试谈电子商务的安全建设

电子商务的安全建设 广告0801 张杰文 308073781、阐述当前电子商务安全现状和重要性2、电子商务系统安全问题分析3、详细说明如何保障电子商务的安全4、电子商务安全展望和你的建议一、 当前电子商务安全现状和重要性电子商务的安全不仅仅是狭义上的网络安全，比如防病毒、防黑客、入侵检测等等，从广义上讲还包括信息的完整性以及交易双方身份的不可抵赖性。从这种意义上说，电子商务的安全涵盖面比一般的网络安全要广泛得多，从整体上可分为两部分：计算机网络安全和商务交易安全。 1. 当前电子商务安全现状关于电子商务安全现状我们可以看到一下相关的信息： 据统计，目前国内共有 WWW 的网站约有 29 万左右，其中大部分缺乏可靠的安全措施。某些网站由于没有防火墙等必要的安全设备，加上部分网管人员安全意识淡薄，以至于被同一种入侵方式入侵多次； 在 2000 年初，许多商务网站受到了黑客们不同层次的攻击，这些网站包括 eBay、eTrade、Yahoo 等著名公司。； 据有关部门统计，目前只有不到一半的商务公司人们他们的安全措施是足够的；来自系统内部的攻击行为在整个系统受到的攻击中占到了 70% 以上。由上面信息我们可以看到在电子商务高速发展的今天，电子商务的安全建设始终是一个等待不断完善的工程。那么电子商务面临的安全有哪些呢？电子商务面临的安全威胁包括以下三类：电子商务系统本身；企业外部； 企业内部。1 电子商务系统本身的安全威胁这里指的电子商务系统限定在电子商务的基础设施，包括网络通信系统、计算机系统、数据库、协议、网站等。从这个角度考虑，电子商务系统中存在的安全威胁有三类：实体安全实体安全指计算机与网络的硬件安全，这是电子商务赖于生存的基础。实体安全又可以进一步细分为机房安全、设备安全和线路安全。软件安全：电子商务系统中除了计算机与网络硬件以外，支撑起高效、安全运行的还有相关软件。具体可细分为操作系统安全、应用软件安全和网络协议漏洞。数据安全：政府、用户、商家、金融机构、中介机构等构成了电子商务系统的主要参与者，他们的身份数据、商品信息、交易数据、密码等等是重要的信息资源，必须保证其安全。从信息传输的脚度考虑，数据安全又包括数据库安全和通信安全。 来自企业外部的安全威胁收到利益的驱使，很多人不顾法律与道德，他们侵入网站、银行、个人电脑，盗取用户信息，窜改交易数据，冒用银行账户，使得电子商务系统面对着比网络系统更加严重的安全威胁。这类安全威胁集中表现为下面三类：网络攻击；计算机病毒；黑客。 来自企业内部的安全威胁很多资料表明，对企业信息系统以及电子商务的安全威胁有超过 50% 来自企业内部，甚至有统计表明来自内部的威胁达到了60%。这也更凸现了“管理”的重要性。企业内部的安全威胁集中表现为下面五类：安全意识淡漠；缺乏相应的安全制度；恶意报复；商业间谍；使用盗版软件。2. 电子商务系统安全的重要性电子商务面对的是交易信用和安全性全面降低的困局，“信用与安全”问题是电子商务发展的严重瓶颈。对于电子商务中的安全问题，IT 业最初侧重于从提升网络运行品质、确保网络安全着手，更多关注的是怎样防范病毒和黑客的攻击。随着人们逐渐认识到电子商务安全问题不仅仅是技术层面的问题，而是一整套预防、监测和实际应对措施的完整结合，是制度层面的问题。 电子商务系统的安全性之所以重要，主要表现在以下七个方面：1 机密及敏感信息；2 机器本身的隐患；3 复杂度性的增大；4 应用环境的变化；5 人为因素；6 防范对象不明确；7 系统的复杂性；二、电子商务系统安全问题分析随着互联网的迅猛发展,网上交易日益成为新的商务模式，基于网络资源的电商务交易已为大众接受。在享受网上交易带来的便捷的同时，交易的安全性备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。因此，网络信息安全性就成了电子商务成功发展的关键因素，下面从电子商务中存在的安全问题和电子商务的安全要素两方面对电子商务交易中的安全问题进行分析。1. 电子商务存在的安全问题由于电子商务是以信息技术和计算机网络为基础的，与传统商务比较，它不可避免的面临着一系列的安全问题。 信息泄漏：在电子商务中表现为商业机密的泄漏，主要包括两个方面：交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。 篡改：在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传输的信息数据在中途篡改，然后再发向目的地，破坏数据的真实性和完整性。 伪造：由于掌握了数据的格式，并可以篡改通过的信息，如果不进行身份识别，攻击者就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。 信用威胁：交易者否认参加过交易，如买方提交订单后不付款，或者输入虚假银行资料使卖方不能提款；用户付款后，卖方没有把商品发送到客户手中，使客户蒙受损失。 电脑病毒：电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助于网络传播得更快，动辄造成数百亿美元的经济损失。2. 电子商务安全要素安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。下面是电子商务涉及的安全要素：1 有效性：电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。2 机密性：电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。3 完整性：电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。 可靠性：电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方是保证电子商务顺利进行的关键。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。 即需性：即需性是防止延迟或拒绝服务，即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中，延迟一个消息或消除它会带来灾难性的后果。6 身份认证：指交易双方可以相互确认彼此的真实身份，确认对方就是本次交易中所称的真正交易方。这一过程为授权和审计所必需，也是实现授权、审计的访问控制过程运行的前提，是计算机网络安全系统不可缺少的组成部分。 审查能力：根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控，以便对其所使用的操作内容进行审计和跟踪。三、详细说明如何保障电子商务的安全由于电子商务活动所涉及的大量机密信息都必须通过网络传播，并且以电子数据的形式存储，要求有完善的安全技术来保证电子商务交易的安全。目前，电子商务过程中主要采用的安全技术有加密技术、认证技术和安全认证协议。1. 加密技术加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。在加密和解密的过程中，由加密者和解密者使用的加解密可变参数叫做密钥。目前，获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。2. 认证技术安全认证的主要作用是进行信息认证。主要包括安全认证技术和安全认证机构两个方面。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等；电子商务认证中心就是承担网上安全交易认证服务，能签发数字证书，并能确认用户身份的服务机构。3. 安全认证协议目前电子商务中有两种安全认证协议被广泛使用，即安全套接层SSL协议和安全电子交易SET协议。SSL协议一般服务于银行对企业或企业对企业的电子商务。SET协议位于应用层，用来保证互联网上银行卡支付交易安全性。所以SET一般服务于持卡消费、网上购物的电子商务。随着网络技术的提高，基于互联网的电子商务在近年来获得了巨大的发展，成为一种全新的商务模式，具有很大的发展前途；这种电子商务模式对管理水平、信息传递技术都提出了更高的要求，其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境，对交易信息提供足够的保护，是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题，解决电子商务网络交易中的安全问题，是保证电子商务顺利发展的基础，安全性成为电子商务能否成功发展的决定性因素，电子商务网络交易中的安全问题还有待于继续探讨。四、电子商务安全展望和你的建议1. 加强网络基础设施建设 在此方面，我国已经取得了一定进步，但总体情况仍不容乐观，地区之间发展不平衡。今后国家应继续加大网络建设投入力度，进一步鼓励企业加大对信息产业的投资，进一步增强电子商务发展的网络基础。要扩大国际出口带宽的建设，解决原有网络带宽及速度较低、网络运行质量差和电信资费高等问题，并缩小东西部、南北方的差距。要采取切实措施，构建一个值得信赖并能够保证信息的完整性和安全性的多层次的开放的网络体系，改善国内用户环境。 2. 加强安全技术的研究和应用 目前，电子商务应用还刚刚开始，许多方面都还不够完善，安全技术及其应用还不能满足电子商务发展的需要。这就要求我们密切关注电子商务的动向，关注电子商务安全技术，加大投入力度，研究更加先进可靠、经济适用的安全技术。 同时，安全技术不是单一的技术，技术的综合应用是保证电子商务安全的一个重要方面，因此应当加大技术应用环节的投入。可以采取的应用措施有：使用容错计算机系统或创造高可用性的计算机环境，以确保信息系统保持可用及不间断动作；灾害复原计划提供一套程序与设备来重建被中断的计算与通信服务；加密是一种广泛使用的技术来确保因特网上传输的安全；数字证书可确认使用者的身份，提供了电子交易更进一步的保护；加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞；从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证；对敏感的设备和数据要建立必要的物理或逻辑隔离措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。 3. 提高从业人员的技术水平和整体素质，提升企业的管理水平 首先，要加强现有从业人员的培训，提高现有人员的技术水平，提高其安全意识，提高其应对安全问题的能力。其次，要加强电子商务人才的培养。应充分利用各种途径和手段培养大量素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才，特别是掌握现代信息技术和现代商贸理论与实务的复合型人才。最后，要提高企业电子商务管理水平。安全问题不仅有技术的原因，管理落后也是一个重要方面，企业要建立适应电子商务发展的管理体系，培养合格的管理人才，提升整体管理水平。 4. 加强法律法规建设 包括两个方面的内容：一是要完善原有的法律体系并进行必要的调整；二是为适应发展的需要制定新的法律法规。 要积极开展立法的各项准备工作，循序渐进、突出重点、先易后难，先单项后综合，在实践中摸索，在发展中完善，针对不同的法律问题，提出新的解决方案，制定相应的法律法规。不备具制定法律法规要求的，可以先制定“条例”、“细则”等规范性法律文件，逐步强化电子商务立法。 当前一项重要的任务是要抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题，应尽快制定出可以具体操作的电子商务法。 5. 加强诚信建设 首先，建立健全社会信用制度及管理体系。要加快信用立法，完善经济活动实名制，健全个人