商務安全論文范文

時間:2023-04-02 00:45:29

導語:如何才能寫好一篇商務安全論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

商務安全論文

篇1

(一)數據的私有性和安全性

如果不采用特別的保護措施,包括電子郵件等在internet中開放傳輸的數據都可能被第三者監視和閱讀。考慮到巨大的傳輸量和難以計數的傳輸途徑,想任意竊聽一組數據傳輸是不可能,但是一些設置在web服務器的黑客程序卻可以查找和收集特定類型的數據,這些數據包括信用卡、存款的賬號和相應的口令。同時,因為internet的開放性設計,數據私有性和安全性還包括數據傳輸之外的問題,例如:連入internet的數據存儲網絡驅動器的安全性。所以,任何存儲在web服務器上的數據必須采取保護措施。

(二)數據的完整性

對完整性的安全威脅也叫主動搭線竊取。當未經授權方改變了信息流時就構成了對完整性的安全威脅。未保護的銀行交易很易受到對完整性的攻擊。當然,破壞了完整性也就意味著破壞了保密性,因為能改變信息的竊取者肯定能閱讀此信息。完整性和保密性間的差別在于:對保密性的安全威脅是指某人看到了他不應看到的信息。而對完整性的安全威脅是指某人改動了關鍵的傳輸。破壞他人網站就是破壞完整性的例子。破壞他人網站是指以電子方式破壞某個網站的網頁。破壞他人網站的行為相當于破壞他人財產或在公共場所涂鴉。當某人用自己的網頁替換某個網站的正常內容時,就說發生了破壞他人網站的行為。由于internct的開放體系,如果具備了特定的知識和工具,則完全可以更改傳輸中的數據。同時,要采取適當的存取訪問控制,以保證數據存取系統的安全。在電子商務中務必保存數據最初的格式和內容。

(三)認證

在猖獗的網絡欺詐或者反悔中,網絡交易者隱身在電腦屏幕背后,身份難以識別的問題是其重要淵源。建立有效的網上交易身份認證機制,提升交易雙方的信用度是有效控制網絡欺詐的重要途徑,對于電子商務的健康發展有著重要作用。交易方的信用問題已經成為制約電子商務發展的重要瓶頸之一。在現實社會中,即便有著諸多因素的制約,仍然普遍地存在著信用缺乏的現象,建立完善的信用機制已經成為社會各界的共識。在電子商務的具體實現中,首先要確認當前的通訊、交易和存取要求是合法的。例如,internet中的計算機系統的身份是其由IP地址確認的。黑客通過IP欺騙,使用虛假的IP地址,從而達到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發匿名郵件,或者使用不真實的郵件用戶名。因此,在電子商務中必須建立嚴格的身份認證機制,以確保參加交易各方的身份真實有效。

(四)不可否認性

不可否認主要包含數據的原始記錄和發送記錄,確認數據已經完成發送和接收,防止接收用戶更改原始記錄,防止用戶在已經收到數據以后否認收到數據,并拖延自己的下一步工作。為了保證交易過程的可操作性,必須采取可靠的方法確保交易過程的真實性,保證參加電子交易的各方承認交易過程的合法性。

簡言之,在internet上實現電子商務面臨的任務:(1)私有性,即保證只有發送者和接收者可以接觸到信息;(2)完整性,即信息在傳輸過程中未經任何改動;(3)身份認證,即接收方可以確信信息來自發信者,而不是第三者冒名發送,發送方可以確信接收方的身份是真實的,而不至于發往與交易無關的第三方;(4)不可否認性,在交易數據發送完成以后,雙方都不能否認自己曾經發出或接收過信息。

電子商務面臨的上述問題主要是由對系統的非法入侵造成的。首先是網絡黑客,他們通過發現web服務器、操作系統或者主頁部件在配置方面的漏洞,攻擊網絡系統。其次是內部入侵,這主要是由企業IT部門的員工造成的,保護網絡的物理安全(如主控機房)及嚴格的口令管理制度,是防范該類問題的關鍵。還有惡意代碼(如計算機病毒),它們在企業的傳播會給電子商務系統造成嚴重的損失。另外,值得關注的是計算機系統本身的問題,例如,由于電源造成的系統宕機,以及廣域網絡的通訊,這些都會直接造成服務的突然中止,影響電子商務的形象。我們還應關注系統管理方面的問題,有時電子商務出現的問題既非黑客也非系統本身的毛病,而是源于對敏感數據處理不善或者是安全系統(如防火墻)的不正確配置。用戶的身份認證是計算機系統安全的基礎工作,數字簽名加密等技術在這里可以充分起到作用。

二、電子商務安全系統關鍵技術

(一)ssLVPN技術

SSL(安全套接層)協議是一種在Internet上保證發送信息安全的通用協議。它處于應用層。SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協議指定了在應用程序協議(如HTTP、Telnet和FTP等)和TCP/IP協議之間進行數據交換的安全機制,為TCP/IP連接提供數據加密、服務器認證以及可選的客戶機認證。SSL協議包括握手協議、記錄協議以及警告協議三部分。握手協議負責確定用于客戶機和服務器之間的會話加密參數。記錄協議用于交換應用數據。警告協議用于在發生錯誤時終止兩個主機之間的會話。

VPN(虛擬專用網)則主要應用于虛擬連接網絡,它可以確保數據的機密性并且具有一定的訪問控制功能。VPN是一項非常實用的技術,它可以擴展企業的內部網絡,允許企業的員工、客戶以及合作伙伴利用Internet訪問企業網,而成本遠遠低于傳統的專線接人。過去,VPN總是和IPSec聯系在一起,因為它是VPN加密信息實際用到的協議。IPSec運行于網絡層,IPSeeVPN則多用于連接兩個網絡或點到點之間的連接。所謂的SSLVPN,其實是YPN設備廠商為了與IPsecVPN區別所創造出來的名詞,指的是使用者利用瀏覽器內建的SecureSocketLayer封包處理功能,用瀏覽器連回公司內部SSLVPN服務器,然后透過網絡封包轉向的方式,讓使用者可以在遠程計算機執行應用程序,讀取公司內部服務器數據。它采用標準的安全套接層(ssL)對傳輸中的數據包進行加密,從而在應用層保護了數據的安全性。高質量的SSLVPN解決方案可保證企業進行安全的全局訪問。在不斷擴展的互聯網Web站點之間、遠程辦公室、傳統交易大廳和客戶端間,SSLVPN克服了IPSecVPN的不足,用戶可以輕松實現安全易用、無需客戶端安裝且配置簡單的遠程訪問,從而降低用戶的總成本并增加遠程用戶的工作效率。而同樣在這些地方,設置傳統的IPSecVPN非常困難,甚至是不可能的,這是由于必須更改網絡地址轉換(NAT)和防火墻設置。(二)加密技術

數據加密技術作為一項基本技術,是電子商務的基石,是電子商務最基本的信息安全防范措施。其實質是對信息進行重新編碼,從而達到隱藏信息內容,使非法用戶無法獲取真實信息的一種技術手段,確保數據的保密性?;诩?解密所使用的密鑰是否相同,可分為對稱加密和非對稱加密兩類。

(1)對稱加密。對稱加密的加密密鑰和解密密鑰相同,即在發送方和接收方進行安全通信之前,商定一個密鑰,用這個密鑰對傳輸數據進行加密、解密。對稱加密的突出特點是加解密速度快,效率高,適合對大量數據加密。缺點是密鑰的傳輸與交換面臨安全問題,且若和大量用戶通信時,難以安全管理大量密鑰。目前,常用的對稱加密算法有DES、3DES、IDEA、Blowfish等。其中,DES(DataEncryptionStandard)算法由IBM公司設計,是迄今為止應用最廣泛的一種算法,也是一種最具代表性的分組加密體制。DES是一種對二元數據進行加密的算法,數據分組長度為64bit,密文分組長度也是64bit,沒有數據擴展,密鑰長度為64bit,其中有8bit奇偶校驗,有效密鑰長度為56bit。加密過程包括16輪的加密迭代,每輪都采用一種乘積密碼方式(代替和移位)。DES整個體制是公開的,系統的安全性全靠密鑰的保密。DES算法的入口參數有3個:Key、Data、Mode。其中,Key為8個字節共64位,是DES算法的工作密鑰。Data也是8個字節64位,是需被加密或解密的數據。Mode為DES的工作方式,分為加密或解密兩種。DES算法的步驟為:如Mode為加密,則用Key去對數據進行加密,生成Data的密碼形式(64位)作為DES輸出結果。如Mode為解密,則用Key去把密碼形式的數據Data解密,還原為Data的明碼形式(64位)作為DES的輸出結果。DES是一種世界公認的較好的加密算法,具有較高的安全性,到目前為止除了用窮舉搜索法對DES算法進行攻擊外,尚未發現更有效的方法。

(2)非對稱加密。非對稱加密的最大特點是采用兩個密鑰將加密和解密能力分開。一個公開作為加密密鑰;一個為用戶專用,作為解密密鑰,通信雙方無需事先交換密鑰就可進行保密通信。而要從公開的公鑰或密文分析出明文或密鑰,在計算上是不可行的。若以公開鑰作為加密密鑰,以用戶專用鑰作為解密密鑰,則可實現多個用戶加密的信息只能由一個用戶解讀。反之,以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰,則可實現由一個用戶加密的消息而使多個用戶解讀,前者可用于保密通信,后者可用于數字簽字。非對稱加密體制的出現是密碼學史上劃時代的事件,為解決計算機信息網中的安全提供了新的理論技術基礎。其優點是很好地解決了對稱加密中密鑰數量過多難以管理的不足,且保密性能優于對稱加密算法;缺點是算法復雜,加密速度不是很理想。

目前,RSA算法是最著名且應用最廣泛的公鑰算法,其安全性基于模運算的整數因子分解的困難性。

算法內容簡要描述如下:①獨立選取兩大素數p和q,計算n=p×q;其歐拉函數值z=(p-1)×(q-1)。②隨機選一整數e,1≤e由于RSA涉及大數計算,無論是硬件或軟件實現的效率都比較低,不適用對長的明文加密,常用來對密鑰加密,即與對稱密碼體制結合使用。

(三)網上交易身份認證機制

網上交易身份認證對于建立電子商務業界的信用機制起著重要作用,因此如何確認網上交易者的身份便成為諸多電子商務網站迫切希望解決的問題。

(1)在目前網絡法律制度還不健全的時代,自律機制非常重要,網絡交易的有效性和真實性在一定程度上能夠反映這個國家的信用機制的完善程度。相對而言,國外的電子商務信用體系相對較高,其交易身份認證多與信用卡等銀行信用記錄掛鉤,而我國則更多的是通過手機和身份證等方式進行。

(2)一些網上交易平臺為了幫助交易雙方打消顧慮,順利進行交易,提供第三方介入的支付方式,以保護雙方的合法利益,這種機制對于維護網上交易的誠信起到了很好的作用。

(3)電子郵件在電子商務交易中對子商務交易者的身份認證機制起著重要作用。電子郵件一旦重復則易造成無法注冊,甚至很多網站要求用戶兩次輸入有效的電子郵件以進行確認,以確保之后的所有信息能夠順利進行,所有的網站均將用戶的電子郵件作為聯系用戶和確認用戶諸多信息的重要聯系方式,其便捷性毋庸置疑。但是,在電子郵件收費的模式基本上發展前景不甚明朗的今天其有效性和真實性還值得商榷。

(4)用戶注冊中所提交的資料即身份認證過程中會涉及到很多可以列為用戶隱私權保護的信息,因此,在進行身份認證時還需要考慮隱私權保護問題?,F在幾乎所有的電子商務網站上都有隱私權法律聲明,或者在用戶填寫過程中就通過鏈接的形式彈出窗口聲明用戶的這些資料將被用于那些用途。盡管如此,由于網絡上沒有絕對的安全,如果由于技術上的原因導致用戶的身份認證資料泄露給他人,甚至被他人用于牟利或者其他非法目的,網站是否應該承擔責任、應該承擔什么樣的責任,也是身份認證機制應該考慮的問題。

電子商務的安全問題是利害攸關的,安全遭到破壞會使他人信息泄露或導致信息濫用。電子商務安全策略必須明確保密、完整、不可否認的要求??傊?,如何建立電子商務安全策略,并逐步完善這個策略,需要政府、電子商務企業、學者等的共同努力,任重而道遠。

篇2

中國如今的電子商務市場一直保持著40-50%的市場增長率,它的交易規模已經占到了中國消費總額的5%,并開始表現出明顯的GDP拉動力。從2009年起,中國的電子商務表現出來星火燎原般的勢態,可以預測的是:中國的電子商務,必將成就中國另一輪的經濟飛躍。

2緒論

伴隨著互聯網和信息技術的飛速發展,電子商務從零到有,并逐步向高水平、規范化發展。十年來中國電子商務始終保持40-50%的高速發展,2009年的中國電子商務并為受到全球金融危機的影響,相反卻在金融危機中爆發出更強的生命力和適應力。2009年中國電子商務市場規模超過35000億元,同比增長48.5%,高于2008年的41.2%。

電子商務的安全法律是指為了保障電子商務在交易過程中的安全性,由國家政府相關部門出臺的對交易過程進行保護的法律。目前,我國就電子商務安全問題已經進行了初步的法律立項實施,但是依然存在較大的漏洞和隱患,需要國家相關部門進一步加強。

安全管理是有效降低我國電子商務交易過程中存在風險的重要手段,特別是在交易過程中,交易雙方進行電子合同簽訂,安全中心不僅要監督買方的及時付款,同時還要監督賣方是否提供與合同一致的貨物。在這些交易環節中,由于網絡虛擬交易的緣故,存在非常大的安全管理隱患。為了有效防止這些安全隱患的爆發,降低風險帶來的損失和傷害,需要國家政府出善的法律保護制度,形成一套互相關聯、互相約束的管理制度體系。

3.電子商務安全

3.1電子商務安全概述

電子商務的運行和交易是基于計算機網絡平臺而展開的,所以安全問題大體上可以分為計算機網絡安全和電子商務系統本身交易安全。沒有網絡,電子商務就不可能存在,網絡作為基礎,其安全性與電子商務安關系密切,在網絡安全的前提下,電子商務系統特有的設計加以保障,兩者相輔相成實現電子商務的整體安全。通俗的說,電子商務的安全就是“電子”和“商務”雙重要求下的安全。

3.2國內電子商務安全問題現狀

3.2.1信息安全環境

2010年,由中國互聯網絡信息中心(CNNIC)和國家互聯網應急中心(CNCERT)在京聯合的《2009年中國網民網絡信息安全狀況調查系列報告》中顯示,2009年,52%的網民曾遭遇過網絡安全事件,網民處理安全事件所支出的相關服務費用共計153億元人民幣。電子商務發展所面臨的信息安全問題嚴重。根據相關調查顯示,90%以上的網民計算機遭遇過病毒、木馬、黑客的攻擊,電子商務交易的安全環境已經受到了嚴重影響。

3.2.2技術與意識現狀

電子商務的安全需要信息技術和使用者意識的同步跟進和提高,才能使交易真正安全。目前國內兩方面因素同時存在,導致電子商務交易安全性下降。一是技術方面:國內防御殺毒軟件整體水平較低,查殺效率和效果不佳,部分電子商務平臺設計存在缺陷,為電子交易安全埋下隱患。二是網民、使用者意識方面:相比于高發的網絡安全事件,仍有4.4%的網民個人計算機未安裝任何安全軟件;不足8%的手機網民安裝手機安全防護軟件,網民安全意識仍有待進一步提升;

盜版軟件使用泛濫;軟件認知低,不懂得區分使用;交易雙方欠缺誠信,即使交易在設計較為完善的電子商務平臺上進行,依然存在欺騙行為。

3.2.3電子商務誠信環境

隨著互聯網的發展,網絡購物(B2B、B2C)作為電子商務的其中分支之一,已經成為了一種消費時尚、熱門購物渠道。據中國互聯網絡信息中心的數據顯示:2009年我國網購市場交易規模為2500億元,較2008年翻了一番。而2010年網絡購物的市場規模應該已超過4300億元。網購人群也大幅度增長,2009年至少在網上買過一次東西的中國網民數歷史性地突破了1億人,達到1.08億人,增長46%。而在2010年,使用過網絡購物的互聯網用戶更是接近2億人。網絡購物已經成為發展最迅速,與網民利益最相關的網絡應用。

與此相比,電子商務誠信環境卻不如人意,甚至隨著電子商務的發展而出現惡化的局勢。2010年,有近28%的互聯網用戶遭遇過虛假釣魚網站、詐騙交易、交易劫持、網銀被盜等針對網絡購物的安全攻擊。目前對我國網絡購物用戶威脅影響最嚴重的還是釣魚網站,在網購用戶所遭遇的安全威脅中有72.4%是釣魚網站的欺騙行為,2010年1-10月,平均每天新增的與網絡購物相關的釣魚網站約為1500個。釣魚網站的典型的詐騙方式主要分為三大類:低價誘惑、交談詐騙、電話詐騙。

3.2.4電子商務信用管理現狀

因為電子商務交易的特殊性,交易雙方不曾謀面,所以關于電子商務的信用管理就顯得尤為重要。為防止電子商務的欺詐行為給網民帶來經濟上的損失,網絡企業以及第三方電子商務平臺都相繼實行信譽管理方法,如信譽評價和信譽等級系統的建立,網絡誠信公約(自律)等等,但由于電子商務發展較晚,管理經驗不足,這些方法和系統存在較多的問題,有待提升。如中國電子商務誠信評價中心推出“中國電子商務誠信評價規范”,其中的誠信紅藍標識制度,認知度極低,據調查發現,有97%人不知紅藍標識的含義。就目前而言,在線信譽評估、等級系統,在設計完善的提前下,可以較為有效的降低了交易風險,因為其交易雙方的歷史信用表現,信用等級都是公開信息,可以作為買賣雙方交易選擇的參考,且其失信成本遠遠大于其利益獲得,好的信用必然可以提升銷售量,這也從側面迫使銷售者提供最好的服務,避免了雙方欺詐行為。交易講究的誠信,信譽系統能最有效地維持雙方可信的商務關系。如目前國內最大的網購平臺淘寶網,它的網商信譽評價和信譽等級系統相對成熟,這種評價系統“為消費者提供了誠信、安全的購物保障,大大提升了網絡購物體驗”。但它依然存在相當多的問題,信用評價流程不合理,在買到相對低劣的產品時,你選擇退貨的同時就喪失了評價的權利,兩者只能選其一,那到底是留著不需要的產品而去評價,還是選擇退貨?惡意中差評現象猖獗,甚至出現惡意差評師這一職業,嚴重影響公平競爭。另外對于返修產品缺乏保障,筆者就遇到過產品寄回返修,遲遲沒有反應,損害消費者利益。信用可信度有待驗證,專業刷鉆組織的出現,使得信用體系的可靠性降低。

4電子商務安全立法現狀

電子商務因其帶來的經濟效益和流行發展趨勢而備受關注,其安全立法問題也得到了國際性組織和各國政府的高度重視,盡快營造全球范圍內的電子商務安全法律環境已成為國際社會的共識。要創造一個適應和規范電子商務安全交易、發展的法律境,政府部門職責首當其沖,在電子商務發展的監管和安全立法中發揮其主導作用。及時了解電子商務即時情況,制定出臺相應的安全保障法律法規,鼓勵、引導、電子商務健康發展,規范、維持必要的網絡市場秩序,這已經成為當前世界各國立法工作的重要任務。電子商務的廣泛性和無界性使得世界各國紛紛出臺相應法律、行為準則和規范辦法來推動本國電子商務安全、健康的發展,旨在抓住信息技術的機遇,提高自身競爭力,從而會的優勢,同時也減少電子商務的交易糾紛、欺詐行為,保障了交易的安全性,為電子商務在全球范圍內的發展掃平障礙。

4.1當前電子商務安全法律、制度尚不完善

電子商務因其基礎網絡這個開放又隱蔽的環境,而顯得比較特殊,其商貿交易行為需要有專門的法律來規范和秩序的維持,目前我國已經相繼出臺了部分法律法規、行為準則,設立了相應的部門來規范、監管和保證電子商務的安全。但與國際電子商務立法現狀和國內電子商務現實狀況相比,顯得比較尷尬。我國電子商務安全法律體系仍然存在較多空白,強針對性的立法需要加快,先行法規則亟需進一步改進和完善。電子商務安全法律的不足之處有:電子交易流程行為規范、用戶隱私保護、法律效力不足,法律滯后,情況描述不清,沒有有效懲戒措施,難以對電子商務中的失信者和破壞者造成較強的約束力。因此強快電子商務安全法律立法和改進已經迫在眉睫。

4.2現有電子商務安全法律

現行電子商務安全法律,具有較強針對性質的較少,大多分散各類法規之中,或是零星提及電子交易安全問題,目前電子商務交易安全的法律法規主要有以下四類:

(1)綜合性的法律。如:《民法通則》和《刑法》中有關對商貿交易的安全保障條文。

(2)對交易主體進行規范的相關法律。如《公司法》、《國有企業法》、《集體企業法》、《私營企業法》、《外資企業法》等;

(3)規范交易行為的有關法律,包括經濟合同法、產品質量法、價格法、消費者權益保障法,反不正當競爭法等等

(4)對監督交易行為進行規范的法律,如會計法、票據法、銀行法等。

國務院頒布的《中華人民共和國計算機信息網絡國際聯網管理暫行規定》和公安部頒發的《計算機信息網絡國際聯網安全保護管理辦法》是兩個對電子商務具有重大影響的行政法規。

另外《中華人民共和國電子簽名法》的頒布也具有重要意義。該法賦予電子簽名與手寫簽名或蓋章具有同等的法律效力,明確了電子認證服務的市場準入制度,標志著我國的信息化立法邁出重要步伐。

4.3電子商務安全立法困難的原因

電子商務發展壯大為商貿交易帶來極大便捷和迅速優越性,成為了經濟的強勁增長點,為全球經濟的發展營造了良好的氛圍,與此同時,因為其特點,也對社會各個領域特別是立法帶來了困難和壓力。

首先電子商務的立法,需要考慮國家和地區之間的差異,協調困難。電子商務基于網絡,而網絡卻已經全球聯通、跨越了地域的界限。它所面對的不只是一個地區、一個國家的市場,而是全球一體化的大市場。各國由于社會制度、政治狀況、經濟發展程度等不同而導致了現行法律法規的不同,要制定可以有效協調、高度一體化的商業和法律規則,談何容易。

其次是電子商務交易處理、傳輸的實質就是對信號脈沖的傳輸和對數字流的處理,這種虛擬的平臺上,雙方的不曾謀面,使得信息資源對商家的商業信用提出了更高的要求。在信息得到廣泛傳播的同時,由于互聯網既開放又隱蔽的特性使得信息的真偽有待驗證,惡意的攻擊、惡意的失信難以發現,即使發現也難以揪出終端背后的那個失信或破壞者,有法難斷或者有法卻找不到應受懲罰的人,而且對于包括制作版權、著作權、商標使用權、數據庫等在內的知識產權保護也成為無法回避的問題。電子商務橫跨領域之廣、利益關聯群體之多,和其有別于傳統商務模式的無形化給稅收體制及稅收管理模式也帶來了巨大的挑戰。

再次,電子信息領域,技術日新月異,電子商務領域的技術進步速度已經超國家適時地調整其法律框架的能力。法律的變革無法做到像電子技術更新一樣的快,也由于新的意想不到的問題的不斷出現,使得適時的法律調整總跟不上電子商務高速發展的步伐。這是需要我們對于現行法律框架從根本上進行反思,困難而想而知。

5電子商務安全立法的對策研究

5.1電子商務安全需求分析

5.1.1主要內容

電子商務是網上公開直接虛擬交易的商務模式,它直接通過網絡進行交易、支付、談判、下單等,在這個過程中蘊藏了大量的商務信息,所以,電子商務的安全問題引起了網民、企業、行業、國家的廣泛觀眾。根據電子商務的交易模式以及重要性分析,電子商務的安全需求主要包括以下幾個方面:

1、信息的完整性;

2、信息的保密性;

3、信息的不可否認性;

4、交易雙方的真實身份信息;

5、系統的可靠性;

6、資金的安全性。

5.1.2涉及領域

通過吸收國外成功的經驗,結合我國自身電子商務發展特色以及社會主義國情特色,我國電子商務安全性的立法主要涉及以下幾大方面:

1、保護消費者的合法權益;

2、交易雙方的個人真實信息;

3、保密和信息的合法性訪問;

4、數字簽名以及第三方認證;

5、計算機犯罪和侵犯問題的有效控制。

5.2電子商務安全立法定位與模式

電子商務的安全法律保障問題,從其整體情況來看,主要表現為兩大層次:第一,電子商務首先表現的是商品交易模式,它的安全需要通過民商法來進行規范保護;第二,電子商務是通過計算機及網絡技術實現的,它的安全很大程度上依賴于計算機及網絡的自身安全程度,這需要網絡的安全管理法律來加以約束和保護。從第一點的角度來看,電子商務安全法律隸屬于商法的范圍。

因此,在立法過程中,重點還是需要從商法的角度,結合其依托計算機網絡技術的特色,從全面化的角度出發,制定出高效規范的電子商務安全法律。

從電子商務安全立法的模式角度出發,電子商務的安全法律主要有以下兩種選擇:第一,在電子商務交易活動的法律中加入電子商務安全性法律內容;第二,另外指定電子商務安全單行法。這兩種模式都有各自的優點和缺點,前者的立法成本低但是保護力度不夠強,后者的立法程序復雜,所需資源多,但是保護力度大。在實際操作中,到底選擇哪種模式,也是當下法律界正在研究分析的重點問題。本文提出的建議是分為兩步走:先采用第一種模式,等條件成熟后而且又加強的需要,再進行第二種模式的立法。這樣不僅可以快速成立相關法律體系,同時也可有效解決資源浪費的問題。

5.3我國電子商務安全性立法的對策分析

5.3.1健全電子商務法律,注重法律的滯后性

健全的電子商務立法體系不僅要包括有網絡服務和網絡管理的法律制度,同時還需要電子商務主體的立法和市場管理制度,以及電子商務交易支付的法律制度、網上商務行為制度、電子稅法制度、客戶個人隱私權保護法。只有建立系統性的法律制度,才能真正發揮電子商務安全法的作用。

在加強電子商務安全法建設的同時,同時也應該注重法律的滯后性帶來的法律效力減弱。法律的滯后性首先表現為法律立法的程序,這是個嚴格的過程,需要問題顯現的非常明白,并對該問題進行有充分的調研數據后,才可能形成立法的基本條件和背景,這個過程是繁瑣的,是復雜的,是需要長時間的。另外,法律要建立起威信,必須較長的時間,在這段長時間里,網絡的發展是非常快的,會發生不同程度內容的問題,而且這些問題會經常超過法律設定的范圍,這些問題在客觀上都表現為電子商務法律的滯后性,使得法律無法體現超前性,大大降低了法律的約束作用。

5.3.2加強立法部門對于電子商務的學習了解

立法部門在實際的工作經驗中,可能只是了解法律相關體系知識,對于電子商務交易模式、支付模式等相關內容可能存在誤解或者不了解的情況,這容易導致立法部門在立法的過程中,過于偏向法律的可行性,而忽略了電子商務法律的可行性。所以,加強立法部門對于電子商務的學習了解,使其真正深入了解電子商務整體運營過程以及涉及內容、存在的漏洞、需要加強的節點以及關聯的群體等內容,從根本上制定高效可行規范的電子商務安全法律,從而降低因誤解帶來的時間拖延、資源耗費等其他損失。

另外,加強立法部門對于電子商務的學習了解的同時,應加強立法部門工作人員對于電子商務立法的重視度,從思想上加強工作人員對于電子商務安全立法的注重,從而加快電子商務安全立法的實施進度。

5.2.3系統化完善,架構法律體系

我國電子商務的飛速發展,對電子商務中的安全問題提出了更高的要求。在建立我國電子商務安全法律時,應多加考慮它與其他法律之間的關聯度,從而架構其整體法律體系,進一步完善安全法律的有效性。具體內容如下:

1、在中國民法基本法原有的基礎上,增加交易安全的理念和內容;

2、在計算機與網絡安全管理的立法上,應針對電子商務在網絡虛擬環境下運行的特點,加強電子商務交易安全保護的法律措施。

3、在商事單行法的立法上,可以適當突破現有民法的一些制度,基于商法的特殊性及獨立性,滿足電子商務較高的安全保護需求。

4、在法律解釋上,全面清理我國最高人民法院作出的司法解釋,剔除掉不利于電子商務安全的言論,對電子商務的安全問題進行重新正確的認識和解釋。

5.2.4配套獎懲措施,提高安全法律威信度

獎懲措施是任何制度得以有效實施的保障制度,這里的獎懲措施具有兩個重要的含義:

第一,是對電子商務安全制度在實施過程出現的良性事件和惡性事件進行適當的獎勵和懲罰,或是進行高度的獎勵和懲罰,從而在加強良性循環的同時,對制度實施過程中的惡性事件作出嚴厲的懲罰,起到殺一儆百的作用,從而有效提高電子商務安全立法的實施力度和效果。

第二,是對進行非法盜取電子商務信息或是破壞電子商務交易的不法分子進行嚴厲的法律制裁,以及對保護電子商務安全的良好事跡進行表揚。我國目前針對盜取電子商務信息或是破壞電子商務交易的不法分子還未建立有效的不法分子,才會使得這些不法分子妄想鉆空子、踩地雷,這也是導致我國電子商務安全出現問題的一大關鍵因素。因此,建立電子商務獎懲措施,有利于提高對不法分子的控制以及提高人民對電子商務安全的保護意識。

5.2.5借鑒國外成功經驗,結合自身特色國情

電子商務是全球性的電子商務,它是無國界、無種族之分的。所以,我國在建立電子商務安全法律時,可立足于國際立法的趨同性取向,借鑒國外成功的電子商務安全法律制度經驗,并且結合我國的自身特色國情。中國的電子商務安全法律,只有爭取與國際立法接軌,才能參與全球性的經濟競爭。例如,新加坡在制定《電子&交易法案》時幾乎全部采用了《電子商務示范法》的相關內容,同時根據《電子商務示范法》的總體精神以及自身國情,增加了部分內容。所以,我國在制定電子商務安全法律時,應盡量吸收國外原有的成果,再結合我國的特色國情,在降低立法成本、節省立法時間的同時,也提高電子商務安全法律的高效性和實用性。

6總結和展望

電子商務的安全問題是關系到電子商務能否繼續發展的關鍵因素。隨著我國計算機網絡科學的逐步發展,某些非法分子對于電子商務安全模式已經越來越熟悉,如果電子商務再不加強安全防范以及法律法規的嚴加約束,電子商務的安全將成為我國經濟法律的一大問題,這對我國經濟、網民、電子商務企業來說都是非常不利的。因此,盡快建立我國的電子商務安全立法,建立有效可行的電子商務安全法律法規,從國家政治制度角度出發,為我國的電子商務發展進行強而有力的安全管束,以促進我國電子商務行業穩步健康的發展。隨著我國電子商務的飛速發展,已經在我國人民生活中扮演的越來越重要的角色,電子商務的安全立法問題已經成為我國法政界、金融界和學術界共同關注的熱點問題,因此,研究我國電子商務安全立法工作,建立科學高效的電子商務安全法律,為我國的電子商務的穩步健康發展奠定良好的基礎,具有非常重要的理論意義和實踐意義。

本文研究的主要貢獻在于:探討了我國電子商務安全現狀以及立法存在的問題與對策。本研究以電子商務基本概念和特色為理論基礎,通過對我國電子商務的安全現狀進行分析,從而形成本研究的整體背景,接著分析我國安全立法的現狀以及存在的問題,最后結合自身所學知識,提出改善我國電子商務安全法律的對策,希望對電子商務安全立法工作的開展能提供一些幫助。但是由于水平的限制以及實際經驗的不足,加上我國目前電子商務法律問題整體上處于不成熟與多樣化的階段,使得本文在研究過程中遇到一些困難,加上文字功底不夠等等,影響到了研究的效果,使得論文尚有以下不足之處:

1、研究過程中,對于我國電子商務安全現狀只選取了幾個主要的現狀進行描述,考慮到本研究報告的篇幅問題,并沒有對全部的現狀進行描述。

2、在對我國電子商務安全立法的現狀進行分析時,只對我國電子商務安全問題的難點以及現狀進行代表性的描述,并未形成系統化的描述。

篇3

關鍵詞:電子商務;身份認證;防火墻

一、有關電子商務的安全性要求

1.對電子商務活動安全性的要求:

(1)服務的有效性要求。電子商務系統應能防止服務失敗情況的發生,預防由于網絡故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能準確快速的傳送。

(2)交易信息的保密性要求。電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。

(3)數據完整性要求。數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。

(4)身份認證的要求。電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。

2.電子商務的主要安全要素

(1)信息真實性、有效性。電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。

(2)信息機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。

(3)信息完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。

(4)信息可靠性、可鑒別性和不可抵賴性。可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。

在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在internet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。

二、電子商務采用的主要安全技術

1.網絡節點的安全

防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。

2.通訊的安全

在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。[論/文/網LunWenNet/Com]

3.應用程序的安全性

即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現像這些問題一樣的錯誤。

4.用戶的認證管理

(1)身份認證。電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。

(2)CA證書。要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。

(3)安全套接層SSL協議。安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。

SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。

SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如Ht2tp、Ftp、Telnet等)以保證應用層數據傳輸的安全性。SSL協議握手流程由兩個階段組成:服務器認證和用戶認證。

三、電子商務安全需要進一步完善的配套措施

電子商務要真正成為一種主導的商務模式,尤其對發展中的中國來說,發展電子商務,就必須從以下幾個方面來完善配套措施:

(1)突破關鍵技術受制于人的瓶頸。

(2)我國應盡快對電子商務的有關細則進行立法。

(3)大力開發大型商務網站,發展與之相配套的物流公司。

(4)為了確保系統的安全性,除了采用技術手段外,還必須建立嚴格的內部安全機制。

(5)建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。

(6)對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。

安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。[論\文\網LunWenNet\Com]

參考文獻:

[1]吳洋.電子商務安全方法研究[D].天津:天津大學,2006.

[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005(6).

[3]成衛青,龔儉.網絡安全評估[J].計算機工程,2003(2).

[4]甘悅.淺議電子商務信息安全體系的構建[J].西北成人教育學報,2007(2).

[5]周明,黃元江,李建設.電子商務中的安全技術研究[J].株洲工學院學報,2005(1).

[6]張娟.電子商務網絡安全技術探究[J].甘肅科技縱橫,2005(4).

[7]趙乃真.電子商務技術與應用[M].北京:中國鐵道出版社,2003.

篇4

關鍵詞:密鑰托管證書授權認證公開密鑰公鑰基礎設施托管證書

網絡的安全問題得到人們的日益重視。網絡面臨的威脅五花八門:內部竊密和破壞,截收,非法訪問,破壞信息的完整性,冒充,破壞系統的可用性,重演,抵賴等。于是公鑰基礎設施(PublicKeyInfrastructure,PKI)應運而生。PKI是電子商務和其它信息系統的安全基礎,用來建立不同實體間的“信任”關系。它的基礎是加密技術,核心是證書服務。用戶使用由證書授權認證中心(CertificateAuthority,CA)簽發的數字證書,結合加密技術,可以保證通信內容的保密性、完整性、可靠性及交易的不可抵賴性,并進行用戶身份的識別。

1.密鑰托管KE與密鑰托管KEA的概念

在電子商務廣泛采用公開密鑰技術后,隨之而來的是公開密鑰的管理問題。對于中央政府來說,為了加強對貿易活動的監管,客觀上也需要銀行、海關、稅務、工商等管理部門緊密協作。為了打擊犯罪,還要涉及到公安和國家安全部門。這樣,交易方與管理機構就不可避免地產生聯系。為了監視和防止計算機犯罪活動,人們提出了密鑰托管(KeyEscrow,KE)的概念。KE與CA相接合,既能保證個人通信與電子交易的安全性,又能實現法律職能部門的管理介入,是今后電子商務安全策略的發展方向。

密鑰托管技術又稱為密鑰恢復(KeyRecovery),是一種能夠在緊急情況下提供獲取信息解密密集新途徑的技術。它用于保存用戶的私鑰備份,既可在必要時幫助國家司法或安全等部門獲取原始明文信息,也可在用戶丟失、損壞自己的密鑰后恢復密文。

執行密鑰托管功能的機制是密鑰托管(KeyEscrowAgent,KEA)。KEA與CA是PKI的兩個重要組成部分,分別管理用戶的私鑰與公鑰。KEA對用戶的私鑰進行操作,負責政府職能部門對信息的強制訪問,不參與通信過程。CA作為電子商務交易中受信任和具有權威性的第三方,為每個使用公開密鑰的客戶發放數字證書,負責檢驗公鑰體系中公鑰的合法性。因此它參與每次通信過程,但不涉及具體的通信內容。

2.安全密鑰托管的步驟

密鑰托管最關鍵,也是最難解決的問題是:如何有效地阻止用戶的欺詐行為,即逃脫托管機構的跟蹤。為防止用戶逃避脫管,密鑰托管技術的實施需要通過政府的強制措施進行。用戶必須先委托密鑰托管進行密鑰托管,取得托管證書,才能向CA申請加密證書。CA必須在收到加密公鑰對應的私鑰托管證書后,再簽發相應的公鑰證書。

為了防止KEA濫用權限及托管密要的泄漏,用戶的私鑰被分成若干部分,由不同的密鑰托管負責保存。只有將所有的私鑰分量合在一起,才能恢復用戶私鑰的有效性。

(1)用戶選擇若干個KEA,分給每一個一部分私鑰和一部分公鑰。根據所得的密鑰分量產生相應的托管證書。證書中包括該用戶的特定表示符(UniqueIdentify,UID)、被托管的那部分公鑰和私鑰、托管證書的編號。KEA還要用自己的簽名私鑰對托管證書進行加密,產生數字簽名,并將其附在托管證書上。

(2)用戶收到所有的托管證書后,將證書和完整的公鑰遞交給CA,申請加密證書。

(3)CA驗證每個托管證書的真實性,即是否每一個托管都托管了一部分有效的私鑰分量,并對用戶身份加以確認。完成所有的驗證工作后,CA生成加密證書,返回給用戶。3.司法部門利用KE對信息的強制訪問

所有傳送的加密信息都帶有包含會話密鑰的數據恢復域(DataRecoveryField,DRF),它由時間戳、發送者的加密證書、會話密鑰組成,與密文綁定在一起傳送給接收方。接收方必須通過DRF才能獲得會話密鑰。在必要時,司法部門可利用KEA,通過DRF實現對通信內容的強制訪問。

在司法部門取得授權后,首先監聽并截獲可疑信息,利用DRF中發送者的加密證書獲得發送者的托管標示符及其對應的托管證書號,然后把自己的授權證書和托管證書號交給相應的密鑰托管。KEA驗證授權證書的真偽后,返回自己保管的那部分私鑰。這樣在收集了所有的私鑰成分后,司法部門就能恢復出發送者的私鑰,再結合接收者的公鑰及時間戳,就能破解會話密鑰,進而破解整個密文。由于密鑰托管不參與通信過程,所以在通信雙方毫無察覺的情況下,司法部門就能審查通信內容。

4.結束語

自從1993年美國政府頒布密鑰托管加密標準EES,有關密鑰托管的研究一直是密碼學領域一個持續的研究熱點。在電子商務時代,國家為了能夠管理和控制電子商務的健康發展,必須強制實施一定形式的密鑰托管技術,以便及時發現和阻止非法商務活動,并為司法部門提供取證的方便。

參考文獻

[1].盧鐵成.信息加密技術四川科學出版社1989

[2].陳偉東,翟起濱.二類基于離散對數問題的信息恢復多簽名體制.密碼與信息,1998.1

[3].NationalInstituteforStandardsandTechnology.EscrowedEncryptionStandard.FederalInformationProcessingStandardsPublication185,U.S.DeptofCommerce,1994

[4].BellareM,GoldwasserS.Verifiablepartialkeyescrow.In:ProceedingsofFourthAnnualConferenceonComputerandCommunicationsSecurity,ACM,1997

KeyEscrowTechnologyinElectronicCommerceBasedonPKI

篇5

[關鍵詞]電子商務安全技術密鑰數字簽名

一、引言

電子商務是以電子信息技術為基礎的商務運作,是信息技術的發展對社會經濟生活產生巨大影響的一個實例,也是網絡新經濟迅猛發展的代表。電子商務的核心內容是網上交易,尤其是通過公共的因特網將眾多的社會經濟成員聯系起來的網上交易更是成為發展的熱點,

電子商務所具有的廣闊發展前景,越來越為世人所矚目。但在Internet給人們帶來巨大便利的同時,也把人們引進了安全陷阱。目前,阻礙電子商務廣泛應用的首要也是最大的問題就是安全問題。電子商務中的安全問題如得不到妥善解決,電子商務應用就只能是紙上談兵。從事電子商務活動的主體都已普遍認識到電子商務的交易安全是電子商務成功實施的基礎,是企業制訂電子商務策略時必須首先要考慮的問題。對于實施電子商務戰略的企業來說,保證電子商務的安全已成為當務之急。

二、電子商務過程中面臨的主要安全問題

從交易角度出發,電子商務面臨的安全問題綜合起來包括以下幾個方面:

1.有效性

電子商務以電子形式取代了紙張,那么保證信息的有效性就成為開展電子商務的前提。因此,要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。

2.真實性

由于在電子商務過程中,買賣雙方的所有交易活動都通過網絡聯系,交易雙方可能素昧平生,相隔萬里。要使交易成功,首先要確認對方的身份。對于商家而言,要考慮客戶端不能是騙子,而客戶端也會擔心網上商店是否是一個玩弄欺詐的黑店,因此,電子商務的開展要求能夠對交易主體的真實身份進行鑒別。

3.機密性

電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。如信用卡的賬號和用戶名被人知悉,就可能被盜用而蒙受經濟損失;訂貨和付款信息被競爭對手獲悉,就可能喪失商機。因此建立在開放的網絡環境電子商務活動,必須預防非法的信息存取和信息在傳輸過程中被非法竊取。

三、電子商務安全中的幾種技術手段

由于電子商務系統把服務商、客戶和銀行三方通過互聯網連接起來,并實現了具體的業務操作。因此,電子商務安全系統可以由三個安全服務器及CA認證系統構成,它們遵循共同的協議,協調工作,實現電子商務交易信息的完整性、保密性和不可抵賴性等要求。其中采用的安全技術主要有以下幾種:

1.防火墻(FireWall)技術

防火墻是一種隔離控制技術,在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業的網絡上被非法輸出。

2.加密技術

數據加密技術是電子商務中采取的主要安全措施,貿易方可根據需要在信息交換的階段使用。在網絡應用中一般采取兩種加密形式:對稱加密和非對稱加密,采用何種加密算法則要結合具體應用環境和系統,而不能簡單地根據其加密強度來做出判斷。

(1)對稱加密

在對稱加密方法中,對信息的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖。這種加密算法可簡化加密處理過程,貿易雙方都不必彼此研究和交換專用的加密算法,如果進行通信的貿易方能夠確保私有密鑰在交換階段未曾泄露,那么機密性和報文完整性就可以得到保證。不過,對稱加密技術也存在一些不足,如果某一貿易方有n個貿易關系,那么他就要維護n個私有密鑰。對稱加密方式存在的另一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享一把私有密鑰。目前廣泛采用的對稱加密方式是數據加密標準(DES),它主要應用于銀行業中的電子資金轉賬(EFT)領域。DES對64位二進制數據加密,產生64位密文數據。使用的密鑰為64位,實際密鑰長度為56位(8位用于奇偶校驗)。解密時的過程和加密時相似,但密鑰的順序正好相反。

(2)非對稱加密/公開密鑰加密

在Internet中使用更多的是公鑰系統,即公開密鑰加密。在該體系中,密鑰被分解為一對:公開密鑰PK和私有密鑰SK。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開,而另一把則作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能由生成密鑰對的貿易方掌握,公開密鑰可廣泛,但它只對應于生成該密鑰的貿易方。在公開密鑰體系中,加密算法E和解密算法D也都是公開的。雖然SK與PK成對出現,但卻不能根據PK計算出SK。

公開密鑰算法的特點如下:

用加密密鑰PK對明文X加密后,再用解密密鑰SK解密,即可恢復出明文,或寫為:DSK(EPK(X))=X。

加密密鑰不能用來解密,即DPK(EPK(X))≠X

在計算機上可以容易地產生成對的PK和SK。

從已知的PK實際上不可能推導出SK。

加密和解密的運算可以對調,即:EPK(DSK(X))=X

常用的公鑰加密算法是RSA算法,加密強度很高。具體做法是將數字簽名和數據加密結合起來。發送方在發送數據時必須加上數字簽名,做法是用自己的私鑰加密一段與發送數據相關的數據作為數字簽名,然后與發送數據一起用接收方密鑰加密。這些密文被接收方收到后,接收方用自己的私鑰將密文解密得到發送的數據和發送方的數字簽名,然后用方公布的公鑰對數字簽名進行解密,如果成功,則確定是由發送方發出的。由于加密強度高,而且不要求通信雙方事先建立某種信任關系或共享某種秘密,因此十分適合Internet網上使用。

3.數字簽名

數字簽名技術是實現交易安全核心技術之一,它實現的基礎就是加密技術。以往的書信或文件是根據親筆簽名或印章來證明其真實性的。但在計算機網絡中傳送的報文又如何蓋章呢?這就是數字簽名所要解決的問題。數字簽名必須保證以下幾點:接收者能夠核實發送者對報文的簽名;送者事后不能抵賴對報文的簽名;接收者不能偽造對報文的簽名?,F在己有多種實現數字簽名的方法,采用較多的就是公開密鑰算法。

4.數字證書

(1)認證中心

在電子交易中,數字證書的發放不是靠交易雙方來完成的,而是由具有權威性和公正性的第三方來完成的。認證中心就是承擔網上安全電子交易認證服務、簽發數字證書并確認用戶身份的服務機構。

(2)數字證書

數字證書是用電子手段來證實一個用戶的身份及他對網絡資源的訪問權限。在網上的電子交易中,如雙方出示了各自的數字證書,并用它來進行交易操作,那么交易雙方都可不必為對方身份的真偽擔心。

5.消息摘要(MessageDigest)

消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由RonRivest所發明的。消息摘要是一個惟一對應一個消息的值。它由單向Hash加密算法對所需加密的明文直接作用,生成一串128bit的密文,這一串密文又被稱為“數字指紋”(FingerPrint)。所謂單向是指不能被解密,不同的明文摘要成密文,其結果是絕不會相同的,而同樣的明文其摘要必定是一致的,因此,這串摘要成為了驗證明文是否是“真身”的數字“指紋”了。

四、小結

本文詳細探討了電子商務安全體系所面臨的問題,并提出了安全防護的幾種技術手段,相信隨著時間的推移和技術的發展,電子商務安全體系將越來越完善,足不出戶而通過Internet電子商務系統實現購物、交易和做生意將成為人們生活的新時尚。

參考文獻:

[1]徐海來:電子商務的運作與安全[J].中國信息導報,2000.6:126

[2]劉進:電子商務網上交易系統[M].第一版,北京:機械工業出版社,2003:157

篇6

1.1系統中的安全隱患

當前的電子商務的系統中的安全隱患有三個層面,包括引用系統安全隱患、網絡系統安全隱患和操作系統安全隱患。針對這三個層面,就要求我們密切保護網絡的安全,使用者自身也要保護自己的個人信息,如不在公共網絡保存自己的賬號密碼,當然還應該定期檢查信息的儲存空間以及整理各個系統的資源。

1.2信息被竊取和篡改

在電子商務交易的進行中,如果密碼過于簡單或者使用者在公共網絡中保存了賬戶密碼,就致使黑客或者其他的入侵者更輕而易舉地截取重要的信息,進而通過分析這些信息,獲取規律,導致全部內容的竊取。更有甚者,入侵者會對使用者的傳輸內容進行篡改,或者對信息內容進行惡意的破壞,就會給用戶造成更大的損失。因此,應對這種現狀,應該改善加密技術,同時使用者應進行復雜的加密。

1.3計算機病毒

由于電子商務廣泛普及,使得數據以及信息交易的內容都是通過網絡來進行傳播的。雖然使交易更為方便快捷,但同時,也提供給了計算機病毒一種更為迅速的傳播方式。一旦出現計算機病毒,就會導致計算機的各個資源被篡改,計算機的功能被破壞使得無法正常運行工作,甚至還會傳染給其他的計算機。

1.4認證安全存在漏洞

我們正處在一個便攜性的信息化時代,電子商務規模逐漸擴大,但是網絡交易的認證安全上存在著很多漏洞。當前還存在一些電子商務交易中仍未解決的問題,譬如,網絡用戶IP地址的頻繁盜用,使得IP地址存在很大的沖突,進而導致網絡的很多賬號被盜取。

1.5電子郵件的偽造

偽造者在交易用戶進行合法交易的過程中,會偽造大量的電子郵件,使得網絡擁堵,導致商家的資源嚴重短缺,致使合法用戶無法進行訪問行為,這就使得響應的時間增長,交易過程變得混亂。

1.6否認交易行為

電子商務中,交易者否定自己發送給對方的交易信息內容,又或者不承認接收到原本接收到的內容。交易雙方中有一方單方面的撕毀了協議。

1.7管理層面存在漏洞

電子商務的非面對面交易的存在形式,必不可免地使得電子商務的管理存在局限性。不明確的管理制度和不到位的管理措施,以及眾多的單位和用戶疏于管理電子商務的交易,給網絡黑客以及計算機病毒的攻擊提供了便利。基于此,就需要電子商務的交易雙方設置更為健全的軟硬件和網絡操作系統,同時應當提高安全防范意識,及時清理電腦的垃圾信息,預防病毒的侵入。

2計算機安全技術在電子商務中的應用

電子商務迅猛發展,同時它的發展空間和發展前景也是不容忽視的。為了確保電子商務的長足發展,就需要重視電子商務中存在的安全隱患問題,只有更好地解決這些安全隱患,才能降低對計算機造成的風險和影響。綜合運用多種計算機安全技術能夠更大程度地確保電子商務交易的安全進行。

2.1身份識別技術

身份識別技術能保護合法的用戶擁有應用網絡資源的權利,方便統一管理用戶,避免了入侵者的攻擊和破壞。當然身份識別是針對參與交易雙方進行的,只有這樣,才能保證電子商務交易的有序進行,保護了雙方的合法權益。

2.2數據加密技術

對電子商務交易中涉及的重要信息和數據進行加密,常用的加密方法包括公開密鑰加密和專用密鑰加密。這種技術能夠維持電子商務交易的順利進行,同時,還能避免入侵者對重要信息的攻擊和破壞。提高了信息和數據的安全性和可靠性。

2.3數據加密技術

眾所周知,在電子商務中由于非面對面交易,不可避免地會出現許多不確定的因素。數據加密技術能夠有效預防和打擊多種不確定因素的入侵。在交易過程的最初階段即信息初步的互換過程就能使用數據加密技術。具體的實施流程是,在電子商務交易的過程之中,交易生成的那一方會有兩個密鑰,其中一個作為公共密鑰,交易的另一方通過該密鑰將重要數據和信息進行加密后,確保發送的數據的安全性和準備性,最后才進行最終的電子商務交易。

2.4訪問控制技術該技術

篇7

[關鍵詞]移動電子商務信息安全自組網隱私法律

移動電子商務(M-Commerce),是通過手機、PDA(個人數字助理)、呼機等移動通信設備與因特網有機結合所進行的電子商務活動。移動電子商務能提供以下服務:PIM(個人信息服務)、銀行業務、交易、購物、基于位置的服務、娛樂等。

移動電子商務因其快捷方便、無所不在的特點,已經成為電子商務發展的新方向。因為只有移動電子商務才能在任何地方、任何時間,真正解決做生意的問題。

但是對于任何通過無線網路(如:GSM網路)進行金融交易的用戶,安全和隱私問題無疑是其關注的焦點。由于移動電子商務的特殊性,移動電子商務的安全問題尤其顯得重要。尤其對于有線電子商務用戶來說,通常認為物理線纜能帶來更好的安全性,從而排斥使用移動電子商務。移動電子商務是一個系統工程,本文從技術、安全、隱私和法制等方面討論了移動商務的展所面臨的種種問題,并指出這些問題的有效解決是建設健康、安全的移動電子商務的重要保證。

一、移動通信新技術的驅動

1.無線應用協議(WAP)

無線應用協議WAP是無線通信和互聯網技術發展的產物,它不僅為無線設備提供豐富的互聯網資源,也提供了開發各種無線網路應用的途徑。1998年,WAP論壇公布了WAP1.0版本,制定了一套專門為移動互聯網而設計的應用協議,具有良好的開放性和互通性。隨著移動通信網傳輸速率的顯著提高,WAP論壇于2001年頒布了WAP2.0版本,該版本增加了對HTTP、TLS和TCP等互聯網協議的支持,WAP的工作大大簡化。WAP2.0模式有利于實現電子商務所需的端到端安全性,可以提供TLS隧道。

2.移動IP技術

移動IP技術,是指移動用戶可在跨網絡隨意移動和漫游中,使用基于TCP/IP協議的網絡時,不用修改計算機原來的IP地址,同時,也不必中斷正在進行的通信。移動IP通過AAA(Authentication,Authorization,Accounting)機制,實現網絡全方位的安全移動或者漫游功能。移動IP在一定程度上能夠很好地支持移動商務的應用。

3.第三代(3G)移動通信系統

第三代移動通信系統,簡稱3G,是指將無線通信與互聯網等多媒體通信結合的移動通信系統。它能夠處理圖像、話音、視頻流等多種媒體形式,提供包括網頁瀏覽、電話會議、電子商務等多種信息服務。與2G相比,3G產品可提供數據速率高達2Mbps的多媒體業務。在我國,以TD-SCDMA技術為基礎的3G基礎設施和產品的建設和研制發展迅速,我國發展3G的條件已經基本具備。由于3G帶來的高速率、移動性和高安全性等特點,必然會給移動電子商務的應用帶來巨大商機。

4.無線局域網(WLAN)技術

美國電子電器工程師協會IEEE在1991年就啟動了WLAN標準工作組,稱為IEEE802.11,并在1997年產生了WLAN標準-IEEE802.11,后來又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標準。802.11WLAN標準自公布之日起,安全問題一直是其被關注的焦點問題。802.11b采用了基于RC4算法的有線對等保密(WEP)機制,為網絡業務流提供安全保障,但其加密和認證機制都存在安全漏洞。802.11i是2004年6月批準的WLAN標準,其目的是解決802.11標準中存在的安全問題。802.11i應用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高級加密標準的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作為其加密算法,可以向后兼容802.11a/b/g等硬件設備。中國寬帶無線IP標準工作組制訂了WLAN國家標準GB15629.11,定義了無線局域網鑒別與保密基礎結構WAPI,大大減少了WLAN中的安全隱患。

二、移動電子商務面臨的安全威脅

盡管移動電子商務給工作效率的提高帶來了諸多優勢(如:減少了服務時間,降低了成本和增加了收入),但安全問題仍是移動商務推廣應用的瓶頸。有線網絡安全的技術手段不完全適用于無線設備,由于無線設備的內存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序。例如:目前還沒有有效抵制手機病毒的防護軟件。

1.網絡本身的威脅

無線通信網絡可以不像有線網絡那樣受地理環境和通信電纜的限制就可以實現開放性的通信。無線信道是一個開放性的信道,它給無線用戶帶來通信自由和靈活性的同時,也帶來了諸多不安全因素:如通信內容容易被竊聽、通信雙方的身份容易被假冒,以及通信內容容易被篡改等。在無線通信過程中,所有通信內容(如:通話信息,身份信息,數據信息等)都是通過無線信道開放傳送的。任何擁有一定頻率接收設備的人均可以獲取無線信道上傳輸的內容。這對于無線用戶的信息安全、個人安全和個人隱私都構成了潛在的威脅。

2.無線adhoc應用的威脅

除了互聯網在線應用帶來的威脅外,無線裝置給其移動性和通信媒體帶來了新的安全問題??紤]無線裝置可以組成adhoc網路。Adhoc網絡和傳統的移動網絡有著許多不同,其中一個主要的區別就是AdHoc網絡不依賴于任何固定的網絡設施,而是通過移動節點間的相互協作來進行網絡互聯。由于其網絡的結構特點,使得AdHoc網絡的安全問題尤為突出。Adhoc網路的一個重要特點是網絡決策是分散的,網絡協議依賴于所有參與者之間的協作。敵手可以基于該種假設的信任關系入侵協作的節點。

3.網路漫游的威脅

無線網路中的攻擊者不需要尋找攻擊目標,攻擊目標會漫游到攻擊者所在的小區。在終端用戶不知情的情況下,信息可能被竊取和篡改。服務也可被經意或不經意地拒絕。交易會中途打斷而沒有重新認證的機制。由刷新引起連接的重新建立會給系統引入風險,沒有再認證機制的交易和連接的重新建立是危險的。連接一旦建立,使用SSL和WTLS的多數站點不需要進行重新認證和重新檢查證書。攻擊者可以利用該漏洞來獲利。

4.物理安全

無線設備另一個特有的威脅就是容易丟失和被竊。因為沒有建筑、門鎖和看管保證的物理邊界安全和其小的體積,無線設備很容易丟失和被盜竊。對個人來說,移動設備的丟失意味著別人將會看到電話上的數字證書,以及其他一些重要數據。利用存儲的數據,拿到無線設備的人就可以訪問企業內部網絡,包括Email服務器和文件系統。目前手持移動設備最大的問題就是缺少對特定用戶的實體認證機制。

三、移動商務面臨的隱私和法律問題

1.垃圾短信息

在移動通信給人們帶來便利和效率的同時,也帶來了很多煩惱,遍地而來的垃圾短信廣告打擾著我們的生活。在移動用戶進行商業交易時,會把手機號碼留給對方。通過街頭的社會調查時,也往往需要被調查者填入手機號碼。甚至有的用戶把手機號碼公布在網上。這些都是公司獲取手機號碼的渠道。垃圾短信使得人們對移動商務充滿恐懼,而不敢在網絡上使用自己的移動設備從事商務活動。目前,還沒有相關的法律法規來規范短信廣告,運營商還只是在技術層面來限制垃圾短信的群發。目前,信息產業部正在起草手機短信的規章制度,相信不久的將來會還手機短信一片綠色的空間。

2.定位新業務的隱私威脅

定位是移動業務的新應用,其技術包括:全球定位系統,該種技術利用24顆GPS衛星來精確(誤差在幾米之內)定位地面上的人和車輛;基于手機的定位技術TOA,該技術根據從GPS返回響應信號的時間信息定位手機所處的位置。定位在受到歡迎的同時,也暴露了其不利的一面——隱私問題。移動酒吧就是一個典型的例子,當你在路上時,這種服務可以在你的PDA上列出離你最近的5個酒吧的位置和其特色。或者當你途經一個商店時,會自動向你的手機發送廣告信息。定位服務在給我們帶來便利的同時,也影響到了個人隱私。利用這種技術,執法部門和政府可以監聽信道上的數據,并能夠跟蹤一個人的物理位置。

3.移動商務的法律保障

電子商務的迅猛發展推動了相關的立法工作。2005年4月1日,中國首部真正意義上的信息化法律《電子簽名法》正式實施,電子簽名與傳統的手寫簽名和蓋章將具有同等的法律效力,標志著我國電子商務向誠信發展邁出了第一步?!峨娮雍灻ā妨⒎ǖ闹匾康氖菫榱舜龠M電子商務和電子政務的發展,增強交易的安全性。

參考文獻:

[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77

篇8

[關鍵詞]電子商務計算機安全技術

隨著電子商務不斷的擴大影響,勢必將成為一種新型的交易模式走入人們日常生活,計算機技術與其是密不可分,相輔相成的。電子商務的發展將帶動計算機技術應用的更加廣泛,計算機技術的進步將推動電子商務的蓬勃發展。而其在發展的過程中安全問題也變得越來越突出,可以說,沒有安全就沒有電子商務。

一、電子商務網絡的安全隱患

1.竊取信息。(1)交易雙方進行交易的內容被第三方竊取。(2)交易一方提供給另一方使用的文件被第三方非法使用。

2.篡改信息。電子的交易信息在網絡傳輸的過程中,可能被他人非法的修改、刪除這樣就使信息失去了真實性和完整性。

3.假冒。第三方可以冒充合法用戶發送假冒的信息或者主動獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。

4.惡意破壞。由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,破壞網絡的硬件或軟件而導致交易信息傳遞丟失與謬誤。計算機網絡本身容易遭到一些惡意程序的破壞,而使電子商務信息遭到破壞。

二、電子商務的安全要求

1.交易者身份的可認證性。在傳統的交易中,交易雙方往往是面對面進行活動的,這樣很容易確認對方的身份。即使開始不熟悉,不能確信對方,也可以通過對方的簽名、印章、證書等一系列有形的身份憑證來鑒別身份。然而,在進行網上交易時,情況就大不一樣了,因為網上交易的雙方可能素昧平生,相隔千里,并且在整個交易過程中都可能不見一面。要使交易成功,首先要能驗證對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店是不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。

2.信息的機密性。由于電子商務是建立在一個開放的網絡環境上的,維護商業機密是電子商務全面推廣應用的重要保障。當交易雙方通過Internet交換信息時,如果不采取適當的保密措施,就可能將通信內容泄密;另外,在網絡上的文件信息如果不加密的話,也有可能被黑客竊取。上述種種情況都有可能造成敏感商業信息的泄漏,導致商業上的巨大損失。因此,電子商務一個重要的安全需求就是信息的保密性。這意味著,一定要對敏感信息進行加密,即使別人截獲或竊取了數據,也無法識別信息的真實內容,以使商業機密信息難以被泄漏。

3.信息的真實完整性。信息輸入時的意外差錯或欺詐行為、傳輸過程中信息的丟失、重復或傳送次序差異都會導致貿易各方信息的不同。交易的文件是不可被修改的,應該保證接受方收到的信息確實是發送方發送的,中途沒有被非法用戶篡改過。電子交易文件必須做到不可修改,以保障交易的嚴肅和公正。

三、電子商務交易中的一些網絡安全技術

針對以上問題現在廣泛采用了身份識別技術、數據加密技術、數字簽名技術和放火墻技術。

1.身份識別技術。通過電子網絡開展電子商務,身份識別問題是一個必須解決的問題。一方面,只有合法用戶才可以使用網絡資源,所以網絡資源管理要求識別用戶的身份;另一方面,傳統的交易方式,交易雙方可以面對面地談判交涉,很容易識別對方的身份。通過電子網絡交易方式,交易雙方不見面,并且通過普通的電子傳輸信息很難確認對方的身份。因此,電子商務中的身份識別問題顯得尤為突出。

2.數據加密技術。加密技術是電子商務中采取的主要安全措施,貿易方可根據需要在信息交換的階段使用。目前,加密技術分為兩類,即對稱加密/對稱密鑰加密/專用密鑰加密和非對稱加密/公開密鑰加密?,F在許多機構運用PKI(publickeyInfrastructur的縮寫,即“公開密鑰體系”)技術實施構建完整的加密/簽名體系,更有效地解決上述難題,在充分利用互聯網實現資源共享的前提下從真正意義上確保了網上交易與信息傳遞的安全。3.智能化防火墻技術。智能防火墻從技術特征上,是利用統計、記憶、概率和決策的智能方法來對數據進行識別,并達到訪問控制的目的。新的方法,消除了匹配檢查所需要的海量計算,高效發現網絡行為的特征值,直接進行訪問控制。智能防火墻成功地解決了普遍存在的拒絕服務攻擊(DDOS)的問題、病毒傳播問題和高級應用入侵問題,代表著防火墻的主流發展方向。新型智能防火墻自身的安全性較傳統的防火墻有很大的提高,在特權最小化、系統最小化、內核安全、系統加固、系統優化和網絡性能最大化方面,與傳統防火墻相比較有質的飛躍。

四、結束語

電子商務安全對計算機網絡安全與商務安全提出了雙重要求,其復雜程度比大多數計算機網絡都高。在電子商務的建設過程中涉及到許多安全技術問題,制定安全技術規則和實施安全技術手段不僅可以推動安全技術的發展,同時也促進安全的電子商務體系的形成。當然,任何一個安全技術都不會提供永遠和絕對的安全,因為網絡在變化,應用在變化,入侵和破壞的手段也在變化,只有技術的不斷進步才是真正的安全保障。

參考文獻:

篇9

[關鍵詞] 計算機網絡 互聯網 電子商務 安全 保護

一、安全的重要性以及存在的安全問題及其原因

計算機網絡之所以存在著脆弱性,主要是由于技術本身存在著安全弱點、系統的安全性差、缺乏安全性實踐等。此外,信息安全處在初期發展階段,缺少網絡環境下用于產品評價的安全性準則和評價工具。系統管理人員的安全意識和安全管理培訓等也相對缺乏。在系統安全受到威脅時,缺少應有的完整的安全管理方法、步驟和安全對策,如事故通報、風險評估、改正安全缺陷、評估損失、相應的補救恢復措施等。

根據攻擊能力的組織結構程度和使用的手段,可以將威脅歸納為四種基本類型:無組織結構的內部和外部威脅與有組織結構的內部和外部威脅。一般來講,對外部威脅,安全性強調防御;對內部威脅,安全性強調威懾。

1.病毒。病毒是由一些不正直的程序員所編寫的計算機程序,它采用了獨特的設計,可以在受到某個事件觸發時,復制自身,并感染計算機。如果在病毒可以通過某個外界來源進入網絡時(大多數是通過某個受到感染的磁盤或者某個從互聯網上下載的文件),網絡才會感染病毒。當網絡上的一臺計算機被感染時,網絡上的其他計算機就非常有可能感染到這種病毒。2.特洛伊木馬程序。特洛伊木馬程序,是破壞性代碼的傳輸工具。特洛伊表面上看起來是無害的或者有用的軟件程序,例如計算機游戲,但是它們實際上是偽裝的敵人。特洛伊可以刪除數據,將自身的副本發送給電子郵件地址簿中的收件人,以及開啟計算機進行其他攻擊。只有通過磁盤,從互聯網上下載文件,或者打開某個電子郵件附件,將特洛伊木馬程序復制到一個系統,才可能感染特洛伊。無論是特洛伊還是病毒并不能通過電子郵件本身傳播――它們只可能通過電子郵件附件傳播。3.惡意破壞程序。網站會提供一些軟件應用(例如ActiveX和Java Applet)的開發而變得更加活潑。這些應用可以實現動畫和其他一些特殊效果,從而使網站更具有吸引力和互動性。但是,由于這些應用非常便于下載和運行,從而提供了一種造成損害的新工具。惡意破壞程序是指會導致不同程度破壞的軟件應用或者Java小程序。一個惡意破壞程序可能只會損壞一個文件,也可能損壞大部分計算機系統。4.攻擊。目前已經出現了各種類型的網絡攻擊,它們通常被分為三類:探測式攻擊,訪問攻擊和拒絕服務(DoS)攻擊。(1)探測式攻擊實際上是信息采集活動,黑客們通過這種攻擊搜集網絡數據,用于以后進一步攻擊網。(2)訪問攻擊用于發現身份認證服務、文件傳輸協議(FTP)功能等網絡領域的漏洞,以訪問電子郵件賬號、數據庫和其他保密信息。(3)DoS攻擊可以防止用戶對于部分或者全部計算機系統的訪問。它們的實現方法通常是:向某個連接到企業網絡或者互聯網的設備發送大量的雜亂的或者無法控制的數據,從而讓正常的訪問無法到達該主機。更惡毒的是分布式拒絕服務攻擊(DDoS),在這種攻擊中攻擊者將會危及到多個設備或者主機的安全。5.數據阻截。通過任何類型的網絡進行數據傳輸都可能會被未經授權的一方截取。犯罪分子可能會竊聽通信信息,甚至更改被傳輸的數據分組。犯罪分子可以利用不同的方法來阻截數據。6.社會活動。社會活動是一種越來越流行的通過非技術手段獲取保密的網絡安全信息的手段。7.垃圾信件。垃圾信件被廣泛用于表示那些主動發出的電子郵件或者利用電子郵件廣為發送未經申請的廣告信息的行為。垃圾信件通常是無害的,但是它可能會浪費接收者的時間和存儲空間,帶來很多麻煩。

二、技術保障策略

1.加密。加密方法多種多樣,在網絡信息中一般是利用信息變換規則把明文的信息變成密文的信息。既可對傳輸信息加密,也可對存儲信息加密,把計算機數據變成一堆亂七八糟的數據,攻擊者即使得到經過加密的信息,也不過是一串毫無意義的字符。加密可以有效地對抗截收、非法訪問等威脅。2.數字簽名。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等安全問題。數字簽名采用一種數據交換協議,使得收發數據的雙方能夠滿足兩個條件:接受方能夠鑒別發送方宣稱的身份;發送方以后不能否認他發送過數據這一事實。數據簽名一般采用不對稱加密技術,發送方對整個明文進行加密變換,得到一個值,將其作為簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方身份是真實的。3.鑒別。鑒別的目的是驗明用戶或信息的正身。對實體聲稱的身份進行惟一識別,以便驗證其訪問請求,或保證信息來源以驗證消息的完整性,有效地對抗冒充、非法訪問、重演等威脅。按照鑒別對象的不同,鑒別技術可以分為消息鑒別和通信雙方相互鑒別;按照鑒別內容不同,鑒別技術可以分為用戶身份鑒別和消息內容鑒別。鑒別的方法很多:利用鑒別碼驗證消息的完整性;利用通行字、密鑰、訪問控制機制等鑒別用戶身份,防止冒充、非法訪問;當今最佳的鑒別方法是數字簽名。4.訪問控制。訪問控制的目的是防止非法訪問。訪問控制是采取各種措施保證系統資源不被非法訪問和使用。一般采用基于資源的集中式控制、基于資源和目的地址的過濾管理以及網絡簽證等技術來實現。5.防火墻。防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公共網絡的互聯環境中。大型網絡系統與Internet互聯的第一道屏障就是防火墻。防火墻通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理,其基本功能為:過濾進、出網絡的數據;管理進、出網絡的訪問行為;封堵某些禁止行為;記錄通過防火墻的信息內容和活動;對網絡攻擊進行檢測和告警。

總之,隨著時間的推移,越來越多的新技術將用于進一步地提高業務和通信的效率。如果企業始終站在這種新型技術的前列,并能夠防御最新的安全威脅和攻擊,網絡所帶來的好處必然將遠遠超過它所帶來的風險。

參考文獻:

篇10

論文關鍵詞:杭州師范大學,錢江學院,畢業設計,畢業論文,任務書,示范

二、主要內容和基本要求(指明本課題要解決的主要問題和大體上可從哪幾個方面去研究和論述該主要問題的具體要求)

論文基本內容:

隨著國內移動通信的快速普及,基于手機等移動終端的移動商務應運而生,從而為旅游業開辟出一條全新路徑。杭州作為一個旅游城市,論文可以從移動電子商務的發展現狀入手,分析旅游業應用移動電子商務的情況,重點指出其存在的問題,最后提出相應的對策。

基本要求:

廣泛查閱資料;理論聯系實際;觀點正確;論文要言之有物,切忌空泛;嚴格遵守論文格式規范;按規定的進度完成各項任務。

在撰寫畢業論文期間,應完成如下工作:

1、應查閱大量的文獻資料(必須查閱15篇以上的參考文獻,其中,外文原文參考文獻至少2篇),于2011年1月15日前完成不少于2000字的文獻綜述和譯成中文后不少于2000字的外文譯稿,同時提供外文的封面、封底、目錄和所翻譯的正文的復印件。

2、在完成“文獻綜述”、“外文翻譯”的基礎上,進行進一步的研究,于1月30日前完成不少于2000字的開題報告。

3、在同意開題后,認真撰寫畢業論文,須在2010~2011第二學期開學注冊時(2月19-20日)向指導老師上交不少于8000字的畢業論文(設計)完整初稿。

4、根據指導老師的指導意見,對論文進行多次修改,直到指導老師認為可以通過為止。

5、必須在2011年4月15日之前完成論文定稿(正文不少于8000字,不含附錄的字數)。

6、認真準備論文答辯。

三、起止日期及進度安排

起止日期:

2010

12

2

日 至

2011

5

14

進度安排:

序號

時間

內容

1

2011.1.5之前

確定論文題目、指導老師下達任務書

2

2011.1.6-2011.1.15

完成文獻綜述和外文翻譯定稿

3

2011.1.16-2011.1.30

完成開題報告定稿

4

2011.1.31-2011.2.20

完成完整的論文初稿

5

2011.2.21-2011.4.15

進行多次的論文修改,完成論文定稿

6

2011.3.1-2011.3.10

畢業論文中期檢查

7

2011.5.14

論文答辯

四、推薦參考文獻(理工科專業應在5篇以上,文科類專業應在8篇以上,其中外文文獻至少2篇。)

[1] 袁劍君, 陳志輝. 我國旅游信息化發展狀況、問題與對策[J]. 長沙鐵道學院學報(社會科學版) , 2009,(01).

[2] 杭志, 徐德智, . 移動電子商務中的服務組合研究[J]. 計算機技術與發展 , 2010,(04).

[3] 李文學. 四川電信與省旅游局深度合作著力提升旅游信息化服務水平[J]. 通信與信息技術 , 2010,(01).

[4] 蔡安寧, 尚正永, 馬明棟. 杭州旅游地理信息系統的開發[J]. 計算機系統應用 , 2007,(08).

[5] 杭志, 徐德智, . 移動電子商務中的服務組合研究[J]. 計算機技術與發展 , 2010,(04) .

[6] 為移動電子商務(M-commerce)做好準備[J]. 信息方略 , 2008,(02)

[7] 汪禮俊, 廖瑾. 移動電子商務:現代生活的新詮釋[J]. 上海信息化 , 2010,(05).