毕业设计（论文）-电子商务的风险及其安全管理技术.doc

分 类 号：TP3学校代码：11460学 号：08413113南京晓庄学院本科生毕业论文 电子商务的风险及其安全管理技术The Risk of E-commerce and Security Management Technology 所在院（系）：数学与信息技术学院 学 生 姓 名： 指 导 老 师： 研究起止日期：二一一年十一月至二一二年五月二一二年五月学位论文独创性声明本人郑重声明：1.坚持以“求实、创新”的科学精神从事研究工作。2.本论文是我个人在导师指导下进行的研究工作和取得的研究成果。3.本论文中除引文外，所有实验、数据和有关材料均是真实的。4.本论文中除引文和致谢的内容外，不包含其他人或其它机构已经发表或撰写过的研究成果。5.其他同志对本研究所做的贡献均已在论文中作了声明并表示了谢意。 作者签名： 日 期：摘 要电子商务不仅给企业带来新的机遇，同样也带来了新的风险。本文将主要分析三种类型的电子商务的风险：商业风险，技术风险和法律风险。企业只有在充分了解了电子商务风险，才能更好的安全管理。在新千年初，许多商务网站就受到了黑客们不同层次的攻击，这些网站包括eBay，eTrade，Yahoo等著名的公司。不断出现的梅莉莎爱虫等病毒的疯狂肆虐使得全球成千上万台电脑瘫痪，严重地影响了企业的业务运作，直接导致几十亿美元的损伤。电子商务的风险很大。电子商务业务运作模式的开放性和全球化使得安全的含义更为广泛，安全性方面的管理要求更高，所受到重视的程度更高。电子商务系统硬件安全、电子商务系统软件安全、电子商务系统运行安全、信息的保密性、交易文件的完整性、信息的不可否认性、交易者身份的真实性、加密、解密、通用密钥密码体制、公开密钥密码体制、数字摘要、数字证书、认证中心、SSL协议、SET 协议等安全管理。关键词：电子商务；风险；安全管理Abstract E-commerce is not only to bring new business opportunities, and also brought new risks. This article focuses on the analysis of three types of e-commerce risk: business risk, technology risk and legal risk. Only through full understanding of the risks of electronic commerce, in order to better security management. Of the new millennium, many business websites by hackers different levels of attack, these sites, including eBay, the eTrade, Yahoo, and other famous companies. The madness of the emerging Melissa, Love Bug virus raging makes the paralysis of the tens of thousands of computers around the world, has seriously affected the operations of the enterprise, a direct result of billions of dollars in damage. The risk of e-commerce. Openness and globalization of e-commerce business mode of operation makes the meaning of security more widely, and security management requirements, subject to a higher degree of attention. Hardware security of e-commerce systems, e-commerce systems software security, the safe operation of e-commerce systems, the confidentiality of information, the authenticity of the integrity of the transaction documents, information non-repudiation, and the identity of traders, encryption, decryption, the common key cryptography system, public key cryptography, digital summary, digital certificates, certification centers, the SSL protocol, the SET protocol and security management.Key word: E-commerce ；risks；security management.目 录 第1章 绪 论11.1研究的背景11.2.研究的目的及意义11.3本文主要工作1第2章 相关介绍32.1电子商务32.2安全管理5第3章 电子商务的风险73.1 风险投资人眼中的电子商务73.2 电子商务的三种风险83.2.1商业风险83.2.2技术风险103.2.3法律风险11第4章 电子商务安全管理技术124.1 电子商务系统安全124.2 电子商务的安全要素134.3 数字信封144.4 消息摘要144.5 数字签名154.6 数字时间戳154.7 数字证书164.8 ca认证中心174.9 防火墙17第5章 电子商务安全协议195.1 安全的超文本传输协议195.2 SSL安全协议195.3 SET安全技术205.4 SET与SSL比较21第6章 支付宝案例分析226.1 项目背景226.2 解决方案226.3 安全登陆问题236.4 电子签名证据保全服务功能23第7章 商业银行电子商务安全风险管理247.1 电子商务在商业银行中的应用247.2 商业银行电子商务安全风险管理策略存在的问题247.3商业银行的电子商务安全风险管理的完善25总 结26参考文献27致 谢28南京晓庄学院2012届本科毕业论文第1章 绪 论1.1研究的背景随着开放的互联网络系统Internet的飞速发展，电子商务的应用和推广极大了改变了人们工作和生活方式，带来了无限的商机。如：随着移动用户的迅速增加，以及移动通信技术在信息化领域的应用向纵深发展，我国移动电子商务发展开始步入快车道。据CNNIC发布的第26次中国互联网络发展状况统计报告显示，我国手机网民规模达2.77亿，半年新增手机网民4334万，增幅为18.6%。但是同时，电子商务的发展还面临着严峻的内部风险，电子商务企业内部对安全问题的盲目和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。1.2研究的目的及意义目的：本题文在通过对电子商务存在的优越性与不足进行分析，由此来对现实生活中的电子商务的风险提出一些意见和建议，保证其安全管理技术得以实施。意义：电子商务是利用电子手段进行各种商务活动。目前发达国家的电子商务已逐步涉及到各个领域，我国电子商务还处于起步阶段。从趋势看，我国电子商务必须向纵深化、专业化、国际化、区域化发展。电子商务是一门发展非常迅速的新学科，至今没有一个严密的定义。电子商务将传统的商务流程电子化、数字化，一方面以电子流代替了实物流，可以大量减少人力、物力，降低了成本；另一方面突破了时间和空间的限制，使得交易活动可以在任何时间、任何地点进行，从而大大提高了效率。电子商务一方面破除了时空的壁垒，另一方面又提供了丰富的信息资源，为各种社会经济要素的重新组合提供了更多的可能，这将影响到社会的经济布局。1.3本文主要工作商业需要开放、分享、平等、互惠、共生等理念，电子商务可以成为真正实现这一理念的理想平台。通过分析电子商务的风险，提出一些安全管理技术。本文主要针对电子商务的特点，对其存在的问题进行分析，并结合了现实生活中的实例等以此来表述安全管理技术的必要性，主要工作如下：1. 阅读并分析了大量相关资料和文献，并了解电子商务的特点以及开通电子商务的意义。2. 研究和分析了当前电子商务的广泛应用，并对其安全管理技术进行了解。3. 描述了电子商务的未来发展前景。第2章 相关介绍2.1电子商务 1电子商务的概念电子商务通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。电子商务（Electronic Commerce）的定义：电子商务是利用计算机技术、网络技术和远程通信技术，实现电子化、数字化和网络化的整个商务过程。 2电子商务的业务范畴协助政府部门推动电子商务的发展；进行与电子商务相关业务的调查和研究，为政府部门制定相关法律法规和政策提供参考建议；开展电子商务国际交流与合作，组织推广国际、国内电子商务技术及应用成果，举办国际、国内技术交流活动及项目洽谈会；开发信息资源，编辑出版电子商务书刊及声像资料；为会员提供相关法律与法规指导；开展信息化人才及电子商务培训；组织专家在电子商务及其相关领域开展咨询服务；完成业务主管单位和政府部门授权委托及会员单位委托的工作事项。电子商务涵盖的主要概括为：商务信息交换、售前售后服务（提供产品和服务的细节、产品使用技术指南、回答顾客意见）、广告、销售、电子支付(电子资金转帐、信用卡、电子支票、电子现金)、运输(包括有形商品的发送管理和运输跟踪，以及可以电子化传送产品的实际发送）、组建虚拟企业等。 3电子商务的优越性 电子商务是在传统商务的基础上发展起来的，由于有了信息技术的支撑，电子商务活动的方式呈现出一些新的特点。1）.贸易全球化时间和空间的限制是人们从事社会经济活动的主要障碍，也是构成企业经营成本的重要因素，Internet打破了时空界限，把全球市场联接成为了一个整体，使全球扩张不再是大型跨国公司的专利，小企业一样可以在网络上公平竞争，打入国际市场。在网上任何一个企业都可以面向全世界销售自己的产品，可以在全世界寻找合作伙伴，同时也要面对来自世界各地的竞争对手。即使你身处荒山僻壤，一台便携式电脑加一部全球通手机就可以与世界各地的客户建立联系，收集订单，采购货物，通过网络银行收付货款。2）.交易电子化交易双方从搜集信息、贸易洽谈、签订合同、货款支付到电子报关，无需当面接触，均可以通过网络运用电子化手段进行。电子商务融合了Internet能达到的广阔领域和信息技术系统的巨大资源，采用动态和交互式信息传输手段，如企业内联网、Internet，利用网络节点将客户、卖主、供应商和雇员以一种前所未有的规模联系起来，简言之，电子商务把有价值的信息和需要这些信息的人高效率地联系起来，形成了巨大的价值增值链和增值网。3）.交易透明化通过Internet，买方可以对众多的企业产品进行比较，这使得买方的购买行为更加理性，对产品选择余地也更大。譬如网上招标就可以充分体现“公开、公平、竞争、效益”的原则，避免招投标过程中的暗箱操作现象，使不正当交易、贿赂投标等腐败现象得以制止。又如实行电子报关与银行的联网有助于杜绝进出口贸易的假出口、偷漏税和骗退税等行为。4）.部门协作化电子商务需要企业内部各部门、生产商、批发商、零售商、银行、配送中心、通信部门、技术服务等多个部门的通力协作，使得企业间的合作完全可以如同企业内部各部门间的合作一样紧密，由过去的“大而全”变为现在的“精而强”，企业可以集中自己的核心业务，把自己不具备竞争优势的业务外包出去，通过协作来提高竞争力。5）.运作高效化由于实现了电子数据交换的标准化，使商业报文能在瞬间完成传递与计算机自动处理，电子商务克服了传统贸易方式费用高、易出错、处理速度慢等缺点，极大的缩短了交易时间，提高了商务活动的工作效率。6）.操作方便化在电子商务环境中，由于不在受时空的限制，客户能以快捷方便的方式完成过去繁杂的商务活动。如：查询订购的产品、通过网上银行划拨资金、借助即时通讯软件进行贸易洽谈、传输文件、在线投保、电子合同、网上炒股、远程医疗等。7）.服务个性化电子商务阶段，企业可以把市场分得更细，针对特定的市场或者根据用户不同的需要去生产不同的产品，为消费者提供个性化服务。如海尔推出的“我的冰箱我设计”、“你来设计，我为你制造”B2B式的个性化服务。总体来说，电子商务的特点可以概括为：更广阔的环境：人们不受时间的限制，不受空间的限制，不受传统购物的诸多限制，可以随时随地在网上交易。 更广阔的市场：在网上，这个世界将会变得很小，一个商家可以面对全球的消费者，而一个消费者可以在全球的任何一家商家购物。 更快速的流通和更低廉的价格：电子商务减少了商品流通的中间环节，节省了大量的开支，从而也大大降低了商品流通和交易的成本。 更符合时代的要求：如今人们越来越追求时尚、讲究个性，注重购物的环境，网上购物，更能体现个性化的购物过程。 4电子商务运作中的伦理障碍在网络这一新兴媒体中，发布信息不象在传统媒体上会受到那么多的制约。而且由于网络的虚拟特点，一般消费者即使在觉察到信息的错误以后,也很难向发布信息的企业进行追究,甚至根本就不知道网络企业的地址。因此一些网络企业便表现得肆无忌惮,在网上发表各种各样的信息，或者制造出各种各样的新闻，来吸引消费者或者创造所谓的点击率,以扩大自己的商业影响，谋求经济效益。2.2安全管理电子商务业务运作模式的开放性和全球化使得安全的含义更为广泛，安全性方面的管理要求更高，所受到重视的程度更高。而企业比以往任何时候都更需要知道其合作伙伴的真实身份。客户需要保证其保密信息不会被暴露。Internet技术的开放性虽然有很大好处，但也使恶人常常有机可乘，从而比以往更有可能暴露有价值的企业信息、关键性的商业应用以及公司客户的各类私人保密信息。恶意的袭击会侵入电子商务站点，进行各种可能的破坏，如制造和传播破坏性病毒或让网站拒绝服务。这些攻击可引起服务崩溃，保密信息暴露，从而最终导致公众信心的丧失以至电子商务实施的瓦解。 1商品品质的问题我国目前还处于传统计划经济向市场经济的转型时期。这种转型，不仅仅是一种经济体制的变化，更是一种文化的转型。由于法制法规的不健全，与市场经济相配套的法律还很不完善。不少企业不讲信誉，制造假冒伪劣产品，以谋取暴利。这使消费者在进行购买时，对商店和商品产生不信任。许多消费者直接去商店买物品，也往往会买到假货，造成很多纠纷。电子商务由于其虚拟的特点，这一问题就更为严重。虽然,足不出户，轻点鼠标，便可通过计算机屏幕浏览网上商店的各种商品，然后再输入自己的家庭地址和数量等资料，便会有人将选定的商品送上门。但由于交易过程的虚拟化，消费者事前无法看到商品的实样和不能够当面交易，其暴露出来的问题却日益严重。这一因素严重制约了电子商务的开展。 2信用与支付手段的问题利用电子商务进行交易必然会涉及到信用与支付问题。由于电子商务的“无纸化”和“无址化”，对参加交易的各方提出了更高的信用要求。处于转型期的中国社会，传统的“义理社会”价值体系的约束作用正在日趋削弱，而基于法制基础之上的“契约社会”还远未形成。目前国内虽然现在有一些银行开始进行在线支付和开办网上银行业务等方面的试点工作，但是在中国信用制度还很不完善的情况下，单靠银行的力量也很难解决这一问题。而且，由于人与人间的信任度较差，很少有人愿意贸然通过网络的形式把自己的信用卡帐号等个人资料告诉企业，因为稍不留神就会发生想象不到的严重问题。现在大多数从事电子商务的企业，都选择了货到付款这样一种较可靠的方式，以解决在货款的支付中双方互不信任的问题。但是，电子商务活动进行的最终目的，就是为了进行快捷、方便、安全的交易，使资金使用和货物流向趋于合理。如果我们仍然沿用传统的交易方法，使用现款支付的方式来实行网上交易，必然会制约企业电子商务的运作规模，而且违背了电子商务活动的初衷。 3风险电子商务风险是由于网络交易的虚拟化和特殊性，交易双方无需见面而完成交易，虚拟环境下的交易主体的信用信息不能为对方了解所引发的风险。电子商务风险包括网络安全风险、网上支付风险、法律风险、质量控制与服务风险、配送风险等。第3章 电子商务的风险3.1 风险投资人眼中的电子商务获得风险资本支持是许多电子商务企业成长必需的条件。而要获得风险资本支持，一个电子商务企业在风险投资人眼中必须具有一定的投资价值。那么，什么样的电子商务企业具有较大的投资价值呢？或者说，风险投资人是如何评估一个电子商务企业的投资价值的呢？ 1风险投资项目的价值与项目评估在风险投资人眼中，风险投资项目的价值是由三个要素决定的：该项目要解决的问题的大小；该项目所提供的解决该问题的办法的优劣；该项目企业管理队伍的质量。首先，风险项目要解决的问题越大，在其它条件相等的情况下，该项目的投资价值就大。一般而言，以解决很大的问题为已任的风险项目会得到风险投资资本的钟爱。实际上，这是因为问题越大，对解决问题办法的需求就越大，市场的潜力就越大，企业增长的潜力也越大。 其次，在其它条件相等的情况下，一个较优的解决问题的办法会比一个较劣的办法具有更大的价值。再次，项目企业管理队伍的质量越高，在其它条件相等的情况下，该项目的投资价值就越大。这是因为一个好的项目，对一个较大的问题提供一种较优的解决办法的企业，其增长潜力固然很好，但要把潜力变成现实，需要高水平的管理。一支高质量的管理队伍，更有可能充分地把一个企业的增长办法变为增长的现实。 在具体决定是否投资于某一项目时，投资人要测算项目企业投资价值的具体数字。测算的最基本的方法是自由现金流量法，即预测项目企业在未来所能获取的以现金形式出现的利润并将其贴现，以此来估计项目企业的投资价值的大小。此外，还有以相对比率办法来预测企业投资价值的，即依据市价与利润之比，或市价与销售额之比来预测企业投资价值。在这个基础上考虑风险因素，权衡后决定是否投资和投资多少。 2电子商务企业的投资价值及项目评估电子商务企业作为风险项目，其投资价值的决定与其它风险项目在原则上是一致的，即由它所要解决的问题的大小、其解决方法的优劣与企业管理队伍的质量决定。自由现金流量法是把电子商务企业的投资价值与其未来的获利能力联系起来，这是立足于关于投资的最基本的原则立场。任何一项资产的投资价值都是由该资产的未来获利能力决定的。这种方法预测出来的投资价值较为牢靠。但使用这种方法需要技巧和经验，是一件比较复杂的事情。市价与销售额比率法使用起来更容易。对于通常在创立后几年内都不能赢利的电子商务企业来说，使用此法最为方便。其缺点是只看销售额，不考虑为了实现这些销售而付出的成本，因此不能准确反映电子商务企业的未来获利能力。另一个缺点是不能充分考虑到每一个企业的特殊情况，只是将其与“类似”企业作简单类比。市价与顾客人数之比则更为简陋。此法不考虑到各组不同顾客支出的差异，不考虑到为了吸收顾客而付出的成本，故很难对电子商务企业未来赢利能力有可靠的预测。而且，它也是将每一个电子商务企业的特殊情况排除在考虑范围之外，仅将其与“类似”企业作一个简单类比。3.2电子商务的三种风险电子商务不仅给企业带来新的机遇，同样也带来了新的风险。本文将主要分析三种类型的电子商务的风险：商业风险，技术风险和法律风险。企业只有在充分了解了电子商务风险，才能真正享受电子商务带来的成功。3.2.1 商业风险给企业带来新的商业风险的是IT技术在企业中的应用，许多企业为了扩展市场开拓新业务，投人了大量资金进行企业的电子化，当IT策略与商务策略整合的时候，计算机、互联网、内联网 、数据库等信息技术使企业商务必然形成全新的商业风险。这些新的商业风险归纳起来主要体现在以下几个方面。 1竞争环境风险首先，体现在企业与竞争对手相比。在电子商务方面应用的超前或滞后所带来的市场竞争风险。由于信息技术的不断进步和成本的大幅降低使电子商务的进入障碍非常容易打破，这就意味着并不是先入者先就一定先赢。纵观现在国内外各行业电子商务的领头羊们，他们并不一定是该行业电子商务的先行者。如果一个企业认为进行电子商务，只要一次投资就可以受益，那必然会被电子商务的不断更新所淘汰。其次，在电子商务时代，顾客需求更新速度加快和顾客忠诚度越来越难以保持，顾客流向竞争对手的风险随时存在。由于电子商务的进入门槛变得越来越低，作为企业的竞争对手同样很容易进入电子商务领域，如果他们在电子商务客户服务方面做得出色，顾客很容易流向竞争对手。对于这一点企业需要在增加顾客吸引力上不断创新，才能有效降低风险。第三，体现在先进的电子商务技术手段是否符合顾客及市场环境现实的需求。换句话说，就是过于超前的技术并不能给企业带来竞争的优势，反而会给企业的投资带来不必要的浪费。 2企业流程再造风险电子商务是一种基于网络的商务活动过程。企业在采用电子商务模式或进行e化的进程中，势必对组织内部以及组织之间的商务流程进行重新的设计和建立，以达到资源及时准确地共享的目的，从而降低成本，提高效率和质量。可以这样认为，电子商务流程再造是企业实施电子商务成功的关键因素之一。迅速变化的市场要求企业快速转型，然而企业内部流程以及外部合作流程的改进并非一言而就，这就势必给企业电子商务化的流程改进带来更大的风险，有研究显示企业流程的改进很少能够完全成功，而许多都是一败涂地。因此对于企业e化的过程中，无论是企业的决策者还是企业员工都应对企业流程再造风险有相当的认识。企业无论作为采购者上网还是作为供应者上网，必须根据电子商务商业运作规律本身的要求来重组内部的流程体系，改变自己内部的管理标准。 3消费者高期望的风险由于电子商务最大优势之一就是便捷，所以电子商务作为一个新兴的市场营销渠道，消费者对它有较高的期望。比如说消费者进行电子邮件咨询或网上咨询，他们希望得到的服务像电话服务一样迅速准确，而不是得到一封封标准的自动回复邮件。而我们现实的电子商务，在这方面做的却往往不尽人意。据北美一家电子商务商业杂志对北美前60名的网上商店的调查显示，18%的电子邮件咨询没有得到答复，72%的售后服务不尽人意，25%的交货延迟。正是由于消费者较高的期望与实际的落差，给从事电子商务的企业带来了新的风险，企业很容易因为无法满足客户实时的需求从而最终失去客户。 4企业合作风险在电子商务时代，企业为了降低成本，加速资金周转采用广泛的跨地区的国内、国际合作。这样从事电子商务的企业就需要将部分商务流程扩展到合作伙伴，而且这些流程要求企业间共同运作和控制;比如:汽车制造业的全球广泛合作。同时企业电子商务的部分业务，例如：网站服务器的托管租用、物流等可能需要外包，这些都将导致企业对合作伙伴和其他企业依赖的风险。谨慎选择合作伙伴和外包业务承揽商可以降低部分风险。但企业间不同的运行机制和文化将增加整个电子商务运作的风险。对其他企业依赖性风险还表现在企业独立决策和解决问题能力的降低。对这些风险的管理除了要求企业间有很好的合作机制彼此信任，企业还必须保持对整个电子商务合作一定的决策和控制能力，对合作伙伴要有适当的评价和监测手段，商业利益分配也应尽可能合理。3.2.2 技术风险 1信息技术基础设施风险信息技术基础设施风险主要是指不完善的基础设施对信息处理造成的危害。比如: 计算机硬件较易产生故障。一般来讲典型的基础设施风险包括:(1)IT设施物理安全风险，设施容易被盗或非法使用造成的风险;(2)高温、水、火等对设备造成损害的风险;(3)不当的应急措施产生的风险;(4)不充足的备份程序产生的风险;(5)不当的密码造成的风险。 2技术应用风险信息技术应用风险主要是指软件技术的应用给电子商务造成的风险，这类风险一般来自下面几个方面：(1)程序运行中的缺陷和错误。(2)非法操作带来的程序运行变化。(3)不完善的程序设计。(4)不完善的软件安全措施。 3信息技术商业运作风险信息技术商业运作风险主要是指在处理商业信息的过程中造成的风险，比如:信息传递的遗漏，信息在不同商业过程中的不统一等造成的危害。在电子商务环境中，典型的此类风险包括；(1)从电子商务系统流向其他企业管理信息系统的信息不完整或不准确。(2)安全措施只对一定的子系统有效，这样就会造成在其他商业过程中信息的泄漏的可能。(3)不适当的访问控制使其他信息系统很难或者根本无法介人电子商务运作过程。(4)备份措施只对电子商务系统有效，这样只完成了部分商业运作数据的备份。(5)电子商务系统难以和上下有的其他信息系统配套。3.2.3 法律风险 1电子商务交易法律风险由于电子商务是在虚拟的网络空间进行，电子商务交易可以看作是无纸贸易，这样就容易引发种种新的法律问题，如电子合同、电子签名、电子商务认证、电子数据证据、网上交易与支付、网上知识产权、电子商务管辖权及在线争议解决等。而规范这些数字交易的法律体制尚不成熟，这就使得某些合同、签名和承诺的合法性难以保证，这就给企业带来了新的风险。 2隐私风险电子商务时代，消费者的隐私受到前所未有的威胁。由于网络可以联接到世界各地乃至每一个家庭，各种信息将呈开放或者无序状态，并且直接涉及并威胁到每个家庭和个人的信息(隐私)。如何有效制止利用传输信息的信息网络，公开或者侵犯他人的隐私等，将是电子商务面临的重要法律问题之一。所以企业实施电子商务时，一定要采取具体有效措施防止对第三方合法权利造成损害，否则，因此而被卷人各种侵权诉讼时，不但企业运作的电子商务模式或者项目可能会被迫夭折，更有可能对企业的商誉、经济利益造成毁灭性的打击。 3知识产权风险在电子商务时代知识产权风险主要表现为电子商务年代信息的新特性与知识产权具有的特性的强烈冲突。比如:知识产权最突出的特点之一就是它的“专有性”;而网络上应受到知识产权保护的信息则是公开的、公用的，也很难受到权利人的控制。“地域性，是知识产权的又一特点，而网络传输的特点则是“无国界性”。正是因为如此，电子商务活动涉及的知识产权风险就应引起企业的重视。一般来讲作为电子商务活动涉及的知识产权问题包括：诸如域名、网页上各种各样的文章、图像、多媒体、数据库、软件及莱单设计等元素都会牵涉到专利权、商标权、版权、著作权等知识产权问题，造成多种权利互相重盈和冲突。因此，保护知识产权与发展电子商务有着密切的联系。第4章 电子商务安全管理技术据最新统计，目前我国95的与因特网相联的网络管理中心都遭到过黑客的攻击或侵入，受害涉及的覆盖面越来越大、程度越来越深。据国际互联网保安公司Symantec2002年的报告指出，中国已经成为全球黑客的第三大来源地，竟然有69的攻击国际互联网活动都是由中国发出的。另从国家计算机病毒应急处理中心日常监测结果来看，计算机病毒呈现出异常活跃的态势。在2001年，我国有73的计算机曾感染病毒，到了2002年上升到近84，2003年上半年又增加到85。而微软的官方统计数据称2002年因网络安全问题给全球经济直接造成了130亿美元的损失。众所周知，安全才是网络的生存之本。没有安全保障的信息资产，就无法实现自身的价值。作为信息的载体，网络亦然。网络安全的危害性显而易见，而造成网络安全问题的原因各不相同。而企业比以往任何时候都更需要知道其合作伙伴的真实身份。客户需要保证其保密信息不会被暴露。电子商务的安全管理变的尤为重要。电子商务的安全管理主要分：电子商务系统安全、电子商务系统运行安全、信息的保密性、信息的完整性、信息的不可抵赖性、交易者身份的真实性、加密、解密、数字证书、认证中心、SSL协议、SET 协议等。4.1电子商务系统安全Internet存在的安全隐患给电子商务带来了如下安全威胁： 1信息泄露：表现为商业机密的泄露，主要包括交易双方进行交易的内容被第三方窃取；交易一方提供给另一方的文件被第三方非法使用。2信息篡改：表现为商业信息的真实性和完整性问题。信息在网络传输过程中，可能被他人非法修改、删除和重放（只能使用一次的信息被多次使用）。3信息假冒：一是伪造电子邮件，骗取订单，伪造用户发大量电子邮件，耗尽商家系统资源，使合法用户不能正常访问等。另一种是假冒他人身份，如冒充领导发布命令、调阅密件，冒充他人消费，冒充系统管理员，占用合法用户资源等。4交易抵赖：这主要涉及交易的信用问题。如发信者事后否认发送过某条信息；收信者事后否认曾收到过某条信息；购买者下了订单而不承认；商家确认订单后因价格上升而不承认等。5信息破坏：涉及两方面的内容，一是网络传输的可靠性。由于网络硬件和软件的故障导致信息传递的丢失与谬误。二是恶意破坏。是计算机网络受一些恶意程序的破坏而使电子商务信息损坏。如各种计算机病毒破坏。4.2电子商务的安全要素电子商务系统是一个计算机系统，其安全性是一个系统的概念，不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关。在电子商务的使用过程中，涉及以下六个方面有关安全的因素：1信息的保密性指信息在传输或存储过程中不被他人窃取。在利用网络进行的交易中，必须保证发送者和接收者之间交换的信息的保密性。电子商务作为一种贸易的手段，其信息直接代表着个人、企业或国家的商业机密；而电子商务系统是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防信息大量传输过程中被非法窃取，必须确保只有合法用户才能看到数据，防止信息被窃看。2信息的完整性由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异；此外，数据传输过程中的信息丢失、信息重复或信息传送顺序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略。3信息的有效性 电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉，交易的有效性在其价格、期限、数量作为协议的一部分时尤为重要。信息接收方可以证实所接收的数据是原发方发出的，而原发方也可以证实只有指定的接收方才能接收。 4信息的不可抵赖性 在无纸化的电子商务方式下，通过手写签名或印章进行贸易各方的鉴别已经不可能了。因此，要求在交易信息的传递过程中为参与交易的个人、企业或国家提供可靠的标识，使原发方在发送数据后不能抵赖、接收方在接收数据后也不能抵赖。5交易身份的真实性 指交易各方确实存在，不是假冒、虚拟的。 网上交易的各方相隔很远、互不了解，要使交易成功，必须互相信任、确认对方是真实的，对商家要考虑客户是不是骗子，对客户要考虑商店是不是黑店、是否有信誉。6系统的可靠性 电子商务系统是计算机系统，其可靠性是指：防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁，并加以控制和预防，确保系统安全可靠性。 4.3 数字信封1含义：“数字信封”(也称电子信封)技术，就是对称密钥和公开密钥的结合的技术，从而既有公开密钥技术的灵活性，又有对称密钥技术的高效性。数字信封技术在外层使用公开密钥加密技术，享受到公开密钥技术的灵活性，内层使用对称密钥匙加密，密钥长度通常较短，使得公开密钥加密的相对低效率被限制在最低限度内，实现优势互补。2具体操作方法：每当发信方需要发送信息时首先生成一个对称密钥，用这个对称密钥加密所需发送的报文；然后用收信方的公开密钥加密这个对称密钥，连同加密了的报文一同传输到收信方。收信方首先使用自己的私有密钥解密被加密的对称密钥，再用该对称密钥解密出真正的报文。4.4消息摘要 1消息摘要的概念消息摘要(message digest)方法即数字指纹，消息摘要方法解决信息的完整性问题。2消息摘要的特征(1)消息摘要是一个唯一对应一个消息的值。(2)它由单向Hash加密算法对一个消息作用而生成，有固定的长度(128bit)的密文。这一串密文也称为数字指纹。(3)所谓单向是指不能被解密。(4)不同的消息其摘要不同，相同消息其摘要相同。因此摘要成为消息的“指纹”，以验证消息是否是“真身”。4.5数字签名 1概念数字签名（Digital Signature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者，接收者只有用发送者的公钥才能解密被加密的摘要。数字签名与书面文件签名有相同之处，采用数字签名，能确认以下两点。(1)信息是由签名者发送的。(2)信息自签发后到收到为止未曾作过任何修改。2数字签名的作用(1)数字签名保证信息的完整性和不可否认性。(2)数字签名可用来防止电子信息因易被修改而有人作伪。(3)防止冒用别人名义发送信息。(4)防止发出(收到)信件后又加以否认等情况发生。数字签名主要目的是用来识别信息来源，本身不具备对信息加密的功能。3数字签名的功能：(1)接收者能够核实对报文的签名。(2)发送者事后不能抵赖对报文的签名。(3)接收者不能伪造对报文的签名。4.6数字时间戳1概念数字时间戳(Digital TimeStamp ) 就是用来证明消息的收发时间的，以防抵赖行为发生。它由专门的网络服务机构提供。用户首先将需要加时间戳的文件经加密后形成文档，然后将摘要发送到专门提供数字时间戳服务（Digital TimeStamp Service ，DTSS）的权威机构，该机构对原摘要加上时间后，进行数字签名，用私钥加密，并发送给原用户。2数字时间戳的作用书面签署文件的时间是由签署人自己写上的，而数字时间戳是由DTSS认证单位来加的，并以收到文件的时间为依据。(1)对已加盖时间戳的文件不可能做丝毫改动（即使仅1 bit）。(2)要想对某个文件加盖与当前日期和时间不同的时间戳是不可能的。3时间戳的组成时间戳是一个经过加密而形成的凭证文档，由三部分组成：(1)需要加载时间戳的文件摘要。(2)认证服务机构收到文件的日期和时间。(3)认证服务机构的数字签名。4.7数字证书1概念也叫数字凭证，是网络通讯中标志通讯各方身份信息的一系列数据，提供一种在Internet上验证身份的方式。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。2数字证书的三种类型(1)个人（客户）证书：又称浏览器证书，是指由CA认证中心颁发的、安装在客户浏览器端使用的个人或企业证书。(2)企业（服务器）数字证书：是CA认证中心颁发的、安装在服务器上用以证明服务器身份的证书。它通常为网上的某个Web服务器提供数字证书。(3)软件（开发者）数字证书：它通常为因特网中被下载的软件提供数字证书。3数字证书原理简介数字证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。4数字证书正确使用以建行网上银行系统为例，下载客户证书及CA认证书的过程即是将这些证书安装到浏览器的过程，浏览器会引导完成安装过程。在用户进入建行网上银行交易之前，浏览器与服务器之间建立SSL安全通道时，会自动使用双方的证书，所以，在进入交易之前，应保证您的客户证书及CA根证书已经安装在您的浏览器中。客户证书及私钥是在Internet网上进行安全交易的基础，应保持私钥的秘密性。在完成证书下载后，建议立即备份客户证书及私钥。5数字证书的申请、颁发个人数字证书可以用来发送签名或加密的电子邮件。个人数字证书分为二个级别：第一级数字证书，仅仅提供电子邮件的认证，不对个人的真实姓名等信息认证；第二级个人数字证书提供对个人姓名、身份等信息的认证。当个人数字证书申请后，认证中心对申请者的电子邮件地址、个人身份及信用卡号等信息进行核实，通常在三五天内即可颁发数字证书。1概念认证中心，又称为证书授证(Certificate Authority)中心，是一个负责发放和管理数字证书的权威机构。2认证的安全功能(1)可信性。信息的来源是可信的。(2)完整性。信息在传输过程中保证其完整性。(3)不可否认性。信息的发送方不能否认自己所发出的信息。(4)访问控制。拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。4.9防火墙1概念是指一个由软件或和硬件设备组合而成，是加强因特网与内部网之间安全防范的一个或一组系统。它具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。它可以确定哪些内部服务允许外部访问，哪些外部服务可由内部人员访问，即它能控制网络内外的信息交流，提供接入控制和审查跟踪，是一种访问控制机制。2防火墙的安全策略(1)没有被列为允许访问的服务都是被禁止的：这意味着需要确定所有可以被提供的服务以及他们的安全特性，开放这些服务，并将所有其他末列入的服务排斥在外，禁止访问。(2)没有被列为禁止访问的服务都是被允许的：这意味着首先确定那些被禁止的、不安全的服务，以禁止他们被访问，而其他服务则被认为是安全的，允许访问。3防火墙系统的功能(1)保护易受攻击的服务。(2)控制对特殊站点的访问。(3)集中化的安全管理。(4)集成了入侵检测功能，提供了监视互联网安全和预警的方便端点。(5)对网络访问进行日志记录和统计。4防火墙的不足之处： (1)不能防范恶意的知情者。(2)不能防范不通过它的连接（绕过防火墙）或者来自内部的攻击。(3)不能防备所有威胁，防火墙只能用来防备已知的威胁。(4)不能防范病毒。不能防止感染了病毒的软件或文件的传输，但可以通过设置防范一些已知的木马程序。第5章 电子商务安全协议5.1安全的超文本传输协议S-HTTP是对HTTP扩充安全特性、增加了报文的安全性，它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别性、不可抵赖性及机密性等安全措施。安全HTTP（S-HTTP）是HTTP的扩展，它提供了多种安全功能，包括客户机与服务器认证、加密、请求/响应的不可否认等。S-HTTP用密钥对来加密，以保证WEB站点间的交换信息传输的安全性。如果主页的URL为HTTPS:/开始，说明该页遵循安全超文本传输协议。S-HTTP安全的细节设置是在客户机和服务器开始的握手会话中完成的。客户机和服务器都可指定某个安全功能为必需（Required）、可选（Option）还是拒绝（Refused）。当其中一方确定了某个安全特性为“必需”时，只有另一方（客户机或服务器）同意执行同样的安全功能时才能开始连接，否则就不能建立安全通讯。5.2 SSL安全协议1SSL的含义SSL安全协议最初是由网景公司设计开发的，又叫安全套接层(Secure Sockets Layer)协议，主要用于提高应用程序之间的数据安全系数，实现兼容浏览器和服务器（通常是WWW服务器）之间安全通信的协议。2SSL的工作原理SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号。在开始交换的信息中，双方确定将使用的安全级别并交换数字证书。每个计算机都要正确识别对方。SSL支持的客户机和服务器间的所有通讯都加密了，窃听者得到的是无法识别的信息。3SSL的安全技术(1)在建立连接的过程中采用公开密钥。(2)在会话过程中采用专用密钥。(3)每一次会话都要求服务器使用专用密钥的操作和一次使用客户机公开密钥的操作。4SSL安全协议的三个的特性(1)认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。(2)加密数据以隐藏被传送的数据, SSL对几乎所有的安全通讯都使用私有密钥加密。(3)维护数据的完整性，确保数据在传输过程中不被改变。5SSL安全协议的运行步骤(1)接通阶段，客户通过网络向服务器打招呼，服务器回应。(2)密码交换阶段，客户与服务器之间交换双方认可的密码。一般选用RSA密码算法。(3)会谈密码阶段，客户与服务器间产生彼此交谈的会谈密码。(4)检验阶段，检验服务器取得的密码。(5)客户认证阶段，验证客户的可信度。(6)结束阶段，客户与服务器之间相互交换结束的信息。6SSL的缺陷（1）SSL协议是根据邮购原理设计的。（2）客户首先寻找商品信息，然后汇款给商家，商家再把商品寄给客户。（3