MBA教程-电子商务 第四章电子商务的支撑技术simpl.pptx

《MBA教程-电子商务 第四章电子商务的支撑技术simpl.pptx》由会员分享，可在线阅读，更多相关《MBA教程-电子商务 第四章电子商务的支撑技术simpl.pptx（75页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第四章第四章 电子商务的支撑技术电子商务的支撑技术 企业顺利开展电子商务需要一个良好的环境，这包括企业内外企业顺利开展电子商务需要一个良好的环境，这包括企业内外的环境，需要企业本身、企业的合作伙伴、政府部门和社会的共的环境，需要企业本身、企业的合作伙伴、政府部门和社会的共同努力，积极采用先进技术和建立相关管理机构，以保证电子商同努力，积极采用先进技术和建立相关管理机构，以保证电子商务安全、快速、可靠、有序开展。这里涉及到电子商务的多项支务安全、快速、可靠、有序开展。这里涉及到电子商务的多项支撑技术，也是这一章的主要内容。撑技术，也是这一章的主要内容。Internet 及及Intranet技术技

2、术电子商务安全及相关安全技术电子商务安全及相关安全技术电子结算系统电子结算系统现代物流技术（见第五章）现代物流技术（见第五章）一、一、Internet 及及Intranet技术技术 1、Internet及Intranet技术的技术基础 2、TCP/IP网络通信协议网络通信协议（也叫互联网协议）也叫互联网协议）网络协议：在网络系统中,一般情况下同类型的计算机与计算机,终端与终端之间实现通信比较容易,而不同类型的计算机,终端之间的通信就相当困难.针对通信过程中的各种问题,指定一套约定,即网络系统的通信协议.TCP/IP协议：是Internet采用的网络协议标准,也是全世界采用的最广泛的工业标准。它

3、是一个协议系列,用来将各种计算机和数据通信设备组成实际的计算机网络。TCP/IP能很好地连接不同厂家的不同类计算机，组成计算机网络，兼容性好，节省用户投入。(补一图:A-B)TCP和IP是两个分开的协议，各自完成不同的功能。TCP协议：负责数据从发送方正确的传递到接受方，是端到端的数据流传送，是面向联接的，因此在传递数据之前，先要建立连接。因为数据可能在中间的 网络丢失，TCP能检测数据的丢失，并重发数据，直到数据被正确的、完整的接受为止。IP协议：是Internet和Intranet最基本、最重要的协议。IP的功能是在需要通信的两台计算机之间，通过网络的路由传递数据。它提供数据包从源主机传递

4、至目的主机。一个IP协议数据单元（数据包）是有限长的，包含一个报头和相应要传送的数据。二、电子商务安全及相关安全技术二、电子商务安全及相关安全技术 电子商务不安全，顾客和企业就都不会接受这种电子商务不安全，顾客和企业就都不会接受这种EC方式，特方式，特别是顾客。保证电子商务的安全是人们最关心和最基本的要求，别是顾客。保证电子商务的安全是人们最关心和最基本的要求，这是网上交易的基础，是电子商务的核心问题，也是技术上的难这是网上交易的基础，是电子商务的核心问题，也是技术上的难点。（例：黑客点。（例：黑客Hacker、红客、红客Honker、病毒、信用卡密码网上窃、病毒、信用卡密码网上窃取等问题）取

5、等问题）这章内容内涉及：安全概述电子商务的安全问题电子商务的安全措施1、安全概述、安全概述 这里的安全是指企业的信息网络软硬件系统的安全并保证企业这里的安全是指企业的信息网络软硬件系统的安全并保证企业合法的正常的网络使用（网络访问、信息传输等等）。凡企业合法的正常的网络使用（网络访问、信息传输等等）。凡企业的资产（包括知识产权）受到未授权的或非正常的访问、使用、的资产（包括知识产权）受到未授权的或非正常的访问、使用、修改或破坏，称为安全威胁。修改或破坏，称为安全威胁。主要涉及下列四方面的内容：主要涉及下列四方面的内容：A.保密：保密：防止未授权的数据暴露并确保数据源的可靠防止未授权的数据暴露并

6、确保数据源的可靠性。如现在性。如现在 每月有非法进入政府网络或网上窃取信每月有非法进入政府网络或网上窃取信用卡号码等。（这种问题最多，中美红客黑客五一用卡号码等。（这种问题最多，中美红客黑客五一大比拼）大比拼）B.完整：完整：防止未授权的数据使用、修改。（计算机犯防止未授权的数据使用、修改。（计算机犯罪，修改存款额；在网上非法使用材料，侵犯知识罪，修改存款额；在网上非法使用材料，侵犯知识产权等）产权等）C.即需服务：即需服务：防止服务延迟或拒绝服务。即在网上被防止服务延迟或拒绝服务。即在网上被非正常地延迟服务或被拒绝服务。如非正常地延迟服务或被拒绝服务。如1999年年5月中国月中国黑客用无用信

7、息堵塞美国白宫网站，阻碍正常用户黑客用无用信息堵塞美国白宫网站，阻碍正常用户的访问等。的访问等。信息网络软硬件系统安全：信息网络软硬件系统安全：防止网络系统瘫痪或运防止网络系统瘫痪或运行不正常。如病毒入侵，每年的行不正常。如病毒入侵，每年的4-26 CIH病毒病毒,I love you等破坏计算机系统的硬件和软件等破坏计算机系统的硬件和软件。2、电子商务的安全问题、电子商务的安全问题具体到电子商务，其具体到电子商务，其 安全问题涉及到安全问题涉及到:商务整个过程商务整个过程分为如下四个方面：分为如下四个方面：(像“解放军的超限电子战，不对称作战”）A)、对客户机（用户端）的安全威胁：、对客户机

8、（用户端）的安全威胁：v 当用户浏览网页并执行页面上的某些活动程序时，这些程序常常下载到客户机上运行，并能读取、更改客户机的数据资源。如果这样的程序是恶意的，就会造成用户客户机上的信息泄露。（如，动态页面中java小程序，ActiveX控件，如特洛伊木马程序，Cookie个人信息泄漏等）v 电子邮件带病毒的附件。（宏病毒、Happy99、CIH等）v 这些常叫“隐蔽信息”（即附在信息中的信息）。客户机（用户）企业电子商务服务器InternetB)、对通信信道的安全威胁、对通信信道的安全威胁 电子商务的通信信道其实就是连接客户和企业厂商的中间通信网络，即Internet，所以就是Internet

9、的安全问题。目前的Internet开放性很强，自由，信息传送并无专用固定网络路径，反过来安全性就较差了（TCP/IP的缺陷）。v信息保密性威胁：上Internet能造成用户的保密或个人隐私信息在网络传输半途能被暴露或窃取。原因是Internet技术上的固有缺陷。（如网上信用卡信息泄露、口令泄露）v信息完整性威胁：通过非法的主动搭线窃听，未经授权修改网络上的信息。如，改变订货名称、单价等等。“电子伪装”v信息服务即需性威胁：故意造成延迟服务或拒绝服务。如发冗余信息堵塞通信信道，延误正常的响应服务。如1999年对白宫网站的Ping 无用连接，Internet蝓虫攻击，网上股票交易的延迟响应等。D)

10、、交易者身份及网络行为的不确定威胁、交易者身份及网络行为的不确定威胁 电子商务作为一种新的商务交易方式，并借助网络进行，交电子商务作为一种新的商务交易方式，并借助网络进行，交易的手段与传统的商务有很多的不同，交易者可以利用当前电子易的手段与传统的商务有很多的不同，交易者可以利用当前电子商务技术和环境的不完善和不成熟造成交易对方的损失。商务技术和环境的不完善和不成熟造成交易对方的损失。v交易者身份的不确定性：与传统商务不同，网上交易者没有面对面，也许相隔千里，“骗子”，“黑店”等都有可能。需要方便可靠地确认对方身份。-“电子身份”v交易行为的不确定性：一般交易达成后是不可否认的。但电子交易者对电

11、子交易行为有可能因为商情的变化而否认、变化、修改等。这需要技术上确认电子交易通信过程的每一环节，在技术上保证电子交易协议的不可单方面变更。-“电子合同的传输保密、认证”3、电子商务的安全措施、电子商务的安全措施 保护构成电子商务系统的电子资产，对电子商保护构成电子商务系统的电子资产，对电子商务的生存是必需的。上节简述了电子商务的一些安全务的生存是必需的。上节简述了电子商务的一些安全问题，这里将针对这些安全隐患提出电子商务的安全问题，这里将针对这些安全隐患提出电子商务的安全措施。措施。虽然这些措施并不是万能的，即不能虽然这些措施并不是万能的，即不能100%保证保证电子商务体系的安全，但更多更新的

12、安全技术正不断电子商务体系的安全，但更多更新的安全技术正不断被开发采用，以保证电子商务这一崭新的有广阔发展被开发采用，以保证电子商务这一崭新的有广阔发展前景的新世纪商务形式的顺利进行和发扬光大。前景的新世纪商务形式的顺利进行和发扬光大。矛与盾的较量将是持久的，但新的有生命力的矛与盾的较量将是持久的，但新的有生命力的电子商务终会在世界和我国蓬勃发展起来。电子商务终会在世界和我国蓬勃发展起来。科学家已认识到科学家已认识到Intenet的技术基础的技术基础TCP/IP协议的协议的不足，正在加紧制定新的更安全的不足，正在加紧制定新的更安全的新一代新一代TCP/IP协议协议体系，来提高体系，来提高Int

13、ernet的安全的安全，从而促进电子商务的安，从而促进电子商务的安全全。除此之外，电子商务的安全措施或技术主要有：除此之外，电子商务的安全措施或技术主要有：保护知识产权措施保护知识产权措施保护客户机措施保护客户机措施保护电子商务的通信信道措施保护电子商务的通信信道措施保护电子交易的完整性措施保护电子交易的完整性措施保护电子商务的后台服务器措施保护电子商务的后台服务器措施A)、保护知识产权措施、保护知识产权措施 数字知识产权比传统知识产权更难保护，在网上就更难保护。迄今为数字知识产权比传统知识产权更难保护，在网上就更难保护。迄今为止，止，绝对可靠的保护手段和技术均不现实，都可绝对可靠的保护手段和

14、技术均不现实，都可 提供一定程度的保护，提供一定程度的保护，但也各有不足。现有的保护手段和技术为：但也各有不足。现有的保护手段和技术为：（3种）种）国家立法保护：国家立法保护：如版权法应用到Internet或其他数字媒体上，起威慑作用。如：我国正在制订Internet上的相关法律，以创建一个良好的电子商务运作环境。WPO（世界知识产权组织）一直在推进和监督国际数字化版权的问题。“行政手段”数字水印：数字水印：是隐蔽地嵌入在数字图象或声音文件里的数字码或数字流。也叫“信息隐蔽法”来生成数字水印，将来方便对使用者使用数字产品的追踪或控制。数字水印没有消极影响。如美国ARIS和Digimarc公司提

15、供的数字水印保护和软件。数字信封：数字信封：也叫信息认证码。即给要出售的数字信息文件外部加一把数字锁。如，SOFTLOCK公司使用SoftLock技术，作者和版权所有者可以只允许采购者打开文件，没有特定的数字钥匙就打不开。B)、保护客户机措施、保护客户机措施 指保护客户机（即用户端上网计算机）不受上下载的软件和数指保护客户机（即用户端上网计算机）不受上下载的软件和数据的安全威胁。如前面的动态页面、邮件病毒、假网站等。下面为据的安全威胁。如前面的动态页面、邮件病毒、假网站等。下面为常用的一些保护客户机的措施（防止或减少）。（常用的一些保护客户机的措施（防止或减少）。（5种）种）数字证书：数字证书

16、：指电子邮件附件或嵌入在网页里的程序，类似于驾照或身份证上的照片，确认为合法软件开发商。通过数字证书，可以证明所提供的软件是真实的，不是伪造的，是通过专业数字证书认证中心认证过和认同的。如著名的VeriSign认证中心。新版新版IE浏览器和浏览器和Navigator浏览器的内置保护功能：浏览器的内置保护功能：如IE采用的MicroSoft的Authenticode技术来验证所下栽程序或数据的身份，但这种技术只能对你所信任的人或网站进行判断。“只防君子”Cookie控制：控制：Cookie类似于一种记忆功能，如在上网时能记住用户这次输入的用户名和口令等，下次在这台计算机上做同样的事时就无需重新输

17、入口令等。Cookie的问题在于它以不为人觉察的方式收集用户的个人信息，可能被人窃用。通过在IE5浏览器中设置Cookie的有效期长短或安全级别可控制Cookie问题。防病毒软件：防病毒软件：在客户机上安装配置防病毒软件并定时更新或升级。雇佣或咨询雇佣或咨询“防止计算机犯罪专家防止计算机犯罪专家”。C）、保护电子商务的通信信道措施）、保护电子商务的通信信道措施 提供电子商务通道的安全意味着保证通道保密性、消息完整性提供电子商务通道的安全意味着保证通道保密性、消息完整性和通道可用性。这方面的安全问题最广为人知，报纸、网站、电视和通道可用性。这方面的安全问题最广为人知，报纸、网站、电视等媒体每天均

18、有等媒体每天均有Internet被攻击的报道，讲述黑客通过不安全的网络被攻击的报道，讲述黑客通过不安全的网络通信通道进入企业的计算机系统。通信通道进入企业的计算机系统。保证网络通信通道的措施主要就是密码技术。具体到电子商务，保证网络通信通道的措施主要就是密码技术。具体到电子商务，主要有如下几种措施：主要有如下几种措施：1)1）采用密码技术：对信息加密解密。）采用密码技术：对信息加密解密。密码技术非常重要，常专用于军事通信，在密码技术最发达的美国，由国家安全局控制加密算法的发布。有些加密算法非常重要，美国政府甚至禁止公布其细节，也禁止出口这些加密算法。“巴统”、“高科技出口”限制 原理：原理：密

19、码技术是保证网络、信息安全的核心技术。信息发送者对信息自然语言格式进行加密,使其变成密文后再发送,当然信息的接收者要将受到的密文进行解密后才能得到自然语言格式.现在常用加密和解密方法：现在常用加密和解密方法：实际的加密技术比上述例子复杂可靠得多，对信息进行加密时要使用密钥，即发送方将明文用密钥加密后发送，接受方再通过密钥将密文还原成明文。按密钥和相关加密程序类型可分为三类加密技术：数字摘要数字摘要公开密钥加密公开密钥加密私有密钥加密私有密钥加密数字摘要：数字摘要：Digital Digest,也称也称Hash（散列）编码法。（散列）编码法。如RSA公司提出的MD5（128位）。还有SHA1等-

20、由由Ron.Rivest教授设计。该编码法采用单向教授设计。该编码法采用单向Hash函数将函数将需加密的明文需加密的明文“摘要摘要”成一串成一串128bit的密文。的密文。-这一串密文亦称这一串密文亦称“数字指纹数字指纹”。-它有固定的长度，而且不同的明文摘要成密文，其结它有固定的长度，而且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。果总是不同的，而同样的明文其摘要必定一致。-这样根据这种原理，数字摘要便成为验证明文是否是这样根据这种原理，数字摘要便成为验证明文是否是“真身真身”的的“数字指纹数字指纹”了。了。(mouse见图）信息：信息：ABCDDFDFDFDFKKK

21、KDFD.HASH函数唯一摘要唯一摘要：kkfgdd信息的数字指纹私有密钥加密私有密钥加密 也称作对称加密，其加密和解密使用同样的密钥，也就是说只用一个密钥（如“1234566”）。（Mouse见图）-信息发送者和接收者都必须知道密钥。信息发送者和接收者都必须知道密钥。-对信息加密和解密均很快，效率高。对信息加密和解密均很快，效率高。-需细心保存密钥，一旦泄露，以前的所有信息都失需细心保存密钥，一旦泄露，以前的所有信息都失去保密性。去保密性。-主要应用在类似国防系统等专业部门。主要应用在类似国防系统等专业部门。-不太适应不太适应Internet这种大环境、不固定用户的要求。这种大环境、不固定用

22、户的要求。否则需要为每对用户产生一个密钥，这样密钥的组合与数否则需要为每对用户产生一个密钥，这样密钥的组合与数量是天文数字。量是天文数字。-应用最广的应用最广的私有密钥加密系统：私有密钥加密系统：DES，数据加密标，数据加密标准（准（Data Encrypt Standard)。这种加密算法经常采用，是。这种加密算法经常采用，是美国政府用来加密敏感或商业信息的标准。但美国政府规美国政府用来加密敏感或商业信息的标准。但美国政府规定某些加密算法只能在美国国境内使用，而把有些功能教定某些加密算法只能在美国国境内使用，而把有些功能教差的加密算法可在国外使用。差的加密算法可在国外使用。明文明文李计算机

23、加密刘计算机 解密密文传送同一把密钥其中其中DES算法：算法：DES为数据加密标准（为数据加密标准（Data Encrypt Standard)。这种加密算法经常被采用。由这种加密算法经常被采用。由IBM公司开发出来的。公司开发出来的。如美国军用如美国军用DES为为128位，民用则为位，民用则为64位。位。不过不过DES至今仍被广泛使用。至今仍被广泛使用。公开密钥加密公开密钥加密 公开密钥加密又称不对称加密，它用两个数学相关的密钥对信息进行编码。是1977年等由Ronald.Rivest等三位麻省教授发明的，称为RSA公开密钥加密系统。这是一种敏感信息交换方式上的革命。RSA工作原理：工作原理

24、：在加密和解密过程中要使用一对(两个)密钥，其中一个密钥叫公开密钥，可随意发给期望同密钥持有者进行安全通信的人，公开密钥用于加密。第二个密钥是私有密钥，属于密钥持有者，不公开，仔细秘密保存，密钥持有者用私有密钥对收到的信息进行解密。例：比如例：比如TOM想给想给ANMY发信息，有如下操作步骤：发信息，有如下操作步骤：-TOM通过公开渠道取得通过公开渠道取得ANMY的公开密钥的公开密钥X；-TOM用用ANMY的公开密钥的公开密钥X 对自己要发的信息加密，借对自己要发的信息加密，借助网络发送把密文给助网络发送把密文给ANMY。-这时的密文只能用这时的密文只能用ANMY对应的私有密钥对应的私有密钥Y

25、才能解密，连才能解密，连ANMY的公开密钥的公开密钥X也无法解密。也无法解密。-ANMY收到收到TOM发来的密文后用自己的私有密钥发来的密文后用自己的私有密钥Y解密，解密，能确认是发给自己的。能确认是发给自己的。-反之亦然。可以看出密钥反之亦然。可以看出密钥X 与与Y只能互相只能互相 加、解密。加、解密。（Mouse见图）明文明文李计算机 加密刘计算机 解密密文传送用刘的公开密钥刘用自己的私有密钥公开密钥加密特点：公开密钥加密特点：-信息发送者和接收者知道不同的密钥。信息发送者和接收者知道不同的密钥。-对信息加密和解密较慢。对信息加密和解密较慢。-只需细心保存个人的私有密钥，而另一把公开密钥可

26、在合只需细心保存个人的私有密钥，而另一把公开密钥可在合法法机构上公布。机构上公布。-可以应用在类似可以应用在类似Internet等这样大众化、大范围的网络上。等这样大众化、大范围的网络上。如开展如开展 电子商务电子商务-需要的密钥总对数不多。需要的密钥总对数不多。-密钥的发布不成问题，如果需要，可在大众传媒发表个人的密钥的发布不成问题，如果需要，可在大众传媒发表个人的公开密钥。公开密钥。-这种加密方法可实现数字签名。这种加密方法可实现数字签名。“防抵赖防抵赖”，电子商务，电子商务必需。必需。-公开密钥加密系统并不是要取代前面的私有密钥加密系统，公开密钥加密系统并不是要取代前面的私有密钥加密系统

27、，二者相互补充。公开密钥加密系统除二者相互补充。公开密钥加密系统除RSA算法外还算法外还有有ECC等。等。D）、保护电子交易完整性措施）、保护电子交易完整性措施电子交易完整性含义：电子交易完整性含义：电子商务最终要涉及客户机浏览器向商务服务器发出结算信息、订单信息与结算指令以及商务服务器返回的订单确认信息等。如果某一方或闯入者改变了这些商务信息，或随意抵赖已确认的交易，将严重破坏交易的完整性，带来灾难性后果。“也就是说要在网上严肃认真地安全交易”保护电子交易完整性的主要措施为：保护电子交易完整性的主要措施为：（常常结合在一起使用）（常常结合在一起使用）数字签名数字签名数字时间戳数字时间戳数字证

28、书数字证书权威认证中心权威认证中心数字签名（数字签名（Digital Signature)数字签名含义：数字签名含义：又称电子签名，它是一个仅能由发送方才能产生的标记，其他人只能简单的识别该标记是属于谁的，数字签名是同真实签名有相同效果的一种技术。和真实书面签名一样，数字签名能确认以下两点：-信息是有签名者发送的。“WHO”-信息自签发后到收到为止未曾作过任何修改。“TRUE”用途及特点：用途及特点：数字签名可以用来防止电子信息因易被修改而有人作伪；或冒用别人名义发送信息；或发出（收到）信件后有加以否认等。数字签名并非用“手书签名”之类的图形标志，他采用了双重加密的方法来实现“防伪”、“防抵赖

29、”。它是使用前面的“公开密钥加密方法公开密钥加密方法”和“数字摘要数字摘要(Hash编码法）编码法）”两种技术合作来完成的。数字签名技术原理和操作过程为：数字签名技术原理和操作过程为：（下页图示）（下页图示）a.发送方Tom将被发送文件用SHA散列编码加密产生128bit的该文件的数字“摘要A”。b.发送方Tom用自己的私用密码对“摘要A”再加密，这就形成了“数字签名”。c.发送方Tom将加密的摘要（即刚形成的“数字签名”）和原文同时发送给接受方Anmy。d.接受方Anmy用发送方的公开密钥对收到的加密摘要（数字签名）解密，得到“摘要A”。（这里能解密得到“摘要A”，就能唯一确认是发送方Tom

30、发来的文件，“who”,“不可抵赖”，数字签名作用一）e.接受方Anmy同时对收到的原文用SHA编码加密又产生另一新的数字“摘要B”。f.接受方Anmy将“摘要A”和“摘要B”相互对比。如两者一致，则说明传送过程中文件信息没有被破坏或篡改过。否则就有问题。（到这里就能“防伪”，“true”，数字签名作用二)数字签名的过程示意图为：数字签名的过程示意图为：信息原文数字摘要A数字签名数字签名数字摘要A数字摘要B信息原文信息原文比较两者如一致如一致SHA加密Tom的私钥SHA加密加密发送发送Tom的公钥解密发送发送发送方发送方Tom接收方接收方Anmy信息原文信息原文被确认被确认1.数字时间戳数字时

31、间戳DTS(Digital time-stamp)数字时间戳服务DTS主要主要用来提供电子文件发表时间的安全保护。交易文件中，时间是很重要的信息，可以防止文件被伪造和修改。在电子交易中同样需要对交易文件的时间和日期信息采取安全措施。DTS产生过程（略）产生过程（略）DTS是是一个经加密后形成的凭证文挡。（内容含文件摘要、是是一个经加密后形成的凭证文挡。（内容含文件摘要、DTS收收 到文件的日期和时间、到文件的日期和时间、DTS的数字签名）的数字签名）DTS是网上的一个安全服务项目，由专门的认证机构提供。是网上的一个安全服务项目，由专门的认证机构提供。DTS也可用于科学家发明文献时间的认证。也可

32、用于科学家发明文献时间的认证。数字证书数字证书(Digital certificate,Digital ID)或叫数字凭证，是用电子手段来证实一个用户的合法身份和对网络资源访问的权限。在网上电子交易中，若交易双方出示了各自的数字证书，并用它来进行交易操作，则双方都可不必为对方的身份的真伪担心。v数字证书的内容格式由CCITT X.509国际标准所规定，包含有数字证书拥有者A的姓名、A的公共密钥及有效期、颁发证书的单位及其数字签名、证书序列号。v数字证书有三种类型：个人数字证书（安装在个人浏览器内）、企业服务器证书（有证书的Web服务器会自动地将其与客户端浏览器通信的信息加密）、软件证书（通常为

33、Internet中被下载的软件提供凭证）。v由第三方专业权威认证中心提供数字证书。权威认证中心（权威认证中心（CA，Certification Authority)E）、保护电子商务的后台服务器措施）、保护电子商务的后台服务器措施1）、服务器的访问控制和认证措施）、服务器的访问控制和认证措施 服务器的访问控制和认证是指采取措施控制访问服务器的人和访问的内容，并验证期望访问服务器的用户的身份。这方面主要的技术措施有：采用用户的“数字证书”验证。（用户身份、证书有效期等）采用传统的“用户名/口令”控制访问方法。采取建立后台专门的用户名/口令文件或数据库，并以明文保存用户名，以加密方式来保存口令（U

34、NIX系统采用的方法）设置服务器文件的访问控制表。如设置文件的可见、读、写、修改和运行等权限级别，分别按需求分配给不同的用户，以达到服务器资源的合理控制和利用。2）、服务器操作系统本身安全控制措施）、服务器操作系统本身安全控制措施 运行的操作系统基本都有“用户名/口令”的自身用户认证系统，这为在其上运行的电子商务服务器提供了安全子结构。如UNIX、WINDOWS2000 Server等的C2级安全管理。3）、防火墙（）、防火墙（FireWall)保护措施保护措施 防火墙是一种防火墙是一种 在需要保护的网络同可能带来安全威胁的在需要保护的网络同可能带来安全威胁的Internet或其他网络之间建立

35、的一层保护措施，可以是一个或一组硬软件系统。或其他网络之间建立的一层保护措施，可以是一个或一组硬软件系统。防火墙实质上是防火墙实质上是 把公司网把公司网(安全网安全网)与外部网与外部网(非安全网非安全网)进行安全隔进行安全隔离，世界上代表了企业网络的访问原则。离，世界上代表了企业网络的访问原则。(见下页防火墙应用示意图）防火墙是具有下列特征的计算机：防火墙是具有下列特征的计算机：（特征略讲）（特征略讲）通常是内部网络安全的第一层防护。要保护的网络如企业内部网Intranet放在防火墙内，称为安全网络；其他网络如Internet则处在防火墙外面，称为非安全网络。由内到外和由外到内的所有访问都要经

36、过防火墙。只允许特定的信息流入和流出被保护的网络，相当于过滤设备。“双向控制”只有本地安全策略所定义的合法访问才被允许通过它。防火墙的应用示意图为：防火墙的应用示意图为：Internet企业内部网络（如企业内部网络（如Intranet)防火墙系统（堡垒主机防火墙系统（堡垒主机+路由器等路由器等）非安全网络非安全网络安全网络安全网络 防火墙的种类防火墙的种类按照防护工作方式的不同，常见的防火墙种类有如下按照防护工作方式的不同，常见的防火墙种类有如下3种：种：a)、包过滤防火墙：、包过滤防火墙：包过滤（包过滤（Packet Filter)就是对网络上的传来的数就是对网络上的传来的数据包实施有选择的

37、通过。基于据包实施有选择的通过。基于IP网络层的安全机制，利用制网络层的安全机制，利用制定的包过滤规则（即安全访问控制表）进行安全控制。如检定的包过滤规则（即安全访问控制表）进行安全控制。如检查信息包的源查信息包的源IP地址、目标地址、目标IP地址及入网的地址及入网的TCP端口等，根端口等，根据预先设定的规则拒绝或允许这些包进入企业内部网络。据预先设定的规则拒绝或允许这些包进入企业内部网络。特点：特点：可以是把软件直接做在路由器里面的可以是把软件直接做在路由器里面的“过滤路由器过滤路由器”也可以是纯也可以是纯“包过滤器包过滤器”软件，安装在路由器上或充当路由器软件，安装在路由器上或充当路由器的

38、的PC机上。目前已安装防火墙机上。目前已安装防火墙80%都是这种方式。灵活、方便升都是这种方式。灵活、方便升级和便宜。级和便宜。外部网外部网 内部网内部网b)、应用网关防火墙：应用网关防火墙：与包过滤防火墙工作原理类似，但过滤的与包过滤防火墙工作原理类似，但过滤的原则是根据所请求的网络应用服务，即在网络协议的应用层原则是根据所请求的网络应用服务，即在网络协议的应用层来过滤请求和登录。如限制象来过滤请求和登录。如限制象Telnet、Ftp、Http等应用的等应用的 访问。又如，一个网关级的安全策略可允许内向的访问。又如，一个网关级的安全策略可允许内向的FTP请请 求，求，但不允许外向的但不允许外

39、向的FTP请求，这样可防止内部员工从外部请求，这样可防止内部员工从外部网网下载有病毒的软件。下载有病毒的软件。特点：特点：提供用户级别和应用协议层的访问控制，安全性较高。提供用户级别和应用协议层的访问控制，安全性较高。还要干网络协议转换这个网关的本行。还要干网络协议转换这个网关的本行。c)、代理服务防火墙：、代理服务防火墙：代理服务（代理服务（Proxy Service）防火墙使用了）防火墙使用了和包过滤不同的方法。和包过滤不同的方法。代代理服务就是将外来的对企业内部网服务器的访问，由代理服务防火理服务就是将外来的对企业内部网服务器的访问，由代理服务防火墙先接收下来，经过安全处理后，再传给相应

40、的服务器，这样能使墙先接收下来，经过安全处理后，再传给相应的服务器，这样能使众多的企业网内部应用服务器对外隐藏起来对外众多的企业网内部应用服务器对外隐藏起来对外“不可见不可见”）而免）而免遭攻击。遭攻击。Internet企业内部网络（如企业内部网络（如Intranet)非安全网络非安全网络安全网络安全网络由此堡垒机为特定网络服务提供代理由此堡垒机为特定网络服务提供代理 （相当于股票代理人）（相当于股票代理人）代理服务防火墙特点：代理服务防火墙特点：最终用户需要学习和特定培训才能使用代理服务，最终用户需要学习和特定培训才能使用代理服务，不太方便。不太方便。透明性差（需要网络管理员协助多，也是灵活

41、和更透明性差（需要网络管理员协助多，也是灵活和更安全的代价）。安全的代价）。会使网络性能明显下降，如速度慢等，相当多的防会使网络性能明显下降，如速度慢等，相当多的防火墙不能处理高负载的网络通信。如火墙不能处理高负载的网络通信。如263免费免费Web邮邮件，有时用代理就登录不成功。件，有时用代理就登录不成功。防火墙技术的评价和发展趋势防火墙技术的评价和发展趋势发展趋势：发展趋势：从包过滤和代理服务的分析可以看出，这两种模式均从包过滤和代理服务的分析可以看出，这两种模式均有一定的缺陷，因此防火墙技术在继续发展。有一定的缺陷，因此防火墙技术在继续发展。发展目标：发展目标：具有高度安全性、高透明性、高

42、网络性能的防火墙具有高度安全性、高透明性、高网络性能的防火墙防火墙技术安全防护评价：防火墙技术安全防护评价：目前流行、较可靠的保护企业内部网的措施。目前流行、较可靠的保护企业内部网的措施。上述上述“高度安全性高度安全性”、“高透明性高透明性”、“高网络性能高网络性能”这这3个因素个因素 本来是相互制约、相互影响的，同时追求本来是相互制约、相互影响的，同时追求3项高指标项高指标难度极大，目前企业应根据自己难度极大，目前企业应根据自己 的需要，寻找一个的需要，寻找一个平衡点，来兼顾这些。平衡点，来兼顾这些。网络安全的辨证总结：企业网络安全性越网络安全的辨证总结：企业网络安全性越高，同时也意味着用户

43、和员工对网高，同时也意味着用户和员工对网络使用的不便或透明性不高或网络络使用的不便或透明性不高或网络性能降低。所以企业在考虑网络安性能降低。所以企业在考虑网络安全时，必须根据自己的实际情况尽全时，必须根据自己的实际情况尽可能兼顾。可能兼顾。三、电子商务的电子结算系统、电子商务的电子结算系统电子结算系统需求背景及特点：电子结算系统需求背景及特点：随着Internet不仅仅是一个寻找信息、发Email和聊天的工具，而被逐渐被看作是企业开展电子商务的主要平台，就必然有一个网上支付的问题。具备一个方便、安全、快捷的网上支付手段正成为企业、个人在电子商务活动中日益壮大的需求。电子结算系统正是满足电子商务

44、这种需求的解决措施。同纸币或纸制发票相比，电子结算方式要便宜得多，也有利于环境保护，对企业、顾客和社会都有好处。电子结算系统的顺利实施也借助于上节描述的系列网络安全策略。电子商务电子结算系统的范围：电子商务电子结算系统的范围：主要涉及到如下两种电子商务方式：企业到消费者（企业到消费者（B to C）的电子结算方式）的电子结算方式企业到企业（企业到企业（B to B）的电子结算方式）的电子结算方式1、企业到消费者（、企业到消费者（B to C）的电子结算方式）的电子结算方式 这种电子商务方式（B TO C）的电子支付问题比较新，比较麻烦，是我们讨论的重点。而企业间电子商务B TO B方式电子结算

45、已经比较好的方法了，如采用EDI（电子数据交换）。企业到消费者（企业到消费者（B TO C）电子商务方式的电子结算系统）电子商务方式的电子结算系统主要有如下几种方式：主要有如下几种方式：信用卡信用卡智能卡智能卡电子钱包电子钱包电子现金电子现金电子支票及其他电子支票及其他a）信用卡）信用卡Credit Card(含签帐卡）结算含签帐卡）结算 信用卡是目前社会上个人最常用的电子结算方式，顾客网上购物也大部分采用信用卡来结算，因此是目前电子结算最常用的方式，在电子商务发达和信用卡普及的美国，Internet购物80%以上都采用信用卡来结算。信用卡的电子结算特点：信用卡的电子结算特点：信用卡结算的一系

46、列操作对消费者是透明的。信用卡结算过程涉及：商家及其银行、顾客及其银行、和发行顾客信用卡的公司。Internet购物，对有形商品，一般只有在货物送给顾客后才能在你的信用卡上取费。但对无形货物如软件等，商家则可立即取费。对网上预订、缺货、退货等电子结算问题，可协商。信用卡的电子结算步骤：信用卡的电子结算步骤：1)顾客在商家网页上选购商品后，在支付方式上选择信用卡顾客在商家网页上选购商品后，在支付方式上选择信用卡结算。结算。2)顾客在信用卡结算页面上填写响应信用卡的个人私有信息顾客在信用卡结算页面上填写响应信用卡的个人私有信息（如卡类型、卡号、密码等），在线发送给商家网站。（如卡类型、卡号、密码等

47、），在线发送给商家网站。3)商家收到顾客的信用卡部分信息（如密码不可见）后，验商家收到顾客的信用卡部分信息（如密码不可见）后，验证信用卡的有效性（如查卡号），保证不是偷来的卡。证信用卡的有效性（如查卡号），保证不是偷来的卡。4)商家和发卡单位验证信用卡上是否有足够的资金，并根据商家和发卡单位验证信用卡上是否有足够的资金，并根据本次交易额冻结相应的资金（不马上划拨）。本次交易额冻结相应的资金（不马上划拨）。5)在所购商品送达顾客后，响应的资金通过双方的银行系统在所购商品送达顾客后，响应的资金通过双方的银行系统转帐到商家的帐户上。转帐到商家的帐户上。6)交易完成。交易完成。7)如下页图示。如下页图

48、示。InternetVISAVISA11112222网上消费者网上消费者商家网站商家网站银行网络银行网络商业银行商业银行网上购物信用卡网上购物信用卡结算时信息传递结算时信息传递信用卡电子结算的安全问题：信用卡电子结算的安全问题：一种新的典型的的安全电子交易协议：一种新的典型的的安全电子交易协议：SET协议协议 万事达和VISA国际组织在Microsoft、IBM、HP、GTE等公司支持下联合设计了安全电子交易SET协议（Secure Electronic Transaction)，为信用卡信息在商家网站和处理银行之间传输提供安全保证。这是一个为了在因特网上进行在线交易而设立的一个开放的以电子货

49、币为基础的电子付款系统规范。已成为事实上的工业标准。目前，它已获得IETF标准的认可。SET协议其实就是采用RSA公开密钥体系对通信双方进行认证，利用DES、RC4或任何标准对称加密方法进行信息的加密传输，并用HASH算法来鉴别消息真伪，有无篡，特别提供了保密、数据完整、用户和商家身份认证横、顾客不可否认等功能。在SET体系中有一个关键的认证机构（CA），CA根据X.509标准发布和管理证书。b）智能卡结算（）智能卡结算（IC卡）卡）智能卡含义智能卡含义：即在塑料卡上安装嵌入式微型控制器芯片的IC卡，由摩托罗拉和BuII HN公司共同于1997年研制成功。在中国IC卡还未真正应用于电子商务活动

50、，但前景和优势却十分明显。在智能卡芯片里可以存储个人的大量信息，如个人的身份证信息、财务数据、帐户信息、私有加密密钥、信用卡号码及保险信息等，信息容量比信用卡大得多。智能卡特点智能卡特点：容量大，借用微处理芯片技术，能把原来的个人信用卡、驾驶执照、保险卡、身份证、工作证等都集成到一张智能卡上，让用户使用和携带更方便。智能卡比传统信用卡更能防止滥用，卡上的价值受用户的个人识别码（PIN）保护，因为智能卡上的信息是加密的。例如传统的信用卡上印有卡号，即你的帐户号码。智能卡需要智能卡刷卡器才能使用技术较新，在日本、欧洲等非常普及，智能卡刷卡器到处都是，已用于交纳电话费、电视费、水费等。美国也正在使劲