序言:寫作是分享個人見解和探索未知領域的橋梁��,我們為您精選了8篇的數字貿易存在的問題樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀����。
第1篇
[關鍵詞]電子商務安全技術密鑰數字簽名
一����、引言
電子商務是以電子信息技術為基礎的商務運作��,是信息技術的發展對社會經濟生活產生巨大影響的一個實例,也是網絡新經濟迅猛發展的代表�。電子商務的核心內容是網上交易�����,尤其是通過公共的因特網將眾多的社會經濟成員聯系起來的網上交易更是成為發展的熱點,
電子商務所具有的廣闊發展前景����,越來越為世人所矚目��。但在Internet給人們帶來巨大便利的同時���,也把人們引進了安全陷阱�。目前��,阻礙電子商務廣泛應用的首要也是最大的問題就是安全問題��。電子商務中的安全問題如得不到妥善解決,電子商務應用就只能是紙上談兵��。從事電子商務活動的主體都已普遍認識到電子商務的交易安全是電子商務成功實施的基礎�����,是企業制訂電子商務策略時必須首先要考慮的問題��。對于實施電子商務戰略的企業來說,保證電子商務的安全已成為當務之急。
二��、電子商務過程中面臨的主要安全問題
從交易角度出發���,電子商務面臨的安全問題綜合起來包括以下幾個方面:
1.有效性
電子商務以電子形式取代了紙張�,那么保證信息的有效性就成為開展電子商務的前提。因此����,要對網絡故障、操作錯誤�、應用程序錯誤�、硬件故障����、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻��、確定的地點是有效的��。
2.真實性
由于在電子商務過程中��,買賣雙方的所有交易活動都通過網絡聯系,交易雙方可能素昧平生���,相隔萬里。要使交易成功�,首先要確認對方的身份���。對于商家而言��,要考慮客戶端不能是騙子,而客戶端也會擔心網上商店是否是一個玩弄欺詐的黑店����,因此����,電子商務的開展要求能夠對交易主體的真實身份進行鑒別��。
3.機密性
電子商務作為貿易的一種手段��,其信息直接代表著個人、企業或國家的商業機密��。如信用卡的賬號和用戶名被人知悉�,就可能被盜用而蒙受經濟損失;訂貨和付款信息被競爭對手獲悉����,就可能喪失商機。因此建立在開放的網絡環境電子商務活動,必須預防非法的信息存取和信息在傳輸過程中被非法竊取。
三��、電子商務安全中的幾種技術手段
由于電子商務系統把服務商�、客戶和銀行三方通過互聯網連接起來,并實現了具體的業務操作。因此,電子商務安全系統可以由三個安全服務器及CA認證系統構成����,它們遵循共同的協議��,協調工作,實現電子商務交易信息的完整性、保密性和不可抵賴性等要求�。其中采用的安全技術主要有以下幾種:
1.防火墻(FireWall)技術
防火墻是一種隔離控制技術���,在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障���,阻止對信息資源的非法訪問�,也可以使用防火墻阻止專利信息從企業的網絡上被非法輸出。
2.加密技術
數據加密技術是電子商務中采取的主要安全措施��,貿易方可根據需要在信息交換的階段使用�。在網絡應用中一般采取兩種加密形式:對稱加密和非對稱加密,采用何種加密算法則要結合具體應用環境和系統����,而不能簡單地根據其加密強度來做出判斷��。
(1)對稱加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰�����。也就是說���,一把鑰匙開一把鎖��。這種加密算法可簡化加密處理過程�,貿易雙方都不必彼此研究和交換專用的加密算法�,如果進行通信的貿易方能夠確保私有密鑰在交換階段未曾泄露,那么機密性和報文完整性就可以得到保證���。不過���,對稱加密技術也存在一些不足�,如果某一貿易方有n個貿易關系,那么他就要維護n個私有密鑰���。對稱加密方式存在的另一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享一把私有密鑰�。目前廣泛采用的對稱加密方式是數據加密標準(DES)�,它主要應用于銀行業中的電子資金轉賬(EFT)領域��。DES對64位二進制數據加密�,產生64位密文數據�。使用的密鑰為64位,實際密鑰長度為56位(8位用于奇偶校驗)。解密時的過程和加密時相似,但密鑰的順序正好相反����。
(2)非對稱加密/公開密鑰加密
在Internet中使用更多的是公鑰系統�,即公開密鑰加密�����。在該體系中���,密鑰被分解為一對:公開密鑰PK和私有密鑰SK����。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開�����,而另一把則作為私有密鑰(解密密鑰)加以保存��。公開密鑰用于加密����,私有密鑰用于解密,私有密鑰只能由生成密鑰對的貿易方掌握��,公開密鑰可廣泛�,但它只對應于生成該密鑰的貿易方。在公開密鑰體系中����,加密算法E和解密算法D也都是公開的�����。雖然SK與PK成對出現,但卻不能根據PK計算出SK����。
公開密鑰算法的特點如下:
用加密密鑰PK對明文X加密后����,再用解密密鑰SK解密,即可恢復出明文�����,或寫為:DSK(EPK(X))=X�。
加密密鑰不能用來解密,即DPK(EPK(X))≠X
在計算機上可以容易地產生成對的PK和SK��。
從已知的PK實際上不可能推導出SK�。
加密和解密的運算可以對調,即:EPK(DSK(X))=X
常用的公鑰加密算法是RSA算法�,加密強度很高��。具體做法是將數字簽名和數據加密結合起來。發送方在發送數據時必須加上數字簽名��,做法是用自己的私鑰加密一段與發送數據相關的數據作為數字簽名�����,然后與發送數據一起用接收方密鑰加密。這些密文被接收方收到后����,接收方用自己的私鑰將密文解密得到發送的數據和發送方的數字簽名��,然后用方公布的公鑰對數字簽名進行解密,如果成功����,則確定是由發送方發出的�����。由于加密強度高,而且不要求通信雙方事先建立某種信任關系或共享某種秘密���,因此十分適合Internet網上使用。
3.數字簽名
數字簽名技術是實現交易安全核心技術之一���,它實現的基礎就是加密技術。以往的書信或文件是根據親筆簽名或印章來證明其真實性的����。但在計算機網絡中傳送的報文又如何蓋章呢��?這就是數字簽名所要解決的問題。數字簽名必須保證以下幾點:接收者能夠核實發送者對報文的簽名��;送者事后不能抵賴對報文的簽名����;接收者不能偽造對報文的簽名。現在己有多種實現數字簽名的方法,采用較多的就是公開密鑰算法���。
4.數字證書
(1)認證中心
在電子交易中��,數字證書的發放不是靠交易雙方來完成的����,而是由具有權威性和公正性的第三方來完成的��。認證中心就是承擔網上安全電子交易認證服務��、簽發數字證書并確認用戶身份的服務機構。
(2)數字證書
數字證書是用電子手段來證實一個用戶的身份及他對網絡資源的訪問權限。在網上的電子交易中��,如雙方出示了各自的數字證書��,并用它來進行交易操作�,那么交易雙方都可不必為對方身份的真偽擔心���。
5.消息摘要(MessageDigest)
消息摘要方法也稱為Hash編碼法或MDS編碼法�。它是由RonRivest所發明的。消息摘要是一個惟一對應一個消息的值。它由單向Hash加密算法對所需加密的明文直接作用,生成一串128bit的密文,這一串密文又被稱為“數字指紋”(FingerPrint)。所謂單向是指不能被解密,不同的明文摘要成密文��,其結果是絕不會相同的�,而同樣的明文其摘要必定是一致的,因此,這串摘要成為了驗證明文是否是“真身”的數字“指紋”了�。
四��、小結
本文詳細探討了電子商務安全體系所面臨的問題,并提出了安全防護的幾種技術手段�����,相信隨著時間的推移和技術的發展,電子商務安全體系將越來越完善,足不出戶而通過Internet電子商務系統實現購物、交易和做生意將成為人們生活的新時尚。
參考文獻:
[1]徐海來:電子商務的運作與安全[J].中國信息導報,2000.6:126
[2]劉進:電子商務網上交易系統[M].第一版�,北京:機械工業出版社,2003:157
第2篇
關鍵詞:安全技術�����;電子商務;英特網
電子商務是利用電子數據交換、電子郵件���、電子資金轉賬及Internet技術在買方與賣方之間進行無紙化的業務信息的交換����。制約電子商務的發展關鍵技術是信息加密技術,要保證傳輸數據的安全和交易雙方的身份確認,當前常用的主要信息加密技術包括:加密技術���、數字簽名、電子證書、電子信封和雙重簽名,安全協議等。
一��、加密技術
加密技術是基本安全技術�,交易雙方根據需要在信息交換的階段使用。加密技術分為對稱加密和非對稱加密。對稱加密用相同的加密算法加密和解密都使用相同的密鑰����。如果進行通信的貿易方能夠確保專用密鑰任密鑰交換階段未曾池露���,那么機密性和報文完整性就可以通過這種加密方法加密機密信息和通過隨報文一起發送報文摘要或報文散列值來實現����。因此�����,對稱加密技術存在著在通信的貿易方之間確保密鑰安全交換的問題��。數據加密標準(DES)由美國國家標準局提出,是目前廣泛采用的對稱加密算法����,主要應用于銀行業中的EFT領域�。DES的密鑰長度為56位���。
非對稱加密將密鑰分為公鑰和私鑰�,公鑰(加密密鑰)通過非保密方式向他人公開,而私鑰(解密密鑰)自己保存用來打開加密的文件。公鑰用于對機密性的加密����,私鑰則用于對加密信息的解密。貿易甲方生成一對密鑰��,公鑰公開發送給公眾��,貿易乙方得到該公鑰�,使用公鑰對機密信息進行加密�����,然后發送給貿易甲方���;甲方再用自己保存的私鑰對加密的信息進行解密��。其他人無法進行解密。RSA算法是非對稱加密領域內最為著名的算法��。
二�����、密鑰管理技術
(一)對稱密鑰管理
對稱加密是基于共同保守秘密來實現的��。采用對稱加密技術的貿易雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的���,同時還要設定防止密鑰泄密和更改密鑰的程序��,這樣,對稱密鑰的管理和分發工作將變成一件潛在危險的和繁瑣的過程����。通過公鑰加密技術實現對稱密鑰的管理使相應的管理變得簡單和更加安全����,同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題��。
(二)公開密鑰管理
貿易伙伴間可以使用數字證書(公開密鑰證書)來交換公開密鑰����。國際電信聯盟制定的標準X.509對數字證書進行了定義���,該標準等同于國際標準化組織與國際電工委員會聯合的IS0/IEC9594-8:195標準��。由專門的機構提供安全服務����,是未來電子商務安全的發展趨勢���。
三��、數字簽名
數字簽名是非對稱加密技術的一類應用��。它的主要方式是:報文發送方從報文文本中生成一個128位的散列值(或報文摘要),并用自己的專用密鑰對這個散列值進行加密,形成發送方的數字簽名;然后���,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方;報交接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密�����。如果兩個散列值相同����,那么接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別和不可否認性��。
ISO/IEC JTCl已經起草有關的國際標準規范�。該標準的題目是“信息技術安全技術帶附件的數字簽名方案”,它由概述和基于身份的機制兩部分構成���。
四�、電子證書
數字簽名是基于非對稱加密技術的,目的是在于解決電子商務中存在兩個明顯的問題:第一,如何保證公開密鑰的持有者是真實的���;第二,大規模網絡環境下公開密鑰的產生、分發和管理。由此�,證書簽發機構(CA��,Certificate Authority)應運而生,它足提供身份驗證的第三方機構,由一個或多個用戶信任的組織實體構成����。CA核實某個用戶的真實身份以后�,簽發一份報文給該用戶��,以此作為網上身份證明����。這個報文稱為電子證書�����,包括:惟一標識證書所有者(CO貿易方)的名稱��、惟一標識證書簽發者的名稱、證書所有者的公開密鑰、證書簽發者的數字簽名�、證書的有效期及證書的序列號等�����。電子證書能夠起到標識貿易方的作用,是目前EC廣泛采用的技術之一。常用的證書有:持卡人證書�、商家證書��、支付網關證書、銀行證書和發卡機構證書等。
五���、電子信封
電子信封是為了解決傳送更換密鑰問題而產生的技術�,它結合了對稱加密和非對稱加密技術的各自優點。發送者使用隨機產生的對稱密鑰加密數據�����,然后將生成的密文和密鑰本身一起用接收者的公開密鑰加密(稱為電子信封)并發送;接收者先用自己的專用密鑰解密電了信封����,得到對稱密鑰���,然后使用對稱密鑰解密數據����。這樣�,保證每次傳送數據部可由發送方選定不同的對稱密鑰。
六��、雙重簽名
在實際商務活動中經常出現這種情形�,即持卡人給商家發送訂購信息和自己的付款賬戶信息,但不愿讓商家看到自己的付款賬戶信息,也不愿讓處理商家付款信息的第三方看到定貨信息�����。在EC中要能做到這點���,需使用雙重簽名技術��。持卡人將發給商家的信息(報文1)和發給第三方的信息(報文2)分別生成報文摘要1和報文摘要2����,合在一起生成報文摘要3�����,并簽名,然后����,將報史l����、報文摘要2和報文摘要3發送給商家�����,將報文2�����、報文摘要l和報文摘要3發送給第一三方;接收者根據收到的報文生成報文摘要�,再與收到的報文摘要合在一起�����,比較結合后的報文摘要和收到的報文摘要3,確定持卡人的身份和信息是否被修改過�。雙重簽名解決了三方參加電子貿易過程中的安全通信問題���。
參考文獻:
第3篇
關鍵詞:電子商務�����;安全措施;探討
1引言
電子商務是通過電子方式處理和傳遞數據�,它涉及許多方面的活動�,包括貨物電子貿易和服務�����、在線數據傳遞、電子資金劃拔、電子證券交易�、商業拍賣�、合作設計和工程����、在線資料、公共產品獲得等內容���。電子商務的發展勢頭非常驚人�,但它的產值在全球生產總值中卻只占極小的份額�����,其原因就在于電子商務的安全問題�����,根據美國一個調查機構對近30000名因特網用戶的調查顯示,由于擔心電子商務的安全性問題�����,超過60%的網民不愿意進行網上交易���,因此�����,如何建立一個安全�����、便捷的電子商務應用環境,對信息提供足夠的保護����,已經成為影響到電子商務健康發展的關鍵性課題��。
2電子商務對安全的要求
對電子商務活動安全性的需求以及可使用的網絡安全措施,主要包含如下幾方面���。
(1)如何確定通信中的貿易伙伴的真實性?常用的處理技術是身份認證,依賴某個可信賴的機構發放證書,雙方交換信息之前通過CA獲取對方的證書���,并以此識別對方。
(2)如何保證電子單證的秘密性,防范電子單證的內容被第三方讀取?常用的處理技術是數據加密和解密�。
(3)如何保證被傳輸的業務單證不會丟失�����,或者發送方可以察覺所發單證的丟失?對于固定且具有頻繁貿易往來的伙伴,可以采用單證傳輸的序列性檢驗;也可采用雙方約定的方法(即在規定的時間內����,通過某種方式進行確認)��。
(4)如何確定電子單證的內容未被篡改;單證傳輸完整性主要采用散列技術來防止非法用戶對單證的篡改����,通過散列算法對被傳輸的單證進行處理�����,產生一個依賴于該單證的短小的散列值,并將該散列值附接在單證之后傳輸給接收方����。以便接收方采用相同的散列算法對接收的單證進行檢驗��。
(5)如何確定電子單證的真實性���?鑒別單證真實性的主要手段是數字簽名技術��,其基礎是數據加密中的公開密鑰加密技術�,實用中常結合單證完整性一起考慮���,利用發送方的密鑰對散列值進行加密�。
(6)如何解決或者仲裁收發雙方對交換的單證所產生的爭議,包括發方或收方可能的否認或抵賴?通常要求引入認證中心進行管理����,由CA發放密鑰��,傳輸的單證及其簽名的備份發至CA保存�,作為可能爭議的仲裁依據��。
(7)如何保證存儲信息的安全性?如何規范內部管理�����?如何使用訪問控制權限和日志以及敏感信息加密存儲?當使用WWW服務器支持電子商務活動時,應注意數據的備份和恢復�,并采用防火墻技術來保護內部網絡的安全性�����。
3電子商務采用的主要安全技術
為了確保電子商務在交易過程中信息有效、真實�����、可靠且保密��,目前主要采用的安全技術有加密技術���、身份認證技術和交易的安全認證協議。安全認證協議用來保證電子商務中交易的安全性��,如set���、ssl��、s/mime�、s-http等��。下面我們主要來介紹這些技術���。
3.1加密技術
加密技術是電子商務系統所采取的最基本的安全措施�,加密的主要目的是防止信息的非授權泄漏����。密碼算法是一些數學公式、法則或程序����,算法中的可變參數是密鑰���。根據密碼算法所使用的加密密鑰和解密密鑰是否相同��,能否由加密密鑰推導出解密密鑰,可以將密碼算法分為對稱密碼算法和非對稱密碼算法��。一般來說�,在一個加密系統中,信息使用加密密鑰加密后,接收方使用解密密鑰對密文解密得到原文。
3.1.1對稱加密/對稱密鑰加密
在對稱加密方法中��,對信息的加密和解密都使用相同的密鑰����,即一把鑰匙開一把鎖。這樣可以簡化加密的處理����,每個交易方都不必彼此研究和交換專用的加密算法。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發生私有密鑰泄漏,那么機密性和報文完整性就可以得以保證。這樣密鑰安全交換是關系到對稱加密有效的核心環節。而對稱加密技術存在著在通信的交易各方之間確保密鑰安全交換的問題��。對稱加密方式存在的另一個問題是無法鑒別貿易發起方或貿易最終方��。因為貿易雙方共享同一把專用密鑰�����,貿易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。目前常用的對稱加密算法有DES、PCR���、IDEA等。其中DES使用最普遍,被采用為數據加密的標準。
3.1.2非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把私有密鑰或解密密鑰)。密鑰對生成后���,公開密鑰以非保密方式對外公開,只對應于生成該密鑰的者;私有密鑰則保存在密鑰方手中�。任何得到公開密鑰的用戶都可使用該密鑰加密信息發送給該公開密鑰的者���,而者得到加密信息后���,使用與公開密鑰相應對的私有密鑰進行解密�����。由此可知�,公開密鑰用于對機密性的加密�����,私有密鑰則用于對加密信息的解密��。目前常用的非對稱加密算法是RSA算法。它是非對稱加密領域內最為著名的算法,但是它存在的主要問題是算法的運算速度較慢����,并且也難以做到一次一密。因此,在實際的應用中通常不采用這一算法對信息量大的信息進行加密。對于加密量大的應用,公開密鑰加密算法通常用于對稱加密方法密鑰的加密�����。
3.2身份認證技術
身份認證技術保證電子商務安全不可缺少的又一重要技術手段��。常見的安全認證技術有數字摘要��、數字信封、數字簽名��、數字時間戳����、數字證書等技術。
3.2.1數字摘要
數字摘要是一種防止數據被改動的方法���,它采用單向HASH函數將需要加密的文件中若干重要元素進行某種變換運算得到固定長度的摘要碼,并在傳輸信息時將之加入文件一同送給接收方����,接收方收到文件后�,用相同的方法進行變換運算�,若得到的結果與發送來的摘要碼相同,則可斷定文件未被篡改�����,反之亦然�。在數字摘要中HASH函數的輸入可以是任意大小的文件消息,而輸出是一個固定長度的摘要。且摘要有這樣一個性質�,如果改變了輸入消息中的任何東西���,甚至只有一位�,輸出的摘要將會發生不可預測的改變��,故而常用數字摘要來判定信息是否被篡改的一項重要技術。
3.2.2數字信封
在大批數據加密中所使用的對稱密碼是隨機產生的��,而接收方也需要此密碼才能對消息進行正確的解密�����。對稱密鑰的傳遞需要加密進行����,即發送方用接收方的公鑰加密此對稱密鑰��。這樣只有接收方用自己的私鑰才能正確地解密此對稱密鑰��,從而正確地解密消息。這種加密傳送密鑰的方法稱為數字信封����。數字信封技術可以保證接收方的唯一性����。即使信息在傳送途中被監聽或截獲���,由干第三方并沒有接收方的密鑰�����,也不能對信息進行正確的解密�����。
3.2.3數字簽名
數字簽名能夠實現對原始報文的鑒別與驗證�,保證報文的完整性�����、權威性和發送者對所發報文的不可抵賴性。在實際生活中���,簽名通常采用書面形式,由甲乙雙方完成���,在網絡環境下,可以用電子簽名作為模擬���。
數字簽名是將數字摘要和公鑰算法兩種加密方法結合起來使用,其可以在提供數據完整性的同時保證數據的真實性�。完整性保證傳輸的數據未被篡改�����,真屬性則保證傳輸過來的數據是由合法者產生的,而不是由其他人假冒。如假設用戶A要寄信給用戶B,他們互相知道對方的公鑰,A用自己的私鑰將簽名內容加密,附加在郵件中,再用B的公鑰將整個郵件加密(注意這里的次序����,如果先加密再簽名的話�����,別人可以將簽名去掉后簽上自己的簽名,從而篡改了簽名)����。這樣這份密文被B收到后�����,B用自己的私鑰將郵件解密,得到A的原文和數字簽名�,然后用A的公鑰解密簽名�����,這樣一來就保兩方面的安全了��。
3.2.4數字時間戳
在電子商務的交易文件中��,時間是一條重要的信息,文件的簽署日期和簽名一樣均是防止文件被偽造和篡改的關鍵性內容���。為了防止在電子交易中,文件簽署的時間信息被修改�����,數字時間戳提供了相應的安全保護�����。數字時間戳服務(DTS)是由專門的機構提供的���。數字時間戳是一個經加密處理后形成的憑證文檔���,它包括三個部分:需加時間戳的文件摘要����;DTS機構收到文件的日期和時間����;DTS機構的數字簽名。
3.2.5數字證書
數字證書是由證書授權中心CA管理和發放的。CA是數字證書的最高管理機構�,是安全電子交易的核心環節���。它作為電子商務交易中中立的�、受信任的���、可仲裁的第三方�����,也是為了解決電子商務中��,交易雙方的信息和身份驗證問題,從根本上保障電子商務交易活動順利進行而設立的�����。在交易支付的過程中�����,參與各方為了證實自己的身份��,需到第三方即認證中心(CA)去認證。數字證書就是認證中心為交易各方頒發的身份憑證。它是一個經CA數字簽名的��、包含證書申請者(公開密鑰擁有者)個人信息及其公開密鑰的文件����。任何交易雙方只有申請到相應的數字證書,才能參加安全電子商務的網上交易����。
3.3安全認證協議
目前電子商務中有兩種安全認證協議被廣泛使用�,即安全套接層SSL協議和安全電子交易SET協議��。
3.3.1SSL協議
SSL安全協議的中文全稱是“加密套接字協議層”�,最初由Netscape公司推出的一種基于RSA和保密密鑰的安全通信協議��,是目前使用最廣泛的電子商務協議����。該協議位于HTTP協議層和TCP協議層之間�,向基于TCP/IP的客戶/服務器應用程序����,提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施�����。該協議在應用程序進行數據交換前�,通過交換SSL初始握手信息來實現有關安全特性的審查。SSL協議可內置于用戶瀏覽器和商家的服務器中�,能方便而低開銷地進行信息加密�����,多用于WEB信用卡的傳送。這樣利用它能夠對信用卡和個人信息提供較強的保護�。
SSL協議運行的基點是商家對客戶信息保密的承諾�����。客戶的信息往往首先傳到商家��,商家閱讀后再傳到銀行��;這樣����,客戶資料的安全性便受到威脅�����。另外��,整個過程只有商家對客戶的認證����,缺少客戶對商家的認證,不能防止商家利用獲取的信用卡號進行欺詐�。隨著電子商務與廠商的迅速增加���,對廠商的認證問題越來越突出����,SSL協議的缺點則越加明顯。SSL協議逐漸被新的SET協議所取代�。
3.3.2SET協議
SET協議的中文全稱“安全電子交易協議”�����,它向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。它是由Vsia國際組織和Mastercard組織聯合國際上多家科技機構�����,共同制定的應用于INTERNET上的以銀行卡為基礎進行在線交易的安全技術標準�����。它采用公鑰密碼體制和X.509數字證書標準�����,主要應用于保障網上購物信息的安全性。SET主要由3個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議在保留對客戶信用卡認證的前提下�,又增加了對商家身份的認證����。它可以對交易各方進行認證�����,可防止商家身份的欺詐。為了進一步加強安全性,使用兩組密鑰對分別用于加密和簽名,通過雙簽名機制將訂購信息同賬戶信息鏈在一起簽名。由于設計較為合理,得到了諸如微軟公司、IBM公司��、Netscape公司等大公司的支持�,已成為實際上工業技術標準。
SET協議的不足之處在于協議復雜,且只適用于用戶安裝了“電子錢包”的場合��。根據統計���,在一個典型的SET交易過程中��,需驗證數字證書9次�����,驗證數字簽名6次;需傳送證書7次,進行5次簽名��、4次對稱加密和4次非對稱加密���;整個交易過程可能會花費1.5~2分鐘��。
4電子商務安全需要進一步完善的配套措施
電子商務要真正成為一種主導的商務模式�,尤其對發展中的中國來說����,發展電子商務,就必須從以下幾個方面來完善配套措施:
(1)突破關鍵技術受制于人的瓶頸�。當前不僅國內幾乎所有的主機�����、交換機、路由器�、網絡操作系統都來自國外,而且美國對出口別國的產品實行密鑰信前控制和長密鑰限制����,因此我們必須依靠自身的力量研制自己的加密算法����,以保證中國電子商務的正常發展�。
(2)我國應盡快對電子商務的有關細則進行立法。當前大多數人信息安全意識淡薄��,以銀行和金融界來看����,大家對安全方面的重視還不夠����,由于有關電子商務的立法和管理剛剛開始��,有人開玩笑說“電子商務目前是個‘三無’行業:無法可依�����、無安全可言、無規可循”���,當然這種說法欠妥,但目前我國關于網絡安全的法律的確還有待完善�����。
(3)大力開發大型商務網站����、發展與之相配套的物流公司。目前我國的電子商務沒有真正深入商務領域而僅僅局限于信息領域,這必將影響我國電子商務進一步的發展。
參考文獻:
[1]周明,黃元江,李建設.株洲工學院學報[J].電子商務中的安全技術研究,2005.1.
[2]張娟.甘肅科技縱橫[M].電子商務網絡安全技術探究,2005.4.
[3]趙乃真.電子商務技術與應用[M].中國鐵道出版社,2003.
第4篇
[論文摘要]隨著Internet的發展與成熟,電子商務交易愈加頻繁,如何保障電子商務交易的絕對安全是電子商務能否健康穩定發展的關鍵�。
電子商務(Electronic Commerce)是指是在全球各地廣泛的商業貿易活動中,在因特網開放的網絡環境下,基于瀏覽器/服務器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動��、交易活動�����、金融活動和相關的綜合服務活動的一種新型的商業運營模式�����。電子商務的重要技術特征是利用網絡來傳輸和處理商業信息,因此該模式的安全主要包括兩個方面:網絡安全和交易安全。計算機網絡安全主要是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標;交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行�����。計算機網絡安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可,然而商務交易是電子商務的核心,是運營價值鏈的根本,因此交易安全對于電子商務來講具有舉足輕重的重要意義���。
一�、電子商務交易存在的安全問題
當許多傳統的商務方式應用在Internet上時,便會帶來許多源于安全方面的問題,如傳統的貸款和借款卡支付/保證方案及數據保護方法、電子數據交換系統�、對日常信息安全的管理等�。電子商務的大規模使用雖然只有幾年時間,但不少公司都已經推出了相應的軟���、硬件產品���。由于電子商務的形式多種多樣,涉及的安全問題各不相同,但在Internet上的電子商務交易過程中,最核心和最關鍵的問題就是交易的安全性�����。一般來說商務交易安全中普遍存在著以下的安全隱患:
(一)竊取和篡改信息�����。由于未采用加密措施,數據信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密���。當入侵者掌握了信息的格式和規律后,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然后再發向目的地�����。這種方法并不新鮮,在路由器或網關上都可以做此類工作���。
(二)假冒和惡意破壞���。由于掌握了數據的格式,并可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨��。由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,其后果是非常嚴重的。
二、電子商務的交易安全要求
(一)信息的保密性����。交易中的商務信息都需要遵循一定的保密規則��。因為其信息往往代表著國家���、企業和個人的商業機密�。而電子商務是建立在一個較為開放的互聯網絡環境上的,它所依托的網絡本身也就是由于開放式互聯形成的市場,才贏得了電子商務,因此在這一新的支撐環境下,勢必要用相應的技術和手段來延續和改進信息的保密性�����。
(二)信息的完整性����。不可否認電子商務的出現以計算機代替了人們大多數復雜的勞動,也以信息系統的形式整合化簡了企業貿易中的各個環節,但網絡的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整�����、統一出現了問題。而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略。因此保持貿易各方信息的完整性是電子商務應用必備的基礎��。
(三)信息的不可抵賴性�����。在交易中會出現交易抵賴的現象,如信息發送方在發送操作完成后否認曾經發送過該信息,或與之相反,接受方收到信息后并不承認曾經收到過該條消息����。因此如何確定交易中的任何一方在交易過程中所收到的交易信息正是自己的合作對象發出的,而對方本身也沒有被假冒,是電子商務活動和諧順利進行的保證�。
當然,在電子商務活動中還有許多要求,比如交易信息的時效界定問題,交易一旦達成后有無撤消和修改的可能等。相信在電子商務的發展中必將涌現各種技術和各項法律法規,規范人們的需求并幫助其實現,以保證電子商務交易的嚴肅性和公正性��。
三����、電子商務交易安全防護技術
(一)加密技術。保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密?�,F在,一些專用密鑰加密(如3DES�����、IDEA����、RC4和RC5)和公鑰加密(如RSA�、SEEK、PGP和EU)可用來保證電子商務的保密性、完整性���、真實性和非否認服務。然而,這些技術的廣泛使用卻不是一件容易的事情。加密技術本身都很優秀,但是它們實現起來卻往往很不理想。現在雖然有多種加密標準,但人們真正需要的是針對企業環境開發的標準加密系統。在電子商務領域應用較為廣泛的加密技術有數字摘要、數字簽名����、數字時間戳以及數字證書技術�����。加密技術的多樣化為人們提供了更多的選擇余地,但也同時帶來了一個兼容性問題,不同的商家可能會采用不同的標準���。
(二)身份認證技術���。在網絡上通過一個具有權威性和公正性的第三方機構認證中心,將申請用戶的標識信息(如姓名��、身份證號等)與他的公鑰捆綁在一起,用于在網絡上驗證確定其用戶身份�。前面所提到的數字時間戳服務和數字證書的發放,也都是由這個認證中心來完成的�����。
(三)支付網關技術���。支付網關,通常位于公網和傳統的銀行網絡之間(或者終端和收費系統之間),其主要功能為:將公網傳來的數據包解密,并按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部傳回來的響應消息,將數據轉換為公網傳送的數據格式,并對其進行加密�。支付網關技術主要完成通信��、協議轉換和數據加解密功能,并且可以保護銀行內部網絡�����。此外,支付網關還具有密鑰保護和證書管理等其它功能(有些內部使用網關還支持存儲和打印數據等擴展功能)����。
交易安全是電子商務正常健康運營的關鍵所在,不同性質的企業應根據自身的特點選擇最為安全和行之有效的防護技術,對于加密�����、身份認證以及支付網關技術不斷的加強測試,加強優化為安全運營構筑強有力的屏障��。
電子商務是因特網爆炸式發展的直接產物,是網絡技術應用的全新發展方向��。以互聯網為依托的“電子”技術平臺為傳統商務活動提供了一個無比寬闊的發展空間,其突出的優越性是傳統媒介手段根本無法比擬的��。然而交易安全問題仍然是影響電子商務發展的主要因素。有一部分人或企業因擔心安全問題而不愿使用電子商務,安全成為電子商務發展中最大的障礙,因此,在探索電子商務交易安全的道路上理論界和企業界要不斷的尋求突破和創新���。
參考文獻:
[1]康曉東等,電子商務及應用[M].北京:電子工業出版社,2004.3.183~218.
第5篇
關鍵詞: 商務英語口譯 數字翻譯 表達體系 模糊性
21世紀的中國在政治、經濟����、文化���、貿易等方面的對外交往更加頻繁����,口譯作為國際政治�����、經濟及文化交流的橋梁和紐帶作用愈顯重要�����。隨著中國市場經濟發展的不斷成熟,國際技術貿易和項目拓展愈來愈需要更多的國際商務英語人才及商務英語口譯人才����。加之目前國內在培養口譯人才時常常把語言培養和技能培養分而治之����,商務英語口譯人員在工作時會面臨更大的挑戰��。其中��,數字翻譯亦是一項難題�����。從事商業或者相關工作��,在詢盤、報盤��、訂單��、支付�、談判���、仲裁等商務活動過程中���,必然會用到很多數字�����。如果譯員譯錯�,甚至是不準確�,都會為客戶帶來重大經濟損失。
一、明確漢英數字表達體系差異
由于中西方文化的差異,思維方式的差異形成了數字表達的差異,這使譯者在口譯中感到束手無策����。而衡量翻譯的兩條基本標準就是:“準確����、流利”(梅德明,2006)?���?谧g更要重視“準確與流利的有機統一”(陳���,2006)。在商務活動中�����,數字翻譯一定要做到準確����。所以,數字翻譯是口譯教學的重點����,也是難點��。漢英數字互譯時涉及數字單位的換算問題,譯員的反應和換算速度會決定翻譯的準確性和流利度。
英文數字是三位數為一個單位����,而中文是四位數為一個單位�����。
Tr:trillion; M:million�; Th:thousand�; H:hundred
中文四位一進和英文三位一進的差異決定了數字翻譯不僅僅是語言翻譯問題�����,還有單位換算問題����。因此�����,在時間緊迫的環境下,口譯員要準確無誤地翻譯出大數字就需要熟練掌握漢英表達體系��,快速換算出目的語表達體系�。
例如:
(1)six hundred eighty-five million,nine hundred fifty-five thousand�,one hundred and twenty-nine tons
六億八千五百九十五萬伍仟一百二十九噸
首先在聽英語時�,按照英語三位數字體系記錄下阿拉伯數字:685�����,955����,129�����,從右往左分別是“千”�、“百萬”���、“億”���。在用中文表達時���,譯員需要把該數據重新劃分:6���,8595����,5129,從右往左分別是“萬”、“億”�����。
(2)十三億八千六百二十四萬五百七十二人
one billion����,three hundred and eighty-six million,two hundred and twenty-four thousand�����,five hundred and seventy two people
要把這個長長的數字翻譯成英語���,處理起來時比較復雜的���。首先��,譯員要按照漢語四位數字體系記錄下阿拉伯數字:13��,8624,0572��。在譯成英文時���,用斜杠或其他符號重新用三位數字體系劃分1/386/240/572���。這樣����,數字中的“0”還不會被忽略。
除此之外,譯員在學習或練習過程中還要注意英美兩國的數字表達體系也有差異。美國英語中數字的基本單位是:十��、百(hundred)�����、千(thousand)、百萬(million)、十億(billion)�����、萬億(trillion)����;英國英語中數字的基本單位原則是:十、百(hundred)、千(thousand)、百萬(million)�、萬億(billion)����。
在英國英語數字表達體系中是沒有“十億”單位的���,所以��,譯員在工作中要十分警惕這種現象��。
例如:
漢英及英國英語和美國英語數字表達體系的差異使得譯員在商務口譯活動中要極其謹慎,要根據不同的數字表達體系��、不同的國家進行相應的單位轉換�。
二、正確的模糊
商務英語涉及財經���、貿易、金融等相關的經濟活動���。經濟貿易中所用語言的明確性是經濟活動中的一項基本要求。所以����,在翻譯經貿問題時自然也要求語言明確���,任何小小的錯誤都可能給經濟或商務業務帶來災難。在商務活動中���,商務信函、商務合同中����,還有在有關價格��、裝運����、保險�����、支付�����、談判、仲裁中出現的數字��,譯員務必要保證數字翻譯的準確性和精確性����。
但是,精確和準確與模糊并不沖突��。精確是指非常準確���、非常精確(《現代漢語詞典》�����,1998:667)。模糊是指不分明�����、不清楚(同上:893)����,是指人們對客觀事物的一種朦朦朧朧的感覺。所以����,在商務或經貿活動中���,說話者為了達到目的會使用一些非肯定性語言或者數字�。這種非肯定的數字就含有模糊意義���,是指表達本身的意思多于一種的含義�����,而且這些含義在語義上又都是相關的���。因此�����,譯員在翻譯這些數字時,既要準確地譯出數字��,還要譯出模糊的含義����。
例如:“幾個”���、“十幾個”����、“幾十個”、“more than”、“a little over thirty”�、“less than”���,等等���。
在處理商務活動中的模糊數字時�����,譯員亦需要注意說話者所使用的修飾語��。一般來說,在沒有完全弄懂說話者的目的時,人們常習慣于用“大約”、“about”這樣的詞來修飾數字。但是���,在很多情況下,“大約”和“about”不能真正地表達出說話者的語義。這時�����,由于譯員的“習慣”��,聽者很可能會誤解說話者的意思�����,從而讓雙方都失去了合作的機會。
例如:
(1)我們的機器承載量只有500公斤��。
Our machine weighs only but 500 kilograms.
(2)今年的糧食產量大約是去年的5倍�。
The grain output of this year is about five times as great as that of last year.
(3)該市的輕工業總產值比去年增長了近兩倍���。
The total output of the city’s light industry has increased nearly three times over that of last year.
(4)In less than forty years�����,China has grown to be one of the most powerful nations in the world arena.
在不到四十年的時間里���,中國在國際舞臺上已經成為最有實力的國家之一�。
由此可見����,數字模糊翻譯不是隨意的模糊,而是準確的模糊�,是根據說話人的具體語義和意圖進行恰當的翻譯�����。
另外,在非談判���、報價、詢盤等之類的場合下,譯員如果沒能記下小數點后面的數據���,可以根據情況適當地選擇模糊翻譯方式。例如,同傳。這是一個特殊的場合�����,聽眾只是把聽到的內容或數字作為參考���,并不是把它們作為交易的最后數據或談判數據��。
例如:
(5)我園區在2006年的國內生產總值為63.928億元����,2010年達到235.439億元����。
In 2006��,the GDP of the Industrial Park amounted to more than 6.39 billion Yuan�,but in 2010����,the figure reached over 23.5 billion Yuan.
(6)自從政府采取減貧措施的實施以來,貧困人口由原來的356�,248��,531人減少到了現在的128,000���,720.
Since the government carried out the policy of poverty reduction,the number of the poor population of poor people has decreased from much more than 356 million to about 128 million.
在緊張的情況下�����,譯員采取適當的模糊翻譯既可以減輕自己的壓力,又可以減輕聽眾把每個數字都記下來的壓力����。這樣模糊翻譯是有必要的����。它既不影響翻譯的效果�����,又可以達到交流的目的��。
因此���,商務英語口譯中的精確翻譯是相對的��,而不是絕對的���。相對的精確翻譯涉及說話雙方��、交談內容、目的、方式及其他客觀條件���,同時還不影響商務英語口譯的客觀結果。
三、結語
本文著重探討了漢語數字表達體系���、英國英語表達體系和美國英語表達體系,以及如何在精確地翻譯商務英語中的數字時體現出其中所蘊含的模糊語義��。在商務英語口譯活動中�,既要把握好漢英數字表達體系的不同,又要重視在準確����、精確地翻譯數字時體現出語義中的模糊以達到良好的溝通交流目的��。
參考文獻:
[1]陳,陳建平.商務英語口譯[M].北京:高等教育出版社�,2006���,(1).
[2]梅德明.英語口譯教程[M].北京:高等教育出版社���,2006.
[3]中國社會科學院語言研究所詞典編輯室.現代漢語詞典[Z].北京:商務印書館�,1998.
第6篇
[關鍵詞]網上銀行����;網絡支付;安全性問題
隨著電子商務技術的發展,網上銀行的使用也越來越廣泛,但是網上銀行還存在很大的安全問題,必須引起廣大網民群眾的重視。
一、我國網上銀行存在的安全性問題
1.網上銀行網站存在的安全性問題
在網絡銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網站也不會將密碼視為無效�����。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點”也是網上銀行使用中一個非常重要的安全隱患�����。客戶在不了解情況時就會向虛假站點發送ID和密碼�?����?蛻舭l送完畢后,如果顯示出一個“服務馬上就要停止”的畫面,或者把客戶訪問重新引導到正規站點上,客戶當時是很難察覺的。這樣一來,就存在有人進行非法資金轉移的可能性。
2.交易信息在商家與銀行之間傳遞的安全性問題
因為互聯網的虛擬性,交易雙方無法確保對方身份的真實性,尤其在當事人僅僅通過互聯網交流時,在這種情況下,要建立交易雙方的信用機制和安全感是非常困難的�。資金在網上劃撥,安全性是最大問題,發展網上銀行業務,大量經濟信息在網上傳遞�����。而在以網上支付為核心的網上銀行,電子商務最核心的部分包括CA認證在內的電子支付流程。就是說國內目前的網上銀行還不能算真正的網上銀行,只有真正建立起國家金融權威認證中心(CA)系統,才能為網上支付提供法律保障。
3.交易信息在消費者與銀行之間傳遞的安全性問題
目前,我國銀行卡持有人安全意識普遍較弱,不注意密碼保密,或將密碼設為生日等易被猜測的數字。一旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網上被盜用,例如進行購物消費等,從而造成損失,而銀行技術手段對此卻無能為力。因此一些銀行規定:客戶必須持合法證件到銀行柜臺簽約才能使用“網上銀行”進行轉賬支付,以此保障客戶的資金安全��。另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用�。用戶和銀行之間通過互聯網傳遞的信息是實現交易的基礎條件,如何確保不被第三方知道,是網上業務安全進行的一個重要前提。
綜上所述,其根本原因都是由于登錄密碼或支付密碼泄露造成的。①密碼管理問題�����。②網絡病毒�����、木馬問題��。③釣魚平臺�。另外還有網上支付的信用問題�����、網上支付的法律問題和網上安全認證機構(CA)建設混亂等問題。
二�����、網上銀行安全性問題解決的對策
1.做好自身電腦的日常安全維護
一是經常給電腦系統升級��。二是安裝殺毒軟件���、防火墻,經常升級和殺毒�����。三在平時上網是盡量不上一些小型網站,選大型網站,知名度比較高的網站,避免網站掛有病毒、木馬造成中毒�。四盡量不要在公共電腦上使用自己的有關資金的賬戶和密碼��。五有條件的情況下,在初裝系統后確認電腦安全的后,給自己的電腦做上備份,在使用資金賬戶前做一次系統恢復。
2.設立防火墻,隔離相關網絡
所謂防火墻指的是位與不同網絡安全域之間的軟件和硬件設備的一系列部件的組合,作為不同網絡安全域之間通信流的唯一通道,并根據用戶的有關策略控制進出不同網絡安全域的訪問?���,F實生活中一般采用多重防火墻方案,分隔互聯網與交易服務器,防止互聯網用戶的非法入侵;還用于交易服務器與銀行內部網的分隔,有效保護銀行內部網,同時防止內部網對交易服務器的入侵���。
3.設置高安全級的web應用服務器
高安全級的web服務器使用可信的專用操作系統,憑借其獨特的體系結構和安全檢查,保證只有合法用戶的交易請求能通過特定的程序送至應用服務器進行后續處理����。
4.建立完善的身份認證和CA認證系統
在網上銀行系統中,用戶的身份認證依靠基于“RSA公鑰密碼體制”的加密機制�����、數字簽名機制和用戶登錄密碼的多重保證�。銀行對用戶的數字簽名和登錄密碼進行檢驗,全部通過后才能確認該用戶的身份�����。用戶的惟一身份標識就是銀行簽發的“數字證書”。用戶的登錄密碼以密文的方式進行傳輸,確保了身份認證的安全可靠性�����。數字證書的引入,同時實現了用戶對銀行交易網站的身份認證,以保證訪問的是真實的銀行網站,另外還確保了客戶提交的交易指令的不可否認性����。由于數字證書的惟一性和重要性,各家銀行為開展網上業務都成立了CA認證機構,專門負責簽發和管理數字證書,并進行網上身份審核。2000年6月,由中國人民銀行牽頭,12家商業銀行聯合共建的中國金融認證中心(CFCA)正式掛牌運營����。這標志著中國電子商務進入了銀行安全支付的新階段����。中國金融認證中心作為一個權威的���、可信賴的�����、公正的第三方信任機構,為今后實現跨行交易提供了身份認證基礎�。
5.加強客戶的安全意識和網絡通訊的安全性
銀行卡持有人的安全意識是影響網上銀行安全性的不可忽視的重要因素����。一些銀行規定:客戶必須持合法證件到銀行柜臺簽約才能使用“網上銀行”進行轉賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。新晨
安全性作為網絡銀行賴以生存和得以發展的核心及基礎,從一開始就受到各家銀行的極大重視,都采取了有效的技術和業務手段來確保網上銀行安全�。但安全性和方便性又是互相矛盾的,越安全就意味著申請手續越煩瑣,使用操作越復雜,影響了方便性,使客戶使用起來感到困難�����。因此,必須在安全性和方便性上進行權衡。
互聯網是一個開放的網絡,客戶在網上傳輸的敏感信息在通訊過程中存在被截獲、被破譯�����、被篡改的可能��。為了防止此種情況發生,網上銀行系統一般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數據加密協議����。
參考文獻:
[1]孫強.互聯網商務應用[M].北京:對外經濟貿易大學出版社,2000.
[2]關翔.中國電子商務與實踐[M].北京:清華大學出版社,2000.
第7篇
關鍵詞:電子商務信息安全安全技術
伴隨經濟的迅猛發展����,電子商務成為當今世界商務活動的新模式。要在國際競爭中贏得優勢�����,必須保證電子商務中信息交流的安全����。
一、電子商務的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據��,獲取機密信息或通過對信息流量�、流向、通信頻度和長度分析,推測出有用信息����。2.信息的篡改:當攻擊者熟悉網絡信息格式后���,通過技術手段對網絡傳輸信息中途修改并發往目的地��,破壞信息完整性。3.信息假冒:當攻擊者掌握網絡信息數據規律或解密商務信息后,假冒合法用戶或發送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發信者事后否認曾發送信息����、收信者事后否認曾收到消息、購買者做了定貨單不承認等。
二���、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:
1.信息保密性:維護商業機密是電子商務推廣應用的重要保障��。由于建立在開放網絡環境中�����,要預防非法信息存取和信息傳輸中被竊現象發生��。2.信息完整性:貿易各方信息的完整性是電子商務應用的基礎,影響到交易和經營策略�。要保證網絡上傳輸的信息不被篡改�����,預防對信息隨意生成、修改和刪除�����,防止數據傳送中信息的失和重復并保證信息傳送次序的統一���。3.信息有效性:保證信息有效性是開展電子商務前提�,關系到企業或國家的經濟利益。對網絡故障��、應用程序錯誤�����、硬件故障及計算機病毒的潛在威脅控制和預防���,以保證貿易數據在確定時刻和地點有效�。4.信息可靠性:確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵�����。為防止計算機失效���、程序錯誤�、系統軟件錯誤等威脅��,通過控制與預防確保系統安全可靠��。
三、信息安全技術
1.防火墻技術�。防火墻在網絡間建立安全屏障�����,根據指定策略對數據過濾、分析和審計�,并對各種攻擊提供防范��。安全策略有兩條:一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流����,再審查要求通過信息����,符合條件就通過����;二是“凡是未被禁止就是允許”。防火墻先轉發所有信息���,然后逐項剔除有害內容。
防火墻技術主要有:(1)包過濾技術:在網絡層根據系統設定的安全策略決定是否讓數據包通過��,核心是安全策略即過濾算法設計�����。(2)服務技術:提供應用層服務控制,起到外部網絡向內部網絡申請服務時中間轉接作用��。服務還用于實施較強數據流監控�����、過濾��、記錄等功能。(3)狀態監控技術:在網絡層完成所有必要的包過濾與網絡服務防火墻功能�����。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻����,所用主機稱為堡壘主機,提供服務。(5)審計技術:通過對網絡上發生的訪問進程記錄和產生日志����,對日志統計分析�,對資源使用情況分析����,對異常現象跟蹤監視����。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮�,再通過外部網絡傳輸到目的端解壓縮和解密��。2.加密技術�����。為保證數據和交易安全��,確認交易雙方的真實身份�����,電子商務采用加密技術��。數據加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開��;得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲:貿易方甲用另一把專用密鑰對加密信息解密���。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方��,保證傳輸信息的保密和安全����。(2)數字摘要:也稱安全Hash編碼法���。將需加密的明文“摘要”成一串密文亦稱數字指紋��,有固定長度且不同明文摘要成密文結果不同���,而同樣明文摘要必定一致���。這串摘要成為驗證明文是否真身的“指紋”�。(3)數字簽名:將數字摘要�����、公用密鑰算法兩種加密方法結合。在書面文件上簽名是確認文件的手段��。簽名作用有兩點:一是因為自己簽名難以否認�,從而確認文件已簽署;二是因為簽名不易仿冒��,從而確定文件為真�。(4)數字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容,數字時間戳服務能提供電子文件發表時間的安全保護�。
3.認證技術��。安全認證的作用是進行信息認證。信息認證是確認信息發送者的身份�,驗證信息完整性����,確認信息在傳送或存儲過程中未被篡改�����。(1)數字證書:也叫數字憑證����、數字標識�����,用電子手段證實用戶身份及對網絡資源的訪問權限���,可控制被查看的數據庫�,提高總體保密性�����。交易支付過程中,參與各方必須利用認證中心簽發的數字證書證明身份����。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心��。無論是數字時間戳服務還是數字證書發放,都需要有權威性和公正性的第三方完成��。CA是承擔網上安全交易認證服務����、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請�、簽發及對數字證書管理��。
4.防病毒技術。(1)預防病毒技術,通過自身常駐系統內存�,優先獲取系統控制權����,監視系統中是否有病毒,阻止計算機病毒進入計算機系統和對系統破壞���。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術��,如自身校驗�����、關鍵字��、文件長度變化。(3)消除病毒技術��,通過對計算機病毒分析�����,開發出具有殺除病毒程序并恢復原文件的軟件���。另外要認真執行病毒定期清理制度,可以清除處于潛伏期的病毒�����,防止病毒突然爆發�����,使計算機始終處于良好工作狀態��。
四、結語
信息安全是電子商務的核心��。要不斷改進電子商務中的信息安全技術��,提高電子商務系統的安全性和可靠性����。但電子商務的安全運行��,僅從技術角度防范遠遠不夠����,還必須完善電子商務立法��,以規范存在的各類問題�����,引導和促進我國電子商務快速健康發展。
參考文獻:
[1]譚衛:電子商務中安全技術的研究.哈爾濱工業大學,2006
第8篇
一、電子商務(O2O模式)的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊?����。喝绻捎眉用艽胧┎粔?���,攻擊者通過互聯網�、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據,獲取機密信息或通過對信息流量����、流向�����、通信頻度和長度分析,推測出有用信息。
2.信息的篡改:當攻擊者熟悉網絡信息格式后,通過技術手段對網絡傳輸信息中途修改并發往目的地����,破壞信息完整性�����。
3.信息假冒:當攻擊者掌握網絡信息數據規律或解密商務信息后��,假冒合法用戶或發送假冒信息欺騙其他用戶。
4.交易抵賴:交易抵賴包括多方面,如發信者事后否認曾發送信息、收信者事后否認曾收到消息��、購買者做了定貨單不承認等��。
二��、信息安全要求
電子商務(O2O網站)的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:
1.信息保密性:維護商業機密是電子商務推廣應用的重要保障。由于建立在開放網絡環境中�,要預防非法信息存取和信息傳輸中被竊現象發生�。
2.信息完整性:貿易各方信息的完整性是電子商務應用的基礎���,影響到交易和經營策略���。要保證網絡上傳輸的信息不被篡改��,預防對信息隨意生成、修改和刪除����,防止數據傳送中信息的失和重復并保證信息傳送次序的統一�。
3.信息有效性:保證信息有效性是開展電子商務前提��,關系到企業或國家的經濟利益�����。對網絡故障、應用程序錯誤����、硬件故障及計算機病毒的潛在威脅控制和預防�����,以保證貿易數據在確定時刻和地點有效。
4.信息可靠性:確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵���。為防止計算機失效、程序錯誤�����、系統軟件錯誤等威脅�����,通過控制與預防確保系統安全可靠���。
三、信息安全技術(O2O)
1.防火墻技術�。防火墻在網絡間建立安全屏障���,根據指定策略對數據過濾��、分析和審計,并對各種攻擊提供防范�����。安全策略有兩條:一是“凡是未被準許就是禁止”���。防火墻先封閉所有信息流���,再審查要求通過信息���,符合條件就通過�����;二是“凡是未被禁止就是允許”�����。防火墻先轉發所有信息,然后逐項剔除有害內容。
防火墻技術主要有:(1)包過濾技術:在網絡層根據系統設定的安全策略決定是否讓數據包通過,核心是安全策略即過濾算法設計����。(2)服務技術:提供應用層服務控制��,起到外部網絡向內部網絡申請服務時中間轉接作用��。服務還用于實施較強數據流監控����、過濾、記錄等功能����。(3)狀態監控技術:在網絡層完成所有必要的包過濾與網絡服務防火墻功能�。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻�����,所用主機稱為堡壘主機�,提供服務����。(5)審計技術:通過對網絡上發生的訪問進程記錄和產生日志,對日志統計分析,對資源使用情況分析,對異常現象跟蹤監視���。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮,再通過外部網絡傳輸到目的端解壓縮和解密。
2.加密技術��。為保證數據和交易安全�����,確認交易雙方的真實身份�����,電子商務采用加密技術。數據加密是最可靠的安全保障形式和主動安全防范的策略���。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開�����;得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲:貿易方甲用另一把專用密鑰對加密信息解密����。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方�����,保證傳輸信息的保密和安全�。(2)數字摘要:也稱安全Hash編碼法���。將需加密的明文“摘要”成一串密文亦稱數字指紋�,有固定長度且不同明文摘要成密文結果不同,而同樣明文摘要必定一致�����。這串摘要成為驗證明文是否真身的“指紋”�。(3)數字簽名:將數字摘要、公用密鑰算法兩種加密方法結合�����。在書面文件上簽名是確認文件的手段��。簽名作用有兩點:一是因為自己簽名難以否認����,從而確認文件已簽署��;二是因為簽名不易仿冒����,從而確定文件為真���。(4)數字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容���,數字時間戳服務能提供電子文件發表時間的安全保護����。
3.認證技術。(C2B)安全認證的作用是進行信息認證���。信息認證是確認信息發送者的身份,驗證信息完整性��,確認信息在傳送或存儲過程中未被篡改�����。(1)數字證書:也叫數字憑證��、數字標識,用電子手段證實用戶身份及對網絡資源的訪問權限���,可控制被查看的數據庫,提高總體保密性�����。交易支付過程中�,參與各方必須利用認證中心簽發的數字證書證明身份。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心�����。無論是數字時間戳服務還是數字證書發放�,都需要有權威性和公正性的第三方完成。CA是承擔網上安全交易認證服務����、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請�����、簽發及對數字證書管理���。
4.防病毒技術���。(1)預防病毒技術����,通過自身常駐系統內存,優先獲取系統控制權,監視系統中是否有病毒�,阻止計算機病毒進入計算機系統和對系統破壞��。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術,如自身校驗���、關鍵字、文件長度變化����。(3)消除病毒技術�����,通過對計算機病毒分析,開發出具有殺除病毒程序并恢復原文件的軟件��。另外要認真執行病毒定期清理制度�����,可以清除處于潛伏期的病毒,防止病毒突然爆發,使計算機始終處于良好工作狀態���。
