時間:2023-09-21 16:38:59
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇電子商務安全策略范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
關鍵詞:電子商務;身份認證;防火墻
中圖分類號:TP3 文獻標識碼:A文章編號:1009-3044(2008)30-0559-02
A Brief Analysis on the Security Strategy of E-business
WANG Gai-xiang
(Shanxi Professional College of Finance,Taiyuan 030008,China)
Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.
Key words:E-business; identity authentication; firewall
1 引言
電子商務可以增加銷售額并降低成本的優勢,使得政府與企業都十分重視并推動電子商務的建設和發展。電子商務發展到今天,主要問題在于時空的分離導致了安全問題的出現,信息的安全性是當前發展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業自身情況,充分借鑒以往電子商務系統開發的先進技術和經驗,開發出符合企業特殊的電子商務系統,已經成為目前發展電子商務的關鍵,而安全體系的構建顯得尤為重要。
2 電子商務的主要安全要素
目前電子商務工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基于Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網絡來聯系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現,電子商務交易雙方(銷售者和消費者)都面臨安全威脅,電子商務的安全要素主要體現在以下幾個方面:
2.1 信息真實性、有效性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
2.2 信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
3.3 信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
3.4 信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在1nternet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
3 電子商務安全系統
網絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩定可靠,能不中斷地提供服務。任何系統的中斷,如硬件、軟件錯誤,網絡故障、病毒等都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
所以就整個電子商務安全系統而言,安全性可以劃分為四個層次,
1) 網絡節點的安全
2) 通訊的安全性
3) 應用程序的安全性
4) 用戶的認證管理
其中2、3、4是通過操作系統和Web服務器軟件實現,而網絡節點的安全性依靠防火墻保證,我們應該首先保證網絡節點的安全性。
3.1 網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法 ,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。 應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。
3.2 通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。 目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
3.3 應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。 訪問控制系統中沒有什么可以檢測到這些問題 。只有通過監視系統并尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
3.4 用戶的認證管理
1) 身份認證
電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現的。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
2) CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時進行)。
3) 安全套接層SSL協議
安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
[關鍵詞] 安全體系 加密 數字證書 電子商務 安全交易標準
一、引言
當前的電子商務是指通過電子方式的商務活動。它作為一種全新的業務和服務方式,為全球客戶提供了豐富的商務信息、便捷的交易過程和廉價的交易成本。但是,電子商務給人們帶來方便的同時,也把人們引入安全憂慮之中。買方擔心在網絡上傳輸的信用卡及個人資料被截取;賣方則擔心收到的是被盜用的信用卡號碼,或是交易不認賬等,這些存在的安全漏洞問題已成為阻礙網上交易發展的首要問題。相對于傳統商務,電子商務對管理機制、實施平臺和信息傳遞技術都提出了更高的要求,其中安全體系的構建尤為顯得重要,已成為電子商務能否得到進一步發展和推廣的關鍵所在。
二、電子商務安全體系結構
1.電子商務中存在的安全隱患和威脅
Internet是電子商務實現的網絡基礎,它采用TCP/IP完成不同網絡與不同計算機之間的通信,正是由于這些特點,使它給電子商務帶來了很多的安全問題。Internet的安全隱患主要體現在四個方面。
開放性和資源共享是Internet的主要優點,但它帶來的問題卻不容忽視。因為當甲方在很容易的訪問乙方時,如果沒有采取任何措施,乙方同樣很容易的訪問甲方的計算機。
Internet采用的協議TCP/IP并未采用任何措施來保護傳輸內容不被竊取。它是一種包交換網絡,每個數據包在網絡上都是透明傳輸的,并且可能經過不同的網絡,由路由器轉發到達目的計算機。數據在傳輸過程中可能會遭到IP窺探、同步信號淹沒、TCP會話竊聽、復位與結束信號攻擊等威脅。
Internet底層的操作系統如UNIX,由于源代碼的公開,很容易發現漏洞,給Internet用戶帶來安全問題。
相比較傳統信函,電子化信息就缺乏可信度,電子信息是否準確很難由其本身來鑒別。在Internet上傳遞電子信息時,難以確認信息發送者及信息是否被正確無誤地傳遞給對方。
由于Internet存在上述安全隱患,將給電子商務帶來如下的安全威脅。
由于非法入侵,造成商務信息被纂改、竊取或丟失。
商業機密在傳輸過程中被第三方獲悉,被惡意破壞。
虛假身份的交易對象及虛假訂單、合同。
貿易對象的抵賴。
由計算機系統故障造成的對交易過程和商業信息安全的破壞。
綜上所述,電子商務面臨多方面的威脅,存在許多安全隱患。
2.電子商務的安全性內容
要使電子商務健康、順利發展,必須解決好以下幾種關鍵的安全性要求。
(1)保證信息的保密性和完整性。在交易過程中必須保證信息不被非授權用戶竊取,數據在輸入和傳輸過程中能保證數據的一致性。
(2)不可否認性。它是指信息發送方不可否認已經發送的信息,接收方也不可否認已經收到的信息。
(3)真實性。商務活動交易雙方身份是真實的,不是假冒的,不存在的。
(4)系統的可靠性與內部網絡的嚴密性。在計算機失效、程序錯誤、傳輸錯誤、硬件各種及計算機病毒等潛在威脅下,有容錯處理機制、數據恢復能力,確保系統安全、可靠。對企業內部網絡而言,要保證內部網絡不被入侵。
3.電子商務安全技術體系結構
電子商務的安全技術體系結構是保證電子商務中數據安全的一個完整邏輯結構,如圖所示。其中,下層是上層的基礎,為上層提供技術支持。上層是下層的擴展與遞增。各層相互聯系、相互依賴的構成一個整體。通過不同的安全控制技術,實現各層的安全策略,有效保證了電子商務系統的安全。
三、電子商務的安全技術
1.防火墻技術
防火墻是建立在內外網絡邊界上的過濾封裝機制,內部網絡被認為是安全和可信賴的,而外部網絡(通常指Internet)被認為是不安全和不可信賴的。防火墻的主要目的是防止不希望的、未經授權的通信進出被保護的內部網絡,通過邊界控制強化內部網絡的安全策略。
防火墻的主要技術有包過濾技術、服務器技術、應用網關技術和狀態檢測包過濾技術,現在最常用的是狀態檢測包過濾技術。狀態檢測防火墻對每個合法網絡連接保存的信息包括源地址、目的地址、協議類型、協議相關信息、連接狀態和超時時間等稱為狀態。通過狀態檢測,可實現比簡單包過濾防火墻具有更好的安全性。
2.加密技術
數字加密技術是網絡中最基本的安全技術,主要是通過對網絡中傳輸的信息進行數據加密來保障安全性。利用加密技術,可以將某些重要的信息和數據從一個可以理解的明文轉換為復雜的、不可理解的密文形式,在線路上傳送或在數據庫中存儲,其他用戶再將密文還原為明文。
3.信息摘要
密鑰加密技術只能解決信息的保密性問題,對信息的完整性則可以使用信息摘要技術來實現。信息摘要又稱為Hash算法,是一種單向加密算法,其加密結果是不能解密的。通過Hash算法,得到一個固定長度(128位)的散列值,不同的原文產生的信息摘要必不相同,相同的原文產生的信息摘要必定相同。這樣,通過用接收方產生的摘要與發送方發來的摘要比較,若兩者相同則表示原文在傳輸過程中沒有被修改,否則說明原文被修改過。
4.數字簽名
數字簽名是密鑰加密和信息摘要相結合的技術,用于保證信息的完整性和不可否認性。簽名機制的特征是該簽名只有通過簽名者的私有信息才能產生,即一個簽名者的簽名只能惟一地由他自己生成。當收發雙方發生爭議時,第三方就能根據消息上的數字簽名來裁定這條消息是否由發送方發出,從而實現不可否認服務。
5.數字時間戳
在電子交易中,時間和簽名同等重要。數字時間戳是由專門機構提供的電子商務安全服務項目,用于證明信息發送的時間。
6.數字證書與CA認證
由于電子商務在網絡中完成,互相之間不見面,因此為了保證每個人及機構都能惟一且被準確無誤地識別,就需要進行身份認證。身份認證可以通過驗證參與各方的數字證書來實現,而數字證書是由認證中心(CA)頒發的。
所謂CA(Certificate Authority:證書發行機構),是采用PKI(Public Key Infrastructure:公共密鑰體系)公開密鑰基礎架構技術,專門提供網絡身份認證服務,負責簽發和管理數字證書,具有權威性和公正性的第三方信任機構,其作用就像現實生活中頒發證件的機構。
四、電子商務安全交易標準
要實現安全的電子商務交易,交易雙方必須遵照統一的安全標準協議。當前,電子商務的安全機制正走向成熟,并逐漸形成了一些國際規范,比較有代表性的有安全套接層協議SSL(Secure Sockets Layer)和安全電子交易協議SET(Secure Electronic Transaction)。
1.安全套接層協議SSL
SSL協議是由Netscape公司研制的安全協議,SSL使用加密的方法建立一個安全的通信通道,以使客戶的信用卡號傳送給商家,商家再將其轉發給銀行,銀行驗證后在通知商家付款成功。該協議已成為事實上的工業標準,微軟、IBM公司都提供基于這種簡單加密模式的支付系統。
2.安全電子交易SET協議
SET協議向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。它是由Visa國際組織和MasterCard組織制定的,用于在Internet上進行在線交易時保證信用卡支付安全的開放性安全技術標準。由于得到了微軟、IBM、RAS公司的支持與參與,已成為工業事實上的標準。
SET協議采用了RSA公私鑰加密系統、數字簽名、數字證書認證等技術,保證了支付信息的保密性、完整性和不可否認性。該協議提供了客戶、商家和銀行之間的身份認證,而交易信息和客戶信用卡信息相互隔離,即商家只能獲取訂單信息,銀行只能獲得持卡人信用卡支付信息,雙方互不干擾,各去所需,構成了SET協議的主要特色,使得SET成為電子商務的安全規范。
3.SET、SSL協議比較
(1)SET是一個專門的安全電子支付協議,而SSL本質上是一個網絡安全協議,僅在雙方間建立起安全連接。SET是一個多方的消息報文協議,定義了銀行、商家和持卡人間必須符合的報文規范,它比SSL在交易過程中的信任度更強。
(2)SSL僅有商家的服務器需要認證,客戶端只是選擇性認證;而SET在整個交易過程中都受到嚴密保護,其安全性比SSL高。
(3)SSL協議中若想進行電子商務交易,只需通過瀏覽器實現,設置成本低廉,其交易只要幾十秒就可完成;SET盡管安全性高,但需要專門的軟件來實現,客戶、商家改造成本高,由于交易過程各方之間進行多次加密傳輸,每次交易需要數分鐘。
綜上所述,SSL與SET協議是電子商務中最普遍的兩種安全電子支付協議,各有優缺點。SSL雖然簡單快捷,但隨著電子商務的發展其缺點凸現出來,需采用更先進的支付系統。而SET雖有更強的功能和安全性,但過于復雜,使得大面積推廣還有很大障礙,并且成本昂貴,所以,在未來一段時間里將會是SSL和SET兩種支付方式并存的局面。
五、結論
電子商務的本質是商務,技術是電子商務得以實現的手段。沒有商務需求,技術的研究就失去了應用價值;沒有技術實現,電子商務就不能得以實施,所以技術是電子商務的必要條件。而安全則是實現電子商務技術的前提,也是電子商務的必要條件。解決電子商務的安全問題不是一個單一的技術問題,它是由一系列工作組成,需要從電子商務安全管理、安全技術體系和法律等多方面開展工作和研究。
參考文獻:
[1]胡道元 閔京華:網絡安全[M].北京:清華大學出版社,2006
[2]祝凌曦:電子商務安全[M].北京:北方交通大學,2006.
[3]李曉燕 李福全 郭愛芳:電子商務概論[M].陜西:電子科技大學出版社,2004
[4]何 勝:電子商務中安全支付協議的對比及應用[J].計算機時代,2004(20)
[關鍵詞] 電子商務安全策略信息安全認證
電子商務是在Internet開放的網絡環境下,實現消費者的網上購物、企業之間的網上交易和在線電子支付的一種新型的交易方式。由于電子商務具有高效益、低成本、高效率、范圍全球性等特點很快遍及全世界。電子商務已成為全球經濟最具活力的增長點,它的應用和推廣將給社會和經濟發展帶來巨大的變革和收益。然而,目前全球通過電子商務渠道完成的貿易額仍只是同期全球貿易額中的一小部分。究其原因,電子商務是一個復雜的系統工程,它的實施還依賴于相應的社會問題和技術問題的逐步解決與完善。其中,電子商務的安全是制約電子商務發展的一個關鍵問題。
一、電子商務的安全性需求
有效性:電子商務以電子形式取代了紙張,那么如何保證這種電子形式的貿易信息的有效性則是開展電子商務的前提。因此,要對網絡過障、操作錯誤、應用程序錯誤等所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
1.機密性:電子商務作為貿易的一種手段,其信息直接代表著個人、企業或者國家的商業機密。因此,能否維護好商業機密成為了電子商務全面推廣應用的前提條件。電子商務系統應能夠對公眾網絡上傳輸的信息進行加密處理,防止交易中信息被非法截獲或讀取。
2.完整性:電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、同意問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,在數據傳輸過程中信息丟失、信息重復或者信息傳送的次序差異也會導致貿易各方信息不同。貿易各方信息的完整性將影響貿易各方的交易和經營策略,保持貿易各方信息的完整性是電子商務應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息丟失和重復,并保證信息傳送次序的統一。
3.可靠性:由于網上通信雙方互不見面,所以在交易前必須首先確認對方的真實身份;支付時還要確認對方帳號等信息是否真實有效。電子商務系統應提供通信雙方進行身份鑒別的機制,確保交易雙方身份信息的可靠和合法。應實現系統對用戶身份的有效確認,對私有密鑰和口令的有效保護,對非法攻擊能夠防范,防止假冒身份在網上進行交易。
4.法律性:電子商務系統應有效防止商業欺詐行為的發生。最新《合同法》已確認雙方同意電子貿易的電子檔案為有效書面合同,為產生貿易糾紛雙方提供法律憑證。網上交易的各方在進行數據傳輸時必須攜有自身特有的、無法被別人復制的信息,以保證交易發生糾紛時有所對證,以保證商業信任和行為的不可否認性,保證交易各方對已做的交易無法抵賴,為法律舉證提高有效數據。
審查能力:根據機密性和完整性的要求,應對數據審查的結果進行記錄。
二、電子商務面臨的安全威脅
1.信息在網絡的傳輸中被截獲:攻擊者可能通過互聯網、公共電話網或在電磁波輻射范圍內安裝裝置等方式,截獲機密信息,或通過對信息流量和流向、通信頻度和長度等參數的分析,獲取有用信息,如消費者的賬號、密碼等。
2.傳輸的文件可能被篡改:改變信息流的次序,更改信息的內容,如購買商品的出貨地址;刪除某個信息或信息的某些部分;在信息中插入一些信息,讓收方讀不懂或接受錯誤的信息。
3.偽造電子郵件:虛開網站和商店,給用戶發電子郵件,收定貨單;偽造大量用戶,發電子郵件,窮盡商家資源,使合法用戶不能正常訪問網絡資源,使有嚴格時間要求的服務不能及時得到響應;偽造用戶,發大量的電子郵件,竊取商家的商品信息和用戶等信息。
4.假冒他人身份:冒充他人身份,如冒充領導命令、調閱文件;冒充他人消費、栽贓;冒充網絡控制程序,套取或修改使用權限、密鑰等信息。
5.否認已經做過的交易:者事后否認曾經發送過某條信息或內容;收信者事后否認曾經收到過某條信息或內容;購買者做了訂貨單不承認;商家賣出的商品質量差,但不承認原有的交易。
三、電子商務活動的安全保證
為了滿足電子商務在安全服務方面的要求,除了網絡本身運行的安全外,電子商務系統還必須利用各種安全控制技術保證整個電子商務過程的安全與完整,并實現交易的防抵賴性等。具體實現有以下幾種技術。
1.加密技術是電子商務的最基本的安全措施。在目前技術條件下,加密技術通常分為對稱加密和非對稱加密兩類。
(1)對稱密鑰加密:采用相同的加密算法,并只交換共享的專用密鑰(加密和解密都使用相同的密鑰)。如果進行通信的交易各方能夠確保專用密鑰在密鑰交換階段未曾發生泄露,則可以通過對稱加密方法加密機密信息,并隨報文發送報文摘要和報文散列值,來保證報文的機密性和完整性。密鑰安全交換是關系到對稱加密有效性的核心環節。目前常用的對稱加密算法有DES、PCR、IDEA、3DES等。其DES使用最普遍,被ISO采用作為數據加密的標準。
(2)非對稱密鑰加密:非對稱加密不同于對稱加密,其密鑰被分解為公開密鑰和私有密鑰。密鑰對生成后,公開密鑰以非保密方式對外公開,只對應于生成該密鑰的者,私有密鑰則保存在密鑰方手里。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發送給該公開密鑰的者,而者得到加密信息后,使用與公開密鑰相應對的私有密鑰進行解密。目前,常用的非對稱加密算法有RSA算法。該算法已被ISO/TC的數據加密技術分委員會SC20推薦為非對稱密鑰數據加密標準。
在對稱和非對稱兩類加密方法中,對稱加密的突出特點是加密速度快(通常比非對稱加密快10倍以上)、效率高,被廣泛用于大量數據的加密。但該方法的致命缺點是密鑰的傳輸與交換也面臨著安全問題,密鑰易被截獲,而且,若和大量用戶通信,難以安全管理大量的密鑰,因此大范圍應用存在一定問題。而非對稱密鑰則相反,很好地解決了對稱加密中密鑰數量過多難管理及費用高的不足,也無需擔心傳輸中私有密鑰的泄露,保密性能優于對稱加密技術。但非對稱加密算法復雜,加密速度不很理想。目前.電子商務實際運用中常常是兩者結合使用。
2.防火墻技術是確保基礎設施完整性一種常用方法。它通過在網絡邊界上建立起來的相應網絡通信監控系統來隔離內部和外部網絡,控制進/出兩個方向的通信流。它制定一系列規則來準許或拒絕不同類型的通信,并執行所做的路由決策,以阻擋外部的侵入。目前,防火墻技術主要有分組過濾和服務兩種類型。
(1)分組過濾:這是一種基于路由器的防火墻。它是在網間的路由器按網絡安全策略設置一張訪問表或黑名單,即借助數據分組中的49 地址確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過。防火墻的職責就是根據防問表(或黑名單)對進出路由器的分組進行檢查和過濾,凡符合要求的放行,不符合的拒之門外。這種防火墻簡單易行,但不能完全有效地防范非法攻擊。
(2)服務:是一種基于服務防火墻,它的安全性高,增加了身份認證與審計跟蹤,發現可能的非法行為并提供有力的證據,然后以秘密的方式向網上的防火墻發出有關信息如黑名單等。
3.安全認證技術。目前,僅有加密技術不足以保證電子商務中的交易安全,身份認證技術是保證電子商務安全的又一重要技術手段。認證的實現包括數字摘要技術、數字簽名技術、數字證書技術和智能卡技術等。
(1)數字摘要。采用單向Hash函數對信息進行某種變換運算得到固定長度的摘要,并在傳輸信息時將之加入文件一同送給接收方;接收方收到文件后,用相同的方法進行變換運算得到另一個摘要;然后將自己運算得到的摘要與發送過來的摘要進行比較。這種方法可以驗證數據的完整性。
(2)數字簽名是公開密鑰加密技術的另一類應用。它的主要方式是:報文的發送方從報文文本中生成一個的散列值(或報文摘要)。發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名。然后,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同,那么接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。
(3)數字時間戳(DTS)。交易文件中,時間是十分重要的信息,在書面合同中,文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數字時間戳服務就能提供電子文件發表時間安全保護。
數字時間戳服務是網上安全服務項目, 由專門的機構提供。時間戳是一個經過加密后形成的憑證文檔,它包括需加時間戳的文件的摘要收到文件的日期和時間和DTS的數字簽名。用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要,然后將該摘要發送到DTS,DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密(數字簽名),然后送回用戶。書面簽署文件的時間是由簽署人自己寫上的,而數字時間戳則不然,它是由認證單位DTS來加的,以DTS收到文件的時間為依據。
(4)數字憑證(Digital ID)又稱為數字證書,是用電子手段來證實一個用戶的身份和對網絡資源訪問的權限。在網上的電子交易中,需要雙方出示各自的數字憑證,并用它來進行交易操作。數字憑證的內部格式是由CCITT X.509 國際標準所規定的,包含以下內容:憑證擁有者的姓名、憑證擁有者的公共密鑰、公共密鑰的有效期、頒發數字憑證的單位、數字憑證的序列號。數字證書的使用涉及到數字認證中心CA(Certificate Authority)。
目前,數字憑證有個人憑證、企業憑證、軟件憑證,其中前兩類較為常用。個人憑證(Personal Digital ID):僅僅為某單個用戶提供憑證,用以幫助其個人在網上進行安全交易操作;企業憑證(Server ID):通常為網上的某個電子商務網站服務器提供憑證,使其用來進行安全電子交易。
(5)CA認證。在電子商務系統中,無論是數字時間戳服務,還是數字憑證的發放,都需要有一個具有權威性和公正性的第三方認證機構來承擔。CA正是這樣的一個受信任的第三方。CA用來為用戶簽發證書,提供身份認證服務,是整個系統的安全核心[4]。在非對稱密鑰認證系統中,用戶的簽名密鑰和加密密鑰通常是分開的,而CA只知道用戶的簽名公鑰,這樣就降低了由于CA受到攻擊的危害程度,避免了可信第三方被攻擊則整個系統即陷入癱瘓的嚴重問題。此外,在認證系統中,CA只負責審核用戶的真實身份并對此提供證明,而不介入具體的認證過程,從而緩解了可信第三方的系統瓶頸問題。而且CA只需管理每個用戶的一個公開密鑰,大大降低了密鑰管理的復雜性。這些優點使得非對稱密鑰認證系統可用于用戶眾多的大規模網絡
4.電子商務亟待解決的難題。安全電子商務在如下幾個方面還沒有滿意的結果。
(1)沒有一種電子商務安全的完整解決方案和完整模型與體系結構。
(2)大多數電子商務系統都是封閉式的,即它們使用獨有的技術,僅支持一些特定的協議和機制。
(3)盡管大多數方案都使用了公鑰密碼,但多方安全受到的關注遠遠不夠。沒有建立一種解決爭議的決策程序。
(4)大多數系統都將銷售商的服務器和消費者的瀏覽器間的關系假設為主從關系,不允許用戶間進行直接交易。
(5)大多數系統都限制為兩方,因此難于集成一個安全連接到第三方。
(6)客戶的匿名性和隱私尚未得到充分的考慮。
四、結束語
電子商務的安全涉及技術、管理和法律等廣泛領域。技術上,需要一個有效的計算機網絡安全體系,包括硬件和軟件的全面防范。在管理上要規范電子商務交易行為,制定交易標準和規范;在法律上要建立一套完整的法律體系,為電子商務提供操作依據;同時還要大力加強用戶的安全意識。隨著電子商務的發展,電子交易手段更加多樣化,安全問題會變得更加重要和突出。
參考文獻:
[1]李嵩泉:電子商務安全技術[J].計算機與通信,2004,2:55~59
[2]龔靜:電子商務的安全策略[J].福建電腦,2004,1:52~53
[3]寧厲鋒:電子商務中的安全技術[J].計算機與網絡,2004
[關鍵詞]電子商務,安全技術,安全對策
在電子商務迅速發展的今天,信息網絡技術的應用正日益普及和廣泛,應用層次正在深入。而網絡所具有的開放性、自由性在增加應用自由度的同時,對安全提出了更高的要求。如何建立起一個完善的、實用的、安全的電子商務網站,已成為企事業單位信息化發展中一個急切需要討論的問題。
一、電子商務的安全問題
電子商務的安全問題可以概括為以下幾個方面:
(一)信息泄漏:在電子商務中表現出來的信息泄露主要有兩種,一種是交易雙方進行交易的內容被第三方所竊取:一種是交易一方提供給另一方的文件、資料等被第三方非法使用。(二)篡改:在電子商務中表現為商業信息的真實性和完整性問題。電子的信息在網絡傳輸的過程中,可能被他人非法地修改、刪除或重放.這樣就使信息丟失了真實性和完整性。(三)身份識別:這涉及到電子商務中的兩個問題。1.如果不進行身份識別,第三方就有可能假冒交易方的身份,以破壞交易、敗壞被假冒一方的信譽或盜取被假冒一方的交易成果等。2.“不可抵賴”性。交易雙方對自己的行為應負有一定的責任,信息發送者和接受者都不能對此予以否認。(四)信息破壞:涉及到兩方面內容。1.網絡傳輸的可靠性。網絡的硬件或軟件可能會出現問題而導致交易信息傳遞的丟失與謬誤。2.惡意破壞。計算機網絡本身容易遭到一些惡意程序的破壞,而使電子商務信息遭到破壞。這種情況主要由以下問題引起:①計算機病毒。②計算機蠕蟲。這種程序將會對網絡造成嚴重的損失,甚至會通過過多占用網絡資源的方式來使網絡癱瘓,加上這種程序多數會帶有破壞性指令,因而破壞性更強,它已經由點的破壞向面的破壞開始發展了。③特洛伊木馬。這是一種執行超出程序定義之外的程序,它將會把自己隱藏到安全的程序中,并由此傳播出去。④邏輯炸彈。這是一種當運行環境滿足某種特定條件時執行特殊功能的程序。
二、電子商務的安全技術
電子商務的開展在安全方面上還存在很多問題。面對電子商務中形形的安全漏洞,我們必須要采取相應的方法來保障電子商務活動的安全進行,下面就著重探討了電子商務的安全技術。
(一)虛擬專用網絡:虛擬專用網絡是用于Internet電子交易的一種專用網絡,它可以在兩個系統之間建立安全的通道,是目前相對而言最適合進行電子商務的形式。在虛擬專用網絡中交易的雙方比較熟悉,而且彼此之間的數據通信量很大。只要交易雙方取得一致,在虛擬專用網絡中就可以使用比較復雜的專用加密和認證技術,這樣就可以大大提高電子商務的安全。
(二)加密技術:加密技術是實現信息保密性的一種重要手段,目的是為了防止合法接受者之外的人獲取信息系統中的機密信息。
加密包括兩個元素:算法和密鑰。加密技術的要點是加密算法,一個加密算法是將普通的文本(或者可以理解的信息)與一竄數字(密鑰)的結合,產生不可理解的密文的步驟。密鑰和算法對加密同等重要。密鑰是用來對數據進行編碼和解碼的一種算法。加密算法可以分為對稱加密、非對稱加密和不可逆加密三類算法。對稱加密以數據加密標準(DES,Data Encryption Standard)算法為典型代表,非對稱加密通常以RSA(Rivest Shamir Adleman)算法為代表。對稱加密的加密密鑰和解密密鑰相同,而非對稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密。通過對數據進行加密,可以使在網絡上傳播的信息對非法用戶來說是無意義的,因此,雖然信息在網絡上易被非法接收,但是由于被加密,也就保證了信息的隱秘性。
(三)數字簽名技術:數字簽名以數字加密技術為基礎,是數字加密技術的一種應用方式。其核心是采用加密技術的加、解密算法來實現電子信息的數字簽名。對于電子商務中的業務款項如何分辨其真假,則需要數字簽名技術來確認其交易或結算雙方的真實身份及電子貨幣的可靠性。數字簽名的防欺詐性、防更改性及確認功能是電子商務系統的一個重要安全技術。數字簽名是公開密鑰技術的另一類應用,它的主要方式是:信息的披露方從信息文本中生成一個128位的散列值,并且用自己的專用密鑰對這個散列值進行加密.來形成披露方的數字簽名:關聯方首先從收到的信息文本中計算128位的散列值,接著再用披露方一同發來的公開密鑰來對數字簽名進行解密,如果兩個散列值相同,那就可確認該數字簽名是披露的。通過數字簽名技術能夠實現對原始信息和關聯方身份的鑒別,有一定的公正及較好地防范關聯方和非關聯方的道德風險。
(四)認證技術:所謂認證,就是通過認證中心對數字證書進行識別。認證分為實體認證和信息認證,這里的實體是指個人、客戶程序或服務程序等參與通信的實體。實體認證是指對這些參與通信實體的身份認證。對用戶身份的認證,密碼是最常用的,但由于許多用戶采用了很容易被破解的密碼,使得該方法經常失效。信息認證是指對信息體進行認證,以決定該信息的合法性。信息認證發生在信息接收者收到信息后,使用相關技術對信息進行認證,以確認信息的發送者是誰,信息在傳遞過程中是否被篡改等。身份驗證是對進入電子商務信息系統網絡的用戶進行身份合法性的整別,主要通過所掌握的特有信息對探訪者進行驗證。目前,數字簽名和認證是網上比較成熟的安全手段,而我國大多數企業尚處于SSL協議應用階段,在SET協議的應用試驗剛剛成功,而要完全實現SET協議安全支付,則必須有一個CA認證中心。
(五)防火墻技術:在計算機領域,防火墻是指一種邏輯裝置,用來保護內部的網絡不受來自外界的侵害。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。防火墻是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡地互聯環境中,尤其以接人Internet網絡最甚。防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之問的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它主要用于實現網絡路由的安全,這主要包括兩個方面:①限制外部網對內部網的訪問,從而保護內部網特定資源免受非法侵害;②限制內部網的訪問,主要是針對內部一些不健康信息及敏感信息的訪問。目前防火墻的主要有網絡層防火墻、應用層防火墻和雙端主機防火墻等。網絡層防火墻是一個屏蔽的路由器,經檢查后最終決定是批準進入或拒絕請求,并將信包引導往內部的適當的接收點。這種防火墻成本較低但安全性亦相對來說亦比較差。應用層防火墻的主要構成由服務器端程序和客戶端程序,它通過執行登錄或對信息的認證使系統的訪問與保密關系更加完善。更加設置了日志及審計方式以監控各方發送的登錄和任何未經授權的活動,并將那些未授權的登錄情況告訴網絡管理者或安全小組。雙端主機防火墻只設有兩個防火墻出口,一端對互聯網上的請求過濾,而另一端提供訪問到某部門的局域網之安全信道。
論文摘要:電子商務安全問題已成為制約電子商務發展的重要問題,安全問題包括電子商務交易安全、計算機網絡安全等顯性的問題,還包括管理、法律和標準等方面的隱性問題。通過對電子商務安全體系的分析,研究電子商務安全策略,建立一個安全電子商務環境,將促進電子商務健康快速地發展。
電子商務是一個跨國界,跨地區,跨行業的多種技術綜合集成與不同社會經濟文化背景形成的各種習俗不斷沖突,不斷協調和不斷統一的綜合性社會系統工程。電子商務安全策略保障電子商務各個主體的切身利益。電子商務安全策略是以人為本,從各主體的角度思考,綜合協調了各個市場主體的行為,從根本上保障了消費者、企業、電子商務網站等市場主體的切身利益,它為實現電子商務提供了統一的基礎平臺和安全屏障。
一、電子商務安全技術保障策略
安全技術保障技術是電子商務安全體系中的基本策略,目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有以下幾種:
1.密碼技術。密碼技術包括加密技術和解密技術。加密是將信息經過加密密鑰及加密函數轉換,變成無意義的密文。而解密則是將密文經過解密函數、解密密鑰處理還原成原文。密碼技術是網絡安全技術的基礎。
2.身份驗證技術。電子商務主體向系統證明自己身份,并由系統查核該主體的過程,是確認真實有效身份的重要環節,這個過程叫作身份驗證。常用的驗證技術有報文鑒別、身份鑒別和電子簽名。
3.訪問控制技術。訪問控制是指對電子商務網絡系統中各種資源訪問時的權限確認,防止非法訪問。它包括有關的策略、模型、機制的基礎理論與實現方法。
4.防火墻技術。防火墻是用一組網絡設備來加強一個網絡與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾、應用、電路網關。
二、企業電子商務安全運營管理制度保障策略
企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定,是保證企業取得電子商務成功的基礎,是企業電子商務人員工作的規范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統維護制度、數據備份制度等。
1.人員管理制度 人員管理制度主要從人員的選拔,工作責任的落實和安全運作必須遵循的基本原則制定相應的工作制度。
2.保密制度 電子商務系統涉及企業的市場、生產、財務、供應鏈等多方面的機密,這些方面都是需要很好地劃分信息安全級別,并確定安全防范重點,提出相應的保密措施。
3.跟蹤審計制度 跟蹤制度就是要求企業建立網絡交易的日志機制,來記錄網絡交易的全過程。而審計制度是對系統日志的經常檢查、審核,及時發現對系統有安全隱患的記錄,監控各種安全事故,維護和管理系統日志。
4.網絡系統的日常維護制度 網絡系統的日常維護包括硬件的日常維護和軟件的日常維護,硬件維護主要是對網絡設備服務器和客戶機以及通信線路進行定期規范地巡查、檢修;軟件維護主要是規范地對支撐軟件的定期清理和整理、監測、處理特殊情況以及對應用軟件的升級等。
5.數據備份制度 數據備份主要是利用多種介質對信息系統數據進行存儲,定期為重要信息備份、系統設備備份,并定期更新,以減少安全事故發生時造成的損失。
三、電子商務立法策略
電子商務安全得到法律保障,首先必須完善電子商務安全相關的法律。如何構建一個有針對性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。
轉貼于
1.立法目的 電子商務安全立法的目的主要是要消除電子商務發展的法律障礙;消除現有法律適用上的不確定性,保護合理的商業行為,保障電子交易安全;建立一個清晰的法律框架以統一調整電子商務的健康發展。
2.立法范圍 電子商務安全方面需要的法律法規主要有:市場準入制度、合同有效認證辦法、電子支付系統安全措施、信息保密防范辦法,知識產權侵權處理規定、以及廣告的管制、網絡信息內容過濾等;電子商務調整的對象是電子商務中的各種社會關系。
3.立法途徑 電子商務法律仍然是調整社會關系,所以應當繼承傳統立法的合理內核,尤其是基礎價值觀。具體的立法途徑主要是兩種:第一是制定新的法律規范。對于傳統法律沒有規定的,即由電子商務帶來的新的社會關系,應盡快制定法律規范;第二是修改或重新解釋既定的法律規范。對于傳統法律的規定不明確,或與電子商務新型社會關系有沖突甚至存在缺欠的,可以修改或重新解釋既定的法律規范。
四、政府監督管理策略
電子商務本質是一種市場運作模式,市場的正常健康有序地發展,必須有政府宏觀上的監督與管理,以協調和規范各市場主體的行為,宏觀監督與管理電子商務運行中的安全保障體系。
1.計算機信息系統安全管理 計算機信息系統,是指“由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。”計算機安全保護規范主要有計算機安全等級保護制度,計算機系統使用單位安全負責制度,計算機案件強行報告制度,計算機病毒及其有害數據的專管制度與計算機信息安全專用產品銷售許可證制度。對計算機信息系統安全的保護,有利于保障國家的安全和社會安定,促進電子商務的安全交易過程,有利電子商務的健康發展。
2.網絡廣告和網絡服務業管理 由于網絡的開放性,自由性等特征決定了網絡廣告監管的難度,虛假廣告、廣告充斥著網絡空間,網絡廣告已經發展成為一個社會問題。網絡廣告管理應該從三個方面入手:第一,網絡廣告組織的管理,必須對網站廣告經營主體資格進行管制,第二,規范網絡廣告內容,確保廣告內容的真實性、合法性和科學性。第三,需要有具體的廣告審查管制、評估與監測部門。
國家針對網絡服務業和網絡用戶管理已經頒布了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》,其中提出了詳細具體的限制條件。但是,網絡飛速發展,面對網絡中的新問題,還必須進一步深入全面地研究。
3.認證機構管理 認證機構是電子商務活動中專門從事頒發認證證書的機構,對電子商務交易活動順利進行,電子商務活動中交易參與各方身份和信息認定,維護交易安全具有重要作用。對認證機構的管理主要是通過對設立的條件、撤消或者頒發許可證等營業資格而進行審批監督;同時,還要針對其資產和財務狀況定期審查,以免發生財務危機,對其信息披露與保密情況、安全系統運行情況等方面進行不定期或定期監督檢查。
4.加強社會信用道德建設,構建和諧安全電子商務 電子商務安全問題其中有很大部分是由電子商務用戶或從業人員的信用道德問題引發的,在我國尤其嚴重,甚至大家感嘆電子商務在我國“水土不服”。對于新型的商業運作模式,必然存在不少漏洞,這需要廣大電子商務市場主體有良好的電子商務道德意識。除了從法律上采取措施,更重要的是政府要加強電子商務市場主體自身的道德建設,加強輿論監督和企業自律,充分利用網絡新聞輿論監督,消費者輿論監督和行業協會的管理監督。
五、結束語
電子商務安全不僅涉及到電子商務公司、企業、消費者的利益,而且更加廣泛地涉及經濟、政治、國防、文化等諸多方面,關系到國家的安全、主權和社會的穩定。電子商務安全策略確保電子商務的快速、健康地發展。電子商務安全是目前電子商務發展的瓶頸,只有解決了電子商務安全,保障了市場主體的利益,才能得到網絡用戶的認可和參與,電子商務自身也才能得到快速、健康地發展。
參考文獻
[1]林寧,吳志剛.我國信息安全技術標準化現狀[J].中國標準化,2007(4)
[2]胡艷春.電子商務網站建設中的安全問題研究[J].商場現代化,2006,(10)
1電子商務安全涵蓋的內容
1.1計算機網絡安全計算機網絡安全,其中主要包括計算機網絡設備安全、計算機網絡系統安全以及數據庫安全等。關于網絡安全方面的基本特征,具體表現在計算機網絡技術層面。對計算機網絡安全本身存在的安全問題,實施網絡安全的增強方案,確保計算機網絡自身的安全性并將其作為基本指標。威脅計算機網絡安全的因素很多,其中分為自然因素和人為因素,其中人為因素是最主要的因素,主要是指不法之徒利用網絡存在的漏洞盜非法獲取重要的數據、篡改數據、破壞硬件設備、制造病毒等。
1.2電子商務交易安全電子商務交易安全圍繞貿易雙方在進行交易過程中存在的諸多安全因素。在計算機網絡安全基礎之上,確保電子商務交易過程的順利開展,努力實現電子商務的保密性、完整性、不可否認性、不可抵賴性以及不可偽造性。
2電子商務安全面臨的威脅
電子商務安全方面面臨的威脅主要有:
2.1泄露信息電子商務在交易期間,黑客或外來入侵者運用各種技術手段獲取銷售信息或商業機密,這就會使系統資源失竊。在電子商務中經常發生的就是系統信息泄露,如2012年當當網賬戶集體被盜事件就是由于用戶信息被非法泄露造成的。
2.2身份仿冒在電子商務中,第三方假冒合法身份與他人發生交易,進行信息欺詐和信息破壞,進而獲取非法的利益。主要表現有:冒充賣家或買家,使賣家名譽受損或使買家財產受損。其中較為典型的案例有2014年有一小伙在微信上假冒他人推銷名牌山寨手機,在十幾天時間內就有6名受害人上當。
2.3木馬威脅許多黑客工具可以進行遠程控制、檢查以及監控目標用戶的信息,能夠使目標設備與用戶的合法設備一樣,向網絡方面發送信息,具有一定的欺騙性。黑客可以運用網絡下載的木馬程序,進行對電子商務當中的交易信息的竊取以及數據的修改等。木馬工具能夠通過電子郵件的方式,被安裝到目標用戶的電腦終端,修改電腦中涉及到的文件與數據等。這種程序在進行電子商務的開展中,嚴重地影響雙方的正常交易,并且由于對該病毒的防治方面存在一定的欠缺,造成電子商務系統數據以及交易內容受到木馬威脅。木馬威脅中常見的威脅有假冒類木馬、含木馬短信、二維碼病毒、惡意插件等。在手機客戶端的安全中,惡意APP引發的資金賬戶風險是其中很大的安全問題。
2.4篡改信息電子商務中交易的信息在傳輸過程中,可能會被不法之人非法地進行修改、刪除,造成信息失真、不完整。
2.5交易抵賴有些用戶通過對自己發送的信息進行惡意否定,推卸責任。交易抵賴現象主要體現在以下狀況中:者否定所發送的信息,接收者否認接受過的信息,購買者否認訂過的訂單,商家出于售出商品的質量問題而否認交易。
3電子商務安全技術
針對電子商務存在的安全威脅所采取的應對措施主要有:
3.1防火墻在網絡安全中的一道屏障就是防火墻,因此在電子商務中必須要安裝防火墻來保障交易中的安全。防火墻一般是在外部網絡和內部網絡之間放置的,可以防止未經授權的通訊進出能夠得到保護,它是一種對邊界進行控制進而使內部網絡得到強化的政策。防火墻主要有五大功能:(1)對進出口網絡的數據進行過濾。(2)對進出網絡的訪問行為進行管理。(3)對某些未授權的行為進行封堵。(4)將通過防火墻的信息內容和活動記錄下來。(5)檢測和警告所受到的網絡攻擊。防火墻對于外部的網絡攻擊可以進行有效的保護,但卻毫無能力抵御來自內部網絡的攻擊。在電子商務安全中若只是運用防火墻技術來保障是遠遠不夠的,還必須要運用其他技術和手段。
3.2計算機病毒技術在電子商務中進行的交易是十分廣泛和開放的,這就導致在交易中易被病毒攻擊。為了避免病毒攻擊就要在電腦中安裝病毒軟件,并定期對電腦進行殺毒、更新軟件。對硬件設備的管理與維護一般是在交易時安裝網管軟件,網管軟件在對硬件進行維護時還能對日志或臨時性的文件進行清理,并對服務器的活動和用戶注冊情況進行檢驗,以便于電子商務系統可以穩定。
3.3數據加密技術加密技術指使用代碼或密碼對重要的信息進行加密后再進行傳送或存儲,其他用戶在使用時再進行解密,這就可以很好地保障數據信息的安全性。在電子商務中安全技術的基礎就是信息加密技術。數據加密技術一般分為對稱加密和非對稱加密。對稱加密,其做法是信息的發送方將信息加密,接收方收到信息后再對信息進行解密,這一方法的主要特點是加密和解密中的密匙是同一個,其中最為典型的代表案例就是美國國家安全局的DES。這種方法使用起來較為簡單,加密和解密速度很快,主要針對大量信息進行加密。非對稱加密。這種方法在使用中主要是使用不同的密匙對信息進行解密,通信雙方都擁有兩把密匙,即一把公匙和一把密匙。其中公匙是公開的,密匙則自己保管。信息用公匙加密后,要想解密只能使用密匙。這種方法中典型的案例是RSA算法,但是這種算法加密和解密都需要進行兩次,處理和計算量較大,加密和解密速度較慢,因此只針對少量數據進行加密。
3.4安全認證技術安全認證技術主要是對信息進行認證,保證信息在通信中的真實性。主要包括安全認證技術和安全認證機構兩方面。安全技術認證有數字摘要、數字信封、數字簽名、數字證書等。能夠承擔網上安全交易認證服務的就是電子商務認證中心,在這個認證中心可以簽發數字證書,能夠確認用戶的身份。
3.5安全認證協議在電子商務中應用最為廣泛的安全認證協議主要有安全套接層SSL協議和安全電子交易SET協議。SSL協議主要是用于銀行與企業或企業與企業間的電子商務,SET則是為持卡消費、網購等電子商務服務的。SET協議認證體系較為完善,可以進行多方認證,可以提供更為可靠的安全保障。使用SET協議期間,賣家是無法看到用戶的賬戶信息的,而對于用戶訂購的具體內容銀行也是不清楚的。
3.6不輕易打開網站鏈接不輕易打開網站鏈接主要是針對身份仿冒問題的。為了防范這種騙局,對于不信任的網站、別人發來的鏈接,我們都不要輕易去打開,以免被不法之徒利用從而發生賬戶信息泄露等問題。
4安全管理策略
除了運用上述技術來保證電子商務系統的安全外,電子商務平臺還還必須要有嚴格的內部安全機制,以此杜絕2012年發生的一號店員工泄露用戶信息類似事件。內部安全機制可以從以下幾方面來建立:
4.1人員權限電子商務系統的所有人員,必須按照其職責范圍對其權限進行設定,對于不屬于自己職責范圍的,沒有權限進行訪問。
4.2管理原則安裝分級進行管理,對于電子商務中內部用戶帳戶和密碼必須嚴格的管理,要進行嚴格的身份確認后才能進入系統。
4.3工作記錄要建立網絡安全的維護日志,對與安全相關的所有信息進行記錄,以便發生突發狀況時可以進行查詢,并要對工作記錄定期地檢查,這樣就可以及時發現存在的安全隱患。
4.4信息備份對重要的信息、數據進行備份,在備份后針對不同數據信息的重要程度,對此再進行加密處理。
5結論
1電子商務中信息安全的檢驗
電子商務的檢驗可以從以下四個方面進行比較:(1)完整性。交易的成交需要信息的完整,不能隨意修改、重復發送信息。(2)保密性。電子商務中交易能夠正常進行的基礎就是信息一定要保密。(3)可用性。交易雙方提供的信息必須為有效的可用信息。(4)可靠性。必須有一個安全的交易系統,并且保證交易雙方提供信息的可靠性。只有信息安全了,電子商務才能真正的發揮它的作用
2電子商務的各種問題
2.1電子商務有可能存在損害消費者權益的虛假信息
在電子商務方面,如“天貓”和“淘寶”等就是最具代表性的網站。當今電子商務的第一人非馬云莫屬,他將各行各業的賣家都集中在“淘寶”上,由顧客對自己要買的產品進行對比,最后選擇合適的商家進行交易,同時為了交易的方便進行,他增加了支付寶支付功能,極大地方便了消費者的購物流程。他將傳統的交易方式變成了這種虛擬的電子商務。這種交易方式極大地方便了人們的經濟生活,而且相比于實體店的商品,網上的更加便宜,給消費者帶來了真正的實惠,但是由于消費者看不到網店的實際商品,只能通過圖片或者文字來獲取信息,很多黑心商家利用這點出售假冒商品,給消費者帶來很大的經濟損失。
2.2電子商務管理的不規范性
隨著時代的發展,互聯網成為人們生活中不可缺少的一部分,同時也推動了電子商務的發展,嚴重影響了以前的傳統商業模式,造成了整個商業模式的變化,所以有越來越多的人在關注電子商務,但是對于電子商務的信息安全問題,卻很少提及,國家也沒有個統一標準,所以造成了交易過程中的各種不規范。同時由于我國沒有在網絡方面進行立法,人們在互聯網上想干什么就干什么,造成的網絡安全問題越來越多,嚴重的破壞了普通民眾上網的網絡環境。所以我國應該針對網絡安全問題制定相關的法律,對電子商務進行宏觀控制,完善電子商務的交易方式和操作模式,減少消費者的損失,維護人民的權益。
2.3信息存儲安全性比較弱
我國的互聯網發展起步較晚,雖然發展的比較迅速,但對與互聯網的技術和水平掌握的比較少,所以容易受到攻擊破壞。而對電子商務中信息的存儲威脅最大的形式主要有兩個,一個就是“非授權用戶修改”,另一個是“查看信息”。當企業連接上互聯網后,電子商務操作過程中如果一些環節出現問題,便會對企業造成很大的影響,使企業受到外部和內部的兩重威脅。外部威脅指的是企業以外的人員(如黑客)等攻擊了企業的網絡,入侵了內部網絡,在未經授權的情況下私自篡改了電子商務信息,竊取了企業和客戶的信息,造成相當大的損失。內部威脅指的是企業內部的人員在沒有獲得授權的情況下私自修改了信息,比如最近新聞上熱議的“各大銀行客戶的銀行存款莫名其妙被轉走”,經過調查,是由于內部人員私自篡改了信息,將用戶儲蓄的存款轉移了。
3改進方法
3.1加強安全意識
無論是建立和完善相關的電子商務信息安全的法律還是加強網絡基礎設施的建設,或者是提高網絡技術水平,都是從外部環境方面著手,只有提高用戶的網絡安全知識,加強用戶對信息的保密意識下能從內部解決信息安全問題。外部環境的不斷加強和完善使得網絡環境固若金湯,使得不法分子很難入侵成功,所以他們只能轉移目標,從使用的用戶入手,從內部入侵,盜取個人賬號,獲得管理員的權限來竊取電子商務信息,給用戶造成極大的損失。所以提高用戶所掌握的安全知識,加強用戶的保密意識也是相當重要的。
3.2提高并掌握高端技術
電子商務有利有弊,在推動社會進步,給大家帶來更多方便的同時,同樣的也存在著許多問題和隱患,對我國國家信息安全是個很大的考驗,也增大了個人信息泄露的機會,但是不能因為有問題就不發展,那樣永遠不會進步,所以如何解決這些問題就是現在的重中之重。因此國家應該更加重視網絡技術,增加對網絡技術的支持,不斷的引進國外的先進技術和設備,重點培養一些具有網絡安全技術方面的人才。加強我國的網絡安全建設要重點研究以下技術:(1)防火墻技術。可以阻止非法入侵,從源頭刪除掉一些不安全的協議領域。(2)數據加密技術。對文件、數據及口令等信息進行加密,使的這些信息不會被隨便損壞。(3)身份識別技術。運用身份識別技術對雙方進行嚴密的核實,確定所發信息是否完整。(4)防病毒技術。防止病毒進入信息安全系統,使內部安全系統遭到損壞,造成信息的泄露以及不必要的損失。而且我國電腦的系統軟件的核心技術以及中央處理器等核心部件都是從國外進口的,信息的安全性沒辦法保證。因此我國的網絡安全基礎設施也是必須要加強的。只有從內部和外部兩方面著手,才能從根本上解決我國電子商務信息安全方面的問題。
3.3對網絡安全進行立法,提供法律依據
對網絡安全以及電子商務安全進行立法,明確規定相關法律,對網絡安全及電子商務安全提供法律依據,用法律來保護網絡的安全。同時我國也要設立專門的行政部門對電子商務進行統計的管理和監督,行政部門和相關法律政策相結合,加強對商家的審核,嚴厲打擊假冒偽劣產品,對商家進行嚴厲的批評和適當的罰款,并進行應有的法律教育,提高其遵紀守法的意識,加強職業操守,為當今社會的電子商務創造良好的環境,使電子商務能夠有序的進行。對于構建社會主義和諧社會有很大的推動作用。
4結語
總而言之,隨著經濟和社會的不斷發展和進步,互聯網越來越成為人們生活中不可缺少的一部分,電子商務也必將取代傳統商務模式,成為將來購物的主要形式。但是電子商務發展過程中也存在著很多問題和隱患,其中問題最嚴中的就是信息安全問題,通過對電子商務發展中的各種問題進行解析,并且找出相對應的解決辦法,是做好電子商務信息安全的必要選擇,也是做好網絡安全的必要選擇,同時也是做好國家信息安全的必要選擇。
作者:鄧志龍 單位:陜西青年職業學院
參考文獻:
[1]馬偉.新時期計算機電子商務的安全策略分析[J].中國商貿,2013(18).
[2]劉秀平,武守勇.淺析計算機信息安全策略的維度思考[J].無線互聯科技,2013(04).
[關鍵詞] 電子商務SSL瀏覽器客戶端服務器數字證書CA
一、 引言
隨著計算機網絡技術的飛速發展,電子商務開始蓬勃發展起來,通過Internet進行的網上購物、在線交易、網上銀行等業務雖然為人們的工作和生活提供了極大的便利。但是,由于Internet本身具有的開放性、靈活性、共享性等特點,也為信息安全帶來了巨大威脅。所以,電子商務的安全問題是事關能否正常開展電子商務的首要問題。
目前,世界上提出了很多加強網上交易安全性的協議,如SSL、SET等。由于SET協議非常復雜,實現比較困難,而且執行效率比較低,所以目前大部分網上交易都是采用SSL協議來實現。當前,網上銀行等大型電子商務交易系統一般都采用HTTP和SSL相結合的方式,即在服務器端采用支持SSL的WWW服務器,在客戶端采用支持SSL的瀏覽器,雙方共同協作來實現安全的網絡通信。
二、SSL協議的介紹
安全套接層協議(Secure Sock Layer Protocol,簡稱SSL)是在電子商務發展初期發展起來的,最早由Netscape公司設計開發,它是在TCP/IP上實現的一種安全協議,其采用了不對稱加密技術。它為C/S(客戶端/服務器)通信安全提供面向連接的機制,建立安全通道,通過在安全通道上傳輸信用卡卡號的方式,可以構建電子商務支付系統。SSL安全通道能使客戶端/服務器應用之間的通信不被第三者竊聽,并且始終對服務器進行身份認證,還可選擇對客戶端進行認證。目前,大部分Web瀏覽器(Netscape Navigator和Microsoft IE)和Web服務器都已內置了SSL協議,SSL已成為在電子商務中應用最廣泛的安全協議之一。
SSL協議要求建立在可靠的傳輸層協議(例如:TCP)之上。SSL協議的優勢在于它是與應用層協議獨立無關的。高層的應用層協議(例如:HTTP,FTP,TELNET)能透明地建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成了加密算法、通信密鑰的協商以及服務器認證工作。應用層協議所傳送的數據都會被加密,從而保證通信的機密性。
SSL協議主要由SSL記錄協議和SSL握手協議兩部分組成。
1.SSL記錄協議。SSL記錄協議位于SSL協議的底層,用于封裝上層的協議。其規定了會話中傳遞的所有數據項的基本格式,提供壓縮數據、生成數據的完整性校驗值(MAC)、對數據進行加密、標示數據長度、填充、流水作業號,并支持不同的加解密和雜湊算法。
2.SSL握手協議。SSL握手協議使得服務器和客戶端能夠相互認證對方的身份、傳送所需的數字證書、建立所需的會話密鑰。SSL握手協議是較SSL記錄協議更高層的協議,必須先執行握手協議后,才可能實現SSL記錄協議中的加密和完整性校驗。SSL協議通過在應用程序進行數據交換前交換SSL初始握手信息來實現有關安全特性的建立。SSL握手過程一般分為4個階段:
(1)建立安全能力:該階段是用來初始化邏輯連接,并建立與之相關的安全能力。交換在客戶端發起,客戶端發送Client_hello消息,并包含以下數據(SSL版本、初始隨機參數、會話ID、密碼組參數、壓縮方法),在發送了Client_hello消息之后,客戶端將等待包含與Client_hello消息參數一樣的Server_hello消息。
(2)服務器身份認證和密碼交換:服務器發送自己的數字證書給客戶端,該證書帶有證書授權中心(CA)的數字簽名和服務器的公鑰以及其數字簽名,可以證明自己的合法性,然后開始密鑰交換。如果服務器要求認證客戶端,則要請求客戶端數字證書。該階段以Hello消息段結束,之后服務器等待客戶端的響應。
(3)客戶端認證和密鑰交換:在這一階段,客戶端認證服務器數字證書的合法性。如果服務器要求客戶端的數字證書,客戶端應提供其數字證書,供服務器認證客戶端的合法性。此外,還要發送交換密鑰。
(4)完成:該階段完成安全通道的建立,該消息并不被認為是握手協議的一部分,而是改變密碼規格協議發送的。至此,客戶端和服務器完成了握手協議,可以開始交換應用層的數據了。
三、SSL協議在服務器上的應用
實現SSL協議,首先要在服務器上加裝SSL,其步驟為先在“Internet服務管理器”的“識別碼管理器”上填入網站的相關信息,以它為內容產生一組公鑰,識別碼管理器還會將以上信息都寫入文件,接下來就可以用這份數據向證書授權中心(Certification Authority)申請SSL服務器數字證書了。CA是一個公開而且公正的組織單位,其專門負責受理數字證書的核準,發放,注銷等管理工作(例如:VeriSign)。不同的CA有不同的申請方法。當申請好數字證書后,選擇識別碼管理器下的安裝識別碼認證,輸人密碼和數字證書文件的位置,就把數字證書安裝好了。然后就是指定哪些頁面需要用到SSL功能,打開Internet服務管理器,單擊所要設置的頁面目錄后按右鍵,單擊“屬性”,再選擇“目錄安全設定”下“安全通信”,按下編輯按鍵后在“當存取這個資源必須使用安全通道”選項上打上勾,表示當客戶端存取這個目錄時就會激活SSL功能。
服務器通過SSL服務器數字證書的兩個必要功能來建立電子商務信任體系。SSL服務器數字證書的兩個必要功能是:
1.SSL服務器認證:服務器數字證書允許用戶確認Web服務器的身份。Web瀏覽器自動檢查服務器數字證書和公共ID是有效的并已經被CA(如:VeriSign)所,包括在可信任的內嵌于瀏覽器中的CA列表。SSL服務器認證對安全的電子商務交易是至關重要的。例如,用戶通過網絡發送信用卡號并想校驗接收服務器的身份。
2.SSL加密:SSL服務器數字證書建立了一個安全通道,在用戶瀏覽器和Web服務器之間傳送的所有信息由發送軟件加密、接收軟件解密,從而保護私有信息不被第三方所竊取。
四、SSL協議在客戶端的應用
1.客戶連接一個站點和訪問一個安全的URL,即受服務器ID所保護的網頁。
2.客戶的瀏覽器自動向服務器發送瀏覽器的SSL版本號、密碼設置、產生的隨機數和服務器需要和客戶用SSL通信的其他信息。
3.服務器做出反應,自動向瀏覽器發送站點的數字證書,包括服務器的SSL版本號、密碼設置等等。
4.客戶的瀏覽器檢查包含在服務器數字證書中的信息并校驗。
(1)服務器數字證書是否有效,日期是否有效。
(2)服務器數字證書的CA是否被可信任的CA所簽名,可信任的CA證書已嵌入瀏覽器中。
(3)嵌入瀏覽器中的CA的公鑰是否使者的數字簽名有效。
(4)服務器數字證書所指定的域名與服務器的真實域名是否匹配。
如果服務器不能通過認證,那么用戶就會接收到警告信息,從而不能建立SSL安全通道。
5.如果服務器通過認證,客戶瀏覽器就會產生一個唯一的“會話密鑰”來加密所有與服務器的通信內容。
6.客戶的瀏覽器用服務器數字證書中的公鑰加密“會話密鑰”發送給服務器。這樣就可以確保只有服務器才能讀出“會話密鑰”。
7.服務器用自己的私鑰解密“會話密鑰”。
8.瀏覽器向服務器發送信息,表明以后從客戶端發送的信息都將用“會話密鑰”加密。
9.服務器向瀏覽器發送信息,表明以后從服務器發送的信息也將用“會話密鑰”加密。
10.這樣,在客戶端與服務器就建立了一個SSL安全通道。之后,所有通信內容就在SSL安全通道內用“會話密鑰”來加密和解密信息。
11.一旦本次會話結束,“會話密鑰”也就隨之失效。
上述過程只要花費幾秒鐘的時間,且不需要客戶的干涉。
另外,用戶還可以通過以下情況來確認是否已經和正在訪問的服務器建立了SSL安全通道:
> 在瀏覽器窗口的URL中以HTTPS://開頭
> 在Netscape中,在窗口左下角的掛鎖是關閉的,而不是打開的。
> 在IE中,掛鎖出現在窗口狀態條的右下角。
五、SSL在現實中的應用
以中國工商銀行“個人網上銀行”為例。首先訪問工商銀行首頁(省略/)。單擊“個人網上銀行登錄”圖標。然后填入必要的信息,之后單擊同意按鈕就可以打開“個人網上銀行”。
首次使用時,會彈出一個要求安裝SSL數字證書的對話框,單擊“是”按鈕即可。在安裝好SSL數字證書之后,在IE瀏覽器的右下方就會出現一把閉合的黃色小鎖,其代表瀏覽器正在使用SSL加密傳輸的資料,從而避免敏感信息在傳輸的過程中被竊取或者篡改。用戶可以通過雙擊這把小鎖來查看服務器SSL數字證書的詳細內容。
值得一提的是個別瀏覽器只支持40位以下的加密算法。這對于傳輸重要信息是遠遠不夠的。在IE瀏覽器中,只要將鼠標指向瀏覽器右下方的黃色小鎖,就可以看到SSL加密的位數。假如不是128位的話,可以通過單擊瀏覽器“幫助”菜單下的“關于Internet Explorer”。如果顯示的密鑰長度小于128位,則可以單擊“工具”菜單上的“Windows Update”,然后依據提示將瀏覽器更新為最新版本,使其支持128位的SSL加密算法。
六、SSL的功能及SSL的局限性
1.信息加密。SSL所采用的加密技術既有對稱加密技術,如DES;也有不對稱加密技術,如RSA。具體來說,客戶端與服務器在進行數據交換之前,先交換SSL握手信息,在SSL握手信息中采用了各種加密技術對其加密,以保證其機密性和數據的完整性,并且用數字證書進行認證。
2.信息完整。SSL提供了信息完整服務,以建立客戶端與服務器之間的安全通道,使所有經過SSL協議處理的業務能全部準確無誤地到達其目的地。
3.身份認證。客戶端和服務器都有各自的識別號,這些識別號由公開密鑰進行編號。為了驗證用戶是否合法,SSL協議要求在握手交換數據前進行認證,以此來確保用戶的合法性。 SSL堅持對服務器進行身份認證,還可選擇性的對客戶端進行認證。
然而,SSL當初并不是為支持電子商務而設計的,所以其在電子商務系統的應用中還存在很多弊端。它只是簡單地在雙方之間建立了一條安全通道,在涉及多方的電子交易中,只能提供交易中客戶端與服務器之間的雙方認證。而電子商務往往是用戶、網站、銀行三方協作完成,SSL協議并不能協調各方之間的安全傳輸和信任關系;另外還有購物時用戶要輸入通信地址,這樣將有可能使得用戶收到大量的垃圾信件。 此外,SSL協議不能防止心術不正的商家的欺詐,因為該商家掌握了客戶的信用卡號。商家欺詐是信用卡業發展所面臨的最嚴重的問題之一。但是,SSL除了傳輸過程以外不能提供任何安全保證,它并不能使客戶確信此公司接受信用卡支付是得到授權的。再者,SSL協議的最大不足之處在于,其不對應用層的消息進行數字簽名,因此SSL不能提供交易的不可否認性。
關鍵詞:電子商務 物流 信息安全 數據加密
中圖分類號: TP309 文獻標識碼: A
當今世界網絡,通信和信息技術飛速發展,Internet在全球迅速普及,使得商務空間發展到全球的規模,促進企業組織改革自己的思維觀念、組織結構、戰略方針和運行方式來適應全球性的發展變化。電子商務就是適應以全球為市場而出現和發展起來的一種新的商貿模式,通過網絡技術快速而有效地進行各種商務行為,即在商務運作的整個過程中實現交易無紙化、直接化。電子商務可以使商家與供應商,在全球市場上銷售產品;也可以讓用戶足不出戶在全球范圍內選擇最佳商品,享受全過程的電子服務。
一、物流在電子商務流程中的作用
電子商務對象是整個交易過程,任何一筆交易都由信息流、商流、資金流和物流等四個基本部分組成。開展電子商務的最終目的是為了解決信息流和資金流處理上的延遲,從而提高對物流過程管理的現代化水平,進一步提高現代化物流速度。物流做為網上電子交易的最后一個過程,執行結果的好壞將對電子交易的成敗起著十分重要的作用,是實現電子商務的重要環節和基本保證。電子商務必須有現代化的物流技術的支持,才能體現出其所具有的無可比擬的先進性和優越性,在最大限度上使交易雙方得到便利,獲得效益。
二、電子商務流程中物流的實現
在電子商務中,信息流、商流、資金流的處理可以通過計算機和網絡通信設備實現。對于有形的商品和服務來說,物流仍然要由物理的方式進行傳輸;對于無形的商品及服務如各種電子出版物、信息咨詢服務以及有價信息軟件等,可以直接通過網絡傳輸的方式進行電子化配送。電子商務環境下的物流,通過機械化和自動化工具的應用和準確、及時的物流信息對物流過程的監控,使物流的速度加快、準確率提高,能有效地減少庫存,縮短生產周期。
三、電子商務中物流信息安全問題
物流正在向信息化、自動化、網絡化和智能化的方向發展,越來越依賴于網絡傳輸信息的安全性能。由于Internet具有開放性和匿名性,其安全問題變得越來越突出。物流信息在網絡傳輸過程中,經常會遭到黑客的攔截、竊取、篡改、盜用、監聽等惡意破壞,給商戶帶來重大損失。以各種非法手段企圖入侵計算機網絡的黑客,其惡意攻擊構成電子商務系統中網絡安全的最大威脅,已經成為物流信息安全的最大隱患。黑客攻擊經常使用的手段有:
1、獲取口令
有三種方法:一是精心偽造一個登錄頁面,并嵌入到相關網頁上,當商戶鍵入登錄信息(用戶名和密碼等)后,將這些信息傳送到黑客的主機,然后關閉頁面給出“系統故障”等提示,要求商戶重新登錄,此后才出現真正的登錄頁面。二是通過網絡監聽得到商戶口令,監聽者往往能夠獲得其所在網段的所有用戶賬號和口令,對LAN威脅巨大。三是知道商戶賬號后利用一些專門軟件強行破解商戶口令。
2、郵件炸彈
用偽造的IP地址和電子郵件地址向商戶信箱發送無數封內容相同的惡意郵件,擠滿郵箱,把正常郵件沖掉。同時占用大量網絡資源,導致網路阻塞,甚至使電子郵件服務器癱瘓。
3、特洛伊木馬
在商戶的電腦中隱藏一個會在系統啟動時運行的程序,采用服務器/客戶機的運行方式,在上網時控制商戶電腦,竊取口令、瀏覽商戶的驅動器、修改商戶文件和登錄注冊表等。
4、誘敵深入
黑客編寫“合法”程序,上傳到FTP站點或提供給個人主頁誘導客戶。當客戶下載該軟件時,黑客的軟件一并進入客戶的計算機上,跟蹤客戶的操作,記錄客戶輸入的每一個口令,發送到黑客指定的E-mail中。
5、尋找漏洞
尋找攻擊目標的系統安全漏洞或安全弱點,以便獲取攻擊目標系統的非法訪問權。
四、物流信息安全防護策略
合法商戶進行網上查詢、交易雙方業務洽談、買方下訂單并得到賣方確認、商品配送、售后服務、技術支持等在線操作時對商務數據的安全需求比較高,同時希望私有信息(口令、賬戶數據等)保密。采用身份認證和數據加密技術能夠保護商戶私人信息及商務數據在公共網絡上傳輸時不被竊聽、篡改、頂替及非法使用。
1、身份驗證
采用數字證書身份認證加上口令認證的雙因子身份認證技術。每個企業用戶應該申請一張數字證書,上網進行賬戶查詢時,網上銀行系統首先驗證該用戶數字證書是否合法,然后將查詢請求和口令一起發送給業務前置機,對口令再次進行認證。當服務器獲得用戶證書后,還要檢索該證書是否在廢止證書列表之中。對于個人用戶,可以采用對口令加密的方式進行身份驗證,不需要申請證書,比較方便。
2、數據加密
物流信息在網絡中傳輸時,通常不是以明文方式而是以密文的方式進行通信傳輸。因為以明文傳輸的信息數據,一旦被他人截獲會輕而易舉地被讀懂、竊取盜用及篡改,很難保證物流配送活動的機密性、可靠性和安全性。下面利用C語言編程實現替換加密方法。
Caesar(愷撒)密碼是一種最古老的技術,將明文中每個字母替換為字母表中其后面固定數目位置的字母。如要傳輸的明文是“I am a teacher!”,經過加密,密鑰為5,對方接收到的密文是“N fr f yjfhmjw!”,對第三方來說,這是毫無意義的一串字符,避免了泄密。合法接收方進行解密,又會得到“I am a teacher!”字符串。加密算法代碼如下:
#include "string.h"
main()
{ int i,ld, newasc;
char mingwen[20], miwen[20], c;
strcpy(mingwen,"I am a teacher!"); /*明文*/
ld = strlen(mingwen);
for (i=0; i
{ c =mingwen[i];
if (c>='A' && c
{ newasc = c + 5; /*密鑰為5*/
if (newasc > 'Z')newasc = newasc - 26 ;
miwen[i] = newasc;}
else if (c>='a' && c
{ newasc = c + 5 ;
if (newasc >'z') newasc = newasc - 26;
miwen[i] = newasc ; }
else
miwen[i] =c;
}
for(i=0;i
}
數據加密后傳輸,一定程度上保證了信息的安全性,密鑰的保密是很關鍵的。否則,網絡攻擊者掌握加密、解密算法,又得到密鑰,對合法商戶會造成致命的損失。因此加強對密鑰的管理,要貫穿于密鑰的整個生存期:密鑰的生成、驗證、傳遞、保管、使用和銷毀。
電子商務作為網絡時代的一種全新的交易模式,相對于傳統商務是一場革命。電子商務的優勢之一就是能大大簡化業務流程,降低企業運作成本。而電子商務企業成本優勢的建立和保持必須以可靠和高效的物流運作作為保證。所以,加大力度防護物流信息的安全,大力發展現代化物流,電子商務才能得到更好的發展。
作者單位:渤海大學
參考文獻:
[1]曹淑艷.電子商務應用基礎[M].北京:清華大學出版社,2005.9.
