一丶我国电子商务发展现状与趋势分析 (一)全球电子商务发展概况 纵观全球电子商务市场,各地区发展并不平衡,呈现出美国、欧盟、亚洲“三足鼎立”的局面。 美国是世界最早发展电子商务的国家,同时也是电子商务发展最为成熟的国家,一直引领全球电子商务的发展,是全球电子商务的成熟发达地区。欧盟电子商务的发展起步较美国晚,但发展速度快成为全球电子商务较为领先的地区。亚洲作为电子商务发展的新秀市场潜力较大,但是近年的发展速度和所占份额并不理想,是全球电子商务的持续发展地区。 (二)我国电子商务发展概况 1我国电子商务的现状 我国电子商务发展呈现典型的块状经济特征,东南沿海属于较为发达地区,北部和中部属于快速发展地区,西部则相对落后。 2我国电子商务发展趋势 (1)电子商务的发展环境将不断完善,发展动力持续增强 随着市场经济体制进一步完善,推进经济增长方式转变和结构调整的力度继续加大,发展电子商务的需求将会更加强劲。电子商务将被广泛应用于生产、流通、消费等各领域和社会生活的各个层面。这将促使全社会电子商务的应用意识不断增强,有关电子商务的政策、法律、法规将不断出台,电子商务发展的政策法律环境将不断完善。同时,也促使物流、信用、电子支付等电子商务支撑体系建设更全面的展开,从而使得电子商务发展的内在动力持续增强。 3我国电子商务发展存在的问题 (1)区域发展不平衡 东南沿海地区发展远优于中西部地区。以2006年全国电子商务交易额区域结构为例,以深圳为代表的华南地区和以北京、天津为代表的华北地区实现了全国50%的交易额。而西部地区占比不到10%。 (2)中小企业电子商务发展仍显滞后 中小企业受到自身管理水平、资金和人才等因素的制约,电子商务发展水平相较于大企业,明显滞后。据统计,只有9%左右的中小企业实施了电子商务。而在大型企业中,通过电子商务进行采购、销售的比例就已分别达到30%和27%。 (3)信用体系建设不完善 电子商务的发展急需出台电子商务合同规范,加强对电子商务合同的监管,以减少或消除在线交易双方的风险,促进信用体系建设。 (4)虚拟市场监管不力 综上所述,尽管目前我国电子商务的总体发展水平不高,尚处于发展初期,但我国电子商务的增长速度较快,发展前景广阔。 二丶我国与电子商务的发展与发达国家的对比浅析 1.电子商务的出现,在具备前期EDI,Internet等成熟技术同时,又能满足社会强烈的贸易需求。目前在发达国家中间,美国的电子商务发展最快,许多领域处于领先水平,是其他国家电子商务开展的标杆,因此下面适与各个国家的电子商务进行比较分析 电子商务产生的基础不同 电子商务的基础设施建设深度不同 电子商务的相关法律丶法规喝诚信建设力度不同 电子商务产生的经济效益不同 物流发展的程度不同 企业现代化水平丶信用程度不同等 2.世界上主要发达国家或地区电子商务发展情况 美国:在美国,从应用角度看,Internet的发展可分为3个阶段:第一阶段是从20世纪70年代开始的电子邮件阶段;第二阶段,即信息发布阶段,开始于1995年,它是目前Internet的确主要应用;第三阶段,即电子商务阶段(EC),在美国目前发展形势一片大好。就目前来看,EC应用将是Internet的最终商业用途。以上3个阶段所产生的3个应用正在以惊人的速度告诉发展着。电子邮件的平均通信量以每年几倍的速度增长,已经在很大程度上取代了传统的信件、电话和传真。以WEB技术为代表的信息发布系统已经取代了部分报纸、电台、电视台的新闻发布功能,几乎所有重要的报纸都有了免费的电子版本。 由于Internet能充分利用和节约社会资源,所以美国政府在促进Internet的普及和发展上不遗余力。比如,当Internet商业活动还不充分时,政府出钱使Internet免费运行,直至近年Internet走上轨道,能自行良性为止。为了培养在Internet上购物的习惯和环境,又规定政府各部门在1997年度必须在Internet上完成不少于450万件商品的购买活动。1997年5月,美国政府公布了一个政策,即Internet-tax-zone(Internet免税区)。政策规定在全球范围内, 通过Internet购销的商品不加税,包括关税和商业税。这个政策得到了加拿大、日本、欧洲等国不同程度的支持。所以Internet免税区,可能成为世界上最大的自由贸易区,意义极其宽广和深远。 美国电子商务的应用领域和规模远远领先于其他国家。许多大公司纷纷利用Internet扩展自己的业务。 近期,Forrester Research推出了一份名为“美国电子商务:2005-2010”(US eCommerce:2005 To 2010)的报告,预测并分析美国未来5年的网上零售及在线购物发展趋势。Forrester预计美国的网上零售额将从2005年的1720亿美元增加到2010年的3290亿美元,保持平均每年14%的稳定增长率。电子商务将占据美国零售总额的13%。在所有的网上销售领域中,在线旅游继续成为最大的网上零售行业,从2005年的630亿美元增加到2010年的1190亿美元。通用商品(包括汽车、食品饮料和旅游在内的所有零售目录商品)的网上销售将在2005年首次超过1000亿美元。网上零售商继续增加,消费者在线购物踊跃。 欧盟:面对Internet的迅速发展,欧洲委员会于1997年发表了“欧洲电子商务设想”的文件,以便对欧洲在制定有关电子商务的统一政策方面产生积极影响。从整体上来看,整个欧洲对电子商务所持的态度可分为两个阶段: (1) 1997年之前,对电子商务发展持谨慎态度。 (2) 1997年下半年之后,欧盟认识到了电子商务蕴藏的巨大经济潜力,近年来,该地区有更多的企业进一步把Internet用于广告宣传、客户服务等电子商务活动。 但在税收方面,该地区规定所有通过Internet购买商品及接受服务的欧洲消费者必须交纳增值税,即使是向国外供货商定货的情况也不例外。欧盟最高执行官强调:欧盟不准备针对电子商务活动增加新的税种,但也不希望为电子商务免除现有的税赋。电子商务活动必须履行纳税的义务,否则讲会导致不公平竞争。 日本:作为世界第二经济大国,网络用户仅仅次于美国。对Internet的开发利用也处于比较领先的地位。根据企业界的要求,日本政府尤其是日本国际经贸部积极通私人机构合作,在日本经济的每一个商务活动中开展电子商务的促进计划。 日本国际经贸部对电子商务进行了分类,把商价和客户之间的电子商务称作客户电子商务,商价和商价之间的电子商务称作公司电子商务。在公司电子商务方面,日本已经发起了一项称为CALS的计划,以实现从研究开发部门到生产部门之间的全过程数字化。在这个计划中,大量书面工作和商业工程被计算机程序所代替,大大降低了费用,缩短了时间。在客户电子商务方面,日本现在有超过50家的本国银行准备采用SECE(安全电子商务环境)协议,实现在一个虚拟的世界中进行日本式的商务活动。 1996年,日本成立了电子商务促进委员会,简称ECOM,有251家公司或机构参加了该组织。此后ECOM在诸如电子授权认证和电子预付款或“ECOM现金”协议等领域制订了规划和模型协议。ECOM授权认证规则得到了美国国家标准和技术研究院(NIST)等其他机构的高度评价,并被指定为共同的全球规划的主要基础。1997年10月,富士通、日立和NEC联合成立了日本认证服务有限公司,提供颁发电子认证服务。因此,在日本电子商务计划通过一些私人机构的努力得到了较大发展。 新加坡:新加坡政府对电子商务实施统一规划,有组织、有计划第推动电子商务的发展。1997年新加坡政府实施“新加坡一号”计划,建立、完善国家互联网。1998年5月,新加坡提出了电子商务基础设施框架,它包括3个层次:电子商务环境、基础服务、商务解决方案。1998年7月新加坡通过了一个关于电子商务的法律。 Price Waterhouse曾于1998年进行了一项专题调查,调查结果显示,电子商务的应用主要围绕电子交易和市场推广,其中尤以电子数据交换(EDI)和网上广告为主,而电子邮件及网站是他们在Internet上宣传的主要工具。另外,网上能卡缴款和电子转帐服务也正在成为显示。自从1999年,网上银行服务已成为该国不可或缺的服务。而零售及娱乐事业如大型超级市场、花店、唱片公司等也大量应用网站从事订购服务。与此同时,金融投资也正在向网上电子交易发展,这有助于简化交易程序及增加市场信息透明度。 电子商务的产生是划时代的、革命性的,电子商务现在正从以美国为代表的发达国家向全球范围扩展。从技术和经济的发展趋势来说,若干年后的全球商业信息,将主要就是通过因特网传递,网络将成为未来商业社会的神经系统,电子商务将成为未来社会的主流经济模式。 三.我国企业发展电子商务的现状及对策研究 一、我国企业电子商务市场发展现状 虽然目前还不能预测电子商务交易模式何时能成为主流模式,但电子商务的市场发展潜力是无穷的,因为:一方面,潜在消费者的发展速度惊人。据联合国贸发会议《2002年电子商务发展报告》显示,到2002年底,全球英特网用户已达6.5亿之众。在中国,据中国互联网信息中心(CNNIC)最新的调查报告显示,截止2003年6月底,上网用户已达到6800万,比去年同期增长48.5%,而1997年10月首次调查结果只有62万,几年间增长了109。7倍。他们中的一部分已是电子商务的消费者,而更多的则是这个快速发展市场的潜在消费者。另一方面,电子商务交易额快速增长。据国际著名咨询公司Forrester估计,2002年全球电子商务交易额大约为22935亿美元,到2006年将可能达到12。8万亿美元,占全球零售额的18%,年均增长率在30%以上。美国是电子商务应用最为发达的国家之一,其发展趋势对其他国家具有重要的引领作用。2001年,尽管美国的电子商务交易额在全美零售额中的比例仍低于3%,但类似软件、旅游和音乐制品这些商品及服务的网上交易B2C部分已占到这部分交易额的18%左右,世界其他地区也有类似情况出现。据联合国贸发会议《2001年电子商务发展报告》引用Anderson咨询公司的数据显示,到2003年底,我国的电子商务市场B2B和B2C的交易总额将可能达到40亿美元之巨,B2B的年均增速为194%,而B2C的是274%,其增速呈倍数增长。当今世界,除电子商务市场以外,其他任何市场都难有如此高的增长率,因此,其市场前景极为可观。 二、我国企业电子商务面临的问题 1、 电子商务的搜索功能问题 当在网上购物时,用户面临的一个很大的问题就是如何在众多的网站找到自己想要的物品,并以最低的价格买到。搜索引擎看起来很简单:用户输入一个查询关键词,搜索引擎就按照关键词语到数据库去查找,并返回最合适的WEB页连接。但根据NEC研究所与INKTOMI公司最近研究结果表明,目前在互连网上至少10亿网页需要建立索引。而现在搜索引擎仅仅能对5亿网页建立索引,仍然有一半不能索引。这主要不是由于技术原因,而是由于在线商家希望保护商品价格的隐私权。因此当用户在网上购物时,不得不一个网站一个网站搜索下去,直到找到满意价格的物品。2、电子商务的安全性问题 电子商务的安全问题仍是影响电子商务发展的主要因素。由于INTERNET的迅速流行,电子商务引起了广泛的注意,被公认为是未来IT最有潜力的新的增长点。然而,在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要的因数之一。调查公司曾对电子商务的应用前景进行过在线调查,当问到为什么不愿意在线购物时,绝大多数人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此,有一部分人或企业因担心安全问题而不愿意使用电子商务,安全成为电子商务发展中最大的障碍。如:安全可靠的通讯网络;有效防护连接在网络上的信息系统;有效防止资料被盗去或盗用;培训电子商务人才,使其了解如何防护其信息系统和资料的安全。 3、电子商务管理的问题 电子商务的多姿多彩给世界带来了全新的商务规则和方式,这更加要求在管理上要做到规范,这个管理的概念应该涵盖商务管理,技术管理,服务管理等多方面,因此要同时在这些方面达到一个比较令人满意的规范程度,不是一时半时就可以做到的。另外电子商务平台的前后端相一致也是非常重要的。前台的WEB平台是直接面向消费者的,是电子商务的门面。而后台的内部经营管理体系则是完成电子商务的必要条件,它关系到前台所承接的业务最终能不能得到很好的实现。一个完善的后台系统更能体现一个电子商务公司的综合实力,因为它将最终决定提供给用户的是什么样的服务,决定电子商务的管理是不是有效,决定电子商务公司最终能不能实现赢利。 4、电子商务的税务问题 税务,是一个国家重要的财政来源。由于电子商务的交易活动是在没有固定场所的国际信息网络环境下进行,造成国家难以控制和收取电子商务的税金。因此,在指定与电子商务有关的政策法规时,需要重新审视传统的税收政策和手段,建立新的,有效的税收机制。 5、电子商务的标准问题 各国的国情不同,电子商务的交易方式和手段当然也存在某些差异,而且我们要面对无国界,全球性的贸易活动,因此需要在电子商务交易过动中建立相关的,统一的国际性标准,以解决电子商务活动的相互操作问题。中国电子商务目前的问题是概念不清,搞电子的商务,搞商务的搞电子,呈现一种离散,无序,局部的状态。因此,目前需要解决三个问题:一是解决统一标准的电子商务综合服务平台;二是电子商务的关键在于业务,应用是其龙头,因此要把各种各样的业务和服务接进来;三是解决互连互通的标准问题。 6、 电子商务的费用支出问题 由于金融手段落后,信用制度不健全,中国人更喜欢现金交易,没有使用信用卡的习惯。而在美国,现金交易较少,国民购物基本上采用信息卡支付,而且国家处于金融,税收,治安等方面的原因,也鼓励使用信息卡以减少现金的流通。完善的金融制度方便,可靠,安全的支付手段是B 2 C电子商务发展的基本条件。不难看出,影响我国电子商务发展的不单是网络带宽的狭窄,上网费用的昂贵,人才的不足以及配送的滞后,更重要的原应来自于信用制度不健全与人们的生活习惯。因此,我们应该加大金融改革力度,健全法制,建立信用制度,正确引导人们改变一些生活习惯,为我国B 2 C电子商务的发展创造有利的发展环境。 7、电子商务的合同法律问题 在电子商务中,传统商务交易所采取的书面合同已经不适用了。一方面,电子合同存在容易编造,难以证明其真实性和有效性的问题;另一方面,现有的法律尚未对电子合同的数字化印章和签名的法律效率进行规范。此外,现有的技术还无法做到对数字印章和签名的唯一性,保密性进行准确无误的认定。如何保证电子商务活动中合同的有效性及电子印章和电子签名的有效性,是保证电子商务正常发展的重要因素之一。 三、 解决对策 电子商务是一项巨大的、复杂的系统工程,不可能一蹴而就。从中长期来讲,应从以下方面入手加以推动和引导: 1、 做好电子商务的发展规划和宏观指导 电子商务是一项新生事物,其技术发展速度很快,业务方式没有最终定型,给政策的制定带来了一定的困难。这就要求政策制定者对市场的变化保持高度的敏感,加强研究,适时制定鼓励电子商务发展的政策。在这一过程中,相关的中介组织,如行业协会等应充分发挥自己联系政府和企业的纽带作用,做好企业与政府部门的信息沟通,协助政府做好产业发展规划。 2、加强基础设施建设 电子商务是基于信息网络的商务活动,需要建设必要的信息基础设施和手段,包括各种信息传输网络的建设、信息传输设备的研制、信息技术的开发等,使电子商务的发展奠定在坚实的环境建设基础上。要构建一个值得信赖并能够保证信息的完整性和安全性的多层次的开放的网络体系,加强基础网络的建设,改善国内用户环境。 3、 加强电子商务宣传和人才培养 目前,部门、行业信息的电子化方面力量严重不足:而没有各个部门、行业信息的电子化,电子商务就只能是纸上谈兵。所以,充分利用各种途径和手段培养、引进并合理使用好一批素质较高、层次合理、专业配套的网络、计算机及经营管理的专业人才,是我国电子商务建设成功的根本保证。同时,面对电子商务的安全问题,政府有关部门组织有关企业和研究单位制定安全技术,这是责无旁贷的。 4、 加强政府的示范和引导,开展电子商务示范工程 通过实施政府信息化,提高政府工作效率和透明度,促进政府与社会的沟通;发展政府部门之间的非支付性电子商务,促进有关部门在电子商务实施中的关系协调,推动管理部门联网,实现商务管理电子化;发展政府和企业间的电子商务,实现政府采购网络化。有针对性地扶持重点行业、企业开展电子商务,通过试点总结经验加以推广。
四.对电子商务在发展中如何保证其安全性的分析 1.电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。 2 电子商务的主要安全要素 目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面: 2.1 信息真实性、有效性 电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。 2.2 信息机密性 电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。 3.3 信息完整性 电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。 3.4 信息可靠性、不可抵赖性和可鉴别性 可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。 在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet 上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。 3 电子商务安全系统 网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。 所以就整个电子商务安全系统而言,安全性可以划分为四个层次, 1) 网络节点的安全 2) 通讯的安全性 3) 应用程序的安全性 4) 用户的认证管理 其中2、3、4 是通过操作系统和Web 服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。 3.1 网络节点的安全 防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。 防火墙是在连接Internet 和Intranet 保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet 系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。 3.2 通讯的安全 在客户端浏览器和电子商务WEB 服务器之间采用SSL 协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40 位加密强度,也可以考虑将加密强度增加到128 位。为在浏览器和服务器之间建立安全机制,SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL 链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[论 文 网 LunWenNet.Com] 3.3 应用程序的安全性 即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。 这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。 3.4 用户的认证管理 1) 身份认证 电子商务企业用户身份认证可以通过服务器CA 证书与IC 卡相结合实现的。CA 证书用来认证服务器的身份,IC 卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID 号和密码口令的身份确认机制。 2) CA 证书 要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA 证书,它由认证授权中心(CA 中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA 中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL 安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。 3) 安全套接层SSL 协议 安全套接层SSL 协议是Netscape 公司在网络传输层与应用层之间提供的一种基于RSA 和保密密钥的用于浏览器与Web 服务器之间的安全连接技术。 SSL 通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,Certificate Authority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。 SSL 协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Http、Ftp、Telnet 等)以保证应用层数据传输的安全性。 SSL 协议握手流程由两个阶段组成:服务器认证和用户认证。 ①服务器认证 客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。 ②用户认证 经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。SSL 协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web 服务器内置,便于在电子交易中应用。但SSL 是一个面向连接的协议,起初并不是为了支持电子商务而设计的,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL 协议不能协调各方面的安全传输和信任关系。为此,开发出了在网络应用层中专为电子商务而设计的SET 协议。 4 安全管理 为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。 建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。 对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。 5 结束语 安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。