浅析电子商务安全与管理
绪论
随着社会信息化步伐的加快,网络交易安全成为了电子商务发展的核心问题。技术的发展非常的快,而且实施系统侵害的手段和方法不断在变化,因而制定科学的安全策略和评价体系尤其重要,重视安全管理和安全技术的运用,为电子商务的发展创造良好的环境。
1 电子商务安全概况
电子商务是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的过程。它是利用IT技术来传输和处理商业信息。电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全和数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。电子商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题,在计算机网络安全的基础上,保障电子商务过程的顺利进行。计算机网络安全与电子商务交易安全两者相辅相成,缺一不可。没有计算机网络安全作为基础,电子商务交易安全就犹如空中楼阁,无从谈起。没有电子商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。因此安全问题就成为电子商务最核心的问题。
2 电子商务安全问题
在计算机互联网络上实现的电子商务交易必须具有机密性、完整性、认证性、性和有效性等特性。电子商务实施的前提是信息的安全保障,因此电子商务交易活动的信息安全问题主要体现如下:
2.1计算机网络安全
? 1)服务器安全问题。
电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和信息,并且服务器上的数据库里有企业的一些保密数据,目前服务器的安全问题尚无有效措施予以阻止。
2)信息的安全问题。
电子商务实施的前提是信息的安全保障,具有完整性、可用性、保密性和可靠性的信息才是安全的。非法用户通过不正当手段拦截会话数据,对截获的网络数据恶意篡改,导致合法用户无法正常交易。
3)防病毒问题。
互联网的出现又为病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,造成重大的经济损失。
4)安全协议问题。
随着经济和信息全球化的时代到来,但安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
2.2 电子商务交易的安全
1)交易信息的保密性。
在电子商务的信息传播中有加密的要求,以防止非法的信息存取和信息在传输过程中被非法窃取。
2)交易双方身份的不确定性。
由于电子商务的实现需要借助于虚拟网络平台,交易双方的身份也可能是虚假的。攻击者通过非法手段窃取合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从中获得非法收入。
3)交易的不可抵赖性。
电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。因此要在交易信息的传输过程中为参与交易的个人、企业和国家提供可靠标识。
4)交易数据的完整性。
完整性要求数据不被增删或修改,否则必然会影响到另一方的利益。防止对信息的随意生成、修改和删除,同时要预防在数据传送过程中信息的丢失和重复,并保证信息传送次序的统一。
3 保障电子商务信息安全措施
3.1 数据加密技术
对数据进行加密是电子商务系统最基本的信息安全防范措施。其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。
3.2 数字签名技术
数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。
3.3 认证机构和数字证书
所谓CA(Certificate Authority)认证机构,它是采用PKI(Public Key Infrastructure)公开密钥基础架构技术,利用数字证书、非对称和对称加密算法、数字签名、数字信封等加密技术,建立起安全程度极高的加解密和身份认证系统,确保电子交易安全地进行。CA认证机构作为权威的、可信赖的、公正的第三方机构,提供网络身份认证服务,专门负责发放并管理所有参与网上交易的实体所需的数字证书。
3.4 其他安全技术和措施
电子商务安全中,常用的方法还有网络中采用安全认证协议、防火墙技术、虚拟专用网(VPN)技术、防病毒保护等安全技术。多种技术相结合才能为用户提供更为可靠的电子商务安全基石。
4 电子商务安全问题的对策
4.1 建立和完善电子商务安全法律法规体系。
电子商务实践要求有透明、和谐的交易秩序和环境保障,为此须建立和完善相应的法律体系。对于一些全新领域可以进行单独立法,可以参照联合国《电子商务示范法》制定我国的电子商务基本法,从而形成我国电子商务完整的法律体系。电子商务安全方面的法制建设则应涵盖:保护隐私权、保护消费者权益、保证信息的合法访问、数字签名与认证机构、计算机违法犯罪问题的控制等。
4.2 完善电子商务企业内部安全管理体制,增强相关人员的安全意识。
首先必须对企业内部所有人员进行信息安全意识教育,充分理解安全对企业的重要性。其次,须针对信息存储的不安全因素采取适当的防范措施,硬件的电源故障可设置合适的不间断电源,操作系统和应用软件的不安全因素可采用经常升级和下载软件补丁程序的方法,计算机防病毒软件要经常升级。
4.3 建立网络风险防范机制和网络安全技术规范
在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。 统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。 没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。国际上出现的网络安全技术规范,目的就是要在统一的网络环境中保证隐私信息的绝对安全。根据国际标准建立符合我国国情的网络安全技术规范。
5 结论
在我国,电子商务的安全问题已经是导致电子商务发展滞后的不争的事实。对网络安全问题国家要成立专门的领导协调机构,加强网络安全管理,加快网络安全专业人才的培养,抓紧网络安全基础设施建设;建立安全可靠的信息网络系统,建立网络风险防范机制和社会化信用体系;强化网络技术创新,防范金融风险,避免经济动荡,以保障国家政治稳定和维护国家安全。
