軟考電子商務(wù)設計師：電子商務(wù)安全問(wèn)題探討

　　電子商務(wù)的發(fā)展是互聯(lián)網(wǎng)上最大的應用趨勢，是國際經(jīng)貿全新的一種形式，是我國經(jīng)濟生活牛的新手段，也給我國的安全保密管理帶來(lái)新課題。

　　人類(lèi)社會(huì )的三大支柱有材料、能源和信息，說(shuō)明信息非常重要。今天談到的信息主要還是IT信息技術(shù)方面的信息�；ヂ�(lián)網(wǎng)的迅速發(fā)展牽動(dòng)了全球經(jīng)濟的發(fā)展，我們把互聯(lián)網(wǎng)的發(fā)展提得非常高。近年來(lái)出現一些新的概念，網(wǎng)絡(luò )經(jīng)濟、數字化生存、信息戰等。

　　信息化被日益全球化的經(jīng)濟帶來(lái)什么樣的安全威脅?涉及到國家經(jīng)濟運行與監管的安全問(wèn)題，比如說(shuō)東南亞金融風(fēng)暴問(wèn)題，以后再談金融風(fēng)暴怎么進(jìn)行宏觀(guān)結合。在金融資本的流動(dòng)和資本安全，包括證券市場(chǎng)，特別開(kāi)展網(wǎng)上證券、網(wǎng)上銀行等等。另外金融網(wǎng)絡(luò )和系統的安全，銀行、稅務(wù)、證券、保險方面的一些行業(yè)。這些網(wǎng)絡(luò )和系統的安全非常重要，影響到國計民生。如果我們對網(wǎng)上的炒股行為和網(wǎng)上銀行的存儲行為不進(jìn)行監管，如果別人調動(dòng)一千億元進(jìn)行網(wǎng)上招股，這樣的危險就會(huì )很大。經(jīng)濟信息安全問(wèn)題，無(wú)論是易趣網(wǎng)還是股票網(wǎng)站也好，你的信息被改動(dòng)，影響交易的真實(shí)性，這些給經(jīng)濟安全帶來(lái)很多威脅。

　　80年代對信息安全理解為信息保密，90年代認識到除了保密以外，還有完整性，還有系統的可用性。如果我通過(guò)網(wǎng)上取錢(qián)，本來(lái)想取一百塊錢(qián)，被改成取一萬(wàn)塊錢(qián)，這個(gè)損失是誰(shuí)的?信息和系統可用性，如果說(shuō)誰(shuí)打一個(gè)電話(huà)追究的力度不大，但是誰(shuí)把系統破壞掉，死機一個(gè)小時(shí)，損失很大。90年代后期，對信息安全的認識又了新的變化，現在談的比較多的是對信息和系統的可控問(wèn)題，還有對信息行為的不可否認追究問(wèn)題。

　　過(guò)去談?dòng)嬎銠C安全，昨天談信息安全，今天談信息保障。

　　計算機安全里面用加密的方式可以基本做到保密問(wèn)題。今天有人講中文我們聽(tīng)得懂，如果兩個(gè)人站起來(lái)講俄文我們就聽(tīng)不懂，這就是加密的方法。信息安全信息的保密性、完整性、可用性，從保障角度講，還應該提到如何檢測現在的信息脆弱性入侵，死機了怎么恢復。網(wǎng)絡(luò )犯罪新的摩爾定律，網(wǎng)絡(luò )犯罪是18個(gè)月翻一番。

　　整個(gè)社會(huì )對電子商務(wù)的安全有多方面的需求，歸結起來(lái)要點(diǎn)主要是：

　　一、加密保證、使用者和數據的識別和鑒別要求，對存儲和加密數據進(jìn)行保密，對聯(lián)網(wǎng)交易支付的可靠性保證，比較方便的安全管理，還有對數據的完整性進(jìn)行驗證，防止抵賴(lài)。

　　二、政府關(guān)心的問(wèn)題：經(jīng)濟安全問(wèn)題，執法部門(mén)需要相應的措施、相應的證據，另外采購與使用需要，網(wǎng)絡(luò )安全和消費者的保護問(wèn)題。

　　三、制約電子商務(wù)發(fā)展有幾個(gè)主要因素：1、基礎設施問(wèn)題。2、觀(guān)念改變問(wèn)題。3、信用機制問(wèn)題。4、支付技術(shù)問(wèn)題。5、法律保障問(wèn)題。6、物流配送問(wèn)題。7、信息安全問(wèn)題。

　　怎么看待電子商務(wù)的安全問(wèn)題?安全不是一個(gè)純技術(shù)的概念，沒(méi)有絕對的安全。安全是有成本和代價(jià)的，要采取安全措施不光會(huì )帶來(lái)不方便，可能會(huì )帶來(lái)成本和代價(jià)。在2000年中國人民銀行出了一本信息安全保障的規范，里面明確提到在人民銀行這個(gè)系統建設里面，安全保障應該投入10%的經(jīng)費。這是國內第一個(gè)行業(yè)主管部門(mén)發(fā)布明確的定額10%。系統的重要性不一樣，有的需要投入15%甚至50%的經(jīng)費，有的可能只能投入百分之幾，而且可能有很多的電子商務(wù)網(wǎng)站投入遠遠不到10%，甚至很多安全措施都沒(méi)有跟上去。安全是發(fā)展的、動(dòng)態(tài)的。包括病毒、攻擊措施，不可能一蹴而就。

　　電子商務(wù)的安全支付方式，可以分為直接支付和間接支付。根據銀行中是否有帳號可以分為基于帳戶(hù)的支付和基于貨幣的支付，基于帳號的電子支付又可分為基于信用卡支付和電子支票支付，基于貨幣的電子支付又成為電子現金或數字現金。是否必須與第三方進(jìn)行在線(xiàn)聯(lián)系還可以分為在線(xiàn)支付和離線(xiàn)支付。

　　基于信用卡的支付方式采用的協(xié)議主要有兩種：SSL和SET。目前我國的應用得到最廣泛的就是基于信用卡的電子支付方式，中國銀行的網(wǎng)上銀行使用的是SET協(xié)議，招商銀行的一卡通是SSL協(xié)議。

　　CA問(wèn)題也是安全性問(wèn)題，是電子商務(wù)里面解決可信問(wèn)題的關(guān)鍵設施。在我們國家建立CA的時(shí)候，會(huì )出現好多問(wèn)題。CA建設我們國家現在已經(jīng)建了40多個(gè)，有人說(shuō)80多個(gè)，地方的、政府的、行業(yè)的。很多CA認為很多問(wèn)題，沒(méi)有和銀行結合起來(lái)，沒(méi)有得到銀行的認可。中國電子商務(wù)標準化方面很缺乏。國家沒(méi)有電子商務(wù)關(guān)于CA的要求等等，包括信息的披露等等。

　　CA設備的安全性，現在國家的設備或者是自己研發(fā)，或者地方采購的，電子商務(wù)網(wǎng)站也好，用戶(hù)也好，怎么樣對設備的安全性進(jìn)行驗證，采取國家安全機構的檢測的產(chǎn)品，這樣放心一點(diǎn)。

　　電子商務(wù)方面技術(shù)方面缺乏統一規范，影響互聯(lián)互通。國際標準一萬(wàn)七干多個(gè)，IF的標準有三千多個(gè)，真正在電子商務(wù)里面的標準遠遠不夠，還需要開(kāi)發(fā)。標準不僅應該先行，還應該鋪路。標準是游戲規則，你先制定標準你就掌握了主動(dòng)權，以后銀行也好，交易也好，造成的影響非常大。管理方面，容易政出多門(mén)，造成管理混亂。法律法規不夠健全。電子簽章法沒(méi)有出臺，網(wǎng)上出了問(wèn)題，出現郵件攻擊怎么辦，出現責任怎么辦?安全方面是主要的問(wèn)題。安全保證措施也是一個(gè)問(wèn)題，跟直接投入跟相應的技術(shù)措施有關(guān)系，跟成本也有關(guān)系。我們不可能用比我們的資產(chǎn)價(jià)值更高的代價(jià)來(lái)做安全保護。比如網(wǎng)站上信用卡號被盜，這方面誰(shuí)來(lái)負主要責任?這方面的法律法規如果有相應規定，應該負連帶責任，對安全保護措施的問(wèn)題一定要負相應責任。

　　最后，提高服務(wù)的安全性，否則會(huì )影響電子商務(wù)的發(fā)展，或者成為發(fā)展的瓶頸。提高通信的速度，否則電子商務(wù)就成了純粹的電子廣告而無(wú)法將商場(chǎng)搬到里面，許多東西我們無(wú)法看到，也更談不上交易。降低成本，包括硬件成本、通信成本核計算成本。

　　現在，信息技術(shù)、通信技術(shù)的重要特征是大設備為小設備服務(wù)。電子商務(wù)管理體系應具備的特點(diǎn)是與經(jīng)濟體制的一致性，與信息安全保密管理的一致性，與經(jīng)濟安全監督的一致性，與信用體制的一致性。

　　國家應該有相關(guān)的電子商務(wù)CA管理中心，充分發(fā)揮政府在電子商務(wù)發(fā)展中的主導作用，以小政府、大社會(huì )的方式規范和管理CA的發(fā)展，在電子商務(wù)的建設和采購中務(wù)必考慮安全因素，加強各部門(mén)之間的協(xié)調和配合。