論電子商務(wù)的安全問(wèn)題

論電子商務(wù)的安全問(wèn)題

 電子商務(wù)（electronic commerce），是指實(shí)現(xiàn)整個(gè)貿(mào)易活動(dòng)的電子化。從涵蓋范圍方面可以定義為：交易各方以電子交易方式而不是通過(guò)當(dāng)面交換或直接面談方式進(jìn)行的任何形式的商業(yè)交易。從技術(shù)方面可以定義為：電子商務(wù)是一種多技術(shù)的集合體，包括交換數(shù)據(jù)（如電子數(shù)據(jù)交換、電子郵件）、獲得數(shù)據(jù)（如共享數(shù)據(jù)庫(kù)、電子公告牌）以及自動(dòng)捕獲數(shù)據(jù)（如條形碼）等。
 20世紀(jì)90年代以來(lái)，隨著Internet的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)得到了飛的發(fā)展，遍及生活的每個(gè)角落。尤其是越來(lái)越多的商家開始利用Internet進(jìn)行商務(wù)交往使貿(mào)易活動(dòng)實(shí)現(xiàn)了電子化。從最初的單純的的網(wǎng)上發(fā)布和傳遞信息到在網(wǎng)上建立商務(wù)信息中心，從在傳統(tǒng)的貿(mào)易方式到電子化交易再到網(wǎng)上建立虛擬市場(chǎng)等。可以看出電子商務(wù)代表著21世紀(jì)的網(wǎng)絡(luò)應(yīng)用的發(fā)展方向。
 電子商務(wù)是利用計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)的，有關(guān)計(jì)算機(jī)的安全問(wèn)題早已引起人們的擔(dān)憂。要保證電子商務(wù)的正常運(yùn)作，就必須高度重視安全問(wèn)題。電子商務(wù)安全不是一堵防火墻或是一個(gè)電子簽名就能簡(jiǎn)單解決的問(wèn)題。處理不好將是致命的，因?yàn)樗�不單單關(guān)系到個(gè)人財(cái)產(chǎn)還關(guān)系到國(guó)家的經(jīng)濟(jì)安全、國(guó)家經(jīng)濟(jì)秩序穩(wěn)定等。
 一、電子商務(wù)的安全問(wèn)題涉及哪幾個(gè)方面
 分析電子商務(wù)安全問(wèn)題，主要依據(jù)對(duì)它整個(gè)運(yùn)作過(guò)程的分析，確定流程中可能出現(xiàn)的種種問(wèn)題。對(duì)于現(xiàn)階段來(lái)說(shuō)，電子商務(wù)安全問(wèn)題主要涉及到信息的安區(qū)問(wèn)題、信用的安區(qū)問(wèn)題、安區(qū)的管理問(wèn)題和電子商務(wù)的法律問(wèn)題。
 一、信息安全
 只要有網(wǎng)絡(luò)的地方，就會(huì)有病毒。它可讓你電腦里面的一些資料不翼而飛或是跟原來(lái)保存的內(nèi)容不一致或是多出一些不知名程序來(lái)。而對(duì)于電子商務(wù)來(lái)說(shuō)，信息安全問(wèn)題主要來(lái)自以下幾個(gè)方面：
 1．冒名偷竊
 很多“黑客”為了獲取重要的商業(yè)秘密、資源和信息，常常采用源IP地址欺騙攻擊。入侵者偽裝成源自一臺(tái)內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送信息包（信息包包含內(nèi)部系統(tǒng)的IP地址段），在E-mail服務(wù)器使用報(bào)文傳輸代理中冒名他人，竊取所需信息。這種手段對(duì)一些小型企業(yè)造成的危害特別大。因?yàn)樾⌒推髽I(yè)本來(lái)就存在資金的不足，管理層對(duì)通信的安全關(guān)注不大，沒(méi)有充裕的專項(xiàng)資金和專業(yè)的安全管理團(tuán)隊(duì)，一臺(tái)服務(wù)器、幾套通信設(shè)備就構(gòu)成了企業(yè)的信息部門。在這個(gè)計(jì)算機(jī)病毒滿天飛的年代里，沒(méi)有好的硬件和軟件作為基礎(chǔ)，將很難會(huì)有安全的通信渠道。
 2．篡改數(shù)據(jù)
 “黑客”在未經(jīng)授權(quán)進(jìn)入電子商務(wù)系統(tǒng)，使用非法手段刪除、修改、重發(fā)某些重要信息，破壞數(shù)據(jù)的完整性，損害他人的經(jīng)濟(jì)利益，或是干擾對(duì)方的正確決策。“冰河”這種病毒就可以輕易的實(shí)現(xiàn)以上這些問(wèn)題了，它主要是以遠(yuǎn)程監(jiān)控、登陸為主要手段，實(shí)行全權(quán)控制。
 3．信息丟失
 交易信息的丟失，通常有三種情況：通信線路問(wèn)題造成的信息丟失；在不同的操作平臺(tái)上轉(zhuǎn)換操作從而丟失信息還有安全措施不全面，受到病毒入侵而造成的信息丟失。前兩種原因出現(xiàn)的幾率不高，處于能忍受的地步，但后面的就是人為因素了，這是不可原諒的行為。
 4．信息傳遞出問(wèn)題
 信息在網(wǎng)絡(luò)上傳遞時(shí)，要經(jīng)過(guò)多個(gè)環(huán)節(jié)和渠道。由于計(jì)算機(jī)技術(shù)的發(fā)展迅速，原有的病毒防范技術(shù)、加密技術(shù)、防火墻技術(shù)等始終存在著被新技術(shù)攻擊的可能性。計(jì)算機(jī)病毒的侵襲，“黑客”的非法侵入，線路竊聽等很容易使重要數(shù)據(jù)在傳遞過(guò)程中泄密，從而使電子商務(wù)交易中出現(xiàn)不良后果。
 二、信用的安全問(wèn)題
 1．來(lái)自買方的信用安全問(wèn)題
 對(duì)于個(gè)人消費(fèi)者來(lái)說(shuō)，可能存在的在網(wǎng)絡(luò)上使用信用卡進(jìn)行支付時(shí)惡意透支或使用偽造的信用卡騙取賣方的貨物行為；對(duì)于集團(tuán)購(gòu)買者來(lái)說(shuō)，存在拖延貸款的可能，賣方需要為此承擔(dān)安全風(fēng)險(xiǎn)。
 2、來(lái)自賣方的信用安全問(wèn)題
 賣方不能按時(shí)、按質(zhì)、按量送寄消費(fèi)者購(gòu)買的貨物，或者不能完全覆行與集團(tuán)購(gòu)買者簽訂的合同，造成買方的安全風(fēng)險(xiǎn)。
 3、買賣雙方都存在抵賴的情況
 不管出于什么原因，買賣雙方都有出現(xiàn)過(guò)抵賴曾經(jīng)發(fā)生過(guò)的交易。
 三、安全的管理問(wèn)題
 嚴(yán)格管理是降低電子商務(wù)風(fēng)險(xiǎn)的重要保證，特別是在網(wǎng)絡(luò)商品中介交易的過(guò)程中，客戶進(jìn)入交易中心，買賣雙方簽訂合同，交易中心不僅要監(jiān)督買方按時(shí)付款，還要監(jiān)督賣方按時(shí)提供符合合同要求的貨物。在這個(gè)環(huán)節(jié)上，都存在著大量的管理問(wèn)題。
 目前，人員管理常常是電子商務(wù)安全管理上最薄弱的環(huán)節(jié)。近年來(lái)我國(guó)計(jì)算機(jī)犯罪大都呈現(xiàn)內(nèi)部犯罪的趨勢(shì)，內(nèi)部問(wèn)題是所有問(wèn)題中危害最大的也是最難解決。提高人員素質(zhì)是必不可少的，另外，電子商務(wù)管理上的漏洞也帶來(lái)較大的交易安全問(wèn)題。
 此外，目前現(xiàn)有的信息系統(tǒng)絕大多數(shù)都缺少安全管理員，缺少信息系統(tǒng)安全管理的技術(shù)規(guī)范，缺少定期的安全測(cè)試與檢查，更缺少安全監(jiān)控。
 四、安全的法律保障問(wèn)題
 電子商務(wù)的技術(shù)設(shè)計(jì)是先進(jìn)、超前的、具有強(qiáng)大的生命力。但同時(shí)也是必須清楚地認(rèn)識(shí)到，在目前的法律上是找不到或很少有現(xiàn)有的條文來(lái)保護(hù)電子商務(wù)交易中的交易方式的，畢竟它在中國(guó)還是新事物，只有少數(shù)高學(xué)歷、高收入的人群才會(huì)去接觸，吸引不了眾多人群的注意，造成了在網(wǎng)上交易可能會(huì)承擔(dān)由于法律滯后而造成的安全風(fēng)險(xiǎn)。
    二、安全問(wèn)題出現(xiàn)的原因
 從上面的幾個(gè)問(wèn)題我們看出，它是隨著時(shí)代、科技的發(fā)展而衍生的。首先，電子商務(wù)是在計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)后才出現(xiàn)的，是Internet未來(lái)應(yīng)用的方向，作為新生事物，在現(xiàn)在的生活中，還沒(méi)能完全與之相適應(yīng)。
 我國(guó)由于發(fā)展比較晚，經(jīng)濟(jì)較為落后，造成了網(wǎng)絡(luò)通信的不先進(jìn)，電子商務(wù)是以網(wǎng)絡(luò)通信作為基礎(chǔ)的，在基礎(chǔ)不好的情況下，電子商務(wù)的發(fā)展就跟為艱難了，不少相應(yīng)的配套設(shè)施、技術(shù)都沒(méi)有在我們身邊出現(xiàn)過(guò)。
 能用上電子商務(wù)交易的，眾多的人群中，只占了極少數(shù)，甚至部分人連銀行卡都還不會(huì)用。由于推廣力度不夠，感覺(jué)不到它的真正的作用，讓人產(chǎn)生一種錯(cuò)覺(jué)“不實(shí)用，存在不久”從而投入不大，相關(guān)技術(shù)和制度遲遲跟不上現(xiàn)狀，令不少不法分子有空可鉆，導(dǎo)致出現(xiàn)更大的損失。
 在錯(cuò)覺(jué)的前提下，帶動(dòng)了與之相關(guān)的法律制度、管理制度和人力資源都得不到質(zhì)的發(fā)展。任何一種新生事物，都要有相配的制度才能使其原著正確的路線走下去，不然必定給時(shí)代所淘汰。運(yùn)用于商業(yè)用圖的事物，肯定也少不了獨(dú)特的管理方法了，商家的目的在于利潤(rùn)，管理是獲取利潤(rùn)的手段，沒(méi)了利潤(rùn)作為行動(dòng)的基礎(chǔ)，再好再先進(jìn)的事物都能將其拋棄。再有一種原因是人的因素，作為提供技術(shù)支持的媒介，相關(guān)人員必須對(duì)電子商務(wù)原理、運(yùn)作和處理有深刻的了解和熟識(shí)。但，實(shí)際社會(huì)上這類人員相當(dāng)缺乏。
 另外，目前還缺乏對(duì)網(wǎng)絡(luò)犯罪有效的反擊和跟蹤手段，“黑客”攻擊完后耍手就走，就像去游樂(lè)園哪樣想怎樣就怎樣。
 最后是，商家很多已經(jīng)開發(fā)出來(lái)的軟件會(huì)存在這樣或者那樣的漏洞，特別是某些商家為了搶占市場(chǎng)，把還沒(méi)完全實(shí)現(xiàn)原設(shè)計(jì)的功能，就投入市場(chǎng)，這給不法分子有機(jī)可乘，讓人難以防范。
 三、安全問(wèn)題的防治
 談到防治，人們首先想到的是技術(shù)保障措施，但僅從技術(shù)出發(fā)還會(huì)存在很多問(wèn)題的。電子商務(wù)安全保障要采用綜合防范的思路，從技術(shù)、管理、法律等方面去認(rèn)識(shí)去思考來(lái)尋求解決的方法。
 總的來(lái)說(shuō)，電子商務(wù)安區(qū)的防治要從三個(gè)方面下手：1.信息技術(shù)方面的措施；2.信息安全管理制度的保障；3.社會(huì)的法律政策與法律保障
信息技術(shù)方面的措施。
 技術(shù)措施涉及到防火墻、信息加密、數(shù)字簽名、驗(yàn)證技術(shù)、數(shù)字證書
 防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。它作為最早化、最成熟的網(wǎng)絡(luò)產(chǎn)品，其功能主要就是防范外部攻擊，改進(jìn)的防火墻技術(shù)更可有效地控制內(nèi)部和病毒的破壞。所有的防火墻設(shè)計(jì)都要遵照兩條基本原則，即未被允許的即禁止，未被禁止的即允許。同時(shí)在選用防火墻的時(shí)候要考慮到網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)應(yīng)用系統(tǒng)需求、用戶及通信流量規(guī)模方面的需求以及可靠性、可用性和易用性等方面的需求。
 1〉加密技術(shù)是信息安全技術(shù)中一個(gè)重要的組成部分。
 所謂“加密”就是用基于數(shù)學(xué)方法的程序和保密的密鑰對(duì)信息進(jìn)行編碼，把計(jì)算機(jī)數(shù)據(jù)變成一堆雜亂無(wú)章難以理解的字符串，也就是明文變密文，這樣，即使被竊取也無(wú)法辨認(rèn)原文。加密是由加密和解密過(guò)程組成的，一般，發(fā)送方在發(fā)送信息前先用加密程序?qū)⒚魑募用艹擅芪模�接受方在接收到信息后，用解密程序�(qū)⒚芪慕忉尦擅魑摹Ｋ�以加密可以有效地�?duì)抗信息的被攔截及竊取。
 數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密，常用的有鏈路—鏈路加密、節(jié)點(diǎn)加密、端—端加密、ATM網(wǎng)絡(luò)加密和衛(wèi)星通信加密五種方式。應(yīng)根據(jù)信息系統(tǒng)安全策略來(lái)制定保密策略，選擇合理、合適的加密方式。
 2〉數(shù)字簽名其實(shí)就是伴隨著數(shù)字化編碼的消息一起發(fā)送并與發(fā)送的信息有一定邏輯關(guān)聯(lián)的數(shù)據(jù)項(xiàng)。借助數(shù)字簽名可以確定消息的發(fā)送方，同時(shí)還可以確定消息自發(fā)出后未被修改過(guò)。
 在電子商務(wù)中，利用這樣的數(shù)字簽名機(jī)制，交易中接收訂單的一方可以對(duì)發(fā)送方發(fā)出的訂單要求進(jìn)行驗(yàn)證，確認(rèn)該訂單不是由不懷好意的黑客偽造的。
 3〉驗(yàn)證是在遠(yuǎn)程通信中獲得的信任的手段，使安全服務(wù)中最為基本的內(nèi)容，因?yàn)楸仨毻ㄟ^(guò)可靠的驗(yàn)證來(lái)進(jìn)行訪問(wèn)控制，決定誰(shuí)有權(quán)接收或修改信息。
 驗(yàn)證方法通常有：1.基于口令的驗(yàn)證；2驗(yàn)證協(xié)議；3.基于個(gè)人令牌的驗(yàn)證；4.基于生物統(tǒng)計(jì)特征的驗(yàn)證；5.基于地址的驗(yàn)證；6.數(shù)字時(shí)間戳驗(yàn)證
 由于在電子商務(wù)交易中，買賣雙方在交易過(guò)程中是互不照面的，因此需要一種事物來(lái)表明自己的身份，以示自己是一個(gè)合法的用戶，電子商務(wù)中的數(shù)字證書就是這樣一種由權(quán)威機(jī)構(gòu)發(fā)放的證明身份的事物。
 4〉數(shù)字證書的類型有：1.個(gè)人數(shù)字證；2.服務(wù)器證書；3.開發(fā)者證書
信息安全管理制度的保障
 安全管理措施通常是以制度的形式出現(xiàn)的，即用條文對(duì)各項(xiàng)安全要求做出規(guī)定。這些制度包括人員管理制度，保密制度，系統(tǒng)維護(hù)制度，數(shù)據(jù)備份（容災(zāi)）制度，病毒防范制度。
人員管理制度
人作為電子商務(wù)活動(dòng)的媒介，媒介的好壞也可以說(shuō)是決定了事物的未來(lái)。作為網(wǎng)絡(luò)管理員這樣的人員，需要具備相當(dāng)?shù)穆殬I(yè)道德和技術(shù)基礎(chǔ)。因?yàn)榫W(wǎng)絡(luò)管理員好比關(guān)口的檢查人員，他關(guān)系到內(nèi)部和外部的安全。
保密制度
 從事電子商務(wù)工作的企業(yè)，內(nèi)部會(huì)涉及很多保密信息，如客戶隱私、公司財(cái)務(wù)狀況、密鑰等，而每類信息又有不同的安全級(jí)別，哪些是可以讓客戶隨意訪問(wèn)的，哪些是公司普通員工可以訪問(wèn)的，哪些又是高級(jí)員工才能訪問(wèn)的，這些都應(yīng)該通過(guò)保密制度明確下來(lái)。
系統(tǒng)維護(hù)制度
 系統(tǒng)維護(hù)制度主要包括硬件和軟件的日常管理與維護(hù)。我們通常所說(shuō)的系統(tǒng)硬件是指通信雙方、通信通道以及網(wǎng)絡(luò)設(shè)備。
數(shù)據(jù)備份（容災(zāi)）制度
 容災(zāi)按照其容災(zāi)能力的高低可分為多個(gè)層次：從最簡(jiǎn)單的僅在本地進(jìn)行磁帶備份，到將備份的磁帶存儲(chǔ)在異地，再建立應(yīng)用系統(tǒng)實(shí)時(shí)切換的異地備份系統(tǒng)。企業(yè)應(yīng)根據(jù)自身情況，對(duì)不同安全級(jí)別的數(shù)據(jù)制定不同的數(shù)據(jù)容災(zāi)制度。
病毒防范制度
 病毒對(duì)網(wǎng)絡(luò)交易的順利進(jìn)行和交易數(shù)據(jù)的妥善保存造成極大的威脅。從事網(wǎng)上交易的企業(yè)和個(gè)人都應(yīng)當(dāng)建立病毒防范制度，排除病毒的、騷擾。通常的解決方案有：
·以網(wǎng)為本，防重于治。
 防治病毒應(yīng)該從網(wǎng)絡(luò)整體考慮，從方便減少管理人員的工作入手，透過(guò)網(wǎng)絡(luò)管理PC機(jī)。
·與網(wǎng)絡(luò)管理集成
 網(wǎng)絡(luò)防病毒最大的優(yōu)勢(shì)在于網(wǎng)絡(luò)的管理功能，如果沒(méi)有把網(wǎng)絡(luò)管理加上，很難完成網(wǎng)絡(luò)防毒的任務(wù)，管理與防治相結(jié)合，才能保證系統(tǒng)的良好運(yùn)行。
·安全體系的一部分
防毒軟件、防火墻產(chǎn)品、可調(diào)整參數(shù)能夠相互通信，形成一整套解決方案。
·多層防御
 多層防御體系將病毒檢測(cè)、多層數(shù)據(jù)保護(hù)和集中式管理功能集成起來(lái)，提供了全面的病毒防護(hù)功能，從而保證了“治療”病毒的效果同時(shí)減輕了反病毒管理的負(fù)擔(dān)。
社會(huì)的法律政策與法律保障
 隨著電子商務(wù)的應(yīng)用范圍逐步擴(kuò)大，現(xiàn)有的法律法規(guī)已適應(yīng)不了社會(huì)的發(fā)展需求了，電子商務(wù)的安全和健康發(fā)展離不開完善的法律制度的保障，建立良好的電子商務(wù)法律環(huán)境是推動(dòng)電子商務(wù)發(fā)展的前提和條件。
 對(duì)于電子商務(wù)的立法，現(xiàn)在階段我們應(yīng)當(dāng)遵循三大指導(dǎo)原則：
鼓勵(lì)和發(fā)展電子商務(wù)是中國(guó)電子商務(wù)立法的首要前提；
電子商務(wù)立法要與憲法和其他已存法律法規(guī)及我國(guó)認(rèn)同的國(guó)際法保持一致；
電子商務(wù)立法要適合中國(guó)國(guó)情。
 電子商務(wù)作為一種新的商業(yè)活動(dòng)，在為全球用戶提供了豐富的商務(wù)信息、簡(jiǎn)捷的交易過(guò)程和低廉的交易成本，同時(shí)也帶來(lái)了沖擊。要保證電子商務(wù)的正常運(yùn)作，就必須高度重視安全問(wèn)題，就必須關(guān)注電子商務(wù)的安全和防治。因?yàn)殡娮由虅?wù)的安全問(wèn)題不僅關(guān)系到個(gè)人的資金安全、商家的貨物安全，還涉及到國(guó)家的經(jīng)濟(jì)安全、國(guó)家經(jīng)濟(jì)秩序的穩(wěn)定問(wèn)題。
  
 
 
參考文獻(xiàn)：
勞幗齡：《電子商務(wù)的安全與管理》，高等教育出版社。
袁家政：《計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)》，清華大學(xué)出版社
李廣建：《北京師范大學(xué)網(wǎng)絡(luò)教育學(xué)院用書》
梅紹祖、呂殿平：《電子商務(wù)基礎(chǔ)》，清華大學(xué)出版社
齊愛(ài)民、徐亮：《電子商務(wù)法原理與實(shí)務(wù)》，武漢大學(xué)出版社
蔡皖東：《計(jì)算機(jī)網(wǎng)絡(luò)》，西安電子科技大學(xué)出版社