序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的電子商務(wù)安全論文樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請盡情閱讀。
第1篇
論文摘要:電子商務(wù)安全問題已成為制約電子商務(wù)發(fā)展的重要問題,安全問題包括電子商務(wù)交易安全、計(jì)算機(jī)網(wǎng)絡(luò)安全等顯性的問題,還包括管理、法律和標(biāo)準(zhǔn)等方面的隱性問題����。通過對電子商務(wù)安全體系的分析����,研究電子商務(wù)安全策略,建立一個(gè)安全電子商務(wù)環(huán)境����,將促進(jìn)電子商務(wù)健康快速地發(fā)展����。
電子商務(wù)是一個(gè)跨國界����,跨地區(qū),跨行業(yè)的多種技術(shù)綜合集成與不同社會(huì)經(jīng)濟(jì)文化背景形成的各種習(xí)俗不斷沖突����,不斷協(xié)調(diào)和不斷統(tǒng)一的綜合性社會(huì)系統(tǒng)工程����。電子商務(wù)安全策略保障電子商務(wù)各個(gè)主體的切身利益。電子商務(wù)安全策略是以人為本����,從各主體的角度思考,綜合協(xié)調(diào)了各個(gè)市場主體的行為����,從根本上保障了消費(fèi)者、企業(yè)����、電子商務(wù)網(wǎng)站等市場主體的切身利益����,它為實(shí)現(xiàn)電子商務(wù)提供了統(tǒng)一的基礎(chǔ)平臺和安全屏障����。
一、電子商務(wù)安全技術(shù)保障策略
安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略����,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有以下幾種:
1.密碼技術(shù)����。密碼技術(shù)包括加密技術(shù)和解密技術(shù)。加密是將信息經(jīng)過加密密鑰及加密函數(shù)轉(zhuǎn)換����,變成無意義的密文。而解密則是將密文經(jīng)過解密函數(shù)����、解密密鑰處理還原成原文。密碼技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)。
2.身份驗(yàn)證技術(shù)����。電子商務(wù)主體向系統(tǒng)證明自己身份,并由系統(tǒng)查核該主體的過程����,是確認(rèn)真實(shí)有效身份的重要環(huán)節(jié),這個(gè)過程叫作身份驗(yàn)證����。常用的驗(yàn)證技術(shù)有報(bào)文鑒別、身份鑒別和電子簽名����。
3.訪問控制技術(shù)。訪問控制是指對電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中各種資源訪問時(shí)的權(quán)限確認(rèn)����,防止非法訪問����。它包括有關(guān)的策略、模型����、機(jī)制的基礎(chǔ)理論與實(shí)現(xiàn)方法����。
4.防火墻技術(shù)����。防火墻是用一組網(wǎng)絡(luò)設(shè)備來加強(qiáng)一個(gè)網(wǎng)絡(luò)與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾����、應(yīng)用、電路網(wǎng)關(guān)����。
二、企業(yè)電子商務(wù)安全運(yùn)營管理制度保障策略
企業(yè)電子商務(wù)安全運(yùn)營管理制度是用文字的形式對各項(xiàng)安全要求所做的規(guī)定����,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ),是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則����。這些制度主要包括人員管理制度,保密制度����,跟蹤審計(jì)制度����,系統(tǒng)維護(hù)制度����、數(shù)據(jù)備份制度等。
1.人員管理制度人員管理制度主要從人員的選拔����,工作責(zé)任的落實(shí)和安全運(yùn)作必須遵循的基本原則制定相應(yīng)的工作制度。
2.保密制度電子商務(wù)系統(tǒng)涉及企業(yè)的市場����、生產(chǎn)、財(cái)務(wù)����、供應(yīng)鏈等多方面的機(jī)密,這些方面都是需要很好地劃分信息安全級別����,并確定安全防范重點(diǎn)����,提出相應(yīng)的保密措施����。
3.跟蹤審計(jì)制度跟蹤制度就是要求企業(yè)建立網(wǎng)絡(luò)交易的日志機(jī)制����,來記錄網(wǎng)絡(luò)交易的全過程。而審計(jì)制度是對系統(tǒng)日志的經(jīng)常檢查����、審核,及時(shí)發(fā)現(xiàn)對系統(tǒng)有安全隱患的記錄����,監(jiān)控各種安全事故,維護(hù)和管理系統(tǒng)日志����。
4.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)包括硬件的日常維護(hù)和軟件的日常維護(hù),硬件維護(hù)主要是對網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機(jī)以及通信線路進(jìn)行定期規(guī)范地巡查����、檢修;軟件維護(hù)主要是規(guī)范地對支撐軟件的定期清理和整理����、監(jiān)測����、處理特殊情況以及對應(yīng)用軟件的升級等����。
5.數(shù)據(jù)備份制度數(shù)據(jù)備份主要是利用多種介質(zhì)對信息系統(tǒng)數(shù)據(jù)進(jìn)行存儲,定期為重要信息備份����、系統(tǒng)設(shè)備備份,并定期更新����,以減少安全事故發(fā)生時(shí)造成的損失。
三����、電子商務(wù)立法策略
電子商務(wù)安全得到法律保障,首先必須完善電子商務(wù)安全相關(guān)的法律����。如何構(gòu)建一個(gè)有針對性的健全的法律體系是擺在我們面前的迫切問題?���?梢詮牧⒎康摹⒘⒎ㄔ瓌t����、立法范圍和立法途徑上分析。
1.立法目的電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙����;消除現(xiàn)有法律適用上的不確定性,保護(hù)合理的商業(yè)行為����,保障電子交易安全;建立一個(gè)清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展����。
2.立法范圍電子商務(wù)安全方面需要的法律法規(guī)主要有:市場準(zhǔn)入制度、合同有效認(rèn)證辦法����、電子支付系統(tǒng)安全措施、信息保密防范辦法����,知識產(chǎn)權(quán)侵權(quán)處理規(guī)定����、以及廣告的管制����、網(wǎng)絡(luò)信息內(nèi)容過濾等;電子商務(wù)調(diào)整的對象是電子商務(wù)中的各種社會(huì)關(guān)系����。
3.立法途徑電子商務(wù)法律仍然是調(diào)整社會(huì)關(guān)系,所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核����,尤其是基礎(chǔ)價(jià)值觀。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范����。對于傳統(tǒng)法律沒有規(guī)定的,即由電子商務(wù)帶來的新的社會(huì)關(guān)系����,應(yīng)盡快制定法律規(guī)范;第二是修改或重新解釋既定的法律規(guī)范����。對于傳統(tǒng)法律的規(guī)定不明確����,或與電子商務(wù)新型社會(huì)關(guān)系有沖突甚至存在缺欠的����,可以修改或重新解釋既定的法律規(guī)范����。
四、政府監(jiān)督管理策略
電子商務(wù)本質(zhì)是一種市場運(yùn)作模式����,市場的正常健康有序地發(fā)展,必須有政府宏觀上的監(jiān)督與管理����,以協(xié)調(diào)和規(guī)范各市場主體的行為,宏觀監(jiān)督與管理電子商務(wù)運(yùn)行中的安全保障體系����。
1.計(jì)算機(jī)信息系統(tǒng)安全管理計(jì)算機(jī)信息系統(tǒng),是指“由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備����、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的����,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集����、加工、存儲����、傳輸、檢索等處理的人機(jī)系統(tǒng)����。”計(jì)算機(jī)安全保護(hù)規(guī)范主要有計(jì)算機(jī)安全等級保護(hù)制度����,計(jì)算機(jī)系統(tǒng)使用單位安全負(fù)責(zé)制度,計(jì)算機(jī)案件強(qiáng)行報(bào)告制度����,計(jì)算機(jī)病毒及其有害數(shù)據(jù)的專管制度與計(jì)算機(jī)信息安全專用產(chǎn)品銷售許可證制度。對計(jì)算機(jī)信息系統(tǒng)安全的保護(hù)����,有利于保障國家的安全和社會(huì)安定����,促進(jìn)電子商務(wù)的安全交易過程����,有利電子商務(wù)的健康發(fā)展。
2.網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理由于網(wǎng)絡(luò)的開放性����,自由性等特征決定了網(wǎng)絡(luò)廣告監(jiān)管的難度����,虛假廣告、廣告充斥著網(wǎng)絡(luò)空間����,網(wǎng)絡(luò)廣告已經(jīng)發(fā)展成為一個(gè)社會(huì)問題。網(wǎng)絡(luò)廣告管理應(yīng)該從三個(gè)方面入手:第一����,網(wǎng)絡(luò)廣告組織的管理,必須對網(wǎng)站廣告經(jīng)營主體資格進(jìn)行管制����,第二����,規(guī)范網(wǎng)絡(luò)廣告內(nèi)容����,確保廣告內(nèi)容的真實(shí)性、合法性和科學(xué)性����。第三,需要有具體的廣告審查管制����、評估與監(jiān)測部門。
國家針對網(wǎng)絡(luò)服務(wù)業(yè)和網(wǎng)絡(luò)用戶管理已經(jīng)頒布了《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》����,其中提出了詳細(xì)具體的限制條件。但是����,網(wǎng)絡(luò)飛速發(fā)展,面對網(wǎng)絡(luò)中的新問題����,還必須進(jìn)一步深入全面地研究����。
3.認(rèn)證機(jī)構(gòu)管理認(rèn)證機(jī)構(gòu)是電子商務(wù)活動(dòng)中專門從事頒發(fā)認(rèn)證證書的機(jī)構(gòu)����,對電子商務(wù)交易活動(dòng)順利進(jìn)行,電子商務(wù)活動(dòng)中交易參與各方身份和信息認(rèn)定����,維護(hù)交易安全具有重要作用。對認(rèn)證機(jī)構(gòu)的管理主要是通過對設(shè)立的條件����、撤消或者頒發(fā)許可證等營業(yè)資格而進(jìn)行審批監(jiān)督����;同時(shí),還要針對其資產(chǎn)和財(cái)務(wù)狀況定期審查����,以免發(fā)生財(cái)務(wù)危機(jī),對其信息披露與保密情況����、安全系統(tǒng)運(yùn)行情況等方面進(jìn)行不定期或定期監(jiān)督檢查����。
4.加強(qiáng)社會(huì)信用道德建設(shè)����,構(gòu)建和諧安全電子商務(wù)電子商務(wù)安全問題其中有很大部分是由電子商務(wù)用戶或從業(yè)人員的信用道德問題引發(fā)的,在我國尤其嚴(yán)重����,甚至大家感嘆電子商務(wù)在我國“水土不服”。對于新型的商業(yè)運(yùn)作模式����,必然存在不少漏洞,這需要廣大電子商務(wù)市場主體有良好的電子商務(wù)道德意識����。除了從法律上采取措施,更重要的是政府要加強(qiáng)電子商務(wù)市場主體自身的道德建設(shè),加強(qiáng)輿論監(jiān)督和企業(yè)自律����,充分利用網(wǎng)絡(luò)新聞輿論監(jiān)督,消費(fèi)者輿論監(jiān)督和行業(yè)協(xié)會(huì)的管理監(jiān)督����。
五����、結(jié)束語
電子商務(wù)安全不僅涉及到電子商務(wù)公司����、企業(yè)、消費(fèi)者的利益����,而且更加廣泛地涉及經(jīng)濟(jì)、政治����、國防、文化等諸多方面����,關(guān)系到國家的安全����、和社會(huì)的穩(wěn)定。電子商務(wù)安全策略確保電子商務(wù)的快速����、健康地發(fā)展����。電子商務(wù)安全是目前電子商務(wù)發(fā)展的瓶頸����,只有解決了電子商務(wù)安全,保障了市場主體的利益����,才能得到網(wǎng)絡(luò)用戶的認(rèn)可和參與,電子商務(wù)自身也才能得到快速����、健康地發(fā)展。
參考文獻(xiàn)
[1]林寧����,吳志剛.我國信息安全技術(shù)標(biāo)準(zhǔn)化現(xiàn)狀[J].中國標(biāo)準(zhǔn)化,2007(4)
[2]胡艷春.電子商務(wù)網(wǎng)站建設(shè)中的安全問題研究[J].商場現(xiàn)代化����,2006,(10)
第2篇
密碼是一個(gè)人的私有信息����,通過設(shè)置密碼可以在一定程度上保證信息的安全性����。在電子商務(wù)中會(huì)涉及到的銀行賬號的安全����、交易信息的安全,都可以通過設(shè)置不同類型的密碼來保護(hù)����。在設(shè)置密碼時(shí)可以設(shè)置不同的密碼,增加所設(shè)密碼的難度����,定期修改密碼,以及登陸密碼和手機(jī)綁定密碼等多種途徑來保護(hù)賬號的安全����。有很大一部分人喜歡用同樣的密碼,這是一種不好的習(xí)慣����?���?赡苡腥藭?huì)說:“如果不設(shè)置相同的密碼就記不住����?���!痹谶@種情況下可以采取多種加密形式來保證賬戶安全。現(xiàn)在為了解決安全問題����,不同的機(jī)構(gòu),包括電子商務(wù)公司����、各大銀行都推出許多加密設(shè)備,我們可以選用����。
二、數(shù)字簽名
在網(wǎng)絡(luò)環(huán)境中����,網(wǎng)絡(luò)安全的最基本要求就是通信信息的真實(shí)和不可否認(rèn)性,它要求通信雙方能互相證實(shí)����,以防止第三者假冒通信的一方竊取����、偽造信息����。在網(wǎng)絡(luò)中實(shí)現(xiàn)通信真實(shí)性的方法是數(shù)字簽名(DigitalSignature)����。我們在教學(xué)過程中讓學(xué)生能掌握的是正確使用自己的數(shù)字簽名����,學(xué)生走上社會(huì)做的不是科學(xué)研究,是應(yīng)用型電子商務(wù)����,主要包括銀行賬號的安全、交易賬號的安全����,可以使用不同的認(rèn)證方法保證信息安全,數(shù)字簽名就是一種很好的方法����。例如����,作為商業(yè)機(jī)構(gòu)可以選擇一家公信度較強(qiáng)����、通過國際認(rèn)證的CA認(rèn)證中心����,CA認(rèn)證中心會(huì)對于你每次交易中數(shù)字簽名進(jìn)行處理,證明交易中的身份����,保證簽名的不可否認(rèn)性,加快交易速度����,節(jié)省交易時(shí)間。
三����、不輕易打開網(wǎng)站鏈接
在日常店鋪管理中,交易身份的假冒和網(wǎng)站的假冒時(shí)有發(fā)生����,為了防范這種騙局����,我們要做的就是不打開不信任的網(wǎng)站����,不打開別人發(fā)來的鏈接。現(xiàn)在有一些騙子不僅是把自己偽裝成購物網(wǎng)站去騙買家����,從而盜取買家的賬號、密碼����。也有一些騙子專門去搜索一些新開的網(wǎng)店去欺騙賣家,一是因?yàn)樾沦u家經(jīng)驗(yàn)不足防騙知識薄弱����,二是新賣家急于讓店鋪發(fā)生買賣,因此在交易時(shí)當(dāng)這些不法分子告訴賣家自己進(jìn)行的交易出現(xiàn)問題而發(fā)送鏈接時(shí)����,賣家沒有仔細(xì)查看確認(rèn)交易就貿(mào)然打開了鏈接,給店鋪造成了損失����。
四����、防火墻設(shè)置
近年來����,作為保護(hù)計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)安全的重要措施����,防火墻技術(shù)正日趨成熟。對于一些與防火墻相沖突的軟件����,需要關(guān)閉防火墻,有時(shí)網(wǎng)絡(luò)安全有問題時(shí)����,又需要啟用防火墻。我們作為專業(yè)電子商務(wù)人員����,要會(huì)對自己的電腦進(jìn)行防火墻設(shè)置,設(shè)置時(shí)可以通過電腦的“控制面板”找到“防火墻”����,打開“防火墻”自行設(shè)置����。防火墻應(yīng)該一直都處于打開的狀態(tài)����。
五、計(jì)算機(jī)病毒防范
電子商務(wù)強(qiáng)調(diào)企業(yè)與商家通過網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)交流����,安全防護(hù)的一點(diǎn)疏漏就可能使計(jì)算機(jī)病毒擴(kuò)散到整個(gè)企業(yè)的網(wǎng)絡(luò),可能感染客戶的計(jì)算機(jī)����。因此應(yīng)對計(jì)算機(jī)病毒進(jìn)行防范。要想安全����、可靠地防殺病毒,至少應(yīng)該進(jìn)行如下的工作:選擇好的防殺病毒軟件保護(hù)工作站����、服務(wù)器;定期進(jìn)行文件備份工作����;定期對網(wǎng)絡(luò)進(jìn)行病毒掃描����,異常檢測����;盡量多用無盤工作站;對遠(yuǎn)程工作站的登陸權(quán)限實(shí)施嚴(yán)格控制����,盡量少用超級用戶登錄����;定期更新病毒庫;對網(wǎng)絡(luò)設(shè)備的安全隔離����。
六、結(jié)語
第3篇
關(guān)鍵詞:移動(dòng)電子商務(wù)IEEE802.11WAPWPKI
隨著無線通信技術(shù)的發(fā)展,移動(dòng)電子商務(wù)已經(jīng)成為電子商務(wù)研究熱點(diǎn)����。移動(dòng)電子商務(wù)是將現(xiàn)代信息科學(xué)技術(shù)和傳統(tǒng)商務(wù)活動(dòng)相結(jié)合,隨時(shí)隨地為用戶提供各種個(gè)性化的、定制的在線動(dòng)態(tài)商務(wù)服務(wù)����。
但在無線世界里,人們對于進(jìn)行商務(wù)活動(dòng)安全性的考慮比在有線環(huán)境中要多����。只有當(dāng)所有的用戶確信,通過無線方式所進(jìn)行的交易不會(huì)發(fā)生欺詐或篡改����、進(jìn)行的交易受到法律的承認(rèn)和隱私信息被適當(dāng)?shù)谋Wo(hù)時(shí),移動(dòng)電子商務(wù)才有可能蓬勃開展。
移動(dòng)電子商務(wù)通信安全的現(xiàn)狀
由于無線通訊接入方式非常靈活,所以其對安全的要求更高����。實(shí)際上,主要的無線通信技術(shù)都有各自的措施、協(xié)議和方法來保證各自體制下的通信安全����。這里我們將從無線網(wǎng)絡(luò)和電子商務(wù)應(yīng)用兩個(gè)方面作簡要討論。
無線局域網(wǎng)
無線局域網(wǎng)絡(luò)是以無線連接至局域網(wǎng)絡(luò)的通訊方式����。它采用的是IEEE802.11系列標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中,無線局域網(wǎng)的安全機(jī)制采用的是WEP協(xié)議(有線對等安全協(xié)議)����。在數(shù)據(jù)鏈路用WEP加密數(shù)據(jù),保證了信道上傳送數(shù)據(jù)的安全。另外,無線局域網(wǎng)的網(wǎng)絡(luò)管理員分配給每個(gè)授權(quán)用戶一個(gè)基于WEP算法的密鑰,這樣就有效阻止了非授權(quán)用戶的訪問����。
WAP(無線應(yīng)用協(xié)議)技術(shù)
WAP由一系列協(xié)議組成,用來標(biāo)準(zhǔn)化無線通信設(shè)備,例如:移動(dòng)電話����、移動(dòng)終端;它負(fù)責(zé)將Internet和移動(dòng)通信網(wǎng)連接到一起,客觀上已成為移動(dòng)終端上網(wǎng)的標(biāo)準(zhǔn)����。WAP協(xié)議可以廣泛地運(yùn)用于GSM、CDMA����、TDMA、3G等多種網(wǎng)絡(luò)����。
WAP的安全機(jī)制是通過WTLS(無線傳輸層安全)協(xié)議來實(shí)現(xiàn)的����。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無線技術(shù)的有限的發(fā)送功率����、存儲容量及帶寬的條件下,WTLS能夠?qū)崿F(xiàn)鑒定,保證數(shù)據(jù)的完整性和提供保密服務(wù)的目標(biāo)。
數(shù)字認(rèn)證技術(shù)
對諸如移動(dòng)電子商務(wù)和有重要使命的合作通信等活動(dòng),其安全性的一個(gè)關(guān)鍵方面是能否對信息發(fā)送者的身份進(jìn)行論證,通常都要利用有線安全的公開密鑰基本構(gòu)架(PKI)����。
PKI提供與加密和數(shù)字證書有關(guān)的一系列技術(shù)����。但在無線通信環(huán)境中,PKI是很難實(shí)現(xiàn)的����。在只有有限計(jì)算能力和低數(shù)據(jù)流通率的設(shè)備上實(shí)現(xiàn)PKI中的服務(wù)一直是一個(gè)有挑戰(zhàn)性的難題。同時(shí)在PKI的基礎(chǔ)上,要將無線設(shè)備與有線設(shè)備之間進(jìn)行互通也是有難度的����。因此無線PKI(WPKI)協(xié)議是要將標(biāo)準(zhǔn)的PKI進(jìn)行修正和簡化,使其在無線通信的環(huán)境下達(dá)到最優(yōu)。
移動(dòng)電子商務(wù)安全分析
IEEE802.11的安全
IEEE802.11標(biāo)準(zhǔn)規(guī)定了MAC層的存取控制規(guī)范,也定義了加密機(jī)制,即上述的WEP����。WEP的目的是通過對信息流加密并利用WEP認(rèn)證節(jié)點(diǎn),使無線通信傳輸像有線網(wǎng)絡(luò)一樣安全。
WEP加密使用共享密鑰和RC4加密算法����。訪問點(diǎn)(AP)和連接到該訪問點(diǎn)的所有工作站必須使用同樣的共享密鑰。對于往任一方向發(fā)送的數(shù)據(jù)包,傳輸程序都將數(shù)據(jù)包的內(nèi)容與數(shù)據(jù)包的檢驗(yàn)組合在一起����。然后,WEP標(biāo)準(zhǔn)要求傳輸程序創(chuàng)建一個(gè)特定于數(shù)據(jù)包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數(shù)據(jù)包進(jìn)行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對數(shù)據(jù)包進(jìn)行解密����。在理論上,這種方法優(yōu)于單獨(dú)使用共享私鑰的顯式策略,應(yīng)該使對方更難于破解����。
但是,IEEE802.11中用于安全的WEP算法只是提供相當(dāng)于有線局域網(wǎng)基本安全的安全級別,根本不是一種全面的安全方案����。越來越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞,有經(jīng)驗(yàn)的黑客會(huì)利用這些漏洞進(jìn)行攻擊。其缺陷主要有:RC4算法本身就有一個(gè)小缺陷����。WEP標(biāo)準(zhǔn)允許IV重復(fù)使用(平均大約每5小時(shí)重復(fù)一次)。WEP標(biāo)準(zhǔn)不提供自動(dòng)修改密鑰的方法����。
最早的WEP實(shí)施只提供40位加密,這使得它抗暴力攻擊能力差。現(xiàn)代的系統(tǒng)提供128位的WEP,128位的密鑰長度減去24位的IV后,實(shí)際上有效的密鑰長度為104位����。盡管如此,128位的WEP版本也不能保證絕對安全����。最好的解決辦法是把無線網(wǎng)絡(luò)放在機(jī)構(gòu)防火墻之外,這種防范措施會(huì)強(qiáng)制要求將無線連接當(dāng)作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。
所以,WEP應(yīng)該與其他安全機(jī)制一起應(yīng)用才能提供較強(qiáng)的安全����。
WAP的安全
WAP規(guī)范的安全特性包括幾個(gè)部分:WTLS協(xié)議����、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能����。
WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實(shí)體鑒別、數(shù)據(jù)加密和保護(hù)數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關(guān)之間的安全通信����。有三種不同級別的WTLS:
1級:執(zhí)行未經(jīng)證實(shí)的Diffie-Hellman密鑰交換以建立會(huì)話密鑰。
2級:使用與SSL/TLS協(xié)議相類似的公開密鑰證書機(jī)制進(jìn)行服務(wù)器端鑒別����。
3級:客戶端和服務(wù)器端采用X.509格式證書相互進(jìn)行鑒別。
早期WAP裝置僅僅采用了第1級別的WTLS,這種級別的安全不夠,所以不能用于電子商務(wù)����。目前,支持第2和第3級別WTLS的移動(dòng)裝置從市場上可以得到,它們可以確保網(wǎng)上銀行交易和購物等應(yīng)用的機(jī)密性。
WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM����。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術(shù)的支持(RSA是強(qiáng)制的,而ECC是可選的)。生產(chǎn)廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個(gè)廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起����。這樣,通過WIM和WAP網(wǎng)關(guān)建立的所有WTLS會(huì)話都將使用相同的公匙用作初始會(huì)話。每一個(gè)會(huì)話都將包括與此密鑰對應(yīng)的一個(gè)不同的證書����。WIM的基本要求是它們要具有抗篡改的能力。
SignText功能:這個(gè)功能為WAP用戶提供了數(shù)字簽名����。同電子簽名功能一樣,這個(gè)功能可以被應(yīng)用于其他無線設(shè)備,或者是手持設(shè)備,或者是內(nèi)嵌SIM卡。
WAP的安全分析:由WAP提供的最好的安全是WTLS3級,多數(shù)情況下WTLS已足以確保WAP的安全����。但是,由于WAP網(wǎng)關(guān)在WAP設(shè)備和Web服務(wù)器之間起著翻譯的作用,相應(yīng)的帶來了安全問題:WTLS安全會(huì)話建立在手機(jī)與WAP網(wǎng)關(guān)之間,而與終端服務(wù)器無關(guān)。這意味著數(shù)據(jù)只在WAP手機(jī)與網(wǎng)關(guān)之間加密,網(wǎng)關(guān)將數(shù)據(jù)解密后,利用其他方法將數(shù)據(jù)再次加密,然后經(jīng)過TLS連接發(fā)送給終端服務(wù)器����。由于WAP網(wǎng)關(guān)可以看見所有的數(shù)據(jù)明文,而該WAP網(wǎng)關(guān)可能并不為服務(wù)器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數(shù)據(jù)。
目前,針對上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網(wǎng)關(guān)的安全����。如果WAP網(wǎng)關(guān)位于WAP服務(wù)供應(yīng)商范圍之內(nèi),可以通過諸如在內(nèi)存中對加密和解密過程進(jìn)行最優(yōu)化以減少數(shù)據(jù)明文存在的時(shí)間、在釋放前覆蓋加密解密進(jìn)程使用的內(nèi)存以確保數(shù)據(jù)的安全性����。對于安全要求較高的公司可以擁有自己的WAP網(wǎng)關(guān),從而保障數(shù)據(jù)端到端的安全性。通過WIM實(shí)現(xiàn)數(shù)據(jù)安全性����。
WPKI技術(shù)
在有線通信中,電子商務(wù)交易的一個(gè)重要安全保障是PKI。PKI的系統(tǒng)概念����、安全操作流程、密鑰����、證書等同樣也適用于解決移動(dòng)電子商務(wù)交易的安全問題,但在應(yīng)用PKI的同時(shí)要考慮到移動(dòng)通信環(huán)境的特點(diǎn),并據(jù)此對PKI技術(shù)進(jìn)行改進(jìn)。
WPKI技術(shù)滿足移動(dòng)電子商務(wù)安全的要求:即保密性����、完整性、真實(shí)性����、不可抵賴性,消除了用戶在交易中的風(fēng)險(xiǎn)。WPKI技術(shù)主要包含以下幾個(gè)方面:
認(rèn)證機(jī)構(gòu)(CA)CA系統(tǒng)是PKI的信任基礎(chǔ),負(fù)責(zé)分發(fā)和驗(yàn)證數(shù)字證書,規(guī)定證書的有效期,證書廢除列表����。
注冊機(jī)構(gòu)(RA)RA提供用戶和CA之間的一個(gè)接口����。作為認(rèn)證機(jī)構(gòu)的校驗(yàn)者,在數(shù)字證書分發(fā)給請求者之前對證書進(jìn)行驗(yàn)證����。
智能卡智能卡將具有存儲、加密及數(shù)據(jù)處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小����、難于破解等特點(diǎn),在生產(chǎn)過程、訪問控制方面有很強(qiáng)的安全保障����。很多種需要客戶端認(rèn)證的應(yīng)用都可以使用智能卡來實(shí)現(xiàn)。并且智能卡也是存儲移動(dòng)電子商務(wù)密鑰及相關(guān)數(shù)字證書的最佳選擇����。
加密算法加密算法越復(fù)雜,密鑰越長則安全性越高,但執(zhí)行運(yùn)算所需的時(shí)間也越長(或需要計(jì)算能力更強(qiáng)的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協(xié)處理器的芯片����。而ECC使用較短的密鑰就可以達(dá)到和RSA算法相同的加密強(qiáng)度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運(yùn)算量小同時(shí)能提供高加密強(qiáng)度的公鑰密碼體制對在智能卡上實(shí)現(xiàn)數(shù)字簽名應(yīng)用是至關(guān)重要的,ECC在這方面具有很大的優(yōu)勢����。
綜上所述,在WPKI機(jī)制下,數(shù)字證書非常重要,但是由于無線信道和移動(dòng)終端的限制,如何安全����、便捷地交換用戶的數(shù)字證書是WPKI所必須解決的問題����?���?梢圆捎靡韵?種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理����。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動(dòng)證書標(biāo)識,將標(biāo)準(zhǔn)的一個(gè)X.509證書與移動(dòng)證書標(biāo)識唯一對應(yīng),并且在移動(dòng)終端中嵌入移動(dòng)證書標(biāo)識,用戶每次只需要將自己的移動(dòng)證書標(biāo)識與簽名數(shù)據(jù)一起提交給對方,對方再根據(jù)移動(dòng)證書標(biāo)識檢索相應(yīng)的數(shù)字證書即可。
目前,大多數(shù)移動(dòng)電子商務(wù)采用的安全方式是非PKI的方式,這種方式主要采用對稱加密算法和單向散列函數(shù)來提供安全服務(wù),其密鑰的管理是由移動(dòng)運(yùn)營商建立一套主密鑰管理系統(tǒng),為不同的服務(wù)提供商分配不同的密鑰,每次交易過程中,服務(wù)提供商與用戶協(xié)商產(chǎn)生會(huì)話加密密鑰����。顯然,采用這種方式構(gòu)建的系統(tǒng)的安全性主要取決于主密鑰的安全。
盡管非PKI方式對于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統(tǒng)的安全得到較好的保障,但是從長遠(yuǎn)來說,移動(dòng)電子商務(wù)有必要逐步過渡到PKI方式����。
移動(dòng)電子商務(wù)隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的成熟發(fā)展迅速,其獨(dú)特的應(yīng)用領(lǐng)域使得其安全問題倍受關(guān)注。從技術(shù)角度上看,一方面無線通信的安全處在不斷地發(fā)展和完善之中,其應(yīng)用到移動(dòng)電子商務(wù)中時(shí)要與其它的安全機(jī)制相結(jié)合才能滿足實(shí)際應(yīng)用的需要;另一方面有線電子商務(wù)的安全技術(shù)不能解決移動(dòng)電子商務(wù)的安全問題,所以WPKI技術(shù)是一個(gè)現(xiàn)實(shí)的選擇����。因此,將這兩方面進(jìn)行改進(jìn)并進(jìn)行有機(jī)整合,才能營造一個(gè)安全的移動(dòng)電子商務(wù)環(huán)境����。
參考文獻(xiàn):
1.儲節(jié)旺,郭春俠.移動(dòng)電子商務(wù)研究[J].現(xiàn)代情報(bào),2002,3(3)
2.姜志,聶志鋒.移動(dòng)電子商務(wù)及其關(guān)鍵技術(shù)[J].湖北郵電技術(shù),2002,9(3)
第4篇
[關(guān)鍵詞]電子商務(wù)安全技術(shù)密鑰數(shù)字簽名
一����、引言
電子商務(wù)是以電子信息技術(shù)為基礎(chǔ)的商務(wù)運(yùn)作,是信息技術(shù)的發(fā)展對社會(huì)經(jīng)濟(jì)生活產(chǎn)生巨大影響的一個(gè)實(shí)例����,也是網(wǎng)絡(luò)新經(jīng)濟(jì)迅猛發(fā)展的代表。電子商務(wù)的核心內(nèi)容是網(wǎng)上交易����,尤其是通過公共的因特網(wǎng)將眾多的社會(huì)經(jīng)濟(jì)成員聯(lián)系起來的網(wǎng)上交易更是成為發(fā)展的熱點(diǎn),
電子商務(wù)所具有的廣闊發(fā)展前景����,越來越為世人所矚目。但在Internet給人們帶來巨大便利的同時(shí)����,也把人們引進(jìn)了安全陷阱。目前����,阻礙電子商務(wù)廣泛應(yīng)用的首要也是最大的問題就是安全問題����。電子商務(wù)中的安全問題如得不到妥善解決����,電子商務(wù)應(yīng)用就只能是紙上談兵。從事電子商務(wù)活動(dòng)的主體都已普遍認(rèn)識到電子商務(wù)的交易安全是電子商務(wù)成功實(shí)施的基礎(chǔ)����,是企業(yè)制訂電子商務(wù)策略時(shí)必須首先要考慮的問題����。對于實(shí)施電子商務(wù)戰(zhàn)略的企業(yè)來說,保證電子商務(wù)的安全已成為當(dāng)務(wù)之急����。
二、電子商務(wù)過程中面臨的主要安全問題
從交易角度出發(fā)����,電子商務(wù)面臨的安全問題綜合起來包括以下幾個(gè)方面:
1.有效性
電子商務(wù)以電子形式取代了紙張,那么保證信息的有效性就成為開展電子商務(wù)的前提����。因此����,要對網(wǎng)絡(luò)故障����、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤����、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防����,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的����。
2.真實(shí)性
由于在電子商務(wù)過程中,買賣雙方的所有交易活動(dòng)都通過網(wǎng)絡(luò)聯(lián)系����,交易雙方可能素昧平生,相隔萬里����。要使交易成功����,首先要確認(rèn)對方的身份����。對于商家而言,要考慮客戶端不能是騙子����,而客戶端也會(huì)擔(dān)心網(wǎng)上商店是否是一個(gè)玩弄欺詐的黑店,因此����,電子商務(wù)的開展要求能夠?qū)灰字黧w的真實(shí)身份進(jìn)行鑒別����。
3.機(jī)密性
電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人����、企業(yè)或國家的商業(yè)機(jī)密。如信用卡的賬號和用戶名被人知悉����,就可能被盜用而蒙受經(jīng)濟(jì)損失����;訂貨和付款信息被競爭對手獲悉����,就可能喪失商機(jī)。因此建立在開放的網(wǎng)絡(luò)環(huán)境電子商務(wù)活動(dòng)����,必須預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。
三����、電子商務(wù)安全中的幾種技術(shù)手段
由于電子商務(wù)系統(tǒng)把服務(wù)商、客戶和銀行三方通過互聯(lián)網(wǎng)連接起來����,并實(shí)現(xiàn)了具體的業(yè)務(wù)操作。因此����,電子商務(wù)安全系統(tǒng)可以由三個(gè)安全服務(wù)器及CA認(rèn)證系統(tǒng)構(gòu)成,它們遵循共同的協(xié)議����,協(xié)調(diào)工作����,實(shí)現(xiàn)電子商務(wù)交易信息的完整性����、保密性和不可抵賴性等要求。其中采用的安全技術(shù)主要有以下幾種:
1.防火墻(FireWall)技術(shù)
防火墻是一種隔離控制技術(shù)����,在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障,阻止對信息資源的非法訪問����,也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。
2.加密技術(shù)
數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施����,貿(mào)易方可根據(jù)需要在信息交換的階段使用����。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式:對稱加密和非對稱加密,采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)����,而不能簡單地根據(jù)其加密強(qiáng)度來做出判斷����。
(1)對稱加密
在對稱加密方法中����,對信息的加密和解密都使用相同的密鑰。也就是說����,一把鑰匙開一把鎖。這種加密算法可簡化加密處理過程����,貿(mào)易雙方都不必彼此研究和交換專用的加密算法,如果進(jìn)行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露����,那么機(jī)密性和報(bào)文完整性就可以得到保證。不過����,對稱加密技術(shù)也存在一些不足,如果某一貿(mào)易方有n個(gè)貿(mào)易關(guān)系����,那么他就要維護(hù)n個(gè)私有密鑰����。對稱加密方式存在的另一個(gè)問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方����。因?yàn)橘Q(mào)易雙方共享一把私有密鑰。目前廣泛采用的對稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)����,它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域。DES對64位二進(jìn)制數(shù)據(jù)加密����,產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位����,實(shí)際密鑰長度為56位(8位用于奇偶校驗(yàn))。解密時(shí)的過程和加密時(shí)相似����,但密鑰的順序正好相反����。
(2)非對稱加密/公開密鑰加密
在Internet中使用更多的是公鑰系統(tǒng)����,即公開密鑰加密����。在該體系中,密鑰被分解為一對:公開密鑰PK和私有密鑰SK����。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開,而另一把則作為私有密鑰(解密密鑰)加以保存����。公開密鑰用于加密,私有密鑰用于解密����,私有密鑰只能由生成密鑰對的貿(mào)易方掌握,公開密鑰可廣泛����,但它只對應(yīng)于生成該密鑰的貿(mào)易方。在公開密鑰體系中����,加密算法E和解密算法D也都是公開的����。雖然SK與PK成對出現(xiàn)����,但卻不能根據(jù)PK計(jì)算出SK。
公開密鑰算法的特點(diǎn)如下:
用加密密鑰PK對明文X加密后����,再用解密密鑰SK解密,即可恢復(fù)出明文����,或?qū)憺椋篋SK(EPK(X))=X。
加密密鑰不能用來解密����,即DPK(EPK(X))≠X
在計(jì)算機(jī)上可以容易地產(chǎn)生成對的PK和SK。
從已知的PK實(shí)際上不可能推導(dǎo)出SK����。
加密和解密的運(yùn)算可以對調(diào),即:EPK(DSK(X))=X
常用的公鑰加密算法是RSA算法����,加密強(qiáng)度很高。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來����。發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加上數(shù)字簽名,做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名����,然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。這些密文被接收方收到后����,接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名,然后用方公布的公鑰對數(shù)字簽名進(jìn)行解密����,如果成功,則確定是由發(fā)送方發(fā)出的����。由于加密強(qiáng)度高,而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密����,因此十分適合Internet網(wǎng)上使用����。
3.數(shù)字簽名
數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全核心技術(shù)之一����,它實(shí)現(xiàn)的基礎(chǔ)就是加密技術(shù)。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實(shí)性的����。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何蓋章呢?這就是數(shù)字簽名所要解決的問題����。數(shù)字簽名必須保證以下幾點(diǎn):接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名;送者事后不能抵賴對報(bào)文的簽名����;接收者不能偽造對報(bào)文的簽名。現(xiàn)在己有多種實(shí)現(xiàn)數(shù)字簽名的方法����,采用較多的就是公開密鑰算法。
4.數(shù)字證書
(1)認(rèn)證中心
在電子交易中����,數(shù)字證書的發(fā)放不是靠交易雙方來完成的����,而是由具有權(quán)威性和公正性的第三方來完成的����。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)����、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。
(2)數(shù)字證書
數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份及他對網(wǎng)絡(luò)資源的訪問權(quán)限����。在網(wǎng)上的電子交易中,如雙方出示了各自的數(shù)字證書����,并用它來進(jìn)行交易操作,那么交易雙方都可不必為對方身份的真?zhèn)螕?dān)心����。
5.消息摘要(MessageDigest)
消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由RonRivest所發(fā)明的����。消息摘要是一個(gè)惟一對應(yīng)一個(gè)消息的值����。它由單向Hash加密算法對所需加密的明文直接作用����,生成一串128bit的密文,這一串密文又被稱為“數(shù)字指紋”(FingerPrint)����。所謂單向是指不能被解密,不同的明文摘要成密文����,其結(jié)果是絕不會(huì)相同的,而同樣的明文其摘要必定是一致的����,因此,這串摘要成為了驗(yàn)證明文是否是“真身”的數(shù)字“指紋”了����。
四、小結(jié)
本文詳細(xì)探討了電子商務(wù)安全體系所面臨的問題����,并提出了安全防護(hù)的幾種技術(shù)手段����,相信隨著時(shí)間的推移和技術(shù)的發(fā)展����,電子商務(wù)安全體系將越來越完善,足不出戶而通過Internet電子商務(wù)系統(tǒng)實(shí)現(xiàn)購物����、交易和做生意將成為人們生活的新時(shí)尚����。
參考文獻(xiàn):
[1]徐海來:電子商務(wù)的運(yùn)作與安全[J].中國信息導(dǎo)報(bào),2000.6:126
[2]劉進(jìn):電子商務(wù)網(wǎng)上交易系統(tǒng)[M].第一版,北京:機(jī)械工業(yè)出版社,2003:157
第5篇
關(guān)鍵詞:校園����;電子商務(wù);安全����;解決方案
引言
隨著網(wǎng)絡(luò)的不斷普及和電子商務(wù)的迅猛發(fā)展,電子商務(wù)這種商務(wù)活動(dòng)新模式已經(jīng)逐漸改變了人們的經(jīng)濟(jì)活動(dòng)方式����、工作方式和生活方式����,越來越多的人們開始接受并喜愛網(wǎng)上購物����,可是,電子商務(wù)發(fā)展的瓶頸——安全問題依然是制約人們進(jìn)行電子商務(wù)交易的最大問題����,因此,安全問題是電子商務(wù)的核心問題����,是實(shí)現(xiàn)和保證電子商務(wù)順利進(jìn)行的關(guān)鍵所在。校園電子商務(wù)是電子商務(wù)在校園環(huán)境下的具體應(yīng)用與實(shí)現(xiàn)����,其安全性也同樣是其發(fā)展所不容忽視的關(guān)鍵問題,因此應(yīng)當(dāng)著重研究����。
1校園電子商務(wù)概述。
1.1校園電子商務(wù)的概念����。
校園電子商務(wù)是電子商務(wù)在校園這個(gè)特定環(huán)境下的具體應(yīng)用����,它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)����、計(jì)算機(jī)硬件、軟件和安全通信手段構(gòu)建的滿足于校園內(nèi)單位����、企業(yè)和個(gè)人進(jìn)行商務(wù)、工作����、學(xué)習(xí)����、生活各方面活動(dòng)需要的一個(gè)高可用性、伸縮性和安全性的計(jì)算機(jī)系統(tǒng)����。
1.2校園電子商務(wù)的特點(diǎn)。
相對于一般電子商務(wù)����,校園電子商務(wù)具有客戶群穩(wěn)定����、網(wǎng)絡(luò)環(huán)境優(yōu)良����、物流配送方便、信用機(jī)制良好����、服務(wù)性大于盈利性等特點(diǎn),這些特點(diǎn)也是校園開展電子商務(wù)的優(yōu)勢所在����。與傳統(tǒng)校園商務(wù)活動(dòng)相比,校園電子商務(wù)的特點(diǎn)有:交易不受時(shí)間空間限制����、快捷方便、交易成本較低����。
2校園電子商務(wù)的安全問題。
2.1校園電子商務(wù)安全的內(nèi)容����。
校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分:校園網(wǎng)絡(luò)安全和校園支付交易安全����。校園網(wǎng)絡(luò)安全內(nèi)容主要包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全����、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等����。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動(dòng)在校園網(wǎng)應(yīng)用時(shí)所產(chǎn)生的各種安全問題,如網(wǎng)上交易信息����、網(wǎng)上支付以及配送服務(wù)等。
2.2校園電子商務(wù)安全威脅����。
校園電子商務(wù)安全威脅同樣來自網(wǎng)絡(luò)安全威脅與交易安全威脅����。然而,網(wǎng)絡(luò)安全與交易安全并不是孤立的����,而是密不可分且相輔相成的����,網(wǎng)絡(luò)安全是基礎(chǔ)����,是交易安全的保障。校園網(wǎng)也是一個(gè)開放性的網(wǎng)絡(luò)����,它也面臨許許多多的安全威脅,比如:身份竊取����、非授權(quán)訪問、冒充合法用戶����、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性����、拒絕服務(wù)、交易否認(rèn)����、數(shù)據(jù)流分析����、旁路控制����、干擾系統(tǒng)正常運(yùn)行、病毒與惡意攻擊����、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動(dòng)的安全性受到嚴(yán)重的威脅����,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露、篡改信息����、假冒和交易抵賴。信息泄露是非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使信息的機(jī)密性遭到破壞����;篡改信息是非法用戶對交易信息插入����、刪除或修改����,破壞信息的完整性����;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認(rèn)交易行為����,交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一。
2.3校園電子商務(wù)安全的基本安全需求����。
通過對校園電子商務(wù)安全威脅的分析,可以看出校園電子商務(wù)安全的基本要求是保證交易對象的身份真實(shí)性����、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認(rèn)性����。通過對校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求。
3校園電子商務(wù)安全解決方案。
3.1校園電子商務(wù)安全體系結(jié)構(gòu)����。
校園電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對其進(jìn)行整體的規(guī)劃����。根據(jù)校園電子商務(wù)的安全需求,通過對校園人文環(huán)境����、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃����,再結(jié)合的電子商務(wù)的安全技術(shù),總結(jié)校園電子商務(wù)安全體系結(jié)構(gòu)����,如圖所示:
上述安全體系結(jié)構(gòu)中,人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及校園電子商務(wù)特有的校園信息文化����,它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境;基礎(chǔ)設(shè)施層包括校園網(wǎng)����、虛擬專網(wǎng)VPN和認(rèn)證中心����;邏輯實(shí)體層包括校園一卡通����、支付網(wǎng)關(guān)����、認(rèn)證服務(wù)器和交易服務(wù)器;安全機(jī)制層包括加密技術(shù)����、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機(jī)制;應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺����,包括網(wǎng)上交易、支付和配送服務(wù)等����。
針對上述安全體系結(jié)構(gòu),具體的方案有:
(1)營造良好校園人文環(huán)境。加強(qiáng)大學(xué)生的道德教育����,培養(yǎng)校園電子商務(wù)參與者們的信息文化知識與素養(yǎng)、增強(qiáng)高校師生的法律意識和道德觀念����,共同營造良好的校園電子商務(wù)人文環(huán)境,防止人為惡意攻擊和破壞����。
(2)建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程����,校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián),由學(xué)校結(jié)算中心專門處理與金融機(jī)構(gòu)的業(yè)務(wù)����,可以大大提高校園網(wǎng)上支付的安全性。
(3)建立統(tǒng)一身份認(rèn)證系統(tǒng)����。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能。
(4)組織物流配送團(tuán)隊(duì)����。校園師生居住地點(diǎn)相對集中����,一般來說就在學(xué)校內(nèi)部或校園附近����,只需要很少的人員就可以解決物流配送問題����,而不需要委托第三方物流公司,在校園內(nèi)建立一個(gè)物流配送團(tuán)隊(duì)就可以準(zhǔn)確及時(shí)的完成配送服務(wù)����。
3.2校園網(wǎng)絡(luò)安全對策。
保障校園網(wǎng)絡(luò)安全的主要措施有:
(1)防火墻技術(shù)����。利用防火墻技術(shù)來實(shí)現(xiàn)校園局域網(wǎng)的安全性,以解決訪問控制問題����,使只有授權(quán)的校園合法用戶才能對校園網(wǎng)的資源進(jìn)行訪問,防止來自外部互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的破壞����。
(2)病毒防治技術(shù)����。在任何網(wǎng)絡(luò)環(huán)境下����,計(jì)算機(jī)病毒都具有不可估量的威脅性和破壞力,校園網(wǎng)雖然是局域網(wǎng)����,可是免不了計(jì)算機(jī)病毒的威脅,因此����,加強(qiáng)病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。
(3)VPN技術(shù)����。目前,我國高校大都已經(jīng)建立了校園一卡通工程����,如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的安全傳輸����。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護(hù)和改進(jìn)����。
3.3交易信息安全對策����。
針對校園電子商務(wù)中交易信息安全問題,可以用電子商務(wù)的安全機(jī)制來解決����,例如數(shù)據(jù)加密技術(shù)����、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等。通過數(shù)據(jù)加密����,可以保證信息的機(jī)密性;通過采用數(shù)字摘要����、數(shù)字簽名、數(shù)字信封����、數(shù)字時(shí)間戳和數(shù)字證書等安全機(jī)制來解決信息的完整性和不可否認(rèn)性的問題����;通過安全協(xié)議方法����,建立安全信息傳輸通道來保證電子商務(wù)交易過程和數(shù)據(jù)的安全。
(1)數(shù)據(jù)加密技術(shù)����。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數(shù)據(jù)的機(jī)密����,主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)����,加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對稱加密����,即加密密鑰不同于解密密鑰,加密密鑰公之于眾����,而解密密鑰不公開����。
(2)認(rèn)證技術(shù)����。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù),它是網(wǎng)上交易支付的前提����,負(fù)責(zé)對交易各方的身份進(jìn)行確認(rèn)。在校園電子商務(wù)中����,網(wǎng)上交易認(rèn)證可以通過校園統(tǒng)一身份認(rèn)證系統(tǒng)(例如校園一卡通系統(tǒng))來進(jìn)行對交易各方的身份認(rèn)證。
(3)安全協(xié)議技術(shù)����。目前����,電子商務(wù)發(fā)展較成熟和實(shí)用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析����,校園電子商務(wù)更適合采用SSL協(xié)議����。SSL位于傳輸層與應(yīng)用層之間����,能夠更好地封裝應(yīng)用層數(shù)據(jù),不用改變位于應(yīng)用層的應(yīng)用程序����,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務(wù)器之間的一條安全通信通道����,保證傳輸數(shù)據(jù)的安全。
3.4基于一卡通的校園電子商務(wù)����。
目前,我國高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善����,使用校園一卡通進(jìn)行校園電子商務(wù)的網(wǎng)上支付可以增強(qiáng)校園電子商務(wù)的支付安全,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風(fēng)險(xiǎn)等����。同時(shí)����,使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網(wǎng)是一個(gè)內(nèi)部網(wǎng)絡(luò)����,它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設(shè)施����,來自外部網(wǎng)絡(luò)人員的破壞可能性很小。同時(shí)����,校園一卡通中心有著良好的安全機(jī)制,使得使用校園一卡通在校內(nèi)進(jìn)行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微����。
(2)校園一卡通具有統(tǒng)一身份認(rèn)證系統(tǒng),能夠?qū)⑴c交易的各方進(jìn)行身份認(rèn)證����,各方的交易活動(dòng)受到統(tǒng)一的審計(jì)和監(jiān)控����,統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠����。校園網(wǎng)絡(luò)管理中對不同角色的用戶享有不同級別的授權(quán)����,使其網(wǎng)上活動(dòng)受到其身份的限制,有效防止一些惡意事情的發(fā)生����。同時(shí),由于校內(nèi)人員身份單一����,多為學(xué)生,交易中一旦發(fā)生糾紛����,身份容易確認(rèn),糾紛就容易解決����。
4結(jié)束語。
開展校園電子商務(wù)是推進(jìn)校園信息化建設(shè)的重要內(nèi)容����,隨著我國校園信息化建設(shè)的不斷深入����,目前已有許多高校開展了校園電子商務(wù)����,它極大的方便了校園內(nèi)師生員工的工作、學(xué)習(xí)����、生活?���?墒桥c此同時(shí),安全問題成為制約校園電子商務(wù)發(fā)展的障礙����。因此,如何建立一個(gè)安全����、便捷的校園電子商務(wù)應(yīng)用環(huán)境,讓師生能夠方便可靠的進(jìn)行校園在線交易和網(wǎng)上支付����,是當(dāng)前校園電子商務(wù)發(fā)展要著重研究的關(guān)鍵問題。
參考文獻(xiàn):
[1]李洪心����。電子商務(wù)安全[M].大連:東北財(cái)經(jīng)大學(xué)出版社,2008.
[2]楊堅(jiān)爭����,趙雯,楊立釩����。電子商務(wù)安全與電子支付[M].北京:機(jī)械工業(yè)出版社,2008.
[3]劉克強(qiáng)����。電子交易與支付[M].北京:人民郵電出版社,2007.
第6篇
[關(guān)鍵詞]電子商務(wù)����;安全需求;安全技術(shù)����;協(xié)議技術(shù)電子商務(wù)(ElectronicCommerce)是上世紀(jì)90年代初期在西方發(fā)達(dá)國家首先興起的一種嶄新的利用國際互聯(lián)網(wǎng)絡(luò)Internet這種先進(jìn)通訊工具的企業(yè)經(jīng)營方式����。它是通過網(wǎng)絡(luò)技術(shù)的應(yīng)用����,快速而且有效的進(jìn)行各種商務(wù)活動(dòng)的全新方法。電子商務(wù)無疑是近幾年來使用頻率最高的詞匯之一����,隨著電子商務(wù)的興起,它的信息安全問題也日益引人注目����。由于電子商務(wù)是在公開的網(wǎng)上進(jìn)行的,支付信息����、訂貨信息、談判信息����、機(jī)密的商務(wù)往來文件等大量商務(wù)信息在計(jì)算機(jī)系統(tǒng)中存放、傳輸和處理����,所以如果不能很好地解決信息安全問題����,電子商務(wù)的發(fā)展肯定會(huì)受到影響����。
一����、電子商務(wù)的安全需求
1.信息有效性、真實(shí)性
電子商務(wù)以電子形式取代了紙張����,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開展電子商務(wù)的前提����。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人����、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。
2.信息機(jī)密性
電子商務(wù)作為貿(mào)易的一種手段����,其信息直接廠代表著個(gè)人����、企業(yè)或國家的商業(yè)機(jī)密����。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的����,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。
3.信息完整性
電子商務(wù)簡化了貿(mào)易過程����,減少了人為的干預(yù),同時(shí)也帶來維護(hù)商業(yè)信息的完整����、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為����,可能導(dǎo)致貿(mào)易各信息的差異。因此����,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸����、存儲及電子商務(wù)完整性檢查的正確和可靠����。
4.信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^����;不可抵賴性要求即是能建立有效的責(zé)任機(jī)制����,防止實(shí)體否認(rèn)其行為;可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式����。
5.系統(tǒng)的可靠性
電子商務(wù)系統(tǒng)是計(jì)算機(jī)系統(tǒng),其可靠性是防止計(jì)算機(jī)失效����、程序錯(cuò)誤、傳輸錯(cuò)誤����、自然災(zāi)害等引起的計(jì)算機(jī)信息失誤或失效����。
二����、電子商務(wù)的信息安全技術(shù)
1.數(shù)據(jù)加密技術(shù)
加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式,即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)����。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層,使用經(jīng)過加密的數(shù)據(jù)包傳送����、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害����。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法,這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對較為簡單����,不需要對電子信息(數(shù)據(jù)包)所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求,對電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障����。
1)電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要(digitaldigest)
這一加密方法亦稱安全Hash編碼法����,由RonRivest所設(shè)計(jì)����。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文,這一串密文亦稱為數(shù)字指紋(FingerPrint)����,它有固定的長度,且不同的明文摘要成密文����,其結(jié)果總是不同的����,而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了����。
數(shù)字簽名(digitalsignature)
數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來使用����。主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要)����,用自己的私有密鑰對這個(gè)散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名����。然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方����。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值,接著再用發(fā)送方的公開密鑰來對報(bào)文附加的數(shù)字簽名進(jìn)行解密����,如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的����,通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別。概括的說����,簽名的作用有兩點(diǎn),一是因?yàn)樽约旱暮灻y以否認(rèn)����,從而確認(rèn)了文件已簽署這一事實(shí)����;二是因?yàn)楹灻灰追旅?���,從而確定了文件是真的這一事實(shí)。
數(shù)字時(shí)間戳(digitaltime-stamp)交
易文件中����,時(shí)間是十分重要的信息。在電子交易中����,需對交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)����。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔����,它包括三個(gè)部分:需加時(shí)間戳的文件的摘要(digest);DTS收到文件的日期和時(shí)間����;DTS的數(shù)字簽名����。
數(shù)字證書(digitalcertificate,digitalID)數(shù)字證書又稱為數(shù)字憑證����,是用電子手段來證實(shí)一個(gè)用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限。目前����,最有效的認(rèn)證方式是由權(quán)威的認(rèn)證機(jī)構(gòu)為參與電子商務(wù)的各方發(fā)放證書,證書作為網(wǎng)上交易參與各方的身份識別����,就好象每個(gè)公民都用身份證來證明身份一樣。認(rèn)證中心作為電子商務(wù)交易中受信任的第三方����,承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任,是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)定證書的權(quán)威機(jī)構(gòu)����。因而網(wǎng)絡(luò)中所有用戶可以將自己的公鑰交給這個(gè)中心,并提供自己的身份證明信息����,證明自己是相應(yīng)公鑰的擁有者����,認(rèn)證中心審查用戶提供的信息后����,如果確認(rèn)用戶是合法的,就給用戶一個(gè)數(shù)字證書����。這樣,每個(gè)成員只需和認(rèn)證中心打交道����,就可以查到其他成員的公鑰信息了。對于在網(wǎng)上進(jìn)行交易的雙方來說����,數(shù)字證書對他們之間建立信任是至關(guān)重要的。數(shù)字憑證有三種類型:個(gè)人憑證����、企業(yè)(服務(wù)器)憑證����、軟件(開發(fā)者)憑證����;大部分認(rèn)證中心提供前兩類憑證����。
2.身份認(rèn)證技術(shù)
為解決Internet的安全問題,初步形成了一套完整的Internet安全解決方案����,即被廣泛采用的公鑰基礎(chǔ)設(shè)施(PKI)體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰����,通過第三方的可信機(jī)構(gòu)CA,把用戶的公鑰和用戶的其他標(biāo)識信息(如名稱���、e-mail���、身份證號等)捆綁在一起,在Internet網(wǎng)上驗(yàn)證用戶的身份���,PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來���,在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理���,保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性���。
1)認(rèn)證系統(tǒng)的基本原理
利用RSA公開密鑰算法在密鑰自動(dòng)管理���、數(shù)字簽名、身份識別等方面的特性���,可建立一個(gè)為用戶的公開密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)���。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱為CA,CA為用戶發(fā)放電子證書���,用戶之間利用證書來保證信息安全性和雙方身份的合法性���。
2)認(rèn)證系統(tǒng)結(jié)構(gòu)
整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境,系統(tǒng)從功能上基本可以劃分為CA���、RA和WebPublisher���。
核心系統(tǒng)跟CA放在一個(gè)單獨(dú)的封閉空間中,為了保證運(yùn)行的絕對安全���,其人員及制度都有嚴(yán)格的規(guī)定���,并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)。CA的功能是在收到來自RA的證書請求時(shí)���,頒發(fā)證書���。
證書的登記機(jī)構(gòu)RegisterAuthority,簡稱RA���,分散在各個(gè)網(wǎng)上銀行的地區(qū)中心���。RA與網(wǎng)銀中心有機(jī)結(jié)合,接受客戶申請���,并審批申請���,把證書正式請求通過建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心���。
證書的公布系統(tǒng)WebPublisher,簡稱WP���,置于Internet網(wǎng)上���,是普通用戶和CA直接交流的界面。對用戶來講它相當(dāng)于一個(gè)在線的證書數(shù)據(jù)庫���。用戶的證書由CA頒發(fā)之后���,CA用E-mail通知用戶,然后用戶須用瀏覽器從這里下載證書���。
3.網(wǎng)上支付平臺及支付網(wǎng)關(guān)
網(wǎng)上支付平臺分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)���。網(wǎng)上支付平臺支付型電子商務(wù)業(yè)務(wù)提供各種支付手段,包括基于SET標(biāo)準(zhǔn)的信用卡支付方式���、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段���。
支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間���,其主要功能為:將公網(wǎng)傳來的數(shù)據(jù)包解密,并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包���;接收銀行系統(tǒng)內(nèi)部的傳回來的響應(yīng)消息,將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式���,并對其進(jìn)行加密���。此外,支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能���。
三���、電子商務(wù)信息安全中的其它問題
1.內(nèi)部安全
最近的調(diào)查表明,至少有75%的信息安全問題來自內(nèi)部���,在信用卡和商業(yè)詐騙中���,內(nèi)部人員所占的比例最大;
2.惡意代碼
它們將繼續(xù)對所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅,并且���,其數(shù)量將隨著Internet的發(fā)展和編程環(huán)境的豐富而增多���,擴(kuò)散起來也更加便利,因此���,造成的破壞也就越大���;
3.可靠性差
目前,Internet主干網(wǎng)和DNS服務(wù)器的可靠性還遠(yuǎn)遠(yuǎn)不能滿足人們的要求���,而絕大
部分撥號PPP連接質(zhì)量并不可靠���,且速度很慢;
4.技術(shù)人才短缺
由于Internet和網(wǎng)絡(luò)購物都是在近幾年得到了迅猛的發(fā)展���,因而���,許多地方都缺乏足夠的技術(shù)人才來處理其中遇到的各種問題,尤其是網(wǎng)絡(luò)購物具有24x7(每天24小時(shí)���,每周7天都能工作)的要求���,因而迫切需要有一大批專業(yè)技術(shù)人員對其進(jìn)行管理���。如果說加密技術(shù)是電子交易安全的“硬件”,那么人才問題則可以說是“軟件”���。從某種意義上講,軟件的問題解決起來可能更不容易���,因此���,技術(shù)人才的短缺可能成為阻礙網(wǎng)絡(luò)購物發(fā)展的一個(gè)重要因素。
5.Web服務(wù)器的保護(hù)意識差
在交易過程中對數(shù)據(jù)進(jìn)行保護(hù)只是保證交易安全的一個(gè)方面���。由于交易的信息均存儲在服務(wù)器上���,因此,即使保密信息被客戶端接收之后���,也必須對存儲在服務(wù)器中的數(shù)據(jù)進(jìn)行保護(hù)���。目前���,Web服務(wù)器是黑客們最喜歡攻擊的目標(biāo)。因此���,建議盡量不要將Web服務(wù)和連接到任何內(nèi)部網(wǎng)絡(luò)���,而且要定期對數(shù)據(jù)進(jìn)行備份,以便于服務(wù)器被攻擊之后對數(shù)據(jù)進(jìn)行恢復(fù)���。當(dāng)然���,這畢竟有些不太現(xiàn)實(shí),現(xiàn)在許多流行的Web應(yīng)用都需要Web服務(wù)器與公司的數(shù)據(jù)庫進(jìn)行交互式操作���,這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連���,而這個(gè)連接也就成為黑客們從Web站點(diǎn)侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通路。雖然防火墻技術(shù)有助于對web站點(diǎn)進(jìn)行保護(hù)���,但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護(hù)���,因而沒有對Web服務(wù)器進(jìn)行很好的保護(hù)���,這是商家的Web站點(diǎn)尤其要引起注意的地方。
四���、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論
1.SSL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議———面向連接的協(xié)議���。
SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性,它不能保證信息的不可抵賴性���,主要適用于點(diǎn)對點(diǎn)之間的信息傳輸,常用WebServer方式���。但它是一個(gè)面向連接的協(xié)議���,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證���,而電子商務(wù)往往是用戶���、網(wǎng)站���、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。
2.SET協(xié)議(SecureElectronicTransaction)安全電子交易———專門為電子商務(wù)而設(shè)計(jì)的協(xié)議���。由于SET提供了消費(fèi)者���、商家和銀行之間的認(rèn)證,確保了交易數(shù)據(jù)的安全性���、完整可靠性和交易的不可否認(rèn)性���,特別是保證不將消費(fèi)者銀行卡號暴露給商家等優(yōu)點(diǎn),因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)���。雖然它在很多方面優(yōu)于SSL協(xié)議���,但仍然不能解決電子商務(wù)所遇到的全部問題。
結(jié)束語
本文分析了目前電子商務(wù)的安全需求���,使用的安全技術(shù)及仍存在的問題���,并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn)���,但必須強(qiáng)調(diào)說明的是,電子商務(wù)的安全運(yùn)行���,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的���,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題���,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展���。
[參考文獻(xiàn)]
①姚立新,新世紀(jì)商務(wù):電子商務(wù)的知識發(fā)展與運(yùn)作���,中國發(fā)展出版社���,1999年���。
②《中國電子商務(wù)年鑒》2003卷���。
第7篇
關(guān)鍵詞:校園���;電子商務(wù);安全���;解決方案
引言
隨著網(wǎng)絡(luò)的不斷普及和電子商務(wù)的迅猛發(fā)展���,電子商務(wù)這種商務(wù)活動(dòng)新模式已經(jīng)逐漸改變了人們的經(jīng)濟(jì)活動(dòng)方式、工作方式和生活方式���,越來越多的人們開始接受并喜愛網(wǎng)上購物���,可是,電子商務(wù)發(fā)展的瓶頸——安全問題依然是制約人們進(jìn)行電子商務(wù)交易的最大問題���,因此���,安全問題是電子商務(wù)的核心問題,是實(shí)現(xiàn)和保證電子商務(wù)順利進(jìn)行的關(guān)鍵所在���。校園電子商務(wù)是電子商務(wù)在校園環(huán)境下的具體應(yīng)用與實(shí)現(xiàn)���,其安全性也同樣是其發(fā)展所不容忽視的關(guān)鍵問題���,因此應(yīng)當(dāng)著重研究。
1校園電子商務(wù)概述���。
1.1校園電子商務(wù)的概念���。
校園電子商務(wù)是電子商務(wù)在校園這個(gè)特定環(huán)境下的具體應(yīng)用,它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)���、計(jì)算機(jī)硬件���、軟件和安全通信手段構(gòu)建的滿足于校園內(nèi)單位、企業(yè)和個(gè)人進(jìn)行商務(wù)���、工作���、學(xué)習(xí)、生活各方面活動(dòng)需要的一個(gè)高可用性���、伸縮性和安全性的計(jì)算機(jī)系統(tǒng)。
1.2校園電子商務(wù)的特點(diǎn)。
相對于一般電子商務(wù)���,校園電子商務(wù)具有客戶群穩(wěn)定���、網(wǎng)絡(luò)環(huán)境優(yōu)良、物流配送方便���、信用機(jī)制良好���、服務(wù)性大于盈利性等特點(diǎn),這些特點(diǎn)也是校園開展電子商務(wù)的優(yōu)勢所在���。與傳統(tǒng)校園商務(wù)活動(dòng)相比���,校園電子商務(wù)的特點(diǎn)有:交易不受時(shí)間空間限制、快捷方便���、交易成本較低���。
2校園電子商務(wù)的安全問題。
2.1校園電子商務(wù)安全的內(nèi)容���。
校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分:校園網(wǎng)絡(luò)安全和校園支付交易安全���。校園網(wǎng)絡(luò)安全內(nèi)容主要包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全���、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等���。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動(dòng)在校園網(wǎng)應(yīng)用時(shí)所產(chǎn)生的各種安全問題���,如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務(wù)等���。
2.2校園電子商務(wù)安全威脅���。
校園電子商務(wù)安全威脅同樣來自網(wǎng)絡(luò)安全威脅與交易安全威脅。然而���,網(wǎng)絡(luò)安全與交易安全并不是孤立的���,而是密不可分且相輔相成的,網(wǎng)絡(luò)安全是基礎(chǔ)���,是交易安全的保障���。校園網(wǎng)也是一個(gè)開放性的網(wǎng)絡(luò),它也面臨許許多多的安全威脅���,比如:身份竊取���、非授權(quán)訪問、冒充合法用戶���、數(shù)據(jù)竊取���、破壞數(shù)據(jù)的完整性、拒絕服務(wù)���、交易否認(rèn)���、數(shù)據(jù)流分析、旁路控制���、干擾系統(tǒng)正常運(yùn)行���、病毒與惡意攻擊���、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動(dòng)的安全性受到嚴(yán)重的威脅���,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露���、篡改信息、假冒和交易抵賴���。信息泄露是非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使信息的機(jī)密性遭到破壞���;篡改信息是非法用戶對交易信息插入、刪除或修改���,破壞信息的完整性���;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認(rèn)交易行為���,交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一���。
2.3校園電子商務(wù)安全的基本安全需求���。
通過對校園電子商務(wù)安全威脅的分析,可以看出校園電子商務(wù)安全的基本要求是保證交易對象的身份真實(shí)性���、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認(rèn)性���。通過對校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求���。
3校園電子商務(wù)安全解決方案。
3.1校園電子商務(wù)安全體系結(jié)構(gòu)���。
校園電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)工程���,因此要從系統(tǒng)的角度對其進(jìn)行整體的規(guī)劃。根據(jù)校園電子商務(wù)的安全需求���,通過對校園人文環(huán)境���、網(wǎng)絡(luò)環(huán)境���、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃,再結(jié)合的電子商務(wù)的安全技術(shù)���,總結(jié)校園電子商務(wù)安全體系結(jié)構(gòu)���,如圖所示:
上述安全體系結(jié)構(gòu)中,人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及校園電子商務(wù)特有的校園信息文化���,它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境���;基礎(chǔ)設(shè)施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認(rèn)證中心���;邏輯實(shí)體層包括校園一卡通���、支付網(wǎng)關(guān)、認(rèn)證服務(wù)器和交易服務(wù)器���;安全機(jī)制層包括加密技術(shù)���、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機(jī)制���;應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺,包括網(wǎng)上交易���、支付和配送服務(wù)等���。
針對上述安全體系結(jié)構(gòu),具體的方案有:
(1)營造良好校園人文環(huán)境���。加強(qiáng)大學(xué)生的道德教育,培養(yǎng)校園電子商務(wù)參與者們的信息文化知識與素養(yǎng)���、增強(qiáng)高校師生的法律意識和道德觀念���,共同營造良好的校園電子商務(wù)人文環(huán)境,防止人為惡意攻擊和破壞���。
(2)建立良好網(wǎng)上支付環(huán)境���。目前我國高校大都建立了校園一卡通工程,校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián)���,由學(xué)校結(jié)算中心專門處理與金融機(jī)構(gòu)的業(yè)務(wù)���,可以大大提高校園網(wǎng)上支付的安全性���。
(3)建立統(tǒng)一身份認(rèn)證系統(tǒng)。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能���。
(4)組織物流配送團(tuán)隊(duì)���。校園師生居住地點(diǎn)相對集中,一般來說就在學(xué)校內(nèi)部或校園附近���,只需要很少的人員就可以解決物流配送問題���,而不需要委托第三方物流公司,在校園內(nèi)建立一個(gè)物流配送團(tuán)隊(duì)就可以準(zhǔn)確及時(shí)的完成配送服務(wù)���。
3.2校園網(wǎng)絡(luò)安全對策���。
保障校園網(wǎng)絡(luò)安全的主要措施有:
(1)防火墻技術(shù)。利用防火墻技術(shù)來實(shí)現(xiàn)校園局域網(wǎng)的安全性,以解決訪問控制問題���,使只有授權(quán)的校園合法用戶才能對校園網(wǎng)的資源進(jìn)行訪問���,防止來自外部互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的破壞。
(2)病毒防治技術(shù)���。在任何網(wǎng)絡(luò)環(huán)境下���,計(jì)算機(jī)病毒都具有不可估量的威脅性和破壞力,校園網(wǎng)雖然是局域網(wǎng)���,可是免不了計(jì)算機(jī)病毒的威脅���,因此���,加強(qiáng)病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)���。
(3)VPN技術(shù)。目前���,我國高校大都已經(jīng)建立了校園一卡通工程���,如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全���、保證數(shù)據(jù)的安全傳輸。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護(hù)和改進(jìn)���。
3.3交易信息安全對策���。
針對校園電子商務(wù)中交易信息安全問題,可以用電子商務(wù)的安全機(jī)制來解決���,例如數(shù)據(jù)加密技術(shù)���、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等。通過數(shù)據(jù)加密���,可以保證信息的機(jī)密性���;通過采用數(shù)字摘要、數(shù)字簽名���、數(shù)字信封���、數(shù)字時(shí)間戳和數(shù)字證書等安全機(jī)制來解決信息的完整性和不可否認(rèn)性的問題���;通過安全協(xié)議方法,建立安全信息傳輸通道來保證電子商務(wù)交易過程和數(shù)據(jù)的安全���。
(1)數(shù)據(jù)加密技術(shù)���。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數(shù)據(jù)的機(jī)密���,主要有對稱加密和非對稱加密���。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰���。不對稱加密,即加密密鑰不同于解密密鑰���,加密密鑰公之于眾���,而解密密鑰不公開���。
(2)認(rèn)證技術(shù)。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù)���,它是網(wǎng)上交易支付的前提���,負(fù)責(zé)對交易各方的身份進(jìn)行確認(rèn)。在校園電子商務(wù)中���,網(wǎng)上交易認(rèn)證可以通過校園統(tǒng)一身份認(rèn)證系統(tǒng)(例如校園一卡通系統(tǒng))來進(jìn)行對交易各方的身份認(rèn)證���。
(3)安全協(xié)議技術(shù)。目前���,電子商務(wù)發(fā)展較成熟和實(shí)用的安全協(xié)議是SET和SSL協(xié)議���。通過對SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析,校園電子商務(wù)更適合采用SSL協(xié)議���。SSL位于傳輸層與應(yīng)用層之間���,能夠更好地封裝應(yīng)用層數(shù)據(jù)���,不用改變位于應(yīng)用層的應(yīng)用程序,對用戶是透明的���。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務(wù)器之間的一條安全通信通道���,保證傳輸數(shù)據(jù)的安全。
3.4基于一卡通的校園電子商務(wù)���。
目前���,我國高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善,使用校園一卡通進(jìn)行校園電子商務(wù)的網(wǎng)上支付可以增強(qiáng)校園電子商務(wù)的支付安全���,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風(fēng)險(xiǎn)等���。同時(shí),使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網(wǎng)是一個(gè)內(nèi)部網(wǎng)絡(luò)���,它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵���,由于有防火墻及反病毒軟件等安全防范設(shè)施,來自外部網(wǎng)絡(luò)人員的破壞可能性很小���。同時(shí)���,校園一卡通中心有著良好的安全機(jī)制,使得使用校園一卡通在校內(nèi)進(jìn)行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微���。超級秘書網(wǎng)
(2)校園一卡通具有統(tǒng)一身份認(rèn)證系統(tǒng)���,能夠?qū)⑴c交易的各方進(jìn)行身份認(rèn)證,各方的交易活動(dòng)受到統(tǒng)一的審計(jì)和監(jiān)控���,統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠���。校園網(wǎng)絡(luò)管理中對不同角色的用戶享有不同級別的授權(quán),使其網(wǎng)上活動(dòng)受到其身份的限制���,有效防止一些惡意事情的發(fā)生���。同時(shí)���,由于校內(nèi)人員身份單一,多為學(xué)生���,交易中一旦發(fā)生糾紛���,身份容易確認(rèn),糾紛就容易解決���。
4結(jié)束語���。
開展校園電子商務(wù)是推進(jìn)校園信息化建設(shè)的重要內(nèi)容,隨著我國校園信息化建設(shè)的不斷深入���,目前已有許多高校開展了校園電子商務(wù)���,它極大的方便了校園內(nèi)師生員工的工作、學(xué)習(xí)���、生活���?��?墒桥c此同時(shí)���,安全問題成為制約校園電子商務(wù)發(fā)展的障礙���。因此,如何建立一個(gè)安全���、便捷的校園電子商務(wù)應(yīng)用環(huán)境���,讓師生能夠方便可靠的進(jìn)行校園在線交易和網(wǎng)上支付,是當(dāng)前校園電子商務(wù)發(fā)展要著重研究的關(guān)鍵問題���。
參考文獻(xiàn):
[1]李洪心���。電子商務(wù)安全[M].大連:東北財(cái)經(jīng)大學(xué)出版社,2008.
[2]楊堅(jiān)爭���,趙雯���,楊立釩���。電子商務(wù)安全與電子支付[M].北京:機(jī)械工業(yè)出版社,2008.
[3]劉克強(qiáng)���。電子交易與支付[M].北京:人民郵電出版社���,2007.
第8篇
【摘要】網(wǎng)絡(luò)金融安全問題是特定歷史發(fā)展階段的問題,是應(yīng)對金融全球化負(fù)面影響的產(chǎn)物���。網(wǎng)上銀行的安全既是用戶最關(guān)心的問題���,也是輿論長期關(guān)注的焦點(diǎn)。文章首先探討網(wǎng)絡(luò)金融概念特點(diǎn)���,繼而分析我國網(wǎng)絡(luò)金融安全現(xiàn)狀���,最后提出改善我國網(wǎng)絡(luò)金融安全幾點(diǎn)對策。
【關(guān)鍵詞】網(wǎng)絡(luò)金融;風(fēng)險(xiǎn);電子貨幣;對策 網(wǎng)絡(luò)金融安全
是一項(xiàng)系統(tǒng)工程���,涉及硬件���、軟件���、防火墻、網(wǎng)絡(luò)監(jiān)控���、身份認(rèn)證���、通信加密���、災(zāi)難恢復(fù)���、安全掃描等多個(gè)安全要素。而網(wǎng)絡(luò)金融安全問題關(guān)乎我國的經(jīng)濟(jì)安全甚至國家安全���。因此���,必須站在更高的層面審視網(wǎng)絡(luò)金融安全問題。
一���、網(wǎng)絡(luò)金融概念特點(diǎn)
(一)概念
網(wǎng)絡(luò)金融���,又稱電子金融(e-finance)���,是一種通過個(gè)人電腦、通信終端或其他智能設(shè)備���,借助國際互聯(lián)網(wǎng)和通信技術(shù)無境域限制的聯(lián)結(jié)客戶與金融機(jī)構(gòu)���,以實(shí)現(xiàn)及時(shí)獲取經(jīng)濟(jì)金融信息、享受網(wǎng)上金融服務(wù)���、開展網(wǎng)上金融交易的金融活動(dòng)���。網(wǎng)絡(luò)金融包括在線銀行、網(wǎng)上保險(xiǎn)���、網(wǎng)上證券���、網(wǎng)上期貨、網(wǎng)上支付���、網(wǎng)上結(jié)算等金融業(yè)務(wù)���。
網(wǎng)絡(luò)金融安全���,是指金融網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)���,不受偶然的或者惡意的原因而遭到破壞���、更改、泄露���,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)暢通快捷���。網(wǎng)絡(luò)金融安全包括系統(tǒng)安全和信息安全兩個(gè)部分���,系統(tǒng)安全主要指網(wǎng)絡(luò)設(shè)備的硬件、操作系統(tǒng)以及應(yīng)用軟件的安全���,信息安全主要指各種信息的存儲���、傳輸和訪問的安全���。
(二)特點(diǎn)
世界第一家網(wǎng)絡(luò)銀行——美國安全第一網(wǎng)絡(luò)銀行(SFNB)自1995年10月18日開業(yè)以來,國際金融界掀起了一股網(wǎng)絡(luò)銀行浪潮���。這一金融創(chuàng)新正徹底顛覆了金融業(yè)和金融市場的業(yè)態(tài)���,銀行由實(shí)體化向虛擬化發(fā)展,金融服務(wù)的時(shí)空界限不再明顯���。與傳統(tǒng)金融相比���,網(wǎng)絡(luò)金融具有以下一些特點(diǎn):
無界性。網(wǎng)絡(luò)金融的無界性主要是指金融活動(dòng)無時(shí)空局限���,打破傳統(tǒng)的金融服務(wù)時(shí)間���、境域、空間���、方式等限制���。網(wǎng)絡(luò)經(jīng)營企業(yè)只要開通網(wǎng)絡(luò)金融業(yè)務(wù)���,世界各地的上網(wǎng)用戶皆可能在任一時(shí)間、任一地點(diǎn)���、以任一方式成為其客戶���,并以商家愿意接受的任一電子貨幣支付,交易地域模糊性給計(jì)量造成困難���。
3���、低成本。虛擬形態(tài)的網(wǎng)絡(luò)銀行交易成本遠(yuǎn)小于物理形態(tài)的金融機(jī)構(gòu)經(jīng)營成本���,而且服務(wù)效率得到提高、服務(wù)質(zhì)量沒有降低���。這是網(wǎng)絡(luò)金融得以出現(xiàn)并迅速發(fā)展的最主要原因���。
4、加密性���。傳統(tǒng)金融下交易過程依賴于物理設(shè)置和現(xiàn)場辦公���,而網(wǎng)絡(luò)金融下交易過程采取技術(shù)上加密算法或認(rèn)證系統(tǒng)的變更或認(rèn)證來實(shí)現(xiàn)���。
5、信用性���。電子貨幣和網(wǎng)絡(luò)金融的發(fā)展���,使得一些電子商務(wù)公司等非金融機(jī)構(gòu)涉足短期電子商業(yè)信貸、中介支付���、投資理財(cái)顧問等金融或準(zhǔn)金融業(yè)務(wù)���,而金融交易信息傳輸保存的安全性、客戶個(gè)人信息���、交易信息和財(cái)務(wù)信息的保護(hù)日益受到公眾的關(guān)注���。無疑,人的信用價(jià)值以及游戲規(guī)則的固化是網(wǎng)絡(luò)金融快速發(fā)展基石���。
二���、網(wǎng)絡(luò)金融安全現(xiàn)狀
網(wǎng)絡(luò)金融安全伴隨著網(wǎng)上交易的整個(gè)過程���。主要有兩個(gè)方面:一是來自金融機(jī)構(gòu)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)自身的安全以及自身的管理水平和內(nèi)控能力���。如由于軟硬件配置不匹配���、系統(tǒng)設(shè)計(jì)不合理、運(yùn)行不穩(wěn)定等形成的安全隱患;二是來自于金融機(jī)構(gòu)外部���,取決于選擇的開發(fā)商���、供應(yīng)商、咨詢或評估公司的水平���,以及其他各種外來因素如黑客攻擊、自然災(zāi)害侵襲等所造成的安全問題���。
有關(guān)調(diào)查表明���,目前國內(nèi)80%的網(wǎng)站都存在安全隱患���,其中有20%網(wǎng)站的安全問題還十分嚴(yán)重。安全問題已日益成為困擾網(wǎng)上金融交易的最大問題���,影響我國網(wǎng)上金融業(yè)務(wù)的健康發(fā)展���。網(wǎng)絡(luò)金融活動(dòng)中的安全隱患,主要表現(xiàn)在:
網(wǎng)絡(luò)系統(tǒng)漏洞���?��;ヂ?lián)網(wǎng)本身固有的技術(shù)體制存在缺陷?��;谶h(yuǎn)程通信的便利���,互聯(lián)網(wǎng)并未考慮安全性問題,因而基于信任主機(jī)之間的通信而設(shè)計(jì)的TCP/IP協(xié)議缺乏安全機(jī)制���,建立在互聯(lián)網(wǎng)絡(luò)為基礎(chǔ)的金融網(wǎng)絡(luò)系統(tǒng)存在安全漏洞���,防毒軟件功能不強(qiáng)���,造成網(wǎng)絡(luò)運(yùn)行不穩(wěn)定,被病毒入侵���、被黑客攻擊���,輕者數(shù)據(jù)毀壞丟失,重者燒毀硬件���。目前全球的黑
客攻擊事件���,40%是針對金融系統(tǒng)的,我國則高達(dá)60%以上���。
3���、交易系統(tǒng)缺陷。按照我國有關(guān)規(guī)定���,金融機(jī)構(gòu)的網(wǎng)上業(yè)務(wù)要達(dá)到三級安全標(biāo)準(zhǔn)���,但目前大多數(shù)金融機(jī)構(gòu)的安全狀況都未達(dá)到這一要求,其自行開發(fā)���、應(yīng)用的網(wǎng)上交易系統(tǒng)大多未經(jīng)過權(quán)威部門的檢測認(rèn)證���,存在安全控制技術(shù)落后、安全防范措施不到位���、抗攻擊能力不強(qiáng)���、響應(yīng)滯后、訪問授權(quán)混亂���、客戶地址及郵箱等資源保護(hù)不力等情況���。出現(xiàn)系統(tǒng)虛假信息泛濫;賬戶密碼被黑客破譯,數(shù)據(jù)資料���、交易指令被篡改���,資金被盜取���,股票、債券���、基金等金融資產(chǎn)被盜賣;信息傳遞的私密性���、真實(shí)性、完整性���、不可否認(rèn)性缺乏保障等等現(xiàn)象���。
4、交易監(jiān)管滯后���。由于網(wǎng)絡(luò)金融交易的不透明���、虛擬性、開放性���,增大了交易者之間身份確認(rèn)���、交易真實(shí)性驗(yàn)證���、信用評價(jià)方面的信息不對稱,決定了網(wǎng)上支付和結(jié)算系統(tǒng)全球化���,提高了信用風(fēng)險(xiǎn)程度。目前���,我國網(wǎng)絡(luò)金融運(yùn)作監(jiān)管經(jīng)驗(yàn)不足���、手段不全、技術(shù)落后���、分業(yè)網(wǎng)上監(jiān)管職責(zé)界定不清���、內(nèi)控制度不健全、網(wǎng)上業(yè)務(wù)定期內(nèi)部審計(jì)流于形式���,出現(xiàn)了網(wǎng)上業(yè)務(wù)運(yùn)作中密碼控制不嚴(yán)���、軟件控制功能薄弱���、授權(quán)機(jī)制執(zhí)行不力等問題。
5���、協(xié)同機(jī)制缺乏���。各銀行網(wǎng)絡(luò)系統(tǒng)各自為政,各行間信息隔絕���,缺乏溝通協(xié)作���。有的商業(yè)銀行將其銀行網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)、建設(shè)實(shí)施方案等作為絕密材料被保存���,行業(yè)間數(shù)據(jù)資源共享是一道屏障���,造成資源資金浪費(fèi),延誤了整個(gè)金融業(yè)的發(fā)展���。 6���、應(yīng)急預(yù)案缺失���。除上述種種因素外,金融機(jī)構(gòu)未對停電���、暴力犯罪等人為因素以及地震等自然災(zāi)害等突發(fā)性不確定事件的發(fā)生制定切實(shí)可行的應(yīng)急預(yù)案���,在一定程度上影響著網(wǎng)絡(luò)金融的運(yùn)行安全。
三���、網(wǎng)絡(luò)金融安全對策
強(qiáng)化技術(shù)防范。網(wǎng)絡(luò)金融安全防范中���,技術(shù)防范是關(guān)鍵���。金融企業(yè)應(yīng)制定全面周密的軟硬件裝備升級換代方案,即時(shí)引進(jìn)和應(yīng)用符合國家安全標(biāo)準(zhǔn)具有較高安全系數(shù)的金融電子化軟件平臺和金融電子設(shè)備核心技術(shù)���,保證計(jì)算機(jī)應(yīng)用軟件的不斷升級���,維護(hù)網(wǎng)絡(luò)系統(tǒng)健康運(yùn)行���。要配備性能良好的內(nèi)外網(wǎng)絡(luò)防火墻���、病毒防御與殺毒軟件,定期升級���,嚴(yán)格網(wǎng)絡(luò)登錄口(下轉(zhuǎn)第235頁)(上接第233頁)令管理等���。要采用數(shù)字證書等較高級別的網(wǎng)絡(luò)加密技術(shù),設(shè)置交易中的客戶身份認(rèn)證和交易密碼���。此外���,要進(jìn)一步加大投入,網(wǎng)絡(luò)信息安全產(chǎn)品���,研發(fā)網(wǎng)絡(luò)安全系統(tǒng)���、語音鑒別系統(tǒng)、電子轉(zhuǎn)賬系統(tǒng)���、智能卡識別系統(tǒng)���、管理信息系統(tǒng)等���,提高金融裝備國產(chǎn)化水平,夯實(shí)金融安全基礎(chǔ)���。
3���、加緊人才培養(yǎng)。網(wǎng)絡(luò)金融機(jī)構(gòu)要培養(yǎng)一批既掌握計(jì)算機(jī)枝術(shù)���、網(wǎng)絡(luò)技術(shù)���、通信技術(shù)���,又掌握金融實(shí)務(wù)和管理知識的復(fù)合型高級技術(shù)人才和管理人才���。從國家層面講,要積極培養(yǎng)政治過硬���、技術(shù)全面���、業(yè)務(wù)精湛���、作風(fēng)扎實(shí)的金融執(zhí)法隊(duì)伍,提高金融執(zhí)法人員素質(zhì)���,嚴(yán)厲懲治金融犯罪和違法���、違規(guī)活動(dòng)。從企業(yè)層面講���,要通過不間斷的全員培訓(xùn)培養(yǎng)教育���,讓全體從業(yè)人員全面了解網(wǎng)絡(luò)技術(shù)安全缺陷,充分認(rèn)識潛在的網(wǎng)絡(luò)安全隱患危害性���,掌握必要的軟件系統(tǒng)安全技術(shù)���、數(shù)據(jù)信息安全技術(shù)、病毒防治技術(shù)等���。要通過改善硬件設(shè)施和辦公條件���,提高從業(yè)人員素質(zhì)���,提高員工業(yè)務(wù)水平,盡可能減少操作失誤帶來的麻煩���,保證網(wǎng)絡(luò)金融企業(yè)的經(jīng)濟(jì)穩(wěn)定運(yùn)行和持續(xù)發(fā)展���。
4、加強(qiáng)內(nèi)部控制���。網(wǎng)絡(luò)金融機(jī)構(gòu)要參照相關(guān)的法規(guī)條例���,制定各項(xiàng)安全管理制度,包括業(yè)務(wù)操作規(guī)程���、計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)庫���、病毒防治���、密鑰等安全管理制度。要加強(qiáng)人員變動(dòng)管理,及時(shí)注銷���、移交和變更原有的密鑰等信息資料���。要建立數(shù)據(jù)備份中心,實(shí)現(xiàn)數(shù)據(jù)可追溯性���。
5���、加強(qiáng)預(yù)警監(jiān)控。掌控網(wǎng)絡(luò)金融風(fēng)險(xiǎn)重在預(yù)警評估與防范���。網(wǎng)絡(luò)金融機(jī)構(gòu)���,要建立網(wǎng)絡(luò)金融風(fēng)險(xiǎn)預(yù)警機(jī)制,專人監(jiān)控業(yè)務(wù)運(yùn)行���,加工處理數(shù)據(jù)���,研究數(shù)據(jù)指標(biāo),制定網(wǎng)絡(luò)金融風(fēng)險(xiǎn)應(yīng)急處理預(yù)案���,發(fā)現(xiàn)指標(biāo)逼近預(yù)警線���,果斷采取風(fēng)險(xiǎn)防范措施以應(yīng)對���。
6、加強(qiáng)監(jiān)管合作���。面對網(wǎng)絡(luò)金融市場高度國際化���,大部分金融交易依賴于電子網(wǎng)絡(luò),網(wǎng)絡(luò)銀行資金日趨龐大和資金流動(dòng)速度加快���,但由于網(wǎng)絡(luò)技術(shù)發(fā)展存在先天性缺陷——技術(shù)漏洞���,使得網(wǎng)絡(luò)安全成為制約網(wǎng)絡(luò)金融發(fā)展的最大障礙。我國金融管理機(jī)構(gòu)有必要適時(shí)同外國金融監(jiān)管當(dāng)局開展廣泛的國際合作���,溝通信息���,打擊犯罪���,規(guī)范業(yè)務(wù)合作的程序���,交換網(wǎng)絡(luò)監(jiān)管措施���,創(chuàng)造網(wǎng)絡(luò)金融活動(dòng)的準(zhǔn)則。
[2]熊建宇.網(wǎng)絡(luò)金融的特點(diǎn)及安全體系構(gòu)建[J].科技信息,2010(31).
