對電子商務(wù)系統(tǒng)安全問題的探討

1、對電子商務(wù)系統(tǒng)安全問題的探討電子商務(wù)作為一種全新的商務(wù)模式對管理水平,信息傳遞技術(shù)都提出了更高的要求.根據(jù)聯(lián)合國經(jīng)合組織的定義,電子商務(wù)是發(fā)生在開放網(wǎng)絡(luò)上的包括企業(yè)之間,企業(yè)和消費者之間的商業(yè)交易,其支付,訂貨,談判等信息和機密的商務(wù)往來文件等大量商務(wù)信息在計算機系統(tǒng)中存放,傳輸和處理.隨著internet的擴張和電子商務(wù)的迅猛發(fā)展,電子商務(wù)系統(tǒng)的安全性已受到來自計算機病毒,網(wǎng)絡(luò)黑客,計算機系統(tǒng)自身脆弱性等方面的嚴峻挑戰(zhàn).如何建立一個安全,便捷的電于商務(wù)應(yīng)用環(huán)境,對交易提供足夠的保護,已經(jīng)成為商家和用戶都十分關(guān)注的話題.因此,對電子商務(wù)系統(tǒng)的安全控制是電子商務(wù)發(fā)展的核心和關(guān)鍵問題.本文將圍繞電

2、子商務(wù)系統(tǒng)安全問題進行系統(tǒng)探討.一,電子商務(wù)系統(tǒng)安全的定義目前針對電子商務(wù)系統(tǒng)安全問題的討論雖然很多,但是卻沒有關(guān)于電子商務(wù)系統(tǒng)安全的較為明確的定義.為便于討論,筆者首先在電子商務(wù)系統(tǒng)安全的定義上談?wù)勛约旱挠^點.根據(jù)國際標準化組織對安全的定義,安全就是最大程度地減少數(shù)據(jù)和資源被攻擊的可能性.電子商務(wù)系統(tǒng)的安全是與計算機安全尤其是計算機網(wǎng)絡(luò)安全密切相關(guān)的,對電子商務(wù)系統(tǒng)安全問題的探討,應(yīng)從對其涵義的全面理解開始.綜合各種文獻以及筆者的研究,我們認為,電子商務(wù)系統(tǒng)安全主要包含以下5個方面的內(nèi)容:1.系統(tǒng)設(shè)備安全設(shè)備安全是指保護計算機主機硬件和物理線路的安全,保證其自身的可靠性和為系統(tǒng)提供基本安全前

3、提.在系統(tǒng)設(shè)計和施工中,必須優(yōu)先考慮保護人和網(wǎng)絡(luò)設(shè)備不受電,火災(zāi)和雷擊的侵害,并努力防止和減少人為操作失誤或錯誤以及設(shè)備被盜,被毀,電磁干擾,線路截獲等侵害機會,同時還要考慮可靠的系統(tǒng)和數(shù)據(jù)的恢復機制.2.網(wǎng)絡(luò)結(jié)構(gòu)安全電子商務(wù)系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的不同設(shè)計決定了網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)安全.系統(tǒng)設(shè)計時有必要將公開服務(wù)器對電子商務(wù)系統(tǒng)始問題的探討文/李新瑞王梁雨生(web,dns,email等)和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離,避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄;同時還要對外網(wǎng)的服務(wù)請求加以過濾,只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機,其它的請求服務(wù)在到達主機之前就應(yīng)該遭到拒絕,從而保障系統(tǒng)安全.3.系統(tǒng)平臺安全系統(tǒng)平臺

4、安全是指整個操作系統(tǒng)和硬件平臺防止意外和抵抗侵害的能力.用戶不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺,并對操作系統(tǒng)進行安全配置,必須加強登錄過程的認證和操作權(quán)限的限制.4.系統(tǒng)管理安全電子商務(wù)管理安全是網(wǎng)絡(luò)中安全最重要的部分,是指從管理制度的設(shè)計和執(zhí)行,有效保護電子商務(wù)系統(tǒng)的資源和信息不受侵害.比如,為了提高對系統(tǒng)的可控性與可審查性,當系統(tǒng)受到攻擊或其它安全威脅時,系統(tǒng)應(yīng)進行實時的檢測,監(jiān)控,報告與預警;當事故發(fā)生后,應(yīng)能夠提供攻擊行為的追蹤線索及破案依據(jù).為此,電子商務(wù)系統(tǒng)必須通過管理制度,落實對系統(tǒng)中訪問活動的多層次記錄,以及時發(fā)現(xiàn)非法入侵行為.如果電子商務(wù)系統(tǒng)中責權(quán)不明,安全管理制度不健

5、全或者制度缺乏可操作性,都可能引起系統(tǒng)安全管理方面的問題.5.商務(wù)交易安全商務(wù)交易安全是指商務(wù)活動在公開網(wǎng)絡(luò)上進行時的安全,其實質(zhì)是在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上,保障商務(wù)過程順利進行,核心內(nèi)容是電子商務(wù)信息的安全.這就涉及到防止和抵御機密信息泄露,未經(jīng)授權(quán)的訪問,破壞信息完整性,假冒,破壞系統(tǒng)的可用性等內(nèi)容.綜上所述,電子商務(wù)系統(tǒng)安全包括系統(tǒng)設(shè)備,網(wǎng)絡(luò)結(jié)構(gòu),系統(tǒng)平臺,系統(tǒng)管理,商務(wù)交易等5個方面的安全,其中前4個方面正是計算機網(wǎng)絡(luò)安全的內(nèi)容,因此,我們也可以把電子商務(wù)系統(tǒng)安全概括為計算機網(wǎng)絡(luò)安全和商務(wù)交易安全兩個方面.計算機網(wǎng)絡(luò)安全與商務(wù)交易安全實際上是密不可分的,兩者相輔相成,缺一不可.沒有計算

6、機網(wǎng)絡(luò)安全作為基礎(chǔ),商務(wù)交易安全就猶如空中樓閣,無從談起.沒有商務(wù)交易安全保障,即使計算機網(wǎng)絡(luò)本身再安全,仍然無法達到電子商務(wù)所特有的安全要求.從本質(zhì)上看,商務(wù)交易安全是在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上,保障商務(wù)過程順利進行,核心內(nèi)容是電子商務(wù)信息的安全.因此,一般情況下,我們可以把電子商務(wù)系統(tǒng)安全歸結(jié)為電子商務(wù)信息的安全.在以上分析的基礎(chǔ)上,我們給出電子商務(wù)安全的定義:電子商務(wù)系統(tǒng)安全是指在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上最大程度地減少商務(wù)數(shù)據(jù)和資源被攻擊,保障商務(wù)過程順利進行的可能性,其實質(zhì)是電子商務(wù)信息的保護.二,電子商務(wù)系統(tǒng)安全要素人們普遍認同的電子商務(wù)系統(tǒng)安全要素,其實質(zhì)上也是對電子商務(wù)信息安全的界定

7、.商務(wù)活動本身的利益性決定了電子商務(wù)信息安全的內(nèi)容,人們普遍要求電子商務(wù)系統(tǒng)應(yīng)該保證電子商務(wù)信息的有效性,機密性,完整性和可靠性.1.有效性電子商務(wù)作為貿(mào)易的一種形式,其貿(mào)易信息以電子形式取代了紙張形式,信息的有效性將直接關(guān)系到個人,企業(yè)或國家的經(jīng)濟利益和聲譽,那么如何保證這種電子形式的貿(mào)易信息得到有效傳遞和保存則是開展電子商務(wù)的前提.因此,要對網(wǎng)絡(luò)故障,操作錯誤,應(yīng)用程序錯誤,硬件故障系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防,以保證貿(mào)易數(shù)據(jù)在確定的時刻,確定的地點是有效的.2.機密性集團經(jīng)濟研究2007-6月e旬刊(總第232期)商務(wù)信息直接代表著個人,企業(yè)或國家的商業(yè)機密.傳

8、統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的.電子商務(wù)是建立在個較為開放的網(wǎng)絡(luò)環(huán)境上的(尤其in-ternet是更為開放的網(wǎng)絡(luò)),維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障.因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取.3.完整性數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿(mào)易各方信息的差異.此外,數(shù)據(jù)傳輸過程中信息的丟失,信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同.因此,電子商務(wù)在簡化貿(mào)易過程和減少人為的干預的同時也帶來維護貿(mào)易各方商業(yè)信息的完整,統(tǒng)一的問題.貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的

9、完整性是電子商務(wù)應(yīng)用的基礎(chǔ).為此,要預防對信息的隨意生成,修改和刪除,同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復并保證信息傳送次序的統(tǒng)一.4.可靠性在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同,契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同,契約,單據(jù)的可靠性并預防抵賴行為的發(fā)生.這也就是人們常說的白紙黑字.在無紙化的電子商務(wù)方式下,通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的.因此,要在交易信息的傳輸過程中為參與交易的個人,企業(yè)或國家提供可靠的標識,來確保要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易方.商情千變?nèi)f化的現(xiàn)實,要求交易一旦達成就不能被否認,交易的文件也不可被修改,否

10、則必然會損害一方的利益.因此,電子交易通信過程的各個環(huán)節(jié)都必須是不可否認的,電子交易文件也要能做到不可修改,以保障商務(wù)交易的嚴肅和公正.所以,電子商務(wù)信息的可靠性,包括對交易雙方身份的確定,交易信息的不可抵賴和不可修改.三.影響電子商務(wù)系統(tǒng)安全的風集團經(jīng)濟研究2007?6月旬刊(總第232期)險因素影響電子商務(wù)系統(tǒng)安全的風險因素可以歸納為以下6點:1.信息傳輸風險電子商務(wù)信息的傳遞在網(wǎng)上要經(jīng)過多個環(huán)節(jié)和渠道.由于計算機技術(shù)發(fā)展迅速,原有的病毒防范技術(shù),加密技術(shù),防火墻技術(shù)等始終存在著被新技術(shù)攻擊的可能性.計算機病毒的侵襲,黑客非法侵入,線路竊聽等很容易使重要數(shù)據(jù)在傳遞過程中泄露,威脅電子商務(wù)交

11、易的安全.此外,各種外界的物理性干擾,如通信線路質(zhì)量較差,地理位置復雜,自然災(zāi)害等,都可能影.響到數(shù)據(jù)的真實性和完整性.信息傳輸風險在現(xiàn)實中表現(xiàn)為信息丟失,信息被篡改,被破壞,被竊取等多種形式.2.交易信用風險傳統(tǒng)交易時,交易雙方可以直接面對面地進行交易,信用風險比較容易控制.網(wǎng)上交易時,由于交易雙方采用電子方式進行談判,結(jié)帳,物流與資金流在空間上和時間上是分離的,信用的風險就很難控制,對網(wǎng)絡(luò)交易的安全構(gòu)成巨大的威脅.從現(xiàn)實情況看,網(wǎng)絡(luò)交易過程中,買賣雙方都存在著不履行合同的交易信用風險.3.管理風險傳統(tǒng)交易經(jīng)過多年發(fā)展,在交易時有比較完善的控制機制,而且管理比較規(guī)范.而網(wǎng)上交易還只經(jīng)歷了很短

12、時間,還存在許多漏洞,應(yīng)加強對其進行管理和規(guī)范交易.管理風險主要存在于交易流程,工作人員和交易技術(shù)3個方面.4.法律風險關(guān)于電子合同的法律效力,目前我國僅在中華人民共和國合同法中有4條相關(guān)內(nèi)容:第11條規(guī)定合同書面形式包括數(shù)據(jù)電文,第33條規(guī)定當事人采用數(shù)據(jù)電文訂立合同可以要求簽訂確認書,此外第16條,第26條規(guī)定了電子合同的生效時間,承諾的生效時間及合同成立地點,僅憑這幾點?電子合同的法律效力仍缺乏操作性.從事電子商務(wù)的各方必須面對法律相對滯后所帶來的風險.5.病毒和黑客風險計算機病毒和黑客的攻擊是困擾計算機網(wǎng)絡(luò)正常運轉(zhuǎn)的兩大棘手難題,是威脅電子商務(wù)安全的不可忽視的因素.6.環(huán)境風險環(huán)境因素

13、(包括:地震,火災(zāi),水災(zāi),風災(zāi)等自然災(zāi)害;調(diào)電,停電事故;以及其它不可預測的不安全因素)也是威脅網(wǎng)絡(luò)安全的風險之一.四.電子商務(wù)安全管理的思路電子商務(wù)安全管理應(yīng)當跳出單純從技術(shù)角度尋求解決辦法的思路,采用綜合防范的思路,從技術(shù),管理,法律等方面綜合思考,從而建立一個完整的電子商務(wù)安全體系,三者缺一不可.1.安全技術(shù)電子商務(wù)的安全技術(shù)主要有設(shè)置虛擬專用網(wǎng)vpn,保護傳輸線路安全,采用端口保護設(shè)備,使用安全訪問設(shè)備,路由選擇機制,隱蔽信道,防火墻,信息加密機制,訪問控制,鑒別機制,數(shù)據(jù)完整性機制,審計追蹤機制,入侵檢測機制等.2.管理制度有關(guān)電子商務(wù)系統(tǒng)安全的管理制度是以文字形式對各項安全要求所做的規(guī)定,建立各項安全管理制度,并加強嚴格監(jiān)督,是網(wǎng)絡(luò)營銷人員安全工作的規(guī)范和準則.這些制度主要包括人員管理制度,保密制度,審計制度,日常維護制度.3.法律保障目前我國在這方面的研究還處于起步階段,已出臺的因特網(wǎng)域名管理條例等法規(guī)不能滿足電子商務(wù)安全的要求.因此,首先,要