淺談電子商務中的信息安全防護

楊新生

所謂電子商務,就是利用計算機技術、網絡技術和遠程通信技術,實現整個商務(買賣)過程中的電子化、數字化和網絡化。它是將傳統商務活動中物流、資金流、信息流的傳遞方式利用網絡科技整合,將重要的信息以全球信息網(www)、企業內部網(Intranet)或外聯網(Extranet)直接與分布各地的客戶、員工、經銷商及供應商連接,創造更具有競爭力的經營優勢。

一、電子商務的優勢

與傳統的商務活動方式相比,電子商務具有以下幾個特點:第一,交易虛擬化。貿易雙方從貿易磋商、簽訂合同到支付等,無需當面進行,均通過計算機互聯網完成,整個交易完全虛擬化。第二,交易成本低,效率高。電子商務將傳統的商務流程電子化、數字化,不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。第三,交易透明化。電子商務重新定義了傳統的流通模式,減少了中間環節,使得生產者和消費者的直接交易成為可能,從而在一定程度上改變了社會經濟的運行方式。第四,電子商務提供了豐富的信息資源,提高了中小企業的競爭能力,為社會經濟要素的重新組合提供了更多的可能。

二、電子商務必須具備的安全技術指標

雖然電子商務較之傳統商務活動有著無可比擬的優越性,但其自身要求必須具備較高的安全技術指標。第一,信息的保密性。指信息在存儲、傳輸和處理過程中,不被他人竊取。第二,信息的完整性。指確保收到的信息就是對方發送的信息,信息在存儲中不被篡改和破壞,保持與原發送信息的一致性。第三,信息的不可否認性。指信息的發送方不可否認已經發送的信息,接收方也不可否認已經收到的信息。第四,交易者身份的真實性。指交易雙方的身份是真實的,不是假冒的。第五,系統的可靠性。指計算機及網絡系統的硬件和軟件工作的可靠性。

三、我國目前電子商務存在的漏洞

由于我國在信息產業上的投入不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識,核心技術嚴重依賴國外,信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽,干擾、監視和欺詐等多種信息安全威脅中。加之全民信息安全意識淡薄,警惕性不高,網絡安全處于極脆弱的狀態。

1.電子商務安全面臨的問題

(1)網絡協議安全性問題。企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開數據包攔截,甚至對數據包進行修改和假冒。

(2)用戶信息安全性問題。目前,最主要的電子商務形式是基于B/S(Browser/Server)結構的電子商務網站,用戶使用瀏覽器登錄網絡進行交易。由于用戶在登錄時使用的有可能是公共計算機,那么,如果這些計算機中存在惡意木馬程序或病毒,這些用戶的登錄信息,如用戶名、口令等,就可能會有丟失的危險。

(3)電子商務網部的安全性問題。有些企業建立的電子商務網站本身在設計制作時就存在一些安全隱患,服務器操作系統本身也會有漏洞,不法攻擊者如果進入電子商務網站,大量用戶信息及交易信息將被竊取。

2.電子商務安全問題的具體表現

(1)信息竊取、篡改與破壞。電子的交易信息在網絡傳輸的過程中,可能會被他人非法修改、刪除或重放,從而使信息失去真實性和完整性。例如,網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤;或者是一些惡意程序的破壞而導致電子商務信息遭到破壞。

(2)身份假冒。如果不進行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易,敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。

(3)誠信安全問題。電子商務的在線支付形式有電子支票、電子錢包、電子現金、信用卡支付等。但是,采用這幾種支付方式,都要求消費者先付款,然后商家再發貨。因此,誠信安全也是影響電子商務快速發展的一個重要問題。

(4)交易抵賴。交易抵賴包括多個方面,如發信者事后否認曾經發送過某條信息或內容,收信者事后否認曾經收到過某條消息或內容,購買者做了定貨單不承認,商家賣出的商品因價格差而不承認原有的交易等等。

(5)病毒感染。我國的計算機病毒主要是蠕蟲等病毒在網上的猖獗傳播。蠕蟲主要是利用系統的漏洞進行自動傳播復制,由于傳播過程中產生巨大的掃描或其他攻擊流量,從而使網絡流量急劇上升,造成網絡訪問速度變慢甚至癱瘓。

(6)黑客。黑客指的是一些以獲得對其他人的計算機或者網絡的訪問權為樂的計算機愛好者。而其他一些被稱為“破壞者(cracker)”的黑客則懷有惡意,他們會摧毀整個計算機系統,竊取或者損害保密數據,修改網頁,甚至最終導致業務的中斷。

(7)特洛伊木馬程序。特洛伊木馬程序簡稱特洛伊,是破壞性代碼的傳輸工具。

(8)網絡攻擊。目前已經出現的網絡攻擊通常被分為三類:探測式攻擊,訪問攻擊和拒絕服務(Dos)攻擊。控測式攻擊實際上是信息采集活動,黑客們通過這種攻擊搜集網絡數據,用于以后的進一步攻擊網絡。訪問攻擊用于發現身份認證服務、文件傳輸協議(FTP)功能等網絡領域的漏洞,以訪問電子郵件賬號、數據庫和其他保密信息。Dos攻擊可以防止用戶對于部分或者全部計算機系統的訪問。

四、我國電子商務發展的改革建議

1.加強基礎設施建設

電子商務是基于信息網絡的商務活動,需要建設必要的信息基礎設施和手段,包括各種信息傳輸網絡的建設、信息傳輸設備的研制、信息技術的開發等,使電子商務的發展奠定在堅實的環境建設基礎上。要構建一個值得信賴并能夠保證信息的完整性和安全性的多層次的開放的網絡體系,必須加強基礎網絡的建設,改善國內用戶環境。

2.加強對電子商務發展的宏觀規劃和指導

發展電子商務是政府經濟工作的責任。與發達國家相比,發展中國家的企業規模偏小,信息技術落后,債務償還能力低,政府的參與有助于引進技術、擴大企業規模和提高企業償還債務的能力。另外,許多發展中國家的信息產業都處于政府壟斷經營或政府高度管制之下,沒有政府的積極參與和幫助將很難在這些國家快速地發展電子商務。所以,必須發揮政府的宏觀規劃和指導作用,明確各級政府在推動電子商務發展中的責任,制定相應的電子商務發展規劃,從而協調、組織和引導電子商務的發展。

3.構造適合電子商務發展的法制環境

從交易安全方面看,目前一個迫切需要解決的問題是制定一些相關的電子商務法律,加強數據保護,保證用戶的個人隱私權,保證用戶具有對Internet上的信息進行控制的自主權,以解決電子商務上發生的各種糾紛,防止詐騙等案件的發生,保證消費者在電子商務活動中的合法權益不受侵犯。

從電子支付方面看,也需要制定相應的法律,明確電子支付的當事人包括付款人、收款人和銀行之間的法律關系;制定相關的電子支付制度,認可電子簽名的合法性;同時,還應出臺對于電子支付數據的偽造、變造、更改、賒銷問題的處理辦法。

促進我國電子商務的發展,必須發展有自主知識產權的信息安全產業,加大信息產業投入。另外,要加強國際防范,創造良好的安全外部環境。

(作者單位:山東省淄博市科技開發交流中心)