電子商務的“三流”安全技術

                                                                                                                來源:安全管理網 
                                                                                                              評論: 更新日期:2018年09月23日

                                                                                                              內容摘要:電子商務是指通過電子化的手段進行的商務活動,主要通過信息流、資金流、物流這“三流”來實現。安全是電子商務面臨的一大問題。目前,電子商務在我國還處于起步、發展階段,在這一階段中,面對安全問題的挑戰是不可避免的。由此也出現了很多的防范手段。

                                                                                                              一、 信息流
                                                                                                              由于Internet具有開放性、共享性的特點,致使電子商務面臨信息流面臨極大的風險。電子商務信息流的安全標志包括信息的保密性、交易各方的身份認證、信息的完整性、交易內容的不可否認性、信息系統的可用性、信息的訪問控制等,涵蓋網絡系統安全、信息傳遞過程中的安全、信息儲存的完全等諸多方面。涉及計算機系統和通信網絡軟硬件技術、加密技術、數字認證技術、生物測定學技術等專業知識。
                                                                                                              1. 電子商務信息流面對的安全威脅
                                                                                                              電子商務信息流面臨的主要風險挑戰主要來自于計算機病毒、蠕蟲病毒、黑客攻擊、特洛伊木馬以及管理上的漏洞。
                                                                                                              2. 電子商務信息流安全問題的防范技術
                                                                                                              1) 加密技術
                                                                                                              加密技術由來已久,發展至今,已產生多種加密技術。其主要有傳統的密碼技術、對稱加密算法、非對稱加密算法等。其中對稱加密算法的代表是DES 算法,其具有加密速度快的特點,但是安全確認比較困難;而非對稱加密算法的代表則是RSA ,其具有安全確認容易的特點,但是加密速度卻慢于DES。現在通常的做法是DES和RSA的結合,既實現了高效加密,又實現了可靠傳遞。兩種算法的互補結合得天衣無縫。
                                                                                                              2) 數字簽名和數字證書
                                                                                                              所謂的數字簽名就是信息發送者先給自己將要發送的正文內容做一個數字摘要,然后用自己的私鑰給這個數字摘要加密,這個加密以后的數字摘要就是數字簽名。通常還要加上時間標記(稱作數字時間戳),一般由第三方公正機構生成。通過電子簽名和數字證書來確認互聯網上信息的真實性是一個方便快捷的手段。
                                                                                                              3) 安全套階層協議協議(SST)
                                                                                                              安全套階層協議是位于傳輸層協議和應用層協議之間的對話層。為上層應用提供數據安全傳輸保護。其優勢是它獨立于應用層協議,與上層協議無關。實現通信的保密性和身份認證。這一技術在資金流的安全技術方面還會具體介紹。
                                                                                                              4) 安全超文本傳輸協議(S-HTTP)。
                                                                                                              安全超文本傳輸協議主要依靠密鑰的加密以此保證Web站點間的交換信息傳輸的安全性。SHTTP對HT-TP的安全性進行了補充,對報文的安全性有所加強,這一技術基于SSL技術。這一協議為互聯網應用提供了完整性、可鑒別性、不可抵賴性以及機密性等安全措施。
                                                                                                              5) 安全交易技術協議(STT)
                                                                                                              安全交易技術(STT)協議通過將認證與解密在瀏覽器中分離開這一途徑,來提高安全控制的能力。
                                                                                                              6) 生物測定學技術
                                                                                                              生物測定學技術是一種傳統而又新穎的安全技術,其發展經過了一段時間,但是隨著科技的進步,其測定方式也在不斷地創新和進步。現階段,這一技術主要有5種測定方式。分別是指紋識別、視網膜識別、虹膜識別、面部特征識別、語音識別。
                                                                                                              二、 資金流
                                                                                                              電子商務是一種商務活動的形式,其必定會涉及到資金的收支。而商務活動最根本的目的就是賺取利潤。電子商務作為一種較為特殊的商務活動,其資金流的安全性相對于其他的商務活動形式來說存在相對較高的風險。電子商務的付款方式多種多樣,有貨到付款、銀行轉賬、電子支付等途徑。其安全性包括六大層面:隱私性、機密性、身份識別性、完整性、不可否認性、可取得性。以下介紹主要以電子支付為主。
                                                                                                              1. 電子商務資金流面臨的安全威脅
                                                                                                              電子商務的資金流主要以電子支付為主,其風險也在電子商務的支付方式中是最高的。電子支付主要分為:電子貨幣、銀行卡電子支付系統、電子現金和電子錢包、電子支票、智能卡、電子商務資金流面臨的主要風險大體上與信息流相同。主以病毒、特洛伊木馬、黑客攻擊為主。
                                                                                                              2. 電子商務信息流安全問題的防范技術
                                                                                                              1) 安全套接層協議
                                                                                                              安全套接層協議(SSL)的主要作用是提高應用程序之間的數據的安全系數。它主要提供三方面的服務:
                                                                                                              (一) 保證用戶和服務器的合法性
                                                                                                              表現為:用戶與服務器之間能夠確信數據將被發送到正確的客戶機和服務器上。客戶機與服務器一樣,都有各自不同的識別號,這一編號由公開密鑰編排。安全套接層協議要求在握手交換數據中作數字認證,以此來驗證用戶,確保用戶的合法性。
                                                                                                              (二) 加密數據以隱藏被傳遞的數據。
                                                                                                              安全套接層協議采用的加密技術有對稱密鑰,也有公開密鑰。在客戶機和服務器進行交換數據之前,先交換SSL初始握手信息。SSL握手信息中包含各種加密技術,以此來保證其機密性與數據的完整性。
                                                                                                              (三) 維護數據的完整性
                                                                                                              安全套接層協議采用Hash函數 和機密共享的方法來提供完整的信息服務,建立客戶機與服務器之間的安全通道,使所有經過安全套接層協議處理的業務能全部準確無誤地到達目的地。
                                                                                                              2) 安全電子交易協議
                                                                                                              SET(安全電子交易)是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,包括保證致富信息的加密和傳輸,支付信息的完整性檢驗、商戶及持卡人的身份驗證等功能。這一協議的技術規范包括:加密算法的應用,證書信息與對象格式,購買信息和對格式,認可信息與對象格式。
                                                                                                              (一) SET安全協議的主要對象:
                                                                                                              (1) 消費者
                                                                                                              消費者通過計算機與商家交流,并由發卡機構頒發的付款卡進行結算。
                                                                                                              (2) 發卡機構
                                                                                                              向顧客發行信用卡的金融機構
                                                                                                              (3) 商家
                                                                                                              提供商品或服務,具備信用卡支付的條件。
                                                                                                              (4) 收款銀行
                                                                                                              在線交易的商家開立賬戶的銀行,對持卡人和商家身份進行認證,處理交易金額的支付與轉賬。
                                                                                                              (5) 支付網關
                                                                                                              將Internet上的傳輸數據轉換為金融機構內部網絡數據的備份,處理商家支付信息和顧客的支付指令。
                                                                                                              (6) 認證中心
                                                                                                              為發卡機構、持卡人、商家和支付網關簽發數字證書,并提供在線認證服務。
                                                                                                              (二) SET協議要達到五個目標:
                                                                                                              (一) 確保參與者信息的獨立;
                                                                                                              (二) 確保信息在互聯網上的傳輸安全,防止數據被黑客等人竊取;
                                                                                                              (三) 解決多方認證問題;
                                                                                                              (四) 確保網上交易的實時性,所有的支付過程都在線進行;
                                                                                                              (五) 效仿BDZ貿易的形式,規范協議和消息格式,促使不同廠家開發的軟件相互兼容、交互操作,并且可以在不同的硬件和操作系統上運行。
                                                                                                              三、 物流
                                                                                                              物流環節是電子商務中,將其商務活動從虛擬轉為現實的一個環節。在這一環節中,一樣存在著諸多的風險,需要去控制。
                                                                                                              一、 電子商務物流面對的安全威脅
                                                                                                              電子商務物流的安全威脅主要來自物理層,網絡層及管理層這三個方面。
                                                                                                              1. 物理層安全風險主要包括
                                                                                                              1) 設備被盜,被毀壞。
                                                                                                              2) 鏈路老化或被有意或者無意的破壞。
                                                                                                              3) 因電磁輻射造成信息泄露。
                                                                                                              4) 地震、火災、水災等自然災害。
                                                                                                              2. 網絡層安全風險主要包括
                                                                                                              1) 數據傳輸風險
                                                                                                              2) 網絡邊界風險
                                                                                                              3) 網絡設備風險
                                                                                                              4) 網絡服務風險
                                                                                                              3. 管理層安全風險
                                                                                                              責權不明,管理混亂,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
                                                                                                              二、 電子商務物流安全問題的防范技術
                                                                                                              1. GPS技術
                                                                                                              GPS是全球衛星定位系統,其在物流領域中得到運用后,其精度高,覆蓋面廣、定位速度快、成本低、抗干擾能力強、等特點為物流過程中的風險規避起到了很好的效果和作用。
                                                                                                              2. RFID 技術
                                                                                                              1) RFID作為物品傳遞自身信息的途徑,是一種高級的非接觸式識別技術。其優勢是:
                                                                                                              2) 遠距離自動識別,避免人工干預,特別是在惡劣的環境條件下
                                                                                                              3) 對于靜止及運動的物品均可識別
                                                                                                              4) 具有同時識別多個標簽的能力
                                                                                                              這一技術在物流、物聯網中的應用在控制物流過程中起到了極大的作用,為物流在分類、運輸、送達等環節的準確和安全提供了極大的保障
                                                                                                              參考文獻
                                                                                                              1.蔣文杰,《電子商務實務教程—理論與實務》,浙江大學出版社,2011
                                                                                                              2.方修豐,《基于網絡計算機技術的電子商務信息安全》,《中國商貿》,2009年21期
                                                                                                              3.臧良運,《電子商務支付與安全》,電子工業出版社,2006
                                                                                                              4.孔東昇,《物流信息網絡安全風險分析及解決方案》,《計算機安全》,2004年04期
                                                                                                              5.李炯,《物流安全管控技術分析》,《物流技術與應用》,2005年04期

                                                                                                              網友評論 more
                                                                                                              東方創想 |  網站簡介 |  會員服務 |  廣告服務 |  業務合作 | 提交需求 |  會員中心 | 在線投稿 | 版權聲明 | 友情鏈接 | 聯系我們 
                                                                                                              ©2007-2018  北京東方創想科技有限公司   
                                                                                                              運營單位:北京創想安科科技有限公司
                                                                                                              聯系電話:   E-mail:[email protected] 
                                                                                                              京ICP備11001792號    京公網安備 11010502035057號
                                                                                                              二肖中特 今晚