时间:2023-10-10 09:48:58
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇电子商务教案,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
[关键词] 电子商务 综合性学科 案例教学
一、前言
随着计算机网络技术的不断发展和因特网应用的迅猛普及,电子商务正在各行各业得到越来越广泛的应用。
所谓电子商务,简单的说就是通过计算机和互联网络,利用电子方式开展的商务活动。电子商务的应用,对于扩大贸易机会,提高贸易效率,降低贸易成本,增加企业竞争力有着不可估量的作用。正因如此,近年来电子商务在我国得到蓬勃的发展。据CNNIC(中国互联网络信息中心)最新的《第26次中国互联网络发展状况统计报告(2010年7月)》显示,截止2010年6月,电子商务应用之一的网络购物,我国用户已达1.42亿,与2009年12月相比,半年用户增幅达 31.4%;网络支付的使用率为 30.5%,用户规模达 12810万,半年增长 36.2%,是用户增速最快的网络应用。目前,我国众多的高等院校已不失时机地开设了电子商务相关专业,培养高层次的电子商务技术人才,满足社会的需求。
二、电子商务案例教学的概念和意义
电子商务是一门交叉性和综合性很强的学科,它集经济、管理、计算机网络技术、电子与信息技术、法律等相关学科诸多内容于一体,知识涉及面很广,强调在实践中综合运用能力和创新能力解决问题。所以,在电子商务专业的教学过程中,单纯的就某门课程,进行理论教学,往往让学生觉得枯燥、难懂。 电子商务案例是指对某一特定电子商务活动的内容、情景与过程,进行客观描述的教学资料,案例是真实而具体的事件或实例。案例教学是在学生掌握了有关基本知识和分析技术的基础上,在教师的精心策划和指导下,根据教学目的和教学内容的要求,运用典型案例,将学生带入特定事件的现场进行案例分析,通过对案例的分析研究,揭示电子商务的内在规律,培养学生利用理论知识分析、解决实际问题的能力。
从教学角度看,电子商务案例教学的重要性主要体现在以下三个方面。一是能够深化所学的理论知识,通过案例分析加深对理论知识的深层次理解;二是能够使所学的知识转变成为技能,理论学习与实践应用有机地结合;三是在逼真模拟训练中做到教学相长,师生之间在共同的分析讨论过程中,通过发散性思维,激发大家的灵感,做到相互启迪,相互学习。可以说电子商务案例教学是对学生实施素质教育的有效手段之一。
三、电子商务案例教学的特点和分类
电子商务案例教学的主要特点是具有启迪性、实践性和针对性。它不同于课堂教学中的举例说明,教师举例说明时所用的“例子”,其运用重点在于说明理论体系中的某一层次或环节,以加强学生对这些局部知识的认识和了解,它以简练、明确为主;而案例的内涵却比“例子”丰富得多,且其理论指向未必明确,需要综合运用课内甚至课外所获得的理论知识分析与解决问题。案例分析一般以学生讨论为主,允许发散思维式的争论存在,但又不同于一般的课堂讨论,课堂讨论虽可作为电子商务案例分析起步阶段的一种形式,但仍还是以“验证”相关理论知识为主,而电子商务案例分析则强调以知识的“运用”为主。
在教学过程中,电子商务案例可分为已决问题案例、待决问题案例和设想问题案例三类。
1.已决问题案例
这类案例对电子商务活动从情景描述到问题解决的全过程作了较详尽的介绍,它是案例教学初级状态的教学资料。
2.待决问题案例
这类案例是指对电子商务某部分的活动,只介绍情况过程和指明问题所在,要求学生作思考和讨论,找出问题成因或影响因素,进而提出解决问题的备选方案,从比较优劣中抉择。
3.设想问题案例
这类案例是指只提供电子商务活动的相关背景材料或迹象,启发学生从中自己寻找存在的问题、相关影响因素,进一步对活动的发展作出判断,并试图自行提出解决问题的措施,阐明这些措施在电子商务活动中的作用和效果。
四、电子商务案例教学的案例选择
电子商务是利用计算机和网络等现代信息技术开展的各类商务活动,包括货物贸易、服务贸易和知识产权贸易。因此,在电子商务案例选择过程中,应全面考虑电子商务的各种应用,精选其中典型的、有代表性的成功案例用于课堂教学。
1.省略)为案例,让学生了解网站域名的申请过程和价格,虚拟主机和主机托管的不同配置和相应价格以及网站建设、维护的其他服务。
2.电子商务B2C案例
B2C是指企业直接向个人销售产品或服务,即网上零售。B2C交易是电子商务应用最普遍、发展最快的领域。我们可以以“卓越亚马逊网”(省略)为案例,让学生了解网上购物的全过程,包括用户注册、商品搜索、使用购物车、选择送货及付款方式、提交或修改订单等。
3.电子商务B2B案例
B2B是指企业与企业之间的电子商务交易模式,B2B网站可以将买方和卖方集中到一个市场上来进行信息交流、广告、拍卖竞标、交易、库存管理等。我们可以以国内最大的B2B网站“阿里巴巴”(省略)为案例,让学生了解企业产品信息的、管理,企业所需信息的查找直至生成订单的交易过程。
4.省略)为案例,结合银行柜台服务,让学生了解网上银行的开通,数字证书的下载,动态密码或“网银盾”的使用,账户的查询,转账、汇款,网上支付等应用。
5.网络教育案例
当前传统的封闭教育体系已不能满足越来越多渴望获得更多知识的人们的需要,网络教育孕育而生。这是一个开放、共享、个性化的教育平台,在这个平台上,稀缺的教育资源能得到充分的利用,学习者也可以在任何时间、任何地点接受到个性化的教育。我们可以以“新东方网校”(省略)为案例,让学生了解课程订购、在线授课等过程。
6.网上证券案例
网上证券交易与传统的营业厅交易方式相比,能让股民更加迅捷地了解即时行情信息,减少交易环节,提高交易效率,还能借助相关分析软件,帮助股民进行投资决策。我们可以以“中信建投证券网”(省略)为案例,让学生了解证券开户、账户管理、买入卖出、撤单、成交查询、银证转账等证券交易程序。
以上通过六个案例简要介绍了课堂教学案例的选择,当然,电子商务的应用领域非常广泛,相应的案例更是不胜枚举,不同的学校可以根据自身的特点和教学要求来精选案例用于课堂教学。另外,有条件的学校还可以购买或开发电子商务模拟软件,例如我校购买的南京商友公司开发的电子商务实验系统,可以让学生在机房内网中比较完整的练习B2C、B2B、CA认证、网上银行及后台管理等操作。
五、小结
案例是实践中发生的带有普遍性、代表性的典型事例。案例的价值在于提供真实而典型的素材,供人们分析研究,总结普遍规律,从而提高人们认识能力和实践能力。案例教学是通过使学生经历或体验模拟的具有一定典型意义的事物发生、发展的过程,来感悟和理解一定的道理和方法,获得一定的知识的教学方法。电子商务课程的综合性、实践性强的特点,决定了案例教学在电子商务教学过程中所起的不可替代的作用。
参考文献:
[1]杨坚争 翟彭志 宋文官:电子商务案例分析[M]. 北京:中国人民大学出版社,2002
[2]杨坚争 杨维新 李朝平:电子商务营销案例[M]. 北京:中国人民大学出版社,2003
关键词:电子商务;交易;安全;策略
随着互联网的快速发展,电子商务逐渐发展起来,网络交易的规模和交易人群呈现逐步壮大的趋势,网络交易具有快速、便捷的优点,使人们足不出户就可以进行买卖,但是,网络交易是一把双刃剑,在快速的同时,也具有安全性差,信息容易丢失和泄露,因此,网络信息安全性就成了电子商务成功发展的关键因素。
一、当前电子商务交易的现状
1.网站本身的安全性较差
网络交易的进行需要以网站具有可访问性为前提,而安全问题则是网站的访问最首要的问题。互联网的开放性给企业提供了一个比较公平、比较便捷的交易平台,但是,网站本身或多或少具有一定漏洞,漏洞是在硬件、软件、协议的具体实现、具体使用或系统安全策略上存在的缺陷,已经成为企业网站受到攻击的首要的目标,它可以使攻击者能在未授权的情况下访问或破坏系统,从而给购买者和出售者造成重大的损失。
由于电子商务本身的不完善性,网站维护人员自身的专业性较差,有的会在无意中泄露网站的重要信息,给外部的攻击造成了可乘之机,使其可以轻松地窃取网站的重要资料和客户的重要信息。还有,网站工作人员在无意间会安装一些游戏以及不安全的软件,这也容易造成外部的攻击和进入,或者网站工作人员的一些不合常规的操作也会引发网站的不安全性访问,网站访问的安全危机是制约电子商务发展的一个重要的因素。
2.外部因素对电子交易造成的威胁
在我国,电子商务交易中遭遇信用卡被盗用、信息资料丢失等现象时有发生,网络交易中存在着种种安全的威胁因素。据调查显示,网络的安全性问题已经成为大多数企业和客户不去进行网上交易的重要的因素,也可以说,电子商务交易信息的安全问题已经成为目前电子商务发展道路上的最大阻碍。
在传统的交易中,一般都是买卖双方当面进行的,在交易的价格以及货币上相对比较透明一些,即使出现问题也可以当场沟通解决,通常交易都是通过信件或其他可靠的通信渠道来签订商业合同或条约,进而达到保守机密的目的。但是电子商务网站上,由于买卖双方的沟通都是依靠网络进行的,在交易价格和交易产品的质量上很难有比较直观的沟通,对交易产品的描述和交易的基本信息都是通过网络来进行的。这些比较重要的信息容易被外部的不法分子所窃取,进而破坏正常的网络交易,破坏这种正常交易的因素有很多,比如网络黑客、计算机病毒等,他们在网上泛滥,给网络交易造成了巨大的威胁。
电子商务网站都是通过建立自己的数据库来存储和管理客户银行账号、订单号等各种重要的业务数据信息,这些信息一旦被外部的攻击者所窃取就不堪设想,这些人就会迅速掌握被攻击网站信息的格式和大致的规律,然后利用自己所掌握的东西来篡改、删除对网站至关重要的信息,阻止重要信息的上传,进而破坏数据的准确性和完整性。甚至他们会冒充电子交易中的买方或者卖方来骗取钱财或者物品,以及其它的重要信息,或者破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。
3.电子商务交易中的诚信问题
由于电子商务是借助于虚拟的网络平台来实现的,买卖双方都不会看到对方的真实样子,交易双方的身份具有不确定性,在交易过程中,有可能出现交易抵赖、非同步交易等情况,直接破坏了电子商务网站交易的安全。当前电子商务多是通过电子支票、电子钱包、电子现金、信用卡来进行支付的,一般来说,卖家都会要求买家先付款后发货,这就导致一些素质比较低的客户对自己的订单刻意否认,百般推脱,推卸自己的责任,给卖家造成一定的损失和不便。卖家也会出现对商品描述不实,对客户付款后的商品不予确认,甚至对有问题的商品不予退货,对客户已经付款的商品不予发货或者过了很久才发货,给客户造成或多或少的经济损失,商家的信誉也会大打折扣。
二、解决措施
面对当前电子商务交易的种种安全问题,应该采取一些措施来加强交易的安全性。网络交易的双方都要树立高度的安全意识,商家要采用一些先进的防护技术增强自身网站的安全,提高网站的信誉,在维护自身安全的同时,也给客户的安全增加了砝码。
1.防御技术
要想提高电子商务交易的安全性,首先要加强交易的防御工作。使用一些先进的技术来加强网站的安全维护。防火墙就是一种较好的防御软件,它是由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。防火墙其实就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,进而起到保护电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全作用。一般来说,所有的内部网和外部网之间的连接都必须经过防火墙,并且防火墙要对网站进行严密的检查,只有该软件默认的信息才可以通过网络,起到一个过滤作用,通过对网站信息的检查和核对来降低信息的非法入侵的可能性,也大大地降低了非法入侵、非法使用系统资源的机率。目前来说,防火墙是对网络交易的一种比较好的防范措施,它可以识别常见的外部攻击模式,为网站建立起一道安全屏障,强化了网络安全策略,加强了网络存取和访问的监控审计,降低了网络交易信息泄露的可能性。
目前比较常用的防火墙的技术形势就是基于服务的防火墙,这种防火墙的安全性比较高,而且还具备身份认证与审计跟踪功能,可以对整个的网络系统资源的全程的使用情况做一个完整的记录,随时对电子网络进行监督,对进出网络的所有信息进行一个完备的储藏,一旦发现不良的或者异常的行为就会对网站的操作人员发出一定的警告,让其对该信息有所警觉,并采取一定的防护措施。但是,防火墙的核查速度比较慢,并且对网站外部的非法攻击可以起到有效的预防作用,对企业网络内部信息传输的安全性却起不到防护作用,这也是防火墙技术的一个较大的局限性。
除了防火墙技术,防病毒技术也是当前电子商务交易的一种比较常用的安全防护技术。计算机病毒是具有自我复制和传播能力的,并且病毒的流传性非常快捷,严重时可以引起计算机的网络故障,甚至会造成企业整个网络系统的瘫痪。针对计算机病毒,可以通过安装病毒扫描软件来进行有效的预防。病毒扫描软件可以搜索出常见病毒的一些特征或其它能表示该种。还可以通过识别网站正常的信息的变化来发现病毒,但是这种技术的弊端也比较明显,它只有在计算机病毒发生作用的时候才能发现它,对潜在的病毒却无能为力。所以,为了全面的预防计算机病毒,就要在病毒尚未开始破坏的时候就发现并给网站工作人员以警觉,也就是安装病毒的封锁软件,将潜在的病毒隔离在网络交易之外。
2.检测技术
除了对外部的攻击进行一定的预防之外,还要对其进行一定的检测,网站自身不免有一定的漏洞,就需要使用漏洞扫描技术及时发现网站的漏洞,并找出修补办法,消除网络交易的安全隐患。漏洞扫描软件可以第一时间发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器主要通过对网络交易的目标主机进行仔细的检测和核对,与其本身所具有的漏洞的特征相对比,看其是否存在系统漏洞。也可以通过模拟的方式,看网络交易的网站是否能被攻击,当发现可以被攻破的地方也就是网络系统漏洞的所在。
仅仅依靠对病毒的检测还是不够的,还需要对入侵的病毒进行一定的分析,并捕捉到其破坏的证据。入侵检测技术就是对网络交易的信息进行全程的监督,一旦发现网站中输入或者输出的信息出现异常时就会做出一定的反映,将网络入侵者隔离在网络之外,避免网络攻击的深入进行,是防火墙之后的第二个安全屏障。
安全认证技术就是对网站的登录者进行一个身份的识别和认证,对网站的进入者进行一定的过滤,从而降低网络交易的风险。安全认证就是对交易双方的信息进行一个确认,确认网站得到的信息是来自交易的双方,以保证交易的信息完整和真实性,确保交易信息没有被其他人恶意篡改过。安全认证要对重要的信息采用密码技术进行加密,使信息成为一种常人理解不了的密文,交易的接受者收到该密文后再对其进行解密,将它转换成一种可以了解的正常的信息形式。安全认证的主要作用是对网络交易的信息进行有效的确认,从而确保交易双方的信息只有对方才能看到,增加了信息的机密程度,也保证了网上支付的安全性,对网络交易者的身份进行了有效的确认和识别。
3.补救技术
除了对网络攻击的预防和检测之外,还有对已经收到攻击的网站的补救技术。许多网站受到破坏后不但会导致交易双方的信息大量泄漏,而且还会造成可用信息的丢失,给后续的交易造成了很大的不便,这就需要采用数据备份与恢复技术,对重要的网络信息进行及时的备份,对已经丢失的信息就行有效的恢复,这样,可以起到一定的补救作用,将因为网络的破坏而导致的损失降到最低,增强电子商务交易者的信心,促进电子商务交易的安全性。
4.加强网络的安全性管理
网站安全问题不仅是技术性问题,还是管理方面的问题。电子商务网站的技术防护措施只是一种硬性的网络保护措施,现实中许多网络交易的破坏均是由于人为的原因造成的。因此,应该加强对网络交易的管理工作,增强网络交易双方和网站工作人员的安全意识,提高他们的专业技术水平和对突发事故的应对和补救能力。使网站工作人员能够养成对重要信息及时保存和备份的好习惯,严格遵守网络交易的相关规则,对网络交易信息的重要性有一个正确的认识。
三、结语
综上所述,安全问题已经成为限制电子商务交易发展的一个重要的阻碍,目前许多企业未进行电子交易就是因为担心信息的泄露,随着网络安全防护和检测技术的发展,电子商务的交易环境的安全性越来越高,但是,仅仅依靠技术的防护还是不够的,最重要的还是增强网络工作人员的安全意识和责任心,增强网络交易双方的安全和诚信意识,在确保网络交易安全的基础上,还要增强买卖双方的诚信度,使卖方可以对自己的商品如实描述,在收到货款后立即发货,不欺骗消费者,树立商家的良好信誉和品牌。买方信守承诺,在下过订单后要及时付款,不可对商家置之不理,或万般抵赖和推脱责任,要尊重商家的劳动。只有这样,才能净化电子商务交易的环境,促使其向着更加健康的方向发展,在发挥电子商务交易快捷和便利优势的基础上,逐渐弥补电子商务交易安全性差、诚信度低的缺陷,从而使我国的电子商务交易迈向一个新的阶段。
参考文献:
[1]向 驹:试论电子商务交易中的安全技术.华南金融电脑.2009(02).
[2]余绍军:电子商务安全与数据加密技术浅析[J].中国管理信息化.2007(03).
[3]刘晓宇:电子商务网站的安全分析[J].天津职业院校联合学报.2008(02).
关键词:电子商务;网上交易;安全问题;安全技术;安全策略
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 12-0000-02
一、电子商务领域的交易安全问题
互联网络自身的特点,使得电子商务领域经常会出现消费者的信息泄漏问题。电子商务交易中信息的泄露会阻碍网上交易行业的发展,给交易双方带来极大的不利影响。概括看来,主要的信息安全问题表现在以下四点。
(一)交易信息的保密性受到破坏:主要是指电子商务中的交易信息,在网络传输过程中,被第三方非法窃取,这是目前较为常见的信息泄露情况;但是也存在交易双方在交易过程中,不遵守双方互相保密的规定,私下泄露给第三方的情况。这种情况一般并不常见。
(二)交易信息的完整性受到破坏:主要是指交易过程中的信息有可能被第三方非法篡改,使交易信息不能完整的表现,造成交易信息的失真,给交易双方到来损失。
(三)交易双方的身份安全问题:主要是指交易中,在信息交往的过程中,由于网络自身的缺陷,双方的身份都有可能被识破,或者是恶意仿冒,会破坏正常的交易行为;或者是恶意传播双方的交易行为,给消费者带来不利的影响。
(四)消费双方意向交流中的信息安全问题:这主要是指网络交流信息的安全性以及网络自身对信息交流的影响。双方在交流中,有可能会因为计算机自身的问题,而导致双方无法沟通与或者计算机由于无法识别交易信息而造成的信息谬误现象;但是最大的危险来自于网络本身。网络虽然自身的功能十分广泛,但是也会存在黑客袭击以及病毒袭击的情况,这种情况下,病毒会对计算机的存储信息造成破坏,使信息失真,并且这种破坏的范围比较广,危害性更大,有时会给交易双方带来严重的经济损失。
二、电子商务中使用的安全技术
由于上述的各种安全问题,电子商务领域要想获得消费者的青睐,就必须采取相应的方法措施,采用先进的安全技术,保证交易信息的安全性。现今在互联网上做商务活动我们可以采取以下措施防范。
(一)使用虚拟专用网络:电子商务领域为了最大限度的避开网络上的恶意袭击,避免给交易双方带来不利的影响,在交易时普遍的使用了虚拟专用网络。这种虚拟网络根据该行业的特点,重点加强了信息的安全管理措施,专用于电子交易行为。使用这种网络,消费者和网络销售者在交流信息时,该网络会自动的形成一个安全通道,保证双方的信息安全的交流。
(二)使用信息加密技术:加密技术就是将普通的信息与一连串的数字结合起来,通过自身能够理解的加密算法,对信息进行编辑,使信息表面上呈现为一种一般人无法解读的密文。为了保证交易信息的安全传播和真实性,电子商务领域普遍对交易信息采用加密技术,这样只有交易双方可以看到真实的交易信息,非法用户及时截取了交易信息,得到的也只是大量的乱码信息,不会对真实的交易行为产生实质的影响。进行加密时,销售者可以根据自身的需要,选用自己能够操纵的加密方式这种安全技术能够最大限度的保证信息的隐秘性,从而保证交易信息的安全性。
三、电子商务的安全策略
随着信息技术在贸易和商业领域的广泛应用,利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化,已成为各?国商务发展的一大趋势。电子商务正是为了适应这种以全球为市场的的变化而出现的和发展起来的,它是当今社会发展最快的领域之一,同时也为全球的经济发展带来新的增长点。电子商务正在改变着人们的生活以及整个社会的发展进程,贸易网络将引起人们对管理模式、工作和生活方式,乃至经营管理思维方式等等的综合革新。对贸易和商业领域来说,电子商务的发展正在改变着传统的贸易方式,缩减交易程序,提高办事效率。现在,许多网站都提供有“商城”,供网民在网上购物。可以说,电子商务应用将越来越普及。然而,随着Internet逐渐发展成为电子商务的最佳载体,互联网具有充分开放,不设防护的特点使加强电子商务的安全问题日益紧迫,只有在全球范围建立一套人们能充分信任的安全保障制度,确保信息的真实性、可靠性和保密性,才能够打消人们的顾虑,放心的参与电子商务。综合电子商务领域的发展要求,笔者根据当下的电子商务中的问题,结合信息安全技术,提出了以下几条安全策略:
(一)对交易信息进行加密
目前计算机技术领域通用的加密技术都可以应用在该领域。选择对称密钥加密体制或者非对称密钥加密体制,并无本质的不同,主要的区别是具体的加密方式和解密方式不同,但是目的都是为了保证信息的隐秘性。
1.对称密钥加密体制
对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
使用对称加密技术将简化加密的处理,每个参与方都不必彼此研究和交换专用设备的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发送报文摘要或报文散列值来实现。
[关键词] 电子商务 安全协议 SSL SET 3-D secure
一、引言
随着互联网日益普及,基于Internet的电子商务已经深入到人们生活的方方面面。安全是电子商务的基石,如何保证电子商务交易活动中信息的机密性、真实性、完整性、不可否认性和存取控制等是电子商务发展中迫切需要解决的问题。为了保障电子商务交易安全,人们开发了各种用于加强电子商务安全的协议。这些协议主要有:安全套接层协议SSL、安全电子交易协议SET、超文本传输协议SHTTP、3-D secure协议和安全电子邮件协议(PEM、S/MIME)等。这其中应用最为广泛的协议主要有SSL、SET和3-D secure协议。
二、电子商务安全协议
1.安全套接层协议(SSL)
安全套接层协议(Secure Socket Layer,简称SSL)是美国网景公司(Netscape)推出的一种安全通信协议,其主要设计目标是在Internet环境下提供端到端的安全连接。它能使客户/服务器应用之间的通信不被攻击者窃听。SSL协议建立在可靠的传输层协议之上。高层的应用层协议能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
2.安全电子交易协议(SET)
安全电子交易协议(Secure Electronic Transaction,简称SET)是美国Visa和MasterCard两大信用卡组织联合于1997年5月31日推出的电子交易行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。SET本身并不是一个支付系统,而是一个安全协议集,SET规范保证了用户可以安全地在诸如Internet这样的开放网络上应用现有的信用卡支付设施来完成交易。SET较好地解决了信用卡在电子商务交易中的安全问题。SET已获得IETF(The Internet Engineering Task Force,简称IETF)标准的认可。
3.三方域安全协议(3-D secure)
三方域安全协议(Three-Domain Secure,简称3-D secure)是Visa等继SET协议之后,推出的新一代的安全交易技术。与SET协议一样,它也是PKI(Public Key Infrastructure)框架下基于可信第三方的开放规范,设计目标同样是为在Internet上传输的信用卡支付信息提供安全保护机制。3D- Secure协议主要采用SSL 加密技术和商家服务器插件MPI( Merchant Server Plug- in) 技术来实现。在线交易中,它既能够查询并鉴别持卡人的身份,又能够保护支付卡信息在网络中传递的安全性。3D- Secure协议的这些功能是通过一个能够在支付交易过程中明确各方责任的模型――三方域模型( Three Domain Model) 。三方域模型的主要组成包括:发卡域、收单域和互操作域。
三、SSL与SET协议比较分析
SSL和SET是当前在电子商务中应用最为广泛的安全协议,两者的差别主要体现在以下几个方面。
1.工作层次
SSL协议工作于应用层和传输层之间,高层的应用层协议(例如:HTTP,FTP,TELNET等)能透明地建立于SSL协议之上。而SET工作于应用层。
2.认证机制
早期的SSL协议并没有提供身份认证机制,虽然在SSL3. 0中可以通过数字签名和数字证书实现浏览器和WEB服务器之间的身份认证,但仍不能实现多方认证。SET协议要求所有参与交易活动的各方都必须使用数字证书,较好的解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
3.安全程度
SET协议由于采用了非对称加密、消息摘要和数字签名可以确保信息的机密性、认证性、完整性和不可否认性,特别是SET协议采用了双重签名技术来保证各参与方信息的相互隔离,使商家只能看到持卡人的订单信息,而银行只能取得持卡人的信用卡信息。SSL协议虽也采用了公钥加密和信息摘要等技术,也可以提供机密性、完整性和一定程度的身份验证功能,但缺乏一套完整的认证体系,不能提供电子商务交易活动中非常重要的不可否认性证明。
4.运行效率
SET协议非常复杂、庞大、运行速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程非常耗时;而SSL协议则简单很多,运行效率也比SET协议高。
5.部署成本
SSL协议已被大部分的浏览器和WEB服务器内置,无须安装专门软件;而SET协议中客户端要安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件,部署成本高。
SSL协议与SET协议比较汇总如表1所示。
四、SET与3-D Secure协议比较分析
为了提高交易效率,降低部署成本,3-D Secure协议对SET协议进行了简化,两者的差别主要体现在以下几个方面。
1.机密性
SET协议和3-D Secure协议都使用对称和非对称两种加密技术来保证数据的机密性。但是SET协议采用双重签名技术来保证消费者机密信息对商家进行保密,而在3-D Secure协议中消费者的信息对商家来说是可见的。
2.不可否认性
SET协议使用数字签名来保证交易行为的不可否认性。3-D Secure协议规定发卡机构在通过持卡者向商家服务器发送信息之前,先要对其进行数字签名,以提供不可否认的证据。和SET相比,3-D Secure协议没有大量使用数字签名,但仍然可以提供不可否认性证明。
3.身份认证
SET协议使用证书和数字签名对消息来源进行身份认证。每个参与者都使用两个非对称密钥对,需要拥有两个由证书颁发机构同时产生和签署的证书。3-D Secure协议主要使用证书和口令对消息来源进行身份认证。不要求持卡者配备证书,但要求其他参与方都要有证书。
4.复杂性
与SET协议相比,3-D Secure协议在保证满足安全性要求的基础上简化了证书交换与大量的数字签名过程,从而使在线交易时间大大缩短,提高交易效率,降低部署成本。SSL协议与3-D Secure协议比较汇总如表2所示。
五、总结
SSL、SET和3-D secure协议是当前应用最为广泛的电子商务安全协议。三者相比,SSL协议相对简单,效率高且容易部署,但是它不支持多方认证,不支持不可否认性等电子商务安全性需求;SET协议虽然能够完全满足电子商务的安全性需求,但存在着协议复杂,效率低下,难以部署等问题。三者当中3-D Secure协议在保证满足安全性要求的基础上,对两者进行了适当的折衷,从而使在线交易时间大大缩短,使得电子商务在线交易的实施更加简捷。
参考文献:
[1]陆垂伟:电子商务中安全支付协议的研究[J].商场现代化,2006(06)
[关键词] 电子商务安全 安全套接层协议 安全电子交易协议
在电子商务过程中,买卖双方是通过网络来联系的,因而建立交易双方的安全和信任关系是相当困难的。这样使得电子商务交易双方都面临不同的安全威胁。而电子商务的主要特征是在线支持,为了加强电子商务交易的安全性,需要采用数据加密和身份认证技术,以便营造一种可信赖的电子交易环境。目前有两种安全支付协议被采用,即安全套接层SSL协议和安全电子交易SET协议。
一、安全套接层协议
安全套接层协议SSL(Secure Sockets Layer)是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接,对计算机整个会话进行了加密,从而保证了信息传输的安全,实现浏览器与Web服务器之间的安全通信,在Internet上广泛应用于处理与金融有关的敏感信息。
SSL协议是一种保护Web通信的工业标准,能够对信用卡和个人信息、电子商务提供较强的加密保护。
1.SSL协议提供安全连接的基本特点
(1)连接是保密的:对于每个连接都有一个惟一的会话密钥,采用对称密码体制(如DES、RC4等)来加密数据;
(2)连接是可靠的:消息的传输采用MAC算法(如MD5、SHA等)进行完整性检验;
(3)对端实体的鉴别采用非对称密码体制(如RSA、DSS等)进行认证。
2.SSL协议提供的服务
(1)数据和服务器的合法认证。使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号,由公开密钥编排。为了验证用户,SSL协议要求在握手交换数据中做数字认证,以此来确保用户的合法性。
(2)加密数据以便隐藏被传送的数据。SSL协议采用的加密技术既有对称密钥也有公开密钥。具体来说,就是客户机与服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证数据的机密性,防止非法用户破译。
(3)维护数据的完整性。SSL协议采用Hash函数和机密共享的方法,提供完整信息性的服务,来建立客户机与服务器之间的安全通道,使经过处理的业务在传输过程中能够完整、准确地到达目的地。
3.SSL协议的构成
SSL协议分为两层:SSL握手协议和SSL记录协议。
(1)SSL握手协议。SSL握手协议用于在通信双方建立安全传输通道,是在客户机与服务器之间交换信息强化安全性的协议。具体实现以下功能:
①在客户端验证服务器,SSL协议采用公钥方式进行身份认证;
②在服务器端验证客户(可选的);
③客户端和服务器之间协商双方都支持的加密算法和压缩算法。
④产生对称加密算法的会话密钥;
⑤建立加密SSL连接。
SSL握手协议最终使双方建立起合适的会话状态信息要素,包括对话标识、对等证书、压缩方法、加密说明、会话密钥等信息。
(2)SSL记录协议。SSL记录协议提供通信、认证功能,从高层接收到数据后要经过分段、压缩和加密处理,最后由传输层发送出去。在SSL协议中所有的传输数据都被封装在记录中,SSL记录协议规定了记录头和记录数据的格式。每个SSL记录包含内容类型、协议版本号、记录长度、数据有效载荷、MAC等信息。
二、安全电子交易协议
安全电子交易协议SET(Secure Electronic Transaction),是1996年由Visa (维萨)与 MasterCard (万事达)两大国际信用卡公司联合制订的安全电子交易规范。它提供了消费者、商家和银行之间的认证,确保网上交易的保密性、数据完整性、交易的不可否认性和交易的身份认证,保证在开放网络环境下使用信用卡进行在线购物的安全。
目前,SET协议由SETCo负责推广、发展和认证。SETCo是由Visa和MasterCard这两个公司为首组成的SET厂商集团,把SET标识授予成功通过SET兼容性试验的软件厂商。
1.SET协议中采用的数据加密过程的特点
(1)交易参与者的身份鉴别采用数字证书的方式来完成,数字证书的格式一般采用X.509国际标准;
(2)交易的不可否认性用数字签名的方式来实现。由于数字签名是由发送方的私钥产生,而发送方的私钥只有他本人知道,所以发送方便不能对其发送过的交易数据进行抵赖;
(3)用报文摘要算法来保证数据的完整性;
(4)由于非对称加密算法的运算速度慢,所以要和对称加密算法联合使用,用对称加密算法来加密数据,用数字信封来交换对称密钥。
2.SET协议的数据交换过程
SET协议的购物系统由持卡人、商家、支付网关、收单行和发卡行五个部分组成,这五大部分之间的数据交换过程如下:(1)持卡人决定购买,向商家发出购买请求;
(2)商家返回商家证书等信息;
(3)持卡人验证商家身份,将定购信息和支付信息安全传送给商家,但支付信息对商家来说是不可见的(用银行公钥加密);
(4)商家验证支付网关身份,把支付信息传给支付网关,要求验证持卡人的支付信息是否有效;
(5)支付网关验证商家身份,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并把结果返回商家;
(6)商家返回信息给持卡人,按照订单信息送货;
(7)商家定期向支付网关发送要求支付信息,支付网关通知发卡行划账,并把结果返回商家,交易结束。
三、SSL协议和SET协议的对比
SSL协议和SET协议的差别主要表现在以下几个方面:
1.用户接口
SSL协议已被浏览器和WEB服务器内置,无需安装专门软件;而SET协议中客户端需安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件。
2.处理速度
SET协议非常复杂、庞大,处理速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程可能需花费1.5至2分钟;而SSL协议则简单得多,处理速度比SET协议快。
3.认证要求
早期的SSL协议并没有提供身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和Web服务器之间的身份验证,但仍不能实现多方认证,而且SSL中只有商家服务器的认证是必须的,客户端认证则是可选的。相比之下,SET协议的认证要求较高,所有参与SET交易的成员都必须申请数字证书,并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
4.安全性
安全性是网上交易中最关键的问题。SET协议由于采用了公钥加密、信息摘要和数字签名可以确保信息的保密性、可鉴别性、完整性和不可否认性,且SET协议采用了双重签名来保证参与交易活动的各方信息的相互隔离,使商家只能看到持卡人的订购数据,而银行只能取得持卡人的信用卡信息。SSL协议虽也采用了公钥加密、信息摘要和MAC检测,可以提供保密性、完整性和一定程度的身份鉴别功能,但缺乏一套完整的认证体系,不能提供完备的防抵赖功能。因此,SET的安全性远比SSL高。
5.协议层次和功能
SSL属于传输层的安全技术规范,它不具备电子商务的商务性、协调性和集成。而SET协议位于应用层,它不仅规范了整个商务活动的流程,而且制定了严格的加密和认证标准,具备商务性、协调性和集成。
四、总结
由于SSL协议的成本低、速度快、使用简单,对现有网络系统不需进行大的修改,因而目前在电子商务中取得了广泛的应用。但随着电子商务规模的扩大,网络欺诈的风险性也在提高,需要对参与交易的多方进行认证,在未来的电子商务中SET协议将会逐步占据主导地位。
参考文献:
[1]丁韶年:中国电子商务信用体系建设的政策建议[J]. 电子商务世界,2004(4)
[2]韦苏婕 王素仙:试论我国电子商务中的信息安全问题[J].大众科技,2004(9)
关键词:电子商务;计算机;网络安全
一、电子商务网络的安全隐患
1.计算机电脑病毒。随着互联网的发展,病毒利用互联网,传播速度大大加快,它侵入网络,破坏资源,成为了电子商务中计算机网络的严重安全威胁。
2.窃取信息。在电子商务中主要表现为交易信息的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。
3.窜改资料。电子商务交易非常重视信息的真实性和完整性的问题。交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。
4.假冒。通过假冒交易平台,用有利的条件吸引用户到平台进行消费,骗取支付款项。由于在虚拟的网络平台,用户一般难以判断
二、电子商务交易中的网络安全技术
1.电子商务交易中的安全措施
在早期的电子交易中,曾采用过一些简易的安全措施,包括:部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。另行确认(Order Confirmation):即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。此外还有其它一些方法,这些方法均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
2.主要的协议标准有:
近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。
安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,以完成需要的安全交易操作。
安全交易技术协议(STT,Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。
安全电子交易协议(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET公告,并于1997年5月底了SET Specification Version 1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。
3.主要的安全技术有:
虚拟专用网(VPN):这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。
数字认证:数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。随着商家在电子商务中越来越多地使用加密技术,人们都希望有一个可信的第三方,以便对有关数据进行数字认证。
目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,Java JDK1.1也能够支持几种单向Hash算法。另外,S/MIME协议已经有了很大的进展,可以被集成到产品中,以便用户能够对通过Email发送的信息进行签名和认证。同时,商家也可以使用PGP(Pretty Good Privacy)技术,它允许利用可信的第三方对密钥进行控制。可见,数字认证技术将具有广阔的应用前景,它将直接影响电子商务的发展。
加密技术:保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在,一些专用密钥加密(如3DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而,这些技术的广泛使用却不是一件容易的事情。
电子商务认证中心(CA,Certificate Authority):实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。
为了推动电子商务的发展,首先是要确定网上参与交易的各方(例如持卡消费户、商户、收单银行的支付网关等)的身份,相应的数字证书(DC:Digital Certificate)就是代表他们身份的,数字证书是由权威的、公正的认证机构管理的。各级认证机构按照根认证中心(Root CA)、品牌认证中心(Brand CA)以及持卡人、商户或收单银行(Acquirer)的支付网关认证中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按层次结构建立的。
电子商务安全认证中心(CA)的基本功能是:生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。对数字证书和数字签名进行验证。对数字证书进行管理,重点是证书的撤消管理,同时追求实施自动管理(非手工管理)。建立应用接口,特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。
第一代CA是由SETCO公司(由Visa & MasterCard组建)建立的,以SET协议为基础,服务于BC电子商务模式的层次性结构。
由于BB电子商务模式的发展,要求CA的支付接口能够兼容支持BB与BC的模式,即同时支持网上购物、网上银行、网上交易与供应链管理等职能,要求安全认证协议透明、简单、成熟(即标准化),这样就产生了以公钥基础设施(PKI)为技术基础的平面与层次结构混合型的第二代CA体系。
建立在PKI技术基础上的第二代安全认证体系与支付应用接口所使用的主要标准有:由Internet特别工作组颁发的标准:LDAP(轻型目录访问协议)、S/MIME(安全电子邮件协议)、TLC(传输层安全套接层传输协议)、CAT(通用认证技术,Common Authentication Technology)和GSS-API(通用安全服务接口)等。
由国际标准化组织(ISO)或国际电信联盟(ITU)批准颁发的标准为9594-8/X.509(数字证书格式标准)。
关键词:电子商务 安全技术 交易安全
电子商务是在Internet开放的网络环境下,实现消费者在线购物、企业之间在线交易和网上电子支付的一种新型交易方式。2009年2月23日《电脑报》头版写到:“‘淘宝此前假货超过70%,现在也还有30%。’当当网CEO李国庆炮轰淘宝是中国最大的假货交易平台。那么淘宝2008年999.6亿人民币的规模,其假货价值超过300亿人民币,这已经超过一个小国的GDP。” 随着电子商务的发展,网上购物受到越来越多人的青睐与追捧,由于人们平时工作时间与压力的原因,逛街休闲的时间少了,于是利用工作之余,进行网购等网络活动。但是由于网上交易安全性不高,客户经常是对电子商务望而生畏,惧怕受骗上当。因此,要想推动电子商务的发展,安全问题是买卖双方亟待解决的最关键问题。
一、 电子商务中的安全问题
(一)信息泄漏。在电子商务中商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方的文件被第三方非法使用。
(二)信息篡改。电子交易的信息在网络传输中,可能被他人非法修改、删除或重放(只使用一次的信息被多次使用),这样就使商业信息失去真实性和完整性。
(三)信息破坏。非人为因素,如网络硬件和软件出现问题;人为因素,计算机网络遭到恶意程序(病毒)的攻击,使得电子商务信息遭到破坏。
(四)抵赖行为。诚实守信是电子商务制度规范得以确立和运作的基础,也是有效防范电子商务运营风险的重要条件。我国电子商务市场信用失信较严重,如今年频频出现的团购网虚假骗购问题,已成为制约行业成长的一大“瓶颈”,根本原因是我国尚没有一套健全的社会信用体系。
二、从科技层面入手加强安全措施
(一)加密技术是电子商务最重要的安全技术。
1.对称密钥加密:采用相同的加密算法,并且加密和解密都使用相同的密钥。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性
2.非对称密钥加密:密钥对被分为公开密钥和私有密钥,密钥对生成后,公开密钥对外公开,私有密钥则保存在密钥方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的者,而者在得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。
对称加密的优点是加密速度快、效率高,广泛用于大量数据的加密。但缺点是密钥的传输与交换易被截取,若和大量用户进行通信,难以安全管理大量的密钥对,大范围应用存在问题。而非对称密钥其优点是解决了对称加密中密钥数量过多难管理和费用高的不足,不必担心传输中私有密钥的泄露,保密性能优于对称加密技术。但缺点是加密算法复杂,加密速度不理想。电子商务实际运用中常常是两者结合使用。
(二)安全认证技术是一种最重要的安全服务。
1.身份认证,确认信息发送者的身份。
(1)身份识别的单因素法。身份识别的最简单法就是口令,系统事先保存用户的二元组信息,进入系统的用户必须输入相应的二元组信息,从而判断该用户身份是否合法。
(2)基于智能卡的用户身份识别。智能卡中存放用户个性化的秘密信息,同时也在验证服务器中存放,认证时,用户输入个人身份识别码PIN,智能卡认证PIN成功后,即可读出智能卡中的秘密信息,进而利用该秘密信息与主机进行验证。
(3)一次口令机制。用户每次登录的密码都不相同,随机信息连同个人数据共同产生一个口令。
(4)生物特征认证。常见的有指纹识别、虹膜识别、脸部识别和掌纹识别等,是最可靠的识别方式。
(5)USB Key认证。是一种USB接口的硬件,内置单片机或智能卡芯片,存储用户的密钥或数字证书,利用USB Key内置的密码学算法实现对用户身份的认证。
2.消息认证,验证消息的有效性、真实性、完整性和不可否认性。
(1)数字签名保证了信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改,但不能保证签名者身份的真实性;
(2)数字证书证明电子商务或信息交换中参与者的身份,提供网上发送信息的不可否认性,验证网上交换信息的完整性。数字证书是由具有权威性、可信任性的第三方机构即认证机构CA所颁发,它是贸易各方都信赖的机构。
三、从管理环境层面入手加强安全措施
(一)完善管理体制和管理环境
1.有计划地考虑信息安全问题。对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的建设必须涵盖各部门和各公司的信息安全保障体系的相关内容。应收集现有的已发生的电子商务安全问题及解决方案,通过建立并保持与有关专家的对话来促使问题得到解决,并存储到数据库,保证电子商务操作人员在面临安全问题时能尽快解决。
2.加快信息安全人才的培养。通过各种形式进行初级选拔,选拔责任心强、讲原则守纪律、了解市场并懂得基本网络知识和安全知识的人员。对于重要的业务,尤其是企业机密文件及用户资料等业务实行两人或多人相互制约的机制;重要业务操作人员及交易安全等职务的任期有限;对于网络访问权限的设定应保证不同业务的人员具有不同的访问权限。
3.提高企业和公众安全意识。电子商务网上交易人员要严格遵守企业网上交易安全制度,明确责任,重视管理,避免“重技术、轻管理”的现象。面临安全问题及时汇报,对违反网上交易安全规定的行为进行惩罚,对有关责任人进行严肃处理。
(二)建立电子商务安全运行体系
1.做好电子商务网站的安全评估。聘请专家对电子商务网站进行综合安全水平评估;建立安全体系架构;做好病毒的防护,在企业中培养集体防毒意识;综合采用多种安全技术,包括防火墙技术、入侵检测技术、数字加密技术、数字签名技术、认证技术等,确保网站系统、信息及数据的安全与保密。
2.建立健全电子商务法律法规。为保证电子商务活动得以正常进行,政府需要提供一个透明、和谐的商业法律环境。目前,我国急需制定的有关电子商务的法律法规主要有买卖双方身份认证办法、电子合同的合法性程序、电子支付系统安全措施、信息保密规定、知识产权侵权处理规定、税收征收办法、广告的管制以及网络信息内容过滤等。严厉打击电子商务领域犯罪,营造电子商务的一片净土。
随着科技的进步与社会的发展,电子商务的安全运行, 是一个越来越突出和急需解决的问题。无论是网络的攻防还是诈骗与反诈骗都是此消彼长的,尤其是安全技术,它的敏感性、竞争性很强,需要不断地检查、评估和调整相应的安全策略。相信随着时间的推移,电子商务所带来的好处必将远远超过它所带来的风险。
参考文献:
[1] 郝卫东,杨扬,王先梅,刘宏风。《网络环境下的电子商务与电子政务建设》清华大学出版社,2006年6月
[2] 李荆洪,夏春华,王友顺,俞明飞。《电子商务概论》中国水利水电出版社,2008年2月
[3]刘,李群,张伟。《计算机新技术应用及发展》辽海出版社,2003年8月
一、电子商务存在的安全问题 由于电子商务是以信息技术和计算机网络为基础的,与传统商务比较,它不可避免的面临着一系列的安全问题。
1.信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。
2.篡改
在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据在中途篡改,然后再发向目的地,破坏数据的真实性和完整性。
3.伪造
由于掌握了数据的格式,并可以篡改通过的信息,如果不进行身份识别,攻击者就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。
4.信用威胁
交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
5.电脑病毒
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
二、电子商务安全要素
安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。下面介绍电子商务涉及的安全要素.
1.有效性
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
3.完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
4.可靠性
电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方是保证电子商务顺利进行的关键。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
5.即需性
即需性是防止延迟或拒绝服务,即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中,延迟一个消息或消除它会带来灾难性的后果。
6.身份认证
指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方。这一过程为授权和审计所必需,也是实现授权、审计的访问控制过程运行的前提,是计算机网络安全系统不可缺少的组成部分。
7.审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控,以便对其所使用的操作内容进行审计和跟踪。
三、电子商务交易安全技术
由于电子商务活动所涉及的大量机密信息都必须通过网络传播,并且以电子数据的形式存储,要求有完善的安全技术来保证电子商务交易的安全。目前,电子商务过程中主要采用的安全技术有加密技术、认证技术和安全认证协议。
1.加密技术
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。 目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。
2.认证技术
安全认证的主要作用是进行信息认证。主要包括安全认证技术和安全认证机构两个方面。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等; 电子商务认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。
3.安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL协议和安全电子交易SET协议。SSL协议一般服务于银行对企业或企业对企业的电子商务。SET协议位于应用层,用来保证互联网上银行卡支付交易安全性。所以SET一般服务于持卡消费、网上购物的电子商务。
