时间:2023-03-20 16:26:16
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇商务安全论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
人类社会进入20世纪70年代以来,以微电子技术为基础的计算机技术和通信技术取得了长足的进展,并渗透到经济和社会的各个领域,从而引起了世界范围内的新技术创新浪潮。信息化建设受到各国政府的高度重视,1991年美国提出"信息高速公路"的设想,1993年正式实施"国家信息基础结构:行动计划";1978年法国制定了一项有关"促进社会信息化的计划",从那以后,法国政府不断推进信息革命,每年投入50亿美元巨款改进通信设备;早在1983年,我国政府就把发展信息技术纳入了国家总体科技论文发展战略规划中,1999年,我国政府上网工程迅速推进,国家信息化战略、数字化产品发展战略、电子商务发展框架也都在加紧研究、制定中。目前全球的计算机社会拥有量迅速增加,互联网用户呈几何级数增长,新的经济消费观正在逐步形成。电子商务的社会基础已经形成。Internet技术的应用普及为电子商务奠定了基础条件,万维网及相关技术的推出开创了电子商务应用的新局面,基于Internet的网络环境建设是开创电子商务市场的前提,安全保障等核心技术的实用化是电子商务成功的保证,商贸活动的信息网络化加快了电子商务的发展进程,各种解决方案的推出标志着电子商务即将进入实用化阶段。
从技术的角度看,电子商务的发展经历了启蒙阶段、商业化阶段、社会化阶段,并开始步入智能化时代。回顾企业信息化和电子商务的发展过程,从最初各部门用数据库管理本部门的数据,通过办公自动化(OA)实现企业内部办公文档传递,到建立统一的ERP系统为管理决策提供信息,通过CRM和SCM将企业和客户、供应商等整个供应链上的各个环节联系起来,再到以服务形式提供各式应用,通过第三方ASP实现企业应用服务的外包,这实际上就是一个从数据、信息到服务的纵向发展过程。互联网应用的发展也是这样,从最初企业间使用EDI交换数据,Email通讯传递简单的信息,到通过门户网站、搜索引擎获取所需信息,与世界各地的人在BBS上交流信息,再到如今的通过社会网络SNS拓展自己的交际圈,社会化程度越来越高。随着信息技术和互联网技术的普及和深入应用,电子商务正在以前所未有的速度发展,以其方便性和灵活性向传统商务模型提出了挑战。互联网的飞速发展,使得传统的商业模式产生了深刻的变化,在相当程度上改变着人们的日常生活习惯。基于网络的电子商务作为一种全新的商业模式,已经得到了快速的发展,但网络交易的安全问题始终是阻碍电子商务全面发展的巨大障碍。因此采用先进的网络信息安全防范技术,为电子商务提供完整的安全保障体系,进而推动电子商务高速发展。1.电子商务信息安全要素互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之联接,并借助互联网信息,进行各种网上商务活动。同时,也给那些别有用心的组织或个人提供了窃取别人的各种机密如消费者的银行账号、密码,甚至妨碍或毁坏他人网络系统运行等各种机会。影响电子商务信息安全要素主要有系统的可靠性,交易的真实性,资料的安全性,资料的完整性,交易的不可抵赖性等。概括起来,电子商务面临的安全威胁主要有以下几方面。
1.1系统的中断与瘫痪。网络故障、操作失误、应用程序出错、硬件故障、系统软件设计不完善以及计算机病毒都有可能导致系统不能正常工作。如在划拨货款的过程中突然出现网络中断等。1.2信息被窃取。电子商务作为一种全新的贸易形式,其通讯的信息直接代表着个人、企业或国家的利益。攻击者可能通过因特网、公共电话网、搭线或在电磁波辐射范围内安装截收装置等方式,截获传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数分析,推断出有用的信息、如消费者的银行账号、密码等。1.3信息被篡改。攻击者可能从三个方面破坏信息的完整性。1)篡改。改变信息流的次序,更改信息的内容。2)删除。删除某个消息或消息中的某些部分。3)插入。在信息中插入一些其它干扰信息,让收方读不懂或接收错误的信息。脑知识与技术1.4信息被伪造。1)虚开网站和商店,给用户发电子邮件,接受订单。2)伪造大量用户,发电子邮件,穷尽商家资源、使合法用户不能正常访问网络资源。3)冒充他人身份,进行消费和栽赃等。1.5对交易行为进行抵赖或不承认。1)发信者事后否认曾经发送过某条消息或内容。2)收信者事后否认曾经收到过某条消息或内容。3)购买者不承认确认了的订单。4)商家卖出的商品因价格差而不承认原有的交易。2.电子商务中的信息安全防范技术
2.1数据加密技术加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。按加密密钥与解密密钥的对称性可分为对称型加密、不对称型加密、不可逆加密。在网络安全技术中,加密技术是保障信息安全最关键和最基本的技术手段和理论基础,但是由于大部分数据加密算法都源于美国,且受到美国出口管制法的限制,无法在互联网上大规模使用,从而限制了以加密技术为基础网络安全解决方案的应用。2.2密钥管理技术密钥管理包括确保所产生的密钥具有必要的属性,把密钥提前通知给需要它的特定系统,确保密钥按要求得到保护以阻止暴露和/或替代。其中,对称密钥管理是基于共同保守秘密来实现的,采用对称加密技术的双方必须保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄漏和更改密钥的程序。使用公开密钥的交易双方可以使用证书(公开密钥证书)来交换公开密钥。国际电联指定的X509对37福建电脑2008年第11期数字证书进行了定义,数字证书能够起到标识交易双方的作用,是目前电子商务广泛使用的技术之一。2.3身份认证技术网上安全交易的基础是数字证书。要建立安全的电子商务系统,必须首先建立一个稳固、健全的数字证书和认证中心(CA)。数字签名是利用数字技术实现在网络传送文件时,附加个人标记,完成传统意义上手书签名或印章的作用,以表示确认、负责、经手等。使用数字签名可以保证交易中的认证性和不可否认性。数字签名可以防范:接收方伪造、发送者或接收者否认、第三方冒充、接收方篡改。常见的数字签名技术有:RSA数字签名、DSA数字签名、椭圆曲线数入侵检测技术通常通过基于应用的监控技术、基于主机的监控技术、基于目标的监控技术和基于网络的监控技术四种检测技术来抵御攻击。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。认证机制是保护电子商务安全的第一条防线。任何一个在架构设计上、代码开发中以及认证的实现时所出现的小的漏洞或不足,都有可能使电子商务处在被攻击的风险中。因此,加强对认证攻击的充分认识和了解,并在系统开发时选择合适的防御措施,就可以从根本上对某些攻击进行有效的屏蔽,减少后期频繁维护所付出的代价,达到事半功倍的效果。2.4网络安全扫描技术安全扫描技术是对网络的各个环节提供可靠的分析结果,并为系统管理员提供可靠性和安全性分析报告等。包括端口扫描技术和漏洞扫描技术等。2.5病毒防范技术计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后,攻击者通常要在系统中植入木马或逻辑炸弹等程序,为以后攻击系统、网络提供方便条件。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。2.6电子认证技术为了保证电子商务安全因素的顺利实现,在电子商务中使用了基于公钥体系的安全系统。基于公钥体系的加密系统是按对生成的,每对密钥由公钥和私钥组成,实际应用中,公钥是以证书性质存放的,一个最基本而又是最关键的问题是公钥的分发,也就是证书的分发,如果证书不能得到有效安全的分发,所有的上层应用软件就不能得到安全的保障,解决问题的方法就是建立认证机构体系CA。2.7防火墙技术防火墙(Firewall)是近年来发展最重要的安全技术,它是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段,核心思想是在不安全的网络环境中构造一个相对安全的子网环境。它所保护的对象是网络中有明确闭合边界的一个网块,而它所防范的对象是来自被保护网块外部的安全威胁。目前的防火墙分为两大类,一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器,其显著的优点是较容易提供细颗粒度的存取控制,其可针对特别的网络应用服务协议及数据过滤协议,并且能够对数据包分析并形成相关的报告。通过应用防火墙技术,可以做到通过过滤不安全的服务,极大地提高网络安全和减少网络中主机的风险。但防火墙是一种基于网络边界的被动安全技术,对内部未授权访问难以有效控制,因此较适合于内部网络相对独立,且与外部网络的互连途径有限、网络服务种类相对集中的网络。2.8入侵检测技术入侵检测技术是一种利用入侵者留下的痕迹,如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测与控制为技术本质,起着主动防御的作用,是网络安全中极其重要的部分。
3.企业实现电子商务的安全策略安全问题是企业应用电子商务最担心的问题,如何保障电子商务活动的安全,一直是电子商务的核心研究领域。作为一个安全的电子商务系统,必须采用相应的网络安全策略。安全策略包括网络安全问题的总原则、对安全使用的要求以及如何保障网络的安全运行。3.1制定安全策略时首先确定的最重要的原则拒绝访问明确准许以外的所有服务。当前一些电子商务企业的安全策略存在两个误区:首先,企业所采取的操作系统的标准安全策略存在问题,这一标准安全策略只能提供一道脆弱的防线,很容易被攻破;其次,为满足多种安全需求,许多企业以零碎的方式实施节点式解决方案,这虽然对电子商务的某些领域提供了有限的保护,但同时使系统管理更为复杂。阻止外来系统入侵只是电子商务安全的一个方面。成功的电子商务安全策略,必须涵盖身份识别与认证、隐私与欺骗控制、管理与审计等传统领域。3.2安全策略制定时还应注意的问题3.2.1将需保护的对象分类,确定需保护的资源及其保护级别;规定可以访问资源的实体和可执行的动作;规定审计功能,记录用户活动及资源使用情况。3.2.2系统的安全应从物理上、技术上、管理制度上以及安全教育上全方位采取措施,相互弥补和完善,尽可能地排除安全漏洞。3.2.3根据企业的实际需要确定内部网的服务类型,规定内部用户和外部用户能够使用的服务种类,建立网管站,并制定出切实可行的安全管理制度。此外还需完善电子商务企业内部安全管理体制,增强相关人员的安全意识。
4.结束语电子商务尚是一个机遇和挑战共存的新领域,这种挑战不仅来源于传统的习惯,来源于计划经济体制和市场经济体制的冲突,更来源于对可使用的安全技术的信赖。企业在应用电子商务时,应采取一系列的安全技术和安全策略。这种种安全措施的采用,一定能保证企业进行安全的电子商务活动。
参考文献:
1.韩磊石松:浅谈电子商务中信息安全问题[J].临沂师范学院学报,2001;(8):136-139
2.黄发文:计算机网络安全技术初探[J].计算机应用研究,2002(5):46-48
3.林柏钢.网络与信息安全教程[M].机械工业出版社,2005.
1校园电子商务概述
1.1校园电子商务的概念。
校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校本论文由整理提供园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。
1.2校园电子商务的特点。
相对于一般电子商务,校园电子商务具有客户群本论文由整理提供稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。
2校园电子商务的安全问题
2.1校园电子商务安全的内容。
校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。
2.2校园电子商务安全威胁。
校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非本论文由整理提供授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。
2.3校园电子商务安全的基本安全需求。
通过对校园电子商务安全威胁的分析,可以本论文由整理提供看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。
3校园电子商务安全解决方案
3.1校园电子商务安全体系结构。
校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系本论文由整理提供结构,如图所示:
上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和本论文由整理提供交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。
针对上述安全体系结构,具体的方案有:
(1)营造良好校园人文环境。加强大学生本论文由整理提供的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共
同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。
(2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。
(3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。
(4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而本论文由整理提供不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。
3.2校园网络安全对策。
保障校园网络安全的主要措施有:
(1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问本论文由整理提供,防止来自外部互联网对内部网络的破坏。
(2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。
(3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的本论文由整理提供安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。
3.3交易信息安全对策。
针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解本论文由整理提供决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。
(1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。
(2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务本论文由整理提供中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。
(3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。
3.4基于一卡通的校园电子商务。
目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:
(1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。超级秘书网
(2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。
4结束语
电子商务是一个跨国界,跨地区,跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突,不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本,从各主体的角度思考,综合协调了各个市场主体的行为,从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益,它为实现电子商务提供了统一的基础平台和安全屏障。
一、电子商务安全技术保障策略
安全技术保障技术是电子商务安全体系中的基本策略,目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种:
1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换,变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。
2.身份验证技术。电子商务主体向系统证明自己身份,并由系统查核该主体的过程,是确认真实有效身份的重要环节,这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。
3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认,防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。
4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类:分组过滤、应用、电路网关。
二、企业电子商务安全运营管理制度保障策略
企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定,是保证企业取得电子商务成功的基础,是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度,保密制度,跟踪审计制度,系统维护制度、数据备份制度等。
1.人员管理制度人员管理制度主要从人员的选拔,工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。
2.保密制度电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密,这些方面都是需要很好地划分信息安全级别,并确定安全防范重点,提出相应的保密措施。
3.跟踪审计制度跟踪制度就是要求企业建立网络交易的日志机制,来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核,及时发现对系统有安全隐患的记录,监控各种安全事故,维护和管理系统日志。
4.网络系统的日常维护制度网络系统的日常维护包括硬件的日常维护和软件的日常维护,硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修;软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。
5.数据备份制度数据备份主要是利用多种介质对信息系统数据进行存储,定期为重要信息备份、系统设备备份,并定期更新,以减少安全事故发生时造成的损失。
三、电子商务立法策略
电子商务安全得到法律保障,首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。
1.立法目的电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性,保护合理的商业行为,保障电子交易安全;建立一个清晰的法律框架以统一调整电子商务的健康发展。
2.立法范围电子商务安全方面需要的法律法规主要有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法,知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等;电子商务调整的对象是电子商务中的各种社会关系。
3.立法途径电子商务法律仍然是调整社会关系,所以应当继承传统立法的合理内核,尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。对于传统法律没有规定的,即由电子商务带来的新的社会关系,应尽快制定法律规范;第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确,或与电子商务新型社会关系有冲突甚至存在缺欠的,可以修改或重新解释既定的法律规范。
四、政府监督管理策略
电子商务本质是一种市场运作模式,市场的正常健康有序地发展,必须有政府宏观上的监督与管理,以协调和规范各市场主体的行为,宏观监督与管理电子商务运行中的安全保障体系。
1.计算机信息系统安全管理计算机信息系统,是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度,计算机系统使用单位安全负责制度,计算机案件强行报告制度,计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护,有利于保障国家的安全和社会安定,促进电子商务的安全交易过程,有利电子商务的健康发展。
2.网络广告和网络服务业管理由于网络的开放性,自由性等特征决定了网络广告监管的难度,虚假广告、广告充斥着网络空间,网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手:第一,网络广告组织的管理,必须对网站广告经营主体资格进行管制,第二,规范网络广告内容,确保广告内容的真实性、合法性和科学性。第三,需要有具体的广告审查管制、评估与监测部门。
国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》,其中提出了详细具体的限制条件。但是,网络飞速发展,面对网络中的新问题,还必须进一步深入全面地研究。
3.认证机构管理认证机构是电子商务活动中专门从事颁发认证证书的机构,对电子商务交易活动顺利进行,电子商务活动中交易参与各方身份和信息认定,维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督;同时,还要针对其资产和财务状况定期审查,以免发生财务危机,对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。
4.加强社会信用道德建设,构建和谐安全电子商务电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的,在我国尤其严重,甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式,必然存在不少漏洞,这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施,更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律,充分利用网络新闻舆论监督,消费者舆论监督和行业协会的管理监督。
五、结束语
电子商务安全不仅涉及到电子商务公司、企业、消费者的利益,而且更加广泛地涉及经济、政治、国防、文化等诸多方面,关系到国家的安全、和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈,只有解决了电子商务安全,保障了市场主体的利益,才能得到网络用户的认可和参与,电子商务自身也才能得到快速、健康地发展。
参考文献
[1]林宁,吴志刚.我国信息安全技术标准化现状[J].中国标准化,2007(4)
伴随经济的迅猛发展,电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势,必须保证电子商务中信息交流的安全。
一、电子商务的信息安全问题
电子商务信息安全问题主要有:
1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。
二、信息安全要求
电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:
1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。
三、信息安全技术
1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。
防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术:把过滤和服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。
3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。
4.防病毒技术。(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。
四、结语
信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。
参考文献:
降低成本,提高效率一直是航空公司经理们所要考虑的问题。在传统情况下,当公司需要进行采购的时候组织采购部门会填写请购单,这个请购单会交付给供应商。表格交付后,确认产品信息确认后付款。采购过程非常耗时。在网络没有出现的年代,寻找要购买的商品通常需要一个半天的时间,而电子采购只需要20分钟。(Chaffey,2002)可以说企业机构从电子采购中获益很多。
1.2对分销商的影响
对航空业来讲,分销是指航空公司如何把机票分配给消费者。在网络没有盛行的年代,旅行社是重要的购买机票的渠道。而现在购买机票方式的变化是显而易见的。许多航空公司设立了官方网站来吸引消费者购票。Law和Leung(2000)认为网络能够在不通过旅行社和电脑预订系统(ComputerReservationSystems,CRS)直接与消费者沟通,从而降低了机票的分销费用。EasyJet航空公司就是通过各种方式来降低不必要成本的典型,比如通过网络售票。2001年9月75%的人上网买票,这可以看作是一种脱媒方式。随着网络的普及,几乎所有的航空公司都建立自己的网站,同时网络订机票的中介也应运而生,这就意味着航空公司之间的竞争越发激烈,尤其对那些以价格为导向的消费者来说,他们更倾向于价格更便宜的机票。以2012年4月22日从伦敦到巴塞罗那的机票为例,大英航空的最低票价为196英镑,而Easyjet的票价只有62.99英镑,可见Easyjet在降低成本上所做的努力。可以看出,网络在降低了航空业分销渠道成本的同时,也加大了行业内部之间的竞争。
1.3对客户关系的影响
如上所述,航空业属于服务业范畴,因而公司与消费者的关系是至关重要的。Chaffey(2002)认为客户关系主要有两个部分,即客户获取(customeracquisition)和客户维系(customerretention),其中获取一个客户要比维系一个客户成本更高。因而公司希望与已获得的客户保持长期而良好的关系,而网络让维持这种关系变得更加容易。荷兰皇家航空公司(KLM)的网络客户关系管理团队(CRMteam)会根据客户在网上订票后所留下的cookies(小型文本本件)来判定客户的消费习惯,从而为客户提供更加个性化的信息,比如给他们发送专门为他们定制的邮件。他们也为常旅客(frequentflyers)提供专属的服务,并称之为常旅客计划会员(frequentflyerprogrammem-bership)。其次,对消费者来说,网络的产生让消费者能够随时随地查询相关信息,比如网上值机系统(onlinecheck-insystem)能够节省消费者的时间同时也能降低公司人力成本。航空公司通过电子商务(网络,手机等)可以更好与消费者维持良好的关系。廉价航空公司EasyJet通过使用RightNow公司的客户关系管理软件使该公司运行成本降低了75万英镑。
2电子商务在未来发展中的隐患
2.1网络安全问题
对消费者来说网络安全是他们进行网上购物的顾虑之一,这种顾虑不仅仅存在于航空业之中,其中就包括网上转账安全。2011年美国社交网络脸书(Facebook)的大规模用户信息泄露事件让网络安全问题处在了风口浪尖上。网络诈骗及其他网络问题的出现让消费者们对网上转账产生了疑虑。据统计,仅2008年美国航空业损失费用达到14亿美元,占了当年世界航空业总产值的百分之1.3。Cunningham等(2004)认为“对于基于网络和传统的航空预订服务来说,对风险的感知是系统的模式”这就意味着尽管航空公司不断强调他们采用多么现实的网络安全技术,消费者始终会对网上支付有一定的顾虑。其次,消费者也担心在网上注册账号会导致更多的个人信息被泄露。美国廉价航空公司捷蓝(JetBlue)航空在顾客信息保护上面下了很大功夫,公司信息技术副总裁ToddThompson认为“网络能够提升他们为顾客提供优质服务的能力,但不幸的是,电子通信总是会被转发、打印或复制,因此完全的保密是几乎不可能完成的”。捷蓝航空计划为WindowsServerTM2003和微软办公系统使用微软公司的权限管理服务MicrosoftRWindowsRRightsManagementSer-vices(RMS),这种信息保护技术是建立在文件级别上了,内部信息的交流会降低信息被他人误读,从而提高了消费者信息的安全性。但根据Krishnamurthy(P.5)的研究,通过旅行网站所泄露的个人信息占据所有网站之首,旅行网站的直接泄露指数(directleakageindex)为9,而像购物网站和新闻网站分别只有3和5。由此可以看出,航空业在未来发展电子商务方面还存在着潜在的风险。而且提高升级网络系统容易,但是改变人们对网络隐患的担忧却不是那么容易。
2.2硬件问题
Phaladsingh(2006)认为“个人电脑的普及率”是影响电子商务发展的阻碍之一,这就意味着不管网络技术有多发达,如果人们买不起电脑和其他数码设备,电子商务就很难发挥其作用。对于航空业来说同样是如此,网上值机、网上购票等服务只有在有电脑设备的时候才会体现出其优越性。显而易见,发达国家更容易接触到电子产品也更容易享受到电子产品带来的便捷体验。2004年在美国每1000人中有763个人拥有电脑,而在一些欠发达国家每1000人中平均只有1到2个人拥有电脑,非洲国家尼日尔每1000人中只有0.1716人使用电脑,这个数量在增加,但不可否认的是在发展中国家尤其是一些欠发达国家电子商务并不能产生很好的效果。
2电子商务诚信缺失的原因与表现
2.1 我国诚信基础薄弱,电子商务交易社会信任度低
电子商务参与者的诚信观念、规则意识不强。电子商务作为不见面的交易模式,难以得到消费者的认同,而“无商不奸”的观念在人们的思想中根深蒂固,这是电子商务发展的心理障碍。
2.2 社会信用体制尚未完全建立,电子商务难于运营
电子商务贸易内的信用评级还完全属于行业和个人行为,还没有得到政府的支持和认可,所以评级中介机构、评级依据都未得到法律认同,从而评级也就没有法律效力。
2.3 商业秘密和客户隐私得不到保护
网络具有公开性,商家和消费者的个体信息在未征得同意时不得公开,否则将构成对隐私权的侵犯。而目前很多商业性网站并不注重对客户信息的保护,商业秘密和隐私随时可能受到侵犯,且难以获得有效的法律救济。
另外,还有网络诈骗、商品质量低劣、不履行服务承诺等一系列诚信缺失的表现。
3电子商务的诚信建设
3.1 加大诚信建设和教育,提高全民诚信素质
倡导诚信观念,提高社会公德和全民诚信素质,形成诚实守信的社会环境,促进电子商务的发展。
3.2 健全相关法律、法规和制度的建设
法律、法规作为诚信的最后一道保障,不仅能打击违法行为,维护消费者的合法权益,也能营造良好的社会诚信环境,促进电子商务的繁荣发展。根据电子商务的环境和交易特点,建立电子交易法律和制度、电子支付制度、信用卡制度等。
3.3 完善信用体系建设
(1)建立电子商务信用模式。电子商务的信用模式主要是指电子商务企业(网站)通过制定和实施确定交易规则,为电子商务交易的当事人建立一个公平、公正的平台,以确保电子商务交易的安全可靠。其基础性设施主要体现在资格认证和信用认证。
(2)加强行业自律。电子商务行业应当反对采用一切不正当手段进行行业内竞争,自觉维护用户的合法权益,保守用户信息秘密。
(3)建立在线信用信息数据库。政府有关部门要尽早建立跨区域的在线信用信息数据库,通过提供信用查询、公示企业守信或诚信信息、受理信用的投诉、受理信用的异议等服务,来营造电子商务信用环境。
另外,还要增强政府引导与管理能力,促进中国电子商务诚信联盟的发展。可以营造良好的电子商务诚信环境。
4 电子商务的安全要素与安全技术
实现电子商务的关键是要保证商务活动过程中系统的安全性,从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,电子商务交易双方都面临安全威胁。这些安全因素包含:信息有效性、真实性;信息机密性;信息完整性;信息可靠性、不可抵赖性和可鉴别性。;
4.1 电子商务的安全技术
(1)数据加密技术
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务,可分为:对称密钥密码算法、不对称型加密算法、不可逆加密算法三种。电子商务领域常用的加密技术有数字摘要、数字签名、数字时间戳、数字证书等。
(2)与电子商务安全有关的协议技术
SSL协议(安全套接层协议),主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输。从目前实际使用的情况来看,SSL还是人们最信赖的协议,但是SSL并不能协调各方间的安全传输和信任关系;还有,购货时用户要输入通信地址,这样将可能使得用户收到大量垃圾信件。
SET协议(安全电子交易),由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构,共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准,它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性,是目前公认的信用卡/借记卡的网上交易的国际安全标准。
(3)身份认证技术
在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易的自己能完成的,而需要有一个具有权威性和公正性的第三方来完成。认证中心就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。
4.2网上支付平台及支付网关
网上支付平台分为CTEC支付体系和SET支付体系。网上支付平台支付型电子商务业务提供各种支付手段,包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。支付网关位于公网和传统的银行网络之间,主要完成通信、协议转换和数据加解密功能,并且可以保护银行内部网络。此外,支付网关还具有密钥保护和证书管理等其它功能。
5小结
本文分析了目前电子商务领域所面临的诚信危机与安全威胁,指出要将行业诚信、政府监管、国家立法、安全技术等多方面相结合,从而保障电子商务的安全运行,引导和促进我国电子商务快速健康发展。
[3]梁露,电子商务网站建设与实践[M],北京:人民邮电出版社,2008:180-182
一、前言
电子商务全球化的发展趋势中,电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康发展。限制电子商务的发展主要因素就是电子支付手段的安全性。
二、主要的电子支付手段及其安全性分析
1.电子信用卡
(1)支付方式:信用卡支付是电子支付中最常用的工具,方法是在Internet环境下通过标准的SET协议进行网络支付,用户在网上发送信用卡号和密码,加密后发送到银行进行支付。支付过程中要进行用户、商家及付款要求的合法性验证。
(2)安全策略:电子信用卡,是通过用户在网上输入账号/密码+数字签名,这些信息都是通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互,进行网络支付,这种支付方式的安全性是可以得到保证的。
(3)安全隐患:单纯从技术上来说,无安全隐患问题。
2.电子支票
(1)支付方式:电子支票是利用数字化手段进行网上支付,支付过程与传统支票的支付过程相似,只是电子支票完全抛开了纸质的媒介,其支票的形式是通过网络传播,并用数字签名代替了传统的签名方式。其交易流程如下:
(2)安全策略:和电子信用卡一样,采用账号/密码+数字签名的方式进行身份验证。其支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性,从上面的交易流程,我们可以看到,电子支票的支付在专用系统上有可靠的安全措施的。
(3)安全隐患:专用网络上的应用具有成熟的模式(例如SWIFT(环球银行金融通讯协会、SocietyforWorldwideInterbankFinancialTelecommunication)系统);公共网络上的点的资金转账仍在实验之中。
3.电子现金
(1)支付方式:电子现金是一种以数字化形式存在的现金货币,它同信用卡不一样,信用卡本身并不是货币,只是一种转账手段,而电子现金本身就是一种货币,是一种以数据形式存在的现金货币。它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。可以直接用来购物。电子现金具有如下特点:匿名;节省交易费用;支付灵活方便;安全存储。
(2)安全策略:没有适当的身份认证机制,是匿名的,为防止被伪造,电子现金的传输是经过数字签名的。
(3)安全隐患:①逃税:由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。电子现金不像真实的现金一样,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收规则,由于其不可跟踪性,电子现金很可能被不法分子用以逃税。②洗钱:电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经开始了这种做法。
③扰乱金融秩序:电子现金的法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品或服务的数字化等价物,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。
④重复消费:由于电子序列号可以被复制,因此需要一个大型的数据库存储用户完成的交易和E-Cash序列号以防止重复消费,这对于软件和硬件的要求都很高,因此很多银行都不支持电子现金业务。
4.移动支付
(1)支付方式:移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户,为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统,移动支付系统将此次交易的要求传送给MASP,由MASP确定此次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付系统来完成。
(2)安全措施:身份验证方式采用个人账号/密码的方式。对交易中的部分敏感信息进行了加密。
一、电子商务发展存在的风险
第三方的电子交易平台在网络上对于信息进行储存、记录、处理、和传递,以此来协助一次网络消费行为的完成。一般情况下,这些信息都具有真实性和保密性,属于大众的隐私。但是,现在的网络环境比较恶劣,有很多网络陷阱以及刻意挖掘用户信息的“黑客”,从而导致基本信息出现失真、泄露和删除的危机,不利于正常电子商务交易的完成。对于电子商务信息大致上可以分为以下几类:第一,信息的真实性;第二,信息的实时性;第三,信息的安全性。首先,是信息的真实性。电子商务上的基本信息是卖家和买家进行认识对方和分辨商品真实性可靠性的唯一途径,应该绝对真实。一旦出现虚假信息,则属于欺骗消费者,是危害消费者权益的不法行为。其次,是信息的实时性。信息的实时性主要是指信息的保质期。因为很多信息只在一段时间内有效,具有时效性,一旦错过这段关键时期,那么该信息则失去自身的价值,变得一文不值。最后,就是信息的安全性,这也是消费者最为关心的问题。电子商务出现的安全性问题主要表现为客户的信息被删除、篡改从而失真,同时也表现为用户的信息被窃取从而达成其他目的,使得用户的隐私被侵犯,正常的生活受到打扰。
二、电子商务的信息安全技术的内容
对数据进行有效加密与解密,称为密码技术,即数据机密性技术。其目的是为了隐蔽数据信息,将明文伪装成密文,使机密性数据在网络上安全地传递而不被非法用户截取和破译。伪装明文的操作称为加密,合法接收者将密文恢复出原明文的过程称为解密,非法接收者将密文恢复出原明文的过程称为破译。密码是明文和加密密钥相结合,然后经过加密算法运算的结果。加密包括两个元素,加密算法和密钥。加密时所使用的信息变换规则称为加密算法,是用来加密的数学函数,一个加密算法是将普通的文本(或者可以理解的信息)与一串字符串即密钥结合运算,产生不可理解的密文的步骤。密钥是借助一种数学算法生成的,它通常是由数字、字母或特殊符号组成的一组随机字符串,是控制明文和密文变换的唯一关键参数。对于相同的加密算法,密钥的位数越多,破译的难度就越大,安全性就越好。目前,电子商务通信中常用的有私有(对称)密钥加密法和公开(非对称)密钥加密法。
一、私有密钥加密法
(一)定义
私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用同样的一把密钥A对收到的密文M进行解密,得到明文信息,从而完成密文通信目的的方法。这种信息加密传输方式,就称为私有密钥加密法。上述加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。
(二)使用过程
具体到电子商务,很多环节要用到私有密钥加密法。例如,在两个商务实体或两个银行之间进行资金的支付结算时,涉及大量的资金流信息的传输与交换。这里以发送方甲银行与接收方乙银行的一次资金信息传输为例,来描述应用私有密钥加密法的过程:银行甲借助专业私有密钥加密算法生成私有密钥A,并且复制一份密钥A借助一个安全可靠通道(如采用数字信封)秘密传递给银行乙;银行甲在本地利用密钥A把信息明文加密成信息密文;银行甲把信息密文借助网络通道传输给银行乙;银行乙接受信息密文;银行乙在本地利用一样的密钥A把信息密文解密成信息明文。这样银行乙就知道银行甲的资金转账通知单的内容,结束通信。
(三)常用算法
世界上一些专业组织机构研发了许多种私有密钥加密算法,比较著名的有DES算法及其各种变形、国际数据加密算法IDEA等。DES算法由美国国家标准局提出,1977年公布实施,是目前广泛采用的私有密钥加密算法之一,主要应用于银行业中的电子资金转账、军事定点通信等领域,比如电子支票的加密传送。经过20多年的使用,已经发现DES很多不足之处,随着计算机技术进步,对DES的破解方法也日趋有效,所以更安全的高级加密标准AES将会替代DES成为新一代加密标准。
(四)优缺点
私有密钥加密法的主要优点是运算量小,加解密速度快,由于加解密应用同一把密钥而应用简单。在专用网络中由于通信各方相对固定、所以应用效果较好。但是,私有密钥加密技术也存在着以下一些问题:一是分发不易。由于算法公开,其安全性完全依赖于对私有密钥的保护。因此,密钥使用一段时间后就要更换,而且必须使用与传递加密文件不同的途径来传递密钥,即需要一个传递私有密钥的安全秘密渠道,这样秘密渠道的安全性是相对的,通过电话通知、邮寄软盘、专门派人传送等方式均存在一些问题。二是管理复杂,代价高昂。私有密钥密码体制用于公众通信网时,每对通信对象的密钥不同,必须由不被第三者知道的方式,事先通知对方。随着通信对象的增加,公众通信网上的密码使用者必须保存所有通信对象的大量的密钥。这种大量密钥的分配和保存,是私有密钥密码体制存在的最大问题。三是难以进行用户身份的认定。采用私有密钥加密法实现信息传输,只是解决了数据的机密性问题,并不能认证信息发送者的身份。若密钥被泄露,如被非法获取者猜出,则加密信息就可能被破译,攻击者还可用非法截取到的密钥,以合法身份发送伪造信息。在电子商务中,有可能存在欺骗,别有用心者可能冒用别人的名义发送资金转账指令。因此,必须经常更换密钥,以确保系统安全。四是采用私有密钥加密法的系统比较脆弱,较易遭到不同密码分析的攻击。五是它仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。
二、公开密钥加密法
(一)定义与应用原理
公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。是电子商务应用的核心密码技术。所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用另一把密钥B对收到的密文M进行解密,得到明文信息完密文通信目的的方法。由于密钥A、密钥B这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。
公开密钥加密法的应用原理是:借助密钥生成程序生产密钥A与密钥B,这两把密钥在数学上相关,对称作密钥对。用密钥对其中任何一个密钥加密时,可以用另一个密钥解密,而且只能用此密钥对其中的另一个密钥解密。在实际应用中,某商家可以把生成的密钥A与密钥B做一个约定,将其中一把密钥如密钥A保存好,只有商家自己知道并使用,不与别人共享,叫作私人密钥;将另一把密钥即密钥B则通过网络公开散发出去,谁都可以获取一把并能应用,属于公开的共享密钥,叫做公开密钥。如果一个人选择并公布了他的公钥,其他任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,而且非法用户几乎不可能从公钥推导出私钥。存在下面两种应用情况:一是任何一个收到商家密钥B的客户,都可以用此密钥B加密信息,发送给这个商家,那么这些加密信息就只能被这个商家的私人密钥A解密。实现保密性。二是商家利用自己的私人密钥A对要发送的信息进行加密进成密文信息,发送给商业合作伙伴,那么这个加密信息就只能被公开密钥B解密。这样,由于只能应用公开密钥B解密,根据数学相关关系可以断定密文的形成一定是运用了私人密钥A进行加密的结果,而私人密钥A只有商家拥有,由此可以断定网上收到的密文一定是拥有私人密钥A的商家发送的。
(二)使用过程
具体到电子商务,很多环节要用到公开密钥加密法,例如在网络银行客户与银行进行资金的支付结算操作时,就涉及大量的资金流信息的安全传输与交换。以客户甲与乙网络银行的资金信息传输为例,来描述应用公开密钥加密法在两种情况下的使用过程。首先,网络银行乙通过公开密钥加密法的密钥生成程序,生成自己的私人密钥A与公开密钥B并数学相关,私人密钥A由网络银行乙自己独自保存,而公开密钥B已经通过网络某种应用形式(如数字证书)分发给网络银行的众多客户,当然客户甲也拥有一把网络银行乙的公开密钥B。
1、客户甲传送一“支付通知”给网络银行乙,要求“支付通知”在传送中是密文,并且只能由网络银行乙解密知晓,从而实现了定点保密通信。客户甲利用获得的公开密钥B在本地对“支付通知”明文进行加密,形成“支付通知”密文,通过网络将密文传输给网络银行乙。网络银行乙收到“支付通知”密文后,发现只能用自己的私人密钥A进行解密形成“支付通知”明文,断定只有自己知晓“支付通知”的内容,的确是发给自己的。
2、网络银行乙在按照收到的“支付通知”指令完成支付转账服务后,必须回送客户甲“支付确认”,客户甲在收到“支付确认”后,断定只能是网络银行乙发来的,而不是别人假冒的,将来可作支付凭证,从而实现对网络银行业务行为的认证,网络银行不能随意否认或抵赖。网络用户乙在按照客户甲的要求完成相关资金转账后,准备一个“支付确认”明文,在本地利用自己的私人密钥A对“支付确认”明文进行加密,形成“支付确认”密文,通过网络将密文传输给客户甲。客户甲收到“支付确认”密文后,虽然自己有许多密钥,有自己的,也有别人的,却发现只能用获得的网络银行乙的公开密钥B进行解密,形成“支付确认”明文,由于公开密钥B只能解密由私人密钥A加密的密文,而私人密钥A只有网络银行乙所有,因此客户甲断定这个“支付确认”只能是网络银行乙发来的,不是别人假冒的,可作支付完成的凭证。
(三)算法
当前最著名、应用最广泛的公开密钥系统是RSA(取自三个创始人的名字的第一个字母)算法。目前电子商务中大多数使用公开密钥加密法进行加解密和数字签名的产品和标准使用的都是RSA算法。RSA算法是基于大数的因子分解,而大数的因子分解是数学上的一个难题,其难度随数的位数加多而提高。
(四)优缺点
优点是可以在不安全的媒体上通信双方交换信息,不需共享通用密钥,用于解密的私钥不需发往任何地方,公钥在传递与过程中即使被截获,由于没有与公钥相匹配的私钥,截获公钥也没有意义。
能够解决信息的否认与抵赖问题,身份认证较为方便。密钥分配简单,公开密钥可以像电话号码一样,告诉每一个网络成员,商业伙伴需要好好保管的只是一个私人密钥。而且密钥的保存量比起私人密钥加密少得多,管理较为方便。最大的缺陷就在于它的加解密速度。超级秘书网
三、两种加密法的比较
通过DES算法和RSA算法的比较说明公开密钥加密法和私有密钥加密法的区别:在加密、解密的处理效率方面,DES算法明显优于RSA算法,即DES算法快得多;在密钥的分发与管理方面,RSA算法比DES算法更加优越;在安全性方面,只要密钥够长,如112b密钥的DES算法和1024b的RSA算法的安全性就很好,目前还没找到在可预见的时间内破译它们的有效方法;在签名和认证方面,DES算法从原理上不可能实现数字签名和身份认证,但RSA算法能够方便容易的进行数字签名和身份认证。
基于以上比较的结果可以看出,私有密钥加密法与公开密钥加密法各有长短,公开密钥加密在签名认证方面功能强大,而私有密钥加密在加/解密速度方面具有很大优势。为了充分发挥对称加密法和非对称加密法各自的优点,在实际应用中通常将这两种加密法结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。这样不仅数据信息的加解密速度快,同时保障了密钥传递的安全性。数据加密技术是信息安全的基本技术,在网络中使用的越来越广泛。针对不同的业务要求可以设计或采取不同的加密技术及实现方式。另外还要注意的是,数据加密技术所讨论的安全性只是暂时的,因此还要投入对密码技术新机制、新理论的研究才能满足不断增长的信息安全需求。
参考文献:
[1]丁学君.电子商务中的信息安全问题及其对策[J].计算机安全,2009,(2).
[2]余绍军,彭银香.电子商务安全与数据加密技术浅析[J].中国管理信息化(综合版),2007,(04).
[3]王俊杰.电子商务安全问题及其应对策略[J].特区经济,2007,(07).
网络的安全问题得到人们的日益重视。网络面临的威胁五花八门:内部窃密和破坏,截收,非法访问,破坏信息的完整性,冒充,破坏系统的可用性,重演,抵赖等。于是公钥基础设施(PublicKeyInfrastructure,PKI)应运而生。PKI是电子商务和其它信息系统的安全基础,用来建立不同实体间的“信任”关系。它的基础是加密技术,核心是证书服务。用户使用由证书授权认证中心(CertificateAuthority,CA)签发的数字证书,结合加密技术,可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性,并进行用户身份的识别。
1.密钥托管KE与密钥托管KEA的概念
在电子商务广泛采用公开密钥技术后,随之而来的是公开密钥的管理问题。对于中央政府来说,为了加强对贸易活动的监管,客观上也需要银行、海关、税务、工商等管理部门紧密协作。为了打击犯罪,还要涉及到公安和国家安全部门。这样,交易方与管理机构就不可避免地产生联系。为了监视和防止计算机犯罪活动,人们提出了密钥托管(KeyEscrow,KE)的概念。KE与CA相接合,既能保证个人通信与电子交易的安全性,又能实现法律职能部门的管理介入,是今后电子商务安全策略的发展方向。
密钥托管技术又称为密钥恢复(KeyRecovery),是一种能够在紧急情况下提供获取信息解密密集新途径的技术。它用于保存用户的私钥备份,既可在必要时帮助国家司法或安全等部门获取原始明文信息,也可在用户丢失、损坏自己的密钥后恢复密文。
执行密钥托管功能的机制是密钥托管(KeyEscrowAgent,KEA)。KEA与CA是PKI的两个重要组成部分,分别管理用户的私钥与公钥。KEA对用户的私钥进行操作,负责政府职能部门对信息的强制访问,不参与通信过程。CA作为电子商务交易中受信任和具有权威性的第三方,为每个使用公开密钥的客户发放数字证书,负责检验公钥体系中公钥的合法性。因此它参与每次通信过程,但不涉及具体的通信内容。
2.安全密钥托管的步骤
密钥托管最关键,也是最难解决的问题是:如何有效地阻止用户的欺诈行为,即逃脱托管机构的跟踪。为防止用户逃避脱管,密钥托管技术的实施需要通过政府的强制措施进行。用户必须先委托密钥托管进行密钥托管,取得托管证书,才能向CA申请加密证书。CA必须在收到加密公钥对应的私钥托管证书后,再签发相应的公钥证书。
为了防止KEA滥用权限及托管密要的泄漏,用户的私钥被分成若干部分,由不同的密钥托管负责保存。只有将所有的私钥分量合在一起,才能恢复用户私钥的有效性。
(1)用户选择若干个KEA,分给每一个一部分私钥和一部分公钥。根据所得的密钥分量产生相应的托管证书。证书中包括该用户的特定表示符(UniqueIdentify,UID)、被托管的那部分公钥和私钥、托管证书的编号。KEA还要用自己的签名私钥对托管证书进行加密,产生数字签名,并将其附在托管证书上。
(2)用户收到所有的托管证书后,将证书和完整的公钥递交给CA,申请加密证书。
(3)CA验证每个托管证书的真实性,即是否每一个托管都托管了一部分有效的私钥分量,并对用户身份加以确认。完成所有的验证工作后,CA生成加密证书,返回给用户。3.司法部门利用KE对信息的强制访问
所有传送的加密信息都带有包含会话密钥的数据恢复域(DataRecoveryField,DRF),它由时间戳、发送者的加密证书、会话密钥组成,与密文绑定在一起传送给接收方。接收方必须通过DRF才能获得会话密钥。在必要时,司法部门可利用KEA,通过DRF实现对通信内容的强制访问。
在司法部门取得授权后,首先监听并截获可疑信息,利用DRF中发送者的加密证书获得发送者的托管标示符及其对应的托管证书号,然后把自己的授权证书和托管证书号交给相应的密钥托管。KEA验证授权证书的真伪后,返回自己保管的那部分私钥。这样在收集了所有的私钥成分后,司法部门就能恢复出发送者的私钥,再结合接收者的公钥及时间戳,就能破解会话密钥,进而破解整个密文。由于密钥托管不参与通信过程,所以在通信双方毫无察觉的情况下,司法部门就能审查通信内容。
4.结束语
自从1993年美国政府颁布密钥托管加密标准EES,有关密钥托管的研究一直是密码学领域一个持续的研究热点。在电子商务时代,国家为了能够管理和控制电子商务的健康发展,必须强制实施一定形式的密钥托管技术,以便及时发现和阻止非法商务活动,并为司法部门提供取证的方便。
参考文献
[1].卢铁成.信息加密技术四川科学出版社1989
[2].陈伟东,翟起滨.二类基于离散对数问题的信息恢复多签名体制.密码与信息,1998.1
[3].NationalInstituteforStandardsandTechnology.EscrowedEncryptionStandard.FederalInformationProcessingStandardsPublication185,U.S.DeptofCommerce,1994
[4].BellareM,GoldwasserS.Verifiablepartialkeyescrow.In:ProceedingsofFourthAnnualConferenceonComputerandCommunicationsSecurity,ACM,1997
1计算机安全技术
计算机安全技术既计算机信息系统安全技术,是指为防止外部破坏、攻击及信息窃取,以保证计算机系统正常运行的防护技术。下面我就从计算机安全技术的研究领域、包括方面两个角度出发来进行探讨。
1.1计算机安全技术主要有两个研究领域
一是计算机防泄漏技术。即通过无线电技术对计算机进行屏蔽、滤波、接地,以达到防泄漏作用。
二是计算机信息系统安全技术。即通过加强安全管理,改进、改造系统的安全配置等方法,以防御由于利用计算机网络服务、系统配置、操作系统及系统源代码等安全隐患而对计算机信息系统进行的攻击,使计算机信息系统安全运行。
1.2计算机安全技术包括方面
计算机的安全技术包括两个方面:个人计算机的安全技术,计算机网络的安全技术。
1.2.1个人计算机的安全技术
个人计算机的安全技术是影响到使用个人电脑的每个用户的大事。它包括硬件安全技术、操作系统安全技术、应用软件安全技术、防病毒技术。在这里我们主要讨论硬件安全技术和操作系统安全技术。
硬件安全技术是指外界强电磁对电脑的干扰、电脑在工作时对外界辐射的电磁影响,电脑电源对电网电压的波动的反应、CPU以及主板的电压和电流适应范围、串并口时热拔插的保护、机箱内绝缘措施、显示器屏幕对周围电磁干扰的反应和存储介质的失效等等。目前,这种单机的硬件保护问题在技术上相对简单一点,一般来说,凡是严格按照IS9001标准进行采购、生产、管理、销售的企业都可以保证上述安全问题能有相应的解决措施。
操作系统安全技术是指目前常用的PC操作系统的安全问题,包括DOS、WINDOWS的安全问题。由于WIN—DOWS系统在日常生活中被大多数人所熟知,这里我们就以WINDOWS系统为例来分析操作系统的安全技术。
WINDOWS系统在安全技术方面采取了软件加密和病毒防治两种手段来保证操作系统的安全。软件加密由三个部分组成:反跟踪、指纹识别、目标程序加/解密变换。三个部分相互配合,反跟踪的目的是保护指纹识别和解密算法。指纹识别判定软件的合法性,而加/解密变换则是避免暴露目标程序。病毒防治原理是由于Windows的文件系统依赖于DOS,所以扩充现有的基于DOS的病毒防治软件。使之能够识别Windows可执行文件格式(NE格式),是一种行之有效的方法,在病毒的检测、清除方面则需要分析Win—dows病毒的传染方式和特征标识,扩充现有的查毒、杀毒软件。
1.2.2计算机网络的安全技术
计算机安全特别是计算机网络安全技术越来越成为能够谋取较高经济效益并具有良好市场发展前景的高新技术及产业。自从计算机网络暴露出安全脆弱问题且受到攻击后,人们就一直在研究计算机网络安全技术,以求把安全漏洞和风险降低到力所能及的限度,因此出现了一批安全技术和产品。
(1)安全内核技术。
人们开始在操作系统的层次上考虑安全性。尝试把系统内核中可能引起安全问题的部分从内核中剔出去。使系统更安全。如So-laris操作系统把静态的口令放在一个隐含文件中,使系统更安全。
(2)Kerberos系统的鉴别技术。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户。如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。Kerberos系统在分布式计算机环境中得到了广泛的应用,其特点是:安全性高、明性高、扩展性好。
(3)防火墙技术。
防火墙即在被保护网络和因特网之间,或在其他网络之间限制访问的一种部件或一系列部件。
防火墙技术是目前计算机网络中备受关注的安全技术。在目前的防火墙产品的设计与开发中,安全内核、系统、多级过滤、安全服务器和鉴别与加密是其关键所在。防火墙技术主要有数据包过滤、服务器、SOCKS协议、网络反病毒技术等方面组成,共同完成防火墙的功能效应。
2其在电子商务中的应用
随着网络技术和信息技术的飞速发展
,电子商务得到了越来越广泛的应用,但电子商务是以计算机网络为基础载体的,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,电子商务的安全性是影响其成败的一个关键因素。
2.1电子商务含义
电子商务是利用计算机技术、网络技术和远程通信技术实现整个商务过程中的电子化、数字化和网络化。人们不再是面对面的、看着实实在在的货物、靠纸介质单据进行买卖交易,而是通过网络,通过网上琳琅满目的商品信息、完善的物流配送系统和方便安全的资金结算系统进行交易。
整个交易的过程可以分为三个阶段:第一个阶段是信息交流阶段;第二阶段是签定商品合同阶段;第三阶段是按照合同进行商品交接、资金结算阶段。
2.2电子商务安全隐患
2.2.1截获传输信息
攻击者可能通过公共电话网、互联网或在电磁波辐射范围内安装接收装置等方式。截取机密信息;或通过对信息长度、流量、流向和通信频度等参数进行分析。获得如用户账号、密码等有用信息。
2.2.2伪造电子邮件
虚开网上商店。给用户发电子邮件,伪造大量用户的电子邮件,穷尽商家资源,使合法用户不能访问网络。使有严格时间要求的服务不能及时得到响应。
2.2.3否认已有交易
者事后否认曾发送过某条信息或内容,接收者事后否认曾收到过某条信息或内容;购买者不承认下过订货单;商家不承认卖出过次品等。
2.3电子商务交易中的一些计算机安全安全技术
针对以上问题现在广泛采用了身份识别技术数据加密技术、数字签名技术和放火墙技术。
2.3.1身份识别技术
通过电子网络开展电子商务。身份识别问题是一个必须解决的同题。一方面,只有合法用户才可以使用网络资源,所以网络资源管理要求识别用户的身份;另一方面,传统的交易方式,交易双方可以面对面地谈判交涉。很容易识别对方的身份。通过电子网络交易方式。交易双方不见面,并且通过普通的电子传输信息很难确认对方的身份,因此,电子商务中的身份识别问题显得尤为突出。
2.3.2数据加密技术
