【正文】 浙 江工業(yè)大學浙西分校信電系畢業(yè)設計（論文） 7 第二章 電子商務的風險 風險投資人眼中的電子商務 獲得風險資本支持是許多電子商務企業(yè)成長必需的條 件。 現(xiàn)在大多數(shù)從事電子商務的企業(yè) ， 都選擇了貨到付款這樣一種較可靠的方式 ， 以解決在貨款的支付中雙方互不信任的問題 。 雖然 ,足不出戶 ，輕點鼠標 ， 便可通過計算機屏幕瀏覽網(wǎng)上商店的各種商品 ， 然后再輸入自己的家庭地址和數(shù)量等資料 ， 便會有人將選定的商品送上門 。這些攻擊可引起服務崩潰，保密信息暴露，從而最終導致公眾信心的喪失 以至 電子商務實施的瓦解。 浙 江工業(yè)大學浙西分校信電系畢業(yè)設計（論文） 5 4． 電子商務運作中的倫理障礙 在網(wǎng)絡這一新興媒體中 ， 發(fā)布信息不象在傳統(tǒng)媒體上會 受到那么多的制約 。 (2)節(jié)省了潛在開支，如電子郵件節(jié)省了通信郵費，而電子數(shù)據(jù)交換則大 大節(jié)省了管理和人員環(huán)節(jié)的開銷。電子商務業(yè)務運作模式的開放性和全球化使得安全的含義更為廣泛，安 全性方面的管理要求更高，所受到重視的程度更高。 本文將主要分析三種類型的電子商務的風險 ： 商業(yè)風險，技術風險和法律風險 。s service operation seriously, causes several dozens hundred million US dollars damages directly. The electronic merce risk is very big. Electronic merce service operation pattern openness and the globalization cause the safe meaning to be more widespread, the secure aspect management request is higher, receives the degree which takes to be higher. Electronic merce system hardware security, electronic merce system software security, electronic merce system movement security, information secrecy, transaction document integrity, information undeniable, swapper status authenticity, encryption, decipher, general key password system, public key password system, digital abstract, digital certificate, authentication center, SSL agreement, SET agreement and so on safety control. Key word: Electronic merce ； risk； safety control 浙 江工業(yè)大學浙西分校信電系畢業(yè)設計（論文） 4 第 1 章 電子商務的風險及其安全管理 電子商務 1．電子商務的概念 電子商務（ Electronic Commerce）即通過電信網(wǎng)絡進行的生產(chǎn)、營銷和流通活動，它不僅指基于因特網(wǎng)上的交易，而且指所有利用電子 信息技術來解決擴大宣傳、降低成本、增加價值和創(chuàng)造商機的商務活動 。 (4)提高了服務質量， 以一種快捷方便的方式提供企業(yè)及其產(chǎn)品的信息及客戶所需的服務。 安全管理 電子商務業(yè)務運作模式的開放性和全球化使得安全的含義更為廣泛，安全性方面的管理要求更高，所受到重視的程度更高。 由于法制法規(guī)的不健全 ， 與市場經(jīng)濟相配 套的法律還很不完善 。 2． 信用與支付手段的 問題 利用電子商務進行交易必然會涉及到信用與支付問題 。 3． 風險 電 子商 務 的 風險 影 響著 消 費 者和售 貨 代理商，也 許 是外部的 hacker也 許 是 內(nèi) 部的hacker，可以用偷的 數(shù) 據(jù) 來騙 取 錢 的信任卡片公司或者 學習貿(mào) 易商 業(yè)對 手。 首先，風險項目要解決的問題越大，在其它條件相等的情況下，該項目的投資價值就大。測算的最基本的方法是自由現(xiàn)金流量法，即預測項目企業(yè)在未來所能獲取的以現(xiàn)金形式出現(xiàn)的利潤并將其貼現(xiàn)，以此來估計項目企業(yè)的投資價值的大小。 市價與銷售額比率法使用起來更容易。 本文將主 要分析三種類型的電子商務的風險 ： 商業(yè)風險，技術風險和法律風險 。如果一個企業(yè)認為進行電子商務，只要一次投資就可以受益，那必然會被電子商務的不斷更新所淘汰?？梢赃@樣認為，電子商務流程再造是企業(yè)實施電子商務成功的關鍵因素之一。 正是由于消費者較高的期望與實際的落差 ， 給從事電子商務的企業(yè)帶來了新的風險，企業(yè)很容易因為無法滿足客戶實時的需求從而最終失去客戶 。對這些風險的管理除了要求企業(yè)間有很好的合作機制彼此信任，企業(yè)還必須保持對整個電子商務合作一定的決策和控制能力，對合作伙伴 要有適當?shù)脑u價和監(jiān)測手段，商業(yè)利益分配也應盡可能合理。 2． 技術應用風險 信息技術應用風險主要是指軟件技術的應用給電子 商務造成的風險，這類風險一般來自下面幾個方面 ： (1)程序運行中的缺陷和錯誤 。 (4)備份措施只對電子商務系統(tǒng)有效，這樣只完成了部分商業(yè)運作數(shù)據(jù)的備份 。 3． 知識產(chǎn)權風險 在電子商務時代知識產(chǎn)權風險主要表現(xiàn)為電子商務年代信息的新特性與知識產(chǎn)權具有的特性的強烈沖突。據(jù)國際互聯(lián)網(wǎng)保安公司Symantec2020 年的報告指出，中國已經(jīng)成為全球黑客的第三大來源地，竟然有 6． 9％的攻擊國際互聯(lián)網(wǎng)活動都是由中國發(fā)出的。 而企業(yè)比以往任何時候都更需要知道其合作伙伴的真實身份。另一種是假冒他人身份，如冒充領導發(fā)布命令、調閱密件，冒充他人消費，冒充系統(tǒng)管理員，占用合法用戶資源等。 電子商務的安全要素 電子商務系統(tǒng)是一個計算機系統(tǒng)，其安全性是一個系統(tǒng)的概念，不僅與計算機系統(tǒng)結構有關，還與電子商務應用的環(huán)境、人員素質和社會因素有關。信息接收方可以證實所接收的數(shù)據(jù)是原發(fā)方發(fā)出的，而原發(fā)方也可以證實只有指定的接收方才能接收。 加密的含義 為了保證信息在網(wǎng)上傳輸過程中不被篡改，必須對所發(fā)送的信息進行加密。 (5)密鑰的長度：密鑰的長度是指密鑰的位數(shù)。 1．對稱式加密方法 (1)優(yōu)點：可以簡化加密處理，具有很高的保密強度。 第三步用密鑰進行變換，并在給定條件下，進行多達 16 次迭代，最后進行逆初始變換，得到加密密文?？梢詽M足互不認識的人之間進行私人談話的保密性需求。 (2)它由單向 Hash 加密算法對一個消息作用而生成，有固定的長度 (128bit)的密文。 (2)信息自簽發(fā)后到收到為止未曾作過任何修改。 (3)接收者不能偽造對報文的簽名。 (2)認證服務機構收到文件的日期和時間 。 3．數(shù)字證書原理 簡介 數(shù)字證書利用一對互相匹配的密鑰進行加密、解密。 個人數(shù)字證書分為二個級別：第一級數(shù)字證書，僅僅提供電子郵件的認證，不對個人的真實姓名等信息認證；第二級個人數(shù)字證書提供對個人姓名、身份等信息的認證。信息的發(fā)送方不能否認自己所發(fā)出的信息。 3． 防火墻系統(tǒng)的功能 (1)保護易受攻擊的服務 。 (4)不能防范病毒?？蛻魴C和服務器都可指定某個安全功能為必需（ Required）、可選（ Option）還是拒絕（ Refused）。 (2)在會話過程中采用專用密鑰 。 (4)檢驗階段，檢驗服務器取得的密碼 。目前美國可以使用 128比特的安全套接層加密技術，但出口的算法的密鑰一般只有 40 比特，它的安全性顯然比 128 位的要差得多。 (5)統(tǒng)一協(xié)議和報文的格式。 (2)將兩類密鑰 (Private Key 和 public Key)的字長增加到 5l2 至 2048 字節(jié) 。 為了保證交易過程中數(shù)據(jù)來源的可靠、傳輸安全、不被篡改并且能為交易各方的行為提供均可抵賴的證據(jù)，在實際應用中采用了電子商務安全協(xié)議標準， 以及采用安全技術是相當重要的。格林斯坦托德 本論文是在高級工程師 高潮、助教張瑩的指導下完成的。 SSL 則被大部分瀏覽器內(nèi)置，相對較便宜。客戶的資料加密或打包后通過商家到達銀行，但是商家不能看到客戶的賬戶和密碼信息。 2． SET 協(xié)議的作用 (1)個人賬號信息與訂單信息的隔離。 （ 2） 客戶首先尋找商品信息，然后匯款給商家，商家再把商品寄給客戶。 (3)維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。在開始交換的信息中，雙方確定將使用的安全級別并交換數(shù)字證書。安全HTTP（ SHTTP）是 HTTP 的擴展，它提供了多種安全功能，包括客戶機與服務器認證、加密、請求 /響應的不可否認等。 (5)對網(wǎng)絡訪問進行日志記錄和統(tǒng)計 。它具有限制外界用戶對內(nèi)部網(wǎng)絡訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡的權限。信息的來源是可信的 。在用戶進入建行網(wǎng)上銀行交易之前，瀏覽器與服務器之間建立 SSL 安全通道時，會自動使用雙方 的證書，所以，在進入交易之前，應保證您的客戶證書及 CA 根證書已經(jīng)安裝在您的瀏覽器中。 2．數(shù)字證書的三種類型 (1)個人（客戶）證書：又稱瀏覽器證書，是指由 CA 認證中心頒發(fā)的、安裝在客戶瀏覽器端使用的個人或企業(yè)證書。 2． 數(shù)字時間戳的作用 書面簽署文件的時間是由簽署人自己寫上的，而數(shù)字時間戳是由 DTSS 認證單位來加的，并以收到文件的時間為依據(jù)。 (4)防止發(fā)出 (收到 )信件后又加以否認等情況發(fā)生。 因此摘要成為消息的 “指紋 ”，以驗證消息是否是 “真身 ”。 2． 具體操作方法 ：每當發(fā)信方需要發(fā)送信息時首先生成一個對稱密鑰，用這個對稱密鑰加密所需發(fā)送的報文；然后用收信方的公開密鑰加密這個對稱密鑰，連同加密了的報文一同傳輸?shù)绞招欧健? (2)非對稱密鑰加密解密過程 。 (3)對稱加密與解密過程。 密鑰的位數(shù)越長，則破譯越難，加密系統(tǒng)就越牢固。 1．加密系統(tǒng)基本概念 (1)明文：需要加密的報文 。 浙 江工業(yè)大學浙西分校信電系畢業(yè)設計（論文） 14 網(wǎng)上交易的各方相隔很遠、互不了解，要使交易成功，必須互相信任、 確認對方是真實的，對商家要考慮客戶是不是騙子，對客戶要考慮商店是不是黑店、是否有信譽。因此，要預防信息大量傳輸過程中被非法竊取，必須確保只有合法用戶才能看到數(shù)據(jù)，防止信息被竊看。由于網(wǎng)絡硬件和軟件的故障導致信息傳遞的丟失 與謬誤。 電子商務系統(tǒng)安全 Inter 存在的安全隱患給電子商務帶來了如下安全威脅： 1．信息泄露：表現(xiàn)為商業(yè)機密的泄露，主要包括交易雙方進行交易的內(nèi)容被第三方竊??；交易一方提供給另一方的文件被第三方非法使用。 眾所周知，安全才是網(wǎng)絡的生存之本。正是因為如此，電子商務活動涉及的知識產(chǎn)權風險就應引起企業(yè)的重視。 2． 隱私風險 電子商務時代，消費者的隱私受到前所未有的威脅。 3． 信息技術商業(yè)運作風險 信息技術商業(yè)運作風險主要是指在處理商業(yè)信息的過程中造成的風險，比如 :信息傳遞的遺漏，信息在不同商業(yè)過程中的不統(tǒng)一等造成的危害。 (2)高溫、水、火等對設備造成損害的風險 。同時企業(yè)電子商務的部分業(yè)務， 例 如 ： 網(wǎng)站服務器的托管租用、物流等可能需要外包，這些都將導致企業(yè)對合作伙伴和其他企業(yè)依賴的風險。 3．消費者高期望的風險 由于 電子商務最大優(yōu)勢之一就是便捷，所以電子商務作為一個新興的市場營銷渠道，消費者對它有較高的期望。 第三，體現(xiàn)在先進的電子 商務技術手段是否符合顧客及市場環(huán)境現(xiàn)實的需求。 1． 競爭環(huán)境風險 首 先，體現(xiàn)在企業(yè)與競爭對手相比。 市價與顧客人數(shù)之比則更為簡陋。 自由現(xiàn)金流量法是把電子商務企業(yè)的投資價值與其未來的獲利能力聯(lián)系起來，這是立足于關于投資的最基本的原則立場 。 再次，項目企業(yè)管理隊伍的質量越高，在其它條件相等的情況下，該項目的投資價值就越大。 由要求目 標 的雇 員經(jīng) 常獲 得突破一 個 安全系 統(tǒng) 所必需的信息正確 樣 式中的正確 問題 。而且 ， 由于人與人間的信任度較差 ， 很少有人愿意貿(mào)然通過網(wǎng)絡的形式把自己的信用卡帳號等個人資料告訴企業(yè) ， 因為稍不留神就 會發(fā)生想象不到的嚴重問題 。 電子商務由于其虛擬的特點 ， 這一問題就更為嚴重 。惡意的襲擊會侵入電子商務站點，進行各種可能的破壞，如制造和傳播破壞性病毒或讓網(wǎng)站拒絕服務