1.1 電子商務安全概況

近年來，網絡技術和電子商務迅猛發展，人們在互聯網上進行商務活動的范圍和數量與日俱增，例如，日常生活用品、書籍的購買，家具、汽車、房產交易，股票、期貨、資金運作。在這一過程中，電子商務賴以運行的互聯網的安全問題，成為人們持續關注的話題，電子商務安全的重要性已不言而喻。網絡安全問題是電子商務推進中的關鍵因素，營造信譽良好、安全可靠的網絡交易環境才能讓眾多的企業和消費者支持電子商務，否則消費者不信任網上交易，企業沒有把握在網上營銷，電子商務便只能是“水中花、鏡中月”。盡管政府以及一些企業已意識到這一問題，但因為一直缺乏一個網絡安全保護的完整概念，所以很多人在安全認知上僅限于對網絡“防火墻”的了解，而網絡防火墻只是網絡安全保護的一個方面，絕不是全部，這也正是很多個人或企業在實施了防火墻后網絡仍有漏洞存在的原因。

網絡安全事件在國內外時有發生。2000年2月7日、8日、9日這三天，美國許多著名的網站先后遭到互聯網歷史上最嚴重的計算機黑客攻擊，在美國社會引起了強烈震動。

當時，黑客三天的襲擊造成的直接和間接經濟損失達10億美元。2月7日，除了免費電子郵件和三個站點未受影響外，雅虎的大部分網絡服務及站點陷于癱瘓。雅虎是當時全球第二大搜索引擎網站，每天被瀏覽頁次達465億次，其股市價值達930億美元；8日上午，先是當天股票交易公司網站癱瘓，再接著是網上電子拍賣網站電子港灣（ebay）和網上書店及商品銷售網站亞馬遜（Amazon）告急。ebay的注冊用戶達1000萬，是每月瀏覽達15億次的網上拍賣網站，8日下午6時，該網站的商品買賣一度停止數小時。當晚，美國有線電視新聞網（CNN）宣布，其網站因負荷超載，從下午7時至8時45分信息傳送被阻斷；2月9日，一些電子交易類網站再度遭襲，在股市開市前遭到持續1小時的攻擊，科技新聞網站ZDNet約有70%的內容中斷2小時，上網者無法接觸到包括網站新聞和產品瀏覽等內容的信息。

引人注目的是，這也是互聯網歷史上第一次有黑客大規模、有目的地襲擊商業網站。美國聯邦計算機案件處理中心主任大衛·加諾說：“全美至少有數百臺計算機受到襲擊。所幸的是，黑客并未進入這些網絡內部，竊取業務和客戶資料。如此眾多的大型網站，特別是新興的電子商務網站，在三天的短時間內連續遭到黑客攻擊，這在互聯網歷史上還是第一次。”

2006年12月初，我國互聯網上大規模爆發了“熊貓燒香”計算機病毒及其變種。一只憨態可掬、頷首敬香的“熊貓”在互聯網上瘋狂“作案”，在病毒卡通化的外表下，隱藏著巨大的傳染潛力，短短三四個月，“燒香”潮波及上千萬個人用戶、網吧及企業局域網用戶，造成直接和間接損失超過1億元。

作為高科技犯罪的典型代表之一，銀行網絡安全事故近十年來在國內頻頻發生。2010年年末，互聯網上連續出現的假銀行網站事件曾經轟動一時。一個行標、欄目、新聞、圖片樣樣齊全的假冒中國銀行網站，竟然成功劃走了呼和浩特一名市民銀行卡里的2.5萬元。且隨后不久，假工行、假農行、假銀聯網站也相繼跟風出現。而早在2003年下半年，我國香港地區也曾出現不法分子偽冒東亞、花旗、匯豐、寶源投資及中銀國際網站騙取用戶錢財。

有一些黑客，專門盜竊大量的游戲裝備、賬號，雖然這些游戲裝備、賬號并不能馬上兌換成各種貨幣，但通過網上交易，這些盜來的游戲裝備、QQ賬號甚至銀行卡號資料被中間批發商全部放在網上游戲交易平臺公開叫賣，一番討價還價后，虛擬貨幣得以兌現，網友們通過網上銀行將現金轉賬，就能獲得那些盜來的網絡虛擬貨幣。

在我們身邊也時常發生一些網絡安全問題，例如，不斷有用戶抱怨QQ密碼被更改，郵箱郵件被別人收走，網站欄目信息被入侵者修改。

2014年4月8日，安全協議OpenSSL（Open Secure Sockets Layer）被曝出現嚴重安全漏洞，這個漏洞被黑客命名為“heartbleed”，意思是“心臟流血”——表示最致命的內傷。黑客利用該漏洞，坐在自己家里的計算機前，就可以實時獲取約30%以HTTPS（Hypertext Transfer Protocol over Secure Socket Layer）開頭網址的用戶登錄賬號和密碼，包括大批網銀、購物網站、電子郵件等。這個事件更加引起了全球對網絡安全問題的極大關注。

2017年2月，谷歌破解了廣泛應用于文件數字證書中的SHA-1算法。以至于有人說，“人們懷疑，以人類的才智無法構造人類自身不可破解的密碼”。而早在1999年，傳統加密算法RSA512被破解；2009年，RSA768被破解；“尚未被破解”的RSA1024，也被認為“被破解是早晚的事”。至于所謂下一代標準密碼——“配對密碼”，則在2012年就已經被破解。

由以上案例可見，電子商務安全是一個不容忽視、涉及范圍極廣的社會問題，這些問題將長期存在，并時刻干擾電子商務的正常健康運行。

1.1.1 電子商務安全概念與特點

1．電子商務安全的定義

電子商務的一個重要技術特征是利用計算機網絡來傳輸和處理商業信息，因此，電子商務安全從整體上可分為兩大部分：計算機網絡安全和商務交易安全。

計算機網絡安全的內容包括：計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。其特征是針對計算機網絡本身可能存在的安全問題，實施網絡安全增強方案，以保證計算機網絡自身的安全為目標。

商務交易安全則緊緊圍繞傳統商務在互聯網上應用時產生的各種安全問題，在計算機網絡安全的基礎上，保障以電子交易和電子支付為核心的電子商務的順利進行。即實現電子商務保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等。

計算機網絡安全與商務交易安全實際上是密不可分的，兩者相輔相成，缺一不可。沒有計算機網絡安全作為基礎，商務交易安全就猶如空中樓閣，無從談起；沒有商務交易安全保障，即使計算機網絡本身再安全，仍然無法達到電子商務所特有的安全要求。

電子商務安全以網絡安全為基礎，但是，電子商務安全與網絡安全又是有區別的。首先，網絡不可能絕對安全，在這種情況下，還需要在其之上運行安全的電子商務；其次，即使網絡絕對安全，也不能保障電子商務的安全。所以，電子商務安全除了基礎要求之外，還有特殊要求。

從安全等級來說，由下至上有密碼安全、局域網安全、互聯網安全和信息安全之分，而電子商務安全屬于信息安全的范疇，涉及信息的機密性、完整性、認證性等方面。這幾個安全概念之間的關系如圖1-1所示。同時，電子商務安全又有它自身的特殊性，即以電子交易安全和電子支付安全為核心，有更復雜的機密性概念，更嚴格的身份認證功能，對不可拒絕性有新的要求，有法律依據性和貨幣直接流通性特點，還有網絡特有的其他服務功能（如數字時間戳服務）等。

2．電子商務安全特點

電子商務安全具有如下4大特點。

（1）電子商務安全是一個系統概念

電子商務安全問題不僅僅是個技術性的問題，更重要的是管理問題，而且它還與社會道德、行業管理以及人們的行為模式緊密地聯系在一起。

（2）電子商務安全是相對的

就像家里的房子安上防盜門后，一般說來就相對安全了，但是小偷用專門的工具去破壞或打開，那防盜門也就不安全了，但人們不會因為防盜門能被小偷破壞或打開而懷疑它的安全性，防止小偷破壞或打開防盜門還需要相應的管理機制。同樣，不能追求一個永遠也攻不破的安全系統，安全與管理始終是聯系在一起的。也就是說，安全是相對的，而不是絕對的，要想網站永遠不受攻擊、不遇到安全問題是不可能的。

（3）電子商務安全是有代價的

要維護電子商務安全，就必須有一定的資金投入，包括購買安全設備、安裝安全軟件等。作為一個電子商務應用者，應該綜合考慮安全技術的成本；作為安全技術提供者，在研發技術時也要考慮到成本代價問題。

（4）電子商務安全是發展的、動態的

今天安全，明天不一定安全，因為網絡的攻防是此消彼長、道高一尺魔高一丈的事情，尤其是網絡安全技術，它的敏感性、競爭性以及對抗性很強，需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的電子商務安全，也沒有一蹴而就的電子商務安全。

1.1.2 電子商務面臨的安全威脅

要了解電子商務面臨的安全威脅，需要考查從客戶機到電子商務服務器的整個過程。在考查“電子商務鏈”上每個邏輯鏈條時，可以看出，必須保護的資產包括客戶機、在通信信道上傳輸的消息、Web和電子商務服務器（包括服務器端所有的硬件）等。

1．對客戶機的安全威脅

在實時的、動態的、可交互的Web內容出現前，網頁是靜態的。靜態頁面是用Web標準頁面描述語言HTML編制的，其作用只是向客戶機提供顯示內容并鏈接到其他頁面。為了增加頁面的生動性以及客戶機與服務器之間的交互能力，同時也為了分擔服務器端的負載，動態網頁技術得以廣泛應用，相應地網頁的安全狀態也隨之發生了變化。客戶機面臨的安全威脅主要是以動態頁面形式從網上傳來的活動內容帶來的安全威脅，還有一些非法網站，偽裝成合法網站，誘騙用戶提供敏感信息，使得用戶信息被盜取等。此外，一些其他的相關技術也成為威脅客戶機安全的不確定性因素，如被Java、JavaScript、Active X等控件惡意利用，也會招致病毒、蠕蟲等感染。

（1）動態網頁內容

動態網頁內容是指在頁面上嵌入一段對用戶透明的程序，它可實現一些動態的效果，例如顯示動態圖像、下載和播放音樂或實現基于Web的電子表格程序、客戶機中的表單數據提交等交互操作。動態網頁內容擴展了HTML的功能，使頁面更為生動活潑。同時，動態網頁內容還將原來要在服務器上完成的某些輔助性處理任務轉給在多數情況下處于閑置狀態的客戶機來完成，均衡了服務器的負載。

動態網頁有多種形式，最著名的動態網頁形式包括JavaScript和VBScript、Java Applet和ActiveX控件等。這些程序經常被企圖破壞客戶機的人偽裝成無害的內容，一旦觸發運行，就會對客戶機帶來安全威脅。這種隱藏在程序或頁面里而掩蓋其真實目的的程序統稱為“特洛伊木馬”。它可竊聽計算機上的保密信息，并將這些信息傳給它的遠程Web服務器，從而構成保密性侵害。而且，特洛伊木馬還可改變或刪除客戶機上的信息，構成完整性和不可拒絕性侵害。

（2）相關技術或機制

能夠威脅客戶機安全的因素，除了動態網頁內容，還包括其他一些相關技術或機制。這些技術或機制和動態網頁內容相呼應，使得其對客戶機的安全威脅勢態擴大，使得后果更加嚴重。

1）Cookie。因為互聯網是無狀態的連接，它不能記憶從一個頁面到另一個頁面間的響應，所以網站設計時利用Cookie進行服務器與客戶機之間的連續連接（也稱公開會話），目的是解決需要記憶關于顧客訂單信息、用戶名與口令、購物車與結算處理軟件的公開會話等問題。Cookie的使用給有些惡意的動態內容提供了可乘之機，一些頁面嵌入的惡意代碼也使存放在Cookie里的信用卡號、用戶名和口令等敏感信息容易暴露。

2）郵件通信簿。使用郵件客戶端收發郵件的用戶通常在電子郵件通信簿上存放聯系人的信息，一些計算機病毒可以成功地檢測到這些內容，并通過互聯網把自己發給這些聯系人，其傳播難以得到有效的扼制。

3）信息隱蔽。一般情況下，計算機文件中都有冗余的或能為其他信息所替代的無關信息。黑客會利用信息隱蔽技術隱藏他們在網絡上的活動，甚至能不被殺毒軟件檢測出來。信息隱蔽是指隱藏在另一段信息中的信息，它提供將加密的文件隱藏在另一個文件中的保護方式，粗心的觀察者看不到其中含有的重要信息。

2．對通信信道的安全威脅

互聯網是將客戶機和電子商務服務器連接起來的電子通道。在已了解對客戶機的安全威脅后，所要考慮的第二個環節就是將客戶機連到服務器上的傳輸信道，即互聯網。

雖然互聯網起源于軍事網絡，但美國國防部高級研究項目中心建造這個網絡的主要目的不是為了安全傳輸，而是為防止一個或多個通信線路被切斷之后仍有通信信道可供使用，即提供冗余傳輸。互聯網發展到今天，其不安全狀態與最初相比并沒有多大改觀。在互聯網上傳輸的信息，從起始節點經由若干中間節點到目標節點之間的路徑是隨機選擇的。在同一起始節點和目標節點之間發送信息時，每次所用的路徑也都是不同的，所以根本無法控制信息的傳輸路徑，也不知道信息包曾到過哪里，因而無法保證信息傳輸時所通過的每臺計算機都是安全的和無惡意的。如果在信息包傳遞途中被任意一個中間節點竊取、篡改甚至刪除了用戶的信息，那么客戶所遭受的損失將是無法彌補的。

（1）搭線竊聽

電子商務的一個很大的安全威脅就是敏感信息或個人真實信息被竊。在互聯網上，有種叫作“嗅探器”的特殊軟件能夠記錄下通過某個網關或路由器的信息。它類似于在電話線上搭線并錄下一段對話。嗅探器可以截獲并閱讀電子郵件信息，也可記錄敏感信息或個人真實信息，或者用來攻擊相鄰的網絡，并且能夠做到不留痕跡。

（2）IP欺騙

所謂IP欺騙，就是偽裝成合法主機的IP地址與目標主機建立連接關系。通過這種欺騙方法可以把某個服務器的訪問者引到一個虛假網站，或者假冒合法用戶主機名進入目標服務器。

當用戶主機與目標服務器之間建立了傳輸控制協議（Transmission Control Protocol，TCP）連接后，通過雙方信息包的不斷交互取得用戶主機或服務器的信息。入侵者猜測出信息包的序列號，就能夠向用戶主機或服務器發出偽造的、看上去是來自合法主機的數據包，構成對完整性的威脅。

此外，用戶主機與服務器之間建立網絡連接時經常需要某種形式的認證，發生在應用層上的認證是不透明的，如進行FTP或Telnet連接時需要用戶輸入密碼和賬號。IP地址欺騙可以針對非應用層的、通常是自發的、無須用戶參與的認證，從而達到非法入侵的目的。

（3）IP源端路由選擇

IP數據包在互聯網上傳輸到達最終目的主機之前通常要經過許多路由器。路由器動態決定了IP數據包的傳輸路線。允許源端路由選擇就是允許IP數據包向經過的路由器聲明到達目標主機所希望經過的路由。

入侵者利用IP數據包源端路由選擇避開那些包含過濾路由器、防火墻以及其他安全檢查機制的路由，就可以訪問在正常情況下所不能訪問的主機。另外，如果目標主機的訪問控制機制是認證源主機的IP地址，入侵者使用IP源端路由選擇就可以有效地通過目標主機的認證。

（4）目標掃描

入侵者在確定掃描目標系統后，利用一些掃描程序和安全分析工具，如IIS（Internet Information Server）漏洞掃描器、SATAN（Security Administrator Tool For Analyzing Networks）網絡分析工具，尋求該系統的安全漏洞或弱點，并試圖找到安全性最弱的主機作為入侵的對象。如果目標主機的管理員系統配置不當，或者未能及時發現并更新針對產品或系統安全漏洞的補丁程序，安全薄弱的主機就極易被攻破，繼而造成對與本機建立了訪問鏈接和信任關系的其他網絡計算機被攻破的連鎖反應，最終威脅到整個系統。

3．對服務器的安全威脅

客戶機、互聯網和服務器的電子商務鏈上第三個環節是服務器。企業借助各種服務器軟件設置自己的Web服務器、FTP服務器、E-Mail服務器等。對企圖破壞或非法獲取信息的人來說，服務器有很多弱點可被利用。其中的攻擊入口是Web服務器及其軟件、數據庫和數據庫服務器以及通用網關接口（Common Gateway Interface，CGI）程序或其他工具程序。

（1）Web服務器

Web服務器軟件是用來響應HTTP請求并傳送HTML格式的頁面的，其主要設計目標是支持Web服務和方便使用。通常該類軟件比較復雜，包含錯誤代碼的概率也較高，因此含有許多已知的和未知的安全漏洞。而這些漏洞經常被攻擊者利用，加之系統管理員的一些不當管理行為，極易造成系統的癱瘓或信息的泄露等嚴重后果。

（2）數據庫服務器

電子商務系統用數據庫存儲用戶數據，并可從Web服務器所連接的數據庫中檢索產品信息。數據庫除存儲產品信息外，還可能保存有價值的信息或隱私信息，如果被更改或泄露會對公司帶來無法彌補的損失。

現在多數大型數據庫都使用基于用戶名和口令的權限安全措施，一旦用戶獲準訪問數據庫，就可查看數據庫中相關內容。而有些數據庫沒有以安全方式存儲用戶名與口令，或沒有對數據庫進行安全保護，僅僅依賴Web服務器的安全措施。如果有人得到用戶的認證信息，他就能偽裝成合法的數據庫用戶來下載保密的信息。

此外，隱藏在數據庫系統里的惡意程序可將數據權限降級，把敏感信息發到未保護的區域。這樣，所有用戶都可訪問這些信息，其中當然包括那些潛在的入侵者。

（3）CGI

通用網關接口CGI可實現從Web服務器到另一個程序（如數據庫程序）的信息傳輸。CGI和接收它所傳輸數據的程序為網頁提供了動態內容。同Web服務器一樣，CGI腳本是能以高權限運行的程序，并且運行起來不受Java運行程序安全的限制，如果濫用就會帶來安全威脅。因此，惡意的CGI程序能自由訪問系統資源，使系統失效、調用刪除文件的系統程序或查看顧客的保密信息。

（4）ASP

活動服務器頁面（Active Server Pages，ASP）是微軟推出的工具軟件，可以在服務器端運行腳本語言VbScript和JavaScript編寫的程序。ASP簡單實用、靈活而強大，可實現與客戶端交互信息和數據庫訪問等操作。但ASP也存在安全漏洞，通過ASP可以入侵Web服務器，竊取服務器上的文件，捕獲Web數據庫等系統的用戶口令，刪除服務器上的文件，直到造成系統損壞。

（5）郵件炸彈

郵件炸彈是將大量的消息發給同一個電子郵件地址，目標電子郵件地址收到的大量郵件超出了所允許的郵件區域限制，導致郵件系統堵塞或失效。郵件炸彈通常會導致郵件服務器拒絕服務。

（6）溢出攻擊

通過客戶機傳輸給Web服務器或直接駐留在服務器上的Java或C++程序需要經常使用緩存。緩存中存放了從文件或數據庫中讀取的數據，是數據進出的臨時存放區域。但是向緩存發送數據的程序如果出錯，就會導致數據或指令替代了內存指定區域外的內容，即緩存溢出。緩存溢出的后果就是，程序運行遇到意外然后死機，從而破壞服務器的“不可拒絕性”。互聯網“蠕蟲”病毒就是這樣的程序，它引起的溢出會消耗所有系統資源，直到主機停止運行。

另一種溢出攻擊就是將指令寫在關鍵的內存位置上，使侵入的程序在完成了覆蓋緩存內容后進入系統保留區。保留區內存儲著關鍵性信息，如CPU寄存器的內容和控制權移交前程序的計算狀態。當控制權返還給原程序時，保留區的內容就會重新載入CPU寄存器，將控制權交給程序的下一條指令。但在攻擊發生時，控制權將返還給攻擊程序，而不是讓出控制權的原程序。Web服務器通過載入記錄攻擊程序地址的內部寄存器來恢復運行。恢復運行的攻擊程序將會獲得很高的超級用戶權限，這就使每個程序都可能被侵入的程序泄密或破壞。

（7）口令破譯

用戶所選的口令不當或者攻擊者使用一些工具軟件竊取口令，也會構成安全威脅。有的用戶所選的口令非常簡單或者規律性很強，極易被猜出。再者是有人通過使用字典攻擊程序，按電子字典里的每個單詞來驗證口令，那些較短并缺少變化的口令就能被攻破。另外，攻擊者使用網絡監聽工具軟件也可以監視網絡上傳輸的數據包，從而使口令等關鍵信息被截獲。用戶口令的泄露往往會使非法者以合法的身份進入服務器敏感區域，并且可能長時間不會被發現。

1.1.3 電子商務安全要素

由于電子商務系統面臨以上所述的威脅，這導致了對電子商務安全的迫切需求。電子商務安全要素是電子商務系統的中心內容，電子商務安全的要素有：保密性、完整性、認證性、不可否認性、不可拒絕性、訪問控制性，如圖1-2所示。

1．保密性

商務數據的保密性（Confidentiality）是指信息在網絡上傳輸或存儲的過程中不被他人竊取、不被泄露給未經授權的人或組織，或者經過加密偽裝后，使未經授權者無法了解其內容。

在商務活動的過程中，交易信息直接代表著個人、企業或國家的商業機密，如信用卡賬號及密碼、定貨單和內部報價單。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。而電子商務是建立在一個較為開放的網絡環境上的，必須采用必要的技術手段來保證發送方和接收方之間交換信息的保密性，要預防非法的信息存取和信息在傳輸過程中被非法竊取，確保只有合法用戶才能看到數據，防止發生泄密事件。

保密性可用信息加密技術實現，使信息截獲者不能解讀加密信息的內容。另外，保密性還要求保護通信流特性，如通信源與目的、流量和頻率，以防止被分析，從而喪失有價值的商業情報。

2．完整性

商務數據的完整性（Integrity）是指保護數據的一致性，防止數據被未授權者修改、建立、嵌入、刪除、重復發送或由于其他原因使原始數據被更改。

加密的信息在傳輸過程中，雖能保證其保密性，但并不能保證不被修改。電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確性和可靠性。首先，為保證數據傳輸的完整性，網絡傳輸所使用的協議必須具有查錯糾錯功能，并且應具有消息投遞的確認與通知信息，以保證傳送準確無誤，防止數據的丟失和篡改；其次，為保證數據存儲的完整性，電子商務系統信息存儲必須保證正確無誤。作為存儲介質的磁盤，可采用容錯磁盤和磁盤的熱修補技術；第三，對電子商務報文進行完整性檢查，拋棄不完整的電子商務文件。對接收的電子商務報文數據要進行掃描，按電子商務所規定的語法規則進行上下文檢查，不符合語法規則的非法字符將從數據流中移走。

貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是電子商務應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數據傳送過程中信息的丟失和重復，并保證信息傳送次序的統一。

3．認證性

商務對象的認證性（Authentication）或稱真實性是指網絡兩端的使用者在通信之前相互確認對方的身份，保證交易方確實存在，而并非有人假冒。

認證性所解決的問題是，確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題。傳統的紙介質貿易通過雙方在合同、契約或單據等書面文件上手寫簽名或蓋章來鑒別。在無紙化的電子商務方式下，要保證交易雙方身份的正確性，分辨參與者所聲稱身份的真偽，防止偽裝攻擊，須為參與實體提供可靠的標識。其中，往往需要第三方的介入。認證性用數字簽名和身份認證技術實現。

4．不可否認性

商務服務的不可否認性（Non-repudiation）或稱不可抵賴性是指信息的發送方不能否認已發送的信息，接收方不能否認已收到的信息，這是一種法律有效性要求。通過這一特性，建立有效的責任機制，防止實體否認其行為。交易一旦達成就不能否認，否則會損害另一方的利益。信息的不可否認性是用來保護通信用戶對付來自其他合法用戶的威脅，比如發送方對其所發消息的否認，接收方對其所收消息的否認。這種威脅并非來自未知身份的攻擊者。不可否認性能夠提供充分的證據迅速辨別出誰是誰非，實現不可否認性采用的技術有數字簽名等。

5．不可拒絕性

商務服務的不可拒絕性或稱可靠性是指保證授權用戶在正常訪問信息和資源時不被拒絕，即為用戶提供穩定可靠的服務。

電子商務交易過程中的數據延遲到達，或服務器拒絕服務都會把自己的顧客和貿易伙伴推向競爭對手那里，甚至在競爭性交易中錯過商機。如果不對一些網絡故障、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒甚至自然災害所產生的潛在威脅加以控制和預防，這些都會導致貿易數據不能準確傳送，無法為用戶提供可靠的服務。

6．訪問控制性

訪問控制性（Access Control）或稱可控性規定了主體訪問客體的操作權力限制，以及限制進入物理區域（出入控制）和限制使用計算機系統和計算機存儲數據的過程（存取控制）。訪問控制包括人員限制、數據標識、權限控制、控制類型和風險分析等。在這里主要指能控制使用資源的人或實體的使用方式，在網絡上限制和控制通信信道對主機系統和應用的訪問，保護計算機系統的資源不被未經授權的人或以未授權方式接入、使用、修改、破壞、發出指令或植入程序等，即防止未授權的數據暴露。訪問控制性可用防火墻等技術及相關制度措施等實現。

電子商務除了以上6個主要的安全要素外，還有匿名服務（隱匿參與者身份、保護個人或組織隱私）等要素，以及一些特殊環境的特殊要素。