內(nèi)容摘要:電子商務是指通過電子化的手段進行的商務活動,主要通過信息流、資金流、物流這“三流”來實現(xiàn)。安全是電子商務面臨的一大問題。目前,電子商務在我國還處于起步、發(fā)展階段,在這一階段中,面對安全問題的挑戰(zhàn)是不可避免的。由此也出現(xiàn)了很多的防范手段。
一、 信息流
由于Internet具有開放性、共享性的特點,致使電子商務面臨信息流面臨極大的風險。電子商務信息流的安全標志包括信息的保密性、交易各方的身份認證、信息的完整性、交易內(nèi)容的不可否認性、信息系統(tǒng)的可用性、信息的訪問控制等,涵蓋網(wǎng)絡系統(tǒng)安全、信息傳遞過程中的安全、信息儲存的完全等諸多方面。涉及計算機系統(tǒng)和通信網(wǎng)絡軟硬件技術、加密技術、數(shù)字認證技術、生物測定學技術等專業(yè)知識。
1. 電子商務信息流面對的安全威脅
電子商務信息流面臨的主要風險挑戰(zhàn)主要來自于計算機病毒、蠕蟲病毒、黑客攻擊、特洛伊木馬以及管理上的漏洞。
2. 電子商務信息流安全問題的防范技術
1) 加密技術
加密技術由來已久,發(fā)展至今,已產(chǎn)生多種加密技術。其主要有傳統(tǒng)的密碼技術、對稱加密算法、非對稱加密算法等。其中對稱加密算法的代表是DES 算法,其具有加密速度快的特點,但是安全確認比較困難;而非對稱加密算法的代表則是RSA ,其具有安全確認容易的特點,但是加密速度卻慢于DES?,F(xiàn)在通常的做法是DES和RSA的結(jié)合,既實現(xiàn)了高效加密,又實現(xiàn)了可靠傳遞。兩種算法的互補結(jié)合得天衣無縫。
2) 數(shù)字簽名和數(shù)字證書
所謂的數(shù)字簽名就是信息發(fā)送者先給自己將要發(fā)送的正文內(nèi)容做一個數(shù)字摘要,然后用自己的私鑰給這個數(shù)字摘要加密,這個加密以后的數(shù)字摘要就是數(shù)字簽名。通常還要加上時間標記(稱作數(shù)字時間戳),一般由第三方公正機構(gòu)生成。通過電子簽名和數(shù)字證書來確認互聯(lián)網(wǎng)上信息的真實性是一個方便快捷的手段。
3) 安全套階層協(xié)議協(xié)議(SST)
安全套階層協(xié)議是位于傳輸層協(xié)議和應用層協(xié)議之間的對話層。為上層應用提供數(shù)據(jù)安全傳輸保護。其優(yōu)勢是它獨立于應用層協(xié)議,與上層協(xié)議無關。實現(xiàn)通信的保密性和身份認證。這一技術在資金流的安全技術方面還會具體介紹。
4) 安全超文本傳輸協(xié)議(S-HTTP)。
安全超文本傳輸協(xié)議主要依靠密鑰的加密以此保證Web站點間的交換信息傳輸?shù)陌踩?。SHTTP對HT-TP的安全性進行了補充,對報文的安全性有所加強,這一技術基于SSL技術。這一協(xié)議為互聯(lián)網(wǎng)應用提供了完整性、可鑒別性、不可抵賴性以及機密性等安全措施。
5) 安全交易技術協(xié)議(STT)
安全交易技術(STT)協(xié)議通過將認證與解密在瀏覽器中分離開這一途徑,來提高安全控制的能力。
6) 生物測定學技術
生物測定學技術是一種傳統(tǒng)而又新穎的安全技術,其發(fā)展經(jīng)過了一段時間,但是隨著科技的進步,其測定方式也在不斷地創(chuàng)新和進步?,F(xiàn)階段,這一技術主要有5種測定方式。分別是指紋識別、視網(wǎng)膜識別、虹膜識別、面部特征識別、語音識別。
二、 資金流
電子商務是一種商務活動的形式,其必定會涉及到資金的收支。而商務活動最根本的目的就是賺取利潤。電子商務作為一種較為特殊的商務活動,其資金流的安全性相對于其他的商務活動形式來說存在相對較高的風險。電子商務的付款方式多種多樣,有貨到付款、銀行轉(zhuǎn)賬、電子支付等途徑。其安全性包括六大層面:隱私性、機密性、身份識別性、完整性、不可否認性、可取得性。以下介紹主要以電子支付為主。
1. 電子商務資金流面臨的安全威脅
電子商務的資金流主要以電子支付為主,其風險也在電子商務的支付方式中是最高的。電子支付主要分為:電子貨幣、銀行卡電子支付系統(tǒng)、電子現(xiàn)金和電子錢包、電子支票、智能卡、電子商務資金流面臨的主要風險大體上與信息流相同。主以病毒、特洛伊木馬、黑客攻擊為主。
2. 電子商務信息流安全問題的防范技術
1) 安全套接層協(xié)議
安全套接層協(xié)議(SSL)的主要作用是提高應用程序之間的數(shù)據(jù)的安全系數(shù)。它主要提供三方面的服務:
(一) 保證用戶和服務器的合法性
表現(xiàn)為:用戶與服務器之間能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務器上??蛻魴C與服務器一樣,都有各自不同的識別號,這一編號由公開密鑰編排。安全套接層協(xié)議要求在握手交換數(shù)據(jù)中作數(shù)字認證,以此來驗證用戶,確保用戶的合法性。
(二) 加密數(shù)據(jù)以隱藏被傳遞的數(shù)據(jù)。
安全套接層協(xié)議采用的加密技術有對稱密鑰,也有公開密鑰。在客戶機和服務器進行交換數(shù)據(jù)之前,先交換SSL初始握手信息。SSL握手信息中包含各種加密技術,以此來保證其機密性與數(shù)據(jù)的完整性。
(三) 維護數(shù)據(jù)的完整性
安全套接層協(xié)議采用Hash函數(shù) 和機密共享的方法來提供完整的信息服務,建立客戶機與服務器之間的安全通道,使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務能全部準確無誤地到達目的地。
2) 安全電子交易協(xié)議
SET(安全電子交易)是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,包括保證致富信息的加密和傳輸,支付信息的完整性檢驗、商戶及持卡人的身份驗證等功能。這一協(xié)議的技術規(guī)范包括:加密算法的應用,證書信息與對象格式,購買信息和對格式,認可信息與對象格式。
(一) SET安全協(xié)議的主要對象:
(1) 消費者
消費者通過計算機與商家交流,并由發(fā)卡機構(gòu)頒發(fā)的付款卡進行結(jié)算。
(2) 發(fā)卡機構(gòu)
向顧客發(fā)行信用卡的金融機構(gòu)
(3) 商家
提供商品或服務,具備信用卡支付的條件。
(4) 收款銀行
在線交易的商家開立賬戶的銀行,對持卡人和商家身份進行認證,處理交易金額的支付與轉(zhuǎn)賬。
(5) 支付網(wǎng)關
將Internet上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機構(gòu)內(nèi)部網(wǎng)絡數(shù)據(jù)的備份,處理商家支付信息和顧客的支付指令。
(6) 認證中心
為發(fā)卡機構(gòu)、持卡人、商家和支付網(wǎng)關簽發(fā)數(shù)字證書,并提供在線認證服務。
(二) SET協(xié)議要達到五個目標:
(一) 確保參與者信息的獨立;
(二) 確保信息在互聯(lián)網(wǎng)上的傳輸安全,防止數(shù)據(jù)被黑客等人竊??;
(三) 解決多方認證問題;
(四) 確保網(wǎng)上交易的實時性,所有的支付過程都在線進行;
(五) 效仿BDZ貿(mào)易的形式,規(guī)范協(xié)議和消息格式,促使不同廠家開發(fā)的軟件相互兼容、交互操作,并且可以在不同的硬件和操作系統(tǒng)上運行。
三、 物流
物流環(huán)節(jié)是電子商務中,將其商務活動從虛擬轉(zhuǎn)為現(xiàn)實的一個環(huán)節(jié)。在這一環(huán)節(jié)中,一樣存在著諸多的風險,需要去控制。
一、 電子商務物流面對的安全威脅
電子商務物流的安全威脅主要來自物理層,網(wǎng)絡層及管理層這三個方面。
1. 物理層安全風險主要包括
1) 設備被盜,被毀壞。
2) 鏈路老化或被有意或者無意的破壞。
3) 因電磁輻射造成信息泄露。
4) 地震、火災、水災等自然災害。
2. 網(wǎng)絡層安全風險主要包括
1) 數(shù)據(jù)傳輸風險
2) 網(wǎng)絡邊界風險
3) 網(wǎng)絡設備風險
4) 網(wǎng)絡服務風險
3. 管理層安全風險
責權(quán)不明,管理混亂,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
二、 電子商務物流安全問題的防范技術
1. GPS技術
GPS是全球衛(wèi)星定位系統(tǒng),其在物流領域中得到運用后,其精度高,覆蓋面廣、定位速度快、成本低、抗干擾能力強、等特點為物流過程中的風險規(guī)避起到了很好的效果和作用。
2. RFID 技術
1) RFID作為物品傳遞自身信息的途徑,是一種高級的非接觸式識別技術。其優(yōu)勢是:
2) 遠距離自動識別,避免人工干預,特別是在惡劣的環(huán)境條件下
3) 對于靜止及運動的物品均可識別
4) 具有同時識別多個標簽的能力
這一技術在物流、物聯(lián)網(wǎng)中的應用在控制物流過程中起到了極大的作用,為物流在分類、運輸、送達等環(huán)節(jié)的準確和安全提供了極大的保障
參考文獻
1.蔣文杰,《電子商務實務教程—理論與實務》,浙江大學出版社,2011
2.方修豐,《基于網(wǎng)絡計算機技術的電子商務信息安全》,《中國商貿(mào)》,2009年21期
3.臧良運,《電子商務支付與安全》,電子工業(yè)出版社,2006
4.孔東昇,《物流信息網(wǎng)絡安全風險分析及解決方案》,《計算機安全》,2004年04期
5.李炯,《物流安全管控技術分析》,《物流技術與應用》,2005年04期