时间:2023-07-10 17:35:02
[关键词] 电子商务 安全 对策
随着Internet和IT技术的迅猛发展,电子商务因其自身独有的特点与优势,逐渐成为进行商务活动的新模式,在人们的生活中也占据着日益重要的地位,但其安全问题也变得越来越突出。如何建立一个安全、快捷、便利的电子商务应用环境,对信息在网络上的传输提供足够的保护,已成为商家和用户都非常关心的话题。
一、电子商务的定义
电子商务(E-business)是利用当前先进的电子技术从事各种商业活动的方式,其实质是一套完整的网络商务经营及管理信息系统。更具体地说,它是利用计算机硬/软件设备和网络基础设施,通过一定协议连接起来的电子网络环境进行各种商务活动的方式。比如:网上银行、网上营销、网上客户服务、网上调查等。
二、电子商务的基本特征
1.电子商务将传统的商务流程电子化、数字化,减少了人力、物力,降低了成本,具有开放性和全球性的特点,为企业创造了更多的贸易机会。
2.电子商务重新定义了传统的流通模式,减少了中间环节,使生产者和消费者不用谋面的网上交易成为可能,从而在一定程度上改变了社会经济运行的方式、经济布局和结构。
3.电子商务一方面突破了时间和空间的限制,另一方面又提供了丰富的信息资源,为各种社会经济要素的重新组合提供了更多的可能,使得交易活动可以在任何时间、任何地点进行,从而大幅度提高了效率。
可见,电子商务的一个重要技术特征是利用网络技术和IT技术来传输和处理商业信息的。就整个系统而言,其安全性可以分为四个层次。(1)网络节点的安全性。(2)通讯的安全性。(3)应用程序的安全性。(4)用户的认证管理。
三、网络节点的安全性
1.防火墙的概念。在构建安全网络环境的过程中,防火墙作为第一道安全防线,受到越来越多用户的关注与青睐。防火墙是一个系统,主要用来执行Internet(外部网)和Intranet(内联网)之间的访问控制策略。它可为各类企业网络提供必要的访问控制,又不造成网络的瓶颈,并通过安全策略控制进出系统的数据,保护企业资源。
2.防火墙安全策略。防火墙保护内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志,如通信发生的时间和进行的操作等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。设置了防火墙后,可以对网络数据的流动实现有效的管理:如允许公司员工使用电子邮件、Web浏览以及文件传输等服务,但不允许外界随意访问公司内部的计算机,同样还可以限制公司中不同部门之间的互相访问。
可见,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备组合,它还是安全策略的一个重要组成部分,其安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及管理制度等。所有可能受到网络攻击的地方都必须以同样的安全级别加以保护。仅设置防火墙系统,而没有全面、细致的安全策略,那么防火墙就形同虚设。
3.安全操作系统。安全的操作系统至少要有以下特征:(1)最小特权原则,即每个特权用户只拥有能进行其工作的权力。(2)强制访问控制,包括保密性访问控制和完整性访问控制。(3)安全审计和审计管理。(4)安全域隔离。
其次,防火墙是基于操作系统的,如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙就不起作用了。可见,安全是一个系统工程,操作系统安全只是其中的一个层次,还需要各个环节的配合,安全操作系统应该与各种安全软、硬件结合起来(如防火墙、杀毒软件、加密产品等),才能让电子商务得到更广泛的应用,确保系统信息的安全达到最佳状态。
四、网络通信的安全性
1.数据通信的安全。电子商务系统的数据通信主要存在于:(1)客户浏览器端与电子商务WEB服务器端的通讯。(2)电子商务WEB服务器与电子商务数据库服务器的通讯。
2.通信链路的安全。在客户端浏览器和电子商务WEB服务器之间采用SSL(Secure Electronic Transaction,安全电子交易)协议建立安全链接,所需传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。单纯的建立SSL链接时,客户只需用户下载该站点的服务器证书。若验证此证书是合法的服务器证书,再利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密将要传输的明文,此时浏览器也会出现进入安全状态的提示。
五、应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性,这些工作还是不充分的,因为编程错误也可能导致对系统的破坏与攻击。
程序错误的常见形式:程序员忘记检查传送到程序的入口参数;程序员在处理字符串的内存缓冲时,忘记检查边界条件。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可。程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录,但不是显式的设置访问控制(最少许可)。若程序员认为这个缺省的许可是正确的,则这些缺点就可能被用到攻击系统的行为中,不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。
缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的,程序不检查输入字符串长度。输入假字符串常常是可执行的命令,特权程序可以执行指令。
六、用户的认证管理
1.身份认证。开展电子商务的关键核心技术是保密存储与取出。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合来实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。由于指纹具有惟一性,目前,指纹认证与网络传输便广泛的应用于银行专用网、企业营销网等各种商贸网络,使电子商务具有更现实的可操作性。
2.CA证书。CA(Certificate Authority,即“认证机构”),是证书的签发机构,它是PKI(Public Key Infrastructure,即“公开密钥体系”)的核心。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。要在网上确认交易各方的身份及保证交易的不可否认性,便需要CA证书进行验证。证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,验证个人证书是为了验证来访者的合法身份。
CA也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,应先向CA提出申请。在CA判明申请者的身份后,便为其分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,为之签字后,便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪,可用CA的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
七、建立安全管理机制
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,应按其职责设定其访问系统的最小权限。
按照分级管理原则,严格管理内部用户账号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户账号和密码。建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。对重要数据要及时进行备份。对数据库中存放的数据,数据库系统应根据其重要性提供不同级别的数据加密。安全管理实际上是一种风险管理,任何措施都不能保证百分之百的安全。但安全技术的采用可降低系统遭到破坏、攻击的风险,决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。随着全球经济一体化进程的加快,尤其是Internet技术、IT技术的迅猛发展及广泛应用,我们的社会也已融入到电子商务时代的气息当中,这是一个“以客户为中心”的时代,企业的市场营销及贸易往来都必须围绕这个中心来进行。只有保证电子商务各个环节、各个方面的安全性与稳定性,才能为其正常运作提供有力的保证,才能为其自身迎来更广阔的前景。
参考文献:
[关键词] 安全体系 加密 数字证书 电子商务 安全交易标准
一、引言
当前的电子商务是指通过电子方式的商务活动。它作为一种全新的业务和服务方式,为全球客户提供了丰富的商务信息、便捷的交易过程和廉价的交易成本。但是,电子商务给人们带来方便的同时,也把人们引入安全忧虑之中。买方担心在网络上传输的信用卡及个人资料被截取;卖方则担心收到的是被盗用的信用卡号码,或是交易不认账等,这些存在的安全漏洞问题已成为阻碍网上交易发展的首要问题。相对于传统商务,电子商务对管理机制、实施平台和信息传递技术都提出了更高的要求,其中安全体系的构建尤为显得重要,已成为电子商务能否得到进一步发展和推广的关键所在。
二、电子商务安全体系结构
1.电子商务中存在的安全隐患和威胁
Internet是电子商务实现的网络基础,它采用TCP/IP完成不同网络与不同计算机之间的通信,正是由于这些特点,使它给电子商务带来了很多的安全问题。Internet的安全隐患主要体现在四个方面。
开放性和资源共享是Internet的主要优点,但它带来的问题却不容忽视。因为当甲方在很容易的访问乙方时,如果没有采取任何措施,乙方同样很容易的访问甲方的计算机。
Internet采用的协议TCP/IP并未采用任何措施来保护传输内容不被窃取。它是一种包交换网络,每个数据包在网络上都是透明传输的,并且可能经过不同的网络,由路由器转发到达目的计算机。数据在传输过程中可能会遭到IP窥探、同步信号淹没、TCP会话窃听、复位与结束信号攻击等威胁。
Internet底层的操作系统如UNIX,由于源代码的公开,很容易发现漏洞,给Internet用户带来安全问题。
相比较传统信函,电子化信息就缺乏可信度,电子信息是否准确很难由其本身来鉴别。在Internet上传递电子信息时,难以确认信息发送者及信息是否被正确无误地传递给对方。
由于Internet存在上述安全隐患,将给电子商务带来如下的安全威胁。
由于非法入侵,造成商务信息被纂改、窃取或丢失。
商业机密在传输过程中被第三方获悉,被恶意破坏。
虚假身份的交易对象及虚假订单、合同。
贸易对象的抵赖。
由计算机系统故障造成的对交易过程和商业信息安全的破坏。
综上所述,电子商务面临多方面的威胁,存在许多安全隐患。
2.电子商务的安全性内容
要使电子商务健康、顺利发展,必须解决好以下几种关键的安全性要求。
(1)保证信息的保密性和完整性。在交易过程中必须保证信息不被非授权用户窃取,数据在输入和传输过程中能保证数据的一致性。
(2)不可否认性。它是指信息发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
(3)真实性。商务活动交易双方身份是真实的,不是假冒的,不存在的。
(4)系统的可靠性与内部网络的严密性。在计算机失效、程序错误、传输错误、硬件各种及计算机病毒等潜在威胁下,有容错处理机制、数据恢复能力,确保系统安全、可靠。对企业内部网络而言,要保证内部网络不被入侵。
3.电子商务安全技术体系结构
电子商务的安全技术体系结构是保证电子商务中数据安全的一个完整逻辑结构,如图所示。其中,下层是上层的基础,为上层提供技术支持。上层是下层的扩展与递增。各层相互联系、相互依赖的构成一个整体。通过不同的安全控制技术,实现各层的安全策略,有效保证了电子商务系统的安全。
三、电子商务的安全技术
1.防火墙技术
防火墙是建立在内外网络边界上的过滤封装机制,内部网络被认为是安全和可信赖的,而外部网络(通常指Internet)被认为是不安全和不可信赖的。防火墙的主要目的是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
防火墙的主要技术有包过滤技术、服务器技术、应用网关技术和状态检测包过滤技术,现在最常用的是状态检测包过滤技术。状态检测防火墙对每个合法网络连接保存的信息包括源地址、目的地址、协议类型、协议相关信息、连接状态和超时时间等称为状态。通过状态检测,可实现比简单包过滤防火墙具有更好的安全性。
2.加密技术
数字加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障安全性。利用加密技术,可以将某些重要的信息和数据从一个可以理解的明文转换为复杂的、不可理解的密文形式,在线路上传送或在数据库中存储,其他用户再将密文还原为明文。
3.信息摘要
密钥加密技术只能解决信息的保密性问题,对信息的完整性则可以使用信息摘要技术来实现。信息摘要又称为Hash算法,是一种单向加密算法,其加密结果是不能解密的。通过Hash算法,得到一个固定长度(128位)的散列值,不同的原文产生的信息摘要必不相同,相同的原文产生的信息摘要必定相同。这样,通过用接收方产生的摘要与发送方发来的摘要比较,若两者相同则表示原文在传输过程中没有被修改,否则说明原文被修改过。
4.数字签名
数字签名是密钥加密和信息摘要相结合的技术,用于保证信息的完整性和不可否认性。签名机制的特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能惟一地由他自己生成。当收发双方发生争议时,第三方就能根据消息上的数字签名来裁定这条消息是否由发送方发出,从而实现不可否认服务。
5.数字时间戳
在电子交易中,时间和签名同等重要。数字时间戳是由专门机构提供的电子商务安全服务项目,用于证明信息发送的时间。
6.数字证书与CA认证
由于电子商务在网络中完成,互相之间不见面,因此为了保证每个人及机构都能惟一且被准确无误地识别,就需要进行身份认证。身份认证可以通过验证参与各方的数字证书来实现,而数字证书是由认证中心(CA)颁发的。
所谓CA(Certificate Authority:证书发行机构),是采用PKI(Public Key Infrastructure:公共密钥体系)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,具有权威性和公正性的第三方信任机构,其作用就像现实生活中颁发证件的机构。
四、电子商务安全交易标准
要实现安全的电子商务交易,交易双方必须遵照统一的安全标准协议。当前,电子商务的安全机制正走向成熟,并逐渐形成了一些国际规范,比较有代表性的有安全套接层协议SSL(Secure Sockets Layer)和安全电子交易协议SET(Secure Electronic Transaction)。
1.安全套接层协议SSL
SSL协议是由Netscape公司研制的安全协议,SSL使用加密的方法建立一个安全的通信通道,以使客户的信用卡号传送给商家,商家再将其转发给银行,银行验证后在通知商家付款成功。该协议已成为事实上的工业标准,微软、IBM公司都提供基于这种简单加密模式的支付系统。
2.安全电子交易SET协议
SET协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和MasterCard组织制定的,用于在Internet上进行在线交易时保证信用卡支付安全的开放性安全技术标准。由于得到了微软、IBM、RAS公司的支持与参与,已成为工业事实上的标准。
SET协议采用了RSA公私钥加密系统、数字签名、数字证书认证等技术,保证了支付信息的保密性、完整性和不可否认性。该协议提供了客户、商家和银行之间的身份认证,而交易信息和客户信用卡信息相互隔离,即商家只能获取订单信息,银行只能获得持卡人信用卡支付信息,双方互不干扰,各去所需,构成了SET协议的主要特色,使得SET成为电子商务的安全规范。
3.SET、SSL协议比较
(1)SET是一个专门的安全电子支付协议,而SSL本质上是一个网络安全协议,仅在双方间建立起安全连接。SET是一个多方的消息报文协议,定义了银行、商家和持卡人间必须符合的报文规范,它比SSL在交易过程中的信任度更强。
(2)SSL仅有商家的服务器需要认证,客户端只是选择性认证;而SET在整个交易过程中都受到严密保护,其安全性比SSL高。
(3)SSL协议中若想进行电子商务交易,只需通过浏览器实现,设置成本低廉,其交易只要几十秒就可完成;SET尽管安全性高,但需要专门的软件来实现,客户、商家改造成本高,由于交易过程各方之间进行多次加密传输,每次交易需要数分钟。
综上所述,SSL与SET协议是电子商务中最普遍的两种安全电子支付协议,各有优缺点。SSL虽然简单快捷,但随着电子商务的发展其缺点凸现出来,需采用更先进的支付系统。而SET虽有更强的功能和安全性,但过于复杂,使得大面积推广还有很大障碍,并且成本昂贵,所以,在未来一段时间里将会是SSL和SET两种支付方式并存的局面。
五、结论
电子商务的本质是商务,技术是电子商务得以实现的手段。没有商务需求,技术的研究就失去了应用价值;没有技术实现,电子商务就不能得以实施,所以技术是电子商务的必要条件。而安全则是实现电子商务技术的前提,也是电子商务的必要条件。解决电子商务的安全问题不是一个单一的技术问题,它是由一系列工作组成,需要从电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。
参考文献
[1]胡道元 闵京华:网络安全[M].北京:清华大学出版社,2006
[2]祝凌曦:电子商务安全[M].北京:北方交通大学,2006.
[3]李晓燕 李福全 郭爱芳:电子商务概论[M].陕西:电子科技大学出版社,2004
[4]何 胜:电子商务中安全支付协议的对比及应用[J].计算机时代,2004(20)
[5]王 茜 杨德礼:电子商务安全体系结构及技术研究[J].计算机工程,2003,29(1)
[关键词]电子商务,安全技术,安全对策
在电子商务迅速发展的今天,信息网络技术的应用正日益普及和广泛,应用层次正在深入。而网络所具有的开放性、自由性在增加应用自由度的同时,对安全提出了更高的要求。如何建立起一个完善的、实用的、安全的电子商务网站,已成为企事业单位信息化发展中一个急切需要讨论的问题。
一、电子商务的安全问题
电子商务的安全问题可以概括为以下几个方面:
(一)信息泄漏:在电子商务中表现出来的信息泄露主要有两种,一种是交易双方进行交易的内容被第三方所窃取:一种是交易一方提供给另一方的文件、资料等被第三方非法使用。(二)篡改:在电子商务中表现为商业信息的真实性和完整性问题。电子的信息在网络传输的过程中,可能被他人非法地修改、删除或重放.这样就使信息丢失了真实性和完整性。(三)身份识别:这涉及到电子商务中的两个问题。1.如果不进行身份识别,第三方就有可能假冒交易方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。2.“不可抵赖”性。交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。(四)信息破坏:涉及到两方面内容。1.网络传输的可靠性。网络的硬件或软件可能会出现问题而导致交易信息传递的丢失与谬误。2.恶意破坏。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。这种情况主要由以下问题引起:①计算机病毒。②计算机蠕虫。这种程序将会对网络造成严重的损失,甚至会通过过多占用网络资源的方式来使网络瘫痪,加上这种程序多数会带有破坏性指令,因而破坏性更强,它已经由点的破坏向面的破坏开始发展了。③特洛伊木马。这是一种执行超出程序定义之外的程序,它将会把自己隐藏到安全的程序中,并由此传播出去。④逻辑炸弹。这是一种当运行环境满足某种特定条件时执行特殊功能的程序。
二、电子商务的安全技术
电子商务的开展在安全方面上还存在很多问题。面对电子商务中形形色色的安全漏洞,我们必须要采取相应的方法来保障电子商务活动的安全进行,下面就着重探讨了电子商务的安全技术。
(一)虚拟专用网络:虚拟专用网络是用于Internet电子交易的一种专用网络,它可以在两个系统之间建立安全的通道,是目前相对而言最适合进行电子商务的形式。在虚拟专用网络中交易的双方比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网络中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全。
(二)加密技术:加密技术是实现信息保密性的一种重要手段,目的是为了防止合法接受者之外的人获取信息系统中的机密信息。
加密包括两个元素:算法和密钥。加密技术的要点是加密算法,一个加密算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤。密钥和算法对加密同等重要。密钥是用来对数据进行编码和解码的一种算法。加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Adleman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。通过对数据进行加密,可以使在网络上传播的信息对非法用户来说是无意义的,因此,虽然信息在网络上易被非法接收,但是由于被加密,也就保证了信息的隐秘性。
(三)数字签名技术:数字签名以数字加密技术为基础,是数字加密技术的一种应用方式。其核心是采用加密技术的加、解密算法来实现电子信息的数字签名。对于电子商务中的业务款项如何分辨其真假,则需要数字签名技术来确认其交易或结算双方的真实身份及电子货币的可靠性。数字签名的防欺诈性、防更改性及确认功能是电子商务系统的一个重要安全技术。数字签名是公开密钥技术的另一类应用,它的主要方式是:信息的披露方从信息文本中生成一个128位的散列值,并且用自己的专用密钥对这个散列值进行加密.来形成披露方的数字签名:关联方首先从收到的信息文本中计算128位的散列值,接着再用披露方一同发来的公开密钥来对数字签名进行解密,如果两个散列值相同,那就可确认该数字签名是披露的。通过数字签名技术能够实现对原始信息和关联方身份的鉴别,有一定的公正及较好地防范关联方和非关联方的道德风险。
(四)认证技术:所谓认证,就是通过认证中心对数字证书进行识别。认证分为实体认证和信息认证,这里的实体是指个人、客户程序或服务程序等参与通信的实体。实体认证是指对这些参与通信实体的身份认证。对用户身份的认证,密码是最常用的,但由于许多用户采用了很容易被破解的密码,使得该方法经常失效。信息认证是指对信息体进行认证,以决定该信息的合法性。信息认证发生在信息接收者收到信息后,使用相关技术对信息进行认证,以确认信息的发送者是谁,信息在传递过程中是否被篡改等。身份验证是对进入电子商务信息系统网络的用户进行身份合法性的整别,主要通过所掌握的特有信息对探访者进行验证。目前,数字签名和认证是网上比较成熟的安全手段,而我国大多数企业尚处于SSL协议应用阶段,在SET协议的应用试验刚刚成功,而要完全实现SET协议安全支付,则必须有一个CA认证中心。
(五)防火墙技术:在计算机领域,防火墙是指一种逻辑装置,用来保护内部的网络不受来自外界的侵害。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络地互联环境中,尤其以接人Internet网络最甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之问的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它主要用于实现网络路由的安全,这主要包括两个方面:①限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵害;②限制内部网的访问,主要是针对内部一些不健康信息及敏感信息的访问。目前防火墙的主要有网络层防火墙、应用层防火墙和双端主机防火墙等。网络层防火墙是一个屏蔽的路由器,经检查后最终决定是批准进入或拒绝请求,并将信包引导往内部的适当的接收点。这种防火墙成本较低但安全性亦相对来说亦比较差。应用层防火墙的主要构成由服务器端程序和客户端程序,它通过执行登录或对信息的认证使系统的访问与保密关系更加完善。更加设置了日志及审计方式以监控各方发送的登录和任何未经授权的活动,并将那些未授权的登录情况告诉网络管理者或安全小组。双端主机防火墙只设有两个防火墙出口,一端对互联网上的请求过滤,而另一端提供访问到某部门的局域网之安全信道。
论文摘要:电子商务安全问题已成为制约电子商务发展的重要问题,安全问题包括电子商务交易安全、计算机网络安全等显性的问题,还包括管理、法律和标准等方面的隐性问题。通过对电子商务安全体系的分析,研究电子商务安全策略,建立一个安全电子商务环境,将促进电子商务健康快速地发展。
电子商务是一个跨国界,跨地区,跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突,不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本,从各主体的角度思考,综合协调了各个市场主体的行为,从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益,它为实现电子商务提供了统一的基础平台和安全屏障。
一、电子商务安全技术保障策略
安全技术保障技术是电子商务安全体系中的基本策略,目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种:
1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换,变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。
2.身份验证技术。电子商务主体向系统证明自己身份,并由系统查核该主体的过程,是确认真实有效身份的重要环节,这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。
3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认,防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。
4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类:分组过滤、应用、电路网关。
二、企业电子商务安全运营管理制度保障策略
企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定,是保证企业取得电子商务成功的基础,是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度,保密制度,跟踪审计制度,系统维护制度、数据备份制度等。
1.人员管理制度 人员管理制度主要从人员的选拔,工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。
2.保密制度 电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密,这些方面都是需要很好地划分信息安全级别,并确定安全防范重点,提出相应的保密措施。
3.跟踪审计制度 跟踪制度就是要求企业建立网络交易的日志机制,来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核,及时发现对系统有安全隐患的记录,监控各种安全事故,维护和管理系统日志。
4.网络系统的日常维护制度 网络系统的日常维护包括硬件的日常维护和软件的日常维护,硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修;软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。
5.数据备份制度 数据备份主要是利用多种介质对信息系统数据进行存储,定期为重要信息备份、系统设备备份,并定期更新,以减少安全事故发生时造成的损失。
三、电子商务立法策略
电子商务安全得到法律保障,首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。
1.立法目的 电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性,保护合理的商业行为,保障电子交易安全;建立一个清晰的法律框架以统一调整电子商务的健康发展。
2.立法范围 电子商务安全方面需要的法律法规主要有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法,知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等;电子商务调整的对象是电子商务中的各种社会关系。
3.立法途径 电子商务法律仍然是调整社会关系,所以应当继承传统立法的合理内核,尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。对于传统法律没有规定的,即由电子商务带来的新的社会关系,应尽快制定法律规范;第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确,或与电子商务新型社会关系有冲突甚至存在缺欠的,可以修改或重新解释既定的法律规范。
四、政府监督管理策略
电子商务本质是一种市场运作模式,市场的正常健康有序地发展,必须有政府宏观上的监督与管理,以协调和规范各市场主体的行为,宏观监督与管理电子商务运行中的安全保障体系。
1.计算机信息系统安全管理 计算机信息系统,是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度,计算机系统使用单位安全负责制度,计算机案件强行报告制度,计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护,有利于保障国家的安全和社会安定,促进电子商务的安全交易过程,有利电子商务的健康发展。
2.网络广告和网络服务业管理 由于网络的开放性,自由性等特征决定了网络广告监管的难度,虚假广告、淫色广告充斥着网络空间,网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手:第一,网络广告组织的管理,必须对网站广告经营主体资格进行管制,第二,规范网络广告内容,确保广告内容的真实性、合法性和科学性。第三,需要有具体的广告审查管制、评估与监测部门。
国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》,其中提出了详细具体的限制条件。但是,网络飞速发展,面对网络中的新问题,还必须进一步深入全面地研究。
3.认证机构管理 认证机构是电子商务活动中专门从事颁发认证证书的机构,对电子商务交易活动顺利进行,电子商务活动中交易参与各方身份和信息认定,维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督;同时,还要针对其资产和财务状况定期审查,以免发生财务危机,对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。
4.加强社会信用道德建设,构建和谐安全电子商务 电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的,在我国尤其严重,甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式,必然存在不少漏洞,这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施,更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律,充分利用网络新闻舆论监督,消费者舆论监督和行业协会的管理监督。
五、结束语
电子商务安全不仅涉及到电子商务公司、企业、消费者的利益,而且更加广泛地涉及经济、政治、国防、文化等诸多方面,关系到国家的安全、主权和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈,只有解决了电子商务安全,保障了市场主体的利益,才能得到网络用户的认可和参与,电子商务自身也才能得到快速、健康地发展。
参考文献
[1]林宁,吴志刚.我国信息安全技术标准化现状[j].中国标准化,2007(4)
[2]胡艳春.电子商务网站建设中的安全问题研究[j].商场现代化,2006,(10)
关键词:电子商务,信息安全,防火墙,权限控制
0 引言
近年来,随着信息技术的发展,各行各业都利用计算机网络和通讯技术开展业务工作。广西百色田阳县农产品批发中心利用现代信息技术建有专门的网站,通过网站实施农产品信息、电子支付等商务工作。但是基于互联网的电了商务的安全问题日益突出,并且该问题已经严重制约了农产品电子商务的进一步发展。
1 农产品电子商务的安全需求
根据电子商务系统的安全性要求,田阳农产品电子商务系统需要满足系统的实体安全、运行安全和信息安全三方面的要求。
1) 系统实体安全
系统实体安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施和过程。
2) 系统运行安全系统运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急)来保护信息处理过程的安全。项目组在实施项目前已对系统进行了静态的风险分析,防止计算机受到病毒攻击,阻止黑客侵入破坏系统获取非法信息,因此系统备份是必不可少的(如采用放置在不同地区站点的多台机器进行数据的实时备份)。为防止意外停电,系统需要配备多台备用电源,作为应急设施。
3) 信息安全
系统信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或信息被非法的系统标识、控制。系统的核心服务是交易服务,因此保证此类安全最为迫切。系统需要满足保密性,即保护客户的私人信息,不被非法窃取。同时系统要具有认证性和完整性,即确保客户身份的合法性,保证预约信息的真实性和完整性,系统要实现基于角色的安全访问控制、保证系统、数据和服务由合法的客户、人员访问,即保证系统的可控性。在这基础上要实现系统的不可否认性,要有效防止通信或交易双方对已进行的业务的否认。
2 农产品电子商和安全策略
为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:
2.1基于多重防范的网络安全策略
1) 防火墙技术
防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。
防火墙具有很好的保护作用。论文大全,信息安全。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
边界防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。论文大全,信息安全。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。论文大全,信息安全。
2) VPN 技术
VPN 技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势。
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。
性能
VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。
管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备。论文大全,信息安全。
2.2基于角色访问的权限控制策略
农产品电子商务系统信息系统含有大量的数据对象,与这些对象有关的用户数量也非常多,所以用户权限管理工作非常重要。
目前权根控制方法很多,我们采用基于RBAC演变的权限制制思路。在RBAC之中,包含用户、角色、目标、操作、许可权五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。角色访问控制策略主要是两方面的工作:
(1)确定角色
根据系统作业流程的任务,并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色,低级别角色可以为高级别角色的子角色,高级别角色完全继承其子角色的权限。
(2)分配权限策略
根据系统的实际功能结构对系统功能进行编码,系统管理员可以创建、删除角色所具有的权限,以及为角色增加、删除用户。需要注意的是角色被指派给用户后,此时角色不发生冲突,对该角色的权限不能轻易进行修改,以免造成由于修改角色权限从而造成角色发生冲突。论文大全,信息安全。论文大全,信息安全。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时,系统会根据用户的角色的并集,从而得到用户的权限,由权限得到菜单项对该用户的可视属性是true/false,从而得到用户菜单。
2.3基于数据加密的数据安全策略
在农产品商务系统中,数据库系统作为计算机信息系统核心部件,数据库文件作为信息的聚集体,其安全性将是重中之重。
1)数据库加密系统措施
(1)在用户进入系统进行两级安全控制
这种控制可以采用多种方式,包括设置数据库用户名和口令,或者利用IC卡读写器或者指纹识别器进行用户身份认证。
2)防止非法复制
对于服务器来说,可以采用软指纹技术防止非法复制,当然,权限控制、备份/复制和审计控制也是实行的一样。
3)安全的数据抽取方式
提供两种卸出和装入数据库中的加密数据的方式:其一是用密文式卸出,这种卸出方式不解密,卸出的数据还是密文,在这种模式下,可直接使用dbms提供的卸出、装入工具;其二是用明文方式卸出,这种卸出方式需要解密,卸出的数据明文,在这种模式下,可利用系统专用工具先进行数据转换,再使用dbms提供的卸出、装入工具完成。
3结束语
随着信息化技术的快速发展,农产品电子商务创新必须适应新的变化,必须充分考虑信息安全因素与利用信息安全技术,这样才能实现农产品电子商务业务快速增长,本文所述的安全策略,对当前实施电子商务有一定效果的,是值得推介应用的。
参考文献:
[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.
[2]唐文龙.基于角色访问控制在农产品电子商务系统中的应用[j]. 大众科技.34-35
[3]张立克.电子商务及其安全保障技术[J].水利电力机械,2007,29(2):69-74.
[关键词] 电子商务安全策略信息安全认证
电子商务是在Internet开放的网络环境下,实现消费者的网上购物、企业之间的网上交易和在线电子支付的一种新型的交易方式。由于电子商务具有高效益、低成本、高效率、范围全球性等特点很快遍及全世界。电子商务已成为全球经济最具活力的增长点,它的应用和推广将给社会和经济发展带来巨大的变革和收益。然而,目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的实施还依赖于相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全是制约电子商务发展的一个关键问题。
一、电子商务的安全性需求
有效性:电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。因此,要对网络过障、操作错误、应用程序错误等所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
1.机密性:电子商务作为贸易的一种手段,其信息直接代表着个人、企业或者国家的商业机密。因此,能否维护好商业机密成为了电子商务全面推广应用的前提条件。电子商务系统应能够对公众网络上传输的信息进行加密处理,防止交易中信息被非法截获或读取。
2.完整性:电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、同意问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,在数据传输过程中信息丢失、信息重复或者信息传送的次序差异也会导致贸易各方信息不同。贸易各方信息的完整性将影响贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息丢失和重复,并保证信息传送次序的统一。
3.可靠性:由于网上通信双方互不见面,所以在交易前必须首先确认对方的真实身份;支付时还要确认对方帐号等信息是否真实有效。电子商务系统应提供通信双方进行身份鉴别的机制,确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认,对私有密钥和口令的有效保护,对非法攻击能够防范,防止假冒身份在网上进行交易。
4.法律性:电子商务系统应有效防止商业欺诈行为的发生。最新《合同法》已确认双方同意电子贸易的电子档案为有效书面合同,为产生贸易纠纷双方提供法律凭证。网上交易的各方在进行数据传输时必须携有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证,以保证商业信任和行为的不可否认性,保证交易各方对已做的交易无法抵赖,为法律举证提高有效数据。
审查能力:根据机密性和完整性的要求,应对数据审查的结果进行记录。
二、电子商务面临的安全威胁
1.信息在网络的传输中被截获:攻击者可能通过互联网、公共电话网或在电磁波辐射范围内安装装置等方式,截获机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的账号、密码等。
2.传输的文件可能被篡改:改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除某个信息或信息的某些部分;在信息中插入一些信息,让收方读不懂或接受错误的信息。
3.伪造电子邮件:虚开网站和商店,给用户发电子邮件,收定货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户等信息。
4.假冒他人身份:冒充他人身份,如冒充领导命令、调阅文件;冒充他人消费、栽赃;冒充网络控制程序,套取或修改使用权限、密钥等信息。
5.否认已经做过的交易:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差,但不承认原有的交易。
三、电子商务活动的安全保证
为了满足电子商务在安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全控制技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等。具体实现有以下几种技术。
1.加密技术是电子商务的最基本的安全措施。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。
(1)对称密钥加密:采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其DES使用最普遍,被ISO采用作为数据加密的标准。
(2)非对称密钥加密:非对称加密不同于对称加密,其密钥被分解为公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的者,私有密钥则保存在密钥方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的者,而者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法有RSA算法。该算法已被ISO/TC的数据加密技术分委员会SC20推荐为非对称密钥数据加密标准。
在对称和非对称两类加密方法中,对称加密的突出特点是加密速度快(通常比非对称加密快10倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截获,而且,若和大量用户通信,难以安全管理大量的密钥,因此大范围应用存在一定问题。而非对称密钥则相反,很好地解决了对称加密中密钥数量过多难管理及费用高的不足,也无需担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。
2.防火墙技术是确保基础设施完整性一种常用方法。它通过在网络边界上建立起来的相应网络通信监控系统来隔离内部和外部网络,控制进/出两个方向的通信流。它制定一系列规则来准许或拒绝不同类型的通信,并执行所做的路由决策,以阻挡外部的侵入。目前,防火墙技术主要有分组过滤和服务两种类型。
(1)分组过滤:这是一种基于路由器的防火墙。它是在网间的路由器按网络安全策略设置一张访问表或黑名单,即借助数据分组中的49 地址确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过。防火墙的职责就是根据防问表(或黑名单)对进出路由器的分组进行检查和过滤,凡符合要求的放行,不符合的拒之门外。这种防火墙简单易行,但不能完全有效地防范非法攻击。
(2)服务:是一种基于服务防火墙,它的安全性高,增加了身份认证与审计跟踪,发现可能的非法行为并提供有力的证据,然后以秘密的方式向网上的防火墙发出有关信息如黑名单等。
3.安全认证技术。目前,仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全的又一重要技术手段。认证的实现包括数字摘要技术、数字签名技术、数字证书技术和智能卡技术等。
(1)数字摘要。采用单向Hash函数对信息进行某种变换运算得到固定长度的摘要,并在传输信息时将之加入文件一同送给接收方;接收方收到文件后,用相同的方法进行变换运算得到另一个摘要;然后将自己运算得到的摘要与发送过来的摘要进行比较。这种方法可以验证数据的完整性。
(2)数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
(3)数字时间戳(DTS)。交易文件中,时间是十分重要的信息,在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间安全保护。
数字时间戳服务是网上安全服务项目, 由专门的机构提供。时间戳是一个经过加密后形成的凭证文档,它包括需加时间戳的文件的摘要收到文件的日期和时间和DTS的数字签名。用户首先将需要加时间戳的文件用Hash编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。
(4)数字凭证(Digital ID)又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源访问的权限。在网上的电子交易中,需要双方出示各自的数字凭证,并用它来进行交易操作。数字凭证的内部格式是由CCITT X.509 国际标准所规定的,包含以下内容:凭证拥有者的姓名、凭证拥有者的公共密钥、公共密钥的有效期、颁发数字凭证的单位、数字凭证的序列号。数字证书的使用涉及到数字认证中心CA(Certificate Authority)。
目前,数字凭证有个人凭证、企业凭证、软件凭证,其中前两类较为常用。个人凭证(Personal Digital ID):仅仅为某单个用户提供凭证,用以帮助其个人在网上进行安全交易操作;企业凭证(Server ID):通常为网上的某个电子商务网站服务器提供凭证,使其用来进行安全电子交易。
(5)CA认证。在电子商务系统中,无论是数字时间戳服务,还是数字凭证的发放,都需要有一个具有权威性和公正性的第三方认证机构来承担。CA正是这样的一个受信任的第三方。CA用来为用户签发证书,提供身份认证服务,是整个系统的安全核心[4]。在非对称密钥认证系统中,用户的签名密钥和加密密钥通常是分开的,而CA只知道用户的签名公钥,这样就降低了由于CA受到攻击的危害程度,避免了可信第三方被攻击则整个系统即陷入瘫痪的严重问题。此外,在认证系统中,CA只负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题。而且CA只需管理每个用户的一个公开密钥,大大降低了密钥管理的复杂性。这些优点使得非对称密钥认证系统可用于用户众多的大规模网络
4.电子商务亟待解决的难题。安全电子商务在如下几个方面还没有满意的结果。
(1)没有一种电子商务安全的完整解决方案和完整模型与体系结构。
(2)大多数电子商务系统都是封闭式的,即它们使用独有的技术,仅支持一些特定的协议和机制。
(3)尽管大多数方案都使用了公钥密码,但多方安全受到的关注远远不够。没有建立一种解决争议的决策程序。
(4)大多数系统都将销售商的服务器和消费者的浏览器间的关系假设为主从关系,不允许用户间进行直接交易。
(5)大多数系统都限制为两方,因此难于集成一个安全连接到第三方。
(6)客户的匿名性和隐私尚未得到充分的考虑。
四、结束语
电子商务的安全涉及技术、管理和法律等广泛领域。技术上,需要一个有效的计算机网络安全体系,包括硬件和软件的全面防范。在管理上要规范电子商务交易行为,制定交易标准和规范;在法律上要建立一套完整的法律体系,为电子商务提供操作依据;同时还要大力加强用户的安全意识。随着电子商务的发展,电子交易手段更加多样化,安全问题会变得更加重要和突出。
参考文献:
[1]李嵩泉:电子商务安全技术[J].计算机与通信,2004,2:55~59
[2]龚静:电子商务的安全策略[J].福建电脑,2004,1:52~53
[3]宁厉锋:电子商务中的安全技术[J].计算机与网络,2004
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
[关键词] 电子商务安全密码认证协议
随着Internet的全面普及,基于互联网的电子商务也应运而生,电子商务是网络技术应用的全新发展方向,电子商务自然非常便捷、高效和低成本,成为一种全新的商务模式,被许多经济专家认为是新的经济增长点。同时,这种电子商务模式对管理水平、信息传递技术都提出了更高的要求,其中安全体系的构建又显得尤为重要,电子商务是建立在一个非常开放的互联网基础上,如何辨别对方身份,如何保证交易信息的安全,是大家最关心的问题。如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,也已成为电子商务的核心问题。实现电子商务的关键是要保证商务活动过程中系统的安全性,即保证基于互联网的电子交易过程与传统交易的方式一样安全可靠。
一、电子商务安全的要素
1.有效性。电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误、黑客及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
3.完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错、数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同,它将影响到贸易各方的交易和经营策略。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
4.可靠性/不可抵赖性/鉴别。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在传统的贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的各方提供可靠的标识。
5.审查能力。根据机密性和完整性的要求,应对数据审查的结果进行记录。
二、电子商务安全的主要问题与技术
电子商务实质是电子方式的贸易活动,它利用简单快捷低成本的电子通讯方式,使买卖双方进行各种商贸活动的新型贸易形式。它不仅改变了企业本身的生产、经营、管理活动,而且将导致人类经济、社会和文化的一次新的革命。
电子商务安全的主要问题主要有以下几个方面的问题:
1.篡改。电子的交易信息在网络上传输地过程中,可能被他人非法的修改,删除或重放(指只能使用一次的信息被多次使用),从而使信息失去了真实性和完整性。
2.信息破坏。包括网络硬件和软件的问题而导致信息传递的丢失与谬误;以及一些恶意程序的破坏而导致电子商务信息遭到破坏。
3.身份识别。如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易,败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。而不进行身份识别,交易的一方可不为自己的行为负责任,进行否认,相互欺诈。
4.信息泄密。主要包括两个方面,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。
由于电子商务涉及到金融、企业商家等各个方面的利益,它必须采用行之有效的手段来保证电子商务系统的安全运行。安全性技术是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的问题。虽然Internet的开放式的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都制定了安全协议和具备了相应的安全技术,以保证电子商务的安全性。电子商务的安全性策略可分为两大部分,一部分是计算机网络安全,第二部分是商务交易安全。电子商务中的安全性技术主要有以下几种:
1.密码技术。密码技术是一种主动的信息安全防范措施,它是将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。在对称密钥加密体制中,信息的发送方和接收方用一个密钥去加密和解密数据。它的最优是加/解密速度快、参与方采用相同的加密算法共享的专用密钥。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发送报文摘要或报文散列值来实现。适合于对大数据量进行加密,但密钥管理困难。目前常用的对称加密算法有:美国国家标准局提出DES算法、由瑞士联邦理工学院的IDEA算法等等。非对称密钥加密体制,密钥被分解为一对,并使用一对密钥来分别完成加密和解密操作,一个公开,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。目前常用的非对称加密算法有:麻省理工学院的RSA算法、美国国家标准和技术协会的SHA算法等等。
2.认证技术。安全认证的主要作用是进行信息认证。信息认证的目的为:(1)确认信息发送者的身份;(2)验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。认证技术主要有安全认证技术和安全认证机构两个方面。
传统的对称密钥算法具有加密强度高、运算速度快的优点,但密钥的传递与管理问题限制了它的一些应用。在非对称密钥加密体制下,算法的加密强度主要取决于选定的密钥长度。
随着认证中心(或称CA中心)的出现,使得开放网络的安全问题得到了比较好的解决。所谓CA(Certificate Authority)认证机构,它是采用PKI(Public Key Infrastructure)公开密钥基础架构技术,利用数字证书、非对称和对称加密算法、数字签名、数字信封等加密技术,建立起安全程度极高的加解密和身份认证系统,确保电子交易有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。电子商务安全性的解决,大大地推动了电子商务的发展。在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易双方自己能完成的,而需要有一个具有权威性和公正性的第三方来完成。CA认证机构作为权威的、可信赖的、公正的第三方机构,提供网络身份认证服务,专门负责发放并管理所有参与网上交易的实体所需的数字证书。它作为一个权威机构,对密钥进行有效地管理,颁发证书证明密钥的有效性,并将公开密钥同某一个实体(包括消费者、商户、银行,甚至设备、域名、IP地址等)联系在一起。它的作用就像现实生活中颁发证件的机构,如公安机关。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。
有了数字证书,你就可以以你身份在网上支持数字证书应用的场合下进行各种网上活动。比如,发送安全电子邮件,数字证书登录系统,各种文件、表单的数字签名,专门的数据加密等等。当然,如果证书是颁发给服务器,则可以用来保障该网站(域名)或IP的真实性。
3.安全认证协议。目前电子商务中经常使用的有安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议两种安全认证协议。
(1)安全套接层(SSL)协议。SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。SSL协议的概念可以被概括为:它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供Internet和企业内联网的安全通信服务。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。
SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
SSL采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。
SSL协议提供“通道安全性”有以下三个性质:
a.通道是保密的。一个简单的握手确定密钥之后,所有的消息被加密。
b.通道是被认证的。通话的服务器端总是被认证,客户端可选认证。
c.通道是可靠的。用MAC对传送的消息进行完整性检查。
中国目前多家银行均采用SSL协议,如在目前中国的电子商务系统中能完成实时支付,用的最多的招行一网通采用的就是SSL协议。所以,从目前实际使用的情况看,SSL还是人们最信赖的协议。
(2)安全电子交易(SET)协议。SET协议是针对开放网络上安全、有效的银行卡交易,由维萨(Visa)公司和万事达(Mastercard)公司联合研制的,为Internet上卡支付交易提供高层的安全和反欺诈保证。由于它得到了IBM、HP、Microsoft等很多大公司的支持,已成为事实上的工业标准,目前已获得IETF标准的认可。这是一个为Internet上进行在线交易而设立的一个开放的、以电子货币为基础的电子付款规范。
SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。SET将建立一种能在Internet上安全使用银行卡购物的标准。安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则,SET协议保证了电子交易的机密性、数据完整性、身份的合法性和防抵赖性,且SET协议采用了双重签名来保证各参与方信息的相互隔离,使商家只能看到持卡人的订购数据,而银行只能取得持卡人的信用卡信息。所以它是一种能广泛应用于Internet上的安全电子付款协议,它能够将普遍应用的信用卡的使用场所从目前的商店扩展到消费者家里,扩展到消费者个人计算机中。
1电子商务安全涵盖的内容
1.1计算机网络安全计算机网络安全,其中主要包括计算机网络设备安全、计算机网络系统安全以及数据库安全等。关于网络安全方面的基本特征,具体表现在计算机网络技术层面。对计算机网络安全本身存在的安全问题,实施网络安全的增强方案,确保计算机网络自身的安全性并将其作为基本指标。威胁计算机网络安全的因素很多,其中分为自然因素和人为因素,其中人为因素是最主要的因素,主要是指不法之徒利用网络存在的漏洞盗非法获取重要的数据、篡改数据、破坏硬件设备、制造病毒等。
1.2电子商务交易安全电子商务交易安全围绕贸易双方在进行交易过程中存在的诸多安全因素。在计算机网络安全基础之上,确保电子商务交易过程的顺利开展,努力实现电子商务的保密性、完整性、不可否认性、不可抵赖性以及不可伪造性。
2电子商务安全面临的威胁
电子商务安全方面面临的威胁主要有:
2.1泄露信息电子商务在交易期间,黑客或外来入侵者运用各种技术手段获取销售信息或商业机密,这就会使系统资源失窃。在电子商务中经常发生的就是系统信息泄露,如2012年当当网账户集体被盗事件就是由于用户信息被非法泄露造成的。
2.2身份仿冒在电子商务中,第三方假冒合法身份与他人发生交易,进行信息欺诈和信息破坏,进而获取非法的利益。主要表现有:冒充卖家或买家,使卖家名誉受损或使买家财产受损。其中较为典型的案例有2014年有一小伙在微信上假冒他人推销名牌山寨手机,在十几天时间内就有6名受害人上当。
2.3木马威胁许多黑客工具可以进行远程控制、检查以及监控目标用户的信息,能够使目标设备与用户的合法设备一样,向网络方面发送信息,具有一定的欺骗性。黑客可以运用网络下载的木马程序,进行对电子商务当中的交易信息的窃取以及数据的修改等。木马工具能够通过电子邮件的方式,被安装到目标用户的电脑终端,修改电脑中涉及到的文件与数据等。这种程序在进行电子商务的开展中,严重地影响双方的正常交易,并且由于对该病毒的防治方面存在一定的欠缺,造成电子商务系统数据以及交易内容受到木马威胁。木马威胁中常见的威胁有假冒类木马、含木马短信、二维码病毒、恶意插件等。在手机客户端的安全中,恶意APP引发的资金账户风险是其中很大的安全问题。
2.4篡改信息电子商务中交易的信息在传输过程中,可能会被不法之人非法地进行修改、删除,造成信息失真、不完整。
2.5交易抵赖有些用户通过对自己发送的信息进行恶意否定,推卸责任。交易抵赖现象主要体现在以下状况中:者否定所发送的信息,接收者否认接受过的信息,购买者否认订过的订单,商家出于售出商品的质量问题而否认交易。
3电子商务安全技术
针对电子商务存在的安全威胁所采取的应对措施主要有:
3.1防火墙在网络安全中的一道屏障就是防火墙,因此在电子商务中必须要安装防火墙来保障交易中的安全。防火墙一般是在外部网络和内部网络之间放置的,可以防止未经授权的通讯进出能够得到保护,它是一种对边界进行控制进而使内部网络得到强化的政策。防火墙主要有五大功能:(1)对进出口网络的数据进行过滤。(2)对进出网络的访问行为进行管理。(3)对某些未授权的行为进行封堵。(4)将通过防火墙的信息内容和活动记录下来。(5)检测和警告所受到的网络攻击。防火墙对于外部的网络攻击可以进行有效的保护,但却毫无能力抵御来自内部网络的攻击。在电子商务安全中若只是运用防火墙技术来保障是远远不够的,还必须要运用其他技术和手段。
3.2计算机病毒技术在电子商务中进行的交易是十分广泛和开放的,这就导致在交易中易被病毒攻击。为了避免病毒攻击就要在电脑中安装病毒软件,并定期对电脑进行杀毒、更新软件。对硬件设备的管理与维护一般是在交易时安装网管软件,网管软件在对硬件进行维护时还能对日志或临时性的文件进行清理,并对服务器的活动和用户注册情况进行检验,以便于电子商务系统可以稳定。
3.3数据加密技术加密技术指使用代码或密码对重要的信息进行加密后再进行传送或存储,其他用户在使用时再进行解密,这就可以很好地保障数据信息的安全性。在电子商务中安全技术的基础就是信息加密技术。数据加密技术一般分为对称加密和非对称加密。对称加密,其做法是信息的发送方将信息加密,接收方收到信息后再对信息进行解密,这一方法的主要特点是加密和解密中的密匙是同一个,其中最为典型的代表案例就是美国国家安全局的DES。这种方法使用起来较为简单,加密和解密速度很快,主要针对大量信息进行加密。非对称加密。这种方法在使用中主要是使用不同的密匙对信息进行解密,通信双方都拥有两把密匙,即一把公匙和一把密匙。其中公匙是公开的,密匙则自己保管。信息用公匙加密后,要想解密只能使用密匙。这种方法中典型的案例是RSA算法,但是这种算法加密和解密都需要进行两次,处理和计算量较大,加密和解密速度较慢,因此只针对少量数据进行加密。
3.4安全认证技术安全认证技术主要是对信息进行认证,保证信息在通信中的真实性。主要包括安全认证技术和安全认证机构两方面。安全技术认证有数字摘要、数字信封、数字签名、数字证书等。能够承担网上安全交易认证服务的就是电子商务认证中心,在这个认证中心可以签发数字证书,能够确认用户的身份。
3.5安全认证协议在电子商务中应用最为广泛的安全认证协议主要有安全套接层SSL协议和安全电子交易SET协议。SSL协议主要是用于银行与企业或企业与企业间的电子商务,SET则是为持卡消费、网购等电子商务服务的。SET协议认证体系较为完善,可以进行多方认证,可以提供更为可靠的安全保障。使用SET协议期间,卖家是无法看到用户的账户信息的,而对于用户订购的具体内容银行也是不清楚的。
3.6不轻易打开网站链接不轻易打开网站链接主要是针对身份仿冒问题的。为了防范这种骗局,对于不信任的网站、别人发来的链接,我们都不要轻易去打开,以免被不法之徒利用从而发生账户信息泄露等问题。
4安全管理策略
除了运用上述技术来保证电子商务系统的安全外,电子商务平台还还必须要有严格的内部安全机制,以此杜绝2012年发生的一号店员工泄露用户信息类似事件。内部安全机制可以从以下几方面来建立:
4.1人员权限电子商务系统的所有人员,必须按照其职责范围对其权限进行设定,对于不属于自己职责范围的,没有权限进行访问。
4.2管理原则安装分级进行管理,对于电子商务中内部用户帐户和密码必须严格的管理,要进行严格的身份确认后才能进入系统。
4.3工作记录要建立网络安全的维护日志,对与安全相关的所有信息进行记录,以便发生突发状况时可以进行查询,并要对工作记录定期地检查,这样就可以及时发现存在的安全隐患。
4.4信息备份对重要的信息、数据进行备份,在备份后针对不同数据信息的重要程度,对此再进行加密处理。
5结论
在人们享受电子商务带来的便捷的同时,也要意识到电子商务安全的重要性。因为电子商务在交易过程里,交易双方并不见面,相互间欠缺直接交流,也无法审核双方真正的身份,这些都会提高电子商务交易的风险性,所以,对于电子商务的安全要采取进一步的探讨。
1 电子商务的定义及具备的问题
1.1 何为电子商务
电子商务是商务活动过程里的一个全新的形式,经由现代信息技术的方法,透过数字化信息网络乃至计算机装置代替过去在交易过程里通过纸质方式进行的存档、传递及统计的方式,展现出商品和服务交易甚至交易管理活动的在线交易形式,使得物流和资金展现出高效率、低成本的信息化管理以及网络化能感应的意义。事实上,电子商务不仅具备了以Internet为交易平台的交易,还包含了以Internet、内联网、外联网乃至其它广域网、局域网为形式的交易环境。就当前而言,电子商务主要具备以下形式:(1)网上直接交易,交易对象大多是软件、文艺作品或者广告等一些无形商品;(2)网上订单,可是延续传统模式进行交易,交易对象大多是各类有形商品。当前在发达国家,网上实施电子贸易产品主要有三种:实体商品、数字化商品以及联机服务[1]。
1.2 电子商务中具备的问题
大众身为电子商务的对象,信息技术是完成电子商务的基本条件,电子商务进行的前提为信息安全。
1.2.1 计算机网络的安全
(1)安全协议
虽然当前经济信息已经呈现出全球化的发展形态,可就安全协议而言依然不具有全球性的规范和标准,约束了国际性的商务活动,而且,计算机安全管理还存有相对隐患,大部分无法实现抵抗黑客进攻的能力。
(2)信息安全
非法用户通过网络采用非法手段进行传输,通过非法形式将合法用户的有效信息进行拦截,最终导致合法用户的一些关键业务数据泄漏或者被非法用户恶意篡改,令信息失去真实性和完整性,最终导致合法用户无法正常使用。有些非法用户经由截获网络数据包进行二次发送,对对方的网络软件和硬件进行恶意攻击。
(3)服务器。
电子商务服务器在电子商务中尤为关键,设置了许多和电子商务有关的软件与商家信息,并且服务器中的数据库具备了企业保密数据,如:成本、价格等等,所以次服务器较易收到安全威胁,并且一旦引发安全问题,就会构成非常恶劣的后果。目前,服务器在安全方面并没有收到阻止。非法用户对网络或主机进行非法信息攻击,造成服务器的安全隐患,使得服务器不仅浪费了可用资源,还无法正常提供服务。透过操作系统、网络服务、软件和网络协议的安全漏洞,向网站输送数据请求,使得网络应用服务器无法正常服务[2]。
1.2.2 电子商务交易安全
(1)无法确认身份
由于电子商务的进行需要透过虚拟网络为平台,在此平台上进行交易时,双方无需面对面进行较易,所以形成了交易双方身份具有不确定性的因素存在。攻击者能够经由非法形式窃取合法用户的身份信息,冒充合法用户与他人进行较易,从而进行非法获利。
(2)交易抵赖现象
电子商务交易存在不可抵赖性。有些用户通过对自己发送的信息进行恶意否定,推卸责任。交易抵赖现象主要体现在以下状况中:者否定所发送的信息欣荣、接收者否认接受过的信息内容、购买者否认订过的订单、商家出于售出商品的质量问题而否认交易。
2 电子商务安全技术和策略
2.1 电子商务安全技术的架构
电子商务安全技术体系包含了网络服务层、加密技术层、安全协议层以及安全认证层四个方面,它能够保障电子商务交易中数据的完整性以及安全性的逻辑结构。在这几层结构里,下一层身为上一层的基石,给上一层给予技术方面的支持。通过安全控制技术实施安全策略,进而构成一个完成的整体,相互依存、相互关联,进而实现电子商务的安全进行[3]。
2.2 电子商务安全策略
2.2.1 创建完善的电子商务法律制度,强化执法力度
随着电子商务的不断发展,电子商务网站如雨后春笋般涌现,从而使得很多网络交易法律问题不断涌现,如此一来,处理网络交易的安全问题就要依照一个相同的法律法规执行,而当前的电子商务法律制度并不完善,需要创建必要的完善的法律体系。并且针对一些网络交易中的违法行为,必须提高执法力度,进而实现规范电子商务交易的目的。
2.2.2 创建完善的信用体系,提升电子商务安全意识
信息体系作为电子商务规范和发展的基础,为了加快电子商务良性循环,一定要创建完善的信用体系,并且也要提高电子商务的安全意识,不可以将利益摆在首位,要对安全性具备充分的重视。
2.2.3 通过加密技术、交易协议以及安全认证等途径对交易信息的安全性进行保护
积极参考国外先进经验及技术,尽量创建一套完善的电子商务安全体系,通过不同加解密算法提升和完善电子商务的交易安全,定期进行检查并更换密钥。
2.2.4 强化互联网络安全性,预防信息泄漏
最普遍的网络安全保护方式为防火墙技术。电子商务内外网以及互联网之间最好设置防火墙,如此不但能够提高内部局域网络的速度,还可以预防恶意病毒及木马的攻击。
2.2.5 提高子商务的安全管理,创建良好的电子商务环境
当前,我国电子商务发展的环境依旧存在许多问题,电子商务交易管理也需要继续提高。并且为了构建良好的电子商务环境,还要添加第三方支付平台以及交流的支持。
论文摘要:随着商业银行网上业务的不断发展,电子商务安全风险管理策略成为理论与实践中必须重视的课题。剖析现阶段电子商务安全网风险策略的薄弱点,发展商业银行电子商务安全风险管理策略,应借鉴成熟的传统金融风险度量中的一些方法改变电子商务安全管理对资产进行粗略的优先级别排序,用系统管理思想构建商业银行电子商务安全管理框架,并将商务安全风险纳入风险管理范畴。
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
计算机电子商务涉及到与商品与服务有关的各种行为,其涉及面非常广,包含着极为丰富的信息,如果电子商务信息安全性能不好,出现信息泄露的情况,对企业与个人都会造成巨大的影响。由此看来,充分认识计算机电子商务信息安全的重要性,并能采取有效的措施维护电子商务信息的安全,有着重要的意义。
1计算机电子商务中存在的安全问题
计算机电子商务是对公众开放的,电子商务信息安全性关系着公众的利益。电子商务需要把信息安全摆在最重要的位置,目前,我国电子商务还存在很多问题。
1.1信息存储的安全问题
由于电子商务运行的环境是开发的,在信息存储过程中,会存在不安全的隐患。首先,内部会存在不安全的因素,企业内部客户没有得到授权,而对信息进行任意的修改、删减、调用都会影响信息存储的安全;其次,外部也存在对信息存储安全造成威胁的因素。随着计算机网络技术的发展,外部人员,如信息间谍、黑客、竞争对手等都可以采用非法的手段对计算机网络进行入侵,调用电子商务信息,并对其进行随意操作。
1.2信息传输的安全问题
电子商务信息在动态传输过程中也会存在安全问题,信息在传输过程中可能会遭遇截获、篡改、伪造等安全问题;对已经做过的交易给予否定;网络硬盘遭到损坏;软件程序出现错误等等。传输过程中很多因素会导致电子商务信息出现丢失等安全问题。
1.3交易过程中信息安全问题
与传统的商品与服务的交易方式不同,计算机电子商务实现了突破,对传统的交易方式的时间、空间与形式都做了翻天覆地的改变。电子商务的发展,让买卖的双方可以在网络中实现交流并完成交易。然而这样的方式也会存在很多安全问题。对于卖方,可能会存在恶意程序破坏电子商务信息,信息间谍也可以通过高科技手段对计算机电子商务信息进行窃取等等,对于买方,同样会存在这样的交易安全问题。交易过程中的安全问题,会使卖方与买方都蒙受巨大的损失。
2新时期维护计算机电子商务安全的对策与措施
2.1研发计算机电子商务信息安全保障技术
电子商务是在计算机网络技术发展的基础上发展起来的,计算机网络技术的发展促进了电子商务的发展。只有不断进行技术的完善,才能从根本上保障计算机电子商务信息的安全。因此,必须不断进行网络安全技术的研究,以保障电子商务信息的安全。
2.1.1数据加密技术的研究
对信息数据加密能保护数据、口令、文件等信息的完整性,使得其不容易被随便破解。对称加密技术与非对称加密技术的都是常用的数据加密技术,在加密过程中,还可以将上述两种加密技术结合使用。现阶段,常用的数据加密秘钥密码体系算法有国际数据加密算法IDEA、数据加密标准DES、三重DES等。
2.1.2防火墙技术
防火墙技术可以对网络之间控制机制系统起到加强的作用,既可以以单个的状态存在,也可以以群体的状态存在。对所有由内而外的流量进行监控,只有经过授权的数据流量才可以通过,能有效防止非法入侵。可以进行防火墙安全设置,也可以对网络服务访问权限进行设置,对不安全协议的域进行过滤。
2.1.3防病毒技术
加强对计算机病毒特征的侦测技术研究,并利用其能长期驻于计算机系统内存中的优势,获取系统的控制权,对系统中毒的情况进行检测,当遇到可疑情况时,采取有效的技术手段对计算机病毒进行阻止,防止其进入到系统内部,对计算机系统内部造成破坏。同时,还需要研发消除病毒的技术,消灭病毒并对文件进行复原。
2.2对电子商务法律法规进行完善
2.2.1电子支付法律制度
电子支付过程涉及到收款人、付款人和银行三个方面,需要对三者进行法律关系的明确,制定相关的法律法规,对电子商务中违规的行为进行严格的处理,并建立完善的电子支付机制,对于电子签名给予承认。
2.2.2建立交易安全法律制度
对于电子商务交易也需要通过法律来进行规范与保护。建立交易安全相关的法律法规,对交易双方的隐私安全进行保护,对电子商务交易中的矛盾与纠纷进行有效处理,防止电子商务交易诈骗现象的发生。维护电子商务的安全。
2.3提升用户安全意识
在新时期,要保障计算机电子商务的安全,需要有可靠的安全技术、完善的计算机电子商务相关法律法规,这些策略可以从外部保证计算机电子商务的安全。但是,要想全面的保障安全,必须强化用户自身的安全意识。如果用户的专业知识不充足,又缺乏计算机电子商务的相关安全意识,会埋下很多安全隐患。很多非法入侵者注意到用户缺乏专业知识与安全意识,选择从用户身上寻找突破口,入侵用户的账号,进而获取系统管理员的账号,从而直接入侵整个系统,使得系统内的数据信息被窃取或者整个系统出现崩溃的现象。由此看来,用户的专业知识与安全意识对计算机电子商务的安全也有着重要的作用,用户需要不断提高自身的安全意识,掌握相关专业知识,从自身入手,为新时期计算机电子商务的安全打牢基础。
