11月9日,普华永道发布第9次全球信息安全调查,根据调研显示,中国在信息安全中对技术的投入领先全球,而由于人员、流程、技术三方面投入存在配合滞后及发展不均衡的状况,信息安全仍是多数企业不可忽略的关注目标。
对于业界较关注的第三方支付等电子商务企业的信息安全状况,刚刚受邀参加“PKI技术在电子商务应用中的新趋势国际研讨会”的中国PKI联盟战略合作伙伴、商务部中国国际电子商务中心直属、北京国富安电子商务安全认证有限公司信息安全专家认为,我国电子商务的发展速度迅捷,因此在电子商务企业的信息安全保障方面,国外并无成功经验可借鉴。不过正是由于市场的空缺,相关领域在近年将迎来行业大发展的良机。
拿目前最火的B2C来说,京东、当当、凡客,这些耳熟能详的电商网站正在逐渐挑战阿里巴巴的绝对老大地位,这些电商网站扩张的速度之快、竞争之激烈让消费者感受深刻,那么,他们的高速发展的背后,会不会也存在一定的隐忧?究竟是什么在今后可能会成为制约它发展的重要因素?国富安专家认为,其中的重要因素之一,就是信息安全。
国富安专家分析道,目前电商网站的信息安全问题主要归结于以下几个方面:
1.对合法用户的身份冒充。以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
2.对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
3.对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。
4.对发出的信息予以否认.某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
5.信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款等,或者用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
在B2C电子商务领域,人们所关心的安全问题主要包括:信息的保密性;信息的完整性;交易者身份的真实性和信息的不可否认性。以上问题其实完全可以避免,国富安专家说,解决以上问题可以运用密码技术,强化通信安全。对于电子商务中的各种敏感数据进行数据加密处理,并且在数据传输中采用加密传输,以防止攻击者窃密。电子商务信息交换中的各种信息,必须通过身份认证来确认其合法性,然后确定这个用户的个人数据和特定权限。“在涉及多个对等实体间的交互认征时,应采用基于PKI技术,借助第三方(CA)颁发的数字证书数字签名来确认彼此身份。”国富安专家说,为了从根本上保证我国网络的安全,安全产品的应用应建立在国内自主研发的产品基础上,国外的先进技术可以参考,但不能完全照搬。
最后,国富安专家说,B2C的消费者尤其担心的是敏感信息如信用卡号在网上传输时信息的保密性,和B2C网站的真实性。而这些担忧将随着各种加密技术和协议的不断成熟,认证机构的不断完善以及各种相关法律如电子签名法在我国的正式实施而逐步得以解决,因此,电子商务信息安全的探索道路还在继续,我们也相信,在未来的某一天,中国电子商务的信息安全技术和经验,会值得国外的电商企业关注和借鉴。