序論:速發(fā)表網結合其深厚的文秘經驗���,特別為您篩選了11篇數字貿易存在的問題范文��。如果您需要更多原創(chuàng)資料��,歡迎隨時與我們的客服老師聯(lián)系��,希望您能從中汲取靈感和知識���!
篇1
1.1有效性
有效性是指信息發(fā)送方發(fā)送給信息接收方的信息是未經外人加工、改變的信息��。貿易數據都具有特定型性�,是指貿易信息只有在特定的時刻和確定的地點才是有效的。電子商務改變了過去紙質的方式���,以電子的形式傳遞信息����,如何確保電子信息在傳送過程中的未經加工是確保信息有效的前提���。電子商務中信息的有效性對企業(yè)���、個人、甚至國家的經濟利益有著重大的影響���,所以���,要及時對網絡故障�、應用程序錯誤�、系統(tǒng)軟件錯誤或者計算機病毒引起的信息安全隱患進行防范,以確保數據的有效性�。
1.2保密性
保密性是指貿易信息在存儲或傳遞過程中未經他人竊取或泄露。傳統(tǒng)的紙質貿易信息一般是通過郵寄的信件及其他可靠的傳遞渠道來互送商業(yè)貿易文件以確保信息的安全?���,F(xiàn)代電子網絡是一個開放的傳遞平臺,維護商業(yè)貿易信息顯得更加重要����,確保商業(yè)機密的保密性是電子商務全面推廣應用的基本保障。所以�,必須確保貿易信息在傳遞過程中的保密性,防止非法竊取及泄露���。
1.3完整性
完整性是指電子貿易信息在傳遞的過程中沒有沒被修改��、歪曲和重復����,信息的接受者接收到的信息與信息發(fā)送方發(fā)送的信息完全相同����。貿易信息的完整性會對貿易各方經濟利潤���、營銷策略和貿易合同產生巨大影響。確保貿易信息的完整性是電子商務實際應用的重要基礎�。所以��,在信息傳遞過程中要防范信息被隨意生成�、修改和刪除,防止信息的丟失與重復��,同時信息的傳遞次序要保證統(tǒng)一�����。
1.4可靠性
電子商務信息直接關系到貿易雙方的商業(yè)交易�����,在交易過程中如何確保進行交易的對方與交易所期望的貿易方是同一者���,這就需要電子商務信息必須確保本身的可靠性�。在傳統(tǒng)的商業(yè)交易中��,雙放當事人可以通過手寫簽名或印章等形式確保雙方的身份���,但是電子商業(yè)貿易利用網絡這一形式���,無法采取傳統(tǒng)的身份認定形式�,就必須確保貿易信息的可靠性���,從而為貿易雙方進行商業(yè)交易奠定重要基礎����。
2電子商務安全的技術要求
2.1物理安全
要根據國家標準�、信息安全等級、信息技術情況����,制定切實可行、符合實際情況的的物理安全標準體系���。本體系可以防范設備功能失常�����、電源事故��、電磁泄漏等引起的信息失密等�。
2.2網絡安全
為了保證電子商務交易的安全可靠,電子商務平臺須穩(wěn)定可靠���,能夠全天候正常運行�。系統(tǒng)在運行的任何中斷���,如病毒入侵���、網絡故障或硬件軟件錯誤等都會對正在進行電子商務交易的雙方造成重大損失��,尤其是丟失或失密的貿易信息�,將是不可恢復性的。
2.3商務安全
商務安全是指商務交易中的安全問題���,商務安全的不同方面需要通過不同的網絡安全技術和安全交易標準來確保實現(xiàn)���。確保電子商務安全的技術主要有安全電子交易SET協(xié)議、在線支付協(xié)議�、文件加密技術、數字簽名技術等����。
2.4系統(tǒng)安全
系統(tǒng)安全主要是指主機的操作系統(tǒng)和數據庫系統(tǒng)的安全情況���。對系統(tǒng)安全的防范和保護,要通過安全技術升級���,加強安全保護設施的投資建設�,提高系統(tǒng)的安全防護能力����。
3目前我國電子商務存在的問題
就我國電子商務而言,我國的科學技術水平目前還處于較低層次�����,技術含量不高��,資金投入又不足��,在安全保密方面存在較大的隱患����,網絡安全性較低,主要表現(xiàn)在我國的網絡信息易擾�����、欺騙等,再加上我國人民對于網絡安全這方面的安全意識不高����,網絡安全處于十分薄弱的環(huán)境中。
3.1電子商務安全存在的隱患
(1)網絡協(xié)議方面的安全問題����。在電子商務中,交易雙方在交易中是通過傳送數據包的形式來交換數據�,傳送過程中,不法惡意攻擊者會攔截數據包�����,甚至在一定程度上破壞��,這使得接收方接收的信息是不正確的���。
(2)用戶信息的安全問題。用戶和商家是在B/S結構的電子商務網站使用瀏覽器登錄進行交易���,在登陸瀏覽器時勢必會使用電腦����,有的用戶在使用電腦時,如果計算機中存在木馬����,那么登陸者的信息存在泄露的危險,有的用戶在不方便使用自己電腦的情況下使用公共計算機�����,有些不法分子會通過電腦技術竊取交易信息�。
(3)商家商務網的安全問題。有些企業(yè)在制作自己的商務網站時由于技術不過硬���,本身的商務網站就存在隱患��,服務器安全性低�����,不法分子利用電腦技術攻擊商務網站�����,竊取用戶信息和交易信息�����。
3.2電子商務安全問題的具體表現(xiàn)
(1)交易信息被竊取����、毀壞。電子商務交易在數據包的傳送過程中��,可能會被一些不法分子運用電腦技術非法篡改交易信息���,使得交易信息失去真實性和可靠性�。無論是在網絡硬件還是軟件方面�,都存在導致傳送過程中信息的誤傳的可能性。
(2)假冒身份問題�。電子商務交易是通過瀏覽器登錄進行交易,交易雙方沒有機會面對面洽談����,這就給了第三人一個假冒交易某一方破壞交易��、騙取交易成果��,甚至敗壞交易某一方的聲譽等的機會�����。
(3)交易抵賴問題。例如���,在電子商務交易中��,買家收到貨之后�����,不確認收貨�。
(4)計算機病毒感染問題�����。電子商務交易勢必會使用計算機��,交易者在使用計算機時��,存在選中有病毒的計算機的可能性�,這樣給商務交易帶來了問題。另外��,我國網上的蠕蟲病毒等在網絡流域的傳播極易發(fā)生�����,傳播過程中會產生巨大的攻擊流量,會導致訪問速度滯停的問題�����。
4電子商務安全防范技術
為確保電子商務貿易的有效進行�����,一方面要保證電子商務平臺的運行可靠穩(wěn)定����,能夠全天候持續(xù)不斷地提供網絡服務;另一方面��,電子商務系統(tǒng)還必須不斷更新和采用最新安全技術來保證電子商務的整個交易過程的安全����,防止交易抵賴行為。在現(xiàn)實生活中�����,電子商務安全防范技術主要有以下幾種:
4.1數據加密技術
數據加密技術分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類����。在交易雙方可以保證密鑰在交換階段未曾發(fā)生丟失或泄露的情況下,通常采用常規(guī)密鑰密碼技術為機密信息加密����。在公開密鑰密碼體系中,加密密鑰是公開的信息�����,加密算法和解密算法也是公開的信息���,而解密密鑰是機密的�����。重要的公開密鑰密碼體系有:基于NP完全理論的Merkel-Hellman背包體系���、基于數論中大數分解的RSA體系、基于編碼理論的McEliece體系����。以上兩種加密體系各有優(yōu)缺點:常規(guī)密鑰密碼體系的優(yōu)點是加密速度快、效率高�,主要用于大量數據的加密�����,但是常規(guī)密鑰密碼體系中密鑰在傳遞過程中容易被竊取�����,對于大量密鑰的管理存在缺陷��;公開密鑰體系在大范圍密鑰的安全方面很好的解決了常規(guī)密鑰密碼體系存在的問題�����,保密性能比常規(guī)密鑰密碼體系高�,但是公開密鑰密碼體系項目復雜����,加密速度較慢。實踐中通常將常規(guī)密鑰密碼體系和公開密鑰密碼體系結合起來使用�����。
4.2防火墻技術
防火墻技術分為兩類:服務技術和數據包過濾技術��。其中,數據包過濾技術較為簡單���,也最常用,它通過檢查接收到的每個數據包的頭�,來分析該數據包是否已經發(fā)送到目的地。防火墻技術通過對數據進行分析并有選擇的過濾��,從而有效地避免外來因素對數據包進行的破壞���,保證網絡的安全�����。實踐中���,也常常將數據包過濾防火墻與服務器結合使用,可以更加有效地保護網絡安全��。
4.3虛擬專網技術VPN
VPN具有適應性強����、投資小、易管理等優(yōu)點��,通過使用信息加密技術、安全隧道技術����、用戶認證技術、訪問控制技術等實現(xiàn)對網絡信息的保護����。VPN可以使商業(yè)伙伴、公司���、供應商����、遠程用戶的內部網之間建立可靠穩(wěn)定的安全連接��,確保貿易信息的安全傳輸�,從而保證在公共的Internet或企業(yè)局域網之間安全進行電子交易。
4.4安全認證技術
安全認證技術包括以下幾種:
(1)數字簽名技術�。數字簽名技術可以確保原始報文的不可否認性以及鑒別,并且可以防止虛假簽名�����。
(2)數字摘要技術�。數字摘要技術通過驗證網絡傳輸的明文����,鑒別其是否經過篡改���,進而確保數據的有效性和完整性���。
(3)數字憑證技術�����。數字憑證技術通過運用電子手段來鑒別用戶身份以及管理用戶對網絡資源訪問的權限���。
(4)認證中心���。認證中心專門負責審核網絡用戶的真實身份并提供相應的證明,且只管理每個用戶的一個公開密鑰�,在一定程度上大大降低了密鑰管理的復雜性。
(5)智能卡技術���。智能卡具有存儲數據和讀寫數據的能力���,可以對數據進行簡單地處理����,能夠對數據進行加密和解密�,其特點是存儲器部分具有外部不可讀性,可以使用戶身份鑒別更加安全����。
5電子商務中的信息安全對策
5.1不斷完善網絡安全管理體系
我國應在現(xiàn)有網絡安全管理部門之外建立一個具有權威的信息安全領導機構。該部門應宏觀地����、有效統(tǒng)一地協(xié)調各部門的職能,對市場網絡信息安全現(xiàn)狀進行及時的分析����,制定科學的政策。對于使用計算機網絡的單位及個人�,必須嚴格遵守《中華人民共和國計算機信息系統(tǒng)安全保護條例》和《計算機信息網絡安全保護管理辦法》,建立完善的責任問責制度��。
5.2大力培養(yǎng)網絡安全專業(yè)人才
面對現(xiàn)代網絡應用高速普及的情況��,網絡安全專業(yè)人才顯得捉襟見肘�����,我國需要大量的網絡安全人才維護網絡的安全。我國應加大對培養(yǎng)網絡安全人才的科研教育機構的投入力度���,同時積極組織人才及組織與國外的相關部門進行技術經驗交流�����,不斷引進國外先進網絡安全保護技術��,并及時對我國專業(yè)人員進行技術培訓���。
5.3建立網絡風險防范機制
篇2
一�、引言近年來,電子商務的發(fā)展十分迅速���,然而盡管其發(fā)展勢頭很強�����,但其貿易額所占整個貿易額的比例仍然很低�。影響其發(fā)展的首要因素是安全問題����,網上的交易是一種非面對面交易��,因此“交易安全“在電子商務的發(fā)展中十分重要��?��?梢哉f,沒有安全就沒有電子商務�。電子商務的安全從整體上可分為兩大部分,計算機網絡安全和商務交易安全��。計算機網絡安全的特征是針對計算機網絡本身可能存在的安全問題���,實施網絡安全增強方案�����,以保證計算機網絡自身的安全性為目標�。商務交易安全則緊緊圍繞傳統(tǒng)商務在Internet上應用時產生的各種安全問題���,在計算機網絡安全的基礎上�����,如何保障電子商務過程的順利進行���。
篇3
序言:近年來,隨著因特網的普及日漸迅速,電子交易開始融入人們的日常生活中,網上訂貨�����、網上繳費等眾多電子交易方式為人們創(chuàng)造了便利高效的生活方式,越來越多的人開始使用電子商務網站來傳遞各種信息,并進行各種交易��。電子商務網站傳遞各種商務信息依靠的是互聯(lián)網,而互聯(lián)網是一個完全開放的網絡,任何一臺計算機��、任何一個網絡都可以與之相連�。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,網上的安全風險就構成了對電子商務的安全威脅�。
一、電子商務信息的安全要素
1.機密性
傳統(tǒng)的貿易大多是通過書信或者可靠的通信渠道來發(fā)送商業(yè)文檔,雖然速度和效率都不高,但卻能達到保密的目的,而電子商務是在開放的網絡環(huán)境下進行的,因此要預防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務信息的機密性就變得非常重要�����。
2.完整性
電子商務極大地簡化了傳統(tǒng)貿易過程,減少了認為的干預,同時也伴隨著貿易各方商業(yè)信息的完整��、同一問題�����。由于數據錄入時合法或非法的行為,可能導致貿易數據的差異�����。信息在傳輸的過程中也有可能造成信息的丟失�、重復或次序的差異。因此要預防對信息的各種非法操作,保證數據在傳送的過程中完整性����。
3.認證性
網絡環(huán)境是一個虛擬的環(huán)境,而電子商務就是在這個虛擬平臺上進行的,貿易雙方一般都不見面,需要一些技術和策略來進行身份確認。當個人或實體聲稱身份時,電子商務服務需要提供一種方式來進行身份認證����。
4.有效性
在交易的過程中貿易雙方需要確定很多信息,電子商務以電子形式取代了紙張來確認這此信息,保證謝謝信息的有效性是開展電子商務的前提。因此要對網絡故障����、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻和地點是有效的�。
二、電子商務網絡的安全隱患
1.竊取信息
(1)交易雙方進行交易的內容被第三方竊取���。(2)交易一方提供給另一方使用的文件被第三方非法使用�����。
2.篡改信息
電子的交易信息在網絡傳輸的過程中,可能被他人非法的修改����、刪除這樣就使信息失去了真實性和完整性。
3.假冒
第三方可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等�。
4.惡意破壞
由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,破壞網絡的硬件或軟件而導致交易信息傳遞丟失與謬誤。計算機網絡本身容易遭到一些惡意程序的破壞,而使電子商務信息遭到破壞���。
三�����、電子商務安全中的幾種技術手段
1.防火墻(FireWall)技術
防火墻是一種隔離控制技術���,在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障,阻止對信息資源的非法訪問��,也可以使用防火墻阻止專利信息從企業(yè)的網絡上被非法輸出���。
2.加密技術
數據加密技術是電子商務中采取的主要安全措施�,貿易方可根據需要在信息交換的階段使用���。在網絡應用中一般采取兩種加密形式:對稱加密和非對稱加密,采用何種加密算法則要結合具體應用環(huán)境和系統(tǒng)���,而不能簡單地根據其加密強度來做出判斷�。
(1)對稱加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰�����。也就是說�����,一把鑰匙開一把鎖����。這種加密算法可簡化加密處理過程,貿易雙方都不必彼此研究和交換專用的加密算法�����,如果進行通信的貿易方能夠確保私有密鑰在交換階段未曾泄露��,那么機密性和報文完整性就可以得到保證�。不過,對稱加密技術也存在一些不足�,如果某一貿易方有n個貿易關系,那么他就要維護n個私有密鑰���。對稱加密方式存在的另一個問題是無法鑒別貿易發(fā)起方或貿易最終方�。因為貿易雙方共享一把私有密鑰。目前廣泛采用的對稱加密方式是數據加密標準(DES)�,它主要應用于銀行業(yè)中的電子資金轉賬(EFT)領域。DES對64位二進制數據加密��,產生64位密文數據����。使用的密鑰為64位,實際密鑰長度為56位(8位用于奇偶校驗)��。解密時的過程和加密時相似�����,但密鑰的順序正好相反�����。
(2)非對稱加密/公開密鑰加密
在Internet中使用更多的是公鑰系統(tǒng)�����,即公開密鑰加密�����。在該體系中�,密鑰被分解為一對:公開密鑰PK和私有密鑰SK。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開���,而另一把則作為私有密鑰(解密密鑰)加以保存����。公開密鑰用于加密����,私有密鑰用于解密,私有密鑰只能由生成密鑰對的貿易方掌握�,公開密鑰可廣泛,但它只對應于生成該密鑰的貿易方��。在公開密鑰體系中����,加密算法E和解密算法D也都是公開的。雖然SK與PK成對出現(xiàn)���,但卻不能根據PK計算出SK��。
常用的公鑰加密算法是RSA算法�����,加密強度很高����。具體做法是將數字簽名和數據加密結合起來。發(fā)送方在發(fā)送數據時必須加上數字簽名��,做法是用自己的私鑰加密一段與發(fā)送數據相關的數據作為數字簽名����,然后與發(fā)送數據一起用接收方密鑰加密。這些密文被接收方收到后�,接收方用自己的私鑰將密文解密得到發(fā)送的數據和發(fā)送方的數字簽名,然后用方公布的公鑰對數字簽名進行解密�����,如果成功���,則確定是由發(fā)送方發(fā)出的�����。由于加密強度高�����,而且不要求通信雙方事先建立某種信任關系或共享某種秘密���,因此十分適合Internet網上使用。
3.數字簽名
數字簽名技術是實現(xiàn)交易安全核心技術之一����,它實現(xiàn)的基礎就是加密技術。以往的書信或文件是根據親筆簽名或印章來證明其真實性的����。但在計算機網絡中傳送的報文又如何蓋章呢?這就是數字簽名所要解決的問題��。數字簽名必須保證以下幾點:接收者能夠核實發(fā)送者對報文的簽名��;送者事后不能抵賴對報文的簽名�����;接收者不能偽造對報文的簽名?���,F(xiàn)在己有多種實現(xiàn)數字簽名的方法�,采用較多的就是公開密鑰算法���。
4.數字證書
(1)認證中心
在電子交易中���,數字證書的發(fā)放不是靠交易雙方來完成的,而是由具有權威性和公正性的第三方來完成的����。認證中心就是承擔網上安全電子交易認證服務、簽發(fā)數字證書并確認用戶身份的服務機構����。
(2)數字證書
數字證書是用電子手段來證實一個用戶的身份及他對網絡資源的訪問權限。在網上的電子交易中���,如雙方出示了各自的數字證書����,并用它來進行交易操作����,那么交易雙方都可不必為對方身份的真?zhèn)螕摹?/p>
5.消息摘要(MessageDigest)
消息摘要方法也稱為Hash編碼法或MDS編碼法�����。它是由RonRivest所發(fā)明的����。消息摘要是一個惟一對應一個消息的值�����。它由單向Hash加密算法對所需加密的明文直接作用�,生成一串128bit的密文��,這一串密文又被稱為“數字指紋”(FingerPrint)����。所謂單向是指不能被解密,不同的明文摘要成密文�,其結果是絕不會相同的,而同樣的明文其摘要必定是一致的�,因此,這串摘要成為了驗證明文是否是“真身”的數字“指紋”了��。
結語:本文分析了目前電子商務的安全需求��,使用的安全技術及仍存在的問題,并指出了與電子商務安全有關的協(xié)議技術使用范圍及其優(yōu)缺點�����,但必須強調說明的是����,電子商務的安全運行,僅從技術角度防范是遠遠不夠的����,還必須完善電子商務立法,以規(guī)范飛速發(fā)展的電子商務現(xiàn)實中存在的各類問題�����,從而引導和促進我國電子商務快速健康發(fā)展�����。
參考文獻:
[1]吳洋.電子商務安全方法研究[D].天津大學,2006.
[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005,(06)
[3]成衛(wèi)青,龔儉.網絡安全評估[J].計算機工程,2003,(02).
[4]大衛(wèi)·范胡斯.電子商務經濟學[M].北京:機械工業(yè)出版社,2003.
[5]楊善林.電子商務概論[M].北京:機械工業(yè)出版社,2003.
篇4
中圖分類號:TP393
1引言
Internet給整個社會帶來了巨大的變革����,成為驅動所有產業(yè)發(fā)展的動力。電子商務是在Internet開放環(huán)境下的一種新型的商業(yè)運營模式,是網絡技術應用的全新發(fā)展方向��。在此首先對電子商務中存在的問題及其安全性技術加以分析����,然后對中國電子商務未來的發(fā)展提出了一些建議,以使更多的人士關注電子商務技術����,盡快解決現(xiàn)存的問題,推動電子商務的發(fā)展��。
2電子商務及其存在的問題
電子商務是指利用簡單快捷低成本的電子通訊方式��,使買賣雙方進行各種商貿活動的新型貿易形式�����。它改變了傳統(tǒng)貿易形式���,不僅改變了企業(yè)本身的生產、經營�、管理活動,而且將導致人類經濟�����、社會和文化的一次新的革命。但目前電子商務的發(fā)展中還存在許多問題:
1)安全協(xié)議問題:對安全協(xié)議還沒有全球性的標準和規(guī)范���,相對制約了國際性的商務活動�����。
2)安全管理問題:在安全管理方面還存在很大隱患�����,普遍難以抵御黑客的攻擊�����。
3)電子商務沒有真正深入商務領域而僅僅局限于信息領域���。
4)技術人才短缺問題:電子商務是在近幾年才得到了迅猛發(fā)展,許多地方都缺乏足夠的技術人才來處理所遇到的各種問題�。不少電子商務的開發(fā)商對網絡技術很熟悉,但是對安全技術了解得偏少���,因而難以開發(fā)出真正實用的��、安全性的產品����。
5)法律問題:電子交易衍生了一系列法律問題,例如網絡交易糾紛的仲裁����、網絡交易契約等問題,急需為電子商務提供法律保障����。
6)稅收問題:電子商務的發(fā)展在促進貿易增加稅收的同時又對稅收制度及其管理手段提出了新要求。
3電子商務中的安全性技術
安全性技術是保證電子商務健康有序發(fā)展的關鍵因素�,也是目前大家十分關注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性�����,但現(xiàn)在幾乎網絡的各個層次都制訂了安全協(xié)議和具備了相應的安全技術�,以保證電子商務的安全性���。
3.1安全的網絡平臺
安全可靠的網絡是實現(xiàn)電子商務的基礎�,常用的方法是在網絡中采用防火墻技術�����,虛擬專用網(VPN)技術,防病毒保護等�。防火墻技術是通過IP過濾和服務器軟件方法保護企業(yè)內部網(Intranet)中數據,只有授權用戶才能獲準進入企業(yè)內部網的系統(tǒng)�。虛擬專用網(VPN)技術通過IP隧道等方法來保證企業(yè)協(xié)作網(Extranet)中企業(yè)間數據和企業(yè)內部網的遠程分支機構和外出職工對中央系統(tǒng)的遠程訪問數據的安全傳遞。單純依靠這些方法保護網絡的安全性是不夠的�,還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務基石,例如現(xiàn)在的加密技術�����、數字簽名技術�、電子認證技術等。
3.2在線支付的安全技術
電子商務的另一個關鍵問題是要保證在線支付的安全�,它是網上購物的重要保證。目前采用的在線支付協(xié)議有兩種:安全套接層SSL(SecureSocketsLayer)協(xié)議和安全電子交易SET(SecureElectronicTransaction)協(xié)議��。
3.2.1SSL協(xié)議
SSL協(xié)議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術���。SSL通過數字簽名和數字證書來實行身份驗證�,數字證書是從認證機構(CertificateAuthority�����,CA)獲得的,通常包含有唯一標識證書所有者的名稱�、唯一標識證書者的名稱、證書所有者的公開密鑰�����、證書者的數字簽名�、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后���,雙方就可以用保密密鑰進行安全的會話了����。
篇5
1引言
Internet給整個社會帶來了巨大的變革�����,成為驅動所有產業(yè)發(fā)展的動力�����。電子商務是在Internet開放環(huán)境下的一種新型的商業(yè)運營模式���,是網絡技術應用的全新發(fā)展方向���。在此首先對電子商務中存在的問題及其安全性技術加以分析,然后對中國電子商務未來的發(fā)展提出了一些建議�,以使更多的人士關注電子商務技術,盡快解決現(xiàn)存的問題�����,推動電子商務的發(fā)展�����。
2電子商務及其存在的問題
電子商務是指利用簡單快捷低成本的電子通訊方式���,使買賣雙方進行各種商貿活動的新型貿易形式�。它改變了傳統(tǒng)貿易形式���,不僅改變了企業(yè)本身的生產���、經營、管理活動�,而且將導致人類經濟、社會和文化的一次新的革命��。但目前電子商務的發(fā)展中還存在許多問題:
1)安全協(xié)議問題:對安全協(xié)議還沒有全球性的標準和規(guī)范,相對制約了國際性的商務活動�����。
2)安全管理問題:在安全管理方面還存在很大隱患����,普遍難以抵御黑客的攻擊。
3)電子商務沒有真正深入商務領域而僅僅局限于信息領域�。
4)技術人才短缺問題:電子商務是在近幾年才得到了迅猛發(fā)展,許多地方都缺乏足夠的技術人才來處理所遇到的各種問題��。不少電子商務的開發(fā)商對網絡技術很熟悉����,但是對安全技術了解得偏少,因而難以開發(fā)出真正實用的����、安全性的產品。
5)法律問題:電子交易衍生了一系列法律問題�,例如網絡交易糾紛的仲裁、網絡交易契約等問題���,急需為電子商務提供法律保障��。
6)稅收問題:電子商務的發(fā)展在促進貿易增加稅收的同時又對稅收制度及其管理手段提出了新要求��。
3電子商務中的安全性技術
安全性技術是保證電子商務健康有序發(fā)展的關鍵因素�����,也是目前大家十分關注的問題����。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性�����,但現(xiàn)在幾乎網絡的各個層次都制訂了安全協(xié)議和具備了相應的安全技術����,以保證電子商務的安全性。
3.1安全的網絡平臺
安全可靠的網絡是實現(xiàn)電子商務的基礎����,常用的方法是在網絡中采用防火墻技術,虛擬專用網(VPN)技術�����,防病毒保護等。防火墻技術是通過IP過濾和服務器軟件方法保護企業(yè)內部網(Intranet)中數據����,只有授權用戶才能獲準進入企業(yè)內部網的系統(tǒng)。虛擬專用網(VPN)技術通過IP隧道等方法來保證企業(yè)協(xié)作網(Extranet)中企業(yè)間數據和企業(yè)內部網的遠程分支機構和外出職工對中央系統(tǒng)的遠程訪問數據的安全傳遞�����。單純依靠這些方法保護網絡的安全性是不夠的����,還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務基石,例如現(xiàn)在的加密技術�、數字簽名技術、電子認證技術等�����。
3.2在線支付的安全技術
電子商務的另一個關鍵問題是要保證在線支付的安全��,它是網上購物的重要保證���。目前采用的在線支付協(xié)議有兩種:安全套接層SSL(SecureSocketsLayer)協(xié)議和安全電子交易SET(SecureElectronicTransaction)協(xié)議����。
3.2.1SSL協(xié)議
SSL協(xié)議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。SSL通過數字簽名和數字證書來實行身份驗證����,數字證書是從認證機構(CertificateAuthority�����,CA)獲得的���,通常包含有唯一標識證書所有者的名稱���、唯一標識證書者的名稱、證書所有者的公開密鑰�、證書者的數字簽名、證書的有效期及證書的序列號等����。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了��。
SSL協(xié)議在應用層收發(fā)數據前�,協(xié)商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道���;在該通道上可透明加載任何高層應用協(xié)議(如
[2]古月.走近電子商務.計算機與生活,1999,11:8~14
[3]龔炳錚等.從信息增值到電子商務.計算機世界����,2000,11,20(D45期)
Electroniccommerceanditssecurity
篇6
連續(xù)多年�����,我國投資增長速度高于消費和國內生產總值的增長速度����,使得投資率不斷上升,增大了調整投資與消費的比例關系的難度��?��!笆晃濉币?guī)劃要求��,“要進一步擴大國內需求�,調整投資和消費的關系���,合理控制投資規(guī)模���,增強消費對經濟增長的拉動作用�����?!钡衲晟习肽晖顿Y的增長速度明顯高于消費��,不僅使得經濟增長過多依賴于投資�����,而且目前投資還有進一步加快的趨勢���。如果這種投資波動的態(tài)勢演變成長期趨勢,將不利于“十一五”規(guī)劃關于調整投資與消費比例關系任務的完成����。
篇7
由于電子商務是以信息技術和計算機網絡為基礎的,與傳統(tǒng)商務比較���,它不可避免的面臨著一系列的安全問題�。
1.信息泄漏
在電子商務中表現(xiàn)為商業(yè)機密的泄漏�,主要包括兩個方面:交易雙方進行交易的內容被第三方竊?��。唤灰滓环教峁┙o另一方使用的文件被第三方非法使用�����。攻擊者主要通過截獲和竊取的方式造成信息泄漏���。
2.篡改
在電子商務中表現(xiàn)為商業(yè)信息的真實性和完整性的問題��。當攻擊者掌握了信息的格式和規(guī)律后��,通過各種技術手段和方法�����,將網絡上傳輸的信息數據在中途篡改�����,然后再發(fā)向目的地��,破壞數據的真實性和完整性�。
3.偽造
由于掌握了數據的格式���,并可以篡改通過的信息��,如果不進行身份識別���,攻擊者就有可能假冒交易一方的身份�����,以破壞交易�、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等��。
4.信用威脅
交易者否認參加過交易��,如買方提交訂單后不付款�,或者輸入虛假銀行資料使賣方不能提款�����;用戶付款后����,賣方沒有把商品發(fā)送到客戶手中,使客戶蒙受損失�。
5.電腦病毒
電腦病毒問世十幾年來����,各種新型病毒及其變種迅速增加��,互聯(lián)網的出現(xiàn)又為病毒的傳播提供了最好的媒介���。不少新病毒直接利用網絡作為自己的傳播途徑���,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失�����。
二��、電子商務安全要素
安全問題是企業(yè)應用電子商務最擔心的問題��,而如何保障電子商務活動的安全�����,將一直是電子商務的核心研究領域�。作為一個安全的電子商務系統(tǒng),首先必須具有一個安全����、可靠的通信網絡�����,以保證交易信息安全��、迅速地傳遞���;其次必須保證數據庫服務器絕對安全,防止黑客闖入網絡盜取信息�����。下面介紹電子商務涉及的安全要素.
1.有效性
電子商務作為貿易的一種形式����,其信息的有效性將直接關系到個人�、企業(yè)或國家的經濟利益和聲譽。因此�����,要對網絡故障�、操作錯誤�����、應用程序錯誤�、硬件故障���、系統(tǒng)軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防��,以保證貿易數據在確定的時刻���、確定的地點是有效的。
2.機密性
電子商務作為貿易的一種手段��,其信息直接代表著個人��、企業(yè)或國家的商業(yè)機密�����。電子商務是建立在一個較為開放的網絡環(huán)境上的��,維護商業(yè)機密是電子商務全面推廣應用的重要保障��。
3.完整性
電子商務簡化了貿易過程,減少了人為的干預����,同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題�����。貿易各方信息的完整性將影響到貿易各方的交易和經營策略����,保持貿易各方信息的完整性是電子商務應用的基礎。
4.可靠性
電子商務直接關系到貿易雙方的商業(yè)交易�,如何確定要進行交易的貿易方是保證電子商務順利進行的關鍵。要在交易信息的傳輸過程中為參與交易的個人�����、企業(yè)或國家提供可靠的標識�����。
5.即需性
即需性是防止延遲或拒絕服務�,即需安全威脅的目的就在于破壞正常的計算機處理或完全拒絕服務。在電子商務中��,延遲一個消息或消除它會帶來災難性的后果�。
6.身份認證
指交易雙方可以相互確認彼此的真實身份,確認對方就是本次交易中所稱的真正交易方�����。這一過程為授權和審計所必需����,也是實現(xiàn)授權、審計的訪問控制過程運行的前提�����,是計算機網絡安全系統(tǒng)不可缺少的組成部分��。
7.審查能力
根據機密性和完整性的要求�����,應對數據審查的結果進行記錄����。審查能力是指每個經授權的用戶的活動的唯一標識和監(jiān)控,以便對其所使用的操作內容進行審計和跟蹤��。
三、電子商務交易安全技術
由于電子商務活動所涉及的大量機密信息都必須通過網絡傳播���,并且以電子數據的形式存儲����,要求有完善的安全技術來保證電子商務交易的安全����。目前,電子商務過程中主要采用的安全技術有加密技術�、認證技術和安全認證協(xié)議。
1.加密技術
加密技術是一種主動的信息安全防范措施�����,其原理是利用一定的加密算法����,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據�����,從而確保數據的保密性��。在加密和解密的過程中,由加密者和解密者使用的加解密可變參數叫做密鑰����。 目前����,獲得廣泛應用的兩種加密技術是對稱密鑰加密體制和非對稱密鑰加密體制。
2.認證技術
安全認證的主要作用是進行信息認證��。主要包括安全認證技術和安全認證機構兩個方面���。安全認證技術主要有數字摘要��、數字信封�、數字簽名�����、數字時間戳����、數字證書等; 電子商務認證中心就是承擔網上安全交易認證服務�����,能簽發(fā)數字證書,并能確認用戶身份的服務機構�����。
3.安全認證協(xié)議
篇8
由于電子商務是以信息技術和計算機網絡為基礎的���,與傳統(tǒng)商務比較�����,它不可避免的面臨著一系列的安全問題����。
1.信息泄漏
在電子商務中表現(xiàn)為商業(yè)機密的泄漏���,主要包括兩個方面:交易雙方進行交易的內容被第三方竊?��。唤灰滓环教峁┙o另一方使用的文件被第三方非法使用��。攻擊者主要通過截獲和竊取的方式造成信息泄漏�。
2.篡改
在電子商務中表現(xiàn)為商業(yè)信息的真實性和完整性的問題��。當攻擊者掌握了信息的格式和規(guī)律后���,通過各種技術手段和方法,將網絡上傳輸的信息數據在中途篡改�����,然后再發(fā)向目的地��,破壞數據的真實性和完整性�����。
3.偽造
由于掌握了數據的格式����,并可以篡改通過的信息���,如果不進行身份識別���,攻擊者就有可能假冒交易一方的身份,以破壞交易�����、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等。
4.信用威脅
交易者否認參加過交易�,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款��;用戶付款后�����,賣方沒有把商品發(fā)送到客戶手中��,使客戶蒙受損失�����。
5.電腦病毒
電腦病毒問世十幾年來����,各種新型病毒及其變種迅速增加,互聯(lián)網的出現(xiàn)又為病毒的傳播提供了最好的媒介��。不少新病毒直接利用網絡作為自己的傳播途徑��,還有眾多病毒借助于網絡傳播得更快�����,動輒造成數百億美元的經濟損失。
二��、電子商務安全要素
安全問題是企業(yè)應用電子商務最擔心的問題����,而如何保障電子商務活動的安全,將一直是電子商務的核心研究領域����。作為一個安全的電子商務系統(tǒng)���,首先必須具有一個安全��、可靠的通信網絡���,以保證交易信息安全、迅速地傳遞�;其次必須保證數據庫服務器絕對安全,防止黑客闖入網絡盜取信息�。下面介紹電子商務涉及的安全要素.
1.有效性
電子商務作為貿易的一種形式,其信息的有效性將直接關系到個人、企業(yè)或國家的經濟利益和聲譽���。因此,要對網絡故障���、操作錯誤��、應用程序錯誤����、硬件故障�、系統(tǒng)軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的���。
2.機密性
電子商務作為貿易的一種手段,其信息直接代表著個人���、企業(yè)或國家的商業(yè)機密。電子商務是建立在一個較為開放的網絡環(huán)境上的,維護商業(yè)機密是電子商務全面推廣應用的重要保障�。
3.完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題����。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是電子商務應用的基礎。
4.可靠性
電子商務直接關系到貿易雙方的商業(yè)交易,如何確定要進行交易的貿易方是保證電子商務順利進行的關鍵�。要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。
5.即需性
即需性是防止延遲或拒絕服務�����,即需安全威脅的目的就在于破壞正常的計算機處理或完全拒絕服務����。在電子商務中,延遲一個消息或消除它會帶來災難性的后果���。
6.身份認證
指交易雙方可以相互確認彼此的真實身份�����,確認對方就是本次交易中所稱的真正交易方�。這一過程為授權和審計所必需��,也是實現(xiàn)授權��、審計的訪問控制過程運行的前提�,是計算機網絡安全系統(tǒng)不可缺少的組成部分��。
7.審查能力
根據機密性和完整性的要求,應對數據審查的結果進行記錄��。審查能力是指每個經授權的用戶的活動的唯一標識和監(jiān)控,以便對其所使用的操作內容進行審計和跟蹤�����。
三�����、電子商務交易安全技術
由于電子商務活動所涉及的大量機密信息都必須通過網絡傳播����,并且以電子數據的形式存儲,要求有完善的安全技術來保證電子商務交易的安全���。目前����,電子商務過程中主要采用的安全技術有加密技術��、認證技術和安全認證協(xié)議����。
1.加密技術
加密技術是一種主動的信息安全防范措施,其原理是利用一定的加密算法�����,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據���,從而確保數據的保密性��。在加密和解密的過程中�,由加密者和解密者使用的加解密可變參數叫做密鑰���。目前����,獲得廣泛應用的兩種加密技術是對稱密鑰加密體制和非對稱密鑰加密體制��。
2.認證技術
安全認證的主要作用是進行信息認證����。主要包括安全認證技術和安全認證機構兩個方面。安全認證技術主要有數字摘要���、數字信封、數字簽名�����、數字時間戳、數字證書等���;電子商務認證中心就是承擔網上安全交易認證服務����,能簽發(fā)數字證書��,并能確認用戶身份的服務機構���。
3.安全認證協(xié)議
篇9
1 引言
電子商務是通過電子方式處理和傳遞數據�,它涉及許多方面的活動�,包括貨物電子貿易和服務、在線數據傳遞��、電子資金劃拔�����、電子證券交易���、商業(yè)拍賣����、合作設計和工程、在線資料����、公共產品獲得等內容。電子商務的發(fā)展勢頭非常驚人�����,但它的產值在全球生產總值中卻只占極小的份額����,其原因就在于電子商務的安全問題,根據美國一個調查機構對近30000名因特網用戶的調查顯示�����,由于擔心電子商務的安全性問題��,超過60%的網民不愿意進行網上交易���, 因此���,如何建立一個安全、便捷的電子商務應用環(huán)境���,對信息提供足夠的保護���,已經成為影響到電子商務健康發(fā)展的關鍵性課題。
2 電子商務對安全的要求
對電子商務活動安全性的需求以及可使用的網絡安全措施��,主要包含如下幾方面�����。
(1)如何確定通信中的貿易伙伴的真實性���?常用的處理技術是身份認證�,依賴某個可信賴的機構發(fā)放證書�����,雙方交換信息之前通過CA獲取對方的證書�,并以此識別對方。
(2)如何保證電子單證的秘密性���,防范電子單證的內容被第三方讀取?常用的處理技術是數據加密和解密���。
(3)如何保證被傳輸的業(yè)務單證不會丟失����,或者發(fā)送方可以察覺所發(fā)單證的丟失?對于固定且具有頻繁貿易往來的伙伴�,可以采用單證傳輸的序列性檢驗;也可采用雙方約定的方法(即在規(guī)定的時間內�,通過某種方式進行確認)。
(4)如何確定電子單證的內容未被篡改����;單證傳輸完整性主要采用散列技術來防止非法用戶對單證的篡改,通過散列算法對被傳輸的單證進行處理��,產生一個依賴于該單證的短小的散列值��,并將該散列值附接在單證之后傳輸給接收方��。以便接收方采用相同的散列算法對接收的單證進行檢驗�����。
(5)如何確定電子單證的真實性�����?鑒別單證真實性的主要手段是數字簽名技術,其基礎是數據加密中的公開密鑰加密技術��,實用中常結合單證完整性一起考慮����,利用發(fā)送方的密鑰對散列值進行加密�。
(6)如何解決或者仲裁收發(fā)雙方對交換的單證所產生的爭議,包括發(fā)方或收方可能的否認或抵賴?通常要求引入認證中心進行管理�,由CA發(fā)放密鑰,傳輸的單證及其簽名的備份發(fā)至CA保存�,作為可能爭議的仲裁依據。
(7)如何保證存儲信息的安全性?如何規(guī)范內部管理��?如何使用訪問控制權限和日志以及敏感信息加密存儲?當使用WWW服務器支持電子商務活動時����,應注意數據的備份和恢復,并采用防火墻技術來保護內部網絡的安全性�����。
3 電子商務采用的主要安全技術
為了確保電子商務在交易過程中信息有效��、真實��、可靠且保密,目前主要采用的安全技術有加密技術���、身份認證技術和交易的安全認證協(xié)議��。安全認證協(xié)議用來保證電子商務中交易的安全性�,如set��、ssl����、s/mime、s-http等�。下面我們主要來介紹這些技術。
3.1 加密技術
加密技術是電子商務系統(tǒng)所采取的最基本的安全措施�,加密的主要目的是防止信息的非授權泄漏。密碼算法是一些數學公式���、法則或程序��,算法中的可變參數是密鑰���。根據密碼算法所使用的加密密鑰和解密密鑰是否相同,能否由加密密鑰推導出解密密鑰,可以將密碼算法分為對稱密碼算法和非對稱密碼算法�����。一般來說�,在一個加密系統(tǒng)中,信息使用加密密鑰加密后���,接收方使用解密密鑰對密文解密得到原文。
3.1.1 對稱加密/對稱密鑰加密
在對稱加密方法中����,對信息的加密和解密都使用相同的密鑰,即一把鑰匙開一把鎖��。這樣可以簡化加密的處理��,每個交易方都不必彼此研究和交換專用的加密算法�。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄漏,那么機密性和報文完整性就可以得以保證���。這樣密鑰安全交換是關系到對稱加密有效的核心環(huán)節(jié)�。而對稱加密技術存在著在通信的交易各方之間確保密鑰安全交換的問題���。對稱加密方式存在的另一個問題是無法鑒別貿易發(fā)起方或貿易最終方�����。因為貿易雙方共享同一把專用密鑰�,貿易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。目前常用的對稱加密算法有DES�����、PCR��、IDEA等����。其中DES使用最普遍,被采用為數據加密的標準����。
3.1.2 非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把私有密鑰或解密密鑰)���。密鑰對生成后���,公開密鑰以非保密方式對外公開���,只對應于生成該密鑰的者;私有密鑰則保存在密鑰方手中���。任何得到公開密鑰的用戶都可使用該密鑰加密信息發(fā)送給該公開密鑰的者����,而者得到加密信息后��,使用與公開密鑰相應對的私有密鑰進行解密�����。由此可知���,公開密鑰用于對機密性的加密,私有密鑰則用于對加密信息的解密���。目前常用的非對稱加密算法是RSA算法����。它是非對稱加密領域內最為著名的算法����,但是它存在的主要問題是算法的運算速度較慢��,并且也難以做到一次一密���。因此,在實際的應用中通常不采用這一算法對信息量大的信息進行加密�����。對于加密量大的應用��,公開密鑰加密算法通常用于對稱加密方法密鑰的加密��。
3.2 身份認證技術
身份認證技術保證電子商務安全不可缺少的又一重要技術手段���。常見的安全認證技術有數字摘要�、數字信封�����、數字簽名�����、數字時間戳、數字證書等技術��。
3.2.1 數字摘要
數字摘要是一種防止數據被改動的方法�����,它采用單向HASH函數將需要加密的文件中若干重要元素進行某種變換運算得到固定長度的摘要碼���,并在傳輸信息時將之加入文件一同送給接收方��,接收方收到文件后���,用相同的方法進行變換運算,若得到的結果與發(fā)送來的摘要碼相同�����,則可斷定文件未被篡改��,反之亦然����。在數字摘要中HASH函數的輸入可以是任意大小的文件消息���,而輸出是一個固定長度的摘要��。且摘要有這樣一個性質��,如果改變了輸入消息中的任何東西����,甚至只有一位,輸出的摘要將會發(fā)生不可預測的改變�����,故而常用數字摘要來判定信息是否被篡改的一項重要技術��。
3.2.2 數字信封
在大批數據加密中所使用的對稱密碼是隨機產生的����,而接收方也需要此密碼才能對消息進行正確的解密。對稱密鑰的傳遞需要加密進行�����,即發(fā)送方用接收方的公鑰加密此對稱密鑰�����。這樣只有接收方用自己的私鑰才能正確地解密此對稱密鑰,從而正確地解密消息���。這種加密傳送密鑰的方法稱為數字信封�。數字信封技術可以保證接收方的唯一性��。即使信息在傳送途中被監(jiān)聽或截獲�,由干第三方并沒有接收方的密鑰,也不能對信息進行正確的解密�����。
3.2.3 數字簽名
數字簽名能夠實現(xiàn)對原始報文的鑒別與驗證����,保證報文的完整性、權威性和發(fā)送者對所發(fā)報文的不可抵賴性���。在實際生活中�����,簽名通常采用書面形式,由甲乙雙方完成���,在網絡環(huán)境下��,可以用電子簽名作為模擬��。
數字簽名是將數字摘要和公鑰算法兩種加密方法結合起來使用�����,其可以在提供數據完整性的同時保證數據的真實性����。完整性保證傳輸的數據未被篡改,真屬性則保證傳輸過來的數據是由合法者產生的�,而不是由其他人假冒。如假設用戶A要寄信給用戶B��,他們互相知道對方的公鑰���,A用自己的私鑰將簽名內容加密����,附加在郵件中���,再用B的公鑰將整個郵件加密(注意這里的次序�,如果先加密再簽名的話,別人可以將簽名去掉后簽上自己的簽名�����,從而篡改了簽名)�。這樣這份密文被B收到后,B用自己的私鑰將郵件解密�����,得到A的原文和數字簽名��,然后用A的公鑰解密簽名���,這樣一來就保兩方面的安全了���。
3.2.4 數字時間戳
在電子商務的交易文件中,時間是一條重要的信息���,文件的簽署日期和簽名一樣均是防止文件被偽造和篡改的關鍵性內容���。為了防止在電子交易中,文件簽署的時間信息被修改,數字時間戳提供了相應的安全保護���。數字時間戳服務(DTS)是由專門的機構提供的。數字時間戳是一個經加密處理后形成的憑證文檔��,它包括三個部分:需加時間戳的文件摘要�;DTS機構收到文件的日期和時間;DTS機構的數字簽名��。
3.2.5 數字證書
數字證書是由證書授權中心CA管理和發(fā)放的�����。CA是數字證書的最高管理機構�����,是安全電子交易的核心環(huán)節(jié)�。它作為電子商務交易中中立的、受信任的�、可仲裁的第三方,也是為了解決電子商務中����,交易雙方的信息和身份驗證問題,從根本上保障電子商務交易活動順利進行而設立的。在交易支付的過程中�,參與各方為了證實自己的身份,需到第三方即認證中心(CA)去認證��。數字證書就是認證中心為交易各方頒發(fā)的身份憑證�。它是一個經CA數字簽名的、包含證書申請者(公開密鑰擁有者)個人信息及其公開密鑰的文件�。任何交易雙方只有申請到相應的數字證書,才能參加安全電子商務的網上交易����。
3.3 安全認證協(xié)議
目前電子商務中有兩種安全認證協(xié)議被廣泛使用,即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議�����。
3.3.1 SSL協(xié)議
SSL安全協(xié)議的中文全稱是“加密套接字協(xié)議層”����,最初由Netscape公司推出的一種基于RSA和保密密鑰的安全通信協(xié)議�,是目前使用最廣泛的電子商務協(xié)議。該協(xié)議位于HTTP協(xié)議層和TCP協(xié)議層之間��,向基于TCP/IP的客戶/服務器應用程序����,提供了客戶端和服務器的鑒別����、數據完整性及信息機密性等安全措施�。該協(xié)議在應用程序進行數據交換前����,通過交換SSL初始握手信息來實現(xiàn)有關安全特性的審查。SSL協(xié)議可內置于用戶瀏覽器和商家的服務器中���,能方便而低開銷地進行信息加密�����,多用于WEB信用卡的傳送����。這樣利用它能夠對信用卡和個人信息提供較強的保護�����。
SSL協(xié)議運行的基點是商家對客戶信息保密的承諾��。客戶的信息往往首先傳到商家��,商家閱讀后再傳到銀行��;這樣�����,客戶資料的安全性便受到威脅����。另外,整個過程只有商家對客戶的認證�,缺少客戶對商家的認證,不能防止商家利用獲取的信用卡號進行欺詐����。隨著電子商務與廠商的迅速增加,對廠商的認證問題越來越突出�,SSL協(xié)議的缺點則越加明顯。SSL協(xié)議逐漸被新的SET協(xié)議所取代��。
3.3.2 SET 協(xié)議
SET協(xié)議的中文全稱“安全電子交易協(xié)議”���,它向基于信用卡進行電子化交易的應用提供了實現(xiàn)安全措施的規(guī)則��。它是由Vsia國際組織 和Mastercard組織聯(lián)合國際上多家科技機構�����,共同制定的應用于INTERNET上的以銀行卡為基礎進行在線交易的安全技術標準��。它采用公鑰密碼體制和X.509數字證書標準��,主要應用于保障網上購物信息的安全性����。SET主要由3個文件組成���,分別是SET業(yè)務描述�����、SET程序員指南和SET協(xié)議描述�����。SET協(xié)議在保留對客戶信用卡認證的前提下����,又增加了對商家身份的認證。它可以對交易各方進行認證��,可防止商家身份的欺詐���。為了進一步加強安全性�,使用兩組密鑰對分別用于加密和簽名�����,通過雙簽名機制將訂購信息同賬戶信息鏈在一起簽名�����。由于設計較為合理�,得到了諸如微軟公司、IBM公司���、Netscape公司等大公司的支持�����,已成為實際上工業(yè)技術標準��。
SET協(xié)議的不足之處在于協(xié)議復雜����,且只適用于用戶安裝了“電子錢包”的場合。根據統(tǒng)計��,在一個典型的SET交易過程中�,需驗證數字證書9次,驗證數字簽名6次�����;需傳送證書7次�,進行5次簽名、4次對稱加密和4次非對稱加密�����;整個交易過程可能會花費1.5~2分鐘�����。
4 電子商務安全需要進一步完善的配套措施
電子商務要真正成為一種主導的商務模式��,尤其對發(fā)展中的中國來說�����,發(fā)展電子商務�����,就必須從以下幾個方面來完善配套措施:
(1)突破關鍵技術受制于人的瓶頸����。當前不僅國內幾乎所有的主機、交換機��、路由器�、網絡操作系統(tǒng)都來自國外,而且美國對出口別國的產品實行密鑰信前控制和長密鑰限制�,因此我們必須依靠自身的力量研制自己的加密算法,以保證中國電子商務的正常發(fā)展�����。
(2)我國應盡快對電子商務的有關細則進行立法���。當前大多數人信息安全意識淡薄�,以銀行和金融界來看����,大家對安全方面的重視還不夠�����,由于有關電子商務的立法和管理剛剛開始����,有人開玩笑說“電子商務目前是個‘三無’行業(yè):無法可依����、無安全可言、無規(guī)可循”����,當然這種說法欠妥,但目前我國關于網絡安全的法律的確還有待完善����。
(3)大力開發(fā)大型商務網站��、發(fā)展與之相配套的物流公司���。目前我國的電子商務沒有真正深入商務領域而僅僅局限于信息領域�,這必將影響我國電子商務進一步的發(fā)展��。
參考文獻
[1]周明,黃元江��,李建設.株洲工學院學報[J].電子商務中的安全技術研究���,2005.1.
[2]張娟.甘肅科技縱橫[M].電子商務網絡安全技術探究���,2005.4.
篇10
一、引言
電子商務的發(fā)展前景十分誘人�,而其安全問題也變得越來越突出,如何建立一個安全�����、便捷的電子商務應用環(huán)境�,對信息提供足夠的保護,已經成為商家和用戶都十分關心的話題�。
二、電子商務存在的安全問題
1.計算機網絡安全
(1)潛在的安全隱患��。未進行操作系統(tǒng)相關安全配置��。不論采用什么操作系統(tǒng)��,在缺省安裝的條件下都會存在一些安全問題,只有專門針對操作系統(tǒng)安全性進行相關的和嚴格的安全配置���,才能達到一定的安全程度�。
(2)未進行CGI程序代碼審計����。網站或軟件供應商專門開發(fā)的一些CGI程序,很多存在嚴重的CGI問題���,對于電子商務站點來說��,會出現(xiàn)惡意攻擊者冒用他人賬號進行網上購物等嚴重后果��。
(3)安全產品使用不當����。由于一些網絡安全設備本身的問題或使用問題���,這些產品并沒有起到應有的作用�。很多廠商的產品對配置人員的技術背景要求很高�����,超出對普通網管人員的技術要求���,就算是廠家在最初給用戶做了正確的安裝�、配置�,但系統(tǒng)改動,在改動相關安全產品的設置時����,很容易產生許多安全問題。
(4)缺少嚴格的網絡安全管理制度
網絡安全最重要的還是要思想上高度重視���,網站或局域網內部的安全需要用完備的安全制度來保障���。建立和實施嚴密的計算機網絡安全制度與策略是真正實現(xiàn)網絡安全的基礎。
2.商務交易安全
(1)竊取信息�����。由于未采用加密措施��,信息在網絡上以明文形式傳送����,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息�。通過多次竊取和分析����,可以找到信息的規(guī)律和格式,進而得到傳輸信息的內容�,造成網上傳輸信息泄密。
(2)篡改信息�����。當入侵者掌握了信息的格式和規(guī)律后���,通過各種技術手段和方法���,將網絡上傳送的信息數據在中途修改,然后再發(fā)向目的地�����。
(3)假冒���。由于掌握了數據的格式����,并可以篡改通過的信息,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息����,而遠端用戶通常很難分辨����。
(4)惡意破壞。由于攻擊者可以接入網絡���,則可能對網絡中的信息進行修改�,掌握網上的機要信息���,甚至可以潛入網絡內部�����,其后果是非常嚴重的�����。
三�、電子商務安全技術
1.加密技術
(1)對稱加密/對稱密鑰加密/專用密鑰加密
該方法對信息的加密和解密都使用相同的密鑰�。使用對稱加密方法將簡化加密的處理�,每個貿易方都不必彼此研究和交換專用的加密算法而是采用相同的加密算法并只交換共享的專用密鑰����。如果進行通信的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)����。
(2)非對稱加密/公開密鑰加密
這種加密體系中,密鑰被分解為一對�����。這對密鑰中的任何一把都可作為公開密鑰通過非保密方式向他人公開����,而另一把則作為專用密鑰加以保存。公開密鑰用于對機密性的加密��,專用密鑰則用于對加密信息的解密��。專用密鑰只能由生成密鑰對的貿易方掌握����,公開密鑰可廣泛,但它只對應于生成該密鑰的貿易方��。
(3)數字摘要
該方法亦稱安全Hash編碼法或MD5。采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文����,即數字指紋,它有固定的長度����,且不同的明文摘要成密文����,其結果總是不同的,而同樣的明文其摘要必定一致��。這摘要便可成為驗證明文是否是“真身”的“指紋”了�。
(4)數字簽名
信息是由簽名者發(fā)送的;信息在傳輸過程中未曾作過任何修改。這樣數字簽名就可用來防止電子信息因易被修改而有人作偽����;或冒用別人名義發(fā)送信息;或發(fā)出(收到)信件后又加以否認等情況發(fā)生����。
(5)數字時間戳
它是一個經加密后形成的憑證文檔,包括三個部分:需加時間戳的文件的摘要;DTS收到文件的日期和時間;DTS的數字簽名���。
(6)數字憑證
數字憑證又稱為數字證書��,是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限��。在網上的電子交易中����,如雙方出示了各自的數字憑證,并用它來進行交易操作�����,那么雙方都可不必為對方身份的真?zhèn)螕?�。它包含:憑證擁有者的姓名; 憑證擁有者的公共密鑰;公共密鑰的有效期;頒發(fā)數字憑證的單位;數字憑證的序列號;頒發(fā)數字憑證單位的數字簽名����。
數字憑證有三種類型:個人憑證,企業(yè)(服務器)憑證����, 軟件(開發(fā)者)憑證。
2.Internet電子郵件的安全協(xié)議
(1)PEM:是增強Internet電子郵件隱秘性的標準草案�����,它在Internet電子郵件的標準格式上增加了加密、鑒別和密鑰管理的功能���,允許使用公開密鑰和專用密鑰的加密方式��,并能夠支持多種加密工具����。對于每個電子郵件報文可以在報文頭中規(guī)定特定的加密算法����、數字鑒別算法��、散列功能等安全措施��。
(2)S/MIME:是在RFC1521所描述的多功能Internet電子郵件擴充報文基礎上添加數字簽名和加密技術的一種協(xié)議��,目的是在MIME上定義安全服務措施的實施方式���。
(3)PEM-MIME:是將PEM和MIME兩者的特性進行了結合��。
3.Internet主要的安全協(xié)議
(1)SSL:是向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別���、數據完整性及信息機密性等安全措施����。該協(xié)議通過在應用程序進行數據交換前交換SSL初始握手信息來實現(xiàn)有關安全特性的審查�����。在SSL握手信息中采用了DES����、MD5等加密技術來實現(xiàn)機密性和數據完整性,并采用X.509的數字證書實現(xiàn)鑒別�����。
(2)S-HTTP:是對HTTP擴充安全特性�����、增加了報文的安全性��,它是基于SSL技術的�����。該協(xié)議向WWW的應用提供完整性、鑒別�、不可抵賴性及機密性等安全措施。
(3)STT: STT將認證和解密在瀏覽器中分離開���,用以提高安全控制能力�����。
(4)SET:主要文件是SET業(yè)務描述��、SET程序員指南和SET協(xié)議描述�。SET 1.0版己經公布并可應用于任何銀行支付服務�����。它涵蓋了信用卡在電子商務交易中的交易協(xié)定���、信息保密、資料完整及數據認證��、數據簽名等��。
SET規(guī)范明確的主要目標是保障付款安全�,確定應用之互通性,并使全球市場接受。
4.UN/EDIFACT的安全
UN/EDIFACT報文是唯一的國際通用的EDI標準���。利用Internet進行EDI己成為人們日益關注的領域��,保證EDI的安全成為主要解決的問題����。
5.虛擬專用網(VPN)
它可以在兩個系統(tǒng)之間建立安全的信道(或隧道)���,用于電子數據交換����。它與信用卡交易和客戶發(fā)送訂單交易不同����,因為在VPN中,雙方的數據通信量要大得多�����,而且通信的雙方彼此都很熟悉�。這意味著可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可����,沒有必要為所有的VPN進行統(tǒng)一的加密和認證��。
6.數字認證
用電子方式證明信息發(fā)送者和接收者的身份����、文件的完整性(如一張發(fā)票未被修改過)��,甚至數據媒體的有效性(如錄音��、照片等)����。目前,數字認證一般都通過單向Hash函數來實現(xiàn)���,它可以驗證交易雙方數據的完整性�����,
7.認證中心(CA)
CA的基本功能是:
生成和保管符合安全認證協(xié)議要求的公共和私有密鑰、數字證書及其數字簽名�。
對數字證書和數字簽名進行驗證。
對數字證書進行管理���,重點是證書的撤消管理��,同時追求實施自動管理�����。
建立應用接口����,特別是支付接口。CA是否具有支付接口是能否支持電子商務的關鍵�����。
8.防火墻技術
防火墻具有以下五大基本功能:(1)過濾進�����、出網絡的數據;(2)管理進����、出網絡的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內容和活動;(5)對網絡攻擊進行檢測和告警。
目前的防火墻主要有兩種類型���。其一是包過濾型防火墻�,其二是應用級防火墻。
9.入侵檢測
入侵檢測技術是防火墻技術的合理補充��,其主要內容有:入侵手段與技術�、分布式入侵檢測技術、智能入侵檢測技術以及集成安全防御方案等����。
四、電子商務網站安全體系與安全措施
一個全方位的計算機網絡安全體系結構包含網絡的物理安全���、訪問控制安全�����、系統(tǒng)安全��、用戶安全��、信息加密��、安全傳輸和管理安全等���。充分利用各種先進的主機安全技術、身份認證技術��、訪問控制技術����、密碼技術、防火墻技術���、安全審計技術�����、安全管理技術����、系統(tǒng)漏洞檢測技術����、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線�����,極大地增加了惡意攻擊的難度���,并增加了審核信息的數量�,利用這些審核信息可以跟蹤入侵者。
1.采取特殊措施以保證電子商務之可靠性����、可用性及安全性
使用容錯計算機系統(tǒng)或創(chuàng)造高可用性的計算機環(huán)境,以確保信息系統(tǒng)保持可用及不間斷動作����。災害復原計劃提供一套程序與設備來重建被中斷的計算與通信服務。當組織利用企業(yè)內部網或因特網時��,防火墻和入侵偵測系統(tǒng)協(xié)助防衛(wèi)專用網絡避免未授權者的存取��。加密是一種廣泛使用的技術來確保因特網上傳輸的安全�。數字證書可確認使用者的身份,提供了電子交易更進一步的保護���。
2.實施網絡安全防范措施
首先要加強主機本身的安全��,做好安全配置�,及時安裝安全補丁程序�,減少漏洞;
其次要用各種系統(tǒng)漏洞檢測軟件定期對網絡系統(tǒng)進行掃描分析���,找出可能存在的安全隱患���,并及時加以修補���;從路由器到用戶各級建立完善的訪問控制措施��,安裝防火墻��,加強授權管理和認證;利用RAID5等數據存儲技術加強數據備份和恢復措施�;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網絡上傳輸的敏感信息要進行強度的數據加密����;安裝防病毒軟件,加強內部網的整體防病毒措施�����;建立詳細的安全審計日志��,以便檢測并跟蹤入侵攻擊等�����。
3.電子商務交易中的安全措施
在早期的電子交易中,曾采用過安全措施有:部分告知�����;另行確認�����;在線服務等�����。這些方法均有一定的局限性���,且操作麻煩����,不能實現(xiàn)真正的安全可靠性�����。近年來�����,針對電子交易安全的要求,IT業(yè)界與金融行業(yè)一起����,推出不少有效的安全交易標準和技術,正如上述所列的九種技術���。
另外���,還可以選擇一些加密產品和系統(tǒng)�。如:PGP for Group Wise、File Lock Series�、Point`n Crypt World、PrivaSuite���、Crypt�����?�?梢詫崿F(xiàn)加密����、簽名和認證。訪問控制類產品��。如:SunScreen��、WebST安全平臺�����、HP Preaesidium 授權服務器���、NetKey網絡安全認證系統(tǒng)���、Cisco NetRanger等。這些產品的功能可以提供對口令字的管理和控制功能�����;防止入侵者對口令字的探測��;監(jiān)測用戶對某一分區(qū)或域的存?��?�;提供系統(tǒng)主體對客體訪問權限的控制�����。
篇11
一��、引言
電子商務的發(fā)展前景十分誘人��,而其安全問題也變得越來越突出����,如何建立一個安全、便捷的電子商務應用環(huán)境���,對信息提供足夠的保護,已經成為商家和用戶都十分關心的話題���。
二�、電子商務存在的安全問題
1.計算機網絡安全
(1)潛在的安全隱患�。未進行操作系統(tǒng)相關安全配置。不論采用什么操作系統(tǒng)�����,在缺省安裝的條件下都會存在一些安全問題����,只有專門針對操作系統(tǒng)安全性進行相關的和嚴格的安全配置���,才能達到一定的安全程度。
(2)未進行CGI程序代碼審計����。網站或軟件供應商專門開發(fā)的一些CGI程序,很多存在嚴重的CGI問題�����,對于電子商務站點來說����,會出現(xiàn)惡意攻擊者冒用他人賬號進行網上購物等嚴重后果。
(3)安全產品使用不當�����。由于一些網絡安全設備本身的問題或使用問題����,這些產品并沒有起到應有的作用。很多廠商的產品對配置人員的技術背景要求很高���,超出對普通網管人員的技術要求���,就算是廠家在最初給用戶做了正確的安裝�、配置�,但系統(tǒng)改動,在改動相關安全產品的設置時�,很容易產生許多安全問題。
(4)缺少嚴格的網絡安全管理制度
網絡安全最重要的還是要思想上高度重視�����,網站或局域網內部的安全需要用完備的安全制度來保障��。建立和實施嚴密的計算機網絡安全制度與策略是真正實現(xiàn)網絡安全的基礎�����。
2.商務交易安全
(1)竊取信息�。由于未采用加密措施����,信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息��。通過多次竊取和分析,可以找到信息的規(guī)律和格式�,進而得到傳輸信息的內容,造成網上傳輸信息泄密���。
(2)篡改信息��。當入侵者掌握了信息的格式和規(guī)律后��,通過各種技術手段和方法���,將網絡上傳送的信息數據在中途修改,然后再發(fā)向目的地��。
(3)假冒���。由于掌握了數據的格式����,并可以篡改通過的信息���,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息����,而遠端用戶通常很難分辨。
(4)惡意破壞��。由于攻擊者可以接入網絡��,則可能對網絡中的信息進行修改��,掌握網上的機要信息��,甚至可以潛入網絡內部�����,其后果是非常嚴重的���。
三���、電子商務安全技術
1.加密技術
(1)對稱加密/對稱密鑰加密/專用密鑰加密
該方法對信息的加密和解密都使用相同的密鑰。使用對稱加密方法將簡化加密的處理�,每個貿易方都不必彼此研究和交換專用的加密算法而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露����,那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)����。
(2)非對稱加密/公開密鑰加密
這種加密體系中����,密鑰被分解為一對����。這對密鑰中的任何一把都可作為公開密鑰通過非保密方式向他人公開,而另一把則作為專用密鑰加以保存���。公開密鑰用于對機密性的加密��,專用密鑰則用于對加密信息的解密�。專用密鑰只能由生成密鑰對的貿易方掌握�����,公開密鑰可廣泛��,但它只對應于生成該密鑰的貿易方�。
(3)數字摘要
該方法亦稱安全Hash編碼法或MD5。采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文��,即數字指紋,它有固定的長度��,且不同的明文摘要成密文���,其結果總是不同的�,而同樣的明文其摘要必定一致��。這摘要便可成為驗證明文是否是“真身”的“指紋”了�����。
(4)數字簽名
信息是由簽名者發(fā)送的;信息在傳輸過程中未曾作過任何修改���。這樣數字簽名就可用來防止電子信息因易被修改而有人作偽�����;或冒用別人名義發(fā)送信息����;或發(fā)出(收到)信件后又加以否認等情況發(fā)生����。
(5)數字時間戳
它是一個經加密后形成的憑證文檔�����,包括三個部分:需加時間戳的文件的摘要;DTS收到文件的日期和時間;DTS的數字簽名。
(6)數字憑證
數字憑證又稱為數字證書�,是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。在網上的電子交易中���,如雙方出示了各自的數字憑證���,并用它來進行交易操作,那么雙方都可不必為對方身份的真?zhèn)螕?��。它包含:憑證擁有者的姓名; 憑證擁有者的公共密鑰;公共密鑰的有效期;頒發(fā)數字憑證的單位;數字憑證的序列號;頒發(fā)數字憑證單位的數字簽名���。
數字憑證有三種類型:個人憑證,企業(yè)(服務器)憑證��, 軟件(開發(fā)者)憑證���。
2.Internet電子郵件的安全協(xié)議
(1)PEM:是增強Internet電子郵件隱秘性的標準草案���,它在Internet電子郵件的標準格式上增加了加密�、鑒別和密鑰管理的功能���,允許使用公開密鑰和專用密鑰的加密方式��,并能夠支持多種加密工具�。對于每個電子郵件報文可以在報文頭中規(guī)定特定的加密算法�、數字鑒別算法、散列功能等安全措施���。
(2)S/MIME:是在RFC1521所描述的多功能Internet電子郵件擴充報文基礎上添加數字簽名和加密技術的一種協(xié)議�,目的是在MIME上定義安全服務措施的實施方式�。
(3)PEM-MIME:是將PEM和MIME兩者的特性進行了結合。
3.Internet主要的安全協(xié)議
(1)SSL:是向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別�、數據完整性及信息機密性等安全措施。該協(xié)議通過在應用程序進行數據交換前交換SSL初始握手信息來實現(xiàn)有關安全特性的審查��。在SSL握手信息中采用了DES���、MD5等加密技術來實現(xiàn)機密性和數據完整性�����,并采用X.509的數字證書實現(xiàn)鑒別�����。
(2)S-HTTP:是對HTTP擴充安全特性�����、增加了報文的安全性�����,它是基于SSL技術的����。該協(xié)議向WWW的應用提供完整性�、鑒別、不可抵賴性及機密性等安全措施�。
(3)STT: STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力���。
(4)SET:主要文件是SET業(yè)務描述�、SET程序員指南和SET協(xié)議描述��。SET 1.0版己經公布并可應用于任何銀行支付服務�����。它涵蓋了信用卡在電子商務交易中的交易協(xié)定、信息保密����、資料完整及數據認證、數據簽名等����。
SET規(guī)范明確的主要目標是保障付款安全,確定應用之互通性�����,并使全球市場接受���。
4.UN/EDIFACT的安全
UN/EDIFACT報文是唯一的國際通用的EDI標準��。利用Internet進行EDI己成為人們日益關注的領域����,保證EDI的安全成為主要解決的問題����。
5.虛擬專用網(VPN)
它可以在兩個系統(tǒng)之間建立安全的信道(或隧道)�����,用于電子數據交換�。它與信用卡交易和客戶發(fā)送訂單交易不同���,因為在VPN中��,雙方的數據通信量要大得多,而且通信的雙方彼此都很熟悉�����。這意味著可以使用復雜的專用加密和認證技術���,只要通信的雙方默認即可�,沒有必要為所有的VPN進行統(tǒng)一的加密和認證���。
6.數字認證
用電子方式證明信息發(fā)送者和接收者的身份��、文件的完整性(如一張發(fā)票未被修改過)����,甚至數據媒體的有效性(如錄音、照片等)��。目前����,數字認證一般都通過單向Hash函數來實現(xiàn),它可以驗證交易雙方數據的完整性����,
7.認證中心(CA)
CA的基本功能是:
生成和保管符合安全認證協(xié)議要求的公共和私有密鑰、數字證書及其數字簽名�。
對數字證書和數字簽名進行驗證。
對數字證書進行管理��,重點是證書的撤消管理�����,同時追求實施自動管理����。
建立應用接口,特別是支付接口��。CA是否具有支付接口是能否支持電子商務的關鍵。
8.防火墻技術
防火墻具有以下五大基本功能:(1)過濾進��、出網絡的數據;(2)管理進����、出網絡的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內容和活動;(5)對網絡攻擊進行檢測和告警。
目前的防火墻主要有兩種類型����。其一是包過濾型防火墻,其二是應用級防火墻��。
9.入侵檢測
入侵檢測技術是防火墻技術的合理補充�,其主要內容有:入侵手段與技術、分布式入侵檢測技術�、智能入侵檢測技術以及集成安全防御方案等���。
四����、電子商務網站安全體系與安全措施
一個全方位的計算機網絡安全體系結構包含網絡的物理安全��、訪問控制安全����、系統(tǒng)安全���、用戶安全、信息加密����、安全傳輸和管理安全等。充分利用各種先進的主機安全技術���、身份認證技術����、訪問控制技術�����、密碼技術��、防火墻技術���、安全審計技術���、安全管理技術、系統(tǒng)漏洞檢測技術、黑客跟蹤技術����,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度����,并增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者����。
1.采取特殊措施以保證電子商務之可靠性、可用性及安全性
使用容錯計算機系統(tǒng)或創(chuàng)造高可用性的計算機環(huán)境�����,以確保信息系統(tǒng)保持可用及不間斷動作�����。災害復原計劃提供一套程序與設備來重建被中斷的計算與通信服務�����。當組織利用企業(yè)內部網或因特網時��,防火墻和入侵偵測系統(tǒng)協(xié)助防衛(wèi)專用網絡避免未授權者的存取�。加密是一種廣泛使用的技術來確保因特網上傳輸的安全。數字證書可確認使用者的身份�,提供了電子交易更進一步的保護。
2.實施網絡安全防范措施
首先要加強主機本身的安全�,做好安全配置,及時安裝安全補丁程序�,減少漏洞;
其次要用各種系統(tǒng)漏洞檢測軟件定期對網絡系統(tǒng)進行掃描分析���,找出可能存在的安全隱患��,并及時加以修補�����;從路由器到用戶各級建立完善的訪問控制措施�,安裝防火墻��,加強授權管理和認證;利用RAID5等數據存儲技術加強數據備份和恢復措施����;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網絡上傳輸的敏感信息要進行強度的數據加密�;安裝防病毒軟件���,加強內部網的整體防病毒措施;建立詳細的安全審計日志��,以便檢測并跟蹤入侵攻擊等��。
3.電子商務交易中的安全措施
在早期的電子交易中�,曾采用過安全措施有:部分告知;另行確認�;在線服務等。這些方法均有一定的局限性���,且操作麻煩��,不能實現(xiàn)真正的安全可靠性�����。近年來�,針對電子交易安全的要求�,IT業(yè)界與金融行業(yè)一起,推出不少有效的安全交易標準和技術�,正如上述所列的九種技術��。
