1、电子商务安全技术的发展状况?
1、电子商务的安全控制要求概述
电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
1.1信息保密性
交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
1.2交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家而言要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。
1.3不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。
1.4不可修改性
交易的文件是不可被修改的,如其能改动文件内容,那么交易本身便是不可靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
2、电子商务安全交易的有关标准和实施方法
2.1安全交易的雏形
在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括:
(1) 部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
(2) 另行确认(Order Confirmation):即当在网上传输交易信息之后,再用电子邮件对交易作确认,才认为有效。
(3) 在线服务(Online Service):为了保证信息传输的安全,用企业提供的内部网来提供联机服务。
以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
2.2安全交易标准的制定
近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有:
(1) 安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
(2) 安全套接层协议(SSL协议:Secure Socket Layer)是由网景(Netscape)公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。
(3) 安全交易技术协议(STT:Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。
(4) 安全电子交易协议(SET:Secure Electronic Transaction):SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。
支付系统是电子商务的关键,但支持支付系统的关键技术的未来走向尚未确定。安全套接层(SSL)和安全电子交易(SET)是两种重要的通信协议,每一种都提供了通过Internet进行支付的手段。但是,两者之中谁将领导未来呢?SET将立刻替换SSL吗?SET会因其复杂性而消亡吗?SSL真的能完全满足电子商务的需要吗?我们可以从以下几点对比作管中一窥:
SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展,但如果想要电子商务得以成功地广泛开展的话,必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置,比较容易被应用。
SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。
SET是一种基于消息流的协议,它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布,用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验,但大多数在Internet上购的消费者并没有真正使用SET。
SET是一个非常复杂的协议,因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上,SET远远不止是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。
3、目前安全电子交易的手段
在近年来发表的多个安全电子交易协议或标准中,均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种:
3.1密码技术
采用密码技术对信息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种:
(1)公共密钥和私用密钥(public key and private key)
这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
(2)数字摘要(digital digest)
这一加密方法亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。
上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。
3.2数字签名(digital signature)
在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:
a. 信息是由签名者发送的。
b. 信息在传输过程中未曾作过任何修改。
这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
数字签名采用了双重加密的方法来实现防伪、防赖。其原理为:
(1) 被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。
(2) 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。
(3) 将原文和加密的摘要同时传给对方。
(4) 对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。
(5) 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。
3.3数字时间戳(digital time-stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由Bellcore创造的DTS采用如下的过程:加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。因此,时间戳也可作为科学家的科学发明文献的时间认证。
3.4数字凭证(digital certificate, digital ID)
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
数字凭证的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:
(1) 凭证拥有者的姓名,
(2) 凭证拥有者的公共密钥,
(3) 公共密钥的有效期,
(4) 颁发数字凭证的单位,
(5) 数字凭证的序列号(Serial number),
(6) 颁发数字凭证单位的数字签名。
数字凭证有三种类型:
(1) 个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。
(2) 企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
(3) 软件(开发者)凭证(Developer ID):它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。
3.5认证中心(CA:Certification Authority)
在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS:Certification Practice Statement)来实施服务操作。
上述五个方面介绍了安全电子交易的常用手段,各种手段常常是结合在一起使用的,从而构成比较全面的安全电子交易体系。
4、应用动态
根据最新报道,我国第一个安全电子商务系统:“网上订票与支付系统”经过半年试运行后,于1999年8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。
系统结构采用网上订票与支付系统由四个子系统组成:商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。
商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为:www.cea.online.sh.cn;它是中国安全电子商务第一网站。
客户子系统是安装于PC机上的电子钱包软件,是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后,方可进行网上消费。
支付网关子系统通常是指由收款银行运行的一套设备,用来处理商户的付款信息以及持卡人发出的付款指令。
数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。
其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点:
1) 遵循SET国际标准、具有SET标准规定的安全机制,是目前国际互联网上运行的比较安全的电子商务系统;
2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点,具有一定的中国特色;
3) 具有开放特性,可与经SETCO国际组织认证的任何电子商务系统进行互操作;
2、电子商务在未来几年中发展情况如何?
一、电子商务专业未来发展很好:电子商务属于管理类学科,顺利毕业可授予管理学学士学位。电子商务专业好不好,还要看学校的师资力量,学校对该专业的重视程度,有些学校专业名称看似很好,但是是学校新开设的专业,所以师资力量尚浅,教学成果也就不显著。其实,任何专业都是个壳,学习的过程就是培养人的能力、素质。现在企业都重视人才的素质。而且,无论专业好坏,最主要还是看你学不学。专业好,但你没能达到学习标准,出来还是没用的人。无论就业率高不高,只要你是学习好的那一个,别人没有理由不要你,应聘时看你个人的能力,而不是看你的专业,个人能力突出,才能让企业的慧眼一眼就识出是你。
二、学电子商务专业好就业
1.如果是专科的电子商务学生,由于课程学习的内容的限制,可能在人才市场上可能会非常缺乏竞争力。因为专科的教学内容大多是偏向于实际操作的类型。以现在的3级助理电子商务师及4级的电子商务员考试的内容来看,其理论部分的内容是非常简单及浅显的.对于商业的本质并没太多的探讨;而实操部分的内容基本就是对于tb的具体操作和一些网银的具体操作。显而易见,3级与4级电子商务师的人才目标是网店的操作人员。但是在现在的发展趋势中,tb这类C2C的电子商务平台将会逐渐的缺乏竞争力及火力,未来在网络零售商会出现巨头吞并大部分市场的情况.小的网店公司及个人只能通过一些长尾产品去生存。总结就是专科的电子商务学生知识缺乏广度,难以在未来生存。
2.如果是计算机学院的电子商务学生,那么走上一条电子商务产品开发的道路在现在是非常吃香的。因为在互联网上产品至今仍然是公司的根本竞争力。有可能电子商务的学生会对自己的技术水平产生很大的疑惑,觉得自己跟其他计算机的学生比缺乏竞争力,但其实并不是这样的。随着现在后端技术的成熟及大量大型开发商的介入,未来在后端技术开发会越来越简单,那个时候开发的重心应该要回归到跟顾客直接面对面交互的前端上。这个时候懂得商业需求分析及前端开发技术的电子商务学生就非常具有竞争力了。
3.如果是商科学院的电子商务学生,在现在的人才市场上可能很难找到合适的工作了。因为这类型的电子商务学生是一种跨行业的人才。
3、未来电子商务安全问题及预防措施
电子商务是互联网应用的重要趋势之一,也是国际金融贸易中越来越重要的经营模式之一,以后会逐渐地成为我们经济生活中一个重要的部分,安全是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的话题,下面将就电子商务发展中的几个热点问题,谈谈个人的看法。
一、怎么看待安全与发展的关系
谈到安全与发展两者之间的关系时,许多人都会认为安全更重要,而实际上在信息化发展的过程中,发展自始至终都应是放在第一位的,因为没有发展安全就无从谈起,没有发展就是最大的不安全。
从国内外的情况来看,电子商务发展的速度太快,致使其安全技术和安全管理跟不上,这是一个越来越突出的问题。电子商务的快速发展需要业界,特别是信息安全业快速地作出反应,否则安全方面的问题将会制约它的发展。现在不仅仅是发展中国家,就连美国这样的发达国家,电子商务在很多领域还是没有像其它传统的商务那样发达,一个重要的原因就是安全问题。这就需要信息安全业的同行作出不懈的努力,不要因为安全问题而制约了电子商务的发展。
二、如何看待电子商务的安全问题
在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时也要考虑到这些因素。
其四,安全是发展的、动态的。今天安全明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。
三、社会上对电子商务的需求有哪些
电子商务是用电子化的方式实现传统商务的模式或者说对传统商务的革命,它的发展需要以下几个必备的条件。
其一,对电子商务的发展要有广泛的认同。无论是现在的银行、证券也好还是传统的物物交换,社会认同是交易得以实现的基础。对电子商务的发展也必须有广泛的认同。
其二,电子商务的交易模式不能被假冒。也就是说必须要有足够的安全保障。
其三,能真正节省开支。人类从最原始的物物交换到一般等价物、到信用体制等等都是在不断地降低交易成本,如果我们引进电子商务不但不能减少成本,反而会使成本增加,就不会得到社会的认同。
其四,要求方便易用,这一点十分重要。目前我国电子商务发展的发展过程中最致命就是使用不方便。
其五,要能满足社会大众的商业心态。它可以是“实名制”也可以是“隐名”的(当然现在也正讨论怎么使存款“实名制”),原来的金融体系或经济体系的优势就在于既可以是“实名”的也可以是“隐名”的,所以发展电子商务时也要考虑这个问题,否则用户就没有选择,其发展就会受到阻碍。
社会对电子商务安全的需求简单归纳起来主要有以下几点:
1.信息要求真实和完整。因为无论中国人还是外国人,都会觉得“隔山买牛”是一件心里没底的事情,因此都希望电子商务上的信息是真实的、完整的。
2.所有交易不能够抵赖,否则,生意就没法做了。这不但需要用道德和法律进行约束,更需要相关技术进行保障。如果总是发生扯皮或纠纷,再好的电子商务也会因此而黄掉。
3.支付和交易必须是安全而可靠的。目前,如何保障支付和交易的安全可靠是一个全球性问题,电子商务要有大的发展,就必须管好这些瓶颈。
4.用户或商家的身份在网络上能够被准确地识别。如果不能准确识别交易双方的身份,发生纠纷时就无法进行有效的仲裁。
5.能够保护个人隐私。对个人隐私的保护现在越来越受到重视,以前我们可能不太看重这个问题。越是开放,越是信息化,个人隐私越重要。
四、对电子商务现状的看法
现在,电子商务网站的经营很热闹,但其实也很艰难。根据我们了解的情况,我国的电子商务虽然收益不佳的现状有望改观,但技术和管理方面的问题还依然存在,安全隐患仍令人担忧。
从技术上看:首先是数据传输的速度太慢;第二是没有安全、可靠的结账方式,这严重制约着电子商务的发展;第三是IT技术的发展速度太快,商务模式的形成和人们使用习惯的养成都需要一定的时间,虽然技术不断发展,但社会对技术的认同是有阶段的,这使得用户和经营者都难以消化,难以跟上这种快速发展的步伐;第四是难以及时处理用户的有关问题,开通一个网站,如果一段时间以后用户的反馈多了,网络的速度就会慢下来,这也许是线路本身的问题,但也存在技术处理的问题,目前尚没有解决的良策。第五是在安全保障上,难以防范现在的网络犯罪,特别是黑客的攻击。
从管理上看,存在的主要问题有:1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多;2)电子商务网站的经营收益远低于预期,使有网络泡沫之虞;3)缺乏能适应中国国情的市场技巧。现在的电子商务网站动作的市场方式基本上是照搬美国的,在造势上不无奢华,但在收效上却无殷实,不充分考虑中国人的商业行为和方式,恐怕是难以成功的。4)网站运营成本太高。由于运行成本居高不下,再好的商业模式也不堪重负。5)收费困难。除BtoB稍好一点外,BtoC电子商务一直没有找到方便可行的收费方式。
从安全上看,电子商务的隐患,令人担忧,主要表现在:
1.网络信息安全在全球还没有形成一个完整的体系,我国也不例外。虽然有关电子商务安全的产品数量不少,但真正通过认证的却相当少。近两年,有将近20家有关电子商务安全的产品申请认证,但最后通过的非常少,这主要是因为不少安全措施是从网上“down”下来的,另外,不少电子商务安全技术的厂商对网络技术很熟悉,但是对安全技术普通了解得较少,因而他们很难开发出真正实用的、安全性足用的安全技术和产品。
2.安全技术的强度普遍不够。国外有关电子商务的安全技术,虽然其结构或加密技术等都不错,但这种算法(无论是对称的还是非对称的)受到了外国密码政策的限制,因此强度普遍不够。这种技术用在B-to-C方面还勉强可行,但用在B-to-B上就显然不够。
3.电子商务网站的安全管理存在很大隐患,普遍难以经受黑客的攻击。这个问题应当引起高度重视,国内电子商务网站被攻击的事件较少并不表示是牢不可破,而是网站本身很小,没有多少可攻的价值。
4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域,这些因素的存在必将影响我国电子商务进一步的发展。
五、关于面向社会服务的CA中心
现在大家都在关注CA中心,从国外的发展看,认证应该是第三方的,政府干预最好少一些,只需作些必要的引导。在我国,最大的问题是多人过早地把CA认证看作是一种产业,把它当作生意来做,而过少地考虑到应该担负的责任。其实,面向社会服务的CA中心必须达到一定的要求。首先要看建设单位是否具备管理能力,以及责任和义务是否很明确,一旦证书出了问题,各方的责任是否清楚;其次是看技术能力和运行条件,CA要为社会服务,能否保证安全可信,运转有效;这需要专门的技术能力和安全完整的网上认证技术体系。比如在炒股票时,如果认证的周期太长,别人已经成交了,你这里还堵着,那肯定不行。第三是看是否有足够的财力支持。没有数千万乃至上亿的投入,是无法面向社会提供可信赖的CA服务。第四是看整个CA系统和设施是否安全。总之,CA中心能否提供安全可靠的服务,不能仅凭自身的宣传,而是要通过“国家信息安全认证”。到目前为止已经通过认证的只有一家,还有其它几家也正在审查之中。主要的问题不在于能否发出证书,而在于能否保障证书的使用者的利益。
六、如何看待电子商务网站受到的攻击
刚才我们提到过黑客的问题,黑客的威力到底有多大?
目前,我国网站所受到黑客的攻击,还不能与美国的相提并论,因为我们的用户数、规模和级别还是处在很初级的阶段。如果遇到类似于DDOS的攻击时应该引起注意,但不必很惊慌,因为在目前的情况下,一个电子商务网站停一两天所受的损失不是很大,毕竟业务量和交易额都还不大。从以往遭遇过的攻击中我们可以得到以下几点启示:
1.纯技术难以防范原始攻击方式。如果我们按照西方人的思维方式去思考,不断的追求和更新安全技术,防火墙可以做得非常强,但如果黑客不去窃取信息或数据,而只是去阻塞网站,这种非常野蛮的攻击方式用单纯的技术是很难解决的,而要靠管理或其它的方法去防范。美国电子商务网站遭受那么大规模的攻击,虽然有技术方面的原因,但总的看来还是一个管理的问题,这里的管理包括网站的经营者要如何防止自己的网站被攻击,上网的用户如何保证自己的机器不会无辜地被别人利用,现在网上的安全补丁很多,但很少有人真正用它或不知道怎么去用。所以,在信息化发展的初期,管理比技术显得更为重要。
2.病毒比一般攻击更可怕。现在的病毒(包括恶性代码)破坏性越来越大。现在电子商务上的交易都是非时间敏感性的项目,所以时效性并不太突出,可怕的是病毒对数据的破坏。
3.从目前的情况看,危及电子商务的首先是病毒或恶意代码;然后是内部人员滥用计算资源,对此国外强调的比较多,国内强调的比较少,随着技术人员流动性增大,道德也有待提高;第三是黑客攻击;第四是用户数据的泄漏;第五是假冒的交易。
七、关于电子商务需要的安全技术与产品
目前,国内市场需要较大的网络安全产品还是防火墙,从国内外采购的数量来看,防火墙均居于首位的;其次是通信保密设备;第三是现在电子商务里面应用最多的客户机服务器中的安全模式;第四是局域网或广域网上的安全技术;第五是web安全技术;第六是灾难恢复技术,从银行和金融界的一些情况看,大家对这方面的重视还不够,普遍的电子商务网站对灾难恢复考虑得都不是很好,这也是迫切需要的。
八、制约我国电子商务发展的主要因素
制约我国电子商务的因素主要有:其一是商业信息化程度太低;其二是交易过程不规范;其三是信用制度不健全;其四是技术发展太快,没有一定的稳定过程;其五是出现问题后客户去找谁负责。由于有关电子商务的立法和管理刚刚开始,有人开玩笑说“电子商务目前是个‘三无’行业:无法可依、无安全可言、无规可循”,当然这只有一定的道理,我国政府对电子商务的管理已经报上议事日程,各个部门都在抓紧制定推进电子商务的政策。
九、加快电子商务发展的建议
对电子商务发展的建议简单地讲是“两高一低”,即:1)不断提高服务的安全性,否则会制约电子商务的发展;成为发展的瓶颈;2)提高通讯的速度,否则电子商务就成了纯粹的电子广告而无法将商场搬到里面,许多东西我们无法看到,也更谈不上交易;3)降低成本,这不仅仅是降低硬件成本,特别是要降低通讯成本。因为电子商务发展的目的本来就是为了降低交易成本,交易成本反而高了就不正常。许多人都认为花那么大的投入去搞电子商务还不如去面对面地谈生意,打个电话许多货就发过来了,用不着去识别身份什么的。
电子商务安全管理的基本趋势似乎可用:“谁经营、谁负责”六个字来概括,也可以说是谁管理谁负责。这就强调业界要自律,要对安全问题承担责任。
4、我国电子商务的现状是怎样的?
电子商务正在成为一个全球性的经济主题,围绕电子商务的法律框架也在逐步建立起来,所有准备或者正在开展电子商务的工商企业都应当了解其交易的法律环境,采取受法律承认和保护的交易方式,以便有效的维护自己的财产利益。
一、电子商务是经济和信息技术发展并相互作用的必然产物,它有狭义和广义之分。电子商务(是经济和信息技术发展并相互作用的必然产物,它有狭义和广义之分。狭义电子商务是指基于数据(文本、声音、图象)的处理和传输,通过开放的网络(主要是Internet )进行的商业交易。
包括企业与企业、企业与消费者、企业与政府之间的交易活动;广义电子商务涉及到内部网(Intranet)和Internet等领域,它是一种全新的商务模式,利用前所未有的网络方式将顾客、销售商、供应商和企业员工联系在一起,将有价值的信息传递给需要的人们。
电子商务在全球的发展只是从20世纪90年代才开始,最初只表现为相对少数的大公司通过EDI开展电子商务活动,并没有形成规模经济的局面。从1997年开始,电子商务却发生了质的飞跃,随着Internet的飞速发展和计算机技术的日益成熟,电子商务应用的成本大大降低,使它能够超越大公司的应用范围而成为一个全球性新的经济现象
二、我国电子商务发展现状我国电子商务实践和研究起步较晚,其立法相对较为滞后,虽然新合同法已正式承认电子合同的有效性,但我国现行的其他有关法律、法规中尚无相关的内容和规定。然而,随着电子商务的迅速发展,我国现已进入电子商务的推广和运作阶段。
研究相应的法律对策,加强电子商务立法,以建立复合电子商务特点的法律制度,将有助于电子商务正常发挥其效益,有助于保障电子商务用户的合法权益从世界范围来看,电子商务的成功应用大多是在发达国家,尤其是美国和欧洲。
对于我国来说发展电子商务充满了困难和阻力,我国的经济体制改革正步入攻坚阶段,传统的计划经济手段正在消减,市场机制尚未健全。各类企业在进入市场的同时,也必须进入电子商务市场,这对中国所有的企业来说都是严峻的考验。再有开展电子商务所需的网络设施、安全保障手段比起其他国家有相当大的差距。
三、电子商务的法律问题电子商务具有跨度大、安全性低、速度快、技术含量高、发展模式多等特点,本次调查的电子商务企业所涉及的法律问题集中体现在以下几个方面:
(一)交易安全问题。
这是电子商务企业反映最集中、最强烈的问题。在调查中了解到,交易安全问题只要体现在窃取信息、篡改信息、假冒、恶意破坏、信息保密性、交易者身份的确定性以及网络故障等,单纯依靠技术不能真正保障网络交易的安全。如何能确保交易安全,相应的法律制度是不可或缺的条件。
(二)知识产权保护问题。
由于电子商务网站的内容是数字化信息,且属于开放网络,文字、声像等信息容易被窃取和复制,商标容易被误用,这些对知识产权形成了新的挑战。
(三)电子合同问题。
这是电子商务企业在交易过程中与客户间发生法律纠纷的一大原因,行业B2B电子商务企业对此问题反映的标记集中。
(四)电子证据的获取和认定。
当电子商务过程中出现法律纠结,不可避免地要涉及到电子证据的获取和认定。由于虚拟网络中信息具有易变性,锁定或获取侵权证据难度极大,给解诀纠纷,惩治不法行为带来了巨大困难。保证网络环境下信息的稳定性、真实性和有效性,是科技和法律的双重课题。
(五)个人隐私的保护。
网络信息呈开放或无序状态,传播范围广,各种木马、恶意程序等网络病毒能够直接涉及并威胁每个消费者的信息,着涉及到技术问题,也是法律问题。在网购C2C电子商务企业中,个人隐私泄露是消费者投诉较为集中的领域之一。
(六)网络高科技犯罪问题。
我们常常听到某某网站被黑,游戏账号、网银账号被盗等是网络高科技犯罪的具体体现。由于网络信息流动常呈现处于无序状态,难以管理和控制,容易对信息安全造成损害,加之软件技术的发展,带动计算机自动化能力的提高,使高技术犯罪日趋严重。
计算机病毒、利用计算机网络进行金融犯罪、盗用商业机密、对加密的内容进行解密等新型犯罪活动时有发生。为规范电子商务发展,我国出台了一系列法律法规,主要包括:1996.2.1颁布并实施的《中华人民共和国计算机信息网络国际联网管理暂行规定》等。
通过上网搜索和看书对我国电子商务立法情况进行分析,我得出以下结论:
1、我国电子商务正处于一种亚健康的快速发展状态,有两个鲜明特征,一是发展快,十一五期间,电子商务交易额年均增长达到30%以上,是由电子商务引发的法律问题日益突出,各种负面新闻充斥各种媒体,成为消费者投诉的热点。
不仅抹黑了电子商务的整体形象,阻碍了行业健康发展,而且也严重影响消费者参与电子商务的热情和信心,这种法律困境引发的亚健康状态成为侵蚀电子商务机体的一大毒瘤。
2、我国电子商务立法严重滞后,一方面没有指定专门的电子商务法,以及调整和规范电子商务活动,另一方面,相关部门出台的涉及电子商务的规范性文件覆盖面狭窄,只能解决某一或某一领域的电子商务法律问题,而且法律层次低尚未真正形成切实有效的电子商务法律体系,电子商务法律环境不容客观。
3、加强电子商务立法,完善法律体系是电子商务持续、健康、快速的发展的内在要求和坚强保障。当前,我国电子商务业仍处于快速发展期,2010年电子商务交易额达到4.8亿元,预计2014年将突破20亿元,如此庞大的经济模式以渗透到社会的方方面面。
没有完善的法律体系为发展保驾护航,势必将严重扰乱正常的政治、经济、生活秩序。因此,加强电子商务立法,完善法律体系迫在眉睫。电子商务要立足于我国国情,并要借鉴国外立法经验,要注意和国际接轨,应从以下几个方面入手:
立足本国,并与国际惯例接轨;跟踪电子商务的最新发展,边制定边完善;与我国现有的相关法律相协调;注重立法的可操作性,加强执法力度;防止法律规范的制定与实际脱轨,流于形式;防止过于条条框框、条纹不清,法律调整不具可行性。
防止权衡不均,过分保护一方面利益而忽视另一方面利益;注重法律保障作用,建立相应的监管保障体系。
5、电子商务技术未来的发展趋势是什么?
电子商务未来发展可分为五步:
第一,电子商务的深度将进一步拓展。目前受限于技术创新和应用水平,企业发展电子商务仍处于起步阶段。随着这两方面水平的提高以及其它相关技术的发展,电子商务将向纵深挺进,新一代的电子商务将浮出水面,取代目前简单地依托“网站+电子邮件"的方式。
电子商务企业将从网上商店和门户的初级形态,过渡到将企业的核心业务流程、客户关系管理等都延伸到Internet上,使产品和服务更贴近用户需求。互动、实时成为企业信息交流的共同特点,网络成为企业资源计划、客户关系管理及供应链管理的中枢神经。
企业将创建、形成新的价值链,把新老上下游利益相关者联合起来,形成更高效的战略联盟,共同谋求更大的利益。
第二,中国电子商务将面临严峻挑战。电子商务是国际贸易发展的必然趋势,随着国际电子商务环境的规范和完善,中国电子商务企业必然走向世界,这也是进一步扩大对外经贸合作和适应经济全球化、提升中国企业国际竞争力的需要。
而随着中国加入WTO,国外的电子商务企业也将渗透到国内,对中国电子商务构成严峻挑战。
第三,电子商务网站将会出现兼并热潮。首先是同类兼并。目前中国为数不少的网站属于重复建设之列,定位相同或相近,业务内容趋同。由于资源有限,并且在Internet“赢家通吃” 原则下,最终胜出的只是名列前茅的网站;其次是互补性兼并。
第四,行业电子商务将成为下一代电子商务发展主流。中国电子商务进入迅猛发展时期的典型特征是风险资金、网站定位等将从以往的“大而全”模式转向专业细分的行业商务门户。
第一代的电子商务专注于内容,第二代专注于综合性电子商务,而下一代的行业电子商务将增值内容和商务平台紧密集成,充分发挥 Internet在信息服务方面的优势,使电子商务真正进入实用阶段。
第五,电子商务将催生新行当eASP——电子商务应用服务商。电子商务是将来的主要商务交易模式,但对于国内为数众多的中小型企业来说,将面临如建设投入大、运营成本高、见效周期长、效果不理想、缺乏标准化的应用系统、软硬件需不断升级等一系列难题。