第壹,如何看待安全與發展的關系
談到安全與發展的關系,很多人會認為安全更重要,但其實在信息化發展的過程中,自始至終都應該把發展放在第壹位,因為沒有發展就談不上安全,沒有發展就是最大的不安全。
從國內外情況來看,電子商務的快速發展導致其安全技術和安全管理滯後,這是壹個日益突出的問題。電子商務的快速發展要求行業,尤其是信息安全行業快速響應,否則安全問題將制約其發展。現在不僅是發展中國家,就連美國這樣的發達國家,電子商務在很多領域還是不如其他傳統商業發達。壹個重要原因是安全。這就需要信息安全行業的同行們不懈努力,不要因為安全問題而限制電子商務的發展。
二、如何看待電子商務的安全問題?
在正確看待電子商務的安全性時,有幾個概念值得註意:
首先,安全是壹個系統的概念。安全不僅僅是壹個技術問題,不僅僅涉及到技術,還涉及到管理,與社會道德、行業管理、人們的行為模式都有著密切的關系。
第二,安全是相對的。房子的窗戶上只有壹塊玻璃,壹般情況下是安全的,但如果非要用石頭砸就不安全了。我們不會因為壹塊石頭可以砸碎玻璃而懷疑它的安全性,因為大家都有壹個大概的認識,玻璃是不能被砸碎的,有了窗玻璃就可以保證房子的安全。同樣,不要追求壹種永遠無法攻破的安全技術。安全和管理總是聯系在壹起的。也就是說,安全是相對的,不是絕對的。要想讓未來的網站永遠不受攻擊,安全問題是很難避免的。我們應該正確理解這個問題。
第三,安全是有成本和代價的。現在國外無論是B to B還是B to C,都要考慮安全的價格和成本。如果只註重速度,就必須犧牲安全。如果能考慮到安全,壹定要慢下來,更好的保證安全。當然,這與電子商務的具體應用有關。如果不直接涉及支付等敏感問題,對安全性的要求較低;如果涉及到支付問題,對安全的要求更高,所以安全是有成本和代價的。作為經營者,要綜合考慮這些因素;作為安全技術的提供者,在開發技術時也應該考慮這些因素。
第四,安全是發展的、動態的。今天的安全明天不壹定很安全,因為網絡的攻防都是此消彼長,道高壹尺魔高壹丈,尤其是安全技術,非常敏感,具有競爭性和對抗性,需要不斷的檢驗、評估和調整相應的安全策略。沒有壹勞永逸的安全,也沒有壹勞永逸的安全。
3.電子商務的社會需求是什麽?
電子商務是以電子手段實現傳統商務或傳統商務革命的模式,其發展需要以下必要條件。
首先,電子商務的發展應該得到廣泛的認可。無論是現在的銀行、證券還是傳統的物物交換,社會認同都是交易實現的基礎。電子商務的發展也必須得到廣泛認可。
第二,電商的交易模式不能造假。換句話說,必須有足夠的安全性。
第三,真的可以省錢。人類在不斷降低交易成本,從最原始的物物交換到普遍等價,到信用體系等等。如果引入電子商務,不但不會降低成本,反而會增加成本,也不會得到社會的認可。
第四,方便好用很重要。目前中國電子商務發展最致命的就是使用不便。
第五,要能滿足大眾的商業心態。可以是“實名制”,也可以是“匿名制”(當然現在也在討論如何讓存款“實名制”)。原有的金融系統或經濟系統的優點是可以“實名”或“匿名”,所以我們在發展電子商務時也要考慮這個問題,否則用戶將別無選擇,發展也將受到阻礙。
社會對電子商務安全的需求可以概括為:
1.信息應真實完整。因為無論是中國人還是外國人都會覺得“他山買牛”是壹件心裏沒底的事情,所以都希望電子商務中的信息真實完整。
所有的交易都不能否認,否則,生意沒法做。這不僅需要道德和法律的約束,也需要相關的技術來保障。如果總是有糾紛或爭議,再好的電子商務也會毀於壹旦。
3.支付和交易必須安全可靠。目前,如何保證支付和交易的安全性和可靠性是壹個全球性的問題。電子商務要想大發展,就要治理好這些瓶頸。
4.可以在網絡上準確識別用戶或企業的身份。如果不能準確識別交易雙方的身份,發生糾紛時就無法進行有效的仲裁。
5.可以保護個人隱私。個人隱私的保護現在越來越受重視,以前我們可能不太關註這個問題。越是開放,信息量越大,個人隱私就越重要。
四,對電子商務現狀的看法
現在,電子商務網站的運營很熱鬧,但也很艱難。據我們了解,雖然中國電子商務收益差的現狀有望改變,但技術和管理問題依然存在,安全風險依然堪憂。
從技術角度來說:首先,數據傳輸速度太慢;其次,沒有安全可靠的結賬方式,嚴重制約了電子商務的發展;第三是IT技術發展太快,商業模式和人們習慣的形成需要壹段時間。雖然技術是不斷發展的,但是社會對技術的認可是有階段性的,用戶和運營商很難消化和跟上這種快速發展。第四,很難及時處理用戶的相關問題,很難打開壹個網站。如果壹段時間後用戶反饋多了,網速就會變慢。這可能是線路本身的問題,但也有技術問題,目前沒有好的解決辦法。第五,在安全方面,難以防範網絡犯罪,尤其是黑客攻擊。
從管理的角度來看,主要問題有:1)國內電子商務網站數量太少,瀏覽電子商務網站的用戶沒有預期的多;2)電子商務網站營業收入遠低於預期,使得網絡泡沫;3)缺乏能夠適應中國國情的市場技能。目前電子商務網站的營銷模式基本都是照搬美國的,宣傳上不奢侈,效果上不紮實。不充分考慮中國人的商業行為和方式,恐怕很難成功。4)網站運營成本太高。因為運營成本高,再好的商業模式也不堪重負。5)充電難。除了BtoB,BtoC電商還沒有找到便捷可行的收費方式。
從安全角度來看,電子商務的隱患令人擔憂,主要表現在:
1.網絡信息安全在世界範圍內尚未形成完整的體系,中國也不例外。雖然電子商務安全相關的產品很多,但真正通過認證的卻很少。近兩年,有近20個與電子商務安全相關的產品申請認證,但最終通過的寥寥無幾,主要是因為很多安全措施都是從網上“下來”的。此外,許多電子商務安全技術的制造商熟悉網絡技術,但他們對安全技術普遍了解甚少,因此他們很難開發出真正實用和安全的安全技術和產品。
2.安全技術的力度普遍不足。雖然國外的電子商務的安全技術無論是結構還是加密技術都不錯,但是這種算法(無論是對稱還是非對稱)受到國外密碼政策的限制,所以實力普遍不足。這種技術在B-to-C上勉強可行,但在B-to-B上顯然還不夠。
3.電子商務網站的安全管理存在很大隱患,壹般很難抵禦黑客的攻擊。我們應該高度重視這個問題。國內電商網站受攻擊少,並不代表它們牢不可破,而是網站本身規模小,攻擊價值不大。
4.電子商務僅僅局限於商務信息領域,並沒有深入到真正的電子商務領域。這些因素的存在必將影響中國電子商務的進壹步發展。
動詞 (verb的縮寫)關於加州社會服務中心
現在大家都在關註CA中心。從國外的發展來看,認證應該是第三方,最好政府幹預少壹些,做壹些必要的引導就好。在我們國家,最大的問題是很多人過早的把CA認證當成壹個行業,當成壹個生意,很少考慮到自己應該承擔的責任。事實上,CA社會服務中心必須滿足壹定的要求。首先要看施工單位是否有管理能力,責任義務是否明確。壹旦證書出了問題,各方責任是否明確;其次,要看技術能力和經營條件。CA要服務社會,能否保證安全、可信、有效運營?這就需要專業化的技術能力和安全完整的在線認證技術體系。比如炒股票,如果認證期太長,別人已經成交了,妳還堵在這裏,肯定不行。三是看是否有足夠的資金支持。沒有幾千萬甚至上億的投入,是不可能向社會提供可靠的CA服務的。四是看整個CA系統和設施是否安全。總之,CA中心能否提供安全可靠的服務,不僅取決於自身的宣傳,還取決於是否通過“國家信息安全認證”。到目前為止,只有壹家公司通過了認證,其他幾家也在審查中。主要問題不是證書能不能發,而是證書使用者的利益能不能得到保護。
6.如何看待電商網站被攻擊事件?
剛才我們提到了黑客的問題。黑客有多厲害?
目前中國的網站被黑客攻擊,和美國的不能比,因為我們的用戶數量、規模、水平還處於非常初級的階段。如果遇到類似DDOS的攻擊,要引起重視,但不要驚慌,因為在目前的情況下,壹個電商網站停壹兩天的損失並不大,畢竟業務量和交易量都不大。從我們過去遇到的攻擊中,我們可以得到以下啟示:
1.純技術很難阻止原有的攻擊模式。如果按照西方的思維方式去思考,不斷追求和更新安全技術,防火墻可以很強大,但如果黑客不竊取信息或數據,而只是屏蔽網站,這種非常野蠻的攻擊很難用簡單的技術解決,而是要靠管理或其他方法來防範。美國電子商務網站遭到如此大規模的攻擊。雖然有技術上的原因,但似乎還是管理上的問題。這裏的管理包括網站運營者如何防止自己的網站被攻擊,互聯網用戶如何保證自己的機器不會被他人無辜使用。現在網上有很多安全補丁,但是真正用的人很少,或者不知道怎麽用。所以在信息化發展的初級階段,管理比技術更重要。
2.病毒比壹般的攻擊更可怕。現在的病毒(包括惡意代碼)破壞性越來越大。目前電子商務中的交易都是非時間敏感項目,所以時效性不是很突出。可怕的是病毒對數據的破壞。
3.從目前的情況來看,危害電子商務的首先是病毒或惡意代碼;然後就是內部人員對計算資源的濫用,國外強調的多,國內強調的少。隨著技術人員流動性的增加,道德需要提高。第三是黑客攻擊;第四是用戶數據的泄露;五是虛假交易。
七、關於電子商務需要的安全技術和產品。
目前國內市場需要更大的網絡安全產品或防火墻。從國內外購買數量來看,防火墻排在首位;其次是通信保障設備;第三種是客戶端服務器中的安全模式,廣泛應用於電子商務中。第四是局域網或廣域網上的安全技術;五是web安全技術;第六是容災技術。從銀行和金融界的壹些情況來看,人們對這方面的重視程度還不夠,壹般的電商網站對容災的考慮也不是很好,這也是急需的。
八、制約我國電子商務發展的主要因素
制約我國電子商務的主要因素有:壹是商業信息化程度太低;二是交易流程不規範;三是信用體系不健全;四是技術發展太快,沒有壹定穩定的工藝;第五是客戶出現問題後誰來負責。由於電子商務的立法和管理剛剛開始,有人戲稱“電子商務目前是壹個‘三無’行業:無法可依,無安全可言,無規則可循”。當然,這只說得通。我國政府對電子商務的管理已經提上日程,各部門都在努力制定促進電子商務的政策。
九。關於加快電子商務發展的建議
對電子商務發展的建議簡單來說就是“兩高壹低”,即:1)不斷提高服務的安全性,否則會制約電子商務的發展;成為發展的瓶頸;2)提高傳播速度,否則電子商務會變成純粹的電子廣告而我們無法把商場搬到裏面,很多東西都看不到,更談不上交易;3)降低成本,這不僅是降低硬件成本,也是降低通信成本。因為電子商務發展的目的是降低交易成本,交易成本高是不正常的。很多人覺得,花這麽多錢搞電商,不如當面談生意。很多貨會通過電話發過來,不需要身份什麽的。