① 请你谈谈电子商务的安全需求及主要的技术解决方法有哪些
电子商务面临的威胁的出现导致了对电子商务安全的需求,也是真正实现一个安全电子商务系统所要求做到的各个方面,主要包括机密性、完整性、认证性和不可抵赖性。
1. 机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的(尤其Internet 是更为开放的网络),维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术来对传输的信息进行加密处理来实现。
2. 完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。
3. 认证性。由于网络电子商务交易系统的特殊性,企业或个人的交易通常都是在虚拟的网络环境中进行,所以对个人或企业实体进行身份性确认成了电子商务中得很重要的一环。对人或实体的身份进行鉴别,为身份的真实性提供保证,即交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时,鉴别服务将提供一种方法来验证其声明的正确性,一般都通过证书机构CA和证书来实现。
4. 不可抵赖性。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的"白纸黑字"。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。
5. 有效性。电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
电子商务安全中的主要技术
电子商务安全是信息安全的上层应用,它包括的技术范围比较广,主要分为网络安全技术和密码技术两大类,其中密码技术可分为加密、数字签名和认证技术等。
1. 网络安全技术
网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及到的方面比较,如操作系统安全、防火墙技术、虚拟专用网VPN技术和各种反黑客技术和漏洞检测技术等。其中最重要的就是防火墙技术。
防火墙是建立在通信技术和信息安全技术之上,它用于在网络之间建立一个安全屏障,根据指定的策略对网络数据进行过滤、分析和审计,并对各种攻击提供有效的防范。主要用于Internet接入和专用网与公用网之间的安全连接。
VPN 也使一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其各地的分支机构就可以互相之间安全传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。
2. 加密技术
加密技术是保证电子商务安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用密秘密钥(secret keys)来对敏感信息进行加密,然后把加密好的数据和密钥(要通过安全方式)发送给接收者,接收者可利用同样的算法和传递来的密钥对数据进行解密,从而获取敏感信息并保证了网络数据的机密性。利用另外一种称为数字签名(digital signature)的密码技术可同时保证网络数据的完整性和真实性。利用密码技术可以达到对电子商务安全的需求,保证商务交易的机密性、完整性、真实性和不可否认性等。
密码技术虽然在第二次世界大战期间才开始流行,在当前才广泛应用于网络安全和电子商务安全之中,但其起源可追溯到几千年前,其思想目前还在使用,只是在处理过程中增加了数学上的复杂性。
加密技术包括私钥加密和公钥加密。私钥加密,又称对称密钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据,目前常用的私钥加密算法包括DES和 IDEA等。对称加密技术的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
公钥密钥加密,又称不对称密钥加密系统,它需要使用一对密钥来分别完整家密和解密操作,一个公开发布,称为公开密钥(Public-Key);另一个由用户自己秘密保存,称为私有密钥(Private-Key)。信息发送者人用公开密钥去加密,而信息接收者则用私有密钥去解密。通过数学的手段保证加密过程是一个不可逆过程,即用公钥加密的信息只能是用与该公钥配对的私有密钥才能解密。常用的算法是RSA、ElGamal等。公钥机制灵活,但加密和解密速度却比对称密钥加密慢的多
为了充分利用公钥密码和对称密码算法的优点,克服其缺点,解决每次传送更换密钥的问题,提出混合密码系统,即所谓的电子信封(envelope)技术。发送者自动生成对称密钥,用对称密钥加密钥发送的信息,将生成的密文连同用接收方的公钥加密后的对称密钥一起传送出去。收信者用其秘密密钥解密被加密的密钥来得到对称密钥,并用它来解密密文。这样保证每次传送都可由发送方选定不同密钥进行,更好的保证了数据通信的安全性。
使用混合密码系统可同时提供机密性保障和存取控制。利用对称加密算法加密大量输入数据可提供机密性保障,然后利用公钥加密对称密钥。如果想使多个接收者都能使用该信息,可以对每一个接收者利用其公钥加密一份对称密钥即可,从而提供存取控制功能。
3. 数字签名
数字签名中很常用的就是散列(HASH)函数,也称消息摘要(Message Digest)、哈希函数或杂凑函数等,其输入为一可变长输入,返回一固定长度串,该串被称为输入的散列值(消息摘要)
日常生活中,通常通过对某一文档进行签名来保证文档的真实有效性,可以对签字方进行约束,防止其抵赖行为,并把文档与签名同时发送以作为日后查证的依据。在网络环境中,可以用电子数字签名作为模拟,从而为电子商务提供不可否认服务。
数字签名相对于手写签名在安全性方面具有如下好处:数字签名不仅与签名者的私有密钥有关,而且与报文的内容有关,因此不能将签名者对一份报文的签名复制到另一份报文上,同时也能防止篡改报文的内容。
4. 认证机构和数字证书
② 电子商务常用的安全措施
就整个系统而言,安全性可以分为四个层次
1.网络节点的安全
2.通讯的安全性
3.程序的安全性
4.用户的认证管理
其中2、3、4层是通过操作系统和Web服务器软件实现,网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
一、网络节点的安全
1.防火墙
防火墙是在连接Internet和Intranet保证安全最为有效的,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。
2.防火墙安全策略
应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1.数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于:
(1)客户浏览器端与电子商务WEB服务器端的通讯;
(2)电子商务WEB服务器与电子商务数据库服务器的通讯;
(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。
2.安全链路
在客户端浏览器和商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。采用的是浏览器缺省的4O位加密强度,也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、程序的安全性
即使正确地配置了访问控制规则,要满足机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运 行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
四、用户的认证管理
1.身份认证
电子商务用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
2.CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。CA中心一般是公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
五、安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。
对于所有接触系统的人员,按其职责设定其访问系统的最小权限。
按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。
③ 电子商务安全方面的措施有哪些
适当设置防护措施可以降低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施,整个系统的安全取决于系统中最薄弱环节的安全水平,这就需要从系统设计上进行全面的考虑,折中选取。
电子商务中的安全措施包括有下述几类:
(1)保证交易双方身份的真实性:常用的处理技术是身份认证,依赖某个可信赖的机构(CA认证中心)发放证书,并以此识别对方。目的是保证身份的精确性,分辨参与者身份的真伪,防止伪装攻击。
(2)保证信息的保密性:保护信息不被泄露或被披露给未经授权的人或组织,常用的处理技术是数据加密和解密,其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术(如DES算法)和公开密钥加密技术(如RSA算法)。
(3)保证信息的完整性:常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者(非法用户)建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。
(4)保证信息的真实性:常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈,如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等,而不是对付未知的攻击者,其基础是公开密钥加密技术。目前,可用的数字签名算法较多,如RSA数字签名、ELGamal数字签名等。
(5)保证信息的不可否认性:通常要求引入认证中心(CA)进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。
(6)保证存储信息的安全性:规范内部管理,使用访问控制权限和日志,以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术保护内部网络的安全性。
④ 电子商务平台经营者应该采取什么措施保障网络安全
法律分析:电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。
法律依据:《中华人民共和国电子商务法》
第三十条 电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。
电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。
第三十一条 电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。
⑤ 简述电子商务的安全隐患与解决措施
1、数据传输安全隐患。
电子商务是在开放的互联网上进行的贸易,大量的商务信息在计算机和网络上上存放、传输,从而形成信息传输风险。因此措施可以通过采用数据加密(包括秘密密钥加密和公开密钥加密)来实现的,数字信封技术是结合密钥加密和公开密钥加密技术实现的。
2、数据完整性的安全隐患。
数据的完整性安全隐患是指数据在传输过程中被篡改。因此确保数据不被篡改的措施可以通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。
3、身份验证的安全隐患。
网上通信双方互不见面,在交易或交换敏感信息时确认对方等真实身份以及确认对方的账户信息的真实与否,为身份验证的安全隐患。解决措施可以通过采用口令技术、公开密钥技术或数字签名技术和数字证书技术来实现的。
4、交易抵赖的安全隐患。
网上交易的各方在进行数据传输时,当发生交易后交易双方不认可为本人真实意愿的表达而产生的抵赖安全隐患。措施为交易时必须有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证,可以通过数字签名技术和数字证书技术来实现的。
(5)电商网络安全的方法扩展阅读:
电子商务分类:
1、企业对企业的电子商务(B2B);
2、企业对消费者的电子商务(B2C);
3、企业对政府的电子商务(B2G);
4、消费者对政府的电子商务(C2G);
5、消费者对消费者的电子商务(C2C);
6、企业、消费者、代理商三者相互转化的电子商务(ABC);
7、以消费者为中心的全新商业模式(C2B2S);
8、以供需方为目标的新型电子商务(P2D)。
⑥ 电子商务过程中的常用安全措施和技术有哪些
电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。
计算机网络安全的内容包括:
计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
计算机网络安全体系
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
在实施网络安全防范措施时:
首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;
其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;
从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;
利用RAID5等数据存储技术加强数据备份和恢复措施;
对敏感的设备和数据要建立必要的物理或逻辑隔离措施;
对在公共网络上传输的敏感信息要进行强度的数据加密;
安装防病毒软件,加强内部网的整体防病毒措施;
建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
电子商务的安全交易主要的协议标准有:
安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,以完成需要的安全交易操作。
安全交易技术协议(STT,Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。
安全电子交易协议(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告,并于1997年5月底发布了SET Specification Version 1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。
SET 2.0预计今年发布,它增加了一些附加的交易要求。这个版本是向后兼容的,因此符合SET 1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。
所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。
主要的安全技术有:
虚拟专用网(VPN)
这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
数字认证
数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。随着商家在电子商务中越来越多地使用加密技术,人们都希望有一个可信的第三方,以便对有关数据进行数字认证。
目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,Java JDK1.1也能够支持几种单向Hash算法。另外,S/MIME协议已经有了很大的进展,可以被集成到产品中,以便用户能够对通过E�mail发送的信息进行签名和认证。同时,商家也可以使用PGP(Pretty Good Privacy)技术,它允许利用可信的第三方对密钥进行控制。可见,数字认证技术将具有广阔的应用前景,它将直接影响电子商务的发展。
加密技术
保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在,一些专用密钥加密(如3DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而,这些技术的广泛使用却不是一件容易的事情。
密码学界有一句名言:加密技术本身都很优秀,但是它们实现起来却往往很不理想。现在虽然有多种加密标准,但人们真正需要的是针对企业环境开发的标准加密系统。加密技术的多样化为人们提供了更多的选择余地,但也同时带来了一个兼容性问题,不同的商家可能会采用不同的标准。另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制。目前,美国的商家一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口。虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多。据报载,最近美国加州已经有人成功地破译了40位的SSL,这已引起了人们的广泛关注。美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾。上海市电子商务安全证书管理中心推出128 位 SSL的算法,弥补国内的空缺,并采用数字签名等技术确保电子商务的安全。
电子商务认证中心(CA,Certificate Authority)
实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。
为了推动电子商务的发展,首先是要确定网上参与交易的各方(例如持卡消费户、商户、收单银行的支付网关等)的身份,相应的数字证书(DC:Digital Certificate)就是代表他们身份的,数字证书是由权威的、公正的认证机构管理的。各级认证机构按照根认证中心(Root CA)、品牌认证中心(Brand CA)以及持卡人、商户或收单银行(Acquirer)的支付网关认证中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按层次结构建立的。
所以,电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
⑦ 如何保障电子商务的安全
相对于传统市场而言,电子商务的安全管控比较困难。外贸电子商务平台由于时间及空间的限制以及信息的不对称、不及时等,往往会让一些不法分子有机可乘。因此对电子商务平台而言,确保电子商务交易的安全是进行网上交易行为的首要的条件,可从以下几点着手进行:
一、强化安全观念
进行在线交易不能对安全抱有丝毫不谨慎的态度,因为计算机中安装了防火墙或者特殊的加密软件,所以认为黑客是攻不进来的,这种观念绝对不可取。因为目前还没有一种软件或者安全系统声称能达到100%的安全可靠,所以不能盲目地相信交易系统,必须趁早做好安全防范的多项准备工作才是明智之举。
二、确保密码安全
密码需要有足够的长度并及时更新才算是比较安全的,使用字母和数字混合的密码较为理想。需要输入交易密码时,尽量使用网站提供的软键盘,软键盘上的数字是随机产生的,并不固定,而我们使用的电脑键盘完全则是固定的,并且基本都一样,很容易被黑客控制监视。所以,使用软键盘来输入交易密码是防止密码被盗的一个有效措施。同时经常修改密码对账号的安全也能起到很好的保护作用,建议每90天更换一次密码。
三、杜绝交易电脑的记忆功能
因为有些程序不但能记录用户的击键动作,甚至还可以以快照的形式记录到屏幕上发生的一切,还有些程序能将击键字母记录到根目录下的某一特定文件中,而这一文件可以用文本编辑器来查看。同时,许多网站会用不易察觉的技术,暗中搜集你填写在表格中的电子邮件地址信息,最常见的就是利用Cookie记录访问者上网的浏览行为和习惯。应该将浏览器设置为“不接受Cookie”,并且养成每完成一次交易就立即从硬盘中清除Cookie信息的良好习惯。能够确保商家交易过程和个人财务资料的安全。
四、时刻警惕病毒的袭击
病毒在因特网上传播的速度越来越快,为防止主动感染病毒,平台运营系统电脑不要访问境外一些不甚了解的网站,更不能贸然下载和运行来历不明的程序。如果收到一封带有附件的电子邮件,且附件的扩展名为.exe,或者访问某个境外网站时跳出需要执行某一程序,千万不能随意运行它,因为它可能是一个系统破坏程序。
五、交易过程中发现计算机异常时应及时中断交易
在网上交易时,发现计算机的运行速度变慢时,就应该提高警惕了。这有可能是攻击者正在入侵您的电脑,监视您的操作。遇到此类现象后,应该及时中断交易,重新启动计算机,然后对这种可疑的现象进行排查。
六、网上交易时切记使用SSL功能
SSL功能可以防止交易过程中出现窥视者。
信息安全对企业来说,在很多时候是是决定其命运的,因此要想更为有效高效的利用电子商务这个平台,这些问题就必须引起高度重视。
1 电子商务所面临的信息安全威胁
(1)平台的自然物理威胁:由于电子商务通过网络传输进行,因此诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁难以预测,而这些威胁将直接影响信息安全。此外,人为破坏商务系统硬件,篡改删除信息内容等行为,也会给企业造成损失。
此外,通过电磁辐射、搭线以及串音等手段等都可以让恶意攻击者通过接收装置来截取企业的信息,或者通过分析文件代码,获取账户密码等私密信息,以企业身份进行消费或发言,这对于企业的损失更是难以估计的。
(2)商务软件本身存在的漏洞:任何一种商务软件的程序都具有复杂性和编程多样性,而对于程序而言,越复杂意味着漏洞出现的可能性越大。这样的漏洞加上操作系统本身存在的漏洞,再加上TCP/IP通信协议的先天安全缺陷,商务信息安全就像是一扇扇可打开的门,遭遇威胁的可能性随着计算机网络技术的不断普及而越来越大。
(3)黑客入侵:在诸多威胁中,病毒式最不可控制的,其主要作用是损坏计算机文件,且具有繁殖功能。配合越来越便捷的网络环境,计算机病毒的破坏力与日俱增。而目前黑客所惯用的木马程序则更有目的性,本地计算机所记录的登录信息都会被木马程序篡改,从而造成信息之外的文件和资金遭窃。
(4)安全环境恶化:由于在计算机及网络技术方面发展较为迟缓,我国在很多硬件核心设备方面依然以进口采购为主要渠道,不能自主生产也意味着不能自主控制,除了生产技术、维护技术也相应依靠国外引进,这也就让国内的电子商务无法看到眼前的威胁以及自身软件的应付能力。
2 电子商务在信息安全方面的注意点
(1)电子商务的保密性应该是第一位的,信息应该只为授权的用户使用。对授权用户的相关个人信息进行严格保密是电子商务大范围推广应用的最关键保障。
(2)商务信息的完整性,只读特性以及修改授权问题是电子商务信息需要攻克的一大难关。信息在传输过程中必须保持原内容,不能因技术、环境以及刻意原因而轻易被更改。否则交易的平台本身就存在不公平。
(3)真实可靠的信息时商务活动中必备的,而电子商务在这方面显得更为薄弱,如何保证信息未经病毒文件感染、能够正常使用,是电子商务安全保障环节的又一课题。
(4)交易诚信问题也存在于隔空交易当中,电子商务信息在传输当中,保证传输速度和内容真实的情况下,交易方不能对已完成的交易操作产生反悔,一旦因商务平台外的问题二取消或质疑交易操作,对方的利益将蒙受损失。