序論:好文章的創(chuàng)作是一個不斷探索和完善的過程,我們?yōu)槟扑]十篇電子商務(wù)安全策略范例,希望它們能助您一臂之力���,提升您的閱讀品質(zhì),帶來更深刻的閱讀感受。
篇(1)
隨著Internet和IT技術(shù)的迅猛發(fā)展����,電子商務(wù)因其自身獨(dú)有的特點(diǎn)與優(yōu)勢,逐漸成為進(jìn)行商務(wù)活動的新模式,在人們的生活中也占據(jù)著日益重要的地位,但其安全問題也變得越來越突出。如何建立一個安全�、快捷、便利的電子商務(wù)應(yīng)用環(huán)境,對信息在網(wǎng)絡(luò)上的傳輸提供足夠的保護(hù),已成為商家和用戶都非常關(guān)心的話題���。
一�����、電子商務(wù)的定義
電子商務(wù)(E-business)是利用當(dāng)前先進(jìn)的電子技術(shù)從事各種商業(yè)活動的方式����,其實質(zhì)是一套完整的網(wǎng)絡(luò)商務(wù)經(jīng)營及管理信息系統(tǒng)���。更具體地說,它是利用計算機(jī)硬/軟件設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施����,通過一定協(xié)議連接起來的電子網(wǎng)絡(luò)環(huán)境進(jìn)行各種商務(wù)活動的方式。比如:網(wǎng)上銀行����、網(wǎng)上營銷、網(wǎng)上客戶服務(wù)、網(wǎng)上調(diào)查等���。
二��、電子商務(wù)的基本特征
1.電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化���、數(shù)字化,減少了人力��、物力�����,降低了成本�����,具有開放性和全球性的特點(diǎn)��,為企業(yè)創(chuàng)造了更多的貿(mào)易機(jī)會�����。
2.電子商務(wù)重新定義了傳統(tǒng)的流通模式�����,減少了中間環(huán)節(jié),使生產(chǎn)者和消費(fèi)者不用謀面的網(wǎng)上交易成為可能�,從而在一定程度上改變了社會經(jīng)濟(jì)運(yùn)行的方式、經(jīng)濟(jì)布局和結(jié)構(gòu)�。
3.電子商務(wù)一方面突破了時間和空間的限制,另一方面又提供了豐富的信息資源���,為各種社會經(jīng)濟(jì)要素的重新組合提供了更多的可能�����,使得交易活動可以在任何時間�����、任何地點(diǎn)進(jìn)行�,從而大幅度提高了效率�。
可見,電子商務(wù)的一個重要技術(shù)特征是利用網(wǎng)絡(luò)技術(shù)和IT技術(shù)來傳輸和處理商業(yè)信息的��。就整個系統(tǒng)而言�,其安全性可以分為四個層次��。(1)網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。(2)通訊的安全性�。(3)應(yīng)用程序的安全性。(4)用戶的認(rèn)證管理����。
三、網(wǎng)絡(luò)節(jié)點(diǎn)的安全性
1.防火墻的概念�����。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中���,防火墻作為第一道安全防線���,受到越來越多用戶的關(guān)注與青睞。防火墻是一個系統(tǒng)�,主要用來執(zhí)行Internet(外部網(wǎng))和Intranet(內(nèi)聯(lián)網(wǎng))之間的訪問控制策略。它可為各類企業(yè)網(wǎng)絡(luò)提供必要的訪問控制����,又不造成網(wǎng)絡(luò)的瓶頸,并通過安全策略控制進(jìn)出系統(tǒng)的數(shù)據(jù)�,保護(hù)企業(yè)資源。
2.防火墻安全策略����。防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)不被竊取和破壞�����,并記錄內(nèi)外通信的有關(guān)狀態(tài)信息日志����,如通信發(fā)生的時間和進(jìn)行的操作等���。新一代的防火墻甚至可以阻止內(nèi)部人員將敏感數(shù)據(jù)向外傳輸��。設(shè)置了防火墻后�,可以對網(wǎng)絡(luò)數(shù)據(jù)的流動實現(xiàn)有效的管理:如允許公司員工使用電子郵件�����、Web瀏覽以及文件傳輸?shù)确?wù)��,但不允許外界隨意訪問公司內(nèi)部的計算機(jī)��,同樣還可以限制公司中不同部門之間的互相訪問���。
可見���,防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備組合�,它還是安全策略的一個重要組成部分,其安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源�,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問���、本地和遠(yuǎn)地的用戶認(rèn)證����、撥入和撥出��、磁盤和數(shù)據(jù)加密��、病毒防護(hù)措施及管理制度等���。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣的安全級別加以保護(hù)����。僅設(shè)置防火墻系統(tǒng)�,而沒有全面、細(xì)致的安全策略����,那么防火墻就形同虛設(shè)�����。
3.安全操作系統(tǒng)�����。安全的操作系統(tǒng)至少要有以下特征:(1)最小特權(quán)原則,即每個特權(quán)用戶只擁有能進(jìn)行其工作的權(quán)力����。(2)強(qiáng)制訪問控制�����,包括保密性訪問控制和完整性訪問控制���。(3)安全審計和審計管理��。(4)安全域隔離����。
其次�����,防火墻是基于操作系統(tǒng)的,如果信息通過操作系統(tǒng)的后門繞過防火墻進(jìn)入內(nèi)部網(wǎng)�����,則防火墻就不起作用了�??梢姡踩且粋€系統(tǒng)工程���,操作系統(tǒng)安全只是其中的一個層次����,還需要各個環(huán)節(jié)的配合�,安全操作系統(tǒng)應(yīng)該與各種安全軟、硬件結(jié)合起來(如防火墻��、殺毒軟件����、加密產(chǎn)品等),才能讓電子商務(wù)得到更廣泛的應(yīng)用�����,確保系統(tǒng)信息的安全達(dá)到最佳狀態(tài)。
四�����、網(wǎng)絡(luò)通信的安全性
1.數(shù)據(jù)通信的安全���。電子商務(wù)系統(tǒng)的數(shù)據(jù)通信主要存在于:(1)客戶瀏覽器端與電子商務(wù)WEB服務(wù)器端的通訊��。(2)電子商務(wù)WEB服務(wù)器與電子商務(wù)數(shù)據(jù)庫服務(wù)器的通訊�。
2.通信鏈路的安全����。在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL(Secure Electronic Transaction,安全電子交易)協(xié)議建立安全鏈接,所需傳遞的重要信息都是經(jīng)過加密的�����,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全��。為在瀏覽器和服務(wù)器之間建立安全機(jī)制���,SSL首先要求服務(wù)器向瀏覽器出示它的證書����,證書包括一個公鑰,由證書授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)�����。瀏覽器要驗征服務(wù)器證書的正確性��,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)����。單純的建立SSL鏈接時��,客戶只需用戶下載該站點(diǎn)的服務(wù)器證書�。若驗證此證書是合法的服務(wù)器證書,再利用該證書對稱加密算法(RSA)與服務(wù)器協(xié)商一個對稱算法及密鑰���,然后用此對稱算法加密將要傳輸?shù)拿魑?��,此時瀏覽器也會出現(xiàn)進(jìn)入安全狀態(tài)的提示。
五�����、應(yīng)用程序的安全性
即使正確地配置了訪問控制規(guī)則,要滿足計算機(jī)系統(tǒng)的安全性��,這些工作還是不充分的���,因為編程錯誤也可能導(dǎo)致對系統(tǒng)的破壞與攻擊�。
程序錯誤的常見形式:程序員忘記檢查傳送到程序的入口參數(shù)��;程序員在處理字符串的內(nèi)存緩沖時���,忘記檢查邊界條件�����。整個程序都是在特權(quán)模式下運(yùn)行��,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行�����,其他的部分只有縮小的許可��。程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源��,如一個文件和目錄�����,但不是顯式的設(shè)置訪問控制(最少許可)�����。若程序員認(rèn)為這個缺省的許可是正確的�����,則這些缺點(diǎn)就可能被用到攻擊系統(tǒng)的行為中����,不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情�。
緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的,程序不檢查輸入字符串長度�。輸入假字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令��。
六�����、用戶的認(rèn)證管理
1.身份認(rèn)證。開展電子商務(wù)的關(guān)鍵核心技術(shù)是保密存儲與取出����。電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合來實現(xiàn)。CA證書用來認(rèn)證服務(wù)器的身份�,IC卡用來認(rèn)證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能�����,所以只采用ID號和密碼口令的身份確認(rèn)機(jī)制����。由于指紋具有惟一性,目前��,指紋認(rèn)證與網(wǎng)絡(luò)傳輸便廣泛的應(yīng)用于銀行專用網(wǎng)���、企業(yè)營銷網(wǎng)等各種商貿(mào)網(wǎng)絡(luò)�,使電子商務(wù)具有更現(xiàn)實的可操作性�����。
2.CA證書���。CA(Certificate Authority��,即“認(rèn)證機(jī)構(gòu)”)��,是證書的簽發(fā)機(jī)構(gòu)���,它是PKI(Public Key Infrastructure��,即“公開密鑰體系”)的核心�。它要制定政策和具體步驟來驗證�����、識別用戶身份���,并對用戶證書進(jìn)行簽名���,以確保證書持有者的身份和公鑰的擁有權(quán)��。要在網(wǎng)上確認(rèn)交易各方的身份及保證交易的不可否認(rèn)性���,便需要CA證書進(jìn)行驗證���。證書分為服務(wù)器證書和個人證書���。建立SSL安全鏈接不需要一定有個人證書,驗證個人證書是為了驗證來訪者的合法身份�����。
CA也擁有一個證書(內(nèi)含公鑰)和私鑰�����。網(wǎng)上的公眾用戶通過驗證CA的簽字從而信任CA�,任何人都可以得到CA的證書(含公鑰),用以驗證它所簽發(fā)的證書��。如果用戶想得到一份屬于自己的證書��,應(yīng)先向CA提出申請�。在CA判明申請者的身份后,便為其分配一個公鑰���,并且CA將該公鑰與申請者的身份信息綁在一起����,為之簽字后,便形成證書發(fā)給申請者����。如果一個用戶想鑒別另一個證書的真?zhèn)危捎肅A的公鑰對那個證書上的簽字進(jìn)行驗證��,一旦驗證通過��,該證書就被認(rèn)為是有效的����。
七、建立安全管理機(jī)制
為了確保系統(tǒng)的安全性����,除了采用上述技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制��。對于所有接觸系統(tǒng)的人員�,應(yīng)按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。
按照分級管理原則����,嚴(yán)格管理內(nèi)部用戶賬號和密碼���,進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)����,防止非法占用、冒用合法用戶賬號和密碼�����。建立網(wǎng)絡(luò)安全維護(hù)日志�����,記錄與安全性相關(guān)的信息及事件�����,有情況出現(xiàn)時便于跟蹤查詢����。定期檢查日志,以便及時發(fā)現(xiàn)潛在的安全威脅��。對重要數(shù)據(jù)要及時進(jìn)行備份����。對數(shù)據(jù)庫中存放的數(shù)據(jù)����,數(shù)據(jù)庫系統(tǒng)應(yīng)根據(jù)其重要性提供不同級別的數(shù)據(jù)加密�����。安全管理實際上是一種風(fēng)險管理�����,任何措施都不能保證百分之百的安全����。但安全技術(shù)的采用可降低系統(tǒng)遭到破壞、攻擊的風(fēng)險�����,決定采用什么安全策略取決于系統(tǒng)的風(fēng)險要控制在什么程度范圍內(nèi)����。隨著全球經(jīng)濟(jì)一體化進(jìn)程的加快,尤其是Internet技術(shù)�、IT技術(shù)的迅猛發(fā)展及廣泛應(yīng)用,我們的社會也已融入到電子商務(wù)時代的氣息當(dāng)中,這是一個“以客戶為中心”的時代�����,企業(yè)的市場營銷及貿(mào)易往來都必須圍繞這個中心來進(jìn)行��。只有保證電子商務(wù)各個環(huán)節(jié)��、各個方面的安全性與穩(wěn)定性����,才能為其正常運(yùn)作提供有力的保證����,才能為其自身迎來更廣闊的前景。
篇(2)
一���、引言
當(dāng)前的電子商務(wù)是指通過電子方式的商務(wù)活動�����。它作為一種全新的業(yè)務(wù)和服務(wù)方式�����,為全球客戶提供了豐富的商務(wù)信息���、便捷的交易過程和廉價的交易成本��。但是����,電子商務(wù)給人們帶來方便的同時�����,也把人們引入安全憂慮之中�����。買方擔(dān)心在網(wǎng)絡(luò)上傳輸?shù)男庞每皞€人資料被截?�?����;賣方則擔(dān)心收到的是被盜用的信用卡號碼�,或是交易不認(rèn)賬等,這些存在的安全漏洞問題已成為阻礙網(wǎng)上交易發(fā)展的首要問題����。相對于傳統(tǒng)商務(wù)�����,電子商務(wù)對管理機(jī)制���、實施平臺和信息傳遞技術(shù)都提出了更高的要求�����,其中安全體系的構(gòu)建尤為顯得重要�����,已成為電子商務(wù)能否得到進(jìn)一步發(fā)展和推廣的關(guān)鍵所在���。
二�����、電子商務(wù)安全體系結(jié)構(gòu)
1.電子商務(wù)中存在的安全隱患和威脅
Internet是電子商務(wù)實現(xiàn)的網(wǎng)絡(luò)基礎(chǔ)����,它采用TCP/IP完成不同網(wǎng)絡(luò)與不同計算機(jī)之間的通信,正是由于這些特點(diǎn)��,使它給電子商務(wù)帶來了很多的安全問題�。Internet的安全隱患主要體現(xiàn)在四個方面。
開放性和資源共享是Internet的主要優(yōu)點(diǎn)����,但它帶來的問題卻不容忽視。因為當(dāng)甲方在很容易的訪問乙方時�����,如果沒有采取任何措施��,乙方同樣很容易的訪問甲方的計算機(jī)��。
Internet采用的協(xié)議TCP/IP并未采用任何措施來保護(hù)傳輸內(nèi)容不被竊取�。它是一種包交換網(wǎng)絡(luò),每個數(shù)據(jù)包在網(wǎng)絡(luò)上都是透明傳輸?shù)?��,并且可能?jīng)過不同的網(wǎng)絡(luò)�,由路由器轉(zhuǎn)發(fā)到達(dá)目的計算機(jī)�����。數(shù)據(jù)在傳輸過程中可能會遭到IP窺探、同步信號淹沒��、TCP會話竊聽�、復(fù)位與結(jié)束信號攻擊等威脅。
Internet底層的操作系統(tǒng)如UNIX��,由于源代碼的公開�,很容易發(fā)現(xiàn)漏洞,給Internet用戶帶來安全問題�����。
相比較傳統(tǒng)信函���,電子化信息就缺乏可信度,電子信息是否準(zhǔn)確很難由其本身來鑒別��。在Internet上傳遞電子信息時�����,難以確認(rèn)信息發(fā)送者及信息是否被正確無誤地傳遞給對方��。
由于Internet存在上述安全隱患����,將給電子商務(wù)帶來如下的安全威脅�����。
由于非法入侵����,造成商務(wù)信息被纂改��、竊取或丟失����。
商業(yè)機(jī)密在傳輸過程中被第三方獲悉,被惡意破壞�����。
虛假身份的交易對象及虛假訂單�、合同。
貿(mào)易對象的抵賴����。
由計算機(jī)系統(tǒng)故障造成的對交易過程和商業(yè)信息安全的破壞。
綜上所述����,電子商務(wù)面臨多方面的威脅����,存在許多安全隱患��。
2.電子商務(wù)的安全性內(nèi)容
要使電子商務(wù)健康��、順利發(fā)展���,必須解決好以下幾種關(guān)鍵的安全性要求���。
(1)保證信息的保密性和完整性�����。在交易過程中必須保證信息不被非授權(quán)用戶竊取��,數(shù)據(jù)在輸入和傳輸過程中能保證數(shù)據(jù)的一致性��。
(2)不可否認(rèn)性���。它是指信息發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息�,接收方也不可否認(rèn)已經(jīng)收到的信息。
(3)真實性��。商務(wù)活動交易雙方身份是真實的����,不是假冒的,不存在的���。
(4)系統(tǒng)的可靠性與內(nèi)部網(wǎng)絡(luò)的嚴(yán)密性�。在計算機(jī)失效�、程序錯誤、傳輸錯誤��、硬件各種及計算機(jī)病毒等潛在威脅下�,有容錯處理機(jī)制、數(shù)據(jù)恢復(fù)能力�,確保系統(tǒng)安全、可靠���。對企業(yè)內(nèi)部網(wǎng)絡(luò)而言�,要保證內(nèi)部網(wǎng)絡(luò)不被入侵���。
3.電子商務(wù)安全技術(shù)體系結(jié)構(gòu)
電子商務(wù)的安全技術(shù)體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個完整邏輯結(jié)構(gòu)����,如圖所示。其中����,下層是上層的基礎(chǔ),為上層提供技術(shù)支持��。上層是下層的擴(kuò)展與遞增���。各層相互聯(lián)系���、相互依賴的構(gòu)成一個整體。通過不同的安全控制技術(shù)�,實現(xiàn)各層的安全策略,有效保證了電子商務(wù)系統(tǒng)的安全���。
三、電子商務(wù)的安全技術(shù)
1.防火墻技術(shù)
防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封裝機(jī)制���,內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的�����,而外部網(wǎng)絡(luò)(通常指Internet)被認(rèn)為是不安全和不可信賴的��。防火墻的主要目的是防止不希望的����、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略���。
防火墻的主要技術(shù)有包過濾技術(shù)���、服務(wù)器技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和狀態(tài)檢測包過濾技術(shù)���,現(xiàn)在最常用的是狀態(tài)檢測包過濾技術(shù)���。狀態(tài)檢測防火墻對每個合法網(wǎng)絡(luò)連接保存的信息包括源地址、目的地址��、協(xié)議類型�����、協(xié)議相關(guān)信息、連接狀態(tài)和超時時間等稱為狀態(tài)���。通過狀態(tài)檢測�,可實現(xiàn)比簡單包過濾防火墻具有更好的安全性����。
2.加密技術(shù)
數(shù)字加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù),主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來保障安全性���。利用加密技術(shù)��,可以將某些重要的信息和數(shù)據(jù)從一個可以理解的明文轉(zhuǎn)換為復(fù)雜的����、不可理解的密文形式��,在線路上傳送或在數(shù)據(jù)庫中存儲����,其他用戶再將密文還原為明文。
3.信息摘要
密鑰加密技術(shù)只能解決信息的保密性問題�����,對信息的完整性則可以使用信息摘要技術(shù)來實現(xiàn)�����。信息摘要又稱為Hash算法����,是一種單向加密算法,其加密結(jié)果是不能解密的���。通過Hash算法�,得到一個固定長度(128位)的散列值�,不同的原文產(chǎn)生的信息摘要必不相同,相同的原文產(chǎn)生的信息摘要必定相同��。這樣�,通過用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來的摘要比較,若兩者相同則表示原文在傳輸過程中沒有被修改��,否則說明原文被修改過�����。
4.數(shù)字簽名
數(shù)字簽名是密鑰加密和信息摘要相結(jié)合的技術(shù)�����,用于保證信息的完整性和不可否認(rèn)性。簽名機(jī)制的特征是該簽名只有通過簽名者的私有信息才能產(chǎn)生���,即一個簽名者的簽名只能惟一地由他自己生成�。當(dāng)收發(fā)雙方發(fā)生爭議時�����,第三方就能根據(jù)消息上的數(shù)字簽名來裁定這條消息是否由發(fā)送方發(fā)出�,從而實現(xiàn)不可否認(rèn)服務(wù)。
5.數(shù)字時間戳
在電子交易中����,時間和簽名同等重要。數(shù)字時間戳是由專門機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項目�����,用于證明信息發(fā)送的時間����。
6.數(shù)字證書與CA認(rèn)證
由于電子商務(wù)在網(wǎng)絡(luò)中完成,互相之間不見面���,因此為了保證每個人及機(jī)構(gòu)都能惟一且被準(zhǔn)確無誤地識別���,就需要進(jìn)行身份認(rèn)證。身份認(rèn)證可以通過驗證參與各方的數(shù)字證書來實現(xiàn)����,而數(shù)字證書是由認(rèn)證中心(CA)頒發(fā)的。
所謂CA(Certificate Authority:證書發(fā)行機(jī)構(gòu))�����,是采用PKI(Public Key Infrastructure:公共密鑰體系)公開密鑰基礎(chǔ)架構(gòu)技術(shù)�,專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù),負(fù)責(zé)簽發(fā)和管理數(shù)字證書�����,具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)�����,其作用就像現(xiàn)實生活中頒發(fā)證件的機(jī)構(gòu)���。
四�、電子商務(wù)安全交易標(biāo)準(zhǔn)
要實現(xiàn)安全的電子商務(wù)交易,交易雙方必須遵照統(tǒng)一的安全標(biāo)準(zhǔn)協(xié)議����。當(dāng)前,電子商務(wù)的安全機(jī)制正走向成熟���,并逐漸形成了一些國際規(guī)范���,比較有代表性的有安全套接層協(xié)議SSL(Secure Sockets Layer)和安全電子交易協(xié)議SET(Secure Electronic Transaction)。
1.安全套接層協(xié)議SSL
SSL協(xié)議是由Netscape公司研制的安全協(xié)議�����,SSL使用加密的方法建立一個安全的通信通道�����,以使客戶的信用卡號傳送給商家�,商家再將其轉(zhuǎn)發(fā)給銀行,銀行驗證后在通知商家付款成功��。該協(xié)議已成為事實上的工業(yè)標(biāo)準(zhǔn)����,微軟����、IBM公司都提供基于這種簡單加密模式的支付系統(tǒng)����。
2.安全電子交易SET協(xié)議
SET協(xié)議向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實現(xiàn)安全措施的規(guī)則。它是由Visa國際組織和MasterCard組織制定的��,用于在Internet上進(jìn)行在線交易時保證信用卡支付安全的開放性安全技術(shù)標(biāo)準(zhǔn)�。由于得到了微軟����、IBM、RAS公司的支持與參與���,已成為工業(yè)事實上的標(biāo)準(zhǔn)��。
SET協(xié)議采用了RSA公私鑰加密系統(tǒng)��、數(shù)字簽名���、數(shù)字證書認(rèn)證等技術(shù),保證了支付信息的保密性��、完整性和不可否認(rèn)性。該協(xié)議提供了客戶�、商家和銀行之間的身份認(rèn)證,而交易信息和客戶信用卡信息相互隔離�,即商家只能獲取訂單信息,銀行只能獲得持卡人信用卡支付信息����,雙方互不干擾,各去所需����,構(gòu)成了SET協(xié)議的主要特色,使得SET成為電子商務(wù)的安全規(guī)范��。
3.SET����、SSL協(xié)議比較
(1)SET是一個專門的安全電子支付協(xié)議,而SSL本質(zhì)上是一個網(wǎng)絡(luò)安全協(xié)議�,僅在雙方間建立起安全連接。SET是一個多方的消息報文協(xié)議����,定義了銀行、商家和持卡人間必須符合的報文規(guī)范,它比SSL在交易過程中的信任度更強(qiáng)���。
(2)SSL僅有商家的服務(wù)器需要認(rèn)證��,客戶端只是選擇性認(rèn)證�����;而SET在整個交易過程中都受到嚴(yán)密保護(hù)�����,其安全性比SSL高。
(3)SSL協(xié)議中若想進(jìn)行電子商務(wù)交易�,只需通過瀏覽器實現(xiàn),設(shè)置成本低廉����,其交易只要幾十秒就可完成;SET盡管安全性高��,但需要專門的軟件來實現(xiàn)�,客戶、商家改造成本高���,由于交易過程各方之間進(jìn)行多次加密傳輸�,每次交易需要數(shù)分鐘。
綜上所述����,SSL與SET協(xié)議是電子商務(wù)中最普遍的兩種安全電子支付協(xié)議,各有優(yōu)缺點(diǎn)����。SSL雖然簡單快捷,但隨著電子商務(wù)的發(fā)展其缺點(diǎn)凸現(xiàn)出來��,需采用更先進(jìn)的支付系統(tǒng)�����。而SET雖有更強(qiáng)的功能和安全性�����,但過于復(fù)雜��,使得大面積推廣還有很大障礙��,并且成本昂貴���,所以��,在未來一段時間里將會是SSL和SET兩種支付方式并存的局面�����。
五����、結(jié)論
電子商務(wù)的本質(zhì)是商務(wù),技術(shù)是電子商務(wù)得以實現(xiàn)的手段�����。沒有商務(wù)需求���,技術(shù)的研究就失去了應(yīng)用價值;沒有技術(shù)實現(xiàn)�,電子商務(wù)就不能得以實施,所以技術(shù)是電子商務(wù)的必要條件�����。而安全則是實現(xiàn)電子商務(wù)技術(shù)的前提����,也是電子商務(wù)的必要條件�����。解決電子商務(wù)的安全問題不是一個單一的技術(shù)問題�����,它是由一系列工作組成�����,需要從電子商務(wù)安全管理���、安全技術(shù)體系和法律等多方面開展工作和研究。
參考文獻(xiàn):
[1]胡道元 閔京華:網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社�����,2006
[2]祝凌曦:電子商務(wù)安全[M].北京:北方交通大學(xué)�,2006.
[3]李曉燕 李福全 郭愛芳:電子商務(wù)概論[M].陜西:電子科技大學(xué)出版社,2004
篇(3)
一�、電子商務(wù)存在的安全隱患
1、交易平臺安全隱患
電子商務(wù)交易平臺主要由電子商務(wù)服務(wù)器�、電子商務(wù)軟件/網(wǎng)站系統(tǒng)����、電子商務(wù)數(shù)據(jù)庫和電子商務(wù)支付系統(tǒng)等組成���。交易平臺是整個電子商務(wù)系統(tǒng)安全運(yùn)行的基礎(chǔ)和保障�����,而因為種種因素的存在降低了平臺本身的安全性�。電子商務(wù)服務(wù)器因為要進(jìn)行大量的電子商務(wù)活動�����,比普通的服務(wù)器更加容易受到黑客的攻擊�����,而服務(wù)器操作系統(tǒng)本身的安全問題也導(dǎo)致服務(wù)器的不安全���。電子商務(wù)運(yùn)行所依靠的運(yùn)行工具,比如購物網(wǎng)站可能因為設(shè)計開發(fā)不合理�����,導(dǎo)致心懷不軌者利用網(wǎng)站漏洞進(jìn)行攻擊,從而破壞網(wǎng)絡(luò)交易�。電子商務(wù)活動中產(chǎn)生的所有數(shù)據(jù)都存儲在數(shù)據(jù)庫中,如果數(shù)據(jù)庫在存儲管理方面出現(xiàn)問題�����,很容易導(dǎo)致用戶信息泄密����。尤其是隨著云計算和大數(shù)據(jù)存儲的發(fā)展,數(shù)據(jù)存儲的安全性受到了更加嚴(yán)峻的考驗�����,面對海量數(shù)據(jù)��,傳統(tǒng)的安全防護(hù)措施顯得蒼白無力���。
2��、電子支付安全隱患
電子商務(wù)支付系統(tǒng)是電子商務(wù)活動中的核心部分��,近幾年來不斷有不法分子利用釣魚網(wǎng)站����,偽裝成支付頁面,導(dǎo)致大量的網(wǎng)絡(luò)用戶受騙�����,財產(chǎn)在不經(jīng)意間被人騙走��?��?旖莺头奖闶请娮由虅?wù)的主要特點(diǎn)�,為了能夠更好的去實現(xiàn)電子商務(wù)的這個特點(diǎn)��,電子交易平臺就需要和各個銀行聯(lián)手�����,為顧客提供各種不同的支付方式�����,比如信用卡�����、快捷支付以及U盾等����。人們在網(wǎng)上交易時信用卡支付是一種比較常見的方式,它可以有效實現(xiàn)先買東西后付款的方式�����,為資金不夠的顧客提供了便利��,同樣也有很多違法分子利用這種方式來進(jìn)行信用卡詐騙��,這樣對電子商務(wù)的長期發(fā)展來講會產(chǎn)生比較嚴(yán)重的負(fù)面影響����。
3、交易者身份安全隱患
在電子商務(wù)的交易過程中主要存在的安全問題就是���,買賣雙方面臨的安全威脅�。一是買方面臨的安全問題�����,客戶信息和營銷信息泄露�,甚至有假冒用戶篡改商務(wù)信息內(nèi)容等,這些均導(dǎo)致了電子商務(wù)交易的中斷��,給商家的信譽(yù)度和利益帶來嚴(yán)重的影響,還有商業(yè)機(jī)密有可能被盜取�����,使得網(wǎng)絡(luò)黑客進(jìn)入系統(tǒng)篡改訂單����,造成大量虛假訂單的形成,使得電子商務(wù)不能夠正常開展����;二是賣方面臨的安全問題,發(fā)送的電子商務(wù)信息被篡改����,造成買家不能夠及時收到賣家的商品。在網(wǎng)購時使用的證件基本上都是身份證����,這樣會導(dǎo)致身份證的信息被竊用,使客戶的經(jīng)濟(jì)利益受到嚴(yán)重的損害�����。同時還存在著個人隱私被盜取以及被網(wǎng)絡(luò)的虛假廣告欺騙,最終購買了假冒偽劣商品���。
4�、誠信安全隱患
誠信是電子商務(wù)交易成功的根本保障�����,誠信安全出現(xiàn)問題會導(dǎo)致買賣雙方缺乏信任��,整個電子商務(wù)交易也無法持續(xù)下去�����。眾所周知電子商務(wù)一般是買家通過電子現(xiàn)金��、電子錢包����、電子支票��、信用卡支付等形式來在線支付給賣家��,也就是說買家先付款然后賣家再發(fā)貨���,這樣消費(fèi)者種種擔(dān)心會隨之產(chǎn)生�����,比如商家不發(fā)貨或不按時發(fā)貨���,商家發(fā)的貨沒有自己在網(wǎng)上瀏覽的虛擬產(chǎn)品好���,所發(fā)商品屬于劣質(zhì)產(chǎn)品等。據(jù)相關(guān)媒體的報道����,有些非法商家要賣家先付極少部分的貨款,但沒有想的是他們制作的是假的支付頁面����,趁機(jī)盜取銀行卡號和密碼,造成了買家嚴(yán)重的經(jīng)濟(jì)損失��。若是實行貨到付款�,賣家就會擔(dān)心買家不付款或者不接受貨物,耽誤交易�。因此,誠信安全問題直接影響著電子商務(wù)的健康發(fā)展�,我們應(yīng)該對電子商務(wù)的誠信安全問題予以高度的重視���。
二、電子商務(wù)的安全防范措施
面對網(wǎng)絡(luò)中的種種威脅��,必須采取多種措施來保證電子商務(wù)的安全性���。
1���、對電子商務(wù)進(jìn)行專門立法
電子商務(wù)作為一種新生事物�,如果延續(xù)傳統(tǒng)的法律體系對其進(jìn)行規(guī)范還存在著許多空白,這一現(xiàn)狀已經(jīng)在實踐中帶來了很多問題�����。以我國1997年修訂的《刑法》為例��,雖然其中增加了關(guān)于計算機(jī)犯罪的相關(guān)條款���,且1999年通過的《合同法》對電子合同的書面形式�、生效時間地點(diǎn)等做出了相關(guān)規(guī)定�����。但是,這些條款和規(guī)定明顯簡單且滯后���,已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足電子商務(wù)蓬勃發(fā)展的需要���。以電子認(rèn)證的效力、虛假電子認(rèn)證等重要問題為例����,我國的法律對此沒有做出專門的規(guī)定,這已經(jīng)成為阻礙我國電子商務(wù)發(fā)展的重要因素��。因此����,我國應(yīng)努力加快電子商務(wù)法制化的建設(shè)進(jìn)程,制訂針對性強(qiáng)的《電子商務(wù)法》�����,從而對電子商務(wù)當(dāng)事人的權(quán)利和義務(wù)�����、電子合同的法律關(guān)系����、電子簽名�、電子認(rèn)證��、網(wǎng)上知識產(chǎn)權(quán)的保護(hù)�����、電子支付等進(jìn)行體系化的規(guī)范��,使之適應(yīng)當(dāng)前的電子商務(wù)發(fā)展環(huán)境�,并且要在刑法中對電子商務(wù)領(lǐng)域的犯罪進(jìn)行明確的規(guī)定。如此以來�����,在法律上為電子商務(wù)提供一個良好的發(fā)展環(huán)境�����,為之保駕護(hù)航�。
2����、提升用戶安全意識
在電商時代���,要保障計算機(jī)電子商務(wù)的安全,必須要強(qiáng)化用戶自身的安全意識�����。如果用戶的專業(yè)知識不充足��,又缺乏電子商務(wù)的相關(guān)安全意識��,會埋下很多安全隱患���。很多非法入侵者正是由于注意到用戶缺乏專業(yè)知識與安全意識�,故而選擇從用戶身上尋找突破口���,入侵用戶的賬號�����,進(jìn)而獲取系統(tǒng)管理員的賬號��,甚至最終直接入侵到整個系統(tǒng)���,使得系統(tǒng)內(nèi)的數(shù)據(jù)信息被竊取或者整個系統(tǒng)出現(xiàn)崩潰的現(xiàn)象�。由此看來����,用戶的專業(yè)知識與安全意識對電子商務(wù)的整體安全性有著重要的影響,用戶需要不斷提高自身的安全意識�,掌握相關(guān)專業(yè)知識,從自己做起�,為電子商務(wù)的安全發(fā)展奠定基礎(chǔ)。
3���、技術(shù)方面的安全策略
(1)積極推廣身份識別技術(shù)�����。在實際的電子商務(wù)中用戶的身份識別技術(shù)�,旨在確保交易中涉及到的用戶身份信息的正確無誤�����,以及信息的有效性�����、完整性���。該技術(shù)主要涉及以下幾個方面的內(nèi)容:利用數(shù)字標(biāo)志的方法進(jìn)行驗證�����。該方法一般借助電子技術(shù)實現(xiàn)對交易用戶身份的真?zhèn)渭捌鋵ο嚓P(guān)網(wǎng)絡(luò)資源進(jìn)行訪問的權(quán)限進(jìn)行辨別�,這個過程中對用戶身份的驗證是通過專門的數(shù)字證書(由電子商務(wù)平臺的認(rèn)證中心發(fā)放)完成的�����。
篇(4)
一���、電子商務(wù)安全概述
電子商務(wù)的載體是互聯(lián)網(wǎng)�,但互聯(lián)網(wǎng)的共享性�����、開放性和匿名性卻給電子商務(wù)安全問題帶來了極大的隱患��,使得電子商務(wù)受到威脅����、攻擊的可能性大大增加。
1.電子商務(wù)安全內(nèi)涵
電子商務(wù)的安全主要是指用戶方和提品服務(wù)方的安全,即雙方信息都要保密,用戶賬號不能被第三方獲知,提品或服務(wù)方的訂貨和付款信息等商業(yè)秘密也不能為競爭對手所知,并且商務(wù)活動一旦達(dá)成,相關(guān)信息未經(jīng)雙方協(xié)定,不可更改�、不能否認(rèn)�����。
2.電子商務(wù)的安全需求
電子商務(wù)主要依托運(yùn)作的環(huán)境是當(dāng)前的國際互聯(lián)網(wǎng)和未來的國際信息基礎(chǔ)設(shè)施�����。網(wǎng)絡(luò)是從事電子商務(wù)機(jī)構(gòu)安身立命的工作環(huán)境�,其安全需求也表現(xiàn)在以下幾個方面:
(1)網(wǎng)站的安全維護(hù)���。(2)電子商務(wù)中安全支付���。(3)商業(yè)秘密的安全保護(hù)。(4)電子商務(wù)中知識產(chǎn)權(quán)的保護(hù)����。
二、電子商務(wù)中存在的安全問題
1.電子商務(wù)面臨的網(wǎng)絡(luò)系統(tǒng)安全問題
電子商務(wù)系統(tǒng)是依賴網(wǎng)絡(luò)實現(xiàn)的商務(wù)系統(tǒng)���,需要利用Internet基礎(chǔ)設(shè)施和標(biāo)準(zhǔn)�,所以構(gòu)成電子商務(wù)安全框架的底層是網(wǎng)絡(luò)服務(wù)層���,它提供信息傳送的載體和用戶接入的手段���,是各種電子商務(wù)應(yīng)用系統(tǒng)的基礎(chǔ),為電子商務(wù)系統(tǒng)提供了基本�����、靈活的網(wǎng)絡(luò)服務(wù)���。電子商務(wù)網(wǎng)絡(luò)系統(tǒng)安全問題包括以下幾個方面:(1)網(wǎng)絡(luò)部件的不安全因素��。(2)軟件不安全因素����。(3)工作人員的不安全因素��。(4)自然環(huán)境因素�����。
2.電子商務(wù)面臨的電子支付系統(tǒng)安全問題
眾所周知���,基于Internet平臺的電子商務(wù)支付系統(tǒng)由于涉及到客戶�、商家、銀行及認(rèn)證部門等多方機(jī)構(gòu)���,以及它們之間可能的資金劃撥�����,所以客戶和商家在進(jìn)行網(wǎng)上交易時必須充分考慮其系統(tǒng)的安全��。目前網(wǎng)上支付中面臨的主要安全問題有以下幾方面:
(1)支付賬號和密碼等隱私支付信息在網(wǎng)絡(luò)傳送過程中被竊取或盜用����。
(2)支付金額被更改����。
(3)不能有效驗證收款人的身份。
三�、電子商務(wù)面臨的認(rèn)證系統(tǒng)安全問題
中國政府2002年頒布的《國民經(jīng)濟(jì)和社會發(fā)展第十個五年計劃信息化重點(diǎn)專項規(guī)劃》中指出:加快電子認(rèn)證體系、現(xiàn)代支付系統(tǒng)和信用制度建設(shè)���,大力支持發(fā)展電子商務(wù)����。要加快發(fā)展電子商務(wù)�,使電子商務(wù)在金融�、外貿(mào)����、稅收���、海關(guān)���、農(nóng)業(yè)等領(lǐng)域大力推廣應(yīng)用,其關(guān)鍵之一�,即涉及到電子商務(wù)的安全認(rèn)證問題。
1.信息泄漏
在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄漏,主要包括兩個方面:交易雙方進(jìn)行交易的內(nèi)容被第三方竊?�?;交易一方提供給另一方使用的文件被第三方非法使用。如信用卡的賬號和用戶名被人獲悉�����,就可能被盜用���。
2.篡改
在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實性和完整性的問題����。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中,可能被他人非法修改�����、刪除或重改,這樣就使信息失去了真實性和完整性���。假如兩公司簽訂了一份由一公司向另一公司供應(yīng)原料的合同�,若趕上原料價格上漲��,供貨方公司篡改價格將使自己大幅受益����,而采購公司將蒙受損失。
3.身份識別
在網(wǎng)絡(luò)交易中如果不進(jìn)行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易�、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等,進(jìn)行身份識別后,交易雙方就可防止相互猜疑的情況。
4.蓄意否認(rèn)事實
由于商情的千變?nèi)f化����,商務(wù)合同一旦簽訂就不能被否認(rèn),否則必然會損害一方的利益��。因此����,電子商務(wù)就提出了相應(yīng)的安全控制要求����。
(1)電子商務(wù)中面臨的法律安全問題����。隨著國際信息化��、網(wǎng)絡(luò)化進(jìn)化的不斷發(fā)展��,在電子商務(wù)領(lǐng)域利用計算機(jī)網(wǎng)絡(luò)進(jìn)行犯罪的案件與日俱增����,其犯罪的花樣和手段不斷翻新。
(2)電子合同中的法律問題�。電子商務(wù)合同的訂立是在不同地點(diǎn)的計算機(jī)系統(tǒng)之間完成的。許多國家的法律要求必須有書面形式的交易單證作為證明交易有效和作為交易的證據(jù)��;否則��,這種合同屬于無效合同���。關(guān)于電子合同能否視為書面合同���,并取得與書面文件同等的效力���,是各國法律尚未解決的問題,與傳統(tǒng)書面文件相比����,電子文件有一定的不穩(wěn)定性,一些來自外界的對計算機(jī)網(wǎng)絡(luò)的干擾���,都可能造成信息的丟失�����、損壞���、更改。
(3)銀行電子化服務(wù)的法律問題�。銀行是電子支付和結(jié)算的最終執(zhí)行者,起著聯(lián)結(jié)買賣雙方的紐帶作用���,但對一些從事電子貨幣業(yè)務(wù)的銀行來說�,犯罪分子偽造電子貨幣�����,給銀行帶來了直接經(jīng)濟(jì)損失。
(4)電子資金轉(zhuǎn)賬的法律問題�����。電子資金轉(zhuǎn)賬的法律是個特殊問題���,但是我國現(xiàn)行的《票據(jù)法》并不承認(rèn)經(jīng)過數(shù)字簽名認(rèn)證的非紙質(zhì)的電子票據(jù)支付和結(jié)算方式�����。并且支付不可撤消,付款人或第三人不能要求撤消已經(jīng)完成的電子資金轉(zhuǎn)賬��。
(5)電子商務(wù)中的知識產(chǎn)權(quán)保護(hù)問題�。電子商務(wù)活動中交易的客體及交易的行為經(jīng)常涉及傳統(tǒng)的知識產(chǎn)權(quán)領(lǐng)域。
(6)電子商務(wù)中的消費(fèi)者權(quán)益保護(hù)問題�。電子商務(wù)等新的交易方式給消費(fèi)者權(quán)益保護(hù)帶來各種新的維權(quán)問題。隨著科技進(jìn)步����,新產(chǎn)品的大量出現(xiàn),消費(fèi)知識滯后的矛盾也更加突出����。
四����、電子商務(wù)安全問題的安全策略
1.電子商務(wù)系統(tǒng)的安全技術(shù)
在電子商務(wù)活動中存在著種種安全問題,但我們可以利用安全技術(shù)來為電子商務(wù)安全提供服務(wù),從而提供更全面的安全策略和防范�����。
(1)網(wǎng)絡(luò)安全技術(shù)�����。網(wǎng)絡(luò)安全技術(shù)所涉及到的方面比較廣,如操作系統(tǒng)安全���、防火墻技術(shù)���、虛擬專用網(wǎng) VPN 技術(shù)和漏洞檢測技術(shù)等。
(2)加密技術(shù)��。數(shù)據(jù)加密技術(shù)�����,就是對信息進(jìn)行重新編碼���,從而達(dá)到隱藏信息內(nèi)容��,使得非法用戶無法獲取信息真實內(nèi)容的一種技術(shù)手段����。加密技術(shù)是保證電子商務(wù)安全的重要手段,許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)���。密碼算法利用密鑰(Secret Keys)來對敏感信息進(jìn)行加密��,然后把加密好的數(shù)據(jù)發(fā)送給接收者��,接收者可利用同樣的算法和事先商定好的密鑰對數(shù)據(jù)進(jìn)行解密�,從而獲取敏感信息并保證網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性,其過程如圖所示�。
(3)認(rèn)證技術(shù)�����。認(rèn)證技術(shù)是電子商務(wù)安全的主要實現(xiàn)技術(shù)����。主要利用RSA算法建立的一個為用戶的公開密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng),稱之為CA��。認(rèn)證技術(shù)可以直接滿足身份認(rèn)證、信息完整性���、不可否認(rèn)和不可修改等多項網(wǎng)上交易的安全需求,較好地避免了網(wǎng)上交易面臨的假冒���、篡改、抵賴����、偽造等種種威脅。認(rèn)證技術(shù)主要涉及身份認(rèn)證和報文認(rèn)證兩個方面的內(nèi)容����。身份認(rèn)證用于鑒別用戶的身份。它一般又涉及到兩個方面的內(nèi)容:一個是識別;一個是驗證��。
(4)安全電子交易協(xié)議�。目前有兩種安全在線支付協(xié)議被廣泛采用,能為電子商務(wù)提供有力的安全保障�����。
SSL安全套接層協(xié)議是對計算機(jī)之間整個會話進(jìn)行加密的協(xié)議����。在SSL中,采用了公開密鑰和私有密鑰兩種加密方法。SET安全電子交易是由MasterCard和Visa以及其他一些業(yè)界主流廠商聯(lián)合推出的一種規(guī)范���,用來保證在公共網(wǎng)絡(luò)上銀行卡支付交易的安全性����。SET已經(jīng)在國際上被大量實驗性地使用并經(jīng)受了考驗���。
2.電子商務(wù)安全中的法律法規(guī)策略
目前�����,電子商務(wù)法律也在逐步完善�,為了電子簽名能證實電子文件的合法性國家頒布了《電子簽名法》����。在危害計算機(jī)信息系統(tǒng)有害數(shù)據(jù)的防治方面的法規(guī)有《計算機(jī)病毒防治管理辦法》、《計算機(jī)信息系統(tǒng)安全保護(hù)條例》����、《計算機(jī)病毒防治管理辦法》����、《計算機(jī)病毒防治產(chǎn)品評級準(zhǔn)則》。與電子商務(wù)安全方面有關(guān)的法規(guī)還有:《計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》�����、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等���。
參考文獻(xiàn):
[1]王維新:電子商務(wù)安全性的技術(shù)分析[J].西安文理學(xué)院學(xué)報���,2006,9(3):118~121
篇(5)
電子商務(wù)是一個跨國界��,跨地區(qū)���,跨行業(yè)的多種技術(shù)綜合集成與不同社會經(jīng)濟(jì)文化背景形成的各種習(xí)俗不斷沖突��,不斷協(xié)調(diào)和不斷統(tǒng)一的綜合性社會系統(tǒng)工程�����。電子商務(wù)安全策略保障電子商務(wù)各個主體的切身利益���。電子商務(wù)安全策略是以人為本,從各主體的角度思考��,綜合協(xié)調(diào)了各個市場主體的行為,從根本上保障了消費(fèi)者�����、企業(yè)���、電子商務(wù)網(wǎng)站等市場主體的切身利益���,它為實現(xiàn)電子商務(wù)提供了統(tǒng)一的基礎(chǔ)平臺和安全屏障。
一�、電子商務(wù)安全技術(shù)保障策略
安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟����。電子商務(wù)中常用到的安全技術(shù)有以下幾種:
1.密碼技術(shù)。密碼技術(shù)包括加密技術(shù)和解密技術(shù)���。加密是將信息經(jīng)過加密密鑰及加密函數(shù)轉(zhuǎn)換���,變成無意義的密文。而解密則是將密文經(jīng)過解密函數(shù)��、解密密鑰處理還原成原文�����。密碼技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)����。
2.身份驗證技術(shù)。電子商務(wù)主體向系統(tǒng)證明自己身份�,并由系統(tǒng)查核該主體的過程,是確認(rèn)真實有效身份的重要環(huán)節(jié)�����,這個過程叫作身份驗證���。常用的驗證技術(shù)有報文鑒別�����、身份鑒別和電子簽名�����。
3.訪問控制技術(shù)��。訪問控制是指對電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中各種資源訪問時的權(quán)限確認(rèn)��,防止非法訪問����。它包括有關(guān)的策略、模型�、機(jī)制的基礎(chǔ)理論與實現(xiàn)方法。
4.防火墻技術(shù)�。防火墻是用一組網(wǎng)絡(luò)設(shè)備來加強(qiáng)一個網(wǎng)絡(luò)與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾��、應(yīng)用�����、電路網(wǎng)關(guān)����。
二、企業(yè)電子商務(wù)安全運(yùn)營管理制度保障策略
企業(yè)電子商務(wù)安全運(yùn)營管理制度是用文字的形式對各項安全要求所做的規(guī)定�,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ),是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則���。這些制度主要包括人員管理制度��,保密制度�����,跟蹤審計制度�����,系統(tǒng)維護(hù)制度�����、數(shù)據(jù)備份制度等�����。
1.人員管理制度 人員管理制度主要從人員的選拔�����,工作責(zé)任的落實和安全運(yùn)作必須遵循的基本原則制定相應(yīng)的工作制度�����。
2.保密制度 電子商務(wù)系統(tǒng)涉及企業(yè)的市場���、生產(chǎn)���、財務(wù)、供應(yīng)鏈等多方面的機(jī)密�����,這些方面都是需要很好地劃分信息安全級別�����,并確定安全防范重點(diǎn)�,提出相應(yīng)的保密措施。
3.跟蹤審計制度 跟蹤制度就是要求企業(yè)建立網(wǎng)絡(luò)交易的日志機(jī)制�,來記錄網(wǎng)絡(luò)交易的全過程。而審計制度是對系統(tǒng)日志的經(jīng)常檢查�����、審核���,及時發(fā)現(xiàn)對系統(tǒng)有安全隱患的記錄�����,監(jiān)控各種安全事故���,維護(hù)和管理系統(tǒng)日志�����。
4.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度 網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)包括硬件的日常維護(hù)和軟件的日常維護(hù)����,硬件維護(hù)主要是對網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機(jī)以及通信線路進(jìn)行定期規(guī)范地巡查�、檢修���;軟件維護(hù)主要是規(guī)范地對支撐軟件的定期清理和整理��、監(jiān)測����、處理特殊情況以及對應(yīng)用軟件的升級等�。
5.數(shù)據(jù)備份制度 數(shù)據(jù)備份主要是利用多種介質(zhì)對信息系統(tǒng)數(shù)據(jù)進(jìn)行存儲,定期為重要信息備份�����、系統(tǒng)設(shè)備備份,并定期更新��,以減少安全事故發(fā)生時造成的損失����。
三、電子商務(wù)立法策略
電子商務(wù)安全得到法律保障�����,首先必須完善電子商務(wù)安全相關(guān)的法律�����。如何構(gòu)建一個有針對性的健全的法律體系是擺在我們面前的迫切問題����。可以從立法目的�、立法原則、立法范圍和立法途徑上分析��。
轉(zhuǎn)貼于
1.立法目的 電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙�;消除現(xiàn)有法律適用上的不確定性,保護(hù)合理的商業(yè)行為���,保障電子交易安全�����;建立一個清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展���。
2.立法范圍 電子商務(wù)安全方面需要的法律法規(guī)主要有:市場準(zhǔn)入制度����、合同有效認(rèn)證辦法���、電子支付系統(tǒng)安全措施、信息保密防范辦法��,知識產(chǎn)權(quán)侵權(quán)處理規(guī)定��、以及廣告的管制�����、網(wǎng)絡(luò)信息內(nèi)容過濾等��;電子商務(wù)調(diào)整的對象是電子商務(wù)中的各種社會關(guān)系��。
3.立法途徑 電子商務(wù)法律仍然是調(diào)整社會關(guān)系,所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核�����,尤其是基礎(chǔ)價值觀���。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范��。對于傳統(tǒng)法律沒有規(guī)定的��,即由電子商務(wù)帶來的新的社會關(guān)系��,應(yīng)盡快制定法律規(guī)范���;第二是修改或重新解釋既定的法律規(guī)范。對于傳統(tǒng)法律的規(guī)定不明確�����,或與電子商務(wù)新型社會關(guān)系有沖突甚至存在缺欠的��,可以修改或重新解釋既定的法律規(guī)范���。
四���、政府監(jiān)督管理策略
電子商務(wù)本質(zhì)是一種市場運(yùn)作模式��,市場的正常健康有序地發(fā)展�����,必須有政府宏觀上的監(jiān)督與管理�,以協(xié)調(diào)和規(guī)范各市場主體的行為�,宏觀監(jiān)督與管理電子商務(wù)運(yùn)行中的安全保障體系。
1.計算機(jī)信息系統(tǒng)安全管理 計算機(jī)信息系統(tǒng)��,是指“由計算機(jī)及其相關(guān)的和配套的設(shè)備����、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集�、加工�����、存儲��、傳輸�����、檢索等處理的人機(jī)系統(tǒng)?!庇嬎銠C(jī)安全保護(hù)規(guī)范主要有計算機(jī)安全等級保護(hù)制度,計算機(jī)系統(tǒng)使用單位安全負(fù)責(zé)制度�,計算機(jī)案件強(qiáng)行報告制度,計算機(jī)病毒及其有害數(shù)據(jù)的專管制度與計算機(jī)信息安全專用產(chǎn)品銷售許可證制度�����。對計算機(jī)信息系統(tǒng)安全的保護(hù)�,有利于保障國家的安全和社會安定,促進(jìn)電子商務(wù)的安全交易過程��,有利電子商務(wù)的健康發(fā)展�。
2.網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理 由于網(wǎng)絡(luò)的開放性,自由性等特征決定了網(wǎng)絡(luò)廣告監(jiān)管的難度���,虛假廣告�、廣告充斥著網(wǎng)絡(luò)空間��,網(wǎng)絡(luò)廣告已經(jīng)發(fā)展成為一個社會問題����。網(wǎng)絡(luò)廣告管理應(yīng)該從三個方面入手:第一����,網(wǎng)絡(luò)廣告組織的管理�,必須對網(wǎng)站廣告經(jīng)營主體資格進(jìn)行管制,第二�,規(guī)范網(wǎng)絡(luò)廣告內(nèi)容,確保廣告內(nèi)容的真實性���、合法性和科學(xué)性���。第三,需要有具體的廣告審查管制�����、評估與監(jiān)測部門����。
國家針對網(wǎng)絡(luò)服務(wù)業(yè)和網(wǎng)絡(luò)用戶管理已經(jīng)頒布了《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》,其中提出了詳細(xì)具體的限制條件�。但是�,網(wǎng)絡(luò)飛速發(fā)展,面對網(wǎng)絡(luò)中的新問題��,還必須進(jìn)一步深入全面地研究。
3.認(rèn)證機(jī)構(gòu)管理 認(rèn)證機(jī)構(gòu)是電子商務(wù)活動中專門從事頒發(fā)認(rèn)證證書的機(jī)構(gòu)�����,對電子商務(wù)交易活動順利進(jìn)行�����,電子商務(wù)活動中交易參與各方身份和信息認(rèn)定���,維護(hù)交易安全具有重要作用���。對認(rèn)證機(jī)構(gòu)的管理主要是通過對設(shè)立的條件、撤消或者頒發(fā)許可證等營業(yè)資格而進(jìn)行審批監(jiān)督��;同時����,還要針對其資產(chǎn)和財務(wù)狀況定期審查,以免發(fā)生財務(wù)危機(jī)�����,對其信息披露與保密情況���、安全系統(tǒng)運(yùn)行情況等方面進(jìn)行不定期或定期監(jiān)督檢查�。
4.加強(qiáng)社會信用道德建設(shè),構(gòu)建和諧安全電子商務(wù) 電子商務(wù)安全問題其中有很大部分是由電子商務(wù)用戶或從業(yè)人員的信用道德問題引發(fā)的�����,在我國尤其嚴(yán)重����,甚至大家感嘆電子商務(wù)在我國“水土不服”。對于新型的商業(yè)運(yùn)作模式���,必然存在不少漏洞�����,這需要廣大電子商務(wù)市場主體有良好的電子商務(wù)道德意識��。除了從法律上采取措施���,更重要的是政府要加強(qiáng)電子商務(wù)市場主體自身的道德建設(shè),加強(qiáng)輿論監(jiān)督和企業(yè)自律�����,充分利用網(wǎng)絡(luò)新聞輿論監(jiān)督���,消費(fèi)者輿論監(jiān)督和行業(yè)協(xié)會的管理監(jiān)督��。
五����、結(jié)束語
電子商務(wù)安全不僅涉及到電子商務(wù)公司��、企業(yè)��、消費(fèi)者的利益���,而且更加廣泛地涉及經(jīng)濟(jì)�、政治���、國防��、文化等諸多方面�,關(guān)系到國家的安全�、主權(quán)和社會的穩(wěn)定。電子商務(wù)安全策略確保電子商務(wù)的快速、健康地發(fā)展�。電子商務(wù)安全是目前電子商務(wù)發(fā)展的瓶頸,只有解決了電子商務(wù)安全����,保障了市場主體的利益,才能得到網(wǎng)絡(luò)用戶的認(rèn)可和參與����,電子商務(wù)自身也才能得到快速、健康地發(fā)展�。
參考文獻(xiàn)
[1]林寧,吳志剛.我國信息安全技術(shù)標(biāo)準(zhǔn)化現(xiàn)狀[J].中國標(biāo)準(zhǔn)化��,2007(4)
篇(6)
0 引言
近年來,隨著信息技術(shù)的發(fā)展,各行各業(yè)都利用計算機(jī)網(wǎng)絡(luò)和通訊技術(shù)開展業(yè)務(wù)工作�。廣西百色田陽縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術(shù)建有專門的網(wǎng)站,通過網(wǎng)站實施農(nóng)產(chǎn)品信息�����、電子支付等商務(wù)工作���。但是基于互聯(lián)網(wǎng)的電了商務(wù)的安全問題日益突出���,并且該問題已經(jīng)嚴(yán)重制約了農(nóng)產(chǎn)品電子商務(wù)的進(jìn)一步發(fā)展���。
1 農(nóng)產(chǎn)品電子商務(wù)的安全需求
根據(jù)電子商務(wù)系統(tǒng)的安全性要求,田陽農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)需要滿足系統(tǒng)的實體安全�����、運(yùn)行安全和信息安全三方面的要求�����。
1) 系統(tǒng)實體安全
系統(tǒng)實體安全是指保護(hù)計算機(jī)設(shè)備���、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)���、火災(zāi)���、有害氣體和其它環(huán)境事故(如電磁污染等)破壞的措施和過程。
2) 系統(tǒng)運(yùn)行安全系統(tǒng)運(yùn)行安全是指為保障系統(tǒng)功能的安全實現(xiàn)��,提供一套安全措施(如風(fēng)險分析�、審計跟蹤、備份與恢復(fù)��、應(yīng)急)來保護(hù)信息處理過程的安全。項目組在實施項目前已對系統(tǒng)進(jìn)行了靜態(tài)的風(fēng)險分析��,防止計算機(jī)受到病毒攻擊��,阻止黑客侵入破壞系統(tǒng)獲取非法信息�����,因此系統(tǒng)備份是必不可少的(如采用放置在不同地區(qū)站點(diǎn)的多臺機(jī)器進(jìn)行數(shù)據(jù)的實時備份)����。為防止意外停電,系統(tǒng)需要配備多臺備用電源����,作為應(yīng)急設(shè)施。
3) 信息安全
系統(tǒng)信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露�、更改、破壞或信息被非法的系統(tǒng)標(biāo)識��、控制��。系統(tǒng)的核心服務(wù)是交易服務(wù)��,因此保證此類安全最為迫切��。系統(tǒng)需要滿足保密性,即保護(hù)客戶的私人信息�����,不被非法竊取�����。同時系統(tǒng)要具有認(rèn)證性和完整性�,即確?���?蛻羯矸莸暮戏ㄐ裕WC預(yù)約信息的真實性和完整性��,系統(tǒng)要實現(xiàn)基于角色的安全訪問控制���、保證系統(tǒng)���、數(shù)據(jù)和服務(wù)由合法的客戶、人員訪問����,即保證系統(tǒng)的可控性�����。在這基礎(chǔ)上要實現(xiàn)系統(tǒng)的不可否認(rèn)性�,要有效防止通信或交易雙方對已進(jìn)行的業(yè)務(wù)的否認(rèn)����。
2 農(nóng)產(chǎn)品電子商和安全策略
為了滿足電子商務(wù)的安全要求,電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動參與者提供可靠的安全服務(wù)�,具體可采用的技術(shù)如下:
2.1基于多重防范的網(wǎng)絡(luò)安全策略
1) 防火墻技術(shù)
防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的,在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護(hù)屏障�����。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過保護(hù)屏障�,并在此進(jìn)行檢查和連接,只有被授權(quán)的信息才能通過此保護(hù)屏障���,從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離���,防止非法入侵、非法盜用系統(tǒng)資源����,執(zhí)行安全管制機(jī)制��,記錄可疑事件等���。
防火墻具有很好的保護(hù)作用。論文大全���,信息安全�。入侵者必須首先穿越防火墻的安全防線����,才能接觸目標(biāo)計算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別�����。高級別的保護(hù)可能會禁止一些服務(wù)����,如視頻流等����,但至少這是你自己的保護(hù)選擇。
邊界防火墻(作為阻塞點(diǎn)�����、控制點(diǎn))能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險���。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻�,所以網(wǎng)絡(luò)環(huán)境變得更安全����。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)�。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑��。論文大全����,信息安全。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員��。論文大全���,信息安全��。
2) VPN 技術(shù)
VPN 技術(shù)也是一項保證網(wǎng)絡(luò)安全的技術(shù)之一�,它是指在公共網(wǎng)絡(luò)中建立一個專用網(wǎng)絡(luò),數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播���。企業(yè)只需要租用本地的數(shù)據(jù)專線��,連接上本地的公眾信息網(wǎng)���,其分支機(jī)構(gòu)就可以相互之間安全的傳遞信息。同時���,企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備����,讓自己的用戶撥號到公眾信息網(wǎng)上���,就可以進(jìn)入企業(yè)網(wǎng)中。使用VPN 技術(shù)可以節(jié)省成本�、擴(kuò)展性強(qiáng)、提供遠(yuǎn)程訪問�����、便于管理和實現(xiàn)全面控制��,是當(dāng)前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。
VPN提供用戶一種私人專用(Private)的感覺���,因此建立在不安全����、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題��。VPN的安全性可通過隧道技術(shù)�����、加密和認(rèn)證技術(shù)得到解決����。在Intranet VPN中,要有高強(qiáng)度的加密技術(shù)來保護(hù)敏感信息�;在遠(yuǎn)程訪問VPN中要有對遠(yuǎn)程用戶可*的認(rèn)證機(jī)制。
性能
VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法���。盡管網(wǎng)絡(luò)速度不斷提高��,但在Internet時代�����,隨著電子商務(wù)活動的激增�,網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生,這給VPN性能的穩(wěn)定帶來極大的影響���。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來確保其性能�����。通過VPN平臺����,管理員定義管理政策來激活基于重要性的出入口帶寬分配�。這樣既能確保對數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級應(yīng)用的性能,又不會“餓死”�,低優(yōu)先級的應(yīng)用。
管理問題
由于網(wǎng)絡(luò)設(shè)施�、應(yīng)用不斷增加,網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長���,對越來越復(fù)雜的網(wǎng)絡(luò)管理,網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分�。VPN是公司對外的延伸,因此VPN要有一個固定管理方案以減輕管理、報告等方面負(fù)擔(dān)�����。管理平臺要有一個定義安全政策的簡單方法�����,將安全政策進(jìn)行分布�����,并管理大量設(shè)備�����。論文大全���,信息安全���。
2.2基于角色訪問的權(quán)限控制策略
農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對象,與這些對象有關(guān)的用戶數(shù)量也非常多�����,所以用戶權(quán)限管理工作非常重要。
目前權(quán)根控制方法很多���,我們采用基于RBAC演變的權(quán)限制制思路�����。在RBAC之中�����,包含用戶��、角色�����、目標(biāo)����、操作����、許可權(quán)五個基本數(shù)據(jù)元素,權(quán)限被賦予角色��,而不是用戶,當(dāng)一個角色被指定給一個用戶時�,此用戶就擁有了該角色所包含的權(quán)限��。角色訪問控制策略主要是兩方面的工作:
(1)確定角色
根據(jù)系統(tǒng)作業(yè)流程的任務(wù)�����,并結(jié)合實際的操作崗位劃分角色�。角色分為高級別角色和代級別角色,低級別角色可以為高級別角色的子角色����,高級別角色完全繼承其子角色的權(quán)限。
(2)分配權(quán)限策略
根據(jù)系統(tǒng)的實際功能結(jié)構(gòu)對系統(tǒng)功能進(jìn)行編碼���,系統(tǒng)管理員可以創(chuàng)建����、刪除角色所具有的權(quán)限��,以及為角色增加��、刪除用戶��。需要注意的是角色被指派給用戶后,此時角色不發(fā)生沖突���,對該角色的權(quán)限不能輕易進(jìn)行修改���,以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突。論文大全����,信息安全。論文大全���,信息安全��。對用戶的權(quán)限控制通過功能菜單權(quán)限控制或者激活權(quán)限控制來具體實現(xiàn)���。用戶登陸系統(tǒng)時,系統(tǒng)會根據(jù)用戶的角色的并集�,從而得到用戶的權(quán)限,由權(quán)限得到菜單項對該用戶的可視屬性是true/false����,從而得到用戶菜單。
2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略
在農(nóng)產(chǎn)品商務(wù)系統(tǒng)中��,數(shù)據(jù)庫系統(tǒng)作為計算機(jī)信息系統(tǒng)核心部件,數(shù)據(jù)庫文件作為信息的聚集體�,其安全性將是重中之重。
1)數(shù)據(jù)庫加密系統(tǒng)措施
(1)在用戶進(jìn)入系統(tǒng)進(jìn)行兩級安全控制
這種控制可以采用多種方式�,包括設(shè)置數(shù)據(jù)庫用戶名和口令,或者利用IC卡讀寫器或者指紋識別器進(jìn)行用戶身份認(rèn)證���。
2)防止非法復(fù)制
對于服務(wù)器來說,可以采用軟指紋技術(shù)防止非法復(fù)制�,當(dāng)然,權(quán)限控制����、備份/復(fù)制和審計控制也是實行的一樣。
3)安全的數(shù)據(jù)抽取方式
提供兩種卸出和裝入數(shù)據(jù)庫中的加密數(shù)據(jù)的方式:其一是用密文式卸出�,這種卸出方式不解密,卸出的數(shù)據(jù)還是密文�����,在這種模式下��,可直接使用dbms提供的卸出���、裝入工具�����;其二是用明文方式卸出�����,這種卸出方式需要解密����,卸出的數(shù)據(jù)明文,在這種模式下����,可利用系統(tǒng)專用工具先進(jìn)行數(shù)據(jù)轉(zhuǎn)換,再使用dbms提供的卸出����、裝入工具完成�。
3結(jié)束語
隨著信息化技術(shù)的快速發(fā)展,農(nóng)產(chǎn)品電子商務(wù)創(chuàng)新必須適應(yīng)新的變化���,必須充分考慮信息安全因素與利用信息安全技術(shù)�����,這樣才能實現(xiàn)農(nóng)產(chǎn)品電子商務(wù)業(yè)務(wù)快速增長�����,本文所述的安全策略����,對當(dāng)前實施電子商務(wù)有一定效果的,是值得推介應(yīng)用的���。
參考文獻(xiàn):
[1]盧華玲.電子商務(wù)安全技術(shù)研究[J].重慶工學(xué)院學(xué)報(自然科學(xué)版),2007����,(12):71-73.
[2]唐文龍.基于角色訪問控制在農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)中的應(yīng)用[j]. 大眾科技.34-35
篇(7)
2 電子商務(wù)網(wǎng)站的安全策略
電子商務(wù)依靠的是互聯(lián)網(wǎng),其核心和關(guān)鍵問題就是交易的安全性�����。正是由于網(wǎng)絡(luò)本身的開放性給網(wǎng)上交易帶來了種種危險��,才要更加注重它的安全控制���。電子商務(wù)網(wǎng)站的安全問題可以從兩個方面進(jìn)行探討和分析�,一是系統(tǒng)安全����,二是數(shù)據(jù)安全,并且可以利用一些先進(jìn)的技術(shù)手段加以解決����。
2.1 系統(tǒng)安全
信息安全對于企業(yè)來說很重要,而信息安全的前提是系統(tǒng)安全���。系統(tǒng)安全主要包括網(wǎng)絡(luò)系統(tǒng)���、操作系統(tǒng)和應(yīng)用系統(tǒng)3個方面。系統(tǒng)安全可以采用的技術(shù)手段有網(wǎng)絡(luò)隔離�、訪問控制���、身份鑒別�����、數(shù)據(jù)加密�、監(jiān)控評估等技術(shù)。
2.1.1 網(wǎng)絡(luò)系統(tǒng)
網(wǎng)絡(luò)系統(tǒng)的安全問題主要是由于網(wǎng)絡(luò)的開放性造成的����,解決問題的關(guān)鍵是把網(wǎng)絡(luò)從開放、自由的環(huán)境中分離出來�����,使其變成可以控制和管理的獨(dú)立網(wǎng)絡(luò)�����,就目前的技術(shù)發(fā)展來看�,可以采用下列方法解決系統(tǒng)安全問題�。
1)系統(tǒng)隔離�,就是將重要的網(wǎng)絡(luò)系統(tǒng)與其他系統(tǒng)分離,有物理隔離和邏輯隔離���。按照網(wǎng)絡(luò)安全等級的不同可以將網(wǎng)絡(luò)合理劃分為多個互不連通的網(wǎng)絡(luò)�����,使不同安全級別的網(wǎng)絡(luò)或設(shè)備不能相互訪問��,從而達(dá)到安全隔離���。也可以采用VLAN等網(wǎng)絡(luò)技術(shù)對業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)實行邏輯上的隔離,劃分出不同的應(yīng)用子網(wǎng)�;2)訪問控制,通過設(shè)置有效合理的訪問策略��,對于不同區(qū)域的網(wǎng)絡(luò)資源實行訪問控制��,防止非法用戶訪問受保護(hù)的資源���,其主要解決的問題就是網(wǎng)絡(luò)邊界的安全控制和網(wǎng)絡(luò)內(nèi)部資源的訪問控制?�?梢园凑找欢ǖ脑瓌t根據(jù)需要對信息的流向進(jìn)行單向或雙向控制�。能夠設(shè)置訪問控制的網(wǎng)絡(luò)設(shè)備有很多,比如交換機(jī)�、路由器���,而最重要也是最有效的則是防火墻����,它通常被布置在網(wǎng)絡(luò)的出入口處,對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)信息進(jìn)行有效的檢測和過濾�����,同時按照訪問控制列表和安全政策對信息流進(jìn)行控制����,允許合理有效的數(shù)據(jù)通過,將不安全和不符合要求的數(shù)據(jù)拒之網(wǎng)外�����;3)身份鑒定��,對訪問網(wǎng)絡(luò)的用戶進(jìn)行身份識別��,通?��?梢允褂萌N方式對訪問者進(jìn)行身份驗證���,一是訪問者了解的安全信息�����,比如賬號����、密碼、密鑰等���;二是訪問者提供的物件����,比如訪問磁卡����、通用IC卡、動態(tài)口令卡等�;三是訪問者自身的特征信息,比如聲音�����、指紋��、視網(wǎng)膜�����、筆跡等。身份鑒定的目的就是阻止非法用戶訪問這些被加密的數(shù)據(jù)��,而加密是為了防止網(wǎng)絡(luò)數(shù)據(jù)被竊聽����、泄漏��、篡改和破壞����;4)安全監(jiān)測,利用網(wǎng)絡(luò)設(shè)備的高級功能和技術(shù)�,通過分析來訪數(shù)據(jù)信息,找出未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問和非法行為�,包括對網(wǎng)絡(luò)系統(tǒng)的掃描、跟蹤�����、預(yù)警�����、阻斷�、記錄等,從而將系統(tǒng)遭受的攻擊傷害減少到最低��。除了網(wǎng)絡(luò)設(shè)備���,還可利用一些專業(yè)的網(wǎng)絡(luò)掃描監(jiān)測系統(tǒng)來對付黑客和非法入侵���,這些系統(tǒng)能夠主動、實時��、有效的識別出非法數(shù)據(jù)和用戶�����,并且通過網(wǎng)絡(luò)掃描能夠針對網(wǎng)絡(luò)設(shè)備的安全漏洞進(jìn)行檢測和分析�����,包括網(wǎng)絡(luò)服務(wù)�����、防火墻����、路由器�����、郵件服務(wù)器����、網(wǎng)站服務(wù)器等����,從而識別那些可以被入侵者利用并非法進(jìn)入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對檢測到的漏洞信息形成詳細(xì)報告并提供改進(jìn)方案����,使網(wǎng)絡(luò)管理人員能檢測和管理好安全風(fēng)險。
2.1.2 操作系統(tǒng)
操作系統(tǒng)���,實際上就是電腦管理控制程序���,是管理計算機(jī)軟硬件資源的核心系統(tǒng),負(fù)責(zé)設(shè)備的管理���、數(shù)據(jù)的存儲���、信息的發(fā)送和各種系統(tǒng)資源的調(diào)度�,它是各種應(yīng)用軟件的系統(tǒng)平臺��,具有通用性和易用性����,操作系統(tǒng)的安全直接影響到應(yīng)用系統(tǒng)和數(shù)據(jù)的安全�����,一般分為應(yīng)用安全和系統(tǒng)掃描�����。
1)應(yīng)用安全�����,面向應(yīng)用選擇可靠的操作系統(tǒng)��,可以杜絕使用來歷不明的軟件���。用戶可安裝操作系統(tǒng)保護(hù)與恢復(fù)軟件�,并作相應(yīng)的備份;2)系統(tǒng)掃描����,基于主機(jī)的安全評估系統(tǒng)是對系統(tǒng)的安全風(fēng)險級別進(jìn)行劃分,并提供完整的安全漏洞檢查列表����,通過不同版本的操作系統(tǒng)進(jìn)行掃描分析,對掃描漏洞自動修補(bǔ)形成報告���,保護(hù)應(yīng)用程序��、數(shù)據(jù)免受盜用�����、破壞����。
2.1.3 應(yīng)用系統(tǒng)
1)文件的安全存儲:利用各種加密手段���,結(jié)合相應(yīng)的身份鑒定和密碼保護(hù)機(jī)制�,使存儲在本地或者網(wǎng)絡(luò)上的重要文件處于安全存儲的狀態(tài)��,即便他人通過非法手段獲取到了文件或存儲設(shè)備,也難以取得文件里的內(nèi)容�;2)文件的安全傳遞:對通過網(wǎng)絡(luò)發(fā)送的文件進(jìn)行安全處理,比如加密�����、簽名�、完整性鑒別等����,使被傳送的文件只有指定的接收者通過相應(yīng)的安全鑒別機(jī)制才能解密并閱讀,避免了文件在傳送或存儲的過程當(dāng)中被截獲���、篡改和破壞等���;3)業(yè)務(wù)服務(wù)安全:主要面向業(yè)務(wù)管理和信息服務(wù)的安全需求。對于各種通用信息服務(wù)��,如WEB信息服務(wù)����、FTP服務(wù)、電子郵件服務(wù)等服務(wù)�����,采用相應(yīng)安全軟件系統(tǒng)進(jìn)行保護(hù),如安全郵件系統(tǒng)�、WEB頁面保護(hù)等;對于各種業(yè)務(wù)信息可以配合專業(yè)管理信息系統(tǒng)軟件采取對信息內(nèi)容的安全保護(hù)�����,防止外部非法侵入和內(nèi)部信息泄漏�����。
2.2 數(shù)據(jù)安全
信息數(shù)據(jù)的安全主要包含了數(shù)據(jù)庫的安全和數(shù)據(jù)本身的安全�,這兩個方面的安全問題都必須得有相應(yīng)的安全措施,才能確保數(shù)據(jù)安全�����。
1)數(shù)據(jù)庫安全��,目前很多企業(yè)使用的數(shù)據(jù)庫都是SQL Server或者ORACLE大型數(shù)據(jù)庫����,這些數(shù)據(jù)庫系統(tǒng)本身具備一定的安全性,安全級別可以滿足日常需求���。但是由于數(shù)據(jù)庫十分重要���,應(yīng)在此基礎(chǔ)上再采取一些安全措施���,增加相應(yīng)安全組件,改良密碼策略�����,對數(shù)據(jù)庫實施分級管理并提供可靠的故障恢復(fù)機(jī)制�����,實現(xiàn)數(shù)據(jù)庫的訪問���、存取和加密控制。具體方法有安全數(shù)據(jù)庫系統(tǒng)����、數(shù)據(jù)庫保密系統(tǒng)、數(shù)據(jù)庫掃描系統(tǒng)等���;2)數(shù)據(jù)安全����,即存儲在數(shù)據(jù)庫中的數(shù)據(jù)本身的安全,相應(yīng)的保護(hù)措施有安裝反病毒軟件和防火墻軟件�,建立一套可靠的數(shù)據(jù)備份與恢復(fù)系統(tǒng),定期對數(shù)據(jù)進(jìn)行備份���,定期修改數(shù)據(jù)庫密碼�����,必要時可以對重要數(shù)據(jù)采取多層加密保護(hù)����。
2.3 交易安全
網(wǎng)上交易安全是用戶最關(guān)心的問題��,只有提供穩(wěn)定的安全保證��,在線交易用戶才會具有安全感����,才會覺得交易平臺可靠,電子商務(wù)網(wǎng)站才會具有廣闊的發(fā)展空間��。
1)交易安全標(biāo)準(zhǔn)�����,目前在電子商務(wù)中主要的安全標(biāo)準(zhǔn)有兩種:應(yīng)用層的SET(安全電子交易)和會話層SSL(安全套層)協(xié)議。前者由信用卡機(jī)構(gòu)VISA及MasterCard提出的針對電子錢包���、商場���、認(rèn)證中心的安全標(biāo)準(zhǔn),SET的關(guān)鍵特征是信息的機(jī)密性��、數(shù)據(jù)的可靠性���、卡用戶賬號的鑒別����、商人的鑒別����,主要用于銀行等金融機(jī)構(gòu)����。后者由NETSCAPE公司提出的針對數(shù)據(jù)的機(jī)密性、完整性�、開放性和身份確認(rèn)的安全協(xié)議���,它可以保證數(shù)據(jù)不被竊取和破壞,此協(xié)議已經(jīng)成為WEB應(yīng)用安全標(biāo)準(zhǔn)�;2)交易安全基礎(chǔ)體系,交易安全的基礎(chǔ)是現(xiàn)代密碼學(xué)技術(shù)����,主要取決去于加密方法和加密強(qiáng)度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系����。兩者各有所長,對稱密鑰具有加密效率高��,但存在密鑰分發(fā)困難���、管理不便的弱點(diǎn)�����。非對稱密鑰加密速度慢����,但便于密鑰分發(fā)管理��。通常把兩者結(jié)合使用,以達(dá)到高效安全的目的��;3)交易安全的實現(xiàn)�,交易安全的實現(xiàn)主要是指交易雙方身份確認(rèn)、交易指令及數(shù)據(jù)加密傳輸�����、數(shù)據(jù)的完整性�、防止雙方對交易結(jié)果的否認(rèn)等等。具體實現(xiàn)的途徑是交易各方具有相關(guān)身份證明���,同時在SSL協(xié)議體系下完成交易過程中電子證書驗證��、數(shù)字簽名����、指令數(shù)據(jù)的加密傳輸����、交易結(jié)果確認(rèn)審計等�。
3 結(jié)論
企業(yè)電子商務(wù)網(wǎng)站的安全,需要一個完整的綜合保障體系��,要采用綜合防范的思路,從技術(shù)����、管理、法律等多方面加以認(rèn)識和思考����。安全實際上是一種風(fēng)險管理,任何技術(shù)手段都不能夠保證百分之百的安全���,但是安全技術(shù)可以降低系統(tǒng)遭到破壞和攻擊的風(fēng)險�,在一定程度上保障數(shù)據(jù)的安全����。電子商務(wù)正處于蓬勃發(fā)展時期,只有解決了電子商務(wù)中出現(xiàn)的各類問題���,才能是電子商務(wù)系統(tǒng)更加安全�。
參考文獻(xiàn)
篇(8)
一��、 引言
隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展�����,電子商務(wù)開始蓬勃發(fā)展起來,通過Internet進(jìn)行的網(wǎng)上購物�����、在線交易�、網(wǎng)上銀行等業(yè)務(wù)雖然為人們的工作和生活提供了極大的便利。但是����,由于Internet本身具有的開放性、靈活性���、共享性等特點(diǎn)����,也為信息安全帶來了巨大威脅�。所以,電子商務(wù)的安全問題是事關(guān)能否正常開展電子商務(wù)的首要問題���。
目前����,世界上提出了很多加強(qiáng)網(wǎng)上交易安全性的協(xié)議,如SSL����、SET等。由于SET協(xié)議非常復(fù)雜,實現(xiàn)比較困難,而且執(zhí)行效率比較低�����,所以目前大部分網(wǎng)上交易都是采用SSL協(xié)議來實現(xiàn)����。當(dāng)前,網(wǎng)上銀行等大型電子商務(wù)交易系統(tǒng)一般都采用HTTP和SSL相結(jié)合的方式,即在服務(wù)器端采用支持SSL的WWW服務(wù)器����,在客戶端采用支持SSL的瀏覽器,雙方共同協(xié)作來實現(xiàn)安全的網(wǎng)絡(luò)通信。
二����、SSL協(xié)議的介紹
安全套接層協(xié)議(Secure Sock Layer Protocol,簡稱SSL)是在電子商務(wù)發(fā)展初期發(fā)展起來的�����,最早由Netscape公司設(shè)計開發(fā)��,它是在TCP/IP上實現(xiàn)的一種安全協(xié)議,其采用了不對稱加密技術(shù)���。它為C/S(客戶端/服務(wù)器)通信安全提供面向連接的機(jī)制�,建立安全通道��,通過在安全通道上傳輸信用卡卡號的方式��,可以構(gòu)建電子商務(wù)支付系統(tǒng)�����。SSL安全通道能使客戶端/服務(wù)器應(yīng)用之間的通信不被第三者竊聽����,并且始終對服務(wù)器進(jìn)行身份認(rèn)證,還可選擇對客戶端進(jìn)行認(rèn)證��。目前��,大部分Web瀏覽器(Netscape Navigator和Microsoft IE)和Web服務(wù)器都已內(nèi)置了SSL協(xié)議�����,SSL已成為在電子商務(wù)中應(yīng)用最廣泛的安全協(xié)議之一�����。
SSL協(xié)議要求建立在可靠的傳輸層協(xié)議(例如:TCP)之上。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨(dú)立無關(guān)的�����。高層的應(yīng)用層協(xié)議(例如:HTTP�����,F(xiàn)TP�,TELNET)能透明地建立于SSL協(xié)議之上���。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成了加密算法��、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作�。應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密���,從而保證通信的機(jī)密性�����。
SSL協(xié)議主要由SSL記錄協(xié)議和SSL握手協(xié)議兩部分組成�����。
1.SSL記錄協(xié)議����。SSL記錄協(xié)議位于SSL協(xié)議的底層,用于封裝上層的協(xié)議����。其規(guī)定了會話中傳遞的所有數(shù)據(jù)項的基本格式,提供壓縮數(shù)據(jù)�、生成數(shù)據(jù)的完整性校驗值(MAC)、對數(shù)據(jù)進(jìn)行加密��、標(biāo)示數(shù)據(jù)長度��、填充����、流水作業(yè)號,并支持不同的加解密和雜湊算法��。
2.SSL握手協(xié)議���。SSL握手協(xié)議使得服務(wù)器和客戶端能夠相互認(rèn)證對方的身份�����、傳送所需的數(shù)字證書�、建立所需的會話密鑰。SSL握手協(xié)議是較SSL記錄協(xié)議更高層的協(xié)議���,必須先執(zhí)行握手協(xié)議后�����,才可能實現(xiàn)SSL記錄協(xié)議中的加密和完整性校驗。SSL協(xié)議通過在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的建立�。SSL握手過程一般分為4個階段:
(1)建立安全能力:該階段是用來初始化邏輯連接,并建立與之相關(guān)的安全能力��。交換在客戶端發(fā)起��,客戶端發(fā)送Client_hello消息��,并包含以下數(shù)據(jù)(SSL版本���、初始隨機(jī)參數(shù)����、會話ID、密碼組參數(shù)��、壓縮方法)��,在發(fā)送了Client_hello消息之后���,客戶端將等待包含與Client_hello消息參數(shù)一樣的Server_hello消息��。
(2)服務(wù)器身份認(rèn)證和密碼交換:服務(wù)器發(fā)送自己的數(shù)字證書給客戶端�,該證書帶有證書授權(quán)中心(CA)的數(shù)字簽名和服務(wù)器的公鑰以及其數(shù)字簽名���,可以證明自己的合法性����,然后開始密鑰交換���。如果服務(wù)器要求認(rèn)證客戶端����,則要請求客戶端數(shù)字證書�。該階段以Hello消息段結(jié)束,之后服務(wù)器等待客戶端的響應(yīng)。
(3)客戶端認(rèn)證和密鑰交換:在這一階段�����,客戶端認(rèn)證服務(wù)器數(shù)字證書的合法性��。如果服務(wù)器要求客戶端的數(shù)字證書��,客戶端應(yīng)提供其數(shù)字證書���,供服務(wù)器認(rèn)證客戶端的合法性���。此外,還要發(fā)送交換密鑰�。
(4)完成:該階段完成安全通道的建立���,該消息并不被認(rèn)為是握手協(xié)議的一部分���,而是改變密碼規(guī)格協(xié)議發(fā)送的。至此�,客戶端和服務(wù)器完成了握手協(xié)議,可以開始交換應(yīng)用層的數(shù)據(jù)了����。
三�����、SSL協(xié)議在服務(wù)器上的應(yīng)用
實現(xiàn)SSL協(xié)議�����,首先要在服務(wù)器上加裝SSL��,其步驟為先在“Internet服務(wù)管理器”的“識別碼管理器”上填入網(wǎng)站的相關(guān)信息�����,以它為內(nèi)容產(chǎn)生一組公鑰���,識別碼管理器還會將以上信息都寫入文件,接下來就可以用這份數(shù)據(jù)向證書授權(quán)中心(Certification Authority)申請SSL服務(wù)器數(shù)字證書了�。CA是一個公開而且公正的組織單位,其專門負(fù)責(zé)受理數(shù)字證書的核準(zhǔn)���,發(fā)放���,注銷等管理工作(例如:VeriSign)。不同的CA有不同的申請方法。當(dāng)申請好數(shù)字證書后��,選擇識別碼管理器下的安裝識別碼認(rèn)證�����,輸人密碼和數(shù)字證書文件的位置�����,就把數(shù)字證書安裝好了�。然后就是指定哪些頁面需要用到SSL功能,打開Internet服務(wù)管理器�,單擊所要設(shè)置的頁面目錄后按右鍵,單擊“屬性”��,再選擇“目錄安全設(shè)定”下“安全通信”��,按下編輯按鍵后在“當(dāng)存取這個資源必須使用安全通道”選項上打上勾���,表示當(dāng)客戶端存取這個目錄時就會激活SSL功能。
服務(wù)器通過SSL服務(wù)器數(shù)字證書的兩個必要功能來建立電子商務(wù)信任體系�����。SSL服務(wù)器數(shù)字證書的兩個必要功能是:
1.SSL服務(wù)器認(rèn)證:服務(wù)器數(shù)字證書允許用戶確認(rèn)Web服務(wù)器的身份。Web瀏覽器自動檢查服務(wù)器數(shù)字證書和公共ID是有效的并已經(jīng)被CA(如:VeriSign)所�����,包括在可信任的內(nèi)嵌于瀏覽器中的CA列表�����。SSL服務(wù)器認(rèn)證對安全的電子商務(wù)交易是至關(guān)重要的��。例如��,用戶通過網(wǎng)絡(luò)發(fā)送信用卡號并想校驗接收服務(wù)器的身份���。
2.SSL加密:SSL服務(wù)器數(shù)字證書建立了一個安全通道�����,在用戶瀏覽器和Web服務(wù)器之間傳送的所有信息由發(fā)送軟件加密����、接收軟件解密�,從而保護(hù)私有信息不被第三方所竊取。
四���、SSL協(xié)議在客戶端的應(yīng)用
1.客戶連接一個站點(diǎn)和訪問一個安全的URL�,即受服務(wù)器ID所保護(hù)的網(wǎng)頁。
2.客戶的瀏覽器自動向服務(wù)器發(fā)送瀏覽器的SSL版本號��、密碼設(shè)置����、產(chǎn)生的隨機(jī)數(shù)和服務(wù)器需要和客戶用SSL通信的其他信息。
3.服務(wù)器做出反應(yīng)���,自動向瀏覽器發(fā)送站點(diǎn)的數(shù)字證書��,包括服務(wù)器的SSL版本號�����、密碼設(shè)置等等����。
4.客戶的瀏覽器檢查包含在服務(wù)器數(shù)字證書中的信息并校驗�����。
(1)服務(wù)器數(shù)字證書是否有效�,日期是否有效。
(2)服務(wù)器數(shù)字證書的CA是否被可信任的CA所簽名�,可信任的CA證書已嵌入瀏覽器中。
(3)嵌入瀏覽器中的CA的公鑰是否使者的數(shù)字簽名有效�。
(4)服務(wù)器數(shù)字證書所指定的域名與服務(wù)器的真實域名是否匹配。
如果服務(wù)器不能通過認(rèn)證��,那么用戶就會接收到警告信息�,從而不能建立SSL安全通道。
5.如果服務(wù)器通過認(rèn)證����,客戶瀏覽器就會產(chǎn)生一個唯一的“會話密鑰”來加密所有與服務(wù)器的通信內(nèi)容。
6.客戶的瀏覽器用服務(wù)器數(shù)字證書中的公鑰加密“會話密鑰”發(fā)送給服務(wù)器���。這樣就可以確保只有服務(wù)器才能讀出“會話密鑰”�����。
7.服務(wù)器用自己的私鑰解密“會話密鑰”����。
8.瀏覽器向服務(wù)器發(fā)送信息����,表明以后從客戶端發(fā)送的信息都將用“會話密鑰”加密�����。
9.服務(wù)器向瀏覽器發(fā)送信息����,表明以后從服務(wù)器發(fā)送的信息也將用“會話密鑰”加密�����。
10.這樣����,在客戶端與服務(wù)器就建立了一個SSL安全通道。之后�����,所有通信內(nèi)容就在SSL安全通道內(nèi)用“會話密鑰”來加密和解密信息���。
11.一旦本次會話結(jié)束����,“會話密鑰”也就隨之失效�����。
上述過程只要花費(fèi)幾秒鐘的時間�����,且不需要客戶的干涉����。
另外,用戶還可以通過以下情況來確認(rèn)是否已經(jīng)和正在訪問的服務(wù)器建立了SSL安全通道:
> 在瀏覽器窗口的URL中以HTTPS://開頭
> 在Netscape中�,在窗口左下角的掛鎖是關(guān)閉的,而不是打開的����。
> 在IE中,掛鎖出現(xiàn)在窗口狀態(tài)條的右下角�����。
五�����、SSL在現(xiàn)實中的應(yīng)用
以中國工商銀行“個人網(wǎng)上銀行”為例��。首先訪問工商銀行首頁(省略/)。單擊“個人網(wǎng)上銀行登錄”圖標(biāo)�����。然后填入必要的信息�,之后單擊同意按鈕就可以打開“個人網(wǎng)上銀行”。
首次使用時���,會彈出一個要求安裝SSL數(shù)字證書的對話框�,單擊“是”按鈕即可���。在安裝好SSL數(shù)字證書之后�,在IE瀏覽器的右下方就會出現(xiàn)一把閉合的黃色小鎖���,其代表瀏覽器正在使用SSL加密傳輸?shù)馁Y料�,從而避免敏感信息在傳輸?shù)倪^程中被竊取或者篡改����。用戶可以通過雙擊這把小鎖來查看服務(wù)器SSL數(shù)字證書的詳細(xì)內(nèi)容。
值得一提的是個別瀏覽器只支持40位以下的加密算法�����。這對于傳輸重要信息是遠(yuǎn)遠(yuǎn)不夠的。在IE瀏覽器中�,只要將鼠標(biāo)指向瀏覽器右下方的黃色小鎖,就可以看到SSL加密的位數(shù)�。假如不是128位的話,可以通過單擊瀏覽器“幫助”菜單下的“關(guān)于Internet Explorer”��。如果顯示的密鑰長度小于128位��,則可以單擊“工具”菜單上的“Windows Update”�����,然后依據(jù)提示將瀏覽器更新為最新版本����,使其支持128位的SSL加密算法��。
六�、SSL的功能及SSL的局限性
1.信息加密。SSL所采用的加密技術(shù)既有對稱加密技術(shù)��,如DES���;也有不對稱加密技術(shù)�����,如RSA�。具體來說,客戶端與服務(wù)器在進(jìn)行數(shù)據(jù)交換之前�,先交換SSL握手信息,在SSL握手信息中采用了各種加密技術(shù)對其加密����,以保證其機(jī)密性和數(shù)據(jù)的完整性,并且用數(shù)字證書進(jìn)行認(rèn)證����。
2.信息完整。SSL提供了信息完整服務(wù)��,以建立客戶端與服務(wù)器之間的安全通道�����,使所有經(jīng)過SSL協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無誤地到達(dá)其目的地�����。
3.身份認(rèn)證?���?蛻舳撕头?wù)器都有各自的識別號,這些識別號由公開密鑰進(jìn)行編號���。為了驗證用戶是否合法����,SSL協(xié)議要求在握手交換數(shù)據(jù)前進(jìn)行認(rèn)證�,以此來確保用戶的合法性���。 SSL堅持對服務(wù)器進(jìn)行身份認(rèn)證����,還可選擇性的對客戶端進(jìn)行認(rèn)證��。
篇(9)
1 電子商務(wù)的定義及具備的問題
1.1 何為電子商務(wù)
電子商務(wù)是商務(wù)活動過程里的一個全新的形式��,經(jīng)由現(xiàn)代信息技術(shù)的方法����,透過數(shù)字化信息網(wǎng)絡(luò)乃至計算機(jī)裝置代替過去在交易過程里通過紙質(zhì)方式進(jìn)行的存檔、傳遞及統(tǒng)計的方式,展現(xiàn)出商品和服務(wù)交易甚至交易管理活動的在線交易形式��,使得物流和資金展現(xiàn)出高效率�、低成本的信息化管理以及網(wǎng)絡(luò)化能感應(yīng)的意義。事實上�����,電子商務(wù)不僅具備了以Internet為交易平臺的交易���,還包含了以Internet�、內(nèi)聯(lián)網(wǎng)�����、外聯(lián)網(wǎng)乃至其它廣域網(wǎng)�、局域網(wǎng)為形式的交易環(huán)境。就當(dāng)前而言��,電子商務(wù)主要具備以下形式:(1)網(wǎng)上直接交易����,交易對象大多是軟件、文藝作品或者廣告等一些無形商品;(2)網(wǎng)上訂單�,可是延續(xù)傳統(tǒng)模式進(jìn)行交易���,交易對象大多是各類有形商品。當(dāng)前在發(fā)達(dá)國家����,網(wǎng)上實施電子貿(mào)易產(chǎn)品主要有三種:實體商品、數(shù)字化商品以及聯(lián)機(jī)服務(wù)[1]����。
1.2 電子商務(wù)中具備的問題
大眾身為電子商務(wù)的對象,信息技術(shù)是完成電子商務(wù)的基本條件���,電子商務(wù)進(jìn)行的前提為信息安全��。
1.2.1 計算機(jī)網(wǎng)絡(luò)的安全
(1)安全協(xié)議
雖然當(dāng)前經(jīng)濟(jì)信息已經(jīng)呈現(xiàn)出全球化的發(fā)展形態(tài),可就安全協(xié)議而言依然不具有全球性的規(guī)范和標(biāo)準(zhǔn)��,約束了國際性的商務(wù)活動����,而且,計算機(jī)安全管理還存有相對隱患���,大部分無法實現(xiàn)抵抗黑客進(jìn)攻的能力����。
(2)信息安全
非法用戶通過網(wǎng)絡(luò)采用非法手段進(jìn)行傳輸,通過非法形式將合法用戶的有效信息進(jìn)行攔截��,最終導(dǎo)致合法用戶的一些關(guān)鍵業(yè)務(wù)數(shù)據(jù)泄漏或者被非法用戶惡意篡改���,令信息失去真實性和完整性����,最終導(dǎo)致合法用戶無法正常使用��。有些非法用戶經(jīng)由截獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行二次發(fā)送����,對對方的網(wǎng)絡(luò)軟件和硬件進(jìn)行惡意攻擊。
(3)服務(wù)器�����。
電子商務(wù)服務(wù)器在電子商務(wù)中尤為關(guān)鍵���,設(shè)置了許多和電子商務(wù)有關(guān)的軟件與商家信息����,并且服務(wù)器中的數(shù)據(jù)庫具備了企業(yè)保密數(shù)據(jù),如:成本����、價格等等,所以次服務(wù)器較易收到安全威脅����,并且一旦引發(fā)安全問題,就會構(gòu)成非常惡劣的后果����。目前,服務(wù)器在安全方面并沒有收到阻止�。非法用戶對網(wǎng)絡(luò)或主機(jī)進(jìn)行非法信息攻擊,造成服務(wù)器的安全隱患��,使得服務(wù)器不僅浪費(fèi)了可用資源�����,還無法正常提供服務(wù)����。透過操作系統(tǒng)�、網(wǎng)絡(luò)服務(wù)�����、軟件和網(wǎng)絡(luò)協(xié)議的安全漏洞���,向網(wǎng)站輸送數(shù)據(jù)請求,使得網(wǎng)絡(luò)應(yīng)用服務(wù)器無法正常服務(wù)[2]�。
1.2.2 電子商務(wù)交易安全
(1)無法確認(rèn)身份
由于電子商務(wù)的進(jìn)行需要透過虛擬網(wǎng)絡(luò)為平臺,在此平臺上進(jìn)行交易時���,雙方無需面對面進(jìn)行較易���,所以形成了交易雙方身份具有不確定性的因素存在。攻擊者能夠經(jīng)由非法形式竊取合法用戶的身份信息�,冒充合法用戶與他人進(jìn)行較易,從而進(jìn)行非法獲利����。
(2)交易抵賴現(xiàn)象
電子商務(wù)交易存在不可抵賴性。有些用戶通過對自己發(fā)送的信息進(jìn)行惡意否定��,推卸責(zé)任�����。交易抵賴現(xiàn)象主要體現(xiàn)在以下狀況中:者否定所發(fā)送的信息欣榮、接收者否認(rèn)接受過的信息內(nèi)容�����、購買者否認(rèn)訂過的訂單��、商家出于售出商品的質(zhì)量問題而否認(rèn)交易����。
2 電子商務(wù)安全技術(shù)和策略
2.1 電子商務(wù)安全技術(shù)的架構(gòu)
電子商務(wù)安全技術(shù)體系包含了網(wǎng)絡(luò)服務(wù)層、加密技術(shù)層���、安全協(xié)議層以及安全認(rèn)證層四個方面���,它能夠保障電子商務(wù)交易中數(shù)據(jù)的完整性以及安全性的邏輯結(jié)構(gòu)。在這幾層結(jié)構(gòu)里��,下一層身為上一層的基石�,給上一層給予技術(shù)方面的支持。通過安全控制技術(shù)實施安全策略����,進(jìn)而構(gòu)成一個完成的整體�����,相互依存、相互關(guān)聯(lián)�����,進(jìn)而實現(xiàn)電子商務(wù)的安全進(jìn)行[3]��。
2.2 電子商務(wù)安全策略
2.2.1 創(chuàng)建完善的電子商務(wù)法律制度����,強(qiáng)化執(zhí)法力度
隨著電子商務(wù)的不斷發(fā)展,電子商務(wù)網(wǎng)站如雨后春筍般涌現(xiàn)����,從而使得很多網(wǎng)絡(luò)交易法律問題不斷涌現(xiàn),如此一來��,處理網(wǎng)絡(luò)交易的安全問題就要依照一個相同的法律法規(guī)執(zhí)行��,而當(dāng)前的電子商務(wù)法律制度并不完善���,需要創(chuàng)建必要的完善的法律體系���。并且針對一些網(wǎng)絡(luò)交易中的違法行為���,必須提高執(zhí)法力度,進(jìn)而實現(xiàn)規(guī)范電子商務(wù)交易的目的���。
2.2.2 創(chuàng)建完善的信用體系����,提升電子商務(wù)安全意識
信息體系作為電子商務(wù)規(guī)范和發(fā)展的基礎(chǔ)���,為了加快電子商務(wù)良性循環(huán)�,一定要創(chuàng)建完善的信用體系����,并且也要提高電子商務(wù)的安全意識,不可以將利益擺在首位�,要對安全性具備充分的重視。
2.2.3 通過加密技術(shù)����、交易協(xié)議以及安全認(rèn)證等途徑對交易信息的安全性進(jìn)行保護(hù)
積極參考國外先進(jìn)經(jīng)驗及技術(shù),盡量創(chuàng)建一套完善的電子商務(wù)安全體系�����,通過不同加解密算法提升和完善電子商務(wù)的交易安全,定期進(jìn)行檢查并更換密鑰���。
2.2.4 強(qiáng)化互聯(lián)網(wǎng)絡(luò)安全性,預(yù)防信息泄漏
最普遍的網(wǎng)絡(luò)安全保護(hù)方式為防火墻技術(shù)��。電子商務(wù)內(nèi)外網(wǎng)以及互聯(lián)網(wǎng)之間最好設(shè)置防火墻�,如此不但能夠提高內(nèi)部局域網(wǎng)絡(luò)的速度,還可以預(yù)防惡意病毒及木馬的攻擊�。
2.2.5 提高子商務(wù)的安全管理,創(chuàng)建良好的電子商務(wù)環(huán)境
篇(10)
當(dāng)今世界網(wǎng)絡(luò)��,通信和信息技術(shù)飛速發(fā)展����,Internet在全球迅速普及,使得商務(wù)空間發(fā)展到全球的規(guī)模�����,促進(jìn)企業(yè)組織改革自己的思維觀念�、組織結(jié)構(gòu)、戰(zhàn)略方針和運(yùn)行方式來適應(yīng)全球性的發(fā)展變化����。電子商務(wù)就是適應(yīng)以全球為市場而出現(xiàn)和發(fā)展起來的一種新的商貿(mào)模式�,通過網(wǎng)絡(luò)技術(shù)快速而有效地進(jìn)行各種商務(wù)行為���,即在商務(wù)運(yùn)作的整個過程中實現(xiàn)交易無紙化�、直接化��。電子商務(wù)可以使商家與供應(yīng)商���,在全球市場上銷售產(chǎn)品;也可以讓用戶足不出戶在全球范圍內(nèi)選擇最佳商品�����,享受全過程的電子服務(wù)�。
一���、物流在電子商務(wù)流程中的作用
電子商務(wù)對象是整個交易過程�����,任何一筆交易都由信息流���、商流�、資金流和物流等四個基本部分組成�����。開展電子商務(wù)的最終目的是為了解決信息流和資金流處理上的延遲����,從而提高對物流過程管理的現(xiàn)代化水平�,進(jìn)一步提高現(xiàn)代化物流速度。物流做為網(wǎng)上電子交易的最后一個過程��,執(zhí)行結(jié)果的好壞將對電子交易的成敗起著十分重要的作用�����,是實現(xiàn)電子商務(wù)的重要環(huán)節(jié)和基本保證����。電子商務(wù)必須有現(xiàn)代化的物流技術(shù)的支持,才能體現(xiàn)出其所具有的無可比擬的先進(jìn)性和優(yōu)越性��,在最大限度上使交易雙方得到便利��,獲得效益���。
二���、電子商務(wù)流程中物流的實現(xiàn)
在電子商務(wù)中�,信息流���、商流����、資金流的處理可以通過計算機(jī)和網(wǎng)絡(luò)通信設(shè)備實現(xiàn)����。對于有形的商品和服務(wù)來說,物流仍然要由物理的方式進(jìn)行傳輸����;對于無形的商品及服務(wù)如各種電子出版物、信息咨詢服務(wù)以及有價信息軟件等�����,可以直接通過網(wǎng)絡(luò)傳輸?shù)姆绞竭M(jìn)行電子化配送��。電子商務(wù)環(huán)境下的物流����,通過機(jī)械化和自動化工具的應(yīng)用和準(zhǔn)確���、及時的物流信息對物流過程的監(jiān)控,使物流的速度加快����、準(zhǔn)確率提高,能有效地減少庫存���,縮短生產(chǎn)周期��。
三、電子商務(wù)中物流信息安全問題
物流正在向信息化�、自動化、網(wǎng)絡(luò)化和智能化的方向發(fā)展�����,越來越依賴于網(wǎng)絡(luò)傳輸信息的安全性能���。由于Internet具有開放性和匿名性���,其安全問題變得越來越突出�����。物流信息在網(wǎng)絡(luò)傳輸過程中��,經(jīng)常會遭到黑客的攔截����、竊取���、篡改�����、盜用��、監(jiān)聽等惡意破壞�,給商戶帶來重大損失���。以各種非法手段企圖入侵計算機(jī)網(wǎng)絡(luò)的黑客��,其惡意攻擊構(gòu)成電子商務(wù)系統(tǒng)中網(wǎng)絡(luò)安全的最大威脅���,已經(jīng)成為物流信息安全的最大隱患�。黑客攻擊經(jīng)常使用的手段有:
1�����、獲取口令
有三種方法:一是精心偽造一個登錄頁面�,并嵌入到相關(guān)網(wǎng)頁上,當(dāng)商戶鍵入登錄信息(用戶名和密碼等)后�,將這些信息傳送到黑客的主機(jī),然后關(guān)閉頁面給出“系統(tǒng)故障”等提示��,要求商戶重新登錄���,此后才出現(xiàn)真正的登錄頁面����。二是通過網(wǎng)絡(luò)監(jiān)聽得到商戶口令�,監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號和口令�����,對LAN威脅巨大���。三是知道商戶賬號后利用一些專門軟件強(qiáng)行破解商戶口令�����。
2�����、郵件炸彈
用偽造的IP地址和電子郵件地址向商戶信箱發(fā)送無數(shù)封內(nèi)容相同的惡意郵件���,擠滿郵箱����,把正常郵件沖掉���。同時占用大量網(wǎng)絡(luò)資源���,導(dǎo)致網(wǎng)路阻塞,甚至使電子郵件服務(wù)器癱瘓��。3����、特洛伊木馬
在商戶的電腦中隱藏一個會在系統(tǒng)啟動時運(yùn)行的程序,采用服務(wù)器/客戶機(jī)的運(yùn)行方式,在上網(wǎng)時控制商戶電腦�����,竊取口令����、瀏覽商戶的驅(qū)動器、修改商戶文件和登錄注冊表等����。
4、誘敵深入
黑客編寫“合法”程序����,上傳到FTP站點(diǎn)或提供給個人主頁誘導(dǎo)客戶。當(dāng)客戶下載該軟件時�����,黑客的軟件一并進(jìn)入客戶的計算機(jī)上�,跟蹤客戶的操作,記錄客戶輸入的每一個口令�,發(fā)送到黑客指定的E-mail中�����。
5、尋找漏洞
尋找攻擊目標(biāo)的系統(tǒng)安全漏洞或安全弱點(diǎn)���,以便獲取攻擊目標(biāo)系統(tǒng)的非法訪問權(quán)����。
四�、物流信息安全防護(hù)策略合法商戶進(jìn)行網(wǎng)上查詢、交易雙方業(yè)務(wù)洽談��、買方下訂單并得到賣方確認(rèn)���、商品配送���、售后服務(wù)、技術(shù)支持等在線操作時對商務(wù)數(shù)據(jù)的安全需求比較高�,同時希望私有信息(口令、賬戶數(shù)據(jù)等)保密�����。采用身份認(rèn)證和數(shù)據(jù)加密技術(shù)能夠保護(hù)商戶私人信息及商務(wù)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸時不被竊聽�、篡改�����、頂替及非法使用�����。
1�、身份驗證
采用數(shù)字證書身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)�����。每個企業(yè)用戶應(yīng)該申請一張數(shù)字證書����,上網(wǎng)進(jìn)行賬戶查詢時,網(wǎng)上銀行系統(tǒng)首先驗證該用戶數(shù)字證書是否合法�,然后將查詢請求和口令一起發(fā)送給業(yè)務(wù)前置機(jī),對口令再次進(jìn)行認(rèn)證�����。當(dāng)服務(wù)器獲得用戶證書后��,還要檢索該證書是否在廢止證書列表之中�����。對于個人用戶����,可以采用對口令加密的方式進(jìn)行身份驗證,不需要申請證書����,比較方便。
2����、數(shù)據(jù)加密
物流信息在網(wǎng)絡(luò)中傳輸時,通常不是以明文方式而是以密文的方式進(jìn)行通信傳輸�����。因為以明文傳輸?shù)男畔?shù)據(jù)���,一旦被他人截獲會輕而易舉地被讀懂�����、竊取盜用及篡改�����,很難保證物流配送活動的機(jī)密性�����、可靠性和安全性�。下面利用C語言編程實現(xiàn)替換加密方法。
Caesar(愷撒)密碼是一種最古老的技術(shù)���,將明文中每個字母替換為字母表中其后面固定數(shù)目位置的字母��。如要傳輸?shù)拿魑氖恰癐amateacher!”�,經(jīng)過加密�����,密鑰為5��,對方接收到的密文是“Nfrfyjfhmjw!”�,對第三方來說,這是毫無意義的一串字符���,避免了泄密����。合法接收方進(jìn)行解密,又會得到“Iamateacher!”字符串�。加密算法代碼如下:#include"string.h"
main()
{inti,ld,newasc;
charmingwen[20],miwen[20],c;
strcpy(mingwen,"Iamateacher!");/*明文*/
ld=strlen(mingwen);
for(i=0;i{c=mingwen[i];
if(c>=''''A''''&&c<=''''Z'''')
{newasc=c+5;/*密鑰為5*/
if(newasc>''''Z'''')newasc=newasc-26;
miwen[i]=newasc;}
elseif(c>=''''a''''&&c<=''''z'''')
{newasc=c+5;
if(newasc>''''z'''')newasc=newasc-26;
miwen[i]=newasc;}
else
miwen[i]=c;
}
for(i=0;i}
數(shù)據(jù)加密后傳輸�,一定程度上保證了信息的安全性,密鑰的保密是很關(guān)鍵的��。否則�����,網(wǎng)絡(luò)攻擊者掌握加密�����、解密算法����,又得到密鑰,對合法商戶會造成致命的損失���。因此加強(qiáng)對密鑰的管理�,要貫穿于密鑰的整個生存期:密鑰的生成�����、驗證、傳遞�、保管、使用和銷毀����。
電子商務(wù)作為網(wǎng)絡(luò)時代的一種全新的交易模式,相對于傳統(tǒng)商務(wù)是一場革命���。電子商務(wù)的優(yōu)勢之一就是能大大簡化業(yè)務(wù)流程��,降低企業(yè)運(yùn)作成本���。而電子商務(wù)企業(yè)成本優(yōu)勢的建立和保持必須以可靠和高效的物流運(yùn)作作為保證。所以�����,加大力度防護(hù)物流信息的安全��,大力發(fā)展現(xiàn)代化物流��,電子商務(wù)才能得到更好的發(fā)展。
參考文獻(xiàn):
