時間:2023-09-19 18:29:23
序論:在您撰寫電子商務的商務性時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度。
關(guān)鍵詞:電子商務;信息安全;安全要素;核心安全技術(shù)
0 引言
因特網(wǎng)上商機無限,電子商務的前景誘人。但許多商業(yè)機構(gòu)對它仍有疑慮,主要是其安全問題正變得越來越嚴重。如何建立一個安全、便捷的電子商務戰(zhàn)略方案,如何創(chuàng)造一個安全的電子商務應用環(huán)境,已經(jīng)成為廣大商家和消費者都十分關(guān)心的焦點。
1 電子商務的安全要求
在電子商務交易過程中,企業(yè)商業(yè)網(wǎng)機密是不能公開的。在競爭激烈的市場環(huán)境下,保證商業(yè)機密的安全特別重要,一旦商業(yè)機密信息失竊,企業(yè)的損失將不可估量。電子商務的發(fā)展需要解決安全性和可靠性問題。
2 電子商務的安全威脅
從安全和信任的角度來看,傳統(tǒng)的買賣雙方是面對面的,因此很容易保證交易過程的安全性并建立起信任關(guān)系。但在電子商務中,買賣雙方是通過網(wǎng)絡來聯(lián)系,由于空間的阻隔,交易雙方建立信任關(guān)系相當困難,交易雙方都面臨安全威脅。
2.1 賣方(銷售者)面臨的安全威脅
(1)系統(tǒng)安全被破壞:入侵者假冒成合法用戶改變用戶數(shù)據(jù)(如商品送達地址)、解除用戶訂單或生成虛假訂單。
(2)競爭者的威脅:惡意競爭者以他人的名義訂購商品,了解有關(guān)商品的遞送和庫存情況。
(3)商業(yè)機密的泄露:客戶資料被競爭者獲悉。
(4)假冒的威脅:建立與銷售者服務器名字相同的服務器來假冒銷售者;通過虛假訂單獲取機密數(shù)據(jù),比如,某人想要了解他人在銷售商處的信譽,可以冒名向銷售商訂購昂貴商品,視銷售商是否認可該定單,以判斷其人信譽情況的高低。
(5)信用的威脅:買方提交訂單后不付款。
2.2 買方(消費者)面臨的安全威脅
(1)虛假訂單:假冒者會以客戶的名字訂購商品,而且有可能收到商品,此時客戶卻被要求付款或返還商品。
(2)付款后不能收到商品:客戶付款后,銷售商中的內(nèi)部人員并不將訂單和資金轉(zhuǎn)發(fā)給執(zhí)行部門,客戶不能收到商品。
(3)機密性喪失:客戶有可能將秘密的個人數(shù)據(jù)或身份數(shù)據(jù)(如PIN,口令等)發(fā)送給冒充銷售商的機構(gòu),這些信息也可能會在傳遞過程中被竊聽。
(4)拒絕服務:攻擊者可能向銷售商的服務器發(fā)送大量的虛假定單來擠占它的資源,從而使合法用戶不能得到正常的服務。
2.3 黑客攻擊電子商務系統(tǒng)的手段
從買賣雙方的情況分析,黑客們攻擊電子商務系統(tǒng)的手段可以大致歸納為以下四種:
(1)中斷(攻擊系統(tǒng)的可用性):破壞系統(tǒng)中的硬件、硬盤和文件系統(tǒng)等,使系統(tǒng)不能正常工作;
(2)竊聽(攻擊系統(tǒng)的機密性):通過搭線與電磁泄漏等手段獲取有用情報,通過網(wǎng)絡監(jiān)聽獲取用戶的帳號和密碼等;
(3)竄改(攻擊系統(tǒng)的完整性):竄改系統(tǒng)中數(shù)據(jù),修正消息次序或時間(延時和重放);
(4)偽造(攻擊系統(tǒng)的真實性):將偽造的消息注入系統(tǒng),假冒合法人介入系統(tǒng),重放截獲的合法消息實現(xiàn)非法目的,否認消息的接入和發(fā)送等。
2.4 計算機病毒的威脅
計算機病毒種類繁多,在網(wǎng)絡環(huán)境下極易傳播,危害極大且影響范圍廣。它動輒刪除、修改文件或數(shù)據(jù),導致程序運行錯誤,甚至使系統(tǒng)死機或癱瘓。
3 電子商務的安全要素
電子商務的安全問題涉及范圍較廣。首先,它是一個復雜的管理問題。管理公司內(nèi)部的網(wǎng)絡環(huán)境已很復雜,當把企業(yè)網(wǎng)與Internet相連時,其性能、安全、可管理性等方面就面臨新的挑戰(zhàn)。其次,它也是一個技術(shù)性問題。電子商務應由合法的系統(tǒng)進行確認和支持,文件上的數(shù)字簽字在法律上與書面簽字具有同等效力。電子商務是通過信息網(wǎng)絡傳輸商務信息和進行貿(mào)易的,與傳統(tǒng)的有紙貿(mào)易相比減少了直接的票據(jù)傳遞和確認等商業(yè)活動,因此保證電子商務的安全性、可靠性比有紙貿(mào)易更復雜、更困難。這首先需要技術(shù)上的保證,如采用電子簽名、電子識別等技術(shù)手段。實際上每一次貨物、資金或文件的交換都涉及到保密信息的安全問題。任何泄密事件都會造成十分嚴重的后果。
電子商務的安全措施應具備以下特點。
3.1 有效性、真實性
有效性、真實性,即能對信息、實體的有效性、真實性進行鑒別。
電子商務以電子形式取代了紙張,保證這種電子形式的貿(mào)易信息的有效性和真實性是開展電子商務的前提。電子商務作為貿(mào)易的一種形式,其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。因此,要對網(wǎng)絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以預防和控制,以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效真實的。
3.2 機密性
機密性,即能保證信息不泄露給非授權(quán)人或?qū)嶓w。
在網(wǎng)絡交易中,必須對發(fā)送者和接收者交換的信息進行保密。電子商務作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件,或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的,信息的保密是電子商務全面推廣的重要保障,因此要預防非法的信息存取和信息在傳輸過程中被非法竊取,要確保只有合法用戶才能看到數(shù)據(jù),防止泄密事件。
3.3 數(shù)據(jù)的完整性
完整性,即能保證數(shù)據(jù)的一致性,防止數(shù)據(jù)被非授權(quán)建立、修改和破壞。
電子商務簡化了貿(mào)易過程,減少了人為的干預,但是也增加了商業(yè)信息完整性和統(tǒng)一性的維護問題:數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿(mào)易各方信息的差異;數(shù)據(jù)傳輸過程中丟失、重復或傳送次序差異會導致貿(mào)易各方信息的不同。貿(mào)易信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略。保持貿(mào)易各方信息的完整性是電子商務應用的基礎,因此,要預防對信息的隨意生成、修改和刪除,防止數(shù)據(jù)傳送過程中信息的丟失和重復,并保證信息傳送次序的統(tǒng)一。
電子商務系統(tǒng)應保證數(shù)據(jù)傳輸、存儲及電子商務完整性檢查的正確和可靠。
3.4 可靠性、不可抵賴性和可控性
可靠性,即能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可抵賴性,即能建立有效的責任機制,防止實體否認其行為;可控性,即能控制使用資源的人或?qū)嶓w的使用方式。
確定進行交易的貿(mào)易方,是保證電子商務順利進行的關(guān)鍵。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過交易合同、契約或貿(mào)易單據(jù)等書面文件上的手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。這也就是人們 常說的“白紙黑字”,一旦交易開展后便不可撤銷。交易中的任何一方都不得否認其在該交易中的作用,這點將確保任何一方都無法偽造提供或接受的報價。
在無紙化的電子商務方式下,不可能通過手寫簽名和印章進行貿(mào)易方的鑒別。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在Internet上每個人都是匿名的,原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴,接收方在接收數(shù)據(jù)后也不能抵賴。
為了進行業(yè)務交易,彼此必須能夠進行身份鑒別。一旦一方簽訂交易后,這項交易就應受到保護以防止被篡改或偽造。交易的完整性在價格、期限及數(shù)量作為協(xié)議的一部分時尤為重要。接收方可以證實所接收的數(shù)據(jù)是原發(fā)方發(fā)出的,而原發(fā)方也可以證實只有指定的接收方才能接收,以防止身份假冒。根據(jù)機密性和完整性的要求,應對數(shù)據(jù)審查的結(jié)果進行記錄。
3.5 電子商務的安全體系結(jié)構(gòu)
由于Internet在物理上覆蓋全球、在信息內(nèi)容上無所不包,其用戶群結(jié)構(gòu)復雜,因此幾乎不可能對其進行集中統(tǒng)一管理。電子商務的大量細節(jié)(如,控制通信路由選擇、追蹤和監(jiān)控通信過程、控制和封閉信息流通、保證通信的可靠性和敏感信息的安全、提供源和目標的認證、實施法律意義上的公證和仲裁等)都涉及安全問題。面對如此嚴峻現(xiàn)實,必須花大力氣對安全問題進行認真研究,除了加強制度、法規(guī)等管理措施外,還要強化信息系統(tǒng)的安全能力。
當前的主流思路是從內(nèi)聯(lián)網(wǎng)出發(fā)來考慮以Internet為基礎的電子商務安全問題。內(nèi)聯(lián)網(wǎng)將Internet技術(shù)用于政府部門和企業(yè)專用網(wǎng),它是在原有專用網(wǎng)的基礎上增加了服務器、服務器軟件、WEB內(nèi)容制作工具和瀏覽器,并與Internet連通。內(nèi)聯(lián)網(wǎng)中往往存有大量的內(nèi)部敏感信息,具有較高的商業(yè)、政治和經(jīng)濟價值。內(nèi)聯(lián)網(wǎng)是一種半封閉的集中式可控網(wǎng),既要保證內(nèi)聯(lián)網(wǎng)不被非法入侵和破壞,避免網(wǎng)中的敏感信息不被非法竊取和竄改,又要保證網(wǎng)內(nèi)用戶和網(wǎng)外用戶之間正常連通,并提供應有的服務。要保證在Internet基礎上建立的電子商務的安全性,最根本的是要發(fā)展各商家、各政府部門的內(nèi)聯(lián)網(wǎng)并保證它們的安全性。
由于電子商務系統(tǒng)把服務商、客戶和銀行三方通過Internet連接起來,并實現(xiàn)具體的商務操作,因此電子商務安全系統(tǒng)可由三個安全服務器及CA認證系統(tǒng)構(gòu)成,它們遵循相同的協(xié)議協(xié)同工作,來實現(xiàn)整個電子商務交易數(shù)據(jù)的完整性、保密性、不可否認性等安全功能。
4 電子商務的核心安全技術(shù)
電子商務的核心安全技術(shù)主要包括:加密技術(shù)、密鑰管理技術(shù)、數(shù)字簽名技術(shù)和防火墻技術(shù)等。
5 電子商務安全問題的其他技術(shù)
目前,安全電子商務在以下幾個方面還沒有滿意的結(jié)果:
(1)沒有一種電子商務安全的完整解決方案和完整模型與體系結(jié)構(gòu)。
(2)盡管一些系統(tǒng)正逐漸成為標準,但僅有很少幾個標準的應用接口(API)。從開放市場的角度來看,協(xié)議問的通用API和網(wǎng)關(guān)是絕對需要的。
(3)大多數(shù)電子商務系統(tǒng)都是封閉式的,即它們使用獨有的技術(shù),僅支持一些特定的協(xié)議和機制。它們常常需要一個中央服務器作為所有參與者的可信第三方。有時它們還要求使用特定的服務器或瀏覽器。
(4)盡管大多數(shù)方案都使用了公鑰密碼,但多方安全受到的關(guān)注遠遠不夠,沒有建立一種解決爭議的決策程序。
(5)客戶的匿名性和隱私尚未得到充分的考慮。
(6)大多數(shù)系統(tǒng)都將銷售商的服務器和消費者的瀏覽器間的關(guān)系假設為主從關(guān)系,這種非對稱關(guān)系限制了在這些系統(tǒng)中執(zhí)行復雜的協(xié)議,而且不允許用戶間進行直接交易。
(7)大多數(shù)系統(tǒng)都限制為兩方,難于集成為一個安全連接到第三方的系統(tǒng)。
(8)所有方案和產(chǎn)品都僅考慮了在線銷售,很少考慮多方交易問題(如拍賣),公文交換問題(如簽合同,可證實電子郵件)。
6 結(jié)束語
摘要:隨著互聯(lián)網(wǎng)的全面普及,基于Internet 開展的電子商務已逐漸成為人們進行商務活動的新模式,越來越多的企業(yè)和個人通過Internet 進行商務活動,電子商務的發(fā)展前景十分誘人,而商業(yè)信息的安全是電子商務的首要問題。
關(guān)鍵詞:電子商務;身份認證;防火墻
一、引言
電子商務可以增加銷售額并降低成本的優(yōu)勢,使得政府與企業(yè)都十分重視并推動電子商務的建設和發(fā)展。電子商務發(fā)展到今天,主要問題在于時空的分離導致了安全問題的出現(xiàn),信息的安全性是當前發(fā)展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務系統(tǒng)開發(fā)的先進技術(shù)和經(jīng)驗,開發(fā)出符合企業(yè)特殊的電子商務系統(tǒng),已經(jīng)成為目前發(fā)展電子商務的關(guān)鍵,而安全體系的構(gòu)建顯得尤為重要。
二、電子商務的主要安全要素
目前電子商務工程正在全國迅速發(fā)展。實現(xiàn)電子商務的關(guān)鍵是要保證商務活動過程中系統(tǒng)的安全性,即應保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看,主要體現(xiàn)在以下幾個方面:
1.信息真實性、有效性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿(mào)易的一種形式,其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。
2.信息機密性
電子商務作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的,商業(yè)防泄密是電子商務全面推廣應用的重要保障。
3.信息完整性
電子商務簡化了貿(mào)易過程,減少了人為的干預,同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿(mào)易各方信息的差異。
4.信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。
三、電子商務安全系統(tǒng)
網(wǎng)絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩(wěn)定可靠,能不中斷地提供服務。任何系統(tǒng)的中斷,如硬件、軟件錯誤,網(wǎng)絡故障、病毒等都可能導致電子商務系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經(jīng)濟損失。
1.網(wǎng)絡節(jié)點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入,它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。
2.通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128 位。為在瀏覽器和服務器之間建立安全機制,SSL 首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權(quán)機構(gòu)(CA中心)簽發(fā)。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發(fā)機構(gòu)提供的基礎公共密鑰(PKI)。建立SSL 鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL 鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。
3.應用程序的安全性
即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時;程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行,而不是只有有限的指令子集在特權(quán)模式下運行,其他的部分只有縮小的許可;程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
四、安全管理
為了確保系統(tǒng)的安全性,除了采用上述技術(shù)手段外,還必須建立嚴格的內(nèi)部安全機制。對于所有接觸系統(tǒng)的人員,按其職責設定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則,嚴格管理內(nèi)部用戶賬號和密碼,進入系統(tǒng)內(nèi)部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶賬號和密碼。
五、結(jié)束語
安全實際上就是一種風險管理。任何技術(shù)手段都不能保證1OO%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統(tǒng)的風險要控制在什么程度范圍內(nèi)。電子商務的安全運行必須從多方面入手,僅在技術(shù)角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業(yè)的健康快速發(fā)展,必須在實際運用中解決電子商務中出現(xiàn)的各類問題,使電子商務系統(tǒng)相對更安全。
參考文獻:
[1] 吳洋.電子商務安全方法研究[D].天津大學.2006
[2] 李艷.電子商務信息安全策略研究[J].甘肅科技.2005.06
1 商務性
電子商務最基本的特性為商務性,即提供買、賣交易的服務、手段和機會。
網(wǎng)上購物提供一種客戶所需要的方便途徑。因而,電子商務對任何 規(guī)模的企業(yè)而言,都是一種機遇。
就商務性而言,電子商務可以擴展市場,增加客戶數(shù)量;通過將萬維網(wǎng)信息連至數(shù)據(jù)庫,企業(yè)能記錄下每次訪問、銷售、購買形式和購貨動態(tài)以及客戶對產(chǎn)品的偏愛,這樣企業(yè)方就可以通過統(tǒng)計這些數(shù)據(jù)來獲知 客戶最想購買的產(chǎn)品是什么。
電子商務作為一種新型交易方式在許多地方取得成功。例如美國一 家服務公司(Speed Serve.Inc.)創(chuàng)建了整套電子商務方案,建立了一家網(wǎng) 上商店。由于節(jié)省了租用店面、雇用商場售貨員等開支,使其能以低廉的價格出售數(shù)以百萬計的書本、游戲和光碟。無疑這家公司獲得了巨大的成功。
2 服務性
在電子商務環(huán)境中,客戶不再受地域的限制,象以往那樣,忠實地只做某家鄰近商店的老主顧,他們也不再僅僅將目光集中在最低價格上。因而,服務質(zhì)量在某種意義上成為商務活動的關(guān)鍵。技術(shù)創(chuàng)新帶來新的結(jié)果,萬維網(wǎng)應用使得企業(yè)能自動處理商務過程,并不再象以往那樣強調(diào)公司內(nèi)部的分工。現(xiàn)在在!nternet上許多企業(yè)都能為客戶提供完整服務,而萬維網(wǎng)在這種服務的提高中充當了催化劑的角色。
企業(yè)通過將客戶服務過程移至萬維網(wǎng)上,使客戶能以一種比過去簡捷的方式完成過去他們較為費事才能獲得的服務。如將資金從一個存款戶頭移至一個支票戶頭,查看一張信用卡的收支,記錄發(fā)貨請求,乃至搜尋并購買稀有產(chǎn)品,這些都可以足不出戶而實時完成。
顯而易見,電子商務提供的客戶服務具有一個明顯的特性:方便。這不僅對客戶來說如此,對于企業(yè)而言,同樣也能受益。我們不妨來看這樣一個例子。比利時的塞拉銀行,通過電子商務,使得客戶能全天候地存取資金帳戶,快速地閱覽諸如押金利率、貸款過程等信息,這使得服務質(zhì)量 大為提高。
3 集成性
電子商務是一種新興產(chǎn)物,其中用到了大量新技術(shù),但并不是說新技術(shù)的出現(xiàn)就必須導致老設備的死亡。萬維網(wǎng)的真實商業(yè)價值在于協(xié)調(diào)新 老技術(shù),使用戶能更加行之有效地利用他們已有的資源和技術(shù),更加有效 地完成他們的任務。
電子商務的集成性,還在于事務處理的整體性和統(tǒng)一性,它能規(guī)范事務處理的工作流程,將人工操作和電子信息處理集成為一個不可分割的整體。這樣不僅能提高人力和物力的利用,也提高了系統(tǒng)運行的嚴密性。
為了幫助企業(yè)分析、規(guī)劃其電子商務發(fā)展戰(zhàn)略,指導設計和建立應用,更好地集成新舊資源,充分地利用已有資源,IBM建立了一種可伸縮型的網(wǎng)絡計算模型NCF。這種模型是開放的,并且是在現(xiàn)實產(chǎn)品和豐富的開發(fā)經(jīng)驗的基礎上提出的。 NCF的概念、原理將在本書第七章做詳盡的描述。
4 可擴展性
要使電子商務正常運作,必須確保其可擴展性。萬維網(wǎng)上有數(shù)以百萬計的用戶,而傳輸過程中,時不時地會出現(xiàn)高峰狀況。倘若一家企業(yè)原來設計每天可受理40萬人次訪問,而事實上卻有80萬,就必須盡快配有一臺擴展的服務器,否則客戶訪問速度將急劇下降,甚至還會拒絕數(shù)干次可能帶來豐厚利潤的客戶的來訪。
對于電子商務來說,可擴展的系統(tǒng)才是穩(wěn)定的系統(tǒng)。如果在出現(xiàn)高峰狀況時能及時擴展,就可使得系統(tǒng)阻塞的可能性大為下降。電子商務中,耗時僅2分鐘的重新啟動也可能導致大量客戶流失,因而可擴展性可謂極其重要。
1998年日本長野冬奧會的官方萬維網(wǎng)結(jié)點的使用率是有史以來基于Internet應用中最高的,在短短的16天中,該結(jié)點就接受了將近六億五千萬次訪問。
全球體育迷將數(shù)以百萬計的信息直接通過體育迷電子郵件結(jié)點發(fā)給運動員,而與此同時,還成交了 600多萬筆交易。這些驚人的數(shù)字說明,隨著技術(shù)的日新月異,電子商務的可擴展性將不會成為瓶頸所在。
5 安全性
對于客戶而言,無論網(wǎng)上的物品如何具有吸引力,如果他們對交易安全性缺乏把握,他們根本就不敢在網(wǎng)上進行買賣。企業(yè)和企業(yè)間的交易更是如此。
在電子商務中,安全性是必須考慮的核心問題。欺騙、竊聽、病毒和非法入侵都在威脅著電子商務,因此要求網(wǎng)絡能提供一種端到端的安全解決方案,包括加密機制、簽名機制、分布式安全管理、存取控制、防火墻、 安全萬維網(wǎng)服務器、防病毒保護等。為了幫助企業(yè)創(chuàng)建和實現(xiàn)這些方案, 國際上多家公司聯(lián)合開展了安全電子交易的技術(shù)標準和方案研究,并發(fā)表了 SET(安全電子交易)和 SSL(安全套接層)等協(xié)議標準,使企業(yè)能建立一種安全的電子商務環(huán)境。
隨著技術(shù)的發(fā)展,電子商務的安全性也會相應得以增強,作為電子商務的核心技術(shù),本書第 4,5,6章將對安全性作較詳盡的介紹。
6 協(xié)調(diào)性
商務活動是一種協(xié)調(diào)過程,它需要雇員和客戶,生產(chǎn)方、供貨方以及 商務伙伴問的協(xié)調(diào)。
為提高效率,許多組織都提供了交互式的協(xié)議,電子商務活動可以在 這些協(xié)議的基礎上進行。
論文摘要:本文針對電子商務安全的要求,分析了電子商務中常用的安全技術(shù),并闡述了數(shù)據(jù)加密技術(shù)、認證技術(shù)和電子商務的安全交易標準在電子商務安全中的應用。
所謂電子商務(Electronic Commerce) 是利用計算機技術(shù)、網(wǎng)絡技術(shù)和遠程通信技術(shù), 實現(xiàn)整個商務(買賣)過程中的電子化、數(shù)字化和網(wǎng)絡化。目前,因特網(wǎng)上影響交易最大的阻力就是交易安全問題, 據(jù)最新的中國互聯(lián)網(wǎng)發(fā)展統(tǒng)計報告顯示, 在被調(diào)查的人群中只有2.8%的人對網(wǎng)絡的安全性是感到很滿意的, 因此,電子商務的發(fā)展必須重視安全問題。
一、電子商務安全的要求
1、信息的保密性:指信息在存儲、傳輸和處理過程中,不被他人竊取。
2、信息的完整性:指確保收到的信息就是對方發(fā)送的信息,信息在存儲中不被篡改和破壞,保持與原發(fā)送信息的一致性。
3、 信息的不可否認性:指信息的發(fā)送方不可否認已經(jīng)發(fā)送的信息,接收方也不可否認已經(jīng)收到的信息。
4、 交易者身份的真實性:指交易雙方的身份是真實的,不是假冒的。
5、 系統(tǒng)的可靠性:指計算機及網(wǎng)絡系統(tǒng)的硬件和軟件工作的可靠性。
在電子商務所需的幾種安全性要求中,以保密性、完整性和不可否認性最為關(guān)鍵。電子商務安全性要求的實現(xiàn)涉及到以下多種安全技術(shù)的應用。
二、數(shù)據(jù)加密技術(shù)
將明文數(shù)據(jù)進行某種變換,使其成為不可理解的形式,這個過程就是加密,這種不可理解的形式稱為密文。解密是加密的逆過程,即將密文還原成明文。
(一)對稱密鑰加密與DES算法
對稱加密算法是指文件加密和解密使用一個相同秘密密鑰,也叫會話密鑰。目前世界上較為通用的對稱加密算法有RC4和DES。這種加密算法的計算速度非常快,因此被廣泛應用于對大量數(shù)據(jù)的加密過程。
最具代表的對稱密鑰加密算法是美國國家標準局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。
(二)非對稱密鑰加密與RSA算法
為了克服對稱加密技術(shù)存在的密鑰管理和分發(fā)上的問題,1976年產(chǎn)生了密鑰管理更為簡化的非對稱密鑰密碼體系,也稱公鑰密碼體系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位發(fā)明者(Rivest、Shamir、Adleman)姓名的第一個字母組合而成的。
在實踐中,為了保證電子商務系統(tǒng)的安全、可靠以及使用效率,一般可以采用由RSA和DES相結(jié)合實現(xiàn)的綜合保密系統(tǒng)。
三、認證技術(shù)
認證技術(shù)是保證電子商務交易安全的一項重要技術(shù)。主要包括身份認證和信息認證。前者用于鑒別用戶身份,后者用于保證通信雙方的不可抵賴性以及信息的完整性
(一)身份認證
用戶身份認證三種常用基本方式
1、口令方式
這種身份認證方法操作十分簡單,但最不安全,因為其安全性僅僅基于用戶口令的保密性,而用戶口令一般較短且容易猜測,不能抵御口令猜測攻擊,整個系統(tǒng)的安全容易受到威脅。
2、標記方式
訪問系統(tǒng)資源時,用戶必須持有合法的隨身攜帶的物理介質(zhì)(如存儲有用戶個性化數(shù)據(jù)的智能卡等)用于身份識別,訪問系統(tǒng)資源。
3、人體生物學特征方式
某些人體生物學特征,如指紋、聲音、DNA圖案、視網(wǎng)膜掃描圖案等等,這種方案一般造價較高,適用于保密程度很高的場合。
加密技術(shù)解決信息的保密性問題,對于信息的完整性則可以用信息認證方面的技術(shù)加以解決。在某些情況下,信息認證顯得比信息保密更為重要。
(二)數(shù)字摘要
數(shù)字摘要,也稱為安全Hash編碼法,簡稱SHA或MD5 ,是用來保證信息完整性的一項技術(shù)。它是由Ron Rivest發(fā)明的一種單向加密算法,其加密結(jié)果是不能解密的。類似于人類的“指紋”,因此我們把這一串摘要而成的密文稱之為數(shù)字指紋,可以通過數(shù)字指紋鑒別其明文的真?zhèn)巍?/p>
(三)數(shù)字簽名
數(shù)字簽名建立在公鑰加密體制基礎上,是公鑰加密技術(shù)的另一類應用。它把公鑰加密技術(shù)和數(shù)字摘要結(jié)合起來,形成了實用的數(shù)字簽名技術(shù)。
它的作用:確認當事人的身份,起到了簽名或蓋章的作用;能夠鑒別信息自簽發(fā)后到收到為止是否被篡改。
(四)數(shù)字時間戳
在電子交易中,時間和簽名同等重要。數(shù)字時間戳技術(shù)是數(shù)字簽名技術(shù)一種變種的應用,是由DTS服務機構(gòu)提供的電子商務安全服務項目,專門用于證明信息的發(fā)送時間。包括三個部分:需加時間戳的文件的數(shù)字摘要;DTS機構(gòu)收到文件摘要的日期和時間; DTS機構(gòu)的數(shù)字簽名。
(五)認證中心
認證中心:(Certificate Authority,簡稱CA),也稱之為電子商務認證中心,是承擔網(wǎng)上安全電子交易認證服務,能簽發(fā)數(shù)字證書,確認用戶身份的、與具體交易行為無關(guān)的第三方權(quán)威機構(gòu)。認證中心通常是企業(yè)性的服務機構(gòu),主要任務是受理證書的申請、簽發(fā)和管理數(shù)字證書。其核心是公共密鑰基礎設(PKI)。
我國現(xiàn)有的安全認證體系(CA)在金融CA方面,根證書由中國人民銀行管理,根認證管理一般是脫機管理;品牌認證中心采用“統(tǒng)一品牌、聯(lián)合建設”的方針進行。在非金融CA方面,最初主要由中國電信負責建設。
(六)數(shù)字證書
數(shù)字證書就是標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù),用于證明某一主體(如個人用戶、服務器等)的身份以及其公鑰的合法性的一種權(quán)威性的電子文檔,由權(quán)威公正的第三方機構(gòu),即CA中心簽發(fā)。
以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證,確保網(wǎng)上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認性,從而保障網(wǎng)絡應用的安全性。
四、電子商務的安全交易標準
(一)安全套接層協(xié)議
SSL (secure sockets layer)是由Netscape Communication公司是由設計開發(fā)的,其目的是通過在收發(fā)雙方建立安全通道來提高應用程序間交換數(shù)據(jù)的安全性,從而實現(xiàn)瀏覽器和服務器(通常是Web服務器)之間的安全通信。
目前Microsoft和Netscape的瀏覽器都支持SSL,很多Web服務器也支持SSL。SSL是一種利用公共密鑰技術(shù)的工業(yè)標準,已經(jīng)廣泛用于Internet。
(二)安全電子交易協(xié)議
(Secure Electronic Transaction)它是由VISA和MasterCard兩大信用卡公司發(fā)起,會同IBM、Microsoft等信息產(chǎn)業(yè)巨頭于1997年6月正式制定的用于因特網(wǎng)事務處理的一種標準。采用DES、RC4等對稱加密體制加密要傳輸?shù)男畔?并用數(shù)字摘要和數(shù)字簽名技術(shù)來鑒別信息的真?zhèn)渭捌渫暾?目前已經(jīng)被廣為認可而成了事實上的國際通用的網(wǎng)上支付標準,其交易形態(tài)將成為未來電子商務的規(guī)范。
五、總結(jié)
網(wǎng)絡應用以安全為本,只有充分掌握有關(guān)電子商務的技術(shù),才能使電子商務更好的為我們服務。然而,如何利用這些技術(shù)仍是今后一段時間內(nèi)需要深入研究的課題。
參考文獻:
[1] 萬守付,電子商務基礎(第二版),人民郵電出版社,2006年6月第2版
1 廣告宣傳
電子商務可憑借企業(yè)的 Web服務器和客戶的瀏覽,在Internet上發(fā)播各類商業(yè)信息。客戶可借助 網(wǎng)上的檢索工具(Search)迅速地找到所需商品信息,而商家可利用網(wǎng)上主頁( Home Page)和電子郵件 (E-majl)在全球范圍內(nèi)作廣告宣傳。與以往的各類廣告相比,網(wǎng)上的廣告成本最為低廉,而給顧客的 信息量卻最為豐富。
2 咨詢洽談
電子商務可借助非實時的電子郵件(E-mail),新聞組(News Group) 和實時的討論組(chat)來了解市場和商品信息、洽談交易事務,如有進一 步的需求,還可用網(wǎng)上的白板會議(Whiteboard Conference)來交流即時的 圖形信息。網(wǎng)上的咨詢和洽談能超越人們面對面洽談的限制、提供多種 方便的異地交談形式。
3 網(wǎng)上訂購
電子商務可借助 Web中的郵件交互傳送實現(xiàn)網(wǎng)上的訂購。網(wǎng)上的 訂購通常都是在產(chǎn)品介紹的頁面上提供十分友好的訂購提示信息和訂購 交互格式框。當客戶填完訂購單后,通常系統(tǒng)會回復確認信息單來保證 訂購信息的收悉。訂購信息也可采用加密的方式使客戶和商家的商業(yè)信 息不會泄漏。
4 網(wǎng)上支付
電子商務要成為一個完整的過程。網(wǎng)上支付是重要的環(huán)節(jié)。客戶和 商家之間可采用信用卡帳號實施支付。在網(wǎng)上直接采用電子支付手段將 可省略交易中很多人員的開銷。網(wǎng)上支付將需要更為可靠的信息傳輸安 全性控制以防止欺騙、竊聽、冒用等非法行為。
5 電子帳戶
網(wǎng)上的支付必需要有電子金融來支持,即銀行或信用卡公司及保險 公司等金融單位要為金融服務提供網(wǎng)上操作的服務。而電子帳戶管理是 其基本的組成部分。 信用卡號或銀行帳號都是電子帳戶的一種標志。而其可信度需配以 必要技術(shù)措施來保證。如數(shù)字憑證、數(shù)字簽名、加密等手段的應用提供了電子帳戶操作的安全性。
6服務傳遞
對于已付了款的客戶應將其訂購的貨物盡快地傳遞到他們的手中。 而有些貨物在本地,有些貨物在異地,電子郵件將能在網(wǎng)絡中進行物流的 調(diào)配。而最適合在網(wǎng)上直接傳遞的貨物是信息產(chǎn)品。如軟件、電子讀物、信息服務等。它能直接從電子倉庫中將貨物發(fā)到用戶端。
7 意見征詢
電子商務能十分方便地采用網(wǎng)頁上的“選擇”、“填空”等格式文件來 收集用戶對銷售服務的反饋意見。這樣使企業(yè)的市場運營能形成一個封 閉的回路。客戶的反饋意見不僅能提高售后服務的水平,更使企業(yè)獲得 改進產(chǎn)品、發(fā)現(xiàn)市場的商業(yè)機會。
8 交易管理
整個交易的管理將涉及到人、財、物多個方面,企業(yè)和企業(yè)、企業(yè)和客戶及企業(yè)內(nèi)部等各方面的協(xié)調(diào)和管理。因此,交易管理是涉及商務活動 全過程的管理。電子商務的發(fā)展,將會提供一個良好的交易管理的網(wǎng)絡環(huán)境及 多種多樣的應用服務系統(tǒng)。這樣,能保障電子商務獲得更廣泛的應用。
特性如下:
1、普遍性:電子商務作為一種新型的交易方式,將生產(chǎn)企業(yè)、流通企業(yè)以及消費者和政府帶入了一個網(wǎng)絡經(jīng)濟、數(shù)字化生存的新天地;
2、方便性;
在電子商務環(huán)境中,人們不再受地域的限制,客戶能以非常簡捷的方式完成過去較為繁雜的商務活動,如通過網(wǎng)絡銀行能夠全天侯地存取資金帳戶、查詢信息等,同時使得企業(yè)對客戶的服務質(zhì)量可以大大提高;
3、整體性:電子商務能夠規(guī)范事務處理的工作流程,將人工操作和電子信息處理集成為一個不可分割的整體,這樣不僅能提高人力和物力的利用,也可以提高系統(tǒng)運行的嚴密性;
計算機網(wǎng)絡安全的內(nèi)容包括:計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網(wǎng)絡本身可能存在的安全問題,實施網(wǎng)絡安全增強方案,以保證計算機網(wǎng)絡自身的安全性為目標。商務交易安全則緊緊圍繞傳統(tǒng)商務在互聯(lián)網(wǎng)絡上應用時產(chǎn)生的各種安全問題,在計算機網(wǎng)絡安全的基礎上,如何保障電子商務過程的順利進行。即實現(xiàn)電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。
關(guān)鍵字:計算機網(wǎng)絡安全 商務交易安全
一 前言
隨著INTERNET的發(fā)展,電子商務已經(jīng)逐漸成為人們進行商務活動的新模式。越來越多的人通過INTERNET進行商務活動。電子商務的發(fā)展前景十分誘人,而其安全問題也變得越來越突出,如何建立一個安全,便捷的電子商務應用環(huán)境,對信息提供足夠的保護,已經(jīng)成為商家和用戶都十分關(guān)注的話題。
點擊查看全文
在IEEE802.11標準中,一方面規(guī)定了WEP(有線對等保密)加密內(nèi)容,一方面還定義了MAC層的存取控制規(guī)范。為了保證通信安全,防止侵入無線網(wǎng)絡,還有相關(guān)的非法用戶竊聽問題,采用加密算法為RCA算法,對于網(wǎng)絡MAC層的節(jié)點間無線傳輸?shù)臄?shù)據(jù)進行加密處理。加密和解密傳輸數(shù)據(jù)在WEP中則是利用共享密鑰來進行。對于節(jié)點發(fā)送加密數(shù)據(jù)過程進行分析如下。種子則是由共享密鑰和初始向量Ⅳ串接而成的。然后,偽隨機數(shù)發(fā)生器(WEPPRNG)能夠接受產(chǎn)生的種子,同時,還能使得密鑰序列產(chǎn)生。而密文的得到則是通過異或運算原文和密鑰序列所得。完整檢查碼(IntegrityCheckValue,ICV)則是通過完整性算法(Integrityalgorithm)處原文所得。最后,把生成的密文、初始向量及完整檢查碼這三項都送到接受節(jié)點。偽隨機數(shù)發(fā)生器的種子是在接收節(jié)點收到信息過程中,由初始向量與共享密鑰串接而生成。然后,密鑰序列則是在偽隨機數(shù)發(fā)生器處理后得到。原文是在生成的此序列與密文之間進行相關(guān)的XOR運算得到。接收節(jié)點重新計算ICV,則是為了驗證是否篡改過在此傳送過程中的數(shù)據(jù)。當發(fā)現(xiàn)不匹配接收節(jié)點計算的ICV與原ICV的問題,則應該讓接收節(jié)點拒絕該幀。安全隱患在這種安全機制下依然存在,比如,RCA算法本身存在一定缺陷,大用戶量訪問時共享密鑰的管理問題,密鑰強度還有待于進一步檢驗等等,這些問題都需要在無線局域網(wǎng)中進行防范。
2、移動電子商務安全性的技術(shù)解決思考
我們對于移動電子商務安全性的技術(shù)解決,在參考IEEE802.11和WAP協(xié)議的分析的基礎上,從操作層面、管理層面、安全技術(shù)層面進行移動電子商務的數(shù)據(jù)安全分析。
(1)基礎配置
其中,最為基本的安全防范手段就是通過使用無線AP的配置軟件,讓默認的WEP密鑰和默認的SSID都進行改變設置。然后,為了提高防病毒木馬攻擊的能力,還應該進行防火墻的安裝處理。對于信任的MAC地址,通過使用MAC地址過濾的技術(shù)方法來實現(xiàn)無線接入點這個功能。WTLS3級、個人證書再加上USB證書方式則是WAP無線接入的最好方式。為了更好嚴格控制不信任的證書,應該采用證書黑名單的ACL列表技術(shù)。
(2)密鑰和身份的管理
提高密鑰強度可以通過強化密鑰管理和分發(fā)來實現(xiàn)。采用標準化密鑰交換和密鑰分發(fā)機制。對于802.11的密鑰分況來看,一般可以采用相關(guān)的SSL、Kerberos、RADIUS、IPSEC等協(xié)議。能采用128位的初始向量(IV),還有相關(guān)的128位偏移碼本方式(OCB)數(shù)據(jù)認證標記等等。
(3)使用操作的安全意識
網(wǎng)絡安全操作以及公網(wǎng)防范工作應該不斷加強。為了更好保護企業(yè)內(nèi)部的主機,應該利用成熟技術(shù),進行相關(guān)的入侵偵測、防火墻和弱點掃描等工作。不合法網(wǎng)站的瀏覽應該進行屏蔽,日志應該清晰記錄操作行為,以及相應的軌跡跟蹤問題。
3、結(jié)束語
