電子商務(wù)系統(tǒng)建設(shè)過程中的信息安全問題

1、摘要當今信息化社會中，電子商務(wù)在現(xiàn)實生活中的地位越來越重大，隨之而來的各方面的問題就隨之出現(xiàn)。更嚴重的是關(guān)于電子商務(wù)的安全性問題?，F(xiàn)在病毒越來越先進，在電子商務(wù)進行中，我們要更加注意信息安全的問題。電子商務(wù)作為一種全新的商務(wù)模式,它有很大的發(fā)展前途, 且隨之而來的安全問題也越來越突出, 如何建立一個安全、 便捷的電于商務(wù)應(yīng)用環(huán)境, 對信息提供足夠的保護, 是商家和用戶都十分關(guān)注的話題。安全問題己成為電子商務(wù)的核心問題。分析了電子商務(wù)中存在的安全問題, 并闡述目前解決電子商務(wù)安全隱患的主要安全技術(shù)及相關(guān)策略。本文先介紹了電子商務(wù)的基本概念及其安全方面的一些知識。繼而概述了電子商務(wù)出現(xiàn)后，企業(yè)信息

2、系統(tǒng)的變化與發(fā)展，針對電子商務(wù)出現(xiàn)后企業(yè)信息系統(tǒng)的安全問題和現(xiàn)行的方法。關(guān)鍵詞： 電子商務(wù) 信息安全 安全問題 AbstractToday's computerized society, electronic commerce in reality the status of the more important, along with the various problems resulted. more seriously about e-commerce security issues. the viruses more sophisticated, on electronic

3、commerce conducted, we should pay more attention to information security.Electronic commerce as a new business model, it has a lot of possibilities, and the consequent sense of security has become more prominent, how to build a safe, convenient to use electricity in the business environment of infor

4、mation to provide adequate protection, and the user is concerned about the subject. Security issues of electronic commerce has become the core issues. the analysis of e-commerce in the security problems and solve on e-commerce is the chief safety technology and related policy.The first to introduce

5、electronic commerce of the basic concept and its safety knowledge. they outline the electronic commerce appeared, the enterprise information system changes and developments in e-commerce, a corporate information systems, security and the existing method.e-commerce Information security Safety problem

6、s目錄摘要IAbstractII1緒論11.1電子商務(wù)綜述11.1.1電子商務(wù)的概念11.2電子商務(wù)業(yè)務(wù)發(fā)展趨勢21.2.1用戶數(shù)量和交易額較快攀升21.2.2競爭加劇，導(dǎo)致市場快速走向成熟21.2.3多模式融合與創(chuàng)新，盡顯資源優(yōu)勢21.2.4收費是必然，但是還需待以時日21.2.5國際化趨勢明顯32電子商務(wù)系統(tǒng)的安全性問題32.1電子商務(wù)安全32.2 電子商務(wù)中存在的兩大類安全問題42.2.1 網(wǎng)絡(luò)安全問題42.2.2 商務(wù)安全問題42.2.3 目前電子商務(wù)中存在的主要安全問題42.3電子商務(wù)安全保障的措施52.3.1技術(shù)上的安全措施52.3.2管理上的安全措施62.3.3法律上的安全保障6

7、3電子商務(wù)系統(tǒng)的安全對策63.1技術(shù)方面63.1.1使用新的加密技術(shù)63.1.2使用入侵檢測和高可靠的容侵技術(shù)73.2管理方面73.3法律方面84 商務(wù)交易安全的設(shè)計94.1 數(shù)據(jù)加密94.2 數(shù)字簽名104.3 數(shù)字證書115總結(jié)11文獻12致謝131緒論1.1電子商務(wù)綜述1.1.1電子商務(wù)的概念電子商務(wù)定義電子商務(wù)是指交易雙方通過計算機網(wǎng)絡(luò)所進行的所有交易活動，即通過交易發(fā)生實物性商品(如服裝、家用電器等)所有權(quán)的轉(zhuǎn)移，或?qū)崿F(xiàn)了服務(wù)性商品(如金融服務(wù)、網(wǎng)絡(luò)信息咨詢服務(wù)等)的有償消費(提供)。其實質(zhì)就是貿(mào)易活動各環(huán)節(jié)的電子化、網(wǎng)絡(luò)化，即利用電子信息技術(shù)和計算機網(wǎng)絡(luò)來解決擴大宣傳、降低成本、增

8、加價值、創(chuàng)造商機和銷售產(chǎn)品及提供服務(wù)的商務(wù)活動。(1)B2B電子商務(wù)定義 B2B(Business to Business ，企業(yè)對企業(yè))電子商務(wù)是企業(yè)與企業(yè)之間通過互聯(lián)網(wǎng)進行產(chǎn)品、服務(wù)及信息的交換。B2B是電子商務(wù)按交易對象分類中的一種，即表示商業(yè)機構(gòu)對消費者的電子商務(wù)。這種形式的電子商務(wù)是在企業(yè)與企業(yè)之間進行的。一般以信息發(fā)布與撮合為主，主要是建立商家之間的橋梁。(2)C2C電子商務(wù)定義C2C(Customer to Customer，消費者對消費者)電子商務(wù)模式，是指網(wǎng)絡(luò)服務(wù)提供商利用計算機和網(wǎng)絡(luò)技術(shù)，提供有償或無償使用的電子商務(wù)平臺和交易程序，允許交易雙方(主要為個人用戶)在其平臺上獨

9、立開展以競價、議價為主的在線交易模式。(3)B2C電子商務(wù)定義 B2C(Business to Customer，企業(yè)對消費者)電子商務(wù)模式，是指網(wǎng)站的所有者(暫稱為網(wǎng)站方)直接面對客戶，把商品銷售給客戶，屬于零售，所謂自己建站，自己賣。從商品的流向看，B2C的商品是上游供應(yīng)商網(wǎng)站客戶。資金的流向，絕大部分情況都是用戶網(wǎng)站上游供應(yīng)商;發(fā)票也都是由網(wǎng)站給用戶開出，不管是普通發(fā)票，還是增值稅票。1.2電子商務(wù)業(yè)務(wù)發(fā)展趨勢1.2.1用戶數(shù)量和交易額較快攀升未來5年之內(nèi)中國C2C電子商務(wù)市場的用戶數(shù)量將會進一步增長，交易額將會持續(xù)增長。各項環(huán)境的改善，使得網(wǎng)絡(luò)購物的優(yōu)勢進一步凸現(xiàn)，越來越多的人將進行網(wǎng)

10、絡(luò)購物，金額交易額也有較大的提高。預(yù)計到2010年中國C2C電子商務(wù)市場的注冊用戶數(shù)將達到7200萬人，其中活躍用戶數(shù)將達到2700萬人，交易額將可能達到1100億。1.2.2競爭加劇，導(dǎo)致市場快速走向成熟如前所屬，中國C2C競爭相當激烈。隨著進入者的增多，競爭將會更加劇烈。主要表現(xiàn)為資金的大量投入，競爭將產(chǎn)生兩方面的結(jié)果。一方面，競爭機制實現(xiàn)優(yōu)勝劣汰。一些C2C網(wǎng)站逐步完善自身的管理和服務(wù)，為交易雙方提供良好的交易環(huán)境，積累了龐大的顧客基礎(chǔ)，形成明顯的網(wǎng)絡(luò)經(jīng)濟效應(yīng);而一些小網(wǎng)站則不堪重負，逐漸退出市場。另一方面，市場的競爭吸引了各界的極大關(guān)注，培育了人們網(wǎng)上交易的習(xí)慣，加深參與度，給C2C市

11、場帶來繁榮。1.2.3多模式融合與創(chuàng)新，盡顯資源優(yōu)勢在目前情況下，B2C型網(wǎng)站也會到C2C網(wǎng)站經(jīng)營，同時B2C網(wǎng)站本身也常常采取聯(lián)營招租的形式，而企業(yè)交易平臺的廠商也可能進入零售或者個人電子商務(wù)市場。各種電子商務(wù)模式(B2B，B2C和C2C)相互融合，尤其是B2C和C2C的界限逐漸模糊，競爭與合作同在，充分發(fā)揮資源互補優(yōu)勢，盡顯市場經(jīng)濟的活力。1.2.4收費是必然，但是還需待以時日即使目前中國的C2C電子商務(wù)市場以免費為主流，并且這種主流至少還將延續(xù)幾年的時間。但是收費是必然的趨勢，現(xiàn)在只是個時間的問題。收費至少產(chǎn)生以下兩方面效應(yīng):一方面，能提高網(wǎng)上經(jīng)營的誠信度，只要交費，像隨意開店、靠虛假交

12、易騙取誠信積分等現(xiàn)象將大有好轉(zhuǎn);另一方面，網(wǎng)站一旦擁有費用來源，便可以很好地加強和穩(wěn)定網(wǎng)站的各方面建設(shè)，包括員工在職培訓(xùn)、企業(yè)文化建設(shè)、識產(chǎn)權(quán)保護、顧客關(guān)系管理等，壯大網(wǎng)站成長的力量。1.2.5國際化趨勢明顯這里的國際化主要表現(xiàn)為:一是資本的國際化;二是交易的國際化。中國C2C電子商務(wù)無疑具有極好的市場發(fā)展前景和潛力，這將吸引各種國外投資資金的大規(guī)模進入;另一方面，互聯(lián)網(wǎng)開放、無時空限制的特點將有利促進國際貿(mào)易的發(fā)展，促進商品在不同國度之間的流通。2電子商務(wù)系統(tǒng)的安全性問題2.1電子商務(wù)安全有了網(wǎng)絡(luò)才有電子商務(wù), 電子商務(wù)的發(fā)展依賴于網(wǎng)絡(luò)的發(fā)展。在電子商務(wù)迅速發(fā)展的同時,虛擬銀行、 虛擬企業(yè)、

13、 網(wǎng)上商店、 網(wǎng)上購物、 網(wǎng)上支付等一大批網(wǎng)絡(luò)交易詞語令我們耳熟能詳, 但這些電子商務(wù)模式卻都與 網(wǎng)絡(luò) 有關(guān),沒有了網(wǎng)絡(luò)安全也就不存在電子商務(wù)的安全。網(wǎng)絡(luò)安全是指通過采用各種技術(shù)和管理措施, 保護網(wǎng)絡(luò)系統(tǒng)中的硬件、 軟件不被破壞, 保護系統(tǒng)中數(shù)據(jù)的可用性、 完整性和保密性, 從而確保網(wǎng)絡(luò)的正常運行不中斷。網(wǎng)絡(luò)數(shù)據(jù)的安全問題從其本質(zhì)上講也就是網(wǎng)絡(luò)上的信息安全。電子商務(wù)安全是一個系統(tǒng)概念, 不僅與計算機系統(tǒng)結(jié)構(gòu)有關(guān), 還與電子商務(wù)應(yīng)用的環(huán)境、 人員素質(zhì)和社會因素有關(guān)。包括電子商務(wù)系統(tǒng)硬件安全、 電子商務(wù)系統(tǒng)軟件安全、 電子商務(wù)系統(tǒng)運行安全等。電子商務(wù)的安全問題是由計算機安全性、 網(wǎng)絡(luò)安全性發(fā)展而來

14、的。包括交易的安全和數(shù)據(jù)信息的安全及系統(tǒng)運行的可靠性。其中交易的安全又是電子商務(wù)發(fā)展的核心和關(guān)鍵問題。2.2 電子商務(wù)中存在的兩大類安全問題2.2.1 網(wǎng)絡(luò)安全問題現(xiàn)在隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展, 網(wǎng)絡(luò)安全成了新的安全研究熱點。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲和傳輸?shù)男畔⒌陌踩浴＞W(wǎng)絡(luò)安全問題是計算機系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計算機網(wǎng)絡(luò)的潛在威脅, 概括來說網(wǎng)絡(luò)安全的內(nèi)容包括:計算機網(wǎng)絡(luò)設(shè)備安全、 計算機網(wǎng)絡(luò)系統(tǒng)安全、 數(shù)據(jù)庫安全等2.2.2 商務(wù)安全問題商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題,在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上, 如何保障電子商務(wù)過程的順利進行。即實現(xiàn)電

15、子商務(wù)的保密性、 完整性、 可鑒別性、 不可偽造性和不可抵賴性。網(wǎng)上交易日益成為新的商務(wù)模式, 基于網(wǎng)絡(luò)資源的電子商務(wù)交易已為大眾接受,人們在享受網(wǎng)上交易帶來的便捷的同時, 交易的安全性備受關(guān)注, 網(wǎng)絡(luò)所固有的開放性與資源共享性導(dǎo)致網(wǎng)上交易的安全性受到嚴重威脅。所以在電子商務(wù)交易過程中, 保證交易數(shù)據(jù)的安全是電子商務(wù)系統(tǒng)的關(guān)鍵。2.2.3 目前電子商務(wù)中存在的主要安全問題( 1) 對合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息, 仿冒合法用戶的身份與他人進行交易, 從而獲得非法利益。( 2) 對信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上, 通過物理或邏輯的手段, 對數(shù)據(jù)進行非法的截獲

16、與監(jiān)聽, 從而得到通信中敏感的信息。如典型的 虛擬盜竊 能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號, 還能以欺騙的手法進行產(chǎn)品交易, 甚至能洗黑錢。( 3) 對信息的篡改。攻擊者有可能對網(wǎng)絡(luò)上的信息進行截獲后篡改其內(nèi)容, 如修改消息次序、 時間, 注入偽造消息等, 從而使信息失去真實性和完整性。( 4) 拒絕服務(wù)。攻擊者使合法接入的信息、 業(yè)務(wù)或其他資源受阻。( 5) 對發(fā)出的信息予以否認。某些用戶可能對自己發(fā)出的信息進行惡意的否認, 以推卸自己應(yīng)承擔的責任。( 6) 信用威脅。交易者否認參加過交易, 如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款; 用戶付款后, 賣方?jīng)]有把商品發(fā)送

17、到客戶手中, 使客戶蒙受損失。( 7) 電腦病毒。電腦病毒問世十幾年來, 各種新型病毒及其變種迅速增加, 互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快, 動輒造成數(shù)百億美元的經(jīng)濟損失。如, CIH 病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬計的計算機以沉重打擊。2.3電子商務(wù)安全保障的措施為了提高電子商務(wù)的安全行，需要方方面面的參與和努力，可從以下三個大的方面來綜合考慮，即技術(shù)措施、管理措施、法律措施。2.3.1技術(shù)上的安全措施電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善，這些技術(shù)包括：加密技術(shù)、認證技術(shù)、訪問控制技術(shù)、信息流

18、控制技術(shù)、數(shù)據(jù)保護技術(shù)、軟件保護技、病毒檢測及清除技術(shù)、內(nèi)容分類識別和過濾技術(shù) 網(wǎng)絡(luò)隱患掃描技術(shù) 系統(tǒng)安全監(jiān)測報警與審計技術(shù)等，而其中最主要的是加密技術(shù)以及身份認證技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)。通過使用不同的密鑰，可用同一加密算法，將同一明文加密成不同的密文。當需要時可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)進行解密。認證是防止主動攻擊的重要技術(shù)，對于開放環(huán)境中的各種信息系統(tǒng)的安全性有重要作用。認證的主要技術(shù)是：第一，實體認證，即驗證信息的發(fā)送者是真的，而不是冒充的：第二，信息認證，即驗證信息的完整性。計算機安全技術(shù)本身的發(fā)展就存在一個時滯的問題。病毒的

19、感染、黑客的侵襲更使人們對計算機的安全性，特別是網(wǎng)絡(luò)上電子商務(wù)運行的安全性產(chǎn)生懷疑。這種情況對電子商務(wù)的推行造成了極為不利的影響。這就需要一只精干的安全技術(shù)研究隊伍，集中力量盡快解決電子商務(wù)的安全技術(shù)問題，包括密碼技術(shù)、認證技術(shù)、訪問控制技術(shù)等，并能夠隨著計算機和電子商務(wù)技術(shù)的發(fā)展而不斷改進這些技術(shù)2.3.2管理上的安全措施在管理方面，缺乏約束機制，責權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等是引起系統(tǒng)安全風險的根源。首先在管理高層要引起對電子商務(wù)安全的足夠重視，促成管理人員同相關(guān)的技術(shù)人員一起制定企業(yè)內(nèi)部、外部網(wǎng)絡(luò)安全規(guī)劃和標準。其次要制定詳細的安全行為規(guī)范，在加強基礎(chǔ)設(shè)施安全管理

20、的同時加強相關(guān)人員的管理。健全相應(yīng)的規(guī)章制度來規(guī)范和約束員工的行為，包括各種硬軟件設(shè)備使用和維護權(quán)限的管理辦法，網(wǎng)絡(luò)系統(tǒng)登錄和使用的安全保障管理辦法，數(shù)據(jù)維護和備份的管理規(guī)定等。通過合理分工，把整個系統(tǒng)管理的權(quán)限分散通過加強監(jiān)督，確保電子商務(wù)系統(tǒng)管理的安全、高效。2.3.3法律上的安全保障電子商務(wù)交易涉及消費者、企業(yè)、政府，市場容量巨大，僅依靠安全技術(shù)無法完全解決其安全問題，還需要建立和完善信用體系及電子商務(wù)的法律法規(guī)體系，明確各自需要遵守的法律義務(wù)和責任，才能有效規(guī)范電子商務(wù)中的安全隱患。這就需要電子商務(wù)交易各方合法身份證的法律、保護交易者個人及交易數(shù)據(jù)的法律、電子商務(wù)中電子合同合法性及如何

21、進行認證的法律、網(wǎng)絡(luò)知識產(chǎn)權(quán)保護的法律等相關(guān)法律規(guī)則 目前聯(lián)合國貿(mào)易法委員會已制訂了一套有關(guān)電子商務(wù)的法律范本，為電子商務(wù)的發(fā)展奠定了法律基礎(chǔ)。3電子商務(wù)系統(tǒng)的安全對策3.1技術(shù)方面 3.1.1使用新的加密技術(shù) 加強密碼技術(shù)的研究與開發(fā)加密技術(shù)是信息交換安全的基礎(chǔ)，通過數(shù)據(jù)加密、消息摘要、數(shù)字簽名及密鑰交換等技術(shù)實現(xiàn)了數(shù)據(jù)機密性、 數(shù)據(jù)完整性、 不可否認性和用戶身份真實性等安全機制，從而保證了電子商務(wù)系統(tǒng)中信息交換的安全。 密碼技術(shù)可以分為二類：對稱加密算法、非對稱加密算法。對稱加密技術(shù)主要用于數(shù)據(jù)的加密,目前我國電子商務(wù)系統(tǒng)中使用的對稱加密技術(shù)主要是 DES 算法，它的密鑰只有 56位，利用

22、當前的網(wǎng)格計算可以在短期內(nèi)破解，因此必須在我國電子商務(wù)中推廣更好的3DES或ASE算法；非對稱加密技術(shù)主要用于數(shù)據(jù)加密、數(shù)字簽名、密鑰交換等方面,電子商務(wù)系統(tǒng)安全中的許多技術(shù)都是建立在非對稱加密技術(shù)的基礎(chǔ)之上的，目前我國電子商務(wù)系統(tǒng)中使用的非對稱加密技術(shù)主要是RSA算法，它的缺點是密鑰比較長，造成運算復(fù)雜，很難在智能卡和移動設(shè)備上使用， 目前在國外已經(jīng)開始使用更好的ECC（橢圓曲線公鑰加密）算法來代替 RSA 算法，在我國電子商務(wù)系統(tǒng)中也應(yīng)使用ECC加密技術(shù)，以提高電子商務(wù)的安全性。 3.1.2使用入侵檢測和高可靠的容侵技術(shù) 目前大家十分重視網(wǎng)絡(luò)病毒的防護，一般網(wǎng)絡(luò)客戶都安裝了殺毒軟件，但是大

23、家對網(wǎng)絡(luò)攻擊不夠重視，特別是企業(yè)。據(jù)統(tǒng)計，在電子商務(wù)系統(tǒng)中由網(wǎng)絡(luò)入侵造成的經(jīng)濟損失要遠遠超出因病毒而造成的經(jīng)濟損失。入侵檢測通過對網(wǎng)絡(luò)用戶的行為信息進行采集、分析和過濾，及時準確地向系統(tǒng)的管理者發(fā)出警報，它是目前維護網(wǎng)絡(luò)安全的重要技術(shù)之一。高可靠的容侵是通過將機密信息按照某種算法分拆成若干個組成部分，只獲取機密信息的一個組成部分或幾個是不能還原成有意義的內(nèi)容，如此將每一個部分保存在不同的堡壘主機中，采取這樣一種工作方式將保證即使系統(tǒng)中的部分主機被入侵者控制也不會泄密。隨著黑客技術(shù)的發(fā)展和我國黑客群體的增加，網(wǎng)絡(luò)入侵（攻擊）越來越多,由此造成的經(jīng)濟損失和影響也越來越大，因此為了保證電子商務(wù)系統(tǒng)的

24、正常運作，必須使用入侵檢測技術(shù)和高可靠的容侵技術(shù),這是提高我國電子商務(wù)系統(tǒng)安全的重要途徑之一。 3.2管理方面 （1）加強人員管理 實踐證明，絕大部分安全與保密問題是由內(nèi)部人員造成。而且我國的高新技術(shù)產(chǎn)業(yè)有一個特點，就是人員流動非常頻繁，公司內(nèi)的員工跳槽的頻度非常高，所以尤其需要注意加強人員管理。對關(guān)鍵崗位人員的錄用一定要加強人事審查，錄用后要明確崗位和責任范圍，簽訂保密協(xié)定，定期進行培訓(xùn)，盡量保持關(guān)鍵崗位員工的相對穩(wěn)定。 （2）加強交易密碼管理 目前網(wǎng)絡(luò)攻擊的最終目的是通過各種途徑非法獲得交易密碼，然后通過此密碼合法進入系統(tǒng)進行非法操作。為了避免交易密碼被非法盜取，我們可以采取如下措施。 1

25、）由專門安全人員集中隨機生成字符與數(shù)字相結(jié)合的交易密碼，并對其進行嚴格的測量以判定隨機性； 2）增加交易密碼的長度（不少于 8 位） ，定期更換交易密碼； 3）采用一定的保密手段傳遞和分發(fā)交易密碼； 4）在關(guān)鍵部門（系統(tǒng)管理、密碼生成）采用指紋識別等技術(shù)進行身份認證。 （3）加強監(jiān)管，建立各種有關(guān)的合理制度 必須加強監(jiān)管，建立各種有關(guān)的合理制度，并加強嚴格監(jiān)督，如建立交易的安全制度、交易安全的實時監(jiān)控、提供實時改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)漏洞的檢查等。在這方面，主要充分發(fā)揮政府有關(guān)部門、企業(yè)的主要領(lǐng)導(dǎo)、信息服務(wù)商的作用。 3.3法律方面 在電子商務(wù)系統(tǒng)中，傳統(tǒng)交易下所產(chǎn)生的糾紛及風險并

26、沒有隨著高科技的發(fā)展而消失，相反網(wǎng)絡(luò)的虛擬性、流動性、隱匿性對交易安全及消費者權(quán)益保護提出了更多的挑戰(zhàn)，因此制定相應(yīng)的法律法規(guī)來約束互聯(lián)網(wǎng)用戶的行為是電子商務(wù)系統(tǒng)的基礎(chǔ)。我國政府十分重視電子商務(wù)系統(tǒng)的法律法規(guī)的制定，目前制定的有關(guān)法律法規(guī)有中華人民共和國計算機信息系統(tǒng)安全保護條例、中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定、中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)絡(luò)安全保護管理辦法、電子簽名法等,它們直接約束了計算機安全和電子商務(wù)系統(tǒng)的安全。這些法律法規(guī)在電子商務(wù)系統(tǒng)中發(fā)揮著重大的作用，但是這些已經(jīng)制訂的法律法規(guī)在實際操作過程中還有很多不夠完善的地方，如交易過程中商家提供虛假信息、侵害消

27、費者的隱私、糾紛問題等都沒得到很好的解決，還需要建立健全相應(yīng)的法律法規(guī)，設(shè)立專門機構(gòu)對電子商系統(tǒng)的進行有效的管理。4 商務(wù)交易安全的設(shè)計在電子商務(wù)交易安全保密防護措施中, 密碼技術(shù)被用于信息加密、 信息認證、 身份認證和密鑰管理, 是保證電子商務(wù)交易信息安全的重要手段。 密碼技術(shù)是對信息進行重新編碼, 隱藏信息內(nèi)容, 使非法用戶無法獲取信息真實內(nèi)容的一種技術(shù)手段, 通過不同的加密機制和加密算法實現(xiàn)對信息的保密和防止信息偽造。4.1 數(shù)據(jù)加密加密技術(shù)是電子商務(wù)采取的主要安全措施, 貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前加密技術(shù)分為對稱加密和非對稱加密兩類。對稱加密技術(shù)是在對信息的加密和解密中

28、都使用相同的密鑰, 由此存在著通信的貿(mào)易方之間要確保密鑰安全交換的問題。此外無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。非對稱加密又稱為公鑰加密, 密鑰被分解成為一對。 這對密鑰中的一把作為公開密鑰(加密密鑰) , 通過非保密方式向他人公開, 而另一把則作為私有密鑰(解密密鑰)加以保存。 私鑰只能由生成密鑰對的貿(mào)易方掌握, 公鑰可廣泛發(fā)布, 但它只對應(yīng)于生成該密鑰的貿(mào)易方。在電子商務(wù)實際應(yīng)用中, 結(jié)合兩種加密方法的優(yōu)點, 對于密鑰管理、 密鑰交換、 數(shù)字簽名和認證等涉及信息較少且比較重要的情況, 使用公鑰加密系統(tǒng)進行加密, 而對于信息量大和安全性要求不是很高的情況, 使用對稱加密系統(tǒng)不失為一種兩全其美的方

29、法。 在實際應(yīng)用中,也可采用對稱加密系統(tǒng)加密文件, 采用公開密鑰加密系統(tǒng)加密密鑰(又稱會話密鑰) , 這就是混合加密系統(tǒng)3, 它即有對稱加密的速度, 又有非對稱加密的靈活性的算法, 能較好的解決運算速度問題和密鑰分配管理問題。在混合加密系統(tǒng)中 ( 如圖 1 所示) , 采用DES算法作為對稱加密系統(tǒng)標準, 公鑰加密系統(tǒng)使用 RSA加密算法, 形成電子商務(wù)環(huán)境下的混合加密方法?？梢跃C合發(fā)揮兩種加密體制的優(yōu)點, 即 DES的高速簡便性和 RSA密鑰管理的方便性和安全性, 即保證了數(shù)據(jù)安全, 同時又提高了加密和解密的速度。4.2 數(shù)字簽名當數(shù)據(jù)(可能是一個文件, 一個程序或一段文字等) 從 A 傳送

30、到 B 時, 加密可以保證只有擁有密鑰者(B)才可讀取這段段信息, 實現(xiàn)了安全性編程中內(nèi)容的保密性要求, 但安全性編輯還要求具有不可篡改性, 身份的確定性(B能確認數(shù)據(jù)確實是 A發(fā)過來的) , 以及不可否認性( 發(fā)生糾紛時, B 能證明數(shù)據(jù)確實是由 A 發(fā)來的) , 這些都可由數(shù)字簽名4來實現(xiàn)。 其實, 數(shù)字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用, 它的基本步驟是: 發(fā)送者 A用其秘鑰 SKA對報文 M進行運算, 將結(jié)果 DSKA(M) 和 M一起傳送給接收者 B。B 用已經(jīng)的 A 的公鑰 PKA 得出EPKA(DSKA(M) ) =M , 如果 M=M , 簽名的真實性就得到了驗證。在 Java

31、 中使用數(shù)字簽名, 由類 java.security.signature 來處理數(shù)字簽名, 共方法有如下的 6類:(1) keyPairGenerator() 產(chǎn)生簽名密鑰;(2) getInstance () 指出算法和提供者 (可選) ;(3) initSign()和 initVerify() 用于初始化簽名對象, initSign()采用私鑰, initVerify()采用公鑰;(4) update() 一旦簽名對象初始化完畢, 就可以用此方法將數(shù)據(jù)傳送給它;(5) sign() 如正在進行簽名, 則此方法會返回用方法 update()傳送給簽名對象的數(shù)據(jù)的簽名結(jié)果;(6) verify

32、()如是要驗證數(shù)據(jù)而不是進行簽名, 則要調(diào)用此方法。4.3 數(shù)字證書為了保證商務(wù)交易, 支付活動的真實可靠,需要一種機制來驗證活動中各方的真實身份。因此, 數(shù)字證書成為了公鑰體制用于大規(guī)模安全電子商務(wù)的最基本的要素。它含有掌握相應(yīng)密鑰的持證者的確切身份, 唯一標識證書所有者 (即貿(mào)易方) 的名稱、唯一標識證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字數(shù)字簽名、證書的有效期及證書的序列號等 5。證書發(fā)布者一般稱為證書管理機構(gòu)( CA) , 它是貿(mào)易各方都信賴的機構(gòu)。貿(mào)易伙伴間可以使用數(shù)字證書來交換公鑰, 而且數(shù)字證書能夠起到標識貿(mào)易方的作用, 是目前電子商務(wù)廣泛采用的技術(shù)之一。CA 是提供身份驗證的第三方機構(gòu), 由一個或多個用戶信任的組織實體組成。如持卡人要與商家通信, 就要從公共媒體上獲得了商家的公鑰, 但持卡人無法確定商家不是冒充的,于是持卡人請求 CA 對商家認證。CA 對商家進行調(diào)查, 驗證和鑒別后, 將包含商家公鑰的證書傳給持卡人。 同樣, 商家也可對持卡人進行驗證。數(shù)字證書的主要功能是保存公鑰和某個人或機構(gòu)的對應(yīng)關(guān)系。 可用 J2SDK提供的 keytool 工具來創(chuàng)建數(shù)字證書。5總結(jié)當今社會中，電子商務(wù)在社會中扮演的角色越來越重要