【正文】 督買方按時(shí)付款，還要監(jiān)督賣方按時(shí)提供符合合同 要求的貨物。 在這些環(huán)節(jié)上，存在大量管理問題，管理不善 會(huì)造成巨大的潛在風(fēng)險(xiǎn)。為防止此類風(fēng)險(xiǎn)， 需要有 完善的制度設(shè)計(jì) ，形成一套相互關(guān)聯(lián)、相互制約的 制度。 4. 管理風(fēng)險(xiǎn) 交易流程管理風(fēng)險(xiǎn) 人員管理風(fēng)險(xiǎn) 網(wǎng)絡(luò)交易技術(shù)管理的漏洞的交易風(fēng)險(xiǎn) 人員管理常常是網(wǎng)上交易安全管理上的最薄弱 的環(huán)節(jié)，內(nèi)部犯罪現(xiàn)象明顯， 工作人員職業(yè)道德修 養(yǎng)不高，安全教育和管理松懈。 一些競(jìng)爭(zhēng)對(duì)手還利用企業(yè)招募新人的方式潛入 該企業(yè)，或利用不正當(dāng)?shù)姆绞绞召I企業(yè)網(wǎng)絡(luò)交易管 理人員，竊取企業(yè)的用戶識(shí)別碼、密碼、傳遞方式 以及相關(guān)的機(jī)密文件資料。 4. 管理風(fēng)險(xiǎn) 交易流程管理風(fēng)險(xiǎn) 人員管理風(fēng)險(xiǎn) 網(wǎng)絡(luò)交易技術(shù)管理的漏洞的交易風(fēng)險(xiǎn) 有些操作系統(tǒng)中的某些用戶是無(wú)口令的，如匿 名 FTP，利用遠(yuǎn)程登錄（ Tel）命令登錄的這些無(wú) 口令用戶，有可能惡意地把自己升級(jí)為超級(jí)用戶。 5. 法律風(fēng)險(xiǎn) 法律滯后的風(fēng)險(xiǎn) 法律的事后完善的風(fēng)險(xiǎn) 在網(wǎng)上交易可能會(huì)承擔(dān)由于法律滯后， 即目前尚沒有相關(guān)法律進(jìn)行規(guī)范，因而無(wú) 法保證合法交易的權(quán)益所造成的風(fēng)險(xiǎn)。 5. 法律風(fēng)險(xiǎn) 法律滯后的風(fēng)險(xiǎn) 法律的事后完善的風(fēng)險(xiǎn) 在網(wǎng)上交易可能承擔(dān)由于法律的事后 完善所帶來的風(fēng)險(xiǎn)，即在原來法律條文沒 有明確規(guī)定下而進(jìn)行的網(wǎng)上交易，在后來 頒布新的法律條文下屬于違法經(jīng)營(yíng)所造成 的損失。如，證券交易的主體的規(guī)定。 二、 電子商務(wù)的安全要求 ? 電子商務(wù)發(fā)展的核心和關(guān)鍵問題是交易的安全性。由于 Inter本身的開放性，使網(wǎng)上交易面臨了種種危險(xiǎn)，由此提出了相應(yīng)的安全控制要求。 （一） 有效性 （二） 機(jī)密性 （三）完整性 （四）真實(shí)性和不可抵賴性的鑒別 電子商務(wù)以電子形式取代了紙張，要對(duì)網(wǎng)絡(luò)故障、操作 失誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病 毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確 定的時(shí)間、確定的地點(diǎn)是有效的。 有效性 機(jī)密性 完整性 真實(shí)性和不可抵賴性的鑒別 存 1000美元到Bob的賬號(hào) 客戶 銀 行 存 900美元到 Mallet的賬號(hào) 存 100美元到 Bob賬號(hào) 數(shù)據(jù)篡改 作為貿(mào)易的一種手段，電子商務(wù)的信息直接代表著個(gè)人、 企業(yè)或國(guó)家的商業(yè)機(jī)密。電子商務(wù)是建立在一個(gè)較為開放的 網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重 要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過程中 被非法竊取。 有效性 機(jī)密性 完整性 真實(shí)性和不可抵賴性的鑒別 登錄： 用戶名： dan 密碼： Mypassword dan 電子商務(wù)簡(jiǎn)化了貿(mào)易過程，減少了人為的干預(yù)，同時(shí)也 帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。貿(mào)易各方 信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略，保持貿(mào) 易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此，要預(yù)防 對(duì)信息的隨意生產(chǎn)、修改和刪除，同時(shí)要防止數(shù)據(jù)傳送過程 中信息的丟失和重復(fù)。 有效性 機(jī)密性 完整性 真實(shí)性和不可抵賴性的鑒別 要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或 國(guó)家甚至是交易信息本身提供可靠的標(biāo)識(shí)，如電子簽名、時(shí) 間戳等。 有效性 機(jī)密性 完整性 真實(shí)性和不可抵賴性的鑒別 有效性 機(jī)密性 完整性 真實(shí)性和不可抵賴性的鑒別 我是 Bob，將公 司與思科公司 的所有通信記錄 發(fā)送給我 Bob Mallet DataBase ? 三、電子商務(wù)安全管理思路 電子商務(wù)的安全管理 ，就是通過一個(gè)完整的綜合 保障體系，規(guī)避各種風(fēng)險(xiǎn)，以保證網(wǎng)上交易的順利進(jìn) 行。 無(wú)論從保護(hù)合法市場(chǎng)交易利益，還是市場(chǎng)本身的 發(fā)展來看，確保網(wǎng)上交易安全是電子虛擬市場(chǎng)要解決 的首先問題和基本問題，需要各方配合加強(qiáng)對(duì)網(wǎng)上交 易安全性的監(jiān)管。 網(wǎng)上交易安全管理，應(yīng)采用綜合防范的思路，從技術(shù)、管理、法律等方面建立一個(gè)完整的網(wǎng)絡(luò)交易安全體系。 （ 1）技術(shù)方面：防火墻技術(shù)、網(wǎng)絡(luò)防毒等。 （ 2）加強(qiáng)監(jiān)管：建立各種有關(guān)的合理制度，并嚴(yán)格監(jiān)督。 （ 3）社會(huì)的法律政策與法律保障：盡快出臺(tái)和完善相關(guān)的法律制度，嚴(yán)懲破壞合法網(wǎng)上交易權(quán)益的行為。 電子商務(wù)安全技術(shù) ? 交易方自身網(wǎng)絡(luò)安全保障技術(shù) （一）用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù) （二）防火墻技術(shù) （三）虛擬專用技術(shù) （四）入侵檢測(cè)技術(shù) ? 電子商務(wù)信息傳輸安全保障技術(shù) （一） 加密技術(shù) （二） 數(shù)字摘要技術(shù) ? 身份和信息認(rèn)證技術(shù) （一） 身份認(rèn)證 （二） 信息認(rèn)證 （三） 通過認(rèn)證機(jī)構(gòu)認(rèn)證 ? 電子商務(wù)安全支付技術(shù) （一） SSL安全協(xié)議 （二） SET安全協(xié)議 一、交易方自身網(wǎng)絡(luò)安全保障技術(shù) （一）用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù) （二）防火墻技術(shù) （三）虛擬專用技術(shù) （四）入侵檢測(cè)技術(shù) 獲取合法的賬號(hào)和密碼是黑客攻擊網(wǎng)絡(luò)系統(tǒng)最常使用的方法。因此， 用戶賬號(hào)的安全管理措施包括： （ 1） 技術(shù)層面的安全支持 ，即針對(duì)用戶賬號(hào)完整性的技術(shù)，包括用戶分組管理 （對(duì)不同的成員賦予不同的權(quán)限） 、單一登錄密碼制 （用戶在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)任何地方都使用同一個(gè)用戶名和密碼） 、用戶認(rèn)證（ 結(jié)合多種手段如電話號(hào)碼、 IP地址、用戶使用的時(shí)間等精確地確認(rèn)用戶）。 （ 2）在企業(yè) 信息管理的政策方面 有相應(yīng)的措施，即劃分不同的用戶級(jí)別，制定密碼政策 （如密碼的長(zhǎng)度、密碼定期更換、密碼的組成等）， 對(duì)職員的流動(dòng)采取必要的措施，以及對(duì)職員進(jìn)行計(jì)算機(jī)安全的教育。 兩者相互作用才能在一定程度上真正有效地保證用戶賬號(hào)的保密性。 采取多方面的防治措施預(yù)防病毒、檢查病毒、消除病毒。 用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù) 防火墻技術(shù) 虛擬專用技術(shù) 入侵檢測(cè)技術(shù) 防火墻 是由軟件和硬件設(shè)備組合而成的，是處于企業(yè)內(nèi)部網(wǎng)和外部網(wǎng) 之間，用戶加強(qiáng)內(nèi)外之間安全防范的一個(gè)或一組系統(tǒng)。 一個(gè)好的防火墻系統(tǒng)應(yīng)具有以下幾方面的作用： 限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶 允許內(nèi)部網(wǎng)的一部分被外部網(wǎng)訪問，另一部分被保護(hù)起來。 限定內(nèi)部網(wǎng)對(duì)特殊的站點(diǎn)訪問 為監(jiān)視互聯(lián)網(wǎng)的安全提供方便 用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù) 防火墻技術(shù) 虛擬專用技術(shù) 入侵檢測(cè)技術(shù) 防火墻有沒有缺陷呢？ ?防火墻限制了有用的網(wǎng)絡(luò)服務(wù) ?防火墻不能防范不經(jīng)由防火墻的攻擊 ?防火墻不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊 虛擬專用網(wǎng)（ VPN），這是指利用隧道技術(shù)把兩個(gè)或多個(gè)專用網(wǎng)絡(luò)通過公共網(wǎng)（通常指 Inter）安全地連接到一起，組成虛擬的統(tǒng)一的專用網(wǎng)的技術(shù)。 ? 其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè) VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專用網(wǎng)絡(luò)所需的端到端物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如 Inter、 ATM(異步傳輸模式 )、幀中繼等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。 用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù) 防火墻技術(shù) 虛擬專用技術(shù) 入侵檢測(cè)技術(shù) 內(nèi)部網(wǎng) 內(nèi)部網(wǎng) 互聯(lián)網(wǎng) 通過 VPN組建的企業(yè)內(nèi)部網(wǎng) 入侵檢測(cè)（ “ IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行 即時(shí)監(jiān)視 ，在發(fā)現(xiàn)可疑傳輸時(shí) 發(fā)出警報(bào) 或者采取 主動(dòng)反應(yīng) 措施的網(wǎng)絡(luò)安全設(shè)備。 ?入侵檢測(cè)通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)： ? 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)； ? 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)； ? 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警； ? 異常行為模式的統(tǒng)計(jì)分析； ? 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性； ? 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。 用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù) 防火墻技術(shù) 虛擬專用技術(shù) 入侵檢測(cè)技術(shù) 實(shí)時(shí)監(jiān)控非法入侵的過程示意圖 報(bào)警 日志記錄 攻擊檢測(cè) 記錄入侵 過程 重新配置 防火墻 路由器 內(nèi)部入侵 入侵檢測(cè) 記錄 終止入侵 ? 二、電子商務(wù)信息傳輸安全保障技術(shù) （一） 加密技術(shù) （二） 數(shù)字摘要技術(shù) （一）、加密技術(shù) 加密技術(shù)是認(rèn)證技術(shù)及其他許多安全技術(shù)的基礎(chǔ)。 “ 加密 ” ，簡(jiǎn)單地說，就是使用數(shù)學(xué)的方法將原始信息（明文）重新組織與變換成只有授權(quán)用戶才能解讀的密碼形式（密文）。 而 “ 解密 ” 就是將密文重新恢復(fù)成明文。 ? 加密技術(shù)包括兩個(gè)元素： ? 算法是在加密和解密時(shí)所使用的信息變換規(guī)則。(如公式、法則或程序 )。 ? 密鑰是控制加密和解密過程的一組隨機(jī)數(shù)碼 (控制只是指與密鑰有關(guān)，而與算法無(wú)關(guān) )。 現(xiàn)代密碼學(xué)的一個(gè)基本原則是： 一切秘密寓于密鑰之中 。密碼算法可以公開，真正需要保密的是密鑰。因此，稱 密鑰 是加密或解密過程中的關(guān)鍵要素。 古典加密技術(shù) － 替代算法 愷撒密碼 (單字母替換 ) – 明文： a b c d e f g h i j k l m n o p q – 密文： d e f g h i j k l m n o p q r s t – 此時(shí)密鑰為 3，即每個(gè)字母順序推后 3個(gè)。 – 解密使用相同的方法，密鑰為 3 。 例如： 將字母的自然順序保持不變，但使之分別與相差 4個(gè)字母的字母相對(duì)應(yīng)。 How are you Lsa evi csy 對(duì)稱密鑰密碼體制 加密技術(shù)的類型 非對(duì)稱密鑰密碼體制 加密密鑰與解密密鑰是 相同 的。密鑰必須通過安全可靠的途徑傳遞。由于密鑰管理成為影響系統(tǒng)安全的關(guān)鍵性因素，使它難以滿足系統(tǒng)的開放性要求。 把加密過程和解密過程設(shè)計(jì)成不同的途徑，當(dāng)算法公開時(shí)，在計(jì)算上不可能由加密密鑰求得解密密鑰，因而加密密鑰可以公開，而只需秘密保存解密密鑰即可。 公開密鑰密碼體制產(chǎn)生于 1976年，又稱雙鑰或非對(duì)稱密鑰密碼體制。 1977年麻省理工學(xué)院的三位科學(xué)家 Rivest、 Shamir和 Adleman提出最著名和使用最廣泛的 公鑰加密 方法 RSA 公開密鑰密碼系統(tǒng)。 非對(duì)稱密鑰算法的加密解密流程 加密 原文 密文 原文 解密 公鑰 私鑰 非對(duì)稱密鑰密碼體制 非對(duì)稱加密方式中密鑰的分發(fā)與管理 非對(duì)稱密鑰密碼體制 老張 小李的公開 密匙