供电安全用电协议篇1
论文关键词:电子商务安全协议,电子交易,SSL协议,Set协议
随着互联网日益普及,基于internet的电子商务已经深入到人们生活的方方面面。安全是电子商务的基石,如何保证电子商务交易活动中信息的机密性、真实性、完整性、不可否认性和存取控制等是电子商务发展中迫切需要解决的问题。为了保障电子商务交易安全,人们开发了各种用于加强电子商务安全的协议。这些协议主要有:安全套接层协议SSL、安全电子交易协议Set、超文本传输协议SHttp、3-Dsecure协议和安全电子邮件协议(pem、S/mime)等。这其中应用最为广泛的协议主要有SSL、Set。
安全电子交易协议(Set)和安全套接层协议(SSL)是两种重要的通信协议,每一种都提供了通过internet进行支付的手段。事实上,Set和SSL除了都采用RSa公钥算法以外,二者在其他技术方面没有任何相似之处,而RSa在二者中也被用来实现不同的安全目标。
二、电子商务安全协议
1.安全套接层协议(SSL)
安全套接层协议(SecureSocketLayer,简称SSL)是美国网景公司(netscape)推出的一种安全通信协议,SSL提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了安全传输,其主要设计目标是在internet环境下提供端到端的安全连接。它能使客户/服务器应用之间的通信不被攻击者窃听。SSL协议建立在可靠的tCp传输控制协议之上。高层的应用层协议能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
2.安全电子交易协议(Set)
安全电子交易协议(Secureelectronictransaction,简称Set)是美国Visa和masterCard两大信用卡组织联合于1997年5月31日推出的电子交易行业规范,它提供了消费者、商家和银行之间的认证,确保交易的保密性、可靠性和不可否认性,保证在开放网络环境下使用信用卡进行在线购物的安全,其实质是一种应用在internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。Set本身并不是一个支付系统,而是一个安全协议集,Set规范保证了用户可以安全地在诸如internet这样的开放网络上应用现有的信用卡支付设施来完成交易。Set较好地解决了信用卡在电子商务交易中的安全问题。Set已获得ietF(theinternetengineer-ingtaskForce,简称ietF)标准的认可。
三、SSL与Set协议比较分析
SSL和Set是当前在电子商务中应用最为广泛的安全协议,两者的差别主要体现在以下几个方面。
1.工作层次
SSL属于传输层的安全技术规范,不具备电子商务的商务性、协调性和集成性功能;而Set协议位于应用层,它规范了整个商务活动的流程,从持卡人到商家,到支付网关,到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性和集成性。
2.认证机制
早期的SSL协议并没有提供身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和weB服务器之间的身份认证,但仍不能实现多方认证,而且SSL中只有商家服务器的认证是必须的,客户端认证则是可选的。Set协议使用数字证书来确认交易涉及的各方(包括商家、持卡人、受卡行和支付网关)的身份,为在线交易提供一个完整的可信赖的环境。Set协议要求所有参与交易活动的各方都必须使用数字证书,较好的解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
3.加密机制
SSL是基于传输层加密,它为高层提供了特定接口,使得应用方无须了解传输层情况;然而由于传输层属于较高层,常用软件实现,这在很大程度上削弱了加密处理能力,同时,地址信息由低层控制,这种加密无法免于被攻击者流量分析。Set的加图2Set协议的工作原理密过程则不同于SSL,Set中广泛使用了数字信封等技术,并采用严密的系统约束来保证数据传输的安全性。
4.完整方面
Set协议将发送的所有报文加密后,将为之产生一个唯一的消息摘要,一旦有人企图篡改报文中包含的数据,该摘要就会改变,从而被检测到,这就保证了信息的完整性。SSL协议是使用秘密共享和哈希函数进行maC计算来提供信息的完整性服务的,它可以确保SSL对话的通信内容在传递途中毫无改变地送达目的地。
5.安全程度
在网上交易,安全是关键问题。从网络信息传输安全角度看,只有确保信息在网上传输时的机密性、可鉴别性及信息完整性才真正安全。Set协议是专为电子商务系统设计的,它位于应用层,采用公钥机制、信息摘要和认证体系,其中认证中心(Ca)就是该体系的重要执行者,认证体系十分完善,能实现多方认证。而SSL中也采用了采用公钥机制、信息摘要和maC检测,可以提供信息保密性、完整性和一定程序的身份鉴别功能,但SSL不能提供完备的防抵赖功能。特别是SSL协议不能实现多方认证,从网上安全结算这一角度来看,显然Set比SSL针对性更强,更受客户青睐。
6.运行效率
Set协议非常复杂、庞大、运行速度慢。一个典型的Set交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程非常耗时;而SSL协议则简单很多,运行效率也比Set协议高。
7.部署成本
SSL协议已被大部分的浏览器和weB服务器内置,无须安装专门软件;而Set协议中客户端要安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件,部署成本高。
四、结束语
相对于SSL协议而言,Set协议更为安全,更适合于消费者、商家和银行三方进行网上交易的国际安全标准。Set协议是专为电子商务系统设计的,它位于应用层,其认证体系十分完善,能实现多方认证。在Set的实现中,消费者账户信息对商家来说是保密的。网上银行采用Set,确保交易各方身份的合法性和交易的不可否认性,使商家只能得到消费者的订购信息而银行只能获得有关支付信息,确保了交易数据的安全、完整和可靠,从而为人们提供了一个快捷、方便、安全的网上购物环境。因而Set是未来电子商务安全技术的发展方向。
参考文献
[1]何长领.电子商务交易[m].北京:人民邮电出版社,2001.
[2]梁晋,等.电子商务核心技术-安全电子交易协议的理论与设计[m].西安:西安电子科技大学出版社,2000.
[3]李琪.电子商务安全.重庆大学出版社,2004.
[4]李洪心.电子商务安全.东北财经大学出版社,2008,9.
[5]张爱菊.电子商务安全技术.清华大学出版社,2006,12.
供电安全用电协议篇2
【关键词】电子商务;加密;安全技术
一、数据加密技术
在电子商务中,信息加密技术是其它安全技术的基础,为了保护商业机密在传输过程中不被别人窃取或篡改,必须对数据进行加密处理。加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式(即加密),在线路上传送或在数据库中存储,其他用户再将密文还原成明文(即解密),从而保障信息数据的安全性。
数据加密的方法很多,常用的有两大类:一种是对称密钥加密,一种是非对称密钥加密。
对称加密也叫秘密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密,其特点是加密和解密使用的是同一个密钥。这种方法使用简单,加密解密速度快,适合于大量信息的加密。
但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,n对交易方需要n*(n-1)/2个密钥,难于管理。第三,不能鉴别数据的完整性。
非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥加密的数据只能用对应的公钥解密。具体加密传输过程如下:
(1)发送方甲用接收方乙的公钥加密自己的私钥。
(2)发送方甲用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。
(3)接收方乙用自己的私钥解密,得到甲的私钥。
(4)接收方乙用甲的公钥解密,得到明文。
这个过程包含了两个加密解密过程:密钥的加解密和文件本身的加解密。在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。可以保证信息的不可抵赖性。
运用公开密钥加密算法,处理和计算量都比较大,速度慢,所以只适合于少量数据的加密。
因此,在当前的加密应用中,应该使用对称密钥来对文本加密和解密,用非对称RSa加密体系对私钥加密和解密。发送方把密文和加密后的私钥一起发送给接收方。使用这种联合加密法,不仅可以确保数据的保密性,而且还可以实现一种名为数字签名的认证机制。发送者私钥加密的数据可以提供对发送者身份的认证,接收者私钥加密的数据可以提供对接收者身份的认证。
当然,任何一个安全产品或技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的出路。
二、与电子商务安全有关的协议技术
1.SSL协议(SecureSocketsLayer)安全套接层协议
应用:面向连接的协议,在电子商务中传输重要、敏感数据。
SSL协议的概念:SSL协议是早期的一种安全电子支付协议,它的主要目标是保证两个应用间通信的保密性和可靠性,是实现浏览器和服务器(通常是web服务器)之间安全通信的协议。
SSL协议的功能:SSL协议提供了三种基本的安全服务,即秘密性、完整性和认证性。所谓秘密性是指在客户机和服务器之间通过密码算法和密钥的协商,建立起一个安全通道,使得在安全通道中传输的数据都经过加密处理。所谓完整性是指利用密码算法和Hash函数,确保要传输的信息完整无损的到达目的地。所谓认证性是指利用认证技术和权威的第三方Ca,让客户机和服务起互相识别对方的身份。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如Http、Ftp、teLnet等)以保证应用层数据传输的安全性。SSL协议独立于应用层协议,因此,在电子交易中被用来安全传送信用卡号码。
SSL的应用及局限:中国目前多家银行均采用SSL协议,从目前实际使用的情况来看,SSL还是人们最信赖的协议。但是SSL当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端。它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系,并且购货时用户要输入通信地址,这样将可能使得用户收到大量垃圾信件。
2.Set协议(Secureelectronictransaction)安全电子交易
应用:电子商务的结算方式是在internet环境下,借助Set协议在网络上直接支付,具体方式是用户网上发送经加密的信用卡号和密码到银行进行支付。由于Set提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
Set的局限性:Set是专门为电子商务而设计的协议,虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。
Set主要目标是:①信息在internet上安全传输,保证网上传输的数据不被黑客窃取;②定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;③持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保;④要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
总之,随着电子商务的发展,安全问题将更加重要和突出,要想解决好此问题,必须由安全技术和标准作保障。安全是一个“相对的”词汇,电子商务的发展促使对安全技术进行不断探索研究和开发应用,以建立一个安全的商务环境。
参考文献:
[1]覃征,谢国彤等编著.商务体系结构及系统设计[m].西安交通大学出版社,2001.
[2]石磊.电子商务的网络技术[m].中国水利水电出版社,2005,3.
[3]陈建强.关于电子商务系统中安全支付模型的探讨[J].贵州工业大学学报(自然科学版),2001(02).
[4]吴国栋.安全电子支付协议的两种改进方案[J].农业网络信息,2005(11).
供电安全用电协议篇3
关键词:电子商务;数字加密;安全:漏洞;SSL
1 引言
随着电子商务逐渐走入人们的日常生活,人们对它的信赖程度与其本身具有的安全可靠性成正比,据普查有六成网民不信任网上购物。能否提高电子商务的安全性,保障交易可靠已成为网站商家与消费者共同关注的问题。在广大网络平台上建立一套交易双方信赖的安全保障制度,充分加强网络交易的安全可靠性、信息保密性,方可提高人们对网络交易的支持和利用。
2 电子商务安全的威胁与漏洞
电子交易安全要求有信息的保密性,交易者身份的确定性,交易操作的不可否认性和交易信息的不可修改性。相应产生的威胁与漏洞有:(1)源于外部侵入的威胁。外部侵入者通过对网络的侵犯而获悉交易双方的交易信息,窃取商机。(2)源于信息不完整性产生的漏洞。在交易过程中产生的差错导致交易信息的不完整,可能导致交易活动无法进行。(3)源于交易双方对交易信息的抵赖威胁。交易双方可能对交易信息进行篡改,伪造证据,扰易的公平性。
3 目前电子商务的安全保障和电子交易的手段
3.1 现有电子商务最常见的安全机制有SSL及Set两种。分别如下:
(1)SSL协议:位于tCD/ip协议与各种应用层协议之间,为数据通信提供安全支持。它分为两层,其中SSL记录协议(SSLRecordprotocol),建立在可靠的传输协议之上,为高层提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSLHandshakeprotocol),建立在SSL记录协议之上,用于在实际的数据传输开始之前,通信双方进行身份认证,协商加密算法,交换加密密钥。
(2)Set协议:是一种基于消息流的协议,它主要用来保证公共网络上银行卡支付交易的安全性。它定义了加密信息的格式和完成一笔交易过程中各方传输信息的规则。
3.2 现有保障电子交易安全的手段
(1)密码技术:常用的有:①公共密钥和私用密钥,亦称为RSa编码法,它利用两个很大的质数相乘所产生的乘积来加密。②数字摘要(digitaldlgest)即安全Hash编码法或mD5,它采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(Fingerprint),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。
(2)数字签名(digitalsignature):数字签名是以保障基于网络交易平台替代传统功能的电子技术手段,结合了密码技术和数字摘要。它通过密码技术保证数据保密,不被篡改。和验证身份以实现电子交易安全。
(3)数字时间戳:能提供电子文件发表时间的安全保护。数字时间戳服务(DtS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档。
(4)数字凭证:数字凭证又称为数字证书。是用电子手段来证实一个用户的身份和对网络资源的访问的权限。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
(5)认证中心(Ca=Certificationauthority):就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。
4 探索与搜寻更为有效方案,进一步提高安全可靠性。
通过以上对现有电子商务安全性的分析可以发现有许多可改进方案,比如:
(1)较多的电子商务平台建立在SSL协议基础之上,然而SSL2o在设计上有着很多缺陷,仍容易受到网络攻击。因此在SSL协议之上再通过Vpn(虚拟专用网),联合SSL的独特性以及Vpn所能提供的安全远程访问控制能力,保证交易信息安全。
(2)在电子交易平台提供数据证书验证交易者的身份真实性,然而安全技术的强度普遍不够,受到了外国密码政策的限制,因此强度普遍不够,自主探索加密算法尤为重要。
(3)尽管电子商务蓬勃发展,但网络信息安全在全球还没有形成一个完整的体系,有关电子商务安全的产品真正通过认证的相当少,对安全技术普遍了解的较少。所以在安全认证方面应转向信用体系较高的Ca认证。
(4)电子商务网站的安全管理存在很大隐患,因此应加强电子商务网站的安全管理。避免内部人员滥用资源,使用完善的防火墙技术,建立网络系统的日常维护制度。
供电安全用电协议篇4
关键词:电子商务在线支付安全性安全套接层协议安全电子交易协议
中图分类号:tp393
1引言
internet给整个社会带来了巨大的变革,成为驱动所有产业发展的动力。电子商务是在internet开放环境下的一种新型的商业运营模式,是网络技术应用的全新发展方向。在此首先对电子商务中存在的问题及其安全性技术加以分析,然后对中国电子商务未来的发展提出了一些建议,以使更多的人士关注电子商务技术,尽快解决现存的问题,推动电子商务的发展。
2电子商务及其存在的问题
电子商务是指利用简单快捷低成本的电子通讯方式,使买卖双方进行各种商贸活动的新型贸易形式。它改变了传统贸易形式,不仅改变了企业本身的生产、经营、管理活动,而且将导致人类经济、社会和文化的一次新的革命。但目前电子商务的发展中还存在许多问题:
1)安全协议问题:对安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。
2)安全管理问题:在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
3)电子商务没有真正深入商务领域而仅仅局限于信息领域。
4)技术人才短缺问题:电子商务是在近几年才得到了迅猛发展,许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解得偏少,因而难以开发出真正实用的、安全性的产品。
5)法律问题:电子交易衍生了一系列法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。
6)税收问题:电子商务的发展在促进贸易增加税收的同时又对税收制度及其管理手段提出了新要求。
3电子商务中的安全性技术
安全性技术是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的问题。虽然internet的开放式的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都制订了安全协议和具备了相应的安全技术,以保证电子商务的安全性。
3.1安全的网络平台
安全可靠的网络是实现电子商务的基础,常用的方法是在网络中采用防火墙技术,虚拟专用网(Vpn)技术,防病毒保护等。防火墙技术是通过ip过滤和服务器软件方法保护企业内部网(intranet)中数据,只有授权用户才能获准进入企业内部网的系统。虚拟专用网(Vpn)技术通过ip隧道等方法来保证企业协作网(extranet)中企业间数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。单纯依靠这些方法保护网络的安全性是不够的,还必须与其它安全措施综合使用才能为为用户提供更为可靠的电子商务基石,例如现在的加密技术、数字签名技术、电子认证技术等。
3.2在线支付的安全技术
电子商务的另一个关键问题是要保证在线支付的安全,它是网上购物的重要保证。目前采用的在线支付协议有两种:安全套接层SSL(SecureSocketsLayer)协议和安全电子交易Set(Secureelectronictransaction)协议。
3.2.1SSL协议
SSL协议是netscape公司在网络传输层与应用层之间提供的一种基于RSa和保密密钥的用于浏览器与web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(Certificateauthority,Ca)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如
供电安全用电协议篇5
关键词:电子商务SSL协议Set协议
1引言
随着计算机网络技术向整个经济社会各层次延伸,网络安全已成为现代计算机网络应用的最大障碍,也是继续解决的难题之一。能否在网上实现安全的电子支付是电子商务交易的一个重要环节。从目前来看,虽然电子支付安全问题还没有形成公认的成熟的解决方法,但是自从SSL安全协议和Set安全协议问世后,困扰人们心中的这一问题得到了缓解,现在SSL安全协议和Set安全协议已经被广泛地应用在电子商务活动中的安全支付环节。
2SSL安全协议
2.lSSL安全协议概念
SSL安全协议又叫安全套接层(SecureSocketsLayer)协议,是由网景(netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中,采用了公开密钥和私有密钥两种加密方法。它是根据邮件通路的原理设计的。它是基于tCp/ip协议之上的应用程序,主要用于提高应用程序之间数据的安全系数。
2.2SSL安全协议主要服务
(1)用户和服务器的合法性认证。认证用户和服务器的合法性,使得它们能够确信数据将被发送到正确的客户机和服务器上。
(2)加密数据以隐藏被传送的数据。SSL所采用的加密技术既有对称密钥技术,也有公开密钥技术。在客户机与服务器进行数据交换之前,交换SSL初始握手信息,在SSL握手信息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别,这样就可以防止非法用户进行破译。
(3)保护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供信息的完整,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。
2.3SSL安全协议的使用步骤
SSL安全协议的使用步骤包括:
(1)建立连接阶段。客户通过网络向服务商打招呼,服务商回应。
(2)密码交换阶段。客户与服务商之间交换双方认可的密码。
(3)会谈密码阶段。客户与服务商之间产生彼此交谈的会谈密码。
(4)检验阶段。检验服务商取得的密码。
(5)客户认证阶段。检验客户的可信度。
(6)结束阶段。客户与服务商之间相互交换结束的信息。
当上述动作完成之后,两者间的资料传送就会加以密码,等到另外一端收到资料后,再将编码后的资料还原。即使盗窃者在网络上取得编码后的资料,如果没有原先编制的密码算法,也不能获得可读的有用资料。在电子商务交易过程中,由于有银行参与,按照SSL协议,客户购买的信息首先发往商家,商家再将信息转发银行,银行验证客户信息的合法性后,通知商家付款成功,商家再通知客户购买成功,将商品寄送客户。
2.4对SSL安全协议的评价
SSL安全协议虽说是国际上最早应用于电子商务的一种网络安全协议,但是目前仍受一些网上商家的青睐。主要原因是它解决了传统交易方式中的“信任危机”问题。我们知道SSL协议根据邮购的原理进行了流程改造,因而希望银行能为它们的交易信用给予认证,以避免商家发货后客户不付款或者客户付款后商家不发货的情况发生,正当更多的人对电子商务活动感到缺乏安全性时,SSL安全协议的出现多少取消了人们这方面的顾虑。
但是,SSL协议也存在一些缺点:在SSL协议中,客户的信息先到商家,让商家阅读,这样,客户资料的安全性就得不到保证。所以,SSL并没有实现电子支付所要求的保密性、完整性,而且多方互相认证也是很困难的。SSL协议的安全性基于商家对客户信息保密的承诺,因此说客户信息的安全性系于商户的承诺基础之上.所以说SSL协议是一个有利于商家而不利于顾客的协议。
3Set安全协议
为了促进电子商务的发展,彻底解决在线交易中商家和客户信息的安全传输问题,同时为了改进SSL安全协议不利于客户的缺陷,全球著名的信用卡集团VisaCard和masterCard联袂开发了Set电子商务交易安全协议。这是一个为了在因特网上进行在线交易而设立的开放的安全电子支付体系。Set克服了SSL安全协议有利于商家而不利于顾客的缺点,它在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。
3.1Set安全电子交易协议的概念
安全电子交易协议(Secureelectronictransaction)是由VisaCard和masterCard于1997年5月联合推出的规范。Set主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商家及持卡人的合法身份以及可操作性。Set中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。Set协议主要是为了在因特网上进行在线交易时,保证使用信用卡进行支付的安全而设立的一个开放的协议,是面向网上交易、针对利用信用卡进行支付而设计的电子支付规范,由于Set协议得到了Hp、iBm,microsot等公司的支持,因此,迅速在全世界得到广泛应用。
3.2Set安全协议的安全目标
Set安全协议要达到的目标主要有5个:
(1)保证信息在因特网上安全传输,防止数据被黑客或被内部人员窃取。
(2)保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行,但是商家不能看到客户的帐户和密码信息。
(3)解决多方认证问题.不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证。
(4)保证网上交易的实时性,使所有的支付过程都是在线的。
(5)效仿eDi贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
3.3Set协议的工作流程
(1)购物阶段
消费者利用自己的pC机通过因特网选定所要购买的物品,并在计算机上输入货单。订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。
(2)商品交易确认阶段
通过电子商务服务器与有关在线商店联系,在线商店作出应答,告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否变化。
(3)支付初始化请求和响应阶段
当客户决定要购买商家的商品并使用Set钱夹付钱时,商家服务器上poS软件发报文给客户的浏览器Set钱夹付钱,Set钱夹则要求客户输入口令然后与商家服务器交换“握手”信息,使客户和商家相互确认,即客户确认商家被授权可以接受信用卡,同时商家也确认客户是一个合法的持卡人。
(4)支付请求阶段
客户发一报文包括订单和支付命令。在订单和支付命令中必须有客户的数字签名,同时利用双重签名技术保证商家看不到客户的账户信息。只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。
(5)授权请求阶段
在线商家收到订单后,向消费者所在银行请求支付认可。poS组织一个授权请求报文,其中包括客户的支付命令,发送给支付网关。授权请求报文到达收单银行后,收单银行再到发卡银行确认。批准交易后,返回确认信息给在线商店。
(6)授权响应阶段
收单银行得到发卡银行的批准后,通过支付网关发给商家授权响应报文。
(7)支付响应阶段
商家发送购买响应报文给客户,客户记录交易日志备查。在线商店发送货物或提供服务,并通知收单银行将钱从消费者的账号转移到商店账号,或通知发卡银行请求支付。在处理过程中,通信协议、请求信息格式、数据类型的定义等,Set都有明确的规定。在操作的每一步,消费者、在线商店、支付网关都通过Ca来验证通信主体的身份,以确保通信和对方不是冒名顶替。所以,也可以简单地认为,Set规格充分发挥了认证中心的作用,以维护在任何开放网络上的电子商务参与者提供信息的真实性和保密性。
3.4对Set安全协议的评价
Set安全协议从面市以来,由于设计合理,得到了iBm,Hp,microsoft,netscape等许多大公司的支持,保持了良好的发展趋势。因为Set改进了SSL安全协议有利于商家而不利于顾客的缺点,它在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。Set安全电子交易是基于因特网的卡式支付,是授权业务信息传输的安全标准,它采用RSa公开密钥体系对通信双方进行认证,利用对称加密方法进行信息的加密传输,并用HaSH算法来鉴别消息真伪、有无涂改。在Set体系中有一个关键的认证机构(Ca),Ca负责和管理证书。
但是随着进一步应用我们也会发现一些问题。(1)协议没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接受证书。如果在线商品提供的货物不符合质量标准,消费者提出疑义,责任由谁承担。(2)协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明订购不是由签署证书的消费者发出的。(3)Set技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。
4总结
在现有的网上交易的安全协议中主要有SSL和Set两种,由于宿舍SSL协议的成本低、速度快、使用简单,对现有网络系统不需进行大的修改,因而目前取得了广泛的应用。而在Set协议中,客户端需安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件;并且Set协议非常复杂、庞大,处理速度慢。但是,由于Set协议位于应用层,它不仅规范了整个商务活动的流程,而且制定了严格的加密和认证标准,具备商务性、协调性和集成;Set协议对交易的各个环节都进行了认证,所以,Set协议的安全性更高。
其实网上银行的安全涉及到方方面面,不只是一个完善的安全支付协议,一堵安全的防火墙或者一个电子签名就能简单解决的问题。所以,现在银行必须加大加强管理力度,加大宣传力度,帮助顾客树立起安全意识,指导用户该如何正确使用网上银行,并发动社会各方面的力量,寻求多方联动的策略来保证网上银行的安全。只有社会各界一起努力,才能保证电子支付的安全;只有社会各界一起努力,才能保证网上银行的安全;也只有社会各界一起努力,才可以保证电子商务的安全,保证电子商务的快速有序的发展。
参考文献:
[1]刘卫宁,宋伟.电子商务中在线支付的安全保障[m].北京;万方数据电子出版社,2004
供电安全用电协议篇6
[关键词]安全体系加密数字证书电子商务安全交易标准
一、引言
当前的电子商务是指通过电子方式的商务活动。它作为一种全新的业务和服务方式,为全球客户提供了丰富的商务信息、便捷的交易过程和廉价的交易成本。但是,电子商务给人们带来方便的同时,也把人们引入安全忧虑之中。买方担心在网络上传输的信用卡及个人资料被截取;卖方则担心收到的是被盗用的信用卡号码,或是交易不认账等,这些存在的安全漏洞问题已成为阻碍网上交易发展的首要问题。相对于传统商务,电子商务对管理机制、实施平台和信息传递技术都提出了更高的要求,其中安全体系的构建尤为显得重要,已成为电子商务能否得到进一步发展和推广的关键所在。
二、电子商务安全体系结构
1.电子商务中存在的安全隐患和威胁
internet是电子商务实现的网络基础,它采用tcp/ip完成不同网络与不同计算机之间的通信,正是由于这些特点,使它给电子商务带来了很多的安全问题。internet的安全隐患主要体现在四个方面。
开放性和资源共享是internet的主要优点,但它带来的问题却不容忽视。www.133229.Com因为当甲方在很容易的访问乙方时,如果没有采取任何措施,乙方同样很容易的访问甲方的计算机。
internet采用的协议tcp/ip并未采用任何措施来保护传输内容不被窃取。它是一种包交换网络,每个数据包在网络上都是透明传输的,并且可能经过不同的网络,由路由器转发到达目的计算机。数据在传输过程中可能会遭到ip窥探、同步信号淹没、tcp会话窃听、复位与结束信号攻击等威胁。
internet底层的操作系统如unix,由于源代码的公开,很容易发现漏洞,给internet用户带来安全问题。
相比较传统信函,电子化信息就缺乏可信度,电子信息是否准确很难由其本身来鉴别。在internet上传递电子信息时,难以确认信息发送者及信息是否被正确无误地传递给对方。
由于internet存在上述安全隐患,将给电子商务带来如下的安全威胁。
由于非法入侵,造成商务信息被纂改、窃取或丢失。
商业机密在传输过程中被第三方获悉,被恶意破坏。
虚假身份的交易对象及虚假订单、合同。
贸易对象的抵赖。
由计算机系统故障造成的对交易过程和商业信息安全的破坏。
综上所述,电子商务面临多方面的威胁,存在许多安全隐患。
2.电子商务的安全性内容
要使电子商务健康、顺利发展,必须解决好以下几种关键的安全性要求。
(1)保证信息的保密性和完整性。在交易过程中必须保证信息不被非授权用户窃取,数据在输入和传输过程中能保证数据的一致性。
(2)不可否认性。它是指信息发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
(3)真实性。商务活动交易双方身份是真实的,不是假冒的,不存在的。
(4)系统的可靠性与内部网络的严密性。在计算机失效、程序错误、传输错误、硬件各种及计算机病毒等潜在威胁下,有容错处理机制、数据恢复能力,确保系统安全、可靠。对企业内部网络而言,要保证内部网络不被入侵。
3.电子商务安全技术体系结构
电子商务的安全技术体系结构是保证电子商务中数据安全的一个完整逻辑结构,如图所示。其中,下层是上层的基础,为上层提供技术支持。上层是下层的扩展与递增。各层相互联系、相互依赖的构成一个整体。通过不同的安全控制技术,实现各层的安全策略,有效保证了电子商务系统的安全。
三、电子商务的安全技术
1.防火墙技术
防火墙是建立在内外网络边界上的过滤封装机制,内部网络被认为是安全和可信赖的,而外部网络(通常指internet)被认为是不安全和不可信赖的。防火墙的主要目的是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
防火墙的主要技术有包过滤技术、服务器技术、应用网关技术和状态检测包过滤技术,现在最常用的是状态检测包过滤技术。状态检测防火墙对每个合法网络连接保存的信息包括源地址、目的地址、协议类型、协议相关信息、连接状态和超时时间等称为状态。通过状态检测,可实现比简单包过滤防火墙具有更好的安全性。
2.加密技术
数字加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障安全性。利用加密技术,可以将某些重要的信息和数据从一个可以理解的明文转换为复杂的、不可理解的密文形式,在线路上传送或在数据库中存储,其他用户再将密文还原为明文。
3.信息摘要
密钥加密技术只能解决信息的保密性问题,对信息的完整性则可以使用信息摘要技术来实现。信息摘要又称为hash算法,是一种单向加密算法,其加密结果是不能解密的。通过hash算法,得到一个固定长度(128位)的散列值,不同的原文产生的信息摘要必不相同,相同的原文产生的信息摘要必定相同。这样,通过用接收方产生的摘要与发送方发来的摘要比较,若两者相同则表示原文在传输过程中没有被修改,否则说明原文被修改过。
4.数字签名
数字签名是密钥加密和信息摘要相结合的技术,用于保证信息的完整性和不可否认性。签名机制的特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能惟一地由他自己生成。当收发双方发生争议时,第三方就能根据消息上的数字签名来裁定这条消息是否由发送方发出,从而实现不可否认服务。
5.数字时间戳
在电子交易中,时间和签名同等重要。数字时间戳是由专门机构提供的电子商务安全服务项目,用于证明信息发送的时间。
6.数字证书与ca认证
由于电子商务在网络中完成,互相之间不见面,因此为了保证每个人及机构都能惟一且被准确无误地识别,就需要进行身份认证。身份认证可以通过验证参与各方的数字证书来实现,而数字证书是由认证中心(ca)颁发的。
所谓ca(certificateauthority:证书发行机构),是采用pki(publickeyinfrastructure:公共密钥体系)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,具有权威性和公正性的第三方信任机构,其作用就像现实生活中颁发证件的机构。
四、电子商务安全交易标准
要实现安全的电子商务交易,交易双方必须遵照统一的安全标准协议。当前,电子商务的安全机制正走向成熟,并逐渐形成了一些国际规范,比较有代表性的有安全套接层协议ssl(securesocketslayer)和安全电子交易协议set(secureelectronictransaction)。
1.安全套接层协议ssl
ssl协议是由netscape公司研制的安全协议,ssl使用加密的方法建立一个安全的通信通道,以使客户的信用卡号传送给商家,商家再将其转发给银行,银行验证后在通知商家付款成功。该协议已成为事实上的工业标准,微软、ibm公司都提供基于这种简单加密模式的支付系统。
2.安全电子交易set协议
set协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由visa国际组织和mastercard组织制定的,用于在internet上进行在线交易时保证信用卡支付安全的开放性安全技术标准。由于得到了微软、ibm、ras公司的支持与参与,已成为工业事实上的标准。
set协议采用了rsa公私钥加密系统、数字签名、数字证书认证等技术,保证了支付信息的保密性、完整性和不可否认性。该协议提供了客户、商家和银行之间的身份认证,而交易信息和客户信用卡信息相互隔离,即商家只能获取订单信息,银行只能获得持卡人信用卡支付信息,双方互不干扰,各去所需,构成了set协议的主要特色,使得set成为电子商务的安全规范。
3.set、ssl协议比较
(1)set是一个专门的安全电子支付协议,而ssl本质上是一个网络安全协议,仅在双方间建立起安全连接。set是一个多方的消息报文协议,定义了银行、商家和持卡人间必须符合的报文规范,它比ssl在交易过程中的信任度更强。
(2)ssl仅有商家的服务器需要认证,客户端只是选择性认证;而set在整个交易过程中都受到严密保护,其安全性比ssl高。
(3)ssl协议中若想进行电子商务交易,只需通过浏览器实现,设置成本低廉,其交易只要几十秒就可完成;set尽管安全性高,但需要专门的软件来实现,客户、商家改造成本高,由于交易过程各方之间进行多次加密传输,每次交易需要数分钟。
综上所述,ssl与set协议是电子商务中最普遍的两种安全电子支付协议,各有优缺点。ssl虽然简单快捷,但随着电子商务的发展其缺点凸现出来,需采用更先进的支付系统。而set虽有更强的功能和安全性,但过于复杂,使得大面积推广还有很大障碍,并且成本昂贵,所以,在未来一段时间里将会是ssl和set两种支付方式并存的局面。
五、结论
电子商务的本质是商务,技术是电子商务得以实现的手段。没有商务需求,技术的研究就失去了应用价值;没有技术实现,电子商务就不能得以实施,所以技术是电子商务的必要条件。而安全则是实现电子商务技术的前提,也是电子商务的必要条件。解决电子商务的安全问题不是一个单一的技术问题,它是由一系列工作组成,需要从电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。
参考文献:
[1]胡道元闵京华:网络安全[m].北京:清华大学出版社,2006
[2]祝凌曦:电子商务安全[m].北京:北方交通大学,2006.
[3]李晓燕李福全郭爱芳:电子商务概论[m].陕西:电子科技大学出版社,2004
[4]何胜:电子商务中安全支付协议的对比及应用[j].计算机时代,2004(20)
供电安全用电协议篇7
计算机安全评价有效地减少了系统事故和职业危害;保证了计算机系统安全管理的进行,实现了投资最少和安全最佳的效果;计算机安全评价促进了企业各项安全标准的制定,积累了大量可靠性数据。
2计算机安全评价和供电部门存在的问题
2.1计算机安全评价管理
计算机安全评价标准最早是由美国制定的,目前在国际中通用的计算机安全评价标准基本上都以它为参照,被分为D级、C1级、C2级、B1级、B2级、B3级和a级7个级别。①D级。D级是计算机安全评价中最低的安全级别,这个级别的操作系统不能实现对计算机安全的保护,具有不确定性和不可靠性。想实现对计算机的安全保护需要对计算机安全评价进行升级,提高计算机安全评级级别。②C级。计算机安全评价C级包括C1级和C2级,是选择性计算机安全保护系统。C1级级别的系统,在一定程度上保护了计算机系统的硬件:只有通过系统对用户注册账号和口令识别,判断用户的合法性,还决定了用户对程序和信息的访问权限,降低计算机硬件受到的损害。C2级别具有访问控制环境的权力,进一步加强对用户执行命令或访问文件的权限,并且具有身份认证功能。③B级。B级的计算机安全评价包括B1级、B2级和B3级。B1级是标志安全保护系统,是第一个支持多级安全的级别,用户在强制性的访问控制下,不能对文件的许可权限进行改变。B2级是结构保护,对计算机系统中的所有文件加上标签,提供设备了单个或对个安全级别,为较高安全级别对象和较低安全对象提供了通信。B3级是安全域级别,通过安装硬件的方法加强域的安全保护。例如,在计算机系统中安装内存管理硬件,可以避免安全域的无权访问和对安全域对象的修改。④a级。计算机安全评价a级系统是验证设计的最高级别,包括严格的设计、控制和验证过程,具备除a级以外安全评价级别中的所有特性。a级是目前计算机安全评价中最安全、有效的系统,需要各个公司计算机系统管理部门,加强对计算机安全评价的重视,促进计算机安全评价的发展。
2.2计算机存在的安全问题
①工作环境存在漏洞。目前,我国大部分供电部门中,电力操作系统和数据库系统等用户工作环境,存在大量的安全漏洞,例如在特定的网络协议工作中和网络体系结构自身存在的问题等漏洞都会对电力系统产生不利的影响,会对供电部门造成严重的损失。②网络协议存在问题。在供电部门电力系统计算机信息技术中采用的tCpiip协议,面向的范围主要是信息资源共享,因此导致一部分的计算机网络协议出现一定的安全漏洞。目前,这种漏洞是计算机网络和信息技术安全问题中一个重要的根源。例如,一般的有Ftp、telnet、Smtp等协议中。供电部门电力系统中,用户的口令信息大部分是通过明文的形式在计算机网络系统中进行传输的,这些网络协议虽然依赖tCp协议运行,但是却无法保证电力系统计算机网络信息进行传输时信号的安全性。③计算机病毒的侵害。目前,最常见的一种病毒形式就是计算机病毒,无论哪一个计算机网络人员接触,都会使计算机网络和信息遭到病毒危害。计算机病毒主要是“蠕虫”和“病毒”,是一种诚讯,是一段可以进行执行代码的程序,通过计算机软件进行传播。计算机病毒和生物病毒一样,具有特殊的复制能力,而且具备非常快的蔓延速度。计算机病毒很难完全清除,而且病毒还可以把自身附带的其它病毒类型从一个用户传到另一个用户,通过对病毒文件的复制进行传播。计算机病毒不仅具有特殊的复制能力,而且还拥有其他的一些共性,每一个被污染的程序都可以对病毒的载体进行传送。
3保证供电部门计算机安全
①加强安全教育。供电部门计算机安全管理中一项重要的内容就是安全意识和安全技能的培训,安全管理的实施力度,对供电部门安全策略的理解程度和执行的效果有直接影响。保证计算机安全管理的成功和有效,需要供电部门全体人员进行安全培训,了解并严格执行安全策略。②加强防火墙管理。防火墙是企业局域网唯一连接外网的出口,通过防火墙进行网络访问,无法避开防火墙的连接。DmZ区放置了供电部门对外提供服务的服务器,可以有效地保证服务器正常的服务,避免攻击。防火墙设置,要遵循“缺省全部关闭,按需求开通的原则”,拒绝违法服务。③实行病毒防护。避免供电部门计算机安全受到病毒侵害,保证计算机信息的可用性,应该建立完善的从主机到服务器的防病毒体系。把服务器作为网络核心,对系统进行署查和杀毒,及时通过internet从免疫中心获取最新的病毒码信息,更新病毒代码库,选择可以适应各种系统平台、数据库平台和应用软件的防病毒软件。
4结语
供电安全用电协议篇8
受托方:_________(以下简称乙方)
第一条 给排水、房屋的维护、维修管理
1.所区内给排水系统的管道,设备的维护、维修、运行管理,包括道路、室内外上下水管道、水泵、污水管道、供热管道、消防供水系统、化粪池等;
2.房屋的小修服务,包括:修理门窗、更换玻璃、照明灯具、门锁、水嘴、小五金修配,疏通下水管道等;
第二条 供电、用电设备的管理
1.供电系统的维护、检修、运行和管理,包括:配电室、变压器、由配电室至办公区域、实验室、生活区、公共场所的配电箱、柜、供电线路、照明设施、光源;
2.电梯的维护、运行的管理;
3.节日、重大活动彩灯悬挂与维护;
第三条 环境卫生、保洁管理
1.所区环境包括:道路、人行道、自行车棚、公共场地、体育休闲场所、宣传栏、和门前三包区域的清扫和保洁;
2.工作区建筑物内部的楼道、大厅、报告厅、会议室、所领导办公室、院士办公室、电梯门、公共场地、卫生间的清扫和保洁;
第四条 绿地、绿化管理
1.所区内绿地、花木、造型物的维护与管理;
2.节日、大型会议和活动的花卉摆放;
3.受研究所委托参加各级政府、科学院召开的绿化会议,签订绿化责任书并组织落实;
第五条 食堂管理
为职工、学生等提供用餐服务,为来所工作、访问人员提供工作餐,提供会议用餐等服务;
第六条 非机动车、机动车和车务管理
1.所属机动车的保养、维护和维修;
2.用车服务、车务管理和交通安全管理;
3.自行车停放管理;
第七条 传达与邮件、报刊的收发管理
1.接待来访者,协助联系被访问者,来访人员登记;
2.收发各类邮件、报刊;
第八条 职工医疗管理
1.全所在职及离退休职工、学生和流动人员的医疗、疾病预防和保健服务;
2.协助所有关部门完成义务献血工作;
3.医务室日常药品的计划与采购;
4.职工医疗费的报销审批、大病住院及高额检查费的审核;
5.代表_________参加各级政府、科学院召开的计划生育会议,签订责任书并组织落实;
第九条 器材供应与房屋管理
1.常用化学试剂、玻璃仪器、五金、电料、办公用品的计划、采购、保管和发放;
2.各类库房、剧毒药品的管理;
第十条 所区治安、保安管理
门岗值勤、夜间治安巡逻;
第十一条 居委会的管理
1.居委会日常工作的服务与管理;
2.参加各级政府有关会议并组织落实;
第十二条 茶炉、浴室的管理
提供开水供应、浴室管理,茶炉设备、淋浴设施的维护、维修;
第十三条 集体宿舍、学生宿舍的管理
1.办理入住手续、来客登记及安全工作;
2.宿舍楼内楼道、楼梯、卫生间及公共场地的清扫和保洁;
3.门窗、室内设施的维修;
4.住宿费等相关费用的收费工作;
第十四条 房租、水、电费的收费管理
负责单身宿舍、学生宿舍房租及相关费用、职工住宅楼水电及相关费用,出租房租金等收费工作。课题组水电查表及编制收费清单。
第十五条 房产经营管理,经营房产见附件
第十六条 乙方须按下列约定,实现目标管理
一、给排水、房屋维修、维护与管理
1.全面掌握所区内给排水系统、暖气系统的运行情况,熟悉管路走向和具置,保障正常运行;
2.发生突发跑、漏水情况,要立即赶赴现场(十分钟内),组织抢修,一般报修一小时内抵达现场;
3.给水管道、暖气管道无滴漏水现象;
4.排水、下水管道堵塞要及时疏通,屋面雨水口、雨水管雨季前清淘疏通一次;
5.保证维修质量,更换的配件质量符合国家有关部门的技术质量标准;
6.文明操作,尽量不干扰正常的工作秩序。维修后要清扫干净。实验室内使用电、气焊要征得科研人员同意,不违章作业,确保现场安全;
二、供电、用电设备管理
1.供电系统24小时正常运行,发生断电事故立即排除(十分钟内到现场);
2.接到一般报修一小时内到达现场;
3.限电、停电应提前发出通知,遇突发供电中断事故要立即与供电机构交涉解决;
4.定期巡视会议室、卫生间、楼道、公共场所、道路的照明设施,发现问题及时更换;
5.按时办理电梯年检事宜;
6.按时与电梯公司签订电梯维保协议,维修要有记录,保证电梯安全、正常运行。
三、环境卫生,楼道保洁
1.路面、公共场地、门前三包区域每日清扫,清洁无杂物、无积水,垃圾桶、果皮箱外表整洁,无遗撒,夏季对垃圾箱、垃圾堆放地、果皮箱喷药、消毒,无蚊蝇滋生,及时清运垃圾、粪便,排污管道畅通。环境卫生达到市文明单位标准;
2.楼内公共场地地面洁净,楼梯扶手无污垢,玻璃干净明亮,电梯门及轿箱内保持光亮,卫生间内地面、洁具清洁卫生无污物,空气流通无异味。
四、绿化、绿地管理
1.保持绿化设计的整体造型和绿化效果,花木、绿地修剪整齐,及时清除杂草、杂物;
2.无破坏、践踏、占用绿地的现象;
3.在正常浇灌前提下,注意节约用水,管理好绿化用水;
4.绿化工作达到院先进单位标准;
五、食堂管理
1.认真贯彻执行《食品卫生法》,保证各类食品卫生、安全;
2.食堂炊事人员要“三证”齐全,定期体检,不录用无资质人员;
3.食堂服务人员衣着整洁,遵守职业道德,服务热情主动;
4.保证伙食质量,花色品种多样;
5.餐厅实行标准化清扫保洁,做到地面洁净,餐桌、餐椅无尘,无杂物堆放,无蚊蝇,为就餐人员营造舒适的就餐环境。
六、车辆、车务管理
1.优先保证所领导、院士、会议用车;
2.遵守交通规则,出车准时,安全行车,无重大交通事故发生;
3.准确填写出车单,并经用车人签字确认;
4.办理或提醒相关人员办理年检、年审等车务手续;
5.建立、健全机动车档案;
6.及时清理自行车棚内的废弃自行车及杂物,自行车无乱停、乱放现象;
七、传达与邮件、报刊管理
1.热情接待来访者,协助联系被访人;
2.电话联系被访者,征得同意后进行登记,方可准其进入工作区;
3.正确、及时收发各类邮件、报刊,不发生人为邮件丢失,急件予以特殊处理;
八、职工医疗管理
1.为就医人员提供医疗保健服务和咨询服务;
2.无重大医疗事故;
3.严格按所公费医疗管理规定审批、审核职工医疗费用的报销;
4.所购药品无假冒、伪劣、过期及国家禁止使用的;
5.按时对应做计量检定的医疗器具送检,并有记录;
6.计划生育工作达到各级政府、科学院先进单位标准;
九、器材供应与库房管理
1.每月根据常用器材消耗量提出采购计划,报甲方核定后负责采购、保管和发放,避免库存积压;
2.不得采购假冒伪劣和三无产品;
3.剧毒药品的保管、发放要严格执行双人、双锁和跟踪投料等管理制度,存放条件符合公安部门的规定;
4.化学品仓库符合国家规定的标准,符合卫生、安全、消防要求,消防器材齐全,完好;
5.出入库器材要做到帐、帐和帐、物相符,定期与所财务处对帐;
十、所区治安、保安管理
1.门岗执勤礼貌、规范,夜间保安巡逻;
2.引导进所车辆整齐、有序停放;
十一、茶炉、浴室管理
每天8:00-20:00提供开水,茶炉设备保持完好,茶炉间、浴室卫生洁净。
十二、集体宿舍、学生宿舍的管理
1.楼内走道、卫生间、公共区域干净、整洁、室内设施完好;
2.不擅自安排他人入住;
3.根据有关规定,严格进行管理;
十三、房租、水电费、供暖费收费管理
1.严格按收费标准收缴相关人员的房租、床位费、水电费、天然气费等,编制收费清单后交所财务入帐;
2.课题组水电用量核查后列收费清单,报所财务处;
十四、房产经营管理
1.房屋出租符合北京市有关规定,出租合同规范;
2.对出租房屋的安全负有责任;
3.出租合同报甲方一份备案;
4.按时收缴房租等相关费用,交财务处入帐;
5.房屋经营收入每年不少于_________元。
十五、其它管理
1.服务和管理过程中注意言谈举止,待人接物礼貌友善,热情主动服务,增强服务意识,大胆管理,讲究方法,纠正违章,有根有据,以理服人;
2.对违反管理规定的人员和行为敢于批评和规劝,对恶意违反并不听从规劝的人员可报请所领导进行处理。
第十七条 甲方的权利和义务
1.检查、监督乙方对本协议执行情况;
2.审定乙方编制的服务管理年度计划;
3.由资产财务处对乙方财务支出进行年度审核;
4.为乙方提供必要的办公、工作用房,由乙方无偿使用。乙方改变甲方提供用房的性质和用途,须征得甲方同意;
5.协助乙方做好管理服务工作,协调乙方与各部门的关系;
6.审定乙方编制的房屋、装备大修、更新年度计划;
7.负责与乙方签订本协议范围以外的单项合同;
8.每月对乙方的服务工作进行一次抽查,每季度组织召开一次甲乙方负责人参加的协调会,及时解决工作中存在的问题;
9.对乙方违反本协议的行为进行相应的处理和处罚。
第十八条 乙方的权利和义务
1.根据_________各项规章制度和本协议的约定,享有自主管理的权利;
2.根据_________各项规章制度和本协议的约定,制定相应的管理制度;
3.负责编制_________房屋、设备大修和更新年度计划,经甲、乙双方议定后由乙方组织实施;
4.在管理服务中,有权对违反本所相关规章制度的职工、学生按有关规定进行处罚;
5.凡_________公用设施,未经甲方许可,不得擅自占用或改变其使用功能;
6.甲方委托乙方的管理项目,不得将管理责任转托第三方;
7.乙方聘用本所职工以外的人员,应遵守_________市用工要求,符合国家相关用工制度,此类人员在工作期间发生意外事故,责任由乙方承担;
8.达到本协议约定的各项服务指标,自觉接受本所职工的监督,发现问题及时解决。
第二十四条 在维修中,乙方应使用符合国家质量和安全标准的材料和配件,因使用假冒伪劣、三无产品所造成的经济损失由乙方承担,造成严重后果的,要追究当事人责任
第二十五条 乙方违反本协议约定的乙方义务和未能达到约定的管理目标,甲方有权要求乙方整改
第二十六条 甲方未执行或违反本协议所约定的甲方义务,乙方有权要求甲方改正
第二十七条 甲、乙双方对本协议的内容发生歧议,可协商解决,通过协商无法解决的,可报请所务会裁决,也可到人民法院。
第二十八条 甲、乙双方可对本协议的条款进行修改和补充,以书面形式签订补充协议,补充协议与本协议具有同等效力
第二十九条 甲、乙双方在接受_________组织的部门年终考核后,根据所评审小组提出的问题和建议,对本协议进行修改、补充和完善。
第三十条 本协议有效期至_________整体搬迁后终止。
第三十一条 本协议自所务会通过之日起执行。
甲方(盖章):_________
乙方(盖章):_________
法定代表人(签字):_________
法定代表人(签字):_________
_________年____月____日
_________年____月____日
供电安全用电协议篇9
关键词:电子商务网络安全入侵检测系统数据挖掘
【中图分类号】G25【文献标识码】a【文章编号】1004-1079(2008)10-0191-01
引言
计算机网络的本质在于信息的流动,所有阻碍数据流动的行为是与网络的基本功能相违背的,但信息的绝对
自由流动又有悖于公司和政府进行正常运转所需的原则,必须防止私有信息和敏感数据被非授权访问,这样就提出了网络的安全性问题。
进入21世纪,随着计算机网络技术进一步迅猛发展,建立在网络基础上的商业运行模式――电子商务,日渐成熟与完善,并随全球经济一体化进程的加快,在世界范围内日渐得到普及与应用。电子商务是一个复杂的系统工程,它的实现还依赖于众多从社会问题到技术问题的逐步解决与完善。其中,入侵检测系统以它高效的自适应能力在网络安全中起到了举足轻重的作用。
1.电子商务的基础――信息安全
电子商务是一个模糊的概念,本质上表示任何电子商务处理,包括网上贸易以及所有用internet/intranet来解决问题、降低成本、增加价值并创造新的商机的所有商务活动。
电子商务是产品、服务或信息的,包括请求者、发送渠道和供给者应用在业务与技术风险中公认的方法和可以接受的设想。不管是电子商务还是传统的商业模式,信息的安全都是其正常活动中一项必不可少的因素。
2.确保网络信息安全的机制――入侵检测系统
网络安全的一个主要威胁就是通过网络对信息系统的入侵。网络入侵定义为:试图破坏信息系统的完整性、机密性或可信性的任何网络活动的集合。入侵的方式有很多,但通过对多例系统入侵的分析可得出:要保障网络系统的安全,关键的基础技术是加密技术及网络信息技术的合理隐藏,但这只是被动的防范,更积极更有效的应该是“网络安全的早期智能预警”技术。
入侵检测可以看作是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。此外,它还可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。它以探测与控制为技术本质,起着主动防御的作用。
3.入侵检测在电子商务网络中的应用
入侵检测是通过对系统数据的分析,发现非授权的网络访问和攻击行为,它是一种提高网络安全性的新方法。智能agent技术在入侵检测系统中的应用能够提供“主动”服务和智能性的“”服务。而且,多个agent协作还可以实现分布式入侵检测。
由于网络中的多数访问都是基于tCp/ip协议的,而tCp/ip是一组不同层次上多个协议的组合,上层协议的实现要通过下层协议的实现来完成。因此,从分类上来说,下层协议可以看成是上层协议数据包的大类,首先要下层协议的特征满足后才考虑上层协议的特征。此外,在tCp/ip协议实现时,上层协议的一些细节可以在下层协议实现时得到体现。
随着网络的发展,网络安全问题被提到了一个前所未有的高度,作为安全技术核心之一的入侵检测技术(iDS)也成为网络安全领域研究的焦点。特别是对电子商务网络安全的意义尤为重要。由于电子商务是一个复杂的系统工程,安全问题还有赖于对很多相关课题的进一步研究,如:公钥基础设施(pKi)研究、开发与应用,电子商务原子性及采购协议、支付协议、物流配送协议的研究,XmL的研究和标准化等方面。同时,除了技术问题之外,电子商务的安全还有赖于电子商务发展所需的政策和相应的法律、法规的建设等社会环境的完善。
参考文献
[1]夏春和,张欣.网络入侵检测系统RiDS的研究.系统仿真学报,2000,12(4):375-379
[2]Garyp.Schneider.成栋,等译电子商务[m]北京:机械工业出版社,2002
供电安全用电协议篇10
(郑州大学西亚斯国际学院,河南新郑451150)
中图分类号:F713.36文献标识码:a文章编号:1673-0992(2009)09-076-01
摘要:从电子支付系统的概念入手,介绍了几种常用的电子支付手段,并阐述了两种重要的电子商务安全协议在电子支付系统安全中所起的作用。同时结合信用卡的支付流程分析了电子支付的过程和相关的安全问题。除此之外,本文还阐述了数字证书和数字签名的原理。
关键词:电子支付系统;数字证书;数字签名
一、电子商务服务蓬勃发展
电子商务出现四十多年了,但是它真正蓬勃发展起来也就是最近十几年的事情。虽然电子商务发展非常快,但有很多障碍限制了电子商务的进一步发展。安全性是其中一个主要的瓶颈。对计算机系统的很多威胁(中断、拦截、改变和伪造)都是利用计算机系统的脆弱性对系统进行攻击造成的。目前,消费者对电子交易的安全性是非常关注的,但是事实上,和传统的纸质交易相比,只要采用适当的技术和相关法律政策来保护消费者,电子支付系统是方便的,可靠的和安全的。
二、电子支付系统综览
电子支付系统可以定义为在开放的网络中使用多种支付手段,例如电子资金划拨、智能卡、电子支票和电子信用卡等进行电子交易的方式。目前在电子支付系统中有两个重要的安全协议SSL(安全套接层协议)和Set(安全电子交易协议)。SSL协议的目的是在两个沟通方之间提供保密和可靠性。这个协议包含两层。SSL纪录层协议位于最低层,并且它用作多种高层次协议的封装。握手协议就在这些被封装的协议之中,它允许服务器和客户机之间相互认证,并且在应用协议发出和收到第一个数据之前协商加密算法和加密密钥,这样做的目的就是保证应用协议的独立性,使低级协议对高级协议是透明的。SSL协议拥有三个主要的安全特性:数据的保密性;数据的一致性;安全验证。Set是在开放网络环境中的支付安全协议,它采用了公钥密码体制(pKi)和X.509电子证书标准,通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更低受欺诈的可能性。Set协议用于支持B2C这种类型的电子商务模式,即消费者持卡在网上购物与交易的模式。
三、电子支付系统安全措施
由于电子支付的方式很多,在此仅以信用卡为例介绍一下其中的安全问题。下面阐述一下使用信用卡进行电子支付的过程。这个过程可能会根据信用卡集团、发卡行、收单行之间的协议而有所不同。在这个过程中主要的步骤包括:发卡行颁发一张信用卡给一个潜在的持卡人。一个潜在的持卡人向一个发卡行(持卡人最好在发卡行有一个账号)申请发行一张有信用卡公司标志的信用卡。发卡行有权根据申请人的资质批准或拒绝申请。如果得到批准,一张塑料卡片被通过邮件寄到客户的家中。只要客户打电话给银行启用该信用卡并在卡的背面签上客户的名字,该卡片就能被激活;不论何时客户刷卡消费,商家经过信用卡公司批准,交易通过信用卡支付。商家保留购货单并将购货单卖给收单行并且为此支付一定的服务费用;收单行要求信用卡公司结算货款并得到付款,然后信用卡公司要求发卡行结算;货款从发卡行转移到信用卡公司。在还款期内,同样的数量从持卡人在发卡行的账号中扣除。在以上过程中,信息的传递要经过对称密钥和非对称密钥的加密以保证信息传递的安全性,并通过数字证书来确认商家、银行和执卡人的身份,充分保证了整个交易过程的安全性。
四、数字证书的使用
目前网络欺诈现象的屡屡发生。因此,在买卖双方交易时,必须鉴别对方的可信度。通常的方法是设立一个类似于公证处的第三方认证机构,来认证买卖双方的身份。其基本原理和流程是:在做交易时,应向对方提交一个由Ca(Certificateauthority)签发的包含个人身份的证书,以使对方相信自己的身份。客户在申请证书时,可提交自己的身份证明,经验证后,颁发证书,证书包含客户的名字和他的公钥,以此作为网上证明自己身份的依据。在网上交易中,最重要的证书是持卡人证书和商家证书。此外,还有支付网关证书、银行证书和发卡机构证书。Ca的主要功能有:接收注册请求,处理、批准拒绝请求,颁发证书。在实际中,Ca可以由大家都信任的一方担当。中国建设银行的网银盾就是数字证书的一个典型的例子。为了保障网上银行客户证书的安全性,建行推出了“电子证书存储器”,即“网银盾”,可以将客户的证书专门存放于盘中,随插随用。目前建行的网银盾类型是预制证书型网银盾。如果连续输入错误口令10次,网银盾便会自动锁定,用户只能重新申请新的网银盾。预制证书网银盾是指在柜台签约购买的网银盾内,已预先存有建行发放的数字证书,用户可凭此安全便捷地享受建行网上银行的服务。
五、数字签名的使用
数字签名是公开密钥加密技术的另一类应用,用DeS算法、RSa算法都可实现。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的私有密钥对这个散列值进行加密来形成发送的数字签名。然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别,保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性。
六、结论
综上所述,电子商务发展迅速,电子支付系统的安全性制约了电子商务的进一步发展。使用数字签名和数字证书可以实现对各方的认证;使用加密技术可以对业务进行加密;使用消息摘要算法可以确认业务的完整性;SSL和Set协议为电子商务交易的安全进行提供了商业实现标准。所有这些措施都有效地保证了电子支付系统的安全性。
参考文献:
[1]turbanLee.电子商务管理视角(第四版),高等教育出版社,2006
[2]中国建设银行.安全策略方案,2009,http:.cn
[3]黄敏学.电子商务(第二版),高等教育出版社,2005