时间:2023-07-10 17:35:02
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇电子商务安全策略,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
如今,电子商务的普及程度远远超出了我们当初的预想,无论是生活、学习、工作还是购物,电子商务均为我们提供了充足的便捷性。但是,电子商务在发展过程中也面临着一些问题,例如很多时候由于系统漏洞及黑客入侵等导致了电子商务的安全性下降,很多网民表示对网上交易存在一定的担忧心理,甚至有人不支持网上交易,因此电子商务安全问题的解决已经刻不容缓。电子商务作为一种新的经济模式,并没有从本质上改变其商业属性,这就意味着电子商务的运作必须遵循商业活动的一般规律,安全是其必须考虑的重要因素。如今,电子商务的安全性是不容乐观的,从事电子商务的企业承担的风险远高于传统企业。电子商务的安全性要求包括很多方面,如信息的保密性,即交易中的商务信息一般都有加密的要求;交易者身份的确定性,方便而可靠地确认交易双方的身份信息是交易的前提;交易的不可否认性,意指一旦交易达成则双方不能对此予以否认等。
一、电子商务存在的安全隐患
1、交易平台安全隐患
电子商务交易平台主要由电子商务服务器、电子商务软件/网站系统、电子商务数据库和电子商务支付系统等组成。交易平台是整个电子商务系统安全运行的基础和保障,而因为种种因素的存在降低了平台本身的安全性。电子商务服务器因为要进行大量的电子商务活动,比普通的服务器更加容易受到黑客的攻击,而服务器操作系统本身的安全问题也导致服务器的不安全。电子商务运行所依靠的运行工具,比如购物网站可能因为设计开发不合理,导致心怀不轨者利用网站漏洞进行攻击,从而破坏网络交易。电子商务活动中产生的所有数据都存储在数据库中,如果数据库在存储管理方面出现问题,很容易导致用户信息泄密。尤其是随着云计算和大数据存储的发展,数据存储的安全性受到了更加严峻的考验,面对海量数据,传统的安全防护措施显得苍白无力。
2、电子支付安全隐患
电子商务支付系统是电子商务活动中的核心部分,近几年来不断有不法分子利用钓鱼网站,伪装成支付页面,导致大量的网络用户受骗,财产在不经意间被人骗走。快捷和方便是电子商务的主要特点,为了能够更好的去实现电子商务的这个特点,电子交易平台就需要和各个银行联手,为顾客提供各种不同的支付方式,比如信用卡、快捷支付以及U盾等。人们在网上交易时信用卡支付是一种比较常见的方式,它可以有效实现先买东西后付款的方式,为资金不够的顾客提供了便利,同样也有很多违法分子利用这种方式来进行信用卡诈骗,这样对电子商务的长期发展来讲会产生比较严重的负面影响。
3、交易者身份安全隐患
在电子商务的交易过程中主要存在的安全问题就是,买卖双方面临的安全威胁。一是买方面临的安全问题,客户信息和营销信息泄露,甚至有假冒用户篡改商务信息内容等,这些均导致了电子商务交易的中断,给商家的信誉度和利益带来严重的影响,还有商业机密有可能被盗取,使得网络黑客进入系统篡改订单,造成大量虚假订单的形成,使得电子商务不能够正常开展;二是卖方面临的安全问题,发送的电子商务信息被篡改,造成买家不能够及时收到卖家的商品。在网购时使用的证件基本上都是身份证,这样会导致身份证的信息被窃用,使客户的经济利益受到严重的损害。同时还存在着个人隐私被盗取以及被网络的虚假广告欺骗,最终购买了假冒伪劣商品。
4、诚信安全隐患
诚信是电子商务交易成功的根本保障,诚信安全出现问题会导致买卖双方缺乏信任,整个电子商务交易也无法持续下去。众所周知电子商务一般是买家通过电子现金、电子钱包、电子支票、信用卡支付等形式来在线支付给卖家,也就是说买家先付款然后卖家再发货,这样消费者种种担心会随之产生,比如商家不发货或不按时发货,商家发的货没有自己在网上浏览的虚拟产品好,所发商品属于劣质产品等。据相关媒体的报道,有些非法商家要卖家先付极少部分的货款,但没有想的是他们制作的是假的支付页面,趁机盗取银行卡号和密码,造成了买家严重的经济损失。若是实行货到付款,卖家就会担心买家不付款或者不接受货物,耽误交易。因此,诚信安全问题直接影响着电子商务的健康发展,我们应该对电子商务的诚信安全问题予以高度的重视。
二、电子商务的安全防范措施
面对网络中的种种威胁,必须采取多种措施来保证电子商务的安全性。
1、对电子商务进行专门立法
电子商务作为一种新生事物,如果延续传统的法律体系对其进行规范还存在着许多空白,这一现状已经在实践中带来了很多问题。以我国1997年修订的《刑法》为例,虽然其中增加了关于计算机犯罪的相关条款,且1999年通过的《合同法》对电子合同的书面形式、生效时间地点等做出了相关规定。但是,这些条款和规定明显简单且滞后,已经远远不能满足电子商务蓬勃发展的需要。以电子认证的效力、虚假电子认证等重要问题为例,我国的法律对此没有做出专门的规定,这已经成为阻碍我国电子商务发展的重要因素。因此,我国应努力加快电子商务法制化的建设进程,制订针对性强的《电子商务法》,从而对电子商务当事人的权利和义务、电子合同的法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等进行体系化的规范,使之适应当前的电子商务发展环境,并且要在刑法中对电子商务领域的犯罪进行明确的规定。如此以来,在法律上为电子商务提供一个良好的发展环境,为之保驾护航。
2、提升用户安全意识
在电商时代,要保障计算机电子商务的安全,必须要强化用户自身的安全意识。如果用户的专业知识不充足,又缺乏电子商务的相关安全意识,会埋下很多安全隐患。很多非法入侵者正是由于注意到用户缺乏专业知识与安全意识,故而选择从用户身上寻找突破口,入侵用户的账号,进而获取系统管理员的账号,甚至最终直接入侵到整个系统,使得系统内的数据信息被窃取或者整个系统出现崩溃的现象。由此看来,用户的专业知识与安全意识对电子商务的整体安全性有着重要的影响,用户需要不断提高自身的安全意识,掌握相关专业知识,从自己做起,为电子商务的安全发展奠定基础。
3、技术方面的安全策略
(1)积极推广身份识别技术。在实际的电子商务中用户的身份识别技术,旨在确保交易中涉及到的用户身份信息的正确无误,以及信息的有效性、完整性。该技术主要涉及以下几个方面的内容:利用数字标志的方法进行验证。该方法一般借助电子技术实现对交易用户身份的真伪及其对相关网络资源进行访问的权限进行辨别,这个过程中对用户身份的验证是通过专门的数字证书(由电子商务平台的认证中心发放)完成的。
(2)交易平台安全策略。电子商务交易平台日趋庞大化且复杂度日益提高,服务器承受的安全压力也同步增加。首先可以在服务器上安装防火墙和入侵检测系统,实时监控病毒感染和非法入侵行为。同时关闭服务器上多余的端口,增强服务器的访问控制;其次,在开发电子商务平台时,要对安全性有更高的要求,确保不留下任何漏洞,增强网站的安全防护能力。并在此基础上保证网站的可用性、舒适性,满足用户对网站的购物需求;再次,对数据库中的所有数据进行检测,确认没有病毒后加密存入数据库。并对数据库管理员进行必要的安全培训,提高数据库管理员的安全防范意识,建立健全数据库自动预警功能;最后,建议所有网络交易的用户,一定要仔细辨别各支付网站的网址,小心谨慎,不要掉入钓鱼网站的陷阱。
[关键词]电子商务;安全问题;策略研究
伴随着互联网的快速发展,电子商务的广阔前景吸引了全球的关注,电子商务的网络效应优势也更加突出。作为发展中国家的中国,在互联网发展方面与发达国家的差距较小,为中国实现超越式发展提供了契机。中国电子商务的发展环境不断得到改善,但电子商务的安全问题是制约我国电子商务实现跨越式发展的瓶颈问题。
一、电子商务安全问题及要求
所谓电子商务安全是指综合运用各种安全技术和设施保护电子商务中交易各方的安全,保证商务活动顺利进行。人们从面对面的交易作业变成虚拟的网上互不见面的操作,没有国界、没有时间限制,可以充分利用互联网工具和资源的同时,也可以进行攻击和破坏。
常见的电子商务安全问题包括:
1.在网络的传输过程中信息被截获
攻击者可以通过因特网、公用电话网、搭线等截获传输的机密信息,或通过对信息流量和流向、通信频度和长度参数的分析,推断出有用信息、如银行账号密码等。
2.传输的文件被恶意篡改
攻击者可以通过篡改、删除和插入三方面来破坏信息的完整性。
3.假冒他人身份
主要包括冒充他人身份,如冒充上级指令;冒充他人消费,栽赃;冒充主机欺骗合法主机及合法用户;接管合法用户,欺骗系统,占用合法用户的资源等。
4.抵赖交易信息
主要表现在收(发)信者时候否认曾经接收(发送)过某些信息;购买者不承认确定了订货单;商家违约等。
针对以上安全问题,为了保证交易各方的合法权益,电子商务安全必须满足5项基本要求,即授权合法性、不可抵赖性、保密性、身份的真实性与信息的完整性。
二、企业电子商务安全策略
要保护自己的电子商务资产,所有的组织都要有一个明确的安全策略,即明确描述对所需保护的资产、保护的原因、谁负责保护、哪些行为可接受、哪些行为不可接收的书面描述。安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容,该策略不是一成不变的,公司的安全负责人员必须定期修改安全策略。
虽然现实中没有绝对的安全,但企业可以构造一道屏障来阻止绝大多数的威胁和侵害。制定全面的安全策略必须包含对安全问题的多方面考虑因素。安全策略一般包括以下内容:
认证:谁想访问企业的电子商务网站?
访问控制:允许谁登录电子商务网站并访问它?
保密:谁有权利查看特定的信息?
数据完整性:允许谁修改数据,不允许谁修改数据?
审计跟踪:在何时由何人导致了何事?
三、完善的企业电子商务安全体系策略综合应用
企业的电子商务安全实际上关注的是内容按照从客户机到电子商务服务器的交易处理链进行组织,因此这条链条上必须保护的资产包括客户机、从通信信道上传输的信息、服务器。
1.客户机的安全
客户机应该不受载入软件和数据的安全威胁,尤其是注意以动态网页形式从网上传来的活动内容所带来的安全威胁。客户机面临的另一种威胁是伪装成合法网站的服务器。用户和客户机受骗向非法网站提供敏感信息的案例很多。
在客户机的安全方面最需关注的是网页窃听器,网页上会有某些广告主(从第三方服务器)发出的图片,但是图片小得肉眼看不见。当网络访问者载入此页面时,网页窃听器也从第三方网站发来,在访问者的计算机里放置一个小程序,以跟踪和偷窥客户机的上网行为等内容。
2.通信信道的安全
互联网发展到今天,其不安全状态与最初相比没有太大改观。在互联网上传递信息,从起始节点到目标节点之间的路径是随机选择的,每次所用的路径都可以不同。由于用户根本无法控制传输路径,也不知道信息包经过的节点,所以某个中间节点都可能会读取信息、加以篡改或伪造信息。在互联网上传递信息都会受到对安全、完整和亟需的侵犯。主要解决方法是使用电子商务安全中的加密技术,包括各种加密算法、数字签名和安全协议等。
3.服务器的安全
对于企图破坏或非法获取信息的人来说,企业的服务器有很多弱点可被利用。其中一个入口是WWW服务器及其软件,其他入口包括任何有数据的后台程序,如数据库和数据库服务器。电子商务系统以数据库存储用户数据,并可从WWW服务器所连的数据库中搜索产品信息。数据库中除了产品信息外,还可能保存有价值的信息或隐私信息,一旦被更改或泄露则会给公司带来无法弥补的损失。数据库的安全是通过权限实施的,如果有人得到用户的认证信息,就能伪造成合法的数据库用户来下载保密的信息。现在大多数大型数据库都是用基于用户名和口令的安全措施,一旦用户获准访问数据库,就可以查看数据库中的相关内容。其后果是十分严重的。
总之,我国目前的电子商务安全形势不容乐观,随着电子商务的发展,将会有更多的问题出现。我国企业应重视自身的安全问题,同时国家方面也会加大研发电子商务安全技术,健全电子商务安全体系,不断完善电子商务安全法律法规,构建有中国特色的电子商务安全体系,为推动我国电子商务整体发展加足马力,使中国真正进入安全的电子商务全新时代。
参考文献:
[1]沈昌祥,左晓栋.《信息安全》.浙江大学出版社.2007年10月
[2]肖德琴,周权.《电子商务安全》.高等教育出版社.2009年9月第1版
目前,网上电子交易已经随着因特网的普及逐渐被人们所接受和应用,网络购物、网上缴费等方式极大的方便了人们的生活,越来越多的人开始利用网络来进行交易。电子商务网站的有效运作,依靠的是完全开放的互联网,而这个网络当中的任何电脑之间、网络之间都是互通的,安全和不安全的数据都可能在传递,各种风险随时对电子商务的安全构成威胁。电子商务正在规模化和全球化,企业的发展在很大程度上都依赖于它,所以,电子商务网站的安全问题必须得到有效的解决,才能保证它的正常运转。
2 电子商务网站的安全策略
电子商务依靠的是互联网,其核心和关键问题就是交易的安全性。正是由于网络本身的开放性给网上交易带来了种种危险,才要更加注重它的安全控制。电子商务网站的安全问题可以从两个方面进行探讨和分析,一是系统安全,二是数据安全,并且可以利用一些先进的技术手段加以解决。
2.1 系统安全
信息安全对于企业来说很重要,而信息安全的前提是系统安全。系统安全主要包括网络系统、操作系统和应用系统3个方面。系统安全可以采用的技术手段有网络隔离、访问控制、身份鉴别、数据加密、监控评估等技术。
2.1.1 网络系统
网络系统的安全问题主要是由于网络的开放性造成的,解决问题的关键是把网络从开放、自由的环境中分离出来,使其变成可以控制和管理的独立网络,就目前的技术发展来看,可以采用下列方法解决系统安全问题。
1)系统隔离,就是将重要的网络系统与其他系统分离,有物理隔离和逻辑隔离。按照网络安全等级的不同可以将网络合理划分为多个互不连通的网络,使不同安全级别的网络或设备不能相互访问,从而达到安全隔离。也可以采用VLAN等网络技术对业务网络或办公网络实行逻辑上的隔离,划分出不同的应用子网;2)访问控制,通过设置有效合理的访问策略,对于不同区域的网络资源实行访问控制,防止非法用户访问受保护的资源,其主要解决的问题就是网络边界的安全控制和网络内部资源的访问控制。可以按照一定的原则根据需要对信息的流向进行单向或双向控制。能够设置访问控制的网络设备有很多,比如交换机、路由器,而最重要也是最有效的则是防火墙,它通常被布置在网络的出入口处,对进出网络的数据信息进行有效的检测和过滤,同时按照访问控制列表和安全政策对信息流进行控制,允许合理有效的数据通过,将不安全和不符合要求的数据拒之网外;3)身份鉴定,对访问网络的用户进行身份识别,通常可以使用三种方式对访问者进行身份验证,一是访问者了解的安全信息,比如账号、密码、密钥等;二是访问者提供的物件,比如访问磁卡、通用IC卡、动态口令卡等;三是访问者自身的特征信息,比如声音、指纹、视网膜、笔迹等。身份鉴定的目的就是阻止非法用户访问这些被加密的数据,而加密是为了防止网络数据被窃听、泄漏、篡改和破坏;4)安全监测,利用网络设备的高级功能和技术,通过分析来访数据信息,找出未经授权的网络访问和非法行为,包括对网络系统的扫描、跟踪、预警、阻断、记录等,从而将系统遭受的攻击伤害减少到最低。除了网络设备,还可利用一些专业的网络扫描监测系统来对付黑客和非法入侵,这些系统能够主动、实时、有效的识别出非法数据和用户,并且通过网络扫描能够针对网络设备的安全漏洞进行检测和分析,包括网络服务、防火墙、路由器、邮件服务器、网站服务器等,从而识别那些可以被入侵者利用并非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告并提供改进方案,使网络管理人员能检测和管理好安全风险。
2.1.2 操作系统
操作系统,实际上就是电脑管理控制程序,是管理计算机软硬件资源的核心系统,负责设备的管理、数据的存储、信息的发送和各种系统资源的调度,它是各种应用软件的系统平台,具有通用性和易用性,操作系统的安全直接影响到应用系统和数据的安全,一般分为应用安全和系统扫描。
1)应用安全,面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份;2)系统扫描,基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
2.1.3 应用系统
1)文件的安全存储:利用各种加密手段,结合相应的身份鉴定和密码保护机制,使存储在本地或者网络上的重要文件处于安全存储的状态,即便他人通过非法手段获取到了文件或存储设备,也难以取得文件里的内容;2)文件的安全传递:对通过网络发送的文件进行安全处理,比如加密、签名、完整性鉴别等,使被传送的文件只有指定的接收者通过相应的安全鉴别机制才能解密并阅读,避免了文件在传送或存储的过程当中被截获、篡改和破坏等;3)业务服务安全:主要面向业务管理和信息服务的安全需求。对于各种通用信息服务,如WEB信息服务、FTP服务、电子邮件服务等服务,采用相应安全软件系统进行保护,如安全邮件系统、WEB页面保护等;对于各种业务信息可以配合专业管理信息系统软件采取对信息内容的安全保护,防止外部非法侵入和内部信息泄漏。
2.2 数据安全
信息数据的安全主要包含了数据库的安全和数据本身的安全,这两个方面的安全问题都必须得有相应的安全措施,才能确保数据安全。
1)数据库安全,目前很多企业使用的数据库都是SQL Server或者ORACLE大型数据库,这些数据库系统本身具备一定的安全性,安全级别可以满足日常需求。但是由于数据库十分重要,应在此基础上再采取一些安全措施,增加相应安全组件,改良密码策略,对数据库实施分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取和加密控制。具体方法有安全数据库系统、数据库保密系统、数据库扫描系统等;2)数据安全,即存储在数据库中的数据本身的安全,相应的保护措施有安装反病毒软件和防火墙软件,建立一套可靠的数据备份与恢复系统,定期对数据进行备份,定期修改数据库密码,必要时可以对重要数据采取多层加密保护。
2.3 交易安全
网上交易安全是用户最关心的问题,只有提供稳定的安全保证,在线交易用户才会具有安全感,才会觉得交易平台可靠,电子商务网站才会具有广阔的发展空间。
1)交易安全标准,目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包、商场、认证中心的安全标准,SET的关键特征是信息的机密性、数据的可靠性、卡用户账号的鉴别、商人的鉴别,主要用于银行等金融机构。后者由NETSCAPE公司提出的针对数据的机密性、完整性、开放性和身份确认的安全协议,它可以保证数据不被窃取和破坏,此协议已经成为WEB应用安全标准;2)交易安全基础体系,交易安全的基础是现代密码学技术,主要取决去于加密方法和加密强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点。非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的;3)交易安全的实现,交易安全的实现主要是指交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的否认等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
3 结论
企业电子商务网站的安全,需要一个完整的综合保障体系,要采用综合防范的思路,从技术、管理、法律等多方面加以认识和思考。安全实际上是一种风险管理,任何技术手段都不能够保证百分之百的安全,但是安全技术可以降低系统遭到破坏和攻击的风险,在一定程度上保障数据的安全。电子商务正处于蓬勃发展时期,只有解决了电子商务中出现的各类问题,才能是电子商务系统更加安全。
参考文献
[1]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.
[关键词] 数字签名数字水印离散余弦变换多媒体论证
随着因特网的迅速发展和普及,多媒体信息得到了空前广泛的交流与应用,给人们的生产和生活带来了许多便利。但是,多媒体信息的安全问题也随之而来,比如盗用别人的电子产品并在网上传播;在电子商务中伪造或篡改票据;对数字图像等多媒体信息进行修改、替换以达到损害别人的目的等。因此,对多媒体信息的有效论证是保证信息安全的重要手段。
电子交易的可实施性是电子商务要解决的最主要和最基本的问题。电子签名可以实现两个重要目标:排除电子商务的障碍;通过帮助建立参与者在网上从事商业活动所需要的信任和可预见性,实现并推动电子商务的适当的公共政策目标。
电子签名目前具备三个主要功能:数据来源认证:这可以用于认证信息来自于可疑的发送者;信息的完整性:有助于信息的接收者确定,在发送过程中,没有被有意或者随意地更改;不可否认性:发送者不能被否认信息的发送。
目前,存在几个方法可以有效完成上述功能。然而,基于公共公共密钥的密码系统的数字签名技术是目前被认为最普通、最可靠的技术。
数字签名是一种对多媒体信息进行论证的有效手段,它是由信息发送者对要传送的信息进行某种处理的,任何人都无法知道的,用以论证信息的来源并核实信息是否发生了变化的一段字符串。数字签名的基础是密码学。
数字水印技术近年来逐渐成为知识产权保护的主要手段,它是信息隐藏的一个重要分支,是通过在原始资料中嵌入一些有特殊意义的信息,如文字,序列号,公司标志,声音等,用以识别多媒体信息的作者,版权所有者、发行者,合法使用人对数字产品的拥有权等,并携带有版权保护信息和论证信息。
信息隐藏技术与传统密码学有本质的区别,传统密码学是将明文加密成密文,使信息不可理解,是隐藏了信息的内容;而信息隐藏技术着重隐藏了信息的存在。数字水印技术和数字签名各有优势和不足。数字签名容易受到攻击,而数字水印的安全度不高。如果将数字水印和数字签名有机结合起来,以之为基础构成一种新的水印方案,其安全性、可性度、论证精度都将会大大地提高,这无疑将是多媒体技术研究发展的一个很有前途的方向。
一、结合数字签名与数字水印的方案
把数字签名作为水印隐藏在图像中,数字签名方法用DSA(Date Signature Algorithm),数字水印方法用DCT(discrete cosine transform即离散余弦变换)。DSA签名是基于离散对数问题的数字签名标准,虽说它仅提供数字签名,不提供数据加密功能,但它具有算法简便实用,易实现等优点。而考虑用DCT是由于离散余弦变换是实变换,它具有良好的能量压缩能力,而且可以利用人的视觉系统(HVS)在DCT域内的特性。
在应用DSA之前先对其做一个简要说明:
如果要对一个消息x进行签名,可选取一个随机值k,且p, q,а和β公开,α保密(其中p是512比特的素数,q是一个整除p-1的160比特的素数,а是模p的q次单位根。α作为私钥,β作为公钥)。定义k={(p, q ,а, α, β):β=aα(modp)},对于Κ和一个秘密随机数k,1≤k≤q-1,对信息x的签名结果如下:
sigK(x,k)=(γ,δ)(1)
γ和δ即是对信息x的签名。
γ=(аkmodp)modq(2)
δ=(x+αγ)k-1modq(3)
签名是否为真通过下式来验证,e1=xδ-1modq(4)
e2=γδ-1modq(5)
verK(x,γ,δ)真(ae1βe2modp)modq=γ(6)
举例说明如下:
如p=83,q=41,а=2,β=4。另给出α=2(可以由信息发送者的身份信息构造而成),取k=20,应用上面的方法,对一个信息x (可以是一幅图像作品的版权序列号等,如取为39)进行签名得签名信息为:sigK(x,k)=(37,20), 将之代入(6)式,可以验证签名为真。
将签名的一些信息写入一个64×64的二值图像中,将之作为水印图像嵌入到一个名为Peppersr的512×512标准真彩图像中。具体方法如下:
(1)将数字签名的一些已知参数p,q,а,β及对信息x的签名(γ,δ)写入到一个64×64的二值黑白图像中,私钥α及随机数k可以由信息发送者身份识别的信息构成,信息x可以是一幅版权图像的序列编号构成。
(2)读取原始图像和黑白水印图像到二维数组I与J。
(3)将原始图像I分割为互不覆盖的图像块blockL(x,y),1≤x,y≤8,L=1,2…,M*M/64,对blockL(x,y)进行DCT变换,得到dct-blockL(u,v)。
(4)取黑白水印图像中的一个元素J(p,q)嵌入到原始公开图像块的DCT的低频系数中。
(5)对嵌入了水印信息后的图像块dct-blockL(u’,v’)进行反DCT变换,得到blockL(x’,y’)。
(6)合并图像块,得到嵌入了黑白水印后的图像。
水印提取算法与水印嵌入算法类似,不再赘述。
接收方收到含水印的图像后,从中提取水印得到签名信息,用发信方给的私钥α和秘密数k验证签名的真实性,从而可辨别作品的真伪(假设原始图像Peppers为一版权作品)。
二、实验结果
下图为水印的嵌入与提取图,程序的实验环境为MATLAB6.1。
从上图可得知:嵌入了水印后载体图像跟原始图像基本上无明显差异,即该水印图像的透明性良好,且在嵌入水印后的图像未受攻击的前提下,从中提取出的水印图像非常清晰。信息接收者应用我的水印提取算法可方便地得到签名信息,然后再用我给他的密钥可以验证此真彩图的真伪。
论文摘要:当前,我国电子商务建设中以技术为主的安全管理体制,忽视了人员对电子商务的安全影响。但近几年案例表明:企业缺乏针对内部人员的系统安全管理体制,是导致网络交易过程中泄密和企业利益损失的主要原因。本文重点分析了企业在电子商务安全管理体制方面存在的不足和原因,提出了一些加强人员安全管理的建议,为我国电子商务企业的安全管理提供借鉴。
1、问题的提出
作为一种新的经济模式,电子商务以高效、便捷、方便的优势和全新的企业经营理念、经营手段、经营环境吸引着广大用户,为世界经济赋予了无限的发展空间。随着电子商务应用范围的日益扩大,针对电子商务的各种犯罪活动也19益猖獗。国内外调查显示…,52.26%的用户最关心的是网上交易的安全可靠性,超过6O%的人由于担心电子商务的安全问题而不愿进行网上购物。加强电子商务实施过程中的安全管理已经成为促进电子商务高速发展的重要因素。
电子商务的安全,可分为技术安全和管理安全两种类型。所谓技术安全,是指通过各种黑客手段窃取企业的用户lD、密码以及相关的机密文件,甚至网络银行帐号、密码等,给企业造成经济损失。而管理安全则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段,最终导致的电子商务安全事件。从美国的花旗银行和中央情报局到中国的某家国有商业银行,都有过由于内部人员的违规和违法操作,导致数据被篡改和泄密的事件发生。
近几年的电子商务安全案件表明:人员是网上交易安全管理中的最薄弱的环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,有的竞争对手利用企业招募新人的方式潜入对方企业,或利用不正当的方式收买企业网络交易管理人员。有的电子商务从业人员从本企业辞职后,迅速把客户资料、产品研发成果等机密出售给竞争对手,给企业带来了不必要的经济损失。
2、原因分析
电子商务信息安全已经引起很多企业的重视,但大多数企业往往侧重于加强技术措施,如购买先进的防火墙软件,采用更高级的加密方法等,很多企业认为:员工泄密的安全事故只是偶然现象,很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务企业的通病。由于管理手段不到位,很多先进的安全技术无法发挥应有的效能。之所以出现上述问题,主要有以下原因:
首先,很多企业管理高层对人员管理在信息安全中的地位认识不足。大多数企业将电子商务网络作为一项纯粹的技术工程来实施,企业内部缺乏系统的安全管理策略,只是被动的使用一些技术措施来进行防御,因此电子商务过程中一旦出现突发性事件,往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的,不安全因素随时存在。因此,安全管理措施必须渗透到系统的每一个环节和企业组织的~个层面,只有构建一个人与技术相结合的安全管理体系,才能确保整个电子商务系统得安全。
企业没有从整体上、有计划地考虑信息安全问题。企业各部门、各下属机构都存在“各自为政的局面,缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性,而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。
缺少信息安全管理配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发,加快信息安全人才的培养。
企业对员工的信息安全教育不够。员工的信息安全意识薄弱,9O%的安全事故是由于人为疏忽所造成。如有些企业不限制内部人员使用各种高科技信息载体,如U盘、移动硬盘以及笔记本等移动办公设备。
3、加强电子商务安全管理的建议
电子商务信息安全管理实践表明,大多数安全问题是由于管理不善造成的。安全管理是一项系统工程,不仅涉及到企业的组织架构、信息技术、人员素质等各个方面,还牵扯到国家法律和商业规则。企业内部存在着诸多影响信息安全的因素:改变lT系统不等于改变企业的信息安全管理,要使企业信息尽可能的安全,必须在技术投人的基础上融人人在管理方面的智慧i同时,不仅要防外,更要防内,即对组织内部人员的管理。信息安全问题的解决需要技术,但又不能单纯依靠技术。整个电子商务的交易过程,是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。“三分技术,七分管理”阐述了信息安全的本质。
电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。网上交易安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒、信息加密、身份认证、授权等,但必须明确,只有技术措施并不能完全保证网上交易的安全。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。为了加强企业电子商务的信息安全,我们提出如下建议:
(1)提高网络安全防范意识。
现在许多企业没有意识到互联网的易受攻击性,盲目相信国外的加密软件,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标,如此态度,网络安全更是无从谈起。应该定期由公司或安全管理小组承办信息安全讲座,只有提高网络安全防范意识,才能有效的减少信息安全事故的发生。
(2)建立电子商务安全管理组织体系。
一个完整的信息安全管理体系首先应建立完善的组织体系。即建立由行政领导、IT技术主管、信息安全主管、本系统用户代表和安全顾问组成的安全决策机构。其职责是建立管理框架,组织审批安全策略、安全管理制度,指派安全角色,分配安全职责,并检查安全职责是否已被正确履行,核准新信息处理设施的启用、组织安全管理专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。如果需要,还可建立安全顾问机构。安全顾问机构可聘请信息安全专家担任系统安全顾问,负责提供安全建议,特别是在安全事故或违反安全策略事件发生后,可以被安全决策机构指定负责事故(事件)调查,并为安全策略评审和评估提供意见。
(3)制定符合机构安全需求的信息安全策略。电子商务交
易过程中,需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略,策略中应明确安全的定义、目标、范围和管理责任,并制定安全策略的实施细则。安全策略文档要由安全决策机构审查、批准,并和传达给所有的人安全策略还应由安全决策机构定期进行有效性审查和评估:在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时,应重新进行安全策略的审查和评估。
(4)人员安全的管理和培训
参与网上交易的经营管理人员在很大程度上支配着企业的命运,他们承担着防范网络犯罪的任务。而计算机网络犯罪同一般犯罪不同的是,他们具有智能性、隐蔽性、连续性、高效性的特点,因而,加强对有关人员的管理变得十分重要。首先,在人员录用时应做好人员鉴别,人员录用或人员职位调整时,一般要签署保密协议。当人员到期离开或协议到期、工作终止时,要审查保密协议。其次对有关人员进行上岗培训,建立人员培训计划,定期组织安全策略和规程方面的培训。第三,落实工作责任制,在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责,对违反网上交易安全规定的人员要进行及时的处理。第四,贯彻网上交易安全运作基本原则,包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。
(5)增强法律意识,促进电子商务立法
面对电子商务这种新型的贸易形式,我国目前尚无专门法规可依,使得部分违法犯罪人员没有得到应有的惩罚。近几年里,国家加强了这方面的投入。在全国性的立法文件中,《合同法》的部分条款可以看作是针对电子商务的立法。此外,广东省制定的《广东省电子交易管理条例》这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。《中华人民共和国电子签名法》是对主要用于电子商务活动,电子政务等其他应用应该有新的适用法规。
尽管在电子商务信息安全立法方面取得了一些成就,但总的来说,我国的电子商务立法还很不健全,对电子商务活动的安全保护缺少直接性;相关立法比较分散,而且效力不高;对新出现的情况缺乏适应能力;立法速度慢。这些都需要电子商务企业和国家有关部门不断探索,共同促进电子商务信息安全的法制环境建设。
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1、电子商务的概念和特点
1)电子商务的概念:电子商务(ElectronicCommerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2、电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3、安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。
2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。
3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。新晨
4、结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
关键词:电子商务;身份认证;防火墙
1 引言
电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。
2 电子商务的主要安全要素
目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:
2.1 信息真实性、有效性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.2 信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.3 信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
3.4 信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet 上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
3 电子商务安全系统
网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
所以就整个电子商务安全系统而言,安全性可以划分为四个层次,
1) 网络节点的安全
2) 通讯的安全性
3) 应用程序的安全性
4) 用户的认证管理
其中2、3、4 是通过操作系统和Web 服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
3.1 网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。
防火墙是在连接Internet 和Intranet 保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet 系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.2 通讯的安全
在客户端浏览器和电子商务WEB 服务器之间采用SSL 协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40 位加密强度,也可以考虑将加密强度增加到128 位。为在浏览器和服务器之间建立安全机制,SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL 链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
3.3 应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
3.4 用户的认证管理
1) 身份认证
电子商务企业用户身份认证可以通过服务器CA 证书与IC 卡相结合实现的。CA 证书用来认证服务器的身份,IC 卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID 号和密码口令的身份确认机制。
2) CA 证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA 证书,它由认证授权中心(CA 中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA 中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL 安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
3) 安全套接层SSL 协议
安全套接层SSL 协议是Netscape 公司在网络传输层与应用层之间提供的一种基于RSA 和保密密钥的用于浏览器与Web 服务器之间的安全连接技术。
SSL 通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,Certificate Authority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL 协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Http、Ftp、Telnet 等)以保证应用层数据传输的安全性。
SSL 协议握手流程由两个阶段组成:服务器认证和用户认证。
①服务器认证
客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。
②用户认证
经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。SSL 协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web 服务器内置,便于在电子交易中应用。但SSL 是一个面向连接的协议,起初并不是为了支持电子商务而设计的,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL 协议不能协调各方面的安全传输和信任关系。为此,开发出了在网络应用层中专为电子商务而设计的SET 协议。
4 安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
5 结束语
安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。
参考文献
[1] 吴洋.电子商务安全方法研究[D].天津大学, 2006.
[2] 李艳.电子商务信息安全策略研究[J].甘肃科技, 2005,(06)
关键词:电子商务;安全;技术;策略
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 20-0000-03
1 引言
随着计算机网络技术的快速发展,电子商务已经在各行业应用开来,其表现形式也非常丰富。比如:可以通过电脑、Internet、交易平台,预订机票、火车票,随时随地足不出户地进行个人财务管理、股票交易,网上购物、转帐及接收付款等等。在日常生活中,电子商务给我们带来了无尽的便利。
但是,在我们享受电子商务给我们带来的便捷的同时,我们也必须认识到电子商务安全的重要性。由于在电子商务交易中,交易双方是不见面的,交易双方缺乏面对面的沟通,我们也无法审核交易双方的真实身份,这些就会增加电子商务交易的风险,因此,本文针对电子商务安全现状进行简要分析。
本文将从电子商务的概念开始,并对电子商务安全发展现状和技术策略进行介绍。
2 电子商务的概念
电子商务是指在因特网开放的网络环境下,在全球各地广泛的商业活动中,基于浏览器/服务器的模式,在买卖双方不见面的情况下,进行商务活动,从而能够满足消费者进行网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动,它是一种新型的商业运营模式.
电子商务主要是通过电子数据传输技术,进而开展商务活动,如企业间交易活动、在网络上做营销、客户服务等,它统一了资金、信息、商流和物流四个方面。随着网络和Internet技术的日益成熟,真正意义上的电子商务是建立在Internet技术上的,所以也简称为IC。
2 电子商务安全概述及其发展现状
2.1 电子商务安全的主要内容
电子商务安全由IT安全和商务交易安全两部分组成。
IT安全主要由以下几个部分组成:网络运行环境安全、用户信息与网上交易服务器传递之间的安全、网络硬件设备安全、网络软件安全、数据资料安全、客户端计算机及其他连接互联网设备的安全等等。基于这些IT本身可能存在的安全问题,旨在保证IT安全,实施IT安全增强方案。
另一方面,商务交易安全是针对传统商务在互联网络上应用时产生的各种安全问题,基于计算机网络安全,从而保障电子商务过程的顺利进行。目的在于实现电子商务的完整性、可鉴别性、保密性、不可伪造性和不可抵赖性。计算机网络安全与电子商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。计算机网络安全是商务交易安全的基石,如果缺少计算机网络安全,商务交易安全就无从谈起。同样,缺少了商务交易安全的保证,即使计算机网络本身再安全,仍然无法保证电子商务的安全进行。
2.2 电子商务安全的原则
(1)真实性、可靠性
电子商务以电子形式取代了以前纸质的形式,因此,开展电子商务的前提就是保证电子形式的贸易信息的真实性和有效性。电子商务作为贸易的一种形式,其信息的真实性和有效性将直接关系到个人、企业或国家的经济利益和声誉。
(2)身份的唯一
电子商务系统要建立身份唯一性认证制度,在身份合法认证时做到有法可依,双方在网上进行交易或者数据传送时,必须首先认证双方身份的合法性和真实性,只有这样,才能保证在交易发生纠纷时,双方身份都有所证明,从而有效防止商业欺诈行为的发生。
(3)保密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。由于电子商务是在开放的网络环境上进行的,所有商业防泄密工作在电子商务过程中显得尤为重要。
(4)完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来如何维护商业信息完整的问题。如果交易双方数据输入时,意外出现差错或者有一方有欺诈行为,都有可能导致贸易各方信息不同。因此,电子商务系统必须可靠和正确地保证数据传输、存储及电子商务的完整性。
(5)实名制
电子商务活动的每一方都必须实名参加,相关部门应当对各方身份、企业资质、信誉等进行严格的审查登记,做到有据可查。
2.3 电子商务安全发展现状
上世纪七十年代,电子商务开始出现萌芽,当时,有一些大公司利用计算机网络,将各个机构之间和各个商业伙伴之间的信息共享起来,这个过程就是EDI(电子数据交换),电子数据交换就成了后来电子商务的雏形,同时也是电子商务的基础。近些年来,由于计算机网络技术飞速发展,电子商务也迅速发展起来。
但是,目前,电子商务面临着比较严峻的信息安全现状。据权威杂志披露,从事电子商务的企业相比于普通企业,承受着更大的商业风险。其中,从事电子商务的企业更容易被黑客攻击,感染病毒、恶意代码的概率高出9%,被非法入侵的频率高出10%,而且更容易被商业欺诈。
在我国,电子商务安全的现状同样并不乐观。调查显示,近年来,我国发生了200起网络进行的电子商务经济犯罪,带来了上亿元的经济损失。我国网民对于网上交易,最担心的就是网上支付交易的安全问题,超过百分之八十的网民对网上交易的安全性表示担忧。信息安全问题已然成为阻碍网上交易的一大难题。
1995年起,我国开始发展电子商务安全产业,与此同时,电子商务安全科研、生产与应用也开始起步,迄今为止,已经实现了科研与生产从无到有,市场从小到大逐步发展起来。电子商务信息安全研究已经走过了通信保密、计算机数据保护两个发展阶段,目前正处于网络信息安全研究阶段。在现阶段中,我们已逐步掌握了部分网络安全和电子商务安全技术,研制和探索了安全操作系统、多级安全数据库方面的技术,但掌握系统核心技术还有很大困难,所以目前还不能开发出有自主知识产权的信息产品。
截止到目前,我国电子商务安全的发展还存在以下几点问题:
(1)安全防范意识薄弱
国内不少电子商务企业对网络信息安全意识不强。这些企业在进行电子商务交易的时候,考虑的更多的还是自己的效益、方便、快捷,却把交易的安全性、保密性、抗攻击性放在了较低的位置。
(2)体系结构不健全
我国的电子商务安全一直都缺乏一个健全的体系结构,总是等到出现问题才去解决问题,从而导致问题不断变化、层出不穷,却缺乏有效的解决办法。
(3)软硬件缺乏强有力的支持
目前我国IT设施的软件、硬件等的核心产品主要还是依靠从国外发达国家进口,市场上不少的安全措施也是照搬过来的,很多电子商务安全方面的产品都没有通过安全认证。
(4)频繁遭受威胁
目前我国的电子商务产业主要遭受三方面的安全威胁:
1)非人为因素造成的数据丢失;
2)人为因素造成的数据丢失;
3)黑客、病毒等的恶意攻击和入侵。
3 电子商务安全技术及策略
3.1 电子商务安全技术架构
电子商务安全技术体系包括网络服务层、加密技术层、安全认证层、安全协议层四个部分,它是确保电子商务交易中数据的安全性和完整性的逻辑结构。在这个四层结构中,下一层作为上一层的基石,为上一层提供技术支持;由安全控制技术实现安全策略,从而形成一个统一的整体,相互关联、相互依存,从而实现电子商务的安全进行。
如图1所示,即为电子商务安全技术体系架构
图1 电子商务安全技术体系架构
(1)网络服务层
网络安全作为电子商务安全的基础,涉及面很广,如防火墙技术、网络隐患扫描、网络监控、及各种反黑客技术等,其中防火墙技术最为关键。防火墙的主要是通过加强网络之间的访问控制,从而使得外部网络用户,不能利用非法手段侵入我们需要保护的网络。防火墙按照一定的安全策略,检查两个或多个网络之间传输的数据包和链接方式,继而决定是否允许网络之间进行通信,而且还能监视网络运行状态。路由器可以实现简单防火墙技术,而更加可靠的网络安全控制需要专用防火墙来提供。
为了保证连接Internet和Intranet的安全,防火墙是最为有效的方法,防火墙通过有效监视网络的通信信息,记忆通信状态,从而作出正确的判断,来决定是否允许访问。如果能灵活有效地运用这些功能,制定正确的安全策略,就能就能保证Intranet系统的完整性、安全性。
(2)加密技术层
电子商务信息加密技术作为最基本的安全措施,它是一种主动的信息安全防范措施。实质就是一种交换算法,它通过置换和移位的方法,对以符号为基础的数据进行加密,加密受密钥的关键符号串控制。加密技术分为对称加密和非对称加密两类。
1)对称加密。对称加密包括两种情况:1.加密系统的加密密钥和解密密钥相同。2.如果不相同,但是由其中任意一个可以很容易的推导出另一个。现在常用的对称加密算法有DES、RC2、RC4等,DES算法被广泛采用,它由美国国家标准局提出的,被ISO作为数据加密的标准。
2)非对称加密。非对称加密只包括一种情况:加密系统的加密密钥和解密密钥不相同,并且不管是由加密密钥推导出解密密钥或者由解密密钥推导出加密密钥,都是计算不出来的。RSA算法是非对称加密领域最著名的算法,该算法是非对称数据加密的标准算法。
(3)安全认证层
为了确保电子商务交易安全,光有加密技术是不够的,还必须依靠安全认证层中的身份认证技术。
认证技术通过用户的客户主机IP地址进行认证,在认证技术中,系统管理员授予不同IP地址的授权用户不同的访问权限。认证技术主要有身份认证和通过电子认证中心的认证。身份认证是主要用于判断交易双方的真实身份,而目前这也是电子商务安全中急需加强的重要技术。身份认证主要有三种方式:用户口令、智能卡、生物学特征认证。
(4)安全协议层
由于电子商务需要通过Internet完成在线支付,所有我们必须安全传输支付信息、确认交易方的真实身份、完整进行支付过程,这就需要我们使用安全协议来保证。不同交易协议的复杂性、开销、安全性各不相同。
目前国际上比较有代表性的协议是SSL协议和SET协议。
1)SSL协议。SSL(安全槽层)向客户/服务器应用程序提供客户端和服务器的认证服务、加密、数据完整等安全措施,它在应用程序进行数据交换前,通过交换SSL初始握手信息来实现有关安全特性的审查。
2)SET协议。SET(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。SET增加了对商家身份的认证,同时还保留对客户信用卡认证。
3.2 电子商务安全策略
(1)建立健全的电子商务的法律制度,并强化执法力度
随着电子商务的发展,建立了很多电子商务网站,进而许多网络交易中的法律问题就凸显出来,这样一来,解决网络交易的安全问题就需要遵循一个共同的法律法规,而目前我们的电子商务法律制度还不健全,还需要建立必要的健全的法律框架。另一方面,对那些网络交易中的违法犯罪行为,我们一定要加强执法力度,从而达到规范电子商务交易的目的
(2)建立完善的信用体系,提高电子商务的安全意识
由于电子商务的虚拟性、非接触性,信用在电子商务中显得尤为重要。电子商务对信用体系的需求最强,电子商务如果缺少了信用体系的支撑,就毫无安全可言,风险度极高。因此,信用体系是电子商务的规范与发展的基础。然而,我国的电子商务的信用管理体系还比较落后,社会整体信用制度还有待健全,在交易过程中经常会发生不讲信用甚至欺诈行为,因此,为了促进电子商务的良性发展,有必要建立完善的信用体系。另一方面,我们也需要加强电子商务安全意识,不能总把利益放在第一位,要引起对安全性的足够重视。
(3)用加密技术、安全认证、交易协议等保护交易信息的安全
积极借鉴国外先进经验和技术,尽可能建立一套完整的电子商务安全体系;采用不同的加解密算法完善和提高电子商务交易安全,定期检查更换交易密钥。
(4)加强互联网络的安全性,防止信息泄漏
最常用的网络安全保护手段是防火墙技术。电子商务内外网和互联网之间最好设置专用防火墙,这样不仅可以提升内部局域网络的速度,同时还能阻止恶意病毒和木马攻击内部网络。
(5)加强电子商务的安全管理,构建良好的电子商务环境
目前,我国电子商务发展的环境还存在不少虚拟环境的特有问题,如领头企业的资源整合能力有待提升,电子商务企业散、小,电子商务支付、物流等支撑服务能力有待于加强。电子商务交易的管理也需要进一步加强。此外,为了构建良好的电子商务环境,还需要增加第三方支付平台和物流的支持。
4 结束语
基于目前我国的电子商务安全发展还处于初步阶段,还有许多问题需要解决,所以,我们要对电子商务安全给予足够的重视,积极借鉴国外的先进技术和经验,在享受电子商务给我们带来的便利的同时,也做到可以放心交易。
参考文献:
[1]加里P·施奈德.电子商务[M].北京:机械工业出版社,2008.
[2]张爱菊.电子商务安全技术[M].北京:清华大学出版社,2006.
[3]李振汕.电子商务安全管理体系的构建[J].计算机安全,2010,17(10):65-70.
[4]王建宏,李广振,闵旭光.电子商务安全技术研究[J].中国商贸,2009,16(12):16-19.
[5]贾树良,樊鑫国.电子商务安全问题分析[J].辽宁工程技术大学学报,2009,25(3):83-85.
[6]柳艳茹.浅谈电子商务的安全问题[J].赤峰学院学报,2012,28(8):51-53.
[7]王改香.浅谈电子商务安全策略[J].电脑知识与技术,2008,4(3):559-560.
[8]李岩,宋朝.电子商务安全现状及对策研究[J].经济研究,2011,9(6):59-62.
[9]许宁宁.电子商务安全的现状与趋势[J].中国电子商务,2010,13(8):91-93.
[10]张建兵.电子商务安全问题解析[J].现代商贸工业,2009,8(21):123-126.
[11]赵全.网络安全与电子商务[M].北京:清华大学出版社,2005.
[12]谭逊,王学芳,谭翊.浅谈我国电子商务安全现状[J].科技资讯,2007,10(11):140-143.
[13]http://.cn/cj/cj-xfsh/news/2009/12-03/1997652.shtml.中国经济时报,2009,12,3.
[14]唐作莉.电子商务安全技术研究[D].贵州大学硕士研究生学位论文,2008.
[15]张庆丽.电子商务安全策略研究[D].河南大学硕士研究生学位论文,2012.
[16]关铁军.电子商务安全策略研究[D].北京邮电大学硕士研究生学位论文,2008.
关键词:电子商务 信息安全 安全技术
伴随经济的迅猛发展,电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势,必须保证电子商务中信息交流的安全。
一、电子商务的信息安全问题
电子商务信息安全问题主要有:
1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。
二、信息安全要求
电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:
1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。
三、信息安全技术
1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。
防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术:把过滤和服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。 2.加密技术。为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。(4)数字时间戳: 电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。
3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。
4.防病毒技术。(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。
四、结语
信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。
参考文献:
[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006
析得出云计算安全方面所面临的难题,针对这些问题提出了解决安全问题。
[关键词]云计算;计算平台;电子商务; 安全
中图分类号:F724.6 文献标识码:A 文章编号:1009-914X(2015)27-0060-01
一、云计算的概念和特点
(一)云计算的内涵。云计算是网格计算、分布式计算、虚拟化、并行计算、效用计算、负载均衡、网络存储等传统计算机技术和网络技术发展融合的产物。云计算的目的是通过网络把多个低成本的计算实体整合成一个具有强大“性价比”的计算机应用系统,并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。云计算的一个核心理念就是通过不断提高“云”的处理能力,进而减少用户终端的处理负担,最终使用户终端简化成一个单纯的输入输出设备,并能按需享受“云”的强大计算处理能力。云计算的核心思想就是将大量用网络连接的计算资源统一管理、调度及分配,构成一个计算资源“池”向用户按需服务。
(二)云计算的特点。云计算是一种商业计算模型,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务;云计算也是通过网络按需提供可动态伸缩的廉价计算服务。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。这种特性经常被称为像水电一样使用IT基础设施。云计算是并行计算、分布式计算和网格计算的发展,或者说是这些计算机科学概念的商业实现。云计算是虚拟化、公用计算、基础设施即服务、平台即服务、软件即服务等概念混合演进并跃升的结果,其特点如下:
1、数据存储安全。云计算提供了最可靠、最安全的数据存储中心,用户不用再担心数据丢失、病毒入侵等麻烦。当你的文档保存在类似Google Docs的网络服务上,当你把自己的照片上传到类似Google Picasa Web的网络相册里,你就再也不用担心数据的丢失或损坏。因为在“云”的另一端,有全世界最专业的团队来帮你管理信息,有全世界最先进的数据中心来帮你保存数据。
2、用户使用方便。云计算对用户端的设备要求低,但使用起来方便。你可以在浏览器中直接编辑存储在“云”的另一端的文档,你可以随时与相关联系人分享信息,再也不用担心你的软件是否是最新版本,再也不用为软件或文档染上病毒而发愁。因为在“云”的另一端,有专业的计算机专业人员帮你维护硬件,帮你安装和升级软件,帮你防范病毒和各类网络攻击,帮你做你以前在个人电脑上所做的一切。
3、数据存储力强。云计算为我们使用网络提供了几乎无限多的个人电脑或其他电子设备不可能提供无限量的存储空间和计算能力,但在“云”的另一端,由数千台、数万台甚至更多服务器组成的庞大集群却可以轻易地做到这一点。个人和单个设备的能力是有限的,但云计算的潜力却几乎是无限的。
二、基于云计算平台的电子商务安全策略分析
(一)信息安全问题是基于云计算平台的电子商务安全策略分析的首要问题。由于电子商务交易是在开放、共享的互联网环境下进行的,这就要求:提供电子商务服务的企业平台一定要稳定可靠,能提供安全的信息服务。这首先对企业的硬件基础设施建设提出了一项难题。硬件设施的老化、物理损坏、网络硬件故障等,都可能导致电子商务系统不能正常开展工作。从企业尤其是中小企业的角度来考虑,自身硬件平台的资金投入度,数据的备份冗余度等指标,远不能与大企业同日而语,因此如果转而去选择实力强大的云计算服务,就可扬长避短,把有限的资金投入到核心商务运作中。
(二)软件平台的系列逻辑工作是基于云计算平台的电子商务安全策略分析的应用型问题。因为任何软件平台的正常和非正常的中断,如软件逻辑发生错误、计算机病毒爆发等因素,也会使得电子商务贸易数据发生丢失,造成巨大的经济损失。而云计算的数据存储具有高度冗余化的性能,如果当前出现了对数据的误操作,要想恢复时,则有众多冗余的原始数据供你恢复。软件的业务逻辑也可在高度灵活的云计算平台下被快速重新组织,各种应用也可随之高效恢复。
(三)用户终端的安全是基于云计算平台的电子商务安全策略分析的重要问题。云计算技术对于用户终端的保护也提供了有力的支持。对于传统反病毒厂商而言,云计算技术的引入可以极大地提升其对病毒样本的收集能力,减少威胁的响应时间。其强大的数据运算与同步调度能力,可以极大地提升安全公司对新威胁的响应速度。目前,国内的瑞星、360、金山安全联手微软MSN及时推出的Messenger保护盾等都已打出了“云安全”的旗帜,在恶意代码收集及应急响应方面充分利用了云计算的显著特点。
三、基于云计算平台的电子商务安全策略研究及应用
(一)基于云计算平台解决好电子商务中的四大安全隐患。由于在互联网设计之初,只考虑方便性、开放性,使得互联网络极易受到黑客的攻击或有组织的群体的入侵,使得网络信息系统遭到破坏,信息泄露。因此,电子商务中的安全隐患大致有四种:1、信息的截获和窃取;2、信息的篡改;3、信息的假冒;4、交易抵赖
(二)基于云计算平台解决好电子商务中的信息及数据的安全存储问题。当自然灾害、硬件设施遭到损坏和故障等情况发生,云计算服务供应商应该采用更加安全、有效的存储技术。一旦主设备遭到损坏或发生故障,马上切换到另外一套镜像设备。同时,电子商务企业也需要定期将重要的数据进行备份。
(三)基于云计算平台解决好电子商务中的云计算服务供应商的科学选择问题。在构建基于云计算模式的电子商务平台之前,电子商务企业应根据企业自身需求来选择规模较大、品牌较好的云计算服务供应商,并详细询问数据存放地,确认在发生云计算服务供应商终止服务或被其他公司收购等情况下,自己的数据会不会受到影响,如何拿回自己的数据,以及拿回的数据是否能导入替代的应用程序等一系列问题。
(四)基于云计算平台促使电子商务相关法律法规及标准的完善
1、相关法律法规的完善。由于云计算的涉及面很广,需要一个全球法律协议来保障电子商务企业和云计算供应商的利益。该协议的内容应详细地确定服务水平的监控和测量、用户和云计算供应商的职责和责任、灾难的恢复和补偿等一系列问题,这样有利于云计算服务供应商提供更好的服务。
2、云计算公共标准的制定。到目前为止,包括Google、IBM、微软、亚马逊在内的各个云计算供应商都有一套自己的标准,彼此互不兼容。为了云计算的健康发展,就必须要联合各个云计算相关的组织和企业制定出正式的、开放的云计算公共标准。
综上所述,云计算是以公开的标准和服务为基础,以互联网为中心,提供安全、快速、便捷的数据存储和网络计算服务,让互联网这片“云”成为每一个网民的数据中心和计算中心。其应用将积极地改进电子商务的服务方式和功能,极大地提高电子商务企业的核心竞争力,但同时也给电子商务企业带来了新的挑战。同时,需要基于云计算平台促使电子商务相关法律法规及标准的完善,用法律制度、管理制度和诚信制度来推动我国电子商务行业的健康、持续发展。
参考文献
关键词:电子交易;信息安全;网络技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)02-0428-02
电子商务其中包含了信息流、资金流以及物流等,在我国的经济大发展中是一个热点问题,但是我们国家电子商务在发展过程中还存在这基础设施不足,电子支付平台安全性得不到保障等一系列的问题,严重地影响了电子商务的发展。电子商务的迅猛发展,已经是人们进行电子商务活动的主要业务平台和新的商务交易模式。和传统的线下交易不同,线上的交易面临的安全威胁各种各样,比如网络黑客、钓鱼木马、病毒等均来自Internet的攻击。在严重复杂的情况下时候还有可能会造成交易双方的经济利益受到损失。这说明,数据的安全问题是目前制约这我国电子商务快速发展的重要原因之一。建立一个安全、方便、快捷的电子商务应用的网络平台,确保在整个交易活动过程中,贸易双方信息的绝对安全,使得整个基于Internet的线上交易和传统的线下交易一样可靠和安全,已经成为人们十分关注的一个技术问题。
1 电子商务交易的安全分析
1.1 我国电子商务目前面临的安全威胁
这些年来的影响越来越大,由于电子商务的交易活动是一个在开放的虚拟的线上进行,最容易会受到来自第三方和黑客的攻击,安全方面发生率较高的威胁事件普遍有以下几个:信息泄漏、信息破坏、不进行身份识别、黑客。
1)攻击者利用技术手段通过截获工具截获网络上机密、加密的数据并通过分析软件分析出有用的数据,交易的双方的信息被第三方盗窃,这样交易的其中一方的文件会被攻击者所使用。木马常常被潜伏于计算机系统中,其具有的隐蔽性、指令控制方便等特点。一般是通过指令控制为主,很多的数客高手会在网络入侵的时候就已经将木马植入。
2)交易信息在传输过程中被他人非法修改,删除使信息失去了真实性。主要利用互联网上计算机系统的漏洞入侵系统,计算机病毒传播的速度异常快,甚至几小时传遍整个互联网。
3)假如对真实身份进行有效的识别,攻击者就有可能假冒交易的期中一方介入到整个交易的过程中,来坏信誉、破坏交易,最终骗取到钱财。
4)往往黑客会利用自己扎实的计算机专业技术,对Internet上的一些信息数据进行伪造和修改,有可能会造成严重的恶劣事件以及经济方面的损失。分布式的拒绝服务攻击就是目前攻击者们最喜欢和最经常采用而且是比较难防范的攻击手段之一,攻击轻就会出现网络拥塞,如果将其与病毒结合起来,潜在的损失、威胁造成的后果将是非常严峻的。
1.2 目前电子商务网络环境对信息安全的要求
由于目前网络环境对信息安全的威胁,所以对电子商务平台网络环境的安全要求:OS的可靠性、电子商务交易的真实性、资料的完整性、资料的安全性、交易的不可抵赖性。
1)操作系统的可靠性,是为了防止传输的错误,计算机的硬件的故障,以及计算机病毒存在的潜在威胁,通过预防、控制等手段来确保系统的安全可靠。
2) 电子商务交易身份的真实性,是电商的买卖双方都不在同一个地方,交易可以在支付完成前对方身份的可靠性来进行确认,卖方会考虑在履行约定之后是否能受到买方的货款,买方要考虑在线支付了货款后能不能保质受到商品。
3) 资料的完整性是网上传输的资料信息不会被篡改。但是在信息的传输过程中,往往会有意外欺骗的情况发生,数据在网络传输过程中可能会发生丢失等有可能会使交易双方收到的信息不一样,直接影响交易结果,确保网络中传输的信息完整性是目前电子商务的应用最基本的条件之一。
4) 数据的安全性,也就是线上交易的过程中数据在网络上的传输安全性,保必须证信息不会泄露给非授权方,不会被篡改和窃取。必须确保只有合法的用户才可以看到最终真实的数据。
5) 线上交易的不可抵赖性,保证电子商务交易双方不能否认自己已经发送了的信息,在这同时,信息的接受方也不能否认已经接收到了信息,交易一旦已经形成,原发送方就不能抵赖所发信息,接收方也不能否认已经接收到发送方的信息了。这就要求电子交易的网络通信过程中各个环节的都不能被否认,都没有办法推脱其义务和责任。
2 目前电子商务主要的安全技术
2.1 网络环境的安全技术
计算机网络环境安全涉及到的技术是非常多的,可以在网络中使用虚拟专用网技术(VPN)、漏洞的检测技术、防火墙火墙技术和操作系统本身的安全功能技术。网络防火墙技术是实际上就是一种防止外网的非法用户入利用技术手段入侵访问内部网络的资源,起到保护内部网络操作环境安全的特殊网络互联设备。它采用的方法就是按照各种安全策略具体的部署要求,对网络上没有授权的访问用户的数据进行有效屏蔽和修改,确保内部网络系统和用户数据的安全。目前的防火墙技术有服务、包过滤等。漏洞检测主要是依据先前设置好的安全策略对数据进行有效的分析和审计。虚拟专用网(VPN)就是利用隧道的加密技术,能够使数据在Interne中传播的安全。操作系统本身也有很多安全风险,系统的漏洞要及时查补,防止木马和病毒在网上恶意传播。
2.2 数据加密技术
电子商务的安全措施之一就是对数据进行有效加密,网络中数据的安全主要依赖于密码技术来解决。数据加密就是对在Internet中正在传输中的数据流根据某种加密算法进行有效加密,就目前而言,对数据进行加密常用的是对称密钥加密技术、非对称密钥加密技术。对称加密实际上就是加密或解密都是用同一个相同密钥,对称密钥的加技术的安全性主要是依赖于密钥,如果把密钥泄露出去了,这也就说明所有人都能对数据进行加密或者解密。其优点是使用比较简单,加密的速度也是很快的比较适用对大量的数据加密;缺点是在传输的过程中不能保证密钥的安全,目前常用的有IBM公司的DES算法。非对称加密技术也叫公开密钥加密技术,其将密钥分为公钥、私钥,两者形成了一个密钥对,将公钥对外界开放,私钥则通常由者自己本人保存着。目前常用的非对称加密算法主要为RSA和DSS等等。
2.3 交易过程中的认证技术
对网络中交易数据的基本加密是不能满易绝对安全的,还需要对用户信息进一步的识别、认证。认证技术是电子商务的不可缺少的重要技术手段,其主要的目的就是用来识别和认证交易双方身份的真实性,防止被第三者通过技术手段冒名顶替。其主要技术手段包括了数字签名、数字摘要、数字时间戳、数字证书等。通过数字签名能够解决否认、伪造、篡改、和冒充等问题,数字签名算法有:Hash签名、DSS签名、RSA签名等。数字摘要则是采用单向的Hash函数来对传输文件的中若干个重要元素进行某种变换运算,最终得到一定长度的摘要码,此方法解决了交易信息在电子商务中的完整性。利用数字证书技术来证明一个用户的身份以及用户对网络的使用权限,目前是被广泛采用的一项技术之一。
3 安全策略
在网络安全技术防范实施的同时,首先要保证电脑自己本身的安全,可以对补丁定时更新,这样可以使系统漏洞减少。按时对Internet环境进行扫描并分析,得出分析报告。这样来可以在黑客和病毒攻击前就进行有效的预防,可以将损失降低到最小。再次,还要在Internet上安装入侵检测系统和防火墙,来对网络上设置好全方位的安全策略,对信息进行充分有效的过滤。随着黑客日趋多样化的攻击手法和攻击方法,单纯靠防火墙技术是不能满足对信息安全的需求,还是需要在防火墙的基础上建立一个入侵检测系统来对Internet信息安全和计算机系统的运行状况进行有效监测,尽可能早地发现来自网络的各种攻击行为。最后,要加强数据备份,并且还要留有备份链路,通过备份工具来应对攻击者的攻击。
在Internet上信息的安全保证方面:可以使用数字证书技术和SSL安全通信协议,对于交易相对简单的B2C,就采用相对简单易行的SSL单向认证技术来实现。对于在信息安全上要求严格的B2B,就要通过身份认证技术来进行严格安全的管理;对于涉及到商业机密的,要对数据进行加密后再在网络上传输;对于保证不可抵赖性,可以用数字签名技术来保证合同和交易的完整性。交易要建立好保密制度,并且要求要严格。
4 结论
总之,电子商务安全是个非常复杂的问题,它的保障必须是多层次的,需要网络安全技术的不断进步,但仅仅靠通过技术手段来防范还是远远不够的,同时也需要管理上的会有进步,还需要从法律法规和国家道德层面等方面入手,来努力推动和促进我国电子商务的有序健康快速发展。
参考文献:
[关键词]电子商务系统评估
一、电子商务和电子商务系统
1.电子商务。电子商务(EC)是英文“ElectronicCommerce”的中译文。电子商务指的是通过简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行的各种商务活动。由于电子商务拥有巨大的商机,从传统产业到专业网站都对开展电子商务有着十分浓厚的兴趣,电子商务热潮已经在全世界范围内兴起。电子商务内容包括两个方面:一是电子方式;二是商务活动。
2.电子商务系统。电子商务系统涉及企业的各个方面,是一个综合的系统,电子商务系统主要有以下几个部分组成:(1)电子商务基础平台。包括负荷均衡、连接/传输管理、网站管理、数据管理、事务管理和安全管理等部分。(2)企业内部信息系统。包括企业内部MIS、EDP和DDS等子系统。(3)电子商务服务平台。包括支付网关接口、客户关系管理、内容管理、认证中心接口、搜索引擎和商务智能工具等。(4)电子商务应用系统。电子商务应用系统以实现企业的商务目的为目标,使用各种与Internet有关的技术手段,在Web上建立起自己的电子商务应用系统,是电子商务系统的核心。电子商务应用系统是应用开发人员根据企业的特定应用背景和需要而开发出来的,对企业的电子商务活动提供具体的支持。(5)电子商务应用平台。电子商务应用平台直接面对电子商务系统的最终用户,建立在电子商务系统的顶层。电子商务系统平台以Web服务器为核心。作用一是作为与用户的接口,接受用户的各种请求,并将用户的请求传递给应用系统;二是将应用系统的结果以不同的形式表达,将其提供给不同的用户形象终端(个人电脑、个人数字助理、掌上电脑、无线移动通讯设备等)。(6)安全保障环境。主要包括安全体系、安全策略和安全措施等。安全策略负责电子商务系统的安全提高,是企业保障电子商务系统安全的指导原则;安全体系利用各种安全手段设置安全防线、防范各种非法访问和攻击,安全体系需要各种必需的设备和关键技术。
二、电子商务系统评估关注的主要因素
1.市场关注程度:是分析企业目前乃至将来经营情况的基础性数据。
2.经营情况分析:分析成本、盈利水平和投资回报是否达到规划的目标。
3.市场份额和推广能力:市场份额的大小和推广能力的强弱是企业经营发展的重要数据。
4.系统的安全性评估:系统的安全性是电子商务企业生存和发展的基础,系统安全的高低是客户选择企业的重要依据之一。
三、电子商务系统评估的原则
1.科学性:根据系统评估的目标,科学地制定系统评估方案和适用方式,以使系统评估结果科学合理。
2.客观性:要以详实的数据为依据进行系统评估,预测、推理和逻辑判断应当建立在现实的基础上。
3.独立性:系统评估机构和评估人员必须始终坚持独立的第三方原则,不能与被评估的电子商务系统有任何利益关系,要不受外界任何影响和干扰。
四、电子商务系统的评估指标
1.技术性评估指标。电子商务系统评估的技术性指标主要有以下几项:(1)电子商务系统的设计评估:对其内容的丰富性和创意进行评估。(2)电子商务系统的技术应用评估:主要评估其新技术应用的多少,以及技术应用是否合理。(3)电子商务系统的安全性评估:主要评估其能否保证电子商务的安全。(4)电子商务系统的可操作性评估:主要评估其操作是否简单、方便和快速。
2.经济性评估指标。电子商务系统评估的经济性指标主要包括流动比率、速动比率、营业周期、存货周转天数、应收账款周转天数、总资产周转率、流动资产周转率、资产负债率、销售净利率和资产净利率等指标。经济评估最能直接反映电子商务系统给企业带来的经济效益。
3.社会性评估指标。电子商务社会性评估指标主要包括注册量、点击率、访问量、客户的忠诚度、实际访问量、日均访问客流量、服务质量统计分析、日人均浏览时间等。
五、电子商务系统评估的主要方式
电子商务系统的评估是一项系统工程,需要专业知识和技术作为支持,目前电子商务系统评估的主要方式有以下几种:
1.委托国内外权威专业评估机构进行评估。国内外的一些权威专业评估机构不但具有比较先进的评估方法和设备、而且拥有一支具有丰富评估经验的专业评估人员队伍,他们能够站在比较公正的立场来进行电子商务系统的评估,得出比较客观、公正的评估结果,但是评估费用往往比较高。
2.权威机构网站评比活动。国内外诸如中国互联网络信息中心(CNNIC)的一些权威网站管理机构,会定期不定期地进行网站经营状况的统计和评比。
3.客户评估。客户评估是针对客户对企业电子商务系统的满意情况的定性评估,客户评估采取向客户发送包括所需评价项目的网上调查表,以有奖的形式收集客户的意见。然后由管理人员自己对获得的反馈信息进行统计分析。客户的评价一般是比较真实可信并且也是很全面的。
4.自我评估。自我评估是指企业自己组织进行自我评估或者利用专业评估机构提供的评估系统进行的自我评估。自我评估与委托权威专业机构进行评估相比,自我评估有保密性好、成本较低和使用方便等优点;但是使用评估系统进行评估也存在适应性差的不足。
参考文献:
[1]赵乃真:电子商务万事通.北京:人民邮电出版社,2001.4
[2]钟强章建新:电子商务概论.北京:清华大学出版社,2003.7
