《电子商务安全问题》由会员分享,可在线阅读,更多相关《电子商务安全问题(13页珍藏版)》请在金锄头文库上搜索。
1、电子商务是互联网应用的重要趋势之一,也是国际金融贸易中越来越 重要的经营模式之一,以后会逐渐地成为我们经济生活中一个重要的 部分,安全是保证电子商务健康有序发展的关键因素,也是目前大家 十分关注的话题,下面将就电子商务发展中的几个热点问题,谈谈个 人的看法。一、怎么看待安全与发展的关系谈到安全与发展两者之间的关系时,许多人都会认为安全更重要, 而实际上在信息化发展的过程中,发展自始至终都应是放在第一位 的,因为没有发展安全就无从谈起,没有发展就是最大的不安全。从国内外的情况来看,电子商务发展的速度太快,致使其安全技术 和安全管理跟不上,这是一个越来越突出的问题。电子商务的快速发 展需要业界,特
2、别是信息安全业快速地作出反应,否则安全方面的问 题将会制约它的发展。现在不仅仅是发展中国家,就连美国这样的发 达国家,电子商务在很多领域还是没有像其它传统的商务那样发达, 一个重要的原因就是安全问题。这就需要信息安全业的同行作出不懈 的努力,不要因为安全问题而制约了电子商务的发展。二、如何看待电子商务的安全问题在正确看待电子商务的安全问题时,有几个观念值得注意:其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题, 不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行 业管理以及人们的行为模式都紧密地联系在一起了。其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已 经很安
3、全,但是如果非要用石头去砸,那就不安全了。我们不会因为 石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认 识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不 要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起 的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永 远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。其三,安全是有成本和代价的。无论是现在国外的B-to-B还是 B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必 定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把 安全性保障得更好一些,当然这与电子商务的具体应用
4、有关。如果不 直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支 付问题对安全的要求就要高一些,所以安全是有成本和代价的。作为 一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研 发技术时也要考虑到这些因素。其四,安全是发展的、动态的。今天安全明天就不一定很安全,因 为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全 技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地 检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一 蹴而就的安全。电子商务的安全问题21世纪是信息爆炸和依赖数字化生存的世纪。大量的信息通过国际 互联网迅速传播,将世界原有的有形
5、界限全然打破。电子商务正由于 这种信息的快速流动和资源的海量集成而悄然崛起,并将成为21世 纪人类信息社会的核心。随着科技的迅速发展,传统的商务形式受到 越来越大的冲击,以网络化、知识管理、全球化为主要特征的信息化 社会已是不可逆转的趋势,电子商务化已成为企业发展的必由之路。所谓电子商务是指企业利用互联网络处理日常的业务、交易,即与供 应商、顾客、银行、分销商和其他贸易伙伴的日常联系。美国学者 Kalakota & Whinston认为,从通讯的角度来看,电子商务是利用电话 线、电脑网络来传输资讯、产品和服务;从企业流程的角度来看,电 子商务是商业交易及工作流程自动化的技术应用;从服务的角度来
6、 看,电子商务是企业管理阶层想要降低成本,同时又要提高产品品质 及加速服务传递速度的一种工具;从网络的角度来看,电子商务提供 了网络上的采购与销售产品和提供服务的能力。电子商务改变了传统的买卖双方面对面的交流方式,也打破了旧 有的工作经营模式,它通过网络使企业面对整个世界,为用户提供全 天候的服务。电子商务能大大简化业务流程,降低企业运作成本,达 到优化资源管理方式。而电子商务下企业成本优势以可靠和高效的物 流运作为保证。电子商务具备着巨大优势,电子商务受到了政府、企 业界的高度重视,纷纷以不同的形式介入电子商务活动中,使电子商 务在短短的几年中以惊人的速度在发展。随着电子商务环境的改善以 及
7、电子商务所具备的巨大优势,电子商务受到了政府、企业界的高度 重视,纷纷以不同的形式介入电子商务活动中,使电子商务在短短的 几年中以惊人的速度在发展。电子商务的发展改变了企业的竞争方式,通过电子商务的开展可以增 加企业的竞争力和竞争优势。近年来,以发达国家为先导的全球电子 商务高速增长,据Network公司统计,剔除递送费用,2005年美国网络 购物总交易额高达820亿美元。电子商务如此飞速的增长速度,使它 带来的商机是巨大而深远的。各国政府纷纷制定电子商务规划,大力 发展自己国家的电子商务建设。随着互联网的全面普及,基于互联网的电子商务在近年来获得了巨大 的发展,成为一种全新的商务模式,被许多
8、经济专家认为是新的经济 增长点。作为一种全新的商务模式,它有很大的发展前途选商品,并 最后在付款台结账。这也就构成网上商店软件的三大支柱:商品目录、 顾客购物车和付款台。好的商品目录可以使顾客通过最简单的方式找 到其需要的商品,并可以通过文字说明、图像显示、客户评论等充分 了解产品各种信息;商品购物车则衔接商店和个人,客户既可以把他 喜欢的商品一个个放到购物车里,也可以从购物车中取出,直到最后 付款;付款台是网络交易的最终环节,也是最关键的环节。顾客运用 某种电子货币和商店进行交易必须对顾客和商店都是安全可靠的。为了促进电信市场的开放和协调世界各国的电信政策,世界贸易 组织在1997年成功地缔
9、结了基础通信协定。该协定将保证全球电信 市场的竞争,加强国家之间的合作。2.3企业级电子商务体系企业级电子商务是电子商务体系的基础。在科技高速发展、经济 形势快速变化的今天,人们不再是先生产而后去寻找市场,而是先获 取市场信息再组织生产。随着知识经济时代的来临,信息已成为主导 全球经济的基础。企业内部信息网络:Intranet,是一种新的企业内部 信息管理和交换的基础设施,在网络、事务处理以及数据库上继承了 以往的MIS(管理信息系统)成果,而在软件上则引入因特网的通信 标准和WWW内容的标准。Intranet的兴起,将封闭的、单项系统的 MIS改造为一个开放、易用、高效及内容和形式丰富多彩的
10、企业信息 网络,实现企业的全面信息化。企业信息网络应包含生产、产品开发、 销售和市场、决策支持、客户服务和支持及办公事务管理等方面。对 于大型企业,同时要注意建设企业内部科技信息数据库,如对技术革 新、新产品开发、科技档案、科技图书、科技论文、科技成果、能源 消耗、原辅材料等各种数据库的建设。当然还要选择一些专业网络和 地方网络入网。题。在金融专网和因特网之间设置支付网关,作为支付结算的安全屏 障2.6协同作业体系在电子商务中,所谓协同作业,包括工商、税务、银行、运输、 商检、海关、外汇、保险、电信、认证等部门,以及商城、商户、企 业、客户等单位按一定规范与程序相互配合,相互衔接,协同工作,
11、共同完成有关电子商务活动。所谓协同作业体系包括:有关协同作业部门(不含广大客户)通过专线或IP隧道与电子商城 互连;共同协商制定统一高效的作业规范与程序; 共同制定降低电子商务运行成本的资费政策; 推行实施协同工作(CSCW)。2.7法律政策环境目前在我国,统一合同法(技术合同、经济合同、对外经济合同 统一)即将由全国人大通过后出台,在统一合同法中已承认电子合同 与书面合同一样具有合法性,意即可证明买卖成立,但不能解决合同 纠纷问题,要解决此问题有两条出路:(1)到法院起诉(无法律依据); (2)通过仲裁解决(要制定协议)。建立电子商务活动的技术标准也是至关重要的。在电子商务试点阶 段,实行税
12、费优惠政策也有利于电子商务的推广。3电子商务面临的安全问题由于电子商务是以计算机网络为基础的,因此它不可避免面临着 一系列的安全问题。(1) 信息泄漏(2) 窜改(3) 身份识别的情况。电脑病毒问题(5)黑客问题双方提供信用担保;要求软件遵循相同的协议和消息格式,使不同厂家开发的软件具有 兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。 SET规范涉及的范围:加密算法的应用(例如RSA和DES);证书信息和对象格式;购买信息和对象格式;认可信息和对象格式;划账信息和对象格式;对话实体之间消息的传输协议。SET协议中的角色有:消费者:在电子商务环境中,消费者和团体购买者通过计算机与商
13、家 交流,消费者通过由发卡机构颁发的付款卡(例如信用卡、借记卡)进 行结算。在消费者和商家的会话中,SET可以保证消费者的个人账号 信息不被泄露。发卡机构:它是一个金融机构,为每一个建立了账户的顾客颁发付款 卡。商家:提供商品或服务,使用SET,就可以保证消费者个人信息的安 全。接受卡支付的商家必须和银彳丁有关系。银行:在线交易的商家在银行开立账号,并且处理支付卡的认证和支 付。支付网关:是由银行操作的,将Internet上的传输数据转换为金融机 构内部数据的设备,或由指派的第三方处理商家支付信息和顾客的支 付指令。SET是针对用卡支付的网上交易而设计的支付规范,对不用卡支付的 交易方式,像货
14、到付款方式、邮局汇款方式则与SET无关。另外像 网上商店的页面安排、保密数据在购买者计算机上如何保存等,也与 SET无关。SET协议的工作原理如图1所示。图1 SET协议的工作原理3.3支付协议中采用的加密技术下面主要还是以SET为例,来深入说明加密技术在协议中的体现。 SET将对称密钥的快速、低成本和非对称密钥的有效性完美地结合在 一起。以下是SET使用的加密技术。考虑网上商店的情况,对于成千上万的消费者和商家在Internet 上交换信息,要对每一个消费者通过某个渠道发放一个密钥,在现实 中是不可取的。而用公开密钥,商家生成一个公共密钥对,任何一个 消费者都可用商家公开发布的公钥与商家进行
15、保密通信。1. 数字信封:SET依靠密码系统保证消息的可靠传输,在SET中, 使用DES算法产生的对称密钥来加密数据,然后,将此对称密钥用 接收者的公钥加密,称为消息的“数字信封”,将其和数据一起送给接 收者,接收者先用他的私钥解密数字信封,得到对称密钥,然后使用 对称密钥解开数据。2. 数字签名:由于公开密钥和私有密钥之间存在的数学关系,使用 其中一个密钥加密的数据只能用另一个密钥解开,SET中使用RSA 算法来实现。发送者用自己的私有密钥加密数据传给接收者,接收者 用发送者的公钥解开数据后,就可确定消息来自于谁。这就保证了发 送者对所发信息不能抵赖。3. 消息摘要:消息摘要是一个惟一对应一
16、个消息或文本的值,由一个单向Hash加密函数对消息作用产生。在SET协议中,原文通过SHA-1算法生成消息的文摘。用发送者的私有密钥加密摘要附在原文 后面,一般称为消息的数字签名。数字签名的接受者可以确信消息 确实来自谁,另外,如果消息在途中改变了,则接收者通过对收到消 息的新产生的摘要与原摘要比较,就可知道消息是否被改变了。因此 消息摘要保证了消息的完整性。图2说明了加密、签名和消息摘要的过程。3.4身份认证技术数字凭证的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:凭证拥有者的姓名;凭证拥有者的公共密钥;公共密钥的有效期;颁发数字凭证的单位;数字凭证的序列号。2. CA。CA是提供身份验证的第三方机构,由一个或多个用户信任 的组织实体。例如,持卡人要与商家通信,
