電子商務(wù)概論重點難點解析

電子商務(wù)概論重點難點解析電子商務(wù)概論重點難點解析/電子商務(wù)概論重點難點解析電子商務(wù)概論重點難點解析（二）一、電子商務(wù)安全隱患目前開展電子商務(wù)的主要安全隱患有：1．中斷信息系統(tǒng)網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤、計算機病毒以與自然災(zāi)害都能導(dǎo)致系統(tǒng)不能正常地工作。因而要對此所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時間、確定的地點是有效的。2．竊聽交易信息電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的，維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防通過搭線和電磁泄露等手段造成信息泄露，或?qū)I(yè)務(wù)流量進行分析，從而獲取有價值的商業(yè)情報等一切損害系統(tǒng)機密性的行為。3．篡改交易信息電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會影響貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。4．偽造交易信息電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進行交易方正是所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進行的關(guān)鍵。在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能。因此，需要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。5．抵賴交易行為當(dāng)貿(mào)易一方發(fā)現(xiàn)交易行為對自己不利時，否認(rèn)電子交易行為。例如由于價格的上揚，賣方否認(rèn)曾答應(yīng)過協(xié)議，或者由于價格的下跌，買方否認(rèn)曾求購的請求。因此要求系統(tǒng)具備審查能力，以使交易的任何一方不能抵賴已經(jīng)發(fā)生的交易行為。二、企業(yè)電子商務(wù)安全管理對策企業(yè)電子商務(wù)的安全管理需要一個完整的綜合保障體系。應(yīng)當(dāng)從技術(shù)、管理、法律等方面入手，采取行之有效的綜合解決的辦法和措施，才能真正實現(xiàn)電子商務(wù)的安全運作。其主要安全管理對策體現(xiàn)在以下幾個方面：（一）人員管理由于人員在很大程度上支配著市場經(jīng)濟下的企業(yè)的命運，而計算機網(wǎng)絡(luò)犯罪又具有智能型性、連續(xù)性、高技術(shù)性的特點，因而，加強對電子商務(wù)人員的管理變得十分重要。貫徹電子商務(wù)安全運作基本原則：1、雙人負(fù)責(zé)原則：重要業(yè)務(wù)不要安排一個人單獨管理，實行兩人或多人相互制約的機制；2、任期有限原則：任何人不得長期擔(dān)任與交易安全有關(guān)的、職務(wù)；3、最小權(quán)限原則：明確規(guī)定只有網(wǎng)絡(luò)管理員才可以進行物理訪問，只有網(wǎng)絡(luò)人員才可進行軟件安裝工作。（二）保密管理電子商務(wù)涉與企業(yè)的市場、生產(chǎn)、財務(wù)、供應(yīng)等多方面的機密，信息的安全級別又可分為絕密級、機密級和秘密級三級，因此，安全管理需要很好地劃分信息的安全防范重點，提出相應(yīng)的保密措施。保密工作的另一個重要的問題是對密鑰的管理。大量的交易必然使用大量的密鑰，密鑰管理必須貫穿于密鑰的產(chǎn)生、傳遞和銷毀的全過程。密鑰需要定期更換，否則可能使“黑客”通過積累密文增加破譯機會。（三）網(wǎng)絡(luò)系統(tǒng)的日常維護管理1、硬件的日常管理和維護企業(yè)通過自己的Intranet參與電子商務(wù)活動，Intranet的日常管理和維護變得至關(guān)重要，這就要求網(wǎng)絡(luò)管理員必須建立系統(tǒng)設(shè)備檔案。一般可用一個小型的數(shù)據(jù)庫來完成這項功能，以便于一旦某地設(shè)備發(fā)生故障，進行網(wǎng)上查詢。對于一些網(wǎng)絡(luò)設(shè)備，應(yīng)與時安裝網(wǎng)管軟件。對于不可管設(shè)備應(yīng)通過手工操作來檢查狀態(tài)，做到定期檢查與隨機抽查相結(jié)合，以便與時準(zhǔn)確地掌握網(wǎng)絡(luò)的運行狀況，一旦有故障發(fā)生能與時處理。2、軟件的日常管理和維護對于操作系統(tǒng)，所要進行的維護工作主要包括：定期清理日志文件、臨時文件；定期執(zhí)行整理文件系統(tǒng)；監(jiān)測服務(wù)器上的活動狀態(tài)和用戶注冊數(shù)；處理運行中的死機情況等。對于應(yīng)用軟件的管理和維護主要是版本控制。為了保持各客戶機上的版本一致，應(yīng)設(shè)置一臺安裝服務(wù)器，當(dāng)遠(yuǎn)程客戶機應(yīng)用軟件需要更新時，就可以從網(wǎng)絡(luò)上進行遠(yuǎn)程安裝。（四）數(shù)據(jù)備份和應(yīng)急措施為了保證網(wǎng)絡(luò)數(shù)據(jù)安全，必須建立數(shù)據(jù)備份制度，定期或不定期地對網(wǎng)絡(luò)數(shù)據(jù)加以備份。應(yīng)急措施是指在計算機災(zāi)難事件（即緊急事件或安全事故）發(fā)生時，利用應(yīng)急計劃輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計算機信息系統(tǒng)繼續(xù)運行或緊急恢復(fù)。在啟動電子商務(wù)業(yè)務(wù)時，就必須制定交易安全計劃和應(yīng)急方案，一旦發(fā)生意外，立即實施，最大限度地減少損失，盡快恢復(fù)系統(tǒng)的正常工作。災(zāi)難恢復(fù)包括許多工作。一方面是硬件的恢復(fù)，使計算機系統(tǒng)重新運轉(zhuǎn)起來；另一方面是數(shù)據(jù)的恢復(fù)。一般來講，數(shù)據(jù)的恢復(fù)更為重要，難度也更大。目前運用的數(shù)據(jù)恢復(fù)技術(shù)主要是瞬時復(fù)制技術(shù)、遠(yuǎn)程磁盤鏡像技術(shù)和數(shù)據(jù)庫恢復(fù)技術(shù)。（五）跟蹤與審計管理跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機制，用于記錄系統(tǒng)運行的全過程。系統(tǒng)日志文件是自動生成的，內(nèi)容包括操作日期、操作方式、登錄次數(shù)、運行時間、交易內(nèi)容等。它對系統(tǒng)的運行監(jiān)督、維護分析、故障恢復(fù)，對于防止案件的發(fā)生或為偵破案件提供監(jiān)督數(shù)據(jù)，起到非常重要的作用。審計制度包括經(jīng)常對系統(tǒng)日志的檢查、審核，與時發(fā)現(xiàn)對系統(tǒng)故意入侵行為的記錄和對系統(tǒng)安全功能違反的記錄，監(jiān)控和捕捉各種安全事件，保存、維護和管理系統(tǒng)日志。（六）病毒防范抗病毒是電子商務(wù)安全的一個新領(lǐng)域。病毒在網(wǎng)絡(luò)環(huán)境下具有更強的傳染性，對網(wǎng)絡(luò)交易的順利進行和交易數(shù)據(jù)的妥善保存造成極大的威脅。從事網(wǎng)上交易的企業(yè)和個人都應(yīng)當(dāng)建立病毒防范制度，排除病毒的騷擾。三、企業(yè)電子商務(wù)安全管理手段由于電子商務(wù)涉與到金融、企業(yè)、商家等各個方面的利益，它必須采用行之有效的安全手段?，F(xiàn)今采用了多種實現(xiàn)手段，以保證電子商務(wù)系統(tǒng)的安全運行。比較流行的安全手段有電子商務(wù)系統(tǒng)防火墻、信息加密、數(shù)字簽名、身份認(rèn)證和數(shù)字證書等。（一）電子商務(wù)系統(tǒng)防火墻1.防火墻的基本概念防火墻是指一個由軟件系統(tǒng)和硬件設(shè)備組合而成的，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護屏障。所有的內(nèi)部網(wǎng)和外部網(wǎng)之間的連接都必須經(jīng)過此保護層，在此進行檢查和連接。只有被授權(quán)的通信才能通過此保護層，從而使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定意義下隔離，防止非法入侵、非法使用系統(tǒng)資源，執(zhí)行安全管制措施，記錄所有可疑的事件，如圖所示。電子商務(wù)系統(tǒng)防火墻必須為電子商務(wù)系統(tǒng)提供以下主要保障：（1）防火墻封鎖所有信息流，對希望提供的服務(wù)逐項開放，確保授權(quán)訪問。（2）檢查數(shù)據(jù)包的來源、目的地、內(nèi)容與模式，并鑒別真?zhèn)?。?）對私有數(shù)據(jù)的加密支持和廣泛的服務(wù)支持。2.防火墻的組成防火墻主要包括安全操作系統(tǒng)、過濾器、網(wǎng)關(guān)、域名服務(wù)和E—mail處理五部分。有的防火墻可能在網(wǎng)關(guān)兩側(cè)設(shè)置兩個內(nèi)、外過濾器，外過濾器保護網(wǎng)關(guān)不受攻擊，網(wǎng)關(guān)提供中繼服務(wù)，輔助過濾器控制業(yè)務(wù)流，而內(nèi)過濾器在網(wǎng)關(guān)被攻破后提供對內(nèi)部網(wǎng)絡(luò)的保護。防火墻示意圖3、防火墻的局限性防火墻也有一定的局限性。主要表現(xiàn)在：（1）不能抵御來自內(nèi)部的攻擊。防火墻只能抵御經(jīng)由防火墻的攻擊，不能防范不經(jīng)由防火墻的攻擊。防火墻只是設(shè)在內(nèi)域網(wǎng)和Internet之間，對其間的信息流進行干預(yù)的安全設(shè)施。(2)不能防范人為因素的攻擊，不能防止由公司內(nèi)部人員惡意攻擊或用戶誤操作造成的威脅，以與由于口令泄露而受到的攻擊。(3)不能有效地防止受病毒感染的軟件或文件的傳輸。由于操作系統(tǒng)、病毒、二進制文件類型(加密、壓縮)的種類太多且更新很快，所以防火墻無法逐個掃描每個文件以查找病毒。(4)不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。例如，一種數(shù)據(jù)驅(qū)動式的攻擊可以使主機修改與系統(tǒng)安全有關(guān)的配置文件，從而使入侵者下一次更容易攻擊該系統(tǒng)。（二）電子商務(wù)信息加密1.信息加密技術(shù)的基本概念(1)加密和解密；加密是指采用數(shù)學(xué)方法對原始信息(通常稱為“明文”)進行再組織，使它成為一種不可理解的形式，這種不可理解的內(nèi)容叫做密文；解密是加密的逆過程，即將密文還原成原來可理解的形式。(2)算法和密鑰。加密和解密過程依靠兩個元素，缺一不可，這就是算法和密鑰。算法是加密或解密的一步一步的過程。在這個過程中需要一串?dāng)?shù)字，這個數(shù)字就是密鑰。(3)密鑰的長度。密鑰的長度是指密鑰的位數(shù)。因此，密鑰的位數(shù)越長，加密系統(tǒng)就越牢固。2．電子商務(wù)信息的加密技術(shù)目前，加密技術(shù)分為兩類，即對稱加密和非對稱加密。(1)對稱加密。在對稱加密方法中，對信息的加密和解密都使用相同的密鑰。也就是說，一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理，貿(mào)易雙方都不必彼此研究和交換專用的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。如圖所示。對稱加密技術(shù)采用相同密鑰，要求貿(mào)易雙方共同保守秘密，以與存在著在通信的貿(mào)易雙方之間確保密鑰安全交換的問題。此外，當(dāng)某一貿(mào)易方有“n”個貿(mào)易關(guān)系，那么他就要維護“n”個專用密鑰(即每把密鑰對應(yīng)一貿(mào)易方)。對稱加密方式存在的另一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因為貿(mào)易雙方共享同一把專用密鑰，貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。對稱加密示意圖(2)非對稱加密。在非對稱加密體系中，密鑰被分解為一對，即一把公開密鑰和一把專用密鑰。這對密鑰中的任何二把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把則作為專用密鑰(解密密鑰)加以保存。如圖所示。公開密鑰用于對機密性的加密，專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛發(fā)布，但它只對應(yīng)于生成該密鑰的貿(mào)易方。非對稱加密示意圖（三）電子商務(wù)數(shù)字簽名數(shù)字簽名，是只有信息的發(fā)送者才能產(chǎn)生，而別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對發(fā)送者發(fā)送信息的真實性的一個有效證明。數(shù)字簽名是通過用密碼算法對數(shù)據(jù)進行加、解密交換實現(xiàn)的。將數(shù)字簽名用發(fā)送方的私有密鑰進行加密，會同密文一起送給接收方，接收方用發(fā)送方的公開密鑰對數(shù)字簽名進行解密，就可確定消息來自于誰，則可確定發(fā)送方的身份是真實的。數(shù)字簽名可做到既保證簽名者無法否認(rèn)自己的簽名，又保證接收方無法偽造發(fā)送方的簽名，還可作為信息發(fā)收雙方對某些有爭議信息的法律依據(jù)。數(shù)字簽名提供了一種安全的方法。（四）電子商務(wù)身份認(rèn)證一般來說，用戶身份認(rèn)證可通過三種基本方式或其組合方式來實現(xiàn)：1、人體生物學(xué)特征方式。由于某些人體生物學(xué)特征，如指紋、聲音、DNA圖案、視網(wǎng)膜掃描等，不同人相同的概率十分小，用它可直接進行身份認(rèn)證。但這種方式一般造價較高，適用于保密程度很高的場合。2、口令方式。口令是應(yīng)用最廣泛的一種身份識別方式?？诹钜话闶情L度為5—8的字符串，由數(shù)字、字母、特殊字符、控制字符等組成?？诹畹倪x擇一般應(yīng)滿足以下幾個原則：（1）容易記憶；（2）不易猜中；（3）不易分析。3、標(biāo)記方式。標(biāo)記是一種用戶所持有的某個秘密信息(硬件)，標(biāo)記上記錄著用于機器識別的個人信息。它的作用類似于鑰匙，用于啟動電子設(shè)備。訪問系統(tǒng)資源時，用戶必須持有合法的隨身攜帶的物理介質(zhì)（如智能卡)。（五）電子商務(wù)數(shù)字證書數(shù)字證書或公鑰證書是由認(rèn)證機構(gòu)簽署的，其