电子商务第8章电子商务安全管理及技术

第8章电子商务安全管理及技术一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上以及法律法规等多方面入手，全面采取电子商务安全方法措施，这样才能极大地实现电子商务的安全，保证电子商务交易的顺利进行。1.电子商务安全（1）电子商务安全的内涵电子商务的安全是一个广泛而系统的概念，不仅包含着计算机系统结构、网络通信技术、电子商务应用环境、人员素质等方面的安全，而且还与电子商务立法息息相关。电子商务安全从整体上可以分为两大部分：计算机网络安全和商务交易安全。计算机网络安全与电子商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。（2）电子商务的安全要素在电子商务交易过程中，交易各方面临的威胁可能有信息的截获和窃取。信息的篡改。信息的假冒。信息的抵赖。针对电子商务面临的以上种种威胁，必须采取相应的应对策略，从多方面的电子商务安全要素入手，保证电子商务运行的安全实现。①可靠性。②真实性。③机密性。④完整性。⑤有效性。⑥不可抵赖性。⑦内部网的严密性。2．电子商务安全管理（1）电子商务安全管理的概念电子商务的安全管理，指通过一个完整的综合保障系统，规避电子商务交易过程的风险（信息传输风险、信用风险、管理风险、法律风险、网上支付风险等），以保证网上交易的顺利进行。电子商务的安全管理要求规避的风险主要有：①电子商务网络系统自身的安全风险。②电子商务交易信息传输过程中的风险③电子商务企业内部安全管理风险④电子商务安全法律风险。⑤电子商务的信用风险⑥电子商务安全支付风险（2）电子商务安全与管理在如何正确看待电子商务的安全与管理时，需要注意几点：安全是一个系统的概念。不仅有技术，还有管理安全是相对的。不要追求一个永远也攻不破的安全技术。安全是有成本和代价的。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；反之，就高一些。安全是发展的、动态的。需要不断地检查、评估和调整相应的安全管理策略一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上以及法律法规等多方面入手，全面采取电子商务安全方法措施（1）建立第三方认证机构，组织行业协会制定安全管理标准。（2）全面应用电子商务安全技术，构造多重防范措施。（3）加强电子商务安全管理，制定安全管理标准。（4）电子商务的安全影响国家和社会的稳定，应尽快建立健全电子商务法律法规。电子商务信用的管理1．电子商务信用管理的必要性2．电子商务信用管理体系3．我国电子商务信用管理现状及相关政策1．电子商务信用管理的必要性面对电子商务的蓬勃发展趋势，电子商务交易的信用危机却悄然袭来。如，虚假交易、假冒行为、合同诈骗、网上拍卖哄抬价等行为屡屡发生，客观上要求规范电子商务交易市场秩序。电子商务的经销商们由于不受地域限制，他们往往一开始就在较大范围内进行经营。而其物流和配送系统并未跟上，这样销售商们常常不能按时交付商品或不能交付质价相符的商品。这些现象在很大程度上制约了我国电子商务的快速、健康发展，随着电子商务在全球范围内的兴起，如果不尽快改变这种传统的交易方式，将会失去更多的市场份额和竞争优势。因此，必须建立电子商务信用管理体系，对企业和相关商业网站的信用进行评级，验证客户真实身份，同时还应不断收集客户资料，评估和授予信用额度，保障债权，保障应收账款安全和及时回收，为电子商务的发展营造一个较为宽松的信用环境，推动电子商务市场的健康发展，它是企业信用管理体系的重心。2．电子商务信用管理体系电子商务中的信用问题是指电子商务交易过程中因缺乏一定的信任关系而导致电子商务的交易成本上升，使交易复杂化、混乱化，甚至无法正常进行。完整的信用管理体系应该包含信用信息采集系统、信用评价及查询系统、信用动态跟踪及反馈系统、信用保障系统等子系统。目前已有的信用管理模式：a以政府为主体的有“网络公证计划”模式b以企业为主体的有中介人模式c担保人模式d网站经营模式和委托授权模式电子商务信用保障机制是有效实现其信用管理所必需的，保障机制的存在意义在于加快建设良好的电子商务信用环境，同时推进整个社会信用体系的完善。3．我国电子商务信用管理现状及相关政策目前我国政府也开始重视社会信用体系的建立，陆续出台了相关的法律法规、文件，并鼓励行业协会出台有关的信用标准，推动整个社会经济的良好发展。《2006-2020年国家信息化发展战略》、《关于加快电子商务发展的若干意见》、《强化服务促进中小企业信息化意见》电子商务行业协会、企业网站等也为电子商务行业信用体系的建设不断地努力。首先，制定和实施电子商务安全管理标准是电子商务安全交易的需要。其次，制定和实施电子商务安全管理标准是电子商务支付的需要。最后，制定和实施电子商务安全管理标准是社会稳定，经济繁荣发展的需要。电子商务安全管理标准的内容主要有技术标准、安全管理制度及其标准、安全管理法律法规1．技术方面的标准规范a.早期措施：部分告知、另行确认、在线服务b.现在推行：①加密标准。②电子商务安全协议。③数字签名标准。④数字证书标准。c.信息技术及网络安全标准美国国家安全局官方标准橘皮书我国相关技术标准对称密钥加密标准：DES非对称加密标准：主要有RSA、DSA、Diffie-Hellman、PGP等主要用于保证电子商务中数据的保密性、完整性、真实性和不可抵赖性可以采用的协议有：安全超文本传输协议（STTP）安全套接层（SecureSocketsLayer，SSL）安全交易技术协议（SecureTransactionTechnology，STT）安全电子交易协议（SET）是一个经过授权中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。2．电子商务安全管理制度及其标准（1）电子商务安全管理制度是使用文字和图表的形式对各项安全要求所做的规定，主要包括：①人员管理制度。②保密制度。③跟踪、审计、稽核制度。④设备管理。⑤用户管理。⑥病毒防范。⑦应急措施（即灾难恢复）（2）电子商务信用管理标准行业标准信用标准3．电子商务安全管理法律、法规、国家政策目前，已有50多个包括国际组织、国家和地区制定了电子商务法或相应的标准。我国也出台了许多有关互联网络安全、电子商务交易管理以及电子信息效力的法律法规和指导意见，如：《中华人们共和国电子签名法》《商务部关于促进电子商务规范发展的意见》《中国国际经济贸易仲裁委员网上仲裁规则》安全协议是指由两个或两个以上的参与者，为完成某项特定的安全任务而采取的一系列步骤。电子商务中常用的安全协议有SSL协议、SET协议S-HTTP协议、FirstVirtual协议、支票支付协议、现金支付协议、安全电子邮件协议、InternetEDI协议、以及STT协议等。1．SSL（SecureSocketLayer）协议SSL（安全套接层）协议是一个用来保证安全传输文件的协议它主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，但它不保证信息的不可抵赖性主要适用于点对点之间的信息传输。应用层协议（HTTP、Telnet、FTP、SMTP等）SSL握手协议SSL更改密码说明协议SSL警告协议应用数据协议SSLRecordProtocolSSL记录协议TCPIP重要概念：SSL连接（Connection）SSL会话（Session）服务类型作用服务器认证通过服务器具有的特定密钥实现客户机对服务器的认证客户认证确信客户具有合法的信用卡号，客户认证为可选项通信的完整性防止黑客修改通信的保密性支持加密和解密(3)SSL协议的运行过程第一步，客户端向服务器端发送它的SSL版本号、加密算法设置、随机产生的数据和其它服务器需要用于同客户端通信的数据。第二步，服务器向客户端发送它的SSL版本号、加密算法设置、随机产生的数据和其它客户端需要用于同服务器通信的数据。另外，服务器还要发送自己的证书，如果客户端正在请求需要认证的信息，那么服务器同时也要请求获得客户端的证书。第三步，客户端用服务器发送的信息验证服务器身份。如果认证不成功，用户就将得到一个警告，加密数据连接将无法建立。如果成功，则继续下一步。第四步，用户用握手过程至今产生的所有数据，创建连接所用的PremasterSecret（预加密主密钥），用服务器的公钥加密（从第二步中传送的服务器证书中得到），传送给服务器。第五步，如果服务器也请求客户端验证，那么客户端将对另外一份和上次用于建立加密连接使用的不同的数据进行签名。在这种情况下，客户端会把这次产生的加密数据和自己的证书同时传送给服务器用来产生PremasterSecret。第六步，如果服务器也请求客户端验证，服务器将试图验证客户端身份。如果客户端不能获得认证，连接将被中止。如果认证成功，服务器用自己的私钥加密PremasterSecret，然后执行一系列步骤产生MasterSecret（主密钥）。第七步，服务器和客户端同时产生SessionKey，之后的所有数据传输都用对称密钥算法来交流数据。第八步，客户端向服务器发送信息说明以后的所有信息都将用SessionKey加密。至此，它会传送一个单独的信息标示客户端的握手部分也已经宣告结束第九步，服务器也向客户端发送信息说明以后的所有信息都将用SessionKey加密。至此，它会传送一个单独的信息标示服务器端的握手部分也已经宣告结束。第十步，SSL握手过程成功结束，一个SSL数据传送过程建立。客户端和服务器开始用SessionKey加密、解密双方交互的所有数据。（4）SSL存在的问题存在被攻击修改的可能使用复杂的数学公式，高强度的计算会使服务器停顿在电子商务系统的应用中存在很多弊端2．SET（SecureElectronicTransaction）协议是一种基于银行卡而进行的为电子交易提供安全措施的规则，能广泛应用于因特网的安全电子支付协议采用公钥密码体制和X.509数字证书标准（1）SET协议的主要目标①保证电子商务参与者信息的相互隔离。②保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。③解决多方认证问题。④保证网上交易的实时性，使所有的支付过程都是在线的。⑤提供一个开放式的标准，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可运行在不同的硬件和操作系统平台上。（2）SET系统的构成①持卡人（Cardholder）②商家（Merchant）。③发卡机构（Issuer）④收单银行（Acquirer）⑤支付网关（PaymentGateway）⑥认证中心（CertificationAuthority）双方通过网络协商Internet支付网络Paymentnetwork持卡人Cardholder发卡机构Issuer收单银行Acquirer认证中心CertificateAuthority购买请求购买应答银行专网支付授权请求商家Merchant支付授权应答Internet支付网关Paymentgateway综合来看，SET协议规定运行过程分为以下3个阶段①购买请求阶段②支付确认阶段③收款阶段（4）SET与SSL协议的比较同SSL相比，SET有这样一些区别：首先，SET对商家提供了保护自己的手段，使商务免受欺诈的困扰，并且SET向消费者保证了商家的合法性，保证用户的信用卡号不会被窃取。而SSL相对不安全。其次，SET是一个多方的报文协议，而SSL只是简单地在两方之间建立一条安全连接。SSL是面向连接的，而SET允许各方之间报文的交换不是实时的。使用SET比SSL昂贵得多。最后，SET提供了比SSL更完整的用于电子商务的卡支付系统，它定义了各方的互操作接口，从而有效地降低了金融风险。现阶段常用的几种电子商务安全管理技术：1.加密技术明文密文加密解密密钥2.认证技术（1）身份认证（2）数字签名（3）数字时间戳与数字信封身份认证就是在电子商务交易过程中，判明和确认贸易参与者的真实身份。主要有：基于密码的认证方式、基于生物特征