《电子商务安全与管理》第1章

《电子商务安全与管理》2006年8月第一章电子商务安全现状与趋势第一节电子商务综述随着电子技术和因特网的发展，信息技术作为工具被引入到商贸活动中，产生了电子商务。通俗的说，电子商务就是在计算机网络（主要指Internet网络）的平台上，按照一定的标准开展的商务活动。当企业将它的主要业务通过内联网(Intranet)、外联网(Extranet)以及Internet与企业的职员、客户、供销商以及合作伙伴直接相连时，其中发生的各种活动就是电子商务。电子商务是运用电子通信作为手段的经济活动，通过这种方式人们可以对带有经济价值的产品和服务进行宣传、购买和结算。这种交易的方式不受地理位置、资金多少或零售渠道的所有权影响，公有私有企业、公司、政府组织、各种社会团体、一般公民、企业家都能自由地参加广泛的经济活动，其中包括农业、林业、渔业、工业、私营和政府的服务业。电子商务能使产品在世界范围内交易并向消费者提供多种多样的选择。（一）电子商务的定义电子商务从字面上解释就是通过电子手段进行商务活动。电子商务的英文表示有两种，EC(ElectricalCommerce)和EB(ElectricalBusiness)。目前还没有一个统一的、较为全面的、权威性的电子商务的定义。国际标准化组织在关于EB谅解备忘录中对EB的定义是：电子商务是企业之间、企业与消费者之间信息内容与需求交换的一种通用术语。全球信息基础设施委员会对电子商务的定义：电子商务是运用电子通信手段的经济活动，通过这种方式人们可以对带有经济价值的产品和服务进行宣传、购买和结算。一、电子商务的基本概念（一）电子商务的定义联合国国际贸易委员会对EC的定义是：电子商务是采用电子数据交换（EDI）和其他通讯方式增进国际贸易的职能。中国《电子商务世界》主编赵廷超认为：电子商务是运用现代通信技术、计算机和网络技术进行的一种社会经济形态，其目的是通过降低社会经营成本、提高社会生产效率、优化社会资源配置，从而实现社会财富的最大化利用。因此，电子商务是一种崭新的社会经济形态。另外还有一些IT公司根据自己的技术特点给出了对电子商务的定义，虽然各自差别很大，但是都认同：电子商务是利用现有的计算机硬件设备、软件技术和网络基础设施，通过一定的协议连接起来的电子网络环境中进行的各种各样的商务活动。一、电子商务的基本概念（二）电子商务的特性（1）商务性：即提供买、卖交易的服务、手段和机会（2）方便性：人们不再受地域的限制（3）整体性：可使用户更加有效地利用他们已有的资源和设备（4）可扩展性：必须确保系统具有可扩展性（5）安全性：系统网络能够提供一种端对端的安全解决方案（6）协调性：客户与公司内部、生产商、批发商、零售商之间的相互协作一、电子商务的基本概念3．国内外电子商务的发展现状及前景早在1997年，美国政府就颁布了《全球电子商务框架》，提出了发展电子商务的五项原则，即私人部门为主、避免不适当的限制、建立必要的法律环境、承认电子商务的特殊性和促进全球电子商务。相对于发达国家，我国开展电子商务存在着很多的制约条件，如网络基础设施的落后，标准商业环境的缺乏，法律制度的滞后，网络安全的隐患等等。目前，全球的Internet用户已近达数亿，企业的传统商务活动进入了新的电子商务时代。世界各大IT厂商积极推出的面向电子商务的软件产品和解决方案，使人们已越来越清楚地看到电子商务的优势和应用价值。Internet上的电子商务已被公认为现代商业的发展方向，这是一个发展潜力巨大的市场。一、电子商务的基本概念（一）电子商务的主要功能（1）广告宣传（2）咨询洽谈（3）网上购物（4）网上支付（5）电子账户（6）服务传递（7）意见征询（8）交易管理二、电子商务的主要功能及工作模式（二）电子商务的工作模式（1）企业间的电子商务(BusinesstoBusiness,一般简写为BtoB或B2B)（2）企业与消费者之间的电子商务(B2C)（3）消费者之间的电子商务(C2C)（4）企业与政府之间的电子商务(B2G)（5）消费者与政府之间的电子商务(C2G)（6）政府与政府之间的电子商务(G2G)二、电子商务的主要功能及工作模式（三）电子商务的基本工作流程我们以网上购物为例，来看看电子商务的基本工作流程：（1）登陆网上购物中心（网上商店）（2）浏览（3）选购（4）付款（5）配送二、电子商务的主要功能及工作模式三、电子商务的技术支撑与运行平台（一）电子商务的支撑技术（1）分布式计算技术：分布式计算技术可以把大负荷运算分散在多台机器上同时进行，并通过某种机制控制它们的协作。（2）网络技术：网络技术是电子商务的基础平台（3）数据存储技术：需要利用数据库技术来管理和存储数据（4）智能代理技术：帮助顾客更有效、更高效地搜集产品信息并进行价格和产品特点的比较；向顾客提供更个性化的服务；帮助企业更有效、更高效地观察环境，以便与新的发展同步；提高交易谈判的速度和效率等（5）电子数据交换技术：电子数据交换（ElectronicDataInterchange，EDI）是一种在公司之间传输定单、发票等作业文件的电子化手段（二）门户网站平台（1）网站的策划与设计（2）网站接入方式的选择：接入方式目前主要有两种：一是通过专线接入，自己建立网站；二是外购整体网络服务，包括虚拟主机和服务器托管。以上两种形式各有其优缺点，适用于不同的用户需求。①虚拟主机②服务器托管③网站域名申请④网站设计的要求和原则：明确目标和需求；网站主题鲜明；注重整体服务功能；注重网页设计制作；注重应用新技术。三、电子商务的技术支撑与运行平台四、电子商务的安全支撑环境（一）信息传输的安全技术（1）加密与解密技术：加密技术是电子商务采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。（2）防火墙(Firewall)：在内部网和外部网之间构造的一个保护层，在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入。（3）数字签名：数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议，使得收发数据的双方能够满足两个条件：接受方能够鉴别发送方所宣称的身份；发送方以后不能否认他发送过数据这一事实。（4）支付网关：支付网关是银行金融系统和Internet之间的接口，位于Internet和传统的银行专网之间，是由银行操作的将Internet上的传输数据转换为金融机构内部数据的设备，或由指派的第三方处理商家支付信息和顾客的支付指令。（二）安全电子商务的体系结构与技术平台四、电子商务的安全支撑环境（二）安全电子商务的体系结构与技术平台（1）数字证书：数字证书是由权威公正的第三方机构即证书认证机构（CertificationAuthority，CA）签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。（2）CA中心：数字证书认证中心-CA中心，就是一个负责发放和管理数字证书的权威机构，是电子商务中介与买卖双方之外公正的、权威的第三方，是电子商务中的核心角色。当电子交易双方都信任同一个CA时，两者就可以得到对方的公钥，从而能进行秘密通信、签名和检验。（3）CA安全认证系统：承担证书的签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定等任务。①证书的签发②交易时的认证四、电子商务的安全支撑环境（三）电子商务的相关标准、法规和法律（1）电子商务的技术标准①EDI标准：1987年，联合国欧洲经济委员会综合了经过10多年实践的美国ANSIX.12系列标准和欧洲流行的“贸易数据交换（TDI）”标准，制定了用于行政、商业和运输的电子数据交换标准（EDIFACT）。②识别卡标准：国际标准化组织（ISO）从80年代开始制定识别卡及其相关设备的标准，至今已颁布了37项。我国于90年代从磁条卡开始进行识别卡的国家标准制定工作。现有6项磁条卡国家标准，三项触点式集成电路卡（IC）国家标准。③通讯网络标准：目前国际上广泛应用的有MHS电子邮政系统和美国Internet电子邮政系统。我国制定通讯网络国家标准时，主要采用OSI标准。现在我国有146项网络环境国家标准。（2）涉及电子商务的法律法规：今年以来国家相继出台了《互联网信息服务管理办法》、《互联网电子公告服务管理规定》、《互联网从事登载新闻业务管理暂行规定》等相关法规。四、电子商务的安全支撑环境（三）电子商务的相关标准、法规和法律（3）国内外电子商务立法方面的重点问题①电子合同与电子签名②电子认证③知识产权④电子货币与电子支付⑤物流配送⑥市场准入四、电子商务的安全支撑环境第二节电子商务安全概述电子商务业务运作模式的开放性和全球化使得安全的含义更为广泛，安全性方面的管理要求更高，所受到重视的程度更高。电子商务的安全不仅仅是狭义上的网络安全，比如防病毒、防黑客、入侵检测等等，从广义上讲还包括信息的完整性以及交易双方身份的不可抵赖性，从这种意义上来说，电子商务的安全涵盖面比一般的网络安全要广泛得多，从整体上可分为两大部分：计算机网络安全和商务交易安全。现实使得人们对电子商务的安全程度忧心忡忡——连财大气粗的花旗银行都不能确保自己网络系统的安全，更何况是普通的企业和个人？在电子商务安全程度还不能得到充分保障的情况下，我们怎么可以放心的把自己的银行账号放到网上？我们怎么知道网络那一端的交易对象不是一家骗子公司呢？企业比以往任何时候都更需要知道其合作伙伴的真实身份。客户需要保证其保密信息不会被暴露。恶意的袭击会侵入电子商务站点，进行各种可能的破坏，如制造和传播破坏性病毒或让网站拒绝服务。这些攻击可引起服务崩溃，保密信息暴露，从而最终导致公众信心的丧失，电子商务实施的瓦解。一、电子商务面临的安全威胁1．安全面临的最大威胁——网络攻击：网上人为的恶意攻击是有目的的破坏，可以分为主动攻击和被动攻击。主动攻击是指以各种方式有选择地破坏信息。2．黑客：一般特指利用电脑软件，通过网络非法进入他人系统，截获或篡改计算机数据，危及信息安全的电脑入侵者。3．计算机病毒：是对计算机资源具有破坏作用的一组程序或指令的集合，它是一个程序，一段可执行码，当达到某种条件时即被激活。4．信息爆炸与信息污染：信息爆炸导致大量垃圾信息，如何清理垃圾和网络色情是个很大的难题。5．计算机犯罪：指行为人利用计算机操作所实施的危害计算机信息系统（包括内存数据和程序）安全和其他严重危害社会的犯罪行为。二、电子商务安全管理（一）电子商务系统安全的重要性（1）电子商务的安全要素：包括：①有效性②机密性③完整性④可靠性/不可抵赖性/鉴别⑤审查能力（2）电子商务系统安全的重要性：表现在于：①已成为国家和某些部门的宝贵财富，同时也成为敌对国家和组织以及一些非法用户、别有用心者威胁和攻击的主要对象。②电子商务系统本身的脆弱性已成为不安全的内在因素。③计算机系统本身存在的隐患就成为不安全因素。而计算机网络的迅速发展，也增加了安全隐患和被攻击的区域及环节。④恶劣的环境会导致计算机出错概率和故障的增加，其可靠性和安全性便受到影响。⑤人为地某些因素也会威胁电子商务系统的安全。⑥安全是针对某种威胁而言的，对计算机系统来说，许多威胁和攻击是隐蔽的、潜在的，防范对象是广泛的、难以明确的。⑦电子商务系统安全涉及到许多学科。（二）电子商务安全问题的界定电子商务安全是电子商务系统资源和信息资源不受自然和人为有害因素的威胁和危害。其具体含义有四层：①系统设备及相关设施运行正常，系统服务适时；②软件(包括操作系统软件、数据库管理软件、网络软件、应用软件及相关资料)完整；③系统拥有的和产生的数据或信息完整、有效、使用合法、不被破坏或泄露；④系统资源和信息资源使用合法。目前我国就计算机安全问题所采取的主要措施：①在法律上制定了新的刑法。②各部门都建立了相应的计算机安全管理组织和计算机安全管理员③在技术上，有关部门和单位也