引言
随着全球信息技术的蓬勃发展,网络已经深入生活的每个角落.以网络为主要载体的电子商务也迅猛发展.但由于网络环境的开放性强、相关法律监管机制不健全等原因,电子商务在交易信息传递、支付等方面都存在安全隐患.建立电子商务发展的安全管理机制,对其发展具有重要意义.
本文定义了对于电子商务安全的基本要求,在此基础上对我国目前存在的电子商务安全问题从各个角度进行了深入分析,最后从意识、组织结构、组织制度以及安全技术等各方面提出全面的解决对策,从而构建我国电子商务安全管理机制.
1 电子商务基本安全要求
电子商务是浏览器技术、数据库技术、各种编程语言不断发展而产生的实际应用之一,是贸易的新形式,它建立起全新的交易渠道,甚至改变了人们的生活方式.电子商务是指通过网络技术,交易各方可以突破时间、空间限制进行产品及服务交易的贸易形式,包括询价、报价、支付、物流管理等各个环节均通过网络进行.电子商务中的安全问题分为信息安全与网络安全两个方面.信息安全包括信息窃取、信息篡改、信息假冒、交易抵赖、非法访问、计算机病毒等.物理实体引发的安全问题包括功能失常、电源故障、电磁泄露、搭线窃听、黑客攻击、软件漏洞及系统“后门”、网络协议安全漏洞等.电子商务基本安全需求包括以下几个方面.
1.1 交易实体身份可认证性需求
交易活动离不开交易主体,交易主体在交易前首先必须相互确认对方身份.可认证性需求是电子商务活动的基本安全需求,在确认对方身份的基础上,交易活动其他环节才可能开展.
1.2 信息保密性需求
在电子商务活动中,交易者个人信息或交易信息在传递过程中如果被他人或其他未经授权的组织窃取、或者未经授权被泄露给其他人,将损害交易者利益或使交易无法正常进行.因此电子商务交易中需要保证信息不被他人窃取、不被泄漏或披露给未经授权的人或组织.
1.3 信息完整性需求
在信息保密的基础上,交易信息还应不被第三方修改、建立、嵌入、重复传送.交易信息的完整性需求保证在网络中买方的订单等信息准确传递到卖方,也可以保证卖方报价、发货等信息无误的传递给买家.
1.4 交易信息的不可抵赖性需求
也称不可否认性需求,指信息的发送方不能否认发送信息,接收方不能否认已经收到的信息.由于市场信息瞬息万变,在电子商务活动中,应确保重要信息发送后不可抵赖,保障买卖双方利益.
1.5 商务服务的不可拒绝性需求商务活动建立在广泛收集信息的基础上.在进行交易过程中,买方主要通过访问电子商务门户网站、后台数据库来实现.因此应保证交易参与方在正常访问网站或后台数据库资源时不被拒绝,进而满足用户各种电子商务活动需求.
2 我国电子商务面临的主要安全问题
2.1 电子商务交易信息安全问题
和传统商务一样,电子商务在交易过程中需要传递大量信息,包括交易前信息的收集,询价、报价单信息,交易合同,发货单信息以及物流信息等.以网络作为主要载体的电子商务,从询价到下单再到发货付款,整个交易完成都在网络中进行,交易信息也都通过网络传递.由于互联网开放性的特点,电子商务交易信息极易被第三方窃取.这些交易信息可能被非法使用、篡改、甚至丢失,进而破坏交易进行.
2.2 电子商务交易信用安全问题
交易双方的信用等级是决定双方是否交易的基本指标.在传统商务活动中,买卖双方通过面对面接触、实地考察以及货币本身的信用进行交易.能否确认交易双方身份及信用等级,防止身份伪造或交易抵赖,决定了交易最终能否成功.
2.3 电子商务支付安全问题
电子商务支付是电子商务交易过程中商品价值的转移,标志着交易是否真正实现.长期以来,支付一直是制约我国电子商务发展的瓶颈.一方面,由于信用卡在发达国家广泛使用,电子商务支付主要采用信用卡支付.信用卡支付采用安全级别较高的SET协议,支付安全问题较少.我国由于信用体系尚不健全,信用卡使用未普及等原因,多采用第三方等其他支付手段.另一方面,我国网络群体较年轻,防范意识差,也是电子商务支付存在风险的主要因素.
2.4 电子商务法律问题
上个世纪末,电子商务在我国开始发展.2012年,我国电子商务交易额已经达到8.1万亿元.与电子商务的蓬勃发展形成鲜明对比的是相关法律的缺失.我国于1996年成立国际电子商务中心,相继实施《中华人民共和国电子签名法》、《信息网络传播权保护条例》、《关于维护互联网安全的决定》、《专利法实施条例》、国务院《管理电子商务发展的若干意见》、《互联网电子邮件发展管理办法》、《电子商务行业规范》等法律法规.但整体立法层次偏低,立法分散且存在技术障碍,这些问题为电子商务安全埋下隐患.
2.5 电子商务安全管理问题
电子商务是由商家、消费者、政府、金融机构参与,以信息技术为载体的新型、复杂商务活动.我国电子商务法律环境不健全,安全技术不成熟,加之发展电子商务历史较短,电子商务管理者素质较差,水平较低.同时电子商务管理制度缺失,因此电子商务安全管理问题较多.
3 健全电子商务安全管理机制
3.1 提高电子商务安全意识
尽管信息技术的发展为电子商务安全提供了技术保障,但缺乏安全防范意识,为电子商务活动安全埋下隐患.只有提高网络安全防范意识,构建防范风险的心理屏障,才能维护电子商务的信息安全.
3.2 建立电子商务安全管理机构
政府作为决策的制定者,在电子商务安全管理机制建立过程中应该发挥重要作用.建立专门的电子商务安全管理委员会.负责制定相关电子商务安全方针、政策;评估安全风险;处理重大的电子商务安全事故等.企业作为电子商务活动的重要参与者,也应建立相应的电子商务安全管理机构,安全管理机构应由各职能机构管理人员组成,明确机构职责,对企业内的电子商务安全问题进行讨论并做出决策,为企业的电子商务安全提供帮助.
3.3 电子商务安全管理制度
3.3.1 完善法律环境
电子商务法制体系建设是一项非常复杂的系统工程,它包括立法、司法和行政多个领域,涵盖了行业市场准入、信息安全和认证、知识产权保护、电子支付、物流、赔偿责任等诸多法律问题.逐步完善我国电子商务法律体系,建立起包括网络服务提供者、支付、认证、监督等各方面的法律系统,是建立电子商务安全管理制度的首要工作.
3.3.2 加强人员管理
电子商务以互联网为依托,但人力资源尤其是高级人力资源依旧是其发展的重要资源.我国电子商务起步晚,各参与方人员素质较低、专业水平较差,应通过培训改善电子商务从业人员专业技能,同时提高管理人员专业水平及管理技能水平,提升其职业素养,并通过建立奖惩激励机制形成其安全风险意识.
3.3.3 系统维护
电子商务应用中,企业多采用信息管理系统运作.对信息管理系统定期进行升级维护,避免因系统漏洞、黑客攻击等原因可能出现的系统安全问题.
3.3.4 建立安全风险应急制度
一方面,互联网技术的迅猛发展使电子商务环境瞬息万变,另一方面我国电子商务法律体系不健全,电子商务安全风险难以预测.因此应建立电子商务安全风险应急制度.形成风险应急预案,以便安全问题出现时能迅速应对,妥善处理,将安全风险造成的损失减少到最小.
3.4 应用电子商务安全管理技术
营造有利于电子商务发展的安全环境,还要依赖信息技术保障.
3.4.1 防火墙技术
防火墙是在内部网与互联网之间构筑的一道屏障,用于加强内部网络和公共网络之间安全防范的系统,只有被允许的通信才能通过防火墙,从而起到内部网与外部网的隔离,可以限制外部用户对内部网络的访问和内部用户对外部的访问.
3.4.2 加密技术
对称加密技术使用DES(Da-ta Encryption Standard)算法(分组密码算法),发送者和接收者拥有相同的密钥,密钥的长度一般为64位或56位.这种加密方法解决了信息的保密问题.但存在如何在交换密钥时保证私钥安全性的问题.目前常用的对称加密算法包括DES、PCR、IDEA、3DES等.非对称加密技术将密钥分为公钥和私钥.将加密算法和公钥公开,放在网页上供人下载,也可公开传送给需要通信的人,私钥保存在密钥发布方手中,信息传递时一方用对方的公钥对明文加密后发送,另一方用自己的私钥进行解密.目前常用的非对称加密算法是RSA算法.
3.4.3 信息摘要
信息摘要(Message digest)又称Hash算法,是一种单向加密算法,其加密结果不能解密.信息发送者对原信息经过Hash算法形成新的信息,接收方也对收到的原信息采用Hash算法得到新的信息,如果原文没有被修改,则两条新信息相同,相同原文产生的信息摘要必定相同,因此信息摘要类似于“指纹”,可以通过“指纹”鉴别原文的真伪.
3.4.4 数字签名
为保证交易顺利进行,交易信息需要保证不被未经授权的修改,数字签名技术(Digital signature)可以保证交易信息不被第三方修改、嵌入或发生其他变化,3.3.5安全协议SET协议是为了用于解决客户、商家和银行之间通过信用卡支付的交易安全,采用了RSA公-私钥加密系统、数字签名、数字证书认证等技术,可以同时实现支付信息的保密性、完整性和不可否认性需求.在SET协议工作中,能够保证客户、商家和银行之间的身份认证,而且卖家只能获得交易信息,而不能得到买家信用卡信息,银行只能获得信用卡支付信息.在支付过程中应用SET协议,既能保证持卡人用卡安全,又方便交易双方进行交易。
4 结语
解决我国电子商务安全管理所面临的问题,不仅需要关注信息技术领域,安全管理的机构、制度及宏观管理环境也同样重要.在提高电子商务安全管理技术水平的同时,构建全面的安全管理机制,是解决我国电子商务安全管理问题的根本途径.
参考文献:
[1]李振汕.电子商务安全管理体系的构建[J].计算机安全,2010,23(7):65-68.
[2]汪昕华.浅析电子商务安全问题及其对策[J].商场现代化,2013,112(3):89.
[3]权石峰.计算机安全技术在电子商务中的应用探讨[J].微型电脑应用,2013,64(11):63-65.
[4]刘明良,沈洁,等.电子商务中安全机制与安全协议问题研究[J].现代计算机,2013,87(5):16-19.
[5]牟童.电子商务安全体系结构浅析[J].
