義烏工商職業技術學院 武漢大學 朱聞亞
在現代信息技術、網絡技術的迅速發展及日益普及的背景下,以互聯網和信息基礎設施為載體的電子商務以其高效便捷的優越性得到了廣泛普遍的應用。現今,電子商務作為企業信息化的標志,已經為越來越多的中小企業所重視。然而,基于網絡平臺的電子商務由于互聯網本身的共享性、開放性和無控制性而存在著諸多安全隱患,因此研究探討我國中小企業電子商務安全風險的防范策略和保障措施,已成為中小企業關注的焦點和亟待解決的問題。
電子商務的安全主要是指用戶方和產品服務提供方之間的信息安全、交易安全及財產安全等,即確保雙方信息傳遞的機密性、完整性、有效性、真實性及不可抵賴性;在交易確認、支付系統及產品和服務的質量方面加以嚴格控制和維護,防止交易過程被跟蹤,避免電子商務活動的欺詐性和抵賴性;同時保障電子商務參與者財產、信譽等經濟利益不遭到損害。依托高新互聯網技術和電子信息基礎設施運作的電子商務的安全主要包括: (1)安全可靠的通訊網絡;(2)安全高效的自然物理運作環境;(3)網絡信息系統的安全維護;(4)商業機密的安全保護;(5)培育電子商務人才,保護知識產權的安全。
2.1.1 網絡安全隱患
中小企業電子商務活動是依托網絡平臺運轉的,而因特網是一個開放的、全球共享的、無控制性的自由網絡,計算機及網絡自身的特點決定了網絡安全隱患的存在。
首先,網絡服務一般都是通過各種協議完成的,因而網絡協議的安全性是構成網絡安全的一個重要方面。目前Internet絕大部分數據流是通過TCP/IP操作系統傳輸,TCP/IP協議的設計本身就存在著安全缺陷,成為了當今許多黑客惡意攻擊的首要目標。其次,網絡軟件的缺陷及漏洞也是網絡攻擊的重要途徑,由于現代軟件系統設計的日益復雜化,難以實現對應用軟件或一個較大系統全面徹底的測試,盡管可于軟件研發設計的過程開展一些測試,但多少會遺留某些漏洞,引發系統未授權訪問。再者,由于電磁輻射干擾、硬件故障、網絡物理設備老化及應用操作程序錯誤等都會導致傳輸緩慢甚至網絡系統中斷或癱瘓等現象,威脅著電子商務網絡傳輸的安全性。最后,通過網絡仿冒或網絡欺詐,可使惡意代碼攻擊易于得逞。
2.1.2 信息安全隱患
信息泄露、信息失真、信息假冒、信息丟失、信息滯后、信息破壞及交易抵賴等都是電子商務存在的信息安全隱患,具體表現包括:非法竊取或泄漏商業機密;篡改或刪除交易信息;發送或接收虛假信息;信息丟失或不可鑒別;阻礙交易并盜取交易成果;偽造網站或電子郵件;破壞信息的真實性及完整性;對交易信息進行抵賴;病毒或木馬程序入侵;黑客惡意攻擊等,上述行為均給中小企業開展電子商務造成了重大的信息安全隱患。
2.1.3 誠信安全隱患
電子商務的隔空交易由于其虛擬性,超時空性等特點,交易雙方互不相見,對對方的信譽度很難作出準確、客觀的判斷,因而交易雙方的信用易受到質疑,交易合同一旦達成就難以取消或反悔,倘若賣方在提供服務方面不遵守承諾,或買方以匿名、更名或退出市場等方式不履行合同約定,均會給另一方帶來經濟利益損失。
2.2.1 病毒的破壞
計算機網絡是電子商務運作的載體,由于網絡自身的漏洞和不完善,使得病毒制造者肆意傳播病毒程序或嵌入惡意代碼,通過網絡傳輸入侵計算機系統,使計算機程序、數據包及信息遭到嚴重破壞,甚至造成系統癱瘓,大大降低了網絡傳輸的效率和安全性。層出不窮且形式多樣的病毒活躍于網絡各個角落,破壞力與日俱增,計算機病毒危害已構成了中小企業電子商務的重大安全威脅。目前,比較流行病毒有蠕蟲病毒、木馬程序、病毒郵件、熊貓燒香病毒及公開發放的病毒等。
2.2.2 黑客的入侵
黑客經常會未經許可就入侵計算機系統非法窺取盜用機密文件或破壞數據信息,使電腦系統功能無法使用。隨著網絡的飛速發展,各種應用工具得到廣泛傳播,黑客入侵事件層出不窮。有許多工具能夠對目標用戶的所有信息進行遠程訪問、控制及監管,黑客通過將惡意程序或代碼嵌入這些工具并以電郵形式導入目標用戶的電腦中,對目標用戶電腦系統實施全面控制,進而竊取機密信息、破壞信息的完整性和有效性、隨意纂改、刪除文件、冒充合法用戶進行非法操作等,如近年來,“廣西防震減災官方網”遭黑客入侵破壞,給廣西地震局帶來了很多麻煩。
2.2.3 抵賴交易信息
交易方為逃避執行合同責任對交易信息進行非法刪除或修改,否認文件的接收或發送等。否認交易的行為損害了對方的利益,影響了交易者對電子商務安全的信任度。
2.2.4 傳輸的報文可能被截獲或篡改
沒有經過加密或加密強度不夠的報文在網絡傳輸過程中則很可能被截獲或篡改。攻擊者通過在互聯網、服務器數據庫、搭線、電磁波輻射范圍內植入截取裝置或直接在網關及路由器上截獲報文信息,從中獲取非法利益;并截獲后篡改其內容造成信息失真,嚴重損害企業形象和信譽。
加密技術,即基于加密函數及加密鑰匙,有機結合可理解的信息(明文)與數字(密鑰),進而形成不可理解的密文,是保證電子商務網絡安全的主要措施,主要加密技術有對稱加密技術和非對稱加密技術。一般可在鏈路加密、節點加密及端到端加密這三個通信層進行數據加密。同時,對大量數據加密可采用對稱密鑰加密,典型代表是DES算法,對通信負荷較輕的數據加密可采用非對稱密鑰加密,典型代表是RSA算法。
認證技術是電子網絡交易中驗證交易方身份信息的一系列數據,通過運用對稱和非對稱加密技術建立起一套嚴密的身份認證系統。保障網絡安全交易的有效認證方式即為數字證書,經證書授權中心數字簽名的數字證書,作用類似于現實生活中身份證,包含公開密鑰擁有者信息以及公開密鑰,是一種有效核實網絡通訊各方真實身份的文件。數字認證涉及的公開密鑰算法使用一個由個人秘密保存的私鑰和一個對外公開的公鑰,二者有著唯一的對應關系,公鑰用于加密及驗證簽名,而私鑰用于解密及簽名。
防火墻是隔離內部網和外部網,加強網絡之間訪問控制,對內部網應用系統加以安全防范,進而有效防止非授權的外部網用戶非法侵入內部網的一道保護屏障。目前主要有兩大類防火墻分:一類是簡單的包過濾技術,即通過事先在計算機系統內設置過濾邏輯,在網絡層次基于數據包的地址、端口及鏈路狀態等因素實施數據包的選擇性通過;另一類則是狀態監控、應用網管及代理服務等,對內部網絡管理可應用代理服務協議進行數據包分析,探測可能的攻擊。防火墻通過限制網絡內外訪問權限,能有效提高網絡安全,減少子網及內網的信息安全風險。
為解決TCP/IP協議不能確認用戶身份的問題,可引入SSL安全通信協議,通過將非對稱加密技術應用于網絡接層,進而保證網絡通信服務的安全性。同時,為解決電子商務活動中信用卡支付的可操作性及交易信息的安全性,可引入SET安全電子交易協議,基于公開密匙加密、數字簽名等技術保障交易過程的可靠性。
病毒在網絡環境下有著極大的滋生空間及快速傳播性,除了安裝病毒檢測軟件之外,還必須定期查殺病毒、及時升級防病毒軟件版本、經常關注并通報病毒入侵信息等。此外,還應將網絡系統中易感染病毒的文件屬性及訪問權限加以限制,有效控制病毒的入侵。
電子商務的載體是網絡,各種硬件基礎設施又是網絡的物理支撐,因而中小企業應加大信息產業網絡硬件基礎設施建設的資本投入力度,同時加強硬件電磁防護和設備維護,夯實電子商務發展的網絡硬件基礎。例如通過引進國際先進出口帶寬,克服原先網絡帶寬低速、運行質量差及資費高等問題。同時,網絡的高效運行還需要軟件系統的支持,故中小企業要配備多層次、高效能的系統軟件,構建一個能夠保障信息完整性及可靠性的應用軟件系統,優化網絡運行效率。
由于中小企業電子商務尚處于初級發展階段,安全技術及應用機制還不夠完善,為此要密切關注及深入研究電子商務安全技術,加大資金投入力度,研制出更加先進高效、經濟適用的安全技術。同時開發企業安全技術綜合應用的能力,例如對敏感文件建立物理隔離、應用容錯計算機系統、授權管理和用戶認證、災害復原計劃及安裝安全補丁程序等進一步優化系統環境及安全配置。
首先,提高企業電子商務網站后臺管理人員的安全意識、綜合素質及技術水平,為防范風險奠定基礎。其次,大力培養高素質、專業配套、掌握現代電子信息技術的電子商務人才,進而提升企業應對安全問題的能力。最后,要建立適應電子商務發展的管理體系以提高企業電子商務整體管理水平,維護網絡系統穩定、安全運行。
針對網絡交易契約和糾紛仲裁、信用和信息資源管理、安全認證、支付協議、市場準入標準以及知識產權保護等方面的法律法規問題,首先要在完善原有法律體系的基礎上進行必要的調整及修訂,其次為適應電子商務發展的需要制定新的、操作性強的法律法規。
電子商務安全將會在管理方面、環境方面、法律方面社會道德規范方面存在著很大的安全隱患,如網站管理人員的操作失誤或工作流程的不規范都會引發交易安全事故,跨部門、跨地區間的交易事項協調存在較大問題,不法分子鑒于電子商務方面的法律法規的漏洞而鉆法律空子,傳統交易過程中經常出現的欺詐行為勢必會對電子商務產生安全方面的影響等,都構成了電子商務不可忽視的安全風險問題。
電子商務作為一種新型商業貿易模式,在我國中小企業中已得到廣泛應用。然而,安全風險作為制約中小企業電子商務發展的一個至關重要因素,越發受到中小企業的重視。目前,針對電子商務的安全風險已提出了很多技術解決策略,但電子商務的安全問題不只是技術問題,還涉及到法律、道德、管理等多方面的因素,因而要想為電子商務運作提供安全保障,應綜合應用技術層面、硬件層面、管理層面、應用層面及法律層面的相關措施應對安全挑戰,引導和促進中小企業電子商務持續健康發展。
[1]易珊,張學哲.電子商務安全策略分析[J].科技情報開發與經濟,2006.
[2]范婕.電子商務中的安全問題及對策探討[J].大眾科技,2008.
[3]馬新彪.電子商務及其安全技術[J].甘肅農業,2009.
[4]鄧云嵐.淺談電子商務中存在的網絡安全問題[J].信息技術,2009(2).