一、???? 當前電子商務安全現(xiàn)狀和重要性
電子商務的安全不僅僅是狹義上的網(wǎng)絡安全����,比如防病毒、防黑客�、入侵檢測等等,從廣義上講還包括信息的完整性以及交易雙方身份的不可抵賴性�����。從這種意義上說���,電子商務的安全涵蓋面比一般的網(wǎng)絡安全要廣泛得多�,從整體上可分為兩部分:計算機網(wǎng)絡安全和商務交易安全�����。
1.??? 當前電子商務安全現(xiàn)狀
關于電子商務安全現(xiàn)狀我們可以看到一下相關的信息:① 據(jù)統(tǒng)計�,目前國內(nèi)共有 WWW 的網(wǎng)站約有 29 萬左右�,其中大部分缺乏可靠的安全措施���。某些網(wǎng)站由于沒有防火墻等必要的安全設備�,加上部分網(wǎng)管人員安全意識淡薄���,以至于被同一種入侵方式入侵多次����; ② 在 2000 年初���,許多商務網(wǎng)站受到了黑客們不同層次的攻擊,這些網(wǎng)站包括 eBay���、eTrade�、Yahoo 等著名公司����。;③ 據(jù)有關部門統(tǒng)計����,目前只有不到一半的商務公司人們他們的安全措施是足夠的�����;來自系統(tǒng)內(nèi)部的攻擊行為在整個系統(tǒng)受到的攻擊中占到了 70% 以上�。由上面信息我們可以看到在電子商務高速發(fā)展的今天�����,電子商務的安全建設始終是一個等待不斷完善的工程����。那么電子商務面臨的安全有哪些呢?
電子商務面臨的安全威脅包括以下三類:①電子商務系統(tǒng)本身�����;②企業(yè)外部�����;③ 企業(yè)內(nèi)部���。
⑴??? 電子商務系統(tǒng)本身的安全威脅
這里指的電子商務系統(tǒng)限定在電子商務的基礎設施�,包括網(wǎng)絡通信系統(tǒng)、計算機系統(tǒng)�、數(shù)據(jù)庫、協(xié)議����、網(wǎng)站等。從這個角度考慮����,電子商務系統(tǒng)中存在的安全威脅有三類:①實體安全→實體安全指計算機與網(wǎng)絡的硬件安全,這是電子商務賴于生存的基礎���。實體安全又可以進一步細分為機房安全�、設備安全和線路安全����。
②軟件安全:電子商務系統(tǒng)中除了計算機與網(wǎng)絡硬件以外,支撐起高效����、安全運行的還有相關軟件����。具體可細分為操作系統(tǒng)安全、應用軟件安全和網(wǎng)絡協(xié)議漏洞���。
③數(shù)據(jù)安全:政府�、用戶、商家�����、金融機構���、中介機構等構成了電子商務系統(tǒng)的主要參與者�,他們的身份數(shù)據(jù)����、商品信息、交易數(shù)據(jù)�、密碼等等是重要的信息資源,必須保證其安全���。從信息傳輸?shù)哪_度考慮���,數(shù)據(jù)安全又包括數(shù)據(jù)庫安全和通信安全。
⑵ 來自企業(yè)外部的安全威脅
收到利益的驅使���,很多人不顧法律與道德�����,他們侵入網(wǎng)站�、銀行、個人電腦����,盜取用戶信息,竄改交易數(shù)據(jù)�,冒用銀行賬戶,使得電子商務系統(tǒng)面對著比網(wǎng)絡系統(tǒng)更加嚴重的安全威脅���。這類安全威脅集中表現(xiàn)為下面三類:①網(wǎng)絡攻擊�;②計算機病毒����;③黑客。
⑶ 來自企業(yè)內(nèi)部的安全威脅
很多資料表明�����,對企業(yè)信息系統(tǒng)以及電子商務的安全威脅有超過 50% 來自企業(yè)內(nèi)部���,甚至有統(tǒng)計表明來自內(nèi)部的威脅達到了60%�����。這也更凸現(xiàn)了“管理”的重要性�。企業(yè)內(nèi)部的安全威脅集中表現(xiàn)為下面五類:①安全意識淡漠���;②缺乏相應的安全制度���;③惡意報復;④商業(yè)間諜����;⑤使用盜版軟件。
2.??? 電子商務系統(tǒng)安全的重要性
電子商務面對的是交易信用和安全性全面降低的困局�����,“信用與安全”問題是電子商務發(fā)展的嚴重瓶頸�����。對于電子商務中的安全問題�,IT 業(yè)最初側重于從提升網(wǎng)絡運行品質���、確保網(wǎng)絡安全著手,更多關注的是怎樣防范病毒和黑客的攻擊�。
隨著人們逐漸認識到電子商務安全問題不僅僅是技術層面的問題,而是一整套預防����、監(jiān)測和實際應對措施的完整結合,是制度層面的問題���。
電子商務系統(tǒng)的安全性之所以重要�����,主要表現(xiàn)在以下七個方面:
⑴??? 機密及敏感信息���;
⑵??? 機器本身的隱患;
⑶??? 復雜度性的增大����;
⑷??? 應用環(huán)境的變化;
⑸??? 人為因素�����;
⑹??? 防范對象不明確;
⑺??? 系統(tǒng)的復雜性����;
二�����、電子商務系統(tǒng)安全問題分析
隨著互聯(lián)網(wǎng)的迅猛發(fā)展,網(wǎng)上交易日益成為新的商務模式����,基于網(wǎng)絡資源的電商務交易已為大眾接受。在享受網(wǎng)上交易帶來的便捷的同時�����,交易的安全性備受關注,網(wǎng)絡所固有的開放性與資源共享性導致網(wǎng)上交易的安全性受到嚴重威脅����。因此,網(wǎng)絡信息安全性就成了電子商務成功發(fā)展的關鍵因素�����,下面從電子商務中存在的安全問題和電子商務的安全要素兩方面對電子商務交易中的安全問題進行分析���。
1.??? 電子商務存在的安全問題
由于電子商務是以信息技術和計算機網(wǎng)絡為基礎的����,與傳統(tǒng)商務比較,它不可避免的面臨著一系列的安全問題����。
⑴ 信息泄漏:在電子商務中表現(xiàn)為商業(yè)機密的泄漏,主要包括兩個方面:交易雙方進行交易的內(nèi)容被第三方竊?。唤灰滓环教峁┙o另一方使用的文件被第三方非法使用����。攻擊者主要通過截獲和竊取的方式造成信息泄漏。
⑵ 篡改:在電子商務中表現(xiàn)為商業(yè)信息的真實性和完整性的問題���。當攻擊者掌握了信息的格式和規(guī)律后����,通過各種技術手段和方法�,將網(wǎng)絡上傳輸?shù)男畔?shù)據(jù)在中途篡改,然后再發(fā)向目的地����,破壞數(shù)據(jù)的真實性和完整性�。
⑶ 偽造:由于掌握了數(shù)據(jù)的格式����,并可以篡改通過的信息,如果不進行身份識別���,攻擊者就有可能假冒交易一方的身份,以破壞交易����、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等。
⑷ 信用威脅:交易者否認參加過交易�����,如買方提交訂單后不付款���,或者輸入虛假銀行資料使賣方不能提款�;用戶付款后���,賣方?jīng)]有把商品發(fā)送到客戶手中�����,使客戶蒙受損失����。
⑸ 電腦病毒:電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加�,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡作為自己的傳播途徑����,還有眾多病毒借助于網(wǎng)絡傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟損失�����。
2.??? 電子商務安全要素
安全問題是企業(yè)應用電子商務最擔心的問題�,而如何保障電子商務活動的安全,將一直是電子商務的核心研究領域。作為一個安全的電子商務系統(tǒng)����,首先必須具有一個安全、可靠的通信網(wǎng)絡�,以保證交易信息安全、迅速地傳遞�����;其次必須保證數(shù)據(jù)庫服務器絕對安全,防止黑客闖入網(wǎng)絡盜取信息���。下面是電子商務涉及的安全要素:
⑴??? 有效性:電子商務作為貿(mào)易的一種形式,其信息的有效性將直接關系到個人����、
企業(yè)或國家的經(jīng)濟利益和聲譽����。因此,要對網(wǎng)絡故障���、操作錯誤�����、應用程序錯誤���、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防,以保證貿(mào)易數(shù)據(jù)在確定的時刻�����、確定的地點是有效的。
⑵??? 機密性:電子商務作為貿(mào)易的一種手段,其信息直接代表著個人���、企業(yè)或國家
的商業(yè)機密�。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的,維護商業(yè)機密是電子商務全面推廣應用的重要保障����。
⑶??? 完整性:電子商務簡化了貿(mào)易過程,減少了人為的干預,同時也帶來維護貿(mào)易
各方商業(yè)信息的完整、統(tǒng)一的問題�。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是電子商務應用的基礎。
⑷ 可靠性:電子商務直接關系到貿(mào)易雙方的商業(yè)交易,如何確定要進行交易的貿(mào)易方是保證電子商務順利進行的關鍵�。要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識�。
⑸ 即需性:即需性是防止延遲或拒絕服務,即需安全威脅的目的就在于破壞正
常的計算機處理或完全拒絕服務�。在電子商務中,延遲一個消息或消除它會帶來災難性的后果�����。
⑹??? 身份認證:指交易雙方可以相互確認彼此的真實身份�,確認對方就是本次交
易中所稱的真正交易方。這一過程為授權和審計所必需�����,也是實現(xiàn)授權、審計的訪問控制過程運行的前提���,是計算機網(wǎng)絡安全系統(tǒng)不可缺少的組成部分����。
⑺ 審查能力:根據(jù)機密性和完整性的要求,應對數(shù)據(jù)審查的結果進行記錄�。審查能力是指每個經(jīng)授權的用戶的活動的唯一標識和監(jiān)控,以便對其所使用的操作內(nèi)容進行審計和跟蹤����。
三、詳細說明如何保障電子商務的安全
由于電子商務活動所涉及的大量機密信息都必須通過網(wǎng)絡傳播�,并且以電子數(shù)據(jù)的形式存儲,要求有完善的安全技術來保證電子商務交易的安全����。目前����,電子商務過程中主要采用的安全技術有加密技術、認證技術和安全認證協(xié)議����。
1.??? 加密技術
加密技術是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉換成為無意義的密文����,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性���。在加密和解密的過程中�,由加密者和解密者使用的加解密可變參數(shù)叫做密鑰����。目前,獲得廣泛應用的兩種加密技術是對稱密鑰加密體制和非對稱密鑰加密體制����。
2.??? 認證技術
安全認證的主要作用是進行信息認證。主要包括安全認證技術和安全認證機構兩個方面����。安全認證技術主要有數(shù)字摘要、數(shù)字信封�����、數(shù)字簽名�����、數(shù)字時間戳、數(shù)字證書等���;電子商務認證中心就是承擔網(wǎng)上安全交易認證服務����,能簽發(fā)數(shù)字證書����,并能確認用戶身份的服務機構。
3.??? 安全認證協(xié)議
目前電子商務中有兩種安全認證協(xié)議被廣泛使用���,即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議�。SSL協(xié)議一般服務于銀行對企業(yè)或企業(yè)對企業(yè)的電子商務�。SET協(xié)議位于應用層,用來保證互聯(lián)網(wǎng)上銀行卡支付交易安全性���。所以SET一般服務于持卡消費、網(wǎng)上購物的電子商務���。
隨著網(wǎng)絡技術的提高�����,基于互聯(lián)網(wǎng)的電子商務在近年來獲得了巨大的發(fā)展����,成為一種全新的商務模式,具有很大的發(fā)展前途����;這種電子商務模式對管理水平、信息傳遞技術都提出了更高的要求�����,其中安全體系的構建又顯得尤為重要���。如何建立一個安全���、便捷的電于商務應用環(huán)境,對交易信息提供足夠的保護����,是商家和用戶都十分關注的話題。安全問題己成為電子商務的核心問題���,解決電子商務網(wǎng)絡交易中的安全問題�����,是保證電子商務順利發(fā)展的基礎���,安全性成為電子商務能否成功發(fā)展的決定性因素�����,電子商務網(wǎng)絡交易中的安全問題還有待于繼續(xù)探討����。
四�、電子商務安全展望和你的建議
1. 加強網(wǎng)絡基礎設施建設 ?在此方面,我國已經(jīng)取得了一定進步�,但總體情況仍不容樂觀,地區(qū)之間發(fā)展不平衡����。今后國家應繼續(xù)加大網(wǎng)絡建設投入力度,進一步鼓勵企業(yè)加大對信息產(chǎn)業(yè)的投資���,進一步增強電子商務發(fā)展的網(wǎng)絡基礎�����。要擴大國際出口帶寬的建設����,解決原有網(wǎng)絡帶寬及速度較低�����、網(wǎng)絡運行質量差和電信資費高等問題�����,并縮小東西部�、南北方的差距。要采取切實措施�,構建一個值得信賴并能夠保證信息的完整性和安全性的多層次的開放的網(wǎng)絡體系,改善國內(nèi)用戶環(huán)境���。 ?2. 加強安全技術的研究和應用 ?目前�,電子商務應用還剛剛開始����,許多方面都還不夠完善�����,安全技術及其應用還不能滿足電子商務發(fā)展的需要���。這就要求我們密切關注電子商務的動向,關注電子商務安全技術�,加大投入力度,研究更加先進可靠���、經(jīng)濟適用的安全技術�。 ?同時�����,安全技術不是單一的技術�����,技術的綜合應用是保證電子商務安全的一個重要方面���,因此應當加大技術應用環(huán)節(jié)的投入����。可以采取的應用措施有:使用容錯計算機系統(tǒng)或創(chuàng)造高可用性的計算機環(huán)境�,以確保信息系統(tǒng)保持可用及不間斷動作���;災害復原計劃提供一套程序與設備來重建被中斷的計算與通信服務����;加密是一種廣泛使用的技術來確保因特網(wǎng)上傳輸?shù)陌踩?;?shù)字證書可確認使用者的身份,提供了電子交易更進一步的保護�;加強主機本身的安全,做好安全配置�����,及時安裝安全補丁程序����,減少漏洞;從路由器到用戶各級建立完善的訪問控制措施����,安裝防火墻,加強授權管理和認證;對敏感的設備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施����;建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等�。 ?3. 提高從業(yè)人員的技術水平和整體素質,提升企業(yè)的管理水平 ?首先���,要加強現(xiàn)有從業(yè)人員的培訓����,提高現(xiàn)有人員的技術水平�����,提高其安全意識�,提高其應對安全問題的能力。其次�����,要加強電子商務人才的培養(yǎng)����。應充分利用各種途徑和手段培養(yǎng)大量素質較高����、層次合理���、專業(yè)配套的網(wǎng)絡�、計算機及經(jīng)營管理等方面的專業(yè)人才,特別是掌握現(xiàn)代信息技術和現(xiàn)代商貿(mào)理論與實務的復合型人才。最后�,要提高企業(yè)電子商務管理水平。安全問題不僅有技術的原因���,管理落后也是一個重要方面����,企業(yè)要建立適應電子商務發(fā)展的管理體系���,培養(yǎng)合格的管理人才�,提升整體管理水平�����。 ?4. 加強法律法規(guī)建設 ?包括兩個方面的內(nèi)容:一是要完善原有的法律體系并進行必要的調整�����;二是為適應發(fā)展的需要制定新的法律法規(guī)。 要積極開展立法的各項準備工作�����,循序漸進�、突出重點、先易后難����,先單項后綜合,在實踐中摸索���,在發(fā)展中完善���,針對不同的法律問題,提出新的解決方案�,制定相應的法律法規(guī)。不備具制定法律法規(guī)要求的����,可以先制定“條例”、“細則”等規(guī)范性法律文件����,逐步強化電子商務立法�����。 當前一項重要的任務是要抓緊研究電子交易�����、信用管理�、安全認證����、在線支付����、稅收、市場準入���、隱私權保護���、信息資源管理等方面的法律法規(guī)問題,應盡快制定出可以具體操作的《電子商務法》����。 ?5. 加強誠信建設 ?首先�����,建立健全社會信用制度及管理體系����。要加快信用立法����,完善經(jīng)濟活動實名制,健全個人財產(chǎn)申報制度�,實行個人破產(chǎn)制度等,以形成對信用體系的強勢約束力�,確保個人信用制度的健康發(fā)展。 ?其次���,建立完善的企業(yè)制度�����,培養(yǎng)優(yōu)秀的企業(yè)文化����。要以提高企業(yè)價值作為經(jīng)營的根本,把自主性和自律性的道德標準作為企業(yè)的重要組成部分���,進而建立以誠信為基礎的企業(yè)文化����。 ?再次�,建立企業(yè)和個人的信用評價與監(jiān)管機構。建立起以政府為背景跨部門的�����,包括銀行�、工商管理、公安����、稅務部門協(xié)同的企業(yè)和個人的信用評價與監(jiān)管體系�,實現(xiàn)跨部門、跨行業(yè)����、跨地區(qū)的信用信息互聯(lián)互通。加大失信行為的成本����,以約束失信行為���。 ?最后,加強對企業(yè)的監(jiān)管力度�,完善各種監(jiān)管系統(tǒng)。
