2.电子商务安全协议技术。电子商务安全协议主要有:安全套接层协议SSL和安全电子交易SET协议。此外,还有PCT(专用通信技术),它只是对SSL进行少量的改进。SSL协议是向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等的安全措施。它包括“SSL 记录协议”和“ SSL 握手协议”。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MDS等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。SSL协议已成为事实上的工业标准而被广泛应用。通常还采用“SSL+表单签名”的模式使得SSL在电子商务的应用中确保信息的真实性、完整性和保密性的基础上进一步提高电子商务的安全保障。
SET协议是Mastercard公司和Visa公司联合开发的一种应用于因特网环境下,以信用卡为基础的安全电子支付协议。它可以对交易各方进行认证,可防止商家欺诈,进行安全交易,它给出了一套电子交易的过程规范而成为目前公认的信用卡的网上交易的国际标准。
3.构建电子商务安全控制的框架和制订电子商务标准及法律法规。通过安全的控制和电子商务标准的推行,有利于解决电子商务的安全性和可靠性问题。
电子商务给企业、消费者和社会所带来的收益是不可估量的。特别是电子商务以其高效、低成本的优势,必将成为新兴的商业运作模式,推动着全球经济的快速发展。而商务信息的安全问题始终是电子商务的核心,是阻碍电子商务广泛应用的最大问题。电子商务的安全问题是能够通过综合运用各类电子商务安全技术,并不断改进和完善,加之建立健全电子商务的安全机制和相应的法律法规,推行电子商务的国际化标准而得以解决。
1.1计算机网络的安全
1.1.1安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
1.1.2信息的安全问题。非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密;或者是非法用户对截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易;还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。
1.1.3防病毒问题。
1.病毒。病毒是由一些不正直的程序员所编写的计算机程序,它采用了独特的设计,可以在受到某个事件触发时,复制自身,并感染计算机。如果在病毒可以通过某个外界来源进入网络时(大多数是通过某个受到感染的磁盘或者某个从互联网上下载的文件),网络才会感染病毒。当网络上的一台计算机被感染时,网络上的其他计算机就非常有可能感染到这种病毒。2.特洛伊木马程序。特洛伊木马程序,是破坏性代码的传输工具。特洛伊表面上看起来是无害的或者有用的软件程序,例如计算机游戏,但是它们实际上是伪装的敌人。特洛伊可以删除数据,将自身的副本发送给电子邮件地址簿中的收件人,以及开启计算机进行其他攻击。只有通过磁盘,从互联网上下载文件,或者打开某个电子邮件附件,将特洛伊木马程序复制到一个系统,才可能感染特洛伊。无论是特洛伊还是病毒并不能通过电子邮件本身传播它们只可能通过电子邮件附件传播。3.恶意破坏程序。网站会提供一些软件应用(例如ActiveX和Java Applet)的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果,从而使网站更具有吸引力和互动性。但是,由于这些应用非常便于下载和运行,从而提供了一种造成损害的新工具。恶意破坏程序是-
<优麦电子商务论文>指会导致不同程度破坏的软件应用或者Java小程序。一个恶意破坏程序可能只会损坏一个文件,也可能损坏大部分计算机系统。4.攻击。目前已经出现了各种类型的网络攻击,它们通常被分为三类:探测式攻击,访问攻击和拒绝服务(DoS)攻击。(1)探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网。(2)访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件账号、数据库和其他保密信息。(3)DoS攻击可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是:向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数据,从而让正常的访问无法到达该主机。更恶毒的是分布式拒绝服务攻击(DDoS),在这种攻击中攻击者将会危及到多个设备或者主机的安全。5.数据阻截。通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息,甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。6.社会活动。社会活动是一种越来越流行的通过非技术手段获取保密的网络安全信息的手段。7.垃圾信件。垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的,但是它可能会浪费接收者的时间和存储空间,带来很多麻烦。
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
1.1.4服务器的安全问题。电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有企业的一些敏感数据,如价格、成本等,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重的。目前为止服务器的安全问题尚无有效措施予以阻止。主要表现在:非法用户向网络或主机发送大量非法或无效的请求,使其消耗可用资源却无法继续提供正常的网络服务;利用操作系统、软件、网络协议、网络服务等的安全漏洞,通过网站发送特制的数据请求,使网络应用服务器崩溃而停止服务。
1.2商务交易的安全
1.2.1身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法收入。
1.2.2交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
1.2.3交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
1.3其它方面的安全
电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题:网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。
2保障电子商务信息安全技术性措施
2.2身份验证技术
2.2.1认证系统。网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority,通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA,否则,一切网上的交易都没有安全保障。传统的对称密钥算法具有加密强度高、运算速度快的优点,但密钥的传递与管理问题限制了它的应用。为解决此问题,20世纪70年代密码界出现了公开密钥算法,该算法使用一对密钥即一个私钥和一个公钥,其对应关系是唯一的,公钥对外公开,私钥个人秘密保存。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。其中RSA(Rivets Shamir Adelman)算法是公开密钥算法中研究最为深入,使用最为广泛的算法,为大多数国家(地区)的官方或非官方所采用。
整个认证系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA(证书的登记机构,Register Authority)和WP(证书的分页系统,Web Publisher)。
2.2.2SSL协议。SSL协议(Secure Socket Layer,安全套接层)是由网景(Netscape)公司推出的一种安全通信协议,该协议主要目的是解决TCP/IP 协议不能确认用户身份的问题,在Socket上使用非对称的加密技术,以保证网络通信服务的安全性。SSL协议包括两个子协议:SSL记录协议和SSL握手协议。SSL记录协议是建立在可靠的传输协议(例如:TCP)上,用来封装高层的协议。SSL握手协议准许服务器端与客户端在开始传输数据前,能够通过特定的加密算法相互鉴别。
SSL协议易于实现。它独立于应用层协议,可以完成所需的安全交易操作,主要是使用公开密钥体制和X.509 数字证书保护信息的机密性和完整性,但它不能保证信息的不可抵赖性。中国目前多家银行均采用SSL协议,从实际使用的情况来看,SSL协议还是最值得信赖的协议。但是由于SSL协议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。
2.2.3SET协议。SET(Secure Electronic Transaction)安全电子交易协议是由美国Visa和MasterCard两大信用卡组织提出的应用于 Internet上的以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X.509数字证书标准,主要应用于B to C模式中保障支付信息的安全性。
SET协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
SET协议自诞生以来,通过大量的现场试验和应用,取得了业界普遍的支持,目前已经呈现出良好的发展势头。尽管SET协议存在一些缺点,但是它体现出了进行电子交易最基本的原则,因此在不断完善的过程中会逐步扩大其应用范围。它的交易规范成为了未来电子商务发展的方向。
2.3其它安全技术
防火墙技术:防火墙主要是用来隔离内部网和外部网,对内部网的应用系统加以保护。目前的防火墙分为两大类:一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和代理服务器,可针对特别的网络应用服务协议及数据过滤协议,并且能够对数据包分析并形成相关的报告。
数字签名:数字签名是公开密钥加密技术的另一种应用,报文的发送方从报文文本中生成一个128位的散列值,发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
3保障电子商务信息安全的环境性措施
目前,基于Internet 的电子商务应用才初见端倪,许多内外部环境还不够完善,相应的法律、法规,相关的标准还都没有建立,跨部门、跨地区的协调存在较大问题。基于上述分析就中国电子商务的发展提几点建设性意见。
3.1构造中国电子商务体系
积极参与国际合作,融合国际电子商务框架,构造适合中国国情的电子商务体系。作为一个主权国家,为了维护国家的利益和经济安全,在电子商务相关技术方面一定要注重自主知识产权技术的开发,不能全部依赖进口。因此,必须大力支持对电子商务技术的研究开发工作。
3.2加强法律法规建设
政府部门应尽快组织力量,结合电子商务的客观需要,对现有的与电子商务相关的法律法规,如:《刑法》、《合同法》、《著作权法》等进行修改。在这些法律中,可以适当增加对网络犯罪处罚的条款,增加对网络作品著作权保护的条款;对电子商务发展中亟需解决的有关问题,如:在电子支付、税收管理、安全认证、网络与信息安全、知识产权保护、消费者权益保护等可由相关主管部门先制定部门规章,必要时,由国务院发布行政法规,待条件成熟时,再按程序上升为法律。
3.3加快网络基础设施建设,推动企业信息化进程
信息基础设施是电子商务发展的物质基础和载体。发展信息基础设施需要政府和业界的共同努力,尤其是政府的大力投资和宏观调控。
3.4普及计算机网络知识和电子商务常识,提高全民族电子商务意识
普及信息技术的教育,培养信息技术人才。增强企业和公众对电子商务的信心。
3.5加快银行、税务以及邮政等物流环节的信息化建设
建立企业到企业(B to B)、企业到客户(B to C)的商务沟通,实现网上资金流动,解决目前有形商品交易环节中的流通困难。
计算机网络之所以存在着脆弱性,主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等。此外,信息安全处在初期发展阶段,缺少网络环境下用于产品评价的安全性准则和评价工具。系统管理人员的安全意识和安全管理培训等也相对缺乏。在系统安全受到威胁时,缺少应有的完整的安全管理方法、步骤和安全对策,如事故通报、风险评估、改正安全缺陷、评估损失、相应的补救恢复措施等。
根据攻击能力的组织结构程度和使用的手段,可以将威胁归纳为四种基本类型:无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。一般来讲,对外部威胁,安全性强调防御;对内部威胁,安全性强调威慑。
参考文献:
[1]Steve Burnett,Stephen Paine.密码工程(美).清华大学出版社,2001~10
[2]Christopher M. King.安全体系结构的设计、部署与操作(美).清华大学出版社,2003~04
[3](美)埃弗雷姆.特白思戴维.金,杰李等著王理平张晓峰译:电子商务 管理新视角(第2版)[M].电子工业出版社,2005年9月
[4]杨坚争著:电子商务基础与应用(第五版)[M].西安电子科技大学出版社,2007年7月
[5] 周均. 电子商务信息安全的政策法律研究[J]. 科技文献信息管理,2004(4):57.
[6] 杨颖. 电子商务安全问题分析[J]. 中国科技信息,2005(20):53.
[7] 成汉健. 电子商务安全问题分析[J]. 商场现代化,2005(1):65.
[8] 张贤. 电子商务安全问题[J]. 中国科技信息,2006(3):14.
-