前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇电子合同的安全性范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:110kV;自动化变电站;安全管理
1110kV自动化变电站的特点
1.1安全的自动化调整
变电站负荷调整、电压调节及电量报表等工作都由调度直接完成,改变了过去那种调度下令后变电运行人员接令执行操作的繁琐环节,降低了变电运行误操作事故的发生。
1.2经济可靠
分布式结构,每一间隔的一次设备与其对应二次设备的连接电缆是一一对应的。这样,每一间隔间除了通讯媒介的联系,没有其他的连接,间隔间互不影响,局部故障不会影响系统的运行,系统可靠性提高。由于采集系统分布合理,缩短了传输距离和传输密度,同时节省、简化了二次电缆。
1.3人机界面友好
计算机化、网络化,是自动化的特点,所有微机装置及自动化装置都装有良好的计算机接口,便于调试和维护。
1.4便捷的信号采集功能
自动化系统与常规变电站相比,取消了常规的控制、信号、测量及运动模式,由自动化系统完成全所的监控、管理和运动功能,包括控制、同期、防误闭锁、设备状态信号监视、信号报警、SOE测量、计量等功能。
1.5相对独立的继电保护功能
自动化变电站系统继电保护按被保护的电力设备单元独立设置,独立运行,直接由相关的PT,CT输入电气量,动作后通过输出接点作用于跳闸线圈。保护装置设有通讯接口,接入站内通讯网,保证了保护信息与监控系统的有效畅通,而保护功能与监控系统、通讯网无关。
2110kV自动化变电站运行中存在的几个问题分析
2.1运行管理模式落后
自动化变电站投运后,有些变电站仍保持常规变电站值班方式,没有体现减人增效。有的采用“无人值班”的模式替代常规变电管理,在安全运行中出现一些失控情况。
2.2遥控信号误动
自动化变电站通信控制器通过串口与MODEM相连,MODEM与通道相连,送至主站。由于保护规约比较多,复杂,在主站对保护规约进行了扩展,做好了接口的运行过程中会经常发现遥控信号误动,这可能是规约没处理好,也有可能是测控单元装置运行不稳,具体很难查找。
2.3实时数据突然变为零
监控后台机在平时的运行中有时会发现实时数据突然变为零,观察电压曲线、电流曲线,发现隔一段时间突然变为零,没有规律性,这可能是测控单元装置有问题。另外,查历史事项时,事项查询的分类给事项查询时的对比带来不方便。
2.4双机系统切换存在问题
自动化变电站的双机以串口通信为主以太网为副的相互监视主备状态,理论上可以绝对保证主备状态的正确。但有时在切换过程中会出现两台通信控制器全部为备用值班机,导致通信控制器死机,数据不刷新,遥控失效。
2.5继电保护与监控系统通讯时有中断
保护装置本身功能满足要求,但由于时有误发信号,造成保护管理机死机,发信不正确,以致信号中断。
3对提高110kV自动化变电站安全运行的几个建议
3.1 110kV自动化变电站的设计
110kV自动化变电站的设计应按原电力部农电司提出的“小容量、密布点、短半径”的建设原则,坚持“户外式、小型化、造价低、安全可靠、技术先进”的发展方向。二次设计必须使变电站现场对主变温度、母线电压、电流等主要运行参数的显示简单、直观,便于值班人员监控。保留常规变电站预告信号和事故信号功能,有利于变电值班人员发现设备异常,及时处理事故。
3.2常规变电站的自动化改造
常规变电站的改造应立足一次设备,可靠的一次设备是变电站实行自动化的基础。对一次设备进行无油化改造,二次部分按自动化要求设计,电磁式继电器改为“四遥”集成模块保护,变电站各种信号通过RTU柜传送调度中心,变电站现场电压、电流、温升等主要参数显示要求简单、直观,为值班监控提供方便。如果变电站是近年新建的,设备质量较好,进行“四遥”改造时,二次部分也可利用原来电磁继电器的保护触点进行控制。同时,增加远方操作转换功能、远方复归信号继电器、小电流系统接地选线装置。
3.3变电站建设
从目前综合自动化变电站运行中暴露出的问题看来,许多问题都同产品质量和工程安装质量直接有关,因此,在建自动化变电站中,要重视产品质量、安装质量和售后服务质量。
3.4自动化变电站的运行管理模式
目前自动化变电站运行管理模式基本是少人值班和无人值班两种。少人值班比常规变电站人员减少一半。无人值班即“无人值班,有人看守”模式,另要成立操作班、监控班来替代常规变电站管理。现在看来,大家对变电站的运行管理模式认识不统一,普遍把自动化变电所叫“无人值班变电站”,这并不恰当,实际上采用“少人值班”的运行管理模式更为可行。下面从变电站安全、可靠、经济运行方面谈一点看法:
(1)变电站是保证城乡供电,创造企业效益的基层班组,变电值班岗位担负着时刻保证供电设备安全运行的重任,因此,变电值班岗位任何时候只能加强,不能削弱。
(2)变电站的位置一般分布在远离城市的偏僻地方,人员稀少,交通不便。如果采用“无人值班,有人值守”的模式,存在许多不安全因素。首先长期一个人留守,值守人员就存在人身安全问题。再说操作班远离变电站,设备有了故障也难做到及时处理,同时车辆的频繁来往也是一个不安全因素。但是,如果采用“少人值班”的模式,这些问题都将得到妥善解决。
(3)常规变电站值班一般5~7人,自动化变电站采用“少人值班”模式,人员可减一半。但“无人值班,有人值守”的模式用操作班、监控班替代常规变电管理,实际人员也难减少,如果自动化变电站数量少,“无人值班”模式用人将会更多。
(4)综合自动化变电站的设备是现代化高新技术,对值班人员的素质要求比常规变电站高,应配备责任心强、业务熟悉的人员来管理。总之,自动化变电站管理应选用“少人值班”运行管理模式为宜,变电站定员一般2~3人,轮流值岗。值班员的职能同常规变电站不一样,工作性质由被动性转为主动性。因此,对值班员的素质要求更高了,应选派责任心强、对业务管理熟悉的人员担任。值班职责:主要负责变电所的日常保卫及环境卫生、绿化工作;监控变电设备运行及变电设备检修操作和临时性操作等工作。
一、电子商务面临的法律问题
1.安全性与便捷性的问题
安全性与便捷性,二者的关系是辨证关系,需要妥善处理。真正实现电子商务,关键在于安全性。但片面强调安全性会影响电子商务的推广,因为技术上的多层保障,必然增加操作环节,也增加交易成本。解决这一矛盾,主要有两种办法,一是区分交易的安全级别,采用不同的安全措施;二是健全法律法规,加强法制教育,从一开始就使电子商务在良好的法律环境下运行。
2.电子合同的法律问题
电子商务活动能否顺利进行,离不开电子合同。而如何使电子合同与传统的合同具有同等的法律效力,以实现对当事人利益和义务的保护及监督,也是一个十分突出的问题。为了适应新的环境,各国纷纷立法或调整现有的法律规范。我国的新《合同法》和《电子签名法》在法律上确认了电子合同的合法性,但还只是粗线条的,缺少其他有关电子合同的法律配套规定。要真正给电子商务立法,需要世界各国共同研究和制定通用的法律原则,明确相关的法律责任,以解决此类电子合同问题。
3.电子商务认证机构的设立问题
数据资讯的商业化应用,使得认证机构的服务成为电子商务的必需。认证机构的核心职能是发放和管理用户的数字证书,它提出的是经过核实的、交易双方都关心的基本信息和信用证明,通常包括交易人是谁、在何处、以何种方式电子签名、其信用状况如何等。尽管不少地区、部门甚至企业都建立起认证中心,但存在不少的隐患。目前,司法公证应介入电子商务,充当认证机构的角色,以避免电子商务法未出台前发生认证机构的法律纠纷。
4.知识产权的保护问题
随着网络信息传播和电子商贸交易方式及途径成为主流,电子商务活动中的知识产权保护问题也开始显现,域名抢注和商标侵权成为某些商人谋取不正当利益的方式;网上大量无授权软件下载,使用未经授权的他人作品、链接他人网站网页、网络原创作品下载和转载等侵权行为与纠纷大量存在。电子商务立法当务之急是强化全社会网络知识产权保护的法律意识,建立和完善电子商务中的知识产权法律体系,促进互联网的健康发展。
5.个人隐私、个人信息的保护问题
据报道,美国加利福尼亚州一位女士提出诉讼,控告网络广告公司Double Click非法取得并贩卖她的私人信息。这种问题许多上网的人可能都遇到过,为了避免麻烦,许多Intemet用户都不太愿意在访问网站时提供自己的个人信息,他们担心无法控制自己个人信息的传播和利用,这在某种程度上也限制了电子商务的发展,同时也会引发许多纠纷、诉讼。因此,在个人隐私问题上,各国政府应相互配合,在法律层次上和技术层次上进行广泛合作,寻找出现尊重个人隐私,又允许个人自由,同时也允许政府以恰当方式进行管理的最佳方式。
电子商务所面临的法律问题除上述以外,还有很多,例如我们还需要制定有关的电子支付制度,电子商务操作规范与商务规约,电子商务进出口关税的法律制度,电子商务的金融监管细则、电子商务投机活动的制裁原则等。只有给电子商务活动提供有法可依的健康的法律环境,基于网络的电子贸易才能规范、顺利地开展。
二、国外电子商务基本政策法规评析及我国的相应对策
既然电子商务存在着如上所述的诸多问题,政府机构不建立健全相关法律法规是绝对不行的。世界很多国家,尤其是发达国家,几年前便开始了电子商务的立法,这些国家基本上都是从一个战略发展的角度来规范和建立电子商务立法规则的。这其中,美国的电子商务基本政策和原则框架已趋向成熟,并在事实上成为世界各国发展电子商务的先导。美国有关Internet通信和电子商务的立法,在很大程度上是鼓励电子商务的发展,确立联邦管辖权,同时平衡利益关系和优化资源配置;但我们要清醒地认识到,美国这样做是在注重全球战略的前提下,借助Internet的领先技术使美国利益最大化。
其他国家应当根据自己的具体国情,实施相应的电子商务政策和制定合适的法律法规。为此,我国为电子商务的发展制定了一个总体框架,它指出了我国今后电子商务的发展原则:政府在发展电子商务中的作用是宏观规划和指导;重视企业在电子商务发展过程中的主体作用;采取积极、稳妥的措施推动电子商务的发展,从建立示范工程入手,逐步进行引导,同时要遵守国家现有法律法规及安全管理方面的规定;加强国际间的电子商务合作,借鉴国外先进的发展经验,以推动我国电子商务的健康发展。
[摘要]Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心和关键问题。
[关键词]电子商务安全网络安全商务安全
2003年对中国来说是个多事之秋,先是SARS肆虐后接高温威胁。但对电子商务来说,却未必不是好事:更多的企业、个人及其他各种组织,甚至包括政府都在积极地推动电子商务的发展,越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动,现在主要是指在Internet上完成的电子商务。
Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全性始终是电子商务的核心和关键问题。
电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
一、网络安全问题
一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。
二、计算机网络安全体系
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。
对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。
互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来的几年中成为重点,如身份认证,授权检查,数据安全,通信安全等将对电子商务安全产生决定性影响。
三、商务安全要求
作为一个成功的电子商务系统,首先要消除客户对交易过程中安全问题的担心才能够吸引用户通过WEB购买产品和服务。使用者担心在网络上传输的信用卡及个人资料被截取,或者是不幸遇到“黑店”,信用卡资料被不正当运用;而特约商店也担心收到的是被盗用的信用卡号码,或是交易不认账,还有可能因网络不稳定或是应用软件设计不良导致被黑客侵入所引发的损失。由于在消费者、特约商店甚至与金融单位之间,权责关系还未彻底理清,以及每一家电子商场或商店的支付系统所使用的安全控管都不尽相同,于是造成使用者有无所适从的感觉,因担忧而犹豫不前。因些,电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点。
用户对于安全的需求主要包括以下几下方面:
1.信息的保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户被人知悉,就可能被盗用;定货和付款信息被竞争对手获悉,就可能丧失商机。因此在电子商务中的信息一般都有加密的要求。
2.交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。因此,要使交易能够成功,首先要想办法确认对方的身份。对商家而言,要考虑客户端是否是骗子,而客户也会担心网上的商店是否是黑店。因此,能方便而可靠地确认对方身份是交易的前提。
3.交易的不可否认性。交易一旦达成,是不能被否认的,否则必然会损害一方的利益。因此电子交易过程中通信的各个环节都必须是不可否认的。主要包括:源点不可否认:信息发送者事后无法否认其发送了信息。接收不可否认:信息接收方无法否认其收到了信息。回执不可否认:发送责任回执的各个环节均无法推脱其应负的责任。
4.交易内容的完整性。交易的文件是不可以被修改的,否则必然会损害交易的严肃性和公平性。
5.访问控制。不同访问用户在一个交易系统中的身份和职能是不同的,任何合法用户只能访问系统中授权和指定的资源,非法用户将拒绝访问系统资源。
四、电子商务安全交易标准
近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。主要的协议标准有:
1.安全超文本传输协议(S—HTTP):依靠对密钥的加密,保障Web站点间的交易信息传输的安全性。
2.安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE浏览器,以完成需要的安全交易操作。
3.安全交易技术协议(STT,SecureTransactionTechnology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在InternetExplorer中采用这一技术。
4.安全电子交易协议(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET2.0预计今年,它增加了一些附加的交易要求。这个版本是向后兼容的,符合SET1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。
所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。
五、商务安全的关键CA认证
怎样解决电子商务安全问题呢?国际通行的做法是采用CA安全认证系统。CA是CertificateAuthority的缩写,是证书授权的意思。在电子商务系统中,所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门:一是审核授权部门,它负责对证书申请者进行资格审查,决定是否同意给该申请者发放证书,并承担因审核错误引起的一切后果,因此它应由能够承担这些责任的机构担任;另一个是证书操作部门,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。
CA体系主要解决几大问题:1.解决网络身份证的认证以保证交易各方身份是真实的;2.解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改;3.解决交易的不可抵赖性以保证对方在网上说的话是真实的。
需要注意的是,CA认证中心并不是安全机构,而是一个发放”身份证”的机构,相当于身份的”公证处”。因此,企业开展电子商务不仅要依托于CA认证机构,还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。好的IT厂商,会让用户在部署安全策略时少走许多弯路。在选择外援时,用户为了节省成本,避免损失,应该把握几个基本原则:1.要知道自己究竟需要什么;2.要了解厂商的信誉;3.要了解厂商推荐的安全产品;4.用户要有一双”火眼金睛”,对项目的实施效果能够正确加以评估。有了这些基本的安全思路,用户可以少走许多弯路。
六、相应法律法规
电子商务要健康有序地发展,就像传统商务一样,也必须有相应的法律法规作后盾。商务过程中不可避免地会产生一些矛盾,电子商务也一样。在电子商务中,合同的意义和作用没有发生改变,但其形式却发生了极大的变化,1.订立合同的双方或多方是互不见面的。所有的买方和卖方在虚拟市场上运作,其信用依靠密码的辨认或认证机构的认证。2.传统合同的口头形式在贸易上常常表现为店堂交易,并将商家所开具的发票作为合同的依据。而在电子商务中标的额较小、关系简单的交易没有具体的合同形式,表现为直接通过网络订购、付款,例如利用网络直接购买软件。3.表示合同生效的传统签字盖章方式被数字签名所代替。
电子商务合同形式的变化,对于世界各国都带来了一系列法律新问题。电子商务作为一种新的贸易形式,与现存的合同法发生矛盾是非常容易理解的事情。但对于法律法规来说,就有一个怎样修改并发展现存合同法,以适应新的贸易形式的问题。
七、小结
在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下特点:强大的加密保证;使用者和数据的识别和鉴别;存储和加密数据的保密;连网交易和支付的可靠;方便的密钥管理;数据的完整、防止抵赖。电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
参考文献:
[1]《电子商务基础》尚建成主编高等教育出版社出版2000.9
关键词:电子商务 PKI CA 网络公证
引 言
电子商务逐渐成为21世纪经济生活的新领域,它可以大幅度地降低交易成本,增加贸易机会,简化贸易流程,改善物流系统,提高贸易效率,推动企业和国民经济结构的改革。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易过程中与传统交易方式一样地安全、可靠。从安全和信任的角度来看,传统交易方式的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,建立交易双方的安全和信任关系相当困难。如何解决电子商务中的信用及网络传输中的安全问题,如何判别网上交易对方的真实身份,如何固化并保存网上的交易内容并使之成为有效的法律证据,如何履行网络合同中最敏感的资金支付等一系列问题已构成了电子商务发展的障碍,建立完善的电子认证体系已成为电子商务发展的关键。
为解决Internet的信息安全,世界各国对其进行了多年的研究,初步形成了一套完整的解决方案,即目前被广泛采用的PKI(Public Key Infrastructure)技术,PKI技术采用证书管理公钥,通过第三方的可信任机构即认证中心CA(Certificate Authority),把用户的公钥和用户的其他标识信息如名称、身份证号等捆绑在一起,在Internet网上验证用户的身份。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息在网络上的安全传输。
完整的PKI应包括认证政策的制定、遵循的认证规则技术标准、运作制度的制定、所涉及的各方法律关系以及技术的实现。笔者就网络电子认证体系采用网络公证从法律制度与安全技术相结合的角度做了探索性研究,并尝试对网络公证以解决网络中的信用安全给出了一整套解决方案。
国内CA的现状
互联网的开放性大大降低了网络环境的可信性。电子商务中的交易信任问题成为信息安全的主要问题和关键问题,而信任是交易的基础。为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,还必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体在网上信息交流及商务交易活动中的身份证明,该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
电子商务对网络安全的要求,不仅推动着Internet上交易秩序和交易环节,同时也带来了巨大的商业机会。自1998年国内第一家以实体形式运营的上海CA中心成立以来,全国各地、各行业纷纷上马建成了几十家不同类型的CA认证机构。如果从CA中心建设的背景来分,国内的CA中心大致可以分为三类:行业建立的CA,如CFCA,CTCA等;政府授权建立的CA,如上海CA,北京CA等;商业性CA。不难看出,行业性CA不但是数字认证的服务商,也是其他商品交易的服务商,他们不可避免的要在不同程度上参与交易过程,这与CA中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言,行业性CA更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安CA认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性CA,除具有地域优势外,在推广应用和总体协调方面具有明显的优势,不过需要指出地区性CA离不开与银行、邮电等行业的合作。
国内CA存在的问题
在电子商务系统中,CA安全认证中心负责所有实体证书的签名和分发。CA安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言,CA的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够,都还存在一些问题。在技术层面上,由于受到美国出口限制的影响,国内的CA认证技术完全靠自己研发,由于参与部门很多,导致了标准不统一,既有国际上的通行标准,又有自主研发的标准,即便是同样的标准,其核心内容也有所偏差,这必将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。在应用层面上,一些CA认证机构对证书的发放和审核不够严谨。目前国内相关的CA中心在颁发CA证书前虽然也竭力进行真实身份的审核,但由于进行相关审核的人员往往是CA中心自己的工作人员或其委托的其他人员,从法理上讲这些审核人员不具备法律上所要求的审核证明人资格,也无法承担相应的法律责任;另一方面现在的CA中心本身往往也是交易或合同的一方,难免存在不公正性。为了抢占市场,在没有进行严格的身分确认和验证就随意发放证书,难以确保认证的权威性和公证性。在分布格局上,很多CA认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求,而就互联网而言,不应该也不可能存在地域限制。
电子商务认证的解决方案
在传统的商务贸易中,公证机构作为国家的证明机构,以交易信用的第三方中介行使国家证明权,其权威性与统一性历来为法律所确认。公证证明属国际惯例,中国加入WTO后,在与国际法律制度的接轨中,公证机构的证明效力日益显现出来。正因如此,将权威的国家证明权引入虚拟的网络世界,实行网络公证能够彻底填补网络世界的法律真空,解决目前国内CA认证的弊端,使现实世界的真实性向网络世界延伸。
网络公证方案首先从网络身份的真实性证明入手,在确认网络主体的真实身份的基础上,对网络交易内容以公正的第三方的角度加以证据保全,对交易履约中的资金支付采用公证行业特有的第三方安全支付加以解决,因此,笔者认为网络公证方案是电子商务安全与信用的一个整体解决方案。
网络中真实身份审核的解决
一个安全、完整的电子商务系统必须建立一个完整、合理的CA安全认证体系。以PKI技术为核心的CA证书能解决网络数据传输中的签名问题,日益显现出其确认网络主体身份的优越性。但是,在实际运作中,网络CA电子身份证书仍然为大家所怀疑。究其原因,关键在于网络中的CA证书持有人与现实世界中的真实身份是否一致并未得到彻底解决。如不解决这个前提,则用CA证书所做的任何签字将不产生任何法律效力,因为没有一个现实世界的主体与之相对应,并承担网上义务,而法庭更是无从受理。
纵观诸多国家的电子交易,数字证书的发放都不是依靠交易双方自己来完成,而是由一个具有权威性和公正性的第三方来完成,该第三方中介机构以提供公正交易环境为目的,应具有中立性。因此,银行所办的CA中心以及其他纯商业性的CA中心是不符合国际惯例的。
一个身份认证必须满足两种鉴别需要:当面鉴别和网上鉴别。当面鉴别以生物特征为主,网上鉴别则以逻辑特征为主。在CA证书的发放中,最关键的环节是RA(Registration Authority)证书离线面对面审核,交易当事人最关心的基本信息,如网上的对方究竟是谁,真实的身份与信用状况如何等。然而,目前相当多的CA公司在实际操作中或多或少地存在随意性,并未建立起严格的审核要求与流程。申请数字证书的用户只要在网上将相关的表格随意填写后,即可从CA公司那里获得个人CA证书。异地申请的企业只要将相关资料盖上公章邮寄过去,并交足相关费用即可获得CA证书。造成这种状况的一个重要原因是:要在全国建立几千个面对面的审核点具有很大的难度。因而建立严格的审核流程是十分困难的。然而网络公证可以彻底解决这一困惑。网络公证可以将传统的公证证明应用到 CA证书的身份审核上。其具体解决办法是:将遍布全国的数千家公证机构通过因特网联成一个统一中国公证网络,以实现将社会公众、公证客户、公证机构与公证相联结。也就是说,通过中国公证网,将遍布全国各地的公证机构有机地联在一起,彻底解决了异地审核的难度,并确保了网络身份的真实性。当用户需要申请CA证书时,即可到所在地的公证机构进行离线的面对面审核,也即RA审核。该审核严格按照公证机构的审核要求与流程进行,公证机构自然地对所审核的内容承担相应的法律责任,经过RA审核后的资料统一进入公证机构的中心数据库中进行安全存放。这样,经网络公证RA审核后所颁发的CA证书就自然地与其真实身份相对应,以后在电子商务交易中的网上签名行为即为其真实持有人所为。进行RA审核的人员不是普通公民,而是现行法律体系中承担法定审核工作的公证员,他们负有审核身份的法律责任,行使的是国家的证明权。由此可见,网络公证所构建的网络真实身份审核体系,可以与CA中心以及其他公司相配合,为其发放CA证书提供审核环节的服务,以解决其审核布点困难以及审核者身份不合法的问题。
就技术而言,CA在现阶段的应用已趋成熟,PKI公钥管理体系也很实用。它通过给个人、企事业单位及政府机构签发公用密钥与私人密钥组成的数字证书,来确认电子商务活动中交易各方的身份,并通过加解密方法来实现网络信息传输中的签名问题,以确保交易安全性。
保存网络中的数据,使之成为有效的法律证据
在确定网络身份后,交易双方就进入了实质谈判,以达成双方认可的条款。在传统交易中,协议的合同化过程是在书面合同上签字盖章,一旦交易双方日后在履约中出现争议,就可以以当初所签署的书面合同作为证据来解决存在的争议。与此对应,在虚拟的网络交易中,也必须能让虚拟的交易数据得以固化并在日后可能发生的纠纷中作为证据为法院所采证。网络公证方案可以采用的解决方法是提供第三方数据保管服务。当交易双方在网上达成协议后,各自用CA证书对合同进行加密签名,并将合同的电文数据内容提交到网络公证的数据保存中心。由于进行了加密签名,数据保存中心也无法打开并知悉当初的交易合同,这就真正确保了其安全性。事实上,由于第三方公正方的参与,使得电子商务交易得以在制度层面得到安全保障。交易双方一旦出现纠纷,通过解密打开的合同将由公证机构出具其保存的公证书证据。而公证文书在法庭上是可以作为证据直接被采纳的。
网上合同履行的提存服务
电子商务交易的信任危机除了主体身份确认危机、交易数据的证据危机外,网络交易履行中的支付信任更是阻碍网络交易发展的阻力。双方达成交易意向后,买家担心的是能否准确、及时地收到货物;卖家担心的是交了货后能否准确、快捷地收到货款。也就是说,网络交易双方共同关心着网络合同履行中的信用安全问题。网络公证可以依照传统的提存公证思路,结合网络技术展开网络提存业务。在网络电子商务交易中,买方不必将货款直接交付卖方,而是将货款提存到网络公证提存中心,在其收到货物并签署完相关单据后,提存中心再将货款支付给卖方。这样,网络公证提供的第三方提存服务彻底解决了网络交易双方对网上合同履行的困惑,尤其是支付的担忧。法律制度和传统贸易中早已有的公证提存方式对网络世界中的交易尤为适用。
可以预见,随着信息安全领域的标准化、法制化建设的日益完善,网络公证依托中国公证网络,运用公证的国家证明力所构建的第三方信用与安全服务以及网上合同履行的提存服务,彻底解决了网络交易主体对电子商务的信用问题,也必将极大地推动我国电子商务的发展。
参考资料:
1996年6月,联合国国际贸易法委员会(United Nations Commission International Trade Law,UNCITRAL)通过了电子商务示范法。该法律支持在电子商务方面国际商业合同的使用,其模型建立了批准和承认以电子手段形成合同的规则和标准,为电子合同实施的合同格式和管理设置了查错规则,定义了有效的电子书写和原始文件的特征,为了立法和商业目的提供了电子签名的可接受性,支持在法庭和仲裁过程中提供了计算机证据,为电子商务的发展奠定了法律基础。
UNCITRAL制定了一些原则用来指导管理全球电子商务合同的起草,如:
1. 参与方应自由地在他们认为适合时签订他们之间的合同关系;
2. 规则在技术上应保持中立(如:规则既不应要求也不应采用特殊技术),并且规则应着眼于未来发展(如:规则不应阻碍未来技术的使用或开发);
3. 作为必要的或实际的要求现存的规则应被修改,而新的规则应被采纳以支持电子技术的使用;
4. 过程应包括高技术商业部门以及还未在网上运作的业务。
支付标准
支付是电子商务活动的核心,国际通行的网上支付工具和支付方式主要有银行卡支付、电子现金、电子支票以及电子资金转账、微支付等。
1. 智能卡支付标准(SET)
1996年2月1日MasterCard 与Visa两大国际信用卡组织与技术合作伙伴GTE、Netscape、IBM、Terisa Systems、Verisign、Microsoft、SAIC等一批跨国公司共同开发了安全电子交易规范(Secure Electronic Transaction,简称SET)。SET是一种应用于开放网络环境下,以信用卡为基础的安全电子支付系统的协议,它给出了一套电子交易的过程规范。通过SET这一套完备的安全电子交易协议可以实现电子商务交易中的加密、认证机制、密钥管理机制等,保证在开放网络上使用信用卡进行在线购物的安全。由于SET提供商家和收单银行的认证,确保了交易数据的安全、完整可靠和交易的不可抵赖性,特别是具有保护消费者信用卡号不暴露给商家等优点,因此它成为目前公认的信用卡/借记卡的网上交易的国际标准。
SET协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其重点是如何确保商家和消费者的身份和行为的认证和不可抵赖性,其理论基础是著名的非否认协议 (Non-repudiation),其采用的核心技术包括X。509电子证书标准与数字签名技术(Digital Signature)、报文摘要、数字信封、双重签名等技术。如使用数字证书对交易各方的合法性进行验证;使用数字签名技术确保数据完整性和不可否认;使用双重签名技术对SET交易过程中消费者的支付信息和定单信息分别签名,使得商家看不到支付信息,只能对用户的订单信息解密,而金融机构只能对支付和账户信息解密,充分保证消费者的账户和定货信息的安全性。 SET通过制定标准和采用各种技术手段,解决了一直困扰电子商务发展的安全问题,包括购物与支付信息的保密性、交易支付完整性、身份认证和不可抵赖性,在电子交易环节上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。
虽然早在1997年就推出了SET1.0版,但它的推广应用较缓慢,主要原因是由于昂贵、互操作性差和难以实施,它提供了多层次的安全保障,复杂程度显著增加;另一个原因是由于SSL的广泛应用。此外,银行的支付业务不光是卡支付业务,而SET支付方式适应于卡支付,对其他支付方式是有所限制的。而且,SET协议用以支持"B to C" (business to consumer)类型的电子商务模式,即消费者持卡在网上购物与交易的模式,而不能支持B to B模式。
尽管有诸多缺陷,但SET已获得IETF的认可,成为电子商务中最重要的协议。
典型的智能卡系统有CyberCash和First Virtual Holding等。SET协议可更好地保证智能卡在INTERNET环境下进行网络直接交付。
2. 电子现金支付协议
电子现金(e-cash或digital currency)是以数字化形式存在的现金货币,具有多用途、灵活使用、匿名性、快速简便的特点,无需直接与银行连接便可使用,适用于小额交易。其主要好处是可以提高效率,方便用户使用。目前电子现金一些只需要软件,而另一些则需要新硬件--主要是智能卡,即主要有智能卡形式的支付卡或数字方式的现金文件。也可采用现金转卡或采用Mondex卡转卡的方式。其安全使用是一个重要的问题,包括限于合法人使用、避免重复使用等。不同类型的数字货币都有其自己的协议,用于消费者、销售商和发行者之间交换金融申请。每个协议由后端服务器软件--电子现金支付系统,和客户端的"钱包"软件执行。
电子现金支付已经有三种典型的实用系统开始使用,分别是:Mondex, Netcash, Digicash。
Mondex:欧洲使用的、以智能卡为电子钱包的电子现金支付系统,应用于多种用途,具有信息存储、电子钱包、安全密码锁等功能,安全可靠。
Netcash:可记录的匿名电子现金支付系统。主要特点是设置分级货币服务器来验证和管理电子现金,其中电子交易的安全性得到保证。
DigiCash:无条件匿名电子现金支付系统。主要特点是通过数字记录现金,集中控制和管理现金,是一种足够安全的电子交易系统。
3. 电子支票
电子支票(e-check或e-cheque)支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性。这种方式已经较为完善。电子支票支付现在发展的主要问题是今后将逐步过渡到公共互联网络上进行传输。电子资金转账(Electronic Fund Transfer ,简称EFT)或网上银行服务(Internet Banking)方式,是将传统的银行转账应用到公共网络上进行的资金转账。一般在专用网络上应用具有成熟的模式(例如SWIFT系统);公共网络上的电子资金转账仍在实验之中。目前大约80%的电子商务仍属于贸易上的转账业务。
电子支票支付遵循金融服务技术联盟(FSTC,Financial Services Technology Consortium) 提的BIP(Bank Internet Payment)标准(草案)。典型的电子支票系统有E-check、NetBill、NetCheque等。
4. 微支付
"微支付"(micropayments)的特征是能够处理任意小量的钱,适合于因特网上"不可触摸(non-tangible)商品"的销售。一方面,微支付要求商品的发送与支付要几乎同时发生在因特网上;另一方面,商品销售、处理与运输的"瓶颈"为保持成本低廉设置了障碍。为保持每个交易的发送速度与低成本,目前有很多厂商在致力于发展别的协议以支持SET和SSL所不能支持的微支付方式,其中之一是微支付传输协议 (Micro Payment Transport Protocol, 简称MPTP),该协议是由IETF制定的工作草案。
"微支付"的一个重要方面是其定义随着对象而变化,有许多系统声明其是"微支付",允许支付小于现有货币面额的数额。如IBM开发的"Micro Payments"、Compaq 与Digital开发的"Millicent"、CyberCoin开发的"CyberCash"等。
联合电子支付联盟JEPI(Joint Electronic Payment Initiative):是由World Wide Web协会和CommerceNet领导的一个联盟,目的是对支付协商过程进行标准化。在买主一方(客户方),JEPI是WEB浏览器和wallet使用不同协议的接口,在卖主一方(服务器方),JEPI在网络和传输层之间,将下层来的事务送给适当的传输和支付协议。
智能卡标准
智能卡是一种内部嵌入了集成电路的、信用卡大小的电子卡,具有储存信息量大、数据保密性好、抗干扰能力强、储存可靠、读写设备简单、使用灵活、操作速度快、脱机工作能力强易于携带等特点。
智能卡大致分接触式、非接触式2种。它们又分别有存储式、带CPU式两种。智能存储器型卡中有硬件的逻辑保护,以密码加密形式来保护其存储内容不被非法更改;较先进些的存储卡里面有读写的安全模块做算法的加密认证等;CPU卡因运算速度和存储容量的不同而不同;有的CPU卡里带FPU,能加快数学算法的运行,如公开密钥的运算等.非接触式的同样分为存储式的和带CPU式的,它主要应用于容量或认证比较快捷方便的地方,如公交、门禁控制等。
智能卡提供了一种简便的方法,可用来存储和解释私人密钥和证书,并且非常容易携带。智能卡可以配合SET或SSL使用。SET非常好地解决了智能卡与电子商务的结合,智能卡上存放的证书使持卡人的身份得到认证,并直接在每一次网上购物时签上客户的数字签名。
1997年全球智能卡发行量达13亿张;1998年达到16亿张,增长率为23%;到2000年,发卡量预计将增至30亿张。推动智能卡发展的主要领域是银行金融界、电信业、交通业以及医疗保健和身份认证系统。其中,金融业的增长将尤为迅速,电子支付将使智能卡的发展推到一个新的高度。欧洲是智能卡最大的市场,但亚洲和美洲市场具有非常广阔的前景。据不完全统计,至1998年,我国已发行IC卡约8000多万张。据有关部门预测,至2000年,我国IC卡发卡量将在2亿张以上。智能卡已在电信、交通、医疗、商业、旅游、公用事业等众多领域中得到广泛的应用,并将在电子商务领域得到更大的发展。
1. 智能卡国际标准
(1)全球PC/SC计算机与智能卡联盟
Bull、HP、IBM、Microsoft、Simens、Nixdof、Sun、Toshiba、Verifone和Gemplus组成了计算机与智能卡联盟,制定计算机和智能卡连用标准.以达到通过一张智能卡,插入异地网络计算机,即可通过因特网查询本地资料或进行电子商务活动。
(2)EMV集成电路卡规范(EUROPAY- MASTERCARD- VISA Integrated Circuit Card Specifications )
该规范是基于ISO标准的规范,最早由VISA于1992年着手研制,此后VISA联合EUROPAYT和MASTERCARD共同完成了该规范。1996年6月,EMV出版了EMV集成电路卡规范第三版,1998年5月对该版做了更新,该规范用附加的数据类型和编码规则为金融服务企业扩展了ISO 7816标准。。