企业电子商务安全问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
分析
定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析
摘要:
随着电子商务魅力的日渐显露,企业借助电子商务服务平台从事商务活动的越来越多。据资料显示,截至2010年9月,阿里巴巴注册用户数持续强势增长达到5672万,其中付费会员数突破100万,再加上其它电子商务服务平台,使用电子商务服务平台的更多。由此推断,未来很长一段时间内,世界上最大的市场必定是电子商务市场,而最大的客户群必定是亿万上网的网民。但是,电子商务要求企业通过计算机互联网进行业务交易,企业在开展电子商务的时候,必须充分考虑安全问题。那么,企业电子商务安全问题就面临着严峻的考验,电子商务中的安全要素及安全技术也日益显得重要。
关键字:电子商务,信息,安全,防火墙,加密,法律
目录
1: 中国电子商务发展现状及制约其发展的因素?????????????????? 1.1: 中国电子商务发展现状以及存在的问题?????????????????????? 1.2: 制约电子商务发展的因素?????????????????????????? 1.2.1:目前电子商务面临的安全问题???????????????????????? 1.2.2:如何看待电子商务面临的安全问题
1.3: 社会对电子商务的需求??????????????????????????? 1.3.1:电子商务的发展需要的必备条件??????????????????????? 1.3.2:社会对电子商务安全的要求????????????????????????? 1.4: 对电子商务现状的看法??????????????????????????? 1.5: 电子商务的安全要素????????????????????????????
2: 中国电子商务安全问题解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
??????????????????????? 2.1: 关于电子商务需要的安全技术与产品????????????????????? 2.1.1:防火墙技术????????????????????????????????
2.1.2:加密技术?????????????????????????????????
2.1.3:应用程序的安全性?????????????????????????????
2.1.4:身份认证技术?????????????????????????????????
2.1.5:Internet主要的
安全协议
租房安全协议拆除工程安全协议书房屋拆除合同及安全协议书高空作业安全协议书范本高空作业安全协议责任书
??????????????????????????
2.2:法律政策环境????????????????????????????????
3:结束语????????????????????????????????????
3.1:对我国电子商务的展望???????????
3.2:参考文献?????????????
1: 中国电子商务发展现状及制约其发展的因素
1.1: 中国电子商务发展现状以及存在的问题
中国电子商务目前已经进入了务实的发展阶段,呈现出可喜的生机盎然气象,首先要得
益于至于电子商务发展的瓶颈带到解决,网上支付,物流配送,信誉保证等制约电子商务的重要因素带到迅速解决,其次是政府的支持与推进,政府正努力推进中国互联网的发展,尤其重视电子商务的进展及环境改善,鼓励探索鼓励创新的观念及着手解决制约电子商务发展的法律问题,同时在政策上给予支持与优惠,最后电子商务呈现一种应用的多元化和借助外资的双向性.但是,电子商务所面临的信息安全现状不容乐观。所据美国界权威杂志《信息安全杂志》披露,从事电子商务的比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍。
调查显示,近年来,我国发生的通过网络进行的电子商务犯罪多达200起,造成上亿元的损失。网民对网上交易的最大担心莫过于支付信息的安全问题,超过八成的网民对网上交易的安全性表示担忧。信息安全问题成为困扰网上交易的一大难题。
我国的信息安全已经历了通信保密、机数据保护两个发展阶段,现正处于网络信息安全研究阶段。通过、吸收、消化等手段,已逐步掌握了部分网络安全和电子商务安全技术,进行了安全操作系统、多级安全数据库的研制探索,但由于没有掌握系统核心技术,使得要开发出有自主知识产权的信息产品困难重重,而基于国外具体产品开发出的安全系统则难以完全杜绝安全漏洞或“后门”。在借鉴国外先进技术的基础上,国内一些企业也研制开发出一些安全产品,如防火墙、黑客入侵检测系统、电子商务安全交易系统、安全路由器等。但这些产品安全技术的规范性、完善性、实用性还存在许多不足,基础和自主的技术手段需要发展和强化。
1.2:制约电子商务发展的因素
制约我国电子商务的因素主要有:
?是商业信息化程度太低,企业和消费者电子商务意识谈簿,表现出对电子网络的不信任;
?是交易过程不规范,出现问题后客户找不到可以承担责任的人;
?是信用制度不健全,只注重形式与盈利,缺乏信誉;
?是技术发展太快,没有一定的稳定过程由于有关电子商务的立法和管理刚刚开始,有人开玩笑说“电子商务目前是个‘三无’行业:无法可依、无安全可言、无规可循”,当然这只有一定的道理,我国政府对电子商务的管理已经报上议事日程,各个部门都在抓紧制定推进电子商务的政策。
1.2.1: 目前电子商务面临的安全问题
由于电子商务是以计算机网络为基础的,因此它所面临的安全问题不容忽视。
传统商务活动是面对面进行的,交易双方能较容易地建立信任感并产生安全感。而电子商务是买卖双方通过Internet的信息流动来实现商品交换的,信息技术手段使不法之徒有机可乘,这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁。
(1)卖方面临的信息安全威胁。
?中央系统安全性被破坏
入侵者假冒合法用户来改变用户数据(如商品送达地址),解除用户订单或生成虚假订单,令其无法响应正常的业务操作。
?客户资料被竞争者获悉
?消费者提交订单后不付款
?竞争者检索商品递送情况
不诚实的竞争者以他人的名义来订购商品,从而了解有关商品的递送情况和货物的库存情况。
?虚假订单
恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息
不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。
?获取他人的机密数据
当某人想要了解另一人在销售商处的信誉时,他以另一人的名字向销售商定购昂贵的商品,然后观察销售商的行动。假如销售商认可该订单,则说明被观察者的信誉高,否则,则说明被观察者的信誉不高,同时还有可能借此损害他人的信誉。
(2)买方面临的信息安全威胁。
?虚假订单
用户身份证明信息被拦截窃用,假冒者可能会以客户的名字来订购商品,且有可能收到商品,而此时客户却被要求付款或返还商品。
?机密性丧失
客户有可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃听,导致域名信息被监听和扩散,被迫接收许多无用信息甚至个人隐私被泄露。
?付款后不能收到商品
遭黑客破坏,计算机设备发生故障导致发送的商务信息不完整或被篡改,因此用户无法收到商品。
?拒绝服务
供给者不能向销售商的服务器发送大量的虚假订单来穷竭它的资源,从而使合法用户不能得到正常的服务。
1.2.2:如何看待电子商务面临的安全问题
在正确看待电子商务的安全问题时,有几个观念值得注意:
?安全是一个系统的概念
安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
?安全是相对的
房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的
认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
?安全是有成本和代价的
无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时也要考虑到这些因素。
?安全是发展的、动态的
今天安全明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。没有永远的安全,也没有一蹴而就的安全。
1.3: 社会对电子商务的需求有哪些
1.3.1:电子商务的发展需要的必备条件
?对电子商务的发展要有广泛的认同。无论是现在的银行、证券也好还是传统的物物交换,社会认同是交易得以实现的基础。对电子商务的发展也必须有广泛的认同。
?电子商务的交易模式不能被假冒。也就是说必须要有足够的安全保障。
?能真正节省开支。人类从最原始的物物交换到一般等价物、到信用体制等等都是在不断地降低交易成本,如果我们引进电子商务不但不能减少成本,反而会使成本增加,就不会得到社会的认同。
?要求方便易用,这一点十分重要。目前我国电子商务发展的发展过程中最致命就是使用不方便。
?要能满足社会大众的商业心态。它可以是“实名制”也可以是“隐名”的(当然现在也正讨论怎么使存款“实名制”),原来的金融体系或经济体系的优势就在于既可以是“实名”的也可以是“隐名”的,所以发展电子商务时也要考虑这个问题,否则用户就没有选择,其发展就会受到阻碍。
1.3.2:社会对电子商务安全的要求
?信息的保密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务则建立在一个开放的网络环境(Internet)上,维护商业机密是电子商务全面推广的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。保密性一般通过密码技术对传输的信息进行加密处理来实现。
?信息的完整性。商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的。数据输入时的意外差错或欺诈行为,可能会导致贸易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,贸易各方信息的完整性将到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务的基础。一般可通过提取信息摘要的方式来保持信息的完整性。
?信息的真实性。只有信息流、资金流、物流的有效转换,才能保证电子商务的顺利实现,而这一切是以信息的真实性为基础。信息的真实性一方面是指网上交易双方提供信息的真实性;另一方面是指网上交易双方身份信息的真实性,即对人或实体的身份进行鉴别,为身份的真实性提供保证,使交易的双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定身份时,鉴别服务将验证其声明的正确性。一般可通过认证机构和证书来实现。
?信息的不可抵赖性。对进行电子商务交易的贸易双方来说,一个很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。因此,要在交易信息的传输过程中为参与交易的个人、或国家提供可靠的标识,使原发方对已发送的数据、接收方对已接收的数据都不能否认。通常可通过对发送的消息进行数字签名来实现信息的不可抵赖性。
?信息的有效性。电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务信息的有效性将直接关系到个人、企业或国家的利益和声誉。因此,要对故障、操作错误、应用程序错误、硬件故障、系统软件错误及机病毒所产生的潜在威胁加以控制和预防,这对于保证贸易数据在确定的时刻、确定的地点是有效的。
1.4: 对电子商务现状的看法
目前,电子商务网站的经营很热闹,但其实也面临不少问题。根据资料显示,我国的电子商务虽然收益不佳的现状有望改观,但技术和管理方面的问题还依然存在,安全隐患仍令人担忧。
?从技术上看:首先是数据传输的速度太慢;第二是没有安全、可靠的结账方式,这严重制约着电子商务的发展;第三是IT技术的发展速度太快,商务模式的形成和人们使用习惯的养成都需要一定的时间,虽然技术不断发展,但社会对技术的认同是有阶段的,这使得用户和经营者都难以消化,难以跟上这种快速发展的步伐;第四是难以及时处理用户的有关问题,开通一个网站,如果一段时间以后用户的反馈多了,网络的速度就会慢下来,这也许是线路本身的问题,但也存在技术处理的问题,目前尚没有解决的良策。第五是在安全保障上,难以防范现在的网络犯罪,特别是黑客的攻击。
?从管理上看,存在的主要问题有:其一,国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多;其二,电子商务网站的经营收益远低于预期,使有网络泡沫之虞;其三,缺乏能适应中国国情的市场技巧。现在的电子商务网站动作的市场方式基本上是照搬美国的,在造势上不无奢华,但在收效上却无殷实,不充分考虑中国人的商业行为和方式,恐怕是难以成功的;其四,网站运营成本太高。由于运行成本居高不下,再好的商业模式也不堪重负;其五,收费困难。除BtoB稍好一点外,BtoC电子商务一直没有找到方便可行的收费方式。
1.5: 电子商务的安全要素
?有效性
EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
?机密性
EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
?完整性
EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
?可靠性/不可抵赖性/鉴别
EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
?即需性
即需性是防止延迟或拒绝服务,即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中,延迟一个消息或消除它会带来灾难性的后果。例如,你在上午10点向在线的股票交易公司发一个电子邮件委托购买1000股IBM公司的股票,假如这个邮件被延迟了,股票经济商在下午2点半才收到这封邮件,这时股票已经涨了15,,这个消息的延迟就使你损失了交易额的 15,。
?整体性
电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,这样不仅能提高人力和物力的利用,也可以提高系统运行的严密性。
?审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控的,以便对其所使用的操作内容进行审计和跟踪。
2: 中国电子商务安全问题解决方案
2.1: 关于电子商务需要的安全技术与产品
目前,国内市场需要较大的网络安全产品还是防火墙,从国内外采购的数量来看,防火墙均居于首位的;其次是通信保密设备;第三是现在电子商务里面应用最多的客户机服务器中的安全模式;第四是局域网或广域网上的安全技术;第五是web安全技术;第六是灾难恢复技术,从银行和金融界的一些情况看,大家对这方面的重视还不够,普遍的电子商务网站对灾难恢复考虑得都不是很好,这也是迫切需要的
2.1.1:防火墙技术
?防火墙的定义
防火墙是指为了增强机构内部网络的安全性而设置在不同网络或网络安全域之间的一系列部件的组合。
?防火墙的原理
作为近年来新兴的保护计算机网络安全技术性措施,防火墙(FireWall)是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出。防火墙是一种被动防卫技术,由于它假设了网络的边界和服务,因此对内部的非法访问难以有效地控制,因此,防火墙最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。
作为Internet网的安全性保护软件,FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。
?防火墙的优点:?保护脆弱的服务?控制对系统的访问?集中的安全管理?增强的保密性?记录和统计网络利用数据以及非法使用数据?策略执行。
?防火墙的功能:?防火墙是内部网的唯一瓶颈,通过它就可以把未授权用户排除到受保护的网络之外,禁止危及安全的服务进入或离开网络,防止各种IP盗用和路由攻击。?通过防火墙可以监视与安全有关的事情。?防火墙可以为几种与安全无关的因特网服务提供方便的平台。?防火墙可以作为IPSec的平台。
2.1.2:加密技术
加密技术是EC采取的基本安全措施,贸易方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。
?在对称加密方法中,采用相同的加密算法并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那
么机密性和报文完整性就可以通过这种加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。因此,对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,对称加密方式无法鉴别贸易发起方或贸易最终方。数据加密
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
(DES)由美国国家标准局提出,是目前广泛采用的对称加密算法,主要应用于银行业中的EFT领域。DES的密钥长度为56位。
?在非对称加密体系中,密钥被分解为一对,即公开密钥或专用密钥。公开密钥(加密密钥)通过非保密方式向他人公开,而专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易甲方生成一对密钥,公布公开密钥;贸易方乙得到该公开密钥,使用该密钥对机密信息进行加密,然后发送给贸易甲方;贸易甲方再用自己保存的专用密钥对加密后的信息进行解密。贸易方只能用其专用密钥解密由其公开密钥加密后的任何信息。RSA算法是非对称加密领域内最为著名的算法。
2.1.3:应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。
程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺点的许可是正确的。这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
2.1.4:身份认证技术
?数字签名
数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
?数字信封
在大批数据加密中所使用的对称密码是随机产生的,而接收方也需要此密码才能对消息进行正确的解密。对称密钥的传递需要加密进行,即发送方用接收方的证书(公钥)加密此对称密钥。这样只有接收方用自己的私钥才能正确地解密此对称密钥,从而正确地解密消
息。这种加密传送密钥的方法称为数字信封。数字信封技术可以保证接收方的唯一性。即使信息在传送途中被监听或截获,由干第三方并没有接收方的密钥,也不能对信息进行正确的解密。
?证书和证书管理机构CA
证书就是一份文档,它纪录了用户的公开密钥和其他身份信息(如身份证号码或者E,mail地址)以及证书管理机构的数字签名。
证书管理机构是一个受大家信任的第三方机构。用户向CA提交自己的公开密钥和其他代表自己身份的信息,CA验证了用户的有效身份之后,向用户颁发一个经过CA私有密钥签名的证书。
证书和CA的存在使两个贸易方都信任CA并从CA处得到了一个证书,双方可以通过互相交换证书得到对方的公开密钥。由干证书上有CA的数字签名,用户如果有正确的CA的公开密钥,就可以通过数字签名的鉴定来判断从证书中得到的公开密钥是否确实是对方的公开密钥。
2.1.5:Internet主要的安全协议
?SSL
SSL(安全槽层)协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet/Internet 网络产品的公司已在使用该协议。
此外,微软公司和Visa机构也共同研究制定了一种类似于SSL的协议,这就是PCT(专用通信技术)。该协议只是对SSL进行少量的改进。
?S-HTTP
S-HTTP(安全的超文本传输协议)是对HTTP扩充安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、 不可抵赖性及机密性等安全措施。目前,该协议正由Internet工程任务组起草RFC草案。
?UN/EDIFACT的安全
EDI是EC最重要的组成部分,是国际上广泛采用的自动交换和处理商业信息和管理信息的技术。UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全成为主要解决的问题。联合国下属的专门从事UN/EDIFACT标准研制的组织--UN/ECE/WP4(即贸易简化工作组)于1990年成立了安全联合工作组(UN-SJWG),来负责研究UN/EDIFACT标准中实施安全的措施。该工作组的工作成果将以ISO的标准形式公布。
在ISO将要发布的ISO 9735(即UN/EDIFACT语法规则)新版本中包括了描述UN/EDIFACT中实施安全措施的5个新部分。它们分别是:第5部分--批式EDI(可靠性、完整性和不可抵赖性)的安全规则;第6部分--安全鉴别和确认报文(AUTACK);第7部分--批式EDI(机密性)的安全规则; 第9部分--安全密钥和证书管理报告(KEYMAN);第10部分--交互式EDI的
安全规则.
UN/EDIFACT的安全措施主要是通过集成式和分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的鉴别和不可抵赖性;
而分离式途径则是通过发送3种特殊的 UN/EDIFACT报文(即AU TCK、KEYMAN和CIPHER来达到保障安全的目的。
?安全电子交易规范(SET)
SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司、RSA公司等。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET 1.0版已经公布并可应用于任何银行支付服务。
Visa和MasterCard一直在致力于开发使用信用卡进行Internet支付的安全电子交易协议(SET)。该协议干1997年5月正式通过。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。该协议是开放网络环境中的卡支付安全协议,它采用公开密码体制(PK1)和X(509电子证书标准,通过相应软件、电于证书、数字签名和加密等技术,在电于交易环节上提供更大的信任度,更完善的交换信息、更高的安全性和较少的可欺诈性。但是采用SET协议的一些试验结果表明SET在相互操作方面存在一些问题。SET的局限性还在于该协议仅限于使用信用卡方式的支付手段。
2.2:法律政策保障电子商务安全
电子商务的迅速发展,对交易安全提出了更高的要求。建立一套法律政策体系,保证电子交易双方能按照共同的规则进行交易,对起动、发展电子商务是完全必要的,强化交易安全的法律保护已是立法的一项紧迫任务。
?在民法基本法的立法上,应反映出交易安全的理念。为此,要大胆借鉴和移植发达国家电子商务保护交易安全的成功经验和制度,并结合我国的实际情况,构造一套强化交易安全保护的法律制度。
?在商事单行法的立法上,可以基于商法的特别法地位及其相对独立性,满足商法中商业行为较高的交易安全要求,在某些方面可以适当突破民法基本法中的某些制度,以期强化这方面的交易安全保护。
?在计算机及其网络安全管理的立法上,应针对电子商务交易在虚拟环境中运行的特点,明确提出电子商务交易安全保护的法律措施。
?在法律解释上,当务之急是全面清理最高人民法院所作出的司法解释,剃除不利于交易安全的结论,并在以后的解释中注重考虑交易安全的因素。
?在条件成熟的时候,制定保护电子商务交易安全的专门法规文件。
3:结束语
3.1:对中国电子商务的展望
我国应该加快对电子商务的有关细则的立法,并加强执法的力度,否则会使该行业变得混乱,影响其发展。电子商务安全技术已经取得一定的成绩,只要在安全技术上有更大的突破,相信电子商务真正成为一种主导的商务模式的日子不会离我们太远。
3.2:叁考文献
?万以娴(《论电子商务之法律问题,以网络交易为中心》(北京:法律出版社,2001
?唐晓东著,《电子商务中的信息安全》,北京,清华大学出版社,2006年09月。
?张爱菊著,《电子商务安全技术》,北京,清华大学出版社,2006年12月。
?肖德琴著,《电子商务安全保密技术与应用——全国高等院校电子商务联编教材》,广州,华南理工大学出版社,2005年01月。
?管有庆著,《电子商务安全技术》,北京,北京邮电大学出版社,2005年12月。
?程龙著 ,《电子商务安全》,北京,经济科学出版社,2002年11月。
?黄进才(《网络交易中的若干法律问题》(经济论坛,2003年5月
浙公网安备 33021202002483