MBA教程电子商务 第四章电子商务的支撑技术siml

第四章电子商务的支撑技术

企业顺利开展电子商务需要一个良好的环境，这包括企业内外的环境，需要企业本身、企业的合作伙伴、政府部门和社会的共同努力，积极采用先进技术和建立相关管理机构，以保证电子商务安全、快速、可靠、有序开展。这里涉及到电子商务的多项支撑技术，也是这一章的主要内容。Internet及Intranet技术电子商务安全及相关安全技术电子结算系统现代物流技术（见第五章）一、Internet及Intranet技术

1、Internet及Intranet技术的技术基础2、TCP/IP网络通信协议

（也叫互联网协议）网络协议：在网络系统中,一般情况下同类型的计算机与计算机,终端与终端之间实现通信比较容易,而不同类型的计算机,终端之间的通信就相当困难.针对通信过程中的各种问题,指定一套约定,即网络系统的通信协议.TCP/IP协议：是Internet采用的网络协议标准,也是全世界采用的最广泛的工业标准。它是一个协议系列,用来将各种计算机和数据通信设备组成实际的计算机网络。TCP/IP能很好地连接不同厂家的不同类计算机，组成计算机网络，兼容性好，节省用户投入。(补一图:A--B)TCP和IP是两个分开的协议，各自完成不同的功能。TCP协议：负责数据从发送方正确的传递到接受方，是端到端的数据流传送，是面向联接的，因此在传递数据之前，先要建立连接。因为数据可能在中间的网络丢失，TCP能检测数据的丢失，并重发数据，直到数据被正确的、完整的接受为止。IP协议：是Internet和Intranet最基本、最重要的协议。IP的功能是在需要通信的两台计算机之间，通过网络的路由传递数据。它提供数据包从源主机传递至目的主机。一个IP协议数据单元（数据包）是有限长的，包含一个报头和相应要传送的数据。二、电子商务安全及相关安全技术

电子商务不安全，顾客和企业就都不会接受这种EC方式，特别是顾客。保证电子商务的安全是人们最关心和最基本的要求，这是网上交易的基础，是电子商务的核心问题，也是技术上的难点。（例：黑客Hacker、红客Honker、病毒、信用卡密码网上窃取等问题）这章内容内涉及：安全概述电子商务的安全问题电子商务的安全措施1、安全概述

这里的安全是指企业的信息网络软硬件系统的安全并保证企业合法的正常的网络使用（网络访问、信息传输等等）。凡企业的资产（包括知识产权）受到未授权的或非正常的访问、使用、修改或破坏，称为安全威胁。主要涉及下列四方面的内容：保密：防止未授权的数据暴露并确保数据源的可靠性。如现在每月有非法进入政府网络或网上窃取信用卡号码等。（这种问题最多，中美红客黑客五一大比拼）完整：防止未授权的数据使用、修改。（计算机犯罪，修改存款额；在网上非法使用材料，侵犯知识产权等）即需服务：防止服务延迟或拒绝服务。即在网上被非正常地延迟服务或被拒绝服务。如1999年5月中国黑客用无用信息堵塞美国白宫网站，阻碍正常用户的访问等。信息网络软硬件系统安全：防止网络系统瘫痪或运行不正常。如病毒入侵，每年的4-26CIH病毒,Iloveyou等破坏计算机系统的硬件和软件。2、电子商务的安全问题

具体到电子商务，其安全问题涉及到:商务整个过程分为如下四个方面：(像“解放军的超限电子战，不对称作战”）A)、对客户机（用户端）的安全威胁：

当用户浏览网页并执行页面上的某些活动程序时，这些程序常常下载到客户机上运行，并能读取、更改客户机的数据资源。如果这样的程序是恶意的，就会造成用户客户机上的信息泄露。（如，动态页面中java小程序，ActiveX控件，如特洛伊木马程序，Cookie个人信息泄漏等）电子邮件带病毒的附件。（宏病毒、Happy99、CIH等）这些常叫“隐蔽信息”（即附在信息中的信息）。客户机（用户）企业电子商务服务器InternetB)、对通信信道的安全威胁

电子商务的通信信道其实就是连接客户和企业厂商的中间通信网络，即Internet，所以就是Internet的安全问题。目前的Internet开放性很强，自由，信息传送并无专用固定网络路径，反过来安全性就较差了（TCP/IP的缺陷）。信息保密性威胁：上Internet能造成用户的保密或个人隐私信息在网络传输半途能被暴露或窃取。原因是Internet技术上的固有缺陷。（如网上信用卡信息泄露、口令泄露）信息完整性威胁：通过非法的主动搭线窃听，未经授权修改网络上的信息。如，改变订货名称、单价等等。“电子伪装”信息服务即需性威胁：故意造成延迟服务或拒绝服务。如发冗余信息堵塞通信信道，延误正常的响应服务。如1999年对白宫网站的Ping无用连接，Internet蝓虫攻击，网上股票交易的延迟响应等。D)、、交易易者身身份及及网络络行为为的不不确定定威胁胁电子商商务作作为一一种新新的商商务交交易方方式，，并借借助网网络进进行，，交易易的手手段与与传统统的商商务有有很多多的不不同，，交易易者可可以利利用当当前电电子商商务技技术和和环境境的不不完善善和不不成熟熟造成成交易易对方方的损损失。。交易者者身份份的不不确定定性：：与传传统商商务不不同，，网上上交易易者没没有面面对面面，也也许相相隔千千里，，“骗骗子””，““黑店店”等等都有有可能能。需需要方方便可可靠地地确认认对方方身份份。--“电子子身份份”交易行行为的的不确确定性性：一一般交交易达达成后后是不不可否否认的的。但但电子子交易易者对对电子子交易易行为为有可可能因因为商商情的的变化化而否否认、、变化化、修修改等等。这这需要要技术术上确确认电电子交交易通通信过过程的的每一一环节节，在在技术术上保保证电电子交交易协协议的的不可可单方方面变变更。。--“电子子合同同的传传输保保密、、认证证”3、电电子商商务的的安全全措施施保护构构成电电子商商务系系统的的电子子资产产，对对电子子商务务的生生存是是必需需的。。上节节简述述了电电子商商务的的一些些安全全问题题，这这里将将针对对这些些安全全隐患患提出出电子子商务务的安安全措措施。。虽然这这些措措施并并不是是万能能的，，即不不能100%保保证电电子商商务体体系的的安全全，但但更多多更新新的安安全技技术正正不断断被开开发采采用，，以保保证电电子商商务这这一崭崭新的的有广广阔发发展前前景的的新世世纪商商务形形式的的顺利利进行行和发发扬光光大。。矛与盾盾的较较量将将是持持久的的，但但新的的有生生命力力的电电子商商务终终会在在世界界和我我国蓬蓬勃发发展起起来。。科学家家已认认识到到Intenet的的技术术基础础TCP/IP协议议的不不足，，正在在加紧紧制定定新的的更安安全的的新一代代TCP/IP协议议体系，，来提提高Internet的的安全全，，从而而促进进电子子商务务的安安全。除此之之外，，电子子商务务的安安全措措施或或技术术主要要有：：保护知知识产产权措措施保护客客户机机措施施保护电电子商商务的的通信信信道道措施施保护电电子交交易的的完整整性措措施保护电电子商商务的的后台台服务务器措措施A)、、保护护知识识产权权措施施数字知知识产产权比比传统统知识识产权权更难难保护护，在在网上上就更更难保保护。。迄今今为止止，绝绝对对可靠靠的保保护手手段和和技术术均不不现实实，都都可提提供供一定定程度度的保保护，，但也也各有有不足足。现现有的的保护护手段段和技技术为为：（（3种））国家立立法保保护：：如版权权法应应用到到Internet或其其他数数字媒媒体上上，起起威慑慑作用用。如如：我我国正正在制制订Internet上上的相相关法法律，，以创创建一一个良良好的的电子子商务务运作作环境境。WPO（世世界知知识产产权组组织））一直直在推推进和和监督督国际际数字字化版版权的的问题题。““行行政手手段””数字水水印：：是隐蔽蔽地嵌嵌入在在数字字图象象或声声音文文件里里的数数字码码或数数字流流。也也叫““信息息隐蔽蔽法””来生生成数数字水水印，，将来来方便便对使使用者者使用用数字字产品品的追追踪或或控制制。数数字水水印没没有消消极影影响。。如美美国ARIS和和Digimarc公司司提供供的数数字水水印保保护和和软件件。数字信信封：：也叫信信息认认证码码。即即给要要出售售的数数字信信息文文件外外部加加一把把数字字锁。。如，，SOFTLOCK公司司使用用SoftLock技术术，作作者和和版权权所有有者可可以只只允许许采购购者打打开文文件，，没有有特定定的数数字钥钥匙就就打不不开。B)、、保护护客户户机措措施指保护护客户户机（（即用用户端端上网网计算算机））不受受上下下载的的软件件和数数据的的安全全威胁胁。如如前面面的动动态页页面、、邮件件病毒毒、假假网站站等。。下面面为常常用的的一些些保护护客户户机的的措施施（防防止或或减少少）。。（5种））数字证证书：：指电子子邮件件附件件或嵌嵌入在在网页页里的的程序序，类类似于于驾照照或身身份证证上的的照片片，确确认为为合法法软件件开发发商。。通过过数字字证书书，可可以证证明所所提供供的软软件是是真实实的，，不是是伪造造的，，是通通过专专业数数字证证书认认证中中心认认证过过和认认同的的。如如著名名的VeriSign认认证中中心。。新版IE浏浏览器器和Navigator浏览览器的的内置置保护护功能能：如IE采用用的MicroSoft的Authenticode技技术来来验证证所下下栽程程序或或数据据的身身份，，但这这种技技术只只能对对你所所信任任的人人或网网站进进行判判断。。“只只防君君子””Cookie控控制：：Cookie类类似于于一种种记忆忆功能能，如如在上上网时时能记记住用用户这这次输输入的的用户户名和和口令令等，，下次次在这这台计计算机机上做做同样样的事事时就就无需需重新新输入入口令令等。。Cookie的的问题题在于于它以以不为为人觉觉察的的方式式收集集用户户的个个人信信息，，可能能被人人窃用用。通通过在在IE5浏浏览器器中设设置Cookie的的有效效期长长短或或安全全级别别可控控制Cookie问问题。。防病毒毒软件件：在客户户机上上安装装配置置防病病毒软软件并并定时时更新新或升升级。。雇佣或咨询询“防止计计算机犯罪罪专家”。。C）、保护护电子商务务的通信信信道措施提供电子商商务通道的的安全意味味着保证通通道保密性性、消息完完整性和通通道可用性性。这方面面的安全问问题最广为为人知，报报纸、网站站、电视等等媒体每天天均有Internet被攻攻击的报道道，讲述黑黑客通过不不安全的网网络通信通通道进入企企业的计算算机系统。。保保证网网络通信通通道的措施施主要就是是密码技术术。具体到到电子商务务，主要有有如下几种种措施：1）采用密密码技术：：对信息加加密解密。。密码技术非非常重要，，常专用于于军事通信信，在密码码技术最发发达的美国国，由国家家安全局控控制加密算算法的发布布。有些加加密算法非非常重要，，美国政府府甚至禁止止公布其细细节，也禁禁止出口这这些加密算算法。““巴统”、、“高科技技出口”限限制原理：密码技术是是保证网络络、信息安安全的核心心技术。信信息发送者者对信息自自然语言格格式进行加加密,使其其变成密文文后再发送送,当然信信息的接收收者要将受受到的密文文进行解密密后才能得得到自然语语言格式.现在常用加加密和解密密方法：实际的加密密技术比上上述例子复复杂可靠得得多，对信信息进行加加密时要使使用密钥，，即发送方方将明文用用密钥加密密后发送，，接受方再再通过密钥钥将密文还还原成明文文。按密钥钥和相关加加密程序类类型可分为为三类加密密技术：数字摘要公开密钥加加密私有密钥加加密数字摘要：：DigitalDigest,也称称Hash（散列））编码法。。如RSA公公司提出的的MD5（（128位位）。还有有SHA1等--由Ron.Rivest教授授设计。该该编码法采采用单向Hash函函数将需加加密的明文文“摘要””成一串128bit的密文文。--这一串串密文亦称称“数字指指纹”。--它它有固定的的长度，而而且不同的的明文摘要要成密文，，其结果总总是不同的的，而同样样的明文其其摘要必定定一致。--这这样根据这这种原理，，数字摘要要便成为验验证明文是是否是“真真身”的““数字指纹纹”了。(mouse见图））信息：ABCDDFDFDFDFKKKKDFD…..HASH函数唯一摘要：kkfgdd信息的数字指纹私有密钥加加密也称作对称称加密，其其加密和解解密使用同同样的密钥钥，也就是是说只用一一个密钥（（如“1234566”）。。（Mouse见图图）-------信息息发送者和和接收者都都必须知道道密钥。-------对对信息加密密和解密均均很快，效效率高。-------需需细心保存存密钥，一一旦泄露，，以前的所所有信息都都失去保密密性。-------主要要应用在类类似国防系系统等专业业部门。-------不不太适应Internet这这种大环境境、不固定定用户的要要求。否则则需要为每每对用户产产生一个密密钥，这样样密钥的组组合与数量量是天文数数字。-------应用用最广的私有密钥加加密系统：：DES，数数据加密标标准（DataEncryptStandard)。这种加加密算法经经常采用，，是美国政政府用来加加密敏感或或商业信息息的标准。。但美国政政府规定某某些加密算算法只能在在美国国境境内使用，，而把有些些功能教差差的加密算算法可在国国外使用。。明文明文李计算机加密刘计算机解密密文传送同一把密钥其中DES算法：DES为数数据加密标标准（DataEncryptStandard)。这种加加密算法经经常被采用用。由IBM公司开开发出来的的。如美国军用用DES为为128位位，民用则则为64位位。不过DES至今仍被被广泛使用用。公开密钥加加密公开密钥加加密又称不不对称加密密，它用两两个数学相相关的密钥钥对信息进进行编码。。是1977年等由由Ronald.Rivest等三位位麻省教授授发明的，，称为RSA公开密钥加加密系统。。这是一种种敏感信息息交换方式式上的革命命。RSA工作作原理：在加密和解解密过程中中要使用一一对(两个个)密钥，，其中一个个密钥叫公公开密钥，，可随意发发给期望同同密钥持有有者进行安安全通信的的人，公开开密钥用于于加密。第第二个密钥钥是私有密密钥，属于于密钥持有有者，不公公开，仔细细秘密保存存，密钥持持有者用私私有密钥对对收到的信信息进行解解密。例：比如TOM想给给ANMY发信息，，有如下操操作步骤：：

----TOM通过公公开渠道取取得ANMY的公开开密钥X；；

----TOM用ANMY的公公开密钥X对自己己要发的信信息加密，，借助助网络发送送把密文给给ANMY。----这这时的密文文只能用ANMY对对应的私有有密钥Y才才能解密，，连ANMY的的公开密钥钥X也无法法解密。----ANMY收到TOM发来来的密文后后用自己的的私有密钥钥Y解密，， 能确确认是发给给自己的。。

----反之之亦然。可可以看出密密钥X与与Y只能互互相加、、解密。（Mouse见图））明文明文李计算机加密刘计算机解密密文传送用刘的公开密钥刘用自己的私有密钥公开密钥加加密特点：：-------信息发发送者和接接收者知道道不同的密密钥。-------对信信息加密和和解密较慢慢。

-------只需细细心保存个个人的私有有密钥，而而另一把公公开密钥可可在合法机机构上上公布。-------可可以应用在在类似Internet等这这样大众化化、大范围围的网络上上。如如开展电电子商务-------需需要的密钥钥总对数不不多。-------密钥钥的发布不不成问题，，如果需要要，可在大大众传媒发发表个人的的 公开开密钥。-------这这种加密方方法可实现现数字签名名。““防抵赖””，电子商商务必需。。-------公开开密钥加密密系统并不不是要取代代前面的私私有密钥加加密系统，， 二者者相互补充充。公开密密钥加密系系统除RSA算法外外还有有ECC等等。D）、保护护电子交易易完整性措措施电子交易完完整性含义义：电子商务最最终要涉及及客户机浏浏览器向商商务服务器器发出结算算信息、订订单信息与与结算指令令以及商务务服务器返返回的订单单确认信息息等。如果果某一方或或闯入者改改变了这些些商务信息息，或随意意抵赖已确确认的交易易，将严重重破坏交易易的完整性性，带来灾灾难性后果果。““也就是说说要在网上上严肃认真真地安全交交易”保护电子交交易完整性性的主要措措施为：（常常结合合在一起使使用）数字签名数字时间戳戳数字证书权威认证中中心数字签名（（DigitalSignature)数字签名含含义：又称电子签签名，它是是一个仅能能由发送方方才能产生生的标记，，其他人只只能简单的的识别该标标记是属于于谁的，数数字签名是是同真实签签名有相同同效果的一一种技术。。和真实书书面签名一一样，数字字签名能确确认以下两两点：------信息是是有签名者者发送的。。““WHO”------信息自自签发后到到收到为止止未曾作过过任何修改改。“TRUE”用途及特点点：数字签名可可以用来防防止电子信信息因易被被修改而有有人作伪；；或冒用别别人名义发发送信息；；或发出（（收到）信信件后有加加以否认等等。数字签名并并非用“手手书签名””之类的图图形标志，，他采用了了双重加密密的方法来来实现“防防伪”、““防抵赖””。它是使用前前面的“公开密钥钥加密方法法”和“数字摘要要(Hash编码法法）”两种技术合合作来完成成的。数字签名技技术原理和和操作过程程为：（下页图示示）发送方Tom将被发发送文件用用SHA散散列编码加加密产生128bit的该文文件的数字字“摘要A”。发送方Tom用自己己的私用密密码对“摘摘要A”再再加密，这这就形成了了“数字签签名”。发送方Tom将加密密的摘要（（即刚形成成的“数字字签名”））和原文同同时发送给给接受方Anmy。。接受方Anmy用发发送方的公公开密钥对对收到的加加密摘要（（数字签名名）解密，，得到“摘摘要A”。。（这里能解解密得到““摘要A””，就能唯唯一确认是是发送方Tom发来来的文件，，“who”,“不不可抵赖””，数字签签名作用一一）接受方Anmy同时时对收到的的原文用SHA编码码加密又产产生另一新新的数字““摘要B””。接受方Anmy将““摘要A””和“摘摘要B”相相互对比。。如两者一一致，则说说明传送过过程中文件件信息没有有被破坏或或篡改过。。否则就有有问题。（到这里就就能“防伪伪”，“true””，数字签签名作用二二)数字签名的的过程示意意图为：信息原文数字摘要A数字签名数字签名数字摘要A数字摘要B信息原文信息原文比较两者如一致SHA加密Tom的私钥SHA加密加密发送Tom的公钥解密发送发送方Tom接收方Anmy信息原文被确认数字时间戳戳DTS(Digitaltime-stamp)数字时间戳戳服务DTS主要要用来提供电电子文件发发表时间的的安全保护护。交易文文件中，时时间是很重重要的信息息，可以防防止文件被被伪造和修修改。在电电子交易中中同样需要要对交易文文件的时间间和日期信信息采取安安全措施。。DTS产生生过程（略略）DTS是是是一个经加加密后形成成的凭证文文挡。（内内容含文件件摘要、DTS收到到文件件的日期和和时间、DTS的数数字签名））DTS是网网上的一个个安全服务务项目，由由专门的认认证机构提提供。DTS也可可用于科学学家发明文文献时间的的认证。数字证书(Digitalcertificate,DigitalID)或叫数字凭凭证，是用用电子手段段来证实一一个用户的的合法身份份和对网络络资源访问问的权限。。在网上电电子交易中中，若交易易双方出示示了各自的的数字证书书，并用它它来进行交交易操作，，则双方都都可不必为为对方的身身份的真伪伪担心。数字证书的的内容格式式由CCITTX.509国际标准准所规定，，包含有数数字证书拥拥有者A的的姓名、A的公共密密钥及有效效期、颁发发证书的单单位及其数数字签名、、证书序列列号。数字证书有有三种类型型：个人数数字证书（（安装在个个人浏览器器内）、企企业服务器器证书（有有证书的Web服务务器会自动动地将其与与客户端浏浏览器通信信的信息加加密）、软软件证书（（通常为Internet中中被下载的的软件提供供凭证）。。由第三方专专业权威认认证中心提提供数字证证书。权威认证中中心（CA，CertificationAuthority)E）、保护护电子商务务的后台服服务器措施施1）、服务务器的访问问控制和认认证措施服务器的访访问控制和和认证是指指采取措施施控制访问问服务器的的人和访问问的内容，，并验证期期望访问服服务器的用用户的身份份。这方面主要要的技术措措施有：采用用户的的“数字证证书”验证证。（用户户身份、证证书有效期期等）采用传统的的“用户名名/口令””控制访问问方法。采采取建立后后台专门的的用户名/口令文件件或数据库库，并以明明文保存用用户名，以以加密方式式来保存口口令（UNIX系统统采用的方方法）设置服务器器文件的访访问控制表表。如设置置文件的可可见、读、、写、修改改和运行等等权限级别别，分别别按需求分分配给不同同的用户，，以达到服服务器资源源的合理控控制和利用用。2）、服务务器操作系系统本身安安全控制措措施运行的操作作系统基本本都有“用用户名/口口令”的自自身用户认认证系统，，这为在其其上运行的的电子商务务服务器提提供了安全全子结构。。如UNIX、WINDOWS2000Server等的C2级安全管理理。3）、防火火墙（FireWall)保保护措施防火墙是一一种在需需要保护的的网络同可可能带来安安全威胁的的Internet或其他网网络之间建建立的一层层保护措施施，可以是是一个或一一组硬软件件系统。防防火墙实质质上是把把公司网(安全网)与外部网网(非安全全网)进行行安全隔离离，世界上上代表了企企业网络的的访问原则则。(见下页防防火墙应用用示意图）防火墙是具具有下列特特征的计算算机：（特征略讲讲）通常是内部部网络安全全的第一层层防护。要要保护的网网络如企业业内部网Intranet放放在防火墙墙内，称为为安全网络络；其他网网络如Internet则处处在防火墙墙外面，称称为非安全全网络。由内到外和和由外到内内的所有访访问都要经经过防火墙墙。只允许许特定的信信息流入和和流出被保保护的网络络，相当于于过滤设备备。“双双向控制””只有本地安安全策略所所定义的合合法访问才才被允许通通过它。防火墙的应应用示意图图为：Internet企业内部网络（如Intranet)防火墙系统（堡垒主机+路由器等）非安全网络安全网络防火墙的种种类按照防护工工作方式的的不同，常常见的防火火墙种类有有如下3种种：a)、包过过滤防火墙墙：包过滤（PacketFilter)就是对对网络上的的传来的数数 据包实实施有选择择的通过。。基于IP网络层的的安全机制制，利用制制 定的包包过滤规则则（即安全全访问控制制表）进行行安全控制制。如检查查信息包包的源IP地址、目目标IP地地址及入网网的TCP端口等，，根 据预预先设定的的规则拒绝绝或允许这这些包进入入企业内部部网络。特点：可以是把软软件直接做做在路由器器里面的““过滤路由由器”也可以是纯纯“包过滤滤器”软件件，安装在在路由器上上或充当路路由器的PC机上。。目前已安安装防火墙墙80%都都是这种方方式。灵活活、方便升升级和便宜宜。外部网内内部网网b)、应用网关防防火墙：与包过滤防防火墙工作作原理类似似，但过滤滤的 原则则是根据所所请求的网网络应用服服务，即在在网络协议议的应用层层 来过滤滤请求和登登录。如限限制象Telnet、Ftp、Http等应用用的访访问。又如如，一个网网关级的安安全策略可可允许内向向的FTP请求求，但不允允许外向的的FTP请请求，这样样可防止内内部员工从从外部网网下载有病病毒的软件件。特点：提供用户级级别和应用用协议层的的访问控制制，安全性性较高。还要干网络络协议转换换这个网关关的本行。。c)、代理理服务防火火墙：代理服务（（ProxyService）防火火墙使用了了 和包过过滤不同的的方法。代代理服务务就是将外外来的对企企业内部网网服务器的的访问，由由代理服务务防火墙先先接收下来来，经过安安全处理后后，再传给给相应的服服务器，这这样能使众众多的企业业网内部应应用服务器器对外隐藏藏起来对外外“不可见见”）而免免遭攻击。。Internet企业内部网络（如Intranet)非安全网络安全网络由此堡垒机为特定网络服务提供代理（相当于股票代理人）代理服务防防火墙特点点：最终用户需需要学习和和特定培训训才能使用用代理服务务，不太方方便。透明性差（（需要网络络管理员协协助多，也也是灵活和和更安全的的代价）。。会使网络性性能明显下下降，如速速度慢等，，相当多的的防火墙不不能处理高高负载的网网络通信。。如263免费Web邮件，，有时用代代理就登录录不成功。。防火墙技术术的评价和和发展趋势势发展趋势：：从包过滤和和代理服务务的分析可可以看出，，这两种模模式均有有一定的缺缺陷，因此此防火墙技技术在继续续发展。发展目标：：具有高度安安全性、高高透明性、、高网络性性能的防火火墙防火墙技术术安全防护护评价：目前流行、、较可靠的的保护企业业内部网的的措施。上述“高度度安全性””、“高透透明性”、、“高网络络性能”这这3个因素素 本来是是相互制约约、相互影影响的，同同时追求3项高指标标 难度极极大，目前前企业应根根据自己的的需要，，寻找一个个 平衡点点，来兼顾顾这些。网络安全的的辨证总结结：企业网网络安全性性越 高，，同时也意意味着用户户和员工对对网 络使使用的不便便或透明性性不高或网网络 性能能降低。所所以企业在在考虑网络络安 全时时，必须根根据自己的的实际情况况尽 可能能兼顾。三、电子商商务的电电子结算算系统电子结算算系统需需求背景景及特点点：随着Internet不仅仅仅是一个个寻找信信息、发发Email和和聊天的的工具，，而被逐逐渐被看看作是企企业开展展电子商商务的主主要平台台，就必必然有一一个网上上支付的的问题。。具备一一个方便便、安全全、快捷捷的网上上支付手手段正成成为企业业、个人人在电子子商务活活动中日日益壮大大的需求求。电子结算算系统正正是满足足电子商商务这种种需求的的解决措措施。同同纸币或或纸制发发票相比比，电子子结算方方式要便便宜得多多，也有有利于环环境保护护，对企企业、顾顾客和社社会都有有好处。。电子结算算系统的的顺利实实施也借借助于上上节描述述的系列列网络安安全策略略。电子商务务电子结结算系统统的范围围：主要涉及及到如下下两种电电子商务务方式：：企业到消消费者（（BtoC）的电电子结算算方式企业到企企业（BtoB））的电子子结算方方式1、企业业到消费费者（BtoC））的电子子结算方方式这种电子子商务方方式（BTOC））的电子子支付问问题比较较新，比比较麻烦烦，是我我们讨论论的重点点。而企企业间电电子商务务BTOB方式电电子结算算已经比比较好的的方法了了，如采采用EDI（电子数数据交换换）。企业到消消费者（（BTOC）电子子商务方方式的电电子结算算系统主要有如如下几种种方式：：信用卡智能卡电子钱包包电子现金金电子支票票及其他他a）信用用卡CreditCard(含签签帐卡））结算信用卡是是目前社社会上个个人最常常用的电电子结算算方式，，顾客网网上购物物也大部部分采用用信用卡卡来结算算，因此此是目前前电子结结算最常常用的方方式，在在电子商商务发达达和信用用卡普及及的美国国，Internet购物80%以以上都采采用信用用卡来结结算。信用卡的的电子结结算特点点：信用卡结结算的一一系列操操作对消消费者是是透明的的。信用卡结结算过程程涉及：：商家及及其银行行、顾客客及其银银行、和和发行顾顾客信用用卡的公公司。Internet购物物，对有有形商品品，一般般只有在在货物送送给顾客客后才能能在你的的信用卡卡上取费费。但对对无形货货物如软软件等，，商家则则可立即即取费。。对网上预预订、缺缺货、退退货等电电子结算算问题，，可协商商。信用卡的的电子结结算步骤骤：顾客在商商家网页页上选购购商品后后，在支支付方式式上选择择信用卡卡结算。。顾客在信信用卡结结算页面面上填写写响应信信用卡的的个人私私有信息息（如卡卡类型、、卡号、、密码等等），在在线发送送给商家家网站。。商家收到到顾客的的信用卡卡部分信信息（如如密码不不可见））后，验验证信用用卡的有有效性（（如查卡卡号），，保证不不是偷来来的卡。。商家和发发卡单位位验证信信用卡上上是否有有足够的的资金，，并根据据本次交交易额冻冻结相应应的资金金（不马马上划拨拨）。在所购商商品送达达顾客后后，响应应的资金金通过双双方的银银行系统统转帐到到商家的的帐户上上。交易完成成。如下页图图示。InternetVISAVISA11112222网上消费者商家网站银行网络商业银行网上购物信用卡结算时信息传递信用卡电电子结算算的安全全问题：：一种新的的典型的的的安全全电子交交易协议议：SET协协议万事达和和VISA国际组织织在Microsoft、IBM、、HP、、GTE等公司司支持下下联合设设计了安安全电子子交易SET协议（SecureElectronicTransaction)，，为信信用卡信信息在商商家网站站和处理理银行之之间传输输提供安安全保证证。这是是一个为为了在因因特网上上进行在在线交易易而设立立的一个个开放的的以电子子货币为为基础的的电子付付款系统统规范。。已成为为事实上上的工业业标准。。目前，，它已获获得IETF标标准的认认可。。SET协协议其实实就是采采用RSA公开开密钥体体系对通通信双方方进行认认证，利利用DES、RC4或或任何标标准对称称加密方方法进行行信息的的加密传传输，并并用HASH算算法来鉴鉴别消息息真伪，，有无篡篡，特别别提供了了保密、、数据完完整、用用户和商商家身份份认证横横、顾客客不可否否认等功功能。在在SET体系中中有一个个关键的的认证机机构（CA），，CA根根据X.509标准发发布和管管理证书书。b）智能能卡结算算（IC卡）智能卡含含义：即在塑塑料卡上上安装嵌嵌入式微微型控制制器芯片片的IC卡，由由摩托罗拉拉和BuIIHN公司共同同于1997年年研制成成功。在在中国IC卡还还未真正正应用于于电子商商务活动动，但前前景和优优势却十十分明显显。在智智能卡芯芯片里可可以存储储个人的的大量信信息，如如个人的的身份证证信息、、财务数数据、帐帐户信息息、私有有加密密密钥、信信用卡号号码及保保险信息息等，信信息容量量比信用用卡大得得多。智能卡特特点：容量大，，借用微微处理芯芯片技术术，能把把原来的的个人信信用卡、、驾驶执执照、保保险卡、、身份证证、工作作证等都都集成到到一张智智能卡上上，让用用户使用用和携带带更方便便。智能卡比比传统信信用卡更更能防止止滥用，，卡上的的价值受受用户的的个人识识别码（（PIN）保护护，因为为智能卡卡上的信信息是加加密的。。例如传传统的信信用卡上上印有卡卡号，即即你的帐帐户号码码。智能卡需需要智能能卡刷卡卡器才能能使用技术较新新，在日日本、欧欧洲等非非常普及及，智能能卡刷卡卡器到处处都是，，已用于于交纳电电话费、、电视费费、水费费等。美美国也正正在使劲劲推广。。而国内通通信网络络的不完完善使得得智能卡卡这种电电子支付付方式比比较适合合中国的的国情。。因此，，于1993年年起在全全国范围围内开展了““金卡工工程”。用于电子商务务结算的Mondex智智能卡Mondex智能卡是能能存储电子现现金的智能卡卡，万事达公公司1990年开发的产产品。采用Mondex智能卡卡结算，必须须与专用的刷刷卡器实际接接触。Internet用户用Mondex智能能卡在网上结结算，必须在在PC机上连连接一个刷卡卡器，并立即即支付。（这这点对普及有有点麻烦）Mondex智能卡可以以直接从银行行或别的卡上上接收电子现现金，它以电电子形式储备备真正的现金金。“怕丢”，被被别人捡去用用了前途未卜，美美国消极。Mondex智能卡用于于电子商务结结算的步骤为为：网络消费者将将Mondex智能卡插插入刷卡器。。交易双方彼彼此验证。商家终端检查查消费者刚提提交的数字签签名来进行认认证。如果消消费者的数字字签名有效，，商家终端便便把自己的数数字签名传给给网络消费者者Mondex卡。商家终端在线线请求结算，，同时传输商商家的数字签签名。消费者Mondex卡检查商家的数字签签名。如果签签名有效，便便从消费者Mondex卡上减去交交易额。一旦电子现金金从消费者卡卡上减去，同同样金额的资资金便转到商商家的电子现现金帐号上。。c）电子钱包包结算E-Purse电子现金含义义：电子现金是（（E-Cash）一种以以数据形式流流通的货币。。它把现金数数值转换成为为一系列的加加密序列数，，通过这些序序列数来表示示现实中各种种金额的市值值，用户在开开展电子现金金业务的银行行开设帐户并并在帐户内存存钱后，就可可以在接受电电