1、江蘇聯合職業技術學院徐州經貿分院2012屆高職電子商務專業學生畢業論文 論文題目： 網絡安全技術對 電子商務發展影響 姓 名： 劉 曉 明 學 號： gz070904201 指導老師： 楊 永 靖 完成時間：2012年06月10日 網絡安全技術對電子商務發展影響摘 要伴隨互聯網和信息技術的飛速發展，電子商務應運而生并在世界范圍內得到了廣泛的發展和應用。電子商務是一種嶄新的商務手段，它給人類帶來了巨大的效益。電子商務從根本上改變了人們傳統的生活方式和思想觀念，它是新世紀經濟的新的增長點，代表21世紀經濟的發展方向，因而對未來的社會經濟發展和商務活動具有特別重要的意義。但是互聯網的跨國界、無主管、

2、不設防、缺乏法律約束性等特性，在為我們帶來機遇的同時也帶來了巨大的風險。各種大型的公司、單位通過網絡與用戶或其他相關行業系統之間進行交流，提供各種網上的信息服務，但在這些網絡用戶中，存在競爭對手和惡意破壞者，這些人會不斷地尋找網上的漏洞，企圖侵入公司內部網絡。一旦內部網絡被入侵，機密的數據和資料就會被竊取，網絡會被破壞，這會給用戶帶來難以預測的損失。因此，建立一個安全、便捷的電子商務應用環境，對信息提供足夠的保護，已經成為影響到電子商務健康發展的關鍵。本文主要從電子商務的出現開始，介紹電子商務的發展過程、各階段的特點以及發展趨勢，同時，介紹網絡安全技術的類型、特點和網絡安全技術對電子商務發展的

3、影響。關鍵詞： 電子商務 網絡 網絡安全 發展趨勢 目 錄引 言3一、電子商務4（一）電子商務的定義4（二）電子商務的分類5（三）電子商務的發展歷程6（四）電子商務的發展趨勢7二、網絡安全技術9（一）網絡安全技術的定義9（二） 網絡安全存在的問題10（三） 網絡安全技術分類11三、電子商務的安全問題及解決措施13（一）電子商務安全性要求13（二）電子商務存在的安全性問題15（三）電子商務安全技術措施17（四）電子商務安全認識及展望18四、關于淘寶網的案例分析19（一）背景簡介19（二）交易流程19（三）支付安全21（四）淘寶網的網絡安全24總 結26參考文獻27謝 辭28引 言隨著信息技術的發

4、展，信息的處理傳遞速度得到了突破性的發展，不再受時間和區域的限制，網絡化和全球化已成為不可避免的發展趨勢。網絡用戶的迅速膨脹給眾多商家帶來了千載難逢的機遇，他們紛紛將眼光投向因特網。從剛開始單純的完善發布信息、傳遞信息到借助傳統貿易手段發展起來的不成熟的電子商務交易，再到能夠在網上完成供、產、銷全部業務流程的電子商務虛擬市場，電子商務如火如荼的發展起來了，同時，封閉的銀行電子金融系統也在向開放式的網絡電子銀行轉變，這也給電子商務的發展提供了更大的動力。電子商務是一個發展潛力非常大的市場，極具發展前景。電子商務雙向信息溝通、靈活的交易手段和快速的交貨方式的特點，將會給社會帶來巨大的經濟效益，促進

5、整個社會生產力的提高。電子商務的廣泛推廣，打破了空間限制，改變了貿易形態，大大加速了整個社會的商品流通，有助于降低企業成本，提高企業競爭力，尤其能夠使中小型企業直接進入國際市場參與國際市場競爭。電子商務也給消費者提供了更多的選擇和更好的便利性。電子商務是商務領域的一場信息革命，它對人類的經濟活動、思維方式、工作方式和生活方式將產生根本性的影響。電子商務的發展正在逐步改變我們的生活及工作方式，原來面對面談判、紙上交流的管理與商務活動方式逐步變成了由計算機遠距離操作完成的數字化活動方式。沒有了空間和人為條件上的限制，人們的生活和工作將變得方便、靈活和自如，特別在獲取信息、傳輸信息、各種服務活動、付

6、款、送貨方式等方面將有根本的變化。任何合法組織和公司甚至個人通過在國際互連網絡上建立自己的站點都可成為全球化的信息發布者；信息的獲取具有了廣泛的內容和選擇性；貿易、商務活動中的商品認識、合同談判、交易都通過國際互連網信息和網絡軟件完成。同時電子商務也完全改變了我們當今的商務方式，由于沒有了時間和空間的限制，人們可以在家中處理業務。小公司也可以實現全球在線訂貨，完成世界性商務活動。越來越多的電子貨幣在線付款方式在電子交易中使用，人們不再受限制于物理現金的攜帶和使用。公司、商店、銀行將不會以人員數量、分支機構多少、規模來區別大小，取而以營業額、信息交流多少來排列經濟座次。雖然電子商務的發展勢頭非常

7、驚人，但它的產值在全球生產總值中卻只占極小的一部分，原因就在于電子商務的安全問題。美國密執安大學的一個調查機構通過對23000名因特網用戶的調查顯示：超過60%的人由于擔心電子商務的安全問題而不愿意進行網上購物。開放的信息系統必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中，安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。 因此，從傳統的基于紙張的貿易方式向電子化的貿易方式轉變過程中，如何建立一個安全、便捷的電子商務應用環境，對信息提供足夠的保護，已經成為影響到電子商務健康發展的關鍵性課題。電子商務是以計算機網絡為基礎載體的，大量重要的身份信息、會

8、計信息、交易信息都需要在網上進行傳遞，在這樣的情況下，安全性問題成為首要問題。電子商務是國民經濟和社會信息化的重要組成部分，而安全性則是關系電子商務能否迅速發展的重要因素。電子商務的安全是一個復雜系統工程，僅從技術角度防范是遠遠不夠的，還必須完善電子商務方面的立法，以規范飛速發展的電子商務現實中存在的各類問題，從而引導和促進電子商務又好又快地發展。一、電子商務電子商務是應用現代信息技術在internet上進行的商務活動，從本質上講，電子商務是一組電子工具在商務過程中的應用，這些工具主要包括：電子數據交換、電子郵件、電子公告系統、條碼、圖像處理、智能卡等。而應用的前提和基礎是完善的現代通信網絡和

9、人們的思想意識的提高以及管理體制的轉變。因此，沒有現代信息技術及網絡技術的產生和發展就不可能有電子商務。（一）電子商務的定義電子商務的定義有很多，許多組織和學者都給電子商務下過定義，不同的組織和不同的領域的學者定義的角度又不同，如從通信技術、業務流程、產品或服務的交易等不同角度定義電子商務，但目前為止尚沒有形成一個廣泛統一的定義。大體上，這些定義可以分為兩大類：一類是單純的從商品或服務的交易角度；另一類是從整個供應鏈的角度1。單純的從商品或服務的交易角度定義電子商務成為electronic commerce（簡稱ec），它是指借助包括互聯網在內的任何通信網絡從事信息、產品和服務的營銷、買賣和交

10、換的過程。從整個供應鏈角度定義的電子商務常稱為electronic business（簡稱eb），是指企業從原材料供應到生產、分銷、零售等全部過程與經營活動的信息化、網絡化。電子商務是利用電子交換技術、電子郵件、電子資金轉賬及互聯網等技術在個人、企業和國家之間進行無紙化的業務信息的交換。隨著計算機和計算機網絡的應用普及，電子商務不斷被賦予新的含義。電子商務作為一種新的流通方式，具有貿易效率高、交易成本低、加速商務發展的特點，在商務活動中證發揮著越來越重要的作用2。（二）電子商務的分類1 按電子商務參與主體不同進行分類，電子商務可以分為：（1）企業與消費者之間的電子商務（b2c）企業與消費者之間

11、的電子商務類似于零售業，是商業電子化的零售商務。企業或商業機構記住internet開展在線銷售，為廣大客戶提供很好的搜索和瀏覽功能，提供各種與商品銷售有關的服務，使消費者很容易了解到所需商品的品質和價格。（2）企業與企業之間的電子商務（b2b）企業與企業之間的電子商務是電子商務應用中最重要和最受企業重視的形式，是電子商務的主流，主要著重企業的經營效率，利用網絡整體提高企業的管理、經銷、產品推廣的實力水平，從而改善傳統商業模式所帶來的弊端。（3）消費者與消費者之間的電子商務(c2c)消費者與消費者之間的電子商務是internet上產生的一種新模式，是一種個人的網上商務交易方式，也有人稱之為p2p

12、，其中最典型的是在網上拍賣或競買。這種模式大大節省了消費者之間的交易成本和時間，提高了社會效益，深受消費者的喜愛。（4）企業與政府之間的電子商務（b2g）企業與政府之間的電子商務涵蓋了政府與企業之間的各項事務，包括政府采購、稅收、商檢、管理條例發布、法規政策頒布等。在這種模式下，電子商務中政府有這兩重角色，既是電子商務的使用者，優勢電子商務的宏觀管理者。（5）消費者與政府之間的電子商務（c2g）消費者與政府之間的電子商務包含了政府對個人的一系列管理和服務事項，包括政府對個人身份的核實，對公民福利基金、生活保障費的發放，收集民意和處理公民的信訪及舉報，政府主持的拍賣，公民的自我估稅、報稅及電子納

13、稅等。2按照電子商務交易的商務活動運作方式分類，電子商務主要包括兩類基本商業活動：（1）直接電子商務直接電子商務也稱完全電子商務，是指internet上直接對無形的數字化產品和服務的交易活動，它可以完全通過電子商務方式實現和完成整個交易過程。這種模式突出的好處是快速、簡便，且又十分便宜，深受客戶歡迎，企業的運作成本顯著降低；受限之處是只能經營適合在網上傳輸的商品和服務。（2）間接電子商務間接電子商務也稱不完全電子商務，是指在internet上對有形貨物的電子訂貨以及交易過程中的一系列服務活動，它無法完全依靠電子商務方式實現和完成整個交易過程。3按照電子商務使用的網絡類型分類，電子商務主要包括三

14、個類型：（1）基于edi的電子商務edi是按著一個工人的標準和協議，將商務活動中涉及的文件標準化和格式化，通過計算機網絡，在貿易伙伴的計算機網絡系統之間進行數據交換和自動處理。edi使用的是專用網絡，安全性比internet高，因此目前主要在安全性要求較高的領域使用。（2）基于internet的電子商務基于internet的電子商務是目前電子商務的主要形式，它采用了當今先進的計算機技術、通信技術、數據庫技術、多媒體技術，通過internet實現營銷、購物等商業服務。它突破了傳統商業生產、批發、零售以及進、銷、存、調的流轉程序和營銷模式，實現了少投入、低成本、零庫存、高效率。（3）基于intra

15、net的電子商務基于intranet的電子商務是指在一個大型企業的內部或一個行業內開展的電子商務活動。它能夠有效的實現企業內部之間、企業與企業之間、企業與合作伙伴之間及客戶之間的授權內數據共享和數據交換，并將每一個各自獨立的網絡通過互聯延伸形成共享的企業資源，方便的查詢關聯企業的相關數據，形成一個商務活動鏈3。（三）電子商務的發展歷程縱觀中國電子商務發展史，從開始起步、遭遇泡沫寒冬、寒冬后的回暖，以及隨之而來的快速發展，中國的電子商務大致可分為以下五個發展階段。1 萌芽與起步期（1997-1999年）隨著互聯網全新的引入概念的傳入，鼓舞了一批新經濟的創業者，他們認為傳統的貿易信息借助互聯網進行

16、交流和傳播將帶來無限的商機，于是國內第一批電子商務網站在1997年開始創辦，從1997年到1999年，阿里巴巴、易趣網、當當網等知名電子商務網站先后涌現。因此，該階段是中國電子商務的萌芽與起步期。2 冰凍與調整期（2000-2002年）在2000年至2002年間，互聯網浮華的泡沫開始破滅，電子商務的發展受到嚴重的影響，創業者的信心也經受了嚴峻的挑戰，尤其是部分盈利模式不健全的企業更是經歷了冰與火的嚴峻考驗。于是，中國的電子商務網站進入殘酷的寒冬階段，而一些依靠“會員+廣告”模式的行業網站集群，則大都實現了集體盈利，安然度過了互聯網最為艱難的“寒潮”時期。在這三年間創建的電子商務網站不到現有網站

17、總數的12.1%。因此，該階段是我國電子商務的冰凍與調整時期。3復蘇與回暖期（2003-2005年）電子商務經歷低谷后，在2003年開始出現了快速復蘇回暖，部分電子商務網站也在經歷過泡沫破裂后，更加謹慎務實地對待盈利模式和低成本經營。4崛起與高速發展期（2006-2007年）互聯網環境的改善、理念的普及給電子商務帶來巨大的發展機遇，各類電子商務平臺會員數量迅速增加，大部分b2b行業電子商務網站開始實現盈利。再加上行業之間的良性競爭和創業投資熱情高漲，大大推動了我國電子商務進入新一輪高速發展與商業模式創新階段，衍生出更為豐富的服務形式與盈利模式，而且電子商務網站的數量也快速增加。5轉型與升級期（

18、2008-現在）隨著全球金融海嘯的到來，以及全球經濟環境的迅速惡化，致使我國相當多的中小企業陷入困境，尤其是外貿出口企業受到了極大的阻礙。而與傳統產業密切相關的電子商務也難免獨善其身，受產業鏈波及，以出口導向型電子商務為主的服務商，紛紛關閉、或裁員重組、或增長放緩。而與此同時，在外貿轉內銷與擴大內需、降低銷售成本的指引下，內貿在線b2b與垂直細分b2c卻獲得了新一輪高速發展， b2c取得了前所未有的發展與繁榮。而在c2c領域，隨著搜索引擎巨頭百度的進入，使得網購用戶獲得了更多的選擇空間，行業競爭由此也更加激烈。該時期電子商務行業優勝劣汰步伐加快，模式、產品、服務等創新層出不窮，僅在此二年時間內

19、創建的電子商務網站占現有網站總數的22.3%。因此，該階段是我國電子商務的轉型與升級時期。（四）電子商務的發展趨勢電子商務作為一種新興的、處于發展過程中的現代商務方式，從1997年以來，得到了迅速發展，顯現了巨大的現代商業價值。在21世紀，電子商務將逐漸成為社會生活的主要方式，也將成為數字化社會的基礎4。在中國，電子商務未來將呈現如下發展趨勢：1縱深化我國電子商務的基礎設施和支持環境將日臻完善和規范，移動通信也將成為進行電子商務的主要媒介。網民的消費觀念和行為將發生很大變化，對電子商務的接受程度將不斷提高。對于企業來說，實施電子商務的可能性會大大提高。并且隨著電子商務法律法規的出臺和實施，我國

20、的電子商務將得到有效的法律保障。隨著電子商務的發展和需要，跨地區的專業性物流渠道將適時建立和完善，電子商務的物流體系會逐步完善，這使得電子商務公司在配送體系的選擇方面空間更大，成本也將降低。企業發展電子商務的深度進一步拓展。新一代的電子商務將從網上商店和門戶的初級形態，過渡到將企業的核心業務流程、客戶關系管理等都延伸到互聯網上，這樣會更加互動和實時。2個性化電子商務個性化趨勢將向兩個方向發展：第一是個性化定制信息。互聯網為個性化定制信息提供了可能，消費者不僅可以實現點播，而且將促使個人參與到節目的創意、制作過程；第二是對個性化商品的需要。消費者把個人的喜好參與到商品的設計和制作過程中去。所以，

21、對所有面向個人消費者的電子商務活動來說，提供多樣化的比傳統企業更具個性化的服務，也是決定今后成敗的關鍵因素。3專業化面向消費者的垂直型網站和專業化網站前景看好，面向特定行業的專業電子商務平臺發展潛力大。今后若干年內我國上網人口仍將是以中高收入的人群為主，他們購買力強，受教育程度較高，生活的個性化要求比較強烈，提供一條龍服務的垂直型網站及某一類產品和服務的專業網站發展潛力很大，特別是對那些技術含量、知識含量較高的商品和服務。對b2b電子商務模式來說，以行業為信托的專業電子商務平臺也是未來的發展趨勢之一。4國際化我國的電子商務必將走向世界，電子商務將間接刺激對外貿易。發展電子商務是縮短國內企業與國

22、外差距的一個最有效的手段，對我國的中小企業來說，電子商務將提供一個千載難逢的好時機，幫助他們開拓國際市場，而國外電子商務企業也將會努力開拓中國市場。5區域化立足于我國國情采取有重點的區域化戰略是有效地擴大網上營銷規模和效益的必然途徑。我國地區經濟發展的不平衡和城鄉二元結構所反映出來的經濟發展的階梯性、收入結構的層次性十分明顯。在今后相當長時間內，上網人口仍將以大城市、中等城市和沿海經濟發達地區為主。電子商務模式區域特征也非常明顯，以這種模式為主的電子商務在資源規劃、配送體系建設、市場推廣等方面都必須充分考慮這一現實，采取有重點的區域戰略，才能最有效地擴大網上營銷的規模和效益。6融合化電子商務網

23、站在最初的全面開花后必然走向新的融合，包括同類兼并、互補性兼并和戰略聯盟協作。同類兼并：目前不少的網站屬于重復建設之列，定位相同或相近，由于資源總是有限的，最終勝出的只是名列前茅的企業。互補性兼并：國內那些處于領先地位的電子商務企業的優勢畢竟是相對而言的，網站下一步要發展，必然采取收購策略，而主要的模式將是互補性收購。結成戰略聯盟：由于個性化、專業化是電子商務發展的兩大趨勢，而且每個網站的資源是有限的，但客戶的需求卻是全方位的，所以不同類型的網站以戰略聯盟的形式進行相互協作也是必然趨勢。今天，互聯網已經并正在如此廣泛地影響著我們的生活，正在成為人們獲取信息的主要通道，成為人們休閑娛樂的工廠，成

24、為政府和老百姓的溝通平臺，成為企業消滅貿易中間環節，低成本快速傳播，以及創造更多貿易機會的平臺。電子商務的發展，不斷帶來新的市場機會，傳統經濟和電子商務越來越緊密的結合已經成為未來經濟發展的方向5。二、網絡安全技術（一）網絡安全技術的定義網絡安全技術致力于解決諸如如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略6。網絡安全從本質上講是網上信息的安全，是指網絡系統的硬件、軟件和系統中的數據受到保護，不受偶然的或者是惡意的攻擊而遭受破壞、更改、泄露，確保系統連續可靠的運行

25、，網絡服務不中斷7。從廣義上講，凡是涉及網絡上信息的保密性、完整心、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。因此為保證網絡的安全，必須保證以下四個方面的安全： （1）運行系統的安全；（2）網絡上系統信息的安全；（3）網絡上信息傳播安全； （4）網絡上信息內容的安全。 為了保證這些方面的安全，大家通常會使用一些網絡安全產品，如防火墻、vpn、數字簽名等，這些安全產品和技術的使用從一定程度上滿足網絡安全需求，但不能滿足整體的安全需求，因為它們只能保護特定的某一方面的，而對于網絡系統來講，它需要的是一個整體的安全策略，這個策略不僅包括安全保護，它還應該包括安全管理、實時監控、響

26、應和恢復措施，因為目前沒有絕對的安全，無論你的網絡系統布署的如何周密，你的系統總會有被攻擊和攻破的可能。（二）網絡安全存在的問題計算機信息網絡安全面臨來自多方面的信息安全威脅，其影響因素可能是系統本身存在的安全弱點，而系統在使用、管理過程中的失誤和疏漏也家具了問題的嚴重性。其中有人為的因素，也有非人為的因素，歸納起來，主要有以下問題：1網絡系統本身存在的問題（1）系統漏洞網絡系統自身存在的安全因素主要是系統漏洞造成的威脅。一個系統漏洞對安全造成的威脅時很嚴重的，如果攻擊者獲得了對系統一般用戶訪問權限，很可能通過系統漏洞將自己升級為管理員權限。漏洞的產生在于程序在實現邏輯中沒有考慮到的一些意外情

27、況，然而這些意外情況是應該被考慮到的。系統漏洞導致程序處理文件等實體時在時序和同步方面存在問題，在處理的過程中可能存在一個機會窗口使攻擊者能夠施以外來的影響。（2）移動存儲介質移動存儲介質由于其方便攜帶、存儲量大等特點被廣泛應用，但也是因為這些特點給網絡系統帶來了安全隱患，造成網絡系統不易管理，尤其是對一些涉密單位移動存儲介質的管理。現階段的涉密介質大多缺少身份認證、訪問控制和審計機制，這給網絡系統的信息安全造成很大的隱患。2網絡系統存在來自外部的問題（1）黑客的威脅黑客具有很強的計算機網絡系統知識，能夠熟練使用各種計算機技術和軟件工具，并且善于發現計算機網絡系統自身存在的系統漏洞。漏洞成為黑

28、客被攻擊的目標或攻擊的途徑，對網絡系統的安全構成很大的威脅。（2）計算機病毒的威脅計算機病毒具有蔓延速度快、范圍廣等特點，是計算機網絡系統最大的威脅，造成的損失也難以估計。計算機病毒破壞的對象直接就是計算機系統或網絡系統。一旦計算機感染病毒以后，使系統執行效率下降，甚至造成系統死機或毀壞，造成部分文件或全部數據丟失，嚴重的還會使計算機系統硬件設備損壞。（3）間諜軟件的威脅間諜軟件的主要目的不在于對系統進行破壞，而是竊取計算機網絡系統存儲的數據信息。間諜軟件的功能繁多，可以監視用戶行為，或發布廣告，修改系統設置，威脅用戶隱私和計算機安全，并在不同程度上影響系統的性能。3網絡系統管理機制存在的問題

29、（1）違反規章制度而泄密由于工作過程中對保密制度的不熟悉或疏忽造成網絡系統的安全受到威脅。例如由于不知道移動存儲介質上刪除的文件可以還原，將曾經存儲過秘密信息的移動存儲設備借出，造成信息的泄露。（2）故意泄密故意泄密主要是指能夠維護計算機系統的工作人員故意對網絡安全進行破壞的行為。如系統開發人員獲得使用計算機的口令和密鑰進入計算機網絡，竊取信息系統、數據庫內的重要秘密數據。（三） 網絡安全技術分類1防火墻技術防火墻建立于一個組織的內部網絡和公共的互聯網主干網之間，保護網絡中無危險的部分不受網絡中有危險的部分的威脅8。防火墻是不同網絡或網絡安全區域之間信息的唯一出入口，能根據企業的安全政策控制（

30、允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。防火墻是保護本地系統或網絡，抵制網絡攻擊的最重要的網絡安全技術，作為訪問控制技術的代表，防火墻產品是目前世界上用的最多的網絡安全產品之一，其功能也在不斷增加。防火墻通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務。由于它假設了網絡的邊界和服務，對內部的非法訪問難以有效地控制。因此，最適合于相對獨立的與外部網絡互連途徑有限、網絡服務種類相對集中的單一網絡（如常見的企業專用網）。防火墻的隔離技術決定了它在電子商務安全交易中的重要作用。目前，防火墻產品主要分為兩大類：基于代理服務方式的和基于狀態檢測方式的。但是由于互聯網的開放性和

31、復雜性，防火墻也有其固有的缺點：防火墻不能防范不經由防火墻的攻擊，例如，如果允許從受保護網內部不受限制地向外撥號，一些用戶可以形成與internet的直接連接，從而繞過防火墻，造成一個潛在的后門攻擊渠道，所以應該保證內部網與外部網之間通道的唯一性；防火墻不能防止感染了病毒的軟件或文件的傳輸，這只能在每臺主機上裝反病毒的實時監控軟件；防火墻不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到internet主機上并被執行而發起攻擊時，就會發生數據驅動攻擊，所以對于來歷不明的數據要先進行殺毒或者程序編碼辨證，以防止帶有后門程序。2數據加密技術防火墻技術是一種被動的防衛技術，它難以對電子商

32、務活動中不安全的因素進行有效的防衛，而數據加密技術是保障電子商務交易安全的主要安全措施，貿易方可根據需要在信息交換的階段使用。目前, 加密技術分為兩類, 即對稱加密/對稱密鑰加密/專用密鑰加密和非對稱加密/公開密鑰加密。現在許多機構運用pki(即“公開密鑰體系”)技術實施構建完整的加密/簽名體系, 在充分利用互聯網實現資源共享的前提下從真正意義上確保了網上交易與信息傳遞的安全。在pki 中, 密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)，這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開, 而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對

33、機密性息的加密, 專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握, 公開密鑰可廣泛發布, 但它只對應用于生成該密鑰的貿易方。3身份認證技術身份認證又稱為身份識別,是通過對被認證對象（人或事）的一個或多個參數進行驗證，從而確定認證對象是否名實相副或有效，它是通信和數據系統正確識別通信用戶或終端的個人身份的重要途徑9。一般來說，用人的生理特征參數進行認證的安全性很高，但目前這種技術成本很高，難以實現。目前,計算機通信中采用的參數有口令、標識符、密鑰、隨機數等，而且一般使用基于證書的公鑰密碼體制(pki)身份認證技術。要實現基于公鑰密碼算法的身份認證需求就必須建立一種信任及信任

34、驗證機制，即每個網絡上的實體必須有一個可以被驗證的數字標識,即“數字證書”。數字證書是各實體在網上信息交流及商務交易活動中的身份證明，具有唯一性。證書基于公鑰密碼體制,它將用戶的公開密鑰同用戶本身的屬性(例如姓名)聯系在一起，這就意味著應有一個網上各方都信任的機構,專門負責對各個實體的身份進行審核,并簽發和管理數字證書,這個機構就是證書中心(即ca)。ca用自己的私鑰對所有的用戶屬性、證書屬性和用戶的公鑰進行數字簽名,產生用戶的數字證書。在基于證書的安全通信中,證書是證明用戶合法身份和提供用戶合法公鑰的憑證,是建立保密通信的基礎。因此,作為網絡可信機構的證書管理設施,ca主要職能就是管理和維護

35、它所簽發的證書,提供各種證書服務, 包括: 證書的簽發、更新、回收、歸檔等。 4數字簽名技術數字簽名也稱電子簽名,在身份認證、數據完整性、不可否認性等信息安全方面有重要應用。數字簽名是非對稱加密和數字摘要技術的聯合應用。其主要方式為:報文發送方從報文文本中生成一個128bit的散列值(或報文摘要),并用自己的專用密鑰對這個散列值進行加密,形成發送方的數字簽名，然后,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方，報文接收方首先從接收到的原始報文中計算出128bit位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同,那么接收方就能確認該

36、數字簽名是發送方的,通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。三、電子商務的安全問題及解決措施（一）電子商務安全性要求在網上進行電子商務的活動過程是這樣進行的：用戶通過瀏覽器發出信息，該消息經過internet到達web服務器，再由web服務器調用cgi等程序訪問數據庫，返回用戶請求的消息給web服務器，最后通過internet傳給用戶。在這整個過程中我們可以看到，要實現電子商務安全，應該從計算機信息系統安全著手。電子商務系統，從某種意義上說，其實就是一種計算機信息系統10。計算機信息系統就是指由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集

37、、加工、存儲、傳輸、檢索等處理的人機系統。電子商務系統的安全就是由系統實體、系統運行安全、系統運行安全和系統信息安全這三個部分來組成的。1系統實體安全電子商務系統安全的第一部分是實體安全。所謂實體安全，是指保護計算機設備、設施（含網絡）以及其他媒體免遭地震、水災、火災、有害氣體和其他環境事故（如電磁污染等）破壞的措施過程。它主要由三個部分組成：（1）環境安全環境安全就是要對電子商務系統所在的環境實施安全保護，主要包括受災的防護和區域的防護。受災的防護就是系統要具有受災報警、受災保護和受災恢復等功能，目的是保護電子商務系統免受水、火、有害氣體、地震、雷擊和靜電的危害。區域防護就是要對特定區域提供

38、某種形式的保護和隔離措施。（2）設備安全設備安全是指對電子商務系統的設備進行安全保護，主要包括設備的防盜和防毀，防止電磁信息泄露，防止線路截獲，抗電磁干擾以及電源保護。（3）媒體安全媒體安全是指對媒體數據和媒體本身實施安全保護。媒體數據的安全主要是提供對媒體數據的保護，實施對媒體數據的安全刪除和媒體的安全銷毀，目的是為了防止被刪除或者被銷毀的敏感數據被他人恢復。2系統運行安全電子商務系統安全的第二部分是運行安全。運行安全是指保障系統功能的安全實現，提供一套安全措施保護信息處理過程的安全。它主要由四個部分組成：（1）風險分析風險分析就是要對電子商務系統進行人工或自動的風險分析。首先要對系統進行靜

39、態的分析，旨在發現系統的潛在安全隱患；其次是要對系統進行動態的分析，即在系統運行過程中測試、跟蹤并記錄其活動，旨在發現系統運行期的安全漏洞；最后是系統運行后的分析，并提供相應的系統脆弱性分析報告。（2）審計跟蹤審計跟蹤就是要對電子商務系統進行人工或自動的審計跟蹤、保存審計記錄和維護詳盡的審計日志。（3）備份和恢復備份和恢復就是要提供對系統設備和系統數據的備份和恢復。對數據進行備份和恢復所使用的介質可以是磁介質、紙介質、光碟、縮微載體等。（4）應急應急措施就是要提供在緊急事件或安全事故發生時，保障電子商務系統繼續運行或緊急恢復所需要的策略。3信息安全信息安全是指防止信息財產被故意的或偶然的非授權

40、泄露、更改、破壞或使信息被非法的系統辨認、控制。它是由七個部分組成。（1）操作系統安全操作系統安全是指要對電子商務系統的硬件和軟件資源實行有效控制，為所管理的資源提供相應的安全保護。（2）數據庫安全數據庫安全是指對數據庫系統所管理的數據和資源提供保護，一般采用多種安全機制與操作系統相結合，來實現數據庫的安全保護。（3）網絡安全網絡安全是指提供訪問網絡資源年或使用網絡服務的安全保護。即通過采用各種技術和管理措施，使網絡正常運行，確保網絡中數據的可用性、完整性和保密性。它涉及網絡安全管理、安全網絡系統和網絡系統安全部件。（4）計算機病毒防護所謂計算機病毒，是指編制或在計算機程序中插入的破壞計算機功

41、能或毀壞數據、影響計算機使用、并能自我復制的一組計算機指令或程序代碼。計算機病毒的防護，即通過建立系統保護機制，來預防、檢測和消除病毒。（5）訪問控制所謂訪問控制，是對主體訪問客體的權限或能力的限制，以及限制進入物理區域和限制使用計算機系統和計算機存儲數據的過程。訪問控制是保證系統外部用戶或內部用戶對系統資源的訪問以及對敏感信息訪問方式符合組織安全策略。（6）加密信息安全中的加密主要涉及數據的加密和密鑰的管理。（7）鑒別鑒別主要提供身份鑒別和信息鑒別。身份鑒別是提供對信息收、發方真實身份的鑒別。信息鑒別則是提供對信息的正確性、完整性和不可否認性的鑒別。針對電子商務的安全問題的構成，只有提供了保

42、密性、完整性、認證性、可控性和不可否認性這五個方面的安全性，才能滿足電子商務安全的需求。（1）保密性保密性是保護機密信息不被非法存取以及信息在傳輸過程中不被非法竊取。（2）完整性完整性是防止信息在傳輸過程中丟失和重復及非法用戶對信息的惡意篡改。（3）認證性認證性是確保交易信息的真實性和交易雙方身份的合法性。（4）可控性可控性是指保證系統、數據和服務能由合法人員訪問。（5）不可否認性不可否認性指的是有效防止通信或交易雙方對已進行的業務的否認。（二）電子商務存在的安全性問題1 電子商務系統的安全問題（1）安全漏洞在近幾年來，計算機系統的安全漏洞越來越多。安全漏洞的大量存在，使得目前電子商務的安全形

43、勢趨于嚴峻。這些漏洞可能會導致計算機系統的癱瘓和信息丟失，影響電子商務的正常運行。（2）病毒感染我國計算機病毒主要就是蠕蟲等病毒，蠕蟲主要是利用系統的漏洞過行自動傳播復制，由于傳播過程中產生巨大的掃描或其他攻擊流量，從而使網絡流量急劇上升，造成網絡訪問速度變慢甚至癱瘓，這對依賴于網絡的電子商務是一個嚴重的威脅10。（3）黑客攻擊黑客攻擊主要表現在網頁篡改和僵尸網絡兩方面。（4）網絡仿冒網絡仿冒通常是通過仿冒正規的網站來欺瞞誘騙用戶提供各種個人信息，如銀行帳戶和口令等，甚至通過在假網頁或者在郵件中嵌入惡意代碼給用戶計算機植入木馬來直接騙取個人信息。2電子商務交易雙方的安全問題（1）賣方面臨的安全

44、威脅u 系統中心安全性被破壞入侵者假冒成合法用戶來改變用戶數據（如商品送達地址）、解除用戶訂單或生成虛假訂單。u 競爭者的威脅惡意競爭者以他人的名義來訂購商品，從而了解有關商品的遞送狀況和貨物的庫存情況。u 商業機密的安全客戶資料被競爭者獲悉。u 假冒的威脅建立與銷售者服務器名字相同的另一個www服務器來假冒銷售者；虛假訂單；獲取他人的機密數據。u 信用的威脅買方提交訂單后不付款。（2）買方面臨的安全威脅u 虛假訂單一個假冒者可能會以客戶的名字來訂購商品，而且有可能收到商品，而此時客戶卻被要求付款或返還商品。u 付款后不能收到商品在要求客戶付款后，銷售商中的內部人員不將訂單和錢轉發給執行部門，

45、因而使客戶不能收到商品。u 機密性喪失客戶有可能將秘密的個人數據或自己的身份數據發送給冒充銷售商的機構，這些信息也可能會在傳遞過程中被竊聽。u 拒絕服務攻擊者可能向銷售商的服務器發送大量的虛假定單來擠占它的資源，從而使合法用戶不能得到正常的服務11。（三）電子商務安全技術措施1數據加密技術對數據進行加密是電子商務系統最基本的信息安全防范措施。其原理是利用加密算法將信息明文轉換成按一定加密規則生成的密文后進行傳輸，從而保證數據的保密性。使用數據加密技術可以解決信息本身的保密性要求。數據加密技術可分為對稱密鑰加密和非對稱密鑰加密。對稱密鑰加密。對稱密鑰加密也叫秘密/專用密鑰加密，即發送和接收數據的

46、雙方必須使用相同的密鑰對明文進行加密和解密運算。它的優點是加密、解密速度快，適合于對大量數據進行加密，能夠保證數據的機密性和完整性；缺點是當用戶數量大時，分配和管理密鑰就相當困難。非對稱密鑰加密。非對稱密鑰加密也叫公開密鑰加密，它主要指每個人都有一對惟一對應的密鑰:公開密鑰(簡稱公鑰)和私人密鑰(簡稱私鑰)，公鑰對外公開，私鑰由個人秘密保存，用其中一把密鑰來加密，就只能用另一把密鑰來解密。非對稱密鑰加密算法的優點是易于分配和管理，缺點是算法復雜，加密速度慢。復雜加密技術。由于上述兩種加密技術各有長短，目前比較普遍的做法是將兩種技術進行集成。例如信息發送方使用對稱密鑰對信息進行加密，生成的密文后

47、再用接收方的公鑰加密對稱密鑰生成數字信封，然后將密文和數字信封同時發送給接收方，接收方按相反方向解密后得到明文。2數字簽名技術數字簽名是通過特定密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術驗證，其驗證的準確度是一般手工簽名和圖章的驗證所無法比擬的。數字簽名技術可以保證信息傳送的完整性和不可抵賴性。3認證機構和數字證書由于電子商務中的交易一般不會有使用者面對面進行，所以對交易雙方身份的認定是保障電子商務交易安全的前提。認證機構是一個公立可信的第三方，用以證實交易雙方的身份，數字證書是由認證機構簽名的包括公開密鑰擁有者身份信息以及公開密鑰

48、的文件。在交易支付過程中，參與方必須利用認證中心簽發的數字證書來證明自己的身份。4使用安全電子交易協議安全電子交易協議是由visa和mastercard兩大信用卡組織指定的標準。安全電子交易協議用于劃分與界定電子商務活動中各方的權利義務關系，給定交易信息傳送流程標準，保證了電子商務系統的保密性、完整性、不可否認性和身份的合法性。（四）電子商務安全認識及展望隨著信息技術的發展，信息的處理傳遞速度得到了突破性的發展，不再受時間和區域的限制，網絡化和全球化已成為不可避免的發展趨勢。電子商務的廣泛推廣，打破了時空限制，改變了貿易形態，大大加速了整個社會的商品流通。但由于其安全問題，它的產值在全球總值中

49、只占極小的一部分，大大的限制了電子商務的發展。電子商務的前提條件是信息技術，特別是以internet技術為代表的網絡技術的應用，通過綜合運用網絡環境和各類系統化的電子工具，高效率、低成本、安全便利地進行產品生產和服務，提高企業的競爭能力。但由于電子商務是以計算機網絡為基礎載體的，大量重要的身份信息、銀行信息、交易信息都需要在網上進行傳遞，在這樣的情況下，安全性問題就成為了首要問題。電子商務的安全是一個復雜系統的工程，僅從技術角度防范是遠遠不夠的，還必須完善電子商務方面的立法，規范飛速發展的電子商務現實中存在的各類問題，引導和促進電子商務的發展。因此，網絡安全環境對電子商務的發展至關重要，只有在

50、安全的環境下電子商務才能夠健康、快速的發展。電子商務安全技術隨著電子商務的發展也在日益成熟，數據加密、數字認證等網絡安全技術已成為商務網站必不可少的組成部分。隨著電子商務的發展，網絡安全技術也會向綜合性、全面性發展，以便為電子商務的發展提供良好的安全環境，促進電子商務更好、更快的發展。四、關于淘寶網的案例分析（一）背景簡介淘寶網（http：/）是國內領先的個人交易網上平臺，由阿里巴巴投資4.5億創辦，致力于成為全球最大的個人交易網站。自2003年5月10日成立以來，從零做起，短短半年時間內就迅速占領了國內個人交易市場的領先地位，創造了互聯網企業的一個發展奇跡。截止2009年上半年，淘寶網注冊會

51、員1.45億人，覆蓋了中國絕大部分網購人群；2007年，淘寶的交易額實現了433億元，比2006年增長156%；2008年，淘寶網年交易額達到999.6億元，與2007年的433億元比較，增長了131%，約占全國社會消費品零售總額的1%。淘寶網的創立為國內互聯網用戶提供了更好的個人交易場所，淘寶網憑借其迅速發展以及其在個人交易領域的獨特文化，榮獲了財經時報與搜狐公司2003年評選的國內十大最佳投資的榮譽。淘寶網倡導誠信、活潑、高效的網絡交易文化，在為淘寶會員打造更安全高效的商品交易平臺的同時，也全心營造和倡導了互幫互助，輕松愉快的家庭式文化氛圍，讓每一位在淘寶網進行交易的人交易更迅速高效，并在

52、交易的同時交到更多朋友，成為越來越多網民網上創業和以商會友的最先選擇12。（二）交易流程1淘寶的用戶權限淘寶網采用會員制，只對注冊會員提供交易服務，會員可利用淘寶提供的第三方支付工具“支付寶”來完成交易，提高交易雙方網上交易的信用度。會員可使用即時交易溝通工具“淘寶旺旺”等進行交流，目的是讓交易雙方更加方便快捷的進行網上交易。淘寶還提供留言管理、站內信件、淘寶社區等非實時的會員交流、協商方式。淘寶社區作為一個反饋論壇，有專人管理，促進了淘寶自律機制的動態發展。2淘寶的注冊認證機制用戶通過虛擬的會員名、e-mail進行注冊，在填寫信息、激活賬號后完成注冊。為防止程序惡意注冊，設置了校驗碼程序，激

53、活程序有兩種方法：e-mail和手機（一個手機只能激活一個用戶賬號）。用激活的用戶賬號就可以登錄淘寶網首頁選擇要購買的商品，也可以發布求購信息，等賣家來聯系你。對于賣家則需要通過實名認證，并發布10件商品才可以在淘寶網上開店，淘寶網為賣家提供電子店鋪主頁、櫥窗位等供商品展示。賣家發布商品，可根據其需要用“一口價”、“拍賣”兩種方式進行發布，到期沒有賣出的商品可以到虛擬倉庫中重新上架發布，時間重新計算。用戶還可以參加淘寶組織的各類產品德促銷、廣告活動。3實名認證登錄淘寶網，在我的淘寶點擊“實名認證”進入認證申請頁面，會出現“個人認證”和“商家認證”兩種方式，填寫所需資料并提供在有效期內證件（有效

54、期3個月內的證件不予受理）和固定電話。未滿18周歲不可以成為淘寶的認證人員。通過認證的會員不允許修改真實姓名和身份證號碼。個人認證可用證件：身份證、護照、駕照、軍官證、戶籍證明（戶籍證明必須原件郵寄）；澳門會員需提供回鄉證；臺灣會員需出具臺胞證及大陸擔保人身份證明，同時須提供大陸擔保人的聯系電話；非中華人民共和國證件的人員，必須有國內的擔保人同時上傳身份證明和聯系電話。商家認證是指具有法人資格的商家所進行的認證，不包括無字號的商店。商家認證需提供：有效身份證件、公司營業執照、授權委托書。必須保證在淘寶上出售的商品與營業執照中經營范圍相一致，否則淘寶有權追究責任。如果用支付寶時無法提供公司賬號的

55、，建議申請個人認證，否則將會導致支付寶無法匯款到賬。淘寶網與全國公安部門下屬身份證查詢中心合作，將認證資料交由國家有關部門進行核對認證，并進行固定電話審核。驗證需三個工作日，并以站內信件、電子郵件或電話通知結果。一旦淘寶發現用戶注冊資料中主要內容是虛假的，淘寶可以隨時終止與該用戶的服務協議。4支寶的交易流程買家通過在淘寶網站瀏覽找到自己喜歡的商品，可以點擊“立刻購買”，輸入購買的數量、選擇收貨地址和運送方式后確認無誤后點擊“確認無誤，購買”，然后在核對完拍下的寶貝信息后選擇付款方式，完成購買。還可以選用“購物車”程序進行購買，方便用戶購買數量多付款時帶來的不便。在買家付款前，雙方可以通過淘寶旺

56、旺、e-mail等各種實時或非實時聊天工具進行協商。賣家還可以進入支付寶交易管理中，重新調整物流的承運商和調整給買家的折扣。找到需要修改價格的商品，點擊“修改交易價格”可選擇修改物流承運商和調整給買家的折扣。一旦修改成功，系統將發送一封包含本次交易的修改內容的郵件給買家確認。買家購買商品以后，賣家可以在已賣出的商品中看到交易狀態為“等待買家付款”。當買家付款到支付寶后，系統會通知賣家發貨。賣家可以自己找物流承運商發貨，核對交易信息無誤后輸入承運公司名稱和承運單號碼，點擊“確認發貨”。賣家可以選擇支付寶推薦的物流承運商發貨，核對交易信息無誤后輸入物流來上門取貨的時間及取貨地址，點擊“通知物流公司

57、上門取貨”，系統會根據物流公司的反饋自動確認已發貨，賣家可以在“交易管理”中查詢本次交易，填入承運單號碼，點擊“確認發貨”。完成發貨后系統會發送一封包含發貨相關物流信息的郵件給買家，買家確認收到貨物后，交易狀態會顯示為“交易成功”，支付寶會將錢打入賣家的“支付寶賬戶”。如果交易雙方相當信任，可以發起“即時到帳交易”，在買家完成付款后直接到達賣家的“支付寶賬戶”中，此交易部受“支付寶交易”保護，交易風險自己承擔。（三）支付安全隨著電子商務的不斷發展，網絡詐騙使得很多人不敢嘗試網上購物，而淘寶網的安全支付系統“支付寶”在這一方面的努力得到了用戶的認可。買家在網站上門購買了商品并付款，這筆錢首先到了支付寶，當買家收到商品并感到滿意時，再通過網絡授權支付寶付款給賣家，支付寶從中收取少量的費用，這盡可能降低了c2c交易的風險，因而贏得了用戶的青睞。實際是，為了保障交易安全淘寶網設立了多重安全防線：全國首推賣家開店先通過公安部門驗證身份證信息，并有手機和信用卡認證；每個賣家有信用評價體系，如果賣家有欺詐行為信用就會很低。除此之外，阿里巴巴宣布支付寶推出了“全額賠付”制度，對于使用支付寶而受騙