電子商務(wù)安全概述概述

第五章電子商務(wù)安全本章學(xué)習(xí)與教學(xué)目標(biāo)：掌握電子商務(wù)安全的基本知識(shí)；理解主要安全技術(shù)措施的原；了解有關(guān)各種安全隱患等存在的問題和應(yīng)采取的對(duì)策。

重點(diǎn)：電子商務(wù)安防范措施難點(diǎn)：電子商務(wù)安防范措施計(jì)劃課時(shí)：10課時(shí)（理論8課時(shí)＋實(shí)驗(yàn)2課時(shí)）教學(xué)方式：講授、提問、討論、演示等教學(xué)環(huán)境：多媒體教學(xué)5.1電子商務(wù)安全概述5.1.1電子商務(wù)安全的重要性

通過竊取個(gè)人信息進(jìn)行的盜竊近年來增長很快，并導(dǎo)致2003年全球范圍內(nèi)2210億美元的損失，幾乎是2000年的3倍。2005年6月17日，美國曝出有史以來規(guī)模最大的信用卡個(gè)人數(shù)據(jù)外泄事件。美國萬事達(dá)卡國際組織宣布，美國專為銀行、會(huì)員機(jī)構(gòu)、特約商店處理卡片交易資料的外包廠商CardSystemsSolutions公司資料庫遭到入侵，包括萬事達(dá)、VISA、運(yùn)通、Discover在內(nèi)高達(dá)4000多萬信用卡用戶的銀行資料面臨泄密風(fēng)險(xiǎn)，其中萬事達(dá)信用卡用戶達(dá)1390萬，VISA信用卡用戶高達(dá)2200萬。5.1.2電子商務(wù)活動(dòng)中風(fēng)險(xiǎn)源分析

(1)在線交易主體的市場準(zhǔn)入問題

在現(xiàn)行法律體制下，任何長期固定從事營利性事業(yè)的主體都必須進(jìn)行工商登記。在電子商務(wù)環(huán)境下，任何人不經(jīng)登記就可以借助計(jì)算機(jī)網(wǎng)絡(luò)發(fā)出或接受網(wǎng)絡(luò)信息，并通過一定程序與其他人達(dá)成交易。虛擬主體的存在使電子商務(wù)交易安全受到嚴(yán)重威脅。電子商務(wù)交易安全首先要解決的問題就是確保網(wǎng)上交易主體的真實(shí)存在，且確定哪些主體可以進(jìn)入虛擬市場從事在線業(yè)務(wù)。這方面的工作需要依賴工商管理部門的網(wǎng)上商務(wù)主體公示制度和認(rèn)證中心的認(rèn)證制度加以解決。

(2)信息風(fēng)險(xiǎn)

從買賣雙方自身的角度觀察，網(wǎng)絡(luò)交易中的信息風(fēng)險(xiǎn)來源于用戶以合法身份進(jìn)入系統(tǒng)后，買賣雙方都可能在網(wǎng)絡(luò)上發(fā)布虛假的供求信息，或以過期的信息冒充現(xiàn)在的信息，以騙取對(duì)方的錢款或貨物。虛假信息包含與事實(shí)不符和夸大事實(shí)兩個(gè)方面。虛假事實(shí)可能是所宣傳的商品或服務(wù)本身的性能、質(zhì)量、技術(shù)標(biāo)準(zhǔn)等，也可能是政府批文、權(quán)威機(jī)構(gòu)的檢驗(yàn)證明、榮譽(yù)證書、統(tǒng)計(jì)資料等，還可能是不能兌現(xiàn)的允諾。例如，有些網(wǎng)絡(luò)公司急于擴(kuò)大自身影響，引起公眾注意，網(wǎng)絡(luò)廣告使用“中國第一”、“全國訪問率最高”、“固定用戶數(shù)量最多”等詞語；有的甚至在網(wǎng)絡(luò)廣告發(fā)布過程中，違反有關(guān)法律和規(guī)章中的強(qiáng)制性規(guī)定，將淫穢、迷信、恐怖、暴力等不健康的內(nèi)容直接在網(wǎng)上發(fā)布。

從技術(shù)上看，網(wǎng)絡(luò)交易的信息風(fēng)險(xiǎn)主要來自冒名偷竊、篡改數(shù)據(jù)、信息丟失等方面。

(3)信用風(fēng)險(xiǎn)

信用風(fēng)險(xiǎn)主要來自三個(gè)方面：

(1)來自買方的信用風(fēng)險(xiǎn)。對(duì)于個(gè)人消費(fèi)者來說，可能存在在網(wǎng)絡(luò)上使用信用卡進(jìn)行支付時(shí)惡意透支，或使用偽造的信用卡騙取賣方貨物的行為；對(duì)于集團(tuán)購買者來說，存在拖延貨款的可能。賣方需要為此承擔(dān)風(fēng)險(xiǎn)。

(2)來自賣方的信用風(fēng)險(xiǎn)。賣方不能按質(zhì)、按量、按時(shí)寄送消費(fèi)者購買的貨物，或者不能完全履行與集團(tuán)購買者簽訂的合同，造成買方的風(fēng)險(xiǎn)。

(3)買賣雙方都存在抵賴的情況。

(4)網(wǎng)上欺詐犯罪

運(yùn)用現(xiàn)代的網(wǎng)絡(luò)技術(shù)手段，大致上有兩大類型：一種是在網(wǎng)上發(fā)送虛假信息，騙取受害人同意將若干財(cái)物交付給行為者的行為；一類是以其他有權(quán)人的身份，進(jìn)入特定網(wǎng)絡(luò)信息系統(tǒng)，在網(wǎng)絡(luò)信息系統(tǒng)中增加、輸入一定信息，將有權(quán)人所有或占有的電子貨幣劃撥到自己的帳戶上，進(jìn)而兌現(xiàn)的行為。

(5)電子合同問題

在傳統(tǒng)商業(yè)模式下，除即時(shí)結(jié)清或數(shù)額小的交易無需記錄外，一般都要簽訂書面合同，以便在對(duì)方失信不履約時(shí)作為證據(jù)，追究對(duì)方的責(zé)任。而在在線交易情形下，所有當(dāng)事人的意思表示均以電子化的形式存儲(chǔ)于計(jì)算機(jī)硬盤或其他電子介質(zhì)中。這些記錄不僅容易被涂擦、刪改、復(fù)制、遺失，而且不能脫離其記錄工具(計(jì)算機(jī))而作為證據(jù)獨(dú)立存在。電子商務(wù)法需要解決由于電子合同與傳統(tǒng)合同的差別而引起的諸多問題，突出表現(xiàn)在書面形式、簽字有效性、合同收訖、合同成立地點(diǎn)、合同證據(jù)等方面。

(6)電子支付問題

在簡易電子商務(wù)形式下，支付往往采用匯款或交貨付款方式，而典型的電子商務(wù)則是在網(wǎng)上完成支付的。網(wǎng)上支付通過信用卡支付和虛擬銀行的電子資金劃撥來完成。而實(shí)現(xiàn)這一過程涉及網(wǎng)絡(luò)銀行與網(wǎng)絡(luò)交易客戶之間的協(xié)議、網(wǎng)絡(luò)銀行與網(wǎng)站之間的合作協(xié)議以及安全保障問題。因此，需要制定相應(yīng)的法律，明確電子支付的當(dāng)事人(包括付款人、收款人和銀行)之間的法律關(guān)系，制定相關(guān)的電子支付制度，認(rèn)可電子簽字的合法性。同時(shí)還應(yīng)出臺(tái)針對(duì)電子支付數(shù)據(jù)的偽造、變?cè)?、更改、涂銷等問題的處理辦法。

(7)在線消費(fèi)者保護(hù)問題

在線市場的虛擬性和開放性以及網(wǎng)上購物的便捷性都使消費(fèi)者保護(hù)成為突出的問題。在我國商業(yè)信用不高的狀況下，網(wǎng)上出售的商品可能良莠不齊，質(zhì)量難以讓消費(fèi)者信賴，而一旦出現(xiàn)質(zhì)量問題，退賠、修理等又很困難，方便的網(wǎng)絡(luò)購物很可能變得不方便甚至使人敬而遠(yuǎn)之。法律需要尋求在電子商務(wù)環(huán)境下執(zhí)行《消費(fèi)者權(quán)益保護(hù)法》的方法和途徑，制定保護(hù)網(wǎng)上消費(fèi)者的特殊法律，保障網(wǎng)上商品的質(zhì)量，保證網(wǎng)上廣告信息的真實(shí)性和有效性，解決由于交易雙方信息不實(shí)或無效信息而發(fā)生的交易糾紛，切實(shí)維護(hù)消費(fèi)者權(quán)益。

(8)產(chǎn)品交付問題

在線交易的標(biāo)的物分兩種，一種為有形貨物，另一種是無形的信息產(chǎn)品。應(yīng)當(dāng)說，有形貨物的交付仍然可以沿用傳統(tǒng)合同法的基本原理，當(dāng)然，對(duì)于物流配送中引起的一些特殊問題也要作一些探討。而信息產(chǎn)品的交付則具有不同于有形貨物交付的特征，對(duì)于其權(quán)利的移轉(zhuǎn)、退貨、交付的完成等需要有相應(yīng)的安全保障措施。5.1.3安全性定義

(1)密碼安全通信安全的最核心部分，由技術(shù)上提供強(qiáng)韌密碼系統(tǒng)及正確應(yīng)用來實(shí)現(xiàn)。

(2)計(jì)算機(jī)安全

一種確定狀態(tài)，使計(jì)算機(jī)化數(shù)據(jù)和文件不致被非授權(quán)人員、計(jì)算機(jī)或其他程序訪問、獲取或修改。

(3)網(wǎng)絡(luò)安全

包括所有保護(hù)網(wǎng)絡(luò)的措施：物理設(shè)施的保護(hù)、軟件及職員的安全及防止非授權(quán)的訪問、偶發(fā)或蓄意的常規(guī)手段干擾或破壞。。

(4)信息安全保護(hù)信息財(cái)富，使之免遭偶發(fā)的或有意的非授權(quán)泄露、修改、破壞或處理能力的喪失5.1.4電子商務(wù)對(duì)安全問題提出的要求

電子商務(wù)對(duì)安全性提出了新的要求，其中保密性、完整性和不可否認(rèn)性最為關(guān)鍵。(1)交易信息的保密性

信息的保密性——信息在交易前、交易中、交易后都不被他人竊取、偷聽、偷看等。

(2)交易各方的身份認(rèn)證(Authentication)

確認(rèn)交易各方的身份。用戶名/口令可以進(jìn)行初級(jí)身份驗(yàn)證，數(shù)字證書、生物測定學(xué)技術(shù)是高層次認(rèn)證技術(shù)。

(3)信息的完整性(Integrity)

交易過程中信息不能被更改、替換。技術(shù)是數(shù)字摘要。(4)交易內(nèi)容的不可否認(rèn)性(Non-repudiation)防止通信或交易雙方對(duì)已經(jīng)進(jìn)行的業(yè)務(wù)的否認(rèn)。技術(shù)數(shù)字簽名(電子簽名)。(5)交易系統(tǒng)的可用性(Accessibility)電子商務(wù)系統(tǒng)的災(zāi)難性防護(hù)。技術(shù)有殺毒軟件、防火墻、入侵檢測，還有雙機(jī)冗余、數(shù)據(jù)備份、雙路供電。(6)信息訪問控制(AcessControl)信息存儲(chǔ)時(shí)防止被非法訪問、非法復(fù)制、非法修改、非法創(chuàng)建等現(xiàn)象的發(fā)生。技術(shù)是訪問權(quán)限設(shè)置。什么是意大利香腸術(shù)。意大利香腸術(shù)