淺談電子商務的運營模式

淺談電子商務的運營模式

隨著信息技術在貿易和貿易領域的廣泛應用，計算機技術、通信技術和互聯(lián)網技術的廣泛應用已經成為不同國家之間貨物商業(yè)發(fā)展的主要趨勢。電子商務是互聯(lián)網應用發(fā)展的必然趨勢,也是國際金融貿易中越來越重要的經營模式。電子商務的發(fā)展愈迅速,其安全性問題也就愈突出。如何建立一個安全、便捷的電子商務應用環(huán)境,已經成為影響到電子商務能否健康順利發(fā)展的關鍵性問題。一、電子商務信息安全現(xiàn)狀(一)系統(tǒng)正常運行,網絡服務不中斷從一般意義上來說,信息安全就是網絡上的信息安全,是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網絡服務不中斷。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、有效性、真實性和可控性的相關技術和理論都是信息安全所要研究的領域。從用戶的角度來說,他們希望涉及個人隱私或商業(yè)利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私,同時也避免其它用戶的非授權訪問和破壞。(二)信息和通信軟件電子商務是將傳統(tǒng)的商務活動移到網絡環(huán)境中來,特別是建立在互聯(lián)網上的商務活動,其安全問題倍受關注。目前,電子商務面臨的安全威脅有以下幾個方面:1.信息的截獲和竊取。如果沒有采用加密措施或加密強度不夠,攻擊者可能通過互聯(lián)網在電磁波輻射范圍內安裝截獲裝置或在數(shù)據包通過的網關和路由器上獲取數(shù)據,獲取傳輸?shù)臋C密信息,如消費者的銀行帳號、密碼以及企業(yè)的商業(yè)機密等。2.信息的篡改。攻擊者通過各種技術方法和手段對網絡傳輸?shù)男畔⑦M行中途修改,并發(fā)往目的地,從而破壞信息的完整性。3.信息假冒。信息假冒主要有兩種方式,一是偽造大量用戶,發(fā)電子郵件,虛開網站和商店,給用戶發(fā)電子郵件,收訂貨單,或者產生大量虛假訂單擠占系統(tǒng)資源,令其無法響應正常的業(yè)務操作;另外一種是假冒他人身份,如冒充他人消費、栽贓,冒充主機欺騙合法主機及合法用戶,冒充網絡控制程序套取或修改使用權限、通行字、密鑰等信息等。4.交易抵賴。交易抵賴包括多個方面,如發(fā)信者事后否認曾經發(fā)送過某條信息或內容,收信者事后否認曾經收到過某條消息或內容,購買者做了訂貨單不承認,商家賣出的商品因價格差而不承認原有的交易等。二、電子商務的安全性電子商務所面臨的安全威脅的出現(xiàn),導致了對電子商務安全的需求。為真正實現(xiàn)一個安全的電子商務系統(tǒng),保證交易的安全可靠性,要求電子商務具有保密性、完整性、有效性和不可抵抗性。具體說來電子商務的安全需求主要有如下幾個方面:(一)預防商業(yè)加密中被非法侵犯的問題電子商務作為貿易的一種手段,信息直接代表著個人、企業(yè)或國家的商業(yè)機密,維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。機密性一般通過密碼技術對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)。(二)信息整合的問題電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題。保持貿易各方信息的完整性是電子商務應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,防止數(shù)據傳送過程中信息的丟失和重復并保證信息傳送次序的統(tǒng)一。完整性一般可通過提取信息的數(shù)據摘要方式來獲得。(三)企業(yè)或國家的經濟利益或聲譽電子商務作為貿易的一種形式,其信息的有效性將直接關系到個人、企業(yè)或國家的經濟利益和聲譽。因此,要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數(shù)據在確定的時刻、確定的地點是有效的。(四)簽名和印章鑒別法對進行電子商務交易的貿易雙方來說,關鍵問題就是如何確定進行交易的貿易方正是交易所期望的貿易方。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已經不可能。因此,要在交易信息的傳輸過程中為參與交易的個人、或國家提供可靠的標識,使原發(fā)方對已發(fā)送的數(shù)據、接收方對已接收的數(shù)據都不能否認。三、開放系統(tǒng)的安全模型電子商務的安全性是由其安全體系結構和協(xié)議的安全性決定的。筆者套用國際標準化組織ISO的開放系統(tǒng)互聯(lián)OSI七層協(xié)議模型,相應地將各安全措施映射到對應層次中,描述電子商務安全體系結構中的安全技術,這些技術來實現(xiàn)信息的保密性、安全性、有效性和不可抵賴性。(一)網絡安全技術網絡服務層是電子商務的最底層,它是各種電子商務應用系統(tǒng)的基礎,并提供信息傳送的載體和用戶接入的手段及安全通信服務,保證網絡最基本的運行安全。一個完整的電子商務系統(tǒng)應建立在安全的網絡基礎設施之上。1.防火墻安全技術。防火墻是近年來發(fā)展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。簡單防火墻技術可以在路由器上實現(xiàn),而專用防火墻提供更加可靠的網絡安全控制方法。筆者認為制定防火墻安全規(guī)則時,應符合“可適應性的安全管理”模型的原則,即:安全=風險分析+執(zhí)行策略+系統(tǒng)實施+漏洞監(jiān)測+實時響應。2.虛擬專用網VPN技術。虛擬專用網VPN是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道?；贗nternet的VPN技術在眾多的安全策略中,代表了一系列安全技術,為金融、商業(yè)等行業(yè)建立安全廉價的專用廣域網提供了可供參考的優(yōu)秀解決方案,是進行安全電子商務活動的首選安全策略。(二)非對稱密鑰加密法數(shù)據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。密鑰加密技術分為對稱密鑰加密和非對稱密鑰加密兩類。對稱密鑰加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。這種方法使用簡單,加密解密速度快,適合于大量信息的加密。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么保密性和完整性就可以較好地實現(xiàn)。非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數(shù)據加解密時,使用不同的密鑰,在通信雙方各具有兩把密鑰,一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應的私鑰解密,同樣地,用私鑰解密的數(shù)據只能用對應的公鑰解密。(三)通過數(shù)字身份認證保證信息的完整性安全認證層中的認證技術是保證電子商務安全的又一必要手段,它對加密技術層中提供的多種加密算法進行綜合運用,進一步滿足電子商務的完整性、不可抵抗性、可靠性的要求。安全認證技術主要有以下幾個:1.數(shù)字摘要技術。這一加密方法亦稱安全Hash編碼法。由于信道本身的干擾和人為的破壞,接收到的信息可能與所發(fā)出的信息不同,采用單向Hash函數(shù),將需要加密的信息生成摘要,這串密文又稱數(shù)字指紋,對于不同的信息原文,將它摘要成密文之后的結果總是不一樣的,而同樣的信息原文所形成的摘要總是相同的。因此,將這段摘要加密傳輸,可以驗證通過網絡傳輸收到的是否是文件原文,從而實現(xiàn)信息的保密性和完整性。2.數(shù)字簽名技術。通過一個單向函數(shù)對要傳送的報文進行處理而得到的用以認證報文是否發(fā)生改變的一個字母數(shù)字串。發(fā)送者用自己的私鑰把數(shù)據加密后傳送給接收者,接收者用發(fā)送者的公鑰解開數(shù)據后,就可確認消息來自于誰,同時也是對發(fā)送者發(fā)送的信息真實性的一個證明,發(fā)送者對所發(fā)的信息不可抵賴。3.數(shù)字時間戳技術。交易文件中,時間是十分重要的信息。在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數(shù)字時間戳服務(DTS)就能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳技術能保證信息的完整性。4.數(shù)字證書。所謂數(shù)字證書,就是用電子手段來證實一個用戶的身份及用戶對網絡資源的訪問權限,是用來惟一確認安全電子商務交易雙方身份的工具。在交易支付過程中,參與各方必須利用認證中心簽發(fā)的數(shù)字證書來證明各自的身份。數(shù)字證書由證書管理中心做了數(shù)字簽名,因此任何第三方都無法修改證書內容。任何信用卡持有人只有申請到相應的數(shù)字證書,才能參加安全電子商務的網上交易。5.CA認證中心。CA中心是公正的第三方,它為建立身份認證過程的權威性框架奠定了基礎,為交易的參與方提供了安全保障。CA中心對含有公鑰的證書進行數(shù)字簽名,使證書無法偽造。每個用戶可以獲得CA中心的公開密鑰,驗證任何一張數(shù)字證書的數(shù)字簽名,從而確定證書是否是CA中心簽發(fā)、數(shù)字證書是否合法。(四)基于tcp/ip的應用程序安全協(xié)議除了各種安全控制技術之外,電子商務的運行還需要一套完整的安全交易協(xié)議。不同交易協(xié)議的復雜性、開銷、安全性各不同。同時,不同的應用環(huán)境對協(xié)議目標的要求也不盡相同。目前,比較成熟的協(xié)議有安全套接層協(xié)議(SSL)和安全電子交易協(xié)議(SET)。安全套接層協(xié)議是由NetscapeCommunication公司1994年設計開發(fā)的,主要用于提高應用程序之間的數(shù)據的安全系數(shù)。該協(xié)議向基于TCP/IP的客戶/服務器應用程序提供了客戶端與服務的鑒別、數(shù)據完整性及信息機密性等安全措施。安全電子交易協(xié)議是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。SET已成為全球網絡的工業(yè)標準。SET安全協(xié)議的主要對象包括:消費者(包括個人和團體),按照在線商店的要求填寫定貨單,用發(fā)卡銀行的信用卡付款;在線商店,