| 主题:电子商务中的安全问题
陈晓桦(中国国家信息安全测评认证中心副主任):
今天很高兴有机会和大家探讨信息安全问题,特别是电子商务中的安全问题。
第一,电子商务的发展是互联网上最大的应用趋势,是国际经贸全新的一种形式,是我国经济生活中的新手段,也给我国的安全保密管理带来新课题。
人类社会的三大支柱有材料、能源和信息,说明信息非常重要。今天谈到的信息主要还是IT信息技术方面的信息,不是天上的云彩给我们昭示的信息。互联网的迅速发展牵动了全球经济的发展,我们把互联网的发展提得非常高。近年来出现一些新的概念,网络经济、数字化生存、信息战等等等。
现在经常谈经济与全球化、全球信息化、信息网络化,信息化有什么特点?信息BIT化,通信计算机化、计算机网络化,网络Internet化。
信息化被日益全球化的经济带来什么样的安全威胁?涉及到国家经济运行与监管的安全问题,比如说东南亚金融风暴问题,以后再谈金融风暴怎么进行宏观结合。在金融资本的流动和资本安全,包括证券市场,特别开展网上证券、网上银行等等。另外金融网络和系统的安全,银行、税务、证券、保险方面的一些行业。这些网络和系统的安全非常重要,影响到国计民生。如果我们对网上的炒股行为和网上银行的存储行为不进行监管的话,如果别人调动一千亿元进行网上招股,这样的危险很大。经济信息安全问题,无论是易趣网还是股票网站也好,你的信息被改动,影响交易的真实性,这些给经济安全带来很多威胁。
80年代对信息安全理解为信息保密,90年代认识到除了保密以外,还有完整性,还有系统的可用性。如果我通过网上取钱,本来想取一百块钱,被改成取一万块钱,这个损失是谁的?信息和系统可用性,如果说谁打一个电话追究的力度不大,但是谁把系统破坏掉,当机一个小时,损失很大。90年代后期,对信息安全的认识又了新的变化,现在谈的比较多的是对信息和系统的可控问题,还有对信息行为的不可否认追究问题。
你在网上所有的行为被别人监控道不告诉你,这也是一种安全隐患。试想一天24小时被别人监控是什么概念。你的传输中间数据被别人篡改。无中生有,或者冒充你的身份等等。这是信息安全与电子商务的问题。
过去谈计算机安全,昨天谈信息安全,今天谈信息保障。
计算机安全里面用加密的方式可以基本做到保密问题。今天有人讲中文我们听得懂,如果两个人站起来讲俄文我们就听不懂,这就是加密的方法。信息安全信息的保密性、完整性、可用性,从保障角度讲,还应该提到如何检测现在的信息脆弱性入侵,出现问题对入侵事件对安全事件当机了怎么恢复。网络犯罪新的摩尔定律,以前计算机芯片是18个月翻一番,价格降下来一半。网络犯罪是18个月翻一番。
国际上有很多研究信息安全的做法,美国提出一个保障框架模型,人、政策、技术,有六个环节,预警、保护、检测、反映、恢复、反击。
预警是根据当前所掌握的情况,我们可以预测一些趋势,可能存在着,因为从空间、时间、知识、能力的差别来讲还是能做到的。
保护主要是指采取尽可能的手段保障信息和系统的安全性,主要是保密性、完整性、可用性、可控性和不可否认性。
根据资产重要程度来确定保护的投入,不采取保护措施是失职!SARS期间,单位门口要有温度测量仪,这都是法律措施,不采取保护措施就是失职,这是对保护的要求。
检测主要是利用技术手段检测系统中间是否存在黑客攻击,有没有白领犯罪、病毒泛滥等等。如果出现了安全事故以后,应该做出及时的响应。今天会议中心可能抗击八级地震,但是不能抗击核武器的进攻。安全是相对的,总会可能出现意外情况,万一出现了怎么办?要求有反应的能力。要求系统提供正常的服务。一旦遭到破坏或者出现非正常现象,应该尽早提供正常服务,形成恢复能力。
反击,采取相应的打击犯罪的手段,比如说取证、证据保全、威慑等。
整个社会对电子商务的安全有多方面的需求,归结起来以下的要点:
加密保证、使用者和数据的识别和鉴别要求,对存储和加密数据进行保密,对联网交易支付的可靠性保证,比较方便的安全管理,还有对数据的完整性进行验证,防止抵赖。
政府关心的问题:经济安全问题,执法部门需要相应的措施、相应的证据,另外采购与使用需要,网络安全和消费者的保护问题。
制约电子商务发展有几个主要因素:
1、基础设施问题。除了很多网站的建设以外,应该从网络的监管落实,服务措施没有完全跟上。
2、观念改变问题。电子商务是现代商务的一种补充手段,什么时候变成主要手段不知道,说不定哪天变成主要手段,那一天可能更多依赖于电子商务。
3、信用机制问题。
4、支付技术问题。
5、法律保障问题。现在的法律法规不健全。
6、物流配送问题。
7、信息安全问题。
可以说在电子商务的系统里面没有安全保证的系统一定是一个豆腐渣工程,没有人敢用,安全问题非常重要。
怎么看待电子商务的安全问题?安全不是一个纯技术的概念,没有绝对的安全。安全是有成本和代价的,要采取安全措施不光会带来不方便的地方,可能会带来成本和代价。在2000年中国人民银行出了一本信息安全保障的规范,里面明确提到在人民银行这个系统建设里面,应该投入10%的经费。这是国内第一个行业主管部门发布明确的定额,10%。系统的重要性不一样,有的需要投入15%甚至50%的经费,有的可能只能投入百分之几,而且可能有很多的电子商务网站投入远远不到10%,甚至很多安全措施都没有跟上去。安全是发展的、动态的。包括病毒、攻击措施,不可能一蹴而就。
电子商务的安全支付方式,根据支付者和付款接受者之间是否有直接的通信可以分为直接支付和间接支付。根据银行中是否有帐号可以分为基于帐户的支付和基于代币的支付,基于帐号的电子支付又可分为基于信用卡支付和电子支票支付,基于代币的电子支付又成为电子现金或数字现金。是否必须与第三方进行在线联系还可以分为在线支付和离线支付。
基于信用卡的支付方式采用的协议主要有两种:SSL和SET。目前我国的应用得到最广泛的就是基于信用卡的电子支付方式,中国银行的网上银行使用的是SET协议,招商银行的一卡通是SSL协议。
在我们国家电子政务里面坚决采用SSL,能不能得到国家和银行的支持这也是一个问题,有它的局限性。
CA问题也是安全性问题,是电子商务里面解决可信问题的关键设施。在我们国家建立CA的时候,会出现好多问题。CA建设我们国家现在已经建了40多个,有人说80几个,地方的、政府的、行业的。很多CA认为很多问题,没有和银行结合起来,没有得到银行的认可。中国电子商务标准化方面很缺乏。国家没有电子商务关于CA的要求等等,包括信息的披露等等。
CA设备的安全性,现在国家的设备或者是自己研发,或者地方采购的,电子商务网站也好,用户也好,怎么样对设备的安全性进行验证,采取国家安全机构的检测的产品,这样放心一点。
电子商务方面技术方面缺乏统一规范,影响互联互通。国际标准一万七千多个,IF的标准有三千多个,真正在电子商务里面的标准远远不够,还需要开发。标准不仅应该先行,还应该铺路。标准是游戏规则,你先制定标准你就掌握了主动权,以后银行也好,交易也好,造成的影响非常大。管理方面,容易政出多门,造成管理混乱。法律法规不够健全。电子签章法没有出台,网上出了问题,出现邮件攻击怎么办,出现责任怎么办?安全方面是主要的问题。安全保证措施也是一个问题,跟直接投入跟相应的技术措施有关系,跟成本也有关系。我们不可能用比我们的资产价值更高的代价来做安全保护。比如网站上信用卡号被盗,这方面谁来负主要责任?这方面的法律法规如果有相应规定,应该负连带责任,对安全保护措施的问题一定要负相应责任。
最后,提高服务的安全性,否则会影响电子商务的发展,或者成为发展的瓶颈。提高通信的速度,否则电子商务就成了纯粹的电子广告而无法将商场搬到里面,许多东西我们无法看到,也更谈不上交易。降低成本,包括硬件成本、通信成本核计算成本。
现在这个社会信息技术、通信技术的重要特征是大设备为小设备服务。电子商务管理体系应具备的特点:与经济体制的一致性,与信息安全保密管理的一致性,与经济安全监督的一致性,与信用体制的一致性。
希望政府在电子商务的作用:政策引导、密码控制、交易监督,(根)CA的管理标准制定。
国家应该有相关的电子商务CA管理中心,充分发挥政府在电子商务发展中的主导作用,以小政府、大社会的方式规范和管理CA的发展,在电子商务的建设和采购中务必考虑安全因素,加强各部门之间的协调和配合。
谢谢大家!
|
