浅谈电子商务的运营模式

浅谈电子商务的运营模式

随着信息技术在贸易和贸易领域的广泛应用，计算机技术、通信技术和互联网技术的广泛应用已经成为不同国家之间货物商业发展的主要趋势。电子商务是互联网应用发展的必然趋势,也是国际金融贸易中越来越重要的经营模式。电子商务的发展愈迅速,其安全性问题也就愈突出。如何建立一个安全、便捷的电子商务应用环境,已经成为影响到电子商务能否健康顺利发展的关键性问题。一、电子商务信息安全现状(一)系统正常运行,网络服务不中断从一般意义上来说,信息安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从广义来说,凡是涉及到网络上信息的保密性、完整性、有效性、真实性和可控性的相关技术和理论都是信息安全所要研究的领域。从用户的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私,同时也避免其它用户的非授权访问和破坏。(二)信息和通信软件电子商务是将传统的商务活动移到网络环境中来,特别是建立在互联网上的商务活动,其安全问题倍受关注。目前,电子商务面临的安全威胁有以下几个方面:1.信息的截获和窃取。如果没有采用加密措施或加密强度不够,攻击者可能通过互联网在电磁波辐射范围内安装截获装置或在数据包通过的网关和路由器上获取数据,获取传输的机密信息,如消费者的银行帐号、密码以及企业的商业机密等。2.信息的篡改。攻击者通过各种技术方法和手段对网络传输的信息进行中途修改,并发往目的地,从而破坏信息的完整性。3.信息假冒。信息假冒主要有两种方式,一是伪造大量用户,发电子邮件,虚开网站和商店,给用户发电子邮件,收订货单,或者产生大量虚假订单挤占系统资源,令其无法响应正常的业务操作;另外一种是假冒他人身份,如冒充他人消费、栽赃,冒充主机欺骗合法主机及合法用户,冒充网络控制程序套取或修改使用权限、通行字、密钥等信息等。4.交易抵赖。交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容,收信者事后否认曾经收到过某条消息或内容,购买者做了订货单不承认,商家卖出的商品因价格差而不承认原有的交易等。二、电子商务的安全性电子商务所面临的安全威胁的出现,导致了对电子商务安全的需求。为真正实现一个安全的电子商务系统,保证交易的安全可靠性,要求电子商务具有保密性、完整性、有效性和不可抵抗性。具体说来电子商务的安全需求主要有如下几个方面:(一)预防商业加密中被非法侵犯的问题电子商务作为贸易的一种手段,信息直接代表着个人、企业或国家的商业机密,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术对传输的信息进行加密处理来实现。(二)信息整合的问题电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息的数据摘要方式来获得。(三)企业或国家的经济利益或声誉电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。(四)签名和印章鉴别法对进行电子商务交易的贸易双方来说,关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。因此,要在交易信息的传输过程中为参与交易的个人、或国家提供可靠的标识,使原发方对已发送的数据、接收方对已接收的数据都不能否认。三、开放系统的安全模型电子商务的安全性是由其安全体系结构和协议的安全性决定的。笔者套用国际标准化组织ISO的开放系统互联OSI七层协议模型,相应地将各安全措施映射到对应层次中,描述电子商务安全体系结构中的安全技术,这些技术来实现信息的保密性、安全性、有效性和不可抵赖性。(一)网络安全技术网络服务层是电子商务的最底层,它是各种电子商务应用系统的基础,并提供信息传送的载体和用户接入的手段及安全通信服务,保证网络最基本的运行安全。一个完整的电子商务系统应建立在安全的网络基础设施之上。1.防火墙安全技术。防火墙是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。笔者认为制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。2.虚拟专用网VPN技术。虚拟专用网VPN是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。基于Internet的VPN技术在众多的安全策略中,代表了一系列安全技术,为金融、商业等行业建立安全廉价的专用广域网提供了可供参考的优秀解决方案,是进行安全电子商务活动的首选安全策略。(二)非对称密钥加密法数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称密钥加密也叫秘密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。典型的代表是美国国家安全局的DES。这种方法使用简单,加密解密速度快,适合于大量信息的加密。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么保密性和完整性就可以较好地实现。非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥解密的数据只能用对应的公钥解密。(三)通过数字身份认证保证信息的完整性安全认证层中的认证技术是保证电子商务安全的又一必要手段,它对加密技术层中提供的多种加密算法进行综合运用,进一步满足电子商务的完整性、不可抵抗性、可靠性的要求。安全认证技术主要有以下几个:1.数字摘要技术。这一加密方法亦称安全Hash编码法。由于信道本身的干扰和人为的破坏,接收到的信息可能与所发出的信息不同,采用单向Hash函数,将需要加密的信息生成摘要,这串密文又称数字指纹,对于不同的信息原文,将它摘要成密文之后的结果总是不一样的,而同样的信息原文所形成的摘要总是相同的。因此,将这段摘要加密传输,可以验证通过网络传输收到的是否是文件原文,从而实现信息的保密性和完整性。2.数字签名技术。通过一个单向函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发的信息不可抵赖。3.数字时间戳技术。交易文件中,时间是十分重要的信息。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。数字时间戳技术能保证信息的完整性。4.数字证书。所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限,是用来惟一确认安全电子商务交易双方身份的工具。在交易支付过程中,参与各方必须利用认证中心签发的数字证书来证明各自的身份。数字证书由证书管理中心做了数字签名,因此任何第三方都无法修改证书内容。任何信用卡持有人只有申请到相应的数字证书,才能参加安全电子商务的网上交易。5.CA认证中心。CA中心是公正的第三方,它为建立身份认证过程的权威性框架奠定了基础,为交易的参与方提供了安全保障。CA中心对含有公钥的证书进行数字签名,使证书无法伪造。每个用户可以获得CA中心的公开密钥,验证任何一张数字证书的数字签名,从而确定证书是否是CA中心签发、数字证书是否合法。(四)基于tcp/ip的应用程序安全协议除了各种安全控制技术之外,电子商务的运行还需要一套完整的安全交易协议。不同交易协议的复杂性、开销、安全性各不同。同时,不同的应用环境对协议目标的要求也不尽相同。目前,比较成熟的协议有安全套接层协议(SSL)和安全电子交易协议(SET)。安全套接层协议是由NetscapeCommunication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。安全电子交易协议是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。SET安全协议的主要对象包括:消费者(包括个人和团体),按照在线商店的要求填写定货单,用发卡银行的信用卡付款;在线商店,