B2B網站的安全問題
安全問題是所有B2B電子商務最重要的部分。沒有企業會願意將公司的機密資料洩漏給大眾。所以將資訊設限,僅讓經過授權的人員使用是絕對必要的。例如,顧客不會希望他們的信用卡號碼或其他個人資訊被可能誤用的第三者取得。
在 <SSL與SET概觀>39 中,你將學到用來確保安全交易的協定。
在 <實作安全的方法> 中,你將學到保護網站安全的方法。
SSL與SET概觀
在電子商務網站中,各類不同型式的協定可被用來保護企業與客戶之間或是企業與企業之間交易的安全。下面介紹的就是最常使用的兩種協定。40
Secure Sockets Layer (SSL)
SSL是一種在網際網路上傳送私人文件的防護協定。其運作模式是透過使用私鑰(private key)來對傳送於SSL連結中的資料作加密。它提供了資料加密、伺服器認證、訊息整合,以及選擇性地針對TCP/IP連結的客戶端認證的功能。
HTTP,又稱超文件傳輸協定,是用來在網際網路上傳輸資料的協定。HTTP可以利用SSL在用戶端與伺服端之間建立一條安全連結,任何數量的資料都可透過這條連結安全地被傳送。這種HTTP與SSL協定的結合稱為HTTPS或HTTP Secure。而運用HTTPS的網頁其位址的起始格式為
https://,而不是http://。
Secure Electronic Transaction (SET)
SET是保障網際網路上信用卡交易安全的標準。藉著使用數位簽名,SET讓商家可以對相關的購買者進行驗證。而藉由將購買者的信用卡號碼直接傳送至發卡中心作驗證與記帳的機制,SET同時也保護了消費者。因為商家並不會真正看到購買者的信用卡號碼。
--------------------------------------------------------------------------------
提示
SET是一個還在發展的規格。因為某些SET的實作並不符合規格,所以SET並未廣泛被運用。
--------------------------------------------------------------------------------
41
實作安全的方法
B2B電子商務通常是發生在相互認識的交易夥伴之間。然而,當跨越任何形式的網路傳送敏感資料時,不但必須對傳送者及接收者作鑑定,同時也要維護資料本身的完整性與私密性。安全性的評估包括了企業交易的驗證,針對註冊過或被選定的使用者提供資源存取控管,如網站網頁等的控制、通信加密,以及確保交易的私密性與有效性。
下面介紹了四種構成有效安全的元素。
驗證
影響電子商務安全性最重要的一項因素就是 驗證42 (authentication)。驗證可以防範所有對設限資訊的未經認可存取,通常是透過密碼來實作。使用者在連結時,會被要求輸入帳號與密碼。
另外一種實作安全的方法是讓使用者從商家的網站上下載一份 數位認證 (digital certificate)到個人的電腦上。使用數位認證可確保連結是透過SSL的加密。同時,商家的伺服器會查核使用者的電腦以查看是否為經過授權而可以存取網站的帳號。
加密
加密 (encryption)確保資訊在網路上傳送時只能被有經授權的使用者閱讀或修改。在這個方法中,SSL會對傳送於使用者電腦與商家伺服器間的資訊進行加密,以維護資料在傳送時的完整性。43
授權
授權 (authorization)系統保證所有未經認可的使用者不能存取設限的檔案或資料。這些系統通常允許使用者安全地登入,接著使用者便可使用所有符合權限的應用程式與電腦。
防火牆防護
防火牆 (firewall)乃是一些軟體與硬體的結合,用來監視、過濾,及保護內部的組織網路或企業內部網路,避免未經授權的侵入。防火牆通常是以硬體為基礎的過濾系統,放置在入口或鄰接網路的轉接點。網際網路與企業內部網路安全問題的專家估計,防火牆約可防制百分之九十以上的非法入侵。
建立e-Partner群組44
實作安全防護的一種方法是對網站的使用者施以驗證。透過驗證,只有授權的使用者-通常是e-Partner-才能夠取得關鍵的企業資訊,如售價、產量等。
在這個部分,你將學到e-Partner群組的觀念,以及如何為網站建立e-Partner群組。
何謂e-Partner群組?
實施電子商務的企業並不會與所有想與企業進行交易的團體進行交易,相反地,企業只選擇與值得信賴的團體實行交易。這些團體,就是所謂的e-Partner。
欲成為e-Partner,企業必須首先向欲合作的夥伴公司提出申請,該公司接著會評估與衡量此份申請。假若申請者符合該公司的需求,該公司便將之加入e-Partner的列表中。
e-Partner會獲得權限以使用特定網頁,這些網頁並不讓未經授權的網路使用者存取。
實地演練:建立e-Partner群組45
在這個實作中,你將允許訪客成為Ramona Publishing網站e-Partner的一員。 藉著在使用者進入網站之前核對其帳號與密碼,你可以鑑定他們是否為網站的e-Partner。
4 顯示登錄網頁
在這個部分,你將修改default.asp來顯示一個登入網頁以接受e-Partner的帳號與密碼。網頁同時也提供了連結到註冊新e-Partner的網頁。
從隨書光碟上複製Start目錄(\Practices\Mod01\Satrt)-包含Manager子目錄-到 C: \InterPub\wwwroot\Ramona 下, 該目錄中包含了default.asp、home.asp 、 newuser.asp,以及new_reg.asp等網頁。如果在複製的過程中出現是否覆蓋寫入的警告,選擇46 是 。同時並將唯讀屬性取消。
開啟Microsoft Visual InterDev。
從路徑C:\InterPub\wwwroot\Ramona中開啟網頁default.asp。
藉著加入ACTION屬性,修改程式如下,讓網頁將frmsignon表單中的內容傳送至指定檔案:
<form name="frmsignon" METHOD="POST" ACTION="validate.asp">
在validate.asp網頁中包含用來驗證e-Partner登入帳號與密碼的程式碼。47
在標籤</from>之前,加入程式碼提供連結到newuser.asp網頁如下:
<table>
<tr>
<td><a href="newuser.asp"> Become an e-Partner </a></td>
</tr>
</table>
網頁newuser.asp內含負責接收想要成為e-Partner的使用者相關資訊,並將這些資訊傳送到register.asp。
儲存default.asp網頁。
4 將相關的e-Partner資訊儲存到資料庫表格上
在Microsoft InterDev裡,開啟檔案register.asp。48
下面的程式碼將開啟ramona資料庫中名為ranoma_epartner的表格
<%
set con=server.createobject("adodb.connection")
set rs=server.createobject("adodb.recordset")
con.open "database=ramona;dsn=ramona;uid=sa;password=;"
rs.open "ramona_epartner",con,2,2
下面的程式碼將使用者的資訊儲存到ranoma_epartner表格
rs.addnew
rs("login_id")=request("lid")
rs("password")=request("pwd")
rs("lastname")=request("lname")
rs("firstname")=request("fname")
rs("company_name")=request("cname")
rs("billing_contact")=request("billc")
rs("address")=request("address")
rs("city")=request("city")
rs("state")=request("state")
rs("zip")=request("zip")
rs("country")=request("country")
rs("phone")=request("phone")
rs("email")=request("email")
rs("partner")=0
rs.update
rs.close
con.close
--------------------------------------------------------------------------------
注意
上例的程式碼中,request其實就是request.from
--------------------------------------------------------------------------------
下面的程式碼將顯示確認通知網頁給使用者:
response.redirect "new_reg.asp"
%>49
此時網頁new_reg.asp已經建立。
關閉register.asp網頁。
4 驗證e-Partner的登入帳號與密碼
在Microsoft InterDev裡,開啟檔案validate.asp。
下面的程式碼將開啟Ramona資料庫。
<%
set con=server.createobject("adodb.connection")
set rs=server.createobject("adodb.recordset")
con.open "database=ramona;dsn=ramona;uid=sa;password=;"50
下面的程式碼將從default.asp裡frmsignon表單中取得登入的帳號與密碼
user=request.form("login_id")
pwd=request.form("password")
下面的程式碼將密碼與帳號和ramona_epartner表格的資料作驗證。
sqlstr= "select login_id, password, partner from "& _
"ramona_epartner where login_id='" & user & "'" & _
"and (password='" & pwd & "'" & " and partner=1)"
set rs=con.execute(sqlstr)
下面的程式碼負責:如果帳號與密碼符合,讓e-Partner進入企業的網站。否則,回到default.asp網頁。
if rs.eof then
response.redirect "default.asp"
else
response.redirect "home.asp"
end if
%>
關閉validate.asp檔案。514 成為e-Partner
啟動Microsoft Internet Explorer。
輸入URL位址『http://localhost/Ramona』。
在login網頁上,按下 Become an e-Partner 連結,以輸入e-Partner資訊。52
在e-Partner Registration網頁,輸入e-Partner資訊,然後按下 Submit 鈕。
4 將e-Partner加入網站
在Microsoft Internet Explorer中,輸入URL位址『http://localhost/Ramona/Manager』。
在Site Manager的Ramona Publishing網頁上,按下53 e-Partners 連結。
在e-Partners網頁中,在 Prospective e-Partners 表格中選擇e-Partner的名字,來檢視e-Partner的資訊。
從Prospective e-Partners Information網頁中,選擇 Add to e-Partner List54 ,將資料加入到網站上的現有e-Partner列表。
4 以e-Partner的身分存取資料
在Microsoft Internet Explorer中,輸入URL位址『http://localhost/Ramona』。
在login網頁上,在文字盒中輸入e-Partner登入帳號與密碼,然後按下 sign on 按鈕。55複習
試述B2B電子商務的優點。
試述實作安全交易的方法。
試述在實作良好的B2B電子商務網站時的需求。
複習解答
電子商務的優點:
降低採購成本56
縮短商務運作循環時間
更有效率的客戶服務
降低交易與行銷成本
新的交易機會
使用的協定有:
SSL
SET57
一個優良的B2B網站上應該有:
電子目錄
安全存取
以標準為基礎的解決方案
更簡單、低成本的企業文件交換