本 科 畢 業(yè) 設(shè) 計（論文） 題 目：電子商務(wù)安全技術(shù)研究學生姓名：學 號：專業(yè)班級： 指導(dǎo)教師： 2014年6月1 日中國石油大學（華東）本科畢業(yè)設(shè)計（論文） 電子商務(wù)安全技術(shù)研究 摘 要 電子商務(wù)模式是利用互聯(lián)網(wǎng)進行交易，相對傳統(tǒng)渠道而言有著更高的效率和更低的成本，是今后商品交易形式的發(fā)展趨勢，也能夠幫助公司市場快速擴大。如今電子商務(wù)的交易過程都是通過互聯(lián)網(wǎng)進行的，而互聯(lián)網(wǎng)的開放性和自由性會導(dǎo)致交易不安全，從而阻礙電子商務(wù)的正常發(fā)展。電子商務(wù)交易環(huán)境的安全與完善，使基于互聯(lián)網(wǎng)的電子交易方式達到與傳統(tǒng)交易方式一樣可靠，進而保證商業(yè)活動中交易信息的完整與實時傳達，是推動電子商務(wù)進一步向前發(fā)展的必要條件，同時也是人們最為關(guān)注的問題。本文通過分析電子商務(wù)的安全現(xiàn)狀，根據(jù)電子商務(wù)的安全體系，系統(tǒng)的提出了電子商務(wù)系統(tǒng)中的主要安全技術(shù)，包括數(shù)據(jù)加密技術(shù)、安全認證和安全協(xié)議等。進一步提出電子商務(wù)安全的技術(shù)對策和應(yīng)該采取的安全措施，在管理措施、保障措施和電子商務(wù)安全問題應(yīng)對原則方面給出了相應(yīng)策略。 關(guān)鍵字：電子商務(wù)；安全問題；數(shù)據(jù)加密；管理措施 The research of E-commerce security technology ABSTRACT E-commerce model is the use of the Internet for transactions , in terms of a relatively traditional channels has a higher efficiency and lower costs , better able to promote the development of enterprises, but also the future of the main forms of commodity trading . Stage of e-commerce transaction process is carried out via the Internet , so that security issues may arise , and will restrict the development prospects of e-commerce. Establish a secure and efficient e-commerce trading environment to enable electronic transactions to achieve with traditional Internet-based transactions as reliable , thereby ensuring the integrity and convey real-time trading information in commercial activities , is a necessary condition to promote the further development of e-commerce has it becomes a problem in the transaction process is most concerned about . This paper analyzes the security status of e-commerce , e-commerce security system based on the system proposed in the main e-commerce system security technologies , including data encryption, secure authentication and security protocols , to further raise the security of e-commerce strategies and technologies security measures should be taken , in response to the principles of management measures , safeguards and security issues gives the corresponding e-commerce strategy . Keywords: e-commerce; safety issues; data encryption; management measures 目 錄 第1章 緒論11.1 論文研究的背景及意義11.2 國內(nèi)外研究現(xiàn)狀2第2章 電子商務(wù)的安全現(xiàn)狀和存在問題3 2.1 電子商務(wù)的安全現(xiàn)狀32.2 安全技術(shù)分析4第3章 電子商務(wù)的安全體系和技術(shù)實現(xiàn)6 3.1 電子商務(wù)的安全體系63.2 電子商務(wù)安全技術(shù)73.2.1 加密技術(shù)73.2.2 安全認證技術(shù)73.2.3 安全協(xié)議93.2.4 病毒防范技術(shù)93.2.5 防火墻技術(shù)103.3 電子商務(wù)安全的技術(shù)對策10第4章 電子商務(wù)安全措施12 4.1 管理措施124.2 完善的保障措施124.3 電子商務(wù)安全問題的應(yīng)對原則14第5章 結(jié) 論16致 謝17參考文獻18 第1章 緒論 第1章 緒論1.1 論文研究的背景及意義 當今社會隨著電子信息技術(shù)的迅猛發(fā)展和移動互聯(lián)網(wǎng)應(yīng)用的飛速普及，通過互聯(lián)網(wǎng)進行商品交易這種方式得到更多的表現(xiàn)和應(yīng)用。人們可以通過電腦、手持設(shè)備利用互聯(lián)網(wǎng)交易平臺，實時獲取最新最全的新聞信息，選擇關(guān)注感興趣的話題，方便快捷的在網(wǎng)絡(luò)終端完成個人理財、網(wǎng)上購物、繳納水電費等各種移動支付賬單，預(yù)訂出行旅游的火車票、機票、賓館和餐廳，另外還可以通過網(wǎng)絡(luò)終端選擇觀看自己喜歡的電視節(jié)目，下載流行音樂等。通過這些行為電子商務(wù)給我們的日常生活帶來了很多便利1。 電子商務(wù)交易模式降低了買賣雙方交易的成本并且可以更快的完成交易，但是由于其不是在實體經(jīng)營中進行的，買賣雙方在進行雙方貿(mào)易的時候無法通過面對面的交流溝通，因此電子商務(wù)模式使得交易方便快捷的同時，也存在著買賣雙方對交易的不確定和對交易商品缺乏充分的認知，買方不能很好的對商品進行辨別認證，另外雙方在交易的過程中，買方的購買能力、賣方的經(jīng)營能力、產(chǎn)品質(zhì)量和售后服務(wù)等也是需要考慮的方面，這些都給電子商務(wù)模式帶來了交易風險，使得買賣雙方在交易中缺乏對對方的信任。每一個人、企業(yè)或者政府機構(gòu)等都不會讓個人敏感信息或者商業(yè)機密信息泄露出去，也不會選擇一個不安全的交易模式進行商品交易，這樣會對自身利益造成無法估計的損失。美國的一所著名調(diào)查機構(gòu)通過選取24000名互聯(lián)網(wǎng)用戶采集信息后表明，超過六成的人不會選擇電子商務(wù)模式進行網(wǎng)上購物因為其還不夠安全；而通過CNNIC中國互聯(lián)網(wǎng)信息中心的中國互聯(lián)網(wǎng)發(fā)展狀況統(tǒng)計報告顯示，53%的用戶更關(guān)心的是在電子商務(wù)交易過程中的安全保密性，在互聯(lián)網(wǎng)飛速發(fā)展的時代，電子商務(wù)的安全問題由于網(wǎng)絡(luò)的虛擬性、開放性而越發(fā)顯得突出，使得電子商務(wù)不能更快更好的發(fā)展，電子商務(wù)安全決定了電子商務(wù)的發(fā)展前景。因此，本文將通過分析電子商務(wù)的安全現(xiàn)狀提出相應(yīng)的管理和保障措施。 要形成一個完善安全的電子商務(wù)模式，需要完成以下四個步驟，第一，數(shù)據(jù)庫系統(tǒng)服務(wù)器要保證安全，防止數(shù)據(jù)信息被竊取；第二，建立安全可靠的實時通信系統(tǒng)，保障雙方信息不會泄露，安全快速的進行傳遞；第三，采用電子商務(wù)安全技術(shù)例如數(shù)字加密、安全協(xié)議等，完成安全技術(shù)的實現(xiàn)，增強系統(tǒng)的可信度；最后要加快完善對電子商務(wù)標準的制定，一方面加強法律監(jiān)督，使得交易雙方明確自己在交易過程中的義務(wù)和責任，達到安全交易的目的，另一方面加快制定電子商務(wù)交易規(guī)范模式，包括交易的技術(shù)標準、支付流程、交易雙方的合同標準等。在電子商務(wù)交易過程中的安全措施分為三類：行為的、法律的和邏輯的，隨著互聯(lián)網(wǎng)商品交易的越來越多的得到應(yīng)用，行為上和法律上的保護措施對于交易安全起到很大作用，但是，面對電子商務(wù)交易過程中越來越嚴重的安全威脅，行為和法律上采取的措施還顯得不夠完善。正因為如此，研發(fā)和實現(xiàn)電子商務(wù)安全技術(shù)，即是采取邏輯上的安全措施顯得尤為重要。1.2 國內(nèi)外研究現(xiàn)狀電子商務(wù)的概念最早是由美國經(jīng)濟學家托馬斯馬龍教授提出的，電子商務(wù)分為兩個方面，狹義電子商務(wù)和廣義電子商務(wù)。狹義電子商務(wù)是指通過電子信息化的交易模式，買賣雙方通過交易需求結(jié)識，賣方通過市場找到客戶達到其需求，買方通過篩選購買條件選擇合適的賣方。廣義電子商務(wù)是指在除了在買賣過程中，商品的生產(chǎn)和設(shè)計制造等交易活動的所有方面都會得到電子商務(wù)模式的支持，包括電子商務(wù)模式的技術(shù)支持和運行環(huán)境3。電子商務(wù)交易模式的應(yīng)用最早出現(xiàn)在美國，大概在1960年，地方銀行之間開始采取電子付款即利用電子信息模式來實現(xiàn)資金的轉(zhuǎn)移。1960年到1970年之間，電子數(shù)據(jù)交換EDI模式開始在企業(yè)中展開，通過收發(fā)電子郵件傳遞電子信息，節(jié)約企業(yè)運營成本，加強與外界溝通從而提高了企業(yè)運營效率。到20世紀80年代中期，電子信息技術(shù)在企業(yè)中得到充分應(yīng)用，信息的共享與溝通的節(jié)奏因此加快，企業(yè)管理更上一層樓。1980年左右，www萬維網(wǎng)開始在互聯(lián)網(wǎng)中普及起來，它給企業(yè)提供了一個交易平臺，縮小了大型企業(yè)和中小企業(yè)之間市場地位的差距，更加有利于市場競爭，使得企業(yè)能夠獲取適合自身的商務(wù)交易模式，加快了交易的無紙化和快捷化。 1991年起，國內(nèi)開始進行電子數(shù)據(jù)交換并在海關(guān)、商務(wù)、交通航運等政府部門加以應(yīng)用，1993年三金工程在國內(nèi)得以實現(xiàn)，1996年成立國際電子商務(wù)中心，1997年4月中國商品定貨系統(tǒng)開始運行，同年涌出電子商店和網(wǎng)絡(luò)購物模式，1998年7月中國商品交易市場與市場網(wǎng)站正式運行，1999年網(wǎng)上購物模式開始應(yīng)用，B2C網(wǎng)站出現(xiàn)，中國電子商務(wù)模式正式拉開帷幕，2000年5月第一個中國內(nèi)地的電子商務(wù)網(wǎng)站卓越網(wǎng)成立，隨后阿里巴巴、當當、易趣網(wǎng)等著名電子商務(wù)網(wǎng)站也陸續(xù)成立，中國的電子商務(wù)模式進入了飛速發(fā)展的階段，在當今時代電子商務(wù)模式已經(jīng)成為越來越多的人們的選擇，是現(xiàn)代生活中不可或缺的重要組成部分。19 第2章 電子商務(wù)的安全現(xiàn)狀和存在問題 第2章 電子商務(wù)的安全現(xiàn)狀和存在問題 2.1 電子商務(wù)的安全現(xiàn)狀 （1）體系結(jié)構(gòu)不完善我國的電子商務(wù)安全問題不斷變化、難以解決的原因大都是出現(xiàn)問題才去解決問題，治標不治本。國內(nèi)專家學者們通過理論研究取得了一些進展，主要從電子商務(wù)交易的體系框架上著手，但并沒有運用在實踐中，對于體系結(jié)構(gòu)的完善還有很長的路要走。 （2）核心產(chǎn)品缺乏強有力的支持 我國互聯(lián)網(wǎng)采用的核心產(chǎn)品幾乎全部是發(fā)達國家所掌控的技術(shù)，國內(nèi)市場上有很多電子商務(wù)安全相關(guān)的產(chǎn)品，但是大多不是我國的技術(shù)認證，也有很多市場安全措施是從互聯(lián)網(wǎng)或者其他公司直接拿來運用。國內(nèi)一些電子商務(wù)安全技術(shù)產(chǎn)品的公司，還沒有真正全面掌握核心安全技術(shù)的要領(lǐng)，市場上基本沒有真正采用國內(nèi)技術(shù)認證的安全產(chǎn)品。 （3）技術(shù)環(huán)節(jié)薄弱 隨著信息技術(shù)的迅速發(fā)展，很多安全技術(shù)例如安全認證、數(shù)字加密和安全協(xié)議等，國外對其數(shù)據(jù)框架和算法結(jié)構(gòu)的研究都很成熟，通用的加密算法已經(jīng)不能滿足公司的安全需求。隨著密碼制度的不斷改變，國外的加密技術(shù)水平已經(jīng)很高，而我國仍在采用部分或者全部國外的加密算法，沒能研發(fā)出真正屬于自己的算法，這樣就會成為電子商務(wù)交易過程中的安全隱患，我國需要加快對安全技術(shù)的研發(fā)節(jié)奏。 （4）頻繁受到多方面威脅 電子商務(wù)受到攻擊包括三點：一方面是人員操作造成的，可能會因為操作失誤使得數(shù)據(jù)丟失；第二是非人為因素造成的，設(shè)備老化、線路不通或者數(shù)據(jù)不完整；最后一點是惡意對服務(wù)器的攻擊和破壞，這一點對電子商務(wù)交易過程造成的威脅最大，阻礙電子商務(wù)的正常發(fā)展，只有消除這三方面的因素才能夠確保電子商務(wù)交易的安全。 而選擇主動攻擊電子商務(wù)交易系統(tǒng)的方式可以分為以下五種：偽造：獲取假身份登陸系統(tǒng)，冒充合法人，對信息進行捏造，破壞信息的接收；中斷：采取破壞系統(tǒng)硬件、軟件或者保存文件等,降低系統(tǒng)的性能；竊?。和ㄟ^采取分析數(shù)據(jù)流量、牽連搭線、電磁竊取等獲取交易過程情報，使得系統(tǒng)機密性沒有保障；篡改：利用獲得權(quán)限修改文件核心內(nèi)容,改變交易信息；轟炸:采取在網(wǎng)絡(luò)中放置電子郵件木馬病毒等,使得電子交易系統(tǒng)受損。2.2 安全技術(shù)分析電子商務(wù)出現(xiàn)在互聯(lián)網(wǎng)飛速發(fā)展的時代，是網(wǎng)絡(luò)高速更新?lián)Q代的產(chǎn)物，它只有通過網(wǎng)絡(luò)發(fā)展，沒有網(wǎng)絡(luò)作為依托，電子商務(wù)無處可尋。在全球互聯(lián)網(wǎng)網(wǎng)絡(luò)的建立初期只會將信息的高速傳輸作為首先應(yīng)該解決的問題，而不會考慮網(wǎng)絡(luò)傳輸是否安全，也沒有考慮電子商務(wù)交易的安全，這樣黑客就可以通過互聯(lián)網(wǎng)的開放性和數(shù)據(jù)共享性，利用公共的網(wǎng)絡(luò)環(huán)境，威脅網(wǎng)絡(luò)安全，破壞電子商務(wù)的交易過程。當今時代的企業(yè)信息化建設(shè)強調(diào)多注重管理在工作中占的比重，在電子商務(wù)安全中同樣是這樣。在很多企業(yè)中缺乏對網(wǎng)絡(luò)入侵有效的追蹤和排查方法，缺乏正確的管理模式，給部分黑客可乘之機，對自身電子商務(wù)的交易造成影響。另外一方面，已經(jīng)研發(fā)出來的軟件會有一些安全漏洞，沒有對漏洞的實時修復(fù)，這些問題可能會被利用，導(dǎo)致病毒傳播影響整個網(wǎng)絡(luò)，有些軟件設(shè)計人員為了軟件研發(fā)的便利，也會對軟件里設(shè)置一些非正常接口，這些也會被黑客利用造成嚴重安全隱患。以上的幾個方面嚴重影響了電子商務(wù)的正常交易過程，阻礙了電子商務(wù)的正常發(fā)展，另外從電子商務(wù)交易的方式上來看，分為公司對需求方和需求方之間進行交易。電子商務(wù)過程中交易的安全可靠，是保障電子商務(wù)交易的防線，也是電子商務(wù)研究的重點。對電子商務(wù)安全問題的保護措施主要有網(wǎng)絡(luò)安全入侵檢測和防火墻技術(shù)，并且通過使用安全認證、安全數(shù)據(jù)加密算法、安全協(xié)議、病毒防范等技術(shù)來實現(xiàn)。電子商務(wù)在交易過程中主要威脅有：信息安全威脅，偽造身份、電腦病毒、黑客入侵等，可分為具體以下幾類: （1）信息盜用電子商務(wù)交易過程中信息的盜用表現(xiàn)為對商業(yè)機密的竊取，包含兩點內(nèi)容：賣方或者買方給另一方提供的交易文件被非法竊??；買賣雙方進行交易的內(nèi)容被非法竊取。商品交易過程中，交易信息在買賣雙方之間進行傳遞，如果沒有采用加密措施，不法分子就可以通過信息傳輸?shù)拿魑男问?，通過對信息的編解碼，竊取所傳送的交易信息，分析出信息傳輸?shù)囊?guī)律，造成信息傳輸?shù)膬?nèi)容泄露。（2）誠信安全問題買賣雙方對線上交易仍會有擔心的原因是，電子商務(wù)交易過程中即使交易信息不會被竊取，但是還會牽扯到誠信安全問題。電子商務(wù)的在線支付形式有電子錢包、電子支票、信用卡支付等，采用這些在線支付方式，要求需求方先付款，然后商家再發(fā)貨。誠信安全會對電子商務(wù)快速發(fā)展帶來影響的原因是，消費者在線上進行付款后，如果收到的商品不滿意能否進行退貨處理，商家則會擔心如果先發(fā)貨，商品到達消費者手中之后，消費者是否會延遲付款或者少付款的問題。 （3）假冒威脅不法分子使用不實信息來套取消費者的使用習慣和侵犯消費者的個人隱私，他們會使用與合法商家相似的網(wǎng)址或界面訂單來蒙騙消費者。想要了解消費者購買的實力，不法分子會以使用者的借口用消費者的賬號向商家選擇商品，他們會從中觀測，如果商家接受該訂單并發(fā)貨，則說明該消費者的購買力較高，反之則不然。（4）身份不確定性由于電子商務(wù)交易平臺的實現(xiàn)不需要買賣雙方面對面進行交易，借助于虛擬的網(wǎng)絡(luò)，這樣會使得交易雙方不確定對方的準確身份。如果沒有身份認證，不法分子使用特殊手段非法獲取賬戶信息，在用戶不知情的狀況下登陸用戶的消費賬戶與商家進行交易，從而牟取利益，使得交易雙方受騙，消費者的信譽降低，造成財產(chǎn)的損失并且破壞交易雙方彼此的信任。通過身份認證，交易雙方就要為自己的行為負責任，不能對交易進行否認，這樣可以更好的交流溝通，防止互相推卸責任。（5）抵賴交易交易過程中有些消費者對自己的交易信息進行否認，試圖推脫交易過程中出現(xiàn)的問題或不履行應(yīng)承擔責任，電子商務(wù)的交易過程應(yīng)該具有不可抵賴性。抵賴交易包括多方面的內(nèi)容，如消費者下了訂貨單卻不承認交易，賣家在收到貨款后遲遲不發(fā)貨，一方事后否認曾經(jīng)進行過相關(guān)交易，另一方事后否認曾經(jīng)確認收貨或者未曾付款等，賣家因為賣出的商品價格變化而拒絕承認原有的交易生效等7。 （6）病毒的感染 在互聯(lián)網(wǎng)飛速發(fā)展的今天，高速的網(wǎng)絡(luò)提供給病毒傳播的溫床，作為最好的傳播途徑，各種電腦病毒迅速擴散，它們會不斷復(fù)制散播，給社會造成了嚴重的經(jīng)濟損失。我國計算機病毒感染率一直居高不下，就是由病毒的侵入和防范不當造成的，利用計算機系統(tǒng)的安全漏洞自動復(fù)制，攻擊系統(tǒng)主機，使得系統(tǒng)運行變慢，對計算機的掃描帶來巨大的負荷，網(wǎng)絡(luò)流量急劇上升，從而直接導(dǎo)致全部網(wǎng)絡(luò)癱瘓，而電子商務(wù)又依賴于網(wǎng)絡(luò)因此會造成巨大的影響。 第3章 電子商務(wù)的安全體系和技術(shù)實現(xiàn) 第3章 電子商務(wù)的安全體系和技術(shù)實現(xiàn)3.1 電子商務(wù)的安全體系 電子商務(wù)的安全體系結(jié)構(gòu)由五個部分組成，該結(jié)構(gòu)是保證電子商務(wù)安全完整的基本邏輯結(jié)構(gòu)，其結(jié)構(gòu)層次示意圖如圖3-1所示2：可靠性有效性抗否認性匿名性完整性保密性SET協(xié)議 應(yīng)用系統(tǒng)層SSL協(xié)議Netbill協(xié)議 安全協(xié)議層數(shù)字憑證數(shù)字摘要 安全認證層CA認證數(shù)字簽名對稱加密非對稱加密 加密技術(shù)層網(wǎng)絡(luò)隱患掃描 網(wǎng)絡(luò)服務(wù)層防火墻病毒防治內(nèi)容識別網(wǎng)絡(luò)安全監(jiān)控 圖3-1 電子商務(wù)的安全體系結(jié)構(gòu) 由圖3-1可以看出，電子商務(wù)安全體系由網(wǎng)絡(luò)服務(wù)層、加密技術(shù)層、安全認證層、安全協(xié)議層和應(yīng)用系統(tǒng)層組成。從圖中可以看出，每層通過控制技術(shù)的演進，低層為高層進行相關(guān)服務(wù)，低層是高層的技術(shù)基礎(chǔ)，高層則是低層的進一步完善，各層次之間相互依存從而構(gòu)成一個完整的結(jié)構(gòu)。電子商務(wù)系統(tǒng)安全可靠建立在全面的數(shù)據(jù)加密技術(shù)和安全認證機制基礎(chǔ)上，在圖3-1所示的電子商務(wù)安全體系結(jié)構(gòu)框圖中，三個層次加密技術(shù)層、安全認證層和安全協(xié)議層，其中安全協(xié)議層包括SSL協(xié)議和SET協(xié)議，是為了保證低層服務(wù)在安全控制方面得到更大的完善和補充。電子商務(wù)系統(tǒng)依托的是現(xiàn)有網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)層為電子商務(wù)交易過程提供基本網(wǎng)絡(luò)服務(wù)，是用戶接入的接口和信息傳送的載體，利用網(wǎng)絡(luò)設(shè)備制定接入標準，是構(gòu)成電子商務(wù)安全體系框架的最底層，它是各種電子商務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)。3.2 電子商務(wù)安全技術(shù)3.2.1 加密技術(shù) 加密技術(shù)是電子商務(wù)安全技術(shù)中最易采取的防范策略，該技術(shù)是對以符號為基礎(chǔ)的數(shù)據(jù)進行移位和交叉的交換算法，屬于主動的技術(shù)安全防范措施，并且受公共密鑰和私有密鑰編解碼控制，可以簡單分為非對稱加密和對稱加密兩個方法。 （1）非對稱加密 在數(shù)據(jù)加密過程中，密鑰實時生成即公共密鑰和私有密鑰。生成密鑰對后，可以把公共密鑰向?qū)Ψ交虻谌焦_，而不用保密，私有密鑰則不能向外公開必須妥善保存。進行數(shù)據(jù)傳遞時，發(fā)送方用公共密鑰對信息文本進行加密后發(fā)出，接收方在接收到加密文后使用與公共密鑰對應(yīng)的私有密鑰編碼解密，RSA 算法采用的就是非對稱數(shù)據(jù)加密的標準算法，它是非對稱加密領(lǐng)域運用最廣泛的算法。 （2）對稱加密 在數(shù)據(jù)傳遞過程中，采用相同的密鑰對信息加密和解密。在保證加密和解密密鑰在密鑰交換和傳遞階段未被竊取時，就可以通過對稱加密算法隨報文發(fā)送消息摘要和加密機密信息，實現(xiàn)報文機密性。常用的對稱加密算法有RC2、RC4、DES等，其中DES 算法由美國國家標準局提出，運用最為廣泛，它被國際標準化組織作為數(shù)據(jù)加密的標準。 3.2.2 安全認證技術(shù) 身份認證技術(shù)是重要的安全技術(shù)手段，這是因為保障電子商務(wù)系統(tǒng)的交易安全不能只依靠數(shù)據(jù)加密技術(shù)。身份認證的實現(xiàn)包括數(shù)字簽名、數(shù)字摘要、數(shù)字證書、數(shù)字時間戳、CA認證和智能卡等技術(shù)。 （1）數(shù)字簽名 數(shù)字簽名是一種非對稱的技術(shù)，把數(shù)字摘要和密鑰加密結(jié)合在一起。傳送方將公開密鑰對信息內(nèi)容進行加密，然后把加密的內(nèi)容即數(shù)字簽名作為報文傳遞給報文接收方，接收方用發(fā)送方公開密鑰對應(yīng)的私鑰對報文的數(shù)字簽名進行解密，利用Hash算法獲取接收的原始數(shù)據(jù)包的信息摘要。把解密后的摘要和接收方獲取的摘要進行比較，相同表示信息完整，信息的確由發(fā)送方傳遞的，原始報文的不可抵賴性因此可以表現(xiàn)出來5。 （2）數(shù)字摘要 數(shù)字摘要可以檢測通過網(wǎng)絡(luò)傳輸?shù)男畔?nèi)容是否被改變，從而保證了數(shù)據(jù)的有效性和完整性。實現(xiàn)方法是通過 Hash 算法從內(nèi)容中到一個128位固定長度的離散值，相同的原始文本的摘要內(nèi)容是一致的，不同的內(nèi)容可以被加密成不同的密文。 （3）數(shù)字證書 數(shù)字證書是當前用來進行身份驗證的安全技術(shù)，由證書管理中心CA發(fā)行，有標識交易雙方的作用。數(shù)字證書有CA系統(tǒng)證書、商家證書、客戶證書和網(wǎng)關(guān)證書等，內(nèi)容包括證書提供者的數(shù)字簽名、證書所有者的公開密鑰、唯一標識證書所有者（即貿(mào)易方）的名稱、唯一標識證書發(fā)布者的名稱、證書的序列號和證書的有效期。 （4）數(shù)字時間戳 DTS數(shù)字時間戳服務(wù)包括三個部分：DTS 的數(shù)字簽名、需要加蓋時間戳的信息內(nèi)容、DTS收到加蓋信息的準確日期。數(shù)字時間戳是加密后形成的證書文件，用來確保電子商務(wù)交易信息文件發(fā)表的時間準確無誤。 （5）CA 認證 CA是證書管理中心，電子商務(wù)交易系統(tǒng)中，數(shù)字證書和數(shù)字時間戳的發(fā)放，需要一個獨立于交易雙方服務(wù)之外的第三方機構(gòu)，CA 就是一個公正的第三方。CA 的作用是控制交易風險，保障交易安全，管理數(shù)字證書和密鑰，能夠提高交易過程中雙方的信任度。 （6）智能卡 智能卡可以處理信息，可以對內(nèi)容進行加密、解密，可以對傳遞內(nèi)容進行數(shù)字簽名，它是一種嵌入式微處理芯片的智能磁卡，同時具有存儲數(shù)據(jù)、讀取和寫入數(shù)據(jù)的能力，安全性強、用來保存數(shù)字證書和私人密鑰。智能卡使用方便，只需修改智能卡就可以對處理算法和數(shù)字簽名進行改變而不需要升級客戶端系統(tǒng)。3.2.3 安全協(xié)議 電子商務(wù)交易過程中主要使用的協(xié)議標準有安全套接層協(xié)議（SSL）、安全電子交易協(xié)議（SET）、安全交易技術(shù)協(xié)議（STT）和安全超文本傳輸協(xié)議（S-HTTP）。 （1）安全套接層協(xié)議（SSL） 安全套接層協(xié)議在應(yīng)用進行數(shù)據(jù)交換前，通過交換初始握手信息來對信息的安全特性進行核實，該協(xié)議可以向客戶/服務(wù)器提供數(shù)據(jù)信息的加密、認證服務(wù)，能夠確保數(shù)據(jù)的完整性和可靠性。 （2）安全電子交易協(xié)議(SET) SET協(xié)議主要應(yīng)用于銀行卡，可以使用在電子商務(wù)交易過程銀行卡的數(shù)字簽名、信息保密、數(shù)據(jù)認證、交易協(xié)定、資料完整等方面?？梢员Ｗo網(wǎng)上交易信息的完整性、可靠性、安全性和不可抵賴性，該安全標準在互聯(lián)網(wǎng)在線交易系統(tǒng)上得到廣泛運用。 （3）安全交易技術(shù)協(xié)議（STT） 安全交易技術(shù)協(xié)議將解密和認證在網(wǎng)絡(luò)中進行分離，以此保證對網(wǎng)絡(luò)安全的控制。 （4）安全超文本傳輸協(xié)議（S-HTTP） 它基于SSL 協(xié)議，依靠密鑰對對信息內(nèi)容加密，能夠確保 Web 站點間信息傳輸?shù)陌踩?，可以保障在萬維網(wǎng)傳輸信息的機密性、可鑒別性、完整性和不可抵賴性。 3.2.4 病毒防范技術(shù) 互聯(lián)網(wǎng)的高速發(fā)展為計算機病毒的傳播創(chuàng)造了有利條件，病毒的感染破壞嚴重威脅到電子商務(wù)交易過程的正常進行，病毒主要是通過可移動硬盤、硬盤和軟件進行傳播，嚴重的會造成交易系統(tǒng)的崩潰，因此必須加強計算機病毒防治。在防范病毒時，可以采取以下措施建立系統(tǒng)的保護機制：系統(tǒng)安裝防病毒軟件，定期查殺病毒，設(shè)置用戶權(quán)限，加強對數(shù)據(jù)的備份與恢復(fù)，刪除陌生電子郵件，不瀏覽非正常網(wǎng)頁。 3.2.5 防火墻技術(shù) 防火墻的主要功能是防止攻擊者對傳輸?shù)男畔?nèi)容進行非法攻擊，實時監(jiān)測網(wǎng)絡(luò)的運行狀態(tài)并檢查網(wǎng)絡(luò)的安全，防火墻能夠有效的篩選公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)間的流量，它是兩者之間的一個保護層，能對交易的信息進行有選擇的過濾，因此可以有效地避免惡意的網(wǎng)絡(luò)攻擊，從而保證交易子網(wǎng)的安全。最常用的是包過濾防火墻，為了防止非法攻擊，防火墻要依據(jù)實際情況進行端口設(shè)置，從而可以過濾信息內(nèi)容的傳輸。 3.3 電子商務(wù)安全的技術(shù)對策 （1）充分利用加密技術(shù)、安全認證和安全交易協(xié)議 采用不同類型的算法提高和健全電子商務(wù)交易系統(tǒng)，定期對交易密鑰進行更新；借鑒國外先進理論，積極開發(fā)建立一套可靠的公鑰加密技術(shù)；在互聯(lián)網(wǎng)絡(luò)始端和終端定期同時使用更新后的密鑰，保障核心數(shù)據(jù)在網(wǎng)絡(luò)通信傳輸過程中的完整性與安全性，進一步加強對數(shù)據(jù)的保密性。 非對稱加密算法的工作量較大，在加密過程中不容易實現(xiàn)，而對稱加密算法在傳遞數(shù)據(jù)時需要將密鑰傳輸給接收方，多應(yīng)用于網(wǎng)絡(luò)傳輸中的信息內(nèi)容加密，攻擊者可以通過盜取對應(yīng)密鑰就可以獲取數(shù)據(jù)篡改信息。實際應(yīng)用中把簡單快捷的DES和對密鑰管理方便安全的RSA算法結(jié)合在一起，在保證數(shù)據(jù)的安全的同時，提高了對數(shù)據(jù)解密和加密的效率。保密增加郵件PEM就是將兩種算法進行結(jié)合，形成新的的電子郵件收發(fā)標準。 安全交易和安全套接兩種協(xié)議的加密算法同樣也應(yīng)該進行結(jié)合，融合SET和SSL兩者的優(yōu)勢，提出一種以公鑰加密技術(shù)為基礎(chǔ)的結(jié)構(gòu)。網(wǎng)上支付的安全問題可以通過第三方在線支付平臺解決，它可以為電子商務(wù)交易系統(tǒng)提供統(tǒng)一的結(jié)算標準和支付手段；也可以采用信用擔保型支付平臺，可以保證資金的正常流動，保護交易雙方的合法權(quán)益，確保交易貨物的順利到達，改變支付流程，從而為電子商務(wù)交易系統(tǒng)提供保證。 （2）加強對互聯(lián)網(wǎng)絡(luò)的監(jiān)督，防止信息泄漏 網(wǎng)絡(luò)安全常用的保護措施是設(shè)置防火墻，交易系統(tǒng)內(nèi)網(wǎng)和互聯(lián)網(wǎng)接口之間要加載防火墻，智能防火墻可以阻止惡意病毒攻擊內(nèi)部網(wǎng)絡(luò)，有效控制網(wǎng)絡(luò)流量，加強對物理MAC地址的管理，提升交易子網(wǎng)的運行速度，協(xié)助管理員阻止外部攻擊。另外還需要做好病毒防范工作，病毒的攻擊首先需要攻破網(wǎng)關(guān)，目前運用最多的解決網(wǎng)關(guān)病毒攻擊的技術(shù)手段是內(nèi)容安全網(wǎng)關(guān)CSG，可以為網(wǎng)絡(luò)提供防御保護，方便快捷，在客戶端的網(wǎng)絡(luò)環(huán)境中不需要再次修改，可以有效的阻止惡意URL、垃圾郵件等，充分滿足客戶的低延時、高速率、高轉(zhuǎn)發(fā)、高吞吐量的需要。 網(wǎng)絡(luò)管理員要在交易系統(tǒng)中設(shè)立授權(quán)控制機制，通過身份認證控制人員使用內(nèi)部網(wǎng)絡(luò)交易，及時跟新數(shù)據(jù)，備份和恢復(fù)數(shù)據(jù)保障數(shù)據(jù)的完整性，實時下載最新補丁進行安全漏洞維護，掃描內(nèi)部網(wǎng)絡(luò)，及時處理安全隱患。加強責任監(jiān)督，通過數(shù)字簽名、安全協(xié)議、數(shù)據(jù)加密等方法，嚴格保密電子商務(wù)交易過程中的信息數(shù)據(jù)。 （3）加快數(shù)字安全技術(shù)的研究 政府相關(guān)部門應(yīng)該制定有效政策，組織各方面力量，通過引進借鑒國外先進的理論和技術(shù)，從根本上保障我國電子商務(wù)交易網(wǎng)絡(luò)的安全，自主研發(fā)數(shù)字安全技術(shù)有關(guān)產(chǎn)品，此外還應(yīng)對研究方向提供有效的指導(dǎo)，鼓勵相關(guān)企業(yè)對數(shù)字安全技術(shù)的研究與實現(xiàn)。 第4章 電子商務(wù)安全措施 第4章 電子商務(wù)安全措施4.1 管理措施 為了確保電子商務(wù)交易的安全，需要多方面進行努力，將安全技術(shù)，行為模式、社會誠信和行業(yè)管理緊密的結(jié)合起來，電子商務(wù)的安全保障不僅是技術(shù)性問題，更多的是管理問題起著更重要的作用。 （1）建立電子商務(wù)安全管理制度 電子商務(wù)相關(guān)企業(yè)應(yīng)制定實際可行的具體的安全管理方法，結(jié)合當前公司的發(fā)展狀況，根據(jù)公司的特點和現(xiàn)階段安全技術(shù)水平，確立具體的安全目標和合理的安全等級。實行電子商務(wù)安全管理的基礎(chǔ)是建立合理的電子商務(wù)安全管理制度，具體包括保密、系統(tǒng)維護、網(wǎng)絡(luò)維護、病毒防范、應(yīng)急舉措等措施。 （2）提高安全防范意識 維護電子商務(wù)安全的首要前提是提高對電子商務(wù)交易的安全防范意識，完善商務(wù)信息的網(wǎng)絡(luò)風險防范機制。當前我國在電子商務(wù)交易過程中存在的問題主要是企業(yè)缺乏應(yīng)有的安全意識和缺乏相應(yīng)的安全技術(shù)，一些企業(yè)甚至認為規(guī)模小不會受到攻擊者的非法入侵。電子商務(wù)企業(yè)不能忽視互聯(lián)網(wǎng)交易平臺的脆弱性，應(yīng)該充分建立商業(yè)防范機制，提高自身的安全意識，運用先進的交易安全技術(shù)，防止不法分子或商業(yè)競爭對手的入侵，保持企業(yè)的活力，避免在商業(yè)風險中遇到危機。 （3）構(gòu)建電子商務(wù)安全管理體系 根據(jù)電子商務(wù)企業(yè)自身發(fā)展趨勢，結(jié)合企業(yè)已有安全制度，建立電子商務(wù)的安全管理機構(gòu)，完善安全管理組織體系。該機構(gòu)的作用是負責企業(yè)具體電子商務(wù)安全管理，把電子商務(wù)安全管理和技術(shù)發(fā)展作為重點項目。在安全管理機構(gòu)的指導(dǎo)下，相關(guān)部門一起合作，組成電子商務(wù)安全管理機構(gòu)，從上到下，對出現(xiàn)的安全隱患迅速做出決策并及時處理，為企業(yè)提供安全理論指導(dǎo)和技術(shù)支持，按期集中檢查安全，委派專職人員負責商務(wù)安全事項。4.2 完善的保障措施 （1）建立實名制和信用制 互聯(lián)網(wǎng)上的電子商務(wù)交易平臺，客戶只能在網(wǎng)站上看到對商品的文字和圖片描述，而不能全面了解賣方的信息，賣方如果沒有進行實名登記認證，這樣購買物品實際上存在較大的風險，用戶一旦發(fā)現(xiàn)商品質(zhì)量或者銷售問題，就難以得到良好的售后服務(wù)。對于這個問題的解決辦法就是交易雙方實名注冊，并進行身份認證，并由第三方支付平臺進行擔保，如果出現(xiàn)問題，三方都應(yīng)承擔相應(yīng)的責任。另外還可以實行信用制，按照一定的標準對商家和消費者的信譽進行信用等級評價，按期重新評估并公布信用檔案，結(jié)合實名制，使電子商務(wù)交易的雙方根據(jù)信用等級自己判定是否進行交易活動，是否愿意承擔風險，這樣就可以在買賣雙方都認可的情況下建立全國范圍內(nèi)的誠信制度。 （2）充分考慮我國市場情況 我國的市場經(jīng)濟體制還不夠成熟，商業(yè)體系還需要更進一步的完善，電子商務(wù)領(lǐng)域的發(fā)展還有很大的空間，具體體現(xiàn)在銀聯(lián)信用卡使用不普遍、物流配送系統(tǒng)不完善、信用額度評估、消費者傳統(tǒng)交易習慣等都阻礙著電子商務(wù)的向前發(fā)展。我國的電子商務(wù)交易市場應(yīng)根據(jù)自身的發(fā)展方式，維持市場原則，設(shè)計和研究出符合我國體制的電子商務(wù)運營動向。 （3）健全法律制度健全法律制度包含三個方面內(nèi)容：一方面根據(jù)我國目前的電子商務(wù)交易市場的情況，完善現(xiàn)有法律，對相關(guān)法律法規(guī)進行修訂。例如增加處罰網(wǎng)絡(luò)貿(mào)易詐騙的條款、處罰交易誠信缺失的條款、處罰惡意網(wǎng)絡(luò)攻擊的條款和修改網(wǎng)上交易的有關(guān)規(guī)定等，起到法律的規(guī)范作用；另一方面制定新的法律法規(guī)。電子商務(wù)發(fā)展迅速，有些業(yè)務(wù)在傳統(tǒng)法律中無據(jù)可循，例如在電子商務(wù)安全技術(shù)中的數(shù)字簽名、數(shù)據(jù)加密、安全認證、移動支付等，應(yīng)加快對相關(guān)內(nèi)容的規(guī)范；最后還應(yīng)該研究國外的立法措施。在符合我國國情發(fā)展的前提下，我國電子商務(wù)的立法過程需要與國際接軌，充分利用美國、歐盟等其他國家較成熟的立法理論作為指導(dǎo)，開辟出屬于我國的立法道路。 （4）建立完善的交易方式 大多數(shù)在網(wǎng)上交易平臺的買賣雙方都是是先付款后發(fā)貨，這樣會將買家處于被動的地位，買家付款之后，賣家掌握了主動權(quán)，對商品的質(zhì)量和發(fā)貨時間沒有約束，無法保證交易誠信。因此應(yīng)該建立更為完善的交易方式，如以支付寶或者財付通為依托的第三方支付平臺，在消費者收到貨物并對商品完成評價后，賣家才可以收到支付平臺的轉(zhuǎn)賬。（5）引入信息告知制度 信息告知制度是用戶通過注冊電子商務(wù)網(wǎng)站，其賬號金額達到規(guī)定范圍或者有電子交易發(fā)生時，以電話或者短信方式告知用戶。而當用戶的賬號有異常交易發(fā)生時告知用戶，用戶通過及時操作避免賬號被盜用造成損失。 （6）完善物流快遞配送體系 建立全國統(tǒng)一的快遞服務(wù)體系、物流配送、提高快遞服務(wù)的質(zhì)量，擴大物流配送的服務(wù)范圍，完善物流配送體制，加強電子商務(wù)經(jīng)營者和物流企業(yè)之間的溝通交流，加強政府、企業(yè)和行業(yè)協(xié)會的合作，確保貨物收發(fā)環(huán)節(jié)的安全，履行物流配送的職責，真正實現(xiàn)電子商務(wù)交易的物流無漏洞4。4.3 電子商務(wù)安全問題的應(yīng)對原則電子商務(wù)安全問題層出不窮，上述采取的安全保護措施可能會被攻破，面對可能出現(xiàn)的電子商務(wù)安全威脅，應(yīng)該做到以下幾個原則： （1）安全不是絕對的，安全威脅永遠存在安全不是一種穩(wěn)定的狀態(tài)，不能一勞永逸，不能認為采用了嚴格的安全措施就能到達安全狀態(tài)。付出資源和人力代價可以增加系統(tǒng)的安全性，但是也不能達到絕對的安全；另一方面，隨著互聯(lián)網(wǎng)新技術(shù)的不斷更新以及時間的向前推移,原本相對安全的措施和技術(shù)也會變得不安全；安全技術(shù)和管理措施是有針對性的，通常對一定范圍內(nèi)的安全威脅有效，因此要做好準備，按期更新安全技術(shù)和安全管理措施11。（2）安全應(yīng)作為基礎(chǔ)研究，需要長期努力安全研究范圍很廣,包括加密算法、加密步驟、技術(shù)標準、網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)設(shè)計、法律法規(guī)、管理措施、設(shè)備特性、業(yè)務(wù)特性、商業(yè)模式、產(chǎn)品檢測等大量領(lǐng)域。對電子商務(wù)安全問題的研究是需要長期努力的，對安全研究投入本身不能產(chǎn)生直接效益，但是可以防止和降低安全威脅造成的損失。安全研究應(yīng)當作為一項基礎(chǔ)研究，由政府、相關(guān)企業(yè)和行業(yè)協(xié)會合作進行長期投入，共同努力。（3）安全需要付出代價，安全要求應(yīng)當適度安全要求應(yīng)當適度，安全是所有人都希望的，但為達到一定的安全標準所需要付出的代價并不是所有人都能意識到的。為安全付出太大的代價可能會降低電子商務(wù)交易成功的效率，如果為保密性付出的代價大于因泄密可能受到的損失時，該安全要求提議就失去了意義。例如在日常通話中可以選擇適當保證機密性，但是如需要增加幾倍的通話費用來增加通話的機密性，大部分用戶都不會選擇接受。（4）安全不僅是技術(shù)問題，更重要的是管理建立完善的管理機制能最大程度上防止增加安全隱患的行為，雖然很多安全隱患可以通過技術(shù)手段解決,但是通過高效的管理的方法可以杜絕安全隱患的發(fā)生。當前技術(shù)條件下所有安全技術(shù)都是需要人來參與，只有完善管理機制，這樣的電子商務(wù)交易網(wǎng)絡(luò)才是安全的。管理機制應(yīng)該以審計和日志為基礎(chǔ)，加上更為靈活的方式，努力提高管理效率，良好的管理方式可以較為輕松的解決技術(shù)上可能解決不了的難題。 第5章 結(jié)論 第5章 結(jié) 論電子商務(wù)發(fā)展需要解決的核心問題是電子商務(wù)的安全問