论文部分内容阅读
[摘 要] Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心和关键问题。
[关键词] 电子商务安全 策略 措施
Abstract: The openness that Internet has is the basis for the simple and widespread application of e-commerce. But the openness itself can also bring about various risks to the on-line transaction. Security issue has always been the core and key issue of e-commerce.
Keywords: security of e-commerce,Strategy,Measures
在全球信息一体化趋势的影响下,各国的电子商务不断发展和完善,成为各个国家和各大公司争夺的焦点。随着电子商务的普及与发展,电子商务的安全问题也越来越受到人们的关注。美国密执安大学的一个调查机构通过对23000名因特网用户调查显示,超过60%的人由于担心电子商务的安全性问题而不愿进行网上购物;而据中国互联网信息中心(CNNIC)2003年7月的统计报告,用户认为目前网上交易存在的最大问题是除去产品质量、售后服务及厂商信用得不到保障外,列第二位的就是安全性得不到保障。由此可见,电子商务交易的安全问题已经成为制约电子商务发展的一个重要因素。下面将就电子商务安全问题,谈谈个人的看法。
首先,电子商务的安全问题是商务活动的特定需要,无论何种商务活动,发展的一个基本要求就是参与活动的各方利益能得到正常的保护。如果安全问题无法解决,最终市场将会消失,而这种商务模式也将逐渐消亡。
其次,电子商务的安全是一个系统的概念,它不仅与计算机系统有关,还与电子商务应用的环境、人员素质、管理和社会因素有关。主要表现在以下几个方面:
1.物理安全方面。物理安全主要包括主机硬件安全和物理线路安全,它是电子商务安全的前提。一般来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等。
2.网络安全方面。网络安全包括:大部分iInternet协议没有进行安全设计,信息传输采用明文传输;外部用户非授权访问尝试;假冒主机或用户;对信息完整性的攻击;对信息流次序、内容进行修改;服务干扰等。
3.操作系统抵御攻击能力方面。对操作系统攻击主要包括为授权存取、越权使用、信息泄露、用户过多占用系统资源等。
4.应用系统安全方面。应用系统安全是指主机系统上的应用软件层面的安全,如web服务器、proxy服务器、数据库的安全问题。攻击者可以利用应用系统的漏洞、安全隐患实施攻击,从而影响系统正常运行。
5.抵御黑客、病毒攻击的能力方面。黑客和病毒是目前影响互联网安全的两大主要因素。它们能破坏系统,使电子商务系统不能正常运行;能盗取商务系统的敏感资料,比如客户资料,帐户资料,业务往来情况等等,能利用非法盗取的帐户资料在系统里面捣乱,比如,恶意购销等,给帐户造成损失并且破坏帐户的信誉。
6.人员管理方面。最坚固的堡垒,最容易被人从内部攻破。据统计,70%以上的信息安全案件是由于内部管理疏忽导致的。例如,1996年2月,EPSON公司离职人员入侵公司系统就是一个典型。
最后,针对上述安全问题,我们可以采取以下措施:
1.在物理安全方面,我们必须保证设备不受电、火灾和雷击的侵害;布线时应考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。
2.在网络安全方面。
(1)为防止传输过程信息外泄,我们可以采用数据加密技术。所谓数据加密技术,就是对信息进行重新编码,从而达到隐藏信息内容,使得非法用户无法获取信息真实内容的一种技术手段。加密技术是保证电子商务安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。
(2)对于用户非授权访问、鉴别用户身份真伪、信息完整性攻击以及对信息流次序内容进行修改、服务干扰的问题,我们可以建立和完善电子商务认证体系。它可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求,较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。
3.在操作系统攻击问题上,到目前为止恐怕还没有绝对安全的操作系统可以选择,无论是Microsfot 的Windows NT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其能完成的操作限制在最小的范围内。
4.应用系统安全问题。应用系统的安全是动态的、不断变化的。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。
5.对于黑客和病毒,目前为止没有一种软件能百分之百地防止病毒和黑客入侵。对于它们,我们只能严格检查商务系统中有无漏洞,及时采取补救措施,及时更新操作系统补丁。安装合适的杀毒工具,最好有硬件防火墙,屏蔽各种网络攻击行为。严禁在服务器上开启无关的端口和服务项,严禁安装无关程序,严格设置权限。
6. 人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育,选择有较高职业道德修养的人做网络管理员,制订出具体措施,提高安全意识。
近年来电子商务发展很快,但是有关的安全保障还不完善。这已经成为影响电子商务发展的一个障碍。为此,我们必须加快建设和完善有关的电子商务安全系统。这将是一个综合性的、涉及全社会的系统工程。具体而言,我们要从法律上承认电子通讯记录的效力,给电子商务以法律保障;我们要加强对电子签名等的研究,给电子商务以技术保障;我们还要尽快建立电子商务认证体系,给电子商务以组织保障。而且,针对电子商务无国界的特点,我们还应该加强国际合作,使电子商务真正发挥其应有的作用。唯有如此,电子商务才能真正成为一种主导的商务模式。■
[关键词] 电子商务安全 策略 措施
Abstract: The openness that Internet has is the basis for the simple and widespread application of e-commerce. But the openness itself can also bring about various risks to the on-line transaction. Security issue has always been the core and key issue of e-commerce.
Keywords: security of e-commerce,Strategy,Measures
在全球信息一体化趋势的影响下,各国的电子商务不断发展和完善,成为各个国家和各大公司争夺的焦点。随着电子商务的普及与发展,电子商务的安全问题也越来越受到人们的关注。美国密执安大学的一个调查机构通过对23000名因特网用户调查显示,超过60%的人由于担心电子商务的安全性问题而不愿进行网上购物;而据中国互联网信息中心(CNNIC)2003年7月的统计报告,用户认为目前网上交易存在的最大问题是除去产品质量、售后服务及厂商信用得不到保障外,列第二位的就是安全性得不到保障。由此可见,电子商务交易的安全问题已经成为制约电子商务发展的一个重要因素。下面将就电子商务安全问题,谈谈个人的看法。
首先,电子商务的安全问题是商务活动的特定需要,无论何种商务活动,发展的一个基本要求就是参与活动的各方利益能得到正常的保护。如果安全问题无法解决,最终市场将会消失,而这种商务模式也将逐渐消亡。
其次,电子商务的安全是一个系统的概念,它不仅与计算机系统有关,还与电子商务应用的环境、人员素质、管理和社会因素有关。主要表现在以下几个方面:
1.物理安全方面。物理安全主要包括主机硬件安全和物理线路安全,它是电子商务安全的前提。一般来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等。
2.网络安全方面。网络安全包括:大部分iInternet协议没有进行安全设计,信息传输采用明文传输;外部用户非授权访问尝试;假冒主机或用户;对信息完整性的攻击;对信息流次序、内容进行修改;服务干扰等。
3.操作系统抵御攻击能力方面。对操作系统攻击主要包括为授权存取、越权使用、信息泄露、用户过多占用系统资源等。
4.应用系统安全方面。应用系统安全是指主机系统上的应用软件层面的安全,如web服务器、proxy服务器、数据库的安全问题。攻击者可以利用应用系统的漏洞、安全隐患实施攻击,从而影响系统正常运行。
5.抵御黑客、病毒攻击的能力方面。黑客和病毒是目前影响互联网安全的两大主要因素。它们能破坏系统,使电子商务系统不能正常运行;能盗取商务系统的敏感资料,比如客户资料,帐户资料,业务往来情况等等,能利用非法盗取的帐户资料在系统里面捣乱,比如,恶意购销等,给帐户造成损失并且破坏帐户的信誉。
6.人员管理方面。最坚固的堡垒,最容易被人从内部攻破。据统计,70%以上的信息安全案件是由于内部管理疏忽导致的。例如,1996年2月,EPSON公司离职人员入侵公司系统就是一个典型。
最后,针对上述安全问题,我们可以采取以下措施:
1.在物理安全方面,我们必须保证设备不受电、火灾和雷击的侵害;布线时应考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。
2.在网络安全方面。
(1)为防止传输过程信息外泄,我们可以采用数据加密技术。所谓数据加密技术,就是对信息进行重新编码,从而达到隐藏信息内容,使得非法用户无法获取信息真实内容的一种技术手段。加密技术是保证电子商务安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。
(2)对于用户非授权访问、鉴别用户身份真伪、信息完整性攻击以及对信息流次序内容进行修改、服务干扰的问题,我们可以建立和完善电子商务认证体系。它可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求,较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。
3.在操作系统攻击问题上,到目前为止恐怕还没有绝对安全的操作系统可以选择,无论是Microsfot 的Windows NT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其能完成的操作限制在最小的范围内。
4.应用系统安全问题。应用系统的安全是动态的、不断变化的。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。
5.对于黑客和病毒,目前为止没有一种软件能百分之百地防止病毒和黑客入侵。对于它们,我们只能严格检查商务系统中有无漏洞,及时采取补救措施,及时更新操作系统补丁。安装合适的杀毒工具,最好有硬件防火墙,屏蔽各种网络攻击行为。严禁在服务器上开启无关的端口和服务项,严禁安装无关程序,严格设置权限。
6. 人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育,选择有较高职业道德修养的人做网络管理员,制订出具体措施,提高安全意识。
近年来电子商务发展很快,但是有关的安全保障还不完善。这已经成为影响电子商务发展的一个障碍。为此,我们必须加快建设和完善有关的电子商务安全系统。这将是一个综合性的、涉及全社会的系统工程。具体而言,我们要从法律上承认电子通讯记录的效力,给电子商务以法律保障;我们要加强对电子签名等的研究,给电子商务以技术保障;我们还要尽快建立电子商务认证体系,给电子商务以组织保障。而且,针对电子商务无国界的特点,我们还应该加强国际合作,使电子商务真正发挥其应有的作用。唯有如此,电子商务才能真正成为一种主导的商务模式。■