信息安全决定电子商务发展--“网络安全三人行”之电子商务篇

“网络安全三人行”之电子商务篇
信息安全决定电子商务发展

行业专家：东软股份电子商务事业部副总经理、技术总监 梅丛银
安全专家：东软股份信息安全产品策划部部长 王虎
主 持 人：《计算机世界》报编辑、记者 大永
计算机世界报 第48期 E26、E27

东商总总 软务经监 股事理| 份业、梅 电部技丛 子副术银

东安部 软全部 股产长 份品| 信策王 息划虎

记者：电子商务这个话题已经被热炒了几年的时间，而且整个行业也发展得非常迅速，能否请您谈一下目前电子商务的建设情况？

梅丛银: 首先提供一些数据。电子商务以其低成本、高效率、高质量正逐步被广大企业所接受。联合国年初发表的一份报告显示，2000年全球电子商务的交易额已达到3770亿美元，未来十年，全球三分之一的国际贸易将以电子商务的形式来完成。我国的电子商务自二十世纪九十年代以来发展势头极为强劲，截止到2000年底，我国电子商务网站数量已达1500家，电子商务交易额达到771.6亿元人民币。

??2000年的.com热已经成为过去，但是电子商务对企业的影响是深远的，其中重点是企业需要重视与上下游合作伙伴的协作以及行业内的合作。从中国的实际情况来看，首先要解决企业的基础设施建设和企业内部的基本应用。先前比较热的B2C只是“一片白云”，电子商务目前发展的重头是行业B2B，这才是“暴风雨”，即企业和企业之间的协作和交易、大量关键的应用、大量的资金交易、商流、物流、资金流同步进行。

王虎：是这样的，种种迹象表明，尽管全球网络经济出现危机，但这阻挡不了技术和方案的发展，电子商务仍然有着广阔的前景。

??前一段时间看到一个报道，一个叫做第一资讯的公司调查显示，全世界范围内组建网络企业的热潮冷却下来了，许多纯粹的电子商务公司纷纷倒闭。不过，还有一些根基稳固的将网络与传统产业结合起来的公司仍在运转。经过这些挫折后，随着经济和技术的发展，电子商务将迎来一个蓬勃发展的时代。这其中，亚洲经济发展很快，而中国经济的发展更吸引了世界各国的企业家。随着经济和信息技术的发展，中国在电子商务等领域具有广阔的市场前景。尽管“9·11”事件的出现，在一定程度上影响了全球化进程，但全球化乃大势所趋。作为大企业，必须开拓国际市场。开拓国际市场，不仅仅是在国外销售技术和产品，还需要建立合作伙伴关系，并向合作伙伴提供科研力量和人才。

??东软在电子商务方面的发展也充分说明了这一点。近几年，东软凭借对于电子商务的深厚理解和对各个企业、行业的需求的精确把握，为中国电子商务的发展进行了深入开拓，东软的电子商务解决方案成为国内知名的电子商务解决方案品牌。

记者：请问，电子商务行业是否也同其他传统行业一样高度重视信息安全？目前在电子商务行业的哪些方面存在着安全隐患？

梅丛银：由于电子商务的开展依赖于企业内部的基础设施和应用，重点实现企业之间的交易，特别是企业资金的大量流动，无论内外，安全已经成为关键点。

王虎：对！从.com的外延向电子商务的内涵——交易的延伸中，一个最主要的障碍就是网络和数据的安全。随着2000年Yahoo、eBay等国际知名电子商务网站相继受到攻击，国内的一些电子商务站点也受到黑客的攻击。这为电子商务的推进者和使用者敲响了警钟。虽然电子商务正以不可逆转之势席卷全球，但在其发展过程中，我们面临一个共同的问题: 电子商务的安全如何保证?

??一般说来，在网络上遇到的各种威胁，电子商务运行中都会遇到：访问控制、身份识别、入侵检测、防病毒、灾难恢复等等。但是除了这些共性以外，电子商务领域的安全还有一些比较特殊的地方，就是对“数据”更为敏感，这包括敏感数据被窃取、删除或篡改，机密信息被公开，非法访问，用户身份被冒充，对交易的抵赖等等。因此，与传统的商务活动相比，电子商务对安全有更为严格的要求。

记者：存在这些安全隐患的原因是什么？为什么电子商务发展了这么长时间这些问题还一直存在？是目前的技术水平不够高还是政策所限？

梅丛银：事实上,目前电子商务上的安全隐患内外兼顾，并且内部更为可怕。这里不仅需要加强技术手段如安全协议、CA证书、数字签名等，同时还需要制度和岗位以及内外的审计。

王虎: 一般来讲，电子商务安全主要包括两大方面：网络安全和商务安全。这里所说的网络安全主要是指计算机和网络本身可能存在的安全问题，也就是要保障电子商务平台的可用性和安全性，其内容包括计算机物理安全、系统安全、数据库安全、网络设备安全、网络服务安全等。商务安全则指商务交易在网络这种媒介中体现出的安全问题，包括防止商务信息被窃取、篡改、伪造以及交易行为被抵赖，也就是要实现电子商务的保密性、完整性、真实性和不可抵赖性。

??安全性问题一直是电子商务令人担心的方面和关注的焦点，也将成为电子商务全面推广的主要障碍。最新调查表明，电子商务网站越来越容易受到黑客的攻击，这不仅表现在网站受攻击而不能提供正常服务上，还经常表现为用户信用卡密码被非法获取并被冒用。为了保证电子交易能顺利进行，首先要求电子商务平台要稳定可靠、不中断地提供服务。任何系统的中断，如硬件软件错误、网络故障、错误操作、病毒都可能导致电子商务系统不能正常工作，从而使交易数据在确定时刻和地点的有效性得不到保证。在保证网络安全上，软硬件设备的冗余、防火墙、入侵检测系统、防病毒系统等是经常采用的技术。

??针对这些电子商务领域中的网络安全问题，东软提供了完整的解决方案: 即东软核心安全产品NetEye防火墙为防御基础，以NetEye入侵检测为主动手段的一系列解决方案。

??东软的NetEye防火墙采用独特的基于状态检测的信息流过滤技术，这项技术目前在业界是非常领先的：它使电子商务领域的管理者、使用者和参与者都可以体会到细致的安全防护。流过滤技术的核心是在防火墙完全透明的模式下提供完整的应用层访问控制，这一点对于电子商务企业和规范的建立是非常重要的。同时，在保证了网络访问控制安全的基础上，NetEye的入侵检测产品还可以为电子商务的各个参与者提供更为细致的攻击防护、访问日志，并且可以与NetEye防火墙实现联动，达到动态保障电子商务应用安全的要求。

??商务安全也可以通过网络安全技术来实现。早期的电子交易中，曾采用过一些简单的安全措施，例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知，以防泄密，网上交易后再用其他方式对交易做确认，以保证其真实性和不可抵赖性。这些方法操作不便，而且都有一定的局限性，不能实现真正的安全性。现在，商务安全的各个方面也通过不同的网络安全技术和安全交易标准来实现了。加解密技术保证了交易信息的保密性，也解决了用户密码被盗取的问题; 数字签名实现对原始报文完整性的鉴别，它与身份认证和审查系统一起，还杜绝了对交易的伪造和抵赖行为。在这方面，东软的NetEye VPN系列产品为用户提供了可靠的基于IPSec协议的加密传输解决方案。

??东软的NetEye VPN（SJW20网络密码机）是国内少数获得国家密码管理部门安审和检测通过的合格产品，是为用户解决电子商务中“交易安全”不可或缺的解决方案。它采用国际标准安全协议IPSec(IP Security )，对用户数据提供加密、完整性验证,并与身份认证系统一起，为信息传输提供安全保护。密钥协商协议采用IKE密钥协商和管理协议及基于PKI的密钥管理框架，参照X.509数字证书标准，实现安全可靠的密钥分发与管理。

??VPN网关采用的加密器件是国密办批准使用的高速硬件加密卡，对称加密算法及杂凑算法的密钥长度均为128位：采用1024位RSA公钥算法的数字签名进行VPN网关间的身份认证。该算法具有极高的安全强度，以128位的对称加密算法为例，如果采用穷举攻击，即使是每秒运算一万亿次的超级计算机也要计算三百亿亿年！

??同时这里需要强调的一点是: 目前很多大型企业，包括电信、电力、烟草等行业在构建电子商务解决方案时采用了国外的VPN产品，这一点是不符合国家相关文件规定的。国家曾经颁发了国务院273号令，明确任何企业、个人在使用加密产品时，必须使用获得国家密码管理机构认证的产品，而国外的任何密码、加密产品在国内是不允许使用和销售的，这说明使用了国外加密产品的企业，其电子商务解决方案具有很高的政策风险。

??东软作为网络安全解决方案提供者，提供了高科技含量的安全产品、专业的方案制作和全面周到的安全服务，能根据客户实际需求为其量身定做包含服务器安全、边界安全、网络安全和安全管理的解决方案，该方案不仅保证了电子商务系统的稳定和安全，能有效防止内部和外部的非法入侵，保证其7×24小时的不间断服务，同时也结合了安全电子交易协议（SET）的要求，为电子商务的商务交易安全性提供保障。

记者：这些安全问题一旦发作会对社会乃至国家造成什么样的影响？

梅丛银: 对企业而言当然是经济损失，比如我们现在做烟草行业的B2B，一笔交易小的几十万元，大的达到四五千万元。如果发生问题，企业一年的利润就全没了。当然对电子商务系统影响更大，因为客户没有信心了。

王虎: 举例来说，现在的烟草行业都在进行电子商务方面的建设和改造，原来烟草行业的网络上面运行的是少数的应用和无关紧要的数据，比如FTP、E-mail、HTTP等等；现在则不同了，在烟草行业的网络中会有资金流出现，同时还会有烟草企业、管理部门、使用者的个人信息和敏感数据。这部分数据如果泄漏，可能会受到竞争对手的攻击，如果被截获、篡改，那损失将无法估量。其他行业的电子商务也是一个道理。

记者：就目前的电子商务网络安全现状来讲，东软认为最好的解决办法是什么？

梅丛银：从技术方面来说，首先，依据企业对安全的目标要求和业务的重要程度，确定相应的安全基础设施: 简单的如防火墙，高级的应该建立行业或企业自身的PKI平台。从制度上来说，要有岗位职责分工，对电子商务应用按照重要性和优先级，定期进行内外的安全审计。

王虎：我认为电子商务是互联网应用的重要趋势之一，也是国际金融贸易中越来越重要的经营模式，以后会逐渐地成为我们经济生活中的一个重要部分。安全是保证电子商务健康有序发展的关键因素，也是目前大家十分关注的话题。从国内外的情况来看，电子商务发展的速度太快，致使其安全技术和安全管理跟不上，这是一个越来越突出的问题。电子商务的快速发展需要业界，特别是信息安全业快速地作出反应，否则安全方面的问题将会制约它的发展。现在不仅仅是发展中国家，就连美国这样的发达国家，电子商务在很多领域还是没有像其他传统商务那样发达，一个重要的原因就是安全问题。这就需要信息安全业的同行做出不懈的努力，不要因为安全问题而制约了电子商务的发展。

??电子商务的安全是一个大系统的概念，不仅仅是个技术性的问题，更重要的还有管理安全。我国的电子商务安全解决方案是需要电子商务架构者、安全技术提供者和电子商务使用者、受益者共同努力来完成的。东软可以在安全方面为用户提供更为精确、严密的解决方案，同时基于这些先进的技术和产品，东软遍布全国的分支机构和合作伙伴也将为用户提供面向电子商务的安全服务和支持，这一点是其他安全企业所不能做到的。

??全球的电子商务正向更高的层次过渡。不久的将来，电子商务将是信息流、商流、资金流和物流在互联网上的完整整合。也就是说，你可以从寻找客户开始，一直到洽谈、订货、在线付（收）款、开具电子发票以至到电子报关、电子纳税等交易的全过程，都通过Internet来实现。东软也希望在大家享受电子商务带给你乐趣的同时，能够为大家提供更为优秀的安全产品、技术和服务，从而打造安全、洁净的网络空间！