【正文】 督買方按時付款，還要監(jiān)督賣方按時提供符合合同 要求的貨物。 在這些環(huán)節(jié)上，存在大量管理問題，管理不善 會造成巨大的潛在風險。為防止此類風險， 需要有 完善的制度設計 ，形成一套相互關聯(lián)、相互制約的 制度。 4. 管理風險 交易流程管理風險 人員管理風險 網(wǎng)絡交易技術管理的漏洞的交易風險 人員管理常常是網(wǎng)上交易安全管理上的最薄弱 的環(huán)節(jié)，內部犯罪現(xiàn)象明顯， 工作人員職業(yè)道德修 養(yǎng)不高，安全教育和管理松懈。 一些競爭對手還利用企業(yè)招募新人的方式潛入 該企業(yè)，或利用不正當?shù)姆绞绞召I企業(yè)網(wǎng)絡交易管 理人員，竊取企業(yè)的用戶識別碼、密碼、傳遞方式 以及相關的機密文件資料。 4. 管理風險 交易流程管理風險 人員管理風險 網(wǎng)絡交易技術管理的漏洞的交易風險 有些操作系統(tǒng)中的某些用戶是無口令的，如匿 名 FTP，利用遠程登錄（ Tel）命令登錄的這些無 口令用戶，有可能惡意地把自己升級為超級用戶。 5. 法律風險 法律滯后的風險 法律的事后完善的風險 在網(wǎng)上交易可能會承擔由于法律滯后， 即目前尚沒有相關法律進行規(guī)范，因而無 法保證合法交易的權益所造成的風險。 5. 法律風險 法律滯后的風險 法律的事后完善的風險 在網(wǎng)上交易可能承擔由于法律的事后 完善所帶來的風險，即在原來法律條文沒 有明確規(guī)定下而進行的網(wǎng)上交易，在后來 頒布新的法律條文下屬于違法經(jīng)營所造成 的損失。如，證券交易的主體的規(guī)定。 二、 電子商務的安全要求 ? 電子商務發(fā)展的核心和關鍵問題是交易的安全性。由于 Inter本身的開放性，使網(wǎng)上交易面臨了種種危險，由此提出了相應的安全控制要求。 （一） 有效性 （二） 機密性 （三）完整性 （四）真實性和不可抵賴性的鑒別 電子商務以電子形式取代了紙張，要對網(wǎng)絡故障、操作 失誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病 毒所產(chǎn)生的潛在威脅加以控制和預防，以保證貿(mào)易數(shù)據(jù)在確 定的時間、確定的地點是有效的。 有效性 機密性 完整性 真實性和不可抵賴性的鑒別 存 1000美元到Bob的賬號 客戶 銀 行 存 900美元到 Mallet的賬號 存 100美元到 Bob賬號 數(shù)據(jù)篡改 作為貿(mào)易的一種手段，電子商務的信息直接代表著個人、 企業(yè)或國家的商業(yè)機密。電子商務是建立在一個較為開放的 網(wǎng)絡環(huán)境上的，維護商業(yè)機密是電子商務全面推廣應用的重 要保障。因此，要預防非法的信息存取和信息在傳輸過程中 被非法竊取。 有效性 機密性 完整性 真實性和不可抵賴性的鑒別 登錄： 用戶名： dan 密碼： Mypassword dan 電子商務簡化了貿(mào)易過程，減少了人為的干預，同時也 帶來維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。貿(mào)易各方 信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào) 易各方信息的完整性是電子商務應用的基礎。因此，要預防 對信息的隨意生產(chǎn)、修改和刪除，同時要防止數(shù)據(jù)傳送過程 中信息的丟失和重復。 有效性 機密性 完整性 真實性和不可抵賴性的鑒別 要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或 國家甚至是交易信息本身提供可靠的標識，如電子簽名、時 間戳等。 有效性 機密性 完整性 真實性和不可抵賴性的鑒別 有效性 機密性 完整性 真實性和不可抵賴性的鑒別 我是 Bob，將公 司與思科公司 的所有通信記錄 發(fā)送給我 Bob Mallet DataBase ? 三、電子商務安全管理思路 電子商務的安全管理 ，就是通過一個完整的綜合 保障體系，規(guī)避各種風險，以保證網(wǎng)上交易的順利進 行。 無論從保護合法市場交易利益，還是市場本身的 發(fā)展來看，確保網(wǎng)上交易安全是電子虛擬市場要解決 的首先問題和基本問題，需要各方配合加強對網(wǎng)上交 易安全性的監(jiān)管。 網(wǎng)上交易安全管理，應采用綜合防范的思路，從技術、管理、法律等方面建立一個完整的網(wǎng)絡交易安全體系。 （ 1）技術方面：防火墻技術、網(wǎng)絡防毒等。 （ 2）加強監(jiān)管：建立各種有關的合理制度，并嚴格監(jiān)督。 （ 3）社會的法律政策與法律保障：盡快出臺和完善相關的法律制度，嚴懲破壞合法網(wǎng)上交易權益的行為。 電子商務安全技術 ? 交易方自身網(wǎng)絡安全保障技術 （一）用戶賬號管理和網(wǎng)絡殺毒技術 （二）防火墻技術 （三）虛擬專用技術 （四）入侵檢測技術 ? 電子商務信息傳輸安全保障技術 （一） 加密技術 （二） 數(shù)字摘要技術 ? 身份和信息認證技術 （一） 身份認證 （二） 信息認證 （三） 通過認證機構認證 ? 電子商務安全支付技術 （一） SSL安全協(xié)議 （二） SET安全協(xié)議 一、交易方自身網(wǎng)絡安全保障技術 （一）用戶賬號管理和網(wǎng)絡殺毒技術 （二）防火墻技術 （三）虛擬專用技術 （四）入侵檢測技術 獲取合法的賬號和密碼是黑客攻擊網(wǎng)絡系統(tǒng)最常使用的方法。因此， 用戶賬號的安全管理措施包括： （ 1） 技術層面的安全支持 ，即針對用戶賬號完整性的技術，包括用戶分組管理 （對不同的成員賦予不同的權限） 、單一登錄密碼制 （用戶在企業(yè)計算機網(wǎng)絡任何地方都使用同一個用戶名和密碼） 、用戶認證（ 結合多種手段如電話號碼、 IP地址、用戶使用的時間等精確地確認用戶）。 （ 2）在企業(yè) 信息管理的政策方面 有相應的措施，即劃分不同的用戶級別，制定密碼政策 （如密碼的長度、密碼定期更換、密碼的組成等）， 對職員的流動采取必要的措施，以及對職員進行計算機安全的教育。 兩者相互作用才能在一定程度上真正有效地保證用戶賬號的保密性。 采取多方面的防治措施預防病毒、檢查病毒、消除病毒。 用戶賬號管理和網(wǎng)絡殺毒技術 防火墻技術 虛擬專用技術 入侵檢測技術 防火墻 是由軟件和硬件設備組合而成的，是處于企業(yè)內部網(wǎng)和外部網(wǎng) 之間，用戶加強內外之間安全防范的一個或一組系統(tǒng)。 一個好的防火墻系統(tǒng)應具有以下幾方面的作用： 限制他人進入內部網(wǎng)絡，過濾掉不安全服務和非法用戶 允許內部網(wǎng)的一部分被外部網(wǎng)訪問，另一部分被保護起來。 限定內部網(wǎng)對特殊的站點訪問 為監(jiān)視互聯(lián)網(wǎng)的安全提供方便 用戶賬號管理和網(wǎng)絡殺毒技術 防火墻技術 虛擬專用技術 入侵檢測技術 防火墻有沒有缺陷呢？ ?防火墻限制了有用的網(wǎng)絡服務 ?防火墻不能防范不經(jīng)由防火墻的攻擊 ?防火墻不能防范來自網(wǎng)絡內部的攻擊 虛擬專用網(wǎng)（ VPN），這是指利用隧道技術把兩個或多個專用網(wǎng)絡通過公共網(wǎng)（通常指 Inter）安全地連接到一起，組成虛擬的統(tǒng)一的專用網(wǎng)的技術。 ? 其之所以稱為虛擬網(wǎng)，主要是因為整個 VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)絡所需的端到端物理鏈路，而是架構在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺，如 Inter、 ATM(異步傳輸模式 )、幀中繼等之上的邏輯網(wǎng)絡，用戶數(shù)據(jù)在邏輯鏈路中傳輸。 用戶賬號管理和網(wǎng)絡殺毒技術 防火墻技術 虛擬專用技術 入侵檢測技術 內部網(wǎng) 內部網(wǎng) 互聯(lián)網(wǎng) 通過 VPN組建的企業(yè)內部網(wǎng) 入侵檢測（ “ IDS”）是一種對網(wǎng)絡傳輸進行 即時監(jiān)視 ，在發(fā)現(xiàn)可疑傳輸時 發(fā)出警報 或者采取 主動反應 措施的網(wǎng)絡安全設備。 ?入侵檢測通過執(zhí)行以下任務來實現(xiàn)： ? 監(jiān)視、分析用戶及系統(tǒng)活動； ? 系統(tǒng)構造和弱點的審計； ? 識別反映已知進攻的活動模式并向相關人士報警； ? 異常行為模式的統(tǒng)計分析； ? 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； ? 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。 用戶賬號管理和網(wǎng)絡殺毒技術 防火墻技術 虛擬專用技術 入侵檢測技術 實時監(jiān)控非法入侵的過程示意圖 報警 日志記錄 攻擊檢測 記錄入侵 過程 重新配置 防火墻 路由器 內部入侵 入侵檢測 記錄 終止入侵 ? 二、電子商務信息傳輸安全保障技術 （一） 加密技術 （二） 數(shù)字摘要技術 （一）、加密技術 加密技術是認證技術及其他許多安全技術的基礎。 “ 加密 ” ，簡單地說，就是使用數(shù)學的方法將原始信息（明文）重新組織與變換成只有授權用戶才能解讀的密碼形式（密文）。 而 “ 解密 ” 就是將密文重新恢復成明文。 ? 加密技術包括兩個元素： ? 算法是在加密和解密時所使用的信息變換規(guī)則。(如公式、法則或程序 )。 ? 密鑰是控制加密和解密過程的一組隨機數(shù)碼 (控制只是指與密鑰有關，而與算法無關 )。 現(xiàn)代密碼學的一個基本原則是： 一切秘密寓于密鑰之中 。密碼算法可以公開，真正需要保密的是密鑰。因此，稱 密鑰 是加密或解密過程中的關鍵要素。 古典加密技術 － 替代算法 愷撒密碼 (單字母替換 ) – 明文： a b c d e f g h i j k l m n o p q – 密文： d e f g h i j k l m n o p q r s t – 此時密鑰為 3，即每個字母順序推后 3個。 – 解密使用相同的方法，密鑰為 3 。 例如： 將字母的自然順序保持不變，但使之分別與相差 4個字母的字母相對應。 How are you Lsa evi csy 對稱密鑰密碼體制 加密技術的類型 非對稱密鑰密碼體制 加密密鑰與解密密鑰是 相同 的。密鑰必須通過安全可靠的途徑傳遞。由于密鑰管理成為影響系統(tǒng)安全的關鍵性因素，使它難以滿足系統(tǒng)的開放性要求。 把加密過程和解密過程設計成不同的途徑，當算法公開時，在計算上不可能由加密密鑰求得解密密鑰，因而加密密鑰可以公開，而只需秘密保存解密密鑰即可。 公開密鑰密碼體制產(chǎn)生于 1976年，又稱雙鑰或非對稱密鑰密碼體制。 1977年麻省理工學院的三位科學家 Rivest、 Shamir和 Adleman提出最著名和使用最廣泛的 公鑰加密 方法 RSA 公開密鑰密碼系統(tǒng)。 非對稱密鑰算法的加密解密流程 加密 原文 密文 原文 解密 公鑰 私鑰 非對稱密鑰密碼體制 非對稱加密方式中密鑰的分發(fā)與管理 非對稱密鑰密碼體制 老張 小李的公開 密匙