【正文】 在論文的撰寫過程中老師們給予我很大的幫助，幫助解決了不少的難點(diǎn)，使得論文能夠及時(shí)完成，這里一并表示真誠的感謝。老師們認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我收益匪淺。 南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 44 最后，我要特別感謝我的導(dǎo)師 老師、和研究生助教 老師。四年的風(fēng)風(fēng)雨雨，我們一同走過，充 滿著關(guān)愛，給我留下了值得珍藏的最美好的記憶。感謝老師四年來對(duì)我孜孜不倦的教誨，對(duì)我成長的關(guān)心和愛護(hù)。從這里走出，對(duì)我的人生來說，將是踏上一個(gè)新的征程，要把所學(xué)的知識(shí)應(yīng)用到實(shí)際工作中去。 最后，我要感謝我的父母對(duì)我的關(guān)系和理解，如果沒有他們?cè)谖业膶W(xué)習(xí)生涯中的無私奉獻(xiàn)和默默支持，我將無法順利完成今天的學(xué)業(yè)。 其次，我要感謝大學(xué)四年中所有的任課老師和輔導(dǎo)員在學(xué)習(xí)期間南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 43 對(duì)我的嚴(yán)格要求，感謝他們對(duì)我學(xué)習(xí)上和生活上的幫助，使我了解了許多專業(yè)知識(shí)和為人的道理，能夠在今后的生活道路上有繼續(xù)奮斗的力量。從他身上，我學(xué)到了許多能受益終生的東西。 首先，我要特別感謝我的知道郭謙功老師對(duì)我的悉心指導(dǎo)，在我的論文書寫及設(shè)計(jì) 過程中給了我大量的幫助和指導(dǎo)，為我理清了設(shè)計(jì)思路和操作方法，并對(duì)我所做的課題提出了有效的改進(jìn)方案。這期間凝聚了很多人的心血，在此我表示由衷的感謝。本次畢業(yè)設(shè)計(jì)是對(duì)我大學(xué)四年學(xué)習(xí)下來最好的檢驗(yàn)。 首先非常感謝學(xué)校開設(shè)這個(gè)課題，為本人日后從事計(jì)算機(jī)方面的工作提供了經(jīng)驗(yàn)，奠定了基礎(chǔ)。隨著信息技術(shù)的不斷發(fā)展，電子商務(wù)應(yīng)用過程中將面臨新的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)有待于進(jìn)一步研究。關(guān)于電 子商務(wù)安全的研究 ,有一些理論也日趨成熟。 南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 40 總 結(jié) 隨著 Inter 應(yīng)用日趨廣泛，傳統(tǒng)購物模式已經(jīng)不能滿足社會(huì)高速發(fā)展的需求，信息的高速流動(dòng)，資源的海量集成，都使得電子商務(wù)逐漸從概念走入現(xiàn)實(shí)生活。商業(yè)銀行應(yīng)將全部風(fēng)險(xiǎn)放在一個(gè)框架中考慮 , 在安全風(fēng)險(xiǎn)的分析、評(píng)估以及控制手段中 , 要參 考商業(yè)銀行傳統(tǒng)風(fēng)險(xiǎn)管理的內(nèi)容和方法。盡管如此 , 要提高電子商務(wù)安全風(fēng)險(xiǎn)管理的準(zhǔn)確性和有效性 , 必要的定量度量仍然不可或缺。在度量信用風(fēng)險(xiǎn)時(shí) , 債務(wù)人是否違約直接與一定的收益或損失掛鉤 , 測(cè)算起來比較方便 。在商業(yè)銀行的電子商務(wù)安全風(fēng)險(xiǎn)分析中 , 定量分析則比較少見 : 一方面南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 39 因?yàn)榘踩L(fēng)險(xiǎn)是伴隨著電子商務(wù)這種新興的商務(wù)模式出現(xiàn)的 , 而電子商務(wù)模式自身的發(fā)展只有 20 幾年歷史 , 所以在定量技術(shù)上并不成熟 。對(duì)比商業(yè)銀行傳統(tǒng)業(yè)務(wù)的風(fēng)險(xiǎn)管理 , 問題更加明顯。 二、風(fēng)險(xiǎn)分析的模型與方法不成熟、定量分析不足 電子商務(wù)安全風(fēng)險(xiǎn)管理 目前主要停留在定性分析的階段 , 我國的商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理尤其如此。 另一方面由于安全控制手段涉及的范圍、種類過于龐雜 , 也不便于組織內(nèi)部人員對(duì)安全策略的掌握和執(zhí)行。以解決組織管理問題見長的系統(tǒng)論、控制論思想在電子商務(wù)安全風(fēng)險(xiǎn)管理中是不可或缺的 , 而現(xiàn)有的電子商務(wù)安全風(fēng)險(xiǎn)管理策略的制定、實(shí)施過程都沒 有體現(xiàn)出系統(tǒng)論的觀點(diǎn) , 沒有運(yùn)用控制論的方法 , 整個(gè)體系缺乏科學(xué)的理論基礎(chǔ)的支持。 商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略存在的問題 一、系統(tǒng)管理思想缺乏 現(xiàn)有的安全風(fēng)險(xiǎn)管理策略以及各種 指導(dǎo)規(guī)范 , 如 ?信息安全管南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 38 理實(shí)務(wù)準(zhǔn)則 ?( ISO17799) 、信息技術(shù)安全性評(píng)估準(zhǔn)則 ( GB/T18336. 1) 、巴塞爾銀行監(jiān)管委員會(huì)的電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則等 , 雖然提供了較全面的安全風(fēng)險(xiǎn)管理方案 , 規(guī)定了具體的風(fēng)險(xiǎn)管理原則和風(fēng)險(xiǎn)管理的實(shí)施細(xì)則 , 但都不足以形成一個(gè)風(fēng)險(xiǎn)防范系統(tǒng)。因此，眾多網(wǎng)站紛紛與各家商業(yè)銀行合作，推出適用于 C 類（個(gè)人客戶）客戶的 C2C、 B2C 網(wǎng)上支付產(chǎn)品；以及適合于 B 類（企業(yè)客戶）的 B2B 網(wǎng)上支付產(chǎn)品。隨后，逐漸一些電子商務(wù)網(wǎng)站開始提供網(wǎng)上電子合同撮合，但由于缺少銀行在線支付產(chǎn)品的支持，網(wǎng)上撮合成功的買賣雙方只能線下通過銀行柜面匯款辦理資金交收，導(dǎo)致網(wǎng)上交易的信息流和資金流嚴(yán)重脫節(jié)。 南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 37 第 7 章 商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理 首先，“電子商務(wù)網(wǎng)上支付業(yè)務(wù)”是目前電子商務(wù)網(wǎng)站與商業(yè)銀行開展的一項(xiàng)相對(duì)成熟的業(yè)務(wù)合作。在發(fā)生法律糾紛時(shí)，天威誠信可作為公證第三方配合支付寶為司法機(jī)關(guān)提供法律認(rèn)可的、有效的交易簽名證據(jù)。 電子簽名證據(jù)保全服務(wù)功能 為了支付寶未來的發(fā)展，天威誠信為支付寶設(shè)計(jì)的系統(tǒng)不但可以實(shí)現(xiàn)其安全登陸的功能，更為重要的是天威誠信設(shè)計(jì)的系統(tǒng)未來還可以為交易各方提供可供追述的交易簽名證據(jù)保全系統(tǒng)。擁有數(shù)字證書的客戶，可以提升相應(yīng)的安全信用級(jí)別，完成更大數(shù)額的安全轉(zhuǎn)帳交易，一個(gè)可信的安全服務(wù)平臺(tái)逐步南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 36 在支付寶上得以實(shí)現(xiàn)。 未來支付寶系統(tǒng)擴(kuò)展電子簽 名的應(yīng)用時(shí)，將直接采用天威誠信“證書助手”實(shí)現(xiàn)客戶端簽名和簽名驗(yàn)證的功能，同時(shí)通過“證書助手”用戶可以將簽名日志進(jìn)行保存。 采用天威誠信 系統(tǒng)，為支付寶應(yīng)用建設(shè)了一套完整的 CA 系統(tǒng)，面向支付寶當(dāng)前的業(yè)務(wù)應(yīng)用，提供用于支付寶登錄身份認(rèn)證的用戶證書服務(wù)；考慮到系統(tǒng)的可擴(kuò)充性 原則，在今后增加數(shù)字簽名功能時(shí)，保證現(xiàn)有的 CA 系統(tǒng)能夠很好的滿足需求，方便靈活的進(jìn)行擴(kuò)充，同時(shí)滿足《中華人民共和國電子簽名法》的要求：使用法律認(rèn)可的第三方 CA 認(rèn)證中心發(fā)放的數(shù)字證書所做的電子簽名才具有法律效力。 解決方案 由于數(shù)字證書平臺(tái)可以完全實(shí)現(xiàn)支付寶現(xiàn)階段對(duì)于安全的需求，并且有著很好的可擴(kuò)展性。一開始使用的 單向 SSL（ SSL： Secure Socket Layer，安全套接字協(xié)議）認(rèn)證方式解決了支付寶網(wǎng)站真實(shí)性和防止網(wǎng)絡(luò)竊取等安全需求，沒有真正解決對(duì)支付寶用戶的身份認(rèn)證，非法用戶仍然可以通過各種途徑，盜取或猜測(cè)用戶的登錄 Email 地址和登錄密碼，假冒合法用戶身份，登錄支付寶進(jìn)行消費(fèi)。支付寶不僅要從產(chǎn)品上確保用戶在線支付的安全，同時(shí)讓用戶通過支付寶在網(wǎng)絡(luò)間建立起相互信任。旗下的支付寶是國內(nèi)領(lǐng)先的獨(dú)立第三方支付平臺(tái)。 3． SET 與 SSL 都要求使用密碼技術(shù)和算法，都要增加計(jì)算機(jī)系統(tǒng)的負(fù)載，而 SET 需要較高的處理能力， SSL 要求的負(fù)載相對(duì)較小。 2． SET 協(xié)議提供了多層次的安全保障，但顯著增加了復(fù)雜程度，因而變得昂貴，處理速度慢，實(shí)施起來有一定難度。 (3) 采 用 聯(lián) 機(jī) 動(dòng) 態(tài) 的 授 權(quán) (Authority) 和 認(rèn) 證 檢 查(Certificate)，以確保交易過程的安全可靠性。 4． SET 的主要安全保障來自如下三個(gè)方面： (1) 將 所 有 報(bào) 文 文 本 用 非 對(duì) 稱 的 方 式 加 密 (Asymmetric Cryptography)。 (3)解決多方認(rèn)證問題。 (2)保證電子商務(wù)參與者信息的相互隔離。 (6)使不同廠家開發(fā)的軟件能相互兼容。 (4)持卡人、商家和銀行等交易者通過第三方權(quán)威機(jī)構(gòu)的身份認(rèn)證服務(wù)。 (2)商家只能看到定貨信息，而看不到持卡人的帳戶信息。涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整等各個(gè)方面。 SET 安全技術(shù) 1．概念 Secure Electronic Transaction，簡寫為 SET，是 Visa 和MasterCard 兩大信用卡公司與 IBM、 Microsoft、 Netscape、 GTE、VeriSign、 SAIC、 Terisa 等廠商合作開發(fā)的。 （ 5）安全套接層加密技術(shù)的出口受美國國家安全局的控制。 （ 3）只能保證傳輸過程的安全，無法知道在傳輸過程中是否受到竊聽。 6． SSL 的缺陷 （ 1） SSL 協(xié)議是根據(jù)郵購原理設(shè)計(jì)的。 (5)客戶認(rèn)證階段，驗(yàn)證客戶的可信度。 (3)會(huì)談密碼階段，客戶與服務(wù)器間產(chǎn)生彼此交談的會(huì)談密碼。 南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 31 (2)密碼交換階段，客戶與服務(wù)器之間交換雙方認(rèn)可的密碼。 (3)維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。 4． SSL 安全協(xié)議的三個(gè)的特性 (1)認(rèn)證用戶和服務(wù)器，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。 (2)在會(huì)話過程中采用專用密鑰。 SSL 支持的客戶機(jī)和服務(wù)器間的所有通訊都加密了，竊聽者得到的是無法識(shí)別的信息。在開始交換的信息中，雙方確定 將使用的安全級(jí)別并交換數(shù)字證書。 SSL 安全協(xié)議 1． SSL 的含義 南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 30 SSL 安全協(xié)議最初是由網(wǎng)景公司設(shè)計(jì)開發(fā)的，又叫安全套接層(Secure Sockets Layer)協(xié)議，主要用于提高應(yīng)用程序之間的數(shù)據(jù)安全系數(shù)，實(shí)現(xiàn)兼容瀏覽器和服務(wù)器（通常是 WWW 服務(wù)器）之間安全通信的協(xié)議?？蛻魴C(jī)和服務(wù)器都可指定某個(gè)安全功能為必需（ Required）、可選（ Option）還是拒絕（ Refused）。如果主頁的 URL 為 安全超文本傳輸協(xié)議。安全 HTTP（ SHTTP）是 HTTP 的擴(kuò)展，它提供了多種安全功能，包括客戶機(jī)與服務(wù)器認(rèn)證、加密、請(qǐng)求 /響應(yīng)的不可否認(rèn)等。 南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 29 第 5 章 電子商務(wù)安全協(xié)議 SHTTP 是對(duì) HTTP 擴(kuò)充安全特性、增加了報(bào)文的安全性，它是基于 SSL 技 術(shù)的。 (4)不能防范病毒。 (2)不能防范不通過它的連接（繞過防火墻）或者來自內(nèi)部的攻擊。 (5)對(duì)網(wǎng)絡(luò)訪問進(jìn)行日志記錄和統(tǒng)計(jì)。 (3)集中化的安全管理。 3． 防火墻系統(tǒng)的功能 (1)保護(hù)易受攻擊的服務(wù)。 2． 防火墻的安全策略 (1)沒有被列為允許訪問的服務(wù)都是被禁止的：這意味著需要確定所有可以被提供的服務(wù)以及他們的安全特性，開放這些服務(wù)，并將所有其他末列入的服務(wù)排斥在外，禁止訪問。它具有限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。拒絕非法用戶訪問系統(tǒng)資源，合法用戶只能訪問系統(tǒng)授權(quán)和指定的資源。信息的發(fā)送方不能否認(rèn)自己所發(fā)出的信息。信息在傳輸過程中保證其完整性。信息的來源是可信的。 認(rèn)證中心 1．概念 認(rèn)證中心，又稱為證書授證 (Certificate Authority)中心，是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī) 構(gòu)。 個(gè)人數(shù)字證書分為二個(gè)級(jí)別：第一級(jí)數(shù)字證書，僅僅提供電子郵件的認(rèn)證，不對(duì)個(gè)人的真實(shí)姓名等信息認(rèn)證；第二級(jí)個(gè)人數(shù)字證書提供對(duì)個(gè)人姓名、身份等信息的認(rèn)證。在完成證書下載后，建議立 即備份客戶證書及私鑰。在用戶進(jìn)入建行網(wǎng)上銀行交易之前，瀏覽器與服務(wù)器之間建立 SSL 安全通道時(shí)，會(huì)自動(dòng)使用雙方的證書，所以，在進(jìn)入交易之前，應(yīng)保證您的客戶證書及 CA 根證書已經(jīng)安裝在您的瀏覽器中。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密。 3．?dāng)?shù)字證書原理簡介 數(shù)字證書利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。它通常為網(wǎng)上的某個(gè) Web 服務(wù)器提供數(shù)字證書。 2．?dāng)?shù)字證書的三種類型 (1)個(gè)人（客 戶）證書：又稱瀏覽器證書，是指由 CA 認(rèn)證中心頒發(fā)的、安裝在客戶瀏覽器端使用的個(gè)人或企業(yè)證書。 南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 25 1． 概念 也叫數(shù)字憑證，是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供一種在 Inter 上驗(yàn)證身份的方式。 (2)認(rèn)證服務(wù)機(jī)構(gòu)收到文件的日期和時(shí)間。 (2)要想對(duì)某個(gè)文件加蓋與當(dāng)前日期和時(shí)間不同的時(shí)間戳是不可能的。 2． 數(shù)字時(shí)間戳的作用 書面簽署文件的時(shí)間是由簽署人自己寫上的，而數(shù)字時(shí)間戳是由DTSS 認(rèn)證單位來加的，并以收到文件的時(shí)間為依據(jù)。它由專門的網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)提供。 南京曉莊學(xué)院 2020 屆本科畢業(yè)論文 24 (3)接收者不能偽造對(duì)報(bào)文的簽名。 3．?dāng)?shù)字簽名的功能： (1)接收者能夠核實(shí)對(duì)報(bào)文的簽名。 (4)防止發(fā)出 (收到 )信件后又加以否認(rèn)等情況發(fā)生。 (2)數(shù)字簽名可用來防止電子信息因易被修改而有人作偽。 (2)信息自簽發(fā)后到收到為止未曾作過任何修改。 數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，能確認(rèn)以下兩點(diǎn)。 因此摘要成為消息的“指紋”，以驗(yàn)證消息是否是“真身”。 (3)所謂單向是指不能被解密。 (2)它由單向 Hash 加 密算法對(duì)一個(gè)消息作用而生成，有固定的長度 (128bit)的密文。 1．消息摘要的概念 消息摘要 (message digest)方法即數(shù)字指紋，消息摘要方法解決信息的完整性問題。 2．具體操作方法：每當(dāng)發(fā)信方需要發(fā)送信息時(shí)首先生成一個(gè)對(duì)稱密鑰，用這個(gè)對(duì)稱密鑰加密所需發(fā)送的報(bào)文；然后用收信方的公開密鑰加密這個(gè)對(duì)稱密鑰