電子商務(wù)的風(fēng)險(xiǎn)與管理

1、摘要隨著計(jì)算算機(jī)及網(wǎng)網(wǎng)絡(luò)的日日益發(fā)展展和普及及，網(wǎng)絡(luò)絡(luò)已經(jīng)成成為我們們生活的的一部分分。而電電子商務(wù)務(wù)的飛速速發(fā)展，使我們們?cè)絹?lái)越越感到網(wǎng)網(wǎng)絡(luò)技術(shù)術(shù)帶給我我們的好好處。但但是我們們不得不不面對(duì)這這樣的現(xiàn)現(xiàn)實(shí)，即即計(jì)算機(jī)機(jī)和網(wǎng)絡(luò)絡(luò)技術(shù)在在帶給我我們各種種便利的的同時(shí)，也帶來(lái)來(lái)了令人人頭痛的的安全問(wèn)問(wèn)題。該文基于于目前電電子商務(wù)務(wù)安全所所面臨的的各種風(fēng)風(fēng)險(xiǎn)問(wèn)題題，結(jié)合合當(dāng)前的的一些風(fēng)風(fēng)險(xiǎn)管理理方法，對(duì)電子子商務(wù)系系統(tǒng)安全全風(fēng)險(xiǎn)管管理進(jìn)行行一些基基本的分分析和研研究，以以期對(duì)企企業(yè)電子子商務(wù)安安全風(fēng)險(xiǎn)險(xiǎn)管理提提供一些些有價(jià)值值的借鑒鑒和參考考。關(guān)鍵詞：電子商商務(wù)安全全，風(fēng)險(xiǎn)險(xiǎn)管理，風(fēng)險(xiǎn)識(shí)識(shí)別，風(fēng)風(fēng)險(xiǎn)

2、控制制目錄TOC o 1-3 h z u HYPERLINK l _Toc226298860 前言 PAGEREF _Toc226298860 h 2 HYPERLINK l _Toc226298861 電子商務(wù)務(wù)中存在在的安全全風(fēng)險(xiǎn) PAGEREF _Toc226298861 h 33 HYPERLINK l _Toc226298862 （1）網(wǎng)網(wǎng)絡(luò)環(huán)境境風(fēng)險(xiǎn) PAGEREF _Toc226298862 h 44 HYPERLINK l _Toc226298863 （2）數(shù)數(shù)據(jù)存取取風(fēng)險(xiǎn) PAGEREF _Toc226298863 h 44 HYPERLINK l _Toc226298864

3、 （3）網(wǎng)網(wǎng)上支付付風(fēng)險(xiǎn) PAGEREF _Toc226298864 h 44 HYPERLINK l _Toc226298865 （4）信信息的截截獲和竊竊取 PAGEREF _Toc226298865 h 4 HYPERLINK l _Toc226298866 （5）信信息的篡篡改 PAGEREF _Toc226298866 h 4 HYPERLINK l _Toc226298867 （6）拒拒絕服務(wù)務(wù) PAGEREF _Toc226298867 h 4 HYPERLINK l _Toc226298868 （7）系系統(tǒng)資源源失竊問(wèn)問(wèn)題 PAGEREF _Toc226298868 h 5 H

4、YPERLINK l _Toc226298869 （8）信信息的假假冒 PAGEREF _Toc226298869 h 5 HYPERLINK l _Toc226298870 （9）交交易的抵抵賴 PAGEREF _Toc226298870 h 5 HYPERLINK l _Toc226298871 （2）開(kāi)開(kāi)發(fā)和實(shí)實(shí)施階段段 PAGEREF _Toc226298871 h 6 HYPERLINK l _Toc226298872 （3）運(yùn)運(yùn)行階段段 PAGEREF _Toc226298872 h 6 HYPERLINK l _Toc226298873 電子商務(wù)務(wù)的風(fēng)險(xiǎn)險(xiǎn)管理步步驟 PAGERE

5、F _Toc226298873 h 7 HYPERLINK l _Toc226298874 （1）風(fēng)風(fēng)險(xiǎn)識(shí)別別 PAGEREF _Toc226298874 h 7 HYPERLINK l _Toc226298875 （2）風(fēng)風(fēng)險(xiǎn)分析析 PAGEREF _Toc226298875 h 8 HYPERLINK l _Toc226298876 （3）風(fēng)風(fēng)險(xiǎn)控制制 PAGEREF _Toc226298876 h 8 HYPERLINK l _Toc226298877 風(fēng)險(xiǎn)管理理對(duì)策 PAGEREF _Toc226298877 h 99 HYPERLINK l _Toc226298878 1、網(wǎng)絡(luò)絡(luò)安全

6、技技術(shù) PAGEREF _Toc226298878 h 122 HYPERLINK l _Toc226298879 1.1 操作系系統(tǒng)安全全 PAGEREF _Toc226298879 h 12 HYPERLINK l _Toc226298880 1.2 防火墻墻技術(shù) PAGEREF _Toc226298880 h 113 HYPERLINK l _Toc226298881 1.3 VPNN PAGEREF _Toc226298881 h 13 HYPERLINK l _Toc226298882 1.4 漏洞識(shí)識(shí)別與檢檢測(cè)系統(tǒng)統(tǒng) PAGEREF _Toc226298882 h 14 HYPER

7、LINK l _Toc226298883 2、數(shù)據(jù)據(jù)加密技技術(shù) PAGEREF _Toc226298883 h 144 HYPERLINK l _Toc226298884 3、身份份認(rèn)證技技術(shù) PAGEREF _Toc226298884 h 155 HYPERLINK l _Toc226298885 （1）基基于口令令的認(rèn)證證方式 PAGEREF _Toc226298885 h 115 HYPERLINK l _Toc226298886 （2）基基于安全全物品的的認(rèn)證方方式PAGEREF _Toc226298886 h 155 HYPERLINK l _Toc226298887 （3）基基于生

8、物物特征的的認(rèn)證方方式 PAGEREF _Toc226298887 h 166 HYPERLINK l _Toc226298888 4、數(shù)據(jù)據(jù)庫(kù)安全全機(jī)制 PAGEREF _Toc226298888 h 116 HYPERLINK l _Toc226298889 5、第三三方認(rèn)證證CA PAGEREF _Toc226298889 h 177 HYPERLINK l _Toc226298890 結(jié)論 PAGEREF _Toc226298890 h 199 HYPERLINK l _Toc226298891 主要參考考文獻(xiàn) PAGEREF _Toc226298891 h 220 HYPERLINK

9、 l _Toc226298892 謝辭 PAGEREF _Toc226298892 h 211前言電子商務(wù)務(wù)（Ellecttronnic Commmerrce，EC）是是指通過(guò)過(guò)網(wǎng)絡(luò)（尤其是是Intternnet）所進(jìn)行行的買賣賣交易以以及相關(guān)關(guān)服務(wù)或或其他的的組織管管理活動(dòng)動(dòng)。交易易的安全全性能否否得到保保障是電電子商務(wù)務(wù)的核心心問(wèn)題。近幾年年來(lái)，我我國(guó)的電電子商務(wù)務(wù)發(fā)展較較快，但但各種風(fēng)風(fēng)險(xiǎn)也日日趨突出出。一般般來(lái)說(shuō)，電子商商務(wù)中常常見(jiàn)的風(fēng)風(fēng)險(xiǎn)可分分為經(jīng)濟(jì)濟(jì)風(fēng)險(xiǎn)、管理風(fēng)風(fēng)險(xiǎn)、制制度風(fēng)險(xiǎn)險(xiǎn)、技術(shù)術(shù)風(fēng)險(xiǎn)和和信息風(fēng)風(fēng)險(xiǎn)。IIT技術(shù)術(shù)是實(shí)現(xiàn)現(xiàn)電子商商務(wù)的基基礎(chǔ)，分分析研究究其技術(shù)術(shù)風(fēng)險(xiǎn)是是保障電電

10、子商務(wù)務(wù)安全的的重要研研究課題題。為了促進(jìn)進(jìn)電子商商務(wù)的健健康發(fā)展展，研究究電子商商務(wù)中可可能存在在的風(fēng)險(xiǎn)險(xiǎn)及相應(yīng)應(yīng)的控制制策略是是十分必必要的。本文分分析了電電子商務(wù)務(wù)中存在在的技術(shù)術(shù)風(fēng)險(xiǎn)及及其產(chǎn)生生的原因因，并在在此基礎(chǔ)礎(chǔ)上提出出了降低低電子商商務(wù)技術(shù)術(shù)風(fēng)險(xiǎn)的的相關(guān)安安全策略略及措施施。電子商務(wù)務(wù)中存在在的安全全風(fēng)險(xiǎn)由于網(wǎng)絡(luò)絡(luò)的復(fù)雜雜性、脆脆弱性、開(kāi)放性性、共享享性和動(dòng)動(dòng)態(tài)性，使得任任何人都都可以自自由地接接入Innterrnett，從而而使以因因特網(wǎng)為為主要平平臺(tái)的電電子商務(wù)務(wù)的發(fā)展展面臨著著嚴(yán)峻的的安全問(wèn)問(wèn)題。一一般來(lái)說(shuō)說(shuō)，電子子商務(wù)普普遍存在在著以下下幾個(gè)安安全風(fēng)險(xiǎn)險(xiǎn)：（1）網(wǎng)網(wǎng)絡(luò)環(huán)

11、境境風(fēng)險(xiǎn)網(wǎng)絡(luò)服務(wù)務(wù)器常遭遭受到黑黑客的襲襲擊，個(gè)個(gè)別網(wǎng)絡(luò)絡(luò)中的信信息系統(tǒng)統(tǒng)受到攻攻擊后無(wú)無(wú)法恢復(fù)復(fù)正常運(yùn)運(yùn)行；網(wǎng)網(wǎng)絡(luò)軟件件常常被被人篡改改或破壞壞；網(wǎng)絡(luò)絡(luò)中存儲(chǔ)儲(chǔ)或傳遞遞的數(shù)據(jù)據(jù)常常被被未經(jīng)授授權(quán)者篡篡改、增增刪、復(fù)復(fù)制或使使用。（2）數(shù)數(shù)據(jù)存取取風(fēng)險(xiǎn)由于數(shù)據(jù)據(jù)存取不不當(dāng)所造造成的風(fēng)風(fēng)險(xiǎn)。這這種風(fēng)險(xiǎn)險(xiǎn)主要來(lái)來(lái)自于企企業(yè)內(nèi)部部。一是是未經(jīng)授授權(quán)的人人員進(jìn)入入系統(tǒng)的的數(shù)據(jù)庫(kù)庫(kù)修改、刪除數(shù)數(shù)據(jù)；二二是企業(yè)業(yè)工作人人員操作作失誤，受其錯(cuò)錯(cuò)誤數(shù)據(jù)據(jù)的影響響而帶來(lái)來(lái)的風(fēng)險(xiǎn)險(xiǎn)，其結(jié)結(jié)果必然然是使企企業(yè)效益益受到損損失，或或者是使使顧客利利益受到到損失。（3）網(wǎng)網(wǎng)上支付付風(fēng)險(xiǎn)網(wǎng)上支付付一直被被認(rèn)為是是制約中中

12、國(guó)電子子商務(wù)發(fā)發(fā)展的最最大瓶頸頸，許多多企業(yè)和和個(gè)人擔(dān)擔(dān)心交易易的安全全性而不不愿使用用網(wǎng)上支支付。（4）信信息的截截獲和竊竊取這是指電電子商務(wù)務(wù)相關(guān)用用戶或外外來(lái)者未未經(jīng)授權(quán)權(quán)通過(guò)各各種技術(shù)術(shù)手段截截獲和竊竊取他人人的文電電 HYPERLINK / 內(nèi)容以獲獲取商業(yè)業(yè)機(jī)密。（5）信信息的篡篡改網(wǎng)絡(luò)攻擊擊者依靠靠各種技技術(shù)方法法和手段段對(duì)傳輸輸?shù)男畔⑾⑦M(jìn)行中中途的篡篡改、刪刪除或插插入，并并發(fā)往目目的地，從而達(dá)達(dá)到破壞壞信息完完整性的的目的。（6）拒拒絕服務(wù)務(wù)拒絕服務(wù)務(wù)是指在在一定時(shí)時(shí)間內(nèi)，網(wǎng)絡(luò)系系統(tǒng)或服服務(wù)器服服務(wù)系統(tǒng)統(tǒng)的作用用完全失失效。其其主要原原因來(lái)自自黑客和和病毒的的攻擊以以及 HY

13、PERLINK /pc/ 計(jì)算算機(jī)硬件件的認(rèn)為為破壞。（7）系系統(tǒng)資源源失竊問(wèn)問(wèn)題在網(wǎng)絡(luò)系系統(tǒng)環(huán)境境中，系系統(tǒng)資源源失竊是是常見(jiàn)的的安全威威脅。（8）信信息的假假冒信息的假假冒是指指當(dāng)攻擊擊者掌握握了網(wǎng)絡(luò)絡(luò)信息數(shù)數(shù)據(jù) HYPERLINK / 規(guī)律律或解密密了商務(wù)務(wù)信息后后，可以以假冒合合法用戶戶或假冒冒信息來(lái)來(lái)欺騙其其它用戶戶。主要要表現(xiàn)形形式有假假冒客戶戶進(jìn)行非非法交易易，偽造造電子郵郵件等。（9）交交易的抵抵賴交易抵賴賴包括發(fā)發(fā)信者事事后否認(rèn)認(rèn)曾經(jīng)發(fā)發(fā)送過(guò)某某條信息息；買家家做了定定單后不不承認(rèn)；賣家賣賣出的商商品因價(jià)價(jià)格差而而不承認(rèn)認(rèn)原先的的交易等等。風(fēng)險(xiǎn)的管管理規(guī)則則針對(duì)電子子商務(wù)面面

14、臨的各各種安全全風(fēng)險(xiǎn)，電子商商務(wù)企業(yè)業(yè)不能被被動(dòng)、消消極地應(yīng)應(yīng)付，而而應(yīng)該主主動(dòng)采取取措施維維護(hù)電子子商務(wù)系系統(tǒng)的安安全，并并監(jiān)視新新的威脅脅和漏洞洞。因此此，這就就需要制制定完整整高效的的電子商商務(wù)安全全風(fēng)險(xiǎn)管管理規(guī)則則。一般來(lái)說(shuō)說(shuō)，風(fēng)險(xiǎn)險(xiǎn)管理規(guī)規(guī)則的制制定過(guò)程程有評(píng)估估、開(kāi)發(fā)發(fā)和實(shí)施施以及運(yùn)運(yùn)行三個(gè)個(gè)階段。（1）評(píng)評(píng)估階段段該階段的的主要任任務(wù)是對(duì)對(duì)電子商商務(wù)的安安全現(xiàn)狀狀、要保保護(hù)的信信息、各各種資產(chǎn)產(chǎn)等進(jìn)行行充分的的評(píng)估以以及一些些基本的的安全風(fēng)風(fēng)險(xiǎn)識(shí)別別和分析析。對(duì)電子商商務(wù)安全全現(xiàn)狀的的評(píng)估是是制定風(fēng)風(fēng)險(xiǎn)管理理規(guī)則的的基礎(chǔ)。對(duì)信息和和資產(chǎn)的的評(píng)估是是指對(duì)可可能遭受受損失的的相關(guān)信信

15、息和資資產(chǎn)進(jìn)行行價(jià)值的的評(píng)估，以便確確定相適適應(yīng)的風(fēng)風(fēng)險(xiǎn)管理理規(guī)則，從而避避免投入入成本和和要保護(hù)護(hù)的信息息和資產(chǎn)產(chǎn)的嚴(yán)重重不匹配配。安全風(fēng)險(xiǎn)險(xiǎn)識(shí)別要要求盡可可能地發(fā)發(fā)現(xiàn)潛在在的安全全風(fēng)險(xiǎn)，應(yīng)收集集有關(guān)各各種威脅脅、漏洞洞、開(kāi)發(fā)發(fā)和對(duì)策策的信息息。安全風(fēng)險(xiǎn)險(xiǎn)分析是是確定風(fēng)風(fēng)險(xiǎn)，收收集信息息，對(duì)可可能造成成的損失失進(jìn)行評(píng)評(píng)價(jià)以估估計(jì)風(fēng)險(xiǎn)險(xiǎn)的級(jí)別別，以便便做出明明智的決決策，從從而采取取措施來(lái)來(lái)規(guī)避安安全風(fēng)險(xiǎn)險(xiǎn)。（2）開(kāi)開(kāi)發(fā)和實(shí)實(shí)施階段段該階段的的任務(wù)包包括風(fēng)險(xiǎn)險(xiǎn)補(bǔ)救措措施開(kāi)發(fā)發(fā)、風(fēng)險(xiǎn)險(xiǎn)補(bǔ)救措措施測(cè)試試和風(fēng)險(xiǎn)險(xiǎn)知識(shí) HYPERLINK / 學(xué)學(xué)習(xí)。風(fēng)險(xiǎn)補(bǔ)補(bǔ)救措施施開(kāi)發(fā)利利用評(píng)估估階段的的成果來(lái)來(lái)建

16、立一一個(gè)新的的安全管管理策略略，其中中涉及配配置管理理、修補(bǔ)補(bǔ)程序管管理、系系統(tǒng)監(jiān)視視與審核核等等。在完成對(duì)對(duì)風(fēng)險(xiǎn)補(bǔ)補(bǔ)救措施施的開(kāi)發(fā)發(fā)后，即即進(jìn)行安安全風(fēng)險(xiǎn)險(xiǎn)補(bǔ)救措措施的測(cè)測(cè)試，在在測(cè)試過(guò)過(guò)程中，將按照照安全風(fēng)風(fēng)險(xiǎn)的控控制效果果來(lái)評(píng)估估對(duì)策的的有效性性。（3）運(yùn)運(yùn)行階段段運(yùn)行階段段的主要要任務(wù)包包括在新新的安全全風(fēng)險(xiǎn)管管理規(guī)則則下評(píng)估估新的安安全風(fēng)險(xiǎn)險(xiǎn)。這個(gè)個(gè)過(guò)程實(shí)實(shí)際上是是變更管管理的過(guò)過(guò)程，也也是執(zhí)行行安全配配置管理理的過(guò)程程。運(yùn)行階段段的第二二個(gè)任務(wù)務(wù)是對(duì)新新的或已已更改的的對(duì)策進(jìn)進(jìn)行穩(wěn)定定性測(cè)試試和部署署。這個(gè)個(gè)過(guò)程由由系統(tǒng)管管理、安安全管理理和網(wǎng)絡(luò)絡(luò)管理小小組來(lái)共共同實(shí)施施。以上風(fēng)險(xiǎn)

17、險(xiǎn)管理規(guī)規(guī)則的三三個(gè)階段段可以用用下圖來(lái)來(lái)表示：圖1 風(fēng)風(fēng)險(xiǎn)管理理規(guī)則的的三個(gè)階階段電子商務(wù)務(wù)的風(fēng)險(xiǎn)險(xiǎn)管理步步驟風(fēng)險(xiǎn)管理理是識(shí)別別風(fēng)險(xiǎn)、分析風(fēng)風(fēng)險(xiǎn)并制制定風(fēng)險(xiǎn)險(xiǎn)管理計(jì)計(jì)劃的過(guò)過(guò)程。電電子商務(wù)務(wù)安全風(fēng)風(fēng)險(xiǎn)的管管理和控控制方法法，它包包括風(fēng)險(xiǎn)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分分析、風(fēng)風(fēng)險(xiǎn)控制制以及風(fēng)風(fēng)險(xiǎn)監(jiān)控控等四個(gè)個(gè)方面。（1）風(fēng)風(fēng)險(xiǎn)識(shí)別別電子商務(wù)務(wù)系統(tǒng)的的安全要要求是通通過(guò)對(duì)風(fēng)風(fēng)險(xiǎn)的系系統(tǒng)評(píng)估估而確認(rèn)認(rèn)的。為為了有效效管理電電子商務(wù)務(wù)安全風(fēng)風(fēng)險(xiǎn)，識(shí)識(shí)別安全全風(fēng)險(xiǎn)是是風(fēng)險(xiǎn)管管理的第第一步。風(fēng)險(xiǎn)識(shí)別別是在收收集有關(guān)關(guān)各種威威脅、漏漏洞和相相關(guān)對(duì)策策等信息息的基礎(chǔ)礎(chǔ)上，識(shí)識(shí)別各種種可能對(duì)對(duì)電子商商務(wù)系統(tǒng)統(tǒng)造成潛潛在威脅脅

18、的安全全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)識(shí)別別的手段段五花八八門，對(duì)對(duì)于電子子商務(wù)系系統(tǒng)的安安全來(lái)說(shuō)說(shuō)，風(fēng)險(xiǎn)險(xiǎn)識(shí)別的的目標(biāo)是是主要是是對(duì)電子子商務(wù)系系統(tǒng)的網(wǎng)網(wǎng)絡(luò)環(huán)境境風(fēng)險(xiǎn)、數(shù)據(jù)存存在風(fēng)險(xiǎn)險(xiǎn)和網(wǎng)上上支付風(fēng)風(fēng)險(xiǎn)進(jìn)行行識(shí)別。需要注注意的是是，并非非所有的的電子商商務(wù)安全全風(fēng)險(xiǎn)都都可以通通過(guò)風(fēng)險(xiǎn)險(xiǎn)識(shí)別來(lái)來(lái)進(jìn)行管管理，風(fēng)風(fēng)險(xiǎn)識(shí)別別只能發(fā)發(fā)現(xiàn)已知知的風(fēng)險(xiǎn)險(xiǎn)或根據(jù)據(jù)已知風(fēng)風(fēng)險(xiǎn)較容容易獲知知的潛在在風(fēng)險(xiǎn)。而對(duì)于于大部分分的未知知風(fēng)險(xiǎn)，則依賴賴于風(fēng)險(xiǎn)險(xiǎn)分析和和控制來(lái)來(lái)加以解解決或降降低。（2）風(fēng)風(fēng)險(xiǎn)分析析風(fēng)險(xiǎn)分析析是運(yùn)用用分析、比較、評(píng)估等等各種定定性、定定量的方方法，確確定電子子商務(wù)安安全各風(fēng)風(fēng)險(xiǎn)要素素的重要要性，對(duì)對(duì)風(fēng)險(xiǎn)排排序并

19、評(píng)評(píng)估其對(duì)對(duì)電子商商務(wù)系統(tǒng)統(tǒng)各方面面的可能能后果，從而使使電子商商務(wù)系統(tǒng)統(tǒng)項(xiàng)目實(shí)實(shí)施人員員可以將將主要精精力放在在對(duì)付為為數(shù)不多多的重要要安全風(fēng)風(fēng)險(xiǎn)上，使電子子商務(wù)系系統(tǒng)的整整體風(fēng)險(xiǎn)險(xiǎn)得到有有效的控控制。風(fēng)風(fēng)險(xiǎn)分析析是一種種確定風(fēng)風(fēng)險(xiǎn)以及及對(duì)可能能造成的的損失進(jìn)進(jìn)行評(píng)估估的方法法，它是是制定安安全措施施的依據(jù)據(jù)。風(fēng)險(xiǎn)分析析的目標(biāo)標(biāo)是：確確定風(fēng)險(xiǎn)險(xiǎn)，對(duì)可可能造成成損壞的的潛在風(fēng)風(fēng)險(xiǎn)進(jìn)行行定性化化和定量量化，以以及最后后在 HYPERLINK /Economic/ 經(jīng)濟(jì)濟(jì)上尋求求風(fēng)險(xiǎn)損損失和對(duì)對(duì)風(fēng)險(xiǎn)投投入成本本的平衡衡。目前，風(fēng)風(fēng)險(xiǎn)分析析主要采采用的方方法有：風(fēng)險(xiǎn)概概率/ HYPERLINK /

20、影響評(píng)估估矩陣，敏感性性分析，模擬等等。在進(jìn)進(jìn)行電子子商務(wù)安安全風(fēng)險(xiǎn)險(xiǎn)分析時(shí)時(shí)，由于于各影響響因素量量化在現(xiàn)現(xiàn)實(shí)上的的困難，可根據(jù)據(jù)實(shí)際需需要，主主要采用用定性方方法為主主輔以少少量定量量方法相相結(jié)合來(lái)來(lái)進(jìn)行風(fēng)風(fēng)險(xiǎn)分析析，為制制定風(fēng)險(xiǎn)險(xiǎn)管理制制度和風(fēng)風(fēng)險(xiǎn)的控控制提供供 HYPERLINK / 理論上的的依據(jù)。（3）風(fēng)風(fēng)險(xiǎn)控制制風(fēng)險(xiǎn)控制制就是選選擇和運(yùn)運(yùn)用一定定的風(fēng)險(xiǎn)險(xiǎn)控制手手段，以以保障風(fēng)風(fēng)險(xiǎn)降到到一個(gè)可可以接受受的水平平。風(fēng)險(xiǎn)險(xiǎn)控制是是風(fēng)險(xiǎn)管管理中最最重要的的一個(gè)環(huán)環(huán)節(jié)，是是決定風(fēng)風(fēng)險(xiǎn)管理理成敗的的關(guān)鍵因因素。電電子商務(wù)務(wù)安全風(fēng)風(fēng)險(xiǎn)控制制的目標(biāo)標(biāo)在于改改變企業(yè)業(yè)電子商商務(wù)項(xiàng)目目所承受受的風(fēng)險(xiǎn)

21、險(xiǎn)程度。一般來(lái)來(lái)說(shuō)，風(fēng)風(fēng)險(xiǎn)控制制方法有有兩類：第一類是是風(fēng)險(xiǎn)控控制措施施，比如如降低、避免、轉(zhuǎn)移風(fēng)風(fēng)險(xiǎn)和損損失管理理等。在在電子商商務(wù)安全全風(fēng)險(xiǎn)管管理中，比較常常用的是是轉(zhuǎn)移風(fēng)風(fēng)險(xiǎn)和損損失管理理。第二類為為風(fēng)險(xiǎn)補(bǔ)補(bǔ)償?shù)幕I籌資措施施，包括括保險(xiǎn)與與自擔(dān)風(fēng)風(fēng)險(xiǎn)。在在電子商商務(wù)安全全風(fēng)險(xiǎn)管理中，管理人人員需要要對(duì)風(fēng)險(xiǎn)險(xiǎn)補(bǔ)償?shù)牡幕I資措措施進(jìn)行行決策，即選擇擇保險(xiǎn)還還是自擔(dān)擔(dān)風(fēng)險(xiǎn)。此外，風(fēng)風(fēng)險(xiǎn)控制制 HYPERLINK / 方法的選選擇應(yīng)當(dāng)當(dāng)充分考考慮相對(duì)對(duì)風(fēng)險(xiǎn)造造成損失失的成本本，當(dāng)然然其它方方面的 HYPERLINK / 影影響也是是不容忽忽視的，如 HYPERLINK /company/ 企業(yè)業(yè)商

22、譽(yù)等等。對(duì) HYPERLINK /dianzijixie/ 電子商商務(wù)安全全來(lái)說(shuō)，其有效效可行的的風(fēng)險(xiǎn)控控制方法法是：建建立完整整高效的的降低風(fēng)風(fēng)險(xiǎn)的安安全性解解決方案案，掌握握保障安安全性所所需的一一些基礎(chǔ)礎(chǔ)技術(shù)，并規(guī)劃劃好發(fā)生生特定安安全事故故時(shí)企業(yè)業(yè)應(yīng)該采采取的解解決方案案。風(fēng)險(xiǎn)管理理對(duì)策由于電子子商務(wù)安安全的重重要性，所以部部署一個(gè)個(gè)完整有有效的電電子商務(wù)務(wù)安全風(fēng)風(fēng)險(xiǎn)管理理對(duì)策顯顯得十分分迫切。制定電電子商務(wù)務(wù)安全風(fēng)風(fēng)險(xiǎn)管理理對(duì)策目目的在于于消除潛潛在的威威脅和安安全漏洞洞，從而而降低電電子商務(wù)務(wù)系統(tǒng)環(huán)環(huán)境所面面臨的風(fēng)風(fēng)險(xiǎn)。 HYPERLINK / 目前的電電子商務(wù)務(wù)安全風(fēng)風(fēng)險(xiǎn)管理理對(duì)

23、策中中，較為為常用的的是縱深深防御戰(zhàn)戰(zhàn)略，所所謂縱深深防御戰(zhàn)戰(zhàn)略，就就是深層層安全和和多層安安全。通通過(guò)部署署多層安安全保護(hù)護(hù)，可以以確保當(dāng)當(dāng)其中一一層遭到到破壞時(shí)時(shí)，其它它層仍能能提供保保護(hù)電子子商務(wù)系系統(tǒng)資源源所需的的安全。比如，一個(gè)單單位外部部的防火火墻遭到到破壞，由于內(nèi)內(nèi)部防火火墻的作作用，入入侵者也也無(wú)法獲獲取單位位的敏感感數(shù)據(jù)或或進(jìn)行破破壞。在在較為理理想的情情況下，每一層層均提供供不同的的對(duì)策以以免在不不同的層層中使用用相同的的攻擊方方法。下下圖為一一個(gè)有效效的縱深深防御策策略：圖2 有有效的縱縱深防御御策略下面就各各層的主主要防御御 HYPERLINK / 內(nèi)容從外外層到里里層

24、進(jìn)行行簡(jiǎn)要的的說(shuō)明：（1）物理理安全物理安全全是整個(gè)個(gè)電子商商務(wù)系統(tǒng)統(tǒng)安全的的前提。制定電電子商務(wù)務(wù)物理安安全策略略的目的的在于保保護(hù) HYPERLINK /pc/ 計(jì)算算機(jī)系統(tǒng)統(tǒng)、電子子商務(wù)服服務(wù)器等等各電子子商務(wù)系系統(tǒng)硬件件實(shí)體和和通信鏈鏈路免受受 HYPERLINK /lixue/ 自然災(zāi)害害和人為為破壞造造成的安安全風(fēng)險(xiǎn)險(xiǎn)。（2）周邊邊防御對(duì) HYPERLINK /network/ 網(wǎng)絡(luò)周周邊的保保護(hù)能夠夠起到抵抵御外界界攻擊的的作用。電子商商務(wù)系統(tǒng)統(tǒng)應(yīng)盡可可能安裝裝某種類類型的安安全設(shè)備備來(lái)保護(hù)護(hù)網(wǎng)絡(luò)的的每個(gè)訪訪問(wèn)節(jié)點(diǎn)點(diǎn)。在技技術(shù)上來(lái)來(lái)說(shuō)，防防火墻是是網(wǎng)絡(luò)周周邊防御御的最主主要的手手

25、段，電電子商務(wù)務(wù)系統(tǒng)應(yīng)應(yīng)當(dāng)安裝裝一道或或多道防防火墻，以確保保最大限限度地降降低外界界攻擊的的風(fēng)險(xiǎn)，并利用用入侵檢檢測(cè)功能能來(lái)及時(shí)時(shí)發(fā)現(xiàn)外外界的非非法訪問(wèn)問(wèn)和攻擊擊。（3）網(wǎng)絡(luò)絡(luò)防御網(wǎng)絡(luò)防御御是對(duì)網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)環(huán)境進(jìn)進(jìn)行評(píng)估估，采取取一定措措施來(lái)抵抵御黑客客的攻擊擊，以確確保它們們得到適適當(dāng)?shù)谋１Ｗo(hù)。就就目前來(lái)來(lái)說(shuō)，網(wǎng)網(wǎng)絡(luò)安全全防御行行為是一一種被動(dòng)動(dòng)式的反反應(yīng)行為為，而且且，防御御技術(shù)的的 HYPERLINK /fazhan/ 發(fā)展速度度也沒(méi)有有攻擊技技術(shù)發(fā)展展得那么么快。為為了提高高網(wǎng)絡(luò)安安全防御御能力，使網(wǎng)絡(luò)絡(luò)安全防防護(hù)系統(tǒng)統(tǒng)在攻擊擊與防護(hù)護(hù)的對(duì)抗抗中占據(jù)據(jù)主動(dòng)地地位，在在網(wǎng)絡(luò)安安全防護(hù)護(hù)

26、系統(tǒng)中中，除了了使用被被動(dòng)型安安全工具具（防火火墻、漏漏洞掃描描等）外外，也需需要采用用主動(dòng)型型安全防防護(hù)措施施（如：網(wǎng)絡(luò)陷陷阱、入入侵取證證、入侵侵檢測(cè)、自動(dòng)恢恢復(fù)等）。（4）主機(jī)機(jī)防御主機(jī)防御御是對(duì)系系統(tǒng)中的的每一臺(tái)臺(tái)主機(jī)進(jìn)進(jìn)行安全全評(píng)估，然后根根據(jù)評(píng)估估結(jié)果制制定相應(yīng)應(yīng)的對(duì)策策以限制制服務(wù)器器執(zhí)行的的任務(wù)。在主機(jī)機(jī)及其環(huán)環(huán)境中，安全保保護(hù)對(duì)象象包括用用戶 HYPERLINK 應(yīng)用用環(huán)境中中的服務(wù)務(wù)器、客客戶機(jī)以以及其上上安裝的的操作系系統(tǒng)和應(yīng)應(yīng)用系統(tǒng)統(tǒng)。這些些應(yīng)用能能夠提供供包括信信息訪問(wèn)問(wèn)、存儲(chǔ)儲(chǔ)、傳輸輸、錄入入等在內(nèi)內(nèi)的服務(wù)務(wù)。根據(jù)據(jù)信息保保障技術(shù)術(shù)框架，對(duì)主機(jī)機(jī)及其環(huán)環(huán)境的安安全保

27、護(hù)護(hù)首先是是為了建建立防止止有惡意意的內(nèi)部部人員攻攻擊的首首道防線線，其次次是為了了防止外外部人員員穿越系系統(tǒng)保護(hù)護(hù)邊界并并進(jìn)行攻攻擊的最最后防線線。（5）應(yīng)用用程序防防御作為一個(gè)個(gè)防御層層，應(yīng)用用程序的的加固是是任何一一種安全全模型中中都不可可缺少的的一部分分。加強(qiáng)強(qiáng)保護(hù)操操作系統(tǒng)統(tǒng)安全只只能提供供一定程程度的保保護(hù)。因因此，電電子商務(wù)務(wù)系統(tǒng)的的開(kāi)發(fā)人人員有責(zé)責(zé)任將安安全保護(hù)護(hù)融入到到應(yīng)用程程序中，以便對(duì)對(duì)體系結(jié)結(jié)構(gòu)中應(yīng)應(yīng)用程序序可訪問(wèn)問(wèn)到的區(qū)區(qū)域提供供專門的的保護(hù)。應(yīng)用程程序存在在于系統(tǒng)統(tǒng)的環(huán)境境中。（6）數(shù)據(jù)據(jù)防御對(duì)許多電電子商務(wù)務(wù)企業(yè)來(lái)來(lái)說(shuō)，數(shù)數(shù)據(jù)就是是企業(yè)的的資產(chǎn)，一旦落落入競(jìng)爭(zhēng)爭(zhēng)者

28、手中中或損壞壞將造成成不可挽挽回的損損失。因因此，加加強(qiáng)對(duì)電電子商務(wù)務(wù)交易及及相關(guān)數(shù)數(shù)據(jù)的防防護(hù)，對(duì)對(duì)電子商商務(wù)系統(tǒng)統(tǒng)的安全全和電子子商務(wù)項(xiàng)項(xiàng)目的正正常運(yùn)行行具有重重要的現(xiàn)現(xiàn)實(shí)意義義電子商商務(wù)技術(shù)術(shù)風(fēng)險(xiǎn)控控制針對(duì)電子子商務(wù)中中潛在的的各類技技術(shù)風(fēng)險(xiǎn)險(xiǎn)，筆者者提出利利用以下下技術(shù)手手段建立立一套完完整的風(fēng)風(fēng)險(xiǎn)控制制體系，將電子子商務(wù)的的風(fēng)險(xiǎn)減減少到最最小。1、網(wǎng)絡(luò)絡(luò)安全技技術(shù)網(wǎng)絡(luò)安全全是電子子商務(wù)安安全的基基礎(chǔ)，一一個(gè)完整整的電子子商務(wù)應(yīng)應(yīng)該建立立在安全全的網(wǎng)絡(luò)絡(luò)基礎(chǔ)之之上。網(wǎng)網(wǎng)絡(luò)安全全技術(shù)涉涉及面較較廣，主主要包括括操作系系統(tǒng)安全全、防火火墻技術(shù)術(shù)、虛擬擬專用網(wǎng)網(wǎng)技術(shù)（VPNN）、漏漏洞識(shí)別別

29、與檢測(cè)測(cè)技術(shù)。1.1 操作系系統(tǒng)安全全操作系統(tǒng)統(tǒng)的安全全機(jī)制主主要有：過(guò)濾保保護(hù)、安安全檢測(cè)測(cè)保護(hù)以以及隔離離保護(hù)。（1）過(guò)過(guò)濾保護(hù)護(hù)分析所所有針對(duì)對(duì)受保護(hù)護(hù)對(duì)象的的訪問(wèn)，過(guò)濾惡惡意攻擊擊以及可可能帶來(lái)來(lái)不安全全因素的的非法訪訪問(wèn)。（2）安安全檢測(cè)測(cè)保護(hù)對(duì)對(duì)所有用用戶的操操作進(jìn)行行分析，阻止那那些超越越權(quán)限的的用戶操操作以及及可能給給操作系系統(tǒng)帶來(lái)來(lái)不安全全因素的的用戶操操作。（3）離離保護(hù)在在支持多多進(jìn)程和和多線程程的操作作系統(tǒng)中中，必須須保證同同時(shí)運(yùn)行行的多個(gè)個(gè)進(jìn)程和和線程之之間是相相互隔離離的，即即各個(gè)進(jìn)進(jìn)程和線線程分別別調(diào)用不不同的系系統(tǒng)資源源，且每每一個(gè)進(jìn)進(jìn)程和線線程都無(wú)無(wú)法判斷斷是

30、否還還有其他他的進(jìn)程程或線程程在同時(shí)時(shí)運(yùn)行。一般的的隔離保保護(hù)措施施有以下下4種：物理隔隔離不同同的進(jìn)程程和線程程調(diào)用的的系統(tǒng)資資源在物物理上是是隔離的的；暫時(shí)隔隔離在特特殊需要要的時(shí)間間段內(nèi)，對(duì)某一一個(gè)或某某些進(jìn)程程或線程程實(shí)施隔隔離，該該時(shí)間段段結(jié)束后后解除隔隔離；軟件隔隔離在軟軟件層面面上對(duì)各各個(gè)進(jìn)程程的訪問(wèn)問(wèn)權(quán)限實(shí)實(shí)行控制制和限制制，以達(dá)達(dá)到隔離離的效果果；加密隔隔離采用用加密算算法對(duì)相相應(yīng)的對(duì)對(duì)象進(jìn)行行加密。1.2 防火墻墻技術(shù)防火墻是是將專用用網(wǎng)絡(luò)與與公共網(wǎng)網(wǎng)絡(luò)隔離離開(kāi)來(lái)的的網(wǎng)絡(luò)節(jié)節(jié)點(diǎn)，由由硬件和和軟件組組成，其其主要功功能是通通過(guò)建立立網(wǎng)絡(luò)通通信的過(guò)過(guò)濾機(jī)制制，控制制和鑒別別出入

31、站站點(diǎn)的各各種訪問(wèn)問(wèn)，進(jìn)而而有效地地提高交交易的安安全性。目前的的防火墻墻技術(shù)主主要包括括兩種類類型，第第一類是是包過(guò)濾濾技術(shù)，其運(yùn)作作方式是是監(jiān)視通通過(guò)它的的數(shù)據(jù)流流，根據(jù)據(jù)防火墻墻管理事事先制定定的系統(tǒng)統(tǒng)安全政政策，選選擇性地地決定是是否讓這這些數(shù)據(jù)據(jù)通行；第二類類是代理理網(wǎng)關(guān)技技術(shù)，其其運(yùn)作方方式是所所有要向向服務(wù)器器索取的的數(shù)據(jù)，都通過(guò)過(guò)代理服服務(wù)器來(lái)來(lái)索取。目前，防火墻墻技術(shù)的的最新發(fā)發(fā)展趨勢(shì)勢(shì)是分布布式和智智能化防防火墻技技術(shù)。分分布式防防火墻是是嵌入到到操作系系統(tǒng)內(nèi)核核中，對(duì)對(duì)所有的的信息流流進(jìn)行過(guò)過(guò)濾與限限制；智智能化防防火墻利利用了統(tǒng)統(tǒng)計(jì)、記記憶、概概率和決決策等智智能技術(shù)術(shù)

32、，對(duì)網(wǎng)網(wǎng)絡(luò)執(zhí)行行訪問(wèn)控控制。1.3 VPNN虛擬專用用網(wǎng)（VVPN）是依靠靠Intternnet服服務(wù)提供供商（IISP）和其他他網(wǎng)絡(luò)服服務(wù)提供供商（NNSP），在公公用網(wǎng)絡(luò)絡(luò)中建立立專用數(shù)數(shù)據(jù)通信信網(wǎng)絡(luò)的的技術(shù)。VPNN實(shí)現(xiàn)技技術(shù)主要要有：隧隧道技術(shù)術(shù)、虛電電路技術(shù)術(shù)和基于于MPLLS（Mullti-Prootoccol Labbel Swiitchhingg，多協(xié)協(xié)議標(biāo)簽簽交換協(xié)協(xié)議）技技術(shù)?；贛PPLS技技術(shù)的VVPN通通過(guò)改善善和加速速數(shù)據(jù)包包處理提提高VPPN效率率，集隧隧道技術(shù)術(shù)和路由由技術(shù)優(yōu)優(yōu)點(diǎn)于一一身，組組網(wǎng)具有有極好的的靈活性性和擴(kuò)展展性。用用戶只需需一條線線路接入入VP

33、NN網(wǎng)，便便可以實(shí)實(shí)現(xiàn)任何何節(jié)點(diǎn)之之間的直直接通信信。不過(guò)過(guò)基于MMPLSS技術(shù)的的VPNN技術(shù)本本身還有有一個(gè)成成熟的過(guò)過(guò)程，但但是它代代表了VVPN的的發(fā)展方方向。1.4 漏洞識(shí)識(shí)別與檢檢測(cè)系統(tǒng)統(tǒng)大部分管管理員采采用安全全漏洞掃掃描工具具對(duì)整個(gè)個(gè)系統(tǒng)進(jìn)進(jìn)行掃描描，了解解系統(tǒng)的的安全狀狀況，如如Miccrossoftt Baasellinee Seecurrityy Annalyyze.許多國(guó)國(guó)產(chǎn)殺毒毒軟件也也提供安安全測(cè)試試程序：將存在在的漏洞洞標(biāo)示出出來(lái)，并并提供相相應(yīng)的解解決方法法來(lái)指導(dǎo)導(dǎo)用戶進(jìn)進(jìn)行修補(bǔ)補(bǔ)。掃描描方式的的漏洞檢檢測(cè)工具具往往無(wú)無(wú)法得到到目標(biāo)系系統(tǒng)的準(zhǔn)準(zhǔn)確信息息，因此此無(wú)

34、法準(zhǔn)準(zhǔn)確判斷斷目標(biāo)系系統(tǒng)的安安全狀況況。模擬擬攻擊測(cè)測(cè)試是解解決這一一問(wèn)題的的有效方方法，可可以準(zhǔn)確確判斷目目標(biāo)系統(tǒng)統(tǒng)是否存存在測(cè)試試的漏洞洞。但是是由于漏漏洞的多多樣性和和復(fù)雜性性，現(xiàn)有有的模擬擬攻擊測(cè)測(cè)試系統(tǒng)統(tǒng)發(fā)展緩緩慢。2、數(shù)據(jù)據(jù)加密技技術(shù)在網(wǎng)絡(luò)中中，計(jì)算算機(jī)的數(shù)數(shù)據(jù)以數(shù)數(shù)據(jù)包的的形式傳傳輸。為為了防止止信息被被竊取，應(yīng)當(dāng)對(duì)對(duì)發(fā)送的的全部信信息進(jìn)行行加密。加密傳傳輸形式式是一種種將傳送送的內(nèi)容容變成一一些不規(guī)規(guī)則的數(shù)數(shù)據(jù)，只只有通過(guò)過(guò)正確的的密鑰才才可以恢恢復(fù)原文文的面貌貌。根據(jù)據(jù)密鑰的的特點(diǎn)，加密算算法分為為對(duì)稱密密鑰加密密算法（私鑰密密碼體制制）和非非對(duì)稱密密鑰加密密算法（公鑰密密碼

35、體制制）。目目前常用用的對(duì)稱稱密鑰加加密算法法有DEES（Datta EEncrrypttionn Sttanddardd）算法和和IDEEA（Intternnatiionaal DDataa Enncryyptiion Alggoriithmm）算法法。常用用的非對(duì)對(duì)稱密鑰鑰加密算算法有RRSA算算法和EEIGaamall算法。非對(duì)稱稱密鑰加加密算法法在實(shí)際際應(yīng)用中中包括以以下幾種種安全技技術(shù)方式式：數(shù)字字摘要技技術(shù)，即即單向哈哈希函數(shù)數(shù)技術(shù)、數(shù)字簽簽名技術(shù)術(shù)、數(shù)字字證書(shū)技技術(shù)等。非數(shù)學(xué)的的加密理理論與技技術(shù)近年年來(lái)也發(fā)發(fā)展非常常迅速，成為繼繼傳統(tǒng)加加密方式式后的一一種新的的選擇：（1）信信

36、息隱藏藏（Infformmatiion Hiddingg）即信息息偽裝，也稱數(shù)數(shù)據(jù)隱藏藏（Datta HHidiing）、數(shù)字字水?。―iggitaal WWateermaarkiing），是將將秘密信信息秘密密地隱藏藏于另一一非機(jī)密密文件之之中，利用數(shù)數(shù)字化聲聲像信號(hào)號(hào)對(duì)于人人們的視視覺(jué)、聽(tīng)聽(tīng)覺(jué)的冗冗余，進(jìn)行各各種時(shí)空空域和變變換域的的信息隱隱藏，從而實(shí)實(shí)現(xiàn)隱藏藏通信。主要以以灰度/彩色圖圖像、音音頻和視視頻信息息以及文文本作為為信息隱隱藏的載載體，代代表算法法有LSSB算法法和DCCT變換換域算法法。（2）量量子密碼碼（Quaantuum CCrypptoggrapphy）是以Heeise

37、enbeerg測(cè)測(cè)不準(zhǔn)原原理和EEPR（EinnsteeinRRoseen）效應(yīng)為為物理基基礎(chǔ)發(fā)展展起來(lái)的的一種密密碼技術(shù)術(shù)，真正實(shí)實(shí)現(xiàn)一次次一密碼碼，構(gòu)成理理論上不不可破譯譯的密碼碼體制。量子密密碼的研研究進(jìn)展展順利，雖然還還有很多多問(wèn)題需需要解決決，但某某些方面面尤其是是子密鑰鑰分發(fā)已已經(jīng)逐步步趨于實(shí)實(shí)用。3、身份份認(rèn)證技技術(shù)網(wǎng)絡(luò)的虛虛擬性使使得要保保證每個(gè)個(gè)參與者者都能被被無(wú)誤地地識(shí)別，就必須須使用身身份認(rèn)證證技術(shù)。在計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)中，現(xiàn)現(xiàn)有的用用戶身份份認(rèn)證技技術(shù)基本本上可以以分為33類：（1）基基于口令令的認(rèn)證證方式基于口令令的認(rèn)證證方式是是最基本本的認(rèn)證證方式，但是存存在嚴(yán)重重安全

38、隱隱患。安安全性完完全依賴賴于口令令，一旦旦口令泄泄漏，用用戶即被被冒充；而且用用戶選擇擇的口令令比較簡(jiǎn)簡(jiǎn)單，容容易被猜猜測(cè)。（2）基基于安全全物品的的認(rèn)證方方式主要有電電子簽名名和認(rèn)證證卡兩種種方式。電子簽簽名是電電子形式式的數(shù)據(jù)據(jù)，是與與數(shù)據(jù)電電文（電電子文件件、電子子信息）相聯(lián)系系的用于于識(shí)別簽簽名人的的身份和和表明簽簽名人認(rèn)認(rèn)可該數(shù)數(shù)據(jù)電文文內(nèi)容的的數(shù)據(jù)。目前廣廣泛應(yīng)用用于電子子商務(wù)實(shí)實(shí)踐的電電子簽名名即數(shù)字字簽名，是通過(guò)過(guò)向第三三方的簽簽名認(rèn)證證機(jī)構(gòu)提提出申請(qǐng)請(qǐng)，由機(jī)機(jī)構(gòu)進(jìn)行行審查，頒發(fā)數(shù)數(shù)字證書(shū)書(shū)來(lái)取得得自己的的數(shù)字簽簽名。用用戶在發(fā)發(fā)送信息息時(shí)使用用自己的的私有密密鑰對(duì)信信息進(jìn)行

39、行數(shù)字簽簽名，再再使用接接受方的的公共密密鑰將信信息進(jìn)行行加密傳傳輸，接接收方使使用自己己的私有有密鑰解解密信息息，同時(shí)時(shí)使用發(fā)發(fā)送方的的公開(kāi)簽簽名密鑰鑰核實(shí)信信息的數(shù)數(shù)字簽名名。智能能卡認(rèn)證證方式具具有硬件件加密功功能，因因而具有有較高的的安全性性。進(jìn)行行認(rèn)證時(shí)時(shí)，用戶戶輸入個(gè)個(gè)人身份份識(shí)別碼碼（PIIN），智能卡卡認(rèn)證PPIN成成功后，即可讀讀出卡中中的秘密密信息，與驗(yàn)證證服務(wù)器器之間進(jìn)進(jìn)行認(rèn)證證。（3）基基于生物物特征的的認(rèn)證方方式以人體唯唯一的、可靠的的、穩(wěn)定定的生物物特征（如指紋紋、虹膜膜、人臉臉、掌紋紋、耳郭郭、聲音音）為依依據(jù)，利利用圖像像處理與與模式識(shí)識(shí)別技術(shù)術(shù)進(jìn)行認(rèn)認(rèn)證?；?/p>

40、于密碼碼的認(rèn)證證技術(shù)存存在密碼碼難以記記憶，容容易被黑黑客破譯譯的缺點(diǎn)點(diǎn)。而基基于生物物特征的的認(rèn)證方方式具有有很好的的安全性性、可靠靠性和有有效性，正逐漸漸成為一一種新的的身份認(rèn)認(rèn)證方式式，特別別是近幾幾年來(lái)，全球生生物識(shí)別別技術(shù)的的飛速發(fā)發(fā)展為生生物認(rèn)證證提供了了廣泛的的技術(shù)支支持。其其中，基基于人臉臉識(shí)別的的認(rèn)證技技術(shù)已經(jīng)經(jīng)成為當(dāng)當(dāng)前的研研究熱點(diǎn)點(diǎn)，主要要方法有有基于幾幾何特征征的人臉臉識(shí)別方方法與基基于統(tǒng)計(jì)計(jì)的人臉臉識(shí)別方方法，并并且已有有產(chǎn)品投投入網(wǎng)絡(luò)絡(luò)安全領(lǐng)領(lǐng)域，如如Truue FFacee Cyyberr Waatchh.4、數(shù)據(jù)據(jù)庫(kù)安全全機(jī)制數(shù)據(jù)庫(kù)安安全最重重要的一一點(diǎn)就是是確

41、保只只授權(quán)給給有資格格的用戶戶訪問(wèn)數(shù)數(shù)據(jù)庫(kù)的的權(quán)限，同時(shí)令令所有未未被授權(quán)權(quán)的人員員無(wú)法接接近數(shù)據(jù)據(jù)，這主主要通過(guò)過(guò)數(shù)據(jù)庫(kù)庫(kù)系統(tǒng)的的存取控控制機(jī)制制實(shí)現(xiàn)。存取控控制機(jī)制制主要包包括兩部部分：（1）定定義用戶戶權(quán)限，并將用用戶權(quán)限限登記到到數(shù)據(jù)字字典中。（2）合合法權(quán)限限檢查，每當(dāng)用用戶發(fā)出出存取數(shù)數(shù)據(jù)庫(kù)的的操作請(qǐng)請(qǐng)求后，DBMMS查找找數(shù)據(jù)字字典，根根據(jù)安全全規(guī)則進(jìn)進(jìn)行合法法權(quán)限檢檢查。若若用戶的的操作請(qǐng)請(qǐng)求超出出了定義義的權(quán)限限，系統(tǒng)統(tǒng)將拒絕絕執(zhí)行此此操作。一旦數(shù)據(jù)據(jù)遭到破破壞，就就必須采采取補(bǔ)救救措施。建立嚴(yán)嚴(yán)格的數(shù)數(shù)據(jù)備份份與恢復(fù)復(fù)管理機(jī)機(jī)制是保保障數(shù)據(jù)據(jù)庫(kù)系統(tǒng)統(tǒng)安全的的有效手手段。數(shù)數(shù)

42、據(jù)備份份可以分分為2個(gè)層次次：硬件件級(jí)和軟軟件級(jí)。硬件級(jí)級(jí)的備份份是指用用冗余的的硬件來(lái)來(lái)保證系系統(tǒng)的連連續(xù)運(yùn)行行。軟件件級(jí)的備備份指的的是將系系統(tǒng)數(shù)據(jù)據(jù)保存到到其他介介質(zhì)上，當(dāng)出現(xiàn)現(xiàn)錯(cuò)誤時(shí)時(shí)可以將將系統(tǒng)恢恢復(fù)到備備份時(shí)的的狀態(tài)，這種方方法可以以完全防防止邏輯輯損壞。5、第三三方認(rèn)證證CA與采用其其他交易易方式相相比，采采用電子子商務(wù)交交易模式式的各方方還有更更多的風(fēng)風(fēng)險(xiǎn)，這這些在電電子商務(wù)務(wù)中所特特有的風(fēng)風(fēng)險(xiǎn)有：賣方在在網(wǎng)站上上對(duì)產(chǎn)品品進(jìn)行不不實(shí)宣傳傳，欺詐詐行為的的風(fēng)險(xiǎn)；買方發(fā)發(fā)出惡意意訂單的的風(fēng)險(xiǎn)；交易一一方對(duì)電電子合同同否認(rèn)的的風(fēng)險(xiǎn)；交易信信息傳送送風(fēng)險(xiǎn)，如信息息被竊、被修改改等風(fēng)險(xiǎn)險(xiǎn)

43、。這些些風(fēng)險(xiǎn)的的存在，需要設(shè)設(shè)立第三三方認(rèn)證證技術(shù)中中心，為為在網(wǎng)上上交易各各方交易易資料的的傳遞進(jìn)進(jìn)行加密密、驗(yàn)證證和對(duì)交交易過(guò)程程進(jìn)行監(jiān)監(jiān)察。CCA認(rèn)證證技術(shù)中中心是一一個(gè)確保保信任的的權(quán)威實(shí)實(shí)體，它它的主要要職責(zé)是是頒發(fā)證證書(shū)，驗(yàn)驗(yàn)證用戶戶身份的的真實(shí)性性。任何何相信CCA的人人，按照照第三方方信任原原則，也也都應(yīng)該該相信持持有證明明的用戶戶。CAA發(fā)放的的證書(shū)有有SSLL和SETT兩種。SSLL （Seccuree Soockeets Layyer）安全協(xié)議議又叫“安全套套接層協(xié)協(xié)議”，主要要用于提提高應(yīng)用用程序之之間數(shù)據(jù)據(jù)的安全全系數(shù)，一般服服務(wù)于銀銀行對(duì)企企業(yè)或企企業(yè)對(duì)企企業(yè)的電電

44、子商務(wù)務(wù)。SEET協(xié)議議（Seecurre EElecctroonicc Trranssacttionn）位于應(yīng)用用層，用用來(lái)保證證互聯(lián)網(wǎng)網(wǎng)上銀行行卡支付付交易安安全性，一般服服務(wù)于持持卡消費(fèi)費(fèi)、網(wǎng)上上購(gòu)物等等。結(jié)論電子商務(wù)務(wù)的開(kāi)展展以信息息技術(shù)為為基礎(chǔ)，如何解解決電子子商務(wù)中中存在的的安全問(wèn)問(wèn)題已成成為一個(gè)個(gè)迫在眉眉睫的課課題。電電子商務(wù)務(wù)風(fēng)險(xiǎn)是是不可能能完全消消除的，因?yàn)樗桥c電電子商務(wù)務(wù)共生的的，是電電子商務(wù)務(wù)的必然然產(chǎn)物，但是，可以將將風(fēng)險(xiǎn)限限制在影影響最小小的范圍圍之內(nèi)。只有了了解風(fēng)險(xiǎn)險(xiǎn)，才能能規(guī)避風(fēng)風(fēng)險(xiǎn)。本本文從安安全風(fēng)險(xiǎn)險(xiǎn)管理的的角度出出發(fā)，分分析了電電子商務(wù)務(wù)中可能能存在的的技術(shù)風(fēng)風(fēng)險(xiǎn)，論論述了這這些風(fēng)險(xiǎn)險(xiǎn)的控制制策略，希望對(duì)對(duì)企業(yè)開(kāi)開(kāi)展電子子商務(wù)活活動(dòng)起到到一定的的積極作作用。一般來(lái)說(shuō)說(shuō)，風(fēng)險(xiǎn)險(xiǎn)管理有有基本的的三個(gè)對(duì)對(duì)策，包包括管理理者采取取適當(dāng)措措施來(lái)降降低風(fēng)險(xiǎn)險(xiǎn)事故發(fā)發(fā)生的概概率；管管理者準(zhǔn)準(zhǔn)備并實(shí)實(shí)施一個(gè)個(gè)意外事