商务安全论文大全11篇
时间:2022-02-06 07:56:27绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇商务安全论文范文,希望它们能为您的写作提供参考和启发。
篇(1)
人类社会进入20世纪70年代以来,以微电子技术为基础的计算机技术和通信技术取得了长足的进展,并渗透到经济和社会的各个领域,从而引起了世界范围内的新技术创新浪潮。信息化建设受到各国政府的高度重视,1991年美国提出"信息高速公路"的设想,1993年正式实施"国家信息基础结构:行动计划";1978年法国制定了一项有关"促进社会信息化的计划",从那以后,法国政府不断推进信息革命,每年投入50亿美元巨款改进通信设备;早在1983年,我国政府就把发展信息技术纳入了国家总体科技论文发展战略规划中,1999年,我国政府上网工程迅速推进,国家信息化战略、数字化产品发展战略、电子商务发展框架也都在加紧研究、制定中。目前全球的计算机社会拥有量迅速增加,互联网用户呈几何级数增长,新的经济消费观正在逐步形成。电子商务的社会基础已经形成。Internet技术的应用普及为电子商务奠定了基础条件,万维网及相关技术的推出开创了电子商务应用的新局面,基于Internet的网络环境建设是开创电子商务市场的前提,安全保障等核心技术的实用化是电子商务成功的保证,商贸活动的信息网络化加快了电子商务的发展进程,各种解决方案的推出标志着电子商务即将进入实用化阶段。
从技术的角度看,电子商务的发展经历了启蒙阶段、商业化阶段、社会化阶段,并开始步入智能化时代。回顾企业信息化和电子商务的发展过程,从最初各部门用数据库管理本部门的数据,通过办公自动化(OA)实现企业内部办公文档传递,到建立统一的ERP系统为管理决策提供信息,通过CRM和SCM将企业和客户、供应商等整个供应链上的各个环节联系起来,再到以服务形式提供各式应用,通过第三方ASP实现企业应用服务的外包,这实际上就是一个从数据、信息到服务的纵向发展过程。互联网应用的发展也是这样,从最初企业间使用EDI交换数据,Email通讯传递简单的信息,到通过门户网站、搜索引擎获取所需信息,与世界各地的人在BBS上交流信息,再到如今的通过社会网络SNS拓展自己的交际圈,社会化程度越来越高。随着信息技术和互联网技术的普及和深入应用,电子商务正在以前所未有的速度发展,以其方便性和灵活性向传统商务模型提出了挑战。互联网的飞速发展,使得传统的商业模式产生了深刻的变化,在相当程度上改变着人们的日常生活习惯。基于网络的电子商务作为一种全新的商业模式,已经得到了快速的发展,但网络交易的安全问题始终是阻碍电子商务全面发展的巨大障碍。因此采用先进的网络信息安全防范技术,为电子商务提供完整的安全保障体系,进而推动电子商务高速发展。1.电子商务信息安全要素互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之联接,并借助互联网信息,进行各种网上商务活动。同时,也给那些别有用心的组织或个人提供了窃取别人的各种机密如消费者的银行账号、密码,甚至妨碍或毁坏他人网络系统运行等各种机会。影响电子商务信息安全要素主要有系统的可靠性,交易的真实性,资料的安全性,资料的完整性,交易的不可抵赖性等。概括起来,电子商务面临的安全威胁主要有以下几方面。
1.1系统的中断与瘫痪。网络故障、操作失误、应用程序出错、硬件故障、系统软件设计不完善以及计算机病毒都有可能导致系统不能正常工作。如在划拨货款的过程中突然出现网络中断等。1.2信息被窃取。电子商务作为一种全新的贸易形式,其通讯的信息直接代表着个人、企业或国家的利益。攻击者可能通过因特网、公共电话网、搭线或在电磁波辐射范围内安装截收装置等方式,截获传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数分析,推断出有用的信息、如消费者的银行账号、密码等。1.3信息被篡改。攻击者可能从三个方面破坏信息的完整性。1)篡改。改变信息流的次序,更改信息的内容。2)删除。删除某个消息或消息中的某些部分。3)插入。在信息中插入一些其它干扰信息,让收方读不懂或接收错误的信息。脑知识与技术1.4信息被伪造。1)虚开网站和商店,给用户发电子邮件,接受订单。2)伪造大量用户,发电子邮件,穷尽商家资源、使合法用户不能正常访问网络资源。3)冒充他人身份,进行消费和栽赃等。1.5对交易行为进行抵赖或不承认。1)发信者事后否认曾经发送过某条消息或内容。2)收信者事后否认曾经收到过某条消息或内容。3)购买者不承认确认了的订单。4)商家卖出的商品因价格差而不承认原有的交易。2.电子商务中的信息安全防范技术
2.1数据加密技术加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。按加密密钥与解密密钥的对称性可分为对称型加密、不对称型加密、不可逆加密。在网络安全技术中,加密技术是保障信息安全最关键和最基本的技术手段和理论基础,但是由于大部分数据加密算法都源于美国,且受到美国出口管制法的限制,无法在互联网上大规模使用,从而限制了以加密技术为基础网络安全解决方案的应用。2.2密钥管理技术密钥管理包括确保所产生的密钥具有必要的属性,把密钥提前通知给需要它的特定系统,确保密钥按要求得到保护以阻止暴露和/或替代。其中,对称密钥管理是基于共同保守秘密来实现的,采用对称加密技术的双方必须保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄漏和更改密钥的程序。使用公开密钥的交易双方可以使用证书(公开密钥证书)来交换公开密钥。国际电联指定的X509对37福建电脑2008年第11期数字证书进行了定义,数字证书能够起到标识交易双方的作用,是目前电子商务广泛使用的技术之一。2.3身份认证技术网上安全交易的基础是数字证书。要建立安全的电子商务系统,必须首先建立一个稳固、健全的数字证书和认证中心(CA)。数字签名是利用数字技术实现在网络传送文件时,附加个人标记,完成传统意义上手书签名或印章的作用,以表示确认、负责、经手等。使用数字签名可以保证交易中的认证性和不可否认性。数字签名可以防范:接收方伪造、发送者或接收者否认、第三方冒充、接收方篡改。常见的数字签名技术有:RSA数字签名、DSA数字签名、椭圆曲线数入侵检测技术通常通过基于应用的监控技术、基于主机的监控技术、基于目标的监控技术和基于网络的监控技术四种检测技术来抵御攻击。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。认证机制是保护电子商务安全的第一条防线。任何一个在架构设计上、代码开发中以及认证的实现时所出现的小的漏洞或不足,都有可能使电子商务处在被攻击的风险中。因此,加强对认证攻击的充分认识和了解,并在系统开发时选择合适的防御措施,就可以从根本上对某些攻击进行有效的屏蔽,减少后期频繁维护所付出的代价,达到事半功倍的效果。2.4网络安全扫描技术安全扫描技术是对网络的各个环节提供可靠的分析结果,并为系统管理员提供可靠性和安全性分析报告等。包括端口扫描技术和漏洞扫描技术等。2.5病毒防范技术计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后,攻击者通常要在系统中植入木马或逻辑炸弹等程序,为以后攻击系统、网络提供方便条件。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。2.6电子认证技术为了保证电子商务安全因素的顺利实现,在电子商务中使用了基于公钥体系的安全系统。基于公钥体系的加密系统是按对生成的,每对密钥由公钥和私钥组成,实际应用中,公钥是以证书性质存放的,一个最基本而又是最关键的问题是公钥的分发,也就是证书的分发,如果证书不能得到有效安全的分发,所有的上层应用软件就不能得到安全的保障,解决问题的方法就是建立认证机构体系CA。2.7防火墙技术防火墙(Firewall)是近年来发展最重要的安全技术,它是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段,核心思想是在不安全的网络环境中构造一个相对安全的子网环境。它所保护的对象是网络中有明确闭合边界的一个网块,而它所防范的对象是来自被保护网块外部的安全威胁。目前的防火墙分为两大类,一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器,其显著的优点是较容易提供细颗粒度的存取控制,其可针对特别的网络应用服务协议及数据过滤协议,并且能够对数据包分析并形成相关的报告。通过应用防火墙技术,可以做到通过过滤不安全的服务,极大地提高网络安全和减少网络中主机的风险。但防火墙是一种基于网络边界的被动安全技术,对内部未授权访问难以有效控制,因此较适合于内部网络相对独立,且与外部网络的互连途径有限、网络服务种类相对集中的网络。2.8入侵检测技术入侵检测技术是一种利用入侵者留下的痕迹,如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测与控制为技术本质,起着主动防御的作用,是网络安全中极其重要的部分。
3.企业实现电子商务的安全策略安全问题是企业应用电子商务最担心的问题,如何保障电子商务活动的安全,一直是电子商务的核心研究领域。作为一个安全的电子商务系统,必须采用相应的网络安全策略。安全策略包括网络安全问题的总原则、对安全使用的要求以及如何保障网络的安全运行。3.1制定安全策略时首先确定的最重要的原则拒绝访问明确准许以外的所有服务。当前一些电子商务企业的安全策略存在两个误区:首先,企业所采取的操作系统的标准安全策略存在问题,这一标准安全策略只能提供一道脆弱的防线,很容易被攻破;其次,为满足多种安全需求,许多企业以零碎的方式实施节点式解决方案,这虽然对电子商务的某些领域提供了有限的保护,但同时使系统管理更为复杂。阻止外来系统入侵只是电子商务安全的一个方面。成功的电子商务安全策略,必须涵盖身份识别与认证、隐私与欺骗控制、管理与审计等传统领域。3.2安全策略制定时还应注意的问题3.2.1将需保护的对象分类,确定需保护的资源及其保护级别;规定可以访问资源的实体和可执行的动作;规定审计功能,记录用户活动及资源使用情况。3.2.2系统的安全应从物理上、技术上、管理制度上以及安全教育上全方位采取措施,相互弥补和完善,尽可能地排除安全漏洞。3.2.3根据企业的实际需要确定内部网的服务类型,规定内部用户和外部用户能够使用的服务种类,建立网管站,并制定出切实可行的安全管理制度。此外还需完善电子商务企业内部安全管理体制,增强相关人员的安全意识。
4.结束语电子商务尚是一个机遇和挑战共存的新领域,这种挑战不仅来源于传统的习惯,来源于计划经济体制和市场经济体制的冲突,更来源于对可使用的安全技术的信赖。企业在应用电子商务时,应采取一系列的安全技术和安全策略。这种种安全措施的采用,一定能保证企业进行安全的电子商务活动。
参考文献:
1.韩磊石松:浅谈电子商务中信息安全问题[J].临沂师范学院学报,2001;(8):136-139
2.黄发文:计算机网络安全技术初探[J].计算机应用研究,2002(5):46-48
3.林柏钢.网络与信息安全教程[M].机械工业出版社,2005.
篇(2)
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全,胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:
1、网络信息安全方面
(l)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2、电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二、电子商务中的网络信息安全对策
1、电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和工nternet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介人,主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外,还可将网络系统中易感染病毒的文件属性、权限加以限制,断绝病毒人侵的渠道,从而达预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以土保护措施可为系统数据安全提供双保险。
三、电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:
1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠哇和为系统提供基础性作用的安全机制。
2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。
3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。
篇(3)
电子商务是一个跨国界,跨地区,跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突,不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本,从各主体的角度思考,综合协调了各个市场主体的行为,从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益,它为实现电子商务提供了统一的基础平台和安全屏障。
一、电子商务安全技术保障策略
安全技术保障技术是电子商务安全体系中的基本策略,目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种:
1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换,变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。
2.身份验证技术。电子商务主体向系统证明自己身份,并由系统查核该主体的过程,是确认真实有效身份的重要环节,这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。
3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认,防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。
4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类:分组过滤、应用、电路网关。
二、企业电子商务安全运营管理制度保障策略
企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定,是保证企业取得电子商务成功的基础,是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度,保密制度,跟踪审计制度,系统维护制度、数据备份制度等。
1.人员管理制度人员管理制度主要从人员的选拔,工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。
2.保密制度电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密,这些方面都是需要很好地划分信息安全级别,并确定安全防范重点,提出相应的保密措施。
3.跟踪审计制度跟踪制度就是要求企业建立网络交易的日志机制,来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核,及时发现对系统有安全隐患的记录,监控各种安全事故,维护和管理系统日志。
4.网络系统的日常维护制度网络系统的日常维护包括硬件的日常维护和软件的日常维护,硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修;软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。
5.数据备份制度数据备份主要是利用多种介质对信息系统数据进行存储,定期为重要信息备份、系统设备备份,并定期更新,以减少安全事故发生时造成的损失。
三、电子商务立法策略
电子商务安全得到法律保障,首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。
1.立法目的电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性,保护合理的商业行为,保障电子交易安全;建立一个清晰的法律框架以统一调整电子商务的健康发展。
2.立法范围电子商务安全方面需要的法律法规主要有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法,知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等;电子商务调整的对象是电子商务中的各种社会关系。[3.立法途径电子商务法律仍然是调整社会关系,所以应当继承传统立法的合理内核,尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。对于传统法律没有规定的,即由电子商务带来的新的社会关系,应尽快制定法律规范;第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确,或与电子商务新型社会关系有冲突甚至存在缺欠的,可以修改或重新解释既定的法律规范。
四、政府监督管理策略
电子商务本质是一种市场运作模式,市场的正常健康有序地发展,必须有政府宏观上的监督与管理,以协调和规范各市场主体的行为,宏观监督与管理电子商务运行中的安全保障体系。
1.计算机信息系统安全管理计算机信息系统,是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度,计算机系统使用单位安全负责制度,计算机案件强行报告制度,计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护,有利于保障国家的安全和社会安定,促进电子商务的安全交易过程,有利电子商务的健康发展。
2.网络广告和网络服务业管理由于网络的开放性,自由性等特征决定了网络广告监管的难度,虚假广告、广告充斥着网络空间,网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手:第一,网络广告组织的管理,必须对网站广告经营主体资格进行管制,第二,规范网络广告内容,确保广告内容的真实性、合法性和科学性。第三,需要有具体的广告审查管制、评估与监测部门。
国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》,其中提出了详细具体的限制条件。但是,网络飞速发展,面对网络中的新问题,还必须进一步深入全面地研究。
3.认证机构管理认证机构是电子商务活动中专门从事颁发认证证书的机构,对电子商务交易活动顺利进行,电子商务活动中交易参与各方身份和信息认定,维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督;同时,还要针对其资产和财务状况定期审查,以免发生财务危机,对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。
4.加强社会信用道德建设,构建和谐安全电子商务电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的,在我国尤其严重,甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式,必然存在不少漏洞,这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施,更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律,充分利用网络新闻舆论监督,消费者舆论监督和行业协会的管理监督。
五、结束语
电子商务安全不仅涉及到电子商务公司、企业、消费者的利益,而且更加广泛地涉及经济、政治、国防、文化等诸多方面,关系到国家的安全、和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈,只有解决了电子商务安全,保障了市场主体的利益,才能得到网络用户的认可和参与,电子商务自身也才能得到快速、健康地发展。
参考文献
[1]林宁,吴志刚.我国信息安全技术标准化现状[J].中国标准化,2007(4)
篇(4)
伴随经济的迅猛发展,电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势,必须保证电子商务中信息交流的安全。
一、电子商务的信息安全问题
电子商务信息安全问题主要有:
1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。
二、信息安全要求
电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:
1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。
三、信息安全技术
1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。
防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术:把过滤和服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。
3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。
4.防病毒技术。(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。
四、结语
信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。
参考文献:
篇(5)
1.对称密钥加密体制
对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
使用对称加密技术将简化加密的处理,每个参与方都不必彼此研究和交换专用设备的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发送报文摘要或报文散列值来实现。
2.非对称密钥加密体制
非对称密钥加密系统,又称公钥密钥加密。它需要使用一对密钥来分别完成加密和解密操作,一个公开,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。
在非对称加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为私用密钥(解密密钥)加以保存。私用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛。
该方案实现信息交换的过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密信息进行解密。
认证技术
安全认证的主要作用是进行信息认证。信息认证的目的为:(1)确认信息发送者的身份;2)验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。下面从安全认证技术和安全认证机构两个方面来做介绍。
1.常用的安全认证技
安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。
(1)数字摘要
数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。
(2)数字信封
数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。
(3)数字签名
日常生活中,通常用对某一文档进行签名来保证文档的真实有效性,防止其抵赖。在网络环境中,可以用电子数字签名作为模拟。
把Hash函数和公钥算法结合起来,可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的Hash,而不是由其他人假冒。而把这两种机制结合起来就可以产生数字签名。
(4)数字时间戳
在书面合同中,文件签署的日期和签名一样均是防止文件被伪造和篡改的关键性内容。而在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。
(5)数字证书
在交易支付过程中,参与各方必须利用认证中心签发的数字证书来证明各自的身份。所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。
数字证书是用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名,因此任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书,才能参加安全电子商务的网上交易。数字证书一般有四种类型:客户证书、商家证书、网关证书及CA系统证书。
2.安全认证机构
电子商务授权机构(CA)也称为电子商务认证中心(CertificateAuthority)。在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易双方自己能完成的,而需要有一个具有权威性和公正性的第三方来完成。
认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。
安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL(SecureSocketsLayer)协议和安全电子交易SET(SecureElectronicTransaction)协议。
1.安全套接层(SSL)协议
安全套接层协议是由Netscape公司1994年设计开发的安全协议,主要用于提高应用程序之间的数据的安全系数。SSL协议的概念可以被概括为:它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供Internet和企业内联网的安全通信服务。
SSL采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。
篇(6)
一移动电子商务存在的安全问题分析
移动电子商务由于利用了很多新兴的设备和技术,因此带来了很多新的安全问题。在传统电子商务中,很多顾客和企业由于担心因安全问题蒙受损失而一直对这种高效便捷的商务方式持观望态度。而移动电子商务除包含大部分传统电子商务所面临的各种安全问题外,由于自身的移动性所带来的一些相关特性又产生了大量全新的安全问题。总的来说,移动电子商务的安全面临着技术、管理和法律几个方面的挑战,与传统电子商务相比,其安全问题更加复杂,解决起来难度更大。
1.无线窃听
传统的有线网络是利用通信电缆作为传播介质,这些介质大部分处于地下等一些比较安全的场所,因此中间的传输区域相对是受控制的。而在无线通信网络中,所有的通信内容(如移动用户的通话信息、身份信息、位置信息、数据信息等)都是通过无线信道传送的,无线信道是一个开放性信道,是利用无线电波进行传播的,在无线网络中的信号很容易受到拦截并被解码,只要具有适当的无线接收设备就可以很容易实现无线监听,而且很难被发现。
2.非授权访问数据
非授权访问是指未经授权的主体获得了访问网络资源的机会,并有可能篡改信息资源。攻击者能在服务网内窃听、非授权访问用户的敏感数据。这种访问通常是通过在不安全信道上截取正在传输的信息或者利用技术及产品中固有的弱点来实现。
3.假冒攻击
在无线通信网络中,移动站必须通过无线信道传送其身份信息,以便于网络控制中心以及其他移动站能够正确鉴别它的身份。由于无线信道传送的任何信息都可能被窃听,当攻击者截获到一个合法用户的身份信息时,他就可以利用这个身份信息来假冒该合法用户,这就是所谓的身份假冒攻击。另外,主动攻击者还可以假冒网络控制中心。如在移动通信网络中,主动攻击者可能假冒网络基站来欺骗移动用户,以此手段获得移动用户的身份信息,从而假冒该移动用户身份。
4.移动终端的安全管理问题
很多用户容易将比较机密的个人资料或商业信息存储在移动设备当中,如PIN码、银行帐号甚至密码等,原因是这些移动设备可以随身携带,数据和信息便于查找。但是由于移动设备体积较小,而且没有建筑、门锁和看管保证的物理边界安全,因此很容易丢失和被窃。很多用户对他们的移动设备没有设置密码保护,对存储信息没有备份,在这种情况下丢失数据或被他人恶意盗用,都将会造成很大的损失。
二电子商务安全管理的解决之策
1.身份认证技术
信息安全的一个重要方面是保证通信双方身份的真实性,即防止攻击者对系统进行主动攻击,如假冒用户等。身份认证是防止攻击者主动攻击的一个重要技术,它对于开放环境别是无线通信中各种信息的安全有重要作用。认证的主要目的,第一验证消息发送者和接收者的真伪,第二验证消息的完整性,验证消息在传送或存储过程中是否被篡改、重放或延迟等。口令是最简单的身份认证技术,安全性较差,因此有一次性口令等多种技术来提高它的安全性。利用密码技术,特别是公钥密码技术可以获得安全性较高的身份认证功能。保密和认证是信息系统安全的两个重要方面,它们是两个不同属性的问题,一般来说,认证不能自动提供保密,保密不能自然地提供认证功能。
2.WPKI技术
在有线通信中,电子商务交易的一个重要安全保障是PKI。PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题,但在应用PKI的同时要考虑到移动通信环境的特点,并据此对PKI技术进行改进。
3.安全管理模型的建立及实施
对移动电子商务系统的管理过程是一个动态的管理过程,是一个循环反复、螺旋上升的过程,论文尝试建立一个“闭环”管理模型,将安全管理的各个阶段融入于模型之中,然后不断连续审查整个过程,发现问题时及时更新,及时解决,以便形成越来越完善的安全系统。
制定一套完整的安全方案一套完整的安全方案是实现移动电子商务系统安全的有力保障,移动服务提供商应结合自己实际状况,从人力、物力、财力等各方面做好部署与配置。由于
安全方案涉及到了安全理论、安全产品、网络技术、系统技术实现等多方面专业技能,并且要求有较高的认知能力,因此可以聘请专业安全顾问公司来完成,大多安全顾问公司在做安全方案方面有着丰富的经验,能够制定出符合需要的合理的安全方案来。
4.制定并贯彻安全管理制度
篇(7)
一、前言
电子商务全球化的发展趋势中,电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康发展。限制电子商务的发展主要因素就是电子支付手段的安全性。
二、主要的电子支付手段及其安全性分析
1.电子信用卡
(1)支付方式:信用卡支付是电子支付中最常用的工具,方法是在Internet环境下通过标准的SET协议进行网络支付,用户在网上发送信用卡号和密码,加密后发送到银行进行支付。支付过程中要进行用户、商家及付款要求的合法性验证。
(2)安全策略:电子信用卡,是通过用户在网上输入账号/密码+数字签名,这些信息都是通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互,进行网络支付,这种支付方式的安全性是可以得到保证的。
(3)安全隐患:单纯从技术上来说,无安全隐患问题。
2.电子支票
(1)支付方式:电子支票是利用数字化手段进行网上支付,支付过程与传统支票的支付过程相似,只是电子支票完全抛开了纸质的媒介,其支票的形式是通过网络传播,并用数字签名代替了传统的签名方式。其交易流程如下:
(2)安全策略:和电子信用卡一样,采用账号/密码+数字签名的方式进行身份验证。其支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性,从上面的交易流程,我们可以看到,电子支票的支付在专用系统上有可靠的安全措施的。
(3)安全隐患:专用网络上的应用具有成熟的模式(例如SWIFT(环球银行金融通讯协会、SocietyforWorldwideInterbankFinancialTelecommunication)系统);公共网络上的点的资金转账仍在实验之中。
3.电子现金
(1)支付方式:电子现金是一种以数字化形式存在的现金货币,它同信用卡不一样,信用卡本身并不是货币,只是一种转账手段,而电子现金本身就是一种货币,是一种以数据形式存在的现金货币。它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。可以直接用来购物。电子现金具有如下特点:匿名;节省交易费用;支付灵活方便;安全存储。
(2)安全策略:没有适当的身份认证机制,是匿名的,为防止被伪造,电子现金的传输是经过数字签名的。
(3)安全隐患:①逃税:由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。电子现金不像真实的现金一样,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收规则,由于其不可跟踪性,电子现金很可能被不法分子用以逃税。②洗钱:电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经开始了这种做法。
③扰乱金融秩序:电子现金的法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品或服务的数字化等价物,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。
④重复消费:由于电子序列号可以被复制,因此需要一个大型的数据库存储用户完成的交易和E-Cash序列号以防止重复消费,这对于软件和硬件的要求都很高,因此很多银行都不支持电子现金业务。
4.移动支付
(1)支付方式:移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户,为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统,移动支付系统将此次交易的要求传送给MASP,由MASP确定此次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付系统来完成。
(2)安全措施:身份验证方式采用个人账号/密码的方式。对交易中的部分敏感信息进行了加密。
篇(8)
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各信息的差异。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
4.信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可抵赖性要求即是能建立有效的责任机制,防止实体否认其行为;可鉴别性要求即是能控制使用资源的人或实体的使用方式。
5.系统的可靠性
电子商务系统是计算机系统,其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。
二、电子商务的信息安全技术
1.数据加密技术
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
1)电子商务领域常用的加密技术数字摘要(digitaldigest)
这一加密方法亦称安全Hash编码法,由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(FingerPrint),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。
数字签名(digitalsignature)
数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要),用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密,如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别。概括的说,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。
数字时间戳(digitaltime-stamp)交
易文件中,时间是十分重要的信息。在电子交易中,需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest);DTS收到文件的日期和时间;DTS的数字签名。
数字证书(digitalcertificate,digitalID)数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前,最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书,证书作为网上交易参与各方的身份识别,就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心,并提供自己的身份证明信息,证明自己是相应公钥的拥有者,认证中心审查用户提供的信息后,如果确认用户是合法的,就给用户一个数字证书。这样,每个成员只需和认证中心打交道,就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说,数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型:个人凭证、企业(服务器)凭证、软件(开发者)凭证;大部分认证中心提供前两类凭证。
2.身份认证技术
为解决Internet的安全问题,初步形成了一套完整的Internet安全解决方案,即被广泛采用的公钥基础设施(PKI)体系结构。PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
1)认证系统的基本原理
利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,CA为用户发放电子证书,用户之间利用证书来保证信息安全性和双方身份的合法性。
2)认证系统结构
整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA和WebPublisher。
核心系统跟CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时,颁发证书。
证书的登记机构RegisterAuthority,简称RA,分散在各个网上银行的地区中心。RA与网银中心有机结合,接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给CA中心。
证书的公布系统WebPublisher,简称WP,置于Internet网上,是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后,CA用E-mail通知用户,然后用户须用浏览器从这里下载证书。
3.网上支付平台及支付网关
网上支付平台分为CTEC支付体系(基于CTCA/GDCS)和SET支付体系(基于CTCA/SET)。网上支付平台支付型电子商务业务提供各种支付手段,包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。
支付网关位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部的传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。此外,支付网关还具有密钥保护和证书管理等其它功能。
三、电子商务信息安全中的其它问题
1.内部安全
最近的调查表明,至少有75%的信息安全问题来自内部,在信用卡和商业诈骗中,内部人员所占的比例最大;
2.恶意代码
它们将继续对所有的网络系统构成威胁,并且,其数量将随着Internet的发展和编程环境的丰富而增多,扩散起来也更加便利,因此,造成的破坏也就越大;
3.可靠性差
目前,Internet主干网和DNS服务器的可靠性还远远不能满足人们的要求,而绝大
部分拨号PPP连接质量并不可靠,且速度很慢;
4.技术人才短缺
由于Internet和网络购物都是在近几年得到了迅猛的发展,因而,许多地方都缺乏足够的技术人才来处理其中遇到的各种问题,尤其是网络购物具有24x7(每天24小时,每周7天都能工作)的要求,因而迫切需要有一大批专业技术人员对其进行管理。如果说加密技术是电子交易安全的“硬件”,那么人才问题则可以说是“软件”。从某种意义上讲,软件的问题解决起来可能更不容易,因此,技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。
5.Web服务器的保护意识差
在交易过程中对数据进行保护只是保证交易安全的一个方面。由于交易的信息均存储在服务器上,因此,即使保密信息被客户端接收之后,也必须对存储在服务器中的数据进行保护。目前,Web服务器是黑客们最喜欢攻击的目标。因此,建议尽量不要将Web服务和连接到任何内部网络,而且要定期对数据进行备份,以便于服务器被攻击之后对数据进行恢复。当然,这毕竟有些不太现实,现在许多流行的Web应用都需要Web服务器与公司的数据库进行交互式操作,这就要求服务器必须与公司内部网络相连,而这个连接也就成为黑客们从Web站点侵入企业内部网络的一条通路。虽然防火墙技术有助于对web站点进行保护,但商家却很少安装防火墙或对其缺乏有效的维护,因而没有对Web服务器进行很好的保护,这是商家的Web站点尤其要引起注意的地方。
四、与电子商务安全有关的协议技术讨论
1.SSL协议(SecureSocketsLayer)安全套接层协议———面向连接的协议。
SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式。但它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。
2.SET协议(SecureElectronicTransaction)安全电子交易———专门为电子商务而设计的协议。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。
结束语
本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指出了与电子商务安全有关的协议技术使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
[摘要]电子商务对人类社会经济产生了重大影响,在创造巨大经济效益的同时,也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中,已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务的安全需求、安全技术发展现状及存在的问题,对加快电子商务的发展步伐提出了一些重要思考。
[关键词]电子商务;安全需求;安全技术;
[参考文献]
①姚立新,新世纪商务:电子商务的知识发展与运作,中国发展出版社,1999年。
②《中国电子商务年鉴》2003卷。
篇(9)
随着无线通信技术的发展,移动电子商务已经成为电子商务研究热点。移动电子商务是将现代信息科学技术和传统商务活动相结合,随时随地为用户提供各种个性化的、定制的在线动态商务服务。
但在无线世界里,人们对于进行商务活动安全性的考虑比在有线环境中要多。只有当所有的用户确信,通过无线方式所进行的交易不会发生欺诈或篡改、进行的交易受到法律的承认和隐私信息被适当的保护时,移动电子商务才有可能蓬勃开展。
移动电子商务通信安全的现状
由于无线通讯接入方式非常灵活,所以其对安全的要求更高。实际上,主要的无线通信技术都有各自的措施、协议和方法来保证各自体制下的通信安全。这里我们将从无线网络和电子商务应用两个方面作简要讨论。
无线局域网
无线局域网络是以无线连接至局域网络的通讯方式。它采用的是IEEE802.11系列标准。在该标准中,无线局域网的安全机制采用的是WEP协议(有线对等安全协议)。在数据链路用WEP加密数据,保证了信道上传送数据的安全。另外,无线局域网的网络管理员分配给每个授权用户一个基于WEP算法的密钥,这样就有效阻止了非授权用户的访问。
WAP(无线应用协议)技术
WAP由一系列协议组成,用来标准化无线通信设备,例如:移动电话、移动终端;它负责将Internet和移动通信网连接到一起,客观上已成为移动终端上网的标准。WAP协议可以广泛地运用于GSM、CDMA、TDMA、3G等多种网络。
WAP的安全机制是通过WTLS(无线传输层安全)协议来实现的。WTLS协议类似于互联网传输层安全协议。在无线技术的有限的发送功率、存储容量及带宽的条件下,WTLS能够实现鉴定,保证数据的完整性和提供保密服务的目标。
数字认证技术
对诸如移动电子商务和有重要使命的合作通信等活动,其安全性的一个关键方面是能否对信息发送者的身份进行论证,通常都要利用有线安全的公开密钥基本构架(PKI)。
PKI提供与加密和数字证书有关的一系列技术。但在无线通信环境中,PKI是很难实现的。在只有有限计算能力和低数据流通率的设备上实现PKI中的服务一直是一个有挑战性的难题。同时在PKI的基础上,要将无线设备与有线设备之间进行互通也是有难度的。因此无线PKI(WPKI)协议是要将标准的PKI进行修正和简化,使其在无线通信的环境下达到最优。
移动电子商务安全分析
IEEE802.11的安全
IEEE802.11标准规定了MAC层的存取控制规范,也定义了加密机制,即上述的WEP。WEP的目的是通过对信息流加密并利用WEP认证节点,使无线通信传输像有线网络一样安全。
WEP加密使用共享密钥和RC4加密算法。访问点(AP)和连接到该访问点的所有工作站必须使用同样的共享密钥。对于往任一方向发送的数据包,传输程序都将数据包的内容与数据包的检验组合在一起。然后,WEP标准要求传输程序创建一个特定于数据包的初始化向量(IV),后者与密钥k相组合在一起,用于对数据包进行加密。接收器生成自己的匹配数据包密钥并用之对数据包进行解密。在理论上,这种方法优于单独使用共享私钥的显式策略,应该使对方更难于破解。
但是,IEEE802.11中用于安全的WEP算法只是提供相当于有线局域网基本安全的安全级别,根本不是一种全面的安全方案。越来越多的安全专家和研究人员发现IEEE802.11存在安全漏洞,有经验的黑客会利用这些漏洞进行攻击。其缺陷主要有:RC4算法本身就有一个小缺陷。WEP标准允许IV重复使用(平均大约每5小时重复一次)。WEP标准不提供自动修改密钥的方法。
最早的WEP实施只提供40位加密,这使得它抗暴力攻击能力差。现代的系统提供128位的WEP,128位的密钥长度减去24位的IV后,实际上有效的密钥长度为104位。尽管如此,128位的WEP版本也不能保证绝对安全。最好的解决办法是把无线网络放在机构防火墙之外,这种防范措施会强制要求将无线连接当作不受信任的连接来看待,就像看待其他任何来自Internet的连接一样。
所以,WEP应该与其他安全机制一起应用才能提供较强的安全。
WAP的安全
WAP规范的安全特性包括几个部分:WTLS协议、用于存储用户证书的WAP身份模块(WIM)和允许WAP交易签名的SignText功能。
WTLS协议:WTLS基于IETF小组的SSL/TLS协议,提供了实体鉴别、数据加密和保护数据完整性的功能,所以可以确保在WAP装置和WAP网关之间的安全通信。有三种不同级别的WTLS:
1级:执行未经证实的Diffie-Hellman密钥交换以建立会话密钥。
2级:使用与SSL/TLS协议相类似的公开密钥证书机制进行服务器端鉴别。
3级:客户端和服务器端采用X.509格式证书相互进行鉴别。
早期WAP装置仅仅采用了第1级别的WTLS,这种级别的安全不够,所以不能用于电子商务。目前,支持第2和第3级别WTLS的移动装置从市场上可以得到,它们可以确保网上银行交易和购物等应用的机密性。
WIM:为了便于客户端的鉴别,新一代的WAP电话提供了WIM。WIM包含了WTLS3级的功能,并嵌入了对公开密钥加密技术的支持(RSA是强制的,而ECC是可选的)。生产厂家为WIM配备了两套公私密钥对(一套用于签名,另一套用于鉴别)和两个厂商的证书。用配置在WIM上的公匙把厂商的证书和厂商名字捆绑在一起。这样,通过WIM和WAP网关建立的所有WTLS会话都将使用相同的公匙用作初始会话。每一个会话都将包括与此密钥对应的一个不同的证书。WIM的基本要求是它们要具有抗篡改的能力。
SignText功能:这个功能为WAP用户提供了数字签名。同电子签名功能一样,这个功能可以被应用于其他无线设备,或者是手持设备,或者是内嵌SIM卡。
WAP的安全分析:由WAP提供的最好的安全是WTLS3级,多数情况下WTLS已足以确保WAP的安全。但是,由于WAP网关在WAP设备和Web服务器之间起着翻译的作用,相应的带来了安全问题:WTLS安全会话建立在手机与WAP网关之间,而与终端服务器无关。这意味着数据只在WAP手机与网关之间加密,网关将数据解密后,利用其他方法将数据再次加密,然后经过TLS连接发送给终端服务器。由于WAP网关可以看见所有的数据明文,而该WAP网关可能并不为服务器所有者所拥有,这样,潜在的第三方可能获得所有的传输数据。
目前,针对上述安全性问题,可以采用这样的措施来提高WAP的安全性:尽力确保WAP网关的安全。如果WAP网关位于WAP服务供应商范围之内,可以通过诸如在内存中对加密和解密过程进行最优化以减少数据明文存在的时间、在释放前覆盖加密解密进程使用的内存以确保数据的安全性。对于安全要求较高的公司可以拥有自己的WAP网关,从而保障数据端到端的安全性。通过WIM实现数据安全性。
WPKI技术
在有线通信中,电子商务交易的一个重要安全保障是PKI。PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题,但在应用PKI的同时要考虑到移动通信环境的特点,并据此对PKI技术进行改进。
WPKI技术满足移动电子商务安全的要求:即保密性、完整性、真实性、不可抵赖性,消除了用户在交易中的风险。WPKI技术主要包含以下几个方面:
认证机构(CA)CA系统是PKI的信任基础,负责分发和验证数字证书,规定证书的有效期,证书废除列表。
注册机构(RA)RA提供用户和CA之间的一个接口。作为认证机构的校验者,在数字证书分发给请求者之前对证书进行验证。
智能卡智能卡将具有存储、加密及数据处理能力的集成电路芯片镶嵌于塑料基片中,具有体积小、难于破解等特点,在生产过程、访问控制方面有很强的安全保障。很多种需要客户端认证的应用都可以使用智能卡来实现。并且智能卡也是存储移动电子商务密钥及相关数字证书的最佳选择。
加密算法加密算法越复杂,密钥越长则安全性越高,但执行运算所需的时间也越长(或需要计算能力更强的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有协处理器的芯片。而ECC使用较短的密钥就可以达到和RSA算法相同的加密强度。由于智能卡受CPU处理能力和RAM大小的限制,因而采用一种运算量小同时能提供高加密强度的公钥密码体制对在智能卡上实现数字签名应用是至关重要的,ECC在这方面具有很大的优势。
综上所述,在WPKI机制下,数字证书非常重要,但是由于无线信道和移动终端的限制,如何安全、便捷地交换用户的数字证书是WPKI所必须解决的问题。可以采用以下2种办法解决:WTLS证书,WTLS证书的功能与X.509证书相同,但更小、更简化,利于在资源受限的手持终端中处理。但所有证书必须含有与密钥交换算法相一致的密钥,除非特别指定,签名算法必须与证书中密钥的算法相同:移动证书标识,将标准的一个X.509证书与移动证书标识唯一对应,并且在移动终端中嵌入移动证书标识,用户每次只需要将自己的移动证书标识与签名数据一起提交给对方,对方再根据移动证书标识检索相应的数字证书即可。
目前,大多数移动电子商务采用的安全方式是非PKI的方式,这种方式主要采用对称加密算法和单向散列函数来提供安全服务,其密钥的管理是由移动运营商建立一套主密钥管理系统,为不同的服务提供商分配不同的密钥,每次交易过程中,服务提供商与用户协商产生会话加密密钥。显然,采用这种方式构建的系统的安全性主要取决于主密钥的安全。
尽管非PKI方式对于无线终端有限的处理能力来说尤其适合,而且通过黑名单管理等方法可以使系统的安全得到较好的保障,但是从长远来说,移动电子商务有必要逐步过渡到PKI方式。
移动电子商务随着移动互联网技术的成熟发展迅速,其独特的应用领域使得其安全问题倍受关注。从技术角度上看,一方面无线通信的安全处在不断地发展和完善之中,其应用到移动电子商务中时要与其它的安全机制相结合才能满足实际应用的需要;另一方面有线电子商务的安全技术不能解决移动电子商务的安全问题,所以WPKI技术是一个现实的选择。因此,将这两方面进行改进并进行有机整合,才能营造一个安全的移动电子商务环境。
参考文献:
1.储节旺,郭春侠.移动电子商务研究[J].现代情报,2002,3(3)
篇(10)
(2)机密性
EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。电子商务
(3)完整性
EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
(4)可靠性/不可抵赖性/鉴别
篇(11)
要实现电子商务,实现信息化是第一步.然而据国家经贸委信息中心总经济师张铭介绍,中国大型企业的信息化程度在整体上不容乐观:截至2002年,只有9%的企业实现了信息化管理;仅有4.7%的企业实现了信息共享;只有1%的企业实现了电子商务。
我国大多数企业对电子商务认识有一个误区,就是简单地把电子商务理解为商品的电子交易。其实,“电子”只是手段,“商务”才是核心。拿从事网上销售的企业来说,除了把商品放在网上销售之外,还要有传统零售企业的特点才能成功。很多企业就是因为对此理解不够而蒙受了巨大的损失。
就在本月初,北京西单商场公告,宣布对旗下的IGO5电子商务网站进行注销清算。笔者曾经登录过这家网站,在它的网页上,小至戒指,大到汽车用品都可以看到,可以称得上是一个真正的网上百货商店,但浩如烟海的信息让用户很难找到自己想要的商品,西单商场的品牌也因此在网上失去了吸引力。一位加盟商还向记者抱怨,自从加盟后就没见IGO5做过什么市场活动,网站点击量上不去,自然就不会有人气和销售额。结果这家网站在两年内亏损了1600万元人民币。据了解,目前北京近一半的连锁零售企业开设了自己的购物网站,而这些网站几乎全部成了企业的软肋,存在着不同程度的亏损。这些网站失败的原因正像业内人士分析的那样,物质上购买了设备、软件,但脑袋里根本没有理解什么是电子商务,管理理念上不去,上什么都白费。
安全、信用问题制约了中国电子商务发展
去年年底,宁波人孙惠刚办理了网上银行注册。网上银行刚刚用了三个月,孙惠刚在网上银行账户上的9万元存款、有价证券就全部被盗。中国电子商务不断暴露的信用、安全问题已经影响到了电子商务自身的发展。中国工程院院士沈昌祥认为,那种以为只要技术到位,平台搭好了,电子商务就接近成功的观点是错误的,只有认证、支付等问题解决了,建立起一个安全的商务环境,才能真正实现电子商务。
为了解决这一问题,我国从2000年起就酝酿在电子商务方面立法。今年3月24日,国务院原则通过了《电子签名法(草案)》。专家认为,该法案一旦正式实施,将可以大大降低网上交易的风险。
立法可以解决安全问题,但电子商务的信用问题却依然存在。与国外不同,中国信用体系面临着信用信息条块分割的问题。银行、税务、法律等部门都有各自的信息库,但这些信息很难联网,更不要说与全社会共享了。另外,运行电子商务所需硬件和软件的关键技术都掌握在外国公司手中,对我国关键部门、关键数据造成了安全隐患,这应该引起有关部门的高度重视。
外商占领中国高端电子商务市场
尽管国内电子商务环境远远谈不上成熟,但国外电子商务硬件、软件制造商对从中国电子商务市场中获利信心十足。国际数据集团的总裁麦戈文曾说:“世界范围内信息产业的年增长率为17%,而中国则是35%。”信息产业的快速发展显然会带来电子商务市场的迅速增长。因此,IBM、惠普、太阳、英特尔等世界IT巨头都看好中国电子商务市场这块大蛋糕。
凭借着资金、技术优势和高明的商业策略,外资公司正在逐步占据中国电子商务软、硬件市场的主导地位,尤其是在利润最丰厚的高端市场,中国企业简直被彻底排挤在外。比如IBM就将中石油、中国银行等超大客户揽入了自己的怀抱。
