浅谈电子商务中的信息安全问题
【摘要】 全球化的今天,商务成为全球经济的重要推动力。随着互联网技术的蓬勃,基于网络和多媒体技术的电子商务应运而生并迅速发展。从而使电子商务得到了推厂,然而由于互联网的开放性,网络安全问题日益成为制约电子商务发展的一个关键性问题。 【关键词】电子商务、网络、安全技术
一、电子商务的概述 1、什么是电子商务 电子商务(Electronic Commerce)的定义:以电子及电子技术为手段,以商务为核心,把原来传统的销售、购物渠道移到互联网上来,打破国家与地区有形无形的壁垒,使生产企业达到全球化,网络化,无形化,个性化、一体化。电子商务是以计算机网络为基础。以电子化方式为手段,以商务活动为主体,在法律许可范围内所进行的商务活动过程。 2、电子商务的发展 电子商务的发展分为四个基本阶段: 电子邮件阶段 、信息发布阶段、EC(Electronic Commerce)即电子商务阶段、全程电子商务阶段。 二、电子商务信息安全面临的问题 长期以来电子商务活动中信息安全问题主要集中两个方面:一、交易过程中网络信息安全问题,二、电子商务交易完成后信息确认问题; 2.1、网络信息安全方面 电子商务活动中有大量的数据需要传输与存储,数据传输依靠互联网技术;而数据的存储主要依靠数据库技术,数据库也是非法分子常常入侵和破坏的对象。所以网络通信安全与数据库安全,是电子商务长期面临的的主要问题。 2.1.1数据库安全性 企业在电子商务活动中产生的大量数据是他们进行不间断经营的重要支撑,产品数据资料、客户关系管理都涉及到庞大的数据群。另一方面,凡是正常业务需要访问数据库时,不能正常得到数据库的数据服务时,也称之为对数据库的安全形成了威胁或破坏。因为很显然,这两种情况都会对数据库的合法用户的权益造成侵犯,或者是信息的被窃取,或者提供错误信息的服务,或者是干脆拒绝提供服务。 对数据库安全的威胁或侵犯大致可以分为以下几类: 自然灾害、人为疏忽、.恶意破坏、犯罪行为、隐私侵害等。 2.1.2数据通信安全 目前面对网络数据通信攻击方式,有来自外部环境的,有来自内部管理的。来自外部环境的主要有以下两个方面:(1)计算机病毒攻击。(2)来自黑客的攻击。 数据通信过程中常见的攻击方式:网络监听攻击、信息炸弹、木马程序攻击、拒绝服务攻击、DNS服务器攻击、WEB服务器攻击、协议漏洞攻击、欺骗攻击。 2.2、电子商务交易方面常见安全问题 2.2.1交易过程中的身份不明确 在BtoB、BtoC和CtoC交易中,如何确认双方的身份面临着障碍。-网络的虚拟身份却使得电子商务中身份的确认有很多问题,无论是采取会员制还是采取实名制都有一定的局限。 2.2.2交易的抵赖问题 电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。可能使电子合同的整体效率低于传统合同。 2.2.3交易的修改问题 电子商务的目的在于便利,使不在同一地点的双方可以快速交流,但如果发生争议,无论是否约定了诉讼管辖,诉讼成本都将很高,甚至诉讼成本可能高于合同本身的标的。因此交易文件应该是不可修改的,否则必然会影响到另一方的商业利益。 三、电子商务信息安全对策 针对以上电子商务过程中遇到的安全问题下面从三个层面进行分析:1、管理层面2、技术层面3、法律层面 3.1、电子商务网络安全的管理策略 3.1.1建立保密制度 电子商务自发展以来,随着现代信息技术不断进步,信息共享、传输、信息获取,在为人类电带来极大方便的同时,也成为了一些不法分子窃取秘密的重要途径,而且手段不断更新,呈现出新的特点:一是实施定点破网窃取。二是利用僵尸网络,远程遥控窃密;三是利用技术优势,设置技术后门窃密。 3.1.2建立系统维护制度 该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介人,主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。作为企业站点主要内容为:定期检查各系统设备的运行情况,并作好检查记录,发现问题应及时处理,无法处理的应及时上报;管理好各系统操作系统,数据库,网络设备,应用程序等的用户和口令,以确保系统安全;定期停各系统主机能使其得到一定的休。 3.1.3建立病毒防范制度 随着网络的发展,伴随而来的计算机病毒传播问题越来越引起人们的关注。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。必须依照防范体系对防范制度的要求,结合实际情况,建立符合自身特点防范制度。 3.1.4建立数据备份和恢复保障制度 作为一个成功的电子商务系统,应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以土保护措施可为系统数据安全提供双保险。 3.2、电子商务网络安全的技术对策 3.2.1应用数字签名 数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。 3.2.2配置防火墙 防火墙是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络。防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。二是“凡是未被禁止的就是允许的”,被禁止的内容越多,防火墙的作用就越大。除此之外防火墙技术的优点很多。 3.2.3应用加密技术 数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。还有数据加密技术。 3.2.4数字时间戳技术 在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Timestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。 3.3、电子商务相关法律条例的完善 3.3.1电子商务给我国法律制度带来的挑战及应对策略 电子商务的快速发展首当其冲会给作为商法基础的合同法带来严峻的考验,涉及到电子合同的法律规定、电子签名是否有效等问题,具体有以下几个方面: 1.交易双方的识别与认证。 2.交易的合法与合同的生效。 3.电子签名的有效性。 3.3.2电子商务给消费者权益保护法带来的挑战及对策 1.网上买卖双方地位不对等。网上购物中,消费者不得不面对经营者根据自己的利益预先设定好的格式合同。消费者选择同意后,如果交易后产生了纠纷,商家就会以此来对抗消费者的投诉,使消费者处于很不利的地位。这种告知应充分考虑到大多数消费者的网络知识水平,从而避免因误解而产生消费纠纷。 2.消费者交易安全难以得到保障。电子商务中,消费者是通过电子支付方式完成交易的,这就要求消费者必须拥有电子账户。 3.网络欺诈和虚假广告泛滥成灾,消费者购物后退赔艰难。出现此类问题消费者要向经营者退货或索赔,首先需要详细信息资料,但商务网站常常以商业秘密为由拒绝提供经营者的详细信息资料。对此,我们可以综合运用各种手段,建立事前预防和事后制裁相结合的防治体系,通过制定特殊的规则,严格禁止网络消费欺诈和虚假广告,给消费者提供一个诚信的电子交易环境。 3.3.3如何完善我国电子商务立法的不足 综合我国电子商务立法的现状,个人认为主要从以下几个方面进行完善: 1、个人隐私 由于电子交易的公开性、虚拟性、普遍性的特点,消费者的个人隐私、个人数据等权益很容易受到侵害。从而使电子商务的受益人消费者同时又成为受害者。 2、电子支付 电子商务交易必须涉及支付,数字化货币在网上流通支持着在线交易,这就是电子支付的功能。我国传统支付法律体系中关于现金和票据清算的规则并不能完全适应电子支付的出现和发展。虽然各大商业银行及中央银行正在努力发展完善电子支付系统,但银行同业规范的制定和法律转化必然要经过较长一段时间。 3、管辖 在电子商务蓬勃发展的今天,一个国家的九运会企业轻而易举就能跨越国界自由营销。这就引出了管辖问题:在交易或享受服务的过程中发生的纠纷到底由哪一国的法律裁决呢?如果该国没有相关的准据法又该如何处置?各国立场不一,答案并不明确。 4、域名 域名是用户在互联网上的地址和所有信息资料的索引。作为企业在网络上的名称,能带来可观的经济效益。这种不正当竞争与“诚实信用、公平交易”的原则直接相违,这一恶意侵权更是破坏了电子商务发展的有序竞争。 四、结束语 信息安全是电子商务生存和的关键要素,随着科技信息技术的不断发展,电子商务平台的安全性和管理策略将不断改进和完善。电子商务活动的安全开展,还必须通过完善电子商务立法和政策来正确引导和促进我国电子商务的快速健康发展。而企业也必须对其内部所有员工进行信息安全意识,还必须通过专业人员对网站进行安全分析、风险评估。在运行效率分析的基础上,制定出完整、严谨的安全解决方案。并针对电子商务活动中存在的不安全因素采取适当的防范措施。在网络中没有绝对的安全只有相对的安全,只要企业始终采用新技术,并积极防御最新的网络威胁和攻击,电子商务带给企业的好处必将大大超越它所带来的风险。 参考文献 1、杜习英.《电 子 商 务 概 论》. 安徽:科学技术出版社,2009.9 2、秦成德.《信息网络法律理论与实务》.北京:人民邮电出版社 ,2008.12 3、《计算机信息管理与电子商务安全技术应用》.北京:电子工业出版社,2010.9 4、CNNIC.《中国互联网络发展状况统计报告》.互联网发展状况统计,2010.7 5、《电子商务案例分析 》.北京:北京大学出版社,2010.12.24