1.1.2 电子商务的安全_电子商务安全与支付-QQ阅读男生历史网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

1.1.2 电子商务的安全

1．电子商务安全的现状

伴随着电子商务各方面条件的不断成熟，包括信息基础设施、人们的消费观念、各大IT公司的努力，电子商务已经深入人心。但不可否认的是，还有三个方面在制约电子商务的飞速发展——电子商务安全、电子支付和电子商务物流。其中，人们对电子商务的安全问题十分关心，但大多数人对安全问题又缺少必要的了解，人们经常在报纸上、电视上看到黑客盗取银行卡的密码，对电子商务的网上支付在心理上产生了畏惧感。因此，让更多的人了解电子商务安全的基本体系和原理是电子商务发展过程中最重要的工作。

电子商务应用面临的首要风险是计算机病毒。历史上，第一例计算机病毒出现在美国。1987年10月，一种系统引导型病毒蔓延开来，而世界各地的计算机用户几乎同时发现了形形色色的计算机病毒。1988年11月3日，美国康奈尔大学23岁的研究生罗伯特·莫里斯将计算机蠕虫病毒投放到网络中，结果使美国6000台计算机被病毒感染，造成互联网不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件，引起了世界范围的轰动。2003年8月，冲击波和冲击波杀手病毒利用Windows 2000/XP操作系统等的远程进程调用（RPC）漏洞，大量连接互联网的计算机被感染，使得计算机系统不断被要求重启，无法进行正常的操作和使用，危害面极广，后果极为严重。可以想象，在这些被病毒感染的计算机网络和计算机上进行电子商务操作是很难保证其安全性的。

电子商务应用的另一个风险是有效性和实用性问题。对于一个将互联网作为交易手段的商业组织来说，它需要投资数十亿美元进行信息基础建设。据有关公司发布的市场调查报告估计，黑客的攻击使得一些诸如雅虎和易趣这样的热门网站出现暂时性“死机”，从而使其损失超过了12亿美元，严重影响了互联网上电子商务的应用和发展。电子商务网站的访问无效或者网络瘫痪，将会促使顾客另找新的供应商，或者回到更传统的老办法——逛实体商店来进行交易。

所以，为了保证基于互联网的电子商务的安全性，就必须解决相应的问题。

小知识

黑客最早源自英文Hacker，早期在美国的电脑界是带有褒义的。原指热心于计算机技术、水平高超的电脑专家，尤其是程序设计人员。但到了今天，“黑客”一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。

（资料来源：中国互联网络信息中心）

2．电子商务安全必须解决的问题

电子商务安全问题伴随着电子商务的诞生而产生，伴随着电子商务的应用而发展。为了保证基于互联网的电子商务的安全性，必须解决如下问题。

（1）信息的机密性

电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家商业信息，有些可能已经是商业机密。这就要求系统存储的信息（用户个人资料、企业或部门商业机密等）不泄露给非授权的人或实体，并且保证这些加密信息在网络传输过程中只有合法接收者才能获取和读懂，防止攻击者通过在电磁波辐射范围内安装接收装置，或者在数据包经过的网关和路由器上截获数据以获取用户的银行账号、密码以及企业商业机密等信息。

（2）信息的真实性

电子商务交易是在虚拟的网络环境中进行的，交易双方可能互不相识，也可能来自不同的地区或国家，如何才能保证交易双方身份的真实可靠呢？双方交换信息之前通过数字签名、身份认证以及数字证书来辨别参与者身份的真伪，防止伪装攻击。交易时，对提供的交易信息也要保证其真实性，防止欺骗交易行为。

（3）信息的完整性

电子数据在输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。要确保在电子交易过程中，信息既不被修改和删除，也不会丢失和重复。

（4）信息的可靠性

可靠性是指防止由计算机出错、自然灾害等引起的计算机信息丢失或失误，保证存储在介质上信息的正确性，要求贸易数据在确定的时刻和确定的地点都是有效的。

（5）信息的不可抵赖性

在传统的贸易中，双方通过在合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，防止抵赖行为的发生。在电子交易过程中，系统要确保发送方事后不能否认已经发送的数据和所执行的操作，接收方同样不能事后否认已经接收的数据和执行的相应操作。

由于传统的贸易双方是面对面交易，因此比较容易保证交易过程的安全性和可信性。而对于电子商务交易而言，贸易双方互不谋面，很难建立安全和信任的关系。除了上述要解决的问题外，电子商务还将面临更多的安全威胁。

3．电子商务的安全风险来源

以上从交易双方分析了电子商务交易的安全威胁。如果从整个电子商务系统着手分析，可以将电子商务的安全问题归为四类风险，即信息传输风险、信用风险、管理风险及法律方面的风险。

（1）信息传输风险

信息传输风险是指进行网上交易时，可能因传输的信息失真或者信息被非法地窃取、篡改和丢失，而导致网上交易的不必要损失。从技术上看，网上交易的信息传输风险主要来自五个方面：冒名偷窃，篡改数据，信息丢失，信息传递过程中的破坏，虚假信息。

与传统交易不同的是，网上交易的信息传输风险更为严重，因此网上交易时面临的信息传输风险比传统交易更为严重。

（2）信用风险

信用风险主要来自三个方面：

① 来自买方的信用风险。对于个人消费者来说，在网络上使用信用卡进行支付时可能恶意透支，或使用伪造的信用卡骗取卖方货物；对于集团购买者来说，存在拖延货款的可能，卖方需要为此承担风险。

② 来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。

③ 买卖双方都存在抵赖的情况。传统交易时，交易双方可以直接面对面进行交易，信用风险比较容易控制。网上交易时，物流与资金流在空间上和时间上是分离的，因此如果没有信用保证，那么交易是很难进行的。再加上网上交易一般是跨越时空的，交易双方很难面对面交流，信用风险就很难控制。这就要求网上交易双方必须有良好的信用，而且具备一套有效的信用机制以降低信用风险。

（3）管理风险

网上交易管理风险是指由于交易流程管理、人员管理、交易技术管理的漏洞带来的风险。

① 交易流程管理风险。在网络商品中介交易的过程中，客户进入交易中心，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。在这些环节上，都存在着大量的管理问题，如果管理不善，势必造成巨大的潜在风险。为防止此类风险需要有完善的制度设计，形成一套相互关联、相互制约的制度群。

② 人员管理风险。人员管理常常是网上交易安全管理上最薄弱的环节。近年来，我国计算机犯罪大多为内部犯罪，其原因主要是工作人员职业道德修养不高，安全教育和管理松懈。一些竞争对手还利用对方企业招募新人的方式潜入该企业，或利用不正当的方式收买对方企业网上交易管理人员，窃取其用户识别码、密码、传递方式以及相关的机密文件资料。

③ 交易技术管理的漏洞带来的风险。有些操作系统中的某些用户是无口令的，如匿名文件传输协议（FTP），利用远程登录（Telnet）命令登录这些无口令用户，被信任用户不需要口令就可以进入系统，然后把自己升级为超级用户。

传统交易经过多年发展，在交易时有比较完善的控制机制，而且管理比较规范。而网上交易只经历了很短时间，还存在许多漏洞，这就要求对其加强管理和规范交易。

（4）法律方面的风险

网上交易信息系统的技术设计是先进的、超前的，具有强大的生命力。但必须清楚地认识到，在目前的法律中还找不到现成的保护网上交易的交易方式的条文，因此还存在法律方面的风险。一方面，在网上交易可能会承担由于法律滞后而无法保证合法交易的权益所造成的风险。例如，通过网络达成交易合同，可能因为法律条文还没有承认数字化合同的法律效力而面临失去法律保护的危险。另一方面，在网上交易可能承担由于法律的事后完善所带来的风险，即在原来法律条文没有明确规定下而进行的网上交易，在后来颁布新的法律条文下属于违法经营所造成的损失。例如，一些电子商务公司在开通网上证券交易服务一段时间后，国家颁布新的法律条文规定只有证券公司才可以从事证券交易服务，从而剥夺了电子商务服务公司提供网上证券交易服务的资格，给这些电子中间商经营造成巨大损失。