|
电子商务与信息安全保障
沈昌祥
国际首届APEC电子商务工商联盟论坛于2004年6月15、16日两天在山东省烟台市举办。本论坛于去年3月在曼谷召开的APEC第一届高官会上议定,在我国商务部和APEC电子商务工商联盟的大力支持下,由商务部信息化司、中国国际电子商务中心承办。搜狐IT频道现场直播本次盛会,以下为:中国工程院院士沈昌祥现场致词。
各位来宾、女士们、先生们,今天我要发表的议题是电子商务与信息安全保障。
第一方面是发展我国电子商务的机遇和挑战。我认为目前发展电子商务机遇是战略性的,但是挑战也是非常严重的,国家制定了以信息化带动工业化,实现跨越式的发展战略,以及企业信息化促进电子商务的蓬勃发展,电子商务推动了企业创新、结构调整,大大提高了企业的效率。十六届三中全会中央一致决定要加强电子商务的发展,经过几年的IT缩水,全球的电子商务已经在复苏与发展,但是我们应该看到,在发展的过程当中存在着严峻地挑战。
首先,电子商务存在信用问题,要保证网络交易的真实性。第二,网络安全问题,保证网络交易进入资金的安全性。在保证交易真实性和安全性这个问题非常复杂,首先要保证这个交易不能中断,还有交易的成本和效益问题。
我认为,其中比较大的问题依然是安全问题。我们必须解决交易信息的机密性、完整性、可用性、和不可抵赖性。
可以说,信息安全是电子商务顺利发展的基础和动力。
第二,要解决电子商务信息安全问题,必须要建立电子商务信息安全保障体系。电子商务是采用信息化手段实现自动化的商业交易活动,需要以信息安全保障促使来保证,在非安全的网络环境下信息交易的可信性。比如说,要防止假冒,冒充商家骗取货款,要防止伪造,伪造定单骗取货物。要防止抵赖,签订的合同它说没有不予以承认。还要防止篡改数据,制造混乱。要防止交易网络的堵塞,不可以利用技术手段放海量的数据将以网络堵塞不能进行。要防止病毒入侵,使我们电子商务无法进行。还要防止窃听,商业有机密,窃听以后它会获取情报。
要解决以上的问题必须从法律层面、组织管理层面,以及技术层面全面地加以防范。电子商务信息安全保障体系跟国家信息安全保障体系有类同之处。可以归结为四个层面,一个保证,两个支撑,我们总地看四个层面,首先是建立信息安全法制体系,确保电子商务的法规框架,完善法制环境,做到有法可依,有法必究,有法必依。
第二,要完善安全组织管理体系,强化管理机构的职能,统一标准规范,加强安全认证,完善信用体系。
第三,强化信息安全技术的防护体系。采用先进的技术手段,确保网络畅通和应用环境的安全。我们要做到既能防止外面的攻击,也能防止内部的阻碍。
四,要加强信息安全平等及基础设施的建设。建立安全实践应急中心,数据备份和恢复设施,发挥密码在保障体系的基础和核心作用,加强密码基础设施的建设。
要有两个支撑,电子商务商业行为市场体制启动的,但是我们要有融资的渠道,要有很好的鼓励电子商务发展的税收制度。要确立人才培养和培训的体系。我们不仅要进行学历的教育,而且要进行技术的培训,不仅要拥有一大批的信息安全的人才,而且要有一大批法律管理这方面的人才,提高全民的电子商务的安全意识,尤其是商家和消费者的安全意识。确保电子商务的交易交付、物流的配送、资源的支付三大系统的安全设施起作用,使得这三大系统的信息系统能够服务于电子商务的正常进行。
要建立全方位的立体的信息安全保障体系。
第三,技术起了核心的作用,要积极防御,构筑我们信息安全技术的框架。我们把电子商务可以归结为三大系统,一是电子商务的交付的商台,谈判签定合同。第二是物流系统,物流配送,货定了以后,货物要及时到给供应者和使用者。还要及时进行资金的使付。
这三大系统都建立在以互联网为基础的网络系统。
每个系统都有具体处理业务的处理平台。大家一般都不太注意还有处理平台的瓶颈,我们处理问题几乎上都是局部网络,都有连接的,这里面有很重要的是数据共享,我们的电子商务中数据就是金钱,建立了很多的数据库,这个数据库要共享的,我们必须要把这个数据库的共享信息保护好,要构筑共享的连接。
这些处理平台,共享数据的资源都是通过互联网连接起来的。业务的应用处理和数据共享,要怎么样保障安全,我们要采取很多的措施。
我们把电子商务的信息系统分为三个系统的表示,第一个是,资金支付的系统,它的价值更大一些。下面一个是货物的配送系统,它是一个中间的状态。再下面一层是商务的谈判、交互的系统。这个系统是建立在互联网上面的,这三个系统有??之处,都有内部的处理系统,都需要有一个边境的防卫,防止不是政党的人员闯入我们的系统来做违法的事情。
第三,都是通过网络、电信商提供的线路进行商务交易的。但是三个系统里面的项目是有区别的,因此它构筑的网络还是有区别的。
比如说,支付系统,它应该在网络上保证它的机密性、完整性。应该采用更严格的防篡改和窃听这样的措施进行连接。第二,物流系统也是很重要的,主要是防止数据不能被篡改,要及时到达终端的定位。因此它的网络保障是趋于资金系统的。
第三,商务谈判,更重要是在网上的信息交付在可用性问题上非常突出,不能中间简短,要及时相应,这里面需要认证,谈判以后签合同不可抵赖。我们把这三个图概括成为电子商务信息处理系统的安全保障技术框架。
当然,这里面还需要有支撑平台,第一,管理平台,我们说,管理在保障里面是一个中坚重要的部门,但是它必须要有技术的手段,有安全管理中心。比如说,这个系统谁可以用,谁不可以用,需要授权认证。需要有一个集中管理的决定可信的机构进行运作,否则在商务上就不可信。
在管理中间上要处理各种事务,要处理各种升级的信息。一旦出现问题了以后,可能会采取隔离措施,使损失减少到最少。还可能产生一些运行过程当中的故障,甚至会瘫痪,我们要立即恢复,使得损失减少到最少。我们称之为必须有安全管理加以支持的一个支撑。
第二个支撑,我们在互联网上构筑一个电子商务的平台,什么人都可以去访问,什么人都可以进行冒充自己是很重要的角色。必须解决这些问题,唯一的手段目前看来主要是密码技术,利用密码技术来防止他冒充。所以要用密码技术来认证。通过密码,PKI数字证书来认证它是合法的身份,这在电子商务中是非常重要的。他要数字的一致性,不被篡改,也是靠密码来计算,这个数据是不可被替代的,是唯一的。
第二,怎么样防止有人来侵入,也要用密码技术进行签名认证,我们国家将要出台《电子签名法》,主要是用密码技术的电文,密码技术计算出国家,是由他自己才能产生这个密码,别人不可冒充的,因此是不可抵赖的。这些密码技术需要有自己产生全面性质的私人盟约,还有向公众发布的盟约,都要由密码中心来进行管理的,KMA和PMA来进行管理的,否则的话是做不到可信的。
我们要解放思想与时俱进,改革创新,迎接新的挑战,切实做好电子商务的信息安全保障工作,为发展我国电子商务打下牢固的基础,谢谢大家!
来源:搜狐IT |