1、关于电子商务安全问题的思考学号:1044001479967 姓名:吴秋玲一、 前言(一)电子商务概说近年来,随着电子技术的发展,“电子商务”、“电子合同”等这类的词随处可见。的确,电子技术给我们的生活带来了很大的变化。我们现在可以实现网上购物;公司企业越来越重视网上销售和网上订货。随着电子信息技术的迅速普及和广泛应用,电子商务以其快捷、便利等优点越来越受到社会的认可。这种新的交易方式的快速、便捷、高效率,满足了现代商业对交易效率的要求,使我们有理由相信,它还将继续深入我们的生活。电子商务的发展前景十分诱人,但商业信息的安全依然是电子商务的首要问题。本文从实现电子商务安全性的基本框架出发,对电子
2、商务中的各种安全技术进行了分析,以探讨一种有效、安全的实现电子商务的途径。(二)电子商务的概念电子商务出现于 20 世纪 90 年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。但是,究竟什么是电子商务呢?实际上,迄今为止,电子商务还没有一个被广泛接受的概念。世界贸易组织(WTO)给电子商务下的定义为:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。根据联合国国际贸易委员会电子商务示范法 ,广义的电子商务是指利用数据信息进行的商业活动,而数据信息是指由电子的、光学的或其他类似方式所产生、传输并存储的信息。狭义的电子商务是指基于互联网这个平台实现商业
3、交易电子化的行为。经济合作发展组织(OECD)认为:电子商务是指商业交易,它包括组织与个人在基于文本、声音、可视化图象等在内的数字化数据传输与处理方面的商业活动。 世界各国对电子商务的理解也不尽相同。(三)电子商务的特点与传统商务形式相比,电子商务有以下几个特点: 其一, 市场全球化。凡是能够上网的人,无论是在南非上网还是在北美上网,都将被包容在一个市场中,有可能成为上网企业的客户。 其二, 交易的快捷化。电子商务能在世界各地瞬间完成传递与计算机自动处理,而且无须人员干预,加快了交易速度。 其三, 交易虚拟化。通过以互联网为代表的计算机互联网络进行的贸易,双方从开始洽谈、签约到订货、支付等,无
4、须当面进行,均通过计算机互联网络完成,整个交易完全虚拟化。 其四,成本低廉化。由于通过网络进行商务活动,信息成本低,足不出户,可节省交通费,且减少了中介费用,因此整个活动成本大大降低。 其五, 交易透明化。电子商务中的双方的洽谈、签约,以及货款的支付、交货的通知等整个交易过程都在电子屏幕上显示,因此显得比较透明。 其六,交易标准化。电子商务的操作要求按统一的标准进行。 其七, 交易连续化。国际互联网的网页,可以实现 24 小时的服务。任何人都可以在任何时候向网上企业查询信息,寻找问题的答案。企业的网址成为永久性的地址,为全球的用户提供不间断的信息。二、电子商务的技术安全信息加密及电子签名问题(
5、一)信息加密技术由于电子商务是借助 INTERNET 平台运作的,而 INTERNET 网络本身具有开放性的特点,因而安全性方面存在先天不足。而交易双方在交易过程中,都希望信息不会被他人篡改和截取。信息加密技术正是针对这个问题的技术解决方案。简单的说,信息加密技术,就是把要传递的信息在传递时按照一定的规则将其转变为错乱的内容(即加密),在对方接收时,再通过解密程序将乱码清除,即可得到原来的完整的信息,这一过程就是解密。这样,第三方即使截取了信息,也无法获悉其中的内容。(二)电子签名问题1、传统签名及其作用在传统商务中,大多数国家都要求合同的当事人在书面上签名或者盖章。这种签名或盖章主要有以下三
6、个作用:一为表明文件的来源;二为表明签字者已确认文件所载之内容;三为构成证明签字者对文件内容之正确性和完整性而负责任的证据。在传统商务中,由于这种手写签名的独特性,所以我国和大多数国家都把它作为使书面合同有效的一个必要条件。2、电子签名及其方法在电子商务中,交易的平台是互联网,传统的签名已经无法实现其作用。尽管我国合同法第三十三条规定了一个补救的方法 “当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签定确认书”,但实际上,这一做法将大大降低电子商务的效率,因而不足取。真正把传统签名的作用与电子商务的互联网运作平台结合起来的,是电子签名。电子签名,是指在一个数据信息中或附在其后
7、或逻辑上与其有联系的电子形式的签名。其在形式上,与传统签名差别很大,但在功能上,两者却很接近,都是用来鉴别合同的当事人并表明其同意该数据信息的内容。与传统签名相比,电子签名是一个更复杂的问题,它涉及大量的技术问题。到目前为止,电子签名已经有对称密码、不对称密码、笔迹、生物特征密码等方式。目前,采用较多的是不对称密码。在不对称密码的方式下,加密和解密的钥匙不同,一旦信息被加密,加密钥匙不能解密该信息,只能用解密钥匙才能解密。这样人们就可以广泛分发公开钥匙,而只需保留那么秘密钥匙即可。但是,这种做法并不是绝对安全的,因为秘密钥匙是可能被人破译的,而且我们相信,随着技术的进步,这种方法将会越来越不安
8、全。生物特征密码、笔迹密码是相对安全的方法,但是这种辨别技术的成本很高,目前还无法推广普及。三、电子商务的组织安全电子认证问题(一)电子认证及其功能认证,按美国国际贸易文件国家委员会所下的定义,即为“在某法令、记录或其他书面文件的经核准的文本上赋以法律证明,以便将其作为法律可采纳的证据来提供的某种行为或方式”。电子认证,是以特定的机构,对电子签名及其签署者的真实性,进行验证的具有法律意义的服务。 与电子签名一样,电子认证也是电子商务中的安全保障机制。但两者的具体功能是不同的。电子签名侧重于解决身份辨别与文件归属问题,使数据信息不被否认或者篡改,主要是技术手段上的保证;而电子认证,则侧重解决的是
9、交易人的交易人的可信度问题,主要应用于交易关系的信用安全方面,是一种组织制度上的保证。电子认证,从根本上说,是一种服务,其通过对交易各方的身份、资信进行认定,对外,防范交易当事人以外的人故意入侵而造成风险,从而防止欺诈的发生;对内防止当事人的否认,以避免当事人之间的误解或抵赖,从而减少交易风险,维护电子交易的安全,保障电子商务活动顺利进行。(二)电子认证机构及其职责电子认证是通过特定机构来完成的,这个特定机构就是认证机构。它是电子商务中对用户的电子签名颁发数字证书的机构,它已经成为开放性电子商务活动中不可缺少的信用服务机构。作为在电子交易中提供信用服务的机构,认证机构必须具有独立性,应是一个独
10、立的法律实体,并具有中立性、可靠性,因此其人员组成、资金设备等都应符合一定的要求,以便能够为商业交易提供一个公正的交易环境。在电子商务中,电子认证机构要承担下列职责:“(1)监督登记者按照规定办理登记、变更、注销手续;(2)监督登记者按照电子商务的有关法律、法规合法从事经营活动;(3)制止和查处登记者的违法交易活动,保护交易人的合法权益。” 鉴于其在电子商务中的作用,电子认证机构必须忠实地履行其职责,中立地进行工作,对电子交易秩序和交易安全负责。四、电子商务的安全技术防火墙技术(一)防火墙的定义所 谓 防 火 墙 指 的 是 一 个 由 软 件 和 硬 件 设 备 组 合 而 成 、 在 内
11、部网 和 外 部 网 之 间 、 专 用 网 与 公 共 网 之 间 的 界 面 上 构 造 的 保 护 屏 障 .是一 种 获 取 安 全 性 方 法 的 形 象 说 法 , 它 是 一 种 计 算 机 硬 件 和 软 件 的结 合 , 使 Internet 与 Intranet 之 间 建 立 起 一 个 安 全 网 关 ( Security Gateway) , 从 而 保 护 内 部 网 免 受 非 法 用 户 的 侵 入 , 防 火 墙 主 要 由服 务 访 问 规 则 、 验 证 工 具 、 包 过 滤 和 应 用 网 关 4 个 部 分 组 成 , 防 火 墙 就 是 一 个 位
12、 于 计 算 机 和 它 所 连 接 的 网 络 之 间 的 软 件或 硬 件 。 该 计 算 机 流 入 流 出 的 所 有 网 络 通 信 和 数 据 包 均 要 经 过 此防 火 墙 。在 网 络 中 , 所 谓 “防 火 墙 ”, 是 指 一 种 将 内 部 网 和 公 众 访 问 网(如 Internet)分 开 的 方 法 , 它 实 际 上 是 一 种 隔 离 技 术 。 防 火 墙 是 在两 个 网 络 通 讯 时 执 行 的 一 种 访 问 控 制 尺 度 , 它 能 允 许 你 “同 意 ”的人 和 数 据 进 入 你 的 网 络 , 同 时 将 你 “不 同 意 ”的 人
13、 和 数 据 拒 之 门 外 ,最 大 限 度 地 阻 止 网 络 中 的 黑 客 来 访 问 你 的 网 络 。 换 句 话 说 , 如 果不 通 过 防 火 墙 , 公 司 内 部 的 人 就 无 法 访 问 Internet, Internet 上 的人 也 无 法 和 公 司 内 部 的 人 进 行 通 信 。(二)防火墙的功能防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 (三) 防火墙的类型从技
14、术上看,防火墙有三种基本类型:包过滤型、代理服务器型和复合型。它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定。包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层,基于单个 IP 包实施网络控制。它对所收到的 IP数据包的源地址、目的地址、TCP 数据分组或 UDP 报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度
15、快、透明性好,对网络性能影响不大,可以用于禁止外部不合法用户对企业内部网的访问,也可以用来禁止访问某些服务类型,但是不能识别内容有危险的信息包,无法实施对应用级协议的安全处理。代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。代理服务器型防火墙的核心,是运行于防火墙主机上的代理服务器进程,实质上是为特定网络应用连接企业内部网与 Internet 的网关。它代理用户完成 TCPIP 网络的访问功能,实际上是对电子邮件、FTP、 Telnet、WWW 等各种不同的应用各提供一个相应的
16、代理。这种技术使得外部网络与内部网络之间需要建立的连接必须通过代理服务器的中间转换,实现了安全的网络访问,并可以实现用户认证、详细日志、审计跟踪和数据加密等功能,实现协议及应用的过滤及会话过程的控制,具有很好的灵活性。代理服务器型防火墙的缺点是可能影响网络的性能,对用户不透明,且对每一种 TCPIP 服务都要设计一个代理模块,建立对应的网关,实现起来比较复杂。复合型防火墙(Hybrid Firewall)把包过滤、代理服务和许多其他的网络安全防护功能结合起来,形成新的网络安全平台,以提高防火墙的灵活性和安全性.五、加强我国电子商务安全的思考(一)我国电子商务发展存在的问题(1)区域发展不平衡东
17、南沿海地区发展远优于中西北地区。以 2006 年全国电子商务交易额区域结构为例,以深圳为代表的华南地区和以北京天津为代表的华北地区实现了全国 50%的交易额。而西部地区占比不到 10%。(2)中小企业电子商务发展仍显滞后中小企业受到自身管理水平、资金和人才等因素的制约,电子商务发展水平相较于大企业,明显滞后。据统计,只有 9%左右的中小企业实施了电子商务。而在大型企业中,通过电子商务进行采购、销售的比例就已分别达到 30%和 27%。(3)信用体系建设不完善电子商务的发展急需出台电子商务合同规范,加强对电子商务合同的监管,以减少或消除在线交易双方的风险,促进信用体系建设。(4)虚拟市场监管不力
18、这方面主要出现的问题包括在线产品信息管理、交易服务的监管及消费者权益保护等。(5)电子商务税收缺乏相应的解决方法由于网络交易量统计和网络征税技术的困难,使得电子商务征税很难实施,至今仍没有很好的应对措施。(6)物流配套体系仍需完善我国尚未建立强大的物流配送体系,物流管理水平低,现代物流业发达程度欠缺,全国范围或更广范围的物流配送能力尚显不足。(7)电子商务人才缺乏由于受到我国电子商务教育体系仍处于摸索过程中,且电子商务本身发展迅速等因素共同影响,使得我国电子商务人才缺口加大。(二)电子商务安全的完善电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:(1) 突破关键技术受制于人的瓶颈。(2) 我国应尽快对电子商务的有关细则进行立法。(3) 大力开发大型商务网站,发展与之相配套的物流公司。(4) 为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。(5) 建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。
