电子商务的安全策略

电子商务的安全策略（精选11篇）

电子商务的安全策略 第1篇

一、电子商务的定义

电子商务 (E-business) 是利用当前先进的电子技术从事各种商业活动的方式, 其实质是一套完整的网络商务经营及管理信息系统。更具体地说, 它是利用计算机硬/软件设备和网络基础设施, 通过一定协议连接起来的电子网络环境进行各种商务活动的方式。比如:网上银行、网上营销、网上客户服务、网上调查等。

二、电子商务的基本特征

1. 电子商务将传统的商务流程电子化、数字化, 减少了人力、

物力, 降低了成本, 具有开放性和全球性的特点, 为企业创造了更多的贸易机会。

2. 电子商务重新定义了传统的流通模式, 减少了中间环节,

使生产者和消费者不用谋面的网上交易成为可能, 从而在一定程度上改变了社会经济运行的方式、经济布局和结构。

3. 电子商务一方面突破了时间和空间的限制, 另一方面又提

供了丰富的信息资源, 为各种社会经济要素的重新组合提供了更多的可能, 使得交易活动可以在任何时间、任何地点进行, 从而大幅度提高了效率。

可见, 电子商务的一个重要技术特征是利用网络技术和IT技术来传输和处理商业信息的。就整个系统而言, 其安全性可以分为四个层次。 (1) 网络节点的安全性。 (2) 通讯的安全性。 (3) 应用程序的安全性。 (4) 用户的认证管理。

三、网络节点的安全性

1. 防火墙的概念。

在构建安全网络环境的过程中, 防火墙作为第一道安全防线, 受到越来越多用户的关注与青睐。防火墙是一个系统, 主要用来执行Internet (外部网) 和Intranet (内联网) 之间的访问控制策略。它可为各类企业网络提供必要的访问控制, 又不造成网络的瓶颈, 并通过安全策略控制进出系统的数据, 保护企业资源。

2. 防火墙安全策略。

防火墙保护内部网络的敏感数据不被窃取和破坏, 并记录内外通信的有关状态信息日志, 如通信发生的时间和进行的操作等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。设置了防火墙后, 可以对网络数据的流动实现有效的管理:如允许公司员工使用电子邮件、Web浏览以及文件传输等服务, 但不允许外界随意访问公司内部的计算机, 同样还可以限制公司中不同部门之间的互相访问。

可见, 防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备组合, 它还是安全策略的一个重要组成部分, 其安全策略建立了全方位的防御体系来保护机构的信息资源, 这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及管理制度等。所有可能受到网络攻击的地方都必须以同样的安全级别加以保护。仅设置防火墙系统, 而没有全面、细致的安全策略, 那么防火墙就形同虚设。

3. 安全操作系统。

安全的操作系统至少要有以下特征: (1) 最小特权原则, 即每个特权用户只拥有能进行其工作的权力。 (2) 强制访问控制, 包括保密性访问控制和完整性访问控制。 (3) 安全审计和审计管理。 (4) 安全域隔离。

其次, 防火墙是基于操作系统的, 如果信息通过操作系统的后门绕过防火墙进入内部网, 则防火墙就不起作用了。可见, 安全是一个系统工程, 操作系统安全只是其中的一个层次, 还需要各个环节的配合, 安全操作系统应该与各种安全软、硬件结合起来 (如防火墙、杀毒软件、加密产品等) , 才能让电子商务得到更广泛的应用, 确保系统信息的安全达到最佳状态。

四、网络通信的安全性

1. 数据通信的安全。

电子商务系统的数据通信主要存在于: (1) 客户浏览器端与电子商务WEB服务器端的通讯。 (2) 电子商务WEB服务器与电子商务数据库服务器的通讯。

2. 通信链路的安全。

在客户端浏览器和电子商务WEB服务器之间采用SSL (Secure Electronic Transaction, 安全电子交易) 协议建立安全链接, 所需传递的重要信息都是经过加密的, 这在一定程度上保证了数据在传输过程中的安全。为在浏览器和服务器之间建立安全机制, SSL首先要求服务器向浏览器出示它的证书, 证书包括一个公钥, 由证书授权机构 (CA中心) 签发。浏览器要验征服务器证书的正确性, 必须事先安装签发机构提供的基础公共密钥 (PKI) 。单纯的建立SSL链接时, 客户只需用户下载该站点的服务器证书。若验证此证书是合法的服务器证书, 再利用该证书对称加密算法 (RSA) 与服务器协商一个对称算法及密钥, 然后用此对称算法加密将要传输的明文, 此时浏览器也会出现进入安全状态的提示。

五、应用程序的安全性

即使正确地配置了访问控制规则, 要满足计算机系统的安全性, 这些工作还是不充分的, 因为编程错误也可能导致对系统的破坏与攻击。

程序错误的常见形式:程序员忘记检查传送到程序的入口参数;程序员在处理字符串的内存缓冲时, 忘记检查边界条件。整个程序都是在特权模式下运行, 而不是只有有限的指令子集在特权模式下运行, 其他的部分只有缩小的许可。程序员从这个特权程序使用范围内建立一个资源, 如一个文件和目录, 但不是显式的设置访问控制 (最少许可) 。若程序员认为这个缺省的许可是正确的, 则这些缺点就可能被用到攻击系统的行为中, 不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。

缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的, 程序不检查输入字符串长度。输入假字符串常常是可执行的命令, 特权程序可以执行指令。

六、用户的认证管理

1. 身份认证。

开展电子商务的关键核心技术是保密存储与取出。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合来实现。CA证书用来认证服务器的身份, IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能, 所以只采用ID号和密码口令的身份确认机制。由于指纹具有惟一性, 目前, 指纹认证与网络传输便广泛的应用于银行专用网、企业营销网等各种商贸网络, 使电子商务具有更现实的可操作性。

2. CA证书。

CA (Certificate Authority, 即“认证机构”) , 是证书的签发机构, 它是PKI (Public Key Infrastructure, 即“公开密钥体系”) 的核心。它要制定政策和具体步骤来验证、识别用户身份, 并对用户证书进行签名, 以确保证书持有者的身份和公钥的拥有权。要在网上确认交易各方的身份及保证交易的不可否认性, 便需要CA证书进行验证。证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书, 验证个人证书是为了验证来访者的合法身份。

CA也拥有一个证书 (内含公钥) 和私钥。网上的公众用户通过验证CA的签字从而信任CA, 任何人都可以得到CA的证书 (含公钥) , 用以验证它所签发的证书。如果用户想得到一份属于自己的证书, 应先向CA提出申请。在CA判明申请者的身份后, 便为其分配一个公钥, 并且CA将该公钥与申请者的身份信息绑在一起, 为之签字后, 便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪, 可用CA的公钥对那个证书上的签字进行验证, 一旦验证通过, 该证书就被认为是有效的。

七、建立安全管理机制

为了确保系统的安全性, 除了采用上述技术手段外, 还必须建立严格的内部安全机制。对于所有接触系统的人员, 应按其职责设定其访问系统的最小权限。

按照分级管理原则, 严格管理内部用户账号和密码, 进入系统内部必须通过严格的身份确认, 防止非法占用、冒用合法用户账号和密码。建立网络安全维护日志, 记录与安全性相关的信息及事件, 有情况出现时便于跟踪查询。定期检查日志, 以便及时发现潜在的安全威胁。对重要数据要及时进行备份。对数据库中存放的数据, 数据库系统应根据其重要性提供不同级别的数据加密。安全管理实际上是一种风险管理, 任何措施都不能保证百分之百的安全。但安全技术的采用可降低系统遭到破坏、攻击的风险, 决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。随着全球经济一体化进程的加快, 尤其是Internet技术、IT技术的迅猛发展及广泛应用, 我们的社会也已融入到电子商务时代的气息当中, 这是一个“以客户为中心”的时代, 企业的市场营销及贸易往来都必须围绕这个中心来进行。只有保证电子商务各个环节、各个方面的安全性与稳定性, 才能为其正常运作提供有力的保证, 才能为其自身迎来更广阔的前景。

参考文献

[1]陈景艳:电子商务技术基础[M].电子工业出版社, 2003.9

电子商务的安全策略 第2篇

如何建立一个安全、快捷、便利的电子商务应用环境,对信息在网络上的传输提供足够的保护,已成为商家和用户都非常关心的话题。

一、电子商务的定义

电子商务(E-business)是利用当前先进的电子技术从事各种商业活动的方式，其实质是一套完整的网络商务经营及管理信息系统。

更具体地说，它是利用计算机硬/软件设备和网络基础设施，通过一定协议连接起来的电子网络环境进行各种商务活动的方式。

比如：网上银行、网上营销、网上客户服务、网上调查等。

二、电子商务的基本特征

1.电子商务将传统的商务流程电子化、数字化，减少了人力、物力，降低了成本，具有开放性和全球性的特点，为企业创造了更多的贸易机会。

2.电子商务重新定义了传统的流通模式，减少了中间环节，使生产者和消费者不用谋面的网上交易成为可能，从而在一定程度上改变了社会经济运行的方式、经济布局和结构。

3.电子商务一方面突破了时间和空间的限制，另一方面又提供了丰富的信息资源，为各种社会经济要素的重新组合提供了更多的可能，使得交易活动可以在任何时间、任何地点进行，从而大幅度提高了效率。

可见，电子商务的一个重要技术特征是利用网络技术和IT技术来传输和处理商业信息的。

就整个系统而言，其安全性可以分为四个层次。

(1)网络节点的安全性。

(2)通讯的安全性。

(3)应用程序的安全性。

(4)用户的认证管理。

三、网络节点的安全性

1.防火墙的概念。

在构建安全网络环境的过程中，防火墙作为第一道安全防线，受到越来越多用户的关注与青睐。

防火墙是一个系统，主要用来执行Internet(外部网)和Intranet(内联网)之间的访问控制策略。

它可为各类企业网络提供必要的访问控制，又不造成网络的瓶颈，并通过安全策略控制进出系统的数据，保护企业资源。

2.防火墙安全策略。

防火墙保护内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等。

新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。

设置了防火墙后，可以对网络数据的流动实现有效的管理：如允许公司员工使用电子邮件、Web浏览以及文件传输等服务，但不允许外界随意访问公司内部的计算机，同样还可以限制公司中不同部门之间的互相访问。

可见，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备组合，它还是安全策略的一个重要组成部分，其安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及管理制度等。

所有可能受到网络攻击的地方都必须以同样的安全级别加以保护。

仅设置防火墙系统，而没有全面、细致的安全策略，那么防火墙就形同虚设。

3.安全操作系统。

安全的操作系统至少要有以下特征：(1)最小特权原则,即每个特权用户只拥有能进行其工作的权力。

(2)强制访问控制，包括保密性访问控制和完整性访问控制。

(3)安全审计和审计管理。

(4)安全域隔离。

其次，防火墙是基于操作系统的，如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙就不起作用了。

可见，安全是一个系统工程，操作系统安全只是其中的一个层次，还需要各个环节的配合，安全操作系统应该与各种安全软、硬件结合起来(如防火墙、杀毒软件、加密产品等)，才能让电子商务得到更广泛的应用，确保系统信息的安全达到最佳状态。

四、网络通信的安全性

1.数据通信的安全。

电子商务系统的`数据通信主要存在于：(1)客户浏览器端与电子商务WEB服务器端的通讯。

(2)电子商务WEB服务器与电子商务数据库服务器的通讯。

2.通信链路的安全。

在客户端浏览器和电子商务WEB服务器之间采用SSL(Secure Electronic Transaction,安全电子交易)协议建立安全链接，所需传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。

为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由证书授权机构(CA中心)签发。

浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥(PKI)。

单纯的建立SSL链接时，客户只需用户下载该站点的服务器证书。

若验证此证书是合法的服务器证书，再利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥，然后用此对称算法加密将要传输的明文，此时浏览器也会出现进入安全状态的提示。

五、应用程序的安全性

即使正确地配置了访问控制规则，要满足计算机系统的安全性，这些工作还是不充分的，因为编程错误也可能导致对系统的破坏与攻击。

程序错误的常见形式：程序员忘记检查传送到程序的入口参数;程序员在处理字符串的内存缓冲时，忘记检查边界条件。

整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可。

程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录，但不是显式的设置访问控制(最少许可)。

若程序员认为这个缺省的许可是正确的，则这些缺点就可能被用到攻击系统的行为中，不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。

缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的，程序不检查输入字符串长度。

输入假字符串常常是可执行的命令，特权程序可以执行指令。

六、用户的认证管理

1.身份认证。

开展电子商务的关键核心技术是保密存储与取出。

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合来实现。

CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。

个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

由于指纹具有惟一性，目前，指纹认证与网络传输便广泛的应用于银行专用网、企业营销网等各种商贸网络，使电子商务具有更现实的可操作性。

2.CA证书。

CA(Certificate Authority，即“认证机构”)，是证书的签发机构，它是PKI(Public Key Infrastructure，即“公开密钥体系”)的核心。

它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。

要在网上确认交易各方的身份及保证交易的不可否认性，便需要CA证书进行验证。

证书分为服务器证书和个人证书。

建立SSL安全链接不需要一定有个人证书，验证个人证书是为了验证来访者的合法身份。

CA也拥有一个证书(内含公钥)和私钥。

网上的公众用户通过验证CA的签字从而信任CA，任何人都可以得到CA的证书(含公钥)，用以验证它所签发的证书。

如果用户想得到一份属于自己的证书，应先向CA提出申请。

在CA判明申请者的身份后，便为其分配一个公钥，并且CA将该公钥与申请者的身份信息绑在一起，为之签字后，便形成证书发给申请者。

如果一个用户想鉴别另一个证书的真伪，可用CA的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。

七、建立安全管理机制

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。

对于所有接触系统的人员，应按其职责设定其访问系统的最小权限。

按照分级管理原则，严格管理内部用户账号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户账号和密码。

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。

定期检查日志，以便及时发现潜在的安全威胁。

对重要数据要及时进行备份。

对数据库中存放的数据，数据库系统应根据其重要性提供不同级别的数据加密。

安全管理实际上是一种风险管理，任何措施都不能保证百分之百的安全。

但安全技术的采用可降低系统遭到破坏、攻击的风险，决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

随着全球经济一体化进程的加快，尤其是Internet技术、IT技术的迅猛发展及广泛应用，我们的社会也已融入到电子商务时代的气息当中，这是一个“以客户为中心”的时代，企业的市场营销及贸易往来都必须围绕这个中心来进行。

只有保证电子商务各个环节、各个方面的安全性与稳定性，才能为其正常运作提供有力的保证，才能为其自身迎来更广阔的前景。

参考文献：

[1]陈景艳:电子商务技术基础[M].电子工业出版社,.9

电子政务信息安全的技术策略 第3篇

电子政务系统本身的重要性和特殊性决定了信息安全是成功实施电子政务的首要条件。政务活动不同于商务活动,它关系到党政部门乃至整个国家的利益。政务信息比商务信息更加重要、更为严肃和权威。解决好电子政务系统中信息资源共享与保密性、完整性的关系、开放性与保护隐私的关系、互联性与局部隔离的关系,是实现“安全的”电子政务的前提。因此,发展电子政务,首要的问题是解决安全保障问题,这个原则应当贯彻于电子政务建设的全部过程,而实际情况却不容乐观,形势非常严峻。

我国电子政务信息安全技术面临的威胁

我国信息技术和信息产业的发展与技术先进国家相比“西强我弱”,在信息产业和经济金融领域,电脑硬件面临遏制和封锁的威胁;软件面临市场垄断和价格歧视的威胁。

首先,我国网络安全技术落后。从总体上讲,在网络安全技术方面,我国与技术发达国家差距很大,具体表现在:

(1)我国的信息安全研究经历了通信保密、计算机数据保护两个发展阶段,目前才进入网络信息安全的研究阶段。

(2)国内一些部门在学习借鉴国外技术的基础上,也开发研制了一些防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但是,这些产品安全技术的完善性、规范化、实用性还存在许多不足,特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大差距。

(3)在系统安全工作和安全协议的研究方面差距更大。

(4)研究与建立创新性安全理论和系列算法,对我国而言仍是一项艰巨的任务。

其次,我国对发达国家信息设备和信息技术存在着很强的依赖性。我国的信息化设备严重依赖国外,对引进技术和设备缺乏必要的信息管理和技术改造。尤其是在系统安全和安全协议的研究和应用方面,我国与发达国家的差距较大。而发达国家对我国限制和封锁信息安全高密度产品,据可靠消息,美国方面出口中国的密钥芯片都留有一个口,供美方随时启动;出口我国的计算机系统的安全系统也只有C2级,是美国国防部规定的8个安全级别之中的倒数第三。由此可见,我国电子政务信息系统的安全在一定程度上还受到别国的控制。

电子政务信息安全的技术策略

针对我国电子政务面临的威胁,笔者提出“纵深防御”的电子政务信息安全的技术策略。如表1所示。表中给出了针对的问题及其运用策略的对应关系。

1.与公网隔离且有相应的安全连接措施

在内网与外网进行互连互通时,必须充分考虑外网与内网的隔离,这种隔离可以通过路由访问策略(敏感网络可采用静态路由来控制外部访问)和防火墙技术来进行解决。

2.安全域间隔离

一个大型的电子政务系统很可能由若干部分组成,这些部分经过比较全面的测试和调试,每个部分都应该是很安全的,但是,作为一个完整的电子政务系统,不可避免地要把这些部分连接在一起,这往往就会引发一个话题:在安全域之间进行连接,会得到一个更大的安全域吗?结果显然是否定的,尽管每个域独立起来都是安全的,但和其它安全域连接后就有可能把不安全的隐患引入到新的域中来,因此,在电子政务系统中,安全域与安全域之间要进行必要的隔离,以确保不会因为连接把不安全隐患带入系统中来。

3.按需配置

加密、数字签名、访问控制、数据完整性、业务流填充、路由控制、公证、鉴别审计等安全机制可以有效地防止对系统的主动攻击和被动攻击,但是,启动这些服务在一定程度上又会影响系统的性能和功能,因此,在电子政务系统建设过程中,应充分考虑这些服务的必要性与必须性,选择必需的服务进行安装。

4.设置鉴别服务器负责远程访问的控制

电子政务系统中不可避免的要对外网用户开放一部分资源,如何保障用户可以正确地使用自己的权限(最小权限原则),既能访问到自己可以访问的东西,又不能访问自己不适合访问的资源,就成了网管人员必须考虑的问题,在电子政务系统中,可根据服务的规模来决定是否设置鉴别服务器,来专门负责远程访问的控制。

5.网络和网络安全部件要进行安全测试

时至今日,世界上和我国都有相应的安全测试机构,在电子政务系统中所使用到的网络部件以及软件产品,最好获得相关的测试机构的测试,同时,由这些网络部件和软件产品所共同构件的电子政务系统,交付使用之前,也必须经过相应的安全测试。

6.建立密钥分配中心(KDC)

在相应的网络层次和级别上设立密钥管理中心、访问控制中心、安全鉴别服务器、授权服务器等,负责访问控制以及密钥、证书等安全材料的产生、更换、配置和销毁等相应的安全管理活动,在信息加密、身份认证机制中,都要使用到加密体制(公钥加密和私钥加密),无论什么样的加密体制,都要使用到密钥,密钥的存储和传输的安全与否,直接关系到整个电子政务系统的安全,可根据实际需求,在电子政务系统中建立密钥分配中心(KDC)来具体负责密钥的存储和管理。

7.完善信息传递系统

信息传递系统要具有抗侦听、抗截获能力能对抗传输信息的篡改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击,保护信息的机密性,保证信息和系统的完整性,由于电子政务系统中的大部分信息都要在网络中进行传输,如何防止信息在网络传输过程中,不被窃听、篡改和重放,必须采取必要的措施(如加密,使用报文摘要技术、时间戳技术)来加以防范。

8.保密信息不以明文形式出现

保密信息在保密装置以外不以明文形式出现。保密信息在加密装置(加密硬件和加密软件)如果以明文的形式出现,就会极大地提高信息泄密的几率,为了彻底杜绝黑客通过攻击服务器而窃取机密信息,务必做到保密信息不以明文形式出现在保密装置之外。

9.做好防灾、容灾备份工作

在以往的使用过程中,使用者,包括技术人员,很多人都认为防灾备份系统可有可无,究其原因,主要是因为在实践中,出现意外事故导致系统损失的几率相对于系统正常的运行时间而言,是微乎其微的,正是由于这些思想上的麻痹,往往会导致巨大的损失。因此,尽管为电子政务系统做防灾备份要耗费比较大的财力物力,为了系统的绝对安全,还是应该真正的把这项工作做到实处。

目前我国无论是关键技术、经营管理还是生产规模、服务观念,都不具备力量在短时间内使国产信息产品占领国内的信息安全产品主要市场。国家要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。在安全技术方面,应该加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段中国各级政府部门目前所选用的高端软硬件平台,基本上都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。而且信息安全技术产品日新月异、层出不穷,但是在某一个时间段,其技术水平是趋于稳定的。安全策略的作用不在于从技术层面提高某项产品的技术含量,我们同样也不能奢望某项技术或产品能够包治百病,现在我对整个电子政务信息的安全技术策略进行思考,也是希望能基于现有的安全技术产品,通过对其进行合理配置而产生出更大的应用价值,即起到一加一大于二的作用。

浅析电子商务网站的安全策略 第4篇

电子商务就是通过电信网络进行的生产、营销、销售和流通等商务活动。随着国际互联网的不断拓展,基于因特网的、以交易双方为主体,以银行的电子支付和结算为手段,以客户数据为依托的全新商务模式电子商务正在全球范围内蓬勃兴起,并已成为推动新世纪世界经济增长的关键[1]。根据艾瑞调查数据显示中国网购市场交易规模在5000亿左右,占到整个社会零售总额的比例在3.4%,在2013年这个比例将会达到6.5%[2]。在这样的趋势下,企业要想适应信息社会迅猛发展的浪潮,就必须借助于Internet构建新的运营模式,电子商务已经成为很多企业要采用的新模式,因而研究电子商务网站的安全机制是具有极强的现实意义。

1 电子商务网络安全概述

电子商务系统是计算机网络及电子商务应用系统的集成,其安全性不仅面临计算机网络系统共有的安全问题,而且还与电子商务应用的环境、人员素质和社会因素等密切相关。因此,电子商务安全从整体上可分为三大部分:计算机网络安全、商务交易安全和电子商务安全立法。

计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。

商务交易安全要解决网络交易活动所面临的各种安全问题,其目标是实现电子商务交易的保密性、完整性、不可否认性和身份的真实性。

电子商务安全立法是通过法律法规,规范电子商务交易、管理和运行过程,这是电子商务活动开展的根本基础。

2 电子商务的安全性要求

电子商务安全要求包括四个方面:

(1)数据传输的安全性:对数据传输的安全性需求即是保证在公网上传送的数据不被第三方窃取。

(2)数据的完整性:对数据的完整性需求是指数据在传输过程中不被篡改。

(3)身份验证:参与安全通信的双方在进行通信前,必须互相鉴别对方的身份。

(4)交易的不可抵赖:网上交易的各方在进行数据传输时,必须带有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证。

3 电子商务网站的安全措施

目前,电子商务网站主要是采用J2EE技术方案,以SSH架构为基础进行整体系统的构建。因此,下面着重从系统层、应用层、数据层三个方面来讨论相应的安全措施。

3.1 系统层的安全措施

系统层安全具有特殊性,因为系统层的安全往往决定着应用层、数据层的安全。系统层一旦被突破,应用层和数据层就会暴露在攻击者面前。因此对于主机系统的安全必须采取严格的定义,不仅要对内部所有服务器进行及时地更新最新的补丁库,还要进行非常严格的系统安全评估,也就是采用严格的安全扫描软件进行主机系统的安全审查,然后根据结果结合自己系统实际运行服务的要求情况,进行合理的正确的安全配置。主要措施有:

(1)关闭不必要端口

只是打开系统应用服务的协议和端口,FTP、TELENT等服务不要轻易对外开放。

(2)密码加密

在传输过程中,根据网络传输协议,大多数传输的协议是明文协议,黑客等可以通过协议的侦听来获得传输内容。

(3)弱密码检测

对于过于简单的密码,管理员可以进行程序的扫描和检测,得到相应的检测报告,管理员可以视情况决定是否封锁弱密码的帐号。

(4)口令安全

口令的存放必须有专人管理,并存放在防火、防水、防盗的安全地带,确保口令的安全。

(5)分级权限控制

在电子商务平台管理的各个栏目中,都要对用户的身份进行认证,以保证用户的合法性。然后在此基础上,根据每个用户在应用系统中担当的不同角色,再对其权限进行管理,使不同级别的用户在应用系统中具有不同的功能权限,通过访问控制机制来控制用户的访问和操作。

3.2 应用层的安全措施

(1)安全漏洞评估

好的安全评估不仅能够检测和报告漏洞,而且还可以发现漏洞发生在什么地方以及发生的原因。

(2)入侵防御系统

网络安全防范中,传统的方法是对操作系统进行安全加固,通过各种各样的安全补丁提高操作系统本身的抗攻击性。这种方法虽然可以部分地解决系统的安全问题,但其缺点也很突出。如果在网络边界检查到攻击包的同时将其直接抛弃,则攻击包将无法到达目标,从而可以从根本上避免黑客的攻击。这样,在新漏洞出现后,只需要撰写一个过滤规则,就可以防止此类攻击的威胁了。

3.3 数据层的安全措施

(1)数据库的默认密码

现在很多应用系统的数据库默认密码被设置为空,这会造成很大的安全隐患。应使系统具备自动检测数据库默认密码的功能,并能给出报告,如果密码设置不符合要求,予以提醒。

(2)数据库加密

对数据库安全性的威胁有时候是来自于网络内部,一些内部用户可能非法获取用户名和密码,或利用其他方法越权使用数据库,甚至可以直接打开数据库文件来窃取或篡改信息。因此,有必要对数据库中存储的重要数据进行加密处理,以实现数据存储的安全保护。

数据加密就是将称为明文的敏感信息,通过算法和密钥,转换为一种难于直接辨认的密文。解密是加密的逆向过程,即将密文转换成可识别的明文。数据库密码系统要求把明文数据加密成密文,数据库存储密文,查询时将密文取出解密后得到明文。数据库加密系统能够有效地保证数据的安全,即使黑客窃取了关键数据,他仍然难以得到所需的信息。另外,数据库加密以后,不需要了解数据内容的系统管理员不能见到明文,大大提高了关键数据的安全性。

(3)访问控制

访问控制是从计算机系统的处理功能方面对数据提供保护,是数据库系统内部对已经进入系统的用户的访问控制,是安全数据保护的前沿屏障。它是数据库安全系统中的核心技术,也是最有效的安全手段,限制了访问者和执行程序可以进行的操作,这样通过访问控制就可防止安全漏洞隐患。DBMS中对数据库的访问控制是建立在操作系统和网络的安全机制基础之上的。只有被识别被授权的用户才有对数据库中的数据进行输入、删除、修改和查询等权限。通常采用下面两种方法进行访问控制:

(1)按功能模块对用户授权

每个功能模块对不同用户设置不同权限,如无权进入本模块、仅可查询、可更新可查询、全部功能可使用等,而且功能模块名、用户名与权限编码可保存在同一数据库。

(2)将数据库系统权限赋予用户

通常为了提高数据库的信息安全访问,用户在进行正常的访问前服务器往往都需要认证用户的身份、确认用户是否被授权。为了加强身份认证和访问控制,适应对大规模用户和海量数据资源的管理,通常DBMS主要使用的是基于角色的访问控制RBAC(Rolebasedaccesscontrol)。

(4)防病毒的安全建议

现在意义上的网络病毒实际上就是黑客程序,一方面利用管理上的漏洞和人们对安全的忽视,另一方面利用系统本身的漏洞借助网络进行迅速地传播扩散。

在所有的计算机上安装杀毒软件,制定好杀毒计划和策略,并定期更新病毒库,是维护系统安全性的有效手段。

(5)Profile设计控制

利用Profile机制来管理会话资源占用,同时也管理用户密码的安全策略。通过Profile实现:

(1)某个特定用户最多只能占用系统百分之几的CPU时间;

(2)某个特定用户连接到数据库之后能存活多长时间;

(3)某个特定用户连接到数据库之后多长时间处于非活跃状态就将被系统中断连接;

(4)用户登录密码输入错误多少次之后就将自动锁定用户;

(5)用户密码的长度和包含的字符必须符合什么样的规则;

(6)用户密码在多少天后将自动失效并要求设定新密码。

(6)用户权限设计控制(Privilage)

通过角色(Role)、权限(Privilage)等的一系列授予(Grant)和回收(Revoke)操作可以有效地进行用户的权限控制以实现:

(1)某个特定用户只能读取而不能修改另一个用户的表数据;

(2)某个特定用户只能运行Oracle数据库系统的几个存储过程或者函数;

(3)某个特定用户自己能够拥有修改某些数据的权力,但是却无法给其它不拥有这个权限的用户授予修改该数据的权力;

(4)某个特定用户可以读取数据但是无法创建新的表空间。

(7)用户访问审计设计

审计是安全性的另一个重要领域,必须小心地计划审计方案。有几种方式可进行审计:

(1)SQL审计命令(标准审计)

通过AUDIT语句我们可以对成功或者不成功的特定对象进行读取,更新操作进行审计。

标准审计只会记录较少的跟踪信息,比如发出该语句的用户、时间、终端标识号等等。

该审计对于系统性能的影响更多地取决于对象的繁忙程度。

(2)用对象触发器进行审计(也就是DML审计)

此类审计通常由客户自行开发放置于特定数据库对象上的触发器。由于是自行开发,所以相对于标准审计,则能够更自由地记录更多感兴趣的跟踪信息。比如更新操作将某个字段从什么原始值更新到了什么新值。

该审计对于系统性能的影响更多地取决于对象的繁忙程度和触发器的编写水平。

(3)用系统级触发器进行审计(记录用户登录和退出)

当用户登录数据库或者离开数据库时,都可以通过自定义的触发器来记录用户名称、操作时间、终端标识号等信息。

由于触发器触发几率小,所以该审计对于系统性能影响并不大。

(4)用LogMiner进行审计(也就是DML和DDL)

数据库将所有的更新操作都记录在重作日志中,而提供了Log Miner工具用于挖掘重作日志中的所有操作。相比上述的各种审计方法来说,该种审计可能使信息最为完善,对于应用系统性能影响最小的方法。

(8)数据库备份安全策略

数据是系统的关键内容,所以要进行周期性的数据备份。一般数据备份有如下几种方式:

(1)全备份(Full Backup)

所谓全备份,就是用一盘磁带对整个系统进行包括系统和数据的完全备份。这种备份方式的好处是很直观,容易被人理解,而且当发生数据丢失的灾难时,只要用一盘磁带(即灾难发生前一天的备份磁带),就可以恢复丢失的数据。

(2)增量备份(Incremental Backup)

增量备份指每次备份的数据只是相当于上一次备份后增加的和修改过的数据。这种备份的优点很明显:没有重复的备份数据,节省磁带空间,又缩短了备份时间。

(3)差分备份(Differential Backup)

差分备份就是每次备份的数据是相对于上一次全备份之后新增加的和修改过的数据。

4 结束语

电子商务信息安全不仅需要技术的保证,还依赖于立法机制、社会道德的规范和内部健全的管理机制。网络系统的严格管理是电子商务信息免受攻击的重要措施,责权不明、管理混乱、安全管理制度不健全及缺乏可预防性、操作性等都可能引起管理安全的风险,管理是将信息安全策略落实的重要保障。因此,电子商务信息的安全性除了制订完整的、切合实际的、具有前瞻性的信息安全策略,还必须制定相应的安全管理措施。

参考文献

[1]中国电子商务研究中心.电子商务对国际贸易的影响及对策分析[EB].http://www.e-gov.org.cn/dianzishangwu/DianZiShangWu/201011/113583.html.

[2]艾瑞咨询集团.电子商务:机遇创新新商业[EB].http://wenku.baidu.com/view/df739f60ddccda38376baf54.html.

[3]宋文官.电子商务实用教程[M].北京:高等教育出版社,2007.

[4]牟彤华,汪治.电子商务应用[M].大连:东北财经大学出版社,2006.

[5]唐礼勇,陈钟.电子商务技术及其安全问题[J].计算机工程与应用,2007.

[6]中国电子商务研究中心.电子商务中安全问题的分析及其安全策略[EB].http://b2b.toocle.com/detail-5018855.html.

电子商务的安全策略 第5篇

计算机仿真就是将一个描述实际系统的数学模型通过第二次模型化,变成一个能够采用计算机运算求解的仿真模型,并在计算机内进行运转的过程,以此获得有关实际系统的定量信息、数据或资料,深化对实际系统的认识和研究。

计算机仿真的全过程:①建立描述实际系统的数学模型。②经二次模型化建立仿真模型。③仿真模型在计算机内运行,有必要再根据技术要求修改仿真模型并校验。④分析仿真运行结果,为研究、分析,设计和调整所研究的实际系统提供可靠的信息、数据。

根据仿真中所采用的计算机类型的不同,计算机仿真可分为模拟仿真和数字仿真。

1.模拟仿真

模拟仿真是采用模拟计算机作为仿真工具进行仿真,模拟计算机是一种连续变量的解算装置。它将被研究系统的各种物理量用机器电压来表示,通过由模拟电子器件构成的各种运算部件,进行模拟量的连续解算。

模拟仿真时,首先根据所研究系统的数学模型,用连续积分、降阶求解的方法变成仿真模型——模拟结构图,再选择合适的变量幅值比例尺,使实际系统变量与机器电压之间建立数量上的折算关系,然后将计算机中有关的运算部件按比例尺化后的模拟结构图进行连接。通过上机调试、运行,获得仿真结果。

模拟仿真的突出特点是仿真结果非常接近于实际系统的真实情况。这是因为模拟计算机采用机器电压代表实际系统的变量参加运算和输出结果,它是一个有正、负极性和连续变化的量,用它来描述连续系统的动态过程就显得逼真,和真实系统在测试设备上观察到的波形几乎完全相同。此外,模拟计算机运算部件采用的电路及所用的信号很简单,人们可以通过系数电位器的设置、调节和运算部件连接关系的改变,方便而迅速地改变系统的参数和修改系统的仿真模型,人机联系很方便。

2.数字仿真

数字仿真是使用数字计算机作为仿真工具进行仿真。数字计算机是一种离散量的计算装置,它将实际系统数学模型中连续变化的物理量离散成一组组二进制码表示的数字量,经过机器码的运算求得数学模型的解答,输出一组组时间离散节点上的数值解答。

数字仿真的大致过程:①建立被仿真系统的数学模型。②将数学模型经数值计算方法改造成仿真模型。③编写仿真程序。④键入并运行仿真程序,获得仿真结果。

二、仿真实验在教学中的应用

仿真实验是开放式实验教学的重要资源组成。所谓“仿真实验”,是相对于实物实验而言的,两者的主要差别在于:实验过程中所触及的对象与事物是否真实。在实物实验中所采用的实验工具、实验对象都是以实物形态出现的;而在仿真实验中,不存在实物形态的实验工具与实验对象,实验过程主要是对虚拟的实验仪器及设备进行操作。仿真实验虽然难以达到与实物实验完全一样的程度,但其良好的教学效果仍显而易见,其表现如下。

1.营造多样化教学环境,提高学习兴趣

对大多数学生来说,在预习实验的时候,会感到书上一些概念性的介绍很抽象。虽然有些仪器附有图片,但是仍然显得很单调。学生预习起来容易缺乏兴趣,对实验原理并不能真正理解。如果学生以前没有接触过该实验的仪器,实验中就有可能因使用方法不当而进行误操作,造成实验中断、仪器损坏。仿真实验可以提供形象直观、内容丰富的学习环境,图文并茂、动静结合、节奏有序的实验内容,并以声音、图像等丰富的表现力帮助学生进行多感官的学习,这样无疑会增加学生的兴趣,调动他们学习的积极性,促进学生对实验仪器的熟悉和对实验原理的理解。特别是一些对学生来说陌生而复杂的仪器,经过仿真实验的练习,操作起来既轻松又胸有成竹,从而提高教学效率。同时,降低了大大了损坏率。

2.打破时间和空间的局限,确保开放式实验教学的实施

将仿真实验与网络相结合,以网络为平台开展仿真实验教学。学生可以利用校园网或Internet对实验教学内容进行课前预习和课后复习,使教学内容在时间和空间上得到延伸,学生能够充分的`学习和掌握实验教学内容。作为一个“开放的实验室”,学生可以根据自己的时间,在任何地点自主学习,利于学生根据兴趣选择,并能满足不同层次学生的学习需求。同时,给学生提供了自学实验的环境,培养了学生对实验的自学能力。公务员之家

3.节省实验经费,提供无惧环境,保证实验的项目和数量

自然科学前沿领域的高新技术设备价格昂贵,目前伴随着高校办学规模的不断扩大,受教育资金的限制,高校仪器设备的数量和种类相对匮乏,传统单一的实验教学模式已远远不能满足实验教学的需求。多媒体仿真实验以较少的投入,更大灵活性的缓解了上述的矛盾。同时学生可以按自己的设想在多种实验环境中搭建自己的实验。另一方面,部分实验还具有一定的危险性,因此许多学校在开设实验项目时常有所保留,学生也不敢大胆尝试实验。这在很大程度上扼杀了学生创造能力的发展。仿真实验系统认错性很强,在模拟的过程中学生操作一旦出错,系统立即指出调节错误,如果前一步调整不好就不允许进行下一步,迫使学生反复演练直至成功,学生的创造性思维会得到良好的发展。从而保证了实验的项目和数量。

4.真正实现理论教学与实验教学的结合

仿真实验可以经过设置或再开发,作为理论教学的辅助工具。一些在学科发展中做出了历史性贡献的典型实验都可以利用仿真实验展现于课堂教学中,通过实验的方法引入新的概念和规律,把理论教学与实验教学有机的融为一体,按照科学探索和研究的过程进行教学,这样可以开阔学生的视野,提高学生实验的学习兴趣。仿真实验以仿真的仪器为主要器材,它所仿真的元器件、仪器仪表和系统功能与真实的硬件存在着必然的差异。仿真实验虽然新颖有趣,但与真实实验仍有距离感。并且,将仿真实验应用于教学,它的整个教学过程都是在计算机上操作完成的,在教学应用中不可避免地具有一定的局限性。

参考文献:

证书策略 确保电子交易安全 第6篇

最近,360公司与深圳沃通公司在网上就“带着身份证的木马”相互指责对方,事件不断在升级。360指责沃通没有管理好发放的代码签名证书,让木马披着合法的外衣到处流窜;而深圳沃通公司则认为,代码签名证书只能证明软件开发单位的数字身份,而不能证明其开发的是否是木马程序,并且,用户应该管理好自己的证书,证书如果丢失,可以立刻吊销证书,但如果证书丢失后不吊销,被木马利用了,不能将责任归咎于证书发放机构。微软等国际公司也持有同样的观点。双方就电子认证的可靠性形成了激烈的交锋。

“这说明了两件事情,一方面,对证书的使用和管理不当,可能造成用户的损失;另一方面,认证机构不同,对同一事件的认证差异也较大,对证书缺乏标准的认证,会造成用户的不信任。而解决的办法,就是推广和使用证书策略。”信息安全国家重点实验室副主任、中国科学院DCS中心常务副主任兼亚洲PKI联盟秘书长荆继武教授说。

什么是证书策略

那么,什么是证书策略呢?推广和使用它有什么现实意义呢?

1月21日,信息安全国家重点实验室在工信部信息安全协调司的支持下,召开了“电子认证证书策略与信任保障专家研讨会”,来自清华大学、中国人民大学、中国PKI联盟、香港PKI论坛以及多家CA公司的专家学者参加了研讨会。

积极推动证书策略的工信部信息安全协调司副司长欧阳武介绍,简单来讲,证书策略就是根据网上应用安全级别的不同,对不同的应用提供不同的证书,以保障交易的安全性。但由于应用的多样性,不可能对每种应用都发一种证书,因此,可以给具有共同安全要求的应用定义一类证书策略,遵守同样证书策略的认证机构(也称为CA公司)按照同样的安全要求签发证书。这样做的目的有三个:一是可以统一规范CA机构对同样安全需求和类别的应用的认证过程,这是实现CA机构之间互认证的基础;二是方便用户的使用,采用证书策略后,最终用户不需要了解认证的技术和细节,只需要知道“采用的是哪种认证策略的证书”就可以了,而对证书依赖方(也就是采用证书的企业,比如银行等)来说,只需要知道“依赖哪种认证策略的证书”就可以了;第三,证书策略对于监管机构来讲,是对认证市场进行规范的监管工具,是规范CA机构服务标准的一种政策工具,具有重要的现实意义。

之所以提出了证书策略的概念,是因为,虽然在信息安全领域我们已经有了惟一的一部电子签名法,但是在目前的电子商务和电子政务环境中,人们使用各种CA机构签发的数字证书后,依然面临着许多困惑,依然不断出现各种安全威胁。由于证书签发的质量各不相同,不同的证书安全强度也不一样,按照测试流程发放的证书应该不能用于正式的电子交易。由于我国目前缺乏对数字证书的分级,人们无法从证书中获知证书的安全等级。也正因为如此,当使用证书遭受损失的时候,人们难以求助相关的法律保障自己的权益,以致于人们开始怀疑数字证书的可靠性,甚至怀疑整个电子签名技术和市场的可靠性。

例如,曾经发生过这样的事情,一位网银用户在领取了银行发放的数字证书后,由于没有及时激活数字证书,自己账户中的百万元资金不翼而飞。专家在仔细分析后发现,主要原因在于用户没有及时激活USB Key,因此在Key中就没有产生相应的私钥和数字证书,也就达不到证书的效力(这一过程必须由用户完成,是为了防止银行工作人员作假)。与此同时,其他人冒用他的身份证重新申请了一个新的USB Key并激活,冒领了资金。银行的责任在于没有将相关的步骤和风险详细告之用户。对不懂技术的普通用户来说,了解一大堆专业术语和实现过程实在太为难了。这一结果,不仅对该用户是个巨大打击,相信他从此之后也不会再相信数字证书了,对整个数字证书产业而言,何尝不是个重大信任灾难呢?

此外,很多人都有过这样的经历:当登录某个网站时,微软浏览器上方常常显示“证书错误:导航已阻止”字样。这是因为,为了保证用户输入信息传输和存储的安全,许多网站都采用了服务器证书。但由于发放服务器证书的CA机构,有许多并没有通过微软浏览器的认证,因此,微软浏览器将这些证书都当成是非法证书。结果造成了最终用户的困惑和网站管理者的担忧,他们很难再相信那些CA机构发放的证书了。

“还有很多例子可以证明,目前我国CA机构良莠不齐,发放的证书存在许多差异;电子认证对最终用户的使用要求高,使用稍微不注意,就可能造成用户的损失,这造成了证书广泛应用的困难,也造成了人们对电子认证的不信任,影响了电子认证行业的发展。”荆继武教授说。

对于证书策略的提出,专家们一致认为是非常有意义、也非常及时的。

“在我国推行证书策略最大的创新在于,国内首次提出了对电子认证进行分级的概念。”北京天威诚信电子商务有限公司总经理殷文钢说。“以往各种CA机构都在按照自己的理解和用户需求发放证书,这些证书之间不能互认证,不具有可比性。一些技术和管理不过关的CA机构发放的证书给用户造成了损失,导致了用户对整个电子认证行业不信任,这是非常不好的现象。现在有了证书策略,至少给CA机构提出了一个新的底线,CA机构必须达到这个标准才能获得更高级别的经营许可,这对技术先进、管理到位的正规经营电子认证服务的公司是一个最大的利好消息。”他说。

证书策略

面临的挑战

然而,概念虽好,要真正实现有效的证书策略并非是一件简单的事情,而是一个复杂的系统工程。

首先面临的第一大难题是,如何在海量的应用中提炼出共性的安全需求?这是证书策略的基础,也是保证证书策略有效实施的关键。

“在目前的环境下,由于网上应用类型的千差万别和应用数量的庞大,不可能对所有的应用颁发不同的数字证书。因此,对应用安全进行科学的分类是面临的重要挑战。”荆继武教授说。

中国PKI联盟杜链主任认为,证书的分类原则和方法从总体上看一定是个性化的,同时要兼顾全局性、完整性和长远性。具体要重视三件事情:一是重视初始体系的建设,尽量考虑完整;二是需要政府出面刺激应用的动力;三是要有开放性滚动发展的思路,争取在短期内将工作推开。

目前,工信部专门委托信息安全国家重点实验室对证书策略进行重点研究。为此,信息安全国家重点实验室专门成立了一个证书策略研究小组,广泛调研了国际上证书策略制定的方法,正在积极探索适合中国国情的证书策略。

经过对国外证书策略的广泛调研,该实验室发现,各国划分证书策略等级的标准各不相同,但总体而言,是根据证书应用的范围进行划分的。信息安全国家重点实验室高能副教授和王展博士介绍,欧美许多国家和地区的证书策略是按照公众、组织和设备三个领域进行证书策略划分的。“比如,美国隶属于联邦首席信息官理事会的联邦PKI策略权威机构(FPKIPA),主要任务是制定证书策略和信任保障,并检查CA机构是否满足证书策略的要求。他们根据证书策略的四种应用范围分别制定了四套证书策略体系:居民和商业公共证书策略、美国联邦PKI公共策略框架、电子政务CA策略、联邦桥CA策略。

因此,我国在制定证书策略时,基本思路也是按照证书应用的范围,如是用于个人之间、政府机构之间,还是个人与政府之间等,制定不同的证书策略。

荆继武教授介绍,目前,我国证书策略分类的框架建议已经基本成型,目前正处于征求意见阶段,预计将于今年4月份对外公布,希望电子认证行业齐心协力,推动形成我国证书策略体系的国家标准。

证书策略面临的第二个重要挑战是,如何制定一个符合市场要求的证书策略检测办法。电子认证主管部门可通过这个检测和评估确保证书策略能有效实施,让CA机构能够提供符合技术和管理质量要求的证书,最终满足电子签名法的要求。

这是保障证书策略得以有效贯彻执行的手段,也是规范CA机构服务水平的措施,同时,通过检查,能最终实现各CA机构之间证书的互认证目标。

荆继武教授介绍,有了标准的证书策略,如何保障使用或依赖证书者的利益就是信任保障的主要内容。策略制定机构实施信任保障最重要的工作就是按照策略,检查发证机构是否制定了符合策略安全要求的认证业务规范,其中包括对证书依赖方的赔付等;其次是检查CA机构是否有能力实施其宣称的认证业务规范;最后还要检查发证机构是否认真准确地执行了所制定的认证业务规则。通过这些检查,确保标有某种证书策略的证书能够具有法律效率,能够保护使用者或依赖该证书的人的利益。

同样,基于策略的检测方法也将在今年4月份公布。

他山之石

实际上,国际社会早就对证书策略有了广泛的共识,并在积极探索不同的证书应用。以中国香港的数字证书发放为例,据香港公钥基建论坛有限公司项目顾问陈婉华女士介绍,香港目前的证书分成四种:一是身份认证证书,负责认证网上交易人的身份,相当于现实生活中的公民身份证;二是员工证书,用于识别组织内员工的身份,相当于现实生活中的工作证;三是邮件证书,用于识别电子邮件的真伪,保障邮件的安全;四是服务器证书,用于识别网络中的服务器的身份,保证对服务器的可追溯性和安全性。每个证书所保证的应用不同,因此,其安全级别也并不一样。

以身份认证证书为例,它能证明网上交易人的身份,但仅此而已,至于交易人利用该身份进行何种商务活动,是合法的还是犯法的,则不是证书保障的范围,这就像现实生活中的身份证一样,每个人都有一个身份证,可追溯到个人住址、电话等,最后能找到这个人。但如果此人犯了法,发放身份证的部门并没有责任,而必须从刑法的角度进行判断。目前,香港的网络身份认证证书已经与现实生活中的公民身份证进行捆绑,在公民身份证上有一片小小的IC卡,当公民进行网上交易时,插入现实中的身份证,就可以同时识别现实身份和网络身份,保证交易人的真实性。据陈婉华女士介绍,这一举措目前得到了越来越多的国际社会的认可,在欧洲的23个国家中,有7个国家已经将电子签名技术放在身份证中,未来,将有13个国家采用这一做法。

陈婉华女士介绍,为了推广电子签名技术,香港延续了30多年不变的公司法最近将进行修改,将电子签名等同于手写签名等条款加入到公司法中,正式确立电子签名的法律地位。

专家认为,这是一种特殊的证书策略,是适合香港这一特殊的地理和人文环境的面向公众应用的证书策略。面向电子政务、电子医疗等行业,还将进一步建立和推广独立的证书策略。这些做法,对于国内建立独特的证书策略

具有很好的参考价值。

建立联盟

推广证书应用

欧阳武副司长介绍,建立证书策略的最终目标,是积极推动电子证书在各个行业的广泛应用,以进一步推动我国电子政务、电子商务的安全发展。要实现这一目标,仅仅依靠证书策略是不够的,还需要业界联合起来,共同为最终用户建立一个安全的、方便使用的、风险最低的使用环境。

因此,在工信部的积极推动下,业界正在讨论成立一个可靠的电子签名联盟,由熟悉电子签名法的法官、律师、CA机构、技术专家等组成,为最终用户提供电子签名相关的各种服务,如不断推出标准的、安全的电子认证服务;同时还提供各种法律援助,目的是为最终用户提供傻瓜式的电子签名应用环境。用户不需要了解技术,也不需要了解相关的法律,只需要最简单的应用。万一发生了安全风险,联盟中的律师会提供相应的法律援助; 最大化地减轻用户的负担,确保电子签名技术真正应用起来,确保网上电子商务和电子政务的安全。

“在通过微软等国际浏览器巨头的认证方面,我们可以借鉴澳大利亚的经验。”荆继武介绍。目前,澳大利亚已经由政府牵头与微软达成协议,使澳大利亚CA机构颁发的证书能与微软IE浏览器无缝连接,使人们通过浏览器对网站进行访问时更加平滑。荆继武介绍:“国内可信认证联盟的另一重要目标也是希望通过政府的引导,与微软等国际浏览器厂商达成协议,使国内CA机构颁发的证书不再被微软浏览器认为是非法的,这样人们浏览网页时,就不会在IE浏览器中弹出一个非法证书界面,达到平滑浏览的效果,也达到人们对国内电子证书信任的目标。”

新品

EMC信息安全事业部RSA入华十年成就斐然

本报讯 1月22日,EMC信息安全事业部举行了盛大庆典,庆贺公司进入中国十年及为保卫中国行业信息安全所取得的成就。据EMC大中华区总裁叶成辉先生介绍,十年来,RSA保持着持续的高速增长,到目前为止,已经为中国的包括金融、电信、电子商务网站、大型企业等行业用户发放了14000多张令牌,持续保卫着用户的信息安全。

展望未来,专程来华的EMC执行副总裁、EMC信息安全事业部RSA总裁亚瑟•科维洛(Arthur W. Coviello)先生制定出了继续高速发展的新战略,即“通过高效、易于管理的系统/流程,确保正确的人、在可信的信息基础架构上、能够访问正确的信息。”

Double-Take公司升级Linux服务器备份系统

本报讯Double-Take软件公司近日宣布推出新的Double-Take Availability for Linux 4.6版本软件。它的实现方式是将一台服务器中的全部数据实时复制到另一个服务器上,可以让用户在出现服务器故障或数据丢失时,根据需求有效地完成数据恢复。它实现了对操作系统、各种系统软件、应用程序、应用数据等服务器中所有文件的实时保护。该版本还支持Novell SUSE Linux Enterprise Server (SLES) 9和11版本,是实现持续性全服务器保护及应用程序可用性的最佳解决方案。

国民技术打造安全U盘主控芯片

电子商务的安全策略 第7篇

1 电子商务系统中存在的安全问题

1.1 卖方面临的安全威胁

卖方面临的安全威胁主要有:

(1) 竞争者获知客户的各种资料。

(2) 买方提交订单后却不给卖方支付相应的款项。

(3) 买方生成虚假订单。

(4) 第三方如果冒充它人的名义来买商品, 从而了解有关商品的货物的库存的基本情况或递送状况。

(5) 通过建立与卖方服务器名字相同的另一个服务器来假冒卖同样的东西, 因此会被第三方假冒而损害公司的名声和信誉, 对公司造成不良影响。

(6) 第三方假冒充成合法用户来改变用户数据或生成虚假订单、解除用户订单, 从而破坏中央系统安全性。

1.2 买方面临的安全威胁

买方面临的安全威胁主要有:

(1) 在买方买商品时, 通过网络将应付金额转到卖方帐户, 而卖方某些人员恶意不将订单和钱转给发货的人, 使得买方迟迟收不到所买商品。

(2) 第三方可能会冒充客户的名字来订购商品, 如果假冒者收到商品, 而假冒的合法客户却被要求买单或返还商品。

(3) 在互联网上也存在不正当竞争的商家, 为了挤占对方的服务器资源, 他们会制造发送大量的虚假订单, 使对方不能进行正常的交易服务。

(4) 买方在进行交易时, 要将自己的一些资料发送给卖方, 在这个过程中, 可能自己的一些资料被第三方窃取。

2 电子商务安全问题的对策

基于上述原因, 我们必须采用行之有效的方法和手段来保证电子商务系统的安全运行, 从而保证电子商务涉及到金融、企业商家等各个方面的利益。

2.1 采取技术手段, 保障网络安全

电子商务健康有序发展的保障是网络的安全技术, 对安全性技术的研究也慢慢成为了计算机技术中普遍关注的课题。要解决开放式的互联网在信息交换中存在的信息安全方面的脆弱性, 就是为网络的各个层次都制定了相应的安全协议和相应的安全技术, 从而保证了计算机网络的安全, 也就保证电子商务的安全性。电子商务中的安全性技术主要有以下几种:

(1) 安全认证技术

安全认证技术的作用主要有两方面:一是对发送信息方的身份的确认, 另一方面是验证信息在发送过程或存储过程中是否有被修改过, 也就是信息的完整性的验证。

(2) 信息加密技术

信息加密技术是计算机网络安全中的重要核心技术, 信息加密技术就是发送方使用加密密钥, 通过加密设备或算法, 将信息加密后发送出去, 接收方收到密文后, 用解密密钥将密文解密, 恢复成明文, 如果在发送过程中, 即使被窃取, 也只是得到无法理解的密文, 从而确保数据的保密性。

目前, 获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。常用的对称密钥加密算法有:由瑞士联邦理工学院的IDEA算法和美国国家标准局提出DES算法等等。常用的非对称加密密钥算法有美国国家标准和技术协会的SHA算法和麻省理工学院的RSA算法等等。

(3) 安全认证协议

目前, 电子商务中经常使用的由Netscape开发的现在广泛应用的安全套接层SSL协议和安全电子交易SET协议。

(1) 安全套接层 (SSL) 协议。SSL协议是建立在在网络传输层上, 它使用的是不对称加密技术来保证信息传递过程中信息的安全性和完整性, 可以支持128位的加。它还可以使在进行会话的双方进行对方身份的识别。这种技术保证了浏览器和网站服务器之间的安全连接。目前, 我国的工商银行和招商银行采用了这种的加协议进行电子交易。

(2) 安全电子交易 (SET) 协议。安全电子交易是一种新的交易模型, 它是基于信用卡支付模式而设计的, 保证了信用卡进行的在线交易的安全。主要保证了用户、商家、银行之间在进行交易时它们的数据的机密性、数据完整性和身份的正当性及防抵赖性。在进行电子交易时, SET协议是使用双重签名, 所以它就有效地保证了各个参与方的信息的相互隔离, 在这种情况下, 商家只能看到使用信用卡的一方进行购买的产品的订单数据, 而银行方面只能看到持卡人的信用卡使用信息。因此正是有了这个协议, 使我们以前只能在商场使用的信用卡, 现在在网络上能方便安全地使用。

2.2 积极推进电子商务立法

除以上的网络安全技术方面的研究之外, 我国政府也要加强对电子商务的研究, 要加快立法进程, 建立规范电子商务法律框架, 健全电子商务法律体系, 使电子商务实现合理、合法化、公开化。这样就可以保障进行电子交易的各方面的利益, 而且还可有利于电子商务的快速健康发展、促进国民经济建设。

3 网站的营销策略

下面我们从以下几方面介绍如何进行网络营销推广。

3.1 网店的初步优化

进行网站优化是作为个人商务网站营销的第一步, 也是营销的是关键步骤。只有进行了网站优化, 才能进行下一步的网络推广, 而且没有优化的站点缺少推广的意义。需要进行初步优化的几个方面是:

(1) 首页的内容必须是完整的, 并且推广目标明确。

(2) 网站的字体要普通大众化, 让人一目了然, 不能用特殊的字体。

(3) 网站的导航清晰明确, 让用户使用方便。

(4) 用户能方便快速找到和店主的联系方法, 写清楚邮箱和手机号或是固定电话、QQ等通信方式。

(5) 网页的长度适度, 浏览器的兼容问题也要考虑进去。

3.2 网店的流量统计分析

网站的流量是根据自己的客户群体, 使用流量分析器来实现对网站访问量的统计、用户所在地的分析、关键字分析、在线用户数量统计、客户信息统计。这些信息能给我们的推广信息提供强有力的支持, 通过这个分析, 我们能对访问量和访问群体做出科学有力的评估。我们能明确访问网店的客户群体的很多特征, 了解客户群体的访问时间、他们在什么地方、通过哪些方式来访问。通过这些精准的数字我们就能有针对性的推广。就能把财力和精力用在关键的地方, 才能做到事半功倍。

3.3 网店的全面优化

网店优化的基础打好之后, 我们要根据前面统计的数据做网店的全面优化。

我们从以下几点进行全面优化:网店的商品价值、网店的结构、网店的动画图片、网店的导航条、网店的界面设计、网店的代码优化、网店的交互性设计。

3.4 网店的全面推广

在网店的全面优化之后, 我们就可以进行真正网店推广了。网店的推广工作, 我们可以结合各种网络营销的手段和方法。比如通过多渠道发送电子邮件、到各大贴吧发贴、通过文字链接扩大宣传力度、利用中文类网址方便记忆, 通过网络广告宣传, 利用搜索引擎排名, 还有就是通过传统宣传方式等等。

3.5 营销效果的评估与控制

经过推广之后每隔一段时期, 要看看推广效果, 可以通过推广的效果来洞晰推广手段, 并且根据推广策略的运用不断地改进推广手段。可以通过利润、自已输入关键字进行分析、还可以通过每天的点击量、访问来源等方式来评估。从而选择更加适合自己的网络推广方式。

除此之外, 我们还必须有明确的推广目标及详细的经费预算作为推广的前提。再加上以上几点, 我相信您的网店能为你赚取更大的利益。

参考文献

[1]黄鹤.浅析计算机网络安全策略[J].科技信息 (学术研究) , 2007.

电子商务的安全策略 第8篇

1 电子商务安全概述

电子商务的安全主要是指用户方和产品服务提供方之间的信息安全、交易安全及财产安全等, 即确保双方信息传递的机密性、完整性、有效性、真实性及不可抵赖性;在交易确认、支付系统及产品和服务的质量方面加以严格控制和维护, 防止交易过程被跟踪, 避免电子商务活动的欺诈性和抵赖性;同时保障电子商务参与者财产、信誉等经济利益不遭到损害。依托高新互联网技术和电子信息基础设施运作的电子商务的安全主要包括: (1) 安全可靠的通讯网络; (2) 安全高效的自然物理运作环境; (3) 网络信息系统的安全维护; (4) 商业机密的安全保护; (5) 培育电子商务人才, 保护知识产权的安全。

2 中小企业电子商务的安全隐患及面临的风险问题

2.1 中小企业电子商务的安全隐患

2.1.1 网络安全隐患

中小企业电子商务活动是依托网络平台运转的, 而因特网是一个开放的、全球共享的、无控制性的自由网络, 计算机及网络自身的特点决定了网络安全隐患的存在。

首先, 网络服务一般都是通过各种协议完成的, 因而网络协议的安全性是构成网络安全的一个重要方面。目前Internet绝大部分数据流是通过TCP/IP操作系统传输, TCP/IP协议的设计本身就存在着安全缺陷, 成为了当今许多黑客恶意攻击的首要目标。其次, 网络软件的缺陷及漏洞也是网络攻击的重要途径, 由于现代软件系统设计的日益复杂化, 难以实现对应用软件或一个较大系统全面彻底的测试, 尽管可于软件研发设计的过程开展一些测试, 但多少会遗留某些漏洞, 引发系统未授权访问。再者, 由于电磁辐射干扰、硬件故障、网络物理设备老化及应用操作程序错误等都会导致传输缓慢甚至网络系统中断或瘫痪等现象, 威胁着电子商务网络传输的安全性。最后, 通过网络仿冒或网络欺诈, 可使恶意代码攻击易于得逞。

2.1.2 信息安全隐患

信息泄露、信息失真、信息假冒、信息丢失、信息滞后、信息破坏及交易抵赖等都是电子商务存在的信息安全隐患, 具体表现包括:非法窃取或泄漏商业机密;篡改或删除交易信息;发送或接收虚假信息;信息丢失或不可鉴别;阻碍交易并盗取交易成果;伪造网站或电子邮件;破坏信息的真实性及完整性;对交易信息进行抵赖;病毒或木马程序入侵;黑客恶意攻击等, 上述行为均给中小企业开展电子商务造成了重大的信息安全隐患。

2.1.3 诚信安全隐患

电子商务的隔空交易由于其虚拟性, 超时空性等特点, 交易双方互不相见, 对对方的信誉度很难作出准确、客观的判断, 因而交易双方的信用易受到质疑, 交易合同一旦达成就难以取消或反悔, 倘若卖方在提供服务方面不遵守承诺, 或买方以匿名、更名或退出市场等方式不履行合同约定, 均会给另一方带来经济利益损失。

2.2 中小企业电子商务面临的风险问题

2.2.1 病毒的破坏

计算机网络是电子商务运作的载体, 由于网络自身的漏洞和不完善, 使得病毒制造者肆意传播病毒程序或嵌入恶意代码, 通过网络传输入侵计算机系统, 使计算机程序、数据包及信息遭到严重破坏, 甚至造成系统瘫痪, 大大降低了网络传输的效率和安全性。层出不穷且形式多样的病毒活跃于网络各个角落, 破坏力与日俱增, 计算机病毒危害已构成了中小企业电子商务的重大安全威胁。目前, 比较流行病毒有蠕虫病毒、木马程序、病毒邮件、熊猫烧香病毒及公开发放的病毒等。

2.2.2 黑客的入侵

黑客经常会未经许可就入侵计算机系统非法窥取盗用机密文件或破坏数据信息, 使电脑系统功能无法使用。随着网络的飞速发展, 各种应用工具得到广泛传播, 黑客入侵事件层出不穷。有许多工具能够对目标用户的所有信息进行远程访问、控制及监管, 黑客通过将恶意程序或代码嵌入这些工具并以电邮形式导入目标用户的电脑中, 对目标用户电脑系统实施全面控制, 进而窃取机密信息、破坏信息的完整性和有效性、随意纂改、删除文件、冒充合法用户进行非法操作等, 如近年来, “广西防震减灾官方网”遭黑客入侵破坏, 给广西地震局带来了很多麻烦。

2.2.3 抵赖交易信息

交易方为逃避执行合同责任对交易信息进行非法删除或修改, 否认文件的接收或发送等。否认交易的行为损害了对方的利益, 影响了交易者对电子商务安全的信任度。

2.2.4 传输的报文可能被截获或篡改

没有经过加密或加密强度不够的报文在网络传输过程中则很可能被截获或篡改。攻击者通过在互联网、服务器数据库、搭线、电磁波辐射范围内植入截取装置或直接在网关及路由器上截获报文信息, 从中获取非法利益;并截获后篡改其内容造成信息失真, 严重损害企业形象和信誉。

3 中小企业规避电子商务安全风险的策略

3.1 引入数据加密技术

加密技术, 即基于加密函数及加密钥匙, 有机结合可理解的信息 (明文) 与数字 (密钥) , 进而形成不可理解的密文, 是保证电子商务网络安全的主要措施, 主要加密技术有对称加密技术和非对称加密技术。一般可在链路加密、节点加密及端到端加密这三个通信层进行数据加密。同时, 对大量数据加密可采用对称密钥加密, 典型代表是DES算法, 对通信负荷较轻的数据加密可采用非对称密钥加密, 典型代表是RSA算法。

3.2 认证技术

认证技术是电子网络交易中验证交易方身份信息的一系列数据, 通过运用对称和非对称加密技术建立起一套严密的身份认证系统。保障网络安全交易的有效认证方式即为数字证书, 经证书授权中心数字签名的数字证书, 作用类似于现实生活中身份证, 包含公开密钥拥有者信息以及公开密钥, 是一种有效核实网络通讯各方真实身份的文件。数字认证涉及的公开密钥算法使用一个由个人秘密保存的私钥和一个对外公开的公钥, 二者有着唯一的对应关系, 公钥用于加密及验证签名, 而私钥用于解密及签名。

3.3 防火墙的应用

防火墙是隔离内部网和外部网, 加强网络之间访问控制, 对内部网应用系统加以安全防范, 进而有效防止非授权的外部网用户非法侵入内部网的一道保护屏障。目前主要有两大类防火墙分:一类是简单的包过滤技术, 即通过事先在计算机系统内设置过滤逻辑, 在网络层次基于数据包的地址、端口及链路状态等因素实施数据包的选择性通过;另一类则是状态监控、应用网管及代理服务等, 对内部网络管理可应用代理服务协议进行数据包分析, 探测可能的攻击。防火墙通过限制网络内外访问权限, 能有效提高网络安全, 减少子网及内网的信息安全风险。

3.4 安全协议

为解决TCP/IP协议不能确认用户身份的问题, 可引入SSL安全通信协议, 通过将非对称加密技术应用于网络接层, 进而保证网络通信服务的安全性。同时, 为解决电子商务活动中信用卡支付的可操作性及交易信息的安全性, 可引入SET安全电子交易协议, 基于公开密匙加密、数字签名等技术保障交易过程的可靠性。

3.5 加强防病毒技术

病毒在网络环境下有着极大的滋生空间及快速传播性, 除了安装病毒检测软件之外, 还必须定期查杀病毒、及时升级防病毒软件版本、经常关注并通报病毒入侵信息等。此外, 还应将网络系统中易感染病毒的文件属性及访问权限加以限制, 有效控制病毒的入侵。

4 保证策略有效实施的相关措施

4.1 加强网络基础设施建设

电子商务的载体是网络, 各种硬件基础设施又是网络的物理支撑, 因而中小企业应加大信息产业网络硬件基础设施建设的资本投入力度, 同时加强硬件电磁防护和设备维护, 夯实电子商务发展的网络硬件基础。例如通过引进国际先进出口带宽, 克服原先网络带宽低速、运行质量差及资费高等问题。同时, 网络的高效运行还需要软件系统的支持, 故中小企业要配备多层次、高效能的系统软件, 构建一个能够保障信息完整性及可靠性的应用软件系统, 优化网络运行效率。

4.2 加强安全技术的研究和应用

由于中小企业电子商务尚处于初级发展阶段, 安全技术及应用机制还不够完善, 为此要密切关注及深入研究电子商务安全技术, 加大资金投入力度, 研制出更加先进高效、经济适用的安全技术。同时开发企业安全技术综合应用的能力, 例如对敏感文件建立物理隔离、应用容错计算机系统、授权管理和用户认证、灾害复原计划及安装安全补丁程序等进一步优化系统环境及安全配置。

4.3 提高企业人员素质, 加强企业日常管理

首先, 提高企业电子商务网站后台管理人员的安全意识、综合素质及技术水平, 为防范风险奠定基础。其次, 大力培养高素质、专业配套、掌握现代电子信息技术的电子商务人才, 进而提升企业应对安全问题的能力。最后, 要建立适应电子商务发展的管理体系以提高企业电子商务整体管理水平, 维护网络系统稳定、安全运行。

4.4 加强法律法规建设

针对网络交易契约和纠纷仲裁、信用和信息资源管理、安全认证、支付协议、市场准入标准以及知识产权保护等方面的法律法规问题, 首先要在完善原有法律体系的基础上进行必要的调整及修订, 其次为适应电子商务发展的需要制定新的、操作性强的法律法规。

5 中小企业电子商务安全风险的趋向

电子商务安全将会在管理方面、环境方面、法律方面社会道德规范方面存在着很大的安全隐患, 如网站管理人员的操作失误或工作流程的不规范都会引发交易安全事故, 跨部门、跨地区间的交易事项协调存在较大问题, 不法分子鉴于电子商务方面的法律法规的漏洞而钻法律空子, 传统交易过程中经常出现的欺诈行为势必会对电子商务产生安全方面的影响等, 都构成了电子商务不可忽视的安全风险问题。

6 结语

电子商务作为一种新型商业贸易模式, 在我国中小企业中已得到广泛应用。然而, 安全风险作为制约中小企业电子商务发展的一个至关重要因素, 越发受到中小企业的重视。目前, 针对电子商务的安全风险已提出了很多技术解决策略, 但电子商务的安全问题不只是技术问题, 还涉及到法律、道德、管理等多方面的因素, 因而要想为电子商务运作提供安全保障, 应综合应用技术层面、硬件层面、管理层面、应用层面及法律层面的相关措施应对安全挑战, 引导和促进中小企业电子商务持续健康发展。

摘要：随着网络经济及电子信息技术的迅猛发展, 基于Internet的电子商务活动也得到了迅速发展。电子商务作为一种新型的贸易方式, 因其高效便捷而为越来越多的中小企业所重视, 并得到了广泛应用。目前中小企业电子商务尚处于初级发展阶段, 加之网络本身的开放性、全球性和自由性, 导致了中小企业电子商务的安全风险问题。本文旨在揭示中小企业电子商务的安全隐患及存在的风险问题, 提出规避风险的策略及保证策略实施的相关措施, 并指出安全风险的趋势。

关键词：中小企业电子商务,安全风险,策略,措施,趋向

参考文献

[1]易珊, 张学哲.电子商务安全策略分析[J].科技情报开发与经济, 2006.

[2]范婕.电子商务中的安全问题及对策探讨[J].大众科技, 2008.

[3]马新彪.电子商务及其安全技术[J].甘肃农业, 2009.

电子商务的安全策略 第9篇

近来,随着电子商务的不断发展,人们对信息安全的要求也越来越高。在网络上,信息在源与宿的传递过程中会经过其他的计算机。一般情况下,中间的计算机不会监听路过的信息,但在使用网上银行或者进行信用卡交易的时候有可能被监视,从而导致个人隐私的泄漏。因此Netscape公司提出了SSL(Server Socket Layer)协议,旨在达到在开放网络上安全保密地传输信息的目的,这种协议在Web上获得了广泛的应用。

1 SSL简介

SSL是一种保证在网络上的两个节点之间进行安全通信的协议。SSL可以用来建立安全的网络连接,网络通信协议如HTTP和IMAP(Internet Messaging Application Protocol)都可以采用SSL机制。人们把采用了SSL机制的 HTTP称为HTTPS协议。HTTP使用的默认端口为80,而HTTPS使用的默认端口为443。

IETF(Internet Engineering Task Force)对SSL进行了标准化,制定了RFC2246规范,并将其称为TLS(Transport Layer Security)。

客户在网上商店购物,当输入信用卡信息进行网上支付交易时,存在两个不安全因素:

(1)客户的信用卡信息在网络上传输时有可能被他人截获。

(2)客户正在访问的Web站点是非法站点,专门从事网上欺诈活动。

SSL使用加密技术实现会话双方信息的安全传递,可以实现信息传递的保密性和完整性,并且会话双方能鉴别对方身份。

2 加密通信

当Web客户与Web服务器进行通信时,通信数据有可能被网络上其它计算机监视。SSL使用加密技术实现会话双方之间信息的安全传递,这意味着数据从一端发送到另一端时,发送者先对数据加密,然后再把它发送给接收者。这样,在网络上传输的是经过加密的数据。如果有人在网络上非法截获了这些数据,由于没有解密的密钥,因此无法获得真正的原始数据。接收者接收到加密的数据后,先对数据解密,然后再处理。采用SSL的通信过程如图1所示。

客户和服务器的加密通信需要在两端进行设置。多数Web浏览器可以支持40位或者128位的加密,而服务器只有在安装服务器安全证书后才可以加密通信。

3 安全证书

除了对数据加密通信,SSL还采用了身份认证机制,确保通信双方都可以验证对方的真实身份。它和现实生活中人们使用身份证来证明自己的身份很相似。SSL通过安全证书来表明Web客户或Web服务器身份。当Web客户通过安全的连接与Web服务器通信时,Web服务器会先向客户出示它的安全证书,这个证书声明该Web站点是安全的,而且的确是这个站点。每一个证书在全世界范围内都是唯一的,没有其他Web站点能假冒原始安全站点的身份,可以把安全证书理解为电子身份证。在某些情况下,Web服务器也会要求Web客户出示安全证书,以便核实该Web客户的身份,这主要用于B2B(Business to Business)事务中。在多数情况下,Web服务器不要求验证Web客户的身份。

获取安全证书有两种途径,一种是从权威机构购买证书,还有一种是创建自我签名的证书。

(1)从权威机构获得证书

安全证书采用加密技术制作而成,他人几乎无法伪造。安全证书由国际权威的认证机构(CA, Certificate Authority)如VeriSign和Thawte颁发,他们保证了证书的可信性。申请安全证书时,必须支付一定的费用。一个安全证书只对一个IP地址有效,如果系统环境中有多个IP地址,则必须为每个IP地址购买安全证书。安全证书在电子商务领域可以有效地保证Web站点的可信性。

(2)创建自我签名的证书

在某些场合,通信双方只关心数据在网络上可以安全传输,并不需要对方进行身份验证。在这种情况下,可以创建自我签名(self-assign)的证书,比如通过SUN公司提供的keytool工具就可以创建这样的证书。这样的证书就像是自己制作的名片,缺乏权威性,达不到身份认证的目的。

在技术上,无论是从权威机构获得的证书,还是自己制作的证书,采用的技术都是一样的。使用这些证书,都可以实现安全的加密通信。具体的实现机制将在下面介绍。

4 工作原理

SSL的安全证书采用了公钥加密技术。公钥加密是使用一对非对称的密钥加密或解密的方法。每一对密钥都由公钥和私钥组成。公钥被广泛发布,私钥是隐密的,不公开。用公钥加密的数据只能用私钥解密。反过来,使用私钥加密的数据只能用公钥解密。这个非对称的特性使得公钥加密很有用。

在安全证书中包含了这一对非对称密钥。只有安全证书的所有者才知道密钥。当用户将自己的证书发送给其他人时,实际上发给他们的是他的公开密钥,这样就可以向用户发送用该用户的公钥加密的数据,只有该用户才能使用私钥对数据解密并读取加密信息。

安全证书中的数字签名部分是用户的电子身份证。数字签名告诉收件人该信息确实由该用户发出,不是伪造的,也没有被篡改。

当Web客户采用HTTPS协议访问安全的Web站点时,Web站点将自动向客户发送它的安全证书。在Web客户与Web服务器进行SSL握手的阶段,采用非对称加密方法传递数据,由此来建立一个安全的会话,接下来将采用对称加密方法传递实际的通信数据,以下是通信过程:

(1)用户浏览器将自己的SSL版本号、加密设置参数、与Session有关的数据以及其他一些必要信息发送到服务器。

(2)服务器将自己的SSL版本号、加密设置参数,与Session有关的数据以及其他一些必要信息发送给浏览器,同时发送给浏览器的还有服务器的证书。如果服务器的SSL需要验证客户身份,还会发出请求要求浏览器提供用户证书。

(3)客户端检查服务器证书,如果检查失败,就提示不能建立SSL连接。如果成功,那么继续下一步骤。

(4)客户端浏览器为本次会话生成预备主密码(pre-master secret),并将其用服务器公钥加密后发送给服务器。

(5)如果服务器要求鉴别客户身份,客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。

(6)如果服务器要求鉴别客户身份,则检查签署客户证书的CA是否可信。如果不在信任列表中,结束本次会话。如果检查通过,服务器用自己的私钥解密收到的预备主密码(pre-master-secret),并用它通过某些算法生成本次会话的主密码(master-secret)。

(7)客户端与服务器均使用此主密码(master-secret)生成本次会话的会话密钥(对称密钥)。在双方SSL握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上,能够显著提高双方会话时的运算速度。

(8)客户端通知服务器此后发送的消息都使用这个会话密钥进行加密,并通知服务器客户端已经完成本次SSL握手。

(9)本次握手过程结束,会话已经建立。在接下来的会话过程中,双方使用同一个会话密钥分别对发送以及接收的信息进行加密、解密。

5 SSL的实现

以Tomcat服务器为例实现SSL的应用。Tomcat既可以作为独立的Servlet容器,也可以作为其他HTTP服务器附加的Servlet容器。如果Tomcat在非独立模式下工作,通常不必配置SSL,而由它所属的HTTP服务器来实现和客户的SSL通信。Tomcat和HTTP服务器之间的通信无需采用加密机制,HTTP服务器将解密后的数据传给Tomcat,并把Tomcat发来的数据加密后传给客户。

如果Tomcat作为独立的Java Web服务器,则可以根据安全需要为Tomcat配置SSL,它包含两个步骤:准备安全证书、配置Tomcat的SSL连接器(Connector)。

5.1 准备安全证书

获得安全证书有两种方式:一种方式是到权威机构购买,还有一种方式是创建自我签名的证书。本文介绍后一种方式。

SUN提供了制作证书的工具keytool。在JDK1.4以上版本中包含了这一工具,它的位置为<JAVA-HOME>binkeytool.exe。

通过keytool工具创建证书的命令为:

keytool-genkey-alias tomcat-keyalg RSA

以上命令将生成一对非对称密钥和自我签名的证书。

该命令运行后,首先会提示输入keystore的密码,可以输入Tomcat的默认密码changeit,然后提示输入个人信息,如姓名、组织单位和所在城市等,只要输入真实信息即可。接着会提示输入信息是否正确,输入“y”表示信息正确。最后要求输入<Tomcat>的主密码,可以设置为与keystore相同的密码,因此只要根据提示按回车键即可。

以上命令将在操作系统的用户目录下生成名为“.keystore”的文件。

5.2 配置SSL连接器

在Tomcat的server.xml中,只要在<Connector>元素中添加以下代码:

<Define a SSL Coyote HTTP/1.1 Connector on port 443/>

<Connector className=″org.apache.coyote.comcat5.CoyoteConnector″

port=″8443″minProcessors=″5″ maxProcessors=″75″

enableLookups=″true″ disableUploadTimeout=″true″

acceptCount=″100″ debug=″0″ scheme=″https″ secure=″true″;

clientAuth=″false″ sslprotocol=″TLS″/>

经过以上配置之后,SSL连机器就配置好了。重起Tomcat服务器,用户就可以通过HTTPS安全地与该服务器进行通信了,其默认端口为443。

6 结束语

数据安全传输对于电子商务及有关专用网络是必不可少的,SSL作为最常用的标准,对其应用的研究有着重要的意义,相信随着网络安全和网上支付方式的完善,电子商务将会在全球获得更迅猛的发展。

参考文献

[1]张洪伟,等.Java开发利器:Tomcat Web开发及整合应用[M].清华大学出版社,2006.

[2]孙卫琴,等.Tomcat与Java Web开发技术祥解[M].电子工业出版社,2006.

[3]朱恩从,等.Tomca权威指南[M].中国电力出版社,2004.

[4][美].Mark Arnold,等.Apache系统管理指南[M].王一川,等译.清华大学出版社,2004.

电子商务安全策略综述 第10篇

当前的电子商务是指通过电子方式的商务活动。它作为一种全新的业务和服务方式,为全球客户提供了丰富的商务信息、便捷的交易过程和廉价的交易成本。但是,电子商务给人们带来方便的同时,也把人们引入安全忧虑之中。买方担心在网络上传输的信用卡及个人资料被截取;卖方则担心收到的是被盗用的信用卡号码,或是交易不认账等,这些存在的安全漏洞问题已成为阻碍网上交易发展的首要问题。相对于传统商务,电子商务对管理机制、实施平台和信息传递技术都提出了更高的要求,其中安全体系的构建尤为显得重要,已成为电子商务能否得到进一步发展和推广的关键所在。

二、电子商务安全体系结构

1. 电子商务中存在的安全隐患和威胁

Internet是电子商务实现的网络基础,它采用TCP/IP完成不同网络与不同计算机之间的通信,正是由于这些特点,使它给电子商务带来了很多的安全问题。Internet的安全隐患主要体现在四个方面。

开放性和资源共享是Internet的主要优点,但它带来的问题却不容忽视。因为当甲方在很容易的访问乙方时,如果没有采取任何措施,乙方同样很容易的访问甲方的计算机。

Internet采用的协议TCP/IP并未采用任何措施来保护传输内容不被窃取。它是一种包交换网络,每个数据包在网络上都是透明传输的,并且可能经过不同的网络,由路由器转发到达目的计算机。数据在传输过程中可能会遭到IP窥探、同步信号淹没、TCP会话窃听、复位与结束信号攻击等威胁。

Internet底层的操作系统如UNIX,由于源代码的公开,很容易发现漏洞,给Internet用户带来安全问题。

相比较传统信函,电子化信息就缺乏可信度,电子信息是否准确很难由其本身来鉴别。在Internet上传递电子信息时,难以确认信息发送者及信息是否被正确无误地传递给对方。

由于Internet存在上述安全隐患,将给电子商务带来如下的安全威胁。

由于非法入侵,造成商务信息被纂改、窃取或丢失。

商业机密在传输过程中被第三方获悉,被恶意破坏。

虚假身份的交易对象及虚假订单、合同。

贸易对象的抵赖。

由计算机系统故障造成的对交易过程和商业信息安全的破坏。

综上所述,电子商务面临多方面的威胁,存在许多安全隐患。

2. 电子商务的安全性内容

要使电子商务健康、顺利发展,必须解决好以下几种关键的安全性要求。

(1)保证信息的保密性和完整性。在交易过程中必须保证信息不被非授权用户窃取,数据在输入和传输过程中能保证数据的一致性。

(2)不可否认性。它是指信息发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。

(3)真实性。商务活动交易双方身份是真实的,不是假冒的,不存在的。

(4)系统的可靠性与内部网络的严密性。在计算机失效、程序错误、传输错误、硬件各种及计算机病毒等潜在威胁下,有容错处理机制、数据恢复能力,确保系统安全、可靠。对企业内部网络而言,要保证内部网络不被入侵。

3. 电子商务安全技术体系结构

电子商务的安全技术体系结构是保证电子商务中数据安全的一个完整逻辑结构,如图所示。其中,下层是上层的基础,为上层提供技术支持。上层是下层的扩展与递增。各层相互联系、相互依赖的构成一个整体。通过不同的安全控制技术,实现各层的安全策略,有效保证了电子商务系统的安全。

三、电子商务的安全技术

1. 防火墙技术

防火墙是建立在内外网络边界上的过滤封装机制,内部网络被认为是安全和可信赖的,而外部网络(通常指Internet)被认为是不安全和不可信赖的。防火墙的主要目的是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略。

防火墙的主要技术有包过滤技术、代理服务器技术、应用网关技术和状态检测包过滤技术,现在最常用的是状态检测包过滤技术。状态检测防火墙对每个合法网络连接保存的信息包括源地址、目的地址、协议类型、协议相关信息、连接状态和超时时间等称为状态。通过状态检测,可实现比简单包过滤防火墙具有更好的安全性。

2. 加密技术

数字加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障安全性。利用加密技术,可以将某些重要的信息和数据从一个可以理解的明文转换为复杂的、不可理解的密文形式,在线路上传送或在数据库中存储,其他用户再将密文还原为明文。

3. 信息摘要

密钥加密技术只能解决信息的保密性问题,对信息的完整性则可以使用信息摘要技术来实现。信息摘要又称为Hash算法,是一种单向加密算法,其加密结果是不能解密的。通过Hash算法,得到一个固定长度(128位)的散列值,不同的原文产生的信息摘要必不相同,相同的原文产生的信息摘要必定相同。这样,通过用接收方产生的摘要与发送方发来的摘要比较,若两者相同则表示原文在传输过程中没有被修改,否则说明原文被修改过。

4. 数字签名

数字签名是密钥加密和信息摘要相结合的技术,用于保证信息的完整性和不可否认性。签名机制的特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能惟一地由他自己生成。当收发双方发生争议时,第三方就能根据消息上的数字签名来裁定这条消息是否由发送方发出,从而实现不可否认服务。

5. 数字时间戳

在电子交易中,时间和签名同等重要。数字时间戳是由专门机构提供的电子商务安全服务项目,用于证明信息发送的时间。

6. 数字证书与CA认证

由于电子商务在网络中完成,互相之间不见面,因此为了保证每个人及机构都能惟一且被准确无误地识别,就需要进行身份认证。身份认证可以通过验证参与各方的数字证书来实现,而数字证书是由认证中心(CA)颁发的。

所谓CA(Certificate Authority:证书发行机构),是采用PKI(Public Key Infrastructure:公共密钥体系)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,具有权威性和公正性的第三方信任机构,其作用就像现实生活中颁发证件的机构。

四、电子商务安全交易标准

要实现安全的电子商务交易,交易双方必须遵照统一的安全标准协议。当前,电子商务的安全机制正走向成熟,并逐渐形成了一些国际规范,比较有代表性的有安全套接层协议SSL(Secure Sockets Layer)和安全电子交易协议SET(Secure Electronic Transaction)。

1. 安全套接层协议SSL

SSL协议是由Netscape公司研制的安全协议,SSL使用加密的方法建立一个安全的通信通道,以使客户的信用卡号传送给商家,商家再将其转发给银行,银行验证后在通知商家付款成功。该协议已成为事实上的工业标准,微软、IBM公司都提供基于这种简单加密模式的支付系统。

2. 安全电子交易SET协议

SET协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和Master Card组织制定的,用于在Internet上进行在线交易时保证信用卡支付安全的开放性安全技术标准。由于得到了微软、IBM、RAS公司的支持与参与,已成为工业事实上的标准。

SET协议采用了RSA公私钥加密系统、数字签名、数字证书认证等技术,保证了支付信息的保密性、完整性和不可否认性。该协议提供了客户、商家和银行之间的身份认证,而交易信息和客户信用卡信息相互隔离,即商家只能获取订单信息,银行只能获得持卡人信用卡支付信息,双方互不干扰,各去所需,构成了SET协议的主要特色,使得SET成为电子商务的安全规范。

3. SET、SSL协议比较

(1)SET是一个专门的安全电子支付协议,而SSL本质上是一个网络安全协议,仅在双方间建立起安全连接。SET是一个多方的消息报文协议,定义了银行、商家和持卡人间必须符合的报文规范,它比SSL在交易过程中的信任度更强。

(2)SSL仅有商家的服务器需要认证,客户端只是选择性认证;而SET在整个交易过程中都受到严密保护,其安全性比SSL高。

(3)SSL协议中若想进行电子商务交易,只需通过浏览器实现,设置成本低廉,其交易只要几十秒就可完成;SET尽管安全性高,但需要专门的软件来实现,客户、商家改造成本高,由于交易过程各方之间进行多次加密传输,每次交易需要数分钟。

综上所述,SSL与SET协议是电子商务中最普遍的两种安全电子支付协议,各有优缺点。SSL虽然简单快捷,但随着电子商务的发展其缺点凸现出来,需采用更先进的支付系统。而SET虽有更强的功能和安全性,但过于复杂,使得大面积推广还有很大障碍,并且成本昂贵,所以,在未来一段时间里将会是SSL和SET两种支付方式并存的局面。

五、结论

电子商务的本质是商务,技术是电子商务得以实现的手段。没有商务需求,技术的研究就失去了应用价值;没有技术实现,电子商务就不能得以实施,所以技术是电子商务的必要条件。而安全则是实现电子商务技术的前提,也是电子商务的必要条件。解决电子商务的安全问题不是一个单一的技术问题,它是由一系列工作组成,需要从电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。

摘要：电子商务是商务发展的内在要求及技术发展的外在推动下应运而生的,安全性是第一位要考虑的问题,是由一系列安全机制工作组成。本文主要从技术角度详细分析了其中存在的安全隐患和威胁,详述了安全性需求和实现网络的安全技术策略,并探讨了保证交易安全的两个协议,即安全电子交易协议SET和安全套接层协议SSL,并对两种协议做出了相应的分析和比较。

关键词：安全体系,加密,数字证书,电子商务,安全交易标准

参考文献

[1]胡道元闵京华:网络安全[M].北京:清华大学出版社,2006

[2]祝凌曦:电子商务安全[M].北京:北方交通大学,2006.

[3]李晓燕李福全郭爱芳:电子商务概论[M].陕西:电子科技大学出版社,2004

[4]何胜:电子商务中安全支付协议的对比及应用[J].计算机时代,2004(20)

[5]王茜杨德礼:电子商务安全体系结构及技术研究[J].计算机工程,2003,29(1)

电子支付协议的安全策略浅析 第11篇

互联网的不断发展, 极大地改变着人们的生活。特别是电子商务的迅速发展, 使得人们可以足不出户便可以在家里购物。电子商务必然涉及到网上的电子支付, 由于网络本身的开放性及复杂性, 安全问题成了电子商务发展中的首要问题, 能否确保信息安全、可靠的传输, 为用户在网上从事商务活动提供信任保证, 成为电子商务成败的关键。

当前主要有两种在线支付协议被广泛采用, 即安全套接层SSL (Secure Sockets Layer) 协议和安全电子交易SET (Secure Electronic Transaction) 协议。

二、SSL协议

SSL协议是Netscape公司在网络传输层之上提供的一种基于R S A和保密密钥的用于浏览器和W e b服务器之间的安全连接技术。它被视为Internet上Web浏览器和服务器的标准安全性措施。SSL提供了用于启动TCP/IP连接的安全性“信号交换”。这种信号交换导致客户和服务器同意将使用的安全性级别, 并履行连接的任何身份验证要求。它通过数字签名和数字证书可实现浏览器和W e b服务器双方的身份验证。在用数字证书对双方的身份验证后, 双方就可以用保密密钥进行安全的会话了。

SSL协议握手流程由两个阶段组成:服务器认证和用户认证 (可选) 。

1. 服务器认证阶段

在一次交易过程中, 客户的证书首先传送到银行Server方, 服务器先验证有效期, 再根据签发者 (C A) 名称找到签发者公钥 (在CA的根证书内) , 验证证书的数字签名的合法性。

W e b服务器上的S S L安全性要求步骤如下:

(1) 生成密钥对文件和请求文件;

(2) 从身份验证权限中请求一个证书;

(3) 在服务器上安装证书;

(4) 激活W W W服务文件夹上的S S L安全性。

服务器根据客户的信息确定是否需要生成新的主密钥, 如需要则服务器在响应客户的消息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息, 产生一个主密钥, 并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥, 并返回给客户一个用主密钥认证的信息, 以此让客户认证服务器。

这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器, 从而建立安全的通信通道。

2. 用户认证阶段

在此之前, 服务器已经过了客户认证, 这一阶段主要完成对客户的认证。

经认证的服务器发送一个提问给客户, 客户则返回 (数字) 签名后的提问和其公开密钥, 从而向服务器提供认证。

SSL支持各种加密算法。在“握手”过程中, 使用R S A公开密钥系统。密钥交换后, 使用一系列密码, 包括RC2、RC4、IDEA、DES、triple-DES及MD5信息摘要算法。公开密钥认证遵循X.509标准。

3. SSL的应用及局限

SSL是一个面向连接的协议, 在涉及多方的电子交易中, 只能提供交易中客户与服务器间的双方认证, 而电子商务往往是用户、网站、银行三家协作完成, SSL协议并不能协调各方间的安全传输和信任关系。

三、SET协议

为了实现更加完善的电子交易, Master Card和Visa联合其他一些业界主流厂商联合推出了一种规范, 用来保证在公共网络上银行卡支付交易的安全性, 从而发布了SET协议。采用SET协议进行网上电子交易支付时, 主要涉及持卡人、商家、支付网关、发卡者、支付者和C A认证共六方:持卡人是发行者发行的支付卡的授权持有者;发卡者是指发行信用卡给持卡者的金融机构;商家是有货物或服务出售给持卡人的个人或组织;支付者是指商家开设帐号所在的金融机构;支付网关实现对支付信息从Internet到银行内部网络的转换, 用来处理商家支付报文和持卡人的支付指令, 并对商家和持卡人进行认证;证书权威C A是为持卡人商家和支付网关发行X.5 0 9数字证书的可信实体。

S E T协议提供了电子交易中信息的机密性、数据的完整性、持卡人帐户的身份验证和商家身份验证。

1. 信息的机密性

当持卡人的帐户和支付信息在网络上传输时, 要确保其安全。SET的一个重要特点是, 它可以防止商家知道持卡人的信用卡帐户, 它只提供给发出的银行。可以使用D E S等算法加密来确保机密性。

2. 数据的完整性

从持卡人发送给商家的支付信息包括订购信息、个人数据和支付说明。SET必须保证这些消息的内容在传输时不进行改变。利用SHA-1哈希码的RSA数字签名提供了消息的完整性。

3. 持卡人帐户的身份验证

S E T授权商家验证持卡人是否是正确信用卡帐户的合法用户。S E T使用X..509v3数字证书和RSA实现这一目的。

4. 商家身份验证

S E T授权持卡人验证商家是否可以接收与其有关的金融组织。SET使用X.509v3数字证书和R S A实现这一目的。

5. SET的局限性

SET协议仅解决了支付信息的认证, 没有解决交易中证据的生成和保留, 因此, 不能为交易保留法律性的依据;S E T协议中没有对交易过程作状态描述, 这可能使顾客或商家对交易的状态难以把握。

四、结论

SSL协议和SET协议各有优缺点, 都不是理想的电子商务协议。为了电子商务更加蓬勃地发展,

必须在深入剖析SSL协议和SET协议的基础上, 开发一种新的安全支付协议, 以适应信用卡、电子现金、电子支票等多种交易方式。

摘要：本文对两种常用的在线支付协议及其安全性进行了详尽分析, 阐述了两者的应用性及局限性, 对网络购物相关行业的发展具有一定现实意义。

关键词：电子商务,电子支付,SET协议,SSL协议

参考文献

[1]尹存燕　谢俊元:一个公平、有效的安全电子交易协议[J].计算机应用研究, 2002, 01