[关键词] 电子商务 安全 对策
基于Internet开展的电子商务己逐渐成为人们进行商务活动的新模式,电子商务的发展前景十分诱人。但安全问题是制约其发展的重要因素,是关系到电子商务系统能否成功运行的最为重要的问题。如何建立一个安全、便捷的电子商务应用环境,保证整个商务活动中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样安全可靠,已经成为大家十分关心的问题。
一、电子商务的安全现状和存在的问题
1.网络统存在的安全隐患
Internet为人类交换信息,促进科学、技术、文化、教育、生产的发展,提高现代人的生活质量提供了极大的便利,但同时对国家、单位和个人的信息安全带来极大的威胁。由于网络的全球性、开放性、无缝连接性、共享性、动态性发展,使得任何人都可以自由地接入Internet,其中有善者,也有恶者。恶者会采用各种攻击手段进行破坏活动。他们对网络系统的主要威胁有:
(1)系统穿透:未经授权而不能接入系统的人通过一定手段对认证性进行攻击,假冒合法人接入系统,实现对文件进行篡改和窃取机密信息。非法使用资源等。一般采取伪装或利用系统的薄弱环节、收集情报等方式实现。
(2)违反授权原则:一个授权进入系统做某件事的合法用户,它在系统中做未经授权的其他事情,威胁系统的安全。
(3)植入:一般在系统穿透或违反授权攻击成功之后,入侵者为了为以后的攻击提供方便,常常在系统中植入一种能力,如向系统中注入病毒、后门、特洛尹木马等来破坏系统工作。
(4)通信监视:这是在通信过程中从信道进行搭线窃听的方式。软硬件皆可以实现,硬件通过无线电和电磁泄漏等来截获信息,软件则是利用信息在网络上传输的特点对流过本机的信息流进行截获和分析。
(5)通信窜扰:攻击者对通信数据或通信过程进行干预,对完整性进行攻击,篡改系统中数据的内容,修正消息次序、时间,注入伪造消息。
(6)中断:对可用性行攻击,破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作,破坏信息和网络资源。
(7)拒绝服务:指的是系统由于被破坏者攻击而拒绝给合法的用产提供正常的服务。例如在WINNT的早先版本的115服务器中就有bug,破坏者可以利用它将大量垃圾信息发往某个特定的端口,使服务器因为处理这些请求而占用大量资源,从而不能处理合法用户的正常请求。
(8)否认:一个实体进行某种通信或交易活动,稍后否认曾进行过这一活动。
2.电子商务系统的安全问题
由于因特网早期构建时并未考虑到以后的商业应用,因此使用了TCP/IP协议及源码开放与共享策略,为后来的商业应用带来了一系列的安全隐患。在电子商务过程中,买卖双方是通过网络来联系,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方都面临安全威胁。
(1)卖方面临的安全威胁主要有:
①中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据、解除用户订单或生成虚假订单。
②竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。
③客户资料被竞争者获悉。
④被他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。
⑤买方提交订单后不付款。
⑥虚假订单。
(2)买方面临的安全威胁主要有:
①虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,而假冒的合法客户却被要求付款或返还商品。
②付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将订单和钱转发给执行部门,因而使客户不能收到商品。
③机密性丧失:客户有可能将秘密的个人数据或自己的身份数据发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。
④拒绝服务:攻击者可能向销售商的服务器发送大量的虚假订单来挤占它的资源,从而使合法用户不能得到正常的服务。
二、防范电子商务安全问题的对策
电子商务的安全问题涉及到电子商务的各个环节和参加交易的各个方面,解决电子商务的安全问题是一个系统工程和社会问题,需全社会的参与。我们可以从以下几个方面对电子商务安全问题进行防范:
1.构建电子商务信息安全技术框架体系
在电子商务的交易中,电子商务的安全性主要是网络安全和交易信息的安全。而网络安全是指网络操作系统对抗网络攻击、病毒,使网络系统连续稳定的运行,常用的保护措施有防火墙技术。交易信息的安全是指保护交易双方的不被破坏、不泄密和交易双方身份的确认,可以用信息加密技术、数字证书和认证技术、SSL安全协议、SET等技术来保护。
2.积极推进电子商务立法
我国政府要加强对电子商务的研究,要加快立法进程,健全电子商务法律体系,建立规范电子商务的灵活法律框架,使电子商务实现公开、合理、合法化。这样不仅可保障进行电子商务各方面的利益,而且还可保障电子商务的顺利进行。
综上所述,由于在电子商务的交易过程中,安全问题涉及到电子商务的各个环节和参加交易的各个方面,因此需要采取不同的对策来解决。另外,交易过程除涉及交易双方外,还涉及到网上银行、认证中心和法律等各方面的问题,因此电子商务安全问题的解决是一个系统工程。
参考文献:
【关键词】电子商务;信息安全;信息技术
电子商务概念源于英文Elect ronic Commerce , 简写EC。美国《商业周刊》认为, Internet 已经成为" 有史以来最激动人心的生意场" 。电子商务介入世界经济活动并成为其中主角是必然的发展趋势。据统计1998 年全球电子商务交易额为1020 亿美元,2003 年电子商务交易额达到1. 3 万亿美元,约占世界贸易总额的1/ 4 ,到2005 年将达到2~3 万亿美元。由于大量的信息在网上传递,大量的资金在网上划拨流动,这就要求网上信息必须具有高度的可靠性和绝对的保密性。但是出于各种目的的网络入侵和攻击也越来越频繁,脆弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看,信息安全问题是保障电子商务的生命线。
1 、电子商务信息的安全要素
1. 1 机密性
传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保证电子商务信息的机密性就变得非常重要。
1. 2 完整性
电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。
1. 3 认证性
网络环境是一个虚拟的环境,而电子商务就是在这个虚拟平台上进行的,贸易双方一般都不见面,需要一些技术和策略来进行身份确认。当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。
1. 4 有效性
在交易的过程中贸易双方需要确定很多信息,电子商务以电子形式取代了纸张来确认这此信息,保证谢谢信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。
2 、电子商务安全中存在的问题
电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在以下几个方面。
2. 1 计算机网络的安全
2. 1. 1 安全协议问题
随着经济和信息全球化的时代到来,但安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
2. 1. 2 信息的安全问题
非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密或者是非法用户对截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易,还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。
2. 1. 3 防病毒问题
电脑病毒问世十多年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
2. 1. 4 服务器的安全问题。
电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有企业的一些保密数据,如价格、成本等,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重的。目前服务器的安全问题尚无有效措施予以阻止。主要表现在:非法用户向网络或主机发送大量非法或无效的请求,使其消耗可用资源却无法继续提供正常的网络服务,利用操作系统、软件、网络协议、网络服务等的安全漏洞,通过网站发送特制的数据请求,使网络应用服务器崩溃而停止服务。
2. 2 电子商务交易的安全
2. 2. 1 身份的不确定问题
由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段窃取合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从中获得非法收入。主要表现有:冒充他人身份;冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户等。
2. 2. 2 交易的抵赖问题
电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。如自己应承担的责任如:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认,商家卖出的商品质量差但不承认原有的交易。在网络世界为交易双方的纠纷进行公证、仲裁。
2. 2. 3 交易的修改问题
交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
2. 3 其他方面的安全
电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题:网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。[ ]
3 、保障电子商务信息安全措施
3. 1 数据加密策略
加密技术是电子商务的最基本措施,最初主要用与保证数据在存储和传输过程中的保密性。随着电子商务的发展,对数据完整性以及身份鉴定技术提出了新的要求,数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。加密技术是一种主动的信息安全防范策略,利用一定的加密算法. 将明文转换成毫无意义的密文。阻止非法用户理解原始数据,从而确保数据的保密性。
比较广泛使用的加密技术有两种:一是对称密钥加密体制,一是非对称密钥加密体制。它们的区别在于密钥的类型不同。
3. 1. 1 对称密钥加密体制
对称密钥加密,又称私钥加密(Secret Key Encryption) ,即数据加密和解密采用的都是同一个密钥,因而其安全性依赖于所持有密钥的安全性,其最大的优点就是速度快,适合于对大数据量进行加密,但其最大的缺点是在大量用户的情况下密钥答理复杂,而且无法完成身份认证等功能,不便于应用于网络开放的环境中。
3. 1. 2 非对称密钥加密体制
非对称密钥加密体制,又称公钥加密( Public Key Encryp2tion) ,数据加密和解密采用不同的密钥,需要使用一对密钥来分别完成加密和解密操作。在非对称密钥加密体制中密钥被分解为一对。这对钥中的在何一把都可作为公开密钥,加密密钥,通过非保密方式向他人公开。而另一把则作为私用密钥加以保存。私用密钥只能由数据的接受者掌握。
利用公钥体系可以方便地实现对用户的身份认证,也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密,信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解密,如果能够解开,说明信息确实为该用户所发送,这样就方便地实现了对信息发送方身份的鉴别和认证。
通常在实际应用中将公钥密码体系和数字签名算法结合使用. 在保证数据传输完整性的同时完成对用户的身份认证。
3. 2 防火墙技术
现有的防火墙技术包括两大类:数据包过滤和服务技术。其中,最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避兔对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于: (1) 防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击。(2) 防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。
3. 3 身份验证技术
3. 3. 1 认证系统
网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority ,通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA ,否则,一切网上的交易都没有安全保障。
在计算机网络被人们广泛所应用的前提下,运用计算机网络进行电子商务活动的人群也在日益增多。电子商务具有操作简单、成本较低的特点,可以带来较大的经济效益,但与此同时,电子商务也具体全球性与开放性的特点,所以为网络购物带来了较大的安全问题,由此可以得出,能否解决电子商务的安全问题是推动电子商务产业发展的决定性因素。
1 电子商务的安全现状
首先,病毒与木马的种类增加速度较快。在计算机网络的使用过程中可以发现,出现木马的几率较高。并且,网络中的病毒的类型也在日益增多,在此过程中,病毒的更新速度较快,所产生的破坏能力与日俱增,甚至许多木马就是病毒的衍生物。与此同时,我们所使用的杀毒软件也在不断地更新与完善,但在具体的应用过程中,仍然会出现难以消除病毒、木马的情况。许多病毒是用户在进行网页浏览或者下载软件过程中所携带,网络用户对此毫无知觉,为计算机带来了较为严重的后果。当病毒安装到计算机后,使得一些不法分子在电子商务的交易过程中利用病毒来进行网络诈骗与窃取等行为。
其次,网络病毒的传播方式产生了变化。通常,网络病毒会利用U盘或者移动硬盘等存储设备进行侵袭,计算机用户在不知情的情况下,将已经携带病毒的U盘或者移动硬盘与电脑连接,使得病毒侵入计算机网络,进行损坏与窃取。
最后,网络病毒对电子商务交易所造成的负面影响日益增加。当前,人们的生活越来越离不开计算机网络,人们会把一些重要的数据或信息输入电脑,如在进行网络交易时,银行卡等重要个人信息将会被计算机网络所记忆。由于病毒的入侵,一些计算机网络的用户的浏览器就会被恶意篡改,导致用户一些重要的数据及个人信息出现丢失或损坏的情况,对电子商务的有效运行有着严重的影响。并且,病毒的生存能力较强,破坏性较大,一旦感染上病毒,很难清除,将会为人们带了巨大的经济损失。
2 电子商务安全问题所产生的消极后果
在电子商务的具体使用过程中,网络安全隐患常常使得商业的机密出现外泄的可能,一方面,在具体的交易过程汇总,卖方或者买方之间所进行的交易的详细内容有可能被恶意第三方所盗取;另一方面,一些机密的文件信息在运用计算机网络进行传输的过程中,有可能会被恶意第三方所篡改或破坏,失去文件的真实性与完整性,使得电子商务的交易过程中会产生较大的经济损失。
在进行网络交易的过程中,买卖双方通过计算机网络来进行具体的交流,彼此之间毫不了解,彼此之间也未曾有过见面,通过网络来进行协商、确定与支付。而网络将可能出现的安全问题,容易使得交易双方的身份出现被伪造的可能性,导致诈骗行为出现的几率加大。
3 保障电子商务安全的有效对策
通过开展广泛的网络安全的宣传工作,提高公民的网络安全的意识。当前,人们在进行网络交易时,对于自我保护的意识较为薄弱,没有较强的防范意识,使得受到网络犯罪侵袭的可能性加大。所以,必须增强安全宣传的力度,使人们增强对于网络安全问题的防范意识,深刻认识到网络威胁所带来的严重后果,自觉地提高防范意识。
运用多种手段兼施的网络保护技术,来有效促进保障网络安全技术的创新与发展。当前,保障电子商务安全的技术有虚拟专用网络与防火墙等,通常人们会使用防火墙来保障网络的安全。通过建立保障外部网络与内部网络之间的安全屏障,来对一些未经授权的用户或者服务器进行有效抵制。在此过程中,需要相关的研究人员对防火墙的技术不断进行更新,以保证用户能够及时下载安装,从而保护计算机网络的安全,尽量减少病毒出现的可能性。一些企业运用虚拟专用网络与防火墙技术的兼施技术,来增强电子商务的安全性。
关键词:电子商务;网络;安全技术
近年来,计算机网络与信息技术的迅速发展,带动了电子商务行业的推广。电子商务活动触伸到生活的各个领域,例如虚拟企业、虚拟银行、网上购物、网络营销、网络支付以及网络广告等一些新的业务正在被人们所熟悉和认同。电子商务改变了传统商务的运作模式,作为一种全新的商业应用模式,极大地提高了工作效率,同时降低了交易成本。但是,由于互联网的开放性和天然的脆弱性,网络安全问题成为制约着电子商务发展的瓶颈。所以,搭建一个安全可靠的商务平台,成为电子商务发展的关键问题。
一、电子商务面临的安全问题
电子商务活动中有大量的数据需要传输与存储,数据传输依靠互联网技术,而互联网是一个天然脆弱和不安全的网络,数据容易丢失和被截获。而数据的存储主要依靠数据库技术,数据库也是非法分子常常入侵和破坏的对象。所以网络通信安全与数据库安全,是电子商务长期面临的的主要问题。
1.数据库安全。企业在电子商务活动中产生的大量数据是他们进行不间断经营的重要支撑,产品数据资料、客户关系管理都涉及到庞大的数据群。采用流行的关系型数据库进行数据存储与管理,是电子商务企业必要的选择。但是网络黑客从未间断过对企业数据库的攻击,一旦他们窃取到企业数据库的访问权、管理权,就可以获得他们想要的数据,甚至篡改或删除这些对企业来说至关重要的数据。
2.网络通信安全。数据传输过程中容易丢失、损坏或被黑客篡改、窃取,所以首先要保证通信线路的安全可靠性,采用性能稳定的设备和较为强大的软件来保证传输稳定性。其次为了防止黑客攻击,例如木马、病毒等程序,要再传输过程中使用数据加密及数字签名等技术保障数据的安全性。
二、电子商务安全策略
1. 虚拟专用网(VPN)
由于TCP/IP协议的不安全性,对电子商务安全无有效的认证机制,真实性难有保证;缺乏保密机制,网上数据隐私性不能得到保护;不能提供对网上数据流的完整性保护等问题。因此,在电子商务中通常采用VPN技术,通过加密和验证网络流量来保护在公共网络上传输私有信息,而不会被窃取或篡改。对于用户来说,就象使用他们自己的私有网络一样。
2.加密(Encryption)技术
加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Ad1eman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。
3. 数字信封技术
数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码称之为数字信封。信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,再利用对称密码解密所得到的信息,这样就保证了数据传输的真实性和完整性。
4.认证技术
CA认证中心。它为电子商务环境中各个实体颁发数字证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书。它是电子商务及网上银行操作中,具有权威性、可信赖性及公正性的第三方机构。如中国金融认证中心(CFCA)。
有关的认证技术包括数字签名与数字证书。数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对数字签名进行解密,获得哈希摘要。并将收到的原始数据产生的哈希摘要与获得的哈希摘要相对照,便可确信原始信息是否被篡改,这样就保证了数据传输的不可否认性。数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方证书的有效性,从而解决相互间的信任问题。证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 5.防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全。
三、结束语
信息安全是电子商务生存和发展的关键要素,随着科技信息技术的不断发展,电子商务平台的安全性和管理策略将不断改进和完善。电子商务活动的安全开展,单是从技术角度防范是远远不够的,还必须通过完善电子商务法律和政策来正确引导和促进我国电子商务的快速健康发展。我国电子商务处于初级普及阶段,需要政府加强对电子商务的研究,建立和规范电子商务的法律框架,促使电子商务实现公开化,合理化、合法化。而企业也必须对其内部所有员工进行信息安全意识教育,充分理解信息安全对企业开展电子商务活动的重要性,还必须通过专业人员对网站进行安全分析、风险评估。在运行效率分析的基础上,制定出完整、严谨的安全解决方案。并针对电子商务活动中存在的不安全因素采取适当的防范措施,例如硬件的电源故障可以通过设置不间断电源来解决,软件漏洞问题可通过针对性的设置加以弥补。随着新技术的发明和应用,电子商务中存在的通信安全问题与数据存储安全问题都将得到解决。在网络中没有绝对的安全只有相对的安全,只要企业始终采用新技术,并积极防御最新的网络威胁和攻击,电子商务带给企业的好处必将大大超越它所带来的风险。
参考文献:
[1] 司志刚,濮小金.电子商务导论.中国水利水电出版社,2005.
[关键词] 计算机网络 互联网 电子商务 安全 保护
一、安全的重要性以及存在的安全问题及其原因
计算机网络之所以存在着脆弱性,主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等。此外,信息安全处在初期发展阶段,缺少网络环境下用于产品评价的安全性准则和评价工具。系统管理人员的安全意识和安全管理培训等也相对缺乏。在系统安全受到威胁时,缺少应有的完整的安全管理方法、步骤和安全对策,如事故通报、风险评估、改正安全缺陷、评估损失、相应的补救恢复措施等。
根据攻击能力的组织结构程度和使用的手段,可以将威胁归纳为四种基本类型:无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。一般来讲,对外部威胁,安全性强调防御;对内部威胁,安全性强调威慑。
1.病毒。病毒是由一些不正直的程序员所编写的计算机程序,它采用了独特的设计,可以在受到某个事件触发时,复制自身,并感染计算机。如果在病毒可以通过某个外界来源进入网络时(大多数是通过某个受到感染的磁盘或者某个从互联网上下载的文件),网络才会感染病毒。当网络上的一台计算机被感染时,网络上的其他计算机就非常有可能感染到这种病毒。2.特洛伊木马程序。特洛伊木马程序,是破坏性代码的传输工具。特洛伊表面上看起来是无害的或者有用的软件程序,例如计算机游戏,但是它们实际上是伪装的敌人。特洛伊可以删除数据,将自身的副本发送给电子邮件地址簿中的收件人,以及开启计算机进行其他攻击。只有通过磁盘,从互联网上下载文件,或者打开某个电子邮件附件,将特洛伊木马程序复制到一个系统,才可能感染特洛伊。无论是特洛伊还是病毒并不能通过电子邮件本身传播――它们只可能通过电子邮件附件传播。3.恶意破坏程序。网站会提供一些软件应用(例如ActiveX和Java Applet)的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果,从而使网站更具有吸引力和互动性。但是,由于这些应用非常便于下载和运行,从而提供了一种造成损害的新工具。恶意破坏程序是指会导致不同程度破坏的软件应用或者Java小程序。一个恶意破坏程序可能只会损坏一个文件,也可能损坏大部分计算机系统。4.攻击。目前已经出现了各种类型的网络攻击,它们通常被分为三类:探测式攻击,访问攻击和拒绝服务(DoS)攻击。(1)探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网。(2)访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件账号、数据库和其他保密信息。(3)DoS攻击可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是:向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数据,从而让正常的访问无法到达该主机。更恶毒的是分布式拒绝服务攻击(DDoS),在这种攻击中攻击者将会危及到多个设备或者主机的安全。5.数据阻截。通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息,甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。6.社会活动。社会活动是一种越来越流行的通过非技术手段获取保密的网络安全信息的手段。7.垃圾信件。垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的,但是它可能会浪费接收者的时间和存储空间,带来很多麻烦。
二、技术保障策略
1.加密。加密方法多种多样,在网络信息中一般是利用信息变换规则把明文的信息变成密文的信息。既可对传输信息加密,也可对存储信息加密,把计算机数据变成一堆乱七八糟的数据,攻击者即使得到经过加密的信息,也不过是一串毫无意义的字符。加密可以有效地对抗截收、非法访问等威胁。2.数字签名。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议,使得收发数据的双方能够满足两个条件:接受方能够鉴别发送方宣称的身份;发送方以后不能否认他发送过数据这一事实。数据签名一般采用不对称加密技术,发送方对整个明文进行加密变换,得到一个值,将其作为签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方身份是真实的。3.鉴别。鉴别的目的是验明用户或信息的正身。对实体声称的身份进行惟一识别,以便验证其访问请求,或保证信息来源以验证消息的完整性,有效地对抗冒充、非法访问、重演等威胁。按照鉴别对象的不同,鉴别技术可以分为消息鉴别和通信双方相互鉴别;按照鉴别内容不同,鉴别技术可以分为用户身份鉴别和消息内容鉴别。鉴别的方法很多:利用鉴别码验证消息的完整性;利用通行字、密钥、访问控制机制等鉴别用户身份,防止冒充、非法访问;当今最佳的鉴别方法是数字签名。4.访问控制。访问控制的目的是防止非法访问。访问控制是采取各种措施保证系统资源不被非法访问和使用。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。5.防火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公共网络的互联环境中。大型网络系统与Internet互联的第一道屏障就是防火墙。防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,其基本功能为:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
总之,随着时间的推移,越来越多的新技术将用于进一步地提高业务和通信的效率。如果企业始终站在这种新型技术的前列,并能够防御最新的安全威胁和攻击,网络所带来的好处必然将远远超过它所带来的风险。
参考文献:
【 关键词 】 电子商务;信息安全;风险评估;对策
Risk Assessment and Countermeasures of Information Security based on Electronic Commerce
Xu Bin
(Business Management Department of People's Bank of China Beijing 100045)
【 Abstract 】 In recent years, the rapid development of e-commerce business in China, is highly attention to information security of e-commerce system problems and risk assessment. This article on China's e-commerce system information security problems are discussed on the basis of analyzing the status quo of China's e-commerce information security risk assessment and improvement measures, aimed at improving our country's e-commerce awareness and information security risk assessment technology, establish a perfect electronic commerce information security, and evaluation mechanism.
【 Keywords 】 electronic commerce; information security; risk assessment and countermeasures
1 引言
电子商务是一项与传统交易完全不同的贸易活动,而其中的网络支付系统就是支持这种新的贸易方式的重要条件和必要支持,电子商务就是利用相关的计算机技术,借助Internet而实现在线支付,即传递商务信息和进行商务活动,所以它要求数据的传递、交换及处理在网络上能够保障有非常高的安全系数。这就要求电子商务相关部门或人员在进行业务或项目开发时,对整个项目的信息安全进行风险评估,得出项目实施可行性等一系列结果。
电子商务系统的信息安全风险评估运用科学合理的分析方法、手段,运用系统的观点来分析电子商务信息系统所面临的人为或自然因素的威胁以及所存在的脆弱性,努力在网络的“安全等级”和“风险投资”之间找到一个很好的平衡点。
因此,整合传统的网络信息安全技术,并结合现代化的新型技术应用,研究出一套既安全又可靠的电子商务交易安全体系已经成为当前电子商务网络信息安全研究的重要内容之一。
2 电子商务系统中存在的信息安全问题
一般来讲,电子商务中所涉及的信息安全性是指在电子商务交易过程中利用各种技术、法律等措施来保证交易信息不会因偶然或恶意原因而遭到破坏或泄露的要求。21世纪初,我国的金融系统所发生的计算机犯罪率不断攀升。据报道,2002年一起有关不法分子利用黑客入侵在银行网银服务器植入“木马”病毒程序,窃取多家客户的保密信息进行不法交易,所涉金额将近百万。我国金融网络的信息安全现状不容乐观,亟待改善。
下面我们来简单介绍一下电子商务网络中的信息安全问题,主要涉及以下几个方面。
(1)软件和应用漏洞
软件的复杂性以及程序编写的多样性导致电子商务系统中的软件会由于一些原因而留下安全漏洞。例如,网络操作系统本身就会存在一些安全漏洞,像I/O的非法访问、不完全中介及访问控制的混乱等都会造成数据库安全漏洞的产生,这些漏洞严重危害到电子商务系统的信息安全。尤其是在设计初期未考虑到安全性的TCP/IP通信协议,在连接Internet时就有可能受到外界的恶意攻击或窃取等。这些都显示了目前电子商务系统网络软件存在一些可避免或不可避免的安全漏洞。
(2)电脑病毒问题
随着网络技术的应用越来越广泛,压缩文件、电子邮件等已成为电脑病毒传播的主要途径, 加之病毒种类的多样化、破坏性的增强,使得电脑病毒的传播速度大大加快。而近年来新型病毒种类数量迅速增加,互联网更是给病毒传播提供了很好的媒介。这些病毒通过网络进行传播甚至是加速传播,稍有不慎就会造成不可弥补的经济损失。
(3)黑客入侵
目前,除了电脑病毒的迅速传播,黑客的恶意行为也越来越猖狂。黑客常用的木马程序相对于电脑病毒来说更具有目的性,使得计算机记录的登录信息被木马程序恶意篡改,最终造成重要信息、文件甚至是资金被盗。
(4)人为因素造成的安全问题
电子商务公司的大部分保密性工作都是通过工作人员的操作进行的,因此这需要工作人员具有很好的保密性、严谨性及责任心。如果工作人员的责任心不强、态度不端正,时常擅离职守,让无关人员随意进出机房重地,甚至向他人透露保密信息,就会让违法分子有机可乘窃取重要信息。再如,若工作人员缺乏良好的职业道德素质,便有可能非法超越权限而擅自更改或者删除他人的信息,也有甚者会利用自己的专业知识与工作职务来窃取相关的用户口令和标识符,将其非法出卖。
3 电子商务信息安全风险评估的现状及存在问题
通过上面的介绍,我们可以看出进行信息系统安全风险评估是十分有必要和重要的。目前,我国也有一些针对信息安全风险评估的研究和应用,其中常用的风险评估工具有风险评估矩阵、问卷、风险评估矩阵与问卷相结合的方法以及专家系统等。另外,网络信息安全风险评估常用的方法主要有定量的因子分析法、时序模型、决策树法和回归模型等风险评估方法。定性分析法主要涉及到逻辑分析法、Delphi法、因素分析法、历史比较法等。此外,还有定量与定性相结合的评估方法,主要包括模糊层次分析法、基于D-S证据理论的评估方法等。然而,目前我国的网络信息安全风险评估还存在一定的问题,需要在以后的研究创新中加以重视和研究。
3.1 对电子商务信息安全风险评估的认识不足
当前,很多相关人员还没有认识到电子商务信息系统所面临的大挑战,因此并没有认真重视信息安全风险评估的重要性,原因有以下几点。一,目前很多开展信息安全风险评估的公司或单位尚未通过标准、规范的培训,尚未系统地学习信息安全风险评估工作的相关理论、方法和技术工具等方面内容,这导致很多与信息安全评估工作相关的领导和工作人员对信息风险评估重要性的认识严重不足,自然其更没有将这种风险评估的工作纳入到现行的信息安全系统框架里。二,虽然有不少的单位想将信息安全工作放至重要位置,但却受到人力、物力、财力等方面的限制,同时也受到一些财务制度的约束阻碍,使得信息安全系统前期的信息安全风险评估准备工作得不到应有的重视。
3.2 缺少信息安全风险评估方面的专业技术人才
首先,就我国现有公司的信息安全风险评估现状来看,很多公司都缺乏专业的信息安全管理人员,更不用说专业的风险评估技术人员了。信息安全风险评估的技术含量非常高,它要求工作人员具有相当高的技术水平,而现在很多公司都是以普通的信息人员充当风险评估技术人员,这是不行的。其次,信息安全风险评估其实是一项综合性很强的工作,它不仅涉及公司全部的业务信息,还涉及各方面的人力物力财力,因此需要各部门相互配合完成,而现在大多数公司只依靠信息部门进行,很难较好的完成信息安全风险评估工作。
3.3 风险评估工具相对缺乏
目前,在电子商务执行过程中的应对工具,如防火墙、漏洞扫描等都相对成熟,但是在这些活动前期所涉及的信息安全风险评估工具却较缺乏。例如,上述我们提到的四个评估工具中,除专家系统以外,其他的技术工具都相对较简单,且缺少实际的理论基础。另外,这种信息风险评估工具的开发运用方面,呈现出国内、外极不平衡的状况,国内相对落后。
4 我国电子商务信息安全及风险评估工作的发展对策
4.1 增强电子商务系统信息安全及风险评估意识
在英国,曾经做过一项关于信息系统安全问题的调查统计,结果显示约80%的信息损失是人为因素造成的;在国内,也经常有因用户口令设置不当、随意将账号借与他人而造成信息安全威胁的现象。防止人为造成的信息安全问题已经成为一个重要内容。因此,电子商务公司一定要对其从业人员进行必要的信息安全知识教育培训,最大化地提高他们的信息安全及风险评估意识,积极防范信息毁损和泄密情况的发生,从而保证信息的完整性和可靠性,保障用户利益的同时也可以提高企业的竞争力。
4.2 加强对专业技术人员的培训,提高风险评估人员的专业技能
针对信息安全风险评估技术人员,我们可以通过以下方法进行相应的培训:一,可以整合公司内部的人力资源,加大风险评估的培训力度,利用专业的培训教材,通过学习弥补评估人员的知识缺陷,提高其技术水平;二,实行互补型培训,根据风险评估技术的专业分类,组织技术人员据此进行相应的培训,从而培养技术互补型的风险评估队伍;三,合理利用社会资源,公司应该加大对技术资源的投资,可聘请经验丰富的专家学者来组成第三方评估方,以备公司不时之需;四,公司人力资源部门可以有计划地对技术人员进行规范化的认证培训,实施职业技术资格准入制度,这样就可以从源头提高信息安全风险评估技术人员进入的门槛,保证评估技术人员的综合素质,为后期电子商务的信息安全风险评估工作打下坚实的基础。
4.3 积极加强对信息安全防范技术的研究和应用
目前,常用的保障电子商务系统的信息安全技术主要包括防火墙技术、防病毒技术、入侵检测技术、数据加密和证书技术以及相应的信息安全协议等。电子商务提供了无限的商机与方便,企业也通过电子商务的开展使得竞争力有所提高。因此,为了开展安全可靠的电子商务业务,我们必须在加强对电子商务信息安全及风险评估研究的同时,进而建立较为科学合理的电子商务信息安全体制。
然而,如果我国在基础硬件与芯片等方面不能自主,那么会严重阻碍我们对信息安全监测或评估的实施。在建立自主的信息安全及评估体制时,要积极利用好国、内外的资源,统一组织对信息安全重大技术的攻关,建立创新性的电子商务信息安全及评估体制。
5 结束语
综上所述,电子商务信息系统的安全问题是一项极其复杂的工程,这个系统工程既涉及了信息动态传输的安全问题,还涉及到信息静态存储的安全问题;它既是一项技术问题,也是一项关乎策略、信用、制度法规和社会公众参与电子商务活动等的非技术问题。而在前面的内容中,我们就目前电子商务信息系统所可能存在的安全问题进行了介绍,电脑病毒、软件漏洞、人为因素等相关安全问题不容忽视,需要加以控制和制止。因此在此基础上,就需要在信息系统建立之前做好信息安全风险评估工作,然而面对当前我国信息安全风险评估所存在的缺陷和不足,要求我们积极做好与此相关的工作,从信息安全意识、专业人才、新型技术等方面着手加强我国电子商务信息安全风险评估的研究和发展,为电子商务的发展提供一个良好的信息平台。
参考文献
[1] 吴鹏程.电子商务信息安全与风险管理刍议[J].中国新技术新产品,2009年第7期.
[2] 赵刚,王杏芬.电子商务信息安全管理体系架构[J].北京信息科技大学学报,2011年第26卷第1期.
[3] 伍永锋.基于模糊支持向量机的电子商务交易安全风险评估方法[J].科技通报,2012年第28卷第9期.
[4] 高博.电子商务信息安全风险与防范策略研究[J].现代商贸工业,2011年第14期.
[5] 连秀珍.电子商务的安全评估与审计[J].经济研究导刊,2012年第13期.
[6] 范光远,辛阳.防火墙审计方案的分析与设计[J].信息网络安全,2012,(03):81-84.
[7] 郎为民,杨德鹏,李虎生.智能电网WCSN安全体系架构研究[J].信息网络安全,2012,(04):19-22.
[关键词] 电子商务 安全 Internet
引论
随着Internet的迅猛发展,电子商务作为一种崭新的商务活动模式,受到了全世界、全社会的广泛关注。在现代信息社会中,通过电子商务来完成商务活动,可以尽可能减少面对面的接触和手工处理过程,高效率、低成本地从事各种以电子方式实现的商业贸易活动。
一、我国电子商务中存在安全的问题
电子商务的开放性及基于互联网的安全性,技术不完善和管理不到位,存在着许多安全问题:
1.互联网安全管理问题:网络安全并不仅仅是安全技术的问题,最重要的是管理的问题。一方面,网络由各种服务器、工作站、终端等群集组成,所以整个网络继承了它们各自的安全隐患。另一方面,用户要对各种安全设备进行合理操作,否则,再好的设备也不会安全。
2.网络系统软件自身的安全问题:网络系统软件自身安全与否直接关系网络安全,网络系统软件的安全功能较少或不全,以及系统设计时的疏忽或考虑不周而留下的问题,都等于给危害网络安全的因素留下许多“后门”。
3.网络系统中数据库的安全设计问题:数据库安全问题,就是要保证数据的安全可靠和有效。数据库存在不安全性,如授权用户超出了他们的访问权限进行更改活动;非法用户绕过安全内核,窃取信息资源等。
4.传输线路安全与质量问题:当线路的通信质量不好时,无论采用何种传输线路,将直接影响联网效果,自然力造成的数据丢失、设备失效、线路阻断,严重的时候甚至导致网络中断,这就会严重地危害通信数据的完整性。
5.其他威胁网络安全的典型因素:计算机黑客、内部人员作案、程序共享造成的冲突、计算机病毒等都是威胁网络安全的重要因素。
二、电子商务中安全问题对策的研究
电子商务安全需要确立综合防范的思路,从技术、管理法律等方面综合思考,才能够建立一个完整的网络交易安全系,本文着重从技术方面来进行分析。
1.加密技术:加密技术是电子商务采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用,对敏感的信息进行加密。现在,一些专用密钥加密(如DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP 和 EU)可用来保证电子商务的保密性、完整性、真实性和非否认性。
2.访问控制技术:访问控制主要通过操作系统来实现。除了保护计算机网络安全的硬件之外,网络操作系统是确保计算机网络安全的最基本部件。
3.虚拟专用网(VPN)技术:这是用于Internet交易的一种专用网络, 它可以在两个系统之间建立安全的信道,用于电子数据交换。
4.身份认证技术:为了保证电子商务安全因素的顺利实现,在电子商务中使用了基于公钥体系的安全系统。
5.网络隔离:路由器、虚拟局域网(VLAN)、防火墙是当前采用的主要的网络分段手段。根据功能、保密和安全要求的不同将网络进行分段隔离,细化安全控制体系,将攻击和入侵造成的威胁分别限制在较小的子网内,从而提高网络整体的安全水平。
6.Internet电子邮件的安全协议:(1)S/MIME:是在RFC 1521所描述的多功能Internet电子邮件扩充报文基础2008.02 技术研究与应用上添加数字签名和加密技术的一种协议,目的是在MIME上定义安全服务措施的实施方式;(2)PEM:是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。(3)PEM-MIME:是将PEM和MIME两者的特性进行了结合。
7.安全应用协议:(1)安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。(2)安全套接层协议(SSL):提供加密、认证服务和报文的完整性,以完成需要的安全交易操作。(3)安全交易技术协议(STT):STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在IE中采用这一技术。(4)安全电子交易协议(SET):它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等Internet主要的安全协议。
8.信息隐藏及入侵检测技术:信息隐藏是利用人类感觉器官对数字信号的感觉冗余,将秘密信息伪装隐藏在非机密信息之中,实现隐蔽通信或隐蔽标识。入侵检测技术是防火墙技术的合理补充,是对入侵行为的发觉。
三、结束语
电子商务是变更了企业的业务运作模式, 改变了企业竞争策略,提升了企业间业务合作伙伴关系, 是企业获得成功的关键。企业必须在构建电子商务环境、重构管理机制等方面适应电子商务的发展, 才能在电子商务中获得更大的效益。
参考文献
[1]刘叶飞 赵德安 单正娅:电子商务安全的探讨[J].中国安全科学学报, 2006,(02):25-30
[2]李晓霞 张培军 姬志刚:探讨电子商务安全问题及安全体系的建立[J].商场现代化,2006,(03)
[摘要] 安全问题是我国的电子商务发展中一个重要制约因素。电子商务的安全问题表现为信息安全、交易安全和财产安全三个方面。其来源有四个层面:硬件层面、软件层面、应用层面和环境层面。应采取多种措施应对安全挑战,促进我国电子商务的进一步发展。
[关键词] 电子商务安全表现来源对策
从上世纪90开始出现电子商务模式,我国的电子商务取得了快速的发展。相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐,电子商务的广度和深度空前扩展,已经深入国民经济和日常生活的各个方面。但是,也有一些制约电子商务发展的因素,安全问题就是其中之一。安全问题不仅造成巨大的经济损失,而且严重打击人们对电子商务的信心。
一、安全问题的表现
1.信息安全
信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等,以及由此带来的风险。具体的表现有:窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。
如果信息被非法窃取或泄露可能给有关企业和个人带来严重的后果和巨大的经济损失。如果不能及时得到准确、完备的信息,企业和个人就无法对交易进行正确的分析和判断,无法做出符合理性的决策。非法删除交易信息和交易信息丢失可能导致经济纠纷,给交易的一方或多方造成经济损失。
最常见的信息风险是信息的非法窃取和泄露,它往往引起连锁反应,形成后续风险,这也是目前企业和个人最担心的问题。信息风险的典型表现是网络欺诈,不仅使厂商和消费者在经济上蒙受重大损失,更重要的是可能会使人们对电子商务这种新的经济形式失去信心。
2.交易安全
交易安全是指电子商务交易过程中存在的各种不安全因素,包括交易的确认、产品和服务的提供、产品和服务的质量、价款的支付等方面的安全问题。
与传统的商务形式不同,电子商务具有自己的特点:市场松散化、主体虚拟化、交易网络化、货币电子化、结算瞬时化等。这使得电子商务的交易风险表现出新的特点,出现新的形式,并且被放大。
交易安全问题在现实中很多。例如:卖方利用信息优势,以次充好、以劣当优来虚假信息,欺骗购买者;卖方利用参与者身份的不确定性与市场进出的随意性,在提供服务方面不遵守承诺,收取费用却不提供服务或者少提供服务。当然也有相反的情况:买方利用卖方的诚实套取产品和服务,却以匿名、更名或退出市场等方式逃避执行契约合同。
3.财产安全
财产安全是指由于各种原因造成电子商务参与者面临的财产等经济利益风险。财产安全往往是电子商务安全问题的最终形式,也是信息安全问题和交易安全问题的后果。
财产安全问题主要表现为财产损失和其他经济损失。前者如:客户的银行资金被盗;交易者被冒名,其财产被窃取等。后者如:信息的泄露、丢失,使企业的信誉受损,经济遭受损失;遭受网络攻击或故障,企业电子商务系统效率下降甚至瘫痪等。
二、安全问题的来源
1.硬件层面
电子商务的基础是网络,而网络的物理支撑是各种硬件设施,这些硬件设施会由于各种原因带来安全风险。这里有设备故障,有人为因素,也有自然灾害。硬件安全问题虽然发生的概率不大,但是一旦发生,其影响巨大。例如,2006年12月26日,我国台湾附近海域发强烈地震,造成中美海缆等6条国际海底通信光缆发生中断,附近国家和地区的国际和地区性通信受到严重影响。中国大陆至台湾地区、美国、欧洲等方向的通信线路受此影响大量中断,互联网访问质量受到严重影响。许多跨国经营的企业总部、分公司之间的网络联系中断,使生产和经营受到严重影响。这次事故给有关企业和个人造成巨大影响和严重经济损失。
2.软件层面
网络不仅需要硬件,更需要软件,各种系统软件、应用软件是网络运行所必需,是电子商务的另一个支撑点。由于技术和人为的原因,各种软件不可避免的存在各种设计的缺陷和漏洞,而且由于软件的多样性和复杂性,在配备、使用中也会有各种问题,导致电子商务系统中存在技术误差和安全漏洞。比如,由于可能存在安全漏洞,在重要信息资料保管和安全支付方面,人们仍然担心资料丢失和账户被盗等。又比如,个别软件由于自身的缺陷,在特殊的情况下,可能造成系统运行故障甚至瘫痪。
3.应用层面
(1)企业管理水平低,人员素质不高
电子商务在近几年才得到了迅猛发展,各地都缺乏足够的技术人才来处理所遇到的各种问题,许多企业技术人员的技术水平较低,不能完全胜任所承担的工作。同时企业对电子商务的管理也处于一个摸索的阶段,管理的水平不高,效率底下。这些都给电子商务带来很大的安全隐患。其中包括交易流程管理风险、人员管理风险、网络交易技术管理的漏洞的交易风险、网络管理制度漏洞等。
(2)消费者电子商务知识贫乏,安全意识不高
从总体上,讲广大消费者对于电子商务这个新生事物还比较陌生,缺乏相应的知识,还不能十分熟练的应用这一新的交易手段,造成各种人为的安全威胁。例如:有的消费者安全意识淡薄,不注意保护自己的密码等关键信息,容易导致资金被盗、冒名交易等;有的消费者对信息判断能力差,容易上当受骗;有的消费者对网络交易的流程缺乏了解,容易导致操作失误等。
3.网络攻击、商业欺诈等违法犯罪行为
以获取机密信息或者破坏为目的的网络攻击是电子商务另外一个重要安全隐患。包括病毒攻击、木马程序,以及其他各种形式的网络攻击。根据国家计算机病毒应急处理中心的统计,去年我国发现的计算机病毒有80%以上是以窃取信息等经济利益为目的的。这些网络攻击行为可能导致企业和个人的信息被盗,资金被窃取,也可能导致企业电子商务系统效率下降甚至崩溃。
同时,因为网络交易的虚拟性所引起的交易欺诈行为有恶化的趋势。例如,在中国质量万里行促进会公布的2005年我国十大投诉热点中,网络欺诈已经成为继食品、汽车、家电、旅游之后的第五大投诉热点。这说明发生在我国网络市场中欺诈行为已经比较严重,它会影响网民对网络产品的信任感并进而影响中国电子商务市场的健康发展。
4.环境层面
(1)法律环境
法律是市场经济的重要外部环境。在电子商务中,法律不仅是打击网络犯罪的武器,更是各个主体商务活动的游戏规则。
电子商务是一种全新的商务活动,并由此衍生了一系列新的法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需相应的法律保障,为市场制定新的、适用的游戏规则,否则就会引起混乱。由于电子商务发展较快,我国有关的立法工作显得落后,出现许多法律空白,使许多电子商务纠纷的解决缺乏法律依据,这成为电子商务中一个重要安全隐患。
(2)诚信缺乏
诚信是市场经济的基础,是市场顺利运行的前提条件。电子商务由于其开放性、虚拟性,交易双方不直接见面,在身份的判别确认、违约责任的追究等方面都存有很大困难。因此,信用风险远较传统业务中发生的概率大。
我国目前的状况是缺乏诚信,社会信用体系不完善,这给在网上利用电子商务进行交易的传统企业和个人带来不可预料的风险。包括商业欺诈、商业诽谤、在线(信息)隐私问题、知识产权的保护问题、商业信用问题等。其典型表现有:网上产品的质量问题导致消费者无法购买到合意的商品;网上支付存在着风险;网络中的合同欺诈等。
三、应对措施
1.加强网络基础设施建设
在此方面,我国已经取得了一定进步,但总体情况仍不容乐观,地区之间发展不平衡。今后国家应继续加大网络建设投入力度,进一步鼓励企业加大对信息产业的投资,进一步增强电子商务发展的网络基础。要扩大国际出口带宽的建设,解决原有网络带宽及速度较低、网络运行质量差和电信资费高等问题,并缩小东西部、南北方的差距。要采取切实措施,构建一个值得信赖并能够保证信息的完整性和安全性的多层次的开放的网络体系,改善国内用户环境。
2.加强安全技术的研究和应用
目前,电子商务应用还刚刚开始,许多方面都还不够完善,安全技术及其应用还不能满足电子商务发展的需要。这就要求我们密切关注电子商务的动向,关注电子商务安全技术,加大投入力度,研究更加先进可靠、经济适用的安全技术。
同时,安全技术不是单一的技术,技术的综合应用是保证电子商务安全的一个重要方面,因此应当加大技术应用环节的投入。可以采取的应用措施有:使用容错计算机系统或创造高可用性的计算机环境,以确保信息系统保持可用及不间断动作;灾害复原计划提供一套程序与设备来重建被中断的计算与通信服务;加密是一种广泛使用的技术来确保因特网上传输的安全;数字证书可确认使用者的身份,提供了电子交易更进一步的保护;加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
3.提高从业人员的技术水平和整体素质,提升企业的管理水平
首先,要加强现有从业人员的培训,提高现有人员的技术水平,提高其安全意识,提高其应对安全问题的能力。其次,要加强电子商务人才的培养。应充分利用各种途径和手段培养大量素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,特别是掌握现代信息技术和现代商贸理论与实务的复合型人才。最后,要提高企业电子商务管理水平。安全问题不仅有技术的原因,管理落后也是一个重要方面,企业要建立适应电子商务发展的管理体系,培养合格的管理人才,提升整体管理水平。
4.加强法律法规建设
包括两个方面的内容:一是要完善原有的法律体系并进行必要的调整;二是为适应发展的需要制定新的法律法规。
要积极开展立法的各项准备工作,循序渐进、突出重点、先易后难,先单项后综合,在实践中摸索,在发展中完善,针对不同的法律问题,提出新的解决方案,制定相应的法律法规。不备具制定法律法规要求的,可以先制定“条例”、“细则”等规范性法律文件,逐步强化电子商务立法。
当前一项重要的任务是要抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题,应尽快制定出可以具体操作的《电子商务法》。
5.加强诚信建设
首先,建立健全社会信用制度及管理体系。要加快信用立法,完善经济活动实名制,健全个人财产申报制度,实行个人破产制度等,以形成对信用体系的强势约束力,确保个人信用制度的健康发展。
其次,建立完善的企业制度,培养优秀的企业文化。要以提高企业价值作为经营的根本,把自主性和自律性的道德标准作为企业的重要组成部分,进而建立以诚信为基础的企业文化。
关键词:电子商务;计算机网络;网络安全
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 06-0000-01
Computer Network Security Analysis and Countermeasures in E-commerce
Li Dong
(Hubei Vocational College of BIO-Technology,Wuhan430070,Chian)
Abstract:With the development of computer network,E-commerce faces some opportunities,but also faces some challenges,particularly in computer network security,to the development of electronic commerce posed a grave threat,which requires the enterprises measures to strengthen security technology and management.This paper analyzes the security of computer networks,electronic commerce issues,and proposed countermeasures.
Keywords:Electronic commerce;Computer network;Network security
计算机网络的出现及快速发展,为社会带来了巨大的贡献。然而,当前电子商务的发展仍存在一定的问题,尤其是随网络而来的安全问题,对电子商务的发展造成了严重的影响。因此,企业应逐渐消除其安全问题,加强网络安全管理,促进电子商务的持续发展。
一、电子商务中的计算机网络安全分析
(一)网络黑客的侵犯。网络黑客指的是在网络中利用个人所掌握的技术来非法地进入其他网站的行为人,一般说来,网络黑客都具有高超的网络技术,能够破解一些电子商务网站设置的技术防护。近年来,很多网络黑客破坏网站,篡改网站的内容信息,甚至盗取了企业、商户的账户密码及资金,严重影响了电子商务的正常运转。
(二)电子商务网站的管理不力。多数电子商务企业都没有树立较高的警惕性,缺乏对网络安全的有效管理。还有一些企业盲目地崇拜各种安全产品,它们认为安装入侵监测系统或者防火墙等安全产品,就足以确保网站的安全性,所以,缺乏有效的技术防范,从而使得外来入侵者有了机会。
(三)电子商务网络的安全问题。网络自身带有共享性和开放性的特点,它的设计原则为不要由于局部损坏使信息传输受到影响,这样一来,就形成了网站安全隐患。特别是一些电子商务企业,其技术不达标,而且网站安全管理手段相对落后,使网络安全增加了大量隐患。
(四)电子商务软件的漏洞。一些软件开发商由于缺乏成熟的技术,导致电子商务软件技中存在一定的安全漏洞,这样一来,就易于被外来的入侵者攻破防护,给电子商务企业带来了巨大的经济损失。还有一些企业购买并安装了相关病毒防护软件,然而,缺乏对软件及时更新及升级的重视,从而导致防护软件丧失了自身的防护功能。
(五)人为管理相对滞后。一些电子商务企业缺乏对企业安全管理的重视,也不注重安全技术上的投入,管理人员的管理与配备也不合理;也有一些企业的制度缺失,或者没有真正落实这些制度,或者管理不到位;还有一些企业的管理人员为了满足自身的利益,蓄意地利用网络来对外泄露企业的商务秘密。
二、强化电子商务中计算机网络安全的对策
(一)制定电子商务安全规划。电子商务贸易方式具有诸多的优点,如效率高和成本低等等,若能够完全排除其中的安全问题,那么,电子商务形式的发展优势一定的巨大的。所以,电子商务企业应该提高对计算机网络安全的重视程度,从企业发展总体战略的高度来看待安全问题。可聘请专业人士来制定企业安全防范的合理规划,同时,在监控机制、人员配备、技术防范、技术投入、安全管理以及人员管理等方面进行精心规划,并选择科学周密的安全防范方案。
(二)加大电子安全的技术投入及管理投入。企业要加大计算机网络安全的资金投入,以购置各种必要的技术防范设备以及防护软件,并注重这些软件的升级与更新,同时加大技术的改造与设备的更新和投入。此外,还应大力引进安全管理的专业人才,加强岗位培训,不断提升这些人才的技术水平,并适度地优化其待遇,以确保网络安全管理队伍的稳定性。
(三)强化安全技术管理。应该重视电子商务的网站建设、软件升级和系统维护,加强管理网站服务器,在日常工作中,做好安全备份。另外,还应制定安全防范预案,这样一来,如果出现了安全问题,才能尽快得以解决,从而防止出现经济损失。还应建立服务器恢复系统,从而一旦遭遇安全攻击,引发网站篡改等危害性事件之后,以确保能够在最短的时间使系统恢复正常状态,也使网站恢复正常的功能。企业还需注意的是,要采用权威的、知名的病毒防护软件,从而确保其可以正常升级、启动,以及有效发挥其防护功能。
(四)强化电子商务企业的自身管理。安全作为企业的生命线,必须引起企业的高度重视,企业应该教育员工在工作中从安全出发,具有较强的安全意识以及敏锐性,彻底消除安全工作中的侥幸心理。安全技术作为电子商务企业一个重要的防范屏障,其有效发挥作用离不开严密的管理,也就是说,只有建立有效、完善的安全防范管理系统,才能够保障企业的安全。
(五)提高对电子商务疫情信息的重视程度。各个企业应进行行业联合,进而组成企业联盟。特别是在电子商务的安全信息上,应做到互通有无,对于安全疫情与有关信息要及时通报。企业应注重网络安全领域中病毒的疫情预报,从而在每个时期都能有针对性地对其进行重点防范,此外,还应时刻关注本行业协会的安全通报,对已经出现的安全事件做到引以为戒,加强重点管理,一定要避免出现相同的安全事件。此外,还需注意的是在电子商务中,信誉度是企业维护客户市场的一个重要因素,所以,企业还要注重客源市场的稳定性,加强自身网络的安全。
三、结束语
综上所述,电子商务中的网络安全问题是不容忽视的,相关企业必须提高重视程度、加强制度建设,并强化落实安全管理。有效运用计算机网络,并消除其中存在的各种弊端,推动计算机网络技术的进步,促进电子商务的发展。
参考文献:
[1]孙敬武,李雅静,刘波,张翠.身份认证方式的选择与电子商务安全需求分析[J].河北省科学院学报,2009,3
[2]黄学翔,童军,乐群.Internet上的数据安全传输和身份鉴别[J].电脑知识与技术(学术交流),2007,1
[3]万绪江,班显秀,刘小东,万朔.网络安全的防御方法和可行性研究[J].电脑编程技巧与维护,2010,8
购物车(0)