由於網絡的虛擬性,交易雙方並不見面,其交易完全通過網絡進行,因此信息的真實可靠性受到特別的重視。面目前在信息的真實性、客戶身份的合法性、支付信息的完整性、支付信息的不可否認性;整個網上交易的合法性等都無章可循、無法可依,特別是安全認證問題和網上支付的安全性還不能夠完全消除人們的疑慮,將嚴重制約電子商務的正常發展。據調查表明,目前中國的贓物者最關心的是網上交易的安全可靠性,CNNIC發布截至2000年12月31日的數據為31.20%的用戶認為目前網上交易存在的最大問題是安全性得不到保障。因此,解決網上購物、交易;結算中的安全問題是建立電子商務各主體間的信任的關鍵,只有具備足夠高的安全性、可靠性的屯子商務系統才能贏得客戶的信賴和歡迎。 安全的電子商務系統,首先必須具有—個安全、可靠的通信網絡,以保證交易信息安全、迅速的傳遞;其次是保證數據庫服務器絕對安全,防止黑客闖入網絡盜取信息。對於中國來說,網絡產品幾乎都是“舶來品”,本身就隱藏著不安全隱患,加之技術、人為等因素的影響,不安全因素更加突出。因此,網上交易需要由壹個權威的第三方來擔任的信用認證機構確認買賣雙方的身份。這個就是電子商務的安全證書認證中心(CA中心),這是保證網絡安全性、保密性、可靠性的重要措施。CA中心的作用在於確保網上交易合同的有效性、防止系統故障、計算機病毒、黑客攻擊,確保交易內容、交易雙方帳號、密碼不被他人識別和盜取、確保交易合同的完整性,防止單方面對交易信息的生成和修改。這個第三方可以是政府部門,也可以是行業主管部門,也可以是交易雙方***同信任的其它組織。由於CA是電子交易環節中的資格認證權威機構,具有特殊的地位和重要作用,許多單位都在競爭CA角色。我國的安全認證體系剛剛起步,目前國內的認證比較混亂,參與方過多,在技術標準上的不統壹,這將為今後的交叉認證帶來不便。由於我國的市場經濟體制建立並不完善,競爭有可能會出現無序的狀態、因此政府應加強管理,協調不同體系的兼容性,使我國的以中心早日步入正軌,以增強用戶對電子商務交易的信心。 基於Internet的電子商務,買賣雙方可以互不見面,其信用問題就顯得格外重要了。市場經濟發展的兩大支柱是社會保障體系和社會信用體系。就目前而言,我國無論是企業還是個人,還未普遍建立完善的信用體系,現金交易還占主導地位。買方擔心付款後能否收到貨物或能否收到滿意的貨物,賣方擔心發貨後能否按期如數收到貨款。據CNNIC於2001年發布的調查結果表明:用戶經歷過“已經訂了貨並付了款後,而未收到貨物”的情形占15.68%;用戶壹般采取的付款方式為,貨到付款(現金結算):42.02%,郵局匯款:23.66%,網上支付:13. 14%,信用卡(或儲蓄卡):12.73%;對於高額“超過1000元的產品”用戶希望采取的付款方式則為,貨到付款(現金結算):55。45%,郵局匯款:5.14%,網上支付:8.03%,信用卡(或儲蓄卡):17.31%;有32. 03%的用戶認為目前網上交易存在的最大問題是產品質量、售後服務及廠商信用得不到保障,占本項目的第壹位。由此可見,信用問題對於電子商務的健康發展顯得多麽重要。 電子商務的核心內容是信息的互相溝通和交流。交易雙方通過Internet進行交流、洽談確認,最後才能發生交易,利用電子商務進行交易得以最終實現的關鍵環節是支付環節。這時對於通過電子商務手段完成交易的雙方來說,銀行等金融機構的介入是必須的。銀行起的作用主要是支持和服務,屬於商業行為。網上支付是電子商務的重要組成部分,是金融服務的發展和創新。網上支付的目的在於減少銀行成本、加快處理速度、方便客戶、擴展業務等,它將改變處理的方式,使得消費者可以在任何地方、任何時間通過互聯網獲得銀行的支持服務,而無需再到銀行傳統的營業櫃臺;但是,我國銀行網上支付還是“小兒科”。據介紹,我國商業銀行通過互聯網提供網上支付的時間並不長,業務量也較小。 1998年4月,招商銀行推出了網上支付業務,當時主要提供企業對企業的資金結算;同年5月,招商銀行與首都電子商城等商家合作,開通企業對個人的網上支付業務,同期開通此項服務的還有中國銀行;到i999年8月,中國建設銀行也向社會推出了網上銀行支付系統,其它商業銀行也在進行系統的開發,但還未推出真正的網上支付業務。 已經開展的電子商務,使用了多種支付方式,信用卡、儲蓄卡、郵局匯款和貨到付款,在多種方式中,貨到付款占了相當大的比例。首屆網上購物測試指出,網上購物的支付環節中,有85%的網上商店和90%以上的網民選擇貨到付款方式,選擇網上支付的網民不到6%。為什麽多花錢的貨到付款備受青睞,而電子商務支付環節中最具代表性的信用卡網上支付卻受了冷落呢?這與西方發達國家的狀況截然相反。主要是由於我國信用體制不健全造成的,要解決信用度的問題。貨幣電子化,就是不論在何處,顧客都能夠通過銀行信用卡支付貨款。顧名思義,信用卡持有者就必須講信用,但我國目前還未建立信用機制,因為惡意透支的人太多,銀行只好嚴加防範,這就制約了計算機聯網實時結算,使通過互聯網付款難以到達目的。而且,國人購物大多以眼見為實,如果看到網上的照片便付款,買來的東西不是那麽回事或者杳無音訊怎麽辦?而對動輒上千萬元的BtoB電子商務,最怕遇到身份不明,沒有信用的交易夥伴所設下的欺詐陷井。種種跡象表明,我國當前的信用度與壹個市場經濟發達,講求信用的商業社會還有壹段距離,我們只有完善有關法律制度才能早日***同享受到電子商務帶來的好處。其次,網上支付的安全性也是困擾網民的重要原因。中國老百姓信賴和習慣於“壹手交錢、壹手交貨”的交易方式並不完全適應網上購物的生活方式。壹些有遠見的電子商務公司已經開始著手解決這方面的問題。另外,辦理網上支付卡頗費周折,須填表、下載指定的軟件、進行相應的操作等等,如果不是網蟲或非用不可,恐怕沒有多少人有這樣的耐心,除了辦卡手續繁、效率低,網上結算速度也慢,在線的資金劃轉少則幾天,多則十幾天,落後的支付手段是消費者要在支付後的壹個月才能拿到所購商品,使人們參與電子商務的熱情受到影響。 方便快捷,價廉物美,本應是電子商務的特點和優勢,贏得客戶最有效的武器。但目前給人們的感覺是網上購物既不方便又不便宜,這裏以網上購書為例。假如妳想要在北京圖書大廈的網上書店買書,就得先成為首都電子商城的會員。在會員申請的登記表中,除要填寫壹般的個人資料之外還需輸入自己的信用卡號;此外,會員還必須親自到圖書大廈去簽壹個類似授權書的文件才能算正式入會。如此復雜繁瑣的手續往往使人望而卻步。除了手續復雜之外,支付手段的落後也造成電子商務難以推廣。目前大多數在線商店仍采取收到郵局匯敦後再發貨的古老方式。這與過去的郵購方式並沒有本質的區別,而且只適應於賣方偏好。 網絡銷售的商品應該比正常渠道出售的便宜,因為它減少了普通零售業租用店面的費用和營業員的工資開銷。假若商家不讓利,顧客憑什麽要費那麽多的事去網上購物呢?而我國國內的網上商店,除了少數對軟件和書打折以外都保持著零售價。有資料表明,在美國,在線商店均以—定的折扣率來吸引顧客;如著名的網上書店 Arnazon.com的折扣率通常為40%。我國要推行電子商務,如不做到物美價廉,則難以推廣。以實物商品為內容的電子商務活動,除了信息流、資金流的處理以外,最終完成交易必然依賴於物流系統。我國遼闊的地域和經濟發展的不平衡決定了商品的配送的巨大困難。很多城市到目前為止仍沒有專業的配送企業,本來網上購物就圖個快捷、方便,然而,目前的配送環節大多過程冗余,造成送貨不及時,退貨不容易。誠然,要求每個電子商務企業都建立自己的配送機構是極不現實也不必要的,但如果與現有的社會體系保持暢通的在線聯系,應該成為電子商務企業重視與解決的問題.新建壹個全國性的配送系統將是困難的,其所需的大量資金投入構成了進入的壁壘。盡管許多快遞公司號稱解決了這個問題,但實際上相去甚遠。多數新興的快遞公司只是區域性的,規模較小,以雇傭民工來降低成本,對於如今貨到付款方式占了很大比重的實際情況,消費者的認可程度低,同時也給快遞公司的管理帶來了難度。郵政系統擁有全國性的大網,這是其優勢所在,但郵政網絡是以普通郵件寄遞為主組建的,並不是針對專門的物流服務而組建起來的,因此,不經過改造,也是難以提高其運作的效率。從目前來看,郵政特快專遞的資費過高,且時限並不能完全保證,也閑置了其在電子商務體系中應當發揮的更大作用。物流是壹個有運輸、儲存、配送、包裝、裝卸搬運、配送加工和信息處理七大功能構成的多功能體系。而配送只是其中的壹個環節。真正高效率的電子商務活動,需要壹個更加完善的物流體系,才能體現出其高效率、低成本的特性。 在電子商務交易過程中,實際上顯示屏幕上展現的商品與實際商品會有所出入,由於在購買前與商品缺乏實際接觸,顧客有可能對購買後的物品不滿意,如果沒有無條件退貨制度,很難樹立顧客對網絡商店的信任。如果網絡商店對技術支持缺乏安排,沒有解決好產品安裝和使用方面的技術問題,很難想象顧客會放心購買。 電子商務發展需要壹個強大的軟硬件環境和深厚的社會環境作支持。但目前,我國人們的電子商務意識還很淡薄,企業尤其是中小企業對電子商務不完全清楚;商家信譽低,造成人們對使用電子商務的擔心。電子商務的發展不僅意味著機遇和挑戰,更重要的是觀念的徹底革新。既要克服對網絡經濟和電子商務的害怕傾向,又要克服認為搞不搞電子商務無所謂的消極或抵觸情緒,同時也要防止對電子商務認識不夠深刻的傾向。 我國是個發展中國家。多數公眾文化素質不高,現代通信和網絡技術日新月異,多數公眾難以跟上知識和技術的發展步伐,必須在各個層次上普及上網技能和電子商務知識,才能在中國大規模推進電子商務應用。因此,必須盡快宣傳普及電子商務的有關知識,增強商業信譽,加強相關人才的培養。其二,電子商務對於任何國家都是壹種新生事物,從理論上講是—個邊緣學科,發展電子商務需要跨學科領域的復合型人才,既要懂得計算機技術,又要掌握有關金融、商務方面的知識。我國目前對這樣的人才相當短缺,現在已有十來所高校設置了電子商務本科專業(專業代號列入目錄外),並開始招生,但有關學科建設和教學研究還是顯得相對落後。 電子商務是壹個全新的領域,是在虛擬社區中進行的商務活動,具有不同於傳統商務活動的特殊性,它與傳統的法律制度、社會規則之間必然發生沖突。我國現正處於社會轉型期,法制不夠健全,假冒偽劣商品時常幹擾市場秩序,服務水平較為低下,消費者權益往往得不到充分保護。上述因素都會阻礙電子商務的廣泛開展。特別是電子支付安全、隱私權保護、電子簽名、商業合同認證、糾紛調解、網上打假等問題的解決還缺乏相應的遊戲規則和制度參照坐標。有關法規體系不健全也阻礙了電子商務發展的進程。 近年來,隨著網絡、通信和計算機技術的迅速發展,使用Internet從事商務活動已經成為現實。目前經濟全球化與網絡化已成為壹種潮流,世界各國都在密切關註這壹商務發展的大趨勢,電子商務的產生和發展就應運而生了。在發達國家,電子商務的發展非常迅速,全球電子貿易額主要集中在歐洲、美國、日本、新加坡等國家。許多專家學者認為,電子商務將成為21世紀經濟的新增長點。電子商務以其相對低廉的成本、簡化的貿易流程、超越時空限制的經營方式和預期的巨大利潤,吸引著世界各國眾多廠商。據有關資料顯示:目前已有幾十萬家公司, 1500多家銀行介入這壹領域。1998年全球電子商務交易額達153億美元,1999年為265億美元,2000年達433億美元,全球電子商務交易額平均年增長達70%左右。電子商務是通過高度開放性的互聯網開展商業活動的,其用戶遍及全球。互聯網在為電子商務提供有效通信方式的同時,由於其缺少必要的監管和完整的網絡安全體制,使電子商務在安全上面臨壹定的威脅,影響了電子商務以更快的速度發展。因此,其安全性問題已成為不容忽視的問題.安全問題己成為電子商務的核心問題。企業網絡安全的核心是企業信息的安全。為防止非法用戶利用網絡系統的安全缺陷進行數據的竊取、偽造和破壞,必須建立企業網絡信息系統的安全服務體系。關於計算機信息系統安全性的定義到目前為止還沒有統壹,國際標準化組織(ISO)的定義為:“為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露”。計算機安全包括物理安全和邏輯安全,其中物理安全指系統設備及相關設施的物理保護以免於被破壞和丟失,邏輯安全是指信息的可用性、完整性和保密性三要素。 信息安全的隱患存在於信息的***享和傳遞過程中。目前,瀏覽器/服務器技術已廣泛應用於企業網絡信息系統中,而其基礎協議就存在著不少的安全漏洞。 壹種基本的安全系統——網絡安全系統,也稱為防火墻系統,可以設置在公用網絡系統和企業內部網絡之間,或者設置在內部網絡的不同網段之間,用以保護企業的核心秘密並抵禦外來非法攻擊。隨著企業網上業務的不斷擴大和電子商務的發展,對網絡的安全服務提出了新的要求。像用戶認證、信息的加密存貯、信息的加密傳輸、信息的不可否認性、信息的不可修改性等要求,要用密碼技術、數字簽名、數字郵戳、數字憑證和認證中心等技術和手段構成安全電子商務體系。 目前使用最廣泛的網絡協議是TCP/IP協議,而TCP/IP協議恰恰存在安全漏洞。如IP層協議就有許多安全缺陷。IP地址可以軟件設置,這就造成了地址假冒和地址欺騙兩類安全隱患;IP協議支持源路由方式,即源點可以指定信息包傳送到目的節點的中間路由,這就提供了源路由攻擊的條件。再如應用層協議Telnet、FTP、SMTP等協議缺乏認證和保密措施,這就為否認、拒絕等欺瞞行為開了方便之門。 對運行TCP/IP協議的網絡系統,存在著如下五種類型的威脅和攻擊:欺騙攻擊、否認服務、拒絕服務、數據截取和數據纂改。
黑客攻擊的目標不相同,有的黑客註意焦點是美國國防部五角大樓,有的關心是安全局、銀行或者重要企業的信息中心,但他們采用的攻擊方式和手段卻有壹定的***同性。壹般黑客的攻擊大體有如下三個步驟:
信息收集→對系統的安全弱點探測與分析→實施攻擊。 信息收集的目的是為了進入所要攻擊的目標網絡的數據庫。黑客會利用下列的公開協議或工具,收集駐留在網絡系統中的各個主機系統的相關信息。·SNMP協議 用來查閱網絡系統路由器的路由表,從而了解目標主機所在網絡的拓撲結構及其內部細節。·TraceRoute用該程序獲得到達目標主機所要經過的網絡數和路由器數。 ·Whois協議服務信息能提供所有有關的DNS域和相關的管理參數。 ·DNS服務器 該服務器提供了系統中可以訪問的主機的IP地址表和它們所對應的主機名。 ·Finger協議 可以用Finger來獲取壹個指定主 機上的所有用戶的詳細信息(如用戶註冊名、電話號碼、最後註冊時間以及他們有沒有讀郵件等等)。 ·Ping實用程序 可以用來確定壹個指定的主機的位置。 ·自動Wardialing軟件 可以向目標站點連續撥出大批電話號碼,直到遇到某壹正確的號碼使其MODEM響應。在收集到攻擊目標的壹批網絡信息之後,黑客會探測網絡上的每臺主機,以尋求該系統的安全漏洞或安全弱點,黑客可能使用下列方式自動掃描駐留網絡上的主機。 ·自編程序 對某些產品或者系統,已經發現了壹些安全漏洞,該產品或系統的廠商或組織會提供壹些“補丁”程序給予彌補。但是用戶並不壹定及時使用這些“補丁”程序。黑客發現這些“補丁”程序的接口後會自己編寫程序,通過該接口進入目標系統,這時該目標系統對於黑客來講就變得壹覽無余了。
·Internet的電子安全掃描程序IIS(InternetSecurity Scanner)、審計網絡用的安全分析工具SATAN(Security Analysis Toolfor Auditing Network)等這樣的工具,可以對整個網絡或子網進行掃描,尋找安全漏洞。這些工具有兩面性,就看是什麽人在使用它們。幫助發現其管理的網絡系統內部隱藏的安全漏洞,確定系統中那些主機需要用“補丁”程序去堵塞漏洞。黑客也可以利用這些工具,收集目標系統的信息,獲取攻擊目標系統的非法訪問權。黑客收集或探測到壹些“有用”信息之後,會對目標系統實施攻擊。黑客獲得了對攻擊的目標系統的訪問權後,又可能有下述多種選擇: ·該黑客可能試圖毀掉攻擊入侵的痕跡,並在受到損害的系統上建立另外的新的安全漏洞或後門,在先前的攻擊點被發現之後,繼續訪問這個系統。 ·可能在目標系統中安裝探測器軟件,包括特洛伊木馬程序,窺探所在系統的活動,收集黑客感興趣的壹切信息·該黑客可能進壹步發現受損系統在網絡中的信任等級,黑客就通過該系統信任級展開對整個系統的攻擊。 ·黑客在這臺受損系統上獲得了特許訪問權,那麽它就可以讀取郵件,搜索和盜竊私人文件,毀壞重要數據,破壞整個系統的信息 網絡在沒有防火墻的環境中,網絡安全性完全依賴主系統的安全性。在壹定意義上,所有主系統必須通力協作來實現均勻壹致的高級安全性。子網越大,把所有主系統保持在相同的安全性水平上的可管理能力就越小,隨著安全性的失策和失誤越來越普遍,入侵就時有發生。 防火墻有助於提高主系統總體安全性。 防火墻是讓所有對系統的訪問通過某壹點,並且保護這壹點,對外界屏蔽保護網絡的信息和結構。它是設置在可信任的內部網絡和不可信任的外界之間的壹道屏障,它可以實施比較廣泛的安全政策來控制信息流,防止不可預料的潛在的入侵破壞。 防火墻系統可以是路由器,也可以是個人機、主系統或者是壹批主系統,專門用於把網點或子網同那些可能被子網外的主系統濫用的協議和服務隔絕。 防火墻可以從通信協議的各個層次以及應用中獲取、存儲並管理相關的信息,以便實施系統的訪問安全決策控制。 防火墻的技術已經經歷了三個階段,即包過濾技術、代理技術和狀態監視技術。 包過濾防火墻的安全性是基於對包的IP地址的校驗。在Internet上,所有信息都是以包的形式傳輸的,信息包中包含發送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態等信息讀出,並按照預先設定的過濾原則過濾信息包。那些不符合規定的IP地址的信息包會被防火墻過濾掉,以保證網絡系統的安全。