时间:2023-03-20 16:14:37
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇商务安全论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
随着网络的不断普及和电子商务的迅猛发展,电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活本论文由整理提供方式,越来越多的人们开始接受并喜爱网上购物,可是,电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现,其安全性也同样是其发展所不容忽视的关键问题,因此应当着重研究。
1校园电子商务概述
1.1校园电子商务的概念。
校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校本论文由整理提供园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。
1.2校园电子商务的特点。
相对于一般电子商务,校园电子商务具有客户群本论文由整理提供稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。
2校园电子商务的安全问题
2.1校园电子商务安全的内容。
校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。
2.2校园电子商务安全威胁。
校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非本论文由整理提供授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。
2.3校园电子商务安全的基本安全需求。
通过对校园电子商务安全威胁的分析,可以本论文由整理提供看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。
3校园电子商务安全解决方案
3.1校园电子商务安全体系结构。
校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系本论文由整理提供结构,如图所示:
上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和本论文由整理提供交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。
针对上述安全体系结构,具体的方案有:
(1)营造良好校园人文环境。加强大学生本论文由整理提供的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共
同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。
(2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。
(3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。
(4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而本论文由整理提供不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。
3.2校园网络安全对策。
保障校园网络安全的主要措施有:
(1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问本论文由整理提供,防止来自外部互联网对内部网络的破坏。
(2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。
(3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的本论文由整理提供安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。
3.3交易信息安全对策。
针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解本论文由整理提供决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。
(1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。
(2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务本论文由整理提供中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。
(3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。
3.4基于一卡通的校园电子商务。
目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:
(1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。超级秘书网
(2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。
4结束语
开展校园电子商务是推进校园信息化建设的重要内容,随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时,安全问题成为制约校园电子商务发展的障碍。因此,如何建立一个安全、便捷的校园电子商务应用环境,让师生能够方便可靠的进行校园在线交易和网上支本论文由整理提供付,是当前校园电子商务发展要着重研究的关键问题。
随着信息技术在贸易和商业领域的广泛应用,利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化,已成为各国商务发展的一大趋势。电子商务正是为了适应这种以全球为市场的的变化而出现的和发展起来的,它是当今社会发展最快的领域之一,同时也为全球的经济发展带来新的增长点。电子商务正在改变着人们的生活以及整个社会的发展进程,贸易网络将引起人们对管理模式、工作和生活方式,乃至经营管理思维方式等等的综合革新。对贸易和商业领域来说,电子商务的发展正在改变着传统的贸易方式,缩减交易程序,提高办事效率。现在,许多网站都提供有“商城”,供网民在网上购物。可以说,电子商务应用将越来越普及。然而,随着Internet逐渐发展成为电子商务的最佳载体,互联网具有充分开放,不设防护的特点使加强电子商务的安全问题日益紧迫,只有在全球范围建立一套人们能充分信任的安全保障制度,确保信息的真实性、可靠性和保密性,才能够打消人们的顾虑,放心的参与电子商务。否则,电子商务的发展将失去其支撑点。
要加强电子商务的安全,需要企业本身采取更为严格的管理措施,需要国家建立健全法律制度,更需要有科学的先进的安全技术。
在电子商务的交易中,经济信息、资金都要通过网络传输,交易双方的身份也需要认证,因此,电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒,使网络系统连续稳定的运行。常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术。交易信息的安全是指保护交易双方的不被破坏、不泄密,和交易双方身份的确认。可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。
在这里我想重点谈谈防火墙技术和数据加密技术。
一、防火墙技术。
防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些禁止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。
新一代的防火墙产品一般运用了以下技术:
(1)透明的访问方式。
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。而现在的防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。
(2)灵活的系统。
系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。
(3)多级过滤技术。
为保证系统的安全性和防护水平,防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透胆连接,并对服务的通行实行严格控制。
(4)网络地址转换技术。
防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
(5)Internet网关技术。
由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面,新一代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
(6)安全服务器网络(SSN)。
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
(7)用户鉴别与加密。
为了降低防火墙产品在Ielnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
(8)用户定制服务。
为了满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。
(9)审计和告警。
新一代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。此外,防火墙还在网络诊断、数据备份保全等方面具有特色。
目前的防火墙主要有两种类型。其一是包过滤型防火墙。它一般由路由器实现,故也被称为包过滤路由器。它在网络层对进入和出去内部网络的所有信息进行分析,一般检查数据包的IP源地址、IP目标地址、TCP端口号、ICMP消息类型,并按照信息过滤规则进行筛选,若符合规则,则允许该数据包通过防火墙进入内部网,否则进行报警或通知管理员,并且丢弃该包。这样一来,路由器能根据特定的刿则允许或拒绝流动的数据,如:Telnet服务器在TCP的23号端口监听远程连接,若管理员想阻塞所有进入的Telnet连接,过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快,实现方便,但由于它是通过IP地址来判断数据包是否允许通过,没有基于用户的认证,而IP地址可以伪造成可信任的外部主机地址,另外它不能提供日志,这样一来就无法发现黑客的攻击纪录。
其二是应用级防火墙。大多数的应用级防火墙产品使用的是应用机制,内置了应用程序,可用服务器作内部网和Internet之间的的转换。若外部网的用户要访问内部网,它只能到达服务器,若符合条件,服务器会到内部网取出所需的信息,转发出去。同样道理,内部网要访问Internet,也要通过服务器的转接,这样能监控内部用户访问Internet.这类防火墙能详细记录所有的访问纪录,但它不允许内部用户直接访问外部,会使速度变慢。且需要对每一个特定的Internet服务安装相应的服务器软件,用户无法使用未被服务器支持的服务。
防火墙技术从其功能上来分,还可以分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙等等。通常几种防火墙技术被一起使用,以弥补各自的缺陷和增加系统的安全性能。
防火墙虽然能对外部网络的功击实施有效的防护,但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的,还需考虑其它技术和非技术的因素,如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。就防火墙本身来看,包过滤技术和访问模式等都有一定的局限性,因此人们正在寻找更有效的防火墙,如加密路由器、“身份证”、安全内核等。但实践证明,防火墙仍然是网络安全中最成熟的一种技术。
二、数据加密技术
在电子商务中,信息加密技术是其它安全技术的基础,加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式(即加密),在线路上传送或在数据库中存储,其他用户再将密文还原成明文(即解密),从而保障信息数据的安全性。
数据加密的方法很多,常用的有两大类。一种是对称加密。一种是非对称密钥加密。对称加密也叫秘密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。典型的代表是美国国家安全局的DES。它是IBM于1971年开始研制,1977年美国标准局正式颁布其为加密标准,这种方法使用简单,加密解密速度快,适合于大量信息的加密。但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N*(N-1)/2个密钥,难于管理。第三,不能鉴别数据的完整性。
非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥解密的数据只能用对应的公钥解密。具体加密传输过程如下:
(1)发送方甲用接收方乙的公钥加密自己的私钥。
(2)发送方家用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。
(3)接收方乙用自己的私钥解密,得到甲的私钥。
(4)接收方乙用甲的公钥解密,得到明文。
这个过程包含了两个加密解密过程:密钥的加解密和文件本身的加解密。在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。可以保证信息的不可抵赖性。
信息安全和计算机网络安全的安全需求主要包括完整性、保密性、一致性、真实性和不可否认性。在电子商务实际应用中主要包括如何防范商业企业机密泄露及个人信息的泄露等问题。电子商务系统必须基于信息安全基础上并达到电子商务安全的要求的网络商务系统。必须有计算机网络安全,才能保证电子商务最低层的信息服务,计算机网络层是用户将信息传输到上层的基础及用户与计算机网络接入的基本交互式服务手段。网络服务层必须有相关安全机制,如:入侵检测、安全扫描、防火墙等来保证计算机网络的安全。另外,为了在应用层电子商务系统使用安全,必须利用网络加密技术和数字认证技术和电子商务安全协议,即构建安全的电子交易数据体系结构。其中,电子商务安全协议是加密技术和安全认证的综合运用和完善。电子商务应用系统应具有较高的安全性能指标,用户对所信赖的电子商务安全肯定具有很高的可靠性和可用性。在人才培养是就需考虑建立一个完善的基于信息安全核心能力提升的人才培养模式,形成一个电子商务安全知识体系,在考虑如何达到课程目标的同时也要考虑如何满足电子商务应用人才的实际需求。在信息安全基础上电子商务的安全内容主要包括计算机网络服务层、技术加密层、身份认证技术层、电子商务安全层、安全应用层。其中,上层主要以下层为基础的服务,同时下层为上层提供技术支持,整个内容之间相互关联的整体,并且在不同的信息安全技术控制下实现电子商务的安全模式。
2电子商务安全教学方法改革
目前电子商务安全课程在教学过程中,学生对教材的知识缺乏主动理解和接受,学习的兴趣和主动性不高。因此要对现有以教学大纲为主要目标的方法进行改革,能让学生融会贯通理论知识,主动思考问题,具有理解分析解决实际问题能力。本文提出电子商务安全课程在课堂讲授的进行:教师准备阶段,学生准备阶段,小组讨论阶段、集中讨论阶段和总结阶段。主要目的是使老师和学生在课堂上有较大的自我发挥空间。在教学法的五个阶段中,教师准备阶段和学生预备阶段是教学法中最为关键的环节。教师准备阶段:教师准备是教学的第一环节,也是为明确教学目而准备,是有序进行教学组织与设计的基础。明确教学目标后,就应选择合适教学背景,教学背景应且具有高启发性素材,并且满足教学目标切合实际的教学案例。对选择的教学案例或素材还需要对及进行典型化处理,最后准备在课堂上提出让学生思考的问题,引导介绍学生学习相关资料。学生预备阶段:课前让学生阅读典型化处理相关学习资料,老师指导学生查阅相关学习资料,让学生课前主动准备课堂讲授知识的信息,对老师提出的思考问题要求学生独立思考并形成初步的解决方法。小组讨论阶段:首先根据学生人数将学生分为3到5人小组,然后在小组范围内自行组织讨论,再确定小组成员的任务分工,最后形成小组在课堂上展示方案。课堂展示阶段:在时间控制在半个课时以内前提条件下各小组派代表对问题解决方案进行展示,其他小组对解决方法进行互动式提问和回答,这个过程需要教师加以正确引导。老师总结阶段:老师总结出意见比较集中的问题,针对重点问题组织大家集中讨论,并提出引导性建议扩展深化学生对有疑虑问题的理解。
3电子商务安全课程实践
传统的电子商务安全课程教学是以理论知识为中心的教育体系,对实践操作课程和技能的要求不高,很可能会导致学生在毕业后难以适应工作的要求,在现行教育模式中,用人单位也很难选择到合格的专业技术人才。为此,本课题对信息安全专业开设的电子商务安全课程特点及开发合适的教学模式,尤其是如何建立创新性实践教学体系进行了研究,以教学目标为指导、以社会需求为导向,开发以学生就业为宗旨的高技能型人才培养模式,根据电子商务安全课程特点,将信息安全未来发展的创新技术运用到电子商务安全教学方法中,建立较为全面的以人才培养目标为基础的创新环境和教学模式。另外,本课程实践教学内容的要求是让学生对电子商务安全和信息安全的理论和实践联系建立一个全面的知识结构。通过实践环节设置,让学生了解电子商务安全加密技术及使用技能;了解电子商务邮件和数字签名的联系及作用;熟练掌握电子商务安全协议的设置;掌握PKI的应用及数字证书的申请、安装和使用流程;熟悉基本的电子支付工具的使用。本课程的为实现实践培养目标对实验教学进行合理的安排。
4结论
1.1对供应商的影响
降低成本,提高效率一直是航空公司经理们所要考虑的问题。在传统情况下,当公司需要进行采购的时候组织采购部门会填写请购单,这个请购单会交付给供应商。表格交付后,确认产品信息确认后付款。采购过程非常耗时。在网络没有出现的年代,寻找要购买的商品通常需要一个半天的时间,而电子采购只需要20分钟。(Chaffey,2002)可以说企业机构从电子采购中获益很多。
1.2对分销商的影响
对航空业来讲,分销是指航空公司如何把机票分配给消费者。在网络没有盛行的年代,旅行社是重要的购买机票的渠道。而现在购买机票方式的变化是显而易见的。许多航空公司设立了官方网站来吸引消费者购票。Law和Leung(2000)认为网络能够在不通过旅行社和电脑预订系统(ComputerReservationSystems,CRS)直接与消费者沟通,从而降低了机票的分销费用。EasyJet航空公司就是通过各种方式来降低不必要成本的典型,比如通过网络售票。2001年9月75%的人上网买票,这可以看作是一种脱媒方式。随着网络的普及,几乎所有的航空公司都建立自己的网站,同时网络订机票的中介也应运而生,这就意味着航空公司之间的竞争越发激烈,尤其对那些以价格为导向的消费者来说,他们更倾向于价格更便宜的机票。以2012年4月22日从伦敦到巴塞罗那的机票为例,大英航空的最低票价为196英镑,而Easyjet的票价只有62.99英镑,可见Easyjet在降低成本上所做的努力。可以看出,网络在降低了航空业分销渠道成本的同时,也加大了行业内部之间的竞争。
1.3对客户关系的影响
如上所述,航空业属于服务业范畴,因而公司与消费者的关系是至关重要的。Chaffey(2002)认为客户关系主要有两个部分,即客户获取(customeracquisition)和客户维系(customerretention),其中获取一个客户要比维系一个客户成本更高。因而公司希望与已获得的客户保持长期而良好的关系,而网络让维持这种关系变得更加容易。荷兰皇家航空公司(KLM)的网络客户关系管理团队(CRMteam)会根据客户在网上订票后所留下的cookies(小型文本本件)来判定客户的消费习惯,从而为客户提供更加个性化的信息,比如给他们发送专门为他们定制的邮件。他们也为常旅客(frequentflyers)提供专属的服务,并称之为常旅客计划会员(frequentflyerprogrammem-bership)。其次,对消费者来说,网络的产生让消费者能够随时随地查询相关信息,比如网上值机系统(onlinecheck-insystem)能够节省消费者的时间同时也能降低公司人力成本。航空公司通过电子商务(网络,手机等)可以更好与消费者维持良好的关系。廉价航空公司EasyJet通过使用RightNow公司的客户关系管理软件使该公司运行成本降低了75万英镑。
2电子商务在未来发展中的隐患
2.1网络安全问题
对消费者来说网络安全是他们进行网上购物的顾虑之一,这种顾虑不仅仅存在于航空业之中,其中就包括网上转账安全。2011年美国社交网络脸书(Facebook)的大规模用户信息泄露事件让网络安全问题处在了风口浪尖上。网络诈骗及其他网络问题的出现让消费者们对网上转账产生了疑虑。据统计,仅2008年美国航空业损失费用达到14亿美元,占了当年世界航空业总产值的百分之1.3。Cunningham等(2004)认为“对于基于网络和传统的航空预订服务来说,对风险的感知是系统的模式”这就意味着尽管航空公司不断强调他们采用多么现实的网络安全技术,消费者始终会对网上支付有一定的顾虑。其次,消费者也担心在网上注册账号会导致更多的个人信息被泄露。美国廉价航空公司捷蓝(JetBlue)航空在顾客信息保护上面下了很大功夫,公司信息技术副总裁ToddThompson认为“网络能够提升他们为顾客提供优质服务的能力,但不幸的是,电子通信总是会被转发、打印或复制,因此完全的保密是几乎不可能完成的”。捷蓝航空计划为WindowsServerTM2003和微软办公系统使用微软公司的权限管理服务MicrosoftRWindowsRRightsManagementSer-vices(RMS),这种信息保护技术是建立在文件级别上了,内部信息的交流会降低信息被他人误读,从而提高了消费者信息的安全性。但根据Krishnamurthy(P.5)的研究,通过旅行网站所泄露的个人信息占据所有网站之首,旅行网站的直接泄露指数(directleakageindex)为9,而像购物网站和新闻网站分别只有3和5。由此可以看出,航空业在未来发展电子商务方面还存在着潜在的风险。而且提高升级网络系统容易,但是改变人们对网络隐患的担忧却不是那么容易。
2.2硬件问题
Phaladsingh(2006)认为“个人电脑的普及率”是影响电子商务发展的阻碍之一,这就意味着不管网络技术有多发达,如果人们买不起电脑和其他数码设备,电子商务就很难发挥其作用。对于航空业来说同样是如此,网上值机、网上购票等服务只有在有电脑设备的时候才会体现出其优越性。显而易见,发达国家更容易接触到电子产品也更容易享受到电子产品带来的便捷体验。2004年在美国每1000人中有763个人拥有电脑,而在一些欠发达国家每1000人中平均只有1到2个人拥有电脑,非洲国家尼日尔每1000人中只有0.1716人使用电脑,这个数量在增加,但不可否认的是在发展中国家尤其是一些欠发达国家电子商务并不能产生很好的效果。
3结论
密码是一个人的私有信息,通过设置密码可以在一定程度上保证信息的安全性。在电子商务中会涉及到的银行账号的安全、交易信息的安全,都可以通过设置不同类型的密码来保护。在设置密码时可以设置不同的密码,增加所设密码的难度,定期修改密码,以及登陆密码和手机绑定密码等多种途径来保护账号的安全。有很大一部分人喜欢用同样的密码,这是一种不好的习惯。可能有人会说:“如果不设置相同的密码就记不住。”在这种情况下可以采取多种加密形式来保证账户安全。现在为了解决安全问题,不同的机构,包括电子商务公司、各大银行都推出许多加密设备,我们可以选用。
二、数字签名
在网络环境中,网络安全的最基本要求就是通信信息的真实和不可否认性,它要求通信双方能互相证实,以防止第三者假冒通信的一方窃取、伪造信息。在网络中实现通信真实性的方法是数字签名(DigitalSignature)。我们在教学过程中让学生能掌握的是正确使用自己的数字签名,学生走上社会做的不是科学研究,是应用型电子商务,主要包括银行账号的安全、交易账号的安全,可以使用不同的认证方法保证信息安全,数字签名就是一种很好的方法。例如,作为商业机构可以选择一家公信度较强、通过国际认证的CA认证中心,CA认证中心会对于你每次交易中数字签名进行处理,证明交易中的身份,保证签名的不可否认性,加快交易速度,节省交易时间。
三、不轻易打开网站链接
在日常店铺管理中,交易身份的假冒和网站的假冒时有发生,为了防范这种骗局,我们要做的就是不打开不信任的网站,不打开别人发来的链接。现在有一些骗子不仅是把自己伪装成购物网站去骗买家,从而盗取买家的账号、密码。也有一些骗子专门去搜索一些新开的网店去欺骗卖家,一是因为新卖家经验不足防骗知识薄弱,二是新卖家急于让店铺发生买卖,因此在交易时当这些不法分子告诉卖家自己进行的交易出现问题而发送链接时,卖家没有仔细查看确认交易就贸然打开了链接,给店铺造成了损失。
四、防火墙设置
近年来,作为保护计算机系统网络安全的重要措施,防火墙技术正日趋成熟。对于一些与防火墙相冲突的软件,需要关闭防火墙,有时网络安全有问题时,又需要启用防火墙。我们作为专业电子商务人员,要会对自己的电脑进行防火墙设置,设置时可以通过电脑的“控制面板”找到“防火墙”,打开“防火墙”自行设置。防火墙应该一直都处于打开的状态。
五、计算机病毒防范
电子商务强调企业与商家通过网络进行实时交流,安全防护的一点疏漏就可能使计算机病毒扩散到整个企业的网络,可能感染客户的计算机。因此应对计算机病毒进行防范。要想安全、可靠地防杀病毒,至少应该进行如下的工作:选择好的防杀病毒软件保护工作站、服务器;定期进行文件备份工作;定期对网络进行病毒扫描,异常检测;尽量多用无盘工作站;对远程工作站的登陆权限实施严格控制,尽量少用超级用户登录;定期更新病毒库;对网络设备的安全隔离。
六、结语
由于Internet本身的开放性,使电子商务系统面临着各种各样的安全威胁。目前,电子商务主要存在的安全隐患有以下几个方面。
1.身份冒充问题
攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。主要表现有:冒充他人身份;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户等。
2.网络信息安全问题
主要表现在攻击者在网络的传输信道上,通过物理或逻辑的手段,进行信息截获、篡改、删除、插入。截获,攻击者可能通过分析网络物理线路传输时的各种特征,截获机密信息或有用信息,如消费者的账号、密码等。篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个信息或信息的某些部分;插入,即在信息中插入一些信息,让收方读不懂或接受错误的信息。
3.拒绝服务问题
攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯,扰乱正常的资讯通道。包括:虚开网站和商店,给用户发电子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应。
4.交易双方抵赖问题
某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。如:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差但不承认原有的交易。在网络世界里谁为交易双方的纠纷进行公证、仲裁。
5.计算机系统安全问题
计算机系统是进行电子商务的基本设备,如果不注意安全问题,它一样会威胁到电子商务的信息安全。计算机设备本身存在物理损坏,数据丢失,信息泄露等问题。计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。同时,计算机系统存在工作人员管理的问题,如果职责不清,权限不明同样会影响计算机系统的安全。
二、电子商务安全机制
1.加密和隐藏机制
加密使信息改变,攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中,使攻击者无法发现,不仅实现了信息的保密,也保护了通信本身。
2.认证机制
网络安全的基本机制,网络设备之间应互相认证对方身份,以保证正确的操作权力赋予和数据的存取控制。网络也必须认证用户的身份,以保证正确的用户进行正确的操作并进行正确的审计。
3.审计机制
审计是防止内部犯罪和事故后调查取证的基础,通过对一些重要的事件进行记录,从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计信息应具有防止非法删除和修改的措施。
4.完整性保护机制
用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法篡改。完整性的另一用途是提供不可抵赖服务,当信息源的完整性可以被验证却无法模仿时,收到信息的一方可以认定信息的发送者,数字签名就可以提供这种手段。
5.权力控制和存取控制机制
主机系统必备的安全手段,系统根据正确的认证,赋予某用户适当的操作权力,使其不能进行越权的操作。该机制一般采用角色管理办法,针对系统需要定义各种角色,如经理、会计等,然后对他们赋予不同的执行权利。
6.业务填充机制
在业务闲时发送无用的随机数据,增加攻击者通过通信流量获得信息的困难。同时,也增加了密码通信的破译难度。发送的随机数据应具有良好模拟性能,能够以假乱真。
三、电子商务安全关键技术
安全问题是电子商务的核心,为了满足安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等,综合起来主要有以下几种技术。
1.防火墙技术
现有的防火墙技术包括两大类:数据包过滤和服务技术。其中最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于:防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击;防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。
2.虚拟专网技术(VPN)
VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。VPN具投资小、易管理、适应性强等优点。VPN可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全连接,并保证数据的安全传输,以此达到在公共的Internet上或企业局域网之间实现完全的电子交易的目的。
3.数据加密技术
加密技术是保证电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。加密技术分为常规密钥密码体系和公开密钥密码体系两大类。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄露,可通过常规密钥密码体系的方法加密机密信息,并随报文发送报文摘要和报文散列值,以保证报文的机密性和完整性。目前常用的常规密钥密码体系的算法有:数据加密标准DES、三重DES、国际数据加密算法IDEA等,其中DES使用最普遍,被ISO采用为数据加密的标准。在公开密钥密码体系中,加密密钥是公开信息,而解密密钥是需要保护的,加密算法和解密算法也都是公开的。典型的公开密钥密码体系有:基于数论中大数分解的RSA体系、基于NP完全理论的Merkel-Hellman背包体系和基于编码理论的McEliece体系。在以上两类加密体系中,常规密钥密码体系的特点是加密速度快、效率高,被广泛用于大量数据的加密,但该方法的致命缺点是密钥的传输易被截获,难以安全管理大量的密钥,因此大范围应用存在一定问题。而公开密钥密码体系很好地解决了上述不足,保密性能也优于常规密钥密码体系,但公开密钥密码体系复杂,加密速度不够理想。目前电子商务实际运用中常将两者结合使用。
4.安全认证技术
安全认证技术主要有:(1)数字摘要技术,可以验证通过网络传输收到的明文是否被篡改,从而保证数据的完整性和有效性。(2)数字签名技术,能够实现对原始报文的鉴别和不可否认性,同时还能阻止伪造签名。(3)数字时间戳技术,用于提供电子文件发表时间的安全保护。(4)数字凭证技术,又称为数字证书,负责用电子手段来证实用户的身份和对网络资源访问的权限。(5)认证中心,负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题,而且只须管理每个用户的一个公开密钥,大大降低了密钥管理的复杂性,这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系统。(6)智能卡技术,它不但提供读写数据和存储数据的能力,而且还具有对数据进行处理的能力,可以实现对数据的加密和解密,能进行数字签名和验证数字签名,其存储器部分具有外部不可读特性。采用智能卡,可使身份识别更有效、安全,但它仅仅为身份识别提供一个硬件基础,如果要使身份认证更安全,还需要与安全协议的配合。
5.电子商务安全协议
不同交易协议的复杂性、开销、安全性各不相同,同时不同的应用环境对协议目标的要求也不尽相同。目前比较成熟的协议有:(1)Netbill协议,是由J.D.Tygar等设计和开发的关于数字商品的电子商务协议,该协议假定了一个可信赖的第三方,将商品的传送和支付链接到一个原子事务中。(2)匿名原子交易协议,由J.D.Tygar首次提出,具有匿名性和原子性,对著名的数字现金协议进行了补充和修改,改进了传统的分布式系统中常用的两阶段提交,引入了除客户、商家和银行之外的独立第四方一交易日志(Transactionlog)以取代两阶段提交协议中的协调者(Coordinator)。(3)安全电子交易协议SET,由VISA公司和MasterCard公司联合开发设计。SET用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,它可以对交易各方进行认证,防止商家欺诈。SET协议开销较大,客户、商家、银行都要安装相应软件。(4)安全套接字层协议SSL,是目前使用最广泛的电子商务协议,它由Netscape公司于1996年设计开发。它位于运输层和应用层之间,能很好地封装应用层数据,不用改变位于应用层的应用程序,对用户透明。然而,SSL并不专为支持电子商务而设计,只支持双方认证,只能保证传送信息传送过程中不因被截而泄密,不能防止商家利用获取的信用卡号进行欺诈。(5)JEPI(JointElectronicPaymentInitiative),是为了解决众多协议间的不兼容性而提出来的,是现有HTTP协议的扩展,在普遍HTTP协议之上增加了PEP(ProtocolExtensionProtocol)和UPP(UniversalPaymentPreamble)两层结构,其目的不是提出一种新的电子支付手段,而是在允许多种支付系统并存的情况下,帮助商家和顾客双方选取一个合适的支付系统。
1.信息有效性、真实性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各信息的差异。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
4.信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可抵赖性要求即是能建立有效的责任机制,防止实体否认其行为;可鉴别性要求即是能控制使用资源的人或实体的使用方式。
5.系统的可靠性
电子商务系统是计算机系统,其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。
二、电子商务的信息安全技术
1.数据加密技术
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
1)电子商务领域常用的加密技术数字摘要(digitaldigest)
这一加密方法亦称安全Hash编码法,由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(FingerPrint),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。
数字签名(digitalsignature)
数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要),用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密,如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别。概括的说,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。
数字时间戳(digitaltime-stamp)交
易文件中,时间是十分重要的信息。在电子交易中,需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest);DTS收到文件的日期和时间;DTS的数字签名。
数字证书(digitalcertificate,digitalID)数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前,最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书,证书作为网上交易参与各方的身份识别,就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心,并提供自己的身份证明信息,证明自己是相应公钥的拥有者,认证中心审查用户提供的信息后,如果确认用户是合法的,就给用户一个数字证书。这样,每个成员只需和认证中心打交道,就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说,数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型:个人凭证、企业(服务器)凭证、软件(开发者)凭证;大部分认证中心提供前两类凭证。
2.身份认证技术
为解决Internet的安全问题,初步形成了一套完整的Internet安全解决方案,即被广泛采用的公钥基础设施(PKI)体系结构。PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
1)认证系统的基本原理
利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,CA为用户发放电子证书,用户之间利用证书来保证信息安全性和双方身份的合法性。
2)认证系统结构
整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA和WebPublisher。
核心系统跟CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时,颁发证书。
证书的登记机构RegisterAuthority,简称RA,分散在各个网上银行的地区中心。RA与网银中心有机结合,接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给CA中心。
证书的公布系统WebPublisher,简称WP,置于Internet网上,是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后,CA用E-mail通知用户,然后用户须用浏览器从这里下载证书。
3.网上支付平台及支付网关
网上支付平台分为CTEC支付体系(基于CTCA/GDCS)和SET支付体系(基于CTCA/SET)。网上支付平台支付型电子商务业务提供各种支付手段,包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。
支付网关位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部的传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。此外,支付网关还具有密钥保护和证书管理等其它功能。
三、电子商务信息安全中的其它问题
1.内部安全
最近的调查表明,至少有75%的信息安全问题来自内部,在信用卡和商业诈骗中,内部人员所占的比例最大;
2.恶意代码
它们将继续对所有的网络系统构成威胁,并且,其数量将随着Internet的发展和编程环境的丰富而增多,扩散起来也更加便利,因此,造成的破坏也就越大;
3.可靠性差
目前,Internet主干网和DNS服务器的可靠性还远远不能满足人们的要求,而绝大
部分拨号PPP连接质量并不可靠,且速度很慢;
4.技术人才短缺
由于Internet和网络购物都是在近几年得到了迅猛的发展,因而,许多地方都缺乏足够的技术人才来处理其中遇到的各种问题,尤其是网络购物具有24x7(每天24小时,每周7天都能工作)的要求,因而迫切需要有一大批专业技术人员对其进行管理。如果说加密技术是电子交易安全的“硬件”,那么人才问题则可以说是“软件”。从某种意义上讲,软件的问题解决起来可能更不容易,因此,技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。
5.Web服务器的保护意识差
在交易过程中对数据进行保护只是保证交易安全的一个方面。由于交易的信息均存储在服务器上,因此,即使保密信息被客户端接收之后,也必须对存储在服务器中的数据进行保护。目前,Web服务器是黑客们最喜欢攻击的目标。因此,建议尽量不要将Web服务和连接到任何内部网络,而且要定期对数据进行备份,以便于服务器被攻击之后对数据进行恢复。当然,这毕竟有些不太现实,现在许多流行的Web应用都需要Web服务器与公司的数据库进行交互式操作,这就要求服务器必须与公司内部网络相连,而这个连接也就成为黑客们从Web站点侵入企业内部网络的一条通路。虽然防火墙技术有助于对web站点进行保护,但商家却很少安装防火墙或对其缺乏有效的维护,因而没有对Web服务器进行很好的保护,这是商家的Web站点尤其要引起注意的地方。
四、与电子商务安全有关的协议技术讨论
1.SSL协议(SecureSocketsLayer)安全套接层协议———面向连接的协议。
SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式。但它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。
2.SET协议(SecureElectronicTransaction)安全电子交易———专门为电子商务而设计的协议。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。
结束语
本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指出了与电子商务安全有关的协议技术使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
[摘要]电子商务对人类社会经济产生了重大影响,在创造巨大经济效益的同时,也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中,已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务的安全需求、安全技术发展现状及存在的问题,对加快电子商务的发展步伐提出了一些重要思考。
[关键词]电子商务;安全需求;安全技术;
[参考文献]
①姚立新,新世纪商务:电子商务的知识发展与运作,中国发展出版社,1999年。
②《中国电子商务年鉴》2003卷。
③陈海滨,企业电子营销发展对策浅析,湖南大学学报,2001年。
[关键词]电子商务支付手段安全
一、前言
电子商务全球化的发展趋势中,电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康发展。限制电子商务的发展主要因素就是电子支付手段的安全性。
二、主要的电子支付手段及其安全性分析
1.电子信用卡
(1)支付方式:信用卡支付是电子支付中最常用的工具,方法是在Internet环境下通过标准的SET协议进行网络支付,用户在网上发送信用卡号和密码,加密后发送到银行进行支付。支付过程中要进行用户、商家及付款要求的合法性验证。
(2)安全策略:电子信用卡,是通过用户在网上输入账号/密码+数字签名,这些信息都是通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互,进行网络支付,这种支付方式的安全性是可以得到保证的。
(3)安全隐患:单纯从技术上来说,无安全隐患问题。
2.电子支票
(1)支付方式:电子支票是利用数字化手段进行网上支付,支付过程与传统支票的支付过程相似,只是电子支票完全抛开了纸质的媒介,其支票的形式是通过网络传播,并用数字签名代替了传统的签名方式。其交易流程如下:
(2)安全策略:和电子信用卡一样,采用账号/密码+数字签名的方式进行身份验证。其支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性,从上面的交易流程,我们可以看到,电子支票的支付在专用系统上有可靠的安全措施的。
(3)安全隐患:专用网络上的应用具有成熟的模式(例如SWIFT(环球银行金融通讯协会、SocietyforWorldwideInterbankFinancialTelecommunication)系统);公共网络上的点的资金转账仍在实验之中。
3.电子现金
(1)支付方式:电子现金是一种以数字化形式存在的现金货币,它同信用卡不一样,信用卡本身并不是货币,只是一种转账手段,而电子现金本身就是一种货币,是一种以数据形式存在的现金货币。它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。可以直接用来购物。电子现金具有如下特点:匿名;节省交易费用;支付灵活方便;安全存储。
(2)安全策略:没有适当的身份认证机制,是匿名的,为防止被伪造,电子现金的传输是经过数字签名的。
(3)安全隐患:①逃税:由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。电子现金不像真实的现金一样,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收规则,由于其不可跟踪性,电子现金很可能被不法分子用以逃税。②洗钱:电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经开始了这种做法。
③扰乱金融秩序:电子现金的法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品或服务的数字化等价物,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。
④重复消费:由于电子序列号可以被复制,因此需要一个大型的数据库存储用户完成的交易和E-Cash序列号以防止重复消费,这对于软件和硬件的要求都很高,因此很多银行都不支持电子现金业务。
4.移动支付
(1)支付方式:移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户,为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统,移动支付系统将此次交易的要求传送给MASP,由MASP确定此次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付系统来完成。
(2)安全措施:身份验证方式采用个人账号/密码的方式。对交易中的部分敏感信息进行了加密。
(3)安全隐患:①抵赖行为:手机支付的加密方式只是加密了交易过程的部分内容,没有考虑交易双方相互的身份认证和交易的不可否认性,必须把SET协议数据加密模型引入到手机支付中。②手机本身的安全性:手机支付还有其他的问题:大部分手机不具有用户身份认证模块,运算能力低,速度慢,不合适使用数字水印,由于不能进行很好的加密,而且手机信息传输是无线的,所以目前手机支付就存在比较大的安全隐患。