發布時間:2023-07-10 16:28:39
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的電子商務安全對策樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
全球信息化的發展為云計算技術帶來了全新的發展之路,云計算技術現已廣泛運用于各大行業,而隨著電子商務時代的來臨,云計算技術更是成為了各大行業商務經濟管理中不可缺少的部分,云計算的出現降低了電子商務系統的運營和管理,并且為其提供了更為便捷的數據存儲空間。在云計算技術發展迅速的當下,如何讓其為電子商務的系統建設與管理提供更大的便利、帶去更高的安全性能等也成為了云計算技術亟待解決的重大問題。
一、云計算
在信息化社會浪潮的推動下,云計算功能也隨著應運而生,云計算的研發與應用無疑為人們的日常生活帶去了極大的便利,作為新時代下的信息技術產業,云計算不僅推動了計算機技術行業的發展,同時也給電子商務的發展帶去了新的變化,就云計算技術在電子商務中的應用范圍而言,云計算為不同的系統在一個大規模的系統環境下進行相互的服務,在云計算系統中的所有系統都是通過互聯網的方式進行相互協作,用戶在進行數據提取時只要根據需求就能夠自動獲取匹配的資源服務。
云計算通過網絡為不同的用戶提供服務并適當收取相應費用,云計算服務商則在總系統資源庫中進行資源的計算和管理,用戶可在系統中進行自由的資源分配或者通過端口獲取資源庫中的相應服務。云計算中所包含的資源繁雜,主要包括網絡、虛擬機、存儲與處理等的,其在電子商務界的運用無疑能夠有效、快捷實現商務資源的共享與存儲,為電子商務的發展帶去方便。
二、“云計算”環境下電子商務安全
(一)數據存儲安全隱患
在電子商務中,保證數據的安全性是最為重要的,云計算環境下的電子商務數據存儲由于在空間中進行大量的高度整合,容易使數據在存儲過程中產生安全隱患。云計算環境下的數據安全保障性能主要有對數據進行隔離存儲、對數據進行災難修復等,但由于用戶在使用過程中并不能夠對數據存儲位置進行確切的了解,云計算環境下的電子商務數據所產生的安全隱患也通常是由數據傳輸隔離、數據故障處理等情況引起。
(二)數據傳輸安全隱患
企業在通過云計算功能傳輸內部數據時,主要通過云計算服務商來進行資料的終端接收與處理。按常理而言,企業內部資料集私密數據都由云計算下的相關存儲空間進行存儲,這些企業數據中心主要執行兩大任務,一是保證企業數據在傳輸過程中的安全性,對于企業數據的傳輸進行嚴格篩選并對其進行接收存儲,防止數據外泄。二是為企業進行數據查詢提供便利,滿足企業對于數據訪問的要求。
(三) 客戶終端安全隱患
大多數企業的數據傳輸通道主要是瀏覽器,在傳輸過程中,瀏覽器很可能由于性能不穩定而存在大量漏洞,且就現階段瀏覽器管理和防護措施而言,瀏覽器在相關技術相對薄弱的情況下很容易受到惡意軟件及病毒的攻擊,造成瀏覽器漏洞,瀏覽器一旦產生漏洞,客戶終端的企業在使用瀏覽器進行私密數據傳輸時就很有可能受到漏洞的影響,導致客戶端數據被侵入,其數據的安全性得不到保障。
三、“云計算”環境下電子商務安全的對策
(一)云服務商層面上的安全對策
如果云服務商所提供的信息安全部署無法保證客戶信息安全的話,客戶公司則難以在市場獲得穩固的位置,因此,為了滿足云計算客戶的信息安全部署要求,云服務商就需要對信息的存儲和訪問加強安全管理,如進行文件加密傳輸和文件數據相互隔離等方法,通過加強各端口之間的數據隱私安全來保證用戶信息的安全性。云電子商務服務商以相關客戶的要求為基準,使用Multi-ten-ancy、物理隔離和虛擬化等方案進行數據隔離。
(二)電子商務企業層面上的安全對策
(1)合理選擇云計算提供商
企業在對自身數據進行定位與預計后,要確保選擇技術過硬、具有健全信息安全保障系統的云計算服務商來進行企業數據的傳輸和管理。在選擇云計算提供商時除了要考慮系統的安全性與操作性外也好考慮到系統的可用性。不同的企業對于云計算系統的要求也不一樣,小型電子商務企業主要運用云計算端口實現資源共享,大的電子商務企業則需要選擇對于私密文件處理具有良好保障性能的云計算服務。
(2)數據加密處理
在進行數據傳輸前,電子商務企業應在數據中心內部進行統一加密處理,以確保文件防止數據在傳輸過程中被竊取后泄露私密文件,在進行加密處理后,即使文件被竊取也不會被查看,有效保障了數據的安全,而存儲在云計算數據系統中心的加密數據則擁有著極高的安全性,無論客戶端的設備是否出現問題,都無法獲取云計算中心的數據,實現有效的安全管理。
(3)實時監控數據
云監控平臺為電子商務企業提供相應的實時監控服務,在服務器出現問題時,云監控系統和云計算平臺則通過數據的分析將事故報告通過郵件或短信的形式告知相應的網站管理人員,實時保護網站安全。除此之外,云監控系統在獲取故障信息后還可根據信息判斷網站運行速度,時刻保障電子商務企業在云計算系統中對于數據管理的硬功,極大提高數據管理的安全性。
四、結語
云計算作為信息時代下新技術,已經逐漸成為了人們日常生活和工作中不可或缺的部分,在云計算技術發展的同時,我們也看到了其在運用過程中所出現的一些問題,特別是在電子商務行業的運用,云計算為電子商務數據所進行的傳輸與存儲過程中所帶來的安全問題也亟待解決,但只要合理解決“云計算”環境下的電子商務安全問題,其對于電子商務企業的發展就一定能夠起到極大的推動作用。(作者單位:新余學院數學與計算機科學學院)
參考文獻:
關鍵詞:信息竊取 信息篡改 加密技術 防火墻
隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據“2010年上半年,計算機病毒和互聯網安全報告疫情”的數據表明,2010年上半年,計算機病毒,木馬的數量依然保持快速增長,新病毒不斷出現,一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數量迅速增加,超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征。總體而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于U盤和移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執行U盤中的病毒、木馬等程序,然后感染用戶的計算機系統,進而感染其他U盤。與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統,然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
論文摘要:隨著網絡技術的廣泛應用,網上購物的日益普及我國電子商務安全的問題日益嚴重。首先,分析了電子商務安全的現狀,其次,著重對電子商務存在的問題及其原因進行深入地探索并指出了電子商務安全的需求,最后給出相應的解決方案。
隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據“2010年上半年,計算機病毒和互聯網安全報告疫情”的數據表明,2010年上半年,計算機病毒,木馬的數量依然保持快速增長,新病毒不斷出現,一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數量迅速增加,超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征。總體而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于u盤和移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執行u盤中的病毒、木馬等程序,然后感染用戶的計算機系統,進而感染其他u盤。與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統,然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
5.對發出的信息予以否認.某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
6.信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款i用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。
7.電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,cih病毒的爆發幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。
三、電子商務的安全需求
電子商務威脅的出現導致了對電子商務安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。
1.有效性。保證信息的有效性是開展電子商務的前提,一旦簽訂交易,這項交易就應得到保護以防止被篡改或偽造。
2.完整性。貿易雙方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易雙方信息的完整性是電子商務的基礎。
3.不可抵賴性。交易一旦達成,原發送方在發送數據后就不能抵賴,接收方接到數據后也不能抵賴。
4.匿名性。電子商務系統應確保交易的匿名性,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體。
四、電子商務安全防治措施及安全舉措
防范電子商務網絡犯罪是一個系統工程,不僅需要人們提高防范電子商務網絡犯罪的意識,加強防范電子商務網絡犯罪的制度建設,而且.還需要技術上不斷更新和完善,為此,需要做好以下幾方面的工作。
1.加強教育和宣傳,提高公眾電子商務的安全意識。信息安全意識是指人們在上網的過程中,對信息安全重要性的認識水平,發現影響網絡安全行為的敏銳性,維護網絡安全的主動性。強化上網人員的信息安全意識,就是要讓上網人員認識到,網絡信息安全是電子商務正常而高效運轉的基礎,是保障企業、公民和國家利益的重要前提,從而牢同樹立網上交易,安全第一的思想。主要采取以下措施:一是通過大眾媒體,普及電子商務的安全知識,提高用戶的認識。二是積極組織研討會和培訓課程,培養電子商務網絡營銷安全管理人才。
2.采用多重網絡技術,保證網絡信息安全。目前,常用的電子商務安全技術,主要包括:防火墻,物理隔離,vpn(虛擬專用網)。防火墻是實現內部網與外部網安全和入侵隔離的常規技術。使用防火墻,一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內部部分未經授權的用戶攻擊。因此,電子商務內外網與互聯網之間要設置防火墻。網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,發現任何安全隱患及時更改,做到有備無患。企業上網必須實行內外網劃分和內外網的物理隔離。要運用vpn新技術,為使用者提了一種通過公用網絡,安全地對食業網絡進行遠程訪問,同時又能保證企業的系統安全。包括操作系統、數據庫和服務器(如web服務器、e-maii。服務器)的安全。
3.運用密碼技術,強化通信安全。應圍繞數字證書應用,為電子政府信息網絡中各種業務應用提供信息的真實性、完整性、機密性和不可否認性保證。在業務系統中建立有效的信任管理機制、授權控制機制和嚴密的責任機制。目前要加強身份認證、數據完整性、數據加密、數字簽名等工作。對于電子商務中的各種敏感數據進行數據加密處理,并且在數據傳輸中采用加密傳輸,以防止攻擊者竊密。電子商務信息交換中的各種信息,必須通過身份認證來確認其合法性,然后確定這個用戶的個人數據和特定權限。“在涉及多個對等實體間的交互認征時,應采用基于pki技術,借助第三方(ca)頒發的數字證書數字簽名來確認彼此身份。”為了從根本上保證我國網絡的安全,我同安全產品的應用應建立在國內自主研發的產品基礎上,國外的先進技術可以參考,但不能完全照搬。政府應該鼓勵和扶植一批企業加快數字安全技術的研究,以提高我國信息企業的技術和管理水平,促進我同電子商務安全建設。
4.加強技術管理,努力做到使用安全。首先是在內部嚴格控制企業內部人員對網絡共享資源的隨意使用。在內網中,除有特殊需要不要輕易開放共享目錄,對有經常交換信息要求的用戶,在共享時應該加密,即只有通過密碼的認證才允許訪問數據。二是對涉及秘密信息的用戶主機,使用者在應用過程中應該做到盡可能少開放一些不常用的網絡服務,同時封閉一些不用的端口。并對服務器中的數據庫進行安全備份。三是切實保證媒體安全。包括媒體數據的安全及媒體本身的安全。要防止系統信息在物理空間上的擴散。為了防止系統中的信息在物理空間上的擴散,應在物理上采取一定的防護措施,如進行一定的電磁屏蔽,減少或干擾擴散出去的空間信號。這樣做,對確保企業電子商務安全將發揮重要作用。
5.健全法律,嚴格執法。目前我國在電子商務法律法規方面還有很多缺失,不能有效地保護公眾的合法權益,給一些犯罪分子帶來了可乘之機。我國立法部門應加快立法進程,吸取和借鑒國外網絡信息安全立法的先進經驗,盡快制定和頒布《個人隱私保護法》、《商業秘密保護法》、《數據庫振興法》、《信息網絡安全法》、《電子憑證(票據)法》、《網上知識產權法》等一系列法律,使電子商務安全管理走上法制化軌道。使網絡控制、信息控制、信息資源管理和防止泄密有法可依,并得到技術上的支撐。健全電子商務安全標準認證和質量檢測機制,由國家主管部門組織制定有關電子商務安全條例規定,并發揮職能部門的監管作用。通過建立電子商務安全法規體系,規范和維持網絡的正常運行。
參考文獻:
[1]許寧寧.電子商務安全的現狀與趨勢[j].中國電子商務,2010,(1).
[2]濮小金.電子商務安全的政策選擇[j].全國商情經濟理論研究,2009,(3).
【關鍵詞】電子商務;信息安全;對策
作為一種新的經濟模式,電子商務以高效、便捷、方便的優勢和全新的網站經營理念、經營手段、經營環境吸引著廣大用戶,為世界經濟賦予了無限的發展空間。隨著電子商務應用范圍的日益擴大,針對電子商務的各種犯罪活動也日益猖獗。國內外調查顯示52.26%的用戶最關心的是網上交易的安全可靠性,超過6O%的人由于擔心電子商務的安全問題而不愿進行網上購物。加強電子商務實施過程當中的安全管理已經成為促進電子商務高速發展的重要因素。
1.電子商務網站信息安全存在的問題
電子商務的前提是信息的安全性保障,信息安全的含義主要是信息的完整性、可用性、保密險和可靠性。因此電子商務活動中的信安全問題主要體現在以兩個方面。
1.1 網站信息安全方面
1.1.1 安全協議問題
目前安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
1.1.2 防病毒問題
互聯網的出現為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,在電子商務領域如何有效防范病毒也是一個十分緊迫的問題。
1.1.3 服務器的安全問題
裝有大量與電子商務有關的軟件和商戶信息的系統服務器是電子商務的核心,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果會非常嚴重。
1.1.4 計算機電腦病毒
計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。隨著互聯網的發展,病毒利用互聯網,傳播速度大大加快,它侵入網絡,破壞資源,成為了電子商務中計算機網絡的嚴重安全威脅。隨著計算機技術的不斷發展,計算機病毒的破壞性也隨之增強,電子商務環境也將收到嚴重威脅。
1.2 電子商務交易方面
1.2.1 身份的不確定問題
由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
1.2.2 交易的抵賴問題
電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
1.2.3 交易的修改問題
交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
1.2.4 竊取信息
在電子商務中主要表現為交易信息的泄漏,主要包括兩個方面:交易雙方進行交易的內容被第三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。
2.原因分析
電子商務信息安全已經引起很多網站的重視,但大多數網站往往側重于加強技術措施,如購買先進的防火墻軟件,采用更高級的加密方法等,很多網站認為:員工泄密的安全事故只是偶然現象,很少從人員管理的角度來探討出現這些事故的根本原因。“重技術、輕管理”是當前很多電子商務網站的通病。由于管理手段不到位,很多先進的安全技術無法發揮應有的效能。之所以出現上述問題,主要有以下原因:首先大多數網站將電子商務網站作為一項純粹的技術工程來實施,網站內部缺乏系統的安全管理策略,只是被動的使用一些技術措施來進行防御,因此電子商務過程當中一旦出現突發性事件,往往造成很大的經濟損失。現實中沒有一個網絡系統是完美無缺的,不安全因素隨時存在。因此,安全管理措施必須滲透到系統的每一個環節和網站組織的一個層面,只有構建一個人與技術相結合的安全管理管理高層對人員管理在信息安全中的地位認識不體系,才能確保整個電子商務系統得安全。網站沒有從整體上、有計劃地考慮信息安全問題。網站各部門、各下屬機構都存在“各自為政的局面,缺少統一規劃、設計和管理信息安全強調的是整體上的信息安全性,而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異,對于不同業務領域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰略性必須涵蓋各部門和各公司的信息安全保障體系的相關內容。
缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關鍵。信息安全保障工作的專業性、技術性很強,沒有一批業務能力強,且具有信息網絡知識、信息安全技術、法律知識和管理能力的復合型人才和專門人才,就不可能做好信息安全保障工作。應該從信息安全建設和管理對信息安全人才的實際需求出發,加快信息安全人才的培養。網站對員工的信息安全教育不夠。員工的信息安全意識薄弱,9O%的安全事故是由于人為疏忽所造成。如有些網站不限制內部人員使用各種高科技信息載體,如U盤、移動硬盤以及筆記本等移動辦公設備。
3.電子商務網站信息安全的技術對策
3.1 應用數字簽名
數字簽名是用來保證信息傳輸過程當中信息的完整和提供信息發送者身份的認證,應用數字簽名可在電子商務中安全,方便地實現在線支付,而數據傳輸的安全性、完整性,身份驗證機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決。
3.2 配置防火墻
防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能阻止網絡中的黑客來訪問你的網絡,防止他們更改、拷貝、毀壞你的重要信息。它能控制網絡內外的信息交流,提供接人控制和審查跟蹤,是一種訪問控制機制。在邏輯,防火墻是一個分離器、限制器,能有效監控內部網和Internet之間的任何活動,保證內部網絡的安全。
3.3 應用加密技術
密鑰加密技術的密碼體制分為對稱密鑰體制和公用密鑰體制兩。相應地,對數據加密的技術分為對稱加密和非討稱力日密兩類。根據電子商務系統的特點,全面加密保護應包括對遠程通信過程中和網內通信過程中傳輸的數據實施加密保護。一般來說,應根據管理級別所對應的數據保密要求進行部分加密而非全程加密。
3.4 訪問控制技術
這種技術主要采用防火墻,最初是針對Internet網絡不安全因素所采取的一種保護措施。是用來阻擋外部不安全因素影響的內部網絡屏障,其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成,防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。利用防火墻廣泛的安全政策控制信息流,可以達到訪問控制、授權認證、安全檢查、加密、集中管理、報警和監督記錄等功能。目前使用較多的是包過濾技術防火墻和采用技術的防火墻。兩種防火墻的結合,雙重保證了系統的安全性。
3.5 安全認證協議
安全認證協議包括安全電子商務交易協議和安全套接層協議。安全電子交易協議,是為了在互聯網上進行在線交易時保證信用卡支付的安全而設立的一個開放的規范。由VISA和MasterCard兩大信用卡公司于1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。
參考文獻
[1]周均.電子商務信息安全的政策法律研究[J].科技文獻信息管理,2004(4):57.
[2]楊穎.電子商務安全問題分析[J].中國科技信息,2005(20):53.
【關鍵詞】移動電子商務安全 移動電子商務管理 移動電子商務法律
移動電子商務是以計算機和移動通訊終端為載體,由互聯網技術和無線上網技術為支撐所構成的移動電子商務體系。隨著移動互聯網通信技術的發展以及電子商務活動的普及,移動電子商務已成為人們生活的重要組成部分。
但是在移動電子商務給人們帶來便利的同時,也產生了一些新的問題,其中安全問題已成為制約移動電子商務健康發展的首要問題。互聯網時代的移動電子商務不同于傳統的電子商務,其安全問題更加復雜,解決難度更大。因此,如何建立一個安全穩定的移動電子商務環境對于移動電子商務的發展具有重要意義。
一、移動互電子商務面臨的安全問題
(一)技術面臨的主要問題
無線通信網絡是發展移動電子商務的必要技術,但人們在享用無線通信帶來便利的同時,移動電子商務同樣面臨多種安全威脅,主要包括以下幾個方面:
1.無線竊聽。在無線通信過程中,因為信道開放的原因,所有的通信內容、如通話信息,設備信息,身份信息等都有可能被擁有一定信號接收設備的人竊聽。除此之外,還可以利用無線定位技術實行位置追蹤,這樣會對企業或個人造成非常大的安全隱患。
2.冒充和篡改。冒充篡改是指由于無線網絡通信信道的開放性,當攻擊者掌握了通信的密碼或者截獲了使用者的身份信息,就可以利用這個身份在網絡中自由活動。另外,攻擊者通過使用截獲的使用者身份信息,進入網絡中心控制網絡最高控制權,從而達到竊取機密的目的。
3.惡意破壞。當攻擊者侵入網絡后,可以在正常通訊的信息基礎上進行修改或者惡意的插入一些數據和指令,造成服務器工作異常。
4.黑客和病毒。與有線網絡一樣,無線移動通訊網絡和移動終端也會面臨著黑客和病毒的威脅。隨著移動智能終端的普及和移動互聯網技術的不成熟性,移動互聯網電子商務應用軟件和網站已成為了黑客攻擊的首選。
(二)管理上面臨的主要問題
1.移動終端的安全管理問題。移動終端因其可以隨身攜帶,數據信息查找便捷等特點使很多用戶將比較機密的個人資料或商業信息存儲在移動設備當中,如重要通訊錄,銀行帳號甚至密碼等,但是由于移動終端便攜性,沒有第三方物理保護措施,所以很容易損壞或者丟失。很多用戶沒有備份重要信息和設置安全密碼保護的習慣,一旦遭竊往往造成嚴重的后果。
2.工作人員的安全管理問題。在移動電子商務安全方面,人們往往從技術角度出發,從而忽略了人員的安全管理問題,事實上,安全管理同樣重要,受過良好技術訓練卻缺乏職業道德的員工往往是企業巨大的安全隱患。我國企業對員工的保密培訓不夠重視,而且缺乏強有力的監督控制和追訴機制,在這樣等環境下難免造成部分企業不擇手段獲取競爭對手的商業機密。
(三)法律上面臨的主要問題
面對國內移動安全領域諸多的問題,我國政府和相關主管部門也相繼出臺了相關法律法規,但是因為電子商務產業自身存在的較多的特殊性和快速發展等原因,導致政策法規的實用性存在問題,在一定程度上阻礙了我國電子商務的發展,比如:
第一,有些法律法規的門檻過高,使之失去了存在的實際意義。執法人員很難確定其違法行為,更難對這些違法行為進行處理;
第二,某些法律法規急于強化管理,卻沒有充分考慮現實情況。既達不到約束效果,還造成了一定的負面作用;
第三,某些政策措施不能充分估計移動電商的特殊性,不利于移動電子商務的長遠發展;
第四,某些政策措施涉嫌與民爭利等等問題。因而研究與制定相關的法律法規,采取相應的法律保障措施是電子商務系統健康發展的一個必不可少的條件。
二、移動電子商務安全問題的解決對策分析
(一)技術措施
在維護移動電商企業內部安全的技術方面可以更新和改進傳統的用戶密權限管理技術,積極引進新的身份識別技術,比如:生物特征方面的指紋鎖、聲音鎖和面部特征識別等,提升安全性;
基于云計算的互聯網時代,企業在維護交易數據安全傳輸的技術方面,可以充分利用虛擬服務器中的實用計算架構和管理服務提供商MSP架構來優化改良傳統企業安全防范模式;
另外為了保障移動電子商務交易活動中最為關鍵的資金流動特別是移動支付的安全,可以通過透明安裝和智能監控機制保證手機APP支付接口安全。
(二)管理措施
首先是高層管理人員,要提高對移動互聯網安全的重視程度,改變過去重技輕管的局面,然后與技術開發人員一起商定企業安全防御方案,制定企業安全標準和條例;
技術開發人員也應該重新培訓或進行深造,學習掌握更多更全面的安全技術,有利于應對新的病毒程序和惡意攻擊;
對于普通員工的企業信息安全意識培訓也是不能忽視的,員工危機意識的培養不僅有利于平時防范企業機密泄漏,而且也有利于企業危機突發時候快速有效的進行處理。
此外,要特別注意企業安全防御方案執行保障,只有企業從管理人員到普通員工都樹立了危機與安全意識,整個企業的安全水平才能有效提升。
(三)法律措施
移動電商的安全不單單是依靠技術創新和增強管理就能解決的,更需要技術、管理、法律等方面多管齊下共同解決。其涉及的主要法律要素如下:
1.有關移動電子商務交易各方合法身份認證的法律。互聯網時代移動電子商務立法的重中之重是電子身份認證中心的建立,這也是移動電子商務最根本的保護措施,它負責保證移動電子商務的安全與公正。因而,國家法律應該規定電子身份認證中心的權限和功能,同時要立法明確規定對電子身份認證中心的監督管理以及違規后的處罰措施。
2.有關保護交易者個人以及交易數據的法律。本著最小限度收集用戶個人信息,最大限度保護用戶隱私的原則制定法律,除了建立信息收集保護用戶的安全規范條例,也要建立泄密追責制度,以消除用戶對個人隱私數據無法得到安全保護的擔憂,從而吸引更多的人參與移動商務。
3.有關移動電子商務中合同法性及如何進行認證的法律。移動電子商務的電子合同,電子商務憑證的法律效力,以及電子簽名的合法性都需要立法確認,還應該對于竊取,偽造電子商務憑證的違法行為做出相應的處罰規定。
關鍵詞:在線交易;支付寶;網購;轉賬
一、電子商務操作過程中存在的安全隱患
對于電子商務的操作過程中無論是消費者還是企業或店主(包括個人)都存在著一定的風險或者說安全隱患,其中對于消費者來說,面臨著更多的安全威脅。
1.詐騙、中獎陷阱
近年來不法分子利用網絡技術向大量手機發送中獎信息,以“XX欄目組幸運觀眾”“XX住院亟須用錢,請轉賬”“被警察帶走,需繳納XX的保證金”“XX家長,您小孩參加聯盟運動會比賽中精彩的照片,附鏈接校通訊”等等詐騙短信層出不窮。對于詐騙類的短信,無論是打開連接還是回復電話,回復驗證碼最終的結果都是人去錢空。而中獎類短信則是需要交納稅金或一部分款項才可以領取大獎。中缺乏自我保護意識的人或僥幸心理的人難免中招。
2.貨到付款陷阱
現階段的網購成為人們日常生活中不可缺少的組成部分,有的人甚至網購成癮,在接收快遞的時候,不采取先驗貨在簽收的原則,這樣一來就給了這些人可乘之機,部分銷售商中的內部人員或快遞員將產品偷梁換柱或以次充好,消費者則需要自己承擔損失。
3.個人信息被惡意泄露
網上交易的過程中,填寫個人的身份信息和住址電話被無良商家打包出售,導致個人信息被泄露,進而引發一系列問題,包括被電話騷擾或短信轟炸。
4.假貨猖獗
購物網站最嚴重的問題就是假貨猖獗,缺乏監管機制,消費者經常會遇到自己所收到的物品與賣家網上展示樣品差別甚大。從美國最新的惡性市場中公布的名單來看,阿里巴巴赫然上榜。
5.釣魚網站
釣魚網站是電子商務時代衍生而來的,無論是在購物還是炒股過程中,消費者都要提高警惕避免上當,其中資深股民劉女士在網絡瀏覽信息時,發現一個名為國金證券的網站,該網站提出每天推薦2只包漲停的股票,高先生被這樣的好事沖昏了頭腦,先是繳納入會費9999成為網站會員,接著又以客戶資金實力驗證為由將10萬元匯入網站錢袋內。幾天過后劉女士發現,客服電話打不通,網站已經被注銷。
有一位網友在進行淘寶購物時,賣家先是發送名為圖片的壓縮包,當消費者解壓后發現無法運行,賣家稱發錯文件,但是當該消費者在淘寶進行消費時,先后4筆金額分別為12000元,4100元,8410元,6900元的訂單支付過程中,在支付成功查看已買寶貝時發現頁面顯示異常,但是銀行卡內的錢已經被轉走。
第一個案例中,消費者是被假冒的釣魚網站騙走大量資金,原因既包括消費者自身的僥幸心理所致,另一方面也是不法分子的高技術詐騙手段,抓住了消費者的投機心理。第二個案例中,消費者中了網購木馬,賣家在獲取消費者的購買意向后,以實物圖或細節圖的方式發送壓縮包,只要消費者接受運行必然會中招。這些問題的產生出了消費者自身的觀念的缺失也存在著監管部門的缺失問題。
二、消費者在面對安全隱患時應采取的應對策略
1.提高警惕,杜絕僥幸心理
對于網絡上出現的各類高回報投資賺錢計劃不予理會,中獎、抽獎、幸運觀眾短信會相信,不回復,堅信天上會不掉餡餅。對于價格與實物價格過于懸殊的產品不要購買以免上當受騙。對于這類詐騙網站及時與網絡監管部門聯系另外在遇到此類短信或詐騙短信時及時報警,一旦發現被騙及時報警,既能夠盡可能追回損失又能夠給其他消費者以警示,減少此類案件的產生,共同努力凈化網絡環境。
2.先驗貨后付錢,保護財產安全
根據對快遞的新規的解讀,在進行快件簽收時,對于快件破損或異常情況下要求先驗貨在簽收,在確保物品完好的情況下完成交易,特別是對于貨到付款的物品,可以當著快遞員的面以錄像等方式進行驗收,一旦發現貨不對版的情況則拒絕簽收或拒絕付款。出現爭議或爭端后可將將視頻發給購物終端進行投訴,與賣家進行溝通協商,當不能達成一致則需要維權售后。利用合理的手段維護自身的合法權益。
3.加強交易安全意識
提高消費者自身的交易安全意識,可以在電腦上下載網購保鏢,確保能夠攔截網購木馬,及時清理電腦中安全隱患。消費者自身要加強身份雅正或密碼鑰匙的使用,通過多方加密技術或認證技術來保障交易的安全。同時對于消費的網站要有足夠的了解,充分利用數字證書等進行消費驗證,從意識上提高安全消費的觀念,從行為上不給不法分子可乘之機。
4.合理維權
面對當前假貨猖獗的購物行為,消費者可以通過較大的購物平臺進行,綜合考量賣家情況、產品細節、購物售后服務等等情況,通過購買運費險來保證未來退換貨。當一單出現質量問題及時與賣家溝通退換,當不能達成一致后可以采取淘寶介入的方式,各大型購物網站的客服部門都可以作為交易糾紛的處理部門,在購買過程中將盡量使用能夠保存的交易記錄、聊天記錄等內容,維護自己的合法權益。
在遇到網絡詐騙的情況,一旦出現及時向公安部門舉報,為公安部門提供更多的素材和證據,當消費者已經受騙則需要盡快保安,并請求公安機關及時查封網站或轉賬手機、銀行賬戶,力求挽回損失。
三、總結
在電子商務過程中,消費者無疑是弱勢一方,面對復雜的網絡交易環境,作為消費者要從觀念意識是上重視起電子商務中的安全性問題,對于售價過低或條件過于優渥的條件要多思考,提高警惕,杜絕僥幸心理。當涉及交易轉賬交易時要確認好匯款方信息,確保安全的情況下進行匯款或轉賬。總之,消費者在涉及電子商務交易過程中要從意識上、行為上多方面綜合入手,爭取理性消費。
參考文獻:
[1]王銀蓮.電子商務安全問題探討[J].今日科苑,2008(14)
[關鍵詞] 電子商務 網絡購物 安全對策
隨著Internet的發展,電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,時下,網絡購物正在成為一種新型的購物方式.但是,網絡購物的安全問題一直是很多人擔心的焦點問題,下面,我就電子商務時代網絡購物的安全進行分析,并提出相應的對策。
一、電子商務時代
所謂電子商務是指主要運用電子形式完成的商務,是市場、商務流、交易過程的整合和運行環境的數字化 、電子化,是相關過程的綜合創新。 在中國,電子商務開始是以技術為本,到以應用為本,現在到了以人為本。在電子商務的運作過程中涉及到企業或個人的消費者、網上的商業機構、CA認證中心、物流配送體系和銀行。它們通過Internet網絡連接在一起。
二、網絡購物的特點
簡單來說,網上購物就是把傳統的商店直接“搬”回家,利用internet直接購買自己需要的商品或者享受自己需要的服務。專業地講,它是交易雙方從洽談、簽約以及貸款的支付、交貨通知等整個交易過程通過Internet、web和購物界面技術化的B to C模式一并完成的一種新型購物方式,是電子商務的一個重要組成部分。有過網絡購物經歷的被訪者他們選擇網絡購物的原因主要有方便、價格低以及商品多樣性,價格雖然很重要,但已經不是最重要的因素,方便、省時省力是更多人的選擇理由,如何更進一步發揮網絡購物此方面的優勢,是吸引和維持網民進行網絡購物必須要做的一個重要方面。
三、網絡購物存在分險與安全對策
Internet是一個開放的公網,基于Internet的電子商務給商家、企業和個人帶來了新的機會,同時也給別有用心者留下了廣闊的“施展”空間。在新型的交易環境下,安全是一切交易行為的基礎,所謂安全,是指安全策略、安全標準、安全制度及安全流程的結合。網上購物網需要涉及到很多安全性問題(例如:密碼、信用卡號碼及個人信息等)。還包括相關的法律、政策、技術規范以及網絡安全,加速商品防偽網絡系統工程的建設和提高網絡營銷網站的信譽程度等等,都是是網上交易的關鍵.如何將這些問題處理得當是十分必要的。
“安全=管理+技術”,安全是一整套體系,單點的安全防范技術都不能很好的解決問題。有效管理和采用完善的技術手段相結合組成了安全的體系,該體系安全程度的高低取決于體系中最薄弱的環節。我們常用的安全防范技術有防火墻技術、CA認證技術、數據加密技術和帳號口令技術。
1.防火墻技術
對于外部惡意攻擊,針對“黑客”入侵,采用防火墻(Fire Wall)技術來防護。要使防火墻技術有效,所有接收和發送到Internet的信息都必須經過防火墻,接受防火墻的檢查。防火墻必須只允許被授權的通訊業務通過,并且防火墻本身也必須能夠免滲透,即系統自身對入侵是免疫的。
(1)數據包過濾技術
路由器是網絡內外通訊的必須端口,因此,我們連接時采用包過濾路由器。它是一個檢查通過它的數據包的路由器,限定外部用戶的數據包。
(2)應用網關技術
建立在網絡應用層上的協議過濾、轉發功能,它特定的網關應用服務協議指定數據過濾邏輯,并可根據按應用服務協議指定數據過濾邏輯進行過濾的同時,對數據包分析的結果及采用的措施做登錄和統計形成報告。
(3)服務技術
服務器是設置在Internet防火墻網關的專用應用級編碼。這種服務器由網絡管理員決定允許或拒絕某一特定的應用程序或特定功能。
2.CA(Certificate Authority)認證技術
為了保證秘密的信息不能被人非法獲得,同時保證信息傳輸過程不能被篡改,交易的不可否認性、身份識別、網站不受非法攻擊,通常還要采用CA認證和信息加密技術。
(1)SET:安全電子交易(Secure Electronic Transaction)
SET協議是由VISA和MasterCard兩大信用卡公司于1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。
(2)PKI:公共密鑰基礎結構(Pubic Key Infrastructure)
PKI(Pubic Key Infrastructure)是一種易于管理的、集中化的網絡安全方案。它可支持多種形式的數字認證:數據加密,數字簽名、不可否認、身份鑒別、密鑰管理以及交叉認證等。PKI可通過一個基于認證的框架處理所有的數據加密和數據簽名工作。
(3)SSL:安全套接層(Secure Socket Layer)
SSL協議是由網景(Netscape)公司推出的一種安全通信協議,它能夠對信用卡和個人信息提供較強的保護。
四、結束語
網絡經濟是經濟發展的必然要求,我們還需要加強電子商務相關技術的研究工作,加強電子商務相關技術標準的制定工作,充分發揮政府的引導作用,積極探索電子商務盈利模式,使電子商務時代的網絡購物得以安全發展。
參考文獻:
[1]王忠誠主編:《電子商務概論》,機械工業出版社出版
[2]趙燕平主編:《電子商務基礎與應用》,北京大學出版社出版
Abstract: This paper describes the structure, function and basic processes of e-commerce online payment system, proposes the security measures through researching security issues about e-commerce online payment system.
關鍵詞:電子商務網;支付系統;安全對策;安全性問題
Key words: electronic commerce network;payment system;safety measures;security issues
中圖分類號:TP315文獻標識碼:A文章編號:1006-4311(2011)22-0183-02
1電子商務網上支付的基本流程
電子商務網上支付的基本流程如圖1所示。①客戶連接互聯網,用Web瀏覽器進行商品的瀏覽、選擇與訂購,填寫網絡訂單,選擇應用的網絡支付工具,并且得到銀行的授權使用,如信用卡、電子錢包、電子現金、電子支票或網絡銀行賬號等。②客戶對相關定單信息進行加密處理,在網上提交訂單。③商家服務器對客戶的訂購信息進行檢查、確認,并把相關的、經過加密的客戶支付信息等轉發給支付網關,直至銀行專用網絡的銀行后臺業務服務器進行確認,以期待從銀行等電子貨幣發行機構驗證得到支付資金的授權。④銀行驗證確認后,通過建立起來的支付網關的加密信道,給商家服務器回送確認及支付信息,并給客戶回送支付授權請求。⑤銀行得到客戶傳來的進一步授權結算信息后,把資金從客戶賬號撥至開展電子商務的商家銀行賬戶上,借助金融專用網絡進行結算,并分別給商家和客戶回送支付結算成功的信息。⑥商家服務器收到銀行發來的結算成功信息后,給客戶發送網絡付款成功信息和發貨通知。至此,一次典型的電子支付結算流程結束。商家和客戶可以分別借助網絡查詢自己的資金余額信息,以進一步核對。
電子商務網上支付的基本流程只是對目前各種網上支付結算方式的應用流程的簡單歸納,并不表示各種網上支付方式的應用流程與上述的一樣,但大致遵循該流程。
2電子商務網上支付系統的構成
電子商務網上支付體系的基本構成如圖2所示。
其中:①客戶是指與某商家有交易關系并存在未清償的債權債務關系(一般是債務)的一方。②商家則是擁有債權的商品交易的另一方,他可以根據客戶發起的支付指令向金融體系請求獲取貨幣給付。③客戶的開戶行是指客戶在其中擁有賬戶的銀行。④商家開戶行是商家在其中開設賬戶的銀行,其賬戶是整個支付過程中資金流向的地方。⑤支付網關是公用網和金融專用網之間的接口,連接銀行網絡與Internet的一組服務器。支付網關其主要作用是完成兩者之間的通信、協議轉換和進行數據加、解密,以保護銀行內部網絡的安全。⑥金融專用網絡則是銀行內部及銀行間進行通信的網絡,具有較高的安全性。⑦認證機構則負責為參與商務活動的各方(包括客戶、商家與支付網關)發放數字證書,以確認各方的身份,保證電子商務支付的安全性。
除以上參與各方外,電子商務支付系統的構成還包括支付中使用的支付工具以及遵循的支付協議,是參與各方與支付工具、支付協議的結合。
在網上交易中,消費者發出的支付指令,在由商戶送到支付網關之前,是在公用網上傳送的。考慮公用網上支付信息的流動規則及其安全保護,就是支付協議的責任。
3電子商務網上支付系統的安全需求
當電子商務作為一種新型的貿易方式興起時。支付與結算也必須適應網絡環境的特點,但目前存在的這些支付手段都是支付結算長期發展的選擇,在一定的范圍內都有其生命力,因此,在研究網上支付的時候,不能放棄目前的支付手段而只顧創新,應看到傳統支付手段的生命力存在,應研究它們在網絡新環境下的新發展,并在此基礎上進行支付手段的創新設計。商品社會是一個信用的社會,一定的信用關系與信用制度是支付體系得以建立與完善的基礎,同時,支付體系的完善要涉及到以下因素:
3.1 支付承諾在信用關系良好的國家,有時憑一紙簽名或口頭承諾就可實現支付,從而降低了支付成本。要完善支付系統,必須逐步改善人們之間的信用關系,提高支付承諾的地位。
3.2 對違法者的懲罰要對不守信用的違法者采取嚴懲的措施,使其為之付出的代價大于甚至遠遠大于違法所獲得的收益。
3.3 信用積累制度信用積累制度會激勵個人努力保持良好的信用記錄,從而促進整個信用體系的良性循環。
3.4 身份認證信用體系中一定要有身份認證,還要包括信用記錄、背景記錄等功能。
4電子商務網上支付系統安全性問題的研究
4.1 現有解決方案技術的發展進步已為以上方面提供了可能的解決方案。現有電子商務網上支付系統的安全體系結構一般分為三大層次
4.1.1 第一層:基本加密算法目前廣泛采用現代加密技術與以下兩種體制,兩種體制主要區別是加密解密的密鑰不同。對稱密鑰體制(又稱單鑰密鑰體制),即對信息加解密使用的密碼是同一密碼。非對稱密鑰體制(又稱公鑰密鑰體制),即密鑰被分解為一對,一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰。
4.1.2 第二層:安全認證手段①數字摘要(Digital Digest)。采用中一向Hash函數,將需要加密的信急原文通過特定的變換,將其“摘要”成一串128位的密文。利用這段摘要,就可以驗證通過網絡傳輸收到的文件是否是初始,未被非法修改的文件原文了。②數字信封(Data Envelop)。采用密碼技術的手段保證只有規定的收信人才能閱讀信的內容的一種安全認證手段。它保證了在網上傳輸文件信息的保密性和安全性,即便加密文件被他人非法截獲,因為截獲者無法得到發送方的通信密鑰,不可能對文件進行加密。③數字簽名(Digital Signature)。只有信息發送者才能產生的別人無法偽造的一段數據串。④數字時間戳(Digital Timestamp)。數字時間戳服務是網上安全服務項目,由專門的機構提供。⑤數字證書和數字憑證(Digital Critical & Digital ID)。用電子手段來證實一個用戶的身份和對網絡資源的訪問和權限。⑥認證中心(CA)。CA認證中心就是承擔網上安全電子交易認證服務,能簽發數字證書并能確認用戶身份的服務機構。
4.1.3 第三層:安全認證協議①安全文本傳輸協議(S-HTTP:Secure HTTP)是對HTTP協議的擴展,保障WEB站點間交易的機密性、可靠性、完整性。它并不依賴于特定的密鑰證明系統,目前支持RSA,帶內和帶外以及Kerberos密鑰交換。②安全套接層協議(SSL)是一種利用公開密鑰技術的工業標準。它提供一個終端對終端的加密了的通信會話。它嵌套在傳送層與應用層之間,由兩個協議組成。③安全電子交易協議(SET)一種應用在Internet上、以信用卡為基礎的電子付款系統規范,一個用以保護電子交易的隱私和保證交易的真實性的開放標準。它采用公鑰密碼體制和X.509數字證書標準,目的就是為了保證網絡交易的安全。
4.1.4 支付網關支付網關與支付型電子商務業務相關,位于公網和傳統的銀行網絡之間,主要完成通信、協議轉換和數據解密功能,并且可以保護銀行內部網絡。此外,支付網關還具有密鑰保護和證書管理等其它功能[1]。
4.2 現有解決方案中存在的問題
4.2.1 安全體系的基礎―加密算法存在許多缺陷現有的私鑰密鑰體制中,IDFA和DES運行速度很快,但密鑰管理很困難;而且DES算法(56bits)已被數以萬計的網民們用窮舉法在20余小時聯手破譯了。現有的公鑰密鑰體制中,國際上比較流行的公鑰加密算法有RSA算法、EIGamal和橢圓曲線算法等。其中,RSA最有名,但RSA129(模長十進制129位)系統仍然在1994年被美國貝爾電報電話公司首席科學家等人強行破譯了。現有的RSA154雖不失為強公鑰密鑰體制之一,但其安全強度有待加強;其加解密速度太慢,只適于傳送私鑰密鑰體制的密鑰。
4.2.2 電子商務認證體系有待進一步健全一方而是設立的數量不夠和分布不平衡;另一方而是認證程序的普及不夠。目前我國國內雖已建有幾十家CA中心,但都或地域或行業各自為政,形成一個電子商務時代的CA割據局而,使得本來就發展較晚的電子商務更加步履艱難。
4.2.3 目前仍沒有一個完全成熟的標準交易協議SSL協議雖然能有效地滿足傳送中數據的保密性并且保護數據不被修改,但它仍然有一定的缺陷:如客戶身份驗證,即使在SSL3.0中發展了客戶身份驗證和數據加密方法,設計SSL3.0的應用程序時可能還會出現一些問題 [2]。
4.3 提出的安全對策針對兩種密碼體制對密鑰管理以及當前的加密算法進行改進,同時與各環節,諸如交易協議、數字簽名、數字信封以及數字時間戳等相結合并應用。采用不等長編碼對數據加密的方法;把不同的加密方法結合在一起使用等等。并且對先進加密算法AES進行研究與緊密地跟蹤。這幾年來,除了使用普通加密系統、解密系統以外,還產生了一個新概念:信息偽裝,即把機密資料通過秘密的手段隱藏在另一個不是機密文件的內容之內,它的形式能夠是任意的一種數字媒體,例如通常的文檔、圖像、視頻以及聲音……,它的首要目標就是要有很好的隱藏技術。
以卡為中心的業務運用與卡交換中心的試點工程在銀行業分別得到發展和建立。很多商業銀行都發展了網絡銀行以及電話銀行業務,同時開展了CA認證的工作。當前,銀行業統一的CA認證中心CAFA在我國已建立,商業銀行,以中國銀行為例,還建立了自身的CA認證中心,并對當中的一些安全問題采取了有關的信息安全措施。按照當前我國支付系統,試圖對SET的交易流程進行改進時,可從從支付網關子系統、商戶交易安全平臺子系統和客戶管理子系統二方進行考慮。以Web為基礎的應用程序的客戶交易(Agent)以及商戶交易安全平臺,讓用戶能夠安全地使用瀏覽器連接被保護的站點,其含有用戶的客戶交易以及商戶交易安全平臺。Agent與商戶交易安全平臺通過協商形成安全會話,對Web服務器同瀏覽器間的傳輸數據進行保護,Agent的職責為管理Browser端密鑰和同服務器端連接的安全性;而商戶交易安全平臺的責任是確保服務器端的安全性和管理服務器端密鑰。Agent對收到瀏覽器發送的數據進行加密與簽名,激昂而把保護的數據傳到商戶交易安全平臺,而商戶交易安全平臺再把這些數據送到Web Server之前解密與驗證。
在高安全性的加密設備被廣泛地應用在應用系統和網絡通訊等方面,諸如支付密碼、防火墻設備以及身份認證技術……,諸如支付密碼器等各類型的加密設備都在銀行取得了普遍的利用。通過數字簽名技術、一維條碼技術,利用特用于防偽造的電子票據達到跨幣種、跨地域以及跨銀行網上安全支付平臺的全而兼容性。應用此些安全保密技術以及設備將在最大程度上增強支付系統的安全性,進而確保了資金的安全。
總之,要建立安全的電子商務網上支付系統,除了前面所論述的支付系統自身的安全體系外,還要考慮操作系統、數據庫系統、內外部網和軟硬件管理等各方面的安全性,即全方位實施物流、信息流和資金流等環節的安全措施[3]。
5電子商務網上支付系統的模式
20世紀90年代以來,電子商務活動蓬勃發展,各種形式的網上支付成為在Internet上開展電子商務活動與商品交換的中間手段和重要工具。許多國家在推廣使用基于傳統金融網的電子支付的同時,開始建設網絡貨幣支付系統。按照所依賴的支付工具的不同,即根據不同的網絡貨幣類型,可以把這些網上支付系統劃分成3種基本類型:基于信用卡的網上支付系統、電子現金支付系統和電子支票支付系統。
5.1 基于信用卡的網上支付系統信用卡支付是美國等發達國家人們進行日常消費的一種常用支付工具,信用卡支付系統與其它形式的支付相比其優點是:信用卡使用簡單方便,而且被全世界所廣泛發行和接受,占有很大的市場份額。如今在Internet上,信用卡支付同樣是最普通和首選的支付方式。先后在網上出現的信用卡支付系統包括無安全措施的信用卡支付、通過第三方人的信用卡支付、簡單加密信用卡支付和基于SET的信用卡支付等幾種信用卡網上支付模式。由于無安全措施的信用卡支付方式對信用卡信息未做加密處理,對消費者來說,其信用卡信息的安全根本得不到保證;對商家來說消費者的身份也得不到驗證,因而這種無完全保障的支付方式早已被淘汰。
5.2 電子現金網上支付系統按其載體來劃分,目前電子現金主要包括兩類:一類是幣值存儲在IC卡上的電子錢包卡形式;另一類則是以數據文件的形式存儲在計算機的硬盤上。由此,電子現金網上支付系統包括電子錢包卡模式與純數字現金模式兩種。
5.3 電子支票網上支付系統目前,電子支票主要還是通過專用網絡系統進行傳輸的,公共網絡上使用電子支票支付行為還較少。為了保證電子支票的安全傳輸和方便使用,國際金融機構為此建立了專用網絡、設備、軟件及一套完整的用戶識別、標準報文、數據驗證等規范化協議。通過專用網絡進行電子支票交換的方式已經較為完善,現在發展電子支票的主要問題是如何將電子支票結算系統寬展到Internet上。
在線的電子支票可在收到支票時即驗證出票者的簽名、資金狀況,避免了傳統支票常發生的無效或空頭支票的現象。另外,電子支票遺失可辦理掛失止付。因此電子支票既可滿足B2B交易方式的支付需要,同時也可用于B2C交易方式的結算,而且成本低,支付速度快,安全性高,不易偽造。
網上電子支票主要通過互聯網和金融專線網絡,用發送E-mail的方式傳輸,并用數字簽名加密,進行自己的劃撥和結算,它是網絡銀行常用的一種電子支付工具。通常情況下,電子支付的收發雙方都需要在銀行開設賬戶,讓支票交換后的票款能直接在賬戶間轉移,而電子支票支付系統則通過身份認證、數字簽名等手段,以彌補無法面對面地進行交易所帶來的缺陷。
一般地,網絡銀行和大多數銀行金融機構通過建立電子支票支付系統,在各個銀行之間可以靠發出并接受電子支票,就可以向廣大顧客提供使用電子支票的電子支付服務。
參考文獻:
[1]徐學軍.我國發展電子商務的主要瓶頸及對策.科技管理研究,2004,(2).
