电子商务的优缺点及安全问题分析

电子商务的优缺点及安全问题分析18757摘要 1TOC\o"1-3"\h\u187571、研究背景 1218672、电子商务的概述 292912.1电子商务的概念 289942.2电子商务的特征 2214762.3电子商务的功能 3109372.4电子商务的分类 4225573、电子商务的SWOT分析 5129823.1电子商务的优势 5208093.2电子商务的劣势 598304、电子商务安全问题 683834.1有关电子商务的安全性要求 6245964.1.1对电子商务活动安全性的要求 611904.1.2电子商务的主要安全要素 6261584.2电子商务采用的主要安全技术 7120474.2.1网络节点的安全 7149614.2.2通讯的安全 868904.2.3应用程序的安全性 850084.2.4用户的认证管理 8137234.3电子商务安全需要进一步完善的配套措施 9237945、保障电子商务信息安全措施 9271925.1数据加密策略 9300715.2防火墙技术 10173345.3身份验证技术 10116315.4保障电子商务信息安全的环境性措施 11178156、结论与讨论 12176907、参考文献 12摘要：研究目的：研究电子商务的优缺点以及电子安全问题，从而有针对性的提出解决电子商务安全问题的策略。研究方法：SWOT分析，对比分析。研究结果：通过SWOT分析和对比分析得出了电子商务的优缺点和存在问题。研究结论：电子商务给企业、消费者和社会所带来的收益是不可估量的。特别是电子商务以其高效、低成本的优势，必将成为新兴的商业运作模式，推动着全球经济的快速发展。而商务信息的安全问题始终是电子商务的核心，是阻碍电子商务广泛应用的最大问题。电子商务的安全问题是能够通过综合运用各类电子商务安全技术，并不断改进和完善。关键词：电子商务；存在问题；比较分析；SWOT分析；安全问题1、研究背景电子商务以其独特的优势已成为新世纪经济增长的引擎，它对提高我国企业的竞争力产生了重大影响。世界经济的发展正进入一个信息时代，电子商务就是在这个信息经济时代产生和发展起来的事物。电子商务是利用现代信息网络进行的商务活动，是一种替代传统商务活动的新形式，尤其是利用Internet来进行以商品交换为中心的各种商务活动，可以极大的降低交易成本，增加贸易机会，提高贸易效率。随着我国加入WTO，电子商务由于其活动范围的全球化和涉及行业广泛性，正在显著地改变人们长期以来习以为常的各种传统商业贸易活动的内容及形式。然而目前我国中小企业电子商务的发展仍存在许多的问题和缺陷，并影响其发展进程。因此，有必要采取相应的对策和措施，在新形势下促进我国电子商务持续快速的发展。2、电子商务的概述2.1电子商务的概念电子商务是指在互联网(Internet)、企业内部网(Intranet)和增值网(VAN，ValueAddedNetwork)上以电子交易方式进行交易活动和相关服务活动，是传统商业活动各环节的电子化、网络化。电子商务包括电子货币交换、供应链管理、电子交易市场、网络营销、在线事务处理、电子数据交换(EDI)、存货管理和自动数据收集系统。电子商务利用到的信息技术包括：互联网、外联网、电子邮件、数据库、电子目录和移动电话等，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。人们因自己所处的地位和对电子商务参与的角度和程度的不同，给出了许多不同的定义。2.2电子商务的特征从电子商务的含义及发展历程可以看出电子商务具有如下基本特征：普遍性：电子商务作为一种新型的交易方式，将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地。方便性：在电子商务环境中，人们不再受地域的限制，客户能以非常简捷的方式完成过去较为繁杂的商业活动。如通过网络银行能够全天候地存取账户资金、查询信息等，同时使企业对客户的服务质量得以大大提高。在电子商务商业活动中，有大量的人脉资源开发和沟通，商务、基于Intranet的电子商务;按照交易对象，电子商务可以分为企业对企业的电子商务(B2B),企业对消费者的电子商务(B2C)，企业对政府的电子商务(B2G)，消费者对政府的电子商务(C2G)，消费者对消费者的电子商务(C2C)，企业、消费者、代理商三者相互转化的电子商务(ABC)等。3、电子商务的SWOT分析SWOT分别代表：strengths（优势）、weaknesses（劣势）、opportunities(机会)、threats（威胁）。3.1电子商务的优势1）互联网的快速发展。随着电脑的普及、网联网的快速发展，给电子商务的发展提供了有利的基础设施条件。中国网络购物的快速发展，得益于快速普及的网络。信用卡等的使用等都为电子商务更快更强地发展提供了很好的条件。2）信息化效率高。网上购物的便捷性：网上的商品品种很多，并在快速的发展中，几乎能满足大部分消费者的需求。网上买家面对的是无数的卖家，同时卖家面对的也是无数的买家，市场潜能很大。信息化的时代，高新技术的发展使得进入的门槛越来越低，管理维护的费用也相对要低。3）低成本。电子商务的发展使网上购物跨越了空间维度，而且节省时间。网络资源的共享以及中间环节的减少还有就是不用去花大量的投资在店铺上等都使得企业的成本相对实体经济要低得多，所以价格上也就要便宜。同时网上浏览购物，可以只在几个网页之间来回对照就可以买到自己满意且相对价格更优惠的，节约更多的时间成本。4）个性化服务。现在互联网越来越为白领人士、大学生等所普遍使用，网上购物也正成为一种潮流。现在这些阶层要么就是没有时间逛街要么就是喜欢追逐新鲜事物。他们可以在网上进行DIY。服务越来越人性化。3.2电子商务的劣势1）安全问题。交易中安全是相当重要的一个问题。然而中国现在还没有很完善的电子商务法，安全问题十分突出。消费不安全是制约电子商务发展的一个致命的因素。信用卡信息的安全，数据传输的安全，个人隐私等问题对电子商务的发展都有阻碍。当网上购物变得越来普及的今天，安全问题更亟待解决。2）观念约束。中国人受传统的思想的约束，对于网上购物存在顾虑。传统的眼见才为实的观念限制了人们网上购物的积极性。思想的约束包括看不到交易的实体、自己的隐私、信用卡信息、虚拟的交易环境等所带来的担忧。3）法律制度问题需要规范。网上交易作为一种交易手段也要受到法律的约束。但是作为一种新的交易形势，还没有健全的法律体制，使得网上交易不规范，影响网上交易的发展。而且中国还没有像重视实体产业一样重视电子商务的发展。网上开店要不要到工商局注册、要不要收税、如果收税如何制定收税标准等都是不好与实体产业的相一致，衡量的标准和方式也很难确定。现在中国的电子商务还处于起步发展阶段，需要法律的约束更需要法律的扶持。过严的约束会限制它的发展。如果要收税又要有很多手续和制度等的约束，很多网店就有可能会退出这个市场。4）缺少专业人才。21世纪的竞争就是人才的竞争。中国电子商务行业反映院校人才培养不力、专业人才信心缺失、企业缺乏优质人才。电子商务作为一个比较新的行业，专业人才比较缺乏。计算机和网络技术人才的缺乏严重限制了中国电子商务的发展。我作为电子商务专业的学生对此感受颇深。不仅企业埋怨招不到人才，电子商务专业的学生也苦恼工作难找。5）物流的限制。电子商务的最终实现是依靠发达而健全的物流的配送来实现。中国物流业还存在着很多的问题。物流体系不健全，物流配送不合理，物流成本高等都成为限制电子商务发展的因素。此外，还有相应的认证体系、技术不健全等问题，而且电子商务的普及教育培训也需加强。4、电子商务安全问题4.1有关电子商务的安全性要求4.1.1对电子商务活动安全性的要求(1)服务的有效性要求。电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。(2)交易信息的保密性要求。电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。(3)数据完整性要求。数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。(4)身份认证的要求。电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。4.1.2电子商务的主要安全要素(1)信息真实性、有效性。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。(2)信息机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。(3)信息完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。(4)信息可靠性、可鉴别性和不可抵赖性。可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。4.2电子商务采用的主要安全技术4.2.1网络节点的安全防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。4.2.2通讯的安全在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。4.2.3应用程序的安全性即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误。4.2.4用户的认证管理(1)身份认证。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。(2)CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。(3)安全套接层SSL协议。安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Ht2tp、Ftp、Telnet等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成:服务器认证和用户认证。4.3电子商务安全需要进一步完善的配套措施电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:(1)突破关键技术受制于人的瓶颈。(2)我国应尽快对电子商务的有关细则进行立法。(3)大力开发大型商务网站,发展与之相配套的物流公司。(4)为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。(5)建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。(6)对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。5、保障电子商务信息安全措施5.1数据加密策略加密技术是电子商务的最基本措施,最初主要用与保证数据在存储和传输过程中的保密性。随着电子商务的发展,对数据完整性以及身份鉴定技术提出了新的要求,数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。加密技术是一种主动的信息安全防范策略,利用一定的加密算法.将明文转换成毫无意义的密文。阻止非法用户理解原始数据,从而确保数据的保密性。比较广泛使用的加密技术有两种:一是对称密钥加密体制,一是非对称密钥加密体制。它们的区别在于密钥的类型不同。5.1.1对称密钥加密体制对称密钥加密,又称私钥加密(SecretKeyEncryption),即数据加密和解密采用的都是同一个密钥,因而其安全性依赖于所持有密钥的安全性,其最大的优点就是速度快,适合于对大数据量进行加密,但其最大的缺点是在大量用户的情况下密钥答理复杂,而且无法完成身份认证等功能,不便于应用于网络开放的环境中。5.1.2非对称密钥加密体制非对称密钥加密体制,又称公钥加密(PublicKeyEncryp2tion),数据加密和解密采用不同的密钥,需要使用一对密钥来分别完成加密和解密操作。在非对称密钥加密体制中密钥被分解为一对。这对钥中的在何一把都可作为公开密钥,加密密钥,通过非保密方式向他人公开。而另一把则作为私用密钥加以保存。私用密钥只能由数据的接受者掌握。利用公钥体系可以方便地实现对用户的身份认证,也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密,信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解密,如果能够解开,说明信息确实为该用户所发送,这样就方便地实现了对信息发送方身份的鉴别和认证。通常在实际应用中将公钥密码体系和数字签名算法结合使用.在保证数据传输完整性的同时完成对用户的身份认证。5.2防火墙技术现有的防火墙技术包括两大类:数据包过滤和代理服务技术。其中,最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避兔对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于:(1)防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击。(2)防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。5.3身份验证技术5.3.1认证系统网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做CertificateAuthority,通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA,否则,一切网上的交易都没有安全保障。5.3.2SSL协议SSL协议(SecureSocket,Layer,安全套接层)主要目的是解决TCP/IP协议不能确认用户身份的问题,在Socket上使用非对称的加密技术,以保证网络通信服务的安全性。SSL协议易于实现。SSL协议还是最值得信赖的协议。但是由于SSL协议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方的安全传输和信任关系。5.3.3SET协议SET(SecureElectronicTransaction)安全电子交易协议是用于Internet上的以信用卡为基础的电子支付系统协议。主要应用于B/C模式中保障支付信息的安全性。SET协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。它的交易规范成为了未来电子商务发展的方向。5.4保障电子商务信息安全的环境性措施目前,基于Internet的电子商务应用还不成熟,许多内外部环境还不够完善,相应的法律、法规,相关的标准还都没有建立,跨部门、跨地区的协调存在较大问题。5.4.1构造我国完善的电子商务体系积极参与国际合作,融合国际电子商务框架,构造适合中国国情的电子商务体系。作为一个主权国家,为了维护国家的利益和经济安全,在电子商务相关技术方面注重自主知识产权技术的开发,不能全部依赖进口。因此,必须加大投资力度,重点支持电子商务技术的研发工作。5.4.2加强法律法规建设针对利用信息高科技和信息系统等新型犯罪,政府部门应尽快组织力量,结合电子商务的客观需要,对现有的与电子商务相关的法律法规,利用法律与犯罪作斗争是人类历来的做法。如:《中华人民共和国刑法》、《全国人大常委会关于互联网安全的决定》、《合同法》、《著作权法》等进行修改。在这些法律中,可以适当增加对网络犯罪处罚的条款,增加对网络作品著作权保护的条款;对电子