電子商務(wù)的風(fēng)險(xiǎn)及其安全管理技術(shù) 會(huì)計(jì)學(xué)專(zhuān)業(yè)

1、目 錄 摘 要2第1章電子商務(wù)的風(fēng)險(xiǎn)及其安全管理41.1電子商務(wù)41.2 安全管理5第2章 電子商務(wù)的風(fēng)險(xiǎn)72.1 風(fēng)險(xiǎn)投資人眼中的電子商務(wù)72.2電子商務(wù)的四種風(fēng)險(xiǎn)82.2.1商業(yè)風(fēng)險(xiǎn)82.2.2電子商務(wù)技術(shù)風(fēng)險(xiǎn)102.2.3電子商務(wù)法律風(fēng)險(xiǎn)11第3章 電子商務(wù)安全管理技術(shù)123.1電子商務(wù)系統(tǒng)安全123.2電子商務(wù)的安全要素133.3電子商務(wù)安全技術(shù)143.3.1加密的含義143.3.2加密的方法153.4 數(shù)字信封173.5消息摘要173.6數(shù)字簽名183.7數(shù)字時(shí)間戳183.8數(shù)字證書(shū)193.9 認(rèn)證中心203.10防火墻20第4章 電子商務(wù)安全協(xié)議224.1安全的超文本傳輸協(xié)議224

2、.2 SSL安全協(xié)議224.3 SET安全技術(shù)234.4 SET與SSL比較24結(jié) 束 語(yǔ)25致 謝 詞26參考文獻(xiàn)27摘 要電子商務(wù)不僅給企業(yè)帶來(lái)新的機(jī)遇，同樣也帶來(lái)了新的風(fēng)險(xiǎn)。本文將主要分析三種類(lèi)型的電子商務(wù)的風(fēng)險(xiǎn)：商業(yè)風(fēng)險(xiǎn)，技術(shù)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。企業(yè)只有在充分了解了電子商務(wù)風(fēng)險(xiǎn)，才能更好的安全管理。在新千年初，許多商務(wù)網(wǎng)站就受到了黑客們不同層次的攻擊，這些網(wǎng)站包括eBay，eTrade，Yahoo等著名的公司。不斷出現(xiàn)的梅莉莎愛(ài)蟲(chóng)等病毒的瘋狂肆虐使得全球成千上萬(wàn)臺(tái)電腦癱瘓，嚴(yán)重地影響了企業(yè)的業(yè)務(wù)運(yùn)作，直接導(dǎo)致幾十億美元的損傷。電子商務(wù)的風(fēng)險(xiǎn)很大。電子商務(wù)業(yè)務(wù)運(yùn)作模式的開(kāi)放性和全球化使得安全

3、的含義更為廣泛，安全性方面的管理要求更高，所受到重視的程度更高。電子商務(wù)系統(tǒng)硬件安全、電子商務(wù)系統(tǒng)軟件安全、電子商務(wù)系統(tǒng)運(yùn)行安全、信息的保密性、交易文件的完整性、信息的不可否認(rèn)性、交易者身份的真實(shí)性、加密、解密、通用密鑰密碼體制、公開(kāi)密鑰密碼體制、數(shù)字摘要、數(shù)字證書(shū)、認(rèn)證中心、SSL協(xié)議、SET 協(xié)議等安全管理。關(guān)鍵詞：電子商務(wù)；風(fēng)險(xiǎn)；安全管理AbstractNot only electronic commerce brings the new opprtunity to the enterprise, has similarly also brought the new risk.This

4、article will mainly analyze three kind of types the electronic commerce risk: Commercial risk, technological risks and legal risk.The enterprise only then has been understanding the electronic commerce risk fully, can a better safety control. In the new thousand beginnings of the year, many commerci

5、al websites have come under the hacker different level attack, these websites include eBay, eTrade, Yahoo and so on famous company. Similarly, appears unceasingly Mei Lisha , “l(fā)ike virus and so on insect wreaking havoc crazily cause the global tens of thousands of Taiwan computer paralysis, has affe

6、cted enterprises service operation seriously, causes several dozens hundred million US dollars damages directly. The electronic commerce risk is very big. Electronic commerce service operation pattern openness and the globalization cause the safe meaning to be more widespread, the secure aspect mana

7、gement request is higher, receives the degree which takes to be higher. Electronic commerce system hardware security, electronic commerce system software security, electronic commerce system movement security, information secrecy, transaction document integrity, information undeniable, swapper statu

8、s authenticity, encryption, decipher, general key password system, public key password system, digital abstract, digital certificate, authentication center, SSL agreement, SET agreement and so on safety control.Key word: Electronic commerce ；risk；safety control第1章電子商務(wù)的風(fēng)險(xiǎn)及其安全管理1.1電子商務(wù)1電子商務(wù)的概念電子商務(wù)（Ele

9、ctronicCommerce）即通過(guò)電信網(wǎng)絡(luò)進(jìn)行的生產(chǎn)、營(yíng)銷(xiāo)和流通活動(dòng)，它不僅指基于因特網(wǎng)上的交易，而且指所有利用電子信息技術(shù)來(lái)解決擴(kuò)大宣傳、降低成本、增加價(jià)值和創(chuàng)造商機(jī)的商務(wù)活動(dòng)。包括通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)從原材料查詢、采購(gòu)、產(chǎn)品展示、訂購(gòu)到生產(chǎn)、儲(chǔ)運(yùn)以及電子支付等一系列的貿(mào)易活動(dòng)。2電子商務(wù)的業(yè)務(wù)范疇電子商務(wù)涵蓋的業(yè)務(wù)包括：商務(wù)信息交換、售前售后服務(wù)（提供產(chǎn)品和服務(wù)的細(xì)節(jié)、產(chǎn)品使用技術(shù)指南、回答顧客意見(jiàn)）、廣告、銷(xiāo)售、電子支付(電子資金轉(zhuǎn)帳、信用卡、電子支票、電子現(xiàn)金)、運(yùn)輸(包括有形商品的發(fā)送管理和運(yùn)輸跟蹤，以及可以電子化傳送產(chǎn)品的實(shí)際發(fā)送）、組建虛擬企業(yè)等。3電子商務(wù)的優(yōu)越性 電子商務(wù)提供企業(yè)

10、虛擬的全球性貿(mào)易環(huán)境，大大提高了商務(wù)活動(dòng)的水平和服務(wù)質(zhì)量。新型的商務(wù)通信通道其優(yōu)越性是顯而易見(jiàn)的，其優(yōu)點(diǎn)包括： (1)大大提高了通信速度，尤其是國(guó)際范圍內(nèi)的通信速度。 (2)節(jié)省了潛在開(kāi)支，如電子郵件節(jié)省了通信郵費(fèi)，而電子數(shù)據(jù)交換則大大節(jié)省了管理和人員環(huán)節(jié)的開(kāi)銷(xiāo)。 (3)增加了客戶和供貨方的聯(lián)系。如電子商務(wù)系統(tǒng)網(wǎng)絡(luò)站點(diǎn)使得客戶和供貨方均能了解對(duì)方的最新數(shù)據(jù)。 (4)提高了服務(wù)質(zhì)量，以一種快捷方便的方式提供企業(yè)及其產(chǎn)品的信息及客戶所需的服務(wù)。 (5)提供了交互式銷(xiāo)售渠道。使商家能及時(shí)得到市場(chǎng)反饋，改進(jìn)本身的工作。 (6)提供全天候的服務(wù)，即每年365天，每天24小時(shí)的服務(wù)。最重要的一點(diǎn)是，電子商

11、務(wù)增強(qiáng)了企業(yè)的競(jìng)爭(zhēng)力。4電子商務(wù)運(yùn)作中的倫理障礙在網(wǎng)絡(luò)這一新興媒體中，發(fā)布信息不象在傳統(tǒng)媒體上會(huì)受到那么多的制約。而且由于網(wǎng)絡(luò)的虛擬特點(diǎn)，一般消費(fèi)者即使在覺(jué)察到信息的錯(cuò)誤以后,也很難向發(fā)布信息的企業(yè)進(jìn)行追究,甚至根本就不知道網(wǎng)絡(luò)企業(yè)的地址。因此一些網(wǎng)絡(luò)企業(yè)便表現(xiàn)得肆無(wú)忌憚,在網(wǎng)上發(fā)表各種各樣的信息，或者制造出各種各樣的新聞，來(lái)吸引消費(fèi)者或者創(chuàng)造所謂的點(diǎn)擊率,以擴(kuò)大自己的商業(yè)影響，謀求經(jīng)濟(jì)效益。1.2 安全管理- 電子商務(wù)業(yè)務(wù)運(yùn)作模式的開(kāi)放性和全球化使得安全的含義更為廣泛，安全性方面的管理要求更高，所受到重視的程度更高。而企業(yè)比以往任何時(shí)候都更需要知道其合作伙伴的真實(shí)身份。客戶需要保證其保密信息

12、不會(huì)被暴露。Internet技術(shù)的開(kāi)放性雖然有很大好處，但也使惡人常常有機(jī)可乘，從而比以往更有可能暴露有價(jià)值的企業(yè)信息、關(guān)鍵性的商業(yè)應(yīng)用以及公司客戶的各類(lèi)私人保密信息。惡意的襲擊會(huì)侵入電子商務(wù)站點(diǎn)，進(jìn)行各種可能的破壞，如制造和傳播破壞性病毒或讓網(wǎng)站拒絕服務(wù)。這些攻擊可引起服務(wù)崩潰，保密信息暴露，從而最終導(dǎo)致公眾信心的喪失以至電子商務(wù)實(shí)施的瓦解。1商品品質(zhì)的問(wèn)題我國(guó)目前還處于傳統(tǒng)計(jì)劃經(jīng)濟(jì)向市場(chǎng)經(jīng)濟(jì)的轉(zhuǎn)型時(shí)期。這種轉(zhuǎn)型，不僅僅是一種經(jīng)濟(jì)體制的變化，更是一種文化的轉(zhuǎn)型。由于法制法規(guī)的不健全，與市場(chǎng)經(jīng)濟(jì)相配套的法律還很不完善。不少企業(yè)不講信譽(yù)，制造假冒偽劣產(chǎn)品，以謀取暴利。這使消費(fèi)者在進(jìn)行購(gòu)買(mǎi)時(shí)，對(duì)商

13、店和商品產(chǎn)生不信任。許多消費(fèi)者直接去商店買(mǎi)物品，也往往會(huì)買(mǎi)到假貨，造成很多糾紛。電子商務(wù)由于其虛擬的特點(diǎn)，這一問(wèn)題就更為嚴(yán)重。雖然,足不出戶，輕點(diǎn)鼠標(biāo)，便可通過(guò)計(jì)算機(jī)屏幕瀏覽網(wǎng)上商店的各種商品，然后再輸入自己的家庭地址和數(shù)量等資料，便會(huì)有人將選定的商品送上門(mén)。但由于交易過(guò)程的虛擬化，消費(fèi)者事前無(wú)法看到商品的實(shí)樣和不能夠當(dāng)面交易，其暴露出來(lái)的問(wèn)題卻日益嚴(yán)重。這一因素嚴(yán)重制約了電子商務(wù)的開(kāi)展。2信用與支付手段的問(wèn)題利用電子商務(wù)進(jìn)行交易必然會(huì)涉及到信用與支付問(wèn)題。由于電子商務(wù)的“無(wú)紙化”和“無(wú)址化”，對(duì)參加交易的各方提出了更高的信用要求。處于轉(zhuǎn)型期的中國(guó)社會(huì)，傳統(tǒng)的“義理社會(huì)”價(jià)值體系的約束作用正在

14、日趨削弱，而基于法制基礎(chǔ)之上的“契約社會(huì)”還遠(yuǎn)未形成。目前國(guó)內(nèi)雖然現(xiàn)在有一些銀行開(kāi)始進(jìn)行在線支付和開(kāi)辦網(wǎng)上銀行業(yè)務(wù)等方面的試點(diǎn)工作，但是在中國(guó)信用制度還很不完善的情況下，單靠銀行的力量也很難解決這一問(wèn)題。而且，由于人與人間的信任度較差，很少有人愿意貿(mào)然通過(guò)網(wǎng)絡(luò)的形式把自己的信用卡帳號(hào)等個(gè)人資料告訴企業(yè)，因?yàn)樯圆涣羯窬蜁?huì)發(fā)生想象不到的嚴(yán)重問(wèn)題?，F(xiàn)在大多數(shù)從事電子商務(wù)的企業(yè)，都選擇了貨到付款這樣一種較可靠的方式，以解決在貨款的支付中雙方互不信任的問(wèn)題。但是，電子商務(wù)活動(dòng)進(jìn)行的最終目的，就是為了進(jìn)行快捷、方便、安全的交易，使資金使用和貨物流向趨于合理。如果我們?nèi)匀谎赜脗鹘y(tǒng)的交易方法，使用現(xiàn)款支付的方

15、式來(lái)實(shí)行網(wǎng)上交易，必然會(huì)制約企業(yè)電子商務(wù)的運(yùn)作規(guī)模，而且違背了電子商務(wù)活動(dòng)的初衷。3風(fēng)險(xiǎn)電子商務(wù)的風(fēng)險(xiǎn)影響著消費(fèi)者和售貨代理商，也許是外部的hacker也許是內(nèi)部的hacker，可以用偷的數(shù)據(jù)來(lái)騙取錢(qián)的信任卡片公司或者學(xué)習(xí)貿(mào)易商業(yè)對(duì)手。Perpetrators的動(dòng)機(jī)廣泛使包括改變(修改)。Perpetrators的動(dòng)機(jī)廣泛使包括改變(修改)，如財(cái)物上的獲利，由以前的雇員報(bào)復(fù)，或者內(nèi)在滿意的hacking或者cracking系統(tǒng)。 有時(shí)犯罪者利用安全專(zhuān)家所認(rèn)定的系統(tǒng)的缺點(diǎn)，藉由這個(gè)缺點(diǎn)來(lái)入侵計(jì)算機(jī)系統(tǒng)。由要求目標(biāo)的雇員經(jīng)常獲得突破一個(gè)安全系統(tǒng)所必需的信息正確樣式中的正確問(wèn)題。第二章 電子商務(wù)的風(fēng)

16、險(xiǎn)2.1 風(fēng)險(xiǎn)投資人眼中的電子商務(wù)獲得風(fēng)險(xiǎn)資本支持是許多電子商務(wù)企業(yè)成長(zhǎng)必需的條件。而要獲得風(fēng)險(xiǎn)資本支持，一個(gè)電子商務(wù)企業(yè)在風(fēng)險(xiǎn)投資人眼中必須具有一定的投資價(jià)值。那么，什么樣的電子商務(wù)企業(yè)具有較大的投資價(jià)值呢？或者說(shuō)，風(fēng)險(xiǎn)投資人是如何評(píng)估一個(gè)電子商務(wù)企業(yè)的投資價(jià)值的呢？1風(fēng)險(xiǎn)投資項(xiàng)目的價(jià)值與項(xiàng)目評(píng)估在風(fēng)險(xiǎn)投資人眼中，風(fēng)險(xiǎn)投資項(xiàng)目的價(jià)值是由三個(gè)要素決定的：該項(xiàng)目要解決的問(wèn)題的大小；該項(xiàng)目所提供的解決該問(wèn)題的辦法的優(yōu)劣；該項(xiàng)目企業(yè)管理隊(duì)伍的質(zhì)量。首先，風(fēng)險(xiǎn)項(xiàng)目要解決的問(wèn)題越大，在其它條件相等的情況下，該項(xiàng)目的投資價(jià)值就大。一般而言，以解決很大的問(wèn)題為已任的風(fēng)險(xiǎn)項(xiàng)目會(huì)得到風(fēng)險(xiǎn)投資資本的鐘愛(ài)。實(shí)際上，

17、這是因?yàn)閱?wèn)題越大，對(duì)解決問(wèn)題辦法的需求就越大，市場(chǎng)的潛力就越大，企業(yè)增長(zhǎng)的潛力也越大。其次，在其它條件相等的情況下，一個(gè)較優(yōu)的解決問(wèn)題的辦法會(huì)比一個(gè)較劣的辦法具有更大的價(jià)值。再次，項(xiàng)目企業(yè)管理隊(duì)伍的質(zhì)量越高，在其它條件相等的情況下，該項(xiàng)目的投資價(jià)值就越大。這是因?yàn)橐粋€(gè)好的項(xiàng)目，對(duì)一個(gè)較大的問(wèn)題提供一種較優(yōu)的解決辦法的企業(yè)，其增長(zhǎng)潛力固然很好，但要把潛力變成現(xiàn)實(shí)，需要高水平的管理。一支高質(zhì)量的管理隊(duì)伍，更有可能充分地把一個(gè)企業(yè)的增長(zhǎng)辦法變?yōu)樵鲩L(zhǎng)的現(xiàn)實(shí)。 在具體決定是否投資于某一項(xiàng)目時(shí)，投資人要測(cè)算項(xiàng)目企業(yè)投資價(jià)值的具體數(shù)字。測(cè)算的最基本的方法是自由現(xiàn)金流量法，即預(yù)測(cè)項(xiàng)目企業(yè)在未來(lái)所能獲取的以現(xiàn)金

18、形式出現(xiàn)的利潤(rùn)并將其貼現(xiàn)，以此來(lái)估計(jì)項(xiàng)目企業(yè)的投資價(jià)值的大小。此外，還有以相對(duì)比率辦法來(lái)預(yù)測(cè)企業(yè)投資價(jià)值的，即依據(jù)市價(jià)與利潤(rùn)之比，或市價(jià)與銷(xiāo)售額之比來(lái)預(yù)測(cè)企業(yè)投資價(jià)值。在這個(gè)基礎(chǔ)上考慮風(fēng)險(xiǎn)因素，權(quán)衡后決定是否投資和投資多少。2電子商務(wù)企業(yè)的投資價(jià)值及項(xiàng)目評(píng)估電子商務(wù)企業(yè)作為風(fēng)險(xiǎn)項(xiàng)目，其投資價(jià)值的決定與其它風(fēng)險(xiǎn)項(xiàng)目在原則上是一致的，即由它所要解決的問(wèn)題的大小、其解決方法的優(yōu)劣與企業(yè)管理隊(duì)伍的質(zhì)量決定。自由現(xiàn)金流量法是把電子商務(wù)企業(yè)的投資價(jià)值與其未來(lái)的獲利能力聯(lián)系起來(lái)，這是立足于關(guān)于投資的最基本的原則立場(chǎng)。任何一項(xiàng)資產(chǎn)的投資價(jià)值都是由該資產(chǎn)的未來(lái)獲利能力決定的。這種方法預(yù)測(cè)出來(lái)的投資價(jià)值較為牢靠。

19、但使用這種方法需要技巧和經(jīng)驗(yàn)，是一件比較復(fù)雜的事情。市價(jià)與銷(xiāo)售額比率法使用起來(lái)更容易。對(duì)于通常在創(chuàng)立后幾年內(nèi)都不能贏利的電子商務(wù)企業(yè)來(lái)說(shuō)，使用此法最為方便。其缺點(diǎn)是只看銷(xiāo)售額，不考慮為了實(shí)現(xiàn)這些銷(xiāo)售而付出的成本，因此不能準(zhǔn)確反映電子商務(wù)企業(yè)的未來(lái)獲利能力。另一個(gè)缺點(diǎn)是不能充分考慮到每一個(gè)企業(yè)的特殊情況，只是將其與“類(lèi)似”企業(yè)作簡(jiǎn)單類(lèi)比。市價(jià)與顧客人數(shù)之比則更為簡(jiǎn)陋。此法不考慮到各組不同顧客支出的差異，不考慮到為了吸收顧客而付出的成本，故很難對(duì)電子商務(wù)企業(yè)未來(lái)贏利能力有可靠的預(yù)測(cè)。而且，它也是將每一個(gè)電子商務(wù)企業(yè)的特殊情況排除在考慮范圍之外，僅將其與“類(lèi)似”企業(yè)作一個(gè)簡(jiǎn)單類(lèi)比。2.2電子商務(wù)的四

20、種風(fēng)險(xiǎn)電子商務(wù)不僅給企業(yè)帶來(lái)新的機(jī)遇，同樣也帶來(lái)了新的風(fēng)險(xiǎn)。本文將主要分析三種類(lèi)型的電子商務(wù)的風(fēng)險(xiǎn)：商業(yè)風(fēng)險(xiǎn)，技術(shù)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。企業(yè)只有在充分了解了電子商務(wù)風(fēng)險(xiǎn)，才能真正享受電子商務(wù)帶來(lái)的成功。2.2.1商業(yè)風(fēng)險(xiǎn)給企業(yè)帶來(lái)新的商業(yè)風(fēng)險(xiǎn)的是IT技術(shù)在企業(yè)中的應(yīng)用，許多企業(yè)為了擴(kuò)展市場(chǎng)開(kāi)拓新業(yè)務(wù)，投人了大量資金進(jìn)行企業(yè)的電子化，當(dāng)IT策略與商務(wù)策略整合的時(shí)候，計(jì)算機(jī)、互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng) 、數(shù)據(jù)庫(kù)等信息技術(shù)使企業(yè)商務(wù)必然形成全新的商業(yè)風(fēng)險(xiǎn)。這些新的商業(yè)風(fēng)險(xiǎn)歸納起來(lái)主要體現(xiàn)在以下幾個(gè)方面。1競(jìng)爭(zhēng)環(huán)境風(fēng)險(xiǎn)首先，體現(xiàn)在企業(yè)與競(jìng)爭(zhēng)對(duì)手相比。在電子商務(wù)方面應(yīng)用的超前或滯后所帶來(lái)的市場(chǎng)競(jìng)爭(zhēng)風(fēng)險(xiǎn)。由于信息技術(shù)的不斷

21、進(jìn)步和成本的大幅降低使電子商務(wù)的進(jìn)入障礙非常容易打破，這就意味著并不是先人者先就一定先贏?？v觀現(xiàn)在國(guó)內(nèi)外各行業(yè)電子商務(wù)的領(lǐng)頭羊們，他們并不一定是該行業(yè)電子商務(wù)的先行者。如果一個(gè)企業(yè)認(rèn)為進(jìn)行電子商務(wù)，只要一次投資就可以受益，那必然會(huì)被電子商務(wù)的不斷更新所淘汰。其次，在電子商務(wù)時(shí)代，顧客需求更新速度加快和顧客忠誠(chéng)度越來(lái)越難以保持，顧客流向競(jìng)爭(zhēng)對(duì)手的風(fēng)險(xiǎn)隨時(shí)存在。由于電子商務(wù)的進(jìn)入門(mén)檻變得越來(lái)越低，作為企業(yè)的競(jìng)爭(zhēng)對(duì)手同樣很容易進(jìn)人電子商務(wù)領(lǐng)域，如果他們?cè)陔娮由虅?wù)客戶服務(wù)方面做得出色，顧客很容易流向競(jìng)爭(zhēng)對(duì)手。對(duì)于這一點(diǎn)企業(yè)需要在增加顧客吸引力上不斷創(chuàng)新，才能有效降低風(fēng)險(xiǎn)。第三，體現(xiàn)在先進(jìn)的電子商務(wù)技術(shù)

22、手段是否符合顧客及市場(chǎng)環(huán)境現(xiàn)實(shí)的需求。換句話說(shuō)，就是過(guò)于超前的技術(shù)并不能給企業(yè)帶來(lái)競(jìng)爭(zhēng)的優(yōu)勢(shì)，反而會(huì)給企業(yè)的投資帶來(lái)不必要的浪費(fèi)。2企業(yè)流程再造風(fēng)險(xiǎn)電子商務(wù)是一種基于網(wǎng)絡(luò)的商務(wù)活動(dòng)過(guò)程。企業(yè)在采用電子商務(wù)模式或進(jìn)行e化的進(jìn)程中，勢(shì)必對(duì)組織內(nèi)部以及組織之間的商務(wù)流程進(jìn)行重新的設(shè)計(jì)和建立，以達(dá)到資源及時(shí)準(zhǔn)確地共享的目的，從而降低成本，提高效率和質(zhì)量?？梢赃@樣認(rèn)為，電子商務(wù)流程再造是企業(yè)實(shí)施電子商務(wù)成功的關(guān)鍵因素之一。迅速變化的市場(chǎng)要求企業(yè)快速轉(zhuǎn)型，然而企業(yè)內(nèi)部流程以及外部合作流程的改進(jìn)并非一言而就，這就勢(shì)必給企業(yè)電子商務(wù)化的流程改進(jìn)帶來(lái)更大的風(fēng)險(xiǎn)，有研究顯示企業(yè)流程的改進(jìn)很少能夠完全成功，而許多都

23、是一敗涂地。因此對(duì)于企業(yè)e化的過(guò)程中，無(wú)論是企業(yè)的決策者還是企業(yè)員工都應(yīng)對(duì)企業(yè)流程再造風(fēng)險(xiǎn)有相當(dāng)?shù)恼J(rèn)識(shí)。企業(yè)無(wú)論作為采購(gòu)者上網(wǎng)還是作為供應(yīng)者上網(wǎng)，必須根據(jù)電子商務(wù)商業(yè)運(yùn)作規(guī)律本身的要求來(lái)重組內(nèi)部的流程體系，改變自己內(nèi)部的管理標(biāo)準(zhǔn)。3消費(fèi)者高期望的風(fēng)險(xiǎn)由于電子商務(wù)最大優(yōu)勢(shì)之一就是便捷，所以電子商務(wù)作為一個(gè)新興的市場(chǎng)營(yíng)銷(xiāo)渠道，消費(fèi)者對(duì)它有較高的期望。比如說(shuō)消費(fèi)者進(jìn)行電子郵件咨詢或網(wǎng)上咨詢，他們希望得到的服務(wù)像電話服務(wù)一樣迅速準(zhǔn)確，而不是得到一封封標(biāo)準(zhǔn)的自動(dòng)回復(fù)郵件。而我們現(xiàn)實(shí)的電子商務(wù)，在這方面做的卻往往不盡人意。據(jù)北美一家電子商務(wù)商業(yè)雜志對(duì)北美前60名的網(wǎng)上商店的調(diào)查顯示，18%的電子郵件咨詢沒(méi)

24、有得到答復(fù)，72%的售后服務(wù)不盡人意，25%的交貨延遲。正是由于消費(fèi)者較高的期望與實(shí)際的落差，給從事電子商務(wù)的企業(yè)帶來(lái)了新的風(fēng)險(xiǎn)，企業(yè)很容易因?yàn)闊o(wú)法滿足客戶實(shí)時(shí)的需求從而最終失去客戶。4企業(yè)合作風(fēng)險(xiǎn)在電子商務(wù)時(shí)代，企業(yè)為了降低成本，加速資金周轉(zhuǎn)采用廣泛的跨地區(qū)的國(guó)內(nèi)、國(guó)際合作。這樣從事電子商務(wù)的企業(yè)就需要將部分商務(wù)流程擴(kuò)展到合作伙伴，而且這些流程要求企業(yè)間共同運(yùn)作和控制;比如:汽車(chē)制造業(yè)的全球廣泛合作。同時(shí)企業(yè)電子商務(wù)的部分業(yè)務(wù)，例如：網(wǎng)站服務(wù)器的托管租用、物流等可能需要外包，這些都將導(dǎo)致企業(yè)對(duì)合作伙伴和其他企業(yè)依賴的風(fēng)險(xiǎn)。謹(jǐn)慎選擇合作伙伴和外包業(yè)務(wù)承攬商可以降低部分風(fēng)險(xiǎn)。但企業(yè)間不同的運(yùn)行機(jī)

25、制和文化將增加整個(gè)電子商務(wù)運(yùn)作的風(fēng)險(xiǎn)。對(duì)其他企業(yè)依賴性風(fēng)險(xiǎn)還表現(xiàn)在企業(yè)獨(dú)立決策和解決問(wèn)題能力的降低。對(duì)這些風(fēng)險(xiǎn)的管理除了要求企業(yè)間有很好的合作機(jī)制彼此信任，企業(yè)還必須保持對(duì)整個(gè)電子商務(wù)合作一定的決策和控制能力，對(duì)合作伙伴要有適當(dāng)?shù)脑u(píng)價(jià)和監(jiān)測(cè)手段，商業(yè)利益分配也應(yīng)盡可能合理。2.2.2電子商務(wù)技術(shù)風(fēng)險(xiǎn)1信息技術(shù)基礎(chǔ)設(shè)施風(fēng)險(xiǎn)信息技術(shù)基礎(chǔ)設(shè)施風(fēng)險(xiǎn)主要是指不完善的基礎(chǔ)設(shè)施對(duì)信息處理造成的危害。比如: 計(jì)算機(jī)硬件較易產(chǎn)生故障。一般來(lái)講典型的基礎(chǔ)設(shè)施風(fēng)險(xiǎn)包括:(1)IT設(shè)施物理安全風(fēng)險(xiǎn)，設(shè)施容易被盜或非法使用造成的風(fēng)險(xiǎn);(2)高溫、水、火等對(duì)設(shè)備造成損害的風(fēng)險(xiǎn);(3)不當(dāng)?shù)膽?yīng)急措施產(chǎn)生的風(fēng)險(xiǎn);(4)不充足

26、的備份程序產(chǎn)生的風(fēng)險(xiǎn);(5)不當(dāng)?shù)拿艽a造成的風(fēng)險(xiǎn)。2技術(shù)應(yīng)用風(fēng)險(xiǎn)信息技術(shù)應(yīng)用風(fēng)險(xiǎn)主要是指軟件技術(shù)的應(yīng)用給電子商務(wù)造成的風(fēng)險(xiǎn)，這類(lèi)風(fēng)險(xiǎn)一般來(lái)自下面幾個(gè)方面：(1)程序運(yùn)行中的缺陷和錯(cuò)誤。(2)非法操作帶來(lái)的程序運(yùn)行變化。(3)不完善的程序設(shè)計(jì)。(4)不完善的軟件安全措施。3信息技術(shù)商業(yè)運(yùn)作風(fēng)險(xiǎn)信息技術(shù)商業(yè)運(yùn)作風(fēng)險(xiǎn)主要是指在處理商業(yè)信息的過(guò)程中造成的風(fēng)險(xiǎn)，比如:信息傳遞的遺漏，信息在不同商業(yè)過(guò)程中的不統(tǒng)一等造成的危害。在電子商務(wù)環(huán)境中，典型的此類(lèi)風(fēng)險(xiǎn)包括；(1)從電子商務(wù)系統(tǒng)流向其他企業(yè)管理信息系統(tǒng)的信息不完整或不準(zhǔn)確。(2)安全措施只對(duì)一定的子系統(tǒng)有效，這樣就會(huì)造成在其他商業(yè)過(guò)程中信息的泄漏的可

27、能。(3)不適當(dāng)?shù)脑L問(wèn)控制使其他信息系統(tǒng)很難或者根本無(wú)法介人電子商務(wù)運(yùn)作過(guò)程。(4)備份措施只對(duì)電子商務(wù)系統(tǒng)有效，這樣只完成了部分商業(yè)運(yùn)作數(shù)據(jù)的備份。(5)電子商務(wù)系統(tǒng)難以和上下有的其他信息系統(tǒng)配套。2.2.3電子商務(wù)法律風(fēng)險(xiǎn)1電子商務(wù)交易法律風(fēng)險(xiǎn)由于電子商務(wù)是在虛擬的網(wǎng)絡(luò)空間進(jìn)行，電子商務(wù)交易可以看作是無(wú)紙貿(mào)易，這樣就容易引發(fā)種種新的法律問(wèn)題，如電子合同、電子簽名、電子商務(wù)認(rèn)證、電子數(shù)據(jù)證據(jù)、網(wǎng)上交易與支付、網(wǎng)上知識(shí)產(chǎn)權(quán)、電子商務(wù)管轄權(quán)及在線爭(zhēng)議解決等。而規(guī)范這些數(shù)字交易的法律體制尚不成熟，這就使得某些合同、簽名和承諾的合法性難以保證，這就給企業(yè)帶來(lái)了新的風(fēng)險(xiǎn)。2隱私風(fēng)險(xiǎn)電子商務(wù)時(shí)代，消費(fèi)者

28、的隱私受到前所未有的威脅。由于網(wǎng)絡(luò)可以聯(lián)接到世界各地乃至每一個(gè)家庭，各種信息將呈開(kāi)放或者無(wú)序狀態(tài)，并且直接涉及并威脅到每個(gè)家庭和個(gè)人的信息(隱私)。如何有效制止利用傳輸信息的信息網(wǎng)絡(luò)，公開(kāi)或者侵犯他人的隱私等，將是電子商務(wù)面臨的重要法律問(wèn)題之一。所以企業(yè)實(shí)施電子商務(wù)時(shí)，一定要采取具體有效措施防止對(duì)第三方合法權(quán)利造成損害，否則，因此而被卷人各種侵權(quán)訴訟時(shí)，不但企業(yè)運(yùn)作的電子商務(wù)模式或者項(xiàng)目可能會(huì)被迫夭折，更有可能對(duì)企業(yè)的商譽(yù)、經(jīng)濟(jì)利益造成毀滅性的打擊。3知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)在電子商務(wù)時(shí)代知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)主要表現(xiàn)為電子商務(wù)年代信息的新特性與知識(shí)產(chǎn)權(quán)具有的特性的強(qiáng)烈沖突。比如:知識(shí)產(chǎn)權(quán)最突出的特點(diǎn)之一就是它的“

29、專(zhuān)有性”;而網(wǎng)絡(luò)上應(yīng)受到知識(shí)產(chǎn)權(quán)保護(hù)的信息則是公開(kāi)的、公用的，也很難受到權(quán)利人的控制?！暗赜蛐?，是知識(shí)產(chǎn)權(quán)的又一特點(diǎn)，而網(wǎng)絡(luò)傳輸?shù)奶攸c(diǎn)則是“無(wú)國(guó)界性”。正是因?yàn)槿绱?，電子商?wù)活動(dòng)涉及的知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)就應(yīng)引起企業(yè)的重視。一般來(lái)講作為電子商務(wù)活動(dòng)涉及的知識(shí)產(chǎn)權(quán)問(wèn)題包括：諸如域名、網(wǎng)頁(yè)上各種各樣的文章、圖像、多媒體、數(shù)據(jù)庫(kù)、軟件及萊單設(shè)計(jì)等元素都會(huì)牽涉到專(zhuān)利權(quán)、商標(biāo)權(quán)、版權(quán)、著作權(quán)等知識(shí)產(chǎn)權(quán)問(wèn)題，造成多種權(quán)利互相重盈和沖突。因此，保護(hù)知識(shí)產(chǎn)權(quán)與發(fā)展電子商務(wù)有著密切的聯(lián)系。第三章 電子商務(wù)安全管理技術(shù)據(jù)最新統(tǒng)計(jì)，目前我國(guó)95的與因特網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭到過(guò)黑客的攻擊或侵入，受害涉及的覆蓋面越來(lái)越大、

30、程度越來(lái)越深。據(jù)國(guó)際互聯(lián)網(wǎng)保安公司Symantec2002年的報(bào)告指出，中國(guó)已經(jīng)成為全球黑客的第三大來(lái)源地，竟然有69的攻擊國(guó)際互聯(lián)網(wǎng)活動(dòng)都是由中國(guó)發(fā)出的。另從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心日常監(jiān)測(cè)結(jié)果來(lái)看，計(jì)算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢(shì)。在2001年，我國(guó)有73的計(jì)算機(jī)曾感染病毒，到了2002年上升到近84，2003年上半年又增加到85。而微軟的官方統(tǒng)計(jì)數(shù)據(jù)稱2002年因網(wǎng)絡(luò)安全問(wèn)題給全球經(jīng)濟(jì)直接造成了130億美元的損失。眾所周知，安全才是網(wǎng)絡(luò)的生存之本。沒(méi)有安全保障的信息資產(chǎn)，就無(wú)法實(shí)現(xiàn)自身的價(jià)值。作為信息的載體，網(wǎng)絡(luò)亦然。網(wǎng)絡(luò)安全的危害性顯而易見(jiàn)，而造成網(wǎng)絡(luò)安全問(wèn)題的原因各不相同。而企業(yè)比以

31、往任何時(shí)候都更需要知道其合作伙伴的真實(shí)身份?？蛻粜枰ＷC其保密信息不會(huì)被暴露。電子商務(wù)的安全管理變的尤為重要。電子商務(wù)的安全管理主要分：電子商務(wù)系統(tǒng)安全、電子商務(wù)系統(tǒng)運(yùn)行安全、信息的保密性、信息的完整性、信息的不可抵賴性、交易者身份的真實(shí)性、加密、解密、數(shù)字證書(shū)、認(rèn)證中心、SSL協(xié)議、SET 協(xié)議等。3.1電子商務(wù)系統(tǒng)安全I(xiàn)nternet存在的安全隱患給電子商務(wù)帶來(lái)了如下安全威脅：1信息泄露：表現(xiàn)為商業(yè)機(jī)密的泄露，主要包括交易雙方進(jìn)行交易的內(nèi)容被第三方竊??；交易一方提供給另一方的文件被第三方非法使用。2信息篡改：表現(xiàn)為商業(yè)信息的真實(shí)性和完整性問(wèn)題。信息在網(wǎng)絡(luò)傳輸過(guò)程中，可能被他人非法修改、刪除

32、和重放（只能使用一次的信息被多次使用）。3信息假冒：一是偽造電子郵件，騙取訂單，偽造用戶發(fā)大量電子郵件，耗盡商家系統(tǒng)資源，使合法用戶不能正常訪問(wèn)等。另一種是假冒他人身份，如冒充領(lǐng)導(dǎo)發(fā)布命令、調(diào)閱密件，冒充他人消費(fèi)，冒充系統(tǒng)管理員，占用合法用戶資源等。4交易抵賴：這主要涉及交易的信用問(wèn)題。如發(fā)信者事后否認(rèn)發(fā)送過(guò)某條信息；收信者事后否認(rèn)曾收到過(guò)某條信息；購(gòu)買(mǎi)者下了訂單而不承認(rèn)；商家確認(rèn)訂單后因價(jià)格上升而不承認(rèn)等。5信息破壞：涉及兩方面的內(nèi)容，一是網(wǎng)絡(luò)傳輸?shù)目煽啃?。由于網(wǎng)絡(luò)硬件和軟件的故障導(dǎo)致信息傳遞的丟失與謬誤。二是惡意破壞。是計(jì)算機(jī)網(wǎng)絡(luò)受一些惡意程序的破壞而使電子商務(wù)信息損壞。如各種計(jì)算機(jī)病毒破

33、壞。3.2電子商務(wù)的安全要素電子商務(wù)系統(tǒng)是一個(gè)計(jì)算機(jī)系統(tǒng)，其安全性是一個(gè)系統(tǒng)的概念，不僅與計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會(huì)因素有關(guān)。在電子商務(wù)的使用過(guò)程中，涉及以下六個(gè)方面有關(guān)安全的因素：1信息的保密性指信息在傳輸或存儲(chǔ)過(guò)程中不被他人竊取。在利用網(wǎng)絡(luò)進(jìn)行的交易中，必須保證發(fā)送者和接收者之間交換的信息的保密性。電子商務(wù)作為一種貿(mào)易的手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密；而電子商務(wù)系統(tǒng)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防信息大量傳輸過(guò)程中被非法竊取，必須確保只有合法用戶才能看到數(shù)據(jù)，防止信息被竊看。2信

34、息的完整性由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異；此外，數(shù)據(jù)傳輸過(guò)程中的信息丟失、信息重復(fù)或信息傳送順序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略。3信息的有效性 電子商務(wù)信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)，交易的有效性在其價(jià)格、期限、數(shù)量作為協(xié)議的一部分時(shí)尤為重要。信息接收方可以證實(shí)所接收的數(shù)據(jù)是原發(fā)方發(fā)出的，而原發(fā)方也可以證實(shí)只有指定的接收方才能接收。 4信息的不可抵賴性 在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫(xiě)簽名或印章進(jìn)行貿(mào)易各方的鑒別已經(jīng)不可能了。因此，要求在交易信息的傳遞過(guò)程中為參與交易的個(gè)人、企業(yè)或

35、國(guó)家提供可靠的標(biāo)識(shí)，使原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴、接收方在接收數(shù)據(jù)后也不能抵賴。5交易身份的真實(shí)性 指交易各方確實(shí)存在，不是假冒、虛擬的。 網(wǎng)上交易的各方相隔很遠(yuǎn)、互不了解，要使交易成功，必須互相信任、確認(rèn)對(duì)方是真實(shí)的，對(duì)商家要考慮客戶是不是騙子，對(duì)客戶要考慮商店是不是黑店、是否有信譽(yù)。6系統(tǒng)的可靠性 電子商務(wù)系統(tǒng)是計(jì)算機(jī)系統(tǒng)，其可靠性是指：防止由于計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤、計(jì)算機(jī)病毒和自然災(zāi)害等所產(chǎn)生的潛在威脅，并加以控制和預(yù)防，確保系統(tǒng)安全可靠性。 3.3電子商務(wù)安全技術(shù) 無(wú)所不在的計(jì)算機(jī)信息系統(tǒng)在防不勝防的破壞性活動(dòng)面前有時(shí)顯得軟弱無(wú)力，誰(shuí)也無(wú)法預(yù)測(cè)將會(huì)受到

36、什么樣的挑戰(zhàn)。信息安全漏洞難以堵塞，一方面，操作系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)都缺乏統(tǒng)一的信息安全標(biāo)準(zhǔn)、密碼算法和協(xié)議，在安全和效率之間難以兩全；另一方面，大多數(shù)管理者對(duì)網(wǎng)絡(luò)安全不甚了解和不夠重視，存在著較大的管理漏洞。3.3.1加密的含義為了保證信息在網(wǎng)上傳輸過(guò)程中不被篡改，必須對(duì)所發(fā)送的信息進(jìn)行加密。所謂加密，就是把數(shù)據(jù)信息即明文轉(zhuǎn)換為不可辨識(shí)的形式即密文的過(guò)程。加密的目的是使不應(yīng)了解該數(shù)據(jù)信息的人不能夠知道和識(shí)別。 加密和解密過(guò)程依靠?jī)蓚€(gè)元素：算法和密鑰。 1加密系統(tǒng)基本概念(1)明文：需要加密的報(bào)文。(2)密文：加密以后形成的報(bào)文。(3)加密、解密的算法：算法是加密或解密的一步一

37、步的過(guò)程。(4)密鑰：用于加密和解密的鑰匙。(5)密鑰的長(zhǎng)度：密鑰的長(zhǎng)度是指密鑰的位數(shù)。(6)解密：是加密的逆過(guò)程，即將密文還原成原來(lái)可理解的形式。2加密技術(shù)的關(guān)鍵是密鑰算法和密鑰在加密和解密中缺一不可的，一般來(lái)說(shuō)，加密算法變化不大，但密鑰是經(jīng)?？梢宰兓?。 簡(jiǎn)化了信息發(fā)送方與多個(gè)接收方加密信息的傳送，即發(fā)送方只需使用一個(gè)算法，不同的密鑰向多個(gè)接收方發(fā)送密文； 如果密文被破譯，換一個(gè)密鑰就能解決問(wèn)題。 密鑰的位數(shù)越長(zhǎng)，則破譯越難，加密系統(tǒng)就越牢固。3加密與解密過(guò)程。如下圖3.1。圖3.1 加密與解密過(guò)程 3.3.2加密的方法加密方法分為傳統(tǒng)加密方法和現(xiàn)代加密方法，也稱為對(duì)稱式加密方法和非對(duì)稱式

38、加密方法。1對(duì)稱式加密方法(1)優(yōu)點(diǎn)：可以簡(jiǎn)化加密處理，具有很高的保密強(qiáng)度。如果交易的雙方能夠確保密鑰在密鑰交換階段未曾泄露，那么交易信息的保密性和完整性就可以通過(guò)對(duì)稱密鑰加密算法加密信息和隨信息一起發(fā)送的報(bào)文摘要來(lái)實(shí)現(xiàn)。(2)缺點(diǎn)：密鑰使用一段時(shí)間后就要更換，而在密鑰傳遞過(guò)程中要保證不能泄密。由于交易對(duì)象較多，使用相同的密鑰就沒(méi)有安全意義，而使用不同的密鑰則密鑰量太大，難于管理，無(wú)法滿足不認(rèn)識(shí)的人進(jìn)行私人談話的保密性要求，難以解決數(shù)字簽名的驗(yàn)證問(wèn)題。(3)對(duì)稱加密與解密過(guò)程。如下圖3.2。圖3.2 對(duì)稱加密與解密過(guò)程2DES算法介紹(1)DES的加密流程： 第一步將原文進(jìn)行置換，得到64位的

39、雜亂無(wú)章的明文組。第二步將雜亂無(wú)章的明文組分成均等兩段。第三步用密鑰進(jìn)行變換，并在給定條件下，進(jìn)行多達(dá)16次迭代，最后進(jìn)行逆初始變換，得到加密密文。(2)DES的安全性： 我們可以通過(guò)表3.1來(lái)說(shuō)明尋找DES密鑰所需的平均時(shí)間。整數(shù)n 的10進(jìn)制位數(shù)分解的運(yùn)算次數(shù)所需時(shí)間(1000000次/秒)5014101039小時(shí)10090101274年20012102338109 年500131039421025年表3.13非對(duì)稱式加密方法(1)概念“非對(duì)稱式”加密方法由美國(guó)斯坦福大學(xué)赫爾曼教授1977年提出，它主要是指每個(gè)人都擁有一對(duì)唯一對(duì)應(yīng)的密鑰：一把公鑰(Public Key)和一把私鑰(Priv

40、ate Key)，前者用于加密，后者用于解密。公鑰是公開(kāi)的，私鑰是保密的，但加密密鑰并不能用于解密，公鑰也不能推導(dǎo)出私鑰。(2)非對(duì)稱密鑰加密解密過(guò)程。如下圖3.3。圖3.3 非對(duì)稱密鑰加密解密過(guò)程(3)公鑰加密系統(tǒng)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：密鑰分配簡(jiǎn)單：用戶可以把用于加密的公鑰，公開(kāi)地分發(fā)給任何需要的其他用戶。密鑰保存量少，利用公鑰加密技術(shù)可以實(shí)現(xiàn)數(shù)字簽名，確認(rèn)對(duì)方身份?？梢詽M足互不認(rèn)識(shí)的人之間進(jìn)行私人談話的保密性需求。缺點(diǎn)主要是加密、解密速度較慢。3.4 數(shù)字信封1含義：“數(shù)字信封”(也稱電子信封)技術(shù)，就是對(duì)稱密鑰和公開(kāi)密鑰的結(jié)合的技術(shù)，從而既有公開(kāi)密鑰技術(shù)的靈活性，又有對(duì)稱密鑰技術(shù)的高效性。數(shù)字信

41、封技術(shù)在外層使用公開(kāi)密鑰加密技術(shù)，享受到公開(kāi)密鑰技術(shù)的靈活性，內(nèi)層使用對(duì)稱密鑰匙加密，密鑰長(zhǎng)度通常較短，使得公開(kāi)密鑰加密的相對(duì)低效率被限制在最低限度內(nèi)，實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)。2具體操作方法：每當(dāng)發(fā)信方需要發(fā)送信息時(shí)首先生成一個(gè)對(duì)稱密鑰，用這個(gè)對(duì)稱密鑰加密所需發(fā)送的報(bào)文；然后用收信方的公開(kāi)密鑰加密這個(gè)對(duì)稱密鑰，連同加密了的報(bào)文一同傳輸?shù)绞招欧?。收信方首先使用自己的私有密鑰解密被加密的對(duì)稱密鑰，再用該對(duì)稱密鑰解密出真正的報(bào)文。3.5消息摘要 1消息摘要的概念消息摘要(message digest)方法即數(shù)字指紋，消息摘要方法解決信息的完整性問(wèn)題。2消息摘要的特征(1)消息摘要是一個(gè)唯一對(duì)應(yīng)一個(gè)消息的值。(

42、2)它由單向Hash加密算法對(duì)一個(gè)消息作用而生成，有固定的長(zhǎng)度(128bit)的密文。這一串密文也稱為數(shù)字指紋。(3)所謂單向是指不能被解密。(4)不同的消息其摘要不同，相同消息其摘要相同。因此摘要成為消息的“指紋”，以驗(yàn)證消息是否是“真身”。3.6數(shù)字簽名 1概念數(shù)字簽名（Digital Signature）技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者，接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。數(shù)字簽名與書(shū)面文件簽名有相同之處，采用數(shù)字簽名，能確認(rèn)以下兩點(diǎn)。(1)信息是由簽名者發(fā)送的。(2)信息自簽發(fā)后到收到為止未曾作過(guò)任何修改。2數(shù)字簽名的作用(1)數(shù)字簽名保證信息的完整性和

43、不可否認(rèn)性。(2)數(shù)字簽名可用來(lái)防止電子信息因易被修改而有人作偽。(3)防止冒用別人名義發(fā)送信息。(4)防止發(fā)出(收到)信件后又加以否認(rèn)等情況發(fā)生。數(shù)字簽名主要目的是用來(lái)識(shí)別信息來(lái)源，本身不具備對(duì)信息加密的功能。3數(shù)字簽名的功能：(1)接收者能夠核實(shí)對(duì)報(bào)文的簽名。(2)發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名。(3)接收者不能偽造對(duì)報(bào)文的簽名。3.7數(shù)字時(shí)間戳1概念數(shù)字時(shí)間戳(Digital TimeStamp ) 就是用來(lái)證明消息的收發(fā)時(shí)間的，以防抵賴行為發(fā)生。它由專(zhuān)門(mén)的網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)提供。用戶首先將需要加時(shí)間戳的文件經(jīng)加密后形成文檔，然后將摘要發(fā)送到專(zhuān)門(mén)提供數(shù)字時(shí)間戳服務(wù)（ Digital TimeS

44、tamp Service ，DTSS）的權(quán)威機(jī)構(gòu)，該機(jī)構(gòu)對(duì)原摘要加上時(shí)間后，進(jìn)行數(shù)字簽名，用私鑰加密，并發(fā)送給原用戶。2數(shù)字時(shí)間戳的作用書(shū)面簽署文件的時(shí)間是由簽署人自己寫(xiě)上的，而數(shù)字時(shí)間戳是由DTSS認(rèn)證單位來(lái)加的，并以收到文件的時(shí)間為依據(jù)。(1)對(duì)已加蓋時(shí)間戳的文件不可能做絲毫改動(dòng)（即使僅1 bit）。(2)要想對(duì)某個(gè)文件加蓋與當(dāng)前日期和時(shí)間不同的時(shí)間戳是不可能的。3時(shí)間戳的組成時(shí)間戳是一個(gè)經(jīng)過(guò)加密而形成的憑證文檔，由三部分組成：(1)需要加載時(shí)間戳的文件摘要。(2)認(rèn)證服務(wù)機(jī)構(gòu)收到文件的日期和時(shí)間。(3)認(rèn)證服務(wù)機(jī)構(gòu)的數(shù)字簽名。3.8數(shù)字證書(shū)1概念也叫數(shù)字憑證，是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份

45、信息的一系列數(shù)據(jù)，提供一種在Internet上驗(yàn)證身份的方式。數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。2數(shù)字證書(shū)的三種類(lèi)型(1)個(gè)人（客戶）證書(shū)：又稱瀏覽器證書(shū)，是指由CA認(rèn)證中心頒發(fā)的、安裝在客戶瀏覽器端使用的個(gè)人或企業(yè)證書(shū)。(2)企業(yè)（服務(wù)器）數(shù)字證書(shū)：是CA認(rèn)證中心頒發(fā)的、安裝在服務(wù)器上用以證明服務(wù)器身份的證書(shū)。它通常為網(wǎng)上的某個(gè)Web服務(wù)器提供數(shù)字證書(shū)。(3)軟件（開(kāi)發(fā)者）數(shù)字證書(shū)：它通常為因特網(wǎng)中被下載的軟件提供數(shù)字證書(shū)。3數(shù)字證書(shū)原理簡(jiǎn)介數(shù)字證書(shū)利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰，用它進(jìn)行解

46、密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開(kāi)，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密。4數(shù)字證書(shū)正確使用以建行網(wǎng)上銀行系統(tǒng)為例，下載客戶證書(shū)及CA認(rèn)證書(shū)的過(guò)程即是將這些證書(shū)安裝到瀏覽器的過(guò)程，瀏覽器會(huì)引導(dǎo)完成安裝過(guò)程。在用戶進(jìn)入建行網(wǎng)上銀行交易之前，瀏覽器與服務(wù)器之間建立SSL安全通道時(shí)，會(huì)自動(dòng)使用雙方的證書(shū)，所以，在進(jìn)入交易之前，應(yīng)保證您的客戶證書(shū)及CA根證書(shū)已經(jīng)安裝在您的瀏覽器中。客戶證書(shū)及私鑰是在Internet網(wǎng)上進(jìn)行安全交易的基礎(chǔ)，應(yīng)保持私鑰的秘密性。在完成證書(shū)下載后，建議立即備份客戶證書(shū)及私鑰

47、。5數(shù)字證書(shū)的申請(qǐng)、頒發(fā)個(gè)人數(shù)字證書(shū)可以用來(lái)發(fā)送簽名或加密的電子郵件。個(gè)人數(shù)字證書(shū)分為二個(gè)級(jí)別：第一級(jí)數(shù)字證書(shū)，僅僅提供電子郵件的認(rèn)證，不對(duì)個(gè)人的真實(shí)姓名等信息認(rèn)證；第二級(jí)個(gè)人數(shù)字證書(shū)提供對(duì)個(gè)人姓名、身份等信息的認(rèn)證。當(dāng)個(gè)人數(shù)字證書(shū)申請(qǐng)后，認(rèn)證中心對(duì)申請(qǐng)者的電子郵件地址、個(gè)人身份及信用卡號(hào)等信息進(jìn)行核實(shí)，通常在三五天內(nèi)即可頒發(fā)數(shù)字證書(shū)。3.9 認(rèn)證中心1概念認(rèn)證中心，又稱為證書(shū)授證(Certificate Authority)中心，是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書(shū)的權(quán)威機(jī)構(gòu)。2認(rèn)證的安全功能(1)可信性。信息的來(lái)源是可信的。(2)完整性。信息在傳輸過(guò)程中保證其完整性。(3)不可否認(rèn)性。信息的發(fā)送方

48、不能否認(rèn)自己所發(fā)出的信息。(4)訪問(wèn)控制。拒絕非法用戶訪問(wèn)系統(tǒng)資源，合法用戶只能訪問(wèn)系統(tǒng)授權(quán)和指定的資源。3.10防火墻1概念是指一個(gè)由軟件或和硬件設(shè)備組合而成，是加強(qiáng)因特網(wǎng)與內(nèi)部網(wǎng)之間安全防范的一個(gè)或一組系統(tǒng)。它具有限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)及管理內(nèi)部用戶訪問(wèn)外界網(wǎng)絡(luò)的權(quán)限。它可以確定哪些內(nèi)部服務(wù)允許外部訪問(wèn)，哪些外部服務(wù)可由內(nèi)部人員訪問(wèn)，即它能控制網(wǎng)絡(luò)內(nèi)外的信息交流，提供接入控制和審查跟蹤，是一種訪問(wèn)控制機(jī)制。2防火墻的安全策略(1)沒(méi)有被列為允許訪問(wèn)的服務(wù)都是被禁止的：這意味著需要確定所有可以被提供的服務(wù)以及他們的安全特性，開(kāi)放這些服務(wù)，并將所有其他末列入的服務(wù)排斥在外，禁止訪問(wèn)。(2)

49、沒(méi)有被列為禁止訪問(wèn)的服務(wù)都是被允許的：這意味著首先確定那些被禁止的、不安全的服務(wù)，以禁止他們被訪問(wèn)，而其他服務(wù)則被認(rèn)為是安全的，允許訪問(wèn)。3防火墻系統(tǒng)的功能(1)保護(hù)易受攻擊的服務(wù)。(2)控制對(duì)特殊站點(diǎn)的訪問(wèn)。(3)集中化的安全管理。(4)集成了入侵檢測(cè)功能，提供了監(jiān)視互聯(lián)網(wǎng)安全和預(yù)警的方便端點(diǎn)。(5)對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行日志記錄和統(tǒng)計(jì)。4防火墻的不足之處： (1)不能防范惡意的知情者。(2)不能防范不通過(guò)它的連接（繞過(guò)防火墻）或者來(lái)自內(nèi)部的攻擊。(3)不能防備所有威脅，防火墻只能用來(lái)防備已知的威脅。(4)不能防范病毒。不能防止感染了病毒的軟件或文件的傳輸，但可以通過(guò)設(shè)置防范一些已知的木馬程序。第四

50、章 電子商務(wù)安全協(xié)議4.1安全的超文本傳輸協(xié)議S-HTTP是對(duì)HTTP擴(kuò)充安全特性、增加了報(bào)文的安全性，它是基于SSL技術(shù)的。該協(xié)議向WWW的應(yīng)用提供完整性、鑒別性、不可抵賴性及機(jī)密性等安全措施。安全HTTP（S-HTTP）是HTTP的擴(kuò)展，它提供了多種安全功能，包括客戶機(jī)與服務(wù)器認(rèn)證、加密、請(qǐng)求/響應(yīng)的不可否認(rèn)等。S-HTTP用密鑰對(duì)來(lái)加密，以保證WEB站點(diǎn)間的交換信息傳輸?shù)陌踩?。如果主?yè)的URL為HTTPS:/開(kāi)始，說(shuō)明該頁(yè)遵循安全超文本傳輸協(xié)議。SHTTP安全的細(xì)節(jié)設(shè)置是在客戶機(jī)和服務(wù)器開(kāi)始的握手會(huì)話中完成的?？蛻魴C(jī)和服務(wù)器都可指定某個(gè)安全功能為必需（Required）、可選（Opti

51、on）還是拒絕（Refused）。當(dāng)其中一方確定了某個(gè)安全特性為“必需”時(shí)，只有另一方（客戶機(jī)或服務(wù)器）同意執(zhí)行同樣的安全功能時(shí)才能開(kāi)始連接，否則就不能建立安全通訊。4.2 SSL安全協(xié)議1SSL的含義SSL安全協(xié)議最初是由網(wǎng)景公司設(shè)計(jì)開(kāi)發(fā)的，又叫安全套接層(Secure Sockets Layer)協(xié)議，主要用于提高應(yīng)用程序之間的數(shù)據(jù)安全系數(shù)，實(shí)現(xiàn)兼容瀏覽器和服務(wù)器（通常是WWW服務(wù)器）之間安全通信的協(xié)議。2SSL的工作原理SSL在客戶機(jī)和服務(wù)器開(kāi)始交換一個(gè)簡(jiǎn)短信息時(shí)提供一個(gè)安全的握手信號(hào)。在開(kāi)始交換的信息中，雙方確定將使用的安全級(jí)別并交換數(shù)字證書(shū)。每個(gè)計(jì)算機(jī)都要正確識(shí)別對(duì)方。SSL支持的客

52、戶機(jī)和服務(wù)器間的所有通訊都加密了，竊聽(tīng)者得到的是無(wú)法識(shí)別的信息。3SSL的安全技術(shù)(1)在建立連接的過(guò)程中采用公開(kāi)密鑰。(2)在會(huì)話過(guò)程中采用專(zhuān)用密鑰。(3)每一次會(huì)話都要求服務(wù)器使用專(zhuān)用密鑰的操作和一次使用客戶機(jī)公開(kāi)密鑰的操作。4SSL安全協(xié)議的三個(gè)的特性(1)認(rèn)證用戶和服務(wù)器，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù) SSL對(duì)幾乎所有的安全通訊都使用私有密鑰加密。(3)維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變。5SSL安全協(xié)議的運(yùn)行步驟(1)接通階段，客戶通過(guò)網(wǎng)絡(luò)向服務(wù)器打招呼，服務(wù)器回應(yīng)(2)密碼交換階段，客戶與服務(wù)器之間交換雙方認(rèn)可的密碼。一般選用RSA密碼算法。(3)會(huì)談密碼階段，客戶與服務(wù)器間產(chǎn)生彼此交談的會(huì)談密碼。(4)檢驗(yàn)階段，檢驗(yàn)服務(wù)器取得的密碼。(5)客戶認(rèn)證階段，驗(yàn)證客戶的可信度。(6)結(jié)束階段，客戶與服務(wù)器之間相互交換結(jié)束的信息。6SSL的缺陷（1）SSL協(xié)議是根據(jù)郵購(gòu)原理設(shè)計(jì)的。（2）客戶首先尋找商品信息，然后匯款給商家，商家再把商品寄給客戶。（3）只能保證傳輸過(guò)程的安全，無(wú)法知道在傳輸過(guò)程中