時間:2023-07-10 17:35:02
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇電子商務安全策略,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
如今,電子商務的普及程度遠遠超出了我們當初的預想,無論是生活、學習、工作還是購物,電子商務均為我們提供了充足的便捷性。但是,電子商務在發展過程中也面臨著一些問題,例如很多時候由于系統漏洞及黑客入侵等導致了電子商務的安全性下降,很多網民表示對網上交易存在一定的擔憂心理,甚至有人不支持網上交易,因此電子商務安全問題的解決已經刻不容緩。電子商務作為一種新的經濟模式,并沒有從本質上改變其商業屬性,這就意味著電子商務的運作必須遵循商業活動的一般規律,安全是其必須考慮的重要因素。如今,電子商務的安全性是不容樂觀的,從事電子商務的企業承擔的風險遠高于傳統企業。電子商務的安全性要求包括很多方面,如信息的保密性,即交易中的商務信息一般都有加密的要求;交易者身份的確定性,方便而可靠地確認交易雙方的身份信息是交易的前提;交易的不可否認性,意指一旦交易達成則雙方不能對此予以否認等。
一、電子商務存在的安全隱患
1、交易平臺安全隱患
電子商務交易平臺主要由電子商務服務器、電子商務軟件/網站系統、電子商務數據庫和電子商務支付系統等組成。交易平臺是整個電子商務系統安全運行的基礎和保障,而因為種種因素的存在降低了平臺本身的安全性。電子商務服務器因為要進行大量的電子商務活動,比普通的服務器更加容易受到黑客的攻擊,而服務器操作系統本身的安全問題也導致服務器的不安全。電子商務運行所依靠的運行工具,比如購物網站可能因為設計開發不合理,導致心懷不軌者利用網站漏洞進行攻擊,從而破壞網絡交易。電子商務活動中產生的所有數據都存儲在數據庫中,如果數據庫在存儲管理方面出現問題,很容易導致用戶信息泄密。尤其是隨著云計算和大數據存儲的發展,數據存儲的安全性受到了更加嚴峻的考驗,面對海量數據,傳統的安全防護措施顯得蒼白無力。
2、電子支付安全隱患
電子商務支付系統是電子商務活動中的核心部分,近幾年來不斷有不法分子利用釣魚網站,偽裝成支付頁面,導致大量的網絡用戶受騙,財產在不經意間被人騙走。快捷和方便是電子商務的主要特點,為了能夠更好的去實現電子商務的這個特點,電子交易平臺就需要和各個銀行聯手,為顧客提供各種不同的支付方式,比如信用卡、快捷支付以及U盾等。人們在網上交易時信用卡支付是一種比較常見的方式,它可以有效實現先買東西后付款的方式,為資金不夠的顧客提供了便利,同樣也有很多違法分子利用這種方式來進行信用卡詐騙,這樣對電子商務的長期發展來講會產生比較嚴重的負面影響。
3、交易者身份安全隱患
在電子商務的交易過程中主要存在的安全問題就是,買賣雙方面臨的安全威脅。一是買方面臨的安全問題,客戶信息和營銷信息泄露,甚至有假冒用戶篡改商務信息內容等,這些均導致了電子商務交易的中斷,給商家的信譽度和利益帶來嚴重的影響,還有商業機密有可能被盜取,使得網絡黑客進入系統篡改訂單,造成大量虛假訂單的形成,使得電子商務不能夠正常開展;二是賣方面臨的安全問題,發送的電子商務信息被篡改,造成買家不能夠及時收到賣家的商品。在網購時使用的證件基本上都是身份證,這樣會導致身份證的信息被竊用,使客戶的經濟利益受到嚴重的損害。同時還存在著個人隱私被盜取以及被網絡的虛假廣告欺騙,最終購買了假冒偽劣商品。
4、誠信安全隱患
誠信是電子商務交易成功的根本保障,誠信安全出現問題會導致買賣雙方缺乏信任,整個電子商務交易也無法持續下去。眾所周知電子商務一般是買家通過電子現金、電子錢包、電子支票、信用卡支付等形式來在線支付給賣家,也就是說買家先付款然后賣家再發貨,這樣消費者種種擔心會隨之產生,比如商家不發貨或不按時發貨,商家發的貨沒有自己在網上瀏覽的虛擬產品好,所發商品屬于劣質產品等。據相關媒體的報道,有些非法商家要賣家先付極少部分的貨款,但沒有想的是他們制作的是假的支付頁面,趁機盜取銀行卡號和密碼,造成了買家嚴重的經濟損失。若是實行貨到付款,賣家就會擔心買家不付款或者不接受貨物,耽誤交易。因此,誠信安全問題直接影響著電子商務的健康發展,我們應該對電子商務的誠信安全問題予以高度的重視。
二、電子商務的安全防范措施
面對網絡中的種種威脅,必須采取多種措施來保證電子商務的安全性。
1、對電子商務進行專門立法
電子商務作為一種新生事物,如果延續傳統的法律體系對其進行規范還存在著許多空白,這一現狀已經在實踐中帶來了很多問題。以我國1997年修訂的《刑法》為例,雖然其中增加了關于計算機犯罪的相關條款,且1999年通過的《合同法》對電子合同的書面形式、生效時間地點等做出了相關規定。但是,這些條款和規定明顯簡單且滯后,已經遠遠不能滿足電子商務蓬勃發展的需要。以電子認證的效力、虛假電子認證等重要問題為例,我國的法律對此沒有做出專門的規定,這已經成為阻礙我國電子商務發展的重要因素。因此,我國應努力加快電子商務法制化的建設進程,制訂針對性強的《電子商務法》,從而對電子商務當事人的權利和義務、電子合同的法律關系、電子簽名、電子認證、網上知識產權的保護、電子支付等進行體系化的規范,使之適應當前的電子商務發展環境,并且要在刑法中對電子商務領域的犯罪進行明確的規定。如此以來,在法律上為電子商務提供一個良好的發展環境,為之保駕護航。
2、提升用戶安全意識
在電商時代,要保障計算機電子商務的安全,必須要強化用戶自身的安全意識。如果用戶的專業知識不充足,又缺乏電子商務的相關安全意識,會埋下很多安全隱患。很多非法入侵者正是由于注意到用戶缺乏專業知識與安全意識,故而選擇從用戶身上尋找突破口,入侵用戶的賬號,進而獲取系統管理員的賬號,甚至最終直接入侵到整個系統,使得系統內的數據信息被竊取或者整個系統出現崩潰的現象。由此看來,用戶的專業知識與安全意識對電子商務的整體安全性有著重要的影響,用戶需要不斷提高自身的安全意識,掌握相關專業知識,從自己做起,為電子商務的安全發展奠定基礎。
3、技術方面的安全策略
(1)積極推廣身份識別技術。在實際的電子商務中用戶的身份識別技術,旨在確保交易中涉及到的用戶身份信息的正確無誤,以及信息的有效性、完整性。該技術主要涉及以下幾個方面的內容:利用數字標志的方法進行驗證。該方法一般借助電子技術實現對交易用戶身份的真偽及其對相關網絡資源進行訪問的權限進行辨別,這個過程中對用戶身份的驗證是通過專門的數字證書(由電子商務平臺的認證中心發放)完成的。
(2)交易平臺安全策略。電子商務交易平臺日趨龐大化且復雜度日益提高,服務器承受的安全壓力也同步增加。首先可以在服務器上安裝防火墻和入侵檢測系統,實時監控病毒感染和非法入侵行為。同時關閉服務器上多余的端口,增強服務器的訪問控制;其次,在開發電子商務平臺時,要對安全性有更高的要求,確保不留下任何漏洞,增強網站的安全防護能力。并在此基礎上保證網站的可用性、舒適性,滿足用戶對網站的購物需求;再次,對數據庫中的所有數據進行檢測,確認沒有病毒后加密存入數據庫。并對數據庫管理員進行必要的安全培訓,提高數據庫管理員的安全防范意識,建立健全數據庫自動預警功能;最后,建議所有網絡交易的用戶,一定要仔細辨別各支付網站的網址,小心謹慎,不要掉入釣魚網站的陷阱。
[關鍵詞]電子商務;安全問題;策略研究
伴隨著互聯網的快速發展,電子商務的廣闊前景吸引了全球的關注,電子商務的網絡效應優勢也更加突出。作為發展中國家的中國,在互聯網發展方面與發達國家的差距較小,為中國實現超越式發展提供了契機。中國電子商務的發展環境不斷得到改善,但電子商務的安全問題是制約我國電子商務實現跨越式發展的瓶頸問題。
一、電子商務安全問題及要求
所謂電子商務安全是指綜合運用各種安全技術和設施保護電子商務中交易各方的安全,保證商務活動順利進行。人們從面對面的交易作業變成虛擬的網上互不見面的操作,沒有國界、沒有時間限制,可以充分利用互聯網工具和資源的同時,也可以進行攻擊和破壞。
常見的電子商務安全問題包括:
1.在網絡的傳輸過程中信息被截獲
攻擊者可以通過因特網、公用電話網、搭線等截獲傳輸的機密信息,或通過對信息流量和流向、通信頻度和長度參數的分析,推斷出有用信息、如銀行賬號密碼等。
2.傳輸的文件被惡意篡改
攻擊者可以通過篡改、刪除和插入三方面來破壞信息的完整性。
3.假冒他人身份
主要包括冒充他人身份,如冒充上級指令;冒充他人消費,栽贓;冒充主機欺騙合法主機及合法用戶;接管合法用戶,欺騙系統,占用合法用戶的資源等。
4.抵賴交易信息
主要表現在收(發)信者時候否認曾經接收(發送)過某些信息;購買者不承認確定了訂貨單;商家違約等。
針對以上安全問題,為了保證交易各方的合法權益,電子商務安全必須滿足5項基本要求,即授權合法性、不可抵賴性、保密性、身份的真實性與信息的完整性。
二、企業電子商務安全策略
要保護自己的電子商務資產,所有的組織都要有一個明確的安全策略,即明確描述對所需保護的資產、保護的原因、誰負責保護、哪些行為可接受、哪些行為不可接收的書面描述。安全策略一般要陳述物理安全、網絡安全、訪問授權、病毒保護、災難恢復等內容,該策略不是一成不變的,公司的安全負責人員必須定期修改安全策略。
雖然現實中沒有絕對的安全,但企業可以構造一道屏障來阻止絕大多數的威脅和侵害。制定全面的安全策略必須包含對安全問題的多方面考慮因素。安全策略一般包括以下內容:
認證:誰想訪問企業的電子商務網站?
訪問控制:允許誰登錄電子商務網站并訪問它?
保密:誰有權利查看特定的信息?
數據完整性:允許誰修改數據,不允許誰修改數據?
審計跟蹤:在何時由何人導致了何事?
三、完善的企業電子商務安全體系策略綜合應用
企業的電子商務安全實際上關注的是內容按照從客戶機到電子商務服務器的交易處理鏈進行組織,因此這條鏈條上必須保護的資產包括客戶機、從通信信道上傳輸的信息、服務器。
1.客戶機的安全
客戶機應該不受載入軟件和數據的安全威脅,尤其是注意以動態網頁形式從網上傳來的活動內容所帶來的安全威脅。客戶機面臨的另一種威脅是偽裝成合法網站的服務器。用戶和客戶機受騙向非法網站提供敏感信息的案例很多。
在客戶機的安全方面最需關注的是網頁竊聽器,網頁上會有某些廣告主(從第三方服務器)發出的圖片,但是圖片小得肉眼看不見。當網絡訪問者載入此頁面時,網頁竊聽器也從第三方網站發來,在訪問者的計算機里放置一個小程序,以跟蹤和偷窺客戶機的上網行為等內容。
2.通信信道的安全
互聯網發展到今天,其不安全狀態與最初相比沒有太大改觀。在互聯網上傳遞信息,從起始節點到目標節點之間的路徑是隨機選擇的,每次所用的路徑都可以不同。由于用戶根本無法控制傳輸路徑,也不知道信息包經過的節點,所以某個中間節點都可能會讀取信息、加以篡改或偽造信息。在互聯網上傳遞信息都會受到對安全、完整和亟需的侵犯。主要解決方法是使用電子商務安全中的加密技術,包括各種加密算法、數字簽名和安全協議等。
3.服務器的安全
對于企圖破壞或非法獲取信息的人來說,企業的服務器有很多弱點可被利用。其中一個入口是WWW服務器及其軟件,其他入口包括任何有數據的后臺程序,如數據庫和數據庫服務器。電子商務系統以數據庫存儲用戶數據,并可從WWW服務器所連的數據庫中搜索產品信息。數據庫中除了產品信息外,還可能保存有價值的信息或隱私信息,一旦被更改或泄露則會給公司帶來無法彌補的損失。數據庫的安全是通過權限實施的,如果有人得到用戶的認證信息,就能偽造成合法的數據庫用戶來下載保密的信息。現在大多數大型數據庫都是用基于用戶名和口令的安全措施,一旦用戶獲準訪問數據庫,就可以查看數據庫中的相關內容。其后果是十分嚴重的。
總之,我國目前的電子商務安全形勢不容樂觀,隨著電子商務的發展,將會有更多的問題出現。我國企業應重視自身的安全問題,同時國家方面也會加大研發電子商務安全技術,健全電子商務安全體系,不斷完善電子商務安全法律法規,構建有中國特色的電子商務安全體系,為推動我國電子商務整體發展加足馬力,使中國真正進入安全的電子商務全新時代。
參考文獻:
[1]沈昌祥,左曉棟.《信息安全》.浙江大學出版社.2007年10月
[2]肖德琴,周權.《電子商務安全》.高等教育出版社.2009年9月第1版
目前,網上電子交易已經隨著因特網的普及逐漸被人們所接受和應用,網絡購物、網上繳費等方式極大的方便了人們的生活,越來越多的人開始利用網絡來進行交易。電子商務網站的有效運作,依靠的是完全開放的互聯網,而這個網絡當中的任何電腦之間、網絡之間都是互通的,安全和不安全的數據都可能在傳遞,各種風險隨時對電子商務的安全構成威脅。電子商務正在規模化和全球化,企業的發展在很大程度上都依賴于它,所以,電子商務網站的安全問題必須得到有效的解決,才能保證它的正常運轉。
2 電子商務網站的安全策略
電子商務依靠的是互聯網,其核心和關鍵問題就是交易的安全性。正是由于網絡本身的開放性給網上交易帶來了種種危險,才要更加注重它的安全控制。電子商務網站的安全問題可以從兩個方面進行探討和分析,一是系統安全,二是數據安全,并且可以利用一些先進的技術手段加以解決。
2.1 系統安全
信息安全對于企業來說很重要,而信息安全的前提是系統安全。系統安全主要包括網絡系統、操作系統和應用系統3個方面。系統安全可以采用的技術手段有網絡隔離、訪問控制、身份鑒別、數據加密、監控評估等技術。
2.1.1 網絡系統
網絡系統的安全問題主要是由于網絡的開放性造成的,解決問題的關鍵是把網絡從開放、自由的環境中分離出來,使其變成可以控制和管理的獨立網絡,就目前的技術發展來看,可以采用下列方法解決系統安全問題。
1)系統隔離,就是將重要的網絡系統與其他系統分離,有物理隔離和邏輯隔離。按照網絡安全等級的不同可以將網絡合理劃分為多個互不連通的網絡,使不同安全級別的網絡或設備不能相互訪問,從而達到安全隔離。也可以采用VLAN等網絡技術對業務網絡或辦公網絡實行邏輯上的隔離,劃分出不同的應用子網;2)訪問控制,通過設置有效合理的訪問策略,對于不同區域的網絡資源實行訪問控制,防止非法用戶訪問受保護的資源,其主要解決的問題就是網絡邊界的安全控制和網絡內部資源的訪問控制。可以按照一定的原則根據需要對信息的流向進行單向或雙向控制。能夠設置訪問控制的網絡設備有很多,比如交換機、路由器,而最重要也是最有效的則是防火墻,它通常被布置在網絡的出入口處,對進出網絡的數據信息進行有效的檢測和過濾,同時按照訪問控制列表和安全政策對信息流進行控制,允許合理有效的數據通過,將不安全和不符合要求的數據拒之網外;3)身份鑒定,對訪問網絡的用戶進行身份識別,通常可以使用三種方式對訪問者進行身份驗證,一是訪問者了解的安全信息,比如賬號、密碼、密鑰等;二是訪問者提供的物件,比如訪問磁卡、通用IC卡、動態口令卡等;三是訪問者自身的特征信息,比如聲音、指紋、視網膜、筆跡等。身份鑒定的目的就是阻止非法用戶訪問這些被加密的數據,而加密是為了防止網絡數據被竊聽、泄漏、篡改和破壞;4)安全監測,利用網絡設備的高級功能和技術,通過分析來訪數據信息,找出未經授權的網絡訪問和非法行為,包括對網絡系統的掃描、跟蹤、預警、阻斷、記錄等,從而將系統遭受的攻擊傷害減少到最低。除了網絡設備,還可利用一些專業的網絡掃描監測系統來對付黑客和非法入侵,這些系統能夠主動、實時、有效的識別出非法數據和用戶,并且通過網絡掃描能夠針對網絡設備的安全漏洞進行檢測和分析,包括網絡服務、防火墻、路由器、郵件服務器、網站服務器等,從而識別那些可以被入侵者利用并非法進入的網絡漏洞。網絡掃描系統對檢測到的漏洞信息形成詳細報告并提供改進方案,使網絡管理人員能檢測和管理好安全風險。
2.1.2 操作系統
操作系統,實際上就是電腦管理控制程序,是管理計算機軟硬件資源的核心系統,負責設備的管理、數據的存儲、信息的發送和各種系統資源的調度,它是各種應用軟件的系統平臺,具有通用性和易用性,操作系統的安全直接影響到應用系統和數據的安全,一般分為應用安全和系統掃描。
1)應用安全,面向應用選擇可靠的操作系統,可以杜絕使用來歷不明的軟件。用戶可安裝操作系統保護與恢復軟件,并作相應的備份;2)系統掃描,基于主機的安全評估系統是對系統的安全風險級別進行劃分,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數據免受盜用、破壞。
2.1.3 應用系統
1)文件的安全存儲:利用各種加密手段,結合相應的身份鑒定和密碼保護機制,使存儲在本地或者網絡上的重要文件處于安全存儲的狀態,即便他人通過非法手段獲取到了文件或存儲設備,也難以取得文件里的內容;2)文件的安全傳遞:對通過網絡發送的文件進行安全處理,比如加密、簽名、完整性鑒別等,使被傳送的文件只有指定的接收者通過相應的安全鑒別機制才能解密并閱讀,避免了文件在傳送或存儲的過程當中被截獲、篡改和破壞等;3)業務服務安全:主要面向業務管理和信息服務的安全需求。對于各種通用信息服務,如WEB信息服務、FTP服務、電子郵件服務等服務,采用相應安全軟件系統進行保護,如安全郵件系統、WEB頁面保護等;對于各種業務信息可以配合專業管理信息系統軟件采取對信息內容的安全保護,防止外部非法侵入和內部信息泄漏。
2.2 數據安全
信息數據的安全主要包含了數據庫的安全和數據本身的安全,這兩個方面的安全問題都必須得有相應的安全措施,才能確保數據安全。
1)數據庫安全,目前很多企業使用的數據庫都是SQL Server或者ORACLE大型數據庫,這些數據庫系統本身具備一定的安全性,安全級別可以滿足日常需求。但是由于數據庫十分重要,應在此基礎上再采取一些安全措施,增加相應安全組件,改良密碼策略,對數據庫實施分級管理并提供可靠的故障恢復機制,實現數據庫的訪問、存取和加密控制。具體方法有安全數據庫系統、數據庫保密系統、數據庫掃描系統等;2)數據安全,即存儲在數據庫中的數據本身的安全,相應的保護措施有安裝反病毒軟件和防火墻軟件,建立一套可靠的數據備份與恢復系統,定期對數據進行備份,定期修改數據庫密碼,必要時可以對重要數據采取多層加密保護。
2.3 交易安全
網上交易安全是用戶最關心的問題,只有提供穩定的安全保證,在線交易用戶才會具有安全感,才會覺得交易平臺可靠,電子商務網站才會具有廣闊的發展空間。
1)交易安全標準,目前在電子商務中主要的安全標準有兩種:應用層的SET(安全電子交易)和會話層SSL(安全套層)協議。前者由信用卡機構VISA及MasterCard提出的針對電子錢包、商場、認證中心的安全標準,SET的關鍵特征是信息的機密性、數據的可靠性、卡用戶賬號的鑒別、商人的鑒別,主要用于銀行等金融機構。后者由NETSCAPE公司提出的針對數據的機密性、完整性、開放性和身份確認的安全協議,它可以保證數據不被竊取和破壞,此協議已經成為WEB應用安全標準;2)交易安全基礎體系,交易安全的基礎是現代密碼學技術,主要取決去于加密方法和加密強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長,對稱密鑰具有加密效率高,但存在密鑰分發困難、管理不便的弱點。非對稱密鑰加密速度慢,但便于密鑰分發管理。通常把兩者結合使用,以達到高效安全的目的;3)交易安全的實現,交易安全的實現主要是指交易雙方身份確認、交易指令及數據加密傳輸、數據的完整性、防止雙方對交易結果的否認等等。具體實現的途徑是交易各方具有相關身份證明,同時在SSL協議體系下完成交易過程中電子證書驗證、數字簽名、指令數據的加密傳輸、交易結果確認審計等。
3 結論
企業電子商務網站的安全,需要一個完整的綜合保障體系,要采用綜合防范的思路,從技術、管理、法律等多方面加以認識和思考。安全實際上是一種風險管理,任何技術手段都不能夠保證百分之百的安全,但是安全技術可以降低系統遭到破壞和攻擊的風險,在一定程度上保障數據的安全。電子商務正處于蓬勃發展時期,只有解決了電子商務中出現的各類問題,才能是電子商務系統更加安全。
參考文獻
[1]洪國彬.電子商務安全與管理[M].北京:電子工業出版社,2006.
[關鍵詞] 數字簽名數字水印離散余弦變換多媒體論證
隨著因特網的迅速發展和普及,多媒體信息得到了空前廣泛的交流與應用,給人們的生產和生活帶來了許多便利。但是,多媒體信息的安全問題也隨之而來,比如盜用別人的電子產品并在網上傳播;在電子商務中偽造或篡改票據;對數字圖像等多媒體信息進行修改、替換以達到損害別人的目的等。因此,對多媒體信息的有效論證是保證信息安全的重要手段。
電子交易的可實施性是電子商務要解決的最主要和最基本的問題。電子簽名可以實現兩個重要目標:排除電子商務的障礙;通過幫助建立參與者在網上從事商業活動所需要的信任和可預見性,實現并推動電子商務的適當的公共政策目標。
電子簽名目前具備三個主要功能:數據來源認證:這可以用于認證信息來自于可疑的發送者;信息的完整性:有助于信息的接收者確定,在發送過程中,沒有被有意或者隨意地更改;不可否認性:發送者不能被否認信息的發送。
目前,存在幾個方法可以有效完成上述功能。然而,基于公共公共密鑰的密碼系統的數字簽名技術是目前被認為最普通、最可靠的技術。
數字簽名是一種對多媒體信息進行論證的有效手段,它是由信息發送者對要傳送的信息進行某種處理的,任何人都無法知道的,用以論證信息的來源并核實信息是否發生了變化的一段字符串。數字簽名的基礎是密碼學。
數字水印技術近年來逐漸成為知識產權保護的主要手段,它是信息隱藏的一個重要分支,是通過在原始資料中嵌入一些有特殊意義的信息,如文字,序列號,公司標志,聲音等,用以識別多媒體信息的作者,版權所有者、發行者,合法使用人對數字產品的擁有權等,并攜帶有版權保護信息和論證信息。
信息隱藏技術與傳統密碼學有本質的區別,傳統密碼學是將明文加密成密文,使信息不可理解,是隱藏了信息的內容;而信息隱藏技術著重隱藏了信息的存在。數字水印技術和數字簽名各有優勢和不足。數字簽名容易受到攻擊,而數字水印的安全度不高。如果將數字水印和數字簽名有機結合起來,以之為基礎構成一種新的水印方案,其安全性、可性度、論證精度都將會大大地提高,這無疑將是多媒體技術研究發展的一個很有前途的方向。
一、結合數字簽名與數字水印的方案
把數字簽名作為水印隱藏在圖像中,數字簽名方法用DSA(Date Signature Algorithm),數字水印方法用DCT(discrete cosine transform即離散余弦變換)。DSA簽名是基于離散對數問題的數字簽名標準,雖說它僅提供數字簽名,不提供數據加密功能,但它具有算法簡便實用,易實現等優點。而考慮用DCT是由于離散余弦變換是實變換,它具有良好的能量壓縮能力,而且可以利用人的視覺系統(HVS)在DCT域內的特性。
在應用DSA之前先對其做一個簡要說明:
如果要對一個消息x進行簽名,可選取一個隨機值k,且p, q,а和β公開,α保密(其中p是512比特的素數,q是一個整除p-1的160比特的素數,а是模p的q次單位根。α作為私鑰,β作為公鑰)。定義k={(p, q ,а, α, β):β=aα(modp)},對于Κ和一個秘密隨機數k,1≤k≤q-1,對信息x的簽名結果如下:
sigK(x,k)=(γ,δ)(1)
γ和δ即是對信息x的簽名。
γ=(аkmodp)modq(2)
δ=(x+αγ)k-1modq(3)
簽名是否為真通過下式來驗證,e1=xδ-1modq(4)
e2=γδ-1modq(5)
verK(x,γ,δ)真(ae1βe2modp)modq=γ(6)
舉例說明如下:
如p=83,q=41,а=2,β=4。另給出α=2(可以由信息發送者的身份信息構造而成),取k=20,應用上面的方法,對一個信息x (可以是一幅圖像作品的版權序列號等,如取為39)進行簽名得簽名信息為:sigK(x,k)=(37,20), 將之代入(6)式,可以驗證簽名為真。
將簽名的一些信息寫入一個64×64的二值圖像中,將之作為水印圖像嵌入到一個名為Peppersr的512×512標準真彩圖像中。具體方法如下:
(1)將數字簽名的一些已知參數p,q,а,β及對信息x的簽名(γ,δ)寫入到一個64×64的二值黑白圖像中,私鑰α及隨機數k可以由信息發送者身份識別的信息構成,信息x可以是一幅版權圖像的序列編號構成。
(2)讀取原始圖像和黑白水印圖像到二維數組I與J。
(3)將原始圖像I分割為互不覆蓋的圖像塊blockL(x,y),1≤x,y≤8,L=1,2…,M*M/64,對blockL(x,y)進行DCT變換,得到dct-blockL(u,v)。
(4)取黑白水印圖像中的一個元素J(p,q)嵌入到原始公開圖像塊的DCT的低頻系數中。
(5)對嵌入了水印信息后的圖像塊dct-blockL(u’,v’)進行反DCT變換,得到blockL(x’,y’)。
(6)合并圖像塊,得到嵌入了黑白水印后的圖像。
水印提取算法與水印嵌入算法類似,不再贅述。
接收方收到含水印的圖像后,從中提取水印得到簽名信息,用發信方給的私鑰α和秘密數k驗證簽名的真實性,從而可辨別作品的真偽(假設原始圖像Peppers為一版權作品)。
二、實驗結果
下圖為水印的嵌入與提取圖,程序的實驗環境為MATLAB6.1。
從上圖可得知:嵌入了水印后載體圖像跟原始圖像基本上無明顯差異,即該水印圖像的透明性良好,且在嵌入水印后的圖像未受攻擊的前提下,從中提取出的水印圖像非常清晰。信息接收者應用我的水印提取算法可方便地得到簽名信息,然后再用我給他的密鑰可以驗證此真彩圖的真偽。
論文摘要:當前,我國電子商務建設中以技術為主的安全管理體制,忽視了人員對電子商務的安全影響。但近幾年案例表明:企業缺乏針對內部人員的系統安全管理體制,是導致網絡交易過程中泄密和企業利益損失的主要原因。本文重點分析了企業在電子商務安全管理體制方面存在的不足和原因,提出了一些加強人員安全管理的建議,為我國電子商務企業的安全管理提供借鑒。
1、問題的提出
作為一種新的經濟模式,電子商務以高效、便捷、方便的優勢和全新的企業經營理念、經營手段、經營環境吸引著廣大用戶,為世界經濟賦予了無限的發展空間。隨著電子商務應用范圍的日益擴大,針對電子商務的各種犯罪活動也19益猖獗。國內外調查顯示…,52.26%的用戶最關心的是網上交易的安全可靠性,超過6O%的人由于擔心電子商務的安全問題而不愿進行網上購物。加強電子商務實施過程中的安全管理已經成為促進電子商務高速發展的重要因素。
電子商務的安全,可分為技術安全和管理安全兩種類型。所謂技術安全,是指通過各種黑客手段竊取企業的用戶lD、密碼以及相關的機密文件,甚至網絡銀行帳號、密碼等,給企業造成經濟損失。而管理安全則是指缺乏對參與電子商務過程中各個環節的人員的管理預防手段,最終導致的電子商務安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業銀行,都有過由于內部人員的違規和違法操作,導致數據被篡改和泄密的事件發生。
近幾年的電子商務安全案件表明:人員是網上交易安全管理中的最薄弱的環節,近年來我國計算機犯罪大都呈現內部犯罪的趨勢,有的競爭對手利用企業招募新人的方式潛入對方企業,或利用不正當的方式收買企業網絡交易管理人員。有的電子商務從業人員從本企業辭職后,迅速把客戶資料、產品研發成果等機密出售給競爭對手,給企業帶來了不必要的經濟損失。
2、原因分析
電子商務信息安全已經引起很多企業的重視,但大多數企業往往側重于加強技術措施,如購買先進的防火墻軟件,采用更高級的加密方法等,很多企業認為:員工泄密的安全事故只是偶然現象,很少從人員管理的角度來探討出現這些事故的根本原因。“重技術、輕管理”是當前很多電子商務企業的通病。由于管理手段不到位,很多先進的安全技術無法發揮應有的效能。之所以出現上述問題,主要有以下原因:
首先,很多企業管理高層對人員管理在信息安全中的地位認識不足。大多數企業將電子商務網絡作為一項純粹的技術工程來實施,企業內部缺乏系統的安全管理策略,只是被動的使用一些技術措施來進行防御,因此電子商務過程中一旦出現突發性事件,往往造成很大的經濟損失。現實中沒有一個網絡系統是完美無缺的,不安全因素隨時存在。因此,安全管理措施必須滲透到系統的每一個環節和企業組織的~個層面,只有構建一個人與技術相結合的安全管理體系,才能確保整個電子商務系統得安全。
企業沒有從整體上、有計劃地考慮信息安全問題。企業各部門、各下屬機構都存在“各自為政的局面,缺少統一規劃、設計和管理信息安全強調的是整體上的信息安全性,而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異,對于不同業務領域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰略性必須涵蓋各部門和各公司的信息安全保障體系的相關內容。
缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關鍵。信息安全保障工作的專業性、技術性很強,沒有一批業務能力強,且具有信息網絡知識、信息安全技術、法律知識和管理能力的復合型人才和專門人才,就不可能做好信息安全保障工作。應該從信息安全建設和管理對信息安全人才的實際需求出發,加快信息安全人才的培養。
企業對員工的信息安全教育不夠。員工的信息安全意識薄弱,9O%的安全事故是由于人為疏忽所造成。如有些企業不限制內部人員使用各種高科技信息載體,如U盤、移動硬盤以及筆記本等移動辦公設備。
3、加強電子商務安全管理的建議
電子商務信息安全管理實踐表明,大多數安全問題是由于管理不善造成的。安全管理是一項系統工程,不僅涉及到企業的組織架構、信息技術、人員素質等各個方面,還牽扯到國家法律和商業規則。企業內部存在著諸多影響信息安全的因素:改變lT系統不等于改變企業的信息安全管理,要使企業信息盡可能的安全,必須在技術投人的基礎上融人人在管理方面的智慧i同時,不僅要防外,更要防內,即對組織內部人員的管理。信息安全問題的解決需要技術,但又不能單純依靠技術。整個電子商務的交易過程,是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要。“三分技術,七分管理”闡述了信息安全的本質。
電子商務的安全管理,就是通過一個完整的綜合保障體系,來規避信息傳輸風險、信用風險、管理風險和法律風險,以保證網上交易的順利進行。網上交易安全管理,應采用綜合防范的思路,一是技術方面的考慮,如防火墻技術、網絡防毒、信息加密、身份認證、授權等,但必須明確,只有技術措施并不能完全保證網上交易的安全。二是必須加強監管,建立各種有關的合理制度,并加強嚴格監督,如建立交易的安全制度、交易安全的實時監控、提供實時改變安全策略的能力、對現有的安全系統漏洞的檢查以及安全教育等。為了加強企業電子商務的信息安全,我們提出如下建議:
(1)提高網絡安全防范意識。
現在許多企業沒有意識到互聯網的易受攻擊性,盲目相信國外的加密軟件,對于系統的訪問權限和密鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標,如此態度,網絡安全更是無從談起。應該定期由公司或安全管理小組承辦信息安全講座,只有提高網絡安全防范意識,才能有效的減少信息安全事故的發生。
(2)建立電子商務安全管理組織體系。
一個完整的信息安全管理體系首先應建立完善的組織體系。即建立由行政領導、IT技術主管、信息安全主管、本系統用戶代表和安全顧問組成的安全決策機構。其職責是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責,并檢查安全職責是否已被正確履行,核準新信息處理設施的啟用、組織安全管理專題會等。還應建立由網絡管理員、系統管理員、安全管理員、用戶管理員等組成的安全執行機構。該機構負責起草網絡系統的安全策略、執行批準后的安全策略、日常的安全運行和維護、定期的培訓和安全檢查等。如果需要,還可建立安全顧問機構。安全顧問機構可聘請信息安全專家擔任系統安全顧問,負責提供安全建議,特別是在安全事故或違反安全策略事件發生后,可以被安全決策機構指定負責事故(事件)調查,并為安全策略評審和評估提供意見。
(3)制定符合機構安全需求的信息安全策略。電子商務交
易過程中,需要明確的安全策略主要包括客戶認證策略、加密策略、日常維護策略、防病毒策略等安全技術方案的選擇。安全執行機構應根據本信息網絡的實際情況制定相應的信息安全策略,策略中應明確安全的定義、目標、范圍和管理責任,并制定安全策略的實施細則。安全策略文檔要由安全決策機構審查、批準,并和傳達給所有的人安全策略還應由安全決策機構定期進行有效性審查和評估:在發生重大的安全事故、發現新的脆弱性、組織體系或技術上發生變更時,應重新進行安全策略的審查和評估。
(4)人員安全的管理和培訓
參與網上交易的經營管理人員在很大程度上支配著企業的命運,他們承擔著防范網絡犯罪的任務。而計算機網絡犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續性、高效性的特點,因而,加強對有關人員的管理變得十分重要。首先,在人員錄用時應做好人員鑒別,人員錄用或人員職位調整時,一般要簽署保密協議。當人員到期離開或協議到期、工作終止時,要審查保密協議。其次對有關人員進行上崗培訓,建立人員培訓計劃,定期組織安全策略和規程方面的培訓。第三,落實工作責任制,在崗位職責中明確本崗位執行安全政策的常規職責和本崗位保護特定資產、執行特定安全過程或活動的特別職責,對違反網上交易安全規定的人員要進行及時的處理。第四,貫徹網上交易安全運作基本原則,包括職責分離、雙人負責、任期有限、最小權限、個人可信賴性等。
(5)增強法律意識,促進電子商務立法
面對電子商務這種新型的貿易形式,我國目前尚無專門法規可依,使得部分違法犯罪人員沒有得到應有的懲罰。近幾年里,國家加強了這方面的投入。在全國性的立法文件中,《合同法》的部分條款可以看作是針對電子商務的立法。此外,廣東省制定的《廣東省電子交易管理條例》這個地方性的法規可以看作是對加快我國電子商務立法的有益探索。《中華人民共和國電子簽名法》是對主要用于電子商務活動,電子政務等其他應用應該有新的適用法規。
盡管在電子商務信息安全立法方面取得了一些成就,但總的來說,我國的電子商務立法還很不健全,對電子商務活動的安全保護缺少直接性;相關立法比較分散,而且效力不高;對新出現的情況缺乏適應能力;立法速度慢。這些都需要電子商務企業和國家有關部門不斷探索,共同促進電子商務信息安全的法制環境建設。
【論文摘要】計算機網絡的技術發展相當迅速。隨著互聯網上黑客病毒泛溢,網絡犯罪等威脅日益嚴重,網絡安全管理的任務將會越來越艱巨和復雜,抓好網絡安全問題對保障網絡信息安全至關重要。因此文章對電子商務網絡支付安全問題進行探討分析。
引言
美國等發達國家,通過Internet進行電子商務的交易已成為潮流。隨著internet的發展和網絡基礎設施的不斷完善,我國的電子商務雖已初具規模,但是安全問題卻成為發展電子商務亟待解決的問題。電子商務過程中,買賣雙方是通過網絡聯系的,由于internet是開放性網絡,建立交易雙方的安全和信任關系較為困難,因此本文對電子商務網絡支付上的安全問題進行探討分析。
1、電子商務的概念和特點
1)電子商務的概念:電子商務(ElectronicCommerce)是通過電信網絡進行的生產、營銷、銷售、流通等活動,不僅是指基于因特網上的交易,而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。
2)電子商務的特點:(1)電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務使企業能以較低成本進入全球電子化市場,也使中小企業可能擁有與大企業一樣的信息資源,提高了中小企業的競爭能力。(3)電子商務重新定義了傳統的流通模式,減少了中間環節,使得生產者和消費者的直接交易成為可能,從而一定程度上改變了社會經濟的運行方式。(4)電子商務提供了豐富的信息資源,為社會經濟要素的重新組合提供了更多的可能,這將影響到社會的經濟布局和結構。
2、電子商務安全的技術體系
1)物理安全。首先根據國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經建設和管理達到相關標準[2]。再者,關鍵的系統資源(包括主機、應用服務器、安全隔離網閘GAP等設備),通信電路以及物理介質(軟/硬磁盤、光盤、IC卡、PC卡等)、應有加密、電磁屏蔽等保護措施,均應放在物理上安全的地方。
2)網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行,要求電子商務平臺要穩定可靠,能夠不中斷地提供服務。系統的任何中斷(如硬件、軟件錯誤,網絡故障、病毒等)都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
3)商務安全。主要是指商務交易在網絡媒介中出現的安全問題,包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴,即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現,加解密技術保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數字簽名是實現對原始報文完整性的鑒別,它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協議(安全套接層SSL協議和安全電子交易SET協議)、文件加密技術、數字簽名技術、電子商務認證中心(CA)。
4)系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術設備,增強其安全防護能力。
3、安全管理過程監督
3.1加強全過程的安全管理
1)網絡規劃階段,就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。
2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(實施)人員、版本控制的管理,要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。
3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發現潛在的安全威脅。
3.2建立動態的閉環管理流程
網絡處于不斷地建設和調整中,可能發現新的安全漏洞,因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統調整到相對安全的狀態。并要注意以下兩點:1)對于一個企業而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案,保證這些系列策略規范在整個企業范圍內貫徹實施,從而保護企業的投資和信息資源安全。2)要制定完善的、符合企業實際的信息安全策略,就須先對企業信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。新晨
4、結束語
本文分析了目前電子商務網絡支付安全方面的主要技術狀況,安全技術可以說是網絡技術中較為尖端的技術,都是非常先進的技術手段;只要運用得當,配合相應的安全管理措施,基本能夠保證電子商務中網絡支付的安全;但不是100%的絕對安全,而是相對安全。隨著網絡安全技術的進步與信用機制的完善,網絡支付定會越來越安全。
參考文獻
[1]柯新生.網絡支付與結算[M].北京:電子工業出版社,2004.
關鍵詞:電子商務;身份認證;防火墻
1 引言
電子商務可以增加銷售額并降低成本的優勢,使得政府與企業都十分重視并推動電子商務的建設和發展。電子商務發展到今天,主要問題在于時空的分離導致了安全問題的出現,信息的安全性是當前發展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業自身情況,充分借鑒以往電子商務系統開發的先進技術和經驗,開發出符合企業特殊的電子商務系統,已經成為目前發展電子商務的關鍵,而安全體系的構建顯得尤為重要。
2 電子商務的主要安全要素
目前電子商務工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基于Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網絡來聯系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現,電子商務交易雙方(銷售者和消費者)都面臨安全威脅,電子商務的安全要素主要體現在以下幾個方面:
2.1 信息真實性、有效性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
2.2 信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
3.3 信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
3.4 信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在1nternet 上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
3 電子商務安全系統
網絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩定可靠,能不中斷地提供服務。任何系統的中斷,如硬件、軟件錯誤,網絡故障、病毒等都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
所以就整個電子商務安全系統而言,安全性可以劃分為四個層次,
1) 網絡節點的安全
2) 通訊的安全性
3) 應用程序的安全性
4) 用戶的認證管理
其中2、3、4 是通過操作系統和Web 服務器軟件實現,而網絡節點的安全性依靠防火墻保證,我們應該首先保證網絡節點的安全性。
3.1 網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。
防火墻是在連接Internet 和Intranet 保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet 系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。
3.2 通訊的安全
在客戶端瀏覽器和電子商務WEB 服務器之間采用SSL 協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40 位加密強度,也可以考慮將加密強度增加到128 位。為在瀏覽器和服務器之間建立安全機制,SSL 首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL 鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL 鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
3.3 應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
3.4 用戶的認證管理
1) 身份認證
電子商務企業用戶身份認證可以通過服務器CA 證書與IC 卡相結合實現的。CA 證書用來認證服務器的身份,IC 卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID 號和密碼口令的身份確認機制。
2) CA 證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA 證書,它由認證授權中心(CA 中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA 中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL 安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL 鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時進行)。
3) 安全套接層SSL 協議
安全套接層SSL 協議是Netscape 公司在網絡傳輸層與應用層之間提供的一種基于RSA 和保密密鑰的用于瀏覽器與Web 服務器之間的安全連接技術。
SSL 通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,Certificate Authority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL 協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如Http、Ftp、Telnet 等)以保證應用層數據傳輸的安全性。
SSL 協議握手流程由兩個階段組成:服務器認證和用戶認證。
①服務器認證
客戶端向服務器發送一個“Hello”信息,以便開始一個新的會話連接;服務器根據客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;客戶根據收到的服務器響應信息,產生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器;服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數據進行加密來認證服務器,從而建立安全的通信通道。
②用戶認證
經認證的服務器發送一個提問給客戶,客戶則返回數字簽名后的提問和其公開密鑰,從而向服務器提供認證。SSL 協議支持各種加密算法,實現簡單,獨立于應用層協議,且被大部分瀏覽器和Web 服務器內置,便于在電子交易中應用。但SSL 是一個面向連接的協議,起初并不是為了支持電子商務而設計的,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL 協議不能協調各方面的安全傳輸和信任關系。為此,開發出了在網絡應用層中專為電子商務而設計的SET 協議。
4 安全管理
為了確保系統的安全性,除了采用上述技術手段外,還必須建立嚴格的內部安全機制。對于所有接觸系統的人員,按其職責設定其訪問系統的最小權限。按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。
建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。定期檢查日志,以便及時發現潛在的安全威脅。
對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。
5 結束語
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。
參考文獻
[1] 吳洋.電子商務安全方法研究[D].天津大學, 2006.
[2] 李艷.電子商務信息安全策略研究[J].甘肅科技, 2005,(06)
關鍵詞:電子商務;安全;技術;策略
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 20-0000-03
1 引言
隨著計算機網絡技術的快速發展,電子商務已經在各行業應用開來,其表現形式也非常豐富。比如:可以通過電腦、Internet、交易平臺,預訂機票、火車票,隨時隨地足不出戶地進行個人財務管理、股票交易,網上購物、轉帳及接收付款等等。在日常生活中,電子商務給我們帶來了無盡的便利。
但是,在我們享受電子商務給我們帶來的便捷的同時,我們也必須認識到電子商務安全的重要性。由于在電子商務交易中,交易雙方是不見面的,交易雙方缺乏面對面的溝通,我們也無法審核交易雙方的真實身份,這些就會增加電子商務交易的風險,因此,本文針對電子商務安全現狀進行簡要分析。
本文將從電子商務的概念開始,并對電子商務安全發展現狀和技術策略進行介紹。
2 電子商務的概念
電子商務是指在因特網開放的網絡環境下,在全球各地廣泛的商業活動中,基于瀏覽器/服務器的模式,在買賣雙方不見面的情況下,進行商務活動,從而能夠滿足消費者進行網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動,它是一種新型的商業運營模式.
電子商務主要是通過電子數據傳輸技術,進而開展商務活動,如企業間交易活動、在網絡上做營銷、客戶服務等,它統一了資金、信息、商流和物流四個方面。隨著網絡和Internet技術的日益成熟,真正意義上的電子商務是建立在Internet技術上的,所以也簡稱為IC。
2 電子商務安全概述及其發展現狀
2.1 電子商務安全的主要內容
電子商務安全由IT安全和商務交易安全兩部分組成。
IT安全主要由以下幾個部分組成:網絡運行環境安全、用戶信息與網上交易服務器傳遞之間的安全、網絡硬件設備安全、網絡軟件安全、數據資料安全、客戶端計算機及其他連接互聯網設備的安全等等。基于這些IT本身可能存在的安全問題,旨在保證IT安全,實施IT安全增強方案。
另一方面,商務交易安全是針對傳統商務在互聯網絡上應用時產生的各種安全問題,基于計算機網絡安全,從而保障電子商務過程的順利進行。目的在于實現電子商務的完整性、可鑒別性、保密性、不可偽造性和不可抵賴性。計算機網絡安全與電子商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。計算機網絡安全是商務交易安全的基石,如果缺少計算機網絡安全,商務交易安全就無從談起。同樣,缺少了商務交易安全的保證,即使計算機網絡本身再安全,仍然無法保證電子商務的安全進行。
2.2 電子商務安全的原則
(1)真實性、可靠性
電子商務以電子形式取代了以前紙質的形式,因此,開展電子商務的前提就是保證電子形式的貿易信息的真實性和有效性。電子商務作為貿易的一種形式,其信息的真實性和有效性將直接關系到個人、企業或國家的經濟利益和聲譽。
(2)身份的唯一
電子商務系統要建立身份唯一性認證制度,在身份合法認證時做到有法可依,雙方在網上進行交易或者數據傳送時,必須首先認證雙方身份的合法性和真實性,只有這樣,才能保證在交易發生糾紛時,雙方身份都有所證明,從而有效防止商業欺詐行為的發生。
(3)保密性
電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。由于電子商務是在開放的網絡環境上進行的,所有商業防泄密工作在電子商務過程中顯得尤為重要。
(4)完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來如何維護商業信息完整的問題。如果交易雙方數據輸入時,意外出現差錯或者有一方有欺詐行為,都有可能導致貿易各方信息不同。因此,電子商務系統必須可靠和正確地保證數據傳輸、存儲及電子商務的完整性。
(5)實名制
電子商務活動的每一方都必須實名參加,相關部門應當對各方身份、企業資質、信譽等進行嚴格的審查登記,做到有據可查。
2.3 電子商務安全發展現狀
上世紀七十年代,電子商務開始出現萌芽,當時,有一些大公司利用計算機網絡,將各個機構之間和各個商業伙伴之間的信息共享起來,這個過程就是EDI(電子數據交換),電子數據交換就成了后來電子商務的雛形,同時也是電子商務的基礎。近些年來,由于計算機網絡技術飛速發展,電子商務也迅速發展起來。
但是,目前,電子商務面臨著比較嚴峻的信息安全現狀。據權威雜志披露,從事電子商務的企業相比于普通企業,承受著更大的商業風險。其中,從事電子商務的企業更容易被黑客攻擊,感染病毒、惡意代碼的概率高出9%,被非法入侵的頻率高出10%,而且更容易被商業欺詐。
在我國,電子商務安全的現狀同樣并不樂觀。調查顯示,近年來,我國發生了200起網絡進行的電子商務經濟犯罪,帶來了上億元的經濟損失。我國網民對于網上交易,最擔心的就是網上支付交易的安全問題,超過百分之八十的網民對網上交易的安全性表示擔憂。信息安全問題已然成為阻礙網上交易的一大難題。
1995年起,我國開始發展電子商務安全產業,與此同時,電子商務安全科研、生產與應用也開始起步,迄今為止,已經實現了科研與生產從無到有,市場從小到大逐步發展起來。電子商務信息安全研究已經走過了通信保密、計算機數據保護兩個發展階段,目前正處于網絡信息安全研究階段。在現階段中,我們已逐步掌握了部分網絡安全和電子商務安全技術,研制和探索了安全操作系統、多級安全數據庫方面的技術,但掌握系統核心技術還有很大困難,所以目前還不能開發出有自主知識產權的信息產品。
截止到目前,我國電子商務安全的發展還存在以下幾點問題:
(1)安全防范意識薄弱
國內不少電子商務企業對網絡信息安全意識不強。這些企業在進行電子商務交易的時候,考慮的更多的還是自己的效益、方便、快捷,卻把交易的安全性、保密性、抗攻擊性放在了較低的位置。
(2)體系結構不健全
我國的電子商務安全一直都缺乏一個健全的體系結構,總是等到出現問題才去解決問題,從而導致問題不斷變化、層出不窮,卻缺乏有效的解決辦法。
(3)軟硬件缺乏強有力的支持
目前我國IT設施的軟件、硬件等的核心產品主要還是依靠從國外發達國家進口,市場上不少的安全措施也是照搬過來的,很多電子商務安全方面的產品都沒有通過安全認證。
(4)頻繁遭受威脅
目前我國的電子商務產業主要遭受三方面的安全威脅:
1)非人為因素造成的數據丟失;
2)人為因素造成的數據丟失;
3)黑客、病毒等的惡意攻擊和入侵。
3 電子商務安全技術及策略
3.1 電子商務安全技術架構
電子商務安全技術體系包括網絡服務層、加密技術層、安全認證層、安全協議層四個部分,它是確保電子商務交易中數據的安全性和完整性的邏輯結構。在這個四層結構中,下一層作為上一層的基石,為上一層提供技術支持;由安全控制技術實現安全策略,從而形成一個統一的整體,相互關聯、相互依存,從而實現電子商務的安全進行。
如圖1所示,即為電子商務安全技術體系架構
圖1 電子商務安全技術體系架構
(1)網絡服務層
網絡安全作為電子商務安全的基礎,涉及面很廣,如防火墻技術、網絡隱患掃描、網絡監控、及各種反黑客技術等,其中防火墻技術最為關鍵。防火墻的主要是通過加強網絡之間的訪問控制,從而使得外部網絡用戶,不能利用非法手段侵入我們需要保護的網絡。防火墻按照一定的安全策略,檢查兩個或多個網絡之間傳輸的數據包和鏈接方式,繼而決定是否允許網絡之間進行通信,而且還能監視網絡運行狀態。路由器可以實現簡單防火墻技術,而更加可靠的網絡安全控制需要專用防火墻來提供。
為了保證連接Internet和Intranet的安全,防火墻是最為有效的方法,防火墻通過有效監視網絡的通信信息,記憶通信狀態,從而作出正確的判斷,來決定是否允許訪問。如果能靈活有效地運用這些功能,制定正確的安全策略,就能就能保證Intranet系統的完整性、安全性。
(2)加密技術層
電子商務信息加密技術作為最基本的安全措施,它是一種主動的信息安全防范措施。實質就是一種交換算法,它通過置換和移位的方法,對以符號為基礎的數據進行加密,加密受密鑰的關鍵符號串控制。加密技術分為對稱加密和非對稱加密兩類。
1)對稱加密。對稱加密包括兩種情況:1.加密系統的加密密鑰和解密密鑰相同。2.如果不相同,但是由其中任意一個可以很容易的推導出另一個。現在常用的對稱加密算法有DES、RC2、RC4等,DES算法被廣泛采用,它由美國國家標準局提出的,被ISO作為數據加密的標準。
2)非對稱加密。非對稱加密只包括一種情況:加密系統的加密密鑰和解密密鑰不相同,并且不管是由加密密鑰推導出解密密鑰或者由解密密鑰推導出加密密鑰,都是計算不出來的。RSA算法是非對稱加密領域最著名的算法,該算法是非對稱數據加密的標準算法。
(3)安全認證層
為了確保電子商務交易安全,光有加密技術是不夠的,還必須依靠安全認證層中的身份認證技術。
認證技術通過用戶的客戶主機IP地址進行認證,在認證技術中,系統管理員授予不同IP地址的授權用戶不同的訪問權限。認證技術主要有身份認證和通過電子認證中心的認證。身份認證是主要用于判斷交易雙方的真實身份,而目前這也是電子商務安全中急需加強的重要技術。身份認證主要有三種方式:用戶口令、智能卡、生物學特征認證。
(4)安全協議層
由于電子商務需要通過Internet完成在線支付,所有我們必須安全傳輸支付信息、確認交易方的真實身份、完整進行支付過程,這就需要我們使用安全協議來保證。不同交易協議的復雜性、開銷、安全性各不相同。
目前國際上比較有代表性的協議是SSL協議和SET協議。
1)SSL協議。SSL(安全槽層)向客戶/服務器應用程序提供客戶端和服務器的認證服務、加密、數據完整等安全措施,它在應用程序進行數據交換前,通過交換SSL初始握手信息來實現有關安全特性的審查。
2)SET協議。SET(安全電子交易規范)向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。SET增加了對商家身份的認證,同時還保留對客戶信用卡認證。
3.2 電子商務安全策略
(1)建立健全的電子商務的法律制度,并強化執法力度
隨著電子商務的發展,建立了很多電子商務網站,進而許多網絡交易中的法律問題就凸顯出來,這樣一來,解決網絡交易的安全問題就需要遵循一個共同的法律法規,而目前我們的電子商務法律制度還不健全,還需要建立必要的健全的法律框架。另一方面,對那些網絡交易中的違法犯罪行為,我們一定要加強執法力度,從而達到規范電子商務交易的目的
(2)建立完善的信用體系,提高電子商務的安全意識
由于電子商務的虛擬性、非接觸性,信用在電子商務中顯得尤為重要。電子商務對信用體系的需求最強,電子商務如果缺少了信用體系的支撐,就毫無安全可言,風險度極高。因此,信用體系是電子商務的規范與發展的基礎。然而,我國的電子商務的信用管理體系還比較落后,社會整體信用制度還有待健全,在交易過程中經常會發生不講信用甚至欺詐行為,因此,為了促進電子商務的良性發展,有必要建立完善的信用體系。另一方面,我們也需要加強電子商務安全意識,不能總把利益放在第一位,要引起對安全性的足夠重視。
(3)用加密技術、安全認證、交易協議等保護交易信息的安全
積極借鑒國外先進經驗和技術,盡可能建立一套完整的電子商務安全體系;采用不同的加解密算法完善和提高電子商務交易安全,定期檢查更換交易密鑰。
(4)加強互聯網絡的安全性,防止信息泄漏
最常用的網絡安全保護手段是防火墻技術。電子商務內外網和互聯網之間最好設置專用防火墻,這樣不僅可以提升內部局域網絡的速度,同時還能阻止惡意病毒和木馬攻擊內部網絡。
(5)加強電子商務的安全管理,構建良好的電子商務環境
目前,我國電子商務發展的環境還存在不少虛擬環境的特有問題,如領頭企業的資源整合能力有待提升,電子商務企業散、小,電子商務支付、物流等支撐服務能力有待于加強。電子商務交易的管理也需要進一步加強。此外,為了構建良好的電子商務環境,還需要增加第三方支付平臺和物流的支持。
4 結束語
基于目前我國的電子商務安全發展還處于初步階段,還有許多問題需要解決,所以,我們要對電子商務安全給予足夠的重視,積極借鑒國外的先進技術和經驗,在享受電子商務給我們帶來的便利的同時,也做到可以放心交易。
參考文獻:
[1]加里P·施奈德.電子商務[M].北京:機械工業出版社,2008.
[2]張愛菊.電子商務安全技術[M].北京:清華大學出版社,2006.
[3]李振汕.電子商務安全管理體系的構建[J].計算機安全,2010,17(10):65-70.
[4]王建宏,李廣振,閔旭光.電子商務安全技術研究[J].中國商貿,2009,16(12):16-19.
[5]賈樹良,樊鑫國.電子商務安全問題分析[J].遼寧工程技術大學學報,2009,25(3):83-85.
[6]柳艷茹.淺談電子商務的安全問題[J].赤峰學院學報,2012,28(8):51-53.
[7]王改香.淺談電子商務安全策略[J].電腦知識與技術,2008,4(3):559-560.
[8]李巖,宋朝.電子商務安全現狀及對策研究[J].經濟研究,2011,9(6):59-62.
[9]許寧寧.電子商務安全的現狀與趨勢[J].中國電子商務,2010,13(8):91-93.
[10]張建兵.電子商務安全問題解析[J].現代商貿工業,2009,8(21):123-126.
[11]趙全.網絡安全與電子商務[M].北京:清華大學出版社,2005.
[12]譚遜,王學芳,譚翊.淺談我國電子商務安全現狀[J].科技資訊,2007,10(11):140-143.
[13]http://.cn/cj/cj-xfsh/news/2009/12-03/1997652.shtml.中國經濟時報,2009,12,3.
[14]唐作莉.電子商務安全技術研究[D].貴州大學碩士研究生學位論文,2008.
[15]張慶麗.電子商務安全策略研究[D].河南大學碩士研究生學位論文,2012.
[16]關鐵軍.電子商務安全策略研究[D].北京郵電大學碩士研究生學位論文,2008.
關鍵詞:電子商務 信息安全 安全技術
伴隨經濟的迅猛發展,電子商務成為當今世界商務活動的新模式。要在國際競爭中贏得優勢,必須保證電子商務中信息交流的安全。
一、電子商務的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據,獲取機密信息或通過對信息流量、流向、通信頻度和長度分析,推測出有用信息。2.信息的篡改:當攻擊者熟悉網絡信息格式后,通過技術手段對網絡傳輸信息中途修改并發往目的地,破壞信息完整性。3.信息假冒:當攻擊者掌握網絡信息數據規律或解密商務信息后,假冒合法用戶或發送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發信者事后否認曾發送信息、收信者事后否認曾收到消息、購買者做了定貨單不承認等。
二、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:
1.信息保密性:維護商業機密是電子商務推廣應用的重要保障。由于建立在開放網絡環境中,要預防非法信息存取和信息傳輸中被竊現象發生。2.信息完整性:貿易各方信息的完整性是電子商務應用的基礎,影響到交易和經營策略。要保證網絡上傳輸的信息不被篡改,預防對信息隨意生成、修改和刪除,防止數據傳送中信息的失和重復并保證信息傳送次序的統一。3.信息有效性:保證信息有效性是開展電子商務前提,關系到企業或國家的經濟利益。對網絡故障、應用程序錯誤、硬件故障及計算機病毒的潛在威脅控制和預防,以保證貿易數據在確定時刻和地點有效。4.信息可靠性:確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵。為防止計算機失效、程序錯誤、系統軟件錯誤等威脅,通過控制與預防確保系統安全可靠。
三、信息安全技術
1.防火墻技術。防火墻在網絡間建立安全屏障,根據指定策略對數據過濾、分析和審計,并對各種攻擊提供防范。安全策略有兩條:一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流,再審查要求通過信息,符合條件就通過;二是“凡是未被禁止就是允許”。防火墻先轉發所有信息,然后逐項剔除有害內容。
防火墻技術主要有:(1)包過濾技術:在網絡層根據系統設定的安全策略決定是否讓數據包通過,核心是安全策略即過濾算法設計。(2)服務技術:提供應用層服務控制,起到外部網絡向內部網絡申請服務時中間轉接作用。服務還用于實施較強數據流監控、過濾、記錄等功能。(3)狀態監控技術:在網絡層完成所有必要的包過濾與網絡服務防火墻功能。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻,所用主機稱為堡壘主機,提供服務。(5)審計技術:通過對網絡上發生的訪問進程記錄和產生日志,對日志統計分析,對資源使用情況分析,對異常現象跟蹤監視。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮,再通過外部網絡傳輸到目的端解壓縮和解密。 2.加密技術。為保證數據和交易安全,確認交易雙方的真實身份,電子商務采用加密技術。數據加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲:貿易方甲用另一把專用密鑰對加密信息解密。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方,保證傳輸信息的保密和安全。(2)數字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數字指紋,有固定長度且不同明文摘要成密文結果不同,而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。(3)數字簽名:將數字摘要、公用密鑰算法兩種加密方法結合。在書面文件上簽名是確認文件的手段。簽名作用有兩點:一是因為自己簽名難以否認,從而確認文件已簽署;二是因為簽名不易仿冒,從而確定文件為真。(4)數字時間戳: 電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容,數字時間戳服務能提供電子文件發表時間的安全保護。
3.認證技術。安全認證的作用是進行信息認證。信息認證是確認信息發送者的身份,驗證信息完整性,確認信息在傳送或存儲過程中未被篡改。(1)數字證書:也叫數字憑證、數字標識,用電子手段證實用戶身份及對網絡資源的訪問權限,可控制被查看的數據庫,提高總體保密性。交易支付過程中,參與各方必須利用認證中心簽發的數字證書證明身份。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心。無論是數字時間戳服務還是數字證書發放,都需要有權威性和公正性的第三方完成。CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請、簽發及對數字證書管理。
4.防病毒技術。(1)預防病毒技術,通過自身常駐系統內存,優先獲取系統控制權,監視系統中是否有病毒,阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術,如自身校驗、關鍵字、文件長度變化。(3)消除病毒技術,通過對計算機病毒分析,開發出具有殺除病毒程序并恢復原文件的軟件。另外要認真執行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發,使計算機始終處于良好工作狀態。
四、結語
信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術,提高電子商務系統的安全性和可靠性。但電子商務的安全運行,僅從技術角度防范遠遠不夠,還必須完善電子商務立法,以規范存在的各類問題,引導和促進我國電子商務快速健康發展。
參考文獻:
[1]譚衛:電子商務中安全技術的研究.哈爾濱工業大學,2006
析得出云計算安全方面所面臨的難題,針對這些問題提出了解決安全問題。
[關鍵詞]云計算;計算平臺;電子商務; 安全
中圖分類號:F724.6 文獻標識碼:A 文章編號:1009-914X(2015)27-0060-01
一、云計算的概念和特點
(一)云計算的內涵。云計算是網格計算、分布式計算、虛擬化、并行計算、效用計算、負載均衡、網絡存儲等傳統計算機技術和網絡技術發展融合的產物。云計算的目的是通過網絡把多個低成本的計算實體整合成一個具有強大“性價比”的計算機應用系統,并借助SaaS、PaaS、IaaS、MSP等先進的商業模式把這強大的計算能力分布到終端用戶手中。云計算的一個核心理念就是通過不斷提高“云”的處理能力,進而減少用戶終端的處理負擔,最終使用戶終端簡化成一個單純的輸入輸出設備,并能按需享受“云”的強大計算處理能力。云計算的核心思想就是將大量用網絡連接的計算資源統一管理、調度及分配,構成一個計算資源“池”向用戶按需服務。
(二)云計算的特點。云計算是一種商業計算模型,它將計算任務分布在大量計算機構成的資源池上,使各種應用系統能夠根據需要獲取計算力、存儲空間和信息服務;云計算也是通過網絡按需提供可動態伸縮的廉價計算服務。“云”中的資源在使用者看來是可以無限擴展的,并且可以隨時獲取,按需使用,隨時擴展,按使用付費。這種特性經常被稱為像水電一樣使用IT基礎設施。云計算是并行計算、分布式計算和網格計算的發展,或者說是這些計算機科學概念的商業實現。云計算是虛擬化、公用計算、基礎設施即服務、平臺即服務、軟件即服務等概念混合演進并躍升的結果,其特點如下:
1、數據存儲安全。云計算提供了最可靠、最安全的數據存儲中心,用戶不用再擔心數據丟失、病毒入侵等麻煩。當你的文檔保存在類似Google Docs的網絡服務上,當你把自己的照片上傳到類似Google Picasa Web的網絡相冊里,你就再也不用擔心數據的丟失或損壞。因為在“云”的另一端,有全世界最專業的團隊來幫你管理信息,有全世界最先進的數據中心來幫你保存數據。
2、用戶使用方便。云計算對用戶端的設備要求低,但使用起來方便。你可以在瀏覽器中直接編輯存儲在“云”的另一端的文檔,你可以隨時與相關聯系人分享信息,再也不用擔心你的軟件是否是最新版本,再也不用為軟件或文檔染上病毒而發愁。因為在“云”的另一端,有專業的計算機專業人員幫你維護硬件,幫你安裝和升級軟件,幫你防范病毒和各類網絡攻擊,幫你做你以前在個人電腦上所做的一切。
3、數據存儲力強。云計算為我們使用網絡提供了幾乎無限多的個人電腦或其他電子設備不可能提供無限量的存儲空間和計算能力,但在“云”的另一端,由數千臺、數萬臺甚至更多服務器組成的龐大集群卻可以輕易地做到這一點。個人和單個設備的能力是有限的,但云計算的潛力卻幾乎是無限的。
二、基于云計算平臺的電子商務安全策略分析
(一)信息安全問題是基于云計算平臺的電子商務安全策略分析的首要問題。由于電子商務交易是在開放、共享的互聯網環境下進行的,這就要求:提供電子商務服務的企業平臺一定要穩定可靠,能提供安全的信息服務。這首先對企業的硬件基礎設施建設提出了一項難題。硬件設施的老化、物理損壞、網絡硬件故障等,都可能導致電子商務系統不能正常開展工作。從企業尤其是中小企業的角度來考慮,自身硬件平臺的資金投入度,數據的備份冗余度等指標,遠不能與大企業同日而語,因此如果轉而去選擇實力強大的云計算服務,就可揚長避短,把有限的資金投入到核心商務運作中。
(二)軟件平臺的系列邏輯工作是基于云計算平臺的電子商務安全策略分析的應用型問題。因為任何軟件平臺的正常和非正常的中斷,如軟件邏輯發生錯誤、計算機病毒爆發等因素,也會使得電子商務貿易數據發生丟失,造成巨大的經濟損失。而云計算的數據存儲具有高度冗余化的性能,如果當前出現了對數據的誤操作,要想恢復時,則有眾多冗余的原始數據供你恢復。軟件的業務邏輯也可在高度靈活的云計算平臺下被快速重新組織,各種應用也可隨之高效恢復。
(三)用戶終端的安全是基于云計算平臺的電子商務安全策略分析的重要問題。云計算技術對于用戶終端的保護也提供了有力的支持。對于傳統反病毒廠商而言,云計算技術的引入可以極大地提升其對病毒樣本的收集能力,減少威脅的響應時間。其強大的數據運算與同步調度能力,可以極大地提升安全公司對新威脅的響應速度。目前,國內的瑞星、360、金山安全聯手微軟MSN及時推出的Messenger保護盾等都已打出了“云安全”的旗幟,在惡意代碼收集及應急響應方面充分利用了云計算的顯著特點。
三、基于云計算平臺的電子商務安全策略研究及應用
(一)基于云計算平臺解決好電子商務中的四大安全隱患。由于在互聯網設計之初,只考慮方便性、開放性,使得互聯網絡極易受到黑客的攻擊或有組織的群體的入侵,使得網絡信息系統遭到破壞,信息泄露。因此,電子商務中的安全隱患大致有四種:1、信息的截獲和竊取;2、信息的篡改;3、信息的假冒;4、交易抵賴
(二)基于云計算平臺解決好電子商務中的信息及數據的安全存儲問題。當自然災害、硬件設施遭到損壞和故障等情況發生,云計算服務供應商應該采用更加安全、有效的存儲技術。一旦主設備遭到損壞或發生故障,馬上切換到另外一套鏡像設備。同時,電子商務企業也需要定期將重要的數據進行備份。
(三)基于云計算平臺解決好電子商務中的云計算服務供應商的科學選擇問題。在構建基于云計算模式的電子商務平臺之前,電子商務企業應根據企業自身需求來選擇規模較大、品牌較好的云計算服務供應商,并詳細詢問數據存放地,確認在發生云計算服務供應商終止服務或被其他公司收購等情況下,自己的數據會不會受到影響,如何拿回自己的數據,以及拿回的數據是否能導入替代的應用程序等一系列問題。
(四)基于云計算平臺促使電子商務相關法律法規及標準的完善
1、相關法律法規的完善。由于云計算的涉及面很廣,需要一個全球法律協議來保障電子商務企業和云計算供應商的利益。該協議的內容應詳細地確定服務水平的監控和測量、用戶和云計算供應商的職責和責任、災難的恢復和補償等一系列問題,這樣有利于云計算服務供應商提供更好的服務。
2、云計算公共標準的制定。到目前為止,包括Google、IBM、微軟、亞馬遜在內的各個云計算供應商都有一套自己的標準,彼此互不兼容。為了云計算的健康發展,就必須要聯合各個云計算相關的組織和企業制定出正式的、開放的云計算公共標準。
綜上所述,云計算是以公開的標準和服務為基礎,以互聯網為中心,提供安全、快速、便捷的數據存儲和網絡計算服務,讓互聯網這片“云”成為每一個網民的數據中心和計算中心。其應用將積極地改進電子商務的服務方式和功能,極大地提高電子商務企業的核心競爭力,但同時也給電子商務企業帶來了新的挑戰。同時,需要基于云計算平臺促使電子商務相關法律法規及標準的完善,用法律制度、管理制度和誠信制度來推動我國電子商務行業的健康、持續發展。
參考文獻
關鍵詞:電子交易;信息安全;網絡技術
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2014)02-0428-02
電子商務其中包含了信息流、資金流以及物流等,在我國的經濟大發展中是一個熱點問題,但是我們國家電子商務在發展過程中還存在這基礎設施不足,電子支付平臺安全性得不到保障等一系列的問題,嚴重地影響了電子商務的發展。電子商務的迅猛發展,已經是人們進行電子商務活動的主要業務平臺和新的商務交易模式。和傳統的線下交易不同,線上的交易面臨的安全威脅各種各樣,比如網絡黑客、釣魚木馬、病毒等均來自Internet的攻擊。在嚴重復雜的情況下時候還有可能會造成交易雙方的經濟利益受到損失。這說明,數據的安全問題是目前制約這我國電子商務快速發展的重要原因之一。建立一個安全、方便、快捷的電子商務應用的網絡平臺,確保在整個交易活動過程中,貿易雙方信息的絕對安全,使得整個基于Internet的線上交易和傳統的線下交易一樣可靠和安全,已經成為人們十分關注的一個技術問題。
1 電子商務交易的安全分析
1.1 我國電子商務目前面臨的安全威脅
這些年來的影響越來越大,由于電子商務的交易活動是一個在開放的虛擬的線上進行,最容易會受到來自第三方和黑客的攻擊,安全方面發生率較高的威脅事件普遍有以下幾個:信息泄漏、信息破壞、不進行身份識別、黑客。
1)攻擊者利用技術手段通過截獲工具截獲網絡上機密、加密的數據并通過分析軟件分析出有用的數據,交易的雙方的信息被第三方盜竊,這樣交易的其中一方的文件會被攻擊者所使用。木馬常常被潛伏于計算機系統中,其具有的隱蔽性、指令控制方便等特點。一般是通過指令控制為主,很多的數客高手會在網絡入侵的時候就已經將木馬植入。
2)交易信息在傳輸過程中被他人非法修改,刪除使信息失去了真實性。主要利用互聯網上計算機系統的漏洞入侵系統,計算機病毒傳播的速度異常快,甚至幾小時傳遍整個互聯網。
3)假如對真實身份進行有效的識別,攻擊者就有可能假冒交易的期中一方介入到整個交易的過程中,來壞信譽、破壞交易,最終騙取到錢財。
4)往往黑客會利用自己扎實的計算機專業技術,對Internet上的一些信息數據進行偽造和修改,有可能會造成嚴重的惡劣事件以及經濟方面的損失。分布式的拒絕服務攻擊就是目前攻擊者們最喜歡和最經常采用而且是比較難防范的攻擊手段之一,攻擊輕就會出現網絡擁塞,如果將其與病毒結合起來,潛在的損失、威脅造成的后果將是非常嚴峻的。
1.2 目前電子商務網絡環境對信息安全的要求
由于目前網絡環境對信息安全的威脅,所以對電子商務平臺網絡環境的安全要求:OS的可靠性、電子商務交易的真實性、資料的完整性、資料的安全性、交易的不可抵賴性。
1)操作系統的可靠性,是為了防止傳輸的錯誤,計算機的硬件的故障,以及計算機病毒存在的潛在威脅,通過預防、控制等手段來確保系統的安全可靠。
2) 電子商務交易身份的真實性,是電商的買賣雙方都不在同一個地方,交易可以在支付完成前對方身份的可靠性來進行確認,賣方會考慮在履行約定之后是否能受到買方的貨款,買方要考慮在線支付了貨款后能不能保質受到商品。
3) 資料的完整性是網上傳輸的資料信息不會被篡改。但是在信息的傳輸過程中,往往會有意外欺騙的情況發生,數據在網絡傳輸過程中可能會發生丟失等有可能會使交易雙方收到的信息不一樣,直接影響交易結果,確保網絡中傳輸的信息完整性是目前電子商務的應用最基本的條件之一。
4) 數據的安全性,也就是線上交易的過程中數據在網絡上的傳輸安全性,保必須證信息不會泄露給非授權方,不會被篡改和竊取。必須確保只有合法的用戶才可以看到最終真實的數據。
5) 線上交易的不可抵賴性,保證電子商務交易雙方不能否認自己已經發送了的信息,在這同時,信息的接受方也不能否認已經接收到了信息,交易一旦已經形成,原發送方就不能抵賴所發信息,接收方也不能否認已經接收到發送方的信息了。這就要求電子交易的網絡通信過程中各個環節的都不能被否認,都沒有辦法推脫其義務和責任。
2 目前電子商務主要的安全技術
2.1 網絡環境的安全技術
計算機網絡環境安全涉及到的技術是非常多的,可以在網絡中使用虛擬專用網技術(VPN)、漏洞的檢測技術、防火墻火墻技術和操作系統本身的安全功能技術。網絡防火墻技術是實際上就是一種防止外網的非法用戶入利用技術手段入侵訪問內部網絡的資源,起到保護內部網絡操作環境安全的特殊網絡互聯設備。它采用的方法就是按照各種安全策略具體的部署要求,對網絡上沒有授權的訪問用戶的數據進行有效屏蔽和修改,確保內部網絡系統和用戶數據的安全。目前的防火墻技術有服務、包過濾等。漏洞檢測主要是依據先前設置好的安全策略對數據進行有效的分析和審計。虛擬專用網(VPN)就是利用隧道的加密技術,能夠使數據在Interne中傳播的安全。操作系統本身也有很多安全風險,系統的漏洞要及時查補,防止木馬和病毒在網上惡意傳播。
2.2 數據加密技術
電子商務的安全措施之一就是對數據進行有效加密,網絡中數據的安全主要依賴于密碼技術來解決。數據加密就是對在Internet中正在傳輸中的數據流根據某種加密算法進行有效加密,就目前而言,對數據進行加密常用的是對稱密鑰加密技術、非對稱密鑰加密技術。對稱加密實際上就是加密或解密都是用同一個相同密鑰,對稱密鑰的加技術的安全性主要是依賴于密鑰,如果把密鑰泄露出去了,這也就說明所有人都能對數據進行加密或者解密。其優點是使用比較簡單,加密的速度也是很快的比較適用對大量的數據加密;缺點是在傳輸的過程中不能保證密鑰的安全,目前常用的有IBM公司的DES算法。非對稱加密技術也叫公開密鑰加密技術,其將密鑰分為公鑰、私鑰,兩者形成了一個密鑰對,將公鑰對外界開放,私鑰則通常由者自己本人保存著。目前常用的非對稱加密算法主要為RSA和DSS等等。
2.3 交易過程中的認證技術
對網絡中交易數據的基本加密是不能滿易絕對安全的,還需要對用戶信息進一步的識別、認證。認證技術是電子商務的不可缺少的重要技術手段,其主要的目的就是用來識別和認證交易雙方身份的真實性,防止被第三者通過技術手段冒名頂替。其主要技術手段包括了數字簽名、數字摘要、數字時間戳、數字證書等。通過數字簽名能夠解決否認、偽造、篡改、和冒充等問題,數字簽名算法有:Hash簽名、DSS簽名、RSA簽名等。數字摘要則是采用單向的Hash函數來對傳輸文件的中若干個重要元素進行某種變換運算,最終得到一定長度的摘要碼,此方法解決了交易信息在電子商務中的完整性。利用數字證書技術來證明一個用戶的身份以及用戶對網絡的使用權限,目前是被廣泛采用的一項技術之一。
3 安全策略
在網絡安全技術防范實施的同時,首先要保證電腦自己本身的安全,可以對補丁定時更新,這樣可以使系統漏洞減少。按時對Internet環境進行掃描并分析,得出分析報告。這樣來可以在黑客和病毒攻擊前就進行有效的預防,可以將損失降低到最小。再次,還要在Internet上安裝入侵檢測系統和防火墻,來對網絡上設置好全方位的安全策略,對信息進行充分有效的過濾。隨著黑客日趨多樣化的攻擊手法和攻擊方法,單純靠防火墻技術是不能滿足對信息安全的需求,還是需要在防火墻的基礎上建立一個入侵檢測系統來對Internet信息安全和計算機系統的運行狀況進行有效監測,盡可能早地發現來自網絡的各種攻擊行為。最后,要加強數據備份,并且還要留有備份鏈路,通過備份工具來應對攻擊者的攻擊。
在Internet上信息的安全保證方面:可以使用數字證書技術和SSL安全通信協議,對于交易相對簡單的B2C,就采用相對簡單易行的SSL單向認證技術來實現。對于在信息安全上要求嚴格的B2B,就要通過身份認證技術來進行嚴格安全的管理;對于涉及到商業機密的,要對數據進行加密后再在網絡上傳輸;對于保證不可抵賴性,可以用數字簽名技術來保證合同和交易的完整性。交易要建立好保密制度,并且要求要嚴格。
4 結論
總之,電子商務安全是個非常復雜的問題,它的保障必須是多層次的,需要網絡安全技術的不斷進步,但僅僅靠通過技術手段來防范還是遠遠不夠的,同時也需要管理上的會有進步,還需要從法律法規和國家道德層面等方面入手,來努力推動和促進我國電子商務的有序健康快速發展。
參考文獻:
[關鍵詞]電子商務系統評估
一、電子商務和電子商務系統
1.電子商務。電子商務(EC)是英文“ElectronicCommerce”的中譯文。電子商務指的是通過簡單、快捷、低成本的電子通信方式,買賣雙方不謀面地進行的各種商務活動。由于電子商務擁有巨大的商機,從傳統產業到專業網站都對開展電子商務有著十分濃厚的興趣,電子商務熱潮已經在全世界范圍內興起。電子商務內容包括兩個方面:一是電子方式;二是商務活動。
2.電子商務系統。電子商務系統涉及企業的各個方面,是一個綜合的系統,電子商務系統主要有以下幾個部分組成:(1)電子商務基礎平臺。包括負荷均衡、連接/傳輸管理、網站管理、數據管理、事務管理和安全管理等部分。(2)企業內部信息系統。包括企業內部MIS、EDP和DDS等子系統。(3)電子商務服務平臺。包括支付網關接口、客戶關系管理、內容管理、認證中心接口、搜索引擎和商務智能工具等。(4)電子商務應用系統。電子商務應用系統以實現企業的商務目的為目標,使用各種與Internet有關的技術手段,在Web上建立起自己的電子商務應用系統,是電子商務系統的核心。電子商務應用系統是應用開發人員根據企業的特定應用背景和需要而開發出來的,對企業的電子商務活動提供具體的支持。(5)電子商務應用平臺。電子商務應用平臺直接面對電子商務系統的最終用戶,建立在電子商務系統的頂層。電子商務系統平臺以Web服務器為核心。作用一是作為與用戶的接口,接受用戶的各種請求,并將用戶的請求傳遞給應用系統;二是將應用系統的結果以不同的形式表達,將其提供給不同的用戶形象終端(個人電腦、個人數字助理、掌上電腦、無線移動通訊設備等)。(6)安全保障環境。主要包括安全體系、安全策略和安全措施等。安全策略負責電子商務系統的安全提高,是企業保障電子商務系統安全的指導原則;安全體系利用各種安全手段設置安全防線、防范各種非法訪問和攻擊,安全體系需要各種必需的設備和關鍵技術。
二、電子商務系統評估關注的主要因素
1.市場關注程度:是分析企業目前乃至將來經營情況的基礎性數據。
2.經營情況分析:分析成本、盈利水平和投資回報是否達到規劃的目標。
3.市場份額和推廣能力:市場份額的大小和推廣能力的強弱是企業經營發展的重要數據。
4.系統的安全性評估:系統的安全性是電子商務企業生存和發展的基礎,系統安全的高低是客戶選擇企業的重要依據之一。
三、電子商務系統評估的原則
1.科學性:根據系統評估的目標,科學地制定系統評估方案和適用方式,以使系統評估結果科學合理。
2.客觀性:要以詳實的數據為依據進行系統評估,預測、推理和邏輯判斷應當建立在現實的基礎上。
3.獨立性:系統評估機構和評估人員必須始終堅持獨立的第三方原則,不能與被評估的電子商務系統有任何利益關系,要不受外界任何影響和干擾。
四、電子商務系統的評估指標
1.技術性評估指標。電子商務系統評估的技術性指標主要有以下幾項:(1)電子商務系統的設計評估:對其內容的豐富性和創意進行評估。(2)電子商務系統的技術應用評估:主要評估其新技術應用的多少,以及技術應用是否合理。(3)電子商務系統的安全性評估:主要評估其能否保證電子商務的安全。(4)電子商務系統的可操作性評估:主要評估其操作是否簡單、方便和快速。
2.經濟性評估指標。電子商務系統評估的經濟性指標主要包括流動比率、速動比率、營業周期、存貨周轉天數、應收賬款周轉天數、總資產周轉率、流動資產周轉率、資產負債率、銷售凈利率和資產凈利率等指標。經濟評估最能直接反映電子商務系統給企業帶來的經濟效益。
3.社會性評估指標。電子商務社會性評估指標主要包括注冊量、點擊率、訪問量、客戶的忠誠度、實際訪問量、日均訪問客流量、服務質量統計分析、日人均瀏覽時間等。
五、電子商務系統評估的主要方式
電子商務系統的評估是一項系統工程,需要專業知識和技術作為支持,目前電子商務系統評估的主要方式有以下幾種:
1.委托國內外權威專業評估機構進行評估。國內外的一些權威專業評估機構不但具有比較先進的評估方法和設備、而且擁有一支具有豐富評估經驗的專業評估人員隊伍,他們能夠站在比較公正的立場來進行電子商務系統的評估,得出比較客觀、公正的評估結果,但是評估費用往往比較高。
2.權威機構網站評比活動。國內外諸如中國互聯網絡信息中心(CNNIC)的一些權威網站管理機構,會定期不定期地進行網站經營狀況的統計和評比。
3.客戶評估。客戶評估是針對客戶對企業電子商務系統的滿意情況的定性評估,客戶評估采取向客戶發送包括所需評價項目的網上調查表,以有獎的形式收集客戶的意見。然后由管理人員自己對獲得的反饋信息進行統計分析。客戶的評價一般是比較真實可信并且也是很全面的。
4.自我評估。自我評估是指企業自己組織進行自我評估或者利用專業評估機構提供的評估系統進行的自我評估。自我評估與委托權威專業機構進行評估相比,自我評估有保密性好、成本較低和使用方便等優點;但是使用評估系統進行評估也存在適應性差的不足。
參考文獻:
[1]趙乃真:電子商務萬事通.北京:人民郵電出版社,2001.4
[2]鐘強章建新:電子商務概論.北京:清華大學出版社,2003.7
