《畢業(yè)設(shè)計（論文）淺談電子商務(wù)交易過程中的安全技術(shù)及安全管理》由會員分享，可在線閱讀，更多相關(guān)《畢業(yè)設(shè)計（論文）淺談電子商務(wù)交易過程中的安全技術(shù)及安全管理（37頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、淺談電子商務(wù)交易過程中的安全技術(shù)及安全管理 中文摘要 電子商務(wù)發(fā)展給人類社會帶來的巨大影響使一系列相關(guān)領(lǐng)域的研究成為全球熱點。近年來，電子商務(wù)的發(fā)展已逐步放慢了腳步，其中安全問題是阻礙其發(fā)展的主要原因之一。可以預(yù)見，要邁入真正意義的電子商務(wù)時代，安全問題必須解決。本文選擇這一課題進行探索性研究，有著重要的實際意義。全文共分六個部分： (1)緒論，主要介紹了電子商務(wù)安全的研究背景和研究動態(tài)；(2)介紹了電子商務(wù)安全所涉及到的一些內(nèi)容； (3)電子商務(wù)系統(tǒng)的安全技術(shù)機制； (4)電子商務(wù)系統(tǒng)的安全管理及法律法規(guī)建設(shè)； (5)介紹了電子商務(wù)系統(tǒng)的安全評價方法。 本文首先介紹了課題的研究背景，

2、總結(jié)了國內(nèi)外電子商務(wù)安全研究現(xiàn)狀及我國電子商務(wù)安全存在的問題和該問題研究的發(fā)展趨勢。接著對電子商務(wù)安全做了簡要概述，提出了電子商務(wù)安全的五個要素：有效性和真實性、機密性和隱私權(quán)、數(shù)據(jù)的完整性、可靠性和不可抵賴性、審查能力。接下來本文論述了電子商務(wù)系統(tǒng)的安全技術(shù)機制：包括加密技術(shù)、認證技術(shù)、防火墻、兩種電子商務(wù)安全協(xié)議，在論述了電子商務(wù)系統(tǒng)的安全技術(shù)機制的基礎(chǔ)上，提出了電子商務(wù)系統(tǒng)安全技術(shù)構(gòu)架。接著，本文論述了在電子商務(wù)安全管理方面應(yīng)做的工作，及電子商務(wù)法律法規(guī)建設(shè)的必要性和在電子商務(wù)安全性方面應(yīng)該涉及到的法律保護。此后，本文介紹了國內(nèi)外電子商務(wù)系統(tǒng)的安全評價標準，設(shè)計了電子商務(wù)安全評價的指標，

3、提出了對電子商務(wù)安全進行評價的一種可行性方法一模糊綜合評價法。最后，本文給出了正確的安全觀念，并進一步指出解決電子商務(wù)安全問題尚需努力的方向。 關(guān)鍵詞：電子商務(wù)，電子商務(wù)安全，安全技術(shù)，安全管理，交易模型 第1章 緒論 1.1研究背景 由于Internet與生俱來的弱點：開放的網(wǎng)絡(luò)體系，給電子商務(wù)的發(fā)展帶來了挑戰(zhàn)，那就是安全。安全問題一直是制約電子商務(wù)發(fā)展的瓶頸。人們擔心自己的隱私泄漏，擔心自己的信用卡信息被人盜用。從事電子商務(wù)的公司同樣面臨著巨大的交易風險。 電子商務(wù)的安全問題一直受到人們的關(guān)注和安全專家的重視，因而安全技術(shù)不斷的得到發(fā)展的應(yīng)用，如：加密技術(shù)，防火墻，安全認

4、證協(xié)議等。這些技術(shù)的應(yīng)用極大的促進了電子商務(wù)的發(fā)展。隨著技術(shù)的發(fā)展，無論在軟件上還是硬件上都為電子商務(wù)的發(fā)展提供了良好的安全保證和發(fā)展環(huán)境。但是還沒有一個有效的電子商務(wù)系統(tǒng)安全的評價體系。雖然一些電子商務(wù)的安全技術(shù)都制定了相應(yīng)的安全標準，但是就整個系統(tǒng)而言，這還遠遠不夠。電子商務(wù)系統(tǒng)的安全要素包括：有效性、機密性、完整性、可靠性(不可抵賴性)、審查能力等。因而衡量一個電子商務(wù)系統(tǒng)的安全性就要從這幾個方面考察[1]。 另外，在電子商務(wù)安全方面，人們往往從技術(shù)方面考慮，而往往忽略了安全管理，其實安全管理比技術(shù)更重要。制定和實施良好的安全策略比安全技術(shù)更有效更持久。技術(shù)的發(fā)展非常的快，而且實施系統(tǒng)

5、侵害的手段和方法不斷在變化，因而制定良好的安全策略就顯得尤其重要。大多數(shù)企業(yè)在安全方面犯的最大的錯誤就是沒能建立良好的策略和實施步驟，也沒有保證執(zhí)行這些策略。安全問題是不斷變化的，企業(yè)安裝完防火墻，就不再考慮安全問題。當系統(tǒng)安全體系結(jié)構(gòu)發(fā)生變化時，就應(yīng)該升級和重新配置安全設(shè)施。這樣才能有效的利用現(xiàn)有的安全體系保證電子商務(wù)系統(tǒng)安全的運轉(zhuǎn)。而大多數(shù)企業(yè)往往不夠重視電子商務(wù)系統(tǒng)安全策略的制定，把系統(tǒng)安全問題簡單歸于技術(shù)方面，這是一個誤區(qū)。因而應(yīng)該得到重視啪。 最后，制定電子商務(wù)方面的法律法規(guī)是電子商務(wù)安全健康發(fā)展的必不可少的保證，我們國家目前在這一方面還很落后。這兩年來，有關(guān)電子商務(wù)方面的違法甚至

6、犯罪得不到有效得懲罰的事件時有發(fā)生，這對電子商務(wù)的發(fā)展是非常不利的。因而加強電子商務(wù)方面的法律法規(guī)建設(shè)是電子商務(wù)系統(tǒng)安全健康發(fā)展的一個必不可少的條件。總之，必須制定科學的安全策略和評價體系，重視管理和技術(shù)的運用，制定和完善有關(guān)電子商務(wù)法律和法規(guī)建設(shè)，為電子商務(wù)的發(fā)展創(chuàng)造良好的環(huán)境。 1．2國內(nèi)外電子商務(wù)安全研究現(xiàn)狀 1．2．1國際電子商務(wù)安全研究現(xiàn)狀 隨著互聯(lián)網(wǎng)在全世界的普及，基于互聯(lián)網(wǎng)的電子商務(wù)也應(yīng)運而生，并在近幾年來獲得了巨大的發(fā)展，成為了一種全新的商務(wù)模式。越來越多的商家和企業(yè)采用這種全新的電子商務(wù)模式，它形成了一種新的經(jīng)濟增長點。由于電子商務(wù)安全問題自身的敏感性和國家安全的最

7、高利益的密切相關(guān)性，因此在電子商務(wù)安全問題研究方面的具體情況基本上被各個國家嚴格控制，特別是對有關(guān)核心技術(shù)都制定和實施了很高規(guī)格的保密要求和措施。因此，本文以下的有關(guān)電子商務(wù)安全問題的研究情況，基本上是一些過去的或有關(guān)公開發(fā)表的情況。在電子商務(wù)安全研究方面美國一直是領(lǐng)先的。1983年8月，美國國家安全局(NSA)的國家計算機安全中心頒布的官方標準橘皮書，其正式名稱是“受信計算機系統(tǒng)評量基準”，橘皮書是目前頗具權(quán)威的計算機系統(tǒng)安全標準之一。橘皮書中對可信任系統(tǒng)的定義是這樣的：一個由完整的硬件及軟件所組成的系統(tǒng)，在不違反訪問權(quán)限的情況下，它能同時服務(wù)于不限定個數(shù)的用戶，并處理從一般機密到最高機密等

8、不同范圍的信息。橘皮書將一個計算機系統(tǒng)可接受的信任程度進行了分級，安全性能由高到低劃分為A、B、C、D四大等級，各等級又依次編號細分成若干個等級。目前，各國在研究計算機系統(tǒng)安全問題時大都采用此標準作為參考。 隨著網(wǎng)絡(luò)系統(tǒng)安全問題研究的深入，網(wǎng)絡(luò)系統(tǒng)的脆弱性和研發(fā)技術(shù)成果的滯后性使電子商務(wù)安全問題日益嚴重和突出。網(wǎng)絡(luò)的脆弱性有兩個原因，一是網(wǎng)絡(luò)系統(tǒng)自身的漏洞和缺陷；二是個別國家出于別有用心的目的在網(wǎng)絡(luò)的關(guān)鍵部件內(nèi)部設(shè)置后門或預(yù)制邏輯炸彈等。雖然現(xiàn)在運行中的網(wǎng)絡(luò)系統(tǒng)，在設(shè)計、制造時對安全問題做了看似嚴格、完備的設(shè)計與解決方案，但是實際情況是網(wǎng)絡(luò)安全問題遠沒有解決好，有關(guān)問題是防不勝防。大量的實際

9、網(wǎng)絡(luò)安全事件情況表明，各種對網(wǎng)絡(luò)系統(tǒng)造成破壞的手段和方法大大超過了現(xiàn)有的安全技術(shù)措施，這種由安全問題的出現(xiàn)和威脅而促進和推動的網(wǎng)絡(luò)安全研究，這種滯后的、被動的、動態(tài)的研發(fā)現(xiàn)實，使網(wǎng)絡(luò)安全問題的解決從目前的實際情況看是不可能的。2000年至2001年期間，全世界發(fā)生了多起涉及國家眾多、損失巨大的計算機病毒事件。經(jīng)過對病毒事件追蹤調(diào)查分析，發(fā)現(xiàn)有一個共同的現(xiàn)象，就是計算機技術(shù)水平一般的人制造了這一起范圍廣、危害大的病毒事件。所以，運行于計算機系統(tǒng)上的電子商務(wù)系統(tǒng)的安全性是十分脆弱的，有關(guān)網(wǎng)絡(luò)安全研究工作有待于進一步努力。 各個國家對電子商務(wù)安全問題研究普遍重視，如同電子商務(wù)的應(yīng)用一樣普遍。電子商

10、務(wù)安全問題也是廣泛地存在，不僅發(fā)達的美國、英國等西方國家有嚴重的電子商務(wù)安全問題，在不發(fā)達的印尼等國家也存在。據(jù)有關(guān)媒體報道，美國的國防部等重要部門的計算機網(wǎng)絡(luò)系統(tǒng)被黑客侵入過，以及美國有許多知名的電子商務(wù)網(wǎng)站在交易過程中出現(xiàn)過欺詐事件，亞洲越南的很多網(wǎng)站也被黑過。正是這些原因，各國的政府都投入巨資，組織科技精英進行研究攻關(guān)．同時，政府用很多優(yōu)惠政策和扶植措施鼓勵科學研究單位、人、公司進行研發(fā)。 美國在電子商務(wù)安全問題方面投巨資，企圖以領(lǐng)先的技術(shù)控制世界網(wǎng)絡(luò)信息安全產(chǎn)品市場，近而掌握全球的。制網(wǎng)權(quán)”。美國國家安全局(NSA)控制網(wǎng)絡(luò)安全產(chǎn)品的出口，使得可以出口的安全產(chǎn)品都在其掌握之中。目前，

11、世界上美國的網(wǎng)絡(luò)安全產(chǎn)品技術(shù)水平遙遙領(lǐng)先，很多國家在信息化發(fā)展過程中不得不進口使用美國的網(wǎng)絡(luò)安全產(chǎn)品。但是，NSA在加解密等關(guān)鍵技術(shù)方面都留有技術(shù)備案，使得用這些進口安全產(chǎn)品的國家的信息安全無法保證，對美國來說則是毫無安全可言，關(guān)鍵時候可能會給國家?guī)頌?zāi)難[3]。 目前，美國政府和企業(yè)非常重視信息安全。一是政府反復告誡政府各部門和公司加強信息安全的建設(shè)，防止恐怖分子利用網(wǎng)絡(luò)發(fā)動信息戰(zhàn)，導致美國政府和企業(yè)癱瘓，從而造成災(zāi)難性損害；二是“911”恐怖襲擊事件后，美國公司增強了信息技術(shù)安全觀念，投入經(jīng)費大副度提高。由美國報紙《計算機世界》和JP摩根公司聯(lián)合進行的調(diào)查，最新公布的一項有關(guān)信息技術(shù)安全

12、的調(diào)查表明，2002年美國公司在信息技術(shù)安全方面的計劃開支將增2143％；年收入超過5億美元的大公司的相關(guān)支出將占信息技術(shù)預(yù)算的11．2％，大大高于2001年的7．4％；三是加強信息技術(shù)安全方面的工作。美國公司2002年信息安全技術(shù)的重點是防范計算機病毒、探測黑客入侵、設(shè)置防火墻和建立安全保密網(wǎng)絡(luò)方面。從現(xiàn)在的網(wǎng)絡(luò)安全研究情況的現(xiàn)實看，解決網(wǎng)絡(luò)安全問題的根本途徑和方向是網(wǎng)絡(luò)技術(shù)創(chuàng)新，即研發(fā)新一代網(wǎng)絡(luò)技術(shù)，采取“立體”措施，包括引入“中間件”層及其安全結(jié)構(gòu)，在“網(wǎng)絡(luò)層”增設(shè)面向連接的實時協(xié)議、強化整個網(wǎng)絡(luò)系統(tǒng)的管控智能以及改進終端加密和反黑等措施。 1．2．2我國電子商務(wù)安全研究現(xiàn)狀 中

13、國于1995年起發(fā)展電子商務(wù)安全產(chǎn)業(yè)，電子商務(wù)安全科研、生產(chǎn)與應(yīng)用同 時起步，科研與生產(chǎn)從無到有，市場從小到大進逐步發(fā)展起來，到目前為止已初 具規(guī)模。21世紀后，網(wǎng)絡(luò)信息安全問題得到政府、企業(yè)的高度重視，國內(nèi)國家級 的研究所、大專院校和有實力的大公司紛紛進入網(wǎng)絡(luò)信息安全問題的研究領(lǐng)域。 在北京、上海、成都、西安和深圳等城市，中國的電子商務(wù)安全產(chǎn)業(yè)得到了飛速 的發(fā)展，網(wǎng)絡(luò)安全市場已開始成熟[4][5]。 與國際電子商務(wù)發(fā)展情況相似，目前中國的電子商務(wù)發(fā)展現(xiàn)狀要制定完備的有關(guān)互聯(lián)網(wǎng)發(fā)展和電子商務(wù)的法律時機尚不成熟。但是，在研究國際先進經(jīng)驗的同時，結(jié)合中國的國情，對現(xiàn)有法規(guī)進行修改(如刑

14、法、合同法和版權(quán)法等)，以加強對互聯(lián)網(wǎng)犯罪、版權(quán)保護和電子商務(wù)身份認定的法律規(guī)范，在立法方面進行了積極有益的探索，初步制定了一套有中國特色的電子商務(wù)法規(guī)舊[6]: 1996年2月，國務(wù)院195號令發(fā)布了《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》； 1997年5月，國務(wù)院信息化工作領(lǐng)導小組辦公室發(fā)布了《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》；12月，公安部發(fā)布了《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》； 1999年8月信息產(chǎn)業(yè)部發(fā)布了《電信網(wǎng)問互聯(lián)管理暫行規(guī)定》；同年，《國家電子商務(wù)發(fā)展總體框架(初稿)》擬就，報國務(wù)院審批； 2000年國務(wù)院公布了《中華人民共和國電信條例》和《互

15、聯(lián)網(wǎng)信息服務(wù)管理辦法》； 2000年10月，由國家信息化推進工作辦公室牽頭起草的《關(guān)于發(fā)展我國電子商務(wù)的若干意見》上報國家最高決策層進行審議。有關(guān)電子商務(wù)的若干法律法規(guī)也正在緊張的起草之中。 總之，中國的網(wǎng)絡(luò)信息安全事業(yè)得到了很大的發(fā)展，但是面臨的困難和需要解決的問題依然很多。 1．3我國電子商務(wù)安全存在的問題及發(fā)展趨勢 1．3．1目前存在和急需解決的主要問題 目前，中國大力發(fā)展電子商務(wù)經(jīng)濟，必須重視和急需解決的主要問題有[4]： 第一，在思想上清醒地認識到網(wǎng)絡(luò)安全與國家安全息息相關(guān)。對網(wǎng)絡(luò)信息安全問題國家要成立專門的領(lǐng)導協(xié)調(diào)機構(gòu)，以超常規(guī)的速度組織人、財、物予以進行研發(fā)，

16、建立安全可靠、高效有序的信息網(wǎng)絡(luò)系統(tǒng)，以保障電子商務(wù)系統(tǒng)安全、防范金融風險、避免經(jīng)濟動蕩，以及保障國家政治穩(wěn)定和維護國家安全，為保衛(wèi)共和國的安全的筑起一道電子“鋼鐵長城”。 第二，認清網(wǎng)絡(luò)信息系統(tǒng)安全問題的根本原因： (1)網(wǎng)絡(luò)信息技術(shù)及網(wǎng)絡(luò)安全設(shè)備絕大多數(shù)是西方發(fā)明的，有“先天”不足帶來的安全問題(網(wǎng)絡(luò)系統(tǒng)本身的缺陷和漏洞)。 (2)我國網(wǎng)絡(luò)信息系統(tǒng)中所用的安全設(shè)備、技術(shù)大多數(shù)是舊的，關(guān)鍵時候根本就不起安全防范作用。 (3)我們在思想上對網(wǎng)絡(luò)安全的重視不夠。在規(guī)劃設(shè)計網(wǎng)絡(luò)系統(tǒng)時，對網(wǎng)絡(luò)和這些安全設(shè)備、技術(shù)所帶來的安全問題沒有采取相應(yīng)的技術(shù)措施予以補救，或在網(wǎng)絡(luò)安全的設(shè)計中設(shè)計不到位、

17、技術(shù)不到位。 (4)重網(wǎng)絡(luò)設(shè)施的建設(shè)，輕網(wǎng)絡(luò)安全的投入。如果電子商務(wù)運行在這樣的網(wǎng)絡(luò)系統(tǒng)上，電子商務(wù)的安全將是無法保證的。根據(jù)中國互聯(lián)網(wǎng)研究與發(fā)展中心(CIo)于2000年5、6月份的一次全國范圍的調(diào)查顯示，我國電子商務(wù)中還存在著很大的不安全因素，其中有60．98％的企業(yè)計算機被病毒侵襲過，造成的直接經(jīng)濟損失是電子商務(wù)交易總額的25％。 第三，急需建立、健全社會化信用體系。目前中國的社會化信用體系很不健全，信用心理不成熟。交易行為缺乏必要的自律和嚴厲的社會監(jiān)督。在這種情況下，要發(fā)展電子商務(wù)，必須加速培育市場，創(chuàng)造比較成熟和規(guī)范的社會信用環(huán)境，以利于傳統(tǒng)商務(wù)向現(xiàn)代電子商務(wù)的順利轉(zhuǎn)變。 第四

18、，國家海關(guān)、工商、稅務(wù)等管理機關(guān)的信息化問題，是電子商務(wù)的一項基礎(chǔ)工作。信用卡、電子支票和數(shù)字化貨幣將是電子商務(wù)中常用的電子貨幣形式，這就意味著在未來的電子商務(wù)活動環(huán)境中，產(chǎn)銷雙方無須通過中介機構(gòu)就可直接進行交易，這種不需要貨幣為中介的交易形式，是因電子商務(wù)增加了避稅和轉(zhuǎn)移定價的可能性，這也是急需解決的電子商務(wù)安全問題之一。因此在建設(shè)和研究電子商務(wù)系統(tǒng)時，必須首要解決這一問題，強化國家在電子商務(wù)系統(tǒng)中的管理職能，以保障國家的權(quán)益。 第五，解決電子商務(wù)立法滯后問題，形成對網(wǎng)上違法犯罪行為的威懾力。電子商務(wù)的指數(shù)級發(fā)展速度和特點，給現(xiàn)行的法律體系帶來的新的挑戰(zhàn)。網(wǎng)絡(luò)信息時代社會中出現(xiàn)的虛擬與現(xiàn)實

19、的種種問題，使人們對世界的看法大大不同于以前，社會的信息化和知識的商品化，改變著人們的思維和行動的方式，以信息為載體的知識就是資源和財富的觀念以深入人心。信息化社會所帶來的一切新的問題，需要規(guī)范網(wǎng)絡(luò)環(huán)境下的虛擬社會中人們的行為，使人們的活動在信息社會中始終處于良性、有序的發(fā)展之中。就必須把信息社會納入規(guī)范化、法律化的軌道，運用法律手段對新的社會關(guān)系予以規(guī)范和調(diào)整，而僅靠傳統(tǒng)的法律體系己經(jīng)越來越不能滿足信息社會的需要，這也需要制定出適應(yīng)信息化社會的法律制度。 1．3．2電子商務(wù)安全問題研究發(fā)展趨勢 就目前中國電子商務(wù)發(fā)展的勢頭看，電子商務(wù)安全問題研究的有以下發(fā)展趨勢： 一是政府越來越高

20、度重視電子商務(wù)安全問題研究。由于電子商務(wù)安全與國家安全密切相關(guān)，涉及社會政治穩(wěn)定，經(jīng)濟、金融的穩(wěn)定等。因此，政府高層及其職能部門空前重視電子商務(wù)安全研究問題，將有關(guān)問題列入國家宏觀發(fā)展戰(zhàn)略之中，充分發(fā)揮國家的整體優(yōu)勢，在政策上積極引導、重點支持，同時加大經(jīng)費投入的力度，在人、財、物等全方位予以支持。 二是電子商務(wù)安全研究的專門科研機構(gòu)不斷增加，科研實力不斷增強。在國家有關(guān)政策的支持的指導和支持下，有許多國家級的研究所、重點大專院校，有實力的企業(yè)紛紛涉足電子商務(wù)安全問題研究，相繼建立了一批院、所等電子商務(wù)安全科研基地，經(jīng)過組織科研力量進行專項攻關(guān)，取得一批研究成果。同時，院、所培養(yǎng)出一批專門從

21、事電子商務(wù)安全研究和管理工作的博士、碩士和本科人才，滿足了社會對各個層次電子商務(wù)安全專門人才的需求。 三是科研以研發(fā)具有獨立自主知識產(chǎn)權(quán)的電子商務(wù)安全產(chǎn)品為目標，力爭打破國外信息安全產(chǎn)品的壟斷。由于歷史的原因，國內(nèi)網(wǎng)絡(luò)上信息安全產(chǎn)品有相當一部分是進口產(chǎn)品，因此我國的信息系統(tǒng)存在著很大的安全隱患。為了保證我們國家的信息系統(tǒng)的安全，保證電子商務(wù)系統(tǒng)的正常運行，以及電子商務(wù)安全研究及其產(chǎn)品使用的特殊性，電子商務(wù)安全研究的項目基本上是國家規(guī)劃、組織、實施，由科研機構(gòu)組織科研力量獨立研發(fā)，目前己研發(fā)出一些世界水平的信息安全產(chǎn)品，一些軟件和硬件安全產(chǎn)品解決了實際中的需要。 四是國家有關(guān)部門逐步加快了與

22、電子商務(wù)相關(guān)的政策、法規(guī)和法律的研究與制定。隨著電子商務(wù)在全社會的廣泛應(yīng)用，以及電子商務(wù)問題的不斷出現(xiàn)，面向社會的有關(guān)道德、法規(guī)和法律等方面的研究工作也逐步開展，已出臺的電子商務(wù)的有關(guān)政策、法規(guī)，基本解決了電子商務(wù)應(yīng)用中一些急需解決的問題，保障了現(xiàn)階段電子商務(wù)的正常運行?？梢灶A(yù)見，隨著電子商務(wù)安全技術(shù)研究的深入，與電子商務(wù)安全有關(guān)的政策、法規(guī)和法律將會不斷完善和發(fā)展。 五是電子商務(wù)安全產(chǎn)業(yè)規(guī)模將逐步擴大。據(jù)有關(guān)部門統(tǒng)計，2001年全國的信息安全產(chǎn)品的市場銷售額已達50億，2002年的電子商務(wù)安全市場銷售額達數(shù)百億元，全球的信息安全費用在今后的5年內(nèi)將年平均增長約20％[5]。 第二章電

23、子商務(wù)安全概述 2．1電子商務(wù)安全的內(nèi)容 電子商務(wù)的一個重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息。因此，電子商務(wù)安全從整體上可分為兩大部分：計算機網(wǎng)絡(luò)安全和商務(wù)交易安全。 計算機網(wǎng)絡(luò)安全的內(nèi)容包括：計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全增強方案，以保證計算機網(wǎng)絡(luò)自身的安全性為目標。 商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，保障電子商務(wù)過程的順利進行。即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。 計算機網(wǎng)絡(luò)安全與電子商務(wù)交易安全實際

24、上是密不可分的，兩者相輔相成，缺一不可。沒有計算機網(wǎng)絡(luò)安全作為基礎(chǔ)，商務(wù)交易安全就猶如空中樓閣，無從談起。沒有商務(wù)交易安全保障，即使計算機網(wǎng)絡(luò)本身再安全，仍然無法達到電子商務(wù)所特有的安全要求[7]。 2．2電子商務(wù)安全要素 由于電子商務(wù)是在Internet環(huán)境下進行的商務(wù)活動，交易的安全性、可靠性 和匿名性一直是人們在交易活動中最為關(guān)切的問題。因此，為了保證電子商務(wù)整 個交易活動的安全順利的進行。電子商務(wù)系統(tǒng)必須具備以下幾個安全要素“1： 1．有效性和真實性 有效性和真實性要求電子商務(wù)系統(tǒng)能對信息、交易實體的有效性和真實性進行鑒別。電子商務(wù)以電子形式取代了紙張，那么如何保證這種

25、電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的～種形式，其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。因此，要對阿絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。 2、機密性和隱私權(quán) 機密性要求信息不被泄漏給非授權(quán)的人或?qū)嶓w，隱私權(quán)是個人信息不被泄漏的權(quán)利。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開

26、放的網(wǎng)絡(luò)環(huán)境上的(尤其Internet是更為開放的網(wǎng)絡(luò))，維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。 3、數(shù)據(jù)的完整性一 數(shù)據(jù)的完整性要求在保護數(shù)據(jù)以防止未經(jīng)授權(quán)的增刪、修改或替代的同時，保證數(shù)據(jù)的一致性。電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來了維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子

27、商務(wù)應(yīng)用的基礎(chǔ)。因此，要預(yù)防對信息的隨意生成、修改和刪除，同時要防止在數(shù)據(jù)傳送過程中信息的丟失和重復，并保證信息傳送次序的統(tǒng)一。 4、可靠性和不可抵賴性 可靠性要求電子商務(wù)系統(tǒng)能夠保證合法用戶對信息資源的使用不會被不正當?shù)木芙^；不可抵賴性要求電子商務(wù)系統(tǒng)能建立有效的責任機制，防止實體否認其行為。 電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易方，這一問題是保證電子商務(wù)順利進行的關(guān)鍵。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。這也就是人們

28、常說的“白紙黑字”。在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識，以保證發(fā)送方發(fā)送數(shù)據(jù)后也不能抵賴[9]。 5、審查能力 根據(jù)機密性和完整性的要求，能利用電子商務(wù)交易系統(tǒng)日志文件對數(shù)據(jù)結(jié)果進行審查、追蹤。 2．3電子商務(wù)系統(tǒng)面臨的威脅 標準的客戶服務(wù)模型有三個構(gòu)件：服務(wù)器系統(tǒng)、網(wǎng)絡(luò)、和客戶系統(tǒng)。過去服務(wù)器系統(tǒng)主機運行的操作系統(tǒng)主要有：IIIvS，vM，ⅧS，Unix?，F(xiàn)在Window NT和Windows 2000也得到了應(yīng)用。網(wǎng)絡(luò)構(gòu)件包括：企業(yè)內(nèi)部商務(wù)網(wǎng)和外部網(wǎng)?？蛻粝到y(tǒng)主要是一些P

29、c機或一些終端設(shè)備。 2．3．1電子商務(wù)系統(tǒng)安全的構(gòu)建 電子商務(wù)系統(tǒng)的安全策略主要是為了解決兩個問題：保護商務(wù)網(wǎng)絡(luò)和它內(nèi)部系統(tǒng)的完整性；以及保障客戶和商家之間安全的完成商務(wù)交易。商家用來保護內(nèi)部系統(tǒng)的主要工具是防火墻。防火強是一種硬件和軟件相結(jié)合的系統(tǒng)，它只允許符合安全規(guī)則的外部用戶訪問內(nèi)部網(wǎng)絡(luò)。防火墻最初設(shè)計的目的是Internet和內(nèi)部網(wǎng)之間的一些具體的服務(wù)內(nèi)容(如：e-mail，網(wǎng)頁訪問)?，F(xiàn)在防火墻成為商務(wù)安全構(gòu)架中主要的防御工具。然而，防火墻還僅僅是商務(wù)安全基礎(chǔ)設(shè)施中的一小部分。黑客使用一些工具很容易通過系統(tǒng)允許的(開放的)端口進入內(nèi)部系統(tǒng)，從而使防火墻形同虛設(shè)。一些病毒(如

30、：紅色代碼，NIMDA蠕蟲病毒)也能夠通過防火墻。因為它們是通過服務(wù)器系統(tǒng)的標準端口訪問系統(tǒng)的。因而防火墻的防護能力是有限的[10]。 交易的安全是增強消費者對電子商務(wù)消費信心的關(guān)鍵因素。交易安全取決于企業(yè)保護隱私、信息的真實性、完整性、有效性和處理信息阻塞等的能力。交易的個人隱私信息容易受到一種軟件工具稱為嗅探器的程序的網(wǎng)絡(luò)監(jiān)聽，這種監(jiān)聽工具通常被用在網(wǎng)絡(luò)連接的終端。 有許多對付這種威脅的技術(shù)例如對信息進行加密，改變網(wǎng)絡(luò)拓撲結(jié)構(gòu)等。交易的機密性要求交易的真實信息在所經(jīng)過的每一個中間點不被竊取。至于它的傳遞經(jīng)過的記錄就是另一回事了，可以用來證明交易的確發(fā)生了。網(wǎng)絡(luò)的中間點不應(yīng)保留經(jīng)過它而傳

31、遞的信息。加密是確保所傳遞信息機密性的最一般的方法。交易數(shù)據(jù)的完整性要保證來自客戶或發(fā)給客戶的信息在傳遞過程中不被做任何修改。如誤碼校驗。 加密技術(shù)如密鑰、公鑰和數(shù)字簽名等是確保交易隱私，機密性，完整性最一般的方法。這些技術(shù)共同的弱點是它們都取決于系統(tǒng)端點的安全。確保密鑰在系統(tǒng)終端不被修改和濫用。下面討論一下c／s系統(tǒng)模型的弱點。 以前的黑客攻擊大多數(shù)是直接對服務(wù)器系統(tǒng)實施的，但是隨著系統(tǒng)管理員能力和經(jīng)驗的提高，使黑客直接入侵服務(wù)器的難度越來越大，他們就把攻擊的目標轉(zhuǎn)向與服務(wù)器進行信息交換的網(wǎng)絡(luò)。他們通過截獲出入服務(wù)器的信息明文對服務(wù)器進行攻擊、破壞。一些對付此種攻擊的技術(shù)有信息加密，改變

32、網(wǎng)絡(luò)拓撲結(jié)構(gòu)，包過濾等技術(shù)。然而，黑客又把攻擊目標轉(zhuǎn)向客戶端?？蛻舳耸蔷W(wǎng)絡(luò)安全構(gòu)架的薄弱點?？匆幌驴蛻舳瞬僮飨到y(tǒng)的構(gòu)架，我們注意到：用在服務(wù)器端的操作系統(tǒng)也可以用在客戶端，如果客戶端用的操作系統(tǒng)與服務(wù)器用的操作系統(tǒng)一樣，那么用在服務(wù)器端的安全防護措施也可以用在系統(tǒng)的客戶端，但是對于客戶端操作系統(tǒng)使用Windows 9x的用戶還沒有可用的有效的防御機制。因為這些操作系統(tǒng)的設(shè)計構(gòu)建時沒有安全機制設(shè)計，任何進入系統(tǒng)的用戶都可以控制整個系統(tǒng)。這種架構(gòu)的操作系統(tǒng)容易受到病毒和木馬程序的攻擊[11]． 這種c／S模型的電子商務(wù)系統(tǒng)面臨的兩個主要威脅是：病毒和木馬程序。病毒的本性只是破壞系統(tǒng)、程序等。木馬

33、程序?qū)⑹歉蟮耐{，它不但會促使從一個系統(tǒng)侵入另一個系統(tǒng)，而且還會破壞數(shù)據(jù)的完整性。 2．3．2來自病毒的威脅 對電子商務(wù)系統(tǒng)來說，病毒是最引起人們注意的常見的威脅。由于客戶端系統(tǒng)不安全的架構(gòu)(Pc／Mac)才使病毒的侵入屢屢得逞。要破壞一個系統(tǒng)，只要進入系統(tǒng)就可以往系統(tǒng)種些代碼和數(shù)據(jù)而不需要另外的特別權(quán)限。在以前的Windows9x和MacOs8．x操作系統(tǒng)中，這樣的問題尤其突出。雖然現(xiàn)在Windows NT和Windows 2000仍然受到此類攻擊，但是它能限制激活病毒的權(quán)限。非常流行的病毒如：I love you，求職信等則不會感染Unix系統(tǒng)。病毒要發(fā)作對系統(tǒng)產(chǎn)生破壞要一定的權(quán)限才

34、行。一般來說，多級別權(quán)限的系統(tǒng)(如Unix，VM S)可以有效的防止病毒破壞整個系統(tǒng)，即使系統(tǒng)感染了病毒，它也僅僅破壞一個用戶的文件[12]。 電腦病毒的種類繁多，但是只要做好病毒的監(jiān)控和安全管理工作，做好重要數(shù)據(jù)信息的備份工作，就能把病毒對電子商務(wù)系統(tǒng)的危害降低到最小程度。 2．3．3來自木馬的威脅 有許多黑客工具(如：BACK orifice，net bus)可以遠程控制、檢查、監(jiān)控目標用戶的所有信息。它們能夠使用目標設(shè)備(PC)像合法用戶一樣向網(wǎng)絡(luò)發(fā)送信息，因而有很大的欺騙性，往往能夠得逞而不被發(fā)現(xiàn)。有一些商業(yè)性的工具(如：cucme，vncviewer)也具有這種功能。黑客可以從

35、一些網(wǎng)站上免費下載這些木馬程序，當然它也有好的一面，系統(tǒng)管理員使用這些工具遠程控制眾多的工作站，因而也成為系統(tǒng)管理員管理眾多工作站的有力工具。它的不利的一方面是一些人把它用于邪惡的目的，如：欺騙，修改數(shù)據(jù)，竊聽等。 這些工具很容易通過email被安裝到目標用戶的電腦上。攻擊者可以完全控制被攻擊者的電腦系統(tǒng)，可以修改和刪除文件，可以移動鼠標，可以運行任何程序。這種程序?qū)﹄娮由虅?wù)系統(tǒng)的威脅要比病毒嚴重的多，與因特網(wǎng)連接的電子商務(wù)系統(tǒng)對這種攻擊還缺乏有效的防護措施。電子商務(wù)系統(tǒng)的運營者要采取策略和措施加強對客戶端的安全防護。一些木馬程序可以破壞任何類型的加密系統(tǒng)，它在數(shù)據(jù)還沒有被加密以前能夠捕獲要

36、加密的數(shù)據(jù)信息。即使知道了這類工具的源代碼，要設(shè)計能夠檢測這種攻擊的過濾工具是也非常困難的。防御這些攻擊的機制總是被動的。 病毒對電子商務(wù)系統(tǒng)的威脅可以被看作是惡作劇，它僅僅干擾電子商務(wù)系統(tǒng)的運作，應(yīng)被歸類為阻斷服務(wù)(denial of service)的工具。然而木馬程序和一些具有木馬程序同樣功能的商業(yè)工具則是電子商務(wù)系統(tǒng)最大的威脅。木馬程序能夠使黑客偽裝成合法的客戶因而很難對付。黑客可以假冒合法客戶發(fā)送商品訂單，而電子商務(wù)系統(tǒng)服務(wù)器并不能區(qū)分它的真假。密碼保護，客戶端一服務(wù)器之間的通信加密，公一私鑰加密機制都是徒勞地，僅僅是因為傳遞的數(shù)據(jù)信息在被加密以前，木馬程序就能使黑客看到這些信息的

37、明文[13]。 2．4電子商務(wù)系統(tǒng)中的個人隱私問題 隨著電子商務(wù)的應(yīng)用和普及，有些商家在利益驅(qū)使下在網(wǎng)絡(luò)應(yīng)用者不知情或不情愿的情況下采取各種技術(shù)手段取得和利用其信息，侵犯了上網(wǎng)者的隱私權(quán)。網(wǎng)絡(luò)隱私數(shù)據(jù)如何得到安全保障，這是任何國家發(fā)展電子商務(wù)中都會遇到的問題。對網(wǎng)絡(luò)隱私權(quán)的有效保護，成為電子商務(wù)順利發(fā)展的重要市場環(huán)境條件。 人類的隱私權(quán)是人的基本權(quán)利之一，它是伴隨著人們對自身的尊嚴、權(quán)利、價值的產(chǎn)生而出現(xiàn)的，人們要求在社會生活中，在人際關(guān)系中，尊重、保護隱私權(quán)。隱私權(quán)包括個人和生活不被干擾權(quán)利與個人資料的支配控制權(quán)，具體到網(wǎng)絡(luò)與電子商務(wù)中的隱私權(quán)，隱私權(quán)的保護涉及到對個人數(shù)據(jù)(包括企

38、業(yè)的商業(yè)秘密)的收集、傳遞、存儲和加工利用等各個環(huán)節(jié)的保護隱私權(quán)利的問題。從權(quán)利形態(tài)來分有隱私不被窺視的權(quán)利、不被侵入的權(quán)利、不被干擾的權(quán)利、不被非法收集利用的權(quán)利；從權(quán)利的內(nèi)容分可以有個人特質(zhì)的隱私權(quán)(姓名、身份、肖像，聲音等)、個人資料的隱私權(quán)、個人行為的隱私權(quán)、通訊內(nèi)容的隱私權(quán)和匿名的隱私權(quán)等。其中，隱私不被窺視、侵入的權(quán)利主要體現(xiàn)在用戶的個人信箱、網(wǎng)上賬戶、信用記錄的安全保密性上；隱私不被干擾的權(quán)利主要體現(xiàn)在用戶使用信箱、交流信息及從事交易活動的安全保密性上；不被非法收集利用的權(quán)利主要體現(xiàn)在用戶的個人特質(zhì)、個人資料等不得在非經(jīng)許可的狀態(tài)下被利用上。 無論用戶是個人、企業(yè)還是政府，隱私

39、的保護都是他們最為關(guān)心的問題。如果用戶的個人隱私得不到有效的保護，那么人們將不會參與任何形式的電子商務(wù)交易[14]。 2．4．1消費者的隱私問題 關(guān)于消費者的隱私問題已經(jīng)不是什么新話題了。以前擔心個人的數(shù)據(jù)信息被政府部門非法利用，而現(xiàn)在擔心的是企業(yè)。由于用戶的擔心和他們?yōu)楸Ｗo自己的隱私而付出的行動，己經(jīng)有許多有關(guān)保護個人隱私信息的法律被制定和實施。由于人們對信息技術(shù)了解的越來越多，使得借助于網(wǎng)絡(luò)來替代傳統(tǒng)的生活和工作方式的人數(shù)以幾何級數(shù)增長。因而也使得用戶的隱私保護問題變得越來越突出，越來越復雜。 美國聯(lián)邦貿(mào)易委員會的一項調(diào)查報告指出，現(xiàn)在獲取信息的主要手段是通過網(wǎng)絡(luò)，無論是直接地還

40、是間接地。當一個用戶在留言板中留言，在一個商業(yè)站點注冊，參加一個網(wǎng)上競賽，或是通過網(wǎng)絡(luò)訂購一件商品。用戶的信息就會被發(fā)送到網(wǎng)絡(luò)上。用戶的個人信息可能會不知不覺地被泄漏。如當你瀏覽網(wǎng)站時，許多網(wǎng)站會使用cookie保留在你的電腦中，通過它可能直接或間接地獲得你的信息。 用戶希望他們地隱私信息能夠得到保護。安全專家希望政府能夠介入保護用戶的隱私。目前在美國政府提倡個人隱私的自我控制而不是由政府控制。這也許是目前最好的選擇[14][15]。 2．4．2隱私的保護及相關(guān)措施 目前還沒有網(wǎng)絡(luò)隱私保護的統(tǒng)一的標準和法律方面的保障，因而關(guān)于個人隱私的保護問題，要從多個方面綜合考慮，以求得最大的安全

41、效益。因而可以從以下幾個方面來著手電子商務(wù)系統(tǒng)的隱私保護。 1、提高自我保護意識和防欺騙能力。無論是計算機網(wǎng)絡(luò)還是以網(wǎng)絡(luò)為平臺的電子商務(wù)系統(tǒng)及其它信息系統(tǒng)都處在快速的發(fā)展階段，雖然在一些方面取得了較大的發(fā)展，但總的來說還是不完善的特別是軟環(huán)境的發(fā)展遠遠落后于技術(shù)的發(fā)展，因而也是不平衡的。對于個人隱私信息的保護問題就處在一個很脆弱的位置，雖然有相關(guān)的一些個人隱私保護的法律法規(guī)得到了實施，但網(wǎng)絡(luò)和以網(wǎng)絡(luò)為平臺的系統(tǒng)方面隱私的保護問題還沒有得到可靠保護，因而對于這些用戶來說，加強自我的保護尤為重要。因而應(yīng)該注意以下方面： (1)對個人的資料予以保密，不要隨便透露自己的個人信息。 (2)了解交易

42、對象，認真閱讀商家的各種交易條款。 (3)不隨意下載或者填寫陌生公司傳送的“調(diào)查”文檔。 (4)交易前根據(jù)相關(guān)的法律法規(guī)，對交易中存在的問題與商家進行協(xié)商，并保存線上交易的各種資料，如線上合同、交易資訊等。 2、加強對網(wǎng)絡(luò)服務(wù)提供商的監(jiān)督，提高他們在網(wǎng)絡(luò)隱私保護方面的責任感。網(wǎng)絡(luò)服務(wù)提供商在網(wǎng)絡(luò)和電子商務(wù)等信息系統(tǒng)的隱私保護方面的責任有：在用戶開始申請網(wǎng)絡(luò)服務(wù)時要告知用戶網(wǎng)絡(luò)可能給個人帶來的危害；告知用戶可以采取的合法的降低風險的方法；采取有效的措施保護用戶的隱私信息，特別是數(shù)據(jù)的完整性和機密性，以及服務(wù)設(shè)施和服務(wù)在物理上和邏輯上的安全；告知用戶使用網(wǎng)絡(luò)的相關(guān)權(quán)利；不非法收集和使用用戶的

43、個人隱私信息。 現(xiàn)在網(wǎng)絡(luò)有許多的免費服務(wù)，如免費郵箱，免費軟件下載，免費會員注冊等等。都需要用戶輸入個人信息如：姓名，性別，年齡，地址，職業(yè)，個人收入狀況等。這些信息都有可能被服務(wù)商利用或者出賣。隱私保護的一個基本原則是個人資料信息在本人允許的情況下被使用，無論服務(wù)商提供的服務(wù)是收費的還是免費的，除非服務(wù)商有特別說明。 3、企業(yè)及電子商務(wù)運營商對客戶隱私信息保護應(yīng)付的責任。對于企業(yè)來說，保護自己、用戶及合作伙伴的信息隱私問題是企業(yè)管理中的重要部分。人們通常認為網(wǎng)絡(luò)隱私保護主要用的技術(shù)手段，其實對于隱私問題的保護是個管理問題?，F(xiàn)在出現(xiàn)了一種新的職業(yè)稱號叫做隱私官(Privacy Office

44、r)，它的主要任務(wù)處理企業(yè)內(nèi)部和外部的隱私事務(wù)，包括提出公司的數(shù)據(jù)保密政策，監(jiān)督公司的業(yè)務(wù)發(fā)展以確保公司開發(fā)的新產(chǎn)品保護用戶的隱私權(quán)，以及培訓公司員工。 隨著電子商務(wù)的發(fā)展，越來越多的用戶的私密信息被記錄在計算機中。雖然詳盡的統(tǒng)計細節(jié)資料可以幫助商家更好地進行商品和服務(wù)銷售，但是，商家在使用這類信息是要征得用戶的同意。然而，當企業(yè)的信息安全與個人的隱私之間出現(xiàn)矛盾時，個人的隱私往往受到侵害。比如公司為保障其企業(yè)數(shù)據(jù)的安全而對公司員工的行為進行監(jiān)視等。無論對于企業(yè)本身隱私信息的保護還是客戶個人隱私的保護，對于企業(yè)來說都是同樣重要的，因而企業(yè)在保護企業(yè)自身的同時也要加強對員工、客戶隱私的保護。

45、 對于電子商務(wù)運營商來說用戶隱私的保護占有更重要的位置。電子商務(wù)系統(tǒng)的客戶關(guān)系管理中對于客戶隱私的保護問題尤其突出。商家通過收集客戶的個人信息，對信息進行分析，使得商家能夠向客戶提供他們所關(guān)注的產(chǎn)品及其他方面的信息，在多種產(chǎn)品的基礎(chǔ)上制定服務(wù)決策并且依靠大量可靠的信息來提供更有效、更精確的服務(wù)。但是客戶的個人信息往往被泄漏或出賣，大量的垃圾郵件充滿客戶的郵箱和其他的無端的騷擾。因而對于商家來說，在合法利用客戶的信息的同時，應(yīng)該加強客戶個人隱私信息的保護。無論對于商家的發(fā)展還是客戶來說都是應(yīng)該做到的。 4、加強隱私權(quán)的法律保護和國際協(xié)調(diào)。目前電子商務(wù)技術(shù)處在高速發(fā)展階段，電子商務(wù)的相關(guān)法律法規(guī)

46、則嚴重滯后于技術(shù)的發(fā)展。對電子商務(wù)的法律管理，不是簡單的法律調(diào)整代替技術(shù)調(diào)整，而是將電子商務(wù)的技術(shù)調(diào)整納入整個調(diào)整體系內(nèi)，電子商務(wù)的立法不但要考慮技術(shù)要求還應(yīng)考慮現(xiàn)實的可行性，要有前瞻性。 網(wǎng)絡(luò)隱私的保護要堅持力求平衡的原則，既要保護個人隱私信息不受侵犯，又要保證信息能夠自由通行發(fā)揮其經(jīng)濟價值。以電子商務(wù)為代表的網(wǎng)絡(luò)經(jīng)濟就全球而言，還處在從幼年到成熟發(fā)展的探索期，這是一個相對理性的調(diào)整期，正處在電子商務(wù)立法的謹慎開展階段。隨著網(wǎng)絡(luò)經(jīng)濟的發(fā)展相關(guān)法律需要不斷的完善，以滿足發(fā)展中的遇到的新的問題的需求。目前人們隱權(quán)的法律意識還需要加強。保護隱私權(quán)是我國法律長期忽視的盲區(qū)；保障信息自由流通是社會發(fā)

47、展的新要求，兩者都是我國法治建設(shè)的薄弱環(huán)節(jié)，因而都需要加強。 為了解決網(wǎng)絡(luò)隱私的保護問題，一些國家和地區(qū)開始了這方面的立法工作。美國是互聯(lián)網(wǎng)技術(shù)和電子商務(wù)發(fā)展發(fā)達的國家之一，在法律上也比較重視個人隱私的保護。1974年通過的《聯(lián)邦隱私法案》，主要從行政的角度，對政府應(yīng)當如何搜集資料、資料如何保管、資料的開放程度等都做了系統(tǒng)的規(guī)定。在商業(yè)領(lǐng)域，商家非常強調(diào)行業(yè)自律，盡可能的避免政府介入。美國聯(lián)邦貿(mào)易委員會也提出了四條信息公平操作的原則： (1)知情權(quán)，即清楚明白地告知用戶收集了哪些信息，這些信息的用途是什么： (2)選擇權(quán)，即讓消費者擁有對個人資料使用用途的選擇權(quán)； (3)合理的訪問權(quán)限

48、，即消費者應(yīng)該能夠通過合理的途徑訪問個人資料并修改錯誤信息或刪除數(shù)據(jù)； (4)足夠的安全性，即網(wǎng)絡(luò)公司應(yīng)該保證用戶信息的安全性，阻止未被授權(quán)的非法訪問。 歐洲也是互聯(lián)網(wǎng)技術(shù)和電子商務(wù)發(fā)達的地區(qū)。但是歐洲與美國雙方在如何確保消費者在隱私權(quán)被侵犯時，如何解決糾紛的問題上存在著一些分歧。美國強調(diào)業(yè)界自律的方法，歐洲強調(diào)用法律來協(xié)調(diào)。但是由于互聯(lián)網(wǎng)本身沒有國界，因此有關(guān)網(wǎng)絡(luò)各種規(guī)范的法律在管轄權(quán)、國際司法協(xié)作等方面必然遇到國際協(xié)調(diào)問題。美國和歐盟在隱私權(quán)保護上的分歧，己危及到美國企業(yè)是否能夠進入歐盟電子商務(wù)領(lǐng)域活動的問題。從歐盟與美國關(guān)于網(wǎng)絡(luò)與電子商務(wù)中隱私權(quán)的矛盾可以看出，保護網(wǎng)絡(luò)與電子商務(wù)中的

49、隱私權(quán)需要國際協(xié)調(diào)，即一方面需要讓我國的法律給我國用戶及外國用戶以完善的隱私權(quán)保護，另一方面，我們也需要其它國家的法律與機構(gòu)來保護我國用戶的隱私權(quán)。因此，我們一方面盡快完善我國的隱私權(quán)保護體系，一方面與一些相應(yīng)國家進行協(xié)調(diào)，提出我們認可的對我國用戶網(wǎng)上隱私權(quán)保護的要求與標準，為我國的網(wǎng)絡(luò)經(jīng)濟及電子商務(wù)的發(fā)展創(chuàng)造良好的法律環(huán)境。 第三章電子商務(wù)系統(tǒng)的安全技術(shù)機制 3．1加密技術(shù) 為保證數(shù)據(jù)和交易的安全、防止欺騙，確認交易雙方的真實身份，電子商務(wù)必須采用加密技術(shù)，加密技術(shù)是指通過使用代碼或密碼來保障數(shù)據(jù)的安全性。欲加密的數(shù)據(jù)稱為明文，明文經(jīng)過某種加密算法作用后，轉(zhuǎn)換成密文，我們將明文轉(zhuǎn)換

50、為密文的這一過程稱為加密，將密文經(jīng)解密算法作用后形成明文輸出的這一過程稱為解密。加密算法中使用的參數(shù)稱為密鑰。密鑰長度越長，密鑰的空間就越大，遍歷密鑰空問所花的時間就越多，破譯的可能性就越小。以密鑰為標準，可將密鑰系統(tǒng)分為對稱密鑰系統(tǒng)和非對稱密鑰系統(tǒng)。 3．1．1密碼學概述 一般的數(shù)據(jù)加密模型如圖3—1所示，它是采用數(shù)學方法對原始信息(明文)進行再組織，使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對于非法者來說成為無意義的文字(密文)，而對于合法的接收者，因為掌握正確的密鑰，可以通過解密過程得到原始數(shù)據(jù)。 密碼學分為兩類，密碼編碼學和密碼分析學。密碼編碼學研究設(shè)計出安全的密碼體制，防止被破譯

51、；密碼分析學研究如何破譯密文。密碼學就是在破譯和破譯的過程中發(fā)展起來的。加密包含兩個元素：加密算法和密鑰。加密算法是用數(shù)學計算方法與一串數(shù)字(密鑰)對普通的文本(信息)進行編碼，產(chǎn)生不可理解的密文的一系列步驟。密鑰是用來對文本進行編碼和解碼的數(shù)字。將這些文字(明文)轉(zhuǎn)成密文的程序稱作加密程序。發(fā)送方將消息在發(fā)送到公共網(wǎng)絡(luò)或互聯(lián)網(wǎng)之前進行加密。接收方收到消息后對其解碼(或稱為解密)，所用的程序稱為解密程序，這是加密的逆過程。加密的一個重要特征是，即使有人知道加密的方法，如果沒有消息加密所用的密鑰也無法解開加密的消息。加密消息的保密性取決于加密所用密鑰的長度，40位的密鑰是最低要求，更長的(如12

52、8位)密鑰能 提供更高的加密保障。如果密鑰足夠長的話，則信息是無法解密的[7][16]。 3．1．2對稱密鑰系統(tǒng) 對稱密鑰系統(tǒng)，又稱單鑰密鑰系統(tǒng)或私鑰密鑰系統(tǒng)。對稱密鑰系統(tǒng)是指在對信息的加密和解密過程中使用相同的密鑰。也就是說，一把鑰匙開一把鎖，專用密鑰就是將加密密鑰和解密密鑰作為一把密鑰。對稱加密、解密的過程如圖3-2所示。 對稱密鑰系統(tǒng)的安全性依賴于以下兩個因素。第一，加密算法必須是足夠強的，僅僅基于密文本身去解密信息在實踐上是不可能的；第二，加密方法的安全性依賴于密鑰的秘密性，而不是算法的秘密性。密碼學的一個原則是“一切秘密寓于密鑰之中”，算法可以公開，因此，我們沒有必要確保算

53、法的秘密性，而需要保證密鑰的秘密性。對稱密鑰系統(tǒng)的這些特點使其有著廣泛的應(yīng)用。 對稱加密算法的優(yōu)點是加密和解密都比較快，從AES候選算法的測試結(jié)果看，軟件實現(xiàn)的速度都達到了每秒數(shù)兆或數(shù)十兆比特。因為算法不需要保密，所以制造商可以開發(fā)出低成本的芯片以實現(xiàn)數(shù)據(jù)加密。這些芯片有著廣泛的應(yīng)用，適合于大規(guī)模生產(chǎn)。 對稱加密算法的缺點是密鑰難于共享，需要的密鑰太多，對稱加密系統(tǒng)最大的問題是密鑰的分發(fā)和管理非常復雜、代價高昂。比如對于具有n個用戶的網(wǎng)絡(luò)，需要n(n一1)／2個密鑰，在用戶群不是很大的情況下，對稱加密系統(tǒng)是有效的。假如10個用戶互相通信則需要45個不同的密鑰，100個用戶則需要4950個不

54、同的密鑰。顯然這是無法忍受的。對于大型網(wǎng)絡(luò)，當用戶群很大，分布很廣時，密鑰的分配和保存就成了大問題。另一方面的問題是如何將密鑰傳給要保密的用戶。對稱加密是基于共同保守秘密來實現(xiàn)的。采用對稱加密技術(shù)的貿(mào)易雙方必須保證采用的是相同的密鑰，保證彼此密鑰的交換是安全可靠的，同時還要設(shè)定防止密鑰泄露或更改密鑰的程序。這樣，對稱密鑰的管理和分發(fā)工作演變成一件具有潛在 危險的、繁瑣的過程。對稱加密算法另一個缺點是不能實現(xiàn)數(shù)字簽名[17][18]。 3．1．3非對稱密鑰系統(tǒng) 針對對稱密鑰系統(tǒng)的缺點，在1976年提出了非對稱密鑰加密法，又稱雙鑰密鑰系統(tǒng)或公鑰密鑰系統(tǒng)。非對稱密鑰加密法是指在對信息的加密和解

55、密過程中使用不同的密鑰。每個用戶保留兩個不同的密鑰：一個是公鑰PK，一個是私鑰IK，如果甲要給乙發(fā)送一個明文，甲用乙的公鑰將明文加密成密文后發(fā)出，乙收到甲發(fā)送的密文后用乙的私鑰將其解密，別人即使中途截取了密文也無法解密。非對稱加密、解密過程如圖3-3所示。 自從1976年公鑰密碼的思想提出以來，國際上已經(jīng)提出了許多種非對稱密鑰系統(tǒng)，但比較流行的主要有兩類：一類是基于大整數(shù)因子分解問題的，其中最典型的代表是RSA；另一類是基于離散對數(shù)問題的，比如EIGamal公鑰密碼和影響比較大的橢圓曲線公鑰密碼。由于分解大整數(shù)的能力日益增強，所以對RSA的安全帶來了一定的威脅。目前768比特模長的RSA

56、已不安全。一般建議使用i024比特模長，預(yù)計要保證20年的安全就要選擇1280比特的模長，增大模長帶來了實現(xiàn)上的難度。而基于離散對數(shù)問題的公鑰密碼在目前技術(shù)下512比特模長就能夠保證其安全性。特別是橢圓曲線上的離散對數(shù)的計算要比有限域上的離散對數(shù)的計算更困難，目前技術(shù)下只需要160比特模長即可，適合于智能卡的實現(xiàn)，因而受到國內(nèi)外學者的廣泛關(guān)注。國際上制定了橢圓曲線公鑰密碼標準IEEEPl363，RSA等一些公司聲稱他們已開發(fā)出了符合該標準的橢圓曲線公鑰密碼。我國學者也提出了一些公鑰密碼，另外在公鑰密碼的快速實現(xiàn)方面也做了一定的工作，比如在RSA的快速實現(xiàn)和橢圓曲線公鑰密碼的快速實現(xiàn)方面都有所突

57、破。公鑰密碼的快速實現(xiàn)是當前公鑰密碼研究中的一個熱點，包括算法優(yōu)化和程序優(yōu)化。另一個人們所關(guān)注的問題是橢圓曲線公鑰密碼的安全性論證問題[19]。 非對稱加密法的優(yōu)點是：密鑰較少、靈活、易實現(xiàn)。在一個有n個貿(mào)易方參與的系統(tǒng)內(nèi)，采用非對稱密鑰加密法密鑰總數(shù)需要求2n個，采用對稱密鑰加密法密鑰總數(shù)則需要n(n-1)／2個。缺點是要得到較好的加密效果，必須使用較長的密鑰，從而加重系統(tǒng)負擔和減緩系統(tǒng)吞吐速度。因此，非對稱密鑰加密法不適宜于對數(shù)據(jù)量較大的報文進行加密。非對稱密鑰系統(tǒng)主要用于數(shù)字簽名和密鑰分配。 3．2認證技術(shù) 在電子商務(wù)中，由于參與的各方往往是素未謀面的，身份認證成了必須解決的問題。

58、即在電子商務(wù)中，必須解決不可抵賴性問題。交易抵賴包括多個方面，如發(fā)言者事后否認曾經(jīng)發(fā)送過某條信息或內(nèi)容，收信者事后否認曾經(jīng)收到過某條消息或內(nèi)容，購買者做了定貨單不承認，商家賣出的商品因價格差而不承認原有的交易等。電子商務(wù)關(guān)系到貿(mào)易雙發(fā)的商業(yè)交易，如何確定要進行交易的貿(mào)易方正是所期望的貿(mào)易伙伴這一問題則是保證電子商務(wù)順利進行的關(guān)鍵。 3．2．1身份認證 身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程。計算機和計算機網(wǎng)絡(luò)組成了一個虛擬的數(shù)字世界。在數(shù)字世界中，一切信息包括用戶的身份信息都是由一組特定的數(shù)據(jù)表示，計算機只能識別用戶的數(shù)字身份，給用戶的授權(quán)也是針對用戶數(shù)字身份進行的。而我們的生活

59、從現(xiàn)實世界到一個真實的物理世界，每個人都擁有獨一無二的物理身份。如何保證以數(shù)字身份進行操作的訪問者就是這個數(shù)字身份的合法擁有者，即如何保證操作者的物理身份與數(shù)字身份相對應(yīng)，就成為一個重要的安全問題。身份認證技術(shù)的誕生就是為了解決這個問題[7][20]。 從是否使用硬件，身份認證技術(shù)可以分為軟件認證和硬件認證。從認證需要驗證的條件來看，身份認證技術(shù)還可以分為單因子認證和雙因子認證。僅通過一個條件來驗證一個人的身份的技術(shù)稱為單因子認證。密碼認證、指紋認證就是單因子認證。由于只使用一種條件判斷用戶的身份，單因子認證相對容易被仿冒。雙因子認證通過組合兩種不同條件來證明一個人的身份，比如通過密碼和芯片

60、組合，用戶可以通過Ic記錄驗證身份信息，成功以后才通過服務(wù)器驗證密碼。雙因子認證的安全性有了明顯提高[20]。 1、密碼方式 密碼方式是最簡單也是最常用的身份認證方法，是基于“what you know”的驗證手段。每個用戶的密碼是由用戶自己設(shè)定的，只有用戶自己才知道。只要能夠正確輸入密碼，計算機就認為操作者就是合法用戶。由于密碼是靜態(tài)的數(shù)據(jù)，在驗證過程中需要在計算機內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗證使用的驗證信息都是相同的，很容易被駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。因此密碼方式是一種不安全的身份認證方式。 密碼方式簡單易用，容易操作，所以仍然是一個非常流行的身份認證方式。

61、但因為密碼方式的安全性不高，所以在使用過程中必須勤換密碼，以保證密碼的安全。 2、生物學特征 生物特征認證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術(shù)。常見的有指紋識別、虹膜識別等。從理論上說，生物特征認證是最可靠的身份認證方式，因為它直接使用人的物理特征來表示每個人的數(shù)字身份，不同的人具有不同的生物特征，因此幾乎不可能被仿冒。 生物特征認證基于生物特征識別技術(shù)，受到該技術(shù)成熟度的影響，采用生物特征的認證技術(shù)具有較大的局限性。首先，生物特征識別的準確性和穩(wěn)定性還有待提高，特別是如果用戶身份受到傷病的影響，往往導致無法正常識別，造成合法用戶無法登錄系統(tǒng)。其次，由于研發(fā)投入較大和產(chǎn)量

62、較小等原因，生物特征認證系統(tǒng)的成本非常高，目前只適合于一些安全性要求非常高的場合，如銀行、部隊等使用，目前還無法做到大面積推廣。 3、動態(tài)口令 動態(tài)口令技術(shù)是一種讓用戶密碼按照時間或使用次數(shù)不斷變化、每個密碼只能使用一次的技術(shù)。用戶使用時只需要將動態(tài)令牌上顯示的當前密碼輸入客戶端計算機，即可實現(xiàn)身份認證。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。 動態(tài)口令技術(shù)采用一次一密的方法，有效保證了用戶身份的安全性。但如罘客戶端與服

63、務(wù)器端的時間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登錄的問題。并且用戶每次登錄時需要通過鍵盤輸入一長串無規(guī)律的密碼，一旦輸錯就要重新操作，使用起來非常不方便。 4、USB Key認證 基于USB Key的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式，很好的解決了安全性與易用性之間的矛盾。IASB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。基于USB Key身份認證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊一響應(yīng)的認證模式，二

64、是基于PKI體系的認證模式。 3．2．2數(shù)字簽名 在傳統(tǒng)的交易中，我們是用書面簽名來確定身份的。在書面文件上簽名的作用有兩點，一是確定為自己所簽署難以否認；二是因為簽名不易仿冒，從而判斷文件是否為非偽造簽署文件。隨著電子商務(wù)的應(yīng)用，人們希望通過數(shù)字通信網(wǎng)絡(luò)迅速傳遞貿(mào)易合同，這就出現(xiàn)了合同真實性認證的問題，數(shù)字簽名就應(yīng)運而生了。 1、數(shù)字簽名的含義 聯(lián)合國貿(mào)發(fā)會的《電子簽名示范法》中對電子簽名作如下定義：“指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)，它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和表明簽名人認可數(shù)據(jù)電文所含信息”。在IS07489-2標準中定義為：“附加在

65、數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被人(例如接收者)進行偽造。” 數(shù)字簽名用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者的身份認證。在電子商務(wù)中安全、方便的實現(xiàn)在線支付。同時，對于數(shù)據(jù)傳輸?shù)陌踩?、完整性、身份驗證機制以及交易的不可抵賴性問題通過安全性認證手段加以解決。數(shù)字簽名進一步方便企業(yè)和消費者在網(wǎng)上做生意，使企業(yè)和消費者雙發(fā)獲利。數(shù)字簽名是目前電子商務(wù)，電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可靠性最強的一種電子簽名方法[22][23]。 2、數(shù)據(jù)簽名的過程 目前基于非對稱加密

66、算法的數(shù)字簽名過程如下： (1)被發(fā)送文件散列算法加密產(chǎn)生信息摘要； (2)發(fā)送方用自己的私有密鑰對摘要再加密，這就形成了數(shù)字簽名； (3)將原文和加密的摘要同時傳給對方； (4)對方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用散列算法加密產(chǎn)生又一摘要； (5)將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要進行對比，如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過，否則不然。 從數(shù)字簽名的過程可以看出，簽名是建立在私有密鑰與簽名者唯一對應(yīng)的基礎(chǔ)上的，在驗證過程中，是用與該私有密鑰對應(yīng)的公開密鑰來驗證的。所以，數(shù)字簽名必須通過一家可信賴的認證中心(cA)頒發(fā)簽名的數(shù)字證書(根證書)、私鑰，從而確保簽名的有效性。 3．2．3數(shù)字信封與數(shù)字時間戳 1、數(shù)字信封 數(shù)字信封是用加密技術(shù)來保證只有特定的收信人才能閱讀信的內(nèi)容。在數(shù)字信封中，信息發(fā)送方采用對稱密鑰來加密信息，為了能安全的傳輸對稱密鑰，將對稱密鑰使用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后，將它和對稱加密信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰