网络安全技术对电子商务发展影响cqdi.docx
网络安全技术对电子商务发展影响摘 要伴随互联网和信息技术的飞速发展,电子商务应运而生并在世界范围内得到了广泛的发展和应用。电子商务是一种崭新的商务手段,它给人类带来了巨大的效益。电子商务从根本上改变了人们传统的生活方式和思想观念,它是新世纪经济的新的增长点,代表21世纪经济的发展方向,因而对未来的社会经济发展和商务活动具有特别重要的意义。但是互联网的跨国界、无主管、不设防、缺乏法律约束性等特性,在为我们带来机遇的同时也带来了巨大的风险。各种大型的公司、单位通过网络与用户或其他相关行业系统之间进行交流,提供各种网上的信息服务,但在这些网络用户中,存在竞争对手和恶意破坏者,这些人会不断地寻找网上的漏洞,企图侵入公司内部网络。一旦内部网络被入侵,机密的数据和资料就会被窃取,网络会被破坏,这会给用户带来难以预测的损失。因此,建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键。本文主要从电子商务的出现开始,介绍电子商务的发展过程、各阶段的特点以及发展趋势,同时,介绍网络安全技术的类型、特点和网络安全技术对电子商务发展的影响。关键词: 电子商务 网络 网络安全 发展趋势 The influence of Network security technology on e-commerce developmentAbstractAlong with the rapid development of the Internet and the information technology , e-commerce has been born and has been widely applied and developed in the world. E-commerce is a brand new business means and has brought enormous benefits of mankind . E-commerce has fundamentally changed the traditional way of life and ideas.It is a new economic growth point of the new century, and represents the economic development direction of the 21st century, and it has vital significance to the future of social and economic development and business activities. But the characteristics of the internet such as trans-border, being open, and being lack of legal binding and supervising and so on, have brought us great opportunities and also great risks.Various large companies or organizations communicate with the internet users or other relevant industries, and provides various online information services, but in the network users, there exsit competitors and malicious destroyers, who will constantly search the Internet vulnerabilities and try to get into the intranet.Once the intranet is invaded, confidential data and information will be filched, and network will be broken,and will bring users a huge loss that is hard to predict.Therefore, the establishment of a safe, convenient e-business application environment and providing adequate protection for information has become a key factor that affects the healthy development of the electronic commerce.Since the emergence of e-commerce ,this article mainly introduces the process of the electronic commerce development, the characteristics of every stage and the development tendency. Meanwhile,it also introduces the types and characteristics of the network security technology, and the impact of network security technology on the development of e-commerce.Keywords : E-commerce; Network ; Network Security;Development trend 目 录1引言12电子商务32.1电子商务的定义32.2电子商务的分类32.3电子商务的发展历程52.4电子商务的发展趋势63网络安全技术83.1网络安全技术的定义83.2网络安全存在的问题83.3网络安全技术分类94电子商务的安全问题及解决措施124.1电子商务安全性要求124.2电子商务存在的安全性问题144.2.1电子商务系统的安全问题144.2.2电子商务交易双方的安全问题154.3电子商务安全技术措施154.4电子商务安全认识及展望165关于淘宝网的案例分析185.1背景简介185.2交易流程195.3支付安全225.3.1支付宝简介225.3.2支付宝的安全措施235.3.3支付宝的安全策略245.3.4支付宝的缺陷及建议285.4淘宝网的网络安全286 结论31谢辞32参考文献33外文资料341引言随着信息技术的发展,信息的处理传递速度得到了突破性的发展,不再受时间和区域的限制,网络化和全球化已成为不可避免的发展趋势。网络用户的迅速膨胀给众多商家带来了千载难逢的机遇,他们纷纷将眼光投向因特网。从刚开始单纯的完善发布信息、传递信息到借助传统贸易手段发展起来的不成熟的电子商务交易,再到能够在网上完成供、产、销全部业务流程的电子商务虚拟市场,电子商务如火如荼的发展起来了,同时,封闭的银行电子金融系统也在向开放式的网络电子银行转变,这也给电子商务的发展提供了更大的动力。电子商务是一个发展潜力非常大的市场,极具发展前景。电子商务双向信息沟通、灵活的交易手段和快速的交货方式的特点,将会给社会带来巨大的经济效益,促进整个社会生产力的提高。电子商务的广泛推广,打破了空间限制,改变了贸易形态,大大加速了整个社会的商品流通,有助于降低企业成本,提高企业竞争力,尤其能够使中小型企业直接进入国际市场参与国际市场竞争。电子商务也给消费者提供了更多的选择和更好的便利性。电子商务是商务领域的一场信息革命,它对人类的经济活动、思维方式、工作方式和生活方式将产生根本性的影响。电子商务的发展正在逐步改变我们的生活及工作方式,原来面对面谈判、纸上交流的管理与商务活动方式逐步变成了由计算机远距离操作完成的数字化活动方式。没有了空间和人为条件上的限制,人们的生活和工作将变得方便、灵活和自如,特别在获取信息、传输信息、各种服务活动、付款、送货方式等方面将有根本的变化。任何合法组织和公司甚至个人通过在国际互连网络上建立自己的站点都可成为全球化的信息发布者;信息的获取具有了广泛的内容和选择性;贸易、商务活动中的商品认识、合同谈判、交易都通过国际互连网信息和网络软件完成。同时电子商务也完全改变了我们当今的商务方式,由于没有了时间和空间的限制,人们可以在家中处理业务。小公司也可以实现全球在线订货,完成世界性商务活动。越来越多的电子货币在线付款方式在电子交易中使用,人们不再受限制于物理现金的携带和使用。公司、商店、银行将不会以人员数量、分支机构多少、规模来区别大小,取而以营业额、信息交流多少来排列经济座次。虽然电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的一部分,原因就在于电子商务的安全问题。美国密执安大学的一个调查机构通过对23000名因特网用户的调查显示:超过60%的人由于担心电子商务的安全问题而不愿意进行网上购物。开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。 因此,从传统的基于纸张的贸易方式向电子化的贸易方式转变过程中,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。电子商务是以计算机网络为基础载体的,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,安全性问题成为首要问题。电子商务是国民经济和社会信息化的重要组成部分,而安全性则是关系电子商务能否迅速发展的重要因素。电子商务的安全是一个复杂系统工程,仅从技术角度防范是远远不够的,还必须完善电子商务方面的立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进电子商务又好又快地发展。2电子商务电子商务是应用现代信息技术在Internet上进行的商务活动,从本质上讲,电子商务是一组电子工具在商务过程中的应用,这些工具主要包括:电子数据交换、电子邮件、电子公告系统、条码、图像处理、智能卡等。而应用的前提和基础是完善的现代通信网络和人们的思想意识的提高以及管理体制的转变。因此,没有现代信息技术及网络技术的产生和发展就不可能有电子商务。2.1电子商务的定义电子商务的定义有很多,许多组织和学者都给电子商务下过定义,不同的组织和不同的领域的学者定义的角度又不同,如从通信技术、业务流程、产品或服务的交易等不同角度定义电子商务,但目前为止尚没有形成一个广泛统一的定义。大体上,这些定义可以分为两大类:一类是单纯的从商品或服务的交易角度;另一类是从整个供应链的角度1。单纯的从商品或服务的交易角度定义电子商务成为Electronic Commerce(简称EC),它是指借助包括互联网在内的任何通信网络从事信息、产品和服务的营销、买卖和交换的过程。从整个供应链角度定义的电子商务常称为Electronic Business(简称EB),是指企业从原材料供应到生产、分销、零售等全部过程与经营活动的信息化、网络化。电子商务是利用电子交换技术、电子邮件、电子资金转账及互联网等技术在个人、企业和国家之间进行无纸化的业务信息的交换。随着计算机和计算机网络的应用普及,电子商务不断被赋予新的含义。电子商务作为一种新的流通方式,具有贸易效率高、交易成本低、加速商务发展的特点,在商务活动中证发挥着越来越重要的作用2。2.2电子商务的分类(1)按电子商务参与主体不同进行分类,电子商务可以分为:l 企业与消费者之间的电子商务(B2C)企业与消费者之间的电子商务类似于零售业,是商业电子化的零售商务。企业或商业机构记住Internet开展在线销售,为广大客户提供很好的搜索和浏览功能,提供各种与商品销售有关的服务,使消费者很容易了解到所需商品的品质和价格。l 企业与企业之间的电子商务(B2B)企业与企业之间的电子商务是电子商务应用中最重要和最受企业重视的形式,是电子商务的主流,主要着重企业的经营效率,利用网络整体提高企业的管理、经销、产品推广的实力水平,从而改善传统商业模式所带来的弊端。l 消费者与消费者之间的电子商务(C2C)消费者与消费者之间的电子商务是Internet上产生的一种新模式,是一种个人的网上商务交易方式,也有人称之为P2P,其中最典型的是在网上拍卖或竞买。这种模式大大节省了消费者之间的交易成本和时间,提高了社会效益,深受消费者的喜爱。l 企业与政府之间的电子商务(B2G)企业与政府之间的电子商务涵盖了政府与企业之间的各项事务,包括政府采购、税收、商检、管理条例发布、法规政策颁布等。在这种模式下,电子商务中政府有这两重角色,既是电子商务的使用者,优势电子商务的宏观管理者。l 消费者与政府之间的电子商务(C2G)消费者与政府之间的电子商务包含了政府对个人的一系列管理和服务事项,包括政府对个人身份的核实,对公民福利基金、生活保障费的发放,收集民意和处理公民的信访及举报,政府主持的拍卖,公民的自我估税、报税及电子纳税等。(2)按照电子商务交易的商务活动运作方式分类,电子商务主要包括两类基本商业活动:l 直接电子商务直接电子商务也称完全电子商务,是指Internet上直接对无形的数字化产品和服务的交易活动,它可以完全通过电子商务方式实现和完成整个交易过程。这种模式突出的好处是快速、简便,且又十分便宜,深受客户欢迎,企业的运作成本显著降低;受限之处是只能经营适合在网上传输的商品和服务。l 间接电子商务间接电子商务也称不完全电子商务,是指在Internet上对有形货物的电子订货以及交易过程中的一系列服务活动,它无法完全依靠电子商务方式实现和完成整个交易过程。(3)按照电子商务使用的网络类型分类,电子商务主要包括三个类型:l 基于EDI的电子商务EDI是按着一个工人的标准和协议,将商务活动中涉及的文件标准化和格式化,通过计算机网络,在贸易伙伴的计算机网络系统之间进行数据交换和自动处理。EDI使用的是专用网络,安全性比Internet高,因此目前主要在安全性要求较高的领域使用。l 基于Internet的电子商务基于Internet的电子商务是目前电子商务的主要形式,它采用了当今先进的计算机技术、通信技术、数据库技术、多媒体技术,通过Internet实现营销、购物等商业服务。它突破了传统商业生产、批发、零售以及进、销、存、调的流转程序和营销模式,实现了少投入、低成本、零库存、高效率。l 基于Intranet的电子商务基于Intranet的电子商务是指在一个大型企业的内部或一个行业内开展的电子商务活动。它能够有效的实现企业内部之间、企业与企业之间、企业与合作伙伴之间及客户之间的授权内数据共享和数据交换,并将每一个各自独立的网络通过互联延伸形成共享的企业资源,方便的查询关联企业的相关数据,形成一个商务活动链3。2.3电子商务的发展历程纵观中国电子商务发展史,从开始起步、遭遇泡沫寒冬、寒冬后的回暖,以及随之而来的快速发展,中国的电子商务大致可分为以下五个发展阶段。(1)萌芽与起步期(1997-1999年)随着互联网全新的引入概念的传入,鼓舞了一批新经济的创业者,他们认为传统的贸易信息借助互联网进行交流和传播将带来无限的商机,于是国内第一批电子商务网站在1997年开始创办,从1997年到1999年,阿里巴巴、易趣网、当当网等知名电子商务网站先后涌现。因此,该阶段是中国电子商务的萌芽与起步期。(2)冰冻与调整期(2000-2002年)在2000年至2002年间,互联网浮华的泡沫开始破灭,电子商务的发展受到严重的影响,创业者的信心也经受了严峻的挑战,尤其是部分盈利模式不健全的企业更是经历了冰与火的严峻考验。于是,中国的电子商务网站进入残酷的寒冬阶段,而一些依靠“会员+广告”模式的行业网站集群,则大都实现了集体盈利,安然度过了互联网最为艰难的“寒潮”时期。在这三年间创建的电子商务网站不到现有网站总数的12.1%。因此,该阶段是我国电子商务的冰冻与调整时期。(3)复苏与回暖期(2003-2005年)电子商务经历低谷后,在2003年开始出现了快速复苏回暖,部分电子商务网站也在经历过泡沫破裂后,更加谨慎务实地对待盈利模式和低成本经营。(4)崛起与高速发展期(2006-2007年)互联网环境的改善、理念的普及给电子商务带来巨大的发展机遇,各类电子商务平台会员数量迅速增加,大部分B2B行业电子商务网站开始实现盈利。再加上行业之间的良性竞争和创业投资热情高涨,大大推动了我国电子商务进入新一轮高速发展与商业模式创新阶段,衍生出更为丰富的服务形式与盈利模式,而且电子商务网站的数量也快速增加。(5)转型与升级期(2008-现在)随着全球金融海啸的到来,以及全球经济环境的迅速恶化,致使我国相当多的中小企业陷入困境,尤其是外贸出口企业受到了极大的阻碍。而与传统产业密切相关的电子商务也难免独善其身,受产业链波及,以出口导向型电子商务为主的服务商,纷纷关闭、或裁员重组、或增长放缓。而与此同时,在外贸转内销与扩大内需、降低销售成本的指引下,内贸在线B2B与垂直细分B2C却获得了新一轮高速发展, B2C取得了前所未有的发展与繁荣。而在C2C领域,随着搜索引擎巨头百度的进入,使得网购用户获得了更多的选择空间,行业竞争由此也更加激烈。该时期电子商务行业优胜劣汰步伐加快,模式、产品、服务等创新层出不穷,仅在此二年时间内创建的电子商务网站占现有网站总数的22.3%。因此,该阶段是我国电子商务的转型与升级时期。2.4电子商务的发展趋势电子商务作为一种新兴的、处于发展过程中的现代商务方式,从1997年以来,得到了迅速发展,显现了巨大的现代商业价值。在21世纪,电子商务将逐渐成为社会生活的主要方式,也将成为数字化社会的基础4。在中国,电子商务未来将呈现如下发展趋势:(1)纵深化我国电子商务的基础设施和支持环境将日臻完善和规范,移动通信也将成为进行电子商务的主要媒介。网民的消费观念和行为将发生很大变化,对电子商务的接受程度将不断提高。对于企业来说,实施电子商务的可能性会大大提高。并且随着电子商务法律法规的出台和实施,我国的电子商务将得到有效的法律保障。随着电子商务的发展和需要,跨地区的专业性物流渠道将适时建立和完善,电子商务的物流体系会逐步完善,这使得电子商务公司在配送体系的选择方面空间更大,成本也将降低。企业发展电子商务的深度进一步拓展。新一代的电子商务将从网上商店和门户的初级形态,过渡到将企业的核心业务流程、客户关系管理等都延伸到互联网上,这样会更加互动和实时。(2)个性化电子商务个性化趋势将向两个方向发展:第一是个性化定制信息。互联网为个性化定制信息提供了可能,消费者不仅可以实现点播,而且将促使个人参与到节目的创意、制作过程;第二是对个性化商品的需要。消费者把个人的喜好参与到商品的设计和制作过程中去。所以,对所有面向个人消费者的电子商务活动来说,提供多样化的比传统企业更具个性化的服务,也是决定今后成败的关键因素。(3)专业化面向消费者的垂直型网站和专业化网站前景看好,面向特定行业的专业电子商务平台发展潜力大。今后若干年内我国上网人口仍将是以中高收入的人群为主,他们购买力强,受教育程度较高,生活的个性化要求比较强烈,提供一条龙服务的垂直型网站及某一类产品和服务的专业网站发展潜力很大,特别是对那些技术含量、知识含量较高的商品和服务。对B2B电子商务模式来说,以行业为信托的专业电子商务平台也是未来的发展趋势之一。(4)国际化我国的电子商务必将走向世界,电子商务将间接刺激对外贸易。发展电子商务是缩短国内企业与国外差距的一个最有效的手段,对我国的中小企业来说,电子商务将提供一个千载难逢的好时机,帮助他们开拓国际市场,而国外电子商务企业也将会努力开拓中国市场。(5)区域化立足于我国国情采取有重点的区域化战略是有效地扩大网上营销规模和效益的必然途径。我国地区经济发展的不平衡和城乡二元结构所反映出来的经济发展的阶梯性、收入结构的层次性十分明显。在今后相当长时间内,上网人口仍将以大城市、中等城市和沿海经济发达地区为主。电子商务模式区域特征也非常明显,以这种模式为主的电子商务在资源规划、配送体系建设、市场推广等方面都必须充分考虑这一现实,采取有重点的区域战略,才能最有效地扩大网上营销的规模和效益。(6)融合化电子商务网站在最初的全面开花后必然走向新的融合,包括同类兼并、互补性兼并和战略联盟协作。同类兼并:目前不少的网站属于重复建设之列,定位相同或相近,由于资源总是有限的,最终胜出的只是名列前茅的企业。互补性兼并:国内那些处于领先地位的电子商务企业的优势毕竟是相对而言的,网站下一步要发展,必然采取收购策略,而主要的模式将是互补性收购。结成战略联盟:由于个性化、专业化是电子商务发展的两大趋势,而且每个网站的资源是有限的,但客户的需求却是全方位的,所以不同类型的网站以战略联盟的形式进行相互协作也是必然趋势。今天,互联网已经并正在如此广泛地影响着我们的生活,正在成为人们获取信息的主要通道,成为人们休闲娱乐的工厂,成为政府和老百姓的沟通平台,成为企业消灭贸易中间环节,低成本快速传播,以及创造更多贸易机会的平台。电子商务的发展,不断带来新的市场机会,传统经济和电子商务越来越紧密的结合已经成为未来经济发展的方向5。3网络安全技术3.1网络安全技术的定义网络安全技术致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略6。网络安全从本质上讲是网上信息的安全,是指网络系统的硬件、软件和系统中的数据受到保护,不受偶然的或者是恶意的攻击而遭受破坏、更改、泄露,确保系统连续可靠的运行,网络服务不中断7。从广义上讲,凡是涉及网络上信息的保密性、完整心、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为保证网络的安全,必须保证以下四个方面的安全: (1)运行系统的安全;(2)网络上系统信息的安全;(3)网络上信息传播安全; (4)网络上信息内容的安全。 为了保证这些方面的安全,大家通常会使用一些网络安全产品,如防火墙、VPN、数字签名等,这些安全产品和技术的使用从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面的,而对于网络系统来讲,它需要的是一个整体的安全策略,这个策略不仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能。3.2网络安全存在的问题计算机信息网络安全面临来自多方面的信息安全威胁,其影响因素可能是系统本身存在的安全弱点,而系统在使用、管理过程中的失误和疏漏也家具了问题的严重性。其中有人为的因素,也有非人为的因素,归纳起来,主要有以下问题:(1)网络系统本身存在的问题l 系统漏洞网络系统自身存在的安全因素主要是系统漏洞造成的威胁。一个系统漏洞对安全造成的威胁时很严重的,如果攻击者获得了对系统一般用户访问权限,很可能通过系统漏洞将自己升级为管理员权限。漏洞的产生在于程序在实现逻辑中没有考虑到的一些意外情况,然而这些意外情况是应该被考虑到的。系统漏洞导致程序处理文件等实体时在时序和同步方面存在问题,在处理的过程中可能存在一个机会窗口使攻击者能够施以外来的影响。l 移动存储介质移动存储介质由于其方便携带、存储量大等特点被广泛应用,但也是因为这些特点给网络系统带来了安全隐患,造成网络系统不易管理,尤其是对一些涉密单位移动存储介质的管理。现阶段的涉密介质大多缺少身份认证、访问控制和审计机制,这给网络系统的信息安全造成很大的隐患。(2)网络系统存在来自外部的问题l 黑客的威胁黑客具有很强的计算机网络系统知识,能够熟练使用各种计算机技术和软件工具,并且善于发现计算机网络系统自身存在的系统漏洞。漏洞成为黑客被攻击的目标或攻击的途径,对网络系统的安全构成很大的威胁。l 计算机病毒的威胁计算机病毒具有蔓延速度快、范围广等特点,是计算机网络系统最大的威胁,造成的损失也难以估计。计算机病毒破坏的对象直接就是计算机系统或网络系统。一旦计算机感染病毒以后,使系统执行效率下降,甚至造成系统死机或毁坏,造成部分文件或全部数据丢失,严重的还会使计算机系统硬件设备损坏。l 间谍软件的威胁间谍软件的主要目的不在于对系统进行破坏,而是窃取计算机网络系统存储的数据信息。间谍软件的功能繁多,可以监视用户行为,或发布广告,修改系统设置,威胁用户隐私和计算机安全,并在不同程度上影响系统的性能。(3)网络系统管理机制存在的问题l 违反规章制度而泄密由于工作过程中对保密制度的不熟悉或疏忽造成网络系统的安全受到威胁。例如由于不知道移动存储介质上删除的文件可以还原,将曾经存储过秘密信息的移动存储设备借出,造成信息的泄露。l 故意泄密故意泄密主要是指能够维护计算机系统的工作人员故意对网络安全进行破坏的行为。如系统开发人员获得使用计算机的口令和密钥进入计算机网络,窃取信息系统、数据库内的重要秘密数据。3.3网络安全技术分类(1)防火墙技术防火墙建立于一个组织的内部网络和公共的互联网主干网之间,保护网络中无危险的部分不受网络中有危险的部分的威胁8。防火墙是不同网络或网络安全区域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙是保护本地系统或网络,抵制网络攻击的最重要的网络安全技术,作为访问控制技术的代表,防火墙产品是目前世界上用的最多的网络安全产品之一,其功能也在不断增加。防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。由于它假设了网络的边界和服务,对内部的非法访问难以有效地控制。因此,最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络(如常见的企业专用网)。防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。目前,防火墙产品主要分为两大类:基于代理服务方式的和基于状态检测方式的。但是由于互联网的开放性和复杂性,防火墙也有其固有的缺点:防火墙不能防范不经由防火墙的攻击,例如,如果允许从受保护网内部不受限制地向外拨号,一些用户可以形成与Internet的直接连接,从而绕过防火墙,造成一个潜在的后门攻击渠道,所以应该保证内部网与外部网之间通道的唯一性;防火墙不能防止感染了病毒的软件或文件的传输,这只能在每台主机上装反病毒的实时监控软件;防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击,所以对于来历不明的数据要先进行杀毒或者程序编码辨证,以防止带有后门程序。(2)数据加密技术防火墙技术是一种被动的防卫技术,它难以对电子商务活动中不安全的因素进行有效的防卫,而数据加密技术是保障电子商务交易安全的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前, 加密技术分为两类, 即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI(即“公开密钥体系”)技术实施构建完整的加密/签名体系, 在充分利用互联网实现资源共享的前提下从真正意义上确保了网上交易与信息传递的安全。在PKI 中, 密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥),这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开, 而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性息的加密, 专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握, 公开密钥可广泛发布, 但它只对应用于生成该密钥的贸易方。(3)身份认证技术身份认证又称为身份识别,是通过对被认证对象(人或事)的一个或多个参数进行验证,从而确定认证对象是否名实相副或有效,它是通信和数据系统正确识别通信用户或终端的个人身份的重要途径9。一般来说,用人的生理特征参数进行认证的安全性很高,但目前这种技术成本很高,难以实现。目前,计算机通信中采用的参数有口令、标识符、密钥、随机数等,而且一般使用基于证书的公钥密码体制(PKI)身份认证技术。要实现基于公钥密码算法的身份认证需求就必须建立一种信任及信任验证机制,即每个网络上的实体必须有一个可以被验证的数字标识,即“数字证书”。数字证书是各实体在网上信息交流及商务交易活动中的身份证明,具有唯一性。证书基于公钥密码体制,它将用户的公开密钥同用户本身的属性(例如姓名)联系在一起,这就意味着应有一个网上各方都信任的机构,专门负责对各个实体的身份进行审核,并签发和管理数字证书,这个机构就是证书中心(即CA)。CA用自己的私钥对所有的用户属性、证书属性和用户的公钥进行数字签名,产生用户的数字证书。在基于证书的安全通信中,证书是证明用户合法身份和提供用户合法公钥的凭证,是建立保密通信的基础。因此,作为网络可信机构的证书管理设施,CA主要职能就是管理和维护它所签发的证书,提供各种证书服务, 包括: 证书的签发、更新、回收、归档等。 (4)数字签名技术数字签名也称电子签名,在身份认证、数据完整性、不可否认性等信息安全方面有重要应用。数字签名是非对称加密和数字摘要技术的联合应用。其主要方式为:报文发送方从报文文本中生成一个128bit的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名,然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方,报文接收方首先从接收到的原始报文中计算出128bit位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。4电子商务的安全问题及解决措施4.1电子商务安全性要求在网上进行电子商务的活动过程是这样进行的:用户通过浏览器发出信息,该消息经过Internet到达Web服务器,再由Web服务器调用CGI等程序访问数据库,返回用户请求的消息给Web服务器,最后通过Internet传给用户。在这整个过程中我们可以看到,要实现电子商务安全,应该从计算机信息系统安全着手。电子商务系统,从某种意义上说,其实就是一种计算机信息系统10。计算机信息系统就是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。电子商务系统的安全就是由系统实体、系统运行安全、系统运行安全和系统信息安全这三个部分来组成的。(1)系统实体安全电子商务系统安全的第一部分是实体安全。所谓实体安全,是指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施过程。它主要由三个部分组成:l 环境安全环境安全就是要对电子商务系统所在的环境实施安全保护,主要包括受灾的防护和区域的防护。受灾的防护就是系统要具有受灾报警、受灾保护和受灾恢复等功能,目的是保护电子商务系统免受水、火、有害气体、地震、雷击和静电的危害。区域防护就是要对特定区域提供某种形式的保护和隔离措施。l 设备安全设备安全是指对电子商务系统的设备进行安全保护,主要包括设备的防盗和防毁,防止电磁信息泄露,防止线路截获,抗电磁干扰以及电源保护。l 媒体安全媒体安全是指对媒体数据和媒体本身实施安全保护。媒体数据的安全主要是提供对媒体数据的保护,实施对媒体数据的安全删除和媒体的安全销毁,目的是为了防止被删除或者被销毁的敏感数据被他人恢复。(2)系统运行安全电子商务系统安全的第二部分是运行安全。运行安全是指保障系统功能的安全实现,提供一套安全措施保护信息处理过程的安全。它主要由四个部分组成:l 风险分析风险分析就是要对电子商务系统进行人工或自动的风险分析。首先要对系统进行静态的分析,旨在发现系统的潜在安全隐患;其次是要对系统进行动态的分析,即在系统运行过程中测试、跟踪并记录其活动,旨在发现系统运行期的安全漏洞;最后是系统运行后的分析,并提供相应的系统脆弱性分析报告。l 审计跟踪审计跟踪就是要对电子商务系统进行人工或自动的审计跟踪、保存审计记录和维护详尽的审计日志。l 备份和恢复备份和恢复就是要提供对系统设备和系统数据的备份和恢复。对数据进行备份和恢复所使用的介质可以是磁介质、纸介质、光碟、缩微载体等。l 应急应急措施就是要提供在紧急事件或安全事故发生时,保障电子商务系统继续运行或紧急恢复所需要的策略。(3)信息安全信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨认、控制。它是由七个部分组成。l 操作系统安全操作系统安全是指要对电子商务系统的硬件和软件资源实行有效控制,为所管理的资源提供相应的安全保护。l 数据库安全数据库安全是指对数据库系统所管理的数据和资源提供保护,一般采用多种安全机制与操作系统相结合,来实现数据库的安全保护。l 网络安全网络安全是指提供访问网络资源年或使用网络服务的安全保护。即通过采用各种技术和管理措施,使网络正常运行,确保网络中数据的可用性、完整性和保密性。它涉及网络安全管理、安全网络系统和网络系统安全部件。l 计算机病毒防护所谓计算机病毒,是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。计算机病毒的防护,即通过建立系统保护机制,来预防、检测和消除病毒。l 访问控制所谓访问控制,是对主体访问客体的权限或能力的限制,以及限制进入物理区域和限制使用计算机系统和计算机存储数据的过程。访问控制是保证系统外部用户或内部用户对系统资源的访问以及对敏感信息访问方式符合组织安全策略。l 加密信息安全中的加密主要涉及数据的加密和密钥的管理。l 鉴别鉴别主要提供身份鉴别和信息鉴别。身份鉴别是提供对信息收、发方真实身份的鉴别。信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。针对电子商务的安全问题的构成,只有提供了保密性、完整性、认证性、可控性和不可否认性这五个方面的安全性,才能满足电子商务安全的需求。(1)保密性保密性是保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。(2)完整性完整性是防止信息在传输过程中丢失和重复及非法用户对信息的恶意篡改。(3)认证性认证性是确保交易信息的真实性和交易双方身份的合法性。(4)可控性可控性是指保证系统、数据和服务能由