1.2 电子商务安全的概念与问题

1.2.1 电子商务安全的概念

1．电子商务安全的定义

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息，因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。

（1）计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全为目标。

（2）商务交易安全：紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障以电子交易和电子支付为核心的电子商务的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等。

计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成、缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络再安全，仍然无法达到电子商务所特有的安全要求。

从安全等级来说，从下至上有计算机密码安全、局域网安全、互联网安全和信息安全之分，而电子商务安全属于信息安全的范畴，涉及信息的机密性、完整性、认证性等方面。这几个安全概念之间的关系如图1-4所示。同时，电子商务安全又有它自身的特殊性，即以电子交易安全和电子支付安全为核心，有更复杂的机密性概念、更严格的身份认证功能，对不可拒绝性有新的要求，需要有法律依据性和货币直接流通性特点。

2．电子商务安全需求

电子商务安全需求也可称为电子商务安全要素。电子商务威胁的出现，导致对电子商务安全的需求。为真正实现一个安全电子商务系统，保证交易的安全可靠，要求电子商务能做到有效性、机密性、完整性、可靠性和不可否认性。

（1）有效性。EC以电子信息取代纸张，如何保证电子形式贸易信息的有效性则是开展EC的前提。EC作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

（2）机密性。EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。EC建立在开放的互联网环境上，维护商业机密是EC全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。

（3）完整性。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是EC应用的基础。

（4）可靠性。可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误，保证存储在介质上的信息的正确性。

（5）不可否认性。在无纸化的电子商务模式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标志。这种标志信息用来保证信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，身份的不可否认性常采用数字签名来实现。

1.2.2 电子商务安全问题

1．网络系统安全问题

（1）物理实体的安全问题。物理实体的安全问题主要包括计算机、网络、通信设备等的机能失常，电源故障，由于电磁泄漏引起的信息失密、搭线窃听、自然灾害等带来的安全威胁。

（2）计算机软件系统的安全漏洞。不论采用什么操作系统，在默认安装的条件下都会存在一些安全问题，网络软件的漏洞和“后门”是进行网络攻击的首选目标。只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。我们一定不要以为操作系统默认安装后，再配上很强的密码系统就是安全的。

（3）TCP/IP的安全缺陷。网络服务一般都是通过各种各样的协议完成的，因此网络协议的安全性是网络安全的一个重要方面。如果网络通信协议存在安全上的缺陷，那么攻击者就有可能不必攻破密码体制即可获得所需要的信息或服务。值得注意的是，TCP/IP最初是为内部网设计的，主要考虑网络互联互通的问题，没有考虑到安全威胁的问题，所以TCP/IP在安全方面可以说是“先天不足”。

（4）黑客的恶意攻击。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小；甚至它可以在袭击开始前就已经消失得无影无踪，使对方没有实施报复打击的可能。

（5）计算机病毒的危害。计算机病毒是网络安全威胁的主要因素之一，目前全球出现的数万种病毒按照基本类型划分，可分为引导型病毒、可执行文件病毒、宏病毒、混合病毒、特洛伊木马和Internet语言病毒6种类型。

（6）安全产品使用不当。虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多厂商的安全产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂商在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。

2．交易信息传输的安全问题

所谓信息传输问题，就是指在进行网上交易的时候，因传输的信息失真或者信息被非法窃取、篡改和丢失，从而导致网上交易的一些不必要的损失。从技术上看，网上交易的信息传输问题主要包括以下几个方面。

（1）冒名偷窃：为了获取重要的商业秘密、资源和信息，竞争对手或者“黑客”常常采用冒名源IP地址来进行欺骗攻击。

（2）篡改数据：攻击者利用非法手段掌握了信息的格式和规律后，通过各种手段方法，将网络上传输的信息数据进行删除、修改、重发等，破坏数据的完整性和真实性，损害他人的经济利益，或者干扰对方的正确决策。

（3）信息丢失：在交易中存在的信息丢失，是因为线路问题、安全措施不当或因为在不同的操作平台上转换操作不当导致的。

（4）信息破坏：由于计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等始终存在被新技术攻击的可能性。计算机病毒的侵袭、“黑客”的非法入侵、线路窃听等很容易使重要的数据在传输过程中泄露，威胁电子商务交易中的安全。另外，外界的干扰也会影响到数据的真实性和完整性。

（5）信息伪造：在网上交易过程中，信息传输问题可能来源于用户以合法身份进入系统后，买卖双方都可能在网上发布虚假的供求信息，或者以过期的信息冒充现在的信息，从而骗取对方的钱款或货物，如表1-1所示。

3．电子商务安全管理问题

虽然我们在不断地更新安全技术，把防火墙做得很安全，但如果黑客并不去窃取信息或数据，而只是去阻塞网站，则对这种原始而野蛮的攻击方式靠单纯的技术是很难解决的，只有靠管理或其他方法去防范才可。网上交易管理上也存在诸多问题，主要表现在以下几个方面。

（1）交易流程管理问题：在网络交易中介介入交易的过程中，客户进入交易中心，交易中心不但要监督买方按时付款，而且要监督卖方按时提供合同所要求的货物。在这里面，管理问题大量存在，假如管理不善，将会导致巨大的潜在风险。

（2）人员管理问题：在网上交易中，最薄弱的环节是人员管理。由于工作人员的职业道德不高、安全教育和管理松懈等问题的存在，使得通过网络犯罪的现象越来越严重，并且多数反映在内部管理人员。

（3）交易技术管理问题：网上交易只经历了很短的时间，没有比较完善的控制机制，使得网上交易技术管理的漏洞众多，也因此带来很大的交易问题。所以，在交易技术方面，仍然需要加强对其管理和规范。

（4）安全法律法规问题：开展电子商务需要在企业和企业之间、政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。其主要涉及的法律主要有国际加密问题、网络链接问题、网络隐私问题、域名侵权纠纷问题、电子商务的税收问题，还有电子商务交易中提供参与方合法身份认证的CA中心涉及的法律问题、电子合同签订涉及的法律问题、交易后电子记录的证据力问题及网络知识产权涉及的法律问题等。

4．电子商务的信用安全问题

信用基于买卖双方的信义。在传统贸易中，由纸介质合同来约束双方行为，因此，是否有效执行合同就是信用安全的具体体现。在虚拟的电子商务交易中，在利益的驱动下，伪造、抵赖、逃债等问题时有发生。在电子商务交易中存在的信用问题主要表现在以下几个方面。

（1）来自买方的信用问题：对于消费者来说，可能在网络上利用信用卡进行支付时的恶意透支，或者使用伪造的信用卡来骗取买方的货物。

（2）来自卖方的信用问题：卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全根据合同来履行合同内容，造成对买方权益的损害。

（3）买卖双方都存在的抵赖问题：电子商务交易是直接通过网络进行的，导致信用得不到保证，存在买方不付款、卖方不发货的抵赖行为。

5．电子商务安全支付问题

传统支付系统的安全问题是人人所共知的，如可以伪造现金、可以伪造签名、可以拒付支票。在电子商务环境下的网上支付过程中，同样会出现诸多安全问题，具体表现为以下几方面。

（1）在通信线路上进行窃听，并滥用收集的数据（如信用卡号等）。

（2）向经过授权的支付系统参与方发送伪造的消息，以破坏系统的正常运作来盗用交换的财产（如商品、现金等）。

（3）不诚实的支付系统参与方试图获取并滥用无权读取或使用的支付交易数据。