中國(guó)交易類(lèi)電子商務(wù)網(wǎng)站存在的若干問(wèn)題的分析與研究

中國(guó)交易類(lèi)電子商務(wù)網(wǎng)站存在的若干問(wèn)題的分析與研究電子商務(wù)是利用各種電子化手段進(jìn)行的商務(wù)活動(dòng),其價(jià)值的實(shí)現(xiàn)主要依托于網(wǎng)絡(luò),尤其是互聯(lián)網(wǎng),它已經(jīng)成為互聯(lián)網(wǎng)應(yīng)用的一個(gè)必然趨勢(shì)和金融商貿(mào)的主要模式之一.如何建立一個(gè)安全的電子商務(wù)應(yīng)用環(huán)境,對(duì)信息提供足夠的保護(hù),已經(jīng)成為電子商務(wù)必須直面的一個(gè)問(wèn)題.由于電子商務(wù)的重要技術(shù)特征是利用網(wǎng)絡(luò)來(lái)傳輸和處理商業(yè)信息,因此,電子商務(wù)安全主要包括兩個(gè)方面:網(wǎng)絡(luò)安全和商務(wù)安全.而這些安全的實(shí)現(xiàn)又依托于一些具體的安全技術(shù),遵循相關(guān)安全協(xié)議<一>網(wǎng)絡(luò)安全問(wèn)題網(wǎng)絡(luò)安全主要是指計(jì)算機(jī)和網(wǎng)絡(luò)本身可能存在的安全問(wèn)題,也就是要保障電子商務(wù)平臺(tái)的可用性和安全性.網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ),其問(wèn)題一般表現(xiàn)為:1.1計(jì)算機(jī)本身潛在的安全隱患帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題計(jì)算機(jī)使用的是未經(jīng)過(guò)相關(guān)的網(wǎng)絡(luò)安全配置的操作系統(tǒng),不論是什么操作系統(tǒng),在缺省安裝的條件下都會(huì)存在一些安全問(wèn)題,而僅僅將操作系統(tǒng)按缺省安裝后,再配上很長(zhǎng)的密碼就認(rèn)為安全的想法是不可靠的.因?yàn)橛?jì)算機(jī)本身存在的軟件漏洞和"后門(mén)"往往是網(wǎng)絡(luò)攻擊的首選目標(biāo).1.2入侵者風(fēng)險(xiǎn)降低獲利升高帶來(lái)的刺激引發(fā)的網(wǎng)絡(luò)安全問(wèn)題由于網(wǎng)絡(luò)的全球性,開(kāi)放性,共享性的發(fā)展,使得任何人都可以自由地接入互聯(lián)網(wǎng),而這其中也包括了黑客,入侵者和病毒制造者.他們采用的攻擊方法越來(lái)越多,對(duì)電子商務(wù)的威脅也顯得越來(lái)越明顯.相對(duì)而言,襲擊者本身的風(fēng)險(xiǎn)卻非常小,甚至可以在襲擊后很快就消失得無(wú)影無(wú)蹤,使對(duì)方幾乎沒(méi)有實(shí)行報(bào)復(fù)打擊的可能,這使他們的活動(dòng)更加猖獗.美國(guó)的"雅虎"和"亞馬遜"曾受到攻擊的事件就說(shuō)明了這一點(diǎn).<二>商務(wù)安全問(wèn)題商務(wù)安全指商務(wù)交易在網(wǎng)絡(luò)媒介中體現(xiàn)出來(lái)的安全問(wèn)題,也就是要實(shí)現(xiàn)電子商務(wù)信息的保密性,完整性,真實(shí)性和不可抵賴(lài)性.在早期的電子交易中,曾采用過(guò)一些簡(jiǎn)單的安全措施.例如將網(wǎng)上交易中最關(guān)鍵的數(shù)據(jù)如信用卡號(hào)碼及成交數(shù)額等用電話告知,以防泄密,網(wǎng)上交易后再用其他方式對(duì)交易做確認(rèn),以保證其真實(shí)性和不可抵賴(lài)性.這些方法不僅操作不便,而且有一定的局限性,也不能實(shí)現(xiàn)其真正的安全性.商務(wù)安全中普遍存在的幾種安全隱患2.1竊取信息信息在傳輸過(guò)程中未采用相應(yīng)的加密措施或加密強(qiáng)度不夠,導(dǎo)致數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文或近乎明文的形式傳送.入侵者在數(shù)據(jù)包經(jīng)過(guò)的設(shè)備或線路上采用截獲方法截獲正在傳送的信息,通過(guò)對(duì)竊取數(shù)據(jù)參數(shù)的分析比對(duì),找到信息的格式和規(guī)律,進(jìn)而得到傳輸信息的內(nèi)容,導(dǎo)致消費(fèi)者消費(fèi)信息,賬號(hào)密碼和企業(yè)商業(yè)機(jī)密等信息的外泄.2.2篡改信息當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過(guò)各種技術(shù)方法和手段對(duì)網(wǎng)絡(luò)傳輸中的信息進(jìn)行截獲修改再發(fā)至原先指定目的地,從而破壞信息的真實(shí)性.入侵者通過(guò)改變信息流的次序,更改信息的內(nèi)容,刪除信息的某些部分,甚至在信息中插入一些附加內(nèi)容,使接收方做出錯(cuò)誤的判斷與決策.2.3信息假冒由于掌握了數(shù)據(jù)的格式,并可以篡改通過(guò)的信息,攻擊者可以進(jìn)一步冒充合法用戶獲取和發(fā)送信息,而遠(yuǎn)端接受方或發(fā)送方通常不易分辨.常見(jiàn)的方式有偽造用戶和商戶的收定貨單據(jù),套取或修改相關(guān)程序的使用權(quán)限等.2.4信息破壞由于攻擊者已侵入網(wǎng)絡(luò),已獲得對(duì)網(wǎng)絡(luò)中信息的修改權(quán)限,如其對(duì)網(wǎng)絡(luò)中現(xiàn)有機(jī)要信息進(jìn)行修改乃至于刪除,其后果是非常嚴(yán)重的.<三>電子商務(wù)的安全技術(shù)3.1加密技術(shù)加密技術(shù)是保證電子商務(wù)安全的重要手段,為保證電子商務(wù)安全使用加密技術(shù)對(duì)敏感的信息進(jìn)行加密,保證電子商務(wù)的保密性,完整性,真實(shí)性和非否認(rèn)服務(wù).3.1加密技術(shù)的現(xiàn)狀如同許多IT技術(shù)一樣,加密技術(shù)層出不窮,為人們提供了很多的選擇余地,但與此同時(shí)也帶來(lái)了一個(gè)問(wèn)題——兼容性,不同的企業(yè)可能會(huì)采用各自不同的標(biāo)準(zhǔn).另外,加密技術(shù)向來(lái)是由國(guó)家控制的,例如SSL的出口受到美國(guó)國(guó)家安全局(NSA)的限制.目前,美國(guó)的企業(yè)一般都可以使用128位的SSL,但美國(guó)只允許加密密鑰為40位以下的算法出口.雖然40位的SSL也具有一定的加密強(qiáng)度,但它的安全系數(shù)顯然比128位的SSL要低得多.美國(guó)以外的國(guó)家很難真正在電子商務(wù)中充分利用SSL,這不能不說(shuō)是一種遺憾.目前,我國(guó)由上海市電子商務(wù)安全證書(shū)管理中心推出的128位SSL算法,彌補(bǔ)了國(guó)內(nèi)的這一空缺,也為我國(guó)電子商務(wù)安全帶來(lái)了廣闊的前景.3.2常用的加密技術(shù)對(duì)稱(chēng)密鑰密碼算法:對(duì)稱(chēng)密碼體制由傳統(tǒng)簡(jiǎn)單換位代替密碼發(fā)展而成,加密模式上可分為序列密碼和分組密碼兩類(lèi).不對(duì)稱(chēng)型加密算法:也稱(chēng)公用密鑰算法,其特點(diǎn)是有二個(gè)密鑰即公用密鑰和私有密鑰,兩者必須成對(duì)使用才能完成加密和解密的全過(guò)程.本技術(shù)特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密,在網(wǎng)絡(luò)中被廣泛應(yīng)用.其中公用密鑰公開(kāi),為數(shù)據(jù)源對(duì)數(shù)據(jù)加密使用,而用于解密的相應(yīng)私有密鑰則由數(shù)據(jù)的接受方保管.不可逆加密算法:其特征是加密過(guò)程不需要密鑰,并且經(jīng)過(guò)加密的數(shù)據(jù)無(wú)法被解密,只有輸入同樣的數(shù)據(jù)經(jīng)過(guò)同一不可逆加密算法的比對(duì)才能得到相同的加密數(shù)據(jù).因?yàn)槠錄](méi)有密鑰所以不存在密鑰保管和分發(fā)問(wèn)題,但由于它的加密計(jì)算工作量較大,所以通常只在數(shù)據(jù)量有限的情況下,例如計(jì)算機(jī)系統(tǒng)中的口令信息的加密.3.3電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要:又稱(chēng)安全Hash編碼法.該編碼法采用單向Hash函數(shù)將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱(chēng)為數(shù)字指紋,具有固定的長(zhǎng)度,并且不同的明文摘要其密文結(jié)果是不一樣的,而同樣的明文其摘要保持一致.數(shù)字簽名:數(shù)字簽名是將數(shù)字摘要,公用密鑰算法兩種加密方法結(jié)合使用.它的主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要).發(fā)送方用自己的專(zhuān)用密鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名,然后這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方.報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值(或報(bào)文摘要),接著再用發(fā)送方的公開(kāi)密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密.如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的.通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴(lài)性,有效地防止了簽名的否認(rèn)和非正當(dāng)簽名者的假冒.<四>電子商務(wù)現(xiàn)在存在的問(wèn)題4.1宏觀缺乏總體指導(dǎo)，微觀缺少系統(tǒng)規(guī)劃，電子商務(wù)整體上尚處于探索式的自由發(fā)展?fàn)顟B(tài)從宏觀上講，我國(guó)尚未出臺(tái)國(guó)家電子商務(wù)的發(fā)展規(guī)劃，雖然國(guó)家發(fā)改委、商務(wù)部、科技部等部委從不同角度推進(jìn)電子商務(wù)進(jìn)程，在環(huán)境建設(shè)、對(duì)外交流、應(yīng)用試點(diǎn)等方面取得了一定的成績(jī)，但是，我國(guó)電子商務(wù)在整體上尚處于探索式的自由發(fā)展?fàn)顟B(tài)，市場(chǎng)行為有待進(jìn)一步規(guī)范，整體應(yīng)用水平有待進(jìn)一步深化。從微觀上講，我國(guó)企業(yè)對(duì)未來(lái)信息化在企業(yè)發(fā)展中的戰(zhàn)略意義普遍認(rèn)識(shí)不足，缺乏企業(yè)信息化長(zhǎng)遠(yuǎn)發(fā)展規(guī)劃，消極對(duì)待信息化與盲目冒進(jìn)跟風(fēng)式的發(fā)展信息化的兩個(gè)極端現(xiàn)象大量存在。另一方面，我國(guó)企業(yè)普遍尚未建立適應(yīng)未來(lái)發(fā)展的現(xiàn)代企業(yè)制度，業(yè)務(wù)流程重組推行困難，信息化的潛在作用不能得到充分發(fā)揮。4.2信用、認(rèn)證、標(biāo)準(zhǔn)、現(xiàn)代物流、法律法規(guī)等支撐體系發(fā)展的滯后，已經(jīng)成為制約我國(guó)電子商務(wù)發(fā)展的主要瓶頸我國(guó)尚未形成促進(jìn)電子商務(wù)發(fā)展的有力支撐體系，包括信任、認(rèn)證、標(biāo)準(zhǔn)、現(xiàn)代物流、法律法規(guī)等在內(nèi)。商務(wù)部發(fā)布《中國(guó)電子商務(wù)報(bào)告（2003年）》從企業(yè)角度進(jìn)行調(diào)查，結(jié)果顯示制約我國(guó)電子商務(wù)發(fā)展的障礙主要是外部環(huán)境的不成熟。重要性列前五位的因素中，環(huán)境因素占四個(gè)，分別是電子合同執(zhí)行和監(jiān)督難，傳統(tǒng)物流發(fā)展滯后，互聯(lián)網(wǎng)接入的安全性和保密性不足，電子商務(wù)相關(guān)法律不健全。相比較而言，反映企業(yè)內(nèi)部能力的因素排名比較靠后，如資金問(wèn)題、現(xiàn)有業(yè)務(wù)流程不合理的問(wèn)題、互聯(lián)網(wǎng)接入和使用費(fèi)用負(fù)擔(dān)過(guò)高的問(wèn)題等等。由于基礎(chǔ)支撐體系的不完善，我國(guó)大多數(shù)企業(yè)的電子商務(wù)尚處于信息發(fā)布、收集、交流的階段。從事網(wǎng)上采購(gòu)的企業(yè)僅占4.1%，能夠網(wǎng)上銷(xiāo)售的企業(yè)僅占3.4%，大多數(shù)訂單與合同的正式簽訂，以及支付、配送等活動(dòng)主要還是在網(wǎng)下進(jìn)行，電子商務(wù)的作用范圍變得十分有限。4.3中小企業(yè)整體信息化水平低下，是制約我國(guó)電子商務(wù)發(fā)展的基礎(chǔ)問(wèn)題我國(guó)大中小型企業(yè)有千萬(wàn)家，其中99％是中小企業(yè)。由于中小企業(yè)基礎(chǔ)薄弱，普遍投入不足，使得這些企業(yè)既有信息化的迫切需求，但在資金、技術(shù)、人才、以及管理基礎(chǔ)等方面又難以承擔(dān)信息系統(tǒng)開(kāi)發(fā)和運(yùn)行的工作。因此，我國(guó)中小企業(yè)信息化整體水平低下，特別是傳統(tǒng)行業(yè)的小企業(yè)，信息化基本尚處于初級(jí)水平，我國(guó)電子商務(wù)的發(fā)展亟待強(qiáng)化整體基礎(chǔ)。4.4我國(guó)電子商務(wù)的外向型程度亟需提高我國(guó)企業(yè)借助電子商務(wù)促進(jìn)與國(guó)際接軌、參與國(guó)際競(jìng)爭(zhēng)、開(kāi)拓國(guó)際市場(chǎng)的能力亟需加強(qiáng)。我國(guó)電子商務(wù)距離實(shí)現(xiàn)“在更大范圍、更廣領(lǐng)域和更高層次上參與國(guó)際經(jīng)濟(jì)技術(shù)合作和競(jìng)爭(zhēng)，充分利用國(guó)際國(guó)內(nèi)兩個(gè)市場(chǎng)、兩種