商務(wù)安全論文大全11篇
時(shí)間:2022-02-06 07:56:27緒論:寫作既是個(gè)人情感的抒發(fā),也是對(duì)學(xué)術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇商務(wù)安全論文范文,希望它們能為您的寫作提供參考和啟發(fā)。
篇(1)
人類社會(huì)進(jìn)入20世紀(jì)70年代以來,以微電子技術(shù)為基礎(chǔ)的計(jì)算機(jī)技術(shù)和通信技術(shù)取得了長足的進(jìn)展,并滲透到經(jīng)濟(jì)和社會(huì)的各個(gè)領(lǐng)域,從而引起了世界范圍內(nèi)的新技術(shù)創(chuàng)新浪潮。信息化建設(shè)受到各國政府的高度重視,1991年美國提出"信息高速公路"的設(shè)想,1993年正式實(shí)施"國家信息基礎(chǔ)結(jié)構(gòu):行動(dòng)計(jì)劃";1978年法國制定了一項(xiàng)有關(guān)"促進(jìn)社會(huì)信息化的計(jì)劃",從那以后,法國政府不斷推進(jìn)信息革命,每年投入50億美元巨款改進(jìn)通信設(shè)備;早在1983年,我國政府就把發(fā)展信息技術(shù)納入了國家總體科技論文發(fā)展戰(zhàn)略規(guī)劃中,1999年,我國政府上網(wǎng)工程迅速推進(jìn),國家信息化戰(zhàn)略、數(shù)字化產(chǎn)品發(fā)展戰(zhàn)略、電子商務(wù)發(fā)展框架也都在加緊研究、制定中。目前全球的計(jì)算機(jī)社會(huì)擁有量迅速增加,互聯(lián)網(wǎng)用戶呈幾何級(jí)數(shù)增長,新的經(jīng)濟(jì)消費(fèi)觀正在逐步形成。電子商務(wù)的社會(huì)基礎(chǔ)已經(jīng)形成。Internet技術(shù)的應(yīng)用普及為電子商務(wù)奠定了基礎(chǔ)條件,萬維網(wǎng)及相關(guān)技術(shù)的推出開創(chuàng)了電子商務(wù)應(yīng)用的新局面,基于Internet的網(wǎng)絡(luò)環(huán)境建設(shè)是開創(chuàng)電子商務(wù)市場的前提,安全保障等核心技術(shù)的實(shí)用化是電子商務(wù)成功的保證,商貿(mào)活動(dòng)的信息網(wǎng)絡(luò)化加快了電子商務(wù)的發(fā)展進(jìn)程,各種解決方案的推出標(biāo)志著電子商務(wù)即將進(jìn)入實(shí)用化階段。
從技術(shù)的角度看,電子商務(wù)的發(fā)展經(jīng)歷了啟蒙階段、商業(yè)化階段、社會(huì)化階段,并開始步入智能化時(shí)代。回顧企業(yè)信息化和電子商務(wù)的發(fā)展過程,從最初各部門用數(shù)據(jù)庫管理本部門的數(shù)據(jù),通過辦公自動(dòng)化(OA)實(shí)現(xiàn)企業(yè)內(nèi)部辦公文檔傳遞,到建立統(tǒng)一的ERP系統(tǒng)為管理決策提供信息,通過CRM和SCM將企業(yè)和客戶、供應(yīng)商等整個(gè)供應(yīng)鏈上的各個(gè)環(huán)節(jié)聯(lián)系起來,再到以服務(wù)形式提供各式應(yīng)用,通過第三方ASP實(shí)現(xiàn)企業(yè)應(yīng)用服務(wù)的外包,這實(shí)際上就是一個(gè)從數(shù)據(jù)、信息到服務(wù)的縱向發(fā)展過程。互聯(lián)網(wǎng)應(yīng)用的發(fā)展也是這樣,從最初企業(yè)間使用EDI交換數(shù)據(jù),Email通訊傳遞簡單的信息,到通過門戶網(wǎng)站、搜索引擎獲取所需信息,與世界各地的人在BBS上交流信息,再到如今的通過社會(huì)網(wǎng)絡(luò)SNS拓展自己的交際圈,社會(huì)化程度越來越高。隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的普及和深入應(yīng)用,電子商務(wù)正在以前所未有的速度發(fā)展,以其方便性和靈活性向傳統(tǒng)商務(wù)模型提出了挑戰(zhàn)。互聯(lián)網(wǎng)的飛速發(fā)展,使得傳統(tǒng)的商業(yè)模式產(chǎn)生了深刻的變化,在相當(dāng)程度上改變著人們的日常生活習(xí)慣。基于網(wǎng)絡(luò)的電子商務(wù)作為一種全新的商業(yè)模式,已經(jīng)得到了快速的發(fā)展,但網(wǎng)絡(luò)交易的安全問題始終是阻礙電子商務(wù)全面發(fā)展的巨大障礙。因此采用先進(jìn)的網(wǎng)絡(luò)信息安全防范技術(shù),為電子商務(wù)提供完整的安全保障體系,進(jìn)而推動(dòng)電子商務(wù)高速發(fā)展。1.電子商務(wù)信息安全要素互聯(lián)網(wǎng)是一個(gè)完全開放的網(wǎng)絡(luò),任何一臺(tái)計(jì)算機(jī)、任何一個(gè)網(wǎng)絡(luò)都可以與之聯(lián)接,并借助互聯(lián)網(wǎng)信息,進(jìn)行各種網(wǎng)上商務(wù)活動(dòng)。同時(shí),也給那些別有用心的組織或個(gè)人提供了竊取別人的各種機(jī)密如消費(fèi)者的銀行賬號(hào)、密碼,甚至妨礙或毀壞他人網(wǎng)絡(luò)系統(tǒng)運(yùn)行等各種機(jī)會(huì)。影響電子商務(wù)信息安全要素主要有系統(tǒng)的可靠性,交易的真實(shí)性,資料的安全性,資料的完整性,交易的不可抵賴性等。概括起來,電子商務(wù)面臨的安全威脅主要有以下幾方面。
1.1系統(tǒng)的中斷與癱瘓。網(wǎng)絡(luò)故障、操作失誤、應(yīng)用程序出錯(cuò)、硬件故障、系統(tǒng)軟件設(shè)計(jì)不完善以及計(jì)算機(jī)病毒都有可能導(dǎo)致系統(tǒng)不能正常工作。如在劃撥貨款的過程中突然出現(xiàn)網(wǎng)絡(luò)中斷等。1.2信息被竊取。電子商務(wù)作為一種全新的貿(mào)易形式,其通訊的信息直接代表著個(gè)人、企業(yè)或國家的利益。攻擊者可能通過因特網(wǎng)、公共電話網(wǎng)、搭線或在電磁波輻射范圍內(nèi)安裝截收裝置等方式,截獲傳輸?shù)臋C(jī)密信息,或通過對(duì)信息流量和流向、通信頻度和長度等參數(shù)分析,推斷出有用的信息、如消費(fèi)者的銀行賬號(hào)、密碼等。1.3信息被篡改。攻擊者可能從三個(gè)方面破壞信息的完整性。1)篡改。改變信息流的次序,更改信息的內(nèi)容。2)刪除。刪除某個(gè)消息或消息中的某些部分。3)插入。在信息中插入一些其它干擾信息,讓收方讀不懂或接收錯(cuò)誤的信息。腦知識(shí)與技術(shù)1.4信息被偽造。1)虛開網(wǎng)站和商店,給用戶發(fā)電子郵件,接受訂單。2)偽造大量用戶,發(fā)電子郵件,窮盡商家資源、使合法用戶不能正常訪問網(wǎng)絡(luò)資源。3)冒充他人身份,進(jìn)行消費(fèi)和栽贓等。1.5對(duì)交易行為進(jìn)行抵賴或不承認(rèn)。1)發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息或內(nèi)容。2)收信者事后否認(rèn)曾經(jīng)收到過某條消息或內(nèi)容。3)購買者不承認(rèn)確認(rèn)了的訂單。4)商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易。2.電子商務(wù)中的信息安全防范技術(shù)
2.1數(shù)據(jù)加密技術(shù)加密技術(shù)是一種主動(dòng)的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。按加密密鑰與解密密鑰的對(duì)稱性可分為對(duì)稱型加密、不對(duì)稱型加密、不可逆加密。在網(wǎng)絡(luò)安全技術(shù)中,加密技術(shù)是保障信息安全最關(guān)鍵和最基本的技術(shù)手段和理論基礎(chǔ),但是由于大部分?jǐn)?shù)據(jù)加密算法都源于美國,且受到美國出口管制法的限制,無法在互聯(lián)網(wǎng)上大規(guī)模使用,從而限制了以加密技術(shù)為基礎(chǔ)網(wǎng)絡(luò)安全解決方案的應(yīng)用。2.2密鑰管理技術(shù)密鑰管理包括確保所產(chǎn)生的密鑰具有必要的屬性,把密鑰提前通知給需要它的特定系統(tǒng),確保密鑰按要求得到保護(hù)以阻止暴露和/或替代。其中,對(duì)稱密鑰管理是基于共同保守秘密來實(shí)現(xiàn)的,采用對(duì)稱加密技術(shù)的雙方必須保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時(shí)還要設(shè)定防止密鑰泄漏和更改密鑰的程序。使用公開密鑰的交易雙方可以使用證書(公開密鑰證書)來交換公開密鑰。國際電聯(lián)指定的X509對(duì)37福建電腦2008年第11期數(shù)字證書進(jìn)行了定義,數(shù)字證書能夠起到標(biāo)識(shí)交易雙方的作用,是目前電子商務(wù)廣泛使用的技術(shù)之一。2.3身份認(rèn)證技術(shù)網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。要建立安全的電子商務(wù)系統(tǒng),必須首先建立一個(gè)穩(wěn)固、健全的數(shù)字證書和認(rèn)證中心(CA)。數(shù)字簽名是利用數(shù)字技術(shù)實(shí)現(xiàn)在網(wǎng)絡(luò)傳送文件時(shí),附加個(gè)人標(biāo)記,完成傳統(tǒng)意義上手書簽名或印章的作用,以表示確認(rèn)、負(fù)責(zé)、經(jīng)手等。使用數(shù)字簽名可以保證交易中的認(rèn)證性和不可否認(rèn)性。數(shù)字簽名可以防范:接收方偽造、發(fā)送者或接收者否認(rèn)、第三方冒充、接收方篡改。常見的數(shù)字簽名技術(shù)有:RSA數(shù)字簽名、DSA數(shù)字簽名、橢圓曲線數(shù)入侵檢測技術(shù)通常通過基于應(yīng)用的監(jiān)控技術(shù)、基于主機(jī)的監(jiān)控技術(shù)、基于目標(biāo)的監(jiān)控技術(shù)和基于網(wǎng)絡(luò)的監(jiān)控技術(shù)四種檢測技術(shù)來抵御攻擊。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測,從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。認(rèn)證機(jī)制是保護(hù)電子商務(wù)安全的第一條防線。任何一個(gè)在架構(gòu)設(shè)計(jì)上、代碼開發(fā)中以及認(rèn)證的實(shí)現(xiàn)時(shí)所出現(xiàn)的小的漏洞或不足,都有可能使電子商務(wù)處在被攻擊的風(fēng)險(xiǎn)中。因此,加強(qiáng)對(duì)認(rèn)證攻擊的充分認(rèn)識(shí)和了解,并在系統(tǒng)開發(fā)時(shí)選擇合適的防御措施,就可以從根本上對(duì)某些攻擊進(jìn)行有效的屏蔽,減少后期頻繁維護(hù)所付出的代價(jià),達(dá)到事半功倍的效果。2.4網(wǎng)絡(luò)安全掃描技術(shù)安全掃描技術(shù)是對(duì)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)提供可靠的分析結(jié)果,并為系統(tǒng)管理員提供可靠性和安全性分析報(bào)告等。包括端口掃描技術(shù)和漏洞掃描技術(shù)等。2.5病毒防范技術(shù)計(jì)算機(jī)病毒實(shí)際上就是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害計(jì)算機(jī)系統(tǒng)的功能程序。病毒經(jīng)過系統(tǒng)穿透或違反授權(quán)攻擊成功后,攻擊者通常要在系統(tǒng)中植入木馬或邏輯炸彈等程序,為以后攻擊系統(tǒng)、網(wǎng)絡(luò)提供方便條件。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測,工作站上采用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。2.6電子認(rèn)證技術(shù)為了保證電子商務(wù)安全因素的順利實(shí)現(xiàn),在電子商務(wù)中使用了基于公鑰體系的安全系統(tǒng)。基于公鑰體系的加密系統(tǒng)是按對(duì)生成的,每對(duì)密鑰由公鑰和私鑰組成,實(shí)際應(yīng)用中,公鑰是以證書性質(zhì)存放的,一個(gè)最基本而又是最關(guān)鍵的問題是公鑰的分發(fā),也就是證書的分發(fā),如果證書不能得到有效安全的分發(fā),所有的上層應(yīng)用軟件就不能得到安全的保障,解決問題的方法就是建立認(rèn)證機(jī)構(gòu)體系CA。2.7防火墻技術(shù)防火墻(Firewall)是近年來發(fā)展最重要的安全技術(shù),它是通過對(duì)網(wǎng)絡(luò)作拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來加強(qiáng)網(wǎng)絡(luò)安全的一種手段,核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。它所保護(hù)的對(duì)象是網(wǎng)絡(luò)中有明確閉合邊界的一個(gè)網(wǎng)塊,而它所防范的對(duì)象是來自被保護(hù)網(wǎng)塊外部的安全威脅。目前的防火墻分為兩大類,一類是簡單的包過濾技術(shù),它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器,其顯著的優(yōu)點(diǎn)是較容易提供細(xì)顆粒度的存取控制,其可針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。通過應(yīng)用防火墻技術(shù),可以做到通過過濾不安全的服務(wù),極大地提高網(wǎng)絡(luò)安全和減少網(wǎng)絡(luò)中主機(jī)的風(fēng)險(xiǎn)。但防火墻是一種基于網(wǎng)絡(luò)邊界的被動(dòng)安全技術(shù),對(duì)內(nèi)部未授權(quán)訪問難以有效控制,因此較適合于內(nèi)部網(wǎng)絡(luò)相對(duì)獨(dú)立,且與外部網(wǎng)絡(luò)的互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對(duì)集中的網(wǎng)絡(luò)。2.8入侵檢測技術(shù)入侵檢測技術(shù)是一種利用入侵者留下的痕跡,如試圖登錄的失敗記錄等信息來有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵的技術(shù)。它以探測與控制為技術(shù)本質(zhì),起著主動(dòng)防御的作用,是網(wǎng)絡(luò)安全中極其重要的部分。
3.企業(yè)實(shí)現(xiàn)電子商務(wù)的安全策略安全問題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問題,如何保障電子商務(wù)活動(dòng)的安全,一直是電子商務(wù)的核心研究領(lǐng)域。作為一個(gè)安全的電子商務(wù)系統(tǒng),必須采用相應(yīng)的網(wǎng)絡(luò)安全策略。安全策略包括網(wǎng)絡(luò)安全問題的總原則、對(duì)安全使用的要求以及如何保障網(wǎng)絡(luò)的安全運(yùn)行。3.1制定安全策略時(shí)首先確定的最重要的原則拒絕訪問明確準(zhǔn)許以外的所有服務(wù)。當(dāng)前一些電子商務(wù)企業(yè)的安全策略存在兩個(gè)誤區(qū):首先,企業(yè)所采取的操作系統(tǒng)的標(biāo)準(zhǔn)安全策略存在問題,這一標(biāo)準(zhǔn)安全策略只能提供一道脆弱的防線,很容易被攻破;其次,為滿足多種安全需求,許多企業(yè)以零碎的方式實(shí)施節(jié)點(diǎn)式解決方案,這雖然對(duì)電子商務(wù)的某些領(lǐng)域提供了有限的保護(hù),但同時(shí)使系統(tǒng)管理更為復(fù)雜。阻止外來系統(tǒng)入侵只是電子商務(wù)安全的一個(gè)方面。成功的電子商務(wù)安全策略,必須涵蓋身份識(shí)別與認(rèn)證、隱私與欺騙控制、管理與審計(jì)等傳統(tǒng)領(lǐng)域。3.2安全策略制定時(shí)還應(yīng)注意的問題3.2.1將需保護(hù)的對(duì)象分類,確定需保護(hù)的資源及其保護(hù)級(jí)別;規(guī)定可以訪問資源的實(shí)體和可執(zhí)行的動(dòng)作;規(guī)定審計(jì)功能,記錄用戶活動(dòng)及資源使用情況。3.2.2系統(tǒng)的安全應(yīng)從物理上、技術(shù)上、管理制度上以及安全教育上全方位采取措施,相互彌補(bǔ)和完善,盡可能地排除安全漏洞。3.2.3根據(jù)企業(yè)的實(shí)際需要確定內(nèi)部網(wǎng)的服務(wù)類型,規(guī)定內(nèi)部用戶和外部用戶能夠使用的服務(wù)種類,建立網(wǎng)管站,并制定出切實(shí)可行的安全管理制度。此外還需完善電子商務(wù)企業(yè)內(nèi)部安全管理體制,增強(qiáng)相關(guān)人員的安全意識(shí)。
4.結(jié)束語電子商務(wù)尚是一個(gè)機(jī)遇和挑戰(zhàn)共存的新領(lǐng)域,這種挑戰(zhàn)不僅來源于傳統(tǒng)的習(xí)慣,來源于計(jì)劃經(jīng)濟(jì)體制和市場經(jīng)濟(jì)體制的沖突,更來源于對(duì)可使用的安全技術(shù)的信賴。企業(yè)在應(yīng)用電子商務(wù)時(shí),應(yīng)采取一系列的安全技術(shù)和安全策略。這種種安全措施的采用,一定能保證企業(yè)進(jìn)行安全的電子商務(wù)活動(dòng)。
參考文獻(xiàn):
1.韓磊石松:淺談電子商務(wù)中信息安全問題[J].臨沂師范學(xué)院學(xué)報(bào),2001;(8):136-139
2.黃發(fā)文:計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)初探[J].計(jì)算機(jī)應(yīng)用研究,2002(5):46-48
3.林柏鋼.網(wǎng)絡(luò)與信息安全教程[M].機(jī)械工業(yè)出版社,2005.
篇(2)
一、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問題
電子商務(wù)的前提是信息的安全性保障,信息安全,勝的含義主要是信息的完整性、可用性、保密險(xiǎn)和可靠性。因此電子商務(wù)活動(dòng)中的信安全問題主要體現(xiàn)在以兩個(gè)方面:
1、網(wǎng)絡(luò)信息安全方面
(l)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對(duì)制約了國際性的商務(wù)活動(dòng)。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
(3)防病毒問題。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問題。
(4)服務(wù)器的安全問題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電子商務(wù)的核心,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果會(huì)非常嚴(yán)重。
2、電子商務(wù)交易方面
(1)身份的不確定問題。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái),在這個(gè)平臺(tái)上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易。
(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。
(3)交易的修改問題。交易文件是不可修改的,否則必然會(huì)影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴(yán)肅和公正。
二、電子商務(wù)中的網(wǎng)絡(luò)信息安全對(duì)策
1、電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對(duì)策
(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者身份的認(rèn)證,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全,方便地實(shí)現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩浴⑼暾裕矸蒡?yàn)證機(jī)制以及交易的不可抵賴性等均可通過電子簽名的安全認(rèn)證手段加以解決。(2)配置防火墻。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它能阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接人控制和審查跟蹤,是一種訪問控制機(jī)制。在邏輯,防火墻是一個(gè)分離器、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和工nternet之間的任何活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全。
(3)應(yīng)用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和公用密鑰體制兩。相應(yīng)地,對(duì)數(shù)據(jù)加密的技術(shù)分為對(duì)稱加密和非討稱力日密兩類。根據(jù)電子商務(wù)系統(tǒng)的特點(diǎn),全面加密保護(hù)應(yīng)包括對(duì)遠(yuǎn)程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實(shí)施加密保護(hù)。一般來說,應(yīng)根據(jù)管理級(jí)別所對(duì)應(yīng)的數(shù)據(jù)保密要求進(jìn)行部分加密而非全程加密。
2、電子商務(wù)網(wǎng)絡(luò)安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運(yùn)行狀況保密、工作日記保密等各個(gè)方面。對(duì)各類保密都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級(jí)別,并制定出相應(yīng)的保密措施。
(2)建立系統(tǒng)維護(hù)制度。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長期安全、穩(wěn)定運(yùn)行的基本保證,應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān),為安全起見,其他任何人不得介人,主要做好硬件系統(tǒng)日常借理維護(hù)和軟件系統(tǒng)日常管理維護(hù)兩方面的工作。
(3)建立病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時(shí)升級(jí)防病毒軟件版本、及時(shí)通報(bào)病毒人侵信息等工作。此外,還可將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件屬性、權(quán)限加以限制,斷絕病毒人侵的渠道,從而達(dá)預(yù)防的目的。
(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個(gè)成功的電子商務(wù)系統(tǒng),應(yīng)針對(duì)信息安全至少提供三個(gè)層面的安全保護(hù)措施:一是數(shù)據(jù)在操作系統(tǒng)內(nèi)部或者盤陣中實(shí)現(xiàn)快照、鏡像;二是對(duì)數(shù)據(jù)庫及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動(dòng)備份;三是對(duì)重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份,通過以土保護(hù)措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險(xiǎn)。
三、電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)
電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān),更與社會(huì)因素、法制環(huán)境等多方面因素有關(guān)。故應(yīng)對(duì)電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:
1.電子商務(wù)系統(tǒng)硬件安全。主要是指保護(hù)電子商務(wù)系統(tǒng)所涉及計(jì)算機(jī)硬件的安全性,保證其可靠哇和為系統(tǒng)提供基礎(chǔ)性作用的安全機(jī)制。
2.電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改、破壞與非法復(fù)制,系統(tǒng)軟件安全的目標(biāo)是使系統(tǒng)中信息的處理和傳輸滿足整個(gè)系統(tǒng)安全策略需求。
3.電子商務(wù)系統(tǒng)運(yùn)行安全。主要指滿足系統(tǒng)能夠可靠、穩(wěn)定、持續(xù)和正常的運(yùn)行。
篇(3)
電子商務(wù)是一個(gè)跨國界,跨地區(qū),跨行業(yè)的多種技術(shù)綜合集成與不同社會(huì)經(jīng)濟(jì)文化背景形成的各種習(xí)俗不斷沖突,不斷協(xié)調(diào)和不斷統(tǒng)一的綜合性社會(huì)系統(tǒng)工程。電子商務(wù)安全策略保障電子商務(wù)各個(gè)主體的切身利益。電子商務(wù)安全策略是以人為本,從各主體的角度思考,綜合協(xié)調(diào)了各個(gè)市場主體的行為,從根本上保障了消費(fèi)者、企業(yè)、電子商務(wù)網(wǎng)站等市場主體的切身利益,它為實(shí)現(xiàn)電子商務(wù)提供了統(tǒng)一的基礎(chǔ)平臺(tái)和安全屏障。
一、電子商務(wù)安全技術(shù)保障策略
安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有以下幾種:
1.密碼技術(shù)。密碼技術(shù)包括加密技術(shù)和解密技術(shù)。加密是將信息經(jīng)過加密密鑰及加密函數(shù)轉(zhuǎn)換,變成無意義的密文。而解密則是將密文經(jīng)過解密函數(shù)、解密密鑰處理還原成原文。密碼技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)。
2.身份驗(yàn)證技術(shù)。電子商務(wù)主體向系統(tǒng)證明自己身份,并由系統(tǒng)查核該主體的過程,是確認(rèn)真實(shí)有效身份的重要環(huán)節(jié),這個(gè)過程叫作身份驗(yàn)證。常用的驗(yàn)證技術(shù)有報(bào)文鑒別、身份鑒別和電子簽名。
3.訪問控制技術(shù)。訪問控制是指對(duì)電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中各種資源訪問時(shí)的權(quán)限確認(rèn),防止非法訪問。它包括有關(guān)的策略、模型、機(jī)制的基礎(chǔ)理論與實(shí)現(xiàn)方法。
4.防火墻技術(shù)。防火墻是用一組網(wǎng)絡(luò)設(shè)備來加強(qiáng)一個(gè)網(wǎng)絡(luò)與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾、應(yīng)用、電路網(wǎng)關(guān)。
二、企業(yè)電子商務(wù)安全運(yùn)營管理制度保障策略
企業(yè)電子商務(wù)安全運(yùn)營管理制度是用文字的形式對(duì)各項(xiàng)安全要求所做的規(guī)定,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ),是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則。這些制度主要包括人員管理制度,保密制度,跟蹤審計(jì)制度,系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度等。
1.人員管理制度人員管理制度主要從人員的選拔,工作責(zé)任的落實(shí)和安全運(yùn)作必須遵循的基本原則制定相應(yīng)的工作制度。
2.保密制度電子商務(wù)系統(tǒng)涉及企業(yè)的市場、生產(chǎn)、財(cái)務(wù)、供應(yīng)鏈等多方面的機(jī)密,這些方面都是需要很好地劃分信息安全級(jí)別,并確定安全防范重點(diǎn),提出相應(yīng)的保密措施。
3.跟蹤審計(jì)制度跟蹤制度就是要求企業(yè)建立網(wǎng)絡(luò)交易的日志機(jī)制,來記錄網(wǎng)絡(luò)交易的全過程。而審計(jì)制度是對(duì)系統(tǒng)日志的經(jīng)常檢查、審核,及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)有安全隱患的記錄,監(jiān)控各種安全事故,維護(hù)和管理系統(tǒng)日志。
4.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)包括硬件的日常維護(hù)和軟件的日常維護(hù),硬件維護(hù)主要是對(duì)網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機(jī)以及通信線路進(jìn)行定期規(guī)范地巡查、檢修;軟件維護(hù)主要是規(guī)范地對(duì)支撐軟件的定期清理和整理、監(jiān)測、處理特殊情況以及對(duì)應(yīng)用軟件的升級(jí)等。
5.數(shù)據(jù)備份制度數(shù)據(jù)備份主要是利用多種介質(zhì)對(duì)信息系統(tǒng)數(shù)據(jù)進(jìn)行存儲(chǔ),定期為重要信息備份、系統(tǒng)設(shè)備備份,并定期更新,以減少安全事故發(fā)生時(shí)造成的損失。
三、電子商務(wù)立法策略
電子商務(wù)安全得到法律保障,首先必須完善電子商務(wù)安全相關(guān)的法律。如何構(gòu)建一個(gè)有針對(duì)性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。
1.立法目的電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙;消除現(xiàn)有法律適用上的不確定性,保護(hù)合理的商業(yè)行為,保障電子交易安全;建立一個(gè)清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。
2.立法范圍電子商務(wù)安全方面需要的法律法規(guī)主要有:市場準(zhǔn)入制度、合同有效認(rèn)證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法,知識(shí)產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過濾等;電子商務(wù)調(diào)整的對(duì)象是電子商務(wù)中的各種社會(huì)關(guān)系。[3.立法途徑電子商務(wù)法律仍然是調(diào)整社會(huì)關(guān)系,所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核,尤其是基礎(chǔ)價(jià)值觀。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。對(duì)于傳統(tǒng)法律沒有規(guī)定的,即由電子商務(wù)帶來的新的社會(huì)關(guān)系,應(yīng)盡快制定法律規(guī)范;第二是修改或重新解釋既定的法律規(guī)范。對(duì)于傳統(tǒng)法律的規(guī)定不明確,或與電子商務(wù)新型社會(huì)關(guān)系有沖突甚至存在缺欠的,可以修改或重新解釋既定的法律規(guī)范。
四、政府監(jiān)督管理策略
電子商務(wù)本質(zhì)是一種市場運(yùn)作模式,市場的正常健康有序地發(fā)展,必須有政府宏觀上的監(jiān)督與管理,以協(xié)調(diào)和規(guī)范各市場主體的行為,宏觀監(jiān)督與管理電子商務(wù)運(yùn)行中的安全保障體系。
1.計(jì)算機(jī)信息系統(tǒng)安全管理計(jì)算機(jī)信息系統(tǒng),是指“由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。”計(jì)算機(jī)安全保護(hù)規(guī)范主要有計(jì)算機(jī)安全等級(jí)保護(hù)制度,計(jì)算機(jī)系統(tǒng)使用單位安全負(fù)責(zé)制度,計(jì)算機(jī)案件強(qiáng)行報(bào)告制度,計(jì)算機(jī)病毒及其有害數(shù)據(jù)的專管制度與計(jì)算機(jī)信息安全專用產(chǎn)品銷售許可證制度。對(duì)計(jì)算機(jī)信息系統(tǒng)安全的保護(hù),有利于保障國家的安全和社會(huì)安定,促進(jìn)電子商務(wù)的安全交易過程,有利電子商務(wù)的健康發(fā)展。
2.網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理由于網(wǎng)絡(luò)的開放性,自由性等特征決定了網(wǎng)絡(luò)廣告監(jiān)管的難度,虛假廣告、廣告充斥著網(wǎng)絡(luò)空間,網(wǎng)絡(luò)廣告已經(jīng)發(fā)展成為一個(gè)社會(huì)問題。網(wǎng)絡(luò)廣告管理應(yīng)該從三個(gè)方面入手:第一,網(wǎng)絡(luò)廣告組織的管理,必須對(duì)網(wǎng)站廣告經(jīng)營主體資格進(jìn)行管制,第二,規(guī)范網(wǎng)絡(luò)廣告內(nèi)容,確保廣告內(nèi)容的真實(shí)性、合法性和科學(xué)性。第三,需要有具體的廣告審查管制、評(píng)估與監(jiān)測部門。
國家針對(duì)網(wǎng)絡(luò)服務(wù)業(yè)和網(wǎng)絡(luò)用戶管理已經(jīng)頒布了《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》,其中提出了詳細(xì)具體的限制條件。但是,網(wǎng)絡(luò)飛速發(fā)展,面對(duì)網(wǎng)絡(luò)中的新問題,還必須進(jìn)一步深入全面地研究。
3.認(rèn)證機(jī)構(gòu)管理認(rèn)證機(jī)構(gòu)是電子商務(wù)活動(dòng)中專門從事頒發(fā)認(rèn)證證書的機(jī)構(gòu),對(duì)電子商務(wù)交易活動(dòng)順利進(jìn)行,電子商務(wù)活動(dòng)中交易參與各方身份和信息認(rèn)定,維護(hù)交易安全具有重要作用。對(duì)認(rèn)證機(jī)構(gòu)的管理主要是通過對(duì)設(shè)立的條件、撤消或者頒發(fā)許可證等營業(yè)資格而進(jìn)行審批監(jiān)督;同時(shí),還要針對(duì)其資產(chǎn)和財(cái)務(wù)狀況定期審查,以免發(fā)生財(cái)務(wù)危機(jī),對(duì)其信息披露與保密情況、安全系統(tǒng)運(yùn)行情況等方面進(jìn)行不定期或定期監(jiān)督檢查。
4.加強(qiáng)社會(huì)信用道德建設(shè),構(gòu)建和諧安全電子商務(wù)電子商務(wù)安全問題其中有很大部分是由電子商務(wù)用戶或從業(yè)人員的信用道德問題引發(fā)的,在我國尤其嚴(yán)重,甚至大家感嘆電子商務(wù)在我國“水土不服”。對(duì)于新型的商業(yè)運(yùn)作模式,必然存在不少漏洞,這需要廣大電子商務(wù)市場主體有良好的電子商務(wù)道德意識(shí)。除了從法律上采取措施,更重要的是政府要加強(qiáng)電子商務(wù)市場主體自身的道德建設(shè),加強(qiáng)輿論監(jiān)督和企業(yè)自律,充分利用網(wǎng)絡(luò)新聞輿論監(jiān)督,消費(fèi)者輿論監(jiān)督和行業(yè)協(xié)會(huì)的管理監(jiān)督。
五、結(jié)束語
電子商務(wù)安全不僅涉及到電子商務(wù)公司、企業(yè)、消費(fèi)者的利益,而且更加廣泛地涉及經(jīng)濟(jì)、政治、國防、文化等諸多方面,關(guān)系到國家的安全、和社會(huì)的穩(wěn)定。電子商務(wù)安全策略確保電子商務(wù)的快速、健康地發(fā)展。電子商務(wù)安全是目前電子商務(wù)發(fā)展的瓶頸,只有解決了電子商務(wù)安全,保障了市場主體的利益,才能得到網(wǎng)絡(luò)用戶的認(rèn)可和參與,電子商務(wù)自身也才能得到快速、健康地發(fā)展。
參考文獻(xiàn)
[1]林寧,吳志剛.我國信息安全技術(shù)標(biāo)準(zhǔn)化現(xiàn)狀[J].中國標(biāo)準(zhǔn)化,2007(4)
篇(4)
伴隨經(jīng)濟(jì)的迅猛發(fā)展,電子商務(wù)成為當(dāng)今世界商務(wù)活動(dòng)的新模式。要在國際競爭中贏得優(yōu)勢,必須保證電子商務(wù)中信息交流的安全。
一、電子商務(wù)的信息安全問題
電子商務(wù)信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù),獲取機(jī)密信息或通過對(duì)信息流量、流向、通信頻度和長度分析,推測出有用信息。2.信息的篡改:當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后,通過技術(shù)手段對(duì)網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地,破壞信息完整性。3.信息假冒:當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發(fā)信者事后否認(rèn)曾發(fā)送信息、收信者事后否認(rèn)曾收到消息、購買者做了定貨單不承認(rèn)等。
二、信息安全要求
電子商務(wù)的安全是對(duì)交易中涉及的各種信息的可靠性、完整性和可用性保護(hù)。信息安全包括以下幾方面:
1.信息保密性:維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障。由于建立在開放網(wǎng)絡(luò)環(huán)境中,要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生。2.信息完整性:貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ),影響到交易和經(jīng)營策略。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹模A(yù)防對(duì)信息隨意生成、修改和刪除,防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一。3.信息有效性:保證信息有效性是開展電子商務(wù)前提,關(guān)系到企業(yè)或國家的經(jīng)濟(jì)利益。對(duì)網(wǎng)絡(luò)故障、應(yīng)用程序錯(cuò)誤、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。為防止計(jì)算機(jī)失效、程序錯(cuò)誤、系統(tǒng)軟件錯(cuò)誤等威脅,通過控制與預(yù)防確保系統(tǒng)安全可靠。
三、信息安全技術(shù)
1.防火墻技術(shù)。防火墻在網(wǎng)絡(luò)間建立安全屏障,根據(jù)指定策略對(duì)數(shù)據(jù)過濾、分析和審計(jì),并對(duì)各種攻擊提供防范。安全策略有兩條:一是“凡是未被準(zhǔn)許就是禁止”。防火墻先封閉所有信息流,再審查要求通過信息,符合條件就通過;二是“凡是未被禁止就是允許”。防火墻先轉(zhuǎn)發(fā)所有信息,然后逐項(xiàng)剔除有害內(nèi)容。
防火墻技術(shù)主要有:(1)包過濾技術(shù):在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過,核心是安全策略即過濾算法設(shè)計(jì)。(2)服務(wù)技術(shù):提供應(yīng)用層服務(wù)控制,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡(luò)層完成所有必要的包過濾與網(wǎng)絡(luò)服務(wù)防火墻功能。(4)復(fù)合型技術(shù):把過濾和服務(wù)兩種方法結(jié)合形成新防火墻,所用主機(jī)稱為堡壘主機(jī),提供服務(wù)。(5)審計(jì)技術(shù):通過對(duì)網(wǎng)絡(luò)上發(fā)生的訪問進(jìn)程記錄和產(chǎn)生日志,對(duì)日志統(tǒng)計(jì)分析,對(duì)資源使用情況分析,對(duì)異常現(xiàn)象跟蹤監(jiān)視。(6)路由器加密技術(shù):加密路由器對(duì)通過路由器的信息流加密和壓縮,再通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密。2.加密技術(shù)。為保證數(shù)據(jù)和交易安全,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)采用加密技術(shù)。數(shù)據(jù)加密是最可靠的安全保障形式和主動(dòng)安全防范的策略。目前廣泛應(yīng)用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿(mào)易方甲生成一對(duì)密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿(mào)易方乙對(duì)信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對(duì)加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請(qǐng)對(duì)方發(fā)信息將公共密鑰傳給對(duì)方,保證傳輸信息的保密和安全。(2)數(shù)字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋,有固定長度且不同明文摘要成密文結(jié)果不同,而同樣明文摘要必定一致。這串摘要成為驗(yàn)證明文是否真身的“指紋”。(3)數(shù)字簽名:將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認(rèn)文件的手段。簽名作用有兩點(diǎn):一是因?yàn)樽约汉灻y以否認(rèn),從而確認(rèn)文件已簽署;二是因?yàn)楹灻灰追旅埃瑥亩_定文件為真。(4)數(shù)字時(shí)間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容,數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)。
3.認(rèn)證技術(shù)。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份,驗(yàn)證信息完整性,確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改。(1)數(shù)字證書:也叫數(shù)字憑證、數(shù)字標(biāo)識(shí),用電子手段證實(shí)用戶身份及對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限,可控制被查看的數(shù)據(jù)庫,提高總體保密性。交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書證明身份。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱電子商務(wù)認(rèn)證中心。無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書發(fā)放,都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的企業(yè)機(jī)構(gòu),受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書管理。
4.防病毒技術(shù)。(1)預(yù)防病毒技術(shù),通過自身常駐系統(tǒng)內(nèi)存,優(yōu)先獲取系統(tǒng)控制權(quán),監(jiān)視系統(tǒng)中是否有病毒,阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)破壞。(2)檢測病毒技術(shù),通過對(duì)計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測技術(shù),如自身校驗(yàn)、關(guān)鍵字、文件長度變化。(3)消除病毒技術(shù),通過對(duì)計(jì)算機(jī)病毒分析,開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。另外要認(rèn)真執(zhí)行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發(fā),使計(jì)算機(jī)始終處于良好工作狀態(tài)。
四、結(jié)語
信息安全是電子商務(wù)的核心。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù),提高電子商務(wù)系統(tǒng)的安全性和可靠性。但電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠,還必須完善電子商務(wù)立法,以規(guī)范存在的各類問題,引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。
參考文獻(xiàn):
篇(5)
1.對(duì)稱密鑰加密體制
對(duì)稱密鑰加密,又稱私鑰加密,即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快,適合于對(duì)大數(shù)據(jù)量進(jìn)行加密,但密鑰管理困難。
使用對(duì)稱加密技術(shù)將簡化加密的處理,每個(gè)參與方都不必彼此研究和交換專用設(shè)備的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果進(jìn)行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機(jī)密性和報(bào)文完整性就可以通過使用對(duì)稱加密方法對(duì)機(jī)密信息進(jìn)行加密以及通過隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)。
2.非對(duì)稱密鑰加密體制
非對(duì)稱密鑰加密系統(tǒng),又稱公鑰密鑰加密。它需要使用一對(duì)密鑰來分別完成加密和解密操作,一個(gè)公開,即公開密鑰,另一個(gè)由用戶自己秘密保存,即私用密鑰。信息發(fā)送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密。公鑰機(jī)制靈活,但加密和解密速度卻比對(duì)稱密鑰加密慢得多。
在非對(duì)稱加密體系中,密鑰被分解為一對(duì)。這對(duì)密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為私用密鑰(解密密鑰)加以保存。私用密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握,公開密鑰可廣泛。
該方案實(shí)現(xiàn)信息交換的過程是:貿(mào)易方甲生成一對(duì)密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易方乙使用該密鑰對(duì)信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把專用密鑰對(duì)加密信息進(jìn)行解密。
認(rèn)證技術(shù)
安全認(rèn)證的主要作用是進(jìn)行信息認(rèn)證。信息認(rèn)證的目的為:(1)確認(rèn)信息發(fā)送者的身份;2)驗(yàn)證信息的完整性,即確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改過。下面從安全認(rèn)證技術(shù)和安全認(rèn)證機(jī)構(gòu)兩個(gè)方面來做介紹。
1.常用的安全認(rèn)證技
安全認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等。
(1)數(shù)字摘要
數(shù)字摘要是采用單向Hash函數(shù)對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長度的摘要碼,并在傳輸信息時(shí)將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進(jìn)行變換運(yùn)算,若得到的結(jié)果與發(fā)送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。
(2)數(shù)字信封
數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中,信息發(fā)送方采用對(duì)稱密鑰來加密信息,然后將此對(duì)稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后,將它和信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開數(shù)字信封,得到對(duì)稱密鑰,然后使用對(duì)稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。
(3)數(shù)字簽名
日常生活中,通常用對(duì)某一文檔進(jìn)行簽名來保證文檔的真實(shí)有效性,防止其抵賴。在網(wǎng)絡(luò)環(huán)境中,可以用電子數(shù)字簽名作為模擬。
把Hash函數(shù)和公鑰算法結(jié)合起來,可以在提供數(shù)據(jù)完整性的同時(shí)保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改,而真實(shí)性則保證是由確定的合法者產(chǎn)生的Hash,而不是由其他人假冒。而把這兩種機(jī)制結(jié)合起來就可以產(chǎn)生數(shù)字簽名。
(4)數(shù)字時(shí)間戳
在書面合同中,文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。而在電子交易中,同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)絡(luò)安全服務(wù)項(xiàng)目,由專門的機(jī)構(gòu)提供。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔,它包括三個(gè)部分:需加時(shí)間戳的文件的摘要、DTS收到文件的日期和時(shí)間、DTS的數(shù)字簽名。
(5)數(shù)字證書
在交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書來證明各自的身份。所謂數(shù)字證書,就是用電子手段來證實(shí)一個(gè)用戶的身份及用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限。
數(shù)字證書是用來惟一確認(rèn)安全電子商務(wù)交易雙方身份的工具。由于它由證書管理中心做了數(shù)字簽名,因此任何第三方都無法修改證書的內(nèi)容。任何信用卡持有人只有申請(qǐng)到相應(yīng)的數(shù)字證書,才能參加安全電子商務(wù)的網(wǎng)上交易。數(shù)字證書一般有四種類型:客戶證書、商家證書、網(wǎng)關(guān)證書及CA系統(tǒng)證書。
2.安全認(rèn)證機(jī)構(gòu)
電子商務(wù)授權(quán)機(jī)構(gòu)(CA)也稱為電子商務(wù)認(rèn)證中心(CertificateAuthority)。在電子交易中,無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書的發(fā)放,都不是靠交易雙方自己能完成的,而需要有一個(gè)具有權(quán)威性和公正性的第三方來完成。
認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。
安全認(rèn)證協(xié)議
目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用,即安全套接層SSL(SecureSocketsLayer)協(xié)議和安全電子交易SET(SecureElectronicTransaction)協(xié)議。
1.安全套接層(SSL)協(xié)議
安全套接層協(xié)議是由Netscape公司1994年設(shè)計(jì)開發(fā)的安全協(xié)議,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的概念可以被概括為:它是一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。目的是為用戶提供Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)。
SSL采用了公開密鑰和專有密鑰兩種加密:在建立連接過程中采用公開密鑰;在會(huì)話過程中使用專有密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務(wù)器間事務(wù)的安全性。
篇(6)
一移動(dòng)電子商務(wù)存在的安全問題分析
移動(dòng)電子商務(wù)由于利用了很多新興的設(shè)備和技術(shù),因此帶來了很多新的安全問題。在傳統(tǒng)電子商務(wù)中,很多顧客和企業(yè)由于擔(dān)心因安全問題蒙受損失而一直對(duì)這種高效便捷的商務(wù)方式持觀望態(tài)度。而移動(dòng)電子商務(wù)除包含大部分傳統(tǒng)電子商務(wù)所面臨的各種安全問題外,由于自身的移動(dòng)性所帶來的一些相關(guān)特性又產(chǎn)生了大量全新的安全問題。總的來說,移動(dòng)電子商務(wù)的安全面臨著技術(shù)、管理和法律幾個(gè)方面的挑戰(zhàn),與傳統(tǒng)電子商務(wù)相比,其安全問題更加復(fù)雜,解決起來難度更大。
1.無線竊聽
傳統(tǒng)的有線網(wǎng)絡(luò)是利用通信電纜作為傳播介質(zhì),這些介質(zhì)大部分處于地下等一些比較安全的場所,因此中間的傳輸區(qū)域相對(duì)是受控制的。而在無線通信網(wǎng)絡(luò)中,所有的通信內(nèi)容(如移動(dòng)用戶的通話信息、身份信息、位置信息、數(shù)據(jù)信息等)都是通過無線信道傳送的,無線信道是一個(gè)開放性信道,是利用無線電波進(jìn)行傳播的,在無線網(wǎng)絡(luò)中的信號(hào)很容易受到攔截并被解碼,只要具有適當(dāng)?shù)臒o線接收設(shè)備就可以很容易實(shí)現(xiàn)無線監(jiān)聽,而且很難被發(fā)現(xiàn)。
2.非授權(quán)訪問數(shù)據(jù)
非授權(quán)訪問是指未經(jīng)授權(quán)的主體獲得了訪問網(wǎng)絡(luò)資源的機(jī)會(huì),并有可能篡改信息資源。攻擊者能在服務(wù)網(wǎng)內(nèi)竊聽、非授權(quán)訪問用戶的敏感數(shù)據(jù)。這種訪問通常是通過在不安全信道上截取正在傳輸?shù)男畔⒒蛘呃眉夹g(shù)及產(chǎn)品中固有的弱點(diǎn)來實(shí)現(xiàn)。
3.假冒攻擊
在無線通信網(wǎng)絡(luò)中,移動(dòng)站必須通過無線信道傳送其身份信息,以便于網(wǎng)絡(luò)控制中心以及其他移動(dòng)站能夠正確鑒別它的身份。由于無線信道傳送的任何信息都可能被竊聽,當(dāng)攻擊者截獲到一個(gè)合法用戶的身份信息時(shí),他就可以利用這個(gè)身份信息來假冒該合法用戶,這就是所謂的身份假冒攻擊。另外,主動(dòng)攻擊者還可以假冒網(wǎng)絡(luò)控制中心。如在移動(dòng)通信網(wǎng)絡(luò)中,主動(dòng)攻擊者可能假冒網(wǎng)絡(luò)基站來欺騙移動(dòng)用戶,以此手段獲得移動(dòng)用戶的身份信息,從而假冒該移動(dòng)用戶身份。
4.移動(dòng)終端的安全管理問題
很多用戶容易將比較機(jī)密的個(gè)人資料或商業(yè)信息存儲(chǔ)在移動(dòng)設(shè)備當(dāng)中,如PIN碼、銀行帳號(hào)甚至密碼等,原因是這些移動(dòng)設(shè)備可以隨身攜帶,數(shù)據(jù)和信息便于查找。但是由于移動(dòng)設(shè)備體積較小,而且沒有建筑、門鎖和看管保證的物理邊界安全,因此很容易丟失和被竊。很多用戶對(duì)他們的移動(dòng)設(shè)備沒有設(shè)置密碼保護(hù),對(duì)存儲(chǔ)信息沒有備份,在這種情況下丟失數(shù)據(jù)或被他人惡意盜用,都將會(huì)造成很大的損失。
二電子商務(wù)安全管理的解決之策
1.身份認(rèn)證技術(shù)
信息安全的一個(gè)重要方面是保證通信雙方身份的真實(shí)性,即防止攻擊者對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊,如假冒用戶等。身份認(rèn)證是防止攻擊者主動(dòng)攻擊的一個(gè)重要技術(shù),它對(duì)于開放環(huán)境別是無線通信中各種信息的安全有重要作用。認(rèn)證的主要目的,第一驗(yàn)證消息發(fā)送者和接收者的真?zhèn)危诙?yàn)證消息的完整性,驗(yàn)證消息在傳送或存儲(chǔ)過程中是否被篡改、重放或延遲等。口令是最簡單的身份認(rèn)證技術(shù),安全性較差,因此有一次性口令等多種技術(shù)來提高它的安全性。利用密碼技術(shù),特別是公鑰密碼技術(shù)可以獲得安全性較高的身份認(rèn)證功能。保密和認(rèn)證是信息系統(tǒng)安全的兩個(gè)重要方面,它們是兩個(gè)不同屬性的問題,一般來說,認(rèn)證不能自動(dòng)提供保密,保密不能自然地提供認(rèn)證功能。
2.WPKI技術(shù)
在有線通信中,電子商務(wù)交易的一個(gè)重要安全保障是PKI。PKI的系統(tǒng)概念、安全操作流程、密鑰、證書等同樣也適用于解決移動(dòng)電子商務(wù)交易的安全問題,但在應(yīng)用PKI的同時(shí)要考慮到移動(dòng)通信環(huán)境的特點(diǎn),并據(jù)此對(duì)PKI技術(shù)進(jìn)行改進(jìn)。
3.安全管理模型的建立及實(shí)施
對(duì)移動(dòng)電子商務(wù)系統(tǒng)的管理過程是一個(gè)動(dòng)態(tài)的管理過程,是一個(gè)循環(huán)反復(fù)、螺旋上升的過程,論文嘗試建立一個(gè)“閉環(huán)”管理模型,將安全管理的各個(gè)階段融入于模型之中,然后不斷連續(xù)審查整個(gè)過程,發(fā)現(xiàn)問題時(shí)及時(shí)更新,及時(shí)解決,以便形成越來越完善的安全系統(tǒng)。
制定一套完整的安全方案一套完整的安全方案是實(shí)現(xiàn)移動(dòng)電子商務(wù)系統(tǒng)安全的有力保障,移動(dòng)服務(wù)提供商應(yīng)結(jié)合自己實(shí)際狀況,從人力、物力、財(cái)力等各方面做好部署與配置。由于
安全方案涉及到了安全理論、安全產(chǎn)品、網(wǎng)絡(luò)技術(shù)、系統(tǒng)技術(shù)實(shí)現(xiàn)等多方面專業(yè)技能,并且要求有較高的認(rèn)知能力,因此可以聘請(qǐng)專業(yè)安全顧問公司來完成,大多安全顧問公司在做安全方案方面有著豐富的經(jīng)驗(yàn),能夠制定出符合需要的合理的安全方案來。
4.制定并貫徹安全管理制度
篇(7)
一、前言
電子商務(wù)全球化的發(fā)展趨勢中,電子商務(wù)交易的信用危機(jī)也悄然襲來,虛假交易、假冒行為、合同詐騙、侵犯消費(fèi)者合法權(quán)益等各種違法違規(guī)行為屢屢發(fā)生,這些現(xiàn)象在很大程度上制約了我國電子商務(wù)乃至全球電子商務(wù)快速、健康發(fā)展。限制電子商務(wù)的發(fā)展主要因素就是電子支付手段的安全性。
二、主要的電子支付手段及其安全性分析
1.電子信用卡
(1)支付方式:信用卡支付是電子支付中最常用的工具,方法是在Internet環(huán)境下通過標(biāo)準(zhǔn)的SET協(xié)議進(jìn)行網(wǎng)絡(luò)支付,用戶在網(wǎng)上發(fā)送信用卡號(hào)和密碼,加密后發(fā)送到銀行進(jìn)行支付。支付過程中要進(jìn)行用戶、商家及付款要求的合法性驗(yàn)證。
(2)安全策略:電子信用卡,是通過用戶在網(wǎng)上輸入賬號(hào)/密碼+數(shù)字簽名,這些信息都是通過SET或者SSL協(xié)議的支付網(wǎng)關(guān)平臺(tái)直接與銀行進(jìn)行相關(guān)支付信息的安全交互,進(jìn)行網(wǎng)絡(luò)支付,這種支付方式的安全性是可以得到保證的。
(3)安全隱患:單純從技術(shù)上來說,無安全隱患問題。
2.電子支票
(1)支付方式:電子支票是利用數(shù)字化手段進(jìn)行網(wǎng)上支付,支付過程與傳統(tǒng)支票的支付過程相似,只是電子支票完全拋開了紙質(zhì)的媒介,其支票的形式是通過網(wǎng)絡(luò)傳播,并用數(shù)字簽名代替了傳統(tǒng)的簽名方式。其交易流程如下:
(2)安全策略:和電子信用卡一樣,采用賬號(hào)/密碼+數(shù)字簽名的方式進(jìn)行身份驗(yàn)證。其支付目前一般是通過專用網(wǎng)絡(luò)、設(shè)備、軟件及一套完整的用戶識(shí)別、標(biāo)準(zhǔn)報(bào)文、數(shù)據(jù)驗(yàn)證等規(guī)范化協(xié)議完成數(shù)據(jù)傳輸,從而控制安全性,從上面的交易流程,我們可以看到,電子支票的支付在專用系統(tǒng)上有可靠的安全措施的。
(3)安全隱患:專用網(wǎng)絡(luò)上的應(yīng)用具有成熟的模式(例如SWIFT(環(huán)球銀行金融通訊協(xié)會(huì)、SocietyforWorldwideInterbankFinancialTelecommunication)系統(tǒng));公共網(wǎng)絡(luò)上的點(diǎn)的資金轉(zhuǎn)賬仍在實(shí)驗(yàn)之中。
3.電子現(xiàn)金
(1)支付方式:電子現(xiàn)金是一種以數(shù)字化形式存在的現(xiàn)金貨幣,它同信用卡不一樣,信用卡本身并不是貨幣,只是一種轉(zhuǎn)賬手段,而電子現(xiàn)金本身就是一種貨幣,是一種以數(shù)據(jù)形式存在的現(xiàn)金貨幣。它把現(xiàn)金數(shù)值轉(zhuǎn)換成為一系列的加密序列數(shù),通過這些序列數(shù)來表示現(xiàn)實(shí)中各種金額的幣值。可以直接用來購物。電子現(xiàn)金具有如下特點(diǎn):匿名;節(jié)省交易費(fèi)用;支付靈活方便;安全存儲(chǔ)。
(2)安全策略:沒有適當(dāng)?shù)纳矸菡J(rèn)證機(jī)制,是匿名的,為防止被偽造,電子現(xiàn)金的傳輸是經(jīng)過數(shù)字簽名的。
(3)安全隱患:①逃稅:由于電子現(xiàn)金可以實(shí)現(xiàn)跨國交易,稅收和洗錢將成為潛在的問題。電子現(xiàn)金不像真實(shí)的現(xiàn)金一樣,流通時(shí)不會(huì)留下任何記錄,稅務(wù)部門很難追查,所以即使將來調(diào)整了國際稅收規(guī)則,由于其不可跟蹤性,電子現(xiàn)金很可能被不法分子用以逃稅。②洗錢:電子現(xiàn)金使洗錢也變得很容易。因?yàn)槔秒娮蝇F(xiàn)金可以將錢送到世界上的任何地方而不留痕跡,如果調(diào)查機(jī)關(guān)想要獲取證據(jù),需要檢查網(wǎng)上所有的數(shù)據(jù)并破譯所有的密碼,這幾乎是不可能的。目前惟一的辦法是建立一定的密鑰托管機(jī)制,使政府在一定條件下能夠獲得私人的密鑰,而這又會(huì)損害客戶的隱私權(quán),但作為預(yù)防洗錢等違法行為的措施,許多國家已經(jīng)開始了這種做法。
③擾亂金融秩序:電子現(xiàn)金的法律地位一直難以確定。這是因?yàn)榘凑肇泿诺膶?shí)質(zhì)和網(wǎng)絡(luò)無國界性來推斷,各國中央銀行的地位都將受到挑戰(zhàn),因?yàn)槿魏我粋€(gè)有實(shí)力、有信譽(yù)的全球性公司,都可以發(fā)行購買其產(chǎn)品或服務(wù)的數(shù)字化等價(jià)物,從而避開銀行的繁瑣手續(xù)和稅收。而這會(huì)擾亂一國的金融秩序,任何國家都不會(huì)允許。
④重復(fù)消費(fèi):由于電子序列號(hào)可以被復(fù)制,因此需要一個(gè)大型的數(shù)據(jù)庫存儲(chǔ)用戶完成的交易和E-Cash序列號(hào)以防止重復(fù)消費(fèi),這對(duì)于軟件和硬件的要求都很高,因此很多銀行都不支持電子現(xiàn)金業(yè)務(wù)。
4.移動(dòng)支付
(1)支付方式:移動(dòng)支付系統(tǒng)將為每個(gè)移動(dòng)用戶建立一個(gè)與其手機(jī)號(hào)碼關(guān)聯(lián)的支付賬戶,為移動(dòng)用戶提供了一個(gè)通過手機(jī)進(jìn)行交易支付和身份認(rèn)證的途徑。用戶通過撥打電話、發(fā)送短信或者使用WAP功能接入移動(dòng)支付系統(tǒng),移動(dòng)支付系統(tǒng)將此次交易的要求傳送給MASP,由MASP確定此次交易的金額,并通過移動(dòng)支付系統(tǒng)通知用戶,在用戶確認(rèn)后,付費(fèi)方式可通過多種途徑實(shí)現(xiàn),如直接轉(zhuǎn)入銀行、用戶電話賬單或者實(shí)時(shí)在專用預(yù)付賬戶上借記,這些都將由移動(dòng)支付系統(tǒng)來完成。
(2)安全措施:身份驗(yàn)證方式采用個(gè)人賬號(hào)/密碼的方式。對(duì)交易中的部分敏感信息進(jìn)行了加密。
篇(8)
電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。
2.信息機(jī)密性
電子商務(wù)作為貿(mào)易的一種手段,其信息直接廠代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。
3.信息完整性
電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各信息的差異。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。
4.信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可抵賴性要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式。
5.系統(tǒng)的可靠性
電子商務(wù)系統(tǒng)是計(jì)算機(jī)系統(tǒng),其可靠性是防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、自然災(zāi)害等引起的計(jì)算機(jī)信息失誤或失效。
二、電子商務(wù)的信息安全技術(shù)
1.數(shù)據(jù)加密技術(shù)
加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式,即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層,使用經(jīng)過加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法,這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)較為簡單,不需要對(duì)電子信息(數(shù)據(jù)包)所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求,對(duì)電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。
1)電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要(digitaldigest)
這一加密方法亦稱安全Hash編碼法,由RonRivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文,這一串密文亦稱為數(shù)字指紋(FingerPrint),它有固定的長度,且不同的明文摘要成密文,其結(jié)果總是不同的,而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了。
數(shù)字簽名(digitalsignature)
數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來使用。主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要),用自己的私有密鑰對(duì)這個(gè)散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名。然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值,接著再用發(fā)送方的公開密鑰來對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密,如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的,通過數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別。概括的說,簽名的作用有兩點(diǎn),一是因?yàn)樽约旱暮灻y以否認(rèn),從而確認(rèn)了文件已簽署這一事實(shí);二是因?yàn)楹灻灰追旅埃瑥亩_定了文件是真的這一事實(shí)。
數(shù)字時(shí)間戳(digitaltime-stamp)交
易文件中,時(shí)間是十分重要的信息。在電子交易中,需對(duì)交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔,它包括三個(gè)部分:需加時(shí)間戳的文件的摘要(digest);DTS收到文件的日期和時(shí)間;DTS的數(shù)字簽名。
數(shù)字證書(digitalcertificate,digitalID)數(shù)字證書又稱為數(shù)字憑證,是用電子手段來證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問的權(quán)限。目前,最有效的認(rèn)證方式是由權(quán)威的認(rèn)證機(jī)構(gòu)為參與電子商務(wù)的各方發(fā)放證書,證書作為網(wǎng)上交易參與各方的身份識(shí)別,就好象每個(gè)公民都用身份證來證明身份一樣。認(rèn)證中心作為電子商務(wù)交易中受信任的第三方,承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任,是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)定證書的權(quán)威機(jī)構(gòu)。因而網(wǎng)絡(luò)中所有用戶可以將自己的公鑰交給這個(gè)中心,并提供自己的身份證明信息,證明自己是相應(yīng)公鑰的擁有者,認(rèn)證中心審查用戶提供的信息后,如果確認(rèn)用戶是合法的,就給用戶一個(gè)數(shù)字證書。這樣,每個(gè)成員只需和認(rèn)證中心打交道,就可以查到其他成員的公鑰信息了。對(duì)于在網(wǎng)上進(jìn)行交易的雙方來說,數(shù)字證書對(duì)他們之間建立信任是至關(guān)重要的。數(shù)字憑證有三種類型:個(gè)人憑證、企業(yè)(服務(wù)器)憑證、軟件(開發(fā)者)憑證;大部分認(rèn)證中心提供前兩類憑證。
2.身份認(rèn)證技術(shù)
為解決Internet的安全問題,初步形成了一套完整的Internet安全解決方案,即被廣泛采用的公鑰基礎(chǔ)設(shè)施(PKI)體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰,通過第三方的可信機(jī)構(gòu)CA,把用戶的公鑰和用戶的其他標(biāo)識(shí)信息(如名稱、e-mail、身份證號(hào)等)捆綁在一起,在Internet網(wǎng)上驗(yàn)證用戶的身份,PKI體系結(jié)構(gòu)把公鑰密碼和對(duì)稱密碼結(jié)合起來,在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理,保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。
1)認(rèn)證系統(tǒng)的基本原理
利用RSA公開密鑰算法在密鑰自動(dòng)管理、數(shù)字簽名、身份識(shí)別等方面的特性,可建立一個(gè)為用戶的公開密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱為CA,CA為用戶發(fā)放電子證書,用戶之間利用證書來保證信息安全性和雙方身份的合法性。
2)認(rèn)證系統(tǒng)結(jié)構(gòu)
整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境,系統(tǒng)從功能上基本可以劃分為CA、RA和WebPublisher。
核心系統(tǒng)跟CA放在一個(gè)單獨(dú)的封閉空間中,為了保證運(yùn)行的絕對(duì)安全,其人員及制度都有嚴(yán)格的規(guī)定,并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)。CA的功能是在收到來自RA的證書請(qǐng)求時(shí),頒發(fā)證書。
證書的登記機(jī)構(gòu)RegisterAuthority,簡稱RA,分散在各個(gè)網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機(jī)結(jié)合,接受客戶申請(qǐng),并審批申請(qǐng),把證書正式請(qǐng)求通過建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。
證書的公布系統(tǒng)WebPublisher,簡稱WP,置于Internet網(wǎng)上,是普通用戶和CA直接交流的界面。對(duì)用戶來講它相當(dāng)于一個(gè)在線的證書數(shù)據(jù)庫。用戶的證書由CA頒發(fā)之后,CA用E-mail通知用戶,然后用戶須用瀏覽器從這里下載證書。
3.網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)
網(wǎng)上支付平臺(tái)分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)。網(wǎng)上支付平臺(tái)支付型電子商務(wù)業(yè)務(wù)提供各種支付手段,包括基于SET標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段。
支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間,其主要功能為:將公網(wǎng)傳來的數(shù)據(jù)包解密,并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包;接收銀行系統(tǒng)內(nèi)部的傳回來的響應(yīng)消息,將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式,并對(duì)其進(jìn)行加密。此外,支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能。
三、電子商務(wù)信息安全中的其它問題
1.內(nèi)部安全
最近的調(diào)查表明,至少有75%的信息安全問題來自內(nèi)部,在信用卡和商業(yè)詐騙中,內(nèi)部人員所占的比例最大;
2.惡意代碼
它們將繼續(xù)對(duì)所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅,并且,其數(shù)量將隨著Internet的發(fā)展和編程環(huán)境的豐富而增多,擴(kuò)散起來也更加便利,因此,造成的破壞也就越大;
3.可靠性差
目前,Internet主干網(wǎng)和DNS服務(wù)器的可靠性還遠(yuǎn)遠(yuǎn)不能滿足人們的要求,而絕大
部分撥號(hào)PPP連接質(zhì)量并不可靠,且速度很慢;
4.技術(shù)人才短缺
由于Internet和網(wǎng)絡(luò)購物都是在近幾年得到了迅猛的發(fā)展,因而,許多地方都缺乏足夠的技術(shù)人才來處理其中遇到的各種問題,尤其是網(wǎng)絡(luò)購物具有24x7(每天24小時(shí),每周7天都能工作)的要求,因而迫切需要有一大批專業(yè)技術(shù)人員對(duì)其進(jìn)行管理。如果說加密技術(shù)是電子交易安全的“硬件”,那么人才問題則可以說是“軟件”。從某種意義上講,軟件的問題解決起來可能更不容易,因此,技術(shù)人才的短缺可能成為阻礙網(wǎng)絡(luò)購物發(fā)展的一個(gè)重要因素。
5.Web服務(wù)器的保護(hù)意識(shí)差
在交易過程中對(duì)數(shù)據(jù)進(jìn)行保護(hù)只是保證交易安全的一個(gè)方面。由于交易的信息均存儲(chǔ)在服務(wù)器上,因此,即使保密信息被客戶端接收之后,也必須對(duì)存儲(chǔ)在服務(wù)器中的數(shù)據(jù)進(jìn)行保護(hù)。目前,Web服務(wù)器是黑客們最喜歡攻擊的目標(biāo)。因此,建議盡量不要將Web服務(wù)和連接到任何內(nèi)部網(wǎng)絡(luò),而且要定期對(duì)數(shù)據(jù)進(jìn)行備份,以便于服務(wù)器被攻擊之后對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。當(dāng)然,這畢竟有些不太現(xiàn)實(shí),現(xiàn)在許多流行的Web應(yīng)用都需要Web服務(wù)器與公司的數(shù)據(jù)庫進(jìn)行交互式操作,這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連,而這個(gè)連接也就成為黑客們從Web站點(diǎn)侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通路。雖然防火墻技術(shù)有助于對(duì)web站點(diǎn)進(jìn)行保護(hù),但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護(hù),因而沒有對(duì)Web服務(wù)器進(jìn)行很好的保護(hù),這是商家的Web站點(diǎn)尤其要引起注意的地方。
四、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論
1.SSL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議———面向連接的協(xié)議。
SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性,它不能保證信息的不可抵賴性,主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸,常用WebServer方式。但它是一個(gè)面向連接的協(xié)議,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。
2.SET協(xié)議(SecureElectronicTransaction)安全電子交易———專門為電子商務(wù)而設(shè)計(jì)的協(xié)議。由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性,特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn),因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。雖然它在很多方面優(yōu)于SSL協(xié)議,但仍然不能解決電子商務(wù)所遇到的全部問題。
結(jié)束語
本文分析了目前電子商務(wù)的安全需求,使用的安全技術(shù)及仍存在的問題,并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn),但必須強(qiáng)調(diào)說明的是,電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。
[摘要]電子商務(wù)對(duì)人類社會(huì)經(jīng)濟(jì)產(chǎn)生了重大影響,在創(chuàng)造巨大經(jīng)濟(jì)效益的同時(shí),也從根本上改變了整個(gè)社會(huì)商務(wù)活動(dòng)發(fā)展進(jìn)程。我國電子商務(wù)在曲折進(jìn)程中,已有很大程度的發(fā)展,同時(shí)也存在諸多問題。本文客觀地分析了電子商務(wù)的安全需求、安全技術(shù)發(fā)展現(xiàn)狀及存在的問題,對(duì)加快電子商務(wù)的發(fā)展步伐提出了一些重要思考。
[關(guān)鍵詞]電子商務(wù);安全需求;安全技術(shù);
[參考文獻(xiàn)]
①姚立新,新世紀(jì)商務(wù):電子商務(wù)的知識(shí)發(fā)展與運(yùn)作,中國發(fā)展出版社,1999年。
②《中國電子商務(wù)年鑒》2003卷。
篇(9)
隨著無線通信技術(shù)的發(fā)展,移動(dòng)電子商務(wù)已經(jīng)成為電子商務(wù)研究熱點(diǎn)。移動(dòng)電子商務(wù)是將現(xiàn)代信息科學(xué)技術(shù)和傳統(tǒng)商務(wù)活動(dòng)相結(jié)合,隨時(shí)隨地為用戶提供各種個(gè)性化的、定制的在線動(dòng)態(tài)商務(wù)服務(wù)。
但在無線世界里,人們對(duì)于進(jìn)行商務(wù)活動(dòng)安全性的考慮比在有線環(huán)境中要多。只有當(dāng)所有的用戶確信,通過無線方式所進(jìn)行的交易不會(huì)發(fā)生欺詐或篡改、進(jìn)行的交易受到法律的承認(rèn)和隱私信息被適當(dāng)?shù)谋Wo(hù)時(shí),移動(dòng)電子商務(wù)才有可能蓬勃開展。
移動(dòng)電子商務(wù)通信安全的現(xiàn)狀
由于無線通訊接入方式非常靈活,所以其對(duì)安全的要求更高。實(shí)際上,主要的無線通信技術(shù)都有各自的措施、協(xié)議和方法來保證各自體制下的通信安全。這里我們將從無線網(wǎng)絡(luò)和電子商務(wù)應(yīng)用兩個(gè)方面作簡要討論。
無線局域網(wǎng)
無線局域網(wǎng)絡(luò)是以無線連接至局域網(wǎng)絡(luò)的通訊方式。它采用的是IEEE802.11系列標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中,無線局域網(wǎng)的安全機(jī)制采用的是WEP協(xié)議(有線對(duì)等安全協(xié)議)。在數(shù)據(jù)鏈路用WEP加密數(shù)據(jù),保證了信道上傳送數(shù)據(jù)的安全。另外,無線局域網(wǎng)的網(wǎng)絡(luò)管理員分配給每個(gè)授權(quán)用戶一個(gè)基于WEP算法的密鑰,這樣就有效阻止了非授權(quán)用戶的訪問。
WAP(無線應(yīng)用協(xié)議)技術(shù)
WAP由一系列協(xié)議組成,用來標(biāo)準(zhǔn)化無線通信設(shè)備,例如:移動(dòng)電話、移動(dòng)終端;它負(fù)責(zé)將Internet和移動(dòng)通信網(wǎng)連接到一起,客觀上已成為移動(dòng)終端上網(wǎng)的標(biāo)準(zhǔn)。WAP協(xié)議可以廣泛地運(yùn)用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡(luò)。
WAP的安全機(jī)制是通過WTLS(無線傳輸層安全)協(xié)議來實(shí)現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無線技術(shù)的有限的發(fā)送功率、存儲(chǔ)容量及帶寬的條件下,WTLS能夠?qū)崿F(xiàn)鑒定,保證數(shù)據(jù)的完整性和提供保密服務(wù)的目標(biāo)。
數(shù)字認(rèn)證技術(shù)
對(duì)諸如移動(dòng)電子商務(wù)和有重要使命的合作通信等活動(dòng),其安全性的一個(gè)關(guān)鍵方面是能否對(duì)信息發(fā)送者的身份進(jìn)行論證,通常都要利用有線安全的公開密鑰基本構(gòu)架(PKI)。
PKI提供與加密和數(shù)字證書有關(guān)的一系列技術(shù)。但在無線通信環(huán)境中,PKI是很難實(shí)現(xiàn)的。在只有有限計(jì)算能力和低數(shù)據(jù)流通率的設(shè)備上實(shí)現(xiàn)PKI中的服務(wù)一直是一個(gè)有挑戰(zhàn)性的難題。同時(shí)在PKI的基礎(chǔ)上,要將無線設(shè)備與有線設(shè)備之間進(jìn)行互通也是有難度的。因此無線PKI(WPKI)協(xié)議是要將標(biāo)準(zhǔn)的PKI進(jìn)行修正和簡化,使其在無線通信的環(huán)境下達(dá)到最優(yōu)。
移動(dòng)電子商務(wù)安全分析
IEEE802.11的安全
IEEE802.11標(biāo)準(zhǔn)規(guī)定了MAC層的存取控制規(guī)范,也定義了加密機(jī)制,即上述的WEP。WEP的目的是通過對(duì)信息流加密并利用WEP認(rèn)證節(jié)點(diǎn),使無線通信傳輸像有線網(wǎng)絡(luò)一樣安全。
WEP加密使用共享密鑰和RC4加密算法。訪問點(diǎn)(AP)和連接到該訪問點(diǎn)的所有工作站必須使用同樣的共享密鑰。對(duì)于往任一方向發(fā)送的數(shù)據(jù)包,傳輸程序都將數(shù)據(jù)包的內(nèi)容與數(shù)據(jù)包的檢驗(yàn)組合在一起。然后,WEP標(biāo)準(zhǔn)要求傳輸程序創(chuàng)建一個(gè)特定于數(shù)據(jù)包的初始化向量(IV),后者與密鑰k相組合在一起,用于對(duì)數(shù)據(jù)包進(jìn)行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對(duì)數(shù)據(jù)包進(jìn)行解密。在理論上,這種方法優(yōu)于單獨(dú)使用共享私鑰的顯式策略,應(yīng)該使對(duì)方更難于破解。
但是,IEEE802.11中用于安全的WEP算法只是提供相當(dāng)于有線局域網(wǎng)基本安全的安全級(jí)別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞,有經(jīng)驗(yàn)的黑客會(huì)利用這些漏洞進(jìn)行攻擊。其缺陷主要有:RC4算法本身就有一個(gè)小缺陷。WEP標(biāo)準(zhǔn)允許IV重復(fù)使用(平均大約每5小時(shí)重復(fù)一次)。WEP標(biāo)準(zhǔn)不提供自動(dòng)修改密鑰的方法。
最早的WEP實(shí)施只提供40位加密,這使得它抗暴力攻擊能力差。現(xiàn)代的系統(tǒng)提供128位的WEP,128位的密鑰長度減去24位的IV后,實(shí)際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對(duì)安全。最好的解決辦法是把無線網(wǎng)絡(luò)放在機(jī)構(gòu)防火墻之外,這種防范措施會(huì)強(qiáng)制要求將無線連接當(dāng)作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。
所以,WEP應(yīng)該與其他安全機(jī)制一起應(yīng)用才能提供較強(qiáng)的安全。
WAP的安全
WAP規(guī)范的安全特性包括幾個(gè)部分:WTLS協(xié)議、用于存儲(chǔ)用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。
WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實(shí)體鑒別、數(shù)據(jù)加密和保護(hù)數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關(guān)之間的安全通信。有三種不同級(jí)別的WTLS:
1級(jí):執(zhí)行未經(jīng)證實(shí)的Diffie-Hellman密鑰交換以建立會(huì)話密鑰。
2級(jí):使用與SSL/TLS協(xié)議相類似的公開密鑰證書機(jī)制進(jìn)行服務(wù)器端鑒別。
3級(jí):客戶端和服務(wù)器端采用X.509格式證書相互進(jìn)行鑒別。
早期WAP裝置僅僅采用了第1級(jí)別的WTLS,這種級(jí)別的安全不夠,所以不能用于電子商務(wù)。目前,支持第2和第3級(jí)別WTLS的移動(dòng)裝置從市場上可以得到,它們可以確保網(wǎng)上銀行交易和購物等應(yīng)用的機(jī)密性。
WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級(jí)的功能,并嵌入了對(duì)公開密鑰加密技術(shù)的支持(RSA是強(qiáng)制的,而ECC是可選的)。生產(chǎn)廠家為WIM配備了兩套公私密鑰對(duì)(一套用于簽名,另一套用于鑒別)和兩個(gè)廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網(wǎng)關(guān)建立的所有WTLS會(huì)話都將使用相同的公匙用作初始會(huì)話。每一個(gè)會(huì)話都將包括與此密鑰對(duì)應(yīng)的一個(gè)不同的證書。WIM的基本要求是它們要具有抗篡改的能力。
SignText功能:這個(gè)功能為WAP用戶提供了數(shù)字簽名。同電子簽名功能一樣,這個(gè)功能可以被應(yīng)用于其他無線設(shè)備,或者是手持設(shè)備,或者是內(nèi)嵌SIM卡。
WAP的安全分析:由WAP提供的最好的安全是WTLS3級(jí),多數(shù)情況下WTLS已足以確保WAP的安全。但是,由于WAP網(wǎng)關(guān)在WAP設(shè)備和Web服務(wù)器之間起著翻譯的作用,相應(yīng)的帶來了安全問題:WTLS安全會(huì)話建立在手機(jī)與WAP網(wǎng)關(guān)之間,而與終端服務(wù)器無關(guān)。這意味著數(shù)據(jù)只在WAP手機(jī)與網(wǎng)關(guān)之間加密,網(wǎng)關(guān)將數(shù)據(jù)解密后,利用其他方法將數(shù)據(jù)再次加密,然后經(jīng)過TLS連接發(fā)送給終端服務(wù)器。由于WAP網(wǎng)關(guān)可以看見所有的數(shù)據(jù)明文,而該WAP網(wǎng)關(guān)可能并不為服務(wù)器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數(shù)據(jù)。
目前,針對(duì)上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網(wǎng)關(guān)的安全。如果WAP網(wǎng)關(guān)位于WAP服務(wù)供應(yīng)商范圍之內(nèi),可以通過諸如在內(nèi)存中對(duì)加密和解密過程進(jìn)行最優(yōu)化以減少數(shù)據(jù)明文存在的時(shí)間、在釋放前覆蓋加密解密進(jìn)程使用的內(nèi)存以確保數(shù)據(jù)的安全性。對(duì)于安全要求較高的公司可以擁有自己的WAP網(wǎng)關(guān),從而保障數(shù)據(jù)端到端的安全性。通過WIM實(shí)現(xiàn)數(shù)據(jù)安全性。
WPKI技術(shù)
在有線通信中,電子商務(wù)交易的一個(gè)重要安全保障是PKI。PKI的系統(tǒng)概念、安全操作流程、密鑰、證書等同樣也適用于解決移動(dòng)電子商務(wù)交易的安全問題,但在應(yīng)用PKI的同時(shí)要考慮到移動(dòng)通信環(huán)境的特點(diǎn),并據(jù)此對(duì)PKI技術(shù)進(jìn)行改進(jìn)。
WPKI技術(shù)滿足移動(dòng)電子商務(wù)安全的要求:即保密性、完整性、真實(shí)性、不可抵賴性,消除了用戶在交易中的風(fēng)險(xiǎn)。WPKI技術(shù)主要包含以下幾個(gè)方面:
認(rèn)證機(jī)構(gòu)(CA)CA系統(tǒng)是PKI的信任基礎(chǔ),負(fù)責(zé)分發(fā)和驗(yàn)證數(shù)字證書,規(guī)定證書的有效期,證書廢除列表。
注冊(cè)機(jī)構(gòu)(RA)RA提供用戶和CA之間的一個(gè)接口。作為認(rèn)證機(jī)構(gòu)的校驗(yàn)者,在數(shù)字證書分發(fā)給請(qǐng)求者之前對(duì)證書進(jìn)行驗(yàn)證。
智能卡智能卡將具有存儲(chǔ)、加密及數(shù)據(jù)處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點(diǎn),在生產(chǎn)過程、訪問控制方面有很強(qiáng)的安全保障。很多種需要客戶端認(rèn)證的應(yīng)用都可以使用智能卡來實(shí)現(xiàn)。并且智能卡也是存儲(chǔ)移動(dòng)電子商務(wù)密鑰及相關(guān)數(shù)字證書的最佳選擇。
加密算法加密算法越復(fù)雜,密鑰越長則安全性越高,但執(zhí)行運(yùn)算所需的時(shí)間也越長(或需要計(jì)算能力更強(qiáng)的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協(xié)處理器的芯片。而ECC使用較短的密鑰就可以達(dá)到和RSA算法相同的加密強(qiáng)度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運(yùn)算量小同時(shí)能提供高加密強(qiáng)度的公鑰密碼體制對(duì)在智能卡上實(shí)現(xiàn)數(shù)字簽名應(yīng)用是至關(guān)重要的,ECC在這方面具有很大的優(yōu)勢。
綜上所述,在WPKI機(jī)制下,數(shù)字證書非常重要,但是由于無線信道和移動(dòng)終端的限制,如何安全、便捷地交換用戶的數(shù)字證書是WPKI所必須解決的問題。可以采用以下2種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動(dòng)證書標(biāo)識(shí),將標(biāo)準(zhǔn)的一個(gè)X.509證書與移動(dòng)證書標(biāo)識(shí)唯一對(duì)應(yīng),并且在移動(dòng)終端中嵌入移動(dòng)證書標(biāo)識(shí),用戶每次只需要將自己的移動(dòng)證書標(biāo)識(shí)與簽名數(shù)據(jù)一起提交給對(duì)方,對(duì)方再根據(jù)移動(dòng)證書標(biāo)識(shí)檢索相應(yīng)的數(shù)字證書即可。
目前,大多數(shù)移動(dòng)電子商務(wù)采用的安全方式是非PKI的方式,這種方式主要采用對(duì)稱加密算法和單向散列函數(shù)來提供安全服務(wù),其密鑰的管理是由移動(dòng)運(yùn)營商建立一套主密鑰管理系統(tǒng),為不同的服務(wù)提供商分配不同的密鑰,每次交易過程中,服務(wù)提供商與用戶協(xié)商產(chǎn)生會(huì)話加密密鑰。顯然,采用這種方式構(gòu)建的系統(tǒng)的安全性主要取決于主密鑰的安全。
盡管非PKI方式對(duì)于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統(tǒng)的安全得到較好的保障,但是從長遠(yuǎn)來說,移動(dòng)電子商務(wù)有必要逐步過渡到PKI方式。
移動(dòng)電子商務(wù)隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的成熟發(fā)展迅速,其獨(dú)特的應(yīng)用領(lǐng)域使得其安全問題倍受關(guān)注。從技術(shù)角度上看,一方面無線通信的安全處在不斷地發(fā)展和完善之中,其應(yīng)用到移動(dòng)電子商務(wù)中時(shí)要與其它的安全機(jī)制相結(jié)合才能滿足實(shí)際應(yīng)用的需要;另一方面有線電子商務(wù)的安全技術(shù)不能解決移動(dòng)電子商務(wù)的安全問題,所以WPKI技術(shù)是一個(gè)現(xiàn)實(shí)的選擇。因此,將這兩方面進(jìn)行改進(jìn)并進(jìn)行有機(jī)整合,才能營造一個(gè)安全的移動(dòng)電子商務(wù)環(huán)境。
參考文獻(xiàn):
1.儲(chǔ)節(jié)旺,郭春俠.移動(dòng)電子商務(wù)研究[J].現(xiàn)代情報(bào),2002,3(3)
篇(10)
(2)機(jī)密性
EC作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。EC是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的(尤其Internet是更為開放的網(wǎng)絡(luò)),維護(hù)商業(yè)機(jī)密是EC全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。電子商務(wù)
(3)完整性
EC簡化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。因此,要預(yù)防對(duì)信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。
(4)可靠性/不可抵賴性/鑒別
篇(11)
要實(shí)現(xiàn)電子商務(wù),實(shí)現(xiàn)信息化是第一步.然而據(jù)國家經(jīng)貿(mào)委信息中心總經(jīng)濟(jì)師張銘介紹,中國大型企業(yè)的信息化程度在整體上不容樂觀:截至2002年,只有9%的企業(yè)實(shí)現(xiàn)了信息化管理;僅有4.7%的企業(yè)實(shí)現(xiàn)了信息共享;只有1%的企業(yè)實(shí)現(xiàn)了電子商務(wù)。
我國大多數(shù)企業(yè)對(duì)電子商務(wù)認(rèn)識(shí)有一個(gè)誤區(qū),就是簡單地把電子商務(wù)理解為商品的電子交易。其實(shí),“電子”只是手段,“商務(wù)”才是核心。拿從事網(wǎng)上銷售的企業(yè)來說,除了把商品放在網(wǎng)上銷售之外,還要有傳統(tǒng)零售企業(yè)的特點(diǎn)才能成功。很多企業(yè)就是因?yàn)閷?duì)此理解不夠而蒙受了巨大的損失。
就在本月初,北京西單商場公告,宣布對(duì)旗下的IGO5電子商務(wù)網(wǎng)站進(jìn)行注銷清算。筆者曾經(jīng)登錄過這家網(wǎng)站,在它的網(wǎng)頁上,小至戒指,大到汽車用品都可以看到,可以稱得上是一個(gè)真正的網(wǎng)上百貨商店,但浩如煙海的信息讓用戶很難找到自己想要的商品,西單商場的品牌也因此在網(wǎng)上失去了吸引力。一位加盟商還向記者抱怨,自從加盟后就沒見IGO5做過什么市場活動(dòng),網(wǎng)站點(diǎn)擊量上不去,自然就不會(huì)有人氣和銷售額。結(jié)果這家網(wǎng)站在兩年內(nèi)虧損了1600萬元人民幣。據(jù)了解,目前北京近一半的連鎖零售企業(yè)開設(shè)了自己的購物網(wǎng)站,而這些網(wǎng)站幾乎全部成了企業(yè)的軟肋,存在著不同程度的虧損。這些網(wǎng)站失敗的原因正像業(yè)內(nèi)人士分析的那樣,物質(zhì)上購買了設(shè)備、軟件,但腦袋里根本沒有理解什么是電子商務(wù),管理理念上不去,上什么都白費(fèi)。
安全、信用問題制約了中國電子商務(wù)發(fā)展
去年年底,寧波人孫惠剛辦理了網(wǎng)上銀行注冊(cè)。網(wǎng)上銀行剛剛用了三個(gè)月,孫惠剛在網(wǎng)上銀行賬戶上的9萬元存款、有價(jià)證券就全部被盜。中國電子商務(wù)不斷暴露的信用、安全問題已經(jīng)影響到了電子商務(wù)自身的發(fā)展。中國工程院院士沈昌祥認(rèn)為,那種以為只要技術(shù)到位,平臺(tái)搭好了,電子商務(wù)就接近成功的觀點(diǎn)是錯(cuò)誤的,只有認(rèn)證、支付等問題解決了,建立起一個(gè)安全的商務(wù)環(huán)境,才能真正實(shí)現(xiàn)電子商務(wù)。
為了解決這一問題,我國從2000年起就醞釀在電子商務(wù)方面立法。今年3月24日,國務(wù)院原則通過了《電子簽名法(草案)》。專家認(rèn)為,該法案一旦正式實(shí)施,將可以大大降低網(wǎng)上交易的風(fēng)險(xiǎn)。
立法可以解決安全問題,但電子商務(wù)的信用問題卻依然存在。與國外不同,中國信用體系面臨著信用信息條塊分割的問題。銀行、稅務(wù)、法律等部門都有各自的信息庫,但這些信息很難聯(lián)網(wǎng),更不要說與全社會(huì)共享了。另外,運(yùn)行電子商務(wù)所需硬件和軟件的關(guān)鍵技術(shù)都掌握在外國公司手中,對(duì)我國關(guān)鍵部門、關(guān)鍵數(shù)據(jù)造成了安全隱患,這應(yīng)該引起有關(guān)部門的高度重視。
外商占領(lǐng)中國高端電子商務(wù)市場
盡管國內(nèi)電子商務(wù)環(huán)境遠(yuǎn)遠(yuǎn)談不上成熟,但國外電子商務(wù)硬件、軟件制造商對(duì)從中國電子商務(wù)市場中獲利信心十足。國際數(shù)據(jù)集團(tuán)的總裁麥戈文曾說:“世界范圍內(nèi)信息產(chǎn)業(yè)的年增長率為17%,而中國則是35%。”信息產(chǎn)業(yè)的快速發(fā)展顯然會(huì)帶來電子商務(wù)市場的迅速增長。因此,IBM、惠普、太陽、英特爾等世界IT巨頭都看好中國電子商務(wù)市場這塊大蛋糕。
憑借著資金、技術(shù)優(yōu)勢和高明的商業(yè)策略,外資公司正在逐步占據(jù)中國電子商務(wù)軟、硬件市場的主導(dǎo)地位,尤其是在利潤最豐厚的高端市場,中國企業(yè)簡直被徹底排擠在外。比如IBM就將中石油、中國銀行等超大客戶攬入了自己的懷抱。
