電子商務安全與支付的現實環境

A. 電子商務的安全需求體現在哪五個方面

電子商務的安全需求體現在以下五個方面：

1、信息要求真實和完整。

2、網路交易依賴的是大眾的誠信度。這對於電子商務的成交顯得尤為重要。同時這不但需要用道德和法律進行約束，更需要相關技術進行保障。

3、支付和交易必須是安全而可靠的。目前，如何保障支付和交易的安全可靠是一個全球性問題，電子商務要有大的發展，就必須管好這些瓶頸。

4、用戶或商家的身份在網路上能夠被准確地識別。如果不能准確識別交易雙方的身份，發生糾紛時就無法進行有效的仲裁。

5、能夠保護個人隱私。對個人隱私的保護現在越來越受到重視。越是開放，越是信息化，個人隱私越重要。

(1)電子商務安全與支付的現實環境擴展閱讀：

電子商務安全要求包括四個方面：

（1）數據傳輸的安全性。對數據傳輸的安全性需求即是保證在公網上傳送的數據不被第三方竊取。對數據的安全性保護是通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合秘密密鑰加密和公開密鑰加密技術實現的保證數據安全性的技術。

（2）數據的完整性。對數據的完整性需求是指數據在傳輸過程中不被篡改。數據的完整性是通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

（3）身份驗證。由於網上的通信雙方互不見面，必須在交易時（交換敏感信息時）確認對方等真實身份；在涉及到支付時，還需要確認對方的賬戶信息是否真實有效。身份認證是採用口令字技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

（4）交易的不可抵賴。網上交易的各方在進行數據傳輸時，必須帶有自身特有的、無法被別人復制的信息，以保證交易發生糾紛時有所對證。這是通過數字簽名技術和數字證書技術來實現的。

B. 電子商務安全存在哪些問題怎麼解決

(一)計算機網路安全威脅
電子商務包含「三流」：信息流、資金流、物流，「三流」中以信息流為核心為最重要，電子商務正是通過信息流為帶動資金流、物流的完成。計算機網路的安全必將影響電子商務中的「信息流」的傳遞，勢必影響電子商務的開展。計算機網路存在以下安全威脅：
1.黑客攻擊
黑客攻擊是指黑客非法進入網路，非法使用網路資源。
2.計算機病毒的攻擊
病毒是能夠破壞計算機系統正常進行，具有傳染性的一段程序。
3.拒絕服務攻擊
拒絕服務攻擊(DoS)是一種破壞性的攻擊，它是一個用戶採用某種手段故意佔用大量的網路資源，使系統沒有剩餘資源為其他用戶提供服務的攻擊。

(二)商務交易安全威脅
Internet存在以下安全隱患：
1.開放性
開放性和資源共享是Internet最大的特點，但它的問題卻不容忽視的。正是這種開放性給電子商務帶來了安全威脅。
2.缺乏安全機制的傳輸協議
TCP／IP協議是建立在可信的環境之下，缺乏相應的安全機制，這種基於地址的協議本身就會泄露口令，根本沒有考慮安全問題；
3.軟體系統的漏洞
隨著軟體系統規模的不斷增大，系統中的安全漏洞或「後門」也不可避免的存在。
4.信息電子化
電子化信息的固有弱點就是缺乏可信度，電子信息是否正確完整是很難由信息本身鑒別的，而且在Internet傳遞電子信息，存在著難以確認信息的發出者以及信息是否被正確無誤地傳遞給接收方的問題。
(三)計算機網路安全威脅與商務交易安全威脅給電子商務帶來的安全問題
1.信息泄露
在電子商務中表現為商業機密的泄露，以上計算機網路安全威脅與Internet的安全隱患可能使得電子商務中的信息泄漏，
2.篡改
正是由於以上計算機網路安全威脅與Internet的安全隱患，電子的交易信息在網路上傳輸的過程中，可能被他人非法地修改、刪除或重放(指只能使用一次的信息被多次使用)，這樣就使信息失去了真實性和完整性。
3.身份識別
正是由於電子商務交易中交易兩方通過網路來完成交易，雙方互不見面、互不認識，計算機網路的安全威脅與Internet的安全隱患，也可能使得電子商務交易中出現身交易身份偽造的問題。
4.信息破壞
計算機網路本身容易遭到一些惡意程序的破壞，如計算機病毒、特洛伊木馬程序、邏輯炸彈等，導致電子商務中的信息在傳遞過程被破壞。
5.破壞信息的有效性
電子商務中的交易過程中是以電子化的信息代替紙面信息，這些信息我們也必須保證它的時間的有效與本身信息的有效，必須能確認該信息確是由交易一方簽發的，計算機網路安全威脅與Internet的安全隱患，使得我們很難保證電子商務中的信息有效性。
6.泄露個人隱私
隱私權是參與電子商務的個人非常關心的一個問題。參與到電子商務中的個人就必須提供個人信息，計算機網路安全威脅與Internet的安全隱患有可能導致個人信息泄露，破壞到個人隱私

解決方法：
一)利用電子商務安全技術 1.計算機網路安全技術
電子商務中利用的重要工具計算機網路，存在著很多的安全威脅，計算機網路的建立足我們開展電子商務的基礎，我們要保證電子商務的安全，首先就要保證計算機網路的安全。
(1)防火牆技術
(2)入侵檢測系統(IDS)，入侵檢測的軟體與硬體的組合就是入侵檢測系統(Intrusion Detection System，簡稱IDS)。
(3)虛擬專用網(VPN)技術
(4)病毒防治技術
電子商務中的計算機網路不斷受到病毒攻擊的危害，為了把計算機病毒的危害減小到最低，我們可以從以下幾方面從入手：一是高度重視計算機病毒；二是安裝計算機病毒防治軟體，不斷更新病毒庫。
2.商務交易安全技術
為了營造一個安全的電子商務環境，我們一定要保證傳統的商務活動在互聯網上進行的安全，我們就應該建立一個電子商務的安全體系，
(1)基本加密技術
將明文數據進行某種變換，使其成為不可理解的形式，這個過程就是加密，這種不可理解的形式稱為密文。
(2)安全認證手段
利用基本加密技術還只能保證電子商務中信息的保密性
①利用數字信封技術保證電子商務中信息的保密性。
②利用以Hash函數為核心的數字摘要技術來保證電子商務中信息的完整性。
③建立CA認證體系給電子商務交易各方發放數字證書，
④利用數字時間戳來保證電子商務中信息的有效性。
⑤利用數字簽名技術來保證電子商務中的通信的不可抵賴、不可否認，信息的有效性。
(3)安全協議
必須把安全認證手段跟安全協議配合起來建立電子商務安全解決方案。目前電子商務中有兩種安全認證協議被廣泛使用，即安全套接層SSL(Secure Sockets Layer)協議和安全電子交易SET(Secure Electronic Transaction)協議。
(二)制定電子商務安全管理制度
電子商務安全管理制度是用文字形式對各項安全要求所做的規定，這些制度應該包括人員管理制度、保密制度、跟蹤審計制度、系統維護制度、數據備份制度、病毒定期清理制度等。
(三)加強誠信教育，建立社會誠信體系
電子商務中的很多安全問題比如交易的抵賴、否認、個人隱私權的破壞，說到底還是人的誠信問題，為了促進電子商務更好的發展，打消消費者對於電子商務的安全顧慮，我們應該加強誠信教育，建立社會誠信體系。

C. 電子商務安全與支付 心得

都有保存水電費賬單的功能， 使用「賬單定製、自動劃款」功能：新版的付費通「快錢」網站。綁定銀行卡後，可以每月自動扣款，還有簡訊通知。但要注意定期核對賬單，最好用小本子記錄一下支付的金額、日期、訂單號或流水號，以防網路出錯的小概率事件做個生活的有心人。同事小王心急火燎地沖進辦公室，上個月。還遲到半小時。一問才知道他銀行排隊為信用卡還款，由於逾越還款期限，還吃了一筆罰息。試試「快錢」吧，信用卡跨行還款不收手續費。趕緊給他出主意。網上支付是不是很麻煩，也不安全。像所有網路支付新手一樣，小王充滿憂慮，但在竭力慫恿下，很快嘗到甜頭，一發不可收，成了跟我一樣的網路支付達人。使我與「網上支付」第一次親密接觸。擁有了平生第一張工行網銀動態口令卡，6年前的一次考試費在線支付。第一次下載安全插件，第一次設置支付密碼，心裡戰戰兢兢。一晃多年過去，現在淘寶購物、購買基金、交水電費，無不通過網上支付，從未為銀行排隊而煩惱，還有不少「支付心得」可以分享：省下手續費；而在用的銀行卡盡量都開通網銀，開通每一張銀行卡的網銀：注銷不必的銀行卡。養成隨時存掉小錢的習慣，積少成多。這樣可以大大提高網路支付的平安性。另外 購買U 盾、收藏網頁：U 盾的使用。記得把銀行首頁保存在收藏夾里，既可以及時了解一些支付的優惠信息，又可以防止誤登錄一些仿冒網頁。對於「網上理財」「紙黃金」等功能，認真簽訂網銀協議：與銀行簽訂網銀協議時。盡量都鉤選，說不準哪天你就會用到這些功能，通過網路支付保單、開通定投、購買理財產品，實在太方便了。

D. 求電子商務安全與支付的調查報告

我有電子商務安全與支付的調查報告

E. 論述支付系統應該如何適應電子商務環境的新要求

市場變化因素
全球化大市場的形成。在全球經濟一體化的大背景下，全球化的市場正逐漸形成。企業正面臨越來越沉重的國內外同行競爭的壓力。
由於生產者的需求不斷變化，促使供應商們形成供應鏈。隨著現代經濟的不斷發展，製造商對供應商提供的產品提出了更高的要求。生產者要求供應商提供集成度高的產品，以減少交易成本、提高效率。這些原因迫使供應商們緊密聯合起來，形成一條供應鏈，對企業間的信息交流提出了更高的要求。

企業改善經營管理的因素
信息技術不僅用於企業之間的業務往來，企業內部經營管理和生產過程式控制制信息化的步伐也在加快。網路技術、系統集成技術等信息技術的使用，使企業內部信息交流渠道更加暢通，運轉更加協調。
利用電子商務提高服務質量的要求。由於在電子商務條件下，市場的透明度提高，開發出的新產品具有較低價格和較低廉的服務，以保持市場競爭力。對供應商們來講，他們覺得有必要比訂貨者提供更快、更好的信息服務。同時，開展電子商務也可以提高廠商的售後服務質量。
在當今社會，信息已逐漸成為一類重要的商品進行買賣，比如包含有產品歷史信息的資料庫，信息已成為企業的一項資產。更多企業把可獲得的企業內部信息用於經營決策。
企業利用網路可以贏得更多的客戶。比如，通過電子公告牌、主頁和其他的商業信息系統。

政府政策法規的因素
按國家政策法規的要求，企業要向諸如財政部門、稅務部門、環保部門等政府有關部門提交越來越多的報告，以披露相關信息，在這種壓力下，企業為提高效率，節省人力資源，迫切需要信息處理與交換的電子化。

電子商務市場逐漸成熟的因素
提供信息和遠距離通信服務的商家之間的競爭更加激烈，這會促使商家提供更多的和更新的電子商務產品和有效的服務。
從上述形成企業電子商務驅動力的四個方面的重要因素看，企業發展電子商務是一項十分緊迫的任務，只有加快發展電子商務，企業才能獲得新的更大的前進動力。

企業信息化建設的特點
企業信息化建設涉及到整個企業的經營管理系統，不能用局部模塊的信息化來代表。它需要藉助社會的多方力量，尤其是專業信息化咨詢公司的力量來共同構建。企業信息化建設與其說是一場技術變革，不如說是對企業的經營進行改革。即借用先進的工具（信息化）對企業的經營管理進行合理的整合，提升其核心競爭力。企業信息化的建設思路是隨著管理理念和信息技術的發展而不斷發展變化的，呈螺旋上升的方式，是一個「揚棄」的過程。

企業信息化建設的流程
首先，在確定信息化建設項目後，在做詳細的需求分析前加入一個實施步驟，即「模擬上線」運行的培訓方法，直觀地了解企業信息化建設的全貌。其次，在信息化實施過程中引入項目管理思路，從時間、成本和質量三方面保證信息化項目的實施效果。最後，在信息化項目實施完成後，建立相關的運行保證制度，從制度上保證信息化項目建設的成果，同時為新的需求做前期預研工作，為下一階段的信息化建設做准備，從而實現整個信息化能夠持續、健康和有序的發展。
企業信息化是一項相當艱巨復雜的系統工程，對已完成信息化戰略抉擇的企業來說，當務之急是在戰術策略上，藉助外部中立的、第三方的信息化咨詢機構的知識、經驗和力量，切實把握和解決好信息化規劃與建設過程中的一些帶有規律性、普遍性和策略性的問題，以確保其信息化建設順利進行並最終取得成功。

企業競爭戰略優勢的積聚
電子商務作為一種競爭戰略應側重從以下五個方面來加強並積聚優勢：
鞏固現有的競爭優勢。企業要對現有顧客的要求和潛在需求有較深了解，這樣，企業制定的營銷策略和營銷計劃才會具有針對性和科學性，才能便於實施和控制，順利完成營銷目標。
加強與顧客的溝通。根據企業網路資料庫存儲的大量現實和潛在客戶數據，確定為顧客提供特定的產品和服務，更好地滿足顧客需求。同時，藉助於網路資料庫，還可以對目前銷售產品的滿意度和購買情況作分析調查，及時發現問題、解決問題，確保顧客的滿意。
為入者設置障礙。雖然信息技術的使用使成本日漸下降，但建立一個有效、完善的電子商務體系是一項長期的系統工程，需要投入大量人力、物力和財力。因此，一旦某個企業已實行了有效的電子商務系統，競爭者就很難進入公司的目標市場。
提高新產品開發和服務能力。目前，有很多大公司開始實行電子商務，其資料庫產品服務的市場規模也越來越大，一方面滿足了顧客不同層次的需求，另一方面公司也獲得了市場上有關新產品方面的許多新信息。
穩定與供應商的關系。以美國的大型零售商沃爾瑪公司為例，其電子商務系統可以讓公司根據零售店的銷售情況來制訂商品補充和采購計劃，然後通過網路把采購計劃立即送給供應商，同時供應商適時送貨到指定零售店。在零售業競爭日益激烈的情況下，沃爾瑪正是憑借其與供應商穩定協調的關系，使其庫存成本降到最低。

企業組織結構變革
在電子商務條件下，企業組織單元間的傳統邊界被打破，生產組織形式將重新整合，開始建立一種直接服務顧客的工作組。電子商務模式將會使企業的信息傳遞方式由單向的「一對多式」向雙向的「多對多式」轉換。一個顯著特徵是由集權制向分權制的轉變。由於電子商務的推行，企業的經營活動打破了時間和空間的限制，出現一種完全新型的企業組織形式——虛擬企業。

企業管理網路化
電子商務以數字化的網路和設備替代了傳統紙介質，從而帶來了一種新的貿易服務方式。這種方式突破了傳統企業中以單向物流為主的運作格局，實現了以物流為依據、信息流為核心、商流為主體的全新運作方式。電子商務對企業營銷管理最為顯著的影響是銷售渠道和促銷策略的變革。以往的批零方式將被網路代替，人們直接從網上采購，傳統的人員推銷失去大部分市場。管理者對目標市場的選擇和定位將更加依賴於網上的資料以及對網路的充分利用。企業可以通過網上銀行系統實現電子付款，資金結算、轉賬、信貸等活動。

電子商務環境下企業信息化的問題
雖然電子商務前景廣闊，但像任何一個新生事物出現一樣，總會伴隨著機遇和挑戰。在目前的國內環境下，電子商務的發展也有一些現實的問題亟待解決。
網路基礎設施建設不完備。電信市場是電子商務運行的基本環境，電信市場的非開放性，導致網路資源管理混亂，服務收費過高，網路帶寬受到限制。
網路法規出台遲。根據對電子商務應用前景的在線調查結果，很多人不願意在線購物，擔心因遭到黑客侵襲而導致信用卡信息丟失。企業更是擔心信息在傳輸過程中的安全性，擔心商業機密的泄漏，擔心網路上的商業欺詐行為。因此，急需制定相適應的法律、法規體系來保障其交易的安全。
信用消費的不發達和貨幣電子化進程緩慢。電子支付是電子商務發展到一定階段所必須具備的一個前提條件，我國在開發適用於電子商務需要的安全可靠的支付系統方面幾乎是空白。傳統上消費者對信用消費的排斥態度，對「隔山買牛」這種遠距離購買行為的不信任，以及國家金融系統對在線遠程結算的保守態度，都會促使這一問題表現更加尖銳與突出。
商品配送困難。很多城市到目前為止仍沒有專業的配送企業，單件商品的長途運輸或郵遞的巨大成本以及時間上的延遲，足以使消費者對電子商務望而卻步。
企業內部管理信息系統的建設還需加強。企業要實現電子商務，就是要實現企業信息資源的統一管理和共享，將與本企業有購銷關系的貿易夥伴聯系在一起，建立快速反應系統和「零庫存」的供應鏈體系等，是電子商務應用的基礎。
網路稅收問題。世界貿易組織第二次部長會議決定，在下一次部長會議之前，不對網路貿易徵收關稅。如今WTO是否以及何時會對電子商務的關稅問題達成最終協議仍在未卜之中。但隨著網上交易量的迅猛增加，這一問題必須引起足夠的重視。

F. 談談你對支付安全在電子商務中的重要性的認識，如何實現電子商務支付的安全

1. 一定要記得密碼

2. 綁定手機或者有動態口令

3. 支付前一定要確定你支付的環境是安全的

G. 電子商務網路支付與安全

支付與安全這兩方面的內容太多了。你到網上隨便一搜急有好多叫你如何處理的。不過我認為在網上交易肯定是有風險的，但網上交易也有了成為了必然的趨勢。

H. 電子商務的安全支付問題

1、電子商務的安全控制要求概述

電子商務發展的核心和關鍵問題是交易的安全性。由於Internet本身的開放性，使網上交易面臨了種種危險，也由此提出了相應的安全控制要求。

1.1信息保密性

交易中的商務信息有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

1.2交易者身份的確定性

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家而言要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個弄虛作假的黑店。因此能方便而可靠地確認對方身份是交易的前提。

1.3不可否認性

由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。

1.4不可修改性

交易的文件是不可被修改的，如其能改動文件內容，那麼交易本身便是不可靠的，客戶或商家可能會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。

2、電子商務安全交易的有關標准和實施方法

2.1安全交易的雛形

在電子商務實施初期，曾採用過一些簡易的安全措施，這些措施包括：

(1) 部分告知(Partial Order)：即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去，然後再用電話告之，以防泄密。

(2) 另行確認(Order Confirmation)：即當在網上傳輸交易信息之後，再用電子郵件對交易作確認，才認為有效。

(3) 在線服務(Online Service)：為了保證信息傳輸的安全，用企業提供的內部網來提供聯機服務。

以上所述的種種方法，均有一定的局限性，且操作麻煩，不能實現真正的安全可靠性。

2.2安全交易標準的制定

近年來，IT業界與金融行業一起，推出不少更有效的安全交易標准。主要有：

(1) 安全超文本傳輸協議（S-HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸的安全性。

(2) 安全套接層協議（SSL協議：Secure Socket Layer)是由網景（Netscape）公司推出的一種安全通信協議，是對計算機之間整個會話進行加密的協議，提供了加密、認證服務和報文完整性。它能夠對信用卡和個人信息提供較強的保護。SSL被用於Netscape Communicator和Microsoft IE瀏覽器，用以完成需要的安全交易操作。在SSL中，採用了公開密鑰和私有密鑰兩種加密方法。

(3) 安全交易技術協議(STT：Secure Transaction Technology)：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft將在Internet Explorer中採用這一技術。

(4) 安全電子交易協議（SET：Secure Electronic Transaction）：SET協議是由VISA和MasterCard兩大信用卡公司於1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。

目前公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標准被公認為全球網際網路的標准，其交易形態將成為未來「電子商務」的規范。

支付系統是電子商務的關鍵，但支持支付系統的關鍵技術的未來走向尚未確定。安全套接層（SSL）和安全電子交易（SET）是兩種重要的通信協議，每一種都提供了通過Internet進行支付的手段。但是，兩者之中誰將領導未來呢？SET將立刻替換SSL嗎？SET會因其復雜性而消亡嗎？SSL真的能完全滿足電子商務的需要嗎？我們可以從以下幾點對比作管中一窺：

SSL提供了兩台機器間的安全連接。支付系統經常通過在SSL連接上傳輸信用卡卡號的方式來構建，在線銀行和其他金融系統也常常構建在SSL之上。雖然基於SSL的信用卡支付方式促進了電子商務的發展，但如果想要電子商務得以成功地廣泛開展的話，必須採用更先進的支付系統。SSL被廣泛應用的原因在於它被大部分Web瀏覽器和Web伺服器所內置，比較容易被應用。

SET和SSL除了都採用RSA公鑰演算法以外，二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。

SET是一種基於消息流的協議，它主要由MasterCard和Visa以及其他一些業界主流廠商設計發布，用來保證公共網路上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用並經受了考驗，但大多數在Internet上購的消費者並沒有真正使用SET。

SET是一個非常復雜的協議，因為它非常詳細而准確地反映了卡交易各方之間存在的各種關系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規則。事實上，SET遠遠不止是一個技術方面的協議，它還說明了每一方所持有的數字證書的合法含義，希望得到數字證書以及響應信息的各方應有的動作，與一筆交易緊密相關的責任分擔。

3、目前安全電子交易的手段

在近年來發表的多個安全電子交易協議或標准中，均採納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種：

3.1密碼技術

採用密碼技術對信息加密，是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種：

（1）公共密鑰和私用密鑰（public key and private key）

這一加密方法亦稱為RSA編碼法，是由Rivest、Shamir和Adlernan三人所研究發明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數，則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時，某個用戶總是將一個密鑰公開，讓需發信的人員將信息用其公共密鑰加密後發給該用戶，而一旦信息加密後，只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到，亦可在請對方發信息時主動將公共密鑰傳給對方，這樣保證在Internet上傳輸信息的保密和安全。

（2）數字摘要(digital digest)

這一加密方法亦稱安全Hash編碼法（SHA:Secure Hash Algorithm）或MD5(MD Standards for Message Digest)，由Ron Rivest所設計。該編碼法採用單向Hash函數將需加密的明文「摘要」成一串128bit的密文，這一串密文亦稱為數字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是「真身」的「指紋」了。

上述兩種方法可結合起來使用，數字簽名就是上述兩法結合使用的實例。

3.2數字簽名(digital signature)

在書面文件上簽名是確認文件的一種手段，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數字簽名與書面文件簽名有相同之處，採用數字簽名，也能確認以下兩點：

a. 信息是由簽名者發送的。

b. 信息在傳輸過程中未曾作過任何修改。

這樣數字簽名就可用來防止電子信息因易被修改而有人作偽；或冒用別人名義發送信息；或發出（收到）信件後又加以否認等情況發生。

數字簽名採用了雙重加密的方法來實現防偽、防賴。其原理為：

（1） 被發送文件用SHA編碼加密產生128bit的數字摘要（見上節）。

（2） 發送方用自己的私用密鑰對摘要再加密，這就形成了數字簽名。

（3） 將原文和加密的摘要同時傳給對方。

（4） 對方用發送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產生又一摘要。

（5） 將解密後的摘要和收到的文件在接收方重新加密產生的摘要相互對比。如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過。否則不然。

3.3數字時間戳(digital time-stamp)

交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。

在電子交易中，同樣需對交易文件的日期和時間信息採取安全措施，而數字時間戳服務(DTS：digital time-stamp service)就能提供電子文件發表時間的安全保護。

數字時間戳服務（DTS）是網上安全服務項目，由專門的機構提供。時間戳（time-stamp）是一個經加密後形成的憑證文檔，它包括三個部分：1）需加時間戳的文件的摘要(digest)，2）DTS收到文件的日期和時間，3）DTS的數字簽名。

時間戳產生的過程為：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然後將該摘要發送到DTS，DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密（數字簽名），然後送回用戶。由Bellcore創造的DTS採用如下的過程：加密時將摘要信息歸並到二叉樹的數據結構；再將二叉樹的根值發表在報紙上，這樣更有效地為文件發表時間提供了佐證。注意，書面簽署文件的時間是由簽署人自己寫上的，而數字時間戳則不然，它是由認證單位DTS來加的，以DTS收到文件的時間為依據。因此，時間戳也可作為科學家的科學發明文獻的時間認證。

3.4數字憑證(digital certificate, digital ID)

數字憑證又稱為數字證書，是用電子手段來證實一個用戶的身份和對網路資源的訪問的許可權。在網上的電子交易中，如雙方出示了各自的數字憑證，並用它來進行交易操作，那麼雙方都可不必為對方身份的真偽擔心。數字憑證可用於電子郵件、電子商務、群件、電子基金轉移等各種用途。

數字憑證的內部格式是由CCITT X.509國際標准所規定的，它包含了以下幾點：

(1) 憑證擁有者的姓名，

(2) 憑證擁有者的公共密鑰，

(3) 公共密鑰的有效期，

(4) 頒發數字憑證的單位，

(5) 數字憑證的序列號（Serial number），

(6) 頒發數字憑證單位的數字簽名。

數字憑證有三種類型：

(1) 個人憑證(Personal Digital ID)：它僅僅為某一個用戶提供憑證，以幫助其個人在網上進行安全交易操作。個人身份的數字憑證通常是安裝在客戶端的瀏覽器內的。並通過安全的電子郵件（S/MIME）來進行交易操作。

(2) 企業（伺服器）憑證（Server ID）：它通常為網上的某個Web伺服器提供憑證，擁有Web伺服器的企業就可以用具有憑證的萬維網站點(Web Site)來進行安全電子交易。有憑證的Web伺服器會自動地將其與客戶端Web瀏覽器通信的信息加密。

(3) 軟體（開發者）憑證（Developer ID）：它通常為Internet中被下載的軟體提供憑證，該憑證用於和微軟公司Authenticode技術（合法化軟體）結合的軟體，以使用戶在下載軟體時能獲得所需的信息。

上述三類憑證中前二類是常用的憑證，第三類則用於較特殊的場合，大部分認證中心提供前兩類憑證，能提供各類憑證的認證中心並不普遍。

3.5認證中心(CA：Certification Authority)

在電子交易中，無論是數字時間戳服務（DTS）還是數字憑證(Digital ID)的發放,都不是靠交易的雙方自己能完成的,而需要有一個具有權威性和公正性的第三方(third party)來完成。認證中心（CA）就是承擔網上安全電子交易認證服務、能簽發數字證書、並能確認用戶身份的服務機構。認證中心通常是企業性的服務機構，主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定(CPS：Certification Practice Statement)來實施服務操作。

上述五個方面介紹了安全電子交易的常用手段，各種手段常常是結合在一起使用的，從而構成比較全面的安全電子交易體系。

4、應用動態

根據最新報道,我國第一個安全電子商務系統：「網上訂票與支付系統」經過半年試運行後，於1999年8月8日投入正式運行,其發起單位由上海市政府商業委員會、上海市郵電管理局、中國東方航空股份有限公司、中國工商銀行上海市分行、上海市電子商務安全證書管理中心有限公司等共同發起、投資與開發。

系統結構採用網上訂票與支付系統由四個子系統組成：商戶子系統、客戶子系統、銀行支付網關子系統、數字證書授權與認證子系統。

商戶子系統的第一個應用是用來購買購買飛機票的中國東方航空公司網站。網址為：www.cea.online.sh.cn；它是中國安全電子商務第一網站。

客戶子系統是安裝於PC機上的電子錢包軟體，是信用卡持有人進行網上消費的支付工具。電子錢包中必須加入客戶的信用卡信息與數字證書之後，方可進行網上消費。

支付網關子系統通常是指由收款銀行運行的一套設備，用來處理商戶的付款信息以及持卡人發出的付款指令。

數字證書授權與認證子系統為每個交易參與方生成一個數字證書作為交易方身份的驗證工具。

其技術特點是採用IBM的電子商務框架結構、嵌入經國家密碼管理委員會認可的加/解密用軟/硬體產品。這個電子商務系統具有如下的安全交易特點：

1) 遵循SET國際標准、具有SET標准規定的安全機制，是目前國際互聯網上運行的比較安全的電子商務系統；

2) 兼顧國內信用卡/儲蓄卡與國際信用卡的業務特點，具有一定的中國特色；

3) 具有開放特性，可與經SETCO國際組織認證的任何電子商務系統進行互操作；

I. 簡述電子商務的安全隱患與解決措施

1、數據傳輸安全隱患。

電子商務是在開放的互聯網上進行的貿易，大量的商務信息在計算機和網路上上存放、傳輸，從而形成信息傳輸風險。因此措施可以通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合密鑰加密和公開密鑰加密技術實現的。

2、數據完整性的安全隱患。

數據的完整性安全隱患是指數據在傳輸過程中被篡改。因此確保數據不被篡改的措施可以通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

3、身份驗證的安全隱患。

網上通信雙方互不見面，在交易或交換敏感信息時確認對方等真實身份以及確認對方的賬戶信息的真實與否，為身份驗證的安全隱患。解決措施可以通過採用口令技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

4、交易抵賴的安全隱患。

網上交易的各方在進行數據傳輸時，當發生交易後交易雙方不認可為本人真實意願的表達而產生的抵賴安全隱患。措施為交易時必須有自身特有的、無法被別人復制的信息，以保證交易發生糾紛時有所對證，可以通過數字簽名技術和數字證書技術來實現的。

(9)電子商務安全與支付的現實環境擴展閱讀：

電子商務分類：

1、企業對企業的電子商務（B2B）；

2、企業對消費者的電子商務（B2C）；

3、企業對政府的電子商務（B2G）；

4、消費者對政府的電子商務（C2G）；

5、消費者對消費者的電子商務（C2C）；

6、企業、消費者、代理商三者相互轉化的電子商務（ABC）；

7、以消費者為中心的全新商業模式（C2B2S）；

8、以供需方為目標的新型電子商務（P2D）。

J. 請問當前我國的電子商務安全狀況如何

從上世紀90開始出現電子商務模式，我國的電子商務取得了快速的發展。相繼實施的「金橋」、「金卡」、「金關」、「金稅」工程大大加快了我國電子商務的發展步伐，電子商務的廣度和深度空前擴展，已經深入國民經濟和日常生活的各個方面。但是，也有一些制約電子商務發展的因素，安全問題就是中之一。安全問題不僅造成巨大的經濟損失，而且嚴重打擊人們對電子商務的信心。

一、安全問題的表現

1.信息安全

信息安全是指由於各種原因引起的信息泄露、信息丟失、信息篡改、信息虛假、信息滯後、信息不完善等，以及由此帶來的風險。具體的表現有：竊取商業機密;泄漏商業機密;篡改交易信息，破壞信息的真實性和完整性;接收或發送虛假信息，破壞交易、盜取交易成果;偽造交易信息;非法刪除交易信息;交易信息丟失;病毒破壞;黑客入侵等。

如果信息被非法竊取或泄露可能給有關企業和個人帶來嚴重的後果和巨大的經濟損失。如果不能及時得到准確、完備的信息，企業和個人就無法對交易進行正確的分析和判斷，無法做出符合理性的決策。非法刪除交易信息和交易信息丟失可能導致經濟糾紛，給交易的一方或多方造成經濟損失。

最常見的信息風險是信息的非法竊取和泄露，它往往引起連鎖反應，形成後續風險，這也是目前企業和個人最擔心的問題。信息風險的典型表現是網路欺詐，不僅使廠商和消費者在經濟上蒙受重大損失，更重要的是可能會使人們對電子商務這種新的經濟形式失去信心。

2.交易安全

交易安全是指電子商務交易過程中存在的各種不安全因素，包括交易的確認、產品和服務的提供、產品和服務的質量、價款的支付等方面的安全問題。

與傳統的商務形式不同，電子商務具有自己的特點：市場鬆散化、主體虛擬化、交易網路化、貨幣電子化、結算瞬時化等。這使得電子商務的交易風險表現出新的特點，出現新的形式，並且被放大。

交易安全問題在現實中很多。例如：賣方利用信息優勢，以次充好、以劣當優來發布虛假信息，欺騙購買者;賣方利用參與者身份的不確定性與市場進出的隨意性，在提供服務方面不遵守承諾，收取費用卻不提供服務或者少提供服務。當然也有相反的情況：買方利用賣方的誠實套取產品和服務，卻以匿名、更名或退出市場等方式逃避執行契約合同。

3.財產安全

財產安全是指由於各種原因造成電子商務參與者面臨的財產等經濟利益風險。財產安全往往是電子商務安全問題的最終形式，也是信息安全問題和交易安全問題的後果。

財產安全問題主要表現為財產損失和其他經濟損失。前者如：客戶的銀行資金被盜;交易者被冒名，其財產被竊取等。後者如：信息的泄露、丟失，使企業的信譽受損，經濟遭受損失;遭受網路攻擊或故障，企業電子商務系統效率下降甚至癱瘓等。

二、安全問題的來源

1.硬體層面

電子商務的基礎是網路，而網路的物理支撐是各種硬體設施，這些硬體設施會由於各種原因帶來安全風險。這里有設備故障，有人為因素，也有自然災害。硬體安全問題雖然發生的概率不大，但是一旦發生，其影響巨大。例如，2006年12月26日，我國台灣附近海域發強烈地震，造成中美海纜等6條國際海底通信光纜發生中斷，附近國家和地區的國際和地區性通信受到嚴重影響。中國大陸至台灣地區、美國、歐洲等方向的通信線路受此影響大量中斷，互聯網訪問質量受到嚴重影響。許多跨國經營的企業總部、分公司之間的網路聯系中斷，使生產和經營受到嚴重影響。這次事故給有關企業和個人造成巨大影響和嚴重經濟損失。

2.軟體層面

網路不僅需要硬體，更需要軟體，各種系統軟體、應用軟體是網路運行所必需，是電子商務的另一個支撐點。由於技術和人為的原因，各種軟體不可避免的存在各種設計的缺陷和漏洞，而且由於軟體的多樣性和復雜性，在配備、使用中也會有各種問題，導致電子商務系統中存在技術誤差和安全漏洞。比如，由於可能存在安全漏洞，在重要信息資料保管和安全支付方面，人們仍然擔心資料丟失和賬戶被盜等。又比如，個別軟體由於自身的缺陷，在特殊的情況下，可能造成系統運行故障甚至癱瘓。

3.應用層面

(1)企業管理水平低，人員素質不高

電子商務在近幾年才得到了迅猛發展，各地都缺乏足夠的技術人才來處理所遇到的各種問題，許多企業技術人員的技術水平較低，不能完全勝任所承擔的工作。同時企業對電子商務的管理也處於一個摸索的階段，管理的水平不高，效率底下。這些都給電子商務帶來很大的安全隱患。其中包括交易流程管理風險、人員管理風險、網路交易技術管理的漏洞的交易風險、網路管理制度漏洞等。

(2)消費者電子商務知識貧乏，安全意識不高

從總體上，講廣大消費者對於電子商務這個新生事物還比較陌生，缺乏相應的知識，還不能十分熟練的應用這一新的交易手段，造成各種人為的安全威脅。例如：有的消費者安全意識淡薄，不注意保護自己的密碼等關鍵信息，容易導致資金被盜、冒名交易等;有的消費者對信息判斷能力差，容易上當受騙;有的消費者對網路交易的流程缺乏了解，容易導致操作失誤等。

3.網路攻擊、商業欺詐等違法犯罪行為

以獲取機密信息或者破壞為目的的網路攻擊是電子商務另外一個重要安全隱患。包括病毒攻擊、木馬程序，以及其他各種形式的網路攻擊。根據國家計算機病毒應急處理中心的統計，去年我國發現的計算機病毒有80%以上是以竊取信息等經濟利益為目的的。這些網路攻擊行為可能導致企業和個人的信息被盜，資金被竊取，也可能導致企業電子商務系統效率下降甚至崩潰。

同時，因為網路交易的虛擬性所引起的交易欺詐行為有惡化的趨勢。例如，在中國質量萬里行促進會公布的2005年我國十大投訴熱點中，網路欺詐已經成為繼食品、汽車、家電、旅遊之後的第五大投訴熱點。這說明發生在我國網路市場中欺詐行為已經比較嚴重，它會影響網民對網路產品的信任感並進而影響中國電子商務市場的健康發展。

4.環境層面

(1)法律環境

法律是市場經濟的重要外部環境。在電子商務中，法律不僅是打擊網路犯罪的武器，更是各個主體商務活動的游戲規則。

電子商務是一種全新的商務活動，並由此衍生了一系列新的法律問題，例如網路交易糾紛的仲裁、網路交易契約等問題，急需相應的法律保障，為市場制定新的、適用的游戲規則，否則就會引起混亂。由於電子商務發展較快，我國有關的立法工作顯得落後，出現許多法律空白，使許多電子商務糾紛的解決缺乏法律依據，這成為電子商務中一個重要安全隱患。

(2)誠信缺乏

誠信是市場經濟的基礎，是市場順利運行的前提條件。電子商務由於其開放性、虛擬性，交易雙方不直接見面，在身份的判別確認、違約責任的追究等方面都存有很大困難。因此，信用風險遠較傳統業務中發生的概率大。

我國目前的狀況是缺乏誠信，社會信用體系不完善，這給在網上利用電子商務進行交易的傳統企業和個人帶來不可預料的風險。包括商業欺詐、商業誹謗、在線(信息)隱私問題、知識產權的保護問題、商業信用問題等。其典型表現有：網上產品的質量問題導致消費者無法購買到合意的商品;網上支付存在著風險;網路中的合同欺詐等。

三、應對措施

1.加強網路基礎設施建設

在此方面，我國已經取得了一定進步，但總體情況仍不容樂觀，地區之間發展不平衡。今後國家應繼續加大網路建設投入力度，進一步鼓勵企業加大對信息產業的投資，進一步增強電子商務發展的網路基礎。要擴大國際出口帶寬的建設，解決原有網路帶寬及速度較低、網路運行質量差和電信資費高等問題，並縮小東西部、南北方的差距。要採取切實措施，構建一個值得信賴並能夠保證信息的完整性和安全性的多層次的開放的網路體系，改善國內用戶環境。

2.加強安全技術的研究和應用

目前，電子商務應用還剛剛開始，許多方面都還不夠完善，安全技術及其應用還不能滿足電子商務發展的需要。這就要求我們密切關注電子商務的動向，關注電子商務安全技術，加大投入力度，研究更加先進可靠、經濟適用的安全技術。

同時，安全技術不是單一的技術，技術的綜合應用是保證電子商務安全的一個重要方面，因此應當加大技術應用環節的投入。可以採取的應用措施有：使用容錯計算機系統或創造高可用性的計算機環境，以確保信息系統保持可用及不間斷動作;災害復原計劃提供一套程序與設備來重建被中斷的計算與通信服務;加密是一種廣泛使用的技術來確保網際網路上傳輸的安全;數字證書可確認使用者的身份，提供了電子交易更進一步的保護;加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞;從路由器到用戶各級建立完善的訪問控制措施，安裝防火牆，加強授權管理和認證;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。

3.提高從業人員的技術水平和整體素質，提升企業的管理水平

首先，要加強現有從業人員的培訓，提高現有人員的技術水平，提高其安全意識，提高其應對安全問題的能力。其次，要加強電子商務人才的培養。應充分利用各種途徑和手段培養大量素質較高、層次合理、專業配套的網路、計算機及經營管理等方面的專業人才，特別是掌握現代信息技術和現代商貿理論與實務的復合型人才。最後，要提高企業電子商務管理水平。安全問題不僅有技術的原因，管理落後也是一個重要方面，企業要建立適應電子商務發展的管理體系，培養合格的管理人才，提升整體管理水平。

4.加強法律法規建設

包括兩個方面的內容：一是要完善原有的法律體系並進行必要的調整;二是為適應發展的需要制定新的法律法規。

要積極開展立法的各項准備工作，循序漸進、突出重點、先易後難，先單項後綜合，在實踐中摸索，在發展中完善，針對不同的法律問題，提出新的解決方案，制定相應的法律法規。不備具制定法律法規要求的，可以先制定「條例」、「細則」等規范性法律文件，逐步強化電子商務立法。

當前一項重要的任務是要抓緊研究電子交易、信用管理、安全認證、在線支付、稅收、市場准入、隱私權保護、信息資源管理等方面的法律法規問題，應盡快制定出可以具體操作的《電子商務法》。

5.加強誠信建設

首先，建立健全社會信用制度及管理體系。要加快信用立法，完善經濟活動實名制，健全個人財產申報制度，實行個人破產制度等，以形成對信用體系的強勢約束力，確保個人信用制度的健康發展。

其次，建立完善的企業制度，培養優秀的企業文化。要以提高企業價值作為經營的根本，把自主性和自律性的道德標准作為企業的重要組成部分，進而建立以誠信為基礎的企業文化。

再次，建立企業和個人的信用評價與監管機構。建立起以政府為背景跨部門的，包括銀行、工商管理、公安、稅務部門協同的企業和個人的信用評價與監管體系，實現跨部門、跨行業、跨地區的信用信息互聯互通。加大失信行為的成本，以約束失信行為。

最後，加強對企業的監管力度，完善各種監管系統。