引論:我們為您整理了13篇商務安全論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
電子商務可以增加銷售額并降低成本的優勢,使得政府與企業都十分重視并推動電子商務的建設和發展。電子商務發展到今天,主要問題在于時空的分離導致了安全問題的出現,信息的安全性是當前發展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業自身情況,充分借鑒以往電子商務系統開發的先進技術和經驗,開發出符合企業特殊的電子商務系統,已經成為目前發展電子商務的關鍵,而安全體系的構建顯得尤為重要。
2電子商務的主要安全要素
目前電子商務工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基于Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網絡來聯系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現,電子商務交易雙方(銷售者和消費者)都面臨安全威脅,電子商務的安全要素主要體現在以下幾個方面:
2.1信息真實性、有效性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
2.2信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
3.3信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
3.4信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在1nternet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
3電子商務安全系統
網絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩定可靠,能不中斷地提供服務。任何系統的中斷,如硬件、軟件錯誤,網絡故障、病毒等都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
所以就整個電子商務安全系統而言,安全性可以劃分為四個層次,
1)網絡節點的安全
2)通訊的安全性
3)應用程序的安全性
4)用戶的認證管理
其中2、3、4是通過操作系統和Web服務器軟件實現,而網絡節點的安全性依靠防火墻保證,我們應該首先保證網絡節點的安全性。
3.1網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。
3.2通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
3.3應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
3.4用戶的認證管理
1)身份認證
電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現的。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
2)CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時進行)。
3)安全套接層SSL協議
安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如Http、Ftp、Telnet等)以保證應用層數據傳輸的安全性。
SSL協議握手流程由兩個階段組成:服務器認證和用戶認證。
①服務器認證
客戶端向服務器發送一個“Hello”信息,以便開始一個新的會話連接;服務器根據客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;客戶根據收到的服務器響應信息,產生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器;服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數據進行加密來認證服務器,從而建立安全的通信通道。
②用戶認證
經認證的服務器發送一個提問給客戶,客戶則返回數字簽名后的提問和其公開密鑰,從而向服務器提供認證。SSL協議支持各種加密算法,實現簡單,獨立于應用層協議,且被大部分瀏覽器和Web服務器內置,便于在電子交易中應用。但SSL是一個面向連接的協議,起初并不是為了支持電子商務而設計的,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL協議不能協調各方面的安全傳輸和信任關系。為此,開發出了在網絡應用層中專為電子商務而設計的SET協議。
4安全管理
為了確保系統的安全性,除了采用上述技術手段外,還必須建立嚴格的內部安全機制。對于所有接觸系統的人員,按其職責設定其訪問系統的最小權限。按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。
建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。定期檢查日志,以便及時發現潛在的安全威脅。
對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。
5結束語
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。
參考文獻:
[1]吳洋.電子商務安全方法研究[D].天津大學,2006.
[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005,(06)
篇2
1.1校園電子商務的概念。
校園電子商務是電子商務在校園這個特定環境下的具體應用,它是指在校園范圍內利用校園網絡基礎、計算機硬件、軟件和安全通信手段構建的滿足于校本論文由整理提供園內單位、企業和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統。
1.2校園電子商務的特點。
相對于一般電子商務,校園電子商務具有客戶群本論文由整理提供穩定、網絡環境優良、物流配送方便、信用機制良好、服務性大于盈利性等特點,這些特點也是校園開展電子商務的優勢所在。與傳統校園商務活動相比,校園電子商務的特點有:交易不受時間空間限制、快捷方便、交易成本較低。
2校園電子商務的安全問題
2.1校園電子商務安全的內容。
校園電子商務安全內容從整體上可分為兩大部分:校園網絡安全和校園支付交易安全。校園網絡安全內容主要包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。校園支付交易安全的內容涉及傳統校園商務活動在校園網應用時所產生的各種安全問題,如網上交易信息、網上支付以及配送服務等。
2.2校園電子商務安全威脅。
校園電子商務安全威脅同樣來自網絡安全威脅與交易安全威脅。然而,網絡安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網絡安全是基礎,是交易安全的保障。校園網也是一個開放性的網絡,它也面臨許許多多的安全威脅,比如:身份竊取、非本論文由整理提供授權訪問、冒充合法用戶、數據竊取、破壞數據的完整性、拒絕服務、交易否認、數據流分析、旁路控制、干擾系統正常運行、病毒與惡意攻擊、內部人員的不規范使用和惡意破壞等。校園網的開放性也使得基于它的交易活動的安全性受到嚴重的威脅,網上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術手段盜取或截獲交易信息致使信息的機密性遭到破壞;篡改信息是非法用戶對交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認交易行為,交易抵賴也是校園電子商務安全面臨的主要威脅之一。
2.3校園電子商務安全的基本安全需求。
通過對校園電子商務安全威脅的分析,可以本論文由整理提供看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統的整體規劃可以提高其安全需求。
3校園電子商務安全解決方案
3.1校園電子商務安全體系結構。
校園電子商務安全是一個復雜的系統工程,因此要從系統的角度對其進行整體的規劃。根據校園電子商務的安全需求,通過對校園人文環境、網絡環境、應用系統及管理等各方面的統籌考慮和規劃,再結合的電子商務的安全技術,總結校園電子商務安全體系本論文由整理提供結構,如圖所示:
上述安全體系結構中,人文環境層包括現有的電子商務法律法規以及校園電子商務特有的校園信息文化,它們綜合構成了校園電子商務建設的大環境;基礎設施層包括校園網、虛擬專網VPN和認證中心;邏輯實體層包括校園一卡通、支付網關、認證服務器和本論文由整理提供交易服務器;安全機制層包括加密技術、認證技術以及安全協議等電子商務安全機制;應用系統層即校園電子商務平臺,包括網上交易、支付和配送服務等。
針對上述安全體系結構,具體的方案有:
(1)營造良好校園人文環境。加強大學生本論文由整理提供的道德教育,培養校園電子商務參與者們的信息文化知識與素養、增強高校師生的法律意識和道德觀念,共
同營造良好的校園電子商務人文環境,防止人為惡意攻擊和破壞。
(2)建立良好網上支付環境。目前我國高校大都建立了校園一卡通工程,校園電子商務系統可以采用一卡通或校園電子帳戶作為網上支付的載體而不需要與銀行等金融系統互聯,由學校結算中心專門處理與金融機構的業務,可以大大提高校園網上支付的安全性。
(3)建立統一身份認證系統。建立校園統一身份認證系統可以為校園電子商務系統提供安全認證的功能。
(4)組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學校內部或校園附近,只需要很少的人員就可以解決物流配送問題,而本論文由整理提供不需要委托第三方物流公司,在校園內建立一個物流配送團隊就可以準確及時的完成配送服務。
3.2校園網絡安全對策。
保障校園網絡安全的主要措施有:
(1)防火墻技術。利用防火墻技術來實現校園局域網的安全性,以解決訪問控制問題,使只有授權的校園合法用戶才能對校園網的資源進行訪問本論文由整理提供,防止來自外部互聯網對內部網絡的破壞。
(2)病毒防治技術。在任何網絡環境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網雖然是局域網,可是免不了計算機病毒的威脅,因此,加強病毒防治是保障校園網絡安全的重要環節。
(3)VPN技術。目前,我國高校大都已經建立了校園一卡通工程,如果能利用VPN技術建立校園一卡通專網就能大大提高校園信息安全、保證數據的本論文由整理提供安全傳輸。有效保證了網絡的安全性和穩定性且易于維護和改進。
3.3交易信息安全對策。
針對校園電子商務中交易信息安全問題,可以用電子商務的安全機制來解決,例如數據加密技術、認證技術和安全協議技術等。通過數據加密,可以保證信息的機密性;通過采用數字摘要、數字簽名、數字信封、數字時間戳和數字證書等安全機制來解本論文由整理提供決信息的完整性和不可否認性的問題;通過安全協議方法,建立安全信息傳輸通道來保證電子商務交易過程和數據的安全。
(1)數據加密技術。加密技術是電子商務中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數據的機密,主要有對稱加密和非對稱加密。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。
(2)認證技術。認證技術是保證電子商務交易安全的一項重要技術,它是網上交易支付的前提,負責對交易各方的身份進行確認。在校園電子商務本論文由整理提供中,網上交易認證可以通過校園統一身份認證系統(例如校園一卡通系統)來進行對交易各方的身份認證。
(3)安全協議技術。目前,電子商務發展較成熟和實用的安全協議是SET和SSL協議。通過對SSL與SET兩種協議的比較和校園電子商務的需求分析,校園電子商務更適合采用SSL協議。SSL位于傳輸層與應用層之間,能夠更好地封裝應用層數據,不用改變位于應用層的應用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道,保證傳輸數據的安全。
3.4基于一卡通的校園電子商務。
目前,我國高校校園網建設和校園一卡通工程建設逐步完善,使用校園一卡通進行校園電子商務的網上支付可以增強校園電子商務的支付安全,可以避免或降低了使用銀行卡支付所出現的卡號被盜的風險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網是一個內部網絡,它自身已經屏蔽了絕大多數來自公網的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設施,來自外部網絡人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內進行網上支付被盜取賬號密碼等信息的可能性微乎其微。超級秘書網
(2)校園一卡通具有統一身份認證系統,能夠對參與交易的各方進行身份認證,各方的交易活動受到統一的審計和監控,統一身份認證能夠保證網上工作環境的安全可靠。校園網絡管理中對不同角色的用戶享有不同級別的授權,使其網上活動受到其身份的限制,有效防止一些惡意事情的發生。同時,由于校內人員身份單一,多為學生,交易中一旦發生糾紛,身份容易確認,糾紛就容易解決。
4結束語
篇3
電子商務的前提是信息的安全性保障,信息安全,勝的含義主要是信息的完整性、可用性、保密險和可靠性。因此電子商務活動中的信安全問題主要體現在以兩個方面:
1、網絡信息安全方面
(l)安全協議問題。目前安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
(3)防病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,在電子商務領域如何有效防范病毒也是一個十分緊迫的問題。
(4)服務器的安全問題。裝有大量與電子商務有關的軟件和商戶信息的系統服務器是電子商務的核心,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果會非常嚴重。
2、電子商務交易方面
(1)身份的不確定問題。由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
(2)交易的抵賴問題。電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
二、電子商務中的網絡信息安全對策
1、電子商務網絡安全的技術對策
(1)應用數字簽名。數字簽名是用來保證信息傳輸過程中信息的完整和提供信息發送者身份的認證,應用數字簽名可在電子商務中安全,方便地實現在線支付,而數據傳輸的安全性、完整性,身份驗證機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決。(2)配置防火墻。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能阻止網絡中的黑客來訪問你的網絡,防止他們更改、拷貝、毀壞你的重要信息。它能控制網絡內外的信息交流,提供接人控制和審查跟蹤,是一種訪問控制機制。在邏輯,防火墻是一個分離器、限制器,能有效監控內部網和工nternet之間的任何活動,保證內部網絡的安全。
(3)應用加密技術。密鑰加密技術的密碼體制分為對稱密鑰體制和公用密鑰體制兩。相應地,對數據加密的技術分為對稱加密和非討稱力日密兩類。根據電子商務系統的特點,全面加密保護應包括對遠程通信過程中和網內通信過程中傳輸的數據實施加密保護。一般來說,應根據管理級別所對應的數據保密要求進行部分加密而非全程加密。
2、電子商務網絡安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統運行狀況保密、工作日記保密等各個方面。對各類保密都需要慎重考慮,根據輕重程度劃分好不同的保密級別,并制定出相應的保密措施。
(2)建立系統維護制度。該制度是電子商務網絡系統能否保持長期安全、穩定運行的基本保證,應由專職網絡管理技術人員承擔,為安全起見,其他任何人不得介人,主要做好硬件系統日常借理維護和軟件系統日常管理維護兩方面的工作。
(3)建立病毒防范制度。病毒在網絡環境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時升級防病毒軟件版本、及時通報病毒人侵信息等工作。此外,還可將網絡系統中易感染病毒的文件屬性、權限加以限制,斷絕病毒人侵的渠道,從而達預防的目的。
(4)建立數據備份和恢復的保障制度。作為一個成功的電子商務系統,應針對信息安全至少提供三個層面的安全保護措施:一是數據在操作系統內部或者盤陣中實現快照、鏡像;二是對數據庫及郵件服務器等重要數據做到在電子交易中心內的自動備份;三是對重要的數據做到通過廣域網專線等途徑做好數據的克隆備份,通過以土保護措施可為系統數據安全提供雙保險。
三、電子商務的網絡安全體系結構
電子商務的網絡信息安全不僅與技術有關,更與社會因素、法制環境等多方面因素有關。故應對電子商務的網絡安全體系結構劃分如下:
1.電子商務系統硬件安全。主要是指保護電子商務系統所涉及計算機硬件的安全性,保證其可靠哇和為系統提供基礎性作用的安全機制。
2.電子商務系統軟件安全。主要是指保證交易記錄及相關數據不被篡改、破壞與非法復制,系統軟件安全的目標是使系統中信息的處理和傳輸滿足整個系統安全策略需求。
3.電子商務系統運行安全。主要指滿足系統能夠可靠、穩定、持續和正常的運行。
篇4
那么,第三方支付具體指的是什么呢?所謂第三方支付,是指為了保障電子商務的支付安全,支付通過買賣雙方之間完全中立的一家企業來完成。用E-mail來進行網上支付;打個電話報上信用卡號就能預訂機票;用手機上網交水費電費游戲費……在中國人還沒有完全適應從紙制貨幣進化到“塑膠貨幣”(信用卡)的今天,網絡銀行、手機錢包等第三方支付工具已經迫不及待地登場了。
近日,有媒體報道,有網民利用三方支付工具從信用卡套現。就此,該文進而對第三方支付的安全性問題提出質疑,認為電子支付有可能被金融犯罪分子所利用,充當其洗錢的工具。且不管該文提到的套現現象是否屬于依然在可控范圍內的小概率事件,也不提所謂的套現行為是否緣于第三方支付的安全漏洞,單就所謂洗錢的擔心而論,可以說,該文是嚴重低估了央行以及各商業銀行的風險控制能力,也大大低估了各大第三方支付公司的風險把控能力。
實際情況是,早在1996年4月1日,中國人民銀行就頒布并實施了《信用卡業務管理辦法》,其中明確規定,持卡人不允許利用信用卡套取現金以及惡意透支。對于信用卡套現這個問題,不光招商銀行等商業銀行關注有加,第三方支付公司支付寶、貝寶等亦是小心翼翼,如履薄冰,先后出臺了多項嚴格的風險控制系統,協助銀行解決問題。
在如何對待信用卡套現的問題上,國內領先的第三方支付平臺如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。
例如,PAYPAL(貝寶)在防止盜號、提供密碼加密以及減少信用卡套現等方面,已經配合銀行做了大量工作;快錢除了從技術手段上防范盜卡之外,還在安全方面加設了用戶的認證系統等六道功能,試圖將安全隱患壓低到最小程度。
作為國內最大的第三方支付平臺,支付寶的做法就更為完備。早在2006年7月,支付寶就推出“支付寶認證”服務,對所有使用支付寶的賣家進行雙重身份認證,即身份證認證和銀行卡認證。除了與公安部全國公民身份證號碼查詢服務中心合作校驗身份證的真偽,支付寶還與各大商業銀行進行合作,利用銀行賬戶實名制信息來校驗用戶填寫的姓名和銀行賬戶號碼是否準確,摒棄了某些購物網站僅憑一個手機號碼或者身份證號碼進行簡單認證的模式。支付寶公司還在國內率先推出了“全額賠付”制度和交易安全基金,網絡欺詐發生率僅為萬分之二。
為了保證支付寶的安全性,支付寶技術團隊還自發研制了數字證書,其安全性能得到各銀行認同。相對于目前國內所有第三方認證公司采用的認證形式,支付寶的數字證書從技術上擺脫了普通6位密碼驗證,改以1024位加密的數字簽名技術,因而更為安全。而數字密碼的惟一性,也更有助于客戶身份的識別。
央行的《電子支付指引》規定,銀行通過互聯網為個人客戶辦理電子支付業務,除采用數字證書、電子簽名等安全認證方式外,單筆金額不應超過1000元人民幣,每日累計金額不應超過5000元人民幣,并規定信用卡的網上支付不得超過提現額度。國內目前沒有一家銀行和任何一家網上支付公司允許網上“單日支付額度由信用卡額度決定”。在這方面,支付寶也早已主動和和很多發卡銀行聯手,針對套現現象做了信用卡網上支付單筆限額的規定,例如,招商銀行的信用卡支付限制的是單筆最高限額499元。為了保證支付寶的安全性,支付寶還有CTU風險控制系統來隨時掃描和監控交易的進行,防范可能存在的盜卡及套現行為。
實際上,從2006年5月開始,支付寶就已委托中國工商銀行對支付寶公司開立在各家銀行的客戶交易保證金賬戶的余額進行核查,工行并定期出具《支付寶客戶交易保證金托管報告》。這是中國銀行界第一次為第三方支付平臺做資金托管的審核報告,也是當前唯一銀行愿意托管的第三方支付平臺。2006年12月8日,從工行對11月1日~11月30日期間所有發生的支付寶公司的客戶提現及余額支付進行的抽查情況看,支付寶存放在各家銀行的客戶交易保證金余額總和等于支付寶客戶存放在貴公司的資金余額與待處理款、未達款余額之和,報告期間內未發現支付寶客戶交易保證金被挪用情況。
篇5
1.2對分銷商的影響
對航空業來講,分銷是指航空公司如何把機票分配給消費者。在網絡沒有盛行的年代,旅行社是重要的購買機票的渠道。而現在購買機票方式的變化是顯而易見的。許多航空公司設立了官方網站來吸引消費者購票。Law和Leung(2000)認為網絡能夠在不通過旅行社和電腦預訂系統(ComputerReservationSystems,CRS)直接與消費者溝通,從而降低了機票的分銷費用。EasyJet航空公司就是通過各種方式來降低不必要成本的典型,比如通過網絡售票。2001年9月75%的人上網買票,這可以看作是一種脫媒方式。隨著網絡的普及,幾乎所有的航空公司都建立自己的網站,同時網絡訂機票的中介也應運而生,這就意味著航空公司之間的競爭越發激烈,尤其對那些以價格為導向的消費者來說,他們更傾向于價格更便宜的機票。以2012年4月22日從倫敦到巴塞羅那的機票為例,大英航空的最低票價為196英鎊,而Easyjet的票價只有62.99英鎊,可見Easyjet在降低成本上所做的努力。可以看出,網絡在降低了航空業分銷渠道成本的同時,也加大了行業內部之間的競爭。
1.3對客戶關系的影響
如上所述,航空業屬于服務業范疇,因而公司與消費者的關系是至關重要的。Chaffey(2002)認為客戶關系主要有兩個部分,即客戶獲取(customeracquisition)和客戶維系(customerretention),其中獲取一個客戶要比維系一個客戶成本更高。因而公司希望與已獲得的客戶保持長期而良好的關系,而網絡讓維持這種關系變得更加容易。荷蘭皇家航空公司(KLM)的網絡客戶關系管理團隊(CRMteam)會根據客戶在網上訂票后所留下的cookies(小型文本本件)來判定客戶的消費習慣,從而為客戶提供更加個性化的信息,比如給他們發送專門為他們定制的郵件。他們也為常旅客(frequentflyers)提供專屬的服務,并稱之為常旅客計劃會員(frequentflyerprogrammem-bership)。其次,對消費者來說,網絡的產生讓消費者能夠隨時隨地查詢相關信息,比如網上值機系統(onlinecheck-insystem)能夠節省消費者的時間同時也能降低公司人力成本。航空公司通過電子商務(網絡,手機等)可以更好與消費者維持良好的關系。廉價航空公司EasyJet通過使用RightNow公司的客戶關系管理軟件使該公司運行成本降低了75萬英鎊。
2電子商務在未來發展中的隱患
2.1網絡安全問題
對消費者來說網絡安全是他們進行網上購物的顧慮之一,這種顧慮不僅僅存在于航空業之中,其中就包括網上轉賬安全。2011年美國社交網絡臉書(Facebook)的大規模用戶信息泄露事件讓網絡安全問題處在了風口浪尖上。網絡詐騙及其他網絡問題的出現讓消費者們對網上轉賬產生了疑慮。據統計,僅2008年美國航空業損失費用達到14億美元,占了當年世界航空業總產值的百分之1.3。Cunningham等(2004)認為“對于基于網絡和傳統的航空預訂服務來說,對風險的感知是系統的模式”這就意味著盡管航空公司不斷強調他們采用多么現實的網絡安全技術,消費者始終會對網上支付有一定的顧慮。其次,消費者也擔心在網上注冊賬號會導致更多的個人信息被泄露。美國廉價航空公司捷藍(JetBlue)航空在顧客信息保護上面下了很大功夫,公司信息技術副總裁ToddThompson認為“網絡能夠提升他們為顧客提供優質服務的能力,但不幸的是,電子通信總是會被轉發、打印或復制,因此完全的保密是幾乎不可能完成的”。捷藍航空計劃為WindowsServerTM2003和微軟辦公系統使用微軟公司的權限管理服務MicrosoftRWindowsRRightsManagementSer-vices(RMS),這種信息保護技術是建立在文件級別上了,內部信息的交流會降低信息被他人誤讀,從而提高了消費者信息的安全性。但根據Krishnamurthy(P.5)的研究,通過旅行網站所泄露的個人信息占據所有網站之首,旅行網站的直接泄露指數(directleakageindex)為9,而像購物網站和新聞網站分別只有3和5。由此可以看出,航空業在未來發展電子商務方面還存在著潛在的風險。而且提高升級網絡系統容易,但是改變人們對網絡隱患的擔憂卻不是那么容易。
2.2硬件問題
Phaladsingh(2006)認為“個人電腦的普及率”是影響電子商務發展的阻礙之一,這就意味著不管網絡技術有多發達,如果人們買不起電腦和其他數碼設備,電子商務就很難發揮其作用。對于航空業來說同樣是如此,網上值機、網上購票等服務只有在有電腦設備的時候才會體現出其優越性。顯而易見,發達國家更容易接觸到電子產品也更容易享受到電子產品帶來的便捷體驗。2004年在美國每1000人中有763個人擁有電腦,而在一些欠發達國家每1000人中平均只有1到2個人擁有電腦,非洲國家尼日爾每1000人中只有0.1716人使用電腦,這個數量在增加,但不可否認的是在發展中國家尤其是一些欠發達國家電子商務并不能產生很好的效果。
篇6
對稱密鑰加密,又稱私鑰加密,即信息的發送方和接收方用一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合于對大數據量進行加密,但密鑰管理困難。
使用對稱加密技術將簡化加密的處理,每個參與方都不必彼此研究和交換專用設備的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過使用對稱加密方法對機密信息進行加密以及通過隨報文一起發送報文摘要或報文散列值來實現。
2.非對稱密鑰加密體制
非對稱密鑰加密系統,又稱公鑰密鑰加密。它需要使用一對密鑰來分別完成加密和解密操作,一個公開,即公開密鑰,另一個由用戶自己秘密保存,即私用密鑰。信息發送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密。公鑰機制靈活,但加密和解密速度卻比對稱密鑰加密慢得多。
在非對稱加密體系中,密鑰被分解為一對。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為私用密鑰(解密密鑰)加以保存。私用密鑰只能由生成密鑰對的貿易方掌握,公開密鑰可廣泛。
該方案實現信息交換的過程是:貿易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿易方公開;得到該公開密鑰的貿易方乙使用該密鑰對信息進行加密后再發送給貿易方甲;貿易方甲再用自己保存的另一把專用密鑰對加密信息進行解密。
認證技術
安全認證的主要作用是進行信息認證。信息認證的目的為:(1)確認信息發送者的身份;2)驗證信息的完整性,即確認信息在傳送或存儲過程中未被篡改過。下面從安全認證技術和安全認證機構兩個方面來做介紹。
1.常用的安全認證技
安全認證技術主要有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等。
(1)數字摘要
數字摘要是采用單向Hash函數對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼,并在傳輸信息時將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進行變換運算,若得到的結果與發送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。
(2)數字信封
數字信封是用加密技術來保證只有規定的特定收信人才能閱讀信的內容。在數字信封中,信息發送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數字信封)之后,將它和信息一起發送給接收方,接收方先用相應的私有密鑰打開數字信封,得到對稱密鑰,然后使用對稱密鑰解開信息。這種技術的安全性相當高。
(3)數字簽名
日常生活中,通常用對某一文檔進行簽名來保證文檔的真實有效性,防止其抵賴。在網絡環境中,可以用電子數字簽名作為模擬。
把Hash函數和公鑰算法結合起來,可以在提供數據完整性的同時保證數據的真實性。完整性保證傳輸的數據沒有被修改,而真實性則保證是由確定的合法者產生的Hash,而不是由其他人假冒。而把這兩種機制結合起來就可以產生數字簽名。
(4)數字時間戳
在書面合同中,文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關鍵性內容。而在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數字時間戳服務就能提供電子文件發表時間的安全保護。數字時間戳服務(DTS)是網絡安全服務項目,由專門的機構提供。時間戳是一個經加密后形成的憑證文檔,它包括三個部分:需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數字簽名。
(5)數字證書
在交易支付過程中,參與各方必須利用認證中心簽發的數字證書來證明各自的身份。所謂數字證書,就是用電子手段來證實一個用戶的身份及用戶對網絡資源的訪問權限。
數字證書是用來惟一確認安全電子商務交易雙方身份的工具。由于它由證書管理中心做了數字簽名,因此任何第三方都無法修改證書的內容。任何信用卡持有人只有申請到相應的數字證書,才能參加安全電子商務的網上交易。數字證書一般有四種類型:客戶證書、商家證書、網關證書及CA系統證書。
2.安全認證機構
電子商務授權機構(CA)也稱為電子商務認證中心(CertificateAuthority)。在電子交易中,無論是數字時間戳服務還是數字證書的發放,都不是靠交易雙方自己能完成的,而需要有一個具有權威性和公正性的第三方來完成。
認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。
安全認證協議
目前電子商務中有兩種安全認證協議被廣泛使用,即安全套接層SSL(SecureSocketsLayer)協議和安全電子交易SET(SecureElectronicTransaction)協議。
1.安全套接層(SSL)協議
安全套接層協議是由Netscape公司1994年設計開發的安全協議,主要用于提高應用程序之間的數據的安全系數。SSL協議的概念可以被概括為:它是一個保證任何安裝了安全套接層的客戶和服務器間事務安全的協議,該協議向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施。目的是為用戶提供Internet和企業內聯網的安全通信服務。
SSL采用了公開密鑰和專有密鑰兩種加密:在建立連接過程中采用公開密鑰;在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務器間事務的安全性。
篇7
當今世界是數字化的信息社會,高新技術尤其是電子信息技術對各行各業的影響從未像現在這樣明顯。電子商務就是在這個信息時代背景下產生并迅速發展起來,它已逐漸成為人們進行商務活動的新模式。近幾年,我國的電子商務也蓬勃發展,像阿里巴巴、E-BAY、淘寶網等已取得相當的成功,給人們的生活觀念與方式帶來了巨大的改變。但同時由于我國電子商務起步晚、發展快,以致配套的技術及管理等方面跟不上,致使安全成為其發展過程中的阻礙因素。
二、我國電子商務發展面臨的安全問題分析
在我國電子商務面臨的安全問題主要由三個方面造成,即技術落后、信用缺失及法律法制體系不完善。
(一)技術落后。對電子商務的安全而言,其首先要解決的就是安全技術問題,即我國現有的網絡安全技術落后,難以建立一個安全可信賴的電子商務環境。一般來說,電子商務所面臨的安全威脅主要表現在以下方面:
1、信息篡改。電子的交易信息在網絡上傳輸的過程中,可能被他人非法修改、刪除、插入或重放,從而使信息失去了真實性和完整性。
2、信息破壞。信息破壞既包括網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤,也包括一些惡意程序的破壞而導致電子商務信息遭到破壞。由于攻擊者可以接入網絡,就可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入兩方的網絡內部,其后果是非常嚴重的。
3、身份識別。(1)假冒他人身份。假冒他人身份有以下幾種方式:第一,假冒交易一方的身份,破壞交易,敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等;第二,冒充主機欺騙合法主機及合法用戶;第三,冒充網絡控制程序,套取或修改使用權限、通行字、密鑰等信息;第四,接管合法用戶,欺騙系統,占用合法用戶的資源。(2)不承認已經做過的交易。交易的一方可不為自己的行為負責任,進行否認,相互欺詐。具體包括以下幾種情況:第一,發信者事后否認曾經發送過某信息或內容;第二,收信者事后否認曾經收到過某信息或內容;第三,購貨者下了訂貨單不承認;第四,商家賣出的商品因價格差而不承認原有的交易。
4、信息泄密。信息泄密主要包括兩個方面,即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。攻擊者可能通過互聯網、公共電話網、搭線或在電磁波輻射范圍內安裝截獲裝置等方式,截獲傳輸的機密信息,或者是通過對信息流量和流向、通信頻度和長度等參數的分析,獲取有用信息,如消費者的銀行卡號、密碼,銷售者的(二)信用缺失。信用缺失的現象在當今的商務貿易中已成為一個日益嚴重的問題。基于網絡的電子商務,連接的是相隔時間與空間距離的買賣雙方,信用問題則顯得更為突出。很多買方在付款之前會由于看不到實體物品,而擔心其質量問題或商品是否真正符合自己的要求;在付款之后,還會擔心賣方是否能真正遵守承諾交付貨品。同樣,賣方也對買方能否按期付款存在疑慮。在信用問題帶來的顧慮重重之下,電子商務很難為大眾所普遍接受。我國已加入WTO,會進行更多的跨國貿易,信用問題不僅關系到國內電子商務貿易能否正常有序進行,也關系到我國與國外的網上貿易能否順利進行。
(三)法律法制體系不完善。當電子商務日益深入我們的生活之時,越來越迫切地感覺到缺少一套專門的完善的法律法規來解決這些問題。電子商務最大的特征是它存在于虛擬世界,極易產生如網上交易糾紛的仲裁、電子合同和網上契約的效力、納稅、隱私或產權的保護等問題,加之國際化的電子商務又涉及到各國的政治制度、社會狀況、經濟水平、現行法律法規及文化社會傳統等問題,所以對它進行立法是非常復雜的。
目前,我國規范電子商務的相關法律法規極為有限。在法律層次上,只有1997年修訂的《刑法》中增加了關于計算機犯罪的條文,1999年通過的《合同法》對電子合同的書面形式、生效時間地點等做了規定,但有關電子合同的描述是粗線條的,缺乏細化措施和可操作性,遠遠不能滿足電子商務發展的需要。因此,法律問題是為實現電子商務安全必須解決的又一個重要問題。
三、解決中國電子商務發展面臨的安全問題的有效方法
(一)技術問題的解決方法。對于技術問題,國內國外都已有較為常用有效的解決方法。概括地來說,有以下兩個方面:一是確定安全控制的范圍;二是建立電子商務安全體系。
1、安全控制的范圍。電子商務安全的控制應涉及以下六個方面:第一,信息的保密性。EC作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。它是建立在一個較為開放的網絡環境上的(尤其Internet是更為開放的網絡),維護商業機密是EC全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取;第二,數據的完整性。EC簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是EC應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復,并保證信息傳送次序的統一;第三,非偽裝性。在電子商務環境中,網上交易的雙方可能素昧平生、遠隔千里。要使交易成功,首先要能方便可靠地確認對方的身份,這是雙方交易的前提。非偽裝性也能大大加強交易雙方的信任程度,可以促進交易廣泛地進行;第四,不可否認性。商情千變萬化,交易一旦達成是不能被否認的,否則必然會損害一方的利益。因此,電子交易通信過程的各個環節都必須是不可否認的,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識;第五,不可修改性。電子交易的文件要做到不可修改,以保證交易的嚴肅和公正。同時,電子交易的文件也可以作為法律承認的一種證據,為交易雙方出現的糾紛提供解決依據;第六,審查能力。根據機密性和完整性的要求,應對數據審查的結果進行記錄,以備交易雙方產生糾紛時交由第三方處理。客戶資料等。2、建立電子商務安全體系。為實現電子商務的安全,現在較為通用的是建立包括以下三個層次的電子商務安全體系:第一,建立密碼機制。密碼機制即基本加密算法,包括對稱密鑰加密、非對稱密鑰加密等,密碼機制的建立可以保證交易數據與交易人個人信息不受惡意的侵犯;第二,完善基本安全技術。基本安全技術包括以密鑰機制為基礎的CA體系以及數字信封、數字簽名、數字時間戳、防火墻等。基本安全技術的不斷完善為電子商務的發展提供一個良好的技術平臺,使其發展過程中的技術障礙得以消除;第三,建立安全應用協議。安全應用協議以密碼機制、基本安全技術、CA體系為基礎。如,Internet電子郵件的安全協議(PEM,S/MIME,PEM-MIME(MOSS))、網絡安全交易協議(SSL,S-HTTP,STT,iKP,SEPP,SET)。
(二)信用問題的解決方法。美國是世界上消費信貸最成熟的國家之一,有一整套完善的個人信用制度,我國可以借鑒其做法,建立一個適合中國國情的信用制度。第一,我國可以成立一個專門的征信機構——信用局,由政府管理,如銀行一般具有社會公信力;第二,建立一個準確公正的個人信用檔案。信用檔案的信息應包括工商、稅務、公安、司法、銀行、證券、保險、經貿等多個方面。另外,信用檔案應實現全面動態的管理,以實現對每個人全面有效的信用監督;第三,設計一個科學透明的信用分模型。最好由國家出面招標開發信用分模型,設計一個科學透明的信用分模型,產權歸國家所有,無償提供給社會使用;第四,完善個人信用的外部環境。具體可以從下面兩個方面著手:一方面國家的組織和協調。建立個人信用制度是一項非常龐大的系統工程,需要政府各有關部門、中央銀行、商業銀行、個人信用中介公司等機構密切合作、協調配合。由國家應出臺有關個人信用制度的政策,落實相關的配套措施,明確各部門所負的職責;另一方面是法律的保障。個人信用檔案收集的個人信用資料屬于個人隱私,國家應當對個人信用數據的收集、個人信用分的評定、個人信用數據的使用和披露做出明確規定,對于各種違規以及破壞公民隱私的行為規定制裁措施。
篇8
第三方的電子交易平臺在網絡上對于信息進行儲存、記錄、處理、和傳遞,以此來協助一次網絡消費行為的完成。一般情況下,這些信息都具有真實性和保密性,屬于大眾的隱私。但是,現在的網絡環境比較惡劣,有很多網絡陷阱以及刻意挖掘用戶信息的“黑客”,從而導致基本信息出現失真、泄露和刪除的危機,不利于正常電子商務交易的完成。對于電子商務信息大致上可以分為以下幾類:第一,信息的真實性;第二,信息的實時性;第三,信息的安全性。首先,是信息的真實性。電子商務上的基本信息是賣家和買家進行認識對方和分辨商品真實性可靠性的唯一途徑,應該絕對真實。一旦出現虛假信息,則屬于欺騙消費者,是危害消費者權益的不法行為。其次,是信息的實時性。信息的實時性主要是指信息的保質期。因為很多信息只在一段時間內有效,具有時效性,一旦錯過這段關鍵時期,那么該信息則失去自身的價值,變得一文不值。最后,就是信息的安全性,這也是消費者最為關心的問題。電子商務出現的安全性問題主要表現為客戶的信息被刪除、篡改從而失真,同時也表現為用戶的信息被竊取從而達成其他目的,使得用戶的隱私被侵犯,正常的生活受到打擾。
二、電子商務的信息安全技術的內容
篇9
2.信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
3.信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各信息的差異。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
4.信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可抵賴性要求即是能建立有效的責任機制,防止實體否認其行為;可鑒別性要求即是能控制使用資源的人或實體的使用方式。
5.系統的可靠性
電子商務系統是計算機系統,其可靠性是防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。
二、電子商務的信息安全技術
1.數據加密技術
加密技術用于網絡安全通常有二種形式,即面向網絡或面向應用服務。面向網絡的加密技術通常工作在網絡層或傳輸層,使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息,從而保證網絡的連通性和可用性不受損害。面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法,這一類加密技術的優點在于實現相對較為簡單,不需要對電子信息(數據包)所經過的網絡的安全性能提出特殊要求,對電子郵件數據實現了端到端的安全保障。
1)電子商務領域常用的加密技術數字摘要(digitaldigest)
這一加密方法亦稱安全Hash編碼法,由RonRivest所設計。該編碼法采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文,這一串密文亦稱為數字指紋(FingerPrint),它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是“真身”的“指紋”了。
數字簽名(digitalsignature)
數字簽名將數字摘要、公用密鑰算法兩種加密方法結合起來使用。主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要),用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名。然后,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密,如果兩個散列值相同,那么接收方就能確認該數字簽名是發送方的,通過數字簽名能夠實現對原始報文的鑒別。概括的說,簽名的作用有兩點,一是因為自己的簽名難以否認,從而確認了文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。
數字時間戳(digitaltime-stamp)交
易文件中,時間是十分重要的信息。在電子交易中,需對交易文件的日期和時間信息采取安全措施,而數字時間戳服務(DTS)就能提供電子文件發表時間的安全保護。時間戳(time-stamp)是一個經加密后形成的憑證文檔,它包括三個部分:需加時間戳的文件的摘要(digest);DTS收到文件的日期和時間;DTS的數字簽名。
數字證書(digitalcertificate,digitalID)數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。目前,最有效的認證方式是由權威的認證機構為參與電子商務的各方發放證書,證書作為網上交易參與各方的身份識別,就好象每個公民都用身份證來證明身份一樣。認證中心作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任,是一個負責發放和管理數定證書的權威機構。因而網絡中所有用戶可以將自己的公鑰交給這個中心,并提供自己的身份證明信息,證明自己是相應公鑰的擁有者,認證中心審查用戶提供的信息后,如果確認用戶是合法的,就給用戶一個數字證書。這樣,每個成員只需和認證中心打交道,就可以查到其他成員的公鑰信息了。對于在網上進行交易的雙方來說,數字證書對他們之間建立信任是至關重要的。數字憑證有三種類型:個人憑證、企業(服務器)憑證、軟件(開發者)憑證;大部分認證中心提供前兩類憑證。
2.身份認證技術
為解決Internet的安全問題,初步形成了一套完整的Internet安全解決方案,即被廣泛采用的公鑰基礎設施(PKI)體系結構。PKI體系結構采用證書管理公鑰,通過第三方的可信機構CA,把用戶的公鑰和用戶的其他標識信息(如名稱、e-mail、身份證號等)捆綁在一起,在Internet網上驗證用戶的身份,PKI體系結構把公鑰密碼和對稱密碼結合起來,在Internet網上實現密鑰的自動管理,保證網上數據的機密性、完整性。
1)認證系統的基本原理
利用RSA公開密鑰算法在密鑰自動管理、數字簽名、身份識別等方面的特性,可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統。這個可信的第三方認證系統也稱為CA,CA為用戶發放電子證書,用戶之間利用證書來保證信息安全性和雙方身份的合法性。
2)認證系統結構
整個系統是一個大的網絡環境,系統從功能上基本可以劃分為CA、RA和WebPublisher。
核心系統跟CA放在一個單獨的封閉空間中,為了保證運行的絕對安全,其人員及制度都有嚴格的規定,并且系統設計為一離線網絡。CA的功能是在收到來自RA的證書請求時,頒發證書。
證書的登記機構RegisterAuthority,簡稱RA,分散在各個網上銀行的地區中心。RA與網銀中心有機結合,接受客戶申請,并審批申請,把證書正式請求通過建設銀行企業內部網發送給CA中心。
證書的公布系統WebPublisher,簡稱WP,置于Internet網上,是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數據庫。用戶的證書由CA頒發之后,CA用E-mail通知用戶,然后用戶須用瀏覽器從這里下載證書。
3.網上支付平臺及支付網關
網上支付平臺分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)。網上支付平臺支付型電子商務業務提供各種支付手段,包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。
支付網關位于公網和傳統的銀行網絡之間,其主要功能為:將公網傳來的數據包解密,并按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部的傳回來的響應消息,將數據轉換為公網傳送的數據格式,并對其進行加密。此外,支付網關還具有密鑰保護和證書管理等其它功能。
三、電子商務信息安全中的其它問題
1.內部安全
最近的調查表明,至少有75%的信息安全問題來自內部,在信用卡和商業詐騙中,內部人員所占的比例最大;
2.惡意代碼
它們將繼續對所有的網絡系統構成威脅,并且,其數量將隨著Internet的發展和編程環境的豐富而增多,擴散起來也更加便利,因此,造成的破壞也就越大;
3.可靠性差
目前,Internet主干網和DNS服務器的可靠性還遠遠不能滿足人們的要求,而絕大
部分撥號PPP連接質量并不可靠,且速度很慢;
4.技術人才短缺
由于Internet和網絡購物都是在近幾年得到了迅猛的發展,因而,許多地方都缺乏足夠的技術人才來處理其中遇到的各種問題,尤其是網絡購物具有24x7(每天24小時,每周7天都能工作)的要求,因而迫切需要有一大批專業技術人員對其進行管理。如果說加密技術是電子交易安全的“硬件”,那么人才問題則可以說是“軟件”。從某種意義上講,軟件的問題解決起來可能更不容易,因此,技術人才的短缺可能成為阻礙網絡購物發展的一個重要因素。
5.Web服務器的保護意識差
在交易過程中對數據進行保護只是保證交易安全的一個方面。由于交易的信息均存儲在服務器上,因此,即使保密信息被客戶端接收之后,也必須對存儲在服務器中的數據進行保護。目前,Web服務器是黑客們最喜歡攻擊的目標。因此,建議盡量不要將Web服務和連接到任何內部網絡,而且要定期對數據進行備份,以便于服務器被攻擊之后對數據進行恢復。當然,這畢竟有些不太現實,現在許多流行的Web應用都需要Web服務器與公司的數據庫進行交互式操作,這就要求服務器必須與公司內部網絡相連,而這個連接也就成為黑客們從Web站點侵入企業內部網絡的一條通路。雖然防火墻技術有助于對web站點進行保護,但商家卻很少安裝防火墻或對其缺乏有效的維護,因而沒有對Web服務器進行很好的保護,這是商家的Web站點尤其要引起注意的地方。
四、與電子商務安全有關的協議技術討論
1.SSL協議(SecureSocketsLayer)安全套接層協議———面向連接的協議。
SSL協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性,它不能保證信息的不可抵賴性,主要適用于點對點之間的信息傳輸,常用WebServer方式。但它是一個面向連接的協議,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方間的安全傳輸和信任關系。
2.SET協議(SecureElectronicTransaction)安全電子交易———專門為電子商務而設計的協議。由于SET提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。雖然它在很多方面優于SSL協議,但仍然不能解決電子商務所遇到的全部問題。
結束語
本文分析了目前電子商務的安全需求,使用的安全技術及仍存在的問題,并指出了與電子商務安全有關的協議技術使用范圍及其優缺點,但必須強調說明的是,電子商務的安全運行,僅從技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
[摘要]電子商務對人類社會經濟產生了重大影響,在創造巨大經濟效益的同時,也從根本上改變了整個社會商務活動發展進程。我國電子商務在曲折進程中,已有很大程度的發展,同時也存在諸多問題。本文客觀地分析了電子商務的安全需求、安全技術發展現狀及存在的問題,對加快電子商務的發展步伐提出了一些重要思考。
[關鍵詞]電子商務;安全需求;安全技術;
[參考文獻]
①姚立新,新世紀商務:電子商務的知識發展與運作,中國發展出版社,1999年。
②《中國電子商務年鑒》2003卷。
篇10
一、網絡隱私權侵權現象
1.個人的侵權行為。個人未經授權在網絡上宣揚、公開、傳播或轉讓他人、自己和他人之間的隱私;個人未經授權而進入他人計算機系統收集、獲得信息或騷擾他人;未經授權截取、復制他人正在傳遞的電子信息;未經授權打開他人的電子郵箱或進入私人網上信息領域收集、竊取他人信息資料。
2.商業組織的侵權行為。專門從事網上調查業務的商業組織進行窺探業務,非法獲取他人信息,利用他人隱私。大量網站為廣告商濫發垃圾郵件。利用收集用戶個人信息資料,建立用戶信息資料庫,并將用戶的個人信息資料轉讓、出賣給其他公司以謀利,或是用于其他商業目的。根據紐約時報報道,、Toysmart和等網站,都曾將客戶姓名、住址、電子郵件甚至信用卡號碼等統計分析結果標價出售,以換取更多的資金。
3.部分軟硬件設備供應商的蓄意侵權行為。某些軟件和硬件生產商在自己銷售的產品中做下手腳,專門從事收集消費者的個人信息的行為。例如,某公司就曾經在其生產的某代處理器內設置“安全序號”,每個使用該處理器的計算機能在網絡中被識別,生產廠商可以輕易地收到用戶接、發的信息,并跟蹤計算機用戶活動,大量復制、存儲用戶信息。
4.網絡提供商的侵權行為
(1)互聯網服務提供商(ISPInternetServiceProvider)的侵權行為:①ISP具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私權。例:ISP把其客戶的郵件轉移或關閉,造成客戶郵件丟失、個人隱私、商業秘密泄露。②ISP對他人在網站上發表侵權信息應承擔責任。
(2)互聯網內容提供商(ICPInternetContentProvider)的侵權行為。ICP是通過建立網站向廣大用戶提供信息,如果ICP發現明顯的公開宣揚他人隱私的言論,采取放縱的態度任其擴散,ICP構成侵害用戶隱私權,應當承擔過錯責任。
5.網絡所有者或管理者的監視及竊聽。對于局域網內的電腦使用者,某些網絡的所有者或管理者會通過網絡中心監視使用者的活動,竊聽個人信息,尤其是監控使用人的電子郵件,這種行為嚴重地侵犯了用戶的隱私權。
二、網絡隱私權問題產生的原因
網絡隱私權遭受侵犯主要是由于互聯網固有的結構特性和電子商務發展導致的利益驅動這兩個方面的原因。
1.互聯網的開放性。從網絡本身來看,網絡是一個自由、開放的世界,它使全球連成一個整體,它一方面使得搜集個人隱私極為方便,另一方面也為非法散布隱私提供了一個大平臺。由于互聯網成員的多樣和位置的分散,其安全性并不好。互聯網上的信息傳送是通過路由器來傳送的,而用戶是不可能知道是通過哪些路由進行的,這樣,有些人或組織就可以通過對某個關鍵節點的掃描跟蹤來竊取用戶信息。也就是說從技術層面上截取用戶信息的可能性是顯然存在的。
2.網絡小甜餅cookie。某些Web站點會在用戶的硬盤上用文本文件存儲一些信息,這些文件被稱為Cookie,包含的信息與用戶和用戶的愛好有關。現在的許多網站在每個訪客進入網站時將cookie放入訪客電腦,不僅能知道用戶在網站上買了些什么,還能掌握該用戶在網站上看過哪些內容,總共逗留了多長時間等,以便了解網站的流量和頁面瀏覽數量。另外,網絡廣告商也經常用cookie來統計廣告條幅的點擊率和點擊量,從而分析訪客的上網習慣,并由此調整廣告策略。一些廣告公司還進一步將所收集到的這類信息與用戶在其他許多網站的瀏覽活動聯系起來。這顯然侵犯了他人的隱私。
3.網絡服務提供商(ISP)在網絡隱私權保護中的責任。ISP對電子商務中隱私權保護的責任,包括:在用戶申請或開始使用服務時告知使用因特網可能帶來的對個人權利的危害;告知用戶可以合法使用的降低風險的技術方法;采取適當的步驟和技術保護個人的權利,特別是保證數據的統一性和秘密性,以及網絡和基于網絡提供的服務的物理和邏輯上的安全;告知用戶匿名訪問因特網及參加一些活動的權利;不為促銷目的而使用數據,除非得到用戶的許可;對適當使用數據負有責任,必須向用戶明確個人權利保護措施;在用戶開始使用服務或訪問ISP站點時告知其所采集、處理、存儲的信息內容、方式、目的和使用期限;在網上公布數據應謹慎。
目前,網上的許多服務都是免費的,如免費電子郵箱、免費下載軟件、免費登錄為用戶或會員以接收一些信息以及一些免費的咨詢服務等,然而人們發現在接受這些免費服務時,必經的一道程序就是登錄個人的一些資料,如姓名、地址、工作、興趣愛好等,服務提供商會聲稱這是為了方便管理,但是,也存在著服務商將這些信息挪作他用甚至出賣的可能。
三、安全技術對網絡隱私權保護
1.電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于安全技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、系統安全監測報警技術等。
(1)防火墻技術。防火墻(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。
(2)加密技術。數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數據加密原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。
(3)數字簽名技術。數字簽名(Digital??Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整、不可否認服務中都要用到數字簽名技術。
(4)數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳(DigitaTime-stamp)的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。
2.電子商務信息安全協議
(1)安全套接層協議(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年設計開發的,主要用于提高應用程序之間的數據的安全系數。SSL的整個概念可以被總結為:一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協議,該協議向基于TCP/IP的客戶、服務器應用程序提供了客戶端與服務的鑒別、數據完整性及信息機密性等安全措施。
(2)安全電子交易公告(SecureElectronicTransactions,SET)。SET是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統規范。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。SET已成為全球網絡的工業標準。
(3)安全超文本傳輸協議(S-HTTP)。依靠密鑰的加密,保證Web站點間的交換信息傳輸的安全性。SHTTP對HT-TP的安全性進行了擴充,增加了報文的安全性,是基于SSL技術上發展的。該協議向互聯網的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。
(4)安全交易技術協議(STT)。STT將認證與解密在瀏覽器中分離開,以提高安全控制能力。
(5)UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。
3.P2P技術與網絡信息安全。P2P(Peer-to-Peer,即對等網絡)是近年來廣受IT業界關注的一個概念。P2P是一種分布式網絡,最根本的思想,同時它與C/S最顯著的區別在于網絡中的節點(peer)既可以獲取其它節點的資源或服務,同時,又是資源或服務的提供者,即兼具Client和Server的雙重身份。一般P2P網絡中每一個節點所擁有的權利和義務都是對等的,包括通訊、服務和資源消費。
(1)隱私安全性
①目前的Internet通用協議不支持隱藏通信端地址的功能。攻擊者可以監控用戶的流量特征,獲得IP地址。甚至可以使用一些跟蹤軟件直接從IP地址追蹤到個人用戶。SSL之類的加密機制能夠防止其他人獲得通信的內容,但是這些機制并不能隱藏是誰發送了這些信息。而在P2P中,系統要求每個匿名用戶同時也是服務器,為其他用戶提供匿名服務。由于信息的傳輸分散在各節點之間進行而無需經過某個集中環節,用戶的隱私信息被竊聽和泄漏的可能性大大縮小。P2P系統的另一個特點是攻擊者不易找到明確的攻擊目標,在一個大規模的環境中,任何一次通信都可能包含許多潛在的用戶。
②目前解決Internet隱私問題主要采用中繼轉發的技術方法,從而將通信的參與者隱藏在眾多的網絡實體之中。而在P2P中,所有參與者都可以提供中繼轉發的功能,因而大大提高了匿名通訊的靈活性和可靠性,能夠為用戶提供更好的隱私保護。
(2)對等誠信
為使得P2P技術在更多的電子商務中發揮作用,必須考慮到網絡節點之間的信任問題。實際上,對等誠信由于具有靈活性、針對性并且不需要復雜的集中管理,可能是未來各種網絡加強信任管理的必然選擇。
對等誠信的一個關鍵是量化節點的信譽度。或者說需要建立一個基于P2P的信譽度模型。信譽度模型通過預測網絡的狀態來提高分布式系統的可靠性。一個比較成功的信譽度應用例子是在線拍賣系統eBay。在eBay的信譽度模型中,買賣雙方在每次交易以后可以相互提升信譽度,一名用戶的總的信譽度為過去6個月中這些信譽度的總和。eBay依靠一個中心來管理和存儲信譽度。同樣,在一個分布式系統中,對等點也可以在每次交易以后相互提升信譽度,就象在eBay中一樣。例如,對等點i每次從j下載文件時,它的信譽度就提升(+1)或降低(-1)。如果被下載的文件是不可信的,或是被篡改過的,或者下載被中斷等,則對等點i會把本次交易的信譽度記為負值(-1)。就象在eBay中一樣,我們可以把局部信譽度定義為對等點i從對等點j下載文件的所有交易的信譽度之和。
每個對等點i可以存貯它自身與對等點j的滿意的交易數,以及不滿意的交易數,則可定義為:
Sij=sat(i,j)-unsat(i,j)
四、電子商務中的隱私安全對策
1.加強網絡隱私安全管理。我國網絡隱私安全管理除現有的部門分工外,要建立一個具有高度權威的信息安全領導機構,才能有效地統一、協調各部門的職能,研究未來趨勢,制定宏觀政策,實施重大決定。
2.加快網絡隱私安全專業人才的培養。在人才培養中,要注重加強與國外的經驗技術交流,及時掌握國際上最先進的安全防范手段和技術措施,確保在較高層次上處于主動。
3.開展網絡隱私安全立法和執法。加快立法進程,健全法律體系。結合我國實際,吸取和借鑒國外網絡信息安全立法的先進經驗,對現行法律體系進行修改與補充,使法律體系更加科學和完善。
4.抓緊網絡隱私安全基礎設施建設。國民經濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現。為此,需要建立中國的公開密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。
5.建立網絡風險防范機制。在網絡建設與經營中,因為安全技術滯后、道德規范蒼白、法律疲軟等原因,往往會使電子商務陷于困境,這就必須建立網絡風險防范機制。建議網絡經營者可以在保險標的范圍內允許標保的財產進行標保,并在出險后進行理賠。
6.強化網絡技術創新,重點研究關鍵芯片與內核編程技術和安全基礎理論。統一組織進行信息安全關鍵技術攻關,以創新的思想,超越固有的約束,構筑具有中國特色的信息安全體系。
7.注重網絡建設的規范化。沒有統一的技術規范,局部性的網絡就不能互連、互通、互動,沒有技術規范也難以形成網絡安全產業規模。目前,國際上出現許多關于網絡隱私安全的技術規范、技術標準,目的就是要在統一的網絡環境中保證隱私信息的絕對安全。我們應從這種趨勢中得到啟示,在同國際接軌的同時,拿出既符合國情又順應國際潮流的技術規范。
參考文獻:
[1]屈云波.電子商務[M].北京:企業管理出版社,1999.
[2]趙立平.電子商務概論[M].上海:復旦大學出版社,2000.
篇11
計算機安全技術既計算機信息系統安全技術,是指為防止外部破壞、攻擊及信息竊取,以保證計算機系統正常運行的防護技術。下面我就從計算機安全技術的研究領域、包括方面兩個角度出發來進行探討。
1.1計算機安全技術主要有兩個研究領域
一是計算機防泄漏技術。即通過無線電技術對計算機進行屏蔽、濾波、接地,以達到防泄漏作用。
二是計算機信息系統安全技術。即通過加強安全管理,改進、改造系統的安全配置等方法,以防御由于利用計算機網絡服務、系統配置、操作系統及系統源代碼等安全隱患而對計算機信息系統進行的攻擊,使計算機信息系統安全運行。
1.2計算機安全技術包括方面
計算機的安全技術包括兩個方面:個人計算機的安全技術,計算機網絡的安全技術。
1.2.1個人計算機的安全技術
個人計算機的安全技術是影響到使用個人電腦的每個用戶的大事。它包括硬件安全技術、操作系統安全技術、應用軟件安全技術、防病毒技術。在這里我們主要討論硬件安全技術和操作系統安全技術。
硬件安全技術是指外界強電磁對電腦的干擾、電腦在工作時對外界輻射的電磁影響,電腦電源對電網電壓的波動的反應、CPU以及主板的電壓和電流適應范圍、串并口時熱拔插的保護、機箱內絕緣措施、顯示器屏幕對周圍電磁干擾的反應和存儲介質的失效等等。目前,這種單機的硬件保護問題在技術上相對簡單一點,一般來說,凡是嚴格按照IS9001標準進行采購、生產、管理、銷售的企業都可以保證上述安全問題能有相應的解決措施。
操作系統安全技術是指目前常用的PC操作系統的安全問題,包括DOS、WINDOWS的安全問題。由于WIN—DOWS系統在日常生活中被大多數人所熟知,這里我們就以WINDOWS系統為例來分析操作系統的安全技術。
WINDOWS系統在安全技術方面采取了軟件加密和病毒防治兩種手段來保證操作系統的安全。軟件加密由三個部分組成:反跟蹤、指紋識別、目標程序加/解密變換。三個部分相互配合,反跟蹤的目的是保護指紋識別和解密算法。指紋識別判定軟件的合法性,而加/解密變換則是避免暴露目標程序。病毒防治原理是由于Windows的文件系統依賴于DOS,所以擴充現有的基于DOS的病毒防治軟件。使之能夠識別Windows可執行文件格式(NE格式),是一種行之有效的方法,在病毒的檢測、清除方面則需要分析Win—dows病毒的傳染方式和特征標識,擴充現有的查毒、殺毒軟件。
1.2.2計算機網絡的安全技術
計算機安全特別是計算機網絡安全技術越來越成為能夠謀取較高經濟效益并具有良好市場發展前景的高新技術及產業。自從計算機網絡暴露出安全脆弱問題且受到攻擊后,人們就一直在研究計算機網絡安全技術,以求把安全漏洞和風險降低到力所能及的限度,因此出現了一批安全技術和產品。
(1)安全內核技術。
人們開始在操作系統的層次上考慮安全性。嘗試把系統內核中可能引起安全問題的部分從內核中剔出去。使系統更安全。如So-laris操作系統把靜態的口令放在一個隱含文件中,使系統更安全。
(2)Kerberos系統的鑒別技術。
它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶。如是合法用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。Kerberos系統在分布式計算機環境中得到了廣泛的應用,其特點是:安全性高、明性高、擴展性好。
(3)防火墻技術。
防火墻即在被保護網絡和因特網之間,或在其他網絡之間限制訪問的一種部件或一系列部件。
防火墻技術是目前計算機網絡中備受關注的安全技術。在目前的防火墻產品的設計與開發中,安全內核、系統、多級過濾、安全服務器和鑒別與加密是其關鍵所在。防火墻技術主要有數據包過濾、服務器、SOCKS協議、網絡反病毒技術等方面組成,共同完成防火墻的功能效應。
2其在電子商務中的應用
隨著網絡技術和信息技術的飛速發展
,電子商務得到了越來越廣泛的應用,但電子商務是以計算機網絡為基礎載體的,大量重要的身份信息、會計信息、交易信息都需要在網上進行傳遞,在這樣的情況下,電子商務的安全性是影響其成敗的一個關鍵因素。
2.1電子商務含義
電子商務是利用計算機技術、網絡技術和遠程通信技術實現整個商務過程中的電子化、數字化和網絡化。人們不再是面對面的、看著實實在在的貨物、靠紙介質單據進行買賣交易,而是通過網絡,通過網上琳瑯滿目的商品信息、完善的物流配送系統和方便安全的資金結算系統進行交易。
整個交易的過程可以分為三個階段:第一個階段是信息交流階段;第二階段是簽定商品合同階段;第三階段是按照合同進行商品交接、資金結算階段。
2.2電子商務安全隱患
2.2.1截獲傳輸信息
攻擊者可能通過公共電話網、互聯網或在電磁波輻射范圍內安裝接收裝置等方式。截取機密信息;或通過對信息長度、流量、流向和通信頻度等參數進行分析。獲得如用戶賬號、密碼等有用信息。
2.2.2偽造電子郵件
虛開網上商店。給用戶發電子郵件,偽造大量用戶的電子郵件,窮盡商家資源,使合法用戶不能訪問網絡。使有嚴格時間要求的服務不能及時得到響應。
2.2.3否認已有交易
者事后否認曾發送過某條信息或內容,接收者事后否認曾收到過某條信息或內容;購買者不承認下過訂貨單;商家不承認賣出過次品等。
2.3電子商務交易中的一些計算機安全安全技術
針對以上問題現在廣泛采用了身份識別技術數據加密技術、數字簽名技術和放火墻技術。
2.3.1身份識別技術
通過電子網絡開展電子商務。身份識別問題是一個必須解決的同題。一方面,只有合法用戶才可以使用網絡資源,所以網絡資源管理要求識別用戶的身份;另一方面,傳統的交易方式,交易雙方可以面對面地談判交涉。很容易識別對方的身份。通過電子網絡交易方式。交易雙方不見面,并且通過普通的電子傳輸信息很難確認對方的身份,因此,電子商務中的身份識別問題顯得尤為突出。
2.3.2數據加密技術
篇12
我國大多數企業對電子商務認識有一個誤區,就是簡單地把電子商務理解為商品的電子交易。其實,“電子”只是手段,“商務”才是核心。拿從事網上銷售的企業來說,除了把商品放在網上銷售之外,還要有傳統零售企業的特點才能成功。很多企業就是因為對此理解不夠而蒙受了巨大的損失。
就在本月初,北京西單商場公告,宣布對旗下的IGO5電子商務網站進行注銷清算。筆者曾經登錄過這家網站,在它的網頁上,小至戒指,大到汽車用品都可以看到,可以稱得上是一個真正的網上百貨商店,但浩如煙海的信息讓用戶很難找到自己想要的商品,西單商場的品牌也因此在網上失去了吸引力。一位加盟商還向記者抱怨,自從加盟后就沒見IGO5做過什么市場活動,網站點擊量上不去,自然就不會有人氣和銷售額。結果這家網站在兩年內虧損了1600萬元人民幣。據了解,目前北京近一半的連鎖零售企業開設了自己的購物網站,而這些網站幾乎全部成了企業的軟肋,存在著不同程度的虧損。這些網站失敗的原因正像業內人士分析的那樣,物質上購買了設備、軟件,但腦袋里根本沒有理解什么是電子商務,管理理念上不去,上什么都白費。
安全、信用問題制約了中國電子商務發展
去年年底,寧波人孫惠剛辦理了網上銀行注冊。網上銀行剛剛用了三個月,孫惠剛在網上銀行賬戶上的9萬元存款、有價證券就全部被盜。中國電子商務不斷暴露的信用、安全問題已經影響到了電子商務自身的發展。中國工程院院士沈昌祥認為,那種以為只要技術到位,平臺搭好了,電子商務就接近成功的觀點是錯誤的,只有認證、支付等問題解決了,建立起一個安全的商務環境,才能真正實現電子商務。
為了解決這一問題,我國從2000年起就醞釀在電子商務方面立法。今年3月24日,國務院原則通過了《電子簽名法(草案)》。專家認為,該法案一旦正式實施,將可以大大降低網上交易的風險。
立法可以解決安全問題,但電子商務的信用問題卻依然存在。與國外不同,中國信用體系面臨著信用信息條塊分割的問題。銀行、稅務、法律等部門都有各自的信息庫,但這些信息很難聯網,更不要說與全社會共享了。另外,運行電子商務所需硬件和軟件的關鍵技術都掌握在外國公司手中,對我國關鍵部門、關鍵數據造成了安全隱患,這應該引起有關部門的高度重視。
外商占領中國高端電子商務市場
盡管國內電子商務環境遠遠談不上成熟,但國外電子商務硬件、軟件制造商對從中國電子商務市場中獲利信心十足。國際數據集團的總裁麥戈文曾說:“世界范圍內信息產業的年增長率為17%,而中國則是35%。”信息產業的快速發展顯然會帶來電子商務市場的迅速增長。因此,IBM、惠普、太陽、英特爾等世界IT巨頭都看好中國電子商務市場這塊大蛋糕。
憑借著資金、技術優勢和高明的商業策略,外資公司正在逐步占據中國電子商務軟、硬件市場的主導地位,尤其是在利潤最豐厚的高端市場,中國企業簡直被徹底排擠在外。比如IBM就將中石油、中國銀行等超大客戶攬入了自己的懷抱。
篇13
一、電子商務的安全威脅美國密執安大學的一個調查機構曾對23000名因特網用戶做了一個調查。調查顯示超過60%的人由于擔心電子商務的安全問題而不愿意在網上購物。同樣的調查顯示,任何個人、企業或商業機構以及銀行都不會通過一個不安全的網絡進行商務交易,一旦遭到攻擊,就會導致商業機密信息或個人隱私的泄漏,從而造成巨大的損失,對電子商務的安全威脅主要包括:信息的截獲和竊取、信息的篡改、信息假冒、交易抵賴等。
二、電子商務的安全要素
1。有效性。EC作為貿易的一種形式,其信息的有效性直接關系到個人、企業或國家的經濟利益和聲譽。因此,要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
2。機密性。EC是建立在開放的網絡環境上的,維護商業機密是EC全面推廣應用的重要保障。因此,要預防非法信息存取和信息在傳輸過程中被非法竊取。
3。完整性。EC簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是EC應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的統一。
4。可靠性。如何確定要進行交易的貿易方正是進行交易所期望的貿易方,這一問題則是保證EC順利進行的關鍵。在傳統紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。這就是人們常說的“白紙黑字”。在無紙化的EC方式下,通過手寫簽名和印章進行貿易方的鑒別已不可能,因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。
三、電子商務安全的主要技術對策電子商務安全是信息安全的應用,它的技術范圍主要分為網絡安全技術、防火墻技術、加密技術和認證技術等。
1。網絡安全技術。網絡安全是電子商務安全的基礎,一個完整的電子商務系統應建立在安全的網絡基礎設施之上。網絡安全所涉及到的地方比較廣,如操作系統安全,防火墻技術,虛擬專用網技術和各種反黑客技術及漏洞檢測技術等。其中最重要的就是防火墻技術,防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而做出允許/拒絕等正確的判斷。
2。加密技術。加密技術是保證電子商務安全的重要手段。許多密碼算法現己成為網絡安全和商務信息安全的基礎。密碼算法利用密鑰(secretkeys)來對敏感信息進行加密,然后把加密好的數據和密鑰發送給接收者,接收者可利用同樣的算法和傳遞來的密鑰對數據進行解密,從而獲取敏感信息并保證網絡數據的機密性。
3。加密技術包括私鑰加密和公鑰加密。私鑰加密,又稱對稱密鑰加密。即信息的發送方和接收方用一個密鑰去加密和解密數據。目前常用的私鑰加密算法包括DES和IDEA等。公鑰密鑰加密,又稱不對稱密鑰加密系統,它需要使用一對密鑰來分別完成加密和解密操作。一個公開,稱為公開密鑰(PublicKey);另一個由用戶自己秘密保存,稱為私有密鑰(Private-Key)。為了充分利用公鑰密碼和對稱密碼算法的優點,克服其缺點,解決每次傳送更換密鑰的問題,可采取混合密碼系統,即所謂的電子信封(envelope)技術。
4。認證與識別。全面的保護還要求認證和識別,確保參與加密對話的人確實是其本人。認證和識別是指用戶必須提供他是誰的證明。
這個“他”可能是某個雇員,某個組織的、某個軟件過程等等認證的標準方法就是弄清楚他是誰,他具有什么特征,他知道什么可用于識別他的東西。比如說,系統中存儲了他的指紋,他接入網絡時,就必須在連接到網絡的電子指紋機上提供他的指紋,只有指紋相符才允許他訪問系統。更普通的是通過視網膜血管分布圖來識別,原理與指紋識別相同,另外聲波紋識別也是商業系統采用的一種識別方式。
網絡通過用戶擁有什么東西來識別的方法,一般是用智能卡或其它特殊形式的標志,這類標志可以從連接到計算機的讀出器上讀出來。至于說到“他知道什么”,最普通的就是口令,口令具有共享秘密的屬性。更保密的認證可以是幾種方法組合而成。智能卡技術將成為用戶接入和用戶身份認證等安全要求的首選技術。用戶將從持有認證執照的可信發行者手里取得智能卡安全設備,也可從其他公共密鑰密碼安全方案發行者那里獲得。這樣智能卡的讀取器將成為用戶接入和認證安全解決方案的一個關鍵部分。
四、結束語電子商務交易安全的一些典型技術和協議都是對有關電子商務交易安全的外部防范,但是要想使一個商用網絡真正做到安全,不僅要看它所采用的防范措施,而且還要看它的管理措施。只有將這兩者綜合起來考察,才能最終得出該網絡是否安全的結論。因此,只有每個電子商務系統的領導、網絡管理員和用戶都能提高安全意識,健全并嚴格有關網絡安全措施,才能在現有的技術條件下,將電子商務安全風險降至最低。
