电子商务安全问题浅析
来源:用户上传
作者: 韩基龙
电子商务是随着互联网技术的发展而产生的一种全新的贸易形式,随着电子商务环境的规范和技术的完善,中国电子商务企业必然走向世界,这也是进一步扩大对外经贸合作,适应经济全球化、提升中国企业国际竞争力的需要。随着电子商务的蓬勃发展,电子商务的安全问题日益凸显。如何保证网上交易的有效性、机密性、完整性和可靠性是电子商务可持续发展的关键。现在看,电子商务安全问题的解决主要分为两大方面,一方面是技术防范,另一方面是安全管理。
一、电子商务技术防范
1、加密技术
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。明文变为密文的过程称为加密,由密文还原为明文的过程称为解密,加密和解密的规则称为密码算法。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。它们的主要区别在于所使用的加密和解密的密码是否相同。对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。使用对称加密技术将简化加密的处理,每个参与方都不必彼此研究和交换专用设备的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。
2、认证技术
认证技术是信息安全理论与技术的一个重要方面,也是电子商务安全的主要实现技术。采用认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全要求,较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。认证技术主要涉及身份认证和报文认证两个方面的内容。身份认证用于鉴别用户身份,报文认证用于保证通信双方的不可抵赖性和信息的完整性。在某些情况下,信息认证显得比信息保密更为重要。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。
3、安全电子交易协议
电子交易是电子商务活动的核心内容。如何在开放的公用网上构筑安全的交易模式,一直是业界研究的热点。毫无疑问,只有建立在前面介绍过的各种加密技术和认证技术的基础上,才有可能构筑一个安全的电子交易模式。目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL协议和安全电子交易SET协议。
4、黑客防范技术
目前,黑客攻击已成为网络安全所面临的最大威胁,同时黑客防范技术也成为了网络安全的主要内容,受到了各国政府和网络业界的高度重视。为了有效地防范黑客,首先需要掌握黑客技术,即黑客入侵使用的一些技术。这些技术主要包括缓冲区溢出攻击、特洛伊木马、端口扫描、IP欺骗、网络监听、口令攻击、拒绝服务(DOS)攻击等。只有很好地掌握了这些黑客技术,才有可能做到“知彼知已,百战不殆”。在了解黑客技术的基础上,目前人们已提出了许多相应有效的反黑客技术,主要包括网络安全评估技术、防火墙技术、入侵检测技术等。
5、虚拟专用网技术
虚拟专用网(VPN)技术是一种在公用互联网络上构造企业专用网络的技术。通过VPN技术,可以实现企业不同网络的组件和资源之间的相互连接,它能够利用Internet或其他公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。虚拟专用网络允许远程通信方、销售人员或企业分支机构使用Internet等公共互联网络的路由基础设计,以安全的方式与位于企业内部网的服务器建立连接。VPN对用户端透明,用户好象使用一条专用路线在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。
二、安全管理
现阶段我国企业仍以技术为主要的安全防范措施,几乎很少有企业能够从管理的角度来进行电子商务的信息安全建设。总的来说,存在的问题表现为以下几点:
1、“重技术、轻管理”。往往由于管理手段不到位,导致先进的技术无法发挥应有的效能。信息安全问题的解决需要技术,但又不能单纯依靠技术,信息化的过程其实是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。安全是一个交互的过程,“三分技术,七分管理”阐述了信息安全的本质。
2、没有从整体上、有计划地考虑信息安全问题。企业各部门、各下属机构也存在“各自为政”的局面,缺少统一规划、设计和管理。信息安全强调的是整体上的信息安全性,而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的建设必须涵盖各部门和各公司的信息安全保障体系的相关内容。收集现有的已发生的电子商务安全问题及解决方案,向企业从事电子商务操作的人员及客户搜集电子商务信息安全所面临的潜在的问题,通过建立并保持与有关专家的对话来促使问题得到解决,并将其存储到数据库,使其与相应问题连接以保证电子商务操作人员在面临安全问题并试图解决时能尽快获得必要的信息。
3、企业管理高层对信息安全的认识不够,缺少与之配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际要求出发,加快信息安全人才的培养。通过各种形式,如笔试、面试及其他测试来进行初级选拔,经过一定时间的考察,选拔责任心强、讲原则守纪律、了解市场并懂得基本网络知识和安全知识的人员。对于重要的业务,尤其是企业机密文件及用户资料等业务不要安排一个人单独管理,应实行两人或多人相互制约的机制;重要业务操作人员及交易安全等职务的任期有限;对于网络访问权限的设定应保证不同业务的人员应具有不同的访问权限。
4、企业对员工的信息安全教育不够。员工的信息安全意识薄弱,90%的安全事故是由于人为的疏忽所造成。如:有些企业不限制内部人员使用高科技信息载体(U盘、移动硬盘及笔记本电脑等移动办公设备。要求电子商务网上交易人员严格遵守企业网上交易安全制度,明确网上交易人员及管理人员的责任。面临安全问题时及时汇报,并对违反网上交易安全规定的行为进行惩罚,对有关责任人进行严肃处理。
5、缺少信息安全的监督审计机制,导致安全项目实施完后无法发挥长期效能,安全策略无法持续性改进。缺少监督审计,就会使得管理制度流于形式,变得空洞。必须建立安全审计机制,定期对安全制度和安全策略进行审计,对安全管理工作进行核查,找出安全管理中的问题和漏洞,并制定相应的解决方案进行安全加固。
总之,电子商务安全问题是一个综合性的管理问题,应通过对电子商务安全技术及管理的研究,推动电子商务进一步发展。
(作者单位:东北财经大学研究生院)
(责任编辑:文峰)
转载注明来源:https://www.xzbu.com/2/view-455490.htm