【正文】 花旗銀行相比，“安全第一網(wǎng)絡(luò)銀行”簡(jiǎn)直是微不足道，但與花旗銀行不同的是，該銀行所有交易都透過(guò)互聯(lián)網(wǎng)進(jìn)行，1996年存款金額達(dá)到1400萬(wàn)美元，預(yù)計(jì)到1999年將達(dá)到4億美元。政府承擔(dān)著大量的社會(huì)、經(jīng)濟(jì)、文化的管理和服務(wù)的功能，尤其作為“看得見(jiàn)的手”，在調(diào)節(jié)市場(chǎng)經(jīng)濟(jì)運(yùn)行，防止市場(chǎng)失靈帶來(lái)的不足方面有著很大的作用。 總而言之，作為一種商務(wù)活動(dòng)過(guò)程，電子商務(wù)將帶來(lái)一場(chǎng)史無(wú)前例的革命。電子商務(wù)會(huì)將人類(lèi)真正帶入信息社會(huì)。企業(yè)可利用網(wǎng)上主頁(yè)（Homepage）和電子郵件（Email）在全球范圍內(nèi)作廣告宣傳；客戶(hù)可借助網(wǎng)上檢索工具（Search）迅速地找到所需要的商品信息。※　售后服務(wù) 網(wǎng)上售后服務(wù)的內(nèi)容主要包括幫助客戶(hù)解決產(chǎn)品使用中的問(wèn)題，排除技術(shù)故障，提供技術(shù)支持，傳遞產(chǎn)品改進(jìn)或升級(jí)的信息以吸引客戶(hù)對(duì)產(chǎn)品與服務(wù)的反饋信息。這樣使企業(yè)的市場(chǎng)營(yíng)銷(xiāo)能形成一個(gè)封閉的回路。 電子商務(wù)應(yīng)用的三種類(lèi)型（1）企業(yè)內(nèi)部電子商務(wù) 即企業(yè)內(nèi)部之間，通過(guò)企業(yè)內(nèi)部網(wǎng)（Intranet）的方式處理與交換商貿(mào)信息。 通過(guò)企業(yè)內(nèi)部的電子商務(wù)，可以給企業(yè)帶來(lái)如下好處：增加商務(wù)活動(dòng)處理的敏捷性，對(duì)市場(chǎng)狀況能更快的作出反應(yīng)，能更好地為客戶(hù)提供服務(wù)。 企業(yè)間的電子商務(wù)是電子商務(wù)三種模式中最值得關(guān)注和探討的，因?yàn)樗罹哂邪l(fā)展的潛力。Forrester研究公司預(yù)計(jì)企業(yè)間的商務(wù)活動(dòng)將以三倍于企業(yè)個(gè)人間電子商務(wù)的速度發(fā)展。 （3） 企業(yè)與消費(fèi)者之間的電子商務(wù)（簡(jiǎn)稱(chēng)為BC模式） 即企業(yè)通過(guò)INTERNET為消費(fèi)者提供一個(gè)新型的購(gòu)物環(huán)境網(wǎng)上商店，消費(fèi)者通過(guò)網(wǎng)絡(luò)在網(wǎng)上購(gòu)物、在網(wǎng)上支付。 電子商務(wù)應(yīng)用系統(tǒng)的構(gòu)成從技術(shù)角度看，電子商務(wù)的應(yīng)用系統(tǒng)由三部分組成：　※　企業(yè)內(nèi)部網(wǎng) （Intranet）　※　企業(yè)內(nèi)部網(wǎng) （Intranet）與INTERNET的連接 　※　電子商務(wù)應(yīng)用系統(tǒng) （1）企業(yè)內(nèi)部網(wǎng) （Intranet） 企業(yè)內(nèi)部網(wǎng)（Intranet）由Web服務(wù)器、電子郵件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器以及電子商務(wù)服務(wù)器和客戶(hù)端的PC機(jī)組成。 WEB服務(wù)器最直接的功能是可以向企業(yè)內(nèi)部提供一個(gè)WWW站點(diǎn)，借此可以完成企業(yè)內(nèi)部日常的信息訪問(wèn)； 郵件服務(wù)器為企業(yè)內(nèi)部提供電子郵件的發(fā)送和接收； 電子商務(wù)服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器通過(guò)WEB服務(wù)器和由自己對(duì)企業(yè)內(nèi)部和外部提供電子商務(wù)處理服務(wù)； 協(xié)作服務(wù)器主要保障企業(yè)內(nèi)部某項(xiàng)工作能協(xié)同工作，例如，在一個(gè)軟件企業(yè)，企業(yè)內(nèi)部的開(kāi)發(fā)人員可以通過(guò)協(xié)作服務(wù)器共同開(kāi)發(fā)一個(gè)軟件； 帳戶(hù)服務(wù)器提供企業(yè)內(nèi)部網(wǎng)絡(luò)訪問(wèn)者的身份驗(yàn)證，不同的身份對(duì)各種服務(wù)器的訪問(wèn)權(quán)限將不同； 客戶(hù)端PC機(jī)上要安裝有INTERNET瀏覽器，如Microsoft Internet Explorer 或Netscape Navigator,借此訪問(wèn)WEB服務(wù)器。（2）企業(yè)內(nèi)部網(wǎng) （Intranet）與互聯(lián)網(wǎng)連接 為了實(shí)現(xiàn)企業(yè)與企業(yè)之間、企業(yè)與用戶(hù)之間的連接，企業(yè)內(nèi)部網(wǎng)（Intranet）必須與互聯(lián)網(wǎng)進(jìn)行連接，但連接后，會(huì)產(chǎn)生安全性問(wèn)題。為了進(jìn)一步提高安全性，企業(yè)往往還會(huì)在防火墻外建立獨(dú)立的Web服務(wù)器和郵件服務(wù)器供企業(yè)外部訪問(wèn)用，同時(shí)在防火墻與企業(yè)內(nèi)部網(wǎng) （Intranet）之間，一般會(huì)有一臺(tái)代理服務(wù)器，代理服務(wù)器的功能有兩個(gè)，一是安全功能，即通過(guò)代理服務(wù)器，可以屏蔽企業(yè)內(nèi)部網(wǎng)內(nèi)服務(wù)器或PC，當(dāng)一臺(tái)PC訪問(wèn)互聯(lián)網(wǎng)時(shí)，它先訪問(wèn)代理服務(wù)器，然后代理服務(wù)器再訪問(wèn)互聯(lián)網(wǎng)；二是緩沖功能，代理服務(wù)器可以保存經(jīng)常訪問(wèn)的互聯(lián)網(wǎng)上的信息，當(dāng)PC即訪問(wèn)互聯(lián)網(wǎng)時(shí)，如果被訪問(wèn)的信息存放在代理服務(wù)器中，那么代理服務(wù)器將把信息直接送到PC機(jī)上，省去對(duì)互聯(lián)網(wǎng)的再一次訪問(wèn)，可以節(jié)省費(fèi)用。 一般來(lái)講，電子商務(wù)應(yīng)用系統(tǒng)主要以應(yīng)用軟件形式實(shí)現(xiàn)，它運(yùn)行在已經(jīng)建立的企業(yè)內(nèi)部網(wǎng) （Intranet）之上。 三章 電子商務(wù)安全問(wèn)題 電子商務(wù)主要的安全要素 電子商務(wù)采用的主要安全技術(shù)及其標(biāo)準(zhǔn)規(guī)范 電子商務(wù)主要的安全要素 （1）有效性EC以電子形式取代了紙張,那么如何保證這種電子形式的貿(mào)易信息的有效性則是開(kāi)展E的前提。因此,要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。因此,要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略,保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。（4）可靠性/不可抵賴(lài)性/鑒別EC可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問(wèn)題則是保證EC順利進(jìn)行的關(guān)鍵。這也就是人們常說(shuō)的白紙黑字。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。 電子商務(wù)采用的主要安全技術(shù)及其標(biāo)準(zhǔn)規(guī)范 考慮到安全服務(wù)各方面要求的技術(shù)方案已經(jīng)研究出來(lái)了,安全服務(wù)可在網(wǎng)絡(luò)上任何一處加以實(shí)施。所實(shí)施安全的等級(jí)則是在均衡了潛在的安全危機(jī)、采取安全措施的代價(jià)及要保護(hù)信息的價(jià)值等因素后確定的。（1）加密技術(shù)加密技術(shù)是EC采取的主要安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。①對(duì)稱(chēng)加密/對(duì)稱(chēng)密鑰加密/專(zhuān)用密鑰加密 在對(duì)稱(chēng)加密方法中,對(duì)信息的加密和解密都使用相同的密鑰。使用對(duì)稱(chēng)加密方法將簡(jiǎn)化加密的處理,每個(gè)貿(mào)易方都不必彼此研究和交換專(zhuān)用的加密算法,而是采用相同的加密算法并只交換共享的專(zhuān)用密鑰。對(duì)稱(chēng)加密技術(shù)存在著在通信的貿(mào)易方之間確保密鑰安全交換的問(wèn)題。對(duì)稱(chēng)加密方式存在的另一個(gè)問(wèn)題是無(wú)法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)由美國(guó)國(guó)家標(biāo)準(zhǔn)局提出,是目前廣泛采用的對(duì)稱(chēng)加密方式之一,主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)帳(EFT)領(lǐng)域。三重DES是DES的一種變形。RC2和RC4方法是RSA數(shù)據(jù)安全公司的對(duì)稱(chēng)加密專(zhuān)利算法。通過(guò)規(guī)定不同的密鑰長(zhǎng)度,RC2和RC4能夠提高或降低安全的程度。②非對(duì)稱(chēng)加密/公開(kāi)密鑰加密在非對(duì)稱(chēng)加密體系中,密鑰被分解為一對(duì)(即一把公開(kāi)密鑰或加密密鑰和一把專(zhuān)用密鑰或解密密鑰)。公開(kāi)密鑰用于對(duì)機(jī)密性的加密,專(zhuān)用密鑰則用于對(duì)加密信息的解密。貿(mào)易方利用該方案實(shí)現(xiàn)機(jī)密信息交換的基本過(guò)程是:貿(mào)易方甲生成一對(duì)密鑰并將其中的一把作為公開(kāi)密鑰向其他貿(mào)易方公開(kāi)。貿(mào)易方甲再用自己保存的另一把專(zhuān)用密鑰對(duì)加密后的信息進(jìn)行解密。 RSA(即Rivest, Shamir Adleman)算法是非對(duì)稱(chēng)加密領(lǐng)域內(nèi)最為著名的算法,但是它存在的主要問(wèn)題是算法的運(yùn)算速度較慢。對(duì)于加密量大的應(yīng)用,公開(kāi)密鑰加密算法通常用于對(duì)稱(chēng)加密方法密鑰的加密。采用對(duì)稱(chēng)加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。通過(guò)公開(kāi)密鑰加密技術(shù)實(shí)現(xiàn)對(duì)稱(chēng)密鑰的管理使相應(yīng)的管理變得簡(jiǎn)單和更加安全,同時(shí)還解決了純對(duì)稱(chēng)密鑰模式中存在的可靠性問(wèn)題和鑒別問(wèn)題。由于對(duì)每次信息交換都對(duì)應(yīng)生成了唯一一把密鑰,因此各貿(mào)易方就不再需要對(duì)密鑰進(jìn)行維護(hù)和擔(dān)心密鑰的泄露或過(guò)期。這種方式還提供了貿(mào)易伙伴間發(fā)布對(duì)稱(chēng)密鑰的一種安全途徑。國(guó)際電信聯(lián)盟(ITU)(即信息技術(shù)開(kāi)放系統(tǒng)互連目錄:鑒別框架)對(duì)數(shù)字證書(shū)進(jìn)行了定義該標(biāo)準(zhǔn)等同于國(guó)際標(biāo)準(zhǔn)化組織(ISO)與國(guó)際電工委員會(huì)(IEC)聯(lián)合發(fā)布的ISO/IEC 95948:195標(biāo)準(zhǔn)。證書(shū)發(fā)布者一般稱(chēng)為證書(shū)管理機(jī)構(gòu)(CA),它是貿(mào)易各方都信賴(lài)的機(jī)構(gòu)。微軟公司的InternetExplorer 。ISO與IEC下屬的信息技術(shù)委員會(huì)(JTC1)已起草了關(guān)于密鑰管理的國(guó)際標(biāo)準(zhǔn)規(guī)范。第2部分是采用對(duì)稱(chēng)技術(shù)的機(jī)制。該規(guī)范現(xiàn)已進(jìn)入到國(guó)際標(biāo)準(zhǔn)草案表決階段,并將很快成為正式的國(guó)際標(biāo)準(zhǔn)。它的主要方式是:報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要)。然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。 ISO/IEC JTC1已在起草有關(guān)的國(guó)際標(biāo)準(zhǔn)規(guī)范。（4） Internet電子郵件的安全協(xié)議 電子郵件是Internet上主要的信息傳輸手段,也是EC應(yīng)用的主要途徑之一。Internet工程任務(wù)組(IEFT)為擴(kuò)充電子郵件的安全性能已起草了相關(guān)的規(guī)范。對(duì)于每個(gè)電子郵件報(bào)文可以在報(bào)文頭中規(guī)定特定的加密算法、數(shù)字鑒別算法、散列功能等安全措施。有關(guān)它的詳細(xì)內(nèi)容可參閱Internet工程任務(wù)組公布的RFC 142RFC 142RFC143 和RFC 1424等4個(gè)文件。② S/MIME S/MIME(安全的多功能Internet電子郵件擴(kuò)充)是在RFC1521所描述的多功能Internet電子郵件擴(kuò)充報(bào)文基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一種協(xié)議。S/MIME的目的是在MIME上定義安全服務(wù)措施的實(shí)施方式。③PEMMIME(MOSS) MOSS(MIME對(duì)象安全服務(wù))是將PEM和MIME兩者的特性進(jìn)行了結(jié)合。該協(xié)議通過(guò)在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來(lái)實(shí)現(xiàn)有關(guān)安全特性的審查。該協(xié)議已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn),并被廣泛應(yīng)用于Internet和Intranet的服務(wù)器產(chǎn)品和客戶(hù)端產(chǎn)品中。 此外,微軟公司和Visa機(jī)構(gòu)也共同研究制定了一種類(lèi)似于SSL的協(xié)議,這就是PCT(專(zhuān)用通信技術(shù))。 ②SHTTP SHTTP(安全的超文本傳輸協(xié)議)是對(duì)HTTP擴(kuò)充