引論:我們?yōu)槟砹?3篇商務(wù)安全論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢(shì),使得政府與企業(yè)都十分重視并推動(dòng)電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問題在于時(shí)空的分離導(dǎo)致了安全問題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問題之一。研究和分析電子商務(wù)的安全性問題,特別是針對(duì)企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵,而安全體系的構(gòu)建顯得尤為重要。
2電子商務(wù)的主要安全要素
目前電子商務(wù)工程正在全國迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過程中系統(tǒng)的安全性,即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看,傳統(tǒng)的買賣雙方是面對(duì)面的,因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中,買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系,由于距離的限制,因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時(shí)空的分離導(dǎo)致了安全問題的出現(xiàn),電子商務(wù)交易雙方(銷售者和消費(fèi)者)都面臨安全威脅,電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面:
2.1信息真實(shí)性、有效性
電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。
2.2信息機(jī)密性
電子商務(wù)作為貿(mào)易的一種手段,其信息直接廠代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。
3.3信息完整性
電子商務(wù)簡(jiǎn)化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。
3.4信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。
在無紙化的電子商務(wù)方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí)。在1nternet上每個(gè)人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。
3電子商務(wù)安全系統(tǒng)
網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行,要求電子商務(wù)平臺(tái)要穩(wěn)定可靠,能不中斷地提供服務(wù)。任何系統(tǒng)的中斷,如硬件、軟件錯(cuò)誤,網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證,往往會(huì)造成巨大的經(jīng)濟(jì)損失。
所以就整個(gè)電子商務(wù)安全系統(tǒng)而言,安全性可以劃分為四個(gè)層次,
1)網(wǎng)絡(luò)節(jié)點(diǎn)的安全
2)通訊的安全性
3)應(yīng)用程序的安全性
4)用戶的認(rèn)證管理
其中2、3、4是通過操作系統(tǒng)和Web服務(wù)器軟件實(shí)現(xiàn),而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證,我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。
3.1網(wǎng)絡(luò)節(jié)點(diǎn)的安全
防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供個(gè)相對(duì)更安全的平臺(tái)。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過靈活有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個(gè)安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。
3.2通訊的安全
在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書,證書包括一個(gè)公鑰,由一家可信證書授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。建立SSL鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載可以在訪問之前或訪問時(shí))。驗(yàn)證此證書是合法的服務(wù)器證書通過后利用該證書對(duì)稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰,然后用此對(duì)稱算法加密傳輸?shù)拿魑摹4藭r(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。
3.3應(yīng)用程序的安全性
即使正確地配置了訪問控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的。
這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個(gè)過長(zhǎng)的字符串來實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹@纾彌_溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測(cè)到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問題一樣的錯(cuò)誤。
3.4用戶的認(rèn)證管理
1)身份認(rèn)證
電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書用來認(rèn)證服務(wù)器的身份,IC卡用來認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒有提供交易功能,所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。
2)CA證書
要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書進(jìn)行驗(yàn)證,這份數(shù)字證書就是CA證書,它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。CA中心一般是社會(huì)公認(rèn)的可靠組織,它對(duì)個(gè)人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個(gè)人證書。建立SSL安全鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載可以在訪問之前或訪問時(shí)進(jìn)行)。
3)安全套接層SSL協(xié)議
安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。
SSL通過數(shù)字簽名和數(shù)字證書來實(shí)行身份驗(yàn)證,數(shù)字證書是從認(rèn)證機(jī)構(gòu)(CA,CertificateAuthority)獲得的,通常包含有唯一標(biāo)識(shí)證書所有者的名稱、唯一標(biāo)識(shí)證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后,雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。
SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如Http、Ftp、Telnet等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>
SSL協(xié)議握手流程由兩個(gè)階段組成:服務(wù)器認(rèn)證和用戶認(rèn)證。
①服務(wù)器認(rèn)證
客戶端向服務(wù)器發(fā)送一個(gè)“Hello”信息,以便開始一個(gè)新的會(huì)話連接;服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息;客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個(gè)主密鑰,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器;服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個(gè)用主密鑰認(rèn)證的信息,以此讓客戶認(rèn)證服務(wù)器。這樣通過主密鑰引出的密鑰對(duì)一系列數(shù)據(jù)進(jìn)行加密來認(rèn)證服務(wù)器,從而建立安全的通信通道。
②用戶認(rèn)證
經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問給客戶,客戶則返回?cái)?shù)字簽名后的提問和其公開密鑰,從而向服務(wù)器提供認(rèn)證。SSL協(xié)議支持各種加密算法,實(shí)現(xiàn)簡(jiǎn)單,獨(dú)立于應(yīng)用層協(xié)議,且被大部分瀏覽器和Web服務(wù)器內(nèi)置,便于在電子交易中應(yīng)用。但SSL是一個(gè)面向連接的協(xié)議,起初并不是為了支持電子商務(wù)而設(shè)計(jì)的,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,在涉及多方的電子交易中,SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此,開發(fā)出了在網(wǎng)絡(luò)應(yīng)用層中專為電子商務(wù)而設(shè)計(jì)的SET協(xié)議。
4安全管理
為了確保系統(tǒng)的安全性,除了采用上述技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對(duì)于所有接觸系統(tǒng)的人員,按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。按照分級(jí)管理原則,嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼,進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn),防止非法占用、冒用合法用戶帳號(hào)和密碼。
建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢。定期檢查日志,以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。
對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份,且對(duì)數(shù)據(jù)庫中存放的數(shù)據(jù),數(shù)據(jù)庫系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。
5結(jié)束語
安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證1OO%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對(duì)的,而不是絕對(duì)的。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問題,使電子商務(wù)系統(tǒng)相對(duì)更安全。
參考文獻(xiàn):
[1]吳洋.電子商務(wù)安全方法研究[D].天津大學(xué),2006.
[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005,(06)
篇2
1.1校園電子商務(wù)的概念。
校園電子商務(wù)是電子商務(wù)在校園這個(gè)特定環(huán)境下的具體應(yīng)用,它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)、計(jì)算機(jī)硬件、軟件和安全通信手段構(gòu)建的滿足于校本論文由整理提供園內(nèi)單位、企業(yè)和個(gè)人進(jìn)行商務(wù)、工作、學(xué)習(xí)、生活各方面活動(dòng)需要的一個(gè)高可用性、伸縮性和安全性的計(jì)算機(jī)系統(tǒng)。
1.2校園電子商務(wù)的特點(diǎn)。
相對(duì)于一般電子商務(wù),校園電子商務(wù)具有客戶群本論文由整理提供穩(wěn)定、網(wǎng)絡(luò)環(huán)境優(yōu)良、物流配送方便、信用機(jī)制良好、服務(wù)性大于盈利性等特點(diǎn),這些特點(diǎn)也是校園開展電子商務(wù)的優(yōu)勢(shì)所在。與傳統(tǒng)校園商務(wù)活動(dòng)相比,校園電子商務(wù)的特點(diǎn)有:交易不受時(shí)間空間限制、快捷方便、交易成本較低。
2校園電子商務(wù)的安全問題
2.1校園電子商務(wù)安全的內(nèi)容。
校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分:校園網(wǎng)絡(luò)安全和校園支付交易安全。校園網(wǎng)絡(luò)安全內(nèi)容主要包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動(dòng)在校園網(wǎng)應(yīng)用時(shí)所產(chǎn)生的各種安全問題,如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務(wù)等。
2.2校園電子商務(wù)安全威脅。
校園電子商務(wù)安全威脅同樣來自網(wǎng)絡(luò)安全威脅與交易安全威脅。然而,網(wǎng)絡(luò)安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網(wǎng)絡(luò)安全是基礎(chǔ),是交易安全的保障。校園網(wǎng)也是一個(gè)開放性的網(wǎng)絡(luò),它也面臨許許多多的安全威脅,比如:身份竊取、非本論文由整理提供授權(quán)訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務(wù)、交易否認(rèn)、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運(yùn)行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動(dòng)的安全性受到嚴(yán)重的威脅,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使信息的機(jī)密性遭到破壞;篡改信息是非法用戶對(duì)交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認(rèn)交易行為,交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一。
2.3校園電子商務(wù)安全的基本安全需求。
通過對(duì)校園電子商務(wù)安全威脅的分析,可以本論文由整理提供看出校園電子商務(wù)安全的基本要求是保證交易對(duì)象的身份真實(shí)性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認(rèn)性。通過對(duì)校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求。
3校園電子商務(wù)安全解決方案
3.1校園電子商務(wù)安全體系結(jié)構(gòu)。
校園電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對(duì)其進(jìn)行整體的規(guī)劃。根據(jù)校園電子商務(wù)的安全需求,通過對(duì)校園人文環(huán)境、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃,再結(jié)合的電子商務(wù)的安全技術(shù),總結(jié)校園電子商務(wù)安全體系本論文由整理提供結(jié)構(gòu),如圖所示:
上述安全體系結(jié)構(gòu)中,人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及校園電子商務(wù)特有的校園信息文化,它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境;基礎(chǔ)設(shè)施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認(rèn)證中心;邏輯實(shí)體層包括校園一卡通、支付網(wǎng)關(guān)、認(rèn)證服務(wù)器和本論文由整理提供交易服務(wù)器;安全機(jī)制層包括加密技術(shù)、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機(jī)制;應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺(tái),包括網(wǎng)上交易、支付和配送服務(wù)等。
針對(duì)上述安全體系結(jié)構(gòu),具體的方案有:
(1)營造良好校園人文環(huán)境。加強(qiáng)大學(xué)生本論文由整理提供的道德教育,培養(yǎng)校園電子商務(wù)參與者們的信息文化知識(shí)與素養(yǎng)、增強(qiáng)高校師生的法律意識(shí)和道德觀念,共
同營造良好的校園電子商務(wù)人文環(huán)境,防止人為惡意攻擊和破壞。
(2)建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程,校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián),由學(xué)校結(jié)算中心專門處理與金融機(jī)構(gòu)的業(yè)務(wù),可以大大提高校園網(wǎng)上支付的安全性。
(3)建立統(tǒng)一身份認(rèn)證系統(tǒng)。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能。
(4)組織物流配送團(tuán)隊(duì)。校園師生居住地點(diǎn)相對(duì)集中,一般來說就在學(xué)校內(nèi)部或校園附近,只需要很少的人員就可以解決物流配送問題,而本論文由整理提供不需要委托第三方物流公司,在校園內(nèi)建立一個(gè)物流配送團(tuán)隊(duì)就可以準(zhǔn)確及時(shí)的完成配送服務(wù)。
3.2校園網(wǎng)絡(luò)安全對(duì)策。
保障校園網(wǎng)絡(luò)安全的主要措施有:
(1)防火墻技術(shù)。利用防火墻技術(shù)來實(shí)現(xiàn)校園局域網(wǎng)的安全性,以解決訪問控制問題,使只有授權(quán)的校園合法用戶才能對(duì)校園網(wǎng)的資源進(jìn)行訪問本論文由整理提供,防止來自外部互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的破壞。
(2)病毒防治技術(shù)。在任何網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒都具有不可估量的威脅性和破壞力,校園網(wǎng)雖然是局域網(wǎng),可是免不了計(jì)算機(jī)病毒的威脅,因此,加強(qiáng)病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。
(3)VPN技術(shù)。目前,我國高校大都已經(jīng)建立了校園一卡通工程,如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的本論文由整理提供安全傳輸。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護(hù)和改進(jìn)。
3.3交易信息安全對(duì)策。
針對(duì)校園電子商務(wù)中交易信息安全問題,可以用電子商務(wù)的安全機(jī)制來解決,例如數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等。通過數(shù)據(jù)加密,可以保證信息的機(jī)密性;通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時(shí)間戳和數(shù)字證書等安全機(jī)制來解本論文由整理提供決信息的完整性和不可否認(rèn)性的問題;通過安全協(xié)議方法,建立安全信息傳輸通道來保證電子商務(wù)交易過程和數(shù)據(jù)的安全。
(1)數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數(shù)據(jù)的機(jī)密,主要有對(duì)稱加密和非對(duì)稱加密。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對(duì)稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。
(2)認(rèn)證技術(shù)。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù),它是網(wǎng)上交易支付的前提,負(fù)責(zé)對(duì)交易各方的身份進(jìn)行確認(rèn)。在校園電子商務(wù)本論文由整理提供中,網(wǎng)上交易認(rèn)證可以通過校園統(tǒng)一身份認(rèn)證系統(tǒng)(例如校園一卡通系統(tǒng))來進(jìn)行對(duì)交易各方的身份認(rèn)證。
(3)安全協(xié)議技術(shù)。目前,電子商務(wù)發(fā)展較成熟和實(shí)用的安全協(xié)議是SET和SSL協(xié)議。通過對(duì)SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析,校園電子商務(wù)更適合采用SSL協(xié)議。SSL位于傳輸層與應(yīng)用層之間,能夠更好地封裝應(yīng)用層數(shù)據(jù),不用改變位于應(yīng)用層的應(yīng)用程序,對(duì)用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務(wù)器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全。
3.4基于一卡通的校園電子商務(wù)。
目前,我國高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善,使用校園一卡通進(jìn)行校園電子商務(wù)的網(wǎng)上支付可以增強(qiáng)校園電子商務(wù)的支付安全,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號(hào)被盜的風(fēng)險(xiǎn)等。同時(shí),使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網(wǎng)是一個(gè)內(nèi)部網(wǎng)絡(luò),它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設(shè)施,來自外部網(wǎng)絡(luò)人員的破壞可能性很小。同時(shí),校園一卡通中心有著良好的安全機(jī)制,使得使用校園一卡通在校內(nèi)進(jìn)行網(wǎng)上支付被盜取賬號(hào)密碼等信息的可能性微乎其微。超級(jí)秘書網(wǎng)
(2)校園一卡通具有統(tǒng)一身份認(rèn)證系統(tǒng),能夠?qū)⑴c交易的各方進(jìn)行身份認(rèn)證,各方的交易活動(dòng)受到統(tǒng)一的審計(jì)和監(jiān)控,統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡(luò)管理中對(duì)不同角色的用戶享有不同級(jí)別的授權(quán),使其網(wǎng)上活動(dòng)受到其身份的限制,有效防止一些惡意事情的發(fā)生。同時(shí),由于校內(nèi)人員身份單一,多為學(xué)生,交易中一旦發(fā)生糾紛,身份容易確認(rèn),糾紛就容易解決。
4結(jié)束語
篇3
電子商務(wù)的前提是信息的安全性保障,信息安全,勝的含義主要是信息的完整性、可用性、保密險(xiǎn)和可靠性。因此電子商務(wù)活動(dòng)中的信安全問題主要體現(xiàn)在以兩個(gè)方面:
1、網(wǎng)絡(luò)信息安全方面
(l)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對(duì)制約了國際性的商務(wù)活動(dòng)。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
(3)防病毒問題。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問題。
(4)服務(wù)器的安全問題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電子商務(wù)的核心,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果會(huì)非常嚴(yán)重。
2、電子商務(wù)交易方面
(1)身份的不確定問題。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái),在這個(gè)平臺(tái)上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易。
(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。
(3)交易的修改問題。交易文件是不可修改的,否則必然會(huì)影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴(yán)肅和公正。
二、電子商務(wù)中的網(wǎng)絡(luò)信息安全對(duì)策
1、電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對(duì)策
(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者身份的認(rèn)證,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全,方便地實(shí)現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩浴⑼暾裕矸蒡?yàn)證機(jī)制以及交易的不可抵賴性等均可通過電子簽名的安全認(rèn)證手段加以解決。(2)配置防火墻。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它能阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接人控制和審查跟蹤,是一種訪問控制機(jī)制。在邏輯,防火墻是一個(gè)分離器、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和工nternet之間的任何活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全。
(3)應(yīng)用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和公用密鑰體制兩。相應(yīng)地,對(duì)數(shù)據(jù)加密的技術(shù)分為對(duì)稱加密和非討稱力日密兩類。根據(jù)電子商務(wù)系統(tǒng)的特點(diǎn),全面加密保護(hù)應(yīng)包括對(duì)遠(yuǎn)程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實(shí)施加密保護(hù)。一般來說,應(yīng)根據(jù)管理級(jí)別所對(duì)應(yīng)的數(shù)據(jù)保密要求進(jìn)行部分加密而非全程加密。
2、電子商務(wù)網(wǎng)絡(luò)安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運(yùn)行狀況保密、工作日記保密等各個(gè)方面。對(duì)各類保密都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級(jí)別,并制定出相應(yīng)的保密措施。
(2)建立系統(tǒng)維護(hù)制度。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長(zhǎng)期安全、穩(wěn)定運(yùn)行的基本保證,應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān),為安全起見,其他任何人不得介人,主要做好硬件系統(tǒng)日常借理維護(hù)和軟件系統(tǒng)日常管理維護(hù)兩方面的工作。
(3)建立病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時(shí)升級(jí)防病毒軟件版本、及時(shí)通報(bào)病毒人侵信息等工作。此外,還可將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件屬性、權(quán)限加以限制,斷絕病毒人侵的渠道,從而達(dá)預(yù)防的目的。
(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個(gè)成功的電子商務(wù)系統(tǒng),應(yīng)針對(duì)信息安全至少提供三個(gè)層面的安全保護(hù)措施:一是數(shù)據(jù)在操作系統(tǒng)內(nèi)部或者盤陣中實(shí)現(xiàn)快照、鏡像;二是對(duì)數(shù)據(jù)庫及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動(dòng)備份;三是對(duì)重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份,通過以土保護(hù)措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險(xiǎn)。
三、電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)
電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān),更與社會(huì)因素、法制環(huán)境等多方面因素有關(guān)。故應(yīng)對(duì)電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:
1.電子商務(wù)系統(tǒng)硬件安全。主要是指保護(hù)電子商務(wù)系統(tǒng)所涉及計(jì)算機(jī)硬件的安全性,保證其可靠哇和為系統(tǒng)提供基礎(chǔ)性作用的安全機(jī)制。
2.電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改、破壞與非法復(fù)制,系統(tǒng)軟件安全的目標(biāo)是使系統(tǒng)中信息的處理和傳輸滿足整個(gè)系統(tǒng)安全策略需求。
3.電子商務(wù)系統(tǒng)運(yùn)行安全。主要指滿足系統(tǒng)能夠可靠、穩(wěn)定、持續(xù)和正常的運(yùn)行。
篇4
那么,第三方支付具體指的是什么呢?所謂第三方支付,是指為了保障電子商務(wù)的支付安全,支付通過買賣雙方之間完全中立的一家企業(yè)來完成。用E-mail來進(jìn)行網(wǎng)上支付;打個(gè)電話報(bào)上信用卡號(hào)就能預(yù)訂機(jī)票;用手機(jī)上網(wǎng)交水費(fèi)電費(fèi)游戲費(fèi)……在中國人還沒有完全適應(yīng)從紙制貨幣進(jìn)化到“塑膠貨幣”(信用卡)的今天,網(wǎng)絡(luò)銀行、手機(jī)錢包等第三方支付工具已經(jīng)迫不及待地登場(chǎng)了。
近日,有媒體報(bào)道,有網(wǎng)民利用三方支付工具從信用卡套現(xiàn)。就此,該文進(jìn)而對(duì)第三方支付的安全性問題提出質(zhì)疑,認(rèn)為電子支付有可能被金融犯罪分子所利用,充當(dāng)其洗錢的工具。且不管該文提到的套現(xiàn)現(xiàn)象是否屬于依然在可控范圍內(nèi)的小概率事件,也不提所謂的套現(xiàn)行為是否緣于第三方支付的安全漏洞,單就所謂洗錢的擔(dān)心而論,可以說,該文是嚴(yán)重低估了央行以及各商業(yè)銀行的風(fēng)險(xiǎn)控制能力,也大大低估了各大第三方支付公司的風(fēng)險(xiǎn)把控能力。
實(shí)際情況是,早在1996年4月1日,中國人民銀行就頒布并實(shí)施了《信用卡業(yè)務(wù)管理辦法》,其中明確規(guī)定,持卡人不允許利用信用卡套取現(xiàn)金以及惡意透支。對(duì)于信用卡套現(xiàn)這個(gè)問題,不光招商銀行等商業(yè)銀行關(guān)注有加,第三方支付公司支付寶、貝寶等亦是小心翼翼,如履薄冰,先后出臺(tái)了多項(xiàng)嚴(yán)格的風(fēng)險(xiǎn)控制系統(tǒng),協(xié)助銀行解決問題。
在如何對(duì)待信用卡套現(xiàn)的問題上,國內(nèi)領(lǐng)先的第三方支付平臺(tái)如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。
例如,PAYPAL(貝寶)在防止盜號(hào)、提供密碼加密以及減少信用卡套現(xiàn)等方面,已經(jīng)配合銀行做了大量工作;快錢除了從技術(shù)手段上防范盜卡之外,還在安全方面加設(shè)了用戶的認(rèn)證系統(tǒng)等六道功能,試圖將安全隱患?jí)旱偷阶钚〕潭取?/p>
作為國內(nèi)最大的第三方支付平臺(tái),支付寶的做法就更為完備。早在2006年7月,支付寶就推出“支付寶認(rèn)證”服務(wù),對(duì)所有使用支付寶的賣家進(jìn)行雙重身份認(rèn)證,即身份證認(rèn)證和銀行卡認(rèn)證。除了與公安部全國公民身份證號(hào)碼查詢服務(wù)中心合作校驗(yàn)身份證的真?zhèn)危Ц秾氝€與各大商業(yè)銀行進(jìn)行合作,利用銀行賬戶實(shí)名制信息來校驗(yàn)用戶填寫的姓名和銀行賬戶號(hào)碼是否準(zhǔn)確,摒棄了某些購物網(wǎng)站僅憑一個(gè)手機(jī)號(hào)碼或者身份證號(hào)碼進(jìn)行簡(jiǎn)單認(rèn)證的模式。支付寶公司還在國內(nèi)率先推出了“全額賠付”制度和交易安全基金,網(wǎng)絡(luò)欺詐發(fā)生率僅為萬分之二。
為了保證支付寶的安全性,支付寶技術(shù)團(tuán)隊(duì)還自發(fā)研制了數(shù)字證書,其安全性能得到各銀行認(rèn)同。相對(duì)于目前國內(nèi)所有第三方認(rèn)證公司采用的認(rèn)證形式,支付寶的數(shù)字證書從技術(shù)上擺脫了普通6位密碼驗(yàn)證,改以1024位加密的數(shù)字簽名技術(shù),因而更為安全。而數(shù)字密碼的惟一性,也更有助于客戶身份的識(shí)別。
央行的《電子支付指引》規(guī)定,銀行通過互聯(lián)網(wǎng)為個(gè)人客戶辦理電子支付業(yè)務(wù),除采用數(shù)字證書、電子簽名等安全認(rèn)證方式外,單筆金額不應(yīng)超過1000元人民幣,每日累計(jì)金額不應(yīng)超過5000元人民幣,并規(guī)定信用卡的網(wǎng)上支付不得超過提現(xiàn)額度。國內(nèi)目前沒有一家銀行和任何一家網(wǎng)上支付公司允許網(wǎng)上“單日支付額度由信用卡額度決定”。在這方面,支付寶也早已主動(dòng)和和很多發(fā)卡銀行聯(lián)手,針對(duì)套現(xiàn)現(xiàn)象做了信用卡網(wǎng)上支付單筆限額的規(guī)定,例如,招商銀行的信用卡支付限制的是單筆最高限額499元。為了保證支付寶的安全性,支付寶還有CTU風(fēng)險(xiǎn)控制系統(tǒng)來隨時(shí)掃描和監(jiān)控交易的進(jìn)行,防范可能存在的盜卡及套現(xiàn)行為。
實(shí)際上,從2006年5月開始,支付寶就已委托中國工商銀行對(duì)支付寶公司開立在各家銀行的客戶交易保證金賬戶的余額進(jìn)行核查,工行并定期出具《支付寶客戶交易保證金托管報(bào)告》。這是中國銀行界第一次為第三方支付平臺(tái)做資金托管的審核報(bào)告,也是當(dāng)前唯一銀行愿意托管的第三方支付平臺(tái)。2006年12月8日,從工行對(duì)11月1日~11月30日期間所有發(fā)生的支付寶公司的客戶提現(xiàn)及余額支付進(jìn)行的抽查情況看,支付寶存放在各家銀行的客戶交易保證金余額總和等于支付寶客戶存放在貴公司的資金余額與待處理款、未達(dá)款余額之和,報(bào)告期間內(nèi)未發(fā)現(xiàn)支付寶客戶交易保證金被挪用情況。
篇5
1.2對(duì)分銷商的影響
對(duì)航空業(yè)來講,分銷是指航空公司如何把機(jī)票分配給消費(fèi)者。在網(wǎng)絡(luò)沒有盛行的年代,旅行社是重要的購買機(jī)票的渠道。而現(xiàn)在購買機(jī)票方式的變化是顯而易見的。許多航空公司設(shè)立了官方網(wǎng)站來吸引消費(fèi)者購票。Law和Leung(2000)認(rèn)為網(wǎng)絡(luò)能夠在不通過旅行社和電腦預(yù)訂系統(tǒng)(ComputerReservationSystems,CRS)直接與消費(fèi)者溝通,從而降低了機(jī)票的分銷費(fèi)用。EasyJet航空公司就是通過各種方式來降低不必要成本的典型,比如通過網(wǎng)絡(luò)售票。2001年9月75%的人上網(wǎng)買票,這可以看作是一種脫媒方式。隨著網(wǎng)絡(luò)的普及,幾乎所有的航空公司都建立自己的網(wǎng)站,同時(shí)網(wǎng)絡(luò)訂機(jī)票的中介也應(yīng)運(yùn)而生,這就意味著航空公司之間的競(jìng)爭(zhēng)越發(fā)激烈,尤其對(duì)那些以價(jià)格為導(dǎo)向的消費(fèi)者來說,他們更傾向于價(jià)格更便宜的機(jī)票。以2012年4月22日從倫敦到巴塞羅那的機(jī)票為例,大英航空的最低票價(jià)為196英鎊,而Easyjet的票價(jià)只有62.99英鎊,可見Easyjet在降低成本上所做的努力。可以看出,網(wǎng)絡(luò)在降低了航空業(yè)分銷渠道成本的同時(shí),也加大了行業(yè)內(nèi)部之間的競(jìng)爭(zhēng)。
1.3對(duì)客戶關(guān)系的影響
如上所述,航空業(yè)屬于服務(wù)業(yè)范疇,因而公司與消費(fèi)者的關(guān)系是至關(guān)重要的。Chaffey(2002)認(rèn)為客戶關(guān)系主要有兩個(gè)部分,即客戶獲取(customeracquisition)和客戶維系(customerretention),其中獲取一個(gè)客戶要比維系一個(gè)客戶成本更高。因而公司希望與已獲得的客戶保持長(zhǎng)期而良好的關(guān)系,而網(wǎng)絡(luò)讓維持這種關(guān)系變得更加容易。荷蘭皇家航空公司(KLM)的網(wǎng)絡(luò)客戶關(guān)系管理團(tuán)隊(duì)(CRMteam)會(huì)根據(jù)客戶在網(wǎng)上訂票后所留下的cookies(小型文本本件)來判定客戶的消費(fèi)習(xí)慣,從而為客戶提供更加個(gè)性化的信息,比如給他們發(fā)送專門為他們定制的郵件。他們也為常旅客(frequentflyers)提供專屬的服務(wù),并稱之為常旅客計(jì)劃會(huì)員(frequentflyerprogrammem-bership)。其次,對(duì)消費(fèi)者來說,網(wǎng)絡(luò)的產(chǎn)生讓消費(fèi)者能夠隨時(shí)隨地查詢相關(guān)信息,比如網(wǎng)上值機(jī)系統(tǒng)(onlinecheck-insystem)能夠節(jié)省消費(fèi)者的時(shí)間同時(shí)也能降低公司人力成本。航空公司通過電子商務(wù)(網(wǎng)絡(luò),手機(jī)等)可以更好與消費(fèi)者維持良好的關(guān)系。廉價(jià)航空公司EasyJet通過使用RightNow公司的客戶關(guān)系管理軟件使該公司運(yùn)行成本降低了75萬英鎊。
2電子商務(wù)在未來發(fā)展中的隱患
2.1網(wǎng)絡(luò)安全問題
對(duì)消費(fèi)者來說網(wǎng)絡(luò)安全是他們進(jìn)行網(wǎng)上購物的顧慮之一,這種顧慮不僅僅存在于航空業(yè)之中,其中就包括網(wǎng)上轉(zhuǎn)賬安全。2011年美國社交網(wǎng)絡(luò)臉書(Facebook)的大規(guī)模用戶信息泄露事件讓網(wǎng)絡(luò)安全問題處在了風(fēng)口浪尖上。網(wǎng)絡(luò)詐騙及其他網(wǎng)絡(luò)問題的出現(xiàn)讓消費(fèi)者們對(duì)網(wǎng)上轉(zhuǎn)賬產(chǎn)生了疑慮。據(jù)統(tǒng)計(jì),僅2008年美國航空業(yè)損失費(fèi)用達(dá)到14億美元,占了當(dāng)年世界航空業(yè)總產(chǎn)值的百分之1.3。Cunningham等(2004)認(rèn)為“對(duì)于基于網(wǎng)絡(luò)和傳統(tǒng)的航空預(yù)訂服務(wù)來說,對(duì)風(fēng)險(xiǎn)的感知是系統(tǒng)的模式”這就意味著盡管航空公司不斷強(qiáng)調(diào)他們采用多么現(xiàn)實(shí)的網(wǎng)絡(luò)安全技術(shù),消費(fèi)者始終會(huì)對(duì)網(wǎng)上支付有一定的顧慮。其次,消費(fèi)者也擔(dān)心在網(wǎng)上注冊(cè)賬號(hào)會(huì)導(dǎo)致更多的個(gè)人信息被泄露。美國廉價(jià)航空公司捷藍(lán)(JetBlue)航空在顧客信息保護(hù)上面下了很大功夫,公司信息技術(shù)副總裁ToddThompson認(rèn)為“網(wǎng)絡(luò)能夠提升他們?yōu)轭櫩吞峁﹥?yōu)質(zhì)服務(wù)的能力,但不幸的是,電子通信總是會(huì)被轉(zhuǎn)發(fā)、打印或復(fù)制,因此完全的保密是幾乎不可能完成的”。捷藍(lán)航空計(jì)劃為WindowsServerTM2003和微軟辦公系統(tǒng)使用微軟公司的權(quán)限管理服務(wù)MicrosoftRWindowsRRightsManagementSer-vices(RMS),這種信息保護(hù)技術(shù)是建立在文件級(jí)別上了,內(nèi)部信息的交流會(huì)降低信息被他人誤讀,從而提高了消費(fèi)者信息的安全性。但根據(jù)Krishnamurthy(P.5)的研究,通過旅行網(wǎng)站所泄露的個(gè)人信息占據(jù)所有網(wǎng)站之首,旅行網(wǎng)站的直接泄露指數(shù)(directleakageindex)為9,而像購物網(wǎng)站和新聞網(wǎng)站分別只有3和5。由此可以看出,航空業(yè)在未來發(fā)展電子商務(wù)方面還存在著潛在的風(fēng)險(xiǎn)。而且提高升級(jí)網(wǎng)絡(luò)系統(tǒng)容易,但是改變?nèi)藗儗?duì)網(wǎng)絡(luò)隱患的擔(dān)憂卻不是那么容易。
2.2硬件問題
Phaladsingh(2006)認(rèn)為“個(gè)人電腦的普及率”是影響電子商務(wù)發(fā)展的阻礙之一,這就意味著不管網(wǎng)絡(luò)技術(shù)有多發(fā)達(dá),如果人們買不起電腦和其他數(shù)碼設(shè)備,電子商務(wù)就很難發(fā)揮其作用。對(duì)于航空業(yè)來說同樣是如此,網(wǎng)上值機(jī)、網(wǎng)上購票等服務(wù)只有在有電腦設(shè)備的時(shí)候才會(huì)體現(xiàn)出其優(yōu)越性。顯而易見,發(fā)達(dá)國家更容易接觸到電子產(chǎn)品也更容易享受到電子產(chǎn)品帶來的便捷體驗(yàn)。2004年在美國每1000人中有763個(gè)人擁有電腦,而在一些欠發(fā)達(dá)國家每1000人中平均只有1到2個(gè)人擁有電腦,非洲國家尼日爾每1000人中只有0.1716人使用電腦,這個(gè)數(shù)量在增加,但不可否認(rèn)的是在發(fā)展中國家尤其是一些欠發(fā)達(dá)國家電子商務(wù)并不能產(chǎn)生很好的效果。
篇6
對(duì)稱密鑰加密,又稱私鑰加密,即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢(shì)是加/解密速度快,適合于對(duì)大數(shù)據(jù)量進(jìn)行加密,但密鑰管理困難。
使用對(duì)稱加密技術(shù)將簡(jiǎn)化加密的處理,每個(gè)參與方都不必彼此研究和交換專用設(shè)備的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果進(jìn)行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機(jī)密性和報(bào)文完整性就可以通過使用對(duì)稱加密方法對(duì)機(jī)密信息進(jìn)行加密以及通過隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)。
2.非對(duì)稱密鑰加密體制
非對(duì)稱密鑰加密系統(tǒng),又稱公鑰密鑰加密。它需要使用一對(duì)密鑰來分別完成加密和解密操作,一個(gè)公開,即公開密鑰,另一個(gè)由用戶自己秘密保存,即私用密鑰。信息發(fā)送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密。公鑰機(jī)制靈活,但加密和解密速度卻比對(duì)稱密鑰加密慢得多。
在非對(duì)稱加密體系中,密鑰被分解為一對(duì)。這對(duì)密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為私用密鑰(解密密鑰)加以保存。私用密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握,公開密鑰可廣泛。
該方案實(shí)現(xiàn)信息交換的過程是:貿(mào)易方甲生成一對(duì)密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易方乙使用該密鑰對(duì)信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把專用密鑰對(duì)加密信息進(jìn)行解密。
認(rèn)證技術(shù)
安全認(rèn)證的主要作用是進(jìn)行信息認(rèn)證。信息認(rèn)證的目的為:(1)確認(rèn)信息發(fā)送者的身份;2)驗(yàn)證信息的完整性,即確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改過。下面從安全認(rèn)證技術(shù)和安全認(rèn)證機(jī)構(gòu)兩個(gè)方面來做介紹。
1.常用的安全認(rèn)證技
安全認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等。
(1)數(shù)字摘要
數(shù)字摘要是采用單向Hash函數(shù)對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼,并在傳輸信息時(shí)將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進(jìn)行變換運(yùn)算,若得到的結(jié)果與發(fā)送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。
(2)數(shù)字信封
數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中,信息發(fā)送方采用對(duì)稱密鑰來加密信息,然后將此對(duì)稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后,將它和信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開數(shù)字信封,得到對(duì)稱密鑰,然后使用對(duì)稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。
(3)數(shù)字簽名
日常生活中,通常用對(duì)某一文檔進(jìn)行簽名來保證文檔的真實(shí)有效性,防止其抵賴。在網(wǎng)絡(luò)環(huán)境中,可以用電子數(shù)字簽名作為模擬。
把Hash函數(shù)和公鑰算法結(jié)合起來,可以在提供數(shù)據(jù)完整性的同時(shí)保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改,而真實(shí)性則保證是由確定的合法者產(chǎn)生的Hash,而不是由其他人假冒。而把這兩種機(jī)制結(jié)合起來就可以產(chǎn)生數(shù)字簽名。
(4)數(shù)字時(shí)間戳
在書面合同中,文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。而在電子交易中,同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)絡(luò)安全服務(wù)項(xiàng)目,由專門的機(jī)構(gòu)提供。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔,它包括三個(gè)部分:需加時(shí)間戳的文件的摘要、DTS收到文件的日期和時(shí)間、DTS的數(shù)字簽名。
(5)數(shù)字證書
在交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書來證明各自的身份。所謂數(shù)字證書,就是用電子手段來證實(shí)一個(gè)用戶的身份及用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限。
數(shù)字證書是用來惟一確認(rèn)安全電子商務(wù)交易雙方身份的工具。由于它由證書管理中心做了數(shù)字簽名,因此任何第三方都無法修改證書的內(nèi)容。任何信用卡持有人只有申請(qǐng)到相應(yīng)的數(shù)字證書,才能參加安全電子商務(wù)的網(wǎng)上交易。數(shù)字證書一般有四種類型:客戶證書、商家證書、網(wǎng)關(guān)證書及CA系統(tǒng)證書。
2.安全認(rèn)證機(jī)構(gòu)
電子商務(wù)授權(quán)機(jī)構(gòu)(CA)也稱為電子商務(wù)認(rèn)證中心(CertificateAuthority)。在電子交易中,無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書的發(fā)放,都不是靠交易雙方自己能完成的,而需要有一個(gè)具有權(quán)威性和公正性的第三方來完成。
認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。
安全認(rèn)證協(xié)議
目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用,即安全套接層SSL(SecureSocketsLayer)協(xié)議和安全電子交易SET(SecureElectronicTransaction)協(xié)議。
1.安全套接層(SSL)協(xié)議
安全套接層協(xié)議是由Netscape公司1994年設(shè)計(jì)開發(fā)的安全協(xié)議,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的概念可以被概括為:它是一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。目的是為用戶提供Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)。
SSL采用了公開密鑰和專有密鑰兩種加密:在建立連接過程中采用公開密鑰;在會(huì)話過程中使用專有密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務(wù)器間事務(wù)的安全性。
篇7
當(dāng)今世界是數(shù)字化的信息社會(huì),高新技術(shù)尤其是電子信息技術(shù)對(duì)各行各業(yè)的影響從未像現(xiàn)在這樣明顯。電子商務(wù)就是在這個(gè)信息時(shí)代背景下產(chǎn)生并迅速發(fā)展起來,它已逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。近幾年,我國的電子商務(wù)也蓬勃發(fā)展,像阿里巴巴、E-BAY、淘寶網(wǎng)等已取得相當(dāng)?shù)某晒Γo人們的生活觀念與方式帶來了巨大的改變。但同時(shí)由于我國電子商務(wù)起步晚、發(fā)展快,以致配套的技術(shù)及管理等方面跟不上,致使安全成為其發(fā)展過程中的阻礙因素。
二、我國電子商務(wù)發(fā)展面臨的安全問題分析
在我國電子商務(wù)面臨的安全問題主要由三個(gè)方面造成,即技術(shù)落后、信用缺失及法律法制體系不完善。
(一)技術(shù)落后。對(duì)電子商務(wù)的安全而言,其首先要解決的就是安全技術(shù)問題,即我國現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)落后,難以建立一個(gè)安全可信賴的電子商務(wù)環(huán)境。一般來說,電子商務(wù)所面臨的安全威脅主要表現(xiàn)在以下方面:
1、信息篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中,可能被他人非法修改、刪除、插入或重放,從而使信息失去了真實(shí)性和完整性。
2、信息破壞。信息破壞既包括網(wǎng)絡(luò)硬件和軟件的問題而導(dǎo)致信息傳遞的丟失與謬誤,也包括一些惡意程序的破壞而導(dǎo)致電子商務(wù)信息遭到破壞。由于攻擊者可以接入網(wǎng)絡(luò),就可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改,掌握網(wǎng)上的機(jī)要信息,甚至可以潛入兩方的網(wǎng)絡(luò)內(nèi)部,其后果是非常嚴(yán)重的。
3、身份識(shí)別。(1)假冒他人身份。假冒他人身份有以下幾種方式:第一,假冒交易一方的身份,破壞交易,敗壞被假冒一方的聲譽(yù)或盜竊被假冒一方的交易成果等;第二,冒充主機(jī)欺騙合法主機(jī)及合法用戶;第三,冒充網(wǎng)絡(luò)控制程序,套取或修改使用權(quán)限、通行字、密鑰等信息;第四,接管合法用戶,欺騙系統(tǒng),占用合法用戶的資源。(2)不承認(rèn)已經(jīng)做過的交易。交易的一方可不為自己的行為負(fù)責(zé)任,進(jìn)行否認(rèn),相互欺詐。具體包括以下幾種情況:第一,發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某信息或內(nèi)容;第二,收信者事后否認(rèn)曾經(jīng)收到過某信息或內(nèi)容;第三,購貨者下了訂貨單不承認(rèn);第四,商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易。
4、信息泄密。信息泄密主要包括兩個(gè)方面,即交易雙方進(jìn)行交易的內(nèi)容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。攻擊者可能通過互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線或在電磁波輻射范圍內(nèi)安裝截獲裝置等方式,截獲傳輸?shù)臋C(jī)密信息,或者是通過對(duì)信息流量和流向、通信頻度和長(zhǎng)度等參數(shù)的分析,獲取有用信息,如消費(fèi)者的銀行卡號(hào)、密碼,銷售者的(二)信用缺失。信用缺失的現(xiàn)象在當(dāng)今的商務(wù)貿(mào)易中已成為一個(gè)日益嚴(yán)重的問題。基于網(wǎng)絡(luò)的電子商務(wù),連接的是相隔時(shí)間與空間距離的買賣雙方,信用問題則顯得更為突出。很多買方在付款之前會(huì)由于看不到實(shí)體物品,而擔(dān)心其質(zhì)量問題或商品是否真正符合自己的要求;在付款之后,還會(huì)擔(dān)心賣方是否能真正遵守承諾交付貨品。同樣,賣方也對(duì)買方能否按期付款存在疑慮。在信用問題帶來的顧慮重重之下,電子商務(wù)很難為大眾所普遍接受。我國已加入WTO,會(huì)進(jìn)行更多的跨國貿(mào)易,信用問題不僅關(guān)系到國內(nèi)電子商務(wù)貿(mào)易能否正常有序進(jìn)行,也關(guān)系到我國與國外的網(wǎng)上貿(mào)易能否順利進(jìn)行。
(三)法律法制體系不完善。當(dāng)電子商務(wù)日益深入我們的生活之時(shí),越來越迫切地感覺到缺少一套專門的完善的法律法規(guī)來解決這些問題。電子商務(wù)最大的特征是它存在于虛擬世界,極易產(chǎn)生如網(wǎng)上交易糾紛的仲裁、電子合同和網(wǎng)上契約的效力、納稅、隱私或產(chǎn)權(quán)的保護(hù)等問題,加之國際化的電子商務(wù)又涉及到各國的政治制度、社會(huì)狀況、經(jīng)濟(jì)水平、現(xiàn)行法律法規(guī)及文化社會(huì)傳統(tǒng)等問題,所以對(duì)它進(jìn)行立法是非常復(fù)雜的。
目前,我國規(guī)范電子商務(wù)的相關(guān)法律法規(guī)極為有限。在法律層次上,只有1997年修訂的《刑法》中增加了關(guān)于計(jì)算機(jī)犯罪的條文,1999年通過的《合同法》對(duì)電子合同的書面形式、生效時(shí)間地點(diǎn)等做了規(guī)定,但有關(guān)電子合同的描述是粗線條的,缺乏細(xì)化措施和可操作性,遠(yuǎn)遠(yuǎn)不能滿足電子商務(wù)發(fā)展的需要。因此,法律問題是為實(shí)現(xiàn)電子商務(wù)安全必須解決的又一個(gè)重要問題。
三、解決中國電子商務(wù)發(fā)展面臨的安全問題的有效方法
(一)技術(shù)問題的解決方法。對(duì)于技術(shù)問題,國內(nèi)國外都已有較為常用有效的解決方法。概括地來說,有以下兩個(gè)方面:一是確定安全控制的范圍;二是建立電子商務(wù)安全體系。
1、安全控制的范圍。電子商務(wù)安全的控制應(yīng)涉及以下六個(gè)方面:第一,信息的保密性。EC作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。它是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的(尤其Internet是更為開放的網(wǎng)絡(luò)),維護(hù)商業(yè)機(jī)密是EC全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取;第二,數(shù)據(jù)的完整性。EC簡(jiǎn)化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。因此,要預(yù)防對(duì)信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù),并保證信息傳送次序的統(tǒng)一;第三,非偽裝性。在電子商務(wù)環(huán)境中,網(wǎng)上交易的雙方可能素昧平生、遠(yuǎn)隔千里。要使交易成功,首先要能方便可靠地確認(rèn)對(duì)方的身份,這是雙方交易的前提。非偽裝性也能大大加強(qiáng)交易雙方的信任程度,可以促進(jìn)交易廣泛地進(jìn)行;第四,不可否認(rèn)性。商情千變?nèi)f化,交易一旦達(dá)成是不能被否認(rèn)的,否則必然會(huì)損害一方的利益。因此,電子交易通信過程的各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的,要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí);第五,不可修改性。電子交易的文件要做到不可修改,以保證交易的嚴(yán)肅和公正。同時(shí),電子交易的文件也可以作為法律承認(rèn)的一種證據(jù),為交易雙方出現(xiàn)的糾紛提供解決依據(jù);第六,審查能力。根據(jù)機(jī)密性和完整性的要求,應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄,以備交易雙方產(chǎn)生糾紛時(shí)交由第三方處理。客戶資料等。2、建立電子商務(wù)安全體系。為實(shí)現(xiàn)電子商務(wù)的安全,現(xiàn)在較為通用的是建立包括以下三個(gè)層次的電子商務(wù)安全體系:第一,建立密碼機(jī)制。密碼機(jī)制即基本加密算法,包括對(duì)稱密鑰加密、非對(duì)稱密鑰加密等,密碼機(jī)制的建立可以保證交易數(shù)據(jù)與交易人個(gè)人信息不受惡意的侵犯;第二,完善基本安全技術(shù)。基本安全技術(shù)包括以密鑰機(jī)制為基礎(chǔ)的CA體系以及數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、防火墻等。基本安全技術(shù)的不斷完善為電子商務(wù)的發(fā)展提供一個(gè)良好的技術(shù)平臺(tái),使其發(fā)展過程中的技術(shù)障礙得以消除;第三,建立安全應(yīng)用協(xié)議。安全應(yīng)用協(xié)議以密碼機(jī)制、基本安全技術(shù)、CA體系為基礎(chǔ)。如,Internet電子郵件的安全協(xié)議(PEM,S/MIME,PEM-MIME(MOSS))、網(wǎng)絡(luò)安全交易協(xié)議(SSL,S-HTTP,STT,iKP,SEPP,SET)。
(二)信用問題的解決方法。美國是世界上消費(fèi)信貸最成熟的國家之一,有一整套完善的個(gè)人信用制度,我國可以借鑒其做法,建立一個(gè)適合中國國情的信用制度。第一,我國可以成立一個(gè)專門的征信機(jī)構(gòu)——信用局,由政府管理,如銀行一般具有社會(huì)公信力;第二,建立一個(gè)準(zhǔn)確公正的個(gè)人信用檔案。信用檔案的信息應(yīng)包括工商、稅務(wù)、公安、司法、銀行、證券、保險(xiǎn)、經(jīng)貿(mào)等多個(gè)方面。另外,信用檔案應(yīng)實(shí)現(xiàn)全面動(dòng)態(tài)的管理,以實(shí)現(xiàn)對(duì)每個(gè)人全面有效的信用監(jiān)督;第三,設(shè)計(jì)一個(gè)科學(xué)透明的信用分模型。最好由國家出面招標(biāo)開發(fā)信用分模型,設(shè)計(jì)一個(gè)科學(xué)透明的信用分模型,產(chǎn)權(quán)歸國家所有,無償提供給社會(huì)使用;第四,完善個(gè)人信用的外部環(huán)境。具體可以從下面兩個(gè)方面著手:一方面國家的組織和協(xié)調(diào)。建立個(gè)人信用制度是一項(xiàng)非常龐大的系統(tǒng)工程,需要政府各有關(guān)部門、中央銀行、商業(yè)銀行、個(gè)人信用中介公司等機(jī)構(gòu)密切合作、協(xié)調(diào)配合。由國家應(yīng)出臺(tái)有關(guān)個(gè)人信用制度的政策,落實(shí)相關(guān)的配套措施,明確各部門所負(fù)的職責(zé);另一方面是法律的保障。個(gè)人信用檔案收集的個(gè)人信用資料屬于個(gè)人隱私,國家應(yīng)當(dāng)對(duì)個(gè)人信用數(shù)據(jù)的收集、個(gè)人信用分的評(píng)定、個(gè)人信用數(shù)據(jù)的使用和披露做出明確規(guī)定,對(duì)于各種違規(guī)以及破壞公民隱私的行為規(guī)定制裁措施。
篇8
第三方的電子交易平臺(tái)在網(wǎng)絡(luò)上對(duì)于信息進(jìn)行儲(chǔ)存、記錄、處理、和傳遞,以此來協(xié)助一次網(wǎng)絡(luò)消費(fèi)行為的完成。一般情況下,這些信息都具有真實(shí)性和保密性,屬于大眾的隱私。但是,現(xiàn)在的網(wǎng)絡(luò)環(huán)境比較惡劣,有很多網(wǎng)絡(luò)陷阱以及刻意挖掘用戶信息的“黑客”,從而導(dǎo)致基本信息出現(xiàn)失真、泄露和刪除的危機(jī),不利于正常電子商務(wù)交易的完成。對(duì)于電子商務(wù)信息大致上可以分為以下幾類:第一,信息的真實(shí)性;第二,信息的實(shí)時(shí)性;第三,信息的安全性。首先,是信息的真實(shí)性。電子商務(wù)上的基本信息是賣家和買家進(jìn)行認(rèn)識(shí)對(duì)方和分辨商品真實(shí)性可靠性的唯一途徑,應(yīng)該絕對(duì)真實(shí)。一旦出現(xiàn)虛假信息,則屬于欺騙消費(fèi)者,是危害消費(fèi)者權(quán)益的不法行為。其次,是信息的實(shí)時(shí)性。信息的實(shí)時(shí)性主要是指信息的保質(zhì)期。因?yàn)楹芏嘈畔⒅辉谝欢螘r(shí)間內(nèi)有效,具有時(shí)效性,一旦錯(cuò)過這段關(guān)鍵時(shí)期,那么該信息則失去自身的價(jià)值,變得一文不值。最后,就是信息的安全性,這也是消費(fèi)者最為關(guān)心的問題。電子商務(wù)出現(xiàn)的安全性問題主要表現(xiàn)為客戶的信息被刪除、篡改從而失真,同時(shí)也表現(xiàn)為用戶的信息被竊取從而達(dá)成其他目的,使得用戶的隱私被侵犯,正常的生活受到打擾。
二、電子商務(wù)的信息安全技術(shù)的內(nèi)容
篇9
2.信息機(jī)密性
電子商務(wù)作為貿(mào)易的一種手段,其信息直接廠代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。
3.信息完整性
電子商務(wù)簡(jiǎn)化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各信息的差異。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。
4.信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可抵賴性要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式。
5.系統(tǒng)的可靠性
電子商務(wù)系統(tǒng)是計(jì)算機(jī)系統(tǒng),其可靠性是防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、自然災(zāi)害等引起的計(jì)算機(jī)信息失誤或失效。
二、電子商務(wù)的信息安全技術(shù)
1.數(shù)據(jù)加密技術(shù)
加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式,即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層,使用經(jīng)過加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法,這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)較為簡(jiǎn)單,不需要對(duì)電子信息(數(shù)據(jù)包)所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求,對(duì)電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。
1)電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要(digitaldigest)
這一加密方法亦稱安全Hash編碼法,由RonRivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文,這一串密文亦稱為數(shù)字指紋(FingerPrint),它有固定的長(zhǎng)度,且不同的明文摘要成密文,其結(jié)果總是不同的,而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了。
數(shù)字簽名(digitalsignature)
數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來使用。主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要),用自己的私有密鑰對(duì)這個(gè)散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名。然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值,接著再用發(fā)送方的公開密鑰來對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密,如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的,通過數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別。概括的說,簽名的作用有兩點(diǎn),一是因?yàn)樽约旱暮灻y以否認(rèn),從而確認(rèn)了文件已簽署這一事實(shí);二是因?yàn)楹灻灰追旅埃瑥亩_定了文件是真的這一事實(shí)。
數(shù)字時(shí)間戳(digitaltime-stamp)交
易文件中,時(shí)間是十分重要的信息。在電子交易中,需對(duì)交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔,它包括三個(gè)部分:需加時(shí)間戳的文件的摘要(digest);DTS收到文件的日期和時(shí)間;DTS的數(shù)字簽名。
數(shù)字證書(digitalcertificate,digitalID)數(shù)字證書又稱為數(shù)字憑證,是用電子手段來證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問的權(quán)限。目前,最有效的認(rèn)證方式是由權(quán)威的認(rèn)證機(jī)構(gòu)為參與電子商務(wù)的各方發(fā)放證書,證書作為網(wǎng)上交易參與各方的身份識(shí)別,就好象每個(gè)公民都用身份證來證明身份一樣。認(rèn)證中心作為電子商務(wù)交易中受信任的第三方,承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任,是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)定證書的權(quán)威機(jī)構(gòu)。因而網(wǎng)絡(luò)中所有用戶可以將自己的公鑰交給這個(gè)中心,并提供自己的身份證明信息,證明自己是相應(yīng)公鑰的擁有者,認(rèn)證中心審查用戶提供的信息后,如果確認(rèn)用戶是合法的,就給用戶一個(gè)數(shù)字證書。這樣,每個(gè)成員只需和認(rèn)證中心打交道,就可以查到其他成員的公鑰信息了。對(duì)于在網(wǎng)上進(jìn)行交易的雙方來說,數(shù)字證書對(duì)他們之間建立信任是至關(guān)重要的。數(shù)字憑證有三種類型:個(gè)人憑證、企業(yè)(服務(wù)器)憑證、軟件(開發(fā)者)憑證;大部分認(rèn)證中心提供前兩類憑證。
2.身份認(rèn)證技術(shù)
為解決Internet的安全問題,初步形成了一套完整的Internet安全解決方案,即被廣泛采用的公鑰基礎(chǔ)設(shè)施(PKI)體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰,通過第三方的可信機(jī)構(gòu)CA,把用戶的公鑰和用戶的其他標(biāo)識(shí)信息(如名稱、e-mail、身份證號(hào)等)捆綁在一起,在Internet網(wǎng)上驗(yàn)證用戶的身份,PKI體系結(jié)構(gòu)把公鑰密碼和對(duì)稱密碼結(jié)合起來,在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理,保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。
1)認(rèn)證系統(tǒng)的基本原理
利用RSA公開密鑰算法在密鑰自動(dòng)管理、數(shù)字簽名、身份識(shí)別等方面的特性,可建立一個(gè)為用戶的公開密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱為CA,CA為用戶發(fā)放電子證書,用戶之間利用證書來保證信息安全性和雙方身份的合法性。
2)認(rèn)證系統(tǒng)結(jié)構(gòu)
整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境,系統(tǒng)從功能上基本可以劃分為CA、RA和WebPublisher。
核心系統(tǒng)跟CA放在一個(gè)單獨(dú)的封閉空間中,為了保證運(yùn)行的絕對(duì)安全,其人員及制度都有嚴(yán)格的規(guī)定,并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)。CA的功能是在收到來自RA的證書請(qǐng)求時(shí),頒發(fā)證書。
證書的登記機(jī)構(gòu)RegisterAuthority,簡(jiǎn)稱RA,分散在各個(gè)網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機(jī)結(jié)合,接受客戶申請(qǐng),并審批申請(qǐng),把證書正式請(qǐng)求通過建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。
證書的公布系統(tǒng)WebPublisher,簡(jiǎn)稱WP,置于Internet網(wǎng)上,是普通用戶和CA直接交流的界面。對(duì)用戶來講它相當(dāng)于一個(gè)在線的證書數(shù)據(jù)庫。用戶的證書由CA頒發(fā)之后,CA用E-mail通知用戶,然后用戶須用瀏覽器從這里下載證書。
3.網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)
網(wǎng)上支付平臺(tái)分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)。網(wǎng)上支付平臺(tái)支付型電子商務(wù)業(yè)務(wù)提供各種支付手段,包括基于SET標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段。
支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間,其主要功能為:將公網(wǎng)傳來的數(shù)據(jù)包解密,并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包;接收銀行系統(tǒng)內(nèi)部的傳回來的響應(yīng)消息,將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式,并對(duì)其進(jìn)行加密。此外,支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能。
三、電子商務(wù)信息安全中的其它問題
1.內(nèi)部安全
最近的調(diào)查表明,至少有75%的信息安全問題來自內(nèi)部,在信用卡和商業(yè)詐騙中,內(nèi)部人員所占的比例最大;
2.惡意代碼
它們將繼續(xù)對(duì)所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅,并且,其數(shù)量將隨著Internet的發(fā)展和編程環(huán)境的豐富而增多,擴(kuò)散起來也更加便利,因此,造成的破壞也就越大;
3.可靠性差
目前,Internet主干網(wǎng)和DNS服務(wù)器的可靠性還遠(yuǎn)遠(yuǎn)不能滿足人們的要求,而絕大
部分撥號(hào)PPP連接質(zhì)量并不可靠,且速度很慢;
4.技術(shù)人才短缺
由于Internet和網(wǎng)絡(luò)購物都是在近幾年得到了迅猛的發(fā)展,因而,許多地方都缺乏足夠的技術(shù)人才來處理其中遇到的各種問題,尤其是網(wǎng)絡(luò)購物具有24x7(每天24小時(shí),每周7天都能工作)的要求,因而迫切需要有一大批專業(yè)技術(shù)人員對(duì)其進(jìn)行管理。如果說加密技術(shù)是電子交易安全的“硬件”,那么人才問題則可以說是“軟件”。從某種意義上講,軟件的問題解決起來可能更不容易,因此,技術(shù)人才的短缺可能成為阻礙網(wǎng)絡(luò)購物發(fā)展的一個(gè)重要因素。
5.Web服務(wù)器的保護(hù)意識(shí)差
在交易過程中對(duì)數(shù)據(jù)進(jìn)行保護(hù)只是保證交易安全的一個(gè)方面。由于交易的信息均存儲(chǔ)在服務(wù)器上,因此,即使保密信息被客戶端接收之后,也必須對(duì)存儲(chǔ)在服務(wù)器中的數(shù)據(jù)進(jìn)行保護(hù)。目前,Web服務(wù)器是黑客們最喜歡攻擊的目標(biāo)。因此,建議盡量不要將Web服務(wù)和連接到任何內(nèi)部網(wǎng)絡(luò),而且要定期對(duì)數(shù)據(jù)進(jìn)行備份,以便于服務(wù)器被攻擊之后對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。當(dāng)然,這畢竟有些不太現(xiàn)實(shí),現(xiàn)在許多流行的Web應(yīng)用都需要Web服務(wù)器與公司的數(shù)據(jù)庫進(jìn)行交互式操作,這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連,而這個(gè)連接也就成為黑客們從Web站點(diǎn)侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通路。雖然防火墻技術(shù)有助于對(duì)web站點(diǎn)進(jìn)行保護(hù),但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護(hù),因而沒有對(duì)Web服務(wù)器進(jìn)行很好的保護(hù),這是商家的Web站點(diǎn)尤其要引起注意的地方。
四、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論
1.SSL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議———面向連接的協(xié)議。
SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性,它不能保證信息的不可抵賴性,主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸,常用WebServer方式。但它是一個(gè)面向連接的協(xié)議,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。
2.SET協(xié)議(SecureElectronicTransaction)安全電子交易———專門為電子商務(wù)而設(shè)計(jì)的協(xié)議。由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性,特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn),因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。雖然它在很多方面優(yōu)于SSL協(xié)議,但仍然不能解決電子商務(wù)所遇到的全部問題。
結(jié)束語
本文分析了目前電子商務(wù)的安全需求,使用的安全技術(shù)及仍存在的問題,并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn),但必須強(qiáng)調(diào)說明的是,電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。
[摘要]電子商務(wù)對(duì)人類社會(huì)經(jīng)濟(jì)產(chǎn)生了重大影響,在創(chuàng)造巨大經(jīng)濟(jì)效益的同時(shí),也從根本上改變了整個(gè)社會(huì)商務(wù)活動(dòng)發(fā)展進(jìn)程。我國電子商務(wù)在曲折進(jìn)程中,已有很大程度的發(fā)展,同時(shí)也存在諸多問題。本文客觀地分析了電子商務(wù)的安全需求、安全技術(shù)發(fā)展現(xiàn)狀及存在的問題,對(duì)加快電子商務(wù)的發(fā)展步伐提出了一些重要思考。
[關(guān)鍵詞]電子商務(wù);安全需求;安全技術(shù);
[參考文獻(xiàn)]
①姚立新,新世紀(jì)商務(wù):電子商務(wù)的知識(shí)發(fā)展與運(yùn)作,中國發(fā)展出版社,1999年。
②《中國電子商務(wù)年鑒》2003卷。
篇10
一、網(wǎng)絡(luò)隱私權(quán)侵權(quán)現(xiàn)象
1.個(gè)人的侵權(quán)行為。個(gè)人未經(jīng)授權(quán)在網(wǎng)絡(luò)上宣揚(yáng)、公開、傳播或轉(zhuǎn)讓他人、自己和他人之間的隱私;個(gè)人未經(jīng)授權(quán)而進(jìn)入他人計(jì)算機(jī)系統(tǒng)收集、獲得信息或騷擾他人;未經(jīng)授權(quán)截取、復(fù)制他人正在傳遞的電子信息;未經(jīng)授權(quán)打開他人的電子郵箱或進(jìn)入私人網(wǎng)上信息領(lǐng)域收集、竊取他人信息資料。
2.商業(yè)組織的侵權(quán)行為。專門從事網(wǎng)上調(diào)查業(yè)務(wù)的商業(yè)組織進(jìn)行窺探業(yè)務(wù),非法獲取他人信息,利用他人隱私。大量網(wǎng)站為廣告商濫發(fā)垃圾郵件。利用收集用戶個(gè)人信息資料,建立用戶信息資料庫,并將用戶的個(gè)人信息資料轉(zhuǎn)讓、出賣給其他公司以謀利,或是用于其他商業(yè)目的。根據(jù)紐約時(shí)報(bào)報(bào)道,、Toysmart和等網(wǎng)站,都曾將客戶姓名、住址、電子郵件甚至信用卡號(hào)碼等統(tǒng)計(jì)分析結(jié)果標(biāo)價(jià)出售,以換取更多的資金。
3.部分軟硬件設(shè)備供應(yīng)商的蓄意侵權(quán)行為。某些軟件和硬件生產(chǎn)商在自己銷售的產(chǎn)品中做下手腳,專門從事收集消費(fèi)者的個(gè)人信息的行為。例如,某公司就曾經(jīng)在其生產(chǎn)的某代處理器內(nèi)設(shè)置“安全序號(hào)”,每個(gè)使用該處理器的計(jì)算機(jī)能在網(wǎng)絡(luò)中被識(shí)別,生產(chǎn)廠商可以輕易地收到用戶接、發(fā)的信息,并跟蹤計(jì)算機(jī)用戶活動(dòng),大量復(fù)制、存儲(chǔ)用戶信息。
4.網(wǎng)絡(luò)提供商的侵權(quán)行為
(1)互聯(lián)網(wǎng)服務(wù)提供商(ISPInternetServiceProvider)的侵權(quán)行為:①ISP具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私權(quán)。例:ISP把其客戶的郵件轉(zhuǎn)移或關(guān)閉,造成客戶郵件丟失、個(gè)人隱私、商業(yè)秘密泄露。②ISP對(duì)他人在網(wǎng)站上發(fā)表侵權(quán)信息應(yīng)承擔(dān)責(zé)任。
(2)互聯(lián)網(wǎng)內(nèi)容提供商(ICPInternetContentProvider)的侵權(quán)行為。ICP是通過建立網(wǎng)站向廣大用戶提供信息,如果ICP發(fā)現(xiàn)明顯的公開宣揚(yáng)他人隱私的言論,采取放縱的態(tài)度任其擴(kuò)散,ICP構(gòu)成侵害用戶隱私權(quán),應(yīng)當(dāng)承擔(dān)過錯(cuò)責(zé)任。
5.網(wǎng)絡(luò)所有者或管理者的監(jiān)視及竊聽。對(duì)于局域網(wǎng)內(nèi)的電腦使用者,某些網(wǎng)絡(luò)的所有者或管理者會(huì)通過網(wǎng)絡(luò)中心監(jiān)視使用者的活動(dòng),竊聽個(gè)人信息,尤其是監(jiān)控使用人的電子郵件,這種行為嚴(yán)重地侵犯了用戶的隱私權(quán)。
二、網(wǎng)絡(luò)隱私權(quán)問題產(chǎn)生的原因
網(wǎng)絡(luò)隱私權(quán)遭受侵犯主要是由于互聯(lián)網(wǎng)固有的結(jié)構(gòu)特性和電子商務(wù)發(fā)展導(dǎo)致的利益驅(qū)動(dòng)這兩個(gè)方面的原因。
1.互聯(lián)網(wǎng)的開放性。從網(wǎng)絡(luò)本身來看,網(wǎng)絡(luò)是一個(gè)自由、開放的世界,它使全球連成一個(gè)整體,它一方面使得搜集個(gè)人隱私極為方便,另一方面也為非法散布隱私提供了一個(gè)大平臺(tái)。由于互聯(lián)網(wǎng)成員的多樣和位置的分散,其安全性并不好。互聯(lián)網(wǎng)上的信息傳送是通過路由器來傳送的,而用戶是不可能知道是通過哪些路由進(jìn)行的,這樣,有些人或組織就可以通過對(duì)某個(gè)關(guān)鍵節(jié)點(diǎn)的掃描跟蹤來竊取用戶信息。也就是說從技術(shù)層面上截取用戶信息的可能性是顯然存在的。
2.網(wǎng)絡(luò)小甜餅cookie。某些Web站點(diǎn)會(huì)在用戶的硬盤上用文本文件存儲(chǔ)一些信息,這些文件被稱為Cookie,包含的信息與用戶和用戶的愛好有關(guān)。現(xiàn)在的許多網(wǎng)站在每個(gè)訪客進(jìn)入網(wǎng)站時(shí)將cookie放入訪客電腦,不僅能知道用戶在網(wǎng)站上買了些什么,還能掌握該用戶在網(wǎng)站上看過哪些內(nèi)容,總共逗留了多長(zhǎng)時(shí)間等,以便了解網(wǎng)站的流量和頁面瀏覽數(shù)量。另外,網(wǎng)絡(luò)廣告商也經(jīng)常用cookie來統(tǒng)計(jì)廣告條幅的點(diǎn)擊率和點(diǎn)擊量,從而分析訪客的上網(wǎng)習(xí)慣,并由此調(diào)整廣告策略。一些廣告公司還進(jìn)一步將所收集到的這類信息與用戶在其他許多網(wǎng)站的瀏覽活動(dòng)聯(lián)系起來。這顯然侵犯了他人的隱私。
3.網(wǎng)絡(luò)服務(wù)提供商(ISP)在網(wǎng)絡(luò)隱私權(quán)保護(hù)中的責(zé)任。ISP對(duì)電子商務(wù)中隱私權(quán)保護(hù)的責(zé)任,包括:在用戶申請(qǐng)或開始使用服務(wù)時(shí)告知使用因特網(wǎng)可能帶來的對(duì)個(gè)人權(quán)利的危害;告知用戶可以合法使用的降低風(fēng)險(xiǎn)的技術(shù)方法;采取適當(dāng)?shù)牟襟E和技術(shù)保護(hù)個(gè)人的權(quán)利,特別是保證數(shù)據(jù)的統(tǒng)一性和秘密性,以及網(wǎng)絡(luò)和基于網(wǎng)絡(luò)提供的服務(wù)的物理和邏輯上的安全;告知用戶匿名訪問因特網(wǎng)及參加一些活動(dòng)的權(quán)利;不為促銷目的而使用數(shù)據(jù),除非得到用戶的許可;對(duì)適當(dāng)使用數(shù)據(jù)負(fù)有責(zé)任,必須向用戶明確個(gè)人權(quán)利保護(hù)措施;在用戶開始使用服務(wù)或訪問ISP站點(diǎn)時(shí)告知其所采集、處理、存儲(chǔ)的信息內(nèi)容、方式、目的和使用期限;在網(wǎng)上公布數(shù)據(jù)應(yīng)謹(jǐn)慎。
目前,網(wǎng)上的許多服務(wù)都是免費(fèi)的,如免費(fèi)電子郵箱、免費(fèi)下載軟件、免費(fèi)登錄為用戶或會(huì)員以接收一些信息以及一些免費(fèi)的咨詢服務(wù)等,然而人們發(fā)現(xiàn)在接受這些免費(fèi)服務(wù)時(shí),必經(jīng)的一道程序就是登錄個(gè)人的一些資料,如姓名、地址、工作、興趣愛好等,服務(wù)提供商會(huì)聲稱這是為了方便管理,但是,也存在著服務(wù)商將這些信息挪作他用甚至出賣的可能。
三、安全技術(shù)對(duì)網(wǎng)絡(luò)隱私權(quán)保護(hù)
1.電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于安全技術(shù)的完善,這些技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、軟件保護(hù)技術(shù)、病毒檢測(cè)及清除技術(shù)、內(nèi)容分類識(shí)別和過濾技術(shù)、系統(tǒng)安全監(jiān)測(cè)報(bào)警技術(shù)等。
(1)防火墻技術(shù)。防火墻(Firewall)是近年來發(fā)展的最重要的安全技術(shù),它的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)(被保護(hù)網(wǎng)絡(luò))。
(2)加密技術(shù)。數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動(dòng)安全防范策略。數(shù)據(jù)加密原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。
(3)數(shù)字簽名技術(shù)。數(shù)字簽名(Digital??Signature)技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中,數(shù)字簽名技術(shù)有著特別重要的地位,在電子商務(wù)安全服務(wù)中的源鑒別、完整、不可否認(rèn)服務(wù)中都要用到數(shù)字簽名技術(shù)。
(4)數(shù)字時(shí)間戳技術(shù)。在電子商務(wù)交易的文件中,時(shí)間是十分重要的信息,是證明文件有效性的主要內(nèi)容。在簽名時(shí)加上一個(gè)時(shí)間標(biāo)記,即有數(shù)字時(shí)間戳(DigitaTime-stamp)的數(shù)字簽名方案:驗(yàn)證簽名的人或以確認(rèn)簽名是來自該小組,卻不知道是小組中的哪一個(gè)人簽署的。指定批準(zhǔn)人簽名的真實(shí)性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗(yàn)證簽名。
2.電子商務(wù)信息安全協(xié)議
(1)安全套接層協(xié)議(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年設(shè)計(jì)開發(fā)的,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL的整個(gè)概念可以被總結(jié)為:一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶、服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。
(2)安全電子交易公告(SecureElectronicTransactions,SET)。SET是為在線交易設(shè)立的一個(gè)開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對(duì)客戶信用卡認(rèn)證的前提下,又增加了對(duì)商家身份的認(rèn)證。SET已成為全球網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn)。
(3)安全超文本傳輸協(xié)議(S-HTTP)。依靠密鑰的加密,保證Web站點(diǎn)間的交換信息傳輸?shù)陌踩浴HTTP對(duì)HT-TP的安全性進(jìn)行了擴(kuò)充,增加了報(bào)文的安全性,是基于SSL技術(shù)上發(fā)展的。該協(xié)議向互聯(lián)網(wǎng)的應(yīng)用提供完整性、可鑒別性、不可抵賴性及機(jī)密性等安全措施。
(4)安全交易技術(shù)協(xié)議(STT)。STT將認(rèn)證與解密在瀏覽器中分離開,以提高安全控制能力。
(5)UN/EDIFACT標(biāo)準(zhǔn)。UN/EDIFACT報(bào)文是唯一的國際通用的電子商務(wù)標(biāo)準(zhǔn)。
3.P2P技術(shù)與網(wǎng)絡(luò)信息安全。P2P(Peer-to-Peer,即對(duì)等網(wǎng)絡(luò))是近年來廣受IT業(yè)界關(guān)注的一個(gè)概念。P2P是一種分布式網(wǎng)絡(luò),最根本的思想,同時(shí)它與C/S最顯著的區(qū)別在于網(wǎng)絡(luò)中的節(jié)點(diǎn)(peer)既可以獲取其它節(jié)點(diǎn)的資源或服務(wù),同時(shí),又是資源或服務(wù)的提供者,即兼具Client和Server的雙重身份。一般P2P網(wǎng)絡(luò)中每一個(gè)節(jié)點(diǎn)所擁有的權(quán)利和義務(wù)都是對(duì)等的,包括通訊、服務(wù)和資源消費(fèi)。
(1)隱私安全性
①目前的Internet通用協(xié)議不支持隱藏通信端地址的功能。攻擊者可以監(jiān)控用戶的流量特征,獲得IP地址。甚至可以使用一些跟蹤軟件直接從IP地址追蹤到個(gè)人用戶。SSL之類的加密機(jī)制能夠防止其他人獲得通信的內(nèi)容,但是這些機(jī)制并不能隱藏是誰發(fā)送了這些信息。而在P2P中,系統(tǒng)要求每個(gè)匿名用戶同時(shí)也是服務(wù)器,為其他用戶提供匿名服務(wù)。由于信息的傳輸分散在各節(jié)點(diǎn)之間進(jìn)行而無需經(jīng)過某個(gè)集中環(huán)節(jié),用戶的隱私信息被竊聽和泄漏的可能性大大縮小。P2P系統(tǒng)的另一個(gè)特點(diǎn)是攻擊者不易找到明確的攻擊目標(biāo),在一個(gè)大規(guī)模的環(huán)境中,任何一次通信都可能包含許多潛在的用戶。
②目前解決Internet隱私問題主要采用中繼轉(zhuǎn)發(fā)的技術(shù)方法,從而將通信的參與者隱藏在眾多的網(wǎng)絡(luò)實(shí)體之中。而在P2P中,所有參與者都可以提供中繼轉(zhuǎn)發(fā)的功能,因而大大提高了匿名通訊的靈活性和可靠性,能夠?yàn)橛脩籼峁└玫碾[私保護(hù)。
(2)對(duì)等誠信
為使得P2P技術(shù)在更多的電子商務(wù)中發(fā)揮作用,必須考慮到網(wǎng)絡(luò)節(jié)點(diǎn)之間的信任問題。實(shí)際上,對(duì)等誠信由于具有靈活性、針對(duì)性并且不需要復(fù)雜的集中管理,可能是未來各種網(wǎng)絡(luò)加強(qiáng)信任管理的必然選擇。
對(duì)等誠信的一個(gè)關(guān)鍵是量化節(jié)點(diǎn)的信譽(yù)度。或者說需要建立一個(gè)基于P2P的信譽(yù)度模型。信譽(yù)度模型通過預(yù)測(cè)網(wǎng)絡(luò)的狀態(tài)來提高分布式系統(tǒng)的可靠性。一個(gè)比較成功的信譽(yù)度應(yīng)用例子是在線拍賣系統(tǒng)eBay。在eBay的信譽(yù)度模型中,買賣雙方在每次交易以后可以相互提升信譽(yù)度,一名用戶的總的信譽(yù)度為過去6個(gè)月中這些信譽(yù)度的總和。eBay依靠一個(gè)中心來管理和存儲(chǔ)信譽(yù)度。同樣,在一個(gè)分布式系統(tǒng)中,對(duì)等點(diǎn)也可以在每次交易以后相互提升信譽(yù)度,就象在eBay中一樣。例如,對(duì)等點(diǎn)i每次從j下載文件時(shí),它的信譽(yù)度就提升(+1)或降低(-1)。如果被下載的文件是不可信的,或是被篡改過的,或者下載被中斷等,則對(duì)等點(diǎn)i會(huì)把本次交易的信譽(yù)度記為負(fù)值(-1)。就象在eBay中一樣,我們可以把局部信譽(yù)度定義為對(duì)等點(diǎn)i從對(duì)等點(diǎn)j下載文件的所有交易的信譽(yù)度之和。
每個(gè)對(duì)等點(diǎn)i可以存貯它自身與對(duì)等點(diǎn)j的滿意的交易數(shù),以及不滿意的交易數(shù),則可定義為:
Sij=sat(i,j)-unsat(i,j)
四、電子商務(wù)中的隱私安全對(duì)策
1.加強(qiáng)網(wǎng)絡(luò)隱私安全管理。我國網(wǎng)絡(luò)隱私安全管理除現(xiàn)有的部門分工外,要建立一個(gè)具有高度權(quán)威的信息安全領(lǐng)導(dǎo)機(jī)構(gòu),才能有效地統(tǒng)一、協(xié)調(diào)各部門的職能,研究未來趨勢(shì),制定宏觀政策,實(shí)施重大決定。
2.加快網(wǎng)絡(luò)隱私安全專業(yè)人才的培養(yǎng)。在人才培養(yǎng)中,要注重加強(qiáng)與國外的經(jīng)驗(yàn)技術(shù)交流,及時(shí)掌握國際上最先進(jìn)的安全防范手段和技術(shù)措施,確保在較高層次上處于主動(dòng)。
3.開展網(wǎng)絡(luò)隱私安全立法和執(zhí)法。加快立法進(jìn)程,健全法律體系。結(jié)合我國實(shí)際,吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn),對(duì)現(xiàn)行法律體系進(jìn)行修改與補(bǔ)充,使法律體系更加科學(xué)和完善。
4.抓緊網(wǎng)絡(luò)隱私安全基礎(chǔ)設(shè)施建設(shè)。國民經(jīng)濟(jì)要害部門的基礎(chǔ)設(shè)施要通過建設(shè)一系列的信息安全基礎(chǔ)設(shè)施來實(shí)現(xiàn)。為此,需要建立中國的公開密鑰基礎(chǔ)設(shè)施、信息安全產(chǎn)品檢測(cè)評(píng)估基礎(chǔ)設(shè)施、應(yīng)急響應(yīng)處理基礎(chǔ)設(shè)施等。
5.建立網(wǎng)絡(luò)風(fēng)險(xiǎn)防范機(jī)制。在網(wǎng)絡(luò)建設(shè)與經(jīng)營中,因?yàn)榘踩夹g(shù)滯后、道德規(guī)范蒼白、法律疲軟等原因,往往會(huì)使電子商務(wù)陷于困境,這就必須建立網(wǎng)絡(luò)風(fēng)險(xiǎn)防范機(jī)制。建議網(wǎng)絡(luò)經(jīng)營者可以在保險(xiǎn)標(biāo)的范圍內(nèi)允許標(biāo)保的財(cái)產(chǎn)進(jìn)行標(biāo)保,并在出險(xiǎn)后進(jìn)行理賠。
6.強(qiáng)化網(wǎng)絡(luò)技術(shù)創(chuàng)新,重點(diǎn)研究關(guān)鍵芯片與內(nèi)核編程技術(shù)和安全基礎(chǔ)理論。統(tǒng)一組織進(jìn)行信息安全關(guān)鍵技術(shù)攻關(guān),以創(chuàng)新的思想,超越固有的約束,構(gòu)筑具有中國特色的信息安全體系。
7.注重網(wǎng)絡(luò)建設(shè)的規(guī)范化。沒有統(tǒng)一的技術(shù)規(guī)范,局部性的網(wǎng)絡(luò)就不能互連、互通、互動(dòng),沒有技術(shù)規(guī)范也難以形成網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模。目前,國際上出現(xiàn)許多關(guān)于網(wǎng)絡(luò)隱私安全的技術(shù)規(guī)范、技術(shù)標(biāo)準(zhǔn),目的就是要在統(tǒng)一的網(wǎng)絡(luò)環(huán)境中保證隱私信息的絕對(duì)安全。我們應(yīng)從這種趨勢(shì)中得到啟示,在同國際接軌的同時(shí),拿出既符合國情又順應(yīng)國際潮流的技術(shù)規(guī)范。
參考文獻(xiàn):
[1]屈云波.電子商務(wù)[M].北京:企業(yè)管理出版社,1999.
[2]趙立平.電子商務(wù)概論[M].上海:復(fù)旦大學(xué)出版社,2000.
篇11
計(jì)算機(jī)安全技術(shù)既計(jì)算機(jī)信息系統(tǒng)安全技術(shù),是指為防止外部破壞、攻擊及信息竊取,以保證計(jì)算機(jī)系統(tǒng)正常運(yùn)行的防護(hù)技術(shù)。下面我就從計(jì)算機(jī)安全技術(shù)的研究領(lǐng)域、包括方面兩個(gè)角度出發(fā)來進(jìn)行探討。
1.1計(jì)算機(jī)安全技術(shù)主要有兩個(gè)研究領(lǐng)域
一是計(jì)算機(jī)防泄漏技術(shù)。即通過無線電技術(shù)對(duì)計(jì)算機(jī)進(jìn)行屏蔽、濾波、接地,以達(dá)到防泄漏作用。
二是計(jì)算機(jī)信息系統(tǒng)安全技術(shù)。即通過加強(qiáng)安全管理,改進(jìn)、改造系統(tǒng)的安全配置等方法,以防御由于利用計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)、系統(tǒng)配置、操作系統(tǒng)及系統(tǒng)源代碼等安全隱患而對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行的攻擊,使計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行。
1.2計(jì)算機(jī)安全技術(shù)包括方面
計(jì)算機(jī)的安全技術(shù)包括兩個(gè)方面:個(gè)人計(jì)算機(jī)的安全技術(shù),計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)。
1.2.1個(gè)人計(jì)算機(jī)的安全技術(shù)
個(gè)人計(jì)算機(jī)的安全技術(shù)是影響到使用個(gè)人電腦的每個(gè)用戶的大事。它包括硬件安全技術(shù)、操作系統(tǒng)安全技術(shù)、應(yīng)用軟件安全技術(shù)、防病毒技術(shù)。在這里我們主要討論硬件安全技術(shù)和操作系統(tǒng)安全技術(shù)。
硬件安全技術(shù)是指外界強(qiáng)電磁對(duì)電腦的干擾、電腦在工作時(shí)對(duì)外界輻射的電磁影響,電腦電源對(duì)電網(wǎng)電壓的波動(dòng)的反應(yīng)、CPU以及主板的電壓和電流適應(yīng)范圍、串并口時(shí)熱拔插的保護(hù)、機(jī)箱內(nèi)絕緣措施、顯示器屏幕對(duì)周圍電磁干擾的反應(yīng)和存儲(chǔ)介質(zhì)的失效等等。目前,這種單機(jī)的硬件保護(hù)問題在技術(shù)上相對(duì)簡(jiǎn)單一點(diǎn),一般來說,凡是嚴(yán)格按照IS9001標(biāo)準(zhǔn)進(jìn)行采購、生產(chǎn)、管理、銷售的企業(yè)都可以保證上述安全問題能有相應(yīng)的解決措施。
操作系統(tǒng)安全技術(shù)是指目前常用的PC操作系統(tǒng)的安全問題,包括DOS、WINDOWS的安全問題。由于WIN—DOWS系統(tǒng)在日常生活中被大多數(shù)人所熟知,這里我們就以WINDOWS系統(tǒng)為例來分析操作系統(tǒng)的安全技術(shù)。
WINDOWS系統(tǒng)在安全技術(shù)方面采取了軟件加密和病毒防治兩種手段來保證操作系統(tǒng)的安全。軟件加密由三個(gè)部分組成:反跟蹤、指紋識(shí)別、目標(biāo)程序加/解密變換。三個(gè)部分相互配合,反跟蹤的目的是保護(hù)指紋識(shí)別和解密算法。指紋識(shí)別判定軟件的合法性,而加/解密變換則是避免暴露目標(biāo)程序。病毒防治原理是由于Windows的文件系統(tǒng)依賴于DOS,所以擴(kuò)充現(xiàn)有的基于DOS的病毒防治軟件。使之能夠識(shí)別Windows可執(zhí)行文件格式(NE格式),是一種行之有效的方法,在病毒的檢測(cè)、清除方面則需要分析Win—dows病毒的傳染方式和特征標(biāo)識(shí),擴(kuò)充現(xiàn)有的查毒、殺毒軟件。
1.2.2計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)
計(jì)算機(jī)安全特別是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)越來越成為能夠謀取較高經(jīng)濟(jì)效益并具有良好市場(chǎng)發(fā)展前景的高新技術(shù)及產(chǎn)業(yè)。自從計(jì)算機(jī)網(wǎng)絡(luò)暴露出安全脆弱問題且受到攻擊后,人們就一直在研究計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),以求把安全漏洞和風(fēng)險(xiǎn)降低到力所能及的限度,因此出現(xiàn)了一批安全技術(shù)和產(chǎn)品。
(1)安全內(nèi)核技術(shù)。
人們開始在操作系統(tǒng)的層次上考慮安全性。嘗試把系統(tǒng)內(nèi)核中可能引起安全問題的部分從內(nèi)核中剔出去。使系統(tǒng)更安全。如So-laris操作系統(tǒng)把靜態(tài)的口令放在一個(gè)隱含文件中,使系統(tǒng)更安全。
(2)Kerberos系統(tǒng)的鑒別技術(shù)。
它的安全機(jī)制在于首先對(duì)發(fā)出請(qǐng)求的用戶進(jìn)行身份驗(yàn)證,確認(rèn)其是否是合法的用戶。如是合法用戶,再審核該用戶是否有權(quán)對(duì)他所請(qǐng)求的服務(wù)或主機(jī)進(jìn)行訪問。Kerberos系統(tǒng)在分布式計(jì)算機(jī)環(huán)境中得到了廣泛的應(yīng)用,其特點(diǎn)是:安全性高、明性高、擴(kuò)展性好。
(3)防火墻技術(shù)。
防火墻即在被保護(hù)網(wǎng)絡(luò)和因特網(wǎng)之間,或在其他網(wǎng)絡(luò)之間限制訪問的一種部件或一系列部件。
防火墻技術(shù)是目前計(jì)算機(jī)網(wǎng)絡(luò)中備受關(guān)注的安全技術(shù)。在目前的防火墻產(chǎn)品的設(shè)計(jì)與開發(fā)中,安全內(nèi)核、系統(tǒng)、多級(jí)過濾、安全服務(wù)器和鑒別與加密是其關(guān)鍵所在。防火墻技術(shù)主要有數(shù)據(jù)包過濾、服務(wù)器、SOCKS協(xié)議、網(wǎng)絡(luò)反病毒技術(shù)等方面組成,共同完成防火墻的功能效應(yīng)。
2其在電子商務(wù)中的應(yīng)用
隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展
,電子商務(wù)得到了越來越廣泛的應(yīng)用,但電子商務(wù)是以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)載體的,大量重要的身份信息、會(huì)計(jì)信息、交易信息都需要在網(wǎng)上進(jìn)行傳遞,在這樣的情況下,電子商務(wù)的安全性是影響其成敗的一個(gè)關(guān)鍵因素。
2.1電子商務(wù)含義
電子商務(wù)是利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù)實(shí)現(xiàn)整個(gè)商務(wù)過程中的電子化、數(shù)字化和網(wǎng)絡(luò)化。人們不再是面對(duì)面的、看著實(shí)實(shí)在在的貨物、靠紙介質(zhì)單據(jù)進(jìn)行買賣交易,而是通過網(wǎng)絡(luò),通過網(wǎng)上琳瑯滿目的商品信息、完善的物流配送系統(tǒng)和方便安全的資金結(jié)算系統(tǒng)進(jìn)行交易。
整個(gè)交易的過程可以分為三個(gè)階段:第一個(gè)階段是信息交流階段;第二階段是簽定商品合同階段;第三階段是按照合同進(jìn)行商品交接、資金結(jié)算階段。
2.2電子商務(wù)安全隱患
2.2.1截獲傳輸信息
攻擊者可能通過公共電話網(wǎng)、互聯(lián)網(wǎng)或在電磁波輻射范圍內(nèi)安裝接收裝置等方式。截取機(jī)密信息;或通過對(duì)信息長(zhǎng)度、流量、流向和通信頻度等參數(shù)進(jìn)行分析。獲得如用戶賬號(hào)、密碼等有用信息。
2.2.2偽造電子郵件
虛開網(wǎng)上商店。給用戶發(fā)電子郵件,偽造大量用戶的電子郵件,窮盡商家資源,使合法用戶不能訪問網(wǎng)絡(luò)。使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。
2.2.3否認(rèn)已有交易
者事后否認(rèn)曾發(fā)送過某條信息或內(nèi)容,接收者事后否認(rèn)曾收到過某條信息或內(nèi)容;購買者不承認(rèn)下過訂貨單;商家不承認(rèn)賣出過次品等。
2.3電子商務(wù)交易中的一些計(jì)算機(jī)安全安全技術(shù)
針對(duì)以上問題現(xiàn)在廣泛采用了身份識(shí)別技術(shù)數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)和放火墻技術(shù)。
2.3.1身份識(shí)別技術(shù)
通過電子網(wǎng)絡(luò)開展電子商務(wù)。身份識(shí)別問題是一個(gè)必須解決的同題。一方面,只有合法用戶才可以使用網(wǎng)絡(luò)資源,所以網(wǎng)絡(luò)資源管理要求識(shí)別用戶的身份;另一方面,傳統(tǒng)的交易方式,交易雙方可以面對(duì)面地談判交涉。很容易識(shí)別對(duì)方的身份。通過電子網(wǎng)絡(luò)交易方式。交易雙方不見面,并且通過普通的電子傳輸信息很難確認(rèn)對(duì)方的身份,因此,電子商務(wù)中的身份識(shí)別問題顯得尤為突出。
2.3.2數(shù)據(jù)加密技術(shù)
篇12
我國大多數(shù)企業(yè)對(duì)電子商務(wù)認(rèn)識(shí)有一個(gè)誤區(qū),就是簡(jiǎn)單地把電子商務(wù)理解為商品的電子交易。其實(shí),“電子”只是手段,“商務(wù)”才是核心。拿從事網(wǎng)上銷售的企業(yè)來說,除了把商品放在網(wǎng)上銷售之外,還要有傳統(tǒng)零售企業(yè)的特點(diǎn)才能成功。很多企業(yè)就是因?yàn)閷?duì)此理解不夠而蒙受了巨大的損失。
就在本月初,北京西單商場(chǎng)公告,宣布對(duì)旗下的IGO5電子商務(wù)網(wǎng)站進(jìn)行注銷清算。筆者曾經(jīng)登錄過這家網(wǎng)站,在它的網(wǎng)頁上,小至戒指,大到汽車用品都可以看到,可以稱得上是一個(gè)真正的網(wǎng)上百貨商店,但浩如煙海的信息讓用戶很難找到自己想要的商品,西單商場(chǎng)的品牌也因此在網(wǎng)上失去了吸引力。一位加盟商還向記者抱怨,自從加盟后就沒見IGO5做過什么市場(chǎng)活動(dòng),網(wǎng)站點(diǎn)擊量上不去,自然就不會(huì)有人氣和銷售額。結(jié)果這家網(wǎng)站在兩年內(nèi)虧損了1600萬元人民幣。據(jù)了解,目前北京近一半的連鎖零售企業(yè)開設(shè)了自己的購物網(wǎng)站,而這些網(wǎng)站幾乎全部成了企業(yè)的軟肋,存在著不同程度的虧損。這些網(wǎng)站失敗的原因正像業(yè)內(nèi)人士分析的那樣,物質(zhì)上購買了設(shè)備、軟件,但腦袋里根本沒有理解什么是電子商務(wù),管理理念上不去,上什么都白費(fèi)。
安全、信用問題制約了中國電子商務(wù)發(fā)展
去年年底,寧波人孫惠剛辦理了網(wǎng)上銀行注冊(cè)。網(wǎng)上銀行剛剛用了三個(gè)月,孫惠剛在網(wǎng)上銀行賬戶上的9萬元存款、有價(jià)證券就全部被盜。中國電子商務(wù)不斷暴露的信用、安全問題已經(jīng)影響到了電子商務(wù)自身的發(fā)展。中國工程院院士沈昌祥認(rèn)為,那種以為只要技術(shù)到位,平臺(tái)搭好了,電子商務(wù)就接近成功的觀點(diǎn)是錯(cuò)誤的,只有認(rèn)證、支付等問題解決了,建立起一個(gè)安全的商務(wù)環(huán)境,才能真正實(shí)現(xiàn)電子商務(wù)。
為了解決這一問題,我國從2000年起就醞釀在電子商務(wù)方面立法。今年3月24日,國務(wù)院原則通過了《電子簽名法(草案)》。專家認(rèn)為,該法案一旦正式實(shí)施,將可以大大降低網(wǎng)上交易的風(fēng)險(xiǎn)。
立法可以解決安全問題,但電子商務(wù)的信用問題卻依然存在。與國外不同,中國信用體系面臨著信用信息條塊分割的問題。銀行、稅務(wù)、法律等部門都有各自的信息庫,但這些信息很難聯(lián)網(wǎng),更不要說與全社會(huì)共享了。另外,運(yùn)行電子商務(wù)所需硬件和軟件的關(guān)鍵技術(shù)都掌握在外國公司手中,對(duì)我國關(guān)鍵部門、關(guān)鍵數(shù)據(jù)造成了安全隱患,這應(yīng)該引起有關(guān)部門的高度重視。
外商占領(lǐng)中國高端電子商務(wù)市場(chǎng)
盡管國內(nèi)電子商務(wù)環(huán)境遠(yuǎn)遠(yuǎn)談不上成熟,但國外電子商務(wù)硬件、軟件制造商對(duì)從中國電子商務(wù)市場(chǎng)中獲利信心十足。國際數(shù)據(jù)集團(tuán)的總裁麥戈文曾說:“世界范圍內(nèi)信息產(chǎn)業(yè)的年增長(zhǎng)率為17%,而中國則是35%。”信息產(chǎn)業(yè)的快速發(fā)展顯然會(huì)帶來電子商務(wù)市場(chǎng)的迅速增長(zhǎng)。因此,IBM、惠普、太陽、英特爾等世界IT巨頭都看好中國電子商務(wù)市場(chǎng)這塊大蛋糕。
憑借著資金、技術(shù)優(yōu)勢(shì)和高明的商業(yè)策略,外資公司正在逐步占據(jù)中國電子商務(wù)軟、硬件市場(chǎng)的主導(dǎo)地位,尤其是在利潤最豐厚的高端市場(chǎng),中國企業(yè)簡(jiǎn)直被徹底排擠在外。比如IBM就將中石油、中國銀行等超大客戶攬入了自己的懷抱。
篇13
一、電子商務(wù)的安全威脅美國密執(zhí)安大學(xué)的一個(gè)調(diào)查機(jī)構(gòu)曾對(duì)23000名因特網(wǎng)用戶做了一個(gè)調(diào)查。調(diào)查顯示超過60%的人由于擔(dān)心電子商務(wù)的安全問題而不愿意在網(wǎng)上購物。同樣的調(diào)查顯示,任何個(gè)人、企業(yè)或商業(yè)機(jī)構(gòu)以及銀行都不會(huì)通過一個(gè)不安全的網(wǎng)絡(luò)進(jìn)行商務(wù)交易,一旦遭到攻擊,就會(huì)導(dǎo)致商業(yè)機(jī)密信息或個(gè)人隱私的泄漏,從而造成巨大的損失,對(duì)電子商務(wù)的安全威脅主要包括:信息的截獲和竊取、信息的篡改、信息假冒、交易抵賴等。
二、電子商務(wù)的安全要素
1。有效性。EC作為貿(mào)易的一種形式,其信息的有效性直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。因此,要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。
2。機(jī)密性。EC是建立在開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是EC全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法信息存取和信息在傳輸過程中被非法竊取。
3。完整性。EC簡(jiǎn)化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。因此,要預(yù)防對(duì)信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。
4。可靠性。如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方,這一問題則是保證EC順利進(jìn)行的關(guān)鍵。在傳統(tǒng)紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。這就是人們常說的“白紙黑字”。在無紙化的EC方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已不可能,因此,要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí)。
三、電子商務(wù)安全的主要技術(shù)對(duì)策電子商務(wù)安全是信息安全的應(yīng)用,它的技術(shù)范圍主要分為網(wǎng)絡(luò)安全技術(shù)、防火墻技術(shù)、加密技術(shù)和認(rèn)證技術(shù)等。
1。網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ),一個(gè)完整的電子商務(wù)系統(tǒng)應(yīng)建立在安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上。網(wǎng)絡(luò)安全所涉及到的地方比較廣,如操作系統(tǒng)安全,防火墻技術(shù),虛擬專用網(wǎng)技術(shù)和各種反黑客技術(shù)及漏洞檢測(cè)技術(shù)等。其中最重要的就是防火墻技術(shù),防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而做出允許/拒絕等正確的判斷。
2。加密技術(shù)。加密技術(shù)是保證電子商務(wù)安全的重要手段。許多密碼算法現(xiàn)己成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。密碼算法利用密鑰(secretkeys)來對(duì)敏感信息進(jìn)行加密,然后把加密好的數(shù)據(jù)和密鑰發(fā)送給接收者,接收者可利用同樣的算法和傳遞來的密鑰對(duì)數(shù)據(jù)進(jìn)行解密,從而獲取敏感信息并保證網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性。
3。加密技術(shù)包括私鑰加密和公鑰加密。私鑰加密,又稱對(duì)稱密鑰加密。即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。目前常用的私鑰加密算法包括DES和IDEA等。公鑰密鑰加密,又稱不對(duì)稱密鑰加密系統(tǒng),它需要使用一對(duì)密鑰來分別完成加密和解密操作。一個(gè)公開,稱為公開密鑰(PublicKey);另一個(gè)由用戶自己秘密保存,稱為私有密鑰(Private-Key)。為了充分利用公鑰密碼和對(duì)稱密碼算法的優(yōu)點(diǎn),克服其缺點(diǎn),解決每次傳送更換密鑰的問題,可采取混合密碼系統(tǒng),即所謂的電子信封(envelope)技術(shù)。
4。認(rèn)證與識(shí)別。全面的保護(hù)還要求認(rèn)證和識(shí)別,確保參與加密對(duì)話的人確實(shí)是其本人。認(rèn)證和識(shí)別是指用戶必須提供他是誰的證明。
這個(gè)“他”可能是某個(gè)雇員,某個(gè)組織的、某個(gè)軟件過程等等認(rèn)證的標(biāo)準(zhǔn)方法就是弄清楚他是誰,他具有什么特征,他知道什么可用于識(shí)別他的東西。比如說,系統(tǒng)中存儲(chǔ)了他的指紋,他接入網(wǎng)絡(luò)時(shí),就必須在連接到網(wǎng)絡(luò)的電子指紋機(jī)上提供他的指紋,只有指紋相符才允許他訪問系統(tǒng)。更普通的是通過視網(wǎng)膜血管分布圖來識(shí)別,原理與指紋識(shí)別相同,另外聲波紋識(shí)別也是商業(yè)系統(tǒng)采用的一種識(shí)別方式。
網(wǎng)絡(luò)通過用戶擁有什么東西來識(shí)別的方法,一般是用智能卡或其它特殊形式的標(biāo)志,這類標(biāo)志可以從連接到計(jì)算機(jī)的讀出器上讀出來。至于說到“他知道什么”,最普通的就是口令,口令具有共享秘密的屬性。更保密的認(rèn)證可以是幾種方法組合而成。智能卡技術(shù)將成為用戶接入和用戶身份認(rèn)證等安全要求的首選技術(shù)。用戶將從持有認(rèn)證執(zhí)照的可信發(fā)行者手里取得智能卡安全設(shè)備,也可從其他公共密鑰密碼安全方案發(fā)行者那里獲得。這樣智能卡的讀取器將成為用戶接入和認(rèn)證安全解決方案的一個(gè)關(guān)鍵部分。
四、結(jié)束語電子商務(wù)交易安全的一些典型技術(shù)和協(xié)議都是對(duì)有關(guān)電子商務(wù)交易安全的外部防范,但是要想使一個(gè)商用網(wǎng)絡(luò)真正做到安全,不僅要看它所采用的防范措施,而且還要看它的管理措施。只有將這兩者綜合起來考察,才能最終得出該網(wǎng)絡(luò)是否安全的結(jié)論。因此,只有每個(gè)電子商務(wù)系統(tǒng)的領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理員和用戶都能提高安全意識(shí),健全并嚴(yán)格有關(guān)網(wǎng)絡(luò)安全措施,才能在現(xiàn)有的技術(shù)條件下,將電子商務(wù)安全風(fēng)險(xiǎn)降至最低。
