电子商务安全机制
摘要
随着Intemet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。相对于传统商务模式.电子商务具有便捷、高效的特点与优点。但目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程。它的实现还依赖于众多从社会问题到技术问题的逐步解决与完善。其中,电子商务安全是制约电子商务发展的一个核心和关键问题。电子商务安全也成为各界关注和研究的热点。电子商务安全通常分成两类,即制度安全、技术安全。制度安全包括支付产业链、法律保障、监督管理机制、社会信用。技术安全是指应用系统、安全协议、安全认证、机密技术、网络服务等;目前,电子商务在经济发展中起着不可替代的作用,所以电子商务安全的这两类问题成为研究的焦点。
关键字:电子商务B2B 制度安全技术安全
With the development of Internet , E-commerce has gradually become a new model for business activities. Compared with the traditional business model. E-commerce has the convenient and efficient features and advantages. However, completion of the current global volume of trade through electronic commerce channels, is still only in world trade over the same period a small part. The reason, e-commerce is a complex system engineering. It also depends on the realization of a number of technical issues from social issues to address and improve gradually. Among them, the e-commerce security is a core e-commerce development constraints and key issues. E-commerce security has become a public concern and research focus. E-commerce security is usually divided into two categories, System, including the payment chain security, legal protection,supervision and management mechanism, the social credit. that is the system security, technology security. Means the application of technical security systems, security protocols, security, authentication, confidentiality, technology,network services,etc.; Currently, e-commerce in economic development plays an irreplaceable role, so the two types of e-commerce security issues become the focus of research.
Keywords: e-commerce. B2B. System security. Technology Security
1.1 课题背景
伴随着Intemet的蓬勃发展,电子商务正以自身高效益、低成本的优势,逐步成为新兴的商业模式和理念。我国电子商务是以B2B为主要交易模式,并且B2B 每笔交易的成交额大,交易货物规范,市场大,加之现在B2B的平台、帐号等条件比B2c完善,所以,目前在我国发展电子商务的主要模式是B2B。因为B2B 电子商务模式产生于美国,所以说我们有很多可咀借鉴的成功经验来发展这种商务模式,但是我们也不能教条的完全照搬他人的经验,因为发展商务要根据自身的实际情况来决定,每个国家的经济、政策、法律、法规都不完全一样,因而发展B2B电子商务要因国而异,绝不能盲从,这也是我国初期发展电子商务进入低潮的主要原因。近年来,我们国家逐渐认识到了这种弊端,所以才会有阿里巴巴等这样成功的B2B电子商务模式的涌现。所以说充分的研究适合我国实际经济情况的电子商务模式是十分必要的,也是亟待解决的问题。这是本文所研究的重点问题之一。
虽然B2B电子商务有较快的发展业绩,但是这种结果并不尽人意。影响电子商务发展的主要因素是其安全性,安全是保证电子商务交易过程能够顺利完成的必要条件。由于电子商务中交易双方不见面,将会产生许多传统商务模式中不会出现的问题,本质上就是交易的安全性。当前制约电子商务发展的关键因素,已不仅仅是产品技术方面的问题,更多的是出自对安全性的考虑。只有这个问题解决了,才能保证电子商务活动的顺利进行。因而,研究电子商务交易的安全性是十分必要的,因为这是交易成功与否的根本保障,从某种意义上讲如果没有安全作为交易的保障,那么,电子商务将无从谈起。
2.电子商务及其安全概述
2.2 B2B电子商务
2.2.1 B2B电子商务及B2B定义
电子商务,顾名思义是指在Internet网上进行商务活动。其主要功能包括网上的广告、订货、付款、客户服务和货物递交等销售、售前和售后服务,以及市场调查分析、财务核计及生产安排等多项利用Internet开发的商业活动。电子商务的一个重要技术特征是利用Web的技术来传输和处理商业信息。
B2B:就是企业对企业的电子商务,除了在线交易和产品展示,B2B的业务更重要的意义在于,将企业内部网,通过B2B网站与客户紧密结合起来,通过网络的快速反应,为客户提供更好的服务,从而促进企业的业务发展。
2.2.2 电子商务发展趋势
据调查表明中国电子商务之所以有近年来的蓬勃发展,主要有以下三方面的巨大潜力得到了发挥:
1)不断增强的中国经济以及网络建设;
2)不断增长的网民数量及上网公司;
3)不断提升的电子商务相关服务。
电子商务的发展预期将如下图1所示:
图1-1 未来电子商务发展趋势
2.3 电子商务安全现状
网络与技术的局限性。人们无法从网上获得商品的直观印象和感受,搜索到自己想要的商品并不容易,用户需要花费很多时间才能找到价格满意的商品,网络的使用还没有完全普及,网络交易与现实交易相比,虚拟性较强,人们对网上交易不了解,对网上交易的可靠性持怀疑态度。
商业模式的创新问题。目前我国电子商务处于对传统商业模式和海外先进经营模式的抄袭、模仿的水平上,很少有结合我国国情创新模式,在商业模式方面的研究较少,现行管理体制基本上是计划经济时代的产物,条块分割,设置不合理,协调性不够,办事效率低下、对新经济适应性较差,对电子商务发展存在阻滞。
金融体系支撑不足。电子商务的进行需要支付与结算的手段,需要有高质、高效的金融服务及其电子化的配合,目前我国金融服务的水平和电子化程度不高,网上支付问题很大程度上阻碍了我国电子商务发展的进程,中国金融业亟需适应全球一体化进程并加快变革步伐,改变现有的支付方式。
社会化信用体系不健全。目前中国的社会化信用体系很不健全,信用心里不健康。交易行为缺乏必要的自律和有效的社会监督。信用卡的使用没有普及,现金交易仍然是主要方式,要发展电子商务,必须加速培育市场,创造比较成熟和规范的社会信用环境,以利于传统商务向电子商务的顺利转变。
企业信息化普及率低。企业的信息化程度直接关系到电子商务的基础,中国的企业正在改制中,现代企业制度尚未普遍建立,企业信息化的进展缓慢,企业信息化任重道远。
交易的安全性。身份确认,确保电子商务记录和事务的长期完整性,防止欺诈行为,保证业务系统的安全性,人们对于安全和保密技术不能准确理解,对安全和保密存在担心和疑问。
配送问题。交货延误的现象经常发生,配送的费用较高,缺乏系统化、专业化、全国性的货物配送企业,缺乏配送销售组织没有形成一套高效、完备的配送管理系统。
电子商务的立法。电子证据的认定,信息的稳定性、真实性和有效性,是有效解决电子商务中侵权,纠纷的重要因素,电子合同的有效性,需要对电子合同的数字化印章和签名的法律效力进行规范
3.电子商务安全机制
3.1.制度安全
电子支付安全是一个社会系统工程,它需要构建一个从上到下完整的安全体系。这个体系的具体内容包括,完善的法律与制度、有效的管理与组织流程以及对风险与责任的合理分配,从而建立用户对支付的消费信心。
3.1.1.构建安全的电子支付产业链
加强电子支付产业链的各参与方主体间的权利义务关系和风险责任分配机制,从产业链各个环节控制风险、强化安全。
(1)消费者增强个人信息安全防范意识。在安全问题上,加强支付者对身份验证或使用密码钥匙的常规了解,通过实施防火墙技术、加密技术、认证技术、防病毒软件即时升级来保障交易安全,同时对专业提供网上支付服务和第三方平台作用的企业也应有足够的认知。在产品问题上,当权益受到侵害后,立即向侵权者提示并警告,向法律专家进行咨询,也可以向有关部门及时投诉。如果涉嫌诈骗,及时报案。
(2)加快各类银行卡的发行和功能拓展,更新完善电子网络系统,增加金融电子设备。在设备上,通过购买、租用等方式,选择并拥有诸如硬件设备、系统软件、网络通信及银行前端等基础设施。建立有效的管理制度,包括对相关人员操作权限的授权制度、职责分离制度、外包机构的管理制度、紧急状态应急制度和交易数据保管制度等。
(3)电子商务企业应构建高安全性的运营支付系统,由于涉及的层面非常广,需要在架构设计、系统稳定性设计、信息存储、保密设定等多方面采取措施。完善的技术措施可以规避网络风险。
(4)金融监管部门和央行应当加强对电子支付平台的监督管理和检查力度,及时进行风险提示或处理。此外要对第三方支付的账户进行规范;要求第三方严格区分自有资金和中转账户资金;要求第三方在开户行存入保证金,一旦出现问题,银行可以抵御风险。
3.1.2.健全的法律保障体系
电子支付的持续发展必须有健全的法律保障体系和服务支持体系。从法律建设上看,只有《电子签名法》;在规章层面上,信息产业部出台了《电子认证服务管理办法》,中国电子商务行业协会推出了《网络交易平台服务规范》。电子商务领域,尤其是电子支付方面的立法还有很大的空白地带。政府有关部门要制定有关数字化、货币发行、支付与管理制度以及电子支付业务结算、电子设备使用等标准。此外,由于网络跨国性交易特性,除自律规范之外,更需要通过各国有关银行或金融相关法规加以规范,给电子支付的发展提供规范明确的法律环境。立法机关明确界定电子支付产业链各参与者的职责、权利和义务,明确法律判决的依据。
3.1.3.严格电子支付监督管理机制
加强业务监管,加强内控防范与电脑犯罪,建立健全监管法律体系,实施适
时与定期监控,将传统的现场监管与非现场监管相结合,行业自律与金融监管相结合,合规性监管与风险性监管相结合,创新监管手段、方式、内容,严格电子支付监督管理机制。
(1)强化监管机制
一是设立市场准入监管。设置最低资本金限制,加强内控机制和风险管理,针对第三方支付平台,可采用类金融机构设置保证金机制,积极研究电子支付保险问题。二是加强业务内容监管,包括强化安全技术,界定业务范围及从业人员的资格。三是建立相关制度。从制度层面上进一步明确电子支付业务的准入程序与形式、电子支付业务的审查要点,以及对业务的监管和报告要求等。
(2)建立协同监管机制
要建立人民银行、银监会、信息产业部等相关部门的协同监管机制。建立联席会议制度,实现信息资源共享,防范金融风险与网络金融犯罪。涉及电子支付及银卡市场的监管主体为央行及银监会;央行从反洗钱、反非法集资等金融市场稳定的角度实施监管;央行与信息产业部对第三方支付平台实施双重监管,前者维护支付清算系统稳定,后者则从信息服务市场许可制度出发。
(3)创新监管手段
监管当局除了制定具有针对性管理办法外,还应加快自身电子化建设步伐,依托先进的科技手段,实施非现场监测,不断适应金融监管中出现的新问题和新情况。
3.1.
4.构建诚信的社会信用环境
电子支付的多方参与者,包括参与交易的双方、第三方支付平台、银行、商务、工商以及其他机构,都要承担一定的信用责任,他们需要在一个完善的诚信环境下交易。目前,我国已经建立起了由人民银行负责的个人征信系统、反洗钱监测系统、账户管理信息系统等,这些系统的建立有助于电子支付活动参与者的身份确认和交易选择,在一定程度上保障了电子支付的安全性。这种诚信环境和机制需要社会各方共同长期努力才能营造出来,需要运用法律、经济、道德等手段提升整个社会的信用水平,构建立完善的信用环境。
3.2.技术安全
B2B电子商务支付安全体系结构
电子商务的安全控制体系结构是保证电子商务交易安全的一个完整的逻辑结构。主要有5个部分组成:即网络服务层、加密技术层、安全认证层、安全协议层、应用系统层。其中,上层是下层的扩展与递进;下层是上层的基础,为上层提供技术支持。各层次之间相互依赖、相互关联构成统一一整体。各层通过各自的安全控制技术,实现各层的安全策略,保证电子商务系统的安全。
图3.1电子商务安全技术框架体系结构图
3.2.1 加密技术层
加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA (Rivest Shamir Ad1eman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。
DES算法
RAS算法
3.2.2 安全认证层
开展电子商务最突出的问题是要解决网上购物、交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任问题,其中建立数字证书、CA认证、数字签字、数字信封是建立安全认证层的关键。
3.3.2.1数字证书
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。而且是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。
3.2.2.2 CA认证
CA机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。由此可见,建设证书授权(CA)中心,是开拓和规范电子商务市场必不可少的一步。为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证书。
3.2.2.3 数字签名
数字签名(Digital Signature)技术是不对称加密算法的典型应用。数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签字”,在技术和法律上有保证。在数字签名应用中,发送者的公钥可以很方便地得到,但他的私钥则需要严格保密。
数字签名有两种功效:一是能确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。
3.2.2.4 数字信封
数字信封是公钥密码体制在实际中的一个应用,是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。
在数字信封中,信息发送方采用对称密钥来加密信息内容,然后将此对称密钥用接收方的公开密钥来加密(这部分称数字信封)之后,将它和加密后的信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开加密信息。这种技术的安全性相当高。数字信封主要包括数字信封打包和数字信封拆解,数字信封打包是使用对方的公钥将加密密钥进行加密的过程,只有对方的私钥才能将加密后的数据(通信密钥)还原;数字信封拆解是使用私钥将加密过的数据解密的过程。
3.2.3 安全协议
3.2.3.1 SET协议
SET协议是通过数字签名方案来保证消息的完整性和进行消息源的认证的,数字签名方案采用了与消息加密相同的加密原则。即数字签名通过RSA加密算法结合生成信息摘要,信息摘要是消息通过HASH函数处理后得到的唯一对应于该消息的数值,消息中每改变一个数据位都会引起信息摘要中大约一半的数据位的改变。而两个不同的消息具有相同的信息摘要的可能性及其微小,因此HASH函数的单向性使得从信息摘要得出信息的摘要的计算是不可行的。信息摘要的这些特征保证了信息的完整性。
采用双重签名技术保证交易双方的身份认证,SET协议应用了双重签名(Dual Signatures)技术。在一项安全电子商务交易中,持卡人的定购信息和支付指令是相互对应的。商家只有确认了对应于持卡人的支付指令对应的定购信息才能够按照定购信息发货;而银行只有确认了与该持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进行支付。为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同时不会侵犯顾客的私人隐私这一目的,SET协议采用了双重签名技术来保证顾客的隐私不被侵犯。
四结论
21世纪是一个以数字化、网络化与信息化为特征,以网络通信为核心的信息时代。电子商务作为信息时代的产物,正在改变人们的思维方式、经济活动方式、工作方式和生活方式。尤其是企业级的电子商务近年来在我国发展迅速,成为了我国发展电子商务的主要模式,因而研究B2B模式的电子商务具有极高的社会价值。但由于Internet的全球性、开放性及共享性,其安全问题阻碍了电子商务的发展,本文对B2B模式电子商务的相关制度安全及技术安全进行了论述。分别就制度安全中的支付产业链、法律保障体系、电子支付监督管理机制、社会信用环境,及技术安全中的加密技术层、安全认证层、安全协议层、进行了论述。针对社会中的制度、信用道德的维护与建设不断提高消费者、商家的商业素质,从而建立一个健康的电子商务经济环境,为电子商务的发展提供更多有利条件。于此同时在对这些算法、协议的研究过程当中针对某些安全缺陷提出了改进措施。通过这些研究工作能够使技术安全为电子商务提供更加安全稳健的平台。本文重在模拟B2B电子交易中的各实体间的信息安全,通过模拟证明了本文提出的安全解决方案具有较好的安全性和可行性,能更好地促进B2B这种商业模式的发展,从而加速全球商业电子化进程。
电子商务安全问题及策略(一)
电子商务安全问题及策略(一) 摘要]本文从电子商务中的各种安全隐患及电子商务安全需求对电子商务的各种安全技术进行分析,以探讨一种有效、安全的实现电子商务的策略。 关键词]电子商务、安全隐患、安全技术、策略 一、安全问题是实施电子商务的关键 传统的交易是面对面的,比较容易保证建立交易双方的信任关系和交易过程的安全性。而电子商务活动中的交易行为是通过网络进行的,买卖双方互不见面,因而缺乏传统交易中的信任感和安全感。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易,这样会导致商业机密信息或个人隐私的泄露,从而导致巨大的利益损失。根据中国互联网络信息中心(CNNIC)发布的“中国互联网络发展状况统计报告”,在电子商务方面,52.26%的用户最关心的是交易的安全可靠性。由此可见,电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。 二、电子商务中的安全隐患和安全需求 1、电子商务中的安全隐患有:(1)篡改。电子的交易信息在网络上传输的过程中,可能被他人非法的修改,删除或重放(指只能使用一次的信息被多次使用),从而使信息失去了真实性和完整性。(2)信息破坏。包括网络硬件和软件的问题而导致信息传递的丢失与谬误;以及一些恶意程序的破坏而导致电子商务信息遭到破坏。(3)身份识别。如果不进行身份识别.第三方就有可能假冒交易一方的身份,以破坏交易.败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。而不进行身份识别,交易的一方可不为自己的行为负责任,进行否认,相互欺诈。(4)信息泄密。主要包括两个方面,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。 2、电子商务的安全性需求:电子商务的安全性需求可以分为两个方面,一方面是对计算机及网络系统安全性的要求,表现为对系统硬件和软件运行安全性和可靠性的要求、系统抵御非法用户入侵的要求等;另一方面是对电子商务信息安全的要求。(1)信息的保密性:指信息在存储、传输及处理过程中不被他人窃取。(2)信息的完整性:包括信息在存储中不被篡改和破坏,以及在传输过程中收到的信息和原发送信息的一致性。(3)信息的不可否认性:指信息的发送方不可否认已经发送的信息.接收方也不可否认已经收到的信息。(4)交易者身份的真实性:指交易双方是确实存在的,不是假冒的。(5)系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性,是否会因为计算机故障或意外原因造成信息错误、失效或丢失。 三、电子商务的安全技术 根据电子商务的这些安全性需求通常采用的安全技术主要有:密钥加密技术、信息摘要技术、数字签名、数字证书及CA认证。 1、密钥加密技术:密码加密技术有对称密钥加密技术和非对称密钥加密技术。 (1)对称密钥加密技术:对称密钥加密技术使用DES(DataEn-cryptionStandard)算法,要求加密解密双方拥有相同的密钥,密钥的长度一般为64位或56位。这种加密方法可以解决信息的保密问题,但又带来了一些新的问题:一是在首次通信前,双方必须通过网络以外的途径传递统一的密钥:二是当通信对象增多时,需要相应数量的密钥,这就使密钥管理和使用的难度增大;三是对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄露都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。 (2)非对称密钥加密技术:为了克服对称密钥加密技术存在的密钥管理和分发上的问题,1976年Diffie和Hellman以及Merkle分别提出了公开密钥密码体制的思想:要求密钥成对出现,一个为加密密钥,另一个为解密密钥,且不可能从其中一个推导出另一个。根据这种思想自
《电子商务法律基础知识》教案——42电子商务的安全法律制度二
教学课题: 电子商务安全法律制度(二) 教学目的:知识目标:掌握计算机信息系统安全保护的5个等级,了解有害数据的种类、特征, 掌握安全专用产品的概念与特征,了解违反电子商务安全法的法律 责任 能力目标:培养学生用专业知识分析问题、解决问题的能力 情感目标:激发学生专业学习的兴趣与积极性 教学重点:安全专用产品的概念与特征,计算机信息系统安全保护的5个等级 教学难点:违反电子商务安全法的法律责任 教学方法:案例法、讲授法 教学课时:2课时 教学过程: 一)复习引入: 提问:电子商务的安全要素有哪些? 二)讲授新课: 每课一案:(由5号杨群同学提供)“成功案例之著作权篇‘丽的香格里拉’照片网络维权” 本案的作者就是云南的一名摄影师,03年她在香格里拉拍摄了大量当地的风光照片,回来后她把其中的部分照片(8张)上传到自己的个人网站上用来供网友的欣赏与评论,可就是过了不久她惊讶的发现与以往一样,这组照片已经被国内的众多网站转载,而她对此却毫不知情,更令她感到气愤的就是,有的网站不但没有标明出处,甚至连作者的署名也进行了篡改,与以往不同,这一次她没有直接与网站交涉,因为根据以往的经验,一旦通知了对方,结果肯定就是把图删掉然后矢口否认,让作者毫无办法。在与我联系后,我们对证据进行了保全,然后向对方正式发出律师函,要求其赔偿损失并赔礼道歉,在证据面前网站虽然承认侵权但的答复就是只能按每张50到200的价格支付报酬,这显然已经不就是我们想要的结果,05年5月我们正式向北京一中院提起了诉讼,经过二审北京市高院做出终审判决:判令被告赔偿原告经济损失1、6万,并支付合理支出0、16万元、同时判令被告在其网站上向原告赔礼道歉。 这次网络维权应该说就是相当成功的,通过法律途径让侵权者支付了惩罚性的赔偿,值得一提的就是我在北京,而作者远在云南至始至众我们从未谋面,大多就是在网上进行沟通,可以说相互信赖也就是这次维权成功的一个基础,相同的案件我们仍在进行之中,相信通过努力也会获得圆满的结果。 一、电子商务安全概述 1、电子商务安全法目前主要有:联合国贸易法委员会制定的《电子商务示范法》、美国的《全球电子商务纲要》、英国的《电子通信法案》 2、我国电子商务安全方面亟待解决的问题: (1)我国目前没有直接规定电子商务安全的法律
电子商务安全风险及对策
电子商务安全风险及对策浅析
————————————————————————————————作者:————————————————————————————————日期:
电子商务安全风险及对策浅析 学生:余静娴 指导教师:阳国华 摘要:随着近年来,网络﹑通信和信息技术快速发展和日益融合,网络在全球迅速普及,促进电子商务的蓬勃发展。本文认为电子商务发展中存在支付交易、信息及数据泄露、篡改、伪造和诈骗等安全问题,阐述了电子商务安全体系及安全技术和对策浅析。 关键词:电子商务;安全技术;运用;安全体系;防火墙 前言 所谓电子商务是指商务活动的电子化实现,即通过电子化手段来实现传统的商务活动。其优点:电子商务可以降低商家的运营成本,提高其利润率;可以扩大商品销路,建立企业和企业之间的联系渠道,为客户提供不间断的产品信息查询和订单处理等服务。但是作为电子商务重要组成部分的支付问题就显得越来越突出,安全的电子支付是实现电子商务的关键环节,而不安全的电子支付不能真正实现电子商务。 一、电子商务网络及本身存在的安全隐患问题 目前,我国的电子商务存在普遍的窃取信息现象,不利于电子商务数据信息的安全管理。我们从两个典型案例说起: 案例一:淘宝“错价门”。互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。 案例一简析:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。 案例二:黑客攻击电子商务网站。国外几年前就曾经发生过电子商务网站
电子商务的安全策略
电子商务的安全策略 内容提要 在知识经济快速发展的的二十一世纪,“电子商务”无疑是当前最大的热门话题,电子商务以其高效、简捷、成本低、出现在经济生活的各个领域。电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经成为人类跨入知识经济新纪元的重要标志之一。但是随着而来的电子商务安全也成为了大家普遍关注的一个焦点。如何能使电子商务良好运转的同时保证其安全更加可靠已是一个主要的研究对象了。 关键词:电子商务电子商务技术安全 Abstract In the rapid development of knowledge-based economy of the 21st century, "electronic commerce" is currently the most popular e-commerce for its efficient, simple, low cost, appear in the various areas of economic life. E-commerce as a computer application technology and modern economic and trade activities, have become a human into a new era of knowledge-based economy is. But to the e-commerce security has become a common focus. How to enable e-commerce functionality while maintaining their security more reliable is already a major study on the object. Key words: Electronic Commerce E-Commerce Technology security 目录 一、不断发展的电子商务 ...................................................................................... - 2 - (一我国电子商务发展现状 (2 (二电子商务安全策略中的技术概况 (4
《电子商务法律基础知识》教案——4.2电子商务的安全法律制度(二)
教学课题:电子商务安全法律制度(二) 教学目的:知识目标:掌握计算机信息系统安全保护的5个等级,了解有害数据的种类、特 征,掌握安全专用产品的概念和特征,了解违反电子商务安全法的 法律责任 能力目标:培养学生用专业知识分析问题、解决问题的能力 情感目标:激发学生专业学习的兴趣和积极性 教学重点:安全专用产品的概念和特征,计算机信息系统安全保护的5个等级 教学难点:违反电子商务安全法的法律责任 教学方法:案例法、讲授法 教学课时:2课时 教学过程: 一)复习引入: 提问:电子商务的安全要素有哪些? 二)讲授新课: 每课一案:(由5号杨群同学提供)“成功案例之著作权篇‘丽的香格里拉’照片网络维权” 本案的作者是云南的一名摄影师,03年她在香格里拉拍摄了大量当地的风光照片,回来后她把其中的部分照片(8张)上传到自己的个人网站上用来供网友的欣赏和评论,可是过了不久她惊讶的发现与以往一样,这组照片已经被国内的众多网站转载,而她对此却毫不知情,更令她感到气愤的是,有的网站不但没有标明出处,甚至连作者的署名也进行了篡改,与以往不同,这一次她没有直接与网站交涉,因为根据以往的经验,一旦通知了对方,结果肯定是把图删掉然后矢口否认,让作者毫无办法。在与我联系后,我们对证据进行了保全,然后向对方正式发出律师函,要求其赔偿损失并赔礼道歉,在证据面前网站虽然承认侵权但的答复是只能按每张50到200的价格支付报酬,这显然已经不是我们想要的结果,05年5月我们正式向北京一中院提起了诉讼,经过二审北京市高院做出终审判决:判令被告赔偿原告经济损失1.6万,并支付合理支出0.16万元.同时判令被告在其网站上向原告赔礼道歉。 这次网络维权应该说是相当成功的,通过法律途径让侵权者支付了惩罚性的赔偿,值得一提的是我在北京,而作者远在云南至始至众我们从未谋面,大多是在网上进行沟通,可以说相互信赖也是这次维权成功的一个基础,相同的案件我们仍在进行之中,相信通过努力也会获得圆满的结果。 一、电子商务安全概述 1、电子商务安全法目前主要有:联合国贸易法委员会制定的《电子商务示范法》、美国的《全球电子商务纲要》、英国的《电子通信法案》 2、我国电子商务安全方面亟待解决的问题: (1)我国目前没有直接规定电子商务安全的法律
电子商务安全技术研究
电子商务安全技术研究 董永东葛晓滨 (1. 科大恒星电子商务技术有限公司,安徽合肥230088;2. 安徽财贸职业学院,安徽合肥230601) 摘要电子商务的实施,其关键是要保证整个商务过程中系统的安全性。本文从电子商务系统面临的安全隐患分析入手,系统地剖析了电子商务安全问题,并针对这些问题详细研讨了为保障电子商务安全应采取的安全措施和安全技术。 关键词电子商务;安全;技术 1 引言 电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。本文对此进行了探索和研究。 2 电子商务面对的安全问题及其对策 电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。我们先对电子商务面对安全隐患分析如下。 2.1 电子商务中的安全隐患 电子商务是在开放的网络上进行的,保证商务信息的安全是进行电子商务的前提。电子商务的安全隐患主要来源于以下几个方面: (1)信息的窃取。如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 (2)信息的篡改。当攻击者掌握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。这种破坏手段包括篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个消息或消息的某些部分等。 (3)信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。比如伪造电子邮件,虚开收订货单,窃取商家的商品信息和用户信用后冒用,冒充领导发布命令、调阅密件,冒充他人消费、栽赃,接管合法用户,欺骗系统,占用合法用户的资源等。 (4)交易的抵赖。交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。 2.2 电子商务面对的安全问题 2.2.1 计算机安全问题 计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具
电子商务安全与防护(2021年)
( 安全论文 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 电子商务安全与防护(2021年) Safety is inseparable from production and efficiency. Only when safety is good can we ensure better production. Pay attention to safety at all times.
电子商务安全与防护(2021年) 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。? 1、电子商务信息安全现状 现如今,网上购物已经成为普通消费者的购物选择之一,逐渐成为消费的主流。截至2007年6月,我国互联网用户已经从2001年的2650万户激增到目前的1.62亿户,仅次于美国2.11亿户的网民规模,位居世界第二。可见网上购物拥有很大的一批消费群。
在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”,其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 2、主要面临的安全问题 2.1网络环境安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系
中国电子商务发展现状分析
中国电子商务发体现状分析 一、电子商务的概况 电子商务(EleetrohieCommeree简称EC)是在Internet开放的网络环境下,作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带人一个网络经济、数字化生存的新天地。电子商务,是指实现整个贸易活动的电子化。从涵盖范围方面能够定义为:交易各方以电子方式而不是通过当面交换或直接面谈方式实行的任何形式的商业交易.从技术方面能够定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。实现消费者的网上购物、商户之间的网上交易和在线电于支付的一种新型的商业运营模式。电子商务减少员工成本、文件处理成本,缩短了商业交易时间,提升服务质量,降低了安全库存量,减少错误信息,增加了贸易机会。综观而论,电子商务与传统贸易相比具有:世界性、直接性、便捷性、均等性等四大特点而得到人们的普遍欢迎。在国际竞争面前,从诸多的层次来看,电子商务为我们创造了崭新的市场机会。 电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成一个不可分割的整体;客户能以非常简捷的方式完成过去较为萦杂的商务活动。电子商务的内涵可认为是:信息内容,集成信息资源,商务贸易,协作交流。 电子商务的发展要以推动BZB(企业对企业)业务为重点,从四个方面人手:一要使企业成为主体,二要以专业切人点,三要展开国际贸易的网上交易,四要建立面向中小企业的中介服务网。1997年7月美国政府在泛征求了产业界、消费团体和In-ternet界的意见之后,指定的一个世界电子商务框架(AFrame-workforGlobalEleetro垃eCommeree)计划,其中体现了政府对电子商务的三项基本政策:(l)让企业在电子商务发展中起主导作用(2)政府参与管理应以积极促动电子商务发展为原则,(3)应在世界范围内促动Inter二t上的电子商务。
电子商务安全防范技术
电子商务安全防范技术 电子商务安全—数字签名技术 “数字签名”是通过密码技术实现电子交易安全的形象说法,是电子签名的主要实现形式。它力图解决互联网交易面临的几个根本问题:数据保密、数据不被篡改、交易方能互相验证身份、交易发起方对自己的数据不能否认。 “数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。 电子商务安全—防火墙技术 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙、代理防火墙、双穴主机防火墙。 电子商务安全—入侵检测系统 入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。 电子商务安全—信息加密技术 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。 电子商务安全—安全认证技术 安全认证的主要作用是进行信息认证,信息认证的目的就是要确认信息发送者的身份,验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。 电子商务安全—防病毒系统 病毒在网络中存储、传播、感染的途径多、速度快、方式各异,对网站的危害较大。因此,应利用全方位防病毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系。
电子商务安全风险管理的规则步骤及对策
电子商务安全风险管理的规则、步骤及对策 随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险, 1 / 1
电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全风险管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。 1 / 1
电子商务安全风险管理thldl是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
一、电子商务面临的安全风险 由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险: 1)信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。 2)信息的篡改 网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。 3)拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。 4)系统资源失窃问题 在网络系统环境中,系统资源失窃是常见的安全威胁。 5)信息的假冒 信息的假冒是指当攻击者掌握了网络信息数据规
探讨电子商务的安全与防护措施
探讨电子商务的安全与防护措施[摘要]随着个人计算机、计算机网络、互联网和电子商务的蓬勃发展, 如果不对它们进行妥善的保护,它们将越来越容易受到具有破坏性的攻 击的危害。黑客、病毒,甚至人为故障都会给网络带来巨大的威胁。电 子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文 针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息 安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善 电子商务发展的内外部环境,促进我国电子商务可持续发展。 [关键词]计算机网络互联网电子商务安全保护一、安全的重要性以及存 在的安全问题及其原因 撰写者 2011年12月20日 随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应 运而生并迅速发展。所谓电子商务(ElectronicCommerce,EC)就是借助于公共网络,如Internet或开放式计算机网络(OpenComputerNetwork)
进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、 商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等 商业交易活动。但是出于各种目的的网络入侵和攻击也越来越频繁,脆 弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看, 信息安全问题是保障电子商务的生命线。 1电子商务信息安全现存的问题 电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是 电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前 提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在: 1.电子商务安全问题的产生。(1)在线交易主体虚拟化带来的安全问题:在电子商务环境下,任何人不经登记就可以借助计算机网络发出或 接受网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使 电子商务交易安全受到严重威胁。(2)虚假信息的发布带来的安全问题: 当用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供 求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。
电子商务安全保障体系
目的要求:通过学习了解电子商务环境中的安全威胁后解决安全威胁的技术手段和方案 重点难点:解决安全威胁的技术手段和方案 组织教学:点名考勤;复习;引入新课;讲解理论知识;实例演示;指导学生练习;总结 总结复习导入新课:。 提问:1、什么是电子商务? 教学方式、手段、媒介:讲授、多媒体;媒介:教材 教学内容: 第一节电子商务 一、公钥基础设施 公钥基础设施是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成,管理密钥和证书的系统或平台。 用于解决电子商务中安全问题的PKI 技术。PKI(Public Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI 的核心组成部分 CA(Certification Authority),即认证中心,它是数字证书的签发机构。数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。 1、认证中心 认证中心(Certificate Authority, 简称CA),也称之为电子认证中心,是电子商务的一个核心环节,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份,与具体交易行为无关权威第三方权威机构。 为安全电子交易中之重要单位,为一公正、公开的代理组织,接受持卡人和特约商店的申请,会同发卡及收单银行核对其申请资料是否一致,并负责电子证书之发放、管理及取消等事宜。是在线交易的监督者和担保人。主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。CA类似于现实生活中公证人的角色,具有权威性,是一个普遍可信的第三方。 认证中心可官方将某个公钥授权给用户。如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书,就可能会出现这样一个机构。Netscape和Xcert提供了用于管理数字证书的证明服务器。 当很多用户共用一个证明权威时,证明权威应该是个受到大家信赖的可靠方。证明权威甚至可以是个规模更大、公用程度更高的实体,比如GTE、Nortel或Verisign,它们在验证身份和签发数字证书上的严谨态度早已众口皆碑。
电子商务安全防范的策略
电子商务安全防范的技术策略 一、从科技层面加强防范措施 (一)几种主要的电子商务安全技术 1.加密技术 加密技术是电子商务才去的主要安全措施,是实现信息的保密性、完整性的核心。加密技术一方面以用于数据、文件加密,另一方面也是身份认证、数字签名等安全技术的基础。按照密钥的不同,加密技术主要有对称型密钥体制和非对称型密钥体制。对称密码体制也称为私钥密码体制,发送方和接受方都必须使用相同的密钥对消息进行加密和解密运算。目前比较通用的堆成加密算法有RC4和DES等。对称加密算法最大的优势就是开销小、加密速度快,所以广泛应用于对大量数据如文件进行加密。它的局限性在于通信双方要确保密钥的安全交换,密钥的分发和管理非常复杂,而且无法鉴别交易发起方或交易最终方。非对称型密钥加密也称为公开密钥算法,需要两个密钥:对外公开的公开密钥和自己保存的私有密钥。公开密钥用于对机密信息加密,私有密钥用于对机密信息解密。由于公开密钥是公开存放,迷药的分配和管理问题很容易解决。然而,公钥加密算法速度比私钥加密算法慢的多,同时公开加密方式对资源的占用较大,网络传输速度将受到影响。在实际应用中,通常将两种加密技术集合起来。数字信封即利用了两种加密技术的优
点,先采用公钥密码加密传送的信息,从而确保信息的安全性。 2.安全认证技术 一种是数字摘要与数字签名技术。数字摘要技术也称为散列技术。摘要技术采用Hash函数将徐加密的明文映射成一串较短的定长密文,这一串密文亦称为数字指纹,可以确保数据不被修改,保证信息的完整性。数字签名就运用了数字摘要技术,与传统签字具有同样的有效性,其原理如下:报文发送方从报文文体中生成一个128位的报文摘要,并用自己的私有密钥对这个摘要进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的消息摘要,接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个摘要相同,那么接收方就能确认该数字签名是发送方的。数字签名技术可以保证信息传输过程中的完整性,提供信息发送者的身份认证和不可抵赖性。 另一种是数字证书。数字证书又称数字凭证,由可信任的、公正的权威机构——CA中性颁发。CA中心对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书,来确认各方身份的真实性、合法性及对网络资源的访问权限等,保证网上支付的安全性。
第七讲 电子商务安全法的法律责任
第三节违反电子商务安全法的法律责任 导入:什么是法律责任? (一)民事法律责任: (二)刑事责任:1、已满16周岁的人犯罪,应当负刑事责任,称完全刑事责任年龄; 2、已满14周岁不满16周岁的人,只有在犯故意杀人、故意伤害致人重伤或者死亡、强奸、抢劫、贩卖毒品、放火、爆炸、投毒罪的,才应当负刑事责任,称不完全刑事责任年龄; 3、不满14周岁的人实施任何危害社会的行为,都不负刑事责任; 4、已满14周岁不满18周岁的人犯罪,应当从轻或者减轻处罚。 根据《刑法》规定,刑事责任包括: 一、主刑:1.管制:管制是指对犯罪分子不实行关押,交由公安机关管束和人民群众监督,限制其一定自由的刑罚方法。 2.拘役:拘役是短期剥夺犯罪人自由,就近实行劳动的刑罚方法。拘役由公安机关在就近的拘役所、看守所或者其他监管场所执行,在执行期间,受刑人每月可以回家一天至两天,参加劳动的,可以酌量发给报酬。拘役的期限为1个月以上6个月以下,数罪并罚时不得超过1年。 3.有期徒刑:在一定期限内剥夺犯罪分子的人身自由,并监禁于一定场所的刑罚。有期徒刑的期限各国规定不一。中国刑法规定,有期徒刑的期限一般为6个月以上,15年以下。 4.无期徒刑和死刑;无期徒刑是介于有期徒刑和死刑之间的一种严厉的刑罚。无期徒刑是剥夺犯罪分子终身自由,并强制劳动改造的刑罚方法。 二、附加刑:
1.罚金:罚金是指强制犯罪人向国家缴纳一定数额金钱的刑罚方法。它和判处有期徒刑、无期徒刑、死刑、或者是剥夺政治权利,没收财产一样,是一种刑罚,前提必须是被判处罚金的人构成了犯罪。 2.剥夺政治权利:指剥夺犯罪人参加国家管理和政治活动权利的刑罚方法。:(1)选举权和被选举权;(2)言论、出版、集会、结社、游行、示威自由的权利;(3)担任国家机关职务的权利;(4)担任国有公司、企业、事业单位和人民团体领导职务的权利。 3.没收财产:没收财产是将犯罪分子个人所有财产的一部或者全部强制无偿地收归国有的刑罚方法 此外,对于犯罪的外国人,可以独立适用或者附加适用驱逐出境。 (三)行政责任:行政处罚的种类有:警告、罚款、行政拘留、没收违法所得、没收非法财物、责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照等。(四)国家赔偿:国家赔偿是指国家机关及其工作人员因行使职权给公民、法人及其他组织的人身权或财产权造成损害,依法应给予的赔偿。国家赔偿以支付赔偿金为主要方式。能够返还财产或恢复原状的,予以返还财产或者恢复原状。 一、违反电子商务安全法的民事责任 1.违反电子商务安全法承担的违约责任形式: a)支付违约金 b)损害赔偿 c)继续履行 d)其他补救措施 2.违反电子商务安全法的侵权责任: a)停止侵害 b)排除妨碍 c)消除危险 d)返还财产 e)恢复原状 f)损害赔偿 g)消除影响、恢复名誉 h)赔礼道歉 二、违反电子商务安全法的行政责任 *违反电子商务安全法的行政责任 *违反各项电子商务安全制度的行政责任
电子商务安全技术案例分析
第7章电子商务安全技术案例分析 7.4.1 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 7.4.2 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000
电子商务安全体系结构
安全体系结构 (一)安全体系结构图 如图3所示,电子商务安全体系由四层组成,由下至上分别是:安全协议层、安全认证层、加密技术层、网络安全层。 图3 电子商务网站安全体系结构 (二)安全体系分层 整个电子商务网站安全体系由下至上分为四层:安全协议层、安全认证层、加密技术层、网络安全层。这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。下面就来看一下每一层分别有哪些作用。 (1)网络安全层 网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反
病毒技术、防火墙技术、安全审计技术等,通过一系列的技术防御保证网络被访问时的安全,防止漏洞被攻击、网络被入侵。 (2)加密技术层 加密技术主要保障信息在传输过程中的安全性,防止信息在传输过程中被窃取或篡改。加密技术一般分为对称加密技术与非对称加密技术。 (3)安全认证层 安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。安全认证层可以验证交易双方数据的完整性、真实性及有效性。(4)安全协议层 安全协议层置于电子商务安全体系的最下层,也是电子交易中非常关键的一个部分,通过协议层完成交易。一般电子商务中使用的安全协议有SSL协议和SET协议。 访问控制技术 访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。 数字认证技术 数字认证也称数字签名,即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。 数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH函数将一段长的报文通过函数变换,转换为一段定长的报文。
电子商务的安全策略
关键词:电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务系统的安全性提出了更高的要求,必须保证外部网络(internet)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。 就整个系统而言,安全性可以分为四个层次,如图1所示: 1.网络节点的安全 2.通讯的安全性 3.应用程序的安全性 4.用户的认证管理图1:安全性四个层次结构其中2、3、4层是通过操作系统和web服务器软件实现,网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。一、网络节点的安全 1.防火墙防火墙是在连接internet和intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的intranet系统。 2.防火墙安全策略 应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。 3.安全操作系统防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。 二、通讯的安全 1.数据通讯 通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于: (1)客户浏览器端与电子商务web服务器端的通讯; (2)电子商务web服务器与电子商务数据库服务器的通讯; (3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。 2.安全链路 在客户端浏览器和电子商务web服务器之间采用ssl协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4o位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,ssl首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(ca中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(pki)。建立ssl链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(rsa)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。 三、应用程序的安全性