(1)防火墙安全策略
①没有被列为允许访问的服务都是被禁止的,这就意味着需要确定所有可以被提供的服务以及他们的安全特性,开放这些服务,并将所有其他未列入的服务排斥在外、禁止访问。
②没有被列为禁止访问的服务都是被允许的,这意味着首先确定那些被禁止的、不安全的服务,以禁止他们来访问,而其他服务则被认为是安全的、允许访问。
(2)防火墙的组成
(3)实现防火墙的主要技术
①包过滤(Packet Filter)技术
是在OSI分层协议的网络层对通过的数据包进行过滤的一种技术。当它收到数据包后,先检查该数据包的包头,查找其中某些域中的值,再利用系统内事先设置好的过滤规则(或称逻辑),把所有满足过滤规则的数据包都发送到相应的目标地址端口,而把不满足过滤规则的数据包从数据流中剔除。这些被检查的域包括数据包的类型(TCP或UDP等)、源IP地址、目标IP地址、目标TCP/IP端口等。
②应用网关(Application Gateway)
是建立在应用层上的协议过滤技术。它在内部网络和外部网络之间设置一个代理主机,并针对特定的网络应用服务协议采取特定的数据过滤规则或逻辑,同时还对数据包进行统计分析,形成相关的报告。在实际应用中,应用网关一般由专用的工作站系统来完成。
③代理服务(Proxy Server)技术
利用一个应用层网关作为代理服务器,可以防止Internet上的非法用户直接获取Intranet中的有关信息。所有来自Internet的应用连接请求均被送到代理服务器中,由代理服务器进行安全检查后,再与Intranet中的应用服务器建立连接。代理服务器可以实施较强的数据流监控、过滤、记录和报告等功能,而其中的代理服务技术则由专用计算机来承担。
④其他
域名服务:保证内网域名与外网隔离。
E-mail处理:保证内外网函件交换必须经过防火墙。
防病毒网关、内容过滤、支持VPN等。
现实中的防火墙通常是基于上述的前三种防火墙技术来建立的。
2.加密技术
加密技术是实现信息保密性的一种重要手段,目的是为了防止合法接收者之外的人获取信息系统中的机密信息。
(1)所谓信息加密技术,就是采用数字方法对原始信息(通常称为“明文”)进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为毫无意义的文字(加密后的信息通常称为“密文”),而对于合法的接收者,因为其掌握了正确的密钥,可以通过解密过程得到原始数据(即“明文”)。一条信息的加密传递过程如所示:
信息加密传递过程
由此可见,尽管在网上传递的信息有可能被非法接收者捕获,但仍然比较安全,因为在没有密钥和解密方法的前提下,想恢复明文或读懂密文是非常困难的。
(2)根据密钥产生和使用的方式不同,可以将加密技术分为“私钥加密法”和“公钥加密法”。
私钥加密法,又称“单钥或对称加密法”,是指在对信息的加密和解密过程中使用相同的密钥,即一把钥匙开一把锁,其典型代表是美国的数据加密标准DES(Data Encryption Standard)。其优点是具有很高的保密强度,但它的密钥必须按照安全途径传递,密钥管理成为影响系统安全的关键性因素,难以满足开放式计算机网络的需求。
公钥加密法,又称“双钥或非对称加密法”。在这种系统中,密钥被分解为一对(一把公用密钥作为加密密钥,另一把专用密钥作为解密密钥),公用密钥通过非保密方式向他人公开,而另一把作为私人密钥加以保存。公钥加密法的关键在于人们不能从公用密钥来推导得出私人密钥,也不能从私人密钥推导得出公用密钥,因此其保密性比较好,消除了最终用户交换密钥的需要,但加密和解密花费时间较长。
3.认证技术
(1)信息认证是安全性的一个很重要的方面,其目的有两个:
确认信息发送者的身份;
验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。
(2)认证是为了防止他人对系统进行主动攻击的一种重要技术。与认证有关的技术包括数字签名技术、身份识别技术、信息完整性效验技术等。
其中,数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务中,完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前可以验证真伪的能力。应用广泛的数字签名算法有:RSA签名、DES签名、Hash签名。
(3)认证中心(Certificate Authorities,CA)
在电子交易中,为了保证交易的安全性、公开性,身份认证等工作不是靠交易的双方自己来完成的,而是由一个第三方机构来实现,认证中心即充当这样一个角色。
在交易双方发生利益冲突时,若其中一方企图否认自己的公共密钥和数字签名,则必须由认证中心来为交易双方担任公共密钥的认证工作。因此,使用者在生成自己的私钥后,需要直接将公共密钥和身份信息送至认证中心去认证;通过认证后,认证中心必须将签核过的凭证放入凭证数据库中,供他人查询和下载,这样,交易双方都能在认证中心取得对方的凭证,证明主体的身份以及他与公钥的匹配关系。
认证中心主要有下面几项职能:颁发证书、更新证书、查询证书、撤销证书、证书的归档。
4.安全协议
安全协议的建立和完善是电子商务系统走上规范化、标准化道路的基本因素。目前,Internet上有几种加密协议在使用,对应OSI七层网络模型的每一层都已提出了相应的协议。对应用层有SET协议,对会话层有SSL协议,在所有的协议中,SSL、SET协议与电子商务的关系最为密切。
(1)SSL协议(Secure Sockets Layer):安全套接层协议
由网景公司(Netscape)研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端及服务器的鉴别、数据完整性及信息机密性等安全措施,目的是为用户提供Internet和Intranet之间的安全通信服务。
SSL协议是较早出现且应用很广的一个安全性协议,该协议具有简单、易于实现等优点;SSL对在客户与服务器之间传输的所有数据都进行加密,而实际应用中需要加密的信息仅是很少一部分的关键性数据,因此,采用SSL协议影响了加密的效率;另外,SSL协议除了数据传输过程外不能提供其他任何方面的安全保证。
(2)SET协议(Secure Electronic Transactions):安全电子交易协议
由维萨(Visa)和万事达(MasterCard)国际组织共同制定的、保证使用银行卡实现安全在线支付的协议。
SET协议保密性好,融入了CA的SET协议(SET-CA)更是一套严密、完整的认证体系,规定了严格而细致的交易过程和条件,提供了网上信息传递的高度安全、完整性。但SET协议非常复杂,对消费者、商户、银行三方面的要求都很高,只适合银行卡的支付,并且不同SET协议版本间不具备很好的互操作性,因此,推行起来会遇到很大的阻力。
那么,两者之中谁将领导未来呢?SET协议会因其复杂性而消亡吗?SSL协议真的能完全满足电子商务的需要吗?事实上,SET协议是目前我国唯一真正实现了在线支付的协议,其复杂性代价换来的是风险的降低和全球银行卡支付协议的统一,由此带来的方便是不可估量的。
5.基于SET协议的购物流程
下面从一个完整的购物流程来看SET协议是如何起作用的,如所示:
基于SET协议的购物流程
(1)持卡人使用浏览器在网络商店主页上查看并选购所需商品,放入虚拟的购物车。
(2)选购完毕后,持卡人详细填写订购信息。
(3)持卡人选择支付方式(例如使用电子钱包支付,启动电子钱包软件,输入自己的密码,在钱包中选取一种银行卡来付款)。此时SET协议开始介入。
(4)持卡人在验证了网络商店的真实身份以后,向该网络商店发送一个完整的包含订购信息和支付信息的订单;同时,利用双重签名技术保证账号、密码等信息对商家透明。
(5)网络商店接受订单后,验证持卡人的身份,同时向持卡人使用的银行卡所属金融机构请求支付认可(通过支付网关到银行,再到发卡机构确认、批准交易,然后返回确认信息给商家)。此时,持卡人购物的金额已从所持银行卡中扣除。
(6)网络商店发送订单确认信息给持卡人,以备持卡人存档、查询。
(7)网络商店按订单发货。此时,“交易”环节已全部完成。
(8)最后,网络商店向持卡人的银行卡所属银行请求支付,则该银行确认支付信息后把钱划拨到商家的账户中,完成电子商务的“支付结算”环节。
分析:在第(3)~(8)步的处理过程中,SET协议对通信协议、请求信息的格式、数据类型的定义等都作出了明确的规定;对持卡人、商家、支付网关三方都通过CA认证来验证通信主体的身份以确保交易各方的身份真实性;并且,持卡人的信息是分开走的——银行只能看见持卡人的银行卡信息而不能看见订单信息,商户则与之相反,从而确保整个交易过程信息的完整、保密、安全。
第五节网络商店的开发与经营
网络商店,又称虚拟商店,是指通过计算机网络而建立起来的零售组织。从业态的划分来看,网络商店属于无店铺零售中媒介直销的一种。由于它将商店建立在计算机网络上,没有实际的店铺,故而称为虚拟商店。网络商店的出现是零售业的又一次革命,它改变了传统的商业零售和消费购买方式,从而对整个社会经济生活产生重大影响。随着计算机网络的迅猛发展和广泛普及,网络商店将成为21世纪最具发展潜力的零售商业形式。
一、网络商店的特点
与传统普通商店相比,网络商店更具有经济性和便利性,它一方面能够节约经营成本,提高经营效率;另一方面又方便顾客购物,增进消费者的利益。网络商店的特点主要表现在以下方面:
1.成本低廉
网上开商店,其成本主要涉及网站的建设成本,包括软件费用、硬件购置费、网络使用费及网络维护费等。在线零售不仅集销售、展示、广告于一身,而且还不需要店铺资金、店铺装修费用、仓储费用、营业费用等,甚至包括人员工资,因而可以节省大笔费用。
最简单的网络商店只要有一台计算机、一个调制解调器和一部电话,就可以开张营业了。
2.无场地限制
网络商店是没有“大”商场与“小”商场之分的,因为“大”与“小”是物理空间概念。从某种意义上说,网络商场是无限大的,它可以容纳无限的货物。特别是随着计算机技术的发展,存储设备的存储能力不断提高,网络商场的空间可以是不受限制的。
3.连续营业
普通店铺的店员不可能整天上班,商店也不可能全天24小时都有顾客光顾,因此除了一些非常特别的商店以外,一般的商店都有固定的营业时间。然而,网络是全天24小时运行的,在网络上的各种虚拟商店也就可以全天无休止地营业,同时网络商店无须人值守,不存在店员轮班休息的问题。而且,网络是面向全世界的,由于时差的不同,全天24小时都可能有顾客前来购物。因此,在线零售是真正的不打烊的店铺。
4.跨国经营
网络是无国界的,只要一连上国际互联网,就无所谓是哪一个国家的、哪一个地区的商店,大家都是网络社会的成员。因此从理论上讲,网络上的商店都是国际性的,都是跨国经营的,网络商店的任何一种商品都是国际品牌。在这种意义上,在网络上开商店对于小企业尤其是一些新兴的小企业来说是一条捷径。通过网络商店,企业可以将其产品和服务,以最低的成本、最快的速度打入国际市场。
5.方便购物
网络商店对于网上消费者购物也带来极大的便利。消费者可以足不出户,在家购物,可以在任何时间、任何地点购物。同时它可以提供更充分的信息,供消费者作出各种选择,甚至它还可以让消费者参与生产过程,如美国一家网上汽车销售商,它可以让顾客坐在自己家中的电脑屏幕前设计出一款世界上独一无二的“私家车”,然后厂家再按顾客的设计进行生产。由此可见,网络商店更能满足现代消费者多样化、个性化的需求。
二、开办网络商店应考虑的问题
在网上开店,与普通开店一样,需要事先进行策划,为商店的建立做好准备工作。这时主要考虑以下几方面的问题:
1.目标
在网上开店的最终目的是为了获得利润,但对于不同的公司,在网上开设虚拟商店所追求的目标不尽相同——有的是为了通过网络来建立公司的知名度,而真正的利润还是通过常规渠道获得;有的则是为了开辟另一条销售渠道,在业务上做新的尝试;有的可能是想通过网络来密切与顾客的关系等。不管怎样,在网上开店之前,必须明确具体的经营目标,要有明确的市场定位。
2.商品
在普通商店开业之前,经营者同样考虑这个问题。但是网络商店有其独特的地方,在网络商店里除了可以销售实物商品之外,还可以销售数字化商品,也可以提供在线服务。经营的内容不同,其经营方式也有很大的不同。例如,如果决定在网络商店里出售实物商品,就必须考虑货源问题,要决定是出售自己生产的东西还是卖别人生产的东西,然后还要考虑怎样向用户送货以及售后服务等问题。如果是决定销售数字化商品,那么有关送货的问题是不必考虑的。
