电子商务发展安全的主要问题

电子商务发展安全的主要问题摘 要：随着因特网的飞速发展，电子商务正得到越来越广泛的应用，电子商务的安全问题也日益引起人们 的关注。本文主要阐述了电子商务安全问题的产生，同时在分析电子商务的主要安全因素基础上，介绍目 前电子商务领域的几种安全技术，以及对于电子商务安全所进行的一系列防范措施。 关键词：电子商务安全；产生因素；安全隐患；防范措施电子商务是以信息技术为基础的商务活动，它包括生产、流通、分配、交换和消费等环 节中连接生产和消费的电子信息化处理。电子商务，作为一种全新的商务模式，在近年来获 得了巨大的发展，被许多经济专家认为是新的经济增长点。当然，这种全新的商务模式，对 管理水平、信息传递技术也提出了更高的要求，其中安全体系的构建又显得尤为重要。其中， 安全性是影响电子商务能否成功的关键因素。电子商务涉及的安全问题主要有信息安全问题 信用安全问题、安全管理问题以及电子商务法律保障问题。面对各种安全威胁的电子商务安 全体系的安全性需求主要可包括：机密性、完整性、可用性、可审计性和不可否认性。一、 电子商务的安全性及其主要因素实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在基于In ternet 的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看，传统 的买卖双方是面对面的，因此较容易保证交易过程的安全性和建立起信任关系。但在电子商 务过程中，买卖双方是通过网络来联系，由于距离的限制，因而建立交易双方的安全和信任 天系相当闲难。电子商务交易双方（销售者和消费者）都面临安全威胁。当前，电子商务存在的安全隐患形式多样，概而言之，主要表现为“外在因素”和“内 在因素”两个方面。1、安全隐患存在的外在因素。外在因素主要表现为电子商务存在的非技术性环境，涉及的是社会文化、制度规范等方 面的外在因素。电子商务近几年迅猛发展，但许多地方都缺乏足够的技术人才来处理所遇到 的各种问题，不少电子商务的开发商对网络技术很熟悉，但是对安全技术了解甚少，因而难 以开发出真正实用的、安全的产品。在当前国际互联网的制度框架内，对安全协议还没有全 球的标准和规范，制约了国际性商务活动。在电子商务的虚拟社区里，电子交易衍生了一系 列法律问题，例如网络交易纠纷的仲裁，网络交易契约等问题，急需为电子商务提供法律保 障。同时，在税收问题上，电子商务的发展在促进贸易增加税务的同时又对税收制度及其管 理手段提出了新要求。这些外在因素的不成熟，都成为电子商务发展的障碍。2、安全隐患存在的内在因素。内在因素主要涉及的是电子商务的科学技术层面，是电子技术的问题。网络犯罪分子可 以利用电子商务存在的技术漏洞，通过非法手段盗用合法用户的身份信息，仿冒合法用户的 身份与他人进行交易，从而获得非法利益。或者通过物理或逻辑的手段，在网络传输信号的 过程中，对数据进行非法的截获与监听，从而得到通信中敏感的信息，并对截获后的信息进 行篡改，如修改消息次序、时间、注入伪造消息等，从而使信息失去真实性和完整性，使合 法接入的信息、业务或其他资源受阻，例如使一个业务口被滥用而使其他用户不能正常工作。 从地理空间而言，电子政务地理空间信息的需求更高。另外，计算机网络会经常遭受非法的 入侵攻击以及计算机病毒的破坏。3、此外，电子商务在发展过程中还包含了其他某些方面的因素：a、信息有效性、真实性：电子商务作为贸易的一种形式，其信息的有效性和真实性将 直接关系到个人、企业或同家的经济利益和声誉。b、信息机密性：电子商务建立存一个较为开放的网络环境上的，商业防泄密是电子商 务全面推广应用的重要保障。c、信息完整性：电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业 信息的完整、统一的问题。由于数据输人时的意外差错或欺诈行为，可能导致贸易各方信息 的差异。d、信息可靠性、不可抵赖性和可鉴别性：可靠性要求能保证合法用户对信息和资源的 使用不会被不正当地拒绝；不可否认要求能建立有效的责任机制，防止实体否认其行为；可 控性要求能控制使用资源的人或实体的使用方式。二、电子商务的安全技术讨论1、电子商务的安全技术之一：数据加密技术 加密技术用于网络安全通常有二种形式，即面向网络或面向应用服务。 面向网络的加密技术通常工作在网络层或传输层，使用经过加密的数据包传送、认证网 络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法，这一类加 密技术的优点在于实现相对较为简单，不需要对电子信息（数据包）所经过的网络的安全件能 提出特殊要求，对电子邮件数据实现了端到端的安全保障。电子商务领域常用的加密技术：a、数字摘要：这一加密方法亦称安全Hash编码法由Ron Rives t所设计。该编码法采 用单向Hash函数将需加密的明文摘要成一串128位的密文，这一串密文亦称为数字指纹，它 有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一 致。这样这串摘要便可成为验证明文是否是真身的指纹了。b、数字签名：数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。在书 面文件上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认， 从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。C、数字时间戳：交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日 期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中，同样需 对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间 的安全保护。d、数字证书：数字证书又称为数字凭证，是用电子手段来证实一个用户的身份和对网 络资源的访问的权限。电子商务在提供机遇和便利的同时，也面临着一个最大的挑战，即交 易的安全问题。在网上购物的环境中，持卡人希望在交易中保密自己的帐户信息，使之不被 人盗用；商家则希望客户的定单不可抵赖，并且，在交易过程中，交易各方都希望验明其他 方的身份，以防止被欺骗。2、电子商务的安全技术之二：身份认证技术公钥基础设施体系（PKI体系）结构采用证书管理公钥，通过第三方的可信机构CA，把用 户的公钥和用户的其他标识信息（如名称、e一mail、身份证号等）捆绑在一起，在Intemet 网上验证用户的身份，PKI体系结构把公钥密码和对称密码结合起来，在Internet网上实现 密钥的自动管理，保证网上数据的机密性、完整性。在电子交易中，无论是数字时间戳服务还是数字证书的发放，都不是靠交易的自己能完 成的，而需要有一个具有权威性和公正性的第三方来完成。认证中CA就是承担网上安全电子 交易认证服务、能签发数字证书、并能确认用户身份的服务机构。a、认证系统的基本原理：利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别 等方面的特性，可建立一个为用户的公开密钥提供担保的可信的第三方认证系统（CA）为用户 发放电子证书，用户之问（比如网银服务器和某客户之间）利用证书来保证信息安全性和双方 身份的合法性。b、认证系统（CA ）结构：整个系统是一个大的网络环境，系统从功能上基本可以划分为 CA、RA和WP。核心系统根CA放在一个单独的封闭空间中，为了保证运行的绝对安全，其人员 及制度都有严格的规定，并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求 时，颁发证书。一般的个人证书发放过程都是自动进行，无须人工干预。我国对电子商务的发展十分重视。中国金融认证中心CFCA已于2000年6月29日开始对社 会各界提供证书服务，系统进人运行状态。中国金融认证中心作为一个权威的、可信赖的 公正的第三方信任机构，为参与电子商务各方的各种认证需求提供证书服务，建立彼此的信 任机制。3、电子商务的安全技术之一：网上支付平台及支付网关网上支付平台分为CTEC支付体系（基于CTCA / GDCS）和SET支付体系（基于CTCA / SET）。网 上支付平台支付型电子商务业务提供各种支付手段，包括基于SET标准的信用卡支付方式、 以及符合CTEC标准的各种支付手段。三、电子商务安全的防范措施电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。一方面它是借 助于互联网平台来进行商务交易，因此需要从电子技术层面来加以防范；另一方面，作为商 务交易的买卖行为，它同样具有商品交易的一些基本特征，遵循着商务交易的规则，因此还 需要从管理的层面加以防范。1、提高电子技术，从内在的科技层面加强防范措施。基于电子商务的技术特点，从技术层面来探讨电子商务的防范措施，从整体而言可分为 计算机网络安全措施和商务交易安全两部分。(1)计算机网络安全措施。计算机网络安全的内容包括计算机网络设备安全、计算机网 络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络 安全增强方案，以保证计算机网络自身的安全性为目标。该措施包括保护计算机网络安全、应用安全和保护系统安全三个方面，各个方面都要考 虑安全防护的物理安全、防火墙、信息安全、WEB安全、媒体安全等。第一、保护网络安全。网络安全是为保护商务各方网络端系统之间通信过程的安全性。 保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。全面规划网络平台的安 全策略、制定网络安全的管理措施、使用防火墙、尽可能记录网络上的一切活动、注意对网 络设备的物理保护、检验网络平台系统的脆弱性、建立可靠的识别和鉴别机制等。第二、保护应用安全。这主要是针对特定应用所建立的安全防护措施，它独立于网络其 他的安全防护措施。由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于 在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位，但是人 们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务还可采用认证、访问 控制、WEB安全、EDI和网络支付等应用手段。第三、保护系统安全。保护系统安全，是指从整体电子商务系统或网络支付系统的角度 进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等相互关联。涉及网络支 付结算的系统安全措施有：在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件 等，检查和确认未知的安全漏洞；技术与管理相结合，使系统具有最小穿透风险性，如通过 诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理；建立 详细的安全审计日志，以便检测并跟踪入侵攻击等。(2)商务交易安全措施。商务交易安全是传统商务在互联网应用时产生的各种安全问题， 它在网络安全的基础上，保障电子商务过程的顺利进行。各种商务交易安全服务都是通过安 全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。加密技术是电子商 务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用认证技术，用电子手段 证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程 中未被篡改过。电子商务的安全协议有SSL和SET等。2完善管理制度，从外在的管理环境加强防范措施a、提高安全意识，加大投入，完善管理。通过各种途径提高企业和公众安全意识。加 强企业和个人对网络安全、计算机安全、信息安全及网络诈骗等的防范意识，变被动为主动。 加大安全防护，同时加大电子商务安全投入水平。目前国外网站对安全的投入一般占15%左 右，而我国很多电子商务网站对安全的投入只能达到5%6%，甚至很多安全措施都没有跟 上去。另外，还要加强电子商务企业的安全管理，建立健全各种安全规范和制度，重点是设 立安全组织，实现安全人事管理，安全责任与监督等。b、建立行之有效的电子商务安全运行体系。首先要做好电子商务网站的安全评估，要 聘请专家对电子商务网站进行综合安全水平评估，及时发现安全隐患，及早堵塞安全漏洞。 其次要建立安全体系架构。包括网络拓朴结构，内网和外网连接方式等要合理。再次是做好 病毒的防护，在企业中培养集体防毒意识，部署统一的防毒策略，高效、及时地应对病毒的 入侵。最后是综合采用多种安全技术，包括防火墙技术、入侵检测技术、数字加密技术、数 字签名技术、认证技术等，确保网站系统、信息及数据的安全与保密。c、建立健全电子商务法律法规，严厉打击电子商务领域违法犯罪行为。为保证电子商 务活动得以正常进行，政府需要提供一个透明的、和谐的商业法律环境。目前我国急需制定 的有关电子商务的法律法规主要有：买卖双方身份认证办法、电子合同的合法性程序、电子 支付系统安全措施、信息保密规定、知识产权侵权处理规定、税收征收办法、广告的管制以 及网络信息内容过滤等。另外建议国家司法部门加大网络犯罪的侦查追究力度，严厉打击电 子商务领域犯罪，营造电子商务的一片净土。d、实行诚信认证，提高企业信誉，增加网民购物热情。资金流是电子商务业务流程的 重要环节，服务于电子商务资金流的网络支付与结算已经成为商务各方关注的焦点。鉴于目 前网民购物普遍怕上当受骗的心理，为提高网民购物信心，政府应出台新举措。小结：从国内外的情况来看，电子商务发展的速度太快，致使其安全技术和安全管理没 有实现同步性，这是一个越来越突出和急需解决的问题。另外，安全是发展的、动态的，无 论是网络的攻防还是诈骗与反诈骗都是此消彼长的，尤其是安全技术，它的敏感性、竞争性 很强，需要不断地检查、评估和调整相应的安全策略。总之，安全是电子商务的核心和灵魂，没有安全保障的电子商务应用只是虚伪的炒作或 欺骗，任何独立的个人或团体都不会愿意让自己的敏感信息在不安全的电子商务流程中传输 因此，必须在吸收引进的前提下，组织各方面力量，独立研制和开发具有独立知识产权的网 络安全和电子商务安全产品，逐步掌握电子商务安全的核心技术，并从宏观上进行调节和控 制，使我国的电子商务安全现状得到较大的改善，为我国电子商务的真正发展构筑一道不可 破的坚固屏障。参考文献：1 方美琪电子商务概论M.北京：清华大学出版社，1999.2 樊晋宁电子商务的安全问题和相应措施EJ.科技情报开发与经济，20043 李军，曾澜地理空间信息及技术在电子政务中的应用M.北京：电子工业出版社, 20054 杨德礼，王茜电子商务的安全体系结构及技术研究J.计算机工程，20035 苏新宁，吴鹏电子政务案例分析M.北京：国防工业出版社，2001.6 李听，刘建辉.电子商务信息安全保障机制J.商场现代化，2007.7 李鼎.电子商务基础M.北京：首都经济贸易大学出版社，1999.8 柯新生网络支付与结算M.北京：电子工业出版社，2004.