電子商務(wù)安全論文大全11篇
時(shí)間:2023-03-22 17:34:01緒論:寫作既是個(gè)人情感的抒發(fā),也是對學(xué)術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇電子商務(wù)安全論文范文,希望它們能為您的寫作提供參考和啟發(fā)。
篇(1)
如果不采用特別的保護(hù)措施,包括電子郵件等在internet中開放傳輸?shù)臄?shù)據(jù)都可能被第三者監(jiān)視和閱讀。考慮到巨大的傳輸量和難以計(jì)數(shù)的傳輸途徑,想任意竊聽一組數(shù)據(jù)傳輸是不可能,但是一些設(shè)置在web服務(wù)器的黑客程序卻可以查找和收集特定類型的數(shù)據(jù),這些數(shù)據(jù)包括信用卡、存款的賬號和相應(yīng)的口令。同時(shí),因?yàn)閕nternet的開放性設(shè)計(jì),數(shù)據(jù)私有性和安全性還包括數(shù)據(jù)傳輸之外的問題,例如:連入internet的數(shù)據(jù)存儲網(wǎng)絡(luò)驅(qū)動器的安全性。所以,任何存儲在web服務(wù)器上的數(shù)據(jù)必須采取保護(hù)措施。
(二)數(shù)據(jù)的完整性
對完整性的安全威脅也叫主動搭線竊取。當(dāng)未經(jīng)授權(quán)方改變了信息流時(shí)就構(gòu)成了對完整性的安全威脅。未保護(hù)的銀行交易很易受到對完整性的攻擊。當(dāng)然,破壞了完整性也就意味著破壞了保密性,因?yàn)槟芨淖冃畔⒌母`取者肯定能閱讀此信息。完整性和保密性間的差別在于:對保密性的安全威脅是指某人看到了他不應(yīng)看到的信息。而對完整性的安全威脅是指某人改動了關(guān)鍵的傳輸。破壞他人網(wǎng)站就是破壞完整性的例子。破壞他人網(wǎng)站是指以電子方式破壞某個(gè)網(wǎng)站的網(wǎng)頁。破壞他人網(wǎng)站的行為相當(dāng)于破壞他人財(cái)產(chǎn)或在公共場所涂鴉。當(dāng)某人用自己的網(wǎng)頁替換某個(gè)網(wǎng)站的正常內(nèi)容時(shí),就說發(fā)生了破壞他人網(wǎng)站的行為。由于internct的開放體系,如果具備了特定的知識和工具,則完全可以更改傳輸中的數(shù)據(jù)。同時(shí),要采取適當(dāng)?shù)拇嫒≡L問控制,以保證數(shù)據(jù)存取系統(tǒng)的安全。在電子商務(wù)中務(wù)必保存數(shù)據(jù)最初的格式和內(nèi)容。
(三)認(rèn)證
在猖獗的網(wǎng)絡(luò)欺詐或者反悔中,網(wǎng)絡(luò)交易者隱身在電腦屏幕背后,身份難以識別的問題是其重要淵源。建立有效的網(wǎng)上交易身份認(rèn)證機(jī)制,提升交易雙方的信用度是有效控制網(wǎng)絡(luò)欺詐的重要途徑,對于電子商務(wù)的健康發(fā)展有著重要作用。交易方的信用問題已經(jīng)成為制約電子商務(wù)發(fā)展的重要瓶頸之一。在現(xiàn)實(shí)社會中,即便有著諸多因素的制約,仍然普遍地存在著信用缺乏的現(xiàn)象,建立完善的信用機(jī)制已經(jīng)成為社會各界的共識。在電子商務(wù)的具體實(shí)現(xiàn)中,首先要確認(rèn)當(dāng)前的通訊、交易和存取要求是合法的。例如,internet中的計(jì)算機(jī)系統(tǒng)的身份是其由IP地址確認(rèn)的。黑客通過IP欺騙,使用虛假的IP地址,從而達(dá)到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發(fā)匿名郵件,或者使用不真實(shí)的郵件用戶名。因此,在電子商務(wù)中必須建立嚴(yán)格的身份認(rèn)證機(jī)制,以確保參加交易各方的身份真實(shí)有效。
(四)不可否認(rèn)性
不可否認(rèn)主要包含數(shù)據(jù)的原始記錄和發(fā)送記錄,確認(rèn)數(shù)據(jù)已經(jīng)完成發(fā)送和接收,防止接收用戶更改原始記錄,防止用戶在已經(jīng)收到數(shù)據(jù)以后否認(rèn)收到數(shù)據(jù),并拖延自己的下一步工作。為了保證交易過程的可操作性,必須采取可靠的方法確保交易過程的真實(shí)性,保證參加電子交易的各方承認(rèn)交易過程的合法性。
簡言之,在internet上實(shí)現(xiàn)電子商務(wù)面臨的任務(wù):(1)私有性,即保證只有發(fā)送者和接收者可以接觸到信息;(2)完整性,即信息在傳輸過程中未經(jīng)任何改動;(3)身份認(rèn)證,即接收方可以確信信息來自發(fā)信者,而不是第三者冒名發(fā)送,發(fā)送方可以確信接收方的身份是真實(shí)的,而不至于發(fā)往與交易無關(guān)的第三方;(4)不可否認(rèn)性,在交易數(shù)據(jù)發(fā)送完成以后,雙方都不能否認(rèn)自己曾經(jīng)發(fā)出或接收過信息。
電子商務(wù)面臨的上述問題主要是由對系統(tǒng)的非法入侵造成的。首先是網(wǎng)絡(luò)黑客,他們通過發(fā)現(xiàn)web服務(wù)器、操作系統(tǒng)或者主頁部件在配置方面的漏洞,攻擊網(wǎng)絡(luò)系統(tǒng)。其次是內(nèi)部入侵,這主要是由企業(yè)IT部門的員工造成的,保護(hù)網(wǎng)絡(luò)的物理安全(如主控機(jī)房)及嚴(yán)格的口令管理制度,是防范該類問題的關(guān)鍵。還有惡意代碼(如計(jì)算機(jī)病毒),它們在企業(yè)的傳播會給電子商務(wù)系統(tǒng)造成嚴(yán)重的損失。另外,值得關(guān)注的是計(jì)算機(jī)系統(tǒng)本身的問題,例如,由于電源造成的系統(tǒng)宕機(jī),以及廣域網(wǎng)絡(luò)的通訊,這些都會直接造成服務(wù)的突然中止,影響電子商務(wù)的形象。我們還應(yīng)關(guān)注系統(tǒng)管理方面的問題,有時(shí)電子商務(wù)出現(xiàn)的問題既非黑客也非系統(tǒng)本身的毛病,而是源于對敏感數(shù)據(jù)處理不善或者是安全系統(tǒng)(如防火墻)的不正確配置。用戶的身份認(rèn)證是計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)工作,數(shù)字簽名加密等技術(shù)在這里可以充分起到作用。
二、電子商務(wù)安全系統(tǒng)關(guān)鍵技術(shù)
(一)ssLVPN技術(shù)
SSL(安全套接層)協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議。它處于應(yīng)用層。SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議(如HTTP、Telnet和FTP等)和TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制,為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負(fù)責(zé)確定用于客戶機(jī)和服務(wù)器之間的會話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯(cuò)誤時(shí)終止兩個(gè)主機(jī)之間的會話。
VPN(虛擬專用網(wǎng))則主要應(yīng)用于虛擬連接網(wǎng)絡(luò),它可以確保數(shù)據(jù)的機(jī)密性并且具有一定的訪問控制功能。VPN是一項(xiàng)非常實(shí)用的技術(shù),它可以擴(kuò)展企業(yè)的內(nèi)部網(wǎng)絡(luò),允許企業(yè)的員工、客戶以及合作伙伴利用Internet訪問企業(yè)網(wǎng),而成本遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的專線接人。過去,VPN總是和IPSec聯(lián)系在一起,因?yàn)樗荲PN加密信息實(shí)際用到的協(xié)議。IPSec運(yùn)行于網(wǎng)絡(luò)層,IPSeeVPN則多用于連接兩個(gè)網(wǎng)絡(luò)或點(diǎn)到點(diǎn)之間的連接。所謂的SSLVPN,其實(shí)是YPN設(shè)備廠商為了與IPsecVPN區(qū)別所創(chuàng)造出來的名詞,指的是使用者利用瀏覽器內(nèi)建的SecureSocketLayer封包處理功能,用瀏覽器連回公司內(nèi)部SSLVPN服務(wù)器,然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式,讓使用者可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序,讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。它采用標(biāo)準(zhǔn)的安全套接層(ssL)對傳輸中的數(shù)據(jù)包進(jìn)行加密,從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。高質(zhì)量的SSLVPN解決方案可保證企業(yè)進(jìn)行安全的全局訪問。在不斷擴(kuò)展的互聯(lián)網(wǎng)Web站點(diǎn)之間、遠(yuǎn)程辦公室、傳統(tǒng)交易大廳和客戶端間,SSLVPN克服了IPSecVPN的不足,用戶可以輕松實(shí)現(xiàn)安全易用、無需客戶端安裝且配置簡單的遠(yuǎn)程訪問,從而降低用戶的總成本并增加遠(yuǎn)程用戶的工作效率。而同樣在這些地方,設(shè)置傳統(tǒng)的IPSecVPN非常困難,甚至是不可能的,這是由于必須更改網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和防火墻設(shè)置。(二)加密技術(shù)
數(shù)據(jù)加密技術(shù)作為一項(xiàng)基本技術(shù),是電子商務(wù)的基石,是電子商務(wù)最基本的信息安全防范措施。其實(shí)質(zhì)是對信息進(jìn)行重新編碼,從而達(dá)到隱藏信息內(nèi)容,使非法用戶無法獲取真實(shí)信息的一種技術(shù)手段,確保數(shù)據(jù)的保密性。基于加/解密所使用的密鑰是否相同,可分為對稱加密和非對稱加密兩類。
(1)對稱加密。對稱加密的加密密鑰和解密密鑰相同,即在發(fā)送方和接收方進(jìn)行安全通信之前,商定一個(gè)密鑰,用這個(gè)密鑰對傳輸數(shù)據(jù)進(jìn)行加密、解密。對稱加密的突出特點(diǎn)是加解密速度快,效率高,適合對大量數(shù)據(jù)加密。缺點(diǎn)是密鑰的傳輸與交換面臨安全問題,且若和大量用戶通信時(shí),難以安全管理大量密鑰。目前,常用的對稱加密算法有DES、3DES、IDEA、Blowfish等。其中,DES(DataEncryptionStandard)算法由IBM公司設(shè)計(jì),是迄今為止應(yīng)用最廣泛的一種算法,也是一種最具代表性的分組加密體制。DES是一種對二元數(shù)據(jù)進(jìn)行加密的算法,數(shù)據(jù)分組長度為64bit,密文分組長度也是64bit,沒有數(shù)據(jù)擴(kuò)展,密鑰長度為64bit,其中有8bit奇偶校驗(yàn),有效密鑰長度為56bit。加密過程包括16輪的加密迭代,每輪都采用一種乘積密碼方式(代替和移位)。DES整個(gè)體制是公開的,系統(tǒng)的安全性全靠密鑰的保密。DES算法的入口參數(shù)有3個(gè):Key、Data、Mode。其中,Key為8個(gè)字節(jié)共64位,是DES算法的工作密鑰。Data也是8個(gè)字節(jié)64位,是需被加密或解密的數(shù)據(jù)。Mode為DES的工作方式,分為加密或解密兩種。DES算法的步驟為:如Mode為加密,則用Key去對數(shù)據(jù)進(jìn)行加密,生成Data的密碼形式(64位)作為DES輸出結(jié)果。如Mode為解密,則用Key去把密碼形式的數(shù)據(jù)Data解密,還原為Data的明碼形式(64位)作為DES的輸出結(jié)果。DES是一種世界公認(rèn)的較好的加密算法,具有較高的安全性,到目前為止除了用窮舉搜索法對DES算法進(jìn)行攻擊外,尚未發(fā)現(xiàn)更有效的方法。
(2)非對稱加密。非對稱加密的最大特點(diǎn)是采用兩個(gè)密鑰將加密和解密能力分開。一個(gè)公開作為加密密鑰;一個(gè)為用戶專用,作為解密密鑰,通信雙方無需事先交換密鑰就可進(jìn)行保密通信。而要從公開的公鑰或密文分析出明文或密鑰,在計(jì)算上是不可行的。若以公開鑰作為加密密鑰,以用戶專用鑰作為解密密鑰,則可實(shí)現(xiàn)多個(gè)用戶加密的信息只能由一個(gè)用戶解讀。反之,以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰,則可實(shí)現(xiàn)由一個(gè)用戶加密的消息而使多個(gè)用戶解讀,前者可用于保密通信,后者可用于數(shù)字簽字。非對稱加密體制的出現(xiàn)是密碼學(xué)史上劃時(shí)代的事件,為解決計(jì)算機(jī)信息網(wǎng)中的安全提供了新的理論技術(shù)基礎(chǔ)。其優(yōu)點(diǎn)是很好地解決了對稱加密中密鑰數(shù)量過多難以管理的不足,且保密性能優(yōu)于對稱加密算法;缺點(diǎn)是算法復(fù)雜,加密速度不是很理想。
目前,RSA算法是最著名且應(yīng)用最廣泛的公鑰算法,其安全性基于模運(yùn)算的整數(shù)因子分解的困難性。
算法內(nèi)容簡要描述如下:①獨(dú)立選取兩大素?cái)?shù)p和q,計(jì)算n=p×q;其歐拉函數(shù)值z=(p-1)×(q-1)。②隨機(jī)選一整數(shù)e,1≤e由于RSA涉及大數(shù)計(jì)算,無論是硬件或軟件實(shí)現(xiàn)的效率都比較低,不適用對長的明文加密,常用來對密鑰加密,即與對稱密碼體制結(jié)合使用。
(三)網(wǎng)上交易身份認(rèn)證機(jī)制
網(wǎng)上交易身份認(rèn)證對于建立電子商務(wù)業(yè)界的信用機(jī)制起著重要作用,因此如何確認(rèn)網(wǎng)上交易者的身份便成為諸多電子商務(wù)網(wǎng)站迫切希望解決的問題。
(1)在目前網(wǎng)絡(luò)法律制度還不健全的時(shí)代,自律機(jī)制非常重要,網(wǎng)絡(luò)交易的有效性和真實(shí)性在一定程度上能夠反映這個(gè)國家的信用機(jī)制的完善程度。相對而言,國外的電子商務(wù)信用體系相對較高,其交易身份認(rèn)證多與信用卡等銀行信用記錄掛鉤,而我國則更多的是通過手機(jī)和身份證等方式進(jìn)行。
(2)一些網(wǎng)上交易平臺為了幫助交易雙方打消顧慮,順利進(jìn)行交易,提供第三方介入的支付方式,以保護(hù)雙方的合法利益,這種機(jī)制對于維護(hù)網(wǎng)上交易的誠信起到了很好的作用。
(3)電子郵件在電子商務(wù)交易中對子商務(wù)交易者的身份認(rèn)證機(jī)制起著重要作用。電子郵件一旦重復(fù)則易造成無法注冊,甚至很多網(wǎng)站要求用戶兩次輸入有效的電子郵件以進(jìn)行確認(rèn),以確保之后的所有信息能夠順利進(jìn)行,所有的網(wǎng)站均將用戶的電子郵件作為聯(lián)系用戶和確認(rèn)用戶諸多信息的重要聯(lián)系方式,其便捷性毋庸置疑。但是,在電子郵件收費(fèi)的模式基本上發(fā)展前景不甚明朗的今天其有效性和真實(shí)性還值得商榷。
(4)用戶注冊中所提交的資料即身份認(rèn)證過程中會涉及到很多可以列為用戶隱私權(quán)保護(hù)的信息,因此,在進(jìn)行身份認(rèn)證時(shí)還需要考慮隱私權(quán)保護(hù)問題。現(xiàn)在幾乎所有的電子商務(wù)網(wǎng)站上都有隱私權(quán)法律聲明,或者在用戶填寫過程中就通過鏈接的形式彈出窗口聲明用戶的這些資料將被用于那些用途。盡管如此,由于網(wǎng)絡(luò)上沒有絕對的安全,如果由于技術(shù)上的原因?qū)е掠脩舻纳矸菡J(rèn)證資料泄露給他人,甚至被他人用于牟利或者其他非法目的,網(wǎng)站是否應(yīng)該承擔(dān)責(zé)任、應(yīng)該承擔(dān)什么樣的責(zé)任,也是身份認(rèn)證機(jī)制應(yīng)該考慮的問題。
篇(2)
電子商務(wù)是一個(gè)跨國界,跨地區(qū),跨行業(yè)的多種技術(shù)綜合集成與不同社會經(jīng)濟(jì)文化背景形成的各種習(xí)俗不斷沖突,不斷協(xié)調(diào)和不斷統(tǒng)一的綜合性社會系統(tǒng)工程。電子商務(wù)安全策略保障電子商務(wù)各個(gè)主體的切身利益。電子商務(wù)安全策略是以人為本,從各主體的角度思考,綜合協(xié)調(diào)了各個(gè)市場主體的行為,從根本上保障了消費(fèi)者、企業(yè)、電子商務(wù)網(wǎng)站等市場主體的切身利益,它為實(shí)現(xiàn)電子商務(wù)提供了統(tǒng)一的基礎(chǔ)平臺和安全屏障。
一、電子商務(wù)安全技術(shù)保障策略
安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有以下幾種:
1.密碼技術(shù)。密碼技術(shù)包括加密技術(shù)和解密技術(shù)。加密是將信息經(jīng)過加密密鑰及加密函數(shù)轉(zhuǎn)換,變成無意義的密文。而解密則是將密文經(jīng)過解密函數(shù)、解密密鑰處理還原成原文。密碼技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)。
2.身份驗(yàn)證技術(shù)。電子商務(wù)主體向系統(tǒng)證明自己身份,并由系統(tǒng)查核該主體的過程,是確認(rèn)真實(shí)有效身份的重要環(huán)節(jié),這個(gè)過程叫作身份驗(yàn)證。常用的驗(yàn)證技術(shù)有報(bào)文鑒別、身份鑒別和電子簽名。
3.訪問控制技術(shù)。訪問控制是指對電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中各種資源訪問時(shí)的權(quán)限確認(rèn),防止非法訪問。它包括有關(guān)的策略、模型、機(jī)制的基礎(chǔ)理論與實(shí)現(xiàn)方法。
4.防火墻技術(shù)。防火墻是用一組網(wǎng)絡(luò)設(shè)備來加強(qiáng)一個(gè)網(wǎng)絡(luò)與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾、應(yīng)用、電路網(wǎng)關(guān)。
二、企業(yè)電子商務(wù)安全運(yùn)營管理制度保障策略
企業(yè)電子商務(wù)安全運(yùn)營管理制度是用文字的形式對各項(xiàng)安全要求所做的規(guī)定,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ),是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則。這些制度主要包括人員管理制度,保密制度,跟蹤審計(jì)制度,系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度等。
1.人員管理制度人員管理制度主要從人員的選拔,工作責(zé)任的落實(shí)和安全運(yùn)作必須遵循的基本原則制定相應(yīng)的工作制度。
2.保密制度電子商務(wù)系統(tǒng)涉及企業(yè)的市場、生產(chǎn)、財(cái)務(wù)、供應(yīng)鏈等多方面的機(jī)密,這些方面都是需要很好地劃分信息安全級別,并確定安全防范重點(diǎn),提出相應(yīng)的保密措施。
3.跟蹤審計(jì)制度跟蹤制度就是要求企業(yè)建立網(wǎng)絡(luò)交易的日志機(jī)制,來記錄網(wǎng)絡(luò)交易的全過程。而審計(jì)制度是對系統(tǒng)日志的經(jīng)常檢查、審核,及時(shí)發(fā)現(xiàn)對系統(tǒng)有安全隱患的記錄,監(jiān)控各種安全事故,維護(hù)和管理系統(tǒng)日志。
4.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)包括硬件的日常維護(hù)和軟件的日常維護(hù),硬件維護(hù)主要是對網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機(jī)以及通信線路進(jìn)行定期規(guī)范地巡查、檢修;軟件維護(hù)主要是規(guī)范地對支撐軟件的定期清理和整理、監(jiān)測、處理特殊情況以及對應(yīng)用軟件的升級等。
5.數(shù)據(jù)備份制度數(shù)據(jù)備份主要是利用多種介質(zhì)對信息系統(tǒng)數(shù)據(jù)進(jìn)行存儲,定期為重要信息備份、系統(tǒng)設(shè)備備份,并定期更新,以減少安全事故發(fā)生時(shí)造成的損失。
三、電子商務(wù)立法策略
電子商務(wù)安全得到法律保障,首先必須完善電子商務(wù)安全相關(guān)的法律。如何構(gòu)建一個(gè)有針對性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。
1.立法目的電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙;消除現(xiàn)有法律適用上的不確定性,保護(hù)合理的商業(yè)行為,保障電子交易安全;建立一個(gè)清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。
2.立法范圍電子商務(wù)安全方面需要的法律法規(guī)主要有:市場準(zhǔn)入制度、合同有效認(rèn)證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法,知識產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過濾等;電子商務(wù)調(diào)整的對象是電子商務(wù)中的各種社會關(guān)系。[3.立法途徑電子商務(wù)法律仍然是調(diào)整社會關(guān)系,所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核,尤其是基礎(chǔ)價(jià)值觀。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。對于傳統(tǒng)法律沒有規(guī)定的,即由電子商務(wù)帶來的新的社會關(guān)系,應(yīng)盡快制定法律規(guī)范;第二是修改或重新解釋既定的法律規(guī)范。對于傳統(tǒng)法律的規(guī)定不明確,或與電子商務(wù)新型社會關(guān)系有沖突甚至存在缺欠的,可以修改或重新解釋既定的法律規(guī)范。
四、政府監(jiān)督管理策略
電子商務(wù)本質(zhì)是一種市場運(yùn)作模式,市場的正常健康有序地發(fā)展,必須有政府宏觀上的監(jiān)督與管理,以協(xié)調(diào)和規(guī)范各市場主體的行為,宏觀監(jiān)督與管理電子商務(wù)運(yùn)行中的安全保障體系。
1.計(jì)算機(jī)信息系統(tǒng)安全管理計(jì)算機(jī)信息系統(tǒng),是指“由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。”計(jì)算機(jī)安全保護(hù)規(guī)范主要有計(jì)算機(jī)安全等級保護(hù)制度,計(jì)算機(jī)系統(tǒng)使用單位安全負(fù)責(zé)制度,計(jì)算機(jī)案件強(qiáng)行報(bào)告制度,計(jì)算機(jī)病毒及其有害數(shù)據(jù)的專管制度與計(jì)算機(jī)信息安全專用產(chǎn)品銷售許可證制度。對計(jì)算機(jī)信息系統(tǒng)安全的保護(hù),有利于保障國家的安全和社會安定,促進(jìn)電子商務(wù)的安全交易過程,有利電子商務(wù)的健康發(fā)展。
2.網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理由于網(wǎng)絡(luò)的開放性,自由性等特征決定了網(wǎng)絡(luò)廣告監(jiān)管的難度,虛假廣告、廣告充斥著網(wǎng)絡(luò)空間,網(wǎng)絡(luò)廣告已經(jīng)發(fā)展成為一個(gè)社會問題。網(wǎng)絡(luò)廣告管理應(yīng)該從三個(gè)方面入手:第一,網(wǎng)絡(luò)廣告組織的管理,必須對網(wǎng)站廣告經(jīng)營主體資格進(jìn)行管制,第二,規(guī)范網(wǎng)絡(luò)廣告內(nèi)容,確保廣告內(nèi)容的真實(shí)性、合法性和科學(xué)性。第三,需要有具體的廣告審查管制、評估與監(jiān)測部門。
國家針對網(wǎng)絡(luò)服務(wù)業(yè)和網(wǎng)絡(luò)用戶管理已經(jīng)頒布了《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》,其中提出了詳細(xì)具體的限制條件。但是,網(wǎng)絡(luò)飛速發(fā)展,面對網(wǎng)絡(luò)中的新問題,還必須進(jìn)一步深入全面地研究。
3.認(rèn)證機(jī)構(gòu)管理認(rèn)證機(jī)構(gòu)是電子商務(wù)活動中專門從事頒發(fā)認(rèn)證證書的機(jī)構(gòu),對電子商務(wù)交易活動順利進(jìn)行,電子商務(wù)活動中交易參與各方身份和信息認(rèn)定,維護(hù)交易安全具有重要作用。對認(rèn)證機(jī)構(gòu)的管理主要是通過對設(shè)立的條件、撤消或者頒發(fā)許可證等營業(yè)資格而進(jìn)行審批監(jiān)督;同時(shí),還要針對其資產(chǎn)和財(cái)務(wù)狀況定期審查,以免發(fā)生財(cái)務(wù)危機(jī),對其信息披露與保密情況、安全系統(tǒng)運(yùn)行情況等方面進(jìn)行不定期或定期監(jiān)督檢查。
4.加強(qiáng)社會信用道德建設(shè),構(gòu)建和諧安全電子商務(wù)電子商務(wù)安全問題其中有很大部分是由電子商務(wù)用戶或從業(yè)人員的信用道德問題引發(fā)的,在我國尤其嚴(yán)重,甚至大家感嘆電子商務(wù)在我國“水土不服”。對于新型的商業(yè)運(yùn)作模式,必然存在不少漏洞,這需要廣大電子商務(wù)市場主體有良好的電子商務(wù)道德意識。除了從法律上采取措施,更重要的是政府要加強(qiáng)電子商務(wù)市場主體自身的道德建設(shè),加強(qiáng)輿論監(jiān)督和企業(yè)自律,充分利用網(wǎng)絡(luò)新聞輿論監(jiān)督,消費(fèi)者輿論監(jiān)督和行業(yè)協(xié)會的管理監(jiān)督。
五、結(jié)束語
電子商務(wù)安全不僅涉及到電子商務(wù)公司、企業(yè)、消費(fèi)者的利益,而且更加廣泛地涉及經(jīng)濟(jì)、政治、國防、文化等諸多方面,關(guān)系到國家的安全、和社會的穩(wěn)定。電子商務(wù)安全策略確保電子商務(wù)的快速、健康地發(fā)展。電子商務(wù)安全是目前電子商務(wù)發(fā)展的瓶頸,只有解決了電子商務(wù)安全,保障了市場主體的利益,才能得到網(wǎng)絡(luò)用戶的認(rèn)可和參與,電子商務(wù)自身也才能得到快速、健康地發(fā)展。
參考文獻(xiàn)
[1]林寧,吳志剛.我國信息安全技術(shù)標(biāo)準(zhǔn)化現(xiàn)狀[J].中國標(biāo)準(zhǔn)化,2007(4)
篇(3)
電子商務(wù)是一個(gè)跨國界,跨地區(qū),跨行業(yè)的多種技術(shù)綜合集成與不同社會經(jīng)濟(jì)文化背景形成的各種習(xí)俗不斷沖突,不斷協(xié)調(diào)和不斷統(tǒng)一的綜合性社會系統(tǒng)工程。電子商務(wù)安全策略保障電子商務(wù)各個(gè)主體的切身利益。電子商務(wù)安全策略是以人為本,從各主體的角度思考,綜合協(xié)調(diào)了各個(gè)市場主體的行為,從根本上保障了消費(fèi)者、企業(yè)、電子商務(wù)網(wǎng)站等市場主體的切身利益,它為實(shí)現(xiàn)電子商務(wù)提供了統(tǒng)一的基礎(chǔ)平臺和安全屏障。
一、電子商務(wù)安全技術(shù)保障策略
安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有以下幾種:
1.密碼技術(shù)。密碼技術(shù)包括加密技術(shù)和解密技術(shù)。加密是將信息經(jīng)過加密密鑰及加密函數(shù)轉(zhuǎn)換,變成無意義的密文。而解密則是將密文經(jīng)過解密函數(shù)、解密密鑰處理還原成原文。密碼技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)。
2.身份驗(yàn)證技術(shù)。電子商務(wù)主體向系統(tǒng)證明自己身份,并由系統(tǒng)查核該主體的過程,是確認(rèn)真實(shí)有效身份的重要環(huán)節(jié),這個(gè)過程叫作身份驗(yàn)證。常用的驗(yàn)證技術(shù)有報(bào)文鑒別、身份鑒別和電子簽名。
3.訪問控制技術(shù)。訪問控制是指對電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中各種資源訪問時(shí)的權(quán)限確認(rèn),防止非法訪問。它包括有關(guān)的策略、模型、機(jī)制的基礎(chǔ)理論與實(shí)現(xiàn)方法。
4.防火墻技術(shù)。防火墻是用一組網(wǎng)絡(luò)設(shè)備來加強(qiáng)一個(gè)網(wǎng)絡(luò)與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾、應(yīng)用、電路網(wǎng)關(guān)。
二、企業(yè)電子商務(wù)安全運(yùn)營管理制度保障策略
企業(yè)電子商務(wù)安全運(yùn)營管理制度是用文字的形式對各項(xiàng)安全要求所做的規(guī)定,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ),是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則。這些制度主要包括人員管理制度,保密制度,跟蹤審計(jì)制度,系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度等。
1.人員管理制度人員管理制度主要從人員的選拔,工作責(zé)任的落實(shí)和安全運(yùn)作必須遵循的基本原則制定相應(yīng)的工作制度。
2.保密制度電子商務(wù)系統(tǒng)涉及企業(yè)的市場、生產(chǎn)、財(cái)務(wù)、供應(yīng)鏈等多方面的機(jī)密,這些方面都是需要很好地劃分信息安全級別,并確定安全防范重點(diǎn),提出相應(yīng)的保密措施。
3.跟蹤審計(jì)制度跟蹤制度就是要求企業(yè)建立網(wǎng)絡(luò)交易的日志機(jī)制,來記錄網(wǎng)絡(luò)交易的全過程。而審計(jì)制度是對系統(tǒng)日志的經(jīng)常檢查、審核,及時(shí)發(fā)現(xiàn)對系統(tǒng)有安全隱患的記錄,監(jiān)控各種安全事故,維護(hù)和管理系統(tǒng)日志。
4.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)包括硬件的日常維護(hù)和軟件的日常維護(hù),硬件維護(hù)主要是對網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機(jī)以及通信線路進(jìn)行定期規(guī)范地巡查、檢修;軟件維護(hù)主要是規(guī)范地對支撐軟件的定期清理和整理、監(jiān)測、處理特殊情況以及對應(yīng)用軟件的升級等。
5.數(shù)據(jù)備份制度數(shù)據(jù)備份主要是利用多種介質(zhì)對信息系統(tǒng)數(shù)據(jù)進(jìn)行存儲,定期為重要信息備份、系統(tǒng)設(shè)備備份,并定期更新,以減少安全事故發(fā)生時(shí)造成的損失。
三、電子商務(wù)立法策略
電子商務(wù)安全得到法律保障,首先必須完善電子商務(wù)安全相關(guān)的法律。如何構(gòu)建一個(gè)有針對性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。
1.立法目的電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙;消除現(xiàn)有法律適用上的不確定性,保護(hù)合理的商業(yè)行為,保障電子交易安全;建立一個(gè)清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。
2.立法范圍電子商務(wù)安全方面需要的法律法規(guī)主要有:市場準(zhǔn)入制度、合同有效認(rèn)證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法,知識產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過濾等;電子商務(wù)調(diào)整的對象是電子商務(wù)中的各種社會關(guān)系。
3.立法途徑電子商務(wù)法律仍然是調(diào)整社會關(guān)系,所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核,尤其是基礎(chǔ)價(jià)值觀。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。對于傳統(tǒng)法律沒有規(guī)定的,即由電子商務(wù)帶來的新的社會關(guān)系,應(yīng)盡快制定法律規(guī)范;第二是修改或重新解釋既定的法律規(guī)范。對于傳統(tǒng)法律的規(guī)定不明確,或與電子商務(wù)新型社會關(guān)系有沖突甚至存在缺欠的,可以修改或重新解釋既定的法律規(guī)范。
四、政府監(jiān)督管理策略
電子商務(wù)本質(zhì)是一種市場運(yùn)作模式,市場的正常健康有序地發(fā)展,必須有政府宏觀上的監(jiān)督與管理,以協(xié)調(diào)和規(guī)范各市場主體的行為,宏觀監(jiān)督與管理電子商務(wù)運(yùn)行中的安全保障體系。
1.計(jì)算機(jī)信息系統(tǒng)安全管理計(jì)算機(jī)信息系統(tǒng),是指“由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。”計(jì)算機(jī)安全保護(hù)規(guī)范主要有計(jì)算機(jī)安全等級保護(hù)制度,計(jì)算機(jī)系統(tǒng)使用單位安全負(fù)責(zé)制度,計(jì)算機(jī)案件強(qiáng)行報(bào)告制度,計(jì)算機(jī)病毒及其有害數(shù)據(jù)的專管制度與計(jì)算機(jī)信息安全專用產(chǎn)品銷售許可證制度。對計(jì)算機(jī)信息系統(tǒng)安全的保護(hù),有利于保障國家的安全和社會安定,促進(jìn)電子商務(wù)的安全交易過程,有利電子商務(wù)的健康發(fā)展。
2.網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理由于網(wǎng)絡(luò)的開放性,自由性等特征決定了網(wǎng)絡(luò)廣告監(jiān)管的難度,虛假廣告、廣告充斥著網(wǎng)絡(luò)空間,網(wǎng)絡(luò)廣告已經(jīng)發(fā)展成為一個(gè)社會問題。網(wǎng)絡(luò)廣告管理應(yīng)該從三個(gè)方面入手:第一,網(wǎng)絡(luò)廣告組織的管理,必須對網(wǎng)站廣告經(jīng)營主體資格進(jìn)行管制,第二,規(guī)范網(wǎng)絡(luò)廣告內(nèi)容,確保廣告內(nèi)容的真實(shí)性、合法性和科學(xué)性。第三,需要有具體的廣告審查管制、評估與監(jiān)測部門。
國家針對網(wǎng)絡(luò)服務(wù)業(yè)和網(wǎng)絡(luò)用戶管理已經(jīng)頒布了《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》,其中提出了詳細(xì)具體的限制條件。但是,網(wǎng)絡(luò)飛速發(fā)展,面對網(wǎng)絡(luò)中的新問題,還必須進(jìn)一步深入全面地研究。
3.認(rèn)證機(jī)構(gòu)管理認(rèn)證機(jī)構(gòu)是電子商務(wù)活動中專門從事頒發(fā)認(rèn)證證書的機(jī)構(gòu),對電子商務(wù)交易活動順利進(jìn)行,電子商務(wù)活動中交易參與各方身份和信息認(rèn)定,維護(hù)交易安全具有重要作用。對認(rèn)證機(jī)構(gòu)的管理主要是通過對設(shè)立的條件、撤消或者頒發(fā)許可證等營業(yè)資格而進(jìn)行審批監(jiān)督;同時(shí),還要針對其資產(chǎn)和財(cái)務(wù)狀況定期審查,以免發(fā)生財(cái)務(wù)危機(jī),對其信息披露與保密情況、安全系統(tǒng)運(yùn)行情況等方面進(jìn)行不定期或定期監(jiān)督檢查。
4.加強(qiáng)社會信用道德建設(shè),構(gòu)建和諧安全電子商務(wù)電子商務(wù)安全問題其中有很大部分是由電子商務(wù)用戶或從業(yè)人員的信用道德問題引發(fā)的,在我國尤其嚴(yán)重,甚至大家感嘆電子商務(wù)在我國“水土不服”。對于新型的商業(yè)運(yùn)作模式,必然存在不少漏洞,這需要廣大電子商務(wù)市場主體有良好的電子商務(wù)道德意識。除了從法律上采取措施,更重要的是政府要加強(qiáng)電子商務(wù)市場主體自身的道德建設(shè),加強(qiáng)輿論監(jiān)督和企業(yè)自律,充分利用網(wǎng)絡(luò)新聞輿論監(jiān)督,消費(fèi)者輿論監(jiān)督和行業(yè)協(xié)會的管理監(jiān)督。
五、結(jié)束語
電子商務(wù)安全不僅涉及到電子商務(wù)公司、企業(yè)、消費(fèi)者的利益,而且更加廣泛地涉及經(jīng)濟(jì)、政治、國防、文化等諸多方面,關(guān)系到國家的安全、和社會的穩(wěn)定。電子商務(wù)安全策略確保電子商務(wù)的快速、健康地發(fā)展。電子商務(wù)安全是目前電子商務(wù)發(fā)展的瓶頸,只有解決了電子商務(wù)安全,保障了市場主體的利益,才能得到網(wǎng)絡(luò)用戶的認(rèn)可和參與,電子商務(wù)自身也才能得到快速、健康地發(fā)展。
參考文獻(xiàn)
[1]林寧,吳志剛.我國信息安全技術(shù)標(biāo)準(zhǔn)化現(xiàn)狀[J].中國標(biāo)準(zhǔn)化,2007(4)
篇(4)
2電子商務(wù)安全教學(xué)方法改革
目前電子商務(wù)安全課程在教學(xué)過程中,學(xué)生對教材的知識缺乏主動理解和接受,學(xué)習(xí)的興趣和主動性不高。因此要對現(xiàn)有以教學(xué)大綱為主要目標(biāo)的方法進(jìn)行改革,能讓學(xué)生融會貫通理論知識,主動思考問題,具有理解分析解決實(shí)際問題能力。本文提出電子商務(wù)安全課程在課堂講授的進(jìn)行:教師準(zhǔn)備階段,學(xué)生準(zhǔn)備階段,小組討論階段、集中討論階段和總結(jié)階段。主要目的是使老師和學(xué)生在課堂上有較大的自我發(fā)揮空間。在教學(xué)法的五個(gè)階段中,教師準(zhǔn)備階段和學(xué)生預(yù)備階段是教學(xué)法中最為關(guān)鍵的環(huán)節(jié)。教師準(zhǔn)備階段:教師準(zhǔn)備是教學(xué)的第一環(huán)節(jié),也是為明確教學(xué)目而準(zhǔn)備,是有序進(jìn)行教學(xué)組織與設(shè)計(jì)的基礎(chǔ)。明確教學(xué)目標(biāo)后,就應(yīng)選擇合適教學(xué)背景,教學(xué)背景應(yīng)且具有高啟發(fā)性素材,并且滿足教學(xué)目標(biāo)切合實(shí)際的教學(xué)案例。對選擇的教學(xué)案例或素材還需要對及進(jìn)行典型化處理,最后準(zhǔn)備在課堂上提出讓學(xué)生思考的問題,引導(dǎo)介紹學(xué)生學(xué)習(xí)相關(guān)資料。學(xué)生預(yù)備階段:課前讓學(xué)生閱讀典型化處理相關(guān)學(xué)習(xí)資料,老師指導(dǎo)學(xué)生查閱相關(guān)學(xué)習(xí)資料,讓學(xué)生課前主動準(zhǔn)備課堂講授知識的信息,對老師提出的思考問題要求學(xué)生獨(dú)立思考并形成初步的解決方法。小組討論階段:首先根據(jù)學(xué)生人數(shù)將學(xué)生分為3到5人小組,然后在小組范圍內(nèi)自行組織討論,再確定小組成員的任務(wù)分工,最后形成小組在課堂上展示方案。課堂展示階段:在時(shí)間控制在半個(gè)課時(shí)以內(nèi)前提條件下各小組派代表對問題解決方案進(jìn)行展示,其他小組對解決方法進(jìn)行互動式提問和回答,這個(gè)過程需要教師加以正確引導(dǎo)。老師總結(jié)階段:老師總結(jié)出意見比較集中的問題,針對重點(diǎn)問題組織大家集中討論,并提出引導(dǎo)性建議擴(kuò)展深化學(xué)生對有疑慮問題的理解。
3電子商務(wù)安全課程實(shí)踐
傳統(tǒng)的電子商務(wù)安全課程教學(xué)是以理論知識為中心的教育體系,對實(shí)踐操作課程和技能的要求不高,很可能會導(dǎo)致學(xué)生在畢業(yè)后難以適應(yīng)工作的要求,在現(xiàn)行教育模式中,用人單位也很難選擇到合格的專業(yè)技術(shù)人才。為此,本課題對信息安全專業(yè)開設(shè)的電子商務(wù)安全課程特點(diǎn)及開發(fā)合適的教學(xué)模式,尤其是如何建立創(chuàng)新性實(shí)踐教學(xué)體系進(jìn)行了研究,以教學(xué)目標(biāo)為指導(dǎo)、以社會需求為導(dǎo)向,開發(fā)以學(xué)生就業(yè)為宗旨的高技能型人才培養(yǎng)模式,根據(jù)電子商務(wù)安全課程特點(diǎn),將信息安全未來發(fā)展的創(chuàng)新技術(shù)運(yùn)用到電子商務(wù)安全教學(xué)方法中,建立較為全面的以人才培養(yǎng)目標(biāo)為基礎(chǔ)的創(chuàng)新環(huán)境和教學(xué)模式。另外,本課程實(shí)踐教學(xué)內(nèi)容的要求是讓學(xué)生對電子商務(wù)安全和信息安全的理論和實(shí)踐聯(lián)系建立一個(gè)全面的知識結(jié)構(gòu)。通過實(shí)踐環(huán)節(jié)設(shè)置,讓學(xué)生了解電子商務(wù)安全加密技術(shù)及使用技能;了解電子商務(wù)郵件和數(shù)字簽名的聯(lián)系及作用;熟練掌握電子商務(wù)安全協(xié)議的設(shè)置;掌握PKI的應(yīng)用及數(shù)字證書的申請、安裝和使用流程;熟悉基本的電子支付工具的使用。本課程的為實(shí)現(xiàn)實(shí)踐培養(yǎng)目標(biāo)對實(shí)驗(yàn)教學(xué)進(jìn)行合理的安排。
篇(5)
1.身份冒充問題
攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易,進(jìn)行信息欺詐與信息破壞,從而獲得非法利益。主要表現(xiàn)有:冒充他人身份;冒充他人消費(fèi)、栽贓;冒充主機(jī)欺騙合法主機(jī)及合法用戶等。
2.網(wǎng)絡(luò)信息安全問題
主要表現(xiàn)在攻擊者在網(wǎng)絡(luò)的傳輸信道上,通過物理或邏輯的手段,進(jìn)行信息截獲、篡改、刪除、插入。截獲,攻擊者可能通過分析網(wǎng)絡(luò)物理線路傳輸時(shí)的各種特征,截獲機(jī)密信息或有用信息,如消費(fèi)者的賬號、密碼等。篡改,即改變信息流的次序,更改信息的內(nèi)容;刪除,即刪除某個(gè)信息或信息的某些部分;插入,即在信息中插入一些信息,讓收方讀不懂或接受錯(cuò)誤的信息。
3.拒絕服務(wù)問題
攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。主要表現(xiàn)為散布虛假資訊,擾亂正常的資訊通道。包括:虛開網(wǎng)站和商店,給用戶發(fā)電子郵件,收訂貨單;偽造大量用戶,發(fā)電子郵件,窮盡商家資源,使合法用戶不能正常訪問網(wǎng)絡(luò)資源,使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。
4.交易雙方抵賴問題
某些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。如:者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認(rèn)曾經(jīng)收到過某條信息或內(nèi)容;購買者做了訂貨單不承認(rèn);商家賣出的商品質(zhì)量差但不承認(rèn)原有的交易。在網(wǎng)絡(luò)世界里誰為交易雙方的糾紛進(jìn)行公證、仲裁。
5.計(jì)算機(jī)系統(tǒng)安全問題
計(jì)算機(jī)系統(tǒng)是進(jìn)行電子商務(wù)的基本設(shè)備,如果不注意安全問題,它一樣會威脅到電子商務(wù)的信息安全。計(jì)算機(jī)設(shè)備本身存在物理損壞,數(shù)據(jù)丟失,信息泄露等問題。計(jì)算機(jī)系統(tǒng)也經(jīng)常會遭受非法的入侵攻擊以及計(jì)算機(jī)病毒的破壞。同時(shí),計(jì)算機(jī)系統(tǒng)存在工作人員管理的問題,如果職責(zé)不清,權(quán)限不明同樣會影響計(jì)算機(jī)系統(tǒng)的安全。
二、電子商務(wù)安全機(jī)制
1.加密和隱藏機(jī)制
加密使信息改變,攻擊者無法讀懂信息的內(nèi)容從而保護(hù)信息;而隱藏則是將有用的信息隱藏在其他信息中,使攻擊者無法發(fā)現(xiàn),不僅實(shí)現(xiàn)了信息的保密,也保護(hù)了通信本身。
2.認(rèn)證機(jī)制
網(wǎng)絡(luò)安全的基本機(jī)制,網(wǎng)絡(luò)設(shè)備之間應(yīng)互相認(rèn)證對方身份,以保證正確的操作權(quán)力賦予和數(shù)據(jù)的存取控制。網(wǎng)絡(luò)也必須認(rèn)證用戶的身份,以保證正確的用戶進(jìn)行正確的操作并進(jìn)行正確的審計(jì)。
3.審計(jì)機(jī)制
審計(jì)是防止內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ),通過對一些重要的事件進(jìn)行記錄,從而在系統(tǒng)發(fā)現(xiàn)錯(cuò)誤或受到攻擊時(shí)能定位錯(cuò)誤和找到攻擊成功的原因。審計(jì)信息應(yīng)具有防止非法刪除和修改的措施。
4.完整性保護(hù)機(jī)制
用于防止非法篡改,利用密碼理論的完整性保護(hù)能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務(wù),當(dāng)信息源的完整性可以被驗(yàn)證卻無法模仿時(shí),收到信息的一方可以認(rèn)定信息的發(fā)送者,數(shù)字簽名就可以提供這種手段。
5.權(quán)力控制和存取控制機(jī)制
主機(jī)系統(tǒng)必備的安全手段,系統(tǒng)根據(jù)正確的認(rèn)證,賦予某用戶適當(dāng)?shù)牟僮鳈?quán)力,使其不能進(jìn)行越權(quán)的操作。該機(jī)制一般采用角色管理辦法,針對系統(tǒng)需要定義各種角色,如經(jīng)理、會計(jì)等,然后對他們賦予不同的執(zhí)行權(quán)利。
6.業(yè)務(wù)填充機(jī)制
在業(yè)務(wù)閑時(shí)發(fā)送無用的隨機(jī)數(shù)據(jù),增加攻擊者通過通信流量獲得信息的困難。同時(shí),也增加了密碼通信的破譯難度。發(fā)送的隨機(jī)數(shù)據(jù)應(yīng)具有良好模擬性能,能夠以假亂真。
三、電子商務(wù)安全關(guān)鍵技術(shù)
安全問題是電子商務(wù)的核心,為了滿足安全服務(wù)方面的要求,除了網(wǎng)絡(luò)本身運(yùn)行的安全外,電子商務(wù)系統(tǒng)還必須利用各種安全技術(shù)保證整個(gè)電子商務(wù)過程的安全與完整,并實(shí)現(xiàn)交易的防抵賴性等,綜合起來主要有以下幾種技術(shù)。
1.防火墻技術(shù)
現(xiàn)有的防火墻技術(shù)包括兩大類:數(shù)據(jù)包過濾和服務(wù)技術(shù)。其中最簡單和最常用的是包過濾防火墻,它檢查接受到的每個(gè)數(shù)據(jù)包的頭,以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過濾,所以可以有效地避免對其進(jìn)行的有意或無意的攻擊,從而保證了專用私有網(wǎng)的安全。將包過濾防火墻與服務(wù)器結(jié)合起來使用是解決網(wǎng)絡(luò)安全問題的一種非常有效的策略。防火墻技術(shù)的局限性主要在于:防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊,不能防止網(wǎng)絡(luò)內(nèi)部用戶對于網(wǎng)絡(luò)的攻擊;防火墻不能保證數(shù)據(jù)的秘密性,也不能保證網(wǎng)絡(luò)不受病毒的攻擊,它只能有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受主動攻擊和入侵。
2.虛擬專網(wǎng)技術(shù)(VPN)
VPN的實(shí)現(xiàn)過程使用了安全隧道技術(shù)、信息加密技術(shù)、用戶認(rèn)證技術(shù)、訪問控制技術(shù)等。VPN具投資小、易管理、適應(yīng)性強(qiáng)等優(yōu)點(diǎn)。VPN可幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)之間建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸,以此達(dá)到在公共的Internet上或企業(yè)局域網(wǎng)之間實(shí)現(xiàn)完全的電子交易的目的。
3.數(shù)據(jù)加密技術(shù)
加密技術(shù)是保證電子商務(wù)系統(tǒng)安全所采用的最基本的安全措施,它用于滿足電子商務(wù)對保密性的需求。加密技術(shù)分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類。如果進(jìn)行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露,可通過常規(guī)密鑰密碼體系的方法加密機(jī)密信息,并隨報(bào)文發(fā)送報(bào)文摘要和報(bào)文散列值,以保證報(bào)文的機(jī)密性和完整性。目前常用的常規(guī)密鑰密碼體系的算法有:數(shù)據(jù)加密標(biāo)準(zhǔn)DES、三重DES、國際數(shù)據(jù)加密算法IDEA等,其中DES使用最普遍,被ISO采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)。在公開密鑰密碼體系中,加密密鑰是公開信息,而解密密鑰是需要保護(hù)的,加密算法和解密算法也都是公開的。典型的公開密鑰密碼體系有:基于數(shù)論中大數(shù)分解的RSA體系、基于NP完全理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中,常規(guī)密鑰密碼體系的特點(diǎn)是加密速度快、效率高,被廣泛用于大量數(shù)據(jù)的加密,但該方法的致命缺點(diǎn)是密鑰的傳輸易被截獲,難以安全管理大量的密鑰,因此大范圍應(yīng)用存在一定問題。而公開密鑰密碼體系很好地解決了上述不足,保密性能也優(yōu)于常規(guī)密鑰密碼體系,但公開密鑰密碼體系復(fù)雜,加密速度不夠理想。目前電子商務(wù)實(shí)際運(yùn)用中常將兩者結(jié)合使用。
4.安全認(rèn)證技術(shù)
安全認(rèn)證技術(shù)主要有:(1)數(shù)字摘要技術(shù),可以驗(yàn)證通過網(wǎng)絡(luò)傳輸收到的明文是否被篡改,從而保證數(shù)據(jù)的完整性和有效性。(2)數(shù)字簽名技術(shù),能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別和不可否認(rèn)性,同時(shí)還能阻止偽造簽名。(3)數(shù)字時(shí)間戳技術(shù),用于提供電子文件發(fā)表時(shí)間的安全保護(hù)。(4)數(shù)字憑證技術(shù),又稱為數(shù)字證書,負(fù)責(zé)用電子手段來證實(shí)用戶的身份和對網(wǎng)絡(luò)資源訪問的權(quán)限。(5)認(rèn)證中心,負(fù)責(zé)審核用戶的真實(shí)身份并對此提供證明,而不介入具體的認(rèn)證過程,從而緩解了可信第三方的系統(tǒng)瓶頸問題,而且只須管理每個(gè)用戶的一個(gè)公開密鑰,大大降低了密鑰管理的復(fù)雜性,這些優(yōu)點(diǎn)使得非對稱密鑰認(rèn)證系統(tǒng)可用于用戶眾多的大規(guī)模網(wǎng)絡(luò)系統(tǒng)。(6)智能卡技術(shù),它不但提供讀寫數(shù)據(jù)和存儲數(shù)據(jù)的能力,而且還具有對數(shù)據(jù)進(jìn)行處理的能力,可以實(shí)現(xiàn)對數(shù)據(jù)的加密和解密,能進(jìn)行數(shù)字簽名和驗(yàn)證數(shù)字簽名,其存儲器部分具有外部不可讀特性。采用智能卡,可使身份識別更有效、安全,但它僅僅為身份識別提供一個(gè)硬件基礎(chǔ),如果要使身份認(rèn)證更安全,還需要與安全協(xié)議的配合。
5.電子商務(wù)安全協(xié)議
篇(6)
二、數(shù)字簽名
在網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)安全的最基本要求就是通信信息的真實(shí)和不可否認(rèn)性,它要求通信雙方能互相證實(shí),以防止第三者假冒通信的一方竊取、偽造信息。在網(wǎng)絡(luò)中實(shí)現(xiàn)通信真實(shí)性的方法是數(shù)字簽名(DigitalSignature)。我們在教學(xué)過程中讓學(xué)生能掌握的是正確使用自己的數(shù)字簽名,學(xué)生走上社會做的不是科學(xué)研究,是應(yīng)用型電子商務(wù),主要包括銀行賬號的安全、交易賬號的安全,可以使用不同的認(rèn)證方法保證信息安全,數(shù)字簽名就是一種很好的方法。例如,作為商業(yè)機(jī)構(gòu)可以選擇一家公信度較強(qiáng)、通過國際認(rèn)證的CA認(rèn)證中心,CA認(rèn)證中心會對于你每次交易中數(shù)字簽名進(jìn)行處理,證明交易中的身份,保證簽名的不可否認(rèn)性,加快交易速度,節(jié)省交易時(shí)間。
三、不輕易打開網(wǎng)站鏈接
在日常店鋪管理中,交易身份的假冒和網(wǎng)站的假冒時(shí)有發(fā)生,為了防范這種騙局,我們要做的就是不打開不信任的網(wǎng)站,不打開別人發(fā)來的鏈接。現(xiàn)在有一些騙子不僅是把自己偽裝成購物網(wǎng)站去騙買家,從而盜取買家的賬號、密碼。也有一些騙子專門去搜索一些新開的網(wǎng)店去欺騙賣家,一是因?yàn)樾沦u家經(jīng)驗(yàn)不足防騙知識薄弱,二是新賣家急于讓店鋪發(fā)生買賣,因此在交易時(shí)當(dāng)這些不法分子告訴賣家自己進(jìn)行的交易出現(xiàn)問題而發(fā)送鏈接時(shí),賣家沒有仔細(xì)查看確認(rèn)交易就貿(mào)然打開了鏈接,給店鋪造成了損失。
四、防火墻設(shè)置
近年來,作為保護(hù)計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)安全的重要措施,防火墻技術(shù)正日趨成熟。對于一些與防火墻相沖突的軟件,需要關(guān)閉防火墻,有時(shí)網(wǎng)絡(luò)安全有問題時(shí),又需要啟用防火墻。我們作為專業(yè)電子商務(wù)人員,要會對自己的電腦進(jìn)行防火墻設(shè)置,設(shè)置時(shí)可以通過電腦的“控制面板”找到“防火墻”,打開“防火墻”自行設(shè)置。防火墻應(yīng)該一直都處于打開的狀態(tài)。
五、計(jì)算機(jī)病毒防范
電子商務(wù)強(qiáng)調(diào)企業(yè)與商家通過網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)交流,安全防護(hù)的一點(diǎn)疏漏就可能使計(jì)算機(jī)病毒擴(kuò)散到整個(gè)企業(yè)的網(wǎng)絡(luò),可能感染客戶的計(jì)算機(jī)。因此應(yīng)對計(jì)算機(jī)病毒進(jìn)行防范。要想安全、可靠地防殺病毒,至少應(yīng)該進(jìn)行如下的工作:選擇好的防殺病毒軟件保護(hù)工作站、服務(wù)器;定期進(jìn)行文件備份工作;定期對網(wǎng)絡(luò)進(jìn)行病毒掃描,異常檢測;盡量多用無盤工作站;對遠(yuǎn)程工作站的登陸權(quán)限實(shí)施嚴(yán)格控制,盡量少用超級用戶登錄;定期更新病毒庫;對網(wǎng)絡(luò)設(shè)備的安全隔離。
篇(7)
一、前言
電子商務(wù)全球化的發(fā)展趨勢中,電子商務(wù)交易的信用危機(jī)也悄然襲來,虛假交易、假冒行為、合同詐騙、侵犯消費(fèi)者合法權(quán)益等各種違法違規(guī)行為屢屢發(fā)生,這些現(xiàn)象在很大程度上制約了我國電子商務(wù)乃至全球電子商務(wù)快速、健康發(fā)展。限制電子商務(wù)的發(fā)展主要因素就是電子支付手段的安全性。
二、主要的電子支付手段及其安全性分析
1.電子信用卡
(1)支付方式:信用卡支付是電子支付中最常用的工具,方法是在Internet環(huán)境下通過標(biāo)準(zhǔn)的SET協(xié)議進(jìn)行網(wǎng)絡(luò)支付,用戶在網(wǎng)上發(fā)送信用卡號和密碼,加密后發(fā)送到銀行進(jìn)行支付。支付過程中要進(jìn)行用戶、商家及付款要求的合法性驗(yàn)證。
(2)安全策略:電子信用卡,是通過用戶在網(wǎng)上輸入賬號/密碼+數(shù)字簽名,這些信息都是通過SET或者SSL協(xié)議的支付網(wǎng)關(guān)平臺直接與銀行進(jìn)行相關(guān)支付信息的安全交互,進(jìn)行網(wǎng)絡(luò)支付,這種支付方式的安全性是可以得到保證的。
(3)安全隱患:單純從技術(shù)上來說,無安全隱患問題。
2.電子支票
(1)支付方式:電子支票是利用數(shù)字化手段進(jìn)行網(wǎng)上支付,支付過程與傳統(tǒng)支票的支付過程相似,只是電子支票完全拋開了紙質(zhì)的媒介,其支票的形式是通過網(wǎng)絡(luò)傳播,并用數(shù)字簽名代替了傳統(tǒng)的簽名方式。其交易流程如下:
(2)安全策略:和電子信用卡一樣,采用賬號/密碼+數(shù)字簽名的方式進(jìn)行身份驗(yàn)證。其支付目前一般是通過專用網(wǎng)絡(luò)、設(shè)備、軟件及一套完整的用戶識別、標(biāo)準(zhǔn)報(bào)文、數(shù)據(jù)驗(yàn)證等規(guī)范化協(xié)議完成數(shù)據(jù)傳輸,從而控制安全性,從上面的交易流程,我們可以看到,電子支票的支付在專用系統(tǒng)上有可靠的安全措施的。
(3)安全隱患:專用網(wǎng)絡(luò)上的應(yīng)用具有成熟的模式(例如SWIFT(環(huán)球銀行金融通訊協(xié)會、SocietyforWorldwideInterbankFinancialTelecommunication)系統(tǒng));公共網(wǎng)絡(luò)上的點(diǎn)的資金轉(zhuǎn)賬仍在實(shí)驗(yàn)之中。
3.電子現(xiàn)金
(1)支付方式:電子現(xiàn)金是一種以數(shù)字化形式存在的現(xiàn)金貨幣,它同信用卡不一樣,信用卡本身并不是貨幣,只是一種轉(zhuǎn)賬手段,而電子現(xiàn)金本身就是一種貨幣,是一種以數(shù)據(jù)形式存在的現(xiàn)金貨幣。它把現(xiàn)金數(shù)值轉(zhuǎn)換成為一系列的加密序列數(shù),通過這些序列數(shù)來表示現(xiàn)實(shí)中各種金額的幣值。可以直接用來購物。電子現(xiàn)金具有如下特點(diǎn):匿名;節(jié)省交易費(fèi)用;支付靈活方便;安全存儲。
(2)安全策略:沒有適當(dāng)?shù)纳矸菡J(rèn)證機(jī)制,是匿名的,為防止被偽造,電子現(xiàn)金的傳輸是經(jīng)過數(shù)字簽名的。
(3)安全隱患:①逃稅:由于電子現(xiàn)金可以實(shí)現(xiàn)跨國交易,稅收和洗錢將成為潛在的問題。電子現(xiàn)金不像真實(shí)的現(xiàn)金一樣,流通時(shí)不會留下任何記錄,稅務(wù)部門很難追查,所以即使將來調(diào)整了國際稅收規(guī)則,由于其不可跟蹤性,電子現(xiàn)金很可能被不法分子用以逃稅。②洗錢:電子現(xiàn)金使洗錢也變得很容易。因?yàn)槔秒娮蝇F(xiàn)金可以將錢送到世界上的任何地方而不留痕跡,如果調(diào)查機(jī)關(guān)想要獲取證據(jù),需要檢查網(wǎng)上所有的數(shù)據(jù)并破譯所有的密碼,這幾乎是不可能的。目前惟一的辦法是建立一定的密鑰托管機(jī)制,使政府在一定條件下能夠獲得私人的密鑰,而這又會損害客戶的隱私權(quán),但作為預(yù)防洗錢等違法行為的措施,許多國家已經(jīng)開始了這種做法。
③擾亂金融秩序:電子現(xiàn)金的法律地位一直難以確定。這是因?yàn)榘凑肇泿诺膶?shí)質(zhì)和網(wǎng)絡(luò)無國界性來推斷,各國中央銀行的地位都將受到挑戰(zhàn),因?yàn)槿魏我粋€(gè)有實(shí)力、有信譽(yù)的全球性公司,都可以發(fā)行購買其產(chǎn)品或服務(wù)的數(shù)字化等價(jià)物,從而避開銀行的繁瑣手續(xù)和稅收。而這會擾亂一國的金融秩序,任何國家都不會允許。
④重復(fù)消費(fèi):由于電子序列號可以被復(fù)制,因此需要一個(gè)大型的數(shù)據(jù)庫存儲用戶完成的交易和E-Cash序列號以防止重復(fù)消費(fèi),這對于軟件和硬件的要求都很高,因此很多銀行都不支持電子現(xiàn)金業(yè)務(wù)。
4.移動支付
(1)支付方式:移動支付系統(tǒng)將為每個(gè)移動用戶建立一個(gè)與其手機(jī)號碼關(guān)聯(lián)的支付賬戶,為移動用戶提供了一個(gè)通過手機(jī)進(jìn)行交易支付和身份認(rèn)證的途徑。用戶通過撥打電話、發(fā)送短信或者使用WAP功能接入移動支付系統(tǒng),移動支付系統(tǒng)將此次交易的要求傳送給MASP,由MASP確定此次交易的金額,并通過移動支付系統(tǒng)通知用戶,在用戶確認(rèn)后,付費(fèi)方式可通過多種途徑實(shí)現(xiàn),如直接轉(zhuǎn)入銀行、用戶電話賬單或者實(shí)時(shí)在專用預(yù)付賬戶上借記,這些都將由移動支付系統(tǒng)來完成。
(2)安全措施:身份驗(yàn)證方式采用個(gè)人賬號/密碼的方式。對交易中的部分敏感信息進(jìn)行了加密。
篇(8)
電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。
2.信息機(jī)密性
電子商務(wù)作為貿(mào)易的一種手段,其信息直接廠代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。
3.信息完整性
電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各信息的差異。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。
4.信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^;不可抵賴性要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式。
5.系統(tǒng)的可靠性
電子商務(wù)系統(tǒng)是計(jì)算機(jī)系統(tǒng),其可靠性是防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、自然災(zāi)害等引起的計(jì)算機(jī)信息失誤或失效。
二、電子商務(wù)的信息安全技術(shù)
1.數(shù)據(jù)加密技術(shù)
加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式,即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層,使用經(jīng)過加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法,這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對較為簡單,不需要對電子信息(數(shù)據(jù)包)所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求,對電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。
1)電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要(digitaldigest)
這一加密方法亦稱安全Hash編碼法,由RonRivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文,這一串密文亦稱為數(shù)字指紋(FingerPrint),它有固定的長度,且不同的明文摘要成密文,其結(jié)果總是不同的,而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了。
數(shù)字簽名(digitalsignature)
數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來使用。主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要),用自己的私有密鑰對這個(gè)散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名。然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值,接著再用發(fā)送方的公開密鑰來對報(bào)文附加的數(shù)字簽名進(jìn)行解密,如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的,通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別。概括的說,簽名的作用有兩點(diǎn),一是因?yàn)樽约旱暮灻y以否認(rèn),從而確認(rèn)了文件已簽署這一事實(shí);二是因?yàn)楹灻灰追旅埃瑥亩_定了文件是真的這一事實(shí)。
數(shù)字時(shí)間戳(digitaltime-stamp)交
易文件中,時(shí)間是十分重要的信息。在電子交易中,需對交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔,它包括三個(gè)部分:需加時(shí)間戳的文件的摘要(digest);DTS收到文件的日期和時(shí)間;DTS的數(shù)字簽名。
數(shù)字證書(digitalcertificate,digitalID)數(shù)字證書又稱為數(shù)字憑證,是用電子手段來證實(shí)一個(gè)用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限。目前,最有效的認(rèn)證方式是由權(quán)威的認(rèn)證機(jī)構(gòu)為參與電子商務(wù)的各方發(fā)放證書,證書作為網(wǎng)上交易參與各方的身份識別,就好象每個(gè)公民都用身份證來證明身份一樣。認(rèn)證中心作為電子商務(wù)交易中受信任的第三方,承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任,是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)定證書的權(quán)威機(jī)構(gòu)。因而網(wǎng)絡(luò)中所有用戶可以將自己的公鑰交給這個(gè)中心,并提供自己的身份證明信息,證明自己是相應(yīng)公鑰的擁有者,認(rèn)證中心審查用戶提供的信息后,如果確認(rèn)用戶是合法的,就給用戶一個(gè)數(shù)字證書。這樣,每個(gè)成員只需和認(rèn)證中心打交道,就可以查到其他成員的公鑰信息了。對于在網(wǎng)上進(jìn)行交易的雙方來說,數(shù)字證書對他們之間建立信任是至關(guān)重要的。數(shù)字憑證有三種類型:個(gè)人憑證、企業(yè)(服務(wù)器)憑證、軟件(開發(fā)者)憑證;大部分認(rèn)證中心提供前兩類憑證。
2.身份認(rèn)證技術(shù)
為解決Internet的安全問題,初步形成了一套完整的Internet安全解決方案,即被廣泛采用的公鑰基礎(chǔ)設(shè)施(PKI)體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰,通過第三方的可信機(jī)構(gòu)CA,把用戶的公鑰和用戶的其他標(biāo)識信息(如名稱、e-mail、身份證號等)捆綁在一起,在Internet網(wǎng)上驗(yàn)證用戶的身份,PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來,在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動管理,保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。
1)認(rèn)證系統(tǒng)的基本原理
利用RSA公開密鑰算法在密鑰自動管理、數(shù)字簽名、身份識別等方面的特性,可建立一個(gè)為用戶的公開密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱為CA,CA為用戶發(fā)放電子證書,用戶之間利用證書來保證信息安全性和雙方身份的合法性。
2)認(rèn)證系統(tǒng)結(jié)構(gòu)
整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境,系統(tǒng)從功能上基本可以劃分為CA、RA和WebPublisher。
核心系統(tǒng)跟CA放在一個(gè)單獨(dú)的封閉空間中,為了保證運(yùn)行的絕對安全,其人員及制度都有嚴(yán)格的規(guī)定,并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)。CA的功能是在收到來自RA的證書請求時(shí),頒發(fā)證書。
證書的登記機(jī)構(gòu)RegisterAuthority,簡稱RA,分散在各個(gè)網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機(jī)結(jié)合,接受客戶申請,并審批申請,把證書正式請求通過建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。
證書的公布系統(tǒng)WebPublisher,簡稱WP,置于Internet網(wǎng)上,是普通用戶和CA直接交流的界面。對用戶來講它相當(dāng)于一個(gè)在線的證書數(shù)據(jù)庫。用戶的證書由CA頒發(fā)之后,CA用E-mail通知用戶,然后用戶須用瀏覽器從這里下載證書。
3.網(wǎng)上支付平臺及支付網(wǎng)關(guān)
網(wǎng)上支付平臺分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)。網(wǎng)上支付平臺支付型電子商務(wù)業(yè)務(wù)提供各種支付手段,包括基于SET標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段。
支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間,其主要功能為:將公網(wǎng)傳來的數(shù)據(jù)包解密,并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包;接收銀行系統(tǒng)內(nèi)部的傳回來的響應(yīng)消息,將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式,并對其進(jìn)行加密。此外,支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能。
三、電子商務(wù)信息安全中的其它問題
1.內(nèi)部安全
最近的調(diào)查表明,至少有75%的信息安全問題來自內(nèi)部,在信用卡和商業(yè)詐騙中,內(nèi)部人員所占的比例最大;
2.惡意代碼
它們將繼續(xù)對所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅,并且,其數(shù)量將隨著Internet的發(fā)展和編程環(huán)境的豐富而增多,擴(kuò)散起來也更加便利,因此,造成的破壞也就越大;
3.可靠性差
目前,Internet主干網(wǎng)和DNS服務(wù)器的可靠性還遠(yuǎn)遠(yuǎn)不能滿足人們的要求,而絕大
部分撥號PPP連接質(zhì)量并不可靠,且速度很慢;
4.技術(shù)人才短缺
由于Internet和網(wǎng)絡(luò)購物都是在近幾年得到了迅猛的發(fā)展,因而,許多地方都缺乏足夠的技術(shù)人才來處理其中遇到的各種問題,尤其是網(wǎng)絡(luò)購物具有24x7(每天24小時(shí),每周7天都能工作)的要求,因而迫切需要有一大批專業(yè)技術(shù)人員對其進(jìn)行管理。如果說加密技術(shù)是電子交易安全的“硬件”,那么人才問題則可以說是“軟件”。從某種意義上講,軟件的問題解決起來可能更不容易,因此,技術(shù)人才的短缺可能成為阻礙網(wǎng)絡(luò)購物發(fā)展的一個(gè)重要因素。
5.Web服務(wù)器的保護(hù)意識差
在交易過程中對數(shù)據(jù)進(jìn)行保護(hù)只是保證交易安全的一個(gè)方面。由于交易的信息均存儲在服務(wù)器上,因此,即使保密信息被客戶端接收之后,也必須對存儲在服務(wù)器中的數(shù)據(jù)進(jìn)行保護(hù)。目前,Web服務(wù)器是黑客們最喜歡攻擊的目標(biāo)。因此,建議盡量不要將Web服務(wù)和連接到任何內(nèi)部網(wǎng)絡(luò),而且要定期對數(shù)據(jù)進(jìn)行備份,以便于服務(wù)器被攻擊之后對數(shù)據(jù)進(jìn)行恢復(fù)。當(dāng)然,這畢竟有些不太現(xiàn)實(shí),現(xiàn)在許多流行的Web應(yīng)用都需要Web服務(wù)器與公司的數(shù)據(jù)庫進(jìn)行交互式操作,這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連,而這個(gè)連接也就成為黑客們從Web站點(diǎn)侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通路。雖然防火墻技術(shù)有助于對web站點(diǎn)進(jìn)行保護(hù),但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護(hù),因而沒有對Web服務(wù)器進(jìn)行很好的保護(hù),這是商家的Web站點(diǎn)尤其要引起注意的地方。
四、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論
1.SSL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議———面向連接的協(xié)議。
SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性,它不能保證信息的不可抵賴性,主要適用于點(diǎn)對點(diǎn)之間的信息傳輸,常用WebServer方式。但它是一個(gè)面向連接的協(xié)議,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。
2.SET協(xié)議(SecureElectronicTransaction)安全電子交易———專門為電子商務(wù)而設(shè)計(jì)的協(xié)議。由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性,特別是保證不將消費(fèi)者銀行卡號暴露給商家等優(yōu)點(diǎn),因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。雖然它在很多方面優(yōu)于SSL協(xié)議,但仍然不能解決電子商務(wù)所遇到的全部問題。
結(jié)束語
本文分析了目前電子商務(wù)的安全需求,使用的安全技術(shù)及仍存在的問題,并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn),但必須強(qiáng)調(diào)說明的是,電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。
[摘要]電子商務(wù)對人類社會經(jīng)濟(jì)產(chǎn)生了重大影響,在創(chuàng)造巨大經(jīng)濟(jì)效益的同時(shí),也從根本上改變了整個(gè)社會商務(wù)活動發(fā)展進(jìn)程。我國電子商務(wù)在曲折進(jìn)程中,已有很大程度的發(fā)展,同時(shí)也存在諸多問題。本文客觀地分析了電子商務(wù)的安全需求、安全技術(shù)發(fā)展現(xiàn)狀及存在的問題,對加快電子商務(wù)的發(fā)展步伐提出了一些重要思考。
[關(guān)鍵詞]電子商務(wù);安全需求;安全技術(shù);
[參考文獻(xiàn)]
①姚立新,新世紀(jì)商務(wù):電子商務(wù)的知識發(fā)展與運(yùn)作,中國發(fā)展出版社,1999年。
②《中國電子商務(wù)年鑒》2003卷。
篇(9)
隨著無線通信技術(shù)的發(fā)展,移動電子商務(wù)已經(jīng)成為電子商務(wù)研究熱點(diǎn)。移動電子商務(wù)是將現(xiàn)代信息科學(xué)技術(shù)和傳統(tǒng)商務(wù)活動相結(jié)合,隨時(shí)隨地為用戶提供各種個(gè)性化的、定制的在線動態(tài)商務(wù)服務(wù)。
但在無線世界里,人們對于進(jìn)行商務(wù)活動安全性的考慮比在有線環(huán)境中要多。只有當(dāng)所有的用戶確信,通過無線方式所進(jìn)行的交易不會發(fā)生欺詐或篡改、進(jìn)行的交易受到法律的承認(rèn)和隱私信息被適當(dāng)?shù)谋Wo(hù)時(shí),移動電子商務(wù)才有可能蓬勃開展。
移動電子商務(wù)通信安全的現(xiàn)狀
由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實(shí)際上,主要的無線通信技術(shù)都有各自的措施、協(xié)議和方法來保證各自體制下的通信安全。這里我們將從無線網(wǎng)絡(luò)和電子商務(wù)應(yīng)用兩個(gè)方面作簡要討論。
無線局域網(wǎng)
無線局域網(wǎng)絡(luò)是以無線連接至局域網(wǎng)絡(luò)的通訊方式。它采用的是IEEE802.11系列標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中,無線局域網(wǎng)的安全機(jī)制采用的是WEP協(xié)議(有線對等安全協(xié)議)。在數(shù)據(jù)鏈路用WEP加密數(shù)據(jù),保證了信道上傳送數(shù)據(jù)的安全。另外,無線局域網(wǎng)的網(wǎng)絡(luò)管理員分配給每個(gè)授權(quán)用戶一個(gè)基于WEP算法的密鑰,這樣就有效阻止了非授權(quán)用戶的訪問。
WAP(無線應(yīng)用協(xié)議)技術(shù)
WAP由一系列協(xié)議組成,用來標(biāo)準(zhǔn)化無線通信設(shè)備,例如:移動電話、移動終端;它負(fù)責(zé)將Internet和移動通信網(wǎng)連接到一起,客觀上已成為移動終端上網(wǎng)的標(biāo)準(zhǔn)。WAP協(xié)議可以廣泛地運(yùn)用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡(luò)。
WAP的安全機(jī)制是通過WTLS(無線傳輸層安全)協(xié)議來實(shí)現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無線技術(shù)的有限的發(fā)送功率、存儲容量及帶寬的條件下,WTLS能夠?qū)崿F(xiàn)鑒定,保證數(shù)據(jù)的完整性和提供保密服務(wù)的目標(biāo)。
數(shù)字認(rèn)證技術(shù)
對諸如移動電子商務(wù)和有重要使命的合作通信等活動,其安全性的一個(gè)關(guān)鍵方面是能否對信息發(fā)送者的身份進(jìn)行論證,通常都要利用有線安全的公開密鑰基本構(gòu)架(PKI)。
PKI提供與加密和數(shù)字證書有關(guān)的一系列技術(shù)。但在無線通信環(huán)境中,PKI是很難實(shí)現(xiàn)的。在只有有限計(jì)算能力和低數(shù)據(jù)流通率的設(shè)備上實(shí)現(xiàn)PKI中的服務(wù)一直是一個(gè)有挑戰(zhàn)性的難題。同時(shí)在PKI的基礎(chǔ)上,要將無線設(shè)備與有線設(shè)備之間進(jìn)行互通也是有難度的。因此無線PKI(WPKI)協(xié)議是要將標(biāo)準(zhǔn)的PKI進(jìn)行修正和簡化,使其在無線通信的環(huán)境下達(dá)到最優(yōu)。
移動電子商務(wù)安全分析
IEEE802.11的安全
IEEE802.11標(biāo)準(zhǔn)規(guī)定了MAC層的存取控制規(guī)范,也定義了加密機(jī)制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認(rèn)證節(jié)點(diǎn),使無線通信傳輸像有線網(wǎng)絡(luò)一樣安全。
WEP加密使用共享密鑰和RC4加密算法。訪問點(diǎn)(AP)和連接到該訪問點(diǎn)的所有工作站必須使用同樣的共享密鑰。對于往任一方向發(fā)送的數(shù)據(jù)包,傳輸程序都將數(shù)據(jù)包的內(nèi)容與數(shù)據(jù)包的檢驗(yàn)組合在一起。然后,WEP標(biāo)準(zhǔn)要求傳輸程序創(chuàng)建一個(gè)特定于數(shù)據(jù)包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數(shù)據(jù)包進(jìn)行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對數(shù)據(jù)包進(jìn)行解密。在理論上,這種方法優(yōu)于單獨(dú)使用共享私鑰的顯式策略,應(yīng)該使對方更難于破解。
但是,IEEE802.11中用于安全的WEP算法只是提供相當(dāng)于有線局域網(wǎng)基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞,有經(jīng)驗(yàn)的黑客會利用這些漏洞進(jìn)行攻擊。其缺陷主要有:RC4算法本身就有一個(gè)小缺陷。WEP標(biāo)準(zhǔn)允許IV重復(fù)使用(平均大約每5小時(shí)重復(fù)一次)。WEP標(biāo)準(zhǔn)不提供自動修改密鑰的方法。
最早的WEP實(shí)施只提供40位加密,這使得它抗暴力攻擊能力差。現(xiàn)代的系統(tǒng)提供128位的WEP,128位的密鑰長度減去24位的IV后,實(shí)際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網(wǎng)絡(luò)放在機(jī)構(gòu)防火墻之外,這種防范措施會強(qiáng)制要求將無線連接當(dāng)作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。
所以,WEP應(yīng)該與其他安全機(jī)制一起應(yīng)用才能提供較強(qiáng)的安全。
WAP的安全
WAP規(guī)范的安全特性包括幾個(gè)部分:WTLS協(xié)議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。
WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實(shí)體鑒別、數(shù)據(jù)加密和保護(hù)數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關(guān)之間的安全通信。有三種不同級別的WTLS:
1級:執(zhí)行未經(jīng)證實(shí)的Diffie-Hellman密鑰交換以建立會話密鑰。
2級:使用與SSL/TLS協(xié)議相類似的公開密鑰證書機(jī)制進(jìn)行服務(wù)器端鑒別。
3級:客戶端和服務(wù)器端采用X.509格式證書相互進(jìn)行鑒別。
早期WAP裝置僅僅采用了第1級別的WTLS,這種級別的安全不夠,所以不能用于電子商務(wù)。目前,支持第2和第3級別WTLS的移動裝置從市場上可以得到,它們可以確保網(wǎng)上銀行交易和購物等應(yīng)用的機(jī)密性。
WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術(shù)的支持(RSA是強(qiáng)制的,而ECC是可選的)。生產(chǎn)廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個(gè)廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網(wǎng)關(guān)建立的所有WTLS會話都將使用相同的公匙用作初始會話。每一個(gè)會話都將包括與此密鑰對應(yīng)的一個(gè)不同的證書。WIM的基本要求是它們要具有抗篡改的能力。
SignText功能:這個(gè)功能為WAP用戶提供了數(shù)字簽名。同電子簽名功能一樣,這個(gè)功能可以被應(yīng)用于其他無線設(shè)備,或者是手持設(shè)備,或者是內(nèi)嵌SIM卡。
WAP的安全分析:由WAP提供的最好的安全是WTLS3級,多數(shù)情況下WTLS已足以確保WAP的安全。但是,由于WAP網(wǎng)關(guān)在WAP設(shè)備和Web服務(wù)器之間起著翻譯的作用,相應(yīng)的帶來了安全問題:WTLS安全會話建立在手機(jī)與WAP網(wǎng)關(guān)之間,而與終端服務(wù)器無關(guān)。這意味著數(shù)據(jù)只在WAP手機(jī)與網(wǎng)關(guān)之間加密,網(wǎng)關(guān)將數(shù)據(jù)解密后,利用其他方法將數(shù)據(jù)再次加密,然后經(jīng)過TLS連接發(fā)送給終端服務(wù)器。由于WAP網(wǎng)關(guān)可以看見所有的數(shù)據(jù)明文,而該WAP網(wǎng)關(guān)可能并不為服務(wù)器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數(shù)據(jù)。
目前,針對上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網(wǎng)關(guān)的安全。如果WAP網(wǎng)關(guān)位于WAP服務(wù)供應(yīng)商范圍之內(nèi),可以通過諸如在內(nèi)存中對加密和解密過程進(jìn)行最優(yōu)化以減少數(shù)據(jù)明文存在的時(shí)間、在釋放前覆蓋加密解密進(jìn)程使用的內(nèi)存以確保數(shù)據(jù)的安全性。對于安全要求較高的公司可以擁有自己的WAP網(wǎng)關(guān),從而保障數(shù)據(jù)端到端的安全性。通過WIM實(shí)現(xiàn)數(shù)據(jù)安全性。
WPKI技術(shù)
在有線通信中,電子商務(wù)交易的一個(gè)重要安全保障是PKI。PKI的系統(tǒng)概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務(wù)交易的安全問題,但在應(yīng)用PKI的同時(shí)要考慮到移動通信環(huán)境的特點(diǎn),并據(jù)此對PKI技術(shù)進(jìn)行改進(jìn)。
WPKI技術(shù)滿足移動電子商務(wù)安全的要求:即保密性、完整性、真實(shí)性、不可抵賴性,消除了用戶在交易中的風(fēng)險(xiǎn)。WPKI技術(shù)主要包含以下幾個(gè)方面:
認(rèn)證機(jī)構(gòu)(CA)CA系統(tǒng)是PKI的信任基礎(chǔ),負(fù)責(zé)分發(fā)和驗(yàn)證數(shù)字證書,規(guī)定證書的有效期,證書廢除列表。
注冊機(jī)構(gòu)(RA)RA提供用戶和CA之間的一個(gè)接口。作為認(rèn)證機(jī)構(gòu)的校驗(yàn)者,在數(shù)字證書分發(fā)給請求者之前對證書進(jìn)行驗(yàn)證。
智能卡智能卡將具有存儲、加密及數(shù)據(jù)處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點(diǎn),在生產(chǎn)過程、訪問控制方面有很強(qiáng)的安全保障。很多種需要客戶端認(rèn)證的應(yīng)用都可以使用智能卡來實(shí)現(xiàn)。并且智能卡也是存儲移動電子商務(wù)密鑰及相關(guān)數(shù)字證書的最佳選擇。
加密算法加密算法越復(fù)雜,密鑰越長則安全性越高,但執(zhí)行運(yùn)算所需的時(shí)間也越長(或需要計(jì)算能力更強(qiáng)的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協(xié)處理器的芯片。而ECC使用較短的密鑰就可以達(dá)到和RSA算法相同的加密強(qiáng)度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運(yùn)算量小同時(shí)能提供高加密強(qiáng)度的公鑰密碼體制對在智能卡上實(shí)現(xiàn)數(shù)字簽名應(yīng)用是至關(guān)重要的,ECC在這方面具有很大的優(yōu)勢。
綜上所述,在WPKI機(jī)制下,數(shù)字證書非常重要,但是由于無線信道和移動終端的限制,如何安全、便捷地交換用戶的數(shù)字證書是WPKI所必須解決的問題。可以采用以下2種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動證書標(biāo)識,將標(biāo)準(zhǔn)的一個(gè)X.509證書與移動證書標(biāo)識唯一對應(yīng),并且在移動終端中嵌入移動證書標(biāo)識,用戶每次只需要將自己的移動證書標(biāo)識與簽名數(shù)據(jù)一起提交給對方,對方再根據(jù)移動證書標(biāo)識檢索相應(yīng)的數(shù)字證書即可。
目前,大多數(shù)移動電子商務(wù)采用的安全方式是非PKI的方式,這種方式主要采用對稱加密算法和單向散列函數(shù)來提供安全服務(wù),其密鑰的管理是由移動運(yùn)營商建立一套主密鑰管理系統(tǒng),為不同的服務(wù)提供商分配不同的密鑰,每次交易過程中,服務(wù)提供商與用戶協(xié)商產(chǎn)生會話加密密鑰。顯然,采用這種方式構(gòu)建的系統(tǒng)的安全性主要取決于主密鑰的安全。
盡管非PKI方式對于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統(tǒng)的安全得到較好的保障,但是從長遠(yuǎn)來說,移動電子商務(wù)有必要逐步過渡到PKI方式。
移動電子商務(wù)隨著移動互聯(lián)網(wǎng)技術(shù)的成熟發(fā)展迅速,其獨(dú)特的應(yīng)用領(lǐng)域使得其安全問題倍受關(guān)注。從技術(shù)角度上看,一方面無線通信的安全處在不斷地發(fā)展和完善之中,其應(yīng)用到移動電子商務(wù)中時(shí)要與其它的安全機(jī)制相結(jié)合才能滿足實(shí)際應(yīng)用的需要;另一方面有線電子商務(wù)的安全技術(shù)不能解決移動電子商務(wù)的安全問題,所以WPKI技術(shù)是一個(gè)現(xiàn)實(shí)的選擇。因此,將這兩方面進(jìn)行改進(jìn)并進(jìn)行有機(jī)整合,才能營造一個(gè)安全的移動電子商務(wù)環(huán)境。
參考文獻(xiàn):
1.儲節(jié)旺,郭春俠.移動電子商務(wù)研究[J].現(xiàn)代情報(bào),2002,3(3)
篇(10)
網(wǎng)絡(luò)的安全問題得到人們的日益重視。網(wǎng)絡(luò)面臨的威脅五花八門:內(nèi)部竊密和破壞,截收,非法訪問,破壞信息的完整性,冒充,破壞系統(tǒng)的可用性,重演,抵賴等。于是公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure,PKI)應(yīng)運(yùn)而生。PKI是電子商務(wù)和其它信息系統(tǒng)的安全基礎(chǔ),用來建立不同實(shí)體間的“信任”關(guān)系。它的基礎(chǔ)是加密技術(shù),核心是證書服務(wù)。用戶使用由證書授權(quán)認(rèn)證中心(CertificateAuthority,CA)簽發(fā)的數(shù)字證書,結(jié)合加密技術(shù),可以保證通信內(nèi)容的保密性、完整性、可靠性及交易的不可抵賴性,并進(jìn)行用戶身份的識別。
1.密鑰托管KE與密鑰托管KEA的概念
在電子商務(wù)廣泛采用公開密鑰技術(shù)后,隨之而來的是公開密鑰的管理問題。對于中央政府來說,為了加強(qiáng)對貿(mào)易活動的監(jiān)管,客觀上也需要銀行、海關(guān)、稅務(wù)、工商等管理部門緊密協(xié)作。為了打擊犯罪,還要涉及到公安和國家安全部門。這樣,交易方與管理機(jī)構(gòu)就不可避免地產(chǎn)生聯(lián)系。為了監(jiān)視和防止計(jì)算機(jī)犯罪活動,人們提出了密鑰托管(KeyEscrow,KE)的概念。KE與CA相接合,既能保證個(gè)人通信與電子交易的安全性,又能實(shí)現(xiàn)法律職能部門的管理介入,是今后電子商務(wù)安全策略的發(fā)展方向。
密鑰托管技術(shù)又稱為密鑰恢復(fù)(KeyRecovery),是一種能夠在緊急情況下提供獲取信息解密密集新途徑的技術(shù)。它用于保存用戶的私鑰備份,既可在必要時(shí)幫助國家司法或安全等部門獲取原始明文信息,也可在用戶丟失、損壞自己的密鑰后恢復(fù)密文。
執(zhí)行密鑰托管功能的機(jī)制是密鑰托管(KeyEscrowAgent,KEA)。KEA與CA是PKI的兩個(gè)重要組成部分,分別管理用戶的私鑰與公鑰。KEA對用戶的私鑰進(jìn)行操作,負(fù)責(zé)政府職能部門對信息的強(qiáng)制訪問,不參與通信過程。CA作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方,為每個(gè)使用公開密鑰的客戶發(fā)放數(shù)字證書,負(fù)責(zé)檢驗(yàn)公鑰體系中公鑰的合法性。因此它參與每次通信過程,但不涉及具體的通信內(nèi)容。
2.安全密鑰托管的步驟
密鑰托管最關(guān)鍵,也是最難解決的問題是:如何有效地阻止用戶的欺詐行為,即逃脫托管機(jī)構(gòu)的跟蹤。為防止用戶逃避脫管,密鑰托管技術(shù)的實(shí)施需要通過政府的強(qiáng)制措施進(jìn)行。用戶必須先委托密鑰托管進(jìn)行密鑰托管,取得托管證書,才能向CA申請加密證書。CA必須在收到加密公鑰對應(yīng)的私鑰托管證書后,再簽發(fā)相應(yīng)的公鑰證書。
為了防止KEA濫用權(quán)限及托管密要的泄漏,用戶的私鑰被分成若干部分,由不同的密鑰托管負(fù)責(zé)保存。只有將所有的私鑰分量合在一起,才能恢復(fù)用戶私鑰的有效性。
(1)用戶選擇若干個(gè)KEA,分給每一個(gè)一部分私鑰和一部分公鑰。根據(jù)所得的密鑰分量產(chǎn)生相應(yīng)的托管證書。證書中包括該用戶的特定表示符(UniqueIdentify,UID)、被托管的那部分公鑰和私鑰、托管證書的編號。KEA還要用自己的簽名私鑰對托管證書進(jìn)行加密,產(chǎn)生數(shù)字簽名,并將其附在托管證書上。
(2)用戶收到所有的托管證書后,將證書和完整的公鑰遞交給CA,申請加密證書。
(3)CA驗(yàn)證每個(gè)托管證書的真實(shí)性,即是否每一個(gè)托管都托管了一部分有效的私鑰分量,并對用戶身份加以確認(rèn)。完成所有的驗(yàn)證工作后,CA生成加密證書,返回給用戶。3.司法部門利用KE對信息的強(qiáng)制訪問
所有傳送的加密信息都帶有包含會話密鑰的數(shù)據(jù)恢復(fù)域(DataRecoveryField,DRF),它由時(shí)間戳、發(fā)送者的加密證書、會話密鑰組成,與密文綁定在一起傳送給接收方。接收方必須通過DRF才能獲得會話密鑰。在必要時(shí),司法部門可利用KEA,通過DRF實(shí)現(xiàn)對通信內(nèi)容的強(qiáng)制訪問。
在司法部門取得授權(quán)后,首先監(jiān)聽并截獲可疑信息,利用DRF中發(fā)送者的加密證書獲得發(fā)送者的托管標(biāo)示符及其對應(yīng)的托管證書號,然后把自己的授權(quán)證書和托管證書號交給相應(yīng)的密鑰托管。KEA驗(yàn)證授權(quán)證書的真?zhèn)魏螅祷刈约罕9艿哪遣糠炙借€。這樣在收集了所有的私鑰成分后,司法部門就能恢復(fù)出發(fā)送者的私鑰,再結(jié)合接收者的公鑰及時(shí)間戳,就能破解會話密鑰,進(jìn)而破解整個(gè)密文。由于密鑰托管不參與通信過程,所以在通信雙方毫無察覺的情況下,司法部門就能審查通信內(nèi)容。
4.結(jié)束語
自從1993年美國政府頒布密鑰托管加密標(biāo)準(zhǔn)EES,有關(guān)密鑰托管的研究一直是密碼學(xué)領(lǐng)域一個(gè)持續(xù)的研究熱點(diǎn)。在電子商務(wù)時(shí)代,國家為了能夠管理和控制電子商務(wù)的健康發(fā)展,必須強(qiáng)制實(shí)施一定形式的密鑰托管技術(shù),以便及時(shí)發(fā)現(xiàn)和阻止非法商務(wù)活動,并為司法部門提供取證的方便。
參考文獻(xiàn)
[1].盧鐵成.信息加密技術(shù)四川科學(xué)出版社1989
[2].陳偉東,翟起濱.二類基于離散對數(shù)問題的信息恢復(fù)多簽名體制.密碼與信息,1998.1
[3].NationalInstituteforStandardsandTechnology.EscrowedEncryptionStandard.FederalInformationProcessingStandardsPublication185,U.S.DeptofCommerce,1994
[4].BellareM,GoldwasserS.Verifiablepartialkeyescrow.In:ProceedingsofFourthAnnualConferenceonComputerandCommunicationsSecurity,ACM,1997
篇(11)
電子商務(wù)從產(chǎn)生至今雖然時(shí)間不長,但發(fā)展十分迅速,已經(jīng)引起各國政府和企業(yè)的廣泛關(guān)注和參與。但是,由于電子商務(wù)交易平臺的虛擬性和匿名性,其安全問題也變得越來越突出,電子簽名技術(shù)的應(yīng)用及其立法為電子商務(wù)安全運(yùn)行提供了重要保障。
一、電子商務(wù)的安全威脅美國密執(zhí)安大學(xué)的一個(gè)調(diào)查機(jī)構(gòu)曾對23000名因特網(wǎng)用戶做了一個(gè)調(diào)查。調(diào)查顯示超過60%的人由于擔(dān)心電子商務(wù)的安全問題而不愿意在網(wǎng)上購物。同樣的調(diào)查顯示,任何個(gè)人、企業(yè)或商業(yè)機(jī)構(gòu)以及銀行都不會通過一個(gè)不安全的網(wǎng)絡(luò)進(jìn)行商務(wù)交易,一旦遭到攻擊,就會導(dǎo)致商業(yè)機(jī)密信息或個(gè)人隱私的泄漏,從而造成巨大的損失,對電子商務(wù)的安全威脅主要包括:信息的截獲和竊取、信息的篡改、信息假冒、交易抵賴等。
二、電子商務(wù)的安全要素
1。有效性。EC作為貿(mào)易的一種形式,其信息的有效性直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。因此,要對網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。
2。機(jī)密性。EC是建立在開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是EC全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法信息存取和信息在傳輸過程中被非法竊取。
3。完整性。EC簡化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。因此,要預(yù)防對信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。
4。可靠性。如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方,這一問題則是保證EC順利進(jìn)行的關(guān)鍵。在傳統(tǒng)紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。這就是人們常說的“白紙黑字”。在無紙化的EC方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已不可能,因此,要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識。
三、電子商務(wù)安全的主要技術(shù)對策電子商務(wù)安全是信息安全的應(yīng)用,它的技術(shù)范圍主要分為網(wǎng)絡(luò)安全技術(shù)、防火墻技術(shù)、加密技術(shù)和認(rèn)證技術(shù)等。
1。網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ),一個(gè)完整的電子商務(wù)系統(tǒng)應(yīng)建立在安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上。網(wǎng)絡(luò)安全所涉及到的地方比較廣,如操作系統(tǒng)安全,防火墻技術(shù),虛擬專用網(wǎng)技術(shù)和各種反黑客技術(shù)及漏洞檢測技術(shù)等。其中最重要的就是防火墻技術(shù),防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而做出允許/拒絕等正確的判斷。
2。加密技術(shù)。加密技術(shù)是保證電子商務(wù)安全的重要手段。許多密碼算法現(xiàn)己成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。密碼算法利用密鑰(secretkeys)來對敏感信息進(jìn)行加密,然后把加密好的數(shù)據(jù)和密鑰發(fā)送給接收者,接收者可利用同樣的算法和傳遞來的密鑰對數(shù)據(jù)進(jìn)行解密,從而獲取敏感信息并保證網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性。
3。加密技術(shù)包括私鑰加密和公鑰加密。私鑰加密,又稱對稱密鑰加密。即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。目前常用的私鑰加密算法包括DES和IDEA等。公鑰密鑰加密,又稱不對稱密鑰加密系統(tǒng),它需要使用一對密鑰來分別完成加密和解密操作。一個(gè)公開,稱為公開密鑰(PublicKey);另一個(gè)由用戶自己秘密保存,稱為私有密鑰(Private-Key)。為了充分利用公鑰密碼和對稱密碼算法的優(yōu)點(diǎn),克服其缺點(diǎn),解決每次傳送更換密鑰的問題,可采取混合密碼系統(tǒng),即所謂的電子信封(envelope)技術(shù)。
4。認(rèn)證與識別。全面的保護(hù)還要求認(rèn)證和識別,確保參與加密對話的人確實(shí)是其本人。認(rèn)證和識別是指用戶必須提供他是誰的證明。
這個(gè)“他”可能是某個(gè)雇員,某個(gè)組織的、某個(gè)軟件過程等等認(rèn)證的標(biāo)準(zhǔn)方法就是弄清楚他是誰,他具有什么特征,他知道什么可用于識別他的東西。比如說,系統(tǒng)中存儲了他的指紋,他接入網(wǎng)絡(luò)時(shí),就必須在連接到網(wǎng)絡(luò)的電子指紋機(jī)上提供他的指紋,只有指紋相符才允許他訪問系統(tǒng)。更普通的是通過視網(wǎng)膜血管分布圖來識別,原理與指紋識別相同,另外聲波紋識別也是商業(yè)系統(tǒng)采用的一種識別方式。
網(wǎng)絡(luò)通過用戶擁有什么東西來識別的方法,一般是用智能卡或其它特殊形式的標(biāo)志,這類標(biāo)志可以從連接到計(jì)算機(jī)的讀出器上讀出來。至于說到“他知道什么”,最普通的就是口令,口令具有共享秘密的屬性。更保密的認(rèn)證可以是幾種方法組合而成。智能卡技術(shù)將成為用戶接入和用戶身份認(rèn)證等安全要求的首選技術(shù)。用戶將從持有認(rèn)證執(zhí)照的可信發(fā)行者手里取得智能卡安全設(shè)備,也可從其他公共密鑰密碼安全方案發(fā)行者那里獲得。這樣智能卡的讀取器將成為用戶接入和認(rèn)證安全解決方案的一個(gè)關(guān)鍵部分。
四、結(jié)束語電子商務(wù)交易安全的一些典型技術(shù)和協(xié)議都是對有關(guān)電子商務(wù)交易安全的外部防范,但是要想使一個(gè)商用網(wǎng)絡(luò)真正做到安全,不僅要看它所采用的防范措施,而且還要看它的管理措施。只有將這兩者綜合起來考察,才能最終得出該網(wǎng)絡(luò)是否安全的結(jié)論。因此,只有每個(gè)電子商務(wù)系統(tǒng)的領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理員和用戶都能提高安全意識,健全并嚴(yán)格有關(guān)網(wǎng)絡(luò)安全措施,才能在現(xiàn)有的技術(shù)條件下,將電子商務(wù)安全風(fēng)險(xiǎn)降至最低。
