❶ 如何保证电子商务的安全问题的探讨
电子商务安全技术的分析与研究
[摘 要] 本文首先介绍了电子商务安全的现状,分析了存在的主要问题,然后从网络安全技术、数据加密技术、用户认证技术等方面介绍了主要的电子安全技术,并提出了一个合理的电子商务安全体系架构。
[关键词] 电子商务电子支付 安全技术
一、引言
随着网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的快捷、高效。它的出现不仅为Internet的发展壮大提供了一个新的契机,也给商业界注入了巨大的能量。但电子商务是以计算机网络为基础载体的,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,安全性问题成为首要问题。
二、目前电子商务存在的安全性问题
1.网络协议安全性问题:目前,TCP/IP协议是应用最广泛的网络协议,但由于TCP/IP本身的开放性特点,企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。
2.用户信息安全性问题:目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易,由于用户在登录时使用的可能是公共计算机,如网吧、办公室的计算机等情况,那么如果这些计算机中有恶意木马程序或病毒,这些用户的登录信息如用户名、口令可能会有丢失的危险。
3.电子商务网站的安全性问题:有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取,给企业和用户造成难以估量的损失。
三、电子商务安全性要求
1.服务的有效性要求:电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
2.交易信息的保密性要求:电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
3.数据完整性要求:数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
4.身份认证的要求:电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
❷ 如何实施安全电子商务
电子商务这方面的东西多的,一下子也说不完,我只能大概的说一下,如果对我的回答不满意,我给你一个网站,里面有详细介绍电子商务安全、流程、施行方案等等,在最下面的参考资料里。
一、电子商务的分类
电子商务按电子商务交易涉及的对象、电子商务交易所涉及的商品内容和进行电子业务的 企业所使用的网络类型等对电子商务进行不同的分类。
(一)按参与交易的对象分类 按参与电子商务交易涉及的对象分类,电子商务可以分为以下三种类型:
1.企业与消费者之间的电子商务(Business to Customer即B TO C)。这是消费者利用因特网 直接参与经济活动的形式,类同于商业电子化的零售商务。随着万维网(WWW)的出现,网上销 售迅速地发展起来。目前,在因特网上有许许多多各种类型的虚拟商店和虚拟企业,提供各种与 商品销售有关的服务。通过网上商店买卖的商品可以是实体化的,如书籍、鲜花、服装、食品、 汽车、电视等等;也可以是数字化的,如新闻、音乐、电影、数据库、软件及各类基于知识的商 品;还有提供的各类服务,有安排旅游、在线医疗诊断和远程教育等。
2.企业与企业之间的电子商务(Business to Business 即B TO B)。B TO B方式是电子商务应 用最重和最受企业重视的形式,企业可以使用Internet或其他网络对每笔交易寻找最佳合作伙伴, 完成从定购到结算的全部交易行为,包括向供应商订货、签约、接受发票和使用电子资金转移、 信用证、银行托收等方式进行付款,以及在商贸过程中发生的其他问题如索赔、商品发送管理和 运输跟踪等。企业对企业的电子商务经营额大,所需的各种硬软件环境较复杂,但在EDI商务成功 的基础上发展得最快。
3.企业与政府方面的电子商务(Business to Government B TO G)。这种商务活动覆盖企业与 政府组织间的各项事务。例如企业与政府之间进行的各种手续的报批,政府通过因特网发布采购 清单、企业以电子化方式响应:政府在网上以电子交换方式来完成对企业和电子交易的征税等, 这成为政府机关政务公开的手段和方法。
(二)按交易涉及的商品内容分类 如果按照电子商务交易所涉及的商品内容分类,电子商务主要包括两类商业活动。
1.间接电子商务 电子商务涉及商品是有形货物的电子订货,如鲜花、书籍、食品、汽车等,交易的商品需要 通过传统的渠道如邮政业的服务和商业快递服务来完成送货,因此,间接电子商务要依靠送 货的运输系统等外部要素。
2.直接电子商务 电子商务涉及商品是无形的货物和服务,如计算机软件、娱乐内容的联机订购、付款和交付, 或者是全球规模的信息服务。直接电子商务能使双方越过地理界线直接进行交易,充分挖掘 全球市场的潜力。目前我国大部分的农业网站都属于这一类,但这还是真正意义上的直接电子 商务。
(三)按电子商务使用的网络类型分类 根据开展电子商务业务的企业所使用的网络类型框架的不同,电子商务可以分为如下三种形式:
1.EDI网络电子商务(Electronic Data Interchange,电子数据交换)。EDI是按照一个公认 的标准和协议,将商务活动中涉及的文件标准化和格化式,通过计算机网络,在贸易伙伴的计 算机网络系统之间进行数据交换和自动处理。EDI主要应用于企业与企业、企业与批发商、批发 商与零售商之间的批发业务。EDI电子商务在90年代已得到较大的发展,技术上也较为成熟,但 是因为开展EDI对企业有较高的管理、资金和技术的要求,因此至今尚不太普及。
2.因特网电子商务(Internet网络)。是指利用连通全球的Internet网络开展的电子商务 活动,在因特网上可以进行各种形式的电子商务业务,所涉及的领域广泛,全世界各个企业 和个人都可以参与,正以飞快的速度在发展,其前景十分诱人,是目前电子商务的主要形式。
3.内联网络电子商务(Intranet网络)。是指在一个大型企业的内部或一个行业内开展的电 子商务活动,形成一个商务活动链,可以大大提高工作效率和降低业务的成本。 例如中华人民共和国专利局的主页,客户在该网站上可以查询到有关中国专利的所有信息和 业务流程,这是电子商务在政府机关办公事务中的应用;已经开通的上海网上南京路一条街 主页,包括了南京路上的主要商店,客户可以在网上游览著名的上海南京路商业街,并在网 上南京路上的网上商店中以电子商务的形式购物;已开始营业的北京图书大厦主页,客户可 以在此查阅和购买北京图书大厦经营的几十万种图书。上述两个都是B TO C的电子商务应用 形式。
二、常用的安全电子交易手段
在近年来发表的多个安全电子交易协议或标准中,均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种:
(1)、 密码技术
采用密码技术对信息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种:
A. 公共密钥和私用密钥(public key and private key)
这一加密方法亦称为RSA编码法,是由Rivest,Shamir和Adlernan 三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
B. 数字摘要(digital digest)
这一加密方法亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所设计。该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是"真身"的"指纹"了。
上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。
(2)、 数字签名(digital signature)
在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:
信息是由签名者发送的。
信息自签发后到收到为止未曾作过任何修改。
这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
数字签名并非用"手书签名"类型的图形标志,它采用了双重加密的方法来实现防伪、防赖。其原理为:
(1)被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。
(2)发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。
(3)将原文和加密的摘要同时传给对方。
(4)对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA 编码加密产生又一摘要。
(5)将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。
(3)、 数字时间戳(digital time-stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务
(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp) 是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由Bellcore创造的DTS采用下的过程:加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。因此,时间戳也可作为科学家的科学发明文献的时间认证。
(4)、 数字凭证(digital certificate,digital ID)
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。
数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
数字凭证的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:
凭证拥有者的姓名,
凭证拥有者的公共密钥,
公共密钥的有效期,
颁发数字凭证的单位,
数字凭证的序列号(Serial number),
数字凭证有三种类型:
个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。
企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
软件(开发者)凭证(Developer ID):它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。
(5)、 认证中心:(CA:Certification Authority)
在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS:Certification Practice Statement)来实施服务操作。
目前在全球处于领导地位的认证中心是美国的VeriSign公司,创建于1995年4 月,总部在美国加州的Mountain View。该公司所提供的数字凭证的服务已遍及全世界50个国家,接受该公司的服务器数字凭证的Web站点服务器已超过45 000个,而使用该公司个人数字凭证的用户已超过200万名。
上述五个方面介绍了安全电子交易的常用手段,各种手段常常是结合在一起使用的,从而构成安全电子交易的体系。
三、流程:
双方建立项目领导小组——>全面企业需求调研——>体现企业个性化特点的解决方案——>双方确认方案——>高层、中层领导管理理念培训——>安装软件并进行实施指导(坚持以客户为中心,充分体现企业的个性化特点)——>二次开发——>阶段性验收——>实施指导——>阶段性验收——>终验收。在项目开始首先召开全员动员大会,将整个项目细分为若干个小项目,并将每一个小项目都责任到人,明确完成时间和验收标准,定期进行考核。确保每个人都有压力,每个人都有责任
❸ 浅谈如何解决电子商务面临的安全问题
1.电子商务面临的网络系统安全问题
电子商务系统是依赖网络实现的商务系统,需要利用Internet基础设施和标准,所以构成电子商务安全框架的底层是网络服务层,它提供信息传送的载体和用户接入的手段,是各种电子商务应用系统的基础,为电子商务系统提供了基本、灵活的网络服务。
电子商务网络系统安全问题包括以下几个方面:
(1)网络部件的不安全因素。
(2)软件不安全因素。
(3)工作人员的不安全因素。
(4)自然环境因素。
2.电子商务面临的电子支付系统安全问题
众所周知,基于Internet平台的电子商务支付系统由于涉及到客户、商家、银行及认证部门等多方机构,以及它们之间可能的资金划拨,所以客户和商家在进行网上交易时必须充分考虑其系统的安全。
目前网上支付中面临的主要安全问题有以下几方面:
(1)支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用。
(2)支付金额被更改。
(3)不能有效验证收款人的身份。
3.电子商务面临的认证系统安全问题
1.信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第
三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。如信用卡的账号和用户名被人获悉,就可能被盗用。
2.篡改
在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。假如两公司签订了一份由一公司向另一公司供应原料的合同,若赶上原料价格上涨,供货方公司篡改价格将使自己大幅受益,而采购公司将蒙受损失。
3.身份识别
在网络交易中如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。
4.蓄意否认事实
由于商情的千变万化,商务合同一旦签订就不能被否认,否则必然会损害一方的利益。因此,电子商务就提出了相应的安全控制要求。
(1)电子商务中面临的法律安全问题。随着国际信息化、网络化进化的不断发展,在电子商务领域利用计算机网络进行犯罪的案件与日俱增,其犯罪的花样和手段不断翻新。
(2)电子合同中的法律问题。电子商务合同的订立是在不同地点的计算机系统之间完成的。许多国家的法律要求必须有书面形式的交易单证作为证明交易有效和作为交易的证据;否则,这种合同属于无效合同。关于电子合同能否视为书面合同,并取得与书面文件同等的效力,是各国法律尚未解决的问题,与传统书面文件相比,电子文件有一定的不稳定性,一些来自外界的对计算机网络的干扰,都可能造成信息的丢失、损坏、更改。
(3)银行电子化服务的法律问题。银行是电子支付和结算的最终执行者,起着联结买卖双方的纽带作用,但对一些从事电子货币业务的银行来说,犯罪分子伪造电子货币,给银行带来了直接经济损失。
(4)电子资金转账的法律问题。电子资金转账的法律是个特殊问题,但是我国现行的《票据法》并不承认经过数字签名认证的非纸质的电子票据支付和结算方式。并且支付不可撤消,付款人或第三人不能要求撤消已经完成的电子资金转账。
(5)电子商务中的知识产权保护问题。电子商务活动中交易的客体及交易的行为经常涉及传统的知识产权领域。
(6)电子商务中的消费者权益保护问题。电子商务等新的交易方式给消费者权益保护带来各种新的维权问题。随着科技进步,新产品的大量出现,消费知识滞后的矛盾也更加突出。
❹ 如何对电子商务安全进行规范管理
电子商务安全规范管理要求:
一.机密性
电子商务作为贸易的一种方式,其信息直接代版表着个人、企业或国权家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
二.有效性
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
三.完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
四.可靠性
电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方是保证电子商务顺利进行的关键。
五.即需性
即需性是防止延迟或拒绝服务,即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。
六.身份认证
指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方。
❺ 电子商务中如何保证交易安全
对于传统市场,电子商务的安全管控比较困难。外贸电子商务平台由于时间及空间的限制以及信息的不对称、不及时等,往往会让一些不法分子有机可乘。因此对电子商务平台而言,确保电子商务交易的安全是进行网上交易行为的首要的条件,可从以下几点进行:
一、强化安全观念 进行在线交易不能对安全抱有丝毫不谨慎的态度,因为计算机中安装了防火墙或者特殊的加密软件,所以认为黑客是攻不进来的,这种观念绝对不可取。因为目前还没有一种软件或者安全系统声称能达到100%的安全可靠,所以不能盲目地相信交易系统,必须趁早做好安全防范的多项准备工作才是明智之举。
二、确保密码安全 密码需要有足够的长度并及时更新才算是比较安全的,使用字母和数字混合的密码较为理想。需要输入交易密码时,尽量使用网站提供的软键盘,软键盘上的数字是随机产生的,并不固定,而我们使用的电脑键盘完全则是固定的,并且基本都一样,很容易被黑客控制监视。所以,使用软键盘来输入交易密码是防止密码被盗的一个有效措施。同时经常修改密码对账号的安全也能起到很好的保护作用,建议每90天更换一次密码。
三、杜绝交易电脑的记忆功能 因为有些程序不但能记录用户的击键动作,甚至还可以以快照的形式记录到屏幕上发生的一切,还有些程序能将击键字母记录到根目录下的某一特定文件中,而这一文件可以用文本编辑器来查看。同时,许多网站会用不易察觉的技术,暗中搜集你填写在表格中的电子邮件地址信息,最常见的就是利用Cookie记录访问者上网的浏览行为和习惯。应该将浏览器设置为“不接受Cookie”,并且养成每完成一次交易就立即从硬盘中清除Cookie信息的良好习惯。能够确保商家交易过程和个人财务资料的安全。
四、时刻警惕病毒的袭击 病毒在因特网上传播的速度越来越快,为防止主动感染病毒,平台运营系统电脑不要访问境外一些不甚了解的网站,更不能贸然下载和运行来历不明的程序。如果收到一封带有附件的电子邮件,且附件的扩展名为.exe,或者访问某个境外网站时跳出需要执行某一程序,千万不能随意运行它,因为它可能是一个系统破坏程序。
五、交易过程中发现计算机异常时应及时中断交易
在网上交易时,发现计算机的运行速度变慢时,就应该提高警惕了。这有可能是攻击者正在入侵您的电脑,监视您的操作。遇到此类现象后,应该及时中断交易,重新启动计算机,然后对这种可疑的现象进行排查。
❻ 如何保障电子商务安全
这个问题太宽泛了吧~
我只能给你个大概
首先基础的文件加密
一,对自己的专本地文件进属行加密解密。
二,对邮件进行加密和解密。(例如用PGP
交易安全管理
一,要注意交易者身份的确认
二,数字签名等的使用
三,若是企业,肯定还需要制定交易安全管理制度
1人员管理制度2保密制度3跟踪,审计,稽核制4网络系统的日常维护制度5病毒防范制度6应急措施
了解一下电子商务的安全需求吧
1交易实体身份真实性需求2信息保密性需求3信息完整性4交易信息认可的需求5访问控制的需求6信息有效性
要注意电子商务安全隐患涉及许多方面,有人为因素,有设备因素,有软件因素等
1互联网问题。当某个用户不采取任何安全措施是,其他用户也可以很方便的访问他的计算机
2操作系统的安全
3应用软件安全4通信传输协议安全5网络安全管理
还必需的是掌握安全工具的使用~~~
以上只是一些理论常识,具体需求具体对策
❼ 如何提高电子商务安全
电子商务是互联网应用的重要趋势之一,也是国际金融贸易中越来越重要的经营模式之一,以后会逐渐地成为我们经济生活中一个重要的部分,安全是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的话题,下面将就电子商务发展中的几个热点问题,谈谈个人的看法。
一、怎么看待安全与发展的关系
谈到安全与发展两者之间的关系时,许多人都会认为安全更重要,而实际上在信息化发展的过程中,发展自始至终都应是放在第一位的,因为没有发展安全就无从谈起,没有发展就是最大的不安全。
从国内外的情况来看,电子商务发展的速度太快,致使其安全技术和安全管理跟不上,这是一个越来越突出的问题。电子商务的快速发展需要业界,特别是信息安全业快速地作出反应,否则安全方面的问题将会制约它的发展。现在不仅仅是发展中国家,就连美国这样的发达国家,电子商务在很多领域还是没有像其它传统的商务那样发达,一个重要的原因就是安全问题。这就需要信息安全业的同行作出不懈的努力,不要因为安全问题而制约了电子商务的发展。
二、如何看待电子商务的安全问题
在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时也要考虑到这些因素。
其四,安全是发展的、动态的。今天安全明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。
三、社会上对电子商务的需求有哪些
电子商务是用电子化的方式实现传统商务的模式或者说对传统商务的革命,它的发展需要以下几个必备的条件。
其一,对电子商务的发展要有广泛的认同。无论是现在的银行、证券也好还是传统的物物交换,社会认同是交易得以实现的基础。对电子商务的发展也必须有广泛的认同。
其二,电子商务的交易模式不能被假冒。也就是说必须要有足够的安全保障。
其三,能真正节省开支。人类从最原始的物物交换到一般等价物、到信用体制等等都是在不断地降低交易成本,如果我们引进电子商务不但不能减少成本,反而会使成本增加,就不会得到社会的认同。
其四,要求方便易用,这一点十分重要。目前我国电子商务发展的发展过程中最致命就是使用不方便。
其五,要能满足社会大众的商业心态。它可以是“实名制”也可以是“隐名”的(当然现在也正讨论怎么使存款“实名制”),原来的金融体系或经济体系的优势就在于既可以是“实名”的也可以是“隐名”的,所以发展电子商务时也要考虑这个问题,否则用户就没有选择,其发展就会受到阻碍。
社会对电子商务安全的需求简单归纳起来主要有以下几点:
1.信息要求真实和完整。因为无论中国人还是外国人,都会觉得“隔山买牛”是一件心里没底的事情,因此都希望电子商务上的信息是真实的、完整的。
2.所有交易不能够抵赖,否则,生意就没法做了。这不但需要用道德和法律进行约束,更需要相关技术进行保障。如果总是发生扯皮或纠纷,再好的电子商务也会因此而黄掉。
3.支付和交易必须是安全而可靠的。目前,如何保障支付和交易的安全可靠是一个全球性问题,电子商务要有大的发展,就必须管好这些瓶颈。
4.用户或商家的身份在网络上能够被准确地识别。如果不能准确识别交易双方的身份,发生纠纷时就无法进行有效的仲裁。
5.能够保护个人隐私。对个人隐私的保护现在越来越受到重视,以前我们可能不太看重这个问题。越是开放,越是信息化,个人隐私越重要。
四、对电子商务现状的看法
现在,电子商务网站的经营很热闹,但其实也很艰难。根据我们了解的情况,我国的电子商务虽然收益不佳的现状有望改观,但技术和管理方面的问题还依然存在,安全隐患仍令人担忧。
从技术上看:首先是数据传输的速度太慢;第二是没有安全、可靠的结账方式,这严重制约着电子商务的发展;第三是IT技术的发展速度太快,商务模式的形成和人们使用习惯的养成都需要一定的时间,虽然技术不断发展,但社会对技术的认同是有阶段的,这使得用户和经营者都难以消化,难以跟上这种快速发展的步伐;第四是难以及时处理用户的有关问题,开通一个网站,如果一段时间以后用户的反馈多了,网络的速度就会慢下来,这也许是线路本身的问题,但也存在技术处理的问题,目前尚没有解决的良策。第五是在安全保障上,难以防范现在的网络犯罪,特别是黑客的攻击。
从管理上看,存在的主要问题有:1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多;2)电子商务网站的经营收益远低于预期,使有网络泡沫之虞;3)缺乏能适应中国国情的市场技巧。现在的电子商务网站动作的市场方式基本上是照搬美国的,在造势上不无奢华,但在收效上却无殷实,不充分考虑中国人的商业行为和方式,恐怕是难以成功的。4)网站运营成本太高。由于运行成本居高不下,再好的商业模式也不堪重负。5)收费困难。除BtoB稍好一点外,BtoC电子商务一直没有找到方便可行的收费方式。
从安全上看,电子商务的隐患,令人担忧,主要表现在:
1.网络信息安全在全球还没有形成一个完整的体系,我国也不例外。虽然有关电子商务安全的产品数量不少,但真正通过认证的却相当少。近两年,有将近20家有关电子商务安全的产品申请认证,但最后通过的非常少,这主要是因为不少安全措施是从网上“down”下来的,另外,不少电子商务安全技术的厂商对网络技术很熟悉,但是对安全技术普通了解得较少,因而他们很难开发出真正实用的、安全性足用的安全技术和产品。
2.安全技术的强度普遍不够。国外有关电子商务的安全技术,虽然其结构或加密技术等都不错,但这种算法(无论是对称的还是非对称的)受到了外国密码政策的限制,因此强度普遍不够。这种技术用在B-to-C方面还勉强可行,但用在B-to-B上就显然不够。
3.电子商务网站的安全管理存在很大隐患,普遍难以经受黑客的攻击。这个问题应当引起高度重视,国内电子商务网站被攻击的事件较少并不表示是牢不可破,而是网站本身很小,没有多少可攻的价值。
4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域,这些因素的存在必将影响我国电子商务进一步的发展。
五、关于面向社会服务的CA中心
现在大家都在关注CA中心,从国外的发展看,认证应该是第三方的,政府干预最好少一些,只需作些必要的引导。在我国,最大的问题是多人过早地把CA认证看作是一种产业,把它当作生意来做,而过少地考虑到应该担负的责任。其实,面向社会服务的CA中心必须达到一定的要求。首先要看建设单位是否具备管理能力,以及责任和义务是否很明确,一旦证书出了问题,各方的责任是否清楚;其次是看技术能力和运行条件,CA要为社会服务,能否保证安全可信,运转有效;这需要专门的技术能力和安全完整的网上认证技术体系。比如在炒股票时,如果认证的周期太长,别人已经成交了,你这里还堵着,那肯定不行。第三是看是否有足够的财力支持。没有数千万乃至上亿的投入,是无法面向社会提供可信赖的CA服务。第四是看整个CA系统和设施是否安全。总之,CA中心能否提供安全可靠的服务,不能仅凭自身的宣传,而是要通过“国家信息安全认证”。到目前为止已经通过认证的只有一家,还有其它几家也正在审查之中。主要的问题不在于能否发出证书,而在于能否保障证书的使用者的利益。
六、如何看待电子商务网站受到的攻击
刚才我们提到过黑客的问题,黑客的威力到底有多大?
目前,我国网站所受到黑客的攻击,还不能与美国的相提并论,因为我们的用户数、规模和级别还是处在很初级的阶段。如果遇到类似于DDOS的攻击时应该引起注意,但不必很惊慌,因为在目前的情况下,一个电子商务网站停一两天所受的损失不是很大,毕竟业务量和交易额都还不大。从以往遭遇过的攻击中我们可以得到以下几点启示:
1.纯技术难以防范原始攻击方式。如果我们按照西方人的思维方式去思考,不断的追求和更新安全技术,防火墙可以做得非常强,但如果黑客不去窃取信息或数据,而只是去阻塞网站,这种非常野蛮的攻击方式用单纯的技术是很难解决的,而要靠管理或其它的方法去防范。美国电子商务网站遭受那么大规模的攻击,虽然有技术方面的原因,但总的看来还是一个管理的问题,这里的管理包括网站的经营者要如何防止自己的网站被攻击,上网的用户如何保证自己的机器不会无辜地被别人利用,现在网上的安全补丁很多,但很少有人真正用它或不知道怎么去用。所以,在信息化发展的初期,管理比技术显得更为重要。
2.病毒比一般攻击更可怕。现在的病毒(包括恶性代码)破坏性越来越大。现在电子商务上的交易都是非时间敏感性的项目,所以时效性并不太突出,可怕的是病毒对数据的破坏。
3.从目前的情况看,危及电子商务的首先是病毒或恶意代码;然后是内部人员滥用计算资源,对此国外强调的比较多,国内强调的比较少,随着技术人员流动性增大,道德也有待提高;第三是黑客攻击;第四是用户数据的泄漏;第五是假冒的交易。
七、关于电子商务需要的安全技术与产品
目前,国内市场需要较大的网络安全产品还是防火墙,从国内外采购的数量来看,防火墙均居于首位的;其次是通信保密设备;第三是现在电子商务里面应用最多的客户机服务器中的安全模式;第四是局域网或广域网上的安全技术;第五是web安全技术;第六是灾难恢复技术,从银行和金融界的一些情况看,大家对这方面的重视还不够,普遍的电子商务网站对灾难恢复考虑得都不是很好,这也是迫切需要的。
八、制约我国电子商务发展的主要因素
制约我国电子商务的因素主要有:其一是商业信息化程度太低;其二是交易过程不规范;其三是信用制度不健全;其四是技术发展太快,没有一定的稳定过程;其五是出现问题后客户去找谁负责。由于有关电子商务的立法和管理刚刚开始,有人开玩笑说“电子商务目前是个‘三无’行业:无法可依、无安全可言、无规可循”,当然这只有一定的道理,我国政府对电子商务的管理已经报上议事日程,各个部门都在抓紧制定推进电子商务的政策。
九、加快电子商务发展的建议
对电子商务发展的建议简单地讲是“两高一低”,即:1)不断提高服务的安全性,否则会制约电子商务的发展;成为发展的瓶颈;2)提高通讯的速度,否则电子商务就成了纯粹的电子广告而无法将商场搬到里面,许多东西我们无法看到,也更谈不上交易;3)降低成本,这不仅仅是降低硬件成本,特别是要降低通讯成本。因为电子商务发展的目的本来就是为了降低交易成本,交易成本反而高了就不正常。许多人都认为花那么大的投入去搞电子商务还不如去面对面地谈生意,打个电话许多货就发过来了,用不着去识别身份什么的。
电子商务安全管理的基本趋势似乎可用:“谁经营、谁负责”六个字来概括,也可以说是谁管理谁负责。这就强调业界要自律,要对安全问题承担责任。
13
回答者: wangchongchong - 一级 2006-5-29 11:21
我来评论>>
相关内容
• 如何解决电子商务的安全问题 2006-9-16
• 淘宝网的电子商务交易模式主要存在哪两个方面的安全问题?淘宝网又是如何解决的? 2010-2-5
• dell如何成功实施电子商务,其中包括安全问题吗? 2008-11-16
• 浅谈电子商务的安全问题及技术防范 2 2009-11-16
• 电子商务的安全问题有那些啊 2006-3-4
更多关于电子商务安全问题的问题>>
查看同主题问题: 电子商务 安全问题 解决
等待您来回答
* 我是兽药厂商,我想为我的企业建立一个网站,请问有哪个电子商务网站能免费建站?
* 我是浙江台州三门的一个毛兔养殖户,想扩大养殖规模从当地农村合作社贷款。有那些条件?
* 梦幻西游辅助哪里有卖啊?
* 梦幻西游卡牌风云
* 梦幻西游哪区周口人最多
* 畜牧畜牧业畜牧人畜牧网畜牧中国,太多了看得人发晕。简单说,我就想找个畜牧项目,应该上哪个网?
* 梦幻西游湖北2区哪个服最有前途。
❽ 如何解决电子商务的安全问题
电子商务安全技术措施
1.数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措施.其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。
(1)对称密钥加密(SecretKeyEncryption)。对称密钥加密也叫秘密/专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;缺点是当用户数量大时,分配和管理密钥就相当困难。
(2)非对称密钥加密(PublicKeyEncryption)。非对称密钥加密也叫公开密钥加密,它主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)公钥对外公开,私钥由个人秘密保存,用其中一把密钥来加密,就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理,缺点是算法复杂,加密速度慢。
(3)复杂加密技术。由于上述两种加密技术各有长短,目前比较普遍的做法是将两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密,生成的密文后再用接收方的公钥加密对称密钥生成数字信封,然后将密文和数字信封同时发送给接收方,接收方按相反方向解密后得到明文。
2.数字签名技术。数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。
3.认证机构和数字证书。由于电子商务中的交易一般不会有使用者面对面进行,所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方,用以证实交易双方的身份,数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中,参与方必须利用认证中心签发的数字证书来证明自己的身份。
4.使用安全电子交易协议(SET:Secure Electronic Transactions)。是由VISA 和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系,给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。
❾ 如何保障电子商务的安全
一、提高服务的安全性
首先,应用防火墙技术。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙、代理防火墙、双穴主机防火墙。其次,应用网关技术。应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。应用网关对某些易于登录和控制所有输入输出的通讯环境给予严格的控制,以防有价值的程序和数据被窃取。
二、数据加密技术
加密技术和身份认证技术是电子商务交易安全的基础技术,加密技术用于对信息的加密,保证信息的机密性。数字签名和数字信封技术应用了加密技术,建立在公共密钥体制基础上。数字签名技术对信息进行数字签名,保证信息的完整性和不可抵赖性。由于交易信息在传输过程中有可能遭到侵犯者的窃听而失去机密性,加密技术是电子商务采取的主要保密安全措施,是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密包括两个元素:算法和密钥。密钥和算法对加密同等重要。密钥加密技术的密码体制分为对称密钥体制和公共密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密和非对称加密。对称加密以数据加密标准算法为典型代表,非对称加密通常以算法为代表。如果不采用加密技术,则会影响电子商务的发展,或者成为发展的瓶颈。
三、完善管理机制
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全方案的实施,离不开管理。信息安全意识的加强和培育是实现安全管理的必备条件。它的基本原则是:要求发生在系统中的行为都是有权限的行为,并且符合程序控制的要求。从管理上完善机制,加强其有效性,往往可以解决许多技术层次解决不了的问题。
❿ 如何建立电子商务安全保障架构
电子商务安全体系主要包括网络安全、物理安全、商务安全、系统版安全四个方面。
权保障电子商务安全体系结构主要有以下几个方式:
第一,网络安全。
对于电子商务来说,网络安全是其中的基础环节,因此,为了使电子商务能够顺利地进行下去,首先电子商务平台要求安全、可靠,所提供的服务不能有中断;
第二,物理安全。
电子商务在运行时,首先要根据国家的相关标准、实际资金状况以及信息安全等,制定出科学的物理安全的相关要求,然后通过相关建设,使其达到标准。同时,对于通信电路、系统资源以及物理介质等要采取一定的保护措施,使其处于物理E安全的位置;
第三,商务安全。
这里指的是在网络媒介中,商务交易所出现的一些安全问题,包括进一步防止商务信息的泄露、伪造以及篡改等,或者防止商务的交易行为出现变动,被加以抵赖,也就是说,要使电子商务的完整性、保密性以及真实性得到实现;
第四,系统安全。
对系统安全漏洞方面的问题早日解决,通过安全加固,进一步采用安全技术装备进行保护,使系统的安全防护能力得到加强。