内容摘要:电子商务是指通过电子化的手段进行的商务活动,主要通过信息流、资金流、物流这“三流”来实现。安全是电子商务面临的一大问题。目前,电子商务在我国还处于起步、发展阶段,在这一阶段中,面对安全问题的挑战是不可避免的。由此也出现了很多的防范手段。
一、 信息流
由于Internet具有开放性、共享性的特点,致使电子商务面临信息流面临极大的风险。电子商务信息流的安全标志包括信息的保密性、交易各方的身份认证、信息的完整性、交易内容的不可否认性、信息系统的可用性、信息的访问控制等,涵盖网络系统安全、信息传递过程中的安全、信息储存的完全等诸多方面。涉及计算机系统和通信网络软硬件技术、加密技术、数字认证技术、生物测定学技术等专业知识。
1. 电子商务信息流面对的安全威胁
电子商务信息流面临的主要风险挑战主要来自于计算机病毒、蠕虫病毒、黑客攻击、特洛伊木马以及管理上的漏洞。
2. 电子商务信息流安全问题的防范技术
1) 加密技术
加密技术由来已久,发展至今,已产生多种加密技术。其主要有传统的密码技术、对称加密算法、非对称加密算法等。其中对称加密算法的代表是DES 算法,其具有加密速度快的特点,但是安全确认比较困难;而非对称加密算法的代表则是RSA ,其具有安全确认容易的特点,但是加密速度却慢于DES。现在通常的做法是DES和RSA的结合,既实现了高效加密,又实现了可靠传递。两种算法的互补结合得天衣无缝。
2) 数字签名和数字证书
所谓的数字签名就是信息发送者先给自己将要发送的正文内容做一个数字摘要,然后用自己的私钥给这个数字摘要加密,这个加密以后的数字摘要就是数字签名。通常还要加上时间标记(称作数字时间戳),一般由第三方公正机构生成。通过电子签名和数字证书来确认互联网上信息的真实性是一个方便快捷的手段。
3) 安全套阶层协议协议(SST)
安全套阶层协议是位于传输层协议和应用层协议之间的对话层。为上层应用提供数据安全传输保护。其优势是它独立于应用层协议,与上层协议无关。实现通信的保密性和身份认证。这一技术在资金流的安全技术方面还会具体介绍。
4) 安全超文本传输协议(S-HTTP)。
安全超文本传输协议主要依靠密钥的加密以此保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了补充,对报文的安全性有所加强,这一技术基于SSL技术。这一协议为互联网应用提供了完整性、可鉴别性、不可抵赖性以及机密性等安全措施。
5) 安全交易技术协议(STT)
安全交易技术(STT)协议通过将认证与解密在浏览器中分离开这一途径,来提高安全控制的能力。
6) 生物测定学技术
生物测定学技术是一种传统而又新颖的安全技术,其发展经过了一段时间,但是随着科技的进步,其测定方式也在不断地创新和进步。现阶段,这一技术主要有5种测定方式。分别是指纹识别、视网膜识别、虹膜识别、面部特征识别、语音识别。
二、 资金流
电子商务是一种商务活动的形式,其必定会涉及到资金的收支。而商务活动最根本的目的就是赚取利润。电子商务作为一种较为特殊的商务活动,其资金流的安全性相对于其他的商务活动形式来说存在相对较高的风险。电子商务的付款方式多种多样,有货到付款、银行转账、电子支付等途径。其安全性包括六大层面:隐私性、机密性、身份识别性、完整性、不可否认性、可取得性。以下介绍主要以电子支付为主。
1. 电子商务资金流面临的安全威胁
电子商务的资金流主要以电子支付为主,其风险也在电子商务的支付方式中是最高的。电子支付主要分为:电子货币、银行卡电子支付系统、电子现金和电子钱包、电子支票、智能卡、电子商务资金流面临的主要风险大体上与信息流相同。主以病毒、特洛伊木马、黑客攻击为主。
2. 电子商务信息流安全问题的防范技术
1) 安全套接层协议
安全套接层协议(SSL)的主要作用是提高应用程序之间的数据的安全系数。它主要提供三方面的服务:
(一) 保证用户和服务器的合法性
表现为:用户与服务器之间能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器一样,都有各自不同的识别号,这一编号由公开密钥编排。安全套接层协议要求在握手交换数据中作数字认证,以此来验证用户,确保用户的合法性。
(二) 加密数据以隐藏被传递的数据。
安全套接层协议采用的加密技术有对称密钥,也有公开密钥。在客户机和服务器进行交换数据之前,先交换SSL初始握手信息。SSL握手信息中包含各种加密技术,以此来保证其机密性与数据的完整性。
(三) 维护数据的完整性
安全套接层协议采用Hash函数 和机密共享的方法来提供完整的信息服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。
2) 安全电子交易协议
SET(安全电子交易)是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,包括保证致富信息的加密和传输,支付信息的完整性检验、商户及持卡人的身份验证等功能。这一协议的技术规范包括:加密算法的应用,证书信息与对象格式,购买信息和对格式,认可信息与对象格式。
(一) SET安全协议的主要对象:
(1) 消费者
消费者通过计算机与商家交流,并由发卡机构颁发的付款卡进行结算。
(2) 发卡机构
向顾客发行信用卡的金融机构
(3) 商家
提供商品或服务,具备信用卡支付的条件。
(4) 收款银行
在线交易的商家开立账户的银行,对持卡人和商家身份进行认证,处理交易金额的支付与转账。
(5) 支付网关
将Internet上的传输数据转换为金融机构内部网络数据的备份,处理商家支付信息和顾客的支付指令。
(6) 认证中心
为发卡机构、持卡人、商家和支付网关签发数字证书,并提供在线认证服务。
(二) SET协议要达到五个目标:
(一) 确保参与者信息的独立;
(二) 确保信息在互联网上的传输安全,防止数据被黑客等人窃取;
(三) 解决多方认证问题;
(四) 确保网上交易的实时性,所有的支付过程都在线进行;
(五) 效仿BDZ贸易的形式,规范协议和消息格式,促使不同厂家开发的软件相互兼容、交互操作,并且可以在不同的硬件和操作系统上运行。
三、 物流
物流环节是电子商务中,将其商务活动从虚拟转为现实的一个环节。在这一环节中,一样存在着诸多的风险,需要去控制。
一、 电子商务物流面对的安全威胁
电子商务物流的安全威胁主要来自物理层,网络层及管理层这三个方面。
1. 物理层安全风险主要包括
1) 设备被盗,被毁坏。
2) 链路老化或被有意或者无意的破坏。
3) 因电磁辐射造成信息泄露。
4) 地震、火灾、水灾等自然灾害。
2. 网络层安全风险主要包括
1) 数据传输风险
2) 网络边界风险
3) 网络设备风险
4) 网络服务风险
3. 管理层安全风险
责权不明,管理混乱,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
二、 电子商务物流安全问题的防范技术
1. GPS技术
GPS是全球卫星定位系统,其在物流领域中得到运用后,其精度高,覆盖面广、定位速度快、成本低、抗干扰能力强、等特点为物流过程中的风险规避起到了很好的效果和作用。
2. RFID 技术
1) RFID作为物品传递自身信息的途径,是一种高级的非接触式识别技术。其优势是:
2) 远距离自动识别,避免人工干预,特别是在恶劣的环境条件下
3) 对于静止及运动的物品均可识别
4) 具有同时识别多个标签的能力
这一技术在物流、物联网中的应用在控制物流过程中起到了极大的作用,为物流在分类、运输、送达等环节的准确和安全提供了极大的保障
参考文献
1.蒋文杰,《电子商务实务教程—理论与实务》,浙江大学出版社,2011
2.方修丰,《基于网络计算机技术的电子商务信息安全》,《中国商贸》,2009年21期
3.臧良运,《电子商务支付与安全》,电子工业出版社,2006
4.孔东昇,《物流信息网络安全风险分析及解决方案》,《计算机安全》,2004年04期
5.李炯,《物流安全管控技术分析》,《物流技术与应用》,2005年04期