??? 2.電子商務(wù)安全協(xié)議技術(shù)���。電子商務(wù)安全協(xié)議主要有:安全套接層協(xié)議SSL和安全電子交易SET協(xié)議。此外��,還有PCT(專用通信技術(shù))�����,它只是對SSL進行少量的改進���。SSL協(xié)議是向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機密性等的安全措施�。它包括“SSL 記錄協(xié)議”和“ SSL 握手協(xié)議”。該協(xié)議通過在應(yīng)用程序進行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的審查���。在SSL握手信息中采用了DES�、MDS等加密技術(shù)來實現(xiàn)機密性和數(shù)據(jù)完整性,并采用X.509的數(shù)字證書實現(xiàn)鑒別���。SSL協(xié)議已成為事實上的工業(yè)標(biāo)準而被廣泛應(yīng)用�。通常還采用“SSL+表單簽名”的模式使得SSL在電子商務(wù)的應(yīng)用中確保信息的真實性��、完整性和保密性的基礎(chǔ)上進一步提高電子商務(wù)的安全保障�。
??? SET協(xié)議是Mastercard公司和Visa公司聯(lián)合開發(fā)的一種應(yīng)用于因特網(wǎng)環(huán)境下,以信用卡為基礎(chǔ)的安全電子支付協(xié)議。它可以對交易各方進行認證,可防止商家欺詐,進行安全交易��,它給出了一套電子交易的過程規(guī)范而成為目前公認的信用卡的網(wǎng)上交易的國際標(biāo)準��。
??? 3.構(gòu)建電子商務(wù)安全控制的框架和制訂電子商務(wù)標(biāo)準及法律法規(guī)��。通過安全的控制和電子商務(wù)標(biāo)準的推行��,有利于解決電子商務(wù)的安全性和可靠性問題���。
??? 電子商務(wù)給企業(yè)�、消費者和社會所帶來的收益是不可估量的�。特別是電子商務(wù)以其高效、低成本的優(yōu)勢�����,必將成為新興的商業(yè)運作模式,推動著全球經(jīng)濟的快速發(fā)展�。而商務(wù)信息的安全問題始終是電子商務(wù)的核心,是阻礙電子商務(wù)廣泛應(yīng)用的最大問題����。電子商務(wù)的安全問題是能夠通過綜合運用各類電子商務(wù)安全技術(shù),并不斷改進和完善�����,加之建立健全電子商務(wù)的安全機制和相應(yīng)的法律法規(guī)��,推行電子商務(wù)的國際化標(biāo)準而得以解決��。
??? 1.1計算機網(wǎng)絡(luò)的安全
??? 1.1.1安全協(xié)議問題����。目前安全協(xié)議還沒有全球性的標(biāo)準和規(guī)范�,相對制約了國際性的商務(wù)活動。此外���,在安全管理方面還存在很大隱患�����,普遍難以抵御黑客的攻擊����。
??? 1.1.2信息的安全問題。非法用戶在網(wǎng)絡(luò)的傳輸上��,通過不正當(dāng)手段����,非法攔截會話數(shù)據(jù)獲得合法用戶的有效信息,最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密����;或者是非法用戶對截獲的網(wǎng)絡(luò)數(shù)據(jù)進行一些惡意篡改,如增加�����、減少和刪除等操作�,從而使信息失去真實性和完整性,導(dǎo)致合法用戶無法正常交易�����;還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送,惡意攻擊對方的網(wǎng)絡(luò)硬件和軟件���。
??? 1.1.3防病毒問題�����。
??? 1.病毒����。病毒是由一些不正直的程序員所編寫的計算機程序��,它采用了獨特的設(shè)計�����,可以在受到某個事件觸發(fā)時���,復(fù)制自身��,并感染計算機�。如果在病毒可以通過某個外界來源進入網(wǎng)絡(luò)時(大多數(shù)是通過某個受到感染的磁盤或者某個從互聯(lián)網(wǎng)上下載的文件)���,網(wǎng)絡(luò)才會感染病毒。當(dāng)網(wǎng)絡(luò)上的一臺計算機被感染時,網(wǎng)絡(luò)上的其他計算機就非常有可能感染到這種病毒���。2.特洛伊木馬程序�。特洛伊木馬程序��,是破壞性代碼的傳輸工具���。特洛伊表面上看起來是無害的或者有用的軟件程序���,例如計算機游戲,但是它們實際上是偽裝的敵人��。特洛伊可以刪除數(shù)據(jù)�����,將自身的副本發(fā)送給電子郵件地址簿中的收件人����,以及開啟計算機進行其他攻擊。只有通過磁盤���,從互聯(lián)網(wǎng)上下載文件�,或者打開某個電子郵件附件,將特洛伊木馬程序復(fù)制到一個系統(tǒng)�,才可能感染特洛伊。無論是特洛伊還是病毒并不能通過電子郵件本身傳播它們只可能通過電子郵件附件傳播���。3.惡意破壞程序���。網(wǎng)站會提供一些軟件應(yīng)用(例如ActiveX和Java Applet)的開發(fā)而變得更加活潑。這些應(yīng)用可以實現(xiàn)動畫和其他一些特殊效果�,從而使網(wǎng)站更具有吸引力和互動性。但是��,由于這些應(yīng)用非常便于下載和運行�����,從而提供了一種造成損害的新工具��。惡意破壞程序是-
??? <優(yōu)麥電子商務(wù)論文>指會導(dǎo)致不同程度破壞的軟件應(yīng)用或者Java小程序��。一個惡意破壞程序可能只會損壞一個文件�,也可能損壞大部分計算機系統(tǒng)。4.攻擊��。目前已經(jīng)出現(xiàn)了各種類型的網(wǎng)絡(luò)攻擊�,它們通常被分為三類:探測式攻擊��,訪問攻擊和拒絕服務(wù)(DoS)攻擊。(1)探測式攻擊實際上是信息采集活動��,黑客們通過這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù)�,用于以后進一步攻擊網(wǎng)。(2)訪問攻擊用于發(fā)現(xiàn)身份認證服務(wù)�����、文件傳輸協(xié)議(FTP)功能等網(wǎng)絡(luò)領(lǐng)域的漏洞��,以訪問電子郵件賬號���、數(shù)據(jù)庫和其他保密信息�。(3)DoS攻擊可以防止用戶對于部分或者全部計算機系統(tǒng)的訪問�。它們的實現(xiàn)方法通常是:向某個連接到企業(yè)網(wǎng)絡(luò)或者互聯(lián)網(wǎng)的設(shè)備發(fā)送大量的雜亂的或者無法控制的數(shù)據(jù),從而讓正常的訪問無法到達該主機�����。更惡毒的是分布式拒絕服務(wù)攻擊(DDoS)��,在這種攻擊中攻擊者將會危及到多個設(shè)備或者主機的安全�����。5.數(shù)據(jù)阻截。通過任何類型的網(wǎng)絡(luò)進行數(shù)據(jù)傳輸都可能會被未經(jīng)授權(quán)的一方截取�。犯罪分子可能會竊聽通信信息,甚至更改被傳輸?shù)臄?shù)據(jù)分組�。犯罪分子可以利用不同的方法來阻截數(shù)據(jù)。6.社會活動����。社會活動是一種越來越流行的通過非技術(shù)手段獲取保密的網(wǎng)絡(luò)安全信息的手段。7.垃圾信件��。垃圾信件被廣泛用于表示那些主動發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經(jīng)申請的廣告信息的行為�。垃圾信件通常是無害的,但是它可能會浪費接收者的時間和存儲空間�����,帶來很多麻煩�。
??? 電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加�,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑���,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快���,動輒造成數(shù)百億美元的經(jīng)濟損失����。
??? 1.1.4服務(wù)器的安全問題���。電子商務(wù)服務(wù)器是電子商務(wù)的核心,安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息�����,并且服務(wù)器上的數(shù)據(jù)庫里有企業(yè)的一些敏感數(shù)據(jù)��,如價格�、成本等,所以服務(wù)器特別容易受到安全的威脅��,并且一旦出現(xiàn)安全問題����,造成的后果也是非常嚴重的。目前為止服務(wù)器的安全問題尚無有效措施予以阻止���。主要表現(xiàn)在:非法用戶向網(wǎng)絡(luò)或主機發(fā)送大量非法或無效的請求��,使其消耗可用資源卻無法繼續(xù)提供正常的網(wǎng)絡(luò)服務(wù)��;利用操作系統(tǒng)����、軟件、網(wǎng)絡(luò)協(xié)議���、網(wǎng)絡(luò)服務(wù)等的安全漏洞�,通過網(wǎng)站發(fā)送特制的數(shù)據(jù)請求���,使網(wǎng)絡(luò)應(yīng)用服務(wù)器崩潰而停止服務(wù)�。
??? 1.2商務(wù)交易的安全
??? 1.2.1身份的不確定問題���。由于電子商務(wù)的實現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺�,在這個平臺上交易雙方是不需要見面的����,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息����,仿冒合法用戶的身份與他人進行交易��,從而獲得非法收入�。
??? 1.2.2交易的抵賴問題�。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進行惡意的否認����,以推卸自己應(yīng)承擔(dān)的責(zé)任。
??? 1.2.3交易的修改問題��。交易文件是不可修改的����,否則必然會影響到另一方的商業(yè)利益����。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴肅和公正�。
??? 1.3其它方面的安全
??? 電子商務(wù)安全威脅種類繁多、來自各種可能的潛在方面���,有蓄意而為的�,也有無意造成的���,例如電子交易衍生了一系列法律問題:網(wǎng)絡(luò)交易糾紛的仲裁��、網(wǎng)絡(luò)交易契約等問題�����,急需為電子商務(wù)提供法律保障����。還有諸如非法使用、操作人員不慎泄露信息���、媒體廢棄物導(dǎo)致泄露信息等均可構(gòu)成不同程度后果的威脅����。
??? 2保障電子商務(wù)信息安全技術(shù)性措施?
??? 2.2身份驗證技術(shù)
??? 2.2.1認證系統(tǒng)�����。網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書��。數(shù)字證書類似于現(xiàn)實生活中的身份證���,用于在網(wǎng)絡(luò)上鑒別個人或組織的真實身份����。數(shù)字證書的頒發(fā)機構(gòu)叫做Certificate Authority,通常簡稱為CA����。要建立安全的電子商務(wù)系統(tǒng),首先必須建立一個穩(wěn)固��、健全的CA�,否則,一切網(wǎng)上的交易都沒有安全保障���。傳統(tǒng)的對稱密鑰算法具有加密強度高����、運算速度快的優(yōu)點��,但密鑰的傳遞與管理問題限制了它的應(yīng)用���。為解決此問題,20世紀70年代密碼界出現(xiàn)了公開密鑰算法�����,該算法使用一對密鑰即一個私鑰和一個公鑰,其對應(yīng)關(guān)系是唯一的��,公鑰對外公開���,私鑰個人秘密保存���。一般用公鑰來進行加密,用私鑰來進行簽名���;同時私鑰用來解密�����,公鑰用來驗證簽名�����。算法的加密強度主要取決于選定的密鑰長度�。其中RSA(Rivets Shamir Adelman)算法是公開密鑰算法中研究最為深入����,使用最為廣泛的算法���,為大多數(shù)國家(地區(qū))的官方或非官方所采用。
??? 整個認證系統(tǒng)是一個大的網(wǎng)絡(luò)環(huán)境����,系統(tǒng)從功能上基本可以劃分為CA、RA(證書的登記機構(gòu)�����,Register Authority)和WP(證書的分頁系統(tǒng)�����,Web Publisher)�����。
??? 2.2.2SSL協(xié)議�。SSL協(xié)議(Secure Socket Layer��,安全套接層)是由網(wǎng)景(Netscape)公司推出的一種安全通信協(xié)議���,該協(xié)議主要目的是解決TCP/IP 協(xié)議不能確認用戶身份的問題�����,在Socket上使用非對稱的加密技術(shù)�����,以保證網(wǎng)絡(luò)通信服務(wù)的安全性���。SSL協(xié)議包括兩個子協(xié)議:SSL記錄協(xié)議和SSL握手協(xié)議����。SSL記錄協(xié)議是建立在可靠的傳輸協(xié)議(例如:TCP)上���,用來封裝高層的協(xié)議�����。SSL握手協(xié)議準許服務(wù)器端與客戶端在開始傳輸數(shù)據(jù)前�,能夠通過特定的加密算法相互鑒別�。
??? SSL協(xié)議易于實現(xiàn)。它獨立于應(yīng)用層協(xié)議��,可以完成所需的安全交易操作�����,主要是使用公開密鑰體制和X.509 數(shù)字證書保護信息的機密性和完整性,但它不能保證信息的不可抵賴性���。中國目前多家銀行均采用SSL協(xié)議��,從實際使用的情況來看��,SSL協(xié)議還是最值得信賴的協(xié)議�。但是由于SSL協(xié)議當(dāng)初并不是為支持電子商務(wù)而設(shè)計的����,所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端,在涉及多方的電子交易中��,只能提供交易中客戶與服務(wù)器間的雙方認證���,而電子商務(wù)往往是用戶����、網(wǎng)站���、銀行三家協(xié)作完成�����,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系�����。
??? 2.2.3SET協(xié)議����。SET(Secure Electronic Transaction)安全電子交易協(xié)議是由美國Visa和MasterCard兩大信用卡組織提出的應(yīng)用于 Internet上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議����。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準,主要應(yīng)用于B to C模式中保障支付信息的安全性���。
??? SET協(xié)議提供對消費者�、商戶和銀行的認證���,協(xié)議本身比較復(fù)雜����,設(shè)計比較嚴格�,安全性高�,確保電子交易的機密性�、數(shù)據(jù)完整性、身份的合法性和抗否認性���,特別是保證了不會將持卡人的信用卡號泄露給商戶����。其核心技術(shù)主要有公開密匙加密���、電子數(shù)字簽名��、電子信封�、電子安全證書等�。
??? SET協(xié)議自誕生以來,通過大量的現(xiàn)場試驗和應(yīng)用�����,取得了業(yè)界普遍的支持���,目前已經(jīng)呈現(xiàn)出良好的發(fā)展勢頭�����。盡管SET協(xié)議存在一些缺點����,但是它體現(xiàn)出了進行電子交易最基本的原則�,因此在不斷完善的過程中會逐步擴大其應(yīng)用范圍。它的交易規(guī)范成為了未來電子商務(wù)發(fā)展的方向��。
??? 2.3其它安全技術(shù)
??? 防火墻技術(shù):防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng)�����,對內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護����。目前的防火墻分為兩大類:一類是簡單的包過濾技術(shù),它是在網(wǎng)絡(luò)層對數(shù)據(jù)包實施有選擇的通過�。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后����,根據(jù)數(shù)據(jù)包的源地址、目的地址�����、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和代理服務(wù)器����,可針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告��。
??? 數(shù)字簽名:數(shù)字簽名是公開密鑰加密技術(shù)的另一種應(yīng)用��,報文的發(fā)送方從報文文本中生成一個128位的散列值��,發(fā)送方用自己的私有密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名�,通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。
??? 3保障電子商務(wù)信息安全的環(huán)境性措施
??? 目前��,基于Internet 的電子商務(wù)應(yīng)用才初見端倪���,許多內(nèi)外部環(huán)境還不夠完善����,相應(yīng)的法律���、法規(guī)���,相關(guān)的標(biāo)準還都沒有建立����,跨部門���、跨地區(qū)的協(xié)調(diào)存在較大問題�?���;谏鲜龇治鼍椭袊娮由虅?wù)的發(fā)展提幾點建設(shè)性意見���。
??? 3.1構(gòu)造中國電子商務(wù)體系
??? 積極參與國際合作�,融合國際電子商務(wù)框架���,構(gòu)造適合中國國情的電子商務(wù)體系���。作為一個主權(quán)國家,為了維護國家的利益和經(jīng)濟安全���,在電子商務(wù)相關(guān)技術(shù)方面一定要注重自主知識產(chǎn)權(quán)技術(shù)的開發(fā)���,不能全部依賴進口��。因此�,必須大力支持對電子商務(wù)技術(shù)的研究開發(fā)工作��。
??? 3.2加強法律法規(guī)建設(shè)
??? 政府部門應(yīng)盡快組織力量����,結(jié)合電子商務(wù)的客觀需要,對現(xiàn)有的與電子商務(wù)相關(guān)的法律法規(guī)��,如:《刑法》�����、《合同法》����、《著作權(quán)法》等進行修改。在這些法律中�����,可以適當(dāng)增加對網(wǎng)絡(luò)犯罪處罰的條款���,增加對網(wǎng)絡(luò)作品著作權(quán)保護的條款���;對電子商務(wù)發(fā)展中亟需解決的有關(guān)問題���,如:在電子支付、稅收管理�����、安全認證�����、網(wǎng)絡(luò)與信息安全�����、知識產(chǎn)權(quán)保護�����、消費者權(quán)益保護等可由相關(guān)主管部門先制定部門規(guī)章����,必要時,由國務(wù)院發(fā)布行政法規(guī)���,待條件成熟時���,再按程序上升為法律。
??? 3.3加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)�����,推動企業(yè)信息化進程
??? 信息基礎(chǔ)設(shè)施是電子商務(wù)發(fā)展的物質(zhì)基礎(chǔ)和載體���。發(fā)展信息基礎(chǔ)設(shè)施需要政府和業(yè)界的共同努力�����,尤其是政府的大力投資和宏觀調(diào)控��。
??? 3.4普及計算機網(wǎng)絡(luò)知識和電子商務(wù)常識�����,提高全民族電子商務(wù)意識
??? 普及信息技術(shù)的教育�����,培養(yǎng)信息技術(shù)人才�����。增強企業(yè)和公眾對電子商務(wù)的信心���。
??? 3.5加快銀行����、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)
??? 建立企業(yè)到企業(yè)(B to B)�����、企業(yè)到客戶(B to C)的商務(wù)溝通����,實現(xiàn)網(wǎng)上資金流動��,解決目前有形商品交易環(huán)節(jié)中的流通困難���。
??? 計算機網(wǎng)絡(luò)之所以存在著脆弱性�,主要是由于技術(shù)本身存在著安全弱點��、系統(tǒng)的安全性差、缺乏安全性實踐等�����。此外��,信息安全處在初期發(fā)展階段�����,缺少網(wǎng)絡(luò)環(huán)境下用于產(chǎn)品評價的安全性準則和評價工具�����。系統(tǒng)管理人員的安全意識和安全管理培訓(xùn)等也相對缺乏�����。在系統(tǒng)安全受到威脅時��,缺少應(yīng)有的完整的安全管理方法����、步驟和安全對策,如事故通報�、風(fēng)險評估�、改正安全缺陷��、評估損失�、相應(yīng)的補救恢復(fù)措施等。
??? 根據(jù)攻擊能力的組織結(jié)構(gòu)程度和使用的手段���,可以將威脅歸納為四種基本類型:無組織結(jié)構(gòu)的內(nèi)部和外部威脅與有組織結(jié)構(gòu)的內(nèi)部和外部威脅�。一般來講���,對外部威脅��,安全性強調(diào)防御����;對內(nèi)部威脅�,安全性強調(diào)威懾。
??? 參考文獻:
??? [1]Steve Burnett��,Stephen Paine.密碼工程(美).清華大學(xué)出版社�,2001~10
??? [2]Christopher M. King.安全體系結(jié)構(gòu)的設(shè)計�����、部署與操作(美).清華大學(xué)出版社,2003~04
??? ? [3](美)埃弗雷姆.特白思戴維.金,杰李等著王理平張曉峰譯:電子商務(wù) 管理新視角(第2版)[M].電子工業(yè)出版社,2005年9月
??? [4]楊堅爭著:電子商務(wù)基礎(chǔ)與應(yīng)用(第五版)[M].西安電子科技大學(xué)出版社,2007年7月
??????? [5] 周均. 電子商務(wù)信息安全的政策法律研究[J]. 科技文獻信息管理���,2004(4):57.
??? [6] 楊穎. 電子商務(wù)安全問題分析[J]. 中國科技信息�����,2005(20):53.
??? [7] 成漢健. 電子商務(wù)安全問題分析[J]. 商場現(xiàn)代化�����,2005(1):65.
??? [8] 張賢. 電子商務(wù)安全問題[J]. 中國科技信息����,2006(3):14.
????????????? -
?
