引言：易發(fā)表網(wǎng)憑借豐富的文秘實踐，為您精心挑選了九篇電子商務(wù)安全事件范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時聯(lián)系我們的客服老師。

第1篇

關(guān)鍵詞：商業(yè)銀行；電子商務(wù)；風(fēng)險管理

商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險、信用風(fēng)險、以及操作風(fēng)險等，而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的破壞程度。2004年以來，我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大，仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件，超過2004年全年案件數(shù)，商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))－逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險管理(引入了風(fēng)險分析)的發(fā)展路徑。

(一)以事件驅(qū)動的初級階段時期

19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全，人與計算機(jī)之間的交互主要局限在大型計算機(jī)上的啞終端，安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段，由事件驅(qū)動，沒有形成規(guī)范的管理流程。在此階段的前期，只重視技術(shù)手段。后期開始重視管理手段，但是技術(shù)和管理之間脫節(jié)。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度，但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負(fù)責(zé)、突擊式、事后糾正式的管理方式。

(二)標(biāo)準(zhǔn)化時期

企業(yè)開始將安全問題作為整體考慮，形成一套較為完整的安全管理策略，其中包括了安全管理的技術(shù)手段和管理制度(或稱運作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略，內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等，基本上形成體系，技術(shù)和管理手段綜合統(tǒng)一，但是安全風(fēng)險分析還存在不足之處。

(三)安全風(fēng)險管理策略時期

隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次，安全管理策略也演進(jìn)到安全風(fēng)險管理階段。主要特點如下：

1.安全風(fēng)險管理成為主流趨勢；在安全管理策略的演進(jìn)過程中，技術(shù)和管理手段綜合統(tǒng)

一、又融入了風(fēng)險管理的分析、防范策略，從而安全管理進(jìn)入了安全風(fēng)險管理時期。西方商業(yè)銀行已對安全風(fēng)險管理形成共識。如安氏公司(is—One)，認(rèn)為信息安全問題最終將歸結(jié)為風(fēng)險管理問題，風(fēng)險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。

2.安全風(fēng)險管理的國際標(biāo)準(zhǔn)和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風(fēng)險管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》、英國標(biāo)準(zhǔn)協(xié)會制訂的BS7799等。各國也日益重視安全風(fēng)險管理，制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》，對國內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險管理給出了指導(dǎo)意見。

3.利用外部專業(yè)化機(jī)構(gòu)對金融機(jī)構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險，在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度，系統(tǒng)的設(shè)計開發(fā)水平，以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等；銀行依靠傳統(tǒng)的風(fēng)險管理機(jī)制已很難識別、監(jiān)測、控制和管理相關(guān)風(fēng)險。同樣，監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進(jìn)行準(zhǔn)確評價和監(jiān)控。因此，大部分國家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行安全性進(jìn)行評估的辦法，加強(qiáng)對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。

4.在許多國家信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務(wù)。業(yè)界的IT風(fēng)險分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險工作，從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險，充分衡量保持安全的代價和收益之間的關(guān)系，尋求用最小的代價實現(xiàn)最大的效用，在風(fēng)險分析中也形成一套較為成熟的模式。

二、我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的薄弱點

(一)系統(tǒng)管理思想缺乏

目前的電子商務(wù)安全風(fēng)險管理策略，在全局上缺乏系統(tǒng)論理論的指導(dǎo)，在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞，無法形成一張全面有序的安全網(wǎng)絡(luò)。

實踐中被采用的安全風(fēng)險管理策略，以及作為指導(dǎo)意見的規(guī)則規(guī)范，如《信息安全管理實務(wù)準(zhǔn)則》(IS017799)、《信息技術(shù)安全性評估準(zhǔn)則》(GB／T18336．1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》，盡管提出了比較全面的安全風(fēng)險管理方案，層次上也比較清晰，但是還不足以作為一個風(fēng)險防范系統(tǒng)。實踐中，電子商務(wù)組織是一個復(fù)雜的系統(tǒng)組織，電子商務(wù)的安全風(fēng)險管理體系和過程也是個復(fù)雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險管理中是不可或缺的。

(二)風(fēng)險分析的模型與方法不成熟，定量分析不足

電子商務(wù)模式自身的發(fā)展歷史也不過20幾年，在風(fēng)險分析的定量技術(shù)上并不成熟；如BS7799中推薦的電子商務(wù)安全風(fēng)險管理中實施風(fēng)險評估時，往往將威脅發(fā)生的可能性定性劃分為幾個級別，將威脅所造成的影響也定性劃分為1～5級，實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別，在操作上易行，但造成了度量的不精確。在進(jìn)行監(jiān)控和審計之后，也存在無法量化、對比的問題。

(三)忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合

本質(zhì)上，電子商務(wù)的安全風(fēng)險無非是新興的商業(yè)模式對傳統(tǒng)的風(fēng)險的改變，以及產(chǎn)生的在傳統(tǒng)風(fēng)險控制領(lǐng)域暫時無法明晰的新風(fēng)險；現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題，站在金融領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險管理的研究無法立足于一個比較高的層次；忽略了風(fēng)險的整體性，只進(jìn)行偏信息和技術(shù)的研究，導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險管理策略存在差距。對于商業(yè)銀行而言，傳統(tǒng)金融業(yè)務(wù)的風(fēng)險控制與電子商務(wù)的技術(shù)風(fēng)險控制，兩個方面存在脫節(jié)，同樣屬于商業(yè)銀行的風(fēng)險，存在著不同的管理策略，導(dǎo)致多頭管理、資源浪費、機(jī)構(gòu)之間的扯皮，乃至缺位管理。

(四)風(fēng)險管理策略無法依賴外部的信息安全管理行業(yè)

在發(fā)達(dá)國家，信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務(wù)。IT風(fēng)險分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險工作。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行的安全性進(jìn)行評估的辦法，提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。而國內(nèi)初步建立了國家信息安全組織保障體系，制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、法律法規(guī)，風(fēng)險評估工作得到了一定重視，但與發(fā)達(dá)國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。

(五)風(fēng)險管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱

我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門；但風(fēng)險控制部門的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距，風(fēng)險控制實質(zhì)上仍然分散在各個子部門；風(fēng)險的評估、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門；風(fēng)險管理部門、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風(fēng)險。例如，風(fēng)險管理部門接受了電子交易部的風(fēng)險控制報告，表面上履行的內(nèi)控審核的流程，但審核作用有限，無法完成電子商務(wù)安全風(fēng)險管理中的監(jiān)控與審計環(huán)節(jié)。

三、商業(yè)銀行的電子商務(wù)安全風(fēng)險管理策略的改進(jìn)建議

(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略框架

利用系統(tǒng)理論作為總體的指導(dǎo)思想，將電子商務(wù)安全風(fēng)險管理策略本身當(dāng)作一個開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。

在商業(yè)銀行電子商務(wù)安全風(fēng)險控制的流程中，經(jīng)過信息安全的風(fēng)險評估、資產(chǎn)識別和選擇、實施控制降低風(fēng)險的措施、將風(fēng)險控制在可接受的范圍內(nèi)，然后進(jìn)行監(jiān)控和審計；尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風(fēng)險分析輸入，從而開始新一輪的風(fēng)險管理過程。商業(yè)銀行電子商務(wù)安全風(fēng)險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán)，安全風(fēng)險管理的有效性就上一個臺階，商業(yè)銀行的安全管理水平變得到了提高。新晨

(二)電子商務(wù)安全風(fēng)險管理中定量分析中的改進(jìn)思路

商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法來改變電子商務(wù)安全風(fēng)險管理中對資產(chǎn)進(jìn)行粗略的優(yōu)先級別排序的方法。實踐中，商業(yè)銀行對操作風(fēng)險的管理與對電子商務(wù)安全風(fēng)險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風(fēng)險的內(nèi)部計量法中規(guī)定，商業(yè)銀行內(nèi)部估計風(fēng)險敞口指標(biāo)、損失事件發(fā)生的概率、風(fēng)險損失，巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù)；在度量損失的分布時，主要利用統(tǒng)計和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來，利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險定量分析的嘗試。

(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險納入商業(yè)銀行總體風(fēng)險管理范疇

第2篇

[關(guān)鍵詞] 電子商務(wù)信息加密案例教學(xué)

目前電子商務(wù)安全問題已經(jīng)成為制約電子商務(wù)快速發(fā)展的障礙。因此,了解和掌握安全技術(shù),已經(jīng)成為從事電子商務(wù)人員的必備知識。為此,目前很多高校電子商務(wù)專業(yè)都開設(shè)了《電子商務(wù)安全技術(shù)》課程。如何針對該課程的特點使學(xué)生掌握安全知識和技術(shù),是教師在課程設(shè)計中最為重視的問題。筆者結(jié)合該課程的講授經(jīng)驗,從教學(xué)內(nèi)容、教學(xué)方法、實驗教學(xué)等方面進(jìn)行了探索。

一、課程特點

《電子商務(wù)安全技術(shù)》課程是電子商務(wù)專業(yè)的專業(yè)課程。該課程的目標(biāo)是要求學(xué)生在掌握基本概念和理論的基礎(chǔ)上,結(jié)合實際問題,在電子商務(wù)的實施中應(yīng)用有關(guān)技術(shù)為具體商務(wù)過程的實現(xiàn)提供安全保障。該課程內(nèi)容非常龐雜且綜合性強(qiáng),包括信息加密技術(shù)、計算機(jī)網(wǎng)絡(luò)安全技術(shù)、電子支付技術(shù)等。

該課程的突出問題是學(xué)習(xí)內(nèi)容多,課時少。僅計算機(jī)網(wǎng)絡(luò)安全技術(shù)一項內(nèi)容,就是一門獨立的課程。然而該課程安排課時為44學(xué)時。因此,在有限的學(xué)時內(nèi),不可能詳細(xì)講解所有內(nèi)容。為此,我們精心設(shè)計教學(xué)內(nèi)容和實驗,采用小組討論、案例教學(xué)等教學(xué)方法,取得了不錯的效果。

二、教學(xué)內(nèi)容設(shè)計

《電子商務(wù)安全技術(shù)》課程的教學(xué)內(nèi)容包括以下8個部分:電子商務(wù)安全概述、信息加密技術(shù)、計算機(jī)網(wǎng)絡(luò)安全技術(shù)、公鑰基礎(chǔ)設(shè)施(PKI)、電子支付技術(shù)、電子商務(wù)安全交易協(xié)議、安全電子商務(wù)應(yīng)用、其他電子商務(wù)安全技術(shù)。教學(xué)內(nèi)容的設(shè)計原則如下:

1.重視信息加密技術(shù)。信息加密技術(shù)是其他技術(shù)的核心,是電子商務(wù)安全的基石。在教學(xué)過程中,應(yīng)該把對稱加密和非對稱加密的原理、特點講透。對于對稱加密可首先以愷撒密碼、換位密碼算法為例來講解,這些算法簡單,學(xué)生理解起來較為容易。而對于非對稱加密算法,可以RSA算法為例來講解,讓學(xué)生能理解該算法的優(yōu)點和不足。學(xué)會了加密技術(shù),在理解數(shù)字簽名、公鑰基礎(chǔ)設(shè)施等這些應(yīng)用加密算法的技術(shù)時就會容易得多。

2.重視計算機(jī)網(wǎng)絡(luò)安全技術(shù)。電子商務(wù)是基于Internet網(wǎng)絡(luò)的商務(wù)模式,因此,電子商務(wù)的安全是以計算機(jī)網(wǎng)絡(luò)的安全性為基礎(chǔ)的。因此,在教學(xué)過程中,必須教導(dǎo)學(xué)生重視計算機(jī)網(wǎng)絡(luò)安全技術(shù),必須掌握基本的網(wǎng)絡(luò)安全攻防體系、防火墻、虛擬專用網(wǎng)、入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全的主要技術(shù)和解決方案。

3.加強(qiáng)流行技術(shù)和新技術(shù)的講解。電子商務(wù)安全相關(guān)的新技術(shù)不斷涌現(xiàn)。例如,在電子支付技術(shù)中,除了信用卡電子支付、電子支票、電子現(xiàn)金支付方法,比較流行的還有支付寶等第三方支付方法;隨著移動電子商務(wù)的流行,無線電子商務(wù)安全技術(shù)逐漸被人們所重視;信息隱藏技術(shù)、數(shù)字水印技術(shù)和數(shù)字版權(quán)保護(hù)等新技術(shù)已成為了非常熱門的話題。在教學(xué)中,可簡單介紹這些新技術(shù),學(xué)生根據(jù)自己的興趣進(jìn)一步跟蹤和探索。

三、教學(xué)方法

教學(xué)方式主要采用多媒體教學(xué)。在多媒體課件的設(shè)計上,主要以設(shè)置問題、討論解答的方式來引出各個知識點,以便激發(fā)學(xué)生的求知欲。提出問題后,可以組織學(xué)生分組討論,或者師生共同討論來給出問題的答案,并總結(jié)知識點。

根據(jù)教學(xué)內(nèi)容的不同,采用靈活多樣的教學(xué)方法,如小組討論、案例教學(xué)等。比如:在講解電子支付時,先在課前布置學(xué)生收集5個國內(nèi)電子商務(wù)網(wǎng)站的電子支付方式,而后在課堂上進(jìn)行小組討論,結(jié)合實際情況來加深學(xué)生對知識點的掌握。在講解網(wǎng)絡(luò)防火墻技術(shù)時,收集某連鎖店網(wǎng)絡(luò)和九運會防火墻配置案例,讓學(xué)生更加直觀地理解防火墻的實際應(yīng)用情況。

四、實驗內(nèi)容

實驗教學(xué)是為學(xué)生理解課程內(nèi)容而設(shè)計的。通過實驗教學(xué)的實施,使學(xué)生掌握課程內(nèi)容,以及電子商務(wù)安全技術(shù)的操作與配置方法。實驗設(shè)計的原則是:

1.強(qiáng)調(diào)基礎(chǔ)。結(jié)合學(xué)習(xí)內(nèi)容的各主要知識點來設(shè)計實驗。通過實驗,讓學(xué)生理解各知識點,并會加以運用。

2.既有驗證性實驗,也有設(shè)計性實驗。通過驗證性實驗,掌握各個技術(shù)。通過設(shè)計性實驗,綜合應(yīng)用各種技術(shù),培養(yǎng)學(xué)生解決實際問題的能力。

根據(jù)上述原則,我們設(shè)計了7個實驗,如下表所示。

其中實驗1屬于調(diào)查分析類,該實驗的目的是通過調(diào)查分析當(dāng)前大型電子商務(wù)網(wǎng)站,掌握常用的安全措施。具體要求是了解2個國內(nèi)大型電子商務(wù)網(wǎng)站如eBay網(wǎng)、淘寶網(wǎng)的電子商務(wù)安全措施。

實驗2到實驗6是屬于操作性和驗證性的實驗。通過實際操作,理解課堂所學(xué)的理論知識,并進(jìn)一步掌握各種電子商務(wù)安全技術(shù)的應(yīng)用方法。實驗3中的防火墻、VPN、入侵檢測這三個內(nèi)容,由于課時的關(guān)系,可以把防火墻作為重點,其他兩個作為課下作業(yè)。

實驗7是設(shè)計某小型電子商務(wù)系統(tǒng)的安全解決方案,這是一個設(shè)計性實驗。該實驗需要綜合運用各種安全技術(shù),并寫出方案報告。

五、學(xué)習(xí)效果

在教學(xué)實踐過程中,學(xué)生實驗報告、案例分析報告都撰寫得不錯。同時本課程很受學(xué)生歡迎,取得了令人滿意的教學(xué)效果。

參考文獻(xiàn):

[1]張愛菊:電子商務(wù)安全技術(shù)[M].北京:清華大學(xué)出版社,2006

第3篇

一、私有密鑰加密法

(一)含義

私有密鑰加密,指在計算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時,發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用同樣的一把密鑰A對收到的密文M進(jìn)行解密,得到明文信息,從而完成密文通信目的的方法。這種信息加密傳輸方式,就稱為私有密鑰加密法。此加密法的一個最大特點是,信息發(fā)送方與信息接收方均需采用同樣的密鑰,具有對稱性,所以私有密鑰加密又稱為對稱密鑰加密。

(二)應(yīng)用原理

具體到電子商務(wù),很多環(huán)節(jié)要用到私有密鑰加密法。例如,在兩個商務(wù)實體或兩個銀行之間進(jìn)行資金的支付結(jié)算時,涉及大量的資金流信息的傳輸與交換。這里以發(fā)送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應(yīng)用私有密鑰加密法的過程:銀行甲借助專業(yè)私有密鑰加密算法生成私有密鑰A,并且復(fù)制一份密鑰A借助一個安全可靠通道(如采用數(shù)字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網(wǎng)絡(luò)通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文。這樣銀行乙就知道銀行甲的資金轉(zhuǎn)賬通知單的內(nèi)容,結(jié)束通信。

(三)常用算法

世界上一些專業(yè)組織機(jī)構(gòu)研發(fā)了許多種私有密鑰加密算法,比較著名的有DES（DataEncryptionStandard，數(shù)據(jù)加密標(biāo)準(zhǔn)）算法及其各種變形、國際數(shù)據(jù)加密算法IDEA等。DES算法由美國國家標(biāo)準(zhǔn)局提出,1977年公布實施,是目前廣泛采用的私有密鑰加密算法之一,主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬、軍事定點通信等領(lǐng)域,比如電子支票的加密傳送。經(jīng)過20多年的使用,已經(jīng)發(fā)現(xiàn)DES很多不足之處,隨著計算機(jī)技術(shù)進(jìn)步,對DES的破解方法也日趨有效,所以更安全的高級加密標(biāo)準(zhǔn)AES（AdvancedEncryptionStandard，先進(jìn)加密標(biāo)準(zhǔn)）將會替代DES成為新一代加密標(biāo)準(zhǔn)。

(四)優(yōu)缺點

私有密鑰加密法的主要優(yōu)點是運算量小,加解密速度快,由于加解密應(yīng)用同一把密鑰而應(yīng)用簡單。在專用網(wǎng)絡(luò)中由于通信各方相對固定、所以應(yīng)用效果較好。但是,私有密鑰加密技術(shù)也存在著以下一些問題:一是分發(fā)不易。由于算法公開,其安全性完全依賴于對私有密鑰的保護(hù)。因此,密鑰使用一段時間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對的,通過電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問題。二是管理復(fù)雜,代價高昂。私有密鑰密碼體制用于公眾通信網(wǎng)時,每對通信對象的密鑰不同,必須由不被第三者知道的方式,事先通知對方。隨著通信對象的增加,公眾通信網(wǎng)上的密碼使用者必須保存所有通信對象的大量的密鑰。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題。三是難以進(jìn)行用戶身份的認(rèn)定。采用私有密鑰加密法實現(xiàn)信息傳輸,只是解決了數(shù)據(jù)的機(jī)密性問題,并不能認(rèn)證信息發(fā)送者的身份。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發(fā)送偽造信息。在電子商務(wù)中,有可能存在欺騙,別有用心者可能冒用別人的名義發(fā)送資金轉(zhuǎn)賬指令。因此,必須經(jīng)常更換密鑰,以確保系統(tǒng)安全。四是采用私有密鑰加密法的系統(tǒng)比較脆弱,較易遭到不同密碼分析的攻擊。五是它僅能用于對數(shù)據(jù)進(jìn)行加解密處理,提供數(shù)據(jù)的機(jī)密性,不能用于數(shù)字簽名。

二、公開密鑰加密法

(一)定義與應(yīng)用原理

公開密鑰加密法是針對私有密鑰加密法的缺陷而提出來的。是電子商務(wù)應(yīng)用的核心密碼技術(shù)。所謂公開密鑰加密,就是指在計算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時,發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用另一把密鑰B對收到的密文M進(jìn)行解密,得到明文信息完密文通信目的的方法。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對網(wǎng)絡(luò)上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法。與私有(對稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對稱,所以公開私有密鑰加密法又稱為非對稱密鑰加密法。公開密鑰加密法的應(yīng)用原理是:借助密鑰生成程序生產(chǎn)密鑰A與密鑰B,這兩把密鑰在數(shù)學(xué)上相關(guān),對稱作密鑰對。用密鑰對其中任何一個密鑰加密時,可以用另一個密鑰解密,而且只能用此密鑰對其中的另一個密鑰解密。在實際應(yīng)用中,某商家可以把生成的密鑰A與密鑰B做一個約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網(wǎng)絡(luò)公開散發(fā)出去,誰都可以獲取一把并能應(yīng)用,屬于公開的共享密鑰,叫做公開密鑰。如果一個人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個人的消息。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對密文進(jìn)行解密,而且非法用戶幾乎不可能從公鑰推導(dǎo)出私鑰。存在下面兩種應(yīng)用情況:一是任何一個收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發(fā)送給這個商家,那么這些加密信息就只能被這個商家的私人密鑰A解密。實現(xiàn)保密性。二是商家利用自己的私人密鑰A對要發(fā)送的信息進(jìn)行加密進(jìn)成密文信息,發(fā)送給商業(yè)合作伙伴,那么這個加密信息就只能被公開密鑰B解密。這樣,由于只能應(yīng)用公開密鑰B解密,根據(jù)數(shù)學(xué)相關(guān)關(guān)系可以斷定密文的形成一定是運用了私人密鑰A進(jìn)行加密的結(jié)果,而私人密鑰A只有商家擁有,由此可以斷定網(wǎng)上收到的密文一定是擁有私人密鑰A的商家發(fā)送的。

(二)應(yīng)用過程

具體到電子商務(wù),很多環(huán)節(jié)要用到公開密鑰加密法,例如在網(wǎng)絡(luò)銀行客戶與銀行進(jìn)行資金的支付結(jié)算操作時,就涉及大量的資金流信息的安全傳輸與交換。以客戶甲與乙網(wǎng)絡(luò)銀行的資金信息傳輸為例,來描述應(yīng)用公開密鑰加密法在兩種情況下的使用過程。首先,網(wǎng)絡(luò)銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B,私人密鑰A由網(wǎng)絡(luò)銀行乙自己獨自保存,而公開密鑰B已經(jīng)通過網(wǎng)絡(luò)某種應(yīng)用形式(如數(shù)字證書)分發(fā)給網(wǎng)絡(luò)銀行的眾多客戶,當(dāng)然客戶甲也擁有一把網(wǎng)絡(luò)銀行乙的公開密鑰B。

1.客戶甲傳送一“支付通知”給網(wǎng)絡(luò)銀行乙,要求

“支付通知”在傳送中是密文,并且只能由網(wǎng)絡(luò)銀行乙解密知曉,從而實現(xiàn)了定點保密通信。客戶甲利用獲得的公開密鑰B在本地對“支付通知”明文進(jìn)行加密,形成“支付通知”密文,通過網(wǎng)絡(luò)將密文傳輸給網(wǎng)絡(luò)銀行乙。網(wǎng)絡(luò)銀行乙收到“支付通知”密文后,發(fā)現(xiàn)只能用自己的私人密鑰A進(jìn)行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內(nèi)容,的確是發(fā)給自己的。

2.網(wǎng)絡(luò)銀行乙在按照收到的“支付通知”指令完成支付轉(zhuǎn)賬服務(wù)后,必須回送客戶甲“支付確認(rèn)”,客戶甲在收到“支付確認(rèn)”后,斷定只能是網(wǎng)絡(luò)銀行乙發(fā)來的,而不是別人假冒的,將來可作支付憑證,從而實現(xiàn)對網(wǎng)絡(luò)銀行業(yè)務(wù)行為的認(rèn)證,網(wǎng)絡(luò)銀行不能隨意否認(rèn)或抵賴。網(wǎng)絡(luò)用戶乙在按照客戶甲的要求完成相關(guān)資金轉(zhuǎn)賬后,準(zhǔn)備一個“支付確認(rèn)”明文,在本地利用自己的私人密鑰A對“支付確認(rèn)”明文進(jìn)行加密,形成“支付確認(rèn)”密文,通過網(wǎng)絡(luò)將密文傳輸給客戶甲。客戶甲收到“支付確認(rèn)”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發(fā)現(xiàn)只能用獲得的網(wǎng)絡(luò)銀行乙的公開密鑰B進(jìn)行解密,形成“支付確認(rèn)”明文,由于公開密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網(wǎng)絡(luò)銀行乙所有,因此客戶甲斷定這個“支付確認(rèn)”只能是網(wǎng)絡(luò)銀行乙發(fā)來的,不是別人假冒的,可作支付完成的憑證。

(三)算法

當(dāng)前最著名、應(yīng)用最廣泛的公開密鑰系統(tǒng)是RSA(取自三個創(chuàng)始人的名字的第一個字母)算法，RSA算法是第一個能同時用于加密和數(shù)字簽名的算法，也易于理解和操作。目前電子商務(wù)中大多數(shù)使用公開密鑰加密法進(jìn)行加解密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法。RSA算法是基于大數(shù)的因子分解，而大數(shù)的因子分解是數(shù)學(xué)上的一個難題，其難度隨著模數(shù)n的位數(shù)加多而提高，網(wǎng)絡(luò)交易安全隨之提高。(四)優(yōu)缺點優(yōu)點是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發(fā)往任何地方,公鑰在傳遞與過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。能夠解決信息的否認(rèn)與抵賴問題,身份認(rèn)證較為方便。密鑰分配簡單,公開密鑰可以像電話號碼一樣,告訴每一個網(wǎng)絡(luò)成員,商業(yè)伙伴需要好好保管的只是一個私人密鑰。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便。最大的缺陷就在于它的加解密速度慢。

第4篇

[關(guān)鍵詞] 網(wǎng)絡(luò)安全 事件 安全對策

隨著網(wǎng)絡(luò)時代的到來，越來越多的人通過Internet進(jìn)行商務(wù)活動。電子商務(wù)的發(fā)展前景十分誘人，而其安全問題也變得越來越突出。近年來，網(wǎng)絡(luò)安全事件不斷攀升，電子商務(wù)金融成了攻擊目標(biāo)，以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡(luò)安全事件正在大幅攀升。在國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）2005處理的網(wǎng)絡(luò)安全事件報告中，網(wǎng)頁篡改占45.91％，網(wǎng)絡(luò)仿冒占29%，其余為拒絕服務(wù)攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護(hù)，已經(jīng)成為電子商務(wù)的所有參與者十分關(guān)心的話題。

一、電子商務(wù)中的主要網(wǎng)絡(luò)安全事件分析

歸納起來，對電子商務(wù)應(yīng)用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改、網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)攻擊、特羅伊木馬、計算機(jī)病毒、網(wǎng)絡(luò)仿冒等，網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒（Phishing），逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅。

1.網(wǎng)頁篡改

網(wǎng)頁篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。這是黑客攻擊的典型形式。一般來說，主頁的篡改對計算機(jī)系統(tǒng)本身不會產(chǎn)生直接的損失，但對電子商務(wù)等需要與用戶通過網(wǎng)站進(jìn)行溝通的應(yīng)用來說，就意味著電子商務(wù)將被迫終止對外的服務(wù)。對企業(yè)網(wǎng)站而言，網(wǎng)頁的篡改，尤其是含有攻擊、丑化色彩的篡改，會對企業(yè)形象與信譽(yù)造成嚴(yán)重?fù)p害。

2.網(wǎng)絡(luò)仿冒（Phishing）

網(wǎng)絡(luò)仿冒又稱網(wǎng)絡(luò)欺詐、仿冒郵件或者釣魚攻擊等，是黑客使用欺詐郵件和虛假網(wǎng)頁設(shè)計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等，隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來，隨著電子商務(wù)、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及，網(wǎng)絡(luò)仿冒事件在我國層出不窮，諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用，特別是電子商務(wù)應(yīng)用的主要威脅之一。

網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機(jī)構(gòu)的打擊，充分利用互聯(lián)網(wǎng)的開放性，往往會將仿冒網(wǎng)站建立在其他國家，而又利用第三國的郵件服務(wù)器來發(fā)送欺詐郵件，這樣既便是仿冒網(wǎng)站被人舉報，但是關(guān)閉仿冒網(wǎng)站就比較麻煩，對網(wǎng)絡(luò)欺詐者的追查就更困難了，這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢之一。

3.網(wǎng)絡(luò)蠕蟲

網(wǎng)絡(luò)蠕蟲是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序。這種程序利用互聯(lián)網(wǎng)上計算機(jī)系統(tǒng)的漏洞進(jìn)入系統(tǒng)，自我復(fù)制，并繼續(xù)向互聯(lián)網(wǎng)上的其他系統(tǒng)進(jìn)行傳播。蠕蟲的不斷蛻變并在網(wǎng)絡(luò)上的傳播，可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生，從而致使網(wǎng)絡(luò)癱瘓，使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效。

4.拒絕服務(wù)攻擊(Dos)

拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機(jī)針對某一個特定的計算機(jī)進(jìn)行大規(guī)模的訪問，使得被訪問的計算機(jī)窮于應(yīng)付來勢兇猛的訪問而無法提供正常的服務(wù)，使得電子商務(wù)這類應(yīng)用無法正常工作。拒絕服務(wù)攻擊是黑客常用的一種行之有效的方法。如果所調(diào)動的攻擊計算機(jī)足夠多，則更難進(jìn)行處置。尤其是被蠕蟲侵襲過的計算機(jī)，很容易被利用而成為攻擊源，并且這類攻擊通常是跨網(wǎng)進(jìn)行的，加大了打擊犯罪的難度。

5.特羅伊木馬

特羅伊木馬（簡稱木馬）是一種隱藏在計算機(jī)系統(tǒng)中不為用戶所知的惡意程序，通常用于潛伏在計算機(jī)系統(tǒng)中來與外界聯(lián)接，并接受外界的指令。被植入木馬的計算機(jī)系統(tǒng)內(nèi)的所有文件都會被外界所獲得，并且該系統(tǒng)也會被外界所控制，也可能會被利用作為攻擊其他系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時都會同時把木馬植入到被侵入的系統(tǒng)中。

二、解決電子商務(wù)中網(wǎng)絡(luò)安全問題的對策研究

隨著網(wǎng)絡(luò)應(yīng)用日益普及和更為復(fù)雜，網(wǎng)絡(luò)安全事件不斷出現(xiàn)，電子商務(wù)的安全問題日益突出，需要從國家相關(guān)法律建設(shè)的大環(huán)境到企業(yè)制定的電子商務(wù)網(wǎng)絡(luò)安全管理整體架構(gòu)的具體措施，才能有效保護(hù)電子商務(wù)的正常應(yīng)用與發(fā)展。

1.進(jìn)一步完善法律與政策依據(jù) 充分發(fā)揮應(yīng)急響應(yīng)組織的作用

我國目前對于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺，尤其是互聯(lián)網(wǎng)這樣一個開放和復(fù)雜的領(lǐng)域，相對于現(xiàn)實社會，其違法犯罪行為的界定、取證、定位都較為困難。因此，對于影響電子商務(wù)發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡(luò)安全事件的違法犯罪行為的立法，需要一個漫長的過程。根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡(luò)安全事件的特點，需要建立健全協(xié)調(diào)一致，快速反應(yīng)的各級網(wǎng)絡(luò)應(yīng)急體系。要制定有關(guān)管理規(guī)定，為網(wǎng)絡(luò)安全事件的有效處理提供法律和政策依據(jù)。

互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織是響應(yīng)并處理公共互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全事件的組織，在我國，CNCERT/CC是國家級的互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織，目前已經(jīng)建立起了全國性的應(yīng)急響應(yīng)體系；同時，CNCERT/CC還是國際應(yīng)急響應(yīng)與安全小組論壇（FIRST，F(xiàn)orum of Incident Response and Security Teams）等國際機(jī)構(gòu)的成員。應(yīng)急響應(yīng)組織通過發(fā)揮其技術(shù)優(yōu)勢，利用其支撐單位，即國內(nèi)主要網(wǎng)絡(luò)安全廠商的行業(yè)力量，為相關(guān)機(jī)構(gòu)提供網(wǎng)絡(luò)安全的咨詢與技術(shù)服務(wù)，共同提高網(wǎng)絡(luò)安全水平，能有效減少各類的網(wǎng)絡(luò)事件的出現(xiàn)；通過聚集相關(guān)科研力量，研究相關(guān)技術(shù)手段，以及如何建立新的電子交易的信任體系，為電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的普及和順利發(fā)展提供前瞻性的技術(shù)研究方面具有積極意義。

2.從網(wǎng)絡(luò)安全架構(gòu)整體上保障電子商務(wù)的應(yīng)用發(fā)展

網(wǎng)絡(luò)安全事件研究中看到，電子商務(wù)的網(wǎng)絡(luò)安全問題不是純粹的計算機(jī)安全問題，從企業(yè)的角度出發(fā)，應(yīng)該建立整體的電子商務(wù)網(wǎng)絡(luò)安全架構(gòu)，結(jié)合安全管理以及具體的安全保護(hù)、安全監(jiān)控、事件響應(yīng)和恢復(fù)等一套機(jī)制來保障電子商務(wù)的正常應(yīng)用。

安全管理主要是通過嚴(yán)格科學(xué)的管理手段以達(dá)到保護(hù)企業(yè)網(wǎng)絡(luò)安全的目的。內(nèi)容可包括安全管理制度的制定、實施和監(jiān)督，安全策略的制定、實施、評估和修改，相關(guān)人員的安全意識的培訓(xùn)、教育，日常安全管理的具體要求與落實等。

安全保護(hù)主要是指應(yīng)用網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)和用戶。這種保護(hù)主要是指靜態(tài)保護(hù)，通常是一些基本的防護(hù)，不具有實時性，如在防火墻的規(guī)則中實施一條安全策略，禁止所有外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務(wù)器的連接請求，一旦這條規(guī)則生效，它就會持續(xù)有效，除非我們改變這條規(guī)則。這樣的保護(hù)能預(yù)防已知的一些安全威脅，而且通常這些威脅不會變化，所以稱為靜態(tài)保護(hù)。

安全監(jiān)控和審計是實時保護(hù)的一種策略，它主要滿足一種動態(tài)安全的需求。因為網(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時，黑客技術(shù)也在不斷的發(fā)展，網(wǎng)絡(luò)安全不是一成不變的，也許今天對你來說安全的策略，明天就會變得不安全，因此我們應(yīng)該時刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動向,以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情，以便及時發(fā)現(xiàn)新的攻擊，制定新的安全策略。可以這樣說，安全保護(hù)是基本，安全監(jiān)控和審計是其有效的補(bǔ)充，兩者的有效結(jié)合，才能較好地滿足動態(tài)安全的需要。

事件響應(yīng)與恢復(fù)主要針對發(fā)生攻擊事件時相應(yīng)的應(yīng)急措施與恢復(fù)正常應(yīng)用的機(jī)制。就是當(dāng)攻擊發(fā)生時，能及時做出響應(yīng)，這需要建立一套切實有效、操作性強(qiáng)的響應(yīng)機(jī)制，及時防止攻擊的進(jìn)一步發(fā)展。響應(yīng)是整個安全架構(gòu)中的重要組成部分，因為網(wǎng)絡(luò)構(gòu)筑沒有絕對的安全，安全事件的發(fā)生是不可能完全避免的，當(dāng)安全事件發(fā)生的時候，應(yīng)該有相應(yīng)的機(jī)制快速反應(yīng)，以便讓管理員及時了解攻擊情況，采取相應(yīng)措施修改安全策略，盡量減少并彌補(bǔ)攻擊的損失，防止類似攻擊的再次發(fā)生。當(dāng)安全事件發(fā)生后，對系統(tǒng)可能會造成不同程度的破壞，如網(wǎng)絡(luò)不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等，這時，必須有一套機(jī)制能盡快恢復(fù)系統(tǒng)的正常應(yīng)用，因為攻擊既然已經(jīng)發(fā)生了，系統(tǒng)也遭到了破壞，這時只有讓系統(tǒng)以最快的速度運行起來才是最重要的，否則損失將更為嚴(yán)重。因此恢復(fù)在電子商務(wù)安全的整體架構(gòu)中也是不可缺少的組成部分。

三、結(jié)論

Internet的快速發(fā)展，使電子商務(wù)逐漸進(jìn)入人們的日常生活，而伴隨各類網(wǎng)絡(luò)安全事件的日益增加與發(fā)展，電子商務(wù)的安全問題也變得日益突出，建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，解決好電子商務(wù)應(yīng)用與發(fā)展的網(wǎng)絡(luò)安全問題必將對保障和促進(jìn)電子商務(wù)的快速發(fā)展起到良好的推動作用。

參考文獻(xiàn):

[1]CNCERT/CC.2005年上半年網(wǎng)絡(luò)安全工作報告

[2]李 衛(wèi):計算機(jī)網(wǎng)絡(luò)安全與管理.北京：清華大學(xué)出版社，2000

[3]李海泉:計算機(jī)網(wǎng)絡(luò)安全與加密技術(shù).北京：科學(xué)出版社，2001

第5篇

關(guān)鍵詞： 網(wǎng)絡(luò)安全, 事件安全, 對策

1．引言

隨著網(wǎng)絡(luò)時代的到來，越來越多的人通過Internet進(jìn)行商務(wù)活動。電子商務(wù)的發(fā)展前景十分誘人，而其安全問題也變得越來越突出。近年來，網(wǎng)絡(luò)安全事件不斷攀升，電子商務(wù)金融成了攻擊目標(biāo)，以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡(luò)安全事件正在大幅攀升。在網(wǎng)絡(luò)安全事件報告中，網(wǎng)頁篡改占46％，網(wǎng)絡(luò)仿冒占30％，其余為拒絕服務(wù)攻擊、垃圾郵件、蠕蟲、木馬等[1]。近來最讓國人印象深刻的，比如熊貓燒香病毒，其危害之大、傳播范圍之廣令人咂舌，毫不夸張的說，當(dāng)時網(wǎng)民們真是人人自危。如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護(hù)，已經(jīng)成為電子商務(wù)的所有參與者十分關(guān)心的話題。

2．電子商務(wù)中的主要網(wǎng)絡(luò)安全事件分析

歸納起來，對電子商務(wù)應(yīng)用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改、網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)攻擊、特洛伊木馬、計算機(jī)病毒、網(wǎng)絡(luò)仿冒等，網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒，逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅[2]。

2.1 網(wǎng)頁篡改

網(wǎng)頁篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。這是黑客攻擊的典型形式。一般來說，主頁的篡改對計算機(jī)系統(tǒng)本身不會產(chǎn)生直接的損失，但對電子商務(wù)等需要與用戶通過網(wǎng)站進(jìn)行溝通的應(yīng)用來說，就意味著電子商務(wù)將被迫終止對外的服務(wù)。對企業(yè)網(wǎng)站而言，網(wǎng)頁的篡改，尤其是含有攻擊、丑化色彩的篡改，會對企業(yè)形象與信譽(yù)造成嚴(yán)重?fù)p害。

2.2 網(wǎng)絡(luò)仿冒

網(wǎng)絡(luò)仿冒又稱網(wǎng)絡(luò)欺詐、仿冒郵件或者釣魚攻擊等，是黑客使用欺詐郵件和虛假網(wǎng)頁設(shè)計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等，隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來，隨著電子商務(wù)、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及，網(wǎng)絡(luò)仿冒事件在我國層出不窮，諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用，特別是電子商務(wù)應(yīng)用的主要威脅之一。

網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機(jī)構(gòu)的打擊，充分利用互聯(lián)網(wǎng)的開放性，往往會將仿冒網(wǎng)站建立在其他國家，而又利用第三圍的郵件服務(wù)器來發(fā)送欺詐郵件，這樣既便是仿冒網(wǎng)站被人舉報，但是關(guān)閉仿冒網(wǎng)站就比較麻煩，對網(wǎng)絡(luò)欺詐者的追查就更困難了，這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢之一。

2.3 網(wǎng)絡(luò)蠕蟲

網(wǎng)絡(luò)蠕蟲是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序。這種程序利用互聯(lián)網(wǎng)上計算機(jī)系統(tǒng)的漏洞進(jìn)入系統(tǒng)，自我復(fù)制，并繼續(xù)向互聯(lián)網(wǎng)上的其他系統(tǒng)進(jìn)行傳播。蠕蟲的不斷蛻變并在網(wǎng)絡(luò)上的傳播，可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生，從而致使網(wǎng)絡(luò)癱瘓，使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效。

2.4 拒絕服務(wù)攻擊(Dos)

拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機(jī)針對某一個特定的計算機(jī)進(jìn)行大規(guī)模的訪問，使得被訪問的計算機(jī)窮于應(yīng)付來勢兇猛的訪問而無法提供正常的服務(wù)，使得電子商務(wù)這類應(yīng)用無法正常工作。拒絕服務(wù)攻擊是黑客常用的一種行之有效的方法。如果所調(diào)動的攻擊計算機(jī)足夠多，則更難進(jìn)行處置。尤其是被蠕蟲侵袋過的計算機(jī)，很容易被利用而成為攻擊源，并且這類攻擊通常是跨網(wǎng)進(jìn)行的，加大了打擊犯罪的難度。

2.5 特羅伊木馬

特羅伊木馬(簡稱木馬)是一種隱藏在計算機(jī)系統(tǒng)中不為用戶所知的惡意程序，通常用于潛伏在計算機(jī)系統(tǒng)中來與外界聯(lián)接，并接受外界的指令。被植入木馬的計算機(jī)系統(tǒng)內(nèi)的所有文件都會被外界所獲得，并且該系統(tǒng)也會被外界所控制，也可能會被利用作為攻擊其他系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時都會同時把木馬植入到被侵入的系統(tǒng)中。

很多人認(rèn)為木馬也是病毒的一種，這是因為他們把危害計算機(jī)安全的“敗類”，都一股腦兒地冠以“病毒”之名。實際上，木馬并不感染軟件或者數(shù)據(jù)，而是通過偽裝，進(jìn)行遠(yuǎn)程控制等行為，這與病毒有著根本性的差異。所以，病毒是病毒，木馬是木馬，我們還是應(yīng)該分開來的。木馬的可怕之處在于，一旦你的電腦中了木馬，它就變成了一臺傀儡機(jī)，控制端利用木馬，悄無聲息地在你的電腦上上傳下載文件，偷窺你的私人文件，甚至盜取各種密碼，造成非常嚴(yán)重的后果。

3．解決電子商務(wù)中網(wǎng)絡(luò)安全問題的對策研究

3.1 進(jìn)一步完善法律與政策依據(jù)，充分發(fā)揮應(yīng)急響應(yīng)組織的作用

我國目前對于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺，尤其是互聯(lián)網(wǎng)這樣一個開放和復(fù)雜的領(lǐng)域，相對于現(xiàn)實社會，其違法犯罪行為的界定、取證、定位都較為困難。因此，對于影響電子商務(wù)發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡(luò)安全事件的違法犯罪行為的立法，需要一個漫長的過程。根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡(luò)安全事件的特點，需要建立健全協(xié)調(diào)一致，快速反應(yīng)的各級網(wǎng)絡(luò)應(yīng)急體系。要制定有關(guān)管理規(guī)定，為網(wǎng)絡(luò)安全事件的有效處理提供法律和政策依據(jù)。

3.2 從網(wǎng)絡(luò)安全架構(gòu)整體上保障電子商務(wù)的應(yīng)用發(fā)展

安全管理是中心，它滲透到四個基本中去，而這四個基本點各占據(jù)電子商務(wù)安全的各個方面，即保護(hù)、監(jiān)控、響應(yīng)和恢復(fù)。安全管理指導(dǎo)四個基本點的工作，四個基本點體現(xiàn)和完成安全管理的任務(wù)，它們相輔相成，構(gòu)成一個完整的體系，滿足電子商務(wù)安全的整體需求。

（1） 安全管理

安全管理就是通過一些管理手段來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。它所包含的內(nèi)容有安全管理制度的制定、實施和監(jiān)督，安全策略的制定、實施、評估和修改，以及對人員的安全意識的培訓(xùn)、教育等。

（2） 保護(hù)

保護(hù)就是采用一些網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)和用戶。這種保護(hù)可以稱作靜態(tài)保護(hù)，它通常是指一些基本防護(hù)，不具有實時性，如在制定的安全策略中有一條，不允許外部網(wǎng)用戶訪問內(nèi)部網(wǎng)的web服務(wù)器，因此我們就可以在防火墻的規(guī)則中加入一條，禁止所有從外部網(wǎng)用戶到內(nèi)部網(wǎng)web服務(wù)器的連接請求，這樣一旦這條規(guī)則生效，它就會持續(xù)有效，除非我們改變了這條規(guī)則。這樣的保護(hù)可以預(yù)防已知的一些安全威脅，而且通常這些威脅不會變化，所以稱 為靜態(tài)保護(hù)。

（3）監(jiān)控／審計

監(jiān)控就是實時監(jiān)控網(wǎng)絡(luò)上正在發(fā)生的事情，這是任何一個網(wǎng)絡(luò)管理員都想知道的。審計一直被認(rèn)為是經(jīng)典安全模型的一個重要組成部分。審計是通過記錄下通過網(wǎng)絡(luò)的所有數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，幫助你查找已知的攻擊手段、可疑的破壞行為，來達(dá)到保護(hù)網(wǎng)絡(luò)的目的。

監(jiān)控和審計是實時保護(hù)的一種策略，它主要滿足一種動態(tài)安全的需求。因為網(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時，黑客技術(shù)也在不斷的發(fā)展，因此網(wǎng)絡(luò)安全不是一層不變的，也許今天對你來說安傘的策略，明天就會變得不安全，因此我們應(yīng)該時刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動向以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情，以便及時發(fā)現(xiàn)新的攻擊，制定新的安全策略。有些人可能會認(rèn)為這樣就不需要基本的安全保護(hù)，這種想法是錯誤的，因為安全保護(hù)是基本，監(jiān)控和審計是其有效的補(bǔ)充，只有這兩者有效結(jié)合，才能夠滿足動態(tài)安全的需要。

（4） 響應(yīng)

響應(yīng)就是當(dāng)攻擊正在發(fā)生時，能夠及時做出響應(yīng)，如向管理員報告，或者自動阻斷連接等，防止攻擊進(jìn)一步的發(fā)生。響應(yīng)是整個安全架構(gòu)中的重要組成部分，為什么呢?因為即使你的網(wǎng)絡(luò)構(gòu)筑的相當(dāng)安全，攻擊或非法事件也是不可避免的要發(fā)生的，所以當(dāng)攻擊或非法事件發(fā)生的時候，應(yīng)該有一種機(jī)制對此做出反應(yīng)，以便讓管理員及時了解到什么時候網(wǎng)絡(luò)遭到了攻擊，攻擊的行為是什么樣的，攻擊的結(jié)果如何，應(yīng)該采取什么樣的措施來修補(bǔ)安全策略，彌補(bǔ)這次攻擊的損失，以及防止此類攻擊再次發(fā)生。

（5）恢復(fù)

當(dāng)入侵發(fā)生后，對系統(tǒng)造成了一定的破壞，如網(wǎng)絡(luò)不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等，這時，必須有一套機(jī)制來及時恢復(fù)系統(tǒng)正常工作，因此恢復(fù)在電子商務(wù)安傘的整體架構(gòu)中也是不可少的一個組成部分。恢復(fù)是最終措施，因為攻擊既然已經(jīng)發(fā)生了，系統(tǒng)也遭到了破壞，這時只有讓系統(tǒng)以最快的速度運行起來才是最重要的，否則損失將更為嚴(yán)重。

4．結(jié)束語

Internet的快速發(fā)展，使電子商務(wù)逐漸進(jìn)入人們的日常生活，而伴隨各類網(wǎng)絡(luò)安全事件的日益增加與發(fā)展，電子商務(wù)的安全問題也變得日益突出，建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，解決好電子商務(wù)應(yīng)用與發(fā)展的網(wǎng)絡(luò)安全問題必將對保障和促進(jìn)電子商務(wù)的快速發(fā)展起到良好的推動作用。

參考文獻(xiàn)：

第6篇

本文通過對不同電子商務(wù)強(qiáng)度的公司做網(wǎng)絡(luò)安全投資回報計算,進(jìn)而在經(jīng)濟(jì)性的基礎(chǔ)上，對采用各種主要措施來加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范進(jìn)行評價,從而幫助企業(yè)在投資網(wǎng)絡(luò)安全上做有效選擇，此研究無論從理論上還是實踐上都具有重要的現(xiàn)實意義。

[關(guān)鍵詞] 投資 網(wǎng)絡(luò)安全 經(jīng)濟(jì)性

筆者所在公司的計算機(jī)網(wǎng)絡(luò)經(jīng)常會遇到各種各樣的安全問題，主要包括病毒感染、惡意攻擊和疏忽大意。公司內(nèi)部建立了一個局域網(wǎng)，有400多臺電腦通過一個服務(wù)器與外網(wǎng)連接，同時，公司有自己的OA系統(tǒng)和正式對外信息的網(wǎng)站，這些都對網(wǎng)絡(luò)系統(tǒng)的安全性提出了較高要求。

幾年來，我在管理公司整個網(wǎng)絡(luò)系統(tǒng)安全的過程中，在為地稅系統(tǒng)做安全服務(wù)時，參照研究了國內(nèi)外一些主要從事電子商務(wù)網(wǎng)站的經(jīng)驗（主要是阿里巴巴網(wǎng)站和CISCO公司），并根據(jù)本企業(yè)實際情況和經(jīng)常發(fā)生的安全問題，采取了一些較為適用的安全防范措施。在不斷的選用和比較中，我對投資網(wǎng)絡(luò)安全所帶來的經(jīng)濟(jì)回報有了一定的認(rèn)識。

事實上，許多企業(yè)都愿意采用一個相對通用的方案來評價在網(wǎng)絡(luò)安全活動和過程中的投資行為，一般是由一個專門的部門用多年時間來搜集數(shù)據(jù)，然后幫助企業(yè)形成一個結(jié)構(gòu)良好的通用的投資回報分析報告。處理這些通用數(shù)據(jù)需要一些步驟，如下所示：

1.分析潛在經(jīng)濟(jì)影響

2.明確電子商務(wù)強(qiáng)度

3.檢驗安全成本

4.計算一個通用的安全投資回報

一、分析潛在經(jīng)濟(jì)影響

對于病毒和入侵，企業(yè)一般面臨三種類型的經(jīng)濟(jì)性影響――直接性經(jīng)濟(jì)影響、短期性經(jīng)濟(jì)影響和長期性經(jīng)濟(jì)影響。據(jù)國家公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示，2005年5月～2006年5月間，有54％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，其中，感染計算機(jī)病毒、蠕蟲和木馬程序的安全事件為84％，遭到端口掃描或網(wǎng)絡(luò)攻擊的占36％，垃圾郵件占35％。未修補(bǔ)和防范軟件漏洞仍然是導(dǎo)致安全事件發(fā)生的最突出原因，占發(fā)生安全事件總數(shù)的73％。

對于一個以網(wǎng)絡(luò)為支撐的、單一業(yè)務(wù)的企業(yè)，惡意攻擊給其帶來的經(jīng)濟(jì)性影響如表1所示。

表 1

來源: 《公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局》

在提交公司的調(diào)研報告上，我參照研究了《計算機(jī)經(jīng)濟(jì)》上的數(shù)據(jù)，如表2所示。如果針對惡意攻擊，企業(yè)沒有采用足夠的安全防護(hù)，那些能夠預(yù)測到發(fā)生的平均經(jīng)濟(jì)影響。可以看出，對電子商務(wù)技術(shù)依賴的越多，惡意攻擊所帶來的負(fù)面經(jīng)濟(jì)影響就越大（表中節(jié)點數(shù)是指連接到網(wǎng)絡(luò)上的設(shè)備）。

表2

來源:《計算機(jī)經(jīng)濟(jì)》

表中的結(jié)果是過去五年的歷史數(shù)據(jù)所做的平均值，主要包括清除被惡意代碼感染系統(tǒng)的成本，黑客攻擊和入侵的恢復(fù)成本，收入損失和員工生產(chǎn)率降低。我公司屬于低強(qiáng)度電子商務(wù)公司，有500個節(jié)點，從2005年、2006年兩年的各種安全技術(shù)、設(shè)備的使用對比中發(fā)現(xiàn):惡意攻擊給我公司帶來的經(jīng)濟(jì)影響要相對小于表2提供的數(shù)據(jù)，但如果算上短期經(jīng)濟(jì)影響，基本符合了數(shù)值取向。阿里巴巴網(wǎng)站算是一家高強(qiáng)度電子商務(wù)公司，由于其具備網(wǎng)上實時交易的特性，所以它的安全等級要求極高，而根據(jù)該公司曾提及的蠕蟲病毒等網(wǎng)絡(luò)攻擊給其帶來的損失來看，要遠(yuǎn)大于表2提供數(shù)據(jù)。

二、明確電子商務(wù)的強(qiáng)度

在明確一家企業(yè)電子商務(wù)強(qiáng)度的時候，需要考慮的、能支持該公司電子商務(wù)強(qiáng)度的因素如下：

1.信息系統(tǒng)員工崗位是否多樣化

2.是否有合適的電子商務(wù)軟件

3.是否有自己的網(wǎng)站、有多條互聯(lián)網(wǎng)接入

4.是否用信息技術(shù)支持電子通信

5.是否有基于網(wǎng)絡(luò)的B2B、B2C交易

6.是否通過網(wǎng)站進(jìn)行電子數(shù)據(jù)交換

7.是否支持通過直接撥號與供應(yīng)商、消費者進(jìn)行電子數(shù)據(jù)交換

三、安全成本有哪些

花費在安全方面的IT預(yù)算很難確定標(biāo)準(zhǔn)。近來大部分的研究表明，多數(shù)企業(yè)在安全方面花費不足2％的IT預(yù)算。在企業(yè)內(nèi)，系統(tǒng)的可用性、數(shù)據(jù)的完整性和保密性都極度重要，國內(nèi)有些專家呼吁，企業(yè)應(yīng)花費其IT預(yù)算總額的5％用于安全。

事實上，安全方面的預(yù)算支出常常是一個經(jīng)驗值，通過一些基礎(chǔ)數(shù)據(jù)，逐步摸索出一個相對經(jīng)濟(jì)的安全防范成本。安全防范的成本可以被劃分為許多子類，而且不同的企業(yè)差異也很大。

四、計算一個通用的安全投資回報

當(dāng)要計算安全投資回報時，一定要考慮使用一些變量。首先應(yīng)該考慮的是耗費在安全方面的資金量。其次，明確當(dāng)前的威脅水平，或者至少是知道當(dāng)前的威脅大概什么樣。最后，還有法律、法規(guī)和安全的要求，這需要不同類型的組織采取一些有效措施來保護(hù)信息免受攻擊。為達(dá)到合法、合規(guī)的目的，這些組織就需要花費成本，也許會超過平衡點，以此來幫助企業(yè)告知當(dāng)前威脅水平（這點，我們企業(yè)經(jīng)常會接到哈爾濱市網(wǎng)絡(luò)安全管理局定期的網(wǎng)絡(luò)病毒報告）。

在電子商務(wù)企業(yè)中，惡意攻擊對潛在的經(jīng)濟(jì)影響是相當(dāng)大的，這也增加企業(yè)對安全產(chǎn)品和相關(guān)人員的需求。

五、總結(jié)

如果能夠相對清晰地計算你的投資回報，這將有利于你在網(wǎng)絡(luò)安全方面做正確的決定，將擁有一個安全的基礎(chǔ)來進(jìn)行信息共享，可以通過電子商務(wù)來增加你的收入，可以通過提高人員效率來增加企業(yè)利潤。

參考文獻(xiàn):

[1]張寬海:《電子商務(wù)概論》,機(jī)械工業(yè)出版社,2003年

[2]丘曉理:《部屬安全的無線局域網(wǎng)絡(luò)》，摘自《計算機(jī)世界――技術(shù)與應(yīng)用》，2006年第37期

第7篇

【 關(guān)鍵詞 】 電子認(rèn)證；數(shù)字證書；電子簽名；網(wǎng)絡(luò)安全

Status and Trends of the Policy Environment of Certificate Authentication Services Industry

Chen Yue-hua

（China Center for Information Industry Development Beijing 100048)

【 Abstract 】 In recent years, network security attracts much attention.The world's major developed countries, such as United States, Germany, the United Kingdom, have released policies to cope with the growing security threats. Certificate authentication service industry, by confirming the truth and reliability of the network subject and their behavior, is to provide the network security, to maintain the network order, to play an irreplaceable role in reducing online fraud and crime. This paper highlights the 2011 China key policy of certificate authentication service industry, and analyzes policy development trends.

【 Keywords 】 certificate authentication；electronic signature；digital certificate；network security

1 引言

隨著全球信息化的不斷發(fā)展和電子政務(wù)、電子商務(wù)等網(wǎng)絡(luò)應(yīng)用的普及，信息安全問題日益突出。截止到2011年12月底，我國互聯(lián)網(wǎng)普及率已達(dá)到38.3%，身份盜用、交易詐騙、信息泄露等信息安全事件出現(xiàn)頻率不斷提升，嚴(yán)重影響了網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展和社會的穩(wěn)定。據(jù)統(tǒng)計，我國有近1.28億互聯(lián)網(wǎng)用戶遭遇過上述安全事件，據(jù)估計損失超過150億元。導(dǎo)致互聯(lián)網(wǎng)信息安全事件頻發(fā)的一個重要主要原因是缺少全局、有效、易于推廣的網(wǎng)絡(luò)身份信任體系。

電子認(rèn)證服務(wù)作為重要的信息安全保障手段，基于PKI技術(shù)確定網(wǎng)絡(luò)空間中個體的真實身份，建立網(wǎng)上行為與現(xiàn)實空間真實主體的嚴(yán)格對應(yīng)關(guān)系，為實現(xiàn)網(wǎng)上行為的追蹤、管理、取證等提供解決方法和法律保障，在維護(hù)網(wǎng)絡(luò)秩序、減少網(wǎng)絡(luò)欺詐和犯罪、促進(jìn)網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展等方面發(fā)揮著不可替代的作用。

自2005年4月1日《中華人民共和國電子簽名法》頒布實施以來，電子認(rèn)證服務(wù)業(yè)經(jīng)歷了從無到有、逐步壯大的重要發(fā)展時期。行業(yè)政策環(huán)境日益優(yōu)化，為電子認(rèn)證服務(wù)業(yè)發(fā)展提供了良好的契機(jī)。

2 行業(yè)政策環(huán)境日益優(yōu)化，行業(yè)發(fā)展面臨大好機(jī)遇

2.1 電子認(rèn)證服務(wù)業(yè)首個發(fā)展規(guī)劃，為行業(yè)未來發(fā)展指明了方向

近年來，國家對電子認(rèn)證服務(wù)的重視程度日益提高。2011年11月，工業(yè)和信息化部印發(fā)《電子認(rèn)證服務(wù)業(yè)“十二五”發(fā)展規(guī)劃》，這是我國電子認(rèn)證服務(wù)業(yè)的首個規(guī)劃。在全面回顧“十一五”發(fā)展現(xiàn)狀、分析“十二五”形勢的基礎(chǔ)上，規(guī)劃提出到“十二五”末期，“形成覆蓋全國的網(wǎng)絡(luò)身份認(rèn)證服務(wù)體系，基本形成可靠電子簽名認(rèn)證體系，并在數(shù)據(jù)電文可靠性認(rèn)證服務(wù)模式探索方面取得積極進(jìn)展，電子認(rèn)證服務(wù)市場規(guī)模突破80億元”的發(fā)展目標(biāo)，并明確提出健全政策法規(guī)、規(guī)范認(rèn)證服務(wù)、發(fā)展可靠電子簽名和數(shù)據(jù)電文、拓展應(yīng)用市場、開展試點示范、推行分類分級證書策略、加快數(shù)字證書交叉互認(rèn)等重點任務(wù)，為行業(yè)發(fā)展指明了方向。

此外，信息安全產(chǎn)業(yè)、電子商務(wù)等“十二五”發(fā)展規(guī)劃都將電子認(rèn)證服務(wù)作為信息安全保障的重要手段，予以培育和支持。工業(yè)和信息化部的《信息安全產(chǎn)業(yè)“十二五”發(fā)展規(guī)劃》，明確將電子認(rèn)證服務(wù)作為重點發(fā)展的信息安全服務(wù)類別，以滿足信息化建設(shè)對安全可控信息安全服務(wù)的需求。商務(wù)部的《電子商務(wù)“十二五”發(fā)展指導(dǎo)意見》，明確提出支持鼓勵符合條件的第三方機(jī)構(gòu)按照獨立、公正、客觀原則對電子商務(wù)交易平臺和經(jīng)營主體開展認(rèn)證服務(wù)，鼓勵電子簽名、電子發(fā)票在電子商務(wù)中的應(yīng)用。各項與電子認(rèn)證相關(guān)的“十二五”政策文件的出臺，電子認(rèn)證是信息安全服務(wù)的重要構(gòu)成，對于保障電子政務(wù)、電子商務(wù)等領(lǐng)域信息安全具有重要作用。

盡管電子認(rèn)證服務(wù)已經(jīng)獲得較廣泛的應(yīng)用，但社會的認(rèn)知度并不高，各項“十二五”政策文件明確將電子認(rèn)證作為信息安全服務(wù)的重點之一，有利于增強(qiáng)社會各界對電子認(rèn)證服務(wù)的認(rèn)識，對于指導(dǎo)電子認(rèn)證服務(wù)業(yè)發(fā)展、加快網(wǎng)絡(luò)信任體系建設(shè)、推動電子認(rèn)證服務(wù)應(yīng)用普及具有重要的意義。

第8篇

事實上，隨著網(wǎng)絡(luò)技術(shù)的不斷開發(fā)應(yīng)用，人們在工作生活中對網(wǎng)絡(luò)依賴性的不斷提高，針對網(wǎng)絡(luò)的犯罪活動必然不斷攀升，特別是隨著電子商務(wù)的興起和廣泛應(yīng)用，網(wǎng)絡(luò)侵財犯罪也呈高發(fā)態(tài)勢。

與現(xiàn)實生活中的侵財犯罪相比，網(wǎng)絡(luò)侵財犯罪最明顯的特點就是成本低，收益大。這種成本包括兩方面:一個是技術(shù)成本，網(wǎng)絡(luò)技術(shù)說到底只是一種技術(shù)，而不是一門十分高深的學(xué)問，它的入職門檻并不高，一臺電腦、一條網(wǎng)線，只要你有足夠的耐心和技術(shù)，發(fā)現(xiàn)了“芝麻開門”的奇妙咒語，可以說整個世界的財富和秘密都將為你而打開，這也就是為什么很多人如此癡迷于網(wǎng)絡(luò)的原因。另一個是風(fēng)險成本，目前，不只是中國，世界各國的網(wǎng)絡(luò)犯罪破案率都不是很高，這不僅僅是一個技術(shù)水平的問題，主要還有一個犯罪地域的問題。正如這次大連會議上透露出來的信息所說的那樣，“去年以來網(wǎng)絡(luò)安全事件的跨境化特點日益突出，中國遭受的各類網(wǎng)絡(luò)安全事件中有近半數(shù)來自境外”。其實，不要說是跨國犯罪，就是跨地區(qū)犯罪，以我們目前這種分塊管理的治安管控模式來看，想要破獲網(wǎng)絡(luò)犯罪，嚴(yán)懲犯罪嫌疑人也是不容易的。

因此，要扼制網(wǎng)絡(luò)犯罪多發(fā)的趨勢，一方面是提升技術(shù)水平，網(wǎng)絡(luò)技術(shù)無限，網(wǎng)絡(luò)對抗其根本還是技術(shù)的對抗，到底是魔高還是道高關(guān)鍵要看誰玩得更好，增加技術(shù)投入不可缺少。另一方面是提升區(qū)域合作的水平。今年我國公安機(jī)關(guān)的一大戰(zhàn)果是取得了打擊拐賣兒童犯罪的巨大突破，這種突破特別表現(xiàn)在警方跨地區(qū)、跨國境的合作上。打擊網(wǎng)絡(luò)犯罪也是一樣，通過機(jī)構(gòu)調(diào)整，以及管理方式的轉(zhuǎn)變，在合作上取得突破，相信可以遏制目前這種犯罪高發(fā)態(tài)勢。

網(wǎng)絡(luò)犯罪首先當(dāng)然是刑事案件，但同樣不可回避的還有民事問題。電子商務(wù)雙方——電子商務(wù)服務(wù)的提供者和接受電子商務(wù)服務(wù)者，兩者之間形成的是民事合同關(guān)系。一旦出現(xiàn)問題，離不開歸責(zé)分析。就目前我國電子商務(wù)情況看，服務(wù)接受方承擔(dān)的風(fēng)險比較大。且不說在釣魚網(wǎng)站泛濫的現(xiàn)實中，消費者誤入釣魚網(wǎng)站受到損失，只能自認(rèn)倒霉，以花錢買教訓(xùn)來自我安慰，這種責(zé)任分配方式是否合理。只說曾經(jīng)轟動一時的攜程假保單案，消費者最終只獲得了2200元的賠償，這種不合理的賠償，在事實上加了消費者的風(fēng)險，而降低了電子商務(wù)服務(wù)提供者的風(fēng)險。

從一般的歸責(zé)原則上來講，為促進(jìn)電子商務(wù)的發(fā)展，無疑應(yīng)該加大服務(wù)提供者的風(fēng)險，減少接受者的風(fēng)險。服務(wù)提供者，特別是像銀行、證券、保險等這樣的大型企業(yè)，是有足夠的網(wǎng)絡(luò)風(fēng)險防范能力的，它們有高質(zhì)量的團(tuán)隊能夠為其提供安全保障。加大這些企業(yè)的法律風(fēng)險，可以促使它們增加技術(shù)投入，不斷提高技術(shù)水平，從而完善電子商務(wù)的安全性，擴(kuò)大電子商務(wù)的應(yīng)用領(lǐng)域和服務(wù)水平。如果相反，加大服務(wù)接受者的風(fēng)險，在客觀上可能導(dǎo)致電子商務(wù)使用門檻的不斷提升，一些沒有足夠網(wǎng)絡(luò)知識水平和技術(shù)能力的消費者因為害怕風(fēng)險不得不選擇退出電子商務(wù)，重新使用傳統(tǒng)的服務(wù)手段，從而影響了電子商務(wù)的普及和應(yīng)用。

第9篇

隨著現(xiàn)代計算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展，電子商務(wù)得到了越來越廣泛的應(yīng)用，越來越多的企業(yè)和個人用戶依賴于電子商務(wù)的高效和快捷而進(jìn)行著各種商務(wù)活動。電子商務(wù)順利開展的核心和關(guān)鍵問題是保證交易的安全性，這是網(wǎng)上交易的基礎(chǔ)。電子商務(wù)是以計算機(jī)和開放的網(wǎng)絡(luò)為基礎(chǔ)載體的，大量重要的身份信息、金融信息、交易信息都需要在網(wǎng)上進(jìn)行電子的傳輸，電子商務(wù)安全支付問題成為大家共同關(guān)心的問題。伴隨著各種移動終端和無線網(wǎng)絡(luò)的不斷發(fā)展和完善，移動支付在不僅是一個重要的機(jī)遇，同時也帶來了一個重大的挑戰(zhàn)。

2電子商務(wù)及信息安全現(xiàn)狀

近年來，電子商務(wù)開始了蓬勃地發(fā)展，但電子商務(wù)安全隱患嚴(yán)重地影響了電子商務(wù)的進(jìn)行。信息安全問題成為制約我國電子商務(wù)發(fā)展的重要因素還是，因此，必須從技術(shù)上為電子商務(wù)交易活動提供機(jī)密性、完整性、真實性和抗抵賴性等安全保障。我們將從電子商務(wù)和信息安全兩個方面分別進(jìn)行討論。

2.1 電子商務(wù)發(fā)展現(xiàn)狀

依據(jù)國家互聯(lián)網(wǎng)中心（CNNIC）的最新報告，2013年網(wǎng)絡(luò)購物市場繼續(xù)快速向前發(fā)展，交易金額達(dá)到1.85萬億元，較2012年增長40.9%。2013年網(wǎng)絡(luò)零售市場交易總額占社會消費品零售總額的7.9%。

截至2013年12月，我國網(wǎng)絡(luò)購物用戶規(guī)模達(dá)到3.02億，較上年增加5987萬，增長率為24.7%，使用率從42.9%提升至48.9%。網(wǎng)購用戶規(guī)模的快速擴(kuò)張為網(wǎng)購市場的發(fā)展奠定良好的用戶基礎(chǔ)，釋放著巨大的市場潛力。

2.2 信息安全現(xiàn)狀

近年來，雖然安全軟件逐漸普及、防范能力不斷加強(qiáng)，但新的病毒、詐騙手段和騷擾手段不斷涌現(xiàn)，安全軟件防范難度加大，安全事件發(fā)生概率仍然較高。整體上來講，我國信息安全環(huán)境仍不容樂觀，有74.1%的網(wǎng)民在過去半年內(nèi)遇到過安全事件，總?cè)藬?shù)達(dá)4.38億。

電腦網(wǎng)上購物發(fā)生安全問題的網(wǎng)民數(shù)占整體電腦上網(wǎng)人數(shù)的4.0%，影響人口達(dá)2010.6萬人。電腦網(wǎng)上購物發(fā)生安全事故較多的是遇到欺詐信息，在網(wǎng)購安全事故發(fā)生人群中的發(fā)生比例達(dá)75.0%；其次為假冒網(wǎng)站/詐騙網(wǎng)站，比例為60.7%；其它方面，個人信息泄露比例達(dá)42.9%、賬號密碼被盜比例達(dá)23.8%、中病毒和木馬的情況為22.6%。

網(wǎng)購時發(fā)生這些安全事件，不僅給購物者造成損失，同時也影響電子商務(wù)的健康發(fā)展。

3電子支付安全

在電子商務(wù)的交易完成后，如何保證交易的任何一方無法否認(rèn)已發(fā)生的交易。這些安全問題將在很大程度上限制電子商務(wù)的進(jìn)一步發(fā)展，因此如何保證Internet 網(wǎng)上信息傳輸?shù)陌踩殉蔀榘l(fā)展電子商務(wù)的重要環(huán)節(jié)。電子支付涉及到大量資金流的轉(zhuǎn)移以及個人隱私或商業(yè)機(jī)密，而這種支付是發(fā)生在開放性程度非常高的互聯(lián)網(wǎng)上，必須從技術(shù)上為電子商務(wù)交易活動提供機(jī)密性、完整性、真實性和抗抵賴性等安全保降。因此，要對網(wǎng)上安全電子支付提出以下的要求：

（1）交易數(shù)據(jù)的保密性。保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。即，防止信息泄漏給非授權(quán)個人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。電子支付過程主要處理與金融數(shù)據(jù)有關(guān)的信息， 數(shù)據(jù)處理量大，且每筆數(shù)據(jù)都會影響到一定的經(jīng)濟(jì)利益，因此，交易過程中產(chǎn)生的與支付有關(guān)的數(shù)據(jù)應(yīng)該被嚴(yán)格保密， 除交易雙方以及被授權(quán)第三方外，必須保護(hù)支付交易的私密性，同時要防止信息被越權(quán)訪問。

（2）交易數(shù)據(jù)的完整性。完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。即網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。交易數(shù)據(jù)在網(wǎng)絡(luò)上傳輸過程中的完整性和有效性，即發(fā)送方發(fā)出的數(shù)據(jù)與接收方收到數(shù)據(jù)應(yīng)該是相同的、未經(jīng)更改的。

（3）交易數(shù)據(jù)的不可抵賴性。不可抵賴性也稱作不可否認(rèn)性，在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真實地否認(rèn)已發(fā)送信息，利用遞交接收證據(jù)可以防止收信方事后否認(rèn)已經(jīng)接收的信息。

電子商務(wù)交易過程是雙方或者是多方的，其中一方抵賴自己的交易都會給另一方帶來利益損失，因此必須保證交易雙方在交易后都無法否認(rèn)和抵賴。

4電子商務(wù)支付安全中主流技術(shù)

電子支付中交易信息的安全在很大程度上依賴于網(wǎng)絡(luò)信息安全技術(shù)的完善，電子商務(wù)安全是信息安全的上層應(yīng)用， 它包括的技術(shù)范圍比較廣， 主要分為數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù)兩大類。

4.1數(shù)據(jù)加密技術(shù)

加密技術(shù)是保證電子商務(wù)中采用的主要安全措施， 交易雙方可根據(jù)需要在信息交換階段使用。在一個加密過程中有兩個基本元素： 算法和密鑰。加密過程就是根據(jù)一定的算法， 將可理解的數(shù)據(jù)（明文） 與一串?dāng)?shù)字（ 密鑰） 相結(jié)合， 從而產(chǎn)生不可理解的密文的過程， 主要加密技術(shù)是對稱密文加密和非對稱加密

（1）對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密， 即收發(fā)雙方采用相同的密鑰來進(jìn)行加密和解密， 對稱密鑰加密的最大優(yōu)點是加解密速度快， 適合于進(jìn)行大量數(shù)據(jù)加密， 但也存在密鑰管理、困難以及無法進(jìn)行身份鑒別的缺點。

（2）非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密， 每個用戶有一對密鑰：一個用于加密， 一個用于解密， 兩把密鑰實際上是兩個很大的質(zhì)數(shù)， 加解密過程。其中， 加密密鑰（公鑰） 可以在網(wǎng)絡(luò)服務(wù)器、報刊等場合公開， 而解密密鑰（私鑰） 則屬用戶的私有密鑰， 由公開的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實現(xiàn)的。與對稱密鑰加密相比， 采用非對稱密鑰加密方式密鑰管理較方便， 且保密性比較強(qiáng)， 但加解密實現(xiàn)速度比較慢， 不適用于通信負(fù)荷較重的應(yīng)用。

數(shù)據(jù)加密技術(shù)是信息安全的基礎(chǔ)，加密的主要目的是防止信息的非授權(quán)泄露、保證交易信息的保密性、完整性和不可抵賴性的要求。

4.2主流身份認(rèn)證方式

身份認(rèn)證技術(shù)是指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程所應(yīng)用的技術(shù)手段。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng)。

（1）用戶名口令。針對盜取密碼的惡意軟件越來越多

（2）動態(tài)口令。動態(tài)口令也稱動態(tài)密碼，是根據(jù)專門的算法每隔一定時間生成一個與時間相關(guān)的隨機(jī)密碼。用戶進(jìn)行認(rèn)證時候，除輸入賬號和靜態(tài)口令之外，必須要求輸入動態(tài)口令。通過“動態(tài)密碼”登錄的用戶沒有電子簽名，這樣也就沒有具有法律效力的認(rèn)證材料。因此，“動態(tài)密碼”它只適用于金額小的交易，對于金額大、使用頻繁的用戶，其安全性存在一定的風(fēng)險。

（3）數(shù)字證書。數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)（即CA中心）簽發(fā)的證書。它的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性。為解決這些Internet 的安全問題，世界各國對其進(jìn)行了多年的研究，初步形成了一套完 整的Internet 安全解決方案，即被廣泛采用的PKI 技術(shù)（Public Key Infrastructure-公鑰基礎(chǔ)設(shè)施）。公鑰基礎(chǔ)設(shè)施PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。采用基于PKI 結(jié)構(gòu)結(jié)合數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進(jìn)行加密，保證信息傳輸?shù)谋Ｃ苄浴⑼暾裕灻ＷC身份的真實性和抗抵賴。

（4）生物特征識別。生物識別技術(shù)主要是指通過人類生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。由于人的生物特征具有唯一性和穩(wěn)定性的特點，并且可隨身攜帶、不易被盜、不易被偽造、不易丟失，所以生物特征識別成為目前最安全的身份認(rèn)證技術(shù)。但是，生物特征識別通常需要昂貴的專用設(shè)備、受使用環(huán)境限制等缺點，在電子支付中較少采用。

每一種身份認(rèn)證方式都有其優(yōu)勢也存在一定的局限性。動態(tài)密碼以方便便捷且與平臺無關(guān)性，通過電腦、手機(jī)、IPAD都可以使用等優(yōu)點在網(wǎng)銀、網(wǎng)游、電信領(lǐng)域成為電子支付重要的身份認(rèn)證方式，主流產(chǎn)生形式有手機(jī)短信、硬件令牌、手機(jī)令牌等。基于數(shù)字證書的身份認(rèn)證是電子支付中最安全解決方案。但是，需要專用的硬件和客戶支持，使用不如動態(tài)密碼方便快捷，一般用于大額電子交易。

5電子商務(wù)發(fā)展趨勢

依據(jù)CNNIC報告，2014年電子商務(wù)類應(yīng)用整體行業(yè)發(fā)展態(tài)勢良好，手機(jī)支付是亮點。隨著線上與線下渠道的打通及多類移動應(yīng)用的服務(wù)帶動，手機(jī)支付呈現(xiàn)爆發(fā)式增長，手機(jī)網(wǎng)上支付、手機(jī)網(wǎng)絡(luò)購物、手機(jī)網(wǎng)上銀行和手機(jī)網(wǎng)上預(yù)訂應(yīng)用網(wǎng)民規(guī)模年增長速度均超過100%。手機(jī)網(wǎng)絡(luò)購物在移動端商務(wù)市場發(fā)展迅速，用戶規(guī)模達(dá)到1.44億，使用率從13.2%提升到28.9%。

截至2014年6月，我國手機(jī)網(wǎng)民規(guī)模達(dá)5.27億，較2013年底增加2699萬人，網(wǎng)民中使用手機(jī)上網(wǎng)的人群占比進(jìn)一步提升，由2013年的81.0%提升至83.4%，手機(jī)網(wǎng)民規(guī)模首次超越傳統(tǒng)PC網(wǎng)民規(guī)模。

隨著移動電子商務(wù)的普及和發(fā)展，移動支付業(yè)務(wù)受到了越來越多的關(guān)注，而其安全性更是成為大眾關(guān)注的焦點。由于移動終端種類繁雜、使用環(huán)境也更為復(fù)雜、基于數(shù)字證書的身份認(rèn)證和數(shù)字簽名技術(shù)兼容性和成熟度遠(yuǎn)不及PC平臺，并且移動終端本身的安全性問題也給動態(tài)口令等身份認(rèn)證方式帶來了新的安全問題和挑戰(zhàn)。