中國交易類電子商務(wù)網(wǎng)站存在的若干問題的分析與研究

中國交易類電子商務(wù)網(wǎng)站存在的若干問題的分析與研究電子商務(wù)是利用各種電子化手段進(jìn)行的商務(wù)活動(dòng),其價(jià)值的實(shí)現(xiàn)主要依托于網(wǎng)絡(luò),尤其是互聯(lián)網(wǎng),它已經(jīng)成為互聯(lián)網(wǎng)應(yīng)用的一個(gè)必然趨勢和金融商貿(mào)的主要模式之一.如何建立一個(gè)安全的電子商務(wù)應(yīng)用環(huán)境,對(duì)信息提供足夠的保護(hù),已經(jīng)成為電子商務(wù)必須直面的一個(gè)問題.由于電子商務(wù)的重要技術(shù)特征是利用網(wǎng)絡(luò)來傳輸和處理商業(yè)信息,因此,電子商務(wù)安全主要包括兩個(gè)方面:網(wǎng)絡(luò)安全和商務(wù)安全.而這些安全的實(shí)現(xiàn)又依托于一些具體的安全技術(shù),遵循相關(guān)安全協(xié)議<一>網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)安全主要是指計(jì)算機(jī)和網(wǎng)絡(luò)本身可能存在的安全問題,也就是要保障電子商務(wù)平臺(tái)的可用性和安全性.網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ),其問題一般表現(xiàn)為:1.1計(jì)算機(jī)本身潛在的安全隱患帶來的網(wǎng)絡(luò)安全問題計(jì)算機(jī)使用的是未經(jīng)過相關(guān)的網(wǎng)絡(luò)安全配置的操作系統(tǒng),不論是什么操作系統(tǒng),在缺省安裝的條件下都會(huì)存在一些安全問題,而僅僅將操作系統(tǒng)按缺省安裝后,再配上很長的密碼就認(rèn)為安全的想法是不可靠的.因?yàn)橛?jì)算機(jī)本身存在的軟件漏洞和"后門"往往是網(wǎng)絡(luò)攻擊的首選目標(biāo).1.2入侵者風(fēng)險(xiǎn)降低獲利升高帶來的刺激引發(fā)的網(wǎng)絡(luò)安全問題由于網(wǎng)絡(luò)的全球性,開放性,共享性的發(fā)展,使得任何人都可以自由地接入互聯(lián)網(wǎng),而這其中也包括了黑客,入侵者和病毒制造者.他們采用的攻擊方法越來越多,對(duì)電子商務(wù)的威脅也顯得越來越明顯.相對(duì)而言,襲擊者本身的風(fēng)險(xiǎn)卻非常小,甚至可以在襲擊后很快就消失得無影無蹤,使對(duì)方幾乎沒有實(shí)行報(bào)復(fù)打擊的可能,這使他們的活動(dòng)更加猖獗.美國的"雅虎"和"亞馬遜"曾受到攻擊的事件就說明了這一點(diǎn).<二>商務(wù)安全問題商務(wù)安全指商務(wù)交易在網(wǎng)絡(luò)媒介中體現(xiàn)出來的安全問題,也就是要實(shí)現(xiàn)電子商務(wù)信息的保密性,完整性,真實(shí)性和不可抵賴性.在早期的電子交易中,曾采用過一些簡單的安全措施.例如將網(wǎng)上交易中最關(guān)鍵的數(shù)據(jù)如信用卡號(hào)碼及成交數(shù)額等用電話告知,以防泄密,網(wǎng)上交易后再用其他方式對(duì)交易做確認(rèn),以保證其真實(shí)性和不可抵賴性.這些方法不僅操作不便,而且有一定的局限性,也不能實(shí)現(xiàn)其真正的安全性.商務(wù)安全中普遍存在的幾種安全隱患2.1竊取信息信息在傳輸過程中未采用相應(yīng)的加密措施或加密強(qiáng)度不夠,導(dǎo)致數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文或近乎明文的形式傳送.入侵者在數(shù)據(jù)包經(jīng)過的設(shè)備或線路上采用截獲方法截獲正在傳送的信息,通過對(duì)竊取數(shù)據(jù)參數(shù)的分析比對(duì),找到信息的格式和規(guī)律,進(jìn)而得到傳輸信息的內(nèi)容,導(dǎo)致消費(fèi)者消費(fèi)信息,賬號(hào)密碼和企業(yè)商業(yè)機(jī)密等信息的外泄.2.2篡改信息當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過各種技術(shù)方法和手段對(duì)網(wǎng)絡(luò)傳輸中的信息進(jìn)行截獲修改再發(fā)至原先指定目的地,從而破壞信息的真實(shí)性.入侵者通過改變信息流的次序,更改信息的內(nèi)容,刪除信息的某些部分,甚至在信息中插入一些附加內(nèi)容,使接收方做出錯(cuò)誤的判斷與決策.2.3信息假冒由于掌握了數(shù)據(jù)的格式,并可以篡改通過的信息,攻擊者可以進(jìn)一步冒充合法用戶獲取和發(fā)送信息,而遠(yuǎn)端接受方或發(fā)送方通常不易分辨.常見的方式有偽造用戶和商戶的收定貨單據(jù),套取或修改相關(guān)程序的使用權(quán)限等.2.4信息破壞由于攻擊者已侵入網(wǎng)絡(luò),已獲得對(duì)網(wǎng)絡(luò)中信息的修改權(quán)限,如其對(duì)網(wǎng)絡(luò)中現(xiàn)有機(jī)要信息進(jìn)行修改乃至于刪除,其后果是非常嚴(yán)重的.<三>電子商務(wù)的安全技術(shù)3.1加密技術(shù)加密技術(shù)是保證電子商務(wù)安全的重要手段,為保證電子商務(wù)安全使用加密技術(shù)對(duì)敏感的信息進(jìn)行加密,保證電子商務(wù)的保密性,完整性,真實(shí)性和非否認(rèn)服務(wù).3.1加密技術(shù)的現(xiàn)狀如同許多IT技術(shù)一樣,加密技術(shù)層出不窮,為人們提供了很多的選擇余地,但與此同時(shí)也帶來了一個(gè)問題——兼容性,不同的企業(yè)可能會(huì)采用各自不同的標(biāo)準(zhǔn).另外,加密技術(shù)向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制.目前,美國的企業(yè)一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的算法出口.雖然40位的SSL也具有一定的加密強(qiáng)度,但它的安全系數(shù)顯然比128位的SSL要低得多.美國以外的國家很難真正在電子商務(wù)中充分利用SSL,這不能不說是一種遺憾.目前,我國由上海市電子商務(wù)安全證書管理中心推出的128位SSL算法,彌補(bǔ)了國內(nèi)的這一空缺,也為我國電子商務(wù)安全帶來了廣闊的前景.3.2常用的加密技術(shù)對(duì)稱密鑰密碼算法:對(duì)稱密碼體制由傳統(tǒng)簡單換位代替密碼發(fā)展而成,加密模式上可分為序列密碼和分組密碼兩類.不對(duì)稱型加密算法:也稱公用密鑰算法,其特點(diǎn)是有二個(gè)密鑰即公用密鑰和私有密鑰,兩者必須成對(duì)使用才能完成加密和解密的全過程.本技術(shù)特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密,在網(wǎng)絡(luò)中被廣泛應(yīng)用.其中公用密鑰公開,為數(shù)據(jù)源對(duì)數(shù)據(jù)加密使用,而用于解密的相應(yīng)私有密鑰則由數(shù)據(jù)的接受方保管.不可逆加密算法:其特征是加密過程不需要密鑰,并且經(jīng)過加密的數(shù)據(jù)無法被解密,只有輸入同樣的數(shù)據(jù)經(jīng)過同一不可逆加密算法的比對(duì)才能得到相同的加密數(shù)據(jù).因?yàn)槠錄]有密鑰所以不存在密鑰保管和分發(fā)問題,但由于它的加密計(jì)算工作量較大,所以通常只在數(shù)據(jù)量有限的情況下,例如計(jì)算機(jī)系統(tǒng)中的口令信息的加密.3.3電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要:又稱安全Hash編碼法.該編碼法采用單向Hash函數(shù)將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱為數(shù)字指紋,具有固定的長度,并且不同的明文摘要其密文結(jié)果是不一樣的,而同樣的明文其摘要保持一致.數(shù)字簽名:數(shù)字簽名是將數(shù)字摘要,公用密鑰算法兩種加密方法結(jié)合使用.它的主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要).發(fā)送方用自己的專用密鑰對(duì)這個(gè)散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名,然后這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方.報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值(或報(bào)文摘要),接著再用發(fā)送方的公開密鑰來對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密.如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的.通過數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴性,有效地防止了簽名的否認(rèn)和非正當(dāng)簽名者的假冒.<四>電子商務(wù)現(xiàn)在存在的問題4.1宏觀缺乏總體指導(dǎo)，微觀缺少系統(tǒng)規(guī)劃，電子商務(wù)整體上尚處于探索式的自由發(fā)展?fàn)顟B(tài)從宏觀上講，我國尚未出臺(tái)國家電子商務(wù)的發(fā)展規(guī)劃，雖然國家發(fā)改委、商務(wù)部、科技部等部委從不同角度推進(jìn)電子商務(wù)進(jìn)程，在環(huán)境建設(shè)、對(duì)外交流、應(yīng)用試點(diǎn)等方面取得了一定的成績，但是，我國電子商務(wù)在整體上尚處于探索式的自由發(fā)展?fàn)顟B(tài)，市場行為有待進(jìn)一步規(guī)范，整體應(yīng)用水平有待進(jìn)一步深化。從微觀上講，我國企業(yè)對(duì)未來信息化在企業(yè)發(fā)展中的戰(zhàn)略意義普遍認(rèn)識(shí)不足，缺乏企業(yè)信息化長遠(yuǎn)發(fā)展規(guī)劃，消極對(duì)待信息化與盲目冒進(jìn)跟風(fēng)式的發(fā)展信息化的兩個(gè)極端現(xiàn)象大量存在。另一方面，我國企業(yè)普遍尚未建立適應(yīng)未來發(fā)展的現(xiàn)代企業(yè)制度，業(yè)務(wù)流程重組推行困難，信息化的潛在作用不能得到充分發(fā)揮。4.2信用、認(rèn)證、標(biāo)準(zhǔn)、現(xiàn)代物流、法律法規(guī)等支撐體系發(fā)展的滯后，已經(jīng)成為制約我國電子商務(wù)發(fā)展的主要瓶頸我國尚未形成促進(jìn)電子商務(wù)發(fā)展的有力支撐體系，包括信任、認(rèn)證、標(biāo)準(zhǔn)、現(xiàn)代物流、法律法規(guī)等在內(nèi)。商務(wù)部發(fā)布《中國電子商務(wù)報(bào)告（2003年）》從企業(yè)角度進(jìn)行調(diào)查，結(jié)果顯示制約我國電子商務(wù)發(fā)展的障礙主要是外部環(huán)境的不成熟。重要性列前五位的因素中，環(huán)境因素占四個(gè)，分別是電子合同執(zhí)行和監(jiān)督難，傳統(tǒng)物流發(fā)展滯后，互聯(lián)網(wǎng)接入的安全性和保密性不足，電子商務(wù)相關(guān)法律不健全。相比較而言，反映企業(yè)內(nèi)部能力的因素排名比較靠后，如資金問題、現(xiàn)有業(yè)務(wù)流程不合理的問題、互聯(lián)網(wǎng)接入和使用費(fèi)用負(fù)擔(dān)過高的問題等等。由于基礎(chǔ)支撐體系的不完善，我國大多數(shù)企業(yè)的電子商務(wù)尚處于信息發(fā)布、收集、交流的階段。從事網(wǎng)上采購的企業(yè)僅占4.1%，能夠網(wǎng)上銷售的企業(yè)僅占3.4%，大多數(shù)訂單與合同的正式簽訂，以及支付、配送等活動(dòng)主要還是在網(wǎng)下進(jìn)行，電子商務(wù)的作用范圍變得十分有限。4.3中小企業(yè)整體信息化水平低下，是制約我國電子商務(wù)發(fā)展的基礎(chǔ)問題我國大中小型企業(yè)有千萬家，其中99％是中小企業(yè)。由于中小企業(yè)基礎(chǔ)薄弱，普遍投入不足，使得這些企業(yè)既有信息化的迫切需求，但在資金、技術(shù)、人才、以及管理基礎(chǔ)等方面又難以承擔(dān)信息系統(tǒng)開發(fā)和運(yùn)行的工作。因此，我國中小企業(yè)信息化整體水平低下，特別是傳統(tǒng)行業(yè)的小企業(yè)，信息化基本尚處于初級(jí)水平，我國電子商務(wù)的發(fā)展亟待強(qiáng)化整體基礎(chǔ)。4.4我國電子商務(wù)的外向型程度亟需提高我國企業(yè)借助電子商務(wù)促進(jìn)與國際接軌、參與國際競爭、開拓國際市場的能力亟需加強(qiáng)。我國電子商務(wù)距離實(shí)現(xiàn)“在更大范圍、更廣領(lǐng)域和更高層次上參與國際經(jīng)濟(jì)技術(shù)合作和競爭，充分利用國際國內(nèi)兩個(gè)市場、兩種