电子商务安全技术问题

电子商务安全技术问题（精选12篇）

电子商务安全技术问题 第1篇

1 目前我国电子商务中的主要的安全问题

1.1 黑客问题

目前, 我国网站所受到黑客的攻击, 还不能与美国的情况相提并论, 因为我们在用户数、用户规模上还都处在很初级的阶段。如果我们的网站遇到类似于DDo S的攻击时, 要引起注意, 但大可不必惊慌, 因为在目前的情况下, 一个电子商务网站停一两天的损失并不会很大, 毕竟我们的业务量和交易额都还不大。但是, 我们应该从这些事件里充分地吸取前车之鉴。

1.2 安全隐患问题

现在, 我国电子商务网站的经营表面上看起来很热闹, 但其实并非如此。据了解, 我国的电子商务收益不佳的现状有望改观, 但技术和管理方面的问题还依然存在, 安全隐患仍令人担忧。主要有以下问题:网络安全体系不够完善;安全技术强度有限;安全管理存在很大隐患;电子商务仅局限于信息领域。

从国内外的情况来看, 电子商务发展的速度太快, 致使其安全技术和安全管理都跟不上, 这是一个越来越突出的问题。电子商务的快速发展需要业界, 特别是信息安全业快速地作出反应, 否则安全方面的问题将会制约它的发展。

2 电子商务主要的安全要素

2.1 有效性

EC作为贸易的一种形式, 其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此, 要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防, 以保证贸易数据在确定的时刻、确定的地点是有效的。

2.2 机密性

EC作为贸易的一种手段, 其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的 (尤其Internet是更为开放的网络) , 维护商业机密是EC全面推广应用的重要保障。因此, 要预防非法的信息存取和信息在传输过程中被非法窃取。

2.3 完整性

电子商务简化了贸易过程, 减少了认为的干预, 同时也带来维护商业信息的完整, 统一的问题。由于数据输入时的意外差错或欺诈行为, 可能导致贸易各方面信息的差异。

2.4 可靠性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制, 防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。

在无纸化的电子商务方式下, 通过手写签名和印章进行贸易双方鉴别已也不可能了。因为, 要在交易信息传输过程中为参与交易的个人、企业或国家提供可靠的表标识。在IN-TERNET上每个人都是匿名的, 原发方在发送数据后不能抵赖;接收方在接受数据后也不能抵赖。

3 电子商务主要的安全技术研究

3.1 数据加密技术

加密技术用于网络通常有两种形式, 即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层面或传输层, 使用经过的加密的数据包传送, 认证网络路由及其他网络协议所需的信息, 从而保证网络的连通性和可用性不受损害。面向网络应用的服务的加密技术使用则是目前较流行加密技术的使用方法, 这一类加密技术的优点多于实现相对较为简单, 不需要对电子信息数据包所经过的网络性能提出特殊要求, 对电子邮件数据实现了端到端的安全保障。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。

3.1.1 数字摘要

数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码, 并在传输信息时将之加入文件一同送给接收方, 接收方收到文件后, 用相同的方法进行变换运算, 若得到的结果与发送来的摘要码相同, 则可断定文件未被篡改, 反之亦然。

3.1.2 数字信封

数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中, 信息发送方采用对称密钥来加密信息, 然后将此对称密钥用接收方的公开密钥来加密 (这部分称为数字信封) 之后, 将它和信息一起发送给接收方, 接收方先用相应的私有密钥打开数字信封, 得到对称密钥, 然后使用对称密钥解开信息。这种技术的安全性相当高。

3.1.3 数字签名

日常生活中, 通常用对某一文档进行签名来保证文档的真实有效性, 防止其抵赖。在网络环境中, 可以用电子数字签名作为模拟。把Hash函数和公钥算法结合起来, 可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据没有被修改, 而真实性则保证是由确定的合法者产生的Hash, 而不是由其他人假冒。而把这两种机制结合起来就可以产生数字签名。

3.1.4 数字时间戳

在书面合同中, 文件签署的日期和签名一样均是防止文件被伪造和篡改的关键性内容。而在电子交易中, 同样需对交易文件的日期和时间信息采取安全措施, 而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务 (DTS) 是网络安全服务项目, 由专门的机构提供。时间戳是一个经加密后形成的凭证文档, 它包括三个部分:需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。

3.1.5 数字证书

在交易支付过程中, 参与各方必须利用认证中心签发的数字证书来证明各自的身份。所谓数字证书, 就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。

数字证书是用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名, 因此任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书, 才能参加安全电子商务的网上交易。数字证书一般有四种类型:客户证书、商家证书、网关证书及CA系统证书。

3.2 身份认证技术

为解决Internet的安全问题, 世界各国对其进行了多年的研究, 初步形成了一套完整的Internet安全解决方案, 即目前被广泛采用的PKI (Public Key Infrastructure公钥基础设施) 体系结构。PKI体系结构采用证书管理公钥, 通过第三方的可信机构CA, 把用户的公钥和用户的其他标识信息 (如名称、E-mail、身份证号等) 捆绑在一起, 在Internet网上验证用户的身份, PKI体系结构把公钥密码和对称密码结合起来, 在Internet网上实现密钥的自动管理, 保证网上数据的机密性、完整性。

核心系统跟CA放在一个单独的封闭空间中, 为了保证运行的绝对安全, 其人员及制度都有严格的规定, 并且系统设计为一离线网络。CA功能是收到来自RA证书请求时, 颁发证书。一般的个人证书发放过程都是自动进行, 无须人工干预。证书的登记结构 (RA) 分散在各个网上银行的地区中心。RA与网银中心有机结合, 接受客户申请, 并审批申请, 把证书正式请求通过银行企业内部网发送给CA中心。RA与CA双方的通信报文也通过RSA进行加密, 确保安全。系统的分布式结构适于新业务网点的开设, 具有较好的扩充性。通信协议为TCP/IP。证书的公布系统 (WP) 置于INTERNET网上, 是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线证书数据库。用户证书由CA颁发之后, CA用EMAIL通知用户, 然后用户必须用浏览器从这里下载证书。

我国对电子商务发展十分重视。中国金融认证中心CFCA已于2000年6月29日开始对社会各界提供证书服务。系统进入运行状态。中国金融认证作为一个权威的、可信赖的、公正的第三方信任机构, 为参与电子商务各方面各种认证需求提供证书服务, 建立彼此的信任机制。

3.3 网上支付平台及支付网关

网上支付平台分为CTEC支付体系和SET支付体系。网上支付平台支付型电子商务业务提供各种支付手段, 包括基于SET标注的信用卡支付方式、以及符合CTEC标准的各种支付手段

分析了目前我国电子商务中的主要的安全问题以及目前电子商务领域所使用的安全技术:数据加密技术, 身份认证技术, 网上支付平台及支付网关, 指出了他们分别的使用范围及优缺点, 显然安全问题己成为电子商务的核心问题。电子商务的安全运行, 仅从技术角度防范是远远不够的, 还必须建立电子商务立法, 以规范飞速发展的电子商务现实中存在的各类问题, 从而引导和促进我国电子商务快速健康发展, 使电子商务在中国得到真正的飞跃。

摘要：随着互联网的全面普及, 基于互联网的电子商务也应运而生, 针对目前电子商务的安全问题进行几个层面的解析。

关键词：电子商务,安全,互联网

参考文献

[1]覃征.电子商务导论.第一版[M].北京:人民邮电出版社, 2001, 2.

电子商务的安全问题 第2篇

摘要：

由于电子商务是建立在开放的、自由的Intemet平台上的，其安全的脆弱性阻碍了电子商务的发展。因此，要发展电子商务就必须解决安全问题，就必须要能保证电子商务的机密性、完整性、有效性、真实性以及不可否认性。电子商务安全交易中在线支付问题是最核

心、最关键的问题。本文从电子商务的安全问题入手，通过对多种安全技术的综合介绍和详细分析，有针对性地提出了相应的安全策略。提供了解决企业电子商务网站安全问题的有效 办法，以保障电子商务活动的安全进行。

目 录

一、引言...........................................................................................................................................1

二、电子商务中存在的安全问题...................................................................................................1

（一）、电子商务中网络安全的问题.....................................................................................1 网络信息泄漏..............................................................................................................1 文件信息篡改..............................................................................................................1 信息伪造......................................................................................................................1 信用威胁......................................................................................................................2 计算机病毒..................................................................................................................2

（二）、电子商务交易中安全问题.........................................................................................2 消费者、销售商和银行的利益更不易保护.............................................................2 安全面临的严重问题也是制约发展的关键因素.....................................................2 电子商务的支付结算问题.........................................................................................2 电子商务商家信誉的问题.........................................................................................2

三、电子商务网络安全问题解决对策...........................................................................................3

（一）电子商务网上支付安全对策.......................................................................................3

（二）安全管理过程监督.......................................................................................................3 加强全过程的安全管理..............................................................................................3  建立动态的闭环管理流程.........................................................................................4

（三）法律上的安全保障.......................................................................................................4 有关电子商务交易各方合法身份证的法律..............................................................4 有关保护交易者介人及交易数据的法律..................................................................4 有关电子商务中电子合同合法性及如何进行认证的法律......................................4 有关网络知识产权保护的法律..................................................................................4 参考文献...........................................................................................................................5

一、引言

随着在Internet全球性的推广，电子商务即被公认为是未来IT业最有潜力的新的增长点。但是随着Internet的高速发展，其开放性、国际性和自由性在增加电子商务应用自由度的同时，我们也正受到日益严重的来自网络的安全威胁，如黑客的侵袭、网络的数据盗窃、病毒的传播等。如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为影响到电子商务健康发展的关键性课题。

二、电子商务中存在的安全问题

（一）、电子商务中网络安全的问题  网络信息泄漏

在电子商务中表现为商业机密的泄漏，主要表现在：

交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。如果没有采用加密措施或加密强度不够，或是交易双方进行交易的内容被攻击者窃取，或者是交易一方提供给另一方使用的文件被攻击者非法使用。 文件信息篡改

在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传输的信息数据在中途篡改，如修改消息次序、时间，注入伪造消息等，然后再发向目的地，破坏数据的真实性和完整性。对企业网站而言，网页的篡改，尤其是含有攻击、丑化色彩的篡改，会对企业形象与信誉造成严重损害。 信息伪造

由于掌握了数据的格式，并可以篡改通过的信息，如果不进行身份识别，攻击者就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。主要有这样几种情况：第一、虚开网站和商店，给用户发电子邮件，收订货单；第二、给伪造的用户发恶意的电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；第三、伪造用户，发大量的电子邮件，窃取商家的

商品信息和用户信用等信息。 信用威胁

交易者否认参加过交易，如买方提交订单后不付款，或者输入虚假银行资料使卖方不能提款；用户付款后，卖方没有把商品发送到客户手中，使客户蒙受损失。 计算机病毒

电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助于网络传播得更快，动辄造成数百亿美元的经济损失。

（二）、电子商务交易中安全问题

 消费者、销售商和银行的利益更不易保护

电子商务领域为欺诈提供了保护伞。它特殊的运行模式可以使欺诈行为人将其欺诈行为掩盖得惟天衣无缝，而被侵害者却无可奈何。他可以直接侵害消费者的公平交易权，因为消费者是根本看不到自己所要购买商品的实物，只能在网站上浏览销售商为该商品所做的信息数据。电子商务对消费者的隐私权也提出了新的考验。因特网技术使得对个人信息的收集、储存、处理和销售有着前所未有的能力和规模，在线消费者的信息随时都有被收集和扩散的危险，只要在网上用个人信箱发信,你的信箱就基本上是公开的了，个人资料也就很容易被窃取，使得消费者购非所需。

 安全面临的严重问题也是制约发展的关键因素

保障电子商务活动的安全，一直是电子商务研究的核心领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。网络产品本身就隐藏着不安全隐患，加之受技术、人为等因素的影响，不安全因素更显突出。如：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等。若安全问题解决不好将对整个电子商务市场带来了巨大的损失。 电子商务的支付结算问题

电子商务的核心内容是信息的互相沟通和交流，交易双方通过Internet进行交流，洽谈确认，最后才能发生交易，进行支付结算，一般都要求先汇款再送货。但从整个电子商务网络的发展来看，将来要在网络上直接进行交易，就需要通过银行的信用卡等各种方式来完成交易，以及在国际贸易中通过与金融网络的连接来支付和收费。 电子商务商家信誉的问题

电子商务依其特有的经营模式对商家的信誉提出了更高的要求。因为电子商务的基石就是诚信、信誉。他不象传统的交易方式，消费者可到实地观察、挑选自己的商品，其完全凭借的是商家的信誉度，有信誉就有顾客这是对电子商务的真实写照。当传统的购物方式引发的各种纠分还在“3.15”消费者权益日频频曝光的环境下，消费者如何信任互不照面的网上交易？这个问题不解决电子商务就很难做大做强，这对我们也提出了新的挑战。

三、电子商务网络安全问题解决对策

（一）电子商务网上支付安全对策

由于引起电子商务安全问题的因素很多，所以解决安全问题也应从不同方面来考虑，提供不同的应对策略:

 安全技术策略：为了确保通信的安全性，必须采取必要的措施加以防范。在通信连接方面,可以使用防火墙、代理服务器、虚拟专用网络(VPN)等技术；在鉴别和认证方面，可以采取加密和认证技术。

做好自身电脑的日常安全维护，注意以下几点： a.是经常给电脑系统升级

b.是安装杀毒软件、防火墙，经常升级和杀毒

c.在平时上网是尽量不上一些小型网站，选大型网站，知名度比较高的网站，避免网站挂有病毒、木马造成中毒

d.尽量不要在公共电脑上使用自己的有关资金的账户和密码，五有条件的情况下，在初装系统后确认电脑安全的后，给自己的电脑做上备份，在使用资金账户前做一次系统恢复。

e.在登录支付资金时，应注意：一是确认该网是否是官方网站，二是仔细核对该网的域名是否正确，注意小写“1”与“L”、“0”与“O”等情况，三保证良好的上网习惯，收藏常用的网址，减少网上链接。

电子商务网上支付实际上就是落实到网上银行转账结算的交易。为了防止了黑客木马程序和网上钓鱼的攻击，使用数字证书才是保障网银安全的较好办法。但是，证书尽可能不采用所谓“文件证书”，即下载到浏览器硬盘上的证书，因为，此种证书易被黑客用木马程序窃取。目前，各银行的应用实践证明：只有将数字证书装入UBKey中，才是确保安全的好办法。

2、法律保障。由于电子商务各项活动首先是一种商品的交易，因此安全问题应当通过相关法律加以保护，必须保证电子合同和数字签名的法律地位、签约双方对电子合同的认可、电子合同的不可否认或修改,确保电子合同能够得以实施。

3、完善的管理策略。由于电子商务交易系统是一个人机高度综合的系统,除了网络的安全之外,管理人员的管理也是非常重要的,而且是起决定性作用的因素。因此,对整个系统的管理权限的分配和监督、管理人员的培训和考核、道德和业务水平的培养都必须制定出一套完整的规章制度,以利于培养管理人员敬业爱岗的精神.（二）安全管理过程监督  加强全过程的安全管理

1）网络规划阶段，就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。

2)工程建设阶段，建设管理单位要将安全需求的汇总和安全性能功能的测试，列入工程建设各个阶段工作的重要内容，要加强对开发(实施)人员、版本控制的管理，要加强对开发环境、用户路由设置、关键代码的检查。

3)在运行维护阶段，要注意以下事项：(1)建立有效的安全管理组织架构，明确职责，理顺流程，实施高效管理。(2)按照分级管理原则，严格管理内部用户帐号和密码，进入系

统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度，加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系，建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询，还要定期检查日志，以便及时发现潜在的安全威胁。

建立动态的闭环管理流程

网络处于不断地建设和调整中，可能发现新的安全漏洞，因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下，通过安全评估和检测工具(如漏洞扫描，入侵检测等)及时了解网络存在的安全问题和安全隐患，据此制定安全建设规划和加固方案，综合应用各种安全防护产品(如防火墙、身份认证等手段)，将系统调整到相对安全的状态。并要注意以下两点：

1)对于一个企业而言，安全策略是支付信息安全的核心，因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案，保证这些系列策略规范在整个企业范围内贯彻实施，从而保护企业的投资和信息资源安全。

2)要制定完善的、符合企业实际的信息安全策略，就须先对企业信息网的安全状况进行评估，即对信息资产的安全技术和管理现状进行评估，让企业对自身面临的安全威胁和问题有全面的了解，从而制定针对性的安全策略，指导信息安全的建设和管理工作。

（三）法律上的安全保障

在法律上，最子商务不同于传统商务在纸面上完成交易，有据可查的特点，电子交易如何认证，电子欺诈如何避免和惩治不仅是技术问题，同时也要涉及到法律领域，电子商务就像在现实世界之外又建立了一个虚拟世界，在这个虚拟世界里，更需要完善的法律体系来维持秩序。目前多个国家和地区已经开始行动制定电子商务法律法规。这就需要在企业和企业之间、政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。其主要涉及的法律要素有：  有关电子商务交易各方合法身份证的法律

电子身份认证中心是电子商务中的核心角色，它担负着保证电子商务公正、安全进行的任务。因而必须由国家法律来规定CA中心的设立程序和资格以及必须承担的法律义务和责任，同时要由法律规定对CA中心进行监管的部门、监管方法以及违规后的处罚措施。 有关保护交易者介人及交易数据的法律

本着最小限度收集个人数据、最大限度保护个人隐私的原则来制定法律，以消除人们对泄露个人隐私以及重要个人信息的担扰，从而吸引更多的人上网参与电子商务。 有关电子商务中电子合同合法性及如何进行认证的法律

需要制定有关法律对电子合同的法律效力、数字签名、电子商务凭证的合法性予以确认；需要对电子商务作证、电子支付数据的伪造、变更、涂销做出相应的法律规定。 有关网络知识产权保护的法律

网络对知识产权的保护提出了新的挑战，因此在研究技术保护措施时，还必须建立适当的法律框架，以便侦测仿冒或欺诈行为，并在上述行为以生时提供有效的法律援助。

参考文献

电子信息技术安全问题探究 第3篇

关键词：信息技术；安全问题；研究探讨

一、发展电子信息技术的重要意义

电子信息技术的基本定义，主要就是使用电子计算机和现代基本的通信设备实现信息的收取、传播、存储、整合、显示以及分配等的相关电子技术。就电子信息技术的应用范围上看，涉及到传统的电话、电报、收音机、电视机以及比较现代化的计算机、移动通信设备、智能家具等方方面面，其中会应用到电子通信、计算机、电子光纤等方面的技术。尤其是电子计算机技术和通信技术。就其应用范围不难看出，电子信息技术就是人们生活和生产过程中逐渐形成的认识和改造自然一个重要手段。电子信息技术对于信息的收集、传递、储存和整理是人们认识世界的过程，而通过管理化、规范化和科学化信息技术又是人们改造世界的过程，也就是说，电子信息技术的本质和基本特征都体现了人们对世界的认识和改造。

二、我国信息化中的电子信息技术安全问题

电子信息技术就像一枚硬币，有其正反两面性，它在帮助人们通过认识和改造世界获取利益的同时也给人类带来了很多问题。由于电子信息技术本身的特点决定了信息共享不受限于地域，其信息资源具有公有性、分散性和兼容性等特征，极大的体现了信息交流的平等性和民主性。但是从另一方面来看，正是由于这些特点，所以电子信息所形成的“网络社会”会出现很多相应人文和社会方面的矛盾和冲突。为了避免这些矛盾和冲突就涉及到电子信息技术的安全问题，让网络社会和网络文化以健康的方向发展不仅需要从电子信息技术方面着手，还要从人们的认识和道德法律建设方面上着手。

（一）信息与网络安全的防护能力较弱。随着互联网在各行各业中的极大普及应用，基本上每个企业都拥有自己的企业网站，尤其是“政府上网工程”全面实行之后，各级政府部门相继建设起自己的网站，只是很多网站在建设的过程中没有相应的安全设备和安全审计系统，很多网络病毒和外来监控的入侵会使得整个网站的工作处在一个比较危险的网络环境，不仅系统的功能会受到影响，而且其信息的安全也会存在潜在的危险。在全球互联网安全状况来看，我国也是网络黑客攻击的最大受害国之一。可见，信息网络的安全防护能力还急需提高。

（二）对引进的国外设备和软件缺乏有效管理和技术改造。科学技术发展至今，我国的电子信息技术虽有发展，但是其先进设备还需要从国外引进，这种进口设备的状况不仅会使得我国的电子信息技术的硬件系统模块的发展受限，而且还会出现在引进设备的同时引入外来监控系统的情况。

（三）我国基础信息产业薄弱。就目前我国基础的信息产业发展状况来看，我国信息网络所使用的网络管理设备和软件大多依赖国外引进。使用外国的技术会让网络运行得更加高效，但是使用引进的技术本身就存在一定的安全隐患，由于缺乏技术支持，网络信息就会更容易遭受入侵和监控。我国的网络要摆脱这种被监视和干扰的安全威胁就得积极地研发自己的信息技术产品。

（四）信息犯罪在我国有快速发展趋势。我国的信息网络系统在遭受境外黑客的入侵、监控和干扰的同时还受到了境内不法分子的网络攻击，除了境外黑客对我国信息网络进行非法攻击，比如，国内也有部分人利用网络传播有病毒的软件，通过盗取他人的私人信息窃取网络银行账号骗取钱财等。

（五）电子信息技术急速发展的形势和滞后的技术研发工作的推进两者存在矛盾。电子信息技术的建设无法满足当前发展的需求，出现这样的问题主要是我国在信息行业的投入不足以及全民的电子信息安全意识不到位。就信息技术产业的发展而言，研发经济投入是基础，自主创新型人才的培养是关键，提高全民的信息安全意识是减少病毒的重复传染的必要措施。 当然，我国信息技术领域的不安全情况也和西方发达国家对我国的技术输出进行控制有很大的关系。

三、信息技术环境下出现信息安全问题的原因

（一）公众在网络安全方面的意识比较淡薄。网络意识淡薄是信息安全问题出现的首要原因。很多公众在涉及到现代信息安全方面都了解甚少，很多时候都是以局外人的态度对待网络信息安全问题，实际上，一旦出现网络信息安全问题，大众是无法避免的受害方。大到国家信息安全，小到个人账号被窃，信息网络安全无小事，公众安全意识的提高不仅是保护自身的利益，也是维护国家信息安全和配合网络信息专业人员工作的重要举措。

（二）网络信息安全立法执法力度不够。法律的权威性和强制性在规范人们行为方面比道德舆论更加有效，网络信息安全的加强需要利用法律的手段，没有明确和强硬的网络信息安全管理制度和法规下，很多网络犯罪事件的惩处就无法有效的执行，当立法执法力度到位之后，网络信息安全的管理更加有依有据，触犯网络信息安全的不法分子才会及时的被绳之以法。加强网络信息的立法工作是确保网络信息安全管理的重要措施。

四、信息技术环境下确保信息安全的对策

（一）教育措施。（1）提高人们在信息安全方面的意识。公众的信息安全意识薄弱有的时候并不是没有维护网络安全的责任心，有的时候是根本不了解相关的信息安全常识。所以有关政府部门要采取一些教育措施为公众普及基本的网络信息安全知识，公众在信息安全方面的意识得到增强也是做好信息安全管理工作的基础，是开展信息安全管理工作的必要步骤。（2）培养更多的信息安全管理人才。培养专门的信息安全管理人是提高信息安全水平的有效措施。在各个大专院校的课程设置中增加有关信息安全相关的内容，通过专业课程学习培养具备网络信息管理能力的学生将为各个行业机构提供信息管理人才，是整个社会提高信息安全管理水平的有效措施。

（二）政策措施。在治理网络信息安全方面国家政策是最具指导性和宏观性的手段，信息安全政策是指由国家或国际组织制定的一系列认证规范的总和，能够为社会发展提供明确的方向，也是保障信息安全的、科学的方法，指导其他信息安全管理措施的制定和实施。

（三）法律措施。制定颁布合理的信息安全法律法规，可以让信息主体的行为有所规范，可以及时惩治信息安全犯罪分子，随时给公众警惕：制定网络使用法律法规，制止非法硬件、软件的使用以及各种非法信息数据的传播；制定完善知识产权，防止侵权和非法使用信息技术行为的出现。

（四）技术措施。技术措施是保障信息安全的根本途径。我们可以利用各种管理手段、软件和硬件技术来保证网络信息的安全。主要的技术措施有：屏蔽网络病毒的防病毒技术，阻隔外网非法访问的防火墙技术，阻止个人信息被窃取的的认证技术，以及防止信息被盗的加密和防伪技术。

结束语：随着计算机技术和通信技术的发展，计算机网络将日益成为信息交流的重要手段，并且已经渗透到社会生活的各个领域。因此，发展信息安全技术显得十分迫切。我们要认识到网络的脆弱性和潜在的诸多威胁，积极采取有力的安全策略，保障网络的安全。

参考文献：

[1] 陈宏愚，欧明籼. 我国信息安全技术的发展[J]. 中国信息导报. 2002（06）

电子商务安全技术问题 第4篇

1.1 硬件条件跟不上网站发展需要

电子商务网站的服务器通常由工作组或部门级的PC Server来担当, 有的还采用PC机或直接租用网络服务商提供的空间, 数据库服务器和Web服务器合二为一, 直接挂在因特网上, 在这种情形下如果受到恶意攻击, Web服务器和数据库则会同时受到损坏, 而一旦攻击者取得服务器的最高管理员权限, 所有的数据将会被窃取或篡改。

1.2 操作系统单一

电子商务网站一般采用Windows系列的操作系统, 极少采用LINUX操作系统, 基本上不采用UNIX系统。由于Windows系列的操作系统在当今的计算机操作系统中使用比例极高, 系统的漏洞很容易被发现, 一部分系统漏洞会被攻击者直接用来编制蠕虫病毒, 系统极易受到攻击。

1.3 数据库本身不完善

电子商务网站通常采用的DBMS系统, 主要有DBF、Excel、ACCESS、MYSQL、MS SQL Server系统等, 其中DBF、Excel、ACCESS、MYSQL系统都是很容易被整体复制或解密的。MS SQL Server虽然属于大型关系型DBMS, 但由于被大量用户采用, 它的缺陷和漏洞也就容易被发现, 很容易被攻击者取得SA的权限, 数据库内所有的数据不但被攻击者一览无余, 攻击者还可以通过建立自己的数据库帐户, 获得帐户sysadmin的数据库管理员的角色。另外, 攻击者还可以通过执行MS SQL Server中的xp_cmdshell存储过程来运行Windows环境下的程序, 如同在自己的服务器中一样建立自己的用户, 添加、更改、删除文件, 启动、停止服务, 更改网站的内容等, 网站没有任何的安全性。

2 电子商务网站数据库安全问题产生的原因

2.1 各种方式对数据库的攻击

在一个开放的网络环境中, 由于存在着网络协议、操作系统等多方面的安全漏洞, 因此通过网络对数据库进行各种方式的攻击成为网络数据库系统安全的主要隐患。

2.2 数据库系统自身的安全漏洞

(1) 入侵者可以任意地执行系统指令, 从而得到操作系统的管理权限。通过执行系统指令可以得到系统的控制管理权限, 进而直接威胁服务器操作系统的安全, 甚至让整个服务器完全处于瘫痪状态, 使其无法进行正常工作。

(2) 数据库所采取的安全检查措施级别远低于操作系统和网络的安全检查措施的级别。数据库应用系统通常同操作系统的最高管理员系统紧密相关, 更难正确地配置和保护。

(3) 软件风险。软件未及时打上操作系统补丁, 脆弱的服务和不安全的默认配置等。

3 电子商务网站数据库安全问题的解决对策

3.1 硬件方面的改进措施

3.1.1 采用性能可靠的硬件

保证物理层安全的主要方法一是采用性能可靠的硬件, 二是采用冗余容错技术, 比如双多机集群系统、磁盘冗余阵列、双多冗余通讯线路等。特别要保证中心服务器的安全。在电子商务系统和外部网络之间建立防火墙, 系统的服务器、邮件服务器、数据库服务器等放在防火墙内, 对外公开使用的放在防火墙外, 只有经过授权的外网用户才能通过防火墙, 进入到内网系统获取信息。另外, 使用拥有安全机制的网络设备也是应该考虑的选择, 比如许多交换机、路由器等都有安全机制, 能实现访问控制和权限管理等。

3.1.2 增加不直接连接网络的独立数据库服务器

增加一台不直接与因特网连接的普通计算机作为独立的数据库服务器。电子商务网站在数据库方面的要求比较低, 完全可以选用性能比较稳定的、有较大内存的PC机作为独立的数据库服务器。如果攻击者要攻击数据库服务器, 则首先要取得Web服务器的控制权, 再利用Web服务器作为跳板才能攻击数据库服务器, 这样数据库服务器被攻击的机率就要小得多。另外, 还可以租用第三方服务商提供Web服务的电子商务网站。虽然Web服务器不受经营者控制, 但数据库服务器是独立的并受经营者控制的, 所以可以自行设置安全措施而不受限制, 因此也可提高安全性。

3.2 软件方面的改进

3.2.1 增加操作系统与Web服务器的安全性

对于网络数据库运行所依赖的计算机系统和网络来说, 最主要的安全威胁来自病毒侵犯, 对此, 外围层中应避免病毒利用网络平台隐藏、扩散及破坏整个系统的运行, 采用防、杀、管相结合的综合治理方法, 可采用VPN技术构筑网络数据库系统的虚拟专用网, 保证网络路由的接入安全及信息的传输安全, 通过防火墙技术, 实现网间隔离和网段间隔离, 保证网络边界安全, 确保系统免受病毒等非法入侵的危害。其次, 就是通过加密, 防止数据在传输过程中被监听或篡改。SQL Server2000使用的Tabular Data Stream协议来进行网络数据交换, 如果不加密的话, 所有的网络传输都是明文的, 包括密码、数据库内容等等, 这是一个很大的安全威胁, 能被人在网络中截获到他们需要的东西, 包括数据库帐号和密码。所以, 在条件容许的情况下最好使用SSL来加密协议, 当然这需要一个证书来支持。

3.2.2 提高数据库自身的安全

(1) 数据库系统软件的选择。避免选用DBF、Excel、ACCESS等类软件。MS SQL Server属于大型的关系型数据库, 性能上能满足使用要求, 但是在使用时要及时打好补丁程序, 这样被攻击机会就比较小。

(2) 数据库软件的部署要求。首先要求数据库服务器对外部即Web服务器开放最少的端口。例如, 一台标准的MS SQL Server服务器对Web服务器只开放1433端口, 把其余不必要的端口全部屏蔽掉。其次是修改数据库系统的服务端口。如将MS SQL Server的服务端口由1433改成别的端口, 增加攻击软件对数据库服务器的服务端口的扫描难度。一旦系统安装完成后, 再给所有的帐户设定一个强健的口令, 若条件允许, 还可以在使用过程中定期或不定期更改口令。另外再建立一个帐户, 赋予这个帐户系统管理员角色, 并禁用或修改默认的系统管理员的帐户。如MS SQL Server可以在帐户建立完成后配置成只支持Win-dows身份验证, 这样就可以禁用SA帐户, 使得攻击者无法通过破解SA的口令而登录到数据库中。

3.3 做好数据库备份与恢复

建立严格的数据备份与恢复管理机制是保障所有电子商务网站数据库系统安全的有效手段。数据备份不仅要保证备份数据的完整性, 而且要建立详细的备份数据档案。系统恢复时如果使用不完整或日期不正确的备份数据都会破坏系统数据库的完整性, 导致严重的后果。针对不同数据库的实际情况, SQL Server 2000提出了3种主要的备份策略:只备份数据库, 备份数据库和事务日志, 增量备份。一般说来, 对数据库进行备份, 应综合使用3种备份策略, 普通的电子商务网站数据库的备份策略如下:根据系统运行的实际情况, 周期性地进行全面数据库的备份。

4 结束语

电子商务网站的数据库安全问题是近年来倍受关注的问题, 确保其安全是一个系统工程。以上所介绍的方法各有长短, 开发电子商务网站人员应该选择性地使用。这些方法也不是绝对安全的, 还需要网站管理者进一步研究, 以确保电子商务工作的顺利开展。

参考文献

[1]刘晓东.基于Web的网络数据库安全技术研究[D].武汉:武汉理工大学, 2003.

[2]贺斌.身份认证理论与技术[J].长江大学学报, 2004 (1) .

[3]李忠哗.数据库的几种安全控制方法[J].张家口师专学报, 2003 (3) .

[4]林柏钢.网络与信息安全教程[M].北京:机械工业出版社, 2004.

电子商务网络信息安全问题 第5篇

2.加强网络安全管理。我国网络安全管理除现有的部门分工外，要建立一个具有高度权威的信息安全领导机构。只有在中央建立起这样一个组织，才能有效地统一、协调各部门的职能，研究未来趋势，制定宏观政策，实施重大决定。对于计算机网络使用单位，要严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》，建立本单位、本部门、本系统的组织领导管理机构，明确领导及工作人员责任，制定管理岗位责任制及有关措施，严格内部安全管理机制。具体的安全措施如：把好用户入网关、严格设置目录和文件访问的权限，建立对应的属性措施，采用控制台加密封锁，使文件服务器安全可靠；用先进的材料技术，如低阻材料或梯性材料将隔离设备屏蔽起来，降低或杜绝重要信息的泄露，防止病毒信息的入侵；运用现代密码技术，对数据库与重要信息加密；采用防火墙技术，在内部网和外部网的界面上构造保护层。

3.加快网络安全专业人才的培养。我国需要大批信息安全人才来适应新的网络安全保护形势。高素质的人才只有在高水平的研究教育环境中迅速成长，只有在高素质的队伍保障中不断提高。应该加大对有良好基础的科研教育基地的支持和投入，多出人才，多出成果。在人才培养中，要注重加强与国外的经验技术交流，及时掌握国际上最先进的安全防范手段和技术措施，确保在较高层次上处于主动。要加强对内部人员的网络安全培训，防止堡垒从内部攻破。

4.开展网络安全立法和执法。一是要加快立法进程，健全法律体系。自1973年世界上第一部保护计算机安全法问世以来，各国与有关国际组织相继制定了一系列的网络安全法规。我国政府也十分重视网络安全立法问题，成立的国务院信息化工作领导小组曾设立政策法规组、安全工作专家组，并和国家保密局、安全部、公安部等职能部门进一步加强了信息安全法制建设的组织领导与分工协调。我国已经颁布的网络法规如：《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。10月1日起生效的新《刑法》增加了专门针对信息系统安全的计算机犯罪的规定：违犯国家规定，侵入国家事务、国防建设、尖端科学领域的计算机系统，处三年以下有期徒刑或拘役；违犯国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机系统不能正常运行，后果严重的处五年以下有期徒刑，后果特别严重的处五年以上有期徒刑；违犯国家规定，对计算机信息系统存储、处理或者传输的数据与应用程序进行删除、修改、增加操作，后果严重的应负刑事责任。这些法规对维护网络安全发挥了重要作用，但不健全之处还有许多。一是应该结合我国实际，吸取和借鉴国外网络信息安全立法的先进经验，对现行法律体系进行修改与补充，使法律体系更加科学和完善；二是要执法必严，违法必纠。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度，提高执法的效率和质量。

5.抓紧网络安全基础设施建设。一个网络信息系统，不管其设置有多少道防火墙，加了多少级保护或密码，只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的，就没有安全可言；这正是我国网络信息安全的致命弱点。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此，需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。

6.把好网络建设立项关。我国网络建设立项时的安全评估工作没有得到应有重视，这给出现网络安全问题埋下了伏笔。在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时，在立项时更应注重对网络的可靠性、安全性评估，力争将安全隐患杜绝于立项、决策阶段。

7.建立网络风险防范机制。在网络建设与经营中，因为安全技术滞后、道德规范苍白、法律疲软等原因，往往会使网络经营陷于困境，这就必须建立网络风险防范机制。为网络安全而产生的防止和规避风险的方法有多种，但总的来讲不外乎危险产生前的预防、危险发生中的抑制和危险发生后的补救。有学者建议，网络经营者可以在保险标的范围内允许标保的财产进行标保，并在出险后进行理赔。

8.强化网络技术创新。如果在基础硬件、芯片方面不能自主，将严重影响我们对信息安全的监控。为了建立起我国自主的信息安全技术体系，利用好国内外两个资源，需要以我为主，统一组织进行信息安全关键技术攻关，以创新的思想，超越固有的约束，构筑具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。

9.注重网络建设的规范化。没有统一的技术规范，局部性的网络就不能互连、互通、互动，没有技术规范也难以形成网络安全产业规模。目前，国际上出现许多关于网络安全的技术规范、技术标准，目的就是要在统一的网络环境中保证信息的绝对安全。我们应从这种趋势中得到启示，在同国际接轨的同时，拿出既符合国情又顺应国际潮流的技术规范。

10.建设网络安全研究基地。应该把我国现有的从事信息安全研究、应用的人才很好地组织起来，为他们创造更优良的工作学习环境，调动他们在信息安全创新中的积极性。一是要落实相关政策，在收入、福利、住房、职称等方面采取优惠政策；二是在他们的科研立项、科研经费方面采取倾斜措施；三是创造有利于研究的硬环境，如仪器、设备等；四是提供学习交流的机会。

11.促进网络安全产业的发展。扶持具有中国特色的信息安全产业的发展是振兴民族信息产业的一个切入点，也是

维护网络安全的必要对策。为了加速发展我国的信息安全产业，需要尽快解决资金投入、对外合作、产品开发、安全评测、销售管理、采购政策、利益分配等方面存在的问题。

【参考文献】

[1]屈云波.电子商务[M].北京：企业管理出版社，.

[2]赵立平.电子商务概论[M].上海：复旦大学出版社，.

[3]赵战生.我国信息安全及其技术研究[J].中国信息导报，1999，（8）：5-7.

[4]郭晓苗.Internet上的信息安全保护技术[J].现代图书情报技术，2000，（3）：50-51.

[5]吉俊虎.网络和网络安全刍议[J].中国信息导报，1989，（9）：23-24.

[6]郭炎华.网络信息与信息安全探析[J].情报杂志，，（4）：44-45.

电子商务支付安全问题研究 第6篇

关键词：市场经济 安全 支付 问题

中图分类号：F71 文献标识码：A 文章编号：1674-3520（2014）-02-00126-01

一.电子商务中的支付安全问题

随着社会的经济的发展，电子商务已经和人们的生活密不可分，淘宝，网购也成了人们生活中频率最高的名词之一。但随着电子商务的高速发展，一系列的问题也随之而来，其中最为重要的就是电子商务支付安全问题。

二、支付安全问题分析

（一）个人信息安全问题隐患

一是消费者个人信息安全得不到保障。消费者在网上消费的同时需要登记自己的个人信息，包括电话号码、身份证号、银行账号、通讯地址等等，这样就将消费者的个人保密信息暴露给网络这个开放的平台，导致一些不法分子盗取消费者信息，进行电话、网络等营销活动，骗取消费者信息进行欺骗、榨取等不法行为；二是消费者个人财产安全受到威胁。消费者进行网上交易，首先需要申请个人账户，开通网上银行，存入资金给第三方平台，但是电脑网络系统自己存在的安全隐患问题，导致不法分子利用木马等病毒侵入电脑系统，篡改、盗取消费者账号，使消费者个人财产受到损失。

（二）商家经营行为制度规则不完善

一是隐瞒真实情况，制造虚假广告。网上商店展示的商品往往是一些图片和文字。而许多网上经营者展示商品时，没有一定的展示标准，向消费者提供的大多是不完整的信息，使消费者不能全面判断商品质量，从而造成损失。网络广告作为消费者网上购物的主要依据，而消费者却又很难判别广告信息的真实性，许多经营者故意向消费者提供虚假的商品信息，欺骗消费者；二是网络欺诈。一些经营者以非法占有为目的，通过虚构未经工商登记的企业，编造虚假的企业信用信息和经营情况，以及获奖材料，宣称子虚乌有商品和服务信息，骗取消费者。从而使消费者在支付过程中，即使收到安全威胁，也在事后投诉无门。

（三）网络安全支付法制并不完善

我国目前的银行卡网上支付方式也存在着一些的缺陷。其中，最主要的问题就是各家银行甚至同一家银行的不同分行、不同的卡品种所提供的支付网关、服务标准、地域范围的不相同，使买家和商家利用银行卡网上支付开展电子商务活动造成了很大的混淆和障碍。目前国内主要的电子商务交易网站的银行基本都提供很多种网上支付的方式，每一家银行都有不同的方式进行支付的网关，有的银行还是通过第三方授权机构进行的综合性能的支付的网关，由于这些的支付方式过多，使得更多的交易者在选择交易时很迷茫并且引发了一些不必要的麻烦。同时，对于网站维护的工作人员来说也造成了一定的困扰。由于我国引进电子商务时间短，造成很多法律制度并没有对网络犯罪有一定的具体条例，是很多网络商家钻法律空子，给消费者带来了很多侵权事件。

三、解决方式分析

（一）设立网络市场安全屏障

市场主体的真实身份不明确，建议参照现行有形商品交易市场企业、个体户登记规则，取缔网络无照经营活动，对在因特网从事商品经营的市场主体必须持有营业执照。凡利用互联网从事经营活动的企业和个体工商户，必须申请和使用电子营业执照。电子执照就是网上的通行证，作为企业在互联网上的身份标识，为了方便企业的决策，维护市场经济秩序，及时提供各种行政管理信息服务，电子执照除了对于一些基本的营业执照内容的标记，还要记住相应的某些网站的地址、域名和可以对该网站的相关联的一些商品和有效期进行检查，对于网络商家经营的一些商品必须要把营业执照放在最显眼的地方，做到与在有形市场一样的亮照经营。通过实施对电子商务主体亮照经营制度，可以保证电子商务市场主体的真实性和可靠性，使电子商务活动中的交易环境得到净化。这样在消费者进行支付时，才会得到安全的网址支付，进而确保支付安全。

（二）加强电子支付安全保障

商业银行应对相关的网上银行进行一定的完善在运营方面，整理并规定除相关的网上银行的管理策略和方针，对企业的运营有一个正确的引导，对这些银行的建设有了一系列的相关的科学论证，这些相关的科学论证也是为了保证信息的可靠安全性，使得电子银行系统的设计得到最严密的设计，在系统运行方面得到安全稳定，使得我们的功能做到最好的完善。首先我们要确定银行应该有的一些相关的责任，因客户没有按照相关的协议进行相关的责任，虽然有些相关的金融机构可以不用承担相应的责任，但是法律法规也会对其进行相关的责任。

另外，对于电子银行业务的开办、增加和更改没有经过相关的金融机构的同意就进行审批的电子银行业务类型，造成客户损失的金融机构应承担全部责任；其次是电子银行需要建立相应的恢复系统或者备份，使电子银行在发生意外事故时对原有的资料有备份和建立很强的防御能力，因电子银行的安全技术的投入很少，需要增加对电子银行的投入。再次是应该对一些高效的安全产品和技术引进进来，客户在进行交易时的安全性有所提高。同时，要对一些黑客的攻击和病毒进行相关的防范，对于一些防毒软件和防火墙进行及时的升级，并维护电脑的系统定期的检查，这样就能提高电脑对于一些黑客攻击和病毒的防御能力，使电子银行的系统的安全性有了最基本的保障。

综上所述，突破电子商务应用中的支付“瓶颈”、改善支付环境是一个长期的、复杂的工程，不可能一蹴而就。总的来看，要解决电子商务应用过程中的支付难题就必须建立全面统一的现代化支付体系，更需要全社会共同的努力。

【参考文献】

《电子商务概论》 李琪主编 高等教育出版社2011年9月

《中国电子商务发展研究报告》 吕廷杰，徐华飞主编 北京邮电大学出版社 2012年

电子商务安全问题浅析 第7篇

1. 网络安全问题

网络安全主要是指计算机和网络本身可能存在的安全问题, 也就是要保障电子商务平台的可用性和安全性。网络安全是电子商务的基础, 其问题一般表现为:

1.1 计算机本身潜在的安全隐患带来的网络安全问题

计算机使用的是未经过相关的网络安全配置的操作系统, 不论是什么操作系统, 在缺省安装的条件下都会存在一些安全问题, 而仅仅将操作系统按缺省安装后, 再配上很长的密码就认为安全的想法是不可靠的。因为计算机本身存在的软件漏洞和“后门”往往是网络攻击的首选目标。

1.2 入侵者风险降低获利升高带来的刺激引发的网络安全问题

由于网络的全球性、开放性、共享性的发展, 使得任何人都可以自由地接入互联网, 而这其中也包括了黑客、入侵者和病毒制造者。他们采用的攻击方法越来越多, 对电子商务的威胁也显得越来越明显。相对而言, 袭击者本身的风险却非常小, 甚至可以在袭击后很快就消失得无影无踪, 使对方几乎没有实行报复打击的可能, 这使他们的活动更加猖獗。美国的“雅虎”和“亚马逊”曾受到攻击的事件就说明了这一点。

1.3 安全设备使用不当带来的网络安全问题

虽然绝大多数网站采用了网络安全设备, 有的甚至还耗费巨资, 但由于安全设备本身因素或使用问题, 这些设备并没有起到应有的或期望的作用。很多安全厂商的产品对配置人员的技术背景要求很高, 往往超出对普通网管人员的技术要求, 就算是厂家在最初给用户做了正确地安装、配置, 一旦系统改动, 需要改动相关安全设备的设置时, 很容易产生许多安全问题。而通常意义上的网络管理者往往无法胜任这样的工作。

因此在实施网络安全防范措施时应做到:首先要加强主机本身的安全, 做好安全配置;及时安装安全补丁程序, 减少漏洞;安装防病毒软件和软件防火墙, 加强内部网的整体防病毒措施;使用各种系统漏洞检测软件定期对网络系统进行扫描分析, 找出可能存在的安全隐患, 并及时加以修补;从路由器到用户各级建立完善的访问控制措施, 安装防火墙, 加强授权管理和认证;利用相应的数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行一定强度的数据加密;建立详细的安全审计日志, 以便检测并跟踪入侵攻击。同时充分利用已经公布的有关交易安全和计算机安全的法律法规为电子商务交易护航。再者, 面对普通网络管理员的技术水平, 在网络的建设和维护中可采用联合开发维护的方式, 通过前期的建设和维护不断提高和完善自身团队的技术水平, 使其在成长中逐步胜任企业对网络安全的要求。

2. 商务安全问题

商务安全指商务交易在网络媒介中体现出来的安全问题, 也就是要实现电子商务信息的保密性、完整性、真实性和不可抵赖性。

在早期的电子交易中, 曾采用过一些简单的安全措施。例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知, 以防泄密, 网上交易后再用其他方式对交易做确认, 以保证其真实性和不可抵赖性。这些方法不仅操作不便, 而且有一定的局限性, 也不能实现其真正的安全性。

2.1 商务安全中普遍存在的几种安全隐患

2.1.1 窃取信息

信息在传输过程中未采用相应的加密措施或加密强度不够, 导致数据信息在网络上以明文或近乎明文的形式传送。入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息, 通过对窃取数据参数的分析比对, 找到信息的格式和规律, 进而得到传输信息的内容, 导致消费者消费信息、账号密码和企业商业机密等信息的外泄。

2.1.2 篡改信息

当入侵者掌握了信息的格式和规律后, 通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地, 从而破坏信息的真实性。入侵者通过改变信息流的次序、更改信息的内容、删除信息的某些部分, 甚至在信息中插入一些附加内容, 使接收方做出错误的判断与决策。

2.1.3 信息假冒

由于掌握了数据的格式, 并可以篡改通过的信息, 攻击者可以进一步冒充合法用户获取和发送信息, 而远端接受方或发送方通常不易分辨。常见的方式有伪造用户和商户的收订货单据, 套取或修改相关程序的使用权限等。

2.1.4 信息破坏

由于攻击者已侵入网络, 已获得对网络中信息的修改权限, 如其对网络中现有机要信息进行修改乃至于删除, 其后果是非常严重的。

2.2 商务安全的要求

2.2.1 信息的保密性

交易中的商务信息都需要遵循一定的保密规则。因为其信息往往代表着国家、企业和个人的商业机密。在以往传统的纸面贸易中采用邮寄封装或通过可靠的通信渠道传送商业信息来达到保密的目的和要求。而电子商务是建立在一个较为开放的互联网络环境上的, 它所依托的网络本身也就是由于开放式互联形成的市场, 才赢得了电子商务, 因此在这一新的支撑环境下, 势必要用相应的技术和手段来延续和改进信息的保密性。一般用密码技术来实现。

2.2.2 信息的完整性

不可否认电子商务的出现以计算机代替了人们大多数复杂的劳动, 也以信息系统的形式整合化简了企业贸易中的各个环节, 但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整、统一出现了问题。由于数据输入时的意外差错 (如计算机自动处理过程中死机、停电等) , 可能导致贸易各方信息的不一致。此外, 数据传输过程中人为的或自然的信息丢失 (如数据包丢失) 、信息重复或信息传送的次序差异 (如网络堵塞重发) 也会导致贸易各方信息的不同。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略。因此保持贸易各方信息的完整性是电子商务应用必备的基础。完整性一般可通过提取信息消息摘要的方式来获得。

2.2.3 信息的不可抵赖性

在交易中会出现交易抵赖的现象, 如信息发送方在发送操作完成后否认曾经发送过该信息, 或与之相反, 接受方收到信息后并不承认曾经收到过该条消息。因此如何确定交易中的任何一方在交易过程中所收到的交易信息正是自己的合作对象发出的, 而对方本身也没有被假冒, 是电子商务活动和谐顺利进行的保证。信息的保证可以通过对发送的消息进行数字签名来获取。身份的确定一般都采用证书机构CA和证书的方法来实现。让素昧平生、相隔千里的双方成为合作伙伴毕竟不是一件容易的事情。

当然, 在电子商务活动中还有许多要求, 比如交易信息的时效界定问题, 交易一旦达成后有无撤消和修改的可能等。相信在电子商务的发展中必将涌现各种技术和各项法律法规, 规范人们的需求并帮助其实现, 以保证电子商务交易的严肃性和公正性。

3. 电子商务的安全技术

3.1 加密技术

加密技术是保证电子商务安全的重要手段, 为保证电子商务安全使用加密技术对敏感的信息进行加密, 保证电子商务的保密性、完整性、真实性和非否认服务。

3.1.1 加密技术的现状

如同许多IT技术一样, 加密技术层出不穷, 为人们提供了很多的选择余地, 但与此同时也带来了一个问题——兼容性, 不同的企业可能会采用各自不同的标准。

另外, 加密技术向来是由国家控制的, 例如SSL的出口受到美国国家安全局 (NSA) 的限制。目前, 美国的企业一般都可以使用128位的SSL, 但美国只允许加密密钥为40位以下的算法出口。虽然40位的SSL也具有一定的加密强度, 但它的安全系数显然比128位的SSL要低得多。美国以外的国家很难真正在电子商务中充分利用SSL, 这不能不说是一种遗憾。目前, 我国由上海市电子商务安全证书管理中心推出的128位SSL算法, 弥补了国内的这一空缺, 也为我国电子商务安全带来了广阔的前景。

3.1.2 常用的加密技术

对称密钥密码算法:对称密码体制由传统简单换位代替密码发展而成, 加密模式上可分为序列密码和分组密码两类。

不对称型加密算法:也称公用密钥算法, 其特点是有两个密钥即公用密钥和私有密钥, 两者必须成对使用才能完成加密和解密的全过程。本技术特别适用于分布式系统中的数据加密, 在网络中被广泛应用。其中公用密钥公开, 为数据源对数据加密使用, 而用于解密的相应私有密钥则由数据的接受方保管。

不可逆加密算法:其特征是加密过程不需要密钥, 并且经过加密的数据无法被解密, 只有输入同样的数据经过同一不可逆加密算法的比对才能得到相同的加密数据。因为其没有密钥所以不存在密钥保管和分发问题, 但由于它的加密计算工作量较大, 所以通常只在数据量有限的情况下, 例如计算机系统中的口令信息的加密。

3.1.3 电子商务领域常用的加密技术

数字摘要:又称安全Hash编码法。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文, 这一串密文亦称为数字指纹, 具有固定的长度, 并且不同的明文摘要其密文结果是不一样的, 而同样的明文其摘要保持一致。

数字签名:数字签名是将数字摘要、公用密钥算法两种加密方法结合使用。它的主要方式是报文的发送方从报文文本中生成一个128位的散列值 (或报文摘要) 。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名, 然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值 (或报文摘要) , 接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同, 那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性, 有效地防止了签名的否认和非正当签名者的假冒。

数字时间戳:是对交易文件的时间信息所采取的安全措施。该网上安全服务项目, 由专门的机构提供。时间戳是一个经加密后形成的凭证文档, 它包括:需加时间戳的文件的摘要, 数字时间戳服务收到文件的日期和时间, 数字时间戳服务的数字签名。

数字证书:数字证书又称为数字凭证, 是用电子手段来证实一个用户的身份和对网络资源的访问权限, 主要有个人凭证、企业 (服务器) 凭证、软件 (开发者) 凭证三种。

3.2 身份认证技术

在网络上通过一个具有权威性和公正性的第三方机构——认证中心, 将申请用户的标识信息 (如姓名、身份证号等) 与他的公钥捆绑在一起, 用于在网络上验证确定其用户身份。前面所提到的数字时间戳服务和数字证书的发放, 也都是由这个认证中心来完成的。

3.3 支付网关技术

支付网关, 通常位于公网和传统的银行网络之间 (或者终端和收费系统之间) , 其主要功能为:将公网传来的数据包解密, 并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部传回来的响应消息, 将数据转换为公网传送的数据格式, 并对其进行加密。支付网关技术主要完成通信、协议转换和数据加解密功能, 并且可以保护银行内部网络。此外, 支付网关还具有密钥保护和证书管理等其他功能 (有些内部使用网关还支持存储和打印数据等扩展功能) 。

4. 与电子商务安全有关的协议技术

4.1 SSL协议 (Secure Sockets Layer)

SSL协议也叫安全套接层协议, 面向连接的协议, 是现在使用的主要协议之一, 但当初并非为电子商务而设计。该协议使用公开密钥体制和X.509数字证书技术来保护信息传输的机密性和完整性。SSL协议在应用层收发数据前, 协商加密算法、连接密钥并认证通信双方, 从而为应用层提供了安全的传输通道, 在该通道上可透明加载任何高层应用协议 (如HTTP、FTP、TELNET等) 以保证应用层数据传输的安全性。由于其独立于应用层协议, 在电子交易中常被用来安全传送信用卡号码, 但由于它是个面向连接的协议, 只适合于点对点之间的信息传输, 即只能提供两方的认证, 而无法满足现今主流地加入了认证方的三方协作式商务模式, 因此在保证信息的不可抵赖性上存在着缺陷。

4.2 SET协议 (Secure Electronic Transaction)

SET协议也叫安全电子交易, 对基于信用卡进行电子化交易的应用提供了实现安全措施的规则, 与SSL协议相比较, 做了些改进。在商务安全问题中, 往往持卡人希望在交易中对自己的交易信息保密, 使之不会被人窃取, 商家希望客户的订单真实有效, 并且在交易过程中, 交易各方都希望验明对方的身份, 以防止被欺骗。针对这种情况, Visa和MasterCard两大信用卡组织以及微软等公司共同制定了SET协议, 一个能保证通过开放网络 (包括Internet) 进行安全资金支付的技术标准。它采用公钥密码体制和X.509数字证书标准, 主要应用于保障网上购物信息的安全性。由于SET提供了消费者、商家和银行之间的认证, 弥补了SSL的不足, 确保了交易数据的安全性、完整性、可靠性和交易的不可否认性, 特别是保证不将消费者银行卡号暴露给商家等优点, 因此它成为目前公认的信用卡/借记卡网上交易的国际安全标准。

除此之外还有安全超文本传输协议 (SHTTP) 、安全交易技术协议 (STT) 等。协议为电子商务提供了规范。

5. 结语

安全是电子商务的核心和灵魂。电子商务对网络安全与商务安全的双重要求, 使网络安全与商务安全密不可分。没有计算机网络安全作为基础, 商务交易安全无从谈起;没有商务安全保障, 即使计算机网络本身再安全, 仍然无法达到电子商务所特有的安全要求。而电子商务相应的实现技术和各种协议正是安全得以实现的保证。

摘要：电子商务以网络传输和处理商业信息的模式, 逐步替代了传统基于纸张的贸易模式。在模式的转变过程中, 引入先进技术的同时, 也将一些不成熟但可以带来较大经济收益的技术带到了这个新的交易模式中, 让这一模式在充满诱惑的同时又面临着各种考验。其中对电子商务最严峻的考验就是安全。本文结合现有的安全问题和技术, 分析了如何实现安全的电子商务。

关键词：电子商务,网络安全,商务安全,安全技术,安全协议

参考文献

[1]康晓东等.电子商务及应用[M].北京:电子工业出版社, 2004.3.183～218

[2]贾晶, 陈元等.信息系统安全与保密[M].北京:清华大学出版社, 1999, 202～212

[3]康晓东.电子商务系统建设与应用[M].天津:南开大学出版社, 2003, 183～218

电子商务及其安全问题 第8篇

1 概述

电子商务, 顾名思义, 是指是在全球各地广泛的商业贸易活动中, 在因特网开放的网络环境下, 基于浏览器/服务器应用方式, 利用计算机技术、网络技术和远程通信技术, 卖双方不谋面地进行各种商贸活动, 实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。[1]

2 我国电子商务的现状

自2005年以来, 我国电子商务市场交易额稳定增长, 2007年我国电子商务市场规模突破17000亿元。目前B2B市场的集中度较高, 2007年我国B2B电子商务交易额约为12500亿元, 比2006年增长25.5%;B2C网站总收入约为52.2亿元, 同比增长33.5%;C2C交易额约为410.4亿元, 同比增长90%。未来3年, 仍是我国电子商务投资规模持续增长和爆发的时期, 我国电子商务投资市场将迎来新一轮的发展高潮。

然而根据国内的统计资料显示, 在过去一年中约有64%的公司信息系统遭到黑客的危害性攻击。[2]因此如何建立一个安全的电子商务环境, 使得电子商务和传统商务活动一样安全可靠, 已成了当务之急。

3 电子商务安全隐患存在的外在因素

目前电子商务的发展还存在许多除技术以外的问题:

(1) 税收问题:由于电子商务的交易活动是在没有固定场所的国际信息网络环境下进行, 造成国家难以控制和收取电子商务的税金。

(2) 电子商务的管理不够规范。经常容易遭受黑客的攻击。

(3) 配送问题。网上消费者经常遇到交货延迟的现象, 而且配送的费用很高。我国尚未形成一套高效、完备的配送管理系统。

(4) 电子合同的法律问题。一方面, 电子合同存在容易编造、难以证明其真实性和有效性的问题;另一方面, 现有的法律尚未对电子合同的数字化印章和签名的法律效力进行规范。

(5) 电子证据的认定。由于网络上信息的的不稳定性, 当发生侵权时, 很难收集侵权证据, 对解决侵权纠纷造成了很大的困难。

4 电子商务的安全技术问题

目前全球通过电子商务渠道完成的贸易额仍只是占同期全球贸易额约四分之一, 而我国大部分电子商务是非支付型的。根据AC尼尔森调查数据, 中国多数 (34%) 网上购物者选择货到付款, 31%是银行转账, 只有26%的网上购物者会选择信用卡支付。[3]由此可见, 电子商务的安全技术问题已经成为电子商务发展的瓶颈。

目前, 电子商务存在的安全技术隐患主要有以下几个方面:

(1) 病毒的入侵。因为Internet网的开放性, 当从互联网上下载的某个文件时, 病毒可以通过互联网入侵计算机, 或则从某个外界介质进入网络, 进而将感染网络上的其他计算机。

(2) 黑客的攻击。黑客利用自己在计算机方面的高超技能, 对网络中的一些重要信息进行修改或伪造, 使信息失去真实性。

(3) 数据截取。攻击者可能通过截收装置, 对数据进行非法的截获与监听, 推断出有用信息, 如消费的银行帐号、密码等。

(4) 身份的识别。网络犯罪分子可以利用电子商务存在的技术漏洞, 通过非法手段盗用合法用户的身份信息, 仿冒合法用户的身份与他人进行交易, 从而获得非法利益, 以破坏交易、破坏一方的信誉或盗取交易成果等。

针对上述安全隐患, 也由此对电子商务的安全性提出以下相应要求:系统的可靠性、交易的真实性、资料的完整性和安全性、交易的不可抵赖性。

为此, 应该从技术防范层次出发, 保证电子商务的安全运行。

5 电子商务的安全措施

5.1 防火墙技术

防火墙技术是目前计算机网络采用的主要安全措施。它是一种软件与硬件的结合, 在Internet与Intranet之间建立起一个安全网关, 用来阻挡外部不安全因素, 保护内部网免受非法用户的侵入。目前的防火墙技术主要包括:网络级防火墙 (也叫包过滤型防火墙) 、应用级网关、电路级网关和规则检查防火墙。当然, 防火墙也有自身的局限, 它防火墙无法抵御数据驱动型的攻击, 并且只能抵御外来攻击, 很难预防来自内网的攻击伤害;而且防火墙自身也存在着很多漏洞和后门。[3]

5.2 加密技术

加密的主要目的是防止信息的非授权泄露。在电子商务中获得广泛应用的加密技术有以下两种:对称密钥加密和非对称密钥加密。

(1) 对称密钥加密。又称秘密密钥或单密钥加密, 加密与解密有着共同的算法, 进行通行交易的各方能能确保专用密锁交换阶段未被泄露。其优点是计算速度非常迅速, 且使用方便、计算量小、加密效率高, 广泛用于大量数据如文件加密中。目前常用的对称加密算法有DES、PCRIDEA、3DES等。其中DES使用最普遍。[4]

(2) 非对称密钥加密。又称为公开密钥系统。非对称密钥加密的密锁为一对, 分别为:公开密钥和私有密钥。公钥是向他人公开的, 私钥自己拥有。信息的发送方使用接收方的公钥加密信息, 形成的密文, 接收方收到密文后, 用自己的私有密钥解密密文。公开密钥必须由两个密钥配合使用, 加强了数据的安全性。但算法的速度很慢, 不适合对文件加密, 只适用于对少量数据进行加密。目前非对称加密算法主要有RSA、DSA、PKCS、PGP等。

结合两种加密技术各有优点和缺点, 在现实电子商务环境下, 要做到对信息更好的保密性, 一般采用以上两种加密方法的联合使用。

5.3 数字签名

数字签名, 又称公钥数字签名、电子签章。数字签名技术是将摘要信息用发送者的私钥加密, 与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息, 然后用HASH函数对收到的原文产生一个摘要信息, 与解密的摘要信息对比。如果相同, 则说明收到的信息是完整的, 在传输过程中没有被修改, 否则说明信息被修改过, 因此数字签名能够验证信息的完整性。

5.4 数字证书

数字证书, 又成为数字凭证, 它能很好地解决数字签名技术中如何把公钥安全地传递给对方这一棘手问题。在交易支付过程中, 参与各方必须利用认证中心 (CA) 签发的数字证书来证明各自的身份。它具有安全性、唯一性、方便性三个特点。是目前广泛采用的技术之一。

5.5 数字时间戳

对于成功的电子商务应用, 要求参与交易各方不能否认其行为。这其中需要在经过数字签名的交易上打上一个可信赖的时间戳, 从而解决一系列的实际和法律问题。它是一个经加密后形成的凭证文档, 包括三个部分:需加时间戳的文件的摘要;DTS收到文件的日期和时间;DTS的数字签名。[5]5.6完善的交易安全协议

除了各种安全控制技术外, 电子商务的运行还需要一套完善的交易安全协议。不同的应用环境对协议目标的要求不尽相同。目前, 比较成熟的协议有SET, SSL, IKP等基于信用卡的交易协议;Net Bil, l Net Cheque等基于支票的交易协议;Digicash, Net-cash等基于现金的交易协议, 匿名原子交易协议[6]。

6 小结

从国内外目前的形式看, 电子商务作为一种新的生产方式, 正以前所未有的迅猛速度发展着。而电子商务的安全问题多种多样的, 在实际应用中必须把多种安全技术结合起来, 完善电子商务法的制定, 规范电子商务发展中面临的各种安全问题, 使我国的电子商务安全现状得到较大的改善, 为我国电子商务的真正发展构筑一道不可破的坚固屏障。

参考文献

[1]全国科学技术名词审定委员会.关于电子商务科技名词的定义.

[2]宋磊.电子商务安全隐患及其防范[A].福建:福建行政学院福建经济管理干部学院学报, 2008 (2) .

[3]董永健.浅议电子商务及其网络安全[A].福建:福建电脑, 2010 (1) .

[4]马新飚.电子商务及其安全技术[A].甘肃:甘肃农业, 2006 (7) .

[5]李浩.电子商务中电子支付及其安全问题[A].天津:天津职业院校联合学报, 2008 (5) .

移动电子商务安全问题探析 第9篇

移动电子商务 (Mobile Commerce, M–Commerce) 是电子商务的延伸, 是指交易当事人用无线网络技术及便携式终端设备 (移动电话、PDA、笔记本电脑) 等现代信息技术所进行的各类商务活动, 包括货物贸易、服务贸易和知识产权贸易。移动电子商务包括移动支付、无线CRM (客户关系管理) 、移动股市、移动银行与移动办公等。

与传统电子商务相比, 移动电子商务具有显著的先天优势, 主要特点是灵活、简单、方便。它不受时间、地点、空间限制, 人们使用掌上设备便能随时随地上网、购物和做生意;它能完全根据消费者的个性化需求和喜好定制, 设备的选择以及提供服务与信息的方式完全由用户自己控制。通过移动电子商务, 用户可更及时地获取所需的服务、应用、信息和娱乐, 使得支付方便、快捷、成本低。

1 我国移动电子商务存在的主要安全威胁

移动电子商务的发展对我们而言既是机遇也是挑战, 我们可以充分利用这个机遇实现跨越式发展。安全问题是移动电子商务的基石, 更是移动电子商务能否取得成功最关键的因素。现在普遍存在的一个不争事实是:移动电子商务面临的最大障碍便是赢得客户的信任, 一个安全漏洞很可能导致企业的所有努力功亏一篑。由于我国移动电子商务的发展应用还处于起步阶段, 如法律规范不完善, 信用意识淡薄、移动终端限制了安全性能的提高, 无线网络本身的开放性降低了安全性等原因导致移动电子商务应用过程中存在诸多安全威胁。主要表现为:

1.1 来自移动通信终端的安全威胁

移动电子商务虽然诞生于电子商务, 但是其通过移动终端上网的特性决定了它存在和普通电子商务不同的安全性。在探讨移动安全的特性时, 我们首先要考虑的是移动终端本身的安全性。只有当移动电子商务赖以依存的移动终端安全了, 才可能进一步谈其它的移动安全问题。如今用于上网的移动终端主要有手提电脑、手机、PDA等等, 保障这些设备本身的安全以及在使用这些设备时遵循安全操作规范进行操作是移动电子商务安全保障的一个前提。

移动终端的安全威胁比较复杂。由于移动终端的移动性, 移动终端很容易被破坏或者丢失, 势必造成安全影响, 甚或安全威胁。这使得攻击者可以通过所获取来的移动终端上的数据资源非授权访问企业内部网络的系统资源, 或破坏移动通信终端中的数据完整性。由于移动终端的持有者和网络终端的所有者一般情况下分属于不同的实体, 因此, 他们尽管都属于终端的范畴, 但是他们所面临的安全威胁是不尽相同的。概括起来移动终端的安全威胁, 主要包括如下方面:移动终端设备的物理安全;移动终端被攻击和数据破坏;SIM卡被复制;RFID (即射频识别, 俗称电子标签) 被解密;在线终端容易被攻击等。

1.2 无线通信网络本身的安全威胁

移动电子商务是基于移动通信系统的无线数据通信技术的。无线通信网络是通过一个开放的信道进行通信, 无法像有线网络那样依靠信道的安全来保护信息, 这就使得它在给无线用户带来通信自由和灵活性的同时, 也带来了诸多不安全因素。如通信内容容易被窃听威胁、网路漫游的威胁、针对无线通信标准的攻击、窃取用户的合法身份、对数据完整性的威胁。这对于使用无线网络的用户信息安全、个人安全等都构成了潜在的威胁。

1.3 移动Ad-hoc网络存在的安全威胁

移动Ad Hoc网络作为一种特殊的无线局域网, 较之传统的有线局域网和无线局域网有很大的区别。正是由于移动Ad Hoc网络所固有的特点, 使这种网络特别容易遭受攻击。下面列出Ad Hoc网络的几个特点及由其引起的一些安全威胁。

1) 缺乏物理保护且无线链路带宽受限。在Ad Hoc网络中, 所有的通信信号必须经过带宽受限的无线链路, 这一点使得该网络特别容易受到物理安全威胁。攻击者可以窃听并且修改无线通信链路上的所有信息, 也可以伪装成一个合法的参与者。

2) 拓扑结构不断变化。移动节点互相独立地漫游, 能够向任何方向移动, 使得一些静态的安全解决方案难以适应这种动态变化的拓扑结构。在移动Ad Hoc网络的大多数路由协议中, 通过节点相互交换网络拓扑结构的信息, 从而在源节点和目的节点之间建立路由。由于所有的消息通过无线电波传播, 任何入侵者都可以伪造一个路由的合法变化信息, 恶意地给出不正确的更新信息。

3) 移动Ad Hoc网络中的非集中化控制依赖于所有节点的合作参与。恶意节点可以通过拒绝合作, 中止合作算法。这一点使一些集中化的入侵检测机制不能使用。

4) 移动Ad Hoc网络中的一些节点或全部节点需要电池或其他易耗的方式供能。攻击者可以强迫一个节点重放报文, 耗尽其能量, 从而产生一种新的类型的拒绝服务攻击。

总之, 由于Ad Hoc网络具有开放的媒质、分布式的合作、动态的拓扑结构和受限的网络能力等基本特点, 并且缺乏中心授权, 所以特别容易受到攻击。已有的一些针对有线网络的安全解决方案不能直接应用于无线Ad Hoc网络。因此需要对移动Ad Hoc网络的安全路由、安全报文传送等问题进行具体研究。

1.4 移动商务平台运营管理漏洞造成的安全威胁

随着移动商务的发展, 移动商务平台林立。大量移动运营平台如何管理、如何进行安全等级划分、如何确保安全运营, 还普遍缺少经验。移动商务平台设计和建设中做出的一些技术控制和程序控制的安全思考, 急需要在运营实践中进行修正和完善, 更需要把技术性安全措施和运营管理中的安全措施, 交易中的安全警示和安全思考进行整合, 以形成一个整合的、增值的移动商务安全运营和防御战略, 确保使用者免收安全威胁。

1.5 法律规范不完善造成的安全威胁

我国已经制定了《电子商务签名法》等一系列的法律规范, 有效的规范了基于有线网络上的电子商务的发展, 但是国内还没有一部针对移动电子商务的法律法规。通过法律手段解决移动电子商务交易各方的纠纷问题成为一个法律上的真空区域。目前移动商务中虽己逐步开展, 但是信用问题仍然悬而未决。当前采用的形式基本是以移动运营商利用自己良好的信誉和网络接入的便利开展相应业务。

2 移动电子商务安全技术解决方案

在移动电子商应用过程中要提升移动商务的技术防范能力, 是提高移动商务安全性的关键和核心环节。因为移动安全技术在移动商务中守护着商家和客户的重要机密, 维护着商务系统的信誉和财产, 同时为服务方和被服务方提供极大的方便, 因此, 只有采取了必要和恰当的技术手段才能充分提高移动商务的可用性和可推广性。

2.1 无线应用协议 (WAP)

WAP是开展移动电子商务的核心技术之一。通过WAP, 手机可以随时随地、方便快捷地接入互联网, 真正实现不受时间和地域约束的移动电子商务。WAP是一种通信协议, 它的提出和发展是基于在移动中接入Internet的需要。WAP提供了一套开放、统一的技术平台, 用户使用移动设备很容易访问和获取以统一的内容格式表示的Internet或企业内部网信息和各种服务。它定义了一套软硬件的接口, 可以使人们像使用PC机一样使用移动电话收发电子邮件以及浏览Internet。同时, WAP提供了一种应用开发和运行环境, 能够支持当前最流行的嵌入式操作系统。WAP可以支持目前使用的绝大多数无线设备, 包括移动电话、寻呼机、双向无线电通信设备等等。在传输网络上, WAP也可以支持目前的各种移动网络, 如GSM、CDMA、PHS等, 它也可以支持未来的第三代移动通信系统。目前, 许多电信公司已经推出了多种WAP产品, 包括WAP网关、应用开发工具和WAP手机, 向用户提供网上资讯、机票订购、流动银行、游戏、购物等服务。WAP最主要的局限在于应用产品所依赖的无线通信线路带宽。对于GSM, 目前简短消息服务的数据传输速率局限在9.6kb/s。

WAP的安全机制可以实现移动电子商务所需具有的数据保密性、数据完整性、交易方的认证与授权和不可抵赖性四个方面信息安全特征。

1) WTLS协议

WTLS基于IETF小组的SSL/TLS协议, 提供了实体鉴别、数据加密和保护数据完整性的功能, 所以可以确保在WAP装置和WAP网关之间的安全通信。有三种不同级别的WTLS:WTLS Class1:执行未经证实的Diffie-Hellman密钥交换以建立会话密钥。WTLS Class2:使用与SSL/TLS协议相类似的公开密钥证书机制进行服务器端鉴别。WTLS Class3:客户端和服务器端采用X.509格式证书相互进行鉴别。

2) WAP身份模块WIM

WIM (WAP Identify Module) 是安装在WAP终端设备中的一种无法被篡改的计算机芯片, 用来支持WTLS协议并提供应用层面的安全功能:存放和处理使用者的身份认证信息 (密钥或证书) 。WIM包含了WTLS 3级的功能, 并嵌入了对公开密钥加密技术的支持。目前, WIM大多使用智能卡芯片来实现, 带有WIM的SIM卡由SIM卡的发行商提供。

3) WMLSCript

WMLSCript (WML Script Crypto API) 是一个应用编程接口, 使用该接口可访问WML脚本加密库中的安全函数 (如密钥对的生成、数字签名及处理PKI中常用的一些数据对象的函数) 。WML脚本加密接口使得WML应用可以访问和使用其他WAP安全标准管理和使用的安全服务及安全对象。WML脚本加密接口由WML脚本加密库来支持, 在WML脚本加密库中的常用函数有:生成密钥对、存储密钥和其他私人数据、控制对存放的密钥和数据的访问、生成和验证数字签名、加密和解密数据。WML脚本加密库一般使用WIM模块来提供密码运算支持。

4) WPKI (无线公钥基础设施)

无线公共密钥系统WPKI目前许多有线网络已实现基于PKI (公钥体系结构) 的安全服务, 而无线网络对安全服务的要求更为迫切。WPKI就是根据无线网络的特点, 将PKI技术延伸到无线安全服务领域。它为移动终端、无线网关以及参与移动电子商务的有线Internet内的服务器提供身份认证的机制, 包括审核、发放、管理数字证书等服务。

2.2 移动中间件 (Mobile Middleware)

由于移动计算具有用户移动、终端移动和服务移动等特点, 需要一个基础设施将合适的协议、机制、工具集成起来, 提供上述三方面的功能。移动中间件的使用, 很好的解决移动设备和移动OS (操作系统) 的多样性、各种不兼容的网络标准、无线网络带宽的变化和网络连接的不连贯性等一系列问题。

移动中间件为使包括计算机、笔记本、手机、掌上电脑、电话、家电、汽车等在内的广大终端具有增值应用能力带来了革命性的推动力量。它使广大终端具有了越来越强的智能处理能力, 在彻底改变传统以计算机为主的计算体系的基础上, 全面提升终端价值, 创造更多的终端增值应用。它将各种无线网络和电子政务服务联系在一起, 屏蔽了底层网络的复杂性, 为移动应用的开发提供了一个良好的支撑环境, 使应用程序获得良好的响应时间和性能。移动中间件主要的功能如下:

1) 安全管理 (Security Management) :

安全性是所有事务中间件所必须提供的内在特性, 是实现移动电子政务的一个重要方面。当前有很多供应商 (如Certicom Diversinetand Verisign) 为移动市场提供加密和公开密匙的技术和服务。

2) 位置管理 (Location Management) :

通过使用GPS、GSM位置服务器等设备使服务商获得用户的位置信息, 从而可以为用户提供更合适的服务。如Geo Java就是通过使用Oracle空间数据库, 获得用户位置信息并向用户提供服务。

3) 内容适配管理 (Content Adaptation Management) :

负责使传输内容适宜于访问设备的带宽和终端特性, 并可为用户提供个性化的服务。

4) 数据通信管理 (Data Communication Management) :

负责为用户提供SMS (Short Message Service) 和E-mail的数据服务。

移动中间件平台的使用, 可以简化移动电子商务的组建过程, 使应用服务商可以快速构造适合自己的移动电子商务平台, 有力的推动了移动电子商务的发展。

2.3 J2ME (Java 2 Platform, Micro Edition)

J2ME是当前使用比较多的基于移动设备的开发技术, 它提供了一种新型的企业客户端类型, 如手机、PDA等手持设备。Sun公司将J2ME定义为“一种以广泛的消费性产品为目标、高度优化的Java运行时环境”, 具有Java的“平台无关性”特点。可以在各种支持Java的小型电子设备上移植, 使移动无线设备之间能共享应用程序。J2ME采用3层结构设计, 分别是配置层 (Configuration) 、简表层 (Profile) 、厂商选择性实现 (Optional Packages) 。配置层是用于一组通用设备的最小的Java平台, 而简表层则为具体的系列设备或特别的应用程序提供更具体的能力。

J2ME中定义了两种配置规范, 分别是Connected Device Configuration (连接设备配置CDC) 和限制性更强的Connected Limited Device Configuration (有限连接设备配置CLDC) 。基于CDC的系统使用一个功能强劲的虚拟机 (JVM) , 如机顶盒、网络电视、网络电话、汽车导航系统等。而基于CLDC的系统使用KVM, 它是SUN专门为小型、资源受限设备所设计的紧凑的、便携的Java虚拟机, 如移动电话、PDA等。

J2ME的简表层定义在配置层之上, 它主要提供配置层中所缺少的功能以支持特定的设备。这些功能包括对用户界面的定义和对持续性存储的支持等, 它比配置层的针对性更强。简表的实现是Java应用程序接口的一个集合, 用于适应被定义配置的应用程序接口提供的服务, 简表是一个完整的运行环境, 一个在简表上执行的应用程序不需要额外的支持类。其中的MIDP (移动信息设备简表Mobile Information Device Profile) 是Java API中面向移动终端的集合。J2ME移动应用开发主要是基于CLDC/MIDP的开发, 其应用程序可运行于具有KVM的手机、PDA等, 解决了移动设备的跨平台难题。同时, J2ME去掉了一些在J2SE (java 2 Platform, simple edition) 和J2EE (Java 2 Platform, Enterprise Edition) 平台中支持的属性, 进一步提高了移动终端设备的安全性。

3 总结

随着无线通讯技术的发展, 移动电子商务也展示出更加亮丽的前景, 它创造的是一种“无论何时何地”的新概念。赛博研究机构发布的一份题为《中国移动电子商务的现状及未来发展》专业研究报告称, 基于无线互联网的移动电子商务在国内拥有良好的市场前景, 其发展将超过电子商务。在这如此热的领域里, 我们还应该清醒的看到移动电子商务中存在的许多安全问题, 只有当我们真正解决了移动电子商务中的安全隐患, 才可能吸引更多的人使用移动电子商务, 才能带动移动电子商务的飞速发展。

参考文献

[1]赵林度.电子商务理论与实务[M].北京:人民邮电出版社, 2001:2-10.

[2]Louis M J.移动电子商务速成教程[M].北京:人民邮电出版社, 2002.

[3]张卫东, 曹正文.基于WAP的移动电子商务的安全问题[J].电子科技, 2004 (12) :22-24.

浅谈电子商务安全问题 第10篇

电子商务是运行在计算机网络系统之上的商务系统, 所以, 我们既不能把电子商务系统看作是一个单纯的商务系统, 也不能把电子商务系统看作是一个简单的计算机网络系统。由此, 我们就不得不关注电子商务系统的安全性了。电子商务系统的安全性主要体现在:计算机的网络安全性和交易的安全性两个方面。随着Internet的发展越来越多的人通过Internet进行商务活动, 电子商务已逐渐成为人们进行商务活动的新的模式。因为电子商务的便利性, 那么, 电子商务的前景也就十分诱人。但是, 因为网上电子交易活动的安全性, 令许多消费者或商户对是否采用电子商务仍持观望态度。因为, 在商贸市场环境下, 电子商务的一些信息仍属商业机密, 如果信息失窃, 对于当事人的损失将不可估量。因此, 电子商务的安全问题也就成为电子商务得以顺利发展的保障, 电子商务的安全问题也就成为电子商务最核心的问题。

1 电子商务所面临的安全威胁

Internet之所以能够快速普及的一个非常重要的原因就是它的开放性, 但是开放性也使得基于它的电子商务活动的安全性受到了严重的威胁。因为电子商务所涉及的大部分商务活动都需要通过计算机网络来传输、存储和处理, 如网上洽谈信息、合同签订、订货信息、支付信息、配送信息、客户信息及机密的商务往来信件等。

电子商务交易面临的安全威胁主要归纳为以下几个方面:

(1) 假冒。在电子商务的交易中, 假冒主要有两种方式, 一是冒充交易的参与者, 二是伪造交易信息。电子商务的交易形式与传统商务的交易形式不同, 是在网络环境下进行, 而不是面对面的。如果这些交易信息被非法用户或入侵者获取, 那么他们就有可能冒充合法的交易参与者, 或者是伪造交易信息进行欺骗, 使交易的参与者蒙受损失。

(2) 交易抵赖。交易抵赖是电子商务安全的主要威胁之一。在电子商务活动中, 交易抵赖有多种形式, 主要表现为诈的发送者否认曾经收到过的信息行为等, 即交易的参与者否认曾经的交易行为。如果在合同中规定, 买方在收到货物后立即付款, 但是买方收到货物后矢口否认收到过该货物。或者是卖方收到货款后拒绝承认收到过该款项。或者是一方由于市场价格或其他原因不承认原先签订的合同等。

(3) 篡改信息。电子商务的交易信息在网络的传输过程中, 可能会受到非法用户或入侵者篡改威胁, 使得交易信息的完整性受到破坏。篡改的方式主要有插入、删除或修改等。如在交易的信息中插入一些非法信息, 迷惑接收方, 或者是删除或是修改一些信息和条款, 误导接收方, 使接收方蒙受经济损失。

(4) 信息泄露。在任何的商务活动中, 交易信息的保密性都是至关重要的, 它关系到交易的安全, 甚至是交易的成败。如客户的信用卡账号和密码、供应商的报价、折扣和数量等信息。如果这些信息在传输的过程中没有被加密或者是加密的强度不够, 让非法用户或竞争对手所掌握, 那么就可能会给商务活动的参与者造成重大损失。因为电子商务是网络环境下进行的, 非法用户或竞争对手有可能通过各种技术手段盗取或截获交易信息, 从而导致被信息泄露。

以上这些问题, 已经成为阻碍电子商务进一步发展的关键问题。因此, 发展电子商务当前必须考虑的是:如何构建一个安全电子商务交易系统。但是, 因为电子商务参与者的复杂性, 其不仅仅涉及到买、卖双方, 还涉及到:认证机构、政府机构、银行金融机构、物流配送机构等, 因此它的安全性需求也更加的复杂化。安全的电子商务应该保证做到:保密性、有效性、完整性、认证不可抵赖性、可审计性。只有满足了这些安全机制的电子商务才能称为安全电子商务。为实现上述目标, 电子商务系统必须能保障提供足够高的安全性、有效性, 而解决这些的关健, 主要凭助的是安全技术和安全设施。

2 电子商务安全的技术体系

2.1 安全协议

电子商务系统是基于计算机网络的应用系统, 网络及电子商务的安全技术和措施可以在网络体系结构中的任何一层进行实施, 但是所有的安全技术和措施的实现都要遵守相应的安全协议, 包括安全传输协议、安全认证协议、安全保密协议及安全管理协议等。

目前, 国际上流行的电子商务所采用的协议主要包括:

(1) 安全超文本传输协议SHTTP (Securde Hypertext Transfer Protocol) 。

(2) 安全多功能Internet电子邮件扩充协议S/MIME (Secured Multipurpose Internet Mail Extension) 。

(3) 电子支付协议。目前其作为电子商务中最重要的内容, 现实中已出现了很多的电子支付协议。例如:安全套接层协议SSL (Secure socket Layer) 、安全电子交易协议SET (Secure Electronic Transaction) , 这是最著名的协议, 常见的还有:基于现金的支付协议、基于卡的支付协议、基于支票的支付协议等等。

2.2 公钥基础设施PKI技术

公钥基础设施PKI (Public key infrastructure, 简称PKI) 为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。PKI采用证书管理公钥, 通过CA把用户的公钥及其它标识信息捆绑在一起, 在Internet上验证用户的身份, 保证网上数据的保密性和完整性。

2.3 网络安全技术

网络安全是电子商务的基础。为保证电子商务交易顺利、稳定、可靠, 就必须保障服务的不中断性。系统的任何中断, 如病毒、网络硬件故障、软件错误等, 都可能导致电子商务系统运作的异常, 从而使贸易数据在确定的时刻和地点的有效性得不到保证, 其中任一个异常行为, 都会造成不可估量的经济损失。

2.4 密码技术

密码技术是保证电子商务安全的重要手段。是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。

(1) 加密技术。加密技术是保证电子商务安全的重要手段。所谓加密, 即一种使用数学方法重新组织数据后, 除了合法的接收者, 任何其他人若想恢复原始的”报文”是相当因难的。

(2) 密钥管理技术。包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。密钥管理不仅影响系统的安全性, 而且涉及到系统的可靠性、有效性和经济性。

(3) 数字签名。是指用发送方的私有密钥加密报文摘要, 然后将其与原始的信息附加在一起, 合称为数字签名。它能够实现对原始报文的鉴别与验证, 保证报文的完整性和权威性以及发送者对所发送报文的不可抵赖性。可以避免篡改、冒充、伪造、抵赖等问题。

3 结语

安全的电子商务, 是个非常复杂的问题, 不仅需要安全网络的保障, 也需要商务交易安全上的保障, 更需要管理制度以及法律制度上的不断完善。也就是说, 只有多方的共同努力, 才能建立科学的电子商务安全机制, 才能保证电子商务有序地、健康地发展。

摘要：电子商务是信息时代的一个重要标志, 也是一种典型的、具有诱人发展前景的商务模式。然而, 随着电子商务迅猛的发展、应用的普及, 它的安全性问题也变得来越突出。因此, 现时代的网络必须考虑的重要问题是:如何为电子商务的参与者提供一个方便、快捷、可靠、安全的电子商务良好环境。本文着重对电子商务的安全问题, 进行了深入浅出地探讨与分析。

关键词：电子商务,安全威胁,安全,技术体系

参考文献

[1]张炯明.安全电子商务实用技术[M].清华大学出版社.

[2]周华祥.网络及电子商务安全[M].中国电力出版社.

[3]杨晓燕.信息安全导论[M].机械工业出版社.

电子商务中的安全问题探讨 第11篇

[关键词] 电子商务 安全问题 技术

一、引言

互联网的发展及全面普及，给现代商业带来了新的发展机遇，基于互联网的电子商务应运而生，并成为一种新的商务模式。以互联网为基础的这种新的商务模式，也存在着许多亟待解决的问题。调查显示，网络安全、互联网基础设施建设等九大问题是阻碍电子商务发展的主要因素。其中，安全问题被调查对象列在首位。人们在享受电子商务带来极大方便的同时，也经常会被安全问题所困扰。安全问题成为电子商务的核心问题。本文将对电子商务安全问题及基本解决办法做一个探讨。

二、电子商务安全问题产生的原因

电子商务安全问题，不仅仅是网络安全问题，还包括信息安全问题、交易过程安全问题:

1.管理问题

大多数电子商务网站缺乏统一的管理，没有一个合理的评价标准。同时，安全管理也存在很大隐患，大多数网站普遍易受黑客的攻击，造成服务器瘫痪，使网站的信誉受到极大损害。

2.技术问题

网络安全体系尚未形成。网络安全在全球还没有形成一个完整的体系。虽然电子商务安全的产品数量不少，但真正通过认证的却相当少。安全技术的强度普遍不够，国外有关电子商务的安全技术，虽然整体来看其结构或加密技术都不错,但这种加密算法受到外国密码政策的限制，对其他国出口的安全技术往往强度不够。

3.环境问题

社会环境对于电子商务发展带来的影响也不小。社会法制建设不够，相关法律建设跟不上电子商务发展的法律基础保证。

三、常见的电子商务安全问题

由于互联网的完全开放性，以及不可预知的管理漏洞、技术威胁等出现，带来了各种各样的安全问题。其产生的主要隐患为网络安全隐患、交易隐患。

1.网络安全隐患

计算机网络设备，电子商务依赖计算机系统的正常运行得以开展业务，网络设备本身的物理故障，将导致电子商务无法正常进行；网络恶意攻击，使得网络被破坏、导致系统瘫痪；安全产品使用不当，虽然在进行电子商务交易前采用了一些网络安全设备（如防火墙、杀毒软件等），但由于安全产品本身的问题或者使用的不当，导致这些产品并不能起到应有的作用。

2.交易隐患

交易隐患是困扰电子商务正常健康交易的最大障碍。在交易过程中，常存在以下隐患。假冒问题，攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益;在电子商务世界里谁为交易双方的纠纷进行公证。

四、解决电子商务安全问题的基本技术

为避免电子商务中存在的安全问题，合理有效的措施极为重要，在实施过程中最为关键的技术主要有网络安全技术、加密与认证技术、安全协议。

1.网络安全技术

在应用网络安全技术方面，防火墙技术是主要技术。防火墙就是在网络边界上建立相应的网络通信监控系统，用来保障计算机网络的安全，它是一种控制技术，既可以是一种软件产品，又可以制作或嵌入到某种硬件产品中。防火墙是加强Intranet (内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。

2.加密与认证技术

(1)加密技术。加密技术作为主动的信息安全防范措施，利用加密算法，将明文转换成为无意义的密文阻止非法用户理解原始数据，从而确保数据的保密性。

加密技术是电子商务采取的主要安全措施。其目的在于提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析。加密技术通常分为对称加密和非对称加密两类。目前，常用的非对称加密算法有RSA算法。

(2)认证技术。认证技术是保证电子商务安全的又一重要技术手段，是防止信息被篡改、删除、重放和伪造的一种有效方法，它使发送的消息具有被验证的能力，使接收者能够识别和确认消息的真伪。认证的实现包括数字摘要、数字信封、数字签名、数字证书和智能卡等技术。

3.安全协议

安全协议本质上是关于某种应用的一系列规定，包括功能、参数、格式、模式等，通信各方只有共同遵守协议，才能互操作。与电子商务有关的安全协议主要有SSL和SET两个。

(1)安全套接层协议SSL。SSL（Secure Sockets Layer）是由Netscape Communication公司开发的，工作在传输层的协议，主要保护信息传输的机密性和完整性，它适用于点对点之间的信息传输。SSL协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议（如HTTP、FTP、TELNET等）以保证应用层数据传输的安全性。

(2)安全电子交易SET协议。SET（Secure Electronic Transaction）是专门为电子商务而设计的，用于保证在公共网络上进行银行卡支付交易的安全性。SET采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。由于SET提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡或借记卡的网上交易的国际安全标准。

五、展望

综上所述，为应对电子商务出现的各种安全问题，电子商务安全技术虽然已经取得了一定的成绩，但是电子商务要真正成为一种主导的商务模式，还必须在其安全技术上有更大的发展和突破。

参考文献:

[1]冯昊:电子商务的安全问题及对策[J].重庆广播电视大学学报,2005,17～4:31～33

[2]张晓黎:数据加密技术在电子商务安全中的应用[J].计算机与数字工程,2005,12:24～27

[3]祁明:电子商务安全与保密[M].高等教育出版社,2001,7,44～84

电子商务安全技术问题 第12篇

1 电子商务安全基本范畴

电子商务安全是个系统的概念, 它涉及到电子商务发展的方方面面。具体而言, 电子商务主要包括信息安全问题、信用安全问题、安全管理问题、安全的法律保护问题。

1.1 信息安全问题

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护, 不因偶然的或者恶意的原因而遭到破坏、更改、泄露, 系统连续可靠正常地运行, 信息服务不中断。在电子商务中信息安全问题主要包括信息泄露、破坏信息的完整性、拒绝服务、非法使用 (非授权访问) 、窃听、业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、计算机病毒、人员不慎、媒体废弃、物理侵入、窃取、业务欺骗、流氓软件、网络钓鱼等等。

1.2 信用安全问题

信用安全, 是指在网络交易时为了避免由于合同的非及时履行所可能导致履行不能或履行瑕疵而需要相应的财产作为承担责任的保障, 或由中立的第三方提供信用担保, 一旦债务人不能履行时由其在担保的范围内替代履行, 从而保障债权人的履行利益得以实现。信用安全问题主要来自三个方面:来自买方的信用安全问题、来自卖方的信用问题、买卖双方都可能存在的抵赖问题。

1.3 安全管理问题

严格管理是降低电子商务风险的重要保证, 特别是在网络商品中介交易的过程中, 客户进入交易中心, 买卖双方签订合同, 交易中心不仅要监督买方按时付款, 还要监督卖方按时提供符合合同要求的货物。在这些环节上, 都存在着大量的管理问题。防止此类问题的安全风险需要有完善的制度设计, 形成一套相互关联、相互制约的制度群。

2 我国电子商务安全面临问题

2.1 信息安全问题日益严重

2009年, 中国互联网络信息中心 (CNNIC) 发布了《2008年中国网民信息网络安全状况研究报告》, 报告全面地揭示了我国在电子商务的发展中所面临的信息安全问题。

2.1.1 我国网民普遍担心网络信息安全问题

调研结果显示, 网民最担心计算机出现的安全问题是遭遇病毒、计算机中木马、黑客攻击, 占网民所选安全问题的比例分别为41.7%、32.9%和16.7%, 三者合计达90%以上。

调研结果也表明, 29%的网民担心个人计算机里文件丢失, 24%的网民最担心自己的计算机瘫痪, 22%的网民担心网上银行帐户被盗, 20%的网民担心个人信息资料被窃。

2.1.2 安全技术缺乏全面了解

第一, 软件认知度差。就目前而言, 软件领域主要形成了三大安全类软件:杀毒软件、防火墙、木马查杀和清除流氓插件等辅助安全工具软件。目前在国内网民中, 虽然96.1%的网民个人计算机中已安装有信息安全软件, 但能够区分清楚这三大类安全软件的网民比例仅占65.5%, 依然还有34.5%的网民对这些概念含糊不清, 一知半解, 这将直接影响到网民对信息安全问题的防护。

第二, 仍有一部分人使用盗版软件。调研结果显示, 有近四分之一的网民表示使用过盗版杀毒软件。这主要是由于39%的网民认为当前杀毒软件价格太贵;24.8%的网民认为盗版软件获取比较方便;18.5%的网民认为盗版杀毒软件和正版杀毒软件使用效果相同。

第三, 对电子签名缺乏正确的理解。网民对电子签名理解调研结果显示, 依然有35.7%的网民表示不清楚什么是电子签名;有23.5%的网民理解为电子签名就是用户帐号和密码;有21%的网民认为电子签名就是数字证书;另外还有些网民认为电子签名就是手写签名再扫描到计算机里、对实物印章进行扫描并用数字形式保存下来。因此, 目前网民对电子签名的概念还不是很强。

第四, 数字证书使用率很低。从网民对其所登陆网站所使用的数字证书关注情况来看, 依然有四成以上网民从来没有关注过这个问题, 而比较重视这个问题的网民所占比例也仅31.2%, 由此可见, 目前我国对于广大网民在网站安全性方面的知识普及力度远远不够, 亟待加强这方面的教育。

2.2 电子商务诚信环境亟需改善

2.2.1 网络欺诈手段多样化, 网络钓鱼急剧增加

网络欺诈的形式多种多样, 美国联邦贸易委员会认为互联网上主要欺诈犯罪类型有10种;IFCC将互联网欺诈高度概括为九大类;易趣网多位资深买家提出:低价骗诱法、线下交易法、拒绝安全支付法、冒充公司销售法、假借网站交易法、收取定金骗钱法是目前网络欺诈的主要形式。

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件, 意图引诱收信人给出敏感信息 (如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息) 的一种攻击方式。笔者认为网络钓鱼是目前增长较快的网络诈骗手段。根据国际行业组织反钓鱼工作组的数据, 2009年6月新建的独立钓鱼网站高达4.9084万个。中国反钓鱼网站联盟2008年9月到12月对钓鱼网站的认定, 也说明了网络钓鱼问题的严重性, 具体见表1。

2.2.2 信用管理有待进一步改进

为防止网络欺诈给网民带来经济损失, 网络企业和第三方机构都在实行一些信用管理方法, 如标示制度、信用评价系统的建立, 诚信公约 (自律) 等等, 但这些信用管理方法有待进一步改进。

如中国电子商务协会为了促进电子商务发展, 建立了中国电子商务诚信评价中心。2006年3月, 该中心正式推出“中国电子商务诚信评价规范”, 并建立了诚信红蓝标识制度, 但通过自己的调查发现, 我国网民对红蓝标识的知晓度极低, 97%人不知其含义。

在线信誉评估系统通过对参与者历史表现的信用评估, 并将结果共享, 公开, 可以作为买卖双方重要的信息参考, 从而能降低交易风险, 可以迫使销售者提供最好的服务质量, 也可以避免消费者的欺诈行为, 信誉能最有效地帮助双方维持可信的商务关系。

虽然现在一些电子商务平台提供商建立起网商信誉评价系统, 并取得了一定作用。如淘宝网利用等级来对网商信誉进行评价, 这种评价系统“为消费者提供了诚信、安全的购物保障, 大大提升了网络购物体验”。但是这些信誉评价系统或多或少存在着一些问题。第一, 信用评价流程有缺陷。主要表现为在退货和信誉评价只能选择其一, 当买到不称心的商品时, 要么放弃评价权, 要么退货, 而且评价系统也没有对恶意评价的鉴别和制约机制;第二, 星钻级别不会被倒扣, 一好百好;第三, 现在社会上还发现有专替卖家刷信用评分的专业组织, 信用评级的可靠性受到影响。

2.2.3 电子商务的诚信状况影响了人们的购买行为

DTR模型主要研究感知欺诈、感知信任和消费者意图的关系 (Grazioli和Jarvenpaa, 2000) , 模型认为:消费者对网上商家的态度决定消费者的购买意愿, 而态度又取决于消费者的信任, 这里信任是感知的信任、感知的风险和感知的欺诈。感知的信任来源于对信任机制的评价, 感知的风险来源于对保障机制的衡量, 而感知的欺诈来自于欺诈的认识过程。同时, 消费者对保障机制或信任机制的欺诈性感知又会间接影响风险和信任。因此, 诚信对消费者行为有着极其重要的影响。

图1表明在众多影响网络购物交易的因素中, 商家 (卖家) 的诚信最为关键, 有34.3%的买家认为会将其作为最主要的考虑因素。

美国《商业周刊》2004年的研究表明:61%的调查者反映, 如果他们个人信息的隐私和安全得到充分的保护, 他们将乐意接受网上交易。

本人通过市场调查也发现:由于不信任, 网民网上购物行为十分谨慎, 购物频率不固定 (见图2) ;每次购物规模较小, 近半数人每次购物不足100元 (见图3) 。

2.3 电子商务安全管理法律、制度尚不完善, 人们安全意识有待提高

电子商务的特殊性需要新的法律规范来维护, 目前我国相继颁布了一些法律法规、部门规范等来保证电子商务的安全。其中具有重要意义的是《中华人民共和国电子签名法》的颁布。该法赋予可靠电子签名与手写签名或盖章具有同等的法律效力, 并明确了电子认证服务的市场准入制度, 标志着我国的信息化立法迈出重要步伐。

但是与国际电子商务立法现状相比, 我国电子商务法律体系仍存在较多的空白点, 亟需进一步完善。主要表现在电子交易法、个人隐私保护法等需要尽快配套;现有法规效力等级有待提高;电子商务的立法技术需要进一步改进等等。

有人说:国内90%的网站存在安全问题, 其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小, 不会成为黑客的攻击目标, 如此态度, 网络安全更是无从谈起。因此强化网络安全意识已经迫在眉睫。

3 安全的电子商务环境构建

从我国电子商务安全面临的问题分析, 我认为解决电子商务安全问题就要从以下技术、法律、制度、道德等方面多管齐下, 应该特别注意网络道德规范的建设。

3.1 技术——一个永恒的话题

一谈到交易安全, 人们首先想到的是技术保障措施, 虽然在保证电子商务安全过程中, 人们利用很多的技术——数据加密技术, 有利于信息的保密;身份认证、数字签名、数字时间戳等认证技术便于防止冒名顶替和交易抵赖现象的发生。访问控制、防火墙等保护内部网免受非法用户的侵入, 加上SSL协议和SET协议等都对电子商务起了重要的保护作用。但是, 这些安全技术或多或少存在一些不足或漏洞。如防火墙技术虽然对于网络交易来说十分重要, 但只保护了网络交易的“大门”, 如果有人利用各种“黑客”软件突破防火墙, 就能威胁网络交易安全, 轻则使系统瘫痪, 重则商务活动机密泄露乃至资金被盗窃。因此, 虽然已经开发了大量技术手段和措施, 但仍难百分之百地消除商家与消费者对开展网络商业活动的疑虑。由于“黑客”的攻击技术也在不断发展, 而网络安全技术与管理又总是落后于攻击手段的发展, “编制病毒的人多, 反病毒的人少”, 几个反病毒专家的思想怎么能够和数不胜数的编病毒人的思想相比。另外, 编病毒在暗处, 反病毒在明处, 所以我们不可能超越他们, 也无法知道他们正在琢磨什么怪招法。因此在技术与反技术“道高一尺, 魔高一丈”的情形之下, 技术的进步是个永远不变的话题。

3.2 健全电子商务法律, 同时注意法律的滞后性

理想的电子商务立法体系至少应当包括网络服务和网络管制法律制度、电子商务主体立法和市场管制法律制度、电子商务交易的法律制度、电子支付的法律制度、网上商业行为的法律制度、电子商务税收法律制度、客户资料利用规范与个人隐私的保护法律制度等等。

但是在加强电子商务法规建设时, 我们应该看到, 法律的滞后性影响了法律作用的发挥。这种滞后性首先来自立法程序, 立法程序是个很严格、很严谨的过程, 只有当问题显现足够, 并对该问题调研充分的时候, 才可能论及立法。这样的过程相对来说是比较缓慢的。其次, 法律必须具有相对的稳定性, 朝令夕改是无法建立起权威的。网络发展速度是异乎寻常的, 新问题层出不穷, 且常常异乎寻常越过现有法律所框定的边界。这两个“异乎寻常”的碰撞, 在客观上就表现为法律的滞后性, 使法律的约束作用降低。

3.3 加强企业安全制度建设

电子商务系统安全管理制度是用文字形式对各项安全要求所作的规定, 它是保证企业电子商务取得成功的重要基础工作, 是企业电子商务人员安全工作的规范和准则。其范围大体应包括:人员管理制度、保密制度、跟踪审计制度、系统维护制度和病毒定期清理制度等。

3.4 安全的电子商务环境重在网络道德规范的建设

网络道德规范是约定俗成或明文规定的行为标准, 是网络主体进行网络活动所要遵守的“规矩”。安全的电子商务环境重在网络道德规范的建设, 前三项措施是建设和谐的电子商务环境的外在措施, 网络道德规范则是一种内在的防线, 一种“培育免疫力”的内在支撑, 具有持久、稳定、普遍的约束力, 可在相当程度上弥补外在控制的不足。正如吉恩·史蒂芬斯在《计算机领域中的犯罪》中指出的那样:“展望未来, 要通过技术和常规的立法程序去遏制信息空间的犯罪活动困难重重。最根本的解决办法只有一条, 那就是道德与人生价值观。”

网络道德体系是包括网络礼仪、网络规范、网络道德原则在内的完整系统, 网络礼仪是基本行为的格式和标准, 网络规范是高层次的行为准则, 网络道德原则是抽象度最高的行为标准和要求。对于网络行为的一般规范, 国外已有一些成熟的东西, 如美国计算机伦理协会制定的“计算机伦理十戒”就很有代表性。我们可以借鉴外国这些成熟的东西进行网络行为教育。

摘要：近年来电子商务在国内外有了突飞猛进的发展, 但是在电子商务飞速发展的今天, 安全问题仍是制约电子商务发展的瓶颈。电子商务安全问题是个系统的概念, 包括信息安全问题、管理安全问题、信用安全问题、法律安全问题。目前, 我国面临着:信息安全问题日益严重、电子商务诚信环境亟需改善, 电子商务安全管理法律、制度尚不完善, 人们安全意识有待提高等问题。因此, 我认为解决电子商务安全问题就要从技术、法律、制度、道德等方面入手, 多管齐下, 特别注意网络道德规范的建设。