时间:2023-03-29 09:25:53
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇商务安全论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
(一)数据的私有性和安全性
如果不采用特别的保护措施,包括电子邮件等在internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径,想任意窃听一组数据传输是不可能,但是一些设置在web服务器的黑客程序却可以查找和收集特定类型的数据,这些数据包括信用卡、存款的账号和相应的口令。同时,因为internet的开放性设计,数据私有性和安全性还包括数据传输之外的问题,例如:连入internet的数据存储网络驱动器的安全性。所以,任何存储在web服务器上的数据必须采取保护措施。
(二)数据的完整性
对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整性的攻击。当然,破坏了完整性也就意味着破坏了保密性,因为能改变信息的窃取者肯定能阅读此信息。完整性和保密性间的差别在于:对保密性的安全威胁是指某人看到了他不应看到的信息。而对完整性的安全威胁是指某人改动了关键的传输。破坏他人网站就是破坏完整性的例子。破坏他人网站是指以电子方式破坏某个网站的网页。破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时,就说发生了破坏他人网站的行为。由于internct的开放体系,如果具备了特定的知识和工具,则完全可以更改传输中的数据。同时,要采取适当的存取访问控制,以保证数据存取系统的安全。在电子商务中务必保存数据最初的格式和内容。
(三)认证
在猖獗的网络欺诈或者反悔中,网络交易者隐身在电脑屏幕背后,身份难以识别的问题是其重要渊源。建立有效的网上交易身份认证机制,提升交易双方的信用度是有效控制网络欺诈的重要途径,对于电子商务的健康发展有着重要作用。交易方的信用问题已经成为制约电子商务发展的重要瓶颈之一。在现实社会中,即便有着诸多因素的制约,仍然普遍地存在着信用缺乏的现象,建立完善的信用机制已经成为社会各界的共识。在电子商务的具体实现中,首先要确认当前的通讯、交易和存取要求是合法的。例如,internet中的计算机系统的身份是其由IP地址确认的。黑客通过IP欺骗,使用虚假的IP地址,从而达到隐瞒自己身份盗用他人身份的目的。在日常电子邮件的使用中可以很容易地发匿名邮件,或者使用不真实的邮件用户名。因此,在电子商务中必须建立严格的身份认证机制,以确保参加交易各方的身份真实有效。
(四)不可否认性
不可否认主要包含数据的原始记录和发送记录,确认数据已经完成发送和接收,防止接收用户更改原始记录,防止用户在已经收到数据以后否认收到数据,并拖延自己的下一步工作。为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性。
简言之,在internet上实现电子商务面临的任务:(1)私有性,即保证只有发送者和接收者可以接触到信息;(2)完整性,即信息在传输过程中未经任何改动;(3)身份认证,即接收方可以确信信息来自发信者,而不是第三者冒名发送,发送方可以确信接收方的身份是真实的,而不至于发往与交易无关的第三方;(4)不可否认性,在交易数据发送完成以后,双方都不能否认自己曾经发出或接收过信息。
电子商务面临的上述问题主要是由对系统的非法入侵造成的。首先是网络黑客,他们通过发现web服务器、操作系统或者主页部件在配置方面的漏洞,攻击网络系统。其次是内部入侵,这主要是由企业IT部门的员工造成的,保护网络的物理安全(如主控机房)及严格的口令管理制度,是防范该类问题的关键。还有恶意代码(如计算机病毒),它们在企业的传播会给电子商务系统造成严重的损失。另外,值得关注的是计算机系统本身的问题,例如,由于电源造成的系统宕机,以及广域网络的通讯,这些都会直接造成服务的突然中止,影响电子商务的形象。我们还应关注系统管理方面的问题,有时电子商务出现的问题既非黑客也非系统本身的毛病,而是源于对敏感数据处理不善或者是安全系统(如防火墙)的不正确配置。用户的身份认证是计算机系统安全的基础工作,数字签名加密等技术在这里可以充分起到作用。
二、电子商务安全系统关键技术
(一)ssLVPN技术
SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。
VPN(虚拟专用网)则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。VPN是一项非常实用的技术,它可以扩展企业的内部网络,允许企业的员工、客户以及合作伙伴利用Internet访问企业网,而成本远远低于传统的专线接人。过去,VPN总是和IPSec联系在一起,因为它是VPN加密信息实际用到的协议。IPSec运行于网络层,IPSeeVPN则多用于连接两个网络或点到点之间的连接。所谓的SSLVPN,其实是YPN设备厂商为了与IPsecVPN区别所创造出来的名词,指的是使用者利用浏览器内建的SecureSocketLayer封包处理功能,用浏览器连回公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层(ssL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSLVPN解决方案可保证企业进行安全的全局访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间,SSLVPN克服了IPSecVPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的IPSecVPN非常困难,甚至是不可能的,这是由于必须更改网络地址转换(NAT)和防火墙设置。(二)加密技术
数据加密技术作为一项基本技术,是电子商务的基石,是电子商务最基本的信息安全防范措施。其实质是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获取真实信息的一种技术手段,确保数据的保密性。基于加/解密所使用的密钥是否相同,可分为对称加密和非对称加密两类。
(1)对称加密。对称加密的加密密钥和解密密钥相同,即在发送方和接收方进行安全通信之前,商定一个密钥,用这个密钥对传输数据进行加密、解密。对称加密的突出特点是加解密速度快,效率高,适合对大量数据加密。缺点是密钥的传输与交换面临安全问题,且若和大量用户通信时,难以安全管理大量密钥。目前,常用的对称加密算法有DES、3DES、IDEA、Blowfish等。其中,DES(DataEncryptionStandard)算法由IBM公司设计,是迄今为止应用最广泛的一种算法,也是一种最具代表性的分组加密体制。DES是一种对二元数据进行加密的算法,数据分组长度为64bit,密文分组长度也是64bit,没有数据扩展,密钥长度为64bit,其中有8bit奇偶校验,有效密钥长度为56bit。加密过程包括16轮的加密迭代,每轮都采用一种乘积密码方式(代替和移位)。DES整个体制是公开的,系统的安全性全靠密钥的保密。DES算法的入口参数有3个:Key、Data、Mode。其中,Key为8个字节共64位,是DES算法的工作密钥。Data也是8个字节64位,是需被加密或解密的数据。Mode为DES的工作方式,分为加密或解密两种。DES算法的步骤为:如Mode为加密,则用Key去对数据进行加密,生成Data的密码形式(64位)作为DES输出结果。如Mode为解密,则用Key去把密码形式的数据Data解密,还原为Data的明码形式(64位)作为DES的输出结果。DES是一种世界公认的较好的加密算法,具有较高的安全性,到目前为止除了用穷举搜索法对DES算法进行攻击外,尚未发现更有效的方法。
(2)非对称加密。非对称加密的最大特点是采用两个密钥将加密和解密能力分开。一个公开作为加密密钥;一个为用户专用,作为解密密钥,通信双方无需事先交换密钥就可进行保密通信。而要从公开的公钥或密文分析出明文或密钥,在计算上是不可行的。若以公开钥作为加密密钥,以用户专用钥作为解密密钥,则可实现多个用户加密的信息只能由一个用户解读。反之,以用户专用钥作为加密密钥而以公开钥作为解密密钥,则可实现由一个用户加密的消息而使多个用户解读,前者可用于保密通信,后者可用于数字签字。非对称加密体制的出现是密码学史上划时代的事件,为解决计算机信息网中的安全提供了新的理论技术基础。其优点是很好地解决了对称加密中密钥数量过多难以管理的不足,且保密性能优于对称加密算法;缺点是算法复杂,加密速度不是很理想。
目前,RSA算法是最著名且应用最广泛的公钥算法,其安全性基于模运算的整数因子分解的困难性。
算法内容简要描述如下:①独立选取两大素数p和q,计算n=p×q;其欧拉函数值z=(p-1)×(q-1)。②随机选一整数e,1≤e由于RSA涉及大数计算,无论是硬件或软件实现的效率都比较低,不适用对长的明文加密,常用来对密钥加密,即与对称密码体制结合使用。
(三)网上交易身份认证机制
网上交易身份认证对于建立电子商务业界的信用机制起着重要作用,因此如何确认网上交易者的身份便成为诸多电子商务网站迫切希望解决的问题。
(1)在目前网络法律制度还不健全的时代,自律机制非常重要,网络交易的有效性和真实性在一定程度上能够反映这个国家的信用机制的完善程度。相对而言,国外的电子商务信用体系相对较高,其交易身份认证多与信用卡等银行信用记录挂钩,而我国则更多的是通过手机和身份证等方式进行。
(2)一些网上交易平台为了帮助交易双方打消顾虑,顺利进行交易,提供第三方介入的支付方式,以保护双方的合法利益,这种机制对于维护网上交易的诚信起到了很好的作用。
(3)电子邮件在电子商务交易中对子商务交易者的身份认证机制起着重要作用。电子邮件一旦重复则易造成无法注册,甚至很多网站要求用户两次输入有效的电子邮件以进行确认,以确保之后的所有信息能够顺利进行,所有的网站均将用户的电子邮件作为联系用户和确认用户诸多信息的重要联系方式,其便捷性毋庸置疑。但是,在电子邮件收费的模式基本上发展前景不甚明朗的今天其有效性和真实性还值得商榷。
(4)用户注册中所提交的资料即身份认证过程中会涉及到很多可以列为用户隐私权保护的信息,因此,在进行身份认证时还需要考虑隐私权保护问题。现在几乎所有的电子商务网站上都有隐私权法律声明,或者在用户填写过程中就通过链接的形式弹出窗口声明用户的这些资料将被用于那些用途。尽管如此,由于网络上没有绝对的安全,如果由于技术上的原因导致用户的身份认证资料泄露给他人,甚至被他人用于牟利或者其他非法目的,网站是否应该承担责任、应该承担什么样的责任,也是身份认证机制应该考虑的问题。
电子商务的安全问题是利害攸关的,安全遭到破坏会使他人信息泄露或导致信息滥用。电子商务安全策略必须明确保密、完整、不可否认的要求。总之,如何建立电子商务安全策略,并逐步完善这个策略,需要政府、电子商务企业、学者等的共同努力,任重而道远。
随着信息技术在贸易和商业领域的广泛应用,利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化,已成为各国商务发展的一大趋势。电子商务正是为了适应这种以全球为市场的的变化而出现的和发展起来的,它是当今社会发展最快的领域之一,同时也为全球的经济发展带来新的增长点。电子商务正在改变着人们的生活以及整个社会的发展进程,贸易网络将引起人们对管理模式、工作和生活方式,乃至经营管理思维方式等等的综合革新。对贸易和商业领域来说,电子商务的发展正在改变着传统的贸易方式,缩减交易程序,提高办事效率。现在,许多网站都提供有“商城”,供网民在网上购物。可以说,电子商务应用将越来越普及。然而,随着Internet逐渐发展成为电子商务的最佳载体,互联网具有充分开放,不设防护的特点使加强电子商务的安全问题日益紧迫,只有在全球范围建立一套人们能充分信任的安全保障制度,确保信息的真实性、可靠性和保密性,才能够打消人们的顾虑,放心的参与电子商务。否则,电子商务的发展将失去其支撑点。
要加强电子商务的安全,需要企业本身采取更为严格的管理措施,需要国家建立健全法律制度,更需要有科学的先进的安全技术。
在电子商务的交易中,经济信息、资金都要通过网络传输,交易双方的身份也需要认证,因此,电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒,使网络系统连续稳定的运行。常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术。交易信息的安全是指保护交易双方的不被破坏、不泄密,和交易双方身份的确认。可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。
在这里我想重点谈谈防火墙技术和数据加密技术。
一、防火墙技术。
防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些禁止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。
新一代的防火墙产品一般运用了以下技术:
(1)透明的访问方式。
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。而现在的防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。
(2)灵活的系统。
系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。
(3)多级过滤技术。
为保证系统的安全性和防护水平,防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透胆连接,并对服务的通行实行严格控制。
(4)网络地址转换技术。
防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
(5)Internet网关技术。
由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面,新一代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
(6)安全服务器网络(SSN)。
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
(7)用户鉴别与加密。
为了降低防火墙产品在Ielnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
(8)用户定制服务。
为了满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。
(9)审计和告警。
新一代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。此外,防火墙还在网络诊断、数据备份保全等方面具有特色。
目前的防火墙主要有两种类型。其一是包过滤型防火墙。它一般由路由器实现,故也被称为包过滤路由器。它在网络层对进入和出去内部网络的所有信息进行分析,一般检查数据包的IP源地址、IP目标地址、TCP端口号、ICMP消息类型,并按照信息过滤规则进行筛选,若符合规则,则允许该数据包通过防火墙进入内部网,否则进行报警或通知管理员,并且丢弃该包。这样一来,路由器能根据特定的刿则允许或拒绝流动的数据,如:Telnet服务器在TCP的23号端口监听远程连接,若管理员想阻塞所有进入的Telnet连接,过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快,实现方便,但由于它是通过IP地址来判断数据包是否允许通过,没有基于用户的认证,而IP地址可以伪造成可信任的外部主机地址,另外它不能提供日志,这样一来就无法发现黑客的攻击纪录。
其二是应用级防火墙。大多数的应用级防火墙产品使用的是应用机制,内置了应用程序,可用服务器作内部网和Internet之间的的转换。若外部网的用户要访问内部网,它只能到达服务器,若符合条件,服务器会到内部网取出所需的信息,转发出去。同样道理,内部网要访问Internet,也要通过服务器的转接,这样能监控内部用户访问Internet.这类防火墙能详细记录所有的访问纪录,但它不允许内部用户直接访问外部,会使速度变慢。且需要对每一个特定的Internet服务安装相应的服务器软件,用户无法使用未被服务器支持的服务。
防火墙技术从其功能上来分,还可以分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙等等。通常几种防火墙技术被一起使用,以弥补各自的缺陷和增加系统的安全性能。
防火墙虽然能对外部网络的功击实施有效的防护,但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的,还需考虑其它技术和非技术的因素,如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。就防火墙本身来看,包过滤技术和访问模式等都有一定的局限性,因此人们正在寻找更有效的防火墙,如加密路由器、“身份证”、安全内核等。但实践证明,防火墙仍然是网络安全中最成熟的一种技术。
二、数据加密技术
在电子商务中,信息加密技术是其它安全技术的基础,加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式(即加密),在线路上传送或在数据库中存储,其他用户再将密文还原成明文(即解密),从而保障信息数据的安全性。
数据加密的方法很多,常用的有两大类。一种是对称加密。一种是非对称密钥加密。对称加密也叫秘密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。典型的代表是美国国家安全局的DES。它是IBM于1971年开始研制,1977年美国标准局正式颁布其为加密标准,这种方法使用简单,加密解密速度快,适合于大量信息的加密。但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N*(N-1)/2个密钥,难于管理。第三,不能鉴别数据的完整性。
非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥解密的数据只能用对应的公钥解密。具体加密传输过程如下:
(1)发送方甲用接收方乙的公钥加密自己的私钥。
(2)发送方家用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。
(3)接收方乙用自己的私钥解密,得到甲的私钥。
(4)接收方乙用甲的公钥解密,得到明文。
这个过程包含了两个加密解密过程:密钥的加解密和文件本身的加解密。在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。可以保证信息的不可抵赖性。
论文摘要:电子商务安全问题已成为制约电子商务发展的重要问题,安全问题包括电子商务交易安全、计算机网络安全等显性的问题,还包括管理、法律和标准等方面的隐性问题。通过对电子商务安全体系的分析,研究电子商务安全策略,建立一个安全电子商务环境,将促进电子商务健康快速地发展。
电子商务是一个跨国界,跨地区,跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突,不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本,从各主体的角度思考,综合协调了各个市场主体的行为,从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益,它为实现电子商务提供了统一的基础平台和安全屏障。
一、电子商务安全技术保障策略
安全技术保障技术是电子商务安全体系中的基本策略,目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种:
1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换,变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。
2.身份验证技术。电子商务主体向系统证明自己身份,并由系统查核该主体的过程,是确认真实有效身份的重要环节,这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。
3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认,防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。
4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类:分组过滤、应用、电路网关。
二、企业电子商务安全运营管理制度保障策略
企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定,是保证企业取得电子商务成功的基础,是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度,保密制度,跟踪审计制度,系统维护制度、数据备份制度等。
1.人员管理制度人员管理制度主要从人员的选拔,工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。
2.保密制度电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密,这些方面都是需要很好地划分信息安全级别,并确定安全防范重点,提出相应的保密措施。
3.跟踪审计制度跟踪制度就是要求企业建立网络交易的日志机制,来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核,及时发现对系统有安全隐患的记录,监控各种安全事故,维护和管理系统日志。
4.网络系统的日常维护制度网络系统的日常维护包括硬件的日常维护和软件的日常维护,硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修;软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。
5.数据备份制度数据备份主要是利用多种介质对信息系统数据进行存储,定期为重要信息备份、系统设备备份,并定期更新,以减少安全事故发生时造成的损失。
三、电子商务立法策略
电子商务安全得到法律保障,首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。
1.立法目的电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性,保护合理的商业行为,保障电子交易安全;建立一个清晰的法律框架以统一调整电子商务的健康发展。
2.立法范围电子商务安全方面需要的法律法规主要有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法,知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等;电子商务调整的对象是电子商务中的各种社会关系。
3.立法途径电子商务法律仍然是调整社会关系,所以应当继承传统立法的合理内核,尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。对于传统法律没有规定的,即由电子商务带来的新的社会关系,应尽快制定法律规范;第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确,或与电子商务新型社会关系有冲突甚至存在缺欠的,可以修改或重新解释既定的法律规范。
四、政府监督管理策略
电子商务本质是一种市场运作模式,市场的正常健康有序地发展,必须有政府宏观上的监督与管理,以协调和规范各市场主体的行为,宏观监督与管理电子商务运行中的安全保障体系。
1.计算机信息系统安全管理计算机信息系统,是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度,计算机系统使用单位安全负责制度,计算机案件强行报告制度,计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护,有利于保障国家的安全和社会安定,促进电子商务的安全交易过程,有利电子商务的健康发展。
2.网络广告和网络服务业管理由于网络的开放性,自由性等特征决定了网络广告监管的难度,虚假广告、广告充斥着网络空间,网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手:第一,网络广告组织的管理,必须对网站广告经营主体资格进行管制,第二,规范网络广告内容,确保广告内容的真实性、合法性和科学性。第三,需要有具体的广告审查管制、评估与监测部门。
国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》,其中提出了详细具体的限制条件。但是,网络飞速发展,面对网络中的新问题,还必须进一步深入全面地研究。
3.认证机构管理认证机构是电子商务活动中专门从事颁发认证证书的机构,对电子商务交易活动顺利进行,电子商务活动中交易参与各方身份和信息认定,维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督;同时,还要针对其资产和财务状况定期审查,以免发生财务危机,对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。
4.加强社会信用道德建设,构建和谐安全电子商务电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的,在我国尤其严重,甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式,必然存在不少漏洞,这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施,更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律,充分利用网络新闻舆论监督,消费者舆论监督和行业协会的管理监督。
五、结束语
电子商务安全不仅涉及到电子商务公司、企业、消费者的利益,而且更加广泛地涉及经济、政治、国防、文化等诸多方面,关系到国家的安全、和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈,只有解决了电子商务安全,保障了市场主体的利益,才能得到网络用户的认可和参与,电子商务自身也才能得到快速、健康地发展。
参考文献
[1]林宁,吴志刚.我国信息安全技术标准化现状[J].中国标准化,2007(4)
[2]胡艳春.电子商务网站建设中的安全问题研究[J].商场现代化,2006,(10)
中国如今的电子商务市场一直保持着40-50%的市场增长率,它的交易规模已经占到了中国消费总额的5%,并开始表现出明显的GDP拉动力。从2009年起,中国的电子商务表现出来星火燎原般的势态,可以预测的是:中国的电子商务,必将成就中国另一轮的经济飞跃。
2绪论
伴随着互联网和信息技术的飞速发展,电子商务从零到有,并逐步向高水平、规范化发展。十年来中国电子商务始终保持40-50%的高速发展,2009年的中国电子商务并为受到全球金融危机的影响,相反却在金融危机中爆发出更强的生命力和适应力。2009年中国电子商务市场规模超过35000亿元,同比增长48.5%,高于2008年的41.2%。
电子商务的安全法律是指为了保障电子商务在交易过程中的安全性,由国家政府相关部门出台的对交易过程进行保护的法律。目前,我国就电子商务安全问题已经进行了初步的法律立项实施,但是依然存在较大的漏洞和隐患,需要国家相关部门进一步加强。
安全管理是有效降低我国电子商务交易过程中存在风险的重要手段,特别是在交易过程中,交易双方进行电子合同签订,安全中心不仅要监督买方的及时付款,同时还要监督卖方是否提供与合同一致的货物。在这些交易环节中,由于网络虚拟交易的缘故,存在非常大的安全管理隐患。为了有效防止这些安全隐患的爆发,降低风险带来的损失和伤害,需要国家政府出善的法律保护制度,形成一套互相关联、互相约束的管理制度体系。
3.电子商务安全
3.1电子商务安全概述
电子商务的运行和交易是基于计算机网络平台而展开的,所以安全问题大体上可以分为计算机网络安全和电子商务系统本身交易安全。没有网络,电子商务就不可能存在,网络作为基础,其安全性与电子商务安关系密切,在网络安全的前提下,电子商务系统特有的设计加以保障,两者相辅相成实现电子商务的整体安全。通俗的说,电子商务的安全就是“电子”和“商务”双重要求下的安全。
3.2国内电子商务安全问题现状
3.2.1信息安全环境
2010年,由中国互联网络信息中心(CNNIC)和国家互联网应急中心(CNCERT)在京联合的《2009年中国网民网络信息安全状况调查系列报告》中显示,2009年,52%的网民曾遭遇过网络安全事件,网民处理安全事件所支出的相关服务费用共计153亿元人民币。电子商务发展所面临的信息安全问题严重。根据相关调查显示,90%以上的网民计算机遭遇过病毒、木马、黑客的攻击,电子商务交易的安全环境已经受到了严重影响。
3.2.2技术与意识现状
电子商务的安全需要信息技术和使用者意识的同步跟进和提高,才能使交易真正安全。目前国内两方面因素同时存在,导致电子商务交易安全性下降。一是技术方面:国内防御杀毒软件整体水平较低,查杀效率和效果不佳,部分电子商务平台设计存在缺陷,为电子交易安全埋下隐患。二是网民、使用者意识方面:相比于高发的网络安全事件,仍有4.4%的网民个人计算机未安装任何安全软件;不足8%的手机网民安装手机安全防护软件,网民安全意识仍有待进一步提升;
盗版软件使用泛滥;软件认知低,不懂得区分使用;交易双方欠缺诚信,即使交易在设计较为完善的电子商务平台上进行,依然存在欺骗行为。
3.2.3电子商务诚信环境
随着互联网的发展,网络购物(B2B、B2C)作为电子商务的其中分支之一,已经成为了一种消费时尚、热门购物渠道。据中国互联网络信息中心的数据显示:2009年我国网购市场交易规模为2500亿元,较2008年翻了一番。而2010年网络购物的市场规模应该已超过4300亿元。网购人群也大幅度增长,2009年至少在网上买过一次东西的中国网民数历史性地突破了1亿人,达到1.08亿人,增长46%。而在2010年,使用过网络购物的互联网用户更是接近2亿人。网络购物已经成为发展最迅速,与网民利益最相关的网络应用。
与此相比,电子商务诚信环境却不如人意,甚至随着电子商务的发展而出现恶化的局势。2010年,有近28%的互联网用户遭遇过虚假钓鱼网站、诈骗交易、交易劫持、网银被盗等针对网络购物的安全攻击。目前对我国网络购物用户威胁影响最严重的还是钓鱼网站,在网购用户所遭遇的安全威胁中有72.4%是钓鱼网站的欺骗行为,2010年1-10月,平均每天新增的与网络购物相关的钓鱼网站约为1500个。钓鱼网站的典型的诈骗方式主要分为三大类:低价诱惑、交谈诈骗、电话诈骗。
3.2.4电子商务信用管理现状
因为电子商务交易的特殊性,交易双方不曾谋面,所以关于电子商务的信用管理就显得尤为重要。为防止电子商务的欺诈行为给网民带来经济上的损失,网络企业以及第三方电子商务平台都相继实行信誉管理方法,如信誉评价和信誉等级系统的建立,网络诚信公约(自律)等等,但由于电子商务发展较晚,管理经验不足,这些方法和系统存在较多的问题,有待提升。如中国电子商务诚信评价中心推出“中国电子商务诚信评价规范”,其中的诚信红蓝标识制度,认知度极低,据调查发现,有97%人不知红蓝标识的含义。就目前而言,在线信誉评估、等级系统,在设计完善的提前下,可以较为有效的降低了交易风险,因为其交易双方的历史信用表现,信用等级都是公开信息,可以作为买卖双方交易选择的参考,且其失信成本远远大于其利益获得,好的信用必然可以提升销售量,这也从侧面迫使销售者提供最好的服务,避免了双方欺诈行为。交易讲究的诚信,信誉系统能最有效地维持双方可信的商务关系。如目前国内最大的网购平台淘宝网,它的网商信誉评价和信誉等级系统相对成熟,这种评价系统“为消费者提供了诚信、安全的购物保障,大大提升了网络购物体验”。但它依然存在相当多的问题,信用评价流程不合理,在买到相对低劣的产品时,你选择退货的同时就丧失了评价的权利,两者只能选其一,那到底是留着不需要的产品而去评价,还是选择退货?恶意中差评现象猖獗,甚至出现恶意差评师这一职业,严重影响公平竞争。另外对于返修产品缺乏保障,笔者就遇到过产品寄回返修,迟迟没有反应,损害消费者利益。信用可信度有待验证,专业刷钻组织的出现,使得信用体系的可靠性降低。
4电子商务安全立法现状
电子商务因其带来的经济效益和流行发展趋势而备受关注,其安全立法问题也得到了国际性组织和各国政府的高度重视,尽快营造全球范围内的电子商务安全法律环境已成为国际社会的共识。要创造一个适应和规范电子商务安全交易、发展的法律境,政府部门职责首当其冲,在电子商务发展的监管和安全立法中发挥其主导作用。及时了解电子商务即时情况,制定出台相应的安全保障法律法规,鼓励、引导、电子商务健康发展,规范、维持必要的网络市场秩序,这已经成为当前世界各国立法工作的重要任务。电子商务的广泛性和无界性使得世界各国纷纷出台相应法律、行为准则和规范办法来推动本国电子商务安全、健康的发展,旨在抓住信息技术的机遇,提高自身竞争力,从而会的优势,同时也减少电子商务的交易纠纷、欺诈行为,保障了交易的安全性,为电子商务在全球范围内的发展扫平障碍。
4.1当前电子商务安全法律、制度尚不完善
电子商务因其基础网络这个开放又隐蔽的环境,而显得比较特殊,其商贸交易行为需要有专门的法律来规范和秩序的维持,目前我国已经相继出台了部分法律法规、行为准则,设立了相应的部门来规范、监管和保证电子商务的安全。但与国际电子商务立法现状和国内电子商务现实状况相比,显得比较尴尬。我国电子商务安全法律体系仍然存在较多空白,强针对性的立法需要加快,先行法规则亟需进一步改进和完善。电子商务安全法律的不足之处有:电子交易流程行为规范、用户隐私保护、法律效力不足,法律滞后,情况描述不清,没有有效惩戒措施,难以对电子商务中的失信者和破坏者造成较强的约束力。因此强快电子商务安全法律立法和改进已经迫在眉睫。
4.2现有电子商务安全法律
现行电子商务安全法律,具有较强针对性质的较少,大多分散各类法规之中,或是零星提及电子交易安全问题,目前电子商务交易安全的法律法规主要有以下四类:
(1)综合性的法律。如:《民法通则》和《刑法》中有关对商贸交易的安全保障条文。
(2)对交易主体进行规范的相关法律。如《公司法》、《国有企业法》、《集体企业法》、《私营企业法》、《外资企业法》等;
(3)规范交易行为的有关法律,包括经济合同法、产品质量法、价格法、消费者权益保障法,反不正当竞争法等等
(4)对监督交易行为进行规范的法律,如会计法、票据法、银行法等。
国务院颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》和公安部颁发的《计算机信息网络国际联网安全保护管理办法》是两个对电子商务具有重大影响的行政法规。
另外《中华人民共和国电子签名法》的颁布也具有重要意义。该法赋予电子签名与手写签名或盖章具有同等的法律效力,明确了电子认证服务的市场准入制度,标志着我国的信息化立法迈出重要步伐。
4.3电子商务安全立法困难的原因
电子商务发展壮大为商贸交易带来极大便捷和迅速优越性,成为了经济的强劲增长点,为全球经济的发展营造了良好的氛围,与此同时,因为其特点,也对社会各个领域特别是立法带来了困难和压力。
首先电子商务的立法,需要考虑国家和地区之间的差异,协调困难。电子商务基于网络,而网络却已经全球联通、跨越了地域的界限。它所面对的不只是一个地区、一个国家的市场,而是全球一体化的大市场。各国由于社会制度、政治状况、经济发展程度等不同而导致了现行法律法规的不同,要制定可以有效协调、高度一体化的商业和法律规则,谈何容易。
其次是电子商务交易处理、传输的实质就是对信号脉冲的传输和对数字流的处理,这种虚拟的平台上,双方的不曾谋面,使得信息资源对商家的商业信用提出了更高的要求。在信息得到广泛传播的同时,由于互联网既开放又隐蔽的特性使得信息的真伪有待验证,恶意的攻击、恶意的失信难以发现,即使发现也难以揪出终端背后的那个失信或破坏者,有法难断或者有法却找不到应受惩罚的人,而且对于包括制作版权、著作权、商标使用权、数据库等在内的知识产权保护也成为无法回避的问题。电子商务横跨领域之广、利益关联群体之多,和其有别于传统商务模式的无形化给税收体制及税收管理模式也带来了巨大的挑战。
再次,电子信息领域,技术日新月异,电子商务领域的技术进步速度已经超国家适时地调整其法律框架的能力。法律的变革无法做到像电子技术更新一样的快,也由于新的意想不到的问题的不断出现,使得适时的法律调整总跟不上电子商务高速发展的步伐。这是需要我们对于现行法律框架从根本上进行反思,困难而想而知。
5电子商务安全立法的对策研究
5.1电子商务安全需求分析
5.1.1主要内容
电子商务是网上公开直接虚拟交易的商务模式,它直接通过网络进行交易、支付、谈判、下单等,在这个过程中蕴藏了大量的商务信息,所以,电子商务的安全问题引起了网民、企业、行业、国家的广泛观众。根据电子商务的交易模式以及重要性分析,电子商务的安全需求主要包括以下几个方面:
1、信息的完整性;
2、信息的保密性;
3、信息的不可否认性;
4、交易双方的真实身份信息;
5、系统的可靠性;
6、资金的安全性。
5.1.2涉及领域
通过吸收国外成功的经验,结合我国自身电子商务发展特色以及社会主义国情特色,我国电子商务安全性的立法主要涉及以下几大方面:
1、保护消费者的合法权益;
2、交易双方的个人真实信息;
3、保密和信息的合法性访问;
4、数字签名以及第三方认证;
5、计算机犯罪和侵犯问题的有效控制。
5.2电子商务安全立法定位与模式
电子商务的安全法律保障问题,从其整体情况来看,主要表现为两大层次:第一,电子商务首先表现的是商品交易模式,它的安全需要通过民商法来进行规范保护;第二,电子商务是通过计算机及网络技术实现的,它的安全很大程度上依赖于计算机及网络的自身安全程度,这需要网络的安全管理法律来加以约束和保护。从第一点的角度来看,电子商务安全法律隶属于商法的范围。
因此,在立法过程中,重点还是需要从商法的角度,结合其依托计算机网络技术的特色,从全面化的角度出发,制定出高效规范的电子商务安全法律。
从电子商务安全立法的模式角度出发,电子商务的安全法律主要有以下两种选择:第一,在电子商务交易活动的法律中加入电子商务安全性法律内容;第二,另外指定电子商务安全单行法。这两种模式都有各自的优点和缺点,前者的立法成本低但是保护力度不够强,后者的立法程序复杂,所需资源多,但是保护力度大。在实际操作中,到底选择哪种模式,也是当下法律界正在研究分析的重点问题。本文提出的建议是分为两步走:先采用第一种模式,等条件成熟后而且又加强的需要,再进行第二种模式的立法。这样不仅可以快速成立相关法律体系,同时也可有效解决资源浪费的问题。
5.3我国电子商务安全性立法的对策分析
5.3.1健全电子商务法律,注重法律的滞后性
健全的电子商务立法体系不仅要包括有网络服务和网络管理的法律制度,同时还需要电子商务主体的立法和市场管理制度,以及电子商务交易支付的法律制度、网上商务行为制度、电子税法制度、客户个人隐私权保护法。只有建立系统性的法律制度,才能真正发挥电子商务安全法的作用。
在加强电子商务安全法建设的同时,同时也应该注重法律的滞后性带来的法律效力减弱。法律的滞后性首先表现为法律立法的程序,这是个严格的过程,需要问题显现的非常明白,并对该问题进行有充分的调研数据后,才可能形成立法的基本条件和背景,这个过程是繁琐的,是复杂的,是需要长时间的。另外,法律要建立起威信,必须较长的时间,在这段长时间里,网络的发展是非常快的,会发生不同程度内容的问题,而且这些问题会经常超过法律设定的范围,这些问题在客观上都表现为电子商务法律的滞后性,使得法律无法体现超前性,大大降低了法律的约束作用。
5.3.2加强立法部门对于电子商务的学习了解
立法部门在实际的工作经验中,可能只是了解法律相关体系知识,对于电子商务交易模式、支付模式等相关内容可能存在误解或者不了解的情况,这容易导致立法部门在立法的过程中,过于偏向法律的可行性,而忽略了电子商务法律的可行性。所以,加强立法部门对于电子商务的学习了解,使其真正深入了解电子商务整体运营过程以及涉及内容、存在的漏洞、需要加强的节点以及关联的群体等内容,从根本上制定高效可行规范的电子商务安全法律,从而降低因误解带来的时间拖延、资源耗费等其他损失。
另外,加强立法部门对于电子商务的学习了解的同时,应加强立法部门工作人员对于电子商务立法的重视度,从思想上加强工作人员对于电子商务安全立法的注重,从而加快电子商务安全立法的实施进度。
5.2.3系统化完善,架构法律体系
我国电子商务的飞速发展,对电子商务中的安全问题提出了更高的要求。在建立我国电子商务安全法律时,应多加考虑它与其他法律之间的关联度,从而架构其整体法律体系,进一步完善安全法律的有效性。具体内容如下:
1、在中国民法基本法原有的基础上,增加交易安全的理念和内容;
2、在计算机与网络安全管理的立法上,应针对电子商务在网络虚拟环境下运行的特点,加强电子商务交易安全保护的法律措施。
3、在商事单行法的立法上,可以适当突破现有民法的一些制度,基于商法的特殊性及独立性,满足电子商务较高的安全保护需求。
4、在法律解释上,全面清理我国最高人民法院作出的司法解释,剔除掉不利于电子商务安全的言论,对电子商务的安全问题进行重新正确的认识和解释。
5.2.4配套奖惩措施,提高安全法律威信度
奖惩措施是任何制度得以有效实施的保障制度,这里的奖惩措施具有两个重要的含义:
第一,是对电子商务安全制度在实施过程出现的良性事件和恶性事件进行适当的奖励和惩罚,或是进行高度的奖励和惩罚,从而在加强良性循环的同时,对制度实施过程中的恶性事件作出严厉的惩罚,起到杀一儆百的作用,从而有效提高电子商务安全立法的实施力度和效果。
第二,是对进行非法盗取电子商务信息或是破坏电子商务交易的不法分子进行严厉的法律制裁,以及对保护电子商务安全的良好事迹进行表扬。我国目前针对盗取电子商务信息或是破坏电子商务交易的不法分子还未建立有效的不法分子,才会使得这些不法分子妄想钻空子、踩地雷,这也是导致我国电子商务安全出现问题的一大关键因素。因此,建立电子商务奖惩措施,有利于提高对不法分子的控制以及提高人民对电子商务安全的保护意识。
5.2.5借鉴国外成功经验,结合自身特色国情
电子商务是全球性的电子商务,它是无国界、无种族之分的。所以,我国在建立电子商务安全法律时,可立足于国际立法的趋同性取向,借鉴国外成功的电子商务安全法律制度经验,并且结合我国的自身特色国情。中国的电子商务安全法律,只有争取与国际立法接轨,才能参与全球性的经济竞争。例如,新加坡在制定《电子&交易法案》时几乎全部采用了《电子商务示范法》的相关内容,同时根据《电子商务示范法》的总体精神以及自身国情,增加了部分内容。所以,我国在制定电子商务安全法律时,应尽量吸收国外原有的成果,再结合我国的特色国情,在降低立法成本、节省立法时间的同时,也提高电子商务安全法律的高效性和实用性。
6总结和展望
电子商务的安全问题是关系到电子商务能否继续发展的关键因素。随着我国计算机网络科学的逐步发展,某些非法分子对于电子商务安全模式已经越来越熟悉,如果电子商务再不加强安全防范以及法律法规的严加约束,电子商务的安全将成为我国经济法律的一大问题,这对我国经济、网民、电子商务企业来说都是非常不利的。因此,尽快建立我国的电子商务安全立法,建立有效可行的电子商务安全法律法规,从国家政治制度角度出发,为我国的电子商务发展进行强而有力的安全管束,以促进我国电子商务行业稳步健康的发展。随着我国电子商务的飞速发展,已经在我国人民生活中扮演的越来越重要的角色,电子商务的安全立法问题已经成为我国法政界、金融界和学术界共同关注的热点问题,因此,研究我国电子商务安全立法工作,建立科学高效的电子商务安全法律,为我国的电子商务的稳步健康发展奠定良好的基础,具有非常重要的理论意义和实践意义。
本文研究的主要贡献在于:探讨了我国电子商务安全现状以及立法存在的问题与对策。本研究以电子商务基本概念和特色为理论基础,通过对我国电子商务的安全现状进行分析,从而形成本研究的整体背景,接着分析我国安全立法的现状以及存在的问题,最后结合自身所学知识,提出改善我国电子商务安全法律的对策,希望对电子商务安全立法工作的开展能提供一些帮助。但是由于水平的限制以及实际经验的不足,加上我国目前电子商务法律问题整体上处于不成熟与多样化的阶段,使得本文在研究过程中遇到一些困难,加上文字功底不够等等,影响到了研究的效果,使得论文尚有以下不足之处:
1、研究过程中,对于我国电子商务安全现状只选取了几个主要的现状进行描述,考虑到本研究报告的篇幅问题,并没有对全部的现状进行描述。
2、在对我国电子商务安全立法的现状进行分析时,只对我国电子商务安全问题的难点以及现状进行代表性的描述,并未形成系统化的描述。
密码是一个人的私有信息,通过设置密码可以在一定程度上保证信息的安全性。在电子商务中会涉及到的银行账号的安全、交易信息的安全,都可以通过设置不同类型的密码来保护。在设置密码时可以设置不同的密码,增加所设密码的难度,定期修改密码,以及登陆密码和手机绑定密码等多种途径来保护账号的安全。有很大一部分人喜欢用同样的密码,这是一种不好的习惯。可能有人会说:“如果不设置相同的密码就记不住。”在这种情况下可以采取多种加密形式来保证账户安全。现在为了解决安全问题,不同的机构,包括电子商务公司、各大银行都推出许多加密设备,我们可以选用。
二、数字签名
在网络环境中,网络安全的最基本要求就是通信信息的真实和不可否认性,它要求通信双方能互相证实,以防止第三者假冒通信的一方窃取、伪造信息。在网络中实现通信真实性的方法是数字签名(DigitalSignature)。我们在教学过程中让学生能掌握的是正确使用自己的数字签名,学生走上社会做的不是科学研究,是应用型电子商务,主要包括银行账号的安全、交易账号的安全,可以使用不同的认证方法保证信息安全,数字签名就是一种很好的方法。例如,作为商业机构可以选择一家公信度较强、通过国际认证的CA认证中心,CA认证中心会对于你每次交易中数字签名进行处理,证明交易中的身份,保证签名的不可否认性,加快交易速度,节省交易时间。
三、不轻易打开网站链接
在日常店铺管理中,交易身份的假冒和网站的假冒时有发生,为了防范这种骗局,我们要做的就是不打开不信任的网站,不打开别人发来的链接。现在有一些骗子不仅是把自己伪装成购物网站去骗买家,从而盗取买家的账号、密码。也有一些骗子专门去搜索一些新开的网店去欺骗卖家,一是因为新卖家经验不足防骗知识薄弱,二是新卖家急于让店铺发生买卖,因此在交易时当这些不法分子告诉卖家自己进行的交易出现问题而发送链接时,卖家没有仔细查看确认交易就贸然打开了链接,给店铺造成了损失。
四、防火墙设置
近年来,作为保护计算机系统网络安全的重要措施,防火墙技术正日趋成熟。对于一些与防火墙相冲突的软件,需要关闭防火墙,有时网络安全有问题时,又需要启用防火墙。我们作为专业电子商务人员,要会对自己的电脑进行防火墙设置,设置时可以通过电脑的“控制面板”找到“防火墙”,打开“防火墙”自行设置。防火墙应该一直都处于打开的状态。
五、计算机病毒防范
电子商务强调企业与商家通过网络进行实时交流,安全防护的一点疏漏就可能使计算机病毒扩散到整个企业的网络,可能感染客户的计算机。因此应对计算机病毒进行防范。要想安全、可靠地防杀病毒,至少应该进行如下的工作:选择好的防杀病毒软件保护工作站、服务器;定期进行文件备份工作;定期对网络进行病毒扫描,异常检测;尽量多用无盘工作站;对远程工作站的登陆权限实施严格控制,尽量少用超级用户登录;定期更新病毒库;对网络设备的安全隔离。
六、结语
关键词:电子商务安全解决之策
一移动电子商务存在的安全问题分析
移动电子商务由于利用了很多新兴的设备和技术,因此带来了很多新的安全问题。在传统电子商务中,很多顾客和企业由于担心因安全问题蒙受损失而一直对这种高效便捷的商务方式持观望态度。而移动电子商务除包含大部分传统电子商务所面临的各种安全问题外,由于自身的移动性所带来的一些相关特性又产生了大量全新的安全问题。总的来说,移动电子商务的安全面临着技术、管理和法律几个方面的挑战,与传统电子商务相比,其安全问题更加复杂,解决起来难度更大。
1.无线窃听
传统的有线网络是利用通信电缆作为传播介质,这些介质大部分处于地下等一些比较安全的场所,因此中间的传输区域相对是受控制的。而在无线通信网络中,所有的通信内容(如移动用户的通话信息、身份信息、位置信息、数据信息等)都是通过无线信道传送的,无线信道是一个开放性信道,是利用无线电波进行传播的,在无线网络中的信号很容易受到拦截并被解码,只要具有适当的无线接收设备就可以很容易实现无线监听,而且很难被发现。
2.非授权访问数据
非授权访问是指未经授权的主体获得了访问网络资源的机会,并有可能篡改信息资源。攻击者能在服务网内窃听、非授权访问用户的敏感数据。这种访问通常是通过在不安全信道上截取正在传输的信息或者利用技术及产品中固有的弱点来实现。
3.假冒攻击
在无线通信网络中,移动站必须通过无线信道传送其身份信息,以便于网络控制中心以及其他移动站能够正确鉴别它的身份。由于无线信道传送的任何信息都可能被窃听,当攻击者截获到一个合法用户的身份信息时,他就可以利用这个身份信息来假冒该合法用户,这就是所谓的身份假冒攻击。另外,主动攻击者还可以假冒网络控制中心。如在移动通信网络中,主动攻击者可能假冒网络基站来欺骗移动用户,以此手段获得移动用户的身份信息,从而假冒该移动用户身份。
4.移动终端的安全管理问题
很多用户容易将比较机密的个人资料或商业信息存储在移动设备当中,如PIN码、银行帐号甚至密码等,原因是这些移动设备可以随身携带,数据和信息便于查找。但是由于移动设备体积较小,而且没有建筑、门锁和看管保证的物理边界安全,因此很容易丢失和被窃。很多用户对他们的移动设备没有设置密码保护,对存储信息没有备份,在这种情况下丢失数据或被他人恶意盗用,都将会造成很大的损失。
二电子商务安全管理的解决之策
1.身份认证技术
信息安全的一个重要方面是保证通信双方身份的真实性,即防止攻击者对系统进行主动攻击,如假冒用户等。身份认证是防止攻击者主动攻击的一个重要技术,它对于开放环境别是无线通信中各种信息的安全有重要作用。认证的主要目的,第一验证消息发送者和接收者的真伪,第二验证消息的完整性,验证消息在传送或存储过程中是否被篡改、重放或延迟等。口令是最简单的身份认证技术,安全性较差,因此有一次性口令等多种技术来提高它的安全性。利用密码技术,特别是公钥密码技术可以获得安全性较高的身份认证功能。保密和认证是信息系统安全的两个重要方面,它们是两个不同属性的问题,一般来说,认证不能自动提供保密,保密不能自然地提供认证功能。
2.WPKI技术
在有线通信中,电子商务交易的一个重要安全保障是PKI。PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题,但在应用PKI的同时要考虑到移动通信环境的特点,并据此对PKI技术进行改进。
3.安全管理模型的建立及实施
对移动电子商务系统的管理过程是一个动态的管理过程,是一个循环反复、螺旋上升的过程,论文尝试建立一个“闭环”管理模型,将安全管理的各个阶段融入于模型之中,然后不断连续审查整个过程,发现问题时及时更新,及时解决,以便形成越来越完善的安全系统。
制定一套完整的安全方案一套完整的安全方案是实现移动电子商务系统安全的有力保障,移动服务提供商应结合自己实际状况,从人力、物力、财力等各方面做好部署与配置。由于
安全方案涉及到了安全理论、安全产品、网络技术、系统技术实现等多方面专业技能,并且要求有较高的认知能力,因此可以聘请专业安全顾问公司来完成,大多安全顾问公司在做安全方案方面有着丰富的经验,能够制定出符合需要的合理的安全方案来。
4.制定并贯彻安全管理制度
在对系统安全方案和系统安全处理的同时,还必须制定出一套完整的安全管理制度,如外来人员网络访问制度、服务器机房出入管理制度、管理员网络维护管理制度等等。以此来约束普通用户等网络访问者,督促管理员很好地完成自身的工作,增强大家的网络安全意识,防止因粗心大意或不贯彻制度而导致安全事故。尤其要注意制度的监督贯彻执行,否则就形同虚设。
关键词:电子商务;身份认证;防火墙
一、有关电子商务的安全性要求
1.对电子商务活动安全性的要求:
(1)服务的有效性要求。电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
(2)交易信息的保密性要求。电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
(3)数据完整性要求。数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
(4)身份认证的要求。电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
2.电子商务的主要安全要素
(1)信息真实性、有效性。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
(2)信息机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
(3)信息完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
(4)信息可靠性、可鉴别性和不可抵赖性。可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
二、电子商务采用的主要安全技术
1.网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。
防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
2.通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[论/文/网LunWenNet/Com]
3.应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误。
4.用户的认证管理
(1)身份认证。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
(2)CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。
(3)安全套接层SSL协议。安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。
SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Ht2tp、Ftp、Telnet等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
三、电子商务安全需要进一步完善的配套措施
电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:
(1)突破关键技术受制于人的瓶颈。
(2)我国应尽快对电子商务的有关细则进行立法。
(3)大力开发大型商务网站,发展与之相配套的物流公司。
(4)为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。
(5)建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。
(6)对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。[论\文\网LunWenNet\Com]
参考文献:
[1]吴洋.电子商务安全方法研究[D].天津:天津大学,2006.
[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005(6).
[3]成卫青,龚俭.网络安全评估[J].计算机工程,2003(2).
[4]甘悦.浅议电子商务信息安全体系的构建[J].西北成人教育学报,2007(2).
[5]周明,黄元江,李建设.电子商务中的安全技术研究[J].株洲工学院学报,2005(1).
[6]张娟.电子商务网络安全技术探究[J].甘肃科技纵横,2005(4).
[7]赵乃真.电子商务技术与应用[M].北京:中国铁道出版社,2003.
[关键词]电子商务支付手段安全
一、前言
电子商务全球化的发展趋势中,电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康发展。限制电子商务的发展主要因素就是电子支付手段的安全性。
二、主要的电子支付手段及其安全性分析
1.电子信用卡
(1)支付方式:信用卡支付是电子支付中最常用的工具,方法是在Internet环境下通过标准的SET协议进行网络支付,用户在网上发送信用卡号和密码,加密后发送到银行进行支付。支付过程中要进行用户、商家及付款要求的合法性验证。
(2)安全策略:电子信用卡,是通过用户在网上输入账号/密码+数字签名,这些信息都是通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互,进行网络支付,这种支付方式的安全性是可以得到保证的。
(3)安全隐患:单纯从技术上来说,无安全隐患问题。
2.电子支票
(1)支付方式:电子支票是利用数字化手段进行网上支付,支付过程与传统支票的支付过程相似,只是电子支票完全抛开了纸质的媒介,其支票的形式是通过网络传播,并用数字签名代替了传统的签名方式。其交易流程如下:
(2)安全策略:和电子信用卡一样,采用账号/密码+数字签名的方式进行身份验证。其支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性,从上面的交易流程,我们可以看到,电子支票的支付在专用系统上有可靠的安全措施的。
(3)安全隐患:专用网络上的应用具有成熟的模式(例如SWIFT(环球银行金融通讯协会、SocietyforWorldwideInterbankFinancialTelecommunication)系统);公共网络上的点的资金转账仍在实验之中。
3.电子现金
(1)支付方式:电子现金是一种以数字化形式存在的现金货币,它同信用卡不一样,信用卡本身并不是货币,只是一种转账手段,而电子现金本身就是一种货币,是一种以数据形式存在的现金货币。它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。可以直接用来购物。电子现金具有如下特点:匿名;节省交易费用;支付灵活方便;安全存储。
(2)安全策略:没有适当的身份认证机制,是匿名的,为防止被伪造,电子现金的传输是经过数字签名的。
(3)安全隐患:①逃税:由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。电子现金不像真实的现金一样,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收规则,由于其不可跟踪性,电子现金很可能被不法分子用以逃税。②洗钱:电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经开始了这种做法。
③扰乱金融秩序:电子现金的法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品或服务的数字化等价物,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。
④重复消费:由于电子序列号可以被复制,因此需要一个大型的数据库存储用户完成的交易和E-Cash序列号以防止重复消费,这对于软件和硬件的要求都很高,因此很多银行都不支持电子现金业务。
4.移动支付
(1)支付方式:移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户,为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统,移动支付系统将此次交易的要求传送给MASP,由MASP确定此次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付系统来完成。
(2)安全措施:身份验证方式采用个人账号/密码的方式。对交易中的部分敏感信息进行了加密。
(3)安全隐患:①抵赖行为:手机支付的加密方式只是加密了交易过程的部分内容,没有考虑交易双方相互的身份认证和交易的不可否认性,必须把SET协议数据加密模型引入到手机支付中。②手机本身的安全性:手机支付还有其他的问题:大部分手机不具有用户身份认证模块,运算能力低,速度慢,不合适使用数字水印,由于不能进行很好的加密,而且手机信息传输是无线的,所以目前手机支付就存在比较大的安全隐患。
关键词:电子商务;信息安全技术
一、电子商务发展存在的风险
第三方的电子交易平台在网络上对于信息进行储存、记录、处理、和传递,以此来协助一次网络消费行为的完成。一般情况下,这些信息都具有真实性和保密性,属于大众的隐私。但是,现在的网络环境比较恶劣,有很多网络陷阱以及刻意挖掘用户信息的“黑客”,从而导致基本信息出现失真、泄露和删除的危机,不利于正常电子商务交易的完成。对于电子商务信息大致上可以分为以下几类:第一,信息的真实性;第二,信息的实时性;第三,信息的安全性。首先,是信息的真实性。电子商务上的基本信息是卖家和买家进行认识对方和分辨商品真实性可靠性的唯一途径,应该绝对真实。一旦出现虚假信息,则属于欺骗消费者,是危害消费者权益的不法行为。其次,是信息的实时性。信息的实时性主要是指信息的保质期。因为很多信息只在一段时间内有效,具有时效性,一旦错过这段关键时期,那么该信息则失去自身的价值,变得一文不值。最后,就是信息的安全性,这也是消费者最为关心的问题。电子商务出现的安全性问题主要表现为客户的信息被删除、篡改从而失真,同时也表现为用户的信息被窃取从而达成其他目的,使得用户的隐私被侵犯,正常的生活受到打扰。
二、电子商务的信息安全技术的内容
2.1 备份技术。相信备份技术对于大众来说不是很陌生。但是很多人却错误的将备份理解为拷贝,从而片面的看待这个问题。电子商务对于网络环境有很大的依赖性,网络环境自身却存在极大的不稳定性,这就导致电子商务的发展存在不可避免的风险,如果没有一个数据库对于基本信息进行存储,那么一旦出现系统故障或者误删的情况则信息永远消失,这对于商家来说是极其可怕的,因此,电子商务的第三方有一个信息储存库,旨在在必要的时刻段时间内将客户的信息及时恢复。这种恢复不是简单的、传统意义上的恢复,而是通过备份介质得以完成的。这样的话,在系统故障或者其他原因导致信息在短时间内无法正常恢复时,可以借助储存在备份介质中的信息将信息还原到原来的备份状态。2.2 认证技术。所谓认证技术其实一个专业术语,道理实际上很简单,就是我们常说的登录口令。认证技术的目的主要在于阻止不具有系统授权的用户进行非法的破坏计算机机密数据,是数据库系统为减少和避免各种破坏电子商务安全的重要策略。登陆口令是我们正常用户进行电子商务平台登录的方式,是大众在网络环境下的身份证。我们每一个用户在使用某一个电子商务平台之前都被要求进行注册,从而决定或者获得自己的登陆口令即用户名和密码。这些登录口令都是都是独一无二的,是我们进行网上交易的身份认证和识别。因为电子商务平台往往具有开放性,一旦没有身份认证后果将不堪设想。人们的信息安全更是没有任何保障。2.3 访问控制技术。访问控制技术也可以理解为访问等级制度,电子商务的系统会根据用户的不同等级对于用户对于系统数据的访问进行一定的控制。等级较低时,则用户的访问权限有限,一些重要的关键的信息则被系统禁止访问,只要当等级较高时才能获得相关权限,这就保证了一些重要信息不会被窃取。关于用户的访问权限也有两层含义,首先是用户能够获得数据库中的信息种类和数量,另一层含义则是指用户对于获取的数据库信息进行怎样的操作。