论电子商务的安全问题
电子商务(electronic commerce),是指实现整个贸易活动的电子化。从涵盖范围方面可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易。从技术方面可以定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。 20世纪90年代以来,随着Internet的迅速发展,计算机网络得到了飞的发展,遍及生活的每个角落。尤其是越来越多的商家开始利用Internet进行商务交往使贸易活动实现了电子化。从最初的单纯的的网上发布和传递信息到在网上建立商务信息中心,从在传统的贸易方式到电子化交易再到网上建立虚拟市场等。可以看出电子商务代表着21世纪的网络应用的发展方向。 电子商务是利用计算机通过网络来实现的,有关计算机的安全问题早已引起人们的担忧。要保证电子商务的正常运作,就必须高度重视安全问题。电子商务安全不是一堵防火墙或是一个电子签名就能简单解决的问题。处理不好将是致命的,因为它不单单关系到个人财产还关系到国家的经济安全、国家经济秩序稳定等。 一、电子商务的安全问题涉及哪几个方面 分析电子商务安全问题,主要依据对它整个运作过程的分析,确定流程中可能出现的种种问题。对于现阶段来说,电子商务安全问题主要涉及到信息的安区问题、信用的安区问题、安区的管理问题和电子商务的法律问题。 一、信息安全 只要有网络的地方,就会有病毒。它可让你电脑里面的一些资料不翼而飞或是跟原来保存的内容不一致或是多出一些不知名程序来。而对于电子商务来说,信息安全问题主要来自以下几个方面: 1.冒名偷窃 很多“黑客”为了获取重要的商业秘密、资源和信息,常常采用源IP地址欺骗攻击。入侵者伪装成源自一台内部主机的一个外部地点传送信息包(信息包包含内部系统的IP地址段),在E-mail服务器使用报文传输代理中冒名他人,窃取所需信息。这种手段对一些小型企业造成的危害特别大。因为小型企业本来就存在资金的不足,管理层对通信的安全关注不大,没有充裕的专项资金和专业的安全管理团队,一台服务器、几套通信设备就构成了企业的信息部门。在这个计算机病毒满天飞的年代里,没有好的硬件和软件作为基础,将很难会有安全的通信渠道。 2.篡改数据 “黑客”在未经授权进入电子商务系统,使用非法手段删除、修改、重发某些重要信息,破坏数据的完整性,损害他人的经济利益,或是干扰对方的正确决策。“冰河”这种病毒就可以轻易的实现以上这些问题了,它主要是以远程监控、登陆为主要手段,实行全权控制。 3.信息丢失 交易信息的丢失,通常有三种情况:通信线路问题造成的信息丢失;在不同的操作平台上转换操作从而丢失信息还有安全措施不全面,受到病毒入侵而造成的信息丢失。前两种原因出现的几率不高,处于能忍受的地步,但后面的就是人为因素了,这是不可原谅的行为。 4.信息传递出问题 信息在网络上传递时,要经过多个环节和渠道。由于计算机技术的发展迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭,“黑客”的非法侵入,线路窃听等很容易使重要数据在传递过程中泄密,从而使电子商务交易中出现不良后果。 二、信用的安全问题 1.来自买方的信用安全问题 对于个人消费者来说,可能存在的在网络上使用信用卡进行支付时恶意透支或使用伪造的信用卡骗取卖方的货物行为;对于集团购买者来说,存在拖延贷款的可能,卖方需要为此承担安全风险。 2、来自卖方的信用安全问题 卖方不能按时、按质、按量送寄消费者购买的货物,或者不能完全覆行与集团购买者签订的合同,造成买方的安全风险。 3、买卖双方都存在抵赖的情况 不管出于什么原因,买卖双方都有出现过抵赖曾经发生过的交易。 三、安全的管理问题 严格管理是降低电子商务风险的重要保证,特别是在网络商品中介交易的过程中,客户进入交易中心,买卖双方签订合同,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物。在这个环节上,都存在着大量的管理问题。 目前,人员管理常常是电子商务安全管理上最薄弱的环节。近年来我国计算机犯罪大都呈现内部犯罪的趋势,内部问题是所有问题中危害最大的也是最难解决。提高人员素质是必不可少的,另外,电子商务管理上的漏洞也带来较大的交易安全问题。 此外,目前现有的信息系统绝大多数都缺少安全管理员,缺少信息系统安全管理的技术规范,缺少定期的安全测试与检查,更缺少安全监控。 四、安全的法律保障问题 电子商务的技术设计是先进、超前的、具有强大的生命力。但同时也是必须清楚地认识到,在目前的法律上是找不到或很少有现有的条文来保护电子商务交易中的交易方式的,毕竟它在中国还是新事物,只有少数高学历、高收入的人群才会去接触,吸引不了众多人群的注意,造成了在网上交易可能会承担由于法律滞后而造成的安全风险。 二、安全问题出现的原因 从上面的几个问题我们看出,它是随着时代、科技的发展而衍生的。首先,电子商务是在计算机网络出现后才出现的,是Internet未来应用的方向,作为新生事物,在现在的生活中,还没能完全与之相适应。 我国由于发展比较晚,经济较为落后,造成了网络通信的不先进,电子商务是以网络通信作为基础的,在基础不好的情况下,电子商务的发展就跟为艰难了,不少相应的配套设施、技术都没有在我们身边出现过。 能用上电子商务交易的,众多的人群中,只占了极少数,甚至部分人连银行卡都还不会用。由于推广力度不够,感觉不到它的真正的作用,让人产生一种错觉“不实用,存在不久”从而投入不大,相关技术和制度迟迟跟不上现状,令不少不法分子有空可钻,导致出现更大的损失。 在错觉的前提下,带动了与之相关的法律制度、管理制度和人力资源都得不到质的发展。任何一种新生事物,都要有相配的制度才能使其原着正确的路线走下去,不然必定给时代所淘汰。运用于商业用图的事物,肯定也少不了独特的管理方法了,商家的目的在于利润,管理是获取利润的手段,没了利润作为行动的基础,再好再先进的事物都能将其抛弃。再有一种原因是人的因素,作为提供技术支持的媒介,相关人员必须对电子商务原理、运作和处理有深刻的了解和熟识。但,实际社会上这类人员相当缺乏。 另外,目前还缺乏对网络犯罪有效的反击和跟踪手段,“黑客”攻击完后耍手就走,就像去游乐园哪样想怎样就怎样。 最后是,商家很多已经开发出来的软件会存在这样或者那样的漏洞,特别是某些商家为了抢占市场,把还没完全实现原设计的功能,就投入市场,这给不法分子有机可乘,让人难以防范。 三、安全问题的防治 谈到防治,人们首先想到的是技术保障措施,但仅从技术出发还会存在很多问题的。电子商务安全保障要采用综合防范的思路,从技术、管理、法律等方面去认识去思考来寻求解决的方法。 总的来说,电子商务安区的防治要从三个方面下手:1.信息技术方面的措施;2.信息安全管理制度的保障;3.社会的法律政策与法律保障 信息技术方面的措施。 技术措施涉及到防火墙、信息加密、数字签名、验证技术、数字证书 防火墙是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。它作为最早化、最成熟的网络产品,其功能主要就是防范外部攻击,改进的防火墙技术更可有效地控制内部和病毒的破坏。所有的防火墙设计都要遵照两条基本原则,即未被允许的即禁止,未被禁止的即允许。同时在选用防火墙的时候要考虑到网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。 1〉加密技术是信息安全技术中一个重要的组成部分。 所谓“加密”就是用基于数学方法的程序和保密的密钥对信息进行编码,把计算机数据变成一堆杂乱无章难以理解的字符串,也就是明文变密文,这样,即使被窃取也无法辨认原文。加密是由加密和解密过程组成的,一般,发送方在发送信息前先用加密程序将明文加密成密文,接受方在接收到信息后,用解密程序将密文解释成明文。所以加密可以有效地对抗信息的被拦截及窃取。 数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路—链路加密、节点加密、端—端加密、ATM网络加密和卫星通信加密五种方式。应根据信息系统安全策略来制定保密策略,选择合理、合适的加密方式。 2〉数字签名其实就是伴随着数字化编码的消息一起发送并与发送的信息有一定逻辑关联的数据项。借助数字签名可以确定消息的发送方,同时还可以确定消息自发出后未被修改过。 在电子商务中,利用这样的数字签名机制,交易中接收订单的一方可以对发送方发出的订单要求进行验证,确认该订单不是由不怀好意的黑客伪造的。 3〉验证是在远程通信中获得的信任的手段,使安全服务中最为基本的内容,因为必须通过可靠的验证来进行访问控制,决定谁有权接收或修改信息。 验证方法通常有:1.基于口令的验证;2验证协议;3.基于个人令牌的验证;4.基于生物统计特征的验证;5.基于地址的验证;6.数字时间戳验证 由于在电子商务交易中,买卖双方在交易过程中是互不照面的,因此需要一种事物来表明自己的身份,以示自己是一个合法的用户,电子商务中的数字证书就是这样一种由权威机构发放的证明身份的事物。 4〉数字证书的类型有:1.个人数字证;2.服务器证书;3.开发者证书 信息安全管理制度的保障 安全管理措施通常是以制度的形式出现的,即用条文对各项安全要求做出规定。这些制度包括人员管理制度,保密制度,系统维护制度,数据备份(容灾)制度,病毒防范制度。 人员管理制度 人作为电子商务活动的媒介,媒介的好坏也可以说是决定了事物的未来。作为网络管理员这样的人员,需要具备相当的职业道德和技术基础。因为网络管理员好比关口的检查人员,他关系到内部和外部的安全。 保密制度 从事电子商务工作的企业,内部会涉及很多保密信息,如客户隐私、公司财务状况、密钥等,而每类信息又有不同的安全级别,哪些是可以让客户随意访问的,哪些是公司普通员工可以访问的,哪些又是高级员工才能访问的,这些都应该通过保密制度明确下来。 系统维护制度 系统维护制度主要包括硬件和软件的日常管理与维护。我们通常所说的系统硬件是指通信双方、通信通道以及网络设备。 数据备份(容灾)制度 容灾按照其容灾能力的高低可分为多个层次:从最简单的仅在本地进行磁带备份,到将备份的磁带存储在异地,再建立应用系统实时切换的异地备份系统。企业应根据自身情况,对不同安全级别的数据制定不同的数据容灾制度。 病毒防范制度 病毒对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。从事网上交易的企业和个人都应当建立病毒防范制度,排除病毒的、骚扰。通常的解决方案有: ·以网为本,防重于治。 防治病毒应该从网络整体考虑,从方便减少管理人员的工作入手,透过网络管理PC机。 ·与网络管理集成 网络防病毒最大的优势在于网络的管理功能,如果没有把网络管理加上,很难完成网络防毒的任务,管理与防治相结合,才能保证系统的良好运行。 ·安全体系的一部分 防毒软件、防火墙产品、可调整参数能够相互通信,形成一整套解决方案。 ·多层防御 多层防御体系将病毒检测、多层数据保护和集中式管理功能集成起来,提供了全面的病毒防护功能,从而保证了“治疗”病毒的效果同时减轻了反病毒管理的负担。 社会的法律政策与法律保障 随着电子商务的应用范围逐步扩大,现有的法律法规已适应不了社会的发展需求了,电子商务的安全和健康发展离不开完善的法律制度的保障,建立良好的电子商务法律环境是推动电子商务发展的前提和条件。 对于电子商务的立法,现在阶段我们应当遵循三大指导原则: 鼓励和发展电子商务是中国电子商务立法的首要前提; 电子商务立法要与宪法和其他已存法律法规及我国认同的国际法保持一致; 电子商务立法要适合中国国情。 电子商务作为一种新的商业活动,在为全球用户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本,同时也带来了冲击。要保证电子商务的正常运作,就必须高度重视安全问题,就必须关注电子商务的安全和防治。因为电子商务的安全问题不仅关系到个人的资金安全、商家的货物安全,还涉及到国家的经济安全、国家经济秩序的稳定问题。 参考文献: 劳帼龄:《电子商务的安全与管理》,高等教育出版社。 袁家政:《计算机网络安全与应用技术》,清华大学出版社 李广建:《北京师范大学网络教育学院用书》 梅绍祖、吕殿平:《电子商务基础》,清华大学出版社 齐爱民、徐亮:《电子商务法原理与实务》,武汉大学出版社 蔡皖东:《计算机网络》,西安电子科技大学出版社