⑴ 電子商務安全立法,與電子商務對傳統法律造成的沖擊
(一)電子商務對傳統知識產權觀念及特點的挑戰
1、電子商務對傳統知識產權觀念的挑戰
傳統觀念認為:知識產權是一種無形的、帶有地域性范圍保護的、有權利人獨占的、具有時間限制的智力成果權。具體地,商標只是保護「文字、圖案或其組合」不保護動態過程;著作權只是保護內容的外在表現形式而不保護具體的表達內容及其過程;專利法保護的是技術而不是數據,而且專利的新穎性是通過傳統的方式加以判斷的;商業秘密和廠商名稱等的保護,也是基於區別傳統社會的「有形」之特殊性而展開的。
知識產權制度主要是一種確立權利和保障權利的制度,此外也是體現一種激勵創造的制度。傳統的知識產權保護觀念認為,權利尚未形成,則無權利保護可言;權利的保護有一定的界限並遵循單個法律判斷。但是,網路世界為傳統的知識產權觀念提出了挑戰,如專利的「即發侵權」的制止問題,域名問題迫使人們將商標、廠商名稱、商譽、不正當競爭結合起來考慮,甚至提出了「一體保護」的方法。[4]
可見,電子商務活動涉及到多個方面,對社會引起了很大的震動,對傳統的知識產權保護觀念更是提出了新的挑戰。
2、電子商務對知識產權制度特點的挑戰
知識產權具有與有形財產不同的一些特點,如壟斷性、地域性、時間性、無形性、政府確認性等等。其中,又以壟斷性(專有性)和地域性顯現出更為特別。如果知識產權不能保證權利人的專有,則知識產權制度就不能發揮出應有的作用,其權利也就成了一種擺設。如果地域性被徹底打破,權利就有可能成為世界通行的「全球權利」或者產生世界性統一的制度。
電子商務活動建立在互聯網上,網路的傳輸表現出「公開」的開放性和「無國界」的全球性特點及狀態。「公開」為「公知」提供了前提,也為「公用」提供了方便;「無國界」又使得地域性的知識產權受到了嚴峻的挑戰。在知識產權保護國際化趨向之狀況下,是否因電子商務的發展而導致知識產權保護的真正本質意義上的國際化?
(二)電子商務對知識產權保護程序的挑戰
1、法院管轄
傳統的知識產權糾紛案件的法院管轄上,多採用被告所在地或者侵權行為地法院管轄。一旦確定管轄法院,則涉及到另一個重要的問題,就是准據法的適用通常以訴訟地法律為准。但是互聯網上的侵權行為,難以確定具體的行為地點和受害地點。有學者提出通過加速各國知識產權法律國際「一體化」進程,即通過弱化知識產權的地域性,來解決這一矛盾。[5]事實上,無論怎樣弱化地域性,也總還存在著地域性的問題。
電子商務中具有行為主體難以確定、行為地點難以界定、行為的跨時空性、國性等特點,對傳統的訴訟程序也產生了影響。「網上沒人知道你是條狗」,是形容虛擬世界「自由」的一句常用的話。在網上侵犯他人的知識產權也就比傳統的侵權方式隱蔽得多。電子商務只需要一部電話、一個調解器和一台電腦就可以開展,因此在防範刑事犯罪以及防止民事的欺詐等方面,「不在場」「沒有作案時間」等傳統的判定方法就難以奏效。
2、證據及保留
《中華人民共和國民事訴訟法》(以下簡稱《民訴法》)以及最高人民法院《關於適用中華人民共和國民事訴訟法若干問題的意見》第78條規定:「證據材料為復印件,提供人拒不提供原件或原件線索,沒有其他材料可以印證,對方當事人又不予承認的,在訴訟中不得作為認定事
實的根據」。因此,證據必須是「原物」已經成為了《民訴法》對證據的基本要求。而在電子商務活動中,電子數據存儲在計算機內,其列印出來的「書面形式」只是一種復製品,因此原件的要求是困難的。如果要和其他證據配合才能使用的話,那麼電子商務中的數據就不是一個單獨的證據了。
網路上流動著的信息,是否要求服務商必須保存所有的數據,法院是否有權對服務商的所有數據進行證據保全,等等一系列問題不僅涉及到案件程序的問題,也直接影響到案件的實質性審理,而且也還要考慮到社會的現實操作可能性問題。
⑵ 與傳統商務相比較,電子商務對安全,法律提出了哪些新的要求
電子商務區別於傳統的商務更對的是整合了網上的資源 實現了網上的交易 所以內的在安全容方面有著很高的要求 要缺確實的保證用戶的資金 賬戶安全 保證交易的正常的進行 所以計算機安全技術更多的得到了升華和應用
在法律方面 由於網上詐騙 網上竊取信息等現象的存在 網上糾紛等 更多的針對網上交易和電子商務的法律不斷的出現 以規范人們的交易行為和網上的一系列行為
採納吧
⑶ 電子商務安全要求有哪些
因為來有了互聯網,我們的世界源變成了地球村。所以,通過互聯網在家創業,已成為一種潮流。 世界首富比爾蓋茨早在上個世紀就說過:21世紀,要麼電子商務、要麼無商可務。中國創業教父馬雲也曾說過:不做電子商務,五年後您一定會後悔。並且預言:中國電子商務產業格局將有巨變,一個新的互聯網人群「網商」將成為焦點,中國互聯網將由「網民」和「網友」時代轉入「網商」時代。 「網商」群體也正在改變中國企業的運作方式,改變著中國經濟的競爭格局,也將改變人類的消費方式和生活速度。
⑷ 電子商務法律法規的現狀與未來 我的論文題目,幫幫忙啊,老師要我從電子商務安全弊端方面著手
解析電子商務安全
□斯文人 發表於 2006-4-15 16:13:00
引言
隨著互聯網的全面普及,基於互聯網的電子商務也應運而生,並在近年來獲得了巨大的發展,成為一種全新的商務模式,被許多經濟專家認為是新的經濟增長點。
作為一種全新的商務模式,它有很大的發展前途,同時,這種電子商務模式對管理水平、信息傳遞技術都提出了更高的要求,其中安全體系的構建又顯得尤為重要。如何建立一個安全、便捷的電於商務應用環境,對信息提供足夠的保護,是商家和用戶都十分關注的話題。安全問題己成為電子商務的核心問題。本文將對電子商務安全問題作一個基本的探討。
1 電子商務模式
現代電子商務技術已經集中於網路商店的建立和運作。網路商店和真實商店在部門結構和功能上沒有區別,不同點在於其實現這些功能和結構的方法以及商務運作的方式。
網路商店從前台看是一種特殊的WEB伺服器。現代WEB網站的多媒體支持和良好的交互性功能成為建立這種虛擬商店的基礎,使得顧客可以像在真實的超級市場一樣推著購物車挑選商品,並最後在付款台結賬。這也就構成網上商店軟體的三大支柱:商品目錄、顧客購物車和付款台。好的商品目錄可以使顧客通過最簡單的方式找到其需要的商品,並可以通過文字說明、圖像顯示、客戶評論等充分了解產品各種信息;商品購物車則銜接商店和個人,客戶既可以把他喜歡的商品一個個放到購物車里,也可以從購物車中取出,直到最後付款;付款台是網路交易的最終環節,也是最關鍵的環節。顧客運用某種電子貨幣和商店進行交易必須對顧客和商店都是安全可靠的。
在美國,網上商店收取信用卡必須具備三個條件:
1) 需要在美國的某個商業銀行中建立一個商業賬戶。這個賬戶使你可以進行接收信用卡支付和處理信用卡業務,最終獲得資金。
2) 必須為直接商品購買者提供一個符合SSL規范的加密站點用於他們安全地提交自己的信用卡資料,在保證他們提交的信息准確可靠的同時,還必須保證這些資料不被第三方竊取。美中通聯通過和美國最大的CA中心Verisign合作建立這種用戶可以高度信任的加密站點為客戶服務。
3) 購買者提供的信用卡資料將直接被送到專門提供信用卡服務的專業公司(支付網關)進行處理,他們將進行信用卡的驗證,轉賬,最終將資金轉入商業賬戶。美中通聯的合作夥伴Cybercash也是美國最為著名的網路支付提供商。不但可以提供VISA,萬事達信用卡服務業務,同時也提供American Express, Discover等信用卡的支付以及Digital Cash, Digital Coins, Smart Card等電子貨幣的結算方式。
而在網路商店的背後,企業首先要具備商品的存儲倉庫和管理機構;其次要將網路上銷售的產品通過郵政或其他渠道投遞到顧客手裡;第三,企業同樣要負責產品的售後服務,這種服務可能是通過網路的,也可能不是。
網路交易通常是一種先交錢後拿貨的購物方式。對客戶而言,其方便處在於購得的商品會直接投遞到自己家裡,而難以放心的是在商品到達手中之前並不能確認到自己手中的究竟是什麼。因此網路商店的信譽和服務質量實際上是電子商務成功與否的關鍵。
網路商店必備條件:
商店名稱:它就像是注冊商標,在網路上稱為域名,整個網路世界它是唯一的。一個與您公司名稱相關的網路名稱可以使顧客更容易記住您的商店。
商店地點:也就是開設您的商店的網路伺服器地址,高速的網路連接,就像是把商店開設鬧市黃金地段,可以使顧客快速容易地抵達,這對客戶的影響是十分關鍵的。
商店裝修:網站的設計對用戶來講自然非常重要,動人的網頁就像一流裝修的商場,不但吸引顧客,而且增加顧客的信心。
貨物擺放:在網上商店中,其反映在如何建立商品的目錄結構,提供何種網站導航和搜索功能,以使得用戶可以快速、便利地尋找到他需要的商品和相關信息。
購物車:方便靈巧的購物車可以使顧客感覺到受到良好的服務,增加顧客的信心。它是連接商品和付款台的關鍵環節。
貨幣結算:支付系統是網路交易的重要環節。在美國和歐洲,信用卡已經成為最普遍的電子交易方式。通過提供必要的個人信用卡資料,商店就可以通過銀行計算機網路與顧客進行結算。這也是建立網路商店的必要條件。而且貨幣結算的安全可靠,不但關繫到顧客的切身利益,同時直接關繫到您商業經營的安全可靠。
商品盤點更新:對網路商店的日常維護,例如去除銷售完的商品,擺上新貨等等,是必須經常進行的業務。
庫存商品管理:後勤保證是任何商務運作的基礎。無論網路商店還是真實商店,貨物和貨幣都是一樣真實的,對庫存貨物的存儲和管理也是一樣真實的。
商品最終送達用戶:網上購物實際上是郵購。最後一個步驟自然是通過郵政或其他系統將貨物快速可靠地送達最終用戶手中。
售後服務:不言而喻,這同樣是現代商品銷售的重要環節。而網路技術可以為用戶提供24小時不間斷的服務,這也是網路商店的優勢之一。通常網路商店還要提供30天的退/換貨承諾。
因此一個企業在進入電子商務領域時必須考慮如下的問題:
如何申請一個自己的域名?如何設立一個電子商務伺服器?伺服器如何和Internet連接?如何設計這個網上商店,實現各種功能?誰來設計?誰來維護這個網站?如何實現在線交易?如何安全可靠地進行網路電子貨幣結算?網上商店和商品庫存之間如何協調?如何快速便利地將商品投遞到用戶手中?售後服務如何進行?
2 電子商務發展的關鍵環節
2.1 良好的網路環境
電子商務是在電信網路上發展起來的。因此,先進的計算機網路基礎設施和寬松的電信政策就成為發展電子商務的前提。目前,電信服務價格過高,帶寬有限,服務不及時或不可靠等因素已經成為發展電子商務的制約因素。加快電信基礎設施建設,打破電信市場的壟斷,引進競爭機制,保證電信業務公平競爭,促進網路互聯,確保為用戶提供廉價,高速,可靠的通信服務是良好網路環境的建設目標,也是世界各國面臨的共同課題。
我國電信業務長期受到計劃經濟的影響,獨家壟斷的局面尚未打破。近年來網際網路迅猛發展,電信政策不適應形勢的矛盾日益突出。主要表現在:
網路供應商(ISP)租用線路的價格過高,使他們無利可圖。一批前期進入這一領域的ISP由於虧損,已經退出。
ISP與電信網路互聯,遇到了來自電信部門的阻力,互聯費用過高,以各種借口的刁難。
由於電信部門壟斷了接入業務,用戶接入費用過高,一般都難以承受。也無法選擇有良好服務的接入服務商。
為了促進電信市場的開放和協調世界各國的電信政策,世界貿易組織在1997年成功地締結了基礎通信協定。該協定將保證全球電信市場的競爭,加強國家之間的合作。
2.2 公共電子商品導購平台
公共電子商品導購平台,是保證網上電子商務活動順利完成的物理保證。它主要涉及網路平台建設和企業信息庫建設兩方面的問題。人們發送到網路上的交易信息,必須准確、迅速地在供應商、流通商、管理部門、銀行、交通運輸等部門之間傳送,這需要各國家、各部門統一信息存儲、通訊、處理的標准和協議,具有一個協調一致的導購平台。同時,各企業的商品信息庫建設是平台的基礎,企業沒有與平台標准一致的商品信息庫,電子商務就失去了生存的基礎。我國的企業信息化程度不高,目前只有少數企業主要是信息技術企業建立了企業商品信息庫,這就減緩了我國公共電子商品導購平台的建設。
2.3 企業級電子商務體系
企業級電子商務是電子商務體系的基礎。在科技高速發展、經濟形勢快速變化的今天,人們不再是先生產而後去尋找市場,而是先獲取市場信息再組織生產。隨著知識經濟時代的來臨,信息已成為主導全球經濟的基礎。企業內部信息網路:Intranet,是一種新的企業內部信息管理和交換的基礎設施,在網路、事務處理以及資料庫上繼承了以往的MIS(管理信息系統)成果,而在軟體上則引入網際網路的通信標准和WWW內容的標准。Intranet的興起,將封閉的、單項系統的MIS改造為一個開放、易用、高效及內容和形式豐富多彩的企業信息網路,實現企業的全面信息化。企業信息網路應包含生產、產品開發、銷售和市場、決策支持、客戶服務和支持及辦公事務管理等方面。對於大型企業,同時要注意建設企業內部科技信息資料庫,如對技術革新、新產品開發、科技檔案、科技圖書、科技論文、科技成果、能源消耗、原輔材料等各種資料庫的建設。當然還要選擇一些專業網路和地方網路入網。
2.4 安全認證體系
開展電子商務最突出的問題是要解決網上購物、交易和結算中的安全問題,其中包括建立電子商務各主體之間的信任問題,即建立安全認證體系(CA)問題;選擇安全標准(如SET、SSL、PKI等)問題;採用加、解密方法和加密強度問題。其中建立安全認證體系是關鍵。
網上交易與傳統的面對面或書面的交易方式不同,它是通過網路傳輸商務信息和進行貿易活動的。網上交易的安全問題意味著:
有效性:保證網上交易合同的有效性,防止系統故障、計算機病毒、黑客攻擊。
保密性:對交易的內容、交易雙方賬號、密碼不被他人識別和盜取。
完整性:防止單方面對交易信息的生成和修改。
所以,電子商務的安全體系應包括:安全可靠的通信網路,保證數據傳輸的可靠完整,防止病毒、黑客入侵;電子簽名和其他身份認證系統;完備的數據加密系統等等。
2.5 安全支付結算體系
銀行業務的電子化,使得電子貨幣正在逐步取代傳統紙幣,發揮越來越重要的作用。1996年英國小城斯溫登宣布用電子貨幣取代紙幣,信用卡成為一種新的貨幣形式。隨著網上交易的增多,網路銀行、數字貨幣等全新的概念也應運而生。1994年比爾蓋茨曾經嘲笑傳統的銀行是跟不上時代的恐龍。實際上,網際網路確實對傳統的金融業務提出了挑戰。全球大約1000家銀行中的500家已經加入互聯網,1996年有190萬人使用在線銀行服務,預計到2000年將有1300萬人使用在線銀行。無論是完全依賴於網路的銀行,還是傳統銀行利用網路開展銀行業務,安全問題都是十分重要的。我國的電子商務的普及,首先要解決網路的安全問題。在金融專網和網際網路之間設置支付網關,作為支付結算的安全屏障
2.6 協同作業體系
在電子商務中,所謂協同作業,包括工商、稅務、銀行、運輸、商檢、海關、外匯、保險、電信、認證等部門,以及商城、商戶、企業、客戶等單位按一定規范與程序相互配合,相互銜接,協同工作,共同完成有關電子商務活動。所謂協同作業體系包括:
①有關協同作業部門(不含廣大客戶)通過專線或IP隧道與電子商城互連;②共同協商制定統一高效的作業規范與程序;③共同制定降低電子商務運行成本的資費政策;④推行實施協同工作(CSCW)。
2.7 法律政策環境
建立一套法律政策體系,保證電子交易雙方能按照共同的規則進行交易,對起動、發展電子商務是完全必要的,十分急需的。電子商務是世界性的經濟活動,其法律框架也不應局限在一國范圍內,而應適用於國際間的貿易往來,聯合國國際貿易法委員會(UNCRTRAL)已經完成了一個法律範本,以支持電子商務在國際貿易中的應用。其內容應包括:
電子合同的有效性;
有效的電子文件的規范;
電子簽名的合法性和其他身份辨認程序;
知識產權的保護;
商標權和域名的保護;
企業和個人隱私的保護
目前在我國,統一合同法(技術合同、經濟合同、對外經濟合同統一)即將由全國人大通過後出台,在統一合同法中已承認電子合同與書面合同一樣具有合法性,意即可證明買賣成立,但不能解決合同糾紛問題,要解決此問題有兩條出路:(1)到法院起訴(無法律依據);(2)通過仲裁解決(要制定協議)。
建立電子商務活動的技術標准也是至關重要的。在電子商務試點階段,實行稅費優惠政策也有利於電子商務的推廣。
3 電子商務面臨的安全問題
由於電子商務是以計算機網路為基礎的,因此它不可避免面臨著一系列的安全問題。
(1)信息泄漏
在電子商務中表現為商業機密的泄漏,主要包括兩個方面:交易雙方進行交易的內容被第三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。
(2)竄改
在電子商務中表現為商業信息的真實性和完整性的問題。電子的交易信息在網路上傳輸的過程中,可能被他人非法修改、刪除或重改,這樣就使信息失去了真實性和完整性。
(3)身份識別
如果不進行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等,進行身份識別後,交易雙方就可防止相互猜疑的情況。
(4)電腦病毒問題
電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網路作為自己的傳播途徑,還有眾多病毒藉助干網路傳播得更快,動輒造成數百億美元的經濟損失。
(5) 黑客問題
隨著各種應用工具的傳播,黑客己經大眾化了,不像過去那樣非電腦高手不能成為黑客。曾經大鬧雅虎網站的黑手黨男孩就沒有受過什麼專門訓練,只是向網友下載了幾個攻擊軟體並學會了如何使用,就在互聯網上大幹了一場。
4 電子商務安全因素與安全技術
安全問題是企業應用電子商務最擔心的問題,而如何保障電子商務活動的安全,將一直是電子商務的核心研究領域。作為一個安全的電子商務系統,首先必須具有一個安全、可靠的通信網路,以保證交易信息安全、迅速地傳遞;其次必須保證資料庫伺服器絕對安全,防止黑客闖入網路盜取信息。
4.1電子商務的安全要素
(1)有效性
EC以電子形式取代了紙張,那麼如何保證這種電子形式的貿易信息的有效性則是開展E的前提。EC作為貿易的一種形式,其信息的有效性將直接關繫到個人、企業或國家的經濟利益和聲譽。因此,要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
(2)機密性
EC作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。EC是建立在一個較為開放的網路環境上的(尤其Internet是更為開放的網路),維護商業機密是EC全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。
(3)完整性
EC簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由於數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是EC應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復並保證信息傳送次序的統一。
(4)可靠性/不可抵賴性/鑒別
EC可能直接關繫到貿易雙方的商業交易,如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證EC順利進行的關鍵。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易夥伴,確定合同、契約、單據的可靠性並預防抵賴行為的發生。這也就是人們常說的白紙黑字。在無紙化的EC方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。
(5)即需性
即需性是防止延遲或拒絕服務,即需安全威脅的目的就在於破壞正常的計算機處理或完全拒絕服務。在電子商務中,延遲一個消息或消除它會帶來災難性的後果。例如,你在上午10點向在線的股票交易公司發一個電子郵件委託購買1000股IBM公司的股票,假如這個郵件被延遲了,股票經濟商在下午2點半才收到這封郵件,這時股票已經漲了15%,這個消息的延遲就使你損失了交易額的 15%。
(6)身份認證
指交易雙方可以相互確認彼此的真實身份,確認對方就是本次交易中所稱的真正交易方。認證是證實一個聲稱的身份或者角色,如用戶、機器、節點等是否真實的過程。這一過程為授權和審計所必需,也是實現授權、審計的訪問控制過程運行的前提,是計算機網路安全系統不可缺少的組成部分。
(7)審查能力
根據機密性和完整性的要求,應對數據審查的結果進行記錄。審查能力是指每個經授權的用戶的活動的唯一標識和監控的,以便對其所使用的操作內容進行審計和跟蹤。當貿易一方發現交易行對自己不利時否認電子商務行為。例如,某股民以每股12元購買了1000股後,行情發生了變化,每股價格降到了10元,於是該股民否認以前的購買行為。因此,要求系統要有審查能力,使交易的任何一方都不能抵賴已經發生的交易行為。
4.2 電子商務採用的主要安全技術及其標准規范
考慮到安全服務各方面要求的技術方案已經研究出來了,安全服務可在網路上任何一處加以實施。但是,在兩個貿易夥伴間進行的EC,安全服務通常是以端到端形式實施的(即不考慮通信網路及其節點上所實施的安全措施)。所實施安全的等級則是在均衡了潛在的安全危機、採取安全措施的代價及要保護信息的價值等因素後確定的。這里將介紹EC應用過程中主要採用的幾種安全技術及其相關標准規范。
4.2.1 防火牆技術
(1)防火牆定義
防火牆是在內部網與外部網之間實施安全防範的系統,可被認為是一種訪問控制機制,用於確定哪些內部服務允許外部訪問,以及允許哪些外部服務訪問內部服務。實現防火牆技術的主要途徑有:數據包過濾、應用網關和代理服務。
(2)包過濾技術
包過濾技術是在網路層中對數據包實施有選擇的通過,依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包後,根據數據包的源地址、目的地址、所用的 TCP/ UDP埠與 TCP鏈路狀態等因素來確定是否允許數據包通過。包過濾的核心是安全策略,即過濾演算法的設計。包過濾技術速度快、實現方便,但審計功能差。過濾規則的設計存在矛盾關系,過濾規則簡單時安全性差,過濾規則復雜則管理困難。
(3)應用網關技術
應用網關技術是建立在網路應用層上的協議過濾,它針對特別的網路應用服務協議,即數據過濾協議,能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸入輸出的通訊環境給予嚴格的控制,以防有價值的程序和數據被竊取。
(4)代理服務技術
代理服務作用在應用層,用來提供應用層服務的控制。這種代理服務准許網路管理員允諾或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過的,一旦判斷條件滿足,防火牆內部網路的結構和運行狀態便暴露在外來用戶面前,從而引入了代理服務的概念。這一技術使防火牆內外計算機系統應用層的鏈接由兩個終止干代理服務的鏈接未實現。這就成功地實現了防火牆內外計算機系統的隔離。同時,代理服務還具有實施較強的數據流監控、過濾、記錄和報告等功能。代理的CACHE功能可以加速訪問,但對干每一種應用服務都必須為其設計一個代理軟體模塊未進行安全控制,而每一種網路應用服務的安全問題各不相同,分析困難,實現也困難。
(5)防火牆技術的發展
結合上述幾種防火牆技術的優點,可以產生通用、高效和安全的防火牆。目前,除了基於以上三種技術的防火牆以外,又出現了許多新技術。如:動態包過濾技術,網路地址翻譯技術,加密路由器技術等。防火牆技術將不斷向著高度安全性、高度透明化的方向發展。
4.2.2 加密技術
加密技術是EC採取的主要安全措施,貿易方可根據需要在信息交換的階段使用。目前,加密技術分為兩類,即對稱加密和非對稱加密。
(1) 對稱加密/對稱密鑰加密/專用密鑰加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理,每個貿易方都不必彼此研究和交換專用的加密演算法,而是採用相同的加密演算法並只交換共享的專用密鑰。如果進行通信的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發送報文摘要或報文散列值來實現。對稱加密技術存在著在通信的貿易方之間確保密鑰安全交換的問題。此外,當某一貿易方有n個貿易關系,那麼他就要維護n個專用密鑰(即每把密鑰對應一貿易方)。對稱加密方式存在的另一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享同一把專用密鑰,貿易雙方的任何信息都是通過這把密鑰加密後傳送給對方的。
數據加密標准(DES)由美國國家標准局提出,是目前廣泛採用的對稱加密方式之一,主要應用於銀行業中的電子資金轉賬(EFT)領域。DES的密鑰長度為56位。三重DES是DES的一種變形。這種方法使用兩個獨立的56位密鑰對交換的信息(如EDI數據)進行3次加密,從而使其有效密鑰長度達到112位。RC2和RC4方法是RSA數據安全公司的對稱加密專利演算法。RC2和RC4不同於DES,它們採用可變密鑰長度的演算法。通過規定不同的密鑰長度,RC2和RC4能夠提高或降低安全的程度。一些電子郵件產品(如Lotus Notes和Apple的Open Collaboration Environment)已採用了這些演算法。
(2) 非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用於對機密性的加密,專用密鑰則用於對加密信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握,公開密鑰可廣泛發布,但它只對應於生成該密鑰的貿易方。貿易方利用該方案實現機密信息交換的基本過程是:貿易方甲生成一對密鑰並將其中的一把作為公開密鑰向其他貿易方公開;得到該公開密鑰的貿易方乙使用該密鑰對機密信息進行加密後再發送給貿易方甲;貿易方甲再用自己保存的另一把專用密鑰對加密後的信息進行解密。貿易方甲只能用其專用密鑰解密由其公開密鑰加密後的任何信息。
RSA演算法是非對稱加密領域內最為著名的演算法,但是它存在的主要問題是演算法的運算速度較慢。因此,在實際的應用中通常不採用這一演算法對信息量大的信息(如大的EDI交易)進行加密。對於加密量大的應用,公開密鑰加密演算法通常用於對稱加密方法密鑰的加密。
4.2.3 密鑰管理技術
(1) 對稱密鑰管理
對稱加密是基於共同保守秘密來實現的。採用對稱加密技術的貿易雙方必須要保證採用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時還要設定防止密鑰泄密和更改密鑰的程序。這樣,對稱密鑰的管理和分發工作將變成一件潛在危險的和繁瑣的過程。通過公開密鑰加密技術實現對稱密鑰的管理使相應的管理變得簡單和更加安全,同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。
貿易方可以為每次交換的信息(如每次的EDI交換)生成唯一一把對稱密鑰並用公開密鑰對該密鑰進行加密,然後再將加密後的密鑰和用該密鑰加密的信息(如EDI交換)一起發送給相應的貿易方。由於對每次信息交換都對應生成了唯一一把密鑰,因此各貿易方就不再需要對密鑰進行維護和擔心密鑰的泄露或過期。這種方式的另一優點是即使泄露了一把密鑰也只將影響一筆交易,而不會影響到貿易雙方之間所有的交易關系。這種方式還提供了貿易夥伴間發布對稱密鑰的一種安全途徑。
(2) 公開密鑰管理/數字證書
貿易夥伴間可以使用數字證書(公開密鑰證書)來交換公開密鑰。國際電信聯盟(ITU)制定的標准X.509(即信息技術--開放系統互連--目錄:鑒別框架)對數字證書進行了定義該標准等同於國際標准化組織(ISO)與國際電工委員會(IEC)聯合發布的ISO/IEC
9594-8:195標准。數字證書通常包含有唯一標識證書所有者(即貿易方)的名稱、唯一標識證書發布者的名稱、證書所有者的公開密鑰、證書發布者的數字簽名、證書的有效期及證書的序列號等。證書發布者一般稱為證書管理機構(CA),它是貿易各方都信賴的機構。數字證書能夠起到標識貿易方的作用,是目前EC廣泛採用的技術之一。微軟公司的Internet Explorer 5.0和網景公司的Navigator 6.0都提供了數字證書的功能來作為身份鑒別的手段。
(3)密鑰管理相關的標准規范
目前國際有關的標准化機構都著手制定關於密鑰管理的技術標准規范。ISO與IEC下屬的信息技術委員會(JTC1)已起草了關於密鑰管理的國際標准規范。該規范主要由3部分組成:第1部分是密鑰管理框架;第2部分是採用對稱技術的機制;第3部分是採用非對稱技術的機制。該規范現已進入到國際標准草案表決階段,並將很快成為正式的國際標准。
4.2.4認證技術
(1)數字簽名
數字簽名是公開密鑰加密技術的另一類應用。它的主要方式是:報文的發送方從報文文本中生成一個128位的散列值(或報文摘要)。發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名。然後,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。
ISO/IEC JTC1已在起草有關的國際標准規范。該標準的初步題目是信息技術安全技術帶附件的數字簽名方案,它由概述和基於身份的機制兩部分構成。
⑸ 目前電子商務安全法律制度主要有哪些
1電子商務,Electronic Commerce,通常是指是在全球各地廣泛的商業貿易活動中,在網際網路開放的網路環境下,基於瀏覽器/伺服器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業運營模式。"
2所謂的客戶關系管理就是為企業提供全方位的管理視角;賦予企業更完善的客戶交流能力,最大化客戶的收益率。
3網路營銷(On-line Marketing或E-Marketing)就是以國際互聯網路為基礎,利用數字化的信息和網路媒體的交互性來輔助營銷目標實現的一種新型的市場營銷方式。
4電子商務產生發展的條件:電子商務的出現,打破了以往傳統商務模式下的時間和空間的界限,改變了原有企業的格局、原有的價值體系、原有的經營模式,甚至改變了企業的形式。電子商務對商品的價格也帶來了深刻的影響。主要包括:電子商務降低采購成本;電子商務實現無庫存生產;電子商務實現營銷成本下降;電子商務降低企業組織管理費用以及電子商務降低交易費用。
5簡述電子商務法的基本原則:
一、中立原則
電子商務法的基本目標,歸結起來就是要在電子商務活動中,建立公平的交易規則。這是商法的交易安全原則在電子商務法上的必然反映。電子商務既是一種新的交易手段,同時又是一個新興產業。面對其中所蘊涵的,深不可測的巨大利益的誘惑,可以說沒有哪個企業是無動於衷的。各種利益集團、各種技術,以及各個利益主體都想參與其中,在這個無比廣闊的舞台上施展才華,謀取便利。其具體參與者有硬體製造商、軟體開發商、信息提供商、消費者、商家等等,不一而足。而要達到各方利益的平衡,實現公平的目標,就有必要做到如下幾點:
(1)技術中立。電子商務法對傳統的口令法、以及非對稱性公開密鑰法,以及生物鑒別法等認證方法,都不可厚此薄彼,產生任何歧視性要求。同時,還要給未來技術的發展留下法律空間,而不能停止於現狀,以至閉塞賢路。譬如新計算機的問世、新一代高速網路的出現等,都將考驗電子商務法的技術中立性。這是在總結了傳統書面法律要求的經驗教訓,而得出的方針。當然,該原則在具體實施時,會遇到許多困難。而克服這些具體困難的過程,也就是技術中立原則實現的過程。
(2)媒介中立。媒介中立與技術中立緊密聯系,二者都具有較強的客觀性,並且一定的傳輸技術,與相應的媒介之間是互為前提的。媒介中立,是中立原則在各種通訊媒體上的具體表現,所不同的是,技術中立側重於訊息的控制和利用手段:而媒介中立則著重於訊息依賴的載體。後者更接近於材料科學。從傳統的通訊行業劃分來看,不同的媒體可能分屬於不同的產業部門,如無線通訊、有線通訊、電視、廣播、增殖網路等。而電子商務法,則應以中立的原則來對待這些媒介體,允許各種媒介根據技術和市場的發展規律而相互融合,互相促進。只有這樣,才能使各種資源得到充分的利用,從而避免人為的行業壟斷,活媒介壟斷。開放性網際網路的出現,正好為各種媒介發揮其作用提供了理想的環境,達到興利除弊,共生共榮。
(3)實施中立。是指在電子商務法與其他相關法律的實施上,不可偏廢;在本國電子商務活動與跨國際性電子商務活動的法律待遇上,應一視同仁。特別是不能將傳統書面環境下的法律規范(如書面、簽名、原件等法律要求)的效力,放置於電子商務法之上,而應中立對待,根據具體環境特徵的需求,來決定法律的實施。如果說前述技術中立和媒介中立,反映了電子商務法對技術方案和媒介方式的規范,具有較強的客觀性。而對電子商務法的中立實施,則更偏重於主觀性。電子商務法如同其他規范一樣,其適用離不開當事人的遵守與司法機關的適用。
(4)同等保護。此點是實施中立原則在電子商務交易主體上的延伸。電子商務法對商家與消費者,國內當事人與國外當事人等,都應盡量做到同等保護。因為電子商務市場本身是國際性的,在現代通訊技術條件下,割裂的、封閉的電子商務市場是無法生存生存的。
一言以蔽之,電子商務法上的中立原則,著重反映了商事交易的公平理念。其具體實施將全面展現在當事人所依託於開放性、兼容性、國際性的網路與協議,而進行的商事交易之中。
二、自治原則
允許當事人以協議方式訂立其間的交易規則,是交易法的基本屬性。因而,在電子商務法的立法與司法過程中,都要以自治原則為指導,為當事人全面表達與實現自己的意願,預留充分的空間,並提供確實的保障。譬如以《示範法》第四條為例,就規定了當事人可以協議變更的條款。其內在含義是:除了強制性的法律規范外,其餘條款均可由當事人自行協商制定。其實,《示範法》中的強行規范不僅從數量上很少,僅四條之多,而且其目的也僅在於消除傳統法律為電子商務發展所造成的障礙,為當事人在電子商務領域里充分行使其意思自治而創造條件。換言之,《示範法》的任意性條款,從正面確定權利,以鼓勵其意思自治,而強制性條款,則從反面摧毀傳統法律羈絆,使法律適應電子商務活動的特徵,更好的保障其自治意思的實現。可以說是一正、一反,殊途同歸。
三、安全原則
保障電子商務的安全進行,既是電子商務法的重要任務,又是其基本原則之一。電子商務以其高效、快捷的特性,在各種商事交易形式中脫穎而出,具有強大的生命力。而這種高效、快捷的交易工具。必須以安全為其前提,它不僅需要技術上的安全措施,同時,也離不開法律上的安全規范。譬如,電子商務法確認強化(安全)電子簽名的標准 ,規定認證機構的資格及其職責等具體的制度,都是為了在電子商務條件下,形成一個較為安全的環境,至少其安全程度應與傳統紙面形式相同。電子商務法從對數據電訊效力的承認,以消除電子商務運行方式的法律上的不確定性,以至於根據電子商務活動中現代電子技術方案應用的成熟經驗,而建立起反映其特點的操作性規范,其中都貫穿了安全原則和理念。
我國電子商務的發展已經達到中等發達國家水平,因為(1)中國有近3億網民,(2)網上零售已達到100億
⑹ 電子商務在法律上安全嗎
對於什麼是電子商務,業界並沒有一個一致的說法,粗略地可以將其理解為專人們將傳統的貿易行為通過屬網際網路來完成的一種全新的交易模式,即人們僅僅通過網際網路就可以完成尋找交易對象、磋商、簽約、付款甚至交貨等全部交易環節的一種貿易形式。我們來看一下當前電子商務的兩種主要形式,進而分析在中國開展電子商務在法律上是不是安全。 第一種是直接式電子商務,即整個交易過程均以電子手段進行,並且,最終產品亦通過數據信息形式傳輸給買家
⑺ 電子商務安全涉及到的法律要素主要有哪些
①保障交易各方身份認證的法律 ;
②電子合同的法律地位;
③對電子商務中消費者權益保護的法律;
④網路知識產權保護的法律。
⑻ 電子商務安全的管理方法有哪些
電子商務是利用各種電子化手段進行的商務活動,其價值的實現主要依託於網路,尤其是互聯網,它已經成為互聯網應用的一個必然趨勢和金融商貿的主要模式之一.如何建立一個安全的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務必須直面的一個問題.
由於電子商務的重要技術特徵是利用網路來傳輸和處理商業信息,因此,電子商務安全主要包括兩個方面:網路安全和商務安全.而這些安全的實現又依託於一些具體的安全技術,遵循相關安全協議.
1 網路安全問題
網路安全主要是指計算機和網路本身可能存在的安全問題,也就是要保障電子商務平台的可用性和安全性.網路安全是電子商務的基礎,其問題一般表現為:
1.1 計算機本身潛在的安全隱患帶來的網路安全問題
計算機使用的是未經過相關的網路安全配置的操作系統,不論是什麼操作系統,在預設安裝的條件下都會存在一些安全問題,而僅僅將操作系統按預設安裝後,再配上很長的密碼就認為安全的想法是不可靠的.因為計算機本身存在的軟體漏洞和"後門"往往是網路攻擊的首選目標.
1.2 入侵者風險降低獲利升高帶來的刺激引發的網路安全問題
由於網路的全球性,開放性,共享性的發展,使得任何人都可以自由地接入互聯網,而這其中也包括了黑客,入侵者和病毒製造者.他們採用的攻擊方法越來越多,對電子商務的威脅也顯得越來越明顯.相對而言,襲擊者本身的風險卻非常小,甚至可以在襲擊後很快就消失得無影無蹤,使對方幾乎沒有實行報復打擊的可能,這使他們的活動更加猖獗.美國的"雅虎"和"亞馬遜"曾受到攻擊的事件就說明了這一點.
1.3 安全設備使用不當帶來的網路安全問題
雖然絕大多數網站採用了網路安全設備,有的甚至還耗費巨資,但由於安全設備本身因素或使用問題,這些設備並沒有起到應有的或期望的作用.很多安全廠商的產品對配置人員的技術背景要求很高,往往超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確地安裝,配置,一旦系統改動,需要改動相關安全設備的設置時,很容易產生許多安全問題.而通常意義上的網路管理者往往無法勝任這樣的工作.
因此在實施網路安全防範措施時應做到:首先要加強主機本身的安全,做好安全配置;及時安裝安全補丁程序,減少漏洞;安裝防病毒軟體和軟體防火牆,加強內部網的整體防病毒措施;使用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;利用相應的數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網路上傳輸的敏感信息要進行一定強度的數據加密;建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊.同時充分利用已經公布的有關交易安全和計算機安全的法律法規為電子商務交易護航.再者,面對普通網路管理員的技術水平,在網路的建設和維護中可採用聯合開發維護的方式,通過前期的建設和維護不斷提高和完善自身團隊的技術水平,使其在成長中逐步勝任企業對網路安全的要求.
網路管理者在思想上高度重視安全問題也是相當有必要的.技術的產生一般相對於人們的需求有一定的滯後性,而建立和實施嚴密完善的網路安全制度和策略往往可以代替暫時無法實現的技術,畢竟這才是真正實現網路安全的基礎.
一個全方位的計算機網路安全體系結構通常包含網路的物理安全,訪問控制安全,系統安全,用戶安全,信息加密,安全傳輸和管理安全.這一切的實現依賴於各種先進的主機安全技術,身份認證技術,訪問控制技術,密碼技術,防火牆技術,安全審計技術,安全管理技術,系統漏洞檢測技術,黑客跟蹤技術.隨著安全核心系統,VPN安全隧道,身份認證,網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術的應用,從不同層面加強了計算機網路的整體安全性,漸漸在攻擊者和受保護的資源間建立了多道嚴密的安全防線,增加了惡意入侵的難度.
為了保證電子商務活動的順利進行,必須有安全完善的網路體系為其提供穩定可靠,強有力的支撐.
2 商務安全問題
商務安全指商務交易在網路媒介中體現出來的安全問題,也就是要實現電子商務信息的保密性,完整性,真實性和不可抵賴性.
在早期的電子交易中,曾採用過一些簡單的安全措施.例如將網上交易中最關鍵的數據如信用卡號碼及成交數額等用電話告知,以防泄密,網上交易後再用其他方式對交易做確認,以保證其真實性和不可抵賴性.這些方法不僅操作不便,而且有一定的局限性,也不能實現其真正的安全性.
2.1 商務安全中普遍存在的幾種安全隱患
2.1.1 竊取信息
信息在傳輸過程中未採用相應的加密措施或加密強度不夠,導致數據信息在網路上以明文或近乎明文的形式傳送.入侵者在數據包經過的設備或線路上採用截獲方法截獲正在傳送的信息,通過對竊取數據參數的分析比對,找到信息的格式和規律,進而得到傳輸信息的內容,導致消費者消費信息,賬號密碼和企業商業機密等信息的外泄.
2.1.2 篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術方法和手段對網路傳輸中的信息進行截獲修改再發至原先指定目的地,從而破壞信息的真實性.入侵者通過改變信息流的次序,更改信息的內容,刪除信息的某些部分,甚至在信息中插入一些附加內容,使接收方做出錯誤的判斷與決策.
2.1.3 信息假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以進一步冒充合法用戶獲取和發送信息,而遠端接受方或發送方通常不易分辨.常見的方式有偽造用戶和商戶的收定貨單據,套取或修改相關程序的使用許可權等.
2.1.4 信息破壞
由於攻擊者已侵入網路,已獲得對網路中信息的修改許可權,如其對網路中現有機要信息進行修改乃至於刪除,其後果是非常嚴重的.
2.2 商務安全的要求
2.2.1 信息的保密性
交易中的商務信息都需要遵循一定的保密規則.因為其信息往往代表著國家,企業和個人的商業機密.在以往傳統的紙面貿易中採用郵寄封裝或通過可靠的通信渠道傳送商業信息來達到保密的目的和要求.而電子商務是建立在一個較為開放的互聯網路環境上的,它所依託的網路本身也就是由於開放式互聯形成的市場,才贏得了電子商務,因此在這一新的支撐環境下,勢必要用相應的技術和手段來延續和改進信息的保密性.一般用密碼技術來實現.
2.2.2 信息的完整性
不可否認電子商務的出現以計算機代替了人們大多數復雜的勞動,也以信息系統的形式整合化簡了企業貿易中的各個環節,但網路的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整,統一出現了問題.由於數據輸入時的意外差錯(如計算機自動處理過程中死機,停電等),可能導致貿易各方信息的不一致.此外,數據傳輸過程中人為的或自然的信息丟失(如數據包丟失),信息重復或信息傳送的次序差異(如網路堵塞重發)也會導致貿易各方信息的不同.而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略.因此保持貿易各方信息的完整性是電子商務應用必備的基礎.完整性一般可通過提取信息消息摘要的方式來獲得.
2.2.3 信息的不可抵賴性
在交易中會出現交易抵賴的現象,如信息發送方在發送操作完成後否認曾經發送過該信息,或與之相反,接受方收到信息後並不承認曾經收到過該條消息.因此如何確定交易中的任何一方在交易過程中所收到的交易信息正是自己的合作對象發出的,而對方本身也沒有被假冒,是電子商務活動和諧順利進行的保證.信息的保證可以通過對發送的消息進行數字簽名來獲取.身份的確定一般都採用證書機構CA和證書的方法來實現.讓素昧平生,相隔千里的雙方成為合作夥伴畢竟不是一件容易的事情.
當然,在電子商務活動中還有許多要求,比如交易信息的時效界定問題,交易一旦達成後有無撤消和修改的可能等.相信在電子商務的發展中必將涌現各種技術和各項法律法規,規范人們的需求並幫助其實現,以保證電子商務交易的嚴肅性和公正性.
3 電子商務的安全技術
3.1 加密技術
加密技術是保證電子商務安全的重要手段,為保證電子商務安全使用加密技術對敏感的信息進行加密,保證電子商務的保密性,完整性,真實性和非否認服務.
3.1.1 加密技術的現狀
如同許多IT技術一樣,加密技術層出不窮,為人們提供了很多的選擇餘地,但與此同時也帶來了一個問題——兼容性,不同的企業可能會採用各自不同的標准.
另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制.目前,美國的企業一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的演算法出口.雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多.美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾.目前,我國由上海市電子商務安全證書管理中心推出的128位SSL演算法,彌補了國內的這一空缺,也為我國電子商務安全帶來了廣闊的前景.
3.1.2 常用的加密技術
對稱密鑰密碼演算法:對稱密碼體制由傳統簡單換位代替密碼發展而成,加密模式上可分為序列密碼和分組密碼兩類.
不對稱型加密演算法:也稱公用密鑰演算法,其特點是有二個密鑰即公用密鑰和私有密鑰,兩者必須成對使用才能完成加密和解密的全過程.本技術特別適用於分布式系統中的數據加密,在網路中被廣泛應用.其中公用密鑰公開,為數據源對數據加密使用,而用於解密的相應私有密鑰則由數據的接受方保管.
不可逆加密演算法:其特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有輸入同樣的數據經過同一不可逆加密演算法的比對才能得到相同的加密數據.因為其沒有密鑰所以不存在密鑰保管和分發問題,但由於它的加密計算工作量較大,所以通常只在數據量有限的情況下,例如計算機系統中的口令信息的加密.
3.1.3 電子商務領域常用的加密技術
數字摘要:又稱安全Hash編碼法.該編碼法採用單向Hash 函數將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱為數字指紋,具有固定的長度,並且不同的明文摘要其密文結果是不一樣的,而同樣的明文其摘要保持一致.
數字簽名:數字簽名是將數字摘要,公用密鑰演算法兩種加密方法結合使用.它的主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要).發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名,然後這個數字簽名將作為報文的附件和報文一起發送給報文的接收方.報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密.如果兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的.通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性,有效地防止了簽名的否認和非正當簽名者的假冒.
數字時間戳:是對交易文件的時間信息所採取的安全措施.該網上安全服務項目,由專門的機構提供.時間戳是一個經加密後形成的憑證文檔,它包括:需加時間戳的文件的摘要,數字時間戳服務收到文件的日期和時間,數字時間戳服務的數字簽名.
數字證書:數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網路資源的訪問許可權,主要有個人憑證,企業(伺服器)憑證,軟體(開發者)憑證三種.
3.2 身份認證技術
在網路上通過一個具有權威性和公正性的第三方機構——認證中心,將申請用戶的標識信息(如姓名,身份證號等)與他的公鑰捆綁在一起,用於在網路上驗證確定其用戶身份.前面所提到的數字時間戳服務和數字證書的發放,也都是由這個認證中心來完成的.
3.3 支付網關技術
支付網關,通常位於公網和傳統的銀行網路之間(或者終端和收費系統之間),其主要功能為:將公網傳來的數據包解密,並按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部傳回來的響應消息,將數據轉換為公網傳送的數據格式,並對其進行加密.支付網關技術主要完成通信,協議轉換和數據加解密功能,並且可以保護銀行內部網路.此外,支付網關還具有密鑰保護和證書管理等其它功能(有些內部使用網關還支持存儲和列印數據等擴展功能).
4 與電子商務安全有關的協議技術
4.1 SSL協議(Secure Sockets Layer)
SSL協議也叫安全套接層協議,面向連接的協議,是現在使用的主要協議之一,但當初並非為電子商務而設計.該協議使用公開密鑰體制和X.509數字證書技術來保護信息傳輸的機密性和完整性.SSL協議在應用層收發數據前,協商加密演算法,連接密鑰並認證通信雙方,從而為應用層提供了安全的傳輸通道,在該通道上可透明載入任何高層應用協議(如HTTP,FTP,TELNET等)以保證應用層數據傳輸的安全性.由於其獨立於應用層協議,在電子交易中常被用來安全傳送信用卡號碼,但由於它是個面向連接的協議,只適合於點對點之間的信息傳輸,即只能提供兩方的認證,而無法滿足現今主流的加入了認證方的三方協作式商務模式,因此在保證信息的不可抵賴性上存在著缺陷.
4.2 SET協議(Secure Electronic Transaction)
SET協議也叫安全電子交易,對基於信用卡進行電子化交易的應用提供了實現安全措施的規則,與SSL協議相比較,做了些改進.在商務安全問題中,往往持卡人希望在交易中對自己的交易信息保密,使之不會被人竊取,商家希望客戶的定單真實有效,並且在交易過程中,交易各方都希望驗明對方的身份,以防止被欺騙.針對這種情況,Visa和MasterCard兩大信用卡組織以及微軟等公司共同制定了SET協議,一個能保證通過開放網路(包括Internet)進行安全資金支付的技術標准.它採用公鑰密碼體制和X.509數字證書標准,主要應用於保障網上購物信息的安全性.由於SET 提供了消費者,商家和銀行之間的認證,彌補了SSL的不足,確保了交易數據的安全性,完整性,可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為目前公認的信用卡/借記卡網上交易的國際安全標准.
除此之外還有安全超文本傳輸協議(SHTTP),安全交易技術協議(STT)等.協議為電子商務提供了規范.
5 結語
安全是電子商務的核心和靈魂.電子商務對網路安全與商務安全的雙重要求,使網路安全與商務安全密不可分.沒有計算機網路安全作為基礎,商務交易安全猶如空中樓閣,無從談起;沒有商務安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求.而電子商務相應的實現技術和各種協議正是安全得以實現的保證.
⑼ 電子商務安全的基本要求有哪些
一、建立和完善我國電子商務安全法律法規體系電子商務實踐要求有透明、和諧的交易秩序和環境保障,為此,須建立和完善相應的法律體系。目前,我國已頒布相當數量的信息安全方面的法律規范,但立法層次不高,法律協調性 本論文由無憂論文網整理提供差,立法理念和立法技術相對滯後。我國電子商務法律體系的構建中,首先應當考慮原有法律對電子商務行為的適用,對於原有法律不能適應可以採取修改原有法律和單獨立法的方式予以解決。對於一些全新領域可以進行單獨立法,可以參照聯合國《電子商務示範法》制定我國的電子商務基本法,從而形成我國電子商務完整、有機的法律體系。電子商務安全方面的法制建設則應涵蓋:保護隱私權;保護消費者權益;保證信息的合法訪問;數字簽名與認證機構;計算機違法與犯罪的問題的控制等。
二、完善電子商務企業內部安全管理體制,增強相關人員的安全意識首先必須對企業內部所有人員進行信息安全意識教育,充分理解安全對企業的重要性。系統管理員要將系統安全放在首位,依靠可行的、詳細的信息安防制度,消除安全隱患,防患於未然。其次,須針對信息存儲的不安全因素採取適當的防範措施:硬體的電源故障可設置合適的不間斷電源;操作系統和應用軟體的不安全因素可採用經常升級和下載軟體補丁程序的方法;軟體漏洞可進行有針性的設置加以彌補;計算機病毒可使用防毒、殺毒軟體,並經常升級。
三、構建電子商務信息安全技術框架體系:
(1)、防火牆技術是近年來發展的最重要的安全技術,用來加強網路之間的訪問控制,防止外部網路用戶以非法手段通過外部網路進人內部網路(被保護網路)。防火牆技術主要有包過濾、代理服務、狀態監控等技術。防火牆技術的優點主要是:通過過濾不安全的服務,提高網路安全和減少子網中主機的風險;提供對系統的訪問控制;阻擊攻擊者獲取攻擊網路系統的有用信息;記錄與統計通過它的網路通信,提供關於網路使用的統計數據,根據統計數據來判斷可能的攻擊和探測;提供製定與執行網路安全策略的手段,對企業內部網實現集中的安全管理。
(2)、信息加密技術作為主動的信息安全防範措施,利用加密演算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。
(3)、數字證書和認證技術是網路通信中標志通信 無憂論文網各方身份信息的一系列數據,通過運用對稱和非對稱密碼體制建立起一套嚴密的身份認證系統。具有信息除發送方和接收方外不被其他人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證書來確認接收方的身份;發送方對於自己發送的信息不能抵賴等多項功能。另外,報文的發送方從報文文本中生成一個特定長度的散列值,發送方用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名,通過數字簽名能夠實現對原始報文的完整性鑒別和不可抵賴性,實現電子文檔的辨認和驗證。
(4)、安全協議中,安全套接層協議(SSL)是一種安全通信協議。SSL提供了兩台計算機之間的安全連接,對整個會話進行了加密,從而保證了信息的安全傳輸。它提供的安全連接具有三個特點:連接是保密的,對於每個連接都有一個唯一的會話加密,採用對稱密碼體制來加密數據;連接是可靠的,消息的傳輸採用信息驗證演算法進行完整性檢驗;對端實體的鑒別採用非對稱密碼體制進行認證。安全電子交易(SET)是通過開放網路進行安全資金支付的技術標准,SET向基於信用卡進行電子化交易的應用提供實現安全措施的規則:信息在Internet上安全傳輸,保證傳輸的數據不被黑客竊取;其定單信息和個人帳號信息的隔離,當包含持卡人帳號信息的定單送到商家時,商家只能看到定貨信息,而看不到持卡人的帳戶信息;持卡人和商家相互認證,以確定通信雙方的身份,一般由第三方機構負責為在線通信雙方提供信用擔保;要求軟體遵循相同協議和報文格式,使不同廠家開發的軟體具有兼容和互操作功能,並可運行在不同的硬體和操作系統平台上。