(精品)我國電子商務(wù)的發(fā)展安全及信用問題的研究終稿(2013年優(yōu)秀畢業(yè)設(shè)計)

學(xué) 院 畢畢 業(yè)業(yè) 論論 文文 我國電子商務(wù)的發(fā)展安全及信用問題的研究 姓 名： 所在學(xué)院： 信息科技學(xué)院 所學(xué)專業(yè)： 信息管理與信息系統(tǒng) 班 級 學(xué) 號 指導(dǎo)教師： 完成時間： 畢業(yè)論文（設(shè)計）任務(wù)書畢業(yè)論文（設(shè)計）任務(wù)書 論文題目我國電子商務(wù)的發(fā)展安全及信用問題的研究 院部信息科技學(xué)院專業(yè)信息管理與信息系統(tǒng)班級 畢業(yè)論文（設(shè)計）的要求 1、選題應(yīng)符合本專業(yè)培養(yǎng)目標(biāo)的要求，具有理論意義和實(shí)際價值。 2、正文內(nèi)容文題應(yīng)相符，結(jié)構(gòu)合理，層次分明，合乎邏輯，概念準(zhǔn)確，語言流暢，論點(diǎn)鮮明,論 據(jù)充分，書寫格式規(guī)范，符合煙臺南山學(xué)院畢業(yè)設(shè)計管理條例的要求。 3、論文應(yīng)當(dāng)反映出學(xué)生查閱文獻(xiàn)、獲取信息的能力，綜合運(yùn)用所學(xué)知識分析問題與解決問題 的能力，研究方案的設(shè)計能力，研究方法和手段的運(yùn)用能力，外語和計算機(jī)的應(yīng)用能力及團(tuán) 結(jié)協(xié)作能力。 畢業(yè)論文（設(shè)計）的內(nèi)容與技術(shù)參數(shù) 對電子商務(wù)的發(fā)展安全和信用問題進(jìn)行了討論，主要研究了電子商務(wù)的安全框架體系結(jié) 構(gòu)，談討了加密技術(shù)層、安全認(rèn)證層和交易協(xié)議層，分析了企業(yè)電子商務(wù)發(fā)展安全問題，并 分別討論了企業(yè)電子商務(wù)安全的技術(shù)分析和管理分析，最后運(yùn)用對策論對中小電子商務(wù)企 業(yè)信用形成的外在作用機(jī)理進(jìn)行了探討。 畢業(yè)論文（設(shè)計）工作計劃 1、2009 年 9 月 13 日確定選題方向； 2、2009 年 9 月 20 日前提交開題報告； 3、2009 年 9 月 30 日前確定課題； 4、2009 年 10 月至 2010 年 1 月完成論文資料收集或系統(tǒng)設(shè)計； 5、2010 年 3 月 14 日前提交論文初稿（交指導(dǎo)教師）； 6、2010 年 3 月 31 日前提交第二稿（交指導(dǎo)教師）； 7、2010 年 4 月 15 日前定稿，審核答辯資格； 8、2010 年 5 月 1 日前后畢業(yè)答辯。 接受任務(wù)日期 年 月 日 要求完成日期 年 月 日 學(xué) 生 (簽名) 年 月 日 指 導(dǎo) 教 師 (簽名) 年 月 日 院 長 (主 任 ) (簽名) 年 月 日 摘 要 人類已進(jìn)入信息社會，而電子商務(wù)是信息社會的核心內(nèi)容和重要基礎(chǔ)之一，直接 影響著社會、政治、經(jīng)濟(jì)、文化等各個領(lǐng)域信息化的發(fā)展。電子商務(wù)并未帶來預(yù)期的 利潤，主要原因之一是電子商務(wù)目前尚存在著一些安全及信用問題，影響了在線交易 的規(guī)模和效益，阻礙了電子商務(wù)的進(jìn)一步發(fā)展。電子商務(wù)系統(tǒng)的關(guān)鍵是保證交易數(shù)據(jù) 和交易過程的安全，Internet 本身的開放性使電子商務(wù)系統(tǒng)面臨各種各樣的安全威脅。 企業(yè)有效開展電子商務(wù)活動中，關(guān)鍵是要保證企業(yè)電子商務(wù)系統(tǒng)的安全性，也就是要 保證基于 Internet 的企業(yè)電子商務(wù)環(huán)境的安全和企業(yè)電子商務(wù)交易過程的安全。如何確 保企業(yè)電子商務(wù)環(huán)境的安全和企業(yè)電子商務(wù)交易過程的安全，為客戶在網(wǎng)上從事商務(wù) 活動提供信心保證，是決定企業(yè)電子商務(wù)系統(tǒng)成敗的關(guān)鍵，是企業(yè)電子商務(wù)健康全面 發(fā)展的保障。本文從電子商務(wù)企業(yè)安全在技術(shù)方面和管理方面分別進(jìn)行了全面的分析。 本文最后從運(yùn)籌學(xué)角度，運(yùn)用對策論對中小電子商務(wù)企業(yè)信用形成的外在作用機(jī)理進(jìn) 行探討，其基本內(nèi)容是分析中小電子商務(wù)企業(yè)交易中處于不同交易部位的交易者和管 理者等主體間作用和影響及其由此而形成虛擬市場信用的機(jī)理。 關(guān)鍵詞：電子商務(wù)；安全；信用問題關(guān)鍵詞：電子商務(wù)；安全；信用問題 ABSTRACT Mankind has entered the information society. The e-commerce is the core content and important foundation of the information society. It has a direct impact on the social, political, economic, cultural and other fields of information technology development. E-commerce does not bring the expected profits, one of the major reasons is that e-commerce is currently surviving on a number of security and credit problems which have affected the size and effectiveness of online transactions, hindering the further development of e-commerce. The key of the e-commerce systems is to ensure that the security of the data and the process of transaction is safe, Internet itself is open, which make e-commerce systems faced with a variety of security threats. Enterprises can effectively conduct e-commerce activities, the key is to ensure the security of enterprise e-commerce system, that is, Internet-based businesses must ensure the security of e-business environment and business e-commerce transaction security. How to ensure the safety of enterprise e-business environment and the security of enterprise e-commerce transactions, to provide assurance for clients in business activities on the Internet, is the key to determine the success or failure of enterprise e-business system. From the point of view in the operational research, this paper mainly use the game theory to explore the mechanism of the external of the formation of small and medium e-commerce business credit, the basic element is to analyze small and medium e-business transactions in different parts of the trading transactions and the role of managers and their formation of a virtual market credit mechanism. It discusses the establishment of small and medium e- commerce business credit conditions, and provides theoretical guidance to the optimal decision for each game parties. Keywords: E-commerce；safety；credit 目目 錄錄 前前 言言 1 1 緒論緒論 .2 1.1 研究目標(biāo) 2 1.2 研究內(nèi)容 2 1.3 論文結(jié)構(gòu) 3 2 電子商務(wù)及相關(guān)理論綜述電子商務(wù)及相關(guān)理論綜述 .4 2.1 什么是電子商務(wù) 4 2.1.1 電子商務(wù)的概念.4 2.1.2 電子商務(wù)的內(nèi)容與目標(biāo).4 2.2 我國電子商務(wù)的現(xiàn)狀及發(fā)展趨勢 4 2.3 我國電子商務(wù)所面臨的安全問題及發(fā)展趨勢 6 2.4 電子商務(wù)中的信用問題 6 3 電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu)電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu) .8 3. 1 電子商務(wù)安全框架體系8 3. 2 加密技術(shù)層8 3.2.1 對稱密鑰加密(Private Key)8 3.2.2 非對稱密鑰加密(Public Key) 9 3.2.3 兩類加密方法比較.9 3. 3 安全認(rèn)證層9 3. 4 交易協(xié)議層.11 3.4.1 安全套接字層協(xié)議(Secure Socket Layer, SSL) .11 3.4.2 安全電子交易協(xié)議(Secure Electronic Transaction, SET)11 4 企業(yè)電子商務(wù)發(fā)展安全問題分析企業(yè)電子商務(wù)發(fā)展安全問題分析 12 4.1 企業(yè)電子商務(wù)安全技術(shù)分析 .12 4.1.1 鑒別和認(rèn)證安全12 4.1.2 訪問控制安全12 4.1.3 審計和響應(yīng)安全13 4.1.4 冗余和恢復(fù)安全14 4.1.5 內(nèi)容安全14 4.2 企業(yè)電子商務(wù)安全管理分析 .15 4.2.1 信息安全管理概述15 4.2.2 電子支付信息安全管理體系要求16 4.2.3 電子支付信息安全管理體系建設(shè)16 5 從運(yùn)籌學(xué)角度分析中小電子商務(wù)企業(yè)信用問題從運(yùn)籌學(xué)角度分析中小電子商務(wù)企業(yè)信用問題 18 5.1 電子商務(wù)信用問題的重要性 .18 5.2 從對策論看電子商務(wù)信用問題 .19 5.3 中小電子商務(wù)企業(yè)信用形成 .20 5.3.1 電子商務(wù)買賣方之間的完全信息靜態(tài)博弈20 5.3.2 電子商務(wù)買賣方之間的完全信息動態(tài)博弈22 5.3.3 電子商務(wù)信用問題政策建議23 結(jié)結(jié) 論論 .25 致致 謝謝 .26 參考文獻(xiàn)參考文獻(xiàn) .27 前 言 1 前前 言言 隨著信息技術(shù)日新月異的發(fā)展，人類正在進(jìn)入以網(wǎng)絡(luò)為主的信息時代，Internet 的 高速發(fā)展不僅方便了人們的通信和交流，同時帶來了商業(yè)和經(jīng)濟(jì)模式的變革。更多的 企業(yè)、個人及其他各種組織，甚至包括政府都在積極地推動電子商務(wù)的發(fā)展，越來越 多的人投入到電子商務(wù)中去。電子商務(wù)是互聯(lián)網(wǎng)應(yīng)用發(fā)展的必然趨勢，也是國際金融 貿(mào)易中越來越重要的經(jīng)營模式，以后它還會逐漸地成為我們經(jīng)濟(jì)生活中一個重要部分。 安全和信用問題是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。 越來越多的中國企業(yè)積極開展國際電子商務(wù)，并取得一定成效。一些企業(yè)在電子 商務(wù)應(yīng)用方面進(jìn)行了積極有效的探索。廣大企業(yè)充分認(rèn)識到開展電子商務(wù)對改造傳統(tǒng) 產(chǎn)業(yè)的重要性和緊迫性，通過信息化建設(shè)和開展電子商務(wù)應(yīng)用，能夠有效拓展業(yè)務(wù)， 提高企業(yè)適應(yīng)市場變化和參與市場競爭的能力。與此同時，一些地區(qū)的中小型企業(yè)也 逐步成為電子商務(wù)的積極實(shí)踐者。安全問題是我國的商務(wù)發(fā)展中的一個重要制約因素。 電子商務(wù)的安全總是表現(xiàn)為信息安全、交易安全和財產(chǎn)安全三個方面。其來源有四個層面: 硬件層面、軟件層面、應(yīng)用層面和環(huán)境層面。應(yīng)采取多種措施應(yīng)對安全挑戰(zhàn)，促進(jìn)我國電 子商務(wù)的進(jìn)一步發(fā)展。電子商務(wù)在近幾年才得到了迅猛發(fā)展，各地都缺乏足夠的技術(shù)人才 來處理所遇到的各種問題，許多企業(yè)技術(shù)人員的技術(shù)水平較低，不能完全勝任所承擔(dān)的工 作。同時企業(yè)對電子商務(wù)的管理也處于一個摸索的階段,管理的水平不高,效率底下。這些 都給電子商務(wù)帶來很大的安全隱患。從總體上，講廣大消費(fèi)者對于電子商務(wù)這個新生事物 還比較陌生，缺乏相應(yīng)的知識，還不能十分熟練的應(yīng)用這一新的交易手段，造成各種人為 的安全威脅。 誠信是市場經(jīng)濟(jì)的基礎(chǔ)，是市場順利運(yùn)行的前提條件。由于電子商務(wù)本身具有虛擬性 和流動性，交易雙方不直接見面，在身份的判別確認(rèn)、違約責(zé)任的追究等方面都存有很大 困難，其格式和媒體可以分離，參與電子商務(wù)的主體的誠信問題使得電子商務(wù)信息的真實(shí) 性與安全性難以保障。電子商務(wù)與傳統(tǒng)的交易相比對信用的要求更高，要發(fā)展電子商務(wù)必 須先加強(qiáng)信用建設(shè)。社會信用體系的建設(shè)問題，最終將會成為中國電子商務(wù)發(fā)展的瓶頸。 目前，我國電子商務(wù)信用環(huán)境與西方發(fā)達(dá)國家相比，差距還很大，我國經(jīng)濟(jì)是由計劃經(jīng)濟(jì) 脫胎而來的，社會信用經(jīng)濟(jì)發(fā)育較晚，市場信用交易不發(fā)達(dá)，社會普遍缺乏現(xiàn)代市場經(jīng)濟(jì) 條件下的信用意識和信用道德規(guī)范。信用保障體系還未完全建立，社會信用缺失反過來影 響到電子商務(wù)活動中；在建立電子商務(wù)信用保障體系中，還存在著許多制約因素。因此， 信用風(fēng)險遠(yuǎn)較傳統(tǒng)業(yè)務(wù)中發(fā)生的概率大。 隨著經(jīng)濟(jì)的發(fā)展和社會的進(jìn)步，電子商務(wù)必將成為商務(wù)活動的發(fā)展趨勢，電子商 務(wù)的發(fā)展安全及信用問題成為了制約電子商務(wù)進(jìn)一步發(fā)展的瓶頸問題，因此對電子商 務(wù)的發(fā)展安全及信用問題的研究顯得尤為重要。 1 緒論 2 1 緒論緒論 1.1 研究目標(biāo) 在我國，電子商務(wù)技術(shù)還比較落后，通過對我國電子商務(wù)的發(fā)展安全及信用問題 的研究，提出改善我國電子商務(wù)安全性的方法，促進(jìn)我國電子商務(wù)在安全方面的發(fā)展， 使網(wǎng)上交易更可信，使更多的消費(fèi)者信任電子商務(wù)。 本文將結(jié)合我國電子商務(wù)發(fā)展的實(shí)際情況，參考我國電子商務(wù)的發(fā)展安全和信用 問題的研究成果與實(shí)踐經(jīng)驗，對電子商務(wù)的發(fā)展安全和信用問題進(jìn)行較系統(tǒng)的研究。 研究將采用定性與定量相結(jié)合的方式，注重實(shí)證研究，以得到有價值的研究成果，提 出改進(jìn)電子商務(wù)安全性和可信度的具體策略，保障電子商務(wù)交易的順利進(jìn)行，促進(jìn)我 國電子商務(wù)的發(fā)展。 1.2 研究內(nèi)容 本文對電子商務(wù)的發(fā)展安全及信用問題進(jìn)行研究，在重點(diǎn)研究電子商務(wù)安全及信用 問題的基礎(chǔ)上，針對與電子商務(wù)應(yīng)用相關(guān)的基本安全問題及信用問題進(jìn)行了探討。本 文分析了電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu)，電子商務(wù)系統(tǒng)的關(guān)鍵是保證交易數(shù)據(jù)和 交易過程的安全，Internet 本身的開放性使電子商務(wù)系統(tǒng)面臨各種各樣的安全威脅。要 解決安全問題，要求電子商務(wù)系統(tǒng)具備:防止交易信息被非法截獲或讀取的保密性、防 止交易過程被跟蹤的匿名性、防止交易信息丟失并保證信息傳遞次序統(tǒng)一的完整性、 防止假冒身份在網(wǎng)上交易和詐騙的可靠性,防止交易各方對己做交易抵賴的抗否認(rèn)性以 及原子性等安全要求。站在系統(tǒng)的角度，本文根據(jù)電子商務(wù)信息安全性要求，對電子 商務(wù)的安全問題進(jìn)行了層次分析，提出了電子商務(wù)安全框架體系結(jié)構(gòu)。本文同時對企 業(yè)電子商務(wù)發(fā)展安全問題進(jìn)行了分析，企業(yè)有效開展電子商務(wù)活動中，關(guān)鍵是要保證 企業(yè)電子商務(wù)系統(tǒng)的安全性，也就是要保證基于 Internet 的企業(yè)電子商務(wù)環(huán)境的安全和 企業(yè)電子商務(wù)交易過程的安全。如何確保企業(yè)電子商務(wù)環(huán)境的安全和企業(yè)電子商務(wù)交 易過程的安全，為客戶在網(wǎng)上從事商務(wù)活動提供信心保證，是決定企業(yè)電子商務(wù)系統(tǒng) 成敗的關(guān)鍵，是企業(yè)電子商務(wù)健康全面發(fā)展的保障。最后本文從運(yùn)籌學(xué)角度分析了中 小電子商務(wù)企業(yè)信用問題，在分析電子商務(wù)信用問題的基礎(chǔ)上，主要針對中小電子商 務(wù)企業(yè)中信用形成的機(jī)理進(jìn)行分析，試圖從運(yùn)籌學(xué)角度，主要運(yùn)用對策論對中小電子 商務(wù)企業(yè)信用形成的外在作用機(jī)理進(jìn)行探討，其基本內(nèi)容是分析中小電子商務(wù)企業(yè)交 易中買賣雙方之間作用和影響及其由此而形成虛擬市場信用的機(jī)理。 煙臺南山學(xué)院畢業(yè)論文 3 1.3 論文結(jié)構(gòu) 本文共分為四大部分： 第一部分為引言，包括第一章緒論，介紹總體研究背景、研究思路。第二章電子 商務(wù)及相關(guān)理論綜述，介紹了電子商務(wù)安全及信用問題的基礎(chǔ)理論，主要包括: 什么 是電子商務(wù)，我國電子商務(wù)的現(xiàn)狀及發(fā)展趨勢，我國電子商務(wù)所面臨的安全問題及發(fā) 展趨勢，電子商務(wù)中的信用問題；第二部分分析了電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu)， 研究了加密技術(shù)層，安全認(rèn)證層，交易協(xié)議層；第三部分分析了企業(yè)電子商務(wù)發(fā)展安 全問題，從企業(yè)電子商務(wù)安全技術(shù)和企業(yè)電子商務(wù)安全管理兩個角度進(jìn)行了分析；第 四部分從運(yùn)籌學(xué)角度分析了中小電子商務(wù)企業(yè)信用問題。 2 電子商務(wù)及相關(guān)理論綜述 4 2 電子商務(wù)及相關(guān)理論綜述電子商務(wù)及相關(guān)理論綜述 2.1 什么是電子商務(wù) 2.1.1 電子商務(wù)的概念 電了商務(wù)是通過電子手段進(jìn)行商業(yè)活動。電了商務(wù)的英文表示有兩種， EC(Electronic Commerce)和 EB (Electronic Business)。日前還沒有一個統(tǒng)一的較為權(quán)威 的電子商務(wù)定義。全球信息基礎(chǔ)設(shè)施委員會對電子商務(wù)的定義是:電子商務(wù)是運(yùn)用電子 通信手段的經(jīng)濟(jì)活動，通過這種方式人們可以對帶有經(jīng)濟(jì)價值的產(chǎn)品和服務(wù)進(jìn)行宣傳、 購買和結(jié)算。聯(lián)合國國際貿(mào)易委員會對電子商務(wù)的定義是: 電子商務(wù)是采用電子數(shù)據(jù) 交換和其他通訊方式增進(jìn)國際貿(mào)易的職能。 簡單的說，電子商務(wù)是指實(shí)現(xiàn)從售前服務(wù)到售后支持的整個商務(wù)或貿(mào)易活動環(huán)節(jié) 的電子化、自動化。對于企業(yè)來說，電子商務(wù)是利用以 Internet 為核心的信息技術(shù)，進(jìn) 行商務(wù)活動和企業(yè)資源管理，它的核心是高效地管理企業(yè)的所有信息，幫助企業(yè)創(chuàng)建 一條暢通于客戶、企業(yè)內(nèi)部和供應(yīng)商之間的信息流，并通過高效率的管理、增值和應(yīng) 用，把客戶、企業(yè)、供應(yīng)商連接在一起，以最快的速度、最低的成本響應(yīng)市場，及時 把握商機(jī)，不斷提高和鞏固競爭優(yōu)勢。 2.1.2 電子商務(wù)的內(nèi)容與目標(biāo) 電子商務(wù)是計算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用。它是以電子交易為手段，完成金融、物品、 服務(wù)、信息等價值的交換，是快速而有效地進(jìn)行各種商務(wù)活動的最新方法。電子商務(wù) 滿足了企業(yè)、商人和消費(fèi)者提高產(chǎn)品和服務(wù)的質(zhì)量、加快服務(wù)速度、降低費(fèi)用等方面 的需求，也幫助企業(yè)和個人通過網(wǎng)絡(luò)查詢和信息檢索以支持決策。所以，電子商務(wù)的 內(nèi)容主要有三個方面:企業(yè)內(nèi)部的協(xié)調(diào)與溝通、企業(yè)之間的合作以及網(wǎng)上交易。 電子商務(wù)是運(yùn)用現(xiàn)代通訊技術(shù)、計算機(jī)和網(wǎng)絡(luò)技術(shù)進(jìn)行的一種社會經(jīng)濟(jì)形態(tài)，其 目的是降低社會經(jīng)營成本，提高社會生產(chǎn)效率，優(yōu)化社會資源配置，從而實(shí)現(xiàn)社會財 富的最大化利用。因此，電子商務(wù)是一種新的社會經(jīng)濟(jì)形態(tài)。 2.2 我國電子商務(wù)的現(xiàn)狀及發(fā)展趨勢 在政府的推動和支持下，我國己經(jīng)基本建成了覆蓋全國的大容量、高速率光纖傳 輸 煙臺南山學(xué)院畢業(yè)論文 6 網(wǎng)絡(luò)，公用數(shù)據(jù)通信網(wǎng)、衛(wèi)星與微波通信網(wǎng)、圖像通信網(wǎng)和多媒體通信網(wǎng)正在建 設(shè)中，國內(nèi) Internet 網(wǎng)絡(luò)己經(jīng)形成，國際線路連接的國家有英國、美國、法國、德國、 加拿大、澳大利亞、日本、韓國等多個國家，這些為發(fā)展我國電子商務(wù)提供了良好的 網(wǎng)絡(luò)平臺和運(yùn)行環(huán)境。 據(jù)統(tǒng)計，自 1994 年后我國的互連網(wǎng)絡(luò)得到快速增長，并且形成一定的網(wǎng)上市場規(guī) 模，至 2001 年 6 月底我國上網(wǎng)的計算機(jī)總數(shù)為 1002 萬臺，網(wǎng)民 2650 萬，每年以 60% 的速度增長。到 2000 年底，www 站點(diǎn)總數(shù)為 265405 個，cn 下注冊的域名總數(shù) 122099 個。1998 年至 2003 年，中國電子商務(wù)市場的增長率為 243%。 與北美、歐洲和日本相比，我國的電子商務(wù)起步雖晚，但發(fā)展勢頭強(qiáng)勁。從 1998 年 IT 業(yè)界和媒體宣傳電子商務(wù)的概念開始算起，短短幾年內(nèi)，我國的電子商務(wù)己經(jīng)從 啟蒙階段迅速躍進(jìn)到實(shí)戰(zhàn)階段。許多企業(yè)和個人上網(wǎng)開展銷售和商務(wù)活動，并取得了 可喜的成績，例如易趣網(wǎng)、阿里巴巴等。 雖然說中國的電子商務(wù)發(fā)展迅速，但是還將面臨許多困難。首先，傳統(tǒng)觀念的影 響和科學(xué)文化素質(zhì)的制約在一段時期內(nèi)將妨礙電子商務(wù)在我國的推廣，人們還沒有完 全從計劃經(jīng)濟(jì)的影響下解放出來，還沒有認(rèn)識到電子商務(wù)是一場革命。其次，企業(yè)職 工文化素質(zhì)較低也是一個障礙，電子商務(wù)的開展需要懂得商務(wù)又了解信息技術(shù)的人才， 這種人才國內(nèi)還很缺乏。第三，有關(guān)電子商務(wù)的法律還沒有出臺，對于網(wǎng)上版權(quán)、網(wǎng) 上拍賣權(quán)、數(shù)字簽名等問題還沒有明確的規(guī)定，這使得很多互聯(lián)網(wǎng)公司的長期發(fā)展受 到影響。第四，國有企業(yè)中虧損企業(yè)占 40%左右，這些企業(yè)認(rèn)為擺脫困境是當(dāng)前的首 要任務(wù)，電子商務(wù)只能是盈利企業(yè)才能做的事情，他們沒有意識到電子商務(wù)會成為擺 脫困難的有效途徑。第五，我國相當(dāng)多的企業(yè)還處于手工管理的狀態(tài)，對市場的變化 不能適時做出調(diào)整。第六，認(rèn)證體系建設(shè)剛剛開始，認(rèn)證是指對交易主體頒發(fā)電子證 書，在交易發(fā)生時對電子證書、數(shù)字簽名進(jìn)行驗證。認(rèn)證體系還有待進(jìn)一步發(fā)展。第 七，網(wǎng)上支付方式還未解決，例如建設(shè)網(wǎng)上銀行，在線安全支付交易額，以及多銀行、 多方式、多協(xié)議的網(wǎng)上支付、提高支付的安全性、縮短支付結(jié)算周期，加強(qiáng)支付服務(wù) (如查賬、退款)，這些在我國還未得到很好的解決。第八，在網(wǎng)絡(luò)傳輸過程中，商業(yè) 機(jī)密不能泄漏，這些安全配置問題還要加強(qiáng)。第九，物流配送體系欠缺。第十，社會 習(xí)慣對電子商務(wù)有一定的影響，例如密集的居住習(xí)慣和眼看為實(shí)的消費(fèi)習(xí)慣，使人們 不愿意到網(wǎng)上通過下訂單、確認(rèn)訂單來麻煩的購物。 盡管中國的電子商務(wù)的發(fā)展有困難，但是前景廣闊。中國互聯(lián)網(wǎng)規(guī)模不斷膨脹， 國內(nèi)企業(yè)積極采用電子商務(wù)手段來強(qiáng)化自身的競爭能力。據(jù)估計，到 2005 年，中國電 子商務(wù)的交易額可能超過 1000 億美元。我們相信，隨著電子商務(wù)應(yīng)用服務(wù)的發(fā)展，物 流配送系統(tǒng)的完善，網(wǎng)上支付的實(shí)現(xiàn)，中國的電子商務(wù)發(fā)展將迎來新的高潮。 2 電子商務(wù)及相關(guān)理論綜述 7 2.3 我國電子商務(wù)所面臨的安全問題及發(fā)展趨勢 目前，中國大力發(fā)展電子商務(wù)經(jīng)濟(jì)，必須重視和急需解決的主要問題有:第一，在 思想上清醒地認(rèn)識到網(wǎng)絡(luò)安全與國家安全息息相關(guān)。第二，認(rèn)清網(wǎng)絡(luò)信息系統(tǒng)安全問 題的根本原因:(1)網(wǎng)絡(luò)信息技術(shù)及網(wǎng)絡(luò)安全設(shè)備絕大多數(shù)是西方發(fā)明的，有“先天”不 足帶來的安全問題。(2)我國網(wǎng)絡(luò)信息系統(tǒng)中所用的安全設(shè)備、技術(shù)大多數(shù)是舊的，關(guān) 鍵時候根本就不起安全防范作用。(3)我們在思想上對網(wǎng)絡(luò)安全的重視不夠。(4)重網(wǎng)絡(luò) 設(shè)施的建設(shè)，輕網(wǎng)絡(luò)安全的投入。第三，急需建立、健全社會化信用體系。目前中國 的社會化信用體系很不健全，信用心理不成熟。交易行為缺乏必要的自律和嚴(yán)厲的社 會監(jiān)督。第四，國家海關(guān)、工商、稅務(wù)等管理機(jī)關(guān)的信息化問題，是電子商務(wù)的一項 基礎(chǔ)工作。在建設(shè)和研究電子商務(wù)系統(tǒng)時，必須強(qiáng)化國家在電子商務(wù)系統(tǒng)中的管理職 能，以保障國家的權(quán)益。第五，解決電子商務(wù)立法滯后問題，形成對網(wǎng)上違法犯罪行 為的威懾力。必須把信息社會納入規(guī)范化、法律化的軌道，運(yùn)用法律手段對新的社會 關(guān)系予以規(guī)范和調(diào)整，而僅靠傳統(tǒng)的法律體系己經(jīng)越來越不能滿足信息社會的需要， 這也需要制定出適應(yīng)信息化社會的法律制度。 中國的電子商務(wù)在近幾年得到快速的發(fā)展，就目前中國電子商務(wù)發(fā)展的勢頭看， 電子商務(wù)安全問題研究有以下發(fā)展趨勢:一是政府越來越高度重視電子商務(wù)安全問題研 究。二是電子商務(wù)安全研究的專門科研機(jī)構(gòu)不斷增加，科研實(shí)力不斷增強(qiáng)。三是科研 以研發(fā)具有獨(dú)立自主知識產(chǎn)權(quán)的電子商務(wù)安全產(chǎn)品為目標(biāo)，力爭打破國外信息安全產(chǎn) 品的壟斷。四是國家有關(guān)部門逐步加快了與電子商務(wù)相關(guān)的政策、法規(guī)和法律的研究 與制定。五是電子商務(wù)安全產(chǎn)業(yè)規(guī)模將逐步擴(kuò)大。 2.4 電子商務(wù)中的信用問題 電子商務(wù)中的信用問題是指電子商務(wù)交易過程中因缺乏一定的信任關(guān)系而導(dǎo)致電 子商務(wù)的交易成本上升，使交易復(fù)雜化、混亂化，無法正常進(jìn)行。電子商務(wù)具有的遠(yuǎn) 程性、記錄的可更改性、個體的復(fù)雜性等特征決定了其信用問題更加突出。電子商務(wù) 信用機(jī)制的研究，不僅是電子商務(wù)網(wǎng)站如何在經(jīng)濟(jì)行為中遵循信用原則，更重要的是 要為電子交易的各方參與者建立必要的、適用電子商務(wù)特征的信用模式，為電子商務(wù) 交易的當(dāng)事人建立一個公平、公正的平臺，確保電子商務(wù)的交易安全可靠。 信息不對稱理論認(rèn)為:市場中賣家比買家更了解有關(guān)商品的各種信息，掌握更多信 息的一方向信息貧乏的一方傳遞信息，并依靠信息而在市場中獲益。買賣雙方中擁有 信息較少的一方會努力從另一方獲取信息；市場信號顯示在一定程度上可以彌補(bǔ)信息 不對稱問題。電子商務(wù)借助互聯(lián)網(wǎng)跨空間進(jìn)行交易，增強(qiáng)了交易者之間的感知不確定 性，主要表現(xiàn)在在線市場買賣雙方對產(chǎn)品質(zhì)量信息觀察的不對稱，買家之間對于同一 產(chǎn)品質(zhì)量和價格信息掌握程度的不對稱，以及買家之間與賣家之間對市場需求、產(chǎn)品 質(zhì)量、價格 煙臺南山學(xué)院畢業(yè)論文 9 和非價格競爭信號觀察的概率組合的不對稱。在存在更多信息不對稱的電子商務(wù)市場 中，信用風(fēng)險是增加買家不確定感知、阻礙購買意愿形成的關(guān)鍵因素。 Lee 和 Turban 通過調(diào)查研究發(fā)現(xiàn)，消費(fèi)者不通過網(wǎng)絡(luò)方式進(jìn)行商品交易的最主要 原因就是信用風(fēng)險的存在。電子商務(wù)信用風(fēng)險類型大致歸結(jié)為六個方面: (1)制度風(fēng)險，是指網(wǎng)絡(luò)平臺運(yùn)營商建立的必要政策體制，規(guī)范交易商的各種行為是 否合理；(2)系統(tǒng)風(fēng)險，是指經(jīng)營電子商務(wù)所需要的硬件、軟件技術(shù)是否安全；(3)結(jié)算 風(fēng)險，是指支付手段是否可靠，信息傳輸是否安全；(4)信息風(fēng)險，是指信息傳遞是否 真實(shí)、有效、準(zhǔn)確、完整；(5)服務(wù)風(fēng)險，是指賣家的服務(wù)質(zhì)量和其他承諾是否有效； (6)配送風(fēng)險，是指運(yùn)輸和供貨是否到位。第一項是基于第三方電子商務(wù)平臺的制度風(fēng) 險;第二、三項是技術(shù)風(fēng)險，并可以通過技術(shù)手段的提升來降低風(fēng)險;后三項風(fēng)險主要 針對具體交易者，是核心風(fēng)險，本文關(guān)注的信用問題主要來自該類風(fēng)險。 電子商務(wù)中的信用風(fēng)險是由欺詐行為引發(fā)的，不少國外學(xué)者對于在線市場欺詐的 類型、成因做出研究，例如 Macinnes 曾總結(jié)出影響網(wǎng)上拍賣欺詐的因素包括產(chǎn)品、交 易者、交易過程三方面。網(wǎng)上拍賣欺詐的類型主要包括有收款不發(fā)貨、故意提供錯誤 信息、隱瞞費(fèi)用、提供非法或劣質(zhì)產(chǎn)品、多頭拍賣、雇傭他人來虛假出價等。 由于網(wǎng)上交易并不像傳統(tǒng)交易那樣可以當(dāng)場檢驗商品，我們只能在商品遞送到買 家手中才能進(jìn)行檢驗，所以交易發(fā)生前消費(fèi)者只有根據(jù)賣家提供的特定信息進(jìn)行評估， 這就給賣家利用信息不對稱進(jìn)行欺詐提供了機(jī)會。Dellarocas 通過對策論證實(shí)在一個完 全均衡的市場環(huán)境下賣家仍然會作出欺詐行為，因為高質(zhì)量的產(chǎn)品較低質(zhì)量的產(chǎn)品利 潤更高，因此賣家往往承諾銷售高質(zhì)量的產(chǎn)品。 產(chǎn)品評估缺乏統(tǒng)一的標(biāo)準(zhǔn)是在線欺詐的第二大誘因。對于網(wǎng)絡(luò)拍賣的產(chǎn)品而言， Lee and Yoo 認(rèn)為較之傳統(tǒng)市場環(huán)境，產(chǎn)品的性能問題在電子商務(wù)環(huán)境下更難評估和判 斷，尤其是對那些缺乏標(biāo)準(zhǔn)的產(chǎn)品和服務(wù)，如二手產(chǎn)品等;與此有相似觀點(diǎn)的 Zeithaml、Murray 均指出服務(wù)性產(chǎn)品比起傳統(tǒng)產(chǎn)品而言更難評估。Grazioli and Jarvenpaa 研究表明，較之 B2B 和 B2C 交易中產(chǎn)品類型較少，標(biāo)準(zhǔn)化程度較低的現(xiàn)實(shí)， C2C 交易的產(chǎn)品多、屬性復(fù)雜，研究數(shù)據(jù)認(rèn)為其欺詐比重在不斷上升。 買賣雙方二次交易的可能性小以及買家經(jīng)驗的缺乏也是誘導(dǎo)賣家欺詐的重要因素。 Resnick and Zeckhauser 連續(xù)研究了 eBay 聲譽(yù)系統(tǒng)中 5 個月的數(shù)據(jù)表明，有 89%的交易 發(fā)生在陌生買賣雙方之間，98.9%的交易主體不會重復(fù) 4 次以上進(jìn)行連續(xù)交易。這說明 在線交易中交易雙方再次交易的可能性很小，不少學(xué)者認(rèn)為這給了欺詐者機(jī)會，同時 Albert 認(rèn)為，買家網(wǎng)絡(luò)拍賣的經(jīng)歷越少，交易經(jīng)驗可能越少，而這類買家遭遇網(wǎng)絡(luò)欺 詐的可能性也越大。 3 電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu) 10 3 電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu)電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu) 3. 1 電子商務(wù)安全框架體系 電子商務(wù)的安全控制體系結(jié)構(gòu)是保證電子商務(wù)數(shù)據(jù)安全的一個完整邏輯的邏輯結(jié) 構(gòu)。電子商務(wù)安全體系由網(wǎng)絡(luò)服務(wù)層、加密技術(shù)層、安全認(rèn)證層、交易協(xié)議層、商務(wù) 系統(tǒng)層組成。從層次結(jié)構(gòu)可以看出，下層是上層的基礎(chǔ)，為上層提供技術(shù)支持;上層是 下層的擴(kuò)展與遞進(jìn)，各層次之間相互依賴、相互關(guān)聯(lián)構(gòu)成統(tǒng)一整體，各層通過控制技 術(shù)的遞進(jìn)實(shí)現(xiàn)電子商務(wù)的安全。 電子商務(wù)系統(tǒng)是依賴網(wǎng)絡(luò)實(shí)現(xiàn)的商務(wù)系統(tǒng)，需要利用 Internet 基礎(chǔ)設(shè)施和標(biāo)準(zhǔn)，所 以構(gòu)成電子商務(wù)安全框架的底層是網(wǎng)絡(luò)服務(wù)層。它是各種電子商務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)， 并提供信息傳送的載體和用戶接入手段及安全通信服務(wù)，保證網(wǎng)絡(luò)最基本的運(yùn)行安全。 為確保電子商務(wù)系統(tǒng)全面安全，必須建立完善的加密技術(shù)和認(rèn)證機(jī)制。加密技術(shù)是保 證電子商務(wù)系統(tǒng)安全所采用的最基本的安全措施，它用于滿足電子商務(wù)對保密性的要 求。安全認(rèn)證層中的認(rèn)證技術(shù)是保證電子商務(wù)安全的又一必要手段，它對加密技術(shù)層 中提供的多種加密算法進(jìn)行綜合運(yùn)用，進(jìn)一步滿足電子商務(wù)對完整性、抗否認(rèn)性、可 靠性的要求。 用于保證電子商務(wù)的安全控制技術(shù)很多，層次各不相同，但并非是把所有安全技 術(shù)簡單地組合就可以得到可靠的安全，只有通過合理改進(jìn)，才可以從技術(shù)上實(shí)現(xiàn)系統(tǒng) 的、有效的電子商務(wù)安全。 3. 2 加密技術(shù)層 3.2.1 對稱密鑰加密(Private Key) 加密和解密采用相同的算法，并只交換共享的私有密鑰。如果進(jìn)行通信的交易各 方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露，可通過對稱加密方法加密機(jī)密信 息，并隨報文發(fā)送報文摘要和報文散列值，來保證報文的機(jī)密性和完整性。密鑰安全 交換是關(guān)系到對稱加密有效性的核心環(huán)節(jié)，目前常用的對稱加密算法有 DES, IDEA. 3DES 等，其中 DES 使用最普遍，被 ISO 采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)。 煙臺南山學(xué)院畢業(yè)論文 11 3.2.2 非對稱密鑰加密(Public Key) 不同于對稱加密，非對稱加密的密鑰被分解為公開密鑰和私有密鑰。密鑰對生成 后，公開密鑰以非保密方式對外公開，只對應(yīng)于生成該密鑰的發(fā)布者，私有密鑰則保 存在密鑰發(fā)布方手里。任何得到公開密鑰的用戶都可使用該密鑰加密信息發(fā)送給該公 開密鑰的發(fā)布者，而發(fā)布者得到加密信息后，使用與公開密鑰相應(yīng)的私有密鑰進(jìn)行解 密。目前常用的非對稱加密算法是 RSA 算法，該算法已被 ISO/TC 的數(shù)據(jù)加密技術(shù)分 委員會 SC20 推薦為非對稱密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。 3.2.3 兩類加密方法比較 在對稱和非對稱兩類加密方法中，對稱加密的特點(diǎn)是加密速度快(通常比非對稱加 密快 10 倍以上)、效率高，被廣泛用于大量數(shù)據(jù)的加密。該方法的致命缺點(diǎn)是密鑰的 傳輸易被截獲，難以安全管理大量的密鑰，因此大范圍應(yīng)用存在一定的問題。而非對 稱密鑰很好地解決對稱加密中密鑰數(shù)量過多難管理及費(fèi)用高的不足和傳輸中私有密鑰 的泄露，保密性能優(yōu)于對稱加密技術(shù)。但非對稱加密算法復(fù)雜，加密速度不理想，目 前電子商務(wù)實(shí)際運(yùn)用中常是兩者結(jié)合使用。 3. 3 安全認(rèn)證層 目前，僅有加密技術(shù)不足以保證電子商務(wù)中的交易安全，身份認(rèn)證技術(shù)是保證電 子商務(wù)安全不可缺少的又一重要技術(shù)手段。認(rèn)證的實(shí)現(xiàn)包括數(shù)字摘要技術(shù)(Digital digest)、 數(shù)字簽名技術(shù)(Digital Signature)、數(shù)字時間戳技術(shù)( Digital Time Stamp)、數(shù)字憑證技術(shù) (Digital ID)、認(rèn)證技術(shù)(Certificate Authority CA)以及智能卡技術(shù)(Smart Card)等共六項技 術(shù)。 1. 數(shù)字摘要(Digital digest) 數(shù)字摘要通過使用單向散列函數(shù)(Hash)將需要加密的明文“摘要”成一個固定長度 (128bit )的密文。該密文同明文是一一對應(yīng)的，不同的明文加密成不同的密文;相同的 明文其摘要必然一樣。因此，利用數(shù)字摘要就可以驗證通過網(wǎng)絡(luò)傳輸收到的明文是否 是初始的、未被篡改過，從而保證數(shù)據(jù)的完整性和有效性。 2. 數(shù)字簽名(Digital Signature) 數(shù)字簽名是非對稱加密技術(shù)中的一種技術(shù)。其主要方式為:報文發(fā)送方從報文文本 中生成一個 128 位的散列值(或報文摘要)，并用自己的專用密鑰對這個散列值進(jìn)行加 密，形成發(fā)送方的數(shù)字簽名;然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給 報文的接收方;報文接收方首先從接收到的原始報文中計算出 128 位的散列值(或報文 摘要)，接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進(jìn)行解密。如果兩個散列 值相同， 3 電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu) 13 那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒 別和不可否認(rèn)性。 3. 數(shù)字時間戳( Digital Time Stamp) 數(shù)字時間戳在電子商務(wù)中，需對交易文件的日期和時間信息采取安全措施，而數(shù) 字時間戳服務(wù)(DTS Service)專用于提供電子文件發(fā)表時間的安全保護(hù)，該服務(wù)由專門 的機(jī)構(gòu)提供。所謂的時間戳是一個經(jīng)過加密后形成的憑證文檔，共包括 3 個部分:需要 加蓋時間戳的文件的摘要、DTS 收到文件的日期和時間、DTS 的數(shù)字簽名。 4. 數(shù)字憑證(Digital ID) 數(shù)字憑證又稱數(shù)字證書，是用電子手段來證實(shí)一個用戶的身份和對網(wǎng)絡(luò)資源訪問 的權(quán)限。在網(wǎng)上的電子交易中，交易雙方出示了各自的數(shù)字憑證，并用它來進(jìn)行交易 操作。數(shù)字憑證的內(nèi)部格式是由 CCITTX.509 國際標(biāo)準(zhǔn)所規(guī)定的，包含以下內(nèi)容:憑證 擁有者的姓名、憑證擁有者的公共密鑰、公共密鑰的有效期、頒發(fā)數(shù)字憑證的單位、 數(shù)字憑證的序列號。數(shù)字證書的使用涉及到數(shù)字認(rèn)證中心 CA(Certificate Authority)。 5. 認(rèn)證(Certificate Authority CA) 認(rèn)證在電子商務(wù)系統(tǒng)中無論是數(shù)字時間戳服務(wù)，還是數(shù)字憑證的發(fā)放都需要由一 個具有權(quán)威性和公正性的第三方認(rèn)證機(jī)構(gòu)來承擔(dān)。CA 正是這樣一個受信任的第三方。 CA 用來為用戶簽發(fā)證書，提供身份認(rèn)證服務(wù)，是整個系統(tǒng)的安全核心。在非對稱私密 密鑰認(rèn)證系統(tǒng)中，用戶的簽名密鑰和加密密鑰通常是分開的，而 CA 只知道用戶的簽 名公鑰，這樣就降低了 CA 受到攻擊的危害程度，避免了可信第三方被攻擊和整個系 統(tǒng)陷入癱瘓的嚴(yán)重問題。此外，在認(rèn)證系統(tǒng)中 CA 只負(fù)責(zé)審核用戶的真實(shí)身份并對此 提供證明，不介入具體的認(rèn)證過程，從而緩解了可信第三方的系統(tǒng)瓶頸問題，而且 CA 只須管理每個用戶的一個公開密鑰，大大降低了密鑰管理的復(fù)雜性。這些優(yōu)點(diǎn)使得非 對稱密鑰認(rèn)證系統(tǒng)可用于用戶眾多的大規(guī)模網(wǎng)絡(luò)系統(tǒng)。 6. 智能卡(Smart Card) 智能卡是一種智能集成電路卡，包括 CPU, RAM, ROM 等。它不但提供讀寫數(shù)據(jù) 和存儲數(shù)據(jù)的能力，而且還具有對數(shù)據(jù)進(jìn)行處理的能力，可以實(shí)現(xiàn)對數(shù)據(jù)的加密解密， 能進(jìn)行數(shù)字簽名和驗證數(shù)字簽名，其存儲器部分具有外部不可讀特性。智能卡在電子 商務(wù)系統(tǒng)中有無法比擬的優(yōu)勢。首先，私人密鑰和電子證書是保存于智能卡的不允許 外讀的存儲單元中，而且可對智能卡的使用設(shè)置個人密碼，從而鑒別持卡人是否為該 卡的合法使用者;同時，可以承擔(dān)對信息的加密解密、簽名及對簽名的驗證等事務(wù)，減 輕了客戶端系統(tǒng)的負(fù)擔(dān)。當(dāng)需要對加密解密算法進(jìn)行改動或替換時只需要對智能卡進(jìn) 行相應(yīng)的改動，而無須對客戶端系統(tǒng)進(jìn)行升級。采用智能卡，使身份識別更有效、安 全，智能卡技術(shù)將成為用戶接入和用戶身份認(rèn)證的首選技術(shù)。 煙臺南山學(xué)院畢業(yè)論文 14 3. 4 交易協(xié)議層 除了各種安全控制技術(shù)外，電子商務(wù)的運(yùn)行還需要一套完善的交易安全協(xié) 議。不同交易協(xié)議的復(fù)雜性、開銷、安全性各不相同，不同的應(yīng)用環(huán)境對協(xié)議目標(biāo)的 要求也不盡相同。目前，比較成熟的協(xié)議有 SET,SSL 等基于信用卡的交易協(xié)議， NetBill, NetCheque 等基于支票的交易協(xié)議，Digicash, Netcash 等基于現(xiàn)金的交易協(xié)議等。 3.4.1 安全套接字層協(xié)議(Secure Socket Layer, SSL) 安全套接字層協(xié)議 SSL 是目前使用最廣泛的電子商務(wù)協(xié)議，它由 Netscape 公司于 1996 年設(shè)計開發(fā)。它位于運(yùn)輸層和應(yīng)用層之間，能很好地封裝應(yīng)用層數(shù)據(jù)，不用改變 位于應(yīng)用層的應(yīng)用程序，對用戶是透明的。同時，SSL 只需要通過一次“握手”過程， 建立客戶與服務(wù)器之間一條安全通信的通道，保證傳輸數(shù)據(jù)的安全。由于內(nèi)置于用戶 瀏覽器和商家的 Web 服務(wù)器中，故能方便而低開銷地進(jìn)行信息加密，多用于信用卡的 傳送。然而，SSL 并不是專為支持電子商務(wù)而設(shè)計的，只支持雙方認(rèn)證，只能保證傳 送信息過程中不因被截而泄密，因為商家完全掌握消費(fèi)者的帳戶信息，所以不能防止 商家利用獲取的信用卡號進(jìn)行欺詐。它滿足錢原子性。 3.4.2 安全電子交易協(xié)議(Secure Electronic Transaction, SET) SET 是由 VISA 公司和 Master Card 公司聯(lián)合開發(fā)設(shè)計的，用于劃分與界定電子商 務(wù)活動中的消費(fèi)者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利義務(wù)關(guān)系，它 可以對交易各方進(jìn)行認(rèn)證，可防止商家欺詐。為了進(jìn)一步加強(qiáng)安全性，SET 使用兩組 密鑰對分別用于加密和簽名，通過雙簽名(dual signature)機(jī)制將訂購信息同帳戶信息鏈 接在一起簽名。SET 協(xié)議開銷較大，客戶、商家、銀行都要安裝相應(yīng)軟件。SET 協(xié)議 滿足錢原子性，但不滿足商品原子性和確認(rèn)發(fā)送原子性。 4 企業(yè)電子商務(wù)發(fā)展安全問題分析 15 4 企業(yè)電子商務(wù)發(fā)展安全問題分析企業(yè)電子商務(wù)發(fā)展安全問題分析 4.1 企業(yè)電子商務(wù)安全技術(shù)分析 企業(yè)電子商務(wù)環(huán)境安全包括鑒別和認(rèn)證安全、訪問控制安全、審計和響應(yīng)安全、 冗余和恢復(fù)安全、內(nèi)容安全。 4.1.1 鑒別和認(rèn)證安全 鑒別和認(rèn)證是防止非授權(quán)的人進(jìn)入第三方支付平臺進(jìn)行操作，是系統(tǒng)安全的第一 道防線。鑒別和認(rèn)證是通過對網(wǎng)絡(luò)系統(tǒng)中的主客體進(jìn)行鑒別，并且給這些主客體賦予 恰當(dāng)?shù)臉?biāo)志、標(biāo)簽、證書等。 用一個動作來描述鑒別和認(rèn)證的操作特點(diǎn)就是“貼標(biāo)簽” 。鑒別和認(rèn)證就是為了解 決主體的信用問題和客體的信任問題。這些就是通過各種形式的標(biāo)簽來實(shí)現(xiàn)的。 鑒別和認(rèn)證不僅僅包括對于用戶的鑒別，還包括與系統(tǒng)訪問相關(guān)的各方面實(shí)體和 實(shí)體特性的鑒別。這些鑒別可以包括:用戶組鑒別、設(shè)備鑒別、時間鑒別、網(wǎng)絡(luò)地址鑒 別等。從實(shí)施成本的考慮，如果將所有安全控制細(xì)節(jié)實(shí)施在每個實(shí)體上，會大大影響 系統(tǒng)的效率和性能，并最終導(dǎo)致系統(tǒng)安全失效。因此，合理控制鑒別的粒度非常重要。 鑒別和認(rèn)證技術(shù)包括: 1、用戶名/口令機(jī)制(User/Password )此機(jī)制是最典型的、最經(jīng)濟(jì)的鑒別機(jī)制。 在各種系統(tǒng)中一般都缺省使用這個機(jī)制； 2、Token, Smart Card 等強(qiáng)鑒別機(jī)制； 3、生物鑒別機(jī)制； 4、PKI, PKI 的核心技術(shù)基礎(chǔ)就是公開密鑰，通過一對不相同的公、私鑰，結(jié)合密 鑰管理體系，完成對于持有密鑰人的鑒別和認(rèn)證功能； 5、IP 地址和域名，在網(wǎng)絡(luò)中經(jīng)常用 IP 地址和域名作為鑒別訪問者和被訪問者的 標(biāo)志。 6、硬件序列號通過硬件設(shè)備中的板卡、部件的一些序列號組成一個鑒別體。 比如，CPU 序列號、網(wǎng)卡序列號、網(wǎng)卡 MAC 地址等。 4.1.2 訪問控制安全 訪問控制以參考監(jiān)視器(Reference Monitor)的形式工作，或者說是類似網(wǎng)關(guān)、接口和邊 界 煙臺南山學(xué)院畢業(yè)論文 17 的形式。 (一)一個有效的 Reference Monitor(RM 機(jī)制)必須要有三個條件: 1、不可旁路:主體對客體的訪問不能繞過 RM，必須經(jīng)過 RM 機(jī)制的控制、和檢查。 2、抗篡改:RM 應(yīng)當(dāng)是一個抗攻擊的體系，不能被攻破;RM 以及配合的規(guī)則庫應(yīng)當(dāng)被 正確地配置;另外該機(jī)制的特權(quán)管理、規(guī)則庫等不能被侵入。 3、足夠小，可以被證明:RM 本身也是程序，因此需要保證其自身的正確性。從計算 機(jī)科學(xué)的角度看，這是比較困難的。一般也僅僅通過測評認(rèn)證等工作來部分地滿足。 訪問控制策略： (二)為詳細(xì)說明訪問控制規(guī)則，應(yīng)注意考慮以下各項: 1. 區(qū)分必須執(zhí)行的規(guī)則與可選執(zhí)行的規(guī)則； 2. 所建立的規(guī)則應(yīng)以“未經(jīng)明確允許的都是禁止的”為前提，而不是以較弱的原則 “未經(jīng)明確禁止的都是允許的”為前提； 3. 信息標(biāo)記的變化，包括由信息處理設(shè)備自動引起的或是由用戶決定引起的； 4. 規(guī)則在頒布之前需要管理人員的批準(zhǔn)或其他形式的許可； 5. 不同的業(yè)務(wù)應(yīng)用的安全需求； 6. 不同系統(tǒng)的訪問控制和信息分類策略之間的一致性； 7. 對數(shù)據(jù)和服務(wù)保護(hù)的有關(guān)法規(guī)和合同義務(wù)； 8. 分布式和網(wǎng)絡(luò)化環(huán)境的訪問權(quán)限管理。 (三)訪問控制類型的典型技術(shù)包括： 1、訪問控制列表，目前廣泛應(yīng)用的控制方法，比如操作系統(tǒng)的自主訪問控制就是典型 的例子。 2、主機(jī)操作系統(tǒng)加固服務(wù)，尋找可能旁路的路徑，然后通過補(bǔ)丁和配置將其彌補(bǔ);加 強(qiáng)操作系統(tǒng)自身的強(qiáng)壯性不被一般的攻擊所破壞;檢查各項規(guī)則的合理性和有效性 等。 3、防火墻，典型的網(wǎng)絡(luò)隔離和網(wǎng)絡(luò)訪問控制方法和工具。 4、VPN 虛擬專用網(wǎng)，結(jié)合了防火墻技術(shù)、加密技術(shù)、密鑰管理技術(shù)等方面的安全信道 系統(tǒng)。這個安全信道可以理解為兩個網(wǎng)絡(luò)區(qū)域之間的一個接口和管道。 5、應(yīng)用系統(tǒng)訪問控制，一般在應(yīng)用系統(tǒng)開發(fā)中單獨(dú)實(shí)現(xiàn);有時也可以通過調(diào)用操作系 統(tǒng)或者數(shù)據(jù)庫管理系統(tǒng)的訪問控制功能;一些比較通用的應(yīng)用系統(tǒng)，比如基于 Web 的應(yīng)用，可以通過一些專用的應(yīng)用系統(tǒng)訪問控制系統(tǒng)完成其功能。 4.1.3 審計和響應(yīng)安全 審計主要實(shí)現(xiàn)機(jī)制是通過 Standby/Sniffer 類型的工作方式實(shí)現(xiàn)。這種機(jī)制一般情 況下并不干涉和直接影響主業(yè)務(wù)流程，而是對主業(yè)務(wù)進(jìn)行記錄、檢查、監(jiān)控等功能來 完成以審計(Accountability)、完整性(Integrity)等要求為主的安全功能。響應(yīng)是對系統(tǒng)安 全問 4 企業(yè)電子商務(wù)發(fā)展安全問題分析 19 題的實(shí)時檢測、告警和處理。其典型技術(shù)包括:日志管理，入侵檢測，漏洞掃描和評估， 一致性檢查等。 1、日志(Log)，是最基本的審計跟蹤功能，一般的系統(tǒng)都具有此功能。一個安全的 系統(tǒng)需要開啟足夠的日志和審計功能。 2、入侵檢測(IDS)，是專門應(yīng)對異常訪問和操作的監(jiān)控和審計系統(tǒng)。一些非法入侵 者(黑客)為了繞過系統(tǒng)訪問控制和回避日志的記錄，常常采用一些旁門左道， IDS 系統(tǒng)就是為了檢查這些異常行為而設(shè)計的。不管是基于網(wǎng)絡(luò)的 IDS 還是基 于主機(jī)的 IDS，都提供獨(dú)立于業(yè)務(wù)系統(tǒng)之外的監(jiān)控功能。 3、漏洞掃描和評估(Vulnerability Assessment)，檢查當(dāng)前系統(tǒng)中可能存在的不足和 缺陷，為訪問控制系統(tǒng)和其他基礎(chǔ)系統(tǒng)加固提供依據(jù)。 4、一致性檢查，系統(tǒng)的一致性檢查和數(shù)據(jù)的一致性檢查常常是一個非常有效的、 簡單的安全方法，用來發(fā)現(xiàn)系統(tǒng)和數(shù)據(jù)可能存在的篡改現(xiàn)象。 4.1.4 冗余和恢復(fù)安全 從過程上看，冗余和恢復(fù)是為了異常情況在事前所作的準(zhǔn)備和事后的措施；從管 理層面看，這方面的技術(shù)解決方案要結(jié)合管理方面的措施，形成企業(yè)的業(yè)務(wù)可持續(xù)計 劃。冗余和恢復(fù)體現(xiàn)管理過程的動態(tài)性，必須在情況發(fā)生之前就做好充分的準(zhǔn)備。因 此，冗余和恢復(fù)的關(guān)鍵要素就是在情況發(fā)生之前就做好應(yīng)對的準(zhǔn)備工作。而這方面的 準(zhǔn)備可以和技術(shù)框架的各個環(huán)節(jié)結(jié)合起來。比如:防火墻可以進(jìn)行高可用配置，通過雙 防火墻進(jìn)行互備;通過配置使得入侵檢測可以和防火墻進(jìn)行互動等等，可以歸結(jié)到冗余 恢復(fù)類的典型技術(shù)包括: 1、HA 技術(shù)，高可用技術(shù)常常通過冗余設(shè)備來完成。一些具體的技術(shù)包括:熱備份、集 群技術(shù)、脈搏技術(shù)等。 2、路徑冗余，網(wǎng)絡(luò)的 HA 常常通過冗余的路徑來實(shí)現(xiàn)，當(dāng)一個線路中斷后，其他冗余 的路徑保證網(wǎng)絡(luò)不會整體完全中斷。 3、數(shù)據(jù)備份和恢復(fù)技術(shù)，當(dāng)系統(tǒng)出現(xiàn)問題數(shù)據(jù)遭到