內(nèi)容摘要:電子商務(wù)是指通過電子化的手段進(jìn)行的商務(wù)活動,主要通過信息流、資金流、物流這“三流”來實(shí)現(xiàn)。安全是電子商務(wù)面臨的一大問題。目前,電子商務(wù)在我國還處于起步、發(fā)展階段,在這一階段中,面對安全問題的挑戰(zhàn)是不可避免的。由此也出現(xiàn)了很多的防范手段。
一、 信息流
由于Internet具有開放性、共享性的特點(diǎn),致使電子商務(wù)面臨信息流面臨極大的風(fēng)險。電子商務(wù)信息流的安全標(biāo)志包括信息的保密性、交易各方的身份認(rèn)證、信息的完整性、交易內(nèi)容的不可否認(rèn)性、信息系統(tǒng)的可用性、信息的訪問控制等,涵蓋網(wǎng)絡(luò)系統(tǒng)安全、信息傳遞過程中的安全、信息儲存的完全等諸多方面。涉及計(jì)算機(jī)系統(tǒng)和通信網(wǎng)絡(luò)軟硬件技術(shù)、加密技術(shù)、數(shù)字認(rèn)證技術(shù)、生物測定學(xué)技術(shù)等專業(yè)知識。
1. 電子商務(wù)信息流面對的安全威脅
電子商務(wù)信息流面臨的主要風(fēng)險挑戰(zhàn)主要來自于計(jì)算機(jī)病毒、蠕蟲病毒、黑客攻擊、特洛伊木馬以及管理上的漏洞。
2. 電子商務(wù)信息流安全問題的防范技術(shù)
1) 加密技術(shù)
加密技術(shù)由來已久,發(fā)展至今,已產(chǎn)生多種加密技術(shù)。其主要有傳統(tǒng)的密碼技術(shù)、對稱加密算法、非對稱加密算法等。其中對稱加密算法的代表是DES 算法,其具有加密速度快的特點(diǎn),但是安全確認(rèn)比較困難;而非對稱加密算法的代表則是RSA ,其具有安全確認(rèn)容易的特點(diǎn),但是加密速度卻慢于DES?,F(xiàn)在通常的做法是DES和RSA的結(jié)合,既實(shí)現(xiàn)了高效加密,又實(shí)現(xiàn)了可靠傳遞。兩種算法的互補(bǔ)結(jié)合得天衣無縫。
2) 數(shù)字簽名和數(shù)字證書
所謂的數(shù)字簽名就是信息發(fā)送者先給自己將要發(fā)送的正文內(nèi)容做一個數(shù)字摘要,然后用自己的私鑰給這個數(shù)字摘要加密,這個加密以后的數(shù)字摘要就是數(shù)字簽名。通常還要加上時間標(biāo)記(稱作數(shù)字時間戳),一般由第三方公正機(jī)構(gòu)生成。通過電子簽名和數(shù)字證書來確認(rèn)互聯(lián)網(wǎng)上信息的真實(shí)性是一個方便快捷的手段。
3) 安全套階層協(xié)議協(xié)議(SST)
安全套階層協(xié)議是位于傳輸層協(xié)議和應(yīng)用層協(xié)議之間的對話層。為上層應(yīng)用提供數(shù)據(jù)安全傳輸保護(hù)。其優(yōu)勢是它獨(dú)立于應(yīng)用層協(xié)議,與上層協(xié)議無關(guān)。實(shí)現(xiàn)通信的保密性和身份認(rèn)證。這一技術(shù)在資金流的安全技術(shù)方面還會具體介紹。
4) 安全超文本傳輸協(xié)議(S-HTTP)。
安全超文本傳輸協(xié)議主要依靠密鑰的加密以此保證Web站點(diǎn)間的交換信息傳輸?shù)陌踩?。SHTTP對HT-TP的安全性進(jìn)行了補(bǔ)充,對報文的安全性有所加強(qiáng),這一技術(shù)基于SSL技術(shù)。這一協(xié)議為互聯(lián)網(wǎng)應(yīng)用提供了完整性、可鑒別性、不可抵賴性以及機(jī)密性等安全措施。
5) 安全交易技術(shù)協(xié)議(STT)
安全交易技術(shù)(STT)協(xié)議通過將認(rèn)證與解密在瀏覽器中分離開這一途徑,來提高安全控制的能力。
6) 生物測定學(xué)技術(shù)
生物測定學(xué)技術(shù)是一種傳統(tǒng)而又新穎的安全技術(shù),其發(fā)展經(jīng)過了一段時間,但是隨著科技的進(jìn)步,其測定方式也在不斷地創(chuàng)新和進(jìn)步。現(xiàn)階段,這一技術(shù)主要有5種測定方式。分別是指紋識別、視網(wǎng)膜識別、虹膜識別、面部特征識別、語音識別。
二、 資金流
電子商務(wù)是一種商務(wù)活動的形式,其必定會涉及到資金的收支。而商務(wù)活動最根本的目的就是賺取利潤。電子商務(wù)作為一種較為特殊的商務(wù)活動,其資金流的安全性相對于其他的商務(wù)活動形式來說存在相對較高的風(fēng)險。電子商務(wù)的付款方式多種多樣,有貨到付款、銀行轉(zhuǎn)賬、電子支付等途徑。其安全性包括六大層面:隱私性、機(jī)密性、身份識別性、完整性、不可否認(rèn)性、可取得性。以下介紹主要以電子支付為主。
1. 電子商務(wù)資金流面臨的安全威脅
電子商務(wù)的資金流主要以電子支付為主,其風(fēng)險也在電子商務(wù)的支付方式中是最高的。電子支付主要分為:電子貨幣、銀行卡電子支付系統(tǒng)、電子現(xiàn)金和電子錢包、電子支票、智能卡、電子商務(wù)資金流面臨的主要風(fēng)險大體上與信息流相同。主以病毒、特洛伊木馬、黑客攻擊為主。
2. 電子商務(wù)信息流安全問題的防范技術(shù)
1) 安全套接層協(xié)議
安全套接層協(xié)議(SSL)的主要作用是提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。它主要提供三方面的服務(wù):
(一) 保證用戶和服務(wù)器的合法性
表現(xiàn)為:用戶與服務(wù)器之間能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。客戶機(jī)與服務(wù)器一樣,都有各自不同的識別號,這一編號由公開密鑰編排。安全套接層協(xié)議要求在握手交換數(shù)據(jù)中作數(shù)字認(rèn)證,以此來驗(yàn)證用戶,確保用戶的合法性。
(二) 加密數(shù)據(jù)以隱藏被傳遞的數(shù)據(jù)。
安全套接層協(xié)議采用的加密技術(shù)有對稱密鑰,也有公開密鑰。在客戶機(jī)和服務(wù)器進(jìn)行交換數(shù)據(jù)之前,先交換SSL初始握手信息。SSL握手信息中包含各種加密技術(shù),以此來保證其機(jī)密性與數(shù)據(jù)的完整性。
(三) 維護(hù)數(shù)據(jù)的完整性
安全套接層協(xié)議采用Hash函數(shù) 和機(jī)密共享的方法來提供完整的信息服務(wù),建立客戶機(jī)與服務(wù)器之間的安全通道,使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無誤地到達(dá)目的地。
2) 安全電子交易協(xié)議
SET(安全電子交易)是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計(jì)的,包括保證致富信息的加密和傳輸,支付信息的完整性檢驗(yàn)、商戶及持卡人的身份驗(yàn)證等功能。這一協(xié)議的技術(shù)規(guī)范包括:加密算法的應(yīng)用,證書信息與對象格式,購買信息和對格式,認(rèn)可信息與對象格式。
(一) SET安全協(xié)議的主要對象:
(1) 消費(fèi)者
消費(fèi)者通過計(jì)算機(jī)與商家交流,并由發(fā)卡機(jī)構(gòu)頒發(fā)的付款卡進(jìn)行結(jié)算。
(2) 發(fā)卡機(jī)構(gòu)
向顧客發(fā)行信用卡的金融機(jī)構(gòu)
(3) 商家
提供商品或服務(wù),具備信用卡支付的條件。
(4) 收款銀行
在線交易的商家開立賬戶的銀行,對持卡人和商家身份進(jìn)行認(rèn)證,處理交易金額的支付與轉(zhuǎn)賬。
(5) 支付網(wǎng)關(guān)
將Internet上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的備份,處理商家支付信息和顧客的支付指令。
(6) 認(rèn)證中心
為發(fā)卡機(jī)構(gòu)、持卡人、商家和支付網(wǎng)關(guān)簽發(fā)數(shù)字證書,并提供在線認(rèn)證服務(wù)。
(二) SET協(xié)議要達(dá)到五個目標(biāo):
(一) 確保參與者信息的獨(dú)立;
(二) 確保信息在互聯(lián)網(wǎng)上的傳輸安全,防止數(shù)據(jù)被黑客等人竊?。?br />
(三) 解決多方認(rèn)證問題;
(四) 確保網(wǎng)上交易的實(shí)時性,所有的支付過程都在線進(jìn)行;
(五) 效仿BDZ貿(mào)易的形式,規(guī)范協(xié)議和消息格式,促使不同廠家開發(fā)的軟件相互兼容、交互操作,并且可以在不同的硬件和操作系統(tǒng)上運(yùn)行。
三、 物流
物流環(huán)節(jié)是電子商務(wù)中,將其商務(wù)活動從虛擬轉(zhuǎn)為現(xiàn)實(shí)的一個環(huán)節(jié)。在這一環(huán)節(jié)中,一樣存在著諸多的風(fēng)險,需要去控制。
一、 電子商務(wù)物流面對的安全威脅
電子商務(wù)物流的安全威脅主要來自物理層,網(wǎng)絡(luò)層及管理層這三個方面。
1. 物理層安全風(fēng)險主要包括
1) 設(shè)備被盜,被毀壞。
2) 鏈路老化或被有意或者無意的破壞。
3) 因電磁輻射造成信息泄露。
4) 地震、火災(zāi)、水災(zāi)等自然災(zāi)害。
2. 網(wǎng)絡(luò)層安全風(fēng)險主要包括
1) 數(shù)據(jù)傳輸風(fēng)險
2) 網(wǎng)絡(luò)邊界風(fēng)險
3) 網(wǎng)絡(luò)設(shè)備風(fēng)險
4) 網(wǎng)絡(luò)服務(wù)風(fēng)險
3. 管理層安全風(fēng)險
責(zé)權(quán)不明,管理混亂,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。
二、 電子商務(wù)物流安全問題的防范技術(shù)
1. GPS技術(shù)
GPS是全球衛(wèi)星定位系統(tǒng),其在物流領(lǐng)域中得到運(yùn)用后,其精度高,覆蓋面廣、定位速度快、成本低、抗干擾能力強(qiáng)、等特點(diǎn)為物流過程中的風(fēng)險規(guī)避起到了很好的效果和作用。
2. RFID 技術(shù)
1) RFID作為物品傳遞自身信息的途徑,是一種高級的非接觸式識別技術(shù)。其優(yōu)勢是:
2) 遠(yuǎn)距離自動識別,避免人工干預(yù),特別是在惡劣的環(huán)境條件下
3) 對于靜止及運(yùn)動的物品均可識別
4) 具有同時識別多個標(biāo)簽的能力
這一技術(shù)在物流、物聯(lián)網(wǎng)中的應(yīng)用在控制物流過程中起到了極大的作用,為物流在分類、運(yùn)輸、送達(dá)等環(huán)節(jié)的準(zhǔn)確和安全提供了極大的保障
參考文獻(xiàn)
1.蔣文杰,《電子商務(wù)實(shí)務(wù)教程—理論與實(shí)務(wù)》,浙江大學(xué)出版社,2011
2.方修豐,《基于網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)的電子商務(wù)信息安全》,《中國商貿(mào)》,2009年21期
3.臧良運(yùn),《電子商務(wù)支付與安全》,電子工業(yè)出版社,2006
4.孔東昇,《物流信息網(wǎng)絡(luò)安全風(fēng)險分析及解決方案》,《計(jì)算機(jī)安全》,2004年04期
5.李炯,《物流安全管控技術(shù)分析》,《物流技術(shù)與應(yīng)用》,2005年04期