子商务安全要素是电子商务系统的中心内容，电子商 务安全的要素有：机密性、完整性、认证性、不可抵 赖性、不可拒绝性、访问控制性，如图1-2所示。
机密性
完整性
认证性
不可抵赖性
电子商务安全 要素
不可拒绝性
访问控制性
图1-2 电子商务的安全要素
1.2 电子商务安全体系
• 1.2.1 电子商务安全框架 一个安全的电子商务系统应构建以策略为指导、技术为基础、
事实上，这已经是Gearbest近年来发生的第二起安全事故了。2017年12月， Gearbest也曾因为撞库攻击而导致账号信息泄露。
电子商务(Electronic Commerce)是指政府、企业和个人利用 现代电子计算机与网络技术实现商业交换和行政管理的全过程； 它是一种基于互联网，以交易双方为主体，以银行电子支付结算 为手段，以客户数据为依托的全新商务模式。电子商务的参与者 包括企业、消费者和中介机构等。它的本质是建立一种全社会的 “网络计算环境”或“数字化神经系统”，以实现资源在国民经 济和大众生活中的全方位应用。 本章主要介绍电子商务安全概念，以及电子商务面临的安全威胁、 安全特点、安全环境、安全技术、安全体系结构和安全服务及安 全协议等。
1.1 电子商务安全概况
近年来，网络技术和电子商务迅猛发展，人们在网络上进行从日常生活用品、 书籍、到计算机、房产交易以及股票炒作、资金运作、旅游等活动剧增。网络 安全问题成为人们一直关注的话题。电子商务安全的重要性已不言而喻。安全 问题是电子商务推进中的最大路障。营造信誉良好、安全可靠的交易环境才能 让众多的企业和消费者支持电子商务，否则消费者不信任网上交易，企业没有 把握在网上营销，电子商务便只能是“水中花、镜中月”。尽管政府以及一些 企业已意识到这一问题，但因为一直缺乏一个安全保护的完整概念，所以很多 人在安全认知上仅限于对防火墙的了解，而防火墙只是安全保护的一个方面， 绝不等于全部，这也正是实施了防火墙的网络仍有漏洞存在的原因所在。 电子商务安全是一个不容忽视、涉及范围极广的社会问题，这些问题将长期存 在，并时刻干扰电子商务的正常健康运行，希望有越来越多的企业和个人加入 到关心电子商务安全的行列中来，共同营造电子商务的安全环境，为开创电子 商务的未来献计献策。
1、对客户机的安全威胁
（1）动态网页内容 （2）相关技术或机制
1）cookie 2）邮件通讯簿 3）信息隐蔽
2．对通信信道的安全威胁
一．搭线窃听 IP欺骗 IP源端路由选择 目标扫描
3．对服务器的安全威胁
一．WWW服务器 数据库服务器 CGI ASP 邮件炸弹 溢出攻击 口令破译
1.1.3 电子商务安全要素 面临的威胁导致了对电子商务安全的需求。电
1.安全策略
• 可采用的安全策略一般有: (1)物理结构:
• 同因特网物理隔离，同内部局域网逻辑隔离。 (2)敏感信息:
• 链路加密、文件加密传输、重要数据加密存储。 (3)安全认证:
• 建立PKI/CA系统和授权管理。 (4)适度安全防护:
• 从技术安全中选择适当防护措施。 (5)安全管理与审计:
5.容灾备份
容灾备份中心是电子商务不可缺少的 组成部分，是确保电子商务信息安全 和在灾难性故障发生时无间断服务的 重要措施。 容灾备份中心的主要功能有：定期备 份数据交换中心的数据；在灾难性故 障发生的时候临时提供服务。容灾备 份中心的主要设备包括:服务器、交 换机、路由器和大容量光盘存储器。
6.统一安全管理
表1-1 电子商务安全体系结构
名称
应用系统 层
安全协议 层安全认证Fra bibliotek层加密技术 层
网络服务 层
含义
包括：保密性，完整性，匿名性，抗否认性，有效 性，可靠性等； 包括：Netbill协议，SET协议，SSL协议等；
包括：数字摘要，数字签名，数字凭证，CA认证等；
包括：对称加密，非对称加密等； 包括：网络隐患扫描，网络安全监控，内容识别， 病毒防治，防火墙等。
第1章 电子商务安全导论
学习目的
了解电子商务安全的基本概 念与安全现状； 掌握电子商务面临的安全威 胁及安全需求； 了解电子商务中常用的安全 技术； 掌握电子商务安全体系结构； 了解电子商务的安全服务及 相关安全协议。
目 录
01 电 子 商 务 安 全概况 02 电 子 商 务 安 全 体 系 03 电 子 商 务 安 全技术 04 电 子 商 务 安 全 应 用
多数的电子商务系统涉及大量的网络 设备、主机设备、安全设备以及其他 设施和人员，对安全的要求较高，造 成管理的复杂度很高。某些分散的管 理降低了管理的效率和效果。所以需 要建立一个统一的安全管理平台，对 整个网络进行统一的安全管理。
Rotem在报告中声称其在3月初发现这个不安全的数据库，泄露的记录约有 150万条。这些数据并没有什么加密措施，有些甚至完全没有加密。他表示， 这些泄露的信息不仅侵犯了客户隐私，还可能危及世界上言论和表达自由受限 地区的客户。例如，一些性玩具和其他私密购买的产品，可能会在那些禁止 LGBTQ+（性少数群体，也叫彩虹群体）关系或婚前性行为的国家里引起法 律问题。受影响的用户在阿拉伯联合酋长国和巴基斯坦这样出台了相关严格法 律的国家中，甚至可能会被判死刑。
管理为核心的安全框架。在安全策略指导下，建立统一的安全管 理平台，提供全面的安全服务，形成一个互为协作的统一体，使 整个系统覆盖从物理通信到网络、系统平台直至数据和应用平台 的各个层面的安全需求，从而形成完整的电子商务安全框架。
安全策略是电子商务安全系统的灵魂与核心，任何可靠地安 全系统框架都是构建在各种安全策略与安全技术基础上的，而电 子商务的安全框架正是为了实现各种技术的集成。
1.行政管理
（1）核心设备的密码由双人管理。核心设备如服务器、存储器、 交换机、路由器等。 （2）对用户的注册、退网、用网等有严格的管理规章制度。 （3）对数据交换中心核心信息的增加、删除和备份要严格实行登 记制度。 （4）对系统的运行要有监控和应急处理措施，特别是门户网站的 24小时监控、预警和快速恢复。 （5）网络中心机房的屏蔽技术，要经当地保密部门测试和认可。 （6）网络中心机房的双路供电和不间断电源条件应满足实际需要。
1.1.1 电子商务安全概念与特点
1.电子商务安全的定义
○ 电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息，因此， 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。 计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、 数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施 网络安全增强方案，以保证计算机网络自身的安全为目标。 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问 题，在计算机网络安全的基础上，保障以电子交易和电子支付为核心的电 子商务的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪 造性和不可抵赖性等。
从安全等级来说，从下至上有计算机密码安全、局 域网安全、互联网安全和信息安全之分，而电子商务安 全属于信息安全的范畴，涉及信息的机密性、完整性、 认证性等方面。这几个安全概念之间的关系如图1-1所 示。同时，电子商务安全又有它自身的特殊性，即以电 子交易安全和电子支付安全为核心，有更复杂的机密性 概念，更严格的身份认证功能，对不可拒绝性有新的要 求，需要有法律依据性和货币直接流通性特点，还要网 络设有的其他服务(如数字时间戳服务)等。
• 加强安全审计，建立统一的安全管理平台。
2.安全框架 • (1)物理与线路传输安全框架 • (2)网络安全防御框架 • (3)主机与系统安全框架 • (4)数据与应用安全框架 • (5)统一安全管理框架
1.2.2 电子商务安全体系结构
电子商务安全框架是保证电子商务中数据安全的一个完整的 逻辑结构，由五个部分组成，如表1-1所示。 在表1-1中，电子商务安全体系结构由网络服务层、加密技 术层、安全认证层、安全协议层、应用系统层组成。
1.2.3 电子商务安全基础环境
电子商务安全基础环境是指从整体电子商务系统或 网络支付系统的角度进行安全防护，它与网络系统 硬件平台、操作系统、各种应用软件等互相关联。
电子商务安全基础环境包括行政管理、基于网络设 施的基本安全防御、基于PKI的CA安全认证、数据 加密、容难备份、统一安全管理等基础环境。
计算机网络安全与商务交易安全实际上 是密不可分的，两者相辅相成，缺一不 可。没有计算机网络安全作为基础，商 务交易安全就犹如空中楼阁，无从谈起。 没有商务交易安全保障，即使计算机网 络本身再安全，仍然无法达到电子商务 所特有的安全要求。 电子商务安全是以网络安全为基础。但 是，电子商务安全与网络安全又是有区 别的。首先，网络不可能绝对安全，在 这种情况下，还需要运行安全的电子商 务。其次，即使网络绝对安全，也不能 保障电子商务的安全。电子商务安全除 了基础要求之外，还有特殊要求。
4.数据加密
数字加密是利用数学算法将明文转变为不可能理解的密文和反 过来将密文转变为可理解形式的明文的方法、手段和理论的一 门科学。利用数字加密可以将敏感信息加密并通过一种并不安 全的途径传递，只有指定的收件人才能解读原始信息。
对基础数据和核心数据实行加密处理，当用户欲访问数据库时 除了入网认证、服务器权限管理、磁盘目录属性管理和文件读 /写权限管理之外，对数据库的记录、记录字段增加读、改、 写权限并进行加密处理，无权读(或写)的用户不能看到数据库 中任何数据，即使数据被窃也无泄密之险。
引例 电商Gearbest被曝泄露信息：含数百万用户和订单数据
2 0 1 9 年 3 月 1 5 日 ， 美 国 科 技 媒 体 Te c h C r u n c h 报 道 ， 安 全 研 究 员 N o a m Ro t e m 在 进 行 网 络 扫描时，发现一个没有密码保护的Elasticsearch服务器，可直接访问，每周都会暴露数百万 条记录，包括客户数据、订单和付款记录。由于没有密码保护，任何人都可通过这个服务器搜 索数据。调查显示，这个数据库来自Gearbest，是中国环球易购（Globalegrow）旗下的 自营网站。 2