浅谈电子商务中的安全问题

   用户对于安全的需求主要包括以下几下方面：

       1.信息的保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户被人知悉，就可能被盗用；定货和付款信息被竞争对手获悉，就可能丧失商机。因此在电子商务中的信息一般都有加密的要求。

       2.交易者身份的确定性。网上交易的双方很可能素昧平生，相隔千里。因此，要使交易能够成功，首先要想办法确认对方的身份。对商家而言，要考虑客户端是否是骗子，而客户也会担心网上的商店是否是黑店。因此，能方便而可靠地确认对方身份是交易的前提。

       3.交易的不可否认性。交易一旦达成，是不能被否认的，否则必然会损害一方的利益。因此电子交易过程中通信的各个环节都必须是不可否认的。主要包括：源点不可否认：信息发送者事后无法否认其发送了信息。接收不可否认：信息接收方无法否认其收到了信息。回执不可否认：发送责任回执的各个环节均无法推脱其应负的责任。

       4.交易内容的完整性。交易的文件是不可以被修改的，否则必然会损害交易的严肃性和公平性。

       5.访问控制。不同访问用户在一个交易系统中的身份和职能是不同的，任何合法用户只能访问系统中授权和指定的资源，非法用户将拒绝访问系统资源。

       四、电子商务安全交易标准

       近年来，针对电子交易安全的要求，IT业界与金融行业一起，推出不少有效的安全交易标准和技术。主要的协议标准有：

       1.安全超文本传输协议（S—HTTP）：依靠对密钥的加密，保障Web站点间的交易信息传输的安全性。

       2.安全套接层协议（SSL）：由Netscape公司提出的安全交易协议，提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator 和Microsoft IE浏览器，以完成需要的安全交易操作。

       3.安全交易技术协议（STT，Secure Transaction Technology）：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft在 Internet Explorer中采用这一技术。

       4.安全电子交易协议（SET，Secure Electronic Transaction）:1996年6月，由IBM、MasterCard International 、 Visa International、 Microsoft、Netscape、GTE、 VeriSign、SAIC、Terisa就共同制定的标准SET发布公告，并于1997年5月底发布了SET Specification Version1.0，它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET2.0预计今年发布，它增加了一些附加的交易要求。这个版本是向后兼容的，符合SET1.0的软件并不必要跟着升级，除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全，确定应用之互通性，并使全球市场接受。

       所有这些安全交易标准中，SET标准以推广利用信用卡支付网上交易，而广受各界瞩目，它将成为网上交易安全通信协议的工业标准，有望进一步推动Internet电子商务市场。

       五、商务安全的关键CA认证

       怎样解决电子商务安全问题呢？国际通行的做法是采用CA安全认证系统。CA是Certificate Authority的缩写，是证书授权的意思。在电子商务系统中，所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门：一是审核授权部门，它负责对证书申请者进行资格审查，决定是否同意给该申请者发放证书，并承担因审核错误引起的一切后果，因此它应由能够承担这些责任的机构担任；另一个是证书操作部门，负责为已授权的申请者制作、发放和管理证书，并承担因操作运营所产生的一切后果，包括失密和为没有获得授权者发放证书等，它可以由审核授权部门自己担任，也可委托给第三方担任。

       CA体系主要解决几大问题：1.解决网络身份证的认证以保证交易各方身份是真实的；2.解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改；3.解决交易的不可抵赖性以保证对方在网上说的话是真实的。

       需要注意的是，CA认证中心并不是安全机构，而是一个发放”身份证”的机构，相当于身份的”公证处”。因此，企业开展电子商务不仅要依托于CA认证机构，还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。好的IT厂商，会让用户在部署安全策略时少走许多弯路。在选择外援时，用户为了节省成本，避免损失，应该把握几个基本原则：1.要知道自己究竟需要什么;2.要了解厂商的信誉;3.要了解厂商推荐的安全产品;4.用户要有一双”火眼金睛”，对项目的实施效果能够正确加以评估。有了这些基本的安全思路，用户可以少走许多弯路。

       六、相应法律法规

       电子商务要健康有序地发展，就像传统商务一样，也必须有相应的法律法规作后盾。商务过程中不可避免地会产生一些矛盾，电子商务也一样。在电子商务中，合同的意义和作用没有发生改变，但其形式却发生了极大的变化，1.订立合同的双方或多方是互不见面的。所有的买方和卖方在虚拟市场上运作，其信用依靠密码的辨认或认证机构的认证。2.传统合同的口头形式在贸易上常常表现为店堂交易，并将商家所开具的发票作为合同的依据。而在电子商务中标的额较小、关系简单的交易没有具体的合同形式，表现为直接通过网络订购、付款，例如利用网络直接购买软件。3.表示合同生效的传统签字盖章方式被数字签名所代替。

  电子商务合同形式的变化，对于世界各国都带来了一系列法律新问题。电子商务作为一种新的贸易形式，与现存的合同法发生矛盾是非常容易理解的事情。但对于法律法规来说，就有一个怎样修改并发展现存合同法，以适应新的贸易形式的问题。

       小结

       在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，应该还具备以下特点：强大的加密保证；使用者和数据的识别和鉴别；存储和加密数据的保密；连网交易和支付的可靠；方便的密钥管理；数据的完整、防止抵赖。电子商务对计算机网络安全与商务安全的双重要求，使电子商务安全的复杂程度比大多数计算机网络更高，因此电子商务安全应作为安全工程，而不是解决方案来实施。

 
 
http://www.35176.com/shop/

上一页  1 2