一、电子商务系统安全体系结构
在电子商务系统的不同层面,需要采用相应的安全体系结构。如果由内到外划分层次,它们是:
(1)交换层。交换层是提供封装数据的公平交换服务的;条作为同意进行交换的条件。
(2)传输层所谓公平意指,双方要以收到对方封装数据。传输层是实现客户和服务器之间根据规定的安全角色来传输和组织商业活动所需的数据信息的。因为数据信息的基本类型包括:签名文本、证书、收据、已签名的陈述、数字化商品、访问某种服务所需的信息、获得物理商品所需的信息等,所以传输层包括付款模块、文档服务模块和证书服务模块。
(3)商务层。商务层负责提供邮购零售、在线销售等商业方案,包括保证相关信息安全的模块。
(4)服务层。服务层是提供安全通信服务的,所以包括密码服务、通信、归档、用户接口和访问控制等模块。
电子商务安全性要求可以归纳为下面的指标:
(1)有效性有效性是指贸易数据在确定的时刻、确定的地点是有效的。电子商务以电子形式取代纸张,保证信息的有效性就成为开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉,因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误以及计算机病毒所产生的潜在威胁加以控制和预防。
(2)真实性/可靠性。真实性是指接收方可以确信信息来自发信者,而不是第三者冒名发送;发送方可以确信接收方的身份是真实的,而不至于发往与交易无关的第三方。
在电子商务过程中,买卖双方通过网络联系,相隔千里,真实性难以保证。因此,要使交易成功,首先要确认对方的身份。电子商务要求能够对信息和交易主体的真实性进行鉴别。例如,因特网中计算机系统的身份是由其IP地址确认的,黑客使用虚假U地址,以达到隐瞒自己身份的目的;另外,在日常电子邮件的使用中很难避免匿名邮件或使用不真实的邮件用户名;因此,在电子商务中必须建立严格的身份认证机制,以确保参加交易各方身份的真实有效。
(3)保密性。保密性是指保证只有发送者和接收者可以接触到信息。电子商务作为贸易的一种手段,其信息一般包括个人、企业或国家的商业机密。例如,信用卡的账号和用户名被人获悉,就可能被盗用;订货和付款的信息被竞争对手获悉,就可能丧失商机。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的;而电子商务建立在开放的网络环境中,因此,对传送的信息要求加密,以预防非法的信息访问和信息在传输过程中被非法窃取。
(4)完整性。完整性是指信息在传输过程中未经任何改动。由于因特网的开放体系,只要具备特定的知识和工具,完全可以更改传输中的数据,因此,必须预防对信息的随意生成、修改和删除,同时还要防止数据传送过程中信息的丢失和重复,并保证信息传送次序的统一。另外要采取适当的访问控制,以保证数据存取系统的安全。在电子商务中务必保存数据原始的格式和内容,因为贸易各方信息的完整性将影响交易和经营的策略。
(5)不可否认性。不可否认性是指在交易数据发送完成以后,双方都不能否认自己曾经发出或接收过信息。在传统的纸面贸易中,贸易双方通过交易合同、契约或贸易单据等书面文件上的签名或盖章来鉴别贸易伙伴,确定合同、契约和单据的可靠性,以预防抵赖行为的发生,这也就是人们常说的“白纸黑字”。为了保证通信过程的各个环节都必须是不可否认的,电子交易必须为交易双方提供可靠的标识。不可否认主要包含数据的原始记录和发送记录,确认数据已经完成发送和接收,防止接收用户更改原始记录,或者否认已收到数据并拖延下一步工作。为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性。
在一味强调电子商务安全的同时,若静静地思考信息安全对策,“端正思想”,“容忍”危险,学会“与危险共存”,才是需要首先解决的问题,从本质上来说,危险的解除不可能是一劳永逸的。因为人类智力的进步会导致人们把触角不断伸向风险莫测的新领域,这是科学家早已告诫的潜在风险。人们甚至发现,与未知之物的接触面也就越大,从而遇到的危险也就越频繁”。随着电子商务的不断发展,技术越来越先进,但风险也与之并存,当信息技术又隐藏着巨大且又不能根除的风险时,社会的“脆弱性”也就无可怀疑了。其内容涉及技术、应用、管理等诸多因素,采用世界上最好的安全产品,内部管理来控制社会的“脆弱性”,减少风险“发作”的次数和强度,在不能做到万无一失的情况下,把对信息安全的威胁降到可接受的限度内。
二、电子商务系统安全的两个视角
“不安全文化”归纳起来有战略视角和经济视角两大视角,由由操作层面看,应当纳入企业和社会日常管理的渠道。
(1)战略视角种是一种常态,理所当然的应对信息风险的防范。中国科学院院士沈昌样在战略视角方面强调:信息安全是一项包括技术层面、管理层面、法律层面的社会系统工程,还应包括观念和文化的延伸层面。我国已经颁布一系列有关信息安全的管理条例,但还缺少部级的统领全局的信息安全框架。例如从文化意义上构建信息技术的行为准则,培育网络空间的道德规范。
美国在“9.11恐怖袭击”后,把信息安全列入国家战略,在这个战略中,信息安全保护被分成五个等级:第一级是家庭用户与小型商业机构;这一级别只要求采用密码、过滤、防病毒软件等技术,使用高速连接设备的还应考虑防火墙;第二级是大型企业;第三级是高等教育、联邦政府、州与地方政府等关键部门;第四级是国家优先任务;第五级是全球性合作网络。这个等级级保护包括建立广泛的“安全文化”,国际化合作网络的发展起到推动作用,在安全事件初露端倪时便能通过该网络进行确认并提供防护。
(2)经济视角。与战略视角相比,企业更为关心的是经济视角,通常是以经济视角作为解决好技术与管理方面的问题的基础。结合商业应用的成本,安全投资如果超过15%,否则就没有了经济性,这是企业所不能接受的安全技术问题,这是信息产业业内人士的看法。
另外,经济视角的风险的程度和防范的适度,应导入信息风险的评估之中。通常情况下,越小的组织,越要着眼于内部的问题;组织越大,分布越散,来自外部的威胁就越大,可能造成的损失也越大。其中风险的程度的评估要从自身情况出发,并非报章和书本上提到的所有威胁都会发生。而网络脆弱性评估涉及网络连接方式、信息的产生、分布和使用状况,以及安全管理水平和人员素质,这些都需要借助专家和技术服务的力量来着实解决。
三、电子商务发展前景及潜在威胁
随着数据通信和计算机网络的广泛应用,——些精明的商家利用互联网作为与消费者紧密连接的纽带,将商务活动在互联网上进行,使无限商机扩大到全球范围的每个角落。而这种网上贸易正是当今先进国家正在兴起的“无纸贸易”,被人们称为激烈的市场竞争大潮中商家手中新的交易手段——电子商务。
首先,电子商务没有现实商场,只有网上虚拟商场,只要商家有足够的商品供应能力,可充分满足消费者对商品的要求。又因为虚拟商场不需要库存,不需要租用场地,中间环节大为减少,所以商品价格一般都比传统零售商品便宜10%—15%,同时,企业或商家利用互联网的电子数据交换系统,改进了工作方法,大大减少了传统纸张文件的数量,节省了大笔开支。其次,采用计算机电子数据交换,大大提高了数据交换和处理的推确性。第三,电子商务可以大幅度缩减有关产品说明,广告印刷,等待顾客抉择等销售环节,同时还可以缩短订货、付款和结算的时间,加速资金的流通。第四,企业利用互联网巨大的地理覆盖和丰富的网上用户资源,以非常低的成本就可建立全球市场,通过网上渠道就可获得更广泛的顾客信息,有利于提高企业的快速应变能力,组织和生产适销对路的产品。同时顾客可利用电子邮件等方式,很快就得到企业的售后服务和技术支持等有关答复。电子商务还有一个特点就是商家与客户之间的商品交易付费方式是使用电子货币。电子货币就是采用现代通信、计算机和网络技术,通过电子倍息转账形式实现货币流通。电子货币可以是人们现已习惯使用的信用卡、取救卡、电子磁卡,也可以是储有币值的智能型tC卡。
电子商务不仅是商家企业的经营手段,随藩电子计算机的普及,电于商务也会走进平常百姓家。在网络中,各种商品的性能与价格一目了然,通常还会霍到滑晰的产品图片。消费者无需东弃西跑,只需轻轻按几下鼠标,便能够从一个“商店”走到另一个“商店”,这里的消费者所能够了解到的商品品种和种类比以往任何时候都要丰窿,因而能够轻松地货比三家,最终选择最实惠、最满意的产品。
在发达国家,人们已习惯于从网上购物。在互联网上,小到比萨饼和炸警条,大到汽车和轻型飞机,几乎所有的产品都在网络上出售。在计算机普及率比较高的美国,仅1996年网络商店就巳发展到2叨叨多家,而且每天还有100家商店在网上开张。1996年圣诞节前夕,全美约有1/9的家庭通过互联网购买圣诞礼物。1998年美国电子商务销售额达230多亿美元,2009年,全球电子商务市场总额将达到8000亿美元。
在我国,电子商务已经进入实用阶段,网上书市,网上超市已经开业c也许将来有一天你出门购物,走到商店门口,却发现店门紧闭,门口写警“本店已迁至互联网”。别奇怪,一个“无纸贸易”时代即在眼前。在中国,政府对电子商务的发展也极为关注。在马尼拉召开的亚太经合组织领导人非正式会议上,指出,电子商务代表了未来贸易方式的发展方向,政府部门要加强对电子商务的管理和引导。2000年4月5日,第四届中国国际电子商务大会在北京召开,会议聚集了世界枷多家从事信息技术产业的跨国公司,以加强我国与世界各国在电子商务领域的交流与合作,推动电子商务在我国的应用和健康发展。但发展电子商务并不是靠召开一两次会议,制定一两份文件就可以实现的。目前,在我国还有很多因素制约了电子商务的广泛应用。一是中国的电脑普及率还不很高,虽然幼肋年3月,中国的互联网用户已达到删万,但按照比例来说,只占全国人口的1%弱。二是网上安全有待加强,有些电脑黑客利用网上信用机制不健全的漏洞进行诈骗活动。三是中国各个行业间网络化程度不一,如何建立起一个统一规范的合作机制是所有打算或已经开始从事电子商务的商界同仁不得不关注的问题。四是发展电子商务所需要的法律环境还不具备,有关网络合同、网上争议、消费者保护等一系列问题都有待于立法机关给予规范。但是,随着互联网在中国的迅速发展,不难预料,电子商务将在中国有一个蓬勃的发展。据来自中国电子商务门户网(chi—naeb.com)的数据表明,到2000年1月底,国内已有枷多家号称做电子商务的网站,而且还在以每天诞生两个网站的速度发展。照此下去,电子商务在中国的前景是非常光明的。
在网络经济轰轰烈烈,网络股牛气亢天的时候,人们也听到了一些异样的声音:警惕网络泡沫事实上,很多网络公司的的业绩并不乐观,据著名的财经周刊《巴伦氏》(BaRDn’s)的一项最新调查表明,目前至少有51家在纽约股市上市的网络公司因资金不足,正面临倒闭的危险。一种新经济形式在出现之初,掀起大量泡沫,吸引投资者的目光以加快其发展元可厚非,但长此下去必将带来灾难。可以说20肋年4月初美国股市全线下跌,未尝不是一件好事,它给技术股带来了重新调整的机会,有利于美国经济的持续增长。要想从根本上清除这一泡沫,还有赖于传统产业与网络产业的结合。传统产业有自己多年的经验和物质基础,而网络产业则拥有成熟和强大的网络技术支持,二者的相互合作将给网络经济带来新的推动力。事实也表明这代表了网络经济的发展方向。2009年,全球最大的商业零售商沃尔玛公司与美国在线合作开展网上销售,取得了不凡业绩。计算机行业的瓜比公司也开始充分利用互联网这一平台,收集客户的需求信息,开展网上销售活动,以实现零库存、零风险的运营策略。
四、结语
本文指出了电子商务的概念以及特点,分析了目前电子商务领域所使用的安全技术:数据加密技术,身份认证技术,网上支付平台及支付网关,指出了它们分别的使用范围及其优缺点,必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
