本科毕业论文-电子商务的风险及其安全管理技术

分类号TP3学校代码11460学号08413113南京晓庄学院本科生毕业论文电子商务的风险及其安全管理技术THERISKOFECOMMERCEANDSECURITYMANAGEMENTTECHNOLOGY所在院（系）数学与信息技术学院学生姓名指导老师研究起止日期二一一年十一月至二一二年五月二一二年五月摘要电子商务不仅给企业带来新的机遇，同样也带来了新的风险。本文将主要分析三种类型的电子商务的风险商业风险，技术风险和法律风险。企业只有在充分了解了电子商务风险，才能更好的安全管理。在新千年初，许多商务网站就受到了黑客们不同层次的攻击，这些网站包括EBAY，ETRADE，YAHOO等著名的公司。不断出现的“梅莉莎“爱虫“等病毒的疯狂肆虐使得全球成千上万台电脑瘫痪，严重地影响了企业的业务运作，直接导致几十亿美元的损伤。电子商务的风险很大。电子商务业务运作模式的开放性和全球化使得安全的含义更为广泛，安全性方面的管理要求更高，所受到重视的程度更高。电子商务系统硬件安全、电子商务系统软件安全、电子商务系统运行安全、信息的保密性、交易文件的完整性、信息的不可否认性、交易者身份的真实性、加密、解密、通用密钥密码体制、公开密钥密码体制、数字摘要、数字证书、认证中心、SSL协议、SET协议等安全管理。关键词电子商务；风险；安全管理ABSTRACTECOMMERCEISNOTONLYTOBRINGNEWBUSINESSOPPORTUNITIES,ANDALSOBROUGHTNEWRISKSTHISARTICLEFOCUSESONTHEANALYSISOFTHREETYPESOFECOMMERCERISKBUSINESSRISK,TECHNOLOGYRISKANDLEGALRISKONLYTHROUGHFULLUNDERSTANDINGOFTHERISKSOFELECTRONICCOMMERCE,INORDERTOBETTERSECURITYMANAGEMENTOFTHENEWMILLENNIUM,MANYBUSINESSWEBSITESBYHACKERSDIFFERENTLEVELSOFATTACK,THESESITES,INCLUDINGEBAY,THEETRADE,YAHOO,ANDOTHERFAMOUSCOMPANIESTHEMADNESSOFTHEEMERGING“MELISSA,“LOVEBUG“VIRUSRAGINGMAKESTHEPARALYSISOFTHETENSOFTHOUSANDSOFCOMPUTERSAROUNDTHEWORLD,HASSERIOUSLYAFFECTEDTHEOPERATIONSOFTHEENTERPRISE,ADIRECTRESULTOFBILLIONSOFDOLLARSINDAMAGETHERISKOFECOMMERCEOPENNESSANDGLOBALIZATIONOFECOMMERCEBUSINESSMODEOFOPERATIONMAKESTHEMEANINGOFSECURITYMOREWIDELY,ANDSECURITYMANAGEMENTREQUIREMENTS,SUBJECTTOAHIGHERDEGREEOFATTENTIONHARDWARESECURITYOFECOMMERCESYSTEMS,ECOMMERCESYSTEMSSOFTWARESECURITY,THESAFEOPERATIONOFECOMMERCESYSTEMS,THECONFIDENTIALITYOFINFORMATION,THEAUTHENTICITYOFTHEINTEGRITYOFTHETRANSACTIONDOCUMENTS,INFORMATIONNONREPUDIATION,ANDTHEIDENTITYOFTRADERS,ENCRYPTION,DECRYPTION,THECOMMONKEYCRYPTOGRAPHYSYSTEM,PUBLICKEYCRYPTOGRAPHY,DIGITALSUMMARY,DIGITALCERTIFICATES,CERTIFICATIONCENTERS,THESSLPROTOCOL,THESETPROTOCOLANDSECURITYMANAGEMENTKEYWORDECOMMERCE；RISKS；SECURITYMANAGEMENT目录第1章绪论111研究的背景112研究的目的及意义113本文主要工作1第2章相关介绍321电子商务322安全管理5第3章电子商务的风险731风险投资人眼中的电子商务732电子商务的三种风险8321商业风险8322技术风险10323法律风险11第4章电子商务安全管理技术1241电子商务系统安全1242电子商务的安全要素1343数字信封1444消息摘要1445数字签名1546数字时间戳1547数字证书1648CA认证中心1749防火墙17第5章电子商务安全协议1951安全的超文本传输协议1952SSL安全协议1953SET安全技术2054SET与SSL比较21第6章支付宝案例分析2261项目背景2262解决方案2263安全登陆问题2364电子签名证据保全服务功能23第7章商业银行电子商务安全风险管理2471电子商务在商业银行中的应用2472商业银行电子商务安全风险管理策略存在的问题2473商业银行的电子商务安全风险管理的完善25总结26参考文献27致谢28第1章绪论11研究的背景随着开放的互联网络系统INTERNET的飞速发展，电子商务的应用和推广极大了改变了人们工作和生活方式，带来了无限的商机。如随着移动用户的迅速增加，以及移动通信技术在信息化领域的应用向纵深发展，我国移动电子商务发展开始步入快车道。据CNNIC发布的第26次中国互联网络发展状况统计报告显示，我国手机网民规模达277亿，半年新增手机网民4334万，增幅为186。但是同时，电子商务的发展还面临着严峻的内部风险，电子商务企业内部对安全问题的盲目和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。12研究的目的及意义目的本题文在通过对电子商务存在的优越性与不足进行分析，由此来对现实生活中的电子商务的风险提出一些意见和建议，保证其安全管理技术得以实施。意义电子商务是利用电子手段进行各种商务活动。目前发达国家的电子商务已逐步涉及到各个领域，我国电子商务还处于起步阶段。从趋势看，我国电子商务必须向纵深化、专业化、国际化、区域化发展。“电子商务“是一门发展非常迅速的新学科，至今没有一个严密的定义。电子商务将传统的商务流程电子化、数字化，一方面以电子流代替了实物流，可以大量减少人力、物力，降低了成本；另一方面突破了时间和空间的限制，使得交易活动可以在任何时间、任何地点进行，从而大大提高了效率。电子商务一方面破除了时空的壁垒，另一方面又提供了丰富的信息资源，为各种社会经济要素的重新组合提供了更多的可能，这将影响到社会的经济布局。13本文主要工作商业需要开放、分享、平等、互惠、共生等理念，电子商务可以成为真正实现这一理念的理想平台。通过分析电子商务的风险，提出一些安全管理技术。本文主要针对电子商务的特点，对其存在的问题进行分析，并结合了现实生活中的实例等以此来表述安全管理技术的必要性，主要工作如下1阅读并分析了大量相关资料和文献，并了解电子商务的特点以及开通电子商务的意义。2研究和分析了当前电子商务的广泛应用，并对其安全管理技术进行了解。3描述了电子商务的未来发展前景。第2章相关介绍21电子商务1电子商务的概念电子商务通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。电子商务（ELECTRONICCOMMERCE）的定义电子商务是利用计算机技术、网络技术和远程通信技术，实现电子化、数字化和网络化的整个商务过程。2电子商务的业务范畴协助政府部门推动电子商务的发展；进行与电子商务相关业务的调查和研究，为政府部门制定相关法律法规和政策提供参考建议；开展电子商务国际交流与合作，组织推广国际、国内电子商务技术及应用成果，举办国际、国内技术交流活动及项目洽谈会；开发信息资源，编辑出版电子商务书刊及声像资料；为会员提供相关法律与法规指导；开展信息化人才及电子商务培训；组织专家在电子商务及其相关领域开展咨询服务；完成业务主管单位和政府部门授权委托及会员单位委托的工作事项。电子商务涵盖的主要概括为商务信息交换、售前售后服务（提供产品和服务的细节、产品使用技术指南、回答顾客意见）、广告、销售、电子支付电子资金转帐、信用卡、电子支票、电子现金、运输包括有形商品的发送管理和运输跟踪，以及可以电子化传送产品的实际发送）、组建虚拟企业等。3电子商务的优越性电子商务是在传统商务的基础上发展起来的，由于有了信息技术的支撑，电子商务活动的方式呈现出一些新的特点。1）贸易全球化时间和空间的限制是人们从事社会经济活动的主要障碍，也是构成企业经营成本的重要因素，INTERNET打破了时空界限，把全球市场联接成为了一个整体，使全球扩张不再是大型跨国公司的专利，小企业一样可以在网络上公平竞争，打入国际市场。在网上任何一个企业都可以面向全世界销售自己的产品，可以在全世界寻找合作伙伴，同时也要面对来自世界各地的竞争对手。即使你身处荒山僻壤，一台便携式电脑加一部全球通手机就可以与世界各地的客户建立联系，收集订单，采购货物，通过网络银行收付货款。2）交易电子化交易双方从搜集信息、贸易洽谈、签订合同、货款支付到电子报关，无需当面接触，均可以通过网络运用电子化手段进行。电子商务融合了INTERNET能达到的广阔领域和信息技术系统的巨大资源，采用动态和交互式信息传输手段，如企业内联网、INTERNET，利用网络节点将客户、卖主、供应商和雇员以一种前所未有的规模联系起来，简言之，电子商务把有价值的信息和需要这些信息的人高效率地联系起来，形成了巨大的价值增值链和增值网。3）交易透明化通过INTERNET，买方可以对众多的企业产品进行比较，这使得买方的购买行为更加理性，对产品选择余地也更大。譬如网上招标就可以充分体现“公开、公平、竞争、效益”的原则，避免招投标过程中的暗箱操作现象，使不正当交易、贿赂投标等腐败现象得以制止。又如实行电子报关与银行的联网有助于杜绝进出口贸易的假出口、偷漏税和骗退税等行为。4）部门协作化电子商务需要企业内部各部门、生产商、批发商、零售商、银行、配送中心、通信部门、技术服务等多个部门的通力协作，使得企业间的合作完全可以如同企业内部各部门间的合作一样紧密，由过去的“大而全”变为现在的“精而强”，企业可以集中自己的核心业务，把自己不具备竞争优势的业务外包出去，通过协作来提高竞争力。5）运作高效化由于实现了电子数据交换的标准化，使商业报文能在瞬间完成传递与计算机自动处理，电子商务克服了传统贸易方式费用高、易出错、处理速度慢等缺点，极大的缩短了交易时间，提高了商务活动的工作效率。6）操作方便化在电子商务环境中，由于不在受时空的限制，客户能以快捷方便的方式完成过去繁杂的商务活动。如查询订购的产品、通过网上银行划拨资金、借助即时通讯软件进行贸易洽谈、传输文件、在线投保、电子合同、网上炒股、远程医疗等。7）服务个性化电子商务阶段，企业可以把市场分得更细，针对特定的市场或者根据用户不同的需要去生产不同的产品，为消费者提供个性化服务。如海尔推出的“我的冰箱我设计”、“你来设计，我为你制造”B2B式的个性化服务。总体来说，电子商务的特点可以概括为更广阔的环境人们不受时间的限制，不受空间的限制，不受传统购物的诸多限制，可以随时随地在网上交易。更广阔的市场在网上，这个世界将会变得很小，一个商家可以面对全球的消费者，而一个消费者可以在全球的任何一家商家购物。更快速的流通和更低廉的价格电子商务减少了商品流通的中间环节，节省了大量的开支，从而也大大降低了商品流通和交易的成本。更符合时代的要求如今人们越来越追求时尚、讲究个性，注重购物的环境，网上购物，更能体现个性化的购物过程。4电子商务运作中的伦理障碍在网络这一新兴媒体中，发布信息不象在传统媒体上会受到那么多的制约。而且由于网络的虚拟特点，一般消费者即使在觉察到信息的错误以后,也很难向发布信息的企业进行追究,甚至根本就不知道网络企业的地址。因此一些网络企业便表现得肆无忌惮,在网上发表各种各样的信息，或者制造出各种各样的新闻，来吸引消费者或者创造所谓的点击率,以扩大自己的商业影响，谋求经济效益。22安全管理电子商务业务运作模式的开放性和全球化使得安全的含义更为广泛，安全性方面的管理要求更高，所受到重视的程度更高。而企业比以往任何时候都更需要知道其合作伙伴的真实身份。客户需要保证其保密信息不会被暴露。INTERNET技术的开放性虽然有很大好处，但也使恶人常常有机可乘，从而比以往更有可能暴露有价值的企业信息、关键性的商业应用以及公司客户的各类私人保密信息。恶意的袭击会侵入电子商务站点，进行各种可能的破坏，如制造和传播破坏性病毒或让网站拒绝服务。这些攻击可引起服务崩溃，保密信息暴露，从而最终导致公众信心的丧失以至电子商务实施的瓦解。1商品品质的问题我国目前还处于传统计划经济向市场经济的转型时期。这种转型，不仅仅是一种经济体制的变化，更是一种文化的转型。由于法制法规的不健全，与市场经济相配套的法律还很不完善。不少企业不讲信誉，制造假冒伪劣产品，以谋取暴利。这使消费者在进行购买时，对商店和商品产生不信任。许多消费者直接去商店买物品，也往往会买到假货，造成很多纠纷。电子商务由于其虚拟的特点，这一问题就更为严重。虽然,足不出户，轻点鼠标，便可通过计算机屏幕浏览网上商店的各种商品，然后再输入自己的家庭地址和数量等资料，便会有人将选定的商品送上门。但由于交易过程的虚拟化，消费者事前无法看到商品的实样和不能够当面交易，其暴露出来的问题却日益严重。这一因素严重制约了电子商务的开展。2信用与支付手段的问题利用电子商务进行交易必然会涉及到信用与支付问题。由于电子商务的“无纸化”和“无址化”，对参加交易的各方提出了更高的信用要求。处于转型期的中国社会，传统的“义理社会”价值体系的约束作用正在日趋削弱，而基于法制基础之上的“契约社会”还远未形成。目前国内虽然现在有一些银行开始进行在线支付和开办网上银行业务等方面的试点工作，但是在中国信用制度还很不完善的情况下，单靠银行的力量也很难解决这一问题。而且，由于人与人间的信任度较差，很少有人愿意贸然通过网络的形式把自己的信用卡帐号等个人资料告诉企业，因为稍不留神就会发生想象不到的严重问题。现在大多数从事电子商务的企业，都选择了货到付款这样一种较可靠的方式，以解决在货款的支付中双方互不信任的问题。但是，电子商务活动进行的最终目的，就是为了进行快捷、方便、安全的交易，使资金使用和货物流向趋于合理。如果我们仍然沿用传统的交易方法，使用现款支付的方式来实行网上交易，必然会制约企业电子商务的运作规模，而且违背了电子商务活动的初衷。3风险电子商务风险是由于网络交易的虚拟化和特殊性，交易双方无需见面而完成交易，虚拟环境下的交易主体的信用信息不能为对方了解所引发的风险。电子商务风险包括网络安全风险、网上支付风险、法律风险、质量控制与服务风险、配送风险等。第3章电子商务的风险31风险投资人眼中的电子商务获得风险资本支持是许多电子商务企业成长必需的条件。而要获得风险资本支持，一个电子商务企业在风险投资人眼中必须具有一定的投资价值。那么，什么样的电子商务企业具有较大的投资价值呢或者说，风险投资人是如何评估一个电子商务企业的投资价值的呢1风险投资项目的价值与项目评估在风险投资人眼中，风险投资项目的价值是由三个要素决定的该项目要解决的问题的大小；该项目所提供的解决该问题的办法的优劣；该项目企业管理队伍的质量。首先，风险项目要解决的问题越大，在其它条件相等的情况下，该项目的投资价值就大。一般而言，以解决很大的问题为已任的风险项目会得到风险投资资本的钟爱。实际上，这是因为问题越大，对解决问题办法的需求就越大，市场的潜力就越大，企业增长的潜力也越大。其次，在其它条件相等的情况下，一个较优的解决问题的办法会比一个较劣的办法具有更大的价值。再次，项目企业管理队伍的质量越高，在其它条件相等的情况下，该项目的投资价值就越大。这是因为一个好的项目，对一个较大的问题提供一种较优的解决办法的企业，其增长潜力固然很好，但要把潜力变成现实，需要高水平的管理。一支高质量的管理队伍，更有可能充分地把一个企业的增长办法变为增长的现实。在具体决定是否投资于某一项目时，投资人要测算项目企业投资价值的具体数字。测算的最基本的方法是自由现金流量法，即预测项目企业在未来所能获取的以现金形式出现的利润并将其贴现，以此来估计项目企业的投资价值的大小。此外，还有以相对比率办法来预测企业投资价值的，即依据市价与利润之比，或市价与销售额之比来预测企业投资价值。在这个基础上考虑风险因素，权衡后决定是否投资和投资多少。2电子商务企业的投资价值及项目评估电子商务企业作为风险项目，其投资价值的决定与其它风险项目在原则上是一致的，即由它所要解决的问题的大小、其解决方法的优劣与企业管理队伍的质量决定。自由现金流量法是把电子商务企业的投资价值与其未来的获利能力联系起来，这是立足于关于投资的最基本的原则立场。任何一项资产的投资价值都是由该资产的未来获利能力决定的。这种方法预测出来的投资价值较为牢靠。但使用这种方法需要技巧和经验，是一件比较复杂的事情。市价与销售额比率法使用起来更容易。对于通常在创立后几年内都不能赢利的电子商务企业来说，使用此法最为方便。其缺点是只看销售额，不考虑为了实现这些销售而付出的成本，因此不能准确反映电子商务企业的未来获利能力。另一个缺点是不能充分考虑到每一个企业的特殊情况，只是将其与“类似”企业作简单类比。市价与顾客人数之比则更为简陋。此法不考虑到各组不同顾客支出的差异，不考虑到为了吸收顾客而付出的成本，故很难对电子商务企业未来赢利能力有可靠的预测。而且，它也是将每一个电子商务企业的特殊情况排除在考虑范围之外，仅将其与“类似”企业作一个简单类比。32电子商务的三种风险电子商务不仅给企业带来新的机遇，同样也带来了新的风险。本文将主要分析三种类型的电子商务的风险商业风险，技术风险和法律风险。企业只有在充分了解了电子商务风险，才能真正享受电子商务带来的成功。321商业风险给企业带来新的商业风险的是IT技术在企业中的应用，许多企业为了扩展市场开拓新业务，投人了大量资金进行企业的电子化，当IT策略与商务策略整合的时候，计算机、互联网、内联网、数据库等信息技术使企业商务必然形成全新的商业风险。这些新的商业风险归纳起来主要体现在以下几个方面。1竞争环境风险首先，体现在企业与竞争对手相比。在电子商务方面应用的超前或滞后所带来的市场竞争风险。由于信息技术的不断进步和成本的大幅降低使电子商务的进入障碍非常容易打破，这就意味着并不是先入者先就一定先赢。纵观现在国内外各行业电子商务的领头羊们，他们并不一定是该行业电子商务的先行者。如果一个企业认为进行电子商务，只要一次投资就可以受益，那必然会被电子商务的不断更新所淘汰。其次，在电子商务时代，顾客需求更新速度加快和顾客忠诚度越来越难以保持，顾客流向竞争对手的风险随时存在。由于电子商务的进入门槛变得越来越低，作为企业的竞争对手同样很容易进入电子商务领域，如果他们在电子商务客户服务方面做得出色，顾客很容易流向竞争对手。对于这一点企业需要在增加顾客吸引力上不断创新，才能有效降低风险。第三，体现在先进的电子商务技术手段是否符合顾客及市场环境现实的需求。换句话说，就是过于超前的技术并不能给企业带来竞争的优势，反而会给企业的投资带来不必要的浪费。2企业流程再造风险电子商务是一种基于网络的商务活动过程。企业在采用电子商务模式或进行E化的进程中，势必对组织内部以及组织之间的商务流程进行重新的设计和建立，以达到资源及时准确地共享的目的，从而降低成本，提高效率和质量。可以这样认为，电子商务流程再造是企业实施电子商务成功的关键因素之一。迅速变化的市场要求企业快速转型，然而企业内部流程以及外部合作流程的改进并非一言而就，这就势必给企业电子商务化的流程改进带来更大的风险，有研究显示企业流程的改进很少能够完全成功，而许多都是一败涂地。因此对于企业E化的过程中，无论是企业的决策者还是企业员工都应对企业流程再造风险有相当的认识。企业无论作为采购者上网还是作为供应者上网，必须根据电子商务商业运作规律本身的要求来重组内部的流程体系，改变自己内部的管理标准。3消费者高期望的风险由于电子商务最大优势之一就是便捷，所以电子商务作为一个新兴的市场营销渠道，消费者对它有较高的期望。比如说消费者进行电子邮件咨询或网上咨询，他们希望得到的服务像电话服务一样迅速准确，而不是得到一封封标准的自动回复邮件。而我们现实的电子商务，在这方面做的却往往不尽人意。据北美一家电子商务商业杂志对北美前60名的网上商店的调查显示，18的电子邮件咨询没有得到答复，72的售后服务不尽人意，25的交货延迟。正是由于消费者较高的期望与实际的落差，给从事电子商务的企业带来了新的风险，企业很容易因为无法满足客户实时的需求从而最终失去客户。4企业合作风险在电子商务时代，企业为了降低成本，加速资金周转采用广泛的跨地区的国内、国际合作。这样从事电子商务的企业就需要将部分商务流程扩展到合作伙伴，而且这些流程要求企业间共同运作和控制比如汽车制造业的全球广泛合作。同时企业电子商务的部分业务，例如网站服务器的托管租用、物流等可能需要外包，这些都将导致企业对合作伙伴和其他企业依赖的风险。谨慎选择合作伙伴和外包业务承揽商可以降低部分风险。但企业间不同的运行机制和文化将增加整个电子商务运作的风险。对其他企业依赖性风险还表现在企业独立决策和解决问题能力的降低。对这些风险的管理除了要求企业间有很好的合作机制彼此信任，企业还必须保持对整个电子商务合作一定的决策和控制能力，对合作伙伴要有适当的评价和监测手段，商业利益分配也应尽可能合理。322技术风险1信息技术基础设施风险信息技术基础设施风险主要是指不完善的基础设施对信息处理造成的危害。比如计算机硬件较易产生故障。一般来讲典型的基础设施风险包括1IT设施物理安全风险，设施容易被盗或非法使用造成的风险2高温、水、火等对设备造成损害的风险3不当的应急措施产生的风险4不充足的备份程序产生的风险5不当的密码造成的风险。2技术应用风险信息技术应用风险主要是指软件技术的应用给电子商务造成的风险，这类风险一般来自下面几个方面1程序运行中的缺陷和错误。2非法操作带来的程序运行变化。3不完善的程序设计。4不完善的软件安全措施。3信息技术商业运作风险信息技术商业运作风险主要是指在处理商业信息的过程中造成的风险，比如信息传递的遗漏，信息在不同商业过程中的不统一等造成的危害。在电子商务环境中，典型的此类风险包括；1从电子商务系统流向其他企业管理信息系统的信息不完整或不准确。2安全措施只对一定的子系统有效，这样就会造成在其他商业过程中信息的泄漏的可能。3不适当的访问控制使其他信息系统很难或者根本无法介人电子商务运作过程。4备份措施只对电子商务系统有效，这样只完成了部分商业运作数据的备份。5电子商务系统难以和上下有的其他信息系统配套。323法律风险1电子商务交易法律风险由于电子商务是在虚拟的网络空间进行，电子商务交易可以看作是无纸贸易，这样就容易引发种种新的法律问题，如电子合同、电子签名、电子商务认证、电子数据证据、网上交易与支付、网上知识产权、电子商务管辖权及在线争议解决等。而规范这些数字交易的法律体制尚不成熟，这就使得某些合同、签名和承诺的合法性难以保证，这就给企业带来了新的风险。2隐私风险电子商务时代，消费者的隐私受到前所未有的威胁。由于网络可以联接到世界各地乃至每一个家庭，各种信息将呈开放或者无序状态，并且直接涉及并威胁到每个家庭和个人的信息隐私。如何有效制止利用传输信息的信息网络，公开或者侵犯他人的隐私等，将是电子商务面临的重要法律问题之一。所以企业实施电子商务时，一定要采取具体有效措施防止对第三方合法权利造成损害，否则，因此而被卷人各种侵权诉讼时，不但企业运作的电子商务模式或者项目可能会被迫夭折，更有可能对企业的商誉、经济利益造成毁灭性的打击。3知识产权风险在电子商务时代知识产权风险主要表现为电子商务年代信息的新特性与知识产权具有的特性的强烈冲突。比如知识产权最突出的特点之一就是它的“专有性”而网络上应受到知识产权保护的信息则是公开的、公用的，也很难受到权利人的控制。“地域性，是知识产权的又一特点，而网络传输的特点则是“无国界性”。正是因为如此，电子商务活动涉及的知识产权风险就应引起企业的重视。一般来讲作为电子商务活动涉及的知识产权问题包括诸如域名、网页上各种各样的文章、图像、多媒体、数据库、软件及莱单设计等元素都会牵涉到专利权、商标权、版权、著作权等知识产权问题，造成多种权利互相重盈和冲突。因此，保护知识产权与发展电子商务有着密切的联系。第4章电子商务安全管理技术据最新统计，目前我国95的与因特网相联的网络管理中心都遭到过黑客的攻击或侵入，受害涉及的覆盖面越来越大、程度越来越深。据国际互联网保安公司SYMANTEC2002年的报告指出，中国已经成为全球黑客的第三大来源地，竟然有69的攻击国际互联网活动都是由中国发出的。另从国家计算机病毒应急处理中心日常监测结果来看，计算机病毒呈现出异常活跃的态势。在2001年，我国有73的计算机曾感染病毒，到了2002年上升到近84，2003年上半年又增加到85。而微软的官方统计数据称2002年因网络安全问题给全球经济直接造成了130亿美元的损失。众所周知，安全才是网络的生存之本。没有安全保障的信息资产，就无法实现自身的价值。作为信息的载体，网络亦然。网络安全的危害性显而易见，而造成网络安全问题的原因各不相同。而企业比以往任何时候都更需要知道其合作伙伴的真实身份。客户需要保证其保密信息不会被暴露。电子商务的安全管理变的尤为重要。电子商务的安全管理主要分电子商务系统安全、电子商务系统运行安全、信息的保密性、信息的完整性、信息的不可抵赖性、交易者身份的真实性、加密、解密、数字证书、认证中心、SSL协议、SET协议等。41电子商务系统安全INTERNET存在的安全隐患给电子商务带来了如下安全威胁1信息泄露表现为商业机密的泄露，主要包括交易双方进行交易的内容被第三方窃取；交易一方提供给另一方的文件被第三方非法使用。2信息篡改表现为商业信息的真实性和完整性问题。信息在网络传输过程中，可能被他人非法修改、删除和重放（只能使用一次的信息被多次使用）。3信息假冒一是伪造电子邮件，骗取订单，伪造用户发大量电子邮件，耗尽商家系统资源，使合法用户不能正常访问等。另一种是假冒他人身份，如冒充领导发布命令、调阅密件，冒充他人消费，冒充系统管理员，占用合法用户资源等。4交易抵赖这主要涉及交易的信用问题。如发信者事后否认发送过某条信息；收信者事后否认曾收到过某条信息；购买者下了订单而不承认；商家确认订单后因价格上升而不承认等。5信息破坏涉及两方面的内容，一是网络传输的可靠性。由于网络硬件和软件的故障导致信息传递的丢失与谬误。二是恶意破坏。是计算机网络受一些恶意程序的破坏而使电子商务信息损坏。如各种计算机病毒破坏。42电子商务的安全要素电子商务系统是一个计算机系统，其安全性是一个系统的概念，不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关。在电子商务的使用过程中，涉及以下六个方面有关安全的因素1信息的保密性指信息在传输或存储过程中不被他人窃取。在利用网络进行的交易中，必须保证发送者和接收者之间交换的信息的保密性。电子商务作为一种贸易的手段，其信息直接代表着个人、企业或国家的商业机密；而电子商务系统是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防信息大量传输过程中被非法窃取，必须确保只有合法用户才能看到数据，防止信息被窃看。2信息的完整性由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异；此外，数据传输过程中的信息丢失、信息重复或信息传送顺序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略。3信息的有效性电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉，交易的有效性在其价格、期限、数量作为协议的一部分时尤为重要。信息接收方可以证实所接收的数据是原发方发出的，而原发方也可以证实只有指定的接收方才能接收。4信息的不可抵赖性在无纸化的电子商务方式下，通过手写签名或印章进行贸易各方的鉴别已经不可能了。因此，要求在交易信息的传递过程中为参与交易的个人、企业或国家提供可靠的标识，使原发方在发送数据后不能抵赖、接收方在接收数据后也不能抵赖。5交易身份的真实性指交易各方确实存在，不是假冒、虚拟的。网上交易的各方相隔很远、互不了解，要使交易成功，必须互相信任、确认对方是真实的，对商家要考虑客户是不是骗子，对客户要考虑商店是不是黑店、是否有信誉。6系统的可靠性电子商务系统是计算机系统，其可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁，并加以控制和预防，确保系统安全可靠性。43数字信封1含义“数字信封”也称电子信封技术，就是对称密钥和公开密钥的结合的技术，从而既有公开密钥技术的灵活性，又有对称密钥技术的高效性。数字信封技术在外层使用公开密钥加密技术，享受到公开密钥技术的灵活性，内层使用对称密钥匙加密，密钥长度通常较短，使得公开密钥加密的相对低效率被限制在最低限度内，实现优势互补。2具体操作方法每当发信方需要发送信息时首先生成一个对称密钥，用这个对称密钥加密所需发送的报文；然后用收信方的公开密钥加密这个对称密钥，连同加密了的报文一同传输到收信方。收信方首先使用自己的私有密钥解密被加密的对称密钥，再用该对称密钥解密出真正的报文。44消息摘要1消息摘要的概念消息摘要MESSAGEDIGEST方法即数字指纹，消息摘要方法解决信息的完整性问题。2消息摘要的特征1消息摘要是一个唯一对应一个消息的值。2它由单向HASH加密算法对一个消息作用而生成，有固定的长度128BIT的密文。这一串密文也称为数字指纹。3所谓单向是指不能被解密。4不同的消息其摘要不同，相同消息其摘要相同。因此摘要成为消息的“指纹”，以验证消息是否是“真身”。45数字签名1概念数字签名（DIGITALSIGNATURE）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者，接收者只有用发送者的公钥才能解密被加密的摘要。数字签名与书面文件签名有相同之处，采用数字签名，能确认以下两点。1信息是由签名者发送的。2信息自签发后到收到为止未曾作过任何修改。2数字签名的作用1数字签名保证信息的完整性和不可否认性。2数字签名可用来防止电子信息因易被修改而有人作伪。3防止冒用别人名义发送信息。4防止发出收到信件后又加以否认等情况发生。数字签名主要目的是用来识别信息来源，本身不具备对信息加密的功能。3数字签名的功能1接收者能够核实对报文的签名。2发送者事后不能抵赖对报文的签名。3接收者不能伪造对报文的签名。46数字时间戳1概念数字时间戳DIGITALTIMESTAMP就是用来证明消息的收发时间的，以防抵赖行为发生。它由专门的网络服务机构提供。用户首先将需要加时间戳的文件经加密后形成文档，然后将摘要发送到专门提供数字时间戳服务（DIGITALTIMESTAMPSERVICE，DTSS）的权威机构，该机构对原摘要加上时间后，进行数字签名，用私钥加密，并发送给原用户。2数字时间戳的作用书面签署文件的时间是由签署人自己写上的，而数字时间戳是由DTSS认证单位来加的，并以收到文件的时间为依据。1对已加盖时间戳的文件不可能做丝毫改动（即使仅1BIT）。2要想对某个文件加盖与当前日期和时间不同的时间戳是不可能的。3时间戳的组成时间戳是一个经过加密而形成的凭证文档，由三部分组成1需要加载时间戳的文件摘要。2认证服务机构收到文件的日期和时间。3认证服务机构的数字签名。47数字证书1概念也叫数字凭证，是网络通讯中标志通讯各方身份信息的一系列数据，提供一种在INTERNET上验证身份的方式。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。2数字证书的三种类型1个人（客户）证书又称浏览器证书，是指由CA认证中心颁发的、安装在客户浏览器端使用的个人或企业证书。2企业（服务器）数字证书是CA认证中心颁发的、安装在服务器上用以证明服务器身份的证书。它通常为网上的某个WEB服务器提供数字证书。3软件（开发者）数字证书它通常为因特网中被下载的软件提供数字证书。3数字证书原理简介数字证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。4数字证书正确使用以建行网上银行系统为例，下载客户证书及CA认证书的过程即是将这些证书安装到浏览器的过程，浏览器会引导完成安装过程。在用户进入建行网上银行交易之前，浏览器与服务器之间建立SSL安全通道时，会自动使用双方的证书，所以，在进入交易之前，应保证您的客户证书及CA根证书已经安装在您的浏览器中。客户证书及私钥是在INTERNET网上进行安全交易的基础，应保持私钥的秘密性。在完成证书下载后，建议立即备份客户证书及私钥。5数字证书的申请、颁发个人数字证书可以用来发送签名或加密的电子邮件。个人数字证书分为二个级别第一级数字证书，仅仅提供电子邮件的认证，不对个人的真实姓名等信息认证；第二级个人数字证书提供对个人姓名、身份等信息的认证。当个人数字证书申请后，认证中心对申请者的电子邮件地址、个人身份及信用卡号等信息进行核实，通常在三五天内即可颁发数字证书。1概念认证中心，又称为证书授证CERTIFICATEAUTHORITY中心，是一个负责发放和管理数字证书的权威机构。2认证的安全功能1可信性。信息的来源是可信的。2完整性。信息在传输过程中保证其完整性。3不可否认性。信息的发送方不能否认自己所发出的信息。4访问控制。拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。49防火墙1概念是指一个由软件或和硬件设备组合而成，是加强因特网与内部网之间安全防范的一个或一组系统。它具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。它可以确定哪些内部服务允许外部访问，哪些外部服务可由内部人员访问，即它能控制网络内外的信息交流，提供接入控制和审查跟踪，是一种访问控制机制。2防火墙的安全策略1没有被列为允许访问的服务都是被禁止的这意味着需要确定所有可以被提供的服务以及他们的安全特性，开放这些服务，并将所有其他末列入的服务排斥在外，禁止访问。2没有被列为禁止访问的服务都是被允许的这意味着首先确定那些被禁止的、不安全的服务，以禁止他们被访问，而其他服务则被认为是安全的，允许访问。3防火墙系统的功能1保护易受攻击的服务。2控制对特殊站点的访问。3集中化的安全管理。4集成了入侵检测功能，提供了监视互联网安全和预警的方便端点。5对网络访问进行日志记录和统计。4防火墙的不足之处1不能防范恶意的知情者。2不能防范不通过它的连接（绕过防火墙）或者来自内部的攻击。3不能防备所有威胁，防火墙只能用来防备已知的威胁。4不能防范病毒。不能防止感染了病毒的软件或文件的传输，但可以通过设置防范一些已知的木马程序。第5章电子商务安全协议51安全的超文本传输协议SHTTP是对HTTP扩充安全特性、增加了报文的安全性，它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别性、不可抵赖性及机密性等安全措施。安全HTTP（SHTTP）是HTTP的扩展，它提供了多种安全功能，包括客户机与服务器认证、加密、请求/响应的不可否认等。SHTTP用密钥对来加密，以保证WEB站点间的交换信息传输的安全性。如果主页的URL为HTTPS/开始，说明该页遵循安全超文本传输协议。SHTTP安全的细节设置是在客户机和服务器开始的握手会话中完成的。客户机和服务器都可指定某个安全功能为必需（REQUIRED）、可选（OPTION）还是拒绝（REFUSED）。当其中一方确定了某个安全特性为“必需”时，只有另一方（客户机或服务器）同意执行同样的安全功能时才能开始连接，否则就不能建立安全通讯。52SSL安全协议1SSL的含义SSL安全协议最初是由网景公司设计开发的，又叫安全套接层SECURESOCKETSLAYER协议，主要用于提高应用程序之间的数据安全系数，实现兼容浏览器和服务器（通常是WWW服务器）之间安全通信的协议。2SSL的工作原理SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号。在开始交换的信息中，双方确定将使用的安全级别并交换数字证书。每个计算机都要正确识别对方。SSL支持的客户机和服务器间的所有通讯都加密了，窃听者得到的是无法识别的信息。3SSL的安全技术1在建立连接的过程中采用公开密钥。2在会话过程中采用专用密钥。3每一次会话都要求服务器使用专用密钥的操作和一次使用客户机公开密钥的操作。4SSL安全协议的三个的特性1认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。2加密数据以隐藏被传送的数据,SSL对几乎所有的安全通讯都使用私有密钥加密。3维护数据的完整性，确保数据在传输过程中不被改变。5SSL安全协议的运行步骤1接通阶段，客户通过网络向服务器打招呼，服务器回应。2密码交换阶段，客户与服务器之间交换双方认可的密码。一般选用RSA密码算法。3会谈密码阶段，客户与服务器间产生彼此交谈的会谈密码。4检验阶段，检验服务器取得的密码。5客户认证阶段，验证客户的可信度。6结束阶段，客户与服务器之间相互交换结束的信息。6SSL的缺陷（1）SSL协议是根据邮购原理设计的。（2）客户首先寻找商品信息，然后汇款给商家，商家再把商品寄给客户。（3）只能保证传输过程的安全，无法知道在传输过程中是否受到窃听。（4）信息对商家是全透明的。（5）安全套接层加密技术的出口受美国国家安全局的控制。目前美国可以使用128比特的安全套接层加密技术，但出口的算法的密钥一般只有40比特，它的安全性显然比128位的要差得多。53SET安全技术1概念SECUREELECTRONICTRANSACTION，简写为SET，是VISA和MASTERCARD两大信用卡公司与IBM、MICROSOFT、NETSCAPE、GTE、VERISIGN、SAIC、TERISA等厂商合作开发的。它是面向B2C模式的，完全针对信用卡来制定，对消费者、商户、收单行进行认证。涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整等各个方面。2SET协议的作用1个人账号信息与订单信息的隔离。2商家只能看到定货信息，而看不到持卡人的帐户信息。3对交易者的身份进行确认和担保。4持卡人、商家和银行等交易者通过第三方权威机构的身份认证服务。5统一协议和报文的格式。6使不同厂家开发的软件能相互兼容。3SET安全协议运行的目标1保证信息在因特网上安全传输。2保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的账户和密码信息。3解决多方认证问题。4保证了网上交易的实时性，使所有的支付过程都是在线的5规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。4SET的主要安全保障来自如下三个方面1将所有报文文本用非对称的方式加密ASYMMETRICCRYPTOGRAPHY。2将两类密钥PRIVATEKEY和PUBLICKEY的字长增加到5L2至2048字节。3采用联机动态的授权AUTHORITY和认证检查CERTIFICATE，以确保交易过程的安全可靠性。54SET与SSL比较1相对于SSL协议来说，SET更为安全。2SET协议提供了多层次的安全保障，但显著增加了复杂程度，因而变得昂贵，处理速度慢，实施起来有一定难度。SSL则被大部分浏览器内置，相对较便宜。3SET与SSL都要求使用密码技术和算法，都要增加计算机系统的负载，而SET需要较高的处理能力，SSL要求的负载相对较小。第6章支付宝案例分析61项目背景阿里巴巴是全球最领先的网上贸易市场，在阿里巴巴这个虚拟的世界中，来自200个国家的七百万进口商与两百万家中国企业每天聚集在这里进行商业活动。旗下的支付宝是国内领先的独立第三方支付平台。为中国电子商务提供“简单、安全、快速”的在线支付解决方案。支付宝不仅要从产品上确保用户在线支付的安全，同时让用户通过支付宝在网络间建立起相互信任。随着支付宝业务的发展，其安全性变得越来越重要。一开始使用的单向SSL（SSLSECURESOCKETLAYER，安全套接字协议）认证方式解决了支付宝网站真实性和防止网络窃取等安全需求，没有真正解决对支付宝用户的身份认证，非法用户仍然可以通过各种途径，盗取或猜测用户的登录EMAIL地址和登录密码，假冒合法用户身份，登录支付宝进行消费。为了解决支付宝平台面临的安全隐患，支付宝公司在综合考虑了动态口令双因素认证等安全认证方式后，决定采用成熟的基于PKI/CA技术的数字认证系统来保证平台安全，随即启动了“支付宝系统安全证书项目”，即在目前支付宝单向SSL认证的基础上，增加客户端数字证书认证方式，支付宝用户登录支付宝帐户时可通过数字证书来认证用户的身份。62解决方案由于数字证书平台可以完全实现支付宝现阶段对于安全的需求，并且有着很好的可扩展性。天威诚信作为一家第三方商业数字认证服务机构，拥有大量应用实践经验，在综合考察支付宝系统现状后，天威为其设计了合理的技术方案，以满足其大批量签发证书的复杂应用。采用天威诚信ITRUSCA20系统，为支付宝应用建设了一套完整的CA系统，面向支付宝当前的业务应用，提供用于支付宝登录身份认证的用户证书服务；考虑到系统的可扩充性原则，在今后增加数字签名功能时，保证现有的CA系统能够很好的满足需求，方便灵活的进行扩充，同时满足中华人民共和国电子签名法的要求使用法律认可的第三方CA认证中心发放的数字证书所做的电子签名才具有法律效力。整个项目还支持银行的证书，支付宝将定期同步银行CA的证书吊销列表和LDAP；为了方便支付宝用户完成证书的有关操作，天威诚信开发了“证书助手”工具，通过证书助手能够很方便的完成证书生命周期管理、证书管理、客户端签名和签名验证、