8章电子商务交易系统安全管理

第8章电子商务交易系统安全管理1．熟悉网网络中介介服务规规范、非非金融机机构支付付服务管管理、网网络金融融机构的的风险管管理；2．了解电电子合同同安全管管理的基基本概念念、特点点、功能能；3．了解电电子商务务系统安安全管理理涉及的的数字水水印版权权保护技技术、透透明加密密技术、、动态口口令身份份认证技技术等关关键技术术。学习目标标与要求求硅谷动力力网站报报道:美国佐治治亚州19岁的青年年格罗高高利·克利麦克克,涉嫌诈骗骗eBay网站的顾顾客,有可能被被判监禁禁40年。他在在eBay网站上出出售ATI显卡,售价从20美元至250美元不等等。克利利麦克成成功地完完成了20宗交易,共收到汇汇款4500美元,但是他没没有给任任何顾客客寄出商商品。受受骗的顾顾客报警警之后,警方逮捕捕了克利利麦克并并搜查了了其住所所,没有发现现任何显显卡产品品。克利利麦克因因涉嫌故故意诈骗骗罪,将受到21项指控,可能面临临40年的牢狱狱生涯。。警方提提醒网上上消费者者,一定要提提防这种种“空手手套白狼狼”的罪罪犯。易趣网曾曾携手公公安部门门和工商商部门联联合推出出了“网网上交易易安全宣宣传月””系列活活动,易趣网在在首页张张贴了给给消费者者和网上上商家的的提示,提醒广大大购物者者交易前前仔细阅阅读易趣趣网总结结的《网络交易易安全ABC》》,呼吁所有有网上商商家守法法经营、、诚信为为本,并告诫大大众网上上诈骗或或销赃都都是违法法行为。。种种事实实表明,电子商务务交易系系统的安安全管理理已成为为电子商商务发展展进程中中必须解解决的重重要问题题。本章章主要介介绍电子子商务安安全体系系管理及及有关运运作情况况。8.1网网络交易易中介服服务商管管理8.1..1网络交易易中介服服务的相相关概念念所谓网络络交易,是指发生生在信息息网络中中企业与与企业之之间(BusinesstoBusiness,,简称B2B))、企业和和消费者者之间(BusinesstoConsumer,,简称B2C))以及个人人与个人人之间(ConsumertoConsumer,,简称C2C))通过网络络通信手手段缔结结的交易易。提供供这种网网络交易易的计算算机网络络环境通通常称为为网络交交易平台台,网络交易易平台实实质上是是为各类类网络交交易(包括B2B、B2C和C2C交易)提供网络络空间以以及技术术和交易易服务的的计算机机网络系系统。8.1..2网络交易易中介服服务规范范管理《网络交易易平台服服务规范范》的发布为为电子商商务企业业完善制制度并接接受社会会各界的的监督提提出了切切实可行行的规范范体系,为各地方方电子商商务立法法或电子子交易立立法提供供了参考考和支持持。同时时,网络交易易中介服服务商和和交易当当事人应应当遵守守《中华人民民共和国国民法通通则》、《中华人民民共和国国合同法法》、《中华人民民共和国国电子签签名法》、《互联网信信息服务务管理办办法》及《中华人民民共和国国消费者者权益保保护法》、《中华人民民共和国国广告法法》等相关法法律法规规,实现行业业自律。。《网络交易易平台服服务规范范》主要从下下述两方方面作了了规范。。8.1..2.1对网络交交易交易易中介服服务商的的要求《网络交易易平台服服务规范范》对网络交交易中介介服务商商提出了了以下要要求:(1)制度建设设。(2)运营管理理。(3)信息监管管。(4)用户注册册管理。。(5)用户协议议。8.1..2.2对网络交交易服务务的规定定《网络交易易平台服服务规范范》对网络交交易服务务的规定定如下:(1)交易规则则的制定定。(2)交易规则则的显示示。(3)交易规则则的修改改。(4)电子签名名的使用用(5)网络广告告管理。。(6)资料存储储管理。。8.2非金融机机构支付付服务管管理2010年6月中国人人民银行行公布《非金融机机构支付付服务管管理办法法》（以下简简称“管管理办法法”）,并于2010年9月1日实施。。该管理理办法中中涉及了了三类货货币资金金转移服服务，包包括网络络支付、、预付卡卡的发行行与受理理、银行行卡收单单，其中中网络支支付一项项属于支支付服务务类别，，其余两两类与支支付服务务关联性性甚低，，主要与与第三方方支付企企业经营营网络支支付业务务的管理理问题有有关。8.2..1出台《非金融机机构支付付服务管管理办法法》的必要性性在“管理理办法””颁布前前，国内内的第三三方支付付机构主主要有PayPal（隶属易易趣公司司）、支支付宝（（阿里巴巴巴旗下下）、财财付通（（腾讯公公司）、、易宝支支付（Yeepay）、快钱钱（99bill）、百付付宝（百百度旗下下）、网网易宝（（网易旗旗下）、、环迅支支付、汇汇付天下下等，各各类第三三方支付付企业多多达300余家。据据中国电电子商务务研究中中心调查查显示，，截至2011年上半年年，国内内第三方方支付企企业市场场份额中中支付宝宝排名第第一，市市场占有有率为47.2%；排在第第二的为为财付通通，市场场份额为为20.3%；第三为为银联在在线，市市场份额额占据9%；而快钱钱、汇付付天下、、环迅支支付、易易宝支付付、首信信易支付付、网银银在线等等紧随其其后。这这些数据据显示，，第三方方支付领领域群雄雄混战，，涉及领领域及利利益群体体广泛且且呈现惊惊人的扩扩展态势势，存在在的风险险和隐患患也日益益突出，，需要行行政力量量介入管管理，将将网络支支付纳入入管理范范围。8.2..2《《非金融机机构支付付服务管管理办法法》的主要内内容及影影响“管理办办法”的的颁布对对第三方方支付企企业提了了出较高高的要求求，总的的来说，，主要从从注册资资本、许许可证申申领条件件、资金金管理的的限制、、禁止以以沉淀资资金盈利利等四个个方面对对第三方方支付的的行业准准入和管管理设置置了门槛槛。8.2..2.1较高的注注册资本本“管理办办法”要要求拟在在全国范范围内从从事支付付业务须须有一亿亿的注册册资本，，在省内内从事支支付业务务须有三三千万的的注册资资本，且且是实缴缴的货币币资本；；而此前前ICP证所要求求的省内内经营注注册资本本仅为100万、全国国或跨省省经营注注册资本本为1000万。该管管理办法法的出台台对资金金雄厚的的第三方方支付机机构没有有影响，，对众多多小型的的第三方方支付企企业来说说则是不不低的门门槛。8.2..2.2严格的许许可证申申领条件件“管理办办法”要要求申领领《支付业务务许可证证》的申请方方的主要要出资人人应当符符合以下下条件：：（1）截至申申请日，，连续为为金融机机构提供供信息处处理支持持服务2年以上，，或连续续为电子子商务活活动提供供信息处处理支持持服务2年以上；；（2）截至申申请日，，连续盈盈利2年以上。。该条件件暗含了了这样的的要求：：即若要要成立第第三方支支付企业业，必须须是银行行愿意让让该企业业提供信信息处理理支持服服务；或或者与支支付宝、、财付通通一样，，拥有和和挂靠自自己的电电子商务务平台网网站，自自给自足足提供信信息处理理支持服服务。这这个条件件导致新新的企业业准入困困难，需需要有相相匹配的的资金实实力。8.2..2.3资金管理理的严格格限制“管理办办法”第第30条规定：：支付机机构的实实缴货币币资本与与客户备备付金日日均余额额的比例例，不得得低于10%。即支付付机构必必须有充充足的资资金押在在银行里里，否则则交易额额将受到到限制。。以支付付宝为例例，若其其单日交交易额最最高达到到12亿，则其其实缴货货币资本本必须保保证有1.2亿元。这这个条件件可能会会导致第第三方支支付企业业分化严严重，产产生强者者越强，，弱者愈愈弱的马马太效应应。8.2..2.4禁止以沉沉淀资金金盈利“管理办办法”第第24条规定：：“支付付机构接接受的客客户备付付金（客客户备付付金即准准备在买买家收货货确认后后打给卖卖家的资资金，也也称交易易保证金金）不属属于支付付机构的的自有财财产，支支付机构构只能根根据客户户发起的的支付指指令转移移备付金金，禁止止支付机机构以任任何形式式挪用客客户备付付金。这这使得所所有第三三方支付付企业不不可能再再靠沉淀淀资金（（客户账账户中的的充值以以及备付付金）产产生利息息盈利，，但管理理办法对对备付金金的利息息归属和和管理仍仍没有规规定。8.3网网络金融融机构及及安全管管理8.3..1网络金融融与网络络金融机机构管理理所谓网络络金融,又称电子子金融(E-finance),是指在国国际互联联网上实实现的金金融活动动,包括网络络金融机机构、网网络金融融交易、、网络金金融市场场和网络络金融监监管等。。它不同同于传统统的以物物理形态态存在的的金融活活动,是存在于于电子空空间中的的金融活活动,其存在形形态是虚虚拟化的的,运行方式式是网络络化的。。它是信信息技术术特别是是互联网网技术飞飞速发展展的产物物,是适应电电子商务务发展需需要而产产生的、、网络时时代的金金融运行行模式。。网络金融融机构的的管理应应在两方方面创新新:一方面要要放弃过过去那种种以单个个机构的的实力去去拓展业业务的战战略管理理思想,充分重视视与其他他金融机机构、信信息技术术服务商商、资讯讯服务提提供商、、电子商商务网站站等的业业务合作作,在市场竞竞争中实实现双赢赢;另一方面面,网络金融融机构的的内部管管理也趋趋于网络络化,传统商业业模式下下的垂直直式组织织结构将将被一种种网络化化的扁平平型组织织结构所所取代。。由于信息息技术的的发展,网络金融融机构对对网络金金融监管管呈现自自由化和和国际合合作两大大特点,表现为:一方面,过去分业业经营和和防止垄垄断的传传统金融融监管政政策被市市场开放放、业务务融合和和机构集集团化的的市场规规则所取取代;另一方面面,随着在网网络上进进行的跨跨国界金金融交易易量越发发巨大,一国的金金融监管管部门已已经不能能完全控控制本国国的金融融市场活活动了,因此,国际间的的金融监监管合作作就成了了网络金金融时代代金融监监管的新新趋势。。8.3..2网网络金融融机构的的风险管管理8.3..2.1必要性我国也应应尽快出出台有关关管理办办法,以加强对对金融机机构信息息技术风风险的监监管。其其重要意意义有三三:(1)通过制定定有关办办法与指指引,积极引导导金融机机构提高高信息技技术风险险管理水水平,使得信息息技术能能够更好好地支持持银行战战略目标标,使金融机机构的信信息资源源能够得得到充分分有效的的利用,在最大限限度上规规避由于于信息技技术的应应用而带带来的策策略风险险、操作作风险、、信誉风风险和法法律风险险;(2)通过研究究国外银银行业信信息化建建设现状状与未来来发展趋趋势,掌握规律律,积极引导导我国金金融机构构提升信信息化建建设水平平,逐步提高高其竞争争力;(3)定期发布布金融机机构信息息化建设设情况及及信息资资产风险险情况,提高金融融机构的的业务透透明度。。8.3..2.2网络银行行面临的的风险随着网络络银行的的发展,其风险问问题日益益突出。。网络银银行的风风险问题题表现在在三个方方面:一是原有有银行风风险有了了新的表表现形式式;二是产生生了不少少新的风风险;三是网络络银行存存在风险险放大效效应。8.3..2.2.1原有银行行风险的的新表现现形式(1)攻击者增增多。攻攻击传统统银行的的人往往往局限于于某一块块地理区区域,如特定的的国家、、省、市市、县区区域内,而网络银银行的攻攻击者可可来自世世界各地地。(2)攻击方法法更隐蔽蔽。(3)攻击范围围增大。。8.3..2.2.2网络银行行面临的的新风险险网络银行行在充分分享受现现代网络络技术的的便捷时时,也面临着着网络技技术带来来的一系系列的新新的风险险。下面面简要作作一介绍绍:(1)从技术的的角度看看面临的的风险。。技术风风险突出出表现在在Internet的安全问问题上。。网络银银行面临临被闯入入者攻击击的危险险,同时可能能给闯入入者攻击击银行其其他系统统如银行行内部决决策信息息系统提提供了入入口。其其原因有有四:●认证环节节薄弱。。●系统易易被监视视。●信息易易被截取取。●操作系系统存在在漏洞。。(2)从经济的的角度看看面临的的风险。。经济风风险主要要包括三三方面:●银行结算算风险。。●银行管管理风险险。●信用风风险。(3)从法律的的角度看看面临的的风险。。这主要要指以下下两种风风险:●网络犯罪罪风险。。●法律风风险。8.3..2.2.3网络银行行的风险险放大效效应目前Internet已成为网网络银行行业务赖赖以运行行的支撑撑体系,但采用网网络技术术的银行行计算机机系统也也使得金金融风险险有放大大的效应应。原因因有三:(1)在网络空空间内,所有经济济活动表表现为货货币信息息的传递递与调拨拨。在网网络内流流动的已已不是货货币现金金,而是代表表资金的的数字化化信息,该信息所所代表的的货币量量远远超超过了实实际的货货币拥有有量。(2)网络空间间是一个个申请网网络账号号即可进进入的自自由流动动空间,该网络内内的各个个节点联联结成一一个整体体,网络节点点之间有有着紧密密的关联联度。在在一个网网络节点点发生的的风险可可能会波波及整个个网络,甚至导致致银行整整个经营营网络瘫瘫痪。(3)高科技的的网络技技术所具具有的快快速远程程处理功功能,虽然为便便捷、快快速的金金融服务务和产品品提供了了强大的的技术支支持,但也加快快了风险险积聚的的过程,风险积聚聚与发生生可能就就在同一一时间内内,在这种情情况下,网络银行行可能来来不及察察觉风险险并采取取防范、、补救措措施,就已遭受受了一连连串的资资金损失失。因为网络络银行存存在上述述风险,所以必须须加强风风险管理理,否则,网络银行行的存在在和发展展将受到到严重的的威胁。。8.3..2.3网络银行行的风险险管理根据风险险管理理理论,风险管理理是由风风险识别别、风险险衡量、、风险处处理和风风险管理理效果评评价四个个阶段构构成的。。网络银银行的风风险管理理也必须须围绕这这四个阶阶段进行行。8.3..2.3.1风险识别别阶段8.3..2.3.3风险处理理阶段8.3..2.3.2风险衡量量阶段8.3..2.3.4风险管理理效果评评价阶段段8.3..2.4信息技术术风险监监管的手手段与内内容借鉴国际际通行做做法,我国也应应制定信信息技术术监管办办法,用于指导导银行业业金融机机构加强强IT治理结构构建设,制定信息息安全管管理策略略和程序序,加强信息息安全管管理,防范和化化解由于于信息技技术的应应用所带带来的技技术风险险。具体体来说包包括两方方面:(1)督促银行行业金融融机构加加强IT治理结构构建设。。(2)制定信息息技术风风险管理理一般办办法。办法应覆覆盖信息息安全策策略、组组织安全全、人员员安全、、物理与与环境安安全、存存取控制制、信息息分类与与控制、、通信与与运营安安全、业业务持续续性计划划等几个个方面。。●信息安安全策略略。●组织安安全。●人员安安全。●物理与与环境安安全。●资产分分类。●通信与与运营管管理。●存取控控制。●系统开开发和维维护。●业务持持续性管管理。●合规性性管理。。8.3..3我国网络络金融机机构管理理的问题题及对策策8.3..3.1我国网络络银行的的发展及及问题随着我国国电子商商务大发发展,我国网络络银行业业务已由由广告宣宣传走向向实际应应用,且业务发发展速度度惊人。。目前,我国银行行业的网网络金融融业务主主要包括括:对公及个个人账务务查询、、企业内内部资金金转账、、银行转转账、信信用卡申申请、代代收费业业务、网网上购物物支付及及各种信信息咨询询业务。。从网上上业务内内容来看看,我国银行行的网上上服务还还处于初初级阶段段,即对初级级的银行行业务的的网络化化阶段,这一阶段段的特点点是:业务种类类不多,业务量较较小,网上业务务还不能能成为银银行盈利利的手段段。我国网络络银行业业务的发发展虽只只有短短短的几年年时间,但这几年年的发展展也暴露露出我国国银行业业在技术术、管理理等诸多多方面的的问题。。根据中中国互联联网信息息中心的的统计报报告和市市场调查查,我国互联联网用户户最为关关心也最最为不满满的两大大问题是是安全与与支付,这二者均均与金融融系统有有着密切切的关系系。8.3..3.1.1安全问题题这是最关关键的问问题。网网上交易易的安全全性主要要包括三三个方面面,即确保银银行身份份的正确确、确认认客户身身份和保保证数据据的保密密性及完完整性。。这些安安全要求求目前都都有相应应的实现现技术。。要确保保安全,必须有一一套健全全的安全全管理制制度来规规范人的的行为,并且还应应当有一一套安全全稽核的的方法进进行事后后监督以以便及时时发现问问题。而而这些往往往在人人们讨论论网上银银行的安安全时容容易被忽忽略。在安全系系统中认认证中心心(CA))的作用是是非常重重要的,数字认证证最大的的服务对对象是电电子商务务用户,第三方的的认证中中心将会会在商家家与消费费者之间间建立一一个信任任的桥梁梁,所以,可以说所所有的电电子商务务活动均均离不开开认证中中心的参参与。网网上的交交易必须须有统一一的认证证系统来来保证安安全,而目前我我国尚未未建立国国家级的的认证中中心体系系,这是一大大不足。。现在各各金融机机构的支支付结算算业务要要么主要要在本行行系统账账户进行行;要么像招招商银行行那样实实行最高高交易额额的限制制性措施施,这些都极极大地阻阻碍了电电子商务务的发展展。8.3..3.1.2支付与结结算支付和结结算问题题是阻碍碍电子商商务发展展的最大大因素之之一。从从目前各各主要的的电子商商务网站站和门户户网站的的支付方方式来看看,网上支付付只是众众多支付付方式中中的一种种,还远远不不能满足足网上购购物的需需要。网网上支付付不能满满足电子子商务发发展的主主要原因因,除了安全全问题以以外,就是我国国金融业业的支付付系统和和支付工工具已十十分落后后,经营管理理方式过过时。网网上支付付还有另另一个亟亟待解决决的问题题就是结结算效率率。目前前主要发发卡行的的结算速速度有很很大的差差别,有时购货货款的结结算时间间偏长,虽然客户户信用卡卡上的钱钱已经划划出,但相关网网站却一一直得不不到确认认通知,给不少消消费者和和网站造造成了相相当大的的困扰,影响了交交易的成成交。8.3..3.2转变金融融管理者者和经营营者的管管理观念念在我国即即将进入入信息时时代的时时候,这一问题题显得尤尤为重要要。在网网络经济济环境下下,管理理念念将发生生巨大的的变化,特别是在在对待竞竞争与合合作的关关系上,需要更加加深入的的认识。。8.3..3.3对我国网网络金融融机构管管理的建建议我国网络络金融机机构的管管理,应该把网网络支付付系统的的建设摆摆在重要要位置,同时要注注重建设设现代化化的金融融法制体体系,并改革专专业化金金融体制制。8.3..3.3.1加快支付付系统和和金融网网络系统统的建设设现代化的的支付系系统是现现代化金金融系统统的物质质基础,也是未来来网络经经济的重重要组成成部分。。到目前前为止我我国仍然然没有实实现真正正的支付付现代化化,支付系统统的建设设仍需要要加快进进行。近近期内,我国支付付系统建建设应加加快解决决以下几几方面的的问题:(1)网络基础础设施的的建设问问题。(2)支付工具具问题。。(3)安全问题题。8.3..3.3.2建设现代代化的金金融法制制体系市场经济济是法制制经济,未来的以以电子商商务为代代表的网网络经济济将更加加强调法法制。我我国在法法制建设设上仍然然比较落落后,这种落后后不仅仅仅表现在在法律体体系不完完善上,还表现在在法律的的制定常常常跟不不上社会会环境的的发展和和变化,以致由保保护社会会发展的的力量变变成了阻阻碍社会会发展的的力量。。如1995年制定的的《票据法》中就有明明显不适适应网络络经济发发展的内内容:它规定票票据的出出票人或或持票人人必须按按照法定定条件在在票据上上签章,票据方有有法律效效力。这这一规定定事实上上否定了了经过数数字签章章认证的的非纸质质的电子子票据的的支付和和结算方方式,很可能会会在很大大程度上上阻碍电电子商务务和网络络金融业业务的发发展。因因此,必须尽快快修改现现有法律律条款或或重新制制定适合合电子货货币结算算特点的的法律法法规。8.3..3.3.3改革专业业化金融融体制由于信息息技术的的飞速发发展,金融结构构将发生生很大的的变化。。这种变变化在美美国已十十分明显显,由此引起起了其金金融政策策的改变变,整个金融融系统由由分业经经营开始始向综合合化、全全能化经经营方向向发展。。这种发发展是市市场发展展的必然然结果。。我国加入入世贸组组织以后后,外资金融融机构也也将全面面进入我我国的金金融市场场。我国国的金融融机构如如果还只只能提供供专业化化的服务务而不能能提供全全能型的的服务,在激烈的的竞争中中就只能能处于不不利的地地位。因因此，我我国金融融机构必必须设计计与我国国国情相相适应的的全能型型模式,在保持金金融系统统稳定发发展的前前提下逐逐步改革革专业化化的金融融体制。。8.4电子合同同安全管管理随着电子子技术和和电子商务务活动的发发展，电电子合同同得以出出现。电电子合同同与传统统的合同同有着显显著的区区别，电电子合同同的当事事人、要要约、承承诺及合合同的效效力问题题都是现现代立法法中的一一个难点点，这也也使得电电子商务务活动中中相关电电子合同同的安全全管理有有其特殊殊性。8.4..1电子合同同的基本本概念电子合同同，又称称电子商商务合同同，是指指通过电电子计算算机网络络系统设设立的平平等民事事主体之之间权利利义务关关系,并以电子子邮件和和电子数数据交换换等形式式签订的的协议。。根据联合合国国际际贸易法法委员会会《电子商务务示范法法》以及世界界各国颁颁布的电电子交易易法，同同时结合合我国《合同法》的有关规规定，电电子合同同可以界界定为：：电子合合同是双双方或多多方当事事人之间间通过电电子信息息网络以以电子的的形式达达成的设设立、变变更、终终止财产产性民事事权利义义务关系系的协议议。通过上述述定义可可以看出出电子合合同是以以电子的的方式订订立的合合同，其其主要是是指在网网络条件件下当事事人为了了实现一一定的目目的，通通过数据据电文、、电子邮邮件等形形式签订订的明确确双方权权利义务务关系的的一种电电子协议议。8.4..2电子合同同的基本本特征电子合同同与传统统合同相相比，有有相同的的地方，，同时又又具有其其特点。。如电子子合同虽虽然也是是一种民民事法律律行为，，也必须须具备要要约和承承诺两个个要件，，但是在在形式上上发生了了很多的的变化，，要求技技术化化与标准准化。其其基本特特征如下下:(1)电子合同同的要约约和承诺诺是以数数据电文文的方式式通过计计算机互互联网进进行的。。(2)电子合同同交易主主体具有有虚拟性性和广泛泛性。(3)电子合同同的成立立、变更更和解除除无需采采用传统统的书面面形式，，具有电电子化的的特点。。(4)电子合同同生效的的方式、、时间和和地点与与传统合合同不同同，勿需需经过传传统的签签字。（5）电子合合同必须须设定相相应的标标准，需需要相应应的技术术支持。。8.4..3电子合同同安全管管理面临临的挑战战电子合同同面临的的安全挑挑战:就现阶段段来说保保证电子子合同安安全的相相关技术术已发展展成熟，，如电子子签章技技术、数数字水印印技术等等，但是是与这些些技术相相配套的的管理工工程没有有建立，，从而就就很难保保证电子子合同的的监管工工作。这这些配套套措施实实施起来来需要多多方面的的配合，，比如要要合理的的管理电电子合同同、要赋赋予电子子合同同同等的法法律效力力，保证证电子合合同的合合法有效效、比如如还要求求有一套套完善的的解决电电子合同同争端的的措施等等。而且目前前与电子子合同相相关的法法律依然然不完善善，这就就从很大大程度上上影响了了电子合合同的交交易和监监管力度度。电子合同同面临的的监管问问题主要要体现在在以下几几个方面面:一是电子子合同主主体法与与电子合合同监督督和管理理的程序序法不能能适应目目前阶段段的需求求。二是是目前的的工商管管理登记记制度不不能对电电子交易易主体进进行监督督和管理理，并且且也没有有统一的的认证机机构。三三是工商商执法人人员对电电子交易易不是很很了解，，不能快快速地对对电子市市场信息息加以有有效收集集、整理理和分析析，从而而影响电电子合同同监督和和管理的的力度。。8.5电子商务务交易系系统安全全管理涉涉及的关关键技术术电子商务务系统安安全管理理涉及的的关键技技术主要要包括数数字水印印版权保保护技术术、透明加密密技术、、动态口口令身份份认证技技术等。。8.5..1数字字水印版版权保护护技术在电子商商务系统统中，数数字知识识产权（（包括网网站上的的艺术图图形、图图标和音音乐）所所面临的的困境是是如何在在网站上上发表知知识产权权作品，，同时又又能保护护这些作作品。数数字信息息由于可可以方便便地完全全复制，，并在网网络环境境中广泛泛散发，，大范围围的严重重侵权拷拷贝，而而数字水水印技术术（DigitalWatermarking）则可为为版权保保护、信信息隐藏藏等问题题提供一一个潜在在的有效效解决方方法，因因而受到到了音像像、出版版、影视视和软件件等行业业的高度度关注。。8.5..1.1数字水印印技术的的概念数字水印印技术是是一种有有效的数数字信息息产品版版权保护护和信息息资源安安全维护护技术，，通过在在数据信信息（如如文本、、图像、、声音、、视频信信号等））中嵌入入能证明明版权归归属或跟跟踪侵权权行为的的信息，，如序列列号、公公司标志志、有特特殊意义义的标识识等，来来达到版版权保护护、信息息隐藏、、防篡改改和鉴别别数据文文件的真真伪等作作用。同同时，通通过对数数字水印印的检测测和分析析，保证证数字信信息的完完整可靠靠性，从从而成为为知识产产权保护护和数字字信息防防伪的有有效手段段。在绝绝大多数数情况下下，希望望增添的的信息是是不可见见的或者者不可察察觉的。。在有些些特定场场合，数数字水印印的版权权保护标标记是可可见的，，并且在在不破坏坏数据本本身质量量的情况况下，无无法将数数字水印印去掉。。8.5..1.2数字水印印技术的的基本特特点通过一定定的算法法将一些些标志性性信息直直接嵌入入到多媒媒体内容容当中，，但不影影响原内内容的价价值和使使用，并并且不能能被人的的感知系系统觉察察或注意意到，只只有通过过专用的的检测器器或阅读读器才能能提取。。其中，，水印信信息可以以是作者者的序列列号、公公司标志志、有特特殊意义义的文本本、数字字等信息息，可以以用来识识别数字字媒体作作品的来来源、版版本、拥拥有者、、发行人人等对数数字产品品的拥有有权。8.5..1.3数字水印印技术的的作用数字水印印的作用用对象（（载体）），包括括文本、、图像、、音频、、视频以以及其它它多媒体体数据，，可以判判别数字字产品是是否受到到保护，，监视被被保护数数据的传传播、鉴鉴别媒体体内容的的真伪和和非法拷拷贝作品品、解决决版权纠纠纷并为为法庭提提供证据据等。例例如，数数字产品品的所有有者可用用密钥产产生一个个水印，，并将其其嵌入原原始数据据中，然然后公开开发布其其含水印印的作品品；也可可以在作作品的每每一复制制件中加加入唯一一的水印印来保护护作者的的合法权权益，一一旦出现现未经授授权的复复制件，，就可以以根据此此复制件件而恢复复的水印印，确定定其复制制的来源源。8.5..2透明加密密技术8.5..2.1透明加密密技术的的含义透明加密密技术是是近年来来针对企企业文件件保密需需求应运运而生的的一种文文件加密密技术。。所谓透透明，是是指对使使用者来来说是未未知的。。当使用用者在打打开或编编辑指定定文件时时，系统统将自动动对未加加密的文文件进行行加密，，对已加加密的文文件自动动解密。。文件在在存储介介质上是是密文，，在内存存中是明明文。一一旦离开开使用环环境，由由于应用用程序无无法得到到自动解解密的服服务而无无法打开开，从而而起到保保护文件件内容的的目的。。8.5..2.2透明加密密技术的的应用系系统在Windows2000//XP系统中，，微软推推出加密密文件系系统(EncryptingFileSystem,EFS),,支持文件件系统加加密。该该系统使使用方便便，用户户不需要要掌握加加密体系系框架就就能对数数据进行行加密。。EFS采用对称称加密算算法和非非对称加加密算法法相结合合的方式式进行加加密。首首先，系系统随机机产生一一个文件件加密密密钥(FileEncryptionKey,FEK)对文件进进行加密密，然后后用公钥钥对FE进行加密密，并把把加密后后的FEK和加密文文件一起起存储，，形成一一个特殊殊的属性性字段，，即数据据解密字字段(DataDecryptionField，DDF))。解密时时，首先先用私钥钥对FEK进行解密密，然后后用解密密的FEK完成对加加密数据据的解密密。但EFS只能对指指定的NTFS格式文件件加密，，不能对对某一类类文件自自动加密密，加密密算法固固化，不不符合我我国信息息安全领领域的要要求；而而且微软软未公开开该加密密系统源源代码，，第三方方开发者者很难对对系统自自由升级级改造。。在Windows操作系统统环境下下，NDIS网络驱动动接口规规范己经经是比较较成熟的的技术。。目前应应用NDIS驱动技术术的产品品多数集集中在网网络数据据包的过过滤、网网络监测测器、个个人防火火墙的研研究与实实现方面面，而将将其应用用在数据据文件过过滤加密密方面较较少。另另外，国国内一些些研究学学者利用用文件系系统过滤滤驱动实实现的文文件加密密系统，，一般都都停留在在理论研研究阶段段。8.5..3动态口令令身份认认证技术术8.5..3.1静态口令令的不足足与动态态口令的的产生在身份认认证方法法中，最最传统且且普遍的的方法是是采用““用户名名+静态口令令”的方方式来进进行用户户身份的的认证。。对于这这种传统统的静态态口令，，如果用用户不去去修改它它，那么么这个口口令就是是固定不不变的、、长期有有效的，，因此，，它是一一种静态态的认证证信息。。正因为为这种认认证信息息的静态态性，导导致传统统口令在在很多情情况下都都有着发发生口令令泄密的的危险。。例如，，本书第第7章的导入入案例，，受害人人遭遇了了一个网网上银行行的钓鱼鱼网站，，其伪造造与银行行比较相似似的主页页和域名名，如果果用户不不小心进进入了其其网页，，输入自自己的银银行帐号号和口令令进行网网上银行行操作，，这时用用户的帐帐户口令令就被非非法窃取取，其帐帐户内的的资金被被转移，，可能造造成巨大大的经济济损失。。因此，，使用静静态口令令认证具具有以下下缺陷：：(1)输入泄密密。(2)传输泄密密。(3)特征性泄泄密。(4)共享性泄泄密。(5)记录泄密密。(6)可被穷举举攻击。。(7)泄密不可可知性。。(8)不方便性性。(9)长期性。。8.5..3.2动态口令令身份认认证的实实现方式式动态口令令的实现现方式归归纳起来来主要有有以下三三种:(1)口口令序列列认证方方式。(2)时时间同步步认证方方式。(3)挑挑战/应应答认证证方式。。8.5..3.3动态口令令身份认认证技术术的特点点研究与实实践证明明，动态态口令认认证技术术主要具具有以下下特点：：(1)动动态性。。(2)随随机性。。(3)一一次性。。(4)抗抗偷看窃窃听性。。(5)抗抗穷举攻攻击性。。8.5..3.4典型动态口令令身份认认证应用