版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、安徽广播电视大学省直分校专科毕业论文论电子商务中的信息安全问题作 者: 张娇娇 院 系: 专 业: 电子商务 年 级: 2009年春 学 号: 指导老师: 陈佳 答辩日期: 成 绩: 内容提要随着Internet和电子商务的广泛应用,人们的生产和生活方式也在发生着深刻的改变,对网络尤其是电子商务的应用安全关注越来越高。但是,由于Internet自身的开放性,使得在其上的电子商务应用面临严峻的安全挑战,黑客事件和安全事故时有发生,严重影响和制约着电子商务的发展。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。电子商务系统是一种复杂的网络应用系统
2、,本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的防火墙等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。关键词:电子商务 信息安全目录一 电子商务中信息安全问题的概述3二 电子商务3三 电子商务信息3(一)电子商务信息的特征4(二)实现电子商务必备的安全因素4(三)电子商务中使用的信息安全技术5四 电子商务的信息安全隐患6(一)电子商务的信息存储安全隐患6(二)电子商务的信息流动安全隐患7(三)电子商务交易双方的信息安全隐患7五 保障电子商务信息安全技术性措施8(一)数据加密技术8(二)身份验证技术9(三) 其它安全技术10六 保障电子商务信息安
3、全的环境性措施10(一) 构造中国电子商务体系10(二)加强法律法规建设10(三)加快网络基础设施建设,推动企业信息化进程11七 电子商务信息安全应注意的几个方面11(一)提高网络信息安全意识。11(二)加强网络安全管理。11(三)加快网络安全专业人才的培养。11(四)开展网络安全立法和执法。11(五)强化网络技术创新。11八 对国内发展电子商务的几点建议12(一)政府行为与市场行为相结合12(二)业务主管部门与技术主管部门相配合13(三)重视现代密码与信息安全技术的应用13(四)正确处理国内外信息安全产品的关系14(五)加快标准与规范以及相关法律法规的制定15九 结束语16参考文献:16电子
4、商务中的信息安全问题一、电子商务中信息安全问题的概述随着Internet和电子商务的广泛应用,人们的生产和生活方式也在发生着深刻的改变,对网络尤其是电子商务的应用安全关注越来越高。但是,由于Internet自身的开放性,使得在其上的电子商务应用面临严峻的安全挑战,黑客事件和安全事故时有发生,严重影响和制约着电子商务的发展。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。电子商务系统是一种复杂的网络应用系统,本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的防火墙等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务
5、可持续发展。二、电子商务电子商务一词源于英文Electronic Commerce,简写为EC,指的是利用简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行各种商贸活动。电子商务可以利用的电子通信方式有多种,目前主要是由EDI和Internet来完成的。随着Internet网络的日益发展,电子商务真正的发展将是建立在Internet技术上的,所以也有人把电子商务简称为IC(Internet Commerce)。 电子商务是一个不断发展的概念,电子商务的先驱IBM公司于1996年提出了Electronic Commerce(E-Commerce)的概念,到了1997年,该公司又提出了Elec
6、tronic Business(E-Business)的概念。但我国在引进这些概念的时候都翻译成电子商务,很多人对这两者的概念产生了混淆。事实上这两个概念及内容是有区别的,E-Commerce应翻译成电子商业,有人将E-Commerce称为狭义的电子商务。将E-Business称为广义的电子商务。E-Commerce是指实现整个贸易过程中各阶段贸易活动的电子化。E-Business是利用网络实现所有商务活动业务流程的电子化。E-Commerce集中于电子交易,强调企业与外部的交易与合作,而E-Business则把涵盖范围扩大了很多。广义上指使用各种电子工具从事商务或活动。狭义上指利用Inter
7、net从事商务或活动。其对社会的影响,不亚于蒸汽机的发明给整个社会带来的影响。三、电子商务信息(一)、电子商务信息的特征 Internet 的诞生并不是因为商业目的。因此,在Internet 上进行电子商务活动,并将物流、资金流,部分或完全借助信息流的方式进行流通,使得电子商务的信息流动既具有网络信息流动的共性,又具有自身的显著特性。1、信息的开放性。Internet 是一个高度开放的信息网络,参与电子商务的商家、消费者、金融机构、认证中心等,只要公开了自己的网址,便可接受任何人或组织的访问。尤其是商家更是十分迫切地希望来自世界各地的单位或个人的造访。另外,电子商务是不受时空限制的商务活动,不
8、管任何时间、任何地点,都可以借助信息流动的方式,从事商务活动。2、信息的多源性。电子商务的信息流动不只是在客户和商家之间进行的,在交易签约中,金融机构、认证中心、配送中心、海关和工商管理等部门都会参与。因此,围绕每一笔交易的信息流动都是在多方中进行的。3、信息的完整性。涉及电子商务的各种交易信息的流动,应始终处于统一完整的状态之下。商务信息流动过程中,人为造成的或网络系统导致的信息丢失、信息篡改、信息重复、信息传送次序的变更,将使参与电子交易各方传送和获取的信息不相同,从而导致交易的失败。4、信息的保密性。涉及电子商务的消费者信息属于个人隐私信息,而商家和金融机构等部门的信息则属于商业秘密信息
9、。因此,电子商务的信息流动是信息发送者和信息接收者之间的保密性信息流动。5、信息的鉴别性。参与电子商务各方的身份信息,可通过信息技术的手段予以鉴别。因此,合法用户的信息流动能得到有效保证,不会遭到拒绝。同时,商品交易信息发送后,信息的发、收方也无法否认。(二)、实现电子商务必备的安全因素从总体上来看,电子商务系统是三层框架结构,底层是网络平台,也就是信息传送的载体和用户接入的手段,它包括各种各样的物理传送平台和传送方式;中间层是电子商务基础平台,包括CA认证体系、支付网关和客户服务中心等三个部分,其核心是CA认证;第三层就是各种各样的电子商务应用系统。其中,电子商务基础平台是各种电子商务应用系
10、统的基础。电子商务系统对信息安全的要求主要包括以下6个方面:1、信息的保密性。电子商务系统应该对主要信息进行加密处理,防止对信息的非法操作(包括对信息的非法存取以及非法窃取传输过程中的信息等),以避免非法用户获取和解读原始数据。2、数据的可靠性。电子商务以电子形式取代纸张,所以应当采取一定的措施来保证电子贸易信息的有效。需要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。3、数据的完整性。在数据处理过程中,数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异。此外,数据传输过程中的信息丢失
11、、信息重复或信息传送次序差异也会导致贸易各方信息的不同。因此,要预防对信息的随意改动,还要防止数据传输过程中信息的丢失和重复并保证信息传送次序的统一。所以,电子商务系统应该提供对数据进行完整性验证的手段,确保能够发现数据在传输过程中是否被改变了。4、用户身份的鉴别。电子商务系统应该提供通信双方进行身份鉴别的机制。一般可以通过数字签名和数字证书相结合的方式实现用户身份的鉴别。数字证书应该由可靠的证书认证机构签发,签发证书时应对申请用户提供的身份信息进行真实性验证。5、数据原发者的不可抵赖性。电子商务系统应该具备数据原发者的不可抵赖机制,确定要进行交易的贸易方正是所期望的贸易方。因此,要在交易信息
12、的传输过程中为参与交易的个人、企业或国家提供可靠的标识。6、合法用户的安全性。合法用户的安全性是指合法用户的权利不受危害或侵犯,电子商务系统和电子商务的安全管理体系应该实现系统对用户身份的有效确认、对私有密钥和口令的有效保护、对非法攻击的有效防范等,以保障合法用户的安全性。(三)、电子商务中使用的信息安全技术目前世界各国都在展开电子商务系统的研究,通过电子货币完全取代目前的支票及现金支付模式。为了保证电子商务安全因素的顺利实现,在电子商务中使用了各种安全技术,如加密技术、密钥管理技术、数字签名等。以下就是对这些技术的简单介绍。1、加密技术。加密技术是电子商务中采用的主要安全措施,交易双方可根据
13、需要在信息交换阶段使用。目前加密技术分为两种:对称密钥和非对称密钥。对称加密是指在信息加密过程中,对信息的加密和解密都使用相同的密钥。交易双方的任何信息都通过这把密钥加密后传给对方。数据加密技术是由美国国家标准组织提出的目前广泛使用的对称加密方式之一,共有56位。非对称加密(公开密钥加密)是指在加密过程中,密钥被分为一对。这对密钥中的任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把则作为私有密钥加以保存。公开密钥用于对信息的加密,私有密钥则用于对加密信息的解密。2、密钥管理技术。对称密钥管理是基于共同保守秘密来实现的,采用对称加密技术的双方必须保证采用的是相同的密钥,要保证彼此密钥
14、的交换是安全可靠的,同时还要设定防止密钥泄漏和更改密钥的程序。使用公开密钥的交易双方可以使用证书(公开密钥证书)来交换公开密钥。国际电联指定的X。509对数字证书进行了定义。数字证书能够起到标识交易双方的作用,是目前电子商务广泛使用的技术之一。3、数字签名。数字签名是公开密钥加密技术的另一种应用,报文的发送方从报文文本中生成一个128位的散列值,发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。4、防火墙技术。防火墙主要是用来隔离内部网和外部网,对内部网的应用系统加以保护。目前的防火墙分为两大类。一类是简单的包过滤技术,它是在网
15、络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和代理服务器,其显著的优点是较容易提供细颗粒度的存取控制,其可针对特别的网络应用服务协议及数据过滤协议,并且能够对数据包分析并形成相关的报告。5、CA技术。为了保证电子商务安全因素的顺利实现,在电子商务中使用了基于公钥体系的安全系统。基于公钥体系的加密系统是按对生成的,每对密钥由公钥和私钥组成,实际应用中,公钥是以证书性质存放的。一个最基本而又是最关键的问题是公钥的分发,也就是证书的分发,如果证书不能
16、得到有效安全的分发,所有的上层应用软件就不能得到安全的保障,解救问题的方法就是建立认证机构体系CA。所谓认证机构体系是指一些不直接从电子商务中获利的受法律承认的可信任的权威机构,负责发放和管理电子证书,使网上通讯的各方能互相确认身份。它的基本功能有:接收注册请求,处理、批准/拒绝请求、颁发证书。在实际应用中,CA可由各方都信任的一方担当。四、电子商务的信息安全隐患电子商务是Internet 在商务活动中的一种应用,Internet 是电子商务信息流动的重要载体。随着Internet 用户的快速增长,电子商务的基础工作基本完成。电子商务信息的上述特点,将使电子商务的影响范围越来越大,而目前参与电
17、子商务的各方还难以适应和满足这些特点的的要求,因而使电子商务的安全性和完整性受到极大的威胁。(一)、电子商务的信息存储安全隐患信息存储安全是指电子商务信息在静态存放中的安全。其信息安全隐患主要包括: 非授权调用信息和篡改信息内容。企业Intranet 与Internet 联接后,电子商务的信息存储安全面临着内部和外部两方面的隐患。1、内部隐患。主要是企业Intranet 的用户故意或无意地非授权调用电子商务信息或未经许可随意增加、删除、修改电子商务信息。2、外部隐患。主要是因为软件配置的不当,造成外部人员私自闯人企业Intranet,并对电子商务信息故意或无意地非授权调用或增加、删除、修改。其
18、隐患的主要来源有: 竞争对手的恶意闯入、信息间谍的非法闯入、闲游用户的好奇闯人及黑客的骚扰闯入。(二)、电子商务的信息流动安全隐患信息流动安全是指电子商务运行过程中,物流、资金流汇成信息流后动态传输过程中的安全。其安全隐患主要包括:1、窃取商业机密。由于电子商务的信息流动大多以明文的方式传输,信息间谍、竞争对手等攻击者,可以较容易的对电子商务信息进行截取和监听,并窃取用户或服务方的商业机密。2、攻击商务网站。竞争对手或网络黑客通过传播计算机病毒、发送电子邮件炸弹,攻破他人电子商务网站的防火墙,损坏计算机软硬件,修改、删除、增加受害者的商务信息内容,使其无法正常营业。3、实施商务诈骗。不法分子或
19、通过Internet 发布虚假商务广告信息骗取钱; 或破解储户密码盗取存款; 或侵犯股民帐户借机炒股; 或盗用信用卡密码恶性透支,使消费者和用户对电子商务产生强烈的不信任感,阻碍了电子商务的顺利发展。4、侵犯他人权利。不法商贩通过Internet 截取商务订单,收集他人私生活信息并兜售产品,侵犯了消费者的隐私权; 不法之徒通过Internet 盗售他人知识产品,抢注域名侵吞他人无形资产,侵犯了他人的知识产权; 不法企业通过Internet 损害竞争对手形象、贬低竞争对手的产品,侵犯了企业的名誉权;不法商人盗用名人照片通过Internet 宣传、推销产品,侵犯了他人的肖像权。如此等等,扰乱了电子
20、商务的市场秩序。5、传播不良信息。不法商人为推销自己的产品,在电子商务信息中夹带宣扬色情、暴力、迷信等不良图文信息。某些境外商人可能会有意或无意地在电子商务信息中,宣传西方世界的人生观、价值观、道德观。6、否认发出信息。基于各种原因,用户和商家可能会对自己发出的电子商务信息进行恶意地或无可奈何地否认。(三)、电子商务交易双方的信息安全隐患传统商务活动是面对面进行的,交易双方能较容易地建立信任感并产生安全感。而电子商务是买卖双方通过Internet 的信息流动来实现商品交换的,信息技术手段使不法之徒有机可乘,这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着
21、信息安全的威胁。1、商家的信息安全隐患。主要有:不法之徒假冒合法用户名义改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损; 恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息; 信息间谍通过技术手段窃取商业秘密; 大量虚假订单的生成挤占了信息系统资源,无法从事正常的业务运营。2、用户的信息安全隐患。主要有:用户身份证明信息被拦截窃用,以致被要求付帐或返还商品;域名信息被监听和扩散,被迫接收许多无用信息甚至个人隐私被泄露。发送的商务信息不完整或被篡改,用户无法收到商品;受虚假广告信息误导购买假冒伪劣商品或被骗钱财;遭受黑客暗算计算机设备被毁、信息丢失。五、保障
22、电子商务信息安全技术性措施电子商务安全是信息安全的上层应用,它包括的技术范围比较广,主要分为数据加密技术和身份认证技术两大类。(一)、 数据加密技术加密技术是保证电子商务中采用的主要安全措施,交易双方可根据需要在信息交换阶段使用。在一个加密过程中有两个基本元素: 算法和密钥。加密过程就是根据一定的算法,将可理解的数据(明文) 与一串数字( 密钥) 相结合,从而产生不可理解的密文的过程,主要加密技术是:1、常规密钥密码加密。所谓常规密钥密码加密,即加密密钥与解密密钥是相同的。在早期的常规密钥密码体制中,典型的有代替密码,其原理可以用一个例子来说明: 字母A,B,C,D,W,X,Y,Z 的自然顺序
23、保持不变,但使之与D,E,F,G,Z,A,B,C 分别对应( 即相差3 个字符)。若明文为WELL 则对应的密文为ZHOO ( 此时密钥为3) 。由于英文字母中各字母出现的频度早已有人进行过统计,所以根据字母频度表可以很容易对这种代替密码进行破译。2、对称密文加密。对称密钥加密又称为秘密密钥加密,即收发双方采用相同的密钥来进行加密和解密,对称密钥加密的最大优点是加解密速度快,适合于进行大量数据加密,但也存在密钥管理、发布困难以及无法进行身份鉴别的缺点。3、非对称密钥加密。非对称密钥加密也称为公开密钥加密,每个用户有一对密钥: 一个用于加密,一个用于解密,两把密钥实际上是两个很大的质数,加解密过
24、程。其中,加密密钥( 公钥) 可以在网络服务器、报刊等场合公开,而解密密钥( 私钥) 则属用户的私有密钥,由公开的加密密钥导出私有的解密密钥在技术上是不可实现的。与对称密钥加密相比,采用非对称密钥加密方式密钥管理较方便,且保密性比较强,但加解密实现速度比较慢,不适用于通信负荷较重的应用。(二)、身份验证技术1、 认证系统。网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority,通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA,否则,一切网上的交易都没有安全保
25、障。传统的对称密钥算法具有加密强度高、运算速度快的优点,但密钥的传递与管理问题限制了它的应用。为解决此问题,20 世纪70 年代密码界出现了公开密钥算法,该算法使用一对密钥即一个私钥和一个公钥,其对应关系是唯一的,公钥对外公开,私钥个人秘密保存。一般用公钥来进行加密,用私钥来进行签名; 同时私钥用来解密,公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。其中RSA ( Rivets Shamir Adelman) 算法是公开密钥算法中研究最为深入,使用最为广泛的算法,为大多数国家( 地区) 的官方或非官方所采用。整个认证系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA (
26、证书的登记机构,Register Authority) 和WP(证书的分页系统,Web Publisher) 。2、SSL 协议。SSL 协议( Secure Socket Layer,安全套接层) 是由网景(Netscape) 公司推出的一种安全通信协议,该协议主要目的是解决TCP/IP 协议不能确认用户身份的问题,在Socket 上使用非对称的加密技术,以保证网络通信服务的安全性。SSL 协议包括两个子协议: SSL 记录协议和SSL 握手协议。SSL 记录协议是建立在可靠的传输协议( 例如: TCP) 上,用来封装高层的协议。SSL 握手协议准许服务器端与客户端在开始传输数据前,能够通过
27、特定的加密算法相互鉴别。SSL 协议易于实现。它独立于应用层协议,可以完成所需的安全交易操作,主要是使用公开密钥体制和X.509 数字证书保护信息的机密性和完整性,但它不能保证信息的不可抵赖性。中国目前多家银行均采用SSL 协议,从实际使用的情况来看,SSL 协议还是最值得信赖的协议。但是由于SSL 协议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL 协议并不能协调各方间的安全传输和信任关系。3、SET 协议。SET ( Secure Electro
28、nic Transaction) 安全电子交易协议是由美国Visa 和MasterCard 两大信用卡组织提出的应用于Internet 上的以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X.509 数字证书标准,主要应用于B to C 模式中保障支付信息的安全性。SET 协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。SET 协议自诞生以来,通过大量的现场试验和应用,取得了业界普遍的支
29、持,目前已经呈现出良好的发展势头。尽管SET协议存在一些缺点,但是它体现出了进行电子交易最基本的原则,因此在不断完善的过程中会逐步扩大其应用范围。它的交易规范成为了未来电子商务发展的方向。(三)、其它安全技术防火墙技术: 防火墙主要是用来隔离内部网和外部网,对内部网的应用系统加以保护。目前的防火墙分为两大类: 一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP 端口和TCP 链路状态等因素来确定是否允许数据包通过。另一类是应用网管和代理服务器,可针对特别的网络应用服务协议及数据过滤协议
30、,并且能够对数据包分析并形成相关的报告。数字签名: 数字签名是公开密钥加密技术的另一种应用,报文的发送方从报文文本中生成一个128 位的散列值,发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。六、保障电子商务信息安全的环境性措施目前,基于Internet 的电子商务应用才初见端倪,许多内外部环境还不够完善,相应的法律、法规,相关的标准还都没有建立,跨部门、跨地区的协调存在较大问题。基于上述分析就中国电子商务的发展提几点建设性意见。(一)、构造中国电子商务体系积极参与国际合作,融合国际电子商务框架,构造适合中国国情的电子商务体系
31、。作为一个主权国家,为了维护国家的利益和经济安全,在电子商务相关技术方面一定要注重自主知识产权技术的开发,不能全部依赖进口。因此,必须大力支持对电子商务技术的研究开发工作。(二)、加强法律法规建设政府部门应尽快组织力量,结合电子商务的客观需要,对现有的与电子商务相关的法律法规,如:刑法、合同法、著作权法等进行修改。在这些法律中,可以适当增加对网络犯罪处罚的条款,增加对网络作品著作权保护的条款;对电子商务发展中亟需解决的有关问题,如:在电子支付、税收管理、安全认证、网络与信息安全、知识产权保护、消费者权益保护等可由相关主管部门先制定部门规章,必要时,由国务院发布行政法规,待条件成熟时,再按程序上
32、升为法律。(三)、加快网络基础设施建设,推动企业信息化进程信息基础设施是电子商务发展的物质基础和载体。发展信息基础设施需要政府和业界的共同努力,尤其是政府的大力投资和宏观调控。七、电子商务信息安全应注意的几个方面 (一)、提高网络信息安全意识。以有效方式、途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉陡,学会维护网络安全的基本技能。并在思想上萤把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。 (二)、加强网络安全管理。建立信息安全领导机构,有效统一、协调和研究未来趋势,制定宏观政策,实施重大决定。严格执行中华人民共和国计算机信息系统安全保护条例与
33、计算机信息网络安全保护管理办法,明确责任、规范岗位职责、制定有效防范措施,并目严把用户人网关、合理设置访问权限等。 (三)加快网络安全专业人才的培养。加大对有良好基础的科研教育基地的支持和投入,加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动,加强对内部人员的网络安全培洲,防止堡垒从内部攻破。使高素质的人才在高水平的教研环境中迅速成长和提高。 (四)、开展网络安全立法和执法。吸取和借鉴国外网络信息安全立法的先进经验,结合我国国情对现行法律体系进行修改与补充,使法律体系更加科学和完善;并建立有利于信息安全案件诉讼与公、检、法机关办案制度,提高执法效
34、率和质量。对违犯国家法律法规,对计算机信息存储系统、应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。 (五)、强化网络技术创新。组织现有信息安全研究、应用的人才,创造优良环境,创新思想、超越约束,利用国内外资源,建立具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。 八、对国内发展电子商务的几点建议(一)、政府行为与市场行为相结合电子商务主要是商业银行和商户为了改善服务设施、提高服务质量,增强同业竞争能力而提出的技术革新要求,它的发展应该主要根据市场需求,由市场驱动,按市场规律进行。政府部门(包括金融管制部门)一方面作为电子商务的用户对电子商务有它自
35、身的需求,另一方面作为宏观管理和决策部门,应该有更深层次的思考。笔者认为,政府部门至少应该注意两个方面的问题:一是从发展我国信息产业和国民经济的高度制定政策和法律法规,为国内从事电子商务的企业的发展和公平竞争创造条件,引导他们朝着正确的方向发展,为他们参与国际竞争扫除障碍;二是从有利于国家经济安全和长远发展的角度出发,加强监督管理,既要确保电子商务系统应用过程中各参与者的利益不受损害,又要有效地保护国家利益,保护公共安全。所以有关部门需要在电子商务方面多做一些引导、管理和协调等工作。国务院办公厅关于加快电子商务发展的若干意见中不仅阐明了发展电子商务对我国国民经济和社会发展的重要作用,也提出了一
36、系列促进电子商务发展的基本原则和具体措施。意见指出,加快电子商务发展的基本原则第一条就是“政府推动与企业主导相结合”。政府应“完善管理体制,优化政策环境,加强基础设施建设,提高服务质量,充分发挥企业在开展电子商务应用中的主体作用,建立政府与企业的良性互动机制,促进电子商务与电子政务的协调发展。”企业是电子商务的主体,但没有统一管理和引导,任由企业受市场利益的驱动,电子商务市场将很难健康地发展。目前虚假信息以及欺诈行为的出现都是市场的不良信号,政府主管部门作为监管主体,更应担负起相应的职责。就像意见所要求的,政府要建立有利于电子商务健康发展的管理体制,加强网络环境下的市场监管,规范在线交易行为,
37、保障信息安全,维护电子商务的正常秩序。电子商务应用是一个复杂的工程,需要各个方面的协同配合,能够发挥出这一统一调配作用的只有政府主管部门,只有这样才可以建立起一个健全的相互协调、紧密配合的组织保障体系和工作体制。正如意见中所指出的,政府应该“加强政策法规、信用服务、安全认证、标准规范、在线支付、现代物流等支撑体系建设,营造电子商务发展的良好环境”。 所以要管理好电子商务,政府部门带头应用很必要。这不仅可以提高政府部门的工作效率和服务质量,还可以通过政府部门的带头示范作用,建立企业和消费者对电子商务的信心。由此可见,政府部门在电子商务的发展中发挥着规划者、管理者和应用者的作用。为了营造良好的电子
38、商务市场氛围,必须打破各级政府、部门对公共性信息资源的垄断和封锁,实现信息资源共享。要重视对商务信息资源的不断开发、更新和维护。国家应鼓励信息资源的市场化运作与商业化经营,保护企业和消费者利益和个人隐私权。要加强行业协会的作用,发挥他们在规范市场、规范行业标准、规范行业行为、促进企业之间相互协作等方面的优势。为了有效解决目前信用不足的问题,并促进供应链和电子商务垂直市场等先进商务模式的发展。(二)、业务主管部门与技术主管部门相配合电子商务既是一个现代密码和信息安全技术的应用系统,又涉及金融业务和商业管理,还有税收管理等,与多个管理部门有关,其中包括中国人民银行和国家商用密码管理办公室。要使电子
39、商务朝着正确的方向发展,需要有关部门的密切配合,既要明确分工,又要团结协作。有关部门需明确在建立技术部门和业务部门之间坚固的信任伙伴关系过程中所扮演的角色和担负的职责。(三)、重视现代密码与信息安全技术的应用在20世纪70年代中期以前,密码技术主要局限于军事、外交等重要政府部门秘密地研究和使用。美国公布的非机密数据加密标准(DES)开创了密码技术在民间公开使用的先河。1976年公开钥密码思想的提出和1978年RSA公开钥密码体制的诞生,掀起了密码技术的公开研究和应用的热潮。正是公开钥密码技术和密码技术的公开化研究使电子商务成为可能。因此,在研究电子商务发展战略的时候,不可忽略其基础技术密码与信
40、息安全技术的应用和发展战略的研究。由于信息安全涉及面很宽,它包括着技术,管理,制度,人员和法律的诸多方面.仅就技术而言,有防病毒,防电磁泄漏,物理安全防护,系统安全防护,密码保护等.解决信息安全的基本策略是综合治理.信息安全决不是单靠某一项措施或某一项技术所能奏效的. 密码是实现一种变换,利用密码变换保护信息秘密是密码最原始,最基本的功能;然而,随着信息和信息技术发展起来的现代密码学,不仅用于解决信息的保密性,而且也用于解决信息的完整性,可用性,可控性和不可抵赖性.可以说,密码是保护信息安全的最有效的手段,也是保护信息安全的关键技术. 密码作为运用于军事和政治斗争的一种技术,历史悠久.过去密码
41、的研制,生产,使用和管理都是在封闭的环境下进行的.七十年代以来,随着计算机,通信和信息技术的发展,密码领域发生了新的变化,这个变化是:密码应用范围日益扩大,社会对密码的需求更加迫切,密码研究领域不断拓宽,密码科研也从专用机构走向社会和民间,密码技术得到了空前发展. 当前,密码学不仅在保护党政领导机关的秘密信息中具有重要的,不可代替的作用,同时,在保护经济,金融,贸易等系统的信息安全,以及在保护商业领域如网上购物,数字银行,收费电视,电子钱包的正常运行中也具有重要的应用.有人以人体来比喻,芯片是细胞,计算机是大脑,网络是神经系统,智能是营养,信息是血液,信息安全是免疫系统.也有人把密码技术看作信
42、息高速公路的保护神.随着信息和信息技术的发展,电子数据交换逐步成为人们 交换的主要形式,密码在信息安全中的应用将会不断拓宽,信息安全对密码的依赖会越来越大.在开展电子商务时,现代密码和信息安全技术在金融领域的应用尤其重要。保障电子商务安全的核心是证书中心,它是对非对称密码体制应用系统用户公钥进行分发、认证和管理的一个系统。然而,它是基于非对称密码体制应用的,没有非对称密码体制的应用,就没有CA可言。在基于非对称密码体制的应用系统中,CA是保证安全性不可缺少的一部分。因此,有关部门在积极建设CA的同时,应该鼓励和重视公开钥密码技术的应用。此外,在金融领域,随着电子化步伐的加快,信息安全技术与金融
43、风险控制和防范的关系也越来越密切。随着信息化社会的发展,信息在社会中的地位和作用越来越重要,每个人的生活都与信息的产生、存储、处理和传递密切相关,信息的安全与保密问题成了人人都关心的事情。商业和金融领域也由于Internet特别是e-Business的发展而更加关注信息安全问题。电子商务系统一方面是一个现代密码与信息安全技术的应用系统,另一方面它将起到商业银行分支机构的部分作用,增加金融监管的难度。由于信息安全战略地位重要,各国都给以极大的关注与投入.我国信息安全研究起步晚,投入不足,研究力量分散,总体来说与发达国家存在着较大差距.特别是,安全体系结构和安全协议的研究,是我们的薄弱环节.今天,
44、面对激烈的网络信息的抗争和冲突,面对日益增强的计算能力和人类智慧,信息安全和密码技术面临着空前的挑战和机遇.要么在数字化中生存,要么在数字化中衰亡,这是我们面临的抉择.我们必须吸取国外信息安全的先进技术和经验,但更重要的是要努力创新,独立自主地发展我国的信息安全技术.我们要在国家强力度的支持下,凝聚国内信息安全相关学科的优势单位和优秀人才,加强对信息安全体系,信息安全发展战 略,安全操作系统和安全芯片,密码理论和应用技术,网络信息安全平台,信息安全检测和监控技术,以及病毒防治等的研究,为我国的信息安全建起可靠屏障. 因此对电子商务可能引入的金融风险的防范,信息安全技术的应用与业务管理工作具有同
45、等重要的地位。(四)、正确处理国内外信息安全产品的关系由于我国信息产业的发展整体上落后于美国、日本等发达国家,要发展电子商务,国际合作是不可避免的。但由于电子商务的核心技术是信息安全技术,国内、外对信息安全技术和密码产品都有不同程度的进出口限制,因此从国家经济安全的角度出发,正确处理国内、外信息安全产品的关系是非常重要的。目前,国内正在建设的与电子商务有关或类似的系统多数基于国外的操作系统、浏览器和Web服务器。国外的这些系统中都采取了一些信息安全措施。然而,由于国外对信息安全产品的出口施加严格的限制,我们能够进口的信息产品中所使用的密码算法和密码协议强度都比较低。一方面,不使用国外的信息产品
46、是不现实的;另一方面,将系统安全性完全依赖于国外产品已提供的信息安全机制也是不可取的。笔者认为,有两种途径解决这一矛盾:一是将有关国外系统软件中的安全模块替换成国内自主开发的模块;二是在应用层或者通信线路上增加使用国内自主开发的信息安全产品以加强系统的安全保护措施。(五)、加快标准与规范以及相关法律法规的制定我国电子商务发展还处于起步阶段,整体应用水平比较低,交易环境有待改善,社会公众对电子商务的认知度和认可度有待提高,电子商务信息披露、资金支付和商品交付等行为还有待规范。因此,促进电子商务规范发展,引导交易参与方规范各类市场行为,是防范市场风险、化解交易矛盾、促进电子商务健康发展的客观需要,
47、也是贯彻落实科学发展观、构建社会主义和谐社会的必然要求。电子商务的实施不仅对与商业、金融、税收及合同等相关的法律、法规注上了问号,也在技术与业务两个方面对标准和规范提出了要求。信息安全技术和金融业务方面的问题尤为突出。目前,在金融领域使用的信息安全产品方面,由于缺乏公共的标准和规范的指导,国内不同厂家开发出的同类信息安全产品互不兼容或者只在与国外标准一致的部分兼容,不仅给用户带来了一些不便,同时也使增加的一些信息安全措施形同虚设。而且从国际上看,许多国家和地区都把推进电子商务作为增强国家竞争力、赢得全球资源配置优势的战略举措,并相继制定了一系列法律法规,通过法律制度来保障和促进电子商务的发展。据了解,联合国国际贸易法委员会2001年3月通过电子签字示范
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 某纺织厂纺纱工艺改进制度
- 某汽车制造厂涂装安全准则
- 某造船厂技术创新激励办法
- 2026年河南漯河中小学教师招聘考试题库(含完整答案解析)
- 小学一年级数学上册《探索规律:物体排列的奥秘》教学设计
- 高中音乐《爱的传递》五线谱视唱精准化教学设计
- 小学三年级语文《十万个为什么》整本书阅读思辨启趣课教学设计
- 初中历史七年级文学艺术作品中的历史单元教学设计
- 初中物理八年级上学期《物态变化》单元复习教案
- 高中思想政治必修1中国特色社会主义第一框知识清单
- DB11/T 1413-2023民用建筑能耗标准
- 2026年安徽民航机场集团笔试题及答案
- 2026年山东泰安市中考化学真题试题(含答案)
- 2026中国长纤维增强塑料市场行情监测与经营前景趋势调研研究报告
- 放射科影像诊断质控流程
- 2025年北京市初二地生会考真题试卷(含答案)
- 部编版四年级上册语文必背内容与默写
- DB63∕T 1721-2026 高速公路机电工程运维管理要求
- 2026青岛能源集团有限公司招聘笔试参考题库及答案解析
- 明清时期小说课件
- 宜昌市西陵区(2025年)社区《网格员》典型题题库(含答案)
评论
0/150
提交评论