（经济法学专业论文）电子商务安全监管制度研究.pdf

摘要 电子商务是互联网应用发展的必然趋势，也是未来经济贸易中越来越重要的经 营模式。但中国电子商务的发展速度和水平远远低于美国、欧盟、韩国等国家，其 中最重要的原因就是中国目前还没有建立完善的电子商务安全监管制度，导致存在 的各种安全问题得不到有效解决，严重阻碍了我国电子商务的发展。所以本文旨在 对电子商务安全监管制度进行探讨和研究。 笔者首先分析了电子商务中存在的各种安全问题。笔者认为，从电子商务的安 全范畴来看，电子商务无论在硬件系统、软件系统，还是网络系统都存在严重的安 全问题；从电子商务安全威胁的实质来看，电子商务在系统运行、信息安全、主体 验证、交易行为的不可否认性和内容异议、电子商务安全技术手段的民事证据法律 效力方面也存在严重的安全问题。各种安全问题严重制约了我国电子商务的发展。 其次分析了电子商务安全问题对现行法律构成的挑战。笔者在对电子商务安全 f 司题深刻认识的基础上，提出电子商务安全问题主要在以下三方面对现行法律构成 了挑战：电子签名对现有签名法律制度、电子认证对法律空白、电子支付对现行支 付法律制度。关于电子支付对传统法律的挑战，又从电子货币、电子支票、信用卡 网上支付三方面进行了论述。电子商务安全问题所带来的严峻的监管形势，促使国 家必须采取相关措施予以应对。 然后本文分析了国际上电子商务安全监管的先进立法经验和具体操作模式。笔 者认为国际组织及其他国家在电子商务安全监管方面有以下立法经验：发挥国际组 织的主导作用、构建政府和非政府相互补充和促进的立法格局、明确电子商务安全 交易的基本理念、重视专家的作用、确立先综合后专门立法思路。笔者通过对美国 行业自治为主、特别立法监管为辅的模式、欧盟立法严格监管的模式、全球商业联 盟行业自治的电子商务安全监管模式进行了分析和比较后，得出了他们对我国电子 商务安全监管的一些启示：电子商务安全监管是一项系统工程、电子商务立法应坚 持完全的技术中立原则、应明确政府和行业组织在电子商务安全监管中的角色定位、 注意与国际接轨、重视网络隐私权的保护。 最后本文在借鉴国外先进经验的基础上，提出了完善我国电子商务安全监管的 若干建议。笔者认为应加强安全监管方面的立法建设，并逐步建立我国的电子商务 i 安全监管模式。首先，笔者从完善网络安全法律法规、制定电子商务基本法并确立 安全交易的基本原则、完善电子签名法的配套法律法规、完善电子认证机构制度、 完善电子支付法律规范、修改某些现行法律等方面提出了完善电子商务安全监管立 法的若干建议。其次，笔者认为为适应社会需要，应加强政府在计算机、电信、互 联网方面、在线经营行为备案登记方面、电子支付方面的安全监管。因电子商务安 全监管是一个庞大的系统工程，政府对电子商务的监管应遵循“联合监管、网络监管、 透明监管、服务监管、依法监管”的主要思路。随着市场经济的发展和政府职能的转 变，以及电子商务本身发展的需要，我们要充分认识和发挥行业组织的自治性辅助 作用。 关键词：电子商务安全问题监管行业自治 a b s t r a c t t h ee - b u s i n e s si st h et r e n do fi m e m e ta p p l i c a t i o na n dd e v e l o p m e n t , a n di tw i l lb e t h em o r ea n dm o r ei m p o r t a n tm a n a g e m e n tp a t t e r no fe c o n o m i c a lt r a d ei nt h ef u t u r e b u t t h es p e e da n dl e v e lo f e - b u s i n e s sd e v e l o p m e n to fc h i n aj sf 缸l o w e rt h a nt h a to ft h eu s a ， e u r o p e a nu n i o n ，s o u t hk o r e a , a n do t h e rc o u n t r i e s t h em o s ti m p o r t a n tr e a s o ni st h a t c h i n ah a v en o te s t a b f i s h e dp e r f e c te b u s i n e s sss e c u r i t ys u p e r v i s i o na n dm a n a g e m e n t s y s t e ma tp r e s e n t , w h i c hp a u s ea l lk i n d so fs e c u r i t yp r o b l e m sc a nn o tt ob er e s o l v e d e f f e c t i v e l y , a n dw h i c hh a sh i n d e r e de - b u s i n e s sd e v e l o p m e n to fo u rc o u n t r y t h e r e f o r e , t h i sa r t i c l ei sf o rt h ep u r p o s eo fd o i n gs o m ee x p l o r a t i o na n dr e s e a r c ho nt h ee - b u s i n e s s s e c u r i t ys u p e r v i s i o na n dm a n a g e m e n t f i r s to fa l lt h ea u t h o rh a sa n a l y z e da l lk i n d so fs e c u r i t yp r o b l e m st h a te x i s ti nt h e e - b u s i n e s s t h ea u t h o rb e l i e v e dt h a t ，o nt h ee - b u s i n e s s s e c u r i t yc a t e g o r ys i d e ， e - b u s i n e s sh a ss e r i o u ss e c u r i t yp r o b l e m si nt h eh a r d w a r es y s t e m ，t h es o f t w a r es y s t e m ， a n dt h en e t w o r ks y s t e m ；o nt h ee - b u s i n e s ss e c u r i t yt h r e a te s s e n c es i d e , e - b u s i n e s sa l s o h a ss e r i o u ss e c u r i t yp r o b l e m si ns y s t e mm o v e m e n t ，i ni n f o r m a t i o ns e c u r i t y , i ns u b j e c t c o n f h m a t i o n ，i na c k n o w l e d g e m e n to ft r a n s a c t i o nb e h a v i o ra n dc o n t e n to b j e c t i o na n di n t h ec i v i le v i d e n c e sl e g a le f f e c to fe - b u s i n e s s ss e c u r i t yt e c h n o l o g ym e t h o d a l lk i n d so f s e c u r i t yp r o b l e m sh a v er e s t r i c t e dt h ed e v e l o p m e n to fe b u s i n e s ss e r i o u s l y a n da f t e rt h a t ，t h ea u t h o rh a sa n a l y z e dc h a l l e n g e st h a tt h ee - b u s i n e s ss e c u r i t y p r o b l e m sb r i n gf o rt h ep r e s e ml a wd e e p l y o nt h ef o u n d a t i o no fp r o f o u n du n d e r s t a n d i n g o fe - b u s l n e s s s e c u r i t yp r o b l e m s ，t h ea u t h o rp r o p o s e dt h a t t h ee - b u s i n e s s s e c u r i t y p r o b l e m sc h a l l e n g et h ep r e s e n tl a wm a i n l yi nt h r e ea s p e c t s ：t h ee l e c t r o n i cs i g n a t u r et ot h e e x i s t i n gs i g n a t u r el a ws y s t e m ，t h ee l e c t r o n i ca u t h e n t i c a t i o nt ot h el e g a lb l a n k , t h e e l e c t r o n i cp a y m e n tt ot h ep r e s e n tp a y m e n tl a ws y s t e m a n dt h ea u t h o rc a r r i e so nt h e e l a b o r a t i o no nt h ec h a l l e n g eo fe l e c t r o n i cp a y m e n tt ot r a d i t i o n a ll a wf r o mt h ee l e c t r o n i c c u r r e n c y ，t h ee l e c t r o n i cc h e c ka n dt h ec r e d i tc a r dp a y i n go n - l i n e t h ee b u s i n e s ss e c u r i t y p r o b l e m sb r i n gi ns e r i o u ss u p e r v i s i n gs i t u a t i o n ，w h i c hu r g e st h ec o u n t r yt ot a k et h e r e l a t i v em e a s u r e s t h e nt h i sa r t i c l eh a sa n a l y z e dt h ea d v a n c e di n t e r n a t i o n a ll e g i s l a t i o ne x p e r i e n c e sa n d t h ec o n c r e t eo p e r a t i o np a t t e r n si ne - b u s i n e s ss e c u r i t ys u p e r v i s i o na n dm a n a g e m e n t t h e a u t h o rt h o u g h tt h a tt h ei n t e r n a t i o n a lo r g a n i z a t i o na n do t h e rc o u n t r i e sh a v ea d v a n c e d l e g i s l a t ee x p e r i e n c e si nd i s p l a y i n gt h ei n t e m a t i o n a lo r g a n i z a t i o n sl e a d i n gr o l e ， m c o n s t r u c t i n gt h em u t u a l l ys u p p l e m e n t i n ga n dp r o m o t i n gl e g i s l a t i o np a t t e r nb e t w e e nt h e g o v e r n m e n ta n dn o n - g o v e r n m e n t ，c l a r i f y i n gt h eb a s i ci d e a ，o fe b u s i n e s ss e c u r i t y t r a n s a c t i o n ，p l a c i n gg r e a te m p h a s i so ne x p e r t sf u n c t i o n , e s t a b f i s h i n gg e n e r a l i t yf i r s ta n d p a r t i c u l a r i t y s e c o n dt r a i no fl e g i s l a t et h o u g h t m o r e o v e r ，t h ea u t h o rh a sg u ts o m e e n l i g h t e n m e n ts u c ha sh a v i n gr e a l i z e de b u s i n e s ss e c u r i t ys u p e r v i s i o na n dm a n a g e m e n t w a sa ni t e mo fs y s t e m a t i cp r o j e c t , p e r s i s t i n gt h et e c h n i c a ln e u t r a l i t yp r i n c i p l e ，l o c a l i z i n g t h eg o v e r n m e n ta n dt h ep r o f e s s i o no r g a n i z a t i o n sr o l ei ne - b u s i n e s ss e c u r i t ys u p e r v i s i o n a n dm a n a g e m e n t , b r i n g i n gi nl i n ew i t hi n t e r n a t i o n a lp r a c t i c e s ，p a y i n ga t t e n t i o nt ot h e p r o t e c t i o no ft h en e t w o r kr i g h to fp r i v a c yt h r o u g ht h ea n a l y s i sa n dt h ec o m p a r i s o na m o n g t h ea m e r i c a n sp r i m a r yp r o f e s s i o na u t o n o m o u sa n ds p e c i a ll e g i s l a t es u p e r v i s i o na n d m a n a g e m e n tp a t t e r n , e u r o p e a nu n i o n ss t r i c tl e g i s l a t es u p e r v i s i o na n dm a n a g e m e n t p a t t e r n , a n dt h eg l o b a lc o m m e r c i a la l l i a n c e st o t a lp r o f e s s i o na u t o n o m o u sp a u e m f i n a l l y , o nt h ef o u n d a t i o no fo v e r s e a s a d v a n c e de x p e r i e n c e s ，t h ea r t i c l ep r o p o s e d c e r t a i ns u g g e s t i o n so ne - b u s i n e s ss e c u r i t ys u p e r v i s i o na n dm a n a g e m e n to fc h i n a t h e a u t h o rt h o u g h tw es h o u l ds t r e n g t h e nt h el e g i s l a t i o nc o n s t r u c t i o ni ne - b u s i n e s ss e c u r i t y s u p e r v i s i o na n dm a n a g e m e n t , a n df o u n do u ro w ne - b u s i n e s ss e c u r i t ys u p e r v i s i o na n d m a n a g e m e n tp a t t e r ng r a d u a l l y a n dt h ea u t h o rp r o p o s e dc o n s u m m a t ee b u s i n e s ss e c u r i t y s u p e r v i s i n ga n dm a n a g i n gl e g i s l a t i o n st h r o u g hf o r m u l a t i n ge l e c t r o n i ce - b u s i n e s sl a w , e s t a b l i s h i n gb a s i cp r i n c i p l eo fs e c u r i t yt r a n s a c t i o n , a m e n d i n gc e r t a i np r e s e n tl a w sa n d r e g u l a t i o n s ，c o n s u m m a t i n gn e t w o r ks e c u r i t yl a w sa n dr e g u l a t i o n s ，e l e c t r o n i cs i g n a t u r e l a w sa n dr e g u l a t i o n s ，t h i r dp a r t ya u t h e n t i c a t i o no r g a n i z a t i o ns y s t e m ，e l e c t r o n i cp a y m e n t s t a n d a r d s a n dt h ea u t h o ra l s op r o p o s e dt h a t ，t om e e tt h es o c i e t yn e e d ，t h eg o v e r n m e n t s h o u l ds t r e n g t h e ns e c u r i t ys u p e r v i s i o na n dm a n a g e m e n ti nc o m p u t e r , t e l e c o m m u n i c a t i o n a n di n t e r n e t , i nt h eo n l i n eo p e r a t i n gb e h a v i o ra n di nt h ee l e c t r o n i cp a y m e n t b e c a u s e e b u s i n e s ss e c u r i t ys u p e r v i s i o na n dm a n a g e m e n ti sah u g es y s t e m a t i cp r o j e c t ，o u rc o u n t r y s h o u l df o l l o wt h em a i nt r a i no ft h o u g h to f u n i o ns u p e r v i s i n ga n dm a n a g i n g , n e t w o r k s u p e r v i s i n ga n dm a n a g i n g , t r a n s p a r e n ts u p e r v i s i n ga n dm a n a g i n g ，s e r v i c es u p e r v i s i n ga n d m a n a g i n g , l e g a ls u p e r v i s i n ga n dm a n a g i n g ”a l o n gw i t ht h ed e v e l o p m e n to ft h em a r k e t e c o n o m ya n de - b u s i n e s sa n dt h et r a n s f o r m a t i o no fg o v e r n m e n tf u n c t i o n ，w em u s tf u l l y k n o wa n dd i s p l a yp r o f e s s i o no r g a n i z a t i o n sa u t o n o m ya s s i s t a n tf u n c t i o n k e yw o r d s ： e b u s i n e s s s e c u r i t yp r o b l e m s s u p e r v i s i o na n dm a n a g e m e n tp r o f e s s i o na u t o n o m o u s o 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得更数犬孝或其他教育机构 的学位或证书而使用过的材科。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示谢意。 学位论文作者签名：密扰鲤 签字目期： 缈7 年中月7 日 学位论文版权使用授权书 本学位论文作者完全了解按f 敬厶学有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查闽季口 借阅。本人授权发嗷六薪以将学位论文的全部或部分内容编入有关数据库进行 捡索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 学位罴? 嚣械；锐、，御学位论文作者签名：都吮理 导师签名： ；弘。气y c 。i 签字日期：钞7 年甲月7 日签字日期：卿年乒月目 工作单位： 电话： 引言 引言 国家统计局对全国信息化和电子商务调查显示，2 0 0 5 年我国电子商务交易 额达1 2 9 9 2 亿元，相当于国内生产总值的7 1 ，比上年增长了3 9 8 。2 0 0 7 年 1 月2 3 日，中国互联网络信息中心( c n n i c ) 发布了第1 9 次中国互联网络发 展状况统计报告，报告显示；我国网民总数达到了1 3 7 0 0 万人( 其中使用宽带 上网的网民达到1 0 4 亿人) ，上网计算机总数5 9 4 0 万台，域名总数4 , 1 0 9 ，0 2 0 个，域名总数4 ，1 0 9 ，0 2 0 个，网站总数8 4 3 ，0 0 0 个，网页总数4 4 7 亿个，国际出 口带宽容量2 5 6 ，6 9 6 m ，i p v 4 地址数9 8 ，0 1 5 ，7 4 4 个。这一系列数据表明我国的电 子商务有广阔的发展空问和强劲的发展势头。而且3 0 时代的到来，又为电子商 务的发展注入了新的活力。电子商务改变了信息流、物流与资金流的流动方式， 最终将改变现代经济的运行方式。 但电子商务存在一系列安全威胁。：( 1 ) 假冒的电子商务网站。由于黑客 的存在，以及网站容易被仿造，一些恶意破坏者或利益竞争者总是设法篡改网 站的重要信息，或干脆假冒该网站进行欺骗客户( 2 ) 不安全的电子邮件。假 冒他人的电子邮箱发送邮件或截取他人的电子邮件都是一件易如反掌的事情。 ( 3 ) 不安全的会员账号。很多电子商务网站都采用会员制度，会员需获得账号 并登录系统后才能进行交易。而一般的账号管理都采用大家熟悉的“账号+ 密码” 形式，非常容易被窃取或无意中泄密。一旦账号被盗用，就会被冒用身份迸行 恶意交易，给用户造成重大损失。( 4 ) 虚假的订单。由于网上用户身份的不易 审核或者代价太大，加上网站的不安全及身份容易被假冒，所以对于网上的订 单往往存在很大的虚假成分，甚至真实用户也不对订单负责( 抵赖现象) 。( 5 ) 信息的暴露。如果不采取特别的手段，对于商家及用户，真是可以说没有隐私 及秘密可言。由于交易的需要，使得关于商家及用户的各种敏感信息，甚至合 同内容，都可能被通过攻破数据库、网上截取和高价黑卖等手段，而被盗取。 这些安全威胁的存在增加了电子商务的经营成本，打击了一些企业和个人对电 子商务的信息，成为了制约电子商务发展的瓶颈。 西钟诚主编：电子商务安全，重庆大学出版社2 0 0 4 年第1 版，第1 3 5 页。 电子商务安全监管制度研究 电子商务是互联网应用发展的必然趋势，也是未来经济贸易中越来越重要 的经营模式，以后会渐渐成为我们经济生活中一个重要部分。安全是保证电子 商务健康有序发展的关键因素。电子商务的安全不仅仅是技术问题，更是法律 问题。在电子商务界有一句名言：网络问题全是法律问题。阿里巴巴总裁马云 曾说，一个没有安全保障的电子商务环境，是无真正的诚信和信任可言的。因 此在电子商务具备迅猛发展潜力的时刻，构建完备的法律保障其交易安全是一 项多么急迫而重要的问题。完善而有效的电子商务安全监管制度的建立，有利 于增强经营者和消费者的信心，更有利于建立健康的电子商务经营和发展秩序， 促进电子商务及社会经济的发展。所以，本论文题目为电子商务安全监管制度 研究。 o 佚名；支付宝掀起b 2 b 市场风云，江南时报。2 0 0 6 年6 月1 5 日，第3 7 版 2 一、电子商务存在的安全问题 一、电子商务存在的安全问题 2 0 0 5 年4 月至5 月，中国电子商务协会政策法律委员会和中国电子商务法 律网，在国内各大电子商务网站发起了一项名为“电子商务交易安全性与法律 状况”的调查o ，其中一项是何为电子商务交易中最重要的问题，5 5 的企业认 为是交易主体的信用问题，2 4 的企业认为是交易安全问题。交易安全问题成为 决定电子商务成败的第二大问题。由于在传统商务模式下并未建立社会信用体 系，再加上网络的虚拟化效果，交易主体的信用缺失和无法保证所产生的对经 济的不利后果就更被放大。而交易主体的信用缺失和无法保证也是危害电子商 务安全的因素。所以，电子商务存在着严重的安全问题。 虽然大家对“电子商务”这个名词并不陌生，但不同的人、在不同场合下 对“电子商务”所指的含义不尽相同。电子商务是从西方先发展起来的，在英美 国家有“e - b u s i n e s s ”、“e - c o m m e r c e ”和“e - c o m m e r c et r a n s a c t i o n ”几种说法。 目前国际上一般将e - b u s i n e s s 看作是一种广义的电子商务，将e - c o m m e r c e 和 e c o m m e r c et r a n s a c t i o n 看作是一种狭义的电子商务。e b u s m e 辐不仅是指企业 基于互联网与外部的沟通与交易行为，也包括在信息技术支撑下企业内部的流 程改造，企业之间的协同整合，其目的在于利用互联网实现价值链上的增殖， 增强企业的综合竞争力。e - c o m m e r c e 是指基于互联网之上，企业与企业之间 ( b 2 b ) ，企业与消费者之间( b 2 c ) ，企业与政府间的产品与服务的外部交易行 为。而本文所探讨的电子商务是指广义上的电子商务( e - b u s i n e s s ) ，即基于互 联网等计算机网络之上的、在企业业务流程上用于执行与支持价值链增值的一 切活动，包括市场、销售、采购、供应链管理等各类环节。它是一种以计算机 网络为载体的自动商业流程，它不仅包括企业内部( i n t r a ) 的流程，也包括企业 与企业之间( i n t e r ) 、企业与家庭、政府和其他组织之间的业务流程。o 虽然电子商务有多种模式，如：企业对消费者的电子商务( b 2 c ) 、企业对 企业间的电子商务( b 2 b ) 、消费者对消费者的电子商务( c 2 c ) 等早期商业模 。阿拉木斯：电子商务交易安全性与法律状况调查报告， h t t p ：w w w c h i n a e c l a w c o m r c a d a r t i c l ea s p ? i d = 5 3 8 9 2 0 0 6 - 0 l 1 8 o 商务部信息化司：中国电子商务报告( 2 0 0 4 2 0 0 5 ) ， h t t p ：x x h s m o f c o l u g o v c n s u b j e c t d z s h w b g m d e x s h t m l ，2 0 0 6 4 4 - 2 0 3 电子商务安全监管制度研究 式，还有顾客关系管理电子商务( c u s t o m e rr e l a t i o n s h i pm a n a g e m e n t ，c r m ) 、供 应链管理电子商务( s u p p l yc h a i nm a n a g e m e n t ，s c m ) 、应用服务提供( a p p l i c a t i o n s e r v i c ep r o v i d e r ，a s p ) 、x s p ，p 2 p ( p e e rt op e e r ) ，b 2 e ( b u s i n e s st oe m p l o y e e ) ， 行动商务( m c o m m e r c e ) 等新兴商业模式。但是，不论运用何种电子商务模式， 电子商务所面临的安全问题基本相同( 或改为“电子商务都面临几乎共同的较 为严重的安全问题”) 。o ( 一) 从技术角度分析电子商务中的安全问题 如果没有个安全、可靠的环境，人们无法从事电子商务。随着信息技术 的不断发展，安全问题不仅没有减少，反而大幅上升，给电子商务带来了巨大 的挑战。电子商务安全又是一个非常复杂的问题，它渗入到电子商务的各个环 节之中。本论文将电子商务安全的范畴界定为以下几个部分： 1 、硬件系统的安全问题 电子商务系统的主要特征就是大量采用信息系统支持商务活动，而信息系 统首先表现为各种各样的物理设备，比如计算机、磁盘、网络设备等。如果这 些物理设备遭到摧毁，整个系统不可避免地会受到严重的影响。 首先是硬件系统自身漏洞。并非只有软件才有漏洞，作为人们脑力活动的 成果，硬件系统同样可能存在各种各样的缺陷，这些缺陷一旦跳过了出厂测试， 就可能在实际运行中造成系统崩溃。一般硬件系统的漏洞主要包括：( 1 ) 设计 疏忽；( 2 ) 元件质量低劣；( 3 ) 人为留下的“后门”。 其次是系统运行环境的安全国。虽然现代的计算机硬件已经在功能上有很大 的提高，但它毕竟属于高度精密的仪器，任何开发时的疏忽以及实际运行时的 震荡、静电、潮湿、过热等情形都可能使其受到严重的损伤。 系统运行中的安全隐患：( 1 ) 电源问题。电是整个电子商务系统运行的根 本动力，其稳定性直接影响到系统的运行和安全。不稳定的电源将会从以下两 个方面影响系统的运行：一是断电导致系统崩溃。如果没有备用电源，突然断 电不仅可以使系统停止工作，而且会使系统丢失当前正在处理的数据，即使恢 复供电也很难再找回。另外，硬盘等高速旋转的设备在没有进行预处理的情况 。冯珍宇著：企业c 化电子商务与法律风险，北京大学出版社2 0 0 6 年第1 版，第4 l 页。 o 冯珍宇著：企业c 化电子商务与法律风险，北京大学出版社2 0 0 6 年第1 版，第8 5 页。 4 一，电子商务存在的安全问题 下突然停转，往往会导致磁头、盘面等元件的物理损伤，造成某些数据的永久 性丢失。二是电涌导致数据紊乱。“电涌”是指电源不稳定，导致电流或电压瞬 间剧烈变化。由于计算机的内存等部件都是不同的电位表示不同的数据，因此 瞬间变化的电流很容易使纪录的数据发生变化，从而导致整个系统的紊乱。另 外，对于一些精密的或较旧的硬件设备，电流的剧烈变化甚至可以烧毁整个元 件。( 2 ) 水患与水灾。水和火历来都是精密仪器和电子设备的主要威胁。对于 电子商务系统来说，水患、潮湿和火灾导致的损失一般包括：由于空气湿度过 高导致电子元件失灵何存储介质丢失数据；由于迸水导致主机设备烧毁；由于 长时间浸泡导致各种线路绝缘皮腐烂脱落，引发短路谱；由于温度过高或过低 导致系统异常；由于起火导致设备烧毁：由于火灾导致存储介质回环，造成数 据永久性丢失；由于火灾及元件燃烧产生的有毒气体等导致人员伤亡。可见， 水患和火灾对电子商务系统的威胁是非常巨大的。o 最后是物理访问风险。上述各种威胁都是来自于系统设备和物理环境，但 是另一个重要的安全隐患来自于人，从安全角度看，人是最难加以控制的因素。 任何带有恶意的人只要能够接触到系统设备，都可以在极短的时间内对系统作 出破坏性的行为。最常见的物理访问风险有：中断系统的运行；直接破坏系统 设备；偷窃系统设备；在系统中留下“后门”。 2 、软件系统的安全 软件是电子商务系统的灵魂，因此，保证软件系统的安全运行、降低因软 件问题导致的系统风险对电子商务系统来说至关重要。 一是病毒的威胁。计算机病毒本质就是一段具有传染能力和破坏能力的计 算机程序。计算机病毒的首要特点是具备传染能力，否则它将只是一个“逻辑 炸弹”。病毒的传染一般是通过以下几步实现的：在用户不小心打开含毒文件时 藏入内存，并获得系统控制权，然后再随时将自身代码复制到其它文件或介质 上。早期的病毒大多是通过软盘传递的，而最近十年随着计算机网络的迅速普 及，病毒已经主要通过网络传播，其速度和范围远远超过从前。计算机病毒往 往具有对计算机系统的破坏能力。一般这种能力表现为扰乱系统的正常运行、 大量侵占内存等系统资源导致系统死机、恶意删除磁盘文件导致用户数据丢失、 o 冯珍宇著：企业c 化电子商务与法律风险) ，北京大学出版社2 0 0 6 年第1 版，第9 0 页。 5 电子商务安全监管制度研究 通过限时猜谜或令人眩晕韵画面严重影响用户心理等。近几年随着网络和硬件 技术的发展，病毒又具备了新的破坏能力，比如自动将用户磁盘的文件通过邮 件发送给别人导致隐私泄漏、利用硬件设备的软升级接口破坏计算机硬件设备 等，其危害日益增强。大多数计算机病毒都将自身“寄宿”在其他合法文件的 体内，并尽量减小自身长度，从而避免被发现。有些蠕虫病毒等虽然是以独立 的文件形式存在，但通过对文件名和文件属性的巧妙设置往往会让用户以为是 普通文件而不加以注意。为了加强破坏效果，避免过早暴露自己，计算机病毒 平时都是只传播不发作的。只有到了病毒设计者预定好的日期或条件时，病毒 才会发作，由于之前病毒已经充分传播，所以集中发作时造成的破坏效果往往 非常巨大。根据传播介质、攻击对象等不同标准，计算机病毒可以分为很多类 型。我们常见到或听到的有：通过将自身保存在文件中传染地文件型病毒；将 自身保存在磁盘引导扇区中传染的引导型病毒；专门感染微软公司o 砸c c 系列 办公软件的宏病毒不感染文件，但是通过网络不断在各个主机的内存中复制自 身的网络蠕虫病毒等等。o 二是软件漏洞与后门。o 由于计算机软件是大量软件工程师和程序员脑力劳 动的结果，因此很难避免人为的疏忽和纰漏。尤其在现代软件日益庞大的情形 下，程序漏洞( b u g ) 的数量和影响比以往更甚。可以说，现在我们使用的所有 软件，无论是w i n d o w s 、u n i x 等系统软件，还是o f f i c e 、用友等应用软件，都 不可避免地存在各种各样的b u g ，影响系统的稳定性和安全性。除了由于设计人 员疏忽导致的漏洞外，软件系统有时还会出现另一种严重地安全隐患：设计人 员恶意留下的“后门”或“逻辑炸弹：在某些情况下，软件系统的设计人员会 与软件的使用者之间产生紧密的利害关系，这时设计人员就有可能在编制软件 时悄悄加入一段在一定条件下能够运行并为自己获利的代码，即后门 “b a c k d o o r ”；还有些软件开发商为了方便用户，使技术支持人员可以通过网络 以远程协助的方式为系统提供维护服务时，也会有意在软件中留下后门，这种 措施也具有一定的风险；此外也有设计人员为了达到一定的目的( 比如惩罚盗版 用户、恶意报复系统用户等) ，在软件中加入一段破坏性代码，能够在一定条件 下被激活并破坏整个系统，这就是所谓的“逻辑炸弹”。 o 冯珍宇著：企业e 化电子商务与法律风险，北京大学出版社2 0 0 6 年第1 版，第9 5 页。 o 史达编著：电子商务与网络经济，东北财经大学出版社2 0 0 6 年第2 版，第1 0 5 页一 6 一、电子商务存在的安全问题 三是w e b 应用程序的安全问题。可以说，电子商务之所以得到迅速推广， 互联网功不可没。不论是b 2 b 还是b 2 c ，现代的电子商务模式均主要以w e b 网站的形式开展。但是，由于w e b 和m i t 技术本身的一些特点，w e b 服务 系统和应用程序的设计和使用都存在很多需要特别注意的安全问题，比如w e b 服务软件的漏洞、c g i 程序或服务器脚本的b u g 、w e b 数据库安全等。由于电 子商务网站直接面向外界用户，所以是黑客获取机密信息甚至访问内网权限的 重要途径，应格外加以重视。 3 、网络安全问题 由于网络安全在电子商务安全中的重要性，所以把它列为一个单独的问题 提出。 7 一是黑客与口令破解。“黑客”一词来源于英文“h a c k e r ”译音。其原意 是用来形容喜欢独立思考、奉公守法的计算机迷以及热衷于设计和编制计算机 程序的程序设计者。然而，随着社会发展和技术的进步，“h a c k e r ”的定义有了 新的演绎，即出现了一类专门利用计算机犯罪的人，这些人凭借其自己所掌握 的计算机技术，专门破坏计算机系统和网络系统，窃取政治、军事、商业秘密， 或者转移资金账户，窃取金钱，以及不漏声色地捉弄他人，秘密进行计算机犯 罪等。为区分传统意义上的黑客( 计算机高手) 和专门从事破坏行为的人，也 有人给他们分别赋予了不同的名字：飞客，“p h r e a k e r ，_ 一早期攻击电话网的青 少年，研究各种盗打电话而不用付费的技术。“p h r e a k e r ”也可以说是现代黑客 的前身；黑客，“h a c k e r ”喜欢发现和解决技术挑战、发现系统漏洞的精通 计算机技能的人；骇客( 或快客、克客) ，“c r a c k e r ”闯入计算机系统和网 络试图破坏和偷窃个人信息者，它与黑客的根本区别在于黑客们建设、完善系 统，而骇客们破坏系统。一般来说，黑客最常用的武器是口令破解，即通过不 正当手段获取他人账号和密码、从而获得系统的访问权限。口令破解的方法一 般包括：穷举猜测用户口令，或使用常用密码字典快速猜测口令；利用系统漏 洞获取存放密码的系统文件；伪装成合法程序或管理员直接向用户骗取口令； 根据用户个人信息直接猜测口令；通过聊天、偷窥或安装木马软件等方式直接 得到用户口令等。 o 史达编著；电子商务与网络经济，东北财经大学出版社2 0 0 6 年第2 版，第1 2 0 页。 。史达编著； 电子商务与网络经济，东北财经大学出版社2 0 0 6 年第2 舨，第1 3 0 1 3 2 页 一7 电子商务安全监管制度研究 二是特洛伊木马。 特洛伊木马( 或称木马) ，英文叫做“t r o j a nh o r s e ”。在 互联网上，特洛伊木马是一种基于远程控制的黑客工具。它是一种后门程序， 它驻留在目标计算机里，可以随计算机启动而自动运行，并在某一端口进行侦 听。在其接收到攻击者发来的数据并加以识别后，可以对目标计算机执行特定 的操作。特洛伊木马原贝f j 上只是一种远程管理工具。而且本身不带伤害性，也 没有感染力，所以不能称之为病毒。但如果被人不当使用，其破坏力可能比病 毒更强。因为通过木马，攻击者可以像操作自己的计算机那样在被攻击主机上 执行各种操作，包括文件删改、系统配置等。一般说来，木马攻击的过程有以 下几步：( 1 ) 植入。一般攻击者通过电子邮件附件或捆绑在其他安装程序中的 方式诱骗用户安装用户端木马程序。( 2 ) 加载。用户端木马程序安装后会通过 修改注册表等方法，做到以后每次系统启动时都会自动运行。( 3 ) 打开端口。 用户端木马程序运行后会打开某一个端口，等待指令。( 4 ) 扫描。攻击者用自 己的机器陨星控制端木马程序，在一定的网络范围内寻找已经运行了用户端木 马的机器。( 5 ) 连接。攻击者找到已经运行了木马的机器后，通过控制端程序 与其木马程序连接。( 6 ) 攻击。攻击者通过控制端程序向用户端木马发送指令， 用户端收到后在用户的电脑上执行攻击。o 三是网络监听。 网络监听( s n i f f i n g ) 本来是为了管理网络，监