前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電子商務(wù)安全論文主題范文,僅供參考,歡迎閱讀并收藏。
摘要:本文從行業(yè)誠信和安全技術(shù)兩個角度,分析了我們電子商務(wù)發(fā)展所面臨的問題,提出了提高全民誠信素質(zhì)教育,加快相關(guān)法律法規(guī)建設(shè),建立完善的信用體系,以及采用先進(jìn)的安全技術(shù),促進(jìn)我國電子商務(wù)的健康發(fā)展。 關(guān)鍵詞:電子商務(wù),行業(yè)誠信 ,安全技術(shù) 1引言 誠信問題和安全問題成為影響我國電子商務(wù)發(fā)展的瓶頸。首先,在電子商務(wù)領(lǐng)域企業(yè)、消費者、銀行等任何一方誠信缺失,交易就不能順利實施。電子商務(wù)的行業(yè)誠信需要政府、企業(yè)、社會等各界共同努力。再次,針對電子商務(wù)的各種安全要素,采用相應(yīng)的安全技術(shù),將用力的保障電子商務(wù)的交易各方的安全。
2電子商務(wù)誠信缺失的原因與表現(xiàn)
2.1 我國誠信基礎(chǔ)薄弱,電子商務(wù)交易社會信任度低
電子商務(wù)參與者的誠信觀念、規(guī)則意識不強。電子商務(wù)作為不見面的交易模式,難以得到消費者的認(rèn)同,而“無商不奸”的觀念在人們的思想中根深蒂固,這是電子商務(wù)發(fā)展的心理障礙。
2.2 社會信用體制尚未完全建立,電子商務(wù)難于運營
電子商務(wù)貿(mào)易內(nèi)的信用評級還完全屬于行業(yè)和個人行為,還沒有得到政府的支持和認(rèn)可,所以評級中介機構(gòu)、評級依據(jù)都未得到法律認(rèn)同,從而評級也就沒有法律效力。
2.3 商業(yè)秘密和客戶隱私得不到保護(hù)
網(wǎng)絡(luò)具有公開性,商家和消費者的個體信息在未征得同意時不得公開,否則將構(gòu)成對隱私權(quán)的侵犯。而目前很多商業(yè)性網(wǎng)站并不注重對客戶信息的保護(hù),商業(yè)秘密和隱私隨時可能受到侵犯,且難以獲得有效的法律救濟。
另外,還有網(wǎng)絡(luò)詐騙、商品質(zhì)量低劣、不履行服務(wù)承諾等一系列誠信缺失的表現(xiàn)。
3電子商務(wù)的誠信建設(shè)
3.1 加大誠信建設(shè)和教育,提高全民誠信素質(zhì)
倡導(dǎo)誠信觀念,提高社會公德和全民誠信素質(zhì),形成誠實守信的社會環(huán)境,促進(jìn)電子商務(wù)的發(fā)展。
3.2 健全相關(guān)法律、法規(guī)和制度的建設(shè)
法律、法規(guī)作為誠信的最后一道保障,不僅能打擊違法行為,維護(hù)消費者的合法權(quán)益,也能營造良好的社會誠信環(huán)境,促進(jìn)電子商務(wù)的繁榮發(fā)展。根據(jù)電子商務(wù)的環(huán)境和交易特點,建立電子交易法律和制度、電子支付制度、信用卡制度等。
3.3 完善信用體系建設(shè)
(1)建立電子商務(wù)信用模式。電子商務(wù)的信用模式主要是指電子商務(wù)企業(yè)(網(wǎng)站)通過制定和實施確定交易規(guī)則,為電子商務(wù)交易的當(dāng)事人建立一個公平、公正的平臺,以確保電子商務(wù)交易的安全可靠。其基礎(chǔ)性設(shè)施主要體現(xiàn)在資格認(rèn)證和信用認(rèn)證。
(2)加強行業(yè)自律。電子商務(wù)行業(yè)應(yīng)當(dāng)反對采用一切不正當(dāng)手段進(jìn)行行業(yè)內(nèi)競爭,自覺維護(hù)用戶的合法權(quán)益,保守用戶信息秘密。
(3)建立在線信用信息數(shù)據(jù)庫。政府有關(guān)部門要盡早建立跨區(qū)域的在線信用信息數(shù)據(jù)庫,通過提供信用查詢、公示企業(yè)守信或誠信信息、受理信用的投訴、受理信用的異議等服務(wù),來營造電子商務(wù)信用環(huán)境。
另外,還要增強政府引導(dǎo)與管理能力,促進(jìn)中國電子商務(wù)誠信聯(lián)盟的發(fā)展。可以營造良好的電子商務(wù)誠信環(huán)境。
4 電子商務(wù)的安全要素與安全技術(shù)
實現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性,從安全和信任的角度來看,傳統(tǒng)的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中,買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系,由于距離的限制,電子商務(wù)交易雙方都面臨安全威脅。這些安全因素包含:信息有效性、真實性;信息機密性;信息完整性;信息可靠性、不可抵賴性和可鑒別性。;
4.1 電子商務(wù)的安全技術(shù)
(1)數(shù)據(jù)加密技術(shù)
加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式,即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù),可分為:對稱密鑰密碼算法、不對稱型加密算法、不可逆加密算法三種。電子商務(wù)領(lǐng)域常用的加密技術(shù)有數(shù)字摘要、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書等。
(2)與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)
SSL協(xié)議(安全套接層協(xié)議),主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C密性和完整性,它不能保證信息的不可抵賴性,主要適用于點對點之間的信息傳輸。從目前實際使用的情況來看,SSL還是人們最信賴的協(xié)議,但是SSL并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系;還有,購貨時用戶要輸入通信地址,這樣將可能使得用戶收到大量垃圾信件。
SET協(xié)議(安全電子交易),由美國Visa和MasterCard兩大信用卡組織聯(lián)合國際上多家科技機構(gòu),共同制定了應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn),它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn),主要應(yīng)用于保障網(wǎng)上購物信息的安全性,是目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。
(3)身份認(rèn)證技術(shù)
在電子交易中,無論是數(shù)字時間戳服務(wù)還是數(shù)字證書的發(fā)放,都不是靠交易的自己能完成的,而需要有一個具有權(quán)威性和公正性的第三方來完成。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的服務(wù)機構(gòu)。
4.2網(wǎng)上支付平臺及支付網(wǎng)關(guān)
網(wǎng)上支付平臺分為CTEC支付體系和SET支付體系。網(wǎng)上支付平臺支付型電子商務(wù)業(yè)務(wù)提供各種支付手段,包括基于SET標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段。支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間,主要完成通信、協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能,并且可以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)。此外,支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能。
5小結(jié)
本文分析了目前電子商務(wù)領(lǐng)域所面臨的誠信危機與安全威脅,指出要將行業(yè)誠信、政府監(jiān)管、國家立法、安全技術(shù)等多方面相結(jié)合,從而保障電子商務(wù)的安全運行,引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。
[3]梁露,電子商務(wù)網(wǎng)站建設(shè)與實踐[M],北京:人民郵電出版社,2008:180-182
[4]方真,電子商務(wù)必須完善誠信機制[J],中國電子商務(wù),2004年02期
1.1對供應(yīng)商的影響
降低成本,提高效率一直是航空公司經(jīng)理們所要考慮的問題。在傳統(tǒng)情況下,當(dāng)公司需要進(jìn)行采購的時候組織采購部門會填寫請購單,這個請購單會交付給供應(yīng)商。表格交付后,確認(rèn)產(chǎn)品信息確認(rèn)后付款。采購過程非常耗時。在網(wǎng)絡(luò)沒有出現(xiàn)的年代,尋找要購買的商品通常需要一個半天的時間,而電子采購只需要20分鐘。(Chaffey,2002)可以說企業(yè)機構(gòu)從電子采購中獲益很多。
1.2對分銷商的影響
對航空業(yè)來講,分銷是指航空公司如何把機票分配給消費者。在網(wǎng)絡(luò)沒有盛行的年代,旅行社是重要的購買機票的渠道。而現(xiàn)在購買機票方式的變化是顯而易見的。許多航空公司設(shè)立了官方網(wǎng)站來吸引消費者購票。Law和Leung(2000)認(rèn)為網(wǎng)絡(luò)能夠在不通過旅行社和電腦預(yù)訂系統(tǒng)(ComputerReservationSystems,CRS)直接與消費者溝通,從而降低了機票的分銷費用。EasyJet航空公司就是通過各種方式來降低不必要成本的典型,比如通過網(wǎng)絡(luò)售票。2001年9月75%的人上網(wǎng)買票,這可以看作是一種脫媒方式。隨著網(wǎng)絡(luò)的普及,幾乎所有的航空公司都建立自己的網(wǎng)站,同時網(wǎng)絡(luò)訂機票的中介也應(yīng)運而生,這就意味著航空公司之間的競爭越發(fā)激烈,尤其對那些以價格為導(dǎo)向的消費者來說,他們更傾向于價格更便宜的機票。以2012年4月22日從倫敦到巴塞羅那的機票為例,大英航空的最低票價為196英鎊,而Easyjet的票價只有62.99英鎊,可見Easyjet在降低成本上所做的努力??梢钥闯?,網(wǎng)絡(luò)在降低了航空業(yè)分銷渠道成本的同時,也加大了行業(yè)內(nèi)部之間的競爭。
1.3對客戶關(guān)系的影響
如上所述,航空業(yè)屬于服務(wù)業(yè)范疇,因而公司與消費者的關(guān)系是至關(guān)重要的。Chaffey(2002)認(rèn)為客戶關(guān)系主要有兩個部分,即客戶獲取(customeracquisition)和客戶維系(customerretention),其中獲取一個客戶要比維系一個客戶成本更高。因而公司希望與已獲得的客戶保持長期而良好的關(guān)系,而網(wǎng)絡(luò)讓維持這種關(guān)系變得更加容易。荷蘭皇家航空公司(KLM)的網(wǎng)絡(luò)客戶關(guān)系管理團隊(CRMteam)會根據(jù)客戶在網(wǎng)上訂票后所留下的cookies(小型文本本件)來判定客戶的消費習(xí)慣,從而為客戶提供更加個性化的信息,比如給他們發(fā)送專門為他們定制的郵件。他們也為常旅客(frequentflyers)提供專屬的服務(wù),并稱之為常旅客計劃會員(frequentflyerprogrammem-bership)。其次,對消費者來說,網(wǎng)絡(luò)的產(chǎn)生讓消費者能夠隨時隨地查詢相關(guān)信息,比如網(wǎng)上值機系統(tǒng)(onlinecheck-insystem)能夠節(jié)省消費者的時間同時也能降低公司人力成本。航空公司通過電子商務(wù)(網(wǎng)絡(luò),手機等)可以更好與消費者維持良好的關(guān)系。廉價航空公司EasyJet通過使用RightNow公司的客戶關(guān)系管理軟件使該公司運行成本降低了75萬英鎊。
2電子商務(wù)在未來發(fā)展中的隱患
2.1網(wǎng)絡(luò)安全問題
對消費者來說網(wǎng)絡(luò)安全是他們進(jìn)行網(wǎng)上購物的顧慮之一,這種顧慮不僅僅存在于航空業(yè)之中,其中就包括網(wǎng)上轉(zhuǎn)賬安全。2011年美國社交網(wǎng)絡(luò)臉書(Facebook)的大規(guī)模用戶信息泄露事件讓網(wǎng)絡(luò)安全問題處在了風(fēng)口浪尖上。網(wǎng)絡(luò)詐騙及其他網(wǎng)絡(luò)問題的出現(xiàn)讓消費者們對網(wǎng)上轉(zhuǎn)賬產(chǎn)生了疑慮。據(jù)統(tǒng)計,僅2008年美國航空業(yè)損失費用達(dá)到14億美元,占了當(dāng)年世界航空業(yè)總產(chǎn)值的百分之1.3。Cunningham等(2004)認(rèn)為“對于基于網(wǎng)絡(luò)和傳統(tǒng)的航空預(yù)訂服務(wù)來說,對風(fēng)險的感知是系統(tǒng)的模式”這就意味著盡管航空公司不斷強調(diào)他們采用多么現(xiàn)實的網(wǎng)絡(luò)安全技術(shù),消費者始終會對網(wǎng)上支付有一定的顧慮。其次,消費者也擔(dān)心在網(wǎng)上注冊賬號會導(dǎo)致更多的個人信息被泄露。美國廉價航空公司捷藍(lán)(JetBlue)航空在顧客信息保護(hù)上面下了很大功夫,公司信息技術(shù)副總裁ToddThompson認(rèn)為“網(wǎng)絡(luò)能夠提升他們?yōu)轭櫩吞峁﹥?yōu)質(zhì)服務(wù)的能力,但不幸的是,電子通信總是會被轉(zhuǎn)發(fā)、打印或復(fù)制,因此完全的保密是幾乎不可能完成的”。捷藍(lán)航空計劃為WindowsServerTM2003和微軟辦公系統(tǒng)使用微軟公司的權(quán)限管理服務(wù)MicrosoftRWindowsRRightsManagementSer-vices(RMS),這種信息保護(hù)技術(shù)是建立在文件級別上了,內(nèi)部信息的交流會降低信息被他人誤讀,從而提高了消費者信息的安全性。但根據(jù)Krishnamurthy(P.5)的研究,通過旅行網(wǎng)站所泄露的個人信息占據(jù)所有網(wǎng)站之首,旅行網(wǎng)站的直接泄露指數(shù)(directleakageindex)為9,而像購物網(wǎng)站和新聞網(wǎng)站分別只有3和5。由此可以看出,航空業(yè)在未來發(fā)展電子商務(wù)方面還存在著潛在的風(fēng)險。而且提高升級網(wǎng)絡(luò)系統(tǒng)容易,但是改變?nèi)藗儗W(wǎng)絡(luò)隱患的擔(dān)憂卻不是那么容易。
2.2硬件問題
Phaladsingh(2006)認(rèn)為“個人電腦的普及率”是影響電子商務(wù)發(fā)展的阻礙之一,這就意味著不管網(wǎng)絡(luò)技術(shù)有多發(fā)達(dá),如果人們買不起電腦和其他數(shù)碼設(shè)備,電子商務(wù)就很難發(fā)揮其作用。對于航空業(yè)來說同樣是如此,網(wǎng)上值機、網(wǎng)上購票等服務(wù)只有在有電腦設(shè)備的時候才會體現(xiàn)出其優(yōu)越性。顯而易見,發(fā)達(dá)國家更容易接觸到電子產(chǎn)品也更容易享受到電子產(chǎn)品帶來的便捷體驗。2004年在美國每1000人中有763個人擁有電腦,而在一些欠發(fā)達(dá)國家每1000人中平均只有1到2個人擁有電腦,非洲國家尼日爾每1000人中只有0.1716人使用電腦,這個數(shù)量在增加,但不可否認(rèn)的是在發(fā)展中國家尤其是一些欠發(fā)達(dá)國家電子商務(wù)并不能產(chǎn)生很好的效果。
3結(jié)論
關(guān)鍵詞:電子商務(wù);信息安全技術(shù)
一、電子商務(wù)發(fā)展存在的風(fēng)險
第三方的電子交易平臺在網(wǎng)絡(luò)上對于信息進(jìn)行儲存、記錄、處理、和傳遞,以此來協(xié)助一次網(wǎng)絡(luò)消費行為的完成。一般情況下,這些信息都具有真實性和保密性,屬于大眾的隱私。但是,現(xiàn)在的網(wǎng)絡(luò)環(huán)境比較惡劣,有很多網(wǎng)絡(luò)陷阱以及刻意挖掘用戶信息的“黑客”,從而導(dǎo)致基本信息出現(xiàn)失真、泄露和刪除的危機,不利于正常電子商務(wù)交易的完成。對于電子商務(wù)信息大致上可以分為以下幾類:第一,信息的真實性;第二,信息的實時性;第三,信息的安全性。首先,是信息的真實性。電子商務(wù)上的基本信息是賣家和買家進(jìn)行認(rèn)識對方和分辨商品真實性可靠性的唯一途徑,應(yīng)該絕對真實。一旦出現(xiàn)虛假信息,則屬于欺騙消費者,是危害消費者權(quán)益的不法行為。其次,是信息的實時性。信息的實時性主要是指信息的保質(zhì)期。因為很多信息只在一段時間內(nèi)有效,具有時效性,一旦錯過這段關(guān)鍵時期,那么該信息則失去自身的價值,變得一文不值。最后,就是信息的安全性,這也是消費者最為關(guān)心的問題。電子商務(wù)出現(xiàn)的安全性問題主要表現(xiàn)為客戶的信息被刪除、篡改從而失真,同時也表現(xiàn)為用戶的信息被竊取從而達(dá)成其他目的,使得用戶的隱私被侵犯,正常的生活受到打擾。
二、電子商務(wù)的信息安全技術(shù)的內(nèi)容
2.1 備份技術(shù)。相信備份技術(shù)對于大眾來說不是很陌生。但是很多人卻錯誤的將備份理解為拷貝,從而片面的看待這個問題。電子商務(wù)對于網(wǎng)絡(luò)環(huán)境有很大的依賴性,網(wǎng)絡(luò)環(huán)境自身卻存在極大的不穩(wěn)定性,這就導(dǎo)致電子商務(wù)的發(fā)展存在不可避免的風(fēng)險,如果沒有一個數(shù)據(jù)庫對于基本信息進(jìn)行存儲,那么一旦出現(xiàn)系統(tǒng)故障或者誤刪的情況則信息永遠(yuǎn)消失,這對于商家來說是極其可怕的,因此,電子商務(wù)的第三方有一個信息儲存庫,旨在在必要的時刻段時間內(nèi)將客戶的信息及時恢復(fù)。這種恢復(fù)不是簡單的、傳統(tǒng)意義上的恢復(fù),而是通過備份介質(zhì)得以完成的。這樣的話,在系統(tǒng)故障或者其他原因?qū)е滦畔⒃诙虝r間內(nèi)無法正?;謴?fù)時,可以借助儲存在備份介質(zhì)中的信息將信息還原到原來的備份狀態(tài)。2.2 認(rèn)證技術(shù)。所謂認(rèn)證技術(shù)其實一個專業(yè)術(shù)語,道理實際上很簡單,就是我們常說的登錄口令。認(rèn)證技術(shù)的目的主要在于阻止不具有系統(tǒng)授權(quán)的用戶進(jìn)行非法的破壞計算機機密數(shù)據(jù),是數(shù)據(jù)庫系統(tǒng)為減少和避免各種破壞電子商務(wù)安全的重要策略。登陸口令是我們正常用戶進(jìn)行電子商務(wù)平臺登錄的方式,是大眾在網(wǎng)絡(luò)環(huán)境下的身份證。我們每一個用戶在使用某一個電子商務(wù)平臺之前都被要求進(jìn)行注冊,從而決定或者獲得自己的登陸口令即用戶名和密碼。這些登錄口令都是都是獨一無二的,是我們進(jìn)行網(wǎng)上交易的身份認(rèn)證和識別。因為電子商務(wù)平臺往往具有開放性,一旦沒有身份認(rèn)證后果將不堪設(shè)想。人們的信息安全更是沒有任何保障。2.3 訪問控制技術(shù)。訪問控制技術(shù)也可以理解為訪問等級制度,電子商務(wù)的系統(tǒng)會根據(jù)用戶的不同等級對于用戶對于系統(tǒng)數(shù)據(jù)的訪問進(jìn)行一定的控制。等級較低時,則用戶的訪問權(quán)限有限,一些重要的關(guān)鍵的信息則被系統(tǒng)禁止訪問,只要當(dāng)?shù)燃壿^高時才能獲得相關(guān)權(quán)限,這就保證了一些重要信息不會被竊取。關(guān)于用戶的訪問權(quán)限也有兩層含義,首先是用戶能夠獲得數(shù)據(jù)庫中的信息種類和數(shù)量,另一層含義則是指用戶對于獲取的數(shù)據(jù)庫信息進(jìn)行怎樣的操作。
1.電子商務(wù)與移動電子商務(wù)概念
電子商務(wù)(ElectronicCommerce,簡稱E-commerce)是在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器或服務(wù)器應(yīng)用方式,買賣雙方不謀面地進(jìn)行各種商貿(mào)活動,實現(xiàn)消費者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付,以及各種商務(wù)活動、交易活動、金融活動和相關(guān)的綜合服務(wù)活動的一種新型的商業(yè)運營模式。
移動電子商務(wù)(M-Commerce),它由電子商務(wù)(E-Commerce)的概念衍生出來,是通過手機、PDA(個人數(shù)字助理)、呼機等移動通信設(shè)備與因特網(wǎng)有機結(jié)合所進(jìn)行的電子商務(wù)活動。移動電子商務(wù)能提供以下服務(wù):PIM(個人信息服務(wù))、銀行業(yè)務(wù)、交易、購物、基于位置的服務(wù)、娛樂等。移動電子商務(wù)因其快捷方便、無所不在的特點,已經(jīng)成為電子商務(wù)發(fā)展的新方向。因為只有移動電子商務(wù)才能在任何地方、任何時間,真正解決做生意的問題。
截至2008年4月,中國移動電話用戶合計5.84億,移動電話用戶數(shù)與固定電話用戶數(shù)的差距拉大到2.24億戶,移動電話用戶在電話用戶總數(shù)中所占的比重達(dá)到61.9%。移動電話普及率已達(dá)41.6%。
移動電子商務(wù)與傳統(tǒng)的主要通過桌面電腦網(wǎng)絡(luò)平臺而運行和開展的電子商務(wù)相比,擁有更為廣泛的潛在用戶基礎(chǔ)。當(dāng)前,中國互聯(lián)網(wǎng)用戶雖然已經(jīng)超過2億,但同時手機用戶卻相比多了3億多用戶,此外根據(jù)資料還有數(shù)量龐大的PDA用戶群,因此,移動電子商務(wù)具有比非移動電子商務(wù)更為廣闊的市場前景。
2.移動電子商務(wù)信息系統(tǒng)安全概念
移動電子商務(wù)信息系統(tǒng)安全問題是動態(tài)發(fā)展的,如防范病毒的措施,往往不可能一次成功更不可能一勞永逸。由于移動電子商務(wù)信息系統(tǒng)是以移動通信網(wǎng)絡(luò)與計算機網(wǎng)絡(luò)共同構(gòu)建的平臺為商務(wù)活動平臺,因此它不可避免面臨著一系列的由移動通訊網(wǎng)絡(luò)和計算機網(wǎng)絡(luò)相關(guān)的安全問題。移動電子商務(wù)給商務(wù)活動帶來了諸多便利,如縮短了商務(wù)活動時間、降低了商務(wù)成本、提高了響應(yīng)市場的效率等等。計算機網(wǎng)絡(luò)為主體的有線網(wǎng)絡(luò)安全的技術(shù)手段并不能完全適用于無線的移動網(wǎng)絡(luò)環(huán)境,由于無線設(shè)備的內(nèi)存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序,因此,有效抵制手機病毒的防護(hù)軟件目前還不是很成熟。
3.移動電子商務(wù)信息系統(tǒng)安全類型
移動電子商務(wù)信息系統(tǒng)安全威脅種類繁多,可以有多種可能的潛在面,既有蓄意違法而致的威脅;也有無意疏忽造成的安全漏洞。另外還有如:非法使用移動終端、移動通訊公司工作人員不慎泄露客戶信息而致、竊聽等均有可能導(dǎo)致不同程度和后果的移動電子商務(wù)安全威脅。大體我們可以分為以下幾個情況:
第一,移動通訊網(wǎng)絡(luò)本身導(dǎo)致重要商務(wù)信息外泄:移動無線信道是一個開放性的信道,它給移動無線用戶帶來通訊的自由和靈活性的同時,同時也伴隨著很多不安全因素:如通訊雙方商務(wù)內(nèi)容容易被竊聽、通訊雙方的身份容易被假冒,以及通訊內(nèi)容容易被篡改等。在移動無線通訊過程中,所有通訊內(nèi)容(如:通話信息,身份信息,數(shù)據(jù)信息等)都是通過移動無線信道開放傳送的。任何擁有一定頻率接收設(shè)備的人均可以獲取移動無線信道上傳輸?shù)膬?nèi)容。這對于移動無線用戶的信息安全、個人安全和個人隱私都構(gòu)成了潛在的威脅。在移動電子商務(wù)信息系統(tǒng)中商業(yè)機密的泄漏表現(xiàn),主要有兩個方面:商務(wù)活動雙方進(jìn)行商務(wù)活動的核心機密內(nèi)容被第三方意外獲得或竊取;交易一方提供給另一方使用的商務(wù)文件被第三方非正常使用。
第二,移動通訊設(shè)備傳播的病毒的侵犯:病毒是目前威脅移動電子商務(wù)用戶的主要因素之一,隨著移動網(wǎng)絡(luò)應(yīng)用的深入擴展,移動電子商務(wù)的規(guī)模愈趨增大,移動電子商務(wù)用戶也越來越多地面臨著各類病毒黑客攻擊風(fēng)險。與病毒齊名的是黑客侵?jǐn)_和攻擊,由于各種網(wǎng)絡(luò)黑客應(yīng)用軟件工具的傳播,黑客與黑客行為己經(jīng)大眾化了,他們利用操作系統(tǒng)和網(wǎng)絡(luò)的漏洞、缺陷,從網(wǎng)絡(luò)的外部非法侵入,進(jìn)行侵?jǐn)_和不法行為,對移動電子商務(wù)安全造成很大隱患。
第三,移動通訊網(wǎng)路漫游而致的威脅:無線網(wǎng)路中的危害安全者不需要尋找攻擊對象,攻擊對象在某種條件下會漫游到攻擊者所在的小區(qū)。在終端用戶不知情的情況下,信息可能被竊取和篡改。服務(wù)也可被經(jīng)意或不經(jīng)意地拒絕。交易會中途打斷而沒有重新認(rèn)證的機制。由刷新引起連接的重新建立會給系統(tǒng)引入風(fēng)險,沒有再認(rèn)證機制的交易和連接的重新建立是危險的。連接一旦建立,使用SSL和WTLS的多數(shù)站點不需要進(jìn)行重新認(rèn)證和重新檢查證書,攻擊者可以利用該漏洞來獲利。
第四,垃圾信息(或稱垃圾短信):在移動通訊系統(tǒng)及設(shè)備帶給廣大人們便利和效率的同時,也帶來了很多煩惱,其中尤其難以控制的就是鋪天蓋地而來的垃圾短信廣告打擾著我們的生活、工作和學(xué)習(xí)。在移動用戶進(jìn)行商業(yè)交易時,會把手機號碼留給對方。有的移動用戶喜歡把手機號碼公布在網(wǎng)上。這些都是其他公司獲取大量手機用戶號碼的渠道所在。垃圾短信使得人們對移動電子商務(wù)充滿不信任和反感,而不敢在網(wǎng)絡(luò)上使用自己的移動設(shè)備從事商務(wù)活動。
二、提升移動電子商務(wù)信息系統(tǒng)安全的趨勢與必然性
1.移動商務(wù)是電子商務(wù)發(fā)展的必然趨勢
在未來幾年中,伴隨著無線網(wǎng)絡(luò)的日益普及,移動計算設(shè)備將變得很普及。計算機技術(shù)和無線技術(shù)的結(jié)合將成為最終趨勢,電子商務(wù)也將向移動商務(wù)過渡。中國在電子商務(wù)的發(fā)展方面要落后于發(fā)達(dá)國家,但隨著觀念的改變和技術(shù)的進(jìn)步,中國越來越多地參與到世界經(jīng)濟發(fā)展的各個環(huán)節(jié)。中國要想在商務(wù)模式變革的過程中取得成功,關(guān)鍵是要準(zhǔn)確分析市場趨勢并把握市場先機。移動商務(wù)中關(guān)鍵的一點以用戶為中心,如果能成功把握住移動個性化方面的市場先機,則完全有可能成為移動商務(wù)的規(guī)則制訂者,從而擺脫以往的模仿。
2.我國高速發(fā)展的移動通訊網(wǎng)絡(luò)要求提升移動電子商務(wù)信息系統(tǒng)安全性
2007年,全國電話用戶新增8389.1萬戶,總數(shù)突破9億戶,達(dá)到91273.4萬戶。移
動電話用戶在電話用戶總數(shù)中所占的比重達(dá)到60.0%,移動電話用戶與固定電話用戶的差距拉大到18183.8萬戶。
2007年12月中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)《第21次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》。報告顯示,截至2007年底,我國網(wǎng)民人數(shù)達(dá)到了2.1億,占中國人口總數(shù)的16%。調(diào)查反映出基于網(wǎng)絡(luò)的商務(wù)安全問題,調(diào)查網(wǎng)民對互聯(lián)網(wǎng)最反感的方面是:網(wǎng)絡(luò)病毒29.8%,網(wǎng)絡(luò)入侵或攻擊(有木馬)17.3%等??梢哉f我國2億多網(wǎng)民在網(wǎng)絡(luò)上,信息安全問題是比較普遍的,因此,我國高速發(fā)展的互聯(lián)網(wǎng)絡(luò)客觀上也要求提升商務(wù)信息系統(tǒng)安全。
美國安全軟件公司McAfee2008年公布的最新調(diào)查結(jié)果顯示,雖然手機病毒和攻擊現(xiàn)在還不普遍,但隨著越來越多的用戶通過手機訪問互聯(lián)網(wǎng)和下載文件,手機病毒出現(xiàn)的概率將越來越大。McAfee公司公布的調(diào)查結(jié)果顯示,只有2.1%的被調(diào)查者曾經(jīng)自己遭遇手機病毒,而聽說過其他手機用戶遭遇病毒的被調(diào)查者也只有11.6%。McAfee在英國、美國和日本共調(diào)查了2000名手機用戶,結(jié)果發(fā)現(xiàn)86.3%的用戶對于手機病毒沒有任何概念。
當(dāng)前我國移動用戶數(shù)保持世界第一,網(wǎng)民數(shù)為世界第二,我國高速發(fā)展的移動通訊網(wǎng)絡(luò)要求提升移動電子商務(wù)信息系統(tǒng)安全性。
3.利用加密函數(shù)技術(shù)加強和完善高效高安全性的移動電子商務(wù)信息系統(tǒng)
在這個網(wǎng)絡(luò)互聯(lián)技術(shù)、移動通訊技術(shù)告訴前行的時代,信息安全尤其是電子商務(wù)信息的保密工作變得越來越至關(guān)重要,這無疑給密碼學(xué)的研究帶來了巨大推動。為提高移動通訊網(wǎng)絡(luò)與互聯(lián)網(wǎng)為平臺的移動電子商務(wù)服務(wù)質(zhì)量,維護(hù)移動電子商務(wù)信息提供者的權(quán)益,信息安全越來越得到人們的關(guān)注。筆者認(rèn)為,研究布爾函數(shù)各種性質(zhì),特別是研究對抵抗相關(guān)攻擊的相關(guān)免疫函數(shù)類、抗線性分析的Hent函數(shù)與Hash函數(shù),無疑是具有很強的現(xiàn)實意義的。
(1)Hash函數(shù)加密技術(shù)概述及應(yīng)用
Hash函數(shù)加密技術(shù)主要用于信息安全領(lǐng)域中加密算法,它能把一些不同長度的信息轉(zhuǎn)化成雜亂的128位的編碼里,叫做HASH值。Hash就是為了找到一種數(shù)據(jù)內(nèi)容和數(shù)據(jù)存放地址之間的映射關(guān)系密碼學(xué)上的Hash函數(shù)是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數(shù)。Hash函數(shù)可用于數(shù)字簽名、消息的完整性檢測、消息的起源認(rèn)證檢測等。安全的Hash函數(shù)的存在性依賴于單項函數(shù)的存在性。Hash算法被普遍應(yīng)用于數(shù)字安全的幾乎所有方面,如登錄辦公室局域網(wǎng)、進(jìn)入個人郵箱和安全頁面都要用它來保護(hù)用戶的密碼;電子簽名系統(tǒng)利用它來認(rèn)證客戶及其發(fā)來的信息。
(2)bent函數(shù)加密技術(shù)概述及應(yīng)用
在密碼學(xué)中,為了抵抗最佳線性逼近,人們引人了Bent函數(shù)的概念,bent函數(shù)具有最高非線性度,在密碼、編碼理論等方面理論中有著重要應(yīng)用,因而成為當(dāng)前密碼學(xué)界研究信息安全保密技術(shù)的熱點。對Bent函數(shù)的構(gòu)造可以分為間接構(gòu)造和直接構(gòu)造。直接構(gòu)造方法主要有2種:一種是MM類;另一種是PS類,這兩種屬于直接構(gòu)造方法。bent函數(shù)具有最高的非線性度,但它的相關(guān)免疫階為0,為了使bent具有更好的密碼學(xué)性質(zhì)和實際應(yīng)用價值,學(xué)者們提出了bent函數(shù)的變種,如Hyper-bent,Semi-bent等。
總之,移動電子商務(wù)信息系統(tǒng)安全是個多角度、多因素、多學(xué)科的問題,它不單要求從保密安全技術(shù)方面,同時也要求我們從技術(shù)之外的社會等因素考慮解決。
參考文獻(xiàn):
[1]趙永剛:解析“三角經(jīng)營商法”[J].商場現(xiàn)代化,2004(15)
[2]姬志剛:計算機、網(wǎng)絡(luò)與信息社會.科技咨詢導(dǎo)報[J].2006(20)
[3]邱顯杰:關(guān)于Bent函數(shù)的研究.湘潭大學(xué)[D],2002
[4]戴方虎等:Internet的移動訪問技術(shù)研究.計算機科學(xué),2000(3)
[5]肖皇培張國基:基于Hash函數(shù)的報文鑒別方法[J].計算機工程,2007,(06)
[6]蘇桂平劉爭春呂述望:Hash函數(shù)在信息安全中隨機序列發(fā)生器中的應(yīng)用[J].計算機工程與應(yīng)用,2005,(11)
關(guān)鍵詞:移動電子商務(wù)IEEE802.11WAPWPKI
隨著無線通信技術(shù)的發(fā)展,移動電子商務(wù)已經(jīng)成為電子商務(wù)研究熱點。移動電子商務(wù)是將現(xiàn)代信息科學(xué)技術(shù)和傳統(tǒng)商務(wù)活動相結(jié)合,隨時隨地為用戶提供各種個性化的、定制的在線動態(tài)商務(wù)服務(wù)。
但在無線世界里,人們對于進(jìn)行商務(wù)活動安全性的考慮比在有線環(huán)境中要多。只有當(dāng)所有的用戶確信,通過無線方式所進(jìn)行的交易不會發(fā)生欺詐或篡改、進(jìn)行的交易受到法律的承認(rèn)和隱私信息被適當(dāng)?shù)谋Wo(hù)時,移動電子商務(wù)才有可能蓬勃開展。
移動電子商務(wù)通信安全的現(xiàn)狀
由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實際上,主要的無線通信技術(shù)都有各自的措施、協(xié)議和方法來保證各自體制下的通信安全。這里我們將從無線網(wǎng)絡(luò)和電子商務(wù)應(yīng)用兩個方面作簡要討論。
無線局域網(wǎng)
無線局域網(wǎng)絡(luò)是以無線連接至局域網(wǎng)絡(luò)的通訊方式。它采用的是IEEE802.11系列標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中,無線局域網(wǎng)的安全機制采用的是WEP協(xié)議(有線對等安全協(xié)議)。在數(shù)據(jù)鏈路用WEP加密數(shù)據(jù),保證了信道上傳送數(shù)據(jù)的安全。另外,無線局域網(wǎng)的網(wǎng)絡(luò)管理員分配給每個授權(quán)用戶一個基于WEP算法的密鑰,這樣就有效阻止了非授權(quán)用戶的訪問。
WAP(無線應(yīng)用協(xié)議)技術(shù)
WAP由一系列協(xié)議組成,用來標(biāo)準(zhǔn)化無線通信設(shè)備,例如:移動電話、移動終端;它負(fù)責(zé)將Internet和移動通信網(wǎng)連接到一起,客觀上已成為移動終端上網(wǎng)的標(biāo)準(zhǔn)。WAP協(xié)議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡(luò)。
WAP的安全機制是通過WTLS(無線傳輸層安全)協(xié)議來實現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無線技術(shù)的有限的發(fā)送功率、存儲容量及帶寬的條件下,WTLS能夠?qū)崿F(xiàn)鑒定,保證數(shù)據(jù)的完整性和提供保密服務(wù)的目標(biāo)。
數(shù)字認(rèn)證技術(shù)
對諸如移動電子商務(wù)和有重要使命的合作通信等活動,其安全性的一個關(guān)鍵方面是能否對信息發(fā)送者的身份進(jìn)行論證,通常都要利用有線安全的公開密鑰基本構(gòu)架(PKI)。
PKI提供與加密和數(shù)字證書有關(guān)的一系列技術(shù)。但在無線通信環(huán)境中,PKI是很難實現(xiàn)的。在只有有限計算能力和低數(shù)據(jù)流通率的設(shè)備上實現(xiàn)PKI中的服務(wù)一直是一個有挑戰(zhàn)性的難題。同時在PKI的基礎(chǔ)上,要將無線設(shè)備與有線設(shè)備之間進(jìn)行互通也是有難度的。因此無線PKI(WPKI)協(xié)議是要將標(biāo)準(zhǔn)的PKI進(jìn)行修正和簡化,使其在無線通信的環(huán)境下達(dá)到最優(yōu)。
移動電子商務(wù)安全分析
IEEE802.11的安全
IEEE802.11標(biāo)準(zhǔn)規(guī)定了MAC層的存取控制規(guī)范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認(rèn)證節(jié)點,使無線通信傳輸像有線網(wǎng)絡(luò)一樣安全。
WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發(fā)送的數(shù)據(jù)包,傳輸程序都將數(shù)據(jù)包的內(nèi)容與數(shù)據(jù)包的檢驗組合在一起。然后,WEP標(biāo)準(zhǔn)要求傳輸程序創(chuàng)建一個特定于數(shù)據(jù)包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數(shù)據(jù)包進(jìn)行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對數(shù)據(jù)包進(jìn)行解密。在理論上,這種方法優(yōu)于單獨使用共享私鑰的顯式策略,應(yīng)該使對方更難于破解。
但是,IEEE802.11中用于安全的WEP算法只是提供相當(dāng)于有線局域網(wǎng)基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞,有經(jīng)驗的黑客會利用這些漏洞進(jìn)行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標(biāo)準(zhǔn)允許IV重復(fù)使用(平均大約每5小時重復(fù)一次)。WEP標(biāo)準(zhǔn)不提供自動修改密鑰的方法。
最早的WEP實施只提供40位加密,這使得它抗暴力攻擊能力差?,F(xiàn)代的系統(tǒng)提供128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網(wǎng)絡(luò)放在機構(gòu)防火墻之外,這種防范措施會強制要求將無線連接當(dāng)作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。
所以,WEP應(yīng)該與其他安全機制一起應(yīng)用才能提供較強的安全。
WAP的安全
WAP規(guī)范的安全特性包括幾個部分:WTLS協(xié)議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。
WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實體鑒別、數(shù)據(jù)加密和保護(hù)數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關(guān)之間的安全通信。有三種不同級別的WTLS:
1級:執(zhí)行未經(jīng)證實的Diffie-Hellman密鑰交換以建立會話密鑰。
2級:使用與SSL/TLS協(xié)議相類似的公開密鑰證書機制進(jìn)行服務(wù)器端鑒別。
3級:客戶端和服務(wù)器端采用X.509格式證書相互進(jìn)行鑒別。
早期WAP裝置僅僅采用了第1級別的WTLS,這種級別的安全不夠,所以不能用于電子商務(wù)。目前,支持第2和第3級別WTLS的移動裝置從市場上可以得到,它們可以確保網(wǎng)上銀行交易和購物等應(yīng)用的機密性。
WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術(shù)的支持(RSA是強制的,而ECC是可選的)。生產(chǎn)廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網(wǎng)關(guān)建立的所有WTLS會話都將使用相同的公匙用作初始會話。每一個會話都將包括與此密鑰對應(yīng)的一個不同的證書。WIM的基本要求是它們要具有抗篡改的能力。
SignText功能:這個功能為WAP用戶提供了數(shù)字簽名。同電子簽名功能一樣,這個功能可以被應(yīng)用于其他無線設(shè)備,或者是手持設(shè)備,或者是內(nèi)嵌SIM卡。
WAP的安全分析:由WAP提供的最好的安全是WTLS3級,多數(shù)情況下WTLS已足以確保WAP的安全。但是,由于WAP網(wǎng)關(guān)在WAP設(shè)備和Web服務(wù)器之間起著翻譯的作用,相應(yīng)的帶來了安全問題:WTLS安全會話建立在手機與WAP網(wǎng)關(guān)之間,而與終端服務(wù)器無關(guān)。這意味著數(shù)據(jù)只在WAP手機與網(wǎng)關(guān)之間加密,網(wǎng)關(guān)將數(shù)據(jù)解密后,利用其他方法將數(shù)據(jù)再次加密,然后經(jīng)過TLS連接發(fā)送給終端服務(wù)器。由于WAP網(wǎng)關(guān)可以看見所有的數(shù)據(jù)明文,而該WAP網(wǎng)關(guān)可能并不為服務(wù)器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數(shù)據(jù)。
目前,針對上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網(wǎng)關(guān)的安全。如果WAP網(wǎng)關(guān)位于WAP服務(wù)供應(yīng)商范圍之內(nèi),可以通過諸如在內(nèi)存中對加密和解密過程進(jìn)行最優(yōu)化以減少數(shù)據(jù)明文存在的時間、在釋放前覆蓋加密解密進(jìn)程使用的內(nèi)存以確保數(shù)據(jù)的安全性。對于安全要求較高的公司可以擁有自己的WAP網(wǎng)關(guān),從而保障數(shù)據(jù)端到端的安全性。通過WIM實現(xiàn)數(shù)據(jù)安全性。
WPKI技術(shù)
在有線通信中,電子商務(wù)交易的一個重要安全保障是PKI。PKI的系統(tǒng)概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務(wù)交易的安全問題,但在應(yīng)用PKI的同時要考慮到移動通信環(huán)境的特點,并據(jù)此對PKI技術(shù)進(jìn)行改進(jìn)。
WPKI技術(shù)滿足移動電子商務(wù)安全的要求:即保密性、完整性、真實性、不可抵賴性,消除了用戶在交易中的風(fēng)險。WPKI技術(shù)主要包含以下幾個方面:
認(rèn)證機構(gòu)(CA)CA系統(tǒng)是PKI的信任基礎(chǔ),負(fù)責(zé)分發(fā)和驗證數(shù)字證書,規(guī)定證書的有效期,證書廢除列表。
注冊機構(gòu)(RA)RA提供用戶和CA之間的一個接口。作為認(rèn)證機構(gòu)的校驗者,在數(shù)字證書分發(fā)給請求者之前對證書進(jìn)行驗證。
智能卡智能卡將具有存儲、加密及數(shù)據(jù)處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點,在生產(chǎn)過程、訪問控制方面有很強的安全保障。很多種需要客戶端認(rèn)證的應(yīng)用都可以使用智能卡來實現(xiàn)。并且智能卡也是存儲移動電子商務(wù)密鑰及相關(guān)數(shù)字證書的最佳選擇。
加密算法加密算法越復(fù)雜,密鑰越長則安全性越高,但執(zhí)行運算所需的時間也越長(或需要計算能力更強的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協(xié)處理器的芯片。而ECC使用較短的密鑰就可以達(dá)到和RSA算法相同的加密強度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運算量小同時能提供高加密強度的公鑰密碼體制對在智能卡上實現(xiàn)數(shù)字簽名應(yīng)用是至關(guān)重要的,ECC在這方面具有很大的優(yōu)勢。
綜上所述,在WPKI機制下,數(shù)字證書非常重要,但是由于無線信道和移動終端的限制,如何安全、便捷地交換用戶的數(shù)字證書是WPKI所必須解決的問題??梢圆捎靡韵?種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動證書標(biāo)識,將標(biāo)準(zhǔn)的一個X.509證書與移動證書標(biāo)識唯一對應(yīng),并且在移動終端中嵌入移動證書標(biāo)識,用戶每次只需要將自己的移動證書標(biāo)識與簽名數(shù)據(jù)一起提交給對方,對方再根據(jù)移動證書標(biāo)識檢索相應(yīng)的數(shù)字證書即可。
目前,大多數(shù)移動電子商務(wù)采用的安全方式是非PKI的方式,這種方式主要采用對稱加密算法和單向散列函數(shù)來提供安全服務(wù),其密鑰的管理是由移動運營商建立一套主密鑰管理系統(tǒng),為不同的服務(wù)提供商分配不同的密鑰,每次交易過程中,服務(wù)提供商與用戶協(xié)商產(chǎn)生會話加密密鑰。顯然,采用這種方式構(gòu)建的系統(tǒng)的安全性主要取決于主密鑰的安全。
盡管非PKI方式對于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統(tǒng)的安全得到較好的保障,但是從長遠(yuǎn)來說,移動電子商務(wù)有必要逐步過渡到PKI方式。
移動電子商務(wù)隨著移動互聯(lián)網(wǎng)技術(shù)的成熟發(fā)展迅速,其獨特的應(yīng)用領(lǐng)域使得其安全問題倍受關(guān)注。從技術(shù)角度上看,一方面無線通信的安全處在不斷地發(fā)展和完善之中,其應(yīng)用到移動電子商務(wù)中時要與其它的安全機制相結(jié)合才能滿足實際應(yīng)用的需要;另一方面有線電子商務(wù)的安全技術(shù)不能解決移動電子商務(wù)的安全問題,所以WPKI技術(shù)是一個現(xiàn)實的選擇。因此,將這兩方面進(jìn)行改進(jìn)并進(jìn)行有機整合,才能營造一個安全的移動電子商務(wù)環(huán)境。
參考文獻(xiàn):
1.儲節(jié)旺,郭春俠.移動電子商務(wù)研究[J].現(xiàn)代情報,2002,3(3)
2.姜志,聶志鋒.移動電子商務(wù)及其關(guān)鍵技術(shù)[J].湖北郵電技術(shù),2002,9(3)
關(guān)鍵詞:電子商務(wù);網(wǎng)絡(luò)銀行;私有密鑰加密法;公開密鑰加密法
對數(shù)據(jù)進(jìn)行有效加密與解密,稱為密碼技術(shù),即數(shù)據(jù)機密性技術(shù)。其目的是為了隱蔽數(shù)據(jù)信息,將明文偽裝成密文,使機密性數(shù)據(jù)在網(wǎng)絡(luò)上安全地傳遞而不被非法用戶截取和破譯。偽裝明文的操作稱為加密,合法接收者將密文恢復(fù)出原明文的過程稱為解密,非法接收者將密文恢復(fù)出原明文的過程稱為破譯。密碼是明文和加密密鑰相結(jié)合,然后經(jīng)過加密算法運算的結(jié)果。加密包括兩個元素,加密算法和密鑰。加密時所使用的信息變換規(guī)則稱為加密算法,是用來加密的數(shù)學(xué)函數(shù),一個加密算法是將普通的文本(或者可以理解的信息)與一串字符串即密鑰結(jié)合運算,產(chǎn)生不可理解的密文的步驟。密鑰是借助一種數(shù)學(xué)算法生成的,它通常是由數(shù)字、字母或特殊符號組成的一組隨機字符串,是控制明文和密文變換的唯一關(guān)鍵參數(shù)。對于相同的加密算法,密鑰的位數(shù)越多,破譯的難度就越大,安全性就越好。目前,電子商務(wù)通信中常用的有私有(對稱)密鑰加密法和公開(非對稱)密鑰加密法。
一、私有密鑰加密法
(一)定義
私有密鑰加密,指在計算機網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時,發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用同樣的一把密鑰A對收到的密文M進(jìn)行解密,得到明文信息,從而完成密文通信目的的方法。這種信息加密傳輸方式,就稱為私有密鑰加密法。上述加密法的一個最大特點是,信息發(fā)送方與信息接收方均需采用同樣的密鑰,具有對稱性,所以私有密鑰加密又稱為對稱密鑰加密。
(二)使用過程
具體到電子商務(wù),很多環(huán)節(jié)要用到私有密鑰加密法。例如,在兩個商務(wù)實體或兩個銀行之間進(jìn)行資金的支付結(jié)算時,涉及大量的資金流信息的傳輸與交換。這里以發(fā)送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應(yīng)用私有密鑰加密法的過程:銀行甲借助專業(yè)私有密鑰加密算法生成私有密鑰A,并且復(fù)制一份密鑰A借助一個安全可靠通道(如采用數(shù)字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網(wǎng)絡(luò)通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文。這樣銀行乙就知道銀行甲的資金轉(zhuǎn)賬通知單的內(nèi)容,結(jié)束通信。
(三)常用算法
世界上一些專業(yè)組織機構(gòu)研發(fā)了許多種私有密鑰加密算法,比較著名的有DES算法及其各種變形、國際數(shù)據(jù)加密算法IDEA等。DES算法由美國國家標(biāo)準(zhǔn)局提出,1977年公布實施,是目前廣泛采用的私有密鑰加密算法之一,主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬、軍事定點通信等領(lǐng)域,比如電子支票的加密傳送。經(jīng)過20多年的使用,已經(jīng)發(fā)現(xiàn)DES很多不足之處,隨著計算機技術(shù)進(jìn)步,對DES的破解方法也日趨有效,所以更安全的高級加密標(biāo)準(zhǔn)AES將會替代DES成為新一代加密標(biāo)準(zhǔn)。
(四)優(yōu)缺點
私有密鑰加密法的主要優(yōu)點是運算量小,加解密速度快,由于加解密應(yīng)用同一把密鑰而應(yīng)用簡單。在專用網(wǎng)絡(luò)中由于通信各方相對固定、所以應(yīng)用效果較好。但是,私有密鑰加密技術(shù)也存在著以下一些問題:一是分發(fā)不易。由于算法公開,其安全性完全依賴于對私有密鑰的保護(hù)。因此,密鑰使用一段時間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對的,通過電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問題。二是管理復(fù)雜,代價高昂。私有密鑰密碼體制用于公眾通信網(wǎng)時,每對通信對象的密鑰不同,必須由不被第三者知道的方式,事先通知對方。隨著通信對象的增加,公眾通信網(wǎng)上的密碼使用者必須保存所有通信對象的大量的密鑰。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題。三是難以進(jìn)行用戶身份的認(rèn)定。采用私有密鑰加密法實現(xiàn)信息傳輸,只是解決了數(shù)據(jù)的機密性問題,并不能認(rèn)證信息發(fā)送者的身份。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發(fā)送偽造信息。在電子商務(wù)中,有可能存在欺騙,別有用心者可能冒用別人的名義發(fā)送資金轉(zhuǎn)賬指令。因此,必須經(jīng)常更換密鑰,以確保系統(tǒng)安全。四是采用私有密鑰加密法的系統(tǒng)比較脆弱,較易遭到不同密碼分析的攻擊。五是它僅能用于對數(shù)據(jù)進(jìn)行加解密處理,提供數(shù)據(jù)的機密性,不能用于數(shù)字簽名。
二、公開密鑰加密法
(一)定義與應(yīng)用原理
公開密鑰加密法是針對私有密鑰加密法的缺陷而提出來的。是電子商務(wù)應(yīng)用的核心密碼技術(shù)。所謂公開密鑰加密,就是指在計算機網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時,發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用另一把密鑰B對收到的密文M進(jìn)行解密,得到明文信息完密文通信目的的方法。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對網(wǎng)絡(luò)上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法。與私有(對稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對稱,所以公開私有密鑰加密法又稱為非對稱密鑰加密法。
公開密鑰加密法的應(yīng)用原理是:借助密鑰生成程序生產(chǎn)密鑰A與密鑰B,這兩把密鑰在數(shù)學(xué)上相關(guān),對稱作密鑰對。用密鑰對其中任何一個密鑰加密時,可以用另一個密鑰解密,而且只能用此密鑰對其中的另一個密鑰解密。在實際應(yīng)用中,某商家可以把生成的密鑰A與密鑰B做一個約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網(wǎng)絡(luò)公開散發(fā)出去,誰都可以獲取一把并能應(yīng)用,屬于公開的共享密鑰,叫做公開密鑰。如果一個人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個人的消息。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對密文進(jìn)行解密,而且非法用戶幾乎不可能從公鑰推導(dǎo)出私鑰。存在下面兩種應(yīng)用情況:一是任何一個收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發(fā)送給這個商家,那么這些加密信息就只能被這個商家的私人密鑰A解密。實現(xiàn)保密性。二是商家利用自己的私人密鑰A對要發(fā)送的信息進(jìn)行加密進(jìn)成密文信息,發(fā)送給商業(yè)合作伙伴,那么這個加密信息就只能被公開密鑰B解密。這樣,由于只能應(yīng)用公開密鑰B解密,根據(jù)數(shù)學(xué)相關(guān)關(guān)系可以斷定密文的形成一定是運用了私人密鑰A進(jìn)行加密的結(jié)果,而私人密鑰A只有商家擁有,由此可以斷定網(wǎng)上收到的密文一定是擁有私人密鑰A的商家發(fā)送的。
(二)使用過程
具體到電子商務(wù),很多環(huán)節(jié)要用到公開密鑰加密法,例如在網(wǎng)絡(luò)銀行客戶與銀行進(jìn)行資金的支付結(jié)算操作時,就涉及大量的資金流信息的安全傳輸與交換。以客戶甲與乙網(wǎng)絡(luò)銀行的資金信息傳輸為例,來描述應(yīng)用公開密鑰加密法在兩種情況下的使用過程。首先,網(wǎng)絡(luò)銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B并數(shù)學(xué)相關(guān),私人密鑰A由網(wǎng)絡(luò)銀行乙自己獨自保存,而公開密鑰B已經(jīng)通過網(wǎng)絡(luò)某種應(yīng)用形式(如數(shù)字證書)分發(fā)給網(wǎng)絡(luò)銀行的眾多客戶,當(dāng)然客戶甲也擁有一把網(wǎng)絡(luò)銀行乙的公開密鑰B。
1、客戶甲傳送一“支付通知”給網(wǎng)絡(luò)銀行乙,要求“支付通知”在傳送中是密文,并且只能由網(wǎng)絡(luò)銀行乙解密知曉,從而實現(xiàn)了定點保密通信。客戶甲利用獲得的公開密鑰B在本地對“支付通知”明文進(jìn)行加密,形成“支付通知”密文,通過網(wǎng)絡(luò)將密文傳輸給網(wǎng)絡(luò)銀行乙。網(wǎng)絡(luò)銀行乙收到“支付通知”密文后,發(fā)現(xiàn)只能用自己的私人密鑰A進(jìn)行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內(nèi)容,的確是發(fā)給自己的。
2、網(wǎng)絡(luò)銀行乙在按照收到的“支付通知”指令完成支付轉(zhuǎn)賬服務(wù)后,必須回送客戶甲“支付確認(rèn)”,客戶甲在收到“支付確認(rèn)”后,斷定只能是網(wǎng)絡(luò)銀行乙發(fā)來的,而不是別人假冒的,將來可作支付憑證,從而實現(xiàn)對網(wǎng)絡(luò)銀行業(yè)務(wù)行為的認(rèn)證,網(wǎng)絡(luò)銀行不能隨意否認(rèn)或抵賴。網(wǎng)絡(luò)用戶乙在按照客戶甲的要求完成相關(guān)資金轉(zhuǎn)賬后,準(zhǔn)備一個“支付確認(rèn)”明文,在本地利用自己的私人密鑰A對“支付確認(rèn)”明文進(jìn)行加密,形成“支付確認(rèn)”密文,通過網(wǎng)絡(luò)將密文傳輸給客戶甲??蛻艏资盏健爸Ц洞_認(rèn)”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發(fā)現(xiàn)只能用獲得的網(wǎng)絡(luò)銀行乙的公開密鑰B進(jìn)行解密,形成“支付確認(rèn)”明文,由于公開密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網(wǎng)絡(luò)銀行乙所有,因此客戶甲斷定這個“支付確認(rèn)”只能是網(wǎng)絡(luò)銀行乙發(fā)來的,不是別人假冒的,可作支付完成的憑證。
(三)算法
當(dāng)前最著名、應(yīng)用最廣泛的公開密鑰系統(tǒng)是RSA(取自三個創(chuàng)始人的名字的第一個字母)算法。目前電子商務(wù)中大多數(shù)使用公開密鑰加密法進(jìn)行加解密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法。RSA算法是基于大數(shù)的因子分解,而大數(shù)的因子分解是數(shù)學(xué)上的一個難題,其難度隨數(shù)的位數(shù)加多而提高。
(四)優(yōu)缺點
優(yōu)點是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發(fā)往任何地方,公鑰在傳遞與過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。
能夠解決信息的否認(rèn)與抵賴問題,身份認(rèn)證較為方便。密鑰分配簡單,公開密鑰可以像電話號碼一樣,告訴每一個網(wǎng)絡(luò)成員,商業(yè)伙伴需要好好保管的只是一個私人密鑰。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便。最大的缺陷就在于它的加解密速度。
三、兩種加密法的比較
通過DES算法和RSA算法的比較說明公開密鑰加密法和私有密鑰加密法的區(qū)別:在加密、解密的處理效率方面,DES算法明顯優(yōu)于RSA算法,即DES算法快得多;在密鑰的分發(fā)與管理方面,RSA算法比DES算法更加優(yōu)越;在安全性方面,只要密鑰夠長,如112b密鑰的DES算法和1024b的RSA算法的安全性就很好,目前還沒找到在可預(yù)見的時間內(nèi)破譯它們的有效方法;在簽名和認(rèn)證方面,DES算法從原理上不可能實現(xiàn)數(shù)字簽名和身份認(rèn)證,但RSA算法能夠方便容易的進(jìn)行數(shù)字簽名和身份認(rèn)證。
基于以上比較的結(jié)果可以看出,私有密鑰加密法與公開密鑰加密法各有長短,公開密鑰加密在簽名認(rèn)證方面功能強大,而私有密鑰加密在加/解密速度方面具有很大優(yōu)勢。為了充分發(fā)揮對稱加密法和非對稱加密法各自的優(yōu)點,在實際應(yīng)用中通常將這兩種加密法結(jié)合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。這樣不僅數(shù)據(jù)信息的加解密速度快,同時保障了密鑰傳遞的安全性。數(shù)據(jù)加密技術(shù)是信息安全的基本技術(shù),在網(wǎng)絡(luò)中使用的越來越廣泛。針對不同的業(yè)務(wù)要求可以設(shè)計或采取不同的加密技術(shù)及實現(xiàn)方式。另外還要注意的是,數(shù)據(jù)加密技術(shù)所討論的安全性只是暫時的,因此還要投入對密碼技術(shù)新機制、新理論的研究才能滿足不斷增長的信息安全需求。
參考文獻(xiàn):
[1]丁學(xué)君.電子商務(wù)中的信息安全問題及其對策[J].計算機安全,2009,(2).
[2]余紹軍,彭銀香.電子商務(wù)安全與數(shù)據(jù)加密技術(shù)淺析[J].中國管理信息化(綜合版),2007,(04).
[3]王俊杰.電子商務(wù)安全問題及其應(yīng)對策略[J].特區(qū)經(jīng)濟,2007,(07).
[4]秦昌友.淺析電子商務(wù)的安全技術(shù)[J].蘇南科技開發(fā),2007,(08).
關(guān)鍵詞:電子商務(wù)信息安全數(shù)據(jù)加密數(shù)字簽名
一、引言
隨著信息技術(shù)和計算機網(wǎng)絡(luò)的迅猛發(fā)展,基于Internet的電子商務(wù)也隨之而生,并在近年來獲得了巨大的發(fā)展。電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式,改變了傳統(tǒng)商務(wù)的運作模式,極大地提高了商務(wù)效率,降低了交易的成本。然而,由于互聯(lián)網(wǎng)開放性的特點,安全問題也自始至終制約著電子商務(wù)的發(fā)展。因此,建立一個安全可靠的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。
二、電子商務(wù)面臨的安全問題
1.信息泄漏。在電子商務(wù)中主要表現(xiàn)為商業(yè)機密的泄露,包括兩個方面:一是交易雙方進(jìn)行交易的內(nèi)容被第三方竊?。欢墙灰滓环教峁┙o另一方使用的文件被第三方非法使用。
2.信息被篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中,可能被他人非法修改、刪除或被多次使用,這樣就使信息失去了真實性和完整性。
3.身份識別。身份識別在電子商務(wù)中涉及兩個方面的問題:一是如果不進(jìn)行身份識別,第三方就有可能假冒交易一方的身份,破壞交易、敗壞被假冒一方的信譽或盜取交易成果;二是不可抵賴性,交易雙方對自己的行為應(yīng)負(fù)有一定的責(zé)任,信息發(fā)送者和接受者都不能對此予以否認(rèn)。進(jìn)行身份識別就是防止電子商務(wù)活動中的假冒行為和交易被否認(rèn)的行為。
4.信息破壞。一是網(wǎng)絡(luò)傳輸?shù)目煽啃?,網(wǎng)絡(luò)的硬件或軟件可能會出現(xiàn)問題而導(dǎo)致交易信息丟失與謬誤;二是惡意破壞,計算機網(wǎng)絡(luò)本身遭到一些惡意程序的破壞,例如病毒破壞、黑客入侵等。
三、電子商務(wù)的安全要素
1.有效性。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。因此,要對一切潛在的威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點是有效的。
2.機密性。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。解決數(shù)據(jù)機密性的一般方法是采用加密手段。
3.完整性。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導(dǎo)致貿(mào)易各方的差異。此外,數(shù)據(jù)傳輸過程中的丟失、重復(fù)或傳送的次序差異也會導(dǎo)致貿(mào)易各方的不同。因此,要預(yù)防對隨意生成、修改和刪除,同時要防止數(shù)據(jù)傳送過程中的丟失和重復(fù)并保證傳送次序的統(tǒng)一。
4.不可抵賴性。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在交易進(jìn)行時,交易各方必須附帶含有自身特征、無法由別人復(fù)制的信息,以保證交易后發(fā)生糾紛時有所對證。
四、電子商務(wù)采用的主要安全技術(shù)手段
1.防火墻技術(shù)。防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。所有來自Internet的傳輸信息或發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。實現(xiàn)防火墻技術(shù)的主要途徑有:分組過濾和服務(wù)。分組過濾:這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張訪問表或黑名單,即借助數(shù)據(jù)分組中的IP地址確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過。防火墻的職責(zé)就是根據(jù)訪問表(或黑名單)對進(jìn)出路由器的分組進(jìn)行檢查和過濾。這種防火墻簡單易行,但不能完全有效地防范非法攻擊。目前,80%的防火墻都是采用這種技術(shù)。服務(wù):是一種基于服務(wù)的防火墻,它的安全性高,增加了身份認(rèn)證與審計跟蹤功能,但速度較慢。所謂審計跟蹤是對網(wǎng)絡(luò)系統(tǒng)資源的使用情況提供一個完備的記錄,以便對網(wǎng)絡(luò)進(jìn)行完全監(jiān)督和控制。通過不斷收集與積累有關(guān)出入網(wǎng)絡(luò)的完全事件記錄,并有選擇地對其中的一些進(jìn)行審計跟蹤,發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù),然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等。防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護(hù),但對網(wǎng)絡(luò)內(nèi)部信息傳輸?shù)陌踩珔s無能為力,實現(xiàn)電子商務(wù)的安全還需要一些保障動態(tài)安全的技術(shù)。
2.數(shù)據(jù)加密技術(shù)。在電子商務(wù)中,數(shù)據(jù)加密技術(shù)是其他安全技術(shù)的基礎(chǔ),也是最主要的安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前,加密技術(shù)分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。對稱加密又稱為私鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。使用對稱加密方法將簡化加密的處理,每個貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。比較著名的對稱加密算法是:美國國家標(biāo)準(zhǔn)局提出的DES(DataEncryptionStandard,數(shù)據(jù)加密標(biāo)準(zhǔn))。對稱加密方式存在的一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因為貿(mào)易雙方共享同一把專用密鑰,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。
(2)非對稱加密。非對稱加密又稱為公鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時,使用不同的密鑰,通信雙方各具有兩把密鑰,即一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應(yīng)的私鑰解密。同樣地,用私鑰加密的數(shù)據(jù)只能用對應(yīng)的公鑰解密。RSA(即Rivest,ShamirAdleman)算法是非對稱加密領(lǐng)域內(nèi)最為著名的算法。貿(mào)易方利用該方案實現(xiàn)機密信息交換的基本過程是:貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開,得到該公開密鑰的貿(mào)易方乙使用該密鑰對機密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把私有密鑰對加密后的信息進(jìn)行解密。貿(mào)易方甲只能用其私有密鑰解密由其公開密鑰加密后的任何信息。為了充分發(fā)揮對稱和非對稱加密體制各自的優(yōu)點,在實際應(yīng)用中通常將這兩種加密體制結(jié)合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。
3.數(shù)字簽名技術(shù)。僅有加密技術(shù)還不足以保證商務(wù)信息傳遞的安全,在確保信息完整性方面,數(shù)字簽名技術(shù)占據(jù)著不可替代的位置。目前數(shù)字簽名的應(yīng)用主要有數(shù)字摘要、數(shù)字簽名和數(shù)字時間戳技術(shù)。
(1)數(shù)字摘要。數(shù)字摘要是對一條原始信息進(jìn)行單向哈希(Hash)函數(shù)變換運算得到的一個長度一定的摘要信息。該摘要與原始信息一一對應(yīng),即不同的原始信息必然得到一個不同的摘要。若信息的完整性遭到破壞,信息就無法通過原始摘要信息的驗證,成為無效信息,信息接收者便可以選擇不再信任該信息。
(2)數(shù)字簽名。數(shù)字簽名實際上是運用公私鑰加密技術(shù)使信息具有不可抵賴性,其具體過程為:文件的發(fā)送方從文件中生成一個數(shù)字摘要,用自己的私鑰對這個數(shù)字摘要進(jìn)行加密,從而形成數(shù)字簽名。這個被加密的數(shù)字簽名文件作為附件和原始文件一起發(fā)送給接收者。接收方收到信息后就用發(fā)送方的公開密鑰對摘要進(jìn)行解密,如果解出了正確的摘要,即該摘要可以確認(rèn)原始文件沒有被更改過。那么說明這個信息確實為發(fā)送者發(fā)出的。于是實現(xiàn)了對原始文件的鑒別和不可抵賴性。
(3)數(shù)字時間戳。數(shù)字時間戳技術(shù)或DTS是對數(shù)字文件或交易信息進(jìn)行日期簽署的一項第三方服務(wù)。本質(zhì)上數(shù)字時間戳技術(shù)與數(shù)字簽名技術(shù)如出一轍。加蓋數(shù)字時間戳后的信息不能進(jìn)行偽造、篡改和抵賴,并為信息提供了可靠的時間信息以備查用。
五、小結(jié)
本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù):防火墻技術(shù),數(shù)據(jù)加密技術(shù),數(shù)字簽名技術(shù),以及安全協(xié)議,指出了它們使用范圍及其優(yōu)缺點。但必須強調(diào)說明的是,電子商務(wù)的安全運行,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。
參考文獻(xiàn):
[1]謝紅燕:電子商務(wù)的安全問題及對策研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(自然科學(xué)版),2007,(3):350-358
[2]彭禹皓蘭波曉玲:電子商務(wù)的安全性探討[J].集團經(jīng)濟研究,2007,(232):216-217
[摘要]Intenet所具有的開放性是電子商務(wù)方便快捷、廣泛傳播的基礎(chǔ),而開放性本身又會使網(wǎng)上交易面臨種種危險。安全問題始終是電子商務(wù)的核心和關(guān)鍵問題。
[關(guān)鍵詞]電子商務(wù)安全網(wǎng)絡(luò)安全商務(wù)安全
2003年對中國來說是個多事之秋,先是SARS肆虐后接高溫威脅。但對電子商務(wù)來說,卻未必不是好事:更多的企業(yè)、個人及其他各種組織,甚至包括政府都在積極地推動電子商務(wù)的發(fā)展,越來越多的人投入到電子商務(wù)中去。電子商務(wù)是指發(fā)生在開放網(wǎng)絡(luò)上的商務(wù)活動,現(xiàn)在主要是指在Internet上完成的電子商務(wù)。
Intenet所具有的開放性是電子商務(wù)方便快捷、廣泛傳播的基礎(chǔ),而開放性本身又會使網(wǎng)上交易面臨種種危險。一個真正的電子商務(wù)系統(tǒng)并非單純意味著一個商家和用戶之間開展交易的界面,而應(yīng)該是利用Web技術(shù)使Web站點與公司的后端數(shù)據(jù)庫系統(tǒng)相連接,向客戶提供有關(guān)產(chǎn)品的庫存、發(fā)貨情況以及賬款狀況的實時信息,從而實現(xiàn)在電子時空中完成現(xiàn)實生活中的交易活動。這種新的完整的電子商務(wù)系統(tǒng)可以將內(nèi)部網(wǎng)與Internet連接,使小到本企業(yè)的商業(yè)機密、商務(wù)活動的正常運轉(zhuǎn),大至國家的政治、經(jīng)濟機密都將面臨網(wǎng)上黑客與病毒的嚴(yán)峻考驗。因此,安全性始終是電子商務(wù)的核心和關(guān)鍵問題。
電子商務(wù)的安全問題,總的來說分為二部分:一是網(wǎng)絡(luò)安全,二是商務(wù)安全。計算機網(wǎng)絡(luò)安全的內(nèi)容包括:計算機網(wǎng)絡(luò)設(shè)備安全,計算機網(wǎng)絡(luò)系統(tǒng)安全,數(shù)據(jù)庫安全,工作人員和環(huán)境等。其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題,實施網(wǎng)絡(luò)安全增強方案,以保證計算機網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)安全則緊緊圍繞傳統(tǒng)商務(wù)在Internet上應(yīng)用時產(chǎn)生的各種安全問題,在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過程的順利進(jìn)行。即實現(xiàn)電子商務(wù)的保密性,完整性,可鑒別性,不可偽造性和不可依賴性。
一、網(wǎng)絡(luò)安全問題
一般來說,計算機網(wǎng)絡(luò)安全問題是計算機系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計算機網(wǎng)絡(luò)的潛在威脅。一方面,計算機系統(tǒng)硬件和通信設(shè)施極易遭受自然環(huán)境的影響(如溫度、濕度、電磁場等)以及自然災(zāi)害和人為(包括故意破壞和非故意破壞)的物理破壞;另一方面計算機內(nèi)的軟件資源和數(shù)據(jù)易受到非法的竊取、復(fù)制、篡改和毀壞等攻擊;同時計算機系統(tǒng)的硬件、軟件的自然損耗等同樣會影響系統(tǒng)的正常工作,造成計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)信息的損壞、丟失和安全事故。
二、計算機網(wǎng)絡(luò)安全體系
一個全方位的計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù),在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線,極大地增加了惡意攻擊的難度,并增加了審核信息的數(shù)量,利用這些審核信息可以跟蹤入侵者。
在實施網(wǎng)絡(luò)安全防范措施時,首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;其次要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析,找出可能存在的安全隱患,并及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火墻,加強授權(quán)管理和認(rèn)證;利用RAID5等數(shù)據(jù)存儲技術(shù)加強數(shù)據(jù)備份和恢復(fù)措施。
對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施;對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行強度的數(shù)據(jù)加密;安裝防病毒軟件,加強內(nèi)部網(wǎng)的整體防病毒措施;建立詳細(xì)的安全審計日志,以便檢測并跟蹤入侵攻擊等。
網(wǎng)絡(luò)安全技術(shù)是伴隨著網(wǎng)絡(luò)的誕生而出現(xiàn)的,但直到80年代末才引起關(guān)注,90年代在國外獲得了飛速的發(fā)展。近幾年頻繁出現(xiàn)的安全事故引起了各國計算機安全界的高度重視,計算機網(wǎng)絡(luò)安全技術(shù)也因此出現(xiàn)了日新月異的變化。安全核心系統(tǒng)、VPN安全隧道、身份認(rèn)證、網(wǎng)絡(luò)底層數(shù)據(jù)加密和網(wǎng)絡(luò)入侵主動監(jiān)測等越來越高深復(fù)雜的安全技術(shù)極大地從不同層次加強了計算機網(wǎng)絡(luò)的整體安全性。安全核心系統(tǒng)在實現(xiàn)一個完整或較完整的安全體系的同時也能與傳統(tǒng)網(wǎng)絡(luò)協(xié)議保持一致。它以密碼核心系統(tǒng)為基礎(chǔ),支持不同類型的安全硬件產(chǎn)品,屏蔽安全硬件以變化對上層應(yīng)用的影響,實現(xiàn)多種網(wǎng)絡(luò)安全協(xié)議,并在此之上提供各種安全的計算機網(wǎng)絡(luò)應(yīng)用。
互聯(lián)網(wǎng)已經(jīng)日漸融入到人類社會的各個方面中,網(wǎng)絡(luò)防護(hù)與網(wǎng)絡(luò)攻擊之間的斗爭也將更加激烈。這就對網(wǎng)絡(luò)安全技術(shù)提出了更高的要求。未來的網(wǎng)絡(luò)安全技術(shù)將會涉及到計算機網(wǎng)絡(luò)的各個層次中,但圍繞電子商務(wù)安全的防護(hù)技術(shù)將在未來的幾年中成為重點,如身份認(rèn)證,授權(quán)檢查,數(shù)據(jù)安全,通信安全等將對電子商務(wù)安全產(chǎn)生決定性影響。
三、商務(wù)安全要求
作為一個成功的電子商務(wù)系統(tǒng),首先要消除客戶對交易過程中安全問題的擔(dān)心才能夠吸引用戶通過WEB購買產(chǎn)品和服務(wù)。使用者擔(dān)心在網(wǎng)絡(luò)上傳輸?shù)男庞每皞€人資料被截取,或者是不幸遇到“黑店”,信用卡資料被不正當(dāng)運用;而特約商店也擔(dān)心收到的是被盜用的信用卡號碼,或是交易不認(rèn)賬,還有可能因網(wǎng)絡(luò)不穩(wěn)定或是應(yīng)用軟件設(shè)計不良導(dǎo)致被黑客侵入所引發(fā)的損失。由于在消費者、特約商店甚至與金融單位之間,權(quán)責(zé)關(guān)系還未徹底理清,以及每一家電子商場或商店的支付系統(tǒng)所使用的安全控管都不盡相同,于是造成使用者有無所適從的感覺,因擔(dān)憂而猶豫不前。因些,電子商務(wù)順利開展的核心和關(guān)鍵問題是保證交易的安全性,這是網(wǎng)上交易的基礎(chǔ),也是電子商務(wù)技術(shù)的難點。
用戶對于安全的需求主要包括以下幾下方面:
1.信息的保密性。交易中的商務(wù)信息均有保密的要求。如信用卡的賬號和用戶被人知悉,就可能被盜用;定貨和付款信息被競爭對手獲悉,就可能喪失商機。因此在電子商務(wù)中的信息一般都有加密的要求。
2.交易者身份的確定性。網(wǎng)上交易的雙方很可能素昧平生,相隔千里。因此,要使交易能夠成功,首先要想辦法確認(rèn)對方的身份。對商家而言,要考慮客戶端是否是騙子,而客戶也會擔(dān)心網(wǎng)上的商店是否是黑店。因此,能方便而可靠地確認(rèn)對方身份是交易的前提。
3.交易的不可否認(rèn)性。交易一旦達(dá)成,是不能被否認(rèn)的,否則必然會損害一方的利益。因此電子交易過程中通信的各個環(huán)節(jié)都必須是不可否認(rèn)的。主要包括:源點不可否認(rèn):信息發(fā)送者事后無法否認(rèn)其發(fā)送了信息。接收不可否認(rèn):信息接收方無法否認(rèn)其收到了信息。回執(zhí)不可否認(rèn):發(fā)送責(zé)任回執(zhí)的各個環(huán)節(jié)均無法推脫其應(yīng)負(fù)的責(zé)任。
4.交易內(nèi)容的完整性。交易的文件是不可以被修改的,否則必然會損害交易的嚴(yán)肅性和公平性。
5.訪問控制。不同訪問用戶在一個交易系統(tǒng)中的身份和職能是不同的,任何合法用戶只能訪問系統(tǒng)中授權(quán)和指定的資源,非法用戶將拒絕訪問系統(tǒng)資源。
四、電子商務(wù)安全交易標(biāo)準(zhǔn)
近年來,針對電子交易安全的要求,IT業(yè)界與金融行業(yè)一起,推出不少有效的安全交易標(biāo)準(zhǔn)和技術(shù)。主要的協(xié)議標(biāo)準(zhǔn)有:
1.安全超文本傳輸協(xié)議(S—HTTP):依靠對密鑰的加密,保障Web站點間的交易信息傳輸?shù)陌踩浴?/p>
2.安全套接層協(xié)議(SSL):由Netscape公司提出的安全交易協(xié)議,提供加密、認(rèn)證服務(wù)和報文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器,以完成需要的安全交易操作。
3.安全交易技術(shù)協(xié)議(STT,SecureTransactionTechnology):由Microsoft公司提出,STT將認(rèn)證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在InternetExplorer中采用這一技術(shù)。
4.安全電子交易協(xié)議(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標(biāo)準(zhǔn)SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認(rèn)證、數(shù)據(jù)簽名等。SET2.0預(yù)計今年,它增加了一些附加的交易要求。這個版本是向后兼容的,符合SET1.0的軟件并不必要跟著升級,除非它需要新的交易要求。SET規(guī)范明確的主要目標(biāo)是保障付款安全,確定應(yīng)用之互通性,并使全球市場接受。
所有這些安全交易標(biāo)準(zhǔn)中,SET標(biāo)準(zhǔn)以推廣利用信用卡支付網(wǎng)上交易,而廣受各界矚目,它將成為網(wǎng)上交易安全通信協(xié)議的工業(yè)標(biāo)準(zhǔn),有望進(jìn)一步推動Internet電子商務(wù)市場。
五、商務(wù)安全的關(guān)鍵CA認(rèn)證
怎樣解決電子商務(wù)安全問題呢?國際通行的做法是采用CA安全認(rèn)證系統(tǒng)。CA是CertificateAuthority的縮寫,是證書授權(quán)的意思。在電子商務(wù)系統(tǒng)中,所有實體的證書都是由證書授權(quán)中心即CA中心分發(fā)并簽名的。一個完整、安全的電子商務(wù)系統(tǒng)必須建立起一個完整、合理的CA體系。CA機構(gòu)應(yīng)包括兩大部門:一是審核授權(quán)部門,它負(fù)責(zé)對證書申請者進(jìn)行資格審查,決定是否同意給該申請者發(fā)放證書,并承擔(dān)因?qū)徍隋e誤引起的一切后果,因此它應(yīng)由能夠承擔(dān)這些責(zé)任的機構(gòu)擔(dān)任;另一個是證書操作部門,負(fù)責(zé)為已授權(quán)的申請者制作、發(fā)放和管理證書,并承擔(dān)因操作運營所產(chǎn)生的一切后果,包括失密和為沒有獲得授權(quán)者發(fā)放證書等,它可以由審核授權(quán)部門自己擔(dān)任,也可委托給第三方擔(dān)任。
CA體系主要解決幾大問題:1.解決網(wǎng)絡(luò)身份證的認(rèn)證以保證交易各方身份是真實的;2.解決數(shù)據(jù)傳輸?shù)陌踩砸员WC在網(wǎng)絡(luò)中流動的數(shù)據(jù)沒有受到破壞或篡改;3.解決交易的不可抵賴性以保證對方在網(wǎng)上說的話是真實的。
需要注意的是,CA認(rèn)證中心并不是安全機構(gòu),而是一個發(fā)放”身份證”的機構(gòu),相當(dāng)于身份的”公證處”。因此,企業(yè)開展電子商務(wù)不僅要依托于CA認(rèn)證機構(gòu),還需要一個專業(yè)機構(gòu)作為外援來解決配置什么安全產(chǎn)品、怎樣設(shè)置安全策略等問題。外援的最合適人選當(dāng)然非那些提供信息安全軟硬件產(chǎn)品的廠商莫屬了。好的IT廠商,會讓用戶在部署安全策略時少走許多彎路。在選擇外援時,用戶為了節(jié)省成本,避免損失,應(yīng)該把握幾個基本原則:1.要知道自己究竟需要什么;2.要了解廠商的信譽;3.要了解廠商推薦的安全產(chǎn)品;4.用戶要有一雙”火眼金睛”,對項目的實施效果能夠正確加以評估。有了這些基本的安全思路,用戶可以少走許多彎路。
六、相應(yīng)法律法規(guī)
電子商務(wù)要健康有序地發(fā)展,就像傳統(tǒng)商務(wù)一樣,也必須有相應(yīng)的法律法規(guī)作后盾。商務(wù)過程中不可避免地會產(chǎn)生一些矛盾,電子商務(wù)也一樣。在電子商務(wù)中,合同的意義和作用沒有發(fā)生改變,但其形式卻發(fā)生了極大的變化,1.訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作,其信用依靠密碼的辨認(rèn)或認(rèn)證機構(gòu)的認(rèn)證。2.傳統(tǒng)合同的口頭形式在貿(mào)易上常常表現(xiàn)為店堂交易,并將商家所開具的發(fā)票作為合同的依據(jù)。而在電子商務(wù)中標(biāo)的額較小、關(guān)系簡單的交易沒有具體的合同形式,表現(xiàn)為直接通過網(wǎng)絡(luò)訂購、付款,例如利用網(wǎng)絡(luò)直接購買軟件。3.表示合同生效的傳統(tǒng)簽字蓋章方式被數(shù)字簽名所代替。
電子商務(wù)合同形式的變化,對于世界各國都帶來了一系列法律新問題。電子商務(wù)作為一種新的貿(mào)易形式,與現(xiàn)存的合同法發(fā)生矛盾是非常容易理解的事情。但對于法律法規(guī)來說,就有一個怎樣修改并發(fā)展現(xiàn)存合同法,以適應(yīng)新的貿(mào)易形式的問題。
七、小結(jié)
在計算機互聯(lián)網(wǎng)絡(luò)上實現(xiàn)的電子商務(wù)交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務(wù)系統(tǒng)在保證其計算機網(wǎng)絡(luò)硬件平臺和系統(tǒng)軟件平臺安全的基礎(chǔ)上,應(yīng)該還具備以下特點:強大的加密保證;使用者和數(shù)據(jù)的識別和鑒別;存儲和加密數(shù)據(jù)的保密;連網(wǎng)交易和支付的可靠;方便的密鑰管理;數(shù)據(jù)的完整、防止抵賴。電子商務(wù)對計算機網(wǎng)絡(luò)安全與商務(wù)安全的雙重要求,使電子商務(wù)安全的復(fù)雜程度比大多數(shù)計算機網(wǎng)絡(luò)更高,因此電子商務(wù)安全應(yīng)作為安全工程,而不是解決方案來實施。
參考文獻(xiàn):
[1]《電子商務(wù)基礎(chǔ)》尚建成主編高等教育出版社出版2000.9
模擬試題
一、判斷題(每題2分)
1.信息安全保護(hù)能力技術(shù)要求分類中,業(yè)務(wù)信息安全類記為A。
錯誤
2.OSI安全體系結(jié)構(gòu)標(biāo)準(zhǔn)不是一個實現(xiàn)的標(biāo)準(zhǔn),而是描述如何設(shè)計標(biāo)準(zhǔn)的標(biāo)準(zhǔn)。正確
3.只靠技術(shù)就能夠?qū)崿F(xiàn)安全。
錯誤
4.災(zāi)難恢復(fù)和容災(zāi)是同一個意思。
正確
5.VPN與防火墻的部署關(guān)系通常分為串聯(lián)和并聯(lián)兩種模式。
正確
6.美國的布什切尼政府把信息高速公路,互聯(lián)網(wǎng)的發(fā)展推動起來了。
錯誤
7.兩種經(jīng)濟形態(tài)并存的局面將成為未來世界競爭的主要格局。
正確
8.電子商務(wù)是成長潛力大,綜合效益好的產(chǎn)業(yè)。
正確
9.電子商務(wù)促進(jìn)了企業(yè)基礎(chǔ)架構(gòu)的變革和變化。
正確
10.在企業(yè)推進(jìn)信息化的過程中應(yīng)認(rèn)真防范風(fēng)險。
正確
11.科研課題/項目是科學(xué)研究的主要內(nèi)容,也是科學(xué)研究的主要實踐形式,更是科研方法的應(yīng)有實踐范疇,是科研管理的主要抓手。
正確
12.科研方法注重的是研究方法的指導(dǎo)意義和學(xué)術(shù)價值。
錯誤
13.西方的“方法”一詞來源于英文。
錯誤
14.科學(xué)觀察可以分為直接觀察和間接觀察。
正確
15.統(tǒng)計推論目的是對整理出的數(shù)據(jù)進(jìn)行加工概括,從多種角度顯現(xiàn)大量資料所包含的數(shù)量特征和數(shù)量關(guān)系。
錯誤
16.學(xué)術(shù)論文是學(xué)位申請者為申請學(xué)位而提交的具有一定學(xué)術(shù)價值的論文。
錯誤
17.期刊論文從投稿到發(fā)表需要有一個編輯評價的標(biāo)準(zhǔn),但是它更需要有一個質(zhì)量的監(jiān)控體系、監(jiān)控體制。
正確
18.科研成果是衡量科學(xué)研究任務(wù)完成與否、質(zhì)量優(yōu)劣以及科研人員貢獻(xiàn)大小的重要標(biāo)志。正確
19.一稿多投產(chǎn)生糾紛的責(zé)任一般情況由作者承擔(dān)。
正確
20.知識產(chǎn)權(quán)保護(hù)的工程和科技創(chuàng)新的工程是一個系統(tǒng)的工程,不是由某一個方法單獨努力就能做到的,需要國家、單位和科研工作者共同努力。
正確
二、單項選擇(每題2分)
21.信息安全的安全目標(biāo)不包括(C)。
A、保密性
B、完整性
D、可用性
22.《計算機信息系統(tǒng)安全保護(hù)條例》規(guī)定,(B)主管全國計算機信息安全保護(hù)工作。
A、國家安全部
B、公安部
C、國家保密局
D、教育部
23.《計算機信息系統(tǒng)安全保護(hù)條例》第14條規(guī)定:“對計算機信息中發(fā)生案件,有關(guān)使用單位應(yīng)當(dāng)在24小時內(nèi)向當(dāng)?shù)兀˙)人民政府公安機關(guān)報告?!?/p>
A、區(qū)級以上
B、縣級以上
C、市級以上
D、省級以上
24.根據(jù)SHARE 78標(biāo)準(zhǔn),在(D)級情況下,備份中心處于活動狀態(tài),網(wǎng)絡(luò)實時傳送數(shù)據(jù)、流水日志、系統(tǒng)處于工作狀態(tài),數(shù)據(jù)丟失與恢復(fù)時間一般是小時級的。
A、本地冗余設(shè)備級
B、應(yīng)用冷備級
C、數(shù)據(jù)零丟失級
D、應(yīng)用系統(tǒng)溫備級
25.(A)是密碼學(xué)發(fā)展史上唯一一次真正的革命。
A、公鑰密碼體制
B、對稱密碼體制
C、非對稱密碼體制
D、加密密碼體制
26.以下(C)不屬于計算機病毒特征。
A、潛伏性
B、傳染性
C、免疫性
D、破壞性
27.在進(jìn)行網(wǎng)絡(luò)部署時,(B)在網(wǎng)絡(luò)層上實現(xiàn)加密和認(rèn)證。
A、防火墻
B、VPN
C、IPSec
D、入侵檢測
28.美國(A)政府提出來網(wǎng)絡(luò)空間的安全戰(zhàn)略
A、布什切尼
B、克林頓格爾
C、奧巴馬克林頓
D、肯尼迪
29.對于電子商務(wù)發(fā)展存在的問題,下列說法中錯誤的是(C)
A、推進(jìn)電子商務(wù)發(fā)展的體制機制有待健全
B、電子商務(wù)發(fā)展的制度環(huán)境不完善
C、電子商務(wù)的商業(yè)模式成熟
D、電子商務(wù)對促進(jìn)傳統(tǒng)生產(chǎn)經(jīng)營模
30.下列選項中,不屬于電子商務(wù)規(guī)劃框架的是(C)
A、應(yīng)用
B、服務(wù)
C、物流
D、環(huán)境
31.(D)是創(chuàng)新的基礎(chǔ)。
A、技術(shù)
C、人才
D、知識
32.兩大科研方法中的假設(shè)演繹法以(B)為代表。
A、達(dá)爾文的《進(jìn)化論》
B、笛卡爾的《論方法》
C、馬克思的《資本論》
D、弗蘭西斯?培根的《新工具》
33.以下不屬于理論創(chuàng)新的特征的是(D)
A、繼承性
B、斗爭性
C、時代性
D、減速性
34.(A)主要是應(yīng)用已有的理論來解決設(shè)計、技術(shù)、工藝、設(shè)備、材料等具體技術(shù)問題而取得的。
A、科技論文
B、學(xué)術(shù)論文
C、會議論文
D、學(xué)位論文
35.(B)是通過查閱相關(guān)的紙質(zhì)或電子文獻(xiàn)資料或者通過其他途徑獲得的行業(yè)內(nèi)部資料或信息等。
A、直接材料
B、間接材料
C、加工整理的材料c
D、實驗材料
36.(C)是整個文章的整體設(shè)計,不僅能指導(dǎo)和完善文章的具體寫作,還能使文章所表達(dá)的內(nèi)容條理化、系統(tǒng)化、周密化。
A、摘要
B、引言
C、寫作提綱
D、結(jié)論
37.期刊論文的發(fā)表載體是(C)。
A、娛樂雜志
B、生活雜志
C、學(xué)術(shù)期刊
D、新聞報紙
38.(B)是指科研課題的執(zhí)行人在科研過程中要向科研主管部門或課題委托方匯報研究工作的進(jìn)度情況以及提交階段性成果的書面材料。
A、開題報告
B、中期報告
C、結(jié)項報告
D、課題報告
39.我國于(A)年實施了《專利法》。
A、1985
B、1986
C、1987
D、1988
40.知識產(chǎn)權(quán)具有專有性,不包括以下哪項(D)。
A、排他性
B、獨占性
C、可售性
三、多項選擇(每題2分)
41.我國信息安全管理政策主要包括(ACD)。
A、法律體系
B、行政體系
C、政策體系
D、強制性技術(shù)標(biāo)準(zhǔn)
E、道德體系
42.信息系統(tǒng)安全的總體要求是(ABCD)的總和。
A、物理安全
B、系統(tǒng)安全
C、網(wǎng)絡(luò)安全
D、應(yīng)用安全
E、基礎(chǔ)安全
43.網(wǎng)絡(luò)隔離技術(shù)發(fā)展經(jīng)歷了五個階段:(ABCDE)。
A、完全的物理隔離階段
B、硬件的隔離階段
C、數(shù)據(jù)轉(zhuǎn)播隔離階段
D、空氣開關(guān)隔離階段
E、完全通道隔離階段
44.以下屬于我國電子政務(wù)安全工作取得的新進(jìn)展的有(ABCDE)
A、重新成立了國家網(wǎng)絡(luò)信息安全協(xié)調(diào)小組
B、成立新一屆的國家信息化專家咨詢委員會
C、信息安全統(tǒng)一協(xié)作的職能得到加強
D、協(xié)調(diào)辦公室保密工作的管理得到加強
E、信息內(nèi)容的管理或網(wǎng)絡(luò)治理力度得到了加強
45.下列說法正確的是(ABCDE)
A、電子商務(wù)產(chǎn)業(yè)是以重大技術(shù)突破和重大發(fā)展需求為基礎(chǔ)的新興產(chǎn)業(yè)
B、電子商務(wù)對經(jīng)濟社會全局和長遠(yuǎn)發(fā)展具有重大引領(lǐng)帶動作用
C、電子商務(wù)是知識技術(shù)密集的產(chǎn)業(yè)
D、電子商務(wù)是物質(zhì)資源消耗少的產(chǎn)業(yè)
E、應(yīng)把優(yōu)先發(fā)展電子商務(wù)服務(wù)業(yè)放到重要位置
46.科研論文按發(fā)表形式分,可以分為(ABE)
A、期刊論文
B、學(xué)術(shù)論文
C、實驗論文
D、應(yīng)用論文
E、會議論文
47.學(xué)術(shù)期刊的文章類型有(ABC)。
A、綜述性的文章
B、專欄性的文章
C、報道性的文章
D、文言文
E、以上都正確
48.期刊發(fā)表的周期有(BCDE)。
A、日刊
B、周刊
C、半月刊
D、月刊
E、旬刊
49.知識產(chǎn)權(quán)的三大特征是(ABC)。
B、時間性
C、地域性
D、大眾性
E、以上都不正確
50.從個人層面來講,知識產(chǎn)權(quán)保護(hù)的措施有(ABC)。
A、在日常的科研行為中一定要有相應(yīng)的行動策略
B、在科研轉(zhuǎn)化的過程中,要注意保護(hù)自己的著作權(quán)
C、作品發(fā)表后或者出版后,還要對后續(xù)的收益給予持續(xù)的關(guān)注和有效的維護(hù)