摘要:隨著網際網路的飛速發展,電子商務正得到越來越廣泛的應用,電子商務的安全問題也日益引起人們的關注。本文主要闡述了電子商務安全問題的產生,同時在分析電子商務的主要安全因素基礎上,介紹目前電子商務領域的幾種安全技術,以及對於電子商務安全所進行的一系列防範措施。
關鍵詞:電子商務安全;產生因素;安全隱患;防範措施
電子商務是以資訊科技為基礎的商務活動,它包括生產、流通、分配、交換和消費等環節中連線生產和消費的電子資訊化處理。電子商務,作為一種全新的商務模式,在近年來獲得了巨大的發展,被許多經濟專家認為是新的經濟增長點。當然,這種全新的商務模式,對管理水平、資訊傳遞技術也提出了更高的要求,其中安全體系的構建又顯得尤為重要。
其中,安全性是影響電子商務能否成功的關鍵因素。電子商務涉及的安全問題主要有資訊保安問題、信用安全問題、安全管理問題以及電子商務法律保障問題。面對各種安全威脅的電子商務安全體系的安全性需求主要可包括:
機密性、完整性、可用性、可審計性和不可否認性。
一、 電子商務的安全性及其主要因素
實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基於internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關係。但在電子商務過程中,買賣雙方是通過網路來聯絡,由於距離的限制,因而建立交易雙方的安全和信任天系相當閒難。
電子商務交易雙方(銷售者和消費者)都面臨安全威脅。
當前,電子商務存在的安全隱患形式多樣,概而言之,主要表現為「外在因素」和「內在因素」兩個方面。
1、安全隱患存在的外在因素。
外在因素主要表現為電子商務存在的非技術性環境,涉及的是社會文化、制度規範等方面的外在因素。電子商務近幾年迅猛發展,但許多地方都缺乏足夠的技術人才來處理所遇到的各種問題,不少電子商務的開發商對網路技術很熟悉,但是對安全技術了解甚少,因而難以開發出真正實用的、安全的產品。在當前國際網際網路的制度框架內,對安全協議還沒有全球的標準和規範,制約了國際性商務活動。
在電子商務的虛擬社群裡,電子交易衍生了一系列法律問題,例如網路交易糾紛的仲裁,網路交易契約等問題,急需為電子商務提供法律保障。同時,在稅收問題上,電子商務的發展在促進**增加稅務的同時又對稅收制度及其管理手段提出了新要求。這些外在因素的不成熟,都成為電子商務發展的障礙。
2、安全隱患存在的內在因素。
內在因素主要涉及的是電子商務的科學技術層面,是電子技術的問題。網路犯罪分子可以利用電子商務存在的技術漏洞,通過非法手段盜用合法使用者的身份資訊,仿冒合法使用者的身份與他人進行交易,從而獲得非法利益。或者通過物理或邏輯的手段,在網路傳輸訊號的過程中,對資料進行非法的截獲與監聽,從而得到通訊中敏感的資訊,並對截獲後的資訊進行篡改,如修改訊息次序、時間、注入偽造訊息等,從而使資訊失去真實性和完整性,使合法接入的資訊、業務或其他資源受阻,例如使乙個業務口被濫用而使其他使用者不能正常工作。
從地理空間而言,電子政務地理空間資訊的需求更高。另外,計算機網路會經常遭受非法的入侵攻擊以及計算機病毒的破壞。
3、此外,電子商務在發展過程中還包含了其他某些方面的因素:
a、資訊有效性、真實性:電子商務作為**的一種形式,其資訊的有效性和真實性將直接關係到個人、企業或同家的經濟利益和聲譽。
b、資訊機密性:電子商務建立存乙個較為開放的網路環境上的,商業防洩密是電子商務全面推廣應用的重要保障。
c、資訊完整性:電子商務簡化了**過程,減少了人為的干預,同時也帶來維護商業資訊的完整、統一的問題。由於資料輸人時的意外差錯或欺詐行為,可能導致**各方資訊的差異。
d、資訊可靠性、不可抵賴性和可鑑別性:可靠性要求能保證合法使用者對資訊和資源的使用不會被不正當地拒絕;不可否認要求能建立有效的責任機制,防止實體否認其行為;可控性要求能控制使用資源的人或實體的使用方式。
二、電子商務的安全技術討論
1、電子商務的安全技術之一:資料加密技術
加密技術用於網路安全通常有二種形式,即面向網路或面向應用服務。
面向網路的加密技術通常工作在網路層或傳輸層,使用經過加密的資料報傳送、認證網路路由及其他網路協議所需的資訊,從而保證網路的連通性和可用性不受損害。
面向網路應用服務的加密技術使用則是目前較為流行的加密技術的使用方法,這一類加密技術的優點在於實現相對較為簡單,不需要對電子資訊(資料報)所經過的網路的安全件能提出特殊要求,對電子郵件資料實現了端到端的安全保障。
電子商務領域常用的加密技術:
a、數字摘要:這一加密方法亦稱安全hash編碼法.由ron rivest所設計。該編碼法採用單向hash函式將需加密的明文摘要成一串128位的密文,這一串密文亦稱為數字指紋,它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。
這樣這串摘要便可成為驗證明文是否是真身的指紋了。
b、數字簽名:數字簽名將數字摘要、公用金鑰演算法兩種加密方法結合起來使用。在書面檔案上簽名是確認檔案的一種手段,簽名的作用有兩點,一是因為自己的簽名難以否認,從而確認了檔案已簽署這一事實;二是因為簽名不易仿冒,從而確定了檔案是真的這一事實。
c、數字時間戳:交易檔案中,時間是十分重要的資訊。在書面合同中,檔案簽署的日期和簽名一樣均是十分重要的防止檔案被偽造和篡改的關鍵性內容。
在電子交易中,同樣需對交易檔案的日期和時間資訊採取安全措施,而數字時間戳服務就能提供電子檔案發表時間的安全保護。
d、數字證書:數字證書又稱為數字憑證,是用電子手段來證實乙個使用者的身份和對網路資源的訪問的許可權。電子商務在提供機遇和便利的同時,也面臨著乙個最大的挑戰,即交易的安全問題。
在網上購物的環境中,持卡人希望在交易中保密自己的帳戶資訊,使之不被人盜用;商家則希望客戶的定單不可抵賴,並且,在交易過程中,交易各方都希望驗明其他方的身份,以防止被欺騙。
2、電子商務的安全技術之二:身份認證技術
公鑰基礎設施體系(pki體系)結構採用證書管理公鑰,通過第三方的可信機構ca,把使用者的公鑰和使用者的其他標識資訊(如名稱、e—mail、身份證號等)**在一起,在intemet網上驗證使用者的身份,pki體系結構把公鑰密碼和對稱密碼結合起來,在internet網上實現金鑰的自動管理,保證網上資料的機密性、完整性。
在電子交易中,無論是數字時間戳服務還是數字證書的發放,都不是靠交易的自己能完成的,而需要有乙個具有權威性和公正性的第三方來完成。認證中ca就是承擔網上安全電子交易認證服務、能簽發數字證書、並能確認使用者身份的服務機構。
a、認證系統的基本原理:利用rsa公開金鑰演算法在金鑰自動管理、數字簽名、身份識別等方面的特性,可建立乙個為使用者的公開金鑰提供擔保的可信的第三方認證系統(ca)為使用者發放電子證書,使用者之問(比如網銀伺服器和某客戶之間)利用證書來保證資訊安全性和雙方身份的合法性。
b、認證系統(ca)結構:整個系統是乙個大的網路環境,系統從功能上基本可以劃分為ca、ra和wp。核心系統根ca放在乙個單獨的封閉空間中,為了保證執行的絕對安全,其人員及制度都有嚴格的規定,並且系統設計為一離線網路。
ca的功能是在收到來自ra的證書請求時,頒發證書。一般的個人證書發放過程都是自動進行,無須人工干預。
我國對電子商務的發展十分重視。中國金融認證中心cfca已於2023年6月29日開始對社會各界提供證書服務,系統進人執行狀態。中國金融認證中心作為乙個權威的、可信賴的、公正的第三方信任機構,為參與電子商務各方的各種認證需求提供證書服務,建立彼此的信任機制。
3、電子商務的安全技術之一:網上支付平台及支付閘道器
網上支付平台分為ctec支付體系(基於ctca/gdcs)和set支付體系(基於ctca/set)。網上支付平台支付型電子商務業務提供各種支付手段,包括基於set標準的信用卡支付方式、以及符合ctec標準的各種支付手段。
三、電子商務安全的防範措施
電子商務的乙個重要技術特徵是利用計算機技術來傳輸和處理商業資訊。一方面它是借助於網際網路平台來進行商務交易,因此需要從電子技術層面來加以防範;另一方面,作為商務交易的買賣行為,它同樣具有商品交易的一些基本特徵,遵循著商務交易的規則,因此還需要從管理的層面加以防範。
1、提高電子技術,從內在的科技層面加強防範措施。
基於電子商務的技術特點,從技術層面來**電子商務的防範措施,從整體而言可分為計算機網路安全措施和商務交易安全兩部分。
(1)計算機網路安全措施。計算機網路安全的內容包括計算機網路裝置安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案,以保證計算機網路自身的安全性為目標。
該措施包括保護計算機網路安全、應用安全和保護系統安全三個方面,各個方面都要考慮安全防護的物理安全、防火牆、資訊保安、web安全、**安全等。
第一、保護網路安全。網路安全是為保護商務各方網路端系統之間通訊過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。
全面規劃網路平台的安全策略、制定網路安全的管理措施、使用防火牆、盡可能記錄網路上的一切活動、注意對網路裝置的物理保護、檢驗網路平台系統的脆弱性、建立可靠的識別和鑑別機制等。
第二、保護應用安全。這主要是針對特定應用所建立的安全防護措施,它獨立於網路其他的安全防護措施。由於電子商務中的應用層對安全的要求最嚴格、最複雜,因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務還可採用認證、訪問控制、web安全、edi和網路支付等應用手段。
第三、保護系統安全。保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平台、作業系統、各種應用軟體等相互關聯。涉及網路支付結算的系統安全措施有:
在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付閘道器軟體等,檢查和確認未知的安全漏洞;技術與管理相結合,使系統具有最小穿透風險性,如通過諸多認證才允許連通,對所有接入資料必須進行審計,對系統使用者進行嚴格安全管理;建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
(2)商務交易安全措施。商務交易安全是傳統商務在網際網路應用時產生的各種安全問題,它在網路安全的基礎上,保障電子商務過程的順利進行。各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協議等。
加密技術是電子商務採取的基本安全措施,交易雙方可根據需要在資訊交換的階段使用認證技術,用電子手段證明傳送者和接收者身份及其檔案完整性的技術,即確認雙方的身份資訊在傳送或儲存過程中未被篡改過。電子商務的安全協議有ssl和set等。
電子商務的安全技術
學習目標 1.電子商務面臨的主要安全威脅.2.電子商務對安全的基本要求.3.電子商務常用的資料加密技術.4.電子商務的認證體系.和set的流程和工作原理.目前,阻礙電子商務廣泛應用的首要問題就是安全問題。從整體上看,電子商務安全包括計算機網路安全和商務交易安全兩大部分。計算機網路安全是指利用網路管理...
電子商務人才發展狀況
2011年11月18日,艾瑞諮詢集團在上海浦東嘉里大酒店舉行第六屆年度高峰會議,本屆年會設定 新經濟 和 電子商務 兩大主題會場,從網民的角度去深入 電商的運營 整合營銷的發展 營銷技術的創新等多個方面網路經濟所面臨的機遇與挑戰。網際網路經濟的高速發展引發了業界諸多思考,回顧2011,如何解讀電子商...
電子商務中的資訊保安問題研究
目錄1 緒論 1 1.1 研究背景 1 1.1.1電子商務的概念及特點 1 1.2 研究問題及研究意義 2 1.2.1 研究問題 2 1.2.2 研究意義 2 2 電子商務的資訊保安分析 3 2.1 電子商務的資訊保安要素 3 2.2我國電子商務資訊保安存在的問題 3 2.2.1網路安全問題 4 2...