电子商务安全问题及应对策略
摘要:电子商务从根本上改变了整个社会商务活动的发展进程,而信息安全的保障是电子商务实施的前提。电子商务发展的核心和关键问题是交易的安全性。本文客观本文就电子商务交易中存在的安全问题和安全控制的要求,从技术、法律、道德规范和管理方面提出应对策略。
关键词:电子商务 安全 应对策略
随着互联网的全面普及以及信息技术的迅猛发展,越来越多的人通过互联网进行商务活动,电子商务也因此应运而生。电子商务作为一种全新的商业模式,以其低廉的交易成本、简化的交易流程和巨大的盈利空间,引起了全球的关注。然而,互联网作为电子商务的交易平台,其开放性、全球性无缝连通性又给电子商务造成了很大的安全隐患。解决电子商务的安全问题已经成为发展电子商务的核心问题。
一、 电子商务的安全现状分析
电子商务交易的核心问题是安全问题,主要表现在系统安全和信息安全两方面。系统安全问题主要表现在系统被入侵、被破坏、被各种病毒感染等,导致系统拒绝服务或中断,破坏系统的有效性,其中最让人防不胜防的是黑客攻击,世界上不少大公司深受其害。信息安全问题主要表现为窃听信息、信息被篡改与丢失、否认、 伪造、 信息不对称等,其中最为常见的是窃取信息。据调查,担心信用卡号被窃取已经成为影响人们通过网络进行交易中存在的最大问题。电子商务交易中的信息安全漏洞难以堵塞:一方面是由于缺乏统一的信息安全标准、密码算法,协议在安全与效率之间难以两全;另一方面,则是由于大多数管理者对网络安全不甚了解。在我国电子商务的发展过程中,各产业已逐步高度依赖
网络,一旦计算机网络受到攻击而导致电子商务系统不能正常运作,将会对我国的经济建设造成不可估量的损失。
二、 电子商务面临的安全威胁
1. 计算机网络安全方面
(1)安全协议问题。目前,安全协议还没有国际性的标准和规范,在安全管理方面还存在着很大的安全隐患。
(2)系统中断或瘫痪。网络物理设备故障、软件设计不合理、硬件故障、操作失误、应用程序错误以及计算机病毒都可能导致系统中断或瘫痪,从而造成很大的安全隐患。
(3)服务器的安全问题。电子商务服务器是电子商务系统的核心,安装了大量与电子商务有关的软件和商家的信息并且在服务器的数据库中储存着一些敏感数据。服务器一旦受到侵入,重要的机密信息将会被窃取,威胁到整个电子商务系统的安全。
2.商务安全交易方面
(1) 信息在传输的过程中被截获。信息在传输的过程中,攻击者可以对通过互联网、公用电话网络或在电磁波辐射范围内安装截收装置,对无加密措施或者加密强度不够大的信息进行窃听,造成信息泄露。
(2)信息在传输的过程中被篡改。攻击者在截获传输中的信息之后,可以通过各种技术手段将信息篡改,然后再发给目的地址。最终,信息的接收者收到的是失真的信息,极可能造成很大的商业失误。
(3) 信息在传输的过程中被破坏。信息在传输的过程中,极易受到病毒侵入、黑客攻击、恶意程序的破坏以及物理性的干扰,使信息遭到破坏,影响数据的完整性和真实性。
(4)冒充合法用户进行操作。由于电子商务是在虚拟的网络平台上,双方买卖而不谋面。因此,攻击者可以通过一定手段,冒充合法用户发送假冒的信息或者主动接收信息,终端客户难以辨别真伪,很有可能信以为真。
(5)对交易信息进行抵赖。交易者为推卸自己的责任,对交易信息进行修改,否认交易行为,损害了对方的利益,造成了交易者对电子商务安全的不信任。
3.其他方面的威胁
电子商务安全在管理方面和法律方面还存在着很大的安全隐患。如操作人员操作失误可能导致重大的安全事故;电子商务方面的法律还不够健全,不法分子极有可能钻法律空子,造成安全隐患。
三、 电子商务安全问题的应对策略
你引起电子商务安全问题的因素很多,解决安全问题应从多方面来考虑。在此主要讨论技术、法律、道德规范和管理等方面的应对策略。
1.安全电子交易技术
(1)防火墙技术。 防火墙是指在内部网与外部网之间实施安全防范的系统,由软件和硬件设备组合而成,位于企业或网络群体计算机与外界之间, 具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限, 防火墙能防范来自Internet对企业外部
的攻击,但对后院(企业内部)起“ 火” ,却无能为力。企业内部的安全需要采用其他的安全技术。
(2)信息加密技术。信息加密技术是最基本的网络安全技术,主要用于保证数据在存储和传输过程中的保密性。该技术采用数学方法对原始信息进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为不可理解的字符。而对于合法的接受者,可以利用其掌握的密钥,通过解密过程得到原始数据, 从而达到保护信息的目的。目前,加密技术按密钥的形式可分为两类:对称加密体制和非对称加密体制。
在对称加密体制中,加密所使用的密钥和解密所使用的密钥相同, 或者虽不相同,但可以从其中一个密钥推导出另一个,即发送方和接收方使用同样密钥。 使用对称密钥体制不必交换加密算法, 只需交换加密密钥, 因而简化了加密过程,加解密速度快,但存在密钥的分配、 保存和管理的问题。目前广泛应用的对称加密算法是DES算法。
在非对称加密体制中,对信息加密和解密所使用的密钥是不同的。并且从其中一个密钥无法推导出另一个密钥。非对称加密体制解决了对称加密体制存在的密钥分配、保存和管理的问题,但加密算法复杂,加解密速度慢。非对称加密体制最早的代表算法是RSA算法。
(3)数字签名技术。对文件进行加密只解决了传送信息的保密问题,而防止他人对传输的文件进行破坏,以及如何确定发送方的身份还需要采取数字签名技术。数字签名的主要方式是:报文的发送方从报文文本中生成一个128bit的散列值(或报文摘要),接着再用自己的私钥对这个散列值进行加密来形成发送方的数字签名。然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128bit 的散列值 ( 或报文摘要),接着再用发送方的公钥来对报文附加的数字签
名进行解密。如二者一致,那么接收方就能确认数字签名是来自发送方的。从以上过程可以看出数字签名能确认两点:一是信息是由签名者发送的;二是信息自签发到接收为止未曾作过任何修改,从而可以解决否认、伪造、篡改及冒名等问题。
(4)数字摘要。 数字摘要也称安全Hash编码法(SHA)。该编码法采用单向Hash 函数将需加密的明文“摘要” 成一串128bit 的密文,这一串密文也称为数字指纹,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。因此,数字摘要可以解决电子商务交易中信息的完整性问题。
(5)数字信封。数字信封采用双重加密技术来保证只有规定的接收方才能阅读到信中的内容,从而有效地提高信息的保密性。它先采用对称加密技术对信息加密,然后将对称加密密钥用接收方的公钥进行加密,并将这二者地起发送给接收方。接收方先用相应的私钥解密。
2. 电子商务的法律规范
市场经济是法治经济,要保证电子商务交易安全有效地进行, 仅仅依靠安全技术来解决是远远不够的,还必须建立和完善电子商务交易的法律法规体系,以规范飞速发展的电子商务现实中存在的各类问题,如电子合同的法律效力、个人隐私权的保护、资金安全、税收等问题,同时对破坏电子商务合法交易的行为进行立法严惩。与国外相比,我国电子商务方面的法律法规很不健全,存在很多盲点。
3.电子商务的道德规范
我国电子商务发展一直存在“ 信用”瓶颈,从事电子商务的群体仅占互联网用户很小
的比例,如消费者兴致勃勃地在网上挑选了价廉物美的商品,却在 “ 支付关”卡住了。为解决这个问题,阿里巴巴公司采用了网络交易支付工具“ 支付宝” ,而在诚信管理体制较健全的发达国家,在网上购物就比较安全,正因如此,发达国家的电子商务能稳步飞速发展。
4. 电子商务的安全管理策略
(1)树立风险意识。安全管理是电子商务安全的保证,电子商务主体应该充分意识到脆弱的安全保障背后的风险,并且风险一旦转化为现实, 损失是难以估计的。根据木桶原理,电子交易安全性取决于其最薄弱处。 电子商务交易中的安全漏洞(指防范措施中的薄弱环节)层出不穷,令人防不胜防,只要有某一个方面存在安全漏洞,就很有可能导致整个安全防范措施全功尽弃。 因此对于电子交易安全措施的保障,必须全方位进行。
(2)加强基础设施的安全管理。电子商务交易的安全性以Internet的整体安全性为保证,必须重视基础设施的安全管理,如设备的物理安全、电磁泄露等问题。对电子商务安全交易系统要经常进行检测,对发现的安全隐患,制定出相应的补救措施,将交易风险控制在最低限度内。
(3)对相关人员的管理。 据网络安全调查发现,内部人员实施的破坏比外部人员实施的破坏更频繁。安全基础设施做得再好,如果人为地泄露有关安全信息,安全设施则形同虚设。为此,首先必须重视对电子商务活动的相关人员安全技术教育和培训、整个系统管理权限的分配和监督、 道德和业务水平的培养, 以提高相关人员敬业爱岗精神。其次,坚持以人为本的原则,电子商务交易安全措施的实施要靠掌握高科技、现代商务知识和现代管理科学的人才来实现。
参考文献:
[1]张卓其等编:网上支付与网上金融服务[M] .大连:东北财经大学出版社,2002.
[2] 吴志华编:电子商务[M].成都:西南财经大学出版社,2001.
[3] 左英,殷建平.电子商务平台的安全体系研究[J].计算机安全,2008,(2).
[4] 阎冰洁.电子商务安全解决方案[J].网络通讯与安全,2007.
[5] 王俊杰.电子商务安全问题及其应对策略[J].特区经济,2007,(7).
[6] 肖德琴.电子商务安全保密技术与应用[M]. 华南理工大学出版社,2006,9
因篇幅问题不能全部显示,请点此查看更多更全内容