【正文】 團購買者來說，存在拖延貨款的可能，賣方需要為此承擔(dān)風(fēng)險。在這些環(huán)節(jié)上，都存在著大量的管理問題，如果管理不善，勢必造成巨大的潛在風(fēng)險。但也必須看到，在目前的法律上還找不到現(xiàn)成的條文保護(hù)網(wǎng)絡(luò)交易中的交易方式，因此還存在法律滯后所帶來的風(fēng)險。 返回本節(jié) 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)網(wǎng)絡(luò)安全管理基本對策 技術(shù)對策 管理對策 構(gòu)造電子商務(wù)交易安全的保障體系 跳到下一節(jié) 返回本章首頁 第 3章 電子商務(wù)系統(tǒng)的安全 技術(shù)對策 技術(shù)對策主要有：設(shè)置虛擬專用網(wǎng)、使用安全訪問設(shè)備、防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲通信、身份認(rèn)證、訪問控制、授權(quán)等。集線器和調(diào)制解調(diào)器應(yīng)放在受監(jiān)視的地方。 信息加密機制： 信息加密是網(wǎng)絡(luò)中采用的最基本的安全技術(shù)。 1審計追蹤機制： 審計記錄追蹤，記錄每個用戶的網(wǎng)絡(luò)地址和時間，記錄管理員活動。 第 3章 電子商務(wù)系統(tǒng)的安全 管理對策 網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度 ① 硬件的日常管理維護(hù)制度： 包括： Intra、 網(wǎng)絡(luò)設(shè)備、服務(wù)器和客戶機、通信線路等。（切記：到達(dá)付款及送貨信息那一步后，若不是確定購買，不要進(jìn)入下一步） 3. 結(jié)合上述操作，總結(jié)一下建立 B2C網(wǎng)站需要提供的主要功能。所有內(nèi)部網(wǎng)和外部網(wǎng)之間的鏈接都要經(jīng)過這一保護(hù)層。即： ? 凡是沒有被列為允許訪問的服務(wù)都是被禁止的 。這是一種非常有效實用的方法，可以造成一種十分安全的環(huán)境，因為只有經(jīng)過仔細(xì)挑選的服務(wù)才能允許用戶使用。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)防火墻 防火墻的功能 （防火墻可以防范什么？ ） （ 4）數(shù)據(jù)源控制 使用過濾模塊來檢查數(shù)據(jù)包的來源和目的地址，根據(jù)管理員的規(guī)定來決定接收還是拒絕該數(shù)據(jù)包。 具有防火墻的主機在 Inter界面稱為堡壘式計算機。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)防火墻 防火墻的類型 （ 2）代理服務(wù)器型防火墻 原理： 內(nèi)部網(wǎng)絡(luò)與 Inter不直接通訊，防火墻內(nèi)外的計算機之間的通信通過代理服務(wù)器中轉(zhuǎn)。 （ 4）電路級防火墻 （ 5）規(guī)則檢查防火墻 （ 6）復(fù)合型防火墻 （ 7）屏蔽主機防火墻 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)防火墻 防火墻的局限性 （防火墻不能防范什么？） ● 不能防范來自內(nèi)部的攻擊。這個過程就是加密（加密需要兩個輸入項：明文和加密密鑰）。所以，加密技術(shù)的關(guān)鍵是密鑰。加密后的信息，即使被他人截取，由于得到的是加密后的不可理解的信息（密文），因此無法知道這些信息的原始涵義；同時加密后，他人也無法加入或刪除信息，因為加密后信息被改變后就無法得到原始信息。 3） 對稱加密是建立在共同保守秘密的基礎(chǔ)之上的 ， 在管理和分發(fā)密鑰過程中 ， 任何一方的泄密都會造成密鑰的失效 ， 存在著潛在的危險和復(fù)雜的管理難度 。 ② 高級加密標(biāo)準(zhǔn) （ AES） ： AES是一種密碼塊加密方法 。因此你可以將你的公鑰散發(fā)給其他人，而你自己則安全地持有你的私鑰。 ? 加密技術(shù)是國家控制的技術(shù)，加密技術(shù)只有牢牢掌握在自己國家手中，才能夠比較主動地把握各類信息的安全性。也可綜合在一起使用。因為相應(yīng)的私鑰只有該原文聲明者擁有，而只有用該私鑰加密才能獲得可由相應(yīng)公鑰正確解密的結(jié)果。因此數(shù)字簽名可作為信息發(fā) /收雙方對某些有爭議信息的法律依據(jù)。 電子商務(wù)身份認(rèn)證的目標(biāo) ① 保證信息來源的可信（并非假冒）；② 傳輸過程的完整性（沒有被修改、延遲、替換）；③ 收發(fā)雙方的不可抵賴性；④訪問控制（拒絕非法用戶訪問系統(tǒng)資源，合法用戶只能訪問系統(tǒng)授權(quán)和指定的資源）。 返回本節(jié) 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)的數(shù)字時間戳 電子商務(wù)身份認(rèn)證的基本方式 （ 1） 數(shù)字時間戳的必要性： 在書面合同中，文件簽署的日期和簽名一樣都十分重要。在電子商務(wù)中，不同的數(shù)字證書有著不同的用途。它提供了一種在 Inter上身份驗證的方式，用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方的身份，與司機駕照或日常生活中的身份證相似。安裝在用戶的瀏覽器上。（根 CA） ● 根證書是一份特殊的證書，它的簽發(fā)者是它本身，下載根證書就表明您對該根證書以下所簽發(fā)的證書都表示信任，而技術(shù)上則是建立起一個驗證證書信息的鏈條，證書的驗證追溯至根證書即為結(jié)束。在 20世紀(jì)早期的麻省理工學(xué)院校園口語中，黑客則有“惡作劇”之意，尤其是指手法巧妙、技術(shù)高明的惡作劇。 黑客行為正在走向系統(tǒng)化、組織化、高技術(shù)化。 重點名詞： 網(wǎng)絡(luò)安全、防火墻、信息加密技術(shù)、數(shù)字簽名、數(shù)字證書、對稱加密。 （ 3） 使用有效的監(jiān)控手段抓住入侵者。 首例公開披露的作案： 1988年 11月 2日， 23歲的美國大學(xué)生羅伯特莫瑞斯的蠕蟲程序通過個人計算機用遠(yuǎn)程命令送進(jìn) Inter， 造成美國多所大學(xué)、科研機構(gòu)和軍事機構(gòu)約 6200臺計算機癱瘓。 計算機網(wǎng)絡(luò)病毒的類型 （ 1）蠕蟲（高速復(fù)制自己，占用系統(tǒng)資源）；（ 2）邏輯炸彈（滿足某種條件時受激發(fā)）；（ 3）特洛伊木馬（具有隱蔽性）；（ 4）陷阱入口（程序開發(fā)者有意安排引入歧路）；（ 5）核心大戰(zhàn)（允許兩個程序互相破壞的游戲程序）。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)的數(shù)字證書 證書的樹形驗證結(jié)構(gòu) ● 雙方通信時，通過出示某個認(rèn)證中心（ CA） 簽發(fā)的證書來證明自己的身份。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)的數(shù)字證書 數(shù)字證書的用途 數(shù)字證書采用公－私鑰密碼體制，每個用戶擁有一把僅為本人所掌握的私鑰，用它進(jìn)行信息解密和數(shù)字簽名；同時擁有一把公鑰，并可以對外公開，用于信息加密和簽名驗證。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)的數(shù)字證書 認(rèn)證機構(gòu)（ CA） 中心的職能 接收注冊請求，處理、批準(zhǔn)或拒絕請求，核發(fā)和管理用戶的數(shù)字證書；負(fù)責(zé)證書的檢索、撤消、驗證、數(shù)據(jù)庫備份、保證證書和密鑰服務(wù)器的安全。 （ 2）數(shù)字時間戳服務(wù)的提供： 由專門的機構(gòu)提供。由數(shù)字、字母、控制字符等組成。 數(shù)字加密則使用的是 接收方的密鑰對 ，這是 多對一 的關(guān)系，任何知道接收方公開密鑰的人都可以向接收方發(fā)送加密信息，只有唯一擁有接收方私有密鑰的人才能對信息解密 。簽名起到認(rèn)證、核準(zhǔn)、生效的作用。同時通過摘要是無法獲得原文的。這樣數(shù)字簽名就可用來防止電子信息因易被修改而有人做假，或假冒他人名義發(fā)送信息。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)信息的加密 電子商務(wù)信息的加密技術(shù) （ 4）最著名的非對稱加密算法（ RSA算法） 原理： 非對稱加密技術(shù)采用 RSA算法，加密和解密使用兩把密鑰，一把稱為公鑰，另一把稱為私鑰，兩把密鑰實際上是兩個很大的質(zhì)數(shù)，用其中的一個質(zhì)數(shù) （公鑰） 與明文相乘，可以加密得到密文；用另一個質(zhì)數(shù) （私鑰） 與密文相乘可以解密得到 明文 ，但不能用一個質(zhì)數(shù)求得另一個質(zhì)數(shù)，即 知道公鑰也無法求出私鑰。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)信息的加密 電子商務(wù)信息的加密技術(shù) （ 2）非對稱加密技術(shù)（公 — 私鑰加密技術(shù)） 非對稱加密又稱為公開密鑰加密，需要采用兩個在數(shù)學(xué)上相關(guān)的密鑰對：公開密鑰和私有密鑰進(jìn)行加密。 通過公開密鑰加密技術(shù)實現(xiàn)對稱密鑰的管理 ， 使相應(yīng)的管理變得簡單和更加安全 ,同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題 。 當(dāng)某一貿(mào)易方有 N個貿(mào)易關(guān)系 ， 他就要維護(hù) N個專用密鑰 。按現(xiàn)在的計算機技術(shù)水平，要破解 16位密鑰很容易，但要破解 1024位 RSA密鑰，需要上千年的計算時間。算法是加密或解密的一步一步過程（或計算方法），在這一過程中需要一串?dāng)?shù)字，這串?dāng)?shù)字就是密鑰。在網(wǎng)絡(luò)上傳輸二進(jìn)制文件的編碼方式太多了，并且有太多的不同的結(jié)構(gòu)和病毒，因此不可能查找所有的病毒。 缺點： 缺乏透明度（需要用戶輸入帳號和密碼來登錄）；在內(nèi)部網(wǎng)絡(luò)終端機很多的情況下，代理服務(wù)器負(fù)擔(dān)很重，效率必然會受到影響。以 IP包信息為基礎(chǔ)，檢查IP包中的信息（源地址、目標(biāo)地址、應(yīng)用或協(xié)議、端口號等），確定是否允許該數(shù)據(jù)包通過。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)防火墻 防火墻的功能 （防火墻可以防范什么？ ） （ 7）使用授權(quán)控制 客戶端認(rèn)證只允許指定的用戶訪問內(nèi)部網(wǎng)或選擇服務(wù) （ 8）反欺騙 欺騙是從外部獲取網(wǎng)絡(luò)訪問權(quán)的常用手段，它使數(shù)據(jù)包好似來自網(wǎng)絡(luò)內(nèi)部，電子商務(wù)系統(tǒng)的防火墻應(yīng)監(jiān)視這樣的數(shù)據(jù)包并能扔掉它們。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，網(wǎng)絡(luò)管理員可以針對不同的服務(wù)面向不同的用戶開放，也就是能自由地設(shè)置各個用戶的不同訪問權(quán)限。確保電子商務(wù)系統(tǒng)平臺不受到入侵。 第 3章 電子商務(wù)系統(tǒng)的安全 I n t e rn e t I n t ran e t E Mai l 服務(wù)器 W e b 服務(wù)器 內(nèi)部客戶機 數(shù)據(jù)庫 外 部 W W W 客戶 防火墻 防火墻系統(tǒng)示意圖 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)防火墻 （ 3）防火墻的安全控制策略 防火墻是一種技術(shù)。 防火墻的基本概念 企業(yè)內(nèi)部網(wǎng) Intra是企業(yè)電子商務(wù)系統(tǒng)的一個重要組成部分。應(yīng)盡快開發(fā)我國自己的網(wǎng)絡(luò)安全產(chǎn)品。這些制度主要有： 人員管理制度 ① 嚴(yán)格網(wǎng)絡(luò)營銷人員的選拔； ② 落實工作責(zé)任制； ③ 堅持貫徹電子商務(wù)安全運作基本原則：雙人負(fù)責(zé)；任期有限；最小權(quán)限原則。它包括：權(quán)限控制；日志記錄；文件和數(shù)據(jù)庫設(shè)置安全屬性（如只讀、讀 /寫、可修改、可執(zhí)行、共享程度等）。 第 3章 電子商務(wù)系統(tǒng)的安全 技術(shù)對策 使用安全訪問設(shè)備 使用智能卡、安全磁盤、安全認(rèn)證卡等安全訪問設(shè)備，它們相當(dāng)于給 Web安全又加了一道保險。在 VPN中使用比較復(fù)雜的專用加密和認(rèn)證技術(shù)，極大地提高了電子商務(wù)的安全，是進(jìn)行電子商務(wù)比較理想的一種形式。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 1 計算機病毒和黑客攻擊的風(fēng)險 計算機病毒和黑客的攻擊是困擾計算機網(wǎng)絡(luò)正常運轉(zhuǎn)的兩大棘手難題，是威脅計算機安全的不可忽視的因素。一些競爭對手還利用企業(yè)招募新人的方式潛入該企業(yè)，或利用不正當(dāng)方式收買企業(yè)網(wǎng)絡(luò)交易管理人員，竊取企業(yè)的用戶識別碼、密碼、傳遞方式以及相關(guān)的機密文件資料。這就要求網(wǎng)上交易雙方必須有良好的信用，而且有一套有效的信用機制降低信用風(fēng)險。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 交易信用風(fēng)險 交易的不可抵賴性是電子商務(wù)中的一個至關(guān)重要的問題。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 信息傳輸風(fēng)險 （ 3）信息傳遞過程中的破壞 信息在網(wǎng)上傳遞時，要經(jīng)過多個環(huán)節(jié)和渠道。 工作人員的不安全因素具體表現(xiàn)在以下幾方面： （ 1）規(guī)章制度不健全造成認(rèn)為泄密事故。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 購買者面臨的安全威脅 （ 3） 機密性喪失 客戶有可能將秘密的個人數(shù)據(jù)或自己的身份數(shù)據(jù) (如賬號 、口令等 )發(fā)送給冒充銷售商的機構(gòu) ， 這些信息也可能會在傳遞過程中被竊取 。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 電子商務(wù)的安全威脅 在傳統(tǒng)交易過程中，買賣雙方是面對面的，因此很容易保證交易過程的安全性和建立起信任關(guān)系。 因此 ， 電子交易文件應(yīng)能做到不可修改 ， 以保證交易的嚴(yán)肅性和公正性 。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)的安全控制要求 完整性 電子商務(wù)雖然簡化了貿(mào)易過程 、 減少了人為干預(yù) ，同時也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整 、 統(tǒng)一的問題 。利用國家機器進(jìn)行安全立法，體現(xiàn)與犯罪行為斗爭的國家意志。 原因：因為理論上網(wǎng)絡(luò)上的計算機有可能被網(wǎng)上任何一臺主機攻擊或插入物理