前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的上網(wǎng)安全主題范文,僅供參考,歡迎閱讀并收藏。
這是一個網(wǎng)絡時代。支付寶、網(wǎng)銀、微信、電郵、QQ……每一個人的生活要想和網(wǎng)絡脫了干系,實在不容易。網(wǎng)絡雖便利,可陷阱也不少。
一份新的研究報告顯示,中國網(wǎng)民最擔心泄露的信息類別是網(wǎng)銀信息(53.8%),其次是身份信息(23.7%),再次是網(wǎng)站賬戶、密碼(16%)。
網(wǎng)銀主要涉及民眾的資金安全,所以擔心程度最高,身份信息涉及民眾的個人隱私,因此擔心程度也較高??磥恚蠹倚枰嚅L幾個心眼兒,確保自己的資金和隱私不受損失。
一、首先最基本的一點是,給自己的電腦以及手機安裝殺毒軟件,不要讓聯(lián)網(wǎng)設備“裸奔”,并及時更新殺毒軟件。定期殺毒應該成為一種習慣。
二、在進行網(wǎng)銀、支付寶等涉及資金的網(wǎng)絡操作時,要確保使用安全的瀏覽器、登錄正確的網(wǎng)站地址,不要單憑記憶輸入網(wǎng)址。有些仿冒網(wǎng)站的網(wǎng)址往往與正確網(wǎng)址相似度非常高,小心上“李鬼”的當。
三、網(wǎng)上購物選擇正規(guī)、大型電商。淘寶購物不要隨便打開旺旺中的重新支付、低價促銷等鏈接。個人但凡涉及資金支出的賬戶,都要單獨設置安全級別高的復雜密碼,而且最好定期更換。
如果有“密碼+校驗碼”雙重驗證設置,請不要嫌麻煩,這樣更安全。另外在公共電腦上不要使用“記住密碼”模式。
四、在網(wǎng)站注冊賬號時,只填帶*的必填項,盡量提供最少的信息。另外,最好不要在陌生網(wǎng)站隨便注冊賬號。網(wǎng)絡瀏覽時,不要隨意點擊彈出窗口。
五、不隨意打開陌生郵件,尤其是帶附件的郵件或者聲稱中大獎的郵件。下載到本地的附件打開之前先掃描殺毒。附件是木馬程序等的最常用載體。
六、盡量別“蹭網(wǎng)”。手機接入未經(jīng)認可的無線網(wǎng)絡,有可能會被竊取個人移動設備信息。在接入公共場所的無線網(wǎng)絡時,也要注意不要在手機上進行網(wǎng)銀、支付寶等敏感信息的操作。
一、經(jīng)常修改密碼
老生常談了,但卻是最簡單有效的方法。由于許多黑客利用窮舉法來破解密碼,像John這一類的密碼破解程序可從因特網(wǎng)上免費下載,只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行,就可以獲得需要的賬號及密碼,因此,經(jīng)常修改密碼對付這種盜用就顯得十分奏效。由于那么多潛在的黑客千方百計想要獲得別人的密碼,那么撥號上網(wǎng)的用戶就應該加強防范,以下四個原則可提高密碼的抗破解能力。
1.不要選擇常用字做密碼。
2.用單詞和符號混合組成密碼。
3.使用9個以上的字符做密碼,使你的密碼盡可能地長,對Windows系統(tǒng)來說,密碼最少要由9個字符組成才算安全。
4,密碼組成中最好混合使用大小寫字母,一般情況下密碼只由英文字母組成,密碼中可使用26或52個字母。若對一個8個字母組成的密碼進行破解,密碼中字母有無大小寫之分將使破解時間產(chǎn)生256倍的差別。
二、請他人安裝后應立即修改密碼
這是一個很容易忽略的細節(jié),許多用戶第一次不懂得如何撥號上網(wǎng),就請別人來教,這樣常常把用戶名和密碼告訴此人,這個人記住以后就可以回去盜用服務了。所以,用戶最好自己學會如何撥號后再去申請上網(wǎng)賬號,或者首先向ISP問清如何修改自己的密碼,在別人教會自己如何撥號后,立刻將密碼改掉,避免被人盜用。
三、使用“撥號后出現(xiàn)終端窗口”功能
選中某一連接,單擊鼠標右鍵,選“屬性常規(guī)配置選項撥號后出現(xiàn)終端窗口”,然后撥號時,在撥號界面上不要填入用戶名和密碼(更不要選中“保存密碼”項),在出現(xiàn)撥號終端窗口后再進行相應的輸入,這可以避免用戶名和密碼被記錄到硬盤上的密碼文件中,同時,也可以避免被某些黑客程序捕獲用戶名和密碼。
四、刪除.pwl文件
在Windows目錄下往往有一些以“.pwl”為后綴名的密碼文件,“.pwl”是password的音譯縮寫。比如在最初的Windows95操作系統(tǒng)中密碼的保存即存在安全漏洞,從而使黑客可以利用相應的程序輕松獲取保存在pwl文件里的密碼。這一漏洞在Windows97中已經(jīng)被修復。因此,你需要為你的電腦安裝Win-dows97以上版本的操作系統(tǒng)。pwl文件還常常記錄其他地方要用到的密碼,比如開啟Ex-change電子信箱的密碼、玩Mud游戲的密碼等,要經(jīng)常刪除這些pw,文件避免將密碼留在硬盤上。
五、禁止安裝擊鍵記錄程序
很多人知道doskey.exe這個程序,這個在DOS下常用的外部命令能通過恢復以前輸入的命令來加快輸入命令的速度,在Windows下也有了許多類似的程序,如keylog,它不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。還有些程序能將擊鍵字母記錄到根目錄下的某一特定文件中,而這一文件可以用文本編輯器來查看。密碼就是這樣被泄露出去的,偷盜者只要在根目錄下看看就可以了,根本無需任何專業(yè)知識!
六、對付特洛伊木馬
特洛伊木馬程序常被定義為當執(zhí)行一個任務時卻實際上執(zhí)行著另一個任務的程序,用“瞞天過?!被颉芭蚱さ睦恰敝惖脑~來形容這類程序一點也不為過。典型的一個例子是:偽造一個登錄界面,當用戶在這個界面上輸入用戶名和密碼時,程序將它們轉移到一個隱蔽的文件中,然后提示錯誤要求用戶再輸入一遍,程序這時再調(diào)用真正的登錄界面讓用戶登錄,于是在用戶幾乎毫無察覺的情況下就得到了記錄有用戶名和密碼的文件?,F(xiàn)在互聯(lián)網(wǎng)上有許多所謂的特洛伊木馬程序,像著名的BO、Backdoor、Netbus及國內(nèi)的Netspy等等。嚴格地說,它們屬于客戶機/服務器(C/S)程序,因為它們往往帶有一個用于駐留在用戶機器上的服務器程序,以及一個用于訪問用戶機器的客戶端程序,就好像NT的Server和Workstation的關系一樣。
在對付特洛伊木馬程序方面,有以下幾種辦法:
1.多讀readme.txt。許多人出于研究目的下載了一些特洛伊木馬程序的軟件包,在沒有弄清軟件包中幾個程序的具體功能前,就匆匆地執(zhí)行其中的程序,這樣往往就錯誤地執(zhí)行了服務器端程序而使用戶的計算機成為了特洛伊木馬的犧牲品。軟件包中經(jīng)常附帶的readme.txt文件會有程序的詳細功能介紹和使用說明,盡管它一般是英文的,但還是有必要先閱讀一下,如果實在讀不懂,那最好不要執(zhí)行任何程序,丟棄軟件包當然是最保險的了。有必要養(yǎng)成在使用任何程序前先讀readme.txt的好習慣。
值得一提的是,有許多程序說明做成可執(zhí)行的readme.exe形式,readme.exe往往捆綁有病毒或特洛伊木馬程序,或者干脆就是由病毒程序、特洛伊木馬的服務器端程序改名而得到的,目的就是讓用戶誤以為是程序說明文件去執(zhí)行它,可謂用心險惡。所以從互聯(lián)網(wǎng)上得來的readme.exe最好不要執(zhí)行。
2.使用殺毒軟件?,F(xiàn)在國內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能,可以不定期地在脫機的情況下進行檢查和清除。另外,有的殺毒軟件還提供網(wǎng)絡實時監(jiān)控功能,這一功能可以在黑客從遠端執(zhí)行用戶機器上的文件時,提供報警或讓執(zhí)行失敗,使黑客向用戶機器上載可執(zhí)行文件后無法正確執(zhí)行,從而避免了進一步的損失。
3.立即掛斷。盡管造成上網(wǎng)速度突然變慢的原因有很多,但有理由懷疑這是由特洛伊木馬造成的,當入侵者使用特洛伊的客戶端程序訪問你的機器時,會與你的正常訪問搶占寬帶,特別是當入侵者從遠端下載用戶硬盤上的文件時,正常訪問會變得奇慢無比。這時,你可以雙擊任務欄右下角的連接圖標,仔細觀察一下“已發(fā)送字節(jié)”項,如果數(shù)字變化成1~3kbps(每秒1~3千字節(jié)),幾乎可以確認有人在下載你的硬盤文件,除非你正在使用ftp功能。對TCP/IP端口熟悉的用戶,可以在“MS-DQS方式”下鍵入“netstat-a”來觀察與你機器相連的當前所有通信進程,當有具體的IP正使用不常見的端口(一般大于1024)與你通信時,這一端口很可能就是特洛伊木馬的通信端口。當發(fā)現(xiàn)上述可疑跡象后,你所能做的就是:立即掛斷,然后對硬盤有無特洛伊木馬進行認真地檢查。
4.觀察目錄。普通用戶應當經(jīng)常觀察位于C:、C:Windows、C:windowsksystem這三個目錄下的文件。用“記事本”逐一打開c:下的非執(zhí)行類文件(除exe、bat、com以外的文件),查看是否發(fā)現(xiàn)特洛伊木馬、擊鍵程序的記錄文件,在c:Windows或c:Win-dows\system下如果存在光有文件名而沒有圖標的可執(zhí)行程序,你應該把它們刪除,然后再用殺毒軟件進行認真地清理。
七、盡量不要使用共享硬盤功能
使用了遠程撥號接入局域網(wǎng)功能的Windows98用戶要慎用硬盤共享和文件共享功能,共享就意味著允許別人下載文件。當硬盤或文件夾圖標下有一只手托著時,表明啟動了共享功能,選中該圖標,選擇“文件”選單下的“共享”,再選“不共享”,這只手就消失了。
聯(lián)系人:_________
乙方:_________
聯(lián)系人:_________
為方便企業(yè),提高辦事效率,甲方開通了網(wǎng)上辦公系統(tǒng),乙方愿意采用該系統(tǒng)辦理有關事項。為使網(wǎng)上辦公系統(tǒng)能夠安全運行,妥善解決網(wǎng)上辦公涉及的有效性、真實性、合法性等方面的問題,甲乙雙方達成協(xié)議如下:
一、甲方開通相應的網(wǎng)上管理和服務項目,保證有效性、合法性,努力保障網(wǎng)上辦公系統(tǒng)正常運行。
二、甲方使用_________數(shù)字認證中心_________數(shù)字證書及相關安全軟件工具,為網(wǎng)上辦公提供信息安全機制,以保證網(wǎng)上辦公信息的真實性、完整性、保密性和不可否認性。為了同樣目的,乙方也必須辦理并使用_________數(shù)字證書,為此甲方有義務對乙方提供方便。雙方承認在網(wǎng)上辦公系統(tǒng)中使用數(shù)字證書、上網(wǎng)帳號和密碼具有與單位公章及法人簽字同等的法律效力。
三、甲方負責為乙方提供免費的網(wǎng)上辦公系統(tǒng)基本操作培訓和相應的技術咨詢與支持。
四、雙方遵守國家安全、保密、版權等方面的有關規(guī)定。甲方有義務為乙方的申報信息保密。乙方遵守甲方關于網(wǎng)絡安全、保密方面的規(guī)定,不得進行破壞網(wǎng)絡安全的活動。
五、乙方不得使用他人數(shù)字證書和上網(wǎng)帳號,或將自己的轉給他人使用。乙方應妥善保存數(shù)字證書、上網(wǎng)帳號和密碼。在未接到乙方通知報失前,凡使用乙方的數(shù)字證書和帳號進行網(wǎng)上的申報均視為乙方親自辦理。
六、乙方必須依法如實申報各種信息、材料和報表,并遵守網(wǎng)上申報的注意事項。
七、乙方應保證網(wǎng)上申報的最終信息與現(xiàn)實提交或存檔信息的一致性,否則甲方有權決定相應審批或申報無效。
八、由于網(wǎng)絡故障或病毒等不可控制因素導致網(wǎng)上辦公系統(tǒng)不能成功接受乙方信息時,乙方有義務采取措施補交。
九、對于任何一方因違反本協(xié)議規(guī)定引起的后果,由此方承擔全部法律責任。
十、本協(xié)議一式兩份,由甲乙雙方各持一份,具有同等效力。
十一、甲方授權信息統(tǒng)計中心為乙方辦理網(wǎng)上辦公事宜。
甲方(蓋章):_________乙方(蓋章):_________
關鍵詞:電子商務;網(wǎng)上支付;安全
互聯(lián)網(wǎng)在國內(nèi)的發(fā)展已經(jīng)有十多年的歷史了,利用互聯(lián)網(wǎng)進行商務交易活動——電子商務也有了十多年的歷史。毋庸置疑,電子商務作為一種新型網(wǎng)上在線貿(mào)易方式不僅使企業(yè)與消費者擺脫了傳統(tǒng)的商業(yè)中介的束縛,降低了生產(chǎn)與銷售成本,進一步縮短了生產(chǎn)廠家與最終用戶之間的距離,改變了市場的結構;而且還大大節(jié)省了企業(yè)的營銷費用,提高了企業(yè)的營銷效率;為企業(yè)提供了巨大的潛在顧客群,給企業(yè)帶來了無限的發(fā)展機會。
一個典型的電子商務交易由三個階段組成,分別是信息搜尋階段、訂貨和支付階段以及物流配送階段。其中的第二階段就涉及到網(wǎng)上支付問題,即如何利用互聯(lián)網(wǎng)以安全快捷的方式實現(xiàn)交易雙方的資金劃撥,以確保電子商務交易的順利進行。從三個階段來看網(wǎng)上支付是最關鍵的,因為網(wǎng)上支付一旦完成物流的配送就是順理成章的事情,也就意味著完整網(wǎng)上交易的完成。而網(wǎng)上支付若不進行,網(wǎng)上交易也不能最終完成。由此可見,網(wǎng)上支付是電子商務最核心、最關鍵的環(huán)節(jié),是交易雙方實現(xiàn)各自交易目的的重要一步,也是電子商務得以進行的基礎條件。
1網(wǎng)上支付現(xiàn)狀及現(xiàn)有支付工具的特點
網(wǎng)上支付采用先進的技術通過數(shù)字流轉來完成信息傳輸,其各種支付方式都是采用數(shù)字化的方式進行的,工作環(huán)境基于開放的因特網(wǎng),使用的是最先進的通信手段,具有方便、快捷、高效、經(jīng)濟的優(yōu)勢。
目前我國網(wǎng)上支付發(fā)展迅猛,從上圖艾瑞資訊的統(tǒng)計中可看出08Q2網(wǎng)上支付交易額規(guī)模575億元,同比增速超過了170%。環(huán)比增速超過了20%。
目前的網(wǎng)上支付工具主要有:
(1)銀行卡在線轉帳支付:是目前我國應用非常普遍的電子支付模式,付款人可使用申請了在線轉帳功能的銀行卡轉移小額資金到收款人銀行賬戶中。
它具有以下基本特點:一是可以接受此電子支付方式的商家投入成本較低;二是能夠受理銀行卡的商店全世界范圍內(nèi)相當多,用戶不受地域的限制。
(2)電子現(xiàn)金:是以數(shù)據(jù)形式存在的現(xiàn)金貨幣。它把現(xiàn)金數(shù)值轉化為一系列的加密序列數(shù),來表示現(xiàn)實中各種金額的幣值。但目前我國使用的不多。
它的特點一是具有現(xiàn)實現(xiàn)金特點,可以存、取、轉讓,適用于小額支付;二是電子現(xiàn)金銀行在發(fā)放電子貨幣時使用了數(shù)字簽名,商家接受到電子現(xiàn)金后將其傳輸給電子現(xiàn)金銀行,由電子現(xiàn)金銀行通過對數(shù)字簽名的驗證來確定此電子貨幣是否有效;三是電子現(xiàn)金的支付是匿名消費。
(3)電子支票:是以一種紙質(zhì)支票的電子替代品而存在的,用來吸引不想使用現(xiàn)金而寧可使用信用方式的個人和公司。它的運用使銀行信用彌補了商業(yè)信用的不足,在我國尚是空白。
其特點一是與傳統(tǒng)支票的操作有很多相似之處,易于理解和運用;二是通過簡單加密工具就可以保證其安全性;三是電子支票技術可連接公眾網(wǎng)絡金融機構和銀行票據(jù)交換網(wǎng)絡,可以通過公眾網(wǎng)絡連接現(xiàn)有金融付款體系。
(4)第三方支付:是具備一定實力和信譽保障的獨立機構,采用與各大銀行簽約的方式,提供與銀行支付結算系統(tǒng)接口的交易支持平臺的網(wǎng)絡支付模式。大致可分為兩類:一是以首信為代表的網(wǎng)關型第三方支付平臺。這類平臺為網(wǎng)上交易提供了一致的支付界面,統(tǒng)一的手續(xù)費用標準,結算較為便利。但此模式下,消費者并不是其客戶,網(wǎng)站商家和銀行才是它的客戶,消費者最終還是要使用各網(wǎng)上銀行進行付款。
二是以支付寶為代表的信用擔保型第三方支付平臺。此種形式的第三方支付過程是買家在網(wǎng)上把錢付給支付寶公司,支付寶收到貨款之后通知賣家發(fā)貨,買家收到貨物之后再通知支付寶,支付寶這時才把錢轉到賣家的賬戶上。在整個交易過程中,如果出現(xiàn)欺詐行為,平臺提供方將進行賠付。這種第三方代收款制度,不僅保證了資金的安全轉讓,還可擔任貨物的信用中介,從而約束交易雙方行為,在一定程度上增加了網(wǎng)民對網(wǎng)上購物的可信度,大大減少了網(wǎng)絡交易欺詐。
2網(wǎng)上支付存在的安全問題分析
要想保證在網(wǎng)上進行交易的安全性,首先要確保網(wǎng)上交易的載體——計算機網(wǎng)絡的安全以及用戶機終端的安全。有了計算機網(wǎng)絡才有了電子商務交易,如果計算機網(wǎng)絡不安全,可想而知我們在網(wǎng)上的交易肯定不安全。計算機網(wǎng)絡安全的內(nèi)容包括:計算機網(wǎng)絡設備的安全、網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。同時用戶機終端的安全也會影響網(wǎng)上交易的順利進行,如客戶機上操作系統(tǒng)的漏洞、被植入木馬、用戶的不良使用習慣等。
上述兩種安全問題不僅僅只存在于電子商務交易中,即使用戶不使用計算機網(wǎng)絡進行交易,而是進行普通的上網(wǎng)活動,也會受到這兩種安全問題的威脅。由于非交易型的上網(wǎng)活動沒有與金錢直接掛鉤,用戶如果碰到了這兩種安全問題,受到的損失相對來說會小一些。
網(wǎng)上支付的安全除了上述兩種安全問題外,還包括將傳統(tǒng)的買賣交易搬到網(wǎng)上以后失去的一些在傳統(tǒng)交易中不用考慮的安全性,包括以下幾個方面:
(1)身份真實性。也稱商務對象的認證性,傳統(tǒng)的商務交易因為雙方可以在見面后通過觀察而不用擔心身份的真實性,但網(wǎng)上交易的雙方相隔甚遠,互不了解,支付方不知道商家到底是誰,商家不能清晰確定銀行卡等網(wǎng)絡支付工具是否真實,以及由誰來支付和資金如何入賬等。這就讓一些不法商家或個人利用網(wǎng)絡貿(mào)易的非面對面的特點進行欺詐活動有了可趁之機,所以需要為參與交易的各方提供可靠標識,使他們能正確識別對方并能互相證明身份。
(2)信息的完整性。網(wǎng)上交易簡化了貿(mào)易過程,減少了人為的干預,同時也帶來維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能會導致交易各方信息的差異。另外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致交易各方信息的不同。假如有不法分子對支付的數(shù)據(jù)(如支付金額)進行修改而發(fā)生多支付或少支付的問題,那么勢必給交易雙方添加不少麻煩。
(3)不可否認性,也稱不可抵賴性。在傳統(tǒng)的商務交易中,雙方可通過書面文件上的手寫簽名或印章來預防抵賴行為的發(fā)生,但在網(wǎng)上則是不可能的。因此就有可能出現(xiàn)這樣的情況,當交易一方發(fā)現(xiàn)交易行為對自己不利時,可能會否認電子交易行為,這必然會損害另一方的利益。
(4)數(shù)據(jù)保密性。有關交易的各種信息,如付款人和收款人的標識、交易的內(nèi)容和數(shù)量等,這些信息只能讓交易的參與者知道,有時甚至要求只讓參與方的部分人知道。因此網(wǎng)上支付就涉及到數(shù)據(jù)保密性的問題了。
3解決網(wǎng)上支付安全問題的對策
3.1技術方面的對策
(1)數(shù)據(jù)加密。
數(shù)據(jù)加密被認為是電子商務最基本的安全保障形式,可以從根本上滿足信息完整性的要求,它是通過一定的加密算法,利用密鑰(Secretkeys)來對敏感信息進行加密,然后把加密好的數(shù)據(jù)和密鑰通過安全方式發(fā)送給接收者,接收者可利用同樣的算法和傳遞過來的密鑰對數(shù)據(jù)進行解密,從而獲取敏感信息并保證網(wǎng)絡數(shù)據(jù)的機密性。
(2)數(shù)字簽名。
數(shù)字簽名是公開密鑰加密技術的另一類應用。它的主要方式是:報文的發(fā)送方從報文文本中生成一個散列值(或報文摘要),發(fā)送方用自己的私鑰對這個散列值進行加密來形成發(fā)送方的數(shù)據(jù)簽名。然后,這個數(shù)據(jù)簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出散列值(或報文摘要),接著再用發(fā)送方的公鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同,那么接收方就能確認該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠實現(xiàn)對原始報文完整性的鑒別和不可抵賴性。
(3)安全協(xié)議。
在國際上,比較有代表性的電子支付安全協(xié)議有SSL和SET。
SSL(安全槽層)協(xié)議是由Netscape公司研究制定的安全協(xié)議。通俗地說,SSL就是客戶和商家在通信之前,在Internet上建立了一個“秘密傳輸信息的信道”,來保障傳輸信息的機密性、完整性和認證性。該協(xié)議向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。該協(xié)議在應用程序進行數(shù)據(jù)交換前通過交換SSL初始握手信息來實現(xiàn)有關安全特性的審查。SSL協(xié)議運行的基點是商家對客戶信息保密的承諾??蛻舻男畔⑹紫葌鞯缴碳遥碳议喿x后再傳到銀行。這樣,客戶資料的安全性便受到威脅。另外,整個過程只有商家對客戶的認證,缺少客戶對商家的認證。在電子商務的初始階段,由于參加電子商務的公司大都信譽較好,這個問題沒有引起人們的足夠重視。今后隨著越來越多的公司參與電子商務,對商家的認證問題也就越來越突出,SSL的缺點就會逐漸暴露出來,SSL協(xié)議也就逐漸被新的SET協(xié)議所代替。
SET(安全電子交易規(guī)范)向基于信用卡進行電子化交易的應用提供了實現(xiàn)安全措施的規(guī)則。它是由Visa國際組織和Mastercard組織共同制定的一個能保證通過開放網(wǎng)絡(包括Internet)進行安全資金支付的技術標準。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。由于設計較為合理,得到了諸如微軟公司、IBM公司、Netscape公司等大公司的支持,已成為實際上的工業(yè)技術標準。
3.2法制方面的對策
(1)加強社會信用機制建設。法律為保障網(wǎng)上支付必須推動社會信用制度的建立。發(fā)達的商業(yè)社會對社會包括個人的信用有著很高的要求,并通過一系列公開透明的制度來維護和保障信用制度體系。我國目前在對信用概念內(nèi)涵的理解、信用信息公開的方式和程度、信用服務企業(yè)的市場發(fā)展程度,以及對失信者的懲戒制度方面都還十分落后,甚至存在空白。應當承認我國還屬于非誠信國家,信用制度還很不健全。我們應當著手網(wǎng)上支付信用機制的建設,建立個人社會信用體系,及時收集和反饋用戶信息并做出相應解決方案,促進用戶建立網(wǎng)絡信用。
(2)加強對網(wǎng)上銀行和第三方支付機構等相關組織的監(jiān)管。加強電子商務行業(yè)的監(jiān)管,規(guī)范市場主體行為。首先要加強對網(wǎng)絡銀行的監(jiān)管:網(wǎng)上銀行不同于傳統(tǒng)銀行,應該制定新的準入條件,加強對客戶開戶的監(jiān)管,落實責任審查客戶資料等信息,明確網(wǎng)上銀行業(yè)務終止條件、清算辦法等,制定電子貨幣退出機制,規(guī)范電子貨幣市場;其次要加強對第三方支付機構的監(jiān)管,要讓第三方支付機構受銀監(jiān)會監(jiān)督,第三方無權動用客戶資金,必須確保資金安全和支付的效率。
3.3管理方面的對策
在管理方面,由于網(wǎng)上支付涉及到許多部門和機構,容易造成混亂的局面。通常來說,電子商務的網(wǎng)上支付系統(tǒng)是融購物流程、支付工具、安全技術、認證體系、信用體系以及現(xiàn)在有的金融體系為一體的綜合大系統(tǒng)。因此,統(tǒng)一而先進的管理和規(guī)范就顯得尤為重要。例如,各家銀行應該盡快制定統(tǒng)一的互聯(lián)網(wǎng)支付標準以及盡快為互聯(lián)網(wǎng)用戶提供統(tǒng)一的接口。
另外還要建立一個在系統(tǒng)操作過程中的完善的管理制度。支付的過程盡管是在計算機和網(wǎng)絡上自動進行的,但總離不開人的介入。從世界范圍內(nèi)的經(jīng)驗可以知道,銀行系統(tǒng)資金不安全或者各類詐騙活動的發(fā)生,不是技術不安全造成的,而是制度上的缺陷所出現(xiàn)的。因此嚴格的管理制度建設就非常重要。
前提隨著信息化的浪潮席卷全球,傳統(tǒng)的商務模式越來越受到巨大的沖擊。越來越多的企業(yè)和個人消費者,在internet開放的網(wǎng)絡環(huán)境下,基于瀏覽器/服務器應用方式,實現(xiàn)消費者地網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付的一種新型的商業(yè)運營模式----電子商務。更由于電子商務本身的開放性、全球性、低成本、高效率等特征,使得它不僅僅是一種新的貿(mào)易形式,它不僅會改變企業(yè)本身的生產(chǎn)、經(jīng)營、管理活動,而且將影響到整個社會的經(jīng)濟運行與機構。
電子商務將傳統(tǒng)的商務流程電子化、數(shù)字化,一方面以電子流代替了實物流、資金流,可以大量減少人力、物力,降低了成本;另一方面突破了時間和空間的限制,使得交易活動可以在任何時間、任何地點進行,從而大大的提高了效率。
電子商務在現(xiàn)代社會占據(jù)如此重要的地位,而internet自身的開放性、廣泛性和匿名性,給電子商務帶來諸多的安全隱患:
•身份認證:由于非法用戶可以偽造、假冒商戶網(wǎng)站和買家身份,因此登錄到商戶網(wǎng)站的用戶無法知道他們所登錄的網(wǎng)站是否是可信的商戶網(wǎng)站,商戶網(wǎng)站也無法驗證登錄到網(wǎng)站上的買家是經(jīng)過認證的合法用戶,非法用戶可以借機進行破壞。而整個網(wǎng)上電子商務是在商戶(用戶)和用戶(商戶)互不見面的情況下,通過internet和網(wǎng)絡技術完成的,需要確認彼此的真實身份,保證交易全過程的安全進行。•信息的真實性:交易各方在平臺上的信息、交易談判信息和電子化交易合同等是否是真實的信息,由于internet的匿名性,使得一些投機分子可以提交一些虛假的信息,達到欺騙的行為;•信息的不可抵賴性:對于信息、交易談判、交易合同簽署、交易平臺的信息提供等關鍵交易步驟,一旦有一方予以否認,另一方?jīng)]有已簽名的記錄作為仲裁的依據(jù)。•信息的機密性:買家向商戶網(wǎng)站上船的財務信息和其他一些機密資料有可能在傳遞過程中被非法用戶截取。•信息的完整性:敏感、機密信息和數(shù)據(jù)在用戶和網(wǎng)站的傳遞是可能被非法用戶惡意篡改,造成用戶的重大損失。
中小型b2c電子商務網(wǎng)站
特點:
1、商品品種較少,或者比較單一。
2、交易金額較低。
3、交易量不大,單個用戶購買頻率低。
4、發(fā)生隨機性高,
主要解決問題:
1、網(wǎng)站身份的驗證:保證用戶訪問的是一個安全,真實的商戶網(wǎng)站,防止非法用戶冒充真的網(wǎng)站騙取錢款。
2、交易數(shù)據(jù)加密:防止泄漏重要財務信息,尤其是有些數(shù)字商品,本身就是數(shù)字形式,一旦被別人竊聽,將造成直接損失。
3、交易數(shù)據(jù)驗證:防止交易數(shù)據(jù)在傳輸過程被人篡改。
4、交易數(shù)據(jù)的不可抵賴性:保證交易的全過程,能夠被記錄并作為審計依據(jù)。
5、操作的簡易性:由于用戶偶爾使用一次該類型網(wǎng)站,過份復雜和繁瑣的安全操作,會使用戶產(chǎn)生厭煩情緒,甚至影響用戶購買,如何保證即安全又方便,是同樣重要的問題。
解決方案如下圖:
說明:
只需要在中小型b2c電子商務網(wǎng)站上安裝:全球信ssl專業(yè)版(quicksslpremium)即可實現(xiàn)。通過安裝quicksslpremium,可以實現(xiàn):
1、用戶和網(wǎng)站之間的數(shù)據(jù)采用128/256位加密,防止數(shù)據(jù)傳輸過程中有人監(jiān)聽。
2、網(wǎng)站身份的驗證,通過geotrust專有的網(wǎng)站簽章技術,保證該簽章是不能被復制和假冒的,同時還能自動生成一個實時的日期和時間戳。
3、簡單易用,用戶務須安裝任何其他的軟件,和專業(yè)知識就可以安全的使用網(wǎng)站服務。
4、geotrust是業(yè)界第2大的且發(fā)展速度最快的證書頒發(fā)機構,通過國際著名的geotrust品牌可以提升客戶對網(wǎng)站的信賴度。
5、安裝簡單,單根證書,無需級聯(lián)安裝。
6、兼容99%以上的瀏覽器和web服務器
大型電子商務網(wǎng)站、銀行、金融網(wǎng)站
特點:
1、商品品種多,內(nèi)容大而全。
2、交易金額較高,資金流動大。
3、交易量大,用戶操作次數(shù)頻繁。
4、客戶群固定,用戶對安全性要求高。
主要解決問題:
1、網(wǎng)站身份的驗證:保證用戶訪問的是一個安全,真實的商戶網(wǎng)站,防止非法用戶冒充真的網(wǎng)站騙取錢款以及用戶帳戶信息。
2、交易數(shù)據(jù)加密:防止泄漏重要財務信息,帳戶信息,交易數(shù)據(jù)信息被人竊聽、盜用。
3、交易數(shù)據(jù)的不可抵賴性:保證交易的全過程,能夠被記錄并作為審計依據(jù)。
4、用戶身份的驗證:能夠查證用戶的真實身份,聯(lián)系信息,財務信用,對網(wǎng)上交易能做數(shù)據(jù)簽名,保證交易數(shù)據(jù)的完整性、真實性、不可抵賴性。
5、交易數(shù)據(jù)完整性:敏感、機密、重要的數(shù)據(jù)在傳遞過程中,防止被人篡改。解決方案如下圖:說明:在網(wǎng)站服務器(集群)端安裝全球信ssl企業(yè)版(truebusinessid),同時為客戶分配個人證書(mycredential)。這樣可以實現(xiàn):
1、用戶和網(wǎng)站之間的數(shù)據(jù)采用128/256位加密,防止數(shù)據(jù)傳輸過程中有人監(jiān)聽。
2、網(wǎng)站身份的驗證,通過geotrusttruebusinessid專有的網(wǎng)站簽章技術,保證該簽章是不能被復制和假冒的,同時還能在簽章上顯示網(wǎng)站的名稱,并自動生成一個實時的日期和時間戳。而且truebusinessid證書審核了網(wǎng)站的書面資料,具有最高的可信度和安全性。
3、簡單易用,用戶務須安裝任何其他的軟件,和專業(yè)知識就可以安全的使用網(wǎng)站服務,用戶的個人證書可以通過usbtoken方式,使用極為方便
4、通過個人證書,能夠有效驗證用戶帳號,查證用戶的身份信息和個人信用,并對交易數(shù)據(jù)做數(shù)字簽名,保證交易內(nèi)容不可抵賴。
5、geotrust是業(yè)界第2大的且發(fā)展速度最快的證書頒發(fā)機構,通過國際著名的geotrust品牌可以提升客戶對網(wǎng)站的信賴度。
同上一堂網(wǎng)絡國家安全課總結
為進一步加強小學生思想道德建設,引導廣大小學生形成文明健康的網(wǎng)絡生活方式,培育崇德向善的網(wǎng)絡行為規(guī)范,增強信息安全和防詐騙意識,2020年4月13日,無極縣實驗小學開展了“同上一堂網(wǎng)絡國家安全課”主題班會活動。各班級通過播放網(wǎng)絡安全案例視頻、講述電信詐騙案例等讓學生們提高警惕,更加深刻地體會到了信息安全的重要性。上了這節(jié)網(wǎng)絡國家安全課,學生們感觸頗深,積極地寫班會感想,保證遵守網(wǎng)絡道德與法律法規(guī),切實做到文明健康上網(wǎng)。
同時,學校教育處在學校大門電子屏上、微信等形式宣傳網(wǎng)絡國家安全教育,以鼓勵倡導師生帶動家庭傳播文化正能量,積極爭做中國好網(wǎng)民。教育處還組織全校學生積極踴躍參加網(wǎng)絡國家安全教育手抄報活動。
綜上所述,對小學生進行安全教育是一項系統(tǒng)工程,在外部,需要社會、學校、家庭緊密配合;在內(nèi)部,需要學校的各個部門通力合作、齊抓共管,組織學生積極參與,這樣才能達到對小學生進行安全教育的目的。
[關鍵詞]電子商務;網(wǎng)絡隱私權;信息安全技術;安全協(xié)議;P2P技術;安全對策
隨著電子商務技術的發(fā)展,網(wǎng)絡交易安全成為了電子商務發(fā)展的核心和關鍵問題。在利益驅使下,有些商家在網(wǎng)絡應用者不知情或不情愿的情況下,采取各種技術手段取得和利用其信息,侵犯了上網(wǎng)者的隱私權。對網(wǎng)絡隱私權的有效保護,成為電子商務順利發(fā)展的重要市場環(huán)境條件。
一、網(wǎng)絡隱私權侵權現(xiàn)象
1.個人的侵權行為。個人未經(jīng)授權在網(wǎng)絡上宣揚、公開、傳播或轉讓他人、自己和他人之間的隱私;個人未經(jīng)授權而進入他人計算機系統(tǒng)收集、獲得信息或騷擾他人;未經(jīng)授權截取、復制他人正在傳遞的電子信息;未經(jīng)授權打開他人的電子郵箱或進入私人網(wǎng)上信息領域收集、竊取他人信息資料。
2.商業(yè)組織的侵權行為。專門從事網(wǎng)上調(diào)查業(yè)務的商業(yè)組織進行窺探業(yè)務,非法獲取他人信息,利用他人隱私。大量網(wǎng)站為廣告商濫發(fā)垃圾郵件。利用收集用戶個人信息資料,建立用戶信息資料庫,并將用戶的個人信息資料轉讓、出賣給其他公司以謀利,或是用于其他商業(yè)目的。根據(jù)紐約時報報道,、Toysmart和等網(wǎng)站,都曾將客戶姓名、住址、電子郵件甚至信用卡號碼等統(tǒng)計分析結果標價出售,以換取更多的資金。
3.部分軟硬件設備供應商的蓄意侵權行為。某些軟件和硬件生產(chǎn)商在自己銷售的產(chǎn)品中做下手腳,專門從事收集消費者的個人信息的行為。例如,某公司就曾經(jīng)在其生產(chǎn)的某代處理器內(nèi)設置“安全序號”,每個使用該處理器的計算機能在網(wǎng)絡中被識別,生產(chǎn)廠商可以輕易地收到用戶接、發(fā)的信息,并跟蹤計算機用戶活動,大量復制、存儲用戶信息。
4.網(wǎng)絡提供商的侵權行為
(1)互聯(lián)網(wǎng)服務提供商(ISPInternetServiceProvider)的侵權行為:①ISP具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私權。例:ISP把其客戶的郵件轉移或關閉,造成客戶郵件丟失、個人隱私、商業(yè)秘密泄露。②ISP對他人在網(wǎng)站上發(fā)表侵權信息應承擔責任。
(2)互聯(lián)網(wǎng)內(nèi)容提供商(ICPInternetContentProvider)的侵權行為。ICP是通過建立網(wǎng)站向廣大用戶提供信息,如果ICP發(fā)現(xiàn)明顯的公開宣揚他人隱私的言論,采取放縱的態(tài)度任其擴散,ICP構成侵害用戶隱私權,應當承擔過錯責任。
5.網(wǎng)絡所有者或管理者的監(jiān)視及竊聽。對于局域網(wǎng)內(nèi)的電腦使用者,某些網(wǎng)絡的所有者或管理者會通過網(wǎng)絡中心監(jiān)視使用者的活動,竊聽個人信息,尤其是監(jiān)控使用人的電子郵件,這種行為嚴重地侵犯了用戶的隱私權。
二、網(wǎng)絡隱私權問題產(chǎn)生的原因
網(wǎng)絡隱私權遭受侵犯主要是由于互聯(lián)網(wǎng)固有的結構特性和電子商務發(fā)展導致的利益驅動這兩個方面的原因。
1.互聯(lián)網(wǎng)的開放性。從網(wǎng)絡本身來看,網(wǎng)絡是一個自由、開放的世界,它使全球連成一個整體,它一方面使得搜集個人隱私極為方便,另一方面也為非法散布隱私提供了一個大平臺。由于互聯(lián)網(wǎng)成員的多樣和位置的分散,其安全性并不好?;ヂ?lián)網(wǎng)上的信息傳送是通過路由器來傳送的,而用戶是不可能知道是通過哪些路由進行的,這樣,有些人或組織就可以通過對某個關鍵節(jié)點的掃描跟蹤來竊取用戶信息。也就是說從技術層面上截取用戶信息的可能性是顯然存在的。
2.網(wǎng)絡小甜餅cookie。某些Web站點會在用戶的硬盤上用文本文件存儲一些信息,這些文件被稱為Cookie,包含的信息與用戶和用戶的愛好有關?,F(xiàn)在的許多網(wǎng)站在每個訪客進入網(wǎng)站時將cookie放入訪客電腦,不僅能知道用戶在網(wǎng)站上買了些什么,還能掌握該用戶在網(wǎng)站上看過哪些內(nèi)容,總共逗留了多長時間等,以便了解網(wǎng)站的流量和頁面瀏覽數(shù)量。另外,網(wǎng)絡廣告商也經(jīng)常用cookie來統(tǒng)計廣告條幅的點擊率和點擊量,從而分析訪客的上網(wǎng)習慣,并由此調(diào)整廣告策略。一些廣告公司還進一步將所收集到的這類信息與用戶在其他許多網(wǎng)站的瀏覽活動聯(lián)系起來。這顯然侵犯了他人的隱私。
3.網(wǎng)絡服務提供商(ISP)在網(wǎng)絡隱私權保護中的責任。ISP對電子商務中隱私權保護的責任,包括:在用戶申請或開始使用服務時告知使用因特網(wǎng)可能帶來的對個人權利的危害;告知用戶可以合法使用的降低風險的技術方法;采取適當?shù)牟襟E和技術保護個人的權利,特別是保證數(shù)據(jù)的統(tǒng)一性和秘密性,以及網(wǎng)絡和基于網(wǎng)絡提供的服務的物理和邏輯上的安全;告知用戶匿名訪問因特網(wǎng)及參加一些活動的權利;不為促銷目的而使用數(shù)據(jù),除非得到用戶的許可;對適當使用數(shù)據(jù)負有責任,必須向用戶明確個人權利保護措施;在用戶開始使用服務或訪問ISP站點時告知其所采集、處理、存儲的信息內(nèi)容、方式、目的和使用期限;在網(wǎng)上公布數(shù)據(jù)應謹慎。
目前,網(wǎng)上的許多服務都是免費的,如免費電子郵箱、免費下載軟件、免費登錄為用戶或會員以接收一些信息以及一些免費的咨詢服務等,然而人們發(fā)現(xiàn)在接受這些免費服務時,必經(jīng)的一道程序就是登錄個人的一些資料,如姓名、地址、工作、興趣愛好等,服務提供商會聲稱這是為了方便管理,但是,也存在著服務商將這些信息挪作他用甚至出賣的可能。
三、安全技術對網(wǎng)絡隱私權保護
1.電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于安全技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數(shù)據(jù)保護技術、軟件保護技術、病毒檢測及清除技術、內(nèi)容分類識別和過濾技術、系統(tǒng)安全監(jiān)測報警技術等。
(1)防火墻技術。防火墻(Firewall)是近年來發(fā)展的最重要的安全技術,它的主要功能是加強網(wǎng)絡之間的訪問控制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡(被保護網(wǎng)絡)。
(2)加密技術。數(shù)據(jù)加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數(shù)據(jù)加密原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。
(3)數(shù)字簽名技術。數(shù)字簽名(Digital??Signature)技術是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統(tǒng)中,數(shù)字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整、不可否認服務中都要用到數(shù)字簽名技術。
(4)數(shù)字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內(nèi)容。在簽名時加上一個時間標記,即有數(shù)字時間戳(DigitaTime-stamp)的數(shù)字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。
2.電子商務信息安全協(xié)議
(1)安全套接層協(xié)議(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年設計開發(fā)的,主要用于提高應用程序之間的數(shù)據(jù)的安全系數(shù)。SSL的整個概念可以被總結為:一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶、服務器應用程序提供了客戶端與服務的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。
(2)安全電子交易公告(SecureElectronicTransactions,SET)。SET是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。SET已成為全球網(wǎng)絡的工業(yè)標準。
(3)安全超文本傳輸協(xié)議(S-HTTP)。依靠密鑰的加密,保證Web站點間的交換信息傳輸?shù)陌踩?。SHTTP對HT-TP的安全性進行了擴充,增加了報文的安全性,是基于SSL技術上發(fā)展的。該協(xié)議向互聯(lián)網(wǎng)的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。
(4)安全交易技術協(xié)議(STT)。STT將認證與解密在瀏覽器中分離開,以提高安全控制能力。
(5)UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。
3.P2P技術與網(wǎng)絡信息安全。P2P(Peer-to-Peer,即對等網(wǎng)絡)是近年來廣受IT業(yè)界關注的一個概念。P2P是一種分布式網(wǎng)絡,最根本的思想,同時它與C/S最顯著的區(qū)別在于網(wǎng)絡中的節(jié)點(peer)既可以獲取其它節(jié)點的資源或服務,同時,又是資源或服務的提供者,即兼具Client和Server的雙重身份。一般P2P網(wǎng)絡中每一個節(jié)點所擁有的權利和義務都是對等的,包括通訊、服務和資源消費。
(1)隱私安全性
①目前的Internet通用協(xié)議不支持隱藏通信端地址的功能。攻擊者可以監(jiān)控用戶的流量特征,獲得IP地址。甚至可以使用一些跟蹤軟件直接從IP地址追蹤到個人用戶。SSL之類的加密機制能夠防止其他人獲得通信的內(nèi)容,但是這些機制并不能隱藏是誰發(fā)送了這些信息。而在P2P中,系統(tǒng)要求每個匿名用戶同時也是服務器,為其他用戶提供匿名服務。由于信息的傳輸分散在各節(jié)點之間進行而無需經(jīng)過某個集中環(huán)節(jié),用戶的隱私信息被竊聽和泄漏的可能性大大縮小。P2P系統(tǒng)的另一個特點是攻擊者不易找到明確的攻擊目標,在一個大規(guī)模的環(huán)境中,任何一次通信都可能包含許多潛在的用戶。
②目前解決Internet隱私問題主要采用中繼轉發(fā)的技術方法,從而將通信的參與者隱藏在眾多的網(wǎng)絡實體之中。而在P2P中,所有參與者都可以提供中繼轉發(fā)的功能,因而大大提高了匿名通訊的靈活性和可靠性,能夠為用戶提供更好的隱私保護。
(2)對等誠信
為使得P2P技術在更多的電子商務中發(fā)揮作用,必須考慮到網(wǎng)絡節(jié)點之間的信任問題。實際上,對等誠信由于具有靈活性、針對性并且不需要復雜的集中管理,可能是未來各種網(wǎng)絡加強信任管理的必然選擇。
對等誠信的一個關鍵是量化節(jié)點的信譽度?;蛘哒f需要建立一個基于P2P的信譽度模型。信譽度模型通過預測網(wǎng)絡的狀態(tài)來提高分布式系統(tǒng)的可靠性。一個比較成功的信譽度應用例子是在線拍賣系統(tǒng)eBay。在eBay的信譽度模型中,買賣雙方在每次交易以后可以相互提升信譽度,一名用戶的總的信譽度為過去6個月中這些信譽度的總和。eBay依靠一個中心來管理和存儲信譽度。同樣,在一個分布式系統(tǒng)中,對等點也可以在每次交易以后相互提升信譽度,就象在eBay中一樣。例如,對等點i每次從j下載文件時,它的信譽度就提升(+1)或降低(-1)。如果被下載的文件是不可信的,或是被篡改過的,或者下載被中斷等,則對等點i會把本次交易的信譽度記為負值(-1)。就象在eBay中一樣,我們可以把局部信譽度定義為對等點i從對等點j下載文件的所有交易的信譽度之和。
每個對等點i可以存貯它自身與對等點j的滿意的交易數(shù),以及不滿意的交易數(shù),則可定義為:
Sij=sat(i,j)-unsat(i,j)
四、電子商務中的隱私安全對策
1.加強網(wǎng)絡隱私安全管理。我國網(wǎng)絡隱私安全管理除現(xiàn)有的部門分工外,要建立一個具有高度權威的信息安全領導機構,才能有效地統(tǒng)一、協(xié)調(diào)各部門的職能,研究未來趨勢,制定宏觀政策,實施重大決定。
2.加快網(wǎng)絡隱私安全專業(yè)人才的培養(yǎng)。在人才培養(yǎng)中,要注重加強與國外的經(jīng)驗技術交流,及時掌握國際上最先進的安全防范手段和技術措施,確保在較高層次上處于主動。
3.開展網(wǎng)絡隱私安全立法和執(zhí)法。加快立法進程,健全法律體系。結合我國實際,吸取和借鑒國外網(wǎng)絡信息安全立法的先進經(jīng)驗,對現(xiàn)行法律體系進行修改與補充,使法律體系更加科學和完善。
4.抓緊網(wǎng)絡隱私安全基礎設施建設。國民經(jīng)濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現(xiàn)。為此,需要建立中國的公開密鑰基礎設施、信息安全產(chǎn)品檢測評估基礎設施、應急響應處理基礎設施等。
5.建立網(wǎng)絡風險防范機制。在網(wǎng)絡建設與經(jīng)營中,因為安全技術滯后、道德規(guī)范蒼白、法律疲軟等原因,往往會使電子商務陷于困境,這就必須建立網(wǎng)絡風險防范機制。建議網(wǎng)絡經(jīng)營者可以在保險標的范圍內(nèi)允許標保的財產(chǎn)進行標保,并在出險后進行理賠。
6.強化網(wǎng)絡技術創(chuàng)新,重點研究關鍵芯片與內(nèi)核編程技術和安全基礎理論。統(tǒng)一組織進行信息安全關鍵技術攻關,以創(chuàng)新的思想,超越固有的約束,構筑具有中國特色的信息安全體系。
7.注重網(wǎng)絡建設的規(guī)范化。沒有統(tǒng)一的技術規(guī)范,局部性的網(wǎng)絡就不能互連、互通、互動,沒有技術規(guī)范也難以形成網(wǎng)絡安全產(chǎn)業(yè)規(guī)模。目前,國際上出現(xiàn)許多關于網(wǎng)絡隱私安全的技術規(guī)范、技術標準,目的就是要在統(tǒng)一的網(wǎng)絡環(huán)境中保證隱私信息的絕對安全。我們應從這種趨勢中得到啟示,在同國際接軌的同時,拿出既符合國情又順應國際潮流的技術規(guī)范。
參考文獻:
[1]屈云波.電子商務[M].北京:企業(yè)管理出版社,1999.
[2]趙立平.電子商務概論[M].上海:復旦大學出版社,2000.
[3]趙戰(zhàn)生.我國信息安全及其技術研究[J].中國信息導報,1999,(8).
[關鍵詞]網(wǎng)上銀行 網(wǎng)絡支付 安全性問題
隨著電子商務技術的發(fā)展,網(wǎng)上銀行的使用也越來越廣泛,但是網(wǎng)上銀行還存在很大的安全問題,必須引起廣大網(wǎng)民群眾的重視。
一、我國網(wǎng)上銀行存在的安全性問題
1.網(wǎng)上銀行網(wǎng)站存在的安全性問題
在網(wǎng)絡銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網(wǎng)站也不會將密碼視為無效。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點”也是網(wǎng)上銀行使用中一個非常重要的安全隱患。客戶在不了解情況時就會向虛假站點發(fā)送ID和密碼??蛻舭l(fā)送完畢后,如果顯示出一個“服務馬上就要停止”的畫面,或者把客戶訪問重新引導到正規(guī)站點上,客戶當時是很難察覺的。這樣一來,就存在有人進行非法資金轉移的可能性。
2.交易信息在商家與銀行之間傳遞的安全性問題
因為互聯(lián)網(wǎng)的虛擬性,交易雙方無法確保對方身份的真實性,尤其在當事人僅僅通過互聯(lián)網(wǎng)交流時,在這種情況下,要建立交易雙方的信用機制和安全感是非常困難的。資金在網(wǎng)上劃撥,安全性是最大問題,發(fā)展網(wǎng)上銀行業(yè)務,大量經(jīng)濟信息在網(wǎng)上傳遞。而在以網(wǎng)上支付為核心的網(wǎng)上銀行,電子商務最核心的部分包括CA認證在內(nèi)的電子支付流程。就是說國內(nèi)目前的網(wǎng)上銀行還不能算真正的網(wǎng)上銀行,只有真正建立起國家金融權威認證中心(CA)系統(tǒng),才能為網(wǎng)上支付提供法律保障。
3.交易信息在消費者與銀行之間傳遞的安全性問題
目前,我國銀行卡持有人安全意識普遍較弱,不注意密碼保密,或將密碼設為生日等易被猜測的數(shù)字。一旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網(wǎng)上被盜用,例如進行購物消費等,從而造成損失,而銀行技術手段對此卻無能為力。因此一些銀行規(guī)定:客戶必須持合法證件到銀行柜臺簽約才能使用“網(wǎng)上銀行”進行轉賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計算機上使用網(wǎng)上銀行,可能會使數(shù)字證書等機密資料落入他人之手,從而直接使網(wǎng)上身份識別系統(tǒng)被攻破,網(wǎng)上賬戶被盜用。用戶和銀行之間通過互聯(lián)網(wǎng)傳遞的信息是實現(xiàn)交易的基礎條件,如何確保不被第三方知道,是網(wǎng)上業(yè)務安全進行的一個重要前提。
綜上所述,其根本原因都是由于登錄密碼或支付密碼泄露造成的。①密碼管理問題。②網(wǎng)絡病毒、木馬問題。③釣魚平臺。另外還有網(wǎng)上支付的信用問題、網(wǎng)上支付的法律問題和網(wǎng)上安全認證機構(CA)建設混亂等問題。
二、網(wǎng)上銀行安全性問題解決的對策
1.做好自身電腦的日常安全維護
一是經(jīng)常給電腦系統(tǒng)升級。二是安裝殺毒軟件、防火墻,經(jīng)常升級和殺毒。三在平時上網(wǎng)是盡量不上一些小型網(wǎng)站,選大型網(wǎng)站,知名度比較高的網(wǎng)站,避免網(wǎng)站掛有病毒、木馬造成中毒。四盡量不要在公共電腦上使用自己的有關資金的賬戶和密碼。五有條件的情況下,在初裝系統(tǒng)后確認電腦安全的后,給自己的電腦做上備份,在使用資金賬戶前做一次系統(tǒng)恢復。
2.設立防火墻,隔離相關網(wǎng)絡
所謂防火墻指的是位與不同網(wǎng)絡安全域之間的軟件和硬件設備的一系列部件的組合,作為不同網(wǎng)絡安全域之間通信流的唯一通道,并根據(jù)用戶的有關策略控制進出不同網(wǎng)絡安全域的訪問?,F(xiàn)實生活中一般采用多重防火墻方案,分隔互聯(lián)網(wǎng)與交易服務器,防止互聯(lián)網(wǎng)用戶的非法入侵;還用于交易服務器與銀行內(nèi)部網(wǎng)的分隔,有效保護銀行內(nèi)部網(wǎng),同時防止內(nèi)部網(wǎng)對交易服務器的入侵。
3.設置高安全級的web應用服務器
高安全級的web服務器使用可信的專用操作系統(tǒng),憑借其獨特的體系結構和安全檢查,保證只有合法用戶的交易請求能通過特定的程序送至應用服務器進行后續(xù)處理。
4.建立完善的身份認證和CA認證系統(tǒng)
在網(wǎng)上銀行系統(tǒng)中,用戶的身份認證依靠基于“RSA公鑰密碼體制”的加密機制、數(shù)字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數(shù)字簽名和登錄密碼進行檢驗,全部通過后才能確認該用戶的身份。用戶的惟一身份標識就是銀行簽發(fā)的“數(shù)字證書”。用戶的登錄密碼以密文的方式進行傳輸,確保了身份認證的安全可靠性。數(shù)字證書的引入,同時實現(xiàn)了用戶對銀行交易網(wǎng)站的身份認證,以保證訪問的是真實的銀行網(wǎng)站,另外還確保了客戶提交的交易指令的不可否認性。由于數(shù)字證書的惟一性和重要性,各家銀行為開展網(wǎng)上業(yè)務都成立了CA認證機構,專門負責簽發(fā)和管理數(shù)字證書,并進行網(wǎng)上身份審核。2000年6月,由中國人民銀行牽頭,12家商業(yè)銀行聯(lián)合共建的中國金融認證中心(CFCA)正式掛牌運營。這標志著中國電子商務進入了銀行安全支付的新階段。中國金融認證中心作為一個權威的、可信賴的、公正的第三方信任機構,為今后實現(xiàn)跨行交易提供了身份認證基礎。
5.加強客戶的安全意識和網(wǎng)絡通訊的安全性
銀行卡持有人的安全意識是影響網(wǎng)上銀行安全性的不可忽視的重要因素。一些銀行規(guī)定:客戶必須持合法證件到銀行柜臺簽約才能使用“網(wǎng)上銀行”進行轉賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計算機上使用網(wǎng)上銀行,可能會使數(shù)字證書等機密資料落入他人之手,從而直接使網(wǎng)上身份識別系統(tǒng)被攻破,網(wǎng)上賬戶被盜用。
安全性作為網(wǎng)絡銀行賴以生存和得以發(fā)展的核心及基礎,從一開始就受到各家銀行的極大重視,都采取了有效的技術和業(yè)務手段來確保網(wǎng)上銀行安全。但安全性和方便性又是互相矛盾的,越安全就意味著申請手續(xù)越煩瑣,使用操作越復雜,影響了方便性,使客戶使用起來感到困難。因此,必須在安全性和方便性上進行權衡。
互聯(lián)網(wǎng)是一個開放的網(wǎng)絡,客戶在網(wǎng)上傳輸?shù)拿舾行畔⒃谕ㄓ嵾^程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發(fā)生,網(wǎng)上銀行系統(tǒng)一般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數(shù)據(jù)加密協(xié)議。
參考文獻:
[1]孫強.互聯(lián)網(wǎng)商務應用[M].北京:對外經(jīng)濟貿(mào)易大學出版社,2000.
[2]關翔.中國電子商務與實踐[M].北京:清華大學出版社,2000.
[關鍵詞] 安全管理 監(jiān)控 審計 安全構架
電子商務是通過電子方式處理和傳遞數(shù)據(jù),包括文本、聲音和圖像,它涉及許多方面的活動,包括貨物電子貿(mào)易和服務、在線數(shù)據(jù)傳遞、電子資金劃撥、電子證券交易、電子貨運單證、商品拍賣、合作設計和工程、在線資料、公共產(chǎn)品獲得等內(nèi)容。電子商務的發(fā)展勢頭非常驚人,但它的產(chǎn)值在全球生產(chǎn)總值中卻只占極小的一部分,原因就在于電子商務的安全問題,美國密執(zhí)安大學的一個調(diào)查機構通過對23000名因特網(wǎng)用戶的調(diào)查顯示:超過60%的人由于擔心電子商務的安全問題而不愿意進行網(wǎng)上購物。因此,從傳統(tǒng)的基于紙張的貿(mào)易方式向電子化的貿(mào)易方式轉變過程中,如何建立一個安全、便捷的電子商務應用環(huán)境,對信息提供足夠的保護,已經(jīng)成為影響到電子商務健康發(fā)展的關鍵性課題。
一、與網(wǎng)絡安全相關的因素
網(wǎng)絡安全從本質(zhì)上講就是網(wǎng)絡上信息的安全,包括靜態(tài)信息的存儲安全和信息的傳輸安全。從廣義上講,凡是涉及網(wǎng)絡上信息的保密性、完整心、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。因此為保證網(wǎng)絡的安全,必須保證一下四個方面的安全:
1.運行系統(tǒng)的安全;
2.網(wǎng)絡上系統(tǒng)信息的安全;
3.網(wǎng)絡上信息傳播安全;
4.網(wǎng)絡上信息內(nèi)容的安全。
為了保證這些方面的安全,大家通常會使用一些網(wǎng)絡安全產(chǎn)品,如防火墻、VPN、數(shù)字簽名等,這些安全產(chǎn)品和技術的使用樂意從一定程度上滿足網(wǎng)絡安全需求,但不能滿足整體的安全需求,因為它們只能保護特定的某一方面的,而對于網(wǎng)絡系統(tǒng)來講,它需要的是一個整體的安全策略,這個策略不僅包括安全保護,它還應該包括安全管理、實時監(jiān)控、響應和恢復措施,因為目前沒有絕對的安全,無論你的網(wǎng)絡系統(tǒng)布署的如何周密,你的系統(tǒng)總會有被攻擊和攻破的可能,而這時你會怎么半呢?采用一些恢復措施,幫助你在最短的時間使網(wǎng)絡系統(tǒng)恢復正常工作恐怕是最主要的了。因此在構筑你的網(wǎng)絡安全解決方案中一定要注重一個整體的策略,下面我們將介紹一種整體的安全構架。
二、電子商務安全的整體構架
我們介紹的電子商務構架概括為“一個中心,四個基本點”。一個中心就是以安全管理為中心,四個基本點是保護、監(jiān)控、響應和恢復。這樣一種構架機制囊括了從保護到在線監(jiān)控,到響應和恢復的各個方面,是一種層層防御的機制,因此這種構架可以為用戶構筑一個整體的安全方案。
1.安全管理。安全管理就是通過一些管理手段來達到保護網(wǎng)絡安全的目的。它所包含的內(nèi)容有安全管理制度的制定、實施和監(jiān)督,安全策略的制定、實施、評估和修改,以及對人員的安全意識的培訓、教育等。
2.保護。保護就是采用一些網(wǎng)絡安全產(chǎn)品、工具和技術保護網(wǎng)絡系統(tǒng)、數(shù)據(jù)和用戶。這種保護可以稱作靜態(tài)保護,它通常是指一些基本防護,不具有實時性,因此我們就可以在防火墻的規(guī)則中加入一條,禁止所有從外部網(wǎng)用戶到內(nèi)部網(wǎng)WEB服務器的連接請求,這樣一旦這條規(guī)則生效,它就會持續(xù)有效,除非我們改變了這條規(guī)則。這樣的保護可以預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態(tài)保護。
3.監(jiān)控/審計。監(jiān)控就是實時監(jiān)控網(wǎng)絡上正在發(fā)生的事情,這是任何一個網(wǎng)絡管理員都想知道的,審計一直被認為是經(jīng)典安全模型的一個重要組成部分。審計是通過記錄下通過網(wǎng)絡的所有數(shù)據(jù)包,然后分析這些數(shù)據(jù)包,幫助你查找已知的攻擊手段,可疑的破壞行為,來達到保護網(wǎng)絡的目的。
監(jiān)控和審計是實時保護的一種策略,它主要滿足一種動態(tài)安全的需求。因為網(wǎng)絡安全技術在發(fā)展的同時,黑客技術也在不斷的發(fā)展,因此網(wǎng)絡安全不是一層不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網(wǎng)絡安全的發(fā)展動向以及網(wǎng)絡上發(fā)生的各種各樣的事情,以便及時發(fā)現(xiàn)新的攻擊,制定新的安全策略。有些人可能會認為這樣就不需要基本的安全保護,這種想法是錯誤的,因為安全保護是基本,監(jiān)控和審計是其有效的補充,只有這兩者有效結合,才能夠滿足動態(tài)安全的需要。
4.響應。響應就是當攻擊正在發(fā)生時,能夠及時做出響應,職向管理員報告,或者自動阻斷連接等,防止攻擊進一步的發(fā)生。響應是整個安全架構中的重要組成部分,為什么呢?因為即使你的網(wǎng)絡構筑的相當安全,攻擊或非法事件也是不可避免的要發(fā)生的,所以當攻擊或非法事件發(fā)生的時候,應該有一種機制對此做出反應,以便讓管理員及時了解到什么時候網(wǎng)絡遭到了攻擊,攻擊的行為是什么樣的,攻擊結果如何,應該采取什么樣的措施來修補安全策略,彌補這次攻擊的損失,以及防止此類攻擊再次發(fā)生。
5.恢復。當入侵發(fā)生后,對系統(tǒng)贊成了一定有破壞,如網(wǎng)絡不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等,這時,必須有一套機制來及時恢復系統(tǒng)正常工作,因此恢復電子商務安全的整體架構中也是不可少的一個組成部分?;謴褪菤w終措施,因為攻擊既然已經(jīng)發(fā)生了,系統(tǒng)也遭到了破壞,這時只有讓系統(tǒng)以最快的速度運行起來才是最重要的,否則損失將更為嚴重。
三、安全架構的工作機制
在這處安全架構中,五個方面是如何協(xié)調(diào)工作的呢?下面將以一個例子一介紹。假設有一個黑客欲攻擊一內(nèi)部網(wǎng),這個內(nèi)部網(wǎng)整體安全架構就如前面介紹的一樣,那么現(xiàn)在讓我們來看看這個安全架構是如何工作來抵制黑客的。
1.當這處黑客開始缶內(nèi)部網(wǎng)發(fā)起攻擊的時候 ,在內(nèi)部網(wǎng)的最外面有一個保護屏障,如果保護屏障可以制止黑客進入內(nèi)部網(wǎng),那么內(nèi)部網(wǎng)就不可能受到黑客的破壞,別的機制不用起作用,這時網(wǎng)絡的安全得以保證。
2.黑客通過繼續(xù)努力,可能獲得了進入內(nèi)部網(wǎng)的權力,也就是說他可能欺騙了保護機制而進入內(nèi)部網(wǎng),這時監(jiān)控/審計機制開始起作用,監(jiān)控/審計機制能夠在線看到發(fā)生在網(wǎng)絡上的事情,它們能夠識別出這種攻擊,如發(fā)現(xiàn)可疑人員進入網(wǎng)絡,這樣它們就會給響應機制一些信息,響應機制根據(jù)監(jiān)控/審計結果來采取一些措施,職立刻斷開斷開這條連接、取消服務、查找黑客通過何種手段進入網(wǎng)絡等等,來達到保護網(wǎng)絡的目的。
3.黑客通過種種努力,終于進入了內(nèi)部網(wǎng),如果一旦黑客對系統(tǒng)進行了破壞,這時及時恢復系統(tǒng)可用將是最主要的事情了,這樣恢復機制就是必須的了,當系統(tǒng)恢復完畢后,又是新一輪的安全保護開始了。