電子商務(wù)的安全建設(shè)

電子商務(wù)的安全建設(shè)一、

當(dāng)前電子商務(wù)平安現(xiàn)狀和重要性電子商務(wù)的平安不僅僅是狹義上的網(wǎng)絡(luò)平安，比如防病毒、防黑客、入侵檢測(cè)等等，從廣義上講還包括信息的完整性以及交易雙方身份的不行抵賴性。從這種意義上說，電子商務(wù)的平安涵蓋面比一般的網(wǎng)絡(luò)平安要廣泛得多，從整體上可分為兩部分：計(jì)算機(jī)網(wǎng)絡(luò)平安和商務(wù)交易平安。1.

當(dāng)前電子商務(wù)平安現(xiàn)狀關(guān)于電子商務(wù)平安現(xiàn)狀我們可以看到一下相關(guān)的信息：①據(jù)統(tǒng)計(jì)，目前國內(nèi)共有WWW的網(wǎng)站約有29萬左右，其中大部分缺乏牢靠的平安措施。某些網(wǎng)站由于沒有防火墻等必要的平安設(shè)備，加上部分網(wǎng)管人員平安意識(shí)淡薄，以至于被同一種入侵方式入侵多次；②在2000年初，很多商務(wù)網(wǎng)站受到了黑客們不同層次的攻擊，這些網(wǎng)站包括eBay、eTrade、Yahoo等聞名公司。；③據(jù)有關(guān)部門統(tǒng)計(jì)，目前只有不到一半的商務(wù)公司人們他們的平安措施是足夠的；來自系統(tǒng)內(nèi)部的攻擊行為在整個(gè)系統(tǒng)受到的攻擊中占到了70%以上。由上面信息我們可以看到在電子商務(wù)高速進(jìn)展的今日，電子商務(wù)的平安建設(shè)始終是一個(gè)等待不斷完善的工程。那么電子商務(wù)面臨的平安有哪些呢？電子商務(wù)面臨的平安威逼包括以下三類：①電子商務(wù)系統(tǒng)本身；②企業(yè)外部；③企業(yè)內(nèi)部。⑴

電子商務(wù)系統(tǒng)本身的平安威逼這里指的電子商務(wù)系統(tǒng)限定在電子商務(wù)的基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)通信系統(tǒng)、計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)庫、協(xié)議、網(wǎng)站等。從這個(gè)角度考慮，電子商務(wù)系統(tǒng)中存在的平安威逼有三類：①實(shí)體平安→實(shí)體平安指計(jì)算機(jī)與網(wǎng)絡(luò)的硬件平安，這是電子商務(wù)賴于生存的基礎(chǔ)。實(shí)體平安又可以進(jìn)一步細(xì)分為機(jī)房平安、設(shè)備平安和線路平安。②軟件平安：電子商務(wù)系統(tǒng)中除了計(jì)算機(jī)與網(wǎng)絡(luò)硬件以外，支撐起高效、平安運(yùn)行的還有相關(guān)軟件。詳細(xì)可細(xì)分為操作系統(tǒng)平安、應(yīng)用軟件平安和網(wǎng)絡(luò)協(xié)議漏洞。③數(shù)據(jù)平安：政府、用戶、商家、金融機(jī)構(gòu)、中介機(jī)構(gòu)等構(gòu)成了電子商務(wù)系統(tǒng)的主要參加者，他們的身份數(shù)據(jù)、商品信息、交易數(shù)據(jù)、密碼等等是重要的信息資源，必需保證其平安。從信息傳輸?shù)哪_度考慮，數(shù)據(jù)平安又包括數(shù)據(jù)庫平安和通信平安。⑵來自企業(yè)外部的平安威逼收到利益的驅(qū)使，許多人不顧法律與道德，他們侵入網(wǎng)站、銀行、個(gè)人電腦，盜取用戶信息，竄改交易數(shù)據(jù)，冒用銀行賬戶，使得電子商務(wù)系統(tǒng)面對(duì)著比網(wǎng)絡(luò)系統(tǒng)更加嚴(yán)峻的平安威逼。這類平安威逼集中表現(xiàn)為下面三類：①網(wǎng)絡(luò)攻擊；②計(jì)算機(jī)病毒；③黑客。⑶來自企業(yè)內(nèi)部的平安威逼許多資料表明，對(duì)企業(yè)信息系統(tǒng)以及電子商務(wù)的平安威逼有超過50%來自企業(yè)內(nèi)部，甚至有統(tǒng)計(jì)表明來自內(nèi)部的威逼達(dá)到了60%。這也更凸現(xiàn)了“管理”的重要性。企業(yè)內(nèi)部的平安威逼集中表現(xiàn)為下面五類：①平安意識(shí)淡漠；②缺乏相應(yīng)的平安制度；③惡意報(bào)復(fù)；④商業(yè)間諜；⑤使用盜版軟件。2.

電子商務(wù)系統(tǒng)平安的重要性電子商務(wù)面對(duì)的是交易信用和平安性全面降低的困局，“信用與平安”問題是電子商務(wù)進(jìn)展的嚴(yán)峻瓶頸。對(duì)于電子商務(wù)中的平安問題，IT業(yè)最初側(cè)重于從提升網(wǎng)絡(luò)運(yùn)行品質(zhì)、確保網(wǎng)絡(luò)平安著手，更多關(guān)注的是怎樣防范病毒和黑客的攻擊。隨著人們漸漸熟悉到電子商務(wù)平安問題不僅僅是技術(shù)層面的問題，而是一整套預(yù)防、監(jiān)測(cè)和實(shí)際應(yīng)對(duì)措施的完整結(jié)合，是制度層面的問題。電子商務(wù)系統(tǒng)的平安性之所以重要，主要表現(xiàn)在以下七個(gè)方面：⑴

機(jī)密及敏感信息；⑵

機(jī)器本身的隱患；⑶

簡單度性的增大；⑷

應(yīng)用環(huán)境的變化；⑸

人為因素；⑹

防范對(duì)象不明確；⑺

系統(tǒng)的簡單性；二、電子商務(wù)系統(tǒng)平安問題分析隨著互聯(lián)網(wǎng)的迅猛進(jìn)展,網(wǎng)上交易日益成為新的商務(wù)模式，基于網(wǎng)絡(luò)資源的電商務(wù)交易已為大眾接受。在享受網(wǎng)上交易帶來的便捷的同時(shí)，交易的平安性備受關(guān)注,網(wǎng)絡(luò)所固有的開放性與資源共享性導(dǎo)致網(wǎng)上交易的平安性受到嚴(yán)峻威逼。因此，網(wǎng)絡(luò)信息平安性就成了電子商務(wù)勝利進(jìn)展的關(guān)鍵因素，下面從電子商務(wù)中存在的平安問題和電子商務(wù)的平安要素兩方面對(duì)電子商務(wù)交易中的平安問題進(jìn)行分析。1.

電子商務(wù)存在的平安問題由于電子商務(wù)是以信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的，與傳統(tǒng)商務(wù)比較，它不行避開的面臨著一系列的平安問題。⑴信息泄漏：在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄漏，主要包括兩個(gè)方面：交易雙方進(jìn)行交易的內(nèi)容被第三方竊?。唤灰滓环焦?yīng)給另一方使用的文件被第三方非法使用。攻擊者主要通過截獲和竊取的方式造成信息泄漏。⑵篡改：在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實(shí)性和完整性的問題。當(dāng)攻擊者把握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在中途篡改，然后再發(fā)向目的地，破壞數(shù)據(jù)的真實(shí)性和完整性。⑶偽造：由于把握了數(shù)據(jù)的格式，并可以篡改通過的信息，假如不進(jìn)行身份識(shí)別，攻擊者就有可能假冒交易一方的身份，以破壞交易、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等。⑷信用威逼：交易者否認(rèn)參與過交易，如買方提交訂單后不付款，或者輸入虛假銀行資料使賣方不能提款；用戶付款后，賣方?jīng)]有把商品發(fā)送到客戶手中，使客戶蒙受損失。⑸電腦病毒：電腦病毒問世十幾年來，各種新型病毒及其變種快速增加，互聯(lián)網(wǎng)的消失又為病毒的傳播供應(yīng)了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑，還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。2.

電子商務(wù)平安要素平安問題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)憂的問題，而如何保障電子商務(wù)活動(dòng)的平安,將始終是電子商務(wù)的核心討論領(lǐng)域。作為一個(gè)平安的電子商務(wù)系統(tǒng)，首先必需具有一個(gè)平安、牢靠的通信網(wǎng)絡(luò)，以保證交易信息平安、快速地傳遞；其次必需保證數(shù)據(jù)庫服務(wù)器肯定平安，防止黑客闖入網(wǎng)絡(luò)盜取信息。下面是電子商務(wù)涉及的平安要素：⑴

有效性：電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。因此,要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威逼加以掌握和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。⑵

機(jī)密性：電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。⑶

完整性：電子商務(wù)簡化了貿(mào)易過程,削減了人為的干預(yù),同時(shí)也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。⑷牢靠性：電子商務(wù)直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方是保證電子商務(wù)順當(dāng)進(jìn)行的關(guān)鍵。要在交易信息的傳輸過程中為參加交易的個(gè)人、企業(yè)或國家供應(yīng)牢靠的標(biāo)識(shí)。⑸即需性：即需性是防止延遲或拒絕服務(wù)，即需平安威逼的目的就在于破壞正常的計(jì)算機(jī)處理或完全拒絕服務(wù)。在電子商務(wù)中，延遲一個(gè)消息或消退它會(huì)帶來災(zāi)難性的后果。⑹

身份認(rèn)證：指交易雙方可以相互確認(rèn)彼此的真實(shí)身份，確認(rèn)對(duì)方就是本次交易中所稱的真正交易方。這一過程為授權(quán)和審計(jì)所必需，也是實(shí)現(xiàn)授權(quán)、審計(jì)的訪問掌握過程運(yùn)行的前提，是計(jì)算機(jī)網(wǎng)絡(luò)平安系統(tǒng)不行缺少的組成部分。⑺審查力量：依據(jù)機(jī)密性和完整性的要求,應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄。審查力量是指每個(gè)經(jīng)授權(quán)的用戶的活動(dòng)的唯一標(biāo)識(shí)和監(jiān)控，以便對(duì)其所使用的操作內(nèi)容進(jìn)行審計(jì)和跟蹤。三、具體說明如何保障電子商務(wù)的平安由于電子商務(wù)活動(dòng)所涉及的大量機(jī)密信息都必需通過網(wǎng)絡(luò)傳播，并且以電子數(shù)據(jù)的形式存儲(chǔ)，要求有完善的平安技術(shù)來保證電子商務(wù)交易的平安。目前，電子商務(wù)過程中主要采納的平安技術(shù)有加密技術(shù)、認(rèn)證技術(shù)和平安認(rèn)證協(xié)議。1.

加密技術(shù)加密技術(shù)是一種主動(dòng)的信息平安防范措施，其原理是利用肯定的加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻擋非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。在加密和解密的過程中，由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。目前，獲得廣泛應(yīng)用的兩種加密技術(shù)是對(duì)稱密鑰加密體制和非對(duì)稱密鑰加密體制。2.

認(rèn)證技術(shù)平安認(rèn)證的主要作用是進(jìn)行信息認(rèn)證。主要包括平安認(rèn)證技術(shù)和平安認(rèn)證機(jī)構(gòu)兩個(gè)方面。平安認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等；電子商務(wù)認(rèn)證中心就是擔(dān)當(dāng)網(wǎng)上平安交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。3.

平安認(rèn)證協(xié)議目前電子商務(wù)中有兩種平安認(rèn)證協(xié)議被廣泛使用，即平安套接層SSL協(xié)議和平安電子交易SET協(xié)議。SSL協(xié)議一般服務(wù)于銀行對(duì)企業(yè)或企業(yè)對(duì)企業(yè)的電子商務(wù)。SET協(xié)議位于應(yīng)用層，用來保證互聯(lián)網(wǎng)上銀行卡支付交易平安性。所以SET一般服務(wù)于持卡消費(fèi)、網(wǎng)上購物的電子商務(wù)。隨著網(wǎng)絡(luò)技術(shù)的提高，基于互聯(lián)網(wǎng)的電子商務(wù)在近年來獲得了巨大的進(jìn)展，成為一種全新的商務(wù)模式，具有很大的進(jìn)展前途；這種電子商務(wù)模式對(duì)管理水平、信息傳遞技術(shù)都提出了更高的要求，其中平安體系的構(gòu)建又顯得尤為重要。如何建立一個(gè)平安、便捷的電于商務(wù)應(yīng)用環(huán)境，對(duì)交易信息供應(yīng)足夠的愛護(hù)，是商家和用戶都非常關(guān)注的話題。平安問題己成為電子商務(wù)的核心問題，解決電子商務(wù)網(wǎng)絡(luò)交易中的平安問題，是保證電子商務(wù)順當(dāng)進(jìn)展的基礎(chǔ)，平安性成為電子商務(wù)能否勝利進(jìn)展的打算性因素，電子商務(wù)網(wǎng)絡(luò)交易中的平安問題還有待于連續(xù)探討。四、電子商務(wù)平安展望和你的建議1.加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)

在此方面，我國已經(jīng)取得了肯定進(jìn)步，但總體狀況仍不容樂觀，地區(qū)之間進(jìn)展不平衡。今后國家應(yīng)連續(xù)加大網(wǎng)絡(luò)建設(shè)投入力度，進(jìn)一步鼓舞企業(yè)加大對(duì)信息產(chǎn)業(yè)的投資，進(jìn)一步增加電子商務(wù)進(jìn)展的網(wǎng)絡(luò)基礎(chǔ)。要擴(kuò)大國際出口帶寬的建設(shè)，解決原有網(wǎng)絡(luò)帶寬及速度較低、網(wǎng)絡(luò)運(yùn)行質(zhì)量差和電信資費(fèi)高等問題，并縮小東西部、南北方的差距。要實(shí)行切實(shí)措施，構(gòu)建一個(gè)值得信任并能夠保證信息的完整性和平安性的多層次的開放的網(wǎng)絡(luò)體系，改善國內(nèi)用戶環(huán)境。

2.加強(qiáng)平安技術(shù)的討論和應(yīng)用

目前，電子商務(wù)應(yīng)用還剛剛開頭，很多方面都還不夠完善，平安技術(shù)及其應(yīng)用還不能滿意電子商務(wù)進(jìn)展的需要。這就要求我們親密關(guān)注電子商務(wù)的動(dòng)向，關(guān)注電子商務(wù)平安技術(shù)，加大投入力度，討論更加先進(jìn)牢靠、經(jīng)濟(jì)適用的平安技術(shù)。

同時(shí)，平安技術(shù)不是單一的技術(shù)，技術(shù)的綜合應(yīng)用是保證電子商務(wù)平安的一個(gè)重要方面，因此應(yīng)當(dāng)加大技術(shù)應(yīng)用環(huán)節(jié)的投入?？梢詫?shí)行的應(yīng)用措施有：使用容錯(cuò)計(jì)算機(jī)系統(tǒng)或制造高可用性的計(jì)算機(jī)環(huán)境，以確保信息系統(tǒng)保持可用及不間斷動(dòng)作；災(zāi)難復(fù)原方案供應(yīng)一套程序與設(shè)備來重建被中斷的計(jì)算與通信服務(wù)；加密是一種廣泛使用的技術(shù)來確保因特網(wǎng)上傳輸?shù)钠桨?；?shù)字證書可確認(rèn)使用者的身份，供應(yīng)了電子交易更進(jìn)一步的愛護(hù)；加強(qiáng)主機(jī)本身的平安，做好平安配置，準(zhǔn)時(shí)安裝平安補(bǔ)丁程序，削減漏洞；從路由器到用戶各級(jí)建立完善的訪問掌握措施，安裝防火墻，加強(qiáng)授權(quán)管理和認(rèn)證；對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或規(guī)律隔離措施；建立具體的平安審計(jì)日志，以便檢測(cè)并跟蹤入侵攻擊等。

3.提高從業(yè)人員的技術(shù)水平和整體素養(yǎng)，提升企業(yè)的管理水平

首先，要加強(qiáng)現(xiàn)有從業(yè)人員的培訓(xùn)，提高現(xiàn)有人員的技術(shù)水平，提高其平安意識(shí)，提高其應(yīng)對(duì)平安問題的力量。其次，要加強(qiáng)電子商務(wù)人才的培育。應(yīng)充分利用各種途徑和手段培育大量素養(yǎng)較高、層次合理、專業(yè)配套的網(wǎng)絡(luò)、計(jì)算機(jī)及經(jīng)營管理等方面的專業(yè)人才，特殊是把握現(xiàn)代信息技術(shù)和現(xiàn)代商貿(mào)理論與實(shí)務(wù)的復(fù)合型人才。最終，要提高企業(yè)電子商務(wù)管理水平。平安問題不僅有技術(shù)的緣由，管理落后也是一個(gè)重要方面，企業(yè)要建立適應(yīng)電子商務(wù)進(jìn)展的管理體系，培育合格的管理人才，提升整體管理水平。

4.加強(qiáng)法律法規(guī)建設(shè)

包括兩個(gè)方面的內(nèi)容：一是要完善原有的法律體系并進(jìn)行必要的調(diào)整；二是為適應(yīng)進(jìn)展的需要制定新的法律法規(guī)。要樂觀開展立法的各項(xiàng)預(yù)備工作，循序漸進(jìn)、突出重點(diǎn)、先易后難，先單項(xiàng)后綜合，在實(shí)踐中摸索，在進(jìn)展中完善，針對(duì)不同的法律問題，提出新的解決方案，制定相應(yīng)的法律法規(guī)。不備具制定法律法規(guī)要求的，可以先制定“條例”、“細(xì)則”等規(guī)范性法律文件，逐步強(qiáng)化電子商務(wù)立法。當(dāng)前一項(xiàng)重要的任務(wù)是要抓緊討論電子交易、信用管理、平安認(rèn)證、在線支付、稅收、市場(chǎng)準(zhǔn)入、隱私權(quán)愛護(hù)、信息資源管理等方面的法律法規(guī)問題，應(yīng)盡快制定出可以詳細(xì)操作的《電子商務(wù)法》。

5.加強(qiáng)誠信建設(shè)

首先，建立健全社會(huì)信用制度及管理體系。要加快信用立法，完善經(jīng)濟(jì)活動(dòng)實(shí)名制，健全個(gè)人財(cái)產(chǎn)