前言:我们精心挑选了数篇优质数字贸易存在的问题文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
(一)事实上并不存在一个全球公认的标准行业分类
相关的行业分类标准如国际标准行业分类(Internation-alstandardIndustrialClassification,ISCI),以及相关的产品分类标准如联合国中心产品分类目录(CPC)和商品名称及编码协调制度(HS),都未能对内容生产行业或内容本身进行明确定义,但是这些分类系统在互联网出现之前就早已存在,因此数字文化产品对这些规则的命名规则而言是一个新生的事物。以计算机软件为例,GATT和《信息技术协议》(ITA)对于软件的调整针对的是软件以物理方式存在的磁盘。而GATS是基于较早版本的CPC,仅仅涉及那些记录或产生内容的服务,如录音或对内容进行传输的服务,如广播电视播放服务。但是GATS不一定会涉及内容本身,无论是储存在有形介质上的还是通过电子方式传输的计算机软件,都缺少适当的分类;同样在现有的服务分类表中也没有直接与计算机软件直接相关的分类。
(二)现有的全球贸易框架下并没有提供关于服务、货物的明确界定
从实践中看,文化产品可以被数字化,这些经数字化的文化产品可以通过网络的传输,以不同的形式为消费者所使用。数字化的文化产品如书籍、电影、音乐通过下载后,可以换成其他有形物的实物被出售。若只是在线销售,这与在电影院观看电影无实质区别,这可以认为属于服务。因此,从实践中看,对数字文化产品的理解存在区别。对货物与服务进行区别的问题不只在贸易领域存在,在商品归类时也存在同样的问题,在最新版的联合国中心产品分类目录中就可以看出,在对货物与服务进行区分的各种标准中,没有一种可以再任何情况下都能提供一个有效的、切实可行的以及清晰的区别方法。在GATS生效以前,并不存在对服务和服务贸易统一的定义,学者们对此也持不同观点。从条款上看,GATS回避了学术之争,通过划定范围的方式规定了GATS所规范的服务贸易,什么是“服务”却未给出明确的定义。GATS1.1条规定“本协定适用于各成员影响服务贸易的措施”,由此可以看出,这一条只是对GATS所适用的“措施”的界定,而不是对“服务”本身的界定。在GATS中对服务贸易的提供方式也未有所涉及;货物与服务之间的区别是什么,GATS中也没有加以规定。
二、国际贸易中数字化文化产品的归类标准的现有主张
(一)数字文化产品适用GATT的主张
美国是电子商务最发达的国家之一,为使本国的电子商务产业发展能得到充分的保护,极力主张数字文化产品贸易享受GATT的保护。其主张的理由为:
1.适用GATT规则,更有利于视听产品贸易的自由化美国主张把数字文化产品划归到GATT之下比把其归到GATS之下更为有利,因为GATT为数字文化产品提供了更大的自由空间。因为关于是否永久性延迟征收数字文化产品关税在成员各方之间的讨论并未达成共识,把数字文化产品归类为由GATT调整,将会对世界贸易起到更好的促进作用。GATT之下贸易自由化程度事实上要比GATS高很多,这一点没有什么令人奇怪之处,因为WTO成员方经过长达45年的时间对GATT的体系结构进行了改善,以及对GATT之下的承诺水平逐步提高的结果。
2.确保WTO协议的技术中立美国担心那些一直由GATT调整的产品在某种程度上可能会受到尚未完善的GATS规则的约束。当前从GATT1994的“关税细目”和GATT第4条“电影限额”来看,这些数字化的产品内容一直都是由GATT1994来调整,在GATT1994的任何条款中,也没有GATT1994只能适用于有形产品的规定。如果仅仅出于对新的分销技术的考虑而把当前由GATT1994调整的电影、音乐等这些能够数字化的产品划到GATS的调整范围之内,就很难理解这一方式的正确性。目前被ITA协定所调整的计算机软件贸易,根据ITA协定的规定,消费者所购买的以实物方式交付的软件不存在任何形式的贸易限制,并且免除了关税。
(二)数字文化产品属于服务的观点
与美国的主张相反,欧盟主张数字化产品应被归类为服务。欧盟之所以持这样的观点,是因为他们出于保护数字视听产品这一目的。如果这些通过电子方式加以传输的产品在事实上被当作服务,欧盟就可以理所应当的适用其规则来调整通过网络方式传输的电影及电视节目,通过限制性的规则对视听产品的流通和传播实施歧视性待遇。并不是只有欧盟持这种观点,同样出于保护国内视听产业目的,其他的WTO成员方也坚持认为通过电子方式传输的产品应归类为服务,具体来讲理由如下:
1.GATS从长远目标来看更有利于数字文化产品贸易自由化欧盟认为WTO电子商务工作组当前的目标是寻求如何运用现有的WTO框架下的规则来调整电子商务的问题,而不能把重点过于集中于对市场准入问题的磋商这一问题上。欧盟并不认为只有GATT1994才能更好的规制电子商务中数字化产品的问题,虽然从当前GATT1994的结构来看,其位数字化产品贸易提供了更有利的规定。软件产业和电影产业之所以强烈要求把其归为货物,可能是出于以下两个方面的考虑,其一可能GATS还未能对这类产品作更加深入的、充分的考虑;其二可能是持有归为GATT调整观点的支持者认为他们宁愿选择现有GATT下的自由贸易承诺,而不愿意选择GATS之下不确定的承诺。
2.WTO框架下不存在确保技术中立的规则欧盟以在WTO协议中不存在把货物和服务同等看待的规定,作为反对美国观点的理由。现有的国际贸易制度并未就介质问题进行讨论,特别是文化产品。能否在联合国中心产品分类规则中找到相应的分类,从而依据这一结果来判定数字文化产品是属于GATT还是属于GATS,这一观点是错误的,因为判断数字文化产品的价值不是依据其载体,而是其内容本身。
三、数字化文化产品分类问题的实质
【关键词】电子商务信息;安全要素;存在问题;应对措施
随着市场经济体制的改革、全球电子信息技术的不断发展,人们的生活水平得到了很大的提高,计算机早已得到普及。互联网络使人们的沟通更加快速和便捷,因此越来越多的商业贸易都选择利用互联网络进行。但是目前网络信息安全还存在一些问题和漏洞,能否保障信息安全就成为电子商务贸易中重要的问题。
1.电子商务信息安全的要素
1.1机密性
在过去,企业进行商业贸易往来都是通过书信等可靠的通信渠道来进行商业交流、发送商务文案的,虽然这些方法的使用速度和效率都较低,但是机密安全性能够得到保障。在现代社会,电子商务是在一个开放的网络环境中进行的,电子商务信息的安全存在一定的风险,因此要保障电子商务信息的安全,就必须保障电子商务信息的机密性。
1.2完整性
电子商务信息传输简化了传统贸易过程中的很多过程,减少了其中存在的一些干预信息,但与此同时,也存在着电子商务信息的完整性问题。数据录入过程中存在的一些问题或是非法行为,很容易导致商业贸易数据被篡改。电子商务信息在传输的过程中信息也有可能出现丢失、重复等问题。因此,保证数据信息在传输过程中的完整性是保障电子商务信息安全的重要因素。
1.3认证性
互联网是一个虚拟的网络环境,电子商务信息就是基于互联网络进行的,在进行商业贸易往来时,双方不会见面,这就需要一些技术对双方的身份进行识别和确认。
1.4有效性
在商业贸易过程中,贸易双方都需要确认很多信息,电子商务将纸质的认证转变成为电子信息形式,那么,保证信息的有效性是电子商务贸易的重要前提。因此,对于网络故障、硬件或软件出现的问题和计算机内部可能存在的潜在病毒都要进行一定的控制和预防工作,这样才能保障电子商务贸易数据信息的有效性。
1.5不可抵赖性
传统的贸易都是通过手写签名或是印章的方式进行,这样可以有效防止贸易伙伴发生抵赖的行为。而电子商务贸易是在虚拟的互联网络平台上进行的,而互联网内每个人都是匿名的,存在极大的不安全因素。因此,如何保障电子商务信息安全的不可抵赖性是进行电子商务贸易中的一个重点。
2.电子商务信息安全中存在的问题
2.1计算机网络安全
虽然国际经济和数据信息早已步入全球化时代,但安全协议问题还未进行全球性的规范,并且在安全管理方面还存在着很大的漏洞,这就很容易使黑客进行攻击。一些非法用户在网络上通过不正当手段拦截用户的有效数据或是对数据进行篡改,将导致用户的一些核心数据泄漏,使信息失去真实性和完整性。此外,一些非法用户还会在拦截到的网络数据中加入病毒再进行再次发送,利用修改后的数据信息恶意攻击对方的计算机。电子服务器安全也是计算机网络安全中的一个重要组成部分。电子商务服务器是电子商务中最重要的部分,其中保存着大量的商务信息,一旦出现安全问题,其造成的影响和后果是不可估量的。
2.2电子商务交易安全
电子商务交易安全主要包含身份不确定、交易抵赖和交易信息修改三个主要方面。由于电子商务贸易是基于虚拟的互联网络进行的,这个平台上贸易双方使不用见面的,这就给贸易双方的身份确认带来了一定的阻碍。一些非法用户可以通过不正当手段非法获取用户的身份信息,再冒用他人身份信息和对方进行交易,从中获取非法利益。此外,在电子商务贸易中一些用户可能会对自己曾经发出的信息进行否认并推卸责任。最后就是交易信息的修改问题,在传统贸易中,双方一旦签订合同,一般是不可修改的,在电子商务贸易中也应当做到这点,这样就能保证商务贸易的公平公正性。
3.电子商务信息安全的措施
3.1数据加密技术
保障电子商务信息安全的最基本措施就是数据加密技术,保障数据在存储和传输过程中的安全性和机密性。随着电子商务与信息技术的不断发展,为了保障商务信息的完整性并进行身份鉴定,数字签名、身份认证等新的数字验证技术都在不断的衍生出来。数据加密技术就是将数据信息通过一定的加密算法,将原本明了的数据信息转化成为一段无意义的秘文,以阻止非法用户截取信息获取原始资料的意义,从而保障电子商务信息的安全。对称密钥加密体制和非对称密钥加密体制是目前使用最为广泛的两种加密技术。
3.2防火墙技术
数据包过滤和服务技术是目前互联网内使用最为广泛的防火墙技术。相比服务技术,数据包过滤防火墙技术使用起来更为简单,它检查每个收到的数据包的头并决定数据包是否发送到目的地,因此其运用比较普遍。防火墙能够对进出计算机网络的数据进行一定标准的过滤,就能有效的对有害信息进行阻隔,从而保障计算机网络的安全。然而,防火墙技术也存在着一些缺点,如防火墙只能对经过了防火墙的有害信息进行阻隔,但并不能防止计算机网络内部的网络攻击,并且防火墙不能保障数据的机密性。
3.3身份认证技术
网络中对用户进行身份认证最常用的技术就是数字证书,类似于现实生活中的身份证。CA(Certificate Authority)是颁发数字证书的机构,要想保障电子商务信息安全,就必须建立一个完善、稳固的CA。
3.4保障安全环境性措施
由于目前互联网络的电子商务贸易发展得还不成熟,相关的法律法规都还没建立,其中还存在着一些较大的问题。因此就要保障电子商务信息的环境安全,首先要在我国构件一个完善的电子商务体系,其次要完善相关法律法规的建设,最后要加快网络的基础建设,推动企业信息化的进程。
4.结语
根据电子商务信息的机密性、完整性、认证性、有效性和不可抵赖性这五个基本要素,结合目前电子网络信息中存在的一些问题,采用如数据加密技术、防火墙技术、身份认证等技术就能在很大程度上提高网络信息的安全性,保障在电子商务贸易中商务信息的安全。 [科]
【参考文献】
[1]肖徳琴.电子商务安全保密技术与应用[M].华南理工大学出版社,2012,9.
1商务主要的信息安全要素
1.1有效性
有效性是指信息发送方发送给信息接收方的信息是未经外人加工、改变的信息。贸易数据都具有特定型性,是指贸易信息只有在特定的时刻和确定的地点才是有效的。电子商务改变了过去纸质的方式,以电子的形式传递信息,如何确保电子信息在传送过程中的未经加工是确保信息有效的前提。电子商务中信息的有效性对企业、个人、甚至国家的经济利益有着重大的影响,所以,要及时对网络故障、应用程序错误、系统软件错误或者计算机病毒引起的信息安全隐患进行防范,以确保数据的有效性。
1.2保密性
保密性是指贸易信息在存储或传递过程中未经他人窃取或泄露。传统的纸质贸易信息一般是通过邮寄的信件及其他可靠的传递渠道来互送商业贸易文件以确保信息的安全。现代电子网络是一个开放的传递平台,维护商业贸易信息显得更加重要,确保商业机密的保密性是电子商务全面推广应用的基本保障。所以,必须确保贸易信息在传递过程中的保密性,防止非法窃取及泄露。
1.3完整性
完整性是指电子贸易信息在传递的过程中没有没被修改、歪曲和重复,信息的接受者接收到的信息与信息发送方发送的信息完全相同。贸易信息的完整性会对贸易各方经济利润、营销策略和贸易合同产生巨大影响。确保贸易信息的完整性是电子商务实际应用的重要基础。所以,在信息传递过程中要防范信息被随意生成、修改和删除,防止信息的丢失与重复,同时信息的传递次序要保证统一。
1.4可靠性
电子商务信息直接关系到贸易双方的商业交易,在交易过程中如何确保进行交易的对方与交易所期望的贸易方是同一者,这就需要电子商务信息必须确保本身的可靠性。在传统的商业交易中,双放当事人可以通过手写签名或印章等形式确保双方的身份,但是电子商业贸易利用网络这一形式,无法采取传统的身份认定形式,就必须确保贸易信息的可靠性,从而为贸易双方进行商业交易奠定重要基础。
2电子商务安全的技术要求
2.1物理安全
要根据国家标准、信息安全等级、信息技术情况,制定切实可行、符合实际情况的的物理安全标准体系。本体系可以防范设备功能失常、电源事故、电磁泄漏等引起的信息失密等。
2.2网络安全
为了保证电子商务交易的安全可靠,电子商务平台须稳定可靠,能够全天候正常运行。系统在运行的任何中断,如病毒入侵、网络故障或硬件软件错误等都会对正在进行电子商务交易的双方造成重大损失,尤其是丢失或失密的贸易信息,将是不可恢复性的。
2.3商务安全
商务安全是指商务交易中的安全问题,商务安全的不同方面需要通过不同的网络安全技术和安全交易标准来确保实现。确保电子商务安全的技术主要有安全电子交易SET协议、在线支付协议、文件加密技术、数字签名技术等。
2.4系统安全
系统安全主要是指主机的操作系统和数据库系统的安全情况。对系统安全的防范和保护,要通过安全技术升级,加强安全保护设施的投资建设,提高系统的安全防护能力。
3目前我国电子商务存在的问题
就我国电子商务而言,我国的科学技术水平目前还处于较低层次,技术含量不高,资金投入又不足,在安全保密方面存在较大的隐患,网络安全性较低,主要表现在我国的网络信息易扰、欺骗等,再加上我国人民对于网络安全这方面的安全意识不高,网络安全处于十分薄弱的环境中。
3.1电子商务安全存在的隐患
(1)网络协议方面的安全问题。在电子商务中,交易双方在交易中是通过传送数据包的形式来交换数据,传送过程中,不法恶意攻击者会拦截数据包,甚至在一定程度上破坏,这使得接收方接收的信息是不正确的。
(2)用户信息的安全问题。用户和商家是在B/S结构的电子商务网站使用浏览器登录进行交易,在登陆浏览器时势必会使用电脑,有的用户在使用电脑时,如果计算机中存在木马,那么登陆者的信息存在泄露的危险,有的用户在不方便使用自己电脑的情况下使用公共计算机,有些不法分子会通过电脑技术窃取交易信息。
(3)商家商务网的安全问题。有些企业在制作自己的商务网站时由于技术不过硬,本身的商务网站就存在隐患,服务器安全性低,不法分子利用电脑技术攻击商务网站,窃取用户信息和交易信息。
3.2电子商务安全问题的具体表现
(1)交易信息被窃取、毁坏。电子商务交易在数据包的传送过程中,可能会被一些不法分子运用电脑技术非法篡改交易信息,使得交易信息失去真实性和可靠性。无论是在网络硬件还是软件方面,都存在导致传送过程中信息的误传的可能性。
(2)假冒身份问题。电子商务交易是通过浏览器登录进行交易,交易双方没有机会面对面洽谈,这就给了第三人一个假冒交易某一方破坏交易、骗取交易成果,甚至败坏交易某一方的声誉等的机会。
(3)交易抵赖问题。例如,在电子商务交易中,买家收到货之后,不确认收货。
(4)计算机病毒感染问题。电子商务交易势必会使用计算机,交易者在使用计算机时,存在选中有病毒的计算机的可能性,这样给商务交易带来了问题。另外,我国网上的蠕虫病毒等在网络流域的传播极易发生,传播过程中会产生巨大的攻击流量,会导致访问速度滞停的问题。
4电子商务安全防范技术
为确保电子商务贸易的有效进行,一方面要保证电子商务平台的运行可靠稳定,能够全天候持续不断地提供网络服务;另一方面,电子商务系统还必须不断更新和采用最新安全技术来保证电子商务的整个交易过程的安全,防止交易抵赖行为。在现实生活中,电子商务安全防范技术主要有以下几种:
4.1数据加密技术
数据加密技术分为常规密钥密码体系和公开密钥密码体系两大类。在交易双方可以保证密钥在交换阶段未曾发生丢失或泄露的情况下,通常采用常规密钥密码技术为机密信息加密。在公开密钥密码体系中,加密密钥是公开的信息,加密算法和解密算法也是公开的信息,而解密密钥是机密的。重要的公开密钥密码体系有:基于NP完全理论的Merkel-Hellman背包体系、基于数论中大数分解的RSA体系、基于编码理论的McEliece体系。以上两种加密体系各有优缺点:常规密钥密码体系的优点是加密速度快、效率高,主要用于大量数据的加密,但是常规密钥密码体系中密钥在传递过程中容易被窃取,对于大量密钥的管理存在缺陷;公开密钥体系在大范围密钥的安全方面很好的解决了常规密钥密码体系存在的问题,保密性能比常规密钥密码体系高,但是公开密钥密码体系项目复杂,加密速度较慢。实践中通常将常规密钥密码体系和公开密钥密码体系结合起来使用。
4.2防火墙技术
防火墙技术分为两类:服务技术和数据包过滤技术。其中,数据包过滤技术较为简单,也最常用,它通过检查接收到的每个数据包的头,来分析该数据包是否已经发送到目的地。防火墙技术通过对数据进行分析并有选择的过滤,从而有效地避免外来因素对数据包进行的破坏,保证网络的安全。实践中,也常常将数据包过滤防火墙与服务器结合使用,可以更加有效地保护网络安全。
4.3虚拟专网技术VPN
VPN具有适应性强、投资小、易管理等优点,通过使用信息加密技术、安全隧道技术、用户认证技术、访问控制技术等实现对网络信息的保护。VPN可以使商业伙伴、公司、供应商、远程用户的内部网之间建立可靠稳定的安全连接,确保贸易信息的安全传输,从而保证在公共的Internet或企业局域网之间安全进行电子交易。
4.4安全认证技术
安全认证技术包括以下几种:
(1)数字签名技术。数字签名技术可以确保原始报文的不可否认性以及鉴别,并且可以防止虚假签名。
(2)数字摘要技术。数字摘要技术通过验证网络传输的明文,鉴别其是否经过篡改,进而确保数据的有效性和完整性。
(3)数字凭证技术。数字凭证技术通过运用电子手段来鉴别用户身份以及管理用户对网络资源访问的权限。
(4)认证中心。认证中心专门负责审核网络用户的真实身份并提供相应的证明,且只管理每个用户的一个公开密钥,在一定程度上大大降低了密钥管理的复杂性。
(5)智能卡技术。智能卡具有存储数据和读写数据的能力,可以对数据进行简单地处理,能够对数据进行加密和解密,其特点是存储器部分具有外部不可读性,可以使用户身份鉴别更加安全。
5电子商务中的信息安全对策
5.1不断完善网络安全管理体系
我国应在现有网络安全管理部门之外建立一个具有权威的信息安全领导机构。该部门应宏观地、有效统一地协调各部门的职能,对市场网络信息安全现状进行及时的分析,制定科学的政策。对于使用计算机网络的单位及个人,必须严格遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》,建立完善的责任问责制度。
5.2大力培养网络安全专业人才
面对现代网络应用高速普及的情况,网络安全专业人才显得捉襟见肘,我国需要大量的网络安全人才维护网络的安全。我国应加大对培养网络安全人才的科研教育机构的投入力度,同时积极组织人才及组织与国外的相关部门进行技术经验交流,不断引进国外先进网络安全保护技术,并及时对我国专业人员进行技术培训。
5.3建立网络风险防范机制
现阶段我国的网络安全技术较滞后、相关法律法规不是很健全,网络安全面临很多威胁因素,这就要求电子贸易用户建立网络风险防范机制,为存在的安全因素建立补救措施。电子商务交易用户可以根据交易具体情况为标的物进行投保,通过这些措施,可在很大程度上减少网络安全事故造成的经济损失。
[关键词]电子商务安全技术密钥数字签名
一、引言
电子商务是以电子信息技术为基础的商务运作,是信息技术的发展对社会经济生活产生巨大影响的一个实例,也是网络新经济迅猛发展的代表。电子商务的核心内容是网上交易,尤其是通过公共的因特网将众多的社会经济成员联系起来的网上交易更是成为发展的热点,
电子商务所具有的广阔发展前景,越来越为世人所瞩目。但在Internet给人们带来巨大便利的同时,也把人们引进了安全陷阱。目前,阻碍电子商务广泛应用的首要也是最大的问题就是安全问题。电子商务中的安全问题如得不到妥善解决,电子商务应用就只能是纸上谈兵。从事电子商务活动的主体都已普遍认识到电子商务的交易安全是电子商务成功实施的基础,是企业制订电子商务策略时必须首先要考虑的问题。对于实施电子商务战略的企业来说,保证电子商务的安全已成为当务之急。
二、电子商务过程中面临的主要安全问题
从交易角度出发,电子商务面临的安全问题综合起来包括以下几个方面:
1.有效性
电子商务以电子形式取代了纸张,那么保证信息的有效性就成为开展电子商务的前提。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.真实性
由于在电子商务过程中,买卖双方的所有交易活动都通过网络联系,交易双方可能素昧平生,相隔万里。要使交易成功,首先要确认对方的身份。对于商家而言,要考虑客户端不能是骗子,而客户端也会担心网上商店是否是一个玩弄欺诈的黑店,因此,电子商务的开展要求能够对交易主体的真实身份进行鉴别。
3.机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。如信用卡的账号和用户名被人知悉,就可能被盗用而蒙受经济损失;订货和付款信息被竞争对手获悉,就可能丧失商机。因此建立在开放的网络环境电子商务活动,必须预防非法的信息存取和信息在传输过程中被非法窃取。
三、电子商务安全中的几种技术手段
由于电子商务系统把服务商、客户和银行三方通过互联网连接起来,并实现了具体的业务操作。因此,电子商务安全系统可以由三个安全服务器及CA认证系统构成,它们遵循共同的协议,协调工作,实现电子商务交易信息的完整性、保密性和不可抵赖性等要求。其中采用的安全技术主要有以下几种:
1.防火墙(FireWall)技术
防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出。
2.加密技术
数据加密技术是电子商务中采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。在网络应用中一般采取两种加密形式:对称加密和非对称加密,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来做出判断。
(1)对称加密
在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。这种加密算法可简化加密处理过程,贸易双方都不必彼此研究和交换专用的加密算法,如果进行通信的贸易方能够确保私有密钥在交换阶段未曾泄露,那么机密性和报文完整性就可以得到保证。不过,对称加密技术也存在一些不足,如果某一贸易方有n个贸易关系,那么他就要维护n个私有密钥。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享一把私有密钥。目前广泛采用的对称加密方式是数据加密标准(DES),它主要应用于银行业中的电子资金转账(EFT)领域。DES对64位二进制数据加密,产生64位密文数据。使用的密钥为64位,实际密钥长度为56位(8位用于奇偶校验)。解密时的过程和加密时相似,但密钥的顺序正好相反。
(2)非对称加密/公开密钥加密
在Internet中使用更多的是公钥系统,即公开密钥加密。在该体系中,密钥被分解为一对:公开密钥PK和私有密钥SK。这对密钥中的任何一把都可作为公开密钥(加密密钥)向他人公开,而另一把则作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应于生成该密钥的贸易方。在公开密钥体系中,加密算法E和解密算法D也都是公开的。虽然SK与PK成对出现,但却不能根据PK计算出SK。
公开密钥算法的特点如下:
用加密密钥PK对明文X加密后,再用解密密钥SK解密,即可恢复出明文,或写为:DSK(EPK(X))=X。
加密密钥不能用来解密,即DPK(EPK(X))≠X
在计算机上可以容易地产生成对的PK和SK。
从已知的PK实际上不可能推导出SK。
加密和解密的运算可以对调,即:EPK(DSK(X))=X
常用的公钥加密算法是RSA算法,加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后用方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。由于加密强度高,而且不要求通信双方事先建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。
3.数字签名
数字签名技术是实现交易安全核心技术之一,它实现的基础就是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下几点:接收者能够核实发送者对报文的签名;送者事后不能抵赖对报文的签名;接收者不能伪造对报文的签名。现在己有多种实现数字签名的方法,采用较多的就是公开密钥算法。
4.数字证书
(1)认证中心
在电子交易中,数字证书的发放不是靠交易双方来完成的,而是由具有权威性和公正性的第三方来完成的。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。
(2)数字证书
数字证书是用电子手段来证实一个用户的身份及他对网络资源的访问权限。在网上的电子交易中,如双方出示了各自的数字证书,并用它来进行交易操作,那么交易双方都可不必为对方身份的真伪担心。
5.消息摘要(MessageDigest)
消息摘要方法也称为Hash编码法或MDS编码法。它是由RonRivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向Hash加密算法对所需加密的明文直接作用,生成一串128bit的密文,这一串密文又被称为“数字指纹”(FingerPrint)。所谓单向是指不能被解密,不同的明文摘要成密文,其结果是绝不会相同的,而同样的明文其摘要必定是一致的,因此,这串摘要成为了验证明文是否是“真身”的数字“指纹”了。
四、小结
本文详细探讨了电子商务安全体系所面临的问题,并提出了安全防护的几种技术手段,相信随着时间的推移和技术的发展,电子商务安全体系将越来越完善,足不出户而通过Internet电子商务系统实现购物、交易和做生意将成为人们生活的新时尚。
参考文献:
[1]徐海来:电子商务的运作与安全[J].中国信息导报,2000.6:126
[2]刘进:电子商务网上交易系统[M].第一版,北京:机械工业出版社,2003:157
>> 中国图书馆界对知识产权问题的认知调研报告(下) 浅议我国数字图书馆立法中的知识产权保护问题 浅谈数字图书馆建设中的知识产权保护问题 浅析数字图书馆资源建设中的知识产权保护问题 数字图书馆个性化信息服务中面临的知识产权问题探讨 浅析数字图书馆建设中的知识产权保护 论数字图书馆中的知识产权保护 探讨数字图书馆建设中的知识产权保护 知识产权在我国高校数字图书馆中的现状及意义 我国图书馆联盟中存在的问题与对策研究 我国图书馆联盟建设中存在的问题和建设途径 数字图书馆的知识产权问题浅析 试论图书馆立法对解决数字图书馆知识产权问题的作用 《中国图书馆分类法》在网络环境中的适应性改造研究 改革开放30年中国图书馆事业发展的7个关键词 中国在国际贸易中的知识产权问题及对策 中国3G产业化中的知识产权问题探析 中国烟草企业知识产权创造中的问题及对策 中国企业海外收购中的知识产权问题初探 中国在国际贸易中的知识产权问题及对策漫谈 常见问题解答 当前所在位置:l.
[3]任昕,黄海滨.正版软件高价原因浅析[J].商场现代化,2007,(14):177.
[4](法)蒲吉兰.雷春娟等译.21世纪的黑金[M].北京:社会科学文献出版社,2006:147.
参考文献:
[1]Elizabeth Gadd, Richard Gaston. Copyright questions asked by libraries[J].Library Management,2001,22(8/9):387-394.
[2]Laura Gasaway.Digital library projects and copyright[J]. Information Outlook,2002,6 (7):38.
[3]Howard Falk. Electronic access to libraries:Overcoming copyright barriers[J].The Electronic Library,2002,20(6):512-514.
[4]Mark T.Bay.Libraries and the need to educate users about copyright and fair use[J].Library Hi Tech News,2001,18(5):10-12.
[5]Lesley Ellen Harris. Organizing your library’s copyright issues[J].Information Outlook,2005,9(2):36-37.
[6]肖燕.网络环境下的著作权与数字图书馆[M].北京:北京图书馆出版社,2002.
[7]庄琦,马海群.著作权适度保护与数字图书馆行为的适度扩张[J].中国图书馆学报,2003,(5):86-89.
[8]张平.数字图书馆建设中的法律问题及对策研究[J].国家图书馆学刊,2004,(4):56-60.
[9]肖珑,姚晓霞.我国图书馆电子资源集团采购模式研究[J].中国图书馆学报,2004,(5):31-34.
[10]李国新.国际图书馆界有关著作权合理使用的原则立场[J].图书馆论坛,2005,(6):67-70.
[11]贺德方.国家学位论文资源共享体系研究[J].情报学报,2007,(3):435-441.
关键词:电子商务在线支付安全性安全套接层协议安全电子交易协议
中图分类号:TP393
1引言
Internet给整个社会带来了巨大的变革,成为驱动所有产业发展的动力。电子商务是在Internet开放环境下的一种新型的商业运营模式,是网络技术应用的全新发展方向。在此首先对电子商务中存在的问题及其安全性技术加以分析,然后对中国电子商务未来的发展提出了一些建议,以使更多的人士关注电子商务技术,尽快解决现存的问题,推动电子商务的发展。
2电子商务及其存在的问题
电子商务是指利用简单快捷低成本的电子通讯方式,使买卖双方进行各种商贸活动的新型贸易形式。它改变了传统贸易形式,不仅改变了企业本身的生产、经营、管理活动,而且将导致人类经济、社会和文化的一次新的革命。但目前电子商务的发展中还存在许多问题:
1)安全协议问题:对安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。
2)安全管理问题:在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
3)电子商务没有真正深入商务领域而仅仅局限于信息领域。
4)技术人才短缺问题:电子商务是在近几年才得到了迅猛发展,许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解得偏少,因而难以开发出真正实用的、安全性的产品。
5)法律问题:电子交易衍生了一系列法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。
6)税收问题:电子商务的发展在促进贸易增加税收的同时又对税收制度及其管理手段提出了新要求。
3电子商务中的安全性技术
安全性技术是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的问题。虽然Internet的开放式的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都制订了安全协议和具备了相应的安全技术,以保证电子商务的安全性。
3.1安全的网络平台
安全可靠的网络是实现电子商务的基础,常用的方法是在网络中采用防火墙技术,虚拟专用网(VPN)技术,防病毒保护等。防火墙技术是通过IP过滤和服务器软件方法保护企业内部网(Intranet)中数据,只有授权用户才能获准进入企业内部网的系统。虚拟专用网(VPN)技术通过IP隧道等方法来保证企业协作网(Extranet)中企业间数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。单纯依靠这些方法保护网络的安全性是不够的,还必须与其它安全措施综合使用才能为为用户提供更为可靠的电子商务基石,例如现在的加密技术、数字签名技术、电子认证技术等。
3.2在线支付的安全技术
电子商务的另一个关键问题是要保证在线支付的安全,它是网上购物的重要保证。目前采用的在线支付协议有两种:安全套接层SSL(SecureSocketsLayer)协议和安全电子交易SET(SecureElectronicTransaction)协议。
3.2.1SSL协议
SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CertificateAuthority,CA)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如
一、电子商务存在的安全问题 由于电子商务是以信息技术和计算机网络为基础的,与传统商务比较,它不可避免的面临着一系列的安全问题。
1.信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。
2.篡改
在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据在中途篡改,然后再发向目的地,破坏数据的真实性和完整性。
3.伪造
由于掌握了数据的格式,并可以篡改通过的信息,如果不进行身份识别,攻击者就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。
4.信用威胁
交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
5.电脑病毒
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
二、电子商务安全要素
安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。下面介绍电子商务涉及的安全要素.
1.有效性
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
3.完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
4.可靠性
电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方是保证电子商务顺利进行的关键。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
5.即需性
即需性是防止延迟或拒绝服务,即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中,延迟一个消息或消除它会带来灾难性的后果。
6.身份认证
指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方。这一过程为授权和审计所必需,也是实现授权、审计的访问控制过程运行的前提,是计算机网络安全系统不可缺少的组成部分。
7.审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控,以便对其所使用的操作内容进行审计和跟踪。
三、电子商务交易安全技术
由于电子商务活动所涉及的大量机密信息都必须通过网络传播,并且以电子数据的形式存储,要求有完善的安全技术来保证电子商务交易的安全。目前,电子商务过程中主要采用的安全技术有加密技术、认证技术和安全认证协议。
1.加密技术
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。 目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。
2.认证技术
安全认证的主要作用是进行信息认证。主要包括安全认证技术和安全认证机构两个方面。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等; 电子商务认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。
3.安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL协议和安全电子交易SET协议。SSL协议一般服务于银行对企业或企业对企业的电子商务。SET协议位于应用层,用来保证互联网上银行卡支付交易安全性。所以SET一般服务于持卡消费、网上购物的电子商务。
一、电子商务存在的安全问题
由于电子商务是以信息技术和计算机网络为基础的,与传统商务比较,它不可避免的面临着一系列的安全问题。
1.信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。
2.篡改
在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据在中途篡改,然后再发向目的地,破坏数据的真实性和完整性。
3.伪造
由于掌握了数据的格式,并可以篡改通过的信息,如果不进行身份识别,攻击者就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。
4.信用威胁
交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
5.电脑病毒
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
二、电子商务安全要素
安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。下面介绍电子商务涉及的安全要素.
1.有效性
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
3.完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
4.可靠性
电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方是保证电子商务顺利进行的关键。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
5.即需性
即需性是防止延迟或拒绝服务,即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中,延迟一个消息或消除它会带来灾难性的后果。
6.身份认证
指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方。这一过程为授权和审计所必需,也是实现授权、审计的访问控制过程运行的前提,是计算机网络安全系统不可缺少的组成部分。
7.审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控,以便对其所使用的操作内容进行审计和跟踪。
三、电子商务交易安全技术
由于电子商务活动所涉及的大量机密信息都必须通过网络传播,并且以电子数据的形式存储,要求有完善的安全技术来保证电子商务交易的安全。目前,电子商务过程中主要采用的安全技术有加密技术、认证技术和安全认证协议。
1.加密技术
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。 目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。
2.认证技术
安全认证的主要作用是进行信息认证。主要包括安全认证技术和安全认证机构两个方面。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等; 电子商务认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。
3.安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL协议和安全电子交易SET协议。SSL协议一般服务于银行对企业或企业对企业的电子商务。SET协议位于应用层,用来保证互联网上银行卡支付交易安全性。所以SET一般服务于持卡消费、网上购物的电子商务。
四、结束语
一、电子商务存在的安全问题
由于电子商务是以信息技术和计算机网络为基础的,与传统商务比较,它不可避免的面临着一系列的安全问题。
1.信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。
2.篡改
在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据在中途篡改,然后再发向目的地,破坏数据的真实性和完整性。
3.伪造
由于掌握了数据的格式,并可以篡改通过的信息,如果不进行身份识别,攻击者就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。
4.信用威胁
交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
5.电脑病毒
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
二、电子商务安全要素
安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。下面介绍电子商务涉及的安全要素.
1.有效性
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
3.完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
4.可靠性
电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方是保证电子商务顺利进行的关键。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
5.即需性
即需性是防止延迟或拒绝服务,即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中,延迟一个消息或消除它会带来灾难性的后果。
6.身份认证
指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方。这一过程为授权和审计所必需,也是实现授权、审计的访问控制过程运行的前提,是计算机网络安全系统不可缺少的组成部分。
7.审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控,以便对其所使用的操作内容进行审计和跟踪。
三、电子商务交易安全技术
由于电子商务活动所涉及的大量机密信息都必须通过网络传播,并且以电子数据的形式存储,要求有完善的安全技术来保证电子商务交易的安全。目前,电子商务过程中主要采用的安全技术有加密技术、认证技术和安全认证协议。
1.加密技术
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。 目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。
2.认证技术
安全认证的主要作用是进行信息认证。主要包括安全认证技术和安全认证机构两个方面。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等; 电子商务认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。
3.安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL协议和安全电子交易SET协议。SSL协议一般服务于银行对企业或企业对企业的电子商务。SET协议位于应用层,用来保证互联网上银行卡支付交易安全性。所以SET一般服务于持卡消费、网上购物的电子商务。
关键词:商业贸易 电子商务 网络。
电子商务作为一种新兴的商业贸易交易形式,与传统商业贸易形式相比在更大程度上摆脱了时间和空间的局限,对企业而言,则提供了更大的展示平台和丰富的宣传与交易途径,根据国家发改委的统计,截止2010年,我国网民数量已达4.77亿,电子商务规模达到4.7万亿,预计到2013年将突破12万亿,巨大的市场规模将为企业发展提供巨大的商机。另一方面,目前国内外商业贸易的贸易形势正在逐步发生转变,日益激烈和残酷的市场竞争使得门户网站和电子商务营销成为了企业自我展示宣传和增加销售途径的有效措施,在这样的背景之下,商业贸易中电子商务体系的构建受到了企业的高度重视,而当下我国电子商务体系存在哪些问题?商业贸易中电子商务体系又该如何构建?相关问题可以从以下一些方面进行分析。
1 商业贸易中构建电子商务体系的优势。
1.1 成本降低。
传统的商业贸易不仅需要支付大量的店面租金和员工工资,其产品宣传推广与客户资源的开发也都需要耗费企业大量的成本,这在短期会对企业的现金流造成一定的压力,尤其是中小企业,规模的扩大必然带来成本的上升,这也成为限制中小企业商业贸易进一步发展的重要因素。而电子商务利用网络作为企业宣传和营销的媒介,不需要专业的销售场所和大量的业务人员,从而大大降低了企业商业贸易的成本。
1.2 商业贸易更加便捷。
电子商务从商品展示到下单,再到订单、付款以及发货,可以完全摆脱时间与空间的限制,客户理论上可以在任何地点与时间获取到企业的产品信息并进行相关操作,而交易也可以在第三方交易平台的支持下及时完成。不仅如此,企业和客户双方信息的变更可以通过电子商务平台在网络上及时反应,便于双方更加快速高效地获取信息,而企业与客户还可以通过在线交流、留言、邮件等多种形式进行高效的信息交流与反馈。
1.3 加强企业的对外交流与合作。
在传统商业贸易中,对外合作并不是一件容易的事,而通过电子商务平台,企业之间可以进行高效的互访与交流,而企业也可以通过网络快速地获取采购、原材料、物流、加工等各个环节的资源,从而使自身的营销策略具备更加坚实的基础。同时在电子商务平台下,与其他企业有更加多元与便捷的交流与沟通的可能,因而能够谋求更多的交流与合作机会。
1.4 加快研发速度,提升服务质量。
由于电子商务信息是以数据流的形式体现的,因而可以对客户的数据进行分析与整合,建立起自身的电子商务信息数据库,对客户的喜好,产品的发展趋势以及产品存在的问题和客户希望改进的方向等都可以进行有效的分析,而这些都为企业产品的研发与更新提供了坚实的基础,使企业的决策更加贴近实际和精确。另一方面,企业通过对顾客的需求和归纳,能够对顾客的意见与投诉做出及时有效的反馈,从而为顾客提供更加优质的服务“,能够及时把握市场脉搏,实现准确的市场定位[1]”,从整体上提升自身的服务质量,使之更加灵活化与人性化。
2 当下商业贸易电子商务体系构建存在的问题。
我国于上世纪70年代开始在海关事务中尝试网络化操作,90年代电子商务大规模进入民用领域,随着计算机和网络技术的不断发展,社会硬件设备的更新以及社会公众消费观念的变化,电子商务在我国得到了长足的发展,而随着支付宝等第三方运作平台在技术和运营等方面的逐渐成熟,我国的电子商务逐渐迈入了正轨,进入了高速发展期。而在发展的过程中,我国的电子商务体系也暴露出了不少的问题,这些问题概括起来主要体现在以下一些方面:
2.1 电子商务的市场环境不够成熟。
虽然网购的消费观念在我国基本得到认可,电子商务市场环境基本形成,但是还不够成熟,存在不少的问题。一是电子商务中交易双方的信用问题,由于网络环境下交易双方通常无法获取到更加直接和真实的资料,因而在交易中普遍存在着担忧和不信任,这在BtoC类(销售商对顾客)电子商务网站表现得尤为突出。根据国内某调查机构的一份抽样调查报告显示,在淘宝、易趣等知名电子商务网站,顾客询问后下单率虽有70%,但真正付款的却低于50%。针对交易双发的不信任,我国目前对于电子商务中产品描述以及买卖双方的信息核实、验证机制并不完善,这使得电子商务平台存在大量的虚假广告和不实信息,这在一定程度上影响和制约着市场环境的进一步发展。
后续服务和配套服务的缺失是目前我国电子商务市场环境不够成熟的另一表现,电子商务途径售出的产品往往不能和实体店售出的货物享受同样的后续服务和配套资源,有的商家虽然提供,但是由于地域的限制,往往需要客户自己承担物流的费用与风险,因而这样的服务往往流于形式。
2.2 法律体系亟待完善。
目前我国针对电子商务并没有系统完善的法律出台,而是以《电子商务管理条例》作为当下规范交易双方行为和保护相关权益的主要法律手段,但是由于电子商务的特殊性,其取证和定案往往比较困难,在《电子商务管理条例》中,电子商务中常见的聊天记录、图片截图等并不能作为有效的直接证据,而其他法律体系又缺乏将电子商务教育中网络部分和实体部分有机衔接起来的规定《,消费者权益保护法》由于制定年代较远,在电子商务领域诸如描述不清,信用卡手续费用纠纷、退换货物费用等存在大量的法律真空。法律体系的不够完善,使得电子商务中买卖双方的权益得不到充分的保障,也成为了当下影响我国电子商务改革的重要方向。
2.3网络安全问题较为突出。
与网络经济繁荣相伴随的是网络诈骗等犯罪行为的急速上升,2009年我国网络诈骗涉案金额高达80亿元,由干网络设备和安全防护措施的不足,用户在交易的过程中时刻面临着“套卡、钓鱼网站、盗取密码、银行卡信息泄露”等安全问题,而在大量的电子商务网站,用户的购买信息可以随意浏览,这些对干保护用户的隐私和交易安全都是十分不利的。另方面,由干电P商务完全依赖干网络计算机技术,当网络或计算机发生异常时,往往使得正在进行的交易行为受到影响,有的款项“不翼而飞”,出现客户已经付账但卖家并未收到的呀青况,这实际上也是网络安全应急措施不足带来的负面影响。
3现代商业贸易中电子商务体系构建的措施。
针对上述问题,我国电子商务改进措施和对策可以从以下一些方面进行考虑。
3.1建立并完善电子商务体系的架构。
这是现代商业贸易中电子商务体系构建的基础性和前提性环节,在这一环节,企业需要明确和解决的是电子商务需要实现哪些功能,而相应的功能需要哪些资源配套,这一环节可以通过“功能填充”的模块法对各个功能子系统进行细化,通过不断的细分不仅可以使企业的电子商务体系更加健全和明细,对相应的岗位与职位职权更加明确,还便干通过划分发现功能与人员设置上存在的问题,而这些系统架构主要包含了网络平台管理、数据库维护、人员管理、客户管理等方面。
3.2加强物流配送资源的整合。
电子商务本质上是一个虚拟的商业贸易交易平台,货物的配送和线下交易还是需要相当强大的物流资源予以配合,若物流跟不上产品的配送,那么电子商务线上交易会受到很大的影响。因而企业应该与物流公司谋求更加贴切的合作,对于大型企业还应该考虑建设自身的物流基地,不仅可以解决货物配送为题,还可以对外服务,为企业提供更多的利润。而中小企业则可以合作建立物流基地,采取共建共享的模式,不仅可以解决中小企业在资金方面的问题,还可以提供物流基地的使用效率。
3.3 完善电子商务配套管理和服务机制。
在这方面应该加强政府的参与和引导规范,一方面需要政府设置专门的管理机构对电子商务进行专项管理,将电子商务中的信息、商品展示等行为和用语规范化,并对电子商务中的买卖双方行为进行规范和监督。同时还应该充分发挥政府的宏观调控机制,加大对社会计算机网络硬件基础的升级和改造。而在企业和客户层面,应该完善产品的售后与服务体系,使得电子商务平台的商品可以享有同等甚至更加实惠的售后与配套服务,同时加强物流与电子商务的资源整合。
3.4 完善电子商务法律体系。
电子商务法律体系其核心在于加快推动《电子商务交易法》的制定和出台,以法律文本的形式对电子商务交易进行规范。一方面,需要对电子支付中的电子签名、订单号、交易号等电子信息的合法性进行确认,同时对盗窃、伪造、非法破译、获取他人电子信息的行为进行法律认定,为以后电子商务中的违法行为定罪提供法律支持。另一方面,还应该将电子商务中的电子凭证、知识产权等与现实中的财务管理结合起来,以更加有效地保护电子商务中各方的合法权益。
3.5 加强网络安全建设。
网络安全建设是安全网络支付和电子支付的基础,也是电子商务的核心与技术支持,为了进一步推动电子商务的发展,网络安全建设的提升必不可少,在这方面我们可以将网络安全与时间戳、数字加密、数字证书等先进的网络安全技术结合起来。以数字证书为例,若在电子商务中采用此项技术,可由政府或第三方机构即认证中心(CA)来签发,证书通常包括公开密匙、口令、签发机构、签发对象和签发日期等信息“。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性、以及交易实体身份的真实性,签名信息的不可否认性[4]”,从而保障网上银行系统应用的安全性。
电子商务在商业贸易中的渗透是计算机技术与网络经济结合下的必然发展趋势,电子商务模式将在未来的商业贸易中发挥越来越大的作用,并将逐渐成为一类企业商业贸易的主流和必须层次与系统,虽然当下存在一些不可忽视的问题,但只要充分结合中国的具体国情,积极探索和创新,从电子商务系统建设与配套制度等多个层面入手,相信我国现代商业中电子商务体系的一定可以进入更加健康发展的轨道。
参考文献。
[1] 宋德萱。现代网络安全技术[M].上海:同济大学出版社。
[2] 付冷冷。电子商务的变革[J].科学管理研究,2003(2)。
[3] 汪芳,查尔斯,柯里亚。中国电子商务发展[M].北京:中国经济出版社。
关键词:商业贸易 电子商务 网络。
电子商务作为一种新兴的商业贸易交易形式,与传统商业贸易形式相比在更大程度上摆脱了时间和空间的局限,对企业而言,则提供了更大的展示平台和丰富的宣传与交易途径,根据国家发改委的统计,截止2010年,我国网民数量已达4.77亿,电子商务规模达到4.7万亿,预计到2013年将突破12万亿,巨大的市场规模将为企业发展提供巨大的商机。另一方面,目前国内外商业贸易的贸易形势正在逐步发生转变,日益激烈和残酷的市场竞争使得门户网站和电子商务营销成为了企业自我展示宣传和增加销售途径的有效措施,在这样的背景之下,商业贸易中电子商务体系的构建受到了企业的高度重视,而当下我国电子商务体系存在哪些问题?商业贸易中电子商务体系又该如何构建?相关问题可以从以下一些方面进行分析。
1 商业贸易中构建电子商务体系的优势。
1.1 成本降低。
传统的商业贸易不仅需要支付大量的店面租金和员工工资,其产品宣传推广与客户资源的开发也都需要耗费企业大量的成本,这在短期会对企业的现金流造成一定的压力,尤其是中小企业,规模的扩大必然带来成本的上升,这也成为限制中小企业商业贸易进一步发展的重要因素。而电子商务利用网络作为企业宣传和营销的媒介,不需要专业的销售场所和大量的业务人员,从而大大降低了企业商业贸易的成本。
1.2 商业贸易更加便捷。
电子商务从商品展示到下单,再到订单、付款以及发货,可以完全摆脱时间与空间的限制,客户理论上可以在任何地点与时间获取到企业的产品信息并进行相关操作,而交易也可以在第三方交易平台的支持下及时完成。不仅如此,企业和客户双方信息的变更可以通过电子商务平台在网络上及时反应,便于双方更加快速高效地获取信息,而企业与客户还可以通过在线交流、留言、邮件等多种形式进行高效的信息交流与反馈。
1.3 加强企业的对外交流与合作。
在传统商业贸易中,对外合作并不是一件容易的事,而通过电子商务平台,企业之间可以进行高效的互访与交流,而企业也可以通过网络快速地获取采购、原材料、物流、加工等各个环节的资源,从而使自身的营销策略具备更加坚实的基础。同时在电子商务平台下,与其他企业有更加多元与便捷的交流与沟通的可能,因而能够谋求更多的交流与合作机会。
1.4 加快研发速度,提升服务质量。
由于电子商务信息是以数据流的形式体现的,因而可以对客户的数据进行分析与整合,建立起自身的电子商务信息数据库,对客户的喜好,产品的发展趋势以及产品存在的问题和客户希望改进的方向等都可以进行有效的分析,而这些都为企业产品的研发与更新提供了坚实的基础,使企业的决策更加贴近实际和精确。另一方面,企业通过对顾客的需求和归纳,能够对顾客的意见与投诉做出及时有效的反馈,从而为顾客提供更加优质的服务“,能够及时把握市场脉搏,实现准确的市场定位[1]”,从整体上提升自身的服务质量,使之更加灵活化与人性化。
2 当下商业贸易电子商务体系构建存在的问题。
我国于上世纪70年代开始在海关事务中尝试网络化操作,90年代电子商务大规模进入民用领域,随着计算机和网络技术的不断发展,社会硬件设备的更新以及社会公众消费观念的变化,电子商务在我国得到了长足的发展,而随着支付宝等第三方运作平台在技术和运营等方面的逐渐成熟,我国的电子商务逐渐迈入了正轨,进入了高速发展期。而在发展的过程中,我国的电子商务体系也暴露出了不少的问题,这些问题概括起来主要体现在以下一些方面:
2.1 电子商务的市场环境不够成熟。
虽然网购的消费观念在我国基本得到认可,电子商务市场环境基本形成,但是还不够成熟,存在不少的问题。一是电子商务中交易双方的信用问题,由于网络环境下交易双方通常无法获取到更加直接和真实的资料,因而在交易中普遍存在着担忧和不信任,这在btoc类(销售商对顾客)电子商务网站表现得尤为突出。根据国内某调查机构的一份抽样调查报告显示,在淘宝、易趣等知名电子商务网站,顾客询问后下单率虽有70%,但真正付款的却低于50%。针对交易双发的不信任,我国目前对于电子商务中产品描述以及买卖双方的信息核实、验证机制并不完善,这使得电子商务平台存在大量的虚假广告和不实信息,这在一定程度上影响和制约着市场环境的进一步发展。
后续服务和配套服务的缺失是目前我国电子商务市场环境不够成熟的另一表现,电子商务途径售出的产品往往不能和实体店售出的货物享受同样的后续服务和配套资源,有的商家虽然提供,但是由于地域的限制,往往需要客户自己承担物流的费用与风险,因而这样的服务往往流于形式。
2.2 法律体系亟待完善。
目前我国针对电子商务并没有系统完善的法律出台,而是以《电子商务管理条例》作为当下规范交易双方行为和保护相关权益的主要法律手段,但是由于电子商务的特殊性,其取证和定案往往比较困难,在《电子商务管理条例》中,电子商务中常见的聊天记录、图片截图等并不能作为有效的直接证据,而其他法律体系又缺乏将电子商务教育中网络部分和实体部分有机衔接起来的规定《,消费者权益保护法》由于制定年代较远,在电子商务领域诸如描述不清,信用卡手续费用纠纷、退换货物费用等存在大量的法律真空。法律体系的不够完善,使得电子商务中买卖双方的权益得不到充分的保障,也成为了当下影响我国电子商务改革的重要方向。
2.3网络安全问题较为突出。
与网络经济繁荣相伴随的是网络诈骗等犯罪行为的急速上升,2009年我国网络诈骗涉案金额高达80亿元,由干网络设备和安全防护措施的不足,用户在交易的过程中时刻面临着“套卡、钓鱼网站、盗取密码、银行卡信息泄露”等安全问题,而在大量的电子商务网站,用户的购买信息可以随意浏览,这些对干保护用户的隐私和交易安全都是十分不利的。另方面,由干电p商务完全依赖干网络计算机技术,当网络或计算机发生异常时,往往使得正在进行的交易行为受到影响,有的款项“不翼而飞”,出现客户已经付账但卖家并未收到的呀青况,这实际上也是网络安全应急措施不足带来的负面影响。
3现代商业贸易中电子商务体系构建的措施。
针对上述问题,我国电子商务改进措施和对策可以从以下一些方面进行考虑。
3.1建立并完善电子商务体系的架构。
这是现代商业贸易中电子商务体系构建的基础性和前提性环节,在这一环节,企业需要明确和解决的是电子商务需要实现哪些功能,而相应的功能需要哪些资源配套,这一环节可以通过“功能填充”的模块法对各个功能子系统进行细化,通过不断的细分不仅可以使企业的电子商务体系更加健全和明细,对相应的岗位与职位职权更加明确,还便干通过划分发现功能与人员设置上存在的问题,而这些系统架构主要包含了网络平台管理、数据库维护、人员管理、客户管理等方面。
3.2加强物流配送资源的整合。
电子商务本质上是一个虚拟的商业贸易交易平台,货物的配送和线下交易还是需要相当强大的物流资源予以配合,若物流跟不上产品的配送,那么电子商务线上交易会受到很大的影响。因而企业应该与物流公司谋求更加贴切的合作,对于大型企业还应该考虑建设自身的物流基地,不仅可以解决货物配送为题,还可以对外服务,为企业提供更多的利润。而中小企业则可以合作建立物流基地,采取共建共享的模式,不仅可以解决中小企业在资金方面的问题,还可以提供物流基地的使用效率。
3.3 完善电子商务配套管理和服务机制。
在这方面应该加强政府的参与和引导规范,一方面需要政府设置专门的管理机构对电子商务进行专项管理,将电子商务中的信息、商品展示等行为和用语规范化,并对电子商务中的买卖双方行为进行规范和监督。同时还应该充分发挥政府的宏观调控机制,加大对社会计算机网络硬件基础的升级和改造。而在企业和客户层面,应该完善产品的售后与服务体系,使得电子商务平台的商品可以享有同等甚至更加实惠的售后与配套服务,同时加强物流与电子商务的资源整合。
3.4 完善电子商务法律体系。
电子商务法律体系其核心在于加快推动《电子商务交易法》的制定和出台,以法律文本的形式对电子商务交易进行规范。一方面,需要对电子支付中的电子签名、订单号、交易号等电子信息的合法性进行确认,同时对盗窃、伪造、非法破译、获取他人电子信息的行为进行法律认定,为以后电子商务中的违法行为定罪提供法律支持。另一方面,还应该将电子商务中的电子凭证、知识产权等与现实中的财务管理结合起来,以更加有效地保护电子商务中各方的合法权益。
3.5 加强网络安全建设。
网络安全建设是安全网络支付和电子支付的基础,也是电子商务的核心与技术支持,为了进一步推动电子商务的发展,网络安全建设的提升必不可少,在这方面我们可以将网络安全与时间戳、数字加密、数字证书等先进的网络安全技术结合起来。以数字证书为例,若在电子商务中采用此项技术,可由政府或第三方机构即认证中心(ca)来签发,证书通常包括公开密匙、口令、签发机构、签发对象和签发日期等信息“。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性、以及交易实体身份的真实性,签名信息的不可否认性[4]”,从而保障网上银行系统应用的安全性。
电子商务在商业贸易中的渗透是计算机技术与网络经济结合下的必然发展趋势,电子商务模式将在未来的商业贸易中发挥越来越大的作用,并将逐渐成为一类企业商业贸易的主流和必须层次与系统,虽然当下存在一些不可忽视的问题,但只要充分结合中国的具体国情,积极探索和创新,从电子商务系统建设与配套制度等多个层面入手,相信我国现代商业中电子商务体系的一定可以进入更加健康发展的轨道。
参考文献。
[1] 宋德萱。现代网络安全技术[m].上海:同济大学出版社。
[2] 付冷冷。电子商务的变革[j].科学管理研究,2003(2)。
[3] 汪芳,查尔斯,柯里亚。中国电子商务发展[m].北京:中国经济出版社。
[关键词] 网络安全交易安全安全技术安全措施
一、引言
电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
二、电子商务存在的安全问题
1.计算机网络安全
(1)潜在的安全隐患。未进行操作系统相关安全配置。不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。
(2)未进行CGI程序代码审计。网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
(3)安全产品使用不当。由于一些网络安全设备本身的问题或使用问题,这些产品并没有起到应有的作用。很多厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但系统改动,在改动相关安全产品的设置时,很容易产生许多安全问题。
(4)缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
2.商务交易安全
(1)窃取信息。由于未采用加密措施,信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2)篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
(3)假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
(4)恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、电子商务安全技术
1.加密技术
(1)对称加密/对称密钥加密/专用密钥加密
该方法对信息的加密和解密都使用相同的密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。
(2)非对称加密/公开密钥加密
这种加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,而另一把则作为专用密钥加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应于生成该密钥的贸易方。
(3)数字摘要
该方法亦称安全Hash编码法或MD5。采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,即数字指纹,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这摘要便可成为验证明文是否是“真身”的“指纹”了。
(4)数字签名
信息是由签名者发送的;信息在传输过程中未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
(5)数字时间戳
它是一个经加密后形成的凭证文档,包括三个部分:需加时间戳的文件的摘要;DTS收到文件的日期和时间;DTS的数字签名。
(6)数字凭证
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。它包含:凭证拥有者的姓名; 凭证拥有者的公共密钥;公共密钥的有效期;颁发数字凭证的单位;数字凭证的序列号;颁发数字凭证单位的数字签名。
数字凭证有三种类型:个人凭证,企业(服务器)凭证, 软件(开发者)凭证。
2.Internet电子邮件的安全协议
(1)PEM:是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。
(2)S/MIME:是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议,目的是在MIME上定义安全服务措施的实施方式。
(3)PEM-MIME:是将PEM和MIME两者的特性进行了结合。
3.Internet主要的安全协议
(1)SSL:是向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。
(2)S-HTTP:是对HTTP扩充安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。
(3)STT: STT将认证和解密在浏览器中分离开,用以提高安全控制能力。
(4)SET:主要文件是SET业务描述、SET程序员指南和SET协议描述。SET 1.0版己经公布并可应用于任何银行支付服务。它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。
SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。
4.UN/EDIFACT的安全
UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI己成为人们日益关注的领域,保证EDI的安全成为主要解决的问题。
5.虚拟专用网(VPN)
它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。
6.数字认证
用电子方式证明信息发送者和接收者的身份、文件的完整性(如一张发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,
7.认证中心(CA)
CA的基本功能是:
生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。
对数字证书和数字签名进行验证。
对数字证书进行管理,重点是证书的撤消管理,同时追求实施自动管理。
建立应用接口,特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。
8.防火墙技术
防火墙具有以下五大基本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些禁止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。
目前的防火墙主要有两种类型。其一是包过滤型防火墙,其二是应用级防火墙。
9.入侵检测
入侵检测技术是防火墙技术的合理补充,其主要内容有:入侵手段与技术、分布式入侵检测技术、智能入侵检测技术以及集成安全防御方案等。
四、电子商务网站安全体系与安全措施
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
1.采取特殊措施以保证电子商务之可靠性、可用性及安全性
使用容错计算机系统或创造高可用性的计算机环境,以确保信息系统保持可用及不间断动作。灾害复原计划提供一套程序与设备来重建被中断的计算与通信服务。当组织利用企业内部网或因特网时,防火墙和入侵侦测系统协助防卫专用网络避免未授权者的存取。加密是一种广泛使用的技术来确保因特网上传输的安全。数字证书可确认使用者的身份,提供了电子交易更进一步的保护。
2.实施网络安全防范措施
首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;
其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
3.电子商务交易中的安全措施
在早期的电子交易中,曾采用过安全措施有:部分告知;另行确认;在线服务等。这些方法均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术,正如上述所列的九种技术。
另外,还可以选择一些加密产品和系统。如:PGP for Group Wise、File Lock Series、Point`n Crypt World、PrivaSuite、Crypt。可以实现加密、签名和认证。访问控制类产品。如:SunScreen、WebST安全平台、HP Preaesidium 授权服务器、NetKey网络安全认证系统、Cisco NetRanger等。这些产品的功能可以提供对口令字的管理和控制功能;防止入侵者对口令字的探测;监测用户对某一分区或域的存取;提供系统主体对客体访问权限的控制。
五、小结
关键词:电子商务;信息安全;数字证书;防火墙技术
中图分类号:F062.5 文献标识码:A 文章编号:1001-828X(2012)05-0-02
一、电子商务信息的安全要素
(一)保密性
电子商务作为贸易的一种手段,其信息直接代表着个人或企业的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的,而电子商务是建立在一个较为开放的网络环境上,商业防泄密是电子商务全面推广应用的重要保障。
(二)完整性
与传统商务相比,电子商务环境下的贸易流程更加简化,信息处理的效率更高,但同时也带来维护商业信息的完整性的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易数据的异常。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。
(三)可靠性
在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。而电子商务是在虚拟的无纸化的平台上进行的,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中利用数字手段为商务活动的参与者提供可靠的标识。
(四)有效性
贸易的过程中双方需要确定各种信息,而电子商务以电子形式取代了传统的纸张传递,在这个过程中有可能发生数据篡改、身份盗用、交易抵赖等问题,因此保证信息的有效性成为电子商务安全的关键因素。同时对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁也应加以控制和预防,以保证贸易数据在确定的时间和地点是有效的。
二、电子商务安全中存在的问题
(一)计算机网络的安全
电子商务是实现整个贸易过程中各阶段贸易活动的电子化,一个安全的计算机网络环境,直接决定了电子商务的顺利实施和贸易信息的可靠传递。电子商务活动中的网络安全问题主要包括以下几个方面:
1.安全协议有待完善。安全协议是保障网络信息安全传输的规则和标准,它规定了信息交流的各项准则,并能够保证参与信息交换的各方都遵守该协议。目前全球性的电子商务安全协议还较为有限,相对制约了国际性的商务活动。此外,一些安全协议还存在漏洞和隐患,为网络攻击提供了可乘之机。
2.信息安全存在风险。非法用户在网络的传输上,通过不正当手段,非法拦截通信数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密或者是非法用户对截获的网络数据进行一些恶意篡改,从而使信息失去真实性和完整性,导致合法用户无法正常交易。
3.病毒防范需要加强。电脑病毒具有快速复制、短小灵活以及迅速变种的特点。互联网的出现又为病毒的传播提供了便利的渠道,很多病毒直接通过网络传播,为网络用户和电子商务的参与者带来安全威胁,商业竞争中的黑客攻击也为企业和个人带来严重的经济损失。
4.服务器的安全隐患。服务器是电子商务活动的关键,其数据库中包括了商家和顾客的相关信息,并且还可能存有企业的敏感信息,如价格、成本、产品方案与营销策略等,所以服务器特别容易受到安全的威胁,如果服务器出现安全问题,造成核心数据泄密,将会给企业和顾客带来严重的后果。
(二)电子商务交易的安全
1.身份存在不确定性。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段窃取合法用户的身份信息,仿冒合法用户的身份与他人进行交易,欺诈或破坏,从而获得非法利益。
2.交易中的抵赖行为。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。这就需要一套安全机制解决交易双方的纠纷,并进行公证、仲裁和监督。
3.交易信息的非法修改。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的有效和公正。
4.其他交易安全问题。电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生的法律问题,还有诸如非法使用、操作人员不慎泄露信息等均可构成不同程度的威胁。
三、电子商务信息安全的保障措施
(一)数据加密策略
加密技术是电子商务的最基本措施,最初主要用与保证数据在存储和传输过程中的保密性。随着电子商务的发展,对数据完整性以及身份鉴定技术提出了新的要求,数字加密、签名和身份认证就是为了适应这种需要而产生的。加密技术是一种主动的信息安全防范策略,利用一定的加密算法,将明文转换成毫无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。比较广泛使用的加密技术有两种:一是对称密钥加密体制,一是非对称密钥加密体制。
1.对称密钥加密体制。对称密钥加密,又称私钥加密,即数据加密和解密采用的都是同一个密钥,因而其安全性依赖于密钥本身的安全性,其最大的优点是速度快,适合于对大数据量进行加密,但其最大的缺点是密钥的管理较为复杂,而且无法完成身份认证等功能,不便于应用在开放的网络环境中。
2.非对称密钥加密体制。非对称密钥加密体制,又称公钥加密,数据加密和解密采用不同的密钥。其中的公开密钥也称加密密钥,用于对数据进行加密,通过非保密方式向他人公开。而另一把则作为私用密钥加以保存,私用密钥只能由数据的接收方掌握。当发送加密信息时,发送方用接收方的公钥对信息加密,接收方用自己的私钥对信息解密。这种方式能够对双方的身份进行验证,也为密钥的管理提供了安全便利。
(二)防火墙技术
防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被非法入侵。本质上,它遵循的是一种允许或阻止数据业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。现有的防火墙技术包括数据包过滤,服务技术,复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
(三)数字证书与安全协议
1.数字证书。数字证书能够为网上安全交易提供数字签名和加密功能,通常由可信任的权威机构CA中心颁发。其中数字签名是用来保证文档的真实性、有效性的一种措施。通过签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字加密则可以保护数据的安全传输,防止非法用户查看和修改原始数据。
2.SSL协议。SSL协议主要用于提高应用程序之间的数据的安全系数,能够保证任何应用SSL的客户和服务器之间的安全传输。该协议向基于TCP/IP的客户服务器应用程序提供了客户端与服务器的身份鉴别、数据完整性及信息机密性等安全措施。
3.SET协议。SET是用于Internet上的以信用卡为基础的电子支付系统协议,它保证了开放网络上使用信用卡进行在线购物的安全,并且能够提供对消费者、商户和银行等参与方的认证,具有保证交易数据的机密性、完整性、真实性和不可抵赖性等优点,目前已成为全球信用卡交易的安全标准。
四、结语
信息安全是电子商务活动的基础,随着电子商务的发展,通过各种网络的交易手段也会更加多样化,安全问题将变得更加复杂。目前所采用的电子商务安全技术主要有数字证书、防火墙技术、安全协议、数字加密与签名等。电子商务的安全问题不仅是技术层面的,还需不断完善相关的法律制度、管理制度和诚信制度,以保证电子商务的信息安全和交易规范,进而建立一个可靠、高效、便捷的商务环境。
参考文献:
[1]王建宏,李广振,闵旭光.电子商务安全技术研究[J].中国商贸,2009(15).
[2]余绍军,彭银香.电子商务安全与数据加密技术浅析[J].中国管理信息化,2007(04).
[3]刘丽梅.电子商务信息安全问题探讨[J].物流科技,2007(30).
[关键词] 计算机网络 电子商务 安全技术
一、引言
近几年来,电子商务的发展十分迅速,电子商务可以降低成本,增加贸易机会,简化贸易流通过程,提高生产力,改善物流和金流、商品流、信息流的环境与系统。虽然电子商务发展势头很强,但其贸易额所占整个贸易额的比例仍然很低。影响其发展的首要因素是安全问题,网上的交易是一种非面对面交易,因此“交易安全”在电子商务的发展中十分重要。可以说,没有安全就没有电子商务。电子商务的安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
二、电子商务网络的安全隐患
1.窃取信息:由于未采用加密措施, 数据信息在网络上以明文形式传送, 入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析, 可以找到信息的规律和格式, 进而得到传输信息的内容, 造成网上传输信息泄密。
2.篡改信息:当入侵者掌握了信息的格式和规律后, 通过各种技术手段和方法, 将网络上传送的信息数据在中途修改, 然后再发向目的地。这种方法并不新鲜, 在路由器或者网关上都可以做此类工作。
3.假冒:由于掌握了数据的格式, 并可以篡改通过的信息, 攻击者可以冒充合法用户发送假冒的信息或者主动获取信息, 而远端用户通常很难分辨。
4.恶意破坏:由于攻击者可以接入网络, 则可能对网络中的信息进行修改, 掌握网上的机要信息, 甚至可以潜入网络内部, 其后果是非常严重的。
三、电子商务交易中应用的网络安全技术
为了提高电子商务的安全性,可以采用多种网络安全技术和协议,这些技术和协议各自有一定的使用范围,可以给电子商务交易活动提供不同程度的安全保障。
1.防火墙技术。防火墙是目前主要的网络安全设备。防火墙通常使用的安全控制手段主要有包过滤、状态检测、服务。由于它假设了网络的边界和服务,对内部的非法访问难以有效地控制。因此,最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络(如常见的企业专用网)。防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。目前,防火墙产品主要分为两大类:基于服务方式的和基于状态检测方式的。例如Check Point Firewall-1 4.0是基于Unix、WinNT平台上的软件防火墙,属状态检测型;Cisco PIX 是硬件防火墙,也属状态检测型。由于它采用了专用的操作系统,因此减少了黑客利用操作系统G)H 攻击的可能性;Raptor完全是基于技术的软件防火墙。由于互联网的开放性和复杂性,防火墙也有其固有的缺点:(1)防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制地向外拨号,一些用户可以形成与Internet的直接连接,从而绕过防火墙;造成一个潜在的后门攻击渠道,所以应该保证内部网与外部网之间通道的唯一性。(2)防火墙不能防止感染了病毒的软件或文件的传输,这只能在每台主机上装反病毒的实时监控软件。(3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击,所以对于来历不明的数据要先进行杀毒或者程序编码辨证,以防止带有后门程序。
2.数据加密技术。防火墙技术是一种被动的防卫技术,它难以对电子商务活动中不安全的因素进行有效的防卫。因此,要保障电子商务的交易安全,就应当用当代密码技术来助阵。加密技术是电子商务中采取的主要安全措施, 贸易方可根据需要在信息交换的阶段使用。目前, 加密技术分为两类, 即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI(publickeyInfrastructur 的缩写, 即“公开密钥体系”)技术实施构建完整的加密/签名体系, 更有效地解决上述难题, 在充分利用互联网实现资源共享的前提下从真正意义上确保了网上交易与信息传递的安全。在PKI 中, 密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开, 而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密的加密, 专用密钥则用于对加信息的解密。专用密钥只能由生成密钥对的贸易方掌握, 公开密钥可广泛, 但它只对应用于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是: 贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开; 得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲; 贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。
3.身份认证技术。身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性,来证实被认证对象是否符合或是否有效的一种过程,用来确保数据的真实性。防止攻击者假冒、篡改等。一般来说。用人的生理特征参数(如指纹识别、虹膜识别)进行认证的安全性很高。但目前这种技术存在实现困难、成本很高的缺点。目前,计算机通信中采用的参数有口令、标识符、密钥、随机数等。而且一般使用基于证书的公钥密码体制(PK I) 身份认证技术。要实现基于公钥密码算法的身份认证需求。就必须建立一种信任及信任验证机制。即每个网络上的实体必须有一个可以被验证的数字标识,这就是“数字证书(Certifi2cate)”。数字证书是各实体在网上信息交流及商务交易活动中的身份证明。具有唯一性。证书基于公钥密码体制,它将用户的公开密钥同用户本身的属性(例如姓名,单位等)联系在一起。这就意味着应有一个网上各方都信任的机构,专门负责对各个实体的身份进行审核,并签发和管理数字证书,这个机构就是证书中心(certificate authorities,简称CA)。CA用自己的私钥对所有的用户属性、证书属性和用户的公钥进行数字签名,产生用户的数字证书。在基于证书的安全通信中,证书是证明用户合法身份和提供用户合法公钥的凭证,是建立保密通信的基础。因此,作为网络可信机构的证书管理设施,CA主要职能就是管理和维护它所签发的证书,提供各种证书服务, 包括: 证书的签发、更新、回收、归档等。
4.数字签名技术。数字签名也称电子签名,在信息安全:包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名是非对称加密和数字摘要技术的联合应用。其主要方式为:报文发送方从报文文本中生成一个128b it的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128bit位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
四、结束语
电子商务安全对计算机网络安全与商务安全提出了双重要求,其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题,制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展,同时也促进安全的电子商务体系的形成。当然,任何一个安全技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的安全保障。
参考文献:
[1]肖满梅罗兰娥:电子商务及其安全技术问题.湖南科技学院学报,2006,27
【关键词】计算机网络;电子商务安全技术
中图分类号:TP39文献标识码:A文章编号:1006-0278(2012)01-029-02
一、引言
近几年来,电子商务的发展十分迅速 电子商务可以降低成本,增加贸易机会,简化贸易流通过程,提高生产力,改善物流和金流、商品流,信息流的环境与系统 虽然电子商务发展势头很强,但其贸易额所占整个贸易额的比例仍然很低。影响其发展的首要因素是安全问题,网上的交易是一种非面对面交易,因此“交易安全“在电子商务的发展中十分重要。可以说,没有安全就没有电子商务。电子商务的安全从整体上可分为两大部分。计算机网络安全和商务交易安全。计算机网络安全包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Interne'(上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
二、电子商务网络的安全隐患
1、窃取信息:由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密
2、篡改信息:当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改 然后再发向目的地。这种方法并不新鲜,在路由器或者网关上都可以做此类工作。
3、假冒由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4、恶意破坏:由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、电子商务交易中应用的网络安全技术
为了提高电子商务的安全性,可以采用多种网络安全技术和协议,这些技术和协议各自有一定的使用范围,可以给电子商务交易活动提供不同程度的安全保障。
1、防火墙技术。防火墙是目前主要的网络安全设备。防火墙通常使用的安全控制手段主要有包过滤、状态检测、服务 由于它假设了网络的边界和服务,对内部的非法访问难以有效地控制。因此,最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络(如常见的企业专用网) 防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。目前,防火墙产品主要分为两大类基于服务方式的和基于状态检测方式的。例如Check Poim Fi rewalI-1 4 0是基于Unix、WinNT平台上的软件防火墙,属状态检测型 Cisco PIX是硬件防火墙,也属状态检测型。由于它采用了专用的操作系统,因此减少了黑客利用操作系统G)H攻击的可能性:Raptor完全是基于技术的软件防火墙 由于互联网的开放性和复杂性,防火墙也有其固有的缺点:(1)防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制地向外拨号,一些用户可以形成与Interne'直接连接,从而绕过防火墙:造成一个潜在的后门攻击渠道,所以应该保证内部网与外部网之间通道的唯一性。(2)防火墙不能防止感染了病毒的软件或文件的传输,这只能在每台主机上装反病毒的实时监控软件。(3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Interne'(主机上并被执行而发起攻击时,就会发生数据驱动攻击,所以对于来历不明的数据要先进行杀毒或者程序编码辨证,以防止带有后门程序。
2、数据加密技术。防火墙技术是一种被动的防卫技术,它难以对电子商务活动中不安全的因素进行有效的防卫。因此,要保障电子商务的交易安全,就应当用当代密码技术来助阵。加密技术是电子商务中采取的主要安全措施, 贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI(punickey nfrastructur)的缩写,即 公开密钥体系”)技术实施构建完整的加密/签名体系,更有效地解决上述难题,在充分利用互联网实现资源共享的前提下从真正意义上确保了网上交易与信息传递的安全。在PKI中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密生息的加密,专用密钥则用于对加信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应用于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是 贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开:得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲 贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。
3、身份认证技术。身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性 来证实被认证对象是否符合或是否有效的一种过程,用来确保数据的真实性。防止攻击者假冒 篡改等。一般来说。用人的生理特征参数f如指纹识别、虹膜识别)进行认证的安全性很高。但目前这种技术存在实现困难、成本很高的缺点。目前,计算机通信中采用的参数有口令、标识符 密钥、随机数等。而且一般使用基于证书的公钥密码体制(PK I)身份认证技术。要实现基于公钥密码算法的身份认证需求。就必须建立一种信任及信任验证机制。即每个网络上的实体必须有一个可以被验证的数字标识 这就是 数字证书(Certifi2cate)”。数字证书是各实体在网上信息交流及商务交易活动中的身份证明。具有唯一性。证书基于公钥密码体制,它将用户的公开密钥同用户本身的属性(例如姓名,单位等)联系在一起。这就意味着应有一个网上各方都信任的机构 专门负责对各个实体的身份进行审核,并签发和管理数字证书,这个机构就是证书中心(certificate authorities,简称CA)。CA用自己的私钥对所有的用户属性、证书属性和用户的公钥进行数字签名,产生用户的数字证书。在基于证书的安全通信中,证书是证明用户合法身份和提供用户合法公钥的凭证,是建立保密通信的基础。因此,作为网络可信机构的证书管理设施 CA主要职能就是管理和维护它所签发的证书 提供各种证书服务,包括:证书的签发、更新 回收、归档等。
4、数字签名技术。数字签名也称电子签名 在信息安全包括身份认证,数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名是非对称加密和数字摘要技术的联合应用。其主要方式为:报文发送方从报文文本中生成一个128b it的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密 形成发送方的数字签名:然后 这个数字签名将作为报文的附件和报文一起发送给报文的接收方 报文接收方首先从接收到的原始报文中计算出128bit位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密 如果两个散列值相同 那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
四、结束语
电子商务安全对计算机网络安全与商务安全提出了双重要求,其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题 制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展,同时也促进安全的电子商务体系的形成。当然,任何一个安全技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的安全保障。
参考文献:
[1]肖满梅,罗兰娥.电子商务及其安全技术问题[J].湖南科技学院学报,2006:27.