器。除此之外，通信双方必须有一致的协议（FTP、HTTP、Gopher、Telnet ）才能彼此理解所传送的数据包，这些协议是用主机的端口来标识的，而相应的服务也用端口来表示（如Gopher的端口为70，WWW的端口为80，FTP的端口为20或21），这样，包过滤路由器就通过IP地址和端口地址以及允许、禁止两种状态来控制网络对某个特定主机或服务的访问。

该技术的优点是不要求对主机和客户机的程序进行修改就能控制网络的数据流量，它们在TCP∕IP层进行操作，但它却没有对许多安全需求作出详细说明，因此，包过滤路由器的安全功能是很有限的，所以，这种方法现在很少单纯使用。 2.3.2采用防火墙体系

该技术运行于OSI的应用层，因此承载着应用层的全部信息。由于防火墙的地位十分重要，所以一般采用两级的安全机制，即第一级由包过滤路由器承担，第二级由防火墙承担。带有两级防线的防火墙主要有以下几种形式：

（1）单堡垒主机、单路由器、一层网络的隔离形式。这种配置的特点是堡垒主机配置两个网络接口，外部网络接口接受来自包过滤路由器的数据，数据必须经过包过滤路由器的过滤规则才能转发给堡垒主机，由于堡垒主机与包过滤路由器之间还有一各网络层，所以外界对堡垒主机的非法侵入将更加困难。

（2）分级管理的双堡垒主机形式。所谓分级管理，是指在第一个堡垒主机与包过滤路由器之间的网络中接入一部分机器，将常用的不需保密的或低保密级的数据放在此层，而把保密级较高的数据放在第二级堡垒主机之后，这种配置除具有原单层主机的包过滤机制和堡垒主机的优势外，当包过滤机制和第一级堡垒主机均被攻破时，由于第二

[4]

5

层堡垒主机采用不同的安全策略，不会造成对堡垒主机的连续突破，从而保证了内部网络的安全案。

2.3.3采用虚拟专用网（VPN）技术

VPN是用于Internet交易的一种专用网络，它可以在两个系统之间建立安全隧道。在VPN中，双方的数据通信量要大得多，而且通信双方彼此都很熟悉。这就可以使用复杂的专用加密和认证技术，只要通信的双方默认即可。拔号VPN 使用隧道技术使远程访问服务器把用户数据打包到IP信息包中， 这些信息通过电信服务商的网络进行传递，在Internet中要穿过不同的网络，最后到达隧道终点。然后拆数据包，转换成最初的形式。隧道技术使用点对点通信协议代替了交换连接，通过路由网络来连接路由地址，这代替了电话交换网络使用的电话号码连接，允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。这种方式在保证网络的安全性方面是非常有用的

[6]

[5]

。目前，这种方案是较高级别的安全方

。

3 商务交易的安全问题及对策

3.1商务交易安全概念

商务交易安全则是紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。网上交易日益成为新的商务模式,基于网络资源的电子商务交易已普遍被大众接受,人们在享受网上交易带来的便捷的同时,交易的安全性也备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。所以在电子商务交易过程中,保证交易数据的安全是电子商务系统的关键。

6

3.2商务交易安全问题

(1)对合法用户的身份冒充:攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法利益。 (2)对信息的窃取:攻击者在网络的传输信道上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息

[7]

。

如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。

(3)对信息的篡改:攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注入伪造消息等,从而使信息失去真实性和完整性。

(4)拒绝服务:攻击者使合法接入的信息、业务或其他资源受阻。 (5)对发出的信息予以否认:某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。

(6)信用威胁:交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。

(7)电脑病毒:电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。

3.3 商务交易中安全问题的解决对策

由于互联网上存在的种种欺诈，所以用户在可能的情况下，最好对网上兜售商品的网址进行核查，以摸清商贩们提供的地址和电话是

7

否属实，用这种方式来防止各种网上欺诈行为。而对于冒名顶替和抵赖，目前主要有以下几种方式来解决。 3.3.1 数字认证

数字认证是一种新兴的安全性解决方法。随着现代网络技术的发展，基础设施的改善，多媒体技术的进一步普及，数字认证方法正被越来越多地用于网络信息的安全传输中。在发送文件时，或在交易信息处理的过程中，通过把影像、声音等各种证明发送者身份的数据传送给接收端，可大大加强信息的可靠性，这包括电子数字签名、电子信封、电子证书、以数字方式签署和电子付款表格等，这样接收方能确认发送者的真实身份和确保交易信息不被篡改。 3.3.2 数据加密

数据加密技术是保证电子商务安全运作的一种重要方法。可把某些重要信息从一个可理解的明文形式变换成一种错乱的、不可理解的密文形式（加密），经过线路传送，到达目的端后用户再将密文还原成明文（解密）。由于信息是以密文方式进行传送的，不知道解密方法的人将无法得到信息的真实内容，从而保证了数据传送过程中的安全性。

网络中传送数据的要求包括：

（1）保密性——要求对敏感文件进行加密，即便文件被截获，截获者也无法得到文件的内容；

（2）完整性——要求保证数据的完整性，防止截获者在文件中加入其它信息；

（3）不可抵赖性——对数据和信息的来源进行保证，以确保发件人的身份和发件人所进行过的操作。

常用的加密方法有传统密钥密码方法和公开密钥密码方法两类。前者以

[8]

8