論電子商務的網絡安全隱患

論電子商務的網絡安全隱患
 隨著Internet的發展，電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動，電子商務的發展前景十分誘人，而其安全問題也變得越來越突出，如何建立一個安全、便捷的電子商務應用環境，對信息提供足夠的保護，已經成為商家和用戶們都十分關心的話題。
 網絡化一方面使工作的效率提高,但另一方面，也使生活方式和工作方式發生相應的改變,因此使得一些原來沒有的問題現實出來,一些原有的問題也有了新的涵義。在競爭日益激烈的今天,人們普遍關系的問題主要有七種，在國外普遍稱為７Ｐ問題，所以７Ｐ就是這七個方面的問題都是以英文字母Ｐ開頭，即Ｐrivacy(隱私)、Ｐiracy（盜版）、Ｐornography(色情)、Ｐricing(價格)、Ｐolicing（政府制訂）、Ｐsychology（心理學）和Ｐrotection of the Net-work(網絡保護)。所有這七種問題，可以說是從不同角度提出的安全問題。而安全問題的重中之重，則在于如何開發出一種安全的環境。電子商務應用最大的障礙之一就是安全問題，因為互聯網從問世之日便是一個以“無政府”“無國境”為口號的公用網絡，而電子商務又是面對可以上網的每一個人。但只是我們對網絡進行科學規劃、完善安全策略，即使有少數人采用各種先進的技術去入侵計算機網絡，電子商務的安全交易也是可以保障的。
一、計算機網絡方面的安全問題
 計算機網絡所面臨的威脅是指對網絡中的信息和設備的威脅。在網絡安全問題中，最重要的是內部網與外部網之間的訪問控制問題。在這個環節上經常發生問題。這也是黑客最容易攻擊的地方。另外一個問題是內部網不用網絡安全域的訪問控制問題。不同的內部網絡具有重要性的信息資料，因而，內部犯罪往往利用內部管理上的漏洞，尋找盜竊和破壞的機會。
 1、網絡病毒
 在網絡環境下，計算機病毒有不可估計的威脅性和破壞性。1998年11月2日,年僅23歲的美國康奈爾大學的學生羅泊特·莫瑞斯，他在自己的計算機上，用遠程命令將自己編寫的蠕蟲程序送進Internet，一夜之間攻擊了Internet上約6200臺VAX系列小型機和Sun工作站，造成包括美國300多所大學、議院，研究中心、國家航空航天和幾個軍事基地的計算機停止運行，事故經濟損失達9600萬美元。這是世界上收例公開批露的網絡病毒攻擊案。
 2003年8月11日,一種名為沖擊波的電腦蠕蟲病毒從國外傳入國內，短短幾天內影響到全國絕大部分地區的用戶。該病毒刷新了病毒歷史的記錄，成為我過病毒歷史上影響最廣泛的病毒之一。
 近幾年出現的大量病毒，都０是借助網絡環境對大量的計算機造成毀滅性的破壞，而防病毒軟件又往往落后一步，使人們在遭受病毒襲擊時，沒有能力抵抗病毒的入侵。此外人們思想的麻痹，對防病毒措施使用不當，也是造成計算機病毒面積擴大的原因之一。
 2、操作系統的安全問題
 不論采用什么操作系統，在缺省安裝的條件下都會存在一些安全問題，只有專門針操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。有人人為操作系統缺省安裝后，在配置上很強的密碼系統就安全了，這樣的想法也是錯誤的，網絡軟件的漏洞和“后門”是進行網絡攻擊的首選目標。
雖然不少網站采用了一些安全設備，但由于安全產品本身的問題或使用問題，這些產品
并沒有起到應用的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超過了普通網管的技術要求。就算是廠家在最初給用戶做了正確的安裝和配置，一旦系統改動，或者對安全權限需要重新設置的時候，很容易產生許多安全問題。
 3、黑客攻擊
電子商務Web站點是黑客瞄準的目標，他們經過多次努力可以“破門而入”，進入這類
Web站點。美國NetSolve公司專門提供ProWatch Secure遠程網絡安全性監視服務，它既監測Web站點，也監測連接到Internet的用戶網絡。根據該公司1997年5月到1997年9月監測到的約5000次有關安全報警，在這五個月期間，幾乎每個電子商務站點都受到了攻擊，而非某些統計數字所表述的電子商務站點受攻擊的比例約為60%。總的來看，80％的公司在每個月里面最少會受到一次主要的網絡攻擊，黑客為了尋找系統的脆弱性要對每個用戶進行大量的探查。從平均水平看，多數站點每個月都要受到1至5次嚴格攻擊，那些具有高可視性的站點和電子商務站點是最易受攻擊的。電子商務的客戶包括為客戶銷售和物品配送的Web站點和提供金融服務的公司和制造商。
 4、電子商務網站的安全問題
電子商務網站是電子商務運營的基礎，在電子商務的環境下，交易雙方的身份信息、商
品信息、意圖表示、資金信息等需要通過交易當事人自己設立的網站或通過中介服務商設立的網站發布、傳遞和保存。保證電子商務網站正常運轉是電子商務交易安全保障的首要任務。
 目前，我國的電子商務網站安全存在很大的隱患。2001年5月，在中美黑客大戰，黑客攻擊的技術、手段還很一般，現有的成熟技術完全可以阻止，但中國還是有不少的網站受到攻擊。問題出在兩個方面。一方面，中國計算機的一些核心技術都依賴進口，因此很多方面受制于人。美國作為一個信息超級大國，在全球推行壟斷戰略。而信息領域的游戲規則是先入為主。另一方面，我國的電子商務網站管理上的漏洞太多，沒有嚴格的規章制度保障，人為地造成網站的許多薄弱環節。另外，還需明確因為電子商務網站與進入網站購物的消費者之間的法律關系。電子商務法還需要明確因為電子商務網站運作不當，如傳輸信息不真實、無效，或其他情況下引起交易損失時網站應當承擔的責任，以及受損失的交易方的救濟方法。現在國內大部分網站把主要精力放在網站的結構和內容建議上，忽略了網站安全防護措施，因而存在嚴重的安全問題。據報道，國內的門戶網站、電子商務網站90%存在安全問題，其中有40%問題嚴重，有些網站還在未做好安全保護的時候就草率的開通，更有甚者，有些企業將自己屬于機密類的商務資料放置到與網絡相聯的終端上，甚至沒有采用防火墻技術；有的個人將企業的的機密資料隨便的拷貝到自己上網的計算機上，在家辦公等等。出現這些問題的原因往往是安全制度不完備，或者安全制度不落實。
 二、電子商務交易方面的安全問題
 1、在線交易主體市場準入問題
 在現行法律體制下，任何長期從事贏利性事業的主體都必須進行工商登記。在電子商務環境下，任何人不經過登記就可以借助計算機網絡發出或接受網絡信息，并通過一定程序與其他人達成交易。虛擬主體的存在使電子商務交易性受到威脅。電子商務交易安全首先要解決的問題就是確保網上交易主體的真實存在，并且確定哪些主體可以進入虛擬市場從事在線業務。這方面的工作需要依賴工商管理部門的網上商事主題公示制度和認證中心的認證制度加以解決。
 ２、信息風險
 從買賣雙方自身的角度觀察，網絡交易中的信息風險來源于用戶以合法身份進入系統后，買賣雙方都可能在網絡上發布虛假的供求信息，或以過期的信息冒充現在的信息，以騙取對方的錢款或貨物。虛假信息包含與事實不符合和夸大事實兩個方面。
 從技術上看，網絡交易的信息風險主要來自于三個方面：
（一）冒名偷竊。黑客為了獲取重要的商業秘密、資源和信息，常常采用源IP地址欺騙攻擊。入侵者偽裝成源自一臺內部主機的一個外部地點傳送信息包，這些信息包中包含有內部系統的IP地址。在Email服務器使用報文傳輸代理中，冒名他人，竊取信息。通過信息網絡泄漏或竊取他人的重要經濟信息，這是電子商務交易中非常普遍的現象。在網絡證卷交易中，這一個問題更加的明顯。
（二）篡改數據。攻擊者未經授權進入網絡交易系統，使用非法手段，刪除、修改、重新發出某些重要信息，破壞數據的完整性，損害他人的經濟利益，或干擾對方的正確決定，造成網絡影銷中的信息風險。
（三）信息丟失。信息在網絡上傳遞時，要經過多個環節和渠道。由于計算機技術發展迅速，原來的病毒防范技術、加密技術、防火墻技術等始終存在著被新技術攻擊的可能性。信息的丟失，可以歸納為三種情況，一是因為線路問題造成信息丟失；二是因為安全措施不當而丟失信息；三是在不同的操作平臺上轉換操作導致丟失信息。
 ３、信用風險
　　來自買方的信用風險。對于個人消費者來說，可能存在網絡上使用信用卡進行支付時惡意透支，或使用偽造的信用卡騙取賣方的貨物行為；對于集團購買者來說，存在拖延貨款的可能。賣方需要為此承擔風險。
　　來自賣方的信用風險。賣方不能按質、按量、按時送出消費者購買的貨物，或者不能完全履行與集團購買者簽訂的合同，造成買方的風險。
　　雙方都存在抵賴的情況。
　　股票的交易信息或在Internet上發布的證卷交易行情可能與真實情況不完全一致。
 ４、網絡上的欺騙犯罪
    隨著網絡和電子商務技術的發展,假冒偽劣商品更加泛濫，利用電子商務欺詐已經成為最危險的一種犯罪活動。必須承認，全球網上交易中欺詐行為已經愈演愈烈.調查表明,在經營網上銷售業務的商家中，83%認為欺詐是一個不容忽視的問題。對此，全球的電子商務專家們表示了憂慮：“Internet業務確實呈爆炸性增長，但同時與Internet有關的犯罪率也呈直線上升。”
 ５、電子支付問題
　　在電子商務簡易形式下，支付往往采用匯款或者交貨付款方式，而典型的電子商務則是在網上完全支付的。網上支付通過信用卡支付和虛擬銀行的電子資金劃撥來完成。而實現這一過程涉及網絡銀行與網絡交易客戶之間的協議、網絡銀行與網站之間的合作協議及安全保障問題。因此，需要制定相應的法律，明確電子支付的當事人之間的法律關系，制定相關的電子支付制度，認可電子簽名的合法性。同時還應出臺對于電子支付數據的偽造、變造、更改等問題的處理辦法。
 ６、電子商務中產品的交付問題
　　在線的交易物一般分為兩種，一種是有形貨物，另一種是無形的信息產品。應當說，有形貨物的交付仍然可以沿用傳統合同法的基本原理，當然，對于物流配送中引起的一些特殊問題，也需要作一些探討。而信息產品的交付則具有不同于有形貨物交付的特征，對于其權利的轉移、退貨、交付的完成等需要有相應的安全保障措施。
 7、在線消費者保護問題
    在線市場的虛擬性和開發性，網上購物的便捷性使消費者保護成為突出的問題。在我國商業信用不高的狀態下，網上出售的商品可能優良不齊，質量難以讓消費者信賴，而一旦出現質量問題，退賠、修理或其他的方式的補償又很困難，方便的網絡購物很可能變得不方便甚至使人敬而遠之。因此需要尋求在電子商務環境下執行《消費者權益保護法》的方法和途徑，制定網上消費者的保護的特殊法，保障網上商品的質量，保證網上廣告的真實性和有效性，解決由于交易雙方信譽不實或無效信息的交易糾紛，切實維護消費者權益。
 ８、管理方面的風險
　　嚴格管理是降低網絡交易風險的重要保證，特別是網絡商品中介交易的過程中，客戶進入交易中心，買賣雙方簽定合同，交易中心不僅要監督買方按時付款，還要監督賣方按時提供符合合同要求的貨物，在這些環節上，都存在大量的管理問題。防止此類問題的風險需要有完善的制度設計，形成一套相互關聯、相互制約的制度群。
　　人員管理常常是在線商店安全管理上最薄弱的環節。今年來我國計算機犯罪呈現內部犯罪的趨勢。主要是因為人員職業道德修養不高，安全教育和管理松懈所致。一切競爭對手還利用企業招聘新人的方式潛入該企業，或利用不正當的方式收買網絡交易管理人員，竊取企業用戶識別碼、密碼、傳遞方式以及相關的機密文件資料。
　　網絡交易技術管理的漏洞也帶來較大的交易風險。有些系統中某些用戶是無口令的，如匿名FTP，利用遠程登陸命令可登陸這些無口令用戶；或利用r系列的服務存在信任概念，允許被信任用戶不需要口令就可以進入系統，然后把自己升級為超級管理員。
　　世界上現有的信息系統決大數都缺少安全管理員，缺少信息系統安全管理的技術規范，缺少定期的安全測試與檢查，更缺少安全監控。我國許多企業的信息系統已經使用了很多年，但計算機的系統管理員與用戶的注冊還大多數處于缺省的狀態。
三、政策法律方面的網絡安全問題
 電子商務技術設計是先進性、時代性，具有強大的生命力。但必須清楚的認識到，在目前的法律法規仍然找不到現成的條文保護網絡交易中的交易方式，在網上交易可能會承擔由于法律滯后而造成的風險。垮地域的問題會在網絡法律安全出現漏洞。
政策的統一性和組織協調的問題
 參與電子商務的除了交易雙方外，還涉及海關、商檢、銀行、保險、外匯管理、貨物運輸、信息產業等部門和不同地區、不同國家，這不僅要要求國際上要有強有力的綜合協調部門，國內也要有強有力的綜合協調部門來制定統一的政策框架。
市場監管水平低
 由于Internet上進行電子商務是一個沒有時空和地域限制的大市場，而各國控制電子商務的內容標準不一、政策也不同。雖然，國際法反對將自己的控制目的和控制手段強加于他國，限制各國將本國法律用于處理超出國土范圍的爭端，但我們同時也應該看到，一國的經營或客戶在國外設置一個服務器或者在國外服務器中設置自己的主頁，這已經成為可能，因此，那些防止公民逃避本國司法控制的法律機制在Internet上的作用將大打折扣。
電子商務法律問題
 電子商務的支付和結算的資金交付都是采用電子貨幣通過電子資金劃撥(EFT)的方式，我國尚未制定這一法律，應盡快參照聯合國國際貿易法委員會制定的《電子資金劃撥示范法》制定我國與之接軌的電子資金劃撥法，確保交易資金劃撥順利進行。
　　四、結論
 電子商務時代正在一步一步離我們越來越近，雖然現在電子商務安全水平發展還有種種缺點、但是沒有人可以否認電子商務發展的巨大潛力，電子商務還要有很長的路要走，可能還要經歷坎坷和失敗，但是如果我們提高全社會對電子商務的認識，加強宣傳，解決面臨的各種問題，改變消費觀念；政府有計劃地推動電子商務；建立因特網全球性的框架和協議；政府各部門協調、出臺相應的法律；政府從示范工程入手，對網上交易在稅收上采取優惠政策；加強國際間的電子商務交流。電子商務事業將取得健康的發展。我們還需要加強電子商務網絡安全相關技術的研究工作，加強電子商務相關網絡安全技術標準的制定工作，充分發揮政府的引導作用，積極探索電子商務網絡安全運行模式，大力推進企業信息化建設，建設完善的社會信用體系，并加大力度盡快培養出大量既熟悉傳統產業又深入理解電子商務的國際化、高素質、復合型、行業化的各個層次的網絡安全人才。只有這樣，保證電子商務踏上可持續發展的道路。

參考文獻
１、趙泉：《網絡安全與電子商務》，2005年，第一版
２、（美）Mark M.Davydov：《企業門戶與電子商務》，2005年7月，第一版
３、王鋒、楊堅爭、羅曉靜、王蓮峰：《交易風險與安全保障》2005年，第一版
４、張潤彤：《電子商務》2005年，第一版
5、盧國志等：《新編電子商務概論》，2005年、第1版