电子商务及其安全问题
摘 要:电子商务是一种可以改变传统商务交往的手段, 其基本内涵就是利用互联网从事商务活动。近几年来,我国电子商务发展十分迅速,尤其是江浙沪一带,推动了当地的经济发展。随着电子商务的发展,电子商务务安全也越来越重要。本文主要探讨电子商务及其安全问题。
关键字:电子商务;安全;信息
1 电子商务概述
1.1 电子商务定义
电子商务(Electronic Commerce),是指实现整个贸易过程中各阶段贸易活动的电子化。于1997年11月,国际商会在巴黎举行IT世界电子商务会议(The World Business Agenda for Electronic Commerce)中提出的,从商务形式上可以定义为:电子商务是交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易;从技术形态上可以定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(电子公告牌、共享数据库)以及自动捕获数据(条形码)等。
全球公认的电子商务权威人物卡拉科达(Ravi Kalakota)教授和温斯顿
(AndrewB.Whinston)教授认为,可以从以下多个角度来定义和理解电子商务:从业务流程角度来说,电子商务是对业务交易和工作流程自动化的一种技术应用;从服务的角度来说,电子商务是一种用于满足企业、消费者的需求,进行管理以降低成本并改善产品质量、提高服务相应速度的工具。
从通信角度来说,电子商务是通过电话线、计算机网络或者其它电子手段对信息、产品、服务或支付进行的传递。从在线的角度来说,电子商务提供了在互联网上以及通过其它在线服务买卖产品和信息的能力。这一定义比较全面地反映了电子商务的本质,即回答了电子商务依赖什么技术和手段,应用的领域和服务的对象是什么以及服务的内容和目的是什么等关键问题。后来托本(Turban)教授在此基础上又进行了补充:从合作的观点看,电子商务是在组织间和组织内部进行合作的框架。从社区的观点看,电子商务为社区成员提供了一个学习、交易和合作的集合场所,从而使对电子商务的理解更趋于完整[1]。
1.2 电子商务模式
总的来说,电子商务可以分为企业(Business)对终端客户(Customer)的电子商务(即B2C)和企业对企业的电子商务(B2B)两种主要模式[2]。
提起B2C,大家可能更为熟悉一些,它是从企业到终端客户(包括个人消费者和组织消费者)的业务模 式。今天所谈的电子商务时代的B2C是通过电子化、信息化的手段,尤其是互联网技术把本企业或其它企业提供的产品和服务不经任何渠道,直接传递给消费者的 新型商务模式。因为它与大众的日常生活密切相关,所以被人们首先认识和接受。
电子商务B2C模式的一种最为大家所熟悉的实现形式就是新兴的专门做电子商务的网站。现在,仿佛一夜之间,涌现出无数的这类公司,其中有网上商店、网上书屋、网上售票等等,甚至还有一些什么都做,什么都卖的电子商务网站,人们戏称为“千货公司”的。但无论怎样,这些新型模式企业 的出现,使人们足不出户,通过因特网,就可以购买商品或享受咨讯服务。这无疑是时代的一大进步。
企业与企业之间的业务模式被称作B2B,电子商务B2B的内涵是企业通过内部信息系统平台和外部网站将面向上游的供应商的采购业务和下游代理商的销售业务都有机地联系在
1
一起,从而降低彼此之间的交易成本,提高满意度[3]。实际上面向企业间交易的B2B,无论在交易额和交易领域的覆盖上,其规模比起B2C来都更为可观,其对于电子商务发展的意义也更加深远。 与B2C相似,B2B在企业间的应用也有两种主要实现形式。 B2B的一种实现是其在传统企业中的应用。一些传统企业的实质性业务,正在逐步向B2B转变,更多地以WEB方式来传递信息和实现网上订单,但物流方式就和以前没什么变化,依然是供应商到本企业,本企业再到代理商或最终客户。以通用汽车为例,通用汽车建立了一个B2B电子商务网站——TradeXchange,计划在今年年底之间,将其每年高达870亿美元的采购业务完全通过该网站进行。并且这个网站 不仅满足通用自身的采购业务,其30000多家供应商也将在这一系统上进行交易,它将对通过TradeXchange进行的电子商务交易收取1%的的手续 费,专家们估计这将为通用汽车带来每年50亿美元的收入。
2 电子商务发展与现状
2.1 电子商务发展
通常我们理解的电子商务是指在互联网上完成的交易。例如网上购物,网上课堂。电子商务至今没有一个统一的概念,比较权威的是1997年在 世界电子商务会议上的定义:电子商务(ELECTRONIC COMMERCE),是指对整个贸易活动实现电子化。从涵盖范围方面可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易;从技术方面可以定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(共享数据库、电子公告牌)以及自动捕获数据(条形码)等。
电子商务是在五个条件下产生的:计算机的高速发展,网络的普及应用,信用卡的广泛应用,电子安全交易协议的制定和的有力支持[4]。根据电子商务的定义,要使贸易活动电子化,电子商务必定是建立有相关技术的基础上的。计算机的发展,网络和信用卡(如今在国内
2
更多的是银联卡)的普及和安全交易协议是电子商务发展起来的必要条件,但并不是充份条件。电子商务的发展还与的支持,法律的保护,人的道德素质有密切关系。
我国电子商务的发展较西方国家而言是相对较慢。在西方国家给出了电子商务的定义后,1998年我国电子商务才正式进入起步阶段。我国电子商务起步虽晚,但发展确实很快。去年年底,阿里巴巴在上市引起我们对电子商务的极大关注。
2.2 电子商务现状
全国已有4万家商业网站,其中网上商店700余家.电子商务项目大量推出,几乎每天都有各类电子商务咨询网站、网上商店、网上商城、网上专卖店、网上拍卖行等诞生.电子商务应用与发展地域也由北京、上海、深圳等少数城市,开始向各大中城市发展.据IDC预测,2000年中国网上交易额将达4 000万美元,到2003年将达38亿美元.可以说,中国电子商务已经由表及里、从虚到实,从宣传、启蒙和推广阶段进入了务实的发展事实阶段.目前,机关和有关部门在互联网上已建立的站点有52个,各级部门申请gov.cn域名已达2 400多个,东南沿海的省也开始上网. 1998年以来,对电子商务的支持与协调力度明显增加。 中国电子商务发展的总体框架(包括整体战略、发展规划、发展措施、技术标准以及相关法律法规)的推出,将会使电子商务有一个更加规范有序的应用与发展环境.不少地方也都对电子商务给予了前所未有的关注与支持,开始将电子商务作为重要的产业发展方向.在经贸领域,实施了海关、外汇、统计、银行、运输、商检、税务、保险贸促会等部门的计算机联网,从签约、备货、领证、排载、报关、报验、装船、投保、议付、结汇、退税、索赔等环节初步实现了电子商务的管理.中国国际电子商务网在全国建立了32个城市网络节点,初步建成国家外经贸专用网,实现了部委机关内部、部委机关与各省市外贸主管部门、办事处、6大进出口商会及海关总署等有关部委的联网.并同中国银行、美国、欧盟、英国、澳大利亚以及联合国全球贸易网络中心等相关国际贸易机构实施了数据专线互联,形成了商务运作过程中贸易伙伴之间外延往来的Extranet ;同时,该网同外经贸部派驻世界各
3
地的国外常驻机构实现了国际贸易业务的网络化管理,从而为中国对外经济贸易领域进入国际贸易市场,开拓了一个面向全球的电子商务网络环境.中国商品交易中心(CCEC)是国家经贸委批准组建,集网络市场建设、商品信息查询、交易中介服务、产品电子广告为一体的综合性、规范性、高起点的国家级商品流通新体系。
我国行业电子商务发展地域性差异比较大,以江浙等地为代表的华东地区电子商务发展水平远远高于其它地区,据中国互联网中心CNNIC调查显示:全国大概有2000多个规模大小不一的行业性电子商务网站,其中注册于江、浙等地的占到83%。江、浙等地企业应用电子商务并从中得到的商业利润、价值也远远高于其它地区。
3 电子商务安全问题
3.1 电子商务安全隐患
电子商务的安全问题仍是影响电子商务发展的主要因素。由于INTERNET的迅速流行,电子商务引起了广泛的注意,被公认为是未来IT最有潜力的新的增长点[5]。然而,在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要的因素之一。根据调查,当问到为什么不愿意在线购物时,绝大多数人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此,安全成为电子商务发展中最大的障碍。电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全[6]。也就是说,网络与商务过程中都会产生安全隐患。
网络的安全隐患是指互联网本身就存在的安全威胁,例如网络篡改,拒绝服务攻击,木马和网络仿冒[7]。电子商务发展在其基础上,自然也继承了这些缺点。对于在网上交易的人来说,网络不安全就等于交易场地四面埋伏,交易安全失去基本保障,交易风险高,这也是大型企业迟迟不肯接受电子商务的重大原因。要实现网络的完全安全必须达到客户
4
端安全,服务器安全,操作系统安全,数据库安全,中间件安全和网络安全[8]。
目前电子商务面临的安全问题:(1)信息泄露;(2)信息篡改;(3)身份识别;(4)信息破坏[9]。
(1) 信息泄露
在电子上午中表现为商业的泄露,主要包括两个方面:交易双方在进行交易的内容被第三方窃取;交易一方提供给另一方的信息被第三方非法使用。
(2)信息窜改
在电子商务中表现为真实性和完整性的问题。电子交易的信息在网上传输的过程中,可能被他人非法修改,删除或重改,这样就使信息失去了真实性和完整性。
(3)身份识别
如果不进行身份识别,第三方有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信息或盗取被假冒一方的交易成果等,进去身份识别后就可以使交易双方增加对彼此的信任度。
综合分析得出,商务过程中的安全隐患是指传统商务在互联网络上应用时,假设计算机网络是安全的情况下所存在的安全隐患问题。例如,传统商务过程存在欺骗问题,在网络上这种欺骗以网络独有的形式呈现,由于买方目前只能通过人为的评分、卖方上传的照片等数据来衡量一次交易的可信度。要实现商务过程安全必须保证电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性[10]。
5
3.2 电子商务安全技术
电子商务的扩散对整个商业组织业务策略有着深远的影响[11]。交易的安全性是发展电子商务的核心和关键问题。针对电子商务的安全隐患问题,在实际应用中广泛使用防火墙技术,代理服务器技术等安全技术来保障网络安全。由美国VISA和Mastercard国际组织等在1997年联合制定的电子安全交易协议保障电子商务交易的安全,它的核心是确保商家和客户的身份认证和交易行为的不可否认性,通过数字证书确保商家和客户的合法性,采用双重性签名技术保证客户交易信息的保密性和完整性。
目前,普遍采用多种安全技术相结合来保障电子商务的安全[12]。据调查显示,五种常用的支付工具(包括快钱、支付宝、财付通、网付通和安付通)在登陆时都设有验证码,以防有人使用特定的程序进行暴力破解[13]。验证码产生至今不超过六年时间,却经历一系列变化,从一开始只是一组随机数,到包含随机数字的图片,如今的验证码在内容、形式上有了更大的改变。如今的验证码不仅仅是包含随机数字,随机字母的图片,还可以是包括随机的汉字的图片[14]。图形验证码的字体一般经过扭曲变形,并且添加许多干扰,以增加破解难度。除了图片形式,还出现了一种录音形式,通过收听一段夹杂噪音的录音来输入验证码。目前有人利用数字图像处理技术来对图形验证码进行反识别,因此验证码的技术也必需不断地改进。有人提出了两种改进方法:针对通过计算很难识别相连字符,因此有人提议将两个字符串叠加在一起以增加程序识别的难度,又不会影响用户识别。另一种是改进是采用非文字型的验证码。通过建立图库,用户通过识别随机出来的图片上内容来再在下拉框中进行选择。无论如何,验证码在防范暴力攻击上确实起了重要作用,它不是因为电子商务而产生,但它在一定程序上保障了电子商务的安全。
另一种解决登陆安全的方法是软键盘。中国农业银行和建设银行都采用软键盘进行密码输入,以防止木马通过捕获键盘事件来获取用户敲击键盘输入的密码。其他一些银行或密码的输入更多是使用安全控件来进行保护,但是ActiveX是安全控件的主要技术,缺点是
6
离开了微软操作系统和Internet Explorer网上银行就不能登陆了。另一方面使用系统自带的软键盘按键顺序不改变,木马同样可以轻易获取输入信息。软键盘使用JavaScript实现,可使按键顺序随机改变,不易被截取,还可以运行在不同的浏览器中。缺点是基于脚本语言是由客户端解释执行的,可能会导致数据不准确。
保障交易安全的技术中关键是使用散列函数对信息进行加密。MD5
(Message Digest)是一种常用的散列函数,它可以将任意长度的消息通过转化得到一个128位的摘要。只要消息内容发生变化,产生的摘要就不一样,用户通过比对两次产生的MD5码是否相等来判断交易消息是否完整或被修改。在数据库中通常也先通过MD5算法对密码数据进行加密再保存,从而防止密码泄露。在电子商务中,一直广泛使用了MD5技术,它对电子商务的安全起了极大保护作用。然而,在2004年美国加州圣巴巴拉的国际密码学会议我国王小云教授做了一个破译MD5、HAVAL-128、MD4和RIPEMD算法的报告。尽管至今,MD5的破译算法还没有公开,但是以往使用相关散列函数的加密技术必然要更换。研究MD5算法依然有意义,它对电子商务做出的贡献证明它有它的存在价值,也只有通过不断改进,加密技术才会不断进步。
4 总结
通过对电子商务的发展、安全和威胁等等方面的认识,以及电子商务的安全技术方面的认识,从而对电子商务有了更深入的了解。电子商务作为当今的主要贸易手段和经济活动的主要象征,电子商务安全问题势必受到我们极大的注视,如果安全问题得不到解决一定会影响电子商务的发展[15]。目前我国电子商务行业尽管经历了磨难, 但还是不断向前探索着,为了完善电子商务的安全体系,我们必须着重从技术方面下手,从技术上保障网上交易的安全。这主要依靠技术开发人员开发出优秀,有效的程序。另一方面国家要完善电子商务的法律体系,包括制裁与保障两个方面。另外,我国的电子商务企业发展仍处于初级阶段, 电子商务网络还缺乏有效的信任机制, 网络信任仍是阻碍电子商务发展的一个重要因素, 它仍将是电
7
子商务领域内重要研究课题之一。
8
参考文献
[1] 刘萍,闰继涛.电子商务概论[M].北京:科技出版社,2007:43.
[2] 杨坚争.电子商务基础与应用[M].西安:西安电子科大学出版社,2001:123~126.
[3] 杨天翔.电子商务概论[M].上海:复旦大学出版社,2006.01:7~8.
[4] 汤发俊.电子商务的信息安全技术研究[M],北京:计算机与数字工程,2006:72~74.
[5] 许宁宁著.电子商务安全的现状与趋势[J].中国电子商务,2010:36~38.
[6] 王圣洁著.电子商务安全问题浅述[M].北京:计算机与数字工程,2004:125~126.
[7] 李旺彦,徐水等.商业时代电子商务中的网络安全问题[J].集团经济研究,2007,10(100):300.
[8] Rhavani Thuraisingham, Chris Clifton, Amar Gupta etc. Directions for Web and
E-Commerce
Applications
Security[M].
MIT
Sloan
School
of
Management,2002:36.
[9] 张珍祥.浅析电子商务安全策略[J].中国商界(上半月),2010(12).
[10] 朱红涛.网络信任与电子商[M].上海:复旦大学出版社,2004.10.
9
[11] Ann L. Fruhling Lester A. Digman Journal of Electronic Commerce Research, VOL. 1, NO. 1, 2000:13.
[12] 段波.网上支付工具安全性能横向评测[J].数码世界,2007,(10):1-2;
[13] 曾纯青.电子商务中的安全问题及解决办法[M].江西:江西科技师范学院,2007:303~304.
[14] 许明.验证码的识别与反识别[M].南京:南京理工大学,2007:26~28.
[15] 冯英健.网络营销基础与实践[M].北京:清华大学出版社,2002:79~81.
10
