浅谈电子商务安全问题
2012-08-15秦皇岛职业技术学院王福全
秦皇岛职业技术学院 王福全
电子商务是基于浏览器/服务器应用方式,在Internet环境下,在全球各地广泛的商业贸易活动中,买卖双方不谋面地进行各种商贸活动,从而实现消费者的网上购物、商户之间的网上交易、在线电子支付以及各种交易活动、商务活动、金融活动以及相关的综合服务活动的一种新型商业运营模式。它是个人、企业、政府利用计算机和网络技术,实现商贸交换和行政管理的一个过程。电子商务活动中,以交易双方为主体、以银行电子支付、以银行电子结算为手段的商务模式。个人、企业以及相关的中介结构,都是电子商务的参与者。
电子商务是运行在计算机网络系统之上的商务系统,所以,我们既不能把电子商务系统看作是一个单纯的商务系统,也不能把电子商务系统看作是一个简单的计算机网络系统。由此,我们就不得不关注电子商务系统的安全性了。电子商务系统的安全性主要体现在:计算机的网络安全性和交易的安全性两个方面。随着Internet的发展越来越多的人通过Internet进行商务活动,电子商务已逐渐成为人们进行商务活动的新的模式。因为电子商务的便利性,那么,电子商务的前景也就十分诱人。但是,因为网上电子交易活动的安全性,令许多消费者或商户对是否采用电子商务仍持观望态度。因为,在商贸市场环境下,电子商务的一些信息仍属商业机密,如果信息失窃,对于当事人的损失将不可估量。因此,电子商务的安全问题也就成为电子商务得以顺利发展的保障,电子商务的安全问题也就成为电子商务最核心的问题。
1 电子商务所面临的安全威胁
Internet之所以能够快速普及的一个非常重要的原因就是它的开放性,但是开放性也使得基于它的电子商务活动的安全性受到了严重的威胁。因为电子商务所涉及的大部分商务活动都需要通过计算机网络来传输、存储和处理,如网上洽谈信息、合同签订、订货信息、支付信息、配送信息、客户信息及机密的商务往来信件等。
电子商务交易面临的安全威胁主要归纳为以下几个方面:
(1)假冒。在电子商务的交易中,假冒主要有两种方式,一是冒充交易的参与者,二是伪造交易信息。电子商务的交易形式与传统商务的交易形式不同,是在网络环境下进行,而不是面对面的。如果这些交易信息被非法用户或入侵者获取,那么他们就有可能冒充合法的交易参与者,或者是伪造交易信息进行欺骗,使交易的参与者蒙受损失。
(2)交易抵赖。交易抵赖是电子商务安全的主要威胁之一。在电子商务活动中,交易抵赖有多种形式,主要表现为诈的发送者否认曾经收到过的信息行为等,即交易的参与者否认曾经的交易行为。如果在合同中规定,买方在收到货物后立即付款,但是买方收到货物后矢口否认收到过该货物。或者是卖方收到货款后拒绝承认收到过该款项。或者是一方由于市场价格或其他原因不承认原先签订的合同等。
(3)篡改信息。电子商务的交易信息在网络的传输过程中,可能会受到非法用户或入侵者篡改威胁,使得交易信息的完整性受到破坏。篡改的方式主要有插入、删除或修改等。如在交易的信息中插入一些非法信息,迷惑接收方,或者是删除或是修改一些信息和条款,误导接收方,使接收方蒙受经济损失。
(4)信息泄露。在任何的商务活动中,交易信息的保密性都是至关重要的,它关系到交易的安全,甚至是交易的成败。如客户的信用卡账号和密码、供应商的报价、折扣和数量等信息。如果这些信息在传输的过程中没有被加密或者是加密的强度不够,让非法用户或竞争对手所掌握,那么就可能会给商务活动的参与者造成重大损失。因为电子商务是网络环境下进行的,非法用户或竞争对手有可能通过各种技术手段盗取或截获交易信息,从而导致被信息泄露。
以上这些问题,已经成为阻碍电子商务进一步发展的关键问题。因此,发展电子商务当前必须考虑的是:如何构建一个安全电子商务交易系统。但是,因为电子商务参与者的复杂性,其不仅仅涉及到买、卖双方,还涉及到:认证机构、政府机构、银行金融机构、物流配送机构等,因此它的安全性需求也更加的复杂化。安全的电子商务应该保证做到:保密性、有效性、完整性、认证不可抵赖性、可审计性。只有满足了这些安全机制的电子商务才能称为安全电子商务。为实现上述目标,电子商务系统必须能保障提供足够高的安全性、有效性,而解决这些的关健,主要凭助的是安全技术和安全设施。
2 电子商务安全的技术体系
2.1 安全协议
电子商务系统是基于计算机网络的应用系统,网络及电子商务的安全技术和措施可以在网络体系结构中的任何一层进行实施,但是所有的安全技术和措施的实现都要遵守相应的安全协议,包括安全传输协议、安全认证协议、安全保密协议及安全管理协议等。
目前,国际上流行的电子商务所采用的协议主要包括:
(1)安全超文本传输协议SHTTP(Securde Hypertext Transfer Protocol)。
(2)安全多功能Internet电子邮件扩充协议S/MIME(Secured Multipurpose Internet Mail Extension)。
(3)电子支付协议。目前其作为电子商务中最重要的内容,现实中已出现了很多的电子支付协议。例如: 安全套接层协议SSL(Secure socket Layer)、安全电子交易协议SET(Secure Electronic Transaction),这是最著名的协议,常见的还有:基于现金的支付协议、基于卡的支付协议、基于支票的支付协议等等。
2.2 公钥基础设施PKI技术
公钥基础设施PKI(Public key infrastructure,简称PKI)为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。PKI采用证书管理公钥,通过CA把用户的公钥及其它标识信息捆绑在一起,在Internet上验证用户的身份,保证网上数据的保密性和完整性。
2.3 网络安全技术
网络安全是电子商务的基础。为保证电子商务交易顺利、稳定、可靠,就必须保障服务的不中断性。系统的任何中断,如病毒、网络硬件故障、软件错误等,都可能导致电子商务系统运作的异常,从而使贸易数据在确定的时刻和地点的有效性得不到保证,其中任一个异常行为,都会造成不可估量的经济损失。
2.4 密码技术
密码技术是保证电子商务安全的重要手段。是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。
(1)加密技术。加密技术是保证电子商务安全的重要手段。所谓加密,即一种使用数学方法重新组织数据后,除了合法的接收者,任何其他人若想恢复原始的”报文”是相当因难的。
(2)密钥管理技术。包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。密钥管理不仅影响系统的安全性,而且涉及到系统的可靠性、有效性和经济性。
(3)数字签名。是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。它能够实现对原始报文的鉴别与验证,保证报文的完整性和权威性以及发送者对所发送报文的不可抵赖性。可以避免篡改、冒充、伪造、抵赖等问题。
3 结语
安全的电子商务,是个非常复杂的问题,不仅需要安全网络的保障,也需要商务交易安全上的保障,更需要管理制度以及法律制度上的不断完善。也就是说,只有多方的共同努力,才能建立科学的电子商务安全机制,才能保证电子商务有序地、健康地发展。
[1]张炯明.安全电子商务实用技术[M].清华大学出版社.
[2]周华祥.网络及电子商务安全[M].中国电力出版社.
[3]杨晓燕.信息安全导论[M].机械工业出版社.
[4]陈广山.网络与信息安全技术[M].机械工业出版社.