電子商務(wù)的優(yōu)缺點(diǎn)及安全問(wèn)題分析

電子商務(wù)的優(yōu)缺點(diǎn)及安全問(wèn)題分析18757摘要 1TOC\o"1-3"\h\u187571、研究背景 1218672、電子商務(wù)的概述 292912.1電子商務(wù)的概念 289942.2電子商務(wù)的特征 2214762.3電子商務(wù)的功能 3109372.4電子商務(wù)的分類 4225573、電子商務(wù)的SWOT分析 5129823.1電子商務(wù)的優(yōu)勢(shì) 5208093.2電子商務(wù)的劣勢(shì) 598304、電子商務(wù)安全問(wèn)題 683834.1有關(guān)電子商務(wù)的安全性要求 6245964.1.1對(duì)電子商務(wù)活動(dòng)安全性的要求 611904.1.2電子商務(wù)的主要安全要素 6261584.2電子商務(wù)采用的主要安全技術(shù) 7120474.2.1網(wǎng)絡(luò)節(jié)點(diǎn)的安全 7149614.2.2通訊的安全 868904.2.3應(yīng)用程序的安全性 850084.2.4用戶的認(rèn)證管理 8137234.3電子商務(wù)安全需要進(jìn)一步完善的配套措施 9237945、保障電子商務(wù)信息安全措施 9271925.1數(shù)據(jù)加密策略 9300715.2防火墻技術(shù) 10173345.3身份驗(yàn)證技術(shù) 10116315.4保障電子商務(wù)信息安全的環(huán)境性措施 11178156、結(jié)論與討論 12176907、參考文獻(xiàn) 12摘要：研究目的：研究電子商務(wù)的優(yōu)缺點(diǎn)以及電子安全問(wèn)題，從而有針對(duì)性的提出解決電子商務(wù)安全問(wèn)題的策略。研究方法：SWOT分析，對(duì)比分析。研究結(jié)果：通過(guò)SWOT分析和對(duì)比分析得出了電子商務(wù)的優(yōu)缺點(diǎn)和存在問(wèn)題。研究結(jié)論：電子商務(wù)給企業(yè)、消費(fèi)者和社會(huì)所帶來(lái)的收益是不可估量的。特別是電子商務(wù)以其高效、低成本的優(yōu)勢(shì)，必將成為新興的商業(yè)運(yùn)作模式，推動(dòng)著全球經(jīng)濟(jì)的快速發(fā)展。而商務(wù)信息的安全問(wèn)題始終是電子商務(wù)的核心，是阻礙電子商務(wù)廣泛應(yīng)用的最大問(wèn)題。電子商務(wù)的安全問(wèn)題是能夠通過(guò)綜合運(yùn)用各類電子商務(wù)安全技術(shù)，并不斷改進(jìn)和完善。關(guān)鍵詞：電子商務(wù)；存在問(wèn)題；比較分析；SWOT分析；安全問(wèn)題1、研究背景電子商務(wù)以其獨(dú)特的優(yōu)勢(shì)已成為新世紀(jì)經(jīng)濟(jì)增長(zhǎng)的引擎，它對(duì)提高我國(guó)企業(yè)的競(jìng)爭(zhēng)力產(chǎn)生了重大影響。世界經(jīng)濟(jì)的發(fā)展正進(jìn)入一個(gè)信息時(shí)代，電子商務(wù)就是在這個(gè)信息經(jīng)濟(jì)時(shí)代產(chǎn)生和發(fā)展起來(lái)的事物。電子商務(wù)是利用現(xiàn)代信息網(wǎng)絡(luò)進(jìn)行的商務(wù)活動(dòng)，是一種替代傳統(tǒng)商務(wù)活動(dòng)的新形式，尤其是利用Internet來(lái)進(jìn)行以商品交換為中心的各種商務(wù)活動(dòng)，可以極大的降低交易成本，增加貿(mào)易機(jī)會(huì)，提高貿(mào)易效率。隨著我國(guó)加入WTO，電子商務(wù)由于其活動(dòng)范圍的全球化和涉及行業(yè)廣泛性，正在顯著地改變?nèi)藗冮L(zhǎng)期以來(lái)習(xí)以為常的各種傳統(tǒng)商業(yè)貿(mào)易活動(dòng)的內(nèi)容及形式。然而目前我國(guó)中小企業(yè)電子商務(wù)的發(fā)展仍存在許多的問(wèn)題和缺陷，并影響其發(fā)展進(jìn)程。因此，有必要采取相應(yīng)的對(duì)策和措施，在新形勢(shì)下促進(jìn)我國(guó)電子商務(wù)持續(xù)快速的發(fā)展。2、電子商務(wù)的概述2.1電子商務(wù)的概念電子商務(wù)是指在互聯(lián)網(wǎng)(Internet)、企業(yè)內(nèi)部網(wǎng)(Intranet)和增值網(wǎng)(VAN，ValueAddedNetwork)上以電子交易方式進(jìn)行交易活動(dòng)和相關(guān)服務(wù)活動(dòng)，是傳統(tǒng)商業(yè)活動(dòng)各環(huán)節(jié)的電子化、網(wǎng)絡(luò)化。電子商務(wù)包括電子貨幣交換、供應(yīng)鏈管理、電子交易市場(chǎng)、網(wǎng)絡(luò)營(yíng)銷、在線事務(wù)處理、電子數(shù)據(jù)交換(EDI)、存貨管理和自動(dòng)數(shù)據(jù)收集系統(tǒng)。電子商務(wù)利用到的信息技術(shù)包括：互聯(lián)網(wǎng)、外聯(lián)網(wǎng)、電子郵件、數(shù)據(jù)庫(kù)、電子目錄和移動(dòng)電話等，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)，實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購(gòu)物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動(dòng)、交易活動(dòng)、金融活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)的一種新型的商業(yè)運(yùn)營(yíng)模式。人們因自己所處的地位和對(duì)電子商務(wù)參與的角度和程度的不同，給出了許多不同的定義。2.2電子商務(wù)的特征從電子商務(wù)的含義及發(fā)展歷程可以看出電子商務(wù)具有如下基本特征：普遍性：電子商務(wù)作為一種新型的交易方式，將生產(chǎn)企業(yè)、流通企業(yè)以及消費(fèi)者和政府帶入了一個(gè)網(wǎng)絡(luò)經(jīng)濟(jì)、數(shù)字化生存的新天地。方便性：在電子商務(wù)環(huán)境中，人們不再受地域的限制，客戶能以非常簡(jiǎn)捷的方式完成過(guò)去較為繁雜的商業(yè)活動(dòng)。如通過(guò)網(wǎng)絡(luò)銀行能夠全天候地存取賬戶資金、查詢信息等，同時(shí)使企業(yè)對(duì)客戶的服務(wù)質(zhì)量得以大大提高。在電子商務(wù)商業(yè)活動(dòng)中，有大量的人脈資源開發(fā)和溝通，商務(wù)、基于Intranet的電子商務(wù);按照交易對(duì)象，電子商務(wù)可以分為企業(yè)對(duì)企業(yè)的電子商務(wù)(B2B),企業(yè)對(duì)消費(fèi)者的電子商務(wù)(B2C)，企業(yè)對(duì)政府的電子商務(wù)(B2G)，消費(fèi)者對(duì)政府的電子商務(wù)(C2G)，消費(fèi)者對(duì)消費(fèi)者的電子商務(wù)(C2C)，企業(yè)、消費(fèi)者、代理商三者相互轉(zhuǎn)化的電子商務(wù)(ABC)等。3、電子商務(wù)的SWOT分析SWOT分別代表：strengths（優(yōu)勢(shì)）、weaknesses（劣勢(shì)）、opportunities(機(jī)會(huì))、threats（威脅）。3.1電子商務(wù)的優(yōu)勢(shì)1）互聯(lián)網(wǎng)的快速發(fā)展。隨著電腦的普及、網(wǎng)聯(lián)網(wǎng)的快速發(fā)展，給電子商務(wù)的發(fā)展提供了有利的基礎(chǔ)設(shè)施條件。中國(guó)網(wǎng)絡(luò)購(gòu)物的快速發(fā)展，得益于快速普及的網(wǎng)絡(luò)。信用卡等的使用等都為電子商務(wù)更快更強(qiáng)地發(fā)展提供了很好的條件。2）信息化效率高。網(wǎng)上購(gòu)物的便捷性：網(wǎng)上的商品品種很多，并在快速的發(fā)展中，幾乎能滿足大部分消費(fèi)者的需求。網(wǎng)上買家面對(duì)的是無(wú)數(shù)的賣家，同時(shí)賣家面對(duì)的也是無(wú)數(shù)的買家，市場(chǎng)潛能很大。信息化的時(shí)代，高新技術(shù)的發(fā)展使得進(jìn)入的門檻越來(lái)越低，管理維護(hù)的費(fèi)用也相對(duì)要低。3）低成本。電子商務(wù)的發(fā)展使網(wǎng)上購(gòu)物跨越了空間維度，而且節(jié)省時(shí)間。網(wǎng)絡(luò)資源的共享以及中間環(huán)節(jié)的減少還有就是不用去花大量的投資在店鋪上等都使得企業(yè)的成本相對(duì)實(shí)體經(jīng)濟(jì)要低得多，所以價(jià)格上也就要便宜。同時(shí)網(wǎng)上瀏覽購(gòu)物，可以只在幾個(gè)網(wǎng)頁(yè)之間來(lái)回對(duì)照就可以買到自己滿意且相對(duì)價(jià)格更優(yōu)惠的，節(jié)約更多的時(shí)間成本。4）個(gè)性化服務(wù)?，F(xiàn)在互聯(lián)網(wǎng)越來(lái)越為白領(lǐng)人士、大學(xué)生等所普遍使用，網(wǎng)上購(gòu)物也正成為一種潮流?，F(xiàn)在這些階層要么就是沒有時(shí)間逛街要么就是喜歡追逐新鮮事物。他們可以在網(wǎng)上進(jìn)行DIY。服務(wù)越來(lái)越人性化。3.2電子商務(wù)的劣勢(shì)1）安全問(wèn)題。交易中安全是相當(dāng)重要的一個(gè)問(wèn)題。然而中國(guó)現(xiàn)在還沒有很完善的電子商務(wù)法，安全問(wèn)題十分突出。消費(fèi)不安全是制約電子商務(wù)發(fā)展的一個(gè)致命的因素。信用卡信息的安全，數(shù)據(jù)傳輸?shù)陌踩?，個(gè)人隱私等問(wèn)題對(duì)電子商務(wù)的發(fā)展都有阻礙。當(dāng)網(wǎng)上購(gòu)物變得越來(lái)普及的今天，安全問(wèn)題更亟待解決。2）觀念約束。中國(guó)人受傳統(tǒng)的思想的約束，對(duì)于網(wǎng)上購(gòu)物存在顧慮。傳統(tǒng)的眼見才為實(shí)的觀念限制了人們網(wǎng)上購(gòu)物的積極性。思想的約束包括看不到交易的實(shí)體、自己的隱私、信用卡信息、虛擬的交易環(huán)境等所帶來(lái)的擔(dān)憂。3）法律制度問(wèn)題需要規(guī)范。網(wǎng)上交易作為一種交易手段也要受到法律的約束。但是作為一種新的交易形勢(shì)，還沒有健全的法律體制，使得網(wǎng)上交易不規(guī)范，影響網(wǎng)上交易的發(fā)展。而且中國(guó)還沒有像重視實(shí)體產(chǎn)業(yè)一樣重視電子商務(wù)的發(fā)展。網(wǎng)上開店要不要到工商局注冊(cè)、要不要收稅、如果收稅如何制定收稅標(biāo)準(zhǔn)等都是不好與實(shí)體產(chǎn)業(yè)的相一致，衡量的標(biāo)準(zhǔn)和方式也很難確定?，F(xiàn)在中國(guó)的電子商務(wù)還處于起步發(fā)展階段，需要法律的約束更需要法律的扶持。過(guò)嚴(yán)的約束會(huì)限制它的發(fā)展。如果要收稅又要有很多手續(xù)和制度等的約束，很多網(wǎng)店就有可能會(huì)退出這個(gè)市場(chǎng)。4）缺少專業(yè)人才。21世紀(jì)的競(jìng)爭(zhēng)就是人才的競(jìng)爭(zhēng)。中國(guó)電子商務(wù)行業(yè)反映院校人才培養(yǎng)不力、專業(yè)人才信心缺失、企業(yè)缺乏優(yōu)質(zhì)人才。電子商務(wù)作為一個(gè)比較新的行業(yè)，專業(yè)人才比較缺乏。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)人才的缺乏嚴(yán)重限制了中國(guó)電子商務(wù)的發(fā)展。我作為電子商務(wù)專業(yè)的學(xué)生對(duì)此感受頗深。不僅企業(yè)埋怨招不到人才，電子商務(wù)專業(yè)的學(xué)生也苦惱工作難找。5）物流的限制。電子商務(wù)的最終實(shí)現(xiàn)是依靠發(fā)達(dá)而健全的物流的配送來(lái)實(shí)現(xiàn)。中國(guó)物流業(yè)還存在著很多的問(wèn)題。物流體系不健全，物流配送不合理，物流成本高等都成為限制電子商務(wù)發(fā)展的因素。此外，還有相應(yīng)的認(rèn)證體系、技術(shù)不健全等問(wèn)題，而且電子商務(wù)的普及教育培訓(xùn)也需加強(qiáng)。4、電子商務(wù)安全問(wèn)題4.1有關(guān)電子商務(wù)的安全性要求4.1.1對(duì)電子商務(wù)活動(dòng)安全性的要求(1)服務(wù)的有效性要求。電子商務(wù)系統(tǒng)應(yīng)能防止服務(wù)失敗情況的發(fā)生,預(yù)防由于網(wǎng)絡(luò)故障和病毒發(fā)作等因素產(chǎn)生的系統(tǒng)停止服務(wù)等情況,保證交易數(shù)據(jù)能準(zhǔn)確快速的傳送。(2)交易信息的保密性要求。電子商務(wù)系統(tǒng)應(yīng)對(duì)用戶所傳送的信息進(jìn)行有效的加密,防止因信息被截取破譯,同時(shí)要防止信息被越權(quán)訪問(wèn)。(3)數(shù)據(jù)完整性要求。數(shù)字完整性是指在數(shù)據(jù)處理過(guò)程中,原來(lái)數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務(wù)交易的嚴(yán)肅和公正,交易的文件是不可被修改的,否則必然會(huì)損害一方的商業(yè)利益。(4)身份認(rèn)證的要求。電子商務(wù)系統(tǒng)應(yīng)提供安全有效的身份認(rèn)證機(jī)制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時(shí)提供法律依據(jù)。4.1.2電子商務(wù)的主要安全要素(1)信息真實(shí)性、有效性。電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。(2)信息機(jī)密性。電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。(3)信息完整性。電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。(4)信息可靠性、可鑒別性和不可抵賴性?？煽啃砸蠹词悄鼙ＷC合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在internet上每個(gè)人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。4.2電子商務(wù)采用的主要安全技術(shù)4.2.1網(wǎng)絡(luò)節(jié)點(diǎn)的安全防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供一個(gè)相對(duì)更安全的平臺(tái)。防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個(gè)安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。4.2.2通訊的安全在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過(guò)加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書,證書包括一個(gè)公鑰,由一家可信證書授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份,而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載可以在訪問(wèn)之前或訪問(wèn)時(shí))。驗(yàn)證此證書是合法的服務(wù)器證書通過(guò)后利用該證書對(duì)稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰,然后用此對(duì)稱算法加密傳輸?shù)拿魑?。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。4.2.3應(yīng)用程序的安全性即使正確地配置了訪問(wèn)控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的。這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例?緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。訪問(wèn)控制系統(tǒng)中沒有什么可以檢測(cè)到這些問(wèn)題。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)像這些問(wèn)題一樣的錯(cuò)誤。4.2.4用戶的認(rèn)證管理(1)身份認(rèn)證。電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)。CA證書用來(lái)認(rèn)證服務(wù)器的身份,IC卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒有提供交易功能,所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。(2)CA證書。要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書進(jìn)行驗(yàn)證,這份數(shù)字證書就是CA證書,它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。CA中心一般是社會(huì)公認(rèn)的可靠組織,它對(duì)個(gè)人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個(gè)人證書。建立SSL安全鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書。(3)安全套接層SSL協(xié)議。安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。SSL通過(guò)數(shù)字簽名和數(shù)字證書來(lái)實(shí)行身份驗(yàn)證,數(shù)字證書是從認(rèn)證機(jī)構(gòu)(CA,CertificateAuthority)獲得的,通常包含有唯一標(biāo)識(shí)證書所有者的名稱、唯一標(biāo)識(shí)證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后,雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如Ht2tp、Ftp、Telnet等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩?。SSL協(xié)議握手流程由兩個(gè)階段組成:服務(wù)器認(rèn)證和用戶認(rèn)證。4.3電子商務(wù)安全需要進(jìn)一步完善的配套措施電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式,尤其對(duì)發(fā)展中的中國(guó)來(lái)說(shuō),發(fā)展電子商務(wù),就必須從以下幾個(gè)方面來(lái)完善配套措施:(1)突破關(guān)鍵技術(shù)受制于人的瓶頸。(2)我國(guó)應(yīng)盡快對(duì)電子商務(wù)的有關(guān)細(xì)則進(jìn)行立法。(3)大力開發(fā)大型商務(wù)網(wǎng)站,發(fā)展與之相配套的物流公司。(4)為了確保系統(tǒng)的安全性,除了采用技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。(5)建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢。(6)對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份,且對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù),數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。5、保障電子商務(wù)信息安全措施5.1數(shù)據(jù)加密策略加密技術(shù)是電子商務(wù)的最基本措施,最初主要用與保證數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性。隨著電子商務(wù)的發(fā)展,對(duì)數(shù)據(jù)完整性以及身份鑒定技術(shù)提出了新的要求,數(shù)字簽名、身份認(rèn)證就是為了適應(yīng)這種需要在密碼學(xué)中派生出來(lái)的新技術(shù)和新應(yīng)用。加密技術(shù)是一種主動(dòng)的信息安全防范策略,利用一定的加密算法.將明文轉(zhuǎn)換成毫無(wú)意義的密文。阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。比較廣泛使用的加密技術(shù)有兩種:一是對(duì)稱密鑰加密體制,一是非對(duì)稱密鑰加密體制。它們的區(qū)別在于密鑰的類型不同。5.1.1對(duì)稱密鑰加密體制對(duì)稱密鑰加密,又稱私鑰加密(SecretKeyEncryption),即數(shù)據(jù)加密和解密采用的都是同一個(gè)密鑰,因而其安全性依賴于所持有密鑰的安全性,其最大的優(yōu)點(diǎn)就是速度快,適合于對(duì)大數(shù)據(jù)量進(jìn)行加密,但其最大的缺點(diǎn)是在大量用戶的情況下密鑰答理復(fù)雜,而且無(wú)法完成身份認(rèn)證等功能,不便于應(yīng)用于網(wǎng)絡(luò)開放的環(huán)境中。5.1.2非對(duì)稱密鑰加密體制非對(duì)稱密鑰加密體制,又稱公鑰加密(PublicKeyEncryp2tion),數(shù)據(jù)加密和解密采用不同的密鑰,需要使用一對(duì)密鑰來(lái)分別完成加密和解密操作。在非對(duì)稱密鑰加密體制中密鑰被分解為一對(duì)。這對(duì)鑰中的在何一把都可作為公開密鑰,加密密鑰,通過(guò)非保密方式向他人公開。而另一把則作為私用密鑰加以保存。私用密鑰只能由數(shù)據(jù)的接受者掌握。利用公鑰體系可以方便地實(shí)現(xiàn)對(duì)用戶的身份認(rèn)證,也即用戶在信息傳輸前首先用所持有的私鑰對(duì)傳輸?shù)男畔⑦M(jìn)行加密,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進(jìn)行解密,如果能夠解開,說(shuō)明信息確實(shí)為該用戶所發(fā)送,這樣就方便地實(shí)現(xiàn)了對(duì)信息發(fā)送方身份的鑒別和認(rèn)證。通常在實(shí)際應(yīng)用中將公鑰密碼體系和數(shù)字簽名算法結(jié)合使用.在保證數(shù)據(jù)傳輸完整性的同時(shí)完成對(duì)用戶的身份認(rèn)證。5.2防火墻技術(shù)現(xiàn)有的防火墻技術(shù)包括兩大類:數(shù)據(jù)包過(guò)濾和代理服務(wù)技術(shù)。其中,最簡(jiǎn)單和最常用的是包過(guò)濾防火墻,它檢查接受到的每個(gè)數(shù)據(jù)包的頭,以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過(guò)濾,所以可以有效地避兔對(duì)其進(jìn)行的有意或無(wú)意的攻擊,從而保證了專用私有網(wǎng)的安全。將包過(guò)濾防火墻與代理服務(wù)器結(jié)合起來(lái)使用是解決網(wǎng)絡(luò)安全問(wèn)題的一種非常有效的策略。防火墻技術(shù)的局限性主要在于:(1)防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊,不能防止網(wǎng)絡(luò)內(nèi)部用戶對(duì)于網(wǎng)絡(luò)的攻擊。(2)防火墻不能保證數(shù)據(jù)的秘密性,也不能保證網(wǎng)絡(luò)不受病毒的攻擊,它只能有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受主動(dòng)攻擊和入侵。5.3身份驗(yàn)證技術(shù)5.3.1認(rèn)證系統(tǒng)網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份。數(shù)字證書的頒發(fā)機(jī)構(gòu)叫做CertificateAuthority,通常簡(jiǎn)稱為CA。要建立安全的電子商務(wù)系統(tǒng),首先必須建立一個(gè)穩(wěn)固、健全的CA,否則,一切網(wǎng)上的交易都沒有安全保障。5.3.2SSL協(xié)議SSL協(xié)議(SecureSocket,Layer,安全套接層)主要目的是解決TCP/IP協(xié)議不能確認(rèn)用戶身份的問(wèn)題,在Socket上使用非對(duì)稱的加密技術(shù),以保證網(wǎng)絡(luò)通信服務(wù)的安全性。SSL協(xié)議易于實(shí)現(xiàn)。SSL協(xié)議還是最值得信賴的協(xié)議。但是由于SSL協(xié)議當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的,所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方的安全傳輸和信任關(guān)系。5.3.3SET協(xié)議SET(SecureElectronicTransaction)安全電子交易協(xié)議是用于Internet上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。主要應(yīng)用于B/C模式中保障支付信息的安全性。SET協(xié)議提供對(duì)消費(fèi)者、商戶和銀行的認(rèn)證,協(xié)議本身比較復(fù)雜,設(shè)計(jì)比較嚴(yán)格,安全性高,確保電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性,特別是保證了不會(huì)將持卡人的信用卡號(hào)泄露給商戶。其核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。它的交易規(guī)范成為了未來(lái)電子商務(wù)發(fā)展的方向。5.4保障電子商務(wù)信息安全的環(huán)境性措施目前,基于Internet的電子商務(wù)應(yīng)用還不成熟,許多內(nèi)外部環(huán)境還不夠完善,相應(yīng)的法律、法規(guī),相關(guān)的標(biāo)準(zhǔn)還都沒有建立,跨部門、跨地區(qū)的協(xié)調(diào)存在較大問(wèn)題。5.4.1構(gòu)造我國(guó)完善的電子商務(wù)體系積極參與國(guó)際合作,融合國(guó)際電子商務(wù)框架,構(gòu)造適合中國(guó)國(guó)情的電子商務(wù)體系。作為一個(gè)主權(quán)國(guó)家,為了維護(hù)國(guó)家的利益和經(jīng)濟(jì)安全,在電子商務(wù)相關(guān)技術(shù)方面注重自主知識(shí)產(chǎn)權(quán)技術(shù)的開發(fā),不能全部依賴進(jìn)口。因此,必須加大投資力度,重點(diǎn)支持電子商務(wù)技術(shù)的研發(fā)工作。5.4.2加強(qiáng)法律法規(guī)建設(shè)針對(duì)利用信息高科技和信息系統(tǒng)等新型犯罪,政府部門應(yīng)盡快組織力量,結(jié)合電子商務(wù)的客觀需要,對(duì)現(xiàn)有的與電子商務(wù)相關(guān)的法律法規(guī),利用法律與犯罪作斗爭(zhēng)是人類歷來(lái)的做法。如:《中華人民共和國(guó)刑法》、《全國(guó)人大常委會(huì)關(guān)于互聯(lián)網(wǎng)安全的決定》、《合同法》、《著作權(quán)法》等進(jìn)行修改。在這些法律中,可以適當(dāng)增加對(duì)網(wǎng)絡(luò)犯罪處罰的條款,增加對(duì)網(wǎng)絡(luò)作品著作權(quán)保護(hù)的條款;對(duì)電子