电子商务与安全防范.doc

电子商务与安全防范 摘要：随着计算机技术和网络技术的发展，电子商务应运而生。电子商务是互联网应用的主要领域之一，也是现代市场经济中越来越重要的经营模式。文章介绍了电子商务的基本知识及其先进理念，并着重分析了安全技术在电子商务中的应用。 关键词：电子商务；安全；防范 1 引言 随着计算机科学及网络技术的飞速发展，网络和商业相结合的产物电子商务于1994年出现并迅速兴起。电子商务作为Internet环境下的一种新型的商业运营模式，具有传统商务所不具有的特点，是市场经济条件下最具发展潜能的市场交易方式，只要充分发挥互联网的优势，不管是B2B、B2C还是C2C都可获得成功。 2 电子商务概述 电子商务是指对整个贸易活动实现电子化。广义地讲，电子商务是一种现代商业方法，这种方法通过改善产品和服务质量、提高服务传递速度，满足政府组织、厂商和客户的降低成本的需求。狭义来讲，电子商务指运用INTERNET进行商品交易。 电子商务的特点：电子商务具有低成本、全球性、可扩展性、便捷性、交易性、自由性和开放性等传统交易所不具备的优点，它突破了地理范围上的限制和时间上的差距，使得世界各地的商业资源借助于网络的优势而得到充分的利用，大大提高了经济效益和社会效益。 电子商务的作用：电子商务作为国民经济和社会信息化的核心，必将成为“以信息化带动工业化”的重要动力，推动经济结构优化升级和产业结构的高级化，从而进一步推动我国经济健康快速发展。作为一种先进的生产力，将改变整个社会经济的价值链，己成为世纪初世界经济新的增长点，是经济全球化和全球信息化的一个重要标志。 3 先进的电子商务理念 目前电子商务让很多企业“驻足”的一个重要原因是认为电子商务投资的回报率太低，究其原因不是电子商务本身的问题，而是企业“重电子，轻商务”的观念，企业在盲目跟进电子商务时，过分强调电子商务的技术应用，而忽略“商务”的根本，缺乏明确的电子商务模式和市场定位。 电子商务的建设绝不仅仅是建设一个网站，而是要形成协同化、集成化的开放型的基于应用的电子商务平台。“协同化、集成化的开放型”平台是指首先对现有管理系统不断地进行整合，保证在企业、用户、供应商及其它商贸活动涉及的职能机构之间的信息流、物流和资金流安全、顺畅。其次是企业内部电子商务的整个信息系统要很好地融合，社会各种组织机构的多种资源进行共享。“基于应用”的平台即充分分析消费者的需求特点，针对影响消费者网上购买的形为，提出相应的改进方案和策略，增加网上浏览者的人数，增加购物者数量，帮助消费者寻找满足其效用最大化的商品和服务。 4 先进的电子商务模式 电子商务模式：对开展电子商务给企业所带来的价值和企业为创造这些价值进行的活动的抽象描述。电子商务模式着重描述企业电子商务所从事的商务活动。 目前最具代表性的十大类基本电子商务模式如下： (1)信息发布：企业通过建立网站宣传本企业以及企业的产品等，或者去其他网站如行业性网站、信息港发布广告、供求信息等。该模式完成了“营销和销售”这种价值活动。 (2)信息收集：企业利用网络进行诸如技术信息、供求信息、竞争对手信息的收集，或进行客户关系管理等。 (3)电子商店：电子商店是企业利用电子商务销售产品。其产品可以包括实物产品、数字化产品、服务以及信息。 (4)电子拍卖：电子拍卖是传统拍卖的电子化，其本质上也是种销售，但它与电子商店最大的不同在于“一对多”的交互关系，通常是多个购买者角逐一个供应商的商品。目前还出现了一种“反拍卖”模式，即购买者提出自己想购买的商品，各商家竞争这笔买卖。 (5)电子采购：电子采购是企业利用电子商务开展采购活动。 (6)电子产品中介：传统商务中的中介商和经纪商也可以利用电子商务开展业务。 (7)电子信息中介：电子信息中介所提供中介的产品主要是各类信息。 (8)电子媒体(内容服务)：电子媒体可以看作传统媒体如杂志、报纸、电视的网络版本。这种模式的收入主要来自于两部分，一是用户交纳的“订阅费”，二是刊登广告所获得的广告费。 (9)电子价值商店：指价值商店类型的企业利用电子商务提供自己的服务。其往往能够直接通过网络完成服务的全过程。目前常见的形式有：网络金融；网上旅行社；通信服务；远程教学；远程医疗。 (10)免费模式：免费模式是指为用户提供免费的产品和服务。该模式给企业带来的收益主要来自于广告费收入和成本的降低。 先进的电子商务模式应是这十类基本模式的结合体，或是根据自己的电子商务的需要改变某些维度上的取值而创造的多维电子商务模式。 5 电子商务的安全防范 5.1 存在的问题 (1)安全协议问题：我国大多数尚处在SSL（安全套接层协议）的应用上，SET协议的应用还只是刚刚试验成功，在信息的安全保密体制上还不成熟，对安全协议还没有全球性的标准和规范，相对制约了国际性的商务活动。 (2)安全管理问题：在安全管理方面还存在很大隐患，究竟谁来管理，怎么管理，采取什么有序的管理办法，这些问题急待解决。需要有一个安全可靠的信息网络抵御黑客的攻击。 (3)电子商务没有真正深入商务领域而仅仅局限于信息领域，现在我国的电子商务好多只是停留在用计算机简单模拟原来的手工操作流程，提供单纯的技术产品为主，不擅长动态信息的跟踪和获取，个人用户比较少，企业用户还未大量出现。 (4)技术人才短缺问题：电子商务是在近几年才得到了迅猛发展，许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉，但是对安全技术了解得偏少，因而难以开发出真正实用的、安全性的产品。 (5)法律问题：电子交易衍生了一系列法律问题，例如网络交易纠纷的仲裁、网络交易契约等问题，急需为电子商务提供法律保障。 (6)税收问题：电子商务的发展在促进贸易增加税收的同时又对税收制度及其管理手段提出了新要求。 5.2 电子商务中的安全性技术 安全性技术是保证电子商务健康有序发展的关键因素，也是目前大家十分关注的问题。虽然Internet的开放式的信息交换使之在安全方面存在脆弱性，但现在几乎网络的各个层次都制订了安全协议和具备了相应的安全技术，以保证电子商务的安全性。5.2.1 安全的网络平台 安全可靠的网络是实现电子商务的基础，常用的方法是在网络中采用防火墙技术，虚拟专用网（VPN）技术，防病毒保护等。防火墙技术是通过IP过滤和代理服务器软件方法保护企业内部网（Intranet）中数据，只有授权用户才能获准进入企业内部网的系统。虚拟专用网（VPN）技术通过IP隧道等方法来保证企业协作网（Extranet）中企业间数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。单纯依靠这些方法保护网络的安全性是不够的，还必须与其它安全措施综合使用才能为用户提供更为可靠的电子商务基石，例如现在的加密技术、数字签名技术、电子认证技术等。 5.2.2 在线支付的安全技术 电子商务的另一个关键问题是要保证在线支付的安全，它是网上购物的重要保证。目前采用的在线支付协议有两种：安全套接层SSL（Secure Sockets Layer）协议和安全电子交易SET（Secure Electronic Transaction）协议。 SSL协议 SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证，数字证书是从认证机构（Certificate Authority, CA）获得的，通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后，双方就可以用保密密钥进行安全的会话了。其运行机制是： 在建立连接过程中采用公开密钥； 在会话过程中使用专有密钥； 加密的类型和强度则在两端之间建立连接过程中判断决定。 采用SSL协议的电子交易过程如下： 图1 SSL交易流程图 表示客户购买的信息首先发往商家；表示商家再将信息转发银行；和表示银行验证客户的信息的合法性后，再通知商家和客户付款成功；表示商家再通知客户购买成功。 这个流程有两个方面的缺点：首先，客户的银行资料信息先送到商家，让商家阅读，这样，客户银行资料的安全性就得不到保证；其次，SSL只能保证资料传递过程的安全，而传递过程是否有人截取就无法保证了。所以，SSL并没有实现电子支付所要求的保密性、完整性，而多方互相认证也很困难的。 SET协议 SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。采用这种协议它主要解决了以下问题。 首先是客户资料虽然通过商家到达银行，但商家不能阅读这些资料，解决了客户资料的安全性问题；其次是协议解决了网上交易存在的客户与银行之间、客户与商家之间、商家与银行之间的多方认证问题；再其次是由于整个交易过程是建立在Intranet,Extranet和Internet的网络基础上的，保证了网上交易的实时性。 SET协议下的交易模式如下： 图2 SET交易模式图 SET使订单信息和信用卡信息相隔离。在把包含信用卡号码信息的订单送到商家时，商家只能看到订单信息，却看不到信用卡号码信息，并且需要持卡人和商家相互认证，确定通信双方身份，一般由认证中心为双方提供信用担保。 SET定义了一个完备的电子交易流程，较好地解决了电子交易中各方间复杂的信任关系和安全连接，确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。但由于SET协议庞大而又复杂，银行、商家和客户均需改造才能实现互操作，使得SET协议被普遍使用还需有一个过程。在我国，大多尚处在对SSL协议的应用上，要完全实现SET协议安全支付还要有一个过程。 5.2.3 其它安全问题 对于电子商务的安全性来讲，有了防火墙与安全协议和规范还不够，一方面，网络本身的物理差错是难以避免的；另一方面，Internet主干网和DNS服务器的可靠性，拨号连接质量与速度还不能满足人们的需求；另外，恶意代码对网络系统的威胁，单纯依赖技术是很难解决的，从某种意义上讲，依靠管理加强内部人员的安全防范意识等比安全技术更为重要。因此，要加强电子商