電子商務的優(yōu)缺點及安全問習題分析

1、PAGE13電子商務的優(yōu)缺點及安全問題分析 HYPERLINK l _Toc18757 摘要1TOC o 1-3 h u HYPERLINK l _Toc18757 1、研究背景 PAGEREF _Toc18757 2 HYPERLINK l _Toc21867 2、電子商務的概述 PAGEREF _Toc21867 2 HYPERLINK l _Toc9291 電子商務的概念 PAGEREF _Toc9291 2 HYPERLINK l _Toc8994 電子商務的特征 PAGEREF _Toc8994 2 HYPERLINK l _Toc21476 電子商務的功能 PAGEREF _Toc

2、21476 3 HYPERLINK l _Toc10937 電子商務的分類 PAGEREF _Toc10937 4 HYPERLINK l _Toc22557 3、電子商務的SWOT 分析 PAGEREF _Toc22557 5 HYPERLINK l _Toc12982 電子商務的優(yōu)勢 PAGEREF _Toc12982 5 HYPERLINK l _Toc20809 電子商務的劣勢 PAGEREF _Toc20809 5 HYPERLINK l _Toc9830 4、電子商務安全問題 PAGEREF _Toc9830 6 HYPERLINK l _Toc8383 有關電子商務的安全性要求

3、PAGEREF _Toc8383 6 HYPERLINK l _Toc24596 對電子商務活動安全性的要求 PAGEREF _Toc24596 6 HYPERLINK l _Toc1190 電子商務的主要安全要素 PAGEREF _Toc1190 6 HYPERLINK l _Toc26158 電子商務采用的主要安全技術 PAGEREF _Toc26158 7 HYPERLINK l _Toc12047 網絡節(jié)點的安全 PAGEREF _Toc12047 7 HYPERLINK l _Toc14961 通訊的安全 PAGEREF _Toc14961 8 HYPERLINK l _Toc689

4、0 應用程序的安全性 PAGEREF _Toc6890 8 HYPERLINK l _Toc5008 用戶的認證管理 PAGEREF _Toc5008 8 HYPERLINK l _Toc13723 電子商務安全需要進一步完善的配套措施 PAGEREF _Toc13723 9 HYPERLINK l _Toc23794 5、保障電子商務信息安全措施 PAGEREF _Toc23794 9 HYPERLINK l _Toc27192 5. 1 數(shù)據(jù)加密策略 PAGEREF _Toc27192 9 HYPERLINK l _Toc30071 5. 2 防火墻技術 PAGEREF _Toc30071

5、 10 HYPERLINK l _Toc17334 5. 3 身份驗證技術 PAGEREF _Toc17334 10 HYPERLINK l _Toc11631 5. 4 保障電子商務信息安全的環(huán)境性措施 PAGEREF _Toc11631 11 HYPERLINK l _Toc17815 6、結論與討論 PAGEREF _Toc17815 12 HYPERLINK l _Toc17690 7、參考文獻 PAGEREF _Toc17690 12摘要：研究目的：研究電子商務的優(yōu)缺點以及電子安全問題，從而有針對性的提出解決電子商務安全問題的策略。研究方法：SWOT分析，對比分析。研究結果：通過SW

6、OT分析和對比分析得出了電子商務的優(yōu)缺點和存在問題。研究結論：電子商務給企業(yè)、消費者和社會所帶來的收益是不可估量的。特別是電子商務以其高效、低成本的優(yōu)勢，必將成為新興的商業(yè)運作模式，推動著全球經濟的快速發(fā)展。而商務信息的安全問題始終是電子商務的核心，是阻礙電子商務廣泛應用的最大問題。電子商務的安全問題是能夠通過綜合運用各類電子商務安全技術，并不斷改進和完善。關鍵詞：電子商務；存在問題；比較分析；SWOT分析；安全問題1、研究背景電子商務以其獨特的優(yōu)勢已成為新世紀經濟增長的引擎，它對提高我國企業(yè)的競爭力產生了重大影響。世界經濟的發(fā)展正進入一個信息時代，電子商務就是在這個信息經濟時代產生和發(fā)展起來

7、的事物。電子商務是利用現(xiàn)代信息網絡進行的商務活動，是一種替代傳統(tǒng)商務活動的新形式，尤其是利用Internet來進行以商品交換為中心的各種商務活動，可以極大的降低交易成本，增加貿易機會，提高貿易效率。隨著我國加入WTO，電子商務由于其活動范圍的全球化和涉及行業(yè)廣泛性，正在顯著地改變人們長期以來習以為常的各種傳統(tǒng)商業(yè)貿易活動的內容及形式。然而目前我國中小企業(yè)電子商務的發(fā)展仍存在許多的問題和缺陷，并影響其發(fā)展進程。因此，有必要采取相應的對策和措施，在新形勢下促進我國電子商務持續(xù)快速的發(fā)展。2、電子商務的概述電子商務的概念 HYPERLINK &ss_c=電子商務是指在互聯(lián)網(Internet)、HY

8、PERLINK &ss_c=企業(yè)內部網(Intranet)和增值網(VAN，Value Added Network)上以電子HYPERLINK &ss_c=交易方式進行交易活動和相關服務活動，是傳統(tǒng)商業(yè)活動各環(huán)節(jié)的電子化、網絡化。電子商務包括HYPERLINK &ss_c=電子貨幣交換、供應鏈管理、電子交易市場、HYPERLINK 網絡營銷、在線事務處理、電子數(shù)據(jù)交換(EDI)、HYPERLINK &ss_c=存貨管理和自動數(shù)據(jù)收集系統(tǒng)。電子商務利用到的HYPERLINK &ss_c=信息技術包括：互聯(lián)網、外聯(lián)網、HYPERLINK &ss_c=電子郵件、HYPERLINK &ss_c=數(shù)據(jù)庫

9、、電子目錄和HYPERLINK &ss_c=移動電話等，買賣雙方不謀面地進行各種商貿活動，實現(xiàn)消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業(yè)運營模式。人們因自己所處的地位和對電子商務參與的角度和程度的不同，給出了許多不同的定義。電子商務的特征從電子商務的含義及發(fā)展歷程可以看出電子商務具有如下基本特征：普遍性：電子商務作為一種新型的交易方式，將生產企業(yè)、流通企業(yè)以及消費者和政府帶入了一個網絡經濟、數(shù)字化生存的新天地。方便性：在電子商務環(huán)境中，人們不再受地域的限制，客戶能以非常簡捷的方式完成過去較為繁雜的商業(yè)活動。如通過網

10、絡銀行能夠全天候地存取賬戶資金、查詢信息等，同時使企業(yè)對客戶的服務質量得以大大提高。在電子商務商業(yè)活動中，有大量的人脈資源開發(fā)和溝通，從業(yè)時間靈活，完成公司要求，有錢有閑。整體性：電子商務能夠規(guī)范事務處理的工作流程，將人工操作和電子信息處理集成為一個不可分割的整體，這樣不僅能提高人力和物力的利用率，也可以提高系統(tǒng)運行的嚴密性。安全性：在電子商務中，安全性是一個至關重要的核心問題，它要求網絡能提供一種端到端的安全解決方案，如加密機制、簽名機制、安全管理、存取控制、防火墻、防病毒保護等等，這與傳統(tǒng)的商務活動有著很大的不同。協(xié)調性：商業(yè)活動本身是一種協(xié)調過程，它需要客戶與公司內部、生產商、批發(fā)商、零

11、售商間的協(xié)調。在電子商務環(huán)境中，它更要求銀行、配送中心、通訊部門、技術服務等多個部門的通力協(xié)作，電子商務的全過程往往是一氣呵成的。集成性：電子商務以計算機網絡為主線，對商務活動的各種功能進行了高度的集成，同時也對參加商務活動的商務主體各方進行了高度的集成，高度的集成性使電子商務進一步提高了效率。電子商務的功能電子商務可提供網上交易和管理等全過程的服務。因此，它具有廣告宣傳、咨詢洽談、網上定購、網上支付、電子賬戶、服務傳遞、意見征詢、交易管理等各項功能。1 廣告宣傳：電子商務可憑借企業(yè)的Web服務器和客戶的瀏覽，在Internet上發(fā)播各類商業(yè)信息?？蛻艨山柚W上的檢索工具(Search)迅速地

12、找到所需商品信息，而商家可利用網上主頁( Home Page)和電子郵件(E-majl)在全球范圍內作廣告宣傳。與以往的各類廣告相比，網上的廣告成本最為低廉，而給顧客的信息量卻最為豐富。2 咨詢洽談：電子商務可借助非實時的電子郵件(E-mail)，新聞組(News Group) 和實時的討論組(chat)來了解市場和商品信息、洽談交易事務，如有進一步的需求，還可用網上的白板會議(Whiteboard Conference)來交流即時的圖形信息。網上的咨詢和洽談能超越人們面對面洽談的限制、提供多種方便的異地交談形式。3 網上訂購：電子商務可借助 Web中的郵件交互傳送實現(xiàn)網上的訂購。網上的訂購通

13、常都是在產品介紹的頁面上提供十分友好的訂購提示信息和訂購交互格式框。當客戶填完訂購單后，通常系統(tǒng)會回復確認信息單來保證訂購信息的收悉。訂購信息也可采用加密的方式使客戶和商家的商業(yè)信息不會泄漏。4 網上支付：電子商務要成為一個完整的過程。網上支付是重要的環(huán)節(jié)。客戶和商家之間可采用信用卡帳號實施支付。在網上直接采用電子支付手段將可省略交易中很多人員的開銷。網上支付將需要更為可靠的信息傳輸安全性控制以防止欺騙、竊聽、冒用等非法行為。5 電子帳戶：網上的支付必需要有電子金融來支持，即銀行或信用卡公司及保險公司等金融單位要為金融服務提供網上操作的服務。而電子帳戶管理是其基本的組成部分。信用卡號或銀行帳號

14、都是電子帳戶的一種標志。而其可信度需配以必要技術措施來保證。如數(shù)字憑證、數(shù)字簽名、加密等手段的應用提供了電子帳戶操作的安全性。6 服務傳遞：對于已付了款的客戶應將其訂購的貨物盡快地傳遞到他們的手中。而有些貨物在本地，有些貨物在異地，電子郵件將能在網絡中進行物流的調配。而最適合在網上直接傳遞的貨物是信息產品。如軟件、電子讀物、信息服務等。它能直接從電子倉庫中將貨物發(fā)到用戶端。7 意見征詢：電子商務能十分方便地采用網頁上的“選擇”、“填空”等格式文件來收集用戶對銷售服務的反饋意見。這樣使企業(yè)的市場運營能形成一個封閉的回路?？蛻舻姆答佉庖姴粌H能提高售后服務的水平，更使企業(yè)獲得改進產品、發(fā)現(xiàn)市場的商業(yè)

15、機會。8 交易管理：整個交易的管理將涉及到人、財、物多個方面，企業(yè)和企業(yè)、企業(yè)和客戶及企業(yè)內部等各方面的協(xié)調和管理。因此，交易管理是涉及商務活動全過程的管理。電子商務的發(fā)展，將會提供一個良好的交易管理的網絡環(huán)境及多種多樣的應用服務系統(tǒng)。這樣，能保障電子商務獲得更廣泛的應用。電子商務的分類按照商業(yè)活動的運行方式，電子商務可以分為完全電子商務和非完全電子商務;按照商務活動的內容，電子商務主要包括間接電子商務(有形貨物的電子訂貨和付款，任然需要利用傳統(tǒng)渠道如郵政服務和商業(yè)快遞車送貨)，和直接電子商務(無形貨物和服務，如某些計算機軟件、娛樂產品的聯(lián)機訂購、付款和交付，或者是全球規(guī)模的信息服務);按照開

16、展電子交易的范圍，電子商務可以分為區(qū)域化電子商務、遠程國內電子商務、全球電子商務 ;按照使用網絡的類型，電子商務可以分為基于專門增值網絡(EDI)的電子商務、基于互聯(lián)網的電子商務、基于Intranet的電子商務;按照交易對象，電子商務可以分為企業(yè)對企業(yè)的電子商務( B2B),企業(yè)對消費者的電子商務(B2C)，企業(yè)對政府的電子商務(B2G)，消費者對政府的電子商務(C2G)，消費者對消費者的電子商務(C2C)，企業(yè)、消費者、代理商三者相互轉化的電子商務(ABC)等。3、電子商務的SWOT 分析SWOT 分別代表：strengths（優(yōu)勢）、weaknesses（劣勢）、opportunities

17、(機會)、threats（威脅）。 電子商務的優(yōu)勢1）互聯(lián)網的快速發(fā)展。隨著電腦的普及、網聯(lián)網的快速發(fā)展，給電子商務的發(fā)展提供了有利的基礎設施條件。中國HYPERLINK 網絡購物的快速發(fā)展，得益于快速普及的HYPERLINK 網絡。信用卡等的使用等都為電子商務更快更強地發(fā)展提供了很好的條件。2）信息化效率高。網上購物的便捷性：網上的商品品種很多，并在快速的發(fā)展中，幾乎能滿足大部分消費者的需求。網上買家面對的是無數(shù)的賣家，同時賣家面對的也是無數(shù)的買家，市場潛能很大。信息化的時代，高新技術的發(fā)展使得進入的門檻越來越低，HYPERLINK 管理維護的費用也相對要低。3）低成本。電子商務的發(fā)展使網上

18、購物跨越了空間維度，而且節(jié)省時間。網絡資源的共享以及中間環(huán)節(jié)的減少還有就是不用去花大量的HYPERLINK 投資在店鋪上等都使得企業(yè)的成本相對實體HYPERLINK 經濟要低得多，所以價格上也就要便宜。同時網上瀏覽購物，可以只在幾個網頁之間來回對照就可以買到自己滿意且相對價格更優(yōu)惠的，節(jié)約更多的時間成本。4）個性化服務?，F(xiàn)在互聯(lián)網越來越為白領人士、大學生等所普遍使用，網上購物也正成為一種潮流?，F(xiàn)在這些階層要么就是沒有時間逛街要么就是喜歡追逐新鮮事物。他們可以在網上進行DIY。服務越來越人性化。 電子商務的劣勢1）安全問題。交易中安全是相當重要的一個問題。然而中國現(xiàn)在還沒有很完善的電子商務法，安

19、全問題十分突出。消費不安全是制約電子商務發(fā)展的一個致命的因素。信用卡信息的安全，數(shù)據(jù)傳輸?shù)陌踩?，個人隱私等問題對電子商務的發(fā)展都有阻礙。當網上購物變得越來普及的今天，安全問題更亟待解決。2）觀念約束。中國人受傳統(tǒng)的思想的約束，對于網上購物存在顧慮。傳統(tǒng)的眼見才為實的觀念限制了人們網上購物的積極性。思想的約束包括看不到交易的實體、自己的隱私、信用卡信息、虛擬的交易HYPERLINK 環(huán)境等所帶來的擔憂。3）法律制度問題需要規(guī)范。網上交易作為一種交易手段也要受到法律的約束。但是作為一種新的交易形勢，還沒有健全的法律體制，使得網上交易不規(guī)范，影響網上交易的發(fā)展。而且中國還沒有像重視實體產業(yè)一樣重視電

20、子商務的發(fā)展。網上開店要不要到工商局注冊、要不要收稅、如果收稅如何制定收稅標準等都是不好與實體產業(yè)的相一致，衡量的標準和方式也很難確定?，F(xiàn)在中國的電子商務還處于起步發(fā)展階段，需要法律的約束更需要法律的扶持。過嚴的約束會限制它的發(fā)展。如果要收稅又要有很多手續(xù)和制度等的約束，很多網店就有可能會退出這個市場。4）缺少專業(yè)人才。21 世紀的競爭就是人才的競爭。中國電子商務行業(yè)反映院校人才培養(yǎng)不力、專業(yè)人才信心缺失、企業(yè)缺乏優(yōu)質人才。電子商務作為一個比較新的行業(yè)，專業(yè)人才比較缺乏。HYPERLINK 計算機和網絡技術人才的缺乏嚴重限制了中國電子商務的發(fā)展。我作為電子商務專業(yè)的學生對此感受頗深。不僅企業(yè)埋

21、怨招不到人才，電子商務專業(yè)的學生也苦惱工作難找。5）物流的限制。電子商務的最終實現(xiàn)是依靠發(fā)達而健全的物流的配送來實現(xiàn)。中國物流業(yè)還存在著很多的問題。物流體系不健全，物流配送不合理，物流成本高等都成為限制電子商務發(fā)展的因素。此外，還有相應的認證體系、技術不健全等問題，而且電子商務的普及HYPERLINK 教育培訓也需加強。4、電子商務安全問題 有關電子商務的安全性要求對電子商務活動安全性的要求(1) 服務的有效性要求。電子商務系統(tǒng)應能防止服務失敗情況的發(fā)生,預防由于網絡故障和病毒發(fā)作等因素產生的系統(tǒng)停止服務等情況,保證交易數(shù)據(jù)能準確快速的傳送。(2) 交易信息的保密性要求。電子商務系統(tǒng)應對用戶所

22、傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。(3) 數(shù)據(jù)完整性要求。數(shù)字完整性是指在數(shù)據(jù)處理過程中,原來數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業(yè)利益。(4) 身份認證的要求。電子商務系統(tǒng)應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時提供法律依據(jù)。電子商務的主要安全要素(1) 信息真實性、有效性。電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人

23、、企業(yè)或國家的經濟利益和聲譽。(2) 信息機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環(huán)境上的,商業(yè)防泄密是電子商務全面推廣應用的重要保障。(3) 信息完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統(tǒng)應充分保證數(shù)據(jù)傳輸、存儲及

24、電子商務完整性檢查的正確和可靠。(4) 信息可靠性、可鑒別性和不可抵賴性?？煽啃砸蠹词悄鼙ＷC合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統(tǒng)的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據(jù)等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在internet上每個人都是匿名的,電子商務系統(tǒng)應充

25、分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。 電子商務采用的主要安全技術網絡節(jié)點的安全防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯(lián)網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平臺。防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網絡的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的I

26、ntranet系統(tǒng)。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規(guī)定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設。 通訊的安全在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺

27、省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制, SSL 首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發(fā)。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發(fā)機構提供的基礎公共密鑰( PKI) 。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時) 。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協(xié)商一個對稱算法及密鑰,然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出進入安全狀態(tài)的提示。 應用程序的安全性

28、即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可) ,程序員認為這個缺省的許可是正確的。這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸

29、入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令,特權程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)像這些問題一樣的錯誤。 用戶的認證管理(1) 身份認證。電子商務企業(yè)用戶身份認證可以通過服務器CA證書與IC卡相結合實現(xiàn)。CA證書用來認證服務器的身份, IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。(2) CA證書。要在

30、網上確認交易各方的身份以及保證交易的不可否認性,需要一份數(shù)字證書進行驗證,這份數(shù)字證書就是CA證書,它由認證授權中心(CA中心)發(fā)行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發(fā)數(shù)字證書,并能確認用戶身份的服務機構。認證中心通常是企業(yè)性的服務機構,主要任務是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發(fā)放數(shù)字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。

31、(3) 安全套接層SSL協(xié)議。安全套接層SSL協(xié)議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證,數(shù)字證書是從認證機構(CA,Certificate Authority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。SSL協(xié)議在應用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通

32、道;在該通道上可透明加載任何高層應用協(xié)議(如Ht2tp、Ftp、Telnet等)以保證應用層數(shù)據(jù)傳輸?shù)陌踩?。SSL協(xié)議握手流程由兩個階段組成:服務器認證和用戶認證。 電子商務安全需要進一步完善的配套措施電子商務要真正成為一種主導的商務模式,尤其對發(fā)展中的中國來說,發(fā)展電子商務,就必須從以下幾個方面來完善配套措施:(1) 突破關鍵技術受制于人的瓶頸。(2) 我國應盡快對電子商務的有關細則進行立法。(3) 大力開發(fā)大型商務網站,發(fā)展與之相配套的物流公司。(4) 為了確保系統(tǒng)的安全性,除了采用技術手段外,還必須建立嚴格的內部安全機制。(5) 建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情

33、況出現(xiàn)時便于跟蹤查詢。(6) 對于重要數(shù)據(jù)要及時進行備份,且對數(shù)據(jù)庫中存放的數(shù)據(jù),數(shù)據(jù)庫系統(tǒng)應視其重要性提供不同級別的數(shù)據(jù)加密。5、保障電子商務信息安全措施5. 1 數(shù)據(jù)加密策略加密技術是電子商務的最基本措施,最初主要用與保證數(shù)據(jù)在存儲和傳輸過程中的保密性。隨著電子商務的發(fā)展,對數(shù)據(jù)完整性以及身份鑒定技術提出了新的要求,數(shù)字簽名、身份認證就是為了適應這種需要在密碼學中派生出來的新技術和新應用。加密技術是一種主動的信息安全防范策略,利用一定的加密算法. 將明文轉換成毫無意義的密文。阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。比較廣泛使用的加密技術有兩種:一是對稱密鑰加密體制,一是非對稱密鑰加

34、密體制。它們的區(qū)別在于密鑰的類型不同。5. 1. 1 對稱密鑰加密體制對稱密鑰加密,又稱私鑰加密(Secret Key Encryption) ,即數(shù)據(jù)加密和解密采用的都是同一個密鑰,因而其安全性依賴于所持有密鑰的安全性,其最大的優(yōu)點就是速度快,適合于對大數(shù)據(jù)量進行加密,但其最大的缺點是在大量用戶的情況下密鑰答理復雜,而且無法完成身份認證等功能,不便于應用于網絡開放的環(huán)境中。5. 1. 2 非對稱密鑰加密體制非對稱密鑰加密體制,又稱公鑰加密( Public Key Encryp2tion) ,數(shù)據(jù)加密和解密采用不同的密鑰,需要使用一對密鑰來分別完成加密和解密操作。在非對稱密鑰加密體制中密鑰被分

35、解為一對。這對鑰中的在何一把都可作為公開密鑰,加密密鑰,通過非保密方式向他人公開。而另一把則作為私用密鑰加以保存。私用密鑰只能由數(shù)據(jù)的接受者掌握。利用公鑰體系可以方便地實現(xiàn)對用戶的身份認證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸?shù)男畔⑦M行加密,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進行解密,如果能夠解開,說明信息確實為該用戶所發(fā)送,這樣就方便地實現(xiàn)了對信息發(fā)送方身份的鑒別和認證。通常在實際應用中將公鑰密碼體系和數(shù)字簽名算法結合使用. 在保證數(shù)據(jù)傳輸完整性的同時完成對用戶的身份認證。5. 2 防火墻技術現(xiàn)有的防火墻技術包括兩大類:數(shù)據(jù)包過濾和代理服務技術。其中,最簡單和最常用

36、的是包過濾防火墻,它檢查接受到的每個數(shù)據(jù)包的頭,以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠對進出的數(shù)據(jù)進行有選擇的過濾,所以可以有效地避兔對其進行的有意或無意的攻擊,從而保證了專用私有網的安全。將包過濾防火墻與代理服務器結合起來使用是解決網絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于: (1) 防火墻技術只能防止經由防火墻的攻擊,不能防止網絡內部用戶對于網絡的攻擊。(2) 防火墻不能保證數(shù)據(jù)的秘密性,也不能保證網絡不受病毒的攻擊,它只能有效地保護企業(yè)內部網絡不受主動攻擊和入侵。5. 3 身份驗證技術5. 3. 1 認證系統(tǒng)網上安全交易的基礎是數(shù)字證書。數(shù)字證書類似于現(xiàn)實生活中

37、的身份證,用于在網絡上鑒別個人或組織的真實身份。數(shù)字證書的頒發(fā)機構叫做Certificate Authority ,通常簡稱為CA。要建立安全的電子商務系統(tǒng),首先必須建立一個穩(wěn)固、健全的CA ,否則,一切網上的交易都沒有安全保障。5. 3. 2 SSL 協(xié)議SSL 協(xié)議(Secure Socket , Layer ,安全套接層) 主要目的是解決TCP/ IP 協(xié)議不能確認用戶身份的問題,在Socket 上使用非對稱的加密技術,以保證網絡通信服務的安全性。SSL 協(xié)議易于實現(xiàn)。SSL 協(xié)議還是最值得信賴的協(xié)議。但是由于SSL 協(xié)議當初并不是為支持電子商務而設計的,所以在電子商務系統(tǒng)的應用中還存在

38、很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網站、銀行三家協(xié)作完成,SSL 協(xié)議并不能協(xié)調各方的安全傳輸和信任關系。5. 3. 3 SET 協(xié)議SET (Secure Elect ronic Transaction) 安全電子交易協(xié)議是用于Internet 上的以信用卡為基礎的電子支付系統(tǒng)協(xié)議。主要應用于B/ C 模式中保障支付信息的安全性。SET 協(xié)議提供對消費者、商戶和銀行的認證,協(xié)議本身比較復雜,設計比較嚴格,安全性高,確保電子交易的機密性、數(shù)據(jù)完整性、身份的合法性和抗否認性,特別是保證了不會將持卡人的信用卡號泄露給商戶。其核心技術主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。它的交易規(guī)范成為了未來電子商務發(fā)展的方向。5. 4 保障電子商務信息安全的環(huán)境性措施目前,基于Internet 的電子商務應用還不成熟,許多內外部環(huán)境還不夠完善,相應的法律、法規(guī),相關的標準還都沒有建立,跨部門、跨地區(qū)的協(xié)調存在較大問題。5. 4. 1 構造我國完善