症结词:信息系统,网络安全,现状分析,限制因素,相干建议
引言
跟着信息化过程的深刻以及互联网的迅速发展,人们的工作、学习以及糊口方式正在产生巨大变化,效力大为提高,信息资源患上到最大程度的同享。但必需看到,紧随信息化发展而来的网络安全问题日渐凸出,如果不很好地解决这个问题,势必阻碍信息化发展的过程。
一、网络安全问题的发生
可以从不同角度对于网络安全作出不同的解释。1般意义上,网络安全是指信息安全以及节制安全两部份。国际标准化组织把信息安全定义为“信息的完全性、可用性、保密性以及可靠性”;节制安全则指身份认证、不可否认性、授权以及走访节制。
互联网与生俱有的开放性、交互性以及扩散性特征令人类所向往的信息同享、开放、灵便以及快速等需求患上到知足。网络环境为信息同享、信息交换、信息服务创造了理想空间,网络技术的迅速发展以及广泛利用,为人类社会的进步提供了巨大推进力。但是,恰是因为互联网的上述特性,发生了许多安全问题:
a)信息泄露、信息污染、信息不容易受控。例如,资源未授权侵用、未授权信息流呈现、系统谢绝信息流以及系统否认等,这些都是信息安全的技术难点。
b)在网络环境中,1些组织或者个人出于某种特殊目的,进行信息泄密、信息损坏、信息侵权以及意识形态的信息渗入,乃至通过网络进行政治等流动,使国家利益、社会公共利益以及各类主体的合法权益遭到要挟。
C)网络运用的趋势是全社会广泛介入,随之而来的是节制权扩散的管理问题。因为人们利益、目标、价值的分歧,使信息资源的维护以及管理呈现脱节以及真空,从而使信息安全问题变患上广泛而繁杂。
d)跟着社会首要基础设施的高度信息化,社会的“命根子”以及核心节制系统有可能面临歹意袭击而致使破坏以及瘫痪,包含国防通讯设施、动力节制网、金融系统以及政府网站等。
二、网络安全成为信息时期人类共同面临的挑战
美国前总统克林顿在签发《维护信息系统国家规划》的总统咨文中陈说道:“在不到1代人的时间里,信息革命和电脑进入了社会的每一1领域,这1现象扭转了国家的经济运行以及安全运作甚至人们的日常糊口方式,但是,这类美妙的新的代也带有它本身的风险。所有电脑驱动的系统都很容易遭到侵略以及损坏。对于首要的经济部门或者政府机构的计算机进行任何有规划的袭击均可能发生灾害性的后果,这类危险是客观存在的。过去敌对于气力以及恐怖主义份子毫无例外埠使用炸弹以及枪弹,现在他们可以把手提电脑变为有效武器,造成无比巨大的危害。如果人们想要继续享受信息时期的种种益处,继续使国家安全以及经济繁华患上到保障,就必需维护计算机节制系统,使它们免受袭击。”
在各领域的计算机犯法以及网络侵权方面,不管是数量、手腕,仍是性质、范围,已经经到了使人咋舌的境地。据相关方面统计,目前美国每一年因为网络安全问题而遭遇的经济损失超过一七0亿美元,德国、英国也均在数10亿美元以上,法国为一00亿法郎,日本、新加坡问题也很严重。在国际刑法界罗列的现代社会新型犯法排行榜上,计算机犯法已经名列榜首。二00三年,CSI/FBI调查所接触的五二四个组织中,有五六%遇到电脑安全事件,其中三八%遇到一~五起、一六%以上遇到一一起以上。因与互联网连接而成为频繁袭击点的组织连续三年不断增添;遭遇谢绝服务袭击(DoS)则从二000年的二七%上升到二00三年的四二%。调查显示,五二一个接受调查的组织中九六%有网站,其中三0%提供电子商务服务,这些网站在二00三年一年中有二0%发现未经许可入侵或者误用网站现象。更使人不安的是,有三三%的组织说他们不知道自己的网站是不是遭到侵害。据统计,全世界平均每一二0s就产生一次网上入侵事件,黑客1旦找到系统的薄弱环节,所有用户均会遭殃。
三、我国网络安全问题日趋凸起
目前,我国网络安全问题日趋凸起的主要标志是:
a)计算机系统遭遇病毒沾染以及损坏的情况至关严重。据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒出现出异样活跃的态势。据二00一年调查,我国约七三%的计算机用户曾经沾染病毒,二00三年上半年升至八三%。其中,沾染三次以上的用户高达五九%,而且病毒的损坏性较大,被病毒损坏全体数据的占一四%,损坏部份数据的占五七%。
b)电脑黑客流动已经构成首要要挟。网络信息系统拥有致命的懦弱性、易受袭击性以及开放性,从国内幕况来看,目前我国九五%与互联网相联的网络管理中心都遭遇过境内外黑客的袭击或者侵入,其中银行、金融以及证券机构是黑客袭击的重点。
c)信息基础设施面临网络安全的挑战。面对于信息安全的严峻形势,我国的网络安全系统在预测、反映、防范以及恢复能力方面存在许多薄弱环节。据英国《简氏战略讲演》以及其它网络组织对于各国信息防护能力的评估,我国被列入防护能力最低的国家之1,不但大大低于美国、俄罗斯以及以色列等信息安全强国,而且排在印度、韩国以后。最近几年来,国内与网络有关的各类背法行动以每一年三0%的速度递增。据某市信息安全管理部门统计,二00三年第一季度内,该市共遭遇近三七万次黑客袭击、二.一万次以上病毒入侵以及五七次信息系统瘫痪。该市某公司的镜像网站在一0月份一个月内,就受到从外部一00多个IP地址发起的歹意袭击。
d)网络政治流动频繁。最近几年来,国内外反动权势应用互联网组党结社,进行针对于我国党以及政府的非法组织以及串连流动,猖獗频繁,屡禁不止。特别是1些非法组织有规划地通过网络渠道,宣扬异教邪说,企图扰乱人心,扰乱社会秩序。例如,据媒体报导,“”非法组织就是在美国设网站,应用无国界的信息空间进行反政府流动。
四、制约提高我国网络安全防范能力的因素
当前,制约我国提高网络安全防御能力的主要因素有下列几方面。
四.一缺少自主的计算机网络以及软件核心技术
我国信息化建设进程中缺少自主技术支持。计算机安全存在3大黑洞:CPU芯片、操作系统以及数据库、网关软件大多依赖进口。信息安全专家、中国科学院高能物理钻研所钻研员许榕生曾经1针见血地点出我国信息系统的要害:“咱们的网络发展很快,但安全状态如何?现在有良多人投良多钱去建网络,实际上其实不清楚它只有1半根基,建的是没有防范的网。有的网络参谋公司建了良多网,市场布好,但建的是裸网,没有维护,就像房产公司盖了良多楼,门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管装备以及软件基本上是舶来品,这些因素使我国计算机网络的安全机能大大降低,被认为是易窥视以及易打击的“玻璃网”。因为缺少自主技术,我国的网络处于被窃听、干扰、监视以及欺诈等多种信息安全要挟中,网络安全处于极懦弱的状况。
四.二安全意识稀薄是网络安全的瓶颈
目前,在网络安全问题上还存在不少认知盲区以及制约因素。网络是新生事物,许多人1接触就忙着用于学习、工作以及文娱等,对于网络信息的安全性无暇顾及,安全意知趣当稀薄,对于网络信息不安全的事实认识不足。与此同时,网络经营者以及机构用户重视的是网络效应,对于安全领域的投入以及管理远远不能知足安全防范的请求。整体上看,网络信息安全处于被动的封堵漏洞状况,从上到下普遍存在侥幸心理,没有构成主动防范、踊跃应答的全民意识,更没法从根本上提高网络监测、防护、响应、恢复以及抗击能力。最近几年来,国家以及各级职能部门在信息安全方面已经做了大量努力,但就规模、影响以及效果来说,迄今所采用的信息安全维护措施以及有关规划还不能从根本上解决目前的被动局面,整个信息安全系统在迅速反映、快速行为以及预警防范等主要方面,缺乏方向感、敏感度以及应答能力。
四.三运行管理机制的缺点以及不足制约了安全防范的力度
运行管理是进程管理,是实现全网安全以及动态安全的症结。有关信息安全的政策、规划以及管理手腕等终究都会在运行管理机制上体现出来。就目前的运行管理机制来看,有下列几方面的缺点以及不足。
a)网络安全管理方面人材匮乏:因为互联网通讯本钱极低,散布式客户服务器以及不同种类配置不断出新以及发展。按理,因为技术利用的扩大,技术的管理也应同步扩大,但从事系统管理的人员却常常其实不具备安全管理所需的技巧、资源以及利益导向。信息安全技术管理方面的人材不管是数量仍是水平,都没法适应信息安全形势的需要。
b)安全措施不到位:互联网愈来愈拥有综合性以及动态性特色,这同时也是互联网不安全因素的缘由所在。但是,网络用户对于此缺少认识,未进入安全就绪状况就急于操作,结果致使敏感数据暴露,使系统遭遇风险。配置不当或者过时的操作系统、邮件程序以及内部网络都存在入侵者可应用的缺点,如果缺少周到有效的安全措施,就没法发现以及及时查堵安全漏洞。当厂商补钉或者进级软件来解决安全问题时,许多用户的系统不进行同步进级,缘由是管理者未充沛意想到网络不安全的风险所在,未引发注重。
c)缺少综合性的解决方案:面对于繁杂的不断变化的互联网世界,大多数用户缺少综合性的安全管理解决方案,稍有安全意识的用户愈来愈依赖“银弹”方案(如防火墙以及加密技术),但这些用户也就此发生了虚假的安全感,慢慢丧失警惕。实际上,1次性使用1种方案其实不能保证系统1劳永逸以及高枕无忧,网络安全问题远远不是防毒软件以及防火墙能够解决的,也不是大量标准安全产品简单碓砌就能解决的。最近几年来,国外的1些互联网安全产品厂商及时应变,由防病毒软件供应商转变成企业安全解决方案的提供者,他们接踵在我国推出多种全面的企业安全解决方案,包含风险评估以及漏洞检测、入侵检测、防火墙以及虚拟专用网、防病毒以及内容过滤解决方案,和企业管理解决方案等1整套综合性安全管理解决方案。
四.四缺少轨制化的防范机制
不少单位没有从管理制!度上树立相应的安全防范机制,在整个运行进程中,缺少行之有效的安全检查以及应答维护轨制。不完美的轨制滋生了网络管理者以及内部人士本身的背法行动。许多网络犯法行动(特别是非法操作)都是由于内部联网电脑以及系统管理轨制疏于管理而患上逞的。同时,政策法规难以适应网络发展的需要,信息立法还存在至关多的空白。个人隐私维护法、数据库维护法、数字媒体法、数字签名认证法、计算机犯法法和计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。因为网络作案手腕新、时间短、不留痕迹等特色,给侦破以及审理网上犯法案件带来极大难题。
五、对于解决我国网络安全问题的几点建议
就政府层面来讲,解决网络安全问题应该尽快采纳下列几点建议:
a)在国家层面上尽快提出1个拥有战略目光的“国家网络安全规划”。充沛钻研以及分析国家在信息领域的利益以及所面临的内外部要挟,结合我国国情制订的规划能全面加强以及指点国家政治、军事、经济、文化和社会糊口各个领域的网络安全防范体系,并投入足够的资金加强症结基础设施的信息安全维护。
b)树立有效的国家信息安全管理体系。扭转原来职能不匹配、堆叠、交叉以及互相冲突等不公道状态,提高政府的管理职能以及效力。
c)加快出台相干法律法规。扭转目前1些相干法律法规太笼统、缺少操作性的现状,对于各种信息主体的权力、义务以及法律责任,做出明晰的法律界定。
d)在信息技术特别是信息安全症结产品的研发方面,提供全局性的拥有超前意识的发展目标以及相干产业政策,保障信息技术产业以及信息安全产品市场有序发展。
e)加强我国信息安全基础设施建设,树立1个功能齐备、全局调和的安全技术平台(包含应急响应、技术防范以及公共密钥基础设施(PKI)等系统),与信息安全管理体系互相支持以及配合。
关键词:中小学网络安全
在自然资源相对短缺,设备、技术力量相对薄弱的情况下,信息的滞后也是影响中小学发展的一个主要因素。所以,中小学对计算机网络的需求已迫在眉睫。虽然存在着经济等各方面条件的制约,但是信息网络的建立能够促进中小学的发展,为中小学新产品的开发提供大量信息,提高中小学教职员工的知识水平和技术能力,丰富职工生活。
办公自动化的应用,可以极大地提高工作效率,减少重复劳动的工作量,节约一定的资金;产品和技术开发的现代化应用,可以极大地提高技术研发的速度和竞争能力;网络资源的共享,可以为中小学的生产、技术、继续教育学习提供丰富的资源。中小学的发展离不开这些业务的需求。网络建设目的是为了创造更多的效益和利润,相反,网络的不安全因素可能造成中小学机密的泄漏,网络系统受到破坏,数据文件遭到破坏等都会给中小学造成不同程度的损失。所以,必须把网络建设的需求和网络安全的需求摆在相同的位置。
1.解决中小学网络安全的整体措施
为了确保网络安全,应建立中小学网络安全管理规章制度,组织现有中小学的安全管理技术人员和网络安全管理人员,成立“安全管理监督机构”,负责审核“网络安全管理制度”、“网络安全检查制度”、“网络安全审计制度”和“安全日志登记制度”。在制度的保障下,实施以下安全措施。
(1)制定“分级安全策略”,即分层次制定安全实施策略,划分安全项目,细分安全存在的隐患,制定相应的解决对策,确定安全等级,建立安全检查表或安全检查数据库。基本表结构如表1.1所示。有条件的情况下成立安全小组,采用分工负责制。
(2)策略审核。对“分级安全策略”进一步采取实验进行验证,在初次系统安装和网络集成过程中,以审核的安全策略为标准,检测系统的安全性。在网络运行过程中,对发现的新的安全问题及时作出响应。了解网络技术动态和Internet上关于网络安全的最新报道,依据所获得的有关新的安全报道和安全实施策略,进一步鉴别并作出响应措施。针对每一个安全响应,及时更新和完善安全策略,为后续网络检测提供新的措施和方法。
(3)安全监控。利用现有和最新安全检测技术,如网络扫描、流量监控等,通过扫描报告或流量记录分析判断网络是否正常,及时发现网络存在的入侵或安全漏洞。安全扫描是网络安全防御中的一项重要技术,其原理是采用仿真黑客入侵的手法测试系统上有没有安全上的漏洞,对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告。
扫描器基本上包含以下三种类型:
端口扫描工具,如端口扫描器NMAP等,它不仅能检测操作系统类型,也支持隐藏性扫描。但不能检测漏洞。漏洞扫描工具,如web脆弱性扫描器Whisker2.0版。该工具检测己知的基于web技术的安全漏洞,如CGI、ASP等。新版本包括内置的SSL支持,易用性更强。
中小学级的分布式安全检测评估系统,如CCNNSScanner,能从浏览器直接提交申请,实现多扫描用户权限管理。最终得出的安全报告能协助系统管理员了解系统上的安全漏洞和如何去修补这些漏洞,并能提供本地下载的升级程序补丁。
(4)安全响应。针对发现的问题,分析和检查原因,找出解决的办法,及时作出安全响应。设计一系列安全响应的常规措施、办法和紧急处理办法,处理一般问题应保证网络的正常运行,对于造成较大或重大损失的安全问题,可采取切断与Internet连接的特殊手段。安全响应的速度要快,办法必须有利,措施必须得当。
(5)安全日志登记。安全日志登记是网络安全管理基本手段,定期(不超过一天)登记安全检查记录,对出现的不安全因素应及时登记,为后续的安全工作提供方便。
(6)跟踪最新网络安全技术。充分利用Internet网络技术资源,及时了解网络技术发展动态,特别是国家和权威网站提供的网络安全资料和技术解决方案,补充和完善网络自己的安全策略。为中小学用户提供安全通告和技术支持。如下列网站可提供相关的网络资料。
国家计算机病毒应急处理中心:省略.cn/
国家计算机网络入侵防范中心:省略.省略
瑞星反病毒咨询网:省略
(7)动态完善安全策略。完善安全策略是网络安全检测的一部分工作。根据新的安全问题和Internet最新安全信息,及时更新和完善网络安全策略,利用新的安全策略实施新的网络安全检测,采用更新完善策略―网络检测―再更新完善―再检测的动态安全检测机制。
2.安全防范方案设计
根据网络安全防范体系的基本原则,综合层出不穷的安全问题,我们设计了中小学网络安全动态实施流程,如图2所示。
本方案的核心是网络安全技术人员,即坚持以人为本的策略。对于网络安全设备性能相对弱的网络系统,实施这种多层次、多方位、动态的网络安全实施策略,能够使网络安全达到最优化。
在当前网络安全技术人员短缺的情况下,要保证中小学网络安全健康发展,必须注重安全意识。安全的核心在于人,中小学必须培养自己的安全技术人员,把安全的投资作为中小学网络建设投资的一部分是中小学网络安全的基础。
网络发展建设迫在眉睫,网络建设随后带来的安全性问题就成为一个艰巨而又长期的问题。而在目前网络管理安全技术人员短缺、安全意识相对淡薄的情况下,中小学要能够在网络建设初期或正在建设过程中尽早使教员工建立起网络安全意识,了解网络安全存在的威胁,就必须选拔和培养自己的技术人才。新的技术人员能够了解和掌握基本安全防范措施,制定适合本单位网络安全的安全实施计划,最大限度地避免和减少网络威胁给本单位带来的不必要的损失。本课题研究的目的和意义就是:在以上这些方面,为中小学网络建设及网络安全管理提供参考指导和帮助,同时,在一些安全技术上,给出分析和经过具体实践的解决方案。
随着计算机技术和网络技术的不断发展,网络安全的技术会不断提高,但是,网络的应用范围会更加广阔,网络入侵的途径也会增多,网络安全也会不断出现新的问题,作为在网络安全上负有一定责任的人,需要站在技术的制高点来面对一切入侵和挑战,才可能永不言败。
参考文献:
[1]朱新生,张杨.网上考试系统的研究和开发[J].辽宁大学学报:自然科学版,2007,34,(3):229-232.
[2]刘必雄.多校区高校学生管理系统设汁方案研究[J].福建电脑,2006,(8):68-159.
[3]段建详,蔡腾跃.IP网络安全若干技术研究及其应用.现代电信科技,2003.8.
[4]高正宪,李中学.Web环境下基于角色的访问控制策略及实现.计算机工程,2004.4.
[5]陈钟.信息与网络安全.北京大学信息学院.电子教材,2004.
1.1计算机病毒
计算机病毒,是指应用制定好的程序输入计算机中,对计算机的程序进行破坏,从而影响计算机的正常使用。与黑客相比较,计算机病毒的特性,更让人们烦恼。其本身不但具有破坏性,更具有传染性,就像普通的生物病毒一样,计算机病毒一旦被复制或者产生变种,其传染速度是难以想象的,一旦有一台计算机感染和其接触的各种移动设备也都将成为病毒网络安全威胁若干因素和安全技术研究文/张欣21世纪,是信息化的时代,是计算机网络应用加速发展的时代,在计算机网络走进千家万户的同时,随之而来的是网络安全问题。为了保证广大的网民可以有个安全良好的网络环境,专业人士应针对不同网络的安全问题给出相应的解决方案。使得大家都有安全可靠的网络环境。摘要的携带者,将病毒继续传播。除了传染性之外,计算机病毒的潜伏性也和生物病毒相似,其发作的时间是可以提前预定好的,就像生物病毒的潜伏期一样,在发病之前是不易被人们察觉的,具有极好的隐蔽性,但一旦病发,就是极其可怕的,将影响网络的正常应用。
1.2计算机软件漏洞
在长久的软件应用过程中,发现了许多漏洞,使得软件在使用过程中的安全性降低。这些缺陷是在软件开发编程时经过无数次的修改测试,仍然无法解决的问题。软件带着这些无法解决的遗留问题流入市场,被大家广泛应用,在享受这些软件带给大家生活乐趣的同时,有一些黑客会怀着恶意破坏的心里,利用这些漏洞,对网络进行破坏。有的也可能因为软件本身的漏洞太大,而直接自身成为计算机的一种安全威胁。
1.3计算机的配置不当
在普遍利用网络工作和生活的今天,有很多人,因为对于网络的认识只是表面的皮层认知,致使在使用过程中,给计算机配置不当的网络安全设置,例如有的防火墙就是不能很好的起到防护的作用是形同虚设的,这样就会在无意识中加大计算机的危险性,可能会引起不必要的安全性问题。
1.4使用者的安全意识薄弱
网络安全问题除了上述一些客观因素和主管专业性不强之外,还有一个很重要的因素是使用者没有相应的网络安全意识,不懂得网络和实际的生活一样,同样是需要大家提高警惕,在网络上与他人分享私人的信息,还有应用软件时输入一些信息口令,在大家无意识的做这些事情的同时,可能一些非法人事已经盗取了我们的信息,致使我们不必要的财产损失。
2网络的安全技术
既然网络上有诸多的安全问题,相对应的就会有解决的办法,下面就一一谈谈上述问题的安全技术解决方案。
2.1入侵技术检测
入侵检测是指,通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。就像一个监控器一样对不安全因素有实时监控的作用,可以快速及时的预防不安全因素对网络产生的破坏。
2.2杀毒软件应用
既然计算机病毒的出现,就有杀毒软件的应运而生。杀毒软件在大多数网络用户的计算机上都属于常用软件,人们使用起来都是比较方便快捷操作简单的,但正因如此,其杀毒的功能有限,只能针对于一些小型用户的普通病毒进行查杀,并不能很好的解决网络安全的问题,尤其是在电子商务飞速发展的今天,杀毒软件并不能很好的对网络起到保护性的作用。这就要求软件开发者不断的技术革新,研发出更适合现代网络的杀毒软件。
2.3防火墙安全技术
防火墙技术,最初是针对网络不安全因素采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。对于个人来说使用软件防火墙,就可以很有效的解决平时遇到的网络安全相关问题。防火墙可以对黑客起到很好的防护作用,但也并不是完全的抵御,要想实现真正的良好的环境,还应有其他的防护措施来保护网络的安全。
2.4数据加密安全技术
数据加密技术是指通过特定的网络密钥才能解开计算机,从而获得计算机的数据。通俗意义上说,就是给我们比较重要的数据加个私人密码,让外人在非指定的机器,没有密码的前提下无法获得我们的信息,从而对我们的数据起到一个保护的作用。而高级的密码也可以抵御黑客和病毒的入侵,使得我们的计算机网络处于一个相对安全的环境下,保证我们的良好网络环境。
3总结
关键词:信息系统,网络安全,现状分析,限制因素,相关建议
引言
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。但必须看到,紧随信息化发展而来的网络安全问题日渐凸出,如果不很好地解决这个问题,必将阻碍信息化发展的进程。
1、网络安全问题的产生
可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:
a)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。
b)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。
C)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。
d)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。
2、网络安全成为信息时代人类共同面临的挑战
美国前总统克林顿在签发《保护信息系统国家计划》的总统咨文中陈述道:“在不到一代人的时间里,信息革命以及电脑进入了社会的每一领域,这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式,然而,这种美好的新的代也带有它自身的风险。所有电脑驱动的系统都很容易受到侵犯和破坏。对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果,这种危险是客观存在的。过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹,现在他们可以把手提电脑变成有效武器,造成非常巨大的危害。如果人们想要继续享受信息时代的种种好处,继续使国家安全和经济繁荣得到保障,就必须保护计算机控制系统,使它们免受攻击。”
在各领域的计算机犯罪和网络侵权方面,无论是数量、手段,还是性质、规模,已经到了令人咋舌的地步。据有关方面统计,目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。2003年,CSI/FBI调查所接触的524个组织中,有56%遇到电脑安全事件,其中38%遇到1~5起、16%以上遇到11起以上。因与互联网连接而成为频繁攻击点的组织连续3年不断增加;遭受拒绝服务攻击(DoS)则从2000年的27%上升到2003年的42%。调查显示,521个接受调查的组织中96%有网站,其中30%提供电子商务服务,这些网站在2003年1年中有20%发现未经许可入侵或误用网站现象。更令人不安的是,有33%的组织说他们不知道自己的网站是否受到损害。据统计,全球平均每20s就发生1次网上入侵事件,黑客一旦找到系统的薄弱环节,所有用户均会遭殃。
3、我国网络安全问题日益突出
目前,我国网络安全问题日益突出的主要标志是:
a)计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。
b)电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
c)信息基础设施面临网络安全的挑战。面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。近年来,国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息安全管理部门统计,2003年第1季度内,该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。该市某公司的镜像网站在10月份1个月内,就遭到从外部100多个IP地址发起的恶意攻击。
d)网络政治颠覆活动频繁。近年来,国内外反动势力利用互联网组党结社,进行针对我国党和政府的非法组织和串联活动,猖獗频繁,屡禁不止。尤其是一些非法组织有计划地通过网络渠道,宣传异教邪说,妄图扰乱人心,扰乱社会秩序。例如,据媒体报道,“法轮功”非法组织就是在美国设网站,利用无国界的信息空间进行反政府活动。
4、制约提高我国网络安全防范能力的因素
当前,制约我国提高网络安全防御能力的主要因素有以下几方面。
4.1缺乏自主的计算机网络和软件核心技术
我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞:CPU芯片、操作系统和数据库、网关软件大多依赖进口。信息安全专家、中国科学院高能物理研究所研究员许榕生曾一针见血地点出我国信息系统的要害:“我们的网络发展很快,但安全状况如何?现在有很多人投很多钱去建网络,实际上并不清楚它只有一半根基,建的是没有防范的网。有的网络顾问公司建了很多网,市场布好,但建的是裸网,没有保护,就像房产公司盖了很多楼,门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品,这些因素使我国计算机网络的安全性能大大降低,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4.2安全意识淡薄是网络安全的瓶颈
目前,在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。与此同时,网络经营者和机构用户注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。总体上看,网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。近年来,国家和各级职能部门在信息安全方面已做了大量努力,但就范围、影响和效果来讲,迄今所采取的信息安全保护措施和有关计划还不能从根本上解决目前的被动局面,整个信息安全系统在迅速反应、快速行动和预警防范等主要方面,缺少方向感、敏感度和应对能力。
4.3运行管理机制的缺陷和不足制约了安全防范的力度
运行管理是过程管理,是实现全网安全和动态安全的关键。有关信息安全的政策、计划和管理手段等最终都会在运行管理机制上体现出来。就目前的运行管理机制来看,有以下几方面的缺陷和不足。
a)网络安全管理方面人才匮乏:由于互联网通信成本极低,分布式客户服务器和不同种类配置不断出新和发展。按理,由于技术应用的扩展,技术的管理也应同步扩展,但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。信息安全技术管理方面的人才无论是数量还是水平,都无法适应信息安全形势的需要。
b)安全措施不到位:互联网越来越具有综合性和动态性特点,这同时也是互联网不安全因素的原因所在。然而,网络用户对此缺乏认识,未进入安全就绪状态就急于操作,结果导致敏感数据暴露,使系统遭受风险。配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷,如果缺乏周密有效的安全措施,就无法发现和及时查堵安全漏洞。当厂商补丁或升级软件来解决安全问题时,许多用户的系统不进行同步升级,原因是管理者未充分意识到网络不安全的风险所在,未引起重视。
c)缺乏综合性的解决方案:面对复杂的不断变化的互联网世界,大多数用户缺乏综合性的安全管理解决方案,稍有安全意识的用户越来越依赖“银弹”方案(如防火墙和加密技术),但这些用户也就此产生了虚假的安全感,渐渐丧失警惕。实际上,一次性使用一种方案并不能保证系统一劳永逸和高枕无忧,网络安全问题远远不是防毒软件和防火墙能够解决的,也不是大量标准安全产品简单碓砌就能解决的。近年来,国外的一些互联网安全产品厂商及时应变,由防病毒软件供应商转变为企业安全解决方案的提供者,他们相继在我国推出多种全面的企业安全解决方案,包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案,以及企业管理解决方案等一整套综合性安全管理解决方案。
4.4缺乏制度化的防范机制
不少单位没有从管理制度上建立相应的安全防范机制,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为(尤其是非法操作)都是因为内部联网电脑和系统管理制度疏于管理而得逞的。同时,政策法规难以适应网络发展的需要,信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点,给侦破和审理网上犯罪案件带来极大困难。
5、对解决我国网络安全问题的几点建议
就政府层面来说,解决网络安全问题应当尽快采纳以下几点建议:
a)在国家层面上尽快提出一个具有战略眼光的“国家网络安全计划”。充分研究和分析国家在信息领域的利益和所面临的内外部威胁,结合我国国情制定的计划能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系,并投入足够的资金加强关键基础设施的信息安全保护。
b)建立有效的国家信息安全管理体系。改变原来职能不匹配、重叠、交叉和相互冲突等不合理状况,提高政府的管理职能和效率。
c)加快出台相关法律法规。改变目前一些相关法律法规太笼统、缺乏操作性的现状,对各种信息主体的权利、义务和法律责任,做出明晰的法律界定。
d)在信息技术尤其是信息安全关键产品的研发方面,提供全局性的具有超前意识的发展目标和相关产业政策,保障信息技术产业和信息安全产品市场有序发展。
e)加强我国信息安全基础设施建设,建立一个功能齐备、全局协调的安全技术平台(包括应急响应、技术防范和公共密钥基础设施(PKI)等系统),与信息安全管理体系相互支撑和配合。
20世纪90年代以来,依托于网络技术的“电子商务”从发达国家向发展中国家扩展,电子商务改变了传统商务的运行环境和运作模式,迅速成为产业经济新的增长点。电子商务是运用网络通讯手段所进行的商事法律行为,是基于网络特别是因特网发展起来的商事交易的新形式。它本质上仍是商务,只是在资讯媒介这一交易手段上有了创新,即以网络数据传递方式代替传统的纸介质的书面形式。因此,电子商务仍须严谨地按照传统交易规则进行。然而,基于网络带来的电子商务的特点却是:交易对象的盲目性和交易信息的虚拟性。这为网上真正开展交易带来了诸多问题,“信任与安全”问题直接构成电子商务健康发展的“瓶颈”。对于电子商务中安全和信用问题的解决,IT行业侧重于提升网络运行品质,更多关注的是黑客攻击、病毒防范,提出的口号是“技术解决一切”。随着对电子商务的深入研究,人们逐渐认识到,正如传统交易的信用环境建设尚且离不开相应的法规及制度,电子商务的信用与安全问题不仅仅是技术问题,而包含了制度层面的建设。由于电子商务的本质是商务,因此,它的交易主体、交易内容及履约方式必须符合现行法律的规定,电子合同同样必须满足《中华人民共和国合同法》的要求。电子商务交易的主体不仅与现实中的主体真实对应,而且所交易的货物履约支付的钱款也都是真实无虞的。传统商务的制度建设已相当完善,公证作为一项法律制度参与了传统商务的制度建设,在现代经济活动中已为当事人普遍认可。国家赋予公证人一种特殊的信誉与权威,根据我国民事诉讼法的相关规定,当事人提供给法院的各种证据中公证证据是最有效力的。所以,作为国家司法证明权在网络世界的延伸,公证服务应当而且必须在网络中展开,证明网上交易的主体身份、交易内容和监督网上的合约的履行,使电子商务能像传统交易一样在一个安全、信任的环境中正常有序地进行。1.“网络公证”提出的信用与安全解决方案公证有着其自身的严谨程序,依法进行相关证明活动,公证人本身是专业法律人员,被授予了国家证明权。公证作为一项法律制度延伸到网络之中解决电子商务的安全信用问题,构建电子商务的信用平台,从制度层面解决电子商务的发展“瓶颈”。鉴于网络的高技术性质,为了适应其特点,公证司法证明权在网上的实现,同样必须与网络技术相结合,有别于纸介质的书面证明方式,我们称之为“网络公证”(CyberNotary)。司法部网络公证课题研究组经过两年探索,提出了系统解决电子商务信任与安全的“网络公证”计划。2.“网络公证”针对电子商务所要解决的问题电子商务的信任与安全问题,如果从交易流程的三个环节来分析,主要表现在以下方面:(1)主体身份的问题网络是一个虚拟的世界,基于开放的网络交易环境,传统交易通常所要求的验证营业执照、法人资格等都已无法做到,网上身份与现实身份二者的联系有了间隙和分离。如何确认网络环境中电子商务一方当事人的真实身份成为电子商务开展的前提,交易对象的真实身份尚且都不敢确定,如何奢谈合约内容及判断履约能力。交易内容的证据基于网络中信息传递与记载数据电文的虚拟性,电子商务交易双方经邀约、承诺达成的电子合同这一系列的过程都在网络中实现,传统交易要求的“书面”及“签名”都已无法做到。一旦产生纠纷,各方据理力争明断是非所依赖的就是这样的“电子证据”。众所周知,电子信息非常脆弱,在传输保存的过程中也极易被截获窃取,更为重要的是究竟按照谁的电脑里记载的信息作为证据呢?(3)电子合同的支付传统交易中的信用环境下,支付双方尚且忧心忡忡,往往还会借助公证制度中的提存服务,何况是信用更为恶劣的网络环境呢?3.“网络公证”的解决方案(1)以CA(公证审核的),为基础解决身份确认①CA,电子身份证CA(CertificateAuthority)认证作为电子身份目前在世界各国被广泛采用。国外的诸多电子商务法律都认可了以PKI技术为核心的CA认证制度作为网络身份的解决方案。比如联合国贸法会的《统一电子签名法规则(草案)》、新加坡《电子交易法》等等。CA认证机构作为对电子商务当事人提供信用服务的受信赖的第三方,必须具备:独立的法律实体、具有中立性和可靠性、被交易当事人所接受、其营业目的是提供公正的交易环境等特点。②“网络公证”参与CA认证将对电子商务的全面发展起到不可替代的作用CA认证解决的是交易当事人之间的信用问题。由哪些实体来担任认证机构,则是每个国家和地区在发展电子商务时所必须做出的选择。西方一些国家尚且还在探讨授予纯商业企业CA认证资格在公正性方面的不足,而商业信用普遍低下的我国企业进入市场化竞争较晚,企业资产规模小、信用度普遍不高,况且我国一些CA机构本身构成了电子商务合同的一方,这在纠纷处理时从法律意义上讲是有失公允的。而公证机构凭借其专职进行法律证明的地位与经验,以及为大众所接受的优势参与CA认证业务,对于我国电子商务的普遍推广而言,具有一般企业提供的认证服务所不可替代的积极作用。CA认证体系在颁发电子证书过程中除去技术环节外,最关键的是RA(RegistrationAuthirity)审核程序——审验证书的特证主体与现实身份是否一致。只有对用户身份进行面对面的审核才能真正做到客观真实。国内目前部分CA中心虽也发放CA证书,但却并不审核其真实身份,使CA证书徒具电子身份证的虚名;一般企业或其他政府部门依法都不是身份证明的合适人选。所以“网络公证”强化了CA认证服务,其中的RA审核依托遍布全国的几千家公证处构成的中国公证网,由具有国家证明权的公证员完成。“网络公证”的RA审核系统也可以为目前国内已有的CA中心提供配套服务。网上证据(数据)备份 对于电子商务过程中的证据问题,“网络公证”将以拥有自主知识产权的“网上数据备份”这项服务加以解决。“网络公证”服务克服了电子环境程序立法滞后等困难。在使网上交易主体使用了前述的CA证书明确身份的前提下,其交易过程中的任何证据(表现为电子数据信息)通过基于PKI公钥体系的电子签名加密后,网络公证数据备份中心都可为其保全存储,一旦发生纠纷,由公证机构出具证明文件作为证据向相关裁决机构提交。(3)ESCROW网上提存服务ESCROW是在网上交易支付环节中的服务。简单地说,这项服务就是指电子商务的买卖双方在有了交易意向,但由于在线交易的原因而互相缺乏信任时,可以找到一个双方都信任的第三方——网络公证,买方将交易价款先提交给第三方监管,然后进入供货过程。如果货无问题,网络公证提存中心将价款付给卖方;如货有问题则买方退货而网络公证提存中心把价款返还买方。由于网络公证易被双方依赖和具有公信力,可以免除支付方对付款的担忧,从而推进电子商务的发展。总之,通过向网络主体在经过RA审核后发放CA电子身份证,解决了网上虚拟主体的真实身份及网上签名问题,并通过网络公证的数据备份中心为交易双方的网上电子合同提供了证据保全,最终以网上提存ESCROW为电子合同的履行提供网上支付信用服务。“网络公证”作为一个第三方法律服务平台,以其几个有机连结的在线服务系统、完整地解决了电子商务中的安全及信用问题,在虚拟的网络空间构建起一座沟通双方的真实桥梁。张晓丽
[关键词]电子商务网络capki
随着网络技术和信息技术的发展,电子商务已经被普通百姓所接受,它将逐步取代传统商务活动,并有可能彻底改变贸易活动的本质,形成一套全新的贸易活动框架。但由于多种原因,电子商务的安全性仍然得不到有效的保障。为了解决电子商务的安全问题,世界各国经过多年的研究,初步形成了一套比较完整的解决方案,即公开密钥基础设施pki(publickeyinfrastructure)。pki是基于公开密钥理论和技术建立起来的、提供信息安全服务的具有通用性的安全基础设施,可以保证网络通信、网上交易的安全。它采用证书进行公钥管理,通过
第三方可信任机构———认证中心ca(certificateauthority),把用户的公钥和用户的其他标识信息(如用户名、email地址、身份证号码等)捆绑在一起,从而实现用户身份的验证、密钥的自动管理等安全功能。而电子商务它本质上仍是商务,只是在资讯媒介这一交易手段上有了创新,即以网络数据传递方式代替传统的纸介质的书面形式。电子商务仍须严谨地按照传统交易规则进行。与传统交易模式相比较,除了利用了更为便捷高效的网络媒介手段外,整个交易流程没有改变,交易各方仍须经过互相确认身份、邀约及承诺、合约履行三个环节。
在商务活动中,公证司法证明权也必需在网上的实现,而这种在网络上进行的证明,有别于纸介质的书面证明方式,我们称之为“网络公证”(cybernotary)。
一、国内ca的现状
ca认证机构是电子商务发展的需要。各级ca认证机构的存在组成了整个电子商务的信任链。如果ca机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。自1998年国内第一家以实体形式运营的上海ca中心成立以来,全国各地、各行业已经建成了几十家不同类型的ca认证机构。从ca中心建设的背景来分,国内的ca中心可以分为三类:行业建立的ca,如cfca,ctca等;政府授权建立的ca,如上海ca、北京ca等商业性ca。不难看出,行业性ca不但是数字认证的服务商,也是其他商品交易的服务商,他们不可避免的要在不同程度上参与交易过程,这与ca中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言,行业性ca更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安ca认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性ca,除具有地域优势外,在推广应用和总体协调方面具有明显的优势,不过需要指出地区性ca离不开与银行、邮电等行业的合作。
二、国内ca存在的问题
在电子商务系统中,ca安全认证中心负责所有实体证书的签名和分发。ca安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言,ca的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够,都还存在一些问题。
1.在技术层面上
标准不统一,既有国际上的通行标准,又有自主研发的标准,这必将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。
2.在应用层面上
一些ca认证机构对证书的发放和审核不够严谨。从法理上讲这些审核人员不具备法律上所要求的审核证明人资格,也无法承担相应的法律责任;另一方面现在的ca中心本身往往也是交易或合同的一方,难免存在不公正性。在分布格局上,很多ca认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求,而就互联网而言,不应该也不可能存在地域限制。
三、认证的解决方案
在传统的商务贸易中,公证机构作为国家的证明机构,以交易信用的第三方中介行使国家证明权,其权威性与统一性历来为法律所确认。公证证明属国际惯例,中国加入wto后,在与国际法律制度的接轨中,公证机构的证明效力日益显现出来。正因如此,将权威的国家证明权引入虚拟的网络世界,实行网络公证能够彻底填补网络世界的法律真空,解决目前国内ca认证的弊端,使现实世界的真实性向网络世界延伸。
网络公证方案首先从网络身份的真实性证明入手,在确认网络主体的真实身份的基础上,对网络交易内容以公正的第三方的角度加以证据保全,对交易履约中的资金支付采用公证行业特有的第三方安全支付加以解决,因此,我认为网络公证方案是电子商务安全与信用的一个整体解决方案。
1.网络中真实身份审核的解决
一个安全、完整的电子商务系统必须建立一个完整、合理的ca安全认证体系。以pki技术为核心的ca证书能解决网络数据传输中的签名问题,日益显现出其确认网络主体身份的优越性。但是,在实际运作中,网络ca电子身份证书仍然为大家所怀疑。究其原因,关键在于网络中的ca证书持有人与现实世界中的真实身份是否一致并未得到彻底解决。如不解决这个前提,则用ca证书所做的任何签字将不产生任何法律效力,因为没有一个现实世界的主体与之相对应,并承担网上义务,而法庭更是无从受理。
纵观诸多国家的电子交易,数字证书的发放都不是依靠交易双方自己来完成,而是由一个具有权威性和公正性的第三方来完成,该第三方中介机构以提供公正交易环境为目的,应具有中立性。因此,银行所办的ca中心以及其他纯商业性的ca中心是不符合国际惯例的。一个身份认证必须满足两种鉴别需要:当面鉴别和网上鉴别。当面鉴别以生物特征为主,网上鉴别则以逻辑特征为主。在ca证书的发放中,最关键的环节是ra(registrationauthority)证书离线面对面审核,交易当事人最关心的基本信息,如网上的对方究竟是谁,真实的身份与信用状况如何等。然而,目前相当多的ca公司在实际操作中或多或少地存在随意性,并未建立起严格的审核要求与流程。申请数字证书的用户只要在网上将相关的表格随意填写后,即可从ca公司那里获得个人ca证书。异地申请的企业只要将相关资料盖上公章邮寄过去,并交足相关费用即可获得ca证书。造成这种状况的一个重要原因是:要在全国建立几千个面对面的审核点,目前还具有很大的难度,因而建立严格的审核流程是十分困难的。然而网络公证可以彻底解决这一困惑。网络公证可以将传统的公证证明应用到ca证书的身份审核上。其具体解决办法是:将遍布全国的数千家公证机构通过因特网联成一个统一的网络—中国公证网络,以实现将社会公众、公证客户、公证机构与公证相联结。也就是说,通过中国公证网,将遍布全国各地的公证机构有机地联在一起,彻底解决了异地审核的难度,并确保了网络身份的真实性。当用户需要申请ca证书时,即可到所在地的公证机构进行离线的面对面审核,也即ra审核。该审核严格按照公证机构的审核要求与流程进行,公证机构自然地对所审核的内容承担相应的法律责任,经过ra审核后的资料统一进入公证机构的中心数据库中进行安全存放。这样,经网络公证ra审核后所颁发的ca证书就自然地与其真实身份相对应,以后在电子商务交易中的网上签名行为即为其真实持有人所为。进行ra审核的人员不是普通公民,而是现行法律体系中承担法定审核工作的公证员,他们负有审核身份的法律责任,行使的是国家的证明权。由此可见,网络公证所构建的网络真实身份审核体系,可以与ca中心以及其他公司相配合,为其发放ca证书提供审核环节的服务,以解决其审核布点困难以及审核者身份不合法的问题。
就技术而言,ca在现阶段的应用已趋成熟,pki公钥管理体系也很实用。它通过给个人、企事业单位及政府机构签发公用密钥与私人密钥组成的数字证书,来确认电子商务活动中交易各方的身份,并通过加解密方法来实现网络信息传输中的签名问题,以确保交易安全性。
2.网络中的交易数据的安全保存
在确定网络身份后,交易双方就进入了实质谈判,以达成双方认可的条款。在传统交易中,协议的合同化过程是在书面合同上签字盖章,一旦交易双方日后在履约中出现争议,就可以以当初所签署的书面合同作为证据来解决存在的争议。与此对应,在虚拟的网络交易中,也必须能让虚拟的交易数据得以固化并在日后可能发生的纠纷中作为证据为法院所采证。网络公证方案可以采用的解决方法是提供第三方数据保管服务。当交易双方在网上达成协议后,各自用ca证书对合同进行加密签名,并将合同的电文数据内容提交到网络公证的数据保存中心。由于进行了加密签名,数据保存中心也无法打开并知悉当初的交易合同,这就真正确保了其安全性。事实上,由于第三方公正方的参与,使得电子商务交易得以在制度层面得到安全保障。交易双方一旦出现纠纷,通过解密打开的合同将由公证机构出具其保存的公证书证据。而公证文书在法庭上是可以作为证据直接被采纳的。
3.网上合同履行的提存服务
电子商务交易的信任危机除了主体身份确认危机、交易数据的证据危机外,网络交易履行中的支付信任更是阻碍网络交易发展的阻力。双方达成交易意向后,买家担心的是能否准确、及时地收到货物;卖家担心的是交了货后能否准确、快捷地收到货款。也就是说,网络交易双方共同关心着网络合同履行中的信用安全问题。网络公证可以依照传统的提存公证思路,结合网络技术展开网络提存业务。在网络电子商务交易中,买方不必将货款直接交付卖方,而是将货款提存到网络公证提存中心,在其收到货物并签署完相关单据后,提存中心再将货款支付给卖方。这样,网络公证提供的第三方提存服务彻底解决了网络交易双方对网上合同履行的困惑,尤其是支付的担忧。法律制度和传统贸易中早已有的公证提存方式对网络世界中的交易尤为适用。
可以预见,随着信息安全领域的标准化、法制化建设的日益完善,网络公证依托中国公证网络,运用公证的国家证明力所构建的第三方信用与安全服务以及网上合同履行的提存服务,将彻底解决网络交易主体对电子商务的信用问题,也必将极大地推动我国电子商务的发展。
四、小结
总之,通过向网络主体在经过ra审核后发放ca电子身份证,解决了网上虚拟主体的真实身份及网上签名问题,并通过网络公证的数据备份中心为交易双方的网上电子合同提供了证据保全,最终以网上提存电子合同的履行来提供网上支付信用服务。“网络公证”作为一个第三方法律服务平台,以其几个有机连结的在线服务系统、完整地解决了电子商务中的安全及信用问题,在虚拟的网络空间构建起一座沟通双方的真实桥梁。
参考文献:
[1]谭卫:电子商务中安全技术的研究[d].哈尔滨:哈尔滨工业大学,2006
[2]卢震宇戴英侠郑江:基于认证中心的多级信任模型的分析与构建仁[j].计算机工程,2001
[3]mclaughlin.l,holisticsecurityieeesecurityandprivacy3(3),2005