摘　要:本文在分析我国电子商务安全现状的基础上,详细阐述了电子商务安全的有关问题,提出了解决电子商务安全问题的对策。

关键词:电子商务 安全 对策

1　我国电子商务安全现状

电子商务是通过信息技术将企业、用户、供应商及其他商贸活动涉及的相关机构结合起来的一种信息技术的应用,是完成信息流、物流和资金流转移的一种行之有效的方法。但由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还可能受到计算机病毒感染。几乎所有的网站在建站开始及发展过程中,都似乎朝向便利性、实用性目标,往往忽略网络安全环节,给网络发展埋下了深深的隐患。据的资料,利用计算机网络进行的各类违法行为在中国正以每年30%的速度递增。黑客的攻击方法已超过计算机病毒的种类,总数达近千种。目前已发现的黑客攻击案约占安全事件总数的15%,多数事件由于没有造成严重危害或商家不愿透露而未被曝光。有媒介报道,中国95%的与Internet相连的网络管理中心遭到过境内外黑客的攻击或侵入,其中,银行、金融和证券机构是黑客攻击的重点,金融领域的黑客犯罪案件涉案金额已高达数亿元。故随着电子商务日益普及,网络安全问题显得异常突出,解决安全问题已成为我国电子商务正常发展的当务之急。

2　对电子商务安全问题的理解

2.1电子商务安全是一项的系统工程电子商务的基础结构包括电子商务网络基础、电子商务安全基础结构、电子商务支付系统和电子商务业务系统,其中,电子商务的安全体系结构是基于其他各层系统建立起来的。电子商务是多种技术的集合体,包括获得数据、处理数据、交换数据等,需要一个完整的电子商务安全体系作为基础。其安全要素主要包括:有效性、机密性、完整性和不可否认性等。

2.2电子商务相对安全电子商务安全是一个相对的概念;追求绝对的电子商务安全是不现实的。我们要做的只是对各项安全措施的不断完善,来达到相对安全的要求。

2.3电子商务安全保证需支付代价电子商务安全是发展的、动态的、持续的循环过程,技术进步会往往导致当前安全技术的落后。电子商务安全具有很强的敏感性、竞争性以及对抗性,要求以业务的实现为核心,不断地检查、评估和调整当前的安全策略,不断更新安全措施,以确保能适应业务的需要。安全方案的设计与确定必须服从业务的需求。如果双方交易不能达成,再好的安全方案与设施都没有意义。无论采取何种安全技术,都要考虑相应的成本与代价。若不直接牵涉支付等敏感性问题,则对安全的要求可低一些;若涉及支付问题则对安全要求就高一些。

2.4电子商务安全的威胁来自外部与内部两方面外部的破坏要防范,来自内部的威胁更要重视。

2.5电子商务安全具有特殊性主要表现在以下方面:

(1)电子商务在信息方面较传统商务有更大风险。传统商务交易活动中的信息传输和保存主要通过有形的单证进行,信息接触面比较窄,容易受到保护和控制。即使在信息传输过程中出现丢失、篡改等情况,也可通过留下的痕迹查找出原因。电子商务交易活动是在开放的网络上进行的,信息的传输依赖于网络,信息接触面多,信息被篡改后可不留痕迹,故风险较大。信息风险主要有:冒名偷窃、篡改数据、信息丢失、虚假信息、信息传递过程中的破坏等。

(2)信用风险不易控制。传统商务交易时,交易双方可面对面地直接进行交易,信用风险较容易控制。电子商务环境下,物流与资金流在空间上和时间上多数是分离的,网上交易一般是跨越时空的,没有信用保证,网上交易很难进行,信用风险很大。

(3)需承担管理风险责任。传统的商务交易已形成相对完善的控制机制,管理也较规范。电子商务交易活动只经历了很短时间,存在许多漏洞,使得从事电子商务活动具有更大的管理风险。

(4)具有法律环境风险。与传统商务活动相比,电子商务的技术设计具有先进性、超前性。但超前性又使其超过现有法律约束范围。因此,开展电子商务活动必然会出现由于法律滞后所带来的风险。

2.6电子商务安全的组成电子商务的基本特征就是利用信息技术来传送和处理商业交易信息,因此,电子商务的安全从总体上可分为两大部分,即计算机网络信息系统的安全和交易信息系统的安全。

(1)计算机网络系统安全。从技术角度看,计算机信息系统安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。美国国家信息基础设施(NII)文献给出计算机信息系统安全的五个属性:可用性、可靠性、完整性、保密性和不可抵赖性。这五个属性适用于国家信息基础设施的众多领域。计算机网络系统安全涉及以下三个方面:

1)物理安全(Physical Security):包括环境安全、设备安全和媒体安全三个方面。主要保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。特别是避免由于电磁泄漏产生信息泄露,从而干扰他人或受他人干扰。

2)运行安全(Operation Security):包括风险分析、审计跟踪、备份与恢复、应急四个方面。为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程的安全。侧重于保证系统正常运行,避免因系统损坏而对系统存贮、处理和传输的信息造成破坏和损失。

3)信息安全(Information Security):包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别七个方面。主要防止信息财产被敌意或偶然的非授权泄露、更改、破坏,或使信息被非法的系统辨识、控制,确保信息的完整性、保密性、可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为,本质上是保护用户的利益和隐私。

(2)电子商务交易系统安全。在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,甚至彼此远隔千山万水,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和购买者)都面临着安全威胁。

3　电子商务安全问题的对策

电子商务的安全问题涉及到电子商务的各个环节和参加交易的各个方面,解决电子商务的安全问题是一个系统工程和社会问题,需全社会的参与。但在操作层面上,应逐步解决以下几个方面的问题:

3.1建立和完善我国电子商务安全法律法规体系电子商务实践要求有透明、和谐的交易秩序和环境保障,为此,须建立和完善相应的法律体系。目前,我国已颁布相当数量的信息安全方面的法律规范,但立法层次不高,法律协调差,立法理念和立法技术相对滞后。我国电子商务法律体系的构建中,首先应当考虑原有法律对电子商务行为的适用,对于原有法律不能适应可以采取修改原有法律和单法的方式予以解决。对于一些全新领域可以进行单法,可以参照联合国《电子商务示范法》制定我国的电子商务基本法,从而形成我国电子商务完整、有机的法律体系。电子商务安全方面的法制建设则应涵盖:保护隐私权;保护消费者权益;保证信息的合法访问;数字签名与认证机构;计算机违法与犯罪的问题的控制等。

3.2完善电子商务企业内部安全管理,增强相关人员的安全意识首先必须对企业内部所有人员进行信息安全意识教育,充分理解安全对企业的重要性。系统管理员要将系统安全放在首位,依靠可行的、详细的信息安防制度,消除安全隐患,防患于未然。其次,须针对信息存储的不安全因素采取适当的防范措施:硬件的电源故障可设置合适的不间断电源;操作系统和应用软件的不安全因素可采用经常升级和下载软件补丁程序的方法;软件漏洞可进行有针性的设置加以弥补;计算机病毒可使用防毒、杀毒软件,并经常升级。

3.3构建电子商务信息安全技术框架体系

(1)防火墙技术是近年来发展的最重要的安全技术,用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进人内部网络(被保护网络)。防火墙技术主要有包过滤、代理服务、状态监控等技术。防火墙技术的优点主要是:通过过滤不安全的服务,提高网络安全和减少子网中主机的风险;提供对系统的访问控制;阻击攻击者获取攻击网络系统的有用信息;记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;提供制定与执行网络安全策略的手段,对企业内部网实现集中的安全管理。

(2)信息加密技术作为主动的信息安全防范措施,利用加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,而确保数据的保密性。

(3)数字证书和认证技术是网络通信中标志通信各方身份信息的一系列数据,通过运用对称和非对称密码建立起一套严密的身份认证系统。具有信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖等多项功能。另外,报文的发送方从报文文本中生成一个特定长度的散列值,发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名,通过数字签名能够实现对原始报文的完整性鉴别和不可抵赖性,实现电子文档的辨认和验证。

(4)安全协议中,安全套接层协议(SSL)是一种安全通信协议。SSL提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了信息的安全传输。它提供的安全连接具有三个特点:连接是保密的,对于每个连接都有一个唯一的会话加密,采用对称密码来加密数据;连接是可靠的,消息的传输采用信息验证算法进行完整性检验;对端实体的鉴别采用非对称密码进行认证。安全电子交易(SET)是通过开放网络进行安全资金支付的技术标准,SET向基于信用卡进行电子化交易的应用提供实现安全措施的规则:信息在Internet上安全传输,保证传输的数据不被黑客窃取;其定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保;要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并可运行在不同的硬件和操作系统平台上。

参考文献:

[1]　曹天杰张永平苏成计算机系统安全[M].北京:高等教育出版社.2003.

[2]　杨鼎新李恒杰缑婷电子商务教程[M].兰州:兰州大学出版社.2006.下载本文