電子商務(wù)中安全問題的分析及其安全策略

1、-電子商務(wù)中安全問題的分析及其安全策略發(fā)布時(shí)間： 2011-6-26信息來源： 中國電子商務(wù)研究中心摘要：電子商務(wù)是現(xiàn)代信息技術(shù)和傳統(tǒng)商務(wù)活動(dòng)相結(jié)合的產(chǎn)物。它已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式，越來越多的人們通過internet進(jìn)行商務(wù)活動(dòng), 而安全問題也變得越來越突出。本文通過對電子商務(wù)面臨的各種安全問題進(jìn)行分析， 提出了解決電子商務(wù)安全問題的安全技術(shù)策略及法律策略。一、電子商務(wù)安全概述電子商務(wù)的載體是互聯(lián)網(wǎng)， 但互聯(lián)網(wǎng)的共享性、 開放性和匿名性卻給電子商務(wù)安全問題帶來了極大的隱患，使得電子商務(wù)受到威脅、攻擊的可能性大大增加。1. 電子商務(wù)安全內(nèi)涵電子商務(wù)的安全主要是指用戶方和提供產(chǎn)品服務(wù)

2、方的安全,即雙方信息都要保密,用戶賬號不能被第三方獲知,提供產(chǎn)品或服務(wù)方的訂貨和付款信息等商業(yè)秘密也不能為競爭對手所知, 并且商務(wù)活動(dòng)一旦達(dá)成,相關(guān)信息未經(jīng)雙方協(xié)定, 不可更改、不能否認(rèn)。2. 電子商務(wù)的安全需求電子商務(wù)主要依托運(yùn)作的環(huán)境是當(dāng)前的國際互聯(lián)網(wǎng)和未來的國際信息基礎(chǔ)設(shè)施。網(wǎng)絡(luò)是從事電子商務(wù)機(jī)構(gòu)安身立命的工作環(huán)境，其安全需求也表現(xiàn)在以下幾個(gè)方面：(1) 網(wǎng)站的安全維護(hù)。 (2) 電子商務(wù)中安全支付。 (3) 商業(yè)秘密的安全保護(hù)。 (4) 電子商務(wù)中知識產(chǎn)權(quán)的保護(hù)。二、電子商務(wù)中存在的安全問題1. 電子商務(wù)面臨的網(wǎng)絡(luò)系統(tǒng)安全問題電子商務(wù)系統(tǒng)是依賴網(wǎng)絡(luò)實(shí)現(xiàn)的商務(wù)系統(tǒng)，需要利用interne

3、t基礎(chǔ)設(shè)施和標(biāo)準(zhǔn)，所以構(gòu)成電子商務(wù)安全框架的底層是網(wǎng)絡(luò)服務(wù)層，它提供信息傳送的載體和用戶接入的手段，是各種電子商務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)，為電子商務(wù)系統(tǒng)提供了基本、靈活的網(wǎng)絡(luò)服務(wù)。電子商務(wù)網(wǎng)絡(luò)系統(tǒng)安全問題包括以下幾個(gè)方面:(1) 網(wǎng)絡(luò)部件的不安全因素。(2) 軟件不安全因素。 (3) 工作人員的不安全因素。(4) 自然環(huán)境因素。2. 電子商務(wù)面臨的電子支付系統(tǒng)安全問題精選資料-眾所周知，基于 internet 平臺的電子商務(wù)支付系統(tǒng)由于涉及到客戶、商家、銀行及認(rèn)證部門等多方機(jī)構(gòu)， 以及它們之間可能的資金劃撥， 所以客戶和商家在進(jìn)行網(wǎng)上交易時(shí)必須充分考慮其系統(tǒng)的安全。目前網(wǎng)上支付中面臨的主要安全問題有以

4、下幾方面:(1) 支付賬號和密碼等隱私支付信息在網(wǎng)絡(luò)傳送過程中被竊取或盜用。(2) 支付金額被更改。(3) 不能有效驗(yàn)證收款人的身份。三、電子商務(wù)面臨的認(rèn)證系統(tǒng)安全問題中國政府2002年頒布的 國民經(jīng)濟(jì)和社會(huì)發(fā)展第十個(gè)五年計(jì)劃信息化重點(diǎn)專項(xiàng)規(guī)劃中指出 : 加快電子認(rèn)證體系、現(xiàn)代支付系統(tǒng)和信用制度建設(shè)，大力支持發(fā)展電子商務(wù)。要加快發(fā)展電子商務(wù)，使電子商務(wù)在金融、外貿(mào)、稅收、海關(guān)、農(nóng)業(yè)等領(lǐng)域大力推廣應(yīng)用，其關(guān)鍵之一，即涉及到電子商務(wù)的安全認(rèn)證問題。1. 信息泄漏在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄漏,主要包括兩個(gè)方面:交易雙方進(jìn)行交易的內(nèi)容被第三方竊取； 交易一方提供給另一方使用的文件被第三方非法使用。

5、如信用卡的賬號和用戶名被人獲悉，就可能被盜用。2. 篡改在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實(shí)性和完整性的問題。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中，可能被他人非法修改、刪除或重改,這樣就使信息失去了真實(shí)性和完整性。假如兩公司簽訂了一份由一公司向另一公司供應(yīng)原料的合同，若趕上原料價(jià)格上漲，供貨方公司篡改價(jià)格將使自己大幅受益，而采購公司將蒙受損失。3. 身份識別在網(wǎng)絡(luò)交易中如果不進(jìn)行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等, 進(jìn)行身份識別后, 交易雙方就可防止相互猜疑的情況。4. 蓄意否認(rèn)事實(shí)精選資料-由于商情的千變?nèi)f化，商務(wù)合同一旦簽訂就

6、不能被否認(rèn)，否則必然會(huì)損害一方的利益。因此，電子商務(wù)就提出了相應(yīng)的安全控制要求。(1) 電子商務(wù)中面臨的法律安全問題。隨著國際信息化、網(wǎng)絡(luò)化進(jìn)化的不斷發(fā)展，在電子商務(wù)領(lǐng)域利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行犯罪的案件與日俱增，其犯罪的花樣和手段不斷翻新。(2) 電子合同中的法律問題。電子商務(wù)合同的訂立是在不同地點(diǎn)的計(jì)算機(jī)系統(tǒng)之間完成的。許多國家的法律要求必須有書面形式的交易單證作為證明交易有效和作為交易的證據(jù)；否則，這種合同屬于無效合同。關(guān)于電子合同能否視為書面合同，并取得與書面文件同等的效力，是各國法律尚未解決的問題，與傳統(tǒng)書面文件相比，電子文件有一定的不穩(wěn)定性，一些來自外界的對計(jì)算機(jī)網(wǎng)絡(luò)的干擾，都可能造成信

7、息的丟失、損壞、更改。(3) 銀行電子化服務(wù)的法律問題。銀行是電子支付和結(jié)算的最終執(zhí)行者，起著聯(lián)結(jié)買賣雙方的紐帶作用， 但對一些從事電子貨幣業(yè)務(wù)的銀行來說，犯罪分子偽造電子貨幣，給銀行帶來了直接經(jīng)濟(jì)損失。(4) 電子資金轉(zhuǎn)賬的法律問題。電子資金轉(zhuǎn)賬的法律是個(gè)特殊問題，但是我國現(xiàn)行的票據(jù)法并不承認(rèn)經(jīng)過數(shù)字簽名認(rèn)證的非紙質(zhì)的電子票據(jù)支付和結(jié)算方式。并且支付不可撤消，付款人或第三人不能要求撤消已經(jīng)完成的電子資金轉(zhuǎn)賬。(5) 電子商務(wù)中的知識產(chǎn)權(quán)保護(hù)問題。電子商務(wù)活動(dòng)中交易的客體及交易的行為經(jīng)常涉及傳統(tǒng)的知識產(chǎn)權(quán)領(lǐng)域。(6) 電子商務(wù)中的消費(fèi)者權(quán)益保護(hù)問題。電子商務(wù)等新的交易方式給消費(fèi)者權(quán)益保護(hù)帶來各

8、種新的維權(quán)問題。隨著科技進(jìn)步，新產(chǎn)品的大量出現(xiàn)，消費(fèi)知識滯后的矛盾也更加突出。四、電子商務(wù)安全問題的安全策略1. 電子商務(wù)系統(tǒng)的安全技術(shù)在電子商務(wù)活動(dòng)中存在著種種安全問題 ,但我們可以利用安全技術(shù)來為電子商務(wù)安全提供服務(wù), 從而提供更全面的安全策略和防范。(1) 網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)安全技術(shù)所涉及到的方面比較廣,如操作系統(tǒng)安全、防火墻技術(shù)、虛擬專用網(wǎng)vpn 技術(shù)和漏洞檢測技術(shù)等。(2) 加密技術(shù)。數(shù)據(jù)加密技術(shù)，就是對信息進(jìn)行重新編碼，從而達(dá)到隱藏信息內(nèi)容，使得非精選資料-法用戶無法獲取信息真實(shí)內(nèi)容的一種技術(shù)手段。加密技術(shù)是保證電子商務(wù)安全的重要手段，許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基

9、礎(chǔ)。密碼算法利用密鑰(secret keys)來對敏感信息進(jìn)行加密，然后把加密好的數(shù)據(jù)發(fā)送給接收者，接收者可利用同樣的算法和事先商定好的密鑰對數(shù)據(jù)進(jìn)行解密，從而獲取敏感信息并保證網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性,其過程如圖所示。(3) 認(rèn)證技術(shù)。認(rèn)證技術(shù)是電子商務(wù)安全的主要實(shí)現(xiàn)技術(shù)。主要利用rsa 算法建立的一個(gè)為用戶的公開密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)，稱之為ca 。認(rèn)證技術(shù)可以直接滿足身份認(rèn)證、信息完整性、不可否認(rèn)和不可修改等多項(xiàng)網(wǎng)上交易的安全需求,較好地避免了網(wǎng)上交易面臨的假冒、 篡改、抵賴、偽造等種種威脅。認(rèn)證技術(shù)主要涉及身份認(rèn)證和報(bào)文認(rèn)證兩個(gè)方面的內(nèi)容。身份認(rèn)證用于鑒別用戶的身份。它一般又涉及到兩個(gè)方面的內(nèi)容:一個(gè)是識別;一個(gè)是驗(yàn)證。(4) 安全電子交易協(xié)議。目前有兩種安全在線支付協(xié)議被廣泛采用，能為電子商務(wù)提供有力的安全保障。ssl 安全套接層協(xié)議是對計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議。在ssl 中，采用了公開密鑰和私有密鑰兩種加密方法。set 安全電子交易是由mastercard和 visa 以及其他一些業(yè)界主流廠商聯(lián)合推出的一種規(guī)范，用來保證在公共網(wǎng)絡(luò)上銀行卡支付交易的安全性。set 已經(jīng)在國際上被大量實(shí)驗(yàn)性地使用并經(jīng)受了考驗(yàn)。2. 電子商務(wù)安全中的法律法規(guī)策略目前， 電子商務(wù)法律也在逐步完善，為了電子簽名能證實(shí)電子文件的合法性國家頒布了電子簽名法