電子商務(wù)概論重點(diǎn)難點(diǎn)解析2

1、電子商務(wù)概論重點(diǎn)難點(diǎn)解析（二） 一、電子商務(wù)安全隱患目前開展電子商務(wù)的主要安全隱患有： 1中斷信息系統(tǒng)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤、計(jì)算機(jī)病毒以及自然災(zāi)害都能導(dǎo)致系統(tǒng)不能正常地工作。因而要對(duì)此所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)間、確定的地點(diǎn)是有效的。2竊聽交易信息電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防通過搭線和電磁泄露等手段造成信息泄露，或?qū)I(yè)務(wù)流量進(jìn)行分析，從而獲取有價(jià)值的商業(yè)情報(bào)等一切損害系統(tǒng)機(jī)密性的行為。

2、3篡改交易信息電子商務(wù)簡(jiǎn)化了貿(mào)易過程，減少了人為的干預(yù)，同時(shí)也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)影響貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。4偽造交易信息電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進(jìn)行交易方正是所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能。因此，需要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí)。5抵賴交易

3、行為當(dāng)貿(mào)易一方發(fā)現(xiàn)交易行為對(duì)自己不利時(shí)，否認(rèn)電子交易行為。例如由于價(jià)格的上揚(yáng)，賣方否認(rèn)曾答應(yīng)過協(xié)議，或者由于價(jià)格的下跌，買方否認(rèn)曾求購的請(qǐng)求。因此要求系統(tǒng)具備審查能力，以使交易的任何一方不能抵賴已經(jīng)發(fā)生的交易行為。二、企業(yè)電子商務(wù)安全管理對(duì)策企業(yè)電子商務(wù)的安全管理需要一個(gè)完整的綜合保障體系。應(yīng)當(dāng)從技術(shù)、管理、法律等方面入手，采取行之有效的綜合解決的辦法和措施，才能真正實(shí)現(xiàn)電子商務(wù)的安全運(yùn)作。其主要安全管理對(duì)策體現(xiàn)在以下幾個(gè)方面：（一）人員管理由于人員在很大程度上支配著市場(chǎng)經(jīng)濟(jì)下的企業(yè)的命運(yùn)，而計(jì)算機(jī)網(wǎng)絡(luò)犯罪又具有智能型性、連續(xù)性、高技術(shù)性的特點(diǎn)，因而，加強(qiáng)對(duì)電子商務(wù)人員的管理變得十分重要。貫徹

4、電子商務(wù)安全運(yùn)作基本原則：1、雙人負(fù)責(zé)原則：重要業(yè)務(wù)不要安排一個(gè)人單獨(dú)管理，實(shí)行兩人或多人相互制約的機(jī)制；2、任期有限原則：任何人不得長期擔(dān)任與交易安全有關(guān)的、職務(wù)；3、最小權(quán)限原則：明確規(guī)定只有網(wǎng)絡(luò)管理員才可以進(jìn)行物理訪問，只有網(wǎng)絡(luò)人員才可進(jìn)行軟件安裝工作。（二）保密管理電子商務(wù)涉及企業(yè)的市場(chǎng)、生產(chǎn)、財(cái)務(wù)、供應(yīng)等多方面的機(jī)密，信息的安全級(jí)別又可分為絕密級(jí)、機(jī)密級(jí)和秘密級(jí)三級(jí)，因此，安全管理需要很好地劃分信息的安全防范重點(diǎn)，提出相應(yīng)的保密措施。 保密工作的另一個(gè)重要的問題是對(duì)密鑰的管理。大量的交易必然使用大量的密鑰，密鑰管理必須貫穿于密鑰的產(chǎn)生、傳遞和銷毀的全過程。密鑰需要定期更換，否則可能使

5、“黑客”通過積累密文增加破譯機(jī)會(huì)。 （三）網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)管理1、硬件的日常管理和維護(hù)企業(yè)通過自己的Intranet參與電子商務(wù)活動(dòng)，Intranet的日常管理和維護(hù)變得至關(guān)重要，這就要求網(wǎng)絡(luò)管理員必須建立系統(tǒng)設(shè)備檔案。一般可用一個(gè)小型的數(shù)據(jù)庫來完成這項(xiàng)功能，以便于一旦某地設(shè)備發(fā)生故障，進(jìn)行網(wǎng)上查詢。 對(duì)于一些網(wǎng)絡(luò)設(shè)備，應(yīng)及時(shí)安裝網(wǎng)管軟件。對(duì)于不可管設(shè)備應(yīng)通過手工操作來檢查狀態(tài)，做到定期檢查與隨機(jī)抽查相結(jié)合，以便及時(shí)準(zhǔn)確地掌握網(wǎng)絡(luò)的運(yùn)行狀況，一旦有故障發(fā)生能及時(shí)處理。2、軟件的日常管理和維護(hù)對(duì)于操作系統(tǒng)，所要進(jìn)行的維護(hù)工作主要包括：定期清理日志文件、臨時(shí)文件；定期執(zhí)行整理文件系統(tǒng)；監(jiān)測(cè)服務(wù)器

6、上的活動(dòng)狀態(tài)和用戶注冊(cè)數(shù)；處理運(yùn)行中的死機(jī)情況等。 對(duì)于應(yīng)用軟件的管理和維護(hù)主要是版本控制。為了保持各客戶機(jī)上的版本一致，應(yīng)設(shè)置一臺(tái)安裝服務(wù)器，當(dāng)遠(yuǎn)程客戶機(jī)應(yīng)用軟件需要更新時(shí)，就可以從網(wǎng)絡(luò)上進(jìn)行遠(yuǎn)程安裝。 （四）數(shù)據(jù)備份和應(yīng)急措施為了保證網(wǎng)絡(luò)數(shù)據(jù)安全，必須建立數(shù)據(jù)備份制度，定期或不定期地對(duì)網(wǎng)絡(luò)數(shù)據(jù)加以備份。應(yīng)急措施是指在計(jì)算機(jī)災(zāi)難事件（即緊急事件或安全事故）發(fā)生時(shí)，利用應(yīng)急計(jì)劃輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)。在啟動(dòng)電子商務(wù)業(yè)務(wù)時(shí)，就必須制定交易安全計(jì)劃和應(yīng)急方案，一旦發(fā)生意外，立即實(shí)施，最大限度地減少損失，盡快恢復(fù)系統(tǒng)的正常工作。災(zāi)難恢復(fù)包括許多工作。

7、一方面是硬件的恢復(fù)，使計(jì)算機(jī)系統(tǒng)重新運(yùn)轉(zhuǎn)起來；另一方面是數(shù)據(jù)的恢復(fù)。一般來講，數(shù)據(jù)的恢復(fù)更為重要，難度也更大。目前運(yùn)用的數(shù)據(jù)恢復(fù)技術(shù)主要是瞬時(shí)復(fù)制技術(shù)、遠(yuǎn)程磁盤鏡像技術(shù)和數(shù)據(jù)庫恢復(fù)技術(shù)。（五）跟蹤與審計(jì)管理跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制，用于記錄系統(tǒng)運(yùn)行的全過程。系統(tǒng)日志文件是自動(dòng)生成的，內(nèi)容包括操作日期、操作方式、登錄次數(shù)、運(yùn)行時(shí)間、交易內(nèi)容等。它對(duì)系統(tǒng)的運(yùn)行監(jiān)督、維護(hù)分析、故障恢復(fù)，對(duì)于防止案件的發(fā)生或?yàn)閭善瓢讣峁┍O(jiān)督數(shù)據(jù)，起到非常重要的作用。 審計(jì)制度包括經(jīng)常對(duì)系統(tǒng)日志的檢查、審核，及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)故意入侵行為的記錄和對(duì)系統(tǒng)安全功能違反的記錄，監(jiān)控和捕捉各種安全事件，保存、維護(hù)

8、和管理系統(tǒng)日志。（六）病毒防范 抗病毒是電子商務(wù)安全的一個(gè)新領(lǐng)域。病毒在網(wǎng)絡(luò)環(huán)境下具有更強(qiáng)的傳染性，對(duì)網(wǎng)絡(luò)交易的順利進(jìn)行和交易數(shù)據(jù)的妥善保存造成極大的威脅。從事網(wǎng)上交易的企業(yè)和個(gè)人都應(yīng)當(dāng)建立病毒防范制度，排除病毒的騷擾。三、企業(yè)電子商務(wù)安全管理手段由于電子商務(wù)涉及到金融、企業(yè)、商家等各個(gè)方面的利益，它必須采用行之有效的安全手段?，F(xiàn)今采用了多種實(shí)現(xiàn)手段，以保證電子商務(wù)系統(tǒng)的安全運(yùn)行。比較流行的安全手段有電子商務(wù)系統(tǒng)防火墻、信息加密、數(shù)字簽名、身份認(rèn)證和數(shù)字證書等。（一）電子商務(wù)系統(tǒng)防火墻1.防火墻的基本概念防火墻是指一個(gè)由軟件系統(tǒng)和硬件設(shè)備組合而成的，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。

9、所有的內(nèi)部網(wǎng)和外部網(wǎng)之間的連接都必須經(jīng)過此保護(hù)層，在此進(jìn)行檢查和連接。只有被授權(quán)的通信才能通過此保護(hù)層，從而使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定意義下隔離，防止非法入侵、非法使用系統(tǒng)資源，執(zhí)行安全管制措施，記錄所有可疑的事件，如圖所示。電子商務(wù)系統(tǒng)防火墻必須為電子商務(wù)系統(tǒng)提供以下主要保障： （1）防火墻封鎖所有信息流，對(duì)希望提供的服務(wù)逐項(xiàng)開放，確保授權(quán)訪問。（2）檢查數(shù)據(jù)包的來源、目的地、內(nèi)容及模式，并鑒別真?zhèn)?。?）對(duì)私有數(shù)據(jù)的加密支持和廣泛的服務(wù)支持。2.防火墻的組成防火墻主要包括安全操作系統(tǒng)、過濾器、網(wǎng)關(guān)、域名服務(wù)和Email處理五部分。有的防火墻可能在網(wǎng)關(guān)兩側(cè)設(shè)置兩個(gè)內(nèi)、外過濾器，外過濾器保護(hù)網(wǎng)

10、關(guān)不受攻擊，網(wǎng)關(guān)提供中繼服務(wù)，輔助過濾器控制業(yè)務(wù)流，而內(nèi)過濾器在網(wǎng)關(guān)被攻破后提供對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)。防火墻示意圖3、防火墻的局限性防火墻也有一定的局限性。主要表現(xiàn)在：（1）不能抵御來自內(nèi)部的攻擊。防火墻只能抵御經(jīng)由防火墻的攻擊，不能防范不經(jīng)由防火墻的攻擊。防火墻只是設(shè)在內(nèi)域網(wǎng)和Internet之間，對(duì)其間的信息流進(jìn)行干預(yù)的安全設(shè)施。(2)不能防范人為因素的攻擊，不能防止由公司內(nèi)部人員惡意攻擊或用戶誤操作造成的威脅，以及由于口令泄露而受到的攻擊。(3)不能有效地防止受病毒感染的軟件或文件的傳輸。由于操作系統(tǒng)、病毒、二進(jìn)制文件類型(加密、壓縮)的種類太多且更新很快，所以防火墻無法逐個(gè)掃描每個(gè)文件以查

11、找病毒。(4)不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。例如，一種數(shù)據(jù)驅(qū)動(dòng)式的攻擊可以使主機(jī)修改與系統(tǒng)安全有關(guān)的配置文件，從而使入侵者下一次更容易攻擊該系統(tǒng)。（二）電子商務(wù)信息加密1.信息加密技術(shù)的基本概念(1)加密和解密；加密是指采用數(shù)學(xué)方法對(duì)原始信息(通常稱為“明文”)進(jìn)行再組織，使它成為一種不可理解的形式，這種不可理解的內(nèi)容叫做密文；解密是加密的逆過程，即將密文還原成原來可理解的形式。(2)算法和密鑰。加密和解密過程依靠兩個(gè)元素，缺一不可，這就是算法和密鑰。算法是加密或解密的一步一步的過程。在這個(gè)過程中需要一串?dāng)?shù)字

12、，這個(gè)數(shù)字就是密鑰。(3)密鑰的長度。密鑰的長度是指密鑰的位數(shù)。因此，密鑰的位數(shù)越長，加密系統(tǒng)就越牢固。2電子商務(wù)信息的加密技術(shù)目前，加密技術(shù)分為兩類，即對(duì)稱加密和非對(duì)稱加密。(1)對(duì)稱加密。在對(duì)稱加密方法中，對(duì)信息的加密和解密都使用相同的密鑰。也就是說，一把鑰匙開一把鎖。使用對(duì)稱加密方法將簡(jiǎn)化加密的處理，貿(mào)易雙方都不必彼此研究和交換專用的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。如圖所示。對(duì)稱加密技術(shù)采用相同密鑰，要求貿(mào)易雙方共同保守秘密，以及存在著在通信的貿(mào)易雙方之間確保密鑰安全交換的問題。此外，當(dāng)某一貿(mào)易方有“n”個(gè)貿(mào)易關(guān)系，那么他就要維護(hù)“n”個(gè)專用密鑰(即每把密鑰對(duì)應(yīng)一

13、貿(mào)易方)。對(duì)稱加密方式存在的另一個(gè)問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享同一把專用密鑰，貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對(duì)方的。對(duì)稱加密示意圖(2)非對(duì)稱加密。在非對(duì)稱加密體系中，密鑰被分解為一對(duì)，即一把公開密鑰和一把專用密鑰。這對(duì)密鑰中的任何二把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把則作為專用密鑰(解密密鑰)加以保存。如圖所示。公開密鑰用于對(duì)機(jī)密性的加密，專用密鑰則用于對(duì)加密信息的解密。專用密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握，公開密鑰可廣泛發(fā)布，但它只對(duì)應(yīng)于生成該密鑰的貿(mào)易方。 非對(duì)稱加密示意圖（三）電子商務(wù)數(shù)字簽名數(shù)字簽名，是只有信息的發(fā)

14、送者才能產(chǎn)生，而別人無法偽造的一段數(shù)字串，這段數(shù)字串同時(shí)也是對(duì)發(fā)送者發(fā)送信息的真實(shí)性的一個(gè)有效證明。數(shù)字簽名是通過用密碼算法對(duì)數(shù)據(jù)進(jìn)行加、解密交換實(shí)現(xiàn)的。將數(shù)字簽名用發(fā)送方的私有密鑰進(jìn)行加密，會(huì)同密文一起送給接收方，接收方用發(fā)送方的公開密鑰對(duì)數(shù)字簽名進(jìn)行解密，就可確定消息來自于誰 ，則可確定發(fā)送方的身份是真實(shí)的。數(shù)字簽名可做到既保證簽名者無法否認(rèn)自己的簽名，又保證接收方無法偽造發(fā)送方的簽名，還可作為信息發(fā)收雙方對(duì)某些有爭(zhēng)議信息的法律依據(jù)。數(shù)字簽名提供了一種安全的方法。（四）電子商務(wù)身份認(rèn)證一般來說，用戶身份認(rèn)證可通過三種基本方式或其組合方式來實(shí)現(xiàn)：1、人體生物學(xué)特征方式。由于某些人體生物學(xué)特征

15、，如指紋、聲音、DNA圖案、視網(wǎng)膜掃描等，不同人相同的概率十分小，用它可直接進(jìn)行身份認(rèn)證。但這種方式一般造價(jià)較高，適用于保密程度很高的場(chǎng)合。2、口令方式?？诹钍菓?yīng)用最廣泛的一種身份識(shí)別方式?？诹钜话闶情L度為58的字符串，由數(shù)字、字母、特殊字符、控制字符等組成?？诹畹倪x擇一般應(yīng)滿足以下幾個(gè)原則：（1）容易記憶；（2）不易猜中；（3）不易分析。3、標(biāo)記方式。標(biāo)記是一種用戶所持有的某個(gè)秘密信息(硬件)，標(biāo)記上記錄著用于機(jī)器識(shí)別的個(gè)人信息。它的作用類似于鑰匙，用于啟動(dòng)電子設(shè)備。訪問系統(tǒng)資源時(shí)，用戶必須持有合法的隨身攜帶的物理介質(zhì)（如智能卡)。（五）電子商務(wù)數(shù)字證書數(shù)字證書或公鑰證書是由認(rèn)證機(jī)構(gòu)簽署的，其中含有掌握相