??? 2.電子商務安全協議技術。電子商務安全協議主要有:安全套接層協議SSL和安全電子交易SET協議���。此外�����,還有PCT(專用通信技術)����,它只是對SSL進行少量的改進。SSL協議是向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別�、數據完整性及信息機密性等的安全措施。它包括“SSL 記錄協議”和“ SSL 握手協議”�����。該協議通過在應用程序進行數據交換前交換SSL初始握手信息來實現有關安全特性的審查���。在SSL握手信息中采用了DES�、MDS等加密技術來實現機密性和數據完整性���,并采用X.509的數字證書實現鑒別�。SSL協議已成為事實上的工業(yè)標準而被廣泛應用�。通常還采用“SSL+表單簽名”的模式使得SSL在電子商務的應用中確保信息的真實性、完整性和保密性的基礎上進一步提高電子商務的安全保障���。
??? SET協議是Mastercard公司和Visa公司聯合開發(fā)的一種應用于因特網環(huán)境下,以信用卡為基礎的安全電子支付協議�。它可以對交易各方進行認證,可防止商家欺詐,進行安全交易,它給出了一套電子交易的過程規(guī)范而成為目前公認的信用卡的網上交易的國際標準����。
??? 3.構建電子商務安全控制的框架和制訂電子商務標準及法律法規(guī)���。通過安全的控制和電子商務標準的推行,有利于解決電子商務的安全性和可靠性問題����。
??? 電子商務給企業(yè)�、消費者和社會所帶來的收益是不可估量的�����。特別是電子商務以其高效���、低成本的優(yōu)勢���,必將成為新興的商業(yè)運作模式,推動著全球經濟的快速發(fā)展�����。而商務信息的安全問題始終是電子商務的核心,是阻礙電子商務廣泛應用的最大問題。電子商務的安全問題是能夠通過綜合運用各類電子商務安全技術����,并不斷改進和完善,加之建立健全電子商務的安全機制和相應的法律法規(guī)���,推行電子商務的國際化標準而得以解決�����。
??? 1.1計算機網絡的安全
??? 1.1.1安全協議問題����。目前安全協議還沒有全球性的標準和規(guī)范����,相對制約了國際性的商務活動�。此外�,在安全管理方面還存在很大隱患����,普遍難以抵御黑客的攻擊。
??? 1.1.2信息的安全問題�����。非法用戶在網絡的傳輸上���,通過不正當手段����,非法攔截會話數據獲得合法用戶的有效信息����,最終導致合法用戶的一些核心業(yè)務數據泄密���;或者是非法用戶對截獲的網絡數據進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性���,導致合法用戶無法正常交易;還有一些非法用戶利用截獲的網絡數據包再次發(fā)送�����,惡意攻擊對方的網絡硬件和軟件�����。
??? 1.1.3防病毒問題�。
??? 1.病毒����。病毒是由一些不正直的程序員所編寫的計算機程序���,它采用了獨特的設計,可以在受到某個事件觸發(fā)時,復制自身���,并感染計算機����。如果在病毒可以通過某個外界來源進入網絡時(大多數是通過某個受到感染的磁盤或者某個從互聯網上下載的文件)�,網絡才會感染病毒。當網絡上的一臺計算機被感染時,網絡上的其他計算機就非常有可能感染到這種病毒����。2.特洛伊木馬程序。特洛伊木馬程序���,是破壞性代碼的傳輸工具。特洛伊表面上看起來是無害的或者有用的軟件程序,例如計算機游戲,但是它們實際上是偽裝的敵人。特洛伊可以刪除數據�,將自身的副本發(fā)送給電子郵件地址簿中的收件人���,以及開啟計算機進行其他攻擊����。只有通過磁盤�����,從互聯網上下載文件����,或者打開某個電子郵件附件���,將特洛伊木馬程序復制到一個系統(tǒng)�����,才可能感染特洛伊。無論是特洛伊還是病毒并不能通過電子郵件本身傳播它們只可能通過電子郵件附件傳播�。3.惡意破壞程序�。網站會提供一些軟件應用(例如ActiveX和Java Applet)的開發(fā)而變得更加活潑。這些應用可以實現動畫和其他一些特殊效果�����,從而使網站更具有吸引力和互動性����。但是����,由于這些應用非常便于下載和運行,從而提供了一種造成損害的新工具。惡意破壞程序是-
??? <優(yōu)麥電子商務論文>指會導致不同程度破壞的軟件應用或者Java小程序。一個惡意破壞程序可能只會損壞一個文件�,也可能損壞大部分計算機系統(tǒng)。4.攻擊�����。目前已經出現了各種類型的網絡攻擊���,它們通常被分為三類:探測式攻擊,訪問攻擊和拒絕服務(DoS)攻擊。(1)探測式攻擊實際上是信息采集活動�,黑客們通過這種攻擊搜集網絡數據����,用于以后進一步攻擊網。(2)訪問攻擊用于發(fā)現身份認證服務�、文件傳輸協議(FTP)功能等網絡領域的漏洞,以訪問電子郵件賬號、數據庫和其他保密信息�。(3)DoS攻擊可以防止用戶對于部分或者全部計算機系統(tǒng)的訪問。它們的實現方法通常是:向某個連接到企業(yè)網絡或者互聯網的設備發(fā)送大量的雜亂的或者無法控制的數據,從而讓正常的訪問無法到達該主機。更惡毒的是分布式拒絕服務攻擊(DDoS)����,在這種攻擊中攻擊者將會危及到多個設備或者主機的安全���。5.數據阻截。通過任何類型的網絡進行數據傳輸都可能會被未經授權的一方截取����。犯罪分子可能會竊聽通信信息,甚至更改被傳輸的數據分組�����。犯罪分子可以利用不同的方法來阻截數據����。6.社會活動����。社會活動是一種越來越流行的通過非技術手段獲取保密的網絡安全信息的手段。7.垃圾信件。垃圾信件被廣泛用于表示那些主動發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經申請的廣告信息的行為�。垃圾信件通常是無害的�����,但是它可能會浪費接收者的時間和存儲空間�,帶來很多麻煩。
??? 電腦病毒問世十幾年來�����,各種新型病毒及其變種迅速增加�,互聯網的出現又為病毒的傳播提供了最好的媒介�����,不少新病毒直接以網絡作為自己的傳播途徑�,還有眾多病毒借助于網絡傳播得更快���,動輒造成數百億美元的經濟損失�。
??? 1.1.4服務器的安全問題。電子商務服務器是電子商務的核心�����,安裝了大量的與電子商務有關的軟件和商家信息,并且服務器上的數據庫里有企業(yè)的一些敏感數據�����,如價格、成本等,所以服務器特別容易受到安全的威脅�����,并且一旦出現安全問題����,造成的后果也是非常嚴重的。目前為止服務器的安全問題尚無有效措施予以阻止。主要表現在:非法用戶向網絡或主機發(fā)送大量非法或無效的請求���,使其消耗可用資源卻無法繼續(xù)提供正常的網絡服務�;利用操作系統(tǒng)、軟件����、網絡協議�����、網絡服務等的安全漏洞�����,通過網站發(fā)送特制的數據請求,使網絡應用服務器崩潰而停止服務�����。
??? 1.2商務交易的安全
??? 1.2.1身份的不確定問題�。由于電子商務的實現需要借助于虛擬的網絡平臺����,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性�����。攻擊者可以通過非法的手段盜竊合法用戶的身份信息�,仿冒合法用戶的身份與他人進行交易�����,從而獲得非法收入。
??? 1.2.2交易的抵賴問題����。電子商務的交易應該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任�����。
??? 1.2.3交易的修改問題�����。交易文件是不可修改的�,否則必然會影響到另一方的商業(yè)利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
??? 1.3其它方面的安全
??? 電子商務安全威脅種類繁多�、來自各種可能的潛在方面�����,有蓄意而為的,也有無意造成的�����,例如電子交易衍生了一系列法律問題:網絡交易糾紛的仲裁、網絡交易契約等問題�����,急需為電子商務提供法律保障�。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導致泄露信息等均可構成不同程度后果的威脅�。
??? 2保障電子商務信息安全技術性措施?
??? 2.2身份驗證技術
??? 2.2.1認證系統(tǒng)�����。網上安全交易的基礎是數字證書�����。數字證書類似于現實生活中的身份證����,用于在網絡上鑒別個人或組織的真實身份。數字證書的頒發(fā)機構叫做Certificate Authority�����,通常簡稱為CA�����。要建立安全的電子商務系統(tǒng)�����,首先必須建立一個穩(wěn)固���、健全的CA,否則���,一切網上的交易都沒有安全保障�。傳統(tǒng)的對稱密鑰算法具有加密強度高���、運算速度快的優(yōu)點�����,但密鑰的傳遞與管理問題限制了它的應用�。為解決此問題���,20世紀70年代密碼界出現了公開密鑰算法,該算法使用一對密鑰即一個私鑰和一個公鑰�����,其對應關系是唯一的�����,公鑰對外公開�����,私鑰個人秘密保存����。一般用公鑰來進行加密,用私鑰來進行簽名;同時私鑰用來解密,公鑰用來驗證簽名���。算法的加密強度主要取決于選定的密鑰長度���。其中RSA(Rivets Shamir Adelman)算法是公開密鑰算法中研究最為深入,使用最為廣泛的算法,為大多數國家(地區(qū))的官方或非官方所采用。
??? 整個認證系統(tǒng)是一個大的網絡環(huán)境�,系統(tǒng)從功能上基本可以劃分為CA�、RA(證書的登記機構,Register Authority)和WP(證書的分頁系統(tǒng)�,Web Publisher)�����。
??? 2.2.2SSL協議����。SSL協議(Secure Socket Layer,安全套接層)是由網景(Netscape)公司推出的一種安全通信協議���,該協議主要目的是解決TCP/IP 協議不能確認用戶身份的問題���,在Socket上使用非對稱的加密技術����,以保證網絡通信服務的安全性。SSL協議包括兩個子協議:SSL記錄協議和SSL握手協議。SSL記錄協議是建立在可靠的傳輸協議(例如:TCP)上,用來封裝高層的協議����。SSL握手協議準許服務器端與客戶端在開始傳輸數據前�����,能夠通過特定的加密算法相互鑒別。
??? SSL協議易于實現。它獨立于應用層協議,可以完成所需的安全交易操作�,主要是使用公開密鑰體制和X.509 數字證書保護信息的機密性和完整性,但它不能保證信息的不可抵賴性�。中國目前多家銀行均采用SSL協議�����,從實際使用的情況來看,SSL協議還是最值得信賴的協議。但是由于SSL協議當初并不是為支持電子商務而設計的�,所以在電子商務系統(tǒng)的應用中還存在很多弊端�����,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網站、銀行三家協作完成����,SSL協議并不能協調各方間的安全傳輸和信任關系。
??? 2.2.3SET協議。SET(Secure Electronic Transaction)安全電子交易協議是由美國Visa和MasterCard兩大信用卡組織提出的應用于 Internet上的以信用卡為基礎的電子支付系統(tǒng)協議�。它采用公鑰密碼體制和X.509數字證書標準,主要應用于B to C模式中保障支付信息的安全性�。
??? SET協議提供對消費者、商戶和銀行的認證�����,協議本身比較復雜�����,設計比較嚴格�,安全性高,確保電子交易的機密性�����、數據完整性、身份的合法性和抗否認性�,特別是保證了不會將持卡人的信用卡號泄露給商戶�。其核心技術主要有公開密匙加密、電子數字簽名����、電子信封、電子安全證書等���。
??? SET協議自誕生以來�,通過大量的現場試驗和應用�,取得了業(yè)界普遍的支持,目前已經呈現出良好的發(fā)展勢頭���。盡管SET協議存在一些缺點���,但是它體現出了進行電子交易最基本的原則���,因此在不斷完善的過程中會逐步擴大其應用范圍。它的交易規(guī)范成為了未來電子商務發(fā)展的方向���。
??? 2.3其它安全技術
??? 防火墻技術:防火墻主要是用來隔離內部網和外部網����,對內部網的應用系統(tǒng)加以保護�����。目前的防火墻分為兩大類:一類是簡單的包過濾技術�����,它是在網絡層對數據包實施有選擇的通過����。依據系統(tǒng)內事先設定的過濾邏輯,檢查數據流中每個數據包后�����,根據數據包的源地址����、目的地址�、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數據包通過����。另一類是應用網管和代理服務器,可針對特別的網絡應用服務協議及數據過濾協議����,并且能夠對數據包分析并形成相關的報告����。
??? 數字簽名:數字簽名是公開密鑰加密技術的另一種應用,報文的發(fā)送方從報文文本中生成一個128位的散列值���,發(fā)送方用自己的私有密鑰對這個散列值進行加密來形成發(fā)送方的數字簽名����,通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性���。
??? 3保障電子商務信息安全的環(huán)境性措施
??? 目前����,基于Internet 的電子商務應用才初見端倪,許多內外部環(huán)境還不夠完善�,相應的法律、法規(guī)�,相關的標準還都沒有建立,跨部門�、跨地區(qū)的協調存在較大問題?��;谏鲜龇治鼍椭袊娮由虅盏陌l(fā)展提幾點建設性意見���。
??? 3.1構造中國電子商務體系
??? 積極參與國際合作,融合國際電子商務框架���,構造適合中國國情的電子商務體系�。作為一個主權國家�,為了維護國家的利益和經濟安全,在電子商務相關技術方面一定要注重自主知識產權技術的開發(fā)�����,不能全部依賴進口�����。因此,必須大力支持對電子商務技術的研究開發(fā)工作����。
??? 3.2加強法律法規(guī)建設
??? 政府部門應盡快組織力量,結合電子商務的客觀需要����,對現有的與電子商務相關的法律法規(guī),如:《刑法》�、《合同法》、《著作權法》等進行修改���。在這些法律中,可以適當增加對網絡犯罪處罰的條款�,增加對網絡作品著作權保護的條款;對電子商務發(fā)展中亟需解決的有關問題���,如:在電子支付�����、稅收管理���、安全認證�����、網絡與信息安全���、知識產權保護、消費者權益保護等可由相關主管部門先制定部門規(guī)章�,必要時,由國務院發(fā)布行政法規(guī)����,待條件成熟時,再按程序上升為法律�。
??? 3.3加快網絡基礎設施建設,推動企業(yè)信息化進程
??? 信息基礎設施是電子商務發(fā)展的物質基礎和載體����。發(fā)展信息基礎設施需要政府和業(yè)界的共同努力,尤其是政府的大力投資和宏觀調控����。
??? 3.4普及計算機網絡知識和電子商務常識,提高全民族電子商務意識
??? 普及信息技術的教育���,培養(yǎng)信息技術人才�。增強企業(yè)和公眾對電子商務的信心。
??? 3.5加快銀行�����、稅務以及郵政等物流環(huán)節(jié)的信息化建設
??? 建立企業(yè)到企業(yè)(B to B)�、企業(yè)到客戶(B to C)的商務溝通,實現網上資金流動�,解決目前有形商品交易環(huán)節(jié)中的流通困難。
??? 計算機網絡之所以存在著脆弱性����,主要是由于技術本身存在著安全弱點、系統(tǒng)的安全性差���、缺乏安全性實踐等����。此外���,信息安全處在初期發(fā)展階段,缺少網絡環(huán)境下用于產品評價的安全性準則和評價工具�����。系統(tǒng)管理人員的安全意識和安全管理培訓等也相對缺乏。在系統(tǒng)安全受到威脅時�,缺少應有的完整的安全管理方法、步驟和安全對策�,如事故通報、風險評估���、改正安全缺陷�����、評估損失�����、相應的補救恢復措施等�����。
??? 根據攻擊能力的組織結構程度和使用的手段�����,可以將威脅歸納為四種基本類型:無組織結構的內部和外部威脅與有組織結構的內部和外部威脅�����。一般來講���,對外部威脅�,安全性強調防御����;對內部威脅,安全性強調威懾�����。
??? 參考文獻:
??? [1]Steve Burnett�,Stephen Paine.密碼工程(美).清華大學出版社,2001~10
??? [2]Christopher M. King.安全體系結構的設計�����、部署與操作(美).清華大學出版社�,2003~04
??? ? [3](美)埃弗雷姆.特白思戴維.金,杰李等著王理平張曉峰譯:電子商務 管理新視角(第2版)[M].電子工業(yè)出版社,2005年9月
??? [4]楊堅爭著:電子商務基礎與應用(第五版)[M].西安電子科技大學出版社,2007年7月
??????? [5] 周均. 電子商務信息安全的政策法律研究[J]. 科技文獻信息管理����,2004(4):57.
??? [6] 楊穎. 電子商務安全問題分析[J]. 中國科技信息,2005(20):53.
??? [7] 成漢健. 電子商務安全問題分析[J]. 商場現代化,2005(1):65.
??? [8] 張賢. 電子商務安全問題[J]. 中國科技信息�����,2006(3):14.
????????????? -
?
