① 請你談談電子商務的安全需求及主要的技術解決方法有哪些
電子商務面臨的威脅的出現導致了對電子商務安全的需求,也是真正實現一個安全電子商務系統所要求做到的各個方面,主要包括機密性、完整性、認證性和不可抵賴性。
1. 機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網路環境上的(尤其Internet 是更為開放的網路),維護商業機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。機密性一般通過密碼技術來對傳輸的信息進行加密處理來實現。
2. 完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由於數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是電子商務應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復並保證信息傳送次序的統一。完整性一般可通過提取信息消息摘要的方式來獲得。
3. 認證性。由於網路電子商務交易系統的特殊性,企業或個人的交易通常都是在虛擬的網路環境中進行,所以對個人或企業實體進行身份性確認成了電子商務中得很重要的一環。對人或實體的身份進行鑒別,為身份的真實性提供保證,即交易雙方能夠在相互不見面的情況下確認對方的身份。這意味著當某人或實體聲稱具有某個特定的身份時,鑒別服務將提供一種方法來驗證其聲明的正確性,一般都通過證書機構CA和證書來實現。
4. 不可抵賴性。電子商務可能直接關繫到貿易雙方的商業交易,如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證電子商務順利進行的關鍵。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易夥伴,確定合同、契約、單據的可靠性並預防抵賴行為的發生。這也就是人們常說的"白紙黑字"。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。不可抵賴性可通過對發送的消息進行數字簽名來獲取。
5. 有效性。電子商務以電子形式取代了紙張,那麼如何保證這種電子形式的貿易信息的有效性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性將直接關繫到個人、企業或國家的經濟利益和聲譽。因此,要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
電子商務安全中的主要技術
電子商務安全是信息安全的上層應用,它包括的技術范圍比較廣,主要分為網路安全技術和密碼技術兩大類,其中密碼技術可分為加密、數字簽名和認證技術等。
1. 網路安全技術
網路安全是電子商務安全的基礎,一個完整的電子商務系統應建立在安全的網路基礎設施之上。網路安全所涉及到的方面比較,如操作系統安全、防火牆技術、虛擬專用網VPN技術和各種反黑客技術和漏洞檢測技術等。其中最重要的就是防火牆技術。
防火牆是建立在通信技術和信息安全技術之上,它用於在網路之間建立一個安全屏障,根據指定的策略對網路數據進行過濾、分析和審計,並對各種攻擊提供有效的防範。主要用於Internet接入和專用網與公用網之間的安全連接。
VPN 也使一項保證網路安全的技術之一,它是指在公共網路中建立一個專用網路,數據通過建立好的虛擬安全通道在公共網路中傳播。企業只需要租用本地的數據專線,連接上本地的公眾信息網,其各地的分支機構就可以互相之間安全傳遞信息;同時,企業還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以連接進入企業網中。使用VPN有節省成本、提供遠程訪問、擴展性強、便於管理和實現全面控制等好處,是目前和今後企業網路發展的趨勢。
2. 加密技術
加密技術是保證電子商務安全的重要手段,許多密碼演算法現已成為網路安全和商務信息安全的基礎。密碼演算法利用密秘密鑰(secret keys)來對敏感信息進行加密,然後把加密好的數據和密鑰(要通過安全方式)發送給接收者,接收者可利用同樣的演算法和傳遞來的密鑰對數據進行解密,從而獲取敏感信息並保證了網路數據的機密性。利用另外一種稱為數字簽名(digital signature)的密碼技術可同時保證網路數據的完整性和真實性。利用密碼技術可以達到對電子商務安全的需求,保證商務交易的機密性、完整性、真實性和不可否認性等。
密碼技術雖然在第二次世界大戰期間才開始流行,在當前才廣泛應用於網路安全和電子商務安全之中,但其起源可追溯到幾千年前,其思想目前還在使用,只是在處理過程中增加了數學上的復雜性。
加密技術包括私鑰加密和公鑰加密。私鑰加密,又稱對稱密鑰加密,即信息的發送方和接收方用一個密鑰去加密和解密數據,目前常用的私鑰加密演算法包括DES和 IDEA等。對稱加密技術的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。
公鑰密鑰加密,又稱不對稱密鑰加密系統,它需要使用一對密鑰來分別完整家密和解密操作,一個公開發布,稱為公開密鑰(Public-Key);另一個由用戶自己秘密保存,稱為私有密鑰(Private-Key)。信息發送者人用公開密鑰去加密,而信息接收者則用私有密鑰去解密。通過數學的手段保證加密過程是一個不可逆過程,即用公鑰加密的信息只能是用與該公鑰配對的私有密鑰才能解密。常用的演算法是RSA、ElGamal等。公鑰機制靈活,但加密和解密速度卻比對稱密鑰加密慢的多
為了充分利用公鑰密碼和對稱密碼演算法的優點,克服其缺點,解決每次傳送更換密鑰的問題,提出混合密碼系統,即所謂的電子信封(envelope)技術。發送者自動生成對稱密鑰,用對稱密鑰加密鑰發送的信息,將生成的密文連同用接收方的公鑰加密後的對稱密鑰一起傳送出去。收信者用其秘密密鑰解密被加密的密鑰來得到對稱密鑰,並用它來解密密文。這樣保證每次傳送都可由發送方選定不同密鑰進行,更好的保證了數據通信的安全性。
使用混合密碼系統可同時提供機密性保障和存取控制。利用對稱加密演算法加密大量輸入數據可提供機密性保障,然後利用公鑰加密對稱密鑰。如果想使多個接收者都能使用該信息,可以對每一個接收者利用其公鑰加密一份對稱密鑰即可,從而提供存取控制功能。
3. 數字簽名
數字簽名中很常用的就是散列(HASH)函數,也稱消息摘要(Message Digest)、哈希函數或雜湊函數等,其輸入為一可變長輸入,返回一固定長度串,該串被稱為輸入的散列值(消息摘要)
日常生活中,通常通過對某一文檔進行簽名來保證文檔的真實有效性,可以對簽字方進行約束,防止其抵賴行為,並把文檔與簽名同時發送以作為日後查證的依據。在網路環境中,可以用電子數字簽名作為模擬,從而為電子商務提供不可否認服務。
數字簽名相對於手寫簽名在安全性方面具有如下好處:數字簽名不僅與簽名者的私有密鑰有關,而且與報文的內容有關,因此不能將簽名者對一份報文的簽名復制到另一份報文上,同時也能防止篡改報文的內容。
4. 認證機構和數字證書
② 電子商務常用的安全措施
就整個系統而言,安全性可以分為四個層次
1.網路節點的安全
2.通訊的安全性
3.程序的安全性
4.用戶的認證管理
其中2、3、4層是通過操作系統和Web伺服器軟體實現,網路節點的安全性依靠防火牆保證,我們應該首先保證網路節點的安全性。
一、網路節點的安全
1.防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務WEB伺服器端的通訊;
(2)電子商務WEB伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。
2.安全鏈路
在客戶端瀏覽器和商務WEB伺服器之間採用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。採用的是瀏覽器預設的4O位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制,SSL首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(RSA)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、程序的安全性
即使正確地配置了訪問控制規則,要滿足機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份,IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用ID號和密碼口令的身份確認機制。
2.CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。CA中心一般是公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。
③ 電子商務安全方面的措施有哪些
適當設置防護措施可以降低或防止來自現實的威脅。在通信安全、計算機安全、物理安全、人事安全、管理安全和媒體安全方面均可採取一定的措施,整個系統的安全取決於系統中最薄弱環節的安全水平,這就需要從系統設計上進行全面的考慮,折中選取。
電子商務中的安全措施包括有下述幾類:
(1)保證交易雙方身份的真實性:常用的處理技術是身份認證,依賴某個可信賴的機構(CA認證中心)發放證書,並以此識別對方。目的是保證身份的精確性,分辨參與者身份的真偽,防止偽裝攻擊。
(2)保證信息的保密性:保護信息不被泄露或被披露給未經授權的人或組織,常用的處理技術是數據加密和解密,其安全性依賴於使用的演算法和密鑰長度。常見的加密方法有對稱式密鑰加密技術(如DES演算法)和公開密鑰加密技術(如RSA演算法)。
(3)保證信息的完整性:常用數據雜湊等技術來實現。通過散列演算法來保護數據不被未授權者(非法用戶)建立、嵌入、刪除、篡改、重放。典型的散列演算法為美國國家安全局開發的單向散列演算法之一。
(4)保證信息的真實性:常用的處理手段是數字簽名技術。目的是為了解決通信雙方相互之間可能的欺詐,如發送用戶對他所發送信息的否認、接收用戶對他已收到信息的否認等,而不是對付未知的攻擊者,其基礎是公開密鑰加密技術。目前,可用的數字簽名演算法較多,如RSA數字簽名、ELGamal數字簽名等。
(5)保證信息的不可否認性:通常要求引入認證中心(CA)進行管理,由CA發放密鑰,傳輸的單證及其簽名的備份發至CA保存,作為可能爭議的仲裁依據。
(6)保證存儲信息的安全性:規范內部管理,使用訪問控制許可權和日誌,以及敏感信息的加密存儲等。當使用WWW伺服器支持電子商務活動時,應注意數據的備份和恢復,並採用防火牆技術保護內部網路的安全性。
④ 電子商務平台經營者應該採取什麼措施保障網路安全
法律分析:電子商務平台經營者應當採取技術措施和其他必要措施保證其網路安全、穩定運行,防範網路違法犯罪活動,有效應對網路安全事件,保障電子商務交易安全。
法律依據:《中華人民共和國電子商務法》
第三十條 電子商務平台經營者應當採取技術措施和其他必要措施保證其網路安全、穩定運行,防範網路違法犯罪活動,有效應對網路安全事件,保障電子商務交易安全。
電子商務平台經營者應當制定網路安全事件應急預案,發生網路安全事件時,應當立即啟動應急預案,採取相應的補救措施,並向有關主管部門報告。
第三十一條 電子商務平台經營者應當記錄、保存平台上發布的商品和服務信息、交易信息,並確保信息的完整性、保密性、可用性。商品和服務信息、交易信息保存時間自交易完成之日起不少於三年;法律、行政法規另有規定的,依照其規定。
⑤ 簡述電子商務的安全隱患與解決措施
1、數據傳輸安全隱患。
電子商務是在開放的互聯網上進行的貿易,大量的商務信息在計算機和網路上上存放、傳輸,從而形成信息傳輸風險。因此措施可以通過採用數據加密(包括秘密密鑰加密和公開密鑰加密)來實現的,數字信封技術是結合密鑰加密和公開密鑰加密技術實現的。
2、數據完整性的安全隱患。
數據的完整性安全隱患是指數據在傳輸過程中被篡改。因此確保數據不被篡改的措施可以通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。
3、身份驗證的安全隱患。
網上通信雙方互不見面,在交易或交換敏感信息時確認對方等真實身份以及確認對方的賬戶信息的真實與否,為身份驗證的安全隱患。解決措施可以通過採用口令技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。
4、交易抵賴的安全隱患。
網上交易的各方在進行數據傳輸時,當發生交易後交易雙方不認可為本人真實意願的表達而產生的抵賴安全隱患。措施為交易時必須有自身特有的、無法被別人復制的信息,以保證交易發生糾紛時有所對證,可以通過數字簽名技術和數字證書技術來實現的。
(5)電商網路安全的方法擴展閱讀:
電子商務分類:
1、企業對企業的電子商務(B2B);
2、企業對消費者的電子商務(B2C);
3、企業對政府的電子商務(B2G);
4、消費者對政府的電子商務(C2G);
5、消費者對消費者的電子商務(C2C);
6、企業、消費者、代理商三者相互轉化的電子商務(ABC);
7、以消費者為中心的全新商業模式(C2B2S);
8、以供需方為目標的新型電子商務(P2D)。
⑥ 電子商務過程中的常用安全措施和技術有哪些
電子商務的一個重要技術特徵是利用IT技術來傳輸和處理商業信息。因此,電子商務安全從整體上可分為兩大部分:計算機網路安全和商務交易安全。
計算機網路安全的內容包括:
計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案,以保證計算機網路自身的安全性為目標。
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。
計算機網路安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。沒有計算機網路安全作為基礎,商務交易安全就猶如空中樓閣,無從談起。沒有商務交易安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求。
計算機網路安全體系
一個全方位的計算機網路安全體系結構包含網路的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火牆技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,並增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。
在實施網路安全防範措施時:
首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;
其次要用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;
從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;
利用RAID5等數據存儲技術加強數據備份和恢復措施;
對敏感的設備和數據要建立必要的物理或邏輯隔離措施;
對在公共網路上傳輸的敏感信息要進行強度的數據加密;
安裝防病毒軟體,加強內部網的整體防病毒措施;
建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
電子商務的安全交易主要的協議標准有:
安全超文本傳輸協議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸的安全性。
安全套接層協議(SSL):由Netscape公司提出的安全交易協議,提供加密、認證服務和報文的完整性。SSL被用於Netscape Communicator和Microsoft IE瀏覽器,以完成需要的安全交易操作。
安全交易技術協議(STT,Secure Transaction Technology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在Internet Explorer中採用這一技術。
安全電子交易協議(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標准SET發布公告,並於1997年5月底發布了SET Specification Version 1.0,它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。
SET 2.0預計今年發布,它增加了一些附加的交易要求。這個版本是向後兼容的,因此符合SET 1.0的軟體並不必要跟著升級,除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全,確定應用之互通性,並使全球市場接受。
所有這些安全交易標准中,SET標准以推廣利用信用卡支付網上交易,而廣受各界矚目,它將成為網上交易安全通信協議的工業標准,有望進一步推動Internet電子商務市場。
主要的安全技術有:
虛擬專用網(VPN)
這是用於Internet交易的一種專用網路,它可以在兩個系統之間建立安全的信道(或隧道),用於電子數據交換(EDI)。它與信用卡交易和客戶發送訂單交易不同,因為在VPN中,雙方的數據通信量要大得多,而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可,沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性,因而能夠保證數據的保密性和可用性。
數字認證
數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性(如一個發票未被修改過),甚至數據媒體的有效性(如錄音、照片等)。隨著商家在電子商務中越來越多地使用加密技術,人們都希望有一個可信的第三方,以便對有關數據進行數字認證。
目前,數字認證一般都通過單向Hash函數來實現,它可以驗證交易雙方數據的完整性,Java JDK1.1也能夠支持幾種單向Hash演算法。另外,S/MIME協議已經有了很大的進展,可以被集成到產品中,以便用戶能夠對通過E�mail發送的信息進行簽名和認證。同時,商家也可以使用PGP(Pretty Good Privacy)技術,它允許利用可信的第三方對密鑰進行控制。可見,數字認證技術將具有廣闊的應用前景,它將直接影響電子商務的發展。
加密技術
保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。現在,一些專用密鑰加密(如3DES、IDEA、RC4和RC5)和公鑰加密(如RSA、SEEK、PGP和EU)可用來保證電子商務的保密性、完整性、真實性和非否認服務。然而,這些技術的廣泛使用卻不是一件容易的事情。
密碼學界有一句名言:加密技術本身都很優秀,但是它們實現起來卻往往很不理想。現在雖然有多種加密標准,但人們真正需要的是針對企業環境開發的標准加密系統。加密技術的多樣化為人們提供了更多的選擇餘地,但也同時帶來了一個兼容性問題,不同的商家可能會採用不同的標准。另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制。目前,美國的商家一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的演算法出口。雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多。據報載,最近美國加州已經有人成功地破譯了40位的SSL,這已引起了人們的廣泛關注。美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾。上海市電子商務安全證書管理中心推出128 位 SSL的演算法,彌補國內的空缺,並採用數字簽名等技術確保電子商務的安全。
電子商務認證中心(CA,Certificate Authority)
實行網上安全支付是順利開展電子商務的前提,建立安全的認證中心(CA)則是電子商務的中心環節。建立CA的目的是加強數字證書和密鑰的管理工作,增強網上交易各方的相互信任,提高網上購物和網上交易的安全,控制交易的風險,從而推動電子商務的發展。
為了推動電子商務的發展,首先是要確定網上參與交易的各方(例如持卡消費戶、商戶、收單銀行的支付網關等)的身份,相應的數字證書(DC:Digital Certificate)就是代表他們身份的,數字證書是由權威的、公正的認證機構管理的。各級認證機構按照根認證中心(Root CA)、品牌認證中心(Brand CA)以及持卡人、商戶或收單銀行(Acquirer)的支付網關認證中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按層次結構建立的。
所以,電子商務對計算機網路安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數計算機網路更高,因此電子商務安全應作為安全工程,而不是解決方案來實施。
⑦ 如何保障電子商務的安全
相對於傳統市場而言,電子商務的安全管控比較困難。外貿電子商務平台由於時間及空間的限制以及信息的不對稱、不及時等,往往會讓一些不法分子有機可乘。因此對電子商務平台而言,確保電子商務交易的安全是進行網上交易行為的首要的條件,可從以下幾點著手進行:
一、強化安全觀念
進行在線交易不能對安全抱有絲毫不謹慎的態度,因為計算機中安裝了防火牆或者特殊的加密軟體,所以認為黑客是攻不進來的,這種觀念絕對不可取。因為目前還沒有一種軟體或者安全系統聲稱能達到100%的安全可靠,所以不能盲目地相信交易系統,必須趁早做好安全防範的多項准備工作才是明智之舉。
二、確保密碼安全
密碼需要有足夠的長度並及時更新才算是比較安全的,使用字母和數字混合的密碼較為理想。需要輸入交易密碼時,盡量使用網站提供的軟鍵盤,軟鍵盤上的數字是隨機產生的,並不固定,而我們使用的電腦鍵盤完全則是固定的,並且基本都一樣,很容易被黑客控制監視。所以,使用軟鍵盤來輸入交易密碼是防止密碼被盜的一個有效措施。同時經常修改密碼對賬號的安全也能起到很好的保護作用,建議每90天更換一次密碼。
三、杜絕交易電腦的記憶功能
因為有些程序不但能記錄用戶的擊鍵動作,甚至還可以以快照的形式記錄到屏幕上發生的一切,還有些程序能將擊鍵字母記錄到根目錄下的某一特定文件中,而這一文件可以用文本編輯器來查看。同時,許多網站會用不易察覺的技術,暗中搜集你填寫在表格中的電子郵件地址信息,最常見的就是利用Cookie記錄訪問者上網的瀏覽行為和習慣。應該將瀏覽器設置為「不接受Cookie」,並且養成每完成一次交易就立即從硬碟中清除Cookie信息的良好習慣。能夠確保商家交易過程和個人財務資料的安全。
四、時刻警惕病毒的襲擊
病毒在網際網路上傳播的速度越來越快,為防止主動感染病毒,平台運營系統電腦不要訪問境外一些不甚了解的網站,更不能貿然下載和運行來歷不明的程序。如果收到一封帶有附件的電子郵件,且附件的擴展名為.exe,或者訪問某個境外網站時跳出需要執行某一程序,千萬不能隨意運行它,因為它可能是一個系統破壞程序。
五、交易過程中發現計算機異常時應及時中斷交易
在網上交易時,發現計算機的運行速度變慢時,就應該提高警惕了。這有可能是攻擊者正在入侵您的電腦,監視您的操作。遇到此類現象後,應該及時中斷交易,重新啟動計算機,然後對這種可疑的現象進行排查。
六、網上交易時切記使用SSL功能
SSL功能可以防止交易過程中出現窺視者。
信息安全對企業來說,在很多時候是是決定其命運的,因此要想更為有效高效的利用電子商務這個平台,這些問題就必須引起高度重視。
1 電子商務所面臨的信息安全威脅
(1)平台的自然物理威脅:由於電子商務通過網路傳輸進行,因此諸如電磁輻射干擾以及網路設備老化帶來的傳輸緩慢甚至中斷等自然威脅難以預測,而這些威脅將直接影響信息安全。此外,人為破壞商務系統硬體,篡改刪除信息內容等行為,也會給企業造成損失。
此外,通過電磁輻射、搭線以及串音等手段等都可以讓惡意攻擊者通過接收裝置來截取企業的信息,或者通過分析文件代碼,獲取賬戶密碼等私密信息,以企業身份進行消費或發言,這對於企業的損失更是難以估計的。
(2)商務軟體本身存在的漏洞:任何一種商務軟體的程序都具有復雜性和編程多樣性,而對於程序而言,越復雜意味著漏洞出現的可能性越大。這樣的漏洞加上操作系統本身存在的漏洞,再加上TCP/IP通信協議的先天安全缺陷,商務信息安全就像是一扇扇可打開的門,遭遇威脅的可能性隨著計算機網路技術的不斷普及而越來越大。
(3)黑客入侵:在諸多威脅中,病毒式最不可控制的,其主要作用是損壞計算機文件,且具有繁殖功能。配合越來越便捷的網路環境,計算機病毒的破壞力與日俱增。而目前黑客所慣用的木馬程序則更有目的性,本地計算機所記錄的登錄信息都會被木馬程序篡改,從而造成信息之外的文件和資金遭竊。
(4)安全環境惡化:由於在計算機及網路技術方面發展較為遲緩,我國在很多硬體核心設備方面依然以進口采購為主要渠道,不能自主生產也意味著不能自主控制,除了生產技術、維護技術也相應依靠國外引進,這也就讓國內的電子商務無法看到眼前的威脅以及自身軟體的應付能力。
2 電子商務在信息安全方面的注意點
(1)電子商務的保密性應該是第一位的,信息應該只為授權的用戶使用。對授權用戶的相關個人信息進行嚴格保密是電子商務大范圍推廣應用的最關鍵保障。
(2)商務信息的完整性,只讀特性以及修改授權問題是電子商務信息需要攻克的一大難關。信息在傳輸過程中必須保持原內容,不能因技術、環境以及刻意原因而輕易被更改。否則交易的平台本身就存在不公平。
(3)真實可靠的信息時商務活動中必備的,而電子商務在這方面顯得更為薄弱,如何保證信息未經病毒文件感染、能夠正常使用,是電子商務安全保障環節的又一課題。
(4)交易誠信問題也存在於隔空交易當中,電子商務信息在傳輸當中,保證傳輸速度和內容真實的情況下,交易方不能對已完成的交易操作產生反悔,一旦因商務平台外的問題二取消或質疑交易操作,對方的利益將蒙受損失。