1、電子商務安全技術的發展狀況?
1、電子商務的安全控制要求概述
電子商務發展的核心和關鍵問題是交易的安全性。由於Internet本身的開放性,使網上交易面臨了種種危險,也由此提出了相應的安全控制要求。
1.1信息保密性
交易中的商務信息有保密的要求。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
1.2交易者身份的確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家而言要考慮客戶端不能是騙子,而客戶也會擔心網上的商店不是一個弄虛作假的黑店。因此能方便而可靠地確認對方身份是交易的前提。
1.3不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。
1.4不可修改性
交易的文件是不可被修改的,如其能改動文件內容,那麼交易本身便是不可靠的,客戶或商家可能會因此而蒙受損失。因此電子交易文件也要能做到不可修改,以保障交易的嚴肅和公正。
2、電子商務安全交易的有關標准和實施方法
2.1安全交易的雛形
在電子商務實施初期,曾採用過一些簡易的安全措施,這些措施包括:
(1) 部分告知(Partial Order):即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去,然後再用電話告之,以防泄密。
(2) 另行確認(Order Confirmation):即當在網上傳輸交易信息之後,再用電子郵件對交易作確認,才認為有效。
(3) 在線服務(Online Service):為了保證信息傳輸的安全,用企業提供的內部網來提供聯機服務。
以上所述的種種方法,均有一定的局限性,且操作麻煩,不能實現真正的安全可靠性。
2.2安全交易標準的制定
近年來,IT業界與金融行業一起,推出不少更有效的安全交易標准。主要有:
(1) 安全超文本傳輸協議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸的安全性。
(2) 安全套接層協議(SSL協議:Secure Socket Layer)是由網景(Netscape)公司推出的一種安全通信協議,是對計算機之間整個會話進行加密的協議,提供了加密、認證服務和報文完整性。它能夠對信用卡和個人信息提供較強的保護。SSL被用於Netscape Communicator和Microsoft IE瀏覽器,用以完成需要的安全交易操作。在SSL中,採用了公開密鑰和私有密鑰兩種加密方法。
(3) 安全交易技術協議(STT:Secure Transaction Technology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft將在Internet Explorer中採用這一技術。
(4) 安全電子交易協議(SET:Secure Electronic Transaction):SET協議是由VISA和MasterCard兩大信用卡公司於1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。
目前公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標准被公認為全球網際網路的標准,其交易形態將成為未來「電子商務」的規范。
支付系統是電子商務的關鍵,但支持支付系統的關鍵技術的未來走向尚未確定。安全套接層(SSL)和安全電子交易(SET)是兩種重要的通信協議,每一種都提供了通過Internet進行支付的手段。但是,兩者之中誰將領導未來呢?SET將立刻替換SSL嗎?SET會因其復雜性而消亡嗎?SSL真的能完全滿足電子商務的需要嗎?我們可以從以下幾點對比作管中一窺:
SSL提供了兩台機器間的安全連接。支付系統經常通過在SSL連接上傳輸信用卡卡號的方式來構建,在線銀行和其他金融系統也常常構建在SSL之上。雖然基於SSL的信用卡支付方式促進了電子商務的發展,但如果想要電子商務得以成功地廣泛開展的話,必須採用更先進的支付系統。SSL被廣泛應用的原因在於它被大部分Web瀏覽器和Web伺服器所內置,比較容易被應用。
SET和SSL除了都採用RSA公鑰演算法以外,二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。
SET是一種基於消息流的協議,它主要由MasterCard和Visa以及其他一些業界主流廠商設計發布,用來保證公共網路上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用並經受了考驗,但大多數在Internet上購的消費者並沒有真正使用SET。
SET是一個非常復雜的協議,因為它非常詳細而准確地反映了卡交易各方之間存在的各種關系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規則。事實上,SET遠遠不止是一個技術方面的協議,它還說明了每一方所持有的數字證書的合法含義,希望得到數字證書以及響應信息的各方應有的動作,與一筆交易緊密相關的責任分擔。
3、目前安全電子交易的手段
在近年來發表的多個安全電子交易協議或標准中,均採納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種:
3.1密碼技術
採用密碼技術對信息加密,是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種:
(1)公共密鑰和私用密鑰(public key and private key)
這一加密方法亦稱為RSA編碼法,是由Rivest、Shamir和Adlernan三人所研究發明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘,對文件加密,均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數,則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時,某個用戶總是將一個密鑰公開,讓需發信的人員將信息用其公共密鑰加密後發給該用戶,而一旦信息加密後,只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到,亦可在請對方發信息時主動將公共密鑰傳給對方,這樣保證在Internet上傳輸信息的保密和安全。
(2)數字摘要(digital digest)
這一加密方法亦稱安全Hash編碼法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所設計。該編碼法採用單向Hash函數將需加密的明文「摘要」成一串128bit的密文,這一串密文亦稱為數字指紋(Finger Print),它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是「真身」的「指紋」了。
上述兩種方法可結合起來使用,數字簽名就是上述兩法結合使用的實例。
3.2數字簽名(digital signature)
在書面文件上簽名是確認文件的一種手段,簽名的作用有兩點,一是因為自己的簽名難以否認,從而確認了文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數字簽名與書面文件簽名有相同之處,採用數字簽名,也能確認以下兩點:
a. 信息是由簽名者發送的。
b. 信息在傳輸過程中未曾作過任何修改。
這樣數字簽名就可用來防止電子信息因易被修改而有人作偽;或冒用別人名義發送信息;或發出(收到)信件後又加以否認等情況發生。
數字簽名採用了雙重加密的方法來實現防偽、防賴。其原理為:
(1) 被發送文件用SHA編碼加密產生128bit的數字摘要(見上節)。
(2) 發送方用自己的私用密鑰對摘要再加密,這就形成了數字簽名。
(3) 將原文和加密的摘要同時傳給對方。
(4) 對方用發送方的公共密鑰對摘要解密,同時對收到的文件用SHA編碼加密產生又一摘要。
(5) 將解密後的摘要和收到的文件在接收方重新加密產生的摘要相互對比。如兩者一致,則說明傳送過程中信息沒有被破壞或篡改過。否則不然。
3.3數字時間戳(digital time-stamp)
交易文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。
在電子交易中,同樣需對交易文件的日期和時間信息採取安全措施,而數字時間戳服務(DTS:digital time-stamp service)就能提供電子文件發表時間的安全保護。
數字時間戳服務(DTS)是網上安全服務項目,由專門的機構提供。時間戳(time-stamp)是一個經加密後形成的憑證文檔,它包括三個部分:1)需加時間戳的文件的摘要(digest),2)DTS收到文件的日期和時間,3)DTS的數字簽名。
時間戳產生的過程為:用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要,然後將該摘要發送到DTS,DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密(數字簽名),然後送回用戶。由Bellcore創造的DTS採用如下的過程:加密時將摘要信息歸並到二叉樹的數據結構;再將二叉樹的根值發表在報紙上,這樣更有效地為文件發表時間提供了佐證。注意,書面簽署文件的時間是由簽署人自己寫上的,而數字時間戳則不然,它是由認證單位DTS來加的,以DTS收到文件的時間為依據。因此,時間戳也可作為科學家的科學發明文獻的時間認證。
3.4數字憑證(digital certificate, digital ID)
數字憑證又稱為數字證書,是用電子手段來證實一個用戶的身份和對網路資源的訪問的許可權。在網上的電子交易中,如雙方出示了各自的數字憑證,並用它來進行交易操作,那麼雙方都可不必為對方身份的真偽擔心。數字憑證可用於電子郵件、電子商務、群件、電子基金轉移等各種用途。
數字憑證的內部格式是由CCITT X.509國際標准所規定的,它包含了以下幾點:
(1) 憑證擁有者的姓名,
(2) 憑證擁有者的公共密鑰,
(3) 公共密鑰的有效期,
(4) 頒發數字憑證的單位,
(5) 數字憑證的序列號(Serial number),
(6) 頒發數字憑證單位的數字簽名。
數字憑證有三種類型:
(1) 個人憑證(Personal Digital ID):它僅僅為某一個用戶提供憑證,以幫助其個人在網上進行安全交易操作。個人身份的數字憑證通常是安裝在客戶端的瀏覽器內的。並通過安全的電子郵件(S/MIME)來進行交易操作。
(2) 企業(伺服器)憑證(Server ID):它通常為網上的某個Web伺服器提供憑證,擁有Web伺服器的企業就可以用具有憑證的萬維網站點(Web Site)來進行安全電子交易。有憑證的Web伺服器會自動地將其與客戶端Web瀏覽器通信的信息加密。
(3) 軟體(開發者)憑證(Developer ID):它通常為Internet中被下載的軟體提供憑證,該憑證用於和微軟公司Authenticode技術(合法化軟體)結合的軟體,以使用戶在下載軟體時能獲得所需的信息。
上述三類憑證中前二類是常用的憑證,第三類則用於較特殊的場合,大部分認證中心提供前兩類憑證,能提供各類憑證的認證中心並不普遍。
3.5認證中心(CA:Certification Authority)
在電子交易中,無論是數字時間戳服務(DTS)還是數字憑證(Digital ID)的發放,都不是靠交易的雙方自己能完成的,而需要有一個具有權威性和公正性的第三方(third party)來完成。認證中心(CA)就是承擔網上安全電子交易認證服務、能簽發數字證書、並能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定(CPS:Certification Practice Statement)來實施服務操作。
上述五個方面介紹了安全電子交易的常用手段,各種手段常常是結合在一起使用的,從而構成比較全面的安全電子交易體系。
4、應用動態
根據最新報道,我國第一個安全電子商務系統:「網上訂票與支付系統」經過半年試運行後,於1999年8月8日投入正式運行,其發起單位由上海市政府商業委員會、上海市郵電管理局、中國東方航空股份有限公司、中國工商銀行上海市分行、上海市電子商務安全證書管理中心有限公司等共同發起、投資與開發。
系統結構採用網上訂票與支付系統由四個子系統組成:商戶子系統、客戶子系統、銀行支付網關子系統、數字證書授權與認證子系統。
商戶子系統的第一個應用是用來購買購買飛機票的中國東方航空公司網站。網址為:www.cea.online.sh.cn;它是中國安全電子商務第一網站。
客戶子系統是安裝於PC機上的電子錢包軟體,是信用卡持有人進行網上消費的支付工具。電子錢包中必須加入客戶的信用卡信息與數字證書之後,方可進行網上消費。
支付網關子系統通常是指由收款銀行運行的一套設備,用來處理商戶的付款信息以及持卡人發出的付款指令。
數字證書授權與認證子系統為每個交易參與方生成一個數字證書作為交易方身份的驗證工具。
其技術特點是採用IBM的電子商務框架結構、嵌入經國家密碼管理委員會認可的加/解密用軟/硬體產品。這個電子商務系統具有如下的安全交易特點:
1) 遵循SET國際標准、具有SET標准規定的安全機制,是目前國際互聯網上運行的比較安全的電子商務系統;
2) 兼顧國內信用卡/儲蓄卡與國際信用卡的業務特點,具有一定的中國特色;
3) 具有開放特性,可與經SETCO國際組織認證的任何電子商務系統進行互操作;
2、電子商務在未來幾年中發展情況如何?
一、電子商務專業未來發展很好:電子商務屬於管理類學科,順利畢業可授予管理學學士學位。電子商務專業好不好,還要看學校的師資力量,學校對該專業的重視程度,有些學校專業名稱看似很好,但是是學校新開設的專業,所以師資力量尚淺,教學成果也就不顯著。其實,任何專業都是個殼,學習的過程就是培養人的能力、素質。現在企業都重視人才的素質。而且,無論專業好壞,最主要還是看你學不學。專業好,但你沒能達到學習標准,出來還是沒用的人。無論就業率高不高,只要你是學習好的那一個,別人沒有理由不要你,應聘時看你個人的能力,而不是看你的專業,個人能力突出,才能讓企業的慧眼一眼就識出是你。
二、學電子商務專業好就業
1.如果是專科的電子商務學生,由於課程學習的內容的限制,可能在人才市場上可能會非常缺乏競爭力。因為專科的教學內容大多是偏向於實際操作的類型。以現在的3級助理電子商務師及4級的電子商務員考試的內容來看,其理論部分的內容是非常簡單及淺顯的.對於商業的本質並沒太多的探討;而實操部分的內容基本就是對於tb的具體操作和一些網銀的具體操作。顯而易見,3級與4級電子商務師的人才目標是網店的操作人員。但是在現在的發展趨勢中,tb這類C2C的電子商務平台將會逐漸的缺乏競爭力及火力,未來在網路零售商會出現巨頭吞並大部分市場的情況.小的網店公司及個人只能通過一些長尾產品去生存。總結就是專科的電子商務學生知識缺乏廣度,難以在未來生存。
2.如果是計算機學院的電子商務學生,那麼走上一條電子商務產品開發的道路在現在是非常吃香的。因為在互聯網上產品至今仍然是公司的根本競爭力。有可能電子商務的學生會對自己的技術水平產生很大的疑惑,覺得自己跟其他計算機的學生比缺乏競爭力,但其實並不是這樣的。隨著現在後端技術的成熟及大量大型開發商的介入,未來在後端技術開發會越來越簡單,那個時候開發的重心應該要回歸到跟顧客直接面對面交互的前端上。這個時候懂得商業需求分析及前端開發技術的電子商務學生就非常具有競爭力了。
3.如果是商科學院的電子商務學生,在現在的人才市場上可能很難找到合適的工作了。因為這類型的電子商務學生是一種跨行業的人才。
3、未來電子商務安全問題及預防措施
電子商務是互聯網應用的重要趨勢之一,也是國際金融貿易中越來越重要的經營模式之一,以後會逐漸地成為我們經濟生活中一個重要的部分,安全是保證電子商務健康有序發展的關鍵因素,也是目前大家十分關注的話題,下面將就電子商務發展中的幾個熱點問題,談談個人的看法。
一、怎麼看待安全與發展的關系
談到安全與發展兩者之間的關系時,許多人都會認為安全更重要,而實際上在信息化發展的過程中,發展自始至終都應是放在第一位的,因為沒有發展安全就無從談起,沒有發展就是最大的不安全。
從國內外的情況來看,電子商務發展的速度太快,致使其安全技術和安全管理跟不上,這是一個越來越突出的問題。電子商務的快速發展需要業界,特別是信息安全業快速地作出反應,否則安全方面的問題將會制約它的發展。現在不僅僅是發展中國家,就連美國這樣的發達國家,電子商務在很多領域還是沒有像其它傳統的商務那樣發達,一個重要的原因就是安全問題。這就需要信息安全業的同行作出不懈的努力,不要因為安全問題而制約了電子商務的發展。
二、如何看待電子商務的安全問題
在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。作為一個經營者,應該綜合考慮這些因素;作為安全技術的提供者,在研發技術時也要考慮到這些因素。
其四,安全是發展的、動態的。今天安全明天就不一定很安全,因為網路的攻防是此消彼長、道高一尺、魔高一丈的事情,尤其是安全技術,它的敏感性、競爭性以及對抗性都是很強的,這就需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全,也沒有一蹴而就的安全。
三、社會上對電子商務的需求有哪些
電子商務是用電子化的方式實現傳統商務的模式或者說對傳統商務的革命,它的發展需要以下幾個必備的條件。
其一,對電子商務的發展要有廣泛的認同。無論是現在的銀行、證券也好還是傳統的物物交換,社會認同是交易得以實現的基礎。對電子商務的發展也必須有廣泛的認同。
其二,電子商務的交易模式不能被假冒。也就是說必須要有足夠的安全保障。
其三,能真正節省開支。人類從最原始的物物交換到一般等價物、到信用體制等等都是在不斷地降低交易成本,如果我們引進電子商務不但不能減少成本,反而會使成本增加,就不會得到社會的認同。
其四,要求方便易用,這一點十分重要。目前我國電子商務發展的發展過程中最致命就是使用不方便。
其五,要能滿足社會大眾的商業心態。它可以是「實名制」也可以是「隱名」的(當然現在也正討論怎麼使存款「實名制」),原來的金融體系或經濟體系的優勢就在於既可以是「實名」的也可以是「隱名」的,所以發展電子商務時也要考慮這個問題,否則用戶就沒有選擇,其發展就會受到阻礙。
社會對電子商務安全的需求簡單歸納起來主要有以下幾點:
1.信息要求真實和完整。因為無論中國人還是外國人,都會覺得「隔山買牛」是一件心裡沒底的事情,因此都希望電子商務上的信息是真實的、完整的。
2.所有交易不能夠抵賴,否則,生意就沒法做了。這不但需要用道德和法律進行約束,更需要相關技術進行保障。如果總是發生扯皮或糾紛,再好的電子商務也會因此而黃掉。
3.支付和交易必須是安全而可靠的。目前,如何保障支付和交易的安全可靠是一個全球性問題,電子商務要有大的發展,就必須管好這些瓶頸。
4.用戶或商家的身份在網路上能夠被准確地識別。如果不能准確識別交易雙方的身份,發生糾紛時就無法進行有效的仲裁。
5.能夠保護個人隱私。對個人隱私的保護現在越來越受到重視,以前我們可能不太看重這個問題。越是開放,越是信息化,個人隱私越重要。
四、對電子商務現狀的看法
現在,電子商務網站的經營很熱鬧,但其實也很艱難。根據我們了解的情況,我國的電子商務雖然收益不佳的現狀有望改觀,但技術和管理方面的問題還依然存在,安全隱患仍令人擔憂。
從技術上看:首先是數據傳輸的速度太慢;第二是沒有安全、可靠的結賬方式,這嚴重製約著電子商務的發展;第三是IT技術的發展速度太快,商務模式的形成和人們使用習慣的養成都需要一定的時間,雖然技術不斷發展,但社會對技術的認同是有階段的,這使得用戶和經營者都難以消化,難以跟上這種快速發展的步伐;第四是難以及時處理用戶的有關問題,開通一個網站,如果一段時間以後用戶的反饋多了,網路的速度就會慢下來,這也許是線路本身的問題,但也存在技術處理的問題,目前尚沒有解決的良策。第五是在安全保障上,難以防範現在的網路犯罪,特別是黑客的攻擊。
從管理上看,存在的主要問題有:1)國內電子商務網站的數目太少、瀏覽電子商務網站的用戶數量沒有期望的那麼多;2)電子商務網站的經營收益遠低於預期,使有網路泡沫之虞;3)缺乏能適應中國國情的市場技巧。現在的電子商務網站動作的市場方式基本上是照搬美國的,在造勢上不無奢華,但在收效上卻無殷實,不充分考慮中國人的商業行為和方式,恐怕是難以成功的。4)網站運營成本太高。由於運行成本居高不下,再好的商業模式也不堪重負。5)收費困難。除BtoB稍好一點外,BtoC電子商務一直沒有找到方便可行的收費方式。
從安全上看,電子商務的隱患,令人擔憂,主要表現在:
1.網路信息安全在全球還沒有形成一個完整的體系,我國也不例外。雖然有關電子商務安全的產品數量不少,但真正通過認證的卻相當少。近兩年,有將近20家有關電子商務安全的產品申請認證,但最後通過的非常少,這主要是因為不少安全措施是從網上「down」下來的,另外,不少電子商務安全技術的廠商對網路技術很熟悉,但是對安全技術普通了解得較少,因而他們很難開發出真正實用的、安全性足用的安全技術和產品。
2.安全技術的強度普遍不夠。國外有關電子商務的安全技術,雖然其結構或加密技術等都不錯,但這種演算法(無論是對稱的還是非對稱的)受到了外國密碼政策的限制,因此強度普遍不夠。這種技術用在B-to-C方面還勉強可行,但用在B-to-B上就顯然不夠。
3.電子商務網站的安全管理存在很大隱患,普遍難以經受黑客的攻擊。這個問題應當引起高度重視,國內電子商務網站被攻擊的事件較少並不表示是牢不可破,而是網站本身很小,沒有多少可攻的價值。
4.電子商務僅僅局限於商務信息領域而沒有深入真正的電子商務領域,這些因素的存在必將影響我國電子商務進一步的發展。
五、關於面向社會服務的CA中心
現在大家都在關注CA中心,從國外的發展看,認證應該是第三方的,政府幹預最好少一些,只需作些必要的引導。在我國,最大的問題是多人過早地把CA認證看作是一種產業,把它當作生意來做,而過少地考慮到應該擔負的責任。其實,面向社會服務的CA中心必須達到一定的要求。首先要看建設單位是否具備管理能力,以及責任和義務是否很明確,一旦證書出了問題,各方的責任是否清楚;其次是看技術能力和運行條件,CA要為社會服務,能否保證安全可信,運轉有效;這需要專門的技術能力和安全完整的網上認證技術體系。比如在炒股票時,如果認證的周期太長,別人已經成交了,你這里還堵著,那肯定不行。第三是看是否有足夠的財力支持。沒有數千萬乃至上億的投入,是無法面向社會提供可信賴的CA服務。第四是看整個CA系統和設施是否安全。總之,CA中心能否提供安全可靠的服務,不能僅憑自身的宣傳,而是要通過「國家信息安全認證」。到目前為止已經通過認證的只有一家,還有其它幾家也正在審查之中。主要的問題不在於能否發出證書,而在於能否保障證書的使用者的利益。
六、如何看待電子商務網站受到的攻擊
剛才我們提到過黑客的問題,黑客的威力到底有多大?
目前,我國網站所受到黑客的攻擊,還不能與美國的相提並論,因為我們的用戶數、規模和級別還是處在很初級的階段。如果遇到類似於DDOS的攻擊時應該引起注意,但不必很驚慌,因為在目前的情況下,一個電子商務網站停一兩天所受的損失不是很大,畢竟業務量和交易額都還不大。從以往遭遇過的攻擊中我們可以得到以下幾點啟示:
1.純技術難以防範原始攻擊方式。如果我們按照西方人的思維方式去思考,不斷的追求和更新安全技術,防火牆可以做得非常強,但如果黑客不去竊取信息或數據,而只是去阻塞網站,這種非常野蠻的攻擊方式用單純的技術是很難解決的,而要靠管理或其它的方法去防範。美國電子商務網站遭受那麼大規模的攻擊,雖然有技術方面的原因,但總的看來還是一個管理的問題,這里的管理包括網站的經營者要如何防止自己的網站被攻擊,上網的用戶如何保證自己的機器不會無辜地被別人利用,現在網上的安全補丁很多,但很少有人真正用它或不知道怎麼去用。所以,在信息化發展的初期,管理比技術顯得更為重要。
2.病毒比一般攻擊更可怕。現在的病毒(包括惡性代碼)破壞性越來越大。現在電子商務上的交易都是非時間敏感性的項目,所以時效性並不太突出,可怕的是病毒對數據的破壞。
3.從目前的情況看,危及電子商務的首先是病毒或惡意代碼;然後是內部人員濫用計算資源,對此國外強調的比較多,國內強調的比較少,隨著技術人員流動性增大,道德也有待提高;第三是黑客攻擊;第四是用戶數據的泄漏;第五是假冒的交易。
七、關於電子商務需要的安全技術與產品
目前,國內市場需要較大的網路安全產品還是防火牆,從國內外采購的數量來看,防火牆均居於首位的;其次是通信保密設備;第三是現在電子商務裡面應用最多的客戶機伺服器中的安全模式;第四是區域網或廣域網上的安全技術;第五是web安全技術;第六是災難恢復技術,從銀行和金融界的一些情況看,大家對這方面的重視還不夠,普遍的電子商務網站對災難恢復考慮得都不是很好,這也是迫切需要的。
八、制約我國電子商務發展的主要因素
制約我國電子商務的因素主要有:其一是商業信息化程度太低;其二是交易過程不規范;其三是信用制度不健全;其四是技術發展太快,沒有一定的穩定過程;其五是出現問題後客戶去找誰負責。由於有關電子商務的立法和管理剛剛開始,有人開玩笑說「電子商務目前是個『三無』行業:無法可依、無安全可言、無規可循」,當然這只有一定的道理,我國政府對電子商務的管理已經報上議事日程,各個部門都在抓緊制定推進電子商務的政策。
九、加快電子商務發展的建議
對電子商務發展的建議簡單地講是「兩高一低」,即:1)不斷提高服務的安全性,否則會制約電子商務的發展;成為發展的瓶頸;2)提高通訊的速度,否則電子商務就成了純粹的電子廣告而無法將商場搬到裡面,許多東西我們無法看到,也更談不上交易;3)降低成本,這不僅僅是降低硬體成本,特別是要降低通訊成本。因為電子商務發展的目的本來就是為了降低交易成本,交易成本反而高了就不正常。許多人都認為花那麼大的投入去搞電子商務還不如去面對面地談生意,打個電話許多貨就發過來了,用不著去識別身份什麼的。
電子商務安全管理的基本趨勢似乎可用:「誰經營、誰負責」六個字來概括,也可以說是誰管理誰負責。這就強調業界要自律,要對安全問題承擔責任。
4、我國電子商務的現狀是怎樣的?
電子商務正在成為一個全球性的經濟主題,圍繞電子商務的法律框架也在逐步建立起來,所有準備或者正在開展電子商務的工商企業都應當了解其交易的法律環境,採取受法律承認和保護的交易方式,以便有效的維護自己的財產利益。
一、電子商務是經濟和信息技術發展並相互作用的必然產物,它有狹義和廣義之分。電子商務(是經濟和信息技術發展並相互作用的必然產物,它有狹義和廣義之分。狹義電子商務是指基於數據(文本、聲音、圖象)的處理和傳輸,通過開放的網路(主要是Internet )進行的商業交易。
包括企業與企業、企業與消費者、企業與政府之間的交易活動;廣義電子商務涉及到內部網(Intranet)和Internet等領域,它是一種全新的商務模式,利用前所未有的網路方式將顧客、銷售商、供應商和企業員工聯系在一起,將有價值的信息傳遞給需要的人們。
電子商務在全球的發展只是從20世紀90年代才開始,最初只表現為相對少數的大公司通過EDI開展電子商務活動,並沒有形成規模經濟的局面。從1997年開始,電子商務卻發生了質的飛躍,隨著Internet的飛速發展和計算機技術的日益成熟,電子商務應用的成本大大降低,使它能夠超越大公司的應用范圍而成為一個全球性新的經濟現象
二、我國電子商務發展現狀我國電子商務實踐和研究起步較晚,其立法相對較為滯後,雖然新合同法已正式承認電子合同的有效性,但我國現行的其他有關法律、法規中尚無相關的內容和規定。然而,隨著電子商務的迅速發展,我國現已進入電子商務的推廣和運作階段。
研究相應的法律對策,加強電子商務立法,以建立復合電子商務特點的法律制度,將有助於電子商務正常發揮其效益,有助於保障電子商務用戶的合法權益從世界范圍來看,電子商務的成功應用大多是在發達國家,尤其是美國和歐洲。
對於我國來說發展電子商務充滿了困難和阻力,我國的經濟體制改革正步入攻堅階段,傳統的計劃經濟手段正在消減,市場機制尚未健全。各類企業在進入市場的同時,也必須進入電子商務市場,這對中國所有的企業來說都是嚴峻的考驗。再有開展電子商務所需的網路設施、安全保障手段比起其他國家有相當大的差距。
三、電子商務的法律問題電子商務具有跨度大、安全性低、速度快、技術含量高、發展模式多等特點,本次調查的電子商務企業所涉及的法律問題集中體現在以下幾個方面:
(一)交易安全問題。
這是電子商務企業反映最集中、最強烈的問題。在調查中了解到,交易安全問題只要體現在竊取信息、篡改信息、假冒、惡意破壞、信息保密性、交易者身份的確定性以及網路故障等,單純依靠技術不能真正保障網路交易的安全。如何能確保交易安全,相應的法律制度是不可或缺的條件。
(二)知識產權保護問題。
由於電子商務網站的內容是數字化信息,且屬於開放網路,文字、聲像等信息容易被竊取和復制,商標容易被誤用,這些對知識產權形成了新的挑戰。
(三)電子合同問題。
這是電子商務企業在交易過程中與客戶間發生法律糾紛的一大原因,行業B2B電子商務企業對此問題反映的標記集中。
(四)電子證據的獲取和認定。
當電子商務過程中出現法律糾結,不可避免地要涉及到電子證據的獲取和認定。由於虛擬網路中信息具有易變性,鎖定或獲取侵權證據難度極大,給解訣糾紛,懲治不法行為帶來了巨大困難。保證網路環境下信息的穩定性、真實性和有效性,是科技和法律的雙重課題。
(五)個人隱私的保護。
網路信息呈開放或無序狀態,傳播范圍廣,各種木馬、惡意程序等網路病毒能夠直接涉及並威脅每個消費者的信息,著涉及到技術問題,也是法律問題。在網購C2C電子商務企業中,個人隱私泄露是消費者投訴較為集中的領域之一。
(六)網路高科技犯罪問題。
我們常常聽到某某網站被黑,游戲賬號、網銀賬號被盜等是網路高科技犯罪的具體體現。由於網路信息流動常呈現處於無序狀態,難以管理和控制,容易對信息安全造成損害,加之軟體技術的發展,帶動計算機自動化能力的提高,使高技術犯罪日趨嚴重。
計算機病毒、利用計算機網路進行金融犯罪、盜用商業機密、對加密的內容進行解密等新型犯罪活動時有發生。為規范電子商務發展,我國出台了一系列法律法規,主要包括:1996.2.1頒布並實施的《中華人民共和國計算機信息網路國際聯網管理暫行規定》等。
通過上網搜索和看書對我國電子商務立法情況進行分析,我得出以下結論:
1、我國電子商務正處於一種亞健康的快速發展狀態,有兩個鮮明特徵,一是發展快,十一五期間,電子商務交易額年均增長達到30%以上,是由電子商務引發的法律問題日益突出,各種負面新聞充斥各種媒體,成為消費者投訴的熱點。
不僅抹黑了電子商務的整體形象,阻礙了行業健康發展,而且也嚴重影響消費者參與電子商務的熱情和信心,這種法律困境引發的亞健康狀態成為侵蝕電子商務機體的一大毒瘤。
2、我國電子商務立法嚴重滯後,一方面沒有指定專門的電子商務法,以及調整和規范電子商務活動,另一方面,相關部門出台的涉及電子商務的規范性文件覆蓋面狹窄,只能解決某一或某一領域的電子商務法律問題,而且法律層次低尚未真正形成切實有效的電子商務法律體系,電子商務法律環境不容客觀。
3、加強電子商務立法,完善法律體系是電子商務持續、健康、快速的發展的內在要求和堅強保障。當前,我國電子商務業仍處於快速發展期,2010年電子商務交易額達到4.8億元,預計2014年將突破20億元,如此龐大的經濟模式以滲透到社會的方方面面。
沒有完善的法律體系為發展保駕護航,勢必將嚴重擾亂正常的政治、經濟、生活秩序。因此,加強電子商務立法,完善法律體系迫在眉睫。電子商務要立足於我國國情,並要借鑒國外立法經驗,要注意和國際接軌,應從以下幾個方面入手:
立足本國,並與國際慣例接軌;跟蹤電子商務的最新發展,邊制定邊完善;與我國現有的相關法律相協調;注重立法的可操作性,加強執法力度;防止法律規范的制定與實際脫軌,流於形式;防止過於條條框框、條紋不清,法律調整不具可行性。
防止權衡不均,過分保護一方面利益而忽視另一方面利益;注重法律保障作用,建立相應的監管保障體系。
5、電子商務技術未來的發展趨勢是什麼?
電子商務未來發展可分為五步:
第一,電子商務的深度將進一步拓展。目前受限於技術創新和應用水平,企業發展電子商務仍處於起步階段。隨著這兩方面水平的提高以及其它相關技術的發展,電子商務將向縱深挺進,新一代的電子商務將浮出水面,取代目前簡單地依託「網站+電子郵件"的方式。
電子商務企業將從網上商店和門戶的初級形態,過渡到將企業的核心業務流程、客戶關系管理等都延伸到Internet上,使產品和服務更貼近用戶需求。互動、實時成為企業信息交流的共同特點,網路成為企業資源計劃、客戶關系管理及供應鏈管理的中樞神經。
企業將創建、形成新的價值鏈,把新老上下游利益相關者聯合起來,形成更高效的戰略聯盟,共同謀求更大的利益。
第二,中國電子商務將面臨嚴峻挑戰。電子商務是國際貿易發展的必然趨勢,隨著國際電子商務環境的規范和完善,中國電子商務企業必然走向世界,這也是進一步擴大對外經貿合作和適應經濟全球化、提升中國企業國際競爭力的需要。
而隨著中國加入WTO,國外的電子商務企業也將滲透到國內,對中國電子商務構成嚴峻挑戰。
第三,電子商務網站將會出現兼並熱潮。首先是同類兼並。目前中國為數不少的網站屬於重復建設之列,定位相同或相近,業務內容趨同。由於資源有限,並且在Internet「贏家通吃」 原則下,最終勝出的只是名列前茅的網站;其次是互補性兼並。
第四,行業電子商務將成為下一代電子商務發展主流。中國電子商務進入迅猛發展時期的典型特徵是風險資金、網站定位等將從以往的「大而全」模式轉向專業細分的行業商務門戶。
第一代的電子商務專注於內容,第二代專注於綜合性電子商務,而下一代的行業電子商務將增值內容和商務平台緊密集成,充分發揮 Internet在信息服務方面的優勢,使電子商務真正進入實用階段。
第五,電子商務將催生新行當eASP——電子商務應用服務商。電子商務是將來的主要商務交易模式,但對於國內為數眾多的中小型企業來說,將面臨如建設投入大、運營成本高、見效周期長、效果不理想、缺乏標准化的應用系統、軟硬體需不斷升級等一系列難題。