我國電子商務認證機構所面臨的風險及對策

1、●網(wǎng)絡經(jīng)濟《經(jīng)濟師》2003年第11期我國電子商務認證機構所面臨的風險及對策摘要：電子商務必將成為信息時代的主導商務模式，認證機構是電子商務必不可少的參與者，它的如何運作是個新課題。文章主要分析了電子商務認證機構所面臨的風險，并提出相應的對策。關鍵詞j電子商務認證機構風險對策中凰分類號：F71336文獻標識碼：A文章編號：1004—4914(2003)1l—134—021999年以來，網(wǎng)絡技術在我國推廣爭普及，電子商務、網(wǎng)上銀行和網(wǎng)上證

2、券交易也在我國得到迅猛發(fā)展。同樣，為解決網(wǎng)上交易的安全問題，打破電子商務發(fā)展瓶項，CFcA一中國金融認證中心、CTcA一中國電信CA中心、上海市電子商務安全證書管理中心、山西省電子商務安全認證中心等近30家認證機構鷹勢而生，先后擔負起我國電子商務安全運行的保駕護航責任。所以，電子認證機構是安全電子商務交易的核心環(huán)節(jié)，建設、完善、規(guī)范電子認證機構是我國開拓和規(guī)范電子商務市場必不可少的一步。一、數(shù)字證書和電子認證機構數(shù)字證書就是互聯(lián)網(wǎng)通訊中

3、標志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在互聯(lián)網(wǎng)上驗證身份的方式，其作用類似于司機的駕駛執(zhí)照或日常生活中的身份證。數(shù)字證書的格式遵循國際電信聯(lián)盟的ITUTx509標準。一個標準的X509數(shù)字證書包含以下內容：證書的版本信息；證書的序列號；證書所使用的簽名算法；證書的發(fā)行機構名稱；證書的有效期；證書所有人的名稱；證書所有人的公開密鑰；證書發(fā)行者對證書的簽名。數(shù)字證書是由一個具有權威性、公開性和唯一性的機構——電子認證機構，又稱為證書授

4、權(CertificateAuthority)中心發(fā)行的。作為電子商務交易中受信任的第三方，電子認證機構保證攻擊者不能偽造和篡改數(shù)字證書。它負責產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需要的數(shù)字證書，承擔對交易雙方身份(數(shù)字證書)合法性檢驗的責任，保證用戶之間在網(wǎng)上傳遞信息的安全、真實、可靠、完整和不可抵賴。認證機構為方便網(wǎng)絡用戶的使用，還必須在互聯(lián)網(wǎng)上構建自己的網(wǎng)站，提供在線的申請、登記、查詢、認證以及軟件升級等服務。當前，我國電子認

5、證機構主要可分為兩大類：一種是由政府授權的、具有獨立地位同時享有較多認證功能的認證服務中心。典型的如，上海市電子商務安全證書管理中心。作為上海市從事數(shù)字證書服務的專業(yè)公司，它充當了交易雙方驗證的第三方機構，不僅一134一要對進行電子商務交易的雙方負責，還負責整個交易秩序的管理。經(jīng)過2年的運營，上海CA在全國已擁有200個以上的受理網(wǎng)點和22萬個以上的企業(yè)和個人數(shù)字證書用戶。另一種是考慮到銀行等金融支付機構在電子商務活動中所體現(xiàn)的重要作用

6、，而圍繞銀行系統(tǒng)建立的金融性認證中心，它在提供身份證工作的同時也可以為用戶提供信用等方面的認證服務，如1999年2月由中國人民銀行牽頭加上12家國內銀行共同組建的中國金融認證中心。二、實行電子認證是安全電子商務的保證電子認證機構的安全體系是基于公開密鑰基礎設施(PublicKeyInfrastmcture)之上，RKI能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所必需的密鑰和證書管理，用戶可以利用PK】平臺提供的服務進行安全

7、通信，實現(xiàn)BtoC或BtoB。在整個電子商務活動中，認證機構是為交易雙方提供特殊服務的中立的第三方機構，它不僅要對進行電子商務交易的雙方負責，還要對整個電子商務的交易秩序和安全負責。根據(jù)公開密鑰體系密鑰分配規(guī)則，只有認證中心才能同時擁有買賣雙方的私密鑰(即解密密鑰)的備份，當買方使用賣方的公開密鑰(即加密密鑰)加密的文件，只有持有私密鑰的賣方和認證機構才能解讀。在這種加密體系下，由于密鑰是由Dl強或RSA算法產(chǎn)生的長達512位或1024

8、位的隨機數(shù)字，對于個人而言窮其一生也無法破解這么長的密鑰。即使有人獲得了某個加密電文，但由于沒有私鑰在而無法解讀；退一步說，即使某用戶的私鑰失控，只要交易另一方及時向認證機構確認數(shù)字簽名，就可能保證自己的利益。這樣，從整體上保證了整個交易信息傳輸?shù)陌踩?。三、電子認證機構風險的來源(一)來自技術方面的風險1電子認證機構業(yè)務依賴于完整地記錄每個客戶的信息，保證信息的完整和安全，即數(shù)字證書信息數(shù)據(jù)庫的安全。數(shù)字證書信息的丟失、損壞或篡改的后果

9、，對于個人來說可能會使用戶不能進行網(wǎng)上購物、支付、收發(fā)電子郵件等，給他帶來的總歸是一些生活上的不便，而對于一個公司或企業(yè)來說就不會那么簡單，也許是它的商譽，也許會涉及到一項重大交易的金額、時間、地點，總之是一些難以預料后果和損失的事件。所以，保證錄有客戶信息的數(shù)字證書數(shù)據(jù)庫的安全是認證機構生存的底線。2對于運行于終端用戶電腦上的加密軟件和控制加密計算機的有關口令、電子鎖和●邱思開IC卡等，在實際生活中比較容易成為犯罪分子攻擊的目標。如果

10、這些目標隨意放置，或者有關計算機的登錄口令過于簡單，就容易被人采用破解口令、復制電子鎖等手段，直接取得對加密計算機的控制，方便在網(wǎng)絡上實行假冒實際證書持有人實行非法活動。3來自十分活躍的網(wǎng)絡黑客和各類病毒的破壞。多數(shù)的網(wǎng)絡用戶安全防范意識和安全防范手段比較薄弱。他們會隨意登錄一些不可信的站點、經(jīng)常使用盜版軟件、盲目下栽各類程序，這些隨意性的行為，必然會給網(wǎng)絡黑客與病毒提供一次機會，從而導致計算機被黑客監(jiān)視或控制，喪失對私密鑰的控制權。4

11、加密與解密永遠是處于互相競爭、互相發(fā)展的狀態(tài)中。有資料表明，在1995年花100萬美元就能制造出一臺在35小時里破譯56位密鑰的DEc算法的計算機。根據(jù)摩爾定律：大約每18個月計算機的計算機能力就翻一番。這意味著每5年價格就會下降到原來的lO％，2000年就只用花10萬美元。想想1995年我們使用的是什么計算機而現(xiàn)在呢計算機運算能力質的飛躍發(fā)展，給密鑰的安全帶來了考驗。(二)拓展數(shù)字證書業(yè)務帶來的風險1輕率地向證書申請人發(fā)放證書。我們想

12、象得到第三人將信賴認證機構所頒布的證書，相信證書對證書持有人的描述。這種信任從根本上影響到第三人對證書持有人的判斷，并且可以肯定的是第三人將基于這種判斷對自己與某證書持有人的關系采取相應的行動。如果，認證機構有關申請證書的條件及策略有漏洞，或者對證書申請人提供的身份、資信等沒有進行認真地審查，或者由于業(yè)務擴展的需要進行“圈人”。草率地向申請人發(fā)放證書，這樣不但會損害第三人的利益，更會損害認證機構的信譽。2不合理地中止或撤銷證書。對用戶證

13、書的中止或撤銷應采取謹慎的態(tài)度。認證機構應及時撤銷那些因私密鑰被盜而無法保證安全的證書，以防止第三人冒用用戶的名義進行交易。當然，認證機構應有能力阻止惡意的入侵者，保證受攻擊證書的安全，不能杯弓蛇影，倉促地撤銷用戶的證書。對于第三人有質疑投訴的證書持有人的證書，應予以中止以保護第三人的利益。3認證機構還應對證書規(guī)定一個有效期，保證能應付日益發(fā)展的計算機技術，并在有效期到來之前為用戶更換證書保證用戶能連續(xù)地使用證書。使證書持有人利益不應因

14、證書的失效而受到損失。(三)數(shù)字證書被不當使用帶來的風險1證書持有人或假冒證書持有人實施的惡意行為。就像法律不能禁止犯罪的發(fā)生一萬方數(shù)據(jù)《經(jīng)濟師》2003年第1l期●網(wǎng)絡經(jīng)濟樣，認證機構也不能禁止證書持有人利用證書實施詐騙的行為，而且也不能有效地制止網(wǎng)絡犯罪集團對私密鑰的攻擊，非法竊取證書持有人的證書，假冒持有人身份進行違法犯罪行為。可以說這種風險是普遍存在的，而且利益受到侵害的人往往是對認證機構信任的第三人，最終事情發(fā)展有可能影響到認

15、證機構的利益和信譽。2證書管理人員可能實施的惡意行為。管理是一個非常重要的因素。管理方面存在的漏洞往往蘊藏著極大的風險和隱患。所以，認證機構在管理上必須制定嚴格的策略。四、電子認證機構防范風險的對策(一)要努力打造一個高質量、可信賴的電子認證機構1認證機構要實行嚴格的從業(yè)人員的準入機制，建立一支高素質的業(yè)務隊伍。從業(yè)人員素質的好壞，直接關系著認證機構業(yè)務的成敗。我們可以從兩個方面來考慮。一方面，我們要求人員達到一定的文化教育程度能夠支持

16、整個認證系統(tǒng)的正常運轉，特別是熟悉法律和計算機的人才；另一方面，我們要考慮從業(yè)人員必須具有良好的個人品質與心理素質，培養(yǎng)他們良好的職業(yè)道德素質。在實踐中應當禁止曾觸犯諸如詐騙、瀆職等刑事犯罪者進入這一領域。2認證機構要基于社會公益的目的，建立嚴格的證書審查頒發(fā)程序。認證機構是向社會成員提供認證服務的特殊機構，為保持其中立的地位，認證機構應是一個非盈利的或是微利的部門，這樣才能在競爭激烈的網(wǎng)絡世界中，公平、公正地對待每一位用戶的申請。不可

17、否認只有基于公益的目的，認證機構才能在發(fā)展用戶的過程中堅持應有的原則，實行嚴格充分的審查程序，不因其經(jīng)濟或其它的原因而盲目地發(fā)展用戶，造成濫竽充數(shù)的局面，從而影響到整個電子認證的質量。3認證機構要對證書實行相應的分級制度、規(guī)范權利義務。我們可以針對不同需求的證書申請人，提供不同檔次服務等級的證書，向其指明應享有的權利范圍和應當履行的義務。只要在認證機構框架范圍內存在多重或多個認證機構，每個機構都支持一種或多種不同程度的服務，用戶就可根據(jù)

18、不同的需求，向特定的認證機構提出申請，滿足實際使用的要求。當然，認證機構要向用戶聲明或應該讓用戶清楚證書的等級與認證機構所承擔的責任范圍有著緊密的聯(lián)系。比如，在用于銀行提供的用網(wǎng)上支付的證書等級，就一定高于中國電信開通的提供電子郵件認證的證書等級。對比兩者，它們在登記程序、核實方式、證書申請人的義務以及認證機構的責任程度上，都有著很大的差異。4認證機構要完善其內部的管理機制。認證機構其經(jīng)營的成功與否，很大一部分取決于內部員工的素質與努力

19、。認證機構建立嚴格的制度來規(guī)范每位員工的行為。例如：建立機房的安全制度，對于敏感崗位的操作，必須進行身份識別和采用多人控制的方式；建立完善的授權機制，對不同崗位的員工的操作進行分割授權，形成相互制約的體系確保有關證書的信息不能完全地暴露在某個成員之下。千里之堤，毀于蟻穴，細致嚴格的內部約束機制，有助于認證機構和每個員工的健康發(fā)展。(二)要積極穩(wěn)妥地開展電子認證工作，充分發(fā)揮電子認證機構在電子商務活動中的作用1堅持統(tǒng)一歸口的管理機制，保證

20、認證機構的權威。我們覺得應該用法律的形式確定：認證機構應具備的條件和資格。政府主管在審核及批發(fā)許可證時，應嚴格按照這些(上接第133頁)在市場競爭中爭取更大的主動權，從而提高企業(yè)的競爭力都將起到至關重要的作用。2服務機制的創(chuàng)新。服務機制的不健全是導致服務水平低下的重要原因。比如服務程序不完整、流程不清晰、體制不完善或服務任務不明確等都會導致服務質量的低下。這時企業(yè)需要服務運作機制的創(chuàng)新，服務運作創(chuàng)新要求建立起以“技術為業(yè)務服務，后臺為前

21、臺服務”的全方位服務支撐系統(tǒng)，理順各個關系，建立規(guī)范化的服務業(yè)務處理流程，提高服務效率和水平。同時企業(yè)需要相應的監(jiān)督機制的創(chuàng)新，要不斷完善服務監(jiān)督機制，逐步采用定量化的服務質量評價方法，加強考核，不斷提高從業(yè)人員的服務素質。3特色化服務的創(chuàng)新。服務已成為增強企業(yè)競爭力的重要手段，在電子商務發(fā)展過程中，各種特色化服務將會層出不窮，需要每一個企業(yè)勤于探索，勇于實現(xiàn)。判斷一項特色化的服務是否可行可參照三個標準：是否有利于維護客戶的利益，是否有

22、利于企業(yè)的發(fā)展，是否有利于員工服務的提高。符合其中～條就可大膽嘗試。4目前客戶服務中存在的一些問題。(1)對待老客戶的服務策略認識不足。老客戶對企業(yè)的作用十分重要，因為老客戶的重復購買可以縮短購買周期，減少企業(yè)各種不確定因素，降低營銷費用，擴大宣傳面，為企業(yè)提供真實的產(chǎn)品信息等等。研究表明：老客戶的再次購買率提高5％，企業(yè)利潤就可增加25％以上。而目前從事電子商務的很多商家往往對老客戶們的重視程度不夠，認為不斷發(fā)掘新的客戶群，服務好新的

23、客戶才是企業(yè)立足市場的根本，甚至于有些企業(yè)對待老客戶的服務態(tài)度180度的轉彎，非常冷淡。但殊不知，據(jù)美國市場營銷學會的統(tǒng)計，如果老客戶因為這樣那樣的原因，棄你而去時，老客戶至少會向11個人述說條件執(zhí)行，做到有法可依，從實體和程序上保證認證機構的合法性。同時，國家應盡早統(tǒng)一認證機構的設立工作。建立起大而一統(tǒng)的國家級認證機構，切實維護認證機構的權威性。2加強商密的研究，發(fā)展自有知識產(chǎn)權，增強認證機構鼬抗風險性。認證機構的核心技術是密碼投術i

24、沒有密碼技術的支持，網(wǎng)絡傳榆的任何文件將沒有安全可言，任何電子簽名也就不是唯一的，電子商務也失去了賴以生存的土壤。不斷發(fā)展實用安全的密碼技術是保持電子商務生機活力的重要源泉。不能否認密碼技術發(fā)展最快、應用最廣泛的國家是美國，但我們也不要忘記，美國是不允許出口自己破譯不了或者理論上破譯不了的密碼技術的。靠進口密碼技術等于讓別人扼住自己的喉嚨，所以，我們應立足于本國發(fā)展自有知識產(chǎn)權的密碼技術，保證電子商務在中國安全健康地發(fā)展下去，確保整個國

25、民經(jīng)濟體系的安全運行。(三)加強立法進度和執(zhí)法力度，規(guī)范認證機構的發(fā)展1加快立法工作，明確電子認證機構的法律地位。2加大和強化現(xiàn)有法律的管理范圍。3按照Wm規(guī)則設立電子認證機構盡早實現(xiàn)電子認證工作與國際接軌。參考文獻：1周忠海主編電子商務法導論北京郵電大學出版社2田文英，宋亞明。王曉燕編著電子商務法概論西安交通大學出版社(作者單位：中共福建省委黨校福建福州350001)(責編：賈偉)對你企業(yè)的不滿。這一統(tǒng)計結果表明：這種情況對你開發(fā)新客

26、戶帶來了極大的負面影響，對于網(wǎng)絡這種資訊傳遞快捷的新載體而言，老客戶對一個企業(yè)的“殺傷力”更是會讓你始料不及。服務老客戶不是件容易的事。據(jù)調查，老客戶背離的原因：25％是尋找到更好的產(chǎn)品，10％是找到更便宜的產(chǎn)品，20％是因為缺乏個人關注，45％是缺乏幫助。(2)網(wǎng)站設計存在的問題。網(wǎng)絡建設和網(wǎng)站設計是企業(yè)電子化客戶服務中的一個重要環(huán)節(jié)，是提供高效率、高質量客戶服務的關鍵之一。然而目前不少的網(wǎng)站存在著一些問題：一是對客戶服務沒有進行深度

27、的設計；二是忽略了提供相關的服務，造成輕視客戶的感覺；三是企業(yè)網(wǎng)站沒有專門的客戶幫助欄目或者導購指南，與客戶的溝通方式也很少。(3)企業(yè)缺乏全球化戰(zhàn)略思想。電子商務客觀上為企業(yè)走向國內外市場創(chuàng)造了條件，但真正利用網(wǎng)絡開拓國際市場的企業(yè)現(xiàn)在還非常少。服務業(yè)是世界上最大的經(jīng)濟產(chǎn)業(yè)，目前我國服務業(yè)占GDP總量的三分之一左右，并且正在逐年增長，相信隨著中國經(jīng)濟的發(fā)展，我國的服務業(yè)也將會在GDP中占有更大的比重。企業(yè)的客戶服務包括服務理念、服務機