時間:2023-03-29 09:25:53
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇商務安全論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
(一)數據的私有性和安全性
如果不采用特別的保護措施,包括電子郵件等在internet中開放傳輸的數據都可能被第三者監視和閱讀。考慮到巨大的傳輸量和難以計數的傳輸途徑,想任意竊聽一組數據傳輸是不可能,但是一些設置在web服務器的黑客程序卻可以查找和收集特定類型的數據,這些數據包括信用卡、存款的賬號和相應的口令。同時,因為internet的開放性設計,數據私有性和安全性還包括數據傳輸之外的問題,例如:連入internet的數據存儲網絡驅動器的安全性。所以,任何存儲在web服務器上的數據必須采取保護措施。
(二)數據的完整性
對完整性的安全威脅也叫主動搭線竊取。當未經授權方改變了信息流時就構成了對完整性的安全威脅。未保護的銀行交易很易受到對完整性的攻擊。當然,破壞了完整性也就意味著破壞了保密性,因為能改變信息的竊取者肯定能閱讀此信息。完整性和保密性間的差別在于:對保密性的安全威脅是指某人看到了他不應看到的信息。而對完整性的安全威脅是指某人改動了關鍵的傳輸。破壞他人網站就是破壞完整性的例子。破壞他人網站是指以電子方式破壞某個網站的網頁。破壞他人網站的行為相當于破壞他人財產或在公共場所涂鴉。當某人用自己的網頁替換某個網站的正常內容時,就說發生了破壞他人網站的行為。由于internct的開放體系,如果具備了特定的知識和工具,則完全可以更改傳輸中的數據。同時,要采取適當的存取訪問控制,以保證數據存取系統的安全。在電子商務中務必保存數據最初的格式和內容。
(三)認證
在猖獗的網絡欺詐或者反悔中,網絡交易者隱身在電腦屏幕背后,身份難以識別的問題是其重要淵源。建立有效的網上交易身份認證機制,提升交易雙方的信用度是有效控制網絡欺詐的重要途徑,對于電子商務的健康發展有著重要作用。交易方的信用問題已經成為制約電子商務發展的重要瓶頸之一。在現實社會中,即便有著諸多因素的制約,仍然普遍地存在著信用缺乏的現象,建立完善的信用機制已經成為社會各界的共識。在電子商務的具體實現中,首先要確認當前的通訊、交易和存取要求是合法的。例如,internet中的計算機系統的身份是其由IP地址確認的。黑客通過IP欺騙,使用虛假的IP地址,從而達到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發匿名郵件,或者使用不真實的郵件用戶名。因此,在電子商務中必須建立嚴格的身份認證機制,以確保參加交易各方的身份真實有效。
(四)不可否認性
不可否認主要包含數據的原始記錄和發送記錄,確認數據已經完成發送和接收,防止接收用戶更改原始記錄,防止用戶在已經收到數據以后否認收到數據,并拖延自己的下一步工作。為了保證交易過程的可操作性,必須采取可靠的方法確保交易過程的真實性,保證參加電子交易的各方承認交易過程的合法性。
簡言之,在internet上實現電子商務面臨的任務:(1)私有性,即保證只有發送者和接收者可以接觸到信息;(2)完整性,即信息在傳輸過程中未經任何改動;(3)身份認證,即接收方可以確信信息來自發信者,而不是第三者冒名發送,發送方可以確信接收方的身份是真實的,而不至于發往與交易無關的第三方;(4)不可否認性,在交易數據發送完成以后,雙方都不能否認自己曾經發出或接收過信息。
電子商務面臨的上述問題主要是由對系統的非法入侵造成的。首先是網絡黑客,他們通過發現web服務器、操作系統或者主頁部件在配置方面的漏洞,攻擊網絡系統。其次是內部入侵,這主要是由企業IT部門的員工造成的,保護網絡的物理安全(如主控機房)及嚴格的口令管理制度,是防范該類問題的關鍵。還有惡意代碼(如計算機病毒),它們在企業的傳播會給電子商務系統造成嚴重的損失。另外,值得關注的是計算機系統本身的問題,例如,由于電源造成的系統宕機,以及廣域網絡的通訊,這些都會直接造成服務的突然中止,影響電子商務的形象。我們還應關注系統管理方面的問題,有時電子商務出現的問題既非黑客也非系統本身的毛病,而是源于對敏感數據處理不善或者是安全系統(如防火墻)的不正確配置。用戶的身份認證是計算機系統安全的基礎工作,數字簽名加密等技術在這里可以充分起到作用。
二、電子商務安全系統關鍵技術
(一)ssLVPN技術
SSL(安全套接層)協議是一種在Internet上保證發送信息安全的通用協議。它處于應用層。SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協議指定了在應用程序協議(如HTTP、Telnet和FTP等)和TCP/IP協議之間進行數據交換的安全機制,為TCP/IP連接提供數據加密、服務器認證以及可選的客戶機認證。SSL協議包括握手協議、記錄協議以及警告協議三部分。握手協議負責確定用于客戶機和服務器之間的會話加密參數。記錄協議用于交換應用數據。警告協議用于在發生錯誤時終止兩個主機之間的會話。
VPN(虛擬專用網)則主要應用于虛擬連接網絡,它可以確保數據的機密性并且具有一定的訪問控制功能。VPN是一項非常實用的技術,它可以擴展企業的內部網絡,允許企業的員工、客戶以及合作伙伴利用Internet訪問企業網,而成本遠遠低于傳統的專線接人。過去,VPN總是和IPSec聯系在一起,因為它是VPN加密信息實際用到的協議。IPSec運行于網絡層,IPSeeVPN則多用于連接兩個網絡或點到點之間的連接。所謂的SSLVPN,其實是YPN設備廠商為了與IPsecVPN區別所創造出來的名詞,指的是使用者利用瀏覽器內建的SecureSocketLayer封包處理功能,用瀏覽器連回公司內部SSLVPN服務器,然后透過網絡封包轉向的方式,讓使用者可以在遠程計算機執行應用程序,讀取公司內部服務器數據。它采用標準的安全套接層(ssL)對傳輸中的數據包進行加密,從而在應用層保護了數據的安全性。高質量的SSLVPN解決方案可保證企業進行安全的全局訪問。在不斷擴展的互聯網Web站點之間、遠程辦公室、傳統交易大廳和客戶端間,SSLVPN克服了IPSecVPN的不足,用戶可以輕松實現安全易用、無需客戶端安裝且配置簡單的遠程訪問,從而降低用戶的總成本并增加遠程用戶的工作效率。而同樣在這些地方,設置傳統的IPSecVPN非常困難,甚至是不可能的,這是由于必須更改網絡地址轉換(NAT)和防火墻設置。(二)加密技術
數據加密技術作為一項基本技術,是電子商務的基石,是電子商務最基本的信息安全防范措施。其實質是對信息進行重新編碼,從而達到隱藏信息內容,使非法用戶無法獲取真實信息的一種技術手段,確保數據的保密性。基于加/解密所使用的密鑰是否相同,可分為對稱加密和非對稱加密兩類。
(1)對稱加密。對稱加密的加密密鑰和解密密鑰相同,即在發送方和接收方進行安全通信之前,商定一個密鑰,用這個密鑰對傳輸數據進行加密、解密。對稱加密的突出特點是加解密速度快,效率高,適合對大量數據加密。缺點是密鑰的傳輸與交換面臨安全問題,且若和大量用戶通信時,難以安全管理大量密鑰。目前,常用的對稱加密算法有DES、3DES、IDEA、Blowfish等。其中,DES(DataEncryptionStandard)算法由IBM公司設計,是迄今為止應用最廣泛的一種算法,也是一種最具代表性的分組加密體制。DES是一種對二元數據進行加密的算法,數據分組長度為64bit,密文分組長度也是64bit,沒有數據擴展,密鑰長度為64bit,其中有8bit奇偶校驗,有效密鑰長度為56bit。加密過程包括16輪的加密迭代,每輪都采用一種乘積密碼方式(代替和移位)。DES整個體制是公開的,系統的安全性全靠密鑰的保密。DES算法的入口參數有3個:Key、Data、Mode。其中,Key為8個字節共64位,是DES算法的工作密鑰。Data也是8個字節64位,是需被加密或解密的數據。Mode為DES的工作方式,分為加密或解密兩種。DES算法的步驟為:如Mode為加密,則用Key去對數據進行加密,生成Data的密碼形式(64位)作為DES輸出結果。如Mode為解密,則用Key去把密碼形式的數據Data解密,還原為Data的明碼形式(64位)作為DES的輸出結果。DES是一種世界公認的較好的加密算法,具有較高的安全性,到目前為止除了用窮舉搜索法對DES算法進行攻擊外,尚未發現更有效的方法。
(2)非對稱加密。非對稱加密的最大特點是采用兩個密鑰將加密和解密能力分開。一個公開作為加密密鑰;一個為用戶專用,作為解密密鑰,通信雙方無需事先交換密鑰就可進行保密通信。而要從公開的公鑰或密文分析出明文或密鑰,在計算上是不可行的。若以公開鑰作為加密密鑰,以用戶專用鑰作為解密密鑰,則可實現多個用戶加密的信息只能由一個用戶解讀。反之,以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰,則可實現由一個用戶加密的消息而使多個用戶解讀,前者可用于保密通信,后者可用于數字簽字。非對稱加密體制的出現是密碼學史上劃時代的事件,為解決計算機信息網中的安全提供了新的理論技術基礎。其優點是很好地解決了對稱加密中密鑰數量過多難以管理的不足,且保密性能優于對稱加密算法;缺點是算法復雜,加密速度不是很理想。
目前,RSA算法是最著名且應用最廣泛的公鑰算法,其安全性基于模運算的整數因子分解的困難性。
算法內容簡要描述如下:①獨立選取兩大素數p和q,計算n=p×q;其歐拉函數值z=(p-1)×(q-1)。②隨機選一整數e,1≤e由于RSA涉及大數計算,無論是硬件或軟件實現的效率都比較低,不適用對長的明文加密,常用來對密鑰加密,即與對稱密碼體制結合使用。
(三)網上交易身份認證機制
網上交易身份認證對于建立電子商務業界的信用機制起著重要作用,因此如何確認網上交易者的身份便成為諸多電子商務網站迫切希望解決的問題。
(1)在目前網絡法律制度還不健全的時代,自律機制非常重要,網絡交易的有效性和真實性在一定程度上能夠反映這個國家的信用機制的完善程度。相對而言,國外的電子商務信用體系相對較高,其交易身份認證多與信用卡等銀行信用記錄掛鉤,而我國則更多的是通過手機和身份證等方式進行。
(2)一些網上交易平臺為了幫助交易雙方打消顧慮,順利進行交易,提供第三方介入的支付方式,以保護雙方的合法利益,這種機制對于維護網上交易的誠信起到了很好的作用。
(3)電子郵件在電子商務交易中對子商務交易者的身份認證機制起著重要作用。電子郵件一旦重復則易造成無法注冊,甚至很多網站要求用戶兩次輸入有效的電子郵件以進行確認,以確保之后的所有信息能夠順利進行,所有的網站均將用戶的電子郵件作為聯系用戶和確認用戶諸多信息的重要聯系方式,其便捷性毋庸置疑。但是,在電子郵件收費的模式基本上發展前景不甚明朗的今天其有效性和真實性還值得商榷。
(4)用戶注冊中所提交的資料即身份認證過程中會涉及到很多可以列為用戶隱私權保護的信息,因此,在進行身份認證時還需要考慮隱私權保護問題。現在幾乎所有的電子商務網站上都有隱私權法律聲明,或者在用戶填寫過程中就通過鏈接的形式彈出窗口聲明用戶的這些資料將被用于那些用途。盡管如此,由于網絡上沒有絕對的安全,如果由于技術上的原因導致用戶的身份認證資料泄露給他人,甚至被他人用于牟利或者其他非法目的,網站是否應該承擔責任、應該承擔什么樣的責任,也是身份認證機制應該考慮的問題。
電子商務的安全問題是利害攸關的,安全遭到破壞會使他人信息泄露或導致信息濫用。電子商務安全策略必須明確保密、完整、不可否認的要求。總之,如何建立電子商務安全策略,并逐步完善這個策略,需要政府、電子商務企業、學者等的共同努力,任重而道遠。
隨著信息技術在貿易和商業領域的廣泛應用,利用計算機技術、網絡通信技術和因特網實現商務活動的國際化、信息化和無紙化,已成為各國商務發展的一大趨勢。電子商務正是為了適應這種以全球為市場的的變化而出現的和發展起來的,它是當今社會發展最快的領域之一,同時也為全球的經濟發展帶來新的增長點。電子商務正在改變著人們的生活以及整個社會的發展進程,貿易網絡將引起人們對管理模式、工作和生活方式,乃至經營管理思維方式等等的綜合革新。對貿易和商業領域來說,電子商務的發展正在改變著傳統的貿易方式,縮減交易程序,提高辦事效率。現在,許多網站都提供有“商城”,供網民在網上購物。可以說,電子商務應用將越來越普及。然而,隨著Internet逐漸發展成為電子商務的最佳載體,互聯網具有充分開放,不設防護的特點使加強電子商務的安全問題日益緊迫,只有在全球范圍建立一套人們能充分信任的安全保障制度,確保信息的真實性、可靠性和保密性,才能夠打消人們的顧慮,放心的參與電子商務。否則,電子商務的發展將失去其支撐點。
要加強電子商務的安全,需要企業本身采取更為嚴格的管理措施,需要國家建立健全法律制度,更需要有科學的先進的安全技術。
在電子商務的交易中,經濟信息、資金都要通過網絡傳輸,交易雙方的身份也需要認證,因此,電子商務的安全性主要是網絡平臺的安全和交易信息的安全。而網絡平臺的安全是指網絡操作系統對抗網絡攻擊、病毒,使網絡系統連續穩定的運行。常用的保護措施有防火墻技術、網絡入侵檢測技術、網絡防毒技術。交易信息的安全是指保護交易雙方的不被破壞、不泄密,和交易雙方身份的確認。可以用數據加密、數字簽名、數字證書、ssl、set安全協議等技術來保護。
在這里我想重點談談防火墻技術和數據加密技術。
一、防火墻技術。
防火墻就是在網絡邊界上建立相應的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬件產品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet(內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:(1)過濾進、出網絡的數據;(2)管理進、出網絡的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內容和活動;(5)對網絡攻擊進行檢測和告警。
新一代的防火墻產品一般運用了以下技術:
(1)透明的訪問方式。
以前的防火墻在訪問方式上要么要求用戶做系統登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。而現在的防火墻利用了透明的系統技術,從而降低了系統登錄固有的安全風險和出錯概率。
(2)靈活的系統。
系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。采用兩種機制:一種用于從內部網絡到外部網絡的連接;另一種用于從外部網絡到內部網絡的連接。前者采用網絡地址轉接(NIT)技術來解決,后者采用非保密的用戶定制或保密的系統技術來解決。
(3)多級過濾技術。
為保證系統的安全性和防護水平,防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透膽連接,并對服務的通行實行嚴格控制。
(4)網絡地址轉換技術。
防火墻利用NAT技術能透明地對所有內部地址做轉換,使得外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己編的IP源地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
(5)Internet網關技術。
由于是直接串聯在網絡之中,防火墻必須支持用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。在域名服務方面,新一代防火墻采用兩種獨立的域名服務器:一種是內部DNS服務器,主要處理內部網絡和DNS信息;另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部分DNS信息。在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行。在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件做處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident服務器對用戶連接的識別做專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。
(6)安全服務器網絡(SSN)。
為了適應越來越多的用戶向Internet上提供服務時對服務器的需要,新一代防火墻采用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作為一個獨立網絡處理,對外服務器既是內部網絡的一部分,又與內部網關完全隔離,這就是安全服務器網絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從內部網上管理。SSN方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因為SSN與外部網之間有防火墻保護,SSN與內部網之間也有防火墻的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內部網絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內部網絡便暴露于攻擊之下。
(7)用戶鑒別與加密。
為了降低防火墻產品在Ielnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統來作為用戶的鑒別手段,并實現了對郵件的加密。
(8)用戶定制服務。
為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數據庫的,便可以利用這些支持,方便設置。
(9)審計和告警。
新一代防火墻產品采用的審計和告警功能十分健全,日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站、FTP、出站、郵件服務器、域名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發出郵件、聲響等多種方式報警。此外,防火墻還在網絡診斷、數據備份保全等方面具有特色。
目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現,故也被稱為包過濾路由器。它在網絡層對進入和出去內部網絡的所有信息進行分析,一般檢查數據包的IP源地址、IP目標地址、TCP端口號、ICMP消息類型,并按照信息過濾規則進行篩選,若符合規則,則允許該數據包通過防火墻進入內部網,否則進行報警或通知管理員,并且丟棄該包。這樣一來,路由器能根據特定的劌則允許或拒絕流動的數據,如:Telnet服務器在TCP的23號端口監聽遠程連接,若管理員想阻塞所有進入的Telnet連接,過濾規則只需設為丟棄所有的TCP端口號為23的數據包。采用這種技術的防火墻速度快,實現方便,但由于它是通過IP地址來判斷數據包是否允許通過,沒有基于用戶的認證,而IP地址可以偽造成可信任的外部主機地址,另外它不能提供日志,這樣一來就無法發現黑客的攻擊紀錄。
其二是應用級防火墻。大多數的應用級防火墻產品使用的是應用機制,內置了應用程序,可用服務器作內部網和Internet之間的的轉換。若外部網的用戶要訪問內部網,它只能到達服務器,若符合條件,服務器會到內部網取出所需的信息,轉發出去。同樣道理,內部網要訪問Internet,也要通過服務器的轉接,這樣能監控內部用戶訪問Internet.這類防火墻能詳細記錄所有的訪問紀錄,但它不允許內部用戶直接訪問外部,會使速度變慢。且需要對每一個特定的Internet服務安裝相應的服務器軟件,用戶無法使用未被服務器支持的服務。
防火墻技術從其功能上來分,還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術被一起使用,以彌補各自的缺陷和增加系統的安全性能。
防火墻雖然能對外部網絡的功擊實施有效的防護,但對來自內部網絡的功擊卻無能為力。網絡安全單靠防火墻是不夠的,還需考慮其它技術和非技術的因素,如信息加密技術、制訂法規、提高網絡管理使用人員的安全意識等。就防火墻本身來看,包過濾技術和訪問模式等都有一定的局限性,因此人們正在尋找更有效的防火墻,如加密路由器、“身份證”、安全內核等。但實踐證明,防火墻仍然是網絡安全中最成熟的一種技術。
二、數據加密技術
在電子商務中,信息加密技術是其它安全技術的基礎,加密技術是指通過使用代碼或密碼將某些重要信息和數據從一個可以理解的明文形式變換成一種復雜錯亂的、不可理解的密文形式(即加密),在線路上傳送或在數據庫中存儲,其他用戶再將密文還原成明文(即解密),從而保障信息數據的安全性。
數據加密的方法很多,常用的有兩大類。一種是對稱加密。一種是非對稱密鑰加密。對稱加密也叫秘密密鑰加密。發送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。它是IBM于1971年開始研制,1977年美國標準局正式頒布其為加密標準,這種方法使用簡單,加密解密速度快,適合于大量信息的加密。但存在幾個問題:第一,不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏,黑客可用它解密信息,也可假冒一方做壞事。第二,假設每對交易方用不同的密鑰,N對交易方需要N*(N-1)/2個密鑰,難于管理。第三,不能鑒別數據的完整性。
非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數據加解密時,使用不同的密鑰,在通信雙方各具有兩把密鑰,一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應的私鑰解密,同樣地,用私鑰解密的數據只能用對應的公鑰解密。具體加密傳輸過程如下:
(1)發送方甲用接收方乙的公鑰加密自己的私鑰。
(2)發送方家用自己的私鑰加密文件,然后將加密后的私鑰和文件傳輸給接收方。
(3)接收方乙用自己的私鑰解密,得到甲的私鑰。
(4)接收方乙用甲的公鑰解密,得到明文。
這個過程包含了兩個加密解密過程:密鑰的加解密和文件本身的加解密。在密鑰的加密過程中,由于發送方甲用乙的公鑰加密了自己的私鑰,如果文件被竊取,由于只有乙保管自己的私鑰,黑客無法解密。這就保證了信息的機密性。另外,發送方甲用自己的私鑰加密信息,因為信息是用甲的私鑰加密,只有甲保管它,可以認定信息是甲發出的,而且沒有甲的私鑰不能修改數據。可以保證信息的不可抵賴性。
論文摘要:電子商務安全問題已成為制約電子商務發展的重要問題,安全問題包括電子商務交易安全、計算機網絡安全等顯性的問題,還包括管理、法律和標準等方面的隱性問題。通過對電子商務安全體系的分析,研究電子商務安全策略,建立一個安全電子商務環境,將促進電子商務健康快速地發展。
電子商務是一個跨國界,跨地區,跨行業的多種技術綜合集成與不同社會經濟文化背景形成的各種習俗不斷沖突,不斷協調和不斷統一的綜合性社會系統工程。電子商務安全策略保障電子商務各個主體的切身利益。電子商務安全策略是以人為本,從各主體的角度思考,綜合協調了各個市場主體的行為,從根本上保障了消費者、企業、電子商務網站等市場主體的切身利益,它為實現電子商務提供了統一的基礎平臺和安全屏障。
一、電子商務安全技術保障策略
安全技術保障技術是電子商務安全體系中的基本策略,目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有以下幾種:
1.密碼技術。密碼技術包括加密技術和解密技術。加密是將信息經過加密密鑰及加密函數轉換,變成無意義的密文。而解密則是將密文經過解密函數、解密密鑰處理還原成原文。密碼技術是網絡安全技術的基礎。
2.身份驗證技術。電子商務主體向系統證明自己身份,并由系統查核該主體的過程,是確認真實有效身份的重要環節,這個過程叫作身份驗證。常用的驗證技術有報文鑒別、身份鑒別和電子簽名。
3.訪問控制技術。訪問控制是指對電子商務網絡系統中各種資源訪問時的權限確認,防止非法訪問。它包括有關的策略、模型、機制的基礎理論與實現方法。
4.防火墻技術。防火墻是用一組網絡設備來加強一個網絡與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾、應用、電路網關。
二、企業電子商務安全運營管理制度保障策略
企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定,是保證企業取得電子商務成功的基礎,是企業電子商務人員工作的規范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統維護制度、數據備份制度等。
1.人員管理制度人員管理制度主要從人員的選拔,工作責任的落實和安全運作必須遵循的基本原則制定相應的工作制度。
2.保密制度電子商務系統涉及企業的市場、生產、財務、供應鏈等多方面的機密,這些方面都是需要很好地劃分信息安全級別,并確定安全防范重點,提出相應的保密措施。
3.跟蹤審計制度跟蹤制度就是要求企業建立網絡交易的日志機制,來記錄網絡交易的全過程。而審計制度是對系統日志的經常檢查、審核,及時發現對系統有安全隱患的記錄,監控各種安全事故,維護和管理系統日志。
4.網絡系統的日常維護制度網絡系統的日常維護包括硬件的日常維護和軟件的日常維護,硬件維護主要是對網絡設備服務器和客戶機以及通信線路進行定期規范地巡查、檢修;軟件維護主要是規范地對支撐軟件的定期清理和整理、監測、處理特殊情況以及對應用軟件的升級等。
5.數據備份制度數據備份主要是利用多種介質對信息系統數據進行存儲,定期為重要信息備份、系統設備備份,并定期更新,以減少安全事故發生時造成的損失。
三、電子商務立法策略
電子商務安全得到法律保障,首先必須完善電子商務安全相關的法律。如何構建一個有針對性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。
1.立法目的電子商務安全立法的目的主要是要消除電子商務發展的法律障礙;消除現有法律適用上的不確定性,保護合理的商業行為,保障電子交易安全;建立一個清晰的法律框架以統一調整電子商務的健康發展。
2.立法范圍電子商務安全方面需要的法律法規主要有:市場準入制度、合同有效認證辦法、電子支付系統安全措施、信息保密防范辦法,知識產權侵權處理規定、以及廣告的管制、網絡信息內容過濾等;電子商務調整的對象是電子商務中的各種社會關系。[3.立法途徑電子商務法律仍然是調整社會關系,所以應當繼承傳統立法的合理內核,尤其是基礎價值觀。具體的立法途徑主要是兩種:第一是制定新的法律規范。對于傳統法律沒有規定的,即由電子商務帶來的新的社會關系,應盡快制定法律規范;第二是修改或重新解釋既定的法律規范。對于傳統法律的規定不明確,或與電子商務新型社會關系有沖突甚至存在缺欠的,可以修改或重新解釋既定的法律規范。
四、政府監督管理策略
電子商務本質是一種市場運作模式,市場的正常健康有序地發展,必須有政府宏觀上的監督與管理,以協調和規范各市場主體的行為,宏觀監督與管理電子商務運行中的安全保障體系。
1.計算機信息系統安全管理計算機信息系統,是指“由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。”計算機安全保護規范主要有計算機安全等級保護制度,計算機系統使用單位安全負責制度,計算機案件強行報告制度,計算機病毒及其有害數據的專管制度與計算機信息安全專用產品銷售許可證制度。對計算機信息系統安全的保護,有利于保障國家的安全和社會安定,促進電子商務的安全交易過程,有利電子商務的健康發展。
2.網絡廣告和網絡服務業管理由于網絡的開放性,自由性等特征決定了網絡廣告監管的難度,虛假廣告、廣告充斥著網絡空間,網絡廣告已經發展成為一個社會問題。網絡廣告管理應該從三個方面入手:第一,網絡廣告組織的管理,必須對網站廣告經營主體資格進行管制,第二,規范網絡廣告內容,確保廣告內容的真實性、合法性和科學性。第三,需要有具體的廣告審查管制、評估與監測部門。
國家針對網絡服務業和網絡用戶管理已經頒布了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》,其中提出了詳細具體的限制條件。但是,網絡飛速發展,面對網絡中的新問題,還必須進一步深入全面地研究。
3.認證機構管理認證機構是電子商務活動中專門從事頒發認證證書的機構,對電子商務交易活動順利進行,電子商務活動中交易參與各方身份和信息認定,維護交易安全具有重要作用。對認證機構的管理主要是通過對設立的條件、撤消或者頒發許可證等營業資格而進行審批監督;同時,還要針對其資產和財務狀況定期審查,以免發生財務危機,對其信息披露與保密情況、安全系統運行情況等方面進行不定期或定期監督檢查。
4.加強社會信用道德建設,構建和諧安全電子商務電子商務安全問題其中有很大部分是由電子商務用戶或從業人員的信用道德問題引發的,在我國尤其嚴重,甚至大家感嘆電子商務在我國“水土不服”。對于新型的商業運作模式,必然存在不少漏洞,這需要廣大電子商務市場主體有良好的電子商務道德意識。除了從法律上采取措施,更重要的是政府要加強電子商務市場主體自身的道德建設,加強輿論監督和企業自律,充分利用網絡新聞輿論監督,消費者輿論監督和行業協會的管理監督。
五、結束語
電子商務安全不僅涉及到電子商務公司、企業、消費者的利益,而且更加廣泛地涉及經濟、政治、國防、文化等諸多方面,關系到國家的安全、和社會的穩定。電子商務安全策略確保電子商務的快速、健康地發展。電子商務安全是目前電子商務發展的瓶頸,只有解決了電子商務安全,保障了市場主體的利益,才能得到網絡用戶的認可和參與,電子商務自身也才能得到快速、健康地發展。
參考文獻
[1]林寧,吳志剛.我國信息安全技術標準化現狀[J].中國標準化,2007(4)
[2]胡艷春.電子商務網站建設中的安全問題研究[J].商場現代化,2006,(10)
中國如今的電子商務市場一直保持著40-50%的市場增長率,它的交易規模已經占到了中國消費總額的5%,并開始表現出明顯的GDP拉動力。從2009年起,中國的電子商務表現出來星火燎原般的勢態,可以預測的是:中國的電子商務,必將成就中國另一輪的經濟飛躍。
2緒論
伴隨著互聯網和信息技術的飛速發展,電子商務從零到有,并逐步向高水平、規范化發展。十年來中國電子商務始終保持40-50%的高速發展,2009年的中國電子商務并為受到全球金融危機的影響,相反卻在金融危機中爆發出更強的生命力和適應力。2009年中國電子商務市場規模超過35000億元,同比增長48.5%,高于2008年的41.2%。
電子商務的安全法律是指為了保障電子商務在交易過程中的安全性,由國家政府相關部門出臺的對交易過程進行保護的法律。目前,我國就電子商務安全問題已經進行了初步的法律立項實施,但是依然存在較大的漏洞和隱患,需要國家相關部門進一步加強。
安全管理是有效降低我國電子商務交易過程中存在風險的重要手段,特別是在交易過程中,交易雙方進行電子合同簽訂,安全中心不僅要監督買方的及時付款,同時還要監督賣方是否提供與合同一致的貨物。在這些交易環節中,由于網絡虛擬交易的緣故,存在非常大的安全管理隱患。為了有效防止這些安全隱患的爆發,降低風險帶來的損失和傷害,需要國家政府出善的法律保護制度,形成一套互相關聯、互相約束的管理制度體系。
3.電子商務安全
3.1電子商務安全概述
電子商務的運行和交易是基于計算機網絡平臺而展開的,所以安全問題大體上可以分為計算機網絡安全和電子商務系統本身交易安全。沒有網絡,電子商務就不可能存在,網絡作為基礎,其安全性與電子商務安關系密切,在網絡安全的前提下,電子商務系統特有的設計加以保障,兩者相輔相成實現電子商務的整體安全。通俗的說,電子商務的安全就是“電子”和“商務”雙重要求下的安全。
3.2國內電子商務安全問題現狀
3.2.1信息安全環境
2010年,由中國互聯網絡信息中心(CNNIC)和國家互聯網應急中心(CNCERT)在京聯合的《2009年中國網民網絡信息安全狀況調查系列報告》中顯示,2009年,52%的網民曾遭遇過網絡安全事件,網民處理安全事件所支出的相關服務費用共計153億元人民幣。電子商務發展所面臨的信息安全問題嚴重。根據相關調查顯示,90%以上的網民計算機遭遇過病毒、木馬、黑客的攻擊,電子商務交易的安全環境已經受到了嚴重影響。
3.2.2技術與意識現狀
電子商務的安全需要信息技術和使用者意識的同步跟進和提高,才能使交易真正安全。目前國內兩方面因素同時存在,導致電子商務交易安全性下降。一是技術方面:國內防御殺毒軟件整體水平較低,查殺效率和效果不佳,部分電子商務平臺設計存在缺陷,為電子交易安全埋下隱患。二是網民、使用者意識方面:相比于高發的網絡安全事件,仍有4.4%的網民個人計算機未安裝任何安全軟件;不足8%的手機網民安裝手機安全防護軟件,網民安全意識仍有待進一步提升;
盜版軟件使用泛濫;軟件認知低,不懂得區分使用;交易雙方欠缺誠信,即使交易在設計較為完善的電子商務平臺上進行,依然存在欺騙行為。
3.2.3電子商務誠信環境
隨著互聯網的發展,網絡購物(B2B、B2C)作為電子商務的其中分支之一,已經成為了一種消費時尚、熱門購物渠道。據中國互聯網絡信息中心的數據顯示:2009年我國網購市場交易規模為2500億元,較2008年翻了一番。而2010年網絡購物的市場規模應該已超過4300億元。網購人群也大幅度增長,2009年至少在網上買過一次東西的中國網民數歷史性地突破了1億人,達到1.08億人,增長46%。而在2010年,使用過網絡購物的互聯網用戶更是接近2億人。網絡購物已經成為發展最迅速,與網民利益最相關的網絡應用。
與此相比,電子商務誠信環境卻不如人意,甚至隨著電子商務的發展而出現惡化的局勢。2010年,有近28%的互聯網用戶遭遇過虛假釣魚網站、詐騙交易、交易劫持、網銀被盜等針對網絡購物的安全攻擊。目前對我國網絡購物用戶威脅影響最嚴重的還是釣魚網站,在網購用戶所遭遇的安全威脅中有72.4%是釣魚網站的欺騙行為,2010年1-10月,平均每天新增的與網絡購物相關的釣魚網站約為1500個。釣魚網站的典型的詐騙方式主要分為三大類:低價誘惑、交談詐騙、電話詐騙。
3.2.4電子商務信用管理現狀
因為電子商務交易的特殊性,交易雙方不曾謀面,所以關于電子商務的信用管理就顯得尤為重要。為防止電子商務的欺詐行為給網民帶來經濟上的損失,網絡企業以及第三方電子商務平臺都相繼實行信譽管理方法,如信譽評價和信譽等級系統的建立,網絡誠信公約(自律)等等,但由于電子商務發展較晚,管理經驗不足,這些方法和系統存在較多的問題,有待提升。如中國電子商務誠信評價中心推出“中國電子商務誠信評價規范”,其中的誠信紅藍標識制度,認知度極低,據調查發現,有97%人不知紅藍標識的含義。就目前而言,在線信譽評估、等級系統,在設計完善的提前下,可以較為有效的降低了交易風險,因為其交易雙方的歷史信用表現,信用等級都是公開信息,可以作為買賣雙方交易選擇的參考,且其失信成本遠遠大于其利益獲得,好的信用必然可以提升銷售量,這也從側面迫使銷售者提供最好的服務,避免了雙方欺詐行為。交易講究的誠信,信譽系統能最有效地維持雙方可信的商務關系。如目前國內最大的網購平臺淘寶網,它的網商信譽評價和信譽等級系統相對成熟,這種評價系統“為消費者提供了誠信、安全的購物保障,大大提升了網絡購物體驗”。但它依然存在相當多的問題,信用評價流程不合理,在買到相對低劣的產品時,你選擇退貨的同時就喪失了評價的權利,兩者只能選其一,那到底是留著不需要的產品而去評價,還是選擇退貨?惡意中差評現象猖獗,甚至出現惡意差評師這一職業,嚴重影響公平競爭。另外對于返修產品缺乏保障,筆者就遇到過產品寄回返修,遲遲沒有反應,損害消費者利益。信用可信度有待驗證,專業刷鉆組織的出現,使得信用體系的可靠性降低。
4電子商務安全立法現狀
電子商務因其帶來的經濟效益和流行發展趨勢而備受關注,其安全立法問題也得到了國際性組織和各國政府的高度重視,盡快營造全球范圍內的電子商務安全法律環境已成為國際社會的共識。要創造一個適應和規范電子商務安全交易、發展的法律境,政府部門職責首當其沖,在電子商務發展的監管和安全立法中發揮其主導作用。及時了解電子商務即時情況,制定出臺相應的安全保障法律法規,鼓勵、引導、電子商務健康發展,規范、維持必要的網絡市場秩序,這已經成為當前世界各國立法工作的重要任務。電子商務的廣泛性和無界性使得世界各國紛紛出臺相應法律、行為準則和規范辦法來推動本國電子商務安全、健康的發展,旨在抓住信息技術的機遇,提高自身競爭力,從而會的優勢,同時也減少電子商務的交易糾紛、欺詐行為,保障了交易的安全性,為電子商務在全球范圍內的發展掃平障礙。
4.1當前電子商務安全法律、制度尚不完善
電子商務因其基礎網絡這個開放又隱蔽的環境,而顯得比較特殊,其商貿交易行為需要有專門的法律來規范和秩序的維持,目前我國已經相繼出臺了部分法律法規、行為準則,設立了相應的部門來規范、監管和保證電子商務的安全。但與國際電子商務立法現狀和國內電子商務現實狀況相比,顯得比較尷尬。我國電子商務安全法律體系仍然存在較多空白,強針對性的立法需要加快,先行法規則亟需進一步改進和完善。電子商務安全法律的不足之處有:電子交易流程行為規范、用戶隱私保護、法律效力不足,法律滯后,情況描述不清,沒有有效懲戒措施,難以對電子商務中的失信者和破壞者造成較強的約束力。因此強快電子商務安全法律立法和改進已經迫在眉睫。
4.2現有電子商務安全法律
現行電子商務安全法律,具有較強針對性質的較少,大多分散各類法規之中,或是零星提及電子交易安全問題,目前電子商務交易安全的法律法規主要有以下四類:
(1)綜合性的法律。如:《民法通則》和《刑法》中有關對商貿交易的安全保障條文。
(2)對交易主體進行規范的相關法律。如《公司法》、《國有企業法》、《集體企業法》、《私營企業法》、《外資企業法》等;
(3)規范交易行為的有關法律,包括經濟合同法、產品質量法、價格法、消費者權益保障法,反不正當競爭法等等
(4)對監督交易行為進行規范的法律,如會計法、票據法、銀行法等。
國務院頒布的《中華人民共和國計算機信息網絡國際聯網管理暫行規定》和公安部頒發的《計算機信息網絡國際聯網安全保護管理辦法》是兩個對電子商務具有重大影響的行政法規。
另外《中華人民共和國電子簽名法》的頒布也具有重要意義。該法賦予電子簽名與手寫簽名或蓋章具有同等的法律效力,明確了電子認證服務的市場準入制度,標志著我國的信息化立法邁出重要步伐。
4.3電子商務安全立法困難的原因
電子商務發展壯大為商貿交易帶來極大便捷和迅速優越性,成為了經濟的強勁增長點,為全球經濟的發展營造了良好的氛圍,與此同時,因為其特點,也對社會各個領域特別是立法帶來了困難和壓力。
首先電子商務的立法,需要考慮國家和地區之間的差異,協調困難。電子商務基于網絡,而網絡卻已經全球聯通、跨越了地域的界限。它所面對的不只是一個地區、一個國家的市場,而是全球一體化的大市場。各國由于社會制度、政治狀況、經濟發展程度等不同而導致了現行法律法規的不同,要制定可以有效協調、高度一體化的商業和法律規則,談何容易。
其次是電子商務交易處理、傳輸的實質就是對信號脈沖的傳輸和對數字流的處理,這種虛擬的平臺上,雙方的不曾謀面,使得信息資源對商家的商業信用提出了更高的要求。在信息得到廣泛傳播的同時,由于互聯網既開放又隱蔽的特性使得信息的真偽有待驗證,惡意的攻擊、惡意的失信難以發現,即使發現也難以揪出終端背后的那個失信或破壞者,有法難斷或者有法卻找不到應受懲罰的人,而且對于包括制作版權、著作權、商標使用權、數據庫等在內的知識產權保護也成為無法回避的問題。電子商務橫跨領域之廣、利益關聯群體之多,和其有別于傳統商務模式的無形化給稅收體制及稅收管理模式也帶來了巨大的挑戰。
再次,電子信息領域,技術日新月異,電子商務領域的技術進步速度已經超國家適時地調整其法律框架的能力。法律的變革無法做到像電子技術更新一樣的快,也由于新的意想不到的問題的不斷出現,使得適時的法律調整總跟不上電子商務高速發展的步伐。這是需要我們對于現行法律框架從根本上進行反思,困難而想而知。
5電子商務安全立法的對策研究
5.1電子商務安全需求分析
5.1.1主要內容
電子商務是網上公開直接虛擬交易的商務模式,它直接通過網絡進行交易、支付、談判、下單等,在這個過程中蘊藏了大量的商務信息,所以,電子商務的安全問題引起了網民、企業、行業、國家的廣泛觀眾。根據電子商務的交易模式以及重要性分析,電子商務的安全需求主要包括以下幾個方面:
1、信息的完整性;
2、信息的保密性;
3、信息的不可否認性;
4、交易雙方的真實身份信息;
5、系統的可靠性;
6、資金的安全性。
5.1.2涉及領域
通過吸收國外成功的經驗,結合我國自身電子商務發展特色以及社會主義國情特色,我國電子商務安全性的立法主要涉及以下幾大方面:
1、保護消費者的合法權益;
2、交易雙方的個人真實信息;
3、保密和信息的合法性訪問;
4、數字簽名以及第三方認證;
5、計算機犯罪和侵犯問題的有效控制。
5.2電子商務安全立法定位與模式
電子商務的安全法律保障問題,從其整體情況來看,主要表現為兩大層次:第一,電子商務首先表現的是商品交易模式,它的安全需要通過民商法來進行規范保護;第二,電子商務是通過計算機及網絡技術實現的,它的安全很大程度上依賴于計算機及網絡的自身安全程度,這需要網絡的安全管理法律來加以約束和保護。從第一點的角度來看,電子商務安全法律隸屬于商法的范圍。
因此,在立法過程中,重點還是需要從商法的角度,結合其依托計算機網絡技術的特色,從全面化的角度出發,制定出高效規范的電子商務安全法律。
從電子商務安全立法的模式角度出發,電子商務的安全法律主要有以下兩種選擇:第一,在電子商務交易活動的法律中加入電子商務安全性法律內容;第二,另外指定電子商務安全單行法。這兩種模式都有各自的優點和缺點,前者的立法成本低但是保護力度不夠強,后者的立法程序復雜,所需資源多,但是保護力度大。在實際操作中,到底選擇哪種模式,也是當下法律界正在研究分析的重點問題。本文提出的建議是分為兩步走:先采用第一種模式,等條件成熟后而且又加強的需要,再進行第二種模式的立法。這樣不僅可以快速成立相關法律體系,同時也可有效解決資源浪費的問題。
5.3我國電子商務安全性立法的對策分析
5.3.1健全電子商務法律,注重法律的滯后性
健全的電子商務立法體系不僅要包括有網絡服務和網絡管理的法律制度,同時還需要電子商務主體的立法和市場管理制度,以及電子商務交易支付的法律制度、網上商務行為制度、電子稅法制度、客戶個人隱私權保護法。只有建立系統性的法律制度,才能真正發揮電子商務安全法的作用。
在加強電子商務安全法建設的同時,同時也應該注重法律的滯后性帶來的法律效力減弱。法律的滯后性首先表現為法律立法的程序,這是個嚴格的過程,需要問題顯現的非常明白,并對該問題進行有充分的調研數據后,才可能形成立法的基本條件和背景,這個過程是繁瑣的,是復雜的,是需要長時間的。另外,法律要建立起威信,必須較長的時間,在這段長時間里,網絡的發展是非常快的,會發生不同程度內容的問題,而且這些問題會經常超過法律設定的范圍,這些問題在客觀上都表現為電子商務法律的滯后性,使得法律無法體現超前性,大大降低了法律的約束作用。
5.3.2加強立法部門對于電子商務的學習了解
立法部門在實際的工作經驗中,可能只是了解法律相關體系知識,對于電子商務交易模式、支付模式等相關內容可能存在誤解或者不了解的情況,這容易導致立法部門在立法的過程中,過于偏向法律的可行性,而忽略了電子商務法律的可行性。所以,加強立法部門對于電子商務的學習了解,使其真正深入了解電子商務整體運營過程以及涉及內容、存在的漏洞、需要加強的節點以及關聯的群體等內容,從根本上制定高效可行規范的電子商務安全法律,從而降低因誤解帶來的時間拖延、資源耗費等其他損失。
另外,加強立法部門對于電子商務的學習了解的同時,應加強立法部門工作人員對于電子商務立法的重視度,從思想上加強工作人員對于電子商務安全立法的注重,從而加快電子商務安全立法的實施進度。
5.2.3系統化完善,架構法律體系
我國電子商務的飛速發展,對電子商務中的安全問題提出了更高的要求。在建立我國電子商務安全法律時,應多加考慮它與其他法律之間的關聯度,從而架構其整體法律體系,進一步完善安全法律的有效性。具體內容如下:
1、在中國民法基本法原有的基礎上,增加交易安全的理念和內容;
2、在計算機與網絡安全管理的立法上,應針對電子商務在網絡虛擬環境下運行的特點,加強電子商務交易安全保護的法律措施。
3、在商事單行法的立法上,可以適當突破現有民法的一些制度,基于商法的特殊性及獨立性,滿足電子商務較高的安全保護需求。
4、在法律解釋上,全面清理我國最高人民法院作出的司法解釋,剔除掉不利于電子商務安全的言論,對電子商務的安全問題進行重新正確的認識和解釋。
5.2.4配套獎懲措施,提高安全法律威信度
獎懲措施是任何制度得以有效實施的保障制度,這里的獎懲措施具有兩個重要的含義:
第一,是對電子商務安全制度在實施過程出現的良性事件和惡性事件進行適當的獎勵和懲罰,或是進行高度的獎勵和懲罰,從而在加強良性循環的同時,對制度實施過程中的惡性事件作出嚴厲的懲罰,起到殺一儆百的作用,從而有效提高電子商務安全立法的實施力度和效果。
第二,是對進行非法盜取電子商務信息或是破壞電子商務交易的不法分子進行嚴厲的法律制裁,以及對保護電子商務安全的良好事跡進行表揚。我國目前針對盜取電子商務信息或是破壞電子商務交易的不法分子還未建立有效的不法分子,才會使得這些不法分子妄想鉆空子、踩地雷,這也是導致我國電子商務安全出現問題的一大關鍵因素。因此,建立電子商務獎懲措施,有利于提高對不法分子的控制以及提高人民對電子商務安全的保護意識。
5.2.5借鑒國外成功經驗,結合自身特色國情
電子商務是全球性的電子商務,它是無國界、無種族之分的。所以,我國在建立電子商務安全法律時,可立足于國際立法的趨同性取向,借鑒國外成功的電子商務安全法律制度經驗,并且結合我國的自身特色國情。中國的電子商務安全法律,只有爭取與國際立法接軌,才能參與全球性的經濟競爭。例如,新加坡在制定《電子&交易法案》時幾乎全部采用了《電子商務示范法》的相關內容,同時根據《電子商務示范法》的總體精神以及自身國情,增加了部分內容。所以,我國在制定電子商務安全法律時,應盡量吸收國外原有的成果,再結合我國的特色國情,在降低立法成本、節省立法時間的同時,也提高電子商務安全法律的高效性和實用性。
6總結和展望
電子商務的安全問題是關系到電子商務能否繼續發展的關鍵因素。隨著我國計算機網絡科學的逐步發展,某些非法分子對于電子商務安全模式已經越來越熟悉,如果電子商務再不加強安全防范以及法律法規的嚴加約束,電子商務的安全將成為我國經濟法律的一大問題,這對我國經濟、網民、電子商務企業來說都是非常不利的。因此,盡快建立我國的電子商務安全立法,建立有效可行的電子商務安全法律法規,從國家政治制度角度出發,為我國的電子商務發展進行強而有力的安全管束,以促進我國電子商務行業穩步健康的發展。隨著我國電子商務的飛速發展,已經在我國人民生活中扮演的越來越重要的角色,電子商務的安全立法問題已經成為我國法政界、金融界和學術界共同關注的熱點問題,因此,研究我國電子商務安全立法工作,建立科學高效的電子商務安全法律,為我國的電子商務的穩步健康發展奠定良好的基礎,具有非常重要的理論意義和實踐意義。
本文研究的主要貢獻在于:探討了我國電子商務安全現狀以及立法存在的問題與對策。本研究以電子商務基本概念和特色為理論基礎,通過對我國電子商務的安全現狀進行分析,從而形成本研究的整體背景,接著分析我國安全立法的現狀以及存在的問題,最后結合自身所學知識,提出改善我國電子商務安全法律的對策,希望對電子商務安全立法工作的開展能提供一些幫助。但是由于水平的限制以及實際經驗的不足,加上我國目前電子商務法律問題整體上處于不成熟與多樣化的階段,使得本文在研究過程中遇到一些困難,加上文字功底不夠等等,影響到了研究的效果,使得論文尚有以下不足之處:
1、研究過程中,對于我國電子商務安全現狀只選取了幾個主要的現狀進行描述,考慮到本研究報告的篇幅問題,并沒有對全部的現狀進行描述。
2、在對我國電子商務安全立法的現狀進行分析時,只對我國電子商務安全問題的難點以及現狀進行代表性的描述,并未形成系統化的描述。
密碼是一個人的私有信息,通過設置密碼可以在一定程度上保證信息的安全性。在電子商務中會涉及到的銀行賬號的安全、交易信息的安全,都可以通過設置不同類型的密碼來保護。在設置密碼時可以設置不同的密碼,增加所設密碼的難度,定期修改密碼,以及登陸密碼和手機綁定密碼等多種途徑來保護賬號的安全。有很大一部分人喜歡用同樣的密碼,這是一種不好的習慣。可能有人會說:“如果不設置相同的密碼就記不住。”在這種情況下可以采取多種加密形式來保證賬戶安全。現在為了解決安全問題,不同的機構,包括電子商務公司、各大銀行都推出許多加密設備,我們可以選用。
二、數字簽名
在網絡環境中,網絡安全的最基本要求就是通信信息的真實和不可否認性,它要求通信雙方能互相證實,以防止第三者假冒通信的一方竊取、偽造信息。在網絡中實現通信真實性的方法是數字簽名(DigitalSignature)。我們在教學過程中讓學生能掌握的是正確使用自己的數字簽名,學生走上社會做的不是科學研究,是應用型電子商務,主要包括銀行賬號的安全、交易賬號的安全,可以使用不同的認證方法保證信息安全,數字簽名就是一種很好的方法。例如,作為商業機構可以選擇一家公信度較強、通過國際認證的CA認證中心,CA認證中心會對于你每次交易中數字簽名進行處理,證明交易中的身份,保證簽名的不可否認性,加快交易速度,節省交易時間。
三、不輕易打開網站鏈接
在日常店鋪管理中,交易身份的假冒和網站的假冒時有發生,為了防范這種騙局,我們要做的就是不打開不信任的網站,不打開別人發來的鏈接。現在有一些騙子不僅是把自己偽裝成購物網站去騙買家,從而盜取買家的賬號、密碼。也有一些騙子專門去搜索一些新開的網店去欺騙賣家,一是因為新賣家經驗不足防騙知識薄弱,二是新賣家急于讓店鋪發生買賣,因此在交易時當這些不法分子告訴賣家自己進行的交易出現問題而發送鏈接時,賣家沒有仔細查看確認交易就貿然打開了鏈接,給店鋪造成了損失。
四、防火墻設置
近年來,作為保護計算機系統網絡安全的重要措施,防火墻技術正日趨成熟。對于一些與防火墻相沖突的軟件,需要關閉防火墻,有時網絡安全有問題時,又需要啟用防火墻。我們作為專業電子商務人員,要會對自己的電腦進行防火墻設置,設置時可以通過電腦的“控制面板”找到“防火墻”,打開“防火墻”自行設置。防火墻應該一直都處于打開的狀態。
五、計算機病毒防范
電子商務強調企業與商家通過網絡進行實時交流,安全防護的一點疏漏就可能使計算機病毒擴散到整個企業的網絡,可能感染客戶的計算機。因此應對計算機病毒進行防范。要想安全、可靠地防殺病毒,至少應該進行如下的工作:選擇好的防殺病毒軟件保護工作站、服務器;定期進行文件備份工作;定期對網絡進行病毒掃描,異常檢測;盡量多用無盤工作站;對遠程工作站的登陸權限實施嚴格控制,盡量少用超級用戶登錄;定期更新病毒庫;對網絡設備的安全隔離。
六、結語
關鍵詞:電子商務安全解決之策
一移動電子商務存在的安全問題分析
移動電子商務由于利用了很多新興的設備和技術,因此帶來了很多新的安全問題。在傳統電子商務中,很多顧客和企業由于擔心因安全問題蒙受損失而一直對這種高效便捷的商務方式持觀望態度。而移動電子商務除包含大部分傳統電子商務所面臨的各種安全問題外,由于自身的移動性所帶來的一些相關特性又產生了大量全新的安全問題。總的來說,移動電子商務的安全面臨著技術、管理和法律幾個方面的挑戰,與傳統電子商務相比,其安全問題更加復雜,解決起來難度更大。
1.無線竊聽
傳統的有線網絡是利用通信電纜作為傳播介質,這些介質大部分處于地下等一些比較安全的場所,因此中間的傳輸區域相對是受控制的。而在無線通信網絡中,所有的通信內容(如移動用戶的通話信息、身份信息、位置信息、數據信息等)都是通過無線信道傳送的,無線信道是一個開放性信道,是利用無線電波進行傳播的,在無線網絡中的信號很容易受到攔截并被解碼,只要具有適當的無線接收設備就可以很容易實現無線監聽,而且很難被發現。
2.非授權訪問數據
非授權訪問是指未經授權的主體獲得了訪問網絡資源的機會,并有可能篡改信息資源。攻擊者能在服務網內竊聽、非授權訪問用戶的敏感數據。這種訪問通常是通過在不安全信道上截取正在傳輸的信息或者利用技術及產品中固有的弱點來實現。
3.假冒攻擊
在無線通信網絡中,移動站必須通過無線信道傳送其身份信息,以便于網絡控制中心以及其他移動站能夠正確鑒別它的身份。由于無線信道傳送的任何信息都可能被竊聽,當攻擊者截獲到一個合法用戶的身份信息時,他就可以利用這個身份信息來假冒該合法用戶,這就是所謂的身份假冒攻擊。另外,主動攻擊者還可以假冒網絡控制中心。如在移動通信網絡中,主動攻擊者可能假冒網絡基站來欺騙移動用戶,以此手段獲得移動用戶的身份信息,從而假冒該移動用戶身份。
4.移動終端的安全管理問題
很多用戶容易將比較機密的個人資料或商業信息存儲在移動設備當中,如PIN碼、銀行帳號甚至密碼等,原因是這些移動設備可以隨身攜帶,數據和信息便于查找。但是由于移動設備體積較小,而且沒有建筑、門鎖和看管保證的物理邊界安全,因此很容易丟失和被竊。很多用戶對他們的移動設備沒有設置密碼保護,對存儲信息沒有備份,在這種情況下丟失數據或被他人惡意盜用,都將會造成很大的損失。
二電子商務安全管理的解決之策
1.身份認證技術
信息安全的一個重要方面是保證通信雙方身份的真實性,即防止攻擊者對系統進行主動攻擊,如假冒用戶等。身份認證是防止攻擊者主動攻擊的一個重要技術,它對于開放環境別是無線通信中各種信息的安全有重要作用。認證的主要目的,第一驗證消息發送者和接收者的真偽,第二驗證消息的完整性,驗證消息在傳送或存儲過程中是否被篡改、重放或延遲等。口令是最簡單的身份認證技術,安全性較差,因此有一次性口令等多種技術來提高它的安全性。利用密碼技術,特別是公鑰密碼技術可以獲得安全性較高的身份認證功能。保密和認證是信息系統安全的兩個重要方面,它們是兩個不同屬性的問題,一般來說,認證不能自動提供保密,保密不能自然地提供認證功能。
2.WPKI技術
在有線通信中,電子商務交易的一個重要安全保障是PKI。PKI的系統概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題,但在應用PKI的同時要考慮到移動通信環境的特點,并據此對PKI技術進行改進。
3.安全管理模型的建立及實施
對移動電子商務系統的管理過程是一個動態的管理過程,是一個循環反復、螺旋上升的過程,論文嘗試建立一個“閉環”管理模型,將安全管理的各個階段融入于模型之中,然后不斷連續審查整個過程,發現問題時及時更新,及時解決,以便形成越來越完善的安全系統。
制定一套完整的安全方案一套完整的安全方案是實現移動電子商務系統安全的有力保障,移動服務提供商應結合自己實際狀況,從人力、物力、財力等各方面做好部署與配置。由于
安全方案涉及到了安全理論、安全產品、網絡技術、系統技術實現等多方面專業技能,并且要求有較高的認知能力,因此可以聘請專業安全顧問公司來完成,大多安全顧問公司在做安全方案方面有著豐富的經驗,能夠制定出符合需要的合理的安全方案來。
4.制定并貫徹安全管理制度
在對系統安全方案和系統安全處理的同時,還必須制定出一套完整的安全管理制度,如外來人員網絡訪問制度、服務器機房出入管理制度、管理員網絡維護管理制度等等。以此來約束普通用戶等網絡訪問者,督促管理員很好地完成自身的工作,增強大家的網絡安全意識,防止因粗心大意或不貫徹制度而導致安全事故。尤其要注意制度的監督貫徹執行,否則就形同虛設。
關鍵詞:電子商務;身份認證;防火墻
一、有關電子商務的安全性要求
1.對電子商務活動安全性的要求:
(1)服務的有效性要求。電子商務系統應能防止服務失敗情況的發生,預防由于網絡故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能準確快速的傳送。
(2)交易信息的保密性要求。電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。
(3)數據完整性要求。數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。
(4)身份認證的要求。電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
2.電子商務的主要安全要素
(1)信息真實性、有效性。電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
(2)信息機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
(3)信息完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
(4)信息可靠性、可鑒別性和不可抵賴性。可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在internet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
二、電子商務采用的主要安全技術
1.網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。
2.通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。[論/文/網LunWenNet/Com]
3.應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現像這些問題一樣的錯誤。
4.用戶的認證管理
(1)身份認證。電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
(2)CA證書。要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。
(3)安全套接層SSL協議。安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如Ht2tp、Ftp、Telnet等)以保證應用層數據傳輸的安全性。SSL協議握手流程由兩個階段組成:服務器認證和用戶認證。
三、電子商務安全需要進一步完善的配套措施
電子商務要真正成為一種主導的商務模式,尤其對發展中的中國來說,發展電子商務,就必須從以下幾個方面來完善配套措施:
(1)突破關鍵技術受制于人的瓶頸。
(2)我國應盡快對電子商務的有關細則進行立法。
(3)大力開發大型商務網站,發展與之相配套的物流公司。
(4)為了確保系統的安全性,除了采用技術手段外,還必須建立嚴格的內部安全機制。
(5)建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。
(6)對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。[論\文\網LunWenNet\Com]
參考文獻:
[1]吳洋.電子商務安全方法研究[D].天津:天津大學,2006.
[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005(6).
[3]成衛青,龔儉.網絡安全評估[J].計算機工程,2003(2).
[4]甘悅.淺議電子商務信息安全體系的構建[J].西北成人教育學報,2007(2).
[5]周明,黃元江,李建設.電子商務中的安全技術研究[J].株洲工學院學報,2005(1).
[6]張娟.電子商務網絡安全技術探究[J].甘肅科技縱橫,2005(4).
[7]趙乃真.電子商務技術與應用[M].北京:中國鐵道出版社,2003.
通過對影響電子商務交易的網絡信息安全要素進行分析和研究,能夠對電子商務的網絡信息安全問題進行有效解決和保障。下文對網絡信息安全的幾方面要素進行分析。
1.1電子商務交易系統的可靠性
確保電子商務系統的可靠性主要是為了通過一定的控制及預防措施對其系統安全性進行保證,以防出現計算機癱瘓、硬件故障、軟件失效及信息傳輸錯誤等現象的發生。電子商務系統的可靠性及安全性對其傳輸、存儲的信息數據有著十分重要的保證作用,同時對系統的完整性也能夠起到監測作用,利用網絡安全技術能夠有效提高電子商務系統的可靠性。
1.2電子商務交易中的信息真實性
在電子商務交易過程中,交易雙方的身份信息安全性及真實性必須得到保證,即交易雙方必須是實際存在的。由于電子商務交易模式的特殊性,使得交易雙方能夠不同時出現在同地點就能夠通過網絡進行交易,因此在交易前必須先確定雙方建立起信任的關系,并對身份可靠性進行確認。在電子商務交易過程中供應商在履行約定后是否能準時收到貨款,而采購方在交付貨款后收到的貨物質量等問題是否與約定的內容相符,這兩方面的問題對電子商務交易中的信息真實性提出了很高的要求。
1.3電子商務交易中的數據安全性
在電子商務交易過程中所傳輸的數據信息,其安全性必須得到保證。信息若被泄露給未授權方會直接導致經濟等方面的損失。電子商務這種新型的交易方式,其交易信息能夠直接反映出個人、公司或機構等的商業機密。因此,保證傳輸數據不被非法竊取是其交易過程中的關鍵問題之一。
1.4電子商務交易中信息的完整性
在交易過程中通過網絡產生的數據信息完成性須得到保證,并且不能被隨意篡改。相較于傳統的交易方式,電子商務的交易過程具有較大的簡便性,相對簡化的交易程序對人為干擾因素進行了有效避免。但是,在其交易信息的傳輸過程中常常存在數據丟失、交易方欺詐行為等現象,導致最終交易雙方確認的信息不一致。因此,保證資料信息的完整性作為電子商務交易的基礎必須進行提高。
1.5電子商務交易的不可否認性
相較于傳統交易方式通過實際簽字或蓋章的形式對交易信息進行確認,在電子商務交易過程中,交易雙方需要以一種特定的形式對信息進行確認,并且承認信息的發送或者接受,不能隨意抵賴。這就要求電子商務交易中對交易雙方的信息交換通過利用無法復制、具有特點的信息對交易進行確認和保證。
2網絡信息安全對電子商務交易產生影響的主要問題
隨著計算機信息技術的廣泛使用,電子商務通過對其技術進行應用使得自身發展得到促進,同時其便捷性得到了人們的高度認可。電子商務的未來發展空間十分可觀。同時,其交易信息的安全性引起了人們的重視。在網絡信息安全技術的基礎上,電子商務通過利用互聯網信息的開放性特點,實現了不同地域的線上交易形式及其他商業活動的交易全部過程。電子商務這一新型交易模式成為了新時期全球的經濟熱點。由于其交易過程的開放性特征,以及其交易的全球性、共享性及發展動態性的特點,使得電子商務發展中的安全問題受到了社會各界的關注,同時對其自身發展也有一定的制約性。因此,對網絡信息安全對電子商務交易產生影響的主要問題進行研究十分必要。
2.1電子商務系統在運行過程中其網絡信息常常會遭到外界的攻擊,其中有服務性攻擊與非服務性攻擊兩種
非服務性攻擊是指指攻擊者通過利用各種非法手段對網絡的路由器等通信設名進行篡改,導致網絡通信設備無法正常使用或網絡無法正常工作;服務性攻擊即攻擊者通過利用服務器提供某類服務從而使網絡無法運行。拒絕服務是最典型的攻擊行為,通過使電子商務系統的網絡服務器充斥大量待回復的消息致使系統負荷超載、網絡癱瘓。
2.2計算機軟件、硬件的各方面情況對電子商務交易中的網絡信息系統會直接產生影響
計算機硬件主要有交換機、服務器及客戶端等;計算機軟件主要包括應用軟件、網絡操作系統及數據庫系統等。軟件漏洞是其網絡信息系統中最為典型的問題之一,緩沖區溢出現象時常發生并且會造成很嚴重的影響,使得系統程序運行失敗、計算機死機及系統重啟等。因此,必須通過有效措施對計算機網絡的硬件及軟件工作情況進行保證,以確保電子商務系統的正常操作。
2.3在電子商務交易中對信息的存儲和傳輸安全性要進行有效保證
信息的存儲安全性即對聯網狀態中的計算機存儲的信息安全進行保證,以實現未經授權的網絡用戶無法獲得存儲信息。未授權用戶通常會對用戶密碼進行猜測或者竊取,通過各種手段繞過網絡系統的安全認證,并對未授權信息進行非法修改、查看或者刪除;信息的傳輸安全性即對網絡傳輸中的信息數據的安全性進行保證,使其免遭攻擊或者泄露。
2.4電子商務的網絡系統有時也會受到內部的授權用戶的破壞
部分授權的合法用戶在運行電子商務網絡系統時,警惕性較低,將系統的安全密碼等機密信息無意泄露出去,從而導致安全性降低或者網絡受到攻擊。由于系統內部授權用戶自身的專業計算機知識缺乏,錯刪系統文件等行為都會直接對電子商務網絡信息系統的安全性造成破壞。
3提高電子商務中網絡信息安全性的對策
在電子商務交易平臺中,網絡信息的安全問題會出現各種需要解決的情況,為了保證電子商務交易能夠順利進行,對其網絡信息安全必須采取相應措施進行保證,當前主要有以下幾種解決對策:
3.1防火墻
防火墻的由來是中世紀的城堡防御技術,想要進入城堡的人必須通過吊橋并且接受士兵的檢查。從而引申出網絡防火墻技術的概念,即電子商務系統需要以一定的防護措施對用戶的授權等進行把關。
3.2黑客
隨著科學技術水平的提升,很多電腦愛好者的計算機水平也逐漸提高。目前已出現部分計算機水平較高的黑客設法繞過防火墻技術的控制,對電子商務網路系統進行干擾和入侵。因此,應利用相關入侵檢測技術即時地對外界產生的入侵或攻擊進行主動防御,以彌補防火墻技術的漏洞。通過在應用中采取監控措施、在電腦主機上進行監控措施及對網絡信息系統進行監控等辦法能夠有效抵御外界攻擊。
3.3病毒防御軟件
網絡病毒的數量及多樣性對計算機系統及信息等多方面都造成了嚴重的影響。網絡病毒對電子商務系統的運行也造成了惡劣影響。為保證電子商務網絡信息系統的安全運行應利用網絡病毒防御軟件進行保護,并保證交易信息的安全可靠性及速度。
3.4加密和秘鑰
為保證電子商務信息的安全性,應通過使用加密算法對其進行加密,將信息含義隱藏起來,以防外界入侵者的攻擊行為。同時利用密鑰管理技術作為加密信息的解密手段,只有授權合法的使用者能夠操作。
3.5數字信封
在公共網絡上使用傳統的信息加密技術及密鑰管理技術進行信息傳輸十分容易遭到外界的攻擊,可以通過數字信封技術來解決這一問題,能夠對信息在傳輸過程中的安全性進行保證。同時,為保證電子商務交易中的交易雙方能有有效辨識身份信息,通過數字簽名技術能夠實現這一目的,并且對交易信息的可靠性、安全性進行保障,最大程度地提高電子商務交易的效率及質量。
4通過建立電子商務安全機制保證其交易過程
信息及結算信息。同時商務主機需要向相關交易認證機構對客戶的訂單信息進行確認和反饋。因此,保證信息的安全性及完整性十分重要,以避免信息在傳輸的中途被篡改或者竊取,這對交易雙方來說極為重要。確保交易信息的完整性、有效性需要考慮的因素有很多,例如安全管理問題、物理安全問題、介質安全等各種問題,同時在技術上還需保證高要求。應采取相應措施對電子商務系統的訪問權限進行設置并建立安全防務機制。采取驗證身份信息等手段以杜絕信息竊取等危險的發生。通過對數據信息文件進行加密并提升防護安全的級別也可以對信息進行有效保護。在保障信息完整性時即通過建立安全機制確保數據信息不會被篡改或者盜取。安全機制包括訪問限制機制、信息完整性機制及交換鑒別機制等。
4.1無權限訪問控制機制
訪問控制指的是根據已確定好的過濾規則來判定決定訪問者是否擁有對于服務器的訪問權限。訪問控制可確保未無授權權限的訪問者或以未經授權的方式對數據、服務器以及通信系統等資源進行非法的修改、破壞與運行惡意代碼。
4.2數據單元的完整性機制
數據的完整性指的是數據單元的完整性與其序列的完整性。為確保數據的完整性,通常使用如下方式:發送者會在某個數據單元中加上一個經過加密的類似分組校驗、密碼校驗函數等數據自身函數的標記。接收者擁有對應的加密標記,在受到數據后可將對應的加密標記跟接收數據中的標記進行比對,便可以保證數據在傳輸時的完整性。數據單元的序列完整性指的是確定數據的時間標記的正確性與數據的編號連續性,這樣可確保無權限者不會對數據進行創建、刪除、修改等非法操作。如果發生這類對數據的非法修改等惡意操作,會對經濟產生巨大的沖擊。
4.3信息交換鑒別機制
交換鑒別指的是通過進行信息交換的方法來確保實體身份有效合法的機制。進行信息交換鑒別時,通常用到的技術有以下幾種:①口令:發送方設置口令,然后由接收方進行校驗。②數據加密:對將要進行交換的數據進行加密處理,只有擁有權限的用戶方可進行解密,從而得到正確的明文數據。通常實際中,數據加密往往與以下兩種技術混合使用:雙方、三方“握手”或是時間標記。③經公證機構認可的數字簽名:數字簽名指的是通過實體的法律所有權與生理特征進行實體身份的鑒別,實際中一般使用指紋識別與身份信息卡等。
4.4隨機數據發送機制
隨機數據發送指的是保密裝置會網絡中無信息傳輸的任務時,無目的性的發出隨機的數據序列。這樣可以迷惑非法的監聽者,使其無法得知監聽到的數據序列中是否存在有用信息。此種方式一般用來阻止非法的監聽者在傳輸時對數據序列進行監聽、流量流向分析等。
4.5路由器選擇機制
實際中的大型網絡中往往從源節點到目標節點之間會存在很多線路,這其中就存在各條線路安全與否的問題。路由器選擇機制可以為發送方提供選擇安全路由的選項,為數據的安全提供保障。
5結束語
關鍵詞:移動電子商務IEEE802.11WAPWPKI
隨著無線通信技術的發展,移動電子商務已經成為電子商務研究熱點。移動電子商務是將現代信息科學技術和傳統商務活動相結合,隨時隨地為用戶提供各種個性化的、定制的在線動態商務服務。
但在無線世界里,人們對于進行商務活動安全性的考慮比在有線環境中要多。只有當所有的用戶確信,通過無線方式所進行的交易不會發生欺詐或篡改、進行的交易受到法律的承認和隱私信息被適當的保護時,移動電子商務才有可能蓬勃開展。
移動電子商務通信安全的現狀
由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實際上,主要的無線通信技術都有各自的措施、協議和方法來保證各自體制下的通信安全。這里我們將從無線網絡和電子商務應用兩個方面作簡要討論。
無線局域網
無線局域網絡是以無線連接至局域網絡的通訊方式。它采用的是IEEE802.11系列標準。在該標準中,無線局域網的安全機制采用的是WEP協議(有線對等安全協議)。在數據鏈路用WEP加密數據,保證了信道上傳送數據的安全。另外,無線局域網的網絡管理員分配給每個授權用戶一個基于WEP算法的密鑰,這樣就有效阻止了非授權用戶的訪問。
WAP(無線應用協議)技術
WAP由一系列協議組成,用來標準化無線通信設備,例如:移動電話、移動終端;它負責將Internet和移動通信網連接到一起,客觀上已成為移動終端上網的標準。WAP協議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網絡。
WAP的安全機制是通過WTLS(無線傳輸層安全)協議來實現的。WTLS協議類似于互聯網傳輸層安全協議。在無線技術的有限的發送功率、存儲容量及帶寬的條件下,WTLS能夠實現鑒定,保證數據的完整性和提供保密服務的目標。
數字認證技術
對諸如移動電子商務和有重要使命的合作通信等活動,其安全性的一個關鍵方面是能否對信息發送者的身份進行論證,通常都要利用有線安全的公開密鑰基本構架(PKI)。
PKI提供與加密和數字證書有關的一系列技術。但在無線通信環境中,PKI是很難實現的。在只有有限計算能力和低數據流通率的設備上實現PKI中的服務一直是一個有挑戰性的難題。同時在PKI的基礎上,要將無線設備與有線設備之間進行互通也是有難度的。因此無線PKI(WPKI)協議是要將標準的PKI進行修正和簡化,使其在無線通信的環境下達到最優。
移動電子商務安全分析
IEEE802.11的安全
IEEE802.11標準規定了MAC層的存取控制規范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認證節點,使無線通信傳輸像有線網絡一樣安全。
WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發送的數據包,傳輸程序都將數據包的內容與數據包的檢驗組合在一起。然后,WEP標準要求傳輸程序創建一個特定于數據包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數據包進行加密。接收器生成自己的匹配數據包密鑰并用之對數據包進行解密。在理論上,這種方法優于單獨使用共享私鑰的顯式策略,應該使對方更難于破解。
但是,IEEE802.11中用于安全的WEP算法只是提供相當于有線局域網基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發現IEEE802.11存在安全漏洞,有經驗的黑客會利用這些漏洞進行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標準允許IV重復使用(平均大約每5小時重復一次)。WEP標準不提供自動修改密鑰的方法。
最早的WEP實施只提供40位加密,這使得它抗暴力攻擊能力差。現代的系統提供128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網絡放在機構防火墻之外,這種防范措施會強制要求將無線連接當作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。
所以,WEP應該與其他安全機制一起應用才能提供較強的安全。
WAP的安全
WAP規范的安全特性包括幾個部分:WTLS協議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。
WTLS協議:WTLS基于IETF小組的SSL/TLS協議,提供了實體鑒別、數據加密和保護數據完整性的功能,所以可以確保在WAP裝置和WAP網關之間的安全通信。有三種不同級別的WTLS:
1級:執行未經證實的Diffie-Hellman密鑰交換以建立會話密鑰。
2級:使用與SSL/TLS協議相類似的公開密鑰證書機制進行服務器端鑒別。
3級:客戶端和服務器端采用X.509格式證書相互進行鑒別。
早期WAP裝置僅僅采用了第1級別的WTLS,這種級別的安全不夠,所以不能用于電子商務。目前,支持第2和第3級別WTLS的移動裝置從市場上可以得到,它們可以確保網上銀行交易和購物等應用的機密性。
WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術的支持(RSA是強制的,而ECC是可選的)。生產廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網關建立的所有WTLS會話都將使用相同的公匙用作初始會話。每一個會話都將包括與此密鑰對應的一個不同的證書。WIM的基本要求是它們要具有抗篡改的能力。
SignText功能:這個功能為WAP用戶提供了數字簽名。同電子簽名功能一樣,這個功能可以被應用于其他無線設備,或者是手持設備,或者是內嵌SIM卡。
WAP的安全分析:由WAP提供的最好的安全是WTLS3級,多數情況下WTLS已足以確保WAP的安全。但是,由于WAP網關在WAP設備和Web服務器之間起著翻譯的作用,相應的帶來了安全問題:WTLS安全會話建立在手機與WAP網關之間,而與終端服務器無關。這意味著數據只在WAP手機與網關之間加密,網關將數據解密后,利用其他方法將數據再次加密,然后經過TLS連接發送給終端服務器。由于WAP網關可以看見所有的數據明文,而該WAP網關可能并不為服務器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數據。
目前,針對上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網關的安全。如果WAP網關位于WAP服務供應商范圍之內,可以通過諸如在內存中對加密和解密過程進行最優化以減少數據明文存在的時間、在釋放前覆蓋加密解密進程使用的內存以確保數據的安全性。對于安全要求較高的公司可以擁有自己的WAP網關,從而保障數據端到端的安全性。通過WIM實現數據安全性。
WPKI技術
在有線通信中,電子商務交易的一個重要安全保障是PKI。PKI的系統概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題,但在應用PKI的同時要考慮到移動通信環境的特點,并據此對PKI技術進行改進。
WPKI技術滿足移動電子商務安全的要求:即保密性、完整性、真實性、不可抵賴性,消除了用戶在交易中的風險。WPKI技術主要包含以下幾個方面:
認證機構(CA)CA系統是PKI的信任基礎,負責分發和驗證數字證書,規定證書的有效期,證書廢除列表。
注冊機構(RA)RA提供用戶和CA之間的一個接口。作為認證機構的校驗者,在數字證書分發給請求者之前對證書進行驗證。
智能卡智能卡將具有存儲、加密及數據處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點,在生產過程、訪問控制方面有很強的安全保障。很多種需要客戶端認證的應用都可以使用智能卡來實現。并且智能卡也是存儲移動電子商務密鑰及相關數字證書的最佳選擇。
加密算法加密算法越復雜,密鑰越長則安全性越高,但執行運算所需的時間也越長(或需要計算能力更強的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協處理器的芯片。而ECC使用較短的密鑰就可以達到和RSA算法相同的加密強度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運算量小同時能提供高加密強度的公鑰密碼體制對在智能卡上實現數字簽名應用是至關重要的,ECC在這方面具有很大的優勢。
綜上所述,在WPKI機制下,數字證書非常重要,但是由于無線信道和移動終端的限制,如何安全、便捷地交換用戶的數字證書是WPKI所必須解決的問題。可以采用以下2種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動證書標識,將標準的一個X.509證書與移動證書標識唯一對應,并且在移動終端中嵌入移動證書標識,用戶每次只需要將自己的移動證書標識與簽名數據一起提交給對方,對方再根據移動證書標識檢索相應的數字證書即可。
目前,大多數移動電子商務采用的安全方式是非PKI的方式,這種方式主要采用對稱加密算法和單向散列函數來提供安全服務,其密鑰的管理是由移動運營商建立一套主密鑰管理系統,為不同的服務提供商分配不同的密鑰,每次交易過程中,服務提供商與用戶協商產生會話加密密鑰。顯然,采用這種方式構建的系統的安全性主要取決于主密鑰的安全。
盡管非PKI方式對于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統的安全得到較好的保障,但是從長遠來說,移動電子商務有必要逐步過渡到PKI方式。
移動電子商務隨著移動互聯網技術的成熟發展迅速,其獨特的應用領域使得其安全問題倍受關注。從技術角度上看,一方面無線通信的安全處在不斷地發展和完善之中,其應用到移動電子商務中時要與其它的安全機制相結合才能滿足實際應用的需要;另一方面有線電子商務的安全技術不能解決移動電子商務的安全問題,所以WPKI技術是一個現實的選擇。因此,將這兩方面進行改進并進行有機整合,才能營造一個安全的移動電子商務環境。
參考文獻:
1.儲節旺,郭春俠.移動電子商務研究[J].現代情報,2002,3(3)
2.姜志,聶志鋒.移動電子商務及其關鍵技術[J].湖北郵電技術,2002,9(3)
