一��、???? 當(dāng)前電子商務(wù)安全現(xiàn)狀和重要性
電子商務(wù)的安全不僅僅是狹義上的網(wǎng)絡(luò)安全����,比如防病毒���、防黑客、入侵檢測(cè)等等����,從廣義上講還包括信息的完整性以及交易雙方身份的不可抵賴(lài)性。從這種意義上說(shuō)��,電子商務(wù)的安全涵蓋面比一般的網(wǎng)絡(luò)安全要廣泛得多����,從整體上可分為兩部分:計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。
1.??? 當(dāng)前電子商務(wù)安全現(xiàn)狀
關(guān)于電子商務(wù)安全現(xiàn)狀我們可以看到一下相關(guān)的信息:① 據(jù)統(tǒng)計(jì)��,目前國(guó)內(nèi)共有 WWW 的網(wǎng)站約有 29 萬(wàn)左右,其中大部分缺乏可靠的安全措施����。某些網(wǎng)站由于沒(méi)有防火墻等必要的安全設(shè)備����,加上部分網(wǎng)管人員安全意識(shí)淡薄,以至于被同一種入侵方式入侵多次����; ② 在 2000 年初,許多商務(wù)網(wǎng)站受到了黑客們不同層次的攻擊���,這些網(wǎng)站包括 eBay�、eTrade���、Yahoo 等著名公司����。��;③ 據(jù)有關(guān)部門(mén)統(tǒng)計(jì)����,目前只有不到一半的商務(wù)公司人們他們的安全措施是足夠的��;來(lái)自系統(tǒng)內(nèi)部的攻擊行為在整個(gè)系統(tǒng)受到的攻擊中占到了 70% 以上���。由上面信息我們可以看到在電子商務(wù)高速發(fā)展的今天,電子商務(wù)的安全建設(shè)始終是一個(gè)等待不斷完善的工程�。那么電子商務(wù)面臨的安全有哪些呢?
電子商務(wù)面臨的安全威脅包括以下三類(lèi):①電子商務(wù)系統(tǒng)本身���;②企業(yè)外部�����;③ 企業(yè)內(nèi)部�。
⑴??? 電子商務(wù)系統(tǒng)本身的安全威脅
這里指的電子商務(wù)系統(tǒng)限定在電子商務(wù)的基礎(chǔ)設(shè)施��,包括網(wǎng)絡(luò)通信系統(tǒng)�����、計(jì)算機(jī)系統(tǒng)�����、數(shù)據(jù)庫(kù)、協(xié)議�����、網(wǎng)站等�����。從這個(gè)角度考慮��,電子商務(wù)系統(tǒng)中存在的安全威脅有三類(lèi):①實(shí)體安全→實(shí)體安全指計(jì)算機(jī)與網(wǎng)絡(luò)的硬件安全����,這是電子商務(wù)賴(lài)于生存的基礎(chǔ)�����。實(shí)體安全又可以進(jìn)一步細(xì)分為機(jī)房安全����、設(shè)備安全和線(xiàn)路安全。
②軟件安全:電子商務(wù)系統(tǒng)中除了計(jì)算機(jī)與網(wǎng)絡(luò)硬件以外���,支撐起高效�、安全運(yùn)行的還有相關(guān)軟件。具體可細(xì)分為操作系統(tǒng)安全�、應(yīng)用軟件安全和網(wǎng)絡(luò)協(xié)議漏洞。
③數(shù)據(jù)安全:政府�����、用戶(hù)���、商家���、金融機(jī)構(gòu)、中介機(jī)構(gòu)等構(gòu)成了電子商務(wù)系統(tǒng)的主要參與者�,他們的身份數(shù)據(jù)、商品信息���、交易數(shù)據(jù)���、密碼等等是重要的信息資源,必須保證其安全�。從信息傳輸?shù)哪_度考慮,數(shù)據(jù)安全又包括數(shù)據(jù)庫(kù)安全和通信安全�。
⑵ 來(lái)自企業(yè)外部的安全威脅
收到利益的驅(qū)使,很多人不顧法律與道德��,他們侵入網(wǎng)站、銀行�����、個(gè)人電腦����,盜取用戶(hù)信息,竄改交易數(shù)據(jù)����,冒用銀行賬戶(hù)�,使得電子商務(wù)系統(tǒng)面對(duì)著比網(wǎng)絡(luò)系統(tǒng)更加嚴(yán)重的安全威脅。這類(lèi)安全威脅集中表現(xiàn)為下面三類(lèi):①網(wǎng)絡(luò)攻擊��;②計(jì)算機(jī)病毒�;③黑客。
⑶ 來(lái)自企業(yè)內(nèi)部的安全威脅
很多資料表明�,對(duì)企業(yè)信息系統(tǒng)以及電子商務(wù)的安全威脅有超過(guò) 50% 來(lái)自企業(yè)內(nèi)部,甚至有統(tǒng)計(jì)表明來(lái)自?xún)?nèi)部的威脅達(dá)到了60%�。這也更凸現(xiàn)了“管理”的重要性。企業(yè)內(nèi)部的安全威脅集中表現(xiàn)為下面五類(lèi):①安全意識(shí)淡漠���;②缺乏相應(yīng)的安全制度����;③惡意報(bào)復(fù);④商業(yè)間諜����;⑤使用盜版軟件。
2.??? 電子商務(wù)系統(tǒng)安全的重要性
電子商務(wù)面對(duì)的是交易信用和安全性全面降低的困局���,“信用與安全”問(wèn)題是電子商務(wù)發(fā)展的嚴(yán)重瓶頸�。對(duì)于電子商務(wù)中的安全問(wèn)題����,IT 業(yè)最初側(cè)重于從提升網(wǎng)絡(luò)運(yùn)行品質(zhì)、確保網(wǎng)絡(luò)安全著手���,更多關(guān)注的是怎樣防范病毒和黑客的攻擊�����。
隨著人們逐漸認(rèn)識(shí)到電子商務(wù)安全問(wèn)題不僅僅是技術(shù)層面的問(wèn)題�����,而是一整套預(yù)防����、監(jiān)測(cè)和實(shí)際應(yīng)對(duì)措施的完整結(jié)合,是制度層面的問(wèn)題��。
電子商務(wù)系統(tǒng)的安全性之所以重要����,主要表現(xiàn)在以下七個(gè)方面:
⑴??? 機(jī)密及敏感信息;
⑵??? 機(jī)器本身的隱患���;
⑶??? 復(fù)雜度性的增大�����;
⑷??? 應(yīng)用環(huán)境的變化;
⑸??? 人為因素����;
⑹??? 防范對(duì)象不明確;
⑺??? 系統(tǒng)的復(fù)雜性��;
二����、電子商務(wù)系統(tǒng)安全問(wèn)題分析
隨著互聯(lián)網(wǎng)的迅猛發(fā)展,網(wǎng)上交易日益成為新的商務(wù)模式���,基于網(wǎng)絡(luò)資源的電商務(wù)交易已為大眾接受。在享受網(wǎng)上交易帶來(lái)的便捷的同時(shí)����,交易的安全性備受關(guān)注,網(wǎng)絡(luò)所固有的開(kāi)放性與資源共享性導(dǎo)致網(wǎng)上交易的安全性受到嚴(yán)重威脅。因此�,網(wǎng)絡(luò)信息安全性就成了電子商務(wù)成功發(fā)展的關(guān)鍵因素,下面從電子商務(wù)中存在的安全問(wèn)題和電子商務(wù)的安全要素兩方面對(duì)電子商務(wù)交易中的安全問(wèn)題進(jìn)行分析�����。
1.??? 電子商務(wù)存在的安全問(wèn)題
由于電子商務(wù)是以信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的����,與傳統(tǒng)商務(wù)比較,它不可避免的面臨著一系列的安全問(wèn)題��。
⑴ 信息泄漏:在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄漏���,主要包括兩個(gè)方面:交易雙方進(jìn)行交易的內(nèi)容被第三方竊?����?;交易一方提供給另一方使用的文件被第三方非法使用。攻擊者主要通過(guò)截獲和竊取的方式造成信息泄漏���。
⑵ 篡改:在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實(shí)性和完整性的問(wèn)題�。當(dāng)攻擊者掌握了信息的格式和規(guī)律后���,通過(guò)各種技術(shù)手段和方法�,將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在中途篡改����,然后再發(fā)向目的地,破壞數(shù)據(jù)的真實(shí)性和完整性��。
⑶ 偽造:由于掌握了數(shù)據(jù)的格式���,并可以篡改通過(guò)的信息���,如果不進(jìn)行身份識(shí)別�����,攻擊者就有可能假冒交易一方的身份,以破壞交易��、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等��。
⑷ 信用威脅:交易者否認(rèn)參加過(guò)交易��,如買(mǎi)方提交訂單后不付款�,或者輸入虛假銀行資料使賣(mài)方不能提款;用戶(hù)付款后���,賣(mài)方?jīng)]有把商品發(fā)送到客戶(hù)手中��,使客戶(hù)蒙受損失�。
⑸ 電腦病毒:電腦病毒問(wèn)世十幾年來(lái)�,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介�����。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑�,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失��。
2.??? 電子商務(wù)安全要素
安全問(wèn)題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問(wèn)題����,而如何保障電子商務(wù)活動(dòng)的安全,將一直是電子商務(wù)的核心研究領(lǐng)域����。作為一個(gè)安全的電子商務(wù)系統(tǒng)�����,首先必須具有一個(gè)安全����、可靠的通信網(wǎng)絡(luò),以保證交易信息安全�����、迅速地傳遞�����;其次必須保證數(shù)據(jù)庫(kù)服務(wù)器絕對(duì)安全��,防止黑客闖入網(wǎng)絡(luò)盜取信息�����。下面是電子商務(wù)涉及的安全要素:
⑴??? 有效性:電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個(gè)人���、
企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)��。因此,要對(duì)網(wǎng)絡(luò)故障���、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤����、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻�、確定的地點(diǎn)是有效的。
⑵??? 機(jī)密性:電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人��、企業(yè)或國(guó)家
的商業(yè)機(jī)密�。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。
⑶??? 完整性:電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)貿(mào)易
各方商業(yè)信息的完整��、統(tǒng)一的問(wèn)題�����。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略,保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)�。
⑷ 可靠性:電子商務(wù)直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵�。要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人�����、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)����。
⑸ 即需性:即需性是防止延遲或拒絕服務(wù),即需安全威脅的目的就在于破壞正
常的計(jì)算機(jī)處理或完全拒絕服務(wù)�����。在電子商務(wù)中�,延遲一個(gè)消息或消除它會(huì)帶來(lái)災(zāi)難性的后果。
⑹??? 身份認(rèn)證:指交易雙方可以相互確認(rèn)彼此的真實(shí)身份�����,確認(rèn)對(duì)方就是本次交
易中所稱(chēng)的真正交易方���。這一過(guò)程為授權(quán)和審計(jì)所必需�,也是實(shí)現(xiàn)授權(quán)���、審計(jì)的訪(fǎng)問(wèn)控制過(guò)程運(yùn)行的前提�����,是計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)不可缺少的組成部分�����。
⑺ 審查能力:根據(jù)機(jī)密性和完整性的要求,應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄��。審查能力是指每個(gè)經(jīng)授權(quán)的用戶(hù)的活動(dòng)的唯一標(biāo)識(shí)和監(jiān)控����,以便對(duì)其所使用的操作內(nèi)容進(jìn)行審計(jì)和跟蹤�����。
三���、詳細(xì)說(shuō)明如何保障電子商務(wù)的安全
由于電子商務(wù)活動(dòng)所涉及的大量機(jī)密信息都必須通過(guò)網(wǎng)絡(luò)傳播����,并且以電子數(shù)據(jù)的形式存儲(chǔ)����,要求有完善的安全技術(shù)來(lái)保證電子商務(wù)交易的安全����。目前��,電子商務(wù)過(guò)程中主要采用的安全技術(shù)有加密技術(shù)���、認(rèn)證技術(shù)和安全認(rèn)證協(xié)議�����。
1.??? 加密技術(shù)
加密技術(shù)是一種主動(dòng)的信息安全防范措施����,其原理是利用一定的加密算法����,將明文轉(zhuǎn)換成為無(wú)意義的密文,阻止非法用戶(hù)理解原始數(shù)據(jù)�����,從而確保數(shù)據(jù)的保密性����。在加密和解密的過(guò)程中��,由加密者和解密者使用的加解密可變參數(shù)叫做密鑰����。目前��,獲得廣泛應(yīng)用的兩種加密技術(shù)是對(duì)稱(chēng)密鑰加密體制和非對(duì)稱(chēng)密鑰加密體制�。
2.??? 認(rèn)證技術(shù)
安全認(rèn)證的主要作用是進(jìn)行信息認(rèn)證���。主要包括安全認(rèn)證技術(shù)和安全認(rèn)證機(jī)構(gòu)兩個(gè)方面����。安全認(rèn)證技術(shù)主要有數(shù)字摘要��、數(shù)字信封����、數(shù)字簽名、數(shù)字時(shí)間戳����、數(shù)字證書(shū)等;電子商務(wù)認(rèn)證中心就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書(shū)�,并能確認(rèn)用戶(hù)身份的服務(wù)機(jī)構(gòu)。
3.??? 安全認(rèn)證協(xié)議
目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用�,即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議。SSL協(xié)議一般服務(wù)于銀行對(duì)企業(yè)或企業(yè)對(duì)企業(yè)的電子商務(wù)����。SET協(xié)議位于應(yīng)用層,用來(lái)保證互聯(lián)網(wǎng)上銀行卡支付交易安全性�。所以SET一般服務(wù)于持卡消費(fèi)、網(wǎng)上購(gòu)物的電子商務(wù)���。
隨著網(wǎng)絡(luò)技術(shù)的提高�,基于互聯(lián)網(wǎng)的電子商務(wù)在近年來(lái)獲得了巨大的發(fā)展�����,成為一種全新的商務(wù)模式�,具有很大的發(fā)展前途;這種電子商務(wù)模式對(duì)管理水平���、信息傳遞技術(shù)都提出了更高的要求��,其中安全體系的構(gòu)建又顯得尤為重要��。如何建立一個(gè)安全����、便捷的電于商務(wù)應(yīng)用環(huán)境,對(duì)交易信息提供足夠的保護(hù)���,是商家和用戶(hù)都十分關(guān)注的話(huà)題�。安全問(wèn)題己成為電子商務(wù)的核心問(wèn)題�,解決電子商務(wù)網(wǎng)絡(luò)交易中的安全問(wèn)題,是保證電子商務(wù)順利發(fā)展的基礎(chǔ)����,安全性成為電子商務(wù)能否成功發(fā)展的決定性因素����,電子商務(wù)網(wǎng)絡(luò)交易中的安全問(wèn)題還有待于繼續(xù)探討。
四��、電子商務(wù)安全展望和你的建議
1. 加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè) ?在此方面���,我國(guó)已經(jīng)取得了一定進(jìn)步�,但總體情況仍不容樂(lè)觀(guān)�����,地區(qū)之間發(fā)展不平衡。今后國(guó)家應(yīng)繼續(xù)加大網(wǎng)絡(luò)建設(shè)投入力度��,進(jìn)一步鼓勵(lì)企業(yè)加大對(duì)信息產(chǎn)業(yè)的投資���,進(jìn)一步增強(qiáng)電子商務(wù)發(fā)展的網(wǎng)絡(luò)基礎(chǔ)�。要擴(kuò)大國(guó)際出口帶寬的建設(shè)�����,解決原有網(wǎng)絡(luò)帶寬及速度較低�����、網(wǎng)絡(luò)運(yùn)行質(zhì)量差和電信資費(fèi)高等問(wèn)題��,并縮小東西部���、南北方的差距��。要采取切實(shí)措施���,構(gòu)建一個(gè)值得信賴(lài)并能夠保證信息的完整性和安全性的多層次的開(kāi)放的網(wǎng)絡(luò)體系���,改善國(guó)內(nèi)用戶(hù)環(huán)境。 ?2. 加強(qiáng)安全技術(shù)的研究和應(yīng)用 ?目前����,電子商務(wù)應(yīng)用還剛剛開(kāi)始,許多方面都還不夠完善�,安全技術(shù)及其應(yīng)用還不能滿(mǎn)足電子商務(wù)發(fā)展的需要。這就要求我們密切關(guān)注電子商務(wù)的動(dòng)向��,關(guān)注電子商務(wù)安全技術(shù)��,加大投入力度���,研究更加先進(jìn)可靠���、經(jīng)濟(jì)適用的安全技術(shù)�。 ?同時(shí),安全技術(shù)不是單一的技術(shù)��,技術(shù)的綜合應(yīng)用是保證電子商務(wù)安全的一個(gè)重要方面�,因此應(yīng)當(dāng)加大技術(shù)應(yīng)用環(huán)節(jié)的投入?���?梢圆扇〉膽?yīng)用措施有:使用容錯(cuò)計(jì)算機(jī)系統(tǒng)或創(chuàng)造高可用性的計(jì)算機(jī)環(huán)境�����,以確保信息系統(tǒng)保持可用及不間斷動(dòng)作�����;災(zāi)害復(fù)原計(jì)劃提供一套程序與設(shè)備來(lái)重建被中斷的計(jì)算與通信服務(wù)���;加密是一種廣泛使用的技術(shù)來(lái)確保因特網(wǎng)上傳輸?shù)陌踩粩?shù)字證書(shū)可確認(rèn)使用者的身份�,提供了電子交易更進(jìn)一步的保護(hù);加強(qiáng)主機(jī)本身的安全��,做好安全配置��,及時(shí)安裝安全補(bǔ)丁程序�,減少漏洞;從路由器到用戶(hù)各級(jí)建立完善的訪(fǎng)問(wèn)控制措施��,安裝防火墻��,加強(qiáng)授權(quán)管理和認(rèn)證��;對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施;建立詳細(xì)的安全審計(jì)日志�,以便檢測(cè)并跟蹤入侵攻擊等。 ?3. 提高從業(yè)人員的技術(shù)水平和整體素質(zhì)���,提升企業(yè)的管理水平 ?首先��,要加強(qiáng)現(xiàn)有從業(yè)人員的培訓(xùn)���,提高現(xiàn)有人員的技術(shù)水平,提高其安全意識(shí)��,提高其應(yīng)對(duì)安全問(wèn)題的能力�����。其次����,要加強(qiáng)電子商務(wù)人才的培養(yǎng)。應(yīng)充分利用各種途徑和手段培養(yǎng)大量素質(zhì)較高���、層次合理、專(zhuān)業(yè)配套的網(wǎng)絡(luò)���、計(jì)算機(jī)及經(jīng)營(yíng)管理等方面的專(zhuān)業(yè)人才�,特別是掌握現(xiàn)代信息技術(shù)和現(xiàn)代商貿(mào)理論與實(shí)務(wù)的復(fù)合型人才。最后��,要提高企業(yè)電子商務(wù)管理水平�。安全問(wèn)題不僅有技術(shù)的原因,管理落后也是一個(gè)重要方面��,企業(yè)要建立適應(yīng)電子商務(wù)發(fā)展的管理體系�,培養(yǎng)合格的管理人才,提升整體管理水平���。 ?4. 加強(qiáng)法律法規(guī)建設(shè) ?包括兩個(gè)方面的內(nèi)容:一是要完善原有的法律體系并進(jìn)行必要的調(diào)整����;二是為適應(yīng)發(fā)展的需要制定新的法律法規(guī)��。 要積極開(kāi)展立法的各項(xiàng)準(zhǔn)備工作�,循序漸進(jìn)、突出重點(diǎn)�����、先易后難�,先單項(xiàng)后綜合����,在實(shí)踐中摸索����,在發(fā)展中完善,針對(duì)不同的法律問(wèn)題�����,提出新的解決方案����,制定相應(yīng)的法律法規(guī)。不備具制定法律法規(guī)要求的����,可以先制定“條例”、“細(xì)則”等規(guī)范性法律文件�����,逐步強(qiáng)化電子商務(wù)立法�。 當(dāng)前一項(xiàng)重要的任務(wù)是要抓緊研究電子交易、信用管理、安全認(rèn)證��、在線(xiàn)支付����、稅收��、市場(chǎng)準(zhǔn)入���、隱私權(quán)保護(hù)�����、信息資源管理等方面的法律法規(guī)問(wèn)題��,應(yīng)盡快制定出可以具體操作的《電子商務(wù)法》���。 ?5. 加強(qiáng)誠(chéng)信建設(shè) ?首先,建立健全社會(huì)信用制度及管理體系�。要加快信用立法,完善經(jīng)濟(jì)活動(dòng)實(shí)名制�,健全個(gè)人財(cái)產(chǎn)申報(bào)制度,實(shí)行個(gè)人破產(chǎn)制度等�����,以形成對(duì)信用體系的強(qiáng)勢(shì)約束力,確保個(gè)人信用制度的健康發(fā)展�。 ?其次,建立完善的企業(yè)制度���,培養(yǎng)優(yōu)秀的企業(yè)文化����。要以提高企業(yè)價(jià)值作為經(jīng)營(yíng)的根本����,把自主性和自律性的道德標(biāo)準(zhǔn)作為企業(yè)的重要組成部分,進(jìn)而建立以誠(chéng)信為基礎(chǔ)的企業(yè)文化�。 ?再次,建立企業(yè)和個(gè)人的信用評(píng)價(jià)與監(jiān)管機(jī)構(gòu)�。建立起以政府為背景跨部門(mén)的,包括銀行��、工商管理����、公安、稅務(wù)部門(mén)協(xié)同的企業(yè)和個(gè)人的信用評(píng)價(jià)與監(jiān)管體系�����,實(shí)現(xiàn)跨部門(mén)、跨行業(yè)�、跨地區(qū)的信用信息互聯(lián)互通。加大失信行為的成本���,以約束失信行為。 ?最后�����,加強(qiáng)對(duì)企業(yè)的監(jiān)管力度�,完善各種監(jiān)管系統(tǒng)。
