电子商务中的信息安全问题研究
1 前言
随着因特网的发展,电子商务已成为目前最时髦、最具吸引力的事物。同时,由于电子商务具有传统商务不具备的优势,如高效、便携、低成本等,电子商务被越来越多的企业利用,电子商务也因此成为促进国家经济发展的一种重要力量。但在电子商务的发展过程中,逐渐暴露出很多问题,这些问题已成为制约电子商务发展的重要因素,其中信息安全问题是众多问题中最重要、最核心的问题。为了促进电子商务更好的发展,更好的为国民经济的发展服务,解决电子商务中的信息安全问题便成了关键性的问题。 2 电子商务的概念及特点
20世纪90年代以来,随着Internet的迅速发展,其踪迹已经遍布企业、科研机构、商场、学校乃至家庭的每个角落。这说明电子商务作为一种新型的交易方式,为企业、消费者和政府建立了一种网络经济环境,人们不再受地域的限制,能够以快捷的方式完成繁杂的商务活动,以规范的工作流程提高人、财、物的利用率。
2.1 电子商务的概念
电子商务至今仍没有一个很清晰的概念。各国政府、学者、企业人士都根据自己所处的地位和对电子商务的参与程度,给出了许多表述不同的定义。
参考以往的国内的一些学士和专家的观点,将电子商务的定义归纳为广义的电子商务和狭义的电子商务。
广义的电子商务(Electronic Business,EB)是指交易当事人或参与人利用计算机技术和网络技术等现代信息技术进行的各类商务活动,包括货物贸易、服务贸易和知识产权贸易。也可以理解为利用各种信息技术对整个商务活动实现电子化[1]。
狭义的电子商务定义仅仅将通过Internet进行的商务活动归属于电子商务。主要是指利用网络与计算机进行钱和物的交易[2]。
2.2 电子商务的特点
电子商务将传统商业活动中物流、资金流、信息流的传递方式利用网络科技整合,企业将重要的信息以全球信息网、企业内部网(Internet)或外联网(Ex-tranet)直接与分布各地的客户、员工、经销商及供应商连接,创造更具竞争力的经营优势[3]。与传统的商务活动相比,电子商务具有以下特点:
(1)交易网络化
交易过程均通过计算机互联网络完成,整个交易完全虚拟化。整个交易都在网络这个虚拟的环境中进行。
(2)交易成本低
电子商务实行“无纸贸易”,可减少90%的文件处理费用。使用国际互联网进行信息传递的成本相对于信件、电话、传真的成本低很多,同时缩短时间及减少重复的数据录入也降低了信息成本。
(3)交易覆盖面广
因特网几乎遍及全球的各个角落,电子商务可以使企业能够更加经济地经营地理上极为分散的狭小的目标市场。
(4)交易效率高
电子商务基于网络技术,克服了传统贸易方式费用高、易出错、处理速度慢等缺点,极大地缩短了交易时间,使整个交易非常快捷与方便。
(5)交易功能全面
电子商务可以全面支持不同类型的用户实现不同层次的商务目标,如发布电子商情、在线洽谈、建立虚拟商场或网上银行等。
(6)交易透明化
买卖双方从交易的洽谈、签约以及货款的支付、交货通知等整个交易过程都在网络上进行。通畅、快捷的信息传输可以保证各种信息之间相互核对,可以防止伪造信息的流通。
3 电子商务的信息安全要素
电子商务安全要素涉及面广,在使用电子商务的过程中主要的安全要素包括以下几个方面:
(1)真实性
真实性是指网络交易双方身份信息和交易信息要真实有效。双方交换信息之前通过数字签名、身份认证以及数字证书来辨别参与者身份的真伪,防止伪装攻击。交易时,对提供的交易信息也要保证其真实性,防止欺骗交易行为。
(2)保密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家商业信息,有些可能已经是商业机密[4]。电子商务建立在开放的网络环境之上,并且功能越是强大的电子商务系统,其开放性越大,在这样的开放环境下,如何维护商业机密是电子商务全面推广应用的重要保障。信息的保密性要求信息在传输过程或存储中不被他人窃取。
(3)不可否认性
在无纸化的电子商务模式下,通过手写签名和印章进行贸易方的鉴别已是不可能了。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,这种标志信息用来保证信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息,身份的不否认性常采用数字签名来实现。
(4)可靠性
可靠性是指防止计算机失效、程序出错、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。
(5)及时性
及时性是指防止延迟或拒绝服务,及时性安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中,延迟一个消息或删除一个消息会带来灾难性的后果。
(6)完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息完整性和统一性的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的不同。完整性包括信息传输和存储两方面。在存储时,要防止非法篡改和破坏网站上的信息。在传输的过程中,接收端受到的信息与发送的信息完全一样,说明在传输过程中信息没有遭到破坏[5]。
(7)不可拒绝性
不可拒绝性又称有效性,可用性。是保证授权用户在正常访问信息和资源时不被拒绝,既保证为用户提供稳定的服务。
4 我国电子商务信息安全存在的问题
由于电子商务的重要技术特征是利用网络来传输和处理商业信息,因此,电子商务安全主要包括两个方面:网络安全和商务安全。而这些安全的实现又依托于一些具体的安全技术,遵循相关安全协议。
4.1 网络安全问题
网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性。网络安全是电子商务的基础,其问题一般表现为:
(1)计算机本身潜在的安全隐患带来的网络安全问题
计算机使用的是未经过相关的网络安全配臵的操作系统,不论是什么操作系统,在缺省安装的条件下都会存在一些安全问题,而仅仅将操作系统按缺省安装后,再配上很长的密码就认为安全的想法是不可靠的。因为计算机本身存在的软件漏洞和“后门”往往是网络攻击的首选目标。
(2)入侵者风险降低获利升高带来的刺激引发的网络安全问题
由于网络的全球性,开放性,共享性的发展,使得任何人都可以自由地接入互联网,而这其中也包括了黑客,入侵者和病毒制造者。他们采用的攻击方法越来越多,对电子商务的威胁也显得越来越明显[6]。相对而言,袭击者本身的风险却非常小,甚至可以在袭击后很快就消失得无影无踪,使对方几乎没有实行报复打击的可能,这使他们的活动更加猖獗。美国的“雅虎”和“亚马逊”曾受到攻击的事件就说明了这一点。
(3)安全设备使用不当带来的网络安全问题
虽然绝大多数网站采用了网络安全设备,有的甚至还耗费巨资,但由于安全设备本身因素或使用问题,这些设备并没有起到应有的或期望的作用[7]。很多安全厂商的产品对配臵人员的技术背景要求很高,往往超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确地安装,配臵,一旦系统改动,需要改动相关安全设备的设臵时,很容易产生许多安全问题。而通常意义上的网络管理者往往无法胜任这样的工作。
4.2 商务安全问题
商务安全指商务交易在网络媒介中体现出来的安全问题,也就是要实现电子商务信息的保密性,完整性,真实性和不可抵赖性。
在早期的电子交易中,曾采用过一些简单的安全措施。例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知,以防泄密,网上交易后再用其他方式对交易做确认,以保证其真实性和不可抵赖性[8]。这些方法不仅操作不便,而且有一定的局限性,也不能实现其真正的安全性。商务安全中普遍存在的几种安全隐患:
(1)窃取信息
信息在传输过程中未采用相应的加密措施或加密强度不够,导致数据信息在网络上以明文或近乎明文的形式传送。入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息,通过对窃取数据参数的分析比对,找到信息的格式和规律,进而得到传输信息的内容,导致消费者消费信息,账号密码和企业商业机密等信息的外泄。
(2)篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地,从而破坏信息的真实性。入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策。
(3)信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以进一步冒充合法用户获取和发送信息,而远端接受方或发送方通常不易分辨。常见的方式有伪造用户和商户的收定货单据,套取或修改相关程序的使用权限等。
(4)信息破坏
由于攻击者已侵入网络,已获得对网络中信息的修改权限,如其对网络中现有机要信息进行修改乃至于删除,其后果是非常严重的。
5 我国电子商务信息安全的保障措施及对策
网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、
病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
网络管理者在思想上高度重视安全问题也是相当有必要的。技术的产生一般相对于人们的需求有一定的滞后性,而建立和实施严密完善的网络安全制度和策略往往可以代替暂时无法实现的技术,毕竟这才是真正实现网络安全的基础。
5.1 保障我国电子商务信息安全的技术措施
5.1.1数据加密策略
加密技术是电子商务的最基本措施,最初主要用于保证数据在存储和传输过程中的保密性。随着电子商务的发展,对数据完整性以及身份鉴定技术提出了新的要求,数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用[9]。加密技术是一种主动的信息安全防范策略,利用一定的加密算法,将明文转换成毫无意义的密文。阻止非法用户理解原始数据,从而确保数据的保密性。
比较广泛使用的加密技术有两种:一种是对称密钥加密体制,一种是非对称密钥加密体制。他们的区别在于密钥的类型不同。
(1)对称密钥加密体制
对称密钥加密,又称私钥加密(Secret Key Encryption),即数据加密和解密采用的都是同一个密钥,因而其安全性依赖于所持有密钥的安全性[10],其最大的优点是速度快,适合于对大数据量进行加密,最大的缺点是在大量用户的情况下密钥答理复杂,而且无法完成身份认证等功能,不便于应用于网络开放的环境中。
(2)非对称密钥加密体制
非对称密钥加密,又称公钥加密(Public Key Encryption),数据加密和解密采用不同的密钥,需要使用一对密钥来分别完成加密和解密操作[11]。在非对称密钥加密体制中密钥被分解为一对。密钥对生成后,公开密钥以非密保方式对外公开,只对应于生成该密钥的发布者,私有密钥则保存在密钥发布者手里。
5.1.2防火墙技术
它是目前一种最重要的网络防护设备。防火墙是在Internet与Extranet之间实施安全防范的系统,可以被认为是一种访问控制机制,根据网络决策人员及网络专家共同决定本网络的安全策略,确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。它是提供信息安全服务、实现网络和信息安全的基础设施[12]。在逻辑上,防火墙是一个分离器,一个限制器,同时也是一个分析器,有效地控制了Internet和Internet之间的任何活动,保证了内部网络的安全。
5.1.3身份验证技术
(1)认证系统
网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority,通常简称为CA[13]。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA,否则,一切网上的交易都没有安全保障。
(2)SSL协议
SSL协议(Secure Socket,Layer,安全套接层)主要目的是解决TCP/IP协议不能确认用户身份的问题,在Socket上使用非对称的加密技术,以保证网络通信服务的安全性。SSL协议易于实现。SSL协议还是最值得信赖的协议。
(3)SET协议
SET(Secure Electronic Transaction)安全电子交易协议是用于Internet上的以信用卡为基础的电子支付系统协议。主要应用于B/C模式中保障支付信息的安全性。SET协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户[14]。其核心技术主要有公开密匙加密、电子数字签名、电子安全证书等。它的交易规范成为了未来电子商务发展的方向。
5.1.4虚拟专用网(VPN)
这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
5.1.5电子商务认证中心(CA,Certificate Authority)
实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。
5.2 保障我国电子商务信息安全的对策
我国应尽快对电子商务的有关细则进行立法,否则就会使电子商务行业变得混乱,电子商务安全技术虽然已经取得了一定的成绩,但是电子商务要真正成为一种主导的商
务模式必须在安全技术上有更大的突破,还必须完善电子商务立法[15],以及以规范存在的各类问题,引导和促进我过电子商务快速健康发展。
5.2.1 构成我国完善的电子商务体系及加强法律法规建设
电子商务的特殊性需要新的法律法规来维护。目前我国相继颁布了一些法律法规、部门规范等来保证电子商务的安全。
针对利用信息高科技和信息系统等新型犯罪,政府部门应尽快组织力量,结合电子商务的客观需求,对现有的与电子商务相关的法律法规,利用法律与犯罪作斗争是人类里来的做法。如:《中华人民共和国刑法》、《全国人大常委会关于互联网安全的决定》、《合同法》、《著作权法》等进行修改。在这些法律中,可以适当增加对网络犯罪处罚的条款,增加对网络作品著作权保护的条款;对电子商务发展中急需解决的有关问题[16],如:在电子支付、税收管理,安全认证、网络与信息安全、知识产权保护、消费者权益保护等可由相关主管部门先制定部门规章,必要时,由国务院发布行政法规,再按程序上升为法律。
但是与国际电子商务立法现状相比,我国电子商务法律体系仍存在较多的空白点,亟需进一步完善。主要表现在电子交易法、个人隐私保护法等需要尽快配套;现有法规效力等级有待提高;电子商务的立法技术需要进一步改进等等。
5.2.2 加强对电子商务发展的宏观规划和指导
在电子商务的发展过程中,必须发挥政府的宏观规划和指导工作,明确各级政府在推动电子商务发展中的责任,制定相应的电子商务发展规划,协调、组织和引导电子商务发展。电子商务毕竟是近些年发展的新兴事物,加强相关领域应用基础对应的技术科学研究及应用研究是在信息领域及信息安全领域取得“创新”和“可持续发展”的直接动力。发展信息基础设施需要多种学科和人才的支持、政府和业界的共同努力,尤其是政府的大力投资和宏观调控。
5.2.3 加强安全技术的研究和电子商务标准的制订
电子商务的发展需要解决安全性和可靠性问题。计算机安全技术本身的发展就存在一个时滞问题。病毒的感染、黑客的侵袭更使人们对计算机的安全性,特别是网络上电子商务运行的安全性产生怀疑。有关部门应组织精干的安全技术研究队伍,集中力量尽快解决电子商务的安全技术问题,并能够随着计算机和电子商务技术的发展而不断改进这些技术。
5.2.4 进一步加强网络设施建设
我国的信息产业正飞速发展,而如何使发展更快更稳定,还有许多问题值得研究,有
关专家呼吁加强网络基础设施建设是目前新闻电子商务发展亟待解决的问题。 由于电子商务是基于信息网络通信的商务活动,为此,需要建设必要的信息基础设施,包括各种信息传输网络的建设、信息传输设备的研制、信息技术的开发。由于经济实力和技术方面的原因,我国网络的基础设施建设还比较缓慢和滞后,已建成的网络质量也比较低,公众使用费用比较高。如何加大基础设施建设的力度和广度,改变网络通讯方面的落后面貌,是关系到我们国家的电子商务能否顺利实施的关键。
6 结论
信息安全是电子商务的核心和灵魂。在电子商务领域里,信息安全问题一直是备受关注的问题,如何更好地解决这个问题是推进电子商务更好更快发展的动力。但是,因为安全性问题是不断发展变化的,所以解决安全问题的手段也要不断适应这种变化。目前,就电子商务信息安全虽然在技术、立法、政策等方面采取了适当的措施,取得了一定的成效,但尚未能形成一个有效地、安全的电子商务安全系统,因此,仍需要加大力度来研究和探索电子商务信息安全综合性的保障措施,进而为电子商务建立一个安全、高效的商务环境。
参考文献
[1]扈健丽.电子商务概论[M].北京:北京理工大学出版社,2010: 1~5,68~85
[2]才书训.电子商务概论[M].沈阳:东北大学出版社,2007:1~4, 115~135,167~189,274~276
[3]丁荣荣.电子商务的信息安全技术[J] .赤峰学院学报(自然科学版), 2010, 26 (10):41~43
[4]丁学君.电子商务中的信息安全问题及其对策[J] .计算机安全,2009,(2):83~86
[5]韩鹏,卫学文.浅谈电子商务中的网络信息安全[J].现代商业,2010,(5):47
[6]戴伟.电子商务信息安全讨论[J].科学技术,2009,(11):165~167
[7]邓春, 龙珺.电子商务中的信息安全问题[J].审计与理财,2010,(5):52~53
[8]胡世锋.电子商务信息安全问题解析[J].中国商贸,2010,(4):114
[9]张爱菊.电子商务安全技术[M].北京:清华大学出版社,2006:1~13
[10]程少丽.电子商务的信息安全研究[J].电脑知识与技术,2010,(4):2821~2823
[11]刘琼.电子商务信息安全及对策研究[J].知识经济,2009,(5): 83~84
[12]郑康.电子商务与信息安全[J].商场现代化,2009,(5):141
[13]陈东娅.电子商务的信息安全研究[J].商场现代化, 2009,(9):176
[14]张涛.论信息安全与电子商务[J].科技信息,2010,(13):73
[15杨英梅.我国电子商务的安全问题及安全的环境构建[J].中国商贸, 2010,(4):88~90
[16]徐娜.电子商务中的信息安全问题分析[J].才智,2010,(29): 46~47
致谢
在本次毕业设计过程中,杨晓光老师对该论文从选题、构思、资料收集到最后定稿等各个环节都给予了细心指导,在此对您表示诚挚的谢意和崇高的敬意!
同时,也非常感谢吉林农业大学信息技术学院07级信息管理与信息系统的所有老师和同学对我的帮助,你们的支持与情感是我永远的财富。
最后,我要向在百忙之中抽时间对本文进行审阅、评议和参加本人论文答辩的各位师长表示感谢!
谢谢!