分析我国电子商务安全现状
摘要:本文在分析我国电子商务安全现状的基础上,详细阐述了电子商务安全的有关问题,提出了解决电子商务安全问题的对策。
关键词:电子商务安全对策
1我国电子商务安全现状
电子商务是通过信息技术将企业、用户、供应商及其他商贸活动涉及的相关机构结合起来的一种信息技术的应用,是完成信息流、物流和资金流转移的一种行之有效的方法。但由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还可能受到计算机病毒感染。几乎所有的网站在建站开始及发展过程中,都似乎朝向便利性、实用性目标,往往忽略网络安全环节,给网络发展埋下了深深的隐患。据公安部的资料,利用计算机网络进行的各类违法行为在中国正以每年30%的速度递增。黑客的攻击方法已超过计算机病毒的种类,总数达近千种。目前已发现的黑客攻击案约占安全事件总数的15%,多数事件由于没有造成严重危害或商家不愿透露而未被曝光。有媒介报道,中国95%的与Internet相连的网络管理中心遭到过境内外黑客的攻击或侵入,其中,银行、金融和证券机构是黑客攻击的重点,金融领域的黑客犯罪案件涉案金额已高达数亿元。故随着电子商务日益普及,网络安全问题显得异常突出,解决安全问题已成为我国电子商务正常发展的当务之急。
2对电子商务安全问题的理解
2.1电子商务安全是一项的系统工程电子商务的基础结构包括电子商务网络基础、电子商务安全基础结构、电子商务支付系统和电子商务业务系统,其中,电子商务的安全体系结构是基于其他各层系统建立起来的。电子商务是多种技术的集合体,包括获得数据、处理数据、交换数据等,需要一个完整的电子商务安全体系作为基础。其安全要素主要包括:有效性、机密性、完整性和不可否认性等。
2.2电子商务相对安全电子商务安全是一个相对的概念;追求绝对的电子商务安全是不现实的。我们要做的只是对各项安全措施的不断完善,来达到相对安全的要求。
2.3电子商务安全保证需支付代价电子商务安全是发展的、动态的、持续的循环过程,技术进步会往往导致当前安全技术的落后。电子商务安全具有很强的敏感性、竞争性以及对抗性,要求以业务的实现为核心,不断地检查、评估和调整当前的安全策略,不断更新安全措施,以确保能适应业务的需要。安全方案的设计与确定必须服从业务的需求。如果双方交易不能达成,再好的安全方案与设施都没有意义。无论采取何种安全技术,都要考虑相应的成本与代价。若不直接牵涉支付等敏感性问题,则对安全的要求可低一些;若涉及支付问题则对安全要求就高一些。
2.4电子商务安全的威胁来自外部与内部两方面外部的破坏要防范,来自内部的威胁更要重视。
2.5电子商务安全具有特殊性主要表现在以下方面:
(1电子商务在信息方面较传统商务有更大风险。传统商务交易活动中的信息传输和保存主要通过有形的单证进行,信息接触面比较窄,容易受到保护和控制。即使在信息传输过程中出
现丢失、篡改等情况,也可通过留下的痕迹查找出原因。电子商务交易活动是在开放的网络上进行的,信息的传输依赖于网络,信息接触面多,信息被篡改后可不留痕迹,故风险较大。信息风险主要有:冒名偷窃、篡改数据、信息丢失、虚假信息、信息传递过程中的破坏等。(2信用风险不易控制。传统商务交易时,交易双方可面对面地直接进行交易,信用风险较容易控制。电子商务环境下,物流与资金流在空间上和时间上多数是分离的,网上交易一般是跨越时空的,没有信用保证,网上交易很难进行,信用风险很大。
(3需承担管理风险责任。传统的商务交易已形成相对完善的控制机制,管理也较规范。电子商务交易活动只经历了很短时间,存在许多漏洞,使得从事电子商务活动具有更大的管理风险。
(4具有法律环境风险。与传统商务活动相比,电子商务的技术设计具有先进性、超前性。但超前性又使其超过现有法律约束范围。因此,开展电子商务活动必然会出现由于法律滞后所带来的风险。
2.6电子商务安全的组成电子商务的基本特征就是利用信息技术来传送和处理商业交易信息,因此,电子商务的安全从总体上可分为两大部分,即计算机网络信息系统的安全和交易信息系统的安全。
(1计算机网络系统安全。从技术角度看,计算机信息系统安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。美国国家信息基础设施(NII文献给出计算机信息系统安全的五个属性:可用性、可靠性、完整性、保密性和不可抵赖性。这五个属性适用于国家信息基础设施的众多领域。计算机网络系统安全涉及以下三个方面:
1物理安全(Physical Security:包括环境安全、设备安全和媒体安全三个方面。主要保护计算机设备、设施(含网络以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等破坏的措施、过程。特别是避免由于电磁泄漏产生信息泄露,从而干扰他人或受他人干扰。
2运行安全(Operation Security:包括风险分析、审计跟踪、备份与恢复、应急四个方面。为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程的安全。侧重于保证系统正常运行,避免因系统损坏而对系统存贮、处理和传输的信息造成破坏和损失。
3信息安全(Information Security:包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别七个方面。主要防止信息财产被敌意或偶然的非授权泄露、更改、破坏,或使信息被非法的系统辨识、控制,确保信息的完整性、保
密性、可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为,本质上是保护用户的利益和隐私。
(2电子商务交易系统安全。在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,甚至彼此远隔千山万水,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和购买者都面临着安全威胁。
3电子商务安全问题的对策
电子商务的安全问题涉及到电子商务的各个环节和参加交易的各个方面,解决电子商务的安全问题是一个系统工程和社会问题,需全社会的参与。但在操作层面上,应逐步解决以下几个方面的问题:
3.1建立和完善我国电子商务安全法律法规体系电子商务实践要求有透明、和谐的交易秩序
和环境保障,为此,须建立和完善相应的法律体系。目前,我国已颁布相当数量的信息安全方面的法律规范,但立法层次不高,法律协调差,立法理念和立法技术相对滞后。我国电子商务法律体系的构建中,首先应当考虑原有法律对电子商务行为的适用,对于原有法律不能适应可以采取修改原有法律和单独立法的方式予以解决。对于一些全新领域可以进行单独立法,可以参照联合国《电子商务示范法》制定我国的电子商务基本法,从而形成我国电子商务完整、有机的法律体系。电子商务安全方面的法制建设则应涵盖:保护隐私权;保护消费者权益;保证信息的合法访问;数字签名与认证机构;计算机违法与犯罪的问题的控制等。
3.2完善电子商务企业内部安全管理体制,增强相关人员的安全意识首先必须对企业内部所有人员进行信息安全意识教育,充分理解安全对企业的重要性。系统管理员要将系统安全放在首位,依靠可行的、详细的信息安防制度,消除安全隐患,防患于未然。其次,须针对信息存储的不安全因素采取适当的防范措施:硬件的电源故障可设置合适的不间断电源;操作系统和应用软件的不安全因素可采用经常升级和下
