浅谈电子商务中的信息安全防护

　　所谓电子商务,就是利用计算机技术、网络技术和远程通信技术,实现整个商务(买卖)过程中的电子化、数字化和网络化。它是将传统商务活动中物流、资金流、信息流的传递方式利用网络科技整合,将重要的信息以全球信息网(www)、企业内部网(Intranet)或外联网(Extranet)直接与分布各地的客户、员工、经销商及供应商连接,创造更具有竞争力的经营优势。
　　一、电子商务的优势
　　与传统的商务活动方式相比,电子商务具有以下几个特点:第一,交易虚拟化。贸易双方从贸易磋商、签订合同到支付等,无需当面进行,均通过计算机互联网完成,整个交易完全虚拟化。第二,交易成本低,效率高。电子商务将传统的商务流程电子化、数字化,不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。第三,交易透明化。电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而在一定程度上改变了社会经济的运行方式。第四,电子商务提供了丰富的信息资源,提高了中小企业的竞争能力,为社会经济要素的重新组合提供了更多的可能。
　　二、电子商务必须具备的安全技术指标
　　虽然电子商务较之传统商务活动有着无可比拟的优越性,但其自身要求必须具备较高的安全技术指标。第一,信息的保密性。指信息在存储、传输和处理过程中,不被他人窃取。第二,信息的完整性。指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。第三,信息的不可否认性。指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。第四,交易者身份的真实性。指交易双方的身份是真实的,不是假冒的。第五,系统的可靠性。指计算机及网络系统的硬件和软件工作的可靠性。
　　三、我国目前电子商务存在的漏洞
　　由于我国在信息产业上的投入不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识,核心技术严重依赖国外,信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的＂玻璃网＂。由于缺乏自主技术,我国的网络处于被窃听,干扰、监视和欺诈等多种信息安全威胁中。加之全民信息安全意识淡薄,警惕性不高,网络安全处于极脆弱的状态。
　　1.电子商务安全面临的问题
　　(1)网络协议安全性问题。企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。
　　(2)用户信息安全性问题。目前,最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易。由于用户在登录时使用的有可能是公共计算机,那么,如果这些计算机中存在恶意木马程序或病毒,这些用户的登录信息,如用户名、口令等,就可能会有丢失的危险。
　　(3)电子商务网部的安全性问题。有些企业建立的电子商务网站本身在设计制作时就存在一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取。
　　2.电子商务安全问题的具体表现
　　(1)信息窃取、篡改与破坏。电子的交易信息在网络传输的过程中,可能会被他人非法修改、删除或重放,从而使信息失去真实性和完整性。例如,网络硬件和软件的问题而导致信息传递的丢失与谬误;或者是一些恶意程序的破坏而导致电子商务信息遭到破坏。
　　(2)身份假冒。如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易,败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。
　　(3)诚信安全问题。电子商务的在线支付形式有电子支票、电子钱包、电子现金、信用卡支付等。但是,采用这几种支付方式,都要求消费者先付款,然后商家再发货。因此,诚信安全也是影响电子商务快速发展的一个重要问题。
　　(4)交易抵赖。交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容,收信者事后否认曾经收到过某条消息或内容,购买者做了定货单不承认,商家卖出的商品因价格差而不承认原有的交易等等。
　　(5)病毒感染。我国的计算机病毒主要是蠕虫等病毒在网上的猖獗传播。蠕虫主要是利用系统的漏洞进行自动传播复制,由于传播过程中产生巨大的扫描或其他攻击流量,从而使网络流量急剧上升,造成网络访问速度变慢甚至瘫痪。
　　(6)黑客。黑客指的是一些以获得对其他人的计算机或者网络的访问权为乐的计算机爱好者。而其他一些被称为＂破坏者(cracker)＂的黑客则怀有恶意,他们会摧毁整个计算机系统,窃取或者损害保密数据,修改网页,甚至最终导致业务的中断。
　　(7)特洛伊木马程序。特洛伊木马程序简称特洛伊,是破坏性代码的传输工具。
　　(8)网络攻击。目前已经出现的网络攻击通常被分为三类:探测式攻击,访问攻击和拒绝服务(Dos)攻击。控测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后的进一步攻击网络。访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件账号、数据库和其他保密信息。Dos攻击可以防止用户对于部分或者全部计算机系统的访问。
　　四、我国电子商务发展的改革建议
　　1.加强基础设施建设
　　电子商务是基于信息网络的商务活动,需要建设必要的信息基础设施和手段,包括各种信息传输网络的建设、信息传输设备的研制、信息技术的开发等,使电子商务的发展奠定在坚实的环境建设基础上。要构建一个值得信赖并能够保证信息的完整性和安全性的多层次的开放的网络体系,必须加强基础网络的建设,改善国内用户环境。
　　2.加强对电子商务发展的宏观规划和指导
　　发展电子商务是政府经济工作的责任。与发达国家相比,发展中国家的企业规模偏小,信息技术落后,债务偿还能力低,政府的参与有助于引进技术、扩大企业规模和提高企业偿还债务的能力。另外,许多发展中国家的信息产业都处于政府垄断经营或政府高度管制之下,没有政府的积极参与和帮助将很难在这些国家快速地发展电子商务。所以,必须发挥政府的宏观规划和指导作用,明确各级政府在推动电子商务发展中的责任,制定相应的电子商务发展规划,从而协调、组织和引导电子商务的发展。
　　3.构造适合电子商务发展的法制环境
　　从交易安全方面看,目前一个迫切需要解决的问题是制定一些相关的电子商务法律,加强数据保护,保证用户的个人隐私权,保证用户具有对Internet上的信息进行控制的自主权,以解决电子商务上发生的各种纠纷,防止诈骗等案件的发生,保证消费者在电子商务活动中的合法权益不受侵犯。
　　从电子支付方面看,也需要制定相应的法律,明确电子支付的当事人包括付款人、收款人和银行之间的法律关系;制定相关的电子支付制度,认可电子签名的合法性;同时,还应出台对于电子支付数据的伪造、变造、更改、赊销问题的处理办法。
　　促进我国电子商务的发展,必须发展有自主知识产权的信息安全产业,加大信息产业投入。另外,要加强国际防范,创造良好的安全外部环境。
　　(作者单位:山东省淄博市科技开发交流中心)