谈我国电子商务中的安全问题

电子商务是互联网应用发展的必然趋势，也是国际金融贸易中越来越重要的经营模式，以后它还会逐渐地成为我们经济生活中一个重要部分。安全是保证电子商务健康有序发展的关键因素，也是目前大家十分关注的话题。对此，中国国家测评认证中心吴世忠主任有他独到的看法。他认为在我国要保证电子商务的安全，就要本着“谁经营、谁负责”的原则，加强业界的自律，各个网站必须对各自的安全问题承担责任。 　　■网站被黑告诉我们什么 　　黑客的威力到底有多大？目前，我国网站所受到黑客的攻击，还不能与美国的情况相提并论，因为我们在用户数、用户规模上还都处在很初级的阶段。如果我们的网站遇到类似于DDoS的攻击时，要引起注意，但大可不必很惊慌，因为在目前的情况下，一个电子商务网站停一两天的损失并不会很大，毕竟我们的业务量和交易额都还不大。但是,我们应该从这些事件里充分地吸取前车之鉴。 　　1. 安全管理比安全技术更重要 　　如果我们按照西方人的思维方式去思考，不断地追求和更新安全技术，把防火墙做得非常棒，但如果黑客并不去窃取信息或数据，而只是去阻塞网站，对于这种原始而野蛮的攻击方式靠单纯的技术是很难解决的，只有靠管理或其它的方法去防范。美国电子商务网站遭受那么大规模的攻击，虽然有技术方面的原因，但总的看来还是一个管理的问题，这里的管理包括网站的经营者如何防止自己的网站被攻击、上网的用户如何保证自己的机器不会被别人利用等等。现在网上的安全补丁很多，但很少有人真正用它或者干脆就不知道怎么去用。所以，在信息化发展的初期，管理比技术更为重要。 　　2. 病毒比一般攻击更可怕 　　目前危及电子商务安全的首先是病毒或恶意代码；然后是内部人员滥用计算资源，对此国外强调得比较多，国内强调得比较少；第三是黑客攻击；第四是用户数据的泄漏；第五是假冒的交易。 　　■我国电子商务中的四大隐患 　　现在，我国电子商务网站的经营表面上看起来很热闹，但其实并非如此。根据我的了解，我国的电子商务收益不佳的现状有望改观，但技术和管理方面的问题还依然存在，安全隐患仍令人担忧。 　　1．网络安全在全球还没有形成一个完整体系 　　这一点对我国也不例外，虽然有关电子商务安全的产品数量不少，但真正通过认证的却相当少。近两年，有将近20家有关电子商务安全的产品申请认证，但最后通过的并不多，这主要是因为其中不少安全措施是从网上直接宕下来的；另外，不少搞电子商务安全技术的厂商对网络技术很熟悉，但是对安全技术普遍了解得偏少，因而他们很难开发出真正实用的、安全性的产品来。 　　2． 安全技术的强度普遍不够 　　国外有关电子商务的安全技术，虽然整体来看其结构或加密技术都不错，但这种算法（无论是对称的还是非对称的）受到了外国密码政策的限制，因此强度普遍不够。这种技术用在B to C方面还勉强可行，但用在B to B上就显然不够。 　　3. 安全管理存在很大隐患 　　普遍难以抵御黑客的攻击。这个问题应当引起高度重视，国内电子商务网站被攻击的事件报道得较少并不表示我们的网站就牢不可破，这是因为我们的网站本身规模小，对于黑客来说没有多少可攻的价值。 　　4. 电子商务没有真正深入商务领域而仅仅局限于信息领域 　　这些因素的存在必将影响我国电子商务进一步的发展。 　　■保证安全要做到“两高一低” 　　目前，国内市场需求较大的网络安全产品还是防火墙，从国内外采购的数量来看，防火墙均居于首位；其次是通信保密设备；第三是现在电子商务里面应用最多的客户机／服务器中的安全模式；第四是局域网或广域网中的安全技术；第五是Web安全技术；第六是灾难恢复技术。 　　以银行和金融界来看，大家对安全方面的重视还不够，电子商务网站普遍对灾难恢复考虑得都不是很好，这点是迫切需要改进的。由于有关电子商务的立法和管理刚刚开始，有人开玩笑说“电子商务目前是个‘三无’行业：无法可依、无安全可言、无规可循”，当然这种说法欠妥，但目前我国关于网络安全的法律的确还有待完善。我国政府对电子商务的管理已经提上了议事日程，各个部门都在抓紧制定推进电子商务的政策。 　　对电子商务发展的建议简单地讲是“两高一低”，即：提高服务的安全性，否则会制约电子商务的发展，成为发展的瓶颈；提高通讯的速度，否则电子商务就成了纯粹的电子广告而无法将商场搬到里面；降低成本，这不仅仅是降低硬件成本，特别是要降低通讯成本。因为电子商务发展的目的本来就是为了降低交易成本，交易成本高了就不正常。 　　电子商务安全管理的基本趋势可用“谁经营、谁负责”六个字来概括，也可以说是谁管理谁负责，这就是要强调业界自律，要负担起各自对安全问题的责任来。 　　■不要让安全成为发展的瓶颈 　　谈到电子商务的安全与发展两者之间的关系时，许多人都会认为安全更重要，而实际上在信息化发展的过程中，发展自始至终都应是放在第一位的，因为没有发展安全就无从谈起，没有发展就是最大的不安全。 　　从国内外的情况来看，电子商务发展的速度太快，致使其安全技术和安全管理都跟不上，这是一个越来越突出的问题。电子商务的快速发展需要业界，特别是信息安全业快速地作出反应，否则安全方面的问题将会制约它的发展。现在不仅仅是发展中国家，就连美国这样的发达国家，电子商务在很多领域还是没有像其它传统的商务那样发达，一个重要的原因就是安全问题。这就需要信息安全业的同行作出不懈的努力，不要因为安全问题而制约了电子商务的发展。 　　■用户对安全的五个基本要求 　　1． 要求信息真实、完整 　　因为无论中国人还是外国人，都会觉得“隔山买牛”是一件心里没底的事情，因此都希望电子商务上的信息是真实的、完整的。 　　2． 交易不能抵赖 　　否则，生意就没法做了。这不但需要用道德和法律进行约束，更需要相关技术进行保障。如果总是发生扯皮或纠纷，再好的电子商务也会因此而黄掉。 　　3． 支付和交易必须安全而可靠 　　目前，如何保障支付和交易的安全可靠是一个全球性问题，电子商务要有大的发展，就必须解决好这些瓶颈问题。 　　4．能准确地识别用户或商家的身份 　　如果不能准确识别交易双方的身份，发生纠纷时就无法进行有效的仲裁。 　　5． 能保护个人隐私 　　个人隐私的保护问题越来越受到重视了， 越是开放，越是信息化，保护个人隐私问题就越重要。 -------------------------------------------------------------------------------- 　　安全的四大特性 　　一、安全是一个系统概念 　　安全问题不仅仅是个技术性的问题，更重要的是管理，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起。 　　二、安全是相对的 　　房子的窗户上只有一块玻璃，一般说来这已经很安全，但是如果非要用石头去砸，那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑玻璃的安全性，因为大家都有一个普遍的认识：玻璃是不能砸的，有了窗玻璃就可以保证房子的安全。同样，不要追求一个永远也攻不破的安全系统，安全与管理始终是联系在一起的。也就是说安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是不可能的。我们要正确认识这个问题。 　　三、安全是有代价的 　　无论是现在国外的B to B还是B to C，都要考虑到安全的代价和成本的问题。如果只注重速度，就必定要以牺牲安全来作为代价；如果要考虑到安全速度就得慢一点，把安全性保障得更好一些。当然这与电子商务的具体应用有关，如果不直接牵涉到支付等敏感问题，对安全的要求就可以低一些；如果牵涉到支付问题对安全的要求就要高一些，所以安全是有成本和代价的。作为一个经营者，应该综合考虑这些因素；作为安全技术的提供者，在研发技术时也要考虑到这些因素。 　　四、安全是发展的、动态的 　　今天安全明天就不一定安全，因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情，尤其是安全技术，它的敏感性、竞争性以及对抗性都是很强的，这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全，也没有一蹴而就的安全。 　　摘自《赛迪网》　吴世忠/文