畢業(yè)論文我國電子商務的發(fā)展安全及信用問題的研究

1、 煙 臺 南 山 學 院 畢畢 業(yè)業(yè) 論論 文文 我國電子商務的發(fā)展安全及信用問題的研究 姓 名： 所在學院： 信息科技學院 所學專業(yè)： 信息管理與信息系統 班 級 06 信管 1 班 學 號 200606020108 指導教師： 完成時間： 2010 年 4 月 畢業(yè)論文（設計）任務書畢業(yè)論文（設計）任務書 論文題目我國電子商務的發(fā)展安全及信用問題的研究 院部信息科技學院專業(yè)信息管理與信息系統班級06 信管 1 班 畢業(yè)論文（設計）的要求 1、選題應符合本專業(yè)培養(yǎng)目標的要求，具有理論意義和實際價值。 2、正文內容文題應相符，結構合理，層次分明，合乎邏輯，概念準確，語言流暢，論點鮮 明,論據充

2、分，書寫格式規(guī)范，符合煙臺南山學院畢業(yè)設計管理條例的要求。 3、論文應當反映出學生查閱文獻、獲取信息的能力，綜合運用所學知識分析問題與解決問 題的能力，研究方案的設計能力，研究方法和手段的運用能力，外語和計算機的應用能力 及團結協作能力。 畢業(yè)論文（設計）的內容與技術參數 對電子商務的發(fā)展安全和信用問題進行了討論，主要研究了電子商務的安全框架體系結 構，談討了加密技術層、安全認證層和交易協議層，分析了企業(yè)電子商務發(fā)展安全問題， 并分別討論了企業(yè)電子商務安全的技術分析和管理分析，最后運用對策論對中小電子商務 企業(yè)信用形成的外在作用機理進行了探討。 畢業(yè)論文（設計）工作計劃 1、2009 年 9

3、月 13 日確定選題方向； 2、2009 年 9 月 20 日前提交開題報告； 3、2009 年 9 月 30 日前確定課題； 4、2009 年 10 月至 2010 年 1 月完成論文資料收集或系統設計； 5、2010 年 3 月 14 日前提交論文初稿（交指導教師） ； 6、2010 年 3 月 31 日前提交第二稿（交指導教師） ； 7、2010 年 4 月 15 日前定稿，審核答辯資格； 8、2010 年 5 月 1 日前后畢業(yè)答辯。 接受任務日期 年 月 日 要求完成日期 年 月 日 學 生 (簽名) 年 月 日 指 導 教 師 (簽名) 年 月 日 院長 (主任 ) (簽名) 年

4、月 日 摘 要 人類已進入信息社會，而電子商務是信息社會的核心內容和重要基礎之一，直接 影響著社會、政治、經濟、文化等各個領域信息化的發(fā)展。電子商務并未帶來預期的 利潤，主要原因之一是電子商務目前尚存在著一些安全及信用問題，影響了在線交易 的規(guī)模和效益，阻礙了電子商務的進一步發(fā)展。電子商務系統的關鍵是保證交易數據 和交易過程的安全，internet 本身的開放性使電子商務系統面臨各種各樣的安全威脅。 企業(yè)有效開展電子商務活動中，關鍵是要保證企業(yè)電子商務系統的安全性，也就是要 保證基于 internet 的企業(yè)電子商務環(huán)境的安全和企業(yè)電子商務交易過程的安全。如何確 保企業(yè)電子商務環(huán)境的安全和企業(yè)

5、電子商務交易過程的安全，為客戶在網上從事商務 活動提供信心保證，是決定企業(yè)電子商務系統成敗的關鍵，是企業(yè)電子商務健康全面 發(fā)展的保障。本文從電子商務企業(yè)安全在技術方面和管理方面分別進行了全面的分析。 本文最后從運籌學角度，運用對策論對中小電子商務企業(yè)信用形成的外在作用機理進 行探討，其基本內容是分析中小電子商務企業(yè)交易中處于不同交易部位的交易者和管 理者等主體間作用和影響及其由此而形成虛擬市場信用的機理。 關鍵詞：電子商務；安全；信用問題關鍵詞：電子商務；安全；信用問題 abstract mankind has entered the information society. the e-co

6、mmerce is the core content and important foundation of the information society. it has a direct impact on the social, political, economic, cultural and other fields of information technology development. e-commerce does not bring the expected profits, one of the major reasons is that e-commerce is c

7、urrently surviving on a number of security and credit problems which have affected the size and effectiveness of online transactions, hindering the further development of e-commerce. the key of the e-commerce systems is to ensure that the security of the data and the process of transaction is safe,

8、internet itself is open, which make e-commerce systems faced with a variety of security threats. enterprises can effectively conduct e-commerce activities, the key is to ensure the security of enterprise e-commerce system, that is, internet-based businesses must ensure the security of e-business env

9、ironment and business e-commerce transaction security. how to ensure the safety of enterprise e-business environment and the security of enterprise e-commerce transactions, to provide assurance for clients in business activities on the internet, is the key to determine the success or failure of ente

10、rprise e-business system. from the point of view in the operational research, this paper mainly use the game theory to explore the mechanism of the external of the formation of small and medium e-commerce business credit, the basic element is to analyze small and medium e-business transactions in di

11、fferent parts of the trading transactions and the role of managers and their formation of a virtual market credit mechanism. it discusses the establishment of small and medium e- commerce business credit conditions, and provides theoretical guidance to the optimal decision for each game parties. key

12、words: e-commerce；safety；credit 目目 錄錄 前前 言言 .1 1 緒論緒論 .2 1.1 研究目標 .2 1.2 研究內容 .2 1.3 論文結構 .3 2 電子商務及相關理論綜述電子商務及相關理論綜述 .4 2.1 什么是電子商務 .4 2.1.1 電子商務的概念.4 2.1.2 電子商務的內容與目標.4 2.2 我國電子商務的現狀及發(fā)展趨勢 .4 2.3 我國電子商務所面臨的安全問題及發(fā)展趨勢 .6 2.4 電子商務中的信用問題 .6 3 電子商務的安全技術框架體系結構電子商務的安全技術框架體系結構 .8 3. 1 電子商務安全框架體系.8 3. 2 加密技

13、術層.8 3.2.1 對稱密鑰加密(private key).8 3.2.2 非對稱密鑰加密(public key) .9 3.2.3 兩類加密方法比較.9 3. 3 安全認證層.9 3. 4 交易協議層.11 3.4.1 安全套接字層協議(secure socket layer, ssl) .11 3.4.2 安全電子交易協議(secure electronic transaction, set).11 4 企業(yè)電子商務發(fā)展安全問題分析企業(yè)電子商務發(fā)展安全問題分析 .12 4.1 企業(yè)電子商務安全技術分析 .12 4.1.1 鑒別和認證安全.12 4.1.2 訪問控制安全.12 4.1.3

14、審計和響應安全.13 4.1.4 冗余和恢復安全.14 4.1.5 內容安全.14 4.2 企業(yè)電子商務安全管理分析 .15 4.2.1 信息安全管理概述.15 4.2.2 電子支付信息安全管理體系要求.16 4.2.3 電子支付信息安全管理體系建設.16 5 從運籌學角度分析中小電子商務企業(yè)信用問題從運籌學角度分析中小電子商務企業(yè)信用問題 .18 5.1 電子商務信用問題的重要性 .18 5.2 從對策論看電子商務信用問題 .19 5.3 中小電子商務企業(yè)信用形成 .20 5.3.1 電子商務買賣方之間的完全信息靜態(tài)博弈.20 5.3.2 電子商務買賣方之間的完全信息動態(tài)博弈.22 5.3.

15、3 電子商務信用問題政策建議.23 結結 論論 .25 致致 謝謝 .26 參考文獻參考文獻 .27 前前 言言 隨著信息技術日新月異的發(fā)展，人類正在進入以網絡為主的信息時代，internet 的 高速發(fā)展不僅方便了人們的通信和交流，同時帶來了商業(yè)和經濟模式的變革。更多的 企業(yè)、個人及其他各種組織，甚至包括政府都在積極地推動電子商務的發(fā)展，越來越 多的人投入到電子商務中去。電子商務是互聯網應用發(fā)展的必然趨勢，也是國際金融 貿易中越來越重要的經營模式，以后它還會逐漸地成為我們經濟生活中一個重要部分。 安全和信用問題是保證電子商務健康有序發(fā)展的關鍵因素。 越來越多的中國企業(yè)積極開展國際電子商務，并

16、取得一定成效。一些企業(yè)在電子 商務應用方面進行了積極有效的探索。廣大企業(yè)充分認識到開展電子商務對改造傳統 產業(yè)的重要性和緊迫性，通過信息化建設和開展電子商務應用，能夠有效拓展業(yè)務， 提高企業(yè)適應市場變化和參與市場競爭的能力。與此同時，一些地區(qū)的中小型企業(yè)也 逐步成為電子商務的積極實踐者。安全問題是我國的商務發(fā)展中的一個重要制約因素。 電子商務的安全總是表現為信息安全、交易安全和財產安全三個方面。其來源有四個層面: 硬件層面、軟件層面、應用層面和環(huán)境層面。應采取多種措施應對安全挑戰(zhàn)，促進我國電 子商務的進一步發(fā)展。電子商務在近幾年才得到了迅猛發(fā)展，各地都缺乏足夠的技術人才 來處理所遇到的各種問題

17、，許多企業(yè)技術人員的技術水平較低，不能完全勝任所承擔的工 作。同時企業(yè)對電子商務的管理也處于一個摸索的階段,管理的水平不高,效率底下。這些 都給電子商務帶來很大的安全隱患。從總體上，講廣大消費者對于電子商務這個新生事物 還比較陌生，缺乏相應的知識，還不能十分熟練的應用這一新的交易手段，造成各種人為 的安全威脅。 誠信是市場經濟的基礎，是市場順利運行的前提條件。由于電子商務本身具有虛擬性 和流動性，交易雙方不直接見面，在身份的判別確認、違約責任的追究等方面都存有很大 困難，其格式和媒體可以分離，參與電子商務的主體的誠信問題使得電子商務信息的真實 性與安全性難以保障。電子商務與傳統的交易相比對信用

18、的要求更高，要發(fā)展電子商務必 須先加強信用建設。社會信用體系的建設問題，最終將會成為中國電子商務發(fā)展的瓶頸。 目前，我國電子商務信用環(huán)境與西方發(fā)達國家相比，差距還很大，我國經濟是由計劃經濟 脫胎而來的，社會信用經濟發(fā)育較晚，市場信用交易不發(fā)達，社會普遍缺乏現代市場經濟 條件下的信用意識和信用道德規(guī)范。信用保障體系還未完全建立，社會信用缺失反過來影 響到電子商務活動中；在建立電子商務信用保障體系中，還存在著許多制約因素。因此， 信用風險遠較傳統業(yè)務中發(fā)生的概率大。 隨著經濟的發(fā)展和社會的進步，電子商務必將成為商務活動的發(fā)展趨勢，電子商 務的發(fā)展安全及信用問題成為了制約電子商務進一步發(fā)展的瓶頸問題

19、，因此對電子商 務的發(fā)展安全及信用問題的研究顯得尤為重要。 1 緒論緒論 1.1 研究目標 在我國，電子商務技術還比較落后，通過對我國電子商務的發(fā)展安全及信用問題 的研究，提出改善我國電子商務安全性的方法，促進我國電子商務在安全方面的發(fā)展， 使網上交易更可信，使更多的消費者信任電子商務。 本文將結合我國電子商務發(fā)展的實際情況，參考我國電子商務的發(fā)展安全和信用 問題的研究成果與實踐經驗，對電子商務的發(fā)展安全和信用問題進行較系統的研究。 研究將采用定性與定量相結合的方式，注重實證研究，以得到有價值的研究成果，提 出改進電子商務安全性和可信度的具體策略，保障電子商務交易的順利進行，促進我 國電子商務

20、的發(fā)展。 1.2 研究內容 本文對電子商務的發(fā)展安全及信用問題進行研究，在重點研究電子商務安全及信用 問題的基礎上，針對與電子商務應用相關的基本安全問題及信用問題進行了探討。本 文分析了電子商務的安全技術框架體系結構，電子商務系統的關鍵是保證交易數據和 交易過程的安全，internet 本身的開放性使電子商務系統面臨各種各樣的安全威脅。要 解決安全問題，要求電子商務系統具備:防止交易信息被非法截獲或讀取的保密性、防 止交易過程被跟蹤的匿名性、防止交易信息丟失并保證信息傳遞次序統一的完整性、 防止假冒身份在網上交易和詐騙的可靠性,防止交易各方對己做交易抵賴的抗否認性以 及原子性等安全要求。站在系

21、統的角度，本文根據電子商務信息安全性要求，對電子 商務的安全問題進行了層次分析，提出了電子商務安全框架體系結構。本文同時對企 業(yè)電子商務發(fā)展安全問題進行了分析，企業(yè)有效開展電子商務活動中，關鍵是要保證 企業(yè)電子商務系統的安全性，也就是要保證基于 internet 的企業(yè)電子商務環(huán)境的安全和 企業(yè)電子商務交易過程的安全。如何確保企業(yè)電子商務環(huán)境的安全和企業(yè)電子商務交 易過程的安全，為客戶在網上從事商務活動提供信心保證，是決定企業(yè)電子商務系統 成敗的關鍵，是企業(yè)電子商務健康全面發(fā)展的保障。最后本文從運籌學角度分析了中 小電子商務企業(yè)信用問題，在分析電子商務信用問題的基礎上，主要針對中小電子商 務企

22、業(yè)中信用形成的機理進行分析，試圖從運籌學角度，主要運用對策論對中小電子 商務企業(yè)信用形成的外在作用機理進行探討，其基本內容是分析中小電子商務企業(yè)交 易中買賣雙方之間作用和影響及其由此而形成虛擬市場信用的機理。 1.3 論文結構 本文共分為四大部分： 第一部分為引言，包括第一章緒論，介紹總體研究背景、研究思路。第二章電子 商務及相關理論綜述，介紹了電子商務安全及信用問題的基礎理論，主要包括: 什么 是電子商務，我國電子商務的現狀及發(fā)展趨勢，我國電子商務所面臨的安全問題及發(fā) 展趨勢，電子商務中的信用問題；第二部分分析了電子商務的安全技術框架體系結構， 研究了加密技術層，安全認證層，交易協議層；第三

23、部分分析了企業(yè)電子商務發(fā)展安 全問題，從企業(yè)電子商務安全技術和企業(yè)電子商務安全管理兩個角度進行了分析；第 四部分從運籌學角度分析了中小電子商務企業(yè)信用問題。 2 電子商務及相關理論綜述電子商務及相關理論綜述 2.1 什么是電子商務 2.1.1 電子商務的概念 電了商務是通過電子手段進行商業(yè)活動。電了商務的英文表示有兩種， ec(electronic commerce)和 eb (electronic business)。日前還沒有一個統一的較為權威 的電子商務定義。全球信息基礎設施委員會對電子商務的定義是:電子商務是運用電子 通信手段的經濟活動，通過這種方式人們可以對帶有經濟價值的產品和服務進

24、行宣傳、 購買和結算。聯合國國際貿易委員會對電子商務的定義是: 電子商務是采用電子數據 交換和其他通訊方式增進國際貿易的職能。 簡單的說，電子商務是指實現從售前服務到售后支持的整個商務或貿易活動環(huán)節(jié) 的電子化、自動化。對于企業(yè)來說，電子商務是利用以 internet 為核心的信息技術，進 行商務活動和企業(yè)資源管理，它的核心是高效地管理企業(yè)的所有信息，幫助企業(yè)創(chuàng)建 一條暢通于客戶、企業(yè)內部和供應商之間的信息流，并通過高效率的管理、增值和應 用，把客戶、企業(yè)、供應商連接在一起，以最快的速度、最低的成本響應市場，及時 把握商機，不斷提高和鞏固競爭優(yōu)勢。 2.1.2 電子商務的內容與目標 電子商務是計

25、算機網絡技術的應用。它是以電子交易為手段，完成金融、物品、 服務、信息等價值的交換，是快速而有效地進行各種商務活動的最新方法。電子商務 滿足了企業(yè)、商人和消費者提高產品和服務的質量、加快服務速度、降低費用等方面 的需求，也幫助企業(yè)和個人通過網絡查詢和信息檢索以支持決策。所以，電子商務的 內容主要有三個方面:企業(yè)內部的協調與溝通、企業(yè)之間的合作以及網上交易。 電子商務是運用現代通訊技術、計算機和網絡技術進行的一種社會經濟形態(tài)，其 目的是降低社會經營成本，提高社會生產效率，優(yōu)化社會資源配置，從而實現社會財 富的最大化利用。因此，電子商務是一種新的社會經濟形態(tài)。 2.2 我國電子商務的現狀及發(fā)展趨勢

26、 在政府的推動和支持下，我國己經基本建成了覆蓋全國的大容量、高速率光纖傳 輸 網絡，公用數據通信網、衛(wèi)星與微波通信網、圖像通信網和多媒體通信網正在建 設中，國內 internet 網絡己經形成，國際線路連接的國家有英國、美國、法國、德國、 加拿大、澳大利亞、日本、韓國等多個國家，這些為發(fā)展我國電子商務提供了良好的 網絡平臺和運行環(huán)境。 據統計，自 1994 年后我國的互連網絡得到快速增長，并且形成一定的網上市場規(guī) 模，至 2001 年 6 月底我國上網的計算機總數為 1002 萬臺，網民 2650 萬，每年以 60% 的速度增長。到 2000 年底，www 站點總數為 265405 個，cn

27、下注冊的域名總數 122099 個。1998 年至 2003 年，中國電子商務市場的增長率為 243%。 與北美、歐洲和日本相比，我國的電子商務起步雖晚，但發(fā)展勢頭強勁。從 1998 年 it 業(yè)界和媒體宣傳電子商務的概念開始算起，短短幾年內，我國的電子商務己經從 啟蒙階段迅速躍進到實戰(zhàn)階段。許多企業(yè)和個人上網開展銷售和商務活動，并取得了 可喜的成績，例如易趣網、阿里巴巴等。 雖然說中國的電子商務發(fā)展迅速，但是還將面臨許多困難。首先，傳統觀念的影 響和科學文化素質的制約在一段時期內將妨礙電子商務在我國的推廣，人們還沒有完 全從計劃經濟的影響下解放出來，還沒有認識到電子商務是一場革命。其次，企業(yè)

28、職 工文化素質較低也是一個障礙，電子商務的開展需要懂得商務又了解信息技術的人才， 這種人才國內還很缺乏。第三，有關電子商務的法律還沒有出臺，對于網上版權、網 上拍賣權、數字簽名等問題還沒有明確的規(guī)定，這使得很多互聯網公司的長期發(fā)展受 到影響。第四，國有企業(yè)中虧損企業(yè)占 40%左右，這些企業(yè)認為擺脫困境是當前的首 要任務，電子商務只能是盈利企業(yè)才能做的事情，他們沒有意識到電子商務會成為擺 脫困難的有效途徑。第五，我國相當多的企業(yè)還處于手工管理的狀態(tài)，對市場的變化 不能適時做出調整。第六，認證體系建設剛剛開始，認證是指對交易主體頒發(fā)電子證 書，在交易發(fā)生時對電子證書、數字簽名進行驗證。認證體系還有

29、待進一步發(fā)展。第 七，網上支付方式還未解決，例如建設網上銀行，在線安全支付交易額，以及多銀行、 多方式、多協議的網上支付、提高支付的安全性、縮短支付結算周期，加強支付服務 (如查賬、退款)，這些在我國還未得到很好的解決。第八，在網絡傳輸過程中，商業(yè) 機密不能泄漏，這些安全配置問題還要加強。第九，物流配送體系欠缺。第十，社會 習慣對電子商務有一定的影響，例如密集的居住習慣和眼看為實的消費習慣，使人們 不愿意到網上通過下訂單、確認訂單來麻煩的購物。 盡管中國的電子商務的發(fā)展有困難，但是前景廣闊。中國互聯網規(guī)模不斷膨脹， 國內企業(yè)積極采用電子商務手段來強化自身的競爭能力。據估計，到 2005 年，中

30、國電 子商務的交易額可能超過 1000 億美元。我們相信，隨著電子商務應用服務的發(fā)展，物 流配送系統的完善，網上支付的實現，中國的電子商務發(fā)展將迎來新的高潮。 2.3 我國電子商務所面臨的安全問題及發(fā)展趨勢 目前，中國大力發(fā)展電子商務經濟，必須重視和急需解決的主要問題有:第一，在 思想上清醒地認識到網絡安全與國家安全息息相關。第二，認清網絡信息系統安全問 題的根本原因:(1)網絡信息技術及網絡安全設備絕大多數是西方發(fā)明的，有“先天”不 足帶來的安全問題。(2)我國網絡信息系統中所用的安全設備、技術大多數是舊的，關 鍵時候根本就不起安全防范作用。(3)我們在思想上對網絡安全的重視不夠。(4)重網

31、絡 設施的建設，輕網絡安全的投入。第三，急需建立、健全社會化信用體系。目前中國 的社會化信用體系很不健全，信用心理不成熟。交易行為缺乏必要的自律和嚴厲的社 會監(jiān)督。第四，國家海關、工商、稅務等管理機關的信息化問題，是電子商務的一項 基礎工作。在建設和研究電子商務系統時，必須強化國家在電子商務系統中的管理職 能，以保障國家的權益。第五，解決電子商務立法滯后問題，形成對網上違法犯罪行 為的威懾力。必須把信息社會納入規(guī)范化、法律化的軌道，運用法律手段對新的社會 關系予以規(guī)范和調整，而僅靠傳統的法律體系己經越來越不能滿足信息社會的需要， 這也需要制定出適應信息化社會的法律制度。 中國的電子商務在近幾年

32、得到快速的發(fā)展，就目前中國電子商務發(fā)展的勢頭看， 電子商務安全問題研究有以下發(fā)展趨勢:一是政府越來越高度重視電子商務安全問題研 究。二是電子商務安全研究的專門科研機構不斷增加，科研實力不斷增強。三是科研 以研發(fā)具有獨立自主知識產權的電子商務安全產品為目標，力爭打破國外信息安全產 品的壟斷。四是國家有關部門逐步加快了與電子商務相關的政策、法規(guī)和法律的研究 與制定。五是電子商務安全產業(yè)規(guī)模將逐步擴大。 2.4 電子商務中的信用問題 電子商務中的信用問題是指電子商務交易過程中因缺乏一定的信任關系而導致電 子商務的交易成本上升，使交易復雜化、混亂化，無法正常進行。電子商務具有的遠 程性、記錄的可更改性

33、、個體的復雜性等特征決定了其信用問題更加突出。電子商務 信用機制的研究，不僅是電子商務網站如何在經濟行為中遵循信用原則，更重要的是 要為電子交易的各方參與者建立必要的、適用電子商務特征的信用模式，為電子商務 交易的當事人建立一個公平、公正的平臺，確保電子商務的交易安全可靠。 信息不對稱理論認為:市場中賣家比買家更了解有關商品的各種信息，掌握更多信 息的一方向信息貧乏的一方傳遞信息，并依靠信息而在市場中獲益。買賣雙方中擁有 信息較少的一方會努力從另一方獲取信息；市場信號顯示在一定程度上可以彌補信息 不對稱問題。電子商務借助互聯網跨空間進行交易，增強了交易者之間的感知不確定 性，主要表現在在線市場

34、買賣雙方對產品質量信息觀察的不對稱，買家之間對于同一 產品質量和價格信息掌握程度的不對稱，以及買家之間與賣家之間對市場需求、產品 質量、價格 和非價格競爭信號觀察的概率組合的不對稱。在存在更多信息不對稱的電子商務市場 中，信用風險是增加買家不確定感知、阻礙購買意愿形成的關鍵因素。 lee 和 turban 通過調查研究發(fā)現，消費者不通過網絡方式進行商品交易的最主要 原因就是信用風險的存在。電子商務信用風險類型大致歸結為六個方面: (1)制度風險，是指網絡平臺運營商建立的必要政策體制，規(guī)范交易商的各種行為是 否合理；(2)系統風險，是指經營電子商務所需要的硬件、軟件技術是否安全；(3)結算 風險

35、，是指支付手段是否可靠，信息傳輸是否安全；(4)信息風險，是指信息傳遞是否 真實、有效、準確、完整；(5)服務風險，是指賣家的服務質量和其他承諾是否有效； (6)配送風險，是指運輸和供貨是否到位。第一項是基于第三方電子商務平臺的制度風 險;第二、三項是技術風險，并可以通過技術手段的提升來降低風險;后三項風險主要 針對具體交易者，是核心風險，本文關注的信用問題主要來自該類風險。 電子商務中的信用風險是由欺詐行為引發(fā)的，不少國外學者對于在線市場欺詐的 類型、成因做出研究，例如 macinnes 曾總結出影響網上拍賣欺詐的因素包括產品、交 易者、交易過程三方面。網上拍賣欺詐的類型主要包括有收款不發(fā)貨

36、、故意提供錯誤 信息、隱瞞費用、提供非法或劣質產品、多頭拍賣、雇傭他人來虛假出價等。 由于網上交易并不像傳統交易那樣可以當場檢驗商品，我們只能在商品遞送到買 家手中才能進行檢驗，所以交易發(fā)生前消費者只有根據賣家提供的特定信息進行評估， 這就給賣家利用信息不對稱進行欺詐提供了機會。dellarocas 通過對策論證實在一個完 全均衡的市場環(huán)境下賣家仍然會作出欺詐行為，因為高質量的產品較低質量的產品利 潤更高，因此賣家往往承諾銷售高質量的產品。 產品評估缺乏統一的標準是在線欺詐的第二大誘因。對于網絡拍賣的產品而言， lee and yoo 認為較之傳統市場環(huán)境，產品的性能問題在電子商務環(huán)境下更難評

37、估和判 斷，尤其是對那些缺乏標準的產品和服務，如二手產品等;與此有相似觀點的 zeithaml、murray 均指出服務性產品比起傳統產品而言更難評估。grazioli and jarvenpaa 研究表明，較之 b2b 和 b2c 交易中產品類型較少，標準化程度較低的現實， c2c 交易的產品多、屬性復雜，研究數據認為其欺詐比重在不斷上升。 買賣雙方二次交易的可能性小以及買家經驗的缺乏也是誘導賣家欺詐的重要因素。 resnick and zeckhauser 連續(xù)研究了 ebay 聲譽系統中 5 個月的數據表明，有 89%的交易 發(fā)生在陌生買賣雙方之間，98.9%的交易主體不會重復 4 次以

38、上進行連續(xù)交易。這說明 在線交易中交易雙方再次交易的可能性很小，不少學者認為這給了欺詐者機會，同時 albert 認為，買家網絡拍賣的經歷越少，交易經驗可能越少，而這類買家遭遇網絡欺 詐的可能性也越大。 3 電子商務的安全技術框架體系結構電子商務的安全技術框架體系結構 3. 1 電子商務安全框架體系 電子商務的安全控制體系結構是保證電子商務數據安全的一個完整邏輯的邏輯結 構。電子商務安全體系由網絡服務層、加密技術層、安全認證層、交易協議層、商務 系統層組成。從層次結構可以看出，下層是上層的基礎，為上層提供技術支持;上層是 下層的擴展與遞進，各層次之間相互依賴、相互關聯構成統一整體，各層通過控制

39、技 術的遞進實現電子商務的安全。 電子商務系統是依賴網絡實現的商務系統，需要利用 internet 基礎設施和標準，所 以構成電子商務安全框架的底層是網絡服務層。它是各種電子商務應用系統的基礎， 并提供信息傳送的載體和用戶接入手段及安全通信服務，保證網絡最基本的運行安全。 為確保電子商務系統全面安全，必須建立完善的加密技術和認證機制。加密技術是保 證電子商務系統安全所采用的最基本的安全措施，它用于滿足電子商務對保密性的要 求。安全認證層中的認證技術是保證電子商務安全的又一必要手段，它對加密技術層 中提供的多種加密算法進行綜合運用，進一步滿足電子商務對完整性、抗否認性、可 靠性的要求。 用于保證

40、電子商務的安全控制技術很多，層次各不相同，但并非是把所有安全技 術簡單地組合就可以得到可靠的安全，只有通過合理改進，才可以從技術上實現系統 的、有效的電子商務安全。 3. 2 加密技術層 3.2.1 對稱密鑰加密(private key) 加密和解密采用相同的算法，并只交換共享的私有密鑰。如果進行通信的交易各 方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露，可通過對稱加密方法加密機密信 息，并隨報文發(fā)送報文摘要和報文散列值，來保證報文的機密性和完整性。密鑰安全 交換是關系到對稱加密有效性的核心環(huán)節(jié)，目前常用的對稱加密算法有 des, idea. 3des 等，其中 des 使用最普遍，被 iso

41、 采用為數據加密的標準。 3.2.2 非對稱密鑰加密(public key) 不同于對稱加密，非對稱加密的密鑰被分解為公開密鑰和私有密鑰。密鑰對生成 后，公開密鑰以非保密方式對外公開，只對應于生成該密鑰的發(fā)布者，私有密鑰則保 存在密鑰發(fā)布方手里。任何得到公開密鑰的用戶都可使用該密鑰加密信息發(fā)送給該公 開密鑰的發(fā)布者，而發(fā)布者得到加密信息后，使用與公開密鑰相應的私有密鑰進行解 密。目前常用的非對稱加密算法是 rsa 算法，該算法已被 iso/tc 的數據加密技術分 委員會 sc20 推薦為非對稱密鑰數據加密標準。 3.2.3 兩類加密方法比較 在對稱和非對稱兩類加密方法中，對稱加密的特點是加密速

42、度快(通常比非對稱加 密快 10 倍以上)、效率高，被廣泛用于大量數據的加密。該方法的致命缺點是密鑰的 傳輸易被截獲，難以安全管理大量的密鑰，因此大范圍應用存在一定的問題。而非對 稱密鑰很好地解決對稱加密中密鑰數量過多難管理及費用高的不足和傳輸中私有密鑰 的泄露，保密性能優(yōu)于對稱加密技術。但非對稱加密算法復雜，加密速度不理想，目 前電子商務實際運用中常是兩者結合使用。 3. 3 安全認證層 目前，僅有加密技術不足以保證電子商務中的交易安全，身份認證技術是保證電 子商務安全不可缺少的又一重要技術手段。認證的實現包括數字摘要技術(digital digest)、 數字簽名技術(digital si

43、gnature)、數字時間戳技術( digital time stamp)、數字憑證技術 (digital id)、認證技術(certificate authority ca)以及智能卡技術(smart card)等共六項技 術。 1. 數字摘要(digital digest) 數字摘要通過使用單向散列函數(hash)將需要加密的明文“摘要”成一個固定長度 (128bit )的密文。該密文同明文是一一對應的，不同的明文加密成不同的密文;相同的 明文其摘要必然一樣。因此，利用數字摘要就可以驗證通過網絡傳輸收到的明文是否 是初始的、未被篡改過，從而保證數據的完整性和有效性。 2. 數字簽名(dig

44、ital signature) 數字簽名是非對稱加密技術中的一種技術。其主要方式為:報文發(fā)送方從報文文本 中生成一個 128 位的散列值(或報文摘要)，并用自己的專用密鑰對這個散列值進行加 密，形成發(fā)送方的數字簽名;然后，這個數字簽名將作為報文的附件和報文一起發(fā)送給 報文的接收方;報文接收方首先從接收到的原始報文中計算出 128 位的散列值(或報文 摘要)，接著再用發(fā)送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列 值相同， 那么接收方就能確認該數字簽名是發(fā)送方的，通過數字簽名能夠實現對原始報文的鑒 別和不可否認性。 3. 數字時間戳( digital time stamp) 數字時

45、間戳在電子商務中，需對交易文件的日期和時間信息采取安全措施，而數 字時間戳服務(dts service)專用于提供電子文件發(fā)表時間的安全保護，該服務由專門 的機構提供。所謂的時間戳是一個經過加密后形成的憑證文檔，共包括 3 個部分:需要 加蓋時間戳的文件的摘要、dts 收到文件的日期和時間、dts 的數字簽名。 4. 數字憑證(digital id) 數字憑證又稱數字證書，是用電子手段來證實一個用戶的身份和對網絡資源訪問 的權限。在網上的電子交易中，交易雙方出示了各自的數字憑證，并用它來進行交易 操作。數字憑證的內部格式是由 ccittx.509 國際標準所規(guī)定的，包含以下內容:憑證 擁有者的

46、姓名、憑證擁有者的公共密鑰、公共密鑰的有效期、頒發(fā)數字憑證的單位、 數字憑證的序列號。數字證書的使用涉及到數字認證中心 ca(certificate authority)。 5. 認證(certificate authority ca) 認證在電子商務系統中無論是數字時間戳服務，還是數字憑證的發(fā)放都需要由一 個具有權威性和公正性的第三方認證機構來承擔。ca 正是這樣一個受信任的第三方。 ca 用來為用戶簽發(fā)證書，提供身份認證服務，是整個系統的安全核心。在非對稱私密 密鑰認證系統中，用戶的簽名密鑰和加密密鑰通常是分開的，而 ca 只知道用戶的簽 名公鑰，這樣就降低了 ca 受到攻擊的危害程度，避

47、免了可信第三方被攻擊和整個系 統陷入癱瘓的嚴重問題。此外，在認證系統中 ca 只負責審核用戶的真實身份并對此 提供證明，不介入具體的認證過程，從而緩解了可信第三方的系統瓶頸問題，而且 ca 只須管理每個用戶的一個公開密鑰，大大降低了密鑰管理的復雜性。這些優(yōu)點使得非 對稱密鑰認證系統可用于用戶眾多的大規(guī)模網絡系統。 6. 智能卡(smart card) 智能卡是一種智能集成電路卡，包括 cpu, ram, rom 等。它不但提供讀寫數據 和存儲數據的能力，而且還具有對數據進行處理的能力，可以實現對數據的加密解密， 能進行數字簽名和驗證數字簽名，其存儲器部分具有外部不可讀特性。智能卡在電子 商務系

48、統中有無法比擬的優(yōu)勢。首先，私人密鑰和電子證書是保存于智能卡的不允許 外讀的存儲單元中，而且可對智能卡的使用設置個人密碼，從而鑒別持卡人是否為該 卡的合法使用者;同時，可以承擔對信息的加密解密、簽名及對簽名的驗證等事務，減 輕了客戶端系統的負擔。當需要對加密解密算法進行改動或替換時只需要對智能卡進 行相應的改動，而無須對客戶端系統進行升級。采用智能卡，使身份識別更有效、安 全，智能卡技術將成為用戶接入和用戶身份認證的首選技術。 3. 4 交易協議層 除了各種安全控制技術外，電子商務的運行還需要一套完善的交易安全協 議。不同交易協議的復雜性、開銷、安全性各不相同，不同的應用環(huán)境對協議目標的 要求

49、也不盡相同。目前，比較成熟的協議有 set,ssl 等基于信用卡的交易協議， netbill, netcheque 等基于支票的交易協議，digicash, netcash 等基于現金的交易協議等。 3.4.1 安全套接字層協議(secure socket layer, ssl) 安全套接字層協議 ssl 是目前使用最廣泛的電子商務協議，它由 netscape 公司于 1996 年設計開發(fā)。它位于運輸層和應用層之間，能很好地封裝應用層數據，不用改變 位于應用層的應用程序，對用戶是透明的。同時，ssl 只需要通過一次“握手”過程， 建立客戶與服務器之間一條安全通信的通道，保證傳輸數據的安全。由于

50、內置于用戶 瀏覽器和商家的 web 服務器中，故能方便而低開銷地進行信息加密，多用于信用卡的 傳送。然而，ssl 并不是專為支持電子商務而設計的，只支持雙方認證，只能保證傳 送信息過程中不因被截而泄密，因為商家完全掌握消費者的帳戶信息，所以不能防止 商家利用獲取的信用卡號進行欺詐。它滿足錢原子性。 3.4.2 安全電子交易協議(secure electronic transaction, set) set 是由 visa 公司和 master card 公司聯合開發(fā)設計的，用于劃分與界定電子商 務活動中的消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系，它 可以對交易各方進行認證，

51、可防止商家欺詐。為了進一步加強安全性，set 使用兩組 密鑰對分別用于加密和簽名，通過雙簽名(dual signature)機制將訂購信息同帳戶信息鏈 接在一起簽名。set 協議開銷較大，客戶、商家、銀行都要安裝相應軟件。set 協議 滿足錢原子性，但不滿足商品原子性和確認發(fā)送原子性。 4 企業(yè)電子商務發(fā)展安全問題分析企業(yè)電子商務發(fā)展安全問題分析 4.1 企業(yè)電子商務安全技術分析 企業(yè)電子商務環(huán)境安全包括鑒別和認證安全、訪問控制安全、審計和響應安全、 冗余和恢復安全、內容安全。 4.1.1 鑒別和認證安全 鑒別和認證是防止非授權的人進入第三方支付平臺進行操作，是系統安全的第一 道防線。鑒別和認

52、證是通過對網絡系統中的主客體進行鑒別，并且給這些主客體賦予 恰當的標志、標簽、證書等。 用一個動作來描述鑒別和認證的操作特點就是“貼標簽” 。鑒別和認證就是為了解 決主體的信用問題和客體的信任問題。這些就是通過各種形式的標簽來實現的。 鑒別和認證不僅僅包括對于用戶的鑒別，還包括與系統訪問相關的各方面實體和 實體特性的鑒別。這些鑒別可以包括:用戶組鑒別、設備鑒別、時間鑒別、網絡地址鑒 別等。從實施成本的考慮，如果將所有安全控制細節(jié)實施在每個實體上，會大大影響 系統的效率和性能，并最終導致系統安全失效。因此，合理控制鑒別的粒度非常重要。 鑒別和認證技術包括: 1、用戶名/口令機制(user/pas

53、sword )此機制是最典型的、最經濟的鑒別機制。 在各種系統中一般都缺省使用這個機制； 2、token, smart card 等強鑒別機制； 3、生物鑒別機制； 4、pki, pki 的核心技術基礎就是公開密鑰，通過一對不相同的公、私鑰，結合密 鑰管理體系，完成對于持有密鑰人的鑒別和認證功能； 5、ip 地址和域名，在網絡中經常用 ip 地址和域名作為鑒別訪問者和被訪問者的 標志。 6、硬件序列號通過硬件設備中的板卡、部件的一些序列號組成一個鑒別體。 比如，cpu 序列號、網卡序列號、網卡 mac 地址等。 4.1.2 訪問控制安全 訪問控制以參考監(jiān)視器(reference monitor

54、)的形式工作，或者說是類似網關、接口和邊 界 的形式。 (一)一個有效的 reference monitor(rm 機制)必須要有三個條件: 1、不可旁路:主體對客體的訪問不能繞過 rm，必須經過 rm 機制的控制、和檢查。 2、抗篡改:rm 應當是一個抗攻擊的體系，不能被攻破;rm 以及配合的規(guī)則庫應當被 正確地配置;另外該機制的特權管理、規(guī)則庫等不能被侵入。 3、足夠小，可以被證明:rm 本身也是程序，因此需要保證其自身的正確性。從計算 機科學的角度看，這是比較困難的。一般也僅僅通過測評認證等工作來部分地滿足。 訪問控制策略： (二)為詳細說明訪問控制規(guī)則，應注意考慮以下各項: 1. 區(qū)分

55、必須執(zhí)行的規(guī)則與可選執(zhí)行的規(guī)則； 2. 所建立的規(guī)則應以“未經明確允許的都是禁止的”為前提，而不是以較弱的原則 “未經明確禁止的都是允許的”為前提； 3. 信息標記的變化，包括由信息處理設備自動引起的或是由用戶決定引起的； 4. 規(guī)則在頒布之前需要管理人員的批準或其他形式的許可； 5. 不同的業(yè)務應用的安全需求； 6. 不同系統的訪問控制和信息分類策略之間的一致性； 7. 對數據和服務保護的有關法規(guī)和合同義務； 8. 分布式和網絡化環(huán)境的訪問權限管理。 (三)訪問控制類型的典型技術包括： 1、訪問控制列表，目前廣泛應用的控制方法，比如操作系統的自主訪問控制就是典型 的例子。 2、主機操作系統加

56、固服務，尋找可能旁路的路徑，然后通過補丁和配置將其彌補;加 強操作系統自身的強壯性不被一般的攻擊所破壞;檢查各項規(guī)則的合理性和有效性 等。 3、防火墻，典型的網絡隔離和網絡訪問控制方法和工具。 4、vpn 虛擬專用網，結合了防火墻技術、加密技術、密鑰管理技術等方面的安全信道 系統。這個安全信道可以理解為兩個網絡區(qū)域之間的一個接口和管道。 5、應用系統訪問控制，一般在應用系統開發(fā)中單獨實現;有時也可以通過調用操作系 統或者數據庫管理系統的訪問控制功能;一些比較通用的應用系統，比如基于 web 的應用，可以通過一些專用的應用系統訪問控制系統完成其功能。 4.1.3 審計和響應安全 審計主要實現機制

57、是通過 standby/sniffer 類型的工作方式實現。這種機制一般情 況下并不干涉和直接影響主業(yè)務流程，而是對主業(yè)務進行記錄、檢查、監(jiān)控等功能來 完成以審計(accountability)、完整性(integrity)等要求為主的安全功能。響應是對系統安 全問 題的實時檢測、告警和處理。其典型技術包括:日志管理，入侵檢測，漏洞掃描和評估， 一致性檢查等。 1、日志(log)，是最基本的審計跟蹤功能，一般的系統都具有此功能。一個安全的 系統需要開啟足夠的日志和審計功能。 2、入侵檢測(ids)，是專門應對異常訪問和操作的監(jiān)控和審計系統。一些非法入侵 者(黑客)為了繞過系統訪問控制和回避日志

58、的記錄，常常采用一些旁門左道， ids 系統就是為了檢查這些異常行為而設計的。不管是基于網絡的 ids 還是基 于主機的 ids，都提供獨立于業(yè)務系統之外的監(jiān)控功能。 3、漏洞掃描和評估(vulnerability assessment)，檢查當前系統中可能存在的不足和 缺陷，為訪問控制系統和其他基礎系統加固提供依據。 4、一致性檢查，系統的一致性檢查和數據的一致性檢查常常是一個非常有效的、 簡單的安全方法，用來發(fā)現系統和數據可能存在的篡改現象。 4.1.4 冗余和恢復安全 從過程上看，冗余和恢復是為了異常情況在事前所作的準備和事后的措施；從管 理層面看，這方面的技術解決方案要結合管理方面的措

59、施，形成企業(yè)的業(yè)務可持續(xù)計 劃。冗余和恢復體現管理過程的動態(tài)性，必須在情況發(fā)生之前就做好充分的準備。因 此，冗余和恢復的關鍵要素就是在情況發(fā)生之前就做好應對的準備工作。而這方面的 準備可以和技術框架的各個環(huán)節(jié)結合起來。比如:防火墻可以進行高可用配置，通過雙 防火墻進行互備;通過配置使得入侵檢測可以和防火墻進行互動等等，可以歸結到冗余 恢復類的典型技術包括: 1、ha 技術，高可用技術常常通過冗余設備來完成。一些具體的技術包括:熱備份、集 群技術、脈搏技術等。 2、路徑冗余，網絡的 ha 常常通過冗余的路徑來實現，當一個線路中斷后，其他冗余 的路徑保證網絡不會整體完全中斷。 3、數據備份和恢復技

60、術，當系統出現問題數據遭到破壞時，可以通過對備份數據的恢 復來保證系統的繼續(xù)運轉。 4、信息銷毀和恢復技術，當數據被非法竊取、非法訪問時，通過信息自毀技術使得數 據失效。另外，對應的就是如何恢復被毀壞的數據。 5、業(yè)務連續(xù)性管理，從整體、管理的角度將冗余和恢復工作與核心業(yè)務要求結合起來。 4.1.5 內容安全 內容安全主要是直接保護在系統中傳輸和存儲的數據或信息，是內容和應用層次 上 的安全技術。內容安全措施，主要是對信息和內容本身做了一些變形和變換，或者對 具體的內容進行檢查。其典型技術包括: 1、ssl 協議 2、加密，保證信息的保密性、完整性和抗抵賴等，是一個非常傳統又非常有效的技術。