对电子商务系统安全问题的探讨.doc

对电子商务系统安全问题的探讨电子商务作为一种全新的商务模式对管理水平,信息传递技术都提出了更高的要求.根据联合国经合组织的定义,电子商务是发生在开放网络上的包括企业之间,企业和消费者之间的商业交易,其支付,订货,谈判等信息和机密的商务往来文件等大量商务信息在计算机系统中存放,传输和处理.随着 Internet 的扩张和电子商务的迅猛发展,电子商务系统的安全性已受到来自计算机病毒,网络黑客,计算机系统自身脆弱性等方面的严峻挑战.如何建立一个安全,便捷的电于商务应用环境,对交易提供足够的保护,已经成为商家和用户都十分关注的话题.因此,对电子商务系统的安全控制是电子商务发展的核心和关键问题.本文将围绕电子商务系统安全问题进行系统探讨.一,电子商务系统安全的定义目前针对电子商务系统安全问题的讨论虽然很多,但是却没有关于电子商务系统安全的较为明确的定义.为便于讨论,笔者首先在电子商务系统安全的定义上谈谈自己的观点.根据国际标准化组织对安全的定义,安全就是最大程度地减少数据和资源被攻击的可能性.电子商务系统的安全是与计算机安全尤其是计算机网络安全密切相关的,对电子商务系统安全问题的探讨,应从对其涵义的全面理解开始.综合各种文献以及笔者的研究,我们认为,电子商务系统安全主要包含以下 5 个方面的内容:1.系统设备安全设备安全是指保护计算机主机硬件和物理线路的安全,保证其自身的可靠性和为系统提供基本安全前提.在系统设计和施工中,必须优先考虑保护人和网络设备不受电,火灾和雷击的侵害,并努力防止和减少人为操作失误或错误以及设备被盗,被毁,电磁干扰,线路截获等侵害机会,同时还要考虑可靠的系统和数据的恢复机制.2.网络结构安全电子商务系统网络拓扑结构的不同设计决定了网络系统的结构安全.系统设计时有必要将公开服务器对电子商务系统始问题的探讨文/李新瑞王梁雨生(WEB,DNS,EMAIL 等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝,从而保障系统安全.3.系统平台安全系统平台安全是指整个操作系统和硬件平台防止意外和抵抗侵害的能力.用户不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置,必须加强登录过程的认证和操作权限的限制.4.系统管理安全电子商务管理安全是网络中安全最重要的部分,是指从管理制度的设计和执行,有效保护电子商务系统的资源和信息不受侵害.比如,为了提高对系统的可控性与可审查性,当系统受到攻击或其它安全威胁时,系统应进行实时的检测,监控,报告与预警;当事故发生后,应能够提供攻击行为的追踪线索及破案依据.为此,电子商务系统必须通过管理制度,落实对系统中访问活动的多层次记录,以及时发现非法入侵行为.如果电子商务系统中责权不明,安全管理制度不健全或者制度缺乏可操作性,都可能引起系统安全管理方面的问题.5.商务交易安全商务交易安全是指商务活动在公开网络上进行时的安全,其实质是在计算机网络安全的基础上,保障商务过程顺利进行,核心内容是电子商务信息的安全.这就涉及到防止和抵御机密信息泄露,未经授权的访问,破坏信息完整性,假冒,破坏系统的可用性等内容.综上所述,电子商务系统安全包括系统设备,网络结构,系统平台,系统管理,商务交易等 5 个方面的安全,其中前 4 个方面正是"计算机网络安全" 的内容 ,因此 ,我们也可以把电子商务系统安全概括为计算机网络安全和商务交易安全两个方面.计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可.没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起.没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求.从本质上看,商务交易安全是在计算机网络安全的基础上,保障商务过程顺利进行,核心内容是电子商务信息的安全.因此,一般情况下,我们可以把电子商务系统安全归结为电子商务信息的安全.在以上分析的基础上,我们给出电子商务安全的定义:电子商务系统安全是指在计算机网络安全的基础上最大程度地减少商务数据和资源被攻击,保障商务过程顺利进行的可能性,其实质是电子商务信息的保护.二,电子商务系统安全要素人们普遍认同的电子商务系统安全要素,其实质上也是对电子商务信息安全的界定.商务活动本身的利益性决定了电子商务信息安全的内容,人们普遍要求电子商务系统应该保证电子商务信息的有效性,机密性,完整性和可靠性.1.有效性电子商务作为贸易的一种形式,其贸易信息以电子形式取代了纸张形式,信息的有效性将直接关系到个人,企业或国家的经济利益和声誉,那么如何保证这种电子形式的贸易信息得到有效传递和保存则是开展电子商务的前提.因此,要对网络故障,操作错误,应用程序错误,硬件故障系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻,确定的地点是有效的.2.机密性集团经济研究 2007-6 月 E 旬刊(总第 232 期)商务信息直接代表着个人,企业或国家的商业机密.传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的.电子商务是建立在～个较为开放的网络环境上的(尤其 In-ternet 是更为开放的网络),维护商业机密是电子商务全面推广应用的重要保障.因此,要预防非法的信息存取和信息在传输过程中被非法窃取.3.完整性数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异.此外,数据传输过程中信息的丢失,信息重复或信息传送的次序差异也会导致贸易各方信息的不同.因此,电子商务在简化贸易过程和减少人为的干预的同时也带来维护贸易各方商业信息的完整,统一的问题.贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础.为此,要预防对信息的随意生成,修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一.4.可靠性在传统的纸面贸易中,贸易双方通过在交易合同,契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同,契约,单据的可靠性并预防抵赖行为的发生.这也就是人们常说的"白纸黑字". 在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的.因此,要在交易信息的传输过程中为参与交易的个人,企业或国家提供可靠的标识,来确保要进行交易的贸易方正是进行交易所期望的贸易方.商情千变万化的现实,要求交易一旦达成就不能被否认,交易的文件也不可被修改,否则必然会损害一方的利益.因此,电子交易通信过程的各个环节都必须是不可否认的,电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正.所以,电子商务信息的可靠性,包括对交易双方身份的确定,交易信息的不可抵赖和不可修改.三.影响电子商务系统安全的风集团经济研究 2007?6 月￡ 旬刊(总第 232 期)险因素影响电子商务系统安全的风险因素可以归纳为以下 6 点:1.信息传输风险电子商务信息的传递在网上要经过多个环节和渠道.由于计算机技术发展迅速,原有的病毒防范技术,加密技术,防火墙技术等始终存在着被新技术攻击的可能性.计算机病毒的侵袭,黑客非法侵入,线路窃听等很容易使重要数据在传递过程中泄露,威胁电子商务交易的安全.此外,各种外界的物理性干扰,如通信线路质量较差,地理位置复杂,自然灾害等,都可能影.响到数据的真实性和完整性.信息传输风险在现实中表现为信息丢失,信息被篡改,被破坏,被窃取等多种形式.2.交易信用风险传统交易时,交易双方可以直接面对面地进行交易,信用风险比较容易控制.网上交易时,由于交易双方采用电子方式进行谈判,结帐,物流与资金流在空间上和时间上是分离的,信用的风险就很难控制,对网络交易的安全构成巨大的威胁.从现实情况看,网络交易过程中,买卖双方都存在着不履行合同的交易信用风险.3.管理风险传统交易经过多年发展,在交易时有比较完善的控制机制,而且管理比较规范.而网上交易还只经历了很短时间,还存在许多漏洞,应加强对其进行管理和规范交易.管理风险主要存在于交易流程,工作人员和交易技术 3 个方面.4.法律风险关于电子合同的法律效力,目前我国仅在《中华人民共和国合同法中有 4 条相关内容:第 11 条规定合同书面形式包括"数据电文", 第 33 条规定当事人采用数据电文订立合同可以"要求签订确认书", 此外第 16 条,第26 条规定了电子合同的生效时间,承诺的生效时间及合同成立地点,仅凭这几点?电子合同的法律效力仍缺乏操作性.从事电子商务的各方必须面对法律相对滞后所带来的风险.5.病毒和黑客风险计算机病毒和黑客的攻击是困扰计算机网络正常运转的两大棘手难题,是威胁电子商务安全的不可忽视的因素.6.环境风险环境因素(包括:地震,火灾,水灾,风灾等自然灾害;调电,停电事故;以及其它不可预测的不安全因素)也是威胁网络安全的风险之一.四.电子商务安全管理的思路电子商务安全管理应当跳出单纯从技术角度寻求解决办法的思路,采用综合防范的思路,从技术,管理,法律等方面综合思考,从而建立一个完整的电子商务安全体系,三者缺一不可.1.安全技术电子商务的安全技术主要有设置虚拟专用网 VPN,保护传输线路安全,采用端口保护设备,使用安全访问设备,路由选择机制,隐蔽信道,防火墙,信息加密机制,访问控制,鉴别机制,数据完整性机制,审计追踪机制,入侵检测机制等.2.管理制度有关电子商务系统安全的管理制度是以文字形式对各项安全要求所做的规定,建立各项安全管理制度,并加强严格监督,是网络营销人员安全工作的规范和准则.这些制度主要包括人员管理制度,保密制度,审计制度,日常维护制度.3.法律保障目前我国在这方面的研究还处于起步阶段,已出台的因特网域名管理条例等法规不能满足电子商务安全的要求.因此,首先,要尽快建立国家电子商务认证中心,并确认其在电子商务领域对交易各方进行有效认证的法律地位;其二,强化电子商务交易市场管理,规范买卖双方和中介方的交易行为,制定规范的电子商务交易标准;其三,尽快完善电子商务交易的法律法规,制定有关市场准入制度,合同有效认证办法,电子支付系统安全措施,信息保密防范办法,知识产权侵权处理规定,隐私权保护办法,税收征收办法,广告管制,网络内容的过滤要求等方面的法律法规(作者单位:唐山学院经济管理系)。