中国交易类电子商务网站存在的若干问题的分析与研究.doc

中国交易类电子商务网站存在的若干问题的分析与研究 电子商务是利用各种电子化手段进行的商务活动,其价值的实现主要依托于网络,尤其是互联网,它已经成为互联网应用的一个必然趋势和金融商贸的主要模式之一.如何建立一个安全的电子商务应用环境,对信息提供足够的保护,已经成为电子商务必须直面的一个问题. 由于电子商务的重要技术特征是利用网络来传输和处理商业信息,因此,电子商务安全主要包括两个方面:网络安全和商务安全.而这些安全的实现又依托于一些具体的安全技术,遵循相关安全协议 <一>网络安全问题 网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性.网络安全是电子商务的基础,其问题一般表现为: 1.1 计算机本身潜在的安全隐患带来的网络安全问题 计算机使用的是未经过相关的网络安全配置的操作系统,不论是什么操作系统,在缺省安装的条件下都会存在一些安全问题,而仅仅将操作系统按缺省安装后,再配上很长的密码就认为安全的想法是不可靠的.因为计算机本身存在的软件漏洞和"后门"往往是网络攻击的首选目标. 1.2 入侵者风险降低获利升高带来的刺激引发的网络安全问题 由于网络的全球性,开放性,共享性的发展,使得任何人都可以自由地接入互联网,而这其中也包括了黑客,入侵者和病毒制造者.他们采用的攻击方法越来越多,对电子商务的威胁也显得越来越明显.相对而言,袭击者本身的风险却非常小,甚至可以在袭击后很快就消失得无影无踪,使对方几乎没有实行报复打击的可能,这使他们的活动更加猖獗.美国的"雅虎"和"亚马逊"曾受到攻击的事件就说明了这一点. <二>商务安全问题 商务安全指商务交易在网络媒介中体现出来的安全问题,也就是要实现电子商务信息的保密性,完整性,真实性和不可抵赖性. 在早期的电子交易中,曾采用过一些简单的安全措施.例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知,以防泄密,网上交易后再用其他方式对交易做确认,以保证其真实性和不可抵赖性.这些方法不仅操作不便,而且有一定的局限性,也不能实现其真正的安全性. 商务安全中普遍存在的几种安全隐患 2.1 窃取信息 信息在传输过程中未采用相应的加密措施或加密强度不够,导致数据信息在网络上以明文或近乎明文的形式传送.入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息,通过对窃取数据参数的分析比对,找到信息的格式和规律,进而得到传输信息的内容,导致消费者消费信息,账号密码和企业商业机密等信息的外泄. 2.2 篡改信息 当入侵者掌握了信息的格式和规律后,通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地,从而破坏信息的真实性.入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策. 2.3 信息假冒 由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以进一步冒充合法用户获取和发送信息,而远端接受方或发送方通常不易分辨.常见的方式有伪造用户和商户的收定货单据,套取或修改相关程序的使用权限等. 2.4 信息破坏 由于攻击者已侵入网络,已获得对网络中信息的修改权限,如其对网络中现有机要信息进行修改乃至于删除,其后果是非常严重的. <三> 电子商务的安全技术 3.1 加密技术 加密技术是保证电子商务安全的重要手段,为保证电子商务安全使用加密技术对敏感的信息进行加密,保证电子商务的保密性,完整性,真实性和非否认服务. 3.1 加密技术的现状 如同许多IT技术一样,加密技术层出不穷,为人们提供了很多的选择余地,但与此同时也带来了一个问题——兼容性,不同的企业可能会采用各自不同的标准. 另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制.目前,美国的企业一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口.虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多.美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾.目前,我国由上海市电子商务安全证书管理中心推出的128位SSL算法,弥补了国内的这一空缺,也为我国电子商务安全带来了广阔的前景. 3.2 常用的加密技术 对称密钥密码算法:对称密码体制由传统简单换位代替密码发展而成,加密模式上可分为序列密码和分组密码两类. 不对称型加密算法:也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,两者必须成对使用才能完成加密和解密的全过程.本技术特别适用于分布式系统中的数据加密,在网络中被广泛应用.其中公用密钥公开,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的接受方保管. 不可逆加密算法:其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入同样的数据经过同一不可逆加密算法的比对才能得到相同的加密数据.因为其没有密钥所以不存在密钥保管和分发问题,但由于它的加密计算工作量较大,所以通常只在数据量有限的情况下,例如计算机系统中的口令信息的加密. 3.3 电子商务领域常用的加密技术 数字摘要:又称安全Hash编码法.该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致. 数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用.它的主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要).发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方.报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密.如果两个散列值相同,那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性,有效地防止了签名的否认和非正当签名者的假冒. <四>电子商务现在存在的问题 4.1宏观缺乏总体指导，微观缺少系统规划，电子商务整体上尚处于探索式的自由发展状态 从宏观上讲，我国尚未出台国家电子商务的发展规划，虽然国家发改委、商务部、科技部等部委从不同角度推进电子商务进程，在环境建设、对外交流、应用试点等方面取得了一定的成绩，但是，我国电子商务在整体上尚处于探索式的自由发展状态，市场行为有待进一步规范，整体应用水平有待进一步深化。 从微观上讲，我国企业对未来信息化在企业发展中的战略意义普遍认识不足，缺乏企业信息化长远发展规划，消极对待信息化与盲目冒进跟风式的发展信息化的两个极端现象大量存在。另一方面，我国企业普遍尚未建立适应未来发展的现代企业制度，业务流程重组推行困难，信息化的潜在作用不能得到充分发挥。 4.2信用、认证、标准、现代物流、法律法规等支撑体系发展的滞后，已经成为制约我国电子商务发展的主要瓶颈 我国尚未形成促进电子商务发展的有力支撑体系，包括信任、认证、标准、现代物流、法律法规等在内。商务部发布《中国电子商务报告（2003年）》从企业角度进行调查，结果显示制约我国电子商务发展的障碍主要是外部环境的不成熟。重要性列前五位的因素中，环境因素占四个，分别是电子合同执行和监督难，传统物流发展滞后，互联网接入的安全性和保密性不足，电子商务相关法律不健全。相比较而言，反映企业内部能力的因素排名比较靠后，如资金问题、现有业务流程不合理的问题、互联网接入和使用费用负担过高的问题等等。 由于基础支撑体系的不完善，我国大多数企业的电子商务尚处于信息发布、收集、交流的阶段。从事网上采购的企业仅占4.1%，能够网上销售的企业仅占3.4%，大多数订单与合同的正式签订，以及支付、配送等活动主要还是在网下进行，电子商务的作用范围变得十分有限。 4.3中小企业整体信息化水平低下，是制约我国电子商务发展的基础问题 我国大中小型企业有千万家，其中99％是中小企业。由于中小企业基础薄弱，普遍投入不足，使得这些企业既有信息化的迫切需求，但在资金、技术、人才、以及管理基础等方面又难以承担信息系统开发和运行的工作。因此，我国中小企业信息化整体水平低下，特别是传统行业的小企业，信息化基本尚处于初级水平，我国电子商务的发展亟待强化整体基础。 4.4我国电子商务的外向型程度亟需提高 我国企业借助电子商务促进与国际接轨、参与国际竞争、开拓国际市场的能力亟需加强。我国电子商务距离实现“在更大范围、更广领域和更高层次上参与国际经济技术合作和竞争，充分利用国际国内两个市场、两种资源、优化资源配置、拓展发展空间”的战略目标，还有很大差距。 <五>结语 安全是电子商务的核心和灵魂.电子商务对网络安全与商务安全的双重要求,使网络安全与商务安全密不可分.没有计算机网络安全作为基础,商务交易安全犹如空中楼阁,无从谈起;没有商务安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求.而电子商务相应的实现技术和各种协议正是安全得以实现的保证.