前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的驗證電子合同的有效方法主題范文,僅供參考,歡迎閱讀并收藏。
摘要:電子簽名不同于傳統(tǒng)的簽名,表現(xiàn)為特殊的形式,它從內部保證了電子合同的效力安全;電子認證及認證機構則是從外部來確保合同關系的存在。為了保護交易安全,應對電子合同的簽名和認證予以法律規(guī)制。
一、電子合間引發(fā)的簽名及認證的新問題
隨著信息高速公路和因特網(wǎng)技術的迅速普及,電子郵件、電子數(shù)據(jù)交換等現(xiàn)代通訊手段在商務交易中的廣泛應用,合同以一種新的形式即電子合同的形式出現(xiàn),并迅速發(fā)展成為電子商務活動的一種重要工具和載體。電子合同利用信息技術改變了傳統(tǒng)的貿易觀念和方式,同時也引發(fā)了一系列新的法律問題,在此就與安全有關的電子簽名和電子認證問題做些討論。
第一,電子簽名與合同安全。眾所周知,電子合同是通過網(wǎng)絡中的數(shù)據(jù)交換來傳遞信息的,其賴以存在的介質是電腦硬盤或軟盤的磁性介質,它不同于傳統(tǒng)的書面合同是將信息記載或附著于一定的物質載體(紙)_L。由于電子合同的“無紙性”,對其進行傳統(tǒng)意義上的親筆簽字即在文件上寫上當事人的名字或蓋章顯然是不可能的。因此我國《合同法》第33條規(guī)定,電子合同的成立應以在確認書上簽章為要件。但如果在現(xiàn)實中每簽訂一份電子合同都要事先簽訂一份確認書且在確認書上進行簽章,那么將無法發(fā)揮電子合同快捷、低成本的優(yōu)點,電子合同就失去了存在的意義和價值。而另一方面,簽名在法律上的意義就在于證明及確認某項意思表示或法律文件之成立、生效以及內容的確實性。川為了保證交易安全,確認當事人的身份及合同內容,簽名對于電子合同來說又是必不可少的一個重要環(huán)節(jié)?,F(xiàn)實對傳統(tǒng)的簽名提出了挑戰(zhàn)。
第二,電子認證與合同安全。由于網(wǎng)絡具有虛擬性的特點,使得電子合同雖有與傳統(tǒng)合同相同的法律效果,卻始終是不同于傳統(tǒng)合同的。交易雙方甚至往往是相互陌生的,互相不確定真實身份及真實意圖,即使交易雙方是在一定的信任基礎上進行交易,網(wǎng)絡中的交易信息在傳輸存儲交換過程中被刪改、竊取、攔截等情況也會發(fā)生,不能通過有效途徑或有關無利害關系的第三方通過認證,保證信息的可靠性、可用性、完整性、保密性、不可抵賴性,就會導致當事人責任不明,阻礙交易的進行或不利于糾紛的解決,電子交易就會處于相當脆弱的境地,其發(fā)展的余地可想而知。安全是電子合同的生命之所在,沒有安全,就不可能有電子合同的存在與廣泛應用,而電子合同的安全性主要體現(xiàn)在簽名和認證上。因此,有必要對電子合同的簽名及認證問題進行研究,找到一種切實可行的辦法來解決由電子合同引發(fā)的安全間題。
二、電子簽名在我國法律上的確認
關于電子簽名(electronicsi,ature),國外及國際組織或是從簽名形式的角度,或是從法律意義的角度闡述了電子簽名的含義。筆者認為,電子簽名簡言之就是指以電子形式存在,依附于電子文件,并與其邏輯相關,可用來辨識電子文件簽署者身份及表示簽署者同意電子文件內容者。
電子簽名本身是一種電子數(shù)據(jù),儲存在計算機硬盤或軟盤中,極易被修改或破壞,且不會留下痕跡,而書面簽章可以向法庭提交初始文件,因而電子簽名的證明力不如書面簽章;在電子交易中,當事人一方可能同時擁有多個電子簽名,可能在不同的系統(tǒng)中使用不同的電子簽名,不如書面簽名那樣具有唯一性。盡管電子簽名在這些方面遜色于傳統(tǒng)的簽名,但它滿足了電子合同快捷的要求,其存在的價值在現(xiàn)代交易中得以體現(xiàn)。因此,不妨先認可電子簽名的可應用性,然后找到一種依賴于高新技術的安全可靠的方式以及完善的制度設計來增加對電子簽名的信任度和安全感。
縱觀各國立法或條例,其中都涉及到了電子簽名的概念、效力問題。我國香港、臺灣地區(qū)對此也有相關的規(guī)定。反觀我國大陸,無論立法,還是司法解釋,都未涉及電子簽名,我國《合同法》顯出了它的滯后性。筆者建議在《合同法》或司法解釋中對電子簽名的概念、種類、效力等基本問題作出規(guī)定,使之更有利于指導實踐。具體應涉及以下幾個方面:
第一,電子簽名的概念。適用一個新的概念之前,首先應清楚其具體含義。電子簽名主要包含了三層憊思:(l)電子簽名是以電子形式存在的;(2)電子簽名能確認電子合同的內容:(3)當事人通過電子簽名表明其身份,并表明接受合同項下的權利義務,繼之表明愿意承擔可能產生的合同責任。
第二,電子簽名的種類。目前電子簽名的主要方式是以非對稱密鑰體系為荃礎建立起來的數(shù)字簽名,但不可否認還有其它簽名形式的存在,如PIN碼等,以及今后可能會出現(xiàn)的更先進的簽名方式。在法律中不能只規(guī)定流行的做法,應考慮到在現(xiàn)實基礎上的技術的多樣性及可能性。電子簽名離不開技術的支持,而技術由于人類認識世界和改造世界的能力的不斷提高也是不斷進步和完善的。從某種意義上來說,后出現(xiàn)的技術優(yōu)于先出現(xiàn)的技術,也包括攻擊破壞技術。如果法律只規(guī)定現(xiàn)今廣泛應用的技術,則不能適應新環(huán)境下對安全性的要求)為此,法律必須不斷修改以適應新的需求,如此必將犧牲法律的穩(wěn)定性和權威性。另外,法律的單一性規(guī)定可能會妨礙其他技術的應用,導致壟斷、歧視。因此,法律需要在電子簽名的種類問題上保持中立我國應采取折衷的方法,一方面規(guī)定電子簽名的一般效力,允許運用以任何技術為基礎的電子簽名,保持技術的中立性;另一方面.又對所謂的“安全電子簽名”(即數(shù)字簽名)作出特別規(guī)定,并建立配套的認證機制,與國際接軌。
第三,電子簽名的效力。有學者認為,根據(jù)“功能等同原則”,電子簽名具有與傳統(tǒng)簽名同等的法律效力。然而,電子簽名的法律效力并不是由原則來賦予的,要使電子簽名具有與傳統(tǒng)簽名同等的效力,只能通過立法的形式。就電子簽名的內涵而言,它與傳統(tǒng)簽名別無二致,只是表現(xiàn)形式不同而已。在電子交易中,只要能使用一種方法來鑒別電子意思表示的發(fā)端人并證實發(fā)端人認可了該電子意思表示的內容,即可達到簽字的基本法律功能。國外電子商務的相關立法或正在提交審議的草案中均承認了電子簽名的效力。為了便于國際領域的商務活動,法律應該承認電子簽名的效力。
三、電子認證制度在我國的建立
通過電子簽名,從實體法角度來講,確保了合同的有效成立,確定了合同的內容以及當事人的身份和愿受合同約束的意思表示;從訴訟法角度來講,保證了合同因簽名而具有的證明當事人交易關系的能力。然而,電子簽名只是從內部為當事人提供了數(shù)據(jù)信息安全性的保障。如果有人盜用電子簽名進行交易以達到其詐騙的目的,如果交易一方否認合同義務而不予履行,那么合同另一方當事人仍是處于危險之中的,交易信用安全仍然岌岌可危。因而,從外部對當事人合同關系進行切實有效的保護以及對電子簽名、當事人身份、合同內容等信息的真實性進行證明顯得尤為重要。此種外部保護就是由不涉及合同利益的第三方公平地對交易信息的真實性主要是當事人電子簽名真實性進行證明,它依賴于電子認證以及認證機構。
電子認證是指電子商務認證機構(CertifieationAuthority,簡稱CA)對電子簽名及其簽署者的真實性進行驗證的過程。我國信息產業(yè)部《電子商務認證機構管理辦法》征求意見稿將CA定義為:為在電子商務活動中的有關各方提供數(shù)字身份證書服務的獨立法人單位。電子認證包括站點認證、數(shù)據(jù)信息認證、當事人身份認證等。CA能提供比較易于使用的手段,使依賴證書的當事人得以證實:信息認證人的身份;用以鑒定簽名持有人身份的方法;對使用簽名目的方面的任何限制;簽名是否有效以及是否已失密。
電子合同的有效運作離不開認證及CA,沒有CA的認證,電子合同交易的安全性就無從得到保障,當事人對交易對方的信任也無法建立,整個電子商務活動就會因為得不到人們的信任而無法進行下去。要使整個認證體系及認證活動受人信賴,使通過認證程序頒發(fā)的電子簽名證書被廣泛應用于電子合同交易中,CA的建立與完善問題首當其沖。這就涉及到CA的功能與機構設置問題。
第一,功能方面。目前,在世界范圍內CA的主要功能都是接收注冊請求,處理、批準或拒絕請求,頒發(fā)證書,以此達到對內防止否認,對外防止欺詐。J3]在認證體系中,CA應該是一個受單個或多個用戶信任的,提供電子簽名及用戶身份驗證的第三方機構。CA應該具備這樣的特征:(1)它是獨立的法律實體,以全部財產對外承擔責任;(2)它具有中立性,提供的是一種信用服務;(3)它的運作是為了建立或保證一個公正的交易環(huán)境。在具體的電子合同場合,CA扮演著一個買賣雙方簽約、履約的監(jiān)督管理以及合同關系證明的角色。
在功能方面的建立及完善措施主要是規(guī)定CA的義務,明確CA的責任。從義務的角度來看,主要是明確CA的信息披露、數(shù)據(jù)保護、安全保密、歇業(yè)安排等的基本義務。比如,CA有義務確保自己作出的所有重大陳述,就其所知悉和所相信的最大程度而言是準確無誤與完整的。另外,所有的CA都必須強制取得許可證,非許可的CA將喪失電子簽名在證據(jù)法上的推定和相當優(yōu)惠的責任限制。從責任的角度來看,證書是電子交易的基礎,需要穩(wěn)定性和準確性,認證人對自己因疏忽或告知不實而導致的用戶損失與第三人損失,都應當負賠償責任。通過義務及責任體系的建立及完善,將使CA的功能得到極大限度的發(fā)揮,也有利于電子交易活動中對電子簽名的信任感的建立。
第二,機構設置方面。CA的建設機制可分為樹形驗證結構與邦聯(lián)結構。日隊我國當前實際考察,宜采用樹形結構,建立一個獨立于所有行業(yè)、所有交易的全國性的權威認證機構,由這樣一個機構制定認證行業(yè)的統(tǒng)一運作規(guī)則,包括認證機構的人員、組織形式、營運章程等,并向下級CA發(fā)放根證書。目前,由人行牽頭、組織12家商業(yè)銀行聯(lián)合共建的中國金融認證中心(CFCA)建設已取得重大進展,認證體系一期工程建設已宣告結束,相繼向全國的商業(yè)銀行、商業(yè)用戶和個人發(fā)放證書。毫無疑問,在CFCA建設運營的基礎上發(fā)展國家根CA是可行的,國家根CA將來為全國其他所有的CA(包括金融CA與第三方CA)發(fā)放根證書,并對全國的認證機構進行監(jiān)管。它的中立性、權威性將保證電子商務的深人發(fā)展,也將有利于保障電子合同的安全。
總之,從某種意義上來說,電子簽名主要是用于數(shù)據(jù)電訊本身的安全,使之不被否認或篡改,是一種技術手段上的保證;而電子認證,則主要應用于交易關系的信用安全方面,保證交易人的真實與可靠,是一種組織制度上的保證,不管從哪方面來說,都有利于電子合同的安全。電子簽名和認證的價值也得到了體現(xiàn)。因而,在立法中對它們作出相關的規(guī)定勢在必行。
參考文獻:
曾更瑩.網(wǎng)際網(wǎng)路上運用電子簽名所步及法律問題研究[J]·中國臺灣:萬國法律,1997(4).
蔣建平,楊毅.電子合同的效力問題[J].律師世界,l999(11).
梅紹祖·電子商務法律規(guī)范[M]北京:清華大學出版社,2000,68.
關鍵詞:電子商務;身份認證;防火墻
中圖分類號:TP3 文獻標識碼:A文章編號:1009-3044(2008)30-0559-02
A Brief Analysis on the Security Strategy of E-business
WANG Gai-xiang
(Shanxi Professional College of Finance,Taiyuan 030008,China)
Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.
Key words:E-business; identity authentication; firewall
1 引言
電子商務可以增加銷售額并降低成本的優(yōu)勢,使得政府與企業(yè)都十分重視并推動電子商務的建設和發(fā)展。電子商務發(fā)展到今天,主要問題在于時空的分離導致了安全問題的出現(xiàn),信息的安全性是當前發(fā)展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務系統(tǒng)開發(fā)的先進技術和經驗,開發(fā)出符合企業(yè)特殊的電子商務系統(tǒng),已經成為目前發(fā)展電子商務的關鍵,而安全體系的構建顯得尤為重要。
2 電子商務的主要安全要素
目前電子商務工程正在全國迅速發(fā)展。實現(xiàn)電子商務的關鍵是要保證商務活動過程中系統(tǒng)的安全性,即應保證在基于Internet的電子交易轉變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看,傳統(tǒng)的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網(wǎng)絡來聯(lián)系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現(xiàn),電子商務交易雙方(銷售者和消費者)都面臨安全威脅,電子商務的安全要素主要體現(xiàn)在以下幾個方面:
2.1 信息真實性、有效性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業(yè)或國家的經濟利益和聲譽。
2.2 信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的,商業(yè)防泄密是電子商務全面推廣應用的重要保障。
3.3 信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統(tǒng)應充分保證數(shù)據(jù)傳輸、存儲及電子商務完整性檢查的正確和可靠。
3.4 信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統(tǒng)的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據(jù)等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在1nternet上每個人都是匿名的,電子商務系統(tǒng)應充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。
3 電子商務安全系統(tǒng)
網(wǎng)絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩(wěn)定可靠,能不中斷地提供服務。任何系統(tǒng)的中斷,如硬件、軟件錯誤,網(wǎng)絡故障、病毒等都可能導致電子商務系統(tǒng)不能正常工作,而使貿易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
所以就整個電子商務安全系統(tǒng)而言,安全性可以劃分為四個層次,
1) 網(wǎng)絡節(jié)點的安全
2) 通訊的安全性
3) 應用程序的安全性
4) 用戶的認證管理
其中2、3、4是通過操作系統(tǒng)和Web服務器軟件實現(xiàn),而網(wǎng)絡節(jié)點的安全性依靠防火墻保證,我們應該首先保證網(wǎng)絡節(jié)點的安全性。
3.1 網(wǎng)絡節(jié)點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內部網(wǎng)之間建立起一個安全網(wǎng)關,從而保護內部網(wǎng)免受非法用戶的侵入,它其實就是一個把互聯(lián)網(wǎng)與內部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法 ,防火墻能夠有效地監(jiān)視網(wǎng)絡的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統(tǒng)。 應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規(guī)定的網(wǎng)絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及管理制度等。所有有可能受到網(wǎng)絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設。
3.2 通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。 目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發(fā)。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發(fā)機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協(xié)商一個對稱算法及密鑰,然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出進入安全狀態(tài)的提示。
3.3 應用程序的安全性
即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令,特權程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權。 訪問控制系統(tǒng)中沒有什么可以檢測到這些問題 。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問題一樣的錯誤。
3.4 用戶的認證管理
1) 身份認證
電子商務企業(yè)用戶身份認證可以通過服務器CA證書與IC卡相結合實現(xiàn)的。CA證書用來認證服務器的身份,IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
2) CA證書
要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性,需要一份數(shù)字證書進行驗證,這份數(shù)字證書就是CA證書,它由認證授權中心(CA中心)發(fā)行。認證中心(CA)就是承擔網(wǎng)上安全交易認證服務,能簽發(fā)數(shù)字證書,并能確認用戶身份的服務機構。認證中心通常是企業(yè)性的服務機構,主要任務是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發(fā)放數(shù)字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時進行)。
3) 安全套接層SSL協(xié)議
安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
摘要:隨著互聯(lián)網(wǎng)的全面普及,基于Internet 開展的電子商務已逐漸成為人們進行商務活動的新模式,越來越多的企業(yè)和個人通過Internet 進行商務活動,電子商務的發(fā)展前景十分誘人,而商業(yè)信息的安全是電子商務的首要問題。
關鍵詞:電子商務;身份認證;防火墻
一、引言
電子商務可以增加銷售額并降低成本的優(yōu)勢,使得政府與企業(yè)都十分重視并推動電子商務的建設和發(fā)展。電子商務發(fā)展到今天,主要問題在于時空的分離導致了安全問題的出現(xiàn),信息的安全性是當前發(fā)展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務系統(tǒng)開發(fā)的先進技術和經驗,開發(fā)出符合企業(yè)特殊的電子商務系統(tǒng),已經成為目前發(fā)展電子商務的關鍵,而安全體系的構建顯得尤為重要。
二、電子商務的主要安全要素
目前電子商務工程正在全國迅速發(fā)展。實現(xiàn)電子商務的關鍵是要保證商務活動過程中系統(tǒng)的安全性,即應保證在基于Internet的電子交易轉變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看,主要體現(xiàn)在以下幾個方面:
1.信息真實性、有效性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業(yè)或國家的經濟利益和聲譽。
2.信息機密性
電子商務作為貿易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的,商業(yè)防泄密是電子商務全面推廣應用的重要保障。
3.信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。
4.信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統(tǒng)的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據(jù)等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。
三、電子商務安全系統(tǒng)
網(wǎng)絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩(wěn)定可靠,能不中斷地提供服務。任何系統(tǒng)的中斷,如硬件、軟件錯誤,網(wǎng)絡故障、病毒等都可能導致電子商務系統(tǒng)不能正常工作,而使貿易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
1.網(wǎng)絡節(jié)點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內部網(wǎng)之間建立起一個安全網(wǎng)關,從而保護內部網(wǎng)免受非法用戶的侵入,它其實就是一個把互聯(lián)網(wǎng)與內部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。
2.通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128 位。為在瀏覽器和服務器之間建立安全機制,SSL 首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發(fā)。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發(fā)機構提供的基礎公共密鑰(PKI)。建立SSL 鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL 鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。
3.應用程序的安全性
即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
四、安全管理
為了確保系統(tǒng)的安全性,除了采用上述技術手段外,還必須建立嚴格的內部安全機制。對于所有接觸系統(tǒng)的人員,按其職責設定其訪問系統(tǒng)的最小權限。按照分級管理原則,嚴格管理內部用戶賬號和密碼,進入系統(tǒng)內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶賬號和密碼。
五、結束語
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統(tǒng)遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統(tǒng)的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業(yè)的健康快速發(fā)展,必須在實際運用中解決電子商務中出現(xiàn)的各類問題,使電子商務系統(tǒng)相對更安全。
參考文獻:
[1] 吳洋.電子商務安全方法研究[D].天津大學.2006
[2] 李艷.電子商務信息安全策略研究[J].甘肅科技.2005.06
要理解什么是電子簽名,需要從傳統(tǒng)手工簽名或蓋印章談起。在傳統(tǒng)商務活動中,為了保證交易的安全與真實,一份書面合同或公文要由當事人或其負責人簽字、蓋章,以便讓交易雙方識別是誰簽的合同,保證簽字或蓋章的人認可合同的內容,在法律上才能承認這份合同是有效的。而隨著互聯(lián)網(wǎng)應用的越來越成熟,在電子文件上,傳統(tǒng)的手寫簽名和蓋章是無法進行的,這就必須依靠IT技術手段來替代。
電子認證與電子簽名
從法律上講,簽名有兩個功能: 即標識簽名人和表示簽名人對文件內容的認可。聯(lián)合國貿發(fā)會的《電子簽名示范法》中對電子簽名做如下定義: “指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)它可用于鑒別與數(shù)據(jù)電文相關的簽名人和表明簽名人認可數(shù)據(jù)電文所含信息”; 在歐盟的《電子簽名共同框架指令》中就規(guī)定: “以電子形式所附或在邏輯上與其他電子數(shù)據(jù)相關的數(shù)據(jù),作為一種判別的方法”稱為電子簽名。而我國《電子簽名法》對電子簽名的定義: “是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)。根據(jù)這一定義,能識別簽名人身份的電子簽名方法可能有很多種,比如: ID/口令、指紋識別、虹膜/網(wǎng)膜識別和形態(tài)識別等等。但是,用這樣一些電子簽名手段,只能進行人的身份識別,即《電子簽名法》中定義的電子認證。但不能做到在《電子簽名法》中對電子簽名的全面要求: 即在識別簽名人身份的同時,還要做到簽名人認可其中的內容。
從廣義上講,實現(xiàn)電子簽名的技術手段有很多種,但目前比較成熟的,世界先進國家普遍使用的電子簽名技術還是“數(shù)字簽名”技術。由于保持技術中立性是制訂法律的一個基本原則,因此,目前還不能說明公鑰密碼理論是制作簽名的惟一技術,因此有必要規(guī)定一個更一般化的概念以適應今后技術的發(fā)展。但是,目前電子簽名法中提到的簽名,一般指的就是“數(shù)字簽名”。所謂“數(shù)字簽名”就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名或印章,對于這種電子式的簽名還可進行技術驗證,其驗證的準確度是一般手工簽名和圖章的驗證無法比擬的。
電子簽名的一般實現(xiàn)方法
目前,實現(xiàn)電子簽名的方法有好多種技術手段,前提是在確認了簽署者的確切身份即經過電子認證之后,電子簽名承認人們可以用多種不同的方法簽署一份電子記錄。
1. 手寫簽名或圖章的模式識別
即將手寫簽名或印章作為圖像,用光掃描經光電轉換后在數(shù)據(jù)庫中加以存儲,當驗證此人的手寫簽名或蓋印時,也用光掃描輸入,并將原數(shù)據(jù)庫中的對應圖像調出,用模式識別的數(shù)學計算方法,進行二者比對,以確認該簽名或印章的真?zhèn)?。這種方法曾經在銀行會計柜臺使用過,但由于需要大容量的數(shù)據(jù)庫存儲和每次手寫簽名和蓋印的差異性,證明了它的不實用性,這種方法也不適用于互聯(lián)網(wǎng)上傳輸,是較原始和落后的方法。
2. 生物識別技術
生物識別技術是利用人體生物特征進行身份認證的一種技術,生物特征是一個人與他人不同的惟一表征,它是可以測量、自動識別和驗證的。生物識別系統(tǒng)對生物特征進行取樣,提取其惟一的特征進行數(shù)字化處理,轉換成數(shù)字代碼,并進一步將這些代碼組成特征模板存于數(shù)據(jù)庫中,人們同識別系統(tǒng)交互進行身份認證時,識別系統(tǒng)獲取其特征并與數(shù)據(jù)庫中的特征模板進行比對,以確定是否匹配,從而決定確定或否認此人。生物識別技術主要有以下幾種:
(1)指紋識別技術。每個人的指紋皮膚紋路是惟一的,并且終身不變,依靠這種惟一性和穩(wěn)定性,就可以把一個人同他的指紋對應起來,通過將他的指紋和預先保存在數(shù)據(jù)庫中的指紋采用指紋識別算法進行比對,便可驗證他的真實身份。在身份識別后的前提下,可以將一份紙質公文或數(shù)據(jù)電文按手印簽名或放于IC卡中簽名。但這種簽名需要有大容量的數(shù)據(jù)庫支持,適用于本地面對面的處理,不適宜網(wǎng)上傳輸,目前指紋簽名還做不到與數(shù)據(jù)電文內容相關聯(lián)。
(2)視網(wǎng)膜、虹膜識別技術。視網(wǎng)膜識別技術是利用激光照射眼球的背面,掃描攝取幾百個視網(wǎng)膜的特征點,代碼摸板存儲,經數(shù)字化處理后形成記憶模板存儲于數(shù)據(jù)庫中,供以后的比對驗證。視網(wǎng)膜是一種極其穩(wěn)定的生物特征,作為身份認證是精確度較高的識別技術。但使用困難,不適用于直接數(shù)字簽名和網(wǎng)絡傳輸,只能做到身份識別,還做不到與數(shù)據(jù)電文內容相綁定。虹膜識別技術: 紅外照射,取樣制作代碼摸板存儲,用時進行比對。這種簽名也只能是進行身份識別。
(3)聲音識別技術。聲音識別技術是一種行為識別技術,用聲音錄入設備反復不斷地測量、記錄聲音的波形和變化,并進行頻譜分析,經數(shù)字化處理之后作成聲音模板加以存儲。使用時將現(xiàn)場采集到的聲音同登記過的聲音模板進行精確的匹配,以識別該人的身份。這種技術精確度較差,使用困難,不適用于直接數(shù)字簽名和網(wǎng)絡傳輸。
以上這種身份識別的方法解決的都是“你是什么?”,“你是誰?”,適用于面對面的場合,不適用遠程網(wǎng)絡認證,不適合大規(guī)模人群認證。
3. 密碼、口令和個人識別碼。
這里是指用一種傳統(tǒng)的對稱密鑰加/解密的身份識別和簽名方法。甲方需要乙方簽名一份電子文件,甲方可產生一個隨機碼傳送給乙方,乙方用事先雙方約定好的對稱密鑰加密該隨機碼和電子文件回送給甲方,甲方用同樣對稱密鑰解密后得到電文并核對隨機碼,如隨機碼核對正確,甲方即可認為該電文來自乙方。這種方法解決的是“你知道什么?”。適于遠程網(wǎng)絡傳輸,但不適合大規(guī)模人群認證,因為對稱密鑰管理困難。但是,對加密的數(shù)據(jù)電文簽名人做不到認可。
在對稱密鑰加/解密認證中,在實際應用方面經常采用的是ID+PIN(身份惟一標識+口令)。即發(fā)方直接將ID和PIN發(fā)給收方,收方與后臺已存放的ID和口令進行比對,達到認證的目的。人們在日常生活中使用的銀行卡就是用的這種認證方法。這種方法解決的是“你有什么?”和“你知道什么?”。適用遠程網(wǎng)絡傳輸,但不安全,易被黑客竊取,只能簡單的身份識別,不適用于電子簽名。
4. 基于PKI的電子簽名
基于公鑰基礎設施PKI(Public Key Infrastructure)的電子簽名被稱做“數(shù)字簽名”。有人稱“電子簽名”就是“數(shù)字簽名”,這種說法是錯誤的。數(shù)字簽名是電子簽名的一種主要形式。因為電子簽名具有技術中立性,但也帶來使用的不便,法律上又對電子簽名做了進一步規(guī)定,如聯(lián)合國貿發(fā)會的《電子簽名示范法》和歐盟的《電子簽名共同框架指令》中就規(guī)定了“可靠電子簽名”和“高級電子簽名”,其目的就是規(guī)定了數(shù)字簽名的具體功能,這種規(guī)定使數(shù)字簽名獲得了更好的應用安全性和可操作性。目前,具有實際意義的電子簽名只有公鑰密碼理論。所以,目前國內外普遍使用的、技術成熟的、可實際使用的還是基于PKI的數(shù)字簽名技術。作為公鑰基礎設施PKI可提供多種網(wǎng)上安全服務,如認證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認性,其中都用到了數(shù)字簽名技術。
數(shù)字簽名的技術保障
1. 什么是數(shù)字簽名
數(shù)字簽名在ISO7498-2標準中定義為: “附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對數(shù)據(jù)單元所作的密碼變換,這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性,并保護數(shù)據(jù),防止被人(例如接收者)進行偽造”。美國電子簽名標準(DSS,F(xiàn)IPS186-2)對數(shù)字簽名做了如下解釋: “利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)計算所得的結果,用此結果能夠確認簽名者的身份和數(shù)據(jù)的完整性”。按上述定義PKI可以提供數(shù)據(jù)單元的密碼變換,并能使接收者判斷數(shù)據(jù)來源及對數(shù)據(jù)進行驗證,是數(shù)字簽名的技術保障。
PKI的核心執(zhí)行機構是《電子簽名法》中所定義的電子認證服務提供者,即通稱為認證機構CA(Certificate Authority),PKI簽名的核心元素是由CA簽發(fā)的數(shù)字證書。數(shù)字證書所提供的PKI服務就是認證、數(shù)據(jù)完整性、數(shù)據(jù)保密性和不可否認性。它的作法就是利用證書公鑰和與之對應的私鑰進行加/解密,并產生對數(shù)字電文的簽名及驗證簽名。數(shù)字簽名是利用公鑰密碼技術和其他密碼算法生成一系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名和印章。這種電子式的簽名還可進行技術驗證,其驗證的準確度是在物理世界中對手工簽名和圖章的驗證是無法比擬的。這種簽名方法可在很大的可信PKI域人群中進行認證,或在多個可信的PKI域中進行交叉認證,它特別適用于互聯(lián)網(wǎng)和廣域網(wǎng)上的安全認證和傳輸。
關振勝
中國建設銀行科技部副總工程師,高級工程師?,F(xiàn)受聘中國金融認證中心(CFCA)技術顧問、中國人民銀行“網(wǎng)上銀行發(fā)展與監(jiān)管工作組” 專家、亞洲PKI論壇(中國)委員、中國電子商務協(xié)會專家委員會專家、電子協(xié)會電子簽名專家委員會常委。主持領導設計、開發(fā)多個銀行大型應用系統(tǒng)。著作有“公鑰基礎設施PKI與認證機構CA”、“中國金融認證中心建設”、 “第四代語言INFORMIX 4GL”等。曾獲得科技進步獎一等、二等、三等獎。(如右圖)
2. 公鑰密碼技術原理
公開密鑰密碼理論是1976年美國發(fā)表的RSA算法,它是以三個發(fā)明人的名字而命名的,后來又有橢圓算法ECC,但常用的、成熟的公鑰算法是RSA。它與傳統(tǒng)的對稱密鑰算法有本質的區(qū)別,對稱密鑰算法常用的是DES算法,它具有一個密鑰,加/解密時用的是同一個密鑰。而公鑰算法利用的是非對稱密鑰,即利用兩個足夠大的質數(shù)與被加密原文相乘生產的積來加/解密。這兩個質數(shù)無論是用哪一個與被加密的原文相乘(模乘),即對原文件加密,均可由另一個質數(shù)再相乘來進行解密。但是,若想用這個乘積來求出另一個質數(shù),就要進行對大數(shù)分解質因子,分解一個大數(shù)的質因子是十分困難的,若選用的質數(shù)足夠大,這種求解幾乎是不可能的。因此,將這兩個質數(shù)稱為密鑰對,其中一個采用私密的安全介質保密存儲起來,不對任何外人泄露,所以簡稱為“私鑰”; 另一個密鑰可以公開發(fā)表,用數(shù)字證書的方式在稱之為“網(wǎng)上黃頁”的目錄服務器上,用LDAP協(xié)議進行查詢,也可在網(wǎng)上請對方發(fā)送信息時主動將該公鑰證書傳送給對方,這個密鑰稱之為“公鑰”。
公/私密鑰對的用法是,當發(fā)方向收方通信時發(fā)方用收方的公鑰對原文進行加密,收方收到發(fā)方的密文后,用自己的私鑰進行解密,其中他人是無法解密的,因為他人不擁有自己的私鑰,這就是用公鑰加密,私鑰解密用于通信; 而用私鑰加密文件公鑰解密則是用于簽名,即發(fā)方向收方簽發(fā)文件時,發(fā)方用自己的私鑰加密文件傳送給收方,收方用發(fā)方的公鑰進行解密。
但是,在實際應用操作中發(fā)出的文件簽名并非是對原文本身進行加密,而是要對原文進行所謂的“哈希”(Hash)運算,即對原文作數(shù)字摘要。該密碼算法也稱單向散列運算,其運算結果稱為哈希值,或稱數(shù)字摘要,也有人將其稱為“數(shù)字指紋”。哈希值有固定的長度,運算是不可逆的,不同的明文其哈希值是不同的,而同樣的明文其哈希值是相同并且惟一,原文的任何改動,其哈希值就要發(fā)生變化。數(shù)字簽名是用私鑰對數(shù)字摘要進行加密,用公鑰進行解密和驗證。
公鑰證書和私鑰是用加密文件存放在證書介質中,證書是由認證服務機構CA所簽發(fā)的權威電子文檔,CA與數(shù)字證書等是公鑰基礎設施PKI的主要組成機構和元素。
3. 認證機構CA
認證機構CA是PKI的核心執(zhí)行機構,是PKI的主要組成部分,一般簡稱為CA,在業(yè)界通常把它稱為認證中心。CA認證機構在《電子簽名法》中被稱做“電子認證服務提供者”。
根據(jù)《電子簽名法》中規(guī)定,國務院信息產業(yè)部據(jù)本法制定了《電子認證服務管理辦法》(中華人民共和國信息產業(yè)部令 第35號),并與2005年2月8日頒布。在該管理辦法中第五條第七項有關人員、技術、設備、密碼、安全和資金等,詳細規(guī)定了電子認證機構(CA)應具備的市場準入條件。
4. 數(shù)字證書
數(shù)字證書或稱電子證書簡稱為證書,它是PKI的核心元素,由認證機構服務者所簽發(fā),它是數(shù)字簽名的技術基礎保障; 它符合X?509標準,是網(wǎng)上實體身份的證明,證明某一實體的身份以及其公鑰的合法性,證明該實體與公鑰二者之間的匹配關系,證書是公鑰的載體,證書上的公鑰惟一與實體身份相綁定,并與其私鑰相對應。國家標準規(guī)定作為第三方提供電子認證服務的CA,其簽發(fā)證書機制一般應為雙證書機制,即一個實體應具有兩個證書,兩個密鑰對,一個是加密證書,一個是簽名證書,加密證書原則上是不能用于簽名的。用加密證書的公鑰加密,對應的私鑰解密,用于通信; 采用簽名證書的私鑰加密,對應的公鑰解密用于簽名。
證書在公鑰體制中是密鑰管理的媒介,不同的實體可以通過證書來互相傳遞公鑰,證書是由權威性、可信任性和公正性的第三方機構所簽發(fā)。因此,它是權威性電子文檔。
證書的內容主要用于身份認證、簽名的驗證和有效期的檢查。CA簽發(fā)證書時,要對證書內容進行簽名,以示對所簽發(fā)證書內容的完整性、準確性負責并證明該證書的合法性和有效性,將網(wǎng)上身份與該證書綁定。
鏈接:什么是PKI?
工程學家對PKI是這樣定義的: “PKI是一個用公鑰概念與技術來實施和提供安全服務的普遍適用的安全基礎設施。換句話說,PKI是一個利用非對稱密碼算法(即公開密鑰算法)原理和技術實現(xiàn)的并提供網(wǎng)絡安全服務的具有通用性的安全基礎設施”。它是一種遵循標準的利用公鑰加密技術為電子商務、電子政務、網(wǎng)上銀行和網(wǎng)上證券業(yè),提供一整套安全保證的基礎平臺。用戶利用PKI基礎平臺所提供的安全服務,能在網(wǎng)上實現(xiàn)安全地通信。PKI這種遵循標準的密鑰管理平臺,能夠為所有網(wǎng)上應用,透明地提供加解密和數(shù)字簽名等安全服務所需要的密鑰和證書管理。
電子商務可以增加銷售額并降低成本的優(yōu)勢,使得政府與企業(yè)都十分重視并推動電子商務的建設和發(fā)展。電子商務發(fā)展到今天,主要問題在于時空的分離導致了安全問題的出現(xiàn),信息的安全性是當前發(fā)展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務系統(tǒng)開發(fā)的先進技術和經驗,開發(fā)出符合企業(yè)特殊的電子商務系統(tǒng),已經成為目前發(fā)展電子商務的關鍵,而安全體系的構建顯得尤為重要。
2電子商務的主要安全要素
目前電子商務工程正在全國迅速發(fā)展。實現(xiàn)電子商務的關鍵是要保證商務活動過程中系統(tǒng)的安全性,即應保證在基于Internet的電子交易轉變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看,傳統(tǒng)的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網(wǎng)絡來聯(lián)系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現(xiàn),電子商務交易雙方(銷售者和消費者)都面臨安全威脅,電子商務的安全要素主要體現(xiàn)在以下幾個方面:
2.1信息真實性、有效性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業(yè)或國家的經濟利益和聲譽。
2.2信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的,商業(yè)防泄密是電子商務全面推廣應用的重要保障。
3.3信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統(tǒng)應充分保證數(shù)據(jù)傳輸、存儲及電子商務完整性檢查的正確和可靠。
3.4信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統(tǒng)的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據(jù)等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在1nternet上每個人都是匿名的,電子商務系統(tǒng)應充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。
3電子商務安全系統(tǒng)
網(wǎng)絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩(wěn)定可靠,能不中斷地提供服務。任何系統(tǒng)的中斷,如硬件、軟件錯誤,網(wǎng)絡故障、病毒等都可能導致電子商務系統(tǒng)不能正常工作,而使貿易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
所以就整個電子商務安全系統(tǒng)而言,安全性可以劃分為四個層次,
1)網(wǎng)絡節(jié)點的安全
2)通訊的安全性
3)應用程序的安全性
4)用戶的認證管理
其中2、3、4是通過操作系統(tǒng)和Web服務器軟件實現(xiàn),而網(wǎng)絡節(jié)點的安全性依靠防火墻保證,我們應該首先保證網(wǎng)絡節(jié)點的安全性。
3.1網(wǎng)絡節(jié)點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內部網(wǎng)之間建立起一個安全網(wǎng)關,從而保護內部網(wǎng)免受非法用戶的侵入,它其實就是一個把互聯(lián)網(wǎng)與內部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統(tǒng)。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規(guī)定的網(wǎng)絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及管理制度等。所有有可能受到網(wǎng)絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設。
3.2通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發(fā)。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發(fā)機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協(xié)商一個對稱算法及密鑰,然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出進入安全狀態(tài)的提示。
3.3應用程序的安全性
即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令,特權程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問題一樣的錯誤。
3.4用戶的認證管理
1)身份認證
電子商務企業(yè)用戶身份認證可以通過服務器CA證書與IC卡相結合實現(xiàn)的。CA證書用來認證服務器的身份,IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
2)CA證書
要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性,需要一份數(shù)字證書進行驗證,這份數(shù)字證書就是CA證書,它由認證授權中心(CA中心)發(fā)行。認證中心(CA)就是承擔網(wǎng)上安全交易認證服務,能簽發(fā)數(shù)字證書,并能確認用戶身份的服務機構。認證中心通常是企業(yè)性的服務機構,主要任務是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發(fā)放數(shù)字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時進行)。
3)安全套接層SSL協(xié)議
安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證,數(shù)字證書是從認證機構(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協(xié)議在應用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協(xié)議(如Http、Ftp、Telnet等)以保證應用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>
SSL協(xié)議握手流程由兩個階段組成:服務器認證和用戶認證。
①服務器認證
客戶端向服務器發(fā)送一個“Hello”信息,以便開始一個新的會話連接;服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;客戶根據(jù)收到的服務器響應信息,產生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器;服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進行加密來認證服務器,從而建立安全的通信通道。
②用戶認證
經認證的服務器發(fā)送一個提問給客戶,客戶則返回數(shù)字簽名后的提問和其公開密鑰,從而向服務器提供認證。SSL協(xié)議支持各種加密算法,實現(xiàn)簡單,獨立于應用層協(xié)議,且被大部分瀏覽器和Web服務器內置,便于在電子交易中應用。但SSL是一個面向連接的協(xié)議,起初并不是為了支持電子商務而設計的,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL協(xié)議不能協(xié)調各方面的安全傳輸和信任關系。為此,開發(fā)出了在網(wǎng)絡應用層中專為電子商務而設計的SET協(xié)議。
4安全管理
為了確保系統(tǒng)的安全性,除了采用上述技術手段外,還必須建立嚴格的內部安全機制。對于所有接觸系統(tǒng)的人員,按其職責設定其訪問系統(tǒng)的最小權限。按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統(tǒng)內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。
建立網(wǎng)絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志,以便及時發(fā)現(xiàn)潛在的安全威脅。
對于重要數(shù)據(jù)要及時進行備份,且對數(shù)據(jù)庫中存放的數(shù)據(jù),數(shù)據(jù)庫系統(tǒng)應視其重要性提供不同級別的數(shù)據(jù)加密。
企業(yè)檔案信息資產必須要確保其安全。一方面,要做好歷史檔案信息資源的數(shù)字化工作;另一方面,也要做好新入庫電子文件的數(shù)字化工作。對于歷史檔案信息資源,要與專門的掃描單位簽訂協(xié)議,進行批量掃描。在掃描過程中,會涉及到信息安全風險的問題。對于新入庫電子文件,則要保障電子文件與紙質文件的絕對一致性,由員工個人原因造成電子與紙質文件的不一致性,會給實際工作帶來安全隱患。針對如上問題:第一,對參與掃描工作人員的權限進行嚴格控制:簽訂保密協(xié)議、設置電腦權限;對企業(yè)參與圖像和信息驗收的員工:配備專門電腦和存儲空間、設置電腦權限和密碼、屏蔽USB和光盤接口、屏蔽刪除鍵;第二,在接收檔案信息資源入庫時,由檔案部門先接收電子文件,并檢查電子文件的標準化,然后再將電子文件打印成紙質文件,這樣避免了設計人員先歸紙質文件,再改電子文件而帶來的不一致性。
檔案信息的信息化技術中的安全保障
幾乎所有的檔案管理都會經歷手工管理、信息化管理、知識化管理這三個階段,這是檔案信息在網(wǎng)絡時代體現(xiàn)利用價值的內在需求。從手工管理過渡到信息化管理和知識化管理,使檔案信息價值得到了全方位的體現(xiàn),但是同時針對檔案信息安全所帶來的法律風險也會越來越多,所以要確保檔案信息系統(tǒng)的運行安全,加強對提供利用載體的管理,加強對檔案信息的拷貝與利用管理,對不同層級的信息使用者有所區(qū)別,通過技術手段防止拷貝資料再復制,措施如下:第一,利用企業(yè)自主開發(fā)或引進的加密軟件對檔案信息進行加密,只有在企業(yè)辦公環(huán)境及企業(yè)配備的電腦上才能正常打開使用,一旦脫離企業(yè)環(huán)境,對檔案信息的操作要提前進行申請,申請通過后,方可由技術人員解密;第二,所有對企業(yè)外部提供的檔案信息都必須是經過轉化的PDF或者TIFF格式的文件,原始的DWG文件不能直接提供,以保證檔案信息的不可更改性。提供給內部設計參考的檔案信息可以是DWG的,但是必須加密,統(tǒng)一在企業(yè)環(huán)境中使用,防止外泄。
人員管理中多級別權限和密碼管理的安全保障
為了保證檔案信息系統(tǒng)的安全,有必要加強對系統(tǒng)使用者的管理,加強對系統(tǒng)使用者使用權限的審核,并采用現(xiàn)代網(wǎng)絡技術對其網(wǎng)絡操作進行跟蹤與記錄。加強對使用過程中各種保密措施的管理,采用多級別權限和密碼管理,防止黑客或他人對檔案信息管理系統(tǒng)帶來的安全隱患:第一,支持檔案信息系統(tǒng)的電子文件在線閱覽功能,但是閱覽范圍和下載權限受限,要經過文件產生部門和檔案管理部門的審批才能解限;第二,對企業(yè)高尖端技術類別的檔案信息,必須要經過企業(yè)專門的保密委員會進行風險評估,審批同意后方可利用,并實行責任人負責制;第三,實行用戶登錄驗證制度,登錄檔案管理系統(tǒng)時,員工需要輸入自己的密碼進行驗證,驗證通過后才能進行事先設定好的權限范圍內的相關操作;第四,控制臺超時注銷,控制臺訪問用戶超過一段時間沒有對系統(tǒng)進行交互操作,設備將自動注銷本次操作臺配置任務,并切斷連接;第五,離職、退休人員離開工作崗位時,要進行檔案資料和使用設備交接手續(xù),相關部門和責任人確認檔案資料交接完成、使用設備上交后,方可同意該人員離開;第六,所有淘汰電腦,必須經過格式化,確保電腦內資料不可復原后,才可回收利用。
以管理為重點,建立檔案信息安全保障體系,加強法律風險的防控
在企業(yè)的管理上,檔案信息安全保障體系建立的重要意義是對法律風險隱患的“防”與法律風險發(fā)生后的及時“控”。
1.建立法律風險防控體系,從部門設置上確保檔案信息安全保障體系的牢固企業(yè)必須建立法律風險防控體系,即:成立專門的法律風險防控歸口管理部門,引進專門的法律專業(yè)人才,負責法律事務的評審和咨詢服務,定期提供企業(yè)范圍內的法律知識培訓和專題講座。聘請法律界資深律師作為專門的法律顧問,隨時參與和控制突發(fā)的重大法律問題;各部門配備兼職法律風險管理員,負責代表部門向法律歸口部門進行法律事務傳送。
2.突出管理重點,加強對合同法律風險的防控針對合同法律風險,在建立檔案信息安全保障體系時,以管理為重點,應采取以下措施:第一,收繳散落在各部門的合同印章,由法律歸口管理部門統(tǒng)一管理,法律歸口管理部門配備專門的人員負責合同印章的使用和安全;第二,建立規(guī)范的合同印章使用流程,企業(yè)上下必須嚴格按照此流程申請使用合同印章;第三,建立合同印章使用臺賬,每一個流程結束、合同印章使用完成后,當事合同必須完整歸檔一份合同原件,合同原件最終由法律歸口管理部門向檔案部門統(tǒng)一移交;第四,法律歸口管理部門以年度為單位,各種類合同的標準格式,并在企業(yè)范圍內統(tǒng)一使用,因特殊情況不能使用格式合同的,法律部門要對非標準格式合同進行評審;第五,不同類型的合同,確定由不同的評審部門參與評審,實行責任人責任制。
3.管理手段與時俱進,注重前端控制和過程管理檔案信息系統(tǒng)、企業(yè)協(xié)同辦公(OA)及門戶系統(tǒng)、ERP系統(tǒng)等信息化知識管理方式的引進,使企業(yè)的文件形態(tài)不斷從紙質向電子轉化,文件數(shù)量與日俱增、文件保存形式呈現(xiàn)立體多樣化的發(fā)展趨勢。在此背景下,檔案前端控制管理理論和實踐操作應運而生。前端控制管理提出將檔案的控制環(huán)節(jié)提前到文件生命周期的最初階段形成階段,并貫穿于文件生命周期的整個過程,這十分有利于減少企業(yè)合同電子文件信息和載體的安全隱患,對企業(yè)合同法律風險起到很好的防止和控制功能。
4.以人為本,加強員工的安全意識、法律意識、安全技能的培訓對員工的安全意識、法律意識、安全技能的培訓十分關鍵。人員的安全意識是與其所掌握的安全技能有關,而安全技能又與其所接受安全技能培訓有關。因此,人員的安全意識是通過培訓,以及技能的積累才能逐步提高。第一,定期開展企業(yè)信息安全、保密管理的相關培訓,加強管理人員的安全保密意識;第二,適時進行法律知識的宣傳和普及工作,例如:針對日益興起的海外合同,舉行《海外合同簽訂的注意事項和合同文本資料的保存》講座,促使員工形成良好的法律意識和收集保管資料的良好工作習慣;第三,進行相關的計算機網(wǎng)絡知識培訓,定期預報病毒信息和預防措施,定期企業(yè)IT運營周報,分析存在的問題和解決方法。
以法規(guī)標準為依托,建立檔案信息安全保障體系,加強法律風險的防控
首先,根據(jù)《GB/T22240-2008信息系統(tǒng)安全等級保護定級指南》和《GB/T22239-2008信息系統(tǒng)安全等級保護基本要求》,結合檔案信息系統(tǒng)的重要程度,確定檔案信息系統(tǒng)安全等級和安全需求,采取相應的安全技術和安全管理措施;同時依據(jù)《GB/T20984-2007信息安全風險評估規(guī)范》在檔案信息系統(tǒng)生命周期的不同階段進行過程風險評估,全面實現(xiàn)動態(tài)防御。其次,建立完善的檔案管理制度。從企業(yè)級制度和標準、QHSE管理體系、項目管理體系、部門內部詳細作業(yè)指導這5個方面建立起檔案管理制度保障體系。再次,從法律角度上,必須建立完善合同管理體制,從制度上對企業(yè)合同法律風險進行防控。制定相關的《合同印章管理規(guī)定》、《合同評審管理辦法》、《合同管理規(guī)定》等。
檔案信息安全保障體系建設存在的問題
雖然我國企業(yè)的檔案信息安全保障體系建設在技術、管理、和規(guī)范標準上已經取得明顯的成效,但還存在以下問題:1.檔案信息安全保障體系建設意識沒有得到全面重視。一方面,檔案信息安全保障體系建設比較明顯的體現(xiàn)在現(xiàn)代企業(yè)總部,對企業(yè)下屬的分子公司等控制力度不夠。2.目前檔案信息安全保障體系構建主要依賴于信息安全技術,且缺乏有效的安全管理和安全監(jiān)督機制,檔案信息系統(tǒng)隨時存在安全風險,只有通過科學、有效的管理和規(guī)范才能構建真正的檔案信息安全保障體系。
結語
以往專業(yè)而復雜的操作,比如衛(wèi)星定位、無線通話、收發(fā)郵件、照相攝影等,現(xiàn)在只需要一部不到千元的手機就可以簡單而快速地完成。雖然我們仍然癡迷于透著墨香的書本、晶瑩剔透的玉器,以及種種富有質感的美妙事物,但我們必須有所意識:這是個快速變化的世界,隨著互聯(lián)網(wǎng)和電子設備的廣泛運用,人們在享受其帶來的極大便利的同時,也時常受困于應運而生的各種新“麻煩”。缺乏法律規(guī)定的電子信息常常在法律案件中使法官們陷入兩難,而普通大眾更是茫然無措,以至于我們身邊因電子信息引發(fā)的法律糾紛越來越多。
身邊的事件
以下是一個真實案例,但為了方便,隱去了公司真實名字。2008年1月,位于上海的普遜公司與珠海的頓成公司簽訂合同,約定由頓成公司按照普遜公司提供的圖紙及技術參數(shù)生產電子產品。合同履行過程中,當普遜公司需要產品時,便先電話通知頓成公司,然后郵寄書面訂單。
經過一段時間的合作后,為了避免訂單郵寄在途時間被浪費,普遜公司在郵寄訂單前便先行將訂單的電子版本電郵至頓成公司,讓頓成公司有充分的時間作好準備工作。對此,雙方均感到合作十分默契。
2008年9月,頓成公司又接到普遜公司電話,隨后即收到電子訂單,遂按電子訂單的要求生產產品,并如期發(fā)貨至普遜公司指定港口,然而這次卻被告知暫時拒絕收貨。頓成公司自然不服,于是持電子訂單與普遜公司理論,普遜公司解釋說該批貨物銷售計劃尚未商定,因此未向頓成公司郵寄書面訂單,如今后有新的銷售計劃,則可接受該批貨物。
此后由于市場變化,普遜公司終未接受頓成公司的該批貨物,頓成公司于是至法院,要求普遜公司接收貨物,支付貨款,并承擔倉儲等費用。
在法院的審理中,頓成公司向法院提交了附送該電子訂單的郵件打印件,以期證明訂單的真實性。對此,普遜公司予以否認,并提出質疑:雖然目前該郵件顯示的收件人地址確系該公司所有,但由于該郵件已被下載至Outlook,而非保存于原郵件系統(tǒng)中,所以該郵件系頓成公司篡改偽造的訂單。
法院經評議認為:頓成公司所舉示郵件及其附件的真實性無法確認,書面合同中也未約定以電子郵件方式下訂單,因此無法認定普遜公司向頓成公司下達該訂單的事實。據(jù)此,對頓成公司的訴訟請求予以駁回。
在這樣一個常見的貨款糾紛中,電子郵件成為了決定案件勝敗的關鍵。那么電子郵件這樣的電子信息需要達到什么樣的標準才能為法院所采信呢?
電子信息的法律地位
出于對法官和隨意判案的擔心,我國在當初制定三大訴訟法(刑事、民事、行政訴訟法)時帶有強烈的形式主義色彩,根據(jù)當時的生活和法律經驗,把可以當作證據(jù)使用事物嚴格劃分為七類:書證、物證、視聽資料、證人證言、當事人(被害被告人)的陳述、鑒定結論、勘驗筆錄。而無法納入前述七類形式的,不得作為證據(jù)采用。這等于給證據(jù)設定了一個“戶口”制度,沒有“戶口”的事物就不能在法庭上作為證據(jù)出現(xiàn)。
然而邏輯常常受到生活的挑戰(zhàn),正如沒有戶口的小孩同樣是人,缺乏法律界定的電子郵件等電子信息其實同樣可以證明案件事實。這個矛盾使法官們一度陷入了兩難:如果不承認電子郵件可以證明案件事實,無疑是自欺欺人;但直接引用電子郵件所反映的事實,又不符合訴訟法的規(guī)定。
很快專家們就為電子郵件這樣的電子信息找了第一個戶口――書證。所謂書證,是指以文字、符號、圖案等內容和含義來證明案件事實的證據(jù)形式,而電子郵件也是以其中的文字或圖案來證明事實,似乎符合書證的特點。
但是這種分類方法很快遭到了大多數(shù)人的反對,理由有兩點:一是因為郵件雖然可以在電腦上閱讀,但郵件本身并不是電腦的一部分,和電腦并非一個整體;任何一臺電腦都不只可以顯示一封郵件,對這臺電腦而言,其所能顯示的內容具有不確定性;二是郵件的本質是電子信號,不能被直接閱讀,必須通過專門設備(如電腦或手機)以及程序(內置軟件)加以翻譯才能為人所知,如果沒有特定設備,或者軟件錯誤,郵件是不可閱讀的,或者是會被錯誤閱讀的。
于是專家們的眼光又在剩余的六種證據(jù)形式中仔細搜索,終于為電子信息找到了第二個戶口――視聽資料。而理由則是這類證據(jù)都需要通過專門設備和程序編譯才能以其內容證明案件事實。除電子郵件外,被納入“視聽資料”范疇的電子信息還包括:手機短信、BBS、電子文檔、聊天記錄、數(shù)據(jù)庫等。
不過,若電子郵件因可以借助電腦屏幕顯示文字圖案而勉強被稱為視聽資料的話,那么一些其他形式的電子信息則與傳統(tǒng)的“視聽”概念相去甚遠了。
曾經有這樣一個案例:某客戶向證券公司主張其為某資金賬戶的所有人,最后法院審查的焦點集中在該客戶是否擁有賬戶密碼這個問題上。于是該客戶向法院提交了自己的密碼,并申請法院調查證券公司計算機系統(tǒng)中該資金賬戶預留的密碼,如果兩個密碼一致,那么該客戶即為賬戶所有人。
但當法院就此進行深入調查時卻發(fā)現(xiàn),證券公司系統(tǒng)中的客戶密碼根本不能顯示,只能通過輸入密碼的方式進行驗證。因此,雖然法院在隨后的驗證中發(fā)現(xiàn)該客戶提供的密碼正確,但法院卻自始至終也無法直觀地查明證券公司系統(tǒng)中預留密碼的具體信息。
在這起案件中,證券公司計算機系統(tǒng)中的客戶密碼信息顯然既不能看,更聽不出所以然,但仍被納入視聽資料范疇,其唯一目的就是為了解決電子信息的身份問題。在這樣的背景下,法學界一邊呼吁盡快制定法律確立電子信息的獨立證據(jù)地位,一邊也不得不面對現(xiàn)實。因此司法機關在證據(jù)形式認定上的曲線救國,實屬情有可原。
有了上述背景,目前幾乎所有法院都不再對電子信息的身份問題傷腦筋,但新的問題又出來了――根據(jù)我國法律的規(guī)定,書證可以直接單獨作為定案的依據(jù),而視聽資料即使沒有疑點,也必須結合其他證據(jù)才能作為認定案件事實的依據(jù)。
這樣的規(guī)定是什么意思呢?舉個例子可以說明:甲乙兩人做生意簽合同,如果以紙質材料簽字蓋章,形成的合同文本可以直接證明雙方具有合同關系;但如果雙方以電子方式簽訂(如郵件、短信方式等),即使這樣形成的合同未經篡改、編輯,也沒有其他任何疑點,仍然不能單獨證明雙方具有合同關系。
因此盡管我們早已習慣享受電子時代給生活和工作帶來的便利,但在依賴電子手段之前,還不得不做些準備。
電子信息證據(jù)的約定使用
我們對電子手段的依賴,有時候是基于效率的考慮:如果發(fā)個短信就能通知開會,又何必用EMS呢?另外一些情況下,電子手段則可以節(jié)省大量的費用,例如銀行發(fā)送賬單,開發(fā)商通知接房等。
要讓這些電子手段能夠在需要的時候產生證據(jù)的效力,我們可以考慮對電子手段的法律地位在書面合作協(xié)議中進行約定,避免雙方就此發(fā)生爭議。比如我們可以在合同中約定手機號碼、郵箱地址、聊天工具號碼等。這樣既可以解決電子信息證據(jù)需要與其他證據(jù)配合使用的法律硬性要求,也同時避免因電子手段未進行實名制登記帶來的舉證負擔。
以上文中頓成公司的遭遇為例,假如雙方事先在書面合同中約定以電子郵件方式下達訂單,同時約定雙方的電郵地址,甚至約定在將電子郵件作為法庭證據(jù)使用時使用方無須證明其未經修改,而由質疑方承擔證明該郵件被篡改的舉證責任。那么屆時電子郵件就可以很輕松的與書面合同配合使用,用以證明案件事實。當然,我們在處理個人私務時通常不會事先辦理這么麻煩的手續(xù),不過如果是處理公務,類似的約定還是很有必要。
我們還可以在書面合同中進一步約定電子信息的使用規(guī)則,例如在使用電子郵件的情形,發(fā)出后由于某種原因電子郵件有可能并未查收,對此我們可以約定:“電子郵件在發(fā)出后24小時后視為對方已經收到并閱讀該郵件及附件”;考慮到手機或者郵箱有時可能被其他人使用,我們還可以約定“合作期間,雙方應保證約定的手機號碼由本人使用,任何以該手機發(fā)出的短信都將被視為本人的真實意思表示并對本人產生約束力”……
當然還有更為有效的使用方式,例如電子商務有償服務,通過與專門經營電子商務的服務平臺進行合作,讓借助電子手段進行的合作過程被雙方認可的服務平臺記載,作為還原合作過程的客觀依據(jù)。
電子信息證據(jù)的固定和取得
雖然我們可以通過事前的約定賦予電子信息更多更強的法律效力,但糾紛往往以令人意想不到的方式讓人猝不及防。就像上文中的頓成公司,根本沒有預料到普遜公司會否認下訂的事實,這種情況下,就需要及時固定和取得電子信息證據(jù)。
與傳統(tǒng)的證據(jù)相比較,電子信息證據(jù)具有兩個非常顯著的特點,一是容易被篡改,二是容易流失。這兩個特點共同成為了電子信息證據(jù)進入法庭的最大障礙。但有一些習慣和方法,可以增加證據(jù)的可信性:
1.原始狀態(tài)的證據(jù)。
所謂原始狀態(tài),是指不改變電子信息的保存位置和方式。譬如重要的電子郵件應當保存在郵件系統(tǒng)中,不要在下載或者閱讀后刪除。已經習慣使用Outlook、Foxmail等郵件管理工具的朋友需要特別注意,此類工具很可能在將郵件下載到您電腦的同時,就已將系統(tǒng)中的郵件刪除。
原始狀態(tài)的電子信息,可以大大提高證據(jù)的真實性,而被改變保存位置和方式的證據(jù),則很可能遭到“被篡改”的質疑。
2.服務器備份。
某些電子通訊方式提供了上傳備份的服務,服務器上的記載可以作為第三方較為客觀中立的信息。
對于較為重要的電子信息證據(jù),如果及時上傳至服務器保存,必要時再由服務商證明每次上傳至服務器的具體內容,其真實性較保存于自己電腦中的記錄會大大增強。
3.多種平臺的混合使用。
以電子郵件為例,郵箱平臺可以是自己公司的,也可以是第三方的公眾平臺,兩者各有利弊。第三方的公眾平臺因難以被客戶修改,因此真實性強,但缺點在于難以證明對方身份;而公司平臺則較為容易證明身份問題。
因此不妨混合使用兩個平臺,使用公司平臺收發(fā)郵件,同時抄送給自己所有的第三方平臺上的郵箱,這樣既可證實對方身份,又可以在糾紛發(fā)生時從第三方平臺調取信息,證明事實。
4.適時進行公證。
公證是指由公證機構依法對相關事實的真實性進行證明,并出具公證書的行為。公證書具有極高的法律效力,最高法院甚至認為:跟春去秋來這種自然規(guī)律一樣,公證書證明的事實無須證明。
5.司法保全
并非所有單位和個人都會對公證機構進行配合,所以公證雖然高效而且專業(yè),但缺乏強制力。情勢危急時,可以考慮司法保全,包括民事訴訟中的訴前保全、訴訟中保全,以及刑事偵查機關通過偵查活動對證據(jù)的固定。
上述方法中,公證及保全都會涉及十分專業(yè)的技術問題,通常有兩個問題值得注意:一是不可在自己所有的計算機上取證,自己的計算機難以排除偽證的可能性?;诒芟拥目紤],公證機構很多時候甚至連他們自己的計算機也不愿意使用,而是在公共場所(如公共網(wǎng)吧)臨時選擇計算機上網(wǎng)取證;二是保證取證過程的連貫性。在這個問題上,可以考慮使用視頻截屏軟件錄制上網(wǎng)取證的全部過程。
可以說電子信息證據(jù)諸多的先天不足,讓我們在將其作為證據(jù)具體使用時必須慎重考慮方式方法。因而在實踐中我們或許可以考慮將電子信息證據(jù)以“鑒定結論”的名義進行使用。
三大訴訟法中,均規(guī)定“鑒定結論”為法定的證據(jù)形式,而且具有幾乎無可辯駁的證據(jù)效力。鑒于電子信息證據(jù)技術性強的特點,我們在需要使用電子信息證據(jù)時,可以聘請專業(yè)機構對電子信息證據(jù)的客觀性、真實性、原始性進行鑒定,并出具正式的書面結論,然后我們可以使用該鑒定結論。
關鍵詞:電子簽名;數(shù)字簽名;PKI
一、電子簽名的含義
凡是能在電子通訊中,起到證明當事人的身份、證明當事人對文件內容的認可的電子技術手段,都可被稱為電子簽名,電子簽名即現(xiàn)代認證技術的一般性概念,它是信息安全的重要保障手段,電子簽名與手寫簽名或印章具有同等法律效力。目前,可以通過多種技術手段實現(xiàn)電子簽名,在確認了簽署者的確切身份后,電子簽名承認人們可以用多種不同的方法簽署一份電子記錄。
二、電子簽名與數(shù)字簽名的關系
數(shù)字簽名在ISO7498-2標準中定義為:“附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對數(shù)據(jù)單元所作的密碼變換,這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性,并保護數(shù)據(jù),防止被人(例如接收者)進行偽造”。美國電子簽名標準(DSS,F(xiàn)IPS186-2)對數(shù)字簽名作了如下解釋:“利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)計算所得的結果,用此結果能夠確認簽名者的身份和數(shù)據(jù)的完整性”。按上述定義,PKI可以提供數(shù)據(jù)單元的密碼變換,并能使接收者判斷數(shù)據(jù)來源及對數(shù)據(jù)進行驗證。基于PKI的電子簽名被稱作“數(shù)字簽名”。有人稱“電子簽名”就是“數(shù)字簽名”是錯誤的。數(shù)字簽名只是電子簽名的一種特定形式。因為電子簽名雖然獲得了技術中立性,但也帶來使用的不便,法律上又對電子簽名作了進一步規(guī)定,如《電子簽名法》中就規(guī)定了“可靠電子簽名”和“高級電子簽名”。實際上就是規(guī)定了數(shù)字簽名的功能,這種規(guī)定使數(shù)字簽名獲得了更好的應用安全性和可操作性。目前,具有實際意義的電子簽名只有公鑰密碼理論。所以,目前國內外普遍使用的、技術成熟的、可實際使用的還是基于PKI的數(shù)字簽名技術。作為公鑰基礎設施PKI可提供多種網(wǎng)上安全服務,如認證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認性,其中都用到了數(shù)字簽名技術。
三、PKI技術的含義
1.什么是PKI?
PKI是Public Key Infrastructure的首字母縮寫,翻譯過來就是公鑰基礎設施;PKI是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規(guī)范。PKI的基礎技術包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。
工程學家對PKI是這樣定義的:“PKI是一個用公鑰概念與技術來實施和提供安全服務的普遍適用的安全基礎設施。換句話說,PKI是一個利用非對稱密碼算法(即公開密鑰算法)原理和技術實現(xiàn)的并提供網(wǎng)絡安全服務的具有通用性的安全基礎設施”。它遵循標準的公鑰加密技術,為電子商務、電子政務、網(wǎng)上銀行和網(wǎng)上證券業(yè),提供一整套安全保證的基礎平臺。用戶利用PKI基礎平臺所提供的安全服務,能在網(wǎng)上實現(xiàn)安全地通信。PKI這種遵循標準的密鑰管理平臺,能夠為所有網(wǎng)上應用,透明地提供加解密和數(shù)字簽名等安全服務所需要的密鑰和證書管理。PKI是創(chuàng)建、頒發(fā)、管理和撤消公鑰證書所涉及到的所有軟件、硬件系統(tǒng),以及所涉及到的整個過程安全策略規(guī)范、法律法規(guī)以及人員的集合。安全地、正確地運營這些系統(tǒng)和規(guī)范就能提供一整套的網(wǎng)上安全服務。PKI的核心執(zhí)行機構是認證機構CA(Certificate Authority),其核心元素是數(shù)字證書。公鑰證書和私鑰是用加密文件存放在證書介質中,證書是由認證服務機構CA所簽發(fā)的權威電子文檔,CA與數(shù)字證書等是公鑰基礎設施PKI的主要組成機構和元素。CA認證機構在《電子簽名法》中被稱作“電子認證服務提供者”。
2.數(shù)字證書。
數(shù)字證書簡稱證書,是PKI的核心元素,由認證機構服務者簽發(fā),它是數(shù)字簽名的技術基礎保障;符合X.509標準,是網(wǎng)上實體身份的證明,證明某一實體的身份以及其公鑰的合法性,及該實體與公鑰二者之間的匹配關系,證書是公鑰的載體,證書上的公鑰唯一與實體身份相綁定?,F(xiàn)行的PKI機制一般為雙證書機制,即一個實體應具有兩個證書,兩個密鑰對,一個是加密證書,一個是簽名證書,加密證書原則上是不能用于簽名的。
證書在公鑰體制中是密鑰管理的媒介,不同的實體可通過證書來互相傳遞公鑰,證書由權威性、可信任性和公正性的第三方機構CA簽發(fā)。是權威性電子文檔。證書的主要內容,按X.509標準規(guī)定其邏輯表達式為:
CA《A》=CAxV,SN,AI,CA,UCA,A,UA,Ap,Tay
其中:CA《A》---認證機構CA為用戶A頒發(fā)的證書
CAx, , ,y---認證機構CA對花括弧內證書內容進行的數(shù)字簽名
V---證書版本號
SN---證書序列號
AI---用于對證書進行簽名的算法標識
CA---簽發(fā)證書的CA機構的名字
UCA---簽發(fā)證書的CA的惟一標識符
A---用戶A的名字 UA---用戶A的惟一標識
Ap---用戶A的公鑰 Ta---證書的有效期
從V到Ta是證書在標準域中的主要內容。
證書的這些內容主要用于身份認證、簽名的驗證和有效期的檢查。CA簽發(fā)證書時,要對上述內容進行簽名,以示對所簽發(fā)證書內容的完整性、準確性負責并證明該證書的合法性和有效性,將網(wǎng)上身份與證書綁定。
CA頒發(fā)的上述證書與對應的私鑰存放在一個保密文件里,最好的辦法是存放在IC卡和USBKey介質中,可以保證私鑰不出卡,證書不能被拷貝、安全性高、攜帶方便、便于管理。這就是《電子簽名法》中所說的“電子簽名生成數(shù)據(jù),屬于電子簽名人所有并由電子簽名人控制?!钡木唧w作法。
四、PKI技術的發(fā)展現(xiàn)狀及趨勢
PKI的應用涉及電子商務、電子政務、電子事物等諸多領域,PKI具有非常廣闊的市場應用前景,具體表現(xiàn)為如下幾個方面:
1.對我國電子商務有很大的促進和有力發(fā)展的作用?!峨娮雍灻ā分贫ǖ淖谥季褪菫榱吮U想娮由虅盏陌踩?,維護有關各方的合法利益,促進電子商務的發(fā)展,而制定本法。有了《電子簽名法》就可以解決電子商務參與方的不可否認性,提高電子商務交易的安全;可以實現(xiàn)網(wǎng)上自動在線支付,解決目前我國電子商務的瓶頸問題。
2.對金融界的應用,金融行業(yè)是PKI技術應用最活躍、最廣泛的領域。銀行審核網(wǎng)銀用戶身份的真實性,用戶的身份必須是真實可靠的,簽名才有實際意義,這是使用數(shù)字簽名的基礎。交易額大、安全性要求高的交易必須使用數(shù)字簽名。由于數(shù)字簽名是一種相對復雜的計算方式,簽名的過程要耗費一定的系統(tǒng)資源,一般是在交易金額大、安全性要求高的網(wǎng)銀業(yè)務中使用數(shù)字簽名。作為金融行業(yè)統(tǒng)一的第三方安全認證機構,在保障網(wǎng)上交易安全,提供公正、可信的認證服務方面發(fā)揮了重要的作用。上面是電子簽名在網(wǎng)銀中的應用特點;從應用的范圍和廣度講,目前國內的網(wǎng)上銀行業(yè)務中基本上都采用了數(shù)字簽名技術。
3.對《票據(jù)法》的改革,有了《電子簽名法》作母法,我國的票據(jù)法要以《電子簽名法》作依據(jù),制定和完善整套的銀行新法規(guī)。這樣銀行就可以節(jié)省大量的紙張印刷,減少費用,提高效益。還有網(wǎng)上證券的交易、網(wǎng)上稅務等等一方面是缺乏好的的安全支付協(xié)議,更主要就是沒有數(shù)字簽名的法律保障;技術是基礎,法律是保證,這些都是“電子簽名”應用更大的領域。
4.對《合同法》的修改,合同也可以以電子文件形式出現(xiàn)。有了PKI技術作保證,網(wǎng)上招標、網(wǎng)上采購都可以根據(jù)電子合同作為依據(jù)。為了適應傳統(tǒng)業(yè)務經營需要,還可以將電子簽名與傳統(tǒng)的手工簽名或印章做成“電子簽名”可視化,即在驗證了電子簽名真?zhèn)蔚耐瑫r,可調用打印經圖形化處理過的手書簽名或圖章,這樣即可適應傳統(tǒng)習慣認證方法,又將簽名向先進電子技術領域推進一步。
自21世紀以來,PKI技術作為信息安全的關鍵技術逐步得到許多國家的政府和企業(yè)的廣泛重視,PKI技術理論研究進入到了商業(yè)化應用階段,如今PKI技術發(fā)展已經日趨成熟,許多新技術還在不斷涌現(xiàn),CA之間的信任模型,使用的加密算法、密鑰管理方案也在不斷的變化中。隨著“互聯(lián)網(wǎng)+”時代的來臨,信息化技術不斷地影響著人們的思維,改進了我們的工作、生活方式,隨著《電子簽名法》的修正,電子簽名技術將給我們的“互聯(lián)網(wǎng)+”時代的工作和生活帶來積極正面的影響。
參考文獻:
[1] 樊迎光,馮俊麗,王永. 電子商務安全中的數(shù)字簽名技術. 福建電腦.2009第2期.
[2] 祝洪杰,鄒玉妮,侯瑞蓮 陶洋.數(shù)字簽名技術在電子商務系統(tǒng)中的應用. 山東輕工業(yè)學院學報.2007年第4期.
早在2010年筆者曾撰文《數(shù)字簽名在注冊會計師行業(yè)的應用》,對審計報告的電子化進行過理論探討。如今,隨著電子政務的發(fā)展,電子簽名技術的應用日益廣泛,財務審計報告的電子化已經進入了實踐領域。
(一)北京市社會團體無紙化年檢方案介紹。為推進無紙化辦公,優(yōu)化年檢服務,提高年檢效率,節(jié)約辦事成本,北京市民政局決定,從2015年起,通過改造年檢系統(tǒng),推行法人單位數(shù)字證書,利用電子簽章實現(xiàn)申報材料電子化,取消文本材料報送。社會組織登記管理機關、業(yè)務主管單位和社會組織等年檢事務參與方,使用數(shù)字證書登錄系統(tǒng)進行身份識別,并利用電子簽章實現(xiàn)電子版年檢申報材料報送。
電子財務審計報告是年檢申報材料的重要組成部分,會計師事務所出具社會組織電子審計報告流程為:首先由會計師事務所出具社會組織財務審計報告電子版;其次使用數(shù)字證書簽章工具,加蓋單位電子簽章和個人電子簽章;最后向社會組織提供加蓋單位和個人電子簽章的電子版審計報告?!吨腥A人民共和國電子簽名法》第三條明確規(guī)定:“民事活動中的合同或者其他文件、單證等文書,當事人可以約定使用或者不使用電子簽名、數(shù)據(jù)電文。當事人約定使用電子簽名、數(shù)據(jù)電文的文書,不得僅因為其采用電子簽名、數(shù)據(jù)電文的形式而否定其法律效力?!币虼?,采用電子簽名方式的電子版財務審計報告,具備了合規(guī)性、合法性。
(二)運行效果。北京市社會組織年檢無紙化工作分兩期進行,首期在2015年6月前完成市級社會組織和試點區(qū)縣推廣任務;第二期將總結試點經驗,逐步將成果擴大到全市社會組織范圍。首批參加無紙化年檢的社會組織包括市級社會團體、民辦非企業(yè)單位、基金??;順義區(qū)試點社會團體、民辦非企業(yè)單位。目前該項改革工作扎實推進,利用數(shù)字簽章功能實現(xiàn)了年檢申報材料電子化、年檢審查程序網(wǎng)絡化、審核行為即時化、年檢檔案數(shù)字化。相關企業(yè)的財務審計報告實現(xiàn)了真正意義上的電子化,很多地方值得借鑒,建議在注冊會計師行業(yè)大力推廣。
二、推行電子財務審計報告的積極意義
(一)提高服務效率,便于信息共享。審計報告的電子化最直接的影響是可以取消文本資料的報送和傳輸,節(jié)約紙張,真正實現(xiàn)無紙化辦公,更加環(huán)保。紙質審計報告的傳輸需要郵寄或專人送達,會消耗諸如交通費、快遞費等相應的成本,并且在傳遞過程中會花費一定的時間,最快也要幾小時,如果一份審計報告需要提交給不同的部門需要多次郵寄或傳送,花費大量的人力物力。
審計報告實現(xiàn)電子化以后,報告通過網(wǎng)絡能夠快速傳達,可以為會計師事務所和被審計單位節(jié)約成本,提高辦事效率。在建設支撐系統(tǒng)時,還可以選擇將電子版的財務審計報告在注冊會計師協(xié)會系統(tǒng)中備份,來實現(xiàn)備案。這樣,工商、稅務、銀行等部門經過授權后也可以很方便地通過注冊會計師協(xié)會的網(wǎng)站查詢到相關企業(yè)的電子審計報告,實現(xiàn)信息共享。
(二)打擊不法中介,保護注冊會計師合法權益。目前社會上存在不法中介偽造、變造注冊會計師審計報告等情況,極大地損害了注冊會計師行業(yè)的聲譽以及注冊會計師的合法權益。審計報告實現(xiàn)電子化以后,只有具備出具電子審計報告條件的會計師事務所,即:辦理過單位數(shù)字證書和個人數(shù)字證書的事務所才能在審計報告上加蓋電子簽名,電子審計報告才能是合法的?,F(xiàn)代密碼技術保證了用戶的數(shù)字證書和密鑰是不可偽造的,所以,不法中介如果偽造、變造審計報告,他們沒有合法的電子簽名,無法通過驗證。
(三)遏制多套賬行為,解決信息不對稱問題。有些企業(yè)出于不同目的,會存在多套賬的行為,如為了申請某種資質、辦理銀行貸款,往往會虛增資產和利潤,而為了避稅目的又會隱瞞收入減少利潤,然后聘請不同的會計師事務所對不同目的的多套賬分別出具審計報告。紙質審計報告的環(huán)境下,由于信息傳輸不方便,會計師事務所、政府部門、銀行等很難發(fā)現(xiàn)這一問題。于是,會計師事務所面臨極高的執(zhí)業(yè)風險,同時也會導致國家稅款流失,銀行的資金安全也受到威脅。審計報告實現(xiàn)電子化以后,能很方便地實時傳輸,每一份審計報告可以很方便地查詢真?zhèn)?,從而能夠遏制多套賬行為,解決信息不對稱問題。
(四)有利于注冊會計協(xié)會的行業(yè)監(jiān)管。目前各省注冊會計師協(xié)會都建立了會計師事務所業(yè)務報備制度,對于加強行業(yè)監(jiān)管起到了一定的作用。但目前多數(shù)省級注冊會計師協(xié)會規(guī)定的業(yè)務報備,都是對被審計單位名稱、收費標準、審計意見類型、簽字注冊會計師等基本信息進行備案,至于完整的審計報告情況注協(xié)是看不到的。在手工簽名加蓋章的情況下,要實現(xiàn)每一份紙質審計報告都在注協(xié)備案顯然也不可行。這樣事務所就可以有選擇地進行業(yè)務報備,對于某些有問題的業(yè)務完全可以略去不報,注協(xié)是難以發(fā)現(xiàn)的。審計報告實現(xiàn)電子化以后,可以很方便地實現(xiàn)審計報告在注冊會計師協(xié)會的備案,這樣注冊會計師協(xié)會可以隨時了解各個事務所的業(yè)務動態(tài),加強對會計師事務所執(zhí)業(yè)質量的監(jiān)管。
三、財務報告電子化實施的保障
(一)建立財務審計報告電子化的支撐系統(tǒng)。要實現(xiàn)財務審計報告的電子化,首要的保障措施就是建立審計報告電子化所需的支撐系統(tǒng),包括相應的軟件、硬件、人員和相應的策略、操作規(guī)程和制度。注冊會計師和事務所使用這些系統(tǒng)制作電子版審計報告,而其他相關方要能夠接受和驗證這些報告的完整性和合規(guī)性。如果需要考慮審計報告?zhèn)浒复鎯?,系統(tǒng)還需要具有安全存儲、檢索等功能。
(二)數(shù)字證書的申請、發(fā)放和吊銷。要實現(xiàn)財務審計報告的電子化,另一個首要的保障措施就是數(shù)字證書的管理。根據(jù)《中華人民共和國電子簽名法》的規(guī)定,“電子簽名需要第三方認證的,由依法設立的電子認證服務提供者提供認證服務?!?這就是說,如果簽名需要第三方認證,簽名人必須事先獲取一個由權威機構簽發(fā)的數(shù)字證書,以保證文件接收者能夠驗證他的身份。
具體到注冊會計師行業(yè),就應當是全國和地方的注冊會計師協(xié)會通過CA中心(Certificate Authority,電子認證服務機構)進行數(shù)字證書的簽發(fā)、吊銷等管理。數(shù)字證書代表了某個注冊會計師的身份,注協(xié)通過為其簽發(fā)數(shù)字證書(USBKey),表明審核通過了注冊會計師的入會申請,授予其簽發(fā)審計報告的資格。注冊會計師具備執(zhí)業(yè)資格后,就可以使用該證書對經審核的審計報告進行數(shù)字簽名來完成業(yè)務(會計師事務所數(shù)字證書的獲取過程與此相同)。
(三)人員培訓。一旦推行財務審計報告的電子化,就要分期分批地對注冊會計師進行相關培訓。由各省市注冊會計師協(xié)會牽頭,結合注冊會計師后續(xù)教育,開展專題培訓,詳細介紹和現(xiàn)場演示數(shù)字證書的使用方法、電子審計報告的簽發(fā)流程以及網(wǎng)絡運行環(huán)境的要求等,并且要在培訓中讓廣大注冊會計師明確電子簽名的法律效力,做到數(shù)字證書專人專用,避免法律糾紛。同時,數(shù)字證書的制作單位應該提供技術支持和電話咨詢服務。
(四)數(shù)字證書的日常管理。依據(jù)《中華人民共和國電子簽名法》的規(guī)定,頒發(fā)給會計師事務所和注冊會計師的數(shù)字證書,用于表明其合法的身份,在電子財務審計報告上簽名時,與實體印章具有同等法律效力。注冊會計師協(xié)會應該要求各事務所建立相應的數(shù)字證書使用管理制度,加強證書介質和證書私鑰的管理,做到專人使用,確保電子簽章的使用與保管與本單位實體印章的使用與保管規(guī)定一致。
(五)審計報告的實時驗證。當會計師事務所將審計報告發(fā)送給被審計單位或其他審計報告使用者時,要使用數(shù)字證書進行簽章,而電子簽名的結果就是以注冊會計師私有密鑰和原始審計報告作為已知數(shù)據(jù)運算和生成的一段新的數(shù)據(jù),沒有這兩者中的任何一個,都無法制作出電子簽名。
審計報告接收者會使用數(shù)字證書(公共密鑰)對收到的審計報告進行驗證,驗證該數(shù)字證書是否由其聲明的CA中心頒發(fā),并會驗證其數(shù)字證書是否在有效期內,是否已被吊銷。如果這些審核項都通過,就表明被審計單位成功核實了電子簽名,證明該報告是?特定的具備資質的注冊會計師和會計師事務審核,并且該審計報告簽名以后未經改動。如果在注冊會計師簽名完成后,審計報告再有任何改動,都會造成簽名驗證失敗,所以,對已簽名報告的任何改動都是無效的。驗證數(shù)字簽名的有效性比起紙質辦公條件下驗證印章和簽名的真?zhèn)螘菀缀椭庇^。
(六)電子審計報告的檢索服務。財務審計報告的電子化為不同部門實現(xiàn)信息共享提供了可能性,與此同時也面臨一個新的問題就是電子財務審計報告允許哪些人員或機構來查閱,因為財務信息是企業(yè)重要的商業(yè)機密。注冊會計師協(xié)議可以提供電子財務審計報告的存儲系統(tǒng)和查詢系統(tǒng),向相關方提供查詢功能。