电子商务的风险与管理

1、摘要随着计算机及网络的日益发展和普及，网络已经成为我们生活的一部分。而电子商务的飞速发展，使我们越来越感到网络技术带给我们的好处。但是我们不得不面对这样的现实，即计算机和网络技术在带给我们各种便利的同时，也带来了令人头痛的安全问题。该文基于目前电子商务安全所面临的各种风险问题，结合当前的一些风险管理方法，对电子商务系统安全风险管理进行一些基本的分析和研究，以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。 关键词： 电子商商务安全全，风险险管理，风风险识别别，风险险控制目录TOC o 1-3 h z u HYPERLINK l _Toc226298860 前言 PAGEREF _Toc

2、226298860 h 2 HYPERLINK l _Toc226298861 电子商务中中存在的的安全风风险 PAGEREF _Toc226298861 h 3 HYPERLINK l _Toc226298862 （1）网络络环境风风险 PAGEREF _Toc226298862 h 4 HYPERLINK l _Toc226298863 （2）数据据存取风风险 PAGEREF _Toc226298863 h 4 HYPERLINK l _Toc226298864 （3）网上上支付风风险 PAGEREF _Toc226298864 h 4 HYPERLINK l _Toc226298865

3、（4）信息息的截获获和窃取取 PAGEREF _Toc226298865 h 4 HYPERLINK l _Toc226298866 （5）信息息的篡改改 PAGEREF _Toc226298866 h 4 HYPERLINK l _Toc226298867 （6）拒绝绝服务 PAGEREF _Toc226298867 h 4 HYPERLINK l _Toc226298868 （7）系统统资源失失窃问题题 PAGEREF _Toc226298868 h 5 HYPERLINK l _Toc226298869 （8）信息息的假冒冒 PAGEREF _Toc226298869 h 5 HYPER

4、LINK l _Toc226298870 （9）交易易的抵赖赖 PAGEREF _Toc226298870 h 5 HYPERLINK l _Toc226298871 （2）开发发和实施施阶段 PAGEREF _Toc226298871 h 6 HYPERLINK l _Toc226298872 （3）运行行阶段 PAGEREF _Toc226298872 h 6 HYPERLINK l _Toc226298873 电子商务的的风险管管理步骤骤 PAGEREF _Toc226298873 h 7 HYPERLINK l _Toc226298874 （1）风险险识别 PAGEREF _Toc22

5、6298874 h 7 HYPERLINK l _Toc226298875 （2）风险险分析 PAGEREF _Toc226298875 h 8 HYPERLINK l _Toc226298876 （3）风险险控制 PAGEREF _Toc226298876 h 8 HYPERLINK l _Toc226298877 风险管理对对策 PAGEREF _Toc226298877 h 9 HYPERLINK l _Toc226298878 1、网络安安全技术术 PAGEREF _Toc226298878 h 12 HYPERLINK l _Toc226298879 1.1 操操作系统统安全 PAG

6、EREF _Toc226298879 h 12 HYPERLINK l _Toc226298880 1.2 防防火墙技技术 PAGEREF _Toc226298880 h 13 HYPERLINK l _Toc226298881 1.3 VVPN PAGEREF _Toc226298881 h 13 HYPERLINK l _Toc226298882 1.4 漏漏洞识别别与检测测系统 PAGEREF _Toc226298882 h 14 HYPERLINK l _Toc226298883 2、数据加加密技术术 PAGEREF _Toc226298883 h 14 HYPERLINK l _To

7、c226298884 3、身份认认证技术术 PAGEREF _Toc226298884 h 15 HYPERLINK l _Toc226298885 （1）基于于口令的的认证方方式 PAGEREF _Toc226298885 h 15 HYPERLINK l _Toc226298886 （2）基于于安全物物品的认认证方式式 PAGEREF _Toc226298886 h 15 HYPERLINK l _Toc226298887 （3）基于于生物特特征的认认证方式式 PAGEREF _Toc226298887 h 16 HYPERLINK l _Toc226298888 4、数据库库安全机机制

8、PAGEREF _Toc226298888 h 16 HYPERLINK l _Toc226298889 5、第三方方认证CCA PAGEREF _Toc226298889 h 17 HYPERLINK l _Toc226298890 结论 PAGEREF _Toc226298890 h 199 HYPERLINK l _Toc226298891 主要参考文文献 PAGEREF _Toc226298891 h 20 HYPERLINK l _Toc226298892 谢辞 PAGEREF _Toc226298892 h 211前言电子商务（Electronic Commerce，EC）是指通过

9、网络（尤其是Internet） 所进行的买卖交易以及相关服务或其他的组织管理活动。交易的安全性能否得到保障是电子商务的核心问题。近几年来，我国的电子商务发展较快，但各种风险也日趋突出。一般来说，电子商务中常见的风险可分为经济风险、管理风险、制度风险、技术风险和信息风险。IT技术是实现电子商务的基础，分析研究其技术风险是保障电子商务安全的重要研究课题。为了促进电电子商务务的健康康发展，研研究电子子商务中中可能存存在的风风险及相相应的控控制策略略是十分分必要的的。本文文分析了了电子商商务中存存在的技技术风险险及其产产生的原原因，并并在此基基础上提提出了降降低电子子商务技技术风险险的相关关安全策策略

10、及措措施。电子商务中中存在的的安全风风险由于网络的的复杂性性、脆弱弱性、开开放性、共共享性和和动态性性，使得任任何人都都可以自自由地接接入Innterrnett，从而而使以因因特网为为主要平平台的电电子商务务的发展展面临着着严峻的的安全问问题。一一般来说说，电子子商务普普遍存在在着以下下几个安安全风险险：（1）网络络环境风风险网络服务器器常遭受受到黑客客的袭击击，个别别网络中中的信息息系统受受到攻击击后无法法恢复正正常运行行；网络络软件常常常被人人篡改或或破坏；网络中中存储或或传递的的数据常常常被未未经授权权者篡改改、增删删、复制制或使用用。（2）数据据存取风风险由于数据存存取不当当所造成成的

11、风险险。这种种风险主主要来自自于企业业内部。一一是未经经授权的的人员进进入系统统的数据据库修改改、删除除数据；二是企企业工作作人员操操作失误误，受其其错误数数据的影影响而带带来的风风险，其其结果必必然是使使企业效效益受到到损失，或或者是使使顾客利利益受到到损失。（3）网上上支付风风险网上支付一一直被认认为是制制约中国国电子商商务发展展的最大大瓶颈，许许多企业业和个人人担心交交易的安安全性而而不愿使使用网上上支付。（4）信息息的截获获和窃取取这是指电子子商务相相关用户户或外来来者未经经授权通通过各种种技术手手段截获获和窃取取他人的的文电 HYPERLINK / 内内容以获获取商业业机密。（5）信

12、息息的篡改改网络攻击者者依靠各各种技术术方法和和手段对对传输的的信息进进行中途途的篡改改、删除除或插入入，并发发往目的的地，从从而达到到破坏信信息完整整性的目目的。（6）拒绝绝服务拒绝服务是是指在一一定时间间内，网网络系统统或服务务器服务务系统的的作用完完全失效效。其主主要原因因来自黑黑客和病病毒的攻攻击以及及 HYPERLINK /pc/ 计算机硬硬件的认认为破坏坏。（7）系统统资源失失窃问题题在网络系统统环境中中，系统统资源失失窃是常常见的安安全威胁胁。（8）信息息的假冒冒信息的假冒冒是指当当攻击者者掌握了了网络信信息数据据 HYPERLINK / 规律或解解密了商商务信息息后，可可以假冒

13、冒合法用用户或假假冒信息息来欺骗骗其它用用户。主主要表现现形式有有假冒客客户进行行非法交交易，伪伪造电子子邮件等等。（9）交易易的抵赖赖交易抵赖包包括发信信者事后后否认曾曾经发送送过某条条信息；买家做做了定单单后不承承认；卖卖家卖出出的商品品因价格格差而不不承认原原先的交交易等。风险的管理理规则针对电子商商务面临临的各种种安全风风险，电电子商务务企业不不能被动动、消极极地应付付，而应应该主动动采取措措施维护护电子商商务系统统的安全全，并监监视新的的威胁和和漏洞。因因此，这这就需要要制定完完整高效效的电子子商务安安全风险险管理规规则。一般来说，风风险管理理规则的的制定过过程有评评估、开开发和实实

14、施以及及运行三三个阶段段。（1）评估估阶段该阶段的主主要任务务是对电电子商务务的安全全现状、要要保护的的信息、各各种资产产等进行行充分的的评估以以及一些些基本的的安全风风险识别别和分析析。对电子商务务安全现现状的评评估是制制定风险险管理规规则的基基础。对信息和资资产的评评估是指指对可能能遭受损损失的相相关信息息和资产产进行价价值的评评估，以以便确定定相适应应的风险险管理规规则，从从而避免免投入成成本和要要保护的的信息和和资产的的严重不不匹配。安全风险识识别要求求尽可能能地发现现潜在的的安全风风险，应应收集有有关各种种威胁、漏漏洞、开开发和对对策的信信息。安全风险分分析是确确定风险险，收集集信息

15、，对对可能造造成的损损失进行行评价以以估计风风险的级级别，以以便做出出明智的的决策，从从而采取取措施来来规避安安全风险险。（2）开发发和实施施阶段该阶段的任任务包括括风险补补救措施施开发、风风险补救救措施测测试和风风险知识识 HYPERLINK / 学习。风险补补救措施施开发利利用评估估阶段的的成果来来建立一一个新的的安全管管理策略略，其中中涉及配配置管理理、修补补程序管管理、系系统监视视与审核核等等。在完成对风风险补救救措施的的开发后后，即进进行安全全风险补补救措施施的测试试，在测测试过程程中，将将按照安安全风险险的控制制效果来来评估对对策的有有效性。（3）运行行阶段运行阶段的的主要任任务包

16、括括在新的的安全风风险管理理规则下下评估新新的安全全风险。这这个过程程实际上上是变更更管理的的过程，也也是执行行安全配配置管理理的过程程。运行阶段的的第二个个任务是是对新的的或已更更改的对对策进行行稳定性性测试和和部署。这这个过程程由系统统管理、安安全管理理和网络络管理小小组来共共同实施施。以上风险管管理规则则的三个个阶段可可以用下下图来表表示：图1 风险险管理规规则的三三个阶段段电子商务的的风险管管理步骤骤风险管理是是识别风风险、分分析风险险并制定定风险管管理计划划的过程程。电子子商务安安全风险险的管理理和控制制方法，它它包括风风险识别别、风险险分析、风风险控制制以及风风险监控控等四个个方面

17、。（1）风险险识别电子商务系系统的安安全要求求是通过过对风险险的系统统评估而而确认的的。为了了有效管管理电子子商务安安全风险险，识别别安全风风险是风风险管理理的第一一步。风险识别是是在收集集有关各各种威胁胁、漏洞洞和相关关对策等等信息的的基础上上，识别别各种可可能对电电子商务务系统造造成潜在在威胁的的安全风风险。风险识别的的手段五五花八门门，对于于电子商商务系统统的安全全来说，风风险识别别的目标标是主要要是对电电子商务务系统的的网络环环境风险险、数据据存在风风险和网网上支付付风险进进行识别别。需要要注意的的是，并并非所有有的电子子商务安安全风险险都可以以通过风风险识别别来进行行管理，风风险识别

18、别只能发发现已知知的风险险或根据据已知风风险较容容易获知知的潜在在风险。而而对于大大部分的的未知风风险，则则依赖于于风险分分析和控控制来加加以解决决或降低低。（2）风险险分析风险分析是是运用分分析、比比较、评评估等各各种定性性、定量量的方法法，确定定电子商商务安全全各风险险要素的的重要性性，对风风险排序序并评估估其对电电子商务务系统各各方面的的可能后后果，从从而使电电子商务务系统项项目实施施人员可可以将主主要精力力放在对对付为数数不多的的重要安安全风险险上，使使电子商商务系统统的整体体风险得得到有效效的控制制。风险险分析是是一种确确定风险险以及对对可能造造成的损损失进行行评估的的方法，它它是制

19、定定安全措措施的依依据。风险分析的的目标是是：确定定风险，对对可能造造成损坏坏的潜在在风险进进行定性性化和定定量化，以以及最后后在 HYPERLINK /Economic/ 经济济上寻求求风险损损失和对对风险投投入成本本的平衡衡。目前，风险险分析主主要采用用的方法法有：风风险概率率/ HYPERLINK / 影响评估估矩阵，敏敏感性分分析，模模拟等。在在进行电电子商务务安全风风险分析析时，由由于各影影响因素素量化在在现实上上的困难难，可根根据实际际需要，主主要采用用定性方方法为主主辅以少少量定量量方法相相结合来来进行风风险分析析，为制制定风险险管理制制度和风风险的控控制提供供 HYPERLIN

20、K / 理论上的的依据。（3）风险险控制风险控制就就是选择择和运用用一定的的风险控控制手段段，以保保障风险险降到一一个可以以接受的的水平。风风险控制制是风险险管理中中最重要要的一个个环节，是是决定风风险管理理成败的的关键因因素。电电子商务务安全风风险控制制的目标标在于改改变企业业电子商商务项目目所承受受的风险险程度。一般来说，风险控制方法有两类：第一类是风风险控制制措施，比比如降低低、避免免、转移移风险和和损失管管理等。在在电子商商务安全全风险管管理中，比比较常用用的是转转移风险险和损失失管理。第二类为风风险补偿偿的筹资资措施，包包括保险险与自担担风险。在在电子商商务安全全风险管理中，管管理人

21、员员需要对对风险补补偿的筹筹资措施施进行决决策，即即选择保保险还是是自担风风险。此外，风险险控制 HYPERLINK / 方方法的选选择应当当充分考考虑相对对风险造造成损失失的成本本，当然然其它方方面的 HYPERLINK / 影影响也是是不容忽忽视的，如如 HYPERLINK /company/ 企业商誉誉等。对 HYPERLINK /dianzijixie/ 电子商务务安全来来说，其其有效可可行的风风险控制制方法是是：建立立完整高高效的降降低风险险的安全全性解决决方案，掌掌握保障障安全性性所需的的一些基基础技术术，并规规划好发发生特定定安全事事故时企企业应该该采取的的解决方方案。风险管理对

22、对策由于电子商商务安全全的重要要性，所所以部署署一个完完整有效效的电子子商务安安全风险险管理对对策显得得十分迫迫切。制制定电子子商务安安全风险险管理对对策目的的在于消消除潜在在的威胁胁和安全全漏洞，从从而降低低电子商商务系统统环境所所面临的的风险。 HYPERLINK / 目前的电子子商务安安全风险险管理对对策中，较较为常用用的是纵纵深防御御战略，所所谓纵深深防御战战略，就就是深层层安全和和多层安安全。通通过部署署多层安安全保护护，可以以确保当当其中一一层遭到到破坏时时，其它它层仍能能提供保保护电子子商务系系统资源源所需的的安全。比比如，一一个单位位外部的的防火墙墙遭到破破坏，由由于内部部防火

23、墙墙的作用用，入侵侵者也无无法获取取单位的的敏感数数据或进进行破坏坏。在较较为理想想的情况况下，每每一层均均提供不不同的对对策以免免在不同同的层中中使用相相同的攻攻击方法法。下图图为一个个有效的的纵深防防御策略略： 图2 有效效的纵深深防御策策略下面就各层层的主要要防御 HYPERLINK / 内内容从外外层到里里层进行行简要的的说明：（1）物理理安全物理安全是是整个电电子商务务系统安安全的前前提。制制定电子子商务物物理安全全策略的的目的在在于保护护 HYPERLINK /pc/ 计算机系系统、电电子商务务服务器器等各电电子商务务系统硬硬件实体体和通信信链路免免受 HYPERLINK /lix

24、ue/ 自然然灾害和和人为破破坏造成成的安全全风险。（2）周边防御对 HYPERLINK /network/ 网络周边边的保护护能够起起到抵御御外界攻攻击的作作用。电电子商务务系统应应尽可能能安装某某种类型型的安全全设备来来保护网网络的每每个访问问节点。在在技术上上来说，防防火墙是是网络周周边防御御的最主主要的手手段，电电子商务务系统应应当安装装一道或或多道防防火墙，以以确保最最大限度度地降低低外界攻攻击的风风险，并并利用入入侵检测测功能来来及时发发现外界界的非法法访问和和攻击。（3）网络防御网络防御是是对网络络系统环环境进行行评估，采采取一定定措施来来抵御黑黑客的攻攻击，以以确保它它们得到到

25、适当的的保护。就就目前来来说，网网络安全全防御行行为是一一种被动动式的反反应行为为，而且且，防御御技术的的 HYPERLINK /fazhan/ 发展速度度也没有有攻击技技术发展展得那么么快。为为了提高高网络安安全防御御能力，使使网络安安全防护护系统在在攻击与与防护的的对抗中中占据主主动地位位，在网网络安全全防护系系统中，除除了使用用被动型型安全工工具（防防火墙、漏漏洞扫描描等）外外，也需需要采用用主动型型安全防防护措施施（如：网络陷陷阱、入入侵取证证、入侵侵检测、自自动恢复复等）。（4）主机防御主机防御是是对系统统中的每每一台主主机进行行安全评评估，然然后根据据评估结结果制定定相应的的对策以

26、以限制服服务器执执行的任任务。在在主机及及其环境境中，安安全保护护对象包包括用户户 HYPERLINK 应用环境境中的服服务器、客客户机以以及其上上安装的的操作系系统和应应用系统统。这些些应用能能够提供供包括信信息访问问、存储储、传输输、录入入等在内内的服务务。根据据信息保保障技术术框架，对对主机及及其环境境的安全全保护首首先是为为了建立立防止有有恶意的的内部人人员攻击击的首道道防线，其其次是为为了防止止外部人人员穿越越系统保保护边界界并进行行攻击的的最后防防线。（5）应用用程序防防御作为一个防防御层，应应用程序序的加固固是任何何一种安安全模型型中都不不可缺少少的一部部分。加加强保护护操作系系

27、统安全全只能提提供一定定程度的的保护。因因此，电电子商务务系统的的开发人人员有责责任将安安全保护护融入到到应用程程序中，以以便对体体系结构构中应用用程序可可访问到到的区域域提供专专门的保保护。应应用程序序存在于于系统的的环境中中。（6）数据据防御对许多电子子商务企企业来说说，数据据就是企企业的资资产，一一旦落入入竞争者者手中或或损坏将将造成不不可挽回回的损失失。因此此，加强强对电子子商务交交易及相相关数据据的防护护，对电电子商务务系统的的安全和和电子商商务项目目的正常常运行具具有重要要的现实实意义电电子商务务技术风风险控制制针对电子商商务中潜潜在的各各类技术术风险，笔笔者提出出利用以以下技术术

28、手段建建立一套套完整的的风险控控制体系系，将电电子商务务的风险险减少到到最小。1、网络安安全技术术网络安全是是电子商商务安全全的基础础，一个个完整的的电子商商务应该该建立在在安全的的网络基基础之上上。网络络安全技技术涉及及面较广广，主要要包括操操作系统统安全、防防火墙技技术、虚虚拟专用用网技术术（VPPN）、漏漏洞识别别与检测测技术。1.1 操操作系统统安全操作系统的的安全机机制主要要有：过过滤保护护、安全全检测保保护以及及隔离保保护。（1）过滤滤保护分分析所有有针对受受保护对对象的访访问，过过滤恶意意攻击以以及可能能带来不不安全因因素的非非法访问问。（2）安全全检测保保护对所所有用户户的操作

29、作进行分分析，阻阻止那些些超越权权限的用用户操作作以及可可能给操操作系统统带来不不安全因因素的用用户操作作。（3）离保保护在支支持多进进程和多多线程的的操作系系统中，必必须保证证同时运运行的多多个进程程和线程程之间是是相互隔隔离的，即即各个进进程和线线程分别别调用不不同的系系统资源源，且每每一个进进程和线线程都无无法判断断是否还还有其他他的进程程或线程程在同时时运行。一一般的隔隔离保护护措施有有以下44种：物理隔离离 不同的的进程和和线程调调用的系系统资源源在物理理上是隔隔离的；暂时隔离离 在特殊殊需要的的时间段段内，对对某一个个或某些些进程或或线程实实施隔离离，该时时间段结结束后解解除隔离离

30、；软件隔离离 在软件件层面上上对各个个进程的的访问权权限实行行控制和和限制，以以达到隔隔离的效效果；加密隔离离 采用加加密算法法对相应应的对象象进行加加密。1.2 防防火墙技技术防火墙是将将专用网网络与公公共网络络隔离开开来的网网络节点点，由硬硬件和软软件组成成，其主主要功能能是通过过建立网网络通信信的过滤滤机制，控控制和鉴鉴别出入入站点的的各种访访问，进进而有效效地提高高交易的的安全性性。目前前的防火火墙技术术主要包包括两种种类型，第第一类是是包过滤滤技术，其其运作方方式是监监视通过过它的数数据流，根根据防火火墙管理理事先制制定的系系统安全全政策，选选择性地地决定是是否让这这些数据据通行；第

31、二类类是代理理网关技技术，其其运作方方式是所所有要向向服务器器索取的的数据，都都通过代代理服务务器来索索取。目目前，防防火墙技技术的最最新发展展趋势是是分布式式和智能能化防火火墙技术术。分布布式防火火墙是嵌嵌入到操操作系统统内核中中，对所所有的信信息流进进行过滤滤与限制制；智能能化防火火墙利用用了统计计、记忆忆、概率率和决策策等智能能技术，对对网络执执行访问问控制。1.3 VVPN虚拟专用网网（VPPN）是是依靠IInteerneet服务务提供商商（ISSP）和和其他网网络服务务提供商商（NSSP），在在公用网网络中建建立专用用数据通通信网络络的技术术。VPPN实现现技术主主要有：隧道技技术、

32、虚虚电路技技术和基基于MPPLS（Mullti-Prootoccol Labbel Swiitchhingg，多协协议标签签交换协协议）技技术。基基于MPPLS技技术的VVPN通通过改善善和加速速数据包包处理提提高VPPN效率率，集隧隧道技术术和路由由技术优优点于一一身，组组网具有有极好的的灵活性性和扩展展性。用用户只需需一条线线路接入入VPNN网，便便可以实实现任何何节点之之间的直直接通信信。不过过基于MMPLSS技术的的VPNN技术本本身还有有一个成成熟的过过程，但但是它代代表了VVPN的的发展方方向。 1.4 漏漏洞识别别与检测测系统大部分管理理员采用用安全漏漏洞扫描描工具对对整个系系统

33、进行行扫描，了了解系统统的安全全状况，如如Miccrossoftt Baasellinee Seecurrityy Annalyyze.许多国国产杀毒毒软件也也提供安安全测试试程序：将存在在的漏洞洞标示出出来，并并提供相相应的解解决方法法来指导导用户进进行修补补。扫描描方式的的漏洞检检测工具具往往无无法得到到目标系系统的准准确信息息，因此此无法准准确判断断目标系系统的安安全状况况。模拟拟攻击测测试是解解决这一一问题的的有效方方法，可可以准确确判断目目标系统统是否存存在测试试的漏洞洞。但是是由于漏漏洞的多多样性和和复杂性性，现有有的模拟拟攻击测测试系统统发展缓缓慢。2、数据加加密技术术在网络中，

34、计计算机的的数据以以数据包包的形式式传输。为为了防止止信息被被窃取，应应当对发发送的全全部信息息进行加加密。加加密传输输形式是是一种将将传送的的内容变变成一些些不规则则的数据据，只有有通过正正确的密密钥才可可以恢复复原文的的面貌。根根据密钥钥的特点点，加密密算法分分为对称称密钥加加密算法法（私钥钥密码体体制）和和非对称称密钥加加密算法法（公钥钥密码体体制）。目目前常用用的对称称密钥加加密算法法有DEES（Datta EEncrrypttionn Sttanddardd） 算法和和IDEEA（Intternnatiionaal DDataa Enncryyptiion Alggoriithmm）

35、算法法。常用用的非对对称密钥钥加密算算法有RRSA算算法和EEIGaamall算法。非非对称密密钥加密密算法在在实际应应用中包包括以下下几种安安全技术术方式：数字摘摘要技术术，即单单向哈希希函数技技术、数数字签名名技术、数数字证书书技术等等。非数学的加加密理论论与技术术近年来来也发展展非常迅迅速，成成为继传传统加密密方式后后的一种种新的选选择：（1）信息息隐藏（Infformmatiion Hiddingg） 即信息息伪装，也称数数据隐藏藏（Datta HHidiing）、数字字水印（Diggitaal WWateermaarkiing），是将将秘密信信息秘密密地隐藏藏于另一一非机密密文件之之

36、中，利用数数字化声声像信号号对于人人们的视视觉、听听觉的冗冗余，进行各各种时空空域和变变换域的的信息隐隐藏，从而实实现隐藏藏通信。主主要以灰灰度/彩色图图像、音音频和视视频信息息以及文文本作为为信息隐隐藏的载载体，代代表算法法有LSSB算法法和DCCT变换换域算法法。（2）量子子密码（Quaantuum CCrypptoggrapphy） 是以Heeiseenbeerg测测不准原原理和EEPR（Einnsteein Rossen）效应为为物理基基础发展展起来的的一种密密码技术术，真正实实现一次次一密码码，构成理理论上不不可破译译的密码码体制。量量子密码码的研究究进展顺顺利，虽虽然还有有很多问问

37、题需要要解决，但但某些方方面尤其其是子密密钥分发发已经逐逐步趋于于实用。3、身份认认证技术术网络的虚拟拟性使得得要保证证每个参参与者都都能被无无误地识识别，就就必须使使用身份份认证技技术。在在计算机机网络中中，现有有的用户户身份认认证技术术基本上上可以分分为3类：（1）基于于口令的的认证方方式基于口令的的认证方方式是最最基本的的认证方方式，但但是存在在严重安安全隐患患。安全全性完全全依赖于于口令，一一旦口令令泄漏，用用户即被被冒充；而且用用户选择择的口令令比较简简单，容容易被猜猜测。（2）基于于安全物物品的认认证方式式主要有电子子签名和和认证卡卡两种方方式。电电子签名名是电子子形式的的数据，是

38、是与数据据电文（电电子文件件、电子子信息）相相联系的的用于识识别签名名人的身身份和表表明签名名人认可可该数据据电文内内容的数数据。目目前广泛泛应用于于电子商商务实践践的电子子签名即即数字签签名，是是通过向向第三方方的签名名认证机机构提出出申请，由由机构进进行审查查，颁发发数字证证书来取取得自己己的数字字签名。用用户在发发送信息息时使用用自己的的私有密密钥对信信息进行行数字签签名，再再使用接接受方的的公共密密钥将信信息进行行加密传传输，接接收方使使用自己己的私有有密钥解解密信息息，同时时使用发发送方的的公开签签名密钥钥核实信信息的数数字签名名。智能能卡认证证方式具具有硬件件加密功功能，因因而具有

39、有较高的的安全性性。进行行认证时时，用户户输入个个人身份份识别码码（PIIN），智智能卡认认证PIIN成功功后，即即可读出出卡中的的秘密信信息，与与验证服服务器之之间进行行认证。 （3）基于于生物特特征的认认证方式式以人体唯一一的、可可靠的、稳稳定的生生物特征征（如指指纹、虹虹膜、人人脸、掌掌纹、耳耳郭、声声音）为为依据，利利用图像像处理与与模式识识别技术术进行认认证。基基于密码码的认证证技术存存在密码码难以记记忆，容容易被黑黑客破译译的缺点点。而基基于生物物特征的的认证方方式具有有很好的的安全性性、可靠靠性和有有效性，正正逐渐成成为一种种新的身身份认证证方式，特特别是近近几年来来，全球球生物

40、识识别技术术的飞速速发展为为生物认认证提供供了广泛泛的技术术支持。其其中，基基于人脸脸识别的的认证技技术已经经成为当当前的研研究热点点，主要要方法有有基于几几何特征征的人脸脸识别方方法与基基于统计计的人脸脸识别方方法，并并且已有有产品投投入网络络安全领领域，如如Truue FFacee Cyyberr Waatchh.4、数据库库安全机机制数据库安全全最重要要的一点点就是确确保只授授权给有有资格的的用户访访问数据据库的权权限，同同时令所所有未被被授权的的人员无无法接近近数据，这这主要通通过数据据库系统统的存取取控制机机制实现现。存取取控制机机制主要要包括两两部分：（1）定义义用户权权限，并并将

41、用户户权限登登记到数数据字典典中。（2）合法法权限检检查，每每当用户户发出存存取数据据库的操操作请求求后，DDBMSS查找数数据字典典，根据据安全规规则进行行合法权权限检查查。若用用户的操操作请求求超出了了定义的的权限，系系统将拒拒绝执行行此操作作。一旦数据遭遭到破坏坏，就必必须采取取补救措措施。建建立严格格的数据据备份与与恢复管管理机制制是保障障数据库库系统安安全的有有效手段段。数据据备份可可以分为为2个层次次：硬件件级和软软件级。硬硬件级的的备份是是指用冗冗余的硬硬件来保保证系统统的连续续运行。软软件级的的备份指指的是将将系统数数据保存存到其他他介质上上，当出出现错误误时可以以将系统统恢复

42、到到备份时时的状态态，这种种方法可可以完全全防止逻逻辑损坏坏。5、第三方方认证CCA与采用其他他交易方方式相比比，采用用电子商商务交易易模式的的各方还还有更多多的风险险，这些些在电子子商务中中所特有有的风险险有：卖卖方在网网站上对对产品进进行不实实宣传，欺欺诈行为为的风险险；买方方发出恶恶意订单单的风险险；交易易一方对对电子合合同否认认的风险险；交易易信息传传送风险险，如信信息被窃窃、被修修改等风风险。这这些风险险的存在在，需要要设立第第三方认认证技术术中心，为为在网上上交易各各方交易易资料的的传递进进行加密密、验证证和对交交易过程程进行监监察。CCA认证证技术中中心是一一个确保保信任的的权威

43、实实体，它它的主要要职责是是颁发证证书，验验证用户户身份的的真实性性。任何何相信CCA的人人，按照照第三方方信任原原则，也也都应该该相信持持有证明明的用户户。CAA发放的的证书有有SSLL和SETT两种。SSSL （Seccuree Soockeets Layyer）安全协议又又叫“安全套套接层协协议”，主要要用于提提高应用用程序之之间数据据的安全全系数，一一般服务务于银行行对企业业或企业业对企业业的电子子商务。SET协议（Secure Electronic Transaction）位于应用层层，用来来保证互互联网上上银行卡卡支付交交易安全全性，一一般服务务于持卡卡消费、网网上购物物等。结论电子商务的的开展以以信息技技术为基基础，如如何解决决电子商商务中存存在的安安全问题题已成为为一个迫迫在眉睫睫的课题题。电子子商务风风险是不不可能完完全消除除的，因因为它是是与电子子商务共共生的，是是电子商商务的必必然产物物，但是是，可以以将风险险限制在在影响最最小的范范围之内内。只有有了解风风险，才才能规避避风险。本本文从安安全风险险管理的的角度出出发，分分析了电电子商务务中可能