电子商务安全问题研究(共8篇)
一、选题的背景、研究现状与意义
子商务技术是电子商务技术和移动通讯技术两项技术进行完美结合的产物。移动电子商务是未来电子商务发展的主要方向,能够有效扩大商业交易的灵活性,为企业带来更多的商机,极大程度上促进企业的发展。随着进入互联网高速发展的时代,电子商务技术的发展也被推上了高潮。
随着移动通信技术的发展以及移动终端的普及,一种崭新的电子商务模式应运而生———移动电子商务。移动电子商务随着电子商务发展起来,是电子商务发展的新形式,并日益成为电子商务发展研究的热点,已经成为国民经济和社会信息化的重要组成部分。移动电子商务发展迅速,但安全问题是制约其发展的重要因素,关系到商务系统能否正常运行。因此,如何建立安全、便捷的商务应用环境,保证整个商务活动中信息的安全性,对于促进移动电子商务健康发展具有重要理论价值和实际意义。
移动电子商务在现在的生活中扮演者越来越重要的地位,我们每天都在使用着,但是安全问题却越来越令人担忧。本论文在数据的.传输方面有着加密处理,降低数据泄露的风险,为大家的交易安全进行提供了有力的保障。
二、拟研究的主要内容(提纲)和预期目标
(1)引言
选题背景
研究意义
(2)移动电子商务内容
(3)移动电子商务安全支付需求
(4)移动电子商务安全技术
(5)移动电子商务安全支付解决方案
(6)总结
(7)预期目标:本课题的重点是采用文献研究法,通过广泛地查阅相关资料和文献,借鉴别人研究的成果之上,深入分析、思考,形成自己的观点。,而难点就在于如何能确定移动电子商务安全支付的问题。预期结果希望能对移动电子商务安全支付解决方案
三、拟采用的研究方法(思路、技术路线、可行性分析论证等)
1、选择导师、确定研究方向
2、选题
3、收集相关资料,并对资料进行整理和深入分析
4、根据资料和研究计划拟写开题报告
5、进行开题报告的答辩
6、撰写论文初稿
7、对论文反复修改、定稿
8、参加论文答辩
四、论文(设计)的工作进度安排
20xx年3月15日—3月20日?确定论文选题;
20xx年3月21日—3月31日?查阅有关国内外资料,了解该领域较为前沿的观点。写作论文提纲,确定论文基本框架,撰写开题报告;
20xx年4月1日—4月20日?修改提纲,形成论文的基本框架,写作论文初稿;
20xx年4月21日—4月30日?修改论文初稿,写作论文二稿;
20xx年5月1日—5月15日?修改论文二稿,形成正式稿。
五、参考文献(不少于5篇)
[1]姚帝晓。电子商务安全问题的思考[J]。商场现代化,20xx年7月(上旬刊)。
[2]张洁。安全电子邮件“乌托邦” [J]。电子商务世界,20xx年11月7月。[3]徐向阳。电子商务中电子邮件的安全问题研究[J]。商场现代化,20xx年5月(上月刊)。[4]付霄汉。电子邮件的安全问题与防范措施[J]。鞍山师范学院学报,20xx年7月。
[5]白佳丽。网上银行支付系统安全风险评估[J]。东方企业文化〃公司与产业,20xx年3月。87。[6]杨刚。网上支付安全问题研究[J]。鸡西大学学报,20xx年9月。
[7]刘丹。电子商务支付平台的安全问题刍议[J]。商业经济,20xx年8月15日。
[8]王煜。电子商务中网络支付风险与防范的研究[J]。经济师,20xx年第10期。
[9]李瑞歌。浅谈电子商务过程中网络交易安全管理策略[J]。科技资讯,20xx年。
[10]武慧娟、孙鸿飞。论电子商务关键性安全问题及其对策[J]。商场现代化,20xx年9月。
[11] 彭银香,白贞武。电子商务安全问题及措施研究[J]。大众科技,20xx。
[12] 林黎明,李新春。电子商务安全风险管理研究[J]。计算机与信息技术,20xx。
[13] 宋苑。影响电子商务发展的网络安全事件分析与对策[J]。计算机与信息技术,20xx。
[14] 杨二龙,刘建时。对电子商务风险的几点思考[J]。警官文苑,20xx。
六、指导教师意见
选题基本合理,内容完整。但开题报告还要求论述研究现状,即有哪些学者对相关问题有哪些研究,怎么研究的?用自己的话概述。
研究内容框架结构逻辑不合理,思路不清晰,具体意见详见附件批注。
应具体阐述哪些部分分别采用哪些定性或定量研究方法。
论据进度计划安排与实际不符。
具体意见详见附件批注。
签字:年月日
七、学院院长意见及签字
(办公室盖章)
(一)电子商务的概念
电子商务出现于20世纪90年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。CNN公布的资料表明,1999年度全球电子商务销售额突破1 400亿美元。但是,究竟什么是电子商务呢?实际上,迄今为止,电子商务还没有一个被广泛接受的概念。
世界贸易组织(WTO)给电子商务下的定义为:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。
经济合作发展组织(OECD)认为:电子商务是指商业交易,它包括组织与个人在基于文字、声音、可视化图像等在内的数字化数据传输与处理方面的商业活动。
世界各国对电子商务的理解也不尽相同。尽管电子商务的定义在内容上各有侧重,但是我认为电子商务的内涵一般应至少包括下列三方面内容:
(1)使用电子工具,借助互联网传输信息。
(2)在公开环境下交易。
(3)依靠一定的技术规范和技术标准,利用数据化的信息来进行交易。
电子商务使用的网络类型主要有三种形式:EDI网络、INTRANET网络和INTERNET网络。由于EDI是专线网络,而INTRANET是企业内部网,其安全性较好,对传统法律规范体系的冲击相对于INTERNET要小的多,因而本文主要讨论的电子商务主要是指借助于INTERNET网络的电子商务。
(二)电子商务的安全的内容及要求
电子商务作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一般规律,否则,电子商务是无法发展的。
安全与效率,是一切经济交易必须考虑的两个问题。电子商务的存在与发展也必须满足这两个要求。对于电子商务而言,其高效性已经得到了人们充分的认可。但是,安全性呢?电子商务作为一种新生事物,世界各国都尚未形成成熟的安全运营模式。如何在网络环境下,构建与传统法律价值接近的规则体系,已经越来越为人们所关注。
从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决。
1. 交易前交易双方身份的认证问题。
电子商务是建立在互联网络平台上的虚拟空间中的商务活动,交易的当事人可能处在不同的国家,他们并不直接见面,双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。
2. 交易中电子合同的法律效力问题以及完整性保密性问题。
在传统国际贸易法中,合同形式要求为书面,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。
3. 交易后电子记录的证据力问题。
在英美法系,传闻证据规则限制了电子记录的证据力。在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。
上述这些问题,已经对传统法律制度造成了冲击,也是实现电子商务安全所必须解决的问题。笔者将针对这些问题,从技术安全、组织安全、法律安全三个角度,对电子商务的安全运营问题进行解析。
二、电子商务安全性的现状及存在的问题
(一)电子商务安全的现状
1. 基础技术相对薄弱
国外有关电子商务的安全技术,其结构或加密算法等都不错,但由于受到本国密码政策的限制,公开的算法对于他们来说几乎不能保密了,潜在安全隐患极大。比较遗憾的是我国至今还没有自己研发成功的较为成熟的算法。
2. 体系结构不完整
电子商务安全以前大都担当着“救火队”的角色,头痛医头,脚痛医脚。这种“治标不治本”的做法下,问题总是层出不穷。近年来,人们已经开始着手从体系结构来解决问题,应当说在理论上已取得了明显的进展,但到实践运用还需要更大的努力。
3. 支持产品不过硬
目前,市场上有关电子商务安全的产品数量不少,但真正通过认证的相当少。主要是因为不少安全措施是从网上“移植”来的。另外,不少电子商务安全技术的厂商对网络技术很熟悉,但对安全技术普遍了解得不多,很难开发出真正实用的、足够的安全技术和产品。目前,构成我国信息基础设施的网络、硬件、软件等产品几乎完全建立在以美国为首的少数几个发达国家的核心信息技术之上。
4. 多种“威胁”纷杂交织、频频发生
电子商务面临的安全威胁主要来源于三个方面:一是非人为、自然力造成的数据丢失、设备失效、线路阻断;二是人为但属于操作人员无意的失误造成的数据丢失;三是来自外部和内部人员的恶意攻击和侵入。最后一种是当前电子商务所面临的最大威胁,极大地影响了电子商务的顺利发展。因此,它是电子商务安全对策最需要解决的问题。
“黑客”攻击电子商务系统的手段可以大致归纳为以下5种:
(1)中断:采取破坏硬件、线路或文件系统等,攻击系统的可用性。
(2)窃取:采取搭线、电磁窃取和分析业务流量等获取有用情报,攻击系统的机密性。
(3)篡改:结合其他手段修改秘密文件或核心内容,攻击内容完整性。
(4)伪造:采取伪造假身份注入系统、假冒合法人接入系统、破坏消息的接受和发送,攻击系统的真实性。
(5)轰炸:采取施放电子邮件炸弹等,攻击系统的健壮性。
(二)电子商务安全的问题
1. 网络的安全性问题
(1)利用IP欺骗进行攻击
黑客伪造LAN主机的IP地址,并根据这个伪造的地址进行不正当的存取。他先使被信任的主机丧失工作能力,同时采用目标主机发出的TCP序列号,猜测出他的数据序列号,然后伪装成被信任的主机,同时建立起与目标主机基于地址经验的应用连接。如果成功,黑客可以进行非授权操作,偷盗、篡改信息。
(2)捕获用户的姓名和口令
黑客通过软件程序跟踪检测软件,可检测到用户的登录名、密码,在获得用户账户的读写权之后,可以对其内容胡乱加以修改,毁坏数据,甚至输入病毒,使整个数据库陷于瘫痪。
(3)使用“拒绝服务”
黑客发送大量的“请求服务”指令,使得WEB服务器或路由器过载而停止服务,使网络处于瘫痪的状态。
(4)非法窃听
黑客通过搭线窃听,截收线路上传输的信息,或者彩电磁窃听,截收无线电传输的信息,以进行敲诈等非法活动。
(5)网络协议安全性问题
2. 交易中电子合同的法律效力问题以及完整性保密问题
在传统国际贸易法中,合同形式要求为书面形式,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。
3. 交易中的安全性问题
(1)网上诈骗
网上诈骗是世界上第二种最为常见的的投资诈骗形式,它有以下几种形式:
(1)亲和团体诈骗。利用团体内部成员对宗教、种族及专业性团体进行诈骗。
(2)不正当销售行为诈骗。向不适宜的投资者推销、欺骗性报价及市场操纵。
(3)电话推销行为诈骗。利用“电话交易所”,强行兜售非法或欺骗性的投资产品。
(4)高技术产品服务诈骗。利用不合法的优惠条件来误导高技术投资者,许诺高额利润,对高技术产品的风险轻描淡写。
(5)提供投资拍电影或其他娱乐产品行骗,欺骗投资者,对投资者隐瞒风险。
(2)冒名顶替
这是指盗用他人身份来谋取钱财。他们大多会使用一个假身份来向用户贩卖实际上并不存在的商品,借机获得用户的信用卡等信息,然后设法将用户的钱取光。
(3)抵赖
在进行网上交易时,交易双方不见面,互不知道对方的年龄、性别、住址、公司状况,当交易的一方不守信用时,他可能对已经实施的操作进行抵赖,或诬陷对方实施了其实没有实施的操作,这种抵赖往往都是恶意的。如“卖股票500股被改成5 000股,请赔偿损失”,其实,对方可能没改动任何数字。
三、改善电子商务安全性问题的技术措施及建议
(一)利用电子商务安全技术改善电子商务安全
1. 采用包过滤路由器
使用包过滤路由器(Router)除了可以完成不同网段间的寻址外,还可以滤除不受欢迎的一些主机的地址和服务。因为INTERNET/INTRANET的基础协议是TCP/IP协议。网络中的每台机器都有一个唯一的IP地址,通过该地址可以访问网络中的任何一台机器。除此之外,通信双方必须有一致的协议(如FTP、HTTP、Gopher、Telnet等)才能彼此理解所传送的数据包,这些协议是用机器的端口来标识的,而相应的服务也用端口来表示(如Gopher的端口为70、WWW的端口为80、FTP的端口为20或21),这样,包过滤路由器就通过IP地址和端口地址以及允许、禁止两种状态来控制网络对某个特定主机或服务的访问。
2. 防火墙技术
防火墙是近年来发展的最重要的安全技术,所谓防火墙就是在内部网与外部网之间的界面上构造一个保护层并强制所有的连接都必须进过此保护层在进行检查和连接。只有被授权的通信才能通过此保护层从而保护内部网资源免遭非法入侵。它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络即被保护网络。电子商务中的防火墙主要是为了防止黑客利用不安全的服务对传输数据和信息进行攻击,阻止未授权的用户对信息资源的非法访问,甚至是对网络实施检查,决定网络之间的通信权限,监视网络的进行状态。
防火墙作为最成熟、最早产品化的网络安全机制,其最初的设计就是防范外部攻击,改进的防火墙技术更可有效地控制内部和病毒的破坏。在设计防火墙时必须考虑防火墙的姿态、机构的整体安全策略、费用、基本构件和拓扑结构以及维护和管理方案。所有的防火墙设计都要遵照两条基本原则:未被允许的必须禁止,未被禁止的均允许。另外,在选择防火墙的使用时,也要考虑诸多原则,包括网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。
3. 采用防火墙体系
该技术运行于OSI的应用层,因此具有应用层的全部信息。由于防火墙的地位十分重要,所以一般采用两级的安全机制,即第一级由包过滤路由器承担,第二级由防火墙承担。带有两级防线的防火墙主要有以下几种形式:
(1)单堡垒主机、单路由器、一层网络的隔离形式
这种配置的特点是堡垒主机配两个网络接口,外部网络接口接受来自包过滤路由器的数据,数据必须经过包过滤路由器的过滤规则才能转发给堡垒主机,由于堡垒主机与包过滤路由器之间还有一个网络,外界对堡垒主机的非法侵入将更加困难。
(2)分级管理的双堡垒主机形式
所谓分级管理,是指在第一个堡垒主机与包过滤路由器之间的网络中接入一部分机器,将常用的不需保密的低保密级的数据放在此层,而把保密级较高的数据放在第二级堡垒主机之后,这种配置除具有原单层主机的包过滤及时和堡垒主机的优势外,当包过滤机制和第一级堡垒主机均被攻破时,由于第二层堡垒主机采用不同的安全策略,不会造成对堡垒主机的连续突破,从而保证了内部网络的安全。目前,这种方案是较高级别的安全方案。
4. 采用虚拟专用网(VPN)技术
VPN是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的隧道。在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这就可以使用复杂的专用加密和认证技术,只要通信的双方默认即可。拨号VPN使用隧道技术使远程访问服务器把用户数据打包到IP信息包中,这些信息通过电信服务商的网络进行传递,在Internet中要穿过不同的网络,最后到达隧道终点。然后拆数据包,转换成最初的形式。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接路由地址,这代替了电话交换网络使用的电话号码连接,允许授权移动用户或已授权的用户在任何时间任何地点访问内企业网络。
(二)网上交易中安全问题的解决方法
1. 数字认证
数字认证是一种新兴的安全性解决方法。随着现代网络技术的发展,基础设施的改善,多媒体技术运用的进一步普及,数字认证方法正被越来越多地用于网络信息的安全传输中。在发送文件时,或在交易信息处理的过程中,通过把影响、声音等各种证明发送者身份的数据传送给接收端,可大大加强信息的可靠性,这包括电子数字签名、电子信封、电子证书、以数字方式签署和电子付款表格等,这种接收方能确认发送者的真实身份和确保交易信息不被篡改。
2. 数据加密技术
数据加密技术是电子商务的最基本安全措施。目前技术条件下,通常加密技术分为对称加密和非对称加密两大类。
(1)对称密钥加密(Private Key)
采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密信息,及随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。
(2)非对称密钥加密
不同于对称加密,非对称加密的密钥被分解为:公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的发布者,私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者,而发布者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法是有RSA算法。
3. 病毒防范技术
电子商务系统一方面提高交易效率,另一方面也为计算机病毒的传播创造了条件。病毒对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。计算机病毒是指隐藏在计算机数据源中,利用系统数据源进行繁殖并生成影响计算机正常运行且能通过系统数据共享途径进行传染的一组计算机指令或程序代码,主要通过软盘、硬盘、优盘和网络渠道传播,可能导致系统瘫痪甚至完全崩溃的严重后果。从事网上交易的企业和个人都应当注重病毒防范技术,排除病毒的干扰。因此,防范计算机病毒,避免计算机系统遭受病毒的侵袭,及时清除计算机病毒将病毒危害降低到最低程度是反病毒技术刻不容缓的任务。一般我们要给自己的计算机安装防病毒软件,认真执行病毒定期清理制度,并设置控制权限,通过建立系统保护机制,来预防、检测和消除病毒,谨慎打开陌生地址的电子邮件,还要高度警惕网络陷阱。
(三)电子商务安全技术的实现
1. IDEA数据加密算法
IDEA数据加密算法是由中国学者来学嘉博士和著名的密码专家James L.Massey于1990年联合提出的。它的明文和密文都是64比特,但密钥成为128比特。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。这比DES提供了更多的安全性,但是在选择用于IDEA的密钥时,应该排除哪些称为“弱密钥”的密钥。DES只有四个弱密钥和12个次弱密钥,而IDEA中的弱密钥数相当可观,有2的51次方个。但是,如果密钥的总数非常大,达到2的128次方个,那么仍有2的77次方个密钥可供选择。IDEA被认为是极为安全的。使用128位的密钥,蛮力攻击中需要进行的测试次数与DES相比会明显增大,甚至允许对弱密钥测试。而且,它本身也显示了它尤其能抵抗专业形式的分析性攻击。
2. 用OPEN SSL实现CA认证
(1)SSL(Secure Socket Layer)协议及其主要技术
1996年由美国Netscape公司开发和倡导的SSL协议,它是目前安全电子商务交易中使用最多的协议之一,它被许多世界知名厂商的Intranet和Internet网络产品所支持。
SSL应用在Client和Server间安全的WebHTTP通信,UEL以开始替代http,并使用443端口进行通信。它主要使用加密机制、数字签名、数字摘要、身份认证、CA技术提供Client和Server之间的秘密性、完整性、认证性三种基本的安全服务。
(2)用Open SSL工具实现安全认证
目前,国外主流的电子商务安全协议在核心密码上都有出口限制,只允许40位或56位的RC4和512位的RSA算法出口等。这样的算法强度引进后无法满足我国电子商务实际应用当中的安全需求。但是,完全自主定义和开发一套安全标准体系不是一蹴而就的事情,需要人、财、物的长期投入。
在SSL未提供源代码的情况下,由澳大利亚软件工程师Eric Young与Tim Hudson联合开发的OPENSSL恰好解决了这一难题。它不仅能实现SSL的所有功能,支持目前所有基于SSL V2/V3和TSL V1的应用软件,而且由于源代码公开和提供了各种加密算法,完全可以满足国外安全协议引进后的本地化改造需求。
下面就用OPENSSL提供的强大功能在FreeBSD平台下进行手工签署证书的过程。
(1)先建立一个CA的证书,首先为CA创建一个RSA私用密钥:
#OpenSLL genrsa-des3-out ca.key 1024
该指令中genrsa表示生成RSA私有密钥文件。
-des3表示用DES3加密该文件。
-out ca.key表示生成文件ca.key。
1024是我们的RSA key的长度。
生成server.key的时候会要你输入一个密码,这个密钥用来保护你的ca.key文件,这样即使人家偷走你的ca.key文件,也打不开。拿不到你的私有密钥。
运行该指令后系统提示输入PEM pass phrase,也就是ca key文件的加密密码,我们设为12345678。
(2)用下列命令查看它的内容:
#OpenSSL.rsa-nout-text-in ca.key
该指令中rsa表示对RSA私有密钥的处理。
-nout表示不打印出key的编码版本信息。
-text表示打印出私有密钥的各个组成部分。
-in ca.key表示对ca.key文件的处理。
对RSA算法进行分析可以知道,RSA的私有密钥其实就是三个字,其中两个是质数prime numbers。产生RSA私有密钥的关键就是产生这两个质数。还有一些其他的参数,引导着整个私有密钥产生的过程。
(3)利用CA的RSA密钥创建一个自签署的CA证书
#OpenSSL req-new-x509-days 365-key ca.key-out ca.crt
该指令中req用来创建和处理CA证书,它还能够建立自签名证书,做Root CA。
-new产生一个新的CSR,他会要输入创建证书请求CSR的一些必须的信息。
-x509将产生自签名的证书,一般用来做测试用,或者自己做个Root CA用。
-days 365制定我们自己的CA给人家签证书的有效期为365天。
-key ca.key指明我们的私有密钥文件名为ca.key。
-out ca.crt指出输出的文件名为ca.crt。
执行该指令时系统要求用户输入一些用户信息,如下所示:(框内为输入的内容)
(4)用下列命令查看生成证书的内容:
#OpenSSL x509-noout-text-in ca.crt
该指令中x509表示证书处理工具。
-noout表示不打印毫key的编码版本信息。
-text表示以文本方式显示内容。
-in Ca.crt表示对ca.crt文件进行处理
系统显示证书内容为:
从上面的输出内容可以看出这个证书基本包含了X.509数字证书的内容,从发行者Issuer和接受者Subject的信息也可以看出是个自签署的证书。
下面创建服务器证书签署请求(使用指令和系统显示信息基本和以上类似):
(5)首先为Apache创建一个RSA私用密钥:
#OpenSSL genrsa-des3-out server.key 1024
这里也要设定口令pass phrase,生成server.key文件。
(6)用下列命令查看它昀内容:
#OpenSSL rsa-noout-text-in server.key
(7)用server.key生成证书签署请求CSR:
#OpenSSL req-new-key server.Key-out server.Csr
这里也要输入一些请求证书的信息,和上面的内容类似。
(8)生成证书请求后,下面可以签署证书了,需要用到Open SSL源代码中的一个脚本sign.sh,签署后就可以得到数字证书server.crt。
#sign.sh server.csr
(9)启动安全Web服务
最后在apache服务器中进行ca认证没置,拷贝server.crt和server.key到/usr/local/apache/conf
修改httpd.conf将下面的参数改为:
SSLCertificateFILE/usr/local/apache/conf/server.crt
SSLCertificateKeyFile/usr/local/apache/conf/server.key
可以启动带安全连接的Apache试一下了。
#/usr/local/apache/bin/apachectl startssl
提示输入pass phrase(就是前面为服务器设置的口令)
(10)进行安全连接
通过另一台电脑(IP地址为192.168.0.1)的IE浏览器与这台Apache服务器(IP地址为192.168.0.2)连接并且选择https协议,即:https://192.168.0.2:443。出现安全连接警告窗口,因为我的服务器证书是自己手工签署的,不是经过真正的CA颁发的证书,是个无效证书,所以按确定后如现安全证书无效的警告窗口。按“是”继续,注意这里浏览器地址栏内输入的是https而不是http,另外此时在状态栏内出现了一把小锁,这说明SSL协议超作用了,服务器和浏览器之间建立了一个安全连接,这样我们使用开放源代码的工具Open SSL来完成了电子商务的CA认证过程,同时这也只是使用现成的工具来完成的,在实际使用中还要分析它的源代码,修改源代码,来达到自己的安全需要。
(四)通过政府的效力加强我国电子商务的安全系数
1. 对电子商务进行专门立法
电子商务是一个新生事物,很多方面不同于传统商务,与传统的法律规范体系也存在着诸多不相容之处,而且,传统的法律规范体系中还有许多电子商务方面的空白。这一情况已经在实践中引起了不少的问题。
我国的电子商务是近年才发展起来的,目前规范电子商务相关的法律法规极为有限。在法律的层次上只有1997年《中华人民共和国刑法》和1999年《中华人民共和国合同法》对相关问题作了简单规定。例如,我国1997年修订的《刑法》中增加了关于计算机犯罪的条文,1999年通过的《合同法》对电子合同的书面形式、生效时间地点等作了规定。但是,这种规定太过简单,远远不能满足电子商务发展的需要。例如,对于电子认证的效力、虚假电子认证等重要的问题,我国法律还没有规定,这已经成为阻碍我国电子商务发展的重要问题。
因此,我国应大力加强电子商务法制化建设,制定专门的《电子商务法》,对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题进行专门规定,使之适应电子商务发展的需要。在刑法中,对电子商务领域的犯罪进行规定。从而在法律上,为电子商务提供一个良好的发展环境。
2. 建设我国的电子商务认证机构体系
电子商务认证机构是电子商务中的重要部门,其担负着维护电子交易安全的责任。因此,要完善我国的电子商务安全运营,必须建立我国的电子商务认证体系。
在目前存在的三种电子商务认证机构模式中,当事人自由约定的电子商务认证体系不适合我国的实际情况。我国电子商务刚刚发展起来,不完善的地方很多,很多普通的消费者对电子商务还不很了解,根本无法在自由约定时,提出对自己有利的条件。而且,在交易双方的力量对比悬殊的情况下,弱势一方很难通过谈判来取得公平的结果。再进一步说,这种模式的认证结果通用性很差,不适合我国刚起步的电子商务的发展。
近年来,我国的电子商务认证机构的发展很快。1999年3月19日,中国人民银行组织12家商业银行共建金融认证中心系统;1999年8月,我国首套拥有自主知识产权的电子商务安全认证系统通过了国家密码管理委员会和信息产业部组织的技术鉴定。但另一方面,我国的电子商务认证系统还远不成熟,仍有许多需要完善的地方。我们必须对此给予充分的重视,以便为电子商务的安全发展提供组织保障。
3. 大力推进电子签名等技术的发展,从技术上为电子商务提供安全保障
电子商务的产生、发展是科技发展的结果,其安全运营也要依靠技术给予的保障。因此,为加强电子商务的安全性,我们必须大力推进科技的发展,使技术满足电子商务的安全运营要求。在电子商务中广泛使用的电子签名,就涉及许多复杂的技术问题。为使电子签名具有与传统签名相同的法律效力,我们必须使电子签名具有像手写签名那样的独特性。这一问题的解决,需要技术发展才能实现。
目前,解决电子签名效力的途径主要有:
(1)修改法律或者进行法律解释,使签名涵盖电子签名。但对于何种电子签名才具有法律效力,立法要兼顾技术中立、开放与安全,使之适应技术发展的需要。
(2)电子商务的当事人在合同中约定电子签名方法及效力。
(3)依靠技术进步,这是最根本的方法。技术安全、成本低廉的电子签名方式是电子商务安全的有力保障。
摘要:电子商务是利用计算机网络开展的商务活动。近年来,随着电子技术的发展,“网上购物”、“电子钱包”等已渐成时尚,但安全问题始终是影响电子商务发展的关键因素。安全问题威胁着交易中每一方的利益,客户由此产生的疑虑会影响到交易的成败,甚至会影响电子商务的进一步的发展。
关键词:电子商务,安全,网上交易
参考文献
[1]张小兵.我国电子商务发展现状及存在问题与对策[J].商业研究,2004,(2).
[2]徐伟.电子商务网上支付的安全保障问题[D].合肥:合肥联合大学,2008,3.
[3]高媛,欧阳志明,石晓军.电子商务[M].北京:企业管理出版社,2005.
[4]包晓闻,张海堂.电子商务——21世纪世界商务发展的潮流[M].北京:经济科学出版社,2008.
[5]韩宝明.电子商务安全与支付[M].北京:人民邮电出版社,2009.
[6]闫心丽.浅析电子商务安全[J].内蒙古电大学刊,2005,(5).
关键词:新农村;电子商务;安全问题
一、前言
我国经济同发达国家相比还存在着很大的差距,随着我国经济的不断发展,城乡差距越来越显著,新农村电子商务的建设为突破农村经济发展瓶颈提供了新的思路和方法。
二、新农村电子商务的特点
新农村电子商务从我国农村的实际情况出发,以当前我国大力提倡的新农村建设为背景通过建立和完善农村电子商务基础设施将城市和农村的农产品市场有机的连接起来。同传统的农产品市场相比,新农村电子商务的特点是:
(一)新农村电子商务突破了传统农产品交易市场的时间和空间限制。电子商务是建立在发达的互联网技术上的,农民通过互联网将当地的农产品信息发布到商务平台上,全国甚至世界范围的人们都可以看到,无论任何地方的人,只要有农产品交易需求都可以及时的从网上得到农产品信息,新农村电子商务从根本上打破了传统农产品只能在有限的空间和时间内流通的壁垒。
(二)扩大了农产品交易的主体。新农村电子商务的参与主体为:传统的农产品生产者、超市、政府以及农资产品生产和销售者。这些人借助于新农村电子商务平台都能够增加一定的收益。新农村电子商务平台为人们提供了一个便捷、及时的同客户对话的环境,使得农产品生产和销售者能够有效的获得客户的个性化需求信息。
(三)新农村电子商务有效的提高了农产品的交易效率。利用双向交流信息匹配系统,农产品销售者和购买者能够更加高效的进行信息匹配。发达的电子商务系统为农产品生产厂家同客户的直接沟通交流提供了条件,避免了中间大量的销售环节,降低了农产品生产厂家的销售成本。
三、新农村电子商务建设存在的问题
(一)新农村电子商务安全问题。当前,我国新农村电子商务信息完全借助于互联网系统进行信息扩散,在商务信息扩散的过程中,传输数据非常容易遭到人为的干扰、控制、破坏和修改,此外,计算机病毒的肆虐也严峻的考验着新农村电子商务的安全性,当前新农村电子商务网络安全性主要体现在以下几个方面:
1、网络技术自身的安全性以及电子商务平台建设的安全性。电子商务平台建设有很多种备选方案,如果人们不能结合自己的实际需求进行正确的选择,那么电子商务平台的功能或许就不能满足人们的需要。近年来,新农村电子商务平台功能越来越丰富,与此同时,电子商务平台中的各种漏洞和风险也逐渐的增多。随着新农村电子商务市场的繁荣,一些不法分子也利用黑客技术屡屡犯罪。
2、管理问题。电子商务对计算机网络有极高的依赖性,如果网络管理人员操作不慎就有可能泄漏利用电子商务平台进行商业交流的客户或者工厂信息,为电子商务带来不小的安全隐患。
3、电子商务用户自身安全意识的缺乏。由于新农村电子商务平台的使用对象多是农民,而农民的科学文化素质往往较低,网络安全意识贫乏,所以新农村电子商务平台所面临的网络风险还是很大的。
4、信息不对称所带来的交易问题。由于通过电子商务平台,消费者只能通过照片和农产品经销商的描述来了解商品信息,所以交易双方存在着一定的信息不对称性。相关法律的缺失也为网络平台交易带来一定的安全风险。
(二)新农村农产品安全问题。随着我国经济的发展,人们开始关注自己的生活质量,近年来我国食品安全问题频发,农产品的质量直接影响到新农村电子商务的成败。近年来,我国政府加强了对农产品质量的监控,但是还未达到能够完全解决问题的程度。当前,我国农产品的安全问题主要体现在:1、农产品生产经营不统一。受到当前农村农产品生产方式的制约,标准化的农产品生产方式难以得到有效的落实,相关技术部门也不能做到对每一家农户的农产品农药和化肥使用量进行监控。2、农产品销售渠道单一,农业标准的不完善。当前,大部分农民对电子商务的运行过程还不了解,农产品销售渠道还是以传统的销售途径为主。尽管我国对农产品质量已经建立了一系列的标准体系,但是在实际运用中却面临着很多问题。3、农民对农产品质量重视程度不足。农民本身文化素质不高,获取高新技术和信息的渠道有限,导致许多农民对农产品的质量不够重视。4、我国农业生产监管部门对农产品的生产过程监管不足,缺乏有效的法律监管制度。
四、推进新农村电子商务平台建设的策略
(一)农村产品标准化管理。将农村各个地区的农产品质量要求统一起来,建立和完善农产品的物流市场体系,对于新农村物流电子商务来说,物流的跟进是十分必要的。根据各个乡镇的实际情况来进一步发展各个乡镇的农产品,派驻相关的农业专家对农民进行科学指导,在发展当地传统农产品的基础上积极引进新的特色农产品,打造专属于当地的农产品优良品牌。将各乡镇农产品信息采集统一起来,减轻各个乡镇信息共享的负担,根据农村实际情况设立相对应的农产品标准化仓库,根据不同农产品特性的不同进行分类管理。由于近年来人们推崇有机蔬菜,所以应当鼓励农民使用无公害技术,种植绿色蔬菜和水果,坚决不用农药和化肥。
(二)完善农产品安全监督制度。对每一种农产品都进行编码,当前发展起来的物联网技术,支持对每一个有问题的农产品进行追溯。为了建立完善的农产品安全监督制度,相关工作人员应当借鉴国外的先进技术,消除农民从事农产品生产的功利性,在保证农产品质量的前提下从促进农民增收,农业增产的角度出发引导农民使用更加科学合理的农产品种植技术,建立起一套完善的农产品安全监督制度,对违规生产的农民进行处罚。对农产品质量安全做的好的农民进行相应的奖励。利用物联网对农产品的生产、流通和出售环节进行有效监控,为农产品安全监督制度的落实提供便利条件。
(三)实施城乡结合双向电子市场模式。组织工作人员对农村电子商务市场进行调查,从少量的、单一的农产品进行网络推广,进而将取得的成功经验复制到其它农产品网络销售过程中。加快现代农业的信息化建设,使得农民能够根据市场的实际需求来合理安排各类农作物种植面积。对农村周边的城市市场进行调查,将城市和农村的双向需求有机的结合起来。
(四)完善新农村电子商务建设基础设施。电子商务基础设施是新农村开展电子商务的基础,也是新农村开展电子商务的必需品,因此,在新环境下,为了全面促进新农村电子商务的建设,必须从自身的实际情况出发,加强基础设施建设,不断提高电子商务基础设施的现代化水平,保证电子商务基础设施能正常、稳定的运行,从而为农村电子商务的顺利发展打下良好的基础。在新环境下,要合理的利用政府部分的资金,在深入了解当地农民农产品种植特点的基础上有针对性的加强新农村电子商务基础设施建设。由于电子商务是现代信息不断发展的产物,对人员的综合素质有一定的要求,因此,要加强新农村电子商务人才的管理,要结合新农村电子商务的特性,对人才进行科学的管理,并加强与周边城市高校的合作,吸纳高素质人才,从而为农村电子商务的顺利开展提供保障。
五、总结
文章对系农村电子商务的有点作了简单的介绍,指出新农村电子商务能够有效的拓宽农产品的销售市场,突破农产品交易市场的时间和空间限制。电子商务的安全问题是农村电子商务持续健康发展的基础,文章将电子商务的安全问题及其对策作了详细的介绍。(作者单位:乐山市井研县委党校)
参考文献:
[1] 安载学,高明,蔡红梅,田子玉,高峰.发达国家农产品追溯机制对我国的启示[J].现代农业,2012,(14):288-289.
【摘 要 题】信息法学
【关 键 词】电子商务/网络/信息安全/信息安全技术/数字认证/信息安全协议/信息安全对策
浅谈电子商务网站的安全问题及应对措施
浅析电子商务网站的安全问题及应对措施
[摘 要] 随着Internet的飞速发展,电子商务已经成了企业网络营销的主要手段,它的高效率为企业带来了巨大的方便,越来越多的企业投入巨大的人力、物力进行电子商务网站建设,运用电子商务网站与供应商或客户建立关系,以最快的速度相互沟通,从而提高企业在市场中的竞争力。而电子商务网站的安全是电子商务网站可靠运行并有效开展电子商务活动的基础和保证,安全问题不容忽视。本文分析了电子商务网站主要存在的一些安全问题,并从技术和管理的角度阐述了相应的应对措施。
[关键字]电子商务;网站;安全技术;安全管理
随着互联网的不断普及与发展,企业在互联网上建立自己的网站,不仅可以向世界展示自己的企业风采,使企业能够在公众知名度上有一定的提升,更能通过网站进行企业的内部管理和开展电子商务活动。因此,如何提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务网站建设与管理中的重要一环,值得重视。
二、电子商务网站的主要安全问题
(一)网站访问的安全问题
网站要实现其电子商务的功能,前提是具有可访问性。因此,网站的访问安全是要最先考虑的问题。互联网的开放性提供了企业一个良好的经营平台,但也给病毒提供了很好的传播平台。互联网上病毒无处不在,计算机病毒是具有破坏功能的可以自我复制的程序,它利用自身的隐蔽性和传播性,在互联网上横行肆意,悄无声息的窃取电子商务活动中的信息,或者是破坏系统或数据,造成网站瘫痪。
目前,任何电子商务网站本身和绝大多是的应用软件都是有漏洞的,漏洞是在硬件、软件、协议的具体实现、具体使用或系统安全策略上存在的缺陷,可以使攻击者能在未授权的情况下访问或破坏系统。漏洞已成为攻击网站的首选目标,使得企业会造成巨大的损失。
(二)交易数据信息的安全问题
在我国,电子商务交易中遭遇信用卡被盗用、信息资料丢失等现象时有发生。据不完全统计,有70%以上的企业和个人表示,出于安全考虑,目前暂不会在网上进行购物或交易。可以说,交易信息的安全问题是目前电子商务发展道路上最大阻碍。在面对面的贸易过程中,交易都是通过信件或其他可靠的通信渠道来发送商业报文,进而达到保守机密的目的。但是电子商务网站上,却很难保证这一点,主要原因来自网站外部和网站内部两方面的威胁。
1.来自网站外部的威胁。网络黑客、入侵者、计算机病毒在互联中的泛滥是危害电子 1 《网站建设与管理》课程论文
浅谈电子商务网站的安全问题及应对措施
商务网站安全的重要因素。而电子商务网站都建立自己的数据库来存储和管理各种重要的业务数据信息,如客户的银行账号、密码、用户名还有订单号等;还有商家的协议、合同、银行的指令和认证等,这使得用户交易信息的安全更加得不到保障。一旦攻击者窃取了电子商务网站的数据库,就可以获得他们想要的信息,甚至篡改、删除对网站至关重要的信息,破坏数据的准确性和完整性。
2.来自于网站内部用户的安全威胁。近年来,相比网站外部的威胁而言,网站内部的安全问题更为严峻。网站的员工疏忽或故意泄露信息,使得攻击者可以毫不费力的篡改、窃取网站用户的资料等内部机密;网站员工私自安装非法软件、游戏以及访问不安全的网站等导致网站被恶意入侵;网站员工对机密数据的非法操作。这些都能引发网站的严重安全危机。
(三)交易的安全问题
电子商务网站的交易过程,是借助于虚拟的网络平台来实现的。在这个平台上,交易双方不需要会面,因此交易双方的身份具有不确定性,在交易过程中,有可能出现交易抵赖、非同步交易等情况,直接破坏了电子商务网站交易的安全。
三、解决电子商务网站安全问题的应对措施
任何的安全应对措施都不能保证网站百分百的安全,但是企业树立自身的安全意识,充分利用各种安全技术,在攻击者和受保护对象间建立起多道安全防线可以降低网站的安全风险。因此解决电子商务网站的安全问题需从技术和管理两个方面入手,具体的应对措施有:
(一)安全技术方面
1.防火墙技术
防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙技术是目前电子商务网站安全防范技术中发展较为成熟的一种,对于已知的攻击模式有很好的防御作用,它为网站建立起一道安全屏障,强化了网络安全策略,加强了网络存取和访问的监控审计,有效的防止了内部信息外泄。
2.防病毒技术
计算机病毒是具有自我复制和传播能力的可以引起计算机和网络故障的程序。而计算机病毒的防范是建立网站安全的重要一环。常用的防病毒技术有:(1)反病毒扫描:通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其它能表示有某种病毒存在的代码段。(2)完整性检查:通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作并做些什么事情时才能起作用,而网站可能在完整性检查程序开始检测病毒之前已感染了病毒,潜伏的病毒也可以避开检查。(3)行为封锁:行为封锁的目的是防止病毒的破坏。这种技术试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。
3.漏洞扫描技术
《网站建设与管理》课程论文
浅谈电子商务网站的安全问题及应对措施
漏洞扫描技术最典型的网络漏洞扫描器。它是一个漏洞和风险评估工具,用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式:(1)外部扫描:通过远程检测目标主机TCP/IP 不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息,例如:是否能用匿名登录、是否有可写的FTP 目录、是否能用TELNET等。然后与漏洞扫描系统提供的漏洞库进行匹配,满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功,则可视为漏洞存在。(2)内部扫描:漏洞扫描器以root 身份登录目标主机,记录系统配置的各项主要参数,将之与安全配置标准库进行比较和匹配,凡不满足者即视为漏洞。
4.入侵检测技术
防火墙只是一种隔离控制技术,一旦入侵者进入了系统,他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。而入侵检测技术是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全技术。它是网站的第二道安全门。为了保护电子商务网站的安全,以防火墙为主的静态防护已经不能满足现在网站的需求,在防火墙之上加入入侵检测系统,可以增强网站安全。
5.安全认证技术
安全认证技术,可以确认交易方不是冒名,确认得到的信息是来自声称方,保证信息的完整和真实性未被人篡改。它对重要的信息采用密码技术进行加密,使它成为一种不可理解的密文。接收方收到密文后再对它进行解密,将密文还原成原来可理解的形式。目前,普遍采用的技术有:SSL安全协议、数字摘要、数字时间戳、数字证书等。
6.数据备份与恢复技术
任何的安全防御技术都不是百分百的安全,对于重要的数据要做到及时备份,这样才能在发生系统硬件故障、软件错误、人为失误、计算机病毒或自然灾害等破坏数据完整时起到数据的保护和恢复作用,将损失降到最低。
(二)管理措施方面
网站安全问题不仅是技术性问题,还是管理方面的问题。电子商务网站的安全无论采用多么高级的安全技术,网站安全问题仍时常会发生,因此还需加强电子商务网站安全管理。它包括网站员工的管理、设备管理、应急措施以及网站的日常维护和管理。保证员工不泄露密码或是将网站的机密随意发布,不访问非法网站,不轻易下载和安装程序,对员工进行业务培训,提高操作水平;对于网站的设备能做到防火、防盗、防磁、防水以及故障排除,并能实时的进行数据备份与恢复,保证电子商务网站的继续运行或紧急恢复。
四、结束语
计算机技术与网络技术的发展,使得电子商务不断进步,电子交易的手段更加多样化,安全问题就更加突出和重要。电子商务网站的安全是一个复杂的工程,不仅安全技术需要提高,还要加强网站安全管理,所以必须综合运用这些安全措施。随着我国对电子商务重视程度的加深,电子商务网站必将会逐步走上健康、安全、有保障的发展道路。
《网站建设与管理》课程论文
浅谈电子商务网站的安全问题及应对措施
参考文献:
[1] 陈兵,网络安全与电子商务[M],北京:北京大学出版社,2006。[2] 李大军,电子商务[M],北京:清华大学出版社,2002。
一、电子商务安全概述
电子商务的载体是互联网,但互联网的共享性、开放性和匿名性却给电子商务安全问题带来了极大的隐患,使得电子商务受到威胁、攻击的可能性大大增加。
(一)电子商务安全内涵
电子商务的安全主要是指用户方和提供产品服务方的安全,即双方信息都要保密,用户账号不能被第三方获知,提供产品或服务方的订货和付款信息等商业秘密也不能为竞争对手所知,并且商务活动一旦达成,相关信息未经双方协定,不可更改、不能否认。
(二)电子商务的安全需求
电子商务主要依托运作的环境是当前的国际互联网和未来的国际信息基础设施。网络是从事电子商务机构安身立命的工作环境,其安全需求也表现在以下几个方面:1.网站的安全维护。2.电子商务中安全支付。3.商业秘密的安全保护。4.电子商务中知识产权的保护。
二、电子商务中存在的`安全问题
(一)电子商务面临的网络系统安全问题
电子商务系统是依赖网络实现的商务系统,需要利用Internet基础设施和标准,所以构成电子商务安全框架的底层是网络服务层,它提供信息传送的载体和用户接入的手段,是各种电子商务应用系统的基础,为电子商务系统提供了基本、灵活的网络服务。电子商务网络系统安全问题包括以下几个方面:1.网络部件的不安全因素。2.软件不安全因素。3.工作人员的不安全因素。4.自然环境因素。
(二)电子商务面临的电子支付系统安全问题
众所周知,基于Internet平台的电子商务支付系统由于涉及到客户、商家、银行及认证部门等多方机构,以及它们之间可能的资金划拨,所以客户和商家在进行网上交易时必须充分考虑其系统的安全。目前网上支付中面临的主要安全问题有以下几方面:1.支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用。2.支付金额被更改。3.不能有效验证收款人的身份。
三、电子商务的安全要求
(一)交易者身份的可认证性
在传统的交易中,交易双方往往是面对面进行活动的,这样很容易确认对方的身份。即使开始不熟悉,不能确信对方,也可以通过对方的签名、印章、证书等一系列有形的身份凭证来鉴别身份。然而,在进行网上交易时,因为网上交易的双方可能素昧平生,相隔千里,并且在整个交易过程中都可能不见一面。要使交易成功,首先要能验证对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
(二)信息的机密性
由于电子商务是建立在一个开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。当交易双方通过Internet交换信息时,如果不采取适当的保密措施,就可能将通信内容泄密;另外,在网络上的文件信息如果不加密的话,也有可能被不法分子窃取。上述种种情况都有可能造成敏感商业信息的泄漏,导致商业上的巨大损失。因此,电子商务一个重要的安全需求就是信息的保密性。这意味着,一定要对敏感信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,以使商业机密信息难以被泄漏。
(三)信息的真实完整性
信息输入时的意外差错或欺诈行为、传输过程中信息的丢失、重复或传送次序差异都会导致贸易各方信息的不同。交易的文件是不可被修改的,应该保证接受方收到的信息确实是发送方发送的,中途没有被非法用户篡改过。电子交易文件必须做到不可修改,以保障交易的严肃和公正。
四、电子商务交易中的一些网络安全技术
针对以上问题现在广泛采用了身份识别技术、数据加密技术、数字签名技术和防火墙技术。
(一)身份识别技术
通过电子网络开展电子商务,身份识别问题是一个必须解决的问题。一方面,只有合法用户才可以使用网络资源,所以网络资源管理要求识别用户的身份;另一方面,传统的交易方式,交易双方可以面对面地谈判交涉,很容易识别对方的身份。通过电子网络交易方式,交易双方不见面,并且通过普通的电子传输信息很难确认对方的身份。因此,电子商务中的身份识别问题显得尤为突出。
(二)数据加密技术
加密技术是电子商务中采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用公开密钥体系(publickeyInfrastructur)技术实施构建完整的加密/签名体系,更有效地解决上述难题,在充分利用互联网实现资源共享的前提下从真正意义上确保了网上交易与信息传递的安全。
(三)智能化防火墙技术
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的问题、病毒传播问题和高级应用入侵问题,代表着防火墙的主流发展方向。
五、结束语
近年来随着计算机技术和网络通信技术的不断进步,特别是得益于互联网(Internet)的飞速发展,使得全球电子商务的发展呈现出持续高速增长的趋势。电子商务这种新的商务模式,从深层次上改变了全球的经济结构和环境。根据美国研究机构Forrester Research报告显示,全球电子商务交易额逐年攀升。截至2009年年底,全球电子商务交易额则达到161357亿美元,同比增长25%,2010年,全球电子商务交易额达到194697亿美元,同比增长20.7%。2009年,世界B2B电子商务交易额占电子商务总额的90%以上,B2C和C2C电子商务交易额共占到总交易额的10%以内。另据我国电子商务协会发布的报告称,2011年全球电子商务市场规模将达到40.6万亿美元。
我国的电子商务随着政策的大力支持和资金的不断投入,得到了迅猛的发展。中国电子商务研究中心最新数据显示,截止到2010年12月,中国电子商务市场交易额已逾4.5万亿,同比增长22%。其中,B2B电子商务交易额达到3.8万亿,同比增长15.8%,网上零售市场交易规模达5131亿元,同比增长97.3%,较2009年近翻一番,约占全年社会商品零售总额的3%。电子商务把互联网和零售业很好地融合起来,未来的发展前景十分广阔。据波士顿咨询集团的最新报告显示,中国电子商务市场规模到2015年有望达到2万亿元人民币(约合3150亿美元)。就在我们看到电子商务不断发展的背后,又不得不着重考虑挑战其安全性的诸多问题,尤其是电子商务的数据处于公共互联网之上,互联网固有的开放性和系统的安全漏洞及安全体系建设的滞后等不利因素也对其构成了严重的威胁。因此,信息安全和网络安全就成为电子商务大力发展的关键所在,也是必须考虑的核心问题。
2 电子商务的安全问题
从电子商务交易的计算机终端到服务器的整个数据链路上,时时刻刻都存在着各种安全威胁,主要表现在以下几个方面:
(1)用户终端的系统漏洞及计算机病毒等恶意程序的攻击
用户终端的计算机没有及时安装系统和软件的漏洞、补丁,就可能存在着极大的安全隐患,攻击者就可以利用这些已知和未知的缺陷发动攻击,加上木马、蠕虫等计算机病毒和恶意程序的攻击,以及用户缺乏计算机和网络安全知识,使得计算机终端用户的安全性处于最薄弱的环节。
(2)恶意破坏网络设备和服务器
攻击者对提供交易服务的服务器发动攻击,如DDOS攻击就很难防范,致使交易停止,长时间难以正常运行。或者利用服务器的漏洞和软件程序的缺陷进行攻击,获取服务器的口令,盗取用户的机密资料,使用户蒙受损失。
攻击者对整个电子交易数据的网络硬件和软件进行恶意非法攻击,导致服务中断、停止,使用户不能正常交易。
(3)网络数据在传输过程中被窃取
攻击者通过各种非正常手段(窃听、重放、流量分析等),在互联网上截获用户的机密信息,加以分析得到有用数据信息,导致用户产生不可估量的损失,也破坏了网络数据的保密安全性。
(4)恶意篡改合法用户的网络数据
攻击者截获到用户的有用信息以后,会对数据进行恶意篡改,恶意破坏信息数据的完整性。
(5)盗用合法用户身份进行非法交易
攻击者仿冒合法用户的身份后,与第三方进行正常交易,使合法用户产生损失。这种利用假冒身份认证的非法手段,直接导致电子商务的不可靠性。
(6)电子商务的法律和道德问题
用户一旦进行了交易后,就应该具有法律保障效应,即具不可否认性,但也存在着非法假冒和恶意否认身份的问题,缺乏诚信导致商业欺诈的行为。
3 电子商务交易的技术和安全性分析
3.1 电子商务中使用的关键安全技术
(1)数据加密
数据加密技术是电子商务领域所采用的关键安全技术,也是主要的安全防御技术。数据加密技术原理是采用加密(数学)算法对原始信息(明文)进行再整合,使得攻击者接收到加密数据(密文)以后变成无意义的内容,从而在整体数据传输链上,保证了数据的高保密性和完整性。完整的一条信息传递过程如图 1所示。
按照加密密钥和解密密钥是否相同,可将数据加密技术分为两种:对称加密和非对称加密。
对称加密
对称加密又称为专用密钥加密,就是双方协商使用相同的密钥(Key)来完成加密、解密过程,并且密钥是保密的。在这种加密算法中,所采用的加密算法等于解密算法,因此密钥的安全管理就显得特别重要,成为安全与否的核心因素。对称加密的特点是具有高保密性,加、解密速度快,效率高,因此适用于数据量比较大的加密操作。常见的对称加密算法主要有DES[1]、3DES、IDEA、RC4、RC5和Blowfish等。
对称加密主要有如下安全问题:
① 在网络中建立通道传输数据过程中,可能导致密钥泄露,让攻击者有机可趁。
② 电子商务交易存在着多个交易对,每确立一对交易对关系,就要维护一个专用密钥,给密钥的安全管理和维护带来极大的难度。
③ 难以对交易双方的身份进行准确识别,因此缺乏数字实名验证的可行性。
非对称加密
非对称加密又称为公开密钥加密。在这种加密算法中密钥被分成一对,即一把公钥和一把私钥,公钥不需要保密可以公开,私钥必须严格保密,且加密密钥和解密密钥并不相同。这种加密算法顺利地解决了密钥的管理和维护及数字实名验证的问题,安全性大大优于对称加密,是现在普遍采用的加密技术。非对称加密的特点是高安全性和保密性,密钥安全管理和维护量小,可以实现数字实名验证。问题是这种加密算法过于复杂,计算量太大,导致加、解密的速度不是很理想。普遍采用的非对称加密算法主要有RSA、EL Gamma、椭圆曲线加密算法等。
(2)数字签名
数字签名技术[2]是基于非对称加密技术而产生的,具有数字认证、身份核查的功能。数字签名技术具有以下的特点。
① 发送方事后不可抵赖发送的包含自己签名的报文。
② 接收方能对发送方签名的身份予以核查。
③ 接收方不能篡改发送方的报文。
④ 接收方不能伪造发送方的数字签名。
数字签名技术的实现过程为:发送方从报文文本中生成一个128位的散列值(或报文摘要),并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的[3]。
(3)数字证书
数字证书是由认证中心(CA,Certificate Authority)[4]签发的,用以确认用户身份信息并获取访问网络资源的权限。数字证书是现在电子商务交易普遍采用的技术之一,普遍遵守X.509国际通用标准,一般含有证书持有人的名称、公钥信息、数字签名、CA机构的名称、数字签名、证书的序列号和有效期、版本信息等。CA是发放和管理数字证书的第三方可信任机构,具有权威性。交易双方使用数字证书来进行商务活动。
(4)数字时间戳
数字时间戳[5]是系统自动生成的,用来确认电子商务交易发生的日期和时间,防止恶意篡改交易数据的一种有效的手段。它由专业的第三方认证机构形成,采用加密形式的文件。数字时间戳服务(DTS,Digital Time Stamp Service)是一种专门提供电子交易文件的日期和时间服务。具体过程为:需要数字时间戳的申请者向DTS发送请求(含加戳数据的散列值),DTS收到文件后从自己的时间源中获取一个时间值,把时间值加入到含数据散列值的文件中,并对数据文件进行加密(用时间的私钥进行数字签名),最后发送给申请者。
3.2 电子商务的安全层次结构
电子商务的安全层次结构如图2所示。各层次之间并非相互独立,而是由层次安全构成了电子商务的整体高安全性。
(1)电子商务的安全认证
在电子商务交易中,认证是交易安全中很重要的步骤,即实现对用户身份唯一性和数据报文完整性的双重认证。在公钥基础设施(PKI,Public Key Infrastructure)中,由CA验证申请者的身份及发放可证明申请者身份的数字证书,建立用户和商家的信任关系,并验证交易数据报文的完整性,从而安全完成电子商务交易。
(2)电子商务的安全协议
目前,典型的电子商务安全协议有SSL和SET[6]。安全套接层(SSL,Security Socket Layer)协议是美国网景公司开发,用于提供互联网安全通信服务的协议,使得传输的数据报文保密性更强。SSL协议存在着一些安全问题(客户和商家的资料安全性不高,缺乏可信任的第三方身份认证机构,证书不能自动及时更新等)。相对SSL来说,SET(Security Electronic Transaction,安全电子交易系统)更安全、更可靠、更可信。SET协议由Visa和MasterCard等公司联合开发的,在互联网上实现安全电子交易的国际标准和协议。SET协议解决了在公共互联网上信用卡支付的安全性问题,满足持卡人、商家、银行、认证机构等多方电子支付安全需求。
笔者重点分析了SET协议的安全性,SET协议的安全性有以下几点:
①数据报文和个人信息的保密性
由于电子交易的数据都在公共互联网上传输,所以SET协议对传输的数据进行了加密(如DES)处理,防止交易数据和个人信息被窃取或篡改,造成经济损失。
②数据报文的完整性
SET协议采用数字签名技术来确保数据报文的完整性。使用安全Hash(SHA-1)算法实现数字签名算法,SHA-1可将一个任意长度(最大264bits)的消息,生成一个160位的消息摘要。由此得知,发生消息摘要相同的概率相当低。
现在还采用双重签名技术来保护数据报文的真实性和完整性,用户一次签名同时生成两个数字签名消息, 达到双重签名的效果。一个双重签名是通过计算两个消息的消息摘要产生的,并将两个摘要连接在一起形成一个总摘要,并用用户的私钥加密摘要。每个消息的接收者取出自己的消息, 重新生成消息摘要来验证消息。
③采用数字信封技术保证数据不被窃取
为保证电子商务交易数据传输的高安全性,密钥应定期及时更换,SET协议使用数字信封技术来及时更换密钥。经常更换密钥的机制保证电子交易数据不会被窃取。
④持卡人和商家的相互身份验证
在SET协议中采用PKI体系,CA负责管理和发放证书。SET协议中,CA起着非常重要的作用,SET协议通过数字证书来鉴别交易双方的真实身份,并建立起可信任关系,为顺利完成电子交易打下基础。SET体系中用户拥有一对签名密钥(持卡人保管)和一对加密密钥(CA托管),它们都拥有自己的数字证书。
SET协议采用数据加密、数字签名、数字信封等安全技术,而且支持对交易双方的相互身份验证,从而能够保证网络交易数据的真实性、保密性、完整性、不可抵赖性。另外还对交易双方的私人信息进行保密,使得SET协议具有高安全性。
4 电子商务的安全对策研究
(1)加强网络安全建设,构建高安全的电子交易环境
在电子商务交易的整个过程中,都离不开网络安全,特别是内部网络的安全。采用防火墙隔离内、外网,构筑起安全的屏障;采用代理技术来形成缓冲,采用前置服务器来承担交易风险;采用访问控制技术来限制非法用户的访问,并设置不同用户的访问权限;采用VPN[7]、IPSEC体系等安全虚拟专用网络进行电子交易;采用EDI、电子支付和XML等相关技术提高安全性;采用入侵检测技术并通过安全策略来防范外网威胁;改进并完善网络拓扑结构和网络协议,提高抗攻击的能力。
(2)采用高安全加密算法和新安全体系结构
采用椭圆曲线、混合加密等高安全加密算法,发挥不同加密算法的长处,进一步提高数据在互联网上传输的安全性,保证交易数据报文和个人信息不被泄密。安全体系结构决定了电子商务交易的安全性,在现有的安全体系结构基础上进行改进和完善,或者设计新安全体系架构,能够应对电子交易的新安全威胁。
(3)加强安全制度管理,用法律手段来保障电子交易的安全
通过制订和实施安全管理制度,加强从业人员的安全防范和风险意识,避免不必要的经济损失。健全和完善电子商务交易的法律体系,目前各部、委、办颁布并实施了相应的法律法规,约束和规范电子交易的行为,构建起一个健康、安全的电子交易环境。
5 结束语
通过上面的分析,笔者意识到以下几点:
(1)电子商务交易安全架构是一个复杂的系统性工程,并非仅靠技术和协议的简单组合就能完成的,而是一个由技术系统(网络和通信技术、加密技术、认证技术和协议等)、法律法规体系、管理制度、从业人员的安全防范和风险意识等因素构成,所以必须站在整个系统安全的高度去思考和分析安全问题,全方位地构筑起电子交易的安全屏障,切实防范安全风险和威胁。
(2)通过对电子商务交易的层次化分析,使我们深入了解电子交易的安全性,所以我们在分析电子商务的安全问题时,应该把安全问题分层化处理,有针对性解决安全问题。
(3)电子商务安全新问题会不断出现,新安全技术体系也处于发展之中,这对矛盾关系永远没有尽头,处于长期对立的状态。特别是当前电子商务交易呈现繁荣景象,安全问题更值得深入探讨与研究。
参考文献
[1]Richard J.Spillman,Classical and Contemporary Cryptol-ogy[M].2005.
[2]方美琪.电子商务概论(第二版)[M].北京:清华大学出版社,2001.
[3]吕锋,周亮.电子商务安全系统框架研究[J].武汉理工大学学报,2004,26(2):26-30.
[4]向剑文等.电子商务的安全问题[J].计算机应用,2001,21(7):1-4.
[5]刘叶飞等.电子商务安全的探讨[J].中国安全科学学报,2006,16(2):109-113.
[6]杨雪雁等.电子商务概论[M].北京:北京大学出版社,2010.
关键词:电子政务;信息安全;网络安全
中图分类号: F01 文献标识码: A 文章编号: 1673-1069(2016)25-192-2
0 引言
关于电子政务的概念,目前有着不同的解释。从现阶段的发展状况看,电子政务可以解释为,政府通过利用现代的信息技术手段,更加便捷和迅速地提供自动化信息服务。[1]电子政务在计算机和网络的帮助下,突破了时间、空间和部门分隔的瓶颈,使得政府为社会提供全方位、高效率、高质量的服务成为现实。联合国经济社会理事会将电子政务定义为,政府通过信息通信技术手段的密集性和战略性应用组织公共管理的方式,旨在提供效率、增强政府的透明度、改善财政约束、改进公共政策的质量和决策的科学性,建立良好的政府之间、政府与社会、社区以及政府与公民之间的关系,提供公共服务的质量,赢得广泛的社会参与度。
目前的电子政务可以分为两类,一类是政府部门内部的电子政务,即政府部门在内部系统中利用网络信息技术来实现政务信息化、自动化办公,提高决策的效率和可靠性;一类是政府部门外部的电子政务,即政府部门通过互联网技术,加强与社会各界的信息沟通和资源共享,同时加强社会各界对于政府部门的监督,促进政务信息透明化。我国的互联网应用起步较晚,但发展速度快。然而网络技术是一把双刃剑,在带给政府办公方便的同时,也存在着病毒、黑客、泄密等问题。电子政务在运行过程中如果受到破坏和攻击,轻者会造成政务效率受损,影响正常政府办公,重者会导致电子政务系统瘫痪,重要信息和情报泄露,危害社会的稳定和人民的安全。当民众感觉到数据信息安全受到了威胁,政府将要付出代价,即安全问题会影响民众对政府的信心,引起恐慌,导致社会动荡。[6]如何在电子政务应用的过程中,处理和解决好电子政务的信息安全问题,是我国电子政务发展的一个重要目标。
1 电子政务信息安全问题
首先,我国的电子政务相关立法薄弱。
电子政务的安全问题最终是要保护好政府和国家的机密信息。我国电子政务发展至今,颁布了一些相关法律法规,如《中华人民共和国计算机信息系统安全保护条例》等,但这些法规立法层次较低,大部分是由国务院及其部委发布。我国有关电子政务的安全立法没有一个完整的体系,内容相互交叉重复,没有形成统一的标准,一旦出现信息安全问题,将出现无法进行统一管理的混乱局面,不利于信息安全的维护。
其次,我国电子政务存在管理不善的问题。
我国的电子政务系统主要是多个部门共同进行管理,相关的管理职能也被分割,部门之间容易产生矛盾,出现多头管理或者相互踢皮球的现象。从总体上看,国家在电子政务安全上缺乏一个具有最高权威的统一机构。从局部上看,电子政务系统自身管理混乱,人员和部门彼此间无法做到协调。有些政府部门对电子政务信息的安全管理没有形成系统的管理制度,对于信息的收集、处理、传递和储存各环节无法做到全程有效监控和维护,缺乏相应的应急管理预案。当前我国的电子政务管理建设缺乏系统性和全局性,电子文件、电子档案的管理尚未真正纳入国家电子政务发展规划之中。
再次,与电子政务有关的技术发展不足。
目前国内多数电子政务设备都是从国外引进,在使用过程难免会出现一些问题,如果完全依靠自主技术难以彻底解决。缺乏自主的研发和创新技术,必然使我国的电子政务信息安全处于被动地位。在引入外国设备的同时,必然留下一定的安全隐患,如果不能对这些设备进行有效的安全监测,就极有可能使重要的情报被一些别有用心的国家窃取。一些信息技术系统存在的漏洞,也容易成为黑客的攻击目标。网络技术的不足是造成信息安全的又一隐患。
最后,我国电子政务工作人员安全意识淡薄。
电子政务信息系统涉及的部门广泛、流程复杂、对技术的要求高,这就对电子政务系统的使用人员提出了更高要求。我国许多政府电子政务工作人员没有接受过系统的信息化政务教育培训,对于电子政务信息安全缺乏正确、科学的认识。根据国家计算机网络应急技术处理协调中心发布的《中国互联网网络安全报告》统计可以看出,中国大陆政府网站被篡改的数量在逐年增长。政府网站易被篡改的主要原因是网站整体安全性差,缺乏必要的经常性维护,某些政府网站被篡改后长期无人过问,还有些网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。
2 对策
首先,要加强相关法律法规建设。
加强相关法律法规的建设是最重要的基础,不但要完善相关法律法规的建设,还要确保法律法规的落实。在法律法规建设要从现实出发,从过去单纯的信息控制转变为信息发展服务,加强立法的主动性和前瞻性。要向国外先进的法律法规学习和借鉴,提高法律对信息社会的适应性。分析研究以往电子政务在信息安全方面出现的具体问题,有针对性地提出适当的法律议题。只有将法律的制定和标准的规范化相结合,才能使法律起到对信息安全更好地保障作用。
其次,改善以往的管理模式。
各地方政府和相关部门的安全机构,应当由国家电子政务的统一部门进行管理,从全局和整体出发,加强信息安全方面的防护,切实做好电子政务信息安全保密管理工作。电子政务的相关部门应正确界定内网与外网的区分,将信息资源的保密和公共合理分类,确保资源信息透明的同时,重要的机密信息不被泄露。要注意加强事前预警。在发生信息安全事故的最短时间内,回复网络运行和服务的正常,防止重要信息被窃取,最大程度降低安全事件的损害程度。
再次,加强网络人员的培训和教育。
许多的电子政务安全事故,并不是由于技术和设备方面的问题,而是由政府内部人员的不当操作或故意行为导致的。政府部门从事与电子政务相关的人员主要分为两类,一类是专门的电子政务安全管理人员,一类是普通的政府机关公务人员,所以要进行区分对待。对于专门的信息安全管理人员,要坚持人才的开发和培养,提高我国电子政务安全管理人员的综合素质和整体水平。对于普通的政府部门公务人员,要让他们树立信息安全保护的意识,通过学习和知识讲座,让他们了解电子政务安全的相关知识,明确安全的重要性。
最后,开发先进技术的网络技术。
我国在网络技术上落后于发达国家,在一定程度上制约了电子政务信息安全的保障。应该在保护自身机密安全的前提下,通过学习和借鉴别国的先进技术,发展自主研究,提高自身的网络科学技术,从而为信息安全的维护起到坚实的保障。应当建立起构建国家级病毒防护安全平台,目前我国初步建成了以国家计算机病毒应急处理中心为基础的病毒防护机构,但这些机构在对病毒的防护上只是提供预警、通告等形式,很少能够提供较为具体和实际的安全防护和病毒处理策略。建立国家基础网络病毒防护平台,可以为电子政务部门提供较为基础的病毒防护措施和安全预警机制,也可以对各部门的电子政务系统的病毒防护进行指导和支持。
参 考 文 献
[1] 孟薇.电子政务信息安全研究[D].天津大学,2007.
[2] 鲍捷.电子政务信息安全及防范体系研究[D].华中师范大学,2014.
[3] 阿尔温·托尔勒.权力的转移[M].北京:中信出版社,2006.
[4] 丁丽.电子政务信息安全保密管理研究[D].山东师范大学,2014.
[5] 陈兵,等.电子政务安全概述[J].电子政务.2005(17).
[6] 张晓原.中外电子政务信息安全管理对6比研究[D].西南交通大学,2008.
【电子商务安全问题研究】推荐阅读:
我国电子商务税收立法问题研究12-17
电子商务交易安全问题09-27
电子商务安全问题典型案例11-02
网络环境下,电子商务安全策略的研究07-23
电子商务研究09-28
电子商务诚信问题探讨07-18
电子商务合同法律问题06-24
电子商务应用研究论文12-01
电子商务可行性研究报告11-21
电子商务可行性研究报告I11-21
