淺談電子商務中的平安問題〔作者:___________單位:___________:___________〕

[摘要]Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的根底，而開放性本身又會使網上交易面臨種種危險。平安問題始終是電子商務的核心和關鍵問題。

[關鍵詞]電子商務平安網絡平安商務平安

2003年對中國來說是個多事之秋，先是SARS肆虐后接高溫威脅。但對電子商務來說，卻未必不是好事：更多的企業、個人及其他各種組織，甚至包括政府都在積極地推動電子商務的開展，越來越多的人投入到電子商務中去。電子商務是指發生在開放網絡上的商務活動，現在主要是指在Internet上完成的電子商務。

Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的根底，而開放性本身又會使網上交易面臨種種危險。一個真正的電子商務系統并非單純意味著一個商家和用戶之間開展交易的界面，而應該是利用Web技術使Web站點與公司的后端數據庫系統相連接，向客戶提供有關產品的庫存、發貨情況以及賬款狀況的實時信息，從而實現在電子時空中完成現實生活中的交易活動。這種新的完整的電子商務系統可以將內部網與Internet連接，使小到本企業的商業機密、商務活動的正常運轉，大至國家的政治、經濟機密都將面臨網上黑客與病毒的嚴峻考驗。因此，平安性始終是電子商務的核心和關鍵問題。

電子商務的平安問題，總的來說分為二局部：一是網絡平安，二是商務平安。計算機網絡平安的內容包括：計算機網絡設備平安，計算機網絡系統平安，數據庫平安，工作人員和環境等。其特征是針對計算機網絡本身可能存在的平安問題，實施網絡平安增強方案，以保證計算機網絡自身的平安性為目標。商務平安那么緊緊圍繞傳統商務在Internet上應用時產生的各種平安問題，在計算機網絡平安的根底上，如何保障電子商務過程的順利進行。即實現電子商務的保密性，完整性，可鑒別性，不可偽造性和不可依賴性。

一、網絡平安問題

一般來說，計算機網絡平安問題是計算機系統本身存在的漏洞和其他人為因素構成了計算機網絡的潛在威脅。一方面，計算機系統硬件和通信設施極易遭受自然環境的影響〔如溫度、濕度、電磁場等〕以及自然災害和人為〔包括成心破壞和非成心破壞〕的物理破壞；另一方面計算機內的軟件資源和數據易受到非法的竊取、復制、篡改和毀壞等攻擊；同時計算機系統的硬件、軟件的自然損耗等同樣會影響系統的正常工作，造成計算機網絡系統內信息的損壞、喪失和平安事故。

二、計算機網絡平安體系

一個全方位的計算機網絡平安體系結構包含網絡的物理平安、訪問控制平安、系統平安、用戶平安、信息加密、平安傳輸和管理平安等。充分利用各種先進的主機平安技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、平安審計技術、平安管理技術、系統漏洞檢測技術、黑客跟蹤技術，在攻擊者和受保護的資源間建立多道嚴密的平安防線，極大地增加了惡意攻擊的難度，并增加了審核信息的數量，利用這些審核信息可以跟蹤入侵者。

在實施網絡平安防范措施時，首先要加強主機本身的平安，做好平安配置，及時安裝平安補丁程序，減少漏洞；其次要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析，找出可能存在的平安隱患，并及時加以修補；從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權管理和認證；利用RAID5等數據存儲技術加強數據備份和恢復措施。

對敏感的設備和數據要建立必要的物理或邏輯隔離措施；對在公共網絡上傳輸的敏感信息要進行強度的數據加密；安裝防病毒軟件，加強內部網的整體防病毒措施；建立詳細的平安審計日志，以便檢測并跟蹤入侵攻擊等。

網絡平安技術是伴隨著網絡的誕生而出現的，但直到80年代末才引起關注，90年代在國外獲得了飛速的開展。近幾年頻繁出現的平安事故引起了各國計算機平安界的高度重視，計算機網絡平安技術也因此出現了日新月異的變化。平安核心系統、VPN平安隧道、身份認證、網絡底層數據加密和網絡入侵主動監測等越來越高深復雜的平安技術極大地從不同層次加強了計算機網絡的整體平安性。平安核心系統在實現一個完整或較完整的平安體系的同時也能與傳統網絡協議保持一致。它以密碼核心系統為根底，支持不同類型的平安硬件產品，屏蔽平安硬件以變化對上層應用的影響，實現多種網絡平安協議，并在此之上提供各種平安的計算機網絡應用。

互聯網已經日漸融入到人類社會的各個方面中，網絡防護與網絡攻擊之間的斗爭也將更加劇烈。這就對網絡平安技術提出了更高的要求。未來的網絡平安技術將會涉及到計算機網絡的各個層次中，但圍繞電子商務平安的防護技術將在未來的幾年中成為重點，如身份認證，授權檢查，數據平安，通信平安等將對電子商務平安產生決定性影響。

三、商務平安要求

作為一個成功的電子商務系統，首先要消除客戶對交易過程中平安問題的擔憂才能夠吸引用戶通過WEB購置產品和效勞。使用者擔憂在網絡上傳輸的信用卡及個人資料被截取，或者是不幸遇到“黑店〞，信用卡資料被不正當運用；而特約商店也擔憂收到的是被盜用的信用卡號碼，或是交易不認賬，還有可能因網絡不穩定或是應用軟件設計不良導致被黑客侵入所引發的損失。由于在消費者、特約商店甚至與金融單位之間，權責關系還未徹底理清，以及每一家電子商場或商店的支付系統所使用的平安控管都不盡相同，于是造成使用者有無所適從的感覺，因擔憂而猶豫不前。因些，電子商務順利開展的核心和關鍵問題是保證交易的平安性，這是網上交易的根底，也是電子商務技術的難點。

用戶對于平安的需求主要包括以下幾下方面：

1.信息的保密性。交易中的商務信息均有保密的要求。如信用卡的賬號和用戶被人知悉，就可能被盜用；定貨和付款信息被競爭對手得悉，就可能喪失商機。因此在電子商務中的信息一般都有加密的要求。

2.交易者身份確實定性。網上交易的雙方很可能素昧平生，相隔千里。因此，要使交易能夠成功，首先要想方法確認對方的身份。對商家而言，要考慮客戶端是否是騙子，而客戶也會擔憂網上的商店是否是黑店。因此，能方便而可靠地確認對方身份是交易的前提。

3.交易的不可否認性。交易一旦達成，是不能被否認的，否那么必然會損害一方的利益。因此電子交易過程中通信的各個環節都必須是不可否認的。主要包括：源點不可否認：信息發送者事后無法否認其發送了信息。接收不可否認：信息接收方無法否認其收到了信息。回執不可否認：發送責任回執的各個環節均無法推脫其應負的責任。

4.交易內容的完整性。交易的文件是不可以被修改的，否那么必然會損害交易的嚴肅性和公平性。

5.訪問控制。不同訪問用戶在一個交易系統中的身份和職能是不同的，任何合法用戶只能訪問系統中授權和指定的資源，非法用戶將拒絕訪問系統資源。

四、電子商務平安交易標準

近年來，針對電子交易平安的要求，IT業界與金融行業一起，推出不少有效的平安交易標準和技術。主要的協議標準有：

1.平安超文本傳輸協議〔S—HTTP〕：依靠對密鑰的加密，保障Web站點間的交易信息傳輸的平安性。

2.平安套接層協議〔SSL〕：由Netscape公司提出的平安交易協議，提供加密、認證效勞和報文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器，以完成需要的平安交易操作。

3.平安交易技術協議〔STT，SecureTransactionTechnology〕：由Microsoft公司提出，STT將認證和解密在瀏覽器中別離開，用以提高平安控制能力。Microsoft在InternetExplorer中采用這一技術。

4.平安電子交易協議〔SET，SecureElectronicTransaction〕:1996年6月，由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標準SET發布公告，并于1997年5月底發布了SETSpecificationVersion1.0，它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。SET2.0預計今年發布，它增加了一些附加的交易要求。這個版本是向后兼容的，符合SET1.0的軟件并不必要跟著升級，除非它需要新的交易要求。SET標準明確的主要目標是保障付款平安，確定應用之互通性，并使全球市場接受。

所有這些平安交易標準中，SET標準以推廣利用信用卡支付網上交易，而廣受各界矚目，它將成為網上交易平安通信協議的工業標準，有望進一步推動Internet電子商務市場。

五、商務平安的關鍵CA認證

怎樣解決電子商務平安問題呢？國際通行的做法是采用CA平安認證系統。CA是CertificateAuthority的縮寫，是證書授權的意思。在電子商務系統中，所有實體的證書都是由證書授權中心即CA中心分發并簽名的。一個完整、平安的電子商務系統必須建立起一個完整、合理的CA體系。CA機構應包括兩大部門：一是審核授權部門，它負責對證書申請者進行資格審查，決定是否同意給該申請者發放證書，并承當因審核錯誤引起的一切后果，因此它應由能夠承當這些責任的機構擔任；另一個是證書操作部門，負責為已授權的申請者制作、發放和管理證書，并承當因操作運營所產生的一切后果，包括失密和為沒有獲得授權者發放證書等，它可以由審核授權部門自己擔任，也可委托給第三方擔任。

CA體系主要解決幾大問題：1.解決網絡身份證的認證以保證交易各方身份是真實的；2.解決數據傳輸的平安性以保證在網絡中流動的數據沒有受到破壞或篡改；3.解決交易的不可抵賴性以保證對方在網上說的話是真實的。

需要注意的是，CA認證中心并不是平安機構，而是一個發放〞身份證〞的機構，相當于身份的〞公證處〞。因此，企業開展電子商務不僅要依托于CA認證機構，還需要一個專業機構作為外援來解決配置什么平安產品、怎樣設置平安策略等問題。外援的最適宜人選當然非那些提供信息平安軟硬件產品的廠商莫屬了。好的IT廠商，會讓用戶在部署平安策略時少走許多彎路。在選擇外援時，用戶為了節省本錢，防止損失，應該把握幾個根本原那么：1.要知道自己究竟需要什么;2.要了解廠商的信譽;3.要了解廠商推薦的平安產品;4.用戶要有一雙〞火眼金睛〞，對工程的實施效果能夠正確加以評估。有了這些根本的平安思路，用戶可以少走許多彎路。

六、相應法律法規

電子商務要健康有序地開展，就像傳統商務一樣，也必須有相應的法律法規作后盾。商務過程中不可防止地會產生一些矛盾，電子商務也一樣。在電子商務中，合同的意義和作用沒有發生改變，但其形式卻發生了極大的變化，1.訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作，其信用依靠密碼的識別或認證機構的認證。2.傳統合同的口頭形式在貿易上常常表現為店堂交易，并將商家所開具的發票作為合同的依據。而在電子商務中標的額較小、關系簡單的交易沒有具體的合同形式，表現為直接通過網絡訂購、付款，例如利用網絡直接購置軟件。3.表示合同生效的傳統簽字蓋章方式被數字簽名所代替。

電子商務合同形式的變化，對于世界各國都帶來了一系列法律新問題。電子商務作為一種新的貿易形式，與現存的合同法發生矛盾是非常容易理解的事情。但對于法律法規來說，就有一個怎樣修改并開展現存合同法，以適應新的貿易形式的問題。

小結

在計算機互聯網絡上實現的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統在保證其計算機網絡硬件平臺和系統軟件平臺平安的根底上，應該還具備以下特點：強大的加密保證；