电子商务安全范文

时间:2023-02-27 11:09:21

引言:寻求写作上的突破?我们特意为您精选了12篇电子商务安全范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。

电子商务安全

篇1

中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 05-0000-01

On the E-Commerce Security

Zhang Jindong

(Computer Science College of Qinghai Nationalities University,Xining810007,China)

Abstract:With the popularity of computer networks,Internet-based e-commerce has made this year a great development,but security is always restrict the further development of electronic commerce,this paper e-commerce security and management and security issues raised a number of view.

Keywords:E-commerce security;Firewall;Virus

要说电子商务安全,必须了解什么是电子商务,电子商务与网络的关系。只有先理清这些感念与联系才能更好地理解电子商务安全。

电子商务最早产生于60年代,发展与90年代。随着计算机的全民普及和网络的高度发展,电子商务也逐具规模,而且越来越大,并且伴随着信用卡的普及应用,其方便、快捷、安全等优点成为人们消费支付的重要手段,为电子商务中的网上支付提供了重要途径,使得电子商务大有一发不可收拾之势,而事实也是如此。

那么,什么是电子商务?首先将电子商务划分为广义和狭义的电子商务。广义的电子商务定义为,使用各种电子工具从事商务或活动。这些工具包括从初级的电话、广播、电视、传真到计算机、计算机网络,需求活动到泛商品的合理、合法的消费除去典型的生产过程后的所有活动。狭义电子商务定义为,主要利用Internet从事商务或活动。电子商务实际上是电子与商务的结合,即电子商务是商务活动主题在法律允许的范围内利用电子手段和其他客体要素所进行的商务活动过程。

随着电子商务的迅猛发展,以网络平台为基础,电子商务将传统的商务流程电子化、数字化,一方面以电子流代替了实物流,可以大量减少人力、物力,降低了成本;另一方面突破了时间和空间的限制,使得交易活动可以在任何时间、任何地点进行,从而大大提高了效率。另一方面,电子商务所具有的开放性和全球性的特点,为企业创造了更多的贸易机会。

虽然,电子商务带给人太多的方便和惊喜,但是也会使人蒙受巨大损失。比如,网络游戏玩家,用网上银行冲点卡,还有随着电子商务的发展而迅速泛滥的电子商务类网站,如淘宝,当当,顾客在其网上购买商品时,也同样需要用网上银行支付,因为网络安全管理不健全,从而使银行卡账号和密码失窃。从而导致巨大损失。还有就是,电子商务商品物流配送上,经常出现商品、货物丢失情况。也是电子商务存在的一方面隐患。

电子商务安全是一个系统概念,不仅与计算机系统结构有关,还与电子商务应用的环境、人员素质和社会因素有关。包括电子商务系统硬件安全、电子商务系统软件安全、电子商务系统运行安全、电子商务安全立法。电子商务的安全问题是由计算机安全性,网络安全性发展而来的。包括交易的安全和数据的安全,系统运行的可靠性。其中交易的安全又是电子商务发展的核心和关键问题。交易对安全性的要求有如下几个方面:(1)有效性,因为交易对于交易双方都是一件十分严肃的事情,双方都对交易的信息认可。(2)保密性,即要求交易的信息只有交易双方知道,第三方不能通过网络获得。(3)完整性,包括过程的完整和数据资料的完整。(4)交易者身份的确定性,这是信用的前提。

虽然各种有效的手段可以保证电子商务的基本安全,但是层出不穷的病毒入侵和黑客攻击使得电子商务安全仍然是一个令人头痛的问题,那么如何加强电子商务的安全呢?

这里就涉及到了很多网络安全方面的知识了,我们来重点的说说防火墙。

在网络中,所谓的防火墙。使指一种将内部网和公众访问网分开的方法,它实际上使一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你同意的人和数据进入你的网络,同时将你不同意的人和数据拒之门外,最大限度的组织网络中的黑客来攻击你的网络。

防火墙有以下几方面的优点:

(1)防火墙哪呢个强化安全策略

(2)防火墙能有效地记录Internet上的活动。

(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。

为了实现电子商务的快速发展,为中国的电子商务发展能够迅速跟上发达国家的步伐,能够发挥出其巨大的潜在优势,使电子商务能够为民生和国家的长足发展做出更大的贡献,就应该解决制约电子商务发展的瓶颈――电子商务安全问题。我认为:

篇2

1 引言

电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。

2 电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:

2.1 信息真实性、有效性

电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.2 信息机密性

电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

3.3 信息完整性

电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

3.4 信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet 上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。

3 电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。

所以就整个电子商务安全系统而言,安全性可以划分为四个层次,

1) 网络节点的安全

2) 通讯的安全性

3) 应用程序的安全性

4) 用户的认证管理

其中2、3、4 是通过操作系统和Web 服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。

3.1 网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。

防火墙是在连接Internet 和Intranet 保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet 系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

3.2 通讯的安全

在客户端浏览器和电子商务WEB 服务器之间采用SSL 协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40 位加密强度,也可以考虑将加密强度增加到128 位。为在浏览器和服务器之间建立安全机制,SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL 链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

3.3 应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。

3.4 用户的认证管理

1) 身份认证

电子商务企业用户身份认证可以通过服务器CA 证书与IC 卡相结合实现的。CA 证书用来认证服务器的身份,IC 卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID 号和密码口令的身份确认机制。

2) CA 证书

要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA 证书,它由认证授权中心(CA 中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA 中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL 安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

3) 安全套接层SSL 协议

安全套接层SSL 协议是Netscape 公司在网络传输层与应用层之间提供的一种基于RSA 和保密密钥的用于浏览器与Web 服务器之间的安全连接技术。

SSL 通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,Certificate Authority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。

SSL 协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Http、Ftp、Telnet 等)以保证应用层数据传输的安全性。

SSL 协议握手流程由两个阶段组成:服务器认证和用户认证。

①服务器认证

客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。

②用户认证

经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。SSL 协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web 服务器内置,便于在电子交易中应用。但SSL 是一个面向连接的协议,起初并不是为了支持电子商务而设计的,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL 协议不能协调各方面的安全传输和信任关系。为此,开发出了在网络应用层中专为电子商务而设计的SET 协议。

4 安全管理

为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。

5 结束语

安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。

参考文献

[1] 吴洋.电子商务安全方法研究[D].天津大学, 2006.

篇3

1.引言

随着信息技术和Internet的飞速发展,电子商务,特别是通过Internet进行的电子商务成了电子商务应用和发展的主要推动力。然而,由于Internet的高度开放性而随之带来的安全问题,严重影响了电子商务的广泛应用和发展。而目前的各种电子商务安全技术和安全协议的局限性,使得加强对基于Internet的电子商务安全管理策略的研究,有效地对各种电子商务安全技术和安全协议进行有效协调和应用,对于抵挡各种电子商务安全问题的冲击,无疑为人们在电子商务安全技术研究领域之外,提供了一个新的途径和方法。

2.电子商务安全管理策略的制定

2.1制定电子商务安全管理策略的目的

制定电子商务安全管理策略的目的是为了能够有效地保障电子商务系统安全、完整、正常地运行而不受破坏和于扰;能够有序地、客观地鉴别和测试电子商务系统的安全状态;能够对可能存在的风险有一个基本的评估;而当电子商务系统遭受破坏后能够采取及时有效的恢复措施和手段,并且对其所需代价有一定的估计。

对基于Internet的电子商务活动来说,构建一个安全的电子商务网络系统应首先确定其安全管理策略。解决电子商务安全问题,制定电子商务安全管理策略应从物理安全、网络安全、信息安全访问授权、病毒防范、灾难恢复等多角度、多方面考虑。

2.2电子商务安全管理策略制定原则

电子商务安全管理策略的制定就是针对电子商务系统中所要保护信息的、被攻击的可能性、投入的资金状况等,在电子商务系统管理的整个过程中,根据实际情况具体地对各种电子商务安全措施进行选择。有效的电子商务管理策略可以说是在一定条件下的成本和效率的平衡。虽然电子商务的具体应用环境不同,但我们在制定电子商务安全管理策略时一般都应遵守下面一些原则。

(1)综合性、系统性原则

该原则要求用系统的观点和方法来分析整个电子商务系统的安全问题,要求在综合各方面情况后制定相应的具体可行的安全措施。

(2)平衡分析原则

由于目前技术条件的限制,绝对安全的电子商务系统是做不到的。因此,要在对电子商务系统面临的威胁和可能承担的风险进行充分研究后,再结合目前的技术和资金条件制定相应的安全措旆以达到安全与价值的平衡。

(3)易操作性原则

再好的安全措施,都要由人来完成.因此,如果措施过于复杂,不便操作,那么电子商务系统的安全性也就无从谈起。

(4)适应性和灵活性原则

安全防范措施必须要能够随着电子商务系统性能、技术环境以及安全需求的变化而作出相应的调整以适应安全要求。

(5)多级保护原则

受目前技术条件限制,任何安全措施都有可能被攻破。因此,建立一个多级保护的系统,当其中某一层被破坏时,另外的层次也能起到防护作用。

2.3电子商务安全管理策略制定步骤

制定电子商务安全管理策略通常都包括以下几个步骤:

(1)确定目标

安全管理策略目标包括电子商务系统中被保护的对象,实现的方法和途径。

(2)明确范围

确定电子商务安全管理策略所要保护的资源范围以及相关保护环境的界定。

(3)争取来自高层管理的支持

来自电子商务系统所属单位的高层支持,对于保障电子商务安全管理措施的顺利运行,以及技术资金上的保证,都有重要的意义。

(4)评估危险

尽可能地对影响电子商务安全的各方面因素考虑周全,对可能存在的危险作出较为准确的评估,以便为制定安全管理策略提供依据。

(5)制定策略

完成前面几个步骤后,接着就根据经济和技术实力确定一个相对满意的安全策略。

(6)策略评估调整

在策略制定后,应评估其是否达到目标,以及当安全需求变化时作出适时的调整。

3.电子商务安全管理策略的基本内容

基于Internet的电子商务安全管理策略涵盖范围很广,一个完整的电子商务安全管理策略一般都可以分为物理安全策略、网络安全策略以及灾难恢复策略等。

3.1物理安全策略

物理安全策略是整个电子商务安全管理策略的不可忽视的重要基础。在基于Internet的电子商务整个交易过程中,对电子商务系统包含的相关物理设备有相当高的安全要求。影响电子商务系统安全的物理安全风险主要有自然灾害风险、人为风险和硬件防护风险。相应的物理安全策略也围绕上述三个物理安全风险展开。

(1)自然灾害安全防范策略

主要包括防火、防水和防雷措施。设备所在场所应避免火灾、水灾的发生并采取相应的隔离措施以保证在意外火灾、水灾下的设备防护。另外,电子商务系统的设备主要由电路组成,因此制定全方位、安全灵活的防雷措6S显得非常有必要。

(2)人为风险防范策略

人为风险包括人为的操作错误引起的安全问题、设备防盗以及计算机犯罪问题等。

人为操作方面引起的风险可以通过建立和健全安全制度来加以防止,同时加强和培育安全意识。对于设备防盗问题,如果资金允许,可以建立较为完善的防盗系统,如果资金不足,可以通过加强内部管理的方法加以解决。对于内外部人员的计算机犯罪问题,一是通过法律途径解决;二是加强自身安全防范。

(3)硬件防护策略

硬件防护包括电磁防护和硬件设备维护。

硬件维护包括服务器及其他相关设备的电源保护、有效的防静电措施以及要抑制和防范电磁泄露与电磁干扰。关于硬件设备维护,如果条件允许,可以增加设备信息保护装置。另外除了日常维护以外,还需要定期对设备进行检修。

3.2网络安全策略

网络安全是电子商务系统安全的核心,需要从技术和管理两方面入手,因此,网络安全策略分为技术策略和管理策略。

(1)技术策略

安装使用网络安全检测设备和相关软件

借助一些专用的网络安全监控设备和软件,加强对各种不法行为的监控和防范。

加强网络访问控制

访问控制是网络安全防范和保护的主要策略。它包括入网访问控制、网络权限控制、网络监测和锁定控制等。

采用防火墙技术

防火墙用来检查通过内部网和外部网间的信息往来,它可以鉴别网络服务请求是否合法,以便采取响应或拒绝的措施。

数据加密

数据加密是采用一定的加密技术,以防在传输过程中数据一旦被截获不致造成信息的泄露,其核心是加密的方式以及密钥的分配和管理。

引入鉴别机制

鉴别是查明另外一个实体身份和特权的过程,以确定其合法性,并作出响应。

(2)管理策略

加强电子商务网络系统的日常管理和维护

建立严格的保密制度

加强对管理人员监督和培训,落实工作责任制

建立跟踪、审计和稽核制度

完善病毒防范制度

建立健全相关法律法规制度

3.3灾难恢复策略

对于电子商务系统来说,灾难主要指意外的自然灾害以及黑客攻击等原因造成数据库受到的破坏。灾难恢复策略是为了在数据资源遭受破坏后迅速恢复系统功能,最大程度地保持数据资源的完整性,将损失降至最低。因此,灾难恢复主要包括备份和恢复两个环节。

(1)灾难备份

确定备份方案

建立数据恢复中心

建立完善的备份制度

(2)数据恢复

评估数据损失情况

确定数据恢复方案

恢复数据

4.结论

对基于Internet的电子商务系统来说,一个完善的安全管理策略,能够保障系统的正常运行;能够有序地、经常地测试安全状态;能够对可能的安全风险有一个基本的评估;能够在系统遭破坏后及时采取补救措施。

基于Internet的电子商务安全所面临的威胁是多种多样的,各种问题还会不断出现,同样,电子商务安全技术和安全协议也是不断发展的,因此,电子商务安全管理策略需要电子商务理论界和实业界进一步研究和完善。

主要参考文献

[1]甘早斌.电子商务概论(第二版)[M].华中科技大学出版社,2003.

[2]钟诚.电子商务安全[M].重庆;重庆大学出版社,2004.6.

篇4

中图分类号:F123.9文献标志码:A文章编号:1673-291X(2011)19-0199-02

一、电子商务安全评估概述

1.电子商务安全评估的定义。电子商务安全评估是运用系统的方法,对电子商务系统、各种电子商务安全保护措施、管理机制以及结合所产生的客观效果作出是否安全的结论。

2.电子商务安全评估的重要性。由于信息技术本身有其固有的敏感性和特殊性,这就使得对企业电子商务产品是否安全,电子商务安全产品及其网络系统是否可靠,企业电子商务系统是否健壮,电子商务管理是否严格,信息风险防范的准备是否充足等方面都成为需要科学评价和证实的问题。电子商务安全系统所保护的是敏感信息,评估必须可靠、可信、可操作,并且能依赖于成熟的信息安全理论、科学的评估方法和完善的标准体系,具有令人信服的科学性和公正性。

3.电子商务安全评估的主要内容。具体来讲,电子商务安全评估的主要内容有环境控制、应用安全、管理机制、远程通信安全、审计机制等五个方面的内容。环境控制分为实体的、操作系统的及管理的三个部分。应用安全包括输出输入控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。管理机制包括规章制度、紧急恢复措施、人事制度(如防止工作人员调入、调离对安全的影响)等。远程通信安全包括加密、数据签名等。审计机制包括系统审计跟踪的功能和成效等。

二、电子商务安全

1.电子商务安全需求。在电子商务中,任何与交易有关的信息都通过网络交换,都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护:(1)完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。(2)真实性保护。能对交易者身份进行鉴别,为身份的真实性提供保证。(3)机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。(4)抗抵赖。抗抵赖就是为交易的双方提供证据,以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。

2.电子商务安全隐患。电子商务不但面临着其系统自身的安全性问题,计算机及通信网络的安全性问题同样会蔓延到电子商务中。归结起来,电子商务中的安全患主要有其应用层、传输层、存储层和系统层等四个方面:(1)系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础,因此系统层所的安全性漏洞将直接会造成电子商务中的安全患。(2)存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题:1)意外情况造成的数据破坏。无论多么稳定的系统,意外情况总是不可避免的,电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情况造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。2)有意人为侵害造成的破坏。电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。(3)传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获,传输过程中的数据完整性破坏以及跨平台数据交换引起的数据丢失等三个方面的问题。(4)应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。

3.电子商务安全要求。(1)信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后,这项交易就应受到保护以防止被篡改或伪造。(2)信息的保密性要求。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。(3)信息的完整性要求。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。(4)信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键。(5)交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功,必须互相信任,确认对方真实,对商家要考虑客户是否有信誉。(6)系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。

4.电子商务安全技术。通过使用各种密码技术,可以满足不同的安全需求。(1)完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算,产生消息认证码,并将它附着在消息之后一起传给接收方,接收方在收到消息后可以重新计算消息认证码,并将其与接收到的消息认证码进行比较:如果它们相等,接收方就认为消息没有被篡改;如果它们不相等,接收方就知道消息在传输过程中被篡改了。(2)真实性保护技术。真实性保护技术用来确认某一实体所声称的身份,以对抗假冒攻击。在电子商务中,交易信息通过网络转发,可能在传输过程有一定的延迟,需要通过数据源鉴别来确认交易信息的真正来源。(3)机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。(4)抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题,必须在每一事件发生时,留下关于该事件的不可否认证据。当出现纠纷时,可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。

三、电子商务安全评估的标准

标准是技术性法规,作为一种依据和尺度。没有标准,国家有关的立法、执法就会因缺乏相应的技术尺度而失之偏颇,最终会给国家信息安全的管理带来严重后果,建立评估标准的目的是建立一个世界各国都能接受的通用的信息安全产品和系统的安全性评价准则,国家与国家之间可以通过签订互认协议,决定相互接受的认可级别,这样就能使大部分的基础性安全机制在任何一个地方通过评估准则评价并得到许可进入国际市场时,不需要再作评价,使用国只需要测试与国家和安全相关的安全功能即可,从而可以大幅度节省评价支出并迅速推向市场。但是,由于信息安全产品和系统的安全性评价事关国家和安全利益,所以没有一个国家会把事关国家安全利益的信息安全产品和系统的安全可信性建立在别人的评价基础上,而是在充分借鉴国际标准的前提下,制定自己的测评认证标准。在计算机信息技术安全标准发展的历史上,美国、加拿大、欧盟以及中国开发出了多种计算机系统及产品安全评估准则与标准。

四、电子商务安全的国际评估标准

1.TCSEC――美国计算机安全标准。TCSEC―可信计算机系统评估准则。1985年,美国了第一个计算机安全标准,即现在经常谈论的可信计算机系统评估准则(TCSEC),由于采用了橘色书皮,也称“橘皮书”。TCSEC中定义的准则主要涉及商用可信自动数据处理系统。准则中描绘了不同安全等级的最低要求特点和可信措施。其目的之一是为生产厂家提供一种安全标准,二是为国防部评估信息产品可信度提供一种安全量度,三是为了产品规格中规定的安全要求提供基准。可信计算机系统评估准则的安全等级分为A、B、C、D四级。其中A为最高级,D为最低级。每级的具体划分确定按安全策略、可计算性、可信赖性和文件编制四个方面进行。

2.ITSEC――欧洲信息技术安全评估准则。欧洲信息技术安全评估准则(ITSEC)将安全功能和功能评估的概念区分开来。每个产品最少给出两个基本参数,其中一个是安全功能,另一个是实现的准确性。功能性准则的度量范围为F1~F10共十级,其中F1对应了TCSEC的C1级……F5对应于B3级。F6~F10的功能和规格添加了下述一些概念:F6添加了数据和程序的完整性概念;F7添加了系统可用性概念;F8添加了数据通信完整性概念;F9添加了通信机密性概念;F10添加了网络安全,包括机密性和完整性概念。

参考文献:

[1]刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008.

篇5

电子商务不同于传统的经济交易模式,是一种依托计算机技术与互联网平台而建立起来的新型交易模式。电子商务提供给消费者更多的消费选择、更丰富的消费种类以及更方便快捷的交易方式。近年来,电子商务在我国乃至全球都处于一种高速发展的态势,与此同时,由于电子商务建立在互联网这样一个开放的交流平台上,利用现代信息技术,交易方之间的联系相比传统的交易方式也更加多样且密切。互联网本身就存在各种安全问题,电子商务的安全问题也就越来越突出。牵一发而动全身,网络交易中出现的安全问题会使小至个人交易,大至国家金融都受到威胁。提高电子商务的安全性迫在眉睫。

1电子商务的安全问题

在电子商务发展的过程中最主要的一个问题就是要切实保障交易双方在交易过程中的安全性。目前我国电子商务的安全技术比较落后,缺乏国际水平的安全技术的加持。设备体系不够健全、完善。保证安全性的产品技术不过硬,不能够适应越来越复杂的电子交易环境。在电子商务的发展过程中,容易出现各种人为导致或自然产生的机器与系统故障,以及来自内部和外部的病毒入侵。严重影响到电子商务的安全。在交易过程中,则存在买卖双方的欺诈行为,各种不良交易方式与投机手段,对买家的个人信息进行窃取,不承认交易事项等。

2电子商务安全的要素

1)有效性。电子商务的发展需要我们对更多的经济事项予以确认。信息的有效性保证到交易过程中每一位参与者的利益。要对信息技术与网络过程中的问题与故障做到有效、及时的预防与处理,防止各种病毒的入侵,技术故障对正常交易的影响。并保证交易过程中数据等的有效性。2)机密性。传统的交易模式中,信息之间有着可靠的交换渠道。互联网是一个开放的平台,在此平台运作的电子商务更需要提高自身的机密性,电子系统将信息进行加密,对信息的传送过程更严格的监控,以预防信息随时被不法分子拦截。3)可靠性。传统的交易中。交易双方的交易有签名、印章等来保证交易的真实性与可靠性。在电子交易中,交易则突破了空间的界限,不能通过太多保证性质的契约来确保交易的可靠性。电子商务系统要为交易双方提供可以检验对方具体情况的体系,来验证双方的真实性。为电子交易保驾护航。

3电子商务的安全技术

电子商务的发展依赖于互联网环境,而互联网中常常发生各种不可控的安全问题。电子商务发展的不断深入也需要其提高自身的安全性,下面的各项技术对提高电子商务的安全性有很大的帮助。1)加密技术。作为电子商务中基础的安全技术,加密技术分为对称加密和非对称加密。对称加密就是使用相同的加密算法,将专用的密匙交换。在密匙交换的过程中要保证交易双方的交易信息没有外泄。非对称密匙则分为公开密匙和私有密匙。公开密匙对外公布,私有密匙的信息由密匙者保管。得到公开密匙的用户可以将加密信息发送给密匙的者,跟据加密信息将公开密匙与私有密匙解密。对称密匙的优点是加密速度快,但是在密匙传达过程中容易被不法分子拦截、破解。非对称密匙的算法难度系数高,效率比较低,但是保密性则优于对称加密。2)防火墙技术。防火墙技术就是在网络之间建立一个保护层,对网络之间的访问进行监管与控制,内部网络与外部网络之间的任何联系与交流都需要受到保护层的监控,使防火墙内的网络免受外部不安全的服务和非法信息的攻击与入侵,在内部网络之外形成一道防火墙来保证内部网络的安全与顺畅。3)数字摘要。数字摘要就是使用函数将加密的明文摘要成固定长度的密文。密文与明文相互关联,不同的明文加密为不同的密文,相同的密文数字摘要也相同。收到信息之后利用方法计算出结果,如果计算结果与摘要相同,通过数字摘要就可以检测出接收到的明文是否是原始的有没有经过改动。从而确保信息的完整性与真实性。4)数字签名。数字签名是发送方从报文文本中生成一个散列值,利用公开密匙的计算方法与散列函数,将散列值加密形成数字签名。再将数字签名传输给接受方,接收方根据内容计算出散列值,再用发送方的公开密匙对报文的数字签名进行解密,若散列值一致,则说明接收方接收到了来自发送方的数字签名。通过数字签名可以对电子商务交易事项的真实性做出判断。5)数字凭证。数字凭证是利用电子手段来判断用户的身份,在电子交易过程中,双方利用各自的数字凭证来进行各项操作。公匙对应各自的数字证书,私匙则通过安全的方式传给用户。在凭证中,常用的是个人凭证与企业凭证,个人凭证在单人用户的电子商务交易过程中保障其的安全,拥有企业凭证的企业则可以通过网络服务器,来进行安全的电子商务交易。6)数字信封。数字信封则是对数据进行加密。SET消息发送时,利用DES密匙将SET消息进行加密,并用公匙把密匙加密,形成数字信封,将信息一起发送给接受者。私人密匙只有接受者才能得到,数字信封中的信息也只有接受者才能看到。数字信封加大了安全性能,保障了信息的私密性。7)CA认证。在以上各安全措施得以顺利进行的过程中,需要一个第三方认证机构的参与。CA认证中心就是这样一个具有权威性的认证机构。电子商务交易过程中的用户在申请数字证书的时候,CA认证中心就对各用户的具体情况进行检查与核实,提供身份认证服务,达到申请条件的用户则颁发数字证书。认证中心只掌握用户的公开密匙,使认证中心自身的安全性得到保障。

4结语

现代经济的不断发展与进步也会催生越来越多的经济交易新模式。电子商务在目前的经济发展领域与互联网发展领域中都占有越来越重要的地位。建立一套完整的电子商务安全体系,保证交易事项单位顺利进行,保障交易参与者的利益,提高电子商务的安全性。使我国的电子商务能更快、更好、更安全的发展。

作者:张云青 单位:长春信息技术职业学院

参考文献:

篇6

一、引言

当前的电子商务是指通过电子方式的商务活动。它作为一种全新的业务和服务方式,为全球客户提供了丰富的商务信息、便捷的交易过程和廉价的交易成本。但是,电子商务给人们带来方便的同时,也把人们引入安全忧虑之中。买方担心在网络上传输的信用卡及个人资料被截取;卖方则担心收到的是被盗用的信用卡号码,或是交易不认账等,这些存在的安全漏洞问题已成为阻碍网上交易发展的首要问题。相对于传统商务,电子商务对管理机制、实施平台和信息传递技术都提出了更高的要求,其中安全体系的构建尤为显得重要,已成为电子商务能否得到进一步发展和推广的关键所在。

二、电子商务安全体系结构

1.电子商务中存在的安全隐患和威胁

Internet是电子商务实现的网络基础,它采用TCP/IP完成不同网络与不同计算机之间的通信,正是由于这些特点,使它给电子商务带来了很多的安全问题。Internet的安全隐患主要体现在四个方面。

开放性和资源共享是Internet的主要优点,但它带来的问题却不容忽视。因为当甲方在很容易的访问乙方时,如果没有采取任何措施,乙方同样很容易的访问甲方的计算机。

Internet采用的协议TCP/IP并未采用任何措施来保护传输内容不被窃取。它是一种包交换网络,每个数据包在网络上都是透明传输的,并且可能经过不同的网络,由路由器转发到达目的计算机。数据在传输过程中可能会遭到IP窥探、同步信号淹没、TCP会话窃听、复位与结束信号攻击等威胁。

Internet底层的操作系统如UNIX,由于源代码的公开,很容易发现漏洞,给Internet用户带来安全问题。

相比较传统信函,电子化信息就缺乏可信度,电子信息是否准确很难由其本身来鉴别。在Internet上传递电子信息时,难以确认信息发送者及信息是否被正确无误地传递给对方。

由于Internet存在上述安全隐患,将给电子商务带来如下的安全威胁。

由于非法入侵,造成商务信息被纂改、窃取或丢失。

商业机密在传输过程中被第三方获悉,被恶意破坏。

虚假身份的交易对象及虚假订单、合同。

贸易对象的抵赖。

由计算机系统故障造成的对交易过程和商业信息安全的破坏。

综上所述,电子商务面临多方面的威胁,存在许多安全隐患。

2.电子商务的安全性内容

要使电子商务健康、顺利发展,必须解决好以下几种关键的安全性要求。

(1)保证信息的保密性和完整性。在交易过程中必须保证信息不被非授权用户窃取,数据在输入和传输过程中能保证数据的一致性。

(2)不可否认性。它是指信息发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。

(3)真实性。商务活动交易双方身份是真实的,不是假冒的,不存在的。

(4)系统的可靠性与内部网络的严密性。在计算机失效、程序错误、传输错误、硬件各种及计算机病毒等潜在威胁下,有容错处理机制、数据恢复能力,确保系统安全、可靠。对企业内部网络而言,要保证内部网络不被入侵。

3.电子商务安全技术体系结构

电子商务的安全技术体系结构是保证电子商务中数据安全的一个完整逻辑结构,如图所示。其中,下层是上层的基础,为上层提供技术支持。上层是下层的扩展与递增。各层相互联系、相互依赖的构成一个整体。通过不同的安全控制技术,实现各层的安全策略,有效保证了电子商务系统的安全。

三、电子商务的安全技术

1.防火墙技术

防火墙是建立在内外网络边界上的过滤封装机制,内部网络被认为是安全和可信赖的,而外部网络(通常指Internet)被认为是不安全和不可信赖的。防火墙的主要目的是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略。

防火墙的主要技术有包过滤技术、服务器技术、应用网关技术和状态检测包过滤技术,现在最常用的是状态检测包过滤技术。状态检测防火墙对每个合法网络连接保存的信息包括源地址、目的地址、协议类型、协议相关信息、连接状态和超时时间等称为状态。通过状态检测,可实现比简单包过滤防火墙具有更好的安全性。

2.加密技术

数字加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障安全性。利用加密技术,可以将某些重要的信息和数据从一个可以理解的明文转换为复杂的、不可理解的密文形式,在线路上传送或在数据库中存储,其他用户再将密文还原为明文。

3.信息摘要

密钥加密技术只能解决信息的保密性问题,对信息的完整性则可以使用信息摘要技术来实现。信息摘要又称为Hash算法,是一种单向加密算法,其加密结果是不能解密的。通过Hash算法,得到一个固定长度(128位)的散列值,不同的原文产生的信息摘要必不相同,相同的原文产生的信息摘要必定相同。这样,通过用接收方产生的摘要与发送方发来的摘要比较,若两者相同则表示原文在传输过程中没有被修改,否则说明原文被修改过。

4.数字签名

数字签名是密钥加密和信息摘要相结合的技术,用于保证信息的完整性和不可否认性。签名机制的特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能惟一地由他自己生成。当收发双方发生争议时,第三方就能根据消息上的数字签名来裁定这条消息是否由发送方发出,从而实现不可否认服务。

5.数字时间戳

在电子交易中,时间和签名同等重要。数字时间戳是由专门机构提供的电子商务安全服务项目,用于证明信息发送的时间。

6.数字证书与CA认证

由于电子商务在网络中完成,互相之间不见面,因此为了保证每个人及机构都能惟一且被准确无误地识别,就需要进行身份认证。身份认证可以通过验证参与各方的数字证书来实现,而数字证书是由认证中心(CA)颁发的。

所谓CA(Certificate Authority:证书发行机构),是采用PKI(Public Key Infrastructure:公共密钥体系)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,具有权威性和公正性的第三方信任机构,其作用就像现实生活中颁发证件的机构。

四、电子商务安全交易标准

要实现安全的电子商务交易,交易双方必须遵照统一的安全标准协议。当前,电子商务的安全机制正走向成熟,并逐渐形成了一些国际规范,比较有代表性的有安全套接层协议SSL(Secure Sockets Layer)和安全电子交易协议SET(Secure Electronic Transaction)。

1.安全套接层协议SSL

SSL协议是由Netscape公司研制的安全协议,SSL使用加密的方法建立一个安全的通信通道,以使客户的信用卡号传送给商家,商家再将其转发给银行,银行验证后在通知商家付款成功。该协议已成为事实上的工业标准,微软、IBM公司都提供基于这种简单加密模式的支付系统。

2.安全电子交易SET协议

SET协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和MasterCard组织制定的,用于在Internet上进行在线交易时保证信用卡支付安全的开放性安全技术标准。由于得到了微软、IBM、RAS公司的支持与参与,已成为工业事实上的标准。

SET协议采用了RSA公私钥加密系统、数字签名、数字证书认证等技术,保证了支付信息的保密性、完整性和不可否认性。该协议提供了客户、商家和银行之间的身份认证,而交易信息和客户信用卡信息相互隔离,即商家只能获取订单信息,银行只能获得持卡人信用卡支付信息,双方互不干扰,各去所需,构成了SET协议的主要特色,使得SET成为电子商务的安全规范。

3.SET、SSL协议比较

(1)SET是一个专门的安全电子支付协议,而SSL本质上是一个网络安全协议,仅在双方间建立起安全连接。SET是一个多方的消息报文协议,定义了银行、商家和持卡人间必须符合的报文规范,它比SSL在交易过程中的信任度更强。

(2)SSL仅有商家的服务器需要认证,客户端只是选择性认证;而SET在整个交易过程中都受到严密保护,其安全性比SSL高。

(3)SSL协议中若想进行电子商务交易,只需通过浏览器实现,设置成本低廉,其交易只要几十秒就可完成;SET尽管安全性高,但需要专门的软件来实现,客户、商家改造成本高,由于交易过程各方之间进行多次加密传输,每次交易需要数分钟。

综上所述,SSL与SET协议是电子商务中最普遍的两种安全电子支付协议,各有优缺点。SSL虽然简单快捷,但随着电子商务的发展其缺点凸现出来,需采用更先进的支付系统。而SET虽有更强的功能和安全性,但过于复杂,使得大面积推广还有很大障碍,并且成本昂贵,所以,在未来一段时间里将会是SSL和SET两种支付方式并存的局面。

五、结论

电子商务的本质是商务,技术是电子商务得以实现的手段。没有商务需求,技术的研究就失去了应用价值;没有技术实现,电子商务就不能得以实施,所以技术是电子商务的必要条件。而安全则是实现电子商务技术的前提,也是电子商务的必要条件。解决电子商务的安全问题不是一个单一的技术问题,它是由一系列工作组成,需要从电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。

参考文献:

[1]胡道元 闵京华:网络安全[M].北京:清华大学出版社,2006

[2]祝凌曦:电子商务安全[M].北京:北方交通大学,2006.

[3]李晓燕 李福全 郭爱芳:电子商务概论[M].陕西:电子科技大学出版社,2004

篇7

关键词:电子商务;身份认证;防火墙

一、引言

电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。

二、电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,主要体现在以下几个方面:

1.信息真实性、有效性

电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.信息机密性

电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

3.信息完整性

电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。

4.信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

三、电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。

1.网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。

2.通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128 位。为在浏览器和服务器之间建立安全机制,SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL 链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。

3.应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

四、安全管理

为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户账号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户账号和密码。

五、结束语

安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。

参考文献:

[1] 吴洋.电子商务安全方法研究[D].天津大学.2006

篇8

随着互联网的不断发展,电子商务作为网络和商业结合的产物,正在靠近人们的生活,越来越引起更多人的关注。然而,由于互联网的开放性和匿名性,不可避免的存在许多安全隐患。在电子商务中,安全性是必须考虑的核心问题,要求网络能够提供安全的解决方案。

一、电子商务安全问题

电子商务在这样开放的Internet网络环境中,时时处处受到安全的威胁,其安全威胁可分为以下四大类:1.信息的截获和窃取:如没有采取加密措施或加密强度不够,攻击者通过采用各种手段非法获得用户机密的信息。2.信息的篡改:攻击者利用各种技术和手段对网络中的信息进行中途修改,并发往目的地,从而破坏信息的完整性。3.信息假冒:攻击者通过掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息来欺骗其用户。4.交易抵赖:指交易单方或双方否认曾进行的交易行为。

电子商务面临的安全威胁的出现导致了对电子商务安全的需求,主要包括机密性、完整性、认证性和不可抵赖性、有效性五个方面。

二、电子商务安全技术

用于电子商务安全的技术主要包括加密技术、认证技术和电子商务安全协议,防火墙技术等。

1.加密技术

为保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务须采用加密技术,加密技术是指通过使用代码或密码来保障数据的安全性。欲加密的数据称为明文,明文经过某种加密算法作用后,转换成密文,我们将明文换为密文的这一过程称为加密,将密文经解密算法作用后形成明文输出的这一程称为解密。加密算法中使用的参数称为密钥。密钥长度越长,密钥的空间就大,遍历密钥空间所花的时间就越多,破译的可能性就越小。加密技术可以分为两类:对称加密技术和非对称加密技术。对称加密技术以数据加密标准DES (Data Encryption Standard)算法为典型代表。非对称加密技术通常以RSA(Rivest Shamir Adleman)算法为代表。

2.认证技术

常用的安全认证技术有:

(1)数字签名。签名是用来保证文档的真实性、有效性的一种措施,如同出示手写签名一样。实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。

(2)数字证书。数字证书就是认证中心为交易各方颁发的身份凭证,它是一个经CA数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是用来确认安全电子商务交易双方身份的工具,由于它由证书管理中心作了数字签名,因此任何第三方都无法修改证书的内容。任何交易双方只有申请到相应的数字证书,才能参加安全电子商务的网上交易。

(3)数字时间戳。为了防止在电子交易中文件签署的时间信息被修改,数字时间戳提供了相应的安全保护。数字时间戳服务(DTS)是由专门的机构提供的。数字时间戳是一个经加密处理后形成的凭证文档,它包括3个部分:需加时间戳的文件摘要;DTS机构收到文件的日期和时间;DTS机构的数字签名。

3.电子商务安全协议

目前电子商务安全协议主要有SSL协议和SET协议。

(1)SSL协议

SSL安全套接层协议是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了安全传输。SSL协议并不是专门针对电子商务开发的,它是一种广泛应用于服务器和客户机之间相互认证并建立加密的通信连接的协议。但是目前,大多数的电子商务网站和开展网上业务的银行均采用这种方式来保证交易的安全性。

(2)SET协议

SET即安全电子交易协议,是美国Visa和MasterCard两大信用卡组织联合其他一些业界厂商制定的一个能保证在开放网络(包括Internet)上进行安全支付的技术标准。SET协议针对开放网络上安全、有效的银行卡交易,为Internet上卡支付交易提供高层的安全和反欺诈保证.SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以确保支付信息的保密性、支付过程的完整性、商家及持卡人身份的合法性以及可操作性。SET得到了IBM、HP、Microsoft、Netscape等很多公司的支持并已作为开放的工业标准。

4.防火墙技术

防火墙是加强Internet和Intranet之间安全防范的、由硬件设备和软件系统组成的、在外部网和内部网之间的界面上构成的保护层。防火墙可以确定哪些内部服务允许外部访问,哪些外部服务可以由内部人员访问,可以用来控制网络内外的信息交流,提供接入控制和审查跟踪。为了发挥防火墙的作用,来自和发往Internet的所有信息必须经由防火墙出入,防火墙禁止Internet中未经授权的用户入侵,由它保护的计算机系统,它只允许授权信息通过,自身则不能被渗透。

5.VPN技术

虚拟专用网络是企业网在因特网等公共网络上的延伸。虚拟专用网技术(VPN)是通过公共网络建立的一个提供数据加密,访问控制及认证服务的临时、安全的连接。由于它可以在两个系统中建立安全的信道,非常适合电子数据交换(EDI)。在虚拟专用网中交易双方相互比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全。虚拟专用网是进行电子商务比较理想的一种形式

三、电子商务安全策略

电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构,由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层五个部分组成,如图3.1所示。

电子商务安全体系结构图

针对电子商务的各层次安全需求,本方案的主要思想是通过在网络层、应用层上采用各种成熟的安全技术来解决相关的安全需求。

1.网络层安全解决方案

(1)要保证电子商务的网络结构不能被攻破。防火墙系统的实现技术主要分为分组过滤(Packet Filter)和服务(Proxy Service)两种。同时,服务器对正常途径的服务和可能的攻击均有日志记录,使得安全更有保障。但防火墙最大的问题是没有一套身份认证和授权管理系统。对于贸易伙伴间或大型企业跨地区的各分支机构间的数据传输过程,要实施安全护,目前最实用的技术是VPN。VPN产品可以基于公共的IP网络环境进行组网,使用户感觉在公网上独占信道,也是隧道的概念。在产品形态上是专有硬件,嵌入式操作系统,专用加密算法。在性能上可以允许上千对通道,网络加密速度达到很高。有的VPN产品将防火墙功能结合在一起形成安全网关。在分布式环境中,按点到点方式安装VPN产品,可以保证数据的加密传输。

(2)要求对攻击能够及时预警。对于电子商务这种关键应用,在网络应有安全检测措施,主要是预防黑客的攻击。这种预防是主动的,在网络运行之前和运当中通过不断的自测、自检来发现问题,然后及时采取补救措施。安全检测的具体功能包括两个方面:一是检测网络的安全漏洞,再者是检测系统配置错误,入侵检测系统(IDS)可分为两类:基于主机和基于网络。基于主机的入侵检测系统用于保关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提对典型应用的监视,如Web服务器应用。基于网络的入侵检测系统则主要用于实时监控络关键路径的信息。针对电子商务实际应用,建议采用基于主机的IDS,将其安装在非军事化区中,主检测针对安全的攻击。

(3)要能防杀病毒。防病毒产品包括网络防病毒产品和主机防病毒产品。主机防病毒产品只能对单一主机进行保护,而网络防病毒产品通过在网络入口实施内容检查过滤,可以防止病毒通过邮件、FTP等方式从Internet进入企业网。

(4)要保证内网和Internet安全连接。企业在防火墙外将建立独立的Web服务器和邮件服务器供企业外部访问用,同时在防火墙与企业内部网(Intarnet)之间,将有一台服务器。该服务器的功能有两个,一是安全功能,即通过服务器,可以屏蔽企业内部网内服务器或CP机;二是缓冲功能,服务器可以保存经常访问的互联网上的信息,当CP机访问互联网时,如果被访问的信息存放在服务器的缓冲区中,那么服务器可以直接从其缓冲区中把信息直接送到CP机上,而不用再次去执行相应的网络操作。这样,就可以省去对互联网的再一次访问,可以节省费用。

2.应用层安全解决方案

(1)建立全局的电子身份认证系统;在电子商务应用方案和安全解决方案中,一定要配备认证中心(CA,ertificationAuthority)设施,为会员客户颁发代表身份的CA证书。

(2)对全局资源的统一管理,在身份认证和资源管理基础之上,实现全局的统一授权管理,就是说对全局用户和资源进行集中的授权管理;

(3)信息传输加密,这里包括两个方面一类是数据的完整性,是指数据本身是不能改写的,你可以看到但是不能去改动它;第二类是数据的保密性,数据不可窃听,通过加密来完成;

(4)实现审计记录和统计分析。先要建立一套事件发生的记录体制,在这个体制之上我们对记录信息进行统计分析,得来我们所需的各方面的信息。一般来管理级别越高,所拥有的数据保密要求也越高,而某些用户涉及的数据可能不需要任何别的加密。因此,电子商务系统应以采用端对端加密方式为主,根据具体情况辅以链路密方式,这样就可以根据需要对网中的数据有选择地采取不同级别的加密保护。

四、结束语

现代电子商务面临计算机网络安全与商务安全的双重要求,电子商务安全的复杂程度比大多数计算机网络更高,一方面电子商务中的安全技术在不断得到完善,另一方面网络攻击的手段也越来越先进。随着电子商务的不断发展,电子商务中的安全问题和安全技术必将得到持续的关注和研究。同时一个完善的电子商务系统在保证技术的前提下,还与国家法律政策、诚信等级制度、物流部门密切相关。因此电子商务安全体系的建立和实施是一个复杂的社会系统工程,因篇幅关系,本文仅从技术上加以研究。

参考文献:

篇9

【中图分类号】F713.36【文献标识码】A【文章编号】1006-9682(2010)02-0192-02

一、安全问题

目前电子商务所面临的安全问题主要包括以下几个方面。

1.窃取信息

数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄漏。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄漏。

2.篡改信息

攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。

3.身份仿冒

攻击者运用非法手段用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。

4.抵 赖

某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。

5.病 毒

网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。

6.其他安全威胁

电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄漏,媒体废弃物所导致的信息泄漏等都对电子商务的安全性构成不同程度的威胁。

二、安全要求

从电子商务的安全要素出发分析电子商务的安全性问题,主要包括以下几个方面:

1.有效性

有效性是开展电子商务的前提,要求对网络故障,操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定时刻、确定地点是有效的。

2.机密性

电子商务是建立在一个较为开放的网络环境上(尤其Internet具有更大的开放性),维护商业机密是电子商务全面推广应用的重要保障,必须预防非法的信息存取和信息在传输中被非法窃取。

3.完整性

保持贸易各方信息的完整性是电子商务应用的基础,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重要并保证信息传送次序的统一。

4.可靠性\不可抵赖性\可鉴别性

如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题是保证电子商务顺利进行的关键。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

5.审查能力

根据机密性和完整性的要求,应对数据审核的结果进行记录。

三、安全技术

1.加密技术

数据加密技术作为一项基本技术,是电子商务的基石,是电子商务最基本的信息安全防范措施。其实质是对信息进行重新编码,从而达到隐藏信息内容、使非法用户无法获取真实信息的一种技术手段,确保数据的保密性。

2.认证技术

认证是防止主动攻击的重要性,对于开放环境中各种信息系统的安全性有重要作用。认证的主要技术是:第一,验证信息的发送者是真的,而不是冒充的,此为实体认证;第二,验证信息的完整性,此为信息认证。

(1)数字摘要

数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,这一串摘要亦称为数字指纹(Finger Print),有固定的长度,不同消息其摘要不同,相同消息其摘要相同。因此,摘要成为消息的“指纹”以验证消息是否“真身”,消息摘要解决了信息的完整性问题。

(2)数字签名

数字签名是实现认证的重要工具。所谓数字签名就是附加在信息单元的一些数据,或者对信息单元所作的密码变换,这种数据或密码变换允许信息接受者确认信息的来源和信息的完整性并保护数据防止被人伪造。其实现方式是把信息摘要和公开密钥算法结合起来。发送方从报文文本中生成数字摘要并用自己的私有密钥对摘要进行加密,形成发送方的数字签名,然后将数字签名作为报文的附加和报文一起发送给接收方;接收方首先从接收到的原始报文中计算出数字摘要,接着再用发送方的公开密钥来对报文附加的数字签名进行解密。若两个摘要相同,则接收方能确认该数字签名的发送方的。

(3)数字证书与CA

数字签名中最麻烦的问题是接收方往往无法确认自己得到的公钥确实是发送方的,因此必须要公钥与拥有者做紧密结合才可防止假冒与欺骗发生,数字证书系统是使用最广泛的解决方法。数字证书是由CA(Certificate Authority)发放的,利用电子手段来证实一个用户的身份及用户网络资源的访问权限。包括用户的姓名、公共密钥、公共密钥的有限期、颁发数字证书的CA、数字证书的序列号以及用户本人的数字签名。它是电子商务交易双方身份确定的惟一安全工具。

认证中心CA是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。

(4)电子商务的安全协议

目前电子商务中有许多种安全体制可以保证电子商务的安全性,其中SSL和SET是电子商务安全中两个最重要的协议。

(5)SSL安全协议

SSL(Secure Sockets Layer)安全协议最初由Netscape Communication公司设计开放,又称“安全套层协议”,是指通信双方在通信前约定使用的一种协议方法,该双方能够在双方计算机之间建立一个秘密信道,凡是一些不希望被他人知道的机密数据都可以通过公开的通道传输,不用担心数据会被别人偷窃。SSL安全协议能够对TCP/IP以上的网络应用协议数据流加密。SSL协议只负责端到端的安全连接,只保证信息传输过程中不被窃取、篡改,但不提供其他安全保证,因而SSL实质上仅仅提供对浏览器和服务器的鉴别,不能细化到对商家和客户的身份认证,这个缺陷会导致交易的假冒欺诈行为出现,又由于SSL协议早已嵌入Web浏览器和服务器,使用方便,因此对进行电子商务交易的广大用户而言,SSL使用非常方便,这是其优点。

(6)SET安全协议

SET(Secure Electronic Transaction)协议也称为“安全电子交易”,由MasterCard、Visa、IBM以及微软等公司开发,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。SET协议提供了强大的验证功能,凡与交易有关的各方必须持有合法证书机构发放的有效证书,SET不仅具有加密机制,更重要的是通过数字签名、数字信封等实现身份鉴别和不可否认性,最大限度地降低了电子商务交易可能遭受的欺诈风险。但是由于SET是基于信用卡进行电子商务交易的,因此中间环节增加了CA与银行、用户与银行之间的认证,从而提高了软硬件的环境要求,也增加了交易成本。

四、结束语

随着电子商务的不断发展,电子商务手段将更加多样化,安全问题变得更加和突出,安全是电子商务的核心和灵魂,在发展电子商务的道路上,最受重视并使其放慢速度的也正是安全问题。目前,电子商务也有许多新技术的提出,但尚未能形成一个有效的、安全的电子商务安全系统,这需要加大力度来研究和发展信息安全保密技术。电子商务的发展促使人民对安全技术不断探索研究和开发应用,以建立一个安全的商务环境。

参考文献

篇10

1 引言

随着计算机科学及网络技术的飞速发展,网络和商业相结合的产物——电子商务于1994年出现并迅速兴起。电子商务作为Internet环境下的一种新型的商业运营模式,具有传统商务所不具有的特点,是市场经济条件下最具发展潜能的市场交易方式,只要充分发挥互联网的优势,不管是B2B、B2C还是C2C都可获得成功。

2 电子商务概述

电子商务是指对整个贸易活动实现电子化。广义地讲,电子商务是一种现代商业方法,这种方法通过改善产品和服务质量、提高服务传递速度,满足政府组织、厂商和客户的降低成本的需求。狭义来讲,电子商务指运用INTERNET进行商品交易。

电子商务的特点:电子商务具有低成本、全球性、可扩展性、便捷性、交易性、自由性和开放性等传统交易所不具备的优点,它突破了地理范围上的限制和时间上的差距,使得世界各地的商业资源借助于网络的优势而得到充分的利用,大大提高了经济效益和社会效益。

电子商务的作用:电子商务作为国民经济和社会信息化的核心,必将成为“以信息化带动工业化”的重要动力,推动经济结构优化升级和产业结构的高级化,从而进一步推动我国经济健康快速发展。作为一种先进的生产力,将改变整个社会经济的价值链,己成为世纪初世界经济新的增长点,是经济全球化和全球信息化的一个重要标志。

3 先进的电子商务理念

目前电子商务让很多企业“驻足”的一个重要原因是认为电子商务投资的回报率太低,究其原因不是电子商务本身的问题,而是企业“重电子,轻商务”的观念,企业在盲目跟进电子商务时,过分强调电子商务的技术应用,而忽略“商务”的根本,缺乏明确的电子商务模式和市场定位。

电子商务的建设绝不仅仅是建设一个网站,而是要形成协同化、集成化的开放型的基于应用的电子商务平台。“协同化、集成化的开放型”平台是指首先对现有管理系统不断地进行整合,保证在企业、用户、供应商及其它商贸活动涉及的职能机构之间的信息流、物流和资金流安全、顺畅。其次是企业内部电子商务的整个信息系统要很好地融合,社会各种组织机构的多种资源进行共享。“基于应用”的平台即充分分析消费者的需求特点,针对影响消费者网上购买的形为,提出相应的改进方案和策略,增加网上浏览者的人数,增加购物者数量,帮助消费者寻找满足其效用最大化的商品和服务。

4 先进的电子商务模式

电子商务模式:对开展电子商务给企业所带来的价值和企业为创造这些价值进行的活动的抽象描述。电子商务模式着重描述企业电子商务所从事的商务活动。

目前最具代表性的十大类基本电子商务模式如下:

(1)信息:企业通过建立网站宣传本企业以及企业的产品等,或者去其他网站如行业性网站、信息港广告、供求信息等。该模式完成了“营销和销售”这种价值活动。

(2)信息收集:企业利用网络进行诸如技术信息、供求信息、竞争对手信息的收集,或进行客户关系管理等。

(3)电子商店:电子商店是企业利用电子商务销售产品。其产品可以包括实物产品、数字化产品、服务以及信息。

(4)电子拍卖:电子拍卖是传统拍卖的电子化,其本质上也是种销售,但它与电子商店最大的不同在于“一对多”的交互关系,通常是多个购买者角逐一个供应商的商品。目前还出现了一种“反拍卖”模式,即购买者提出自己想购买的商品,各商家竞争这笔买卖。

(5)电子采购:电子采购是企业利用电子商务开展采购活动。

(6)电子产品中介:传统商务中的中介商和经纪商也可以利用电子商务开展业务。

(7)电子信息中介:电子信息中介所提供中介的产品主要是各类信息。

(8)电子媒体(内容服务):电子媒体可以看作传统媒体如杂志、报纸、电视的网络版本。这种模式的收入主要来自于两部分,一是用户交纳的“订阅费”,二是刊登广告所获得的广告费。

(9)电子价值商店:指价值商店类型的企业利用电子商务提供自己的服务。其往往能够直接通过网络完成服务的全过程。目前常见的形式有:网络金融;网上旅行社;通信服务;远程教学;远程医疗。

(10)免费模式:免费模式是指为用户提供免费的产品和服务。该模式给企业带来的收益主要来自于广告费收入和成本的降低。

先进的电子商务模式应是这十类基本模式的结合体,或是根据自己的电子商务的需要改变某些维度上的取值而创造的多维电子商务模式。

5 电子商务的安全防范

5.1 存在的问题

(1)安全协议问题:我国大多数尚处在SSL(安全套接层协议)的应用上,SET协议的应用还只是刚刚试验成功,在信息的安全保密体制上还不成熟,对安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。

(2)安全管理问题:在安全管理方面还存在很大隐患,究竟谁来管理,怎么管理,采取什么有序的管理办法,这些问题急待解决。需要有一个安全可靠的信息网络抵御黑客的攻击。

(3)电子商务没有真正深入商务领域而仅仅局限于信息领域,现在我国的电子商务好多只是停留在用计算机简单模拟原来的手工操作流程,提供单纯的技术产品为主,不擅长动态信息的跟踪和获取,个人用户比较少,企业用户还未大量出现。

(4)技术人才短缺问题:电子商务是在近几年才得到了迅猛发展,许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解得偏少,因而难以开发出真正实用的、安全性的产品。

(5)法律问题:电子交易衍生了一系列法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。

(6)税收问题:电子商务的发展在促进贸易增加税收的同时又对税收制度及其管理手段提出了新要求。

5.2 电子商务中的安全性技术

安全性技术是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的问题。虽然Internet的开放式的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都制订了安全协议和具备了相应的安全技术,以保证电子商务的安全性。

5.2.1 安全的网络平台

安全可靠的网络是实现电子商务的基础,常用的方法是在网络中采用防火墙技术,虚拟专用网(VPN)技术,防病毒保护等。防火墙技术是通过IP过滤和服务器软件方法保护企业内部网(Intranet)中数据,只有授权用户才能获准进入企业内部网的系统。虚拟专用网(VPN)技术通过IP隧道等方法来保证企业协作网(Extranet)中企业间数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。单纯依靠这些方法保护网络的安全性是不够的,还必须与其它安全措施综合使用才能为用户提供更为可靠的电子商务基石,例如现在的加密技术、数字签名技术、电子认证技术等。

5.2.2 在线支付的安全技术

电子商务的另一个关键问题是要保证在线支付的安全,它是网上购物的重要保证。目前采用的在线支付协议有两种:安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。

SSL协议

SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(Certificate Authority, CA)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。其运行机制是:

①在建立连接过程中采用公开密钥;

②在会话过程中使用专有密钥;

③加密的类型和强度则在两端之间建立连接过程中判断决定。

采用SSL协议的电子交易过程如下:

图1 SSL交易流程图

①表示客户购买的信息首先发往商家;②表示商家再将信息转发银行;③和⑤表示银行验证客户的信息的合法性后,再通知商家和客户付款成功;④表示商家再通知客户购买成功。

这个流程有两个方面的缺点:首先,客户的银行资料信息先送到商家,让商家阅读,这样,客户银行资料的安全性就得不到保证;其次,SSL只能保证资料传递过程的安全,而传递过程是否有人截取就无法保证了。所以,SSL并没有实现电子支付所要求的保密性、完整性,而多方互相认证也很困难的。

SET协议

SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。采用这种协议它主要解决了以下问题。

首先是客户资料虽然通过商家到达银行,但商家不能阅读这些资料,解决了客户资料的安全性问题;其次是协议解决了网上交易存在的客户与银行之间、客户与商家之间、商家与银行之间的多方认证问题;再其次是由于整个交易过程是建立在Intranet,Extranet和Internet的网络基础上的,保证了网上交易的实时性。

SET协议下的交易模式如下:

图2 SET交易模式图

SET使订单信息和信用卡信息相隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息,并且需要持卡人和商家相互认证,确定通信双方身份,一般由认证中心为双方提供信用担保。

SET定义了一个完备的电子交易流程,较好地解决了电子交易中各方间复杂的信任关系和安全连接,确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。但由于SET协议庞大而又复杂,银行、商家和客户均需改造才能实现互操作,使得SET协议被普遍使用还需有一个过程。在我国,大多尚处在对SSL协议的应用上,要完全实现SET协议安全支付还要有一个过程。

5.2.3 其它安全问题

对于电子商务的安全性来讲,有了防火墙与安全协议和规范还不够,一方面,网络本身的物理差错是难以避免的;另一方面,Internet主干网和DNS服务器的可靠性,拨号连接质量与速度还不能满足人们的需求;另外,恶意代码对网络系统的威胁,单纯依赖技术是很难解决的,从某种意义上讲,依靠管理加强内部人员的安全防范意识等比安全技术更为重要。因此,要加强电子商务的安全性应从多方面入手。

6 结束语

电子商务的建设绝不仅仅是建设一个网站,必须从理念,模式,规划、技术实现和交易等方面进行建设,构建一个协同化、集成化的开放型的电子商务平台,以实现便捷、安全、高效的信息共享,更有效地为企业服务。

参考文献:

篇11

1引言

电子商务是通过电子方式处理和传递数据,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拔、电子证券交易、商业拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的份额,其原因就在于电子商务的安全问题,根据美国一个调查机构对近30000名因特网用户的调查显示,由于担心电子商务的安全性问题,超过60%的网民不愿意进行网上交易,因此,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。

2电子商务对安全的要求

对电子商务活动安全性的需求以及可使用的网络安全措施,主要包含如下几方面。

(1)如何确定通信中的贸易伙伴的真实性?常用的处理技术是身份认证,依赖某个可信赖的机构发放证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方。

(2)如何保证电子单证的秘密性,防范电子单证的内容被第三方读取?常用的处理技术是数据加密和解密。

(3)如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失?对于固定且具有频繁贸易往来的伙伴,可以采用单证传输的序列性检验;也可采用双方约定的方法(即在规定的时间内,通过某种方式进行确认)。

(4)如何确定电子单证的内容未被篡改;单证传输完整性主要采用散列技术来防止非法用户对单证的篡改,通过散列算法对被传输的单证进行处理,产生一个依赖于该单证的短小的散列值,并将该散列值附接在单证之后传输给接收方。以便接收方采用相同的散列算法对接收的单证进行检验。

(5)如何确定电子单证的真实性?鉴别单证真实性的主要手段是数字签名技术,其基础是数据加密中的公开密钥加密技术,实用中常结合单证完整性一起考虑,利用发送方的密钥对散列值进行加密。

(6)如何解决或者仲裁收发双方对交换的单证所产生的争议,包括发方或收方可能的否认或抵赖?通常要求引入认证中心进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。

(7)如何保证存储信息的安全性?如何规范内部管理?如何使用访问控制权限和日志以及敏感信息加密存储?当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术来保护内部网络的安全性。

3电子商务采用的主要安全技术

为了确保电子商务在交易过程中信息有效、真实、可靠且保密,目前主要采用的安全技术有加密技术、身份认证技术和交易的安全认证协议。安全认证协议用来保证电子商务中交易的安全性,如set、ssl、s/mime、s-http等。下面我们主要来介绍这些技术。

3.1加密技术

加密技术是电子商务系统所采取的最基本的安全措施,加密的主要目的是防止信息的非授权泄漏。密码算法是一些数学公式、法则或程序,算法中的可变参数是密钥。根据密码算法所使用的加密密钥和解密密钥是否相同,能否由加密密钥推导出解密密钥,可以将密码算法分为对称密码算法和非对称密码算法。一般来说,在一个加密系统中,信息使用加密密钥加密后,接收方使用解密密钥对密文解密得到原文。

3.1.1对称加密/对称密钥加密

在对称加密方法中,对信息的加密和解密都使用相同的密钥,即一把钥匙开一把锁。这样可以简化加密的处理,每个交易方都不必彼此研究和交换专用的加密算法。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄漏,那么机密性和报文完整性就可以得以保证。这样密钥安全交换是关系到对称加密有效的核心环节。而对称加密技术存在着在通信的交易各方之间确保密钥安全交换的问题。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。目前常用的对称加密算法有DES、PCR、IDEA等。其中DES使用最普遍,被采用为数据加密的标准。

3.1.2非对称加密/公开密钥加密

在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把私有密钥或解密密钥)。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的者;私有密钥则保存在密钥方手中。任何得到公开密钥的用户都可使用该密钥加密信息发送给该公开密钥的者,而者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。由此可知,公开密钥用于对机密性的加密,私有密钥则用于对加密信息的解密。目前常用的非对称加密算法是RSA算法。它是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢,并且也难以做到一次一密。因此,在实际的应用中通常不采用这一算法对信息量大的信息进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。

3.2身份认证技术

身份认证技术保证电子商务安全不可缺少的又一重要技术手段。常见的安全认证技术有数字摘要、数字信封、数字签名、数字时间戳、数字证书等技术。

3.2.1数字摘要

数字摘要是一种防止数据被改动的方法,它采用单向HASH函数将需要加密的文件中若干重要元素进行某种变换运算得到固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。在数字摘要中HASH函数的输入可以是任意大小的文件消息,而输出是一个固定长度的摘要。且摘要有这样一个性质,如果改变了输入消息中的任何东西,甚至只有一位,输出的摘要将会发生不可预测的改变,故而常用数字摘要来判定信息是否被篡改的一项重要技术。

3.2.2数字信封

在大批数据加密中所使用的对称密码是随机产生的,而接收方也需要此密码才能对消息进行正确的解密。对称密钥的传递需要加密进行,即发送方用接收方的公钥加密此对称密钥。这样只有接收方用自己的私钥才能正确地解密此对称密钥,从而正确地解密消息。这种加密传送密钥的方法称为数字信封。数字信封技术可以保证接收方的唯一性。即使信息在传送途中被监听或截获,由干第三方并没有接收方的密钥,也不能对信息进行正确的解密。

3.2.3数字签名

数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。在实际生活中,签名通常采用书面形式,由甲乙双方完成,在网络环境下,可以用电子签名作为模拟。

数字签名是将数字摘要和公钥算法两种加密方法结合起来使用,其可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据未被篡改,真属性则保证传输过来的数据是由合法者产生的,而不是由其他人假冒。如假设用户A要寄信给用户B,他们互相知道对方的公钥,A用自己的私钥将签名内容加密,附加在邮件中,再用B的公钥将整个邮件加密(注意这里的次序,如果先加密再签名的话,别人可以将签名去掉后签上自己的签名,从而篡改了签名)。这样这份密文被B收到后,B用自己的私钥将邮件解密,得到A的原文和数字签名,然后用A的公钥解密签名,这样一来就保两方面的安全了。

3.2.4数字时间戳

在电子商务的交易文件中,时间是一条重要的信息,文件的签署日期和签名一样均是防止文件被伪造和篡改的关键性内容。为了防止在电子交易中,文件签署的时间信息被修改,数字时间戳提供了相应的安全保护。数字时间戳服务(DTS)是由专门的机构提供的。数字时间戳是一个经加密处理后形成的凭证文档,它包括三个部分:需加时间戳的文件摘要;DTS机构收到文件的日期和时间;DTS机构的数字签名。

3.2.5数字证书

数字证书是由证书授权中心CA管理和发放的。CA是数字证书的最高管理机构,是安全电子交易的核心环节。它作为电子商务交易中中立的、受信任的、可仲裁的第三方,也是为了解决电子商务中,交易双方的信息和身份验证问题,从根本上保障电子商务交易活动顺利进行而设立的。在交易支付的过程中,参与各方为了证实自己的身份,需到第三方即认证中心(CA)去认证。数字证书就是认证中心为交易各方颁发的身份凭证。它是一个经CA数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。任何交易双方只有申请到相应的数字证书,才能参加安全电子商务的网上交易。

3.3安全认证协议

目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL协议和安全电子交易SET协议。

3.3.1SSL协议

SSL安全协议的中文全称是“加密套接字协议层”,最初由Netscape公司推出的一种基于RSA和保密密钥的安全通信协议,是目前使用最广泛的电子商务协议。该协议位于HTTP协议层和TCP协议层之间,向基于TCP/IP的客户/服务器应用程序,提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前,通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议可内置于用户浏览器和商家的服务器中,能方便而低开销地进行信息加密,多用于WEB信用卡的传送。这样利用它能够对信用卡和个人信息提供较强的保护。

SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息往往首先传到商家,商家阅读后再传到银行;这样,客户资料的安全性便受到威胁。另外,整个过程只有商家对客户的认证,缺少客户对商家的认证,不能防止商家利用获取的信用卡号进行欺诈。随着电子商务与厂商的迅速增加,对厂商的认证问题越来越突出,SSL协议的缺点则越加明显。SSL协议逐渐被新的SET协议所取代。

3.3.2SET协议

SET协议的中文全称“安全电子交易协议”,它向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Vsia国际组织和Mastercard组织联合国际上多家科技机构,共同制定的应用于INTERNET上的以银行卡为基础进行在线交易的安全技术标准。它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。它可以对交易各方进行认证,可防止商家身份的欺诈。为了进一步加强安全性,使用两组密钥对分别用于加密和签名,通过双签名机制将订购信息同账户信息链在一起签名。由于设计较为合理,得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持,已成为实际上工业技术标准。

SET协议的不足之处在于协议复杂,且只适用于用户安装了“电子钱包”的场合。根据统计,在一个典型的SET交易过程中,需验证数字证书9次,验证数字签名6次;需传送证书7次,进行5次签名、4次对称加密和4次非对称加密;整个交易过程可能会花费1.5~2分钟。

4电子商务安全需要进一步完善的配套措施

电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:

(1)突破关键技术受制于人的瓶颈。当前不仅国内几乎所有的主机、交换机、路由器、网络操作系统都来自国外,而且美国对出口别国的产品实行密钥信前控制和长密钥限制,因此我们必须依靠自身的力量研制自己的加密算法,以保证中国电子商务的正常发展。

(2)我国应尽快对电子商务的有关细则进行立法。当前大多数人信息安全意识淡薄,以银行和金融界来看,大家对安全方面的重视还不够,由于有关电子商务的立法和管理刚刚开始,有人开玩笑说“电子商务目前是个‘三无’行业:无法可依、无安全可言、无规可循”,当然这种说法欠妥,但目前我国关于网络安全的法律的确还有待完善。

(3)大力开发大型商务网站、发展与之相配套的物流公司。目前我国的电子商务没有真正深入商务领域而仅仅局限于信息领域,这必将影响我国电子商务进一步的发展。

参考文献:

[1]周明,黄元江,李建设.株洲工学院学报[J].电子商务中的安全技术研究,2005.1.

[2]张娟.甘肃科技纵横[M].电子商务网络安全技术探究,2005.4.

篇12

[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158(2013)06-0054-01

1 要分析和保证电子商务的安全性,首先应该了解目前电子商务安全问题有哪些

1.1 交易信息遭到窃取

在电子商务的过程中,用户的身份信息或者交易信息会被黑客或者有意者通过木马、病毒及计算机系统、网络系统本身的漏洞所窃取。攻击者通过对数据的窃听、非法截获等手段,可以对截获信息的数据分析,窃取用户的账号、密码等信息内容。

1.2 交易信息遭到篡改

攻击者通过窃取了交易信息之后,通过技术手段,可以对交易信息进行篡改。例如篡改交易时间、交易地点、交易金额等,破坏交易信息的完整性与真实性,容易误导交易人,造成经济损失。

1.3 交易信息遭到冒充

攻击者在得到交易者的信息之后,通过交易者的信息规律,冒充交易者与对方进行交易,从而获得非法利益,进而破坏了电子交易的安全性。

1.4 交易信息遭到抵赖

某些交易者,面对交易信息,选择故意逃避,不承认订单,或者接到订单后却因为种种借口不承认产品交易;发送信息者不承认发送过信息,或者接收信息者不承认接收过信息,以种种方式进行交易抵赖。以期达到逃避责任的目的。

1.5 交易信息受到病毒感染

由于计算机网络的开放性,恶意制作和使用计算机病毒的攻击者越来越多,并且难以防范,这成为对电子商务交易最大的威胁之一。

1.6 非故意的电子商务信息泄露

由于电子商务需要使用计算机及计算机网络,而日常工作中,计算机维修、计算机操作者操作不当,都可能会导致电子商务信息的泄露。

2 那么,面对种种电子商务的安全问题,现代电子商务的安全要求有哪些呢

2.1 有效的服务性要求

电子商务开展的前提是能够预防或能应对网络服务失败的问题,通过监测来减少网络故障的发生,通过监督来减少错误的操作,通过维护来降低软、硬件问题,通过防火墙、杀毒软件等手段来阻止网络病毒的侵入,以诸如此类的方式来保证电子商务交易快速、有效和准确。

2.2 有力的保密性要求

电子商务是在互联网的大背景下展开的,而互联网是一个开放的资源库与数据库,具备网络知识与上网设备的人,几乎都可以使用互联网,这就造成了,有更多的恶意攻击者也可以在毫不费力的情况下,侵入互联网,这就给电子商务交易,埋下了潜在的威胁。因此,电子商务的顺利进行,必须要有有力的措施,来保证电子交易的机密性,交易信息不会遭到攻击者的截取和盗用。

2.3 高度的完整性要求

电子商务的交易,不再是面对面的交易,而是通过网络等手段进行的跨区域交易。这就要求,在信息的传输过程中,信息必须是高度完整的,如果在信息的传输过程中遭到破坏、删除或者是篡改,会导致交易者的利益受损。

2.4 可靠的身份性要求

由于电子商务是建立在互相信任的基础上,交易双方可能未曾见面,就完成了交易。这就要求,交易双方,不论是个人还是企业、组织甚至是国家之间,都必须提供可靠的、有效的身份信息。这样,不仅能使得交易双方更加信任,也能够在以后发生法律纠纷时,提供有力的依据。

2.5 严密的审查性要求

因为电子商务交易要具有有力的保密性与高度的完整性,所以,应对电子商务交易完成后的审查数据进行完整的记录与妥善的保存。

3 为了应对电子商务安全问题,满足电子商务安全要求,电子商务安全技术也在不断发展

目前,主要的电子商务安全技术如下:

3.1 数字认证技术

认证技术是电子商务防止攻击的有效武器。在互联网的开放环境中,信息安全的有效保证就是通过数字认证技术。数字认证技术又可以分为:数字签名、数字摘要及数字证书等三种。数字签名是确保实现认证、保证文档真实的有效措施。就好像出示手写签名一般。数字签名就是在信息之后附件一些数据,将数字摘要进行私钥加密,然后一起发送给接收方。在接收方通过公钥解密摘要后,与原始数字摘要进行对比,若二者相同,则确认该数字签名是发送方发送的。数字签名能够保证报文与网络数据的完整、真实与不可抵赖。数字摘要是固定长度的再要码,是文件中的部分重要的要素经过单向函数运算得到的。摘要长度与信息相对应,即相同信息的摘要相同,不同信息摘要不同。数字证书它是由证书授权机构颁发的,通过其来辨别用户身份及权限,如同身份证一样,是交易双方身份确认的唯一最有效、最安全的方式。

3.2 防火墙技术

防火墙是在网络边界上建立起来的,防止黑客入侵的屏障。防火墙隔离了内部网络与外部网络。“目前的防火墙主要有以下三种类型:包过滤防火墙、防火墙、双穴主机防火墙。”

3.3 入侵检测及加密技术

虽然网络的开放性可以让攻击者有侵入的机会,但是,同样,可以通过入侵检测的技术对侵入的数据进行识别和跟踪,并向用户报警。同时,通过加密技术,将数据进行加密,变成需要密钥才能还原成明文。加密技术又分为对称与非对称加密两种。入侵检测与加密技术,属于主动的防范的技术。

3.4 电子商务安全协议技术。

SSL安全协议

Secure Sockets Layer安全协议,即“安全套接层协议”,用于提高应用程序间数据的安全性。在通信之前,通信的双方需要约定一种协议,从而在双方的计算机之间形成一个通道,这个通道只被通信的双方所拥有,可以避免被第三方窃取信息。

SET安全协议

Secure Electronic Transaction协议,即“安全电子交易”,是一种新的电子支付模式,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。SET协议以其强大的验证功能,保证“用户、商家、银行之间通过信用卡交易产生的数据”能够“最大限度地降低了电子商务交易可能遭受的欺诈风险。”由于其优越的性能,目前猪价成为世界“公认的信用卡交易国际标准。”

4 其他非技术手段

4.1 加强电子商务交易法律管理

应该重视法律的力量,不断完善电子商务交易的法律法规,规范电子商务的交易过程。通过法律来约束进行电子交易双方。同时给企图利用电子商务漏洞的不法分子敲响警钟。

4.2 加强电子商务交易本身的管理

电子商务交易要有有效的管理制度,加强对用户、对信息、对设备、对软件、对密钥等的管理。

总之,电子商务交易的发展离不开安全的电子商务交易环节。而创作安全的电子商务环境要从技术与非技术两个方面人手,既要重视加密、检测、认证等技术手段的发展,又要重视电子商务交易法律法规的完善、电子商务交易自身管理的规范性。进而不断促进电子商务交易的有效性、机密性及不可抵赖性。只有用户能放心的使用电子商务交易,才能彰显电子商务交易平台的优越性。

友情链接