毕业论文我国电子商务的发展安全及信用问题的研究

《毕业论文我国电子商务的发展安全及信用问题的研究》由会员分享，可在线阅读，更多相关《毕业论文我国电子商务的发展安全及信用问题的研究（33页珍藏版）》请在装配图网上搜索。

1、 烟 台 南 山 学 院 毕 业 论 文 我国电子商务的发展安全及信用问题的研究 姓 名： 所在学院： 信息科技学院 所学专业： 信息管理与信息系统 班 级 06信管1班 学 号 200606020108 指导教师： 完成时间： 2010年4月 毕业论文（设计）任务书论文题目我国电子商务的发展安全及信用问题的研究院部信息科技学院专业信息管理与信息系统班级06信管1班毕业论文（设计）的要求1、选题应符合本专业培养目标的要求，具有理论意义和实际价值。2、正文内容文题应相符，结构合理，层次分明，合乎逻辑，概念准确，语言流畅，论点鲜明,论据充分，书写格式规范，符合烟台南山学院毕业设计管理条例的要求。3

2、、论文应当反映出学生查阅文献、获取信息的能力，综合运用所学知识分析问题与解决问题的能力，研究方案的设计能力，研究方法和手段的运用能力，外语和计算机的应用能力及团结协作能力。毕业论文（设计）的内容与技术参数对电子商务的发展安全和信用问题进行了讨论，主要研究了电子商务的安全框架体系结构，谈讨了加密技术层、安全认证层和交易协议层，分析了企业电子商务发展安全问题，并分别讨论了企业电子商务安全的技术分析和管理分析，最后运用对策论对中小电子商务企业信用形成的外在作用机理进行了探讨。毕业论文（设计）工作计划1、2009年9月13日确定选题方向；2、2009年9月20日前提交开题报告；3、2009年9月30日

3、前确定课题；4、2009年10月至2010年1月完成论文资料收集或系统设计；5、2010年3月14日前提交论文初稿（交指导教师）；6、2010年3月31日前提交第二稿（交指导教师）；7、2010年4月15日前定稿，审核答辩资格；8、2010年5月1日前后毕业答辩。接受任务日期 年 月 日 要求完成日期 年 月 日学 生 (签名) 年 月 日指 导 教 师 (签名) 年 月 日院长(主任) (签名) 年 月 日摘 要人类已进入信息社会，而电子商务是信息社会的核心内容和重要基础之一，直接影响着社会、政治、经济、文化等各个领域信息化的发展。电子商务并未带来预期的利润，主要原因之一是电子商务目前尚存在

4、着一些安全及信用问题，影响了在线交易的规模和效益，阻碍了电子商务的进一步发展。电子商务系统的关键是保证交易数据和交易过程的安全，Internet本身的开放性使电子商务系统面临各种各样的安全威胁。企业有效开展电子商务活动中，关键是要保证企业电子商务系统的安全性，也就是要保证基于Internet的企业电子商务环境的安全和企业电子商务交易过程的安全。如何确保企业电子商务环境的安全和企业电子商务交易过程的安全，为客户在网上从事商务活动提供信心保证，是决定企业电子商务系统成败的关键，是企业电子商务健康全面发展的保障。本文从电子商务企业安全在技术方面和管理方面分别进行了全面的分析。本文最后从运筹学角度，运

5、用对策论对中小电子商务企业信用形成的外在作用机理进行探讨，其基本内容是分析中小电子商务企业交易中处于不同交易部位的交易者和管理者等主体间作用和影响及其由此而形成虚拟市场信用的机理。关键词：电子商务；安全；信用问题ABSTRACTMankind has entered the information society. The e-commerce is the core content and important foundation of the information society. It has a direct impact on the social, political, econ

6、omic, cultural and other fields of information technology development. E-commerce does not bring the expected profits, one of the major reasons is that e-commerce is currently surviving on a number of security and credit problems which have affected the size and effectiveness of online transactions,

7、 hindering the further development of e-commerce. The key of the e-commerce systems is to ensure that the security of the data and the process of transaction is safe, Internet itself is open, which make e-commerce systems faced with a variety of security threats. Enterprises can effectively conduct

8、e-commerce activities, the key is to ensure the security of enterprise e-commerce system, that is, Internet-based businesses must ensure the security of e-business environment and business e-commerce transaction security. How to ensure the safety of enterprise e-business environment and the security

9、 of enterprise e-commerce transactions, to provide assurance for clients in business activities on the Internet, is the key to determine the success or failure of enterprise e-business system. From the point of view in the operational research, this paper mainly use the game theory to explore the me

10、chanism of the external of the formation of small and medium e-commerce business credit, the basic element is to analyze small and medium e-business transactions in different parts of the trading transactions and the role of managers and their formation of a virtual market credit mechanism. It discu

11、sses the establishment of small and medium e-commerce business credit conditions, and provides theoretical guidance to the optimal decision for each game parties.Keywords: E-commerce；safety；credit目 录前 言11 绪论21.1 研究目标21.2 研究内容21.3 论文结构32 电子商务及相关理论综述42.1 什么是电子商务42.1.1 电子商务的概念42.1.2 电子商务的内容与目标42.2 我国电子

12、商务的现状及发展趋势42.3 我国电子商务所面临的安全问题及发展趋势62.4 电子商务中的信用问题63 电子商务的安全技术框架体系结构83. 1 电子商务安全框架体系83. 2 加密技术层83.2.1 对称密钥加密(Private Key)83.2.2 非对称密钥加密(Public Key)93.2.3 两类加密方法比较93. 3 安全认证层93. 4 交易协议层113.4.1 安全套接字层协议(Secure Socket Layer, SSL)113.4.2 安全电子交易协议(Secure Electronic Transaction, SET)114 企业电子商务发展安全问题分析124.1

13、 企业电子商务安全技术分析124.1.1 鉴别和认证安全124.1.2 访问控制安全124.1.3 审计和响应安全134.1.4 冗余和恢复安全144.1.5 内容安全144.2 企业电子商务安全管理分析154.2.1 信息安全管理概述154.2.2 电子支付信息安全管理体系要求164.2.3 电子支付信息安全管理体系建设165 从运筹学角度分析中小电子商务企业信用问题185.1 电子商务信用问题的重要性185.2 从对策论看电子商务信用问题195.3 中小电子商务企业信用形成205.3.1 电子商务买卖方之间的完全信息静态博弈205.3.2 电子商务买卖方之间的完全信息动态博弈225.3.3

14、 电子商务信用问题政策建议23结 论25致 谢26参考文献27前 言随着信息技术日新月异的发展，人类正在进入以网络为主的信息时代，Internet的高速发展不仅方便了人们的通信和交流，同时带来了商业和经济模式的变革。更多的企业、个人及其他各种组织，甚至包括政府都在积极地推动电子商务的发展，越来越多的人投入到电子商务中去。电子商务是互联网应用发展的必然趋势，也是国际金融贸易中越来越重要的经营模式，以后它还会逐渐地成为我们经济生活中一个重要部分。安全和信用问题是保证电子商务健康有序发展的关键因素。越来越多的中国企业积极开展国际电子商务，并取得一定成效。一些企业在电子商务应用方面进行了积极有效的探索

15、。广大企业充分认识到开展电子商务对改造传统产业的重要性和紧迫性，通过信息化建设和开展电子商务应用，能够有效拓展业务，提高企业适应市场变化和参与市场竞争的能力。与此同时，一些地区的中小型企业也逐步成为电子商务的积极实践者。安全问题是我国的商务发展中的一个重要制约因素。电子商务的安全总是表现为信息安全、交易安全和财产安全三个方面。其来源有四个层面:硬件层面、软件层面、应用层面和环境层面。应采取多种措施应对安全挑战，促进我国电子商务的进一步发展。电子商务在近几年才得到了迅猛发展，各地都缺乏足够的技术人才来处理所遇到的各种问题，许多企业技术人员的技术水平较低，不能完全胜任所承担的工作。同时企业对电子商

16、务的管理也处于一个摸索的阶段,管理的水平不高,效率底下。这些都给电子商务带来很大的安全隐患。从总体上，讲广大消费者对于电子商务这个新生事物还比较陌生，缺乏相应的知识，还不能十分熟练的应用这一新的交易手段，造成各种人为的安全威胁。诚信是市场经济的基础，是市场顺利运行的前提条件。由于电子商务本身具有虚拟性和流动性，交易双方不直接见面，在身份的判别确认、违约责任的追究等方面都存有很大困难，其格式和媒体可以分离，参与电子商务的主体的诚信问题使得电子商务信息的真实性与安全性难以保障。电子商务与传统的交易相比对信用的要求更高，要发展电子商务必须先加强信用建设。社会信用体系的建设问题，最终将会成为中国电子商

17、务发展的瓶颈。目前，我国电子商务信用环境与西方发达国家相比，差距还很大，我国经济是由计划经济脱胎而来的，社会信用经济发育较晚，市场信用交易不发达，社会普遍缺乏现代市场经济条件下的信用意识和信用道德规范。信用保障体系还未完全建立，社会信用缺失反过来影响到电子商务活动中；在建立电子商务信用保障体系中，还存在着许多制约因素。因此，信用风险远较传统业务中发生的概率大。随着经济的发展和社会的进步，电子商务必将成为商务活动的发展趋势，电子商务的发展安全及信用问题成为了制约电子商务进一步发展的瓶颈问题，因此对电子商务的发展安全及信用问题的研究显得尤为重要。1 绪论1.1 研究目标在我国，电子商务技术还比较落

18、后，通过对我国电子商务的发展安全及信用问题的研究，提出改善我国电子商务安全性的方法，促进我国电子商务在安全方面的发展，使网上交易更可信，使更多的消费者信任电子商务。本文将结合我国电子商务发展的实际情况，参考我国电子商务的发展安全和信用问题的研究成果与实践经验，对电子商务的发展安全和信用问题进行较系统的研究。研究将采用定性与定量相结合的方式，注重实证研究，以得到有价值的研究成果，提出改进电子商务安全性和可信度的具体策略，保障电子商务交易的顺利进行，促进我国电子商务的发展。1.2 研究内容 本文对电子商务的发展安全及信用问题进行研究，在重点研究电子商务安全及信用问题的基础上，针对与电子商务应用相关

19、的基本安全问题及信用问题进行了探讨。本文分析了电子商务的安全技术框架体系结构，电子商务系统的关键是保证交易数据和交易过程的安全，Internet本身的开放性使电子商务系统面临各种各样的安全威胁。要解决安全问题，要求电子商务系统具备:防止交易信息被非法截获或读取的保密性、防止交易过程被跟踪的匿名性、防止交易信息丢失并保证信息传递次序统一的完整性、防止假冒身份在网上交易和诈骗的可靠性,防止交易各方对己做交易抵赖的抗否认性以及原子性等安全要求。站在系统的角度，本文根据电子商务信息安全性要求，对电子商务的安全问题进行了层次分析，提出了电子商务安全框架体系结构。本文同时对企业电子商务发展安全问题进行了分

20、析，企业有效开展电子商务活动中，关键是要保证企业电子商务系统的安全性，也就是要保证基于Internet的企业电子商务环境的安全和企业电子商务交易过程的安全。如何确保企业电子商务环境的安全和企业电子商务交易过程的安全，为客户在网上从事商务活动提供信心保证，是决定企业电子商务系统成败的关键，是企业电子商务健康全面发展的保障。最后本文从运筹学角度分析了中小电子商务企业信用问题，在分析电子商务信用问题的基础上，主要针对中小电子商务企业中信用形成的机理进行分析，试图从运筹学角度，主要运用对策论对中小电子商务企业信用形成的外在作用机理进行探讨，其基本内容是分析中小电子商务企业交易中买卖双方之间作用和影响及

21、其由此而形成虚拟市场信用的机理。1.3 论文结构本文共分为四大部分：第一部分为引言，包括第一章绪论，介绍总体研究背景、研究思路。第二章电子商务及相关理论综述，介绍了电子商务安全及信用问题的基础理论，主要包括: 什么是电子商务，我国电子商务的现状及发展趋势，我国电子商务所面临的安全问题及发展趋势，电子商务中的信用问题；第二部分分析了电子商务的安全技术框架体系结构，研究了加密技术层，安全认证层，交易协议层；第三部分分析了企业电子商务发展安全问题，从企业电子商务安全技术和企业电子商务安全管理两个角度进行了分析；第四部分从运筹学角度分析了中小电子商务企业信用问题。2 电子商务及相关理论综述2.1 什么

22、是电子商务2.1.1 电子商务的概念 电了商务是通过电子手段进行商业活动。电了商务的英文表示有两种，EC(Electronic Commerce)和EB (Electronic Business)。日前还没有一个统一的较为权威的电子商务定义。全球信息基础设施委员会对电子商务的定义是:电子商务是运用电子通信手段的经济活动，通过这种方式人们可以对带有经济价值的产品和服务进行宣传、购买和结算。联合国国际贸易委员会对电子商务的定义是: 电子商务是采用电子数据交换和其他通讯方式增进国际贸易的职能。简单的说，电子商务是指实现从售前服务到售后支持的整个商务或贸易活动环节的电子化、自动化。对于企业来说，电子商

23、务是利用以Internet为核心的信息技术，进行商务活动和企业资源管理，它的核心是高效地管理企业的所有信息，帮助企业创建一条畅通于客户、企业内部和供应商之间的信息流，并通过高效率的管理、增值和应用，把客户、企业、供应商连接在一起，以最快的速度、最低的成本响应市场，及时把握商机，不断提高和巩固竞争优势。2.1.2 电子商务的内容与目标电子商务是计算机网络技术的应用。它是以电子交易为手段，完成金融、物品、服务、信息等价值的交换，是快速而有效地进行各种商务活动的最新方法。电子商务满足了企业、商人和消费者提高产品和服务的质量、加快服务速度、降低费用等方面的需求，也帮助企业和个人通过网络查询和信息检索以

24、支持决策。所以，电子商务的内容主要有三个方面:企业内部的协调与沟通、企业之间的合作以及网上交易。 电子商务是运用现代通讯技术、计算机和网络技术进行的一种社会经济形态，其目的是降低社会经营成本，提高社会生产效率，优化社会资源配置，从而实现社会财富的最大化利用。因此，电子商务是一种新的社会经济形态。2.2 我国电子商务的现状及发展趋势在政府的推动和支持下，我国己经基本建成了覆盖全国的大容量、高速率光纤传输网络，公用数据通信网、卫星与微波通信网、图像通信网和多媒体通信网正在建设中，国内Internet网络己经形成，国际线路连接的国家有英国、美国、法国、德国、加拿大、澳大利亚、日本、韩国等多个国家，这

25、些为发展我国电子商务提供了良好的网络平台和运行环境。 据统计，自1994年后我国的互连网络得到快速增长，并且形成一定的网上市场规模，至2001年6月底我国上网的计算机总数为1002万台，网民2650万，每年以60%的速度增长。到2000年底，www站点总数为265405个，cn下注册的域名总数122099个。1998年至2003年，中国电子商务市场的增长率为243%。 与北美、欧洲和日本相比，我国的电子商务起步虽晚，但发展势头强劲。从1998年IT业界和媒体宣传电子商务的概念开始算起，短短几年内，我国的电子商务己经从启蒙阶段迅速跃进到实战阶段。许多企业和个人上网开展销售和商务活动，并取得了可喜

26、的成绩，例如易趣网、阿里巴巴等。 虽然说中国的电子商务发展迅速，但是还将面临许多困难。首先，传统观念的影响和科学文化素质的制约在一段时期内将妨碍电子商务在我国的推广，人们还没有完全从计划经济的影响下解放出来，还没有认识到电子商务是一场革命。其次，企业职工文化素质较低也是一个障碍，电子商务的开展需要懂得商务又了解信息技术的人才，这种人才国内还很缺乏。第三，有关电子商务的法律还没有出台，对于网上版权、网上拍卖权、数字签名等问题还没有明确的规定，这使得很多互联网公司的长期发展受到影响。第四，国有企业中亏损企业占40%左右，这些企业认为摆脱困境是当前的首要任务，电子商务只能是盈利企业才能做的事情，他们

27、没有意识到电子商务会成为摆脱困难的有效途径。第五，我国相当多的企业还处于手工管理的状态，对市场的变化不能适时做出调整。第六，认证体系建设刚刚开始，认证是指对交易主体颁发电子证书，在交易发生时对电子证书、数字签名进行验证。认证体系还有待进一步发展。第七，网上支付方式还未解决，例如建设网上银行，在线安全支付交易额，以及多银行、多方式、多协议的网上支付、提高支付的安全性、缩短支付结算周期，加强支付服务(如查账、退款)，这些在我国还未得到很好的解决。第八，在网络传输过程中，商业机密不能泄漏，这些安全配置问题还要加强。第九，物流配送体系欠缺。第十，社会习惯对电子商务有一定的影响，例如密集的居住习惯和眼看

28、为实的消费习惯，使人们不愿意到网上通过下订单、确认订单来麻烦的购物。 尽管中国的电子商务的发展有困难，但是前景广阔。中国互联网规模不断膨胀，国内企业积极采用电子商务手段来强化自身的竞争能力。据估计，到2005年，中国电子商务的交易额可能超过1000亿美元。我们相信，随着电子商务应用服务的发展，物流配送系统的完善，网上支付的实现，中国的电子商务发展将迎来新的高潮。2.3 我国电子商务所面临的安全问题及发展趋势目前，中国大力发展电子商务经济，必须重视和急需解决的主要问题有:第一，在思想上清醒地认识到网络安全与国家安全息息相关。第二，认清网络信息系统安全问题的根本原因:(1)网络信息技术及网络安全设

29、备绝大多数是西方发明的，有“先天”不足带来的安全问题。(2)我国网络信息系统中所用的安全设备、技术大多数是旧的，关键时候根本就不起安全防范作用。(3)我们在思想上对网络安全的重视不够。(4)重网络设施的建设，轻网络安全的投入。第三，急需建立、健全社会化信用体系。目前中国的社会化信用体系很不健全，信用心理不成熟。交易行为缺乏必要的自律和严厉的社会监督。第四，国家海关、工商、税务等管理机关的信息化问题，是电子商务的一项基础工作。在建设和研究电子商务系统时，必须强化国家在电子商务系统中的管理职能，以保障国家的权益。第五，解决电子商务立法滞后问题，形成对网上违法犯罪行为的威慑力。必须把信息社会纳入规范

30、化、法律化的轨道，运用法律手段对新的社会关系予以规范和调整，而仅靠传统的法律体系己经越来越不能满足信息社会的需要，这也需要制定出适应信息化社会的法律制度。中国的电子商务在近几年得到快速的发展，就目前中国电子商务发展的势头看，电子商务安全问题研究有以下发展趋势:一是政府越来越高度重视电子商务安全问题研究。二是电子商务安全研究的专门科研机构不断增加，科研实力不断增强。三是科研以研发具有独立自主知识产权的电子商务安全产品为目标，力争打破国外信息安全产品的垄断。四是国家有关部门逐步加快了与电子商务相关的政策、法规和法律的研究与制定。五是电子商务安全产业规模将逐步扩大。2.4 电子商务中的信用问题 电子

31、商务中的信用问题是指电子商务交易过程中因缺乏一定的信任关系而导致电子商务的交易成本上升，使交易复杂化、混乱化，无法正常进行。电子商务具有的远程性、记录的可更改性、个体的复杂性等特征决定了其信用问题更加突出。电子商务信用机制的研究，不仅是电子商务网站如何在经济行为中遵循信用原则，更重要的是要为电子交易的各方参与者建立必要的、适用电子商务特征的信用模式，为电子商务交易的当事人建立一个公平、公正的平台，确保电子商务的交易安全可靠。 信息不对称理论认为:市场中卖家比买家更了解有关商品的各种信息，掌握更多信息的一方向信息贫乏的一方传递信息，并依靠信息而在市场中获益。买卖双方中拥有信息较少的一方会努力从另

32、一方获取信息；市场信号显示在一定程度上可以弥补信息不对称问题。电子商务借助互联网跨空间进行交易，增强了交易者之间的感知不确定性，主要表现在在线市场买卖双方对产品质量信息观察的不对称，买家之间对于同一产品质量和价格信息掌握程度的不对称，以及买家之间与卖家之间对市场需求、产品质量、价格和非价格竞争信号观察的概率组合的不对称。在存在更多信息不对称的电子商务市场中，信用风险是增加买家不确定感知、阻碍购买意愿形成的关键因素。 Lee和Turban通过调查研究发现，消费者不通过网络方式进行商品交易的最主要原因就是信用风险的存在。电子商务信用风险类型大致归结为六个方面: (1)制度风险，是指网络平台运营商建

33、立的必要政策体制，规范交易商的各种行为是否合理；(2)系统风险，是指经营电子商务所需要的硬件、软件技术是否安全；(3)结算风险，是指支付手段是否可靠，信息传输是否安全；(4)信息风险，是指信息传递是否真实、有效、准确、完整；(5)服务风险，是指卖家的服务质量和其他承诺是否有效；(6)配送风险，是指运输和供货是否到位。第一项是基于第三方电子商务平台的制度风险;第二、三项是技术风险，并可以通过技术手段的提升来降低风险;后三项风险主要针对具体交易者，是核心风险，本文关注的信用问题主要来自该类风险。 电子商务中的信用风险是由欺诈行为引发的，不少国外学者对于在线市场欺诈的类型、成因做出研究，例如Maci

34、nnes曾总结出影响网上拍卖欺诈的因素包括产品、交易者、交易过程三方面。网上拍卖欺诈的类型主要包括有收款不发货、故意提供错误信息、隐瞒费用、提供非法或劣质产品、多头拍卖、雇佣他人来虚假出价等。 由于网上交易并不像传统交易那样可以当场检验商品，我们只能在商品递送到买家手中才能进行检验，所以交易发生前消费者只有根据卖家提供的特定信息进行评估，这就给卖家利用信息不对称进行欺诈提供了机会。Dellarocas通过对策论证实在一个完全均衡的市场环境下卖家仍然会作出欺诈行为，因为高质量的产品较低质量的产品利润更高，因此卖家往往承诺销售高质量的产品。 产品评估缺乏统一的标准是在线欺诈的第二大诱因。对于网络拍

35、卖的产品而言，Lee and Yoo认为较之传统市场环境，产品的性能问题在电子商务环境下更难评估和判断，尤其是对那些缺乏标准的产品和服务，如二手产品等;与此有相似观点的Zeithaml、Murray均指出服务性产品比起传统产品而言更难评估。Grazioli and Jarvenpaa研究表明，较之B2B和B2C交易中产品类型较少，标准化程度较低的现实，C2C交易的产品多、属性复杂，研究数据认为其欺诈比重在不断上升。买卖双方二次交易的可能性小以及买家经验的缺乏也是诱导卖家欺诈的重要因素。Resnick and Zeckhauser连续研究了eBay声誉系统中5个月的数据表明，有89%的交易发生在

36、陌生买卖双方之间，98.9%的交易主体不会重复4次以上进行连续交易。这说明在线交易中交易双方再次交易的可能性很小，不少学者认为这给了欺诈者机会，同时Albert认为，买家网络拍卖的经历越少，交易经验可能越少，而这类买家遭遇网络欺诈的可能性也越大。3 电子商务的安全技术框架体系结构3. 1 电子商务安全框架体系 电子商务的安全控制体系结构是保证电子商务数据安全的一个完整逻辑的逻辑结构。电子商务安全体系由网络服务层、加密技术层、安全认证层、交易协议层、商务系统层组成。从层次结构可以看出，下层是上层的基础，为上层提供技术支持;上层是下层的扩展与递进，各层次之间相互依赖、相互关联构成统一整体，各层通过

37、控制技术的递进实现电子商务的安全。 电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准，所以构成电子商务安全框架的底层是网络服务层。它是各种电子商务应用系统的基础，并提供信息传送的载体和用户接入手段及安全通信服务，保证网络最基本的运行安全。为确保电子商务系统全面安全，必须建立完善的加密技术和认证机制。加密技术是保证电子商务系统安全所采用的最基本的安全措施，它用于满足电子商务对保密性的要求。安全认证层中的认证技术是保证电子商务安全的又一必要手段，它对加密技术层中提供的多种加密算法进行综合运用，进一步满足电子商务对完整性、抗否认性、可靠性的要求。 用于保证电子商务的安全控

38、制技术很多，层次各不相同，但并非是把所有安全技术简单地组合就可以得到可靠的安全，只有通过合理改进，才可以从技术上实现系统的、有效的电子商务安全。3. 2 加密技术层3.2.1 对称密钥加密(Private Key) 加密和解密采用相同的算法，并只交换共享的私有密钥。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄露，可通过对称加密方法加密机密信息，并随报文发送报文摘要和报文散列值，来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节，目前常用的对称加密算法有DES, IDEA. 3DES等，其中DES使用最普遍，被ISO采用为数据加密的标准。3.2.2 非对称

39、密钥加密(Public Key)不同于对称加密，非对称加密的密钥被分解为公开密钥和私有密钥。密钥对生成后，公开密钥以非保密方式对外公开，只对应于生成该密钥的发布者，私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可使用该密钥加密信息发送给该公开密钥的发布者，而发布者得到加密信息后，使用与公开密钥相应的私有密钥进行解密。目前常用的非对称加密算法是RSA算法，该算法已被ISO/TC的数据加密技术分委员会SC20推荐为非对称密钥数据加密标准。3.2.3 两类加密方法比较在对称和非对称两类加密方法中，对称加密的特点是加密速度快(通常比非对称加密快10倍以上)、效率高，被广泛用于大量数据的加密。

40、该方法的致命缺点是密钥的传输易被截获，难以安全管理大量的密钥，因此大范围应用存在一定的问题。而非对称密钥很好地解决对称加密中密钥数量过多难管理及费用高的不足和传输中私有密钥的泄露，保密性能优于对称加密技术。但非对称加密算法复杂，加密速度不理想，目前电子商务实际运用中常是两者结合使用。3. 3 安全认证层目前，仅有加密技术不足以保证电子商务中的交易安全，身份认证技术是保证电子商务安全不可缺少的又一重要技术手段。认证的实现包括数字摘要技术(Digital digest)、数字签名技术(Digital Signature)、数字时间戳技术( Digital Time Stamp)、数字凭证技术(Di

41、gital ID)、认证技术(Certificate Authority CA)以及智能卡技术(Smart Card)等共六项技术。1. 数字摘要(Digital digest)数字摘要通过使用单向散列函数(Hash)将需要加密的明文“摘要”成一个固定长度(128bit )的密文。该密文同明文是一一对应的，不同的明文加密成不同的密文;相同的明文其摘要必然一样。因此，利用数字摘要就可以验证通过网络传输收到的明文是否是初始的、未被篡改过，从而保证数据的完整性和有效性。2. 数字签名(Digital Signature)数字签名是非对称加密技术中的一种技术。其主要方式为:报文发送方从报文文本中生成一

42、个128位的散列值(或报文摘要)，并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名;然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别和不可否认性。3. 数字时间戳( Digital Time Stamp)数字时间戳在电子商务中，需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS Service)专用于提供电子文件发表时间的安全保护

43、，该服务由专门的机构提供。所谓的时间戳是一个经过加密后形成的凭证文档，共包括3个部分:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。4. 数字凭证(Digital ID)数字凭证又称数字证书，是用电子手段来证实一个用户的身份和对网络资源访问的权限。在网上的电子交易中，交易双方出示了各自的数字凭证，并用它来进行交易操作。数字凭证的内部格式是由CCITTX.509国际标准所规定的，包含以下内容:凭证拥有者的姓名、凭证拥有者的公共密钥、公共密钥的有效期、颁发数字凭证的单位、数字凭证的序列号。数字证书的使用涉及到数字认证中心CA(Certificate Authority)

44、。5. 认证(Certificate Authority CA)认证在电子商务系统中无论是数字时间戳服务，还是数字凭证的发放都需要由一个具有权威性和公正性的第三方认证机构来承担。CA正是这样一个受信任的第三方。CA用来为用户签发证书，提供身份认证服务，是整个系统的安全核心。在非对称私密密钥认证系统中，用户的签名密钥和加密密钥通常是分开的，而CA只知道用户的签名公钥，这样就降低了CA受到攻击的危害程度，避免了可信第三方被攻击和整个系统陷入瘫痪的严重问题。此外，在认证系统中CA只负责审核用户的真实身份并对此提供证明，不介入具体的认证过程，从而缓解了可信第三方的系统瓶颈问题，而且CA只须管理每个用户

45、的一个公开密钥，大大降低了密钥管理的复杂性。这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系统。6. 智能卡(Smart Card)智能卡是一种智能集成电路卡，包括CPU, RAM, ROM等。它不但提供读写数据和存储数据的能力，而且还具有对数据进行处理的能力，可以实现对数据的加密解密，能进行数字签名和验证数字签名，其存储器部分具有外部不可读特性。智能卡在电子商务系统中有无法比拟的优势。首先，私人密钥和电子证书是保存于智能卡的不允许外读的存储单元中，而且可对智能卡的使用设置个人密码，从而鉴别持卡人是否为该卡的合法使用者;同时，可以承担对信息的加密解密、签名及对签名的验证等事务，减轻了

46、客户端系统的负担。当需要对加密解密算法进行改动或替换时只需要对智能卡进行相应的改动，而无须对客户端系统进行升级。采用智能卡，使身份识别更有效、安全，智能卡技术将成为用户接入和用户身份认证的首选技术。3. 4 交易协议层除了各种安全控制技术外，电子商务的运行还需要一套完善的交易安全协议。不同交易协议的复杂性、开销、安全性各不相同，不同的应用环境对协议目标的要求也不尽相同。目前，比较成熟的协议有SET,SSL等基于信用卡的交易协议，NetBill, NetCheque等基于支票的交易协议，Digicash, Netcash等基于现金的交易协议等。3.4.1 安全套接字层协议(Secure Sock

47、et Layer, SSL) 安全套接字层协议SSL是目前使用最广泛的电子商务协议，它由Netscape公司于1996年设计开发。它位于运输层和应用层之间，能很好地封装应用层数据，不用改变位于应用层的应用程序，对用户是透明的。同时，SSL只需要通过一次“握手”过程，建立客户与服务器之间一条安全通信的通道，保证传输数据的安全。由于内置于用户浏览器和商家的Web服务器中，故能方便而低开销地进行信息加密，多用于信用卡的传送。然而，SSL并不是专为支持电子商务而设计的，只支持双方认证，只能保证传送信息过程中不因被截而泄密，因为商家完全掌握消费者的帐户信息，所以不能防止商家利用获取的信用卡号进行欺诈。它

48、满足钱原子性。3.4.2 安全电子交易协议(Secure Electronic Transaction, SET)SET是由VISA公司和Master Card公司联合开发设计的，用于划分与界定电子商务活动中的消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系，它可以对交易各方进行认证，可防止商家欺诈。为了进一步加强安全性，SET使用两组密钥对分别用于加密和签名，通过双签名(dual signature)机制将订购信息同帐户信息链接在一起签名。SET协议开销较大，客户、商家、银行都要安装相应软件。SET协议满足钱原子性，但不满足商品原子性和确认发送原子性。4 企业电子商务发展安全问题

49、分析4.1 企业电子商务安全技术分析 企业电子商务环境安全包括鉴别和认证安全、访问控制安全、审计和响应安全、冗余和恢复安全、内容安全。4.1.1 鉴别和认证安全 鉴别和认证是防止非授权的人进入第三方支付平台进行操作，是系统安全的第一道防线。鉴别和认证是通过对网络系统中的主客体进行鉴别，并且给这些主客体赋予恰当的标志、标签、证书等。 用一个动作来描述鉴别和认证的操作特点就是“贴标签”。鉴别和认证就是为了解决主体的信用问题和客体的信任问题。这些就是通过各种形式的标签来实现的。 鉴别和认证不仅仅包括对于用户的鉴别，还包括与系统访问相关的各方面实体和实体特性的鉴别。这些鉴别可以包括:用户组鉴别、设备鉴

50、别、时间鉴别、网络地址鉴别等。从实施成本的考虑，如果将所有安全控制细节实施在每个实体上，会大大影响系统的效率和性能，并最终导致系统安全失效。因此，合理控制鉴别的粒度非常重要。鉴别和认证技术包括:1、 用户名/口令机制(User/Password )此机制是最典型的、最经济的鉴别机制。在各种系统中一般都缺省使用这个机制；2、 Token, Smart Card等强鉴别机制；3、 生物鉴别机制；4、 PKI, PKI的核心技术基础就是公开密钥，通过一对不相同的公、私钥，结合密钥管理体系，完成对于持有密钥人的鉴别和认证功能；5、 IP地址和域名，在网络中经常用IP地址和域名作为鉴别访问者和被访问者的

51、标志。6、 硬件序列号通过硬件设备中的板卡、部件的一些序列号组成一个鉴别体。比如，CPU序列号、网卡序列号、网卡MAC地址等。4.1.2 访问控制安全访问控制以参考监视器(Reference Monitor)的形式工作，或者说是类似网关、接口和边界的形式。(一) 一个有效的Reference Monitor(RM机制)必须要有三个条件:1、 不可旁路:主体对客体的访问不能绕过RM，必须经过RM机制的控制、和检查。2、 抗篡改:RM应当是一个抗攻击的体系，不能被攻破;RM以及配合的规则库应当被正确地配置;另外该机制的特权管理、规则库等不能被侵入。3、 足够小，可以被证明:RM本身也是程序，因此需

52、要保证其自身的正确性。从计算机科学的角度看，这是比较困难的。一般也仅仅通过测评认证等工作来部分地满足。 访问控制策略：(二) 为详细说明访问控制规则，应注意考虑以下各项:1. 区分必须执行的规则与可选执行的规则；2. 所建立的规则应以“未经明确允许的都是禁止的”为前提，而不是以较弱的原则“未经明确禁止的都是允许的”为前提；3. 信息标记的变化，包括由信息处理设备自动引起的或是由用户决定引起的；4. 规则在颁布之前需要管理人员的批准或其他形式的许可；5. 不同的业务应用的安全需求；6. 不同系统的访问控制和信息分类策略之间的一致性；7. 对数据和服务保护的有关法规和合同义务；8. 分布式和网络化

53、环境的访问权限管理。(三) 访问控制类型的典型技术包括：1、 访问控制列表，目前广泛应用的控制方法，比如操作系统的自主访问控制就是典型的例子。2、 主机操作系统加固服务，寻找可能旁路的路径，然后通过补丁和配置将其弥补;加强操作系统自身的强壮性不被一般的攻击所破坏;检查各项规则的合理性和有效性等。3、 防火墙，典型的网络隔离和网络访问控制方法和工具。4、 VPN虚拟专用网，结合了防火墙技术、加密技术、密钥管理技术等方面的安全信道系统。这个安全信道可以理解为两个网络区域之间的一个接口和管道。5、 应用系统访问控制，一般在应用系统开发中单独实现;有时也可以通过调用操作系统或者数据库管理系统的访问控制

54、功能;一些比较通用的应用系统，比如基于Web的应用，可以通过一些专用的应用系统访问控制系统完成其功能。4.1.3 审计和响应安全审计主要实现机制是通过Standby/Sniffer类型的工作方式实现。这种机制一般情况下并不干涉和直接影响主业务流程，而是对主业务进行记录、检查、监控等功能来完成以审计(Accountability)、完整性(Integrity)等要求为主的安全功能。响应是对系统安全问题的实时检测、告警和处理。其典型技术包括:日志管理，入侵检测，漏洞扫描和评估，一致性检查等。1、 日志(Log)，是最基本的审计跟踪功能，一般的系统都具有此功能。一个安全的系统需要开启足够的日志和审计

55、功能。2、 入侵检测(IDS)，是专门应对异常访问和操作的监控和审计系统。一些非法入侵者(黑客)为了绕过系统访问控制和回避日志的记录，常常采用一些旁门左道，IDS系统就是为了检查这些异常行为而设计的。不管是基于网络的IDS还是基于主机的IDS，都提供独立于业务系统之外的监控功能。3、 漏洞扫描和评估(Vulnerability Assessment)，检查当前系统中可能存在的不足和缺陷，为访问控制系统和其他基础系统加固提供依据。4、 一致性检查，系统的一致性检查和数据的一致性检查常常是一个非常有效的、简单的安全方法，用来发现系统和数据可能存在的篡改现象。4.1.4 冗余和恢复安全从过程上看，冗

56、余和恢复是为了异常情况在事前所作的准备和事后的措施；从管理层面看，这方面的技术解决方案要结合管理方面的措施，形成企业的业务可持续计划。冗余和恢复体现管理过程的动态性，必须在情况发生之前就做好充分的准备。因此，冗余和恢复的关键要素就是在情况发生之前就做好应对的准备工作。而这方面的准备可以和技术框架的各个环节结合起来。比如:防火墙可以进行高可用配置，通过双防火墙进行互备;通过配置使得入侵检测可以和防火墙进行互动等等，可以归结到冗余恢复类的典型技术包括:1、 HA技术，高可用技术常常通过冗余设备来完成。一些具体的技术包括:热备份、集群技术、脉搏技术等。2、 路径冗余，网络的HA常常通过冗余的路径来实

57、现，当一个线路中断后，其他冗余的路径保证网络不会整体完全中断。3、 数据备份和恢复技术，当系统出现问题数据遭到破坏时，可以通过对备份数据的恢复来保证系统的继续运转。4、 信息销毁和恢复技术，当数据被非法窃取、非法访问时，通过信息自毁技术使得数据失效。另外，对应的就是如何恢复被毁坏的数据。5、 业务连续性管理，从整体、管理的角度将冗余和恢复工作与核心业务要求结合起来。4.1.5 内容安全内容安全主要是直接保护在系统中传输和存储的数据或信息，是内容和应用层次上的安全技术。内容安全措施，主要是对信息和内容本身做了一些变形和变换，或者对具体的内容进行检查。其典型技术包括:1、 SSL协议2、 加密，保

58、证信息的保密性、完整性和抗抵赖等，是一个非常传统又非常有效的技术。3、 内容过滤，对于需要关心的一些主题进行内容检查和过滤，可能用关键字技术，也可能使用基于知识库语义识别过滤系统。4、 防病毒，计算机病毒一般都隐藏在程序和文档中。目前典型的防病毒技术就是对信息中的病毒特征代码进行识别和查杀。5、 VPN加密信道，虚拟专用网VPN通过不可信的公用网络来建立自己的安全信道。6、 水印技术，水印技术是信息隐藏技术的一种。一般信息都是要隐藏在有一定冗余量的媒体中，比如图像、声音、录像等多媒体信息，在文本中进行隐藏比较少。水印技术是可以替代一般密码技术的保密方法。4.2 企业电子商务安全管理分析“三分技

59、术，七分管理”是我们在信息安全保障工作中经常提到的，信息安全管理是信息安全保障至关重要的组成部分。在了解电子商务安全技术之后，本节我们将了解电子商务安全管理的要求，以及学习如何建立和完善一个覆盖电子支付系统整个生命周期的、持续改进的信息安全管理体系。4.2.1 信息安全管理概述信息安全是指信息的机密性、完整性和可用性。机密性确保信息只能由已授权用户访问使用，完整性保证信息和处理方法的正确性和完备性，可用性确保已授权用户在需要时能够访问信息。长期以来，企业高层管理者一直将信息安全管理视为纯粹的技术问题，而将之抛给技术人员去解决。但在这个信息时代，越来越多的有识之士意识到信息安全不仅仅是一个技术问

60、题，也是一个重要的业务问题，因为现今企业的运作越来越依赖于企业的信息和各种信息技术系统，如果顾客和商业伙伴对企业的信息安全缺乏足够的信心，企业就会失去商业机会。因此，企业信息安全管理应该纳入企业高层领导的工作日程中，对信息安全的管理应系统化、制度化。但由于信息安全管理的复杂性与多样性，信息安全管理体系的制定和实施往往与决策者的个人思路和管理水平有很大关系，随意性较强，企业在制定安全管理制度时往往无所适从。如果能够有一定的信息安全标准来指导信息安全管理体系的建设，就可以极大地减少企业信息安全管理制度建设的混乱无序状态，提高企业信息安全管理的水平。信息安全标准的制定是在几个不同层次上展开的一一产品层、系统层、管理层等。其中，前两个层次的标准是技术标准(如用于评估IT产品安全特征的ISO/ IEC15408标准一IT安全评估公共准则，即大家熟悉的CC)，而最后一个层次的标准是管理标准。信息安全管理标准处理的是对IT系统中非技术内容的检查，这些内容与人员、操作规程、物理安全以及一般意义上的安全管理有关，需要企业高级管理人员的直接参与。迄今为止，对信息安全的讨论多关注于技术层面，而严峻的现实使许多企业认识到仅仅限于技术层面尚不足以保护信息安全，企