序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗,特別為您篩選了11篇數(shù)字貿(mào)易存在的問題范文��。如果您需要更多原創(chuàng)資料��,歡迎隨時與我們的客服老師聯(lián)系����,希望您能從中汲取靈感和知識!
篇1
1.1有效性
有效性是指信息發(fā)送方發(fā)送給信息接收方的信息是未經(jīng)外人加工�、改變的信息�。貿(mào)易數(shù)據(jù)都具有特定型性�,是指貿(mào)易信息只有在特定的時刻和確定的地點才是有效的�。電子商務(wù)改變了過去紙質(zhì)的方式����,以電子的形式傳遞信息�,如何確保電子信息在傳送過程中的未經(jīng)加工是確保信息有效的前提。電子商務(wù)中信息的有效性對企業(yè)���、個人�����、甚至國家的經(jīng)濟利益有著重大的影響�,所以�����,要及時對網(wǎng)絡(luò)故障�、應(yīng)用程序錯誤、系統(tǒng)軟件錯誤或者計算機病毒引起的信息安全隱患進行防范�,以確保數(shù)據(jù)的有效性。
1.2保密性
保密性是指貿(mào)易信息在存儲或傳遞過程中未經(jīng)他人竊取或泄露�。傳統(tǒng)的紙質(zhì)貿(mào)易信息一般是通過郵寄的信件及其他可靠的傳遞渠道來互送商業(yè)貿(mào)易文件以確保信息的安全?���,F(xiàn)代電子網(wǎng)絡(luò)是一個開放的傳遞平臺��,維護商業(yè)貿(mào)易信息顯得更加重要����,確保商業(yè)機密的保密性是電子商務(wù)全面推廣應(yīng)用的基本保障�。所以,必須確保貿(mào)易信息在傳遞過程中的保密性���,防止非法竊取及泄露��。
1.3完整性
完整性是指電子貿(mào)易信息在傳遞的過程中沒有沒被修改��、歪曲和重復(fù)���,信息的接受者接收到的信息與信息發(fā)送方發(fā)送的信息完全相同。貿(mào)易信息的完整性會對貿(mào)易各方經(jīng)濟利潤���、營銷策略和貿(mào)易合同產(chǎn)生巨大影響����。確保貿(mào)易信息的完整性是電子商務(wù)實際應(yīng)用的重要基礎(chǔ)。所以�,在信息傳遞過程中要防范信息被隨意生成、修改和刪除����,防止信息的丟失與重復(fù)�,同時信息的傳遞次序要保證統(tǒng)一。
1.4可靠性
電子商務(wù)信息直接關(guān)系到貿(mào)易雙方的商業(yè)交易���,在交易過程中如何確保進行交易的對方與交易所期望的貿(mào)易方是同一者���,這就需要電子商務(wù)信息必須確保本身的可靠性。在傳統(tǒng)的商業(yè)交易中���,雙放當(dāng)事人可以通過手寫簽名或印章等形式確保雙方的身份��,但是電子商業(yè)貿(mào)易利用網(wǎng)絡(luò)這一形式��,無法采取傳統(tǒng)的身份認定形式����,就必須確保貿(mào)易信息的可靠性,從而為貿(mào)易雙方進行商業(yè)交易奠定重要基礎(chǔ)����。
2電子商務(wù)安全的技術(shù)要求
2.1物理安全
要根據(jù)國家標(biāo)準(zhǔn)、信息安全等級���、信息技術(shù)情況���,制定切實可行、符合實際情況的的物理安全標(biāo)準(zhǔn)體系�����。本體系可以防范設(shè)備功能失常���、電源事故��、電磁泄漏等引起的信息失密等��。
2.2網(wǎng)絡(luò)安全
為了保證電子商務(wù)交易的安全可靠��,電子商務(wù)平臺須穩(wěn)定可靠���,能夠全天候正常運行。系統(tǒng)在運行的任何中斷,如病毒入侵�、網(wǎng)絡(luò)故障或硬件軟件錯誤等都會對正在進行電子商務(wù)交易的雙方造成重大損失,尤其是丟失或失密的貿(mào)易信息����,將是不可恢復(fù)性的。
2.3商務(wù)安全
商務(wù)安全是指商務(wù)交易中的安全問題�,商務(wù)安全的不同方面需要通過不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標(biāo)準(zhǔn)來確保實現(xiàn)。確保電子商務(wù)安全的技術(shù)主要有安全電子交易SET協(xié)議���、在線支付協(xié)議、文件加密技術(shù)����、數(shù)字簽名技術(shù)等。
2.4系統(tǒng)安全
系統(tǒng)安全主要是指主機的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全情況�����。對系統(tǒng)安全的防范和保護���,要通過安全技術(shù)升級��,加強安全保護設(shè)施的投資建設(shè)���,提高系統(tǒng)的安全防護能力�����。
3目前我國電子商務(wù)存在的問題
就我國電子商務(wù)而言�����,我國的科學(xué)技術(shù)水平目前還處于較低層次���,技術(shù)含量不高,資金投入又不足�,在安全保密方面存在較大的隱患,網(wǎng)絡(luò)安全性較低����,主要表現(xiàn)在我國的網(wǎng)絡(luò)信息易擾、欺騙等��,再加上我國人民對于網(wǎng)絡(luò)安全這方面的安全意識不高���,網(wǎng)絡(luò)安全處于十分薄弱的環(huán)境中���。
3.1電子商務(wù)安全存在的隱患
(1)網(wǎng)絡(luò)協(xié)議方面的安全問題���。在電子商務(wù)中,交易雙方在交易中是通過傳送數(shù)據(jù)包的形式來交換數(shù)據(jù)��,傳送過程中���,不法惡意攻擊者會攔截數(shù)據(jù)包��,甚至在一定程度上破壞���,這使得接收方接收的信息是不正確的。
(2)用戶信息的安全問題���。用戶和商家是在B/S結(jié)構(gòu)的電子商務(wù)網(wǎng)站使用瀏覽器登錄進行交易,在登陸瀏覽器時勢必會使用電腦��,有的用戶在使用電腦時���,如果計算機中存在木馬��,那么登陸者的信息存在泄露的危險���,有的用戶在不方便使用自己電腦的情況下使用公共計算機�,有些不法分子會通過電腦技術(shù)竊取交易信息�����。
(3)商家商務(wù)網(wǎng)的安全問題���。有些企業(yè)在制作自己的商務(wù)網(wǎng)站時由于技術(shù)不過硬��,本身的商務(wù)網(wǎng)站就存在隱患���,服務(wù)器安全性低,不法分子利用電腦技術(shù)攻擊商務(wù)網(wǎng)站,竊取用戶信息和交易信息�。
3.2電子商務(wù)安全問題的具體表現(xiàn)
(1)交易信息被竊取�����、毀壞�。電子商務(wù)交易在數(shù)據(jù)包的傳送過程中���,可能會被一些不法分子運用電腦技術(shù)非法篡改交易信息��,使得交易信息失去真實性和可靠性�����。無論是在網(wǎng)絡(luò)硬件還是軟件方面�����,都存在導(dǎo)致傳送過程中信息的誤傳的可能性���。
(2)假冒身份問題��。電子商務(wù)交易是通過瀏覽器登錄進行交易�,交易雙方?jīng)]有機會面對面洽談�,這就給了第三人一個假冒交易某一方破壞交易、騙取交易成果����,甚至敗壞交易某一方的聲譽等的機會。
(3)交易抵賴問題��。例如�����,在電子商務(wù)交易中���,買家收到貨之后��,不確認收貨�。
(4)計算機病毒感染問題���。電子商務(wù)交易勢必會使用計算機�����,交易者在使用計算機時�����,存在選中有病毒的計算機的可能性�����,這樣給商務(wù)交易帶來了問題����。另外���,我國網(wǎng)上的蠕蟲病毒等在網(wǎng)絡(luò)流域的傳播極易發(fā)生�,傳播過程中會產(chǎn)生巨大的攻擊流量�,會導(dǎo)致訪問速度滯停的問題。
4電子商務(wù)安全防范技術(shù)
為確保電子商務(wù)貿(mào)易的有效進行���,一方面要保證電子商務(wù)平臺的運行可靠穩(wěn)定�,能夠全天候持續(xù)不斷地提供網(wǎng)絡(luò)服務(wù)�;另一方面,電子商務(wù)系統(tǒng)還必須不斷更新和采用最新安全技術(shù)來保證電子商務(wù)的整個交易過程的安全,防止交易抵賴行為���。在現(xiàn)實生活中����,電子商務(wù)安全防范技術(shù)主要有以下幾種:
4.1數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類��。在交易雙方可以保證密鑰在交換階段未曾發(fā)生丟失或泄露的情況下�����,通常采用常規(guī)密鑰密碼技術(shù)為機密信息加密�����。在公開密鑰密碼體系中����,加密密鑰是公開的信息,加密算法和解密算法也是公開的信息���,而解密密鑰是機密的���。重要的公開密鑰密碼體系有:基于NP完全理論的Merkel-Hellman背包體系���、基于數(shù)論中大數(shù)分解的RSA體系、基于編碼理論的McEliece體系�。以上兩種加密體系各有優(yōu)缺點:常規(guī)密鑰密碼體系的優(yōu)點是加密速度快����、效率高,主要用于大量數(shù)據(jù)的加密����,但是常規(guī)密鑰密碼體系中密鑰在傳遞過程中容易被竊取,對于大量密鑰的管理存在缺陷����;公開密鑰體系在大范圍密鑰的安全方面很好的解決了常規(guī)密鑰密碼體系存在的問題,保密性能比常規(guī)密鑰密碼體系高���,但是公開密鑰密碼體系項目復(fù)雜�,加密速度較慢�。實踐中通常將常規(guī)密鑰密碼體系和公開密鑰密碼體系結(jié)合起來使用。
4.2防火墻技術(shù)
防火墻技術(shù)分為兩類:服務(wù)技術(shù)和數(shù)據(jù)包過濾技術(shù)��。其中���,數(shù)據(jù)包過濾技術(shù)較為簡單���,也最常用�����,它通過檢查接收到的每個數(shù)據(jù)包的頭����,來分析該數(shù)據(jù)包是否已經(jīng)發(fā)送到目的地�。防火墻技術(shù)通過對數(shù)據(jù)進行分析并有選擇的過濾,從而有效地避免外來因素對數(shù)據(jù)包進行的破壞�,保證網(wǎng)絡(luò)的安全。實踐中�����,也常常將數(shù)據(jù)包過濾防火墻與服務(wù)器結(jié)合使用����,可以更加有效地保護網(wǎng)絡(luò)安全。
4.3虛擬專網(wǎng)技術(shù)VPN
VPN具有適應(yīng)性強����、投資小���、易管理等優(yōu)點,通過使用信息加密技術(shù)�、安全隧道技術(shù)、用戶認證技術(shù)����、訪問控制技術(shù)等實現(xiàn)對網(wǎng)絡(luò)信息的保護����。VPN可以使商業(yè)伙伴、公司����、供應(yīng)商、遠程用戶的內(nèi)部網(wǎng)之間建立可靠穩(wěn)定的安全連接�,確保貿(mào)易信息的安全傳輸,從而保證在公共的Internet或企業(yè)局域網(wǎng)之間安全進行電子交易�����。
4.4安全認證技術(shù)
安全認證技術(shù)包括以下幾種:
(1)數(shù)字簽名技術(shù)�����。數(shù)字簽名技術(shù)可以確保原始報文的不可否認性以及鑒別,并且可以防止虛假簽名����。
(2)數(shù)字摘要技術(shù)。數(shù)字摘要技術(shù)通過驗證網(wǎng)絡(luò)傳輸?shù)拿魑?���,鑒別其是否經(jīng)過篡改,進而確保數(shù)據(jù)的有效性和完整性�。
(3)數(shù)字憑證技術(shù)。數(shù)字憑證技術(shù)通過運用電子手段來鑒別用戶身份以及管理用戶對網(wǎng)絡(luò)資源訪問的權(quán)限����。
(4)認證中心。認證中心專門負責(zé)審核網(wǎng)絡(luò)用戶的真實身份并提供相應(yīng)的證明����,且只管理每個用戶的一個公開密鑰,在一定程度上大大降低了密鑰管理的復(fù)雜性�����。
(5)智能卡技術(shù)�。智能卡具有存儲數(shù)據(jù)和讀寫數(shù)據(jù)的能力,可以對數(shù)據(jù)進行簡單地處理�����,能夠?qū)?shù)據(jù)進行加密和解密,其特點是存儲器部分具有外部不可讀性�,可以使用戶身份鑒別更加安全。
5電子商務(wù)中的信息安全對策
5.1不斷完善網(wǎng)絡(luò)安全管理體系
我國應(yīng)在現(xiàn)有網(wǎng)絡(luò)安全管理部門之外建立一個具有權(quán)威的信息安全領(lǐng)導(dǎo)機構(gòu)����。該部門應(yīng)宏觀地、有效統(tǒng)一地協(xié)調(diào)各部門的職能����,對市場網(wǎng)絡(luò)信息安全現(xiàn)狀進行及時的分析�����,制定科學(xué)的政策�。對于使用計算機網(wǎng)絡(luò)的單位及個人,必須嚴格遵守《中華人民共和國計算機信息系統(tǒng)安全保護條例》和《計算機信息網(wǎng)絡(luò)安全保護管理辦法》����,建立完善的責(zé)任問責(zé)制度。
5.2大力培養(yǎng)網(wǎng)絡(luò)安全專業(yè)人才
面對現(xiàn)代網(wǎng)絡(luò)應(yīng)用高速普及的情況��,網(wǎng)絡(luò)安全專業(yè)人才顯得捉襟見肘��,我國需要大量的網(wǎng)絡(luò)安全人才維護網(wǎng)絡(luò)的安全。我國應(yīng)加大對培養(yǎng)網(wǎng)絡(luò)安全人才的科研教育機構(gòu)的投入力度����,同時積極組織人才及組織與國外的相關(guān)部門進行技術(shù)經(jīng)驗交流,不斷引進國外先進網(wǎng)絡(luò)安全保護技術(shù)���,并及時對我國專業(yè)人員進行技術(shù)培訓(xùn)��。
5.3建立網(wǎng)絡(luò)風(fēng)險防范機制
篇2
一��、引言近年來���,電子商務(wù)的發(fā)展十分迅速,然而盡管其發(fā)展勢頭很強����,但其貿(mào)易額所占整個貿(mào)易額的比例仍然很低。影響其發(fā)展的首要因素是安全問題���,網(wǎng)上的交易是一種非面對面交易��,因此“交易安全“在電子商務(wù)的發(fā)展中十分重要����。可以說�����,沒有安全就沒有電子商務(wù)���。電子商務(wù)的安全從整體上可分為兩大部分�,計算機網(wǎng)絡(luò)安全和商務(wù)交易安全���。計算機網(wǎng)絡(luò)安全的特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題���,實施網(wǎng)絡(luò)安全增強方案,以保證計算機網(wǎng)絡(luò)自身的安全性為目標(biāo)�����。商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在Internet上應(yīng)用時產(chǎn)生的各種安全問題��,在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上����,如何保障電子商務(wù)過程的順利進行�����。
篇3
序言:近年來,隨著因特網(wǎng)的普及日漸迅速,電子交易開始融入人們的日常生活中,網(wǎng)上訂貨、網(wǎng)上繳費等眾多電子交易方式為人們創(chuàng)造了便利高效的生活方式,越來越多的人開始使用電子商務(wù)網(wǎng)站來傳遞各種信息,并進行各種交易��。電子商務(wù)網(wǎng)站傳遞各種商務(wù)信息依靠的是互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個完全開放的網(wǎng)絡(luò),任何一臺計算機���、任何一個網(wǎng)絡(luò)都可以與之相連����。它又是無國界的,沒有管理權(quán)威,“是世界唯一的無政府領(lǐng)地”,因此,網(wǎng)上的安全風(fēng)險就構(gòu)成了對電子商務(wù)的安全威脅��。
一��、電子商務(wù)信息的安全要素
1.機密性
傳統(tǒng)的貿(mào)易大多是通過書信或者可靠的通信渠道來發(fā)送商業(yè)文檔,雖然速度和效率都不高,但卻能達到保密的目的,而電子商務(wù)是在開放的網(wǎng)絡(luò)環(huán)境下進行的,因此要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務(wù)信息的機密性就變得非常重要��。
2.完整性
電子商務(wù)極大地簡化了傳統(tǒng)貿(mào)易過程,減少了認為的干預(yù),同時也伴隨著貿(mào)易各方商業(yè)信息的完整�、同一問題。由于數(shù)據(jù)錄入時合法或非法的行為,可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異����。信息在傳輸?shù)倪^程中也有可能造成信息的丟失、重復(fù)或次序的差異��。因此要預(yù)防對信息的各種非法操作,保證數(shù)據(jù)在傳送的過程中完整性。
3.認證性
網(wǎng)絡(luò)環(huán)境是一個虛擬的環(huán)境,而電子商務(wù)就是在這個虛擬平臺上進行的,貿(mào)易雙方一般都不見面,需要一些技術(shù)和策略來進行身份確認���。當(dāng)個人或?qū)嶓w聲稱身份時,電子商務(wù)服務(wù)需要提供一種方式來進行身份認證�。
4.有效性
在交易的過程中貿(mào)易雙方需要確定很多信息,電子商務(wù)以電子形式取代了紙張來確認這此信息,保證謝謝信息的有效性是開展電子商務(wù)的前提�����。因此要對網(wǎng)絡(luò)故障��、硬件故障�����、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點是有效的�。
二、電子商務(wù)網(wǎng)絡(luò)的安全隱患
1.竊取信息
(1)交易雙方進行交易的內(nèi)容被第三方竊取����。(2)交易一方提供給另一方使用的文件被第三方非法使用。
2.篡改信息
電子的交易信息在網(wǎng)絡(luò)傳輸?shù)倪^程中,可能被他人非法的修改�、刪除這樣就使信息失去了真實性和完整性����。
3.假冒
第三方可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。
4.惡意破壞
由于攻擊者可以接入網(wǎng)絡(luò),則可能對網(wǎng)絡(luò)中的信息進行修改,掌握網(wǎng)上的機要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,破壞網(wǎng)絡(luò)的硬件或軟件而導(dǎo)致交易信息傳遞丟失與謬誤。計算機網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞,而使電子商務(wù)信息遭到破壞�。
三、電子商務(wù)安全中的幾種技術(shù)手段
1.防火墻(FireWall)技術(shù)
防火墻是一種隔離控制技術(shù)��,在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障�,阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出�����。
2.加密技術(shù)
數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施��,貿(mào)易方可根據(jù)需要在信息交換的階段使用�����。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式:對稱加密和非對稱加密�,采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng),而不能簡單地根據(jù)其加密強度來做出判斷����。
(1)對稱加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰���。也就是說���,一把鑰匙開一把鎖��。這種加密算法可簡化加密處理過程����,貿(mào)易雙方都不必彼此研究和交換專用的加密算法���,如果進行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露����,那么機密性和報文完整性就可以得到保證��。不過����,對稱加密技術(shù)也存在一些不足,如果某一貿(mào)易方有n個貿(mào)易關(guān)系�,那么他就要維護n個私有密鑰。對稱加密方式存在的另一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方���。因為貿(mào)易雙方共享一把私有密鑰�。目前廣泛采用的對稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)�,它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域���。DES對64位二進制數(shù)據(jù)加密�����,產(chǎn)生64位密文數(shù)據(jù)���。使用的密鑰為64位�����,實際密鑰長度為56位(8位用于奇偶校驗)����。解密時的過程和加密時相似���,但密鑰的順序正好相反�。
(2)非對稱加密/公開密鑰加密
在Internet中使用更多的是公鑰系統(tǒng)���,即公開密鑰加密�����。在該體系中�,密鑰被分解為一對:公開密鑰PK和私有密鑰SK。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開�����,而另一把則作為私有密鑰(解密密鑰)加以保存�。公開密鑰用于加密,私有密鑰用于解密���,私有密鑰只能由生成密鑰對的貿(mào)易方掌握��,公開密鑰可廣泛���,但它只對應(yīng)于生成該密鑰的貿(mào)易方。在公開密鑰體系中��,加密算法E和解密算法D也都是公開的�。雖然SK與PK成對出現(xiàn),但卻不能根據(jù)PK計算出SK�。
常用的公鑰加密算法是RSA算法,加密強度很高���。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來�����。發(fā)送方在發(fā)送數(shù)據(jù)時必須加上數(shù)字簽名�,做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名����,然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。這些密文被接收方收到后�,接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名,然后用方公布的公鑰對數(shù)字簽名進行解密��,如果成功����,則確定是由發(fā)送方發(fā)出的。由于加密強度高���,而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密����,因此十分適合Internet網(wǎng)上使用���。
3.數(shù)字簽名
數(shù)字簽名技術(shù)是實現(xiàn)交易安全核心技術(shù)之一��,它實現(xiàn)的基礎(chǔ)就是加密技術(shù)�����。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實性的���。但在計算機網(wǎng)絡(luò)中傳送的報文又如何蓋章呢��?這就是數(shù)字簽名所要解決的問題��。數(shù)字簽名必須保證以下幾點:接收者能夠核實發(fā)送者對報文的簽名���;送者事后不能抵賴對報文的簽名;接收者不能偽造對報文的簽名?,F(xiàn)在己有多種實現(xiàn)數(shù)字簽名的方法,采用較多的就是公開密鑰算法�。
4.數(shù)字證書
(1)認證中心
在電子交易中,數(shù)字證書的發(fā)放不是靠交易雙方來完成的�����,而是由具有權(quán)威性和公正性的第三方來完成的���。認證中心就是承擔(dān)網(wǎng)上安全電子交易認證服務(wù)���、簽發(fā)數(shù)字證書并確認用戶身份的服務(wù)機構(gòu)�����。
(2)數(shù)字證書
數(shù)字證書是用電子手段來證實一個用戶的身份及他對網(wǎng)絡(luò)資源的訪問權(quán)限���。在網(wǎng)上的電子交易中�,如雙方出示了各自的數(shù)字證書,并用它來進行交易操作�����,那么交易雙方都可不必為對方身份的真?zhèn)螕?dān)心���。
5.消息摘要(MessageDigest)
消息摘要方法也稱為Hash編碼法或MDS編碼法���。它是由RonRivest所發(fā)明的。消息摘要是一個惟一對應(yīng)一個消息的值�����。它由單向Hash加密算法對所需加密的明文直接作用,生成一串128bit的密文�,這一串密文又被稱為“數(shù)字指紋”(FingerPrint)。所謂單向是指不能被解密����,不同的明文摘要成密文,其結(jié)果是絕不會相同的�����,而同樣的明文其摘要必定是一致的����,因此,這串摘要成為了驗證明文是否是“真身”的數(shù)字“指紋”了��。
結(jié)語:本文分析了目前電子商務(wù)的安全需求�����,使用的安全技術(shù)及仍存在的問題����,并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點,但必須強調(diào)說明的是����,電子商務(wù)的安全運行���,僅從技術(shù)角度防范是遠遠不夠的,還必須完善電子商務(wù)立法�,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導(dǎo)和促進我國電子商務(wù)快速健康發(fā)展�����。
參考文獻:
[1]吳洋.電子商務(wù)安全方法研究[D].天津大學(xué),2006.
[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005,(06)
[3]成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評估[J].計算機工程,2003,(02).
[4]大衛(wèi)·范胡斯.電子商務(wù)經(jīng)濟學(xué)[M].北京:機械工業(yè)出版社,2003.
[5]楊善林.電子商務(wù)概論[M].北京:機械工業(yè)出版社,2003.
篇4
中圖分類號:TP393
1引言
Internet給整個社會帶來了巨大的變革�����,成為驅(qū)動所有產(chǎn)業(yè)發(fā)展的動力��。電子商務(wù)是在Internet開放環(huán)境下的一種新型的商業(yè)運營模式��,是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向�����。在此首先對電子商務(wù)中存在的問題及其安全性技術(shù)加以分析���,然后對中國電子商務(wù)未來的發(fā)展提出了一些建議,以使更多的人士關(guān)注電子商務(wù)技術(shù),盡快解決現(xiàn)存的問題��,推動電子商務(wù)的發(fā)展���。
2電子商務(wù)及其存在的問題
電子商務(wù)是指利用簡單快捷低成本的電子通訊方式�����,使買賣雙方進行各種商貿(mào)活動的新型貿(mào)易形式�。它改變了傳統(tǒng)貿(mào)易形式���,不僅改變了企業(yè)本身的生產(chǎn)���、經(jīng)營、管理活動���,而且將導(dǎo)致人類經(jīng)濟����、社會和文化的一次新的革命�。但目前電子商務(wù)的發(fā)展中還存在許多問題:
1)安全協(xié)議問題:對安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對制約了國際性的商務(wù)活動����。
2)安全管理問題:在安全管理方面還存在很大隱患�����,普遍難以抵御黑客的攻擊���。
3)電子商務(wù)沒有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域。
4)技術(shù)人才短缺問題:電子商務(wù)是在近幾年才得到了迅猛發(fā)展�,許多地方都缺乏足夠的技術(shù)人才來處理所遇到的各種問題。不少電子商務(wù)的開發(fā)商對網(wǎng)絡(luò)技術(shù)很熟悉����,但是對安全技術(shù)了解得偏少,因而難以開發(fā)出真正實用的�����、安全性的產(chǎn)品�。
5)法律問題:電子交易衍生了一系列法律問題���,例如網(wǎng)絡(luò)交易糾紛的仲裁�����、網(wǎng)絡(luò)交易契約等問題�,急需為電子商務(wù)提供法律保障。
6)稅收問題:電子商務(wù)的發(fā)展在促進貿(mào)易增加稅收的同時又對稅收制度及其管理手段提出了新要求��。
3電子商務(wù)中的安全性技術(shù)
安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素����,也是目前大家十分關(guān)注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性�,但現(xiàn)在幾乎網(wǎng)絡(luò)的各個層次都制訂了安全協(xié)議和具備了相應(yīng)的安全技術(shù),以保證電子商務(wù)的安全性���。
3.1安全的網(wǎng)絡(luò)平臺
安全可靠的網(wǎng)絡(luò)是實現(xiàn)電子商務(wù)的基礎(chǔ)���,常用的方法是在網(wǎng)絡(luò)中采用防火墻技術(shù),虛擬專用網(wǎng)(VPN)技術(shù)���,防病毒保護等�。防火墻技術(shù)是通過IP過濾和服務(wù)器軟件方法保護企業(yè)內(nèi)部網(wǎng)(Intranet)中數(shù)據(jù)�,只有授權(quán)用戶才能獲準(zhǔn)進入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)。虛擬專用網(wǎng)(VPN)技術(shù)通過IP隧道等方法來保證企業(yè)協(xié)作網(wǎng)(Extranet)中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠程分支機構(gòu)和外出職工對中央系統(tǒng)的遠程訪問數(shù)據(jù)的安全傳遞����。單純依靠這些方法保護網(wǎng)絡(luò)的安全性是不夠的�����,還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務(wù)基石�����,例如現(xiàn)在的加密技術(shù)�����、數(shù)字簽名技術(shù)���、電子認證技術(shù)等。
3.2在線支付的安全技術(shù)
電子商務(wù)的另一個關(guān)鍵問題是要保證在線支付的安全���,它是網(wǎng)上購物的重要保證����。目前采用的在線支付協(xié)議有兩種:安全套接層SSL(SecureSocketsLayer)協(xié)議和安全電子交易SET(SecureElectronicTransaction)協(xié)議�����。
3.2.1SSL協(xié)議
SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)���。SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證����,數(shù)字證書是從認證機構(gòu)(CertificateAuthority�,CA)獲得的,通常包含有唯一標(biāo)識證書所有者的名稱�、唯一標(biāo)識證書者的名稱、證書所有者的公開密鑰��、證書者的數(shù)字簽名��、證書的有效期及證書的序列號等���。在用數(shù)字證書對雙方的身份驗證后�,雙方就可以用保密密鑰進行安全的會話了����。
篇5
1引言
Internet給整個社會帶來了巨大的變革,成為驅(qū)動所有產(chǎn)業(yè)發(fā)展的動力���。電子商務(wù)是在Internet開放環(huán)境下的一種新型的商業(yè)運營模式�,是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向��。在此首先對電子商務(wù)中存在的問題及其安全性技術(shù)加以分析,然后對中國電子商務(wù)未來的發(fā)展提出了一些建議����,以使更多的人士關(guān)注電子商務(wù)技術(shù),盡快解決現(xiàn)存的問題�,推動電子商務(wù)的發(fā)展。
2電子商務(wù)及其存在的問題
電子商務(wù)是指利用簡單快捷低成本的電子通訊方式�,使買賣雙方進行各種商貿(mào)活動的新型貿(mào)易形式。它改變了傳統(tǒng)貿(mào)易形式����,不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營�、管理活動,而且將導(dǎo)致人類經(jīng)濟��、社會和文化的一次新的革命��。但目前電子商務(wù)的發(fā)展中還存在許多問題:
1)安全協(xié)議問題:對安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范�,相對制約了國際性的商務(wù)活動。
2)安全管理問題:在安全管理方面還存在很大隱患��,普遍難以抵御黑客的攻擊�����。
3)電子商務(wù)沒有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域。
4)技術(shù)人才短缺問題:電子商務(wù)是在近幾年才得到了迅猛發(fā)展�����,許多地方都缺乏足夠的技術(shù)人才來處理所遇到的各種問題���。不少電子商務(wù)的開發(fā)商對網(wǎng)絡(luò)技術(shù)很熟悉,但是對安全技術(shù)了解得偏少��,因而難以開發(fā)出真正實用的����、安全性的產(chǎn)品。
5)法律問題:電子交易衍生了一系列法律問題�����,例如網(wǎng)絡(luò)交易糾紛的仲裁�、網(wǎng)絡(luò)交易契約等問題,急需為電子商務(wù)提供法律保障���。
6)稅收問題:電子商務(wù)的發(fā)展在促進貿(mào)易增加稅收的同時又對稅收制度及其管理手段提出了新要求����。
3電子商務(wù)中的安全性技術(shù)
安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素,也是目前大家十分關(guān)注的問題�。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性,但現(xiàn)在幾乎網(wǎng)絡(luò)的各個層次都制訂了安全協(xié)議和具備了相應(yīng)的安全技術(shù)�����,以保證電子商務(wù)的安全性����。
3.1安全的網(wǎng)絡(luò)平臺
安全可靠的網(wǎng)絡(luò)是實現(xiàn)電子商務(wù)的基礎(chǔ),常用的方法是在網(wǎng)絡(luò)中采用防火墻技術(shù)���,虛擬專用網(wǎng)(VPN)技術(shù)����,防病毒保護等����。防火墻技術(shù)是通過IP過濾和服務(wù)器軟件方法保護企業(yè)內(nèi)部網(wǎng)(Intranet)中數(shù)據(jù),只有授權(quán)用戶才能獲準(zhǔn)進入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)�����。虛擬專用網(wǎng)(VPN)技術(shù)通過IP隧道等方法來保證企業(yè)協(xié)作網(wǎng)(Extranet)中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠程分支機構(gòu)和外出職工對中央系統(tǒng)的遠程訪問數(shù)據(jù)的安全傳遞。單純依靠這些方法保護網(wǎng)絡(luò)的安全性是不夠的��,還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務(wù)基石���,例如現(xiàn)在的加密技術(shù)�����、數(shù)字簽名技術(shù)、電子認證技術(shù)等��。
3.2在線支付的安全技術(shù)
電子商務(wù)的另一個關(guān)鍵問題是要保證在線支付的安全�,它是網(wǎng)上購物的重要保證。目前采用的在線支付協(xié)議有兩種:安全套接層SSL(SecureSocketsLayer)協(xié)議和安全電子交易SET(SecureElectronicTransaction)協(xié)議��。
3.2.1SSL協(xié)議
SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)��。SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證�����,數(shù)字證書是從認證機構(gòu)(CertificateAuthority����,CA)獲得的,通常包含有唯一標(biāo)識證書所有者的名稱、唯一標(biāo)識證書者的名稱�����、證書所有者的公開密鑰�����、證書者的數(shù)字簽名����、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后���,雙方就可以用保密密鑰進行安全的會話了��。
SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前�����,協(xié)商加密算法�����、連接密鑰并認證通信雙方����,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如
[2]古月.走近電子商務(wù).計算機與生活,1999,11:8~14
[3]龔炳錚等.從信息增值到電子商務(wù).計算機世界�,2000,11,20(D45期)
Electroniccommerceanditssecurity
篇6
連續(xù)多年,我國投資增長速度高于消費和國內(nèi)生產(chǎn)總值的增長速度��,使得投資率不斷上升����,增大了調(diào)整投資與消費的比例關(guān)系的難度?�!笆晃濉币?guī)劃要求�����,“要進一步擴大國內(nèi)需求����,調(diào)整投資和消費的關(guān)系�����,合理控制投資規(guī)模�,增強消費對經(jīng)濟增長的拉動作用�?��!钡衲晟习肽晖顿Y的增長速度明顯高于消費�,不僅使得經(jīng)濟增長過多依賴于投資����,而且目前投資還有進一步加快的趨勢。如果這種投資波動的態(tài)勢演變成長期趨勢�����,將不利于“十一五”規(guī)劃關(guān)于調(diào)整投資與消費比例關(guān)系任務(wù)的完成����。
篇7
由于電子商務(wù)是以信息技術(shù)和計算機網(wǎng)絡(luò)為基礎(chǔ)的,與傳統(tǒng)商務(wù)比較�����,它不可避免的面臨著一系列的安全問題��。
1.信息泄漏
在電子商務(wù)中表現(xiàn)為商業(yè)機密的泄漏����,主要包括兩個方面:交易雙方進行交易的內(nèi)容被第三方竊?����?���;交易一方提供給另一方使用的文件被第三方非法使用����。攻擊者主要通過截獲和竊取的方式造成信息泄漏。
2.篡改
在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實性和完整性的問題�����。當(dāng)攻擊者掌握了信息的格式和規(guī)律后���,通過各種技術(shù)手段和方法,將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在中途篡改�����,然后再發(fā)向目的地�,破壞數(shù)據(jù)的真實性和完整性。
3.偽造
由于掌握了數(shù)據(jù)的格式��,并可以篡改通過的信息,如果不進行身份識別���,攻擊者就有可能假冒交易一方的身份��,以破壞交易�、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等�。
4.信用威脅
交易者否認參加過交易,如買方提交訂單后不付款�,或者輸入虛假銀行資料使賣方不能提款;用戶付款后����,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失��。
5.電腦病毒
電腦病毒問世十幾年來��,各種新型病毒及其變種迅速增加����,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑����,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快�����,動輒造成數(shù)百億美元的經(jīng)濟損失��。
二���、電子商務(wù)安全要素
安全問題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問題,而如何保障電子商務(wù)活動的安全����,將一直是電子商務(wù)的核心研究領(lǐng)域。作為一個安全的電子商務(wù)系統(tǒng)�,首先必須具有一個安全、可靠的通信網(wǎng)絡(luò)�,以保證交易信息安全、迅速地傳遞���;其次必須保證數(shù)據(jù)庫服務(wù)器絕對安全,防止黑客闖入網(wǎng)絡(luò)盜取信息����。下面介紹電子商務(wù)涉及的安全要素.
1.有效性
電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個人�����、企業(yè)或國家的經(jīng)濟利益和聲譽。因此���,要對網(wǎng)絡(luò)故障�、操作錯誤����、應(yīng)用程序錯誤、硬件故障���、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防�����,以保證貿(mào)易數(shù)據(jù)在確定的時刻�����、確定的地點是有效的�����。
2.機密性
電子商務(wù)作為貿(mào)易的一種手段�,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密����。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障���。
3.完整性
電子商務(wù)簡化了貿(mào)易過程��,減少了人為的干預(yù)���,同時也帶來維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題���。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略���,保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。
4.可靠性
電子商務(wù)直接關(guān)系到貿(mào)易雙方的商業(yè)交易��,如何確定要進行交易的貿(mào)易方是保證電子商務(wù)順利進行的關(guān)鍵���。要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。
5.即需性
即需性是防止延遲或拒絕服務(wù)���,即需安全威脅的目的就在于破壞正常的計算機處理或完全拒絕服務(wù)���。在電子商務(wù)中,延遲一個消息或消除它會帶來災(zāi)難性的后果���。
6.身份認證
指交易雙方可以相互確認彼此的真實身份����,確認對方就是本次交易中所稱的真正交易方���。這一過程為授權(quán)和審計所必需�����,也是實現(xiàn)授權(quán)��、審計的訪問控制過程運行的前提�,是計算機網(wǎng)絡(luò)安全系統(tǒng)不可缺少的組成部分��。
7.審查能力
根據(jù)機密性和完整性的要求��,應(yīng)對數(shù)據(jù)審查的結(jié)果進行記錄。審查能力是指每個經(jīng)授權(quán)的用戶的活動的唯一標(biāo)識和監(jiān)控��,以便對其所使用的操作內(nèi)容進行審計和跟蹤����。
三、電子商務(wù)交易安全技術(shù)
由于電子商務(wù)活動所涉及的大量機密信息都必須通過網(wǎng)絡(luò)傳播��,并且以電子數(shù)據(jù)的形式存儲��,要求有完善的安全技術(shù)來保證電子商務(wù)交易的安全�����。目前���,電子商務(wù)過程中主要采用的安全技術(shù)有加密技術(shù)�����、認證技術(shù)和安全認證協(xié)議�����。
1.加密技術(shù)
加密技術(shù)是一種主動的信息安全防范措施�,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文��,阻止非法用戶理解原始數(shù)據(jù)����,從而確保數(shù)據(jù)的保密性��。在加密和解密的過程中���,由加密者和解密者使用的加解密可變參數(shù)叫做密鑰����。 目前�,獲得廣泛應(yīng)用的兩種加密技術(shù)是對稱密鑰加密體制和非對稱密鑰加密體制。
2.認證技術(shù)
安全認證的主要作用是進行信息認證���。主要包括安全認證技術(shù)和安全認證機構(gòu)兩個方面�。安全認證技術(shù)主要有數(shù)字摘要�����、數(shù)字信封�、數(shù)字簽名���、數(shù)字時間戳、數(shù)字證書等��; 電子商務(wù)認證中心就是承擔(dān)網(wǎng)上安全交易認證服務(wù)�����,能簽發(fā)數(shù)字證書����,并能確認用戶身份的服務(wù)機構(gòu)。
3.安全認證協(xié)議
篇8
由于電子商務(wù)是以信息技術(shù)和計算機網(wǎng)絡(luò)為基礎(chǔ)的����,與傳統(tǒng)商務(wù)比較,它不可避免的面臨著一系列的安全問題����。
1.信息泄漏
在電子商務(wù)中表現(xiàn)為商業(yè)機密的泄漏,主要包括兩個方面:交易雙方進行交易的內(nèi)容被第三方竊?。唤灰滓环教峁┙o另一方使用的文件被第三方非法使用��。攻擊者主要通過截獲和竊取的方式造成信息泄漏����。
2.篡改
在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實性和完整性的問題����。當(dāng)攻擊者掌握了信息的格式和規(guī)律后�����,通過各種技術(shù)手段和方法�,將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在中途篡改����,然后再發(fā)向目的地,破壞數(shù)據(jù)的真實性和完整性���。
3.偽造
由于掌握了數(shù)據(jù)的格式�,并可以篡改通過的信息�����,如果不進行身份識別��,攻擊者就有可能假冒交易一方的身份����,以破壞交易����、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等����。
4.信用威脅
交易者否認參加過交易,如買方提交訂單后不付款�����,或者輸入虛假銀行資料使賣方不能提款��;用戶付款后���,賣方?jīng)]有把商品發(fā)送到客戶手中��,使客戶蒙受損失�。
5.電腦病毒
電腦病毒問世十幾年來�����,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介��。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑�����,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快�����,動輒造成數(shù)百億美元的經(jīng)濟損失���。
二、電子商務(wù)安全要素
安全問題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問題�����,而如何保障電子商務(wù)活動的安全��,將一直是電子商務(wù)的核心研究領(lǐng)域�����。作為一個安全的電子商務(wù)系統(tǒng)��,首先必須具有一個安全�����、可靠的通信網(wǎng)絡(luò),以保證交易信息安全�、迅速地傳遞;其次必須保證數(shù)據(jù)庫服務(wù)器絕對安全�����,防止黑客闖入網(wǎng)絡(luò)盜取信息����。下面介紹電子商務(wù)涉及的安全要素.
1.有效性
電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽��。因此,要對網(wǎng)絡(luò)故障�、操作錯誤、應(yīng)用程序錯誤���、硬件故障���、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的��。
2.機密性
電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密�。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。
3.完整性
電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預(yù),同時也帶來維護貿(mào)易各方商業(yè)信息的完整���、統(tǒng)一的問題��。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)��。
4.可靠性
電子商務(wù)直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進行交易的貿(mào)易方是保證電子商務(wù)順利進行的關(guān)鍵�����。要在交易信息的傳輸過程中為參與交易的個人���、企業(yè)或國家提供可靠的標(biāo)識。
5.即需性
即需性是防止延遲或拒絕服務(wù)�����,即需安全威脅的目的就在于破壞正常的計算機處理或完全拒絕服務(wù)����。在電子商務(wù)中��,延遲一個消息或消除它會帶來災(zāi)難性的后果。
6.身份認證
指交易雙方可以相互確認彼此的真實身份�����,確認對方就是本次交易中所稱的真正交易方��。這一過程為授權(quán)和審計所必需�����,也是實現(xiàn)授權(quán)�����、審計的訪問控制過程運行的前提�����,是計算機網(wǎng)絡(luò)安全系統(tǒng)不可缺少的組成部分���。
7.審查能力
根據(jù)機密性和完整性的要求,應(yīng)對數(shù)據(jù)審查的結(jié)果進行記錄��。審查能力是指每個經(jīng)授權(quán)的用戶的活動的唯一標(biāo)識和監(jiān)控����,以便對其所使用的操作內(nèi)容進行審計和跟蹤。
三���、電子商務(wù)交易安全技術(shù)
由于電子商務(wù)活動所涉及的大量機密信息都必須通過網(wǎng)絡(luò)傳播�����,并且以電子數(shù)據(jù)的形式存儲����,要求有完善的安全技術(shù)來保證電子商務(wù)交易的安全���。目前����,電子商務(wù)過程中主要采用的安全技術(shù)有加密技術(shù)����、認證技術(shù)和安全認證協(xié)議。
1.加密技術(shù)
加密技術(shù)是一種主動的信息安全防范措施����,其原理是利用一定的加密算法����,將明文轉(zhuǎn)換成為無意義的密文��,阻止非法用戶理解原始數(shù)據(jù)����,從而確保數(shù)據(jù)的保密性��。在加密和解密的過程中�,由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。目前��,獲得廣泛應(yīng)用的兩種加密技術(shù)是對稱密鑰加密體制和非對稱密鑰加密體制�。
2.認證技術(shù)
安全認證的主要作用是進行信息認證。主要包括安全認證技術(shù)和安全認證機構(gòu)兩個方面�。安全認證技術(shù)主要有數(shù)字摘要、數(shù)字信封���、數(shù)字簽名�����、數(shù)字時間戳����、數(shù)字證書等;電子商務(wù)認證中心就是承擔(dān)網(wǎng)上安全交易認證服務(wù)��,能簽發(fā)數(shù)字證書�����,并能確認用戶身份的服務(wù)機構(gòu)��。
3.安全認證協(xié)議
篇9
1 引言
電子商務(wù)是通過電子方式處理和傳遞數(shù)據(jù)�,它涉及許多方面的活動,包括貨物電子貿(mào)易和服務(wù)���、在線數(shù)據(jù)傳遞����、電子資金劃拔��、電子證券交易�����、商業(yè)拍賣����、合作設(shè)計和工程、在線資料�����、公共產(chǎn)品獲得等內(nèi)容���。電子商務(wù)的發(fā)展勢頭非常驚人����,但它的產(chǎn)值在全球生產(chǎn)總值中卻只占極小的份額�,其原因就在于電子商務(wù)的安全問題,根據(jù)美國一個調(diào)查機構(gòu)對近30000名因特網(wǎng)用戶的調(diào)查顯示���,由于擔(dān)心電子商務(wù)的安全性問題����,超過60%的網(wǎng)民不愿意進行網(wǎng)上交易����, 因此,如何建立一個安全��、便捷的電子商務(wù)應(yīng)用環(huán)境����,對信息提供足夠的保護��,已經(jīng)成為影響到電子商務(wù)健康發(fā)展的關(guān)鍵性課題�。
2 電子商務(wù)對安全的要求
對電子商務(wù)活動安全性的需求以及可使用的網(wǎng)絡(luò)安全措施��,主要包含如下幾方面�。
(1)如何確定通信中的貿(mào)易伙伴的真實性?常用的處理技術(shù)是身份認證�,依賴某個可信賴的機構(gòu)發(fā)放證書,雙方交換信息之前通過CA獲取對方的證書�,并以此識別對方。
(2)如何保證電子單證的秘密性��,防范電子單證的內(nèi)容被第三方讀取?常用的處理技術(shù)是數(shù)據(jù)加密和解密����。
(3)如何保證被傳輸?shù)臉I(yè)務(wù)單證不會丟失,或者發(fā)送方可以察覺所發(fā)單證的丟失?對于固定且具有頻繁貿(mào)易往來的伙伴���,可以采用單證傳輸?shù)男蛄行詸z驗�;也可采用雙方約定的方法(即在規(guī)定的時間內(nèi)�,通過某種方式進行確認)。
(4)如何確定電子單證的內(nèi)容未被篡改;單證傳輸完整性主要采用散列技術(shù)來防止非法用戶對單證的篡改�����,通過散列算法對被傳輸?shù)膯巫C進行處理�,產(chǎn)生一個依賴于該單證的短小的散列值�,并將該散列值附接在單證之后傳輸給接收方。以便接收方采用相同的散列算法對接收的單證進行檢驗�����。
(5)如何確定電子單證的真實性�����?鑒別單證真實性的主要手段是數(shù)字簽名技術(shù)����,其基礎(chǔ)是數(shù)據(jù)加密中的公開密鑰加密技術(shù),實用中常結(jié)合單證完整性一起考慮��,利用發(fā)送方的密鑰對散列值進行加密�。
(6)如何解決或者仲裁收發(fā)雙方對交換的單證所產(chǎn)生的爭議,包括發(fā)方或收方可能的否認或抵賴?通常要求引入認證中心進行管理����,由CA發(fā)放密鑰���,傳輸?shù)膯巫C及其簽名的備份發(fā)至CA保存,作為可能爭議的仲裁依據(jù)�����。
(7)如何保證存儲信息的安全性?如何規(guī)范內(nèi)部管理���?如何使用訪問控制權(quán)限和日志以及敏感信息加密存儲?當(dāng)使用WWW服務(wù)器支持電子商務(wù)活動時�����,應(yīng)注意數(shù)據(jù)的備份和恢復(fù)����,并采用防火墻技術(shù)來保護內(nèi)部網(wǎng)絡(luò)的安全性����。
3 電子商務(wù)采用的主要安全技術(shù)
為了確保電子商務(wù)在交易過程中信息有效、真實���、可靠且保密�,目前主要采用的安全技術(shù)有加密技術(shù)、身份認證技術(shù)和交易的安全認證協(xié)議�。安全認證協(xié)議用來保證電子商務(wù)中交易的安全性,如set��、ssl���、s/mime��、s-http等���。下面我們主要來介紹這些技術(shù)����。
3.1 加密技術(shù)
加密技術(shù)是電子商務(wù)系統(tǒng)所采取的最基本的安全措施,加密的主要目的是防止信息的非授權(quán)泄漏��。密碼算法是一些數(shù)學(xué)公式����、法則或程序,算法中的可變參數(shù)是密鑰��。根據(jù)密碼算法所使用的加密密鑰和解密密鑰是否相同�����,能否由加密密鑰推導(dǎo)出解密密鑰,可以將密碼算法分為對稱密碼算法和非對稱密碼算法�����。一般來說����,在一個加密系統(tǒng)中,信息使用加密密鑰加密后��,接收方使用解密密鑰對密文解密得到原文����。
3.1.1 對稱加密/對稱密鑰加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰�����,即一把鑰匙開一把鎖���。這樣可以簡化加密的處理����,每個交易方都不必彼此研究和交換專用的加密算法。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄漏���,那么機密性和報文完整性就可以得以保證��。這樣密鑰安全交換是關(guān)系到對稱加密有效的核心環(huán)節(jié)�����。而對稱加密技術(shù)存在著在通信的交易各方之間確保密鑰安全交換的問題����。對稱加密方式存在的另一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方��。因為貿(mào)易雙方共享同一把專用密鑰�,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的����。目前常用的對稱加密算法有DES、PCR�����、IDEA等�。其中DES使用最普遍����,被采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)����。
3.1.2 非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把私有密鑰或解密密鑰)�。密鑰對生成后,公開密鑰以非保密方式對外公開��,只對應(yīng)于生成該密鑰的者��;私有密鑰則保存在密鑰方手中�。任何得到公開密鑰的用戶都可使用該密鑰加密信息發(fā)送給該公開密鑰的者,而者得到加密信息后��,使用與公開密鑰相應(yīng)對的私有密鑰進行解密����。由此可知,公開密鑰用于對機密性的加密����,私有密鑰則用于對加密信息的解密。目前常用的非對稱加密算法是RSA算法����。它是非對稱加密領(lǐng)域內(nèi)最為著名的算法����,但是它存在的主要問題是算法的運算速度較慢����,并且也難以做到一次一密。因此�,在實際的應(yīng)用中通常不采用這一算法對信息量大的信息進行加密。對于加密量大的應(yīng)用�����,公開密鑰加密算法通常用于對稱加密方法密鑰的加密�。
3.2 身份認證技術(shù)
身份認證技術(shù)保證電子商務(wù)安全不可缺少的又一重要技術(shù)手段。常見的安全認證技術(shù)有數(shù)字摘要����、數(shù)字信封�、數(shù)字簽名、數(shù)字時間戳���、數(shù)字證書等技術(shù)�����。
3.2.1 數(shù)字摘要
數(shù)字摘要是一種防止數(shù)據(jù)被改動的方法�,它采用單向HASH函數(shù)將需要加密的文件中若干重要元素進行某種變換運算得到固定長度的摘要碼,并在傳輸信息時將之加入文件一同送給接收方�,接收方收到文件后,用相同的方法進行變換運算�����,若得到的結(jié)果與發(fā)送來的摘要碼相同���,則可斷定文件未被篡改��,反之亦然�。在數(shù)字摘要中HASH函數(shù)的輸入可以是任意大小的文件消息��,而輸出是一個固定長度的摘要��。且摘要有這樣一個性質(zhì)���,如果改變了輸入消息中的任何東西�����,甚至只有一位�����,輸出的摘要將會發(fā)生不可預(yù)測的改變�����,故而常用數(shù)字摘要來判定信息是否被篡改的一項重要技術(shù)���。
3.2.2 數(shù)字信封
在大批數(shù)據(jù)加密中所使用的對稱密碼是隨機產(chǎn)生的���,而接收方也需要此密碼才能對消息進行正確的解密。對稱密鑰的傳遞需要加密進行�,即發(fā)送方用接收方的公鑰加密此對稱密鑰。這樣只有接收方用自己的私鑰才能正確地解密此對稱密鑰��,從而正確地解密消息�。這種加密傳送密鑰的方法稱為數(shù)字信封。數(shù)字信封技術(shù)可以保證接收方的唯一性���。即使信息在傳送途中被監(jiān)聽或截獲,由干第三方并沒有接收方的密鑰�����,也不能對信息進行正確的解密。
3.2.3 數(shù)字簽名
數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別與驗證����,保證報文的完整性、權(quán)威性和發(fā)送者對所發(fā)報文的不可抵賴性�����。在實際生活中��,簽名通常采用書面形式���,由甲乙雙方完成�,在網(wǎng)絡(luò)環(huán)境下����,可以用電子簽名作為模擬。
數(shù)字簽名是將數(shù)字摘要和公鑰算法兩種加密方法結(jié)合起來使用�����,其可以在提供數(shù)據(jù)完整性的同時保證數(shù)據(jù)的真實性。完整性保證傳輸?shù)臄?shù)據(jù)未被篡改���,真屬性則保證傳輸過來的數(shù)據(jù)是由合法者產(chǎn)生的��,而不是由其他人假冒����。如假設(shè)用戶A要寄信給用戶B�����,他們互相知道對方的公鑰����,A用自己的私鑰將簽名內(nèi)容加密,附加在郵件中��,再用B的公鑰將整個郵件加密(注意這里的次序���,如果先加密再簽名的話�����,別人可以將簽名去掉后簽上自己的簽名���,從而篡改了簽名)�����。這樣這份密文被B收到后,B用自己的私鑰將郵件解密����,得到A的原文和數(shù)字簽名,然后用A的公鑰解密簽名�����,這樣一來就保兩方面的安全了�����。
3.2.4 數(shù)字時間戳
在電子商務(wù)的交易文件中�,時間是一條重要的信息,文件的簽署日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容�����。為了防止在電子交易中�����,文件簽署的時間信息被修改,數(shù)字時間戳提供了相應(yīng)的安全保護����。數(shù)字時間戳服務(wù)(DTS)是由專門的機構(gòu)提供的。數(shù)字時間戳是一個經(jīng)加密處理后形成的憑證文檔�����,它包括三個部分:需加時間戳的文件摘要�����;DTS機構(gòu)收到文件的日期和時間���;DTS機構(gòu)的數(shù)字簽名�。
3.2.5 數(shù)字證書
數(shù)字證書是由證書授權(quán)中心CA管理和發(fā)放的�。CA是數(shù)字證書的最高管理機構(gòu),是安全電子交易的核心環(huán)節(jié)����。它作為電子商務(wù)交易中中立的、受信任的��、可仲裁的第三方,也是為了解決電子商務(wù)中��,交易雙方的信息和身份驗證問題�����,從根本上保障電子商務(wù)交易活動順利進行而設(shè)立的�����。在交易支付的過程中�,參與各方為了證實自己的身份���,需到第三方即認證中心(CA)去認證���。數(shù)字證書就是認證中心為交易各方頒發(fā)的身份憑證。它是一個經(jīng)CA數(shù)字簽名的����、包含證書申請者(公開密鑰擁有者)個人信息及其公開密鑰的文件。任何交易雙方只有申請到相應(yīng)的數(shù)字證書���,才能參加安全電子商務(wù)的網(wǎng)上交易���。
3.3 安全認證協(xié)議
目前電子商務(wù)中有兩種安全認證協(xié)議被廣泛使用�,即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議�。
3.3.1 SSL協(xié)議
SSL安全協(xié)議的中文全稱是“加密套接字協(xié)議層”,最初由Netscape公司推出的一種基于RSA和保密密鑰的安全通信協(xié)議�����,是目前使用最廣泛的電子商務(wù)協(xié)議���。該協(xié)議位于HTTP協(xié)議層和TCP協(xié)議層之間,向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序��,提供了客戶端和服務(wù)器的鑒別����、數(shù)據(jù)完整性及信息機密性等安全措施。該協(xié)議在應(yīng)用程序進行數(shù)據(jù)交換前����,通過交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的審查����。SSL協(xié)議可內(nèi)置于用戶瀏覽器和商家的服務(wù)器中��,能方便而低開銷地進行信息加密��,多用于WEB信用卡的傳送。這樣利用它能夠?qū)π庞每ê蛡€人信息提供較強的保護�����。
SSL協(xié)議運行的基點是商家對客戶信息保密的承諾����?�?蛻舻男畔⑼紫葌鞯缴碳遥碳议喿x后再傳到銀行�;這樣�,客戶資料的安全性便受到威脅��。另外,整個過程只有商家對客戶的認證���,缺少客戶對商家的認證�,不能防止商家利用獲取的信用卡號進行欺詐��。隨著電子商務(wù)與廠商的迅速增加,對廠商的認證問題越來越突出��,SSL協(xié)議的缺點則越加明顯�����。SSL協(xié)議逐漸被新的SET協(xié)議所取代����。
3.3.2 SET 協(xié)議
SET協(xié)議的中文全稱“安全電子交易協(xié)議”�����,它向基于信用卡進行電子化交易的應(yīng)用提供了實現(xiàn)安全措施的規(guī)則��。它是由Vsia國際組織 和Mastercard組織聯(lián)合國際上多家科技機構(gòu)�����,共同制定的應(yīng)用于INTERNET上的以銀行卡為基礎(chǔ)進行在線交易的安全技術(shù)標(biāo)準(zhǔn)�。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn),主要應(yīng)用于保障網(wǎng)上購物信息的安全性���。SET主要由3個文件組成����,分別是SET業(yè)務(wù)描述���、SET程序員指南和SET協(xié)議描述���。SET協(xié)議在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證���。它可以對交易各方進行認證����,可防止商家身份的欺詐���。為了進一步加強安全性�����,使用兩組密鑰對分別用于加密和簽名��,通過雙簽名機制將訂購信息同賬戶信息鏈在一起簽名�。由于設(shè)計較為合理�����,得到了諸如微軟公司��、IBM公司�、Netscape公司等大公司的支持��,已成為實際上工業(yè)技術(shù)標(biāo)準(zhǔn)�。
SET協(xié)議的不足之處在于協(xié)議復(fù)雜�����,且只適用于用戶安裝了“電子錢包”的場合。根據(jù)統(tǒng)計���,在一個典型的SET交易過程中���,需驗證數(shù)字證書9次�����,驗證數(shù)字簽名6次����;需傳送證書7次����,進行5次簽名�、4次對稱加密和4次非對稱加密����;整個交易過程可能會花費1.5~2分鐘。
4 電子商務(wù)安全需要進一步完善的配套措施
電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式���,尤其對發(fā)展中的中國來說��,發(fā)展電子商務(wù)���,就必須從以下幾個方面來完善配套措施:
(1)突破關(guān)鍵技術(shù)受制于人的瓶頸�����。當(dāng)前不僅國內(nèi)幾乎所有的主機��、交換機�、路由器、網(wǎng)絡(luò)操作系統(tǒng)都來自國外��,而且美國對出口別國的產(chǎn)品實行密鑰信前控制和長密鑰限制�����,因此我們必須依靠自身的力量研制自己的加密算法,以保證中國電子商務(wù)的正常發(fā)展。
(2)我國應(yīng)盡快對電子商務(wù)的有關(guān)細則進行立法�。當(dāng)前大多數(shù)人信息安全意識淡薄���,以銀行和金融界來看�,大家對安全方面的重視還不夠����,由于有關(guān)電子商務(wù)的立法和管理剛剛開始,有人開玩笑說“電子商務(wù)目前是個‘三無’行業(yè):無法可依、無安全可言、無規(guī)可循”�����,當(dāng)然這種說法欠妥�����,但目前我國關(guān)于網(wǎng)絡(luò)安全的法律的確還有待完善��。
(3)大力開發(fā)大型商務(wù)網(wǎng)站���、發(fā)展與之相配套的物流公司。目前我國的電子商務(wù)沒有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域����,這必將影響我國電子商務(wù)進一步的發(fā)展��。
參考文獻
[1]周明,黃元江,李建設(shè).株洲工學(xué)院學(xué)報[J].電子商務(wù)中的安全技術(shù)研究�����,2005.1.
[2]張娟.甘肅科技縱橫[M].電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究,2005.4.
篇10
一�、引言
電子商務(wù)的發(fā)展前景十分誘人����,而其安全問題也變得越來越突出����,如何建立一個安全����、便捷的電子商務(wù)應(yīng)用環(huán)境,對信息提供足夠的保護,已經(jīng)成為商家和用戶都十分關(guān)心的話題。
二、電子商務(wù)存在的安全問題
1.計算機網(wǎng)絡(luò)安全
(1)潛在的安全隱患。未進行操作系統(tǒng)相關(guān)安全配置����。不論采用什么操作系統(tǒng)�,在缺省安裝的條件下都會存在一些安全問題,只有專門針對操作系統(tǒng)安全性進行相關(guān)的和嚴格的安全配置����,才能達到一定的安全程度。
(2)未進行CGI程序代碼審計����。網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序,很多存在嚴重的CGI問題��,對于電子商務(wù)站點來說���,會出現(xiàn)惡意攻擊者冒用他人賬號進行網(wǎng)上購物等嚴重后果����。
(3)安全產(chǎn)品使用不當(dāng)。由于一些網(wǎng)絡(luò)安全設(shè)備本身的問題或使用問題��,這些產(chǎn)品并沒有起到應(yīng)有的作用��。很多廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高���,超出對普通網(wǎng)管人員的技術(shù)要求��,就算是廠家在最初給用戶做了正確的安裝�、配置�����,但系統(tǒng)改動�����,在改動相關(guān)安全產(chǎn)品的設(shè)置時����,很容易產(chǎn)生許多安全問題�。
(4)缺少嚴格的網(wǎng)絡(luò)安全管理制度
網(wǎng)絡(luò)安全最重要的還是要思想上高度重視,網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障��。建立和實施嚴密的計算機網(wǎng)絡(luò)安全制度與策略是真正實現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。
2.商務(wù)交易安全
(1)竊取信息���。由于未采用加密措施�����,信息在網(wǎng)絡(luò)上以明文形式傳送����,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息���。通過多次竊取和分析���,可以找到信息的規(guī)律和格式,進而得到傳輸信息的內(nèi)容���,造成網(wǎng)上傳輸信息泄密����。
(2)篡改信息�����。當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過各種技術(shù)手段和方法�,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改,然后再發(fā)向目的地��。
(3)假冒�����。由于掌握了數(shù)據(jù)的格式����,并可以篡改通過的信息,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息�����,而遠端用戶通常很難分辨��。
(4)惡意破壞�����。由于攻擊者可以接入網(wǎng)絡(luò)���,則可能對網(wǎng)絡(luò)中的信息進行修改���,掌握網(wǎng)上的機要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部����,其后果是非常嚴重的。
三��、電子商務(wù)安全技術(shù)
1.加密技術(shù)
(1)對稱加密/對稱密鑰加密/專用密鑰加密
該方法對信息的加密和解密都使用相同的密鑰�。使用對稱加密方法將簡化加密的處理,每個貿(mào)易方都不必彼此研究和交換專用的加密算法而是采用相同的加密算法并只交換共享的專用密鑰�����。如果進行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露�����,那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)�。
(2)非對稱加密/公開密鑰加密
這種加密體系中,密鑰被分解為一對����。這對密鑰中的任何一把都可作為公開密鑰通過非保密方式向他人公開,而另一把則作為專用密鑰加以保存����。公開密鑰用于對機密性的加密��,專用密鑰則用于對加密信息的解密���。專用密鑰只能由生成密鑰對的貿(mào)易方掌握,公開密鑰可廣泛�,但它只對應(yīng)于生成該密鑰的貿(mào)易方。
(3)數(shù)字摘要
該方法亦稱安全Hash編碼法或MD5���。采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文���,即數(shù)字指紋,它有固定的長度���,且不同的明文摘要成密文���,其結(jié)果總是不同的,而同樣的明文其摘要必定一致����。這摘要便可成為驗證明文是否是“真身”的“指紋”了。
(4)數(shù)字簽名
信息是由簽名者發(fā)送的;信息在傳輸過程中未曾作過任何修改。這樣數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽����;或冒用別人名義發(fā)送信息�����;或發(fā)出(收到)信件后又加以否認等情況發(fā)生�。
(5)數(shù)字時間戳
它是一個經(jīng)加密后形成的憑證文檔,包括三個部分:需加時間戳的文件的摘要;DTS收到文件的日期和時間;DTS的數(shù)字簽名�。
(6)數(shù)字憑證
數(shù)字憑證又稱為數(shù)字證書,是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限�。在網(wǎng)上的電子交易中,如雙方出示了各自的數(shù)字憑證���,并用它來進行交易操作�,那么雙方都可不必為對方身份的真?zhèn)螕?dān)心���。它包含:憑證擁有者的姓名; 憑證擁有者的公共密鑰;公共密鑰的有效期;頒發(fā)數(shù)字憑證的單位;數(shù)字憑證的序列號;頒發(fā)數(shù)字憑證單位的數(shù)字簽名���。
數(shù)字憑證有三種類型:個人憑證,企業(yè)(服務(wù)器)憑證��, 軟件(開發(fā)者)憑證。
2.Internet電子郵件的安全協(xié)議
(1)PEM:是增強Internet電子郵件隱秘性的標(biāo)準(zhǔn)草案��,它在Internet電子郵件的標(biāo)準(zhǔn)格式上增加了加密��、鑒別和密鑰管理的功能����,允許使用公開密鑰和專用密鑰的加密方式,并能夠支持多種加密工具�����。對于每個電子郵件報文可以在報文頭中規(guī)定特定的加密算法��、數(shù)字鑒別算法�、散列功能等安全措施。
(2)S/MIME:是在RFC1521所描述的多功能Internet電子郵件擴充報文基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一種協(xié)議��,目的是在MIME上定義安全服務(wù)措施的實施方式�。
(3)PEM-MIME:是將PEM和MIME兩者的特性進行了結(jié)合。
3.Internet主要的安全協(xié)議
(1)SSL:是向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別�����、數(shù)據(jù)完整性及信息機密性等安全措施��。該協(xié)議通過在應(yīng)用程序進行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的審查。在SSL握手信息中采用了DES���、MD5等加密技術(shù)來實現(xiàn)機密性和數(shù)據(jù)完整性��,并采用X.509的數(shù)字證書實現(xiàn)鑒別。
(2)S-HTTP:是對HTTP擴充安全特性�����、增加了報文的安全性���,它是基于SSL技術(shù)的����。該協(xié)議向WWW的應(yīng)用提供完整性����、鑒別、不可抵賴性及機密性等安全措施�。
(3)STT: STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力��。
(4)SET:主要文件是SET業(yè)務(wù)描述�����、SET程序員指南和SET協(xié)議描述。SET 1.0版己經(jīng)公布并可應(yīng)用于任何銀行支付服務(wù)����。它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密����、資料完整及數(shù)據(jù)認證、數(shù)據(jù)簽名等����。
SET規(guī)范明確的主要目標(biāo)是保障付款安全,確定應(yīng)用之互通性�����,并使全球市場接受��。
4.UN/EDIFACT的安全
UN/EDIFACT報文是唯一的國際通用的EDI標(biāo)準(zhǔn)���。利用Internet進行EDI己成為人們?nèi)找骊P(guān)注的領(lǐng)域��,保證EDI的安全成為主要解決的問題�����。
5.虛擬專用網(wǎng)(VPN)
它可以在兩個系統(tǒng)之間建立安全的信道(或隧道)����,用于電子數(shù)據(jù)交換。它與信用卡交易和客戶發(fā)送訂單交易不同�,因為在VPN中,雙方的數(shù)據(jù)通信量要大得多����,而且通信的雙方彼此都很熟悉���。這意味著可以使用復(fù)雜的專用加密和認證技術(shù)�,只要通信的雙方默認即可�,沒有必要為所有的VPN進行統(tǒng)一的加密和認證。
6.數(shù)字認證
用電子方式證明信息發(fā)送者和接收者的身份��、文件的完整性(如一張發(fā)票未被修改過)�����,甚至數(shù)據(jù)媒體的有效性(如錄音��、照片等)。目前�,數(shù)字認證一般都通過單向Hash函數(shù)來實現(xiàn),它可以驗證交易雙方數(shù)據(jù)的完整性����,
7.認證中心(CA)
CA的基本功能是:
生成和保管符合安全認證協(xié)議要求的公共和私有密鑰、數(shù)字證書及其數(shù)字簽名�。
對數(shù)字證書和數(shù)字簽名進行驗證。
對數(shù)字證書進行管理����,重點是證書的撤消管理,同時追求實施自動管理����。
建立應(yīng)用接口,特別是支付接口���。CA是否具有支付接口是能否支持電子商務(wù)的關(guān)鍵���。
8.防火墻技術(shù)
防火墻具有以下五大基本功能:(1)過濾進、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進�����、出網(wǎng)絡(luò)的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內(nèi)容和活動;(5)對網(wǎng)絡(luò)攻擊進行檢測和告警。
目前的防火墻主要有兩種類型�����。其一是包過濾型防火墻����,其二是應(yīng)用級防火墻。
9.入侵檢測
入侵檢測技術(shù)是防火墻技術(shù)的合理補充���,其主要內(nèi)容有:入侵手段與技術(shù)�、分布式入侵檢測技術(shù)�����、智能入侵檢測技術(shù)以及集成安全防御方案等�����。
四�����、電子商務(wù)網(wǎng)站安全體系與安全措施
一個全方位的計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全����、訪問控制安全、系統(tǒng)安全���、用戶安全���、信息加密、安全傳輸和管理安全等���。充分利用各種先進的主機安全技術(shù)����、身份認證技術(shù)���、訪問控制技術(shù)�����、密碼技術(shù)���、防火墻技術(shù)、安全審計技術(shù)��、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)����、黑客跟蹤技術(shù),在攻擊者和受保護的資源間建立多道嚴密的安全防線���,極大地增加了惡意攻擊的難度��,并增加了審核信息的數(shù)量����,利用這些審核信息可以跟蹤入侵者��。
1.采取特殊措施以保證電子商務(wù)之可靠性��、可用性及安全性
使用容錯計算機系統(tǒng)或創(chuàng)造高可用性的計算機環(huán)境�����,以確保信息系統(tǒng)保持可用及不間斷動作���。災(zāi)害復(fù)原計劃提供一套程序與設(shè)備來重建被中斷的計算與通信服務(wù)。當(dāng)組織利用企業(yè)內(nèi)部網(wǎng)或因特網(wǎng)時�,防火墻和入侵偵測系統(tǒng)協(xié)助防衛(wèi)專用網(wǎng)絡(luò)避免未授權(quán)者的存取���。加密是一種廣泛使用的技術(shù)來確保因特網(wǎng)上傳輸?shù)陌踩?shù)字證書可確認使用者的身份�,提供了電子交易更進一步的保護。
2.實施網(wǎng)絡(luò)安全防范措施
首先要加強主機本身的安全���,做好安全配置����,及時安裝安全補丁程序�����,減少漏洞��;
其次要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進行掃描分析�����,找出可能存在的安全隱患���,并及時加以修補����;從路由器到用戶各級建立完善的訪問控制措施,安裝防火墻����,加強授權(quán)管理和認證;利用RAID5等數(shù)據(jù)存儲技術(shù)加強數(shù)據(jù)備份和恢復(fù)措施;對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施���;對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M行強度的數(shù)據(jù)加密�;安裝防病毒軟件�,加強內(nèi)部網(wǎng)的整體防病毒措施;建立詳細的安全審計日志����,以便檢測并跟蹤入侵攻擊等。
3.電子商務(wù)交易中的安全措施
在早期的電子交易中����,曾采用過安全措施有:部分告知;另行確認����;在線服務(wù)等。這些方法均有一定的局限性���,且操作麻煩�,不能實現(xiàn)真正的安全可靠性�。近年來,針對電子交易安全的要求����,IT業(yè)界與金融行業(yè)一起,推出不少有效的安全交易標(biāo)準(zhǔn)和技術(shù)�����,正如上述所列的九種技術(shù)��。
另外�����,還可以選擇一些加密產(chǎn)品和系統(tǒng)��。如:PGP for Group Wise���、File Lock Series�����、Point`n Crypt World��、PrivaSuite�、Crypt?��?梢詫崿F(xiàn)加密����、簽名和認證���。訪問控制類產(chǎn)品��。如:SunScreen�����、WebST安全平臺����、HP Preaesidium 授權(quán)服務(wù)器����、NetKey網(wǎng)絡(luò)安全認證系統(tǒng)�、Cisco NetRanger等���。這些產(chǎn)品的功能可以提供對口令字的管理和控制功能;防止入侵者對口令字的探測��;監(jiān)測用戶對某一分區(qū)或域的存?����?����;提供系統(tǒng)主體對客體訪問權(quán)限的控制����。
篇11
一、引言
電子商務(wù)的發(fā)展前景十分誘人����,而其安全問題也變得越來越突出,如何建立一個安全��、便捷的電子商務(wù)應(yīng)用環(huán)境����,對信息提供足夠的保護����,已經(jīng)成為商家和用戶都十分關(guān)心的話題�。
二、電子商務(wù)存在的安全問題
1.計算機網(wǎng)絡(luò)安全
(1)潛在的安全隱患��。未進行操作系統(tǒng)相關(guān)安全配置��。不論采用什么操作系統(tǒng)�����,在缺省安裝的條件下都會存在一些安全問題��,只有專門針對操作系統(tǒng)安全性進行相關(guān)的和嚴格的安全配置���,才能達到一定的安全程度��。
(2)未進行CGI程序代碼審計��。網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序���,很多存在嚴重的CGI問題���,對于電子商務(wù)站點來說,會出現(xiàn)惡意攻擊者冒用他人賬號進行網(wǎng)上購物等嚴重后果���。
(3)安全產(chǎn)品使用不當(dāng)�。由于一些網(wǎng)絡(luò)安全設(shè)備本身的問題或使用問題�����,這些產(chǎn)品并沒有起到應(yīng)有的作用����。很多廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高���,超出對普通網(wǎng)管人員的技術(shù)要求�����,就算是廠家在最初給用戶做了正確的安裝��、配置�,但系統(tǒng)改動����,在改動相關(guān)安全產(chǎn)品的設(shè)置時����,很容易產(chǎn)生許多安全問題�。
(4)缺少嚴格的網(wǎng)絡(luò)安全管理制度
網(wǎng)絡(luò)安全最重要的還是要思想上高度重視,網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障����。建立和實施嚴密的計算機網(wǎng)絡(luò)安全制度與策略是真正實現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。
2.商務(wù)交易安全
(1)竊取信息�����。由于未采用加密措施���,信息在網(wǎng)絡(luò)上以明文形式傳送����,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息�。通過多次竊取和分析,可以找到信息的規(guī)律和格式�,進而得到傳輸信息的內(nèi)容,造成網(wǎng)上傳輸信息泄密。
(2)篡改信息�。當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過各種技術(shù)手段和方法�����,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改��,然后再發(fā)向目的地����。
(3)假冒。由于掌握了數(shù)據(jù)的格式�����,并可以篡改通過的信息��,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息�����,而遠端用戶通常很難分辨�。
(4)惡意破壞�����。由于攻擊者可以接入網(wǎng)絡(luò),則可能對網(wǎng)絡(luò)中的信息進行修改����,掌握網(wǎng)上的機要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部�,其后果是非常嚴重的。
三����、電子商務(wù)安全技術(shù)
1.加密技術(shù)
(1)對稱加密/對稱密鑰加密/專用密鑰加密
該方法對信息的加密和解密都使用相同的密鑰。使用對稱加密方法將簡化加密的處理�,每個貿(mào)易方都不必彼此研究和交換專用的加密算法而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露����,那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。
(2)非對稱加密/公開密鑰加密
這種加密體系中��,密鑰被分解為一對��。這對密鑰中的任何一把都可作為公開密鑰通過非保密方式向他人公開��,而另一把則作為專用密鑰加以保存��。公開密鑰用于對機密性的加密,專用密鑰則用于對加密信息的解密��。專用密鑰只能由生成密鑰對的貿(mào)易方掌握��,公開密鑰可廣泛�����,但它只對應(yīng)于生成該密鑰的貿(mào)易方�。
(3)數(shù)字摘要
該方法亦稱安全Hash編碼法或MD5。采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文��,即數(shù)字指紋��,它有固定的長度���,且不同的明文摘要成密文,其結(jié)果總是不同的�,而同樣的明文其摘要必定一致。這摘要便可成為驗證明文是否是“真身”的“指紋”了��。
(4)數(shù)字簽名
信息是由簽名者發(fā)送的;信息在傳輸過程中未曾作過任何修改����。這樣數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽;或冒用別人名義發(fā)送信息;或發(fā)出(收到)信件后又加以否認等情況發(fā)生�。
(5)數(shù)字時間戳
它是一個經(jīng)加密后形成的憑證文檔,包括三個部分:需加時間戳的文件的摘要;DTS收到文件的日期和時間;DTS的數(shù)字簽名�����。
(6)數(shù)字憑證
數(shù)字憑證又稱為數(shù)字證書�����,是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限�。在網(wǎng)上的電子交易中,如雙方出示了各自的數(shù)字憑證����,并用它來進行交易操作,那么雙方都可不必為對方身份的真?zhèn)螕?dān)心�。它包含:憑證擁有者的姓名; 憑證擁有者的公共密鑰;公共密鑰的有效期;頒發(fā)數(shù)字憑證的單位;數(shù)字憑證的序列號;頒發(fā)數(shù)字憑證單位的數(shù)字簽名。
數(shù)字憑證有三種類型:個人憑證����,企業(yè)(服務(wù)器)憑證, 軟件(開發(fā)者)憑證�。
2.Internet電子郵件的安全協(xié)議
(1)PEM:是增強Internet電子郵件隱秘性的標(biāo)準(zhǔn)草案,它在Internet電子郵件的標(biāo)準(zhǔn)格式上增加了加密���、鑒別和密鑰管理的功能��,允許使用公開密鑰和專用密鑰的加密方式���,并能夠支持多種加密工具��。對于每個電子郵件報文可以在報文頭中規(guī)定特定的加密算法���、數(shù)字鑒別算法、散列功能等安全措施�����。
(2)S/MIME:是在RFC1521所描述的多功能Internet電子郵件擴充報文基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一種協(xié)議�����,目的是在MIME上定義安全服務(wù)措施的實施方式���。
(3)PEM-MIME:是將PEM和MIME兩者的特性進行了結(jié)合。
3.Internet主要的安全協(xié)議
(1)SSL:是向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別��、數(shù)據(jù)完整性及信息機密性等安全措施�。該協(xié)議通過在應(yīng)用程序進行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的審查���。在SSL握手信息中采用了DES、MD5等加密技術(shù)來實現(xiàn)機密性和數(shù)據(jù)完整性��,并采用X.509的數(shù)字證書實現(xiàn)鑒別����。
(2)S-HTTP:是對HTTP擴充安全特性、增加了報文的安全性���,它是基于SSL技術(shù)的�。該協(xié)議向WWW的應(yīng)用提供完整性��、鑒別����、不可抵賴性及機密性等安全措施。
(3)STT: STT將認證和解密在瀏覽器中分離開�,用以提高安全控制能力。
(4)SET:主要文件是SET業(yè)務(wù)描述����、SET程序員指南和SET協(xié)議描述。SET 1.0版己經(jīng)公布并可應(yīng)用于任何銀行支付服務(wù)����。它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定�、信息保密���、資料完整及數(shù)據(jù)認證�����、數(shù)據(jù)簽名等��。
SET規(guī)范明確的主要目標(biāo)是保障付款安全����,確定應(yīng)用之互通性���,并使全球市場接受����。
4.UN/EDIFACT的安全
UN/EDIFACT報文是唯一的國際通用的EDI標(biāo)準(zhǔn)���。利用Internet進行EDI己成為人們?nèi)找骊P(guān)注的領(lǐng)域���,保證EDI的安全成為主要解決的問題。
5.虛擬專用網(wǎng)(VPN)
它可以在兩個系統(tǒng)之間建立安全的信道(或隧道)�,用于電子數(shù)據(jù)交換。它與信用卡交易和客戶發(fā)送訂單交易不同��,因為在VPN中�,雙方的數(shù)據(jù)通信量要大得多,而且通信的雙方彼此都很熟悉�����。這意味著可以使用復(fù)雜的專用加密和認證技術(shù)����,只要通信的雙方默認即可,沒有必要為所有的VPN進行統(tǒng)一的加密和認證�����。
6.數(shù)字認證
用電子方式證明信息發(fā)送者和接收者的身份�、文件的完整性(如一張發(fā)票未被修改過),甚至數(shù)據(jù)媒體的有效性(如錄音�����、照片等)���。目前�,數(shù)字認證一般都通過單向Hash函數(shù)來實現(xiàn),它可以驗證交易雙方數(shù)據(jù)的完整性���,
7.認證中心(CA)
CA的基本功能是:
生成和保管符合安全認證協(xié)議要求的公共和私有密鑰��、數(shù)字證書及其數(shù)字簽名�。
對數(shù)字證書和數(shù)字簽名進行驗證�。
對數(shù)字證書進行管理,重點是證書的撤消管理���,同時追求實施自動管理����。
建立應(yīng)用接口���,特別是支付接口����。CA是否具有支付接口是能否支持電子商務(wù)的關(guān)鍵����。
8.防火墻技術(shù)
防火墻具有以下五大基本功能:(1)過濾進�、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進�、出網(wǎng)絡(luò)的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內(nèi)容和活動;(5)對網(wǎng)絡(luò)攻擊進行檢測和告警。
目前的防火墻主要有兩種類型�。其一是包過濾型防火墻�����,其二是應(yīng)用級防火墻�����。
9.入侵檢測
入侵檢測技術(shù)是防火墻技術(shù)的合理補充���,其主要內(nèi)容有:入侵手段與技術(shù)����、分布式入侵檢測技術(shù)����、智能入侵檢測技術(shù)以及集成安全防御方案等。
四����、電子商務(wù)網(wǎng)站安全體系與安全措施
一個全方位的計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全��、訪問控制安全���、系統(tǒng)安全、用戶安全����、信息加密、安全傳輸和管理安全等���。充分利用各種先進的主機安全技術(shù)�、身份認證技術(shù)�、訪問控制技術(shù)、密碼技術(shù)�、防火墻技術(shù)、安全審計技術(shù)����、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)�����、黑客跟蹤技術(shù),在攻擊者和受保護的資源間建立多道嚴密的安全防線��,極大地增加了惡意攻擊的難度�,并增加了審核信息的數(shù)量,利用這些審核信息可以跟蹤入侵者�。
1.采取特殊措施以保證電子商務(wù)之可靠性、可用性及安全性
使用容錯計算機系統(tǒng)或創(chuàng)造高可用性的計算機環(huán)境��,以確保信息系統(tǒng)保持可用及不間斷動作����。災(zāi)害復(fù)原計劃提供一套程序與設(shè)備來重建被中斷的計算與通信服務(wù)�。當(dāng)組織利用企業(yè)內(nèi)部網(wǎng)或因特網(wǎng)時,防火墻和入侵偵測系統(tǒng)協(xié)助防衛(wèi)專用網(wǎng)絡(luò)避免未授權(quán)者的存取�����。加密是一種廣泛使用的技術(shù)來確保因特網(wǎng)上傳輸?shù)陌踩?。?shù)字證書可確認使用者的身份,提供了電子交易更進一步的保護����。
2.實施網(wǎng)絡(luò)安全防范措施
首先要加強主機本身的安全,做好安全配置����,及時安裝安全補丁程序���,減少漏洞;
其次要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進行掃描分析�,找出可能存在的安全隱患,并及時加以修補�����;從路由器到用戶各級建立完善的訪問控制措施�,安裝防火墻,加強授權(quán)管理和認證;利用RAID5等數(shù)據(jù)存儲技術(shù)加強數(shù)據(jù)備份和恢復(fù)措施����;對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施;對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M行強度的數(shù)據(jù)加密��;安裝防病毒軟件���,加強內(nèi)部網(wǎng)的整體防病毒措施���;建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等���。
3.電子商務(wù)交易中的安全措施
在早期的電子交易中���,曾采用過安全措施有:部分告知�;另行確認��;在線服務(wù)等���。這些方法均有一定的局限性����,且操作麻煩���,不能實現(xiàn)真正的安全可靠性。近年來���,針對電子交易安全的要求��,IT業(yè)界與金融行業(yè)一起�����,推出不少有效的安全交易標(biāo)準(zhǔn)和技術(shù)���,正如上述所列的九種技術(shù)����。
