引言

隨著全球信息技術的蓬勃發展,網絡已經深入生活的每個角落.以網絡為主要載體的電子商務也迅猛發展.但由于網絡環境的開放性強、相關法律監管機制不健全等原因,電子商務在交易信息傳遞、支付等方面都存在安全隱患.建立電子商務發展的安全管理機制,對其發展具有重要意義.

本文定義了對于電子商務安全的基本要求,在此基礎上對我國目前存在的電子商務安全問題從各個角度進行了深入分析,最后從意識、組織結構、組織制度以及安全技術等各方面提出全面的解決對策,從而構建我國電子商務安全管理機制.

1 電子商務基本安全要求

電子商務是瀏覽器技術、數據庫技術、各種編程語言不斷發展而產生的實際應用之一,是貿易的新形式,它建立起全新的交易渠道,甚至改變了人們的生活方式.電子商務是指通過網絡技術,交易各方可以突破時間、空間限制進行產品及服務交易的貿易形式,包括詢價、報價、支付、物流管理等各個環節均通過網絡進行.電子商務中的安全問題分為信息安全與網絡安全兩個方面.信息安全包括信息竊取、信息篡改、信息假冒、交易抵賴、非法訪問、計算機病毒等.物理實體引發的安全問題包括功能失常、電源故障、電磁泄露、搭線竊聽、黑客攻擊、軟件漏洞及系統“后門”、網絡協議安全漏洞等.電子商務基本安全需求包括以下幾個方面.

1.1 交易實體身份可認證性需求
交易活動離不開交易主體,交易主體在交易前首先必須相互確認對方身份.可認證性需求是電子商務活動的基本安全需求,在確認對方身份的基礎上,交易活動其他環節才可能開展.

1.2 信息保密性需求
在電子商務活動中,交易者個人信息或交易信息在傳遞過程中如果被他人或其他未經授權的組織竊取、或者未經授權被泄露給其他人,將損害交易者利益或使交易無法正常進行.因此電子商務交易中需要保證信息不被他人竊取、不被泄漏或披露給未經授權的人或組織.

1.3 信息完整性需求
在信息保密的基礎上,交易信息還應不被第三方修改、建立、嵌入、重復傳送.交易信息的完整性需求保證在網絡中買方的訂單等信息準確傳遞到賣方,也可以保證賣方報價、發貨等信息無誤的傳遞給買家.

1.4 交易信息的不可抵賴性需求
也稱不可否認性需求,指信息的發送方不能否認發送信息,接收方不能否認已經收到的信息.由于市場信息瞬息萬變,在電子商務活動中,應確保重要信息發送后不可抵賴,保障買賣雙方利益.

1.5 商務服務的不可拒絕性需求商務活動建立在廣泛收集信息的基礎上.在進行交易過程中,買方主要通過訪問電子商務門戶網站、后臺數據庫來實現.因此應保證交易參與方在正常訪問網站或后臺數據庫資源時不被拒絕,進而滿足用戶各種電子商務活動需求.

2 我國電子商務面臨的主要安全問題

2.1 電子商務交易信息安全問題
和傳統商務一樣,電子商務在交易過程中需要傳遞大量信息,包括交易前信息的收集,詢價、報價單信息,交易合同,發貨單信息以及物流信息等.以網絡作為主要載體的電子商務,從詢價到下單再到發貨付款,整個交易完成都在網絡中進行,交易信息也都通過網絡傳遞.由于互聯網開放性的特點,電子商務交易信息極易被第三方竊取.這些交易信息可能被非法使用、篡改、甚至丟失,進而破壞交易進行.

2.2 電子商務交易信用安全問題
交易雙方的信用等級是決定雙方是否交易的基本指標.在傳統商務活動中,買賣雙方通過面對面接觸、實地考察以及貨幣本身的信用進行交易.能否確認交易雙方身份及信用等級,防止身份偽造或交易抵賴,決定了交易最終能否成功.

2.3 電子商務支付安全問題
電子商務支付是電子商務交易過程中商品價值的轉移,標志著交易是否真正實現.長期以來,支付一直是制約我國電子商務發展的瓶頸.一方面,由于信用卡在發達國家廣泛使用,電子商務支付主要采用信用卡支付.信用卡支付采用安全級別較高的SET協議,支付安全問題較少.我國由于信用體系尚不健全,信用卡使用未普及等原因,多采用第三方等其他支付手段.另一方面,我國網絡群體較年輕,防范意識差,也是電子商務支付存在風險的主要因素.

2.4 電子商務法律問題
上個世紀末,電子商務在我國開始發展.2012年,我國電子商務交易額已經達到8.1萬億元.與電子商務的蓬勃發展形成鮮明對比的是相關法律的缺失.我國于1996年成立國際電子商務中心,相繼實施《中華人民共和國電子簽名法》、《信息網絡傳播權保護條例》、《關于維護互聯網安全的決定》、《專利法實施條例》、國務院《管理電子商務發展的若干意見》、《互聯網電子郵件發展管理辦法》、《電子商務行業規范》等法律法規.但整體立法層次偏低,立法分散且存在技術障礙,這些問題為電子商務安全埋下隱患.

2.5 電子商務安全管理問題
電子商務是由商家、消費者、政府、金融機構參與,以信息技術為載體的新型、復雜商務活動.我國電子商務法律環境不健全,安全技術不成熟,加之發展電子商務歷史較短,電子商務管理者素質較差,水平較低.同時電子商務管理制度缺失,因此電子商務安全管理問題較多.

3 健全電子商務安全管理機制

3.1 提高電子商務安全意識
盡管信息技術的發展為電子商務安全提供了技術保障,但缺乏安全防范意識,為電子商務活動安全埋下隱患.只有提高網絡安全防范意識,構建防范風險的心理屏障,才能維護電子商務的信息安全.

3.2 建立電子商務安全管理機構
政府作為決策的制定者,在電子商務安全管理機制建立過程中應該發揮重要作用.建立專門的電子商務安全管理委員會.負責制定相關電子商務安全方針、政策;評估安全風險;處理重大的電子商務安全事故等.企業作為電子商務活動的重要參與者,也應建立相應的電子商務安全管理機構,安全管理機構應由各職能機構管理人員組成,明確機構職責,對企業內的電子商務安全問題進行討論并做出決策,為企業的電子商務安全提供幫助.

3.3 電子商務安全管理制度
3.3.1 完善法律環境
電子商務法制體系建設是一項非常復雜的系統工程,它包括立法、司法和行政多個領域,涵蓋了行業市場準入、信息安全和認證、知識產權保護、電子支付、物流、賠償責任等諸多法律問題.逐步完善我國電子商務法律體系,建立起包括網絡服務提供者、支付、認證、監督等各方面的法律系統,是建立電子商務安全管理制度的首要工作.

3.3.2 加強人員管理
電子商務以互聯網為依托,但人力資源尤其是高級人力資源依舊是其發展的重要資源.我國電子商務起步晚,各參與方人員素質較低、專業水平較差,應通過培訓改善電子商務從業人員專業技能,同時提高管理人員專業水平及管理技能水平,提升其職業素養,并通過建立獎懲激勵機制形成其安全風險意識.

3.3.3 系統維護
電子商務應用中,企業多采用信息管理系統運作.對信息管理系統定期進行升級維護,避免因系統漏洞、黑客攻擊等原因可能出現的系統安全問題.

3.3.4 建立安全風險應急制度
一方面,互聯網技術的迅猛發展使電子商務環境瞬息萬變,另一方面我國電子商務法律體系不健全,電子商務安全風險難以預測.因此應建立電子商務安全風險應急制度.形成風險應急預案,以便安全問題出現時能迅速應對,妥善處理,將安全風險造成的損失減少到最小.

3.4 應用電子商務安全管理技術
營造有利于電子商務發展的安全環境,還要依賴信息技術保障.

3.4.1 防火墻技術
防火墻是在內部網與互聯網之間構筑的一道屏障,用于加強內部網絡和公共網絡之間安全防范的系統,只有被允許的通信才能通過防火墻,從而起到內部網與外部網的隔離,可以限制外部用戶對內部網絡的訪問和內部用戶對外部的訪問.

3.4.2 加密技術
對稱加密技術使用DES\\(Da-ta Encryption Standard\\)算法\\(分組密碼算法\\),發送者和接收者擁有相同的密鑰,密鑰的長度一般為64位或56位.這種加密方法解決了信息的保密問題.但存在如何在交換密鑰時保證私鑰安全性的問題.目前常用的對稱加密算法包括DES、PCR、IDEA、3DES等.非對稱加密技術將密鑰分為公鑰和私鑰.將加密算法和公鑰公開,放在網頁上供人下載,也可公開傳送給需要通信的人,私鑰保存在密鑰發布方手中,信息傳遞時一方用對方的公鑰對明文加密后發送,另一方用自己的私鑰進行解密.目前常用的非對稱加密算法是RSA算法.

3.4.3 信息摘要
信息摘要\\(Message digest\\)又稱Hash算法,是一種單向加密算法,其加密結果不能解密.信息發送者對原信息經過Hash算法形成新的信息,接收方也對收到的原信息采用Hash算法得到新的信息,如果原文沒有被修改,則兩條新信息相同,相同原文產生的信息摘要必定相同,因此信息摘要類似于“指紋”,可以通過“指紋”鑒別原文的真偽.

3.4.4 數字簽名
為保證交易順利進行,交易信息需要保證不被未經授權的修改,數字簽名技術\\(Digital signature\\)可以保證交易信息不被第三方修改、嵌入或發生其他變化,3.3.5安全協議SET協議是為了用于解決客戶、商家和銀行之間通過信用卡支付的交易安全,采用了RSA公-私鑰加密系統、數字簽名、數字證書認證等技術,可以同時實現支付信息的保密性、完整性和不可否認性需求.在SET協議工作中,能夠保證客戶、商家和銀行之間的身份認證,而且賣家只能獲得交易信息,而不能得到買家信用卡信息,銀行只能獲得信用卡支付信息.在支付過程中應用SET協議,既能保證持卡人用卡安全,又方便交易雙方進行交易。

4 結語

解決我國電子商務安全管理所面臨的問題,不僅需要關注信息技術領域,安全管理的機構、制度及宏觀管理環境也同樣重要.在提高電子商務安全管理技術水平的同時,構建全面的安全管理機制,是解決我國電子商務安全管理問題的根本途徑.

參考文獻:

[1]李振汕.電子商務安全管理體系的構建[J].計算機安全,2010,23\\(7\\):65-68.
[2]汪昕華.淺析電子商務安全問題及其對策[J].商場現代化,2013,112\\(3\\):89.
[3]權石峰.計算機安全技術在電子商務中的應用探討[J].微型電腦應用,2013,64\\(11\\):63-65.
[4]劉明良,沈潔,等.電子商務中安全機制與安全協議問題研究[J].現代計算機,2013,87\\(5\\):16-19.
[5]牟童.電子商務安全體系結構淺析[J].