⑴ 电子商务安全立法,与电子商务对传统法律造成的冲击
(一)电子商务对传统知识产权观念及特点的挑战
1、电子商务对传统知识产权观念的挑战
传统观念认为:知识产权是一种无形的、带有地域性范围保护的、有权利人独占的、具有时间限制的智力成果权。具体地,商标只是保护“文字、图案或其组合”不保护动态过程;著作权只是保护内容的外在表现形式而不保护具体的表达内容及其过程;专利法保护的是技术而不是数据,而且专利的新颖性是通过传统的方式加以判断的;商业秘密和厂商名称等的保护,也是基于区别传统社会的“有形”之特殊性而展开的。
知识产权制度主要是一种确立权利和保障权利的制度,此外也是体现一种激励创造的制度。传统的知识产权保护观念认为,权利尚未形成,则无权利保护可言;权利的保护有一定的界限并遵循单个法律判断。但是,网络世界为传统的知识产权观念提出了挑战,如专利的“即发侵权”的制止问题,域名问题迫使人们将商标、厂商名称、商誉、不正当竞争结合起来考虑,甚至提出了“一体保护”的方法。[4]
可见,电子商务活动涉及到多个方面,对社会引起了很大的震动,对传统的知识产权保护观念更是提出了新的挑战。
2、电子商务对知识产权制度特点的挑战
知识产权具有与有形财产不同的一些特点,如垄断性、地域性、时间性、无形性、政府确认性等等。其中,又以垄断性(专有性)和地域性显现出更为特别。如果知识产权不能保证权利人的专有,则知识产权制度就不能发挥出应有的作用,其权利也就成了一种摆设。如果地域性被彻底打破,权利就有可能成为世界通行的“全球权利”或者产生世界性统一的制度。
电子商务活动建立在互联网上,网络的传输表现出“公开”的开放性和“无国界”的全球性特点及状态。“公开”为“公知”提供了前提,也为“公用”提供了方便;“无国界”又使得地域性的知识产权受到了严峻的挑战。在知识产权保护国际化趋向之状况下,是否因电子商务的发展而导致知识产权保护的真正本质意义上的国际化?
(二)电子商务对知识产权保护程序的挑战
1、法院管辖
传统的知识产权纠纷案件的法院管辖上,多采用被告所在地或者侵权行为地法院管辖。一旦确定管辖法院,则涉及到另一个重要的问题,就是准据法的适用通常以诉讼地法律为准。但是互联网上的侵权行为,难以确定具体的行为地点和受害地点。有学者提出通过加速各国知识产权法律国际“一体化”进程,即通过弱化知识产权的地域性,来解决这一矛盾。[5]事实上,无论怎样弱化地域性,也总还存在着地域性的问题。
电子商务中具有行为主体难以确定、行为地点难以界定、行为的跨时空性、国性等特点,对传统的诉讼程序也产生了影响。“网上没人知道你是条狗”,是形容虚拟世界“自由”的一句常用的话。在网上侵犯他人的知识产权也就比传统的侵权方式隐蔽得多。电子商务只需要一部电话、一个调解器和一台电脑就可以开展,因此在防范刑事犯罪以及防止民事的欺诈等方面,“不在场”“没有作案时间”等传统的判定方法就难以奏效。
2、证据及保留
《中华人民共和国民事诉讼法》(以下简称《民诉法》)以及最高人民法院《关于适用中华人民共和国民事诉讼法若干问题的意见》第78条规定:“证据材料为复印件,提供人拒不提供原件或原件线索,没有其他材料可以印证,对方当事人又不予承认的,在诉讼中不得作为认定事
实的根据”。因此,证据必须是“原物”已经成为了《民诉法》对证据的基本要求。而在电子商务活动中,电子数据存储在计算机内,其打印出来的“书面形式”只是一种复制品,因此原件的要求是困难的。如果要和其他证据配合才能使用的话,那么电子商务中的数据就不是一个单独的证据了。
网络上流动着的信息,是否要求服务商必须保存所有的数据,法院是否有权对服务商的所有数据进行证据保全,等等一系列问题不仅涉及到案件程序的问题,也直接影响到案件的实质性审理,而且也还要考虑到社会的现实操作可能性问题。
⑵ 与传统商务相比较,电子商务对安全,法律提出了哪些新的要求
电子商务区别于传统的商务更对的是整合了网上的资源 实现了网上的交易 所以内的在安全容方面有着很高的要求 要缺确实的保证用户的资金 账户安全 保证交易的正常的进行 所以计算机安全技术更多的得到了升华和应用
在法律方面 由于网上诈骗 网上窃取信息等现象的存在 网上纠纷等 更多的针对网上交易和电子商务的法律不断的出现 以规范人们的交易行为和网上的一系列行为
采纳吧
⑶ 电子商务安全要求有哪些
因为来有了互联网,我们的世界源变成了地球村。所以,通过互联网在家创业,已成为一种潮流。 世界首富比尔盖茨早在上个世纪就说过:21世纪,要么电子商务、要么无商可务。中国创业教父马云也曾说过:不做电子商务,五年后您一定会后悔。并且预言:中国电子商务产业格局将有巨变,一个新的互联网人群“网商”将成为焦点,中国互联网将由“网民”和“网友”时代转入“网商”时代。 “网商”群体也正在改变中国企业的运作方式,改变着中国经济的竞争格局,也将改变人类的消费方式和生活速度。
⑷ 电子商务法律法规的现状与未来 我的论文题目,帮帮忙啊,老师要我从电子商务安全弊端方面着手
解析电子商务安全
□斯文人 发表于 2006-4-15 16:13:00
引言
随着互联网的全面普及,基于互联网的电子商务也应运而生,并在近年来获得了巨大的发展,成为一种全新的商务模式,被许多经济专家认为是新的经济增长点。
作为一种全新的商务模式,它有很大的发展前途,同时,这种电子商务模式对管理水平、信息传递技术都提出了更高的要求,其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。本文将对电子商务安全问题作一个基本的探讨。
1 电子商务模式
现代电子商务技术已经集中于网络商店的建立和运作。网络商店和真实商店在部门结构和功能上没有区别,不同点在于其实现这些功能和结构的方法以及商务运作的方式。
网络商店从前台看是一种特殊的WEB服务器。现代WEB网站的多媒体支持和良好的交互性功能成为建立这种虚拟商店的基础,使得顾客可以像在真实的超级市场一样推着购物车挑选商品,并最后在付款台结账。这也就构成网上商店软件的三大支柱:商品目录、顾客购物车和付款台。好的商品目录可以使顾客通过最简单的方式找到其需要的商品,并可以通过文字说明、图像显示、客户评论等充分了解产品各种信息;商品购物车则衔接商店和个人,客户既可以把他喜欢的商品一个个放到购物车里,也可以从购物车中取出,直到最后付款;付款台是网络交易的最终环节,也是最关键的环节。顾客运用某种电子货币和商店进行交易必须对顾客和商店都是安全可靠的。
在美国,网上商店收取信用卡必须具备三个条件:
1) 需要在美国的某个商业银行中建立一个商业账户。这个账户使你可以进行接收信用卡支付和处理信用卡业务,最终获得资金。
2) 必须为直接商品购买者提供一个符合SSL规范的加密站点用于他们安全地提交自己的信用卡资料,在保证他们提交的信息准确可靠的同时,还必须保证这些资料不被第三方窃取。美中通联通过和美国最大的CA中心Verisign合作建立这种用户可以高度信任的加密站点为客户服务。
3) 购买者提供的信用卡资料将直接被送到专门提供信用卡服务的专业公司(支付网关)进行处理,他们将进行信用卡的验证,转账,最终将资金转入商业账户。美中通联的合作伙伴Cybercash也是美国最为著名的网络支付提供商。不但可以提供VISA,万事达信用卡服务业务,同时也提供American Express, Discover等信用卡的支付以及Digital Cash, Digital Coins, Smart Card等电子货币的结算方式。
而在网络商店的背后,企业首先要具备商品的存储仓库和管理机构;其次要将网络上销售的产品通过邮政或其他渠道投递到顾客手里;第三,企业同样要负责产品的售后服务,这种服务可能是通过网络的,也可能不是。
网络交易通常是一种先交钱后拿货的购物方式。对客户而言,其方便处在于购得的商品会直接投递到自己家里,而难以放心的是在商品到达手中之前并不能确认到自己手中的究竟是什么。因此网络商店的信誉和服务质量实际上是电子商务成功与否的关键。
网络商店必备条件:
商店名称:它就像是注册商标,在网络上称为域名,整个网络世界它是唯一的。一个与您公司名称相关的网络名称可以使顾客更容易记住您的商店。
商店地点:也就是开设您的商店的网络服务器地址,高速的网络连接,就像是把商店开设闹市黄金地段,可以使顾客快速容易地抵达,这对客户的影响是十分关键的。
商店装修:网站的设计对用户来讲自然非常重要,动人的网页就像一流装修的商场,不但吸引顾客,而且增加顾客的信心。
货物摆放:在网上商店中,其反映在如何建立商品的目录结构,提供何种网站导航和搜索功能,以使得用户可以快速、便利地寻找到他需要的商品和相关信息。
购物车:方便灵巧的购物车可以使顾客感觉到受到良好的服务,增加顾客的信心。它是连接商品和付款台的关键环节。
货币结算:支付系统是网络交易的重要环节。在美国和欧洲,信用卡已经成为最普遍的电子交易方式。通过提供必要的个人信用卡资料,商店就可以通过银行计算机网络与顾客进行结算。这也是建立网络商店的必要条件。而且货币结算的安全可靠,不但关系到顾客的切身利益,同时直接关系到您商业经营的安全可靠。
商品盘点更新:对网络商店的日常维护,例如去除销售完的商品,摆上新货等等,是必须经常进行的业务。
库存商品管理:后勤保证是任何商务运作的基础。无论网络商店还是真实商店,货物和货币都是一样真实的,对库存货物的存储和管理也是一样真实的。
商品最终送达用户:网上购物实际上是邮购。最后一个步骤自然是通过邮政或其他系统将货物快速可靠地送达最终用户手中。
售后服务:不言而喻,这同样是现代商品销售的重要环节。而网络技术可以为用户提供24小时不间断的服务,这也是网络商店的优势之一。通常网络商店还要提供30天的退/换货承诺。
因此一个企业在进入电子商务领域时必须考虑如下的问题:
如何申请一个自己的域名?如何设立一个电子商务服务器?服务器如何和Internet连接?如何设计这个网上商店,实现各种功能?谁来设计?谁来维护这个网站?如何实现在线交易?如何安全可靠地进行网络电子货币结算?网上商店和商品库存之间如何协调?如何快速便利地将商品投递到用户手中?售后服务如何进行?
2 电子商务发展的关键环节
2.1 良好的网络环境
电子商务是在电信网络上发展起来的。因此,先进的计算机网络基础设施和宽松的电信政策就成为发展电子商务的前提。目前,电信服务价格过高,带宽有限,服务不及时或不可靠等因素已经成为发展电子商务的制约因素。加快电信基础设施建设,打破电信市场的垄断,引进竞争机制,保证电信业务公平竞争,促进网络互联,确保为用户提供廉价,高速,可靠的通信服务是良好网络环境的建设目标,也是世界各国面临的共同课题。
我国电信业务长期受到计划经济的影响,独家垄断的局面尚未打破。近年来因特网迅猛发展,电信政策不适应形势的矛盾日益突出。主要表现在:
网络供应商(ISP)租用线路的价格过高,使他们无利可图。一批前期进入这一领域的ISP由于亏损,已经退出。
ISP与电信网络互联,遇到了来自电信部门的阻力,互联费用过高,以各种借口的刁难。
由于电信部门垄断了接入业务,用户接入费用过高,一般都难以承受。也无法选择有良好服务的接入服务商。
为了促进电信市场的开放和协调世界各国的电信政策,世界贸易组织在1997年成功地缔结了基础通信协定。该协定将保证全球电信市场的竞争,加强国家之间的合作。
2.2 公共电子商品导购平台
公共电子商品导购平台,是保证网上电子商务活动顺利完成的物理保证。它主要涉及网络平台建设和企业信息库建设两方面的问题。人们发送到网络上的交易信息,必须准确、迅速地在供应商、流通商、管理部门、银行、交通运输等部门之间传送,这需要各国家、各部门统一信息存储、通讯、处理的标准和协议,具有一个协调一致的导购平台。同时,各企业的商品信息库建设是平台的基础,企业没有与平台标准一致的商品信息库,电子商务就失去了生存的基础。我国的企业信息化程度不高,目前只有少数企业主要是信息技术企业建立了企业商品信息库,这就减缓了我国公共电子商品导购平台的建设。
2.3 企业级电子商务体系
企业级电子商务是电子商务体系的基础。在科技高速发展、经济形势快速变化的今天,人们不再是先生产而后去寻找市场,而是先获取市场信息再组织生产。随着知识经济时代的来临,信息已成为主导全球经济的基础。企业内部信息网络:Intranet,是一种新的企业内部信息管理和交换的基础设施,在网络、事务处理以及数据库上继承了以往的MIS(管理信息系统)成果,而在软件上则引入因特网的通信标准和WWW内容的标准。Intranet的兴起,将封闭的、单项系统的MIS改造为一个开放、易用、高效及内容和形式丰富多彩的企业信息网络,实现企业的全面信息化。企业信息网络应包含生产、产品开发、销售和市场、决策支持、客户服务和支持及办公事务管理等方面。对于大型企业,同时要注意建设企业内部科技信息数据库,如对技术革新、新产品开发、科技档案、科技图书、科技论文、科技成果、能源消耗、原辅材料等各种数据库的建设。当然还要选择一些专业网络和地方网络入网。
2.4 安全认证体系
开展电子商务最突出的问题是要解决网上购物、交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任问题,即建立安全认证体系(CA)问题;选择安全标准(如SET、SSL、PKI等)问题;采用加、解密方法和加密强度问题。其中建立安全认证体系是关键。
网上交易与传统的面对面或书面的交易方式不同,它是通过网络传输商务信息和进行贸易活动的。网上交易的安全问题意味着:
有效性:保证网上交易合同的有效性,防止系统故障、计算机病毒、黑客攻击。
保密性:对交易的内容、交易双方账号、密码不被他人识别和盗取。
完整性:防止单方面对交易信息的生成和修改。
所以,电子商务的安全体系应包括:安全可靠的通信网络,保证数据传输的可靠完整,防止病毒、黑客入侵;电子签名和其他身份认证系统;完备的数据加密系统等等。
2.5 安全支付结算体系
银行业务的电子化,使得电子货币正在逐步取代传统纸币,发挥越来越重要的作用。1996年英国小城斯温登宣布用电子货币取代纸币,信用卡成为一种新的货币形式。随着网上交易的增多,网络银行、数字货币等全新的概念也应运而生。1994年比尔盖茨曾经嘲笑传统的银行是跟不上时代的恐龙。实际上,因特网确实对传统的金融业务提出了挑战。全球大约1000家银行中的500家已经加入互联网,1996年有190万人使用在线银行服务,预计到2000年将有1300万人使用在线银行。无论是完全依赖于网络的银行,还是传统银行利用网络开展银行业务,安全问题都是十分重要的。我国的电子商务的普及,首先要解决网络的安全问题。在金融专网和因特网之间设置支付网关,作为支付结算的安全屏障
2.6 协同作业体系
在电子商务中,所谓协同作业,包括工商、税务、银行、运输、商检、海关、外汇、保险、电信、认证等部门,以及商城、商户、企业、客户等单位按一定规范与程序相互配合,相互衔接,协同工作,共同完成有关电子商务活动。所谓协同作业体系包括:
①有关协同作业部门(不含广大客户)通过专线或IP隧道与电子商城互连;②共同协商制定统一高效的作业规范与程序;③共同制定降低电子商务运行成本的资费政策;④推行实施协同工作(CSCW)。
2.7 法律政策环境
建立一套法律政策体系,保证电子交易双方能按照共同的规则进行交易,对起动、发展电子商务是完全必要的,十分急需的。电子商务是世界性的经济活动,其法律框架也不应局限在一国范围内,而应适用于国际间的贸易往来,联合国国际贸易法委员会(UNCRTRAL)已经完成了一个法律范本,以支持电子商务在国际贸易中的应用。其内容应包括:
电子合同的有效性;
有效的电子文件的规范;
电子签名的合法性和其他身份辨认程序;
知识产权的保护;
商标权和域名的保护;
企业和个人隐私的保护
目前在我国,统一合同法(技术合同、经济合同、对外经济合同统一)即将由全国人大通过后出台,在统一合同法中已承认电子合同与书面合同一样具有合法性,意即可证明买卖成立,但不能解决合同纠纷问题,要解决此问题有两条出路:(1)到法院起诉(无法律依据);(2)通过仲裁解决(要制定协议)。
建立电子商务活动的技术标准也是至关重要的。在电子商务试点阶段,实行税费优惠政策也有利于电子商务的推广。
3 电子商务面临的安全问题
由于电子商务是以计算机网络为基础的,因此它不可避免面临着一系列的安全问题。
(1)信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。
(2)窜改
在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。
(3)身份识别
如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。
(4)电脑病毒问题
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助干网络传播得更快,动辄造成数百亿美元的经济损失。
(5) 黑客问题
随着各种应用工具的传播,黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。曾经大闹雅虎网站的黑手党男孩就没有受过什么专门训练,只是向网友下载了几个攻击软件并学会了如何使用,就在互联网上大干了一场。
4 电子商务安全因素与安全技术
安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。
4.1电子商务的安全要素
(1)有效性
EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
(2)机密性
EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
(3)完整性
EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
(4)可靠性/不可抵赖性/鉴别
EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
(5)即需性
即需性是防止延迟或拒绝服务,即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中,延迟一个消息或消除它会带来灾难性的后果。例如,你在上午10点向在线的股票交易公司发一个电子邮件委托购买1000股IBM公司的股票,假如这个邮件被延迟了,股票经济商在下午2点半才收到这封邮件,这时股票已经涨了15%,这个消息的延迟就使你损失了交易额的 15%。
(6)身份认证
指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方。认证是证实一个声称的身份或者角色,如用户、机器、节点等是否真实的过程。这一过程为授权和审计所必需,也是实现授权、审计的访问控制过程运行的前提,是计算机网络安全系统不可缺少的组成部分。
(7)审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控的,以便对其所使用的操作内容进行审计和跟踪。当贸易一方发现交易行对自己不利时否认电子商务行为。例如,某股民以每股12元购买了1000股后,行情发生了变化,每股价格降到了10元,于是该股民否认以前的购买行为。因此,要求系统要有审查能力,使交易的任何一方都不能抵赖已经发生的交易行为。
4.2 电子商务采用的主要安全技术及其标准规范
考虑到安全服务各方面要求的技术方案已经研究出来了,安全服务可在网络上任何一处加以实施。但是,在两个贸易伙伴间进行的EC,安全服务通常是以端到端形式实施的(即不考虑通信网络及其节点上所实施的安全措施)。所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息的价值等因素后确定的。这里将介绍EC应用过程中主要采用的几种安全技术及其相关标准规范。
4.2.1 防火墙技术
(1)防火墙定义
防火墙是在内部网与外部网之间实施安全防范的系统,可被认为是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。实现防火墙技术的主要途径有:数据包过滤、应用网关和代理服务。
(2)包过滤技术
包过滤技术是在网络层中对数据包实施有选择的通过,依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的 TCP/ UDP端口与 TCP链路状态等因素来确定是否允许数据包通过。包过滤的核心是安全策略,即过滤算法的设计。包过滤技术速度快、实现方便,但审计功能差。过滤规则的设计存在矛盾关系,过滤规则简单时安全性差,过滤规则复杂则管理困难。
(3)应用网关技术
应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议,即数据过滤协议,能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输入输出的通讯环境给予严格的控制,以防有价值的程序和数据被窃取。
(4)代理服务技术
代理服务作用在应用层,用来提供应用层服务的控制。这种代理服务准许网络管理员允诺或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过的,一旦判断条件满足,防火墙内部网络的结构和运行状态便暴露在外来用户面前,从而引入了代理服务的概念。这一技术使防火墙内外计算机系统应用层的链接由两个终止干代理服务的链接未实现。这就成功地实现了防火墙内外计算机系统的隔离。同时,代理服务还具有实施较强的数据流监控、过滤、记录和报告等功能。代理的CACHE功能可以加速访问,但对干每一种应用服务都必须为其设计一个代理软件模块未进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,实现也困难。
(5)防火墙技术的发展
结合上述几种防火墙技术的优点,可以产生通用、高效和安全的防火墙。目前,除了基于以上三种技术的防火墙以外,又出现了许多新技术。如:动态包过滤技术,网络地址翻译技术,加密路由器技术等。防火墙技术将不断向着高度安全性、高度透明化的方向发展。
4.2.2 加密技术
加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。
(1) 对称加密/对称密钥加密/专用密钥加密
在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有n个贸易关系,那么他就要维护n个专用密钥(即每把密钥对应一贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。
数据加密标准(DES)由美国国家标准局提出,是目前广泛采用的对称加密方式之一,主要应用于银行业中的电子资金转账(EFT)领域。DES的密钥长度为56位。三重DES是DES的一种变形。这种方法使用两个独立的56位密钥对交换的信息(如EDI数据)进行3次加密,从而使其有效密钥长度达到112位。RC2和RC4方法是RSA数据安全公司的对称加密专利算法。RC2和RC4不同于DES,它们采用可变密钥长度的算法。通过规定不同的密钥长度,RC2和RC4能够提高或降低安全的程度。一些电子邮件产品(如Lotus Notes和Apple的Open Collaboration Environment)已采用了这些算法。
(2) 非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。
RSA算法是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢。因此,在实际的应用中通常不采用这一算法对信息量大的信息(如大的EDI交易)进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。
4.2.3 密钥管理技术
(1) 对称密钥管理
对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。
贸易方可以为每次交换的信息(如每次的EDI交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息(如EDI交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。
(2) 公开密钥管理/数字证书
贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(ITU)制定的标准X.509(即信息技术--开放系统互连--目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC
9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构(CA),它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前EC广泛采用的技术之一。微软公司的Internet Explorer 5.0和网景公司的Navigator 6.0都提供了数字证书的功能来作为身份鉴别的手段。
(3)密钥管理相关的标准规范
目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会(JTC1)已起草了关于密钥管理的国际标准规范。该规范主要由3部分组成:第1部分是密钥管理框架;第2部分是采用对称技术的机制;第3部分是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段,并将很快成为正式的国际标准。
4.2.4认证技术
(1)数字签名
数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
ISO/IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是信息技术安全技术带附件的数字签名方案,它由概述和基于身份的机制两部分构成。
⑸ 目前电子商务安全法律制度主要有哪些
1电子商务,Electronic Commerce,通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。"
2所谓的客户关系管理就是为企业提供全方位的管理视角;赋予企业更完善的客户交流能力,最大化客户的收益率。
3网络营销(On-line Marketing或E-Marketing)就是以国际互联网络为基础,利用数字化的信息和网络媒体的交互性来辅助营销目标实现的一种新型的市场营销方式。
4电子商务产生发展的条件:电子商务的出现,打破了以往传统商务模式下的时间和空间的界限,改变了原有企业的格局、原有的价值体系、原有的经营模式,甚至改变了企业的形式。电子商务对商品的价格也带来了深刻的影响。主要包括:电子商务降低采购成本;电子商务实现无库存生产;电子商务实现营销成本下降;电子商务降低企业组织管理费用以及电子商务降低交易费用。
5简述电子商务法的基本原则:
一、中立原则
电子商务法的基本目标,归结起来就是要在电子商务活动中,建立公平的交易规则。这是商法的交易安全原则在电子商务法上的必然反映。电子商务既是一种新的交易手段,同时又是一个新兴产业。面对其中所蕴涵的,深不可测的巨大利益的诱惑,可以说没有哪个企业是无动于衷的。各种利益集团、各种技术,以及各个利益主体都想参与其中,在这个无比广阔的舞台上施展才华,谋取便利。其具体参与者有硬件制造商、软件开发商、信息提供商、消费者、商家等等,不一而足。而要达到各方利益的平衡,实现公平的目标,就有必要做到如下几点:
(1)技术中立。电子商务法对传统的口令法、以及非对称性公开密钥法,以及生物鉴别法等认证方法,都不可厚此薄彼,产生任何歧视性要求。同时,还要给未来技术的发展留下法律空间,而不能停止于现状,以至闭塞贤路。譬如新计算机的问世、新一代高速网络的出现等,都将考验电子商务法的技术中立性。这是在总结了传统书面法律要求的经验教训,而得出的方针。当然,该原则在具体实施时,会遇到许多困难。而克服这些具体困难的过程,也就是技术中立原则实现的过程。
(2)媒介中立。媒介中立与技术中立紧密联系,二者都具有较强的客观性,并且一定的传输技术,与相应的媒介之间是互为前提的。媒介中立,是中立原则在各种通讯媒体上的具体表现,所不同的是,技术中立侧重于讯息的控制和利用手段:而媒介中立则着重于讯息依赖的载体。后者更接近于材料科学。从传统的通讯行业划分来看,不同的媒体可能分属于不同的产业部门,如无线通讯、有线通讯、电视、广播、增殖网络等。而电子商务法,则应以中立的原则来对待这些媒介体,允许各种媒介根据技术和市场的发展规律而相互融合,互相促进。只有这样,才能使各种资源得到充分的利用,从而避免人为的行业垄断,活媒介垄断。开放性因特网的出现,正好为各种媒介发挥其作用提供了理想的环境,达到兴利除弊,共生共荣。
(3)实施中立。是指在电子商务法与其他相关法律的实施上,不可偏废;在本国电子商务活动与跨国际性电子商务活动的法律待遇上,应一视同仁。特别是不能将传统书面环境下的法律规范(如书面、签名、原件等法律要求)的效力,放置于电子商务法之上,而应中立对待,根据具体环境特征的需求,来决定法律的实施。如果说前述技术中立和媒介中立,反映了电子商务法对技术方案和媒介方式的规范,具有较强的客观性。而对电子商务法的中立实施,则更偏重于主观性。电子商务法如同其他规范一样,其适用离不开当事人的遵守与司法机关的适用。
(4)同等保护。此点是实施中立原则在电子商务交易主体上的延伸。电子商务法对商家与消费者,国内当事人与国外当事人等,都应尽量做到同等保护。因为电子商务市场本身是国际性的,在现代通讯技术条件下,割裂的、封闭的电子商务市场是无法生存生存的。
一言以蔽之,电子商务法上的中立原则,着重反映了商事交易的公平理念。其具体实施将全面展现在当事人所依托于开放性、兼容性、国际性的网络与协议,而进行的商事交易之中。
二、自治原则
允许当事人以协议方式订立其间的交易规则,是交易法的基本属性。因而,在电子商务法的立法与司法过程中,都要以自治原则为指导,为当事人全面表达与实现自己的意愿,预留充分的空间,并提供确实的保障。譬如以《示范法》第四条为例,就规定了当事人可以协议变更的条款。其内在含义是:除了强制性的法律规范外,其余条款均可由当事人自行协商制定。其实,《示范法》中的强行规范不仅从数量上很少,仅四条之多,而且其目的也仅在于消除传统法律为电子商务发展所造成的障碍,为当事人在电子商务领域里充分行使其意思自治而创造条件。换言之,《示范法》的任意性条款,从正面确定权利,以鼓励其意思自治,而强制性条款,则从反面摧毁传统法律羁绊,使法律适应电子商务活动的特征,更好的保障其自治意思的实现。可以说是一正、一反,殊途同归。
三、安全原则
保障电子商务的安全进行,既是电子商务法的重要任务,又是其基本原则之一。电子商务以其高效、快捷的特性,在各种商事交易形式中脱颖而出,具有强大的生命力。而这种高效、快捷的交易工具。必须以安全为其前提,它不仅需要技术上的安全措施,同时,也离不开法律上的安全规范。譬如,电子商务法确认强化(安全)电子签名的标准 ,规定认证机构的资格及其职责等具体的制度,都是为了在电子商务条件下,形成一个较为安全的环境,至少其安全程度应与传统纸面形式相同。电子商务法从对数据电讯效力的承认,以消除电子商务运行方式的法律上的不确定性,以至于根据电子商务活动中现代电子技术方案应用的成熟经验,而建立起反映其特点的操作性规范,其中都贯穿了安全原则和理念。
我国电子商务的发展已经达到中等发达国家水平,因为(1)中国有近3亿网民,(2)网上零售已达到100亿
⑹ 电子商务在法律上安全吗
对于什么是电子商务,业界并没有一个一致的说法,粗略地可以将其理解为专人们将传统的贸易行为通过属因特网来完成的一种全新的交易模式,即人们仅仅通过因特网就可以完成寻找交易对象、磋商、签约、付款甚至交货等全部交易环节的一种贸易形式。我们来看一下当前电子商务的两种主要形式,进而分析在中国开展电子商务在法律上是不是安全。 第一种是直接式电子商务,即整个交易过程均以电子手段进行,并且,最终产品亦通过数据信息形式传输给买家
⑺ 电子商务安全涉及到的法律要素主要有哪些
①保障交易各方身份认证的法律 ;
②电子合同的法律地位;
③对电子商务中消费者权益保护的法律;
④网络知识产权保护的法律。
⑻ 电子商务安全的管理方法有哪些
电子商务是利用各种电子化手段进行的商务活动,其价值的实现主要依托于网络,尤其是互联网,它已经成为互联网应用的一个必然趋势和金融商贸的主要模式之一.如何建立一个安全的电子商务应用环境,对信息提供足够的保护,已经成为电子商务必须直面的一个问题.
由于电子商务的重要技术特征是利用网络来传输和处理商业信息,因此,电子商务安全主要包括两个方面:网络安全和商务安全.而这些安全的实现又依托于一些具体的安全技术,遵循相关安全协议.
1 网络安全问题
网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性.网络安全是电子商务的基础,其问题一般表现为:
1.1 计算机本身潜在的安全隐患带来的网络安全问题
计算机使用的是未经过相关的网络安全配置的操作系统,不论是什么操作系统,在缺省安装的条件下都会存在一些安全问题,而仅仅将操作系统按缺省安装后,再配上很长的密码就认为安全的想法是不可靠的.因为计算机本身存在的软件漏洞和"后门"往往是网络攻击的首选目标.
1.2 入侵者风险降低获利升高带来的刺激引发的网络安全问题
由于网络的全球性,开放性,共享性的发展,使得任何人都可以自由地接入互联网,而这其中也包括了黑客,入侵者和病毒制造者.他们采用的攻击方法越来越多,对电子商务的威胁也显得越来越明显.相对而言,袭击者本身的风险却非常小,甚至可以在袭击后很快就消失得无影无踪,使对方几乎没有实行报复打击的可能,这使他们的活动更加猖獗.美国的"雅虎"和"亚马逊"曾受到攻击的事件就说明了这一点.
1.3 安全设备使用不当带来的网络安全问题
虽然绝大多数网站采用了网络安全设备,有的甚至还耗费巨资,但由于安全设备本身因素或使用问题,这些设备并没有起到应有的或期望的作用.很多安全厂商的产品对配置人员的技术背景要求很高,往往超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确地安装,配置,一旦系统改动,需要改动相关安全设备的设置时,很容易产生许多安全问题.而通常意义上的网络管理者往往无法胜任这样的工作.
因此在实施网络安全防范措施时应做到:首先要加强主机本身的安全,做好安全配置;及时安装安全补丁程序,减少漏洞;安装防病毒软件和软件防火墙,加强内部网的整体防病毒措施;使用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用相应的数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行一定强度的数据加密;建立详细的安全审计日志,以便检测并跟踪入侵攻击.同时充分利用已经公布的有关交易安全和计算机安全的法律法规为电子商务交易护航.再者,面对普通网络管理员的技术水平,在网络的建设和维护中可采用联合开发维护的方式,通过前期的建设和维护不断提高和完善自身团队的技术水平,使其在成长中逐步胜任企业对网络安全的要求.
网络管理者在思想上高度重视安全问题也是相当有必要的.技术的产生一般相对于人们的需求有一定的滞后性,而建立和实施严密完善的网络安全制度和策略往往可以代替暂时无法实现的技术,毕竟这才是真正实现网络安全的基础.
一个全方位的计算机网络安全体系结构通常包含网络的物理安全,访问控制安全,系统安全,用户安全,信息加密,安全传输和管理安全.这一切的实现依赖于各种先进的主机安全技术,身份认证技术,访问控制技术,密码技术,防火墙技术,安全审计技术,安全管理技术,系统漏洞检测技术,黑客跟踪技术.随着安全核心系统,VPN安全隧道,身份认证,网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术的应用,从不同层面加强了计算机网络的整体安全性,渐渐在攻击者和受保护的资源间建立了多道严密的安全防线,增加了恶意入侵的难度.
为了保证电子商务活动的顺利进行,必须有安全完善的网络体系为其提供稳定可靠,强有力的支撑.
2 商务安全问题
商务安全指商务交易在网络媒介中体现出来的安全问题,也就是要实现电子商务信息的保密性,完整性,真实性和不可抵赖性.
在早期的电子交易中,曾采用过一些简单的安全措施.例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知,以防泄密,网上交易后再用其他方式对交易做确认,以保证其真实性和不可抵赖性.这些方法不仅操作不便,而且有一定的局限性,也不能实现其真正的安全性.
2.1 商务安全中普遍存在的几种安全隐患
2.1.1 窃取信息
信息在传输过程中未采用相应的加密措施或加密强度不够,导致数据信息在网络上以明文或近乎明文的形式传送.入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息,通过对窃取数据参数的分析比对,找到信息的格式和规律,进而得到传输信息的内容,导致消费者消费信息,账号密码和企业商业机密等信息的外泄.
2.1.2 篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地,从而破坏信息的真实性.入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策.
2.1.3 信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以进一步冒充合法用户获取和发送信息,而远端接受方或发送方通常不易分辨.常见的方式有伪造用户和商户的收定货单据,套取或修改相关程序的使用权限等.
2.1.4 信息破坏
由于攻击者已侵入网络,已获得对网络中信息的修改权限,如其对网络中现有机要信息进行修改乃至于删除,其后果是非常严重的.
2.2 商务安全的要求
2.2.1 信息的保密性
交易中的商务信息都需要遵循一定的保密规则.因为其信息往往代表着国家,企业和个人的商业机密.在以往传统的纸面贸易中采用邮寄封装或通过可靠的通信渠道传送商业信息来达到保密的目的和要求.而电子商务是建立在一个较为开放的互联网络环境上的,它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务,因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性.一般用密码技术来实现.
2.2.2 信息的完整性
不可否认电子商务的出现以计算机代替了人们大多数复杂的劳动,也以信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整,统一出现了问题.由于数据输入时的意外差错(如计算机自动处理过程中死机,停电等),可能导致贸易各方信息的不一致.此外,数据传输过程中人为的或自然的信息丢失(如数据包丢失),信息重复或信息传送的次序差异(如网络堵塞重发)也会导致贸易各方信息的不同.而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略.因此保持贸易各方信息的完整性是电子商务应用必备的基础.完整性一般可通过提取信息消息摘要的方式来获得.
2.2.3 信息的不可抵赖性
在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息,或与之相反,接受方收到信息后并不承认曾经收到过该条消息.因此如何确定交易中的任何一方在交易过程中所收到的交易信息正是自己的合作对象发出的,而对方本身也没有被假冒,是电子商务活动和谐顺利进行的保证.信息的保证可以通过对发送的消息进行数字签名来获取.身份的确定一般都采用证书机构CA和证书的方法来实现.让素昧平生,相隔千里的双方成为合作伙伴毕竟不是一件容易的事情.
当然,在电子商务活动中还有许多要求,比如交易信息的时效界定问题,交易一旦达成后有无撤消和修改的可能等.相信在电子商务的发展中必将涌现各种技术和各项法律法规,规范人们的需求并帮助其实现,以保证电子商务交易的严肃性和公正性.
3 电子商务的安全技术
3.1 加密技术
加密技术是保证电子商务安全的重要手段,为保证电子商务安全使用加密技术对敏感的信息进行加密,保证电子商务的保密性,完整性,真实性和非否认服务.
3.1.1 加密技术的现状
如同许多IT技术一样,加密技术层出不穷,为人们提供了很多的选择余地,但与此同时也带来了一个问题——兼容性,不同的企业可能会采用各自不同的标准.
另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制.目前,美国的企业一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口.虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多.美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾.目前,我国由上海市电子商务安全证书管理中心推出的128位SSL算法,弥补了国内的这一空缺,也为我国电子商务安全带来了广阔的前景.
3.1.2 常用的加密技术
对称密钥密码算法:对称密码体制由传统简单换位代替密码发展而成,加密模式上可分为序列密码和分组密码两类.
不对称型加密算法:也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,两者必须成对使用才能完成加密和解密的全过程.本技术特别适用于分布式系统中的数据加密,在网络中被广泛应用.其中公用密钥公开,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的接受方保管.
不可逆加密算法:其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入同样的数据经过同一不可逆加密算法的比对才能得到相同的加密数据.因为其没有密钥所以不存在密钥保管和分发问题,但由于它的加密计算工作量较大,所以通常只在数据量有限的情况下,例如计算机系统中的口令信息的加密.
3.1.3 电子商务领域常用的加密技术
数字摘要:又称安全Hash编码法.该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致.
数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用.它的主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要).发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方.报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密.如果两个散列值相同,那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性,有效地防止了签名的否认和非正当签名者的假冒.
数字时间戳:是对交易文件的时间信息所采取的安全措施.该网上安全服务项目,由专门的机构提供.时间戳是一个经加密后形成的凭证文档,它包括:需加时间戳的文件的摘要,数字时间戳服务收到文件的日期和时间,数字时间戳服务的数字签名.
数字证书:数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限,主要有个人凭证,企业(服务器)凭证,软件(开发者)凭证三种.
3.2 身份认证技术
在网络上通过一个具有权威性和公正性的第三方机构——认证中心,将申请用户的标识信息(如姓名,身份证号等)与他的公钥捆绑在一起,用于在网络上验证确定其用户身份.前面所提到的数字时间戳服务和数字证书的发放,也都是由这个认证中心来完成的.
3.3 支付网关技术
支付网关,通常位于公网和传统的银行网络之间(或者终端和收费系统之间),其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密.支付网关技术主要完成通信,协议转换和数据加解密功能,并且可以保护银行内部网络.此外,支付网关还具有密钥保护和证书管理等其它功能(有些内部使用网关还支持存储和打印数据等扩展功能).
4 与电子商务安全有关的协议技术
4.1 SSL协议(Secure Sockets Layer)
SSL协议也叫安全套接层协议,面向连接的协议,是现在使用的主要协议之一,但当初并非为电子商务而设计.该协议使用公开密钥体制和X.509数字证书技术来保护信息传输的机密性和完整性.SSL协议在应用层收发数据前,协商加密算法,连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如HTTP,FTP,TELNET等)以保证应用层数据传输的安全性.由于其独立于应用层协议,在电子交易中常被用来安全传送信用卡号码,但由于它是个面向连接的协议,只适合于点对点之间的信息传输,即只能提供两方的认证,而无法满足现今主流的加入了认证方的三方协作式商务模式,因此在保证信息的不可抵赖性上存在着缺陷.
4.2 SET协议(Secure Electronic Transaction)
SET协议也叫安全电子交易,对基于信用卡进行电子化交易的应用提供了实现安全措施的规则,与SSL协议相比较,做了些改进.在商务安全问题中,往往持卡人希望在交易中对自己的交易信息保密,使之不会被人窃取,商家希望客户的定单真实有效,并且在交易过程中,交易各方都希望验明对方的身份,以防止被欺骗.针对这种情况,Visa和MasterCard两大信用卡组织以及微软等公司共同制定了SET协议,一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准.它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性.由于SET 提供了消费者,商家和银行之间的认证,弥补了SSL的不足,确保了交易数据的安全性,完整性,可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡网上交易的国际安全标准.
除此之外还有安全超文本传输协议(SHTTP),安全交易技术协议(STT)等.协议为电子商务提供了规范.
5 结语
安全是电子商务的核心和灵魂.电子商务对网络安全与商务安全的双重要求,使网络安全与商务安全密不可分.没有计算机网络安全作为基础,商务交易安全犹如空中楼阁,无从谈起;没有商务安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求.而电子商务相应的实现技术和各种协议正是安全得以实现的保证.
⑼ 电子商务安全的基本要求有哪些
一、建立和完善我国电子商务安全法律法规体系电子商务实践要求有透明、和谐的交易秩序和环境保障,为此,须建立和完善相应的法律体系。目前,我国已颁布相当数量的信息安全方面的法律规范,但立法层次不高,法律协调性 本论文由无忧论文网整理提供差,立法理念和立法技术相对滞后。我国电子商务法律体系的构建中,首先应当考虑原有法律对电子商务行为的适用,对于原有法律不能适应可以采取修改原有法律和单独立法的方式予以解决。对于一些全新领域可以进行单独立法,可以参照联合国《电子商务示范法》制定我国的电子商务基本法,从而形成我国电子商务完整、有机的法律体系。电子商务安全方面的法制建设则应涵盖:保护隐私权;保护消费者权益;保证信息的合法访问;数字签名与认证机构;计算机违法与犯罪的问题的控制等。
二、完善电子商务企业内部安全管理体制,增强相关人员的安全意识首先必须对企业内部所有人员进行信息安全意识教育,充分理解安全对企业的重要性。系统管理员要将系统安全放在首位,依靠可行的、详细的信息安防制度,消除安全隐患,防患于未然。其次,须针对信息存储的不安全因素采取适当的防范措施:硬件的电源故障可设置合适的不间断电源;操作系统和应用软件的不安全因素可采用经常升级和下载软件补丁程序的方法;软件漏洞可进行有针性的设置加以弥补;计算机病毒可使用防毒、杀毒软件,并经常升级。
三、构建电子商务信息安全技术框架体系:
(1)、防火墙技术是近年来发展的最重要的安全技术,用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进人内部网络(被保护网络)。防火墙技术主要有包过滤、代理服务、状态监控等技术。防火墙技术的优点主要是:通过过滤不安全的服务,提高网络安全和减少子网中主机的风险;提供对系统的访问控制;阻击攻击者获取攻击网络系统的有用信息;记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;提供制定与执行网络安全策略的手段,对企业内部网实现集中的安全管理。
(2)、信息加密技术作为主动的信息安全防范措施,利用加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
(3)、数字证书和认证技术是网络通信中标志通信 无忧论文网各方身份信息的一系列数据,通过运用对称和非对称密码体制建立起一套严密的身份认证系统。具有信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖等多项功能。另外,报文的发送方从报文文本中生成一个特定长度的散列值,发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名,通过数字签名能够实现对原始报文的完整性鉴别和不可抵赖性,实现电子文档的辨认和验证。
(4)、安全协议中,安全套接层协议(SSL)是一种安全通信协议。SSL提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了信息的安全传输。它提供的安全连接具有三个特点:连接是保密的,对于每个连接都有一个唯一的会话加密,采用对称密码体制来加密数据;连接是可靠的,消息的传输采用信息验证算法进行完整性检验;对端实体的鉴别采用非对称密码体制进行认证。安全电子交易(SET)是通过开放网络进行安全资金支付的技术标准,SET向基于信用卡进行电子化交易的应用提供实现安全措施的规则:信息在Internet上安全传输,保证传输的数据不被黑客窃取;其定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保;要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并可运行在不同的硬件和操作系统平台上。