① 電子商務安全的內容包括
電子商務安全包括備份技術、密碼技術、認證技術以及訪問控制技術等。
1.備份技術。所謂資料庫備份與恢復方案,目的是在資料庫系統故障並且短時間內難以恢復時,用存儲在備份介質中的數據將資料庫還原到備份時的狀態。
2.認證技術。認證技術可以阻止不擁有系統授權的用戶非法破壞敏感機密的數據,是資料庫管理系統為防止各種假冒攻擊安全策略。 3.訪問控制技術。訪問控制方案有三種,分別叫做自主存取控制(DAC)、強制存取控制(MAC)和基於角色的存取控制(RBAC)。當用戶對資料庫進行訪問時,系統會根據用戶的級別與許可權來判定此操作是允許的或者禁止的,從而達到保護敏感數據不被泄露或者篡改的目的。
4.審計技術。這種有效機制可以在最大程度上保證資料庫管理系統的信息安全。有兩種審計方式:用戶審計和系統審計。
5.加密技術。資料庫管理系統的加密以欄位為最小單位進行,加密和解密通常是通過對稱密碼機制的密鑰來實現。
② 電子商務的安全性包括哪些方面
電子商務面臨的威脅的出現導致了對電子商務安全的需求,也是真正實現一個安全電子商務系統所要求做到的各個方面,主要包括機密性、完整性、認證性和不可抵賴性。
1. 機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網路環境上的(尤其Internet 是更為開放的網路),維護商業機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。機密性一般通過密碼技術來對傳輸的信息進行加密處理來實現。
2. 完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由於數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是電子商務應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復並保證信息傳送次序的統一。完整性一般可通過提取信息消息摘要的方式來獲得。
3. 認證性。由於網路電子商務交易系統的特殊性,企業或個人的交易通常都是在虛擬的網路環境中進行,所以對個人或企業實體進行身份性確認成了電子商務中得很重要的一環。對人或實體的身份進行鑒別,為身份的真實性提供保證,即交易雙方能夠在相互不見面的情況下確認對方的身份。這意味著當某人或實體聲稱具有某個特定的身份時,鑒別服務將提供一種方法來驗證其聲明的正確性,一般都通過證書機構CA和證書來實現。
4. 不可抵賴性。電子商務可能直接關繫到貿易雙方的商業交易,如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證電子商務順利進行的關鍵。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易夥伴,確定合同、契約、單據的可靠性並預防抵賴行為的發生。這也就是人們常說的"白紙黑字"。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。不可抵賴性可通過對發送的消息進行數字簽名來獲取。
5. 有效性。電子商務以電子形式取代了紙張,那麼如何保證這種電子形式的貿易信息的有效性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性將直接關繫到個人、企業或國家的經濟利益和聲譽。因此,要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
電子商務安全中的主要技術
電子商務安全是信息安全的上層應用,它包括的技術范圍比較廣,主要分為網路安全技術和密碼技術兩大類,其中密碼技術可分為加密、數字簽名和認證技術等。
1. 網路安全技術
網路安全是電子商務安全的基礎,一個完整的電子商務系統應建立在安全的網路基礎設施之上。網路安全所涉及到的方面比較,如操作系統安全、防火牆技術、虛擬專用網VPN技術和各種反黑客技術和漏洞檢測技術等。其中最重要的就是防火牆技術。
防火牆是建立在通信技術和信息安全技術之上,它用於在網路之間建立一個安全屏障,根據指定的策略對網路數據進行過濾、分析和審計,並對各種攻擊提供有效的防範。主要用於Internet接入和專用網與公用網之間的安全連接。
VPN 也使一項保證網路安全的技術之一,它是指在公共網路中建立一個專用網路,數據通過建立好的虛擬安全通道在公共網路中傳播。企業只需要租用本地的數據專線,連接上本地的公眾信息網,其各地的分支機構就可以互相之間安全傳遞信息;同時,企業還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以連接進入企業網中。使用VPN有節省成本、提供遠程訪問、擴展性強、便於管理和實現全面控制等好處,是目前和今後企業網路發展的趨勢。
2. 加密技術
加密技術是保證電子商務安全的重要手段,許多密碼演算法現已成為網路安全和商務信息安全的基礎。密碼演算法利用密秘密鑰(secret keys)來對敏感信息進行加密,然後把加密好的數據和密鑰(要通過安全方式)發送給接收者,接收者可利用同樣的演算法和傳遞來的密鑰對數據進行解密,從而獲取敏感信息並保證了網路數據的機密性。利用另外一種稱為數字簽名(digital signature)的密碼技術可同時保證網路數據的完整性和真實性。利用密碼技術可以達到對電子商務安全的需求,保證商務交易的機密性、完整性、真實性和不可否認性等。
密碼技術雖然在第二次世界大戰期間才開始流行,在當前才廣泛應用於網路安全和電子商務安全之中,但其起源可追溯到幾千年前,其思想目前還在使用,只是在處理過程中增加了數學上的復雜性。
加密技術包括私鑰加密和公鑰加密。私鑰加密,又稱對稱密鑰加密,即信息的發送方和接收方用一個密鑰去加密和解密數據,目前常用的私鑰加密演算法包括DES和 IDEA等。對稱加密技術的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。
公鑰密鑰加密,又稱不對稱密鑰加密系統,它需要使用一對密鑰來分別完整家密和解密操作,一個公開發布,稱為公開密鑰(Public-Key);另一個由用戶自己秘密保存,稱為私有密鑰(Private-Key)。信息發送者人用公開密鑰去加密,而信息接收者則用私有密鑰去解密。通過數學的手段保證加密過程是一個不可逆過程,即用公鑰加密的信息只能是用與該公鑰配對的私有密鑰才能解密。常用的演算法是RSA、ElGamal等。公鑰機制靈活,但加密和解密速度卻比對稱密鑰加密慢的多
為了充分利用公鑰密碼和對稱密碼演算法的優點,克服其缺點,解決每次傳送更換密鑰的問題,提出混合密碼系統,即所謂的電子信封(envelope)技術。發送者自動生成對稱密鑰,用對稱密鑰加密鑰發送的信息,將生成的密文連同用接收方的公鑰加密後的對稱密鑰一起傳送出去。收信者用其秘密密鑰解密被加密的密鑰來得到對稱密鑰,並用它來解密密文。這樣保證每次傳送都可由發送方選定不同密鑰進行,更好的保證了數據通信的安全性。
使用混合密碼系統可同時提供機密性保障和存取控制。利用對稱加密演算法加密大量輸入數據可提供機密性保障,然後利用公鑰加密對稱密鑰。如果想使多個接收者都能使用該信息,可以對每一個接收者利用其公鑰加密一份對稱密鑰即可,從而提供存取控制功能。
3. 數字簽名
數字簽名中很常用的就是散列(HASH)函數,也稱消息摘要(Message Digest)、哈希函數或雜湊函數等,其輸入為一可變長輸入,返回一固定長度串,該串被稱為輸入的散列值(消息摘要)
日常生活中,通常通過對某一文檔進行簽名來保證文檔的真實有效性,可以對簽字方進行約束,防止其抵賴行為,並把文檔與簽名同時發送以作為日後查證的依據。在網路環境中,可以用電子數字簽名作為模擬,從而為電子商務提供不可否認服務。
數字簽名相對於手寫簽名在安全性方面具有如下好處:數字簽名不僅與簽名者的私有密鑰有關,而且與報文的內容有關,因此不能將簽名者對一份報文的簽名復制到另一份報文上,同時也能防止篡改報文的內容。
4. 認證機構和數字證書
③ 電子商務安全包括什麼兩方面
電子商務的前提是信息的安全性保障,信息安全性的含義主要是信息的完整性、可用性、保密和可靠。因此電商務活動中的信息安全問題豐要體現在網路信息安全方面和電子商務交易兩個方面:
1、網路信息安全方面
(1)安全協議問題。目前安全協議還沒有全球性的標准和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵禦黑客的攻擊。
(2)防病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網路作為自己的傳播途徑,在電子商務領域如何有效防範病毒也是一個十分緊迫的問題。
(3)伺服器的安全問題。裝有大量與電子商務有關的軟體和商戶信息的系統伺服器是電予商務的核心,所以伺服器特別容易受到安全的威脅,並且一旦出現安全問題,造成的後果會非常嚴重。
2、電子商務交易方面
(1)身份的不確定問題。由於電子商務的實現需要藉助於虛擬的網路平台,在這個平台.上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
(2)交易的抵賴問題。電子商務的交易應該同傳統的交易一樣具有不可抵賴。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
法律依據:
《電子商務法》
第三十八條
電子商務平台經營者知道或者應當知道平台內經營者銷售的商品或者提供的服務不符合保障人身、財產安全的要求,或者有其他侵害消費者合法權益行為,未採取必要措施的,依法與該平台內經營者承擔連帶責任。對關系消費者生命健康的商品或者服務,電子商務平台經營者對平台內經營者的資質資格未盡到審核義務,或者對消費者未盡到安全保障義務,造成消費者損害的,依法承擔相應的責任。
④ 電子商務的安全體系結構主要包括哪些具體的層次
電子商務體系結構可以分為網路基礎平台、安全結構、支付體系和業務系統四個層次。
1、網路基礎平台
電子商務以網際網路為主要載體。網路帶寬、網路的可靠性、穩定性成為影響電子商務系統整體性能的重要因素。
2、安全結構
電子商務活動需要一個安全的環境,以保證在線交易等數據在網路中傳輸的安全性和完整性,實現交易雙方的身份認證,防止交易中抵賴的發生。電子安全結構建立在網路基礎平台之上。
3、電子商務業務系統和支付體系
電子商務業務系統分為支付型業務和非支付型業務。支付型業務需要支付體系層完成。支付體系在安全結構之上,為支付型電子商務業務提供各種支付手段;非支付型業務直接在安全結構之上,使用安全基礎層提供的各種認證手段和安全技術提供電子商務服務。 電子商務系統包括業務應用系統。例如,網上購物、證券交易、在線談判、電信交費、電子銀行等。
4、支付網關系統。它處於網際網路與銀行網路之間,主要完成通信、協議轉換和數據加密解密功能和保護銀行內部的網路。支付網關系統的使用可以過濾網際網路發過來的數據包,防止黑客的攻擊和不相關信息的流入。
⑤ 電子商務風險的種類有哪些
電子商務的基礎平台是互聯網,電子商務發展的核心和關鍵問題就是交易的安全,由於Internet本身的開放性,使網上交易面臨著種種危險,也由此提出了相應的安全控制要求。
下面從技術手段的角度,從系統安全與數據安全的不同層面來探討電子商務中出現的網路安全問題。
1.系統安全
在電子商務中,網路安全一般包括以下兩個方面:對於一個企業來說,首先是信息的安全與交易者身份的安全,但是信息安全的前提條件是系統的安全。
系統安全採用的技術和手段有冗餘技術、網路隔離技術、訪問控制技術、身份鑒別技術、加密技術、監控審計技術、安全評估技術等。
(1)網路系統
網路系統安全是網路的開放性、無邊界性、自由性造成,安全解決的關鍵是把被保護的網路從開放、無邊界、自由的環境中獨立出來,使網路成為可控制、管理的內部系統,由於
網路系統是應用系統的基礎,網路安全便成為首問題。解決網路安全主要方式有:
網路冗餘——它是解決網路系統單點故障的重要措施。對關鍵性的網路線路、設備,通常採用雙備份或多備份的方式。網路運行時雙方對運營狀態相互實時監控井自動調整,當網路的一段或一點發生故障或網路信息流量突變時能在有效時間內進行切換分配,保證網路正常的運行。
系統隔離——分為物理隔離和邏輯隔離,主要從網路安全等級考慮劃分合理的網路安全邊界,使不同安全級別的網路或信息媒介不能相互訪問,從而達到安全目的。對業務網路或辦公網路採用VLAN技術和通信協議實行邏輯隔離劃分不同的應用子網。
訪問控制——對於網路不同信任域實現雙向控制或有限訪問原則,使受控的子網或主機訪問許可權和信息流向能得到有效控制。具體相對網路對象而言需要解決網路的邊界的控制和網路內部的控制,對於網路資源來說保持有限訪問的原則,信息流則可根據安全需求實現的單向或雙向控制。訪問控制最重要的設備就是防火牆,它一般安置在不同點域的出入口處,對進出網路的IP信息包進行過濾並按企業安全政策進行信息流控制,同時實現網路地址轉換、實時信息審計警告等功能,高級防火牆還可實現基於用戶的細粒度的訪問控制。
身份鑒別——是對網路訪問者許可權的識別,一般通過三種方式驗證主體身份,一是主體了解的秘密,如用戶名口令、密鑰;二是主體攜帶的物品,如磁卡、IC卡、動態口令卡和令牌卡等;三是主體特徵或能力,如指紋、聲音、視網膜、簽名等。加密是為了防止網路上的竊聽、泄漏、篡改和破壞,保證信息傳輸安全,對網上數據使用加密手段是最為有效的方式。目前加密可以在三個層次來實現,即鏈路層加密、網路層加密和應用層加密。鏈路加密側重通信鏈路而不考慮信源和信宿,它對網路高層主體是透明的。網路層加密採用IPSEC核心協議,具有加密、認證雙重功能,是在IP 層實現的安全標准。通過網路加密可以構造企業內部的慮擬專網,使企業在較少投資下得到安全較大的回報,並保證用戶的應用安全。
安全監測——採取信息偵聽的方式尋找未授權的網路訪問嘗試和違規行為,包括網路系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網路掃描監測系
統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特徵,廣泛用於各行各業。網路掃描是針對網路設備的安全漏洞進行檢測和分析,包括網路通信服務、路由器、防火牆、郵件、WEB伺服器等,從而識別能被入侵者利用非法進入的網路漏洞。網路掃描系統對檢測到的漏洞信息形成詳細報告,包括位置、詳細描述和建議的改進方案,使網答能檢測和答理安全風險信息。
(2)操作系統
操作系統是管理計算機資源的核心系統,負責信息發送、管理、設備存儲空間和各種系統資源的調度,它作為應用系統的軟體平台具有通用性和易用性,操作系統安全性自接關繫到應用系統安全,操作系統安全分為應用安全和安全漏洞掃描。
應用安全——面向應用選擇可靠的操作系統,可以杜絕使用來歷不明的軟體。用戶可安裝操作系統保護與恢復軟體,並作相應的備份。
系統掃描——基於主機的安全評估系統是對系統的安全風險級別進行劃分,並供完整的安全漏洞檢查列表,通過不同版木的操作系統進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數抓免受盜用、破壞。
(3)應用系統
辦公系統文件(郵件)的安全存儲:利用加密手段,配合相應的身份鑒別和密鑰保護機制IC卡、PCMCIA安全PC卡等,使得存儲於本機和網路伺服器上的個人和單位重要文件處於安全存儲的狀態,使得他人即使通過各種手段非法獲取相關文件或存儲介質磁碟等,也無法獲得相關文件的內容。
文件郵件的安全傳送:對通過網路傳送給他人的文件進行安全處理(加密、簽名、完整性鑒別等),使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制IC卡、 PCMCIA PC卡才能解密井閱讀,杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等,主要用於信息網中的報表傳送、公文卜發等。
⑥ 電子商務安全類型有哪些
電子商務系統必須具備有效性、機密性、完整性、認證性、不可抵賴性等五個內安全要素。
安全防範對策是容
(1)完善各項管理制度包括:建全法律法規、建立組織機構及人員管理制度、保密制度、跟蹤審計制度、系統維護制度、病毒防範制度、應急措施等。
(2)技術對策包括:網路安全檢測設備、建立安全的防火牆體系、不間斷電源的良好使用、建立認證中心,並進行數字證書的認證和發放、加強數據加密、較強的防入侵措施、嚴格的訪問控制、通信流的控制、合理的鑒別機制、保護傳輸線路安全、開發各種具有較高安全性的訪問設備、數據完整性的控制、埠保護,還有安全檢測、審查和跟蹤等技術對策。