第1章電子商務安全與管理簡介
1.1電子商務面臨的安全問題
1的安全問題。1.1電子商務網絡系統本身。
1.1.2電子商務交易信息傳輸中的安全問題
1.1.3電子商務企業內部安全管理
1.1.4電子商務安全的法律保護
1.1.5電子商務的信用安全
1.1.6電子商務安全支付問題
1.2電子商務流程
1的基本交易流程。2.1電子商務
1.2.2網上商品交易流程
1.3電子商務模式
長度3.1網上直銷電子商務模式
1.3.2網上中介電子商務模式
1.4電子商務安全管理
對1安全管理的思考。4.1電子商務
1.4.2電子商務安全管理方法
復習練習
思考問題
第二章溝通過程中的安全風險
2.1互聯網安全和風險
2.1.1風險分析理論
2.1.2互聯網安全風險分析
2.1.3互聯網上最容易受到攻擊的薄弱環節
2.2互聯網通信協議中的安全風險
2.2.1互聯網通信協議簡介
2.2.2互聯網協議中的安全風險
2.3互聯網應用風險
2.3.1文件傳輸(FTP)安全問題
2.3.2遠程登錄(Telnet)安全問題
2.3.3 WWW安全問題
2.3.4電子郵件安全問題
2 . 3 . 5 DNS服務的安全問題
2.3.6網絡文件系統(NFS)安全問題
復習練習
思考問題
第三章通信過程中的安全控制
3.1加密技術,確保不安全網絡的安全通信
3的理論基礎。1.1密碼術
3.1.2對稱密鑰加密技術
3.1.3公鑰加密技術
3.2電子商務應用安全協議
3.2.1安全套接字層(SSL)協議
3.2.2安全電子交易(SET)協議
3.2.3其他安全協議
3.3數字證書
3.3.1原理與數字證書認證
3.3.2認證中心(CA)
3.4公鑰基礎設施
公鑰基礎設施簡介
3 . 4 . 2 PKI技術的信任服務及其意義
3.4.3 PKI標準和架構
3.4.4公鑰基礎設施的應用
復習練習
思考問題
第四章網站的安全風險
4.1信息安全和計算機犯罪
4的信息安全。1.1網站
4.1.2防病毒管理
4.1.3計算機犯罪
4.2訪問控制(認證系統)中的安全風險
4.2.1密碼選擇
4.2.2種常見的密碼捕獲方法
4.2.3密碼文件的保護
4.3 www、Gopher和FTP信息服務的安全風險
4 . 3 . 1 WWW服務器安全風險
4 . 3 . 2 gopher服務器的安全風險
4.3.3匿名FTP服務器的安全風險
復習練習
思考問題
第五章網站的安全控制
5.1系統安全的標準和組織
5.1.1黃皮書(美國)(TCSEC)
5.1.2歐洲ITSEC標準目錄
5.2網站安全配置
5 . 2 . 1 Windows NT環境下常用服務器的安裝和配置
5.2.2網站的安全配置
5.3防火墻的體系結構、分類和功能
5.3.1防火墻的定義和用途
5.3.2防火墻的主要設計特征
5.3.3防火墻系統的架構
5.3.4基於包過濾的防火墻
5.3.5線中繼器和應用網關防火墻
5.3.6防火墻系統的局限性
5.4入侵模擬器
5.4.1入侵模擬器概述
5.4.2系統安全檢查軟件
5.4.3其他監控工具
5.5數據庫安全控制
5.5.1安全性
5.5.2誠信
5.5.3並發控制
5.5.4數據庫恢復
復習練習
思考問題
第6章不安全系統中的業務風險和管理
6.1與不安全通信網絡相關的風險
6.1.1消費者面臨的風險
6.1.2銷售代理面臨的風險
6.2與內部網相關的風險
6.2.1離職員工的破壞性活動
6.2.2在職員工的威脅
6.3貿易夥伴之間商業交易數據傳輸的風險
6.3.1內聯網、外聯網和互聯網之間的關系
6.3.2數據攔截
6.3.3由保密措施維護的檔案文件、主文件和參考數據面臨的風險
6.4風險管理模式
6.4.1風險管理模式
6.4.2電子商務風險類型
6.4.3內部控制系統
6.4.4內部控制在風險管理中的作用
6.5風險控制和實施計劃
6.5.1控制支出不足,控制支出風險
6.5.2災害救援計劃
6.6電子商務的第三方擔保
6.6.1標準配方
6.6.2合法性的確認
6.6.3影響機制
6.6.4爭端解決
6.7智能代理與電子商務
6.7.1智能代理的定義
6.7.2智能代理的能力
6.7.3代理組合
6.7.4智能代理與電子商務
6.7.5代理的限制
6.7.6代理和安全
復習練習
思考問題
第七章電子商務的法律和監管環境
7.1國內外電子商務立法現狀
7.1.1國外電子商務立法現狀
7.1.2中國電子商務立法的現狀
7.2與加密技術相關的政策和法律問題
7.2.1密鑰長度問題
7.2.2密鑰第三方保存和密鑰恢復
7.2.3國際加密問題
7.3網絡隱私問題
7.3.1隱私和網絡隱私概述
7.3.2侵犯網絡隱私權的根源
7.3.3國外網絡隱私權的法律保護
7.3.4網絡隱私權的法律保護
7.4網絡鏈接的法律問題
7.4.1網絡鏈接概述
7.4.2 .網絡鏈接引起的糾紛和法律糾紛
7.5 .域名侵權糾紛
7.5.1域名的概念、法律特征和功能
7.5.2域名侵權糾紛的界定
7.5.3域名侵權糾紛的形式
7.5.4國外關於域名侵權糾紛的立法
7.5.5我國域名侵權糾紛的立法現狀
7.6電子商務稅收問題
7.6.1稅收基礎理論
7.6.2電子商務對現行稅制的挑戰和影響
7.6.3國外電子商務稅收對策
7.6.4中國電子商務稅收政策的選擇
復習練習
思考問題
附錄a國際電子商務立法大事記
附錄b中國電子商務的頒布和實施
附錄C與網絡安全相關的請求描述(RFC)索引
*國立中正大學資訊工程研究所教授、教育部諮詢室主任。
* *國立中正大學資訊工程研究所博士生
序
互聯網和萬維網是20世紀末最流行、影響最深遠的信息技術。由於互聯網的蓬勃發展和快速增長,其深遠的特點,以及WWW技術的推動,互聯網已成為現代最大的信息傳播網絡和營銷媒體。在可預見的未來,網絡空間必將發展成為21世紀最大的購物中心。
以互聯網為應用骨幹的電子商務,不僅給企業帶來了無限商機,也為商業競爭提供了優勢,並逐漸影響到國家整體經濟的競爭力。因此,國內許多企業和商家紛紛投資於這壹新興的電子商城,政府相關單位也積極制定相關政策,制定各種對策,而學術研究機構也致力於安全交易架構和技術的研發,以應對這壹波電子商務熱潮中產生的信息安全問題和交易糾紛。
本文主要討論了電子商務的交易安全,並介紹了電子支付系統。
壹、電子商務簡介
首先,我們簡單介紹壹下電子商務。電子商務的發展源於企業簡化內部運作流程、改善與客戶的互動以及企業與商業夥伴之間交換信息的需要。銀行之間通過網絡進行電子資金轉換、企業之間進行電子支付以及連鎖企業通過網絡進行電子數據交換(EDI)和電子郵件傳輸等常見應用[1,2,3,4]。直到公元1990年代,互聯網上才出現了WWW技術,不僅為互聯網提供了多樣化的信息傳播方式,也使電子商務的發展變得更加容易。電子商務為企業提供了更廉價的廣告營銷和交易方式,開辟了虛擬的電子商城[4],創造了更多的商機。
利用全球信息共享和廣告可以降低營銷成本,並提供快速反應和低成本的客戶服務,因此大多數企業被電子商務提供的經濟效益和廣闊無邊界的消費市場所吸引,並積極攻擊這種網上購物商城以保持競爭力。我們可以說,所有通過互聯網進行的信息傳遞、產品營銷、服務或支付等商務活動都屬於電子商務的範疇。
二、電子商務架構
電子商務不僅改變了交易的方式(沒有實體的信息商品、信息服務和電子貨幣),而且與傳統市場有很大不同。接下來,我們將介紹電子商務的壹般框架(如圖1 [2])。
圖1電子商務的壹般架構
(壹)、網絡基礎設施
所謂網絡空間,除了現有的信息網絡之外,還要整合不同類型的傳輸系統和各種形式的傳輸網絡,包括局域網、電話線、有線電視網、廣播和衛星通信系統,發展成為信息高速公路系統。有了完整快捷的信息網絡,各種多媒體數據(包括文字、聲音、圖像、圖形、電影)都可以在網絡上暢通無阻。通過不同形式的相互連接的傳輸網絡,我們可以在家裏使用個人電腦通過電話撥號連接到互聯網,訪問美國迪士尼公司的主機,瀏覽該公司的各種產品,或欣賞最新的動畫電影。
(二),多媒體內容和網絡出版基礎設施
信息高速公路是實現多媒體數據傳輸的傳輸基礎。WWW是目前最流行的網絡出版和資源共享技術。個人或企業可以通過超文本標記語言(簡稱HTML)的描述,方便地在Web服務器上發布研究成果或產品信息。除了HTML,各種可視化或面向對象的語言(如JAVA、VB)也有相關技術支持多媒體內容和網絡發布。
(3)、信息傳輸和信息收發基礎設施
數字信息在網絡上傳輸時是由壹系列0和1組成的。沒有數據類型或格式的相關信息,就無法分辨信息的原始含義(可能是文字、數字、聲音或圖像)。因此,消息傳輸方法應該為格式化或未格式化的數據提供通信方法,並且在發送和接收信息時必須同時處理數據解釋和轉換。為了保證電子商務的安全性,消息傳輸方式必須保證消息在傳輸過程中沒有被他人秘密復制或篡改。
(4)壹般商業服務基礎設施
商業服務基礎設施主要是解決網上支付工具的短缺和缺乏堅實的信息安全保護。為了使網上支付成功並確保相關信息的安全傳輸,支付服務的基礎設施必須開發具有密碼編碼和身份認證的方法,以確保信息在網絡上傳輸的安全性並防止假冒交易。因此,研究和開發安全的交易和安全的網上支付工具(如電子錢包)是推進電子商務的首要工作,也是電子商務成敗的重要關鍵。
(五),電子商務的兩大支柱
公共政策的協調和技術標準的發展是應用電子商務和促進各種基礎設施的兩個重要支柱。關於版權和隱私的保護,消費者的保護,非法交易的檢測,網絡信息的監管,交易糾紛的仲裁,都需要制定相關的公共政策和法律規定來配合。此外,為了保證全網的兼容性,在開發各種基礎設施和電子商務應用時,標準化各種工具、用戶界面和傳輸協議是絕對必要的。
第三,交易安全
越來越多的公司通過互聯網提供產品和服務信息,但他們仍然認真地在公共網絡上實施在線交易,主要是因為他們仍然對網絡和交易安全心存疑慮。同樣,基於交易安全的考慮,很多消費者也對直接在網上支付猶豫不決。目前,在互聯網上傳輸的信息可能被第三方竊取或篡改,尤其是敏感的個人和財務重要信息(如賬號和密碼、信用卡號);數據庫或網絡資源仍可能被黑客入侵,導致數據被破壞、篡改、泄露或濫用的可能性。
如果不能保證交易能夠安全進行,消費者就不會願意在網上提供信用卡和支付的相關信息。而且商家為了避免交易糾紛,也不敢貿然提供網購服務。電子商務要想成功而蓬勃地發展,就必須增強消費者對交易可靠性的信心,加強公共網絡對外國非法入侵的保護措施。因此,交易安全是當前電子商務發展中壹個緊迫而又深具委托性的問題。
(壹)交易安全要求
壹個安全的交易系統需要具備以下特征:
隱私:交易必須是不可侵犯的,通過互聯網發送和接收的信息不能被任何入侵者閱讀、修改或截取。黑客在侵入計算機系統之前,往往會利用互聯網偷窺、收集用戶在登錄系統之前輸入的賬號、密碼、用戶名等重要信息,然後以壹個假名入侵系統。
保密性:不能通過公共網絡追蹤交易,未經授權的中間人不能獲得交易的副本。在電子商務環境中,所有信息流量都是保密的。消息成功傳遞到目的地後,除審計信息外,公共環境中存在的所有相關信息都將被刪除。並且消息的存儲必須在受到良好保護的系統下進行。
完整性:交易不得被破壞或幹擾。電子交易的內容在客戶端和服務器之間的傳輸過程中被確認為是不變的,即在交易過程中不能隨意添加、刪除或修改消息。
因此,要保證交易的安全性,需要有強有力的網絡安全防禦措施(如防火墻)和安全的信息安全技術(如加密技術、數字簽名和證書)的輔助。
(2)、網絡安全-防火墻
防火墻的使用是在企業內部網絡(可靠的安全網絡)和外部公網(不可靠的網絡環境)之間建立安全屏障,從而阻擋外來計算機黑客的入侵,內部人員仍然可以對外獲取整體服務。防火墻可以說是壹種安全策略的實現。只有壹些經過合法授權或遵守特定服務規則的用戶才能連接到企業內受保護的網絡。也就是說,防火墻強制所有連接通過它,並允許根據已建立的訪問規範查看數據。
路由器過濾包:第壹代防火墻技術是路由器過濾包,檢查路由器根據檢查規則過濾通過防火墻的信息包,檢測出有問題的包。
代理服務器:第二代防火墻技術是代理服務器,運行代理服務的主機稱為應用網關,位於企業網和互聯網之間,為雙方用戶提供代理服務或中間人服務。進出公司網絡的所有信息都必須通過這個中介進行傳輸。
(三),WWW安全
為了進行電子商務,在不可信的公共網絡上,客戶端和服務器之間的相互認證和確認是非常重要的。當壹條信息進入開放的互聯網進行傳輸時,它必須包含壹些表明其來源系統的數據。WWW不加密通過它的數據,任何人截獲WWW數據的傳輸都可以使用其中包含的數據。為了安全起見,網景公司開發了SSL(安全套接字層)來解決WWW上信息傳輸的安全問題。如果使用SSL將數據發送到錯誤的目的地,則其中包含的信息(如信用卡號)無法被除發送方和合法接收方之外的第三方讀取。通過SSL,數據在發送出去之前會被自動加密,在合法的接收端會被解密。對於沒有解密密鑰的人來說,收到的信息只是壹堆毫無意義的0和1。
(4)、信息安全技術
電子商務在很大程度上依賴於密碼學。互聯網上傳輸的數據可以通過加密技術得到保護。即使加密的消息在互聯網上流通時被黑客竊取,他也無法還原(解密)消息。目前,最常用的加密技術可以分為兩類:傳統的(秘鑰)加密方法(私鑰)和公鑰加密方法[5,6]。
1私鑰加密方法
密鑰加密法也叫對稱加密法,消息的加密和解密使用同壹個密鑰(key)。所有參與者必須完全信任並相互了解,並且每個參與者都保留壹份密鑰副本。在交換消息之前,發送方和接收方必須共享同壹個密鑰。在協調密鑰生成的過程中,必須保證密鑰生成的任何消息不被竊聽(通過安全通道分發)。壹旦密鑰被第三方獲得或計算,消息就不能得到保證。最常用的密鑰加密方法是數據加密標準(DES)。
傳統加密方法速度快,適合加密大量數據。但是公網上通信者之間的密鑰分發(密鑰生成、傳輸和存儲)非常麻煩。因此,除非有安全的密鑰分發方法,否則秘密密鑰加密方法很難直接應用於電子商務。
2公鑰加密(Public-key Encryption)
公鑰加密方法也稱為非對稱加密方法。消息的加密和解密使用不同的密鑰。壹個密鑰用於加密消息,另壹個密鑰用於恢復消息。每個在網上交流的人都有兩把鑰匙:壹把讓大家公開知道(公鑰),壹把讓自己秘密保管(key)。但兩者都必須受到保護,以防被修改或竊取。假設甲方要發送數據給乙方,甲方在發送之前會用乙方的公鑰對數據進行加密,乙方收到數據後可以用自己的密鑰進行解密,得到原始數據。最著名的公鑰加密方法是RSA。
公鑰加密方式雖然沒有密鑰分發的問題,但是加解密計算比較耗時,比較適合加密消息或者摘要數據。此外,放在網絡上的公鑰可能被非法更改。因此,在電子商務的應用中,需要配合數字證書和可靠的第三方來提高安全性和可靠性,或者采用混合加密方法(即使用公鑰加密方法分發私鑰加密方法的密鑰)來提高加解密速度。
3數字簽名(Digital Signature)
數字簽名是通過公鑰加密發展起來的,用來證明消息來源和內容的真實性。網絡上的通信者無法確認彼此的身份,數字簽名[6]可以用來驗證發送者的身份。接收方可以確保消息確實是由發送方發送的並且沒有被更改過,並且發送方不能否認消息已經被發送。
事實上,數字簽名就像我們的印章壹樣。通常情況下,為了證明文件是我們出具的,我們會在文件上加蓋我們自己的印章或者親筆簽名來證明。當發送者想要發送文檔時,通過散列函數將數據轉換成消息摘要,然後將消息摘要和文檔壹起發送。如果有人中途修改了這個文件,接收方會通過哈希函數重新計算修改後的文件,會發現計算出的摘要與發送方發送的摘要不匹配,也就是說傳輸的文件中途被篡改了,這樣我們就可以成功檢測到別人的偽造。
至於如何核實寄件人身份?只要發送方在發送之前用自己的密鑰對消息摘要進行加密(簽名),接收方在得到加密的摘要後可以用發送方的公鑰正確解密(驗證),那麽接收方就可以100%確定文件確實來自發送方。
4數字證書(Digital Certificate)
公鑰是壹種加密工具,供他人在公共網絡上向自己發送數據。如果公鑰是偽造和分發的,偽造者可以冒充妳截取發送給妳的數據,並用等效的密鑰解鎖數據。所以,在發送數據之前,我們也必須識別對方的身份,確認公鑰確實屬於接收方之後,才能發送數據。為了確認公鑰,可以通過公鑰的認證來完成,公鑰就是數字證書[2]。
在電子商務應用中,我們需要壹個可信的第三方來進行公鑰認證。這個第三方就是所謂的認證機構(Certificate Authority,簡稱CA),CA必須是發送方和接收方都可以信任的角色。它將根據合法申請人的請求頒發數字證書。數字證書包含申請人的身份數據(姓名)、公鑰和CA在該公鑰上的簽名。在CA的簽名被認可後,我們可以信任這個公鑰。在互聯網上,我們只需通過CA公鑰的驗證就可以相互識別,從而使不同的個體可以進行高信任度的電子商務。
隨著數字證書的使用,我們進壹步加強了身份驗證。通過使用具有相同身份的證書管理中心,數字證書為電子商務交易中的參與者之間的相互信任提供了壹種簡單方便的方法。
四。安全電子交易(set)
SET是由VISA和MasterCard發起的安全電子交易標準,目的是確保消費者在互聯網上的信用卡交易安全。它使用戶能夠通過使用安全支付協議在公共網絡上安全地使用信用卡。
(1)設置架構
標準SET環境包括以下組件(如圖2 [7]所示):
L SET協議:提供私人支付信息、信用卡認證信息、商店和支付機構。
l持卡人:使用設定標準的電子錢包,協助持卡人從配置中心(CA)獲取信用卡電子證書,生成公鑰和密鑰,存儲和管理電子證書和密鑰,更新和查詢電子證書,提供交易所需的授權和設定協議,管理交易歷史數據和查詢,集成電子現金、電子支票和微支付(期貨)等。
l發卡機構:為消費者提供信用卡申請和消費的管理,發卡機構必須向持卡人提供電子錢包,電子錢包將由申請人通過WWW或E-mail進行認證。
l支付網關:協助申請人從CA獲得信用卡電子證書,生成公鑰和密鑰,存儲和管理電子證書和密鑰,更新和查詢電子證書,與收單機構交換加密公鑰,提供交易過程中所需的授權和SET協議,提供交易後支付,清算和SET協議,與銀行主機連接,生成報告和歷史數據記錄,設置配置。
商戶服務器:協助電子商戶從CA獲取信用卡電子證書,存儲和管理電子證書和密鑰,更新和查詢電子證書,與收單機構交換加密公鑰,提供交易過程中所需的授權和set協議,提供交易後支付結算和SET協議,提供交易相關數據記錄,退貨服務和配置設置。
l認證機構(也稱證書管理中心):為持卡人、商店和支付閘機提供認證服務。
設置架構圖如圖2所示:
圖2集合架構圖
(2)互聯網支付
在電子交易過程中,用戶使用電子現金與商家進行交易。顧名思義,電子現金就是可以在互聯網上流通的現金。使用現金的好處是,消費者可以保護自己的隱私,不必像信用卡交易那樣披露重要的個人數據。另外,消費者在網上交易的東西通常大多是價格較低的信息產品。這個時候現金比信用卡好用多了!而且大多數消費者通常接受現金多於信用卡,所以電子現金會逐漸成為新的主流。
在SET機制中,每個想在網上花錢的消費者都必須在自己的電腦中安裝壹個名為“電子錢包”的軟件。這種電子錢包就像現實生活中的錢包壹樣,負責存儲消費者從銀行購買的電子現金。下面,我們列出壹個完整的交易流程:
步驟1:首先,消費者從銀行提取電子現金。
第二步:銀行核實消費者身份後,從消費者真實賬戶中扣款,並將等值的電子現金存入消費者的電子錢包。
第三步:當消費者通過WWW瀏覽器連接到網上商店觀看產品並決定購買某壹產品時,他按下“購買”按鈕,商店的軟件將把該產品的訂單發送到消費者的電子錢包軟件中。
第四步:電子錢包將啟動管理功能,並將訂單中列出的電子現金支付到店端軟件。
第五步:商店收到消費者發送的電子現金後,會將其發送給銀行,以驗證該電子現金是否為銀行發行的合法電子現金。
第六步:如果驗證無誤,銀行將通知店鋪驗證成功,並將電子現金轉換為相對真實的現金金額,存入店鋪的賬戶。這時候店家就可以放心的把消費者訂的貨發出去了!這樣,網上交易就完成了。
圖3互聯網支付流程
動詞 (verb的縮寫)結論
電子商務是基於互聯網的商業應用,WWW使電子商務成為壹種經濟規模大、成本相對較低的商業活動。電子商務能否蓬勃發展,能否掌控未來的經濟命脈,完全取決於各種數據安全技術的研發和安全交易框架的建立。
互聯網的應用帶來了商機,很多經濟行為也隨之改變。這股熱潮不僅給企業帶來了沖擊和機遇,也引導用戶進入了壹個虛擬商城的購物世界。例如:沒有店面的網上商店、沒有櫃臺的網上銀行、沒有營業場所的網上證券商、沒有場地的網上研討會、沒有紙張的電子書店、數字圖書館和博物館等。在我們進入21世紀之前,用戶將如何調整,政府機構將如何應對電子商務引起的各種問題和爭端,這將是壹個很大的挑戰。
參考
R.卡拉科塔和A. B .溫斯頓(1996),《電子商務前沿》,紐約,艾迪森-韋斯利出版公司,1996
R.卡拉科塔和A. B .溫斯頓(1997),《電子商務:經理指南》,紐約,愛迪生-韋斯利出版公司,1997。
郭雲(1997):電子商務時代的企業新面孔
網址:/cgi-bin/vee/sf/set,June 1996。
連維力(1998):電子商務-安全交易架構,《財富新聞》第65438期+2月,第11-16頁。
經濟部互聯網業務應用網站,
網址:http://www.ec.org.tw/ .