电子商务交易平台安全体系的设计与实现.pdf

大连理工大学 硕士学位论文 电子商务交易平台安全体系的设计与实现 姓名：赵向晖 申请学位级别：硕士 专业：软件工程 指导教师：迟忠先 20070609 大连理工大学专业学位硕士学位论文 摘要 作为一种信息时代国际通行的商务模式，电子商务的深入发展引发了一场广泛、深 刻的商业变革。经历了网络泡沫的中国电子商务，目前已经进入平稳发展阶段，前景非 常看好，但是问题依然不少，其中安全问题就是其中一个不可忽视的最为重要的问题。 计算机网络的开放性和互联性为电子商务的发展提供了平台，可是也为电子商务安全隐 患产生的温床。开放式的网络，导致了电子商务面临来自多方面的攻击和破坏。如何能 够保证在电子商务交易过程中，交易双方的信息不会被窃取、篡改、破坏就成为了每个 电子商务参与者共同关心的问题。于是，各种各样的安全技术也就应运而生了。 本文的核心目标是为一个实际的电子商务交易平台提出一个合理有效的安全体系 架构。因此，本文首先在详细的介绍和分析了当前电子商务中使用的安全技术以及整个 电子商务交易系统的组成的基础上，制订了系统的安全策略，搭建了一个完整的电子商 务交易系统的安全体系架构。文中所讨论的系统是基于当今比较成熟的分布式体系结构 _ ，2 e e 模型，这为安全体系的建立提供了平台。作者在参与了整个系统的分析、设计 的基础上，通过对平台系统的设计和构建以及平台相关情况的分析，对系统平台的安全 需求进行了仔细的研究和分析，确定了平台的基本安全策略，对各种电子商务安全技术 在其中的应用作了简单的介绍，最终总结了构建安全的分布式电子商务平台的设计工 作，提出了该分布式电子商务平台的基本安全体系结构。 本文对电子商务平台的安全体系的构建有一定的借鉴意义。 关键词：电子商务；安全体系；加密技术；防火墙 电子商务交易平台安全体系的设计与实现 t h e d e s i g na n di m p l e m e n to f s e c u r i t ys y s t e mo f e l e c t r o n i cc o m m e r c e a p p l i c a t i o ns y s t e m a b s t r a c t a s 姐i n t e r n a t i o n a lv u l g a t ec o m m e r c i a lm o d ei nt h ei n f o r m a t i o nt i m e s t h ed e v e l o p m e n t o fe l e c t r o n i cc o m m e r c 圮h a sl e dac o m p r e h e n s i v e 。p r o f o u n dc o m m e r c i a lr e v o l u t i o n h a v e e x p e r i e n c 硝n e t w o r kb u b b l e t h ec h i n e s ee - x 晒m e r c e8 , 1 - ec o m i n gi n t oas m o o t hd e v e l o p m e n t p o r i o dw h o s e 如t i l r ei sb r i g h t b u tp r o b l e m ss t i l le x i s t n 砖s e c u r i t yp r o b l e mi s0 1 1 eo f t h em o s t o n ew h i c hg a sn o tb ei g n o r c d i n t e m e th a so f f e rap l a t f o r mf o rt h ed e v e l o p m e n to f e - c o n n e r c e b u ta l s og i v eb i r t ht ot h eh i d d e ns e c u r i t yt r o u b l eo fe c o l l l r f l c r c o t h eo p e n i n go f i n t e m e tr e s u l t si na l l - r o u n da t t a c ka n dd e t r i m e n t st oe - c o e r m e r e e t h e nw h a tc a nw ed ot o i n s u r et h a tt h ei n f o r m a t i o ni nt h ep r o c e s so fe x c h a n g ec a nn o tb es t o l e n , s o p h i s f i c 卸b e 正 d e s t r o y e d ? t h i si st h ep r o b l e mw h i c he v e r y o n et a k i n gp a r ti nt h ep r c w 君s so fe x c h a l l g em u s t c a a b o u t t h u s ，a l lk i n d so f s e c m i t yt e c h n o l o g ye m e r g ea st h et i m e sr e q u i r e 1 1 玲m a i np u r p o s eo f t h ep a p e ri st ob r i n gf o r w a r dar e a s o n a b l e e f f i c i e n ts e c u r i t ys y s t e m f o ra ne x i s t i n gp l a t f o r mo fe - c a 3 m m e r t 弛1 1 地p a p e re l a b o r a t e st h et e c h n o l o g yw h i c hm o d e r n e - c d n 坷艇撇s y s t e m sa r ee m p l o y i n ga n dt h es t r u c t u r eo f t h ew h o l es y s t e m a n dt h e nm a p so u t t h es y s t e ms e c u r i t ys t r a t e g y , b u i l d sa ni n t a c ts e c u r i t ys t r u c t u r eo fe 啪n l m e r s y s t e m t h e s y s t e mw h i c ht h ep a p e ra r g u ea b o u ti so nt h eb a s eo fam a r t r ed i s t r i b u t i n gs t r u c t u r e - - - j 2 e e ， w h i c ho f f e rap l a t f o r mo ft h es e c u r i t y $ 1 1 1 1 9 t u l e h a v et a k e np a r ti nt h ew h o l ep r o c e s so f a n a l y s i sa n dd e s i g n i n g , t h ea u t h o ri n t r o d u c et h ed e s i g na n ds t r u c t u r eo ft h ee - c o m m e r c 圮 s y s t e m a n dt h e nt h ea u t h o ra n a l y s e st h er e q m r e m e n to f t h es y s t e ms e c u r i t y ，s e c u r i t yp o l i t yo f t h es y s t e ma n dt h ea p p l i c a t i o no ft h es e c u r i t yt e c h n o l o g y f i n a l l y ，t h ea u t h o rs u m m a r i z e st h e b a s i cr o l eo f e - c o m m e r c es e c u r i t y ，a n db r i n g sf o r w a r dab a s i cf l a m eo f e c o m n l e r c es e c u r i t y 1 1 豫c o n t e n to f t h i sp a p e rc a nb er e f e r e n c et ot h ee - c o r l m e r c ep l a t f o r m k e yw o r d s ：e l e c t r o n i cc o m m e r ；s 钟u h t ys y s t e m ；e n e r y p t i n gt e c h n o l o g y ；f i r e w a h 独创性说明 作者郑重声明：本硕士学位论文是我个人在导师指导下进行的研究工 作及取得研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其它人已经发表或撰写的研究成果，也不包含为获得大连理 工大学或者其它单位的学位或证书所使用过的材料。与我一同工作的同志 对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。 作者签名：堑丑磐日期：2 圣2 笸：主 大连理工大学硕士研究生学位论文 大连理工大学学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连理工大学硕士、博士学位论文版权使用 规定”，同意大连理工大学保留并向国家有关部门或机构送交学位论文的复印件和电子 版，允许论文被查阅和借阅。本人授权大连理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，也可采用影印、缩印或扫描等复制手段保存和汇编学位论 文。 作者签名： 垄衄睡 聊签名：墨! 进 年上月玉日 大连理工大学专业学位硕士学位论文 引言 论文的背景、范围和意义 近几年来，随着计算机技术和网络技术的迅猛发展，网络给人们带来的越来越多的 方便与快捷，同时更多的人也开始利用互联网来处理业务，安排工作，在i n t c m c t 上从 事商务活动也由此变为可能。电子商务作为全球经济发展的最终趋势，将成为2 1 世纪 贸易活动的基本形态。信息网络的海量数据流，高度流动性，非物质性三大特征预示着 一个全新社会领域的形成，并产生了诸多新的社会关系。电子商务以其低廉的成本、简 单的交易方式、超越时空限制的经营方式，将会极大的改变了社会经济运作模式，在变 革现有社会价值结构过程中创造着新的社会价值。而电子商务与传统产业的结合，在使 电子商务实际应用走向深化的同时，必将为传统产业的发展带来生机与活力。 当然，任何事物的发展都具有两面性。网络带给巨大的便利的同时，也带来了许许 多多前所未有的问题，安全问题就是其中最为重要的一点。网络的开放性给数据的自由 传输带来便利，也使得数据更加容易遭到窃取、破坏、篡改和攻击。特别是在电子商务 中，传输的数据都是交易双方非常机密的信息，比如说银行卡的密码，电子商务的安全 性就成为了值得深入探讨的重大问题。 项目背景 本文所研究的是大型水电集团葛洲坝集团建立的电子商务交易平台安全性。中 国葛洲坝集团是中国水电施工主力军，一举创造的葛洲坝大江截流、混凝土浇筑、机电 安装等1 0 0 多项水电施工新纪录，使中国水电工程施工技术达到了世界的先进水平。改 革开放以来，集团优质高效的完建了一大批项目的枢纽工程和主体工程，是三峡工程建 设乃至全国水电工程建设的主力军，在全国水电工程建设市场的占有率始终保持在2 0 0 0 以上，其中三峡工程的合同份额更是达到了6 0 0 , 6 以上。 集团拥有土建、设备安装等一系列项目的分包、施工能力。集团在施工过程中，涉 及到大量的设备物资的采购、运输、仓储、使用和调配，合理有效的设备物资管理对于 集团具有十分重要的意义。 水利水电工程的突出特点就是投资规模大、周期长，在工程的建设过程中，物资设 备的采购额占总投资的比例非常大，物资设备的采购成为了工程建设的主要成本因素之 一。因此，降低采购成本、提高物资设备的利用率可以有效地缩短建设周期和降低工程 建设成本。于是建立一个电子交易平台就成为了降低工程成本的首选。 本文所研究的内容 电子商务交易平台安全体系的设计与实现 电子商务的安全性研究是一个很大的课题，牵涉面广，使用的技术多，不可能在一 篇论文中加以详尽的研究和讨论。本文主要是结合葛洲坝集团电子商务交易平台这一实 际项目，在详尽的阐述实现电子商务安全所使用的技术和项目本身的架构的基础上，着 重介绍这一项目是如何运用当今的技术来构建系统安全体系的。因此本课题研究的重点 是：在大型水电集团电子商务交易平台中的安全性的设计与实现。 大连理工大学专业学位硕士学位论文 1 电子商务安全简介 1 1 什么是电子商务 电子商务源于英文e l e c t r o n i cc o m m e r c e ，简写为e c 。顾名思义，其内容包含两个 方面，一是电子方式，二是商贸活动。简单说，电子商务是指以互联网为基础和传输媒 介，交易双方为主体，银行电子支付和结算为主要手段，客户数据、往来单据为依托， 从而实现在整个商务和贸易活动环节的电子化，自动化。对于企业来说，电子商务是利 用以i n t e r n e t 为核心的信息技术，进行商务活动和企业资源管理，它的核心是高效的管 理企业的所有信息，帮助企业创建一条畅通于客户、企业内部和供应商之间的信息流， 并通过高效率的管理，增值和应用，把客户、企业和供应商连接在一起，以最快的速度， 最低的成本响应市场，及时把握商机，不断提高和巩固竞争优势。它是利用简单、快捷、 低成本的电子通讯方式，买卖双方不谋面地进行各种商贸活动。随着信息技术的发展， 电子商务的内涵和外延也在不断的充实和扩展，并且不断的被赋予新的意义，开拓出更 加广阔的应用空间j 。 电子商务可以通过多种电子通讯方式来完成。简单的，比如你通过打电话或发传真 的方式来与客户进行商贸活动，似乎也可以称作为电子商务；但是，现在人们所探讨的 电子商务主要是以e d i ( 电子数据交换) 和i n r e r n e t 来完成的。电子商务的一个最 重要的技术特征是利用w e b 技术来处理和传输商务信息，因此有人称：电子商务 = w e b + i t 。从贸易活动的角度分析，电子商务可以在多个环节实现，由此也可以将电子 商务分为两个层次，较低层次的电子商务如电子商情、电子贸易、电子合同等；最完整 的也是最高级的电子商务应该是利用矾硼! n e t 网络能够进行全部的贸易活动，即在网 上将信息流、商流、资金流和部分的物流完整地实现，也就是说，你可以从寻找客户开 始，一直到洽谈、订货、在线付( 收) 款、开据电子发票以至到电子报关、电子纳税等 通过巧r r e r 匝t 一气呵成。 要实现完整的电予商务还会涉及到很多方面，除了买家、卖家外，还要有银行或金 融机构、政府机构、认证机构、配送中心等机构的加入才行。由于参与电子商务中的各 方在物理上是互不谋面的，因此整个电子商务过程并不是物理世界商务活动的翻版，网 上银行、在线电子支付等条件和数据加密、电子签名等技术在电子商务中发挥着重要的 不可或缺的作用【2 l 。电子商务网络图如图1 1 。 电子商务交易平台安全体系的设计与实现 图1 1 电子商务网络图 f i g 1 1e - c 0 咖e r o en e t w o r kd i a g m m 电子商务是一个由计算机、通信网络及程序化、标准化的商务流程和一系列安全认 证体系组成的有机的集合，是一个由不同主体、不同层次组成的应用体系。其内部的体 系结构是：在电子商务的环境体系( e p 支付体系、安全认证体系、法律法规体系、物流 配送体系和社会信息化环境体系等) 下，以电信基础设施、电子商务技术与标准体系为 基础，在电子商务的各参与实体( 主要有政府、企业和消费者) 之间及内部形成不同的模 式：b 2 c ( 企业对消费者) ，b 2 b ( 企业对企业) ，b 2 g ( 企业对政府) 等【3 】。如图1 2 所示。 大连理工大学专业学位硕士学位论文 匝三圃匡基因 图1 2 电子商务体系结构图 f 皓1 2e c o 姗e r s y s t e r ns t r u c 仰ed i a g r a m 1 2 我国电子商务存在的问题和解决措施 1 2 1 我国电子商务存在的问题 随着电子商务的迅速发展，各种各样的问题也接踵而至，其中有的是电子商务的共 性的问题，也有些是由我国国情决定的特有问题。而这些问题的存在大大的制约了我国 电子商务的普及和发展，不利于实现商务贸易的电子化和网络化。解决这些问题就成为 了我国电子商务学术界亟需面对的首要任务，而解决问题首先要明确问题，所以下面先 介绍一下我国电子商务面临的主要问题1 4 j ： ( 1 ) 电子商务的安全性问题。电子商务的安全问题仍是影响电子商务发展的主要 因素，也是长期困扰电子商务商家的一个重大难题。由于 n t e r n e t 的迅速流行，电 子商务引起了广泛的注意，被公认为是未来i t 最有潜力的新的增长点。然而，在开放 的网络上处理交易，如何保证传输数据的安全成为电子商务能否普及的最重要的因素之 电子商务交易平台安全体系的设计与实现 一。调查公司曾对电子商务的应用前景进行过在线调查，当问到为什么不愿意在线购物 时，绝大多数人担心遭到黑客的侵袭而导致信用卡信息丢失。因此，有一部分人或企业 因担心安全问题而不愿意使用电子商务，安全成为电子商务发展中最大的障碍。 ( 2 ) 电子商务的搜索功能问题。搜索引擎看起来很简单：但根据n e c 研究所与 d 町k t o m i 公司最近研究结果表明，目前在互连网上至少1 0 亿网页需要建立索引。而现 在搜索引擎仅仅能对5 亿网页建立索引，仍然有一半不能索引。这主要由于在线商家希 望保护商品价格的隐私权。因此当用户在网上购物时，不得不逐个网站的搜索下去1 5 】。 ( 3 ) 电子商务管理的问题。电子商务给世界带来了全新的商务规则和方式，这更 加要求在管理上要做到规范，这个管理的概念应该涵盖商务管理，技术管理，服务管理 等多方面，另外电子商务平台的前后端相一致也是非常重要的。前台的w e b 平台是直 接面向消费者的，是电子商务的门面。而后台的内部经营管理体系则是完成电子商务的 必要条件，它关系到前台所承接的业务最终能不能得到很好的实现。 ( 4 ) 电子商务的税务问题。由于电子商务的交易活动是在没有固定场所的国际信 息网络环境下进行，造成国家难以控制和收取电子商务的税金。因此，在制定与电子商 务有关的政策法规时，需要重新审视传统的税收政策和手段，建立新的、有效的税收机 制。 ( 5 ) 电子商务的标准问题。各国的国情不同，电子商务的交易方式和手段当然也 存在某些差异，而且要面对无国界，全球性的贸易活动，因此需要在电子商务交易过动 中建立相关的、统一的国际性标准，以解决电子商务活动的相互操作问题。中国电子商 务目前的问题是概念不清，搞电子的搞商务，搞商务的搞电子，呈现一种离散，无序， 局部的状态。因此，目前需要解决三个问题：是统一标准的电子商务综合服务平台； 二是电子商务的关键在于业务，应用是其龙头，因此要把各种各样的业务和服务接进来； 三是解决互连互通的标准问题。 ( 6 ) 电子商务的费用支出问题。在美国，现金交易较少，国民购物基本上采用信 息卡支付，而且国家由于金融，税收，治安等方面的原因，也鼓励使用信息卡以减少现 金的流通。而目前我国金融服务水平和电子化水平并不高，虽然各大银行已经开展了网 上银行业务，但是由于各专业银行网络选用的通信平台不统一，影响了各银行间跨行的 互联、互通和网上的跨行支付。我国目前已经开展的电子商务仍以“网上交易、网下支 付”为主要形式。完善的金融制度，方便、可靠、安全的支付手段是b 2 c 电子商务发 展的基本条件。不难看出，影响我国电子商务发展的不单是网络带宽的狭窄，上网费用 的昂贵，人才的不足以及配送的滞后，更重要的是来自于信用制度不健全与人们的生活 大连理工大学专业学位硕士学位论文 习惯。因此，应该加大金融改革力度，健全法制，建立信用制度，正确引导人们改变一 些生活习惯，为我国b 2 c 电子商务的发展创造有利的发展环境吼 ( 7 ) 电子商务的合同法律问题。在电子商务中，传统商务交易所采取的书面合同 已经不适用了。一方面，电子合同存在容易编造，难以证明其真实性和有效性的问题： 另一方面，现有的法律尚未对电子合同的数字化印章和签名的法律效力进行规范。此外， 现有的技术还无法做到对数字印章和签名的唯一性，保密性进行准确无误的认定。如何 保证电子商务活动中合同的有效性及电子印章和电子签名的有效性，是保证电子商务正 常发展的重要因素之一。 ( 8 ) 物流配送体系与售后服务不完善。在电子商务模式运作过程中，物流是电子 商务运作流程中的最后一个环节，也是最重要的环节。电子商务的成功发展要依赖于高 度发达的现代物流配送体系的建立。而目前我国电子商务物流配送体系还较为薄弱。一 是物流配送效率低、物流装备标准化程度低；二是物流配送中心的信息化程度低，先进 适用的管理信息系统开发滞后，现代物流的功能得不到很好发挥；三是物流企业缺乏规 模优势。目前大多数企业业务量低，无法达到经济配送规模川。 1 2 2 解决措施 面对电子商务带来的机遇和挑战，许许多多的大型的电子商务软件和服务提供商都 不惜投入大量的人力、物力和财力来探索解决上述实际问题的途径，开拓电子商务的硬 件和软件系统。另外，各个经济大国也纷纷的制定有利于电子商务发展的政策，甚至出 台各种法律法规，规范电子商务进行中的企业行为，帮助本国企业抢占电子商务的制高 点。而我国若想在新的经济形势下立于不败之地，也应该积极地思索如何制定与未来电 子商务时代相适应的政策，提出解决以上问题的办法。 ( 1 ) 政府引导，统筹规划。从世界电子商务发展的实践来看，政府的有力引导对 于电子商务的发展会起到一个举足轻重的作用。电子商务是流通领域的一场变革，涉及 面广，需要政府进行引导、统筹规划，调动各有关方面的力量予以推进。政府部门要充 分发挥政策推动和宏观规划作用，正确引导电子商务的发展与实施。要把政府政策调控 的稳定性、严格性和市场机制的灵活性、及时性结合起来，形成有机的互补，从而更好 地发挥市场机制和政府调控的两个作用，促使我国电子商务协调快速地发展。政府引导 的重点是立足于为企业发展电子商务创造良好的外部环境，解决企业自身解决不了、但 电子商务应用中又必须解决的问题，如电子商务安全保障、技术标准、法律法规、税收 政策等。政府要引导全社会各方面资源整合，建立电子商务的基础设施，如网络基础设 施、物流酉e 送设施、电子支付系统、重点技术攻关、电子商务与社区信息化建设相结合 电子商务交易平台安全体系的设计与实现 等。政府还应着眼于保护消费者权益、保护知识产权、保护个人隐私、保护竞争和保护 网上交易安全、信息安全，监督企业遵守国家有关法律和安全管理规定，及时查处网上 违法犯罪行为1 8 1 。 ( 2 ) 保证电子交易的安全进行。从根本上说，发展电子商务的首要问题还要归结 到如何为交易双方提供一个可以进行安全交易的环境。只有安全的环境实实在在的建立 起来，企业、个人进行电子交易的积极性才能确实的被调动起来，电子商务的发展才有 了前提。为了建立这样一种安全的电子商务环境，国际上已有多家公司联合开展了安全 电子交易的技术标准和方案的研究，并发表了有关协议和标准。从我国的国情看，国家 有关部门应组织高层次的安全技术研究队伍，集中力量尽快解决电子商务的安全技术问 题，包括密码技术、防火墙技术、认证技术等，并且要随着计算机和电子商务技术的发 展不断进行技术创新，提高网络交易的安全可靠性。同时，为保证交易的安全，应着手 建立相应的国家级的安全控制中心系统。这一系统应包括国际出入口监控、电子交易证 书授权、密钥管理、安全产品评测认证等分中心。另外还应该由政府主管部门和工商行 政管理部门参与建立权威的认证中心，并赋予其适当的管理权限，以保证其权威性和公 正性。为了维护消费者和企业的利益，提高电子商务的声誉，认证中心应对拟在网上进 行交易的企业的资格进行评定和认证。只有通过资格认证、有能力提供高质量产品和服 务的企业才能获得数字证书，允许其开展网上交易活动。对于用户的投诉，要及时调查 处理，违反有关法规的要给以包括吊销证书等在内的处罚，触犯刑法的要提交公安司法 部门处理。只有这样，才能为我国电子商务的发展提供一个安全规范的环境。从而不仅 有利于企业之间的公平竞争，而且还能消除社会公众对电子商务安全性的疑虑，提高其 对电子商务的信心与认同度剀。 ( 3 ) 建立技术保障体系。发展电子商务必须以硬件、软件两个方面的技术保障为 前提条件。继续发展信息基础网络，采用当今世界先进技术，加快现有通讯网络的升级 改造，进一步扩大通讯、广电传输网络和信息平台规模，促进互联互通，提高网络质量。 要加大电子商务技术的科研和应用，政府、企业和科研机构要协手合作，各尽所能，做 到科研、开发和产品生产不断线，不断推陈出新，使我国电子商务的技术和产品上档次， 提高竞争能力；同时要把电子商务在各行业全面深入的应用放到突出位置上，因地制宜 推广应用适用的电子商务技术、产品和服务。积极开展国际国内技术合作与交流，引进 消化吸收国际先进技术，为电子商务提供强有力的技术支撑和服务。 ( 4 ) 加快物流配送体系和金融体系的建设。在完善物流配送体系方面，除了要鼓 励邮政部门发挥自身的优势，与从事电子商务的部门签订合作协议，积极开展各种新服 务外，要逐步开放市场，欢迎国内外的速递公司参与竞争。通过竞争，使我国的物流配 大连理工大学专业学位硕士学位论文 送体系日趋完善。在金融支撑体系方面，要鼓励有条件的银行开设网络银行，提供各种 形式的在线服务。在今后条件具备时，成立统一的网上结算中心，并逐步开展与国外客 户的网上结算服务l l o l 。 ( 5 ) 加强电子商务方面的立法和司法。电子商务的发展不仅仅使商业概念产生了 翻天覆地的变化，也给世界带来了全新的商务规则和方式，对当前的法律提出了严峻的 挑战。由于电子商务的发展，法律界出现了很多从前的法规不适合的案例，完善法律体 系已经迫在眉睫了。所以要以市场机制为先导，根据先易后难、先基础后具体的原则， 制定电子商务的法律、法规。首先以管理为手段，以服务为宗旨，加强电子商务市场管 理，通过营造良好的市场环境，鼓励企业入市，加快电子商务市场发育，然后逐步提炼 市场规则，吸取实践和理论知识，制定电子商务发展规划、标准、政策，进一步建立健 全电子商务管理地方性法规、规章，充分运用法律手段，搞好电子商务领域的行政管理， 维护电子商务的正常经济秩序。高度重视网络安全问题，加强规范，依法监管。努力完 善电子商务的行政执法体制，健全执法机构，明确各部f - j l 积, 责分工，打击网上违法活动。 加强电子商务领域的司法工作，通过司法手段打击网上犯罪。同时要把依法治网与以德 治网结合起来，加强职业道德教育，努力建立社会主义市场经济信用体系，建立网上失 信制约制裁机制，依法保护法人和公民的合法权益，保障国家政治经济安全，保障和促 进电子商务健康有序发展】。 ( 6 ) 推动电子商务产业化。要大力发展信息资源的规模化开发及应用，使网上购 物、网上证券交易等多种形式的电子商务进入家庭，大量增加网上广告服务、互联网接 入服务、顾客信息收集、信用卡支付结算等以信息服务媒介商品交易的中介活动；通过 开发网络安全产品、网上支付产品、电子商务应用软件、系统集成等，促进宽带信息传 输平台的业务拓展；通过促进与物流相适应的科技、装备和运输企业的发展，促进以物 流服务为核心的运输、配送、包装、加工等业务的增长。要充分抓住这次机遇，加强产 业政策引导，加快电子商务产业发展，使电子商务产业成为新的经济增长点，通过发展 电子商务产业，进一步促进电子商务的开展1 1 2 】。 综上所述，促进电子商务迅速发展的途径可以归结为：在政府的统筹规划下，以解 决电子商务的安全问题为主要目标，加快物流配送、金融等辅助体系的快速建设。而本 论文主要讨论的就是如何在大型水利项目中实现电子商务的安全。 电子商务交易平台安全体系的设计与实现 1 3 电子商务系统的安全性 电子商务系统在实践过程中着实给的生活带来了巨大的便利，但是它却没有像人们 本来所想象的那样普及和深入。而电子商务在安全性上的不足就是所有阻碍电子商务发 展的因素中最主要的一个。美国密歇根大学的一个调查机构通过对2 3 0 0 0 名因特网用户 的调查显示，超过6 0 1 3 的人由于担心电子商务的安全问题而不愿进行网上购物。可见安 全问题对电子商务的普及起到多么大的作用。而事实表明，人们的担心并不是杞人忧天。 2 0 0 0 年2 月8 日( 北京时间) ，全球第二大网站雅虎网站遭到因特网历史上最严重的一 次黑客攻击，被迫关机近3 小时。在紧接着的第二天，又有多家网站遭到黑客袭击，美 国声基集团于美国时间1 0 日发布的一份报告初步估计，黑客的大规模攻击行动造成了 美国信息产业大约1 2 亿美元的经济损失。更为严重的问题是，面对网上黑客的攻击， 一般的计算机网络使用者还很难察觉【l 酗。 电子商务的安全性当然不仅仅指网络安全，它主要包括六个方面的内容：系统的安 全性；网页的安全性；访问的安全性；交易的安全性；数据的安全性；操作的安全性。 ( 1 ) 系统的安全。系统安全包括设备安全、运行安全和网络安全。设备安全是指 电子商务系统中的计算机、存储设备、网络设备、通信设备、安全设备等物理保证安全， 防止人为和自然的损坏：运行安全是指服务器操作系统及电子商务软件运行安全，防止 系统运行软件故障，减少因为软件故障导致的系统运行不稳定；网络安全是指服务器之 间的协同和信息交换的安全，防止信息泄露，抵御黑客攻击。还需要注意的是，电子商 务网站的运行具有不间断性，因此在构建系统时必须要留有一定的冗余。为保障服务器 的正常运行、防止恶意攻击，使用防火墙、安装杀毒软件对服务器进行保护是必要的。 如果在服务器上启用适当的身份验证并对数据进行必要的加密，则客户与网站信息交换 的安全性会大大提高。 ( 2 ) 网页的安全。网页的安全是指电子商务网站w e b 网页的发布、修改由特定人 员完成，非授权人员无法修改。网页是网站的商品陈列柜，是面向消费者的窗口。如果 发生非授权人员修改其信息，会造成订单的混乱，还会影响电子商务网站的声誉，造成 硬性伤害。目前，国内外电子商务网站有2 3 曾被非授权人员修改，如被黑客篡改网页、 内部员工修改价格等等，对网站造成极坏的影响。现在的电子商务网站所使用的多为 a s p 或c g i 、p h p 等编程，多使用v b 或j a v a 等脚本语言，这些脚本有很多在编制时 不严谨或脚本语言先天不足，存在这样或那样的漏洞，使黑客有可趁之机。目前，国外 的大型商务网站在使用a s p n 】t 构架时，都把重点转向了钟语言，在提高脚本执行效 率的情况下，增加了安全性【1 4 1 。 大连理工大学专业学位硕士学位论文 ( 3 ) 访问的安全。电子商务网站的访问安全主要分为内部访问安全和外部访问安 全两方面。内部访问是指，工作人员通过内部局域网或通过v p n 或拨号连接到内部服 务器。并进行相关的操作。外部访问是指普通顾客浏览w e b 网页信息，购买商品、对 商品或服务提供建议、意见等留言。访问的安全是指保证信息通过网络传输的安全性， 用户登录认证的安全性。也就是说，通过网络，电子商务工作人员或顾客能够安全地连 接到服务器。 ( 4 ) 交易的安全性。电子商务网站交易的安全性是指客户与电子商务网站进行安 全的交易。目前电子商务网站选择使用基于安全套接层s s l 或安全电子交易( s e t ) 协议 来保证顾客与服务器信息交换的安全。使用s s l 协议可以保证数据的安全性、完整性并 完成用户身份的验证，但由于不涉及银行系统，所以不能保证交易的不可抵赖性。而使 用s e t 协议，在订单确认后，交易就通过银行系统自动记录，并被监督。对比较重要的 交易，电子商务网站有时需要顾客在电子合同上使用数字签名，即电子签名。用户只要 在网站提供的合同书上进行电子签名，就具有了法律效力。对某些大额交易或敏感交易， 双方需要使用p k i ，通过加密来传递敏感信息，以完成交易。此外，还可以使用第三方 的加密系统来完成交易的数据传递加密，增强其安全性【1 5 1 。 ( 5 ) 数据的安全。电子商务网站的数据安全是指网站中商品数据存储安全和存储 用户信息的数据库安全。电子商务网站大都使用数据库来存储数据，国内常用的有 a c c e s s 、s q l s e r w r 和m y s q l 。有些国外大型商务网站还使用o r a c l e 、d b 2 和s y b a s e 。 目前许多电子商务网站存储着大量的客户信息，包括姓名、住址、电话、电子邮件、邮 政编码及身份证件等，这些个人信息是极其重要且非常敏感的。这些信息的泄露会对客 户造成物质和精神上的损害，电子商务网站难辞其咎。在构建电子商务网站时，就要确 保这些数据库系统的安全，合理设置用户及表格权限，在保障正常运行的同时，尽可能 地阻止非授权用户对数据库中的敏感数据的访问。要对数据库进行异地备份，有条件的 话让w c b 网站与数据库分开，使用n t f s 分区，并启用e f s ，并对数据库服务器印地 址加密，增加硬件防火墙，加强对数据的保护。对基于a s p 的网站服务器，对o d b c 的访闯要有用户权限限制，并将w e b 服务器中的配置o d b c 的工具进行删除，加密数 据库访问配置文件。现在电子商务网站大多都有客户的虚拟账号，存有余额。国内的商 务网站提供的在线查询功能，对客户账目查询所提交的信息，几乎没有使用任何加密协 议，也没有对查询数据加密。黑客嗅探并更改查询信息后，很容易获得账户信息，进而 获得客户的详细资料，造成客户信息的外泄。现今几乎所有的电子商务网站都有用于客 服或颓客交流的论坛。这些论坛大多是在修改购得的商业软件后投入使用的，其源代码 在互联网上多有流传，软件开发商编程的疏漏及软件存在的技术缺陷，都可能导致客户 电子商务交易平台安全体系的设计与实现 信息的泄露。在这种情况下，客户注册后，其相关信息可能在论坛上出现；论坛调用数 据库中客户信息的同时，数据泄漏的风险大大增加；数据库连接的透明性也使数据库服 务器容易遭受网络黑客的攻击。笔者通过s n i f f e r 软件对国内的多个大型网站的论坛进行 嗅探，竟能获得包括用户名、密码、电子邮件在内的多组信息，通过登录账户，竟发现 许多虚拟账户中有不少余额。通过嗅探还发现了个别网站数据库服务器的口地址及数 据库的名称，通过下载配置文件，竟得到数据库系统的o d b c 用户名和密码，并在构建 o d b c 的基础上，连接了数据库。虽然没有写的权限，但是黑客能够连接到服务器，那 么数据库的数据就会被下载，信息就泄露了。为确保数据安全，对电子商务网站数据库 要做到每星期完整备份一次；数据库管理员应每星期对数据库的完整性进行一次检查； 自动增量备份要做到两分钟。此外，数据库服务器要有足够的冗余，保证每一时刻服务 器都正常运行。 ( 6 ) 操作的安全。电子商务网站操作的安全是指电子商务企业员工在进行商品信 息发布、订单录入审核及数据库维护等操作过程中的安全保障。主要是指被授权的员工 对其允许的项目进行操作，非授权的员工只能读取，不能进行操作；任何操作都会有详 细的记录以备曰后审查；特定人员对特定的操作审核，发现错误，及时加以纠正。个别 人员的操作不能影响网站的稳定运行，也不能造成数据库的混乱或系统的瘫痪。当有人 员离职后，也不会因其恶意操作造成网站的运行困难【l6 】。 1 4 电子商务安全问题的对策 为了实现电子商务的安全性，各大公司都在积极地思考办法来解决这一问题，形成 了不同的标准，但总体上说，这些标准的思想还是大同小异的，如图1 3 所示是电子商 务采取安全措施网络图。 图中，可以看到在电子商务安全措施中主要使用的技术包括以下的几个方面： ( 1 ) s s l 协议 ( 2 ) 安全认证技术 ( 3 ) 安全交易协议 ( 4 ) 加密技术 除此之外，在保证电子商务安全方面，还有其他的一些常用的技术，比如说，防火 墙、杀毒软件、权限控制等等。另外，企业还应该建立完善的内部安全机制和制度，从 根本上阻止不安全的事件的发生，只有这样，才能构造一个比较系统的安全电子交易体 系f 1 7 1 。 大连理工大学硕士研究生学位论文 1 客户端的招呼 3 客户机的响应 发出加密算法和密钥长度 2 服务器的招呼 发出含服务器公开密钥的服务器证书 发出客户机证书和加密的私有会话密钥 发出加密算法和密钥长度 4 服务器的响应 图1 3 电子商务安全措施网络图 f i g 1 3t h e n e t w o r ko f e - c o m m c r c es e c u r i t yp l a nd i a g r a m 1 3 - 皇至堕墨銮墨! 鱼室全堡墨塑丛量婴 2 电子商务交易平台的安全性需求分析 2 1 电子商务交易平台分析 如图2 1 是电子商务交易平台的架构图。 浏览罂 移矽设鲁w 。b 服务 。”客户埔 其它笋户螭 一 乒一- 一毒旁喜旁一手争一每e 一 图2 1 电子商务交易平台架构图 f i g 2 1t h ee 吧吣m e r c ep l a t f o r ms l n 由i r ed i a g r a m 1 4 瞪慷门户系统管理 幕统维护管理 平古服务瞥理 安全生产管理 眄络安全臂理 大连理工大学硕士研究生学位论文 图中，可以清楚地看到，电子交易平台具有多平台、分布式计算、信息资源的集中 管理、安全以及操作使用简单等多方面的特性，其主要的特点就是安全性高。多层体系 结构中只允许通过应用服务器访问后台数据，客户机无法直接访问到数据库，这样大大 的提高了系统的安全性。同时。多层体系结构客观上增加了从客户机攻击的难度，减缓 了攻击速度，为安全防范提供了宝贵的时间。 本电子商务交易平台是面向企业( 葛洲坝) 和特定供应商的一个电子交易平台。本 电子商务交易平台分成两个部分，一个部分是企业内部电子平台，另一个部分为企业对 外的交易平台。两个平台相互联系，相互支持，配合企业的管理信息系统，以使得信息 的有效传递，从而达到整合供应链的目的【1 8 】。 企业对外电子商务平台主要包括四大模块：供应商信息模块、企业需求信息模块、 采购管理信息模块和竞价系统。 供应商信息模块包括以下内容：供应商库存信息、供应商产品目录、产品检索、供 应商订单系统。 供应商库存信息可以按照不同的供应商来分类库存信息，也可以按照产品类别来分 类供应商库存信息，从而方便企业查询供应商的现有商品。 供应商产品目录可以按照不同的供应商来分别建立产品目录，亦可按照产品类别来 分类目录，同时，提供比较不同供应商的相同的产品的功能( 比较价格、性能等) ，方 便企业检索所需的物资设备。 供应商订单系统是面向供应商的订单管理系统，登陆此平台的供应商可以查看自己 的订单信息( 包括订单数量、物资设备采购数量、交货时间、交货方式等) 。在此系统 中，供应商可以被授权查看企业项目的具体实施进度情况( 这里需要提供与企业管理信 息系统的接口) ，以此来确定相关的设备物资的较为确切的需求时间，设计和调整自己 的生产计划，这样不仅可以做到即时生产，而且也可以避免提前交货或延迟交货带来的 不必要的损失i l 卅。 企业需求信息模块主要包括以下的内容：企业近期项目介绍、预建在建项目物资设 备需求信息、项目进度计划。 企业近期项目介绍主要介绍企业即将，在建的水利水电项目的简要状况，使供应商可 以比较全面的把握物资设备的使用概况。 预建在建项目物资设备需求信息；企业可以将结合内部的承建项目情况，通过管理 信息系统、决策支持系统对物资设备使用的分析结果确定出的物资设备需求采购信息发 布于此，供供应商浏览。 电子商务交易平台安全体系的设计与实现 项目进度计划：这里提供的项目进度计划有别于在供应商信息模块中的项目进度计 划。这里仅提供较为粗略的进度计划，旨在提供大致的时间进度信息，供应商结合自己 的生产经营状况衡量是否有能力按照进度计划提供物资设备。 采购管理模块主要包括采购申请、采购审批、招标管理。 采购申请：接受各项目提出的采购申请。 采购审批：根据预设的审批规则自动审核并批准所接收到的申请，直接向企业内部 的仓库管理信息系统检查库存，如库存已有，则立即通知申请者领用，如库存没有，则 通知申请者申请已批准，正在采购中。对于审批未获通过的申请，立即通知未获批准的 原因。 招标管理：企业综合各个项目的采购申请设计招标书、发布招标公告，并建立评标 小组和预设的评价指标体系( 其中包括供应商的信用评价等级) 组织评标，公布结果后， 签订采购合同。 竞价系统主要用于对少量物资的采购。企业将采购集成信息发布到竟价平台，在某 一规定的时间内，供应商可以参与竞价，根据竞价标准最终确定选择供应商。 企业内部电子平台主要完成以下功能：运输与配送管理、仓储与物料管理、装卸搬 运管理、物流信息管理、供应商管理。 运输与配送管理主要包括运输优化管理、运输过程管理、物资设备定位跟踪。 运输优化管理主要包括车辆管理、运输方案设计等。利用m c a ( m u l t i - c h a n n e l a c c e s s ) 无线系统对车辆运行进行管理。通过无线信号发出接收控制和 通过合理的优化技术手段，对车辆进行高效的调度，以防止车辆空载、提高运输工具的 实载率，结合旋工场所的特殊场地状况，设计最有效的运输方案。 运输过程管理主要是针对物资采购后由第三方物流承担的运输的管理，使所采购的 物资设备能在准确的时间运送到准确的地点【2 0 1 。 利用g i s 、g p s 的物资设备定位跟踪实现对在库在途的物资设备的定位跟踪，以实 时掌握物资设备信息。 仓储与物料管理主要完成仓储选址决策、仓储作业管理和物料管理。 仓储选址决策主要是利用优化技术，结合运输距离、道路状况等条件，在前方项目 点选择最优的仓库地点。 仓储作业管理包括入库