序論:好文章的創(chuàng)作是一個(gè)不斷探索和完善的過(guò)程,我們?yōu)槟扑]十篇電子商務(wù)安全策略范例,希望它們能助您一臂之力����,提升您的閱讀品質(zhì)�,帶來(lái)更深刻的閱讀感受�。
篇(1)
隨著Internet和IT技術(shù)的迅猛發(fā)展�,電子商務(wù)因其自身獨(dú)有的特點(diǎn)與優(yōu)勢(shì),逐漸成為進(jìn)行商務(wù)活動(dòng)的新模式,在人們的生活中也占據(jù)著日益重要的地位,但其安全問(wèn)題也變得越來(lái)越突出�。如何建立一個(gè)安全����、快捷�、便利的電子商務(wù)應(yīng)用環(huán)境,對(duì)信息在網(wǎng)絡(luò)上的傳輸提供足夠的保護(hù),已成為商家和用戶都非常關(guān)心的話題��。
一�、電子商務(wù)的定義
電子商務(wù)(E-business)是利用當(dāng)前先進(jìn)的電子技術(shù)從事各種商業(yè)活動(dòng)的方式,其實(shí)質(zhì)是一套完整的網(wǎng)絡(luò)商務(wù)經(jīng)營(yíng)及管理信息系統(tǒng)�����。更具體地說(shuō)�����,它是利用計(jì)算機(jī)硬/軟件設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施,通過(guò)一定協(xié)議連接起來(lái)的電子網(wǎng)絡(luò)環(huán)境進(jìn)行各種商務(wù)活動(dòng)的方式�。比如:網(wǎng)上銀行、網(wǎng)上營(yíng)銷�����、網(wǎng)上客戶服務(wù)��、網(wǎng)上調(diào)查等����。
二、電子商務(wù)的基本特征
1.電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化��、數(shù)字化���,減少了人力、物力�,降低了成本,具有開(kāi)放性和全球性的特點(diǎn)��,為企業(yè)創(chuàng)造了更多的貿(mào)易機(jī)會(huì)�����。
2.電子商務(wù)重新定義了傳統(tǒng)的流通模式���,減少了中間環(huán)節(jié),使生產(chǎn)者和消費(fèi)者不用謀面的網(wǎng)上交易成為可能�,從而在一定程度上改變了社會(huì)經(jīng)濟(jì)運(yùn)行的方式���、經(jīng)濟(jì)布局和結(jié)構(gòu)。
3.電子商務(wù)一方面突破了時(shí)間和空間的限制��,另一方面又提供了豐富的信息資源,為各種社會(huì)經(jīng)濟(jì)要素的重新組合提供了更多的可能���,使得交易活動(dòng)可以在任何時(shí)間����、任何地點(diǎn)進(jìn)行����,從而大幅度提高了效率����。
可見(jiàn)����,電子商務(wù)的一個(gè)重要技術(shù)特征是利用網(wǎng)絡(luò)技術(shù)和IT技術(shù)來(lái)傳輸和處理商業(yè)信息的�����。就整個(gè)系統(tǒng)而言,其安全性可以分為四個(gè)層次�。(1)網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。(2)通訊的安全性����。(3)應(yīng)用程序的安全性。(4)用戶的認(rèn)證管理�。
三、網(wǎng)絡(luò)節(jié)點(diǎn)的安全性
1.防火墻的概念��。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過(guò)程中�,防火墻作為第一道安全防線,受到越來(lái)越多用戶的關(guān)注與青睞��。防火墻是一個(gè)系統(tǒng)����,主要用來(lái)執(zhí)行Internet(外部網(wǎng))和Intranet(內(nèi)聯(lián)網(wǎng))之間的訪問(wèn)控制策略。它可為各類企業(yè)網(wǎng)絡(luò)提供必要的訪問(wèn)控制����,又不造成網(wǎng)絡(luò)的瓶頸,并通過(guò)安全策略控制進(jìn)出系統(tǒng)的數(shù)據(jù)���,保護(hù)企業(yè)資源�。
2.防火墻安全策略。防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)不被竊取和破壞��,并記錄內(nèi)外通信的有關(guān)狀態(tài)信息日志���,如通信發(fā)生的時(shí)間和進(jìn)行的操作等���。新一代的防火墻甚至可以阻止內(nèi)部人員將敏感數(shù)據(jù)向外傳輸。設(shè)置了防火墻后��,可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)實(shí)現(xiàn)有效的管理:如允許公司員工使用電子郵件����、Web瀏覽以及文件傳輸?shù)确?wù),但不允許外界隨意訪問(wèn)公司內(nèi)部的計(jì)算機(jī)����,同樣還可以限制公司中不同部門之間的互相訪問(wèn)。
可見(jiàn)��,防火墻不僅僅是路由器����、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備組合���,它還是安全策略的一個(gè)重要組成部分��,其安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源���,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問(wèn)�、服務(wù)訪問(wèn)����、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出�、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施及管理制度等��。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣的安全級(jí)別加以保護(hù)�。僅設(shè)置防火墻系統(tǒng),而沒(méi)有全面����、細(xì)致的安全策略,那么防火墻就形同虛設(shè)�。
3.安全操作系統(tǒng)。安全的操作系統(tǒng)至少要有以下特征:(1)最小特權(quán)原則,即每個(gè)特權(quán)用戶只擁有能進(jìn)行其工作的權(quán)力���。(2)強(qiáng)制訪問(wèn)控制�����,包括保密性訪問(wèn)控制和完整性訪問(wèn)控制�。(3)安全審計(jì)和審計(jì)管理。(4)安全域隔離����。
其次,防火墻是基于操作系統(tǒng)的���,如果信息通過(guò)操作系統(tǒng)的后門繞過(guò)防火墻進(jìn)入內(nèi)部網(wǎng)��,則防火墻就不起作用了�??梢?jiàn),安全是一個(gè)系統(tǒng)工程��,操作系統(tǒng)安全只是其中的一個(gè)層次����,還需要各個(gè)環(huán)節(jié)的配合,安全操作系統(tǒng)應(yīng)該與各種安全軟�����、硬件結(jié)合起來(lái)(如防火墻、殺毒軟件��、加密產(chǎn)品等)�����,才能讓電子商務(wù)得到更廣泛的應(yīng)用�����,確保系統(tǒng)信息的安全達(dá)到最佳狀態(tài)���。
四、網(wǎng)絡(luò)通信的安全性
1.數(shù)據(jù)通信的安全����。電子商務(wù)系統(tǒng)的數(shù)據(jù)通信主要存在于:(1)客戶瀏覽器端與電子商務(wù)WEB服務(wù)器端的通訊。(2)電子商務(wù)WEB服務(wù)器與電子商務(wù)數(shù)據(jù)庫(kù)服務(wù)器的通訊����。
2.通信鏈路的安全。在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL(Secure Electronic Transaction,安全電子交易)協(xié)議建立安全鏈接����,所需傳遞的重要信息都是經(jīng)過(guò)加密的�����,這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全��。為在瀏覽器和服務(wù)器之間建立安全機(jī)制�,SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書����,證書包括一個(gè)公鑰,由證書授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)�。瀏覽器要驗(yàn)征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)���。單純的建立SSL鏈接時(shí)����,客戶只需用戶下載該站點(diǎn)的服務(wù)器證書�。若驗(yàn)證此證書是合法的服務(wù)器證書,再利用該證書對(duì)稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰�,然后用此對(duì)稱算法加密將要傳輸?shù)拿魑模藭r(shí)瀏覽器也會(huì)出現(xiàn)進(jìn)入安全狀態(tài)的提示����。
五����、應(yīng)用程序的安全性
即使正確地配置了訪問(wèn)控制規(guī)則�����,要滿足計(jì)算機(jī)系統(tǒng)的安全性�����,這些工作還是不充分的����,因?yàn)榫幊体e(cuò)誤也可能導(dǎo)致對(duì)系統(tǒng)的破壞與攻擊����。
程序錯(cuò)誤的常見(jiàn)形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員在處理字符串的內(nèi)存緩沖時(shí)�,忘記檢查邊界條件。整個(gè)程序都是在特權(quán)模式下運(yùn)行�,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可����。程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源�����,如一個(gè)文件和目錄��,但不是顯式的設(shè)置訪問(wèn)控制(最少許可)���。若程序員認(rèn)為這個(gè)缺省的許可是正確的,則這些缺點(diǎn)就可能被用到攻擊系統(tǒng)的行為中�����,不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情���。
緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的����,程序不檢查輸入字符串長(zhǎng)度��。輸入假字符串常常是可執(zhí)行的命令��,特權(quán)程序可以執(zhí)行指令�。
六�����、用戶的認(rèn)證管理
1.身份認(rèn)證�。開(kāi)展電子商務(wù)的關(guān)鍵核心技術(shù)是保密存儲(chǔ)與取出�。電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書與IC卡相結(jié)合來(lái)實(shí)現(xiàn)。CA證書用來(lái)認(rèn)證服務(wù)器的身份�����,IC卡用來(lái)認(rèn)證企業(yè)用戶的身份��。個(gè)人用戶由于沒(méi)有提供交易功能���,所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。由于指紋具有惟一性���,目前���,指紋認(rèn)證與網(wǎng)絡(luò)傳輸便廣泛的應(yīng)用于銀行專用網(wǎng)、企業(yè)營(yíng)銷網(wǎng)等各種商貿(mào)網(wǎng)絡(luò)�����,使電子商務(wù)具有更現(xiàn)實(shí)的可操作性。
2.CA證書���。CA(Certificate Authority�����,即“認(rèn)證機(jī)構(gòu)”)��,是證書的簽發(fā)機(jī)構(gòu)��,它是PKI(Public Key Infrastructure����,即“公開(kāi)密鑰體系”)的核心���。它要制定政策和具體步驟來(lái)驗(yàn)證�、識(shí)別用戶身份�,并對(duì)用戶證書進(jìn)行簽名,以確保證書持有者的身份和公鑰的擁有權(quán)�����。要在網(wǎng)上確認(rèn)交易各方的身份及保證交易的不可否認(rèn)性����,便需要CA證書進(jìn)行驗(yàn)證�����。證書分為服務(wù)器證書和個(gè)人證書��。建立SSL安全鏈接不需要一定有個(gè)人證書�,驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份����。
CA也擁有一個(gè)證書(內(nèi)含公鑰)和私鑰。網(wǎng)上的公眾用戶通過(guò)驗(yàn)證CA的簽字從而信任CA��,任何人都可以得到CA的證書(含公鑰)�����,用以驗(yàn)證它所簽發(fā)的證書��。如果用戶想得到一份屬于自己的證書����,應(yīng)先向CA提出申請(qǐng)��。在CA判明申請(qǐng)者的身份后,便為其分配一個(gè)公鑰���,并且CA將該公鑰與申請(qǐng)者的身份信息綁在一起�,為之簽字后����,便形成證書發(fā)給申請(qǐng)者。如果一個(gè)用戶想鑒別另一個(gè)證書的真?zhèn)?����,可用CA的公鑰對(duì)那個(gè)證書上的簽字進(jìn)行驗(yàn)證��,一旦驗(yàn)證通過(guò)�����,該證書就被認(rèn)為是有效的��。
七����、建立安全管理機(jī)制
為了確保系統(tǒng)的安全性,除了采用上述技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制��。對(duì)于所有接觸系統(tǒng)的人員���,應(yīng)按其職責(zé)設(shè)定其訪問(wèn)系統(tǒng)的最小權(quán)限�����。
按照分級(jí)管理原則���,嚴(yán)格管理內(nèi)部用戶賬號(hào)和密碼,進(jìn)入系統(tǒng)內(nèi)部必須通過(guò)嚴(yán)格的身份確認(rèn)�,防止非法占用、冒用合法用戶賬號(hào)和密碼����。建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件���,有情況出現(xiàn)時(shí)便于跟蹤查詢。定期檢查日志�����,以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。對(duì)重要數(shù)據(jù)要及時(shí)進(jìn)行備份���。對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù)�����,數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)根據(jù)其重要性提供不同級(jí)別的數(shù)據(jù)加密�����。安全管理實(shí)際上是一種風(fēng)險(xiǎn)管理����,任何措施都不能保證百分之百的安全���。但安全技術(shù)的采用可降低系統(tǒng)遭到破壞����、攻擊的風(fēng)險(xiǎn)���,決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)��。隨著全球經(jīng)濟(jì)一體化進(jìn)程的加快���,尤其是Internet技術(shù)���、IT技術(shù)的迅猛發(fā)展及廣泛應(yīng)用,我們的社會(huì)也已融入到電子商務(wù)時(shí)代的氣息當(dāng)中��,這是一個(gè)“以客戶為中心”的時(shí)代���,企業(yè)的市場(chǎng)營(yíng)銷及貿(mào)易往來(lái)都必須圍繞這個(gè)中心來(lái)進(jìn)行��。只有保證電子商務(wù)各個(gè)環(huán)節(jié)��、各個(gè)方面的安全性與穩(wěn)定性�����,才能為其正常運(yùn)作提供有力的保證�����,才能為其自身迎來(lái)更廣闊的前景�。
篇(2)
一����、引言
當(dāng)前的電子商務(wù)是指通過(guò)電子方式的商務(wù)活動(dòng)。它作為一種全新的業(yè)務(wù)和服務(wù)方式�,為全球客戶提供了豐富的商務(wù)信息、便捷的交易過(guò)程和廉價(jià)的交易成本���。但是�,電子商務(wù)給人們帶來(lái)方便的同時(shí)��,也把人們引入安全憂慮之中����。買方擔(dān)心在網(wǎng)絡(luò)上傳輸?shù)男庞每皞€(gè)人資料被截取���;賣方則擔(dān)心收到的是被盜用的信用卡號(hào)碼��,或是交易不認(rèn)賬等�����,這些存在的安全漏洞問(wèn)題已成為阻礙網(wǎng)上交易發(fā)展的首要問(wèn)題����。相對(duì)于傳統(tǒng)商務(wù)���,電子商務(wù)對(duì)管理機(jī)制�����、實(shí)施平臺(tái)和信息傳遞技術(shù)都提出了更高的要求����,其中安全體系的構(gòu)建尤為顯得重要,已成為電子商務(wù)能否得到進(jìn)一步發(fā)展和推廣的關(guān)鍵所在�。
二、電子商務(wù)安全體系結(jié)構(gòu)
1.電子商務(wù)中存在的安全隱患和威脅
Internet是電子商務(wù)實(shí)現(xiàn)的網(wǎng)絡(luò)基礎(chǔ)�����,它采用TCP/IP完成不同網(wǎng)絡(luò)與不同計(jì)算機(jī)之間的通信�����,正是由于這些特點(diǎn)��,使它給電子商務(wù)帶來(lái)了很多的安全問(wèn)題����。Internet的安全隱患主要體現(xiàn)在四個(gè)方面。
開(kāi)放性和資源共享是Internet的主要優(yōu)點(diǎn)�����,但它帶來(lái)的問(wèn)題卻不容忽視。因?yàn)楫?dāng)甲方在很容易的訪問(wèn)乙方時(shí)�,如果沒(méi)有采取任何措施�����,乙方同樣很容易的訪問(wèn)甲方的計(jì)算機(jī)��。
Internet采用的協(xié)議TCP/IP并未采用任何措施來(lái)保護(hù)傳輸內(nèi)容不被竊取��。它是一種包交換網(wǎng)絡(luò)��,每個(gè)數(shù)據(jù)包在網(wǎng)絡(luò)上都是透明傳輸?shù)?����,并且可能?jīng)過(guò)不同的網(wǎng)絡(luò)��,由路由器轉(zhuǎn)發(fā)到達(dá)目的計(jì)算機(jī)�����。數(shù)據(jù)在傳輸過(guò)程中可能會(huì)遭到IP窺探���、同步信號(hào)淹沒(méi)��、TCP會(huì)話竊聽(tīng)���、復(fù)位與結(jié)束信號(hào)攻擊等威脅��。
Internet底層的操作系統(tǒng)如UNIX����,由于源代碼的公開(kāi)����,很容易發(fā)現(xiàn)漏洞,給Internet用戶帶來(lái)安全問(wèn)題���。
相比較傳統(tǒng)信函���,電子化信息就缺乏可信度,電子信息是否準(zhǔn)確很難由其本身來(lái)鑒別��。在Internet上傳遞電子信息時(shí)�����,難以確認(rèn)信息發(fā)送者及信息是否被正確無(wú)誤地傳遞給對(duì)方。
由于Internet存在上述安全隱患�����,將給電子商務(wù)帶來(lái)如下的安全威脅�����。
由于非法入侵�����,造成商務(wù)信息被纂改�����、竊取或丟失��。
商業(yè)機(jī)密在傳輸過(guò)程中被第三方獲悉����,被惡意破壞��。
虛假身份的交易對(duì)象及虛假訂單�、合同���。
貿(mào)易對(duì)象的抵賴。
由計(jì)算機(jī)系統(tǒng)故障造成的對(duì)交易過(guò)程和商業(yè)信息安全的破壞���。
綜上所述����,電子商務(wù)面臨多方面的威脅���,存在許多安全隱患�。
2.電子商務(wù)的安全性內(nèi)容
要使電子商務(wù)健康�����、順利發(fā)展�,必須解決好以下幾種關(guān)鍵的安全性要求。
(1)保證信息的保密性和完整性��。在交易過(guò)程中必須保證信息不被非授權(quán)用戶竊取��,數(shù)據(jù)在輸入和傳輸過(guò)程中能保證數(shù)據(jù)的一致性��。
(2)不可否認(rèn)性。它是指信息發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息����,接收方也不可否認(rèn)已經(jīng)收到的信息。
(3)真實(shí)性��。商務(wù)活動(dòng)交易雙方身份是真實(shí)的��,不是假冒的�,不存在的。
(4)系統(tǒng)的可靠性與內(nèi)部網(wǎng)絡(luò)的嚴(yán)密性��。在計(jì)算機(jī)失效��、程序錯(cuò)誤���、傳輸錯(cuò)誤、硬件各種及計(jì)算機(jī)病毒等潛在威脅下���,有容錯(cuò)處理機(jī)制����、數(shù)據(jù)恢復(fù)能力����,確保系統(tǒng)安全���、可靠。對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)而言����,要保證內(nèi)部網(wǎng)絡(luò)不被入侵。
3.電子商務(wù)安全技術(shù)體系結(jié)構(gòu)
電子商務(wù)的安全技術(shù)體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個(gè)完整邏輯結(jié)構(gòu)���,如圖所示�。其中�����,下層是上層的基礎(chǔ)�����,為上層提供技術(shù)支持���。上層是下層的擴(kuò)展與遞增�����。各層相互聯(lián)系���、相互依賴的構(gòu)成一個(gè)整體���。通過(guò)不同的安全控制技術(shù),實(shí)現(xiàn)各層的安全策略�����,有效保證了電子商務(wù)系統(tǒng)的安全���。
三���、電子商務(wù)的安全技術(shù)
1.防火墻技術(shù)
防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過(guò)濾封裝機(jī)制,內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的���,而外部網(wǎng)絡(luò)(通常指Internet)被認(rèn)為是不安全和不可信賴的。防火墻的主要目的是防止不希望的���、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)�,通過(guò)邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略���。
防火墻的主要技術(shù)有包過(guò)濾技術(shù)�、服務(wù)器技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和狀態(tài)檢測(cè)包過(guò)濾技術(shù)�����,現(xiàn)在最常用的是狀態(tài)檢測(cè)包過(guò)濾技術(shù)���。狀態(tài)檢測(cè)防火墻對(duì)每個(gè)合法網(wǎng)絡(luò)連接保存的信息包括源地址�、目的地址����、協(xié)議類型、協(xié)議相關(guān)信息����、連接狀態(tài)和超時(shí)時(shí)間等稱為狀態(tài)。通過(guò)狀態(tài)檢測(cè)�,可實(shí)現(xiàn)比簡(jiǎn)單包過(guò)濾防火墻具有更好的安全性。
2.加密技術(shù)
數(shù)字加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)����,主要是通過(guò)對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來(lái)保障安全性。利用加密技術(shù)���,可以將某些重要的信息和數(shù)據(jù)從一個(gè)可以理解的明文轉(zhuǎn)換為復(fù)雜的����、不可理解的密文形式,在線路上傳送或在數(shù)據(jù)庫(kù)中存儲(chǔ)����,其他用戶再將密文還原為明文。
3.信息摘要
密鑰加密技術(shù)只能解決信息的保密性問(wèn)題�,對(duì)信息的完整性則可以使用信息摘要技術(shù)來(lái)實(shí)現(xiàn)。信息摘要又稱為Hash算法����,是一種單向加密算法,其加密結(jié)果是不能解密的�����。通過(guò)Hash算法�,得到一個(gè)固定長(zhǎng)度(128位)的散列值,不同的原文產(chǎn)生的信息摘要必不相同��,相同的原文產(chǎn)生的信息摘要必定相同����。這樣,通過(guò)用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來(lái)的摘要比較��,若兩者相同則表示原文在傳輸過(guò)程中沒(méi)有被修改�����,否則說(shuō)明原文被修改過(guò)�����。
4.數(shù)字簽名
數(shù)字簽名是密鑰加密和信息摘要相結(jié)合的技術(shù)�,用于保證信息的完整性和不可否認(rèn)性。簽名機(jī)制的特征是該簽名只有通過(guò)簽名者的私有信息才能產(chǎn)生�,即一個(gè)簽名者的簽名只能惟一地由他自己生成。當(dāng)收發(fā)雙方發(fā)生爭(zhēng)議時(shí)�����,第三方就能根據(jù)消息上的數(shù)字簽名來(lái)裁定這條消息是否由發(fā)送方發(fā)出�,從而實(shí)現(xiàn)不可否認(rèn)服務(wù)。
5.數(shù)字時(shí)間戳
在電子交易中�,時(shí)間和簽名同等重要。數(shù)字時(shí)間戳是由專門機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項(xiàng)目�,用于證明信息發(fā)送的時(shí)間。
6.數(shù)字證書與CA認(rèn)證
由于電子商務(wù)在網(wǎng)絡(luò)中完成��,互相之間不見(jiàn)面,因此為了保證每個(gè)人及機(jī)構(gòu)都能惟一且被準(zhǔn)確無(wú)誤地識(shí)別�,就需要進(jìn)行身份認(rèn)證。身份認(rèn)證可以通過(guò)驗(yàn)證參與各方的數(shù)字證書來(lái)實(shí)現(xiàn)����,而數(shù)字證書是由認(rèn)證中心(CA)頒發(fā)的。
所謂CA(Certificate Authority:證書發(fā)行機(jī)構(gòu))�,是采用PKI(Public Key Infrastructure:公共密鑰體系)公開(kāi)密鑰基礎(chǔ)架構(gòu)技術(shù),專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)�����,負(fù)責(zé)簽發(fā)和管理數(shù)字證書�,具有權(quán)威性和公正性的第三方信任機(jī)構(gòu),其作用就像現(xiàn)實(shí)生活中頒發(fā)證件的機(jī)構(gòu)����。
四、電子商務(wù)安全交易標(biāo)準(zhǔn)
要實(shí)現(xiàn)安全的電子商務(wù)交易���,交易雙方必須遵照統(tǒng)一的安全標(biāo)準(zhǔn)協(xié)議����。當(dāng)前,電子商務(wù)的安全機(jī)制正走向成熟��,并逐漸形成了一些國(guó)際規(guī)范���,比較有代表性的有安全套接層協(xié)議SSL(Secure Sockets Layer)和安全電子交易協(xié)議SET(Secure Electronic Transaction)。
1.安全套接層協(xié)議SSL
SSL協(xié)議是由Netscape公司研制的安全協(xié)議���,SSL使用加密的方法建立一個(gè)安全的通信通道�����,以使客戶的信用卡號(hào)傳送給商家���,商家再將其轉(zhuǎn)發(fā)給銀行,銀行驗(yàn)證后在通知商家付款成功�����。該協(xié)議已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)��,微軟�����、IBM公司都提供基于這種簡(jiǎn)單加密模式的支付系統(tǒng)。
2.安全電子交易SET協(xié)議
SET協(xié)議向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實(shí)現(xiàn)安全措施的規(guī)則����。它是由Visa國(guó)際組織和MasterCard組織制定的,用于在Internet上進(jìn)行在線交易時(shí)保證信用卡支付安全的開(kāi)放性安全技術(shù)標(biāo)準(zhǔn)�。由于得到了微軟、IBM��、RAS公司的支持與參與�����,已成為工業(yè)事實(shí)上的標(biāo)準(zhǔn)�。
SET協(xié)議采用了RSA公私鑰加密系統(tǒng)、數(shù)字簽名����、數(shù)字證書認(rèn)證等技術(shù),保證了支付信息的保密性���、完整性和不可否認(rèn)性�。該協(xié)議提供了客戶���、商家和銀行之間的身份認(rèn)證����,而交易信息和客戶信用卡信息相互隔離,即商家只能獲取訂單信息����,銀行只能獲得持卡人信用卡支付信息�����,雙方互不干擾���,各去所需�,構(gòu)成了SET協(xié)議的主要特色�����,使得SET成為電子商務(wù)的安全規(guī)范�����。
3.SET����、SSL協(xié)議比較
(1)SET是一個(gè)專門的安全電子支付協(xié)議,而SSL本質(zhì)上是一個(gè)網(wǎng)絡(luò)安全協(xié)議,僅在雙方間建立起安全連接�。SET是一個(gè)多方的消息報(bào)文協(xié)議,定義了銀行���、商家和持卡人間必須符合的報(bào)文規(guī)范����,它比SSL在交易過(guò)程中的信任度更強(qiáng)����。
(2)SSL僅有商家的服務(wù)器需要認(rèn)證,客戶端只是選擇性認(rèn)證����;而SET在整個(gè)交易過(guò)程中都受到嚴(yán)密保護(hù),其安全性比SSL高�。
(3)SSL協(xié)議中若想進(jìn)行電子商務(wù)交易,只需通過(guò)瀏覽器實(shí)現(xiàn)��,設(shè)置成本低廉��,其交易只要幾十秒就可完成�����;SET盡管安全性高,但需要專門的軟件來(lái)實(shí)現(xiàn)���,客戶�����、商家改造成本高��,由于交易過(guò)程各方之間進(jìn)行多次加密傳輸����,每次交易需要數(shù)分鐘���。
綜上所述,SSL與SET協(xié)議是電子商務(wù)中最普遍的兩種安全電子支付協(xié)議�����,各有優(yōu)缺點(diǎn)�。SSL雖然簡(jiǎn)單快捷,但隨著電子商務(wù)的發(fā)展其缺點(diǎn)凸現(xiàn)出來(lái)�����,需采用更先進(jìn)的支付系統(tǒng)。而SET雖有更強(qiáng)的功能和安全性��,但過(guò)于復(fù)雜���,使得大面積推廣還有很大障礙���,并且成本昂貴,所以����,在未來(lái)一段時(shí)間里將會(huì)是SSL和SET兩種支付方式并存的局面。
五�����、結(jié)論
電子商務(wù)的本質(zhì)是商務(wù)���,技術(shù)是電子商務(wù)得以實(shí)現(xiàn)的手段��。沒(méi)有商務(wù)需求�����,技術(shù)的研究就失去了應(yīng)用價(jià)值����;沒(méi)有技術(shù)實(shí)現(xiàn),電子商務(wù)就不能得以實(shí)施�����,所以技術(shù)是電子商務(wù)的必要條件�。而安全則是實(shí)現(xiàn)電子商務(wù)技術(shù)的前提,也是電子商務(wù)的必要條件��。解決電子商務(wù)的安全問(wèn)題不是一個(gè)單一的技術(shù)問(wèn)題�����,它是由一系列工作組成����,需要從電子商務(wù)安全管理�、安全技術(shù)體系和法律等多方面開(kāi)展工作和研究。
參考文獻(xiàn):
[1]胡道元 閔京華:網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社���,2006
[2]祝凌曦:電子商務(wù)安全[M].北京:北方交通大學(xué)��,2006.
[3]李曉燕 李福全 郭愛(ài)芳:電子商務(wù)概論[M].陜西:電子科技大學(xué)出版社�����,2004
篇(3)
一�����、電子商務(wù)存在的安全隱患
1���、交易平臺(tái)安全隱患
電子商務(wù)交易平臺(tái)主要由電子商務(wù)服務(wù)器���、電子商務(wù)軟件/網(wǎng)站系統(tǒng)、電子商務(wù)數(shù)據(jù)庫(kù)和電子商務(wù)支付系統(tǒng)等組成����。交易平臺(tái)是整個(gè)電子商務(wù)系統(tǒng)安全運(yùn)行的基礎(chǔ)和保障,而因?yàn)榉N種因素的存在降低了平臺(tái)本身的安全性�。電子商務(wù)服務(wù)器因?yàn)橐M(jìn)行大量的電子商務(wù)活動(dòng),比普通的服務(wù)器更加容易受到黑客的攻擊�����,而服務(wù)器操作系統(tǒng)本身的安全問(wèn)題也導(dǎo)致服務(wù)器的不安全��。電子商務(wù)運(yùn)行所依靠的運(yùn)行工具�����,比如購(gòu)物網(wǎng)站可能因?yàn)樵O(shè)計(jì)開(kāi)發(fā)不合理,導(dǎo)致心懷不軌者利用網(wǎng)站漏洞進(jìn)行攻擊��,從而破壞網(wǎng)絡(luò)交易����。電子商務(wù)活動(dòng)中產(chǎn)生的所有數(shù)據(jù)都存儲(chǔ)在數(shù)據(jù)庫(kù)中,如果數(shù)據(jù)庫(kù)在存儲(chǔ)管理方面出現(xiàn)問(wèn)題��,很容易導(dǎo)致用戶信息泄密��。尤其是隨著云計(jì)算和大數(shù)據(jù)存儲(chǔ)的發(fā)展�����,數(shù)據(jù)存儲(chǔ)的安全性受到了更加嚴(yán)峻的考驗(yàn)�,面對(duì)海量數(shù)據(jù),傳統(tǒng)的安全防護(hù)措施顯得蒼白無(wú)力��。
2����、電子支付安全隱患
電子商務(wù)支付系統(tǒng)是電子商務(wù)活動(dòng)中的核心部分���,近幾年來(lái)不斷有不法分子利用釣魚網(wǎng)站���,偽裝成支付頁(yè)面����,導(dǎo)致大量的網(wǎng)絡(luò)用戶受騙��,財(cái)產(chǎn)在不經(jīng)意間被人騙走��??旖莺头奖闶请娮由虅?wù)的主要特點(diǎn),為了能夠更好的去實(shí)現(xiàn)電子商務(wù)的這個(gè)特點(diǎn)����,電子交易平臺(tái)就需要和各個(gè)銀行聯(lián)手,為顧客提供各種不同的支付方式���,比如信用卡�、快捷支付以及U盾等��。人們?cè)诰W(wǎng)上交易時(shí)信用卡支付是一種比較常見(jiàn)的方式�����,它可以有效實(shí)現(xiàn)先買東西后付款的方式,為資金不夠的顧客提供了便利�����,同樣也有很多違法分子利用這種方式來(lái)進(jìn)行信用卡詐騙�����,這樣對(duì)電子商務(wù)的長(zhǎng)期發(fā)展來(lái)講會(huì)產(chǎn)生比較嚴(yán)重的負(fù)面影響�����。
3���、交易者身份安全隱患
在電子商務(wù)的交易過(guò)程中主要存在的安全問(wèn)題就是���,買賣雙方面臨的安全威脅。一是買方面臨的安全問(wèn)題���,客戶信息和營(yíng)銷信息泄露�����,甚至有假冒用戶篡改商務(wù)信息內(nèi)容等���,這些均導(dǎo)致了電子商務(wù)交易的中斷,給商家的信譽(yù)度和利益帶來(lái)嚴(yán)重的影響�,還有商業(yè)機(jī)密有可能被盜取,使得網(wǎng)絡(luò)黑客進(jìn)入系統(tǒng)篡改訂單���,造成大量虛假訂單的形成�����,使得電子商務(wù)不能夠正常開(kāi)展���;二是賣方面臨的安全問(wèn)題,發(fā)送的電子商務(wù)信息被篡改�,造成買家不能夠及時(shí)收到賣家的商品。在網(wǎng)購(gòu)時(shí)使用的證件基本上都是身份證����,這樣會(huì)導(dǎo)致身份證的信息被竊用,使客戶的經(jīng)濟(jì)利益受到嚴(yán)重的損害�。同時(shí)還存在著個(gè)人隱私被盜取以及被網(wǎng)絡(luò)的虛假?gòu)V告欺騙,最終購(gòu)買了假冒偽劣商品�����。
4、誠(chéng)信安全隱患
誠(chéng)信是電子商務(wù)交易成功的根本保障����,誠(chéng)信安全出現(xiàn)問(wèn)題會(huì)導(dǎo)致買賣雙方缺乏信任,整個(gè)電子商務(wù)交易也無(wú)法持續(xù)下去�����。眾所周知電子商務(wù)一般是買家通過(guò)電子現(xiàn)金��、電子錢包�����、電子支票����、信用卡支付等形式來(lái)在線支付給賣家,也就是說(shuō)買家先付款然后賣家再發(fā)貨���,這樣消費(fèi)者種種擔(dān)心會(huì)隨之產(chǎn)生�,比如商家不發(fā)貨或不按時(shí)發(fā)貨�����,商家發(fā)的貨沒(méi)有自己在網(wǎng)上瀏覽的虛擬產(chǎn)品好��,所發(fā)商品屬于劣質(zhì)產(chǎn)品等�。據(jù)相關(guān)媒體的報(bào)道,有些非法商家要賣家先付極少部分的貨款����,但沒(méi)有想的是他們制作的是假的支付頁(yè)面,趁機(jī)盜取銀行卡號(hào)和密碼��,造成了買家嚴(yán)重的經(jīng)濟(jì)損失�。若是實(shí)行貨到付款,賣家就會(huì)擔(dān)心買家不付款或者不接受貨物�����,耽誤交易���。因此����,誠(chéng)信安全問(wèn)題直接影響著電子商務(wù)的健康發(fā)展���,我們應(yīng)該對(duì)電子商務(wù)的誠(chéng)信安全問(wèn)題予以高度的重視�。
二、電子商務(wù)的安全防范措施
面對(duì)網(wǎng)絡(luò)中的種種威脅���,必須采取多種措施來(lái)保證電子商務(wù)的安全性�����。
1����、對(duì)電子商務(wù)進(jìn)行專門立法
電子商務(wù)作為一種新生事物����,如果延續(xù)傳統(tǒng)的法律體系對(duì)其進(jìn)行規(guī)范還存在著許多空白,這一現(xiàn)狀已經(jīng)在實(shí)踐中帶來(lái)了很多問(wèn)題���。以我國(guó)1997年修訂的《刑法》為例��,雖然其中增加了關(guān)于計(jì)算機(jī)犯罪的相關(guān)條款��,且1999年通過(guò)的《合同法》對(duì)電子合同的書面形式�����、生效時(shí)間地點(diǎn)等做出了相關(guān)規(guī)定��。但是���,這些條款和規(guī)定明顯簡(jiǎn)單且滯后����,已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足電子商務(wù)蓬勃發(fā)展的需要���。以電子認(rèn)證的效力、虛假電子認(rèn)證等重要問(wèn)題為例�,我國(guó)的法律對(duì)此沒(méi)有做出專門的規(guī)定,這已經(jīng)成為阻礙我國(guó)電子商務(wù)發(fā)展的重要因素��。因此���,我國(guó)應(yīng)努力加快電子商務(wù)法制化的建設(shè)進(jìn)程���,制訂針對(duì)性強(qiáng)的《電子商務(wù)法》,從而對(duì)電子商務(wù)當(dāng)事人的權(quán)利和義務(wù)�、電子合同的法律關(guān)系、電子簽名��、電子認(rèn)證、網(wǎng)上知識(shí)產(chǎn)權(quán)的保護(hù)�、電子支付等進(jìn)行體系化的規(guī)范,使之適應(yīng)當(dāng)前的電子商務(wù)發(fā)展環(huán)境�����,并且要在刑法中對(duì)電子商務(wù)領(lǐng)域的犯罪進(jìn)行明確的規(guī)定�。如此以來(lái),在法律上為電子商務(wù)提供一個(gè)良好的發(fā)展環(huán)境�,為之保駕護(hù)航。
2�、提升用戶安全意識(shí)
在電商時(shí)代,要保障計(jì)算機(jī)電子商務(wù)的安全�����,必須要強(qiáng)化用戶自身的安全意識(shí)�����。如果用戶的專業(yè)知識(shí)不充足���,又缺乏電子商務(wù)的相關(guān)安全意識(shí)����,會(huì)埋下很多安全隱患。很多非法入侵者正是由于注意到用戶缺乏專業(yè)知識(shí)與安全意識(shí)����,故而選擇從用戶身上尋找突破口,入侵用戶的賬號(hào)����,進(jìn)而獲取系統(tǒng)管理員的賬號(hào),甚至最終直接入侵到整個(gè)系統(tǒng)���,使得系統(tǒng)內(nèi)的數(shù)據(jù)信息被竊取或者整個(gè)系統(tǒng)出現(xiàn)崩潰的現(xiàn)象。由此看來(lái)����,用戶的專業(yè)知識(shí)與安全意識(shí)對(duì)電子商務(wù)的整體安全性有著重要的影響,用戶需要不斷提高自身的安全意識(shí)�,掌握相關(guān)專業(yè)知識(shí),從自己做起���,為電子商務(wù)的安全發(fā)展奠定基礎(chǔ)��。
3��、技術(shù)方面的安全策略
(1)積極推廣身份識(shí)別技術(shù)�����。在實(shí)際的電子商務(wù)中用戶的身份識(shí)別技術(shù)����,旨在確保交易中涉及到的用戶身份信息的正確無(wú)誤,以及信息的有效性�����、完整性��。該技術(shù)主要涉及以下幾個(gè)方面的內(nèi)容:利用數(shù)字標(biāo)志的方法進(jìn)行驗(yàn)證�。該方法一般借助電子技術(shù)實(shí)現(xiàn)對(duì)交易用戶身份的真?zhèn)渭捌鋵?duì)相關(guān)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)的權(quán)限進(jìn)行辨別,這個(gè)過(guò)程中對(duì)用戶身份的驗(yàn)證是通過(guò)專門的數(shù)字證書(由電子商務(wù)平臺(tái)的認(rèn)證中心發(fā)放)完成的���。
篇(4)
一�、電子商務(wù)安全概述
電子商務(wù)的載體是互聯(lián)網(wǎng)����,但互聯(lián)網(wǎng)的共享性、開(kāi)放性和匿名性卻給電子商務(wù)安全問(wèn)題帶來(lái)了極大的隱患�����,使得電子商務(wù)受到威脅、攻擊的可能性大大增加����。
1.電子商務(wù)安全內(nèi)涵
電子商務(wù)的安全主要是指用戶方和提品服務(wù)方的安全,即雙方信息都要保密,用戶賬號(hào)不能被第三方獲知,提品或服務(wù)方的訂貨和付款信息等商業(yè)秘密也不能為競(jìng)爭(zhēng)對(duì)手所知,并且商務(wù)活動(dòng)一旦達(dá)成,相關(guān)信息未經(jīng)雙方協(xié)定,不可更改、不能否認(rèn)����。
2.電子商務(wù)的安全需求
電子商務(wù)主要依托運(yùn)作的環(huán)境是當(dāng)前的國(guó)際互聯(lián)網(wǎng)和未來(lái)的國(guó)際信息基礎(chǔ)設(shè)施。網(wǎng)絡(luò)是從事電子商務(wù)機(jī)構(gòu)安身立命的工作環(huán)境�,其安全需求也表現(xiàn)在以下幾個(gè)方面:
(1)網(wǎng)站的安全維護(hù)。(2)電子商務(wù)中安全支付��。(3)商業(yè)秘密的安全保護(hù)�����。(4)電子商務(wù)中知識(shí)產(chǎn)權(quán)的保護(hù)���。
二、電子商務(wù)中存在的安全問(wèn)題
1.電子商務(wù)面臨的網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題
電子商務(wù)系統(tǒng)是依賴網(wǎng)絡(luò)實(shí)現(xiàn)的商務(wù)系統(tǒng)�,需要利用Internet基礎(chǔ)設(shè)施和標(biāo)準(zhǔn),所以構(gòu)成電子商務(wù)安全框架的底層是網(wǎng)絡(luò)服務(wù)層�����,它提供信息傳送的載體和用戶接入的手段,是各種電子商務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)��,為電子商務(wù)系統(tǒng)提供了基本���、靈活的網(wǎng)絡(luò)服務(wù)�����。電子商務(wù)網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題包括以下幾個(gè)方面:(1)網(wǎng)絡(luò)部件的不安全因素�����。(2)軟件不安全因素�����。(3)工作人員的不安全因素�。(4)自然環(huán)境因素����。
2.電子商務(wù)面臨的電子支付系統(tǒng)安全問(wèn)題
眾所周知,基于Internet平臺(tái)的電子商務(wù)支付系統(tǒng)由于涉及到客戶��、商家、銀行及認(rèn)證部門等多方機(jī)構(gòu)�����,以及它們之間可能的資金劃撥��,所以客戶和商家在進(jìn)行網(wǎng)上交易時(shí)必須充分考慮其系統(tǒng)的安全�。目前網(wǎng)上支付中面臨的主要安全問(wèn)題有以下幾方面:
(1)支付賬號(hào)和密碼等隱私支付信息在網(wǎng)絡(luò)傳送過(guò)程中被竊取或盜用。
(2)支付金額被更改��。
(3)不能有效驗(yàn)證收款人的身份��。
三�����、電子商務(wù)面臨的認(rèn)證系統(tǒng)安全問(wèn)題
中國(guó)政府2002年頒布的《國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十個(gè)五年計(jì)劃信息化重點(diǎn)專項(xiàng)規(guī)劃》中指出:加快電子認(rèn)證體系��、現(xiàn)代支付系統(tǒng)和信用制度建設(shè)����,大力支持發(fā)展電子商務(wù)�。要加快發(fā)展電子商務(wù),使電子商務(wù)在金融�����、外貿(mào)、稅收��、海關(guān)����、農(nóng)業(yè)等領(lǐng)域大力推廣應(yīng)用,其關(guān)鍵之一�����,即涉及到電子商務(wù)的安全認(rèn)證問(wèn)題��。
1.信息泄漏
在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄漏,主要包括兩個(gè)方面:交易雙方進(jìn)行交易的內(nèi)容被第三方竊?��?�;交易一方提供給另一方使用的文件被第三方非法使用�����。如信用卡的賬號(hào)和用戶名被人獲悉�,就可能被盜用�����。
2.篡改
在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實(shí)性和完整性的問(wèn)題。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^(guò)程中��,可能被他人非法修改�����、刪除或重改,這樣就使信息失去了真實(shí)性和完整性���。假如兩公司簽訂了一份由一公司向另一公司供應(yīng)原料的合同����,若趕上原料價(jià)格上漲���,供貨方公司篡改價(jià)格將使自己大幅受益�,而采購(gòu)公司將蒙受損失����。
3.身份識(shí)別
在網(wǎng)絡(luò)交易中如果不進(jìn)行身份識(shí)別,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等,進(jìn)行身份識(shí)別后,交易雙方就可防止相互猜疑的情況�。
4.蓄意否認(rèn)事實(shí)
由于商情的千變?nèi)f化,商務(wù)合同一旦簽訂就不能被否認(rèn)��,否則必然會(huì)損害一方的利益����。因此,電子商務(wù)就提出了相應(yīng)的安全控制要求��。
(1)電子商務(wù)中面臨的法律安全問(wèn)題�����。隨著國(guó)際信息化�、網(wǎng)絡(luò)化進(jìn)化的不斷發(fā)展,在電子商務(wù)領(lǐng)域利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行犯罪的案件與日俱增�����,其犯罪的花樣和手段不斷翻新�����。
(2)電子合同中的法律問(wèn)題�����。電子商務(wù)合同的訂立是在不同地點(diǎn)的計(jì)算機(jī)系統(tǒng)之間完成的�����。許多國(guó)家的法律要求必須有書面形式的交易單證作為證明交易有效和作為交易的證據(jù);否則����,這種合同屬于無(wú)效合同。關(guān)于電子合同能否視為書面合同�����,并取得與書面文件同等的效力����,是各國(guó)法律尚未解決的問(wèn)題,與傳統(tǒng)書面文件相比��,電子文件有一定的不穩(wěn)定性����,一些來(lái)自外界的對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的干擾,都可能造成信息的丟失����、損壞、更改。
(3)銀行電子化服務(wù)的法律問(wèn)題����。銀行是電子支付和結(jié)算的最終執(zhí)行者,起著聯(lián)結(jié)買賣雙方的紐帶作用��,但對(duì)一些從事電子貨幣業(yè)務(wù)的銀行來(lái)說(shuō)�,犯罪分子偽造電子貨幣����,給銀行帶來(lái)了直接經(jīng)濟(jì)損失。
(4)電子資金轉(zhuǎn)賬的法律問(wèn)題��。電子資金轉(zhuǎn)賬的法律是個(gè)特殊問(wèn)題�,但是我國(guó)現(xiàn)行的《票據(jù)法》并不承認(rèn)經(jīng)過(guò)數(shù)字簽名認(rèn)證的非紙質(zhì)的電子票據(jù)支付和結(jié)算方式。并且支付不可撤消�����,付款人或第三人不能要求撤消已經(jīng)完成的電子資金轉(zhuǎn)賬�����。
(5)電子商務(wù)中的知識(shí)產(chǎn)權(quán)保護(hù)問(wèn)題�����。電子商務(wù)活動(dòng)中交易的客體及交易的行為經(jīng)常涉及傳統(tǒng)的知識(shí)產(chǎn)權(quán)領(lǐng)域。
(6)電子商務(wù)中的消費(fèi)者權(quán)益保護(hù)問(wèn)題����。電子商務(wù)等新的交易方式給消費(fèi)者權(quán)益保護(hù)帶來(lái)各種新的維權(quán)問(wèn)題。隨著科技進(jìn)步�,新產(chǎn)品的大量出現(xiàn),消費(fèi)知識(shí)滯后的矛盾也更加突出����。
四、電子商務(wù)安全問(wèn)題的安全策略
1.電子商務(wù)系統(tǒng)的安全技術(shù)
在電子商務(wù)活動(dòng)中存在著種種安全問(wèn)題,但我們可以利用安全技術(shù)來(lái)為電子商務(wù)安全提供服務(wù),從而提供更全面的安全策略和防范�。
(1)網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)安全技術(shù)所涉及到的方面比較廣,如操作系統(tǒng)安全�、防火墻技術(shù)、虛擬專用網(wǎng) VPN 技術(shù)和漏洞檢測(cè)技術(shù)等����。
(2)加密技術(shù)。數(shù)據(jù)加密技術(shù)����,就是對(duì)信息進(jìn)行重新編碼,從而達(dá)到隱藏信息內(nèi)容�,使得非法用戶無(wú)法獲取信息真實(shí)內(nèi)容的一種技術(shù)手段。加密技術(shù)是保證電子商務(wù)安全的重要手段,許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)���。密碼算法利用密鑰(Secret Keys)來(lái)對(duì)敏感信息進(jìn)行加密�����,然后把加密好的數(shù)據(jù)發(fā)送給接收者����,接收者可利用同樣的算法和事先商定好的密鑰對(duì)數(shù)據(jù)進(jìn)行解密����,從而獲取敏感信息并保證網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性,其過(guò)程如圖所示�。
(3)認(rèn)證技術(shù)。認(rèn)證技術(shù)是電子商務(wù)安全的主要實(shí)現(xiàn)技術(shù)����。主要利用RSA算法建立的一個(gè)為用戶的公開(kāi)密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng),稱之為CA���。認(rèn)證技術(shù)可以直接滿足身份認(rèn)證�、信息完整性����、不可否認(rèn)和不可修改等多項(xiàng)網(wǎng)上交易的安全需求,較好地避免了網(wǎng)上交易面臨的假冒���、篡改、抵賴�、偽造等種種威脅。認(rèn)證技術(shù)主要涉及身份認(rèn)證和報(bào)文認(rèn)證兩個(gè)方面的內(nèi)容�����。身份認(rèn)證用于鑒別用戶的身份�。它一般又涉及到兩個(gè)方面的內(nèi)容:一個(gè)是識(shí)別;一個(gè)是驗(yàn)證。
(4)安全電子交易協(xié)議����。目前有兩種安全在線支付協(xié)議被廣泛采用,能為電子商務(wù)提供有力的安全保障�。
SSL安全套接層協(xié)議是對(duì)計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議。在SSL中���,采用了公開(kāi)密鑰和私有密鑰兩種加密方法���。SET安全電子交易是由MasterCard和Visa以及其他一些業(yè)界主流廠商聯(lián)合推出的一種規(guī)范,用來(lái)保證在公共網(wǎng)絡(luò)上銀行卡支付交易的安全性����。SET已經(jīng)在國(guó)際上被大量實(shí)驗(yàn)性地使用并經(jīng)受了考驗(yàn)���。
2.電子商務(wù)安全中的法律法規(guī)策略
目前,電子商務(wù)法律也在逐步完善�����,為了電子簽名能證實(shí)電子文件的合法性國(guó)家頒布了《電子簽名法》����。在危害計(jì)算機(jī)信息系統(tǒng)有害數(shù)據(jù)的防治方面的法規(guī)有《計(jì)算機(jī)病毒防治管理辦法》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》�����、《計(jì)算機(jī)病毒防治管理辦法》����、《計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)準(zhǔn)則》����。與電子商務(wù)安全方面有關(guān)的法規(guī)還有:《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》�、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等��。
參考文獻(xiàn):
[1]王維新:電子商務(wù)安全性的技術(shù)分析[J].西安文理學(xué)院學(xué)報(bào)��,2006�����,9(3):118~121
篇(5)
電子商務(wù)是一個(gè)跨國(guó)界�,跨地區(qū)���,跨行業(yè)的多種技術(shù)綜合集成與不同社會(huì)經(jīng)濟(jì)文化背景形成的各種習(xí)俗不斷沖突�����,不斷協(xié)調(diào)和不斷統(tǒng)一的綜合性社會(huì)系統(tǒng)工程���。電子商務(wù)安全策略保障電子商務(wù)各個(gè)主體的切身利益。電子商務(wù)安全策略是以人為本�,從各主體的角度思考,綜合協(xié)調(diào)了各個(gè)市場(chǎng)主體的行為��,從根本上保障了消費(fèi)者�����、企業(yè)、電子商務(wù)網(wǎng)站等市場(chǎng)主體的切身利益�,它為實(shí)現(xiàn)電子商務(wù)提供了統(tǒng)一的基礎(chǔ)平臺(tái)和安全屏障。
一�、電子商務(wù)安全技術(shù)保障策略
安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟�。電子商務(wù)中常用到的安全技術(shù)有以下幾種:
1.密碼技術(shù)。密碼技術(shù)包括加密技術(shù)和解密技術(shù)���。加密是將信息經(jīng)過(guò)加密密鑰及加密函數(shù)轉(zhuǎn)換����,變成無(wú)意義的密文��。而解密則是將密文經(jīng)過(guò)解密函數(shù)����、解密密鑰處理還原成原文����。密碼技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)。
2.身份驗(yàn)證技術(shù)����。電子商務(wù)主體向系統(tǒng)證明自己身份�����,并由系統(tǒng)查核該主體的過(guò)程���,是確認(rèn)真實(shí)有效身份的重要環(huán)節(jié),這個(gè)過(guò)程叫作身份驗(yàn)證���。常用的驗(yàn)證技術(shù)有報(bào)文鑒別���、身份鑒別和電子簽名。
3.訪問(wèn)控制技術(shù)�����。訪問(wèn)控制是指對(duì)電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中各種資源訪問(wèn)時(shí)的權(quán)限確認(rèn)�����,防止非法訪問(wèn)���。它包括有關(guān)的策略�����、模型���、機(jī)制的基礎(chǔ)理論與實(shí)現(xiàn)方法����。
4.防火墻技術(shù)�����。防火墻是用一組網(wǎng)絡(luò)設(shè)備來(lái)加強(qiáng)一個(gè)網(wǎng)絡(luò)與外界之間的訪問(wèn)控制����。防火墻整體可以分為三大類:分組過(guò)濾、應(yīng)用�����、電路網(wǎng)關(guān)�����。
二����、企業(yè)電子商務(wù)安全運(yùn)營(yíng)管理制度保障策略
企業(yè)電子商務(wù)安全運(yùn)營(yíng)管理制度是用文字的形式對(duì)各項(xiàng)安全要求所做的規(guī)定,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ)��,是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則�����。這些制度主要包括人員管理制度����,保密制度,跟蹤審計(jì)制度���,系統(tǒng)維護(hù)制度����、數(shù)據(jù)備份制度等��。
1.人員管理制度 人員管理制度主要從人員的選拔�����,工作責(zé)任的落實(shí)和安全運(yùn)作必須遵循的基本原則制定相應(yīng)的工作制度�����。
2.保密制度 電子商務(wù)系統(tǒng)涉及企業(yè)的市場(chǎng)、生產(chǎn)���、財(cái)務(wù)�、供應(yīng)鏈等多方面的機(jī)密�����,這些方面都是需要很好地劃分信息安全級(jí)別��,并確定安全防范重點(diǎn)�,提出相應(yīng)的保密措施。
3.跟蹤審計(jì)制度 跟蹤制度就是要求企業(yè)建立網(wǎng)絡(luò)交易的日志機(jī)制�����,來(lái)記錄網(wǎng)絡(luò)交易的全過(guò)程�����。而審計(jì)制度是對(duì)系統(tǒng)日志的經(jīng)常檢查���、審核�,及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)有安全隱患的記錄,監(jiān)控各種安全事故����,維護(hù)和管理系統(tǒng)日志���。
4.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度 網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)包括硬件的日常維護(hù)和軟件的日常維護(hù)�����,硬件維護(hù)主要是對(duì)網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機(jī)以及通信線路進(jìn)行定期規(guī)范地巡查���、檢修;軟件維護(hù)主要是規(guī)范地對(duì)支撐軟件的定期清理和整理����、監(jiān)測(cè)、處理特殊情況以及對(duì)應(yīng)用軟件的升級(jí)等�。
5.數(shù)據(jù)備份制度 數(shù)據(jù)備份主要是利用多種介質(zhì)對(duì)信息系統(tǒng)數(shù)據(jù)進(jìn)行存儲(chǔ),定期為重要信息備份�、系統(tǒng)設(shè)備備份,并定期更新�����,以減少安全事故發(fā)生時(shí)造成的損失。
三�、電子商務(wù)立法策略
電子商務(wù)安全得到法律保障,首先必須完善電子商務(wù)安全相關(guān)的法律�。如何構(gòu)建一個(gè)有針對(duì)性的健全的法律體系是擺在我們面前的迫切問(wèn)題??梢詮牧⒎康摹⒘⒎ㄔ瓌t����、立法范圍和立法途徑上分析。
轉(zhuǎn)貼于
1.立法目的 電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙�����;消除現(xiàn)有法律適用上的不確定性��,保護(hù)合理的商業(yè)行為�,保障電子交易安全;建立一個(gè)清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展��。
2.立法范圍 電子商務(wù)安全方面需要的法律法規(guī)主要有:市場(chǎng)準(zhǔn)入制度���、合同有效認(rèn)證辦法�����、電子支付系統(tǒng)安全措施�����、信息保密防范辦法���,知識(shí)產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制���、網(wǎng)絡(luò)信息內(nèi)容過(guò)濾等��;電子商務(wù)調(diào)整的對(duì)象是電子商務(wù)中的各種社會(huì)關(guān)系�。
3.立法途徑 電子商務(wù)法律仍然是調(diào)整社會(huì)關(guān)系�����,所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核���,尤其是基礎(chǔ)價(jià)值觀���。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。對(duì)于傳統(tǒng)法律沒(méi)有規(guī)定的�,即由電子商務(wù)帶來(lái)的新的社會(huì)關(guān)系��,應(yīng)盡快制定法律規(guī)范����;第二是修改或重新解釋既定的法律規(guī)范����。對(duì)于傳統(tǒng)法律的規(guī)定不明確,或與電子商務(wù)新型社會(huì)關(guān)系有沖突甚至存在缺欠的���,可以修改或重新解釋既定的法律規(guī)范����。
四���、政府監(jiān)督管理策略
電子商務(wù)本質(zhì)是一種市場(chǎng)運(yùn)作模式�,市場(chǎng)的正常健康有序地發(fā)展����,必須有政府宏觀上的監(jiān)督與管理,以協(xié)調(diào)和規(guī)范各市場(chǎng)主體的行為�,宏觀監(jiān)督與管理電子商務(wù)運(yùn)行中的安全保障體系。
1.計(jì)算機(jī)信息系統(tǒng)安全管理 計(jì)算機(jī)信息系統(tǒng)���,是指“由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備��、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的���,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集����、加工��、存儲(chǔ)���、傳輸、檢索等處理的人機(jī)系統(tǒng)��?��!庇?jì)算機(jī)安全保護(hù)規(guī)范主要有計(jì)算機(jī)安全等級(jí)保護(hù)制度�����,計(jì)算機(jī)系統(tǒng)使用單位安全負(fù)責(zé)制度���,計(jì)算機(jī)案件強(qiáng)行報(bào)告制度�����,計(jì)算機(jī)病毒及其有害數(shù)據(jù)的專管制度與計(jì)算機(jī)信息安全專用產(chǎn)品銷售許可證制度����。對(duì)計(jì)算機(jī)信息系統(tǒng)安全的保護(hù)�����,有利于保障國(guó)家的安全和社會(huì)安定�����,促進(jìn)電子商務(wù)的安全交易過(guò)程�����,有利電子商務(wù)的健康發(fā)展���。
2.網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理 由于網(wǎng)絡(luò)的開(kāi)放性����,自由性等特征決定了網(wǎng)絡(luò)廣告監(jiān)管的難度��,虛假?gòu)V告、廣告充斥著網(wǎng)絡(luò)空間�����,網(wǎng)絡(luò)廣告已經(jīng)發(fā)展成為一個(gè)社會(huì)問(wèn)題��。網(wǎng)絡(luò)廣告管理應(yīng)該從三個(gè)方面入手:第一��,網(wǎng)絡(luò)廣告組織的管理���,必須對(duì)網(wǎng)站廣告經(jīng)營(yíng)主體資格進(jìn)行管制��,第二����,規(guī)范網(wǎng)絡(luò)廣告內(nèi)容�,確保廣告內(nèi)容的真實(shí)性�、合法性和科學(xué)性。第三�����,需要有具體的廣告審查管制�����、評(píng)估與監(jiān)測(cè)部門。
國(guó)家針對(duì)網(wǎng)絡(luò)服務(wù)業(yè)和網(wǎng)絡(luò)用戶管理已經(jīng)頒布了《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》��,其中提出了詳細(xì)具體的限制條件�����。但是��,網(wǎng)絡(luò)飛速發(fā)展��,面對(duì)網(wǎng)絡(luò)中的新問(wèn)題�,還必須進(jìn)一步深入全面地研究。
3.認(rèn)證機(jī)構(gòu)管理 認(rèn)證機(jī)構(gòu)是電子商務(wù)活動(dòng)中專門從事頒發(fā)認(rèn)證證書的機(jī)構(gòu)�,對(duì)電子商務(wù)交易活動(dòng)順利進(jìn)行,電子商務(wù)活動(dòng)中交易參與各方身份和信息認(rèn)定���,維護(hù)交易安全具有重要作用�。對(duì)認(rèn)證機(jī)構(gòu)的管理主要是通過(guò)對(duì)設(shè)立的條件���、撤消或者頒發(fā)許可證等營(yíng)業(yè)資格而進(jìn)行審批監(jiān)督�;同時(shí),還要針對(duì)其資產(chǎn)和財(cái)務(wù)狀況定期審查�����,以免發(fā)生財(cái)務(wù)危機(jī)����,對(duì)其信息披露與保密情況、安全系統(tǒng)運(yùn)行情況等方面進(jìn)行不定期或定期監(jiān)督檢查�����。
4.加強(qiáng)社會(huì)信用道德建設(shè)��,構(gòu)建和諧安全電子商務(wù) 電子商務(wù)安全問(wèn)題其中有很大部分是由電子商務(wù)用戶或從業(yè)人員的信用道德問(wèn)題引發(fā)的�����,在我國(guó)尤其嚴(yán)重���,甚至大家感嘆電子商務(wù)在我國(guó)“水土不服”。對(duì)于新型的商業(yè)運(yùn)作模式��,必然存在不少漏洞��,這需要廣大電子商務(wù)市場(chǎng)主體有良好的電子商務(wù)道德意識(shí)。除了從法律上采取措施�,更重要的是政府要加強(qiáng)電子商務(wù)市場(chǎng)主體自身的道德建設(shè),加強(qiáng)輿論監(jiān)督和企業(yè)自律��,充分利用網(wǎng)絡(luò)新聞?shì)浾摫O(jiān)督���,消費(fèi)者輿論監(jiān)督和行業(yè)協(xié)會(huì)的管理監(jiān)督�����。
五���、結(jié)束語(yǔ)
電子商務(wù)安全不僅涉及到電子商務(wù)公司、企業(yè)�、消費(fèi)者的利益,而且更加廣泛地涉及經(jīng)濟(jì)�、政治、國(guó)防��、文化等諸多方面��,關(guān)系到國(guó)家的安全�、主權(quán)和社會(huì)的穩(wěn)定。電子商務(wù)安全策略確保電子商務(wù)的快速�、健康地發(fā)展����。電子商務(wù)安全是目前電子商務(wù)發(fā)展的瓶頸��,只有解決了電子商務(wù)安全�,保障了市場(chǎng)主體的利益,才能得到網(wǎng)絡(luò)用戶的認(rèn)可和參與����,電子商務(wù)自身也才能得到快速、健康地發(fā)展���。
參考文獻(xiàn)
[1]林寧�����,吳志剛.我國(guó)信息安全技術(shù)標(biāo)準(zhǔn)化現(xiàn)狀[J].中國(guó)標(biāo)準(zhǔn)化��,2007(4)
篇(6)
0 引言
近年來(lái),隨著信息技術(shù)的發(fā)展,各行各業(yè)都利用計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)開(kāi)展業(yè)務(wù)工作�。廣西百色田陽(yáng)縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術(shù)建有專門的網(wǎng)站���,通過(guò)網(wǎng)站實(shí)施農(nóng)產(chǎn)品信息��、電子支付等商務(wù)工作。但是基于互聯(lián)網(wǎng)的電了商務(wù)的安全問(wèn)題日益突出,并且該問(wèn)題已經(jīng)嚴(yán)重制約了農(nóng)產(chǎn)品電子商務(wù)的進(jìn)一步發(fā)展�����。
1 農(nóng)產(chǎn)品電子商務(wù)的安全需求
根據(jù)電子商務(wù)系統(tǒng)的安全性要求��,田陽(yáng)農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)需要滿足系統(tǒng)的實(shí)體安全�、運(yùn)行安全和信息安全三方面的要求。
1) 系統(tǒng)實(shí)體安全
系統(tǒng)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備�、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)�����、火災(zāi)����、有害氣體和其它環(huán)境事故(如電磁污染等)破壞的措施和過(guò)程。
2) 系統(tǒng)運(yùn)行安全系統(tǒng)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)�����,提供一套安全措施(如風(fēng)險(xiǎn)分析���、審計(jì)跟蹤��、備份與恢復(fù)����、應(yīng)急)來(lái)保護(hù)信息處理過(guò)程的安全。項(xiàng)目組在實(shí)施項(xiàng)目前已對(duì)系統(tǒng)進(jìn)行了靜態(tài)的風(fēng)險(xiǎn)分析���,防止計(jì)算機(jī)受到病毒攻擊���,阻止黑客侵入破壞系統(tǒng)獲取非法信息,因此系統(tǒng)備份是必不可少的(如采用放置在不同地區(qū)站點(diǎn)的多臺(tái)機(jī)器進(jìn)行數(shù)據(jù)的實(shí)時(shí)備份)�。為防止意外停電,系統(tǒng)需要配備多臺(tái)備用電源�,作為應(yīng)急設(shè)施。
3) 信息安全
系統(tǒng)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露���、更改���、破壞或信息被非法的系統(tǒng)標(biāo)識(shí)、控制���。系統(tǒng)的核心服務(wù)是交易服務(wù)�����,因此保證此類安全最為迫切����。系統(tǒng)需要滿足保密性��,即保護(hù)客戶的私人信息�����,不被非法竊取��。同時(shí)系統(tǒng)要具有認(rèn)證性和完整性���,即確?��?蛻羯矸莸暮戏ㄐ裕WC預(yù)約信息的真實(shí)性和完整性�����,系統(tǒng)要實(shí)現(xiàn)基于角色的安全訪問(wèn)控制��、保證系統(tǒng)���、數(shù)據(jù)和服務(wù)由合法的客戶����、人員訪問(wèn),即保證系統(tǒng)的可控性����。在這基礎(chǔ)上要實(shí)現(xiàn)系統(tǒng)的不可否認(rèn)性,要有效防止通信或交易雙方對(duì)已進(jìn)行的業(yè)務(wù)的否認(rèn)�����。
2 農(nóng)產(chǎn)品電子商和安全策略
為了滿足電子商務(wù)的安全要求��,電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù)��,具體可采用的技術(shù)如下:
2.1基于多重防范的網(wǎng)絡(luò)安全策略
1) 防火墻技術(shù)
防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的����,在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護(hù)屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過(guò)保護(hù)屏障����,并在此進(jìn)行檢查和連接,只有被授權(quán)的信息才能通過(guò)此保護(hù)屏障,從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離�,防止非法入侵、非法盜用系統(tǒng)資源����,執(zhí)行安全管制機(jī)制,記錄可疑事件等��。
防火墻具有很好的保護(hù)作用���。論文大全,信息安全��。入侵者必須首先穿越防火墻的安全防線�����,才能接觸目標(biāo)計(jì)算機(jī)��。你可以將防火墻配置成許多不同保護(hù)級(jí)別�。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù),如視頻流等�,但至少這是你自己的保護(hù)選擇。
邊界防火墻(作為阻塞點(diǎn)���、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性�,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻�����,所以網(wǎng)絡(luò)環(huán)境變得更安全����。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)����。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑��。論文大全��,信息安全�����。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員����。論文大全,信息安全。
2) VPN 技術(shù)
VPN 技術(shù)也是一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一�����,它是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò)�����,數(shù)據(jù)通過(guò)建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播�。企業(yè)只需要租用本地的數(shù)據(jù)專線,連接上本地的公眾信息網(wǎng)���,其分支機(jī)構(gòu)就可以相互之間安全的傳遞信息。同時(shí)����,企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備,讓自己的用戶撥號(hào)到公眾信息網(wǎng)上�����,就可以進(jìn)入企業(yè)網(wǎng)中�����。使用VPN 技術(shù)可以節(jié)省成本、擴(kuò)展性強(qiáng)���、提供遠(yuǎn)程訪問(wèn)��、便于管理和實(shí)現(xiàn)全面控制��,是當(dāng)前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)�。
VPN提供用戶一種私人專用(Private)的感覺(jué)�,因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問(wèn)題���。VPN的安全性可通過(guò)隧道技術(shù)�����、加密和認(rèn)證技術(shù)得到解決��。在Intranet VPN中�,要有高強(qiáng)度的加密技術(shù)來(lái)保護(hù)敏感信息��;在遠(yuǎn)程訪問(wèn)VPN中要有對(duì)遠(yuǎn)程用戶可*的認(rèn)證機(jī)制����。
性能
VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法���。盡管網(wǎng)絡(luò)速度不斷提高,但在Internet時(shí)代�����,隨著電子商務(wù)活動(dòng)的激增��,網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生��,這給VPN性能的穩(wěn)定帶來(lái)極大的影響����。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來(lái)確保其性能。通過(guò)VPN平臺(tái)�����,管理員定義管理政策來(lái)激活基于重要性的出入口帶寬分配�。這樣既能確保對(duì)數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級(jí)應(yīng)用的性能����,又不會(huì)“餓死”,低優(yōu)先級(jí)的應(yīng)用�����。
管理問(wèn)題
由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加�,網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長(zhǎng),對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)管理��,網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分��。VPN是公司對(duì)外的延伸����,因此VPN要有一個(gè)固定管理方案以減輕管理、報(bào)告等方面負(fù)擔(dān)�����。管理平臺(tái)要有一個(gè)定義安全政策的簡(jiǎn)單方法�����,將安全政策進(jìn)行分布���,并管理大量設(shè)備�。論文大全���,信息安全�。
2.2基于角色訪問(wèn)的權(quán)限控制策略
農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對(duì)象,與這些對(duì)象有關(guān)的用戶數(shù)量也非常多�,所以用戶權(quán)限管理工作非常重要。
目前權(quán)根控制方法很多���,我們采用基于RBAC演變的權(quán)限制制思路�����。在RBAC之中�,包含用戶���、角色����、目標(biāo)���、操作、許可權(quán)五個(gè)基本數(shù)據(jù)元素���,權(quán)限被賦予角色�,而不是用戶,當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí)��,此用戶就擁有了該角色所包含的權(quán)限���。角色訪問(wèn)控制策略主要是兩方面的工作:
(1)確定角色
根據(jù)系統(tǒng)作業(yè)流程的任務(wù)���,并結(jié)合實(shí)際的操作崗位劃分角色。角色分為高級(jí)別角色和代級(jí)別角色�,低級(jí)別角色可以為高級(jí)別角色的子角色,高級(jí)別角色完全繼承其子角色的權(quán)限�。
(2)分配權(quán)限策略
根據(jù)系統(tǒng)的實(shí)際功能結(jié)構(gòu)對(duì)系統(tǒng)功能進(jìn)行編碼,系統(tǒng)管理員可以創(chuàng)建����、刪除角色所具有的權(quán)限,以及為角色增加����、刪除用戶。需要注意的是角色被指派給用戶后��,此時(shí)角色不發(fā)生沖突�,對(duì)該角色的權(quán)限不能輕易進(jìn)行修改,以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突�����。論文大全,信息安全�。論文大全,信息安全����。對(duì)用戶的權(quán)限控制通過(guò)功能菜單權(quán)限控制或者激活權(quán)限控制來(lái)具體實(shí)現(xiàn)。用戶登陸系統(tǒng)時(shí)�����,系統(tǒng)會(huì)根據(jù)用戶的角色的并集�,從而得到用戶的權(quán)限,由權(quán)限得到菜單項(xiàng)對(duì)該用戶的可視屬性是true/false���,從而得到用戶菜單��。
2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略
在農(nóng)產(chǎn)品商務(wù)系統(tǒng)中���,數(shù)據(jù)庫(kù)系統(tǒng)作為計(jì)算機(jī)信息系統(tǒng)核心部件,數(shù)據(jù)庫(kù)文件作為信息的聚集體�,其安全性將是重中之重。
1)數(shù)據(jù)庫(kù)加密系統(tǒng)措施
(1)在用戶進(jìn)入系統(tǒng)進(jìn)行兩級(jí)安全控制
這種控制可以采用多種方式,包括設(shè)置數(shù)據(jù)庫(kù)用戶名和口令����,或者利用IC卡讀寫器或者指紋識(shí)別器進(jìn)行用戶身份認(rèn)證����。
2)防止非法復(fù)制
對(duì)于服務(wù)器來(lái)說(shuō),可以采用軟指紋技術(shù)防止非法復(fù)制�,當(dāng)然,權(quán)限控制��、備份/復(fù)制和審計(jì)控制也是實(shí)行的一樣�。
3)安全的數(shù)據(jù)抽取方式
提供兩種卸出和裝入數(shù)據(jù)庫(kù)中的加密數(shù)據(jù)的方式:其一是用密文式卸出,這種卸出方式不解密����,卸出的數(shù)據(jù)還是密文,在這種模式下�����,可直接使用dbms提供的卸出����、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密�����,卸出的數(shù)據(jù)明文�����,在這種模式下����,可利用系統(tǒng)專用工具先進(jìn)行數(shù)據(jù)轉(zhuǎn)換,再使用dbms提供的卸出�、裝入工具完成。
3結(jié)束語(yǔ)
隨著信息化技術(shù)的快速發(fā)展��,農(nóng)產(chǎn)品電子商務(wù)創(chuàng)新必須適應(yīng)新的變化��,必須充分考慮信息安全因素與利用信息安全技術(shù)���,這樣才能實(shí)現(xiàn)農(nóng)產(chǎn)品電子商務(wù)業(yè)務(wù)快速增長(zhǎng)��,本文所述的安全策略��,對(duì)當(dāng)前實(shí)施電子商務(wù)有一定效果的�����,是值得推介應(yīng)用的���。
參考文獻(xiàn):
[1]盧華玲.電子商務(wù)安全技術(shù)研究[J].重慶工學(xué)院學(xué)報(bào)(自然科學(xué)版),2007��,(12):71-73.
[2]唐文龍.基于角色訪問(wèn)控制在農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)中的應(yīng)用[j]. 大眾科技.34-35
篇(7)
2 電子商務(wù)網(wǎng)站的安全策略
電子商務(wù)依靠的是互聯(lián)網(wǎng)�����,其核心和關(guān)鍵問(wèn)題就是交易的安全性�。正是由于網(wǎng)絡(luò)本身的開(kāi)放性給網(wǎng)上交易帶來(lái)了種種危險(xiǎn),才要更加注重它的安全控制��。電子商務(wù)網(wǎng)站的安全問(wèn)題可以從兩個(gè)方面進(jìn)行探討和分析�,一是系統(tǒng)安全,二是數(shù)據(jù)安全�����,并且可以利用一些先進(jìn)的技術(shù)手段加以解決��。
2.1 系統(tǒng)安全
信息安全對(duì)于企業(yè)來(lái)說(shuō)很重要���,而信息安全的前提是系統(tǒng)安全��。系統(tǒng)安全主要包括網(wǎng)絡(luò)系統(tǒng)����、操作系統(tǒng)和應(yīng)用系統(tǒng)3個(gè)方面。系統(tǒng)安全可以采用的技術(shù)手段有網(wǎng)絡(luò)隔離����、訪問(wèn)控制、身份鑒別���、數(shù)據(jù)加密���、監(jiān)控評(píng)估等技術(shù)。
2.1.1 網(wǎng)絡(luò)系統(tǒng)
網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題主要是由于網(wǎng)絡(luò)的開(kāi)放性造成的�����,解決問(wèn)題的關(guān)鍵是把網(wǎng)絡(luò)從開(kāi)放�����、自由的環(huán)境中分離出來(lái)�,使其變成可以控制和管理的獨(dú)立網(wǎng)絡(luò)���,就目前的技術(shù)發(fā)展來(lái)看,可以采用下列方法解決系統(tǒng)安全問(wèn)題�。
1)系統(tǒng)隔離,就是將重要的網(wǎng)絡(luò)系統(tǒng)與其他系統(tǒng)分離�,有物理隔離和邏輯隔離。按照網(wǎng)絡(luò)安全等級(jí)的不同可以將網(wǎng)絡(luò)合理劃分為多個(gè)互不連通的網(wǎng)絡(luò)����,使不同安全級(jí)別的網(wǎng)絡(luò)或設(shè)備不能相互訪問(wèn)����,從而達(dá)到安全隔離。也可以采用VLAN等網(wǎng)絡(luò)技術(shù)對(duì)業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)實(shí)行邏輯上的隔離�,劃分出不同的應(yīng)用子網(wǎng);2)訪問(wèn)控制�����,通過(guò)設(shè)置有效合理的訪問(wèn)策略�����,對(duì)于不同區(qū)域的網(wǎng)絡(luò)資源實(shí)行訪問(wèn)控制��,防止非法用戶訪問(wèn)受保護(hù)的資源,其主要解決的問(wèn)題就是網(wǎng)絡(luò)邊界的安全控制和網(wǎng)絡(luò)內(nèi)部資源的訪問(wèn)控制�。可以按照一定的原則根據(jù)需要對(duì)信息的流向進(jìn)行單向或雙向控制���。能夠設(shè)置訪問(wèn)控制的網(wǎng)絡(luò)設(shè)備有很多�����,比如交換機(jī)��、路由器�,而最重要也是最有效的則是防火墻���,它通常被布置在網(wǎng)絡(luò)的出入口處���,對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)信息進(jìn)行有效的檢測(cè)和過(guò)濾,同時(shí)按照訪問(wèn)控制列表和安全政策對(duì)信息流進(jìn)行控制�,允許合理有效的數(shù)據(jù)通過(guò),將不安全和不符合要求的數(shù)據(jù)拒之網(wǎng)外�����;3)身份鑒定�,對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶進(jìn)行身份識(shí)別����,通?����?梢允褂萌N方式對(duì)訪問(wèn)者進(jìn)行身份驗(yàn)證��,一是訪問(wèn)者了解的安全信息���,比如賬號(hào)��、密碼、密鑰等�;二是訪問(wèn)者提供的物件,比如訪問(wèn)磁卡�、通用IC卡、動(dòng)態(tài)口令卡等����;三是訪問(wèn)者自身的特征信息,比如聲音����、指紋�����、視網(wǎng)膜�����、筆跡等����。身份鑒定的目的就是阻止非法用戶訪問(wèn)這些被加密的數(shù)據(jù)����,而加密是為了防止網(wǎng)絡(luò)數(shù)據(jù)被竊聽(tīng)、泄漏�����、篡改和破壞�����;4)安全監(jiān)測(cè)���,利用網(wǎng)絡(luò)設(shè)備的高級(jí)功能和技術(shù)�����,通過(guò)分析來(lái)訪數(shù)據(jù)信息�,找出未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)和非法行為,包括對(duì)網(wǎng)絡(luò)系統(tǒng)的掃描�����、跟蹤���、預(yù)警��、阻斷�、記錄等����,從而將系統(tǒng)遭受的攻擊傷害減少到最低�����。除了網(wǎng)絡(luò)設(shè)備�����,還可利用一些專業(yè)的網(wǎng)絡(luò)掃描監(jiān)測(cè)系統(tǒng)來(lái)對(duì)付黑客和非法入侵,這些系統(tǒng)能夠主動(dòng)���、實(shí)時(shí)��、有效的識(shí)別出非法數(shù)據(jù)和用戶�,并且通過(guò)網(wǎng)絡(luò)掃描能夠針對(duì)網(wǎng)絡(luò)設(shè)備的安全漏洞進(jìn)行檢測(cè)和分析��,包括網(wǎng)絡(luò)服務(wù)��、防火墻���、路由器�、郵件服務(wù)器�����、網(wǎng)站服務(wù)器等��,從而識(shí)別那些可以被入侵者利用并非法進(jìn)入的網(wǎng)絡(luò)漏洞����。網(wǎng)絡(luò)掃描系統(tǒng)對(duì)檢測(cè)到的漏洞信息形成詳細(xì)報(bào)告并提供改進(jìn)方案,使網(wǎng)絡(luò)管理人員能檢測(cè)和管理好安全風(fēng)險(xiǎn)。
2.1.2 操作系統(tǒng)
操作系統(tǒng)���,實(shí)際上就是電腦管理控制程序���,是管理計(jì)算機(jī)軟硬件資源的核心系統(tǒng),負(fù)責(zé)設(shè)備的管理���、數(shù)據(jù)的存儲(chǔ)�、信息的發(fā)送和各種系統(tǒng)資源的調(diào)度����,它是各種應(yīng)用軟件的系統(tǒng)平臺(tái),具有通用性和易用性�,操作系統(tǒng)的安全直接影響到應(yīng)用系統(tǒng)和數(shù)據(jù)的安全,一般分為應(yīng)用安全和系統(tǒng)掃描��。
1)應(yīng)用安全�,面向應(yīng)用選擇可靠的操作系統(tǒng),可以杜絕使用來(lái)歷不明的軟件��。用戶可安裝操作系統(tǒng)保護(hù)與恢復(fù)軟件���,并作相應(yīng)的備份;2)系統(tǒng)掃描,基于主機(jī)的安全評(píng)估系統(tǒng)是對(duì)系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別進(jìn)行劃分�����,并提供完整的安全漏洞檢查列表�,通過(guò)不同版本的操作系統(tǒng)進(jìn)行掃描分析,對(duì)掃描漏洞自動(dòng)修補(bǔ)形成報(bào)告���,保護(hù)應(yīng)用程序�����、數(shù)據(jù)免受盜用����、破壞���。
2.1.3 應(yīng)用系統(tǒng)
1)文件的安全存儲(chǔ):利用各種加密手段�����,結(jié)合相應(yīng)的身份鑒定和密碼保護(hù)機(jī)制�,使存儲(chǔ)在本地或者網(wǎng)絡(luò)上的重要文件處于安全存儲(chǔ)的狀態(tài)��,即便他人通過(guò)非法手段獲取到了文件或存儲(chǔ)設(shè)備,也難以取得文件里的內(nèi)容����;2)文件的安全傳遞:對(duì)通過(guò)網(wǎng)絡(luò)發(fā)送的文件進(jìn)行安全處理,比如加密���、簽名�、完整性鑒別等����,使被傳送的文件只有指定的接收者通過(guò)相應(yīng)的安全鑒別機(jī)制才能解密并閱讀,避免了文件在傳送或存儲(chǔ)的過(guò)程當(dāng)中被截獲�、篡改和破壞等;3)業(yè)務(wù)服務(wù)安全:主要面向業(yè)務(wù)管理和信息服務(wù)的安全需求�����。對(duì)于各種通用信息服務(wù)���,如WEB信息服務(wù)�����、FTP服務(wù)����、電子郵件服務(wù)等服務(wù)�����,采用相應(yīng)安全軟件系統(tǒng)進(jìn)行保護(hù)��,如安全郵件系統(tǒng)�����、WEB頁(yè)面保護(hù)等�;對(duì)于各種業(yè)務(wù)信息可以配合專業(yè)管理信息系統(tǒng)軟件采取對(duì)信息內(nèi)容的安全保護(hù),防止外部非法侵入和內(nèi)部信息泄漏��。
2.2 數(shù)據(jù)安全
信息數(shù)據(jù)的安全主要包含了數(shù)據(jù)庫(kù)的安全和數(shù)據(jù)本身的安全�����,這兩個(gè)方面的安全問(wèn)題都必須得有相應(yīng)的安全措施��,才能確保數(shù)據(jù)安全�����。
1)數(shù)據(jù)庫(kù)安全,目前很多企業(yè)使用的數(shù)據(jù)庫(kù)都是SQL Server或者ORACLE大型數(shù)據(jù)庫(kù)�����,這些數(shù)據(jù)庫(kù)系統(tǒng)本身具備一定的安全性���,安全級(jí)別可以滿足日常需求����。但是由于數(shù)據(jù)庫(kù)十分重要��,應(yīng)在此基礎(chǔ)上再采取一些安全措施���,增加相應(yīng)安全組件��,改良密碼策略����,對(duì)數(shù)據(jù)庫(kù)實(shí)施分級(jí)管理并提供可靠的故障恢復(fù)機(jī)制�,實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)、存取和加密控制�。具體方法有安全數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)庫(kù)保密系統(tǒng)��、數(shù)據(jù)庫(kù)掃描系統(tǒng)等;2)數(shù)據(jù)安全�,即存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù)本身的安全,相應(yīng)的保護(hù)措施有安裝反病毒軟件和防火墻軟件����,建立一套可靠的數(shù)據(jù)備份與恢復(fù)系統(tǒng),定期對(duì)數(shù)據(jù)進(jìn)行備份,定期修改數(shù)據(jù)庫(kù)密碼����,必要時(shí)可以對(duì)重要數(shù)據(jù)采取多層加密保護(hù)。
2.3 交易安全
網(wǎng)上交易安全是用戶最關(guān)心的問(wèn)題����,只有提供穩(wěn)定的安全保證���,在線交易用戶才會(huì)具有安全感�,才會(huì)覺(jué)得交易平臺(tái)可靠�,電子商務(wù)網(wǎng)站才會(huì)具有廣闊的發(fā)展空間。
1)交易安全標(biāo)準(zhǔn)����,目前在電子商務(wù)中主要的安全標(biāo)準(zhǔn)有兩種:應(yīng)用層的SET(安全電子交易)和會(huì)話層SSL(安全套層)協(xié)議。前者由信用卡機(jī)構(gòu)VISA及MasterCard提出的針對(duì)電子錢包����、商場(chǎng)�、認(rèn)證中心的安全標(biāo)準(zhǔn)��,SET的關(guān)鍵特征是信息的機(jī)密性����、數(shù)據(jù)的可靠性、卡用戶賬號(hào)的鑒別����、商人的鑒別,主要用于銀行等金融機(jī)構(gòu)��。后者由NETSCAPE公司提出的針對(duì)數(shù)據(jù)的機(jī)密性�����、完整性�、開(kāi)放性和身份確認(rèn)的安全協(xié)議,它可以保證數(shù)據(jù)不被竊取和破壞��,此協(xié)議已經(jīng)成為WEB應(yīng)用安全標(biāo)準(zhǔn)��;2)交易安全基礎(chǔ)體系,交易安全的基礎(chǔ)是現(xiàn)代密碼學(xué)技術(shù)���,主要取決去于加密方法和加密強(qiáng)度����。加密分為單密鑰的對(duì)稱加密體系和雙密鑰的非對(duì)稱加密體系�����。兩者各有所長(zhǎng)����,對(duì)稱密鑰具有加密效率高�,但存在密鑰分發(fā)困難、管理不便的弱點(diǎn)�����。非對(duì)稱密鑰加密速度慢�,但便于密鑰分發(fā)管理。通常把兩者結(jié)合使用��,以達(dá)到高效安全的目的���;3)交易安全的實(shí)現(xiàn)��,交易安全的實(shí)現(xiàn)主要是指交易雙方身份確認(rèn)�、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性�、防止雙方對(duì)交易結(jié)果的否認(rèn)等等。具體實(shí)現(xiàn)的途徑是交易各方具有相關(guān)身份證明�,同時(shí)在SSL協(xié)議體系下完成交易過(guò)程中電子證書驗(yàn)證、數(shù)字簽名�����、指令數(shù)據(jù)的加密傳輸����、交易結(jié)果確認(rèn)審計(jì)等。
3 結(jié)論
企業(yè)電子商務(wù)網(wǎng)站的安全�,需要一個(gè)完整的綜合保障體系,要采用綜合防范的思路��,從技術(shù)��、管理����、法律等多方面加以認(rèn)識(shí)和思考。安全實(shí)際上是一種風(fēng)險(xiǎn)管理,任何技術(shù)手段都不能夠保證百分之百的安全����,但是安全技術(shù)可以降低系統(tǒng)遭到破壞和攻擊的風(fēng)險(xiǎn),在一定程度上保障數(shù)據(jù)的安全�����。電子商務(wù)正處于蓬勃發(fā)展時(shí)期�,只有解決了電子商務(wù)中出現(xiàn)的各類問(wèn)題,才能是電子商務(wù)系統(tǒng)更加安全���。
參考文獻(xiàn)
篇(8)
一����、 引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展����,電子商務(wù)開(kāi)始蓬勃發(fā)展起來(lái)���,通過(guò)Internet進(jìn)行的網(wǎng)上購(gòu)物�、在線交易�����、網(wǎng)上銀行等業(yè)務(wù)雖然為人們的工作和生活提供了極大的便利。但是�����,由于Internet本身具有的開(kāi)放性�、靈活性、共享性等特點(diǎn)����,也為信息安全帶來(lái)了巨大威脅。所以�,電子商務(wù)的安全問(wèn)題是事關(guān)能否正常開(kāi)展電子商務(wù)的首要問(wèn)題。
目前�����,世界上提出了很多加強(qiáng)網(wǎng)上交易安全性的協(xié)議,如SSL�、SET等。由于SET協(xié)議非常復(fù)雜,實(shí)現(xiàn)比較困難,而且執(zhí)行效率比較低��,所以目前大部分網(wǎng)上交易都是采用SSL協(xié)議來(lái)實(shí)現(xiàn)����。當(dāng)前���,網(wǎng)上銀行等大型電子商務(wù)交易系統(tǒng)一般都采用HTTP和SSL相結(jié)合的方式,即在服務(wù)器端采用支持SSL的WWW服務(wù)器,在客戶端采用支持SSL的瀏覽器,雙方共同協(xié)作來(lái)實(shí)現(xiàn)安全的網(wǎng)絡(luò)通信���。
二�、SSL協(xié)議的介紹
安全套接層協(xié)議(Secure Sock Layer Protocol����,簡(jiǎn)稱SSL)是在電子商務(wù)發(fā)展初期發(fā)展起來(lái)的,最早由Netscape公司設(shè)計(jì)開(kāi)發(fā)���,它是在TCP/IP上實(shí)現(xiàn)的一種安全協(xié)議�����,其采用了不對(duì)稱加密技術(shù)��。它為C/S(客戶端/服務(wù)器)通信安全提供面向連接的機(jī)制���,建立安全通道�����,通過(guò)在安全通道上傳輸信用卡卡號(hào)的方式,可以構(gòu)建電子商務(wù)支付系統(tǒng)�����。SSL安全通道能使客戶端/服務(wù)器應(yīng)用之間的通信不被第三者竊聽(tīng)�,并且始終對(duì)服務(wù)器進(jìn)行身份認(rèn)證,還可選擇對(duì)客戶端進(jìn)行認(rèn)證����。目前,大部分Web瀏覽器(Netscape Navigator和Microsoft IE)和Web服務(wù)器都已內(nèi)置了SSL協(xié)議����,SSL已成為在電子商務(wù)中應(yīng)用最廣泛的安全協(xié)議之一。
SSL協(xié)議要求建立在可靠的傳輸層協(xié)議(例如:TCP)之上����。SSL協(xié)議的優(yōu)勢(shì)在于它是與應(yīng)用層協(xié)議獨(dú)立無(wú)關(guān)的。高層的應(yīng)用層協(xié)議(例如:HTTP��,F(xiàn)TP���,TELNET)能透明地建立于SSL協(xié)議之上����。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成了加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作�����。應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密��,從而保證通信的機(jī)密性�����。
SSL協(xié)議主要由SSL記錄協(xié)議和SSL握手協(xié)議兩部分組成��。
1.SSL記錄協(xié)議�����。SSL記錄協(xié)議位于SSL協(xié)議的底層�,用于封裝上層的協(xié)議。其規(guī)定了會(huì)話中傳遞的所有數(shù)據(jù)項(xiàng)的基本格式��,提供壓縮數(shù)據(jù)���、生成數(shù)據(jù)的完整性校驗(yàn)值(MAC)�����、對(duì)數(shù)據(jù)進(jìn)行加密��、標(biāo)示數(shù)據(jù)長(zhǎng)度�����、填充�、流水作業(yè)號(hào)��,并支持不同的加解密和雜湊算法�。
2.SSL握手協(xié)議。SSL握手協(xié)議使得服務(wù)器和客戶端能夠相互認(rèn)證對(duì)方的身份�、傳送所需的數(shù)字證書、建立所需的會(huì)話密鑰����。SSL握手協(xié)議是較SSL記錄協(xié)議更高層的協(xié)議,必須先執(zhí)行握手協(xié)議后���,才可能實(shí)現(xiàn)SSL記錄協(xié)議中的加密和完整性校驗(yàn)����。SSL協(xié)議通過(guò)在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來(lái)實(shí)現(xiàn)有關(guān)安全特性的建立����。SSL握手過(guò)程一般分為4個(gè)階段:
(1)建立安全能力:該階段是用來(lái)初始化邏輯連接����,并建立與之相關(guān)的安全能力��。交換在客戶端發(fā)起����,客戶端發(fā)送Client_hello消息,并包含以下數(shù)據(jù)(SSL版本�、初始隨機(jī)參數(shù)、會(huì)話ID�、密碼組參數(shù)、壓縮方法)����,在發(fā)送了Client_hello消息之后,客戶端將等待包含與Client_hello消息參數(shù)一樣的Server_hello消息����。
(2)服務(wù)器身份認(rèn)證和密碼交換:服務(wù)器發(fā)送自己的數(shù)字證書給客戶端,該證書帶有證書授權(quán)中心(CA)的數(shù)字簽名和服務(wù)器的公鑰以及其數(shù)字簽名���,可以證明自己的合法性��,然后開(kāi)始密鑰交換���。如果服務(wù)器要求認(rèn)證客戶端,則要請(qǐng)求客戶端數(shù)字證書��。該階段以Hello消息段結(jié)束��,之后服務(wù)器等待客戶端的響應(yīng)��。
(3)客戶端認(rèn)證和密鑰交換:在這一階段����,客戶端認(rèn)證服務(wù)器數(shù)字證書的合法性。如果服務(wù)器要求客戶端的數(shù)字證書�,客戶端應(yīng)提供其數(shù)字證書,供服務(wù)器認(rèn)證客戶端的合法性���。此外���,還要發(fā)送交換密鑰。
(4)完成:該階段完成安全通道的建立�,該消息并不被認(rèn)為是握手協(xié)議的一部分,而是改變密碼規(guī)格協(xié)議發(fā)送的。至此����,客戶端和服務(wù)器完成了握手協(xié)議,可以開(kāi)始交換應(yīng)用層的數(shù)據(jù)了����。
三、SSL協(xié)議在服務(wù)器上的應(yīng)用
實(shí)現(xiàn)SSL協(xié)議�,首先要在服務(wù)器上加裝SSL,其步驟為先在“Internet服務(wù)管理器”的“識(shí)別碼管理器”上填入網(wǎng)站的相關(guān)信息�,以它為內(nèi)容產(chǎn)生一組公鑰,識(shí)別碼管理器還會(huì)將以上信息都寫入文件���,接下來(lái)就可以用這份數(shù)據(jù)向證書授權(quán)中心(Certification Authority)申請(qǐng)SSL服務(wù)器數(shù)字證書了����。CA是一個(gè)公開(kāi)而且公正的組織單位�,其專門負(fù)責(zé)受理數(shù)字證書的核準(zhǔn),發(fā)放�����,注銷等管理工作(例如:VeriSign)�。不同的CA有不同的申請(qǐng)方法。當(dāng)申請(qǐng)好數(shù)字證書后,選擇識(shí)別碼管理器下的安裝識(shí)別碼認(rèn)證�����,輸人密碼和數(shù)字證書文件的位置����,就把數(shù)字證書安裝好了����。然后就是指定哪些頁(yè)面需要用到SSL功能,打開(kāi)Internet服務(wù)管理器����,單擊所要設(shè)置的頁(yè)面目錄后按右鍵,單擊“屬性”�����,再選擇“目錄安全設(shè)定”下“安全通信”�����,按下編輯按鍵后在“當(dāng)存取這個(gè)資源必須使用安全通道”選項(xiàng)上打上勾���,表示當(dāng)客戶端存取這個(gè)目錄時(shí)就會(huì)激活SSL功能�。
服務(wù)器通過(guò)SSL服務(wù)器數(shù)字證書的兩個(gè)必要功能來(lái)建立電子商務(wù)信任體系。SSL服務(wù)器數(shù)字證書的兩個(gè)必要功能是:
1.SSL服務(wù)器認(rèn)證:服務(wù)器數(shù)字證書允許用戶確認(rèn)Web服務(wù)器的身份�����。Web瀏覽器自動(dòng)檢查服務(wù)器數(shù)字證書和公共ID是有效的并已經(jīng)被CA(如:VeriSign)所���,包括在可信任的內(nèi)嵌于瀏覽器中的CA列表�。SSL服務(wù)器認(rèn)證對(duì)安全的電子商務(wù)交易是至關(guān)重要的����。例如,用戶通過(guò)網(wǎng)絡(luò)發(fā)送信用卡號(hào)并想校驗(yàn)接收服務(wù)器的身份����。
2.SSL加密:SSL服務(wù)器數(shù)字證書建立了一個(gè)安全通道,在用戶瀏覽器和Web服務(wù)器之間傳送的所有信息由發(fā)送軟件加密����、接收軟件解密,從而保護(hù)私有信息不被第三方所竊取�。
四、SSL協(xié)議在客戶端的應(yīng)用
1.客戶連接一個(gè)站點(diǎn)和訪問(wèn)一個(gè)安全的URL�����,即受服務(wù)器ID所保護(hù)的網(wǎng)頁(yè)。
2.客戶的瀏覽器自動(dòng)向服務(wù)器發(fā)送瀏覽器的SSL版本號(hào)���、密碼設(shè)置�����、產(chǎn)生的隨機(jī)數(shù)和服務(wù)器需要和客戶用SSL通信的其他信息����。
3.服務(wù)器做出反應(yīng)�����,自動(dòng)向?yàn)g覽器發(fā)送站點(diǎn)的數(shù)字證書��,包括服務(wù)器的SSL版本號(hào)����、密碼設(shè)置等等��。
4.客戶的瀏覽器檢查包含在服務(wù)器數(shù)字證書中的信息并校驗(yàn)���。
(1)服務(wù)器數(shù)字證書是否有效�,日期是否有效。
(2)服務(wù)器數(shù)字證書的CA是否被可信任的CA所簽名���,可信任的CA證書已嵌入瀏覽器中�����。
(3)嵌入瀏覽器中的CA的公鑰是否使者的數(shù)字簽名有效���。
(4)服務(wù)器數(shù)字證書所指定的域名與服務(wù)器的真實(shí)域名是否匹配。
如果服務(wù)器不能通過(guò)認(rèn)證����,那么用戶就會(huì)接收到警告信息,從而不能建立SSL安全通道�。
5.如果服務(wù)器通過(guò)認(rèn)證,客戶瀏覽器就會(huì)產(chǎn)生一個(gè)唯一的“會(huì)話密鑰”來(lái)加密所有與服務(wù)器的通信內(nèi)容���。
6.客戶的瀏覽器用服務(wù)器數(shù)字證書中的公鑰加密“會(huì)話密鑰”發(fā)送給服務(wù)器���。這樣就可以確保只有服務(wù)器才能讀出“會(huì)話密鑰”。
7.服務(wù)器用自己的私鑰解密“會(huì)話密鑰”����。
8.瀏覽器向服務(wù)器發(fā)送信息���,表明以后從客戶端發(fā)送的信息都將用“會(huì)話密鑰”加密。
9.服務(wù)器向?yàn)g覽器發(fā)送信息��,表明以后從服務(wù)器發(fā)送的信息也將用“會(huì)話密鑰”加密���。
10.這樣����,在客戶端與服務(wù)器就建立了一個(gè)SSL安全通道����。之后,所有通信內(nèi)容就在SSL安全通道內(nèi)用“會(huì)話密鑰”來(lái)加密和解密信息���。
11.一旦本次會(huì)話結(jié)束,“會(huì)話密鑰”也就隨之失效���。
上述過(guò)程只要花費(fèi)幾秒鐘的時(shí)間��,且不需要客戶的干涉��。
另外�����,用戶還可以通過(guò)以下情況來(lái)確認(rèn)是否已經(jīng)和正在訪問(wèn)的服務(wù)器建立了SSL安全通道:
> 在瀏覽器窗口的URL中以HTTPS://開(kāi)頭
> 在Netscape中����,在窗口左下角的掛鎖是關(guān)閉的,而不是打開(kāi)的�����。
> 在IE中�,掛鎖出現(xiàn)在窗口狀態(tài)條的右下角。
五�����、SSL在現(xiàn)實(shí)中的應(yīng)用
以中國(guó)工商銀行“個(gè)人網(wǎng)上銀行”為例�。首先訪問(wèn)工商銀行首頁(yè)(省略/)。單擊“個(gè)人網(wǎng)上銀行登錄”圖標(biāo)�。然后填入必要的信息,之后單擊同意按鈕就可以打開(kāi)“個(gè)人網(wǎng)上銀行”��。
首次使用時(shí)�,會(huì)彈出一個(gè)要求安裝SSL數(shù)字證書的對(duì)話框��,單擊“是”按鈕即可��。在安裝好SSL數(shù)字證書之后���,在IE瀏覽器的右下方就會(huì)出現(xiàn)一把閉合的黃色小鎖,其代表瀏覽器正在使用SSL加密傳輸?shù)馁Y料���,從而避免敏感信息在傳輸?shù)倪^(guò)程中被竊取或者篡改�。用戶可以通過(guò)雙擊這把小鎖來(lái)查看服務(wù)器SSL數(shù)字證書的詳細(xì)內(nèi)容���。
值得一提的是個(gè)別瀏覽器只支持40位以下的加密算法��。這對(duì)于傳輸重要信息是遠(yuǎn)遠(yuǎn)不夠的����。在IE瀏覽器中���,只要將鼠標(biāo)指向?yàn)g覽器右下方的黃色小鎖,就可以看到SSL加密的位數(shù)�。假如不是128位的話,可以通過(guò)單擊瀏覽器“幫助”菜單下的“關(guān)于Internet Explorer”�。如果顯示的密鑰長(zhǎng)度小于128位�,則可以單擊“工具”菜單上的“Windows Update”��,然后依據(jù)提示將瀏覽器更新為最新版本�,使其支持128位的SSL加密算法。
六����、SSL的功能及SSL的局限性
1.信息加密。SSL所采用的加密技術(shù)既有對(duì)稱加密技術(shù)����,如DES;也有不對(duì)稱加密技術(shù)�,如RSA。具體來(lái)說(shuō)�,客戶端與服務(wù)器在進(jìn)行數(shù)據(jù)交換之前,先交換SSL握手信息�,在SSL握手信息中采用了各種加密技術(shù)對(duì)其加密,以保證其機(jī)密性和數(shù)據(jù)的完整性�����,并且用數(shù)字證書進(jìn)行認(rèn)證����。
2.信息完整���。SSL提供了信息完整服務(wù),以建立客戶端與服務(wù)器之間的安全通道��,使所有經(jīng)過(guò)SSL協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無(wú)誤地到達(dá)其目的地�。
3.身份認(rèn)證?���?蛻舳撕头?wù)器都有各自的識(shí)別號(hào),這些識(shí)別號(hào)由公開(kāi)密鑰進(jìn)行編號(hào)�。為了驗(yàn)證用戶是否合法,SSL協(xié)議要求在握手交換數(shù)據(jù)前進(jìn)行認(rèn)證��,以此來(lái)確保用戶的合法性���。 SSL堅(jiān)持對(duì)服務(wù)器進(jìn)行身份認(rèn)證��,還可選擇性的對(duì)客戶端進(jìn)行認(rèn)證�。
篇(9)
1 電子商務(wù)的定義及具備的問(wèn)題
1.1 何為電子商務(wù)
電子商務(wù)是商務(wù)活動(dòng)過(guò)程里的一個(gè)全新的形式�����,經(jīng)由現(xiàn)代信息技術(shù)的方法�����,透過(guò)數(shù)字化信息網(wǎng)絡(luò)乃至計(jì)算機(jī)裝置代替過(guò)去在交易過(guò)程里通過(guò)紙質(zhì)方式進(jìn)行的存檔���、傳遞及統(tǒng)計(jì)的方式�����,展現(xiàn)出商品和服務(wù)交易甚至交易管理活動(dòng)的在線交易形式���,使得物流和資金展現(xiàn)出高效率、低成本的信息化管理以及網(wǎng)絡(luò)化能感應(yīng)的意義�����。事實(shí)上����,電子商務(wù)不僅具備了以Internet為交易平臺(tái)的交易,還包含了以Internet����、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)乃至其它廣域網(wǎng)、局域網(wǎng)為形式的交易環(huán)境��。就當(dāng)前而言�����,電子商務(wù)主要具備以下形式:(1)網(wǎng)上直接交易���,交易對(duì)象大多是軟件���、文藝作品或者廣告等一些無(wú)形商品;(2)網(wǎng)上訂單,可是延續(xù)傳統(tǒng)模式進(jìn)行交易��,交易對(duì)象大多是各類有形商品��。當(dāng)前在發(fā)達(dá)國(guó)家���,網(wǎng)上實(shí)施電子貿(mào)易產(chǎn)品主要有三種:實(shí)體商品���、數(shù)字化商品以及聯(lián)機(jī)服務(wù)[1]。
1.2 電子商務(wù)中具備的問(wèn)題
大眾身為電子商務(wù)的對(duì)象�����,信息技術(shù)是完成電子商務(wù)的基本條件,電子商務(wù)進(jìn)行的前提為信息安全����。
1.2.1 計(jì)算機(jī)網(wǎng)絡(luò)的安全
(1)安全協(xié)議
雖然當(dāng)前經(jīng)濟(jì)信息已經(jīng)呈現(xiàn)出全球化的發(fā)展形態(tài),可就安全協(xié)議而言依然不具有全球性的規(guī)范和標(biāo)準(zhǔn)�����,約束了國(guó)際性的商務(wù)活動(dòng)��,而且����,計(jì)算機(jī)安全管理還存有相對(duì)隱患��,大部分無(wú)法實(shí)現(xiàn)抵抗黑客進(jìn)攻的能力�。
(2)信息安全
非法用戶通過(guò)網(wǎng)絡(luò)采用非法手段進(jìn)行傳輸,通過(guò)非法形式將合法用戶的有效信息進(jìn)行攔截�,最終導(dǎo)致合法用戶的一些關(guān)鍵業(yè)務(wù)數(shù)據(jù)泄漏或者被非法用戶惡意篡改,令信息失去真實(shí)性和完整性�����,最終導(dǎo)致合法用戶無(wú)法正常使用�����。有些非法用戶經(jīng)由截獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行二次發(fā)送,對(duì)對(duì)方的網(wǎng)絡(luò)軟件和硬件進(jìn)行惡意攻擊�。
(3)服務(wù)器。
電子商務(wù)服務(wù)器在電子商務(wù)中尤為關(guān)鍵���,設(shè)置了許多和電子商務(wù)有關(guān)的軟件與商家信息�,并且服務(wù)器中的數(shù)據(jù)庫(kù)具備了企業(yè)保密數(shù)據(jù)��,如:成本���、價(jià)格等等���,所以次服務(wù)器較易收到安全威脅,并且一旦引發(fā)安全問(wèn)題�����,就會(huì)構(gòu)成非常惡劣的后果����。目前,服務(wù)器在安全方面并沒(méi)有收到阻止�。非法用戶對(duì)網(wǎng)絡(luò)或主機(jī)進(jìn)行非法信息攻擊�,造成服務(wù)器的安全隱患���,使得服務(wù)器不僅浪費(fèi)了可用資源�,還無(wú)法正常提供服務(wù)��。透過(guò)操作系統(tǒng)�����、網(wǎng)絡(luò)服務(wù)���、軟件和網(wǎng)絡(luò)協(xié)議的安全漏洞,向網(wǎng)站輸送數(shù)據(jù)請(qǐng)求����,使得網(wǎng)絡(luò)應(yīng)用服務(wù)器無(wú)法正常服務(wù)[2]。
1.2.2 電子商務(wù)交易安全
(1)無(wú)法確認(rèn)身份
由于電子商務(wù)的進(jìn)行需要透過(guò)虛擬網(wǎng)絡(luò)為平臺(tái)����,在此平臺(tái)上進(jìn)行交易時(shí),雙方無(wú)需面對(duì)面進(jìn)行較易���,所以形成了交易雙方身份具有不確定性的因素存在���。攻擊者能夠經(jīng)由非法形式竊取合法用戶的身份信息����,冒充合法用戶與他人進(jìn)行較易���,從而進(jìn)行非法獲利��。
(2)交易抵賴現(xiàn)象
電子商務(wù)交易存在不可抵賴性��。有些用戶通過(guò)對(duì)自己發(fā)送的信息進(jìn)行惡意否定�,推卸責(zé)任�。交易抵賴現(xiàn)象主要體現(xiàn)在以下?tīng)顩r中:者否定所發(fā)送的信息欣榮、接收者否認(rèn)接受過(guò)的信息內(nèi)容��、購(gòu)買者否認(rèn)訂過(guò)的訂單��、商家出于售出商品的質(zhì)量問(wèn)題而否認(rèn)交易�����。
2 電子商務(wù)安全技術(shù)和策略
2.1 電子商務(wù)安全技術(shù)的架構(gòu)
電子商務(wù)安全技術(shù)體系包含了網(wǎng)絡(luò)服務(wù)層����、加密技術(shù)層��、安全協(xié)議層以及安全認(rèn)證層四個(gè)方面�,它能夠保障電子商務(wù)交易中數(shù)據(jù)的完整性以及安全性的邏輯結(jié)構(gòu)���。在這幾層結(jié)構(gòu)里�,下一層身為上一層的基石����,給上一層給予技術(shù)方面的支持。通過(guò)安全控制技術(shù)實(shí)施安全策略�����,進(jìn)而構(gòu)成一個(gè)完成的整體�����,相互依存�����、相互關(guān)聯(lián)��,進(jìn)而實(shí)現(xiàn)電子商務(wù)的安全進(jìn)行[3]�����。
2.2 電子商務(wù)安全策略
2.2.1 創(chuàng)建完善的電子商務(wù)法律制度�,強(qiáng)化執(zhí)法力度
隨著電子商務(wù)的不斷發(fā)展,電子商務(wù)網(wǎng)站如雨后春筍般涌現(xiàn)��,從而使得很多網(wǎng)絡(luò)交易法律問(wèn)題不斷涌現(xiàn)�,如此一來(lái),處理網(wǎng)絡(luò)交易的安全問(wèn)題就要依照一個(gè)相同的法律法規(guī)執(zhí)行�,而當(dāng)前的電子商務(wù)法律制度并不完善,需要?jiǎng)?chuàng)建必要的完善的法律體系���。并且針對(duì)一些網(wǎng)絡(luò)交易中的違法行為�����,必須提高執(zhí)法力度�,進(jìn)而實(shí)現(xiàn)規(guī)范電子商務(wù)交易的目的�����。
2.2.2 創(chuàng)建完善的信用體系�,提升電子商務(wù)安全意識(shí)
信息體系作為電子商務(wù)規(guī)范和發(fā)展的基礎(chǔ),為了加快電子商務(wù)良性循環(huán),一定要?jiǎng)?chuàng)建完善的信用體系��,并且也要提高電子商務(wù)的安全意識(shí)���,不可以將利益擺在首位���,要對(duì)安全性具備充分的重視。
2.2.3 通過(guò)加密技術(shù)��、交易協(xié)議以及安全認(rèn)證等途徑對(duì)交易信息的安全性進(jìn)行保護(hù)
積極參考國(guó)外先進(jìn)經(jīng)驗(yàn)及技術(shù)���,盡量創(chuàng)建一套完善的電子商務(wù)安全體系�,通過(guò)不同加解密算法提升和完善電子商務(wù)的交易安全�,定期進(jìn)行檢查并更換密鑰。
2.2.4 強(qiáng)化互聯(lián)網(wǎng)絡(luò)安全性����,預(yù)防信息泄漏
最普遍的網(wǎng)絡(luò)安全保護(hù)方式為防火墻技術(shù)���。電子商務(wù)內(nèi)外網(wǎng)以及互聯(lián)網(wǎng)之間最好設(shè)置防火墻�,如此不但能夠提高內(nèi)部局域網(wǎng)絡(luò)的速度����,還可以預(yù)防惡意病毒及木馬的攻擊�。
2.2.5 提高子商務(wù)的安全管理�����,創(chuàng)建良好的電子商務(wù)環(huán)境
篇(10)
當(dāng)今世界網(wǎng)絡(luò)�����,通信和信息技術(shù)飛速發(fā)展���,Internet在全球迅速普及�,使得商務(wù)空間發(fā)展到全球的規(guī)模�����,促進(jìn)企業(yè)組織改革自己的思維觀念�、組織結(jié)構(gòu)、戰(zhàn)略方針和運(yùn)行方式來(lái)適應(yīng)全球性的發(fā)展變化���。電子商務(wù)就是適應(yīng)以全球?yàn)槭袌?chǎng)而出現(xiàn)和發(fā)展起來(lái)的一種新的商貿(mào)模式���,通過(guò)網(wǎng)絡(luò)技術(shù)快速而有效地進(jìn)行各種商務(wù)行為�,即在商務(wù)運(yùn)作的整個(gè)過(guò)程中實(shí)現(xiàn)交易無(wú)紙化�、直接化。電子商務(wù)可以使商家與供應(yīng)商���,在全球市場(chǎng)上銷售產(chǎn)品;也可以讓用戶足不出戶在全球范圍內(nèi)選擇最佳商品�,享受全過(guò)程的電子服務(wù)�����。
一�����、物流在電子商務(wù)流程中的作用
電子商務(wù)對(duì)象是整個(gè)交易過(guò)程�,任何一筆交易都由信息流、商流�����、資金流和物流等四個(gè)基本部分組成�����。開(kāi)展電子商務(wù)的最終目的是為了解決信息流和資金流處理上的延遲�,從而提高對(duì)物流過(guò)程管理的現(xiàn)代化水平,進(jìn)一步提高現(xiàn)代化物流速度��。物流做為網(wǎng)上電子交易的最后一個(gè)過(guò)程��,執(zhí)行結(jié)果的好壞將對(duì)電子交易的成敗起著十分重要的作用�����,是實(shí)現(xiàn)電子商務(wù)的重要環(huán)節(jié)和基本保證���。電子商務(wù)必須有現(xiàn)代化的物流技術(shù)的支持�����,才能體現(xiàn)出其所具有的無(wú)可比擬的先進(jìn)性和優(yōu)越性�����,在最大限度上使交易雙方得到便利�����,獲得效益�����。
二��、電子商務(wù)流程中物流的實(shí)現(xiàn)
在電子商務(wù)中����,信息流、商流�、資金流的處理可以通過(guò)計(jì)算機(jī)和網(wǎng)絡(luò)通信設(shè)備實(shí)現(xiàn)。對(duì)于有形的商品和服務(wù)來(lái)說(shuō)���,物流仍然要由物理的方式進(jìn)行傳輸�����;對(duì)于無(wú)形的商品及服務(wù)如各種電子出版物��、信息咨詢服務(wù)以及有價(jià)信息軟件等�,可以直接通過(guò)網(wǎng)絡(luò)傳輸?shù)姆绞竭M(jìn)行電子化配送��。電子商務(wù)環(huán)境下的物流����,通過(guò)機(jī)械化和自動(dòng)化工具的應(yīng)用和準(zhǔn)確、及時(shí)的物流信息對(duì)物流過(guò)程的監(jiān)控�,使物流的速度加快��、準(zhǔn)確率提高,能有效地減少庫(kù)存����,縮短生產(chǎn)周期。
三����、電子商務(wù)中物流信息安全問(wèn)題
物流正在向信息化、自動(dòng)化�����、網(wǎng)絡(luò)化和智能化的方向發(fā)展���,越來(lái)越依賴于網(wǎng)絡(luò)傳輸信息的安全性能����。由于Internet具有開(kāi)放性和匿名性����,其安全問(wèn)題變得越來(lái)越突出。物流信息在網(wǎng)絡(luò)傳輸過(guò)程中��,經(jīng)常會(huì)遭到黑客的攔截、竊取���、篡改���、盜用、監(jiān)聽(tīng)等惡意破壞����,給商戶帶來(lái)重大損失。以各種非法手段企圖入侵計(jì)算機(jī)網(wǎng)絡(luò)的黑客���,其惡意攻擊構(gòu)成電子商務(wù)系統(tǒng)中網(wǎng)絡(luò)安全的最大威脅����,已經(jīng)成為物流信息安全的最大隱患���。黑客攻擊經(jīng)常使用的手段有:
1�����、獲取口令
有三種方法:一是精心偽造一個(gè)登錄頁(yè)面����,并嵌入到相關(guān)網(wǎng)頁(yè)上,當(dāng)商戶鍵入登錄信息(用戶名和密碼等)后�����,將這些信息傳送到黑客的主機(jī)���,然后關(guān)閉頁(yè)面給出“系統(tǒng)故障”等提示,要求商戶重新登錄��,此后才出現(xiàn)真正的登錄頁(yè)面����。二是通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)得到商戶口令,監(jiān)聽(tīng)者往往能夠獲得其所在網(wǎng)段的所有用戶賬號(hào)和口令���,對(duì)LAN威脅巨大�。三是知道商戶賬號(hào)后利用一些專門軟件強(qiáng)行破解商戶口令����。
2、郵件炸彈
用偽造的IP地址和電子郵件地址向商戶信箱發(fā)送無(wú)數(shù)封內(nèi)容相同的惡意郵件���,擠滿郵箱�,把正常郵件沖掉。同時(shí)占用大量網(wǎng)絡(luò)資源��,導(dǎo)致網(wǎng)路阻塞����,甚至使電子郵件服務(wù)器癱瘓。3�����、特洛伊木馬
在商戶的電腦中隱藏一個(gè)會(huì)在系統(tǒng)啟動(dòng)時(shí)運(yùn)行的程序��,采用服務(wù)器/客戶機(jī)的運(yùn)行方式��,在上網(wǎng)時(shí)控制商戶電腦����,竊取口令、瀏覽商戶的驅(qū)動(dòng)器����、修改商戶文件和登錄注冊(cè)表等。
4�、誘敵深入
黑客編寫“合法”程序,上傳到FTP站點(diǎn)或提供給個(gè)人主頁(yè)誘導(dǎo)客戶。當(dāng)客戶下載該軟件時(shí)���,黑客的軟件一并進(jìn)入客戶的計(jì)算機(jī)上����,跟蹤客戶的操作��,記錄客戶輸入的每一個(gè)口令��,發(fā)送到黑客指定的E-mail中�。
5����、尋找漏洞
尋找攻擊目標(biāo)的系統(tǒng)安全漏洞或安全弱點(diǎn),以便獲取攻擊目標(biāo)系統(tǒng)的非法訪問(wèn)權(quán)���。
四�、物流信息安全防護(hù)策略合法商戶進(jìn)行網(wǎng)上查詢��、交易雙方業(yè)務(wù)洽談��、買方下訂單并得到賣方確認(rèn)���、商品配送����、售后服務(wù)、技術(shù)支持等在線操作時(shí)對(duì)商務(wù)數(shù)據(jù)的安全需求比較高����,同時(shí)希望私有信息(口令、賬戶數(shù)據(jù)等)保密��。采用身份認(rèn)證和數(shù)據(jù)加密技術(shù)能夠保護(hù)商戶私人信息及商務(wù)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸時(shí)不被竊聽(tīng)����、篡改、頂替及非法使用�����。
1����、身份驗(yàn)證
采用數(shù)字證書身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)。每個(gè)企業(yè)用戶應(yīng)該申請(qǐng)一張數(shù)字證書���,上網(wǎng)進(jìn)行賬戶查詢時(shí)��,網(wǎng)上銀行系統(tǒng)首先驗(yàn)證該用戶數(shù)字證書是否合法���,然后將查詢請(qǐng)求和口令一起發(fā)送給業(yè)務(wù)前置機(jī)�����,對(duì)口令再次進(jìn)行認(rèn)證�����。當(dāng)服務(wù)器獲得用戶證書后�����,還要檢索該證書是否在廢止證書列表之中。對(duì)于個(gè)人用戶����,可以采用對(duì)口令加密的方式進(jìn)行身份驗(yàn)證,不需要申請(qǐng)證書���,比較方便�����。
2�、數(shù)據(jù)加密
物流信息在網(wǎng)絡(luò)中傳輸時(shí),通常不是以明文方式而是以密文的方式進(jìn)行通信傳輸�����。因?yàn)橐悦魑膫鬏數(shù)男畔?shù)據(jù)��,一旦被他人截獲會(huì)輕而易舉地被讀懂���、竊取盜用及篡改��,很難保證物流配送活動(dòng)的機(jī)密性��、可靠性和安全性�。下面利用C語(yǔ)言編程實(shí)現(xiàn)替換加密方法�。
Caesar(愷撒)密碼是一種最古老的技術(shù),將明文中每個(gè)字母替換為字母表中其后面固定數(shù)目位置的字母����。如要傳輸?shù)拿魑氖恰癐amateacher!”,經(jīng)過(guò)加密�����,密鑰為5,對(duì)方接收到的密文是“Nfrfyjfhmjw!”���,對(duì)第三方來(lái)說(shuō)����,這是毫無(wú)意義的一串字符�,避免了泄密。合法接收方進(jìn)行解密���,又會(huì)得到“Iamateacher!”字符串���。加密算法代碼如下:#include"string.h"
main()
{inti,ld,newasc;
charmingwen[20],miwen[20],c;
strcpy(mingwen,"Iamateacher!");/*明文*/
ld=strlen(mingwen);
for(i=0;i{c=mingwen[i];
if(c>=''''A''''&&c<=''''Z'''')
{newasc=c+5;/*密鑰為5*/
if(newasc>''''Z'''')newasc=newasc-26;
miwen[i]=newasc;}
elseif(c>=''''a''''&&c<=''''z'''')
{newasc=c+5;
if(newasc>''''z'''')newasc=newasc-26;
miwen[i]=newasc;}
else
miwen[i]=c;
}
for(i=0;i}
數(shù)據(jù)加密后傳輸,一定程度上保證了信息的安全性��,密鑰的保密是很關(guān)鍵的�����。否則�,網(wǎng)絡(luò)攻擊者掌握加密�、解密算法,又得到密鑰���,對(duì)合法商戶會(huì)造成致命的損失����。因此加強(qiáng)對(duì)密鑰的管理,要貫穿于密鑰的整個(gè)生存期:密鑰的生成�、驗(yàn)證、傳遞��、保管�、使用和銷毀。
電子商務(wù)作為網(wǎng)絡(luò)時(shí)代的一種全新的交易模式����,相對(duì)于傳統(tǒng)商務(wù)是一場(chǎng)革命。電子商務(wù)的優(yōu)勢(shì)之一就是能大大簡(jiǎn)化業(yè)務(wù)流程���,降低企業(yè)運(yùn)作成本��。而電子商務(wù)企業(yè)成本優(yōu)勢(shì)的建立和保持必須以可靠和高效的物流運(yùn)作作為保證�。所以���,加大力度防護(hù)物流信息的安全�����,大力發(fā)展現(xiàn)代化物流�,電子商務(wù)才能得到更好的發(fā)展。
參考文獻(xiàn):
