电子商务安全与支付的现实环境

A. 电子商务的安全需求体现在哪五个方面

电子商务的安全需求体现在以下五个方面：

1、信息要求真实和完整。

2、网络交易依赖的是大众的诚信度。这对于电子商务的成交显得尤为重要。同时这不但需要用道德和法律进行约束，更需要相关技术进行保障。

3、支付和交易必须是安全而可靠的。目前，如何保障支付和交易的安全可靠是一个全球性问题，电子商务要有大的发展，就必须管好这些瓶颈。

4、用户或商家的身份在网络上能够被准确地识别。如果不能准确识别交易双方的身份，发生纠纷时就无法进行有效的仲裁。

5、能够保护个人隐私。对个人隐私的保护现在越来越受到重视。越是开放，越是信息化，个人隐私越重要。

(1)电子商务安全与支付的现实环境扩展阅读：

电子商务安全要求包括四个方面：

（1）数据传输的安全性。对数据传输的安全性需求即是保证在公网上传送的数据不被第三方窃取。对数据的安全性保护是通过采用数据加密（包括秘密密钥加密和公开密钥加密）来实现的，数字信封技术是结合秘密密钥加密和公开密钥加密技术实现的保证数据安全性的技术。

（2）数据的完整性。对数据的完整性需求是指数据在传输过程中不被篡改。数据的完整性是通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。

（3）身份验证。由于网上的通信双方互不见面，必须在交易时（交换敏感信息时）确认对方等真实身份；在涉及到支付时，还需要确认对方的账户信息是否真实有效。身份认证是采用口令字技术、公开密钥技术或数字签名技术和数字证书技术来实现的。

（4）交易的不可抵赖。网上交易的各方在进行数据传输时，必须带有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证。这是通过数字签名技术和数字证书技术来实现的。

B. 电子商务安全存在哪些问题怎么解决

(一)计算机网络安全威胁
电子商务包含“三流”：信息流、资金流、物流，“三流”中以信息流为核心为最重要，电子商务正是通过信息流为带动资金流、物流的完成。计算机网络的安全必将影响电子商务中的“信息流”的传递，势必影响电子商务的开展。计算机网络存在以下安全威胁：
1.黑客攻击
黑客攻击是指黑客非法进入网络，非法使用网络资源。
2.计算机病毒的攻击
病毒是能够破坏计算机系统正常进行，具有传染性的一段程序。
3.拒绝服务攻击
拒绝服务攻击(DoS)是一种破坏性的攻击，它是一个用户采用某种手段故意占用大量的网络资源，使系统没有剩余资源为其他用户提供服务的攻击。

(二)商务交易安全威胁
Internet存在以下安全隐患：
1.开放性
开放性和资源共享是Internet最大的特点，但它的问题却不容忽视的。正是这种开放性给电子商务带来了安全威胁。
2.缺乏安全机制的传输协议
TCP／IP协议是建立在可信的环境之下，缺乏相应的安全机制，这种基于地址的协议本身就会泄露口令，根本没有考虑安全问题；
3.软件系统的漏洞
随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在。
4.信息电子化
电子化信息的固有弱点就是缺乏可信度，电子信息是否正确完整是很难由信息本身鉴别的，而且在Internet传递电子信息，存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。
(三)计算机网络安全威胁与商务交易安全威胁给电子商务带来的安全问题
1.信息泄露
在电子商务中表现为商业机密的泄露，以上计算机网络安全威胁与Internet的安全隐患可能使得电子商务中的信息泄漏，
2.篡改
正是由于以上计算机网络安全威胁与Internet的安全隐患，电子的交易信息在网络上传输的过程中，可能被他人非法地修改、删除或重放(指只能使用一次的信息被多次使用)，这样就使信息失去了真实性和完整性。
3.身份识别
正是由于电子商务交易中交易两方通过网络来完成交易，双方互不见面、互不认识，计算机网络的安全威胁与Internet的安全隐患，也可能使得电子商务交易中出现身交易身份伪造的问题。
4.信息破坏
计算机网络本身容易遭到一些恶意程序的破坏，如计算机病毒、特洛伊木马程序、逻辑炸弹等，导致电子商务中的信息在传递过程被破坏。
5.破坏信息的有效性
电子商务中的交易过程中是以电子化的信息代替纸面信息，这些信息我们也必须保证它的时间的有效与本身信息的有效，必须能确认该信息确是由交易一方签发的，计算机网络安全威胁与Internet的安全隐患，使得我们很难保证电子商务中的信息有效性。
6.泄露个人隐私
隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人就必须提供个人信息，计算机网络安全威胁与Internet的安全隐患有可能导致个人信息泄露，破坏到个人隐私

解决方法：
一)利用电子商务安全技术 1.计算机网络安全技术
电子商务中利用的重要工具计算机网络，存在着很多的安全威胁，计算机网络的建立足我们开展电子商务的基础，我们要保证电子商务的安全，首先就要保证计算机网络的安全。
(1)防火墙技术
(2)入侵检测系统(IDS)，入侵检测的软件与硬件的组合就是入侵检测系统(Intrusion Detection System，简称IDS)。
(3)虚拟专用网(VPN)技术
(4)病毒防治技术
电子商务中的计算机网络不断受到病毒攻击的危害，为了把计算机病毒的危害减小到最低，我们可以从以下几方面从入手：一是高度重视计算机病毒；二是安装计算机病毒防治软件，不断更新病毒库。
2.商务交易安全技术
为了营造一个安全的电子商务环境，我们一定要保证传统的商务活动在互联网上进行的安全，我们就应该建立一个电子商务的安全体系，
(1)基本加密技术
将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。
(2)安全认证手段
利用基本加密技术还只能保证电子商务中信息的保密性
①利用数字信封技术保证电子商务中信息的保密性。
②利用以Hash函数为核心的数字摘要技术来保证电子商务中信息的完整性。
③建立CA认证体系给电子商务交易各方发放数字证书，
④利用数字时间戳来保证电子商务中信息的有效性。
⑤利用数字签名技术来保证电子商务中的通信的不可抵赖、不可否认，信息的有效性。
(3)安全协议
必须把安全认证手段跟安全协议配合起来建立电子商务安全解决方案。目前电子商务中有两种安全认证协议被广泛使用，即安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。
(二)制定电子商务安全管理制度
电子商务安全管理制度是用文字形式对各项安全要求所做的规定，这些制度应该包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。
(三)加强诚信教育，建立社会诚信体系
电子商务中的很多安全问题比如交易的抵赖、否认、个人隐私权的破坏，说到底还是人的诚信问题，为了促进电子商务更好的发展，打消消费者对于电子商务的安全顾虑，我们应该加强诚信教育，建立社会诚信体系。

C. 电子商务安全与支付 心得

都有保存水电费账单的功能， 使用“账单定制、自动划款”功能：新版的付费通“快钱”网站。绑定银行卡后，可以每月自动扣款，还有短信通知。但要注意定期核对账单，最好用小本子记录一下支付的金额、日期、订单号或流水号，以防网络出错的小概率事件做个生活的有心人。同事小王心急火燎地冲进办公室，上个月。还迟到半小时。一问才知道他银行排队为信用卡还款，由于逾越还款期限，还吃了一笔罚息。试试“快钱”吧，信用卡跨行还款不收手续费。赶紧给他出主意。网上支付是不是很麻烦，也不安全。像所有网络支付新手一样，小王充满忧虑，但在竭力怂恿下，很快尝到甜头，一发不可收，成了跟我一样的网络支付达人。使我与“网上支付”第一次亲密接触。拥有了平生第一张工行网银动态口令卡，6年前的一次考试费在线支付。第一次下载安全插件，第一次设置支付密码，心里战战兢兢。一晃多年过去，现在淘宝购物、购买基金、交水电费，无不通过网上支付，从未为银行排队而烦恼，还有不少“支付心得”可以分享：省下手续费；而在用的银行卡尽量都开通网银，开通每一张银行卡的网银：注销不必的银行卡。养成随时存掉小钱的习惯，积少成多。这样可以大大提高网络支付的平安性。另外 购买U 盾、收藏网页：U 盾的使用。记得把银行首页保存在收藏夹里，既可以及时了解一些支付的优惠信息，又可以防止误登录一些仿冒网页。对于“网上理财”“纸黄金”等功能，认真签订网银协议：与银行签订网银协议时。尽量都钩选，说不准哪天你就会用到这些功能，通过网络支付保单、开通定投、购买理财产品，实在太方便了。

D. 求电子商务安全与支付的调查报告

我有电子商务安全与支付的调查报告

E. 论述支付系统应该如何适应电子商务环境的新要求

市场变化因素
全球化大市场的形成。在全球经济一体化的大背景下，全球化的市场正逐渐形成。企业正面临越来越沉重的国内外同行竞争的压力。
由于生产者的需求不断变化，促使供应商们形成供应链。随着现代经济的不断发展，制造商对供应商提供的产品提出了更高的要求。生产者要求供应商提供集成度高的产品，以减少交易成本、提高效率。这些原因迫使供应商们紧密联合起来，形成一条供应链，对企业间的信息交流提出了更高的要求。

企业改善经营管理的因素
信息技术不仅用于企业之间的业务往来，企业内部经营管理和生产过程控制信息化的步伐也在加快。网络技术、系统集成技术等信息技术的使用，使企业内部信息交流渠道更加畅通，运转更加协调。
利用电子商务提高服务质量的要求。由于在电子商务条件下，市场的透明度提高，开发出的新产品具有较低价格和较低廉的服务，以保持市场竞争力。对供应商们来讲，他们觉得有必要比订货者提供更快、更好的信息服务。同时，开展电子商务也可以提高厂商的售后服务质量。
在当今社会，信息已逐渐成为一类重要的商品进行买卖，比如包含有产品历史信息的数据库，信息已成为企业的一项资产。更多企业把可获得的企业内部信息用于经营决策。
企业利用网络可以赢得更多的客户。比如，通过电子公告牌、主页和其他的商业信息系统。

政府政策法规的因素
按国家政策法规的要求，企业要向诸如财政部门、税务部门、环保部门等政府有关部门提交越来越多的报告，以披露相关信息，在这种压力下，企业为提高效率，节省人力资源，迫切需要信息处理与交换的电子化。

电子商务市场逐渐成熟的因素
提供信息和远距离通信服务的商家之间的竞争更加激烈，这会促使商家提供更多的和更新的电子商务产品和有效的服务。
从上述形成企业电子商务驱动力的四个方面的重要因素看，企业发展电子商务是一项十分紧迫的任务，只有加快发展电子商务，企业才能获得新的更大的前进动力。

企业信息化建设的特点
企业信息化建设涉及到整个企业的经营管理系统，不能用局部模块的信息化来代表。它需要借助社会的多方力量，尤其是专业信息化咨询公司的力量来共同构建。企业信息化建设与其说是一场技术变革，不如说是对企业的经营进行改革。即借用先进的工具（信息化）对企业的经营管理进行合理的整合，提升其核心竞争力。企业信息化的建设思路是随着管理理念和信息技术的发展而不断发展变化的，呈螺旋上升的方式，是一个“扬弃”的过程。

企业信息化建设的流程
首先，在确定信息化建设项目后，在做详细的需求分析前加入一个实施步骤，即“模拟上线”运行的培训方法，直观地了解企业信息化建设的全貌。其次，在信息化实施过程中引入项目管理思路，从时间、成本和质量三方面保证信息化项目的实施效果。最后，在信息化项目实施完成后，建立相关的运行保证制度，从制度上保证信息化项目建设的成果，同时为新的需求做前期预研工作，为下一阶段的信息化建设做准备，从而实现整个信息化能够持续、健康和有序的发展。
企业信息化是一项相当艰巨复杂的系统工程，对已完成信息化战略抉择的企业来说，当务之急是在战术策略上，借助外部中立的、第三方的信息化咨询机构的知识、经验和力量，切实把握和解决好信息化规划与建设过程中的一些带有规律性、普遍性和策略性的问题，以确保其信息化建设顺利进行并最终取得成功。

企业竞争战略优势的积聚
电子商务作为一种竞争战略应侧重从以下五个方面来加强并积聚优势：
巩固现有的竞争优势。企业要对现有顾客的要求和潜在需求有较深了解，这样，企业制定的营销策略和营销计划才会具有针对性和科学性，才能便于实施和控制，顺利完成营销目标。
加强与顾客的沟通。根据企业网络数据库存储的大量现实和潜在客户数据，确定为顾客提供特定的产品和服务，更好地满足顾客需求。同时，借助于网络数据库，还可以对目前销售产品的满意度和购买情况作分析调查，及时发现问题、解决问题，确保顾客的满意。
为入者设置障碍。虽然信息技术的使用使成本日渐下降，但建立一个有效、完善的电子商务体系是一项长期的系统工程，需要投入大量人力、物力和财力。因此，一旦某个企业已实行了有效的电子商务系统，竞争者就很难进入公司的目标市场。
提高新产品开发和服务能力。目前，有很多大公司开始实行电子商务，其数据库产品服务的市场规模也越来越大，一方面满足了顾客不同层次的需求，另一方面公司也获得了市场上有关新产品方面的许多新信息。
稳定与供应商的关系。以美国的大型零售商沃尔玛公司为例，其电子商务系统可以让公司根据零售店的销售情况来制订商品补充和采购计划，然后通过网络把采购计划立即送给供应商，同时供应商适时送货到指定零售店。在零售业竞争日益激烈的情况下，沃尔玛正是凭借其与供应商稳定协调的关系，使其库存成本降到最低。

企业组织结构变革
在电子商务条件下，企业组织单元间的传统边界被打破，生产组织形式将重新整合，开始建立一种直接服务顾客的工作组。电子商务模式将会使企业的信息传递方式由单向的“一对多式”向双向的“多对多式”转换。一个显著特征是由集权制向分权制的转变。由于电子商务的推行，企业的经营活动打破了时间和空间的限制，出现一种完全新型的企业组织形式——虚拟企业。

企业管理网络化
电子商务以数字化的网络和设备替代了传统纸介质，从而带来了一种新的贸易服务方式。这种方式突破了传统企业中以单向物流为主的运作格局，实现了以物流为依据、信息流为核心、商流为主体的全新运作方式。电子商务对企业营销管理最为显著的影响是销售渠道和促销策略的变革。以往的批零方式将被网络代替，人们直接从网上采购，传统的人员推销失去大部分市场。管理者对目标市场的选择和定位将更加依赖于网上的资料以及对网络的充分利用。企业可以通过网上银行系统实现电子付款，资金结算、转账、信贷等活动。

电子商务环境下企业信息化的问题
虽然电子商务前景广阔，但像任何一个新生事物出现一样，总会伴随着机遇和挑战。在目前的国内环境下，电子商务的发展也有一些现实的问题亟待解决。
网络基础设施建设不完备。电信市场是电子商务运行的基本环境，电信市场的非开放性，导致网络资源管理混乱，服务收费过高，网络带宽受到限制。
网络法规出台迟。根据对电子商务应用前景的在线调查结果，很多人不愿意在线购物，担心因遭到黑客侵袭而导致信用卡信息丢失。企业更是担心信息在传输过程中的安全性，担心商业机密的泄漏，担心网络上的商业欺诈行为。因此，急需制定相适应的法律、法规体系来保障其交易的安全。
信用消费的不发达和货币电子化进程缓慢。电子支付是电子商务发展到一定阶段所必须具备的一个前提条件，我国在开发适用于电子商务需要的安全可靠的支付系统方面几乎是空白。传统上消费者对信用消费的排斥态度，对“隔山买牛”这种远距离购买行为的不信任，以及国家金融系统对在线远程结算的保守态度，都会促使这一问题表现更加尖锐与突出。
商品配送困难。很多城市到目前为止仍没有专业的配送企业，单件商品的长途运输或邮递的巨大成本以及时间上的延迟，足以使消费者对电子商务望而却步。
企业内部管理信息系统的建设还需加强。企业要实现电子商务，就是要实现企业信息资源的统一管理和共享，将与本企业有购销关系的贸易伙伴联系在一起，建立快速反应系统和“零库存”的供应链体系等，是电子商务应用的基础。
网络税收问题。世界贸易组织第二次部长会议决定，在下一次部长会议之前，不对网络贸易征收关税。如今WTO是否以及何时会对电子商务的关税问题达成最终协议仍在未卜之中。但随着网上交易量的迅猛增加，这一问题必须引起足够的重视。

F. 谈谈你对支付安全在电子商务中的重要性的认识，如何实现电子商务支付的安全

1. 一定要记得密码

2. 绑定手机或者有动态口令

3. 支付前一定要确定你支付的环境是安全的

G. 电子商务网络支付与安全

支付与安全这两方面的内容太多了。你到网上随便一搜急有好多叫你如何处理的。不过我认为在网上交易肯定是有风险的，但网上交易也有了成为了必然的趋势。

H. 电子商务的安全支付问题

1、电子商务的安全控制要求概述

电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性，使网上交易面临了种种危险，也由此提出了相应的安全控制要求。

1.1信息保密性

交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

1.2交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家而言要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。

1.3不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。

1.4不可修改性

交易的文件是不可被修改的，如其能改动文件内容，那么交易本身便是不可靠的，客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

2、电子商务安全交易的有关标准和实施方法

2.1安全交易的雏形

在电子商务实施初期，曾采用过一些简易的安全措施，这些措施包括：

(1) 部分告知(Partial Order)：即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。

(2) 另行确认(Order Confirmation)：即当在网上传输交易信息之后，再用电子邮件对交易作确认，才认为有效。

(3) 在线服务(Online Service)：为了保证信息传输的安全，用企业提供的内部网来提供联机服务。

以上所述的种种方法，均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。

2.2安全交易标准的制定

近年来，IT业界与金融行业一起，推出不少更有效的安全交易标准。主要有：

(1) 安全超文本传输协议（S-HTTP）：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。

(2) 安全套接层协议（SSL协议：Secure Socket Layer)是由网景（Netscape）公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。在SSL中，采用了公开密钥和私有密钥两种加密方法。

(3) 安全交易技术协议(STT：Secure Transaction Technology)：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。

(4) 安全电子交易协议（SET：Secure Electronic Transaction）：SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。

目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准，其交易形态将成为未来“电子商务”的规范。

支付系统是电子商务的关键，但支持支付系统的关键技术的未来走向尚未确定。安全套接层（SSL）和安全电子交易（SET）是两种重要的通信协议，每一种都提供了通过Internet进行支付的手段。但是，两者之中谁将领导未来呢？SET将立刻替换SSL吗？SET会因其复杂性而消亡吗？SSL真的能完全满足电子商务的需要吗？我们可以从以下几点对比作管中一窥：

SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展，但如果想要电子商务得以成功地广泛开展的话，必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置，比较容易被应用。

SET和SSL除了都采用RSA公钥算法以外，二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。

SET是一种基于消息流的协议，它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布，用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验，但大多数在Internet上购的消费者并没有真正使用SET。

SET是一个非常复杂的协议，因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，SET远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义，希望得到数字证书以及响应信息的各方应有的动作，与一笔交易紧密相关的责任分担。

3、目前安全电子交易的手段

在近年来发表的多个安全电子交易协议或标准中，均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种：

3.1密码技术

采用密码技术对信息加密，是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种：

（1）公共密钥和私用密钥（public key and private key）

这一加密方法亦称为RSA编码法，是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后，只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到，亦可在请对方发信息时主动将公共密钥传给对方，这样保证在Internet上传输信息的保密和安全。

（2）数字摘要(digital digest)

这一加密方法亦称安全Hash编码法（SHA:Secure Hash Algorithm）或MD5(MD Standards for Message Digest)，由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。

上述两种方法可结合起来使用，数字签名就是上述两法结合使用的实例。

3.2数字签名(digital signature)

在书面文件上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：

a. 信息是由签名者发送的。

b. 信息在传输过程中未曾作过任何修改。

这样数字签名就可用来防止电子信息因易被修改而有人作伪；或冒用别人名义发送信息；或发出（收到）信件后又加以否认等情况发生。

数字签名采用了双重加密的方法来实现防伪、防赖。其原理为：

（1） 被发送文件用SHA编码加密产生128bit的数字摘要（见上节）。

（2） 发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。

（3） 将原文和加密的摘要同时传给对方。

（4） 对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。

（5） 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。

3.3数字时间戳(digital time-stamp)

交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。

在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS：digital time-stamp service)就能提供电子文件发表时间的安全保护。

数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：1）需加时间戳的文件的摘要(digest)，2）DTS收到文件的日期和时间，3）DTS的数字签名。

时间戳产生的过程为：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。由Bellcore创造的DTS采用如下的过程：加密时将摘要信息归并到二叉树的数据结构；再将二叉树的根值发表在报纸上，这样更有效地为文件发表时间提供了佐证。注意，书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。因此，时间戳也可作为科学家的科学发明文献的时间认证。

3.4数字凭证(digital certificate, digital ID)

数字凭证又称为数字证书，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。

数字凭证的内部格式是由CCITT X.509国际标准所规定的，它包含了以下几点：

(1) 凭证拥有者的姓名，

(2) 凭证拥有者的公共密钥，

(3) 公共密钥的有效期，

(4) 颁发数字凭证的单位，

(5) 数字凭证的序列号（Serial number），

(6) 颁发数字凭证单位的数字签名。

数字凭证有三种类型：

(1) 个人凭证(Personal Digital ID)：它仅仅为某一个用户提供凭证，以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件（S/MIME）来进行交易操作。

(2) 企业（服务器）凭证（Server ID）：它通常为网上的某个Web服务器提供凭证，拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。

(3) 软件（开发者）凭证（Developer ID）：它通常为Internet中被下载的软件提供凭证，该凭证用于和微软公司Authenticode技术（合法化软件）结合的软件，以使用户在下载软件时能获得所需的信息。

上述三类凭证中前二类是常用的凭证，第三类则用于较特殊的场合，大部分认证中心提供前两类凭证，能提供各类凭证的认证中心并不普遍。

3.5认证中心(CA：Certification Authority)

在电子交易中，无论是数字时间戳服务（DTS）还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心（CA）就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS：Certification Practice Statement)来实施服务操作。

上述五个方面介绍了安全电子交易的常用手段，各种手段常常是结合在一起使用的，从而构成比较全面的安全电子交易体系。

4、应用动态

根据最新报道,我国第一个安全电子商务系统：“网上订票与支付系统”经过半年试运行后，于1999年8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。

系统结构采用网上订票与支付系统由四个子系统组成：商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。

商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为：www.cea.online.sh.cn；它是中国安全电子商务第一网站。

客户子系统是安装于PC机上的电子钱包软件，是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后，方可进行网上消费。

支付网关子系统通常是指由收款银行运行的一套设备，用来处理商户的付款信息以及持卡人发出的付款指令。

数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。

其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点：

1) 遵循SET国际标准、具有SET标准规定的安全机制，是目前国际互联网上运行的比较安全的电子商务系统；

2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点，具有一定的中国特色；

3) 具有开放特性，可与经SETCO国际组织认证的任何电子商务系统进行互操作；

I. 简述电子商务的安全隐患与解决措施

1、数据传输安全隐患。

电子商务是在开放的互联网上进行的贸易，大量的商务信息在计算机和网络上上存放、传输，从而形成信息传输风险。因此措施可以通过采用数据加密（包括秘密密钥加密和公开密钥加密）来实现的，数字信封技术是结合密钥加密和公开密钥加密技术实现的。

2、数据完整性的安全隐患。

数据的完整性安全隐患是指数据在传输过程中被篡改。因此确保数据不被篡改的措施可以通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。

3、身份验证的安全隐患。

网上通信双方互不见面，在交易或交换敏感信息时确认对方等真实身份以及确认对方的账户信息的真实与否，为身份验证的安全隐患。解决措施可以通过采用口令技术、公开密钥技术或数字签名技术和数字证书技术来实现的。

4、交易抵赖的安全隐患。

网上交易的各方在进行数据传输时，当发生交易后交易双方不认可为本人真实意愿的表达而产生的抵赖安全隐患。措施为交易时必须有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证，可以通过数字签名技术和数字证书技术来实现的。

(9)电子商务安全与支付的现实环境扩展阅读：

电子商务分类：

1、企业对企业的电子商务（B2B）；

2、企业对消费者的电子商务（B2C）；

3、企业对政府的电子商务（B2G）；

4、消费者对政府的电子商务（C2G）；

5、消费者对消费者的电子商务（C2C）；

6、企业、消费者、代理商三者相互转化的电子商务（ABC）；

7、以消费者为中心的全新商业模式（C2B2S）；

8、以供需方为目标的新型电子商务（P2D）。

J. 请问当前我国的电子商务安全状况如何

从上世纪90开始出现电子商务模式，我国的电子商务取得了快速的发展。相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐，电子商务的广度和深度空前扩展，已经深入国民经济和日常生活的各个方面。但是，也有一些制约电子商务发展的因素，安全问题就是中之一。安全问题不仅造成巨大的经济损失，而且严重打击人们对电子商务的信心。

一、安全问题的表现

1.信息安全

信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等，以及由此带来的风险。具体的表现有：窃取商业机密;泄漏商业机密;篡改交易信息，破坏信息的真实性和完整性;接收或发送虚假信息，破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。

如果信息被非法窃取或泄露可能给有关企业和个人带来严重的后果和巨大的经济损失。如果不能及时得到准确、完备的信息，企业和个人就无法对交易进行正确的分析和判断，无法做出符合理性的决策。非法删除交易信息和交易信息丢失可能导致经济纠纷，给交易的一方或多方造成经济损失。

最常见的信息风险是信息的非法窃取和泄露，它往往引起连锁反应，形成后续风险，这也是目前企业和个人最担心的问题。信息风险的典型表现是网络欺诈，不仅使厂商和消费者在经济上蒙受重大损失，更重要的是可能会使人们对电子商务这种新的经济形式失去信心。

2.交易安全

交易安全是指电子商务交易过程中存在的各种不安全因素，包括交易的确认、产品和服务的提供、产品和服务的质量、价款的支付等方面的安全问题。

与传统的商务形式不同，电子商务具有自己的特点：市场松散化、主体虚拟化、交易网络化、货币电子化、结算瞬时化等。这使得电子商务的交易风险表现出新的特点，出现新的形式，并且被放大。

交易安全问题在现实中很多。例如：卖方利用信息优势，以次充好、以劣当优来发布虚假信息，欺骗购买者;卖方利用参与者身份的不确定性与市场进出的随意性，在提供服务方面不遵守承诺，收取费用却不提供服务或者少提供服务。当然也有相反的情况：买方利用卖方的诚实套取产品和服务，却以匿名、更名或退出市场等方式逃避执行契约合同。

3.财产安全

财产安全是指由于各种原因造成电子商务参与者面临的财产等经济利益风险。财产安全往往是电子商务安全问题的最终形式，也是信息安全问题和交易安全问题的后果。

财产安全问题主要表现为财产损失和其他经济损失。前者如：客户的银行资金被盗;交易者被冒名，其财产被窃取等。后者如：信息的泄露、丢失，使企业的信誉受损，经济遭受损失;遭受网络攻击或故障，企业电子商务系统效率下降甚至瘫痪等。

二、安全问题的来源

1.硬件层面

电子商务的基础是网络，而网络的物理支撑是各种硬件设施，这些硬件设施会由于各种原因带来安全风险。这里有设备故障，有人为因素，也有自然灾害。硬件安全问题虽然发生的概率不大，但是一旦发生，其影响巨大。例如，2006年12月26日，我国台湾附近海域发强烈地震，造成中美海缆等6条国际海底通信光缆发生中断，附近国家和地区的国际和地区性通信受到严重影响。中国大陆至台湾地区、美国、欧洲等方向的通信线路受此影响大量中断，互联网访问质量受到严重影响。许多跨国经营的企业总部、分公司之间的网络联系中断，使生产和经营受到严重影响。这次事故给有关企业和个人造成巨大影响和严重经济损失。

2.软件层面

网络不仅需要硬件，更需要软件，各种系统软件、应用软件是网络运行所必需，是电子商务的另一个支撑点。由于技术和人为的原因，各种软件不可避免的存在各种设计的缺陷和漏洞，而且由于软件的多样性和复杂性，在配备、使用中也会有各种问题，导致电子商务系统中存在技术误差和安全漏洞。比如，由于可能存在安全漏洞，在重要信息资料保管和安全支付方面，人们仍然担心资料丢失和账户被盗等。又比如，个别软件由于自身的缺陷，在特殊的情况下，可能造成系统运行故障甚至瘫痪。

3.应用层面

(1)企业管理水平低，人员素质不高

电子商务在近几年才得到了迅猛发展，各地都缺乏足够的技术人才来处理所遇到的各种问题，许多企业技术人员的技术水平较低，不能完全胜任所承担的工作。同时企业对电子商务的管理也处于一个摸索的阶段，管理的水平不高，效率底下。这些都给电子商务带来很大的安全隐患。其中包括交易流程管理风险、人员管理风险、网络交易技术管理的漏洞的交易风险、网络管理制度漏洞等。

(2)消费者电子商务知识贫乏，安全意识不高

从总体上，讲广大消费者对于电子商务这个新生事物还比较陌生，缺乏相应的知识，还不能十分熟练的应用这一新的交易手段，造成各种人为的安全威胁。例如：有的消费者安全意识淡薄，不注意保护自己的密码等关键信息，容易导致资金被盗、冒名交易等;有的消费者对信息判断能力差，容易上当受骗;有的消费者对网络交易的流程缺乏了解，容易导致操作失误等。

3.网络攻击、商业欺诈等违法犯罪行为

以获取机密信息或者破坏为目的的网络攻击是电子商务另外一个重要安全隐患。包括病毒攻击、木马程序，以及其他各种形式的网络攻击。根据国家计算机病毒应急处理中心的统计，去年我国发现的计算机病毒有80%以上是以窃取信息等经济利益为目的的。这些网络攻击行为可能导致企业和个人的信息被盗，资金被窃取，也可能导致企业电子商务系统效率下降甚至崩溃。

同时，因为网络交易的虚拟性所引起的交易欺诈行为有恶化的趋势。例如，在中国质量万里行促进会公布的2005年我国十大投诉热点中，网络欺诈已经成为继食品、汽车、家电、旅游之后的第五大投诉热点。这说明发生在我国网络市场中欺诈行为已经比较严重，它会影响网民对网络产品的信任感并进而影响中国电子商务市场的健康发展。

4.环境层面

(1)法律环境

法律是市场经济的重要外部环境。在电子商务中，法律不仅是打击网络犯罪的武器，更是各个主体商务活动的游戏规则。

电子商务是一种全新的商务活动，并由此衍生了一系列新的法律问题，例如网络交易纠纷的仲裁、网络交易契约等问题，急需相应的法律保障，为市场制定新的、适用的游戏规则，否则就会引起混乱。由于电子商务发展较快，我国有关的立法工作显得落后，出现许多法律空白，使许多电子商务纠纷的解决缺乏法律依据，这成为电子商务中一个重要安全隐患。

(2)诚信缺乏

诚信是市场经济的基础，是市场顺利运行的前提条件。电子商务由于其开放性、虚拟性，交易双方不直接见面，在身份的判别确认、违约责任的追究等方面都存有很大困难。因此，信用风险远较传统业务中发生的概率大。

我国目前的状况是缺乏诚信，社会信用体系不完善，这给在网上利用电子商务进行交易的传统企业和个人带来不可预料的风险。包括商业欺诈、商业诽谤、在线(信息)隐私问题、知识产权的保护问题、商业信用问题等。其典型表现有：网上产品的质量问题导致消费者无法购买到合意的商品;网上支付存在着风险;网络中的合同欺诈等。

三、应对措施

1.加强网络基础设施建设

在此方面，我国已经取得了一定进步，但总体情况仍不容乐观，地区之间发展不平衡。今后国家应继续加大网络建设投入力度，进一步鼓励企业加大对信息产业的投资，进一步增强电子商务发展的网络基础。要扩大国际出口带宽的建设，解决原有网络带宽及速度较低、网络运行质量差和电信资费高等问题，并缩小东西部、南北方的差距。要采取切实措施，构建一个值得信赖并能够保证信息的完整性和安全性的多层次的开放的网络体系，改善国内用户环境。

2.加强安全技术的研究和应用

目前，电子商务应用还刚刚开始，许多方面都还不够完善，安全技术及其应用还不能满足电子商务发展的需要。这就要求我们密切关注电子商务的动向，关注电子商务安全技术，加大投入力度，研究更加先进可靠、经济适用的安全技术。

同时，安全技术不是单一的技术，技术的综合应用是保证电子商务安全的一个重要方面，因此应当加大技术应用环节的投入。可以采取的应用措施有：使用容错计算机系统或创造高可用性的计算机环境，以确保信息系统保持可用及不间断动作;灾害复原计划提供一套程序与设备来重建被中断的计算与通信服务;加密是一种广泛使用的技术来确保因特网上传输的安全;数字证书可确认使用者的身份，提供了电子交易更进一步的保护;加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞;从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

3.提高从业人员的技术水平和整体素质，提升企业的管理水平

首先，要加强现有从业人员的培训，提高现有人员的技术水平，提高其安全意识，提高其应对安全问题的能力。其次，要加强电子商务人才的培养。应充分利用各种途径和手段培养大量素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才，特别是掌握现代信息技术和现代商贸理论与实务的复合型人才。最后，要提高企业电子商务管理水平。安全问题不仅有技术的原因，管理落后也是一个重要方面，企业要建立适应电子商务发展的管理体系，培养合格的管理人才，提升整体管理水平。

4.加强法律法规建设

包括两个方面的内容：一是要完善原有的法律体系并进行必要的调整;二是为适应发展的需要制定新的法律法规。

要积极开展立法的各项准备工作，循序渐进、突出重点、先易后难，先单项后综合，在实践中摸索，在发展中完善，针对不同的法律问题，提出新的解决方案，制定相应的法律法规。不备具制定法律法规要求的，可以先制定“条例”、“细则”等规范性法律文件，逐步强化电子商务立法。

当前一项重要的任务是要抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题，应尽快制定出可以具体操作的《电子商务法》。

5.加强诚信建设

首先，建立健全社会信用制度及管理体系。要加快信用立法，完善经济活动实名制，健全个人财产申报制度，实行个人破产制度等，以形成对信用体系的强势约束力，确保个人信用制度的健康发展。

其次，建立完善的企业制度，培养优秀的企业文化。要以提高企业价值作为经营的根本，把自主性和自律性的道德标准作为企业的重要组成部分，进而建立以诚信为基础的企业文化。

再次，建立企业和个人的信用评价与监管机构。建立起以政府为背景跨部门的，包括银行、工商管理、公安、税务部门协同的企业和个人的信用评价与监管体系，实现跨部门、跨行业、跨地区的信用信息互联互通。加大失信行为的成本，以约束失信行为。

最后，加强对企业的监管力度，完善各种监管系统。