第二章 電子商務安全面臨的主要問題及解決辦法

第二章電子商務安全面臨的

主要問題及解決方法中國電子商務研究中心發(fā)布的《2013年度中國電子商務用戶體驗與投訴監(jiān)測報告》中顯示，2013年度通過在線遞交、電話、郵件、即時通訊等多種形式，中國電子商務投訴與維權(quán)公共服務平臺共接到全國各地用戶的電子商務投訴97350起，其中移動電商是用戶投訴的新興熱點領域，較2012年有明顯上升。在2013年度電子商務領域的各類投訴中，網(wǎng)絡購物占52.38%，網(wǎng)絡團購占27.53%，移動電子商務占10.09%，物流快遞占2.24%，B2B網(wǎng)絡貿(mào)易占1.39%，第三方支付占1.07%，其他（如網(wǎng)絡傳銷、網(wǎng)絡集資洗錢等）占5.3%。其中，在去年電商價格戰(zhàn)、“雙11”、電商周年慶，均是用戶投訴高峰期。據(jù)中國電子商務研究中心調(diào)查顯示，退款問題、售后服務、網(wǎng)絡售假、退換貨物、發(fā)貨遲緩、網(wǎng)絡詐騙、質(zhì)量問題、訂單取消、虛假促銷、節(jié)能補貼成為網(wǎng)購詬病，是2013年網(wǎng)購用戶投訴最多的十大問題癥結(jié)。其中，投訴量最大的是“退款問題”，占總投訴量的21.21%。其次對售后服務的投訴，占比達13.48%，涉及網(wǎng)絡售假、退換貨物的投訴也分別達10.61%、10.15%。不到1/3的購物網(wǎng)站對用戶投訴反饋率在50%左右，而多數(shù)購物網(wǎng)站對用戶投訴反饋不積極?！百徫锞W(wǎng)站誠信缺失，不重視用戶投訴，是導致用戶重復投訴率高的主因?！痹诰W(wǎng)絡購物市場，信息泄露成為電商和消費者遇到的最大危機。在2013年里，電商信息泄露內(nèi)容主要有支付寶信息泄露、快遞單販賣、購物網(wǎng)站賬戶被盜等。每年因賬戶被盜造成損失超10億。第一節(jié)電子商務的安全威脅1.信息傳輸風險信息傳輸風險是指進行網(wǎng)上交易時，因傳輸?shù)男畔⑹д婊蛘咝畔⒈环欠ǜ`取、篡改和丟失，而導致網(wǎng)上交易的不必要損失。（1）冒名偷竊（2）篡改數(shù)據(jù)（3）信息丟失（4）信息傳遞過程中的破壞（5）虛假信息2．信用風險

信用風險主要來自三個方面：第一，來自買方的信用風險。對于個人消費者來說，可能在網(wǎng)絡上使用信用卡進行支付時惡意透支，或使用偽造的信用卡騙取賣方的貨物；對于集團來說，存在拖延貨款的可能，賣方需要為此承擔風險。第二，來自賣方的信用風險。賣方不能按質(zhì)、按量、按時寄送消費者購買的貨物，或者不能完全履行與集團簽訂的購買合同，造成買方的風險。第三，買賣雙方都存在抵賴的情況。第一節(jié)電子商務的安全威脅3．管理方面的風險

首先，在網(wǎng)絡商品中介交易的過程中，客戶進入交易中心，買賣雙方簽訂合同，交易中心不僅要監(jiān)督買方按時付款，還要監(jiān)督賣方按時提供符合合同要求的貨物。在這些環(huán)節(jié)上都存在大量的管理風險。其次，人員管理常常是網(wǎng)上交易安全管理上的最薄弱的環(huán)節(jié)，計算機犯罪大都呈現(xiàn)內(nèi)部犯罪。第三，網(wǎng)絡交易技術(shù)管理的漏洞也帶來較大的交易風險。第一節(jié)電子商務的安全威脅4.法律方面的風險在目前的法律條文上找不到現(xiàn)成的條文保護網(wǎng)絡交易中的交易方式，因此還存在房率方面的風險。一方面，在網(wǎng)上交易可能會承擔由于法律滯后而無法保證合法交易的權(quán)益造成的風險。另一方面，在網(wǎng)上交易可能承擔由于法律的事后完善所帶來的風險。第一節(jié)電子商務的安全威脅第二節(jié)電子商務安全需求電子商務威脅的出現(xiàn)，導致了對電子商務安全的需求，為真正實現(xiàn)一個安全電子商務系統(tǒng)，保證交易的安全可靠，要求電子商務能做到機密性，完整性，認證性和不可抵賴性。(1)機密性。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的，維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。機密性一般通過密碼技術(shù)對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)。第二節(jié)電子商務安全需求(2)完整性。電子商務過程中，由于數(shù)據(jù)輸入時的差錯或欺詐行為，以及數(shù)據(jù)傳輸過程中信息的丟失，信息重復或信息傳送的次序差異將導致貿(mào)易各方信息的差異，從而影響到貿(mào)易各方的交易和經(jīng)營策略，保證貿(mào)易各方信息的完整性是電子商務應用的基礎。因此，要預防對信息的隨意生成，修改和刪除，同時要防止數(shù)據(jù)傳輸過程中的丟失和重復，保證信息傳送次序的統(tǒng)一。完整性一般可通過提取信息的數(shù)據(jù)摘要方式來獲得。3.1電子商務的安全需求(3)認證性。電子商務交易系統(tǒng)中，企業(yè)或個人的交易通常都是在虛擬的網(wǎng)絡環(huán)境中進行，雙方可能從未謀面，所以對個人或企業(yè)實體進行身份認證成了電子商務中十分重要的一環(huán)。這就要做到，當某人或?qū)嶓w聲稱具有某個特定身份時，鑒別服務將提供一種方法來驗明其聲明的正確性，一般都通過證書機構(gòu)CA和數(shù)字證書來實現(xiàn)。第二節(jié)電子商務安全需求3.1電子商務的安全需求（4）不可抵賴性。電子商務關(guān)系到貿(mào)易雙方的商業(yè)交易，關(guān)乎雙方的商業(yè)利益，但由于它不同于傳統(tǒng)的貿(mào)易方式，如何確定要進行交易的貿(mào)易方就是合作伙伴，并且確定合同，契約，單據(jù)的可靠性，預防抵賴行為的發(fā)生，這就要求在交易信息的過程中，為參與的個人，企業(yè)或國家提供可靠的標識。不可抵賴性可通過對發(fā)送的信息進行數(shù)字簽名來獲取。第二節(jié)電子商務安全需求3.1電子商務的安全需求（5）有效性。電子商務以電子的形式取代了紙張，那么如何保證這種電子形式的貿(mào)易信息的有效性則是開展電子商務的前提。電子商務作為一種貿(mào)易形式，其信息的有效性將直接關(guān)系到個人，企業(yè)或國家的利益和聲譽。因此，要對網(wǎng)絡故障，操作錯誤，應用程序錯誤，硬件故障，系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防，以保證貿(mào)易數(shù)據(jù)在確定的時刻，確定的地點是有效的。第二節(jié)電子商務安全需求第三節(jié)電子商務安全的保障體系1．電子商務安全保障的正確理念首先，電子商務安全是系統(tǒng)性問題，要綜合考慮人、技術(shù)、管理、法規(guī)、制度等多項要素。其次，電子商務安全是整體性問題，指望幾項離散的安全產(chǎn)品或技術(shù)手段解決所有安全問題是不現(xiàn)實的。第三，安全保障是動態(tài)發(fā)展的過程，安全保障建設不會是一勞永逸的。第四，安全是相對性的，安全保障建設投資是可度量的。2．管理上的安全措施首先，在高層管理要引起對電子商務安全的足夠重視，促成管理人員同相關(guān)的技術(shù)人員一起制定企業(yè)內(nèi)部、外部網(wǎng)絡安全規(guī)劃和標準。在規(guī)劃中應該指出企業(yè)信息安全在近期和未來一段時間內(nèi)要達到什么級別和標準，預備投入的資源等。其次，在規(guī)劃和標準的指導下要制定詳細的安全行為規(guī)范。最后，要特別注意安全條例的執(zhí)行保障，即有了規(guī)定就一定要按照規(guī)定去執(zhí)行。第三節(jié)電子商務安全的保障體系3．法律上的安全保障在法律上，電子商務不同于傳統(tǒng)商務在紙面上完成交易、有據(jù)可查的特點，電子交易如何認證、電子欺詐如何避免和懲治不僅是技術(shù)問題，同時也要涉及法律領域。在電子商務這個虛擬世界里，更需要完善的法律體系來維持秩序。安全的電子商務僅靠單一的技術(shù)手段來保證是不會奏效的，必須依靠法律手段、行政手段和技術(shù)手段的完美結(jié)合來最終保護參與電子商務各方的利益。這就需要在企業(yè)和企業(yè)之間、政府和企業(yè)之間、企業(yè)和消費者之間、政府和政府之間明確各自需要遵守的法律義務和責任。第三節(jié)電子商務安全的保障體系4．技術(shù)上的安全保障在技術(shù)上，電子商務中涉及的安全技術(shù)很多，其中有一些已經(jīng)獲得了廣泛的應用和認可。對于維護企業(yè)內(nèi)部網(wǎng)安全的技術(shù)包括用戶密碼和權(quán)限管理技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)技術(shù)和網(wǎng)絡殺毒技術(shù)等；維護交易數(shù)據(jù)在互聯(lián)網(wǎng)上安全傳輸?shù)募夹g(shù)包括數(shù)據(jù)加密和數(shù)字簽名等，其中為了識別用戶在現(xiàn)實世界中的真實身份還要涉及認證中心；另外，為了維護電子交易中最為關(guān)鍵的資金流動，特別是信用卡支付的安全，還要涉及兩個應用廣泛的協(xié)議：SSL和SET協(xié)議。第三節(jié)電子商務安全的保障體系計算機網(wǎng)絡安全技術(shù)防火墻技術(shù)虛擬專用網(wǎng)技術(shù)入侵檢測技術(shù)病毒防范技術(shù)第四節(jié)電子商務安全技術(shù)電子商務交易技術(shù)數(shù)據(jù)加密技術(shù)數(shù)字簽名技術(shù)認證技術(shù)防火墻技術(shù)防火墻是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，實際上是一種隔離技術(shù)，是安全網(wǎng)絡和非安全網(wǎng)絡的之間的一道屏障，以防不可預測的、潛在的網(wǎng)絡入侵。虛擬專用網(wǎng)技術(shù)（VPN）VPN（VirtualPrivateNetwork），譯為虛擬私有網(wǎng)絡，指的是建構(gòu)在Internet上，使用隧道及加密建立一個虛擬的、安全的、方便的及擁有自主權(quán)的私人數(shù)據(jù)網(wǎng)絡。VPN技術(shù)解決了內(nèi)部網(wǎng)的信息如何在Internet上安全傳送的問題。網(wǎng)絡入侵檢測技術(shù)

對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。網(wǎng)絡入侵檢測技術(shù)

對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。防病毒技術(shù)計算機病毒是一種人為編制的程序或指令集合，這種程序能潛伏在計算機系統(tǒng)中，并通過自我復制傳播和擴散，在一定條件下被激活，給計算機帶來故障和破壞。加解密技術(shù)

數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)，數(shù)據(jù)加密被公認為是保護數(shù)據(jù)傳輸安全惟一實用的方法和保護存儲數(shù)據(jù)安全的有效方法，它是數(shù)據(jù)保護在技術(shù)上的最后防線。數(shù)字簽名技術(shù)數(shù)字簽名（DigitalSignature）技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者，接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。。數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，能確認以下兩點．（1）信息是由簽名者發(fā)送的；（不可否認性）（2）信息自簽發(fā)后到收到為止未曾作過任何修改。（信息完整性）身份認證技術(shù)