效性的核心環節。

（2）非對稱密鑰加密

不同于對稱加密，非對稱加密的密鑰被分解為：公開密鑰和私有密鑰。密鑰對生成后，公開密鑰以非保密方式對外公開，只對應于生成該密鑰的發布者，私有密鑰則保存在密鑰發布方手里。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發送給該公開密鑰的發布者，而發布者得到加密信息后，使用與公開密鑰相應對的私有密鑰進行解密。目前，常用的非對稱加密算法是有RSA算法。

3.病毒防范技術

電子商務系統一方面提高交易效率，另一方面也為計算機病毒的傳播創造了條件。病毒對網絡交易的順利進行和交易數據的妥善保存造成極大的威脅。計算機病毒是指隱藏在計算機數據源中，利用系統數據源進行繁殖并生成影響計算機正常運行且能通過系統數據共享途徑進行傳染的一組計算機指令或程序代碼，主要通過軟盤、硬盤、優盤和網絡渠道傳播，可能導致系統癱瘓甚至完全崩潰的嚴重后果。從事網上交易的企業和個人都應當注重病毒防范技術，排除病毒的干擾。因此，防范計算機病毒，避免計算機系統遭受病毒的侵襲，及時清除計算機病毒將病毒危害降低到最低程度是反病毒技術刻不容緩的任務。一般我們要給自己的計算機安裝防病毒軟件，認真執行病毒定期清理制度，并設置控制權限，通過建立系統保護機制，來預防、檢測和消除病毒，謹慎打開陌生地址的電子郵件，還要高度警惕網絡陷阱。

（三）電子商務安全技術的實現

1.IDEA數據加密算法

IDEA數據加密算法是由中國學者來學嘉博士和著名的密碼專家James L. Massey于1990年聯合提出的。它的明文和密文都是64比特，但密鑰成為128比特。IDEA是作為迭代的分組密碼實現的，使用128位的密鑰和8個循環。這比DES提供了更多的安全性，但是在選擇用于IDEA的密鑰時，應該排除哪些稱為“弱密鑰”的密鑰。DES只有四個弱密鑰和12個次弱密鑰，而IDEA中的弱密鑰數相當可觀，有2的51次方個。但是，如果密鑰的總數非常大，達到2的128次方個，那么仍有2的77次方個密鑰可供選擇。IDEA被認為是極為安全的。使用128位的密鑰，蠻力攻擊中需要進行的測試次數與DES相比會明顯增大，甚至允許對弱密鑰測試。而且，它本身也顯示了它尤其能抵抗專業形式的分析性攻擊。

2.用OPEN SSL實現CA認證

（1）SSL（Secure Socket Layer）協議及其主要技術

1996年由美國Netscape公司開發和倡導的SSL協議，它是目前安全電子商務交易中使用最多的協議之一，它被許多世界知名廠商的Intranet和Internet網絡產品所支持。

SSL應用在Client和Server間安全的WebHTTP通信，UEL以開始替代http，并使用443端口進行通信。它主要使用加密機制、數字簽名、數字摘要、身份認證、CA技術提供Client和Server之間的秘密性、完整性、認證性三種基本的安全服務。

（2）用Open SSL工具實現安全認證

目前，國外主流的電子商務安全協議在核心密碼上都有出口限制，只允許40位或56位的RC4和512位的RSA算法出口等。這樣的算法強度引進后無法滿足我國電子商務實際應用當中的安全需求。但是，完全自主定義和開發一套安全標準體系不是一蹴而就的事情，需要人、財、物的長期投入。

在SSL未提供源代碼的情況下，由澳大利亞軟件工程師Eric Young與Tim Hudson聯合開發的OPENSSL恰好解決了這一難題。它不僅能實現SSL的所有功能，支持目前所有基于SSL V2/V3和TSL V1的應用軟件，而且由于源代碼公開和提供了各種加密算法，完全可以滿足國外安全協議引進后的本地化改造需求。

下面就用OPENSSL提供的強大功能在FreeBSD平臺下進行手工簽署證書的過程。

①先建立一個CA的證書，首先為CA創建一個RSA私用密鑰：

# OpenSLL genrsa -des3 -out ca.key 1024

該指令中genrsa表示生成RSA私有密鑰文件。

-des3表示用DES3加密該文件。

-out ca.key表示生成文件ca.key。

1024是我們的RSA key的長度。

生成server.key的時候會要你輸入一個密碼，這個密鑰用來保護你的ca.key文件，這樣即使人家偷走你的ca.key文件，也打不開。拿不到你的私有密鑰。

運行該指令后系統提示輸入PEM pass phrase，也就是ca.key文件的加密密碼，我們設為12345678。

②用下列命令查看它的內容：

# OpenSSL.rsa -nout -text -in ca.key

該指令中rsa表示對RSA私有密鑰的處理。

-nout表示不打印出key的編碼版本信息。

-text表示打印出私有密鑰的各個組成部分。

-in ca.key表示對ca.key文件的處理。

對RSA算法進行分析可以知道，RSA的私有密鑰其實就是三個字，其中兩個是質數prime numbers。產生RSA私有密鑰的關鍵就是產生這兩個質數。還有一些其他的參數，引導著整個私有密鑰產生的過程。

③利用CA的RSA密鑰創建一個自簽署的CA證書

# OpenSSL req -new -x509 -days 365 -key ca.key -out ca.crt

該指令中req用來創建和處理CA證書，它還能夠建立自簽名證書，做Root CA。

-new產生一個新的CSR，他會要輸入創建證書請求CSR的一些必須的信息。

-x509將產生自簽名的證書，一般用來做測試用，或者自己做個Root CA用。

-days 365制定我們自己的CA給人家簽證書的有效期為365天。

-key ca.key指明我們的私有密鑰文件名為ca.key。

-out ca.crt指出輸出的文件名為ca.crt。

執行該指令時系統要求用戶輸入一些用戶信息，如下所示：（框內為輸入的內容）

Using configuration from /etc/ssl/OpenSSL.cnf

Enter PEM pass phrase：12345678

You are about to be asked to enter information that will be incorporated

Into your certificate request.

What you are about to enter is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank.

For some fields there will be a default value，

If you enter ，the field will be left blank.

……

Country Name （2 letter code） [AU]：CN （兩個字母的國家代號）

State or Province Name（full name）[Some-State]：JIANG SU （省份名稱）

Locality Name（eg，city）[]：ZHANGJIAGANG （城市名稱）

Organization Name（eg，company）[Internet Widgits Pry Ltd]：FAMILY NETWORK（公司名稱）

0rganizational Unit Name（eg，section）[]：HOME （部門名稱）

Common Name（eg，YOUR name）[]：TJL （你的姓名）

Email Address [ ]：TJL@WX88．NET （Email地址）

④用下列命令查看生成證書的內容：

# OpenSSL x509 -noout -text -in ca.crt

該指令中x509表示證書處理工具。

-noout表示不打印毫key的編碼版本信息。

-text表示以文本方式顯示內容。

-in Ca.crt表示對ca.crt文件進行處理

系統顯示證書內容為：

Certificate：

Data：

Version：3（Ox2）

Serial Number：0（OxO）

Signature Algorithm：md5WithRSAEncryption

Issuer：C=CN， ST=JIANG SU，L=ZHANGJIAGANG，O=FAMILY NETWORK，OU=HOME，CN=TJL/Emai1=TJL@WX88．NE

Validity

Not Before：Feb 24 14：49：27 2003 GMT

Not After：Feb 2l 14：49：27 2013 GMI

Subject：C=CN，ST=JIANG SU，L=ZHANGJIAGANG，O=FAMILY NETWORK，OU=HOME，CN=TJL/Email=TJL@WX88.NET

Subject Public Key Info：

Public Key Algorithm：rsaEncryption

RSA Public Key：（1024 bit）

ModulUS（1024 bit）：

00：da：20：09：11：19：lf：12：fO：98：Oc：fc：9l：ac：3e：

......

22：el：ea：04：Of：dc：e9：bd：9f

Exponent：65537（Oxt0001）

X509v3 extensions：

X509v3 Subject Key Identifier：

03：BO：14：8C：5D：C6：F8：F4：BO：96：AO：CC：7C：8F：9B：00：BB：78：E6：A6

X509v3 Authority Key Identifier：

keyid：03：BO：14：8C：5D：C6：F8：F4：BO：96：AO：CC：7C：8F：9B：00：BB：78：E6：A6

DirName：/C=CN/ST=JIANG SU/L=ZHANGJIAGANG/0=FAMTLY

NETWORK/0U=HOME/CN=TJL/email=TJL@WX88．NET

serial：00

X509v3 Basic Constraints：

CA：TRUE

Signature Algorithm：md5WithRSAEncryption

8d：e8：46：82：40：b4：18：a2：12：9f：7a：66：e5：fc：Oc：3f：77：5a：

......

04：13

從上面的輸出內容可以看出這個證書基本包含了X.509數字證書的內容，從發行者Issuer和接受者Subject的信息也可以看出是個自簽署的證書。

下面創建服務器證書簽署請求（使用指令和系統顯示信息基本和以上類似）：

⑤首先為Apache創建一個RSA私用密鑰：

# OpenSSL genrsa -des3 -out server．key 1024

這里也要設定口令pass phrase，生成server．key文件。

⑥用下列命令查看它昀內容：

# OpenSSL rsa -noout -text -in server.key

⑦用server.key生成證書簽署請求CSR：

# OpenSSL req -new -key server．Key -out server．Csr

這里也要輸入一些請求證書的信息，和上面的內容類似。

⑧生成證書請求后，下面可以簽署證書了，需要用到Open SSL源代碼中的一個腳本sign．sh，簽署后就可以得到數字證書server.crt。

# sign.sh server．csr

⑨啟動安全Web服務

最后在apache服務器中進行ca認證沒置，拷貝server．crt和server．key到/usr/local/apache/conf

修改httpd.conf將下面的參數改為：

SSLCertificateFILE/usr/local/apache/conf/server.crt

SSLCertificateKeyFile/usr/local/apache/conf/server.key

可以啟動帶安全連接的Apache試一下了。

#/usr/local/apache/bin/apachectl startssl

提示輸入pass phrase（就是前面為服務器設置的口令）

⑩進行安全連接

通過另一臺電腦（IP地址為192.168.0.1）的IE瀏覽器與這臺Apache服務器（IP地址為192.168.0.2）連接并且選擇https協議，即：https：//192.168．0．2：443。出現安全連接警告窗口，因為我的服務器證書是自己手工簽署的，不是經過真正的CA頒發的證書，是個無效證書，所以按確定后如現安全證書無效的警告窗口。按“是” 繼續，注意這里瀏覽器地址欄內輸入的是https而不是http，另外此時在狀態欄內出現了一把小鎖，這說明SSL協議超作用了，服務器和瀏覽器之間建立了一個安全連接，這樣我們使用開放源代碼的工具Open SSL來完成了電子商務的CA認證過程，同時這也只是使用現成的工具來完成的，在實際使用中還要分析它的源代碼，修改源代碼，來達到自己的安全需要。

（四）通過政府的效力加強我國電子商務的安全系數

1．對電子商務進行專門立法

電子商務是一個新生事物，很多方面不同于傳統商務，與傳統的法律規范體系也存在著諸多不相容之處，而且，傳統的法律規范體系中還有許多電子商務方面的空白。這一情況已經在實踐中引起了不少的問題。

我國的電子商務是近年才發展起來的，目前規范電子商務相關的法律法規極為有限。在法律的層次上只有1997年《中華人民共和國刑法》和1999年《中華人民共和國合同法》對相關問題作了簡單規定。例如，我國1997年修訂的《刑法》中增加了關于計算機犯罪的條文，1999年通過的《合同法》對電子合同的書面形式、生效時間地點等作了規定。但是，這種規定太過簡單，遠遠不能滿足電子商務發展的需要。例如，對于電子認證的效力、虛假電子認證等重要的問題，我國法律還沒有規定，這已經成為阻礙我國電子商務發展的重要問題。

因此，我國應大力加強電子商務法制化建設，制定專門的《電子商務法》，對電子商務當事人的權利義務、電子合同法律關系、電子簽名、電子認證、網上知識產權的保護、電子支付等問題進行專門規定，使之適應電子商務發展的需要。在刑法中，對電子商務領域的犯罪進行規定。從而在法律上，為電子商務提供一個良好的發展環境。

2.建設我國的電子商務認證機構體系

電子商務認證機構是電子商務中的重要部門，其擔負著維護電子交易安全的責任。因此，要完善我國的電子商務安全運營，必須建立我國的電子商務認證體系。

在目前存在的三種電子商務認證機構模式中，當事人自由約定的電子商務認證體系不適合我國的實際情況。我國電子商務剛剛發展起來，不完善的地方很多，很多普通的消費者對電子商務還不很了解，根本無法在自由約定時，提出對自己有利的條件。而且，在交易雙方的力量對比懸殊的情況下，弱勢一方很難通過談判來取得公平的結果。再進一步說，這種模式的認證結果通用性很差，不適合我國剛起步的電子商務的發展。

近年來，我國的電子商務認證機構的發展很快。1999年3月19日，中國人民銀行組織12家商業銀行共建金融認證中心系統；1999年8月，我國首套擁有自主知識產權的電子商務安全認證系統通過了國家密碼管理委員會和信息產業部組織的技術鑒定。但另一方面，我國的電子商務認證系統還遠不成熟，仍有許多需要完善的地方。我們必須對此給予充分的重視，以便為電子商務的安全發展提供組織保障。

3.大力推進電子簽名等技術的發展，從技術上為電子商務提供安全保障

電子商務的產生、發展是科技發展的結果，其安全運營也要依靠技術給予的保障。因此，為加強電子商務的安全性，我們必須大力推進科技的發展，使技術滿足電子商務的安全運營要求。在電子商務中廣泛使用的電子簽名，就涉及許多復雜的技術問題。為使電子簽名具有與傳統簽名相同的法律效力，我們必須使電子簽名具有像手寫簽名那樣的獨特性。這一問題的解決，需要技術發展才能實現。

目前，解決電子簽名效力的途徑主要有：

（1）修改法律或者進行法律解釋，使簽名涵蓋電子簽名。但對于何種電子簽名才具有法律效力，立法要兼顧技術中立、開放與安全，使之適應技術發展的需要。

（2）電子商務的當事人在合同中約定電子簽名方法及效力。

（3）依靠技術進步，這是最根本的方法。技術安全、成本低廉的電子簽名方式是電子商務安全的有力保障。

收稿日期：2011-07-05

作者簡介：路橋（1974-），男，遼寧新民人，碩士，講師，從事計算機應用與網絡經濟研究。

參考文獻：

[1] 張小兵.我國電子商務發展現狀及存在問題與對策[J].商業研究，2004，（2）.

[2] 徐偉.電子商務網上支付的安全保障問題[D].合肥：合肥聯合大學，2008，3.

[3] 高媛，歐陽志明，石曉軍.電子商務[M].北京：企業管理出版社，2005.

[4] 包曉聞，張海堂.電子商務——21世紀世界商務發展的潮流[M].北京：經濟科學出版社，2008.

[5] 韓寶明.電子商務安全與支付[M].北京：人民郵電出版社，2009.

[6] 閆心麗.淺析電子商務安全[J].內蒙古電大學刊，2005，（5）.

[7] 祁明.電子商務安全與保密[M].北京：高等教育出版社，2005.

Study on the electronic commerce safety

LU Qiao

(North-east finance and economy university，Dalian116023，China)

Abstract: Electronic commerce is the use of computer network of commercial activities. In recent years， with the technological development， net shopping， \"\" electronic wallet \"come into fashion， but safety is always impact of e-commerce development of key factors.The security threat of each party's interests， the customer and doubts on the deal， even affect the success of the further development of e-commerce.

Key words: electronic commerce; safety; online transactions

[責任編輯海 川]