在线咨询
期刊 科普 SCI

教育 医学 经济 金融 管理 科技 工业 机械 农业 电力 水利 文学 艺术 更多...

首页 > 精选范文 > 电子商务安全论文

电子商务安全论文范文

时间:2023-02-28 15:31:48

引言:寻求写作上的突破?我们特意为您精选了12篇电子商务安全论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。

电子商务安全论文

篇1

要加强电子商务安全,需要企业本身采取更为严格的管理措施,需要国家建立健全法律制度,更需要有科学的先进的安全技术。

在电子商务的交易中,经济信息、资金都要通过网络传输,交易双方的身份也需要认证,因此,电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒,使网络系统连续稳定的运行。常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术。交易信息的安全是指保护交易双方的不被破坏、不泄密,和交易双方身份的确认。可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。

在这里我想重点谈谈防火墙技术和数据加密技术。

一、防火墙技术。

防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些禁止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。

新一代的防火墙产品一般运用了以下技术:

(1)透明的访问方式。

以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。而现在的防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。

(2)灵活的系统。

系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。

(3)多级过滤技术。

为保证系统的安全性和防护水平,防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透胆连接,并对服务的通行实行严格控制。

(4)网络地址转换技术。

防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。

(5)Internet网关技术。

由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面,新一代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

(6)安全服务器网络(SSN)。

为了适应越来越多的用户向Internet上提供服务时对服务器的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。

(7)用户鉴别与加密。

为了降低防火墙产品在Ielnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。

(8)用户定制服务。

为了满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。

(9)审计和告警。

新一代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。此外,防火墙还在网络诊断、数据备份保全等方面具有特色。

目前的防火墙主要有两种类型。其一是包过滤型防火墙。它一般由路由器实现,故也被称为包过滤路由器。它在网络层对进入和出去内部网络的所有信息进行分析,一般检查数据包的IP源地址、IP目标地址、TCP端口号、ICMP消息类型,并按照信息过滤规则进行筛选,若符合规则,则允许该数据包通过防火墙进入内部网,否则进行报警或通知管理员,并且丢弃该包。这样一来,路由器能根据特定的刿则允许或拒绝流动的数据,如:Telnet服务器在TCP的23号端口监听远程连接,若管理员想阻塞所有进入的Telnet连接,过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快,实现方便,但由于它是通过IP地址来判断数据包是否允许通过,没有基于用户的认证,而IP地址可以伪造成可信任的外部主机地址,另外它不能提供日志,这样一来就无法发现黑客的攻击纪录。

其二是应用级防火墙。大多数的应用级防火墙产品使用的是应用机制,内置了应用程序,可用服务器作内部网和Internet之间的的转换。若外部网的用户要访问内部网,它只能到达服务器,若符合条件,服务器会到内部网取出所需的信息,转发出去。同样道理,内部网要访问Internet,也要通过服务器的转接,这样能监控内部用户访问Internet.这类防火墙能详细记录所有的访问纪录,但它不允许内部用户直接访问外部,会使速度变慢。且需要对每一个特定的Internet服务安装相应的服务器软件,用户无法使用未被服务器支持的服务。

防火墙技术从其功能上来分,还可以分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙等等。通常几种防火墙技术被一起使用,以弥补各自的缺陷和增加系统的安全性能。

防火墙虽然能对外部网络的功击实施有效的防护,但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的,还需考虑其它技术和非技术的因素,如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。就防火墙本身来看,包过滤技术和访问模式等都有一定的局限性,因此人们正在寻找更有效的防火墙,如加密路由器、“身份证”、安全内核等。但实践证明,防火墙仍然是网络安全中最成熟的一种技术。

二、数据加密技术

在电子商务中,信息加密技术是其它安全技术的基础,加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式(即加密),在线路上传送或在数据库中存储,其他用户再将密文还原成明文(即解密),从而保障信息数据的安全性。

数据加密的方法很多,常用的有两大类。一种是对称加密。一种是非对称密钥加密。对称加密也叫秘密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。典型的代表是美国国家安全局的DES。它是IBM于1971年开始研制,1977年美国标准局正式颁布其为加密标准,这种方法使用简单,加密解密速度快,适合于大量信息的加密。但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N*(N-1)/2个密钥,难于管理。第三,不能鉴别数据的完整性。

非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥解密的数据只能用对应的公钥解密。具体加密传输过程如下:

(1)发送方甲用接收方乙的公钥加密自己的私钥。

(2)发送方家用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。

(3)接收方乙用自己的私钥解密,得到甲的私钥。

(4)接收方乙用甲的公钥解密,得到明文。

篇2

1校园电子商务概述

1.1校园电子商务的概念。

校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校本论文由整理提供园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。

1.2校园电子商务的特点。

相对于一般电子商务,校园电子商务具有客户群本论文由整理提供稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。

2校园电子商务的安全问题

2.1校园电子商务安全的内容。

校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。

2.2校园电子商务安全威胁。

校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非本论文由整理提供授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。

2.3校园电子商务安全的基本安全需求。

通过对校园电子商务安全威胁的分析,可以本论文由整理提供看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。

3校园电子商务安全解决方案

3.1校园电子商务安全体系结构。

校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系本论文由整理提供结构,如图所示:

上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和本论文由整理提供交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。

针对上述安全体系结构,具体的方案有:

(1)营造良好校园人文环境。加强大学生本论文由整理提供的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共

同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。

(2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。

(3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。

(4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而本论文由整理提供不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。

3.2校园网络安全对策。

保障校园网络安全的主要措施有:

(1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问本论文由整理提供,防止来自外部互联网对内部网络的破坏。

(2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。

(3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的本论文由整理提供安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。

3.3交易信息安全对策。

针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解本论文由整理提供决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。

(1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。

(2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务本论文由整理提供中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。

(3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。

3.4基于一卡通的校园电子商务。

目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:

(1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。超级秘书网

(2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。

4结束语

篇3

一、电子商务网络信息安全存在的问题

电子商务的前提是信息的安全性保障,信息安全,胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:

1、网络信息安全方面

(l)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。

(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。

(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。

2、电子商务交易方面

(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。

(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。

(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。

二、电子商务中的网络信息安全对策

1、电子商务网络安全的技术对策

(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和工nternet之间的任何活动,保证内部网络的安全。

(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。

2、电子商务网络安全的管理策略

(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。

(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介人,主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。

(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外,还可将网络系统中易感染病毒的文件属性、权限加以限制,断绝病毒人侵的渠道,从而达预防的目的。

(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以土保护措施可为系统数据安全提供双保险。

三、电子商务的网络安全体系结构

电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:

1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠哇和为系统提供基础性作用的安全机制。

2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。

3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。

篇4

2绪论

伴随着互联网和信息技术的飞速发展,电子商务从零到有,并逐步向高水平、规范化发展。十年来中国电子商务始终保持40-50%的高速发展,2009年的中国电子商务并为受到全球金融危机的影响,相反却在金融危机中爆发出更强的生命力和适应力。2009年中国电子商务市场规模超过35000亿元,同比增长48.5%,高于2008年的41.2%。

电子商务的安全法律是指为了保障电子商务在交易过程中的安全性,由国家政府相关部门出台的对交易过程进行保护的法律。目前,我国就电子商务安全问题已经进行了初步的法律立项实施,但是依然存在较大的漏洞和隐患,需要国家相关部门进一步加强。

安全管理是有效降低我国电子商务交易过程中存在风险的重要手段,特别是在交易过程中,交易双方进行电子合同签订,安全中心不仅要监督买方的及时付款,同时还要监督卖方是否提供与合同一致的货物。在这些交易环节中,由于网络虚拟交易的缘故,存在非常大的安全管理隐患。为了有效防止这些安全隐患的爆发,降低风险带来的损失和伤害,需要国家政府出善的法律保护制度,形成一套互相关联、互相约束的管理制度体系。

3.电子商务安全

3.1电子商务安全概述

电子商务的运行和交易是基于计算机网络平台而展开的,所以安全问题大体上可以分为计算机网络安全和电子商务系统本身交易安全。没有网络,电子商务就不可能存在,网络作为基础,其安全性与电子商务安关系密切,在网络安全的前提下,电子商务系统特有的设计加以保障,两者相辅相成实现电子商务的整体安全。通俗的说,电子商务的安全就是“电子”和“商务”双重要求下的安全。

3.2国内电子商务安全问题现状

3.2.1信息安全环境

2010年,由中国互联网络信息中心(CNNIC)和国家互联网应急中心(CNCERT)在京联合的《2009年中国网民网络信息安全状况调查系列报告》中显示,2009年,52%的网民曾遭遇过网络安全事件,网民处理安全事件所支出的相关服务费用共计153亿元人民币。电子商务发展所面临的信息安全问题严重。根据相关调查显示,90%以上的网民计算机遭遇过病毒、木马、黑客的攻击,电子商务交易的安全环境已经受到了严重影响。

3.2.2技术与意识现状

电子商务的安全需要信息技术和使用者意识的同步跟进和提高,才能使交易真正安全。目前国内两方面因素同时存在,导致电子商务交易安全性下降。一是技术方面:国内防御杀毒软件整体水平较低,查杀效率和效果不佳,部分电子商务平台设计存在缺陷,为电子交易安全埋下隐患。二是网民、使用者意识方面:相比于高发的网络安全事件,仍有4.4%的网民个人计算机未安装任何安全软件;不足8%的手机网民安装手机安全防护软件,网民安全意识仍有待进一步提升;

盗版软件使用泛滥;软件认知低,不懂得区分使用;交易双方欠缺诚信,即使交易在设计较为完善的电子商务平台上进行,依然存在欺骗行为。

3.2.3电子商务诚信环境

随着互联网的发展,网络购物(B2B、B2C)作为电子商务的其中分支之一,已经成为了一种消费时尚、热门购物渠道。据中国互联网络信息中心的数据显示:2009年我国网购市场交易规模为2500亿元,较2008年翻了一番。而2010年网络购物的市场规模应该已超过4300亿元。网购人群也大幅度增长,2009年至少在网上买过一次东西的中国网民数历史性地突破了1亿人,达到1.08亿人,增长46%。而在2010年,使用过网络购物的互联网用户更是接近2亿人。网络购物已经成为发展最迅速,与网民利益最相关的网络应用。

与此相比,电子商务诚信环境却不如人意,甚至随着电子商务的发展而出现恶化的局势。2010年,有近28%的互联网用户遭遇过虚假钓鱼网站、诈骗交易、交易劫持、网银被盗等针对网络购物的安全攻击。目前对我国网络购物用户威胁影响最严重的还是钓鱼网站,在网购用户所遭遇的安全威胁中有72.4%是钓鱼网站的欺骗行为,2010年1-10月,平均每天新增的与网络购物相关的钓鱼网站约为1500个。钓鱼网站的典型的诈骗方式主要分为三大类:低价诱惑、交谈诈骗、电话诈骗。

3.2.4电子商务信用管理现状

因为电子商务交易的特殊性,交易双方不曾谋面,所以关于电子商务的信用管理就显得尤为重要。为防止电子商务的欺诈行为给网民带来经济上的损失,网络企业以及第三方电子商务平台都相继实行信誉管理方法,如信誉评价和信誉等级系统的建立,网络诚信公约(自律)等等,但由于电子商务发展较晚,管理经验不足,这些方法和系统存在较多的问题,有待提升。如中国电子商务诚信评价中心推出“中国电子商务诚信评价规范”,其中的诚信红蓝标识制度,认知度极低,据调查发现,有97%人不知红蓝标识的含义。就目前而言,在线信誉评估、等级系统,在设计完善的提前下,可以较为有效的降低了交易风险,因为其交易双方的历史信用表现,信用等级都是公开信息,可以作为买卖双方交易选择的参考,且其失信成本远远大于其利益获得,好的信用必然可以提升销售量,这也从侧面迫使销售者提供最好的服务,避免了双方欺诈行为。交易讲究的诚信,信誉系统能最有效地维持双方可信的商务关系。如目前国内最大的网购平台淘宝网,它的网商信誉评价和信誉等级系统相对成熟,这种评价系统“为消费者提供了诚信、安全的购物保障,大大提升了网络购物体验”。但它依然存在相当多的问题,信用评价流程不合理,在买到相对低劣的产品时,你选择退货的同时就丧失了评价的权利,两者只能选其一,那到底是留着不需要的产品而去评价,还是选择退货?恶意中差评现象猖獗,甚至出现恶意差评师这一职业,严重影响公平竞争。另外对于返修产品缺乏保障,笔者就遇到过产品寄回返修,迟迟没有反应,损害消费者利益。信用可信度有待验证,专业刷钻组织的出现,使得信用体系的可靠性降低。

4电子商务安全立法现状

电子商务因其带来的经济效益和流行发展趋势而备受关注,其安全立法问题也得到了国际性组织和各国政府的高度重视,尽快营造全球范围内的电子商务安全法律环境已成为国际社会的共识。要创造一个适应和规范电子商务安全交易、发展的法律境,政府部门职责首当其冲,在电子商务发展的监管和安全立法中发挥其主导作用。及时了解电子商务即时情况,制定出台相应的安全保障法律法规,鼓励、引导、电子商务健康发展,规范、维持必要的网络市场秩序,这已经成为当前世界各国立法工作的重要任务。电子商务的广泛性和无界性使得世界各国纷纷出台相应法律、行为准则和规范办法来推动本国电子商务安全、健康的发展,旨在抓住信息技术的机遇,提高自身竞争力,从而会的优势,同时也减少电子商务的交易纠纷、欺诈行为,保障了交易的安全性,为电子商务在全球范围内的发展扫平障碍。

4.1当前电子商务安全法律、制度尚不完善

电子商务因其基础网络这个开放又隐蔽的环境,而显得比较特殊,其商贸交易行为需要有专门的法律来规范和秩序的维持,目前我国已经相继出台了部分法律法规、行为准则,设立了相应的部门来规范、监管和保证电子商务的安全。但与国际电子商务立法现状和国内电子商务现实状况相比,显得比较尴尬。我国电子商务安全法律体系仍然存在较多空白,强针对性的立法需要加快,先行法规则亟需进一步改进和完善。电子商务安全法律的不足之处有:电子交易流程行为规范、用户隐私保护、法律效力不足,法律滞后,情况描述不清,没有有效惩戒措施,难以对电子商务中的失信者和破坏者造成较强的约束力。因此强快电子商务安全法律立法和改进已经迫在眉睫。

4.2现有电子商务安全法律

现行电子商务安全法律,具有较强针对性质的较少,大多分散各类法规之中,或是零星提及电子交易安全问题,目前电子商务交易安全的法律法规主要有以下四类:

(1)综合性的法律。如:《民法通则》和《刑法》中有关对商贸交易的安全保障条文。

(2)对交易主体进行规范的相关法律。如《公司法》、《国有企业法》、《集体企业法》、《私营企业法》、《外资企业法》等;

(3)规范交易行为的有关法律,包括经济合同法、产品质量法、价格法、消费者权益保障法,反不正当竞争法等等

(4)对监督交易行为进行规范的法律,如会计法、票据法、银行法等。

国务院颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》和公安部颁发的《计算机信息网络国际联网安全保护管理办法》是两个对电子商务具有重大影响的行政法规。

另外《中华人民共和国电子签名法》的颁布也具有重要意义。该法赋予电子签名与手写签名或盖章具有同等的法律效力,明确了电子认证服务的市场准入制度,标志着我国的信息化立法迈出重要步伐。

4.3电子商务安全立法困难的原因

电子商务发展壮大为商贸交易带来极大便捷和迅速优越性,成为了经济的强劲增长点,为全球经济的发展营造了良好的氛围,与此同时,因为其特点,也对社会各个领域特别是立法带来了困难和压力。

首先电子商务的立法,需要考虑国家和地区之间的差异,协调困难。电子商务基于网络,而网络却已经全球联通、跨越了地域的界限。它所面对的不只是一个地区、一个国家的市场,而是全球一体化的大市场。各国由于社会制度、政治状况、经济发展程度等不同而导致了现行法律法规的不同,要制定可以有效协调、高度一体化的商业和法律规则,谈何容易。

其次是电子商务交易处理、传输的实质就是对信号脉冲的传输和对数字流的处理,这种虚拟的平台上,双方的不曾谋面,使得信息资源对商家的商业信用提出了更高的要求。在信息得到广泛传播的同时,由于互联网既开放又隐蔽的特性使得信息的真伪有待验证,恶意的攻击、恶意的失信难以发现,即使发现也难以揪出终端背后的那个失信或破坏者,有法难断或者有法却找不到应受惩罚的人,而且对于包括制作版权、著作权、商标使用权、数据库等在内的知识产权保护也成为无法回避的问题。电子商务横跨领域之广、利益关联群体之多,和其有别于传统商务模式的无形化给税收体制及税收管理模式也带来了巨大的挑战。

再次,电子信息领域,技术日新月异,电子商务领域的技术进步速度已经超国家适时地调整其法律框架的能力。法律的变革无法做到像电子技术更新一样的快,也由于新的意想不到的问题的不断出现,使得适时的法律调整总跟不上电子商务高速发展的步伐。这是需要我们对于现行法律框架从根本上进行反思,困难而想而知。

5电子商务安全立法的对策研究

5.1电子商务安全需求分析

5.1.1主要内容

电子商务是网上公开直接虚拟交易的商务模式,它直接通过网络进行交易、支付、谈判、下单等,在这个过程中蕴藏了大量的商务信息,所以,电子商务的安全问题引起了网民、企业、行业、国家的广泛观众。根据电子商务的交易模式以及重要性分析,电子商务的安全需求主要包括以下几个方面:

1、信息的完整性;

2、信息的保密性;

3、信息的不可否认性;

4、交易双方的真实身份信息;

5、系统的可靠性;

6、资金的安全性。

5.1.2涉及领域

通过吸收国外成功的经验,结合我国自身电子商务发展特色以及社会主义国情特色,我国电子商务安全性的立法主要涉及以下几大方面:

1、保护消费者的合法权益;

2、交易双方的个人真实信息;

3、保密和信息的合法性访问;

4、数字签名以及第三方认证;

5、计算机犯罪和侵犯问题的有效控制。

5.2电子商务安全立法定位与模式

电子商务的安全法律保障问题,从其整体情况来看,主要表现为两大层次:第一,电子商务首先表现的是商品交易模式,它的安全需要通过民商法来进行规范保护;第二,电子商务是通过计算机及网络技术实现的,它的安全很大程度上依赖于计算机及网络的自身安全程度,这需要网络的安全管理法律来加以约束和保护。从第一点的角度来看,电子商务安全法律隶属于商法的范围。

因此,在立法过程中,重点还是需要从商法的角度,结合其依托计算机网络技术的特色,从全面化的角度出发,制定出高效规范的电子商务安全法律。

从电子商务安全立法的模式角度出发,电子商务的安全法律主要有以下两种选择:第一,在电子商务交易活动的法律中加入电子商务安全性法律内容;第二,另外指定电子商务安全单行法。这两种模式都有各自的优点和缺点,前者的立法成本低但是保护力度不够强,后者的立法程序复杂,所需资源多,但是保护力度大。在实际操作中,到底选择哪种模式,也是当下法律界正在研究分析的重点问题。本文提出的建议是分为两步走:先采用第一种模式,等条件成熟后而且又加强的需要,再进行第二种模式的立法。这样不仅可以快速成立相关法律体系,同时也可有效解决资源浪费的问题。

5.3我国电子商务安全性立法的对策分析

5.3.1健全电子商务法律,注重法律的滞后性

健全的电子商务立法体系不仅要包括有网络服务和网络管理的法律制度,同时还需要电子商务主体的立法和市场管理制度,以及电子商务交易支付的法律制度、网上商务行为制度、电子税法制度、客户个人隐私权保护法。只有建立系统性的法律制度,才能真正发挥电子商务安全法的作用。

在加强电子商务安全法建设的同时,同时也应该注重法律的滞后性带来的法律效力减弱。法律的滞后性首先表现为法律立法的程序,这是个严格的过程,需要问题显现的非常明白,并对该问题进行有充分的调研数据后,才可能形成立法的基本条件和背景,这个过程是繁琐的,是复杂的,是需要长时间的。另外,法律要建立起威信,必须较长的时间,在这段长时间里,网络的发展是非常快的,会发生不同程度内容的问题,而且这些问题会经常超过法律设定的范围,这些问题在客观上都表现为电子商务法律的滞后性,使得法律无法体现超前性,大大降低了法律的约束作用。

5.3.2加强立法部门对于电子商务的学习了解

立法部门在实际的工作经验中,可能只是了解法律相关体系知识,对于电子商务交易模式、支付模式等相关内容可能存在误解或者不了解的情况,这容易导致立法部门在立法的过程中,过于偏向法律的可行性,而忽略了电子商务法律的可行性。所以,加强立法部门对于电子商务的学习了解,使其真正深入了解电子商务整体运营过程以及涉及内容、存在的漏洞、需要加强的节点以及关联的群体等内容,从根本上制定高效可行规范的电子商务安全法律,从而降低因误解带来的时间拖延、资源耗费等其他损失。

另外,加强立法部门对于电子商务的学习了解的同时,应加强立法部门工作人员对于电子商务立法的重视度,从思想上加强工作人员对于电子商务安全立法的注重,从而加快电子商务安全立法的实施进度。

5.2.3系统化完善,架构法律体系

我国电子商务的飞速发展,对电子商务中的安全问题提出了更高的要求。在建立我国电子商务安全法律时,应多加考虑它与其他法律之间的关联度,从而架构其整体法律体系,进一步完善安全法律的有效性。具体内容如下:

1、在中国民法基本法原有的基础上,增加交易安全的理念和内容;

2、在计算机与网络安全管理的立法上,应针对电子商务在网络虚拟环境下运行的特点,加强电子商务交易安全保护的法律措施。

3、在商事单行法的立法上,可以适当突破现有民法的一些制度,基于商法的特殊性及独立性,满足电子商务较高的安全保护需求。

4、在法律解释上,全面清理我国最高人民法院作出的司法解释,剔除掉不利于电子商务安全的言论,对电子商务的安全问题进行重新正确的认识和解释。

5.2.4配套奖惩措施,提高安全法律威信度

奖惩措施是任何制度得以有效实施的保障制度,这里的奖惩措施具有两个重要的含义:

第一,是对电子商务安全制度在实施过程出现的良性事件和恶性事件进行适当的奖励和惩罚,或是进行高度的奖励和惩罚,从而在加强良性循环的同时,对制度实施过程中的恶性事件作出严厉的惩罚,起到杀一儆百的作用,从而有效提高电子商务安全立法的实施力度和效果。

第二,是对进行非法盗取电子商务信息或是破坏电子商务交易的不法分子进行严厉的法律制裁,以及对保护电子商务安全的良好事迹进行表扬。我国目前针对盗取电子商务信息或是破坏电子商务交易的不法分子还未建立有效的不法分子,才会使得这些不法分子妄想钻空子、踩地雷,这也是导致我国电子商务安全出现问题的一大关键因素。因此,建立电子商务奖惩措施,有利于提高对不法分子的控制以及提高人民对电子商务安全的保护意识。

5.2.5借鉴国外成功经验,结合自身特色国情

电子商务是全球性的电子商务,它是无国界、无种族之分的。所以,我国在建立电子商务安全法律时,可立足于国际立法的趋同性取向,借鉴国外成功的电子商务安全法律制度经验,并且结合我国的自身特色国情。中国的电子商务安全法律,只有争取与国际立法接轨,才能参与全球性的经济竞争。例如,新加坡在制定《电子&交易法案》时几乎全部采用了《电子商务示范法》的相关内容,同时根据《电子商务示范法》的总体精神以及自身国情,增加了部分内容。所以,我国在制定电子商务安全法律时,应尽量吸收国外原有的成果,再结合我国的特色国情,在降低立法成本、节省立法时间的同时,也提高电子商务安全法律的高效性和实用性。

6总结和展望

电子商务的安全问题是关系到电子商务能否继续发展的关键因素。随着我国计算机网络科学的逐步发展,某些非法分子对于电子商务安全模式已经越来越熟悉,如果电子商务再不加强安全防范以及法律法规的严加约束,电子商务的安全将成为我国经济法律的一大问题,这对我国经济、网民、电子商务企业来说都是非常不利的。因此,尽快建立我国的电子商务安全立法,建立有效可行的电子商务安全法律法规,从国家政治制度角度出发,为我国的电子商务发展进行强而有力的安全管束,以促进我国电子商务行业稳步健康的发展。随着我国电子商务的飞速发展,已经在我国人民生活中扮演的越来越重要的角色,电子商务的安全立法问题已经成为我国法政界、金融界和学术界共同关注的热点问题,因此,研究我国电子商务安全立法工作,建立科学高效的电子商务安全法律,为我国的电子商务的稳步健康发展奠定良好的基础,具有非常重要的理论意义和实践意义。

本文研究的主要贡献在于:探讨了我国电子商务安全现状以及立法存在的问题与对策。本研究以电子商务基本概念和特色为理论基础,通过对我国电子商务的安全现状进行分析,从而形成本研究的整体背景,接着分析我国安全立法的现状以及存在的问题,最后结合自身所学知识,提出改善我国电子商务安全法律的对策,希望对电子商务安全立法工作的开展能提供一些帮助。但是由于水平的限制以及实际经验的不足,加上我国目前电子商务法律问题整体上处于不成熟与多样化的阶段,使得本文在研究过程中遇到一些困难,加上文字功底不够等等,影响到了研究的效果,使得论文尚有以下不足之处:

1、研究过程中,对于我国电子商务安全现状只选取了几个主要的现状进行描述,考虑到本研究报告的篇幅问题,并没有对全部的现状进行描述。

篇5

伴随经济的迅猛发展,电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势,必须保证电子商务中信息交流的安全。

一、电子商务的信息安全问题

电子商务信息安全问题主要有:

1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。

二、信息安全要求

电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:

1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。

三、信息安全技术

1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。

防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术:把过滤和服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。

3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。

4.防病毒技术。(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。

四、结语

信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。

参考文献:

篇6

1.对称密钥加密体制

对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。

使用对称加密技术将简化加密的处理,每个参与方都不必彼此研究和交换专用设备的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发送报文摘要或报文散列值来实现。

2.非对称密钥加密体制

非对称密钥加密系统,又称公钥密钥加密。它需要使用一对密钥来分别完成加密和解密操作,一个公开,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。

在非对称加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为私用密钥(解密密钥)加以保存。私用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛。

该方案实现信息交换的过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密信息进行解密。

认证技术

安全认证的主要作用是进行信息认证。信息认证的目的为:(1)确认信息发送者的身份;2)验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。下面从安全认证技术和安全认证机构两个方面来做介绍。

1.常用的安全认证技

安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。

(1)数字摘要

数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。

(2)数字信封

数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。

(3)数字签名

日常生活中,通常用对某一文档进行签名来保证文档的真实有效性,防止其抵赖。在网络环境中,可以用电子数字签名作为模拟。

把Hash函数和公钥算法结合起来,可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的Hash,而不是由其他人假冒。而把这两种机制结合起来就可以产生数字签名。

(4)数字时间戳

在书面合同中,文件签署的日期和签名一样均是防止文件被伪造和篡改的关键性内容。而在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。

(5)数字证书

在交易支付过程中,参与各方必须利用认证中心签发的数字证书来证明各自的身份。所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。

数字证书是用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名,因此任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书,才能参加安全电子商务的网上交易。数字证书一般有四种类型:客户证书、商家证书、网关证书及CA系统证书。

2.安全认证机构

电子商务授权机构(CA)也称为电子商务认证中心(CertificateAuthority)。在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易双方自己能完成的,而需要有一个具有权威性和公正性的第三方来完成。

认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。

安全认证协议

目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL(SecureSocketsLayer)协议和安全电子交易SET(SecureElectronicTransaction)协议。

1.安全套接层(SSL)协议

安全套接层协议是由Netscape公司1994年设计开发的安全协议,主要用于提高应用程序之间的数据的安全系数。SSL协议的概念可以被概括为:它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供Internet和企业内联网的安全通信服务。

SSL采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。

篇7

一、我国电子商务发展现状

当今世界是数字化的信息社会,高新技术尤其是电子信息技术对各行各业的影响从未像现在这样明显。电子商务就是在这个信息时代背景下产生并迅速发展起来,它已逐渐成为人们进行商务活动的新模式。近几年,我国的电子商务也蓬勃发展,像阿里巴巴、E-BAY、淘宝网等已取得相当的成功,给人们的生活观念与方式带来了巨大的改变。但同时由于我国电子商务起步晚、发展快,以致配套的技术及管理等方面跟不上,致使安全成为其发展过程中的阻碍因素。

二、我国电子商务发展面临的安全问题分析

在我国电子商务面临的安全问题主要由三个方面造成,即技术落后、信用缺失及法律法制体系不完善。

(一)技术落后。对电子商务的安全而言,其首先要解决的就是安全技术问题,即我国现有的网络安全技术落后,难以建立一个安全可信赖的电子商务环境。一般来说,电子商务所面临的安全威胁主要表现在以下方面:

1、信息篡改。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除、插入或重放,从而使信息失去了真实性和完整性。

2、信息破坏。信息破坏既包括网络硬件和软件的问题而导致信息传递的丢失与谬误,也包括一些恶意程序的破坏而导致电子商务信息遭到破坏。由于攻击者可以接入网络,就可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入两方的网络内部,其后果是非常严重的。

3、身份识别。(1)假冒他人身份。假冒他人身份有以下几种方式:第一,假冒交易一方的身份,破坏交易,败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等;第二,冒充主机欺骗合法主机及合法用户;第三,冒充网络控制程序,套取或修改使用权限、通行字、密钥等信息;第四,接管合法用户,欺骗系统,占用合法用户的资源。(2)不承认已经做过的交易。交易的一方可不为自己的行为负责任,进行否认,相互欺诈。具体包括以下几种情况:第一,发信者事后否认曾经发送过某信息或内容;第二,收信者事后否认曾经收到过某信息或内容;第三,购货者下了订货单不承认;第四,商家卖出的商品因价格差而不承认原有的交易。

4、信息泄密。信息泄密主要包括两个方面,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。攻击者可能通过互联网、公共电话网、搭线或在电磁波辐射范围内安装截获装置等方式,截获传输的机密信息,或者是通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的银行卡号、密码,销售者的(二)信用缺失。信用缺失的现象在当今的商务贸易中已成为一个日益严重的问题。基于网络的电子商务,连接的是相隔时间与空间距离的买卖双方,信用问题则显得更为突出。很多买方在付款之前会由于看不到实体物品,而担心其质量问题或商品是否真正符合自己的要求;在付款之后,还会担心卖方是否能真正遵守承诺交付货品。同样,卖方也对买方能否按期付款存在疑虑。在信用问题带来的顾虑重重之下,电子商务很难为大众所普遍接受。我国已加入WTO,会进行更多的跨国贸易,信用问题不仅关系到国内电子商务贸易能否正常有序进行,也关系到我国与国外的网上贸易能否顺利进行。

(三)法律法制体系不完善。当电子商务日益深入我们的生活之时,越来越迫切地感觉到缺少一套专门的完善的法律法规来解决这些问题。电子商务最大的特征是它存在于虚拟世界,极易产生如网上交易纠纷的仲裁、电子合同和网上契约的效力、纳税、隐私或产权的保护等问题,加之国际化的电子商务又涉及到各国的政治制度、社会状况、经济水平、现行法律法规及文化社会传统等问题,所以对它进行立法是非常复杂的。

目前,我国规范电子商务的相关法律法规极为有限。在法律层次上,只有1997年修订的《刑法》中增加了关于计算机犯罪的条文,1999年通过的《合同法》对电子合同的书面形式、生效时间地点等做了规定,但有关电子合同的描述是粗线条的,缺乏细化措施和可操作性,远远不能满足电子商务发展的需要。因此,法律问题是为实现电子商务安全必须解决的又一个重要问题。

三、解决中国电子商务发展面临的安全问题的有效方法

(一)技术问题的解决方法。对于技术问题,国内国外都已有较为常用有效的解决方法。概括地来说,有以下两个方面:一是确定安全控制的范围;二是建立电子商务安全体系。

1、安全控制的范围。电子商务安全的控制应涉及以下六个方面:第一,信息的保密性。EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。它是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取;第二,数据的完整性。EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复,并保证信息传送次序的统一;第三,非伪装性。在电子商务环境中,网上交易的双方可能素昧平生、远隔千里。要使交易成功,首先要能方便可靠地确认对方的身份,这是双方交易的前提。非伪装性也能大大加强交易双方的信任程度,可以促进交易广泛地进行;第四,不可否认性。商情千变万化,交易一旦达成是不能被否认的,否则必然会损害一方的利益。因此,电子交易通信过程的各个环节都必须是不可否认的,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识;第五,不可修改性。电子交易的文件要做到不可修改,以保证交易的严肃和公正。同时,电子交易的文件也可以作为法律承认的一种证据,为交易双方出现的纠纷提供解决依据;第六,审查能力。根据机密性和完整性的要求,应对数据审查的结果进行记录,以备交易双方产生纠纷时交由第三方处理。客户资料等。2、建立电子商务安全体系。为实现电子商务的安全,现在较为通用的是建立包括以下三个层次的电子商务安全体系:第一,建立密码机制。密码机制即基本加密算法,包括对称密钥加密、非对称密钥加密等,密码机制的建立可以保证交易数据与交易人个人信息不受恶意的侵犯;第二,完善基本安全技术。基本安全技术包括以密钥机制为基础的CA体系以及数字信封、数字签名、数字时间戳、防火墙等。基本安全技术的不断完善为电子商务的发展提供一个良好的技术平台,使其发展过程中的技术障碍得以消除;第三,建立安全应用协议。安全应用协议以密码机制、基本安全技术、CA体系为基础。如,Internet电子邮件的安全协议(PEM,S/MIME,PEM-MIME(MOSS))、网络安全交易协议(SSL,S-HTTP,STT,iKP,SEPP,SET)。

(二)信用问题的解决方法。美国是世界上消费信贷最成熟的国家之一,有一整套完善的个人信用制度,我国可以借鉴其做法,建立一个适合中国国情的信用制度。第一,我国可以成立一个专门的征信机构——信用局,由政府管理,如银行一般具有社会公信力;第二,建立一个准确公正的个人信用档案。信用档案的信息应包括工商、税务、公安、司法、银行、证券、保险、经贸等多个方面。另外,信用档案应实现全面动态的管理,以实现对每个人全面有效的信用监督;第三,设计一个科学透明的信用分模型。最好由国家出面招标开发信用分模型,设计一个科学透明的信用分模型,产权归国家所有,无偿提供给社会使用;第四,完善个人信用的外部环境。具体可以从下面两个方面着手:一方面国家的组织和协调。建立个人信用制度是一项非常庞大的系统工程,需要政府各有关部门、中央银行、商业银行、个人信用中介公司等机构密切合作、协调配合。由国家应出台有关个人信用制度的政策,落实相关的配套措施,明确各部门所负的职责;另一方面是法律的保障。个人信用档案收集的个人信用资料属于个人隐私,国家应当对个人信用数据的收集、个人信用分的评定、个人信用数据的使用和披露做出明确规定,对于各种违规以及破坏公民隐私的行为规定制裁措施。

篇8

一、前言

电子商务全球化的发展趋势中,电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康发展。限制电子商务的发展主要因素就是电子支付手段的安全性。

二、主要的电子支付手段及其安全性分析

1.电子信用卡

(1)支付方式:信用卡支付是电子支付中最常用的工具,方法是在Internet环境下通过标准的SET协议进行网络支付,用户在网上发送信用卡号和密码,加密后发送到银行进行支付。支付过程中要进行用户、商家及付款要求的合法性验证。

(2)安全策略:电子信用卡,是通过用户在网上输入账号/密码+数字签名,这些信息都是通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互,进行网络支付,这种支付方式的安全性是可以得到保证的。

(3)安全隐患:单纯从技术上来说,无安全隐患问题。

2.电子支票

(1)支付方式:电子支票是利用数字化手段进行网上支付,支付过程与传统支票的支付过程相似,只是电子支票完全抛开了纸质的媒介,其支票的形式是通过网络传播,并用数字签名代替了传统的签名方式。其交易流程如下:

(2)安全策略:和电子信用卡一样,采用账号/密码+数字签名的方式进行身份验证。其支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性,从上面的交易流程,我们可以看到,电子支票的支付在专用系统上有可靠的安全措施的。

(3)安全隐患:专用网络上的应用具有成熟的模式(例如SWIFT(环球银行金融通讯协会、SocietyforWorldwideInterbankFinancialTelecommunication)系统);公共网络上的点的资金转账仍在实验之中。

3.电子现金

(1)支付方式:电子现金是一种以数字化形式存在的现金货币,它同信用卡不一样,信用卡本身并不是货币,只是一种转账手段,而电子现金本身就是一种货币,是一种以数据形式存在的现金货币。它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。可以直接用来购物。电子现金具有如下特点:匿名;节省交易费用;支付灵活方便;安全存储。

(2)安全策略:没有适当的身份认证机制,是匿名的,为防止被伪造,电子现金的传输是经过数字签名的。

(3)安全隐患:①逃税:由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。电子现金不像真实的现金一样,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收规则,由于其不可跟踪性,电子现金很可能被不法分子用以逃税。②洗钱:电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经开始了这种做法。

③扰乱金融秩序:电子现金的法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品或服务的数字化等价物,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。

④重复消费:由于电子序列号可以被复制,因此需要一个大型的数据库存储用户完成的交易和E-Cash序列号以防止重复消费,这对于软件和硬件的要求都很高,因此很多银行都不支持电子现金业务。

4.移动支付

(1)支付方式:移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户,为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统,移动支付系统将此次交易的要求传送给MASP,由MASP确定此次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付系统来完成。

(2)安全措施:身份验证方式采用个人账号/密码的方式。对交易中的部分敏感信息进行了加密。

篇9

对数据进行有效加密与解密,称为密码技术,即数据机密性技术。其目的是为了隐蔽数据信息,将明文伪装成密文,使机密性数据在网络上安全地传递而不被非法用户截取和破译。伪装明文的操作称为加密,合法接收者将密文恢复出原明文的过程称为解密,非法接收者将密文恢复出原明文的过程称为破译。密码是明文和加密密钥相结合,然后经过加密算法运算的结果。加密包括两个元素,加密算法和密钥。加密时所使用的信息变换规则称为加密算法,是用来加密的数学函数,一个加密算法是将普通的文本(或者可以理解的信息)与一串字符串即密钥结合运算,产生不可理解的密文的步骤。密钥是借助一种数学算法生成的,它通常是由数字、字母或特殊符号组成的一组随机字符串,是控制明文和密文变换的唯一关键参数。对于相同的加密算法,密钥的位数越多,破译的难度就越大,安全性就越好。目前,电子商务通信中常用的有私有(对称)密钥加密法和公开(非对称)密钥加密法。

一、私有密钥加密法

(一)定义

私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用同样的一把密钥A对收到的密文M进行解密,得到明文信息,从而完成密文通信目的的方法。这种信息加密传输方式,就称为私有密钥加密法。上述加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。

(二)使用过程

具体到电子商务,很多环节要用到私有密钥加密法。例如,在两个商务实体或两个银行之间进行资金的支付结算时,涉及大量的资金流信息的传输与交换。这里以发送方甲银行与接收方乙银行的一次资金信息传输为例,来描述应用私有密钥加密法的过程:银行甲借助专业私有密钥加密算法生成私有密钥A,并且复制一份密钥A借助一个安全可靠通道(如采用数字信封)秘密传递给银行乙;银行甲在本地利用密钥A把信息明文加密成信息密文;银行甲把信息密文借助网络通道传输给银行乙;银行乙接受信息密文;银行乙在本地利用一样的密钥A把信息密文解密成信息明文。这样银行乙就知道银行甲的资金转账通知单的内容,结束通信。

(三)常用算法

世界上一些专业组织机构研发了许多种私有密钥加密算法,比较著名的有DES算法及其各种变形、国际数据加密算法IDEA等。DES算法由美国国家标准局提出,1977年公布实施,是目前广泛采用的私有密钥加密算法之一,主要应用于银行业中的电子资金转账、军事定点通信等领域,比如电子支票的加密传送。经过20多年的使用,已经发现DES很多不足之处,随着计算机技术进步,对DES的破解方法也日趋有效,所以更安全的高级加密标准AES将会替代DES成为新一代加密标准。

(四)优缺点

私有密钥加密法的主要优点是运算量小,加解密速度快,由于加解密应用同一把密钥而应用简单。在专用网络中由于通信各方相对固定、所以应用效果较好。但是,私有密钥加密技术也存在着以下一些问题:一是分发不易。由于算法公开,其安全性完全依赖于对私有密钥的保护。因此,密钥使用一段时间后就要更换,而且必须使用与传递加密文件不同的途径来传递密钥,即需要一个传递私有密钥的安全秘密渠道,这样秘密渠道的安全性是相对的,通过电话通知、邮寄软盘、专门派人传送等方式均存在一些问题。二是管理复杂,代价高昂。私有密钥密码体制用于公众通信网时,每对通信对象的密钥不同,必须由不被第三者知道的方式,事先通知对方。随着通信对象的增加,公众通信网上的密码使用者必须保存所有通信对象的大量的密钥。这种大量密钥的分配和保存,是私有密钥密码体制存在的最大问题。三是难以进行用户身份的认定。采用私有密钥加密法实现信息传输,只是解决了数据的机密性问题,并不能认证信息发送者的身份。若密钥被泄露,如被非法获取者猜出,则加密信息就可能被破译,攻击者还可用非法截取到的密钥,以合法身份发送伪造信息。在电子商务中,有可能存在欺骗,别有用心者可能冒用别人的名义发送资金转账指令。因此,必须经常更换密钥,以确保系统安全。四是采用私有密钥加密法的系统比较脆弱,较易遭到不同密码分析的攻击。五是它仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。

二、公开密钥加密法

(一)定义与应用原理

公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。是电子商务应用的核心密码技术。所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用另一把密钥B对收到的密文M进行解密,得到明文信息完密文通信目的的方法。由于密钥A、密钥B这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。

公开密钥加密法的应用原理是:借助密钥生成程序生产密钥A与密钥B,这两把密钥在数学上相关,对称作密钥对。用密钥对其中任何一个密钥加密时,可以用另一个密钥解密,而且只能用此密钥对其中的另一个密钥解密。在实际应用中,某商家可以把生成的密钥A与密钥B做一个约定,将其中一把密钥如密钥A保存好,只有商家自己知道并使用,不与别人共享,叫作私人密钥;将另一把密钥即密钥B则通过网络公开散发出去,谁都可以获取一把并能应用,属于公开的共享密钥,叫做公开密钥。如果一个人选择并公布了他的公钥,其他任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,而且非法用户几乎不可能从公钥推导出私钥。存在下面两种应用情况:一是任何一个收到商家密钥B的客户,都可以用此密钥B加密信息,发送给这个商家,那么这些加密信息就只能被这个商家的私人密钥A解密。实现保密性。二是商家利用自己的私人密钥A对要发送的信息进行加密进成密文信息,发送给商业合作伙伴,那么这个加密信息就只能被公开密钥B解密。这样,由于只能应用公开密钥B解密,根据数学相关关系可以断定密文的形成一定是运用了私人密钥A进行加密的结果,而私人密钥A只有商家拥有,由此可以断定网上收到的密文一定是拥有私人密钥A的商家发送的。

(二)使用过程

具体到电子商务,很多环节要用到公开密钥加密法,例如在网络银行客户与银行进行资金的支付结算操作时,就涉及大量的资金流信息的安全传输与交换。以客户甲与乙网络银行的资金信息传输为例,来描述应用公开密钥加密法在两种情况下的使用过程。首先,网络银行乙通过公开密钥加密法的密钥生成程序,生成自己的私人密钥A与公开密钥B并数学相关,私人密钥A由网络银行乙自己独自保存,而公开密钥B已经通过网络某种应用形式(如数字证书)分发给网络银行的众多客户,当然客户甲也拥有一把网络银行乙的公开密钥B。

1、客户甲传送一“支付通知”给网络银行乙,要求“支付通知”在传送中是密文,并且只能由网络银行乙解密知晓,从而实现了定点保密通信。客户甲利用获得的公开密钥B在本地对“支付通知”明文进行加密,形成“支付通知”密文,通过网络将密文传输给网络银行乙。网络银行乙收到“支付通知”密文后,发现只能用自己的私人密钥A进行解密形成“支付通知”明文,断定只有自己知晓“支付通知”的内容,的确是发给自己的。

2、网络银行乙在按照收到的“支付通知”指令完成支付转账服务后,必须回送客户甲“支付确认”,客户甲在收到“支付确认”后,断定只能是网络银行乙发来的,而不是别人假冒的,将来可作支付凭证,从而实现对网络银行业务行为的认证,网络银行不能随意否认或抵赖。网络用户乙在按照客户甲的要求完成相关资金转账后,准备一个“支付确认”明文,在本地利用自己的私人密钥A对“支付确认”明文进行加密,形成“支付确认”密文,通过网络将密文传输给客户甲。客户甲收到“支付确认”密文后,虽然自己有许多密钥,有自己的,也有别人的,却发现只能用获得的网络银行乙的公开密钥B进行解密,形成“支付确认”明文,由于公开密钥B只能解密由私人密钥A加密的密文,而私人密钥A只有网络银行乙所有,因此客户甲断定这个“支付确认”只能是网络银行乙发来的,不是别人假冒的,可作支付完成的凭证。

(三)算法

当前最著名、应用最广泛的公开密钥系统是RSA(取自三个创始人的名字的第一个字母)算法。目前电子商务中大多数使用公开密钥加密法进行加解密和数字签名的产品和标准使用的都是RSA算法。RSA算法是基于大数的因子分解,而大数的因子分解是数学上的一个难题,其难度随数的位数加多而提高。

(四)优缺点

优点是可以在不安全的媒体上通信双方交换信息,不需共享通用密钥,用于解密的私钥不需发往任何地方,公钥在传递与过程中即使被截获,由于没有与公钥相匹配的私钥,截获公钥也没有意义。

能够解决信息的否认与抵赖问题,身份认证较为方便。密钥分配简单,公开密钥可以像电话号码一样,告诉每一个网络成员,商业伙伴需要好好保管的只是一个私人密钥。而且密钥的保存量比起私人密钥加密少得多,管理较为方便。最大的缺陷就在于它的加解密速度。超级秘书网

三、两种加密法的比较

通过DES算法和RSA算法的比较说明公开密钥加密法和私有密钥加密法的区别:在加密、解密的处理效率方面,DES算法明显优于RSA算法,即DES算法快得多;在密钥的分发与管理方面,RSA算法比DES算法更加优越;在安全性方面,只要密钥够长,如112b密钥的DES算法和1024b的RSA算法的安全性就很好,目前还没找到在可预见的时间内破译它们的有效方法;在签名和认证方面,DES算法从原理上不可能实现数字签名和身份认证,但RSA算法能够方便容易的进行数字签名和身份认证。

基于以上比较的结果可以看出,私有密钥加密法与公开密钥加密法各有长短,公开密钥加密在签名认证方面功能强大,而私有密钥加密在加/解密速度方面具有很大优势。为了充分发挥对称加密法和非对称加密法各自的优点,在实际应用中通常将这两种加密法结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。这样不仅数据信息的加解密速度快,同时保障了密钥传递的安全性。数据加密技术是信息安全的基本技术,在网络中使用的越来越广泛。针对不同的业务要求可以设计或采取不同的加密技术及实现方式。另外还要注意的是,数据加密技术所讨论的安全性只是暂时的,因此还要投入对密码技术新机制、新理论的研究才能满足不断增长的信息安全需求。

参考文献:

[1]丁学君.电子商务中的信息安全问题及其对策[J].计算机安全,2009,(2).

[2]余绍军,彭银香.电子商务安全与数据加密技术浅析[J].中国管理信息化(综合版),2007,(04).

[3]王俊杰.电子商务安全问题及其应对策略[J].特区经济,2007,(07).

篇10

引言

随着网络的不断普及和电子商务的迅猛发展,电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活方式,越来越多的人们开始接受并喜爱网上购物,可是,电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现,其安全性也同样是其发展所不容忽视的关键问题,因此应当着重研究。

一、校园电子商务概述

1.1校园电子商务的概念。

校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。

1.2校园电子商务的特点。

相对于一般电子商务,校园电子商务具有客户群稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。

二、校园电子商务的安全问题

2.1校园电子商务安全的内容。

校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。

2.2校园电子商务安全威胁。

校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。

2.3校园电子商务安全的基本安全需求。

通过对校园电子商务安全威胁的分析,可以看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。

三、校园电子商务安全解决方案

3.1校园电子商务安全体系结构。

校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系结构,如图所示:

上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。

针对上述安全体系结构,具体的方案有:

(1)营造良好校园人文环境。加强大学生的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。

(2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。

(3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。

(4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。

3.2校园网络安全对策。

保障校园网络安全的主要措施有:

(1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问,防止来自外部互联网对内部网络的破坏。

(2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。

(3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。

3.3交易信息安全对策。

针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。

(1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。

(2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。

(3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。

3.4基于一卡通的校园电子商务。

目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:

(1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。:

(2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。

四、结束语

开展校园电子商务是推进校园信息化建设的重要内容,随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时,安全问题成为制约校园电子商务发展的障碍。因此,如何建立一个安全、便捷的校园电子商务应用环境,让师生能够方便可靠的进行校园在线交易和网上支付,是当前校园电子商务发展要着重研究的关键问题。

参考文献:

[1]李洪心。电子商务安全[M].大连:东北财经大学出版社,2008.

[2]杨坚争,赵雯,杨立钒。电子商务安全与电子支付[M].北京:机械工业出版社,2008.

篇11

一、引言

电子商务是以电子信息技术为基础的商务运作,是信息技术的发展对社会经济生活产生巨大影响的一个实例,也是网络新经济迅猛发展的代表。电子商务的核心内容是网上交易,尤其是通过公共的因特网将众多的社会经济成员联系起来的网上交易更是成为发展的热点,

电子商务所具有的广阔发展前景,越来越为世人所瞩目。但在Internet给人们带来巨大便利的同时,也把人们引进了安全陷阱。目前,阻碍电子商务广泛应用的首要也是最大的问题就是安全问题。电子商务中的安全问题如得不到妥善解决,电子商务应用就只能是纸上谈兵。从事电子商务活动的主体都已普遍认识到电子商务的交易安全是电子商务成功实施的基础,是企业制订电子商务策略时必须首先要考虑的问题。对于实施电子商务战略的企业来说,保证电子商务的安全已成为当务之急。

二、电子商务过程中面临的主要安全问题

从交易角度出发,电子商务面临的安全问题综合起来包括以下几个方面:

1.有效性

电子商务以电子形式取代了纸张,那么保证信息的有效性就成为开展电子商务的前提。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

2.真实性

由于在电子商务过程中,买卖双方的所有交易活动都通过网络联系,交易双方可能素昧平生,相隔万里。要使交易成功,首先要确认对方的身份。对于商家而言,要考虑客户端不能是骗子,而客户端也会担心网上商店是否是一个玩弄欺诈的黑店,因此,电子商务的开展要求能够对交易主体的真实身份进行鉴别。

3.机密性

电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。如信用卡的账号和用户名被人知悉,就可能被盗用而蒙受经济损失;订货和付款信息被竞争对手获悉,就可能丧失商机。因此建立在开放的网络环境电子商务活动,必须预防非法的信息存取和信息在传输过程中被非法窃取。

三、电子商务安全中的几种技术手段

由于电子商务系统把服务商、客户和银行三方通过互联网连接起来,并实现了具体的业务操作。因此,电子商务安全系统可以由三个安全服务器及CA认证系统构成,它们遵循共同的协议,协调工作,实现电子商务交易信息的完整性、保密性和不可抵赖性等要求。其中采用的安全技术主要有以下几种:

1.防火墙(FireWall)技术

防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出。

2.加密技术

数据加密技术是电子商务中采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。在网络应用中一般采取两种加密形式:对称加密和非对称加密,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来做出判断。

(1)对称加密

在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。这种加密算法可简化加密处理过程,贸易双方都不必彼此研究和交换专用的加密算法,如果进行通信的贸易方能够确保私有密钥在交换阶段未曾泄露,那么机密性和报文完整性就可以得到保证。不过,对称加密技术也存在一些不足,如果某一贸易方有n个贸易关系,那么他就要维护n个私有密钥。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享一把私有密钥。目前广泛采用的对称加密方式是数据加密标准(DES),它主要应用于银行业中的电子资金转账(EFT)领域。DES对64位二进制数据加密,产生64位密文数据。使用的密钥为64位,实际密钥长度为56位(8位用于奇偶校验)。解密时的过程和加密时相似,但密钥的顺序正好相反。

(2)非对称加密/公开密钥加密

在Internet中使用更多的是公钥系统,即公开密钥加密。在该体系中,密钥被分解为一对:公开密钥PK和私有密钥SK。这对密钥中的任何一把都可作为公开密钥(加密密钥)向他人公开,而另一把则作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应于生成该密钥的贸易方。在公开密钥体系中,加密算法E和解密算法D也都是公开的。虽然SK与PK成对出现,但却不能根据PK计算出SK。

公开密钥算法的特点如下:

用加密密钥PK对明文X加密后,再用解密密钥SK解密,即可恢复出明文,或写为:DSK(EPK(X))=X。

加密密钥不能用来解密,即DPK(EPK(X))≠X

在计算机上可以容易地产生成对的PK和SK。

从已知的PK实际上不可能推导出SK。

加密和解密的运算可以对调,即:EPK(DSK(X))=X

常用的公钥加密算法是RSA算法,加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后用方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。由于加密强度高,而且不要求通信双方事先建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。

3.数字签名

数字签名技术是实现交易安全核心技术之一,它实现的基础就是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下几点:接收者能够核实发送者对报文的签名;送者事后不能抵赖对报文的签名;接收者不能伪造对报文的签名。现在己有多种实现数字签名的方法,采用较多的就是公开密钥算法。

4.数字证书

(1)认证中心

在电子交易中,数字证书的发放不是靠交易双方来完成的,而是由具有权威性和公正性的第三方来完成的。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。

(2)数字证书

数字证书是用电子手段来证实一个用户的身份及他对网络资源的访问权限。在网上的电子交易中,如双方出示了各自的数字证书,并用它来进行交易操作,那么交易双方都可不必为对方身份的真伪担心。

5.消息摘要(MessageDigest)

消息摘要方法也称为Hash编码法或MDS编码法。它是由RonRivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向Hash加密算法对所需加密的明文直接作用,生成一串128bit的密文,这一串密文又被称为“数字指纹”(FingerPrint)。所谓单向是指不能被解密,不同的明文摘要成密文,其结果是绝不会相同的,而同样的明文其摘要必定是一致的,因此,这串摘要成为了验证明文是否是“真身”的数字“指纹”了。

四、小结

本文详细探讨了电子商务安全体系所面临的问题,并提出了安全防护的几种技术手段,相信随着时间的推移和技术的发展,电子商务安全体系将越来越完善,足不出户而通过Internet电子商务系统实现购物、交易和做生意将成为人们生活的新时尚。

参考文献:

[1]徐海来:电子商务的运作与安全[J].中国信息导报,2000.6:126

篇12

当前的电子商务的系统中的安全隐患有三个层面,包括引用系统安全隐患、网络系统安全隐患和操作系统安全隐患。针对这三个层面,就要求我们密切保护网络的安全,使用者自身也要保护自己的个人信息,如不在公共网络保存自己的账号密码,当然还应该定期检查信息的储存空间以及整理各个系统的资源。

1.2信息被窃取和篡改

在电子商务交易的进行中,如果密码过于简单或者使用者在公共网络中保存了账户密码,就致使黑客或者其他的入侵者更轻而易举地截取重要的信息,进而通过分析这些信息,获取规律,导致全部内容的窃取。更有甚者,入侵者会对使用者的传输内容进行篡改,或者对信息内容进行恶意的破坏,就会给用户造成更大的损失。因此,应对这种现状,应该改善加密技术,同时使用者应进行复杂的加密。

1.3计算机病毒

由于电子商务广泛普及,使得数据以及信息交易的内容都是通过网络来进行传播的。虽然使交易更为方便快捷,但同时,也提供给了计算机病毒一种更为迅速的传播方式。一旦出现计算机病毒,就会导致计算机的各个资源被篡改,计算机的功能被破坏使得无法正常运行工作,甚至还会传染给其他的计算机。

1.4认证安全存在漏洞

我们正处在一个便携性的信息化时代,电子商务规模逐渐扩大,但是网络交易的认证安全上存在着很多漏洞。当前还存在一些电子商务交易中仍未解决的问题,譬如,网络用户IP地址的频繁盗用,使得IP地址存在很大的冲突,进而导致网络的很多账号被盗取。

1.5电子邮件的伪造

伪造者在交易用户进行合法交易的过程中,会伪造大量的电子邮件,使得网络拥堵,导致商家的资源严重短缺,致使合法用户无法进行访问行为,这就使得响应的时间增长,交易过程变得混乱。

1.6否认交易行为

电子商务中,交易者否定自己发送给对方的交易信息内容,又或者不承认接收到原本接收到的内容。交易双方中有一方单方面的撕毁了协议。

1.7管理层面存在漏洞

电子商务的非面对面交易的存在形式,必不可免地使得电子商务的管理存在局限性。不明确的管理制度和不到位的管理措施,以及众多的单位和用户疏于管理电子商务的交易,给网络黑客以及计算机病毒的攻击提供了便利。基于此,就需要电子商务的交易双方设置更为健全的软硬件和网络操作系统,同时应当提高安全防范意识,及时清理电脑的垃圾信息,预防病毒的侵入。

2计算机安全技术在电子商务中的应用

电子商务迅猛发展,同时它的发展空间和发展前景也是不容忽视的。为了确保电子商务的长足发展,就需要重视电子商务中存在的安全隐患问题,只有更好地解决这些安全隐患,才能降低对计算机造成的风险和影响。综合运用多种计算机安全技术能够更大程度地确保电子商务交易的安全进行。

2.1身份识别技术

身份识别技术能保护合法的用户拥有应用网络资源的权利,方便统一管理用户,避免了入侵者的攻击和破坏。当然身份识别是针对参与交易双方进行的,只有这样,才能保证电子商务交易的有序进行,保护了双方的合法权益。

2.2数据加密技术

对电子商务交易中涉及的重要信息和数据进行加密,常用的加密方法包括公开密钥加密和专用密钥加密。这种技术能够维持电子商务交易的顺利进行,同时,还能避免入侵者对重要信息的攻击和破坏。提高了信息和数据的安全性和可靠性。

2.3数据加密技术

众所周知,在电子商务中由于非面对面交易,不可避免地会出现许多不确定的因素。数据加密技术能够有效预防和打击多种不确定因素的入侵。在交易过程的最初阶段即信息初步的互换过程就能使用数据加密技术。具体的实施流程是,在电子商务交易的过程之中,交易生成的那一方会有两个密钥,其中一个作为公共密钥,交易的另一方通过该密钥将重要数据和信息进行加密后,确保发送的数据的安全性和准备性,最后才进行最终的电子商务交易。

2.4访问控制技术

该技术主要就是使用防火墙技术针对不安全的层面进行预防和保护。具体来说,能够控制数据或者信息等内容的访问权限,只允许这些内容的读取,而不允许进行修改,这种访问控制技术,预防了入侵者的不良攻击和破坏,维护了电子商务交易的有序进行。

相关精选
相关范文
推荐期刊
友情链接