电子商务安全问题
2014-04-26马中亚
马中亚
【摘 要】随着互联网的全面普及,基于互联网的电子商务也应运而生,并在近年来获得了巨大的发展,成为一种全新的商务模式,被许多经济专家认为是新的经济增长点。同时,这种电子商务模式对管理水平、信息传递技术都提出了更高的要求,其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。
【关键词】电子商务安全技术安全协议
文章编号:ISSN1006—656X(2013)12-0007-01
电子商务的发展已将全球的企业都推进到一场真的商业革命大潮中,安全问题是关键。电子商务系统是在开放的Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。
一、电子商务的安全问题
(一)计算机安全问题
计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具有很重要的影响,如何保证计算机的安全也就成为电子商务安全中需要重点关注的问题。我们通常把计算机安全分成3类:保密、完整和即需。保密是指防止未经授权的数据暴露并确保数据源的可靠性;完整是防止未经授权的数据修改;即需是防止延迟或拒绝服务。计算机安全中最知名的领域是保密,新闻媒体上每个月都会有非法进入政府计算机或用偷来的信用卡号订购商品的报道。相对来说完整所受的安全威胁较少,因此大众对这个领域比较陌生。如果一封电子邮件的内容被篡改成完全相反的意思,这就是对完整性的破坏。对即需性破坏的案例很多,而且频繁发生。延迟一个消息或消除它有时会带来灾难性的后果。
(二)网络安全问题
网络安全所遭受到的攻击可以分为以下4类:
(1)中断。指系统的部分组件遭到破坏或使其不能发挥作用,如切断系统主机对外的网络连线使其无法使用,这是对系统的可用性做的攻击。(2)介入。指未经授权者授权取得系统的资源,其中的未经授权者可以是一台计算机、一个人,或是一组程序,如利用软件窃取网络上传送的机密数据,就是对数据机密性的攻击。(3)篡改。指系统资源被未经授权的人所取得,乃至篡改内容,如在网络上传送的订单遭到任意改变,是对数据的正确性的攻击。(4)假造。指未经授权者将假造数据放入系统中,这是对数据的真实性的攻击,如在网络上假造身份证明文件以假冒他人。
(三)网络安全的隐患主要表现在以下4个方面:
(1)开放性。开放性和资源共享是Internet最大的特点,也是其优点,但它的问题却不容忽视。(2)传输协议。Internet采用TCP/IP传输协议,这种协议本身并没有采取任何措施来保护传输内容不被窃取。TCP/IP协议是一种包交换网络,各个数据包在网络上都是透明传输的,可能经过不同的网络,并由那些网络上的路由器转发,才能到达目的计算机。而TCP/IP协议本身没有考虑安全传输,很多应用程序,如Telnet、FTP等,甚至使用明文来传输非常敏感的口令数据。(3)操作系统。Internet底层的操作系统是UNIX,UNIX的诞生并不是出于商业目的,所以其源代码是公开的,这样就很容易发现漏洞,给Internet用户带来安全问题。(4)信息电子化。与传统的书面信函相比,电子化信息的固有弱点就是缺乏可信度,因为电子信息是否正确完整是很难由信息本身来鉴别的,另外电子信息还存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。
二、电子商务的安全防范策略
(一)完善各项管理制度
安全管理制度是用文字形式对各项安全要求所做的规定,企业在参与电子商务初期,就应当形成一套完整的、适应于网络环境的安全管理制度,这些制度应当包括以下几个方面的内容。
(1)人员管理制度。保障计算机系统的安全,首先要从体制和管理上下功夫,要建立完善的安全管理的体制和制度,建立一套行之有效的安全管理措施和手段。(2)保密制度。建立完善的保密体系,提出相应的保密措施,加强对密钥的管理。(3)跟踪审计制度。跟踪是指企业建立网络交易系统日志机制,记录系统运行的全过程,审计包括对系统日志的检查、审核,以便及时发现故意入侵系统行为的记录和违反系统安全要求的记录等。
(4)系统维护制度。包括软硬件的日常维护工作,做好数据备份工作。
(5)病毒防范制度。要有较强的病毒防范意识,要安装防病毒软件,注意不打开来自陌生地址的电子邮件,建立病毒清理制度等。
(6)应急措施。在紧急事故发生时,利用各项应急措施来保障计算机信息系统继续运行或紧急恢复,如采用瞬时复制技术、远程磁盘镜像技术和数据库恢复技术等。
(二)技术对策
(1)网络安全检测设备,如可以通过网络安全监控系统找出安全隐患,提供堵住安全漏洞所必须的校正方案,监控各种变化情况,从而使用户可以找出经常发生问题的根源所在。
(2)开发各种具有较高安全性的访问设备,如安全磁盘、智能卡等。
(3)通过认证中心进行证书的认证和发放。
(4)保护传输线路安全,传输线路应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少由于电磁干扰引起的数据错误。
(5)要有较强的防入侵措施,利用报警系统检测违反安全规程的行为,对在规定次数内不正确的安全密码用户,网络系统可以采取行动锁住该终端并报警。(6)加强数据加密的工作,网络中的数据加密方式有链路加密、节点加密和端对端加密等方式。
(7)进行严格的访问控制,当一个主体试图非法使用一个未经授权的资源时,访问控制机制将拒绝这一企图。
(8)建立合理的鉴别机制,包括报文鉴别、数字签名和终端识别技术,以便查明某一个实体的身份。
(9)进行通信流的控制,使网络中的数据流量比较平衡,以防止破坏者通过分析网络中的某一路径的信息流量和流向来判断某事件的发生。
(10)数据完整性的控制,包括数据是否来自正确的发送方而非假冒,数据接收的内容与发送时是否一致等。
(三)相应法律法规
电子商务要健康有序地发展,就像传统商务一样,也必须有相应的法律法规作后盾。商务过程中不可避免地会产生一些矛盾,电子商务也一样。在电子商务中,合同的意义和作用没有发生改变,但其形式却发生了极大的变化。
(1)订立合同的双方或多方是互不见面的。所有的买方和卖方在虚拟市场上运作,其信用依靠密码的辨认或认证机构的认证。(2)传统合同的口头形式在贸易上常常表现为店堂交易,并将商家所开具的发票作为合同的依据。而在电子商务中标的额较小、关系简单的交易没有具体的合同形式,表现为直接通过网络订购、付款,例如利用网络直接购买软件。(3)表示合同生效的传统签字盖章方式被数字签名所代替。
电子商务合同形式的变化,对于世界各国都带来了一系列法律新问题。电子商务作为一种新的贸易形式,与现存的合同法发生矛盾是非常容易理解的事情。但对于法律法规来说,就有一个怎样修改并发展现存合同法,以适应新的贸易形式的问题。
参考文献:
[1](美)埃弗雷姆.特白思戴维.金,杰李等著王理平张晓峰译:电子商务管理新视角(第2版)[M].电子工业出版社,2005年9月
[2]杨坚争著:电子商务基础与应用(第五版)[M].西安电子科技大学出版社,2007年7月