商務(wù)安全論文范文
時間:2023-04-02 00:45:29
導語:如何才能寫好一篇商務(wù)安全論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。
篇1
(一)數(shù)據(jù)的私有性和安全性
如果不采用特別的保護措施,包括電子郵件等在internet中開放傳輸?shù)臄?shù)據(jù)都可能被第三者監(jiān)視和閱讀。考慮到巨大的傳輸量和難以計數(shù)的傳輸途徑,想任意竊聽一組數(shù)據(jù)傳輸是不可能,但是一些設(shè)置在web服務(wù)器的黑客程序卻可以查找和收集特定類型的數(shù)據(jù),這些數(shù)據(jù)包括信用卡、存款的賬號和相應(yīng)的口令。同時,因為internet的開放性設(shè)計,數(shù)據(jù)私有性和安全性還包括數(shù)據(jù)傳輸之外的問題,例如:連入internet的數(shù)據(jù)存儲網(wǎng)絡(luò)驅(qū)動器的安全性。所以,任何存儲在web服務(wù)器上的數(shù)據(jù)必須采取保護措施。
(二)數(shù)據(jù)的完整性
對完整性的安全威脅也叫主動搭線竊取。當未經(jīng)授權(quán)方改變了信息流時就構(gòu)成了對完整性的安全威脅。未保護的銀行交易很易受到對完整性的攻擊。當然,破壞了完整性也就意味著破壞了保密性,因為能改變信息的竊取者肯定能閱讀此信息。完整性和保密性間的差別在于:對保密性的安全威脅是指某人看到了他不應(yīng)看到的信息。而對完整性的安全威脅是指某人改動了關(guān)鍵的傳輸。破壞他人網(wǎng)站就是破壞完整性的例子。破壞他人網(wǎng)站是指以電子方式破壞某個網(wǎng)站的網(wǎng)頁。破壞他人網(wǎng)站的行為相當于破壞他人財產(chǎn)或在公共場所涂鴉。當某人用自己的網(wǎng)頁替換某個網(wǎng)站的正常內(nèi)容時,就說發(fā)生了破壞他人網(wǎng)站的行為。由于internct的開放體系,如果具備了特定的知識和工具,則完全可以更改傳輸中的數(shù)據(jù)。同時,要采取適當?shù)拇嫒≡L問控制,以保證數(shù)據(jù)存取系統(tǒng)的安全。在電子商務(wù)中務(wù)必保存數(shù)據(jù)最初的格式和內(nèi)容。
(三)認證
在猖獗的網(wǎng)絡(luò)欺詐或者反悔中,網(wǎng)絡(luò)交易者隱身在電腦屏幕背后,身份難以識別的問題是其重要淵源。建立有效的網(wǎng)上交易身份認證機制,提升交易雙方的信用度是有效控制網(wǎng)絡(luò)欺詐的重要途徑,對于電子商務(wù)的健康發(fā)展有著重要作用。交易方的信用問題已經(jīng)成為制約電子商務(wù)發(fā)展的重要瓶頸之一。在現(xiàn)實社會中,即便有著諸多因素的制約,仍然普遍地存在著信用缺乏的現(xiàn)象,建立完善的信用機制已經(jīng)成為社會各界的共識。在電子商務(wù)的具體實現(xiàn)中,首先要確認當前的通訊、交易和存取要求是合法的。例如,internet中的計算機系統(tǒng)的身份是其由IP地址確認的。黑客通過IP欺騙,使用虛假的IP地址,從而達到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發(fā)匿名郵件,或者使用不真實的郵件用戶名。因此,在電子商務(wù)中必須建立嚴格的身份認證機制,以確保參加交易各方的身份真實有效。
(四)不可否認性
不可否認主要包含數(shù)據(jù)的原始記錄和發(fā)送記錄,確認數(shù)據(jù)已經(jīng)完成發(fā)送和接收,防止接收用戶更改原始記錄,防止用戶在已經(jīng)收到數(shù)據(jù)以后否認收到數(shù)據(jù),并拖延自己的下一步工作。為了保證交易過程的可操作性,必須采取可靠的方法確保交易過程的真實性,保證參加電子交易的各方承認交易過程的合法性。
簡言之,在internet上實現(xiàn)電子商務(wù)面臨的任務(wù):(1)私有性,即保證只有發(fā)送者和接收者可以接觸到信息;(2)完整性,即信息在傳輸過程中未經(jīng)任何改動;(3)身份認證,即接收方可以確信信息來自發(fā)信者,而不是第三者冒名發(fā)送,發(fā)送方可以確信接收方的身份是真實的,而不至于發(fā)往與交易無關(guān)的第三方;(4)不可否認性,在交易數(shù)據(jù)發(fā)送完成以后,雙方都不能否認自己曾經(jīng)發(fā)出或接收過信息。
電子商務(wù)面臨的上述問題主要是由對系統(tǒng)的非法入侵造成的。首先是網(wǎng)絡(luò)黑客,他們通過發(fā)現(xiàn)web服務(wù)器、操作系統(tǒng)或者主頁部件在配置方面的漏洞,攻擊網(wǎng)絡(luò)系統(tǒng)。其次是內(nèi)部入侵,這主要是由企業(yè)IT部門的員工造成的,保護網(wǎng)絡(luò)的物理安全(如主控機房)及嚴格的口令管理制度,是防范該類問題的關(guān)鍵。還有惡意代碼(如計算機病毒),它們在企業(yè)的傳播會給電子商務(wù)系統(tǒng)造成嚴重的損失。另外,值得關(guān)注的是計算機系統(tǒng)本身的問題,例如,由于電源造成的系統(tǒng)宕機,以及廣域網(wǎng)絡(luò)的通訊,這些都會直接造成服務(wù)的突然中止,影響電子商務(wù)的形象。我們還應(yīng)關(guān)注系統(tǒng)管理方面的問題,有時電子商務(wù)出現(xiàn)的問題既非黑客也非系統(tǒng)本身的毛病,而是源于對敏感數(shù)據(jù)處理不善或者是安全系統(tǒng)(如防火墻)的不正確配置。用戶的身份認證是計算機系統(tǒng)安全的基礎(chǔ)工作,數(shù)字簽名加密等技術(shù)在這里可以充分起到作用。
二、電子商務(wù)安全系統(tǒng)關(guān)鍵技術(shù)
(一)ssLVPN技術(shù)
SSL(安全套接層)協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議。它處于應(yīng)用層。SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議(如HTTP、Telnet和FTP等)和TCP/IP協(xié)議之間進行數(shù)據(jù)交換的安全機制,為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認證以及可選的客戶機認證。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負責確定用于客戶機和服務(wù)器之間的會話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯誤時終止兩個主機之間的會話。
VPN(虛擬專用網(wǎng))則主要應(yīng)用于虛擬連接網(wǎng)絡(luò),它可以確保數(shù)據(jù)的機密性并且具有一定的訪問控制功能。VPN是一項非常實用的技術(shù),它可以擴展企業(yè)的內(nèi)部網(wǎng)絡(luò),允許企業(yè)的員工、客戶以及合作伙伴利用Internet訪問企業(yè)網(wǎng),而成本遠遠低于傳統(tǒng)的專線接人。過去,VPN總是和IPSec聯(lián)系在一起,因為它是VPN加密信息實際用到的協(xié)議。IPSec運行于網(wǎng)絡(luò)層,IPSeeVPN則多用于連接兩個網(wǎng)絡(luò)或點到點之間的連接。所謂的SSLVPN,其實是YPN設(shè)備廠商為了與IPsecVPN區(qū)別所創(chuàng)造出來的名詞,指的是使用者利用瀏覽器內(nèi)建的SecureSocketLayer封包處理功能,用瀏覽器連回公司內(nèi)部SSLVPN服務(wù)器,然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式,讓使用者可以在遠程計算機執(zhí)行應(yīng)用程序,讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。它采用標準的安全套接層(ssL)對傳輸中的數(shù)據(jù)包進行加密,從而在應(yīng)用層保護了數(shù)據(jù)的安全性。高質(zhì)量的SSLVPN解決方案可保證企業(yè)進行安全的全局訪問。在不斷擴展的互聯(lián)網(wǎng)Web站點之間、遠程辦公室、傳統(tǒng)交易大廳和客戶端間,SSLVPN克服了IPSecVPN的不足,用戶可以輕松實現(xiàn)安全易用、無需客戶端安裝且配置簡單的遠程訪問,從而降低用戶的總成本并增加遠程用戶的工作效率。而同樣在這些地方,設(shè)置傳統(tǒng)的IPSecVPN非常困難,甚至是不可能的,這是由于必須更改網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和防火墻設(shè)置。(二)加密技術(shù)
數(shù)據(jù)加密技術(shù)作為一項基本技術(shù),是電子商務(wù)的基石,是電子商務(wù)最基本的信息安全防范措施。其實質(zhì)是對信息進行重新編碼,從而達到隱藏信息內(nèi)容,使非法用戶無法獲取真實信息的一種技術(shù)手段,確保數(shù)據(jù)的保密性。基于加/解密所使用的密鑰是否相同,可分為對稱加密和非對稱加密兩類。
(1)對稱加密。對稱加密的加密密鑰和解密密鑰相同,即在發(fā)送方和接收方進行安全通信之前,商定一個密鑰,用這個密鑰對傳輸數(shù)據(jù)進行加密、解密。對稱加密的突出特點是加解密速度快,效率高,適合對大量數(shù)據(jù)加密。缺點是密鑰的傳輸與交換面臨安全問題,且若和大量用戶通信時,難以安全管理大量密鑰。目前,常用的對稱加密算法有DES、3DES、IDEA、Blowfish等。其中,DES(DataEncryptionStandard)算法由IBM公司設(shè)計,是迄今為止應(yīng)用最廣泛的一種算法,也是一種最具代表性的分組加密體制。DES是一種對二元數(shù)據(jù)進行加密的算法,數(shù)據(jù)分組長度為64bit,密文分組長度也是64bit,沒有數(shù)據(jù)擴展,密鑰長度為64bit,其中有8bit奇偶校驗,有效密鑰長度為56bit。加密過程包括16輪的加密迭代,每輪都采用一種乘積密碼方式(代替和移位)。DES整個體制是公開的,系統(tǒng)的安全性全靠密鑰的保密。DES算法的入口參數(shù)有3個:Key、Data、Mode。其中,Key為8個字節(jié)共64位,是DES算法的工作密鑰。Data也是8個字節(jié)64位,是需被加密或解密的數(shù)據(jù)。Mode為DES的工作方式,分為加密或解密兩種。DES算法的步驟為:如Mode為加密,則用Key去對數(shù)據(jù)進行加密,生成Data的密碼形式(64位)作為DES輸出結(jié)果。如Mode為解密,則用Key去把密碼形式的數(shù)據(jù)Data解密,還原為Data的明碼形式(64位)作為DES的輸出結(jié)果。DES是一種世界公認的較好的加密算法,具有較高的安全性,到目前為止除了用窮舉搜索法對DES算法進行攻擊外,尚未發(fā)現(xiàn)更有效的方法。
(2)非對稱加密。非對稱加密的最大特點是采用兩個密鑰將加密和解密能力分開。一個公開作為加密密鑰;一個為用戶專用,作為解密密鑰,通信雙方無需事先交換密鑰就可進行保密通信。而要從公開的公鑰或密文分析出明文或密鑰,在計算上是不可行的。若以公開鑰作為加密密鑰,以用戶專用鑰作為解密密鑰,則可實現(xiàn)多個用戶加密的信息只能由一個用戶解讀。反之,以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰,則可實現(xiàn)由一個用戶加密的消息而使多個用戶解讀,前者可用于保密通信,后者可用于數(shù)字簽字。非對稱加密體制的出現(xiàn)是密碼學史上劃時代的事件,為解決計算機信息網(wǎng)中的安全提供了新的理論技術(shù)基礎(chǔ)。其優(yōu)點是很好地解決了對稱加密中密鑰數(shù)量過多難以管理的不足,且保密性能優(yōu)于對稱加密算法;缺點是算法復雜,加密速度不是很理想。
目前,RSA算法是最著名且應(yīng)用最廣泛的公鑰算法,其安全性基于模運算的整數(shù)因子分解的困難性。
算法內(nèi)容簡要描述如下:①獨立選取兩大素數(shù)p和q,計算n=p×q;其歐拉函數(shù)值z=(p-1)×(q-1)。②隨機選一整數(shù)e,1≤e由于RSA涉及大數(shù)計算,無論是硬件或軟件實現(xiàn)的效率都比較低,不適用對長的明文加密,常用來對密鑰加密,即與對稱密碼體制結(jié)合使用。
(三)網(wǎng)上交易身份認證機制
網(wǎng)上交易身份認證對于建立電子商務(wù)業(yè)界的信用機制起著重要作用,因此如何確認網(wǎng)上交易者的身份便成為諸多電子商務(wù)網(wǎng)站迫切希望解決的問題。
(1)在目前網(wǎng)絡(luò)法律制度還不健全的時代,自律機制非常重要,網(wǎng)絡(luò)交易的有效性和真實性在一定程度上能夠反映這個國家的信用機制的完善程度。相對而言,國外的電子商務(wù)信用體系相對較高,其交易身份認證多與信用卡等銀行信用記錄掛鉤,而我國則更多的是通過手機和身份證等方式進行。
(2)一些網(wǎng)上交易平臺為了幫助交易雙方打消顧慮,順利進行交易,提供第三方介入的支付方式,以保護雙方的合法利益,這種機制對于維護網(wǎng)上交易的誠信起到了很好的作用。
(3)電子郵件在電子商務(wù)交易中對子商務(wù)交易者的身份認證機制起著重要作用。電子郵件一旦重復則易造成無法注冊,甚至很多網(wǎng)站要求用戶兩次輸入有效的電子郵件以進行確認,以確保之后的所有信息能夠順利進行,所有的網(wǎng)站均將用戶的電子郵件作為聯(lián)系用戶和確認用戶諸多信息的重要聯(lián)系方式,其便捷性毋庸置疑。但是,在電子郵件收費的模式基本上發(fā)展前景不甚明朗的今天其有效性和真實性還值得商榷。
(4)用戶注冊中所提交的資料即身份認證過程中會涉及到很多可以列為用戶隱私權(quán)保護的信息,因此,在進行身份認證時還需要考慮隱私權(quán)保護問題。現(xiàn)在幾乎所有的電子商務(wù)網(wǎng)站上都有隱私權(quán)法律聲明,或者在用戶填寫過程中就通過鏈接的形式彈出窗口聲明用戶的這些資料將被用于那些用途。盡管如此,由于網(wǎng)絡(luò)上沒有絕對的安全,如果由于技術(shù)上的原因?qū)е掠脩舻纳矸菡J證資料泄露給他人,甚至被他人用于牟利或者其他非法目的,網(wǎng)站是否應(yīng)該承擔責任、應(yīng)該承擔什么樣的責任,也是身份認證機制應(yīng)該考慮的問題。
電子商務(wù)的安全問題是利害攸關(guān)的,安全遭到破壞會使他人信息泄露或?qū)е滦畔E用。電子商務(wù)安全策略必須明確保密、完整、不可否認的要求。總之,如何建立電子商務(wù)安全策略,并逐步完善這個策略,需要政府、電子商務(wù)企業(yè)、學者等的共同努力,任重而道遠。
篇2
中國如今的電子商務(wù)市場一直保持著40-50%的市場增長率,它的交易規(guī)模已經(jīng)占到了中國消費總額的5%,并開始表現(xiàn)出明顯的GDP拉動力。從2009年起,中國的電子商務(wù)表現(xiàn)出來星火燎原般的勢態(tài),可以預測的是:中國的電子商務(wù),必將成就中國另一輪的經(jīng)濟飛躍。
2緒論
伴隨著互聯(lián)網(wǎng)和信息技術(shù)的飛速發(fā)展,電子商務(wù)從零到有,并逐步向高水平、規(guī)范化發(fā)展。十年來中國電子商務(wù)始終保持40-50%的高速發(fā)展,2009年的中國電子商務(wù)并為受到全球金融危機的影響,相反卻在金融危機中爆發(fā)出更強的生命力和適應(yīng)力。2009年中國電子商務(wù)市場規(guī)模超過35000億元,同比增長48.5%,高于2008年的41.2%。
電子商務(wù)的安全法律是指為了保障電子商務(wù)在交易過程中的安全性,由國家政府相關(guān)部門出臺的對交易過程進行保護的法律。目前,我國就電子商務(wù)安全問題已經(jīng)進行了初步的法律立項實施,但是依然存在較大的漏洞和隱患,需要國家相關(guān)部門進一步加強。
安全管理是有效降低我國電子商務(wù)交易過程中存在風險的重要手段,特別是在交易過程中,交易雙方進行電子合同簽訂,安全中心不僅要監(jiān)督買方的及時付款,同時還要監(jiān)督賣方是否提供與合同一致的貨物。在這些交易環(huán)節(jié)中,由于網(wǎng)絡(luò)虛擬交易的緣故,存在非常大的安全管理隱患。為了有效防止這些安全隱患的爆發(fā),降低風險帶來的損失和傷害,需要國家政府出善的法律保護制度,形成一套互相關(guān)聯(lián)、互相約束的管理制度體系。
3.電子商務(wù)安全
3.1電子商務(wù)安全概述
電子商務(wù)的運行和交易是基于計算機網(wǎng)絡(luò)平臺而展開的,所以安全問題大體上可以分為計算機網(wǎng)絡(luò)安全和電子商務(wù)系統(tǒng)本身交易安全。沒有網(wǎng)絡(luò),電子商務(wù)就不可能存在,網(wǎng)絡(luò)作為基礎(chǔ),其安全性與電子商務(wù)安關(guān)系密切,在網(wǎng)絡(luò)安全的前提下,電子商務(wù)系統(tǒng)特有的設(shè)計加以保障,兩者相輔相成實現(xiàn)電子商務(wù)的整體安全。通俗的說,電子商務(wù)的安全就是“電子”和“商務(wù)”雙重要求下的安全。
3.2國內(nèi)電子商務(wù)安全問題現(xiàn)狀
3.2.1信息安全環(huán)境
2010年,由中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)和國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)在京聯(lián)合的《2009年中國網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查系列報告》中顯示,2009年,52%的網(wǎng)民曾遭遇過網(wǎng)絡(luò)安全事件,網(wǎng)民處理安全事件所支出的相關(guān)服務(wù)費用共計153億元人民幣。電子商務(wù)發(fā)展所面臨的信息安全問題嚴重。根據(jù)相關(guān)調(diào)查顯示,90%以上的網(wǎng)民計算機遭遇過病毒、木馬、黑客的攻擊,電子商務(wù)交易的安全環(huán)境已經(jīng)受到了嚴重影響。
3.2.2技術(shù)與意識現(xiàn)狀
電子商務(wù)的安全需要信息技術(shù)和使用者意識的同步跟進和提高,才能使交易真正安全。目前國內(nèi)兩方面因素同時存在,導致電子商務(wù)交易安全性下降。一是技術(shù)方面:國內(nèi)防御殺毒軟件整體水平較低,查殺效率和效果不佳,部分電子商務(wù)平臺設(shè)計存在缺陷,為電子交易安全埋下隱患。二是網(wǎng)民、使用者意識方面:相比于高發(fā)的網(wǎng)絡(luò)安全事件,仍有4.4%的網(wǎng)民個人計算機未安裝任何安全軟件;不足8%的手機網(wǎng)民安裝手機安全防護軟件,網(wǎng)民安全意識仍有待進一步提升;
盜版軟件使用泛濫;軟件認知低,不懂得區(qū)分使用;交易雙方欠缺誠信,即使交易在設(shè)計較為完善的電子商務(wù)平臺上進行,依然存在欺騙行為。
3.2.3電子商務(wù)誠信環(huán)境
隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)購物(B2B、B2C)作為電子商務(wù)的其中分支之一,已經(jīng)成為了一種消費時尚、熱門購物渠道。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心的數(shù)據(jù)顯示:2009年我國網(wǎng)購市場交易規(guī)模為2500億元,較2008年翻了一番。而2010年網(wǎng)絡(luò)購物的市場規(guī)模應(yīng)該已超過4300億元。網(wǎng)購人群也大幅度增長,2009年至少在網(wǎng)上買過一次東西的中國網(wǎng)民數(shù)歷史性地突破了1億人,達到1.08億人,增長46%。而在2010年,使用過網(wǎng)絡(luò)購物的互聯(lián)網(wǎng)用戶更是接近2億人。網(wǎng)絡(luò)購物已經(jīng)成為發(fā)展最迅速,與網(wǎng)民利益最相關(guān)的網(wǎng)絡(luò)應(yīng)用。
與此相比,電子商務(wù)誠信環(huán)境卻不如人意,甚至隨著電子商務(wù)的發(fā)展而出現(xiàn)惡化的局勢。2010年,有近28%的互聯(lián)網(wǎng)用戶遭遇過虛假釣魚網(wǎng)站、詐騙交易、交易劫持、網(wǎng)銀被盜等針對網(wǎng)絡(luò)購物的安全攻擊。目前對我國網(wǎng)絡(luò)購物用戶威脅影響最嚴重的還是釣魚網(wǎng)站,在網(wǎng)購用戶所遭遇的安全威脅中有72.4%是釣魚網(wǎng)站的欺騙行為,2010年1-10月,平均每天新增的與網(wǎng)絡(luò)購物相關(guān)的釣魚網(wǎng)站約為1500個。釣魚網(wǎng)站的典型的詐騙方式主要分為三大類:低價誘惑、交談詐騙、電話詐騙。
3.2.4電子商務(wù)信用管理現(xiàn)狀
因為電子商務(wù)交易的特殊性,交易雙方不曾謀面,所以關(guān)于電子商務(wù)的信用管理就顯得尤為重要。為防止電子商務(wù)的欺詐行為給網(wǎng)民帶來經(jīng)濟上的損失,網(wǎng)絡(luò)企業(yè)以及第三方電子商務(wù)平臺都相繼實行信譽管理方法,如信譽評價和信譽等級系統(tǒng)的建立,網(wǎng)絡(luò)誠信公約(自律)等等,但由于電子商務(wù)發(fā)展較晚,管理經(jīng)驗不足,這些方法和系統(tǒng)存在較多的問題,有待提升。如中國電子商務(wù)誠信評價中心推出“中國電子商務(wù)誠信評價規(guī)范”,其中的誠信紅藍標識制度,認知度極低,據(jù)調(diào)查發(fā)現(xiàn),有97%人不知紅藍標識的含義。就目前而言,在線信譽評估、等級系統(tǒng),在設(shè)計完善的提前下,可以較為有效的降低了交易風險,因為其交易雙方的歷史信用表現(xiàn),信用等級都是公開信息,可以作為買賣雙方交易選擇的參考,且其失信成本遠遠大于其利益獲得,好的信用必然可以提升銷售量,這也從側(cè)面迫使銷售者提供最好的服務(wù),避免了雙方欺詐行為。交易講究的誠信,信譽系統(tǒng)能最有效地維持雙方可信的商務(wù)關(guān)系。如目前國內(nèi)最大的網(wǎng)購平臺淘寶網(wǎng),它的網(wǎng)商信譽評價和信譽等級系統(tǒng)相對成熟,這種評價系統(tǒng)“為消費者提供了誠信、安全的購物保障,大大提升了網(wǎng)絡(luò)購物體驗”。但它依然存在相當多的問題,信用評價流程不合理,在買到相對低劣的產(chǎn)品時,你選擇退貨的同時就喪失了評價的權(quán)利,兩者只能選其一,那到底是留著不需要的產(chǎn)品而去評價,還是選擇退貨?惡意中差評現(xiàn)象猖獗,甚至出現(xiàn)惡意差評師這一職業(yè),嚴重影響公平競爭。另外對于返修產(chǎn)品缺乏保障,筆者就遇到過產(chǎn)品寄回返修,遲遲沒有反應(yīng),損害消費者利益。信用可信度有待驗證,專業(yè)刷鉆組織的出現(xiàn),使得信用體系的可靠性降低。
4電子商務(wù)安全立法現(xiàn)狀
電子商務(wù)因其帶來的經(jīng)濟效益和流行發(fā)展趨勢而備受關(guān)注,其安全立法問題也得到了國際性組織和各國政府的高度重視,盡快營造全球范圍內(nèi)的電子商務(wù)安全法律環(huán)境已成為國際社會的共識。要創(chuàng)造一個適應(yīng)和規(guī)范電子商務(wù)安全交易、發(fā)展的法律境,政府部門職責首當其沖,在電子商務(wù)發(fā)展的監(jiān)管和安全立法中發(fā)揮其主導作用。及時了解電子商務(wù)即時情況,制定出臺相應(yīng)的安全保障法律法規(guī),鼓勵、引導、電子商務(wù)健康發(fā)展,規(guī)范、維持必要的網(wǎng)絡(luò)市場秩序,這已經(jīng)成為當前世界各國立法工作的重要任務(wù)。電子商務(wù)的廣泛性和無界性使得世界各國紛紛出臺相應(yīng)法律、行為準則和規(guī)范辦法來推動本國電子商務(wù)安全、健康的發(fā)展,旨在抓住信息技術(shù)的機遇,提高自身競爭力,從而會的優(yōu)勢,同時也減少電子商務(wù)的交易糾紛、欺詐行為,保障了交易的安全性,為電子商務(wù)在全球范圍內(nèi)的發(fā)展掃平障礙。
4.1當前電子商務(wù)安全法律、制度尚不完善
電子商務(wù)因其基礎(chǔ)網(wǎng)絡(luò)這個開放又隱蔽的環(huán)境,而顯得比較特殊,其商貿(mào)交易行為需要有專門的法律來規(guī)范和秩序的維持,目前我國已經(jīng)相繼出臺了部分法律法規(guī)、行為準則,設(shè)立了相應(yīng)的部門來規(guī)范、監(jiān)管和保證電子商務(wù)的安全。但與國際電子商務(wù)立法現(xiàn)狀和國內(nèi)電子商務(wù)現(xiàn)實狀況相比,顯得比較尷尬。我國電子商務(wù)安全法律體系仍然存在較多空白,強針對性的立法需要加快,先行法規(guī)則亟需進一步改進和完善。電子商務(wù)安全法律的不足之處有:電子交易流程行為規(guī)范、用戶隱私保護、法律效力不足,法律滯后,情況描述不清,沒有有效懲戒措施,難以對電子商務(wù)中的失信者和破壞者造成較強的約束力。因此強快電子商務(wù)安全法律立法和改進已經(jīng)迫在眉睫。
4.2現(xiàn)有電子商務(wù)安全法律
現(xiàn)行電子商務(wù)安全法律,具有較強針對性質(zhì)的較少,大多分散各類法規(guī)之中,或是零星提及電子交易安全問題,目前電子商務(wù)交易安全的法律法規(guī)主要有以下四類:
(1)綜合性的法律。如:《民法通則》和《刑法》中有關(guān)對商貿(mào)交易的安全保障條文。
(2)對交易主體進行規(guī)范的相關(guān)法律。如《公司法》、《國有企業(yè)法》、《集體企業(yè)法》、《私營企業(yè)法》、《外資企業(yè)法》等;
(3)規(guī)范交易行為的有關(guān)法律,包括經(jīng)濟合同法、產(chǎn)品質(zhì)量法、價格法、消費者權(quán)益保障法,反不正當競爭法等等
(4)對監(jiān)督交易行為進行規(guī)范的法律,如會計法、票據(jù)法、銀行法等。
國務(wù)院頒布的《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》和公安部頒發(fā)的《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》是兩個對電子商務(wù)具有重大影響的行政法規(guī)。
另外《中華人民共和國電子簽名法》的頒布也具有重要意義。該法賦予電子簽名與手寫簽名或蓋章具有同等的法律效力,明確了電子認證服務(wù)的市場準入制度,標志著我國的信息化立法邁出重要步伐。
4.3電子商務(wù)安全立法困難的原因
電子商務(wù)發(fā)展壯大為商貿(mào)交易帶來極大便捷和迅速優(yōu)越性,成為了經(jīng)濟的強勁增長點,為全球經(jīng)濟的發(fā)展營造了良好的氛圍,與此同時,因為其特點,也對社會各個領(lǐng)域特別是立法帶來了困難和壓力。
首先電子商務(wù)的立法,需要考慮國家和地區(qū)之間的差異,協(xié)調(diào)困難。電子商務(wù)基于網(wǎng)絡(luò),而網(wǎng)絡(luò)卻已經(jīng)全球聯(lián)通、跨越了地域的界限。它所面對的不只是一個地區(qū)、一個國家的市場,而是全球一體化的大市場。各國由于社會制度、政治狀況、經(jīng)濟發(fā)展程度等不同而導致了現(xiàn)行法律法規(guī)的不同,要制定可以有效協(xié)調(diào)、高度一體化的商業(yè)和法律規(guī)則,談何容易。
其次是電子商務(wù)交易處理、傳輸?shù)膶嵸|(zhì)就是對信號脈沖的傳輸和對數(shù)字流的處理,這種虛擬的平臺上,雙方的不曾謀面,使得信息資源對商家的商業(yè)信用提出了更高的要求。在信息得到廣泛傳播的同時,由于互聯(lián)網(wǎng)既開放又隱蔽的特性使得信息的真?zhèn)斡写炞C,惡意的攻擊、惡意的失信難以發(fā)現(xiàn),即使發(fā)現(xiàn)也難以揪出終端背后的那個失信或破壞者,有法難斷或者有法卻找不到應(yīng)受懲罰的人,而且對于包括制作版權(quán)、著作權(quán)、商標使用權(quán)、數(shù)據(jù)庫等在內(nèi)的知識產(chǎn)權(quán)保護也成為無法回避的問題。電子商務(wù)橫跨領(lǐng)域之廣、利益關(guān)聯(lián)群體之多,和其有別于傳統(tǒng)商務(wù)模式的無形化給稅收體制及稅收管理模式也帶來了巨大的挑戰(zhàn)。
再次,電子信息領(lǐng)域,技術(shù)日新月異,電子商務(wù)領(lǐng)域的技術(shù)進步速度已經(jīng)超國家適時地調(diào)整其法律框架的能力。法律的變革無法做到像電子技術(shù)更新一樣的快,也由于新的意想不到的問題的不斷出現(xiàn),使得適時的法律調(diào)整總跟不上電子商務(wù)高速發(fā)展的步伐。這是需要我們對于現(xiàn)行法律框架從根本上進行反思,困難而想而知。
5電子商務(wù)安全立法的對策研究
5.1電子商務(wù)安全需求分析
5.1.1主要內(nèi)容
電子商務(wù)是網(wǎng)上公開直接虛擬交易的商務(wù)模式,它直接通過網(wǎng)絡(luò)進行交易、支付、談判、下單等,在這個過程中蘊藏了大量的商務(wù)信息,所以,電子商務(wù)的安全問題引起了網(wǎng)民、企業(yè)、行業(yè)、國家的廣泛觀眾。根據(jù)電子商務(wù)的交易模式以及重要性分析,電子商務(wù)的安全需求主要包括以下幾個方面:
1、信息的完整性;
2、信息的保密性;
3、信息的不可否認性;
4、交易雙方的真實身份信息;
5、系統(tǒng)的可靠性;
6、資金的安全性。
5.1.2涉及領(lǐng)域
通過吸收國外成功的經(jīng)驗,結(jié)合我國自身電子商務(wù)發(fā)展特色以及社會主義國情特色,我國電子商務(wù)安全性的立法主要涉及以下幾大方面:
1、保護消費者的合法權(quán)益;
2、交易雙方的個人真實信息;
3、保密和信息的合法性訪問;
4、數(shù)字簽名以及第三方認證;
5、計算機犯罪和侵犯問題的有效控制。
5.2電子商務(wù)安全立法定位與模式
電子商務(wù)的安全法律保障問題,從其整體情況來看,主要表現(xiàn)為兩大層次:第一,電子商務(wù)首先表現(xiàn)的是商品交易模式,它的安全需要通過民商法來進行規(guī)范保護;第二,電子商務(wù)是通過計算機及網(wǎng)絡(luò)技術(shù)實現(xiàn)的,它的安全很大程度上依賴于計算機及網(wǎng)絡(luò)的自身安全程度,這需要網(wǎng)絡(luò)的安全管理法律來加以約束和保護。從第一點的角度來看,電子商務(wù)安全法律隸屬于商法的范圍。
因此,在立法過程中,重點還是需要從商法的角度,結(jié)合其依托計算機網(wǎng)絡(luò)技術(shù)的特色,從全面化的角度出發(fā),制定出高效規(guī)范的電子商務(wù)安全法律。
從電子商務(wù)安全立法的模式角度出發(fā),電子商務(wù)的安全法律主要有以下兩種選擇:第一,在電子商務(wù)交易活動的法律中加入電子商務(wù)安全性法律內(nèi)容;第二,另外指定電子商務(wù)安全單行法。這兩種模式都有各自的優(yōu)點和缺點,前者的立法成本低但是保護力度不夠強,后者的立法程序復雜,所需資源多,但是保護力度大。在實際操作中,到底選擇哪種模式,也是當下法律界正在研究分析的重點問題。本文提出的建議是分為兩步走:先采用第一種模式,等條件成熟后而且又加強的需要,再進行第二種模式的立法。這樣不僅可以快速成立相關(guān)法律體系,同時也可有效解決資源浪費的問題。
5.3我國電子商務(wù)安全性立法的對策分析
5.3.1健全電子商務(wù)法律,注重法律的滯后性
健全的電子商務(wù)立法體系不僅要包括有網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)管理的法律制度,同時還需要電子商務(wù)主體的立法和市場管理制度,以及電子商務(wù)交易支付的法律制度、網(wǎng)上商務(wù)行為制度、電子稅法制度、客戶個人隱私權(quán)保護法。只有建立系統(tǒng)性的法律制度,才能真正發(fā)揮電子商務(wù)安全法的作用。
在加強電子商務(wù)安全法建設(shè)的同時,同時也應(yīng)該注重法律的滯后性帶來的法律效力減弱。法律的滯后性首先表現(xiàn)為法律立法的程序,這是個嚴格的過程,需要問題顯現(xiàn)的非常明白,并對該問題進行有充分的調(diào)研數(shù)據(jù)后,才可能形成立法的基本條件和背景,這個過程是繁瑣的,是復雜的,是需要長時間的。另外,法律要建立起威信,必須較長的時間,在這段長時間里,網(wǎng)絡(luò)的發(fā)展是非常快的,會發(fā)生不同程度內(nèi)容的問題,而且這些問題會經(jīng)常超過法律設(shè)定的范圍,這些問題在客觀上都表現(xiàn)為電子商務(wù)法律的滯后性,使得法律無法體現(xiàn)超前性,大大降低了法律的約束作用。
5.3.2加強立法部門對于電子商務(wù)的學習了解
立法部門在實際的工作經(jīng)驗中,可能只是了解法律相關(guān)體系知識,對于電子商務(wù)交易模式、支付模式等相關(guān)內(nèi)容可能存在誤解或者不了解的情況,這容易導致立法部門在立法的過程中,過于偏向法律的可行性,而忽略了電子商務(wù)法律的可行性。所以,加強立法部門對于電子商務(wù)的學習了解,使其真正深入了解電子商務(wù)整體運營過程以及涉及內(nèi)容、存在的漏洞、需要加強的節(jié)點以及關(guān)聯(lián)的群體等內(nèi)容,從根本上制定高效可行規(guī)范的電子商務(wù)安全法律,從而降低因誤解帶來的時間拖延、資源耗費等其他損失。
另外,加強立法部門對于電子商務(wù)的學習了解的同時,應(yīng)加強立法部門工作人員對于電子商務(wù)立法的重視度,從思想上加強工作人員對于電子商務(wù)安全立法的注重,從而加快電子商務(wù)安全立法的實施進度。
5.2.3系統(tǒng)化完善,架構(gòu)法律體系
我國電子商務(wù)的飛速發(fā)展,對電子商務(wù)中的安全問題提出了更高的要求。在建立我國電子商務(wù)安全法律時,應(yīng)多加考慮它與其他法律之間的關(guān)聯(lián)度,從而架構(gòu)其整體法律體系,進一步完善安全法律的有效性。具體內(nèi)容如下:
1、在中國民法基本法原有的基礎(chǔ)上,增加交易安全的理念和內(nèi)容;
2、在計算機與網(wǎng)絡(luò)安全管理的立法上,應(yīng)針對電子商務(wù)在網(wǎng)絡(luò)虛擬環(huán)境下運行的特點,加強電子商務(wù)交易安全保護的法律措施。
3、在商事單行法的立法上,可以適當突破現(xiàn)有民法的一些制度,基于商法的特殊性及獨立性,滿足電子商務(wù)較高的安全保護需求。
4、在法律解釋上,全面清理我國最高人民法院作出的司法解釋,剔除掉不利于電子商務(wù)安全的言論,對電子商務(wù)的安全問題進行重新正確的認識和解釋。
5.2.4配套獎懲措施,提高安全法律威信度
獎懲措施是任何制度得以有效實施的保障制度,這里的獎懲措施具有兩個重要的含義:
第一,是對電子商務(wù)安全制度在實施過程出現(xiàn)的良性事件和惡性事件進行適當?shù)莫剟詈蛻土P,或是進行高度的獎勵和懲罰,從而在加強良性循環(huán)的同時,對制度實施過程中的惡性事件作出嚴厲的懲罰,起到殺一儆百的作用,從而有效提高電子商務(wù)安全立法的實施力度和效果。
第二,是對進行非法盜取電子商務(wù)信息或是破壞電子商務(wù)交易的不法分子進行嚴厲的法律制裁,以及對保護電子商務(wù)安全的良好事跡進行表揚。我國目前針對盜取電子商務(wù)信息或是破壞電子商務(wù)交易的不法分子還未建立有效的不法分子,才會使得這些不法分子妄想鉆空子、踩地雷,這也是導致我國電子商務(wù)安全出現(xiàn)問題的一大關(guān)鍵因素。因此,建立電子商務(wù)獎懲措施,有利于提高對不法分子的控制以及提高人民對電子商務(wù)安全的保護意識。
5.2.5借鑒國外成功經(jīng)驗,結(jié)合自身特色國情
電子商務(wù)是全球性的電子商務(wù),它是無國界、無種族之分的。所以,我國在建立電子商務(wù)安全法律時,可立足于國際立法的趨同性取向,借鑒國外成功的電子商務(wù)安全法律制度經(jīng)驗,并且結(jié)合我國的自身特色國情。中國的電子商務(wù)安全法律,只有爭取與國際立法接軌,才能參與全球性的經(jīng)濟競爭。例如,新加坡在制定《電子&交易法案》時幾乎全部采用了《電子商務(wù)示范法》的相關(guān)內(nèi)容,同時根據(jù)《電子商務(wù)示范法》的總體精神以及自身國情,增加了部分內(nèi)容。所以,我國在制定電子商務(wù)安全法律時,應(yīng)盡量吸收國外原有的成果,再結(jié)合我國的特色國情,在降低立法成本、節(jié)省立法時間的同時,也提高電子商務(wù)安全法律的高效性和實用性。
6總結(jié)和展望
電子商務(wù)的安全問題是關(guān)系到電子商務(wù)能否繼續(xù)發(fā)展的關(guān)鍵因素。隨著我國計算機網(wǎng)絡(luò)科學的逐步發(fā)展,某些非法分子對于電子商務(wù)安全模式已經(jīng)越來越熟悉,如果電子商務(wù)再不加強安全防范以及法律法規(guī)的嚴加約束,電子商務(wù)的安全將成為我國經(jīng)濟法律的一大問題,這對我國經(jīng)濟、網(wǎng)民、電子商務(wù)企業(yè)來說都是非常不利的。因此,盡快建立我國的電子商務(wù)安全立法,建立有效可行的電子商務(wù)安全法律法規(guī),從國家政治制度角度出發(fā),為我國的電子商務(wù)發(fā)展進行強而有力的安全管束,以促進我國電子商務(wù)行業(yè)穩(wěn)步健康的發(fā)展。隨著我國電子商務(wù)的飛速發(fā)展,已經(jīng)在我國人民生活中扮演的越來越重要的角色,電子商務(wù)的安全立法問題已經(jīng)成為我國法政界、金融界和學術(shù)界共同關(guān)注的熱點問題,因此,研究我國電子商務(wù)安全立法工作,建立科學高效的電子商務(wù)安全法律,為我國的電子商務(wù)的穩(wěn)步健康發(fā)展奠定良好的基礎(chǔ),具有非常重要的理論意義和實踐意義。
本文研究的主要貢獻在于:探討了我國電子商務(wù)安全現(xiàn)狀以及立法存在的問題與對策。本研究以電子商務(wù)基本概念和特色為理論基礎(chǔ),通過對我國電子商務(wù)的安全現(xiàn)狀進行分析,從而形成本研究的整體背景,接著分析我國安全立法的現(xiàn)狀以及存在的問題,最后結(jié)合自身所學知識,提出改善我國電子商務(wù)安全法律的對策,希望對電子商務(wù)安全立法工作的開展能提供一些幫助。但是由于水平的限制以及實際經(jīng)驗的不足,加上我國目前電子商務(wù)法律問題整體上處于不成熟與多樣化的階段,使得本文在研究過程中遇到一些困難,加上文字功底不夠等等,影響到了研究的效果,使得論文尚有以下不足之處:
1、研究過程中,對于我國電子商務(wù)安全現(xiàn)狀只選取了幾個主要的現(xiàn)狀進行描述,考慮到本研究報告的篇幅問題,并沒有對全部的現(xiàn)狀進行描述。
2、在對我國電子商務(wù)安全立法的現(xiàn)狀進行分析時,只對我國電子商務(wù)安全問題的難點以及現(xiàn)狀進行代表性的描述,并未形成系統(tǒng)化的描述。
篇3
關(guān)鍵詞:電子商務(wù);身份認證;防火墻
一、有關(guān)電子商務(wù)的安全性要求
1.對電子商務(wù)活動安全性的要求:
(1)服務(wù)的有效性要求。電子商務(wù)系統(tǒng)應(yīng)能防止服務(wù)失敗情況的發(fā)生,預防由于網(wǎng)絡(luò)故障和病毒發(fā)作等因素產(chǎn)生的系統(tǒng)停止服務(wù)等情況,保證交易數(shù)據(jù)能準確快速的傳送。
(2)交易信息的保密性要求。電子商務(wù)系統(tǒng)應(yīng)對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權(quán)訪問。
(3)數(shù)據(jù)完整性要求。數(shù)字完整性是指在數(shù)據(jù)處理過程中,原來數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務(wù)交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業(yè)利益。
(4)身份認證的要求。電子商務(wù)系統(tǒng)應(yīng)提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時提供法律依據(jù)。
2.電子商務(wù)的主要安全要素
(1)信息真實性、有效性。電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。
(2)信息機密性。電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。
(3)信息完整性。電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預,同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。
(4)信息可靠性、可鑒別性和不可抵賴性。可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。
在無紙化的電子商務(wù)方式下,通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在internet上每個人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。
二、電子商務(wù)采用的主要安全技術(shù)
1.網(wǎng)絡(luò)節(jié)點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入,它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供一個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。
2.通訊的安全
在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機制,SSL首先要求服務(wù)器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權(quán)機構(gòu)(CA中心)簽發(fā)。瀏覽器要驗征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法(RSA)與服務(wù)器協(xié)商一個對稱算法及密鑰,然后用此對稱算法加密傳輸?shù)拿魑摹4藭r瀏覽器也會出進入安全狀態(tài)的提示。[論/文/網(wǎng)LunWenNet/Com]
3.應(yīng)用程序的安全性
即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時;程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行,而不是只有有限的指令子集在特權(quán)模式下運行,其他的部分只有縮小的許可;程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源,如一個文件和目錄。不是顯式地設(shè)置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹@?緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)像這些問題一樣的錯誤。
4.用戶的認證管理
(1)身份認證。電子商務(wù)企業(yè)用戶身份認證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)。CA證書用來認證服務(wù)器的身份,IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
(2)CA證書。要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性,需要一份數(shù)字證書進行驗證,這份數(shù)字證書就是CA證書,它由認證授權(quán)中心(CA中心)發(fā)行。認證中心(CA)就是承擔網(wǎng)上安全交易認證服務(wù),能簽發(fā)數(shù)字證書,并能確認用戶身份的服務(wù)機構(gòu)。認證中心通常是企業(yè)性的服務(wù)機構(gòu),主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書。
(3)安全套接層SSL協(xié)議。安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。
SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證,數(shù)字證書是從認證機構(gòu)(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如Ht2tp、Ftp、Telnet等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴SL協(xié)議握手流程由兩個階段組成:服務(wù)器認證和用戶認證。
三、電子商務(wù)安全需要進一步完善的配套措施
電子商務(wù)要真正成為一種主導的商務(wù)模式,尤其對發(fā)展中的中國來說,發(fā)展電子商務(wù),就必須從以下幾個方面來完善配套措施:
(1)突破關(guān)鍵技術(shù)受制于人的瓶頸。
(2)我國應(yīng)盡快對電子商務(wù)的有關(guān)細則進行立法。
(3)大力開發(fā)大型商務(wù)網(wǎng)站,發(fā)展與之相配套的物流公司。
(4)為了確保系統(tǒng)的安全性,除了采用技術(shù)手段外,還必須建立嚴格的內(nèi)部安全機制。
(5)建立網(wǎng)絡(luò)安全維護日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時便于跟蹤查詢。
(6)對于重要數(shù)據(jù)要及時進行備份,且對數(shù)據(jù)庫中存放的數(shù)據(jù),數(shù)據(jù)庫系統(tǒng)應(yīng)視其重要性提供不同級別的數(shù)據(jù)加密。
安全實際上就是一種風險管理。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統(tǒng)的風險要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運行必須從多方面入手,僅在技術(shù)角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實際運用中解決電子商務(wù)中出現(xiàn)的各類問題,使電子商務(wù)系統(tǒng)相對更安全。[論\文\網(wǎng)LunWenNet\Com]
參考文獻:
[1]吳洋.電子商務(wù)安全方法研究[D].天津:天津大學,2006.
[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005(6).
[3]成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評估[J].計算機工程,2003(2).
[4]甘悅.淺議電子商務(wù)信息安全體系的構(gòu)建[J].西北成人教育學報,2007(2).
[5]周明,黃元江,李建設(shè).電子商務(wù)中的安全技術(shù)研究[J].株洲工學院學報,2005(1).
[6]張娟.電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究[J].甘肅科技縱橫,2005(4).
[7]趙乃真.電子商務(wù)技術(shù)與應(yīng)用[M].北京:中國鐵道出版社,2003.
篇4
EC以電子形式取代了紙張,那么如何保證這種電子形式的貿(mào)易信息的有效性則是開展E的前提。EC作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。因此,要對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防,以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。
(2)機密性
EC作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。EC是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的(尤其Internet是更為開放的網(wǎng)絡(luò)),維護商業(yè)機密是EC全面推廣應(yīng)用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。電子商務(wù)
(3)完整性
EC簡化了貿(mào)易過程,減少了人為的干預,同時也帶來維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復并保證信息傳送次序的統(tǒng)一。
(4)可靠性/不可抵賴性/鑒別
EC可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易方這一問題則是保證EC順利進行的關(guān)鍵。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。這也就是人們常說的"白紙黑字"。在無紙化的EC方式下,通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。
篇5
[關(guān)鍵詞]電子商務(wù)安全技術(shù)密鑰數(shù)字簽名
一、引言
電子商務(wù)是以電子信息技術(shù)為基礎(chǔ)的商務(wù)運作,是信息技術(shù)的發(fā)展對社會經(jīng)濟生活產(chǎn)生巨大影響的一個實例,也是網(wǎng)絡(luò)新經(jīng)濟迅猛發(fā)展的代表。電子商務(wù)的核心內(nèi)容是網(wǎng)上交易,尤其是通過公共的因特網(wǎng)將眾多的社會經(jīng)濟成員聯(lián)系起來的網(wǎng)上交易更是成為發(fā)展的熱點,
電子商務(wù)所具有的廣闊發(fā)展前景,越來越為世人所矚目。但在Internet給人們帶來巨大便利的同時,也把人們引進了安全陷阱。目前,阻礙電子商務(wù)廣泛應(yīng)用的首要也是最大的問題就是安全問題。電子商務(wù)中的安全問題如得不到妥善解決,電子商務(wù)應(yīng)用就只能是紙上談兵。從事電子商務(wù)活動的主體都已普遍認識到電子商務(wù)的交易安全是電子商務(wù)成功實施的基礎(chǔ),是企業(yè)制訂電子商務(wù)策略時必須首先要考慮的問題。對于實施電子商務(wù)戰(zhàn)略的企業(yè)來說,保證電子商務(wù)的安全已成為當務(wù)之急。
二、電子商務(wù)過程中面臨的主要安全問題
從交易角度出發(fā),電子商務(wù)面臨的安全問題綜合起來包括以下幾個方面:
1.有效性
電子商務(wù)以電子形式取代了紙張,那么保證信息的有效性就成為開展電子商務(wù)的前提。因此,要對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防,以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。
2.真實性
由于在電子商務(wù)過程中,買賣雙方的所有交易活動都通過網(wǎng)絡(luò)聯(lián)系,交易雙方可能素昧平生,相隔萬里。要使交易成功,首先要確認對方的身份。對于商家而言,要考慮客戶端不能是騙子,而客戶端也會擔心網(wǎng)上商店是否是一個玩弄欺詐的黑店,因此,電子商務(wù)的開展要求能夠?qū)灰字黧w的真實身份進行鑒別。
3.機密性
電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。如信用卡的賬號和用戶名被人知悉,就可能被盜用而蒙受經(jīng)濟損失;訂貨和付款信息被競爭對手獲悉,就可能喪失商機。因此建立在開放的網(wǎng)絡(luò)環(huán)境電子商務(wù)活動,必須預防非法的信息存取和信息在傳輸過程中被非法竊取。
三、電子商務(wù)安全中的幾種技術(shù)手段
由于電子商務(wù)系統(tǒng)把服務(wù)商、客戶和銀行三方通過互聯(lián)網(wǎng)連接起來,并實現(xiàn)了具體的業(yè)務(wù)操作。因此,電子商務(wù)安全系統(tǒng)可以由三個安全服務(wù)器及CA認證系統(tǒng)構(gòu)成,它們遵循共同的協(xié)議,協(xié)調(diào)工作,實現(xiàn)電子商務(wù)交易信息的完整性、保密性和不可抵賴性等要求。其中采用的安全技術(shù)主要有以下幾種:
1.防火墻(FireWall)技術(shù)
防火墻是一種隔離控制技術(shù),在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。
2.加密技術(shù)
數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式:對稱加密和非對稱加密,采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng),而不能簡單地根據(jù)其加密強度來做出判斷。
(1)對稱加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖。這種加密算法可簡化加密處理過程,貿(mào)易雙方都不必彼此研究和交換專用的加密算法,如果進行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露,那么機密性和報文完整性就可以得到保證。不過,對稱加密技術(shù)也存在一些不足,如果某一貿(mào)易方有n個貿(mào)易關(guān)系,那么他就要維護n個私有密鑰。對稱加密方式存在的另一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因為貿(mào)易雙方共享一把私有密鑰。目前廣泛采用的對稱加密方式是數(shù)據(jù)加密標準(DES),它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域。DES對64位二進制數(shù)據(jù)加密,產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位,實際密鑰長度為56位(8位用于奇偶校驗)。解密時的過程和加密時相似,但密鑰的順序正好相反。
(2)非對稱加密/公開密鑰加密
在Internet中使用更多的是公鑰系統(tǒng),即公開密鑰加密。在該體系中,密鑰被分解為一對:公開密鑰PK和私有密鑰SK。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開,而另一把則作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能由生成密鑰對的貿(mào)易方掌握,公開密鑰可廣泛,但它只對應(yīng)于生成該密鑰的貿(mào)易方。在公開密鑰體系中,加密算法E和解密算法D也都是公開的。雖然SK與PK成對出現(xiàn),但卻不能根據(jù)PK計算出SK。
公開密鑰算法的特點如下:
用加密密鑰PK對明文X加密后,再用解密密鑰SK解密,即可恢復出明文,或?qū)憺椋篋SK(EPK(X))=X。
加密密鑰不能用來解密,即DPK(EPK(X))≠X
在計算機上可以容易地產(chǎn)生成對的PK和SK。
從已知的PK實際上不可能推導出SK。
加密和解密的運算可以對調(diào),即:EPK(DSK(X))=X
常用的公鑰加密算法是RSA算法,加密強度很高。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來。發(fā)送方在發(fā)送數(shù)據(jù)時必須加上數(shù)字簽名,做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名,然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。這些密文被接收方收到后,接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名,然后用方公布的公鑰對數(shù)字簽名進行解密,如果成功,則確定是由發(fā)送方發(fā)出的。由于加密強度高,而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密,因此十分適合Internet網(wǎng)上使用。
3.數(shù)字簽名
數(shù)字簽名技術(shù)是實現(xiàn)交易安全核心技術(shù)之一,它實現(xiàn)的基礎(chǔ)就是加密技術(shù)。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實性的。但在計算機網(wǎng)絡(luò)中傳送的報文又如何蓋章呢?這就是數(shù)字簽名所要解決的問題。數(shù)字簽名必須保證以下幾點:接收者能夠核實發(fā)送者對報文的簽名;送者事后不能抵賴對報文的簽名;接收者不能偽造對報文的簽名。現(xiàn)在己有多種實現(xiàn)數(shù)字簽名的方法,采用較多的就是公開密鑰算法。
4.數(shù)字證書
(1)認證中心
在電子交易中,數(shù)字證書的發(fā)放不是靠交易雙方來完成的,而是由具有權(quán)威性和公正性的第三方來完成的。認證中心就是承擔網(wǎng)上安全電子交易認證服務(wù)、簽發(fā)數(shù)字證書并確認用戶身份的服務(wù)機構(gòu)。
(2)數(shù)字證書
數(shù)字證書是用電子手段來證實一個用戶的身份及他對網(wǎng)絡(luò)資源的訪問權(quán)限。在網(wǎng)上的電子交易中,如雙方出示了各自的數(shù)字證書,并用它來進行交易操作,那么交易雙方都可不必為對方身份的真?zhèn)螕摹?/p>
5.消息摘要(MessageDigest)
消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由RonRivest所發(fā)明的。消息摘要是一個惟一對應(yīng)一個消息的值。它由單向Hash加密算法對所需加密的明文直接作用,生成一串128bit的密文,這一串密文又被稱為“數(shù)字指紋”(FingerPrint)。所謂單向是指不能被解密,不同的明文摘要成密文,其結(jié)果是絕不會相同的,而同樣的明文其摘要必定是一致的,因此,這串摘要成為了驗證明文是否是“真身”的數(shù)字“指紋”了。
四、小結(jié)
本文詳細探討了電子商務(wù)安全體系所面臨的問題,并提出了安全防護的幾種技術(shù)手段,相信隨著時間的推移和技術(shù)的發(fā)展,電子商務(wù)安全體系將越來越完善,足不出戶而通過Internet電子商務(wù)系統(tǒng)實現(xiàn)購物、交易和做生意將成為人們生活的新時尚。
參考文獻:
[1]徐海來:電子商務(wù)的運作與安全[J].中國信息導報,2000.6:126
[2]劉進:電子商務(wù)網(wǎng)上交易系統(tǒng)[M].第一版,北京:機械工業(yè)出版社,2003:157
篇6
電子商務(wù)作為新經(jīng)濟的代言人,集中了當今世界最先進的技術(shù),實現(xiàn)著最快捷的傳播和溝通方式。在世界經(jīng)濟一體化中,它改變著人們的思維觀念、消費方式和創(chuàng)業(yè)模式。電子商務(wù)的出現(xiàn)和發(fā)展讓所有的傳統(tǒng)產(chǎn)業(yè)面臨著巨大的挑戰(zhàn),以互聯(lián)網(wǎng)為代表的新經(jīng)濟必將成為未來社會發(fā)展的主流。由于因特網(wǎng)的開放性,網(wǎng)絡(luò)安全問題也越來越引起人們的普遍關(guān)注。據(jù)報道,中國已經(jīng)成為受到互聯(lián)網(wǎng)攻擊最嚴重的國家。而電子商務(wù)往往和金融系統(tǒng)有著千絲萬縷的聯(lián)系,因而也成為了網(wǎng)絡(luò)黑客重點攻擊的目標。據(jù)權(quán)威機構(gòu)調(diào)查表明,國內(nèi)電子商務(wù)發(fā)展的最大隱患就是網(wǎng)絡(luò)交易的安全問題。這也是當前發(fā)展電子商務(wù)最迫切需要解決的問題。
二、電子商務(wù)信息安全機制問題
在電子商務(wù)領(lǐng)域,最核心的安全問題就是電子交易的安全。如何解決電子交易過程中所面臨的身份驗證、保護信息機密性、防止信息的非法篡改以及防止交易抵賴等問題,成為了保護電子交易安全機制的關(guān)鍵問題。
(一)身份驗證在傳統(tǒng)交易方式中,驗證雙方的真實身份并不是一件非常困難的事情。交易是雙方面對面所進行的的活動,因此可以通過查看身份證、出示交易印章等方式驗證對方的真實身份。但是在電子交易環(huán)境中,雙方未曾謀面、相隔遙遠,更容易出現(xiàn)假冒、欺詐等違法行為。因此電子商務(wù)安全的首要問題就是驗證交易雙方的身份。
(二)信息機密性電子商務(wù)的交易過程通常都是直接在互聯(lián)網(wǎng)上進行的,如前所述互聯(lián)網(wǎng)的開放性雖然帶來通信與交流的便捷,但也給黑客提供了竊取個人或組織機密信息的可能性。當電子交易雙方通過網(wǎng)絡(luò)交換信息的時候,他們之間傳遞的機密信息就有可能竊取。進而威脅到個人的隱私或企業(yè)單位的經(jīng)濟利益,甚至可能導致商業(yè)的巨額損失。因此電子交易雙方必須解決如何保護傳遞的敏感信息,使黑客即使截獲了數(shù)據(jù)也無法破譯,進而無法獲得真實的通信內(nèi)容。
(三)信息完整性在電子商務(wù)交易過程中,攻擊者除了可以破譯通信內(nèi)容,直接威脅通信的機密性之外,還可以通過篡改通信內(nèi)容實現(xiàn)網(wǎng)絡(luò)的主動攻擊。通過篡改通信內(nèi)容,是交易雙方產(chǎn)生誤判,從而使攻擊者實現(xiàn)非法目的。因此電子交易雙方如何鑒別通信數(shù)據(jù)是否被篡改過,也成為了保護通信安全的一個重要環(huán)節(jié)。
(四)信息的不可抵賴性在商務(wù)活動中,商業(yè)形式千變?nèi)f化,為了防止交易雙方的抵賴行為,人們往往要訂立合同,在合同內(nèi)明確雙方同意的條款內(nèi)容,并要求雙方簽字蓋章。這些手段都是為了防止交易抵賴。但這樣的手段在電子交易中就無法實施。電子交易的雙方由于互不見面,某方完全有可能出于個人的私利,否認參與過整個交易過程。從而使對方遭受巨大的經(jīng)濟損失。因此,如何防止交易抵賴,保證交易的嚴肅性和公正性,成為電子商務(wù)發(fā)展所亟待解決的急切問題。
三、電子商務(wù)信息的安全機制
(一)對稱和非對稱加密機制為了保護電子交易的機密性,我們必須對雙方的數(shù)據(jù)進行加密,防止被截獲的數(shù)據(jù)被輕松破譯。加密算法有對稱和非對稱兩種。對稱加密算法主要特點是:電子交易雙方都必須要擁有共同的共享密鑰(即加密密鑰和解密密鑰相同),并且對稱加密算法的運算速度很高,適合大量數(shù)據(jù)的加密和解密工作。但是對稱算法存在的一個重大問題在于:如何安全的傳遞密鑰給通信對方。因為共享密鑰是需要在不安全的互聯(lián)網(wǎng)上直接傳遞的,如果密鑰被截獲,那整個加密體制就完全崩潰。非對稱加密機制是利用兩個不同的密鑰來完成數(shù)據(jù)的加密和解密工作(即公約和私鑰),公約和私鑰是成對產(chǎn)生的,但公約和私鑰相互之間無法直接推算出來。因此,為了保護信息的機密性,我們?nèi)绻s來加密的數(shù)據(jù),則必須用相應(yīng)的私鑰才能解密;反之,用私鑰來加密的數(shù)據(jù)則只能用對應(yīng)的公約來解密。公約是完全公開的,任何人均可以獲得,而私鑰則必須由持有人妥善保管。這樣的非對稱機制的主要特點在于,為了保護信息的機密性,發(fā)送方用對方的公約加密,接收方用自己的私鑰解密,在加密數(shù)據(jù)的傳遞過程中,即使被截獲,截獲者也因為無法獲得接受者的私鑰而無法解密。同時非對稱機制可鑒別發(fā)送方的身份,使交易不可抵賴,發(fā)送方需要用自己的私鑰加密數(shù)據(jù),將加密數(shù)據(jù)傳遞給接收方。接收方如果能夠用發(fā)送方的公鑰解密,則可以充分證明這些數(shù)據(jù)一定是來自發(fā)送方,而不是某個自稱發(fā)送方的假冒者,因為用發(fā)送方的公約能夠解密,則完全可以說明數(shù)據(jù)一定是發(fā)送方的私鑰加了密。而發(fā)送方的私鑰只有持有人才知道,因而可以推導出這些數(shù)據(jù)一定是發(fā)送方本人親自發(fā)送的。從而有效地解決了身份驗證和防止交易抵賴問題。但非對稱體制的缺點在于,加密和解密的運算量非常大,計算速度往往比對稱體制慢上百倍。因此實際在電子商務(wù)應(yīng)用中,往往是把對稱和非對稱加密體制結(jié)合起來使用,即發(fā)送方用對稱體制的共享密鑰對數(shù)據(jù)加密,然后用非對稱體制的接收方的公鑰對共享密鑰加密,然后傳給接收方,接收方用自己的私鑰將共享密鑰解密,再用共享密鑰對大量的數(shù)據(jù)解密。這樣的安全設(shè)計,既充分發(fā)揮了對稱體制運算速度快的優(yōu)勢,也利用了非對稱傳遞數(shù)據(jù)安全的優(yōu)勢。
(二)散列運算防止信息被篡改為了防止電子商務(wù)信息被篡改,發(fā)送方需要對數(shù)據(jù)進行散列運算,將散列值(即摘要)連同數(shù)據(jù)本身發(fā)給對方,接收方也將數(shù)據(jù)重新計算散列值,并將新散列值與傳遞而來的散列值對照,如果兩個散列值相同,則證明數(shù)據(jù)在傳遞過程中沒有被篡改。因此接受方只要對照散列值,就可以判斷電子商務(wù)信息信息是否被篡改過。從而有效地解決了信息的完整性問題。
四、結(jié)論
篇7
[關(guān)鍵詞]移動電子商務(wù)信息安全自組網(wǎng)隱私法律
移動電子商務(wù)(M-Commerce),是通過手機、PDA(個人數(shù)字助理)、呼機等移動通信設(shè)備與因特網(wǎng)有機結(jié)合所進行的電子商務(wù)活動。移動電子商務(wù)能提供以下服務(wù):PIM(個人信息服務(wù))、銀行業(yè)務(wù)、交易、購物、基于位置的服務(wù)、娛樂等。
移動電子商務(wù)因其快捷方便、無所不在的特點,已經(jīng)成為電子商務(wù)發(fā)展的新方向。因為只有移動電子商務(wù)才能在任何地方、任何時間,真正解決做生意的問題。
但是對于任何通過無線網(wǎng)路(如:GSM網(wǎng)路)進行金融交易的用戶,安全和隱私問題無疑是其關(guān)注的焦點。由于移動電子商務(wù)的特殊性,移動電子商務(wù)的安全問題尤其顯得重要。尤其對于有線電子商務(wù)用戶來說,通常認為物理線纜能帶來更好的安全性,從而排斥使用移動電子商務(wù)。移動電子商務(wù)是一個系統(tǒng)工程,本文從技術(shù)、安全、隱私和法制等方面討論了移動商務(wù)的展所面臨的種種問題,并指出這些問題的有效解決是建設(shè)健康、安全的移動電子商務(wù)的重要保證。
一、移動通信新技術(shù)的驅(qū)動
1.無線應(yīng)用協(xié)議(WAP)
無線應(yīng)用協(xié)議WAP是無線通信和互聯(lián)網(wǎng)技術(shù)發(fā)展的產(chǎn)物,它不僅為無線設(shè)備提供豐富的互聯(lián)網(wǎng)資源,也提供了開發(fā)各種無線網(wǎng)路應(yīng)用的途徑。1998年,WAP論壇公布了WAP1.0版本,制定了一套專門為移動互聯(lián)網(wǎng)而設(shè)計的應(yīng)用協(xié)議,具有良好的開放性和互通性。隨著移動通信網(wǎng)傳輸速率的顯著提高,WAP論壇于2001年頒布了WAP2.0版本,該版本增加了對HTTP、TLS和TCP等互聯(lián)網(wǎng)協(xié)議的支持,WAP的工作大大簡化。WAP2.0模式有利于實現(xiàn)電子商務(wù)所需的端到端安全性,可以提供TLS隧道。
2.移動IP技術(shù)
移動IP技術(shù),是指移動用戶可在跨網(wǎng)絡(luò)隨意移動和漫游中,使用基于TCP/IP協(xié)議的網(wǎng)絡(luò)時,不用修改計算機原來的IP地址,同時,也不必中斷正在進行的通信。移動IP通過AAA(Authentication,Authorization,Accounting)機制,實現(xiàn)網(wǎng)絡(luò)全方位的安全移動或者漫游功能。移動IP在一定程度上能夠很好地支持移動商務(wù)的應(yīng)用。
3.第三代(3G)移動通信系統(tǒng)
第三代移動通信系統(tǒng),簡稱3G,是指將無線通信與互聯(lián)網(wǎng)等多媒體通信結(jié)合的移動通信系統(tǒng)。它能夠處理圖像、話音、視頻流等多種媒體形式,提供包括網(wǎng)頁瀏覽、電話會議、電子商務(wù)等多種信息服務(wù)。與2G相比,3G產(chǎn)品可提供數(shù)據(jù)速率高達2Mbps的多媒體業(yè)務(wù)。在我國,以TD-SCDMA技術(shù)為基礎(chǔ)的3G基礎(chǔ)設(shè)施和產(chǎn)品的建設(shè)和研制發(fā)展迅速,我國發(fā)展3G的條件已經(jīng)基本具備。由于3G帶來的高速率、移動性和高安全性等特點,必然會給移動電子商務(wù)的應(yīng)用帶來巨大商機。
4.無線局域網(wǎng)(WLAN)技術(shù)
美國電子電器工程師協(xié)會IEEE在1991年就啟動了WLAN標準工作組,稱為IEEE802.11,并在1997年產(chǎn)生了WLAN標準-IEEE802.11,后來又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標準。802.11WLAN標準自公布之日起,安全問題一直是其被關(guān)注的焦點問題。802.11b采用了基于RC4算法的有線對等保密(WEP)機制,為網(wǎng)絡(luò)業(yè)務(wù)流提供安全保障,但其加密和認證機制都存在安全漏洞。802.11i是2004年6月批準的WLAN標準,其目的是解決802.11標準中存在的安全問題。802.11i應(yīng)用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高級加密標準的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作為其加密算法,可以向后兼容802.11a/b/g等硬件設(shè)備。中國寬帶無線IP標準工作組制訂了WLAN國家標準GB15629.11,定義了無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI,大大減少了WLAN中的安全隱患。
二、移動電子商務(wù)面臨的安全威脅
盡管移動電子商務(wù)給工作效率的提高帶來了諸多優(yōu)勢(如:減少了服務(wù)時間,降低了成本和增加了收入),但安全問題仍是移動商務(wù)推廣應(yīng)用的瓶頸。有線網(wǎng)絡(luò)安全的技術(shù)手段不完全適用于無線設(shè)備,由于無線設(shè)備的內(nèi)存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序。例如:目前還沒有有效抵制手機病毒的防護軟件。
1.網(wǎng)絡(luò)本身的威脅
無線通信網(wǎng)絡(luò)可以不像有線網(wǎng)絡(luò)那樣受地理環(huán)境和通信電纜的限制就可以實現(xiàn)開放性的通信。無線信道是一個開放性的信道,它給無線用戶帶來通信自由和靈活性的同時,也帶來了諸多不安全因素:如通信內(nèi)容容易被竊聽、通信雙方的身份容易被假冒,以及通信內(nèi)容容易被篡改等。在無線通信過程中,所有通信內(nèi)容(如:通話信息,身份信息,數(shù)據(jù)信息等)都是通過無線信道開放傳送的。任何擁有一定頻率接收設(shè)備的人均可以獲取無線信道上傳輸?shù)膬?nèi)容。這對于無線用戶的信息安全、個人安全和個人隱私都構(gòu)成了潛在的威脅。
2.無線adhoc應(yīng)用的威脅
除了互聯(lián)網(wǎng)在線應(yīng)用帶來的威脅外,無線裝置給其移動性和通信媒體帶來了新的安全問題。考慮無線裝置可以組成adhoc網(wǎng)路。Adhoc網(wǎng)絡(luò)和傳統(tǒng)的移動網(wǎng)絡(luò)有著許多不同,其中一個主要的區(qū)別就是AdHoc網(wǎng)絡(luò)不依賴于任何固定的網(wǎng)絡(luò)設(shè)施,而是通過移動節(jié)點間的相互協(xié)作來進行網(wǎng)絡(luò)互聯(lián)。由于其網(wǎng)絡(luò)的結(jié)構(gòu)特點,使得AdHoc網(wǎng)絡(luò)的安全問題尤為突出。Adhoc網(wǎng)路的一個重要特點是網(wǎng)絡(luò)決策是分散的,網(wǎng)絡(luò)協(xié)議依賴于所有參與者之間的協(xié)作。敵手可以基于該種假設(shè)的信任關(guān)系入侵協(xié)作的節(jié)點。
3.網(wǎng)路漫游的威脅
無線網(wǎng)路中的攻擊者不需要尋找攻擊目標,攻擊目標會漫游到攻擊者所在的小區(qū)。在終端用戶不知情的情況下,信息可能被竊取和篡改。服務(wù)也可被經(jīng)意或不經(jīng)意地拒絕。交易會中途打斷而沒有重新認證的機制。由刷新引起連接的重新建立會給系統(tǒng)引入風險,沒有再認證機制的交易和連接的重新建立是危險的。連接一旦建立,使用SSL和WTLS的多數(shù)站點不需要進行重新認證和重新檢查證書。攻擊者可以利用該漏洞來獲利。
4.物理安全
無線設(shè)備另一個特有的威脅就是容易丟失和被竊。因為沒有建筑、門鎖和看管保證的物理邊界安全和其小的體積,無線設(shè)備很容易丟失和被盜竊。對個人來說,移動設(shè)備的丟失意味著別人將會看到電話上的數(shù)字證書,以及其他一些重要數(shù)據(jù)。利用存儲的數(shù)據(jù),拿到無線設(shè)備的人就可以訪問企業(yè)內(nèi)部網(wǎng)絡(luò),包括Email服務(wù)器和文件系統(tǒng)。目前手持移動設(shè)備最大的問題就是缺少對特定用戶的實體認證機制。
三、移動商務(wù)面臨的隱私和法律問題
1.垃圾短信息
在移動通信給人們帶來便利和效率的同時,也帶來了很多煩惱,遍地而來的垃圾短信廣告打擾著我們的生活。在移動用戶進行商業(yè)交易時,會把手機號碼留給對方。通過街頭的社會調(diào)查時,也往往需要被調(diào)查者填入手機號碼。甚至有的用戶把手機號碼公布在網(wǎng)上。這些都是公司獲取手機號碼的渠道。垃圾短信使得人們對移動商務(wù)充滿恐懼,而不敢在網(wǎng)絡(luò)上使用自己的移動設(shè)備從事商務(wù)活動。目前,還沒有相關(guān)的法律法規(guī)來規(guī)范短信廣告,運營商還只是在技術(shù)層面來限制垃圾短信的群發(fā)。目前,信息產(chǎn)業(yè)部正在起草手機短信的規(guī)章制度,相信不久的將來會還手機短信一片綠色的空間。
2.定位新業(yè)務(wù)的隱私威脅
定位是移動業(yè)務(wù)的新應(yīng)用,其技術(shù)包括:全球定位系統(tǒng),該種技術(shù)利用24顆GPS衛(wèi)星來精確(誤差在幾米之內(nèi))定位地面上的人和車輛;基于手機的定位技術(shù)TOA,該技術(shù)根據(jù)從GPS返回響應(yīng)信號的時間信息定位手機所處的位置。定位在受到歡迎的同時,也暴露了其不利的一面——隱私問題。移動酒吧就是一個典型的例子,當你在路上時,這種服務(wù)可以在你的PDA上列出離你最近的5個酒吧的位置和其特色。或者當你途經(jīng)一個商店時,會自動向你的手機發(fā)送廣告信息。定位服務(wù)在給我們帶來便利的同時,也影響到了個人隱私。利用這種技術(shù),執(zhí)法部門和政府可以監(jiān)聽信道上的數(shù)據(jù),并能夠跟蹤一個人的物理位置。
3.移動商務(wù)的法律保障
電子商務(wù)的迅猛發(fā)展推動了相關(guān)的立法工作。2005年4月1日,中國首部真正意義上的信息化法律《電子簽名法》正式實施,電子簽名與傳統(tǒng)的手寫簽名和蓋章將具有同等的法律效力,標志著我國電子商務(wù)向誠信發(fā)展邁出了第一步。《電子簽名法》立法的重要目的是為了促進電子商務(wù)和電子政務(wù)的發(fā)展,增強交易的安全性。
參考文獻:
[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77
篇8
[關(guān)鍵詞]電子商務(wù)計算機安全技術(shù)
隨著電子商務(wù)不斷的擴大影響,勢必將成為一種新型的交易模式走入人們?nèi)粘I睿嬎銠C技術(shù)與其是密不可分,相輔相成的。電子商務(wù)的發(fā)展將帶動計算機技術(shù)應(yīng)用的更加廣泛,計算機技術(shù)的進步將推動電子商務(wù)的蓬勃發(fā)展。而其在發(fā)展的過程中安全問題也變得越來越突出,可以說,沒有安全就沒有電子商務(wù)。
一、電子商務(wù)網(wǎng)絡(luò)的安全隱患
1.竊取信息。(1)交易雙方進行交易的內(nèi)容被第三方竊取。(2)交易一方提供給另一方使用的文件被第三方非法使用。
2.篡改信息。電子的交易信息在網(wǎng)絡(luò)傳輸?shù)倪^程中,可能被他人非法的修改、刪除這樣就使信息失去了真實性和完整性。
3.假冒。第三方可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。
4.惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò),則可能對網(wǎng)絡(luò)中的信息進行修改,掌握網(wǎng)上的機要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,破壞網(wǎng)絡(luò)的硬件或軟件而導致交易信息傳遞丟失與謬誤。計算機網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞,而使電子商務(wù)信息遭到破壞。
二、電子商務(wù)的安全要求
1.交易者身份的可認證性。在傳統(tǒng)的交易中,交易雙方往往是面對面進行活動的,這樣很容易確認對方的身份。即使開始不熟悉,不能確信對方,也可以通過對方的簽名、印章、證書等一系列有形的身份憑證來鑒別身份。然而,在進行網(wǎng)上交易時,情況就大不一樣了,因為網(wǎng)上交易的雙方可能素昧平生,相隔千里,并且在整個交易過程中都可能不見一面。要使交易成功,首先要能驗證對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網(wǎng)上的商店是不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
2.信息的機密性。由于電子商務(wù)是建立在一個開放的網(wǎng)絡(luò)環(huán)境上的,維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。當交易雙方通過Internet交換信息時,如果不采取適當?shù)谋C艽胧涂赡軐⑼ㄐ艃?nèi)容泄密;另外,在網(wǎng)絡(luò)上的文件信息如果不加密的話,也有可能被黑客竊取。上述種種情況都有可能造成敏感商業(yè)信息的泄漏,導致商業(yè)上的巨大損失。因此,電子商務(wù)一個重要的安全需求就是信息的保密性。這意味著,一定要對敏感信息進行加密,即使別人截獲或竊取了數(shù)據(jù),也無法識別信息的真實內(nèi)容,以使商業(yè)機密信息難以被泄漏。
3.信息的真實完整性。信息輸入時的意外差錯或欺詐行為、傳輸過程中信息的丟失、重復或傳送次序差異都會導致貿(mào)易各方信息的不同。交易的文件是不可被修改的,應(yīng)該保證接受方收到的信息確實是發(fā)送方發(fā)送的,中途沒有被非法用戶篡改過。電子交易文件必須做到不可修改,以保障交易的嚴肅和公正。
三、電子商務(wù)交易中的一些網(wǎng)絡(luò)安全技術(shù)
針對以上問題現(xiàn)在廣泛采用了身份識別技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)和放火墻技術(shù)。
1.身份識別技術(shù)。通過電子網(wǎng)絡(luò)開展電子商務(wù),身份識別問題是一個必須解決的問題。一方面,只有合法用戶才可以使用網(wǎng)絡(luò)資源,所以網(wǎng)絡(luò)資源管理要求識別用戶的身份;另一方面,傳統(tǒng)的交易方式,交易雙方可以面對面地談判交涉,很容易識別對方的身份。通過電子網(wǎng)絡(luò)交易方式,交易雙方不見面,并且通過普通的電子傳輸信息很難確認對方的身份。因此,電子商務(wù)中的身份識別問題顯得尤為突出。
2.數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務(wù)中采取的主要安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前,加密技術(shù)分為兩類,即對稱加密/對稱密鑰加密/專用密鑰加密和非對稱加密/公開密鑰加密。現(xiàn)在許多機構(gòu)運用PKI(publickeyInfrastructur的縮寫,即“公開密鑰體系”)技術(shù)實施構(gòu)建完整的加密/簽名體系,更有效地解決上述難題,在充分利用互聯(lián)網(wǎng)實現(xiàn)資源共享的前提下從真正意義上確保了網(wǎng)上交易與信息傳遞的安全。3.智能化防火墻技術(shù)。智能防火墻從技術(shù)特征上,是利用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別,并達到訪問控制的目的。新的方法,消除了匹配檢查所需要的海量計算,高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值,直接進行訪問控制。智能防火墻成功地解決了普遍存在的拒絕服務(wù)攻擊(DDOS)的問題、病毒傳播問題和高級應(yīng)用入侵問題,代表著防火墻的主流發(fā)展方向。新型智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高,在特權(quán)最小化、系統(tǒng)最小化、內(nèi)核安全、系統(tǒng)加固、系統(tǒng)優(yōu)化和網(wǎng)絡(luò)性能最大化方面,與傳統(tǒng)防火墻相比較有質(zhì)的飛躍。
四、結(jié)束語
電子商務(wù)安全對計算機網(wǎng)絡(luò)安全與商務(wù)安全提出了雙重要求,其復雜程度比大多數(shù)計算機網(wǎng)絡(luò)都高。在電子商務(wù)的建設(shè)過程中涉及到許多安全技術(shù)問題,制定安全技術(shù)規(guī)則和實施安全技術(shù)手段不僅可以推動安全技術(shù)的發(fā)展,同時也促進安全的電子商務(wù)體系的形成。當然,任何一個安全技術(shù)都不會提供永遠和絕對的安全,因為網(wǎng)絡(luò)在變化,應(yīng)用在變化,入侵和破壞的手段也在變化,只有技術(shù)的不斷進步才是真正的安全保障。
參考文獻:
篇9
關(guān)鍵詞:互聯(lián)網(wǎng) 電子商務(wù) 網(wǎng)絡(luò)安全 管理
1 引言
隨著互聯(lián)網(wǎng)的快速發(fā)展,人們的生活方式有了非常大的改變,對應(yīng)的經(jīng)濟社會也受到了巨大的影響。在商業(yè)貿(mào)易領(lǐng)域,因為網(wǎng)絡(luò)的快速發(fā)展,產(chǎn)生了電子商務(wù)這樣一種貿(mào)易方式。但是電子商務(wù)也是經(jīng)歷了一番坎坷的,因為網(wǎng)絡(luò)的特殊性,在電子商務(wù)發(fā)展中產(chǎn)生了交易安全的問題,對電子商務(wù)的穩(wěn)定發(fā)展帶來了一定的沖擊。Internet網(wǎng)是一個互連通的自由空間,一些人常常會因為某些目的攻擊電子商務(wù)網(wǎng)站,比如盜竊資金、商業(yè)打擊、惡作劇等,導致有些企業(yè)的電子商務(wù)網(wǎng)站貿(mào)易交流受損、服務(wù)暫停,甚至出現(xiàn)資金被盜的現(xiàn)象。據(jù)有關(guān)數(shù)據(jù)的統(tǒng)計,美國每年因為網(wǎng)絡(luò)安全問題在經(jīng)濟上造成的損失就達到近百億美元,而國內(nèi)的情況也不容樂觀。因此,當我們在享受互聯(lián)網(wǎng)給生活帶來的這些好處的時候,網(wǎng)絡(luò)的安全問題,早已變成電子商務(wù)的重大難題,給電子商務(wù)企業(yè)的發(fā)展帶來了極大的阻礙。所以,計算機網(wǎng)絡(luò)安全是電子商務(wù)發(fā)展過程中所面臨的重大挑戰(zhàn)和問題。電子商務(wù)企業(yè)必須從維護顧客利益和自身利益出發(fā),做好安全防范和自身安全管理工作,才能得到持續(xù)快速的發(fā)展。
2 電子商務(wù)面對的網(wǎng)絡(luò)安全問題
當前,電子商務(wù)安全問題受到多方面的影響,不但有技術(shù)管理的問題,而且也有網(wǎng)絡(luò)缺陷的因素,具體地說,直接原因有以下幾點:
2.1 網(wǎng)絡(luò)“黑客”侵犯電子商務(wù)網(wǎng)站
網(wǎng)絡(luò)黑客是專門在網(wǎng)絡(luò)中利用本身掌握的技術(shù)非法強行進入他人網(wǎng)站后臺的人,這類人具有高超的網(wǎng)絡(luò)技術(shù),能夠不受電子商務(wù)網(wǎng)站技術(shù)防護的限制。許多“黑客”篡改內(nèi)容信息、破壞網(wǎng)站;盜取商戶或企業(yè)的賬戶資金,極大地影響了電子商務(wù)的正常進行。
2.2 電子商務(wù)軟件有漏洞
許多軟件研發(fā)單位研發(fā)的技術(shù)不成熟的電子商務(wù)軟件,存在許多安全漏洞,防護極易被外來入侵者利用漏洞攻破,導致電子商務(wù)企業(yè)受到很大的經(jīng)濟損失;有的企業(yè)即使安裝了防護軟件,但由于軟件沒有得到及時升級,致使軟件喪失了應(yīng)有防護功能。
2.3 電子商務(wù)網(wǎng)絡(luò)自身存在安全問題
網(wǎng)絡(luò)具有共享性、開放性等特點,它的設(shè)計原則是確保信息傳輸不會受到局部損壞的影響。所以,對網(wǎng)站安全帶來了極大的隱患。特別是對電子商務(wù)企業(yè)情況更加嚴峻。
2.4 網(wǎng)站管理的缺失
由于電子商務(wù)企業(yè)缺乏警惕性,不重視網(wǎng)絡(luò)安全的管理,通常只有在受到攻擊以后才會去加強網(wǎng)站安全;部分企業(yè)則以為只要安裝了入侵監(jiān)測系統(tǒng)、殺毒軟件、防火墻等安全產(chǎn)品,就能保障網(wǎng)站的安全,所以沒有根據(jù)企業(yè)實際情況制定相應(yīng)的管理制度,也沒有加強技術(shù)防范,給入侵者提供了機會。
3 應(yīng)對的措施
電子商務(wù)安全問題是在網(wǎng)絡(luò)化、電子化技術(shù)發(fā)展的前提下出現(xiàn)的,所以很多傳統(tǒng)的解決辦法不能簡單地應(yīng)用過來。電子商務(wù)企業(yè)想要取得效益,就要從企業(yè)的健康發(fā)展出發(fā),改善企業(yè)的安全管理,提高技術(shù)投入。具體的防范措施有: 3.1 安全技術(shù)管理需要加強
需要重視電子商務(wù)網(wǎng)站的維護、升級等方面,做好每天的安全備份,加強網(wǎng)站服務(wù)器的管理。制定安全防范預案,只要發(fā)生安全事件,能夠得到盡快解決,從而減少損失。使用權(quán)威性較強的安全防護軟件,并能夠正常啟動、正常升級,發(fā)揮應(yīng)有的防護功能。
3.2 在電子安全方面擴大管理和技術(shù)投入
企業(yè)需要加大安全方面的資金投入,購買技術(shù)防護設(shè)備,加大對技術(shù)改造與設(shè)備更新的投入。引進安全管理的相關(guān)技術(shù),招聘相應(yīng)的管理人才,并進行適當?shù)拇鰞A斜,確保安全管理團隊的穩(wěn)定。
3.3 使用密碼管理技術(shù)
電子商務(wù)中最重要的防范環(huán)節(jié)是密碼管理,要使用先進的密碼管理手段,確保能發(fā)揮特定的功能,重點有交易信息安全、身份認證安全和賬戶安全等。
3.4 電子商務(wù)企業(yè)自身的管理需要得到強化
安全技術(shù)是電子商務(wù)企業(yè)的首要防范措施,但發(fā)揮其作用的關(guān)鍵還是嚴密的管理,只有建立完善的安全防范管理系統(tǒng),才能保證企業(yè)的安全。所以電子商務(wù)企業(yè),需要制定安全防護制度,保證明確職責;要有獎懲制度,責任事故的時候,能夠做到及時追究,提高技術(shù)管理人員的責任意識。
篇10
論文關(guān)鍵詞:杭州師范大學,錢江學院,畢業(yè)設(shè)計,畢業(yè)論文,任務(wù)書,示范
二、主要內(nèi)容和基本要求(指明本課題要解決的主要問題和大體上可從哪幾個方面去研究和論述該主要問題的具體要求)
論文基本內(nèi)容:
隨著國內(nèi)移動通信的快速普及,基于手機等移動終端的移動商務(wù)應(yīng)運而生,從而為旅游業(yè)開辟出一條全新路徑。杭州作為一個旅游城市,論文可以從移動電子商務(wù)的發(fā)展現(xiàn)狀入手,分析旅游業(yè)應(yīng)用移動電子商務(wù)的情況,重點指出其存在的問題,最后提出相應(yīng)的對策。
基本要求:
廣泛查閱資料;理論聯(lián)系實際;觀點正確;論文要言之有物,切忌空泛;嚴格遵守論文格式規(guī)范;按規(guī)定的進度完成各項任務(wù)。
在撰寫畢業(yè)論文期間,應(yīng)完成如下工作:
1、應(yīng)查閱大量的文獻資料(必須查閱15篇以上的參考文獻,其中,外文原文參考文獻至少2篇),于2011年1月15日前完成不少于2000字的文獻綜述和譯成中文后不少于2000字的外文譯稿,同時提供外文的封面、封底、目錄和所翻譯的正文的復印件。
2、在完成“文獻綜述”、“外文翻譯”的基礎(chǔ)上,進行進一步的研究,于1月30日前完成不少于2000字的開題報告。
3、在同意開題后,認真撰寫畢業(yè)論文,須在2010~2011第二學期開學注冊時(2月19-20日)向指導老師上交不少于8000字的畢業(yè)論文(設(shè)計)完整初稿。
4、根據(jù)指導老師的指導意見,對論文進行多次修改,直到指導老師認為可以通過為止。
5、必須在2011年4月15日之前完成論文定稿(正文不少于8000字,不含附錄的字數(shù))。
6、認真準備論文答辯。
三、起止日期及進度安排
起止日期:
2010
年
12
月
2
日 至
2011
年
5
月
14
日
進度安排:
序號
時間
內(nèi)容
1
2011.1.5之前
確定論文題目、指導老師下達任務(wù)書
2
2011.1.6-2011.1.15
完成文獻綜述和外文翻譯定稿
3
2011.1.16-2011.1.30
完成開題報告定稿
4
2011.1.31-2011.2.20
完成完整的論文初稿
5
2011.2.21-2011.4.15
進行多次的論文修改,完成論文定稿
6
2011.3.1-2011.3.10
畢業(yè)論文中期檢查
7
2011.5.14
論文答辯
四、推薦參考文獻(理工科專業(yè)應(yīng)在5篇以上,文科類專業(yè)應(yīng)在8篇以上,其中外文文獻至少2篇。)
[1] 袁劍君, 陳志輝. 我國旅游信息化發(fā)展狀況、問題與對策[J]. 長沙鐵道學院學報(社會科學版) , 2009,(01).
[2] 杭志, 徐德智, . 移動電子商務(wù)中的服務(wù)組合研究[J]. 計算機技術(shù)與發(fā)展 , 2010,(04).
[3] 李文學. 四川電信與省旅游局深度合作著力提升旅游信息化服務(wù)水平[J]. 通信與信息技術(shù) , 2010,(01).
[4] 蔡安寧, 尚正永, 馬明棟. 杭州旅游地理信息系統(tǒng)的開發(fā)[J]. 計算機系統(tǒng)應(yīng)用 , 2007,(08).
[5] 杭志, 徐德智, . 移動電子商務(wù)中的服務(wù)組合研究[J]. 計算機技術(shù)與發(fā)展 , 2010,(04) .
[6] 為移動電子商務(wù)(M-commerce)做好準備[J]. 信息方略 , 2008,(02)
[7] 汪禮俊, 廖瑾. 移動電子商務(wù):現(xiàn)代生活的新詮釋[J]. 上海信息化 , 2010,(05).
熱門標簽
商務(wù)信函 商務(wù)英語論文 商務(wù)接待 商務(wù)談判論文 商務(wù)函電 商務(wù)翻譯論文 商務(wù)工作報告 商務(wù)禮儀 商務(wù)論文 商務(wù)招待 心理培訓 人文科學概論
