電子商務的安全問題及相關對策研究

全文字數:5546

 電子商務的安全問題及相關對策研究

[摘 要] 電子商務的安全是一個復雜系統工程，需要從技術角度和立法等方面加以保障，以規范電子商務存在的各類問題。文章討論了電子商務應用中所存在的安全問題，對電子商務過程中存在的網絡協議安全性、用戶信息安全性和電子商務網站安全性三方面問題進行分析和研究，針對這三方面問題分析和總結出電子商務交易過程中危害其安全性常用手段。最后指出電子商務的安全性問題不僅僅只是技術問題,它還涉及到法律等多方面的因素。要保證電子商務的安全性不僅要依靠技術手段，還需要通過立法等多方面的共同努力。
[關鍵詞] 電子商務；安全問題；網絡協議安全性；信息安全；法律

一、概述
 伴隨著互聯網的飛速發展，電子商務也隨之逐漸興起，在電子商務日趨成熟的今天，電子商務的安全性一直都是困擾其發展的主要因素。例如黑客的攻擊、交易信息的竊取、篡改與破壞、病毒感染等等這些所帶來的安全性問題都會影響電子商務的發展，如果不解決這些安全問題，就無法給人們的生活帶來高效、方便和快捷。
 因此，在保證電子商務的高效率的同時，如何保障它的安全性，已經引起了人們的廣泛關注。本文將就電子商務的安全問題，從技術和法律角度進行一些初步的探索。
二、電子商務安全的主要問題
 電子商務的安全主要包括網絡協議安全性、用戶信息安全性和電子商務網站安全性三個方面。
 1、網絡協議安全性。由于TCP/IP本身的開放性，企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的，惡意攻擊者很容易對某個電子商務網站展開數據包攔截，甚至對數據包進行修改和假冒。
 2、用戶信息安全性。目前最主要的電子商務形式是基于B/S（Browser/Server）結構的電子商務網站，用戶使用瀏覽器登錄網絡進行交易，由于用戶在登錄時使用的可能是公共計算機，那么如果這些計算機中有惡意木馬程序或病毒，這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。
 3、電子商務網站安全性。有些企業建立的電子商務網站本身在設計制作時就會有一些安全隱患，服務器操作系統本身也會有漏洞，不法攻擊者如果進入電子商務網站，大量用戶信息及交易信息將被竊取。
三、電子商務安全問題分析
 目前，電子商務安全中存在的網絡協議安全性、用戶信息安全性和電子商務網站安全性是電子商務安全的主要問題，這些問題具體表現在以下幾個方面。
 1、信息竊取、篡改與破壞。電子的交易信息在網絡上傳輸的過程中，可能會被他人非法修改、刪除或重放，從而使信息失去了真實性和完整性。包括網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤；以及一些惡意程序的破壞而導致電子商務信息遭到破壞。 
 2、身份假冒誠信安全問題。如果不進行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易，敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。電子商務的在線支付形式有電子支票、電子錢包、電子現金、信用卡支付等。但是采用這幾種支付方式，都要求消費者先付款，然后商家再發貨。因此，誠信安全也是影響電子商務快速發展的一個重要問題。
 3、交易抵賴。電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認，以推卸自己應承擔的責任。交易抵賴包括多個方面，如發信者事后否認曾經發送過某條信息或內容，收信者事后否認曾經收到過某條消息或內容，購買者做了定貨單不承認，商家賣出的商品因價格差而不承認原有的交易等。
 4、病毒感染。各種新型病毒及其變種迅速增加，不少新病毒直接利用網絡作為自己的傳播途徑。我國計算機病毒主要就是蠕蟲等病毒在網上的猖獗傳播。蠕蟲主要是利用系統的漏洞進行自動傳播復制，由于傳播過程中產生巨大的掃描或其他攻擊流量，從而使網絡流量急劇上升，造成網絡訪問速度變慢甚至癱瘓。 
 5、黑客。黑客指的是一些以獲得對其他人的計算機或者網絡的訪問權為樂的計算機愛好者。而其他一些被稱為“破壞者（cracker）”的黑客則懷有惡意，他們會摧毀整個計算機系統，竊取或者損害保密數據，修改網頁，甚至最終導致業務的中斷。一些業余水平的黑客只會在網上尋找黑客工具，在不了解這些工具的工作方式和它們的后果的情況下使用這些工具。 
 6、特洛伊木馬程序。特洛伊木馬程序簡稱特洛伊，是破壞性代碼的傳輸工具。特洛伊表面上看起來是無害的或者有用的軟件程序，例如計算機游戲，但是它們實際上是“偽裝的敵人”。特洛伊可以刪除數據，將自身的復本發送給電子郵件地址簿中的收件人，以及開啟計算機進行其他攻擊。只有通過磁盤，從互聯網上下載文件，或者打開某個電子郵件附件，將特洛伊木馬程序復制到一個系統，才可能感染特洛伊。無論是特洛伊還是病毒并不能通過電子郵件本身傳播——它們只可能通過電子郵件附件傳播。 
 7、惡意破壞程序。網站提供一些軟件應用（例如ActiveX和Java Applet），由于這些應用非常便于下載和運行，從而提供了一種造成損害的新工具。惡意破壞程序是指會導致不同程度的破壞的軟件應用或者Java小程序。一個惡意破壞程序可能只會損壞一個文件，也可能損壞大部分計算機系統。
 8、網絡攻擊。目前已經出現的各種類型的網絡攻擊通常被分為三類：探測式攻擊，訪問攻擊和拒絕服務（DoS）攻擊。探測式攻擊實際上是信息采集活動，黑客們通過這種攻擊搜集網絡數據，用于以后進一步攻擊網絡。通常，軟件工具（例如探測器和掃描器）被用于了解網絡資源情況，尋找目標網絡、主機和應用中的潛在漏洞。例如一種專門用于破解密碼的軟件，這種軟件是為網絡管理員而設計的，管理員可以利用它們來幫助那些忘記密碼的員工，或者發現那些沒有告訴任何人自己的密碼就離開了公司的員工的密碼。但這種軟件如果被錯誤的人使用，就將成為一種非常危險的武器。訪問攻擊用于發現身份認證服務、文件傳輸協議（FTP）功能等網絡領域的漏洞，以訪問電子郵件帳號、數據庫和其他保密信息。DoS攻擊可以防止用戶對于部分或者全部計算機系統的訪問。它們的實現方法通常是：向某個連接到企業網絡或者互聯網的設備發送大量的雜亂的或者無法控制的數據，從而讓正常的訪問無法到達該主機。更惡毒的是分布式拒絕服務攻擊（DDoS），在這種攻擊中攻擊者將會危及多個設備或者主機的安全。 
四、解決電子商務安全對策 
 對于電子商務安全中存在的諸多問題，要想解決這些不能完全依賴于技術手段，還必須結合必要的法律來保障電子商務的安全性。
 1、電子商務安全性技術防范