浅析电子商务安全的问题及对策

学 士 学 位 论 文题 目 浅析电子商务安全的问题及对策学 生 *指导教师 *年 级 2007 级专 业 市场营销系 别 工商管理系学 院 管理学院哈尔滨师范大学2011 年 5 月2浅析电子商务安全的问题及对策*摘要：随着互联网的不断发展，在世界范 围内掀起了一股 电子商务热潮。 许多国家政府部门对电子商务的发展十分重视，把 这场以电子商务为标志的信息化革命与十九世纪以蒸汽机为标志的工业化革命相提并论，并 纷纷出台了有关政策和举措。 电子商务正得到越来越广泛的应用。其发 展给 人类社会带来巨大的影响，其一系列的相关领域的研究成为全球的热点。但近年来， 电子商务的发展逐步放慢了脚步，其安全问题是阻碍发展的主要原因之一。关键词：电子商务；商务安全；电子商务对策；电子商务问题目 录绪论 .1第一章 电子商务及电子商务安全概述 .231.1 电子商务概况 .21.2 电子商务安全的内容 .21.3 电子商务安全要素 .21.4 电子商务安全框架体系 .3第二章 电子商务的国内外现状 .52.1 我国电子商务的发展及现状 .52.2 当前制约我国电子商务发展的因素 .62.3 国外电子商务安全研究现状 .6第三章 电子商务安全问题的分析 .93.1 安全问题的来源 .93.2 网络安全问题 .103.3 商务安全问题 .113.3.1 商务安全中普遍存在的几种安全隐患 .113.3.2 电子商务安全还需要解决的问题 .12第四章 安全问题的对策集及国内外发展趋势 .134.1 电子商务安全的对策 .134.2 国内外电子商务的发展趋势 .14总结 .15注释 .16参考文献 .17致谢 .181绪论随着社会信息化步伐的加快，利用计算机技术、网络通信技术和英特网实现商务活动的国际化、信息化和无纸化，已成为全球商务发展的趋势。电子商务以英特网为基础，可以提供跨国、多种语言、多种货币的在线服务(包括银行、保险、旅游、购物)，还可以提供包括产品寻求、讨价还价、作出决定、支付、送货及解决纠纷等全面的商业交易服务。特别是信息产品还可以直接在线递送，从而大大降低了交易费用。成本低、及时性和互通性好，以及在拓展市场等方面的优势，使得电子商务受到全球的广泛关注。据统计，1997 年美国企业间通过电子商务的交易额已达 80 亿美元，估计到2000 年在英特网上，公司对公司的交易额将增长到 1340 亿美元，消费者购物将增长到100 亿美元，到 2001 年电子商务的交易额将达到 3270 亿美元，其增长速度惊人地高达4000%。在我国，电子商务的发展速度也较快，深圳 CHINAEDI 是统一规划和建设的庞大的公用电子商务系统，在北京、上海、天津、广州、深圳、青岛、沈阳、南京、杭州、西安、武汉、海口、郑州 13 个城市也都建了 CHINAEDI 的节点，系统服务覆盖全国各地，并且与国际 EDI 网络相连接。网上银行也正在开通之中。电子商务不仅提供了进行商务活动的新方式，而且从更深的层面来看，由于通过它形成了与地域、空间无关的一体化市场，因而正在改变着全球的经济环境。Internet 所具有的开放性是电子商务方便快捷、广泛传播的基础，而开放性本身又会使网上交易面临种种危险。这种新的完整的电子商务系统可以将内部网与Internet 连接，使小到本企业的商业机密、商务活动的正常运转，大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此，安全性始终是电子商务的核心和关键问题。为此，不少调查机构进行了广泛的调查。众多的调查都发现，美国密执安大学一个调查机构通过对 23000 名因特网用户的调查显示，超过 60%的人由于担心电子商务的安全问题而不愿进行网上购物。的确，由于英特网的全球性、开放性、无缝连通性、共享性、动态性发展，使得任何人都可以自由地接入英特网，特别是“黑客”们可能会采用各种攻击手段进行破坏等犯罪活动。此外，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。另外， “黑客”的犯罪行为大都具有瞬时性、广域性、专业性、时空分离性等特点。通常“黑客”很难留下犯罪证据，这大大刺激了“黑客”们以身试法。可见，以英特网为基础的电子商务所带来的安全问题远比传统商务的安全问题复杂得多。但是还没有一个有效的电子商务系统安全的评价体系，虽然一些电子商务的安全技术都制定了相应的安全标准，但是就整个系统而言，这还远远不够。在电子商务安全方面，人们往往从技术方面考虑，而往往忽略了安全管理，其实安全管理比技术更重要。制定和实施良好的安全策略比安全技术更有效更持久。技术的发展非常的快，而且实施系统侵害的手段和方法不断在变化，因而制定良好的安全策略就显得尤其重要。因此，必须制定科学的安全策略和评价体系，重视管理和技术的运用，为电子商务的发展创造良好的环境。2第一章 电子商务及电子商务安全概述1.1 电子商务概况 目前尚未有一个关于电子商务的准确定义。广义地讲，电子商务是指在计算机与通信网络基础上，利用电子工具实现商业交换和商业作业活动的全过程。一般情况下，电子商务主要是指将购物和商业谈判等传统商务活动的网络化。直观地看，电子商务就是将传统商务移植到信息网络上。与传统商务相似，电子商务为销售者和消费者建立交易关系，使他们能商谈和进行交易。电子商务应对所有用户都是开放的，且至少应像传统商务那样方便、可靠和安全。 早在 80 年代后期和 90 年代初期，电子商务就以建立在专用网络基础上的 EDI 形式出现，当时主要解决企业间的商务活动。 90 年代中期，基于英特网的电子商务成为主流。它利用 TCP/IP 公众网络和技术进行在线交易和商业作业，涉及的对象包括：金融机构、商家、生产企业，网络服务提供商家、个人用户、政府部门和事业单位等。 电子商务业务可以分为两大类：非支付型业务和支付型业务。前者包括税务申报、电子选举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务、代缴代付业务、银证转账业务、银企转账业务、电子证券业务、网上购物业务等。消费者企业 FY(NFY)政府消费者 FY(NFY)政府。 电子商务的安全需求从安全和信任关系来看，在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，彼此远隔千山万水，由于英特网既不安全，也不可信，因而建立易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者) 都面临不同的安全威胁。1.2 电子商务安全的内容电子商务的一个重要技术特征是利用 IT 技术来传输和处理商业信息。因此， 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与电子商务交易安全实际上是密不可分的，两者相辅相成， 缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。1.3 电子商务安全要素由于电子商务是在 Internet 环境下进行的商务活动，交易的安全性、可靠性和匿名性一直是人们在交易活动中最为关切的问题。因此，为了保证电子商务整个交易活动的安全顺利的进行，电子商务系统必须具备以下几个安全要素： 1有效性和真实性：有效性和真实性要求电子商务系统能对信息、交易实体的有3效性和真实性进行鉴别。电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式， 其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。2、机密性和隐私权：机密性要求信息不被泄漏给非授权的人或实体，隐私权是个人信息不被泄漏的权利。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的( 尤其 Internet 是更为开放的网络 )，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。3、数据的完整性：数据的完整性要求在保护数据以防止未经授权的增删、修改或替代的同时，保证数据的一致性。电子商务简化了贸易过程，减少了人为的干预，同时也带来了维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止在数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。4、可靠性和不可抵赖性：可靠性要求电子商务系统能够保证合法用户对信息资源的使用不会被不正当的拒绝；不可抵赖性要求电子商务系统能建立有效的责任机制，防止实体否认其行为。电子商务可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方，这一问题是保证电子商务顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字” 。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，以保证发送方发送数据后也不能抵赖。5、审查能力：根据机密性和完整性的要求，能利用电子商务交易系统日志文件对数据结果进行审查、追踪。1.4 电子商务安全框架体系电子商务的安全控制体系结构是保证电子商务数据安全的一个完整逻辑的逻辑结构，由五部分组成，如图所示。电子商务安全体系由网络服务层、加密技术层、安全认证层、交易协议层、商务系统层组成。从图中的层次结构可以看出，下层是上层的基础，为上层提供技术支持；上层是下层的扩展与递进，各层次之间相互依赖、相互关联构成统一整体，各层通过控制技术的递进实现电子商务的安全。电子商务系统是依赖网络实现的商务系统，需要利用 Intemet 基础设施和标准，所以构成电子商务安全框架的底层是网络服务层。它是各种电子商务应用系统自 q 基础，并提供信息传送的载体和用户接入手段及安全通信服务，保证络最基本的运行安全。为确保电子商务系统全面安全，必须建立完善的加密技术和认证机制。加密技术是保证电子商务系统安4全所采用的最基本的安全措旖，它用于满足电子商务对保密性的要求。安全认证层中的认证技术是保证电子商务安全的又一必要手段，它对加密技术层中提供的多种加密算法进行综合运用，迸一步满足电子商务对完整性、抗否认性、可靠性的要求。在图所示的电子商务安全框架体系中，加密技术层、安全认证层、交易协议层，皆专为电子交易数据的安全而构筑。其中，交易协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善，她为电子商务安全交易提供保障机制和交易标准。基于安全技术层次提供的安全措施，商务系统层就可以满足电子商务对安全的需求。商务系统层包括 B2B、B2c、B2G 等各类电子商务应用系统及商业的解决方案。用于保证电子商务的安全控制技术很多，层次各不相同，但并非是把所有安全技术简单地组合就可以得到可靠的安全。如果清楚了图所示的技术层次，则通过合理结合与改进，就可以从技术上实现系统的、有效的电子商务安全。第二章 电子商务的国内外现状52.1 我国电子商务的发展及现状在我们对电子商务有了一个较深入的认识后，我们回过头来看一下我国电子商务的发展情况：首先，我们应该清楚正如我国的计算机及网络的发展一样我国的电子商务起步较晚。在这里不仅有 IT 产业软硬件基础的原因，同时因为我国的传统商业与其他发达国家相比也比较落后，最关键的一点就是我们广大国民在理念上对电子商务还很不认同。这就决定了我国的电子商务还处在起步阶段，但我们也同样应该看到在当今信息化的时代中我们存在巨大的后发优势。当前各国国家的投资商都很看好我们国家的电子商务发展，因此我们更要好好的研究有我们国家特色的电子商务发展之路。从时间上看我国的电子商务起步于上个世纪九十年代中期。早期的萌芽应该始于1992 年左右那时候互联网的概念开始逐渐在我们的生活中从陌生到熟识。特别是由于WEB 在中国的发展，国人第一次开始意识到互联网这种工具的便捷，渐渐感受到这种新兴事物对我们现实生活的巨大冲击。同时有识这士也看出其中潜藏的巨大商机。谈到中国的电子商务时下人们很快会想到淘宝、易趣，其实在的电子商务早期的时候“联想”是一个先驱者。94 年以前联想开始注意到网络信息化对自己的营销的影响但因为传统的直销模式使其错过了一个大好的发展机遇期。94 年联想开始打破直销搞起分销，这时的经营就变得灵活了也打下了开展电子商务的基础。98 以后一件有重大意义的事发生，联想实施了 ERP 系统这也标志其电子商务时代的来临。但是现在我们通常关注的电子商务模式更多是 C2C 或者是 B2C 因此，可能一提起成功的电子商务案例大家会想到亚马逊、E-BAY、阿里巴巴等。目前我国电子商务的发展状况：在加入 WTO 后，市场将更加开放，中国电子商务将成为全球发展最快、潜力最大的地区之一。自从 19951996 年电子商务概念引入我国之后，经过几年努力，我国电子商务取得了一定的成绩，但总体来说，但尚处于初期阶段，在发展电子商务的道路上仍充满了困难和阻力。如在对江西某地区的随机调查中我们发现：将近 72.4%的人根本没听过电子商务一词，更谈不上了解，只有不到 10%的人对电子商务有一定的了解或从事类似的工作。该地区的绝大部分的网民只会在网上 QQ 聊天，浏览新闻，玩游戏而并不懂得运用网络资源制造效益。首先，我国的网民还比较少，并且以青少年网民为主，在电子商务的技术开发、平台标准规范、应用、法律法规方面，与世界先进国家比还有一定的差距。调查显示，目前经营者对电子商务中的人工服务重视不够，无法满足网上消费者的需求。在我国参加过网上交易的网民中，不足 4 成的网民对其网上交易感到满意，而美国网上购物者的满意程度在 9 成以上。配送环节方面：供应商配货不及时，容易出现缺货情况。应提高配送环节的技术含量，尽量建立网上商店自身的配送体系。支付环节方面：网络安全有待加强；货到付款时出现的找零、发票缺失现象严重。同时，电子商务是一项复杂的系统工程，需要物资流、信息流、资源流、资金流、四流合一；需要跨部门、跨地区进行组织和协调, 面临电子商务全球化进程的加快，我们的机遇和挑战并存。所以，如何探索一条适合中国国情的电子商务发展模式，是政府、商家和消费者共同考虑的问题。政府积极参与，完善的信息基础设施，安全可靠的保障措施，必要的法律法规，才是我国电子商务快速发展的保障。任何一方的欠缺，都将导致整个电子商务的不完整。因此，在发展电子商务的过程中，必须全面发展，6才能适应电子商务发展的要求。2.2 当前制约我国电子商务发展的因素总体来说，我国企业互联网应用和电子商务发展的总体水平还比较低，我国虽然在电子商务方面做了大量有益的工作，但这些只能算是电子商务初级阶段的一些尝试，还不能说是真正意义上的电子商务活动，只有网络公司和网络技术与传统产业和经济实体结合，才是真正的电子商务，但企业互联网和电子商务发展存在着诸多制约因素。1.网络安全问题。在被调查的企业中有约 77.4%的管理者认为网上交易的安全性是发展电子商务的重要因素之一，此点对电子商务尤为重要。为保证安全，当前企业最直接的做法是将自己的局域网和互联网断开。2.社会商业信用问题。有 65.6%的管理者认为这个问题对电子商务的发展非常重要，所以要发展电子商务，必须加速培育市场，创造比较成熟和规范的社会信用环境和意识，才能有利于传统商务向电子商务的转变。3.相关法律法规问题。电子商务的发展应当遵守国家的有关法律法规和安全管理制度，而我国在相关的法律法规和合同的认证，对网络犯罪的定罪和处罚依据方面的工作进展缓慢，远远落后于电子商务的发展速度。4.网络支付问题。企业在网络支付上遇到的困难主要在于各大商业银行之间业务没有联通，资金的划拨比较困难，这一问题很大程度上阻碍了我国电子商务发展的进程。5.企业管理层对电子商务的认知程度问题。在调查中，企业领导普遍看好电子商务的未来，但大多数企业尚且未有推进电子商务发展打算。6.IT 技术和管理信息人才问题。企业在人才问题上的最大困难是缺少既懂 IT 技术又熟悉业务流程的综合性人才。7.企业信息化建设滞后。企业的信息化程度直接关系到电子商务的基础，信息化程度不高的企业难以适应开展电子商务的要求。8.中国人的购物习惯和方式比较保守和陈旧，习惯于一手交钱一手交货，不肯轻易相信网上的“花言巧语” 。 社会化信用体系很不健全，信用心理不健康，对网上展示的商品缺乏信任感。交易行为缺乏必要的自律和严厉的社会监督。网上的信息绝大多数是英文信息，语言上的障碍成为制约他们进行企业信息化和发展电子商务的令人头疼的问题。发展中的突破 1.网上支付、实物配送和信用等作为电子商务系统工程中的重要环节，被视为制约中国电子商务应用与发展的“瓶颈” 。经过这么些年的发展，这个“瓶颈”的问题已逐步得到解决，而且在中国邮政加盟电子商务领域后，一些专门为电子商务项目服务的专业配送企业也相继出现。2.3 国外电子商务安全研究现状世界各国对电子商务安全问题研究的发展是相当重视的，特别是电子商务安全方面普遍存在标准先行的情况。如美国政府很早就致力于密码技术的标准化，从 1977 年公布的数据加密标准 DES 开始，就由美国国家标准技术研究院(NIST)制定了一系列有关密码技术的联邦信息处理标准(FIPS)，在技术规范的前提下对密码产品进行严格的检验。1998 年 7 月 1 日，在美国政府发布的美国电子商务纲要中，明确提出要建立一些7共同的标准，以确保网上购物的消费者享有与在商店购物的消费者同等权利。韩国一些主要的电子设备公司也建立联盟，签署联合协议，规定在 2000 年制订出整个的电子商务标准。国际范围内电子商务标准有以下发展动态：1成立机构：电子商务业务工作组(BTEC)为了迎接电子商务给全球带来的机遇和挑战，使之在全球范围内更有序地发展，1997 年 6 月，ISOIECJTCl 成立了”电子商务业务工作组(BT-EC) 。 BT-EC 确定了电子商务急需建立标准的三个领域：(1)用户接口，主要包括：用户界面、图像、对话设计原则等；(2)基本功能，主要包括：交易协议、支付方式、安全机制、签名与鉴别、记录的核查与保留等；(3)数据及客体(包括组织机构、商品等 )的定义与编码，包括现有的信息技术标准、定义报文语义的技术、EDI 本地化、注册机构、电子商务中所需的值域等。目前 BT-EC 仅对其中的几项内容进行了阐述，其目的是通过解决关键问题，从而就解决方法加以推广，以扫清实现全球电子商务道路的障碍。2签署文件：电子商务标准化理解备忘录 ISO、IEC 和 tJNECE(联合国欧洲经济委员会) 共同致力于电子商务的标准化工作。曾签署了 ”理解备忘录 ，就 EDI、开放式 EDI 及有关贸易单证标准领域进行合作。1998 年 11 月三者又签署了一个电子商务领域有关标准化的”理解备忘录” 。该备忘录包括总体部分、三个附录及上述的，扩充了以前的合作框架，扩展了